群智感知系統中面向高斯差分隱私的數據新鮮度性能分析

楊曜旗，張邦寧，郭道省，徐任暉

(陸軍工程大學 通信工程學院，江蘇 南京210001)

0 引言

群智感知是一種基于眾包思想,充分利用智能終端感知能力的傳感數據收集范式。不同于傳統的無線傳感網絡,群智感知無需部署專用的感知設備,旨在利用智能設備的泛在感知能力,實現傳感數據的收集[1]。隨著物聯網、6G等新興技術的日益成熟,海量傳感數據的需求越來越大,此時,得益于豐富的數據來源與強大的感知能力,群智感知部署成本低、實現方式靈活以及可擴展性強等優點逐漸凸顯[2]。

當前,關于群智感知系統性能的研究主要集中在數據時效性與隱私安全性兩方面。具體而言,由于超可靠低時延通信場景的普及,高時效性數據驅動的實時應用需求越來越迫切,傳感數據的時效性成為群智感知系統性能評估的重要指標。同時,由于無線信道固有的開放特性,傳感數據在傳輸過程中面臨竊取、篡改與偽造等威脅,保證傳感數據內容的隱私安全是順利完成傳感數據收集任務的重要前提。然而,當前群智感知中關于隱私保護的研究對數據時效性考慮較少,導致群智感知中隱私保護與數據時效性研究相互割裂。此外,現有大部分研究從吞吐量、時延等性能指標入手來保證系統時效性,忽略了傳感數據在源節點等待時間與在目的節點停留時間因素的影響。為了填補上述研究空白,為面向隱私保護的群智感知系統時效性性能評估及優化提供理論支撐,本文在實現傳感數據內容隱私保護的前提下,利用更為準確的數據新鮮度指標——信息年齡(Age of Information,AoI)[3],綜合分析群智感知系統的時效性性能,實現隱私保護對數據時效性作用機理的探究。

進一步,實現群智感知中數據隱私保護的有效方式主要包括數據加密、差分隱私以及數據限制發布等技術[4],同時,基于排隊論可以推導出傳感數據的平均AoI的數學表達式,從而實現群智感知系統時效性性能的定量分析。然而,直接使用上述技術將面臨以下3個方面的問題,為同時實現定量分析數據新鮮度性能與隱私保護效果帶來挑戰。

① 在基于數據加密實現隱私保護的數據新鮮度性能分析過程中,數據加密對傳感數據新鮮度性能的影響主要體現在加密操作會帶來附加的通信開銷與計算開銷。然而,此時隱私保護的效果只能從理論上定性證明,無法進行定量分析。

② 在基于差分隱私實現隱私保護的數據新鮮度性能分析過程中,向原始數據中添加人工噪聲,能夠對原始數據的特征分布進行擾動,從而實現數據內容的信息脫敏與隱私保護。然而,人工噪聲還能影響數據傳輸環境,引起無線信道的特性發生改變,最終影響數據傳輸過程中的時效性。因此,在人工噪聲特性與傳輸信道特性各異的條件下,定量分析隱私保護對數據新鮮度性能的影響較為困難。

③ 在基于數據限制發布方案實現隱私保護的數據新鮮度性能分析過程中,盡管數據限制發布技術能夠隱藏傳感數據中的敏感信息,實現數據內容的隱私保護,但是該技術同時會改變數據的完整性,影響傳感數據收集任務的完成效果,最終影響傳感數據的時效性。此時,隱私保護對傳感數據時效性方面的影響只能被定性描述,無法進行定量分析。

因此,為了同時對傳感數據時效性與隱私保護效果進行定量分析,并進一步明晰群智感知中隱私保護技術與數據新鮮度性能的耦合機制,本文在采用高斯差分隱私機制實現對群智感知數據內容保護的前提下,基于排隊論推導出不同環境參數下的傳感數據AoI表達式。進一步,本文的創新點與貢獻主要包括以下三方面:

① 為了實現群智感知中傳感數據內容的隱私保護,針對加性高斯白噪聲信道,提出了一種基于高斯差分隱私機制的傳感數據內容保護模型,該模型能夠實現(ε,δ)的松弛差分隱私。此外,對于l2范數靈敏度低于l1范數靈敏度的應用,提出的隱私保護模型允許添加更少的噪聲。

② 為了對面向隱私保護的群智感知中傳感數據新鮮度性能進行定量分析,在基于高斯差分隱私的傳感數據內容保護模型基礎上,使用排隊論推導出了不同隊列模型、服務準則以及傳輸緩存條件下的數據新鮮度表達式,實現了不同參數環境下傳感數據時效性性能評估。

③ 為了驗證所提方案的正確性與有效性,對不同環境參數設置下的數據時效性與隱私保護效果進行了仿真實驗,結果表明,差分隱私保護效果與傳感數據新鮮度性能呈負相關,即高時效性的傳感數據隱私保護效果較為一般,反之亦然。

此外,除了對群智感知中面向隱私保護的數據新鮮度性能分析問題的研究背景與動機描述,本文的其余內容安排如下:第一節從高斯機制下的差分隱私保護與數據新鮮度性能分析兩方面介紹了相關工作;第二節建立了系統模型,主要包括群智感知系統模型、高斯差分隱私模型、無線傳輸信道模型和傳感數據新鮮度模型;第三節完成了面向高斯差分隱私的數據新鮮度性能分析,得到了不同環境參數下傳感數據新鮮度的表達式;第四節進行了仿真實驗,驗證了所提模型的正確性與有效性;第五節對全文進行了簡要總結,并指明了未來可能的研究方向。

1 相關工作

1.1 基于差分隱私的群智感知

差分隱私作為隱私保護的典型技術,能夠通過向原始數據中添加擾動噪聲,完成對數據的脫敏處理,以實現數據隱私信息的保護?；诓罘蛛[私方案,群智感知中傳感數據內容、感知任務內容、智能感知終端的身份與位置信息等隱私數據能得到一定程度的保護[5]。當前,差分隱私保護技術已經在群智感知中得到了廣泛的應用,例如,李卓等[6]基于本地差分隱私保護技術,在數據提交過程中分別設計了數據屬性聯合隱私保護與獨立隱私保護算法,結果表明,該算法能顯著降低隱私保護成本。熊金波等[7]針對群智感知系統中數據感知、上傳與交易3個階段面臨的數據安全與隱私威脅問題,系統性地闡述了現有的數據安全與隱私保護方法,并基于隱私度量、隱私框架及隱私計算等角度對未來工作進行了展望。為了同時解決傳感數據的隱私安全與可靠性問題,Zhou等[8]將真值挖掘技應用到群智感知系統中,并基于本地差分隱私原理構造了終端位置信息保護算法,結果表明,所提算法顯著提高了真值挖掘的準確率。Girolami等[9]利用差分隱私技術,實現了在數據聚合過程中的數據內容保護。此外,該方案還能保證數據聚合中心無法獲取終端的身份信息,結果表明,該方法能在實現隱私保護的基礎上有效降低數據失真程度。劉慧等[10]為了解決群智感知系統中用戶身份信息的安全問題,基于差分隱私技術與無節點協作技術,提出了一種面向終端間信息關聯度的隱私保護算法。結果表明,該算法能夠有效保護終端間的社交信息關聯度,同時顯著降低實施方案的時間成本。Gao等[11]為了保護群智感知系統中終端的軌跡與位置隱私信息,基于差分隱私技術與軌跡模糊技術,構造了相應的隱私保護方案。結果表明,與現有算法相比,該方案能在保證隱私安全的同時有效降低數據質量損耗。

綜上所述,盡管當前基于差分隱私的技術能夠在一定程度上保證群智感知中敏感數據的隱私安全,但是上述研究未充分考慮基于人工噪聲的差分隱私技術對傳輸環境與無線信道特性的影響,將會進一步對數據時效性與用戶體驗等指標產生影響。因此,為了在保證傳感數據質量的條件下進行隱私保護,本文采用了與加性高斯白噪聲信道特征匹配的高斯差分隱私模型,有效降低了差分隱私方案中噪聲添加帶來的影響,保證了傳感數據的時效性。

1.2 基于AoI的數據新鮮度

數據新鮮度是表征傳感數據時效性的重要指標,與傳統的傳輸時延指標相比,數據新鮮度更加關注數據時效性,常用指標AoI來衡量,包括數據在源節點的處理時延、傳輸時延以及目的節點的排隊時延[12]。當前,已有學者開展了基于AoI的傳感數據新鮮度性能分析及優化工作,例如,陳泳等[13]在短包通信場景下分析了認知物聯網中雙向中繼系統的數據新鮮度,得到了系統的誤包率與平均峰值AoI的閉合表達式。進一步地,基于交替迭代優化算法對加權平均AoI數值進行了優化。仿真結果驗證了所提方案的正確性與有效性。王恒等[14]針對無線網絡中頻率資源受限的問題,提出了面向數據新鮮度的時隙鏈路調度與數據傳輸算法,同時,基于李雅普諾夫優化實現了網絡平均AoI的最小化。仿真結果表明,所提方案能顯著提升傳感數據新鮮度。在非正交多址接入與移動邊緣計算場景下,李保罡等[15]研究了面向最小化數據AoI的卸載任務量和功率分配問題,基于多代理深度確定性策略梯度算法,確定了面向AoI的最優的卸載因子和卸載功率策略。仿真結果表明,所提方案能顯著降低更新代價。Han等[16]在無人機輔助的車載邊緣計算場景中,針對AoI優化過程中的資源受限、傳輸干擾與車輛合作等特點,提出了面向數據新鮮度的信道接入算法,該方法能夠基于勢能博弈的均衡解確定信道接入策略,實現系統數據新鮮度的優化。Yang等[3]將數據新鮮度指標應用于傳染病防控場景中,為了優化數據AoI數值,提出了一種跨域混合博弈模型,包括基于勢能博弈的頻域AoI最小化與基于聯盟博弈的空間域AoI優化,所提方案較傳統方案能顯著提升數據新鮮度性能。在無人機輔助的邊緣計算網絡中,Wang等[17]為了解決信道接入攻擊下的數據新鮮度性能較差的問題,提出了一種基于勢能博弈的AoI優化算法,該算法能在有效抵御信道接入攻擊的前提下保證數據的新鮮度性能。

綜上所述,盡管當前技術已經對基于AoI的數據新鮮度性能開展了深入的研究,但是上述工作并未考慮數據安全性,而數據安全是實現傳感數據收集與傳輸的基本前提與邏輯保證。因此,本文在基于高斯差分隱私保護技術的前提下,進行了面向數據內容隱私保護的AoI性能分析,揭示了傳感數據時效性與安全性相互影響的機理。

2 系統模型

2.1 群智感知系統模型

群智感知系統模型如圖1所示,系統主要由任務請求者、服務提供者以及大量智能感知終端構成。為了完成傳感數據收集任務,任務請求者首先將數據收集任務發送至服務提供者處,之后,服務提供者將感知任務分配至各終端處。各終端完成數據收集后,將數據提交至服務提供者處,由服務提供者將感知數據轉交至任務請求者,同時支付報酬給各感知終端。值得注意的是,為了防止感知數據的內容泄露,需要對數據內容進行隱私保護。同時,由于傳感數據的時效性要求,還需要在智能終端提交數據時保證數據內容的時效性。為了方便,定義集合ST={st1,st2,…,stM}表示感知終端,其中M為智能感知終端的數量。此時,集合L={(x1,y1,z1),(x2,y2,z2),…,(xM,yM,zM)}表示感知終端的位置,P={p1,p2,…,pM}表示感知終端的傳輸功率集合,A={a1,a2,…,aM}表示感知終端的傳輸信道集合,Γ={λ1,λ2,…,λM}表示終端對數據的感知速率,H={h1,h2,…,hM}表示各傳輸信道的帶寬,其中(xi,yi,zi)、pi、ai、λi和hi分別表示第i個終端的位置、傳輸功率、傳輸信道、感知速率以及接入的信道帶寬。此外,定義f為服務提供者對數據的處理頻率,(x,y,z)為服務提供者的位置信息,c為計算感知數據所需的CPU周期數。

圖1 群智感知系統模型Fig.1 System model of mobile crowdsensing

2.2 通信模型

當第i個終端向服務提供者提交數據時,需要建立傳輸鏈路,二者間的距離可計算為:

(1)

此時,基于加性高斯白噪聲信道模型,服務提供者處收集到的傳感數據信干噪比可進一步表示為:

(2)

式中:α表示路徑損耗因子,σ表示均值為0且方差為σ2的加性高斯白噪聲,ICCI表示同信道干擾。

(3)

2.3 高斯差分隱私模型

為了符合加性高斯白噪聲信道特性,減小人工噪聲對信道特性的影響,針對上述建立的通信模型,提出基于高斯機制的(ε,δ)松弛差分隱私方案。

定義1:對于任意函數f(·):x→k,則高斯機制Ga(·)的定義如下式所示,其中(β1,β2,…,βk)的概率密度函數為

(4)

定義2:對于任意算法B,D表示該算法輸出結果的集合,當Pr[·]表示事件發生的概率時,對于任意相鄰數據集E與E′,若有如下關系式成立,則稱算法B提供了(ε,δ)松弛差分隱私保護,其中ε為差分隱私預算,δ為失敗概率。

Pr[B(E)∈D]≤eε·Pr[B(E)∈D]+δ。

(5)

定義3:對于任意函數f(·):x→k,l2敏感度的定義如下式所示,其中d(x,x′)≤1表示數據集只有一條記錄差別。

(6)

F(x):f(x)+(σ′2)。

(7)

證明:具體證明過程可參考文獻[18]。

評注1:高斯機制下的差分隱私是l2敏感的。在相同條件下,拉普拉斯機制需要使用l1靈敏度,而高斯機制則允許使用l1或l2靈敏度。因此,對于l2靈敏度遠低于l1靈敏度的應用,高斯機制允許添加更少的噪聲[19]。

評注2:對于基于高斯機制的差分隱私災難機制,在概率1-δ的條件下,災難機制滿足ε差分隱私。在概率δ條件下,它會釋放整個數據集,沒有噪聲。在這種情況下,高斯機制不能完全滿足ε差分隱私,滿足(ε,δ)差分隱私。此時,在基于高斯機制的(ε,δ)松弛差分隱私條件下,整個數據集無法被完全釋放。

2.4 傳感數據新鮮度模型

圖2 基于平均AoI的數據新鮮度模型Fig.2 Average AoI based data freshness model

進一步,通過計算圖2中鋸齒狀函數與時間軸圍成的面積除以時間長度,可以得到平均AoI的數值。具體來講,在(0,T)時間內,平均AoI可計算為:

(8)

(9)

當Gi=ti-ti-1(2≤i≤n)代表相鄰數據包的更新時長時,此時等腰梯形Ci的面積可表示為:

(10)

當數據包的更新被建模為隊列中顧客到達的行為時,Gi=ti-ti-1(2≤i≤n)表示第i個數據包的到達時間。此時,結合式(9)和式(10),AoI可表示為:

(11)

(12)

3 面向高斯差分隱私的數據新鮮度性能分析

傳感數據的新鮮度性能主要由AoI數值來衡量,AoI數值越小,代表傳感數據越新鮮,反之傳感數據越陳舊。由于感知數據經過服務提供者計算處理后足夠小,因此從服務提供者到任務請求者的數據傳輸時間可以忽略[20]。此時,群智感知系統中傳感數據的新鮮度性能主要指智能終端提交感知任務至服務提供者過程中的AoI數值。具體而言,在實施高斯差分隱私保護技術的前提下,傳感數據在傳輸過程中的信噪比,以及無線信道的服務利用率可進一步表示為:

(13)

(14)

基于上述建立的模型,接下來將綜合考慮不同隊列模型、服務準則、傳輸緩存以及測度指標條件下的數據新鮮度性能,全面探究在上述場景下高斯差分隱私機制對群智感知中傳感數據新鮮度性能的影響。

3.1 不同隊列模型下的數據新鮮度性能

在感知數據從智能終端傳輸至服務提供者的過程中,大部分數據經由視距路徑進行傳輸,此時先產生的數據能夠被先傳輸至服務提供者處。為了對上述現象進行建模,采用先來先服務的服務準則,并考慮數據包產生速率與無線信道傳輸速率的不同特征情況,分別建立M/M/1,M/D/1和D/M/1的隊列模型。具體而言,基于式(12)～式(14),對第i個感知終端產生的傳感數據而言,考慮不同隊列模型對數據新鮮度性能的影響,此時基于高斯差分隱私的平均AoI表達式如下所示[12],其中ψ表示朗伯W函數:

(15)

(16)

(17)

3.2 不同服務準則下的數據新鮮度性能

由于無線信道具有時變與選擇衰落的特性,在感知數據從智能終端傳輸至服務提供者的過程中,先產生的傳感數據有可能會被后傳輸至服務提供者處。針對上述現象,采用后來先服務的服務準則進行建模,并考慮數據包產生速率與無線信道傳輸速率的不同特征情況,分別建立M/M/1,M/D/1和D/M/1的隊列模型。此時,基于式(12)～式(14),對第i個感知終端產生的傳感數據,考慮不同服務準則對數據新鮮度性能的影響,此時高斯差分隱私機制下的平均AoI表達式可進一步表示為[12]:

(18)

(19)

(20)

3.3 不同傳輸緩存下的數據新鮮度性能

由于無線信道具有不同的傳輸能力,在先來先服務的規則下,考慮不同傳輸緩存的情況。具體而言,隊列緩沖區的作用是在隊列未滿時接收新數據包,同時在隊列滿時將新數據包添加到隊列的末尾,從而保證隊列的先進先出。在M/M/1/1隊列模型下,若正在處于傳輸過程的數據包被丟棄,則監測到目的節點空閑的數據包會被立刻傳輸至接收端。對于M/M/1/2隊列模型,若某一數據包在源節點處于排隊隊列中,同時信道中有數據包正在傳輸,則源節點處的數據包保持等待狀態。在M/M/1/2*隊列模型下,考慮等待傳輸的數據包在更多最新的數據包到達時被替換。在此情況下,將無線信道的傳輸緩存能力因素考慮到數據新鮮度的性能分析之中,基于式(12)～式(14),對第i個感知終端產生的傳感數據而言,高斯機制下面向差分隱私的平均AoI可以計算為[21]:

(21)

(22)

(23)

3.4 不同測度指標下的數據新鮮度性能

為了探究不同測度指標對數據新鮮度的影響,采用平均AoI與峰值AoI兩種指標,以M/M/1/1、M/M/1/2以及M/M/1/2*隊列模型為例,基于文獻[21],對第i個感知終端產生的傳感數據而言,高斯機制下面向差分隱私的峰值AoI可以計算為[21]:

(24)

(25)

(26)

4 仿真實驗

4.1 參數設置

為了驗證建立的基于高斯差分隱私的數據新鮮度模型的正確性與有效性,在不同隊列模型、服務準則、傳輸緩存以及測度指標對傳感數據的AoI進行了仿真分析。具體的仿真參數與文獻[22]保持一致,其中感知終端的數量設置為5,以下仿真結果均以第1個感知終端為例。

4.2 結果及分析

隊列模型對數據新鮮度性能的影響如圖3所示。

(a)δ=10-3

(c)δ=10-7

由圖3可以看出,一方面,隨著失敗概率的減小,AoI的數值在增大;另一方面,對于先來先服務準則的數據包傳輸隊列,在相同的參數設置下,D/M/1隊列模型下的AoI數值最小,傳感數據的新鮮度最高。M/D/1隊列模型下的數據新鮮度性能優于M/M/1隊列模型。上述結論的具體原因分析如下,結合式(13)～式(17)可以發現,失敗概率的減小會引起隱私保護預算的增加,導致噪聲值的增大,對信干噪比產生影響,最終導致傳輸信道服務速率減小,進而引起AoI數值的增加。此外,在先來先服務準則下,當傳輸信道的服務速率較大時,AoI主要取決于數據包等待服務的時間。當傳輸信道服務速率較小時,AoI則主要取決于數據包的狀態更新速率,即傳感數據的產生速率。因此,確定性到達速率的傳輸系統具有較佳的數據時效性,而隨機到達與隨機服務系統的AoI數值則相對較大。

服務準則對數據新鮮度性能的影響如圖4所示。由圖4可以得到兩方面的結論:一方面,隨著失敗概率的減小,傳感數據的AoI數值在增加,數據時效性性能下降,具體原因與圖3中的分析一致;另一方面,在后來先服務準則下,3種典型隊列模型的數據新鮮度性能較先來先服務準則都有所提升,這是由于后來先服務準則能夠減小數據包在傳輸隊列中的排隊時間,進而降低了AoI數值。此外,在后來先服務準則下,D/M/1隊列模型下的AoI數值最小,傳感數據的時效性能最佳。M/M/1隊列模型下的數據新鮮度性能優于M/D/1隊列模型。原因在于,后來先服務準則導致確定性服務速率的M/D/1隊列模型中數據的排隊等待傳輸服務的時間較長,進而引起了AoI數值的增加。

(a)δ=10-3

(c)δ=10-7

傳輸緩存條件對數據新鮮度性能的影響如圖5所示。由圖5可以得到以下兩方面的結論:一方面,傳感數據的時效性性能隨著失敗概率的減小而減小,具體原因可見圖3的分析;另一方面,M/M/1/2*隊列模型下的AoI數值最小,此時傳感數據的新鮮度最高,時效性能最佳。此外,M/M/1/1隊列模型的數據新鮮度性能優于M/M/1/2隊列模型,主要原因在于,當服務時間較短時,數據的AoI主要取決于數據包的到達間隔時長,相較于M/M/1/2隊列模型,M/M/1/1隊列模型的傳輸緩存機制能夠保證較小的數據包的到達間隔時長,因此數據的AoI值更小。

(a)δ=10-3

(c)δ=10-7

測度指標對數據新鮮度性能的影響如圖6所示。由圖6可以看出,與平均AoI相比,峰值AoI的數值更大,更能反映數據傳輸過程中數據新鮮度的極值特性。此外,在峰值AoI的指標體系下,M/M/1/2*隊列模型下的AoI數值最小,此時傳感數據的新鮮度最高,時效性能最佳。此外,M/M/1/2隊列模型的數據新鮮度性能優于M/M/1/1隊列模型,主要原因在于,相較于M/M/1/1隊列模型,M/M/1/2隊列模型的傳輸緩存機制能夠保證等待傳輸的數據包在更多最新的數據包到達時被替換,因此數據的峰值AoI值更小。

(a)δ=10-3

(c)δ=10-7

5 結束語

針對群智感知系統中數據隱私安全問題與時效性問題,本文利用AoI指標,在高斯差分隱私機制下,進行了面向隱私保護的群智感知系統中數據時效性性能分析。與現有的工作相比,本文彌補了群智感知系統中同時實現數據時效性分析與隱私安全性提升的研究空白,綜合分析了在不同隊列模型、服務準則、傳輸緩存以及測度指標下傳感數據的AoI指標,充分揭示了數據新鮮度與高斯差分隱私保護效果間的關系,即高斯機制的差分隱私保護效果與傳感數據新鮮度性能呈負相關。在未來,將考慮云服務中心節點面臨單節點故障攻擊時,狀態更新策略對隱私安全與數據時效性的影響。