邊緣協(xié)作的輕量級安全區(qū)域建議網(wǎng)絡(luò)

熊金波，畢仁萬，陳前昕，劉西蒙

（1.福建師范大學(xué)數(shù)學(xué)與信息學(xué)院，福建 福州 350117；2.福建師范大學(xué)福建省網(wǎng)絡(luò)安全與密碼技術(shù)重點(diǎn)實(shí)驗(yàn)室，福建 福州 350007；3.福州大學(xué)數(shù)學(xué)與計算機(jī)科學(xué)學(xué)院，福建 福州 350108；4.福州大學(xué)網(wǎng)絡(luò)系統(tǒng)信息安全福建省高校重點(diǎn)實(shí)驗(yàn)室，福建 福州 350108）

1 引言

隨著人工智能和物聯(lián)網(wǎng)技術(shù)及其覆蓋面不斷擴(kuò)延，智慧城市[1]、智能家居[2]、智能物流等概念自提出以來就受到廣泛關(guān)注。根據(jù)中國智能物聯(lián)網(wǎng)（AIoT,artificial intelligence and Internet of things）白皮書預(yù)測[3]，到2025 年，中國物聯(lián)網(wǎng)設(shè)備接入量將達(dá)200 億臺。自動駕駛車輛[4]、視頻監(jiān)控[5]、機(jī)器人等依賴物聯(lián)網(wǎng)設(shè)備的群智感知視覺應(yīng)用[6]，同時扮演著數(shù)據(jù)生產(chǎn)者和消費(fèi)者的角色，通過裝載的高清攝像頭實(shí)時拍攝室內(nèi)或室外場景信息，正確識別視野內(nèi)目標(biāo)的類別和位置，進(jìn)而提供適當(dāng)?shù)男袨椴呗曰驊?yīng)用服務(wù)。

考慮目標(biāo)檢測任務(wù)本身的復(fù)雜開銷問題，智能設(shè)備通常將預(yù)處理后的圖像數(shù)據(jù)及檢測任務(wù)外包給第三方進(jìn)行存儲和分析處理[7-8]，以最大程度地減少存儲空間占用、計算開銷和設(shè)備電源損耗。同時，由于網(wǎng)絡(luò)容量、帶寬等限制，邊緣計算范式[9]將計算任務(wù)卸載至網(wǎng)絡(luò)邊緣，可以大大降低智能終端與邊緣節(jié)點(diǎn)間的通信時延，從而滿足時延敏感的智能應(yīng)用需求。

目前，已經(jīng)有學(xué)者結(jié)合邊緣計算展開目標(biāo)檢測模型研究[10-11]，Ren 等[12]針對實(shí)時監(jiān)控的應(yīng)用需求，利用邊緣計算來實(shí)現(xiàn)分布式、時延敏感的目標(biāo)檢測任務(wù)，有效地降低了通信開銷和應(yīng)用程序部署成本。Nikouei 等[13]提出了一種輕量級卷積神經(jīng)網(wǎng)絡(luò)，并將該網(wǎng)絡(luò)部署在邊緣節(jié)點(diǎn)上，利用邊緣計算的優(yōu)勢實(shí)現(xiàn)了實(shí)時的密集行人目標(biāo)檢測。Zhang 等[14]提出了一種匹配邊緣計算設(shè)備與建議區(qū)域的濾波算法，該算法利用有限的計算能力和內(nèi)存來實(shí)現(xiàn)目標(biāo)的跟蹤和檢測，并能保持較高的精度和較低的計算開銷。

就目標(biāo)檢測技術(shù)而言，根據(jù)對檢測精度和計算開銷之間的權(quán)衡程度，主流的目標(biāo)檢測模型可以分為單目標(biāo)檢測與雙目標(biāo)檢測模型兩類[11]。Girshick等[15]最早提出了一種分類和位置檢測分離的目標(biāo)檢測方法R-CNN（region-convolutional neural network），利用選擇性搜索方式裁剪獲得固定數(shù)量的目標(biāo)位置區(qū)域，將這些區(qū)域縮放為固定尺寸后，順序地通過卷積神經(jīng)網(wǎng)絡(luò)（CNN,convolutional neural network）進(jìn)行分類[16]。顯然，這需要大量的時間開銷，縮放過程中的裁剪操作也會破壞完整的圖像信息，導(dǎo)致檢測精度下降。為了高效、準(zhǔn)確地捕捉目標(biāo)區(qū)域，Ren 等[17]提出了優(yōu)化的端對端網(wǎng)絡(luò)模型Faster R-CNN，利用卷積神經(jīng)網(wǎng)絡(luò)獲取圖像的特征圖，并引入了區(qū)域建議網(wǎng)絡(luò)（RPN,region proposal network）概念，利用多種長寬比和尺寸的錨在特征圖上進(jìn)行檢測，根據(jù)每個目標(biāo)的殘差值生成對應(yīng)的邊界區(qū)域，通過共享圖像特征和邊界框坐標(biāo)，同時獲得所有目標(biāo)的位置及其類別。相比于雙目檢測模型，Redmon 等[18]將目標(biāo)檢測視為包含類別信息的位置回歸問題，提出端對端的單目檢測模型（YOLO,you only look once），具有計算效率方面的優(yōu)勢，但這類模型的檢測精度相對較低。

然而，攝像頭收集的圖像數(shù)據(jù)通常包含大量隱私信息，例如自動駕駛車輛所拍攝的圖像涉及特定目標(biāo)的位置和車輛自身的移動軌跡信息[5]、室內(nèi)監(jiān)控圖像包含私人的生活環(huán)境信息[6]等。當(dāng)數(shù)據(jù)擁有者將原始數(shù)據(jù)與任務(wù)提交至邊緣節(jié)點(diǎn)時，邊緣節(jié)點(diǎn)是否可信、邊緣環(huán)境是否存在惡意敵手是數(shù)據(jù)擁有者無從得知的，這意味著原始數(shù)據(jù)所包含的隱私信息存在泄露的風(fēng)險，因此，原始數(shù)據(jù)必須以密文形式上傳至邊緣節(jié)點(diǎn)進(jìn)行存儲或處理[19]。目前，學(xué)者們主要基于同態(tài)加密（HE,homomorphic encryption）[20]或加性秘密共享方案來尋求處理密態(tài)數(shù)據(jù)的解決方法。Dowlin 等[21]提出了基于HE 的隱私保護(hù)卷積神經(jīng)網(wǎng)絡(luò)模型CryptoNets，該模型允許數(shù)據(jù)所有者以加密形式將數(shù)據(jù)發(fā)送至云服務(wù)器來執(zhí)行圖像分類任務(wù)，但只能支持簡單的線性運(yùn)算。為了彌補(bǔ)網(wǎng)絡(luò)模型單一的缺陷，Hesamifard 等[22]設(shè)計了一些低階多項(xiàng)式函數(shù)，利用線性HE 可以近似處理線性修正單元（ReLU,rectified linear unit）、Sigmoid函數(shù)等激活操作。Juvekar 等[23]結(jié)合HE 和安全兩方計算，設(shè)計了一些支持向量的密態(tài)計算協(xié)議。相比于基于HE 的解決方案，在犧牲少量通信開銷的前提下，Huang 等[24]結(jié)合加性秘密共享方案設(shè)計了安全乘法與安全比較協(xié)議，提出了一種輕量級特征提取框架，具有較高的執(zhí)行效率。然而，ReLU 激活層耗費(fèi)了大量時間開銷計算符號進(jìn)位加法，難以應(yīng)用于實(shí)時深層CNN 任務(wù)。Liu 等[25]提出了第一種隱私保護(hù)目標(biāo)檢測模型SecRCNN，設(shè)計的一系列安全計算協(xié)議可以保證檢測過程中圖像數(shù)據(jù)的隱私性，但多輪迭代計算的特征使目標(biāo)檢測任務(wù)需要耗費(fèi)大量的時間開銷。

針對當(dāng)前目標(biāo)檢測模型只專注于檢測精度和執(zhí)行效率的提升與優(yōu)化，忽視了圖像數(shù)據(jù)的隱私性，本文借鑒數(shù)據(jù)信息全生命周期的隱私保護(hù)和計算體系結(jié)構(gòu)[26]，基于加性秘密共享方案為RPN 設(shè)計相應(yīng)的安全模型，同時貼合網(wǎng)聯(lián)自動駕駛車輛等實(shí)時應(yīng)用的低延時需求，在不影響圖像隱私性的前提下盡可能地壓縮時間和通信開銷。本文的主要貢獻(xiàn)具體如下。

1) 基于加性秘密共享方案設(shè)計了安全激活（SRU,secure ReLU）、安全Softmax（SST,secure softmax）、安全錨變換（SAT,secure anchor transform）、安全邊界框裁剪（SBC,secure bounding-box clip）、安全邊界框過濾（SBF,secure bounding-box filter）、安全非極大值抑制（SNMS,secure non-maximum suppression）等安全計算協(xié)議，實(shí)現(xiàn)網(wǎng)絡(luò)函數(shù)功能的同時避免泄露隱私信息。相比于同態(tài)加密原語和多輪迭代逼近方法，本文方案具有計算和通信復(fù)雜度優(yōu)勢。

2) 提出一種安全RPN 結(jié)構(gòu)SecRPN，智能終端隨機(jī)地拆分圖像數(shù)據(jù)并分別上傳至邊緣節(jié)點(diǎn)，2 臺邊緣服務(wù)器調(diào)用上述安全計算協(xié)議協(xié)同執(zhí)行SecRPN，依次包含安全特征處理、安全錨變換、安全邊界框修正、安全非極大值抑制等計算模塊，最終獲得圖像內(nèi)目標(biāo)的邊界框和相應(yīng)的分類概率。由于雙方均不能獲得完整的計算結(jié)果，SecRPN 可以保證目標(biāo)位置區(qū)域和所屬類別的隱私性。

3) 通過完備的理論分析證明安全計算協(xié)議和SecRPN 的正確性、安全性和高效性。實(shí)驗(yàn)性能評估表明，SecRPN 的計算誤差可以維持在10?5左右，所獲得的安全邊界框與明文環(huán)境下的安全邊界框幾乎完全重合，并且時間成本僅為0.34 s。

2 基礎(chǔ)知識

2.1 區(qū)域建議網(wǎng)絡(luò)

RPN 將圖像內(nèi)擬合的目標(biāo)邊界區(qū)域提取出來，分別送入全連接層模塊進(jìn)行分類，進(jìn)而實(shí)現(xiàn)目標(biāo)位置和類別檢測的雙重目的。在提取CNN 特征圖后，RPN 分別利用大小為2×9 和4×9 的單位卷積核執(zhí)行逐點(diǎn)卷積操作，起到聯(lián)通所有特征通道的作用。圍繞每個特征點(diǎn)匹配9 種不同比例和尺寸的錨（示范邊界框），根據(jù)錨的左上角和右下角坐標(biāo)，以及是否包含目標(biāo)的分?jǐn)?shù)進(jìn)行描述，并利用Softmax 函數(shù)將分?jǐn)?shù)映射至區(qū)間[0,1]。為了獲得所需要的目標(biāo)邊界框，RPN 將錨{xup,xbottom,yup,ybottom}變換為{wa,ha,xa,ya}，其中，(xup,yup)和(xbottom,ybottom)分別表示錨的左上角和右下角坐標(biāo)，wa、ha和(xa,ya)分別表示錨的寬、高和中心坐標(biāo)，然后利用三類方向上的位移值(dw,dh,dx,dy)執(zhí)行錨變換獲得目標(biāo)邊界框{wb,hb,xb,yb}，即計算wb=waedw、hb=haedh、xb=wdx+xa和yb=hady+ya。隨后，執(zhí)行的裁剪和過濾操作的目的是為了將邊界框控制在圖像邊界內(nèi)，并刪除小于單位面積的無意義邊界框。NMS協(xié)議用于剔除檢測分?jǐn)?shù)較低、冗余的邊界框，保留分?jǐn)?shù)較高、有價值的邊界。為了判定2 個邊界框的相似程度，本文定義交占比（IoU,intersection over union）為邊界框重疊區(qū)域面積與覆蓋區(qū)域面積的比值，當(dāng)IoU 低于設(shè)定的閾值時，則認(rèn)為2 個邊界框是相似的，進(jìn)而保留檢測分?jǐn)?shù)較高的檢測框。經(jīng)過這一系列操作之后，所得到的一批目標(biāo)邊界框可以代表整個特征圖內(nèi)的目標(biāo)區(qū)域。

2.2 基本安全計算協(xié)議

3 模型定義

3.1 系統(tǒng)模型

本文旨在解決智能物聯(lián)網(wǎng)環(huán)境下數(shù)據(jù)采集設(shè)備將目標(biāo)檢測任務(wù)移動至邊緣節(jié)點(diǎn)導(dǎo)致的圖像數(shù)據(jù)隱私問題，并盡可能地減少計算和通信開銷浪費(fèi)。系統(tǒng)模型如圖1 所示，參與實(shí)體包含數(shù)據(jù)擁有者O、可信第三方服務(wù)器T、2 臺邊緣服務(wù)器(S1和S2)、應(yīng)用服務(wù)提供商P，具體職能描述如下。

1) O 負(fù)責(zé)采集物聯(lián)網(wǎng)智能終端中的實(shí)時圖像，將特征圖隨機(jī)拆分為2 份加法副本，并分別提交給 S1和 S2。

2) T 僅負(fù)責(zé)離線生成隨機(jī)數(shù)，并按照協(xié)議要求分別傳遞給 S1和 S2。

3) 接收到上傳的加法特征副本后，S1和 S2將加法副本隱藏至隨機(jī)數(shù)中進(jìn)行交互，根據(jù)安全計算協(xié)議執(zhí)行安全特征處理、安全錨變換、安全邊界框修正、安全NMS 等模塊操作，然后將各自獲得的檢測結(jié)果副本發(fā)送給P。

4) P 僅需要執(zhí)行加法便可以恢復(fù)出完整的檢測結(jié)果，包含目標(biāo)的類別和位置信息。

圖1 SecRON 網(wǎng)絡(luò)模型

3.2 安全模型

本文定義隱私為檢測目標(biāo)的類別和位置信息，具體表現(xiàn)為網(wǎng)絡(luò)處理過程中檢測目標(biāo)的每一位特征值。在半可信模型中，T 對于其他實(shí)體而言是完全可信的，不直接參與 S1和 S2的交互計算，因此不會影響模型的安全性。S1和 S2被認(rèn)為是誠實(shí)且好奇的實(shí)體，嚴(yán)格遵循所設(shè)計協(xié)議的要求，并期望通過已知信息推測出完整的隱私信息。S1和 S2是不能共謀的，只能通過傳遞隨機(jī)數(shù)進(jìn)行交互，并且安全模型參與方的信息傳遞需要經(jīng)過安全信道，以避免信息被惡意篡改。在計算過程中，若完整的隱私信息不會被 S1和 S2及概率多項(xiàng)式時間敵手A 截獲，那么認(rèn)為提出的模型是安全的。

類似于安全模型定義[24-25,28-30]，假設(shè)具備以下攻擊能力：①A至多可以竊聽一類（圖1 中的“鏈路1”或“鏈路2”）通信鏈路并獲得傳遞的特征副本；②A至多可以破壞一臺邊緣服務(wù)器（S1或S2）并獲得擁有的特征副本；③A不能惡意干擾數(shù)據(jù)擁有者與(S1,S2)、T 與(S1,S2)、P 與(S1,S2)、S1與S2之間的正常通信，不能篡改傳遞的信息內(nèi)容。

4 構(gòu)造SecRPN

4.1 SecRPN 概述

SecRPN 結(jié)構(gòu)如圖2 所示。當(dāng)接收到2 份特征圖副本后，S1和 S2順序地交互執(zhí)行安全特征處理、安全錨變換、安全邊界框修正和安全NMS 等模塊操作，然后分別輸出目標(biāo)檢測結(jié)果副本。為了便于區(qū)分，S1執(zhí)行圖2 中深灰色部分的操作，S2執(zhí)行淺灰色部分的操作。在安全特征處理模塊中，S1和 S2利用大小為3×3的卷積核計算線性卷積，并在ReLU激活層中將2份加法副本之和的負(fù)特征值設(shè)置為0。為了聯(lián)通所有深度特征通道，S1和 S2利用大小為1×1 的卷積核協(xié)同執(zhí)行逐點(diǎn)卷積操作生成目標(biāo)邊界框的分?jǐn)?shù)和位移特征，額外地，S1和 S2需要執(zhí)行安全Softmax 操作將錨的分?jǐn)?shù)映射至區(qū)間[0,1]。隨后，S1和 S2生成9 種不同比例和尺寸的錨，并利用目標(biāo)邊界框的位移特征執(zhí)行安全的錨變換操作。安全邊界框修正操作的目的是將逾越圖像邊界的邊界框限制在圖像邊界內(nèi)，并且剔除小于單位大小的邊界框。根據(jù)邊界框的概率大小及修正邊界框之間的重疊程度，S1和 S2執(zhí)行安全NMS 操作刪除概率較低的相似邊界框。

4.2 安全特征處理模塊

特征圖中隱含著圖像目標(biāo)的類別和位置邊界信息，經(jīng)過安全特征處理操作，S1和 S2可以采用2路卷積模塊輸出目標(biāo)的分類概率和邊界框坐標(biāo)位移量。關(guān)于常規(guī)卷積和逐點(diǎn)卷積的線性計算，S1和S2分別擁有特征圖副本x1和x2，已知公共的卷積核權(quán)重和偏置參數(shù)(ω,b)，S1和 S2利用加性秘密共享獨(dú)立計算z1=ωx1+b和z2=ωx2+b，可以獲得完整特征圖(x1+x2)的卷積結(jié)果，即z1+z2=ωx+b。然而，ReLU 激活層負(fù)責(zé)計算非線性函數(shù)max(y,0)，這顯然不能直接拆分，因此本文提出了SRU 協(xié)議。已知輸入z1和z2，滿足z=z1+z2，S1和 S2協(xié)同執(zhí)行SComp 協(xié)議獲得y與0 的比較結(jié)果，即z的符號位b。若z≥ 0，則b=0；若z< 0，則b=1。S1和S2直接將輸入與相乘獲得激活結(jié)果，若z≥ 0，則；否則。具體過程如協(xié)議1 所示。

圖2 SecRPN 結(jié)構(gòu)

4.3 安全錨變換模塊

4.4 安全邊界框修正模塊

4.5 安全非極大值抑制模塊

為了進(jìn)一步縮減目標(biāo)邊界框的數(shù)量，提高位置檢測效率，SecRPN 采用NMS 方法來剔除相似的目標(biāo)邊界框，保留概率較高的目標(biāo)邊界框。IoU 用來描述2 個邊界框的相似程度，其定義為重疊區(qū)域面積與覆蓋區(qū)域面積的比值，取值范圍為[0,1]。如果IoU=0，表示邊界框無重疊；如果IoU=1，表示邊界框完全重疊。已知邊界框H和R的位置關(guān)系如圖3 所示，則IoU 可表示為，其中，ΩH表示邊界框H的面積，ΩR表示邊界框R的面積，ΩH∩R表示邊界框H和邊界框R的重疊區(qū)域面積。選擇公共的相似閾值η′，若η′≤IoUH,R≤ 1，則認(rèn)為邊界框H和R是相似的。

圖3 邊界框H 和R 的位置關(guān)系

在此基礎(chǔ)上，S1和 S2協(xié)同執(zhí)行SNMS 協(xié)議，如協(xié)議7 所示。已知目標(biāo)邊界框副本U1和U2，以及其相應(yīng)的概率副本P1和P2，S1和 S2通過傳遞坐標(biāo)差值間接地計算邊界框的面積S（步驟2)～步驟4)），而不會泄露完整的邊界框坐標(biāo)值。然后，S1和S2調(diào)用SDS 協(xié)議計算概率值降序排列后的索引列表?（步驟5)），保留概率最高的邊界框索引d（步驟8)），將剩余邊界框與之進(jìn)行相似性判比，相似性問題可以歸納于重疊區(qū)域面積的安全計算。對于索引為d和k的2 個邊界框，首先借助圖3 來判斷兩者的位置關(guān)系，比較左上角和右下角坐標(biāo)值，獲得重疊區(qū)域T1+T2（步驟11)～步驟14)），接下來，S1和 S2計算T1+T2的面積s，若s≤ 0，則認(rèn)為2個邊界框無重疊，此時IoU=0（步驟15)～步驟16)）。若IoU≥η′，則認(rèn)為邊界框存在冗余，并從列表?中刪除這些冗余索引（步驟18)～步驟19)）。經(jīng)過若干次迭代分類邊界框索引，直到?←?，終止迭代。根據(jù)索引列表Ψ，S1和 S2可以獲得NMS抑制的邊界框副本V1和V2。

5 理論分析

5.1 正確性分析

5.2 安全性分析

在半可信模型中，假設(shè)存在概率多項(xiàng)式時間的模擬器M，為敵手A 生成一組模擬視圖，若該視圖在計算上與真實(shí)視圖無法區(qū)分，則認(rèn)為提出的計算協(xié)議是安全的。在安全性證明之前，需要引入下述引理[28-30]。

引理1若協(xié)議調(diào)用的所有子協(xié)議在概率多項(xiàng)式時間內(nèi)是可模擬的，那么該協(xié)議是可模擬的。

引理 2若a∈?m是均勻分布的，并且與b∈?m相互獨(dú)立，那么認(rèn)為a±b也是均勻分布的，并且與b相互獨(dú)立。

根據(jù)引理1 所述，SecRPN 的安全性可以歸結(jié)于所設(shè)計協(xié)議的安全性證明。其中，SMul、SComp協(xié)議和SExp 協(xié)議的子協(xié)議的安全性在文獻(xiàn)[22,26]中已經(jīng)得到證明。同時，所設(shè)計協(xié)議以數(shù)組作為輸入，由于每個數(shù)組元素的計算形式一致，根據(jù)引理2 可知，參與計算的隨機(jī)數(shù)組也是均勻分布的。

定理1在半可信模型中，SRU 協(xié)議、SST 協(xié)議和SAT 協(xié)議是安全的。

5.3 復(fù)雜度分析

本節(jié)從計算復(fù)雜度和通信復(fù)雜度兩方面評估和分析所提SecRPN 中安全計算協(xié)議的效率，其結(jié)果分別如表1 和表2 所示。從表1 可以看出，相比于明文環(huán)境下的RPN[17]，引入安全計算協(xié)議后顯然會增加計算開銷。在SRU 協(xié)議中，SecRCNN[25]采用的比較協(xié)議[24]與數(shù)值的二進(jìn)制位長度相關(guān)，而SecRPN 基于順序結(jié)構(gòu)的SComp 協(xié)議可以完成激活計算，其計算復(fù)雜度為O(N)。在SST 協(xié)議中，相比于SecRCNN[25]，SecRPN 調(diào)用的SExp 協(xié)議不需要多輪迭代，并且采用傳遞公共分母方式可以避免額外的比較計算，其計算復(fù)雜度為O(N)。關(guān)于SAT協(xié)議、SBC 協(xié)議和SBF 協(xié)議，由于SecRPN 底層的SComp 協(xié)議是順序執(zhí)行的，因此計算復(fù)雜度均與RPN[17]相同。關(guān)于SDS 協(xié)議，SecRCNN[25]的每一次比較均需要調(diào)用比較協(xié)議，而SecRPN 的SDS 協(xié)議與RPN[17]的快速排序相似，其計算復(fù)雜度為O(NlogN)。此外，SecRPN 的SNMS 協(xié)議順序執(zhí)行SDS 協(xié)議和計算IoU 的循環(huán)結(jié)構(gòu)，其計算復(fù)雜度為O(NlogN)。

表1 安全計算協(xié)議的計算復(fù)雜度

表2 描述了協(xié)議中 S1和 S2之間的通信輪數(shù)及其通信開銷，底層的SMul協(xié)議、SExp協(xié)議和SComp協(xié)議均不依賴任何循環(huán)操作，僅需要一輪或3 輪通信。在SecRPN 中，SRU 協(xié)議執(zhí)行一次SComp 協(xié)議，SST 協(xié)議執(zhí)行2 次SExp 協(xié)議和一次數(shù)據(jù)傳遞，均需要3 輪通信。在SAT 協(xié)議中，包含4 次乘法和2 次指數(shù)計算，共需要6 輪通信。SBC 和SBF 分別執(zhí)行8 次和2 次SComp 協(xié)議，分別需要24 輪和6輪通信。SDS 協(xié)議僅需要一輪通信傳遞虛構(gòu)概率副本，SNMS 協(xié)議的通信開銷依賴于IoU 循環(huán)次數(shù)，需要2 +13logN輪通信。

表2 安全計算協(xié)議的通信復(fù)雜度

6 性能評估

本節(jié)將對所提安全計算協(xié)議和SecRPN 的實(shí)際性能進(jìn)行評估，同時分析驗(yàn)證基于SecRPN 的目標(biāo)檢測結(jié)果的正確性和安全性。本文實(shí)驗(yàn)環(huán)境為Intel(R) Core(TM) i7-8565U CPU@1.80 GHz，20 GB RAM 硬件配置的64 位計算機(jī)，在Pycharm 仿真平臺上進(jìn)行實(shí)驗(yàn)，利用Numpy 工具完成協(xié)議的數(shù)組傳遞和計算。

6.1 安全計算協(xié)議性能

本文將從實(shí)際計算開銷、通信開銷和計算誤差3 個方面評估安全計算協(xié)議的性能。通過斷點(diǎn)測試，利用安全計算協(xié)議的運(yùn)行時間衡量計算開銷，服務(wù)器之間傳輸?shù)臄?shù)據(jù)量大小衡量負(fù)載的通信開銷，將安全計算協(xié)議與明文函數(shù)的輸出結(jié)果的最大差異作為計算誤差。批處理大小（數(shù)組長度N）是影響計算和通信開銷的主要因素，從圖4(a)～圖4(f)可知，安全計算協(xié)議的計算開銷隨著批處理的增大而增加。相比于文獻(xiàn)[22]中的安全ReLU 協(xié)議，當(dāng)N=105時，SRU 協(xié)議的計算效率提高了近30 倍，其時間開銷約為ReLU 計算的4 倍（圖4(a)）。SST和SAT 協(xié)議的時間開銷與原始的Softmax 函數(shù)和錨變換操作相比較，時間開銷沒有明顯增加，若利用泰勒展開方式[32]設(shè)計這2 種安全協(xié)議，時間開銷會隨著迭代次數(shù)m而增加，且遠(yuǎn)高于本文提出的協(xié)議（圖4(b)和圖4(c)）。相比于明文環(huán)境下RPN 的邊界框裁剪、邊界框過濾和NMS 計算，SBC 協(xié)議、SBF協(xié)議和SNMS 協(xié)議處理長度為104以內(nèi)的數(shù)組，計算開銷沒有明顯增長趨勢，即使處理長度為105的數(shù)組，計算開銷也可以分別控制在95 ms、410 ms和1 150 ms 內(nèi)（圖4(d)～圖4(f)）。

由圖4(g)和圖4(h)可知，計算協(xié)議的通信開銷隨著數(shù)組長度N的增大而增加，當(dāng)處理長度為105的數(shù)組，SRU 協(xié)議、SST 協(xié)議、SAT 協(xié)議和SBF協(xié)議的通信開銷控制在4 MB內(nèi)，SBC協(xié)議和SNMS協(xié)議的通信輪數(shù)相對頻繁，其通信開銷也可以控制在15 MB 內(nèi)。輸入范圍是影響計算誤差的主要因素。圖4(i)顯示當(dāng)輸入在1～20 時，SST 協(xié)議的計算誤差維持在10?5量級，等同于迭代40 次的SecST 協(xié)議。從圖4(j)可知，SAT 協(xié)議的計算誤差與錨的坐標(biāo)值范圍和位移值范圍有關(guān)，當(dāng)位移大于10后，SAT 協(xié)議的計算誤差增長比較緩慢，且遠(yuǎn)小于SecAT 協(xié)議。由于SComp 協(xié)議的計算誤差不會影響到整數(shù)部分，因此輸出的符號位不會影響比較結(jié)果，不考慮系統(tǒng)抖動因素，在此基礎(chǔ)上設(shè)計的SRU 協(xié)議、SBC 協(xié)議、SBF 協(xié)議和SNMS協(xié)議可以實(shí)現(xiàn)零誤差。

6.2 目標(biāo)檢測結(jié)果

本文采用數(shù)據(jù)集PASCAL VOC 2007[31]進(jìn)行實(shí)驗(yàn)，該數(shù)據(jù)集包含20 個類別，共9 963 張圖片（其中，5 011 張為訓(xùn)練圖片，4 952 張為測試圖片），超過27 000 個目標(biāo)邊界框。隨機(jī)挑選一張圖片，S1和 S2利用設(shè)計的安全計算協(xié)議交互執(zhí)行SecRPN，開銷如表3 所示，執(zhí)行512 條通道的安全卷積操作需要52.0 ms，相應(yīng)的安全ReLU 激活需要178.5 ms，然后利用大小為1×1 的卷積核獲得目標(biāo)位移值和分?jǐn)?shù)需要0.6 ms，針對目標(biāo)和背景2 個類別執(zhí)行安全Softmax 操作需要3.0 ms。根據(jù)9 種不同比例和尺寸的錨，執(zhí)行安全錨變換、安全邊界框修正（裁剪和過濾）及安全NMS 操作均可以維持在毫秒級。在SecRPN 中，因數(shù)值精度引入的計算誤差如圖5(a)所示，SST 協(xié)議的計算誤差約為10?8，后續(xù)協(xié)議操作的計算誤差可以維持在10?5量級。綜上所述，SecRPN 實(shí)際產(chǎn)生的計算開銷為340.7ms，約為明文環(huán)境下RPN 的4 倍，通信開銷為27.21 MB，均優(yōu)于現(xiàn)有工作[25]，具體如表4 所示。

圖4 安全計算協(xié)議性能結(jié)果

隨機(jī)挑選的圖片經(jīng)過SecRPN 處理后，S1和 S2將各自的目標(biāo)邊界框副本和分類概率向量發(fā)送給P，如圖5(b)所示，P利用加法可以恢復(fù)出完整的目標(biāo)檢測邊界框[80,46,422,298]和預(yù)測類別“bus”，并且與明文環(huán)境下的目標(biāo)檢測邊界框僅存在10?5誤差。圖5(c)顯示，相比于正確的目標(biāo)邊界框，S1和S2獲得的邊界框副本[374,501,2974,1 038]和[?294,?455,?2 552,?740]是無意義的。特別地，為了進(jìn)一步凸顯SecRPN 的安全性，下面提出一種測試方法。S1和 S2獨(dú)自地進(jìn)行檢測操作，重復(fù)獨(dú)立執(zhí)行3 次后，檢測結(jié)果分別如圖5(d)和5(e)所示，相比于正確的目標(biāo)邊界框和類別，S1和 S2獲得的目標(biāo)類別和位置結(jié)果是隨機(jī)的，并且目標(biāo)概率近似于均勻分布，約為0.05。由此可見，S1和 S2及約束下的敵手A 均無法獲得正確的檢測結(jié)果，證明了SecRPN 是正確且安全的。

表3 網(wǎng)絡(luò)層的開銷比較

表4 網(wǎng)絡(luò)的開銷比較

圖5 SecRPN 的檢測結(jié)果

7 結(jié)束語

針對物聯(lián)網(wǎng)外包環(huán)境下目標(biāo)檢測任務(wù)的圖像隱私泄露問題，本文在雙邊緣協(xié)作模式下基于加性秘密共享方案設(shè)計了一系列安全計算協(xié)議，組合的SecRPN 可以在保證目標(biāo)特征和位置隱私性的前提下實(shí)現(xiàn)目標(biāo)檢測。完備的理論分析證明了安全計算協(xié)議和SecRPN 的正確性、安全性和高效性，實(shí)驗(yàn)結(jié)果表明SecRPN 僅耗費(fèi)0.34 s 的時間成本，邊緣節(jié)點(diǎn)之間需要負(fù)載27.21 MB 的通信開銷，并且計算誤差可以控制在10?5左右，這對于實(shí)時需求嚴(yán)苛的物聯(lián)網(wǎng)服務(wù)具有良好的應(yīng)用前景。在未來工作中，將繼續(xù)研究降低隱私目標(biāo)檢測任務(wù)開銷和誤差的解決方法。

附錄 協(xié)議的構(gòu)造過程