自治车辆的隐私保护、可验证和容错的边缘学习

论文来源: Privacy-Preserving, Verifiable and Fault-Tolerant Edge Learning for Autonomous Vehicles.

1 引言

移动边缘计算（MEC）是一种新兴技术，可以将基于云的计算服务转换为基于边缘的服务。自主车辆网络（AVNET）作为MEC的最有希望的应用之一，可以采用边缘学习和通信技术，从而提高了自主车辆（AV）的安全性。本文着重于AVNET的边缘学习，其中网络边缘的AV以分布式的方式共享模型参数，而不是数据，并且聚合器（例如基站）从AV聚合参数，最后获得训练后的模型。尽管前景广阔，但在现有边缘学习案例中，安全性问题（如数据泄漏，计算完整性入侵和故障连接）并未得到充分考虑。目前尚缺乏有效的方案来同时解决上述安全问题。因此，本文提出了一种用于AVNET中边缘学习的隐私保护，可验证的且容错的方案SecEL。首先，利用基于二元多项式的秘密共享的原始方法通过一次填充来加密模型参数。其次，使用基于消息身份认证码的同态身份验证器来支持可验证的计算。

2 AVNET下的边缘计算与学习

AVNET中的边缘学习是MEC的先进技术之一，其中AVs能够协同学习一个高精度的机器学习模型，用于预测道路环境，提高车辆安全性。这种协作模式使个体AV能够获得一个精确的可接受的模型，尽管个体在本地拥有有限的传感数据。在AVNET中的一个学习的实际例子是特斯拉（Tesla）的机器学习模型。在边缘学习中，随着流行的基于边缘计算的网络架构的出现，出现了多个AVs作为协作学习者，一个远程服务器作为参数服务器。自动驾驶汽车共享根据局部传感数据训练的模型参数。服务器通过聚合来自多个AVs的共享模型参数和更新模型参数来保持一个通用的机器学习模型进行训练。单个AVs使用更新的参数在相同的本地传感数据上持续训练，直到达到预先定义的损耗阈值。

3 边缘学习中的隐私和安全问题

成员推理和重构攻击: 共享模型参数(而非数据)无法保护数据隐私，原因是流行的成员推理攻击（membership inference）和重构攻击对共享模型参数的攻击。这些攻击能够推断特定的车辆行为信息，这些信息隐含在局部传感数据中，从而引起隐私问题。现有的解决方案采用传统的基于公钥的加密方法来保证保护隐私的联邦学习，但没有考虑MEC设备的特点，如资源有限、带宽不足和动态AVNET。
计算完整性攻击:远程服务器上的聚合器可能受到各种针对计算完整性的攻击, 由此产生一个被敌手操纵的机器学习模型。聚合器在聚合某些不合法的边缘模型参数后，模型的准确性可能会受到损害。因此，在隐私保护方案中提供计算验证是边缘学习的必然选择。此外，考虑到AVNET的轻量需求，所提出的方案同时得具备高效率。
故障连接:由于AVs通常具有较高的可移动性，因此MEC节点与远程服务器之间的通信失败可能会导致计算失败。具体来说，一些AV可能会失去它的秘钥，使得它无法从聚合器获得返回的学习结果。从这一观点来看，一个建议的安全方案应该特别容忍故障连接问题。

4 软件定义网络（SDN）

由于MEC最近通过3GPP促进边缘学习的标准化，因此，本文具体关注MEC的支持软件定义网络（SDN）的网络体系结构。SDN被广泛采用并启用其资源管理功能。启用组装SDN控制模块的SDN的服务器可以选择最合适的技术，以确保最大程度的连接可靠性。最重要的是，启用SDN的服务器可以在全网范围内查看通信AV的连接状态，这意味着它可以检测到发生故障连接的事件。

5 系统模型

借助边缘节点，AVs协作学习用于自主导航的车辆环境。通过边缘学习，AV可以间接共享传感数据，即在本地传感数据上训练的共享模型参数，以提高预测准确性。具体而言，边缘节点可以是各种基站（BS），包括eNB和RSU / Wi-Fi AP。AVs能够通过不同的通信技术（例如专用的短距离通信（DSRC）和White-Fi与最近的BS连接。V2I（车辆到基础设施）连接表示AV与BS之间的连接。V2V（车辆到车辆）连接表示车辆之间的连接。



假设每个AV由于感知能力的限制而具有小规模的感知数据，并且无法获得高精度的预测模型。因此，每个AV可以在本地感测数据上训练小规模模型。训练后，AV向中间节点发送中间梯度，以保留并更新公共训练模型。然后，AV从边缘节点获取最新的更新参数，以更新其本地模型。重复上述过程，直到训练损失足够小为止。为了便于呈现，将这些AV和边缘节点定义为协作组，并且它们是参与者。组外的实体分别是局外人。

在这种场景下，边缘节点中的SDN控制模块可以根据通信质量的不同要求，灵活而有效地为V2I链路分配网络资源。请注意，边缘节点的SDN控制模块在其通信范围内维护V2I和V2V链接的全局视图。因此，如果该AV移出所连接的AV的范围之外，则边缘节点可以知道AV的链路恶化。

6 系统架构设计

系统架构总共分为如下的五步。一轮指的是当AVs与边缘节点共享中间梯度并获得由边缘节点计算的聚合参数。当多辆AV上传自己的梯度信息或者模型参数的时候，为了防止因明文传输训练信息而造成的原始训练数据的推测攻击，考虑使用秘密分享技术为上传的梯度进行加入掩码噪声。主要思想是每个AV车在上传的梯度数据中加入秘密作为噪声，并将其秘密分成n份子秘密，然后将子秘密分享给周围的车辆，当边缘服务器收到之后，将其进行聚合，然后再将聚合结果发送回边缘AV，边缘AV收到聚合的梯度信息后再进行恢复秘密进行去噪。



- 初始化：初始化阶段每辆AV随机选取属于自己的掩码秘密和认证秘密。之后每辆AV将自己的掩码秘密和认证秘密分别进行使用秘密分享进行将其划分为n份，将子秘密共享给周围的车辆。利用秘密分享的（t,n）门限机制，其中的任意t份能够重组恢复出原始秘密。

- 加入掩码：AVs对中间梯度使用掩码秘密进行掩码处理，并利用认证秘密生成相应的消息认证码MAC。

- 聚合：在这个阶段，BS将接收到的密文聚集在一起。BS接收AVs密文并记录其标识符。如果一些AV密文提交失败，BS会在返回的结果中注明他的标识符，因为他们在这一轮没有贡献。基站BS上的聚合服务器能够通过收到的至少M份(<n)掩码信息，从而得到聚合的多个掩码秘密和以及聚合的认证秘密和。BS将聚合结果再返还给周边的AVs。

- 验证：每个AV验证BS返回的聚合结果的正确性。

- 解密：每个AVs进行秘密重组并进行去噪解密，最终利用去噪解密后的聚合梯度参数和来更新本地参数，然后开始下一轮。



7 小结

提出了一种名为SecEL的保护隐私，可验证和容错的方案，用于AVNET中的边缘学习。具体来说，SecEL将原始的基于二元多项式的秘密共享与同态身份验证器结合在一起。参与的AV的共享参数通过一次性填充得到保护，并分别标记有MAC，从而确保了数据隐私和可验证的计算。此外，SecEL允许诚实但失败的参与AV的秘密可以由其他活动参与者重建，这适用于异步AVNET环境。