Roulette：用于深度学习分类任务的语义隐私保护设备边缘协作推理框架

过去十年，深度学习（DL）和深度神经网络（DNN）如火如荼地进行。 深度学习分类器作为其最重要的分支之一，在计算机视觉、自然语言处理、机器人等领域表现出色[1, 2]。 近年来，在5G/6G等先进通信技术的推动下，人工智能物联网（AIoT）应用不断涌现，许多设备（如摄像头、机器人、车辆等）对实时深度学习分类服务有强烈需求[3]。

然而，设备资源有限阻碍了AIoT的广泛推广。 具体来说，深度学习模型的尺寸变得越来越大，计算量也越来越大，但终端设备通常受到资源限制，并且在其上执行的任务通常对延迟敏感（远程医疗、自动驾驶等），这需要大量的计算资源。计算资源[4]。 使资源受限设备上的实时 DNN 推理成为可能的一种有前途的方法是利用边缘计算原理的基于设备边缘的协作推理（协同推理）[5]。 为了进行协同推理，预训练的 DNN 被分为两部分：前端部分和后端部分。 设备在本地执行前端部分，然后将相应的中间表示卸载到附近的边缘服务器，边缘服务器通过 5G/6G 网络支持的高质量无线访问执行后端部分。 协同推理被广泛认为是分布式 DNN 任务处理系统的关键构建模块，并从执行速度加速和成本优化的角度进行了深入研究[6,7,8]。 然而，文献中仍然有两个关键问题尚不清楚。

一方面，当设备的本地数据和预训练DNN的原始数据集不是独立同分布（非独立同分布），并且训练样本数量有限时，模型精度会显着下降[9]。 一种直接的方法是服务器预先为每个分布准备一个模型。 此外，解决非独立同分布问题的两种更明智的方法是迁移学习[10, 11]和分割学习[12]。 然而，所有这些方法通常都需要一个独特的定制 DNN 模型或多个模型¹¹1A single user’s data may span multiple distributions, and different users may share the same distribution，这会带来较高的存储和计算成本以及较低的可扩展性。 因此，服务器预先为每个分布准备好模型，迁移学习和分割学习不能在不进行适配的情况下直接应用于资源受限的AIoT应用中。

另一方面，共同推理很容易受到隐私攻击，这可能导致重大信息泄露。 特别是，从设备卸载到边缘服务器的DNN中间表示实际上包含来自设备的数据的大量特征信息。 边缘服务器或者任何恶意攻击者截获中间表示后，在收到中间表示后，可以发起模型反转攻击（即实例恢复攻击）来重建原始数据[13,14,15]。 此外，还可以发起成员推理攻击[16, 17]来推断实例是否在训练数据集中。 事实上，许多国家和地区都制定了隐私保护相关法律，例如欧盟的《通用数据保护条例》（GDPR）。 因此，非常需要基于设备边缘的协同推理服务来解决关键的隐私问题。

传统基于密码学的隐私保护解决方案，如同态加密（HE）[18]、安全多方计算（SMC）[19]、可信执行环境（ TEE）[20]等，可以保证充分的隐私保护，但这些方案要么引入严重的计算延迟，要么需要特殊设备支持[21,22,23,24]. 因此，将它们应用到AIoT的许多应用场景中是昂贵且不切实际的。 此外，这些解决方案是任务无关的并且不知道这些位传达的含义或它们将如何使用。

为了防止或限制隐私泄露，最近有一些解决方案利用了轻量级隐私保护 DNN 推理。 他们大多数假设与DNN推理任务相关的主要信息被视为可以暴露的非敏感内容，但除此之外的额外信息被认为是私密的。 因此，这些工作的目标是在保留主要信息的同时最大限度地减少额外信息。 例如，给定人脸数据集和在该数据集上训练的性别分类器，这些工作将性别信息视为非敏感内容，而将额外信息（例如发型）视为私人信息。 为了实现这一目标，人们提出了不同类型的方法，例如动态噪声注入[25, 26]、对抗训练[27,28,29]。 这些解决方案是task-oblivious，即分类器的任务输出根本不受保护。 然而，这些输出预测本身通常是设备本地数据和下游任务处理的私人信息，这可能会带来严重的隐私泄露风险。 从深度学习分类任务的角度来看，我们将其称为语义隐私保护问题，因为对于许多应用场景，深度学习分类器的输入上下文可以是图像、视频或文本，其输出是代表关键语义的分类标签。含义（例如图像识别和物体检测）或相关语义设置下的动作/响应（例如基于视觉的无人机导航控制）。

受上述两个关键问题的推动，本文旨在回答以下关键问题： 我们能否设计一个面向任务的隐私保护协同推理框架，为深度学习分类器提供语义隐私并达到可接受的模型精度？

在本文中，我们提出轮盘赌²²2我们将所提出的框架命名为轮盘赌，因为我们随机打破了原始数据标签对应关系并在操作过程中注入噪声，并且不确定性原理类似于轮盘赌游戏，其中数字随机分布在圆圈周围，人工旋转是“嘈杂的”。，一种用于深度学习分类器的语义隐私保护协同推理框架。 具体来说，为了处理非独立同分布问题，我们以传统的分割学习为基础，并使用设备的本地数据集重新训练前端 DNN 参数。 通过这种方式，我们获得了一个特定于设备的前端DNN模型来防御由于非独立同分布而导致的精度下降，而不是使用预先训练的前端模型。 至于隐私问题，在本文中，除了输入数据之外，我们还将分类任务中设备上数据的真实情况视为我们应该保护的敏感语义隐私。 为此，与传统的分割学习将整个模型作为一个整体进行训练不同，我们将边缘服务器上的后端模型固定为确定性函数。 然后我们 训练前端 DNN 部分，使其能够将具有基本事实 $y$ 的输入映射到可以通过确定性函数分类的中间表示，即边缘服务器的后端部分，如下所示除了 $y$ 之外的另一个基本事实。 换句话说，前端模型被训练为不仅是特征提取器，而且是加密器。 为此，我们在训练之前用随机生成的映射替换原始数据标签对应关系，并在训练期间使用新的映射来计算分类损失（即交叉熵[30])。 同时，为了强制不同映射的中间表示的分布保持一致且不可区分，我们在损失函数中引入了一种新的距离最小化项，以最小化原始中间输出和新中间输出之间的差异。 此外，我们还利用差分隐私机制，为中间结果添加随机噪声。

这种分离学习在安全性方面的主要优势在于，它可以保护有关设备的特定模型架构和参数的信息免受边缘服务器和其他对手的攻击，这使得服务器很难推断出任何信息，从而保护了隐私，但原始的分割学习并没有提供任何隐私理论保证。 相反，在本文中，我们提供差异隐私保证，并在给定中间表示和局部模型参数的情况下证明地面实况推理攻击的难度。 值得注意的是，训练阶段是离线训练，前端部分的训练可以在设备所有者的私人服务器上进行，而不是直接在设备上进行，以加快进程。 在在线推理阶段，设备执行前端部分以生成加密的中间表示（而不是实际的中间表示）并将其卸载到边缘服务器。

为了更形象地说明我们的框架，我们给出一个推理阶段操作的例子，如图1所示。 考虑具有“狗”和“猫”类的多类分类任务。 假设一个数据实例具有真实标签“cat”。 将实例传递到重新训练的前端模型中以生成中间表示。 然后，服务器从中间表示中获取推理结果“狗”而不是“猫”，并将“狗”发送回设备。 然后设备查找预定义的映射表以获得真正的结果“猫”。

本文的主要贡献如下：

• •

  我们针对基于设备边缘的深度学习分类任务提出了一种新颖的语义隐私保护轮盘协同推理框架，该框架具有显着的优势。 首先，与非独立同分布下的朴素共同推理相比，该框架实现了更高的准确性。 其次，该框架允许针对本地数据异构性进行针对特定设备的前端模型重新训练，并且也有利于实际部署，使得边缘服务器可以仅托管通用后端模型来服务多个异构设备。

• •

  我们提出了一种双重隐私保护方法。 首先，我们将前端模型训练为不仅是特征提取器，而且是加密器，以向服务器隐藏真实情况并证明地面事实推理攻击的难度。 其次，我们提出了一种基于差分隐私的干扰本地数据转换的隐私保护机制，并分析了相应的隐私保障。

• •

  我们使用真实的数据集进行彻底的性能评估。 我们观察到，所提出的轮盘赌框架对隐私攻击的防御能力非常出色，例如，它可以有效地阻止模型反转和影子模型攻击，并且差分隐私预算相对较小。 同时，Roulette在非独立同分布的数据分布下也能取得良好的模型精度。

本文的其余部分安排如下。 首先，我们在第二节中给出一些基本知识。 2。 然后，我们在第 2 节中详细介绍了所提出的框架。 3。 在 F 节中进行安全性分析以正式量化轮盘的安全性。我们在第 2 节中展示评估。 5。 我们回顾了第 2 节中的相关工作。 6。 最后，我们在第二节中讨论并得出结论。 7。

DNN： DNN是由几种不同类型的层组成的参数化函数$f_{\theta }$，包括卷积层、池化层、全连接层等。 每层有多个神经元，神经元从前层获取加权张量并为下一层生成激活。 要应用 DNN，需要一个训练集 $𝒟={\{x^{(i)},y^{(i)}\}}_{i=1}^M$，并通过反向传播和随机梯度下降对 $𝒟$ 进行迭代训练，得到与 $𝒳$ 和 $𝒴$ 之间的反射相匹配的最优参数 ${\theta }^{\ast }$，即 ${\{x^{(i)}\}}_{i=0}^M$ 和 ${\{y^{(i)}\}}_{i=0}^M$ 、

其中$ℒ$是损失函数，衡量$f_{\theta }$的输出与真实值之间的偏差程度。 反向传播过程计算$ℒ$对于$\theta$中每个参数${\theta }_j$的偏导数，然后取批次的平均值，即$g_j=\frac{1}{S}{\mathrm{\Sigma }}_i{\nabla }_{{\theta }_j}ℒ(y^{(i)},f_{\theta }(x^{(i)}))$，其中 $S$ 是批量大小。 ${\theta }_j$的更新规则为：

其中 $\alpha$ 是学习率。 训练后，给定$x$，DNN可以产生推理结果$y=f_{{\theta }^{\ast }}(x)$。 关于DNN更详细的介绍，请参考[1,2,31]。

分割学习： 分割学习通过将 DNN 模型划分为设备和边缘服务器之间的两个连续块来实现分布式学习。 由于其效率和简单性，它引起了特别的兴趣[32]。 在分割学习中，设备拥有模型的第一个分区$f_{{\theta }_1}$，而边缘服务器维护剩余的神经网络$f_{{\theta }_2}$。 设备模型的架构和超参数由阶段前的设备决定。 特别是，他们就深度学习模型的合适划分达成一致，并将必要的信息发送到边缘服务器。 边缘服务器没有决策权，会忽略设备[33]上部署的第一个分区。 在分割学习中，训练是通过垂直分布的反向传播来执行的。 设备模型参数的升级基于边缘服务器发送的偏导数，如图2所示。 在监督损失函数的情况下，分割学习要求设备与边缘服务器共享标签。 为了防止标签泄漏，还可以在设备侧进行损失计算。 边缘服务器将$f_{{\theta }_2}$的输出（logits）发送给设备，设备计算损失并上传到边缘服务器。

协同推理：作为快速边缘推理的重要解决方案，协同推理已得到广泛研究。 基本思想是将 DNN 划分为多个分区，每个部分分配给不同的参与者。 在协同推理中，预训练的 DNN $f_{\theta }$ 被划分为 $n$ 个分区 $f_{{\theta }_1}\circ f_{{\theta }_2}\circ \mathrm{\cdots }\circ f_{{\theta }_n}$ 并交付给 $n$ 不同的参与者。 给定输入$x$，推理结果为$y=f_{{\theta }_n}(\mathrm{\dots }{f}_{{\theta }_2}(f_{{\theta }_1}(x))\mathrm{\dots })=f_{\theta }(x)$。 不失一般性，本文仅研究$n=2$的情况。 分割学习与协同推理的关系如图2所示。

在隐私保护协同推理的文献中，有些坚持假设整个模型已经给定，隐私增强不能修改主要任务的预训练DNN的结构和固定参数，这被称为推理-as -a-service (INFaas) [34, 35, 36, 25, 26]。 相反，其他人则重新设计满足$g_{\psi }(x)\approx f_{\theta }(x)$的全新形式的模型$g_{\psi }$进行共同推理以保护$x$的隐私，例如MixCon [37]、DataMix [38]、复杂值网络 [39]。 在我们的框架中，我们采用半半策略，即边缘服务器使用固定的预训练模型，而设备重新训练新模型，而不是使用原始的预训练模型。 我们的情况符合INFaas的模式，但在设备上重新训练分区，充分发挥可扩展性。

差分隐私是为隐私保护数据分析而定义的数学框架，旨在为敏感数据提供隐私保证，被视为严格隐私的标准概念[40]。 $ϵ$-差分隐私的正式定义如下。

这里，参数$ϵ$是权衡算法$ℳ$输出的效用和隐私的隐私预算。 $ϵ$越小，表示隐私保护越强。 根据这个定义，差分隐私算法可以提供关于一组数据项的聚合表示，而不会泄漏任何数据项的信息。

为了实现差分隐私，常用的技术是将拉普拉斯噪声注入确定性函数$f$的输出：

其中$\mathrm{\Delta }f$是$f$的全局敏感度，它被定义为两个相邻输入的函数结果之间的最大$L_1$距离。 并且，$Lap(\frac{\mathrm{\Delta }f}{ϵ})$是从拉普拉斯分布中采样的随机变量，尺度为$\frac{\mathrm{\Delta }f}{ϵ}$。

差分隐私具有不受后处理影响的极好特性[41]，这意味着任何后处理算法都不会导致额外的隐私泄露。

共同推理的重大挑战之一是非独立同分布。 本地数据和原始训练数据之间的差异，这会降低模型的准确性。 文献中存在两种非独立同分布问题，标签倾斜和属性分布倾斜[9]。 标签倾斜意味着标签分布与原始训练数据集不同。 第二种是属性分布倾斜。 属性分布偏差是指具有相同标签的数据样本的属性不同。 例如，标准的 MNIST [42] 和 SVHN [43] 数据集都是标记为 0-9 的“数字”，但 MNIST 中的数据样本清晰简单，样本SVHN 中伴随着更多的干扰、噪声和旋转。 在本文中，我们将通过网络的本地再训练部分来应对这一挑战。

在我们的模型中，有两方：设备和边缘服务器。 为了实现分割学习和协同推理，设备必须上传通过部署在其上的 DNN 生成的中间表示以及学习任务的损失值。 在我们的设置中，服务器是一个诚实但好奇的对手。 我们假设服务器不会操纵和劫持设备 DNN 模型的学习过程[32]。 然而，对手会拦截中间表示并执行任何攻击，例如实例恢复攻击 [13, 14]、成员推理攻击 [16, 17] 和属性推理攻击[44]。

首先，我们介绍一下该框架的一些必要的符号。 令 $N$ 类分类任务的标签（基本事实）范围为 ${𝒩}_g=\{0,1,\mathrm{\dots },N-1\}$。 考虑预训练的 $N$ 类分类 DNN 模型 $M_{{\psi }^{\ast }}:{ℝ}^p\to {𝒩}_g$，其中 $p$ 是扁平输入大小，${\psi }^{\ast }$ 是参数完全确定函数的模型。 值得注意的是，$N$类分类DNN $y=M_{{\psi }^{\ast }}(x)$的实际输出是一个$N$维one-hot向量，即$y\in {ℝ}^N$，但为了方便起见，我们使用标量指示器来表示。 边缘服务器与设备协商将$M_{{\psi }^{\ast }}$划分为$M_{\psi }^{\ast }=f_{{\psi }^{\ast }}\circ h_{{\psi }^{\ast }}$、$f_{{\psi }^{\ast }}:{ℝ}^p\to {ℝ}^o$、$h_{{\psi }^{\ast }}:{ℝ}^o\to {𝒩}_g$并部署$h_{{\psi }^{\ast }}$在边缘服务器上，其中 $o$ 是中间表示的展平维度。 值得注意的是，设备分区的参数是训练和更新的，而边缘服务器分区始终保持不变。 由于分区完成后$M_{{\psi }^{\ast }}$不会发生变化，为简单起见，将$h_{{\psi }^{\ast }}$记为$h^{\ast }$,$f_{{\psi }^{\ast }}$记为$f^{\ast }$ 以及本文的其余部分。 设备重新设计了一个模型$f_{\theta }:{ℝ}^p\to {ℝ}^o$，其输入大小为$p$，输出大小与$h^{\ast }(\cdot )$的输入大小相同，其中$\theta$表示可训练参数。 我们将${\theta }_t$表示为第$t$轮训练的参数。 值得注意的是，用户只需选择合适的分割点并确保上传向量的维度有效（与$h^{\ast }(\cdot )$的输入维度相同）即可。 $f_{\theta }$的结构完全可以根据自己设备的容量自行决定，用户也可以使用轻量级的AutoML [45]工具自动生成本地结构。 我们将双射函数$\varphi :{𝒩}_g\to {𝒩}_g$表示为加密密钥，将其反函数${\varphi }^{-1}$表示为解密密钥。

回想一下本地数据是非独立同分布的挑战。 使用用于预训练原始端部模型的数据集，这是用户的异构性质之一。 此外，每个用户的设备的容量是不同的，即不同的内存、CPU/GPU频率和电池状态。 轮盘允许每个用户选择分区点并设计自己的设备特定个性化本地模型（前面部分）结构。 具体地，每个用户可以结合本地设备的容量和数据集的容量来自定义$f_{\theta }$。 然后，用户进行多轮微调来更新前端模型的参数。 最终，用户将获得个性化的特定于设备的本地模型。

然后，我们在图 3 中说明了一批数据的工作流程的高级概述。 在训练阶段，设备从本地训练数据集中随机采样一批数据$x$，并通过$f_{{\theta }_t}(x)$和噪声注入器生成差分私有中间表示。 接下来，将嘈杂的中间表示上传到不受信任的边缘服务器。 秒。 3.2将介绍详细的差分隐私变换。 然后，服务器将中间表示馈送到预训练的 DNN $h^{\ast }$ 后端，获取 logits 输出，并将 logits 发送到设备。 上述前向传播过程如图3(a)中红色箭头所示。 然后，每个设备根据自己的加密密钥$\varphi$对采样数据对应的标签进行加密，并计算损失函数。 详细的加密生成和损失函数设计在第 2 节中进行了解释。 3.3。 然后，设备将损失值发送到服务器，服务器将错误反向传播到$f_{{\theta }_t}$。 最后，设备将参数${\theta }_t$更新为${\theta }_{t+1}$。 反向传播数据流在3(a)中用亮蓝色箭头标记。 在线推理阶段如3(b)所示。 推理过程与训练阶段的前向传播类似，只是在推理结束时，每个设备通过解密密钥${\varphi }^{-1}$对结果进行解密。

图3(a)中的红色箭头代表前向传播的数据流，前向传播是通过设备与边缘服务器之间的交互完成的，这将在接下来介绍。

具有设备分区的数据转换器。 为了提取训练（输入，输出）对来学习设备分区的参数，一批训练数据$x_l$应该被输入到$f_{{\theta }_t}$。 受之前结论的启发，dropout是一种相对有效的防御模型反转攻击的方法[14]，并且dropout越早，防御效果越好[46]，我们屏蔽具有均匀随机生成的无效矩阵$I_p\stackrel{R}{\leftarrow }{\{0,1\}}^p$的输入数据。然后，得到无效数据$x_l^{\prime }=f_{{\theta }_t}(I_p\odot x_l)$，其中$\odot$指的是两个矩阵的逐元素相乘，$I_p$中零的个数占总数$p$是预期无效率$\eta$。

噪声注入器。 一些作品（例如，[25, 44])表明特定属性或数据集中的实例是否可以在给定一些背景知识的情况下从中间表示推断出来。 为了减轻推理攻击，通过采用差分隐私的强概念，我们在将中间表示发送到服务器之前设计了一个 DP 保证的噪声注入器。 噪声注入器将噪声张量逐元素添加到中间表示中。 提供$ϵ$-差分隐私的一种直观尝试是将遵循尺度$\frac{\mathrm{\Delta }{f}_{{\theta }_t}}{ϵ}$的拉普拉斯分布的噪声添加到输出$x_r$中，如下所示(3)，其中 $ϵ$ 是隐私预算参数。 然而，估计 DNN 的全局灵敏度很困难，我们使用裁剪过程（即 $x_r\leftarrow \max (1,\parallel x_r\parallel /B))$ 来限制 $\Vert x_r\Vert$ 的值。 表示${\parallel x_r\parallel }_{\mathrm{\infty }}\le B$时保留$x_r$,${\parallel x_r\parallel }_{\mathrm{\infty }}>B$时缩小为$B$。 那么，全局敏感度可以估计为$2B$。 绑定阈值 $B$ 与输入无关，因此不会泄漏任何敏感信息。 边界$B$可以设置为关于一批训练示例[46]的无穷范数的中位数。 此外，[29]表明拉普拉斯机制可以以分裂学习的方式应用于任何局部层。 尽管在最后一个本地层之前的层中添加噪声可能会导致精度较差，但通过此操作可以使差分隐私预算更加严格。 我们的框架允许重新训练，这可以减轻准确性消除的情况。 因此，我们也考虑到这种概括。 我们用$f_{{\theta }_t}=f_{{\theta }_t}^{(1)}\circ f_{{\theta }_t}^{(2)}$表示。 $f_{{\theta }_t}^{(1)}$和$f_{{\theta }_t}^{(2)}$分别指添加噪声之前和之后的层。 算法1概述了设备端的整个差分隐私数据转换。 正式的定量差异隐私预算将在第 2 节中给出。 F。

在我们的框架中，机制输出的维度相对要小得多（在第三次转换时）。 LeNet [47] 的分割点，为 400），比向梯度注入噪声的方法（LeNet 约为 60000）高，因此高斯机制的强度 [41]<差分隐私DNN中广泛应用的/t1>训练[40]无法体现。 此外，具体的网络结构、批量大小和划分点决定了机制输出的维度。 在不失一般性的情况下，为了简单起见，我们在本文中采用拉普拉斯机制，但高斯机制也可以很容易地扩展。

带有服务器分区的 Logits 生成器。 为了能够完成学习过程，需要一批 logits（神经网络最后一个分类层（通常是 softmax）之前的层的输出）与标签配对。 为了生成逻辑，将噪声中间表示馈送到云分区，即

然后，边缘服务器将logits发送到设备进行损失计算。

在本小节中，我们将详细介绍加密密钥$\varphi$如何生成以及如何影响函数设计。

$\pi$的更新可以在本地完成，但将涉及$h^{\ast }$的错误反向传播到$f_{\theta }$。 我们注意到，关于分割学习的文献很少阐明反向传播在分割学习模式下到底如何工作，因此我们首先对其进行详细说明。 假设DNN $f_{\theta }\circ h^{\ast }$共有$k$层，划分点为层$i$，即$f_{\theta }=l_1\circ l_2\circ \mathrm{\dots }\circ l_i$和$h^{\ast }=l_{i+1}\circ \mathrm{\dots }\circ l_k$. 我们将任何$j$层的可训练参数表示为$(W_j,{𝐛}_j)$,$j\in (1,k)$。前馈神经网络中每个卷积层或全连接层的前向传播操作网络可以形式化为：

其中${𝐱}_j$指的是第$j$层的输入特征图，$W_j^{𝖳}{𝐱}_j+{𝐛}_j$是输入向量的仿射变换（包括卷积层和全连接层） 。 $\sigma$是非线性层，包括激活函数、池化等，或者恒等函数（在非线性层之前分割）。 那么第$j$层参数对损失函数${ℒ}_{cd}$的偏导数（梯度）可以计算为：

可以看出设备本地拥有${𝐱}_i$和${\sigma }^{\prime }(W_i^{𝖳}{𝐱}_i+{𝐛}_i)$。 从服务器更新第 $i$ 层和第 $i$ 层之前的参数的唯一必要条件是 ${\nabla }_{{𝐱}_{i+1}}{ℒ}_{cd}$，它独立于 $f_{\theta }$. 这也是设备可以自由设计自己的结构的基础。 发送${ℒ}_{cd}$到服务器，服务器可以通过$h^{\ast }$将错误反向传播到溢出层。 因此，反向传播可以总结如下：

使用服务器分区的反向传播。 损失计算完成后，将损失值${ℒ}_{cd}$发送到边缘服务器进行反向传播。 然后，边缘服务器反向传播梯度，设备下载中间偏导数${\nabla }_{{𝐱}_{i+1}}{ℒ}_{cd}$。

使用设备分区进行反向传播和参数更新。 设备收到${\nabla }_{{𝐱}_{i+1}}{ℒ}_{cd}$后，根据（2）和(13)更新$f_{\theta }$的参数。

分割学习后，Roulette 准备进行协同推理，如图3(b)所示。 设备对一批经过验证的数据进行采样并将其输入$f_{\theta }$，然后执行算法1以生成差分私有中间表示${\tilde{x}}_r$并将其卸载到边缘服务器。 边缘服务器计算后端 DNN 并将 logits $h^{\ast }({\tilde{x}}_r)$ 发送回设备。 最后设备解密并根据下式得到真实的预测结果

需要强调的是，设备的前端模型训练可以离线完成。 用户可以拥抱比在线推理资源相对更丰富的设备。 此外，离线训练意味着训练过程对延迟不敏感。 例如，在训练阶段，用户可以在私有服务器上执行本地训练过程（与远程服务器交互）。 相反，对于部署（推理阶段），经过训练的本地模型必须部署在资源受限的现实设备（例如相机、无人机）上以用于实际应用。 这种情况下，离线训练的实时性要求要低于在线推理阶段。

我们将从拉普拉斯分布中采样的随机噪声添加到有界输出$x_r$中，并丢弃输入图像的一定比例的元素以干扰数据作为差分隐私机制。 差分隐私转换的一个重要问题是确定代表所设计机制提供的严格隐私保证的隐私预算。 我们正式证明以下结果。

定理4.1的证明见附录A。 我们所说的隐私保证是关于重新训练（分割学习）和协同推理的，它是元素级事件级差分隐私[41]。 差分隐私机制是消除单个元素在输出上的移位来隐藏信息的有力保证。 给定适当的隐私预算，它可以保护数据免受成员推理攻击[16, 17]。

尽管差异隐私提供了严格的保证，但关于避免整体统计隐私侵犯的说法并不明确[51]。 我们的真实隐私就属于这种侵犯行为。 因此，除了差分隐私之外，我们还需要更仔细地分析真实隐私。 接下来，我们将分析当服务器具有不同水平的背景知识时的真实隐私。

无参数且无数据集分布。 首先，推理结果的隐私性可以从局部参数的保密性和分割学习的数据集得到。 之前的几篇关于分割学习的作品也做出了这样的表述[12]。 据我们所知，当边缘服务器既不知道设备的本地参数也不知道数据集分布时，就不会出现成功的攻击。

有参数但没有数据集分布。 此外，我们研究了知道本地模型参数但不知道本地数据集分布的更强攻击者。 这样的攻击者可以执行地面实况推理攻击。 我们给出以下定义：

粗略地说，定义4.1意味着给定$f_{\theta }$，如果服务器能够找到与接收到的$x_r$完全匹配的输入模式，那么服务器能够找出基本事实。 这个定义对于现实中的攻击者来说过于严格。 可以想象，即使攻击者根据$f_{\theta }$找到了可以与$x_r$几乎匹配的近似输入模式，也可以将$x_r$链接到地面真相。 因此，我们给出定义4.1的宽松版本，如下：

定义4.2中，$\sqrt{o}$因子仅用于归一化，并非必需。 根据定义，我们证明了攻击者找到 $\gamma$ 近似的地面实况推理函数的难度。 该定理正式表述如下。

证明见附录B。 我们的证明受到 [37, 52] 的启发。 在证明中，我们从MAX3SAT问题进行简化。 定理4.2意味着，通过采用合适的常数$Q>1$，攻击者很难在定义4.2下的某个常数因子内进行近似。

没有参数但有数据集分布。 如果服务器知道本地数据集的分布但不知道$f_{\theta }$，则可以遍历所有可能的$\varphi$来训练相应的前端模型或提取一些特征。 然而，当$N$稍微大一点时，搜索空间就会非常大，因为$|𝒮|=\mathrm{\Theta }((N-1)!)$。 因此，当分类系统输出的数量很大时，服务器很难推断出真实情况。 当$N$很小时，我们在第2节中通过实验研究了服务器和设备之间分布差异的影响。 5。

带参数和带数据集分布。 在这种情况下，服务器可以通过将从数据集分布中采样的输入与模型输出进行匹配来轻松找出真实情况。 但实际上，服务器很难满足背景知识。 特别是，设备没有动机向服务器公开其模型参数。

最后，人们可能会质疑我们是否在没有隐私保护措施的情况下直接上传损失值。 我们澄清关于分类任务的真实隐私是什么。 与目标跟踪、对象分割等标签包含大量原始数据真实内容的任务不同，分类任务的标签是序列号或one-hot向量，如果没有具体的对应数据，这些标签是没有意义的。 因此，我们的方法旨在保护原始数据标签对应关系而不是标签本身。 这也是为什么我们强调它是真实事实而不是标签。 例如，对于一个有“狗”和“猫”的分类系统，设置“狗”对应标签“0”，“猫”对应标签“1”，或者反之，都没有关系。

我们在四个标准 DNN 基准数据集上评估所提出的框架：MNIST [42]、CIFAR-10 [53]、EMNIST [54]、和 CIFAR-100 [55]。 MNIST 用于手写数字识别，CIFAR-10 用于对象分类。 EMNIST 是 MNIST 的扩展，包含 47 类手写数字和字母。 CIFAR-100 是 CIFAR-10 的扩展，包含 100 个对象类别。 此外，SVHN [43] 用于验证当私有数据集与原始网络训练数据集具有不同域时对抗影子模型攻击的有效性，即我们假设服务器在 MNIST 上训练模型用户持有 SVHN 数据集。 SVHN 数据集是真实世界的数据集，取自 Google 街景门牌号图像，其风格与 MNIST 类似。 我们在 MNIST 数据集上采用 LeNet [47]，在 CIFAR-10 数据集上采用具有 6 个卷积层和 2 个全连接层的 CNN。 此外，我们分别针对 EMNIST 和 CIFAR100 应用更深的模型 ResNet18 和 ResNet50 [56]。 值得注意的是，一个用户只拥有标准数据集总数的1/10或接近1/10，我们稍后会介绍每个实验的具体设置。 Roulette 主要关注隐私和准确性问题，因此我们运行基于 CPU/GPU 的数值仿真，而不是通过硬件实现部署在现实网络环境中。 部署在现实系统上的协同推理的运行时性能在许多现有工作中得到了广泛的探索和优化，例如[6, 7]。 为了提高实时性能，Roulette 可以直接应用这些方法。 此外，我们将所有卷积层作为分区点进行遍历，以显示第 5.4 节中中间结果的重新训练精度、局部模型计算（FLOPs）和张量大小，这可以作为部署的参考。 在我们的设置中，分区后，虽然放置在设备中的部分可以根据设备的容量和通信成本优化和更改网络结构，但我们首先采用[25]中建议的分区点并为了简单起见保留设备分区的本地模型结构。 然后我们将评估分割点和局部模型结构的影响。 目标模型和所有攻击均使用 Pytorch 1.8.1 实现。 我们在配备 1 个 NVIDIA Tesla A100 40G MIG 1g.5gb（最小的 MIG 计算实例）和 2 个 Intel(R) Xeon(R) Gold 6240 CPU @ 2.60GHz（总共 36 个核心/72 个）的服务器上运行实验。线程）。

我们首先分析差分隐私预算参数$ϵ$的影响。 本节仍然以上一节的三类分类系统为研究对象。 我们修复 $\alpha =0.5,\eta =0$ 并将 $ϵ$ 从 1 更改为 1000，以评估影子模型攻击精度和重新训练精度。 如图9所示，对于MNIST来说，拉普拉斯机制下的DNN对于本质上没有任何效用。 然而，当$ϵ\ge 20$时，精度迅速接近无噪声精度。 对于CIFAR10，阈值约为100。 然后可以看出，对于MNIST，当$ϵ=20$时，再训练精度达到0.8829，而攻击精度仅为0.5123。 对于CIFAR10，当$ϵ=(100,200)$时，再训练精度达到0.6554、0.6738，而攻击精度仅为0.5004、0.5155。 这表明所提出的框架具有噪声尺度的最佳点，选择可以防御攻击的同时保持模型效用。 我们还注意到，当 $ϵ$ 大于阈值时，即使攻击准确率变大且稳定，但该值仍然相对较小（仅比随机猜测高 10%+）。 然而，一般情况下，较高的$ϵ$($>20$)值仍然可能提供无意义的差分隐私[51]，这意味着原始的拉普拉斯机制不适合直接使用但我们有定理4.1来减少该值。

然后，我们根据定理4.1分析总差分隐私预算，该预算由两个隐私相关参数控制，即$ϵ$和$\eta$。 在这里，我们将 MNIST 的 $\eta$ 值固定为 0.1，将 CIFAR10 固定为 0.05，并通过将 $ϵ$ 1 更改为 1000 来更改隐私预算 $\epsilon$。 我们将噪声添加层设置在第一个转换之后。 层。 图10(a)表明，所提出的框架可以在广泛的隐私预算下保持较高的准确度。 结果还表明无效操作起着重要作用。 与 $ϵ$ 相比，$\epsilon$ 显然很小。 这些结果表明，所提出的框架适用于不同的隐私要求。 当隐私预算紧张时，可以防御成员推理攻击[61]。

结果还表明，即使在隐私预算更紧张的情况下，与相同超参数但无需重新训练的情况下使用噪声添加和丢弃的方法相比，它也可以有效提高性能，如图10(b)。 很明显，接近原始噪声添加的原始精度的阈值预算大于所提出的方法。 这种改善是本地再培训带来的。

所提出的框架允许改变设备上的本地模型结构，这可以避免当划分点位于早期层且模型容量不足而消除推理精度时出现早期划分的问题。 然而，使用更大的结构的代价是资源有限的本地设备需要承担更多的计算，从而导致更多的计算延迟。 因此，在本小节中，我们将探讨如何选择划分点并根据经验设计局部网络结构。 为此，我们遍历模型的潜在划分点并增加局部模型的层数以观察推理精度。 不同本地模型和中间张量大小的计算负载如表IV(d)所示，分别是本地计算延迟和与边缘服务器通信延迟的指标。 注意，为了保持局部模型的输出形状不变，实验中我们添加的层的卷积核大小为$3\times 3$，padding为1。

我们在表 III 中使用近似阈值来描绘可接受的范围。 对于 LeNet，我们将 FLOPs 小于 40k、精度大于 0.9、张量大小小于 500 视为可接受的值。 对于 CIFAR10，我们将 FLOPs 小于 100k、精度大于 0.6、张量大小小于 20k 视为可接受的值。 对于 EMNIST，我们将 FLOPs 小于 3M、精度大于 0.9、张量大小小于 10k 视为可接受的值。 对于 CIFAR100，我们将 FLOPs 小于 1.5M、精度大于 0.45、张量大小小于 10k 视为可接受的值。 请注意，近似阈值是根据经验选择的。 具体选择可以参考[6]中的方法。 建议使用与所有三个值均呈灰色显示的行对应的分割点。 可以看出，当划分点太早时，中间表示的尺寸往往很大，添加新层对于精度提升来说效率很低。 一般来说，选择更深的分割点和修改更少的结构比相反更有效。 在实践中，我们可以选择一个足够深但又与托管设备的计算能力相匹配的合适的分区点。

作为快速边缘推理的突出解决方案，协作推理（co-inference）已被广泛研究。 基本思想是将 DNN 划分为多个分区，每个部分分配给不同的参与者。 分区系统旨在根据[7, 8]中的计算、通信和能量约束选择最佳分区点。 最近，为了协调异构设备集群之间的工作负载，CoEdge [62] 自适应地对输入图像进行分区，以适应不同的计算能力和动态网络条件。 此外，自学神经外科医生[6]应用在线学习来预测不确定的远程时间。 这些工作努力提高实时性，但何等人[14]指出协同推理可能导致隐私泄露，并建议该领域的研究人员更加关注隐私问题而不是只考虑实时性能[13, 14]。 然后，分析隐私泄漏与DNN深度之间的关系，提出一种同时考虑实时性和隐私性的Lyapunov优化框架来选择划分点[63]。 然而，它仅测量与主要任务相关的信息在不同分区点的衰减，而没有任何隐私增强。

语义和任务导向的沟通是沟通研究界的热门话题。 语义或面向任务的通信的核心思想是通过考虑发送端发送信息的“含义”来构建下一代通信系统，而不是考虑每个比特相等的[64, 65]。 在最近的工作中，分裂学习和协同推理被广泛应用于语义通信系统。 J. Shao等人设计了一种面向任务的通信系统，其中部署在设备上的DNN扮演着特征提取器和联合源通道编码编码器的角色[66]。 Z. Weng等人提出了语音语义通信系统[67]。 在[67]中，发送器和接收器由语义和信道编码器（解码器）组成。 编码器和解码器都是DNN的形式，训练过程遵循分割学习模式。 然而，在这些作品中，他们并没有考虑到隐私问题。 有关语义和面向任务的通信的更多详细信息，我们建议读者参阅调查[64]和[65]。

基于噪声的隐私保护在数据收集和模型训练中被广泛研究，但只有少数涉及推理。 噪声注入的一个明显缺点是它总是在隐私和实用性之间强加一种深奥的权衡。 为了在实用性和隐私之间找到更好的平衡，Mireshghallah 等人提出了 Shredder [25]，这是一种设备边缘协同推理系统，其中添加到 IR 的噪声是从学习到的噪声分布中提取的，而不是从学习到的噪声分布中提取的。随机噪声。 此外，基于差分隐私（DP），Cloak[26]将云端预训练的网络视为确定性函数，设计了满足Local$ϵ$的拉普拉斯机制-DP向原始数据添加噪声以进行进一步推理。 然而，初级掩模的推理结果直接暴露给云端或边缘服务器。

联邦学习 (FL) 已成为一种很有前途的方法，可以在分散数据源上实现协作机器学习，同时保护数据隐私[68]。 FL 利用分散式架构，其中多个设备或节点共同训练共享模型，而不共享其原始本地数据。 近年来，一些工作利用了一些特征，甚至可以从多方交互过程中的梯度和模型参数中恢复原始本地数据[69, 70]。 隐私保护联邦学习（PPFL）专注于增强 FL 框架内的隐私保证。 它在训练过程中采用各种技术来保护敏感数据的机密性[71, 72]。 具有子模型设计的 FL 可能是轮盘赌的替代方案，例如 [73, 74]。 然而，它没有提供严格的隐私和安全分析。 此外，一些子模型设计不能直接部署在一般分类问题上。 例如，[73]中提出的系统只能应用于非常特殊的场景，其中每个客户端的推荐系统模型可以自然解耦。

基于编码的解决方案分别为设备和服务器训练本地编码器和远程解码器。 这些解决方案可以分为隐私保护的潜在表示学习和实例编码。 研究最广泛的隐私保护潜在表示学习是对抗性训练，其中给定隐私属性标签，他们在防御者和对手之间执行最小-最大游戏来学习隐私保护表示[75,27,28]. 此外，Li等人提出了TIPRDC[76]，一个任务无关的框架，其中编码器可以在不知道隐私属性标签的情况下生成隐私保护表示。 MixCon [37]研究模型反演攻击与表示可分离性之间的关系，并开发一致性损失来调整表示的可分离性，以平衡数据效用和反演攻击的难度。 这些方法无法保护主要任务的信息。 复值网络[39]不仅使用对抗性训练，还将实数转换为复数来隐藏私人信息，从而大大降低了攻击者的成功率。 然而，所有这些方法，包括 TIPRDC 和复值网络，在考虑隐私问题时都没有考虑效率。 实例编码，DataMix [38] 和 InstaHide [77]，对原始数据集中的多个实例进行编码以生成新数据集，并使用它来训练一个新模型，该模型几乎具有与在原始数据集上训练的原始模型具有相同的准确性，这似乎是“免费的午餐”，但最近的研究[78]表明，“没有免费的午餐”，实例编码可以以低成本被击败。

基于密码学的推理主要包括三种方法：同态加密（HE）[18]、安全多方计算（SMC）[19]和可信执行环境（TEE） ) [20]。 HE 允许对加密数据进行计算。 现有一些致力于应用 HE 和 SMC 进行隐私保护推理的工作，但它们都存在严重的计算延迟，并且需要特殊的额外硬件。 即使是最先进的 HE，DELPHI [22] 也将推理速度降低了 318 $\times$ [26]，这在AIoT场景中是不可接受的。 基于 TEE 的方法也存在类似的缺点，它需要服务器升级硬件作为安全飞地（例如，[20, 79])，并且已被证明容易受到旁道攻击。