李明，呂阿斌

中興飛流信息科技有限公司，江蘇 南京 210012

0 引言

車路協(xié)同概念最早由歐盟委員會第六科技框架計劃提出，旨在通過人、車、路、云的信息交互和共享，充分實現(xiàn)多方有效協(xié)同決策，提高出行效率及確保人車安全。車路協(xié)同是輔助智能網(wǎng)聯(lián)或自動駕駛車輛安全運行的有效載體，是道路交通運輸領域的科技戰(zhàn)略制高點[1-2]。車路協(xié)同相關技術組成復雜，涵蓋汽車、集成電路、無線通信、邊緣計算、人工智能、大數(shù)據(jù)、云計算等多個高新技術。目前，一些國家高度重視車路協(xié)同的發(fā)展，2021年國務院和交通運輸部分別印發(fā)《“十四五”現(xiàn)代綜合交通運輸體系發(fā)展規(guī)劃》《數(shù)字交通“十四五”發(fā)展規(guī)劃》，鼓勵車路協(xié)同及自動駕駛相關產(chǎn)業(yè)的健康發(fā)展[3-4]。同時，無線通信技術、人工智能等技術的迅速發(fā)展進一步推動車路協(xié)同系統(tǒng)的迭代升級與成熟。賽迪網(wǎng)預測車路協(xié)同產(chǎn)業(yè)在2022年進入爆發(fā)期，預計2025年產(chǎn)業(yè)規(guī)模將超萬億元[5]。但隨著車路協(xié)同產(chǎn)業(yè)規(guī)模的快速發(fā)展以及相關應用的深入，車路協(xié)同系統(tǒng)的組成節(jié)點通常運行在不可信環(huán)境中，一些與安全相關的問題逐漸暴露出來，比如數(shù)據(jù)采集階段的數(shù)據(jù)泄露、模型訓練階段及推理階段通過獲取中間數(shù)據(jù)復原原始數(shù)據(jù)造成的隱私泄露、毒化數(shù)據(jù)影響模型訓練等[6-7]。上述安全問題是車路協(xié)同系統(tǒng)面臨的較大挑戰(zhàn)。

如何打造安全的車路協(xié)同系統(tǒng)成為行業(yè)當前關注的重點問題，本文分析車路協(xié)同場景中遇到的安全問題與挑戰(zhàn)，結合隱私計算、人工智能技術在車路協(xié)同場景的實踐經(jīng)驗，設計并實現(xiàn)了YITA-TFL（YITA-trusted federated learning）平臺，涵蓋數(shù)據(jù)安全、訓練安全以及推理安全等問題的解決方法，為車路協(xié)同場景下隱私計算和人工智能技術兼顧發(fā)展和安全、平衡效率和風險提供一種可行的系統(tǒng)性解決方案。

1 國內(nèi)外研究進展

車路協(xié)同場景的數(shù)據(jù)安全、模型安全、推理安全等問題不僅涉及技術領域，還涉及管理領域。

● 技術領域。近兩年陸續(xù)有學者基于隱私計算技術對上述問題展開研究。例如，將差分隱私（differential privacy，DP）、隱私?jīng)Q策樹、貝葉斯網(wǎng)絡等方法應用于數(shù)據(jù)發(fā)布，實現(xiàn)兼顧數(shù)據(jù)隱私保護和數(shù)據(jù)分析的目的[8-9]，基于同態(tài)加密（homomorphic encryption，HE）和區(qū)塊鏈技術的車聯(lián)網(wǎng)隱私保護方案支持將隱私數(shù)據(jù)進行同態(tài)加密處理后再寫入?yún)^(qū)塊，實現(xiàn)隱私數(shù)據(jù)以密文狀態(tài)分發(fā)、共享和計算[10]，但是這類方法針對結構化數(shù)據(jù)比較有效，針對視頻、圖像、語音等非結構化數(shù)據(jù)時則受限。基于差分隱私、隨機梯度下降等技術實現(xiàn)了模型訓練過程中的安全保護[11-12]；采用分割模型的方式提高了訓練過程的安全保護程度，分割模型在客戶端和服務端分段訓練，簡單計算部分留存在客戶端本地，復雜計算部分留存在服務端，同時在模型執(zhí)行過程中應用差分隱私算法對分割模型間傳輸?shù)臄?shù)據(jù)進行隱私保護，確保參與訓練的各方無法獲取完整的模型，進而提高本地模型的安全性[13-14]。針對車路協(xié)同推理階段，將深度學習網(wǎng)絡模型切分為兩部分，分別在車載終端和路側邊緣服務器執(zhí)行場景下，設計出基于差分隱私的防御算法，防止攻擊者基于推理階段的中間數(shù)據(jù)還原圖像，保護用戶隱私[15]。

● 管理領域。許多國家和組織出臺了相關法律、法規(guī)及標準。2021年3月9日，歐洲數(shù)據(jù)保護委員會（European Data Protection Board，EDPB）通過了《車聯(lián)網(wǎng)個人數(shù)據(jù)保護指南》，結合《通用數(shù)據(jù)保護條例》對車路系統(tǒng)場景處理個人數(shù)據(jù)進行指導和規(guī)范，闡釋了該場景下的隱私和數(shù)據(jù)風險及應對措施，為行業(yè)參與者有效地保護數(shù)據(jù)安全提供指導。國際標準化組織道路車輛技術委員會（ISOTC22）信息安全工作組組織制定了《道路車輛-網(wǎng)絡安全工程》（ISO/SAE 21434）等國際標準。我國相關法律，如《中華人民共和國網(wǎng)絡安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》等相繼出臺，為車路協(xié)同相關主體的安全工作提供根本遵循[16]。

綜上，面向車路協(xié)同場景的隱私計算、人工智能的應用，各方均進行了探索并取得了一定的成果，但是目前尚缺少真正落地的、系統(tǒng)性的解決方案。

2 車路協(xié)同可信AI平臺的設計與實現(xiàn)

對于車路協(xié)同場景的數(shù)據(jù)安全、模型安全、推理安全等問題，需要構建安全可信的AI平臺來解決。同時，由于車路協(xié)同的應用特性，車載子系統(tǒng)和路側子系統(tǒng)分布式協(xié)同，且均需實時獲取感知信息及計算結果，對分布式和實時性要求較高，本文將中興飛流信息科技有限公司（以下簡稱中興飛流）基于數(shù)據(jù)流理論自主研發(fā)的實時計算中間件YITA作為分布式計算引擎，結合隱私計算、人工智能、區(qū)塊鏈等技術，設計并實現(xiàn)了面向車路協(xié)同場景的可信AI平臺——YITA-TFL平臺。

2.1 相關知識

2.1.1 車路協(xié)同

車路協(xié)同系統(tǒng)是指一種通過人、車、路、云信息交互，實現(xiàn)車輛與基礎設施之間、車輛與車輛之間、車輛與人之間智能協(xié)同與配合的智能運輸系統(tǒng)體系。車路協(xié)同系統(tǒng)由4個主要部分構成[17]：出行者子系統(tǒng)、車載子系統(tǒng)、路側子系統(tǒng)及云控中心子系統(tǒng)，其系統(tǒng)構成如圖1所示。

圖1 車路協(xié)同系統(tǒng)構成示意圖

車路協(xié)同系統(tǒng)也被稱為合作式智能運輸系統(tǒng)，各組成部分簡要介紹如下。

● 出行者子系統(tǒng)：由出行者攜帶的各類信息終端或其他信息處理設備構成。

● 車載子系統(tǒng)：一般包括OBU（on board unit）設備，也可以包括車載的其他計算控制模塊、車載網(wǎng)關、路由器等。車載子系統(tǒng)可以參與YITA-TFL平臺的計算。

● 路側子系統(tǒng)：包括路側直連通信設施（如路側單元（road side unit，RSU））、路側感知設施、路側計算設施（如多接入邊緣計算（multi-access edge computing，MEC）等），也包括用于通信與定位、交通安全與管理的各類設備設施。路側計算設施可以參與YITA-TFL平臺的計算。

● 云控中心子系統(tǒng)：包括云控平臺、中心交換、服務組件節(jié)點、服務路由器和中心接入節(jié)點等，具備網(wǎng)絡管理、業(yè)務支撐和服務等能力。云控平臺對路側子系統(tǒng)進行管理，包括協(xié)同訓練、協(xié)同推理、模型發(fā)布等。

各模塊之間均定義了通信協(xié)議，例如C-V2X（cellular-vehicle to everything）是基于3GPP全球統(tǒng)一標準的通信技術，包括車輛與車輛之間、車輛與人之間、車輛與路側設施之間、車輛與網(wǎng)絡之間的通信；專用短程通信（dedicated short range communications，DSRC）協(xié)議用于收費設施與車輛之間的通信；V2P（vehicle to person）協(xié)議用于車載單元與行人之間的通信。

除云控中心子系統(tǒng)的服務器設備外，車路協(xié)同系統(tǒng)的其他子系統(tǒng)由算力較低的終端設備和邊緣設備構成，無法承擔復雜計算，這些子系統(tǒng)對YITA-TFL平臺有特定的要求。

2.1.2 聯(lián)邦學習

隱私計算主要是指以可信執(zhí)行環(huán)境、多方安全計算（secure multi-party computation，MPC）和聯(lián)邦學習為代表的可以保護數(shù)據(jù)不外泄的一類數(shù)據(jù)分析計算技術[18]。本文設計的YITA-TFL平臺基于聯(lián)邦學習技術實現(xiàn)分布式學習功能。聯(lián)邦學習是由谷歌在2016年提出的分布式機器學習框架[19]，其核心思想是“數(shù)據(jù)不動模型動，數(shù)據(jù)可用不可見”，根據(jù)參與方數(shù)據(jù)集的特征空間和樣本空間的分布，聯(lián)邦學習可被分為橫向聯(lián)邦學習、縱向聯(lián)邦學習，以及聯(lián)邦遷移學習[20]。

2.1.3 差分隱私

差分隱私是一種被廣泛認可的隱私保護技術，最早由微軟提出[21]。(ε,δ)差分隱私定義如下[22]。

一個隨機算法M：D→R滿足(ε,δ)-差分隱私，對于任意僅相差一條數(shù)據(jù)的相鄰數(shù)據(jù)集d、d′∈D和任意輸出S?R，滿足如下條件：

其中，M(d)和M(d′)分別表示算法M在數(shù)據(jù)集d、d′上的輸出；P表示算法的輸出概率；ε為隱私預算，用于控制隱私保護級別，ε越小，提供的隱私保護能力越強；δ為另一個隱私預算，表示可容忍的隱私預算超出ε的概率。如果δ=0，就稱M滿足ε-差分隱私。

差分隱私可以基于輸入擾動、中間參數(shù)擾動、目標擾動及輸出擾動等方式用于模型訓練和模型推理等階段的隱私保護，例如，模型訓練過程中可以應用差分隱私技術給梯度參數(shù)、權重參數(shù)、目標函數(shù)添加噪聲擾動，從而實現(xiàn)對模型或訓練數(shù)據(jù)的隱私保護。

分析差分隱私的原理發(fā)現(xiàn)，其算法相對簡單，系統(tǒng)開銷較小，適用于低算力設備參與者較多的車路協(xié)同場景。

2.2 YITA-TFL平臺架構設計

本節(jié)簡要介紹YITA-TFL平臺架構及各模塊實現(xiàn)的核心功能，其系統(tǒng)架構如圖2所示。

圖2 YITA-TFL平臺的系統(tǒng)架構

YITA-TFL平臺各模塊介紹如下。

● 分布式引擎YITA：YITA是流批一體的分布式計算引擎，為YITA-TFL平臺提供統(tǒng)一的分布式計算環(huán)境以及資源管理功能。

● 隱私計算工具：為YITA-TFL平臺提供各種加密隱私保護機制，包括各類加密算法以及區(qū)塊鏈組件，為平臺實現(xiàn)數(shù)據(jù)管理安全、模型訓練安全、模型發(fā)布安全以及模型推理安全提供保護技術。

● 聯(lián)邦學習：為YITA-TFL平臺提供安全的分布式訓練支撐，在移動端、邊緣云以及中心云間建立共享模型，實現(xiàn)訓練、推理過程中數(shù)據(jù)的“可用不可見”。

● 可信數(shù)據(jù)管理：為YITA-TFL平臺模型訓練與推理提供安全的數(shù)據(jù)基礎，提供數(shù)據(jù)集管理、隱私保護策略（如數(shù)據(jù)加密、防篡改等）、數(shù)據(jù)質量管理（如異常數(shù)據(jù)檢測、偏見消除等）、數(shù)據(jù)標注等功能。

● 可信開發(fā)環(huán)境：包括可信模型訓練與可信模型管理兩部分。可信模型訓練提供可視化建模、模型隱私訓練（如基于差分隱私的訓練、模型分割發(fā)布等）、模型壓縮、模型優(yōu)化，支持對模型的自動化減枝、編譯優(yōu)化等功能，從而提升模型推理階段的性能，或者為邊緣端提供輕量化模型等；可信模型管理提供模型版權管理（如在模型中增加水印）、模型發(fā)布、模型部署以及模型市場等功能。

● 可信協(xié)同推理：為YITA-TFL平臺提供安全的模型執(zhí)行機制。推理隱私保護采用分割推理、差分隱私等技術保障模型在推理階段的安全運行；授權管理配合版權管理實現(xiàn)對模型的知識產(chǎn)權保護；服務管理提供模型運行狀態(tài)跟蹤與檢測等功能。

YITA-TFL平臺綜合應用隱私計算技術、區(qū)塊鏈技術和人工智能技術，涵蓋數(shù)據(jù)管理、模型訓練、模型管理以及模型推理的全流程，為車路協(xié)同領域構建安全的人工智能應用提供了安全的開發(fā)環(huán)境和執(zhí)行環(huán)境。同時，YITA-TFL平臺可被應用到其他重視數(shù)據(jù)及模型安全的領域。

2.3 YITA-TFL平臺實現(xiàn)

本節(jié)重點介紹聯(lián)邦學習、可信數(shù)據(jù)管理、可信模型訓練、可信模型管理以及可信協(xié)同推理5個子模塊關鍵功能的實現(xiàn)方法和技術。

2.3.1 聯(lián)邦學習

聯(lián)邦學習是YITA-TFL平臺可信模型訓練的支撐模塊，包括服務端和客戶端兩部分。其架構如圖3所示。

圖3 聯(lián)邦學習模塊架構

聯(lián)邦學習子平臺相關模塊介紹如下。

（1）聯(lián)邦學習子平臺服務端

服務端包括支撐與管理模塊、聯(lián)邦聚合模塊、安全能力模塊、傳輸交換模塊及作業(yè)實例模塊。各模塊功能介紹如下。

● 支撐與管理模塊提供集群管理、資源配置等應用程序接口（application programming interface，API），作業(yè)計劃，客戶端管理與選擇，以及路由轉發(fā)服務等功能。

● 聯(lián)邦聚合模塊提供Fe d P rox、FedAvg、SCAFFOLD等聚合算法，保證不同場景下的收斂速率和收斂性。同時，支持用戶擴展自定義的聚合優(yōu)化算法。

● 安全能力模塊提供多種隱私算法，包括差分隱私、密鑰共享等。

● 傳輸交換模塊支持多種數(shù)據(jù)傳輸和調用模式，如超文本傳送協(xié)議（hypertext transfer protocol，HTTP）、谷歌遠程過程調用（G o o g l e re mot e procedure call，gRPC）等。

● 作業(yè)實例模塊根據(jù)客戶端提交的訓練作業(yè)動態(tài)創(chuàng)建實例，協(xié)同客戶端和服務端完成聯(lián)邦學習，包括作業(yè)啟動、創(chuàng)建訓練任務、聯(lián)邦聚合等。

（2）聯(lián)邦學習子平臺客戶端

客戶端各模塊同服務端的模塊基本一一對應，客戶端和服務端協(xié)作完成聯(lián)邦學習過程?？蛻舳酥С值纳疃葘W習框架包括TensorFlow、PyTorch、Caffe以及PaddlePaddle等。

在聯(lián)邦學習過程中，客戶端負責每輪訓練任務的創(chuàng)建及本地訓練執(zhí)行、每輪訓練參數(shù)的上報以及聚合后數(shù)據(jù)的獲取等。

在隱私安全的前提下，客戶端與服務端協(xié)同實現(xiàn)高效、安全、易用的聯(lián)邦學習過程。

2.3.2 可信數(shù)據(jù)管理

數(shù)據(jù)是AI的基礎，為AI提供訓練資源，推動AI的快速發(fā)展。數(shù)據(jù)是核心資產(chǎn)，在AI領域的競爭中舉足輕重。車路協(xié)同系統(tǒng)運行過程中產(chǎn)生大量的隱私數(shù)據(jù)，如身份信息、位置信息、軌跡信息等，數(shù)據(jù)安全尤其重要。

數(shù)據(jù)隱私保護是應用AI技術首先需要考慮的問題，可信數(shù)據(jù)管理在數(shù)據(jù)收集階段就實現(xiàn)了數(shù)據(jù)隱私保護，其功能架構如圖4所示。

圖4 可信數(shù)據(jù)管理功能架構

（1）數(shù)據(jù)集管理

平臺支持各類數(shù)據(jù)采集，包括實時消息、日志、文件、時序數(shù)據(jù)、數(shù)據(jù)庫以及視頻和圖片等，并支持數(shù)據(jù)本地存儲或分布式存儲。

（2）數(shù)據(jù)標注

平臺支持對數(shù)據(jù)的半自動化標注，支持文本、語音、視頻、結構化數(shù)據(jù)等多種類型的數(shù)據(jù)。

（3）數(shù)據(jù)質量管理

平臺提供完備的數(shù)據(jù)質量管理，包括數(shù)據(jù)標準、規(guī)則管理、依據(jù)數(shù)據(jù)標準對數(shù)據(jù)進行質量檢查并形成數(shù)據(jù)質量報告。同時，還提供異常數(shù)據(jù)檢查，包括分布檢測、偏見檢測、活體檢測等。毒化數(shù)據(jù)危害較大，平臺提供如下方法消除毒化數(shù)據(jù)。

● 數(shù)據(jù)清洗處理：通過異常樣本檢測、合理數(shù)據(jù)采樣等數(shù)據(jù)預處理技術消除惡意樣本，提升數(shù)據(jù)分布合理性；采用平滑去噪等數(shù)據(jù)預處理技術降低異常樣本的影響。

● 魯棒性算法：通過魯棒性的聚合算法，如修整均值（trimmed mean，TRIM）、中值聚合、拒絕負面影響（reject on negative impact，RONI）等，降低惡意梯度數(shù)據(jù)的影響，提高算法魯棒性。

● 數(shù)據(jù)凈化法：借鑒參考文獻[23-24]等提出的方法，凈化因攻擊而中毒的數(shù)據(jù)，從而達到移除中毒數(shù)據(jù)或其他異常數(shù)據(jù)的目的。

（4）隱私保護策略

平臺提供豐富的隱私保護策略，其實現(xiàn)介紹如下。

● 訪問認證鑒權模塊實現(xiàn)用戶管理、安全認證和服務授權。對用戶的登錄信息進行合法性鑒定，避免出現(xiàn)非法用戶登錄系統(tǒng)的情況，同時根據(jù)用戶角色限定用戶功能權限，控制訪問數(shù)據(jù)和參與聯(lián)邦計算的范圍，防御惡意攻擊者。

● 日志審計與數(shù)據(jù)溯源模塊監(jiān)控所有與數(shù)據(jù)相關的事務，包括會話、用戶信息以及數(shù)據(jù)的增、刪、改、查、用等行為，提供完備的訪問審計溯源功能。

● 平臺支持動態(tài)脫敏，對關鍵隱私信息自動脫敏。平臺還支持多種加密算法，如DES加密、同態(tài)加密等。對于統(tǒng)計信息等數(shù)據(jù)，系統(tǒng)提供差分隱私保護，支持噪聲擾動、隨機響應等機制。

基于上述數(shù)據(jù)管理與隱私技術的應用，在較少增加計算和通信負擔的情況下，實現(xiàn)對數(shù)據(jù)的持續(xù)保護，夯實車路協(xié)同場景下安全應用人工智能技術的基礎。

2.3.3 可信模型訓練

本節(jié)主要介紹在模型訓練階段，可信模型訓練模塊如何實現(xiàn)對數(shù)據(jù)和模型的隱私保護。

一般來說，在車路協(xié)同場景下，處于模型訓練階段的系統(tǒng)面臨以下威脅。

威脅1：潛在模型異常。攻擊方通過數(shù)據(jù)中毒攻擊并破壞訓練數(shù)據(jù)集合的完整性，或者通過模型中毒攻擊破壞學習過程的完整性，從而導致模型異常[25]。

威脅2：潛在隱私泄露。云、邊、端在訓練階段協(xié)同時，雖然不傳輸原始數(shù)據(jù)，但涉及參數(shù)的上傳和下發(fā)，通過模型逆向攻擊或模型提取攻擊，利用模型參數(shù)依然可以推測出本地設備數(shù)據(jù)的部分隱私信息。

針對威脅1，第2.3.2節(jié)給出了部分防御方法。除此之外，在訓練階段，針對數(shù)據(jù)投毒，系統(tǒng)還提供優(yōu)化客戶端選擇的方法進行對抗，例如針對每一輪訓練，系統(tǒng)按規(guī)則重新選擇參與訓練的客戶端，降低惡意攻擊的影響；優(yōu)化聯(lián)邦激勵機制，提升可信客戶端的選擇權重等。

防御威脅2的核心思想是利用隱私安全算法，將傳輸?shù)闹虚g數(shù)據(jù)加密為密文數(shù)據(jù)，避免獲取參與方的原始數(shù)據(jù)。系統(tǒng)目前支持兩種隱私安全算法：基于差分隱私的中間參數(shù)擾動隱私保護算法和基于密鑰共享的安全聚合算法。下面介紹其具體實現(xiàn)。

（1）基于差分隱私的中間參數(shù)擾動隱私保護算法實現(xiàn)

采用差分隱私算法在中間數(shù)據(jù)中加入特定分布的噪聲（如高斯噪聲、拉普拉斯噪聲），避免通過數(shù)據(jù)差異分析等方式恢復原始數(shù)據(jù)，從而達到保護隱私安全的目的。參與方客戶端利用本地數(shù)據(jù)進行訓練，在梯度（對應圖5（a））或Δw（對應圖5（b））中加入噪聲，客戶端上報攜帶噪聲的中間數(shù)據(jù)，并直接在中間數(shù)據(jù)上聚合得到新模型[26]。DP-Gradient算法在梯度中添加噪聲，客戶端本地訓練的每次梯度更新都需要添加噪聲；DP-Weight算法在Δw中加噪聲，客戶端在每輪聯(lián)邦訓練中只需要針對Δw添加一次噪聲即可。兩種算法的收斂效率和性能基本一樣，但DP-Weight算法的客戶端計算開銷相對較小。

圖5 差分隱私算法實現(xiàn)框架

（2）基于密鑰共享的安全聚合算法實現(xiàn)

通過密鑰共享將本地密鑰分片發(fā)送給各參與方，在服務端聯(lián)邦聚合過程中，每個客戶端上報的參數(shù)采用本地掩碼分片加密，聚合過程中掩碼被抵消，從而得到聚合結果。訓練過程中參與方無法知曉任意一個客戶端的原始數(shù)據(jù)，從而達到保護隱私的目的。算法特征總結如下：

● 模型在密文狀態(tài)下聚合，具有密碼級的安全保證，與差分隱私相比，具有更高的安全性；

● 采用掩碼加密，訓練過程中服務端通過密鑰共享將掩碼分片廣播到各參與方，傳輸數(shù)據(jù)量只與參與方客戶端的數(shù)量相關，與模型大小無關；

● 模型權重等原始數(shù)據(jù)不需要在參與方之間傳遞，遵從聯(lián)邦協(xié)議；

● 雙重掩碼機制允許客戶端在訓練過程中掉線，適用于客戶端穩(wěn)定性差的聯(lián)邦訓練場景；

● 通過分層聚合解決了安全聚合隨參與方數(shù)量增加，計算和傳輸開銷快速上升的問題，方案具備較好的彈性。

除模型隱私訓練功能外，可信模型訓練模塊還提供可視化建模、模型壓縮和模型優(yōu)化等功能，共同實現(xiàn)安全地構建模型、訓練模型和編譯模型的目的。

2.3.4 可信模型管理

模型管理是模型使用過程中非常重要的環(huán)節(jié)，但是當前對這一部分的研究相對較少。本文設計的可信模型管理包括模型版權管理、模型發(fā)布、模型部署以及模型市場等功能。

（1）模型版權管理

算法模型是研究人員通過數(shù)月努力設計訓練出來的，是一種非常有價值的知識產(chǎn)權資產(chǎn)，需要做好算法模型的知識產(chǎn)權管理工作。模型版權管理主要包括兩部分功能：模型加密和模型水印。

①模型加密

為了防止模型被他人挪用、惡意復制，在模型部署前需要對模型進行加密，模型部署后，在推理階段的運行時模塊加載模型時，根據(jù)加密機制進行反向解密即可。YITA-TFL平臺采用OpenSSL中的高級加密標準（advanced encryption standard，AES）實現(xiàn)模型加密，AES是美國聯(lián)邦政府采用的一種區(qū)塊加密標準，是目前對稱密鑰加密中非常流行的算法之一。

②模型水印

模型水印的思想來自于數(shù)字水印技術，人工智能模型水印最早由Uchida Y等人[27]提出。目前主要的人工智能模型水印算法包括后門植入水印、利用對抗樣本構建水印、利用投影矩陣構建水印、利用聚類將圖片按輸出激活分類編碼、利用對抗網(wǎng)絡訓練等[28]。綜合分析各類算法的優(yōu)缺點，YITA-TFL平臺采用后門植入水印為平臺算法提供版權保護。其算法框架如圖6所示[29]。

圖6 后門植入水印算法框架

● 水印植入：模型持有者提取一部分數(shù)據(jù)作為觸發(fā)集，可以在圖片上加上特定的噪聲或者標志，使得觸發(fā)集數(shù)據(jù)中帶有版權信息，然后輸入目標模型進行訓練，特別的是，將觸發(fā)集圖片對應的輸出標記為特定輸出，比如在車路協(xié)同場景中，將觸發(fā)集中的轎車標記為自行車，對目標模型進行有監(jiān)督的訓練，使模型學習到這種特定的噪聲或標志的特征，則水印植入成功。

● 水印驗證：向模型輸入觸發(fā)集的圖片以及原圖片，當模型的輸出為指定的特殊標簽以及原本的標簽時，水印驗證成功，否則失敗。

（2）模型發(fā)布

平臺支持兩種模型發(fā)布：模型完整發(fā)布和模型分割發(fā)布。因為車載終端計算資源有限，難以執(zhí)行完整模型，所以對模型進行分割，比如把特征提取等算力需求較小的網(wǎng)絡放在車載終端上執(zhí)行，把算力需求較大的部分算法放在邊緣服務器上執(zhí)行，提升車路協(xié)同場景的整體模型推理效率。模型分割發(fā)布時，需要采用差分隱私對兩方推理過程中傳遞的中間結果進行加密，確保數(shù)據(jù)隱私安全。

（3）模型部署

平臺支持將模型遠程部署到邊緣設備和終端設備，支持實時監(jiān)測模型下發(fā)及部署的進度，支持模型文件下發(fā)斷點續(xù)傳。

（4）模型市場

平臺提供模型的交易服務，詳細功能描述如下。

● 模板集市：用于用戶間的模型交換。用戶可以將自己訓練好的模型發(fā)布到模板集市中，也可以從模板集市中下載模型，用于訓練和推理。

● 數(shù)據(jù)集市：用戶可以下載數(shù)據(jù)集市中的數(shù)據(jù)。

● 能力集市：展示用戶發(fā)布成功的模型能力，并提供下載。

2.3.5 可信協(xié)同推理

推理階段是應用模型解決實際問題的階段，是最重要的執(zhí)行階段，包括授權管理、服務管理及推理隱私保護等功能。

（1）授權管理

結合模型加密和模型水印等功能，保證模型的知識產(chǎn)權。

（2）服務管理

主要實現(xiàn)模型的資源監(jiān)控、彈性擴容、流量控制、灰度升級等功能。

（3）推理隱私保護

推理階段對模型的攻擊通常被稱為推理攻擊，一般不會破壞目標模型，主要是影響模型的輸出結果或者通過反卷積網(wǎng)絡等技術獲取原始數(shù)據(jù)，從而引起數(shù)據(jù)泄露。后一種情況對分割發(fā)布的模型風險較大。本節(jié)簡要介紹YITA-TFL平臺對后一種情況的防御方式。

分割發(fā)布的模型一般由終端設備和邊緣服務器協(xié)同推理，終端側執(zhí)行完整模型中算力消耗較小的部分，如特征提取等；服務側執(zhí)行完整模型中算力需求較大的部分。其算法過程如圖7所示。

圖7 協(xié)同推斷場景下基于差分隱私的中間結果隱私保護算法框架

算法核心是對終端設備的輸入數(shù)據(jù)增加輸入擾動，對其輸出的中間結果增加輸出擾動。輸入擾動和輸出擾動均采用差分隱私算法生成。

在推理過程增加擾動在一定程度上會影響模型推理結果的準確率，如果擾動參數(shù)值等設置不合理，甚至會影響模型的可用性。不過，不同模型的合理擾動參數(shù)值不同，需要通過實驗確定擾動參數(shù)的合理取值范圍，保證模型準確率和隱私保護之間的平衡。

3 應用案例

YITA-TFL平臺已成功應用于多個車路協(xié)同及高速公路視頻分析項目，某省高速公路的車路協(xié)同系統(tǒng)架構如圖8所示。YITA-TFL平臺和YITA大數(shù)據(jù)平臺協(xié)同，在項目中發(fā)揮核心作用，YITA-TFL平臺支撐團隊快速構建面向智能終端、路側設備和云控平臺等多方參與的安全人工智能應用體系，從數(shù)據(jù)采集、數(shù)據(jù)發(fā)布、模型在線訓練、模型管理、模型發(fā)布到在線推理，保證數(shù)據(jù)和模型的全流程隱私和安全。該項目已接入超過500臺智能終端和路側設備，運行數(shù)十個深度學習模型和機器學習模型，為高速公路安全生產(chǎn)帶來顯著效益。

圖8 某省高速公路的車路協(xié)同系統(tǒng)架構

4 結束語

近年來，以大數(shù)據(jù)、人工智能以及5G為代表的信息技術推動車路協(xié)同的快速發(fā)展，人們在不知不覺中已經(jīng)成為車路協(xié)同系統(tǒng)中的一員。上述技術為人們的生活帶來極大的便利，然而車路協(xié)同場景中的隱私泄露風險也給人們帶來巨大的威脅。

本文介紹了車路協(xié)同場景的特點，分析了該場景下隱私計算、人工智能等技術的研究進展并進行總結，設計并實現(xiàn)了YITATFL平臺，并在交通行業(yè)的車路協(xié)同及視頻分析場景中落地應用。該平臺不僅適用于車路協(xié)同場景，同樣適用于其他重視數(shù)據(jù)和模型隱私的場景。未來的工作中，筆者團隊將不斷融合新技術，持續(xù)迭代優(yōu)化，進一步提升平臺的性能和普適性。