聯(lián)邦控制:面向信息安全和權(quán)益保護的分布式控制方法

朱 靜 王飛躍 , 王 戈 田永林 袁 勇 王 曉 齊紅威 賈曉豐

大數(shù)據(jù)引爆人工智能技術(shù)的飛速發(fā)展,我們由此進入數(shù)據(jù)引領(lǐng)的新科技時代[1-2].然而數(shù)據(jù)安全、數(shù)據(jù)隱私、數(shù)據(jù)孤島等問題日漸浮現(xiàn)[3],出現(xiàn)了越來越多的數(shù)據(jù)不愿分享、不敢分享、甚至不能分享的應(yīng)用場景與現(xiàn)實局限,在很大程度上制約了智能技術(shù)的發(fā)展與應(yīng)用.比如在國防軍事方面,大量數(shù)據(jù)關(guān)于國計民生,不能與外部系統(tǒng)互聯(lián)互通,甚至在軍事內(nèi)部系統(tǒng)也存在不同的保密級別;在工業(yè)及企業(yè)實現(xiàn)聯(lián)合控制方面,不同工廠、企業(yè)系統(tǒng)及其子系統(tǒng)間的信息與狀態(tài)往往與金錢利益密切相關(guān),資源及信息的共享交流主觀上不愿意進行;智慧城市系統(tǒng)的建設(shè)及發(fā)展需要將城市中的各類系統(tǒng)和服務(wù)全部打通,而交通、醫(yī)療、水、電等不同智慧平臺內(nèi)部狀態(tài)與數(shù)據(jù)存在多維度異構(gòu)情況,受制于科技水平約束數(shù)據(jù)融合使用的難度很大.與此同時,數(shù)據(jù)的使用和共享在法律層面的約束與日俱增,關(guān)于數(shù)據(jù)隱私和信息安全的法律法規(guī)不斷推出:比如歐盟于2018 年推出了 “通用數(shù)據(jù)保護條例” (GDPR),使得數(shù)據(jù)孤島問題日益突出.美國耶魯大學(xué)教授Balkin 在2016 年提出了信息信托(Information fiduciaries)的概念來描述數(shù)據(jù)所有者與數(shù)據(jù)控制者之間的關(guān)系[4],從而引發(fā)了研究人員對數(shù)據(jù)所有權(quán)、控制權(quán)、使用權(quán)及其涉及隱私問題的廣泛討論[5-7].

為解決數(shù)據(jù)分散化問題,中國科學(xué)院自動化研究所王飛躍研究員等于2020 年正式提出由聯(lián)邦數(shù)據(jù)、聯(lián)邦控制、聯(lián)邦管理、聯(lián)邦服務(wù)構(gòu)成的聯(lián)邦生態(tài)[8]概念.聯(lián)邦生態(tài)以數(shù)據(jù)隱私、數(shù)據(jù)安全、資源一體化為驅(qū)動,借助基于區(qū)塊鏈的聯(lián)邦安全、聯(lián)邦共識、聯(lián)邦激勵、聯(lián)邦合約等支撐技術(shù),在隱私可控的前提下為大型問題提供個性化的智能服務(wù).聯(lián)邦控制作為聯(lián)邦智能的核心組成,關(guān)注聯(lián)邦數(shù)據(jù)信息安全與權(quán)益保護,是聯(lián)邦生態(tài)安全運行的物質(zhì)基礎(chǔ).然而,我們在某搜索引擎里搜索關(guān)鍵詞 “聯(lián)邦控制”及“Federated control” (如圖1 所示),可以看出面向信息安全和權(quán)益保護的聯(lián)邦控制概念尚未提出,更不要提與之相關(guān)的學(xué)術(shù)成果.大數(shù)據(jù)時代下,我們對信息安全和數(shù)據(jù)隱私的要求越來越高,亟需相關(guān)的控制理論與方法支撐.

圖1 聯(lián)邦控制搜索結(jié)果(2021-02-28)Fig.1 Search results on federated control (2021-02-28)

基于此,本文提出關(guān)注大型復(fù)雜系統(tǒng)信息安全與權(quán)益保護的聯(lián)邦控制理論.本文結(jié)構(gòu)如下:第1節(jié)介紹了針對大型復(fù)雜系統(tǒng)現(xiàn)有的控制方案及其特點.第2 節(jié)提出并詳細(xì)闡述了聯(lián)邦控制方案的理論架構(gòu),包括其內(nèi)部架構(gòu)、基本特色和研究框架.在第3 節(jié)中,我們討論了區(qū)塊鏈技術(shù)對聯(lián)邦控制理論的技術(shù)支撐與參考意義,提出了基于區(qū)塊鏈的聯(lián)邦控制發(fā)展演化的若干方向.第4 節(jié)結(jié)合實際應(yīng)用場景,以智慧交通的車聯(lián)網(wǎng)建設(shè)和旅游市場營銷控制為例說明聯(lián)邦控制的應(yīng)用實例.第5 節(jié)總結(jié)全文,并展望了聯(lián)邦控制的發(fā)展前景.

1 復(fù)雜系統(tǒng)現(xiàn)有控制理論

隨著社會的發(fā)展,現(xiàn)實中的各類系統(tǒng)變得越來越復(fù)雜、越來越規(guī)?；?其中的工程復(fù)雜性與社會復(fù)雜性交互程度越來越高[9-10].為了應(yīng)對大規(guī)模復(fù)雜系統(tǒng)問題,許多新興的智能控制方法和控制策略應(yīng)運而生,呈現(xiàn)出百花齊放的繁榮場面:“當(dāng)?shù)睾唵?、遠(yuǎn)程復(fù)雜” 的網(wǎng)絡(luò)化控制方法[11],具有低成本、高性能的優(yōu)點,是云控制的雛形;融合網(wǎng)絡(luò)化控制和云計算的云控制方法將大數(shù)據(jù)存儲在云端,通過云端節(jié)點實現(xiàn)系統(tǒng)的智能控制[12];分布式控制采用去中心化的分布式結(jié)構(gòu)并行處理解決控制問題[13];基于代理的控制方法采用去中心化的控制架構(gòu)基于網(wǎng)絡(luò)互聯(lián)實現(xiàn)集散控制[14],等等.這些控制方法和技術(shù)深植于廣域且深度的互連互通、實時且海量的大數(shù)據(jù)信息.

在實際應(yīng)用中,數(shù)據(jù)量大但可有效利用的數(shù)據(jù)有限,實際調(diào)控過程產(chǎn)生的運營成本和試錯成本往往很高.為了解決這些問題,中國科學(xué)院自動化研究所王飛躍研究員在2004 年提出基于人工系統(tǒng)、計算實驗、平行執(zhí)行理論(Artificial societies,computational experiments,parallel execution,ACP)的平行系統(tǒng)理論[15-17](如圖2 所示),通過構(gòu)建人工系統(tǒng),使之與實際系統(tǒng)虛實互動實現(xiàn)復(fù)雜系統(tǒng)控制與管理;在此基礎(chǔ)上,2020 年提出網(wǎng)絡(luò)-物理-社會系統(tǒng)智能生態(tài)概念[18],從深度模型、深度分析、深度管理三方面建立平行生態(tài)體系,為聯(lián)邦智能、聯(lián)邦生態(tài)系統(tǒng)及邦聯(lián)(Co-federated)生態(tài)系統(tǒng)的思想奠定基礎(chǔ).

圖2 平行系統(tǒng)理論框圖Fig.2 Framework of the parallel system theory

面對大型復(fù)雜系統(tǒng),目前較為主流的控制方案是采用分布式控制系統(tǒng)(Distributed control systems,DCS),通過構(gòu)建去中心化的分布式系統(tǒng),將大型系統(tǒng)拆分成若干子系統(tǒng),并行、協(xié)作、統(tǒng)一完成控制與管理問題[19-20].然而,在實際應(yīng)用中存在大量的大型復(fù)雜系統(tǒng),由于經(jīng)濟、法律、道德等因素限制,子系統(tǒng)間互信水平很低,甚至為零互信,由此限制了子系統(tǒng)間數(shù)據(jù)的共享與交流.為解決數(shù)據(jù)的安全使用問題,近年來國內(nèi)外學(xué)者相繼提出 “聯(lián)邦學(xué)習(xí)”(Federated learning,FL)技術(shù),以實現(xiàn)參與方在不共享數(shù)據(jù)基礎(chǔ)上的聯(lián)合建模,打破數(shù)據(jù)孤島,有效實現(xiàn)多方協(xié)作[21-22].作為一種新興的機器學(xué)習(xí)技術(shù),聯(lián)邦學(xué)習(xí)技術(shù)在保證數(shù)據(jù)隱私安全的基礎(chǔ)上有效應(yīng)對數(shù)據(jù)孤島和數(shù)據(jù)匱乏等數(shù)據(jù)時代所面臨的技術(shù)挑戰(zhàn),對本文新型分布式控制方法的提出具有啟發(fā)意義.

本文提出一種以信息安全和數(shù)據(jù)權(quán)益保護為目標(biāo),以區(qū)塊鏈技術(shù)、平行系統(tǒng)理論為實現(xiàn)形式的新型分布式控制策略,為大型復(fù)雜系統(tǒng)提供高效、安全、可靠的控制與管理.下面我們將對此控制策略進行詳細(xì)介紹.

2 聯(lián)邦控制的理論框架

傳統(tǒng)科學(xué)研究的牛頓體系是確定性的科學(xué),我們對系統(tǒng)的觀察與分析并不會對系統(tǒng)的運行狀態(tài)產(chǎn)生影響.有別于牛頓系統(tǒng)的傳統(tǒng)科學(xué)研究,復(fù)雜系統(tǒng)在大多數(shù)情況下難以精確描述,也不能完全預(yù)測,因而無法通過建立準(zhǔn)確解析的數(shù)學(xué)模型進行控制,并且對復(fù)雜系統(tǒng)的分析與調(diào)控和系統(tǒng)運行的狀態(tài)結(jié)果互相交互,存在雙向影響關(guān)系,是一種基于默頓體系的默頓系統(tǒng)[23-24],具有不可分與不可知特征.

復(fù)雜系統(tǒng)是不可分的[25]:對于任何有限資源,在本質(zhì)上,一個復(fù)雜系統(tǒng)的整體行為不可能通過對其部分行為的獨立分析而完全確定.這是由于復(fù)雜系統(tǒng)的結(jié)構(gòu)復(fù)雜,內(nèi)部關(guān)系千絲萬縷,具有大量的不確定性.因而,對復(fù)雜系統(tǒng)進行控制時必須從整體角度出發(fā),簡單的分布式并行控制無法解決復(fù)雜系統(tǒng)控制問題.

復(fù)雜系統(tǒng)是不可知的[25]:對于任何有限資源,在本質(zhì)上,一個復(fù)雜系統(tǒng)的整體行為不能預(yù)先在大范圍的時間、空間或其他度量內(nèi)確定.這是因為復(fù)雜系統(tǒng)的內(nèi)部結(jié)構(gòu)和外部環(huán)境是動態(tài)變化的,其所面臨的問題本身和對問題的理解也是不斷發(fā)展的.這表明在解決復(fù)雜系統(tǒng)問題時不存在一成不變的完美解決方案,而應(yīng)該通過不斷的反饋與更新,動態(tài)地改進和提高復(fù)雜系統(tǒng)控制方案.

考慮以上特性,本文提出一種面向信息安全與權(quán)益保護的新型分布式控制理論,為零互信基礎(chǔ)的大型復(fù)雜系統(tǒng)提供高效、快速、安全、可靠的控制策略,以適應(yīng)大數(shù)據(jù)時代下關(guān)注數(shù)據(jù)隱私與信息保護的控制新需求.

聯(lián)邦控制的核心思想是:基于分布式協(xié)同控制,實現(xiàn)多子系統(tǒng)的聯(lián)合控制建模.控制過程中,子系統(tǒng)的隱私數(shù)據(jù)僅限本地使用,非隱私數(shù)據(jù)實行所有權(quán)和使用權(quán)兩權(quán)分離制度,以此保證參與調(diào)控各子系統(tǒng)的信息安全與數(shù)據(jù)權(quán)益保護.聯(lián)邦控制采用分布式控制架構(gòu),參與調(diào)控的復(fù)雜子系統(tǒng)構(gòu)成聯(lián)邦控制節(jié)點,彼此獨立、自治,因此稱為聯(lián)邦控制.下面,我們將從內(nèi)部架構(gòu)、基本特色、研究框架三個方面詳細(xì)介紹聯(lián)邦控制理論與方法.

2.1 聯(lián)邦控制的內(nèi)部架構(gòu)

作為聯(lián)邦生態(tài)的核心環(huán)節(jié),聯(lián)邦控制直接應(yīng)對聯(lián)邦智能的需求響應(yīng),并對聯(lián)邦數(shù)據(jù)提供安全保護.聯(lián)邦控制系統(tǒng)自上而下由聯(lián)邦控制中心、網(wǎng)絡(luò)層和聯(lián)邦控制節(jié)點三部分構(gòu)成,層級框架如圖3 所示.

圖3 聯(lián)邦控制的層級架構(gòu)Fig.3 Hierarchical framework of federated control

聯(lián)邦控制中心,可以看作聯(lián)邦控制的心臟,向上響應(yīng)決策管理層的需求目標(biāo),向下主導(dǎo)聯(lián)邦節(jié)點的實際控制.控制過程中,針對全局系統(tǒng)的控制策略、全局優(yōu)化模型等位于聯(lián)邦控制中心,通過中心控制器向聯(lián)邦節(jié)點發(fā)布控制指令,實現(xiàn)對聯(lián)邦節(jié)點的有效控制.

網(wǎng)絡(luò)層是連接聯(lián)邦控制中心和聯(lián)邦控制節(jié)點的中間環(huán)節(jié),用于搭建聯(lián)邦數(shù)據(jù)和控制指令的雙向安全傳輸通路.網(wǎng)絡(luò)層具有接入、驗證、加密和傳輸?shù)裙δ?實現(xiàn)控制指令和聯(lián)邦數(shù)據(jù)的安全傳遞;

聯(lián)邦控制節(jié)點由本地復(fù)雜子系統(tǒng)構(gòu)成,是聯(lián)邦控制的基本單元.聯(lián)邦節(jié)點既可以是工程化的子系統(tǒng),實現(xiàn)的是面向控制對象、控制器、執(zhí)行器、傳感器的工程控制;聯(lián)邦節(jié)點也可以是社會化的子系統(tǒng),實現(xiàn)的是面向目標(biāo)對象、方案制定、執(zhí)行與反饋的社會控制.值得指出的是,聯(lián)邦控制中針對社會化子系統(tǒng)的社會控制并不同于響應(yīng)聯(lián)邦服務(wù)的聯(lián)邦管理,前者側(cè)重微觀的執(zhí)行與反饋,內(nèi)容形式單一,而后者更加長時效、多維度,強調(diào)宏觀的規(guī)劃與實現(xiàn).

聯(lián)邦節(jié)點儲存節(jié)點目標(biāo)、節(jié)點模型、節(jié)點數(shù)據(jù)、節(jié)點狀態(tài)等聯(lián)邦數(shù)據(jù).聯(lián)邦數(shù)據(jù)根據(jù)數(shù)據(jù)內(nèi)容、性質(zhì)、來源、類型等特點可分為隱私聯(lián)邦數(shù)據(jù)和非隱私聯(lián)邦數(shù)據(jù).其中隱私聯(lián)邦數(shù)據(jù)不離開本地,僅限本節(jié)點使用,其余聯(lián)邦節(jié)點和聯(lián)邦控制中心均無權(quán)知悉和使用,充分保障了聯(lián)邦節(jié)點的信息安全與數(shù)據(jù)隱私,同時可以避免 “通用數(shù)據(jù)保護條例” GPDR 等法律因素的限制;非隱私聯(lián)邦數(shù)據(jù)實行所有權(quán)和使用權(quán)兩權(quán)分離機制,即數(shù)據(jù)的所有權(quán)仍歸本地節(jié)點所有,使用權(quán)由本地節(jié)點轉(zhuǎn)移到了聯(lián)邦控制中心,用于中心控制器的全局系統(tǒng)狀態(tài)和全局控制指令的更新與優(yōu)化.非隱私聯(lián)邦數(shù)據(jù)的上傳和使用過程中,我們通過加密算法保證它只能用于聯(lián)邦控制中心的全局控制策略的生成、狀態(tài)更新與指令更新.原始數(shù)據(jù)不可再生,亦不可改變,從而保障聯(lián)邦控制中非隱私聯(lián)邦數(shù)據(jù)的原始性和歸屬性不被侵犯.值得指出的是,非隱私聯(lián)邦數(shù)據(jù)的兩權(quán)分離機制是聯(lián)邦數(shù)據(jù)權(quán)益保護的有效補充.

2.2 聯(lián)邦控制的實現(xiàn)流程

聯(lián)邦控制的全局實現(xiàn)流程,如圖4 所示:第一步,聯(lián)邦節(jié)點從聯(lián)邦控制中心下載控制指令;第二步,聯(lián)邦節(jié)點執(zhí)行節(jié)點控制,并向聯(lián)邦控制中心加密上傳非隱私聯(lián)邦數(shù)據(jù);第三步,聯(lián)邦控制中心執(zhí)行中心控制.

圖4 聯(lián)邦控制基本流程Fig.4 Flow chart of federated control

聯(lián)邦控制中心端中心控制實現(xiàn)流程如下:1) 系統(tǒng)狀態(tài)更新;2) 控制指令生成;3) 控制指令發(fā)布.

2.3 聯(lián)邦控制的基本特色

下面,我們將具體說明聯(lián)邦控制的特色之處.

特色一:隱私聯(lián)邦數(shù)據(jù)僅限本地節(jié)點使用

聯(lián)邦控制理論有別于其他控制理論的最大區(qū)別在于控制過程中的信息安全及數(shù)據(jù)權(quán)益保護.聯(lián)邦節(jié)點中,復(fù)雜子系統(tǒng)內(nèi)部全部隱私數(shù)據(jù),包括參數(shù)、狀態(tài)、數(shù)學(xué)模式、結(jié)構(gòu)、設(shè)置等隱私信息不離開本地節(jié)點,僅限本地使用.

隱私聯(lián)邦數(shù)據(jù)牢牢鎖在本地,從根本上保障本地聯(lián)邦節(jié)點的信息安全與數(shù)據(jù)隱私,打破零信任基礎(chǔ)、存在利益競爭關(guān)系、密保等級高的復(fù)雜子系統(tǒng)難以進行常規(guī)控制的局面,同時可以避免諸如GPDR 等法律及道德層面對數(shù)據(jù)使用和流通的約束,為大數(shù)據(jù)時代大型復(fù)雜系統(tǒng)的聯(lián)合控制問題提供有效方法.

特色二:非隱私聯(lián)邦數(shù)據(jù)兩權(quán)分離

聯(lián)邦控制過程中非隱私聯(lián)邦數(shù)據(jù)的所有權(quán)仍歸本地節(jié)點所有,使用權(quán)由本地節(jié)點轉(zhuǎn)移到了聯(lián)邦控制中心,用于中心控制器的全局系統(tǒng)狀態(tài)和全局控制指令的更新與優(yōu)化.在非隱私聯(lián)邦數(shù)據(jù)的上傳和使用過程中,我們通過加密算法保證其只能用于聯(lián)邦控制中心的全局控制策略的生成、狀態(tài)更新與指令更新,原始數(shù)據(jù)不可再生,亦不可變更,從而保障聯(lián)邦控制中非隱私聯(lián)邦數(shù)據(jù)的原始性、歸屬性等所有權(quán)益不被侵犯.

其中，里根的“失言”最驚心動魄。1984年8月，時值冷戰(zhàn)期間，擔(dān)任美國總統(tǒng)的里根計劃發(fā)表一篇關(guān)于美國經(jīng)濟問題的講話，國內(nèi)各大媒體聞訊趕來采訪。正當(dāng)記者們忙于準(zhǔn)備時，總統(tǒng)的聲音突然從擴音器中傳出：“親愛的美國同胞們！我很高興地告訴你們，本人剛剛簽署了一項法律，宣布蘇聯(lián)為不合法政府。5分鐘后，美國將轟炸蘇聯(lián)?！痹趫霰娙藷o不目瞪口呆。

非隱私聯(lián)邦數(shù)據(jù)的兩權(quán)分離機制,作為數(shù)據(jù)權(quán)益保護的有效補充,在保證信息安全與數(shù)據(jù)權(quán)益保護的同時,也提高了聯(lián)邦數(shù)據(jù)的使用效率,提高控制中心全局控制策略的有效性和精確性.

特色三:靈活的準(zhǔn)入與準(zhǔn)出機制

聯(lián)邦控制中的聯(lián)邦節(jié)點具有靈活的準(zhǔn)入與準(zhǔn)出機制.

準(zhǔn)入模式:本地復(fù)雜子系統(tǒng)申請成為聯(lián)邦節(jié)點,經(jīng)聯(lián)邦控制中心批準(zhǔn)后獲得準(zhǔn)入資質(zhì).該聯(lián)邦節(jié)點通過網(wǎng)絡(luò)層驗證,接入到聯(lián)邦系統(tǒng)網(wǎng)絡(luò)中.準(zhǔn)入模式常見于聯(lián)邦控制需求目標(biāo)發(fā)生改變時,實現(xiàn)聯(lián)邦控制模型的有效擴張.

準(zhǔn)出模式:當(dāng)聯(lián)邦節(jié)點申請脫離聯(lián)邦控制網(wǎng)絡(luò),經(jīng)聯(lián)邦控制中心批準(zhǔn)后獲得準(zhǔn)出資格.網(wǎng)絡(luò)層接入驗證失敗,斷開雙向傳輸通路,該聯(lián)邦節(jié)點退出聯(lián)邦控制網(wǎng)絡(luò).準(zhǔn)出情況常見于聯(lián)邦節(jié)點預(yù)期目標(biāo)達(dá)成、需求目標(biāo)改變、聯(lián)邦控制受到惡意攻擊等多元場景,此時聯(lián)邦節(jié)點基于經(jīng)濟、安全等因素脫離聯(lián)邦控制網(wǎng)絡(luò).準(zhǔn)出機制為聯(lián)邦節(jié)點、聯(lián)邦控制中心的信息安全及數(shù)據(jù)隱私提供可靠的保護屏障.

特色四:派遣式的控制機制

聯(lián)邦控制過程中,針對全局系統(tǒng)的控制策略、全局優(yōu)化模型等均位于聯(lián)邦控制中心,聯(lián)邦控制中心通過中心控制器向聯(lián)邦節(jié)點發(fā)布控制指令,實現(xiàn)聯(lián)邦節(jié)點的有效控制.聯(lián)邦節(jié)點不存儲先驗知識、不要求成熟的控制經(jīng)驗、不配置復(fù)雜的本地控制器,通過下載并執(zhí)行控制指令,實現(xiàn)基于聯(lián)邦數(shù)據(jù)的節(jié)點控制.換言之,聯(lián)邦控制提供的是一種派遣式的控制機制,可以有效減少節(jié)點控制的控制時間和控制成本,提高節(jié)點控制的控制效率.

此外,聯(lián)邦控制中心和聯(lián)邦節(jié)點之間雙向通路傳遞的僅為控制指令和非隱私聯(lián)邦數(shù)據(jù).這一過程避免大量聯(lián)邦數(shù)據(jù)的傳輸,減輕網(wǎng)絡(luò)層傳輸壓力,減少通信故障、時延、丟包等問題發(fā)生,有效提高聯(lián)邦控制的可靠性.

2.4 聯(lián)邦控制的研究框架

聯(lián)邦控制的研究框架如圖5 所示,自底向上分別為理論層、數(shù)據(jù)層、平臺層、應(yīng)用層.

圖5 聯(lián)邦控制的研究框架Fig.5 Research framework of federated control

聯(lián)邦控制研究的基本理論問題為在保障信息安全與數(shù)據(jù)權(quán)益保護的前提下,實現(xiàn)大型分布式復(fù)雜系統(tǒng)的協(xié)同控制.在數(shù)據(jù)層實現(xiàn)聯(lián)邦數(shù)據(jù)權(quán)益保護,包括隱私數(shù)據(jù)不出本地和非隱私數(shù)據(jù)兩權(quán)分離,從而從數(shù)據(jù)層面保證了信息安全和權(quán)益保護.也就是說,隱私聯(lián)邦數(shù)據(jù)僅限本節(jié)點使用,非隱私聯(lián)邦數(shù)據(jù)所有權(quán)歸本地節(jié)點所有,聯(lián)邦控制中心享有使用權(quán).聯(lián)邦控制平臺由聯(lián)邦控制節(jié)點、網(wǎng)絡(luò)層、聯(lián)邦控制中心三層結(jié)構(gòu)實現(xiàn),復(fù)雜子系統(tǒng)間采用分布式控制架構(gòu),參與調(diào)控的各復(fù)雜系統(tǒng)地位平等、獨立自治,分屬聯(lián)邦關(guān)系.聯(lián)邦控制理論可應(yīng)用于智慧城市、營銷控制、金融科技、軍事領(lǐng)域協(xié)同控制等對數(shù)據(jù)隱私、數(shù)據(jù)共享、信息安全高需求的應(yīng)用場景.

3 聯(lián)邦控制與區(qū)塊鏈技術(shù)

起源于比特幣的區(qū)塊鏈技術(shù)具有去中心化、去信任化、集體維護、不可篡改等特點,在近年來快速發(fā)展,受到了政府、金融、法律、科技及資本市場等領(lǐng)域的廣泛關(guān)注[26],為聯(lián)邦控制的具體實現(xiàn)提供必要技術(shù)支撐和實踐指導(dǎo):

1) 基于區(qū)塊鏈的聯(lián)邦安全[27-29]為聯(lián)邦控制的數(shù)據(jù)安全和隱私保護提供技術(shù)支持.區(qū)塊鏈安全機制包括非對稱加密、hash 函數(shù)等,封裝了大量加密和驗證算法,為聯(lián)邦數(shù)據(jù)加密、信息傳輸、狀態(tài)更新等環(huán)節(jié)提供有效的加密和驗證工具,提高聯(lián)邦控制系統(tǒng)的安全性和魯棒性.

2) 基于區(qū)塊鏈的聯(lián)邦共識為聯(lián)邦控制的分布一致性提供技術(shù)支持.區(qū)塊鏈技術(shù)封裝了大量成熟、高效的共識機制與共識算法[30],聯(lián)邦共識基于區(qū)塊鏈共識機制,面向聯(lián)邦節(jié)點的全部決策,保證節(jié)點狀態(tài)及數(shù)據(jù)更新的一致性.

3) 基于區(qū)塊鏈的聯(lián)約為聯(lián)邦控制的高效安全和自動化實現(xiàn)提供技術(shù)支持.區(qū)塊鏈的智能合約算法具有自我驗證、去中心化、可編程、不可篡改等特點[31].聯(lián)邦共識基于智能合約技術(shù),具有訪問控制、非隱私聯(lián)邦數(shù)據(jù)交換、局部狀態(tài)修改、全局?jǐn)?shù)據(jù)更新、意外情況處置等功能,為聯(lián)邦控制的自動化、安全、穩(wěn)定、高效運行提供有效技術(shù)保障.

4) 基于區(qū)塊鏈的聯(lián)邦激勵為聯(lián)邦控制的維護和管理提供技術(shù)支持.激勵機制是區(qū)塊鏈的核心動力,通過將經(jīng)濟因素集成到區(qū)塊鏈激勵層[26],區(qū)塊鏈實行快速、穩(wěn)定、正向的激勵發(fā)行和分配機制,以促進維護與管理.聯(lián)邦激勵建立良好的激勵體系,平衡聯(lián)邦控制中心和聯(lián)邦控制節(jié)點之間的利益關(guān)系,促進聯(lián)邦節(jié)點的活躍度,提高聯(lián)邦系統(tǒng)的維護和管理任務(wù)效率.

5) 基于區(qū)塊鏈的聯(lián)邦數(shù)據(jù)結(jié)構(gòu)為聯(lián)邦控制數(shù)據(jù)提供數(shù)據(jù)存儲和互聯(lián)算法支持.區(qū)塊鏈中數(shù)據(jù)結(jié)構(gòu)有兩個特點:1) 數(shù)據(jù)以區(qū)塊結(jié)構(gòu)存儲,2) 區(qū)塊以鏈?zhǔn)骄W(wǎng)絡(luò)互聯(lián).聯(lián)邦控制中,我們也可以借鑒區(qū)塊結(jié)構(gòu)存儲聯(lián)邦數(shù)據(jù),通過指針實現(xiàn)調(diào)用,解決聯(lián)邦數(shù)據(jù)異構(gòu)、網(wǎng)絡(luò)不兼容所帶來的數(shù)據(jù)交叉融合問題.

此外,也可借鑒鏈?zhǔn)骄W(wǎng)絡(luò)搭建聯(lián)邦控制網(wǎng)絡(luò),使得聯(lián)邦數(shù)據(jù)具有可追溯、不可篡改的特點.具體實現(xiàn)可以將控制指令以區(qū)塊結(jié)構(gòu)存儲,通過上鏈機制實時加入聯(lián)邦鏈?zhǔn)骄W(wǎng)絡(luò)中,可以保證控制指令的可追溯與不可篡改;或者在聯(lián)邦節(jié)點端采用聯(lián)邦鏈?zhǔn)骄W(wǎng)絡(luò)進行聯(lián)邦節(jié)點的網(wǎng)絡(luò)互連,以保證聯(lián)邦數(shù)據(jù)的可追溯與不可篡改.

基于區(qū)塊鏈結(jié)構(gòu)的聯(lián)邦鏈?zhǔn)骄W(wǎng)絡(luò)更新流程如圖6 所示:1)聯(lián)邦節(jié)點經(jīng)準(zhǔn)入連接至聯(lián)邦控制中心,加密下載當(dāng)前聯(lián)邦控制指令n-1;2)聯(lián)邦節(jié)點執(zhí)行節(jié)點控制,并將非隱私聯(lián)邦數(shù)據(jù)加密回傳至聯(lián)邦控制中心;3)聯(lián)邦控制中心執(zhí)行中心控制,生成聯(lián)邦控制指令n;4)聯(lián)邦控制指令n上鏈加入聯(lián)邦鏈?zhǔn)骄W(wǎng)絡(luò),完成聯(lián)邦節(jié)點控制指令更新.

圖6 基于區(qū)塊鏈的聯(lián)邦鏈?zhǔn)骄W(wǎng)絡(luò)Fig.6 Blockchain based federated-chain network

目前,區(qū)塊鏈2.0 和區(qū)塊鏈3.0 技術(shù)中發(fā)展出有向無環(huán)圖的網(wǎng)絡(luò)互聯(lián)模式,使得多元化的聯(lián)邦控制網(wǎng)絡(luò)互連結(jié)構(gòu)成為可能.此外,隨著新型的跨鏈、側(cè)鏈技術(shù)[32]的發(fā)展與成熟,基于區(qū)塊鏈的聯(lián)邦控制技術(shù)將會面對更多更廣泛的應(yīng)用場景.聯(lián)邦鏈?zhǔn)浇Y(jié)構(gòu)根據(jù)去中心化程度可劃分為公有鏈、聯(lián)盟鏈和私有鏈,我們可根據(jù)實際系統(tǒng)及應(yīng)用場景選擇合適的鏈?zhǔn)浇Y(jié)構(gòu)[33].

4 聯(lián)邦控制應(yīng)用場景

聯(lián)邦控制作為一種新型的面向隱私保護及信息安全特點的分布式控制策略,可以應(yīng)用到社會經(jīng)濟、城市建設(shè)、國家安全等注重信息安全和數(shù)據(jù)權(quán)益保護的應(yīng)用領(lǐng)域.本章節(jié),我們將從工程控制和社會控制兩個領(lǐng)域應(yīng)用實際出發(fā),分別舉例說明聯(lián)邦控制的應(yīng)用場景.

4.1 智慧城市交通

智慧城市交通建設(shè)利用新一代的信息科學(xué)技術(shù),對交通管理、交通運輸、車輛管理、公共出行等交通領(lǐng)域全過程進行智慧化管理與調(diào)控,提高交通運行效率和管理水平,建成 “髙效、安全、環(huán)保、舒適、文明” 的智慧交通與運輸體系,為個人、企業(yè)和交通管理部門提供實時、準(zhǔn)確、全面、充分的信息與決策支持,是國家 “十四五” 發(fā)展規(guī)劃的重點工作之一.

智慧城市交通建設(shè)經(jīng)歷了數(shù)字化、網(wǎng)絡(luò)化、智能化的三個發(fā)展階段,隨著5G、物聯(lián)網(wǎng)等先進信息技術(shù)的發(fā)展,智慧城市的建設(shè)進入 “萬物互聯(lián)” 的新階段.然而以車聯(lián)網(wǎng)為代表的智慧交通[34]建設(shè)受制于信息安全難保證、標(biāo)準(zhǔn)和結(jié)構(gòu)不統(tǒng)一、成本昂貴、法律不完善等現(xiàn)實約束,發(fā)展進入瓶頸.我們認(rèn)為,關(guān)注數(shù)據(jù)隱私與信息安全的聯(lián)邦控制策略,可為車聯(lián)網(wǎng)、智慧交通、乃至智慧城市建設(shè)提供發(fā)展新思路.我們將具體說明聯(lián)邦控制在車聯(lián)網(wǎng)系統(tǒng)中的應(yīng)用實例.車聯(lián)網(wǎng)中的每臺車都可看作一個高速移動的復(fù)雜信息系統(tǒng),通過傳感器技術(shù)、衛(wèi)星定位技術(shù)、遙感、射頻識別技術(shù)等信息技術(shù),將車輛內(nèi)、外的動態(tài)信息存儲于車機終端,以實現(xiàn) “人-車-路-云”之間的數(shù)據(jù)分析、信息交互、決策制定等功能,是一個典型的 “人在環(huán)路中” 信息物理社會系統(tǒng)[35].

圖7 為基于聯(lián)邦控制框架的車聯(lián)網(wǎng)系統(tǒng),其中聯(lián)邦控制中心和聯(lián)邦節(jié)點均采用基于區(qū)塊鏈的聯(lián)邦鏈?zhǔn)骄W(wǎng)絡(luò)互連結(jié)構(gòu).具體的聯(lián)邦控制實現(xiàn)過程為:第一步,車機子系統(tǒng)構(gòu)成的聯(lián)邦鏈?zhǔn)骄W(wǎng)絡(luò)經(jīng)準(zhǔn)入模式接入網(wǎng)絡(luò)層,下載當(dāng)前控制指令n-1;第二步,聯(lián)邦節(jié)點端的聯(lián)邦鏈?zhǔn)骄W(wǎng)絡(luò)執(zhí)行節(jié)點控制,完成本地數(shù)據(jù)和狀態(tài)更新;第三步,非隱私聯(lián)邦數(shù)據(jù)加密上傳至聯(lián)邦控制中心;第四步,聯(lián)邦控制中心執(zhí)行中心控制產(chǎn)生新的控制指令n,上鏈加入到中心端的聯(lián)邦鏈?zhǔn)骄W(wǎng)絡(luò);第五步,車機子系統(tǒng)下載最新的控制指令n.值得注意的是,圖7 描述的節(jié)點控制以ACP驅(qū)動的平行控制實現(xiàn),結(jié)合其他控制理論和方法,聯(lián)邦節(jié)點的節(jié)點控制可以有多種不同的實現(xiàn)形式.值得指出的是,車聯(lián)網(wǎng)聯(lián)邦控制系統(tǒng)可以通過跨區(qū)域分布式控制系統(tǒng)[36](DCS-DCS)的工業(yè)控制實現(xiàn).

圖7 車聯(lián)網(wǎng)聯(lián)邦控制框架Fig.7 Framework of federated control in internet of vehicles

由于聯(lián)邦控制指令由聯(lián)邦鏈?zhǔn)骄W(wǎng)絡(luò)存儲,具有可追溯、不可篡改的特點,為車聯(lián)網(wǎng)控制提供安全、可靠的備份.隨著跨鏈、側(cè)鏈技術(shù)的成熟和發(fā)展,不同車聯(lián)網(wǎng)區(qū)塊鏈可以實現(xiàn)區(qū)塊內(nèi)容的共享,促進基于區(qū)塊鏈的聯(lián)邦鏈?zhǔn)骄W(wǎng)絡(luò)車聯(lián)網(wǎng)系統(tǒng)的交叉融合,使超大規(guī)模車聯(lián)網(wǎng)系統(tǒng)的有效、安全、可靠搭建成為可能.

4.2 旅游市場營銷控制

營銷控制過程以衡量和評估營銷策略與計劃的結(jié)果為導(dǎo)向,采取不斷調(diào)整的反饋策略,最終達(dá)成營銷目標(biāo)的實現(xiàn).數(shù)據(jù)信息化技術(shù)的不斷發(fā)展為傳統(tǒng)市場營銷與管理帶來了新的挑戰(zhàn).大數(shù)據(jù)時代的市場營銷控制面臨數(shù)據(jù)量多但有效數(shù)據(jù)有限、由于參與方多而帶來的數(shù)據(jù)格式混亂、結(jié)構(gòu)不兼容等問題.此外,出于經(jīng)濟利益、信息安全、法律風(fēng)險等考慮,參與營銷策略制定各方數(shù)據(jù)共享被動且受限,存在大量不愿意共享、不敢共享、不能共享己方數(shù)據(jù)的情況,從而導(dǎo)致大型市場聯(lián)合營銷策略效果不佳.基于此,面向大數(shù)據(jù)時代的新型市場營銷控制方法亟待發(fā)展.

聯(lián)邦控制的方法為大數(shù)據(jù)時代零信任基礎(chǔ)的大型市場營銷場景提供了聯(lián)合營銷策略建模新思路.下面我們以旅游市場營銷控制為例,具體說明聯(lián)邦控制在旅游市場營銷控制的應(yīng)用實例.旅游市場大型復(fù)雜系統(tǒng)可分解為天氣信息子系統(tǒng)(包括天氣數(shù)據(jù)、天氣預(yù)測、氣象災(zāi)害預(yù)測等模塊)、交通運輸子系統(tǒng)(包括飛機、火車、公共汽車、出租車、網(wǎng)約車、地鐵等流量信息、價格系統(tǒng)等)、通訊子系統(tǒng)(包括手機、移動電腦、臺式機終端接入信息等)、住宿子系統(tǒng)(酒店、賓館、民宿定價、流量、訂購信息等)、景點子系統(tǒng)等.聯(lián)邦控制模型如圖8 所示.首先,各聯(lián)邦節(jié)點經(jīng)準(zhǔn)入連接至聯(lián)邦控制中心,下載聯(lián)邦控制指令;接著,聯(lián)邦節(jié)點執(zhí)行節(jié)點控制,更新本地數(shù)據(jù)和狀態(tài)信息;然后,將非隱私聯(lián)邦數(shù)據(jù)加密上傳至聯(lián)邦控制中心;最后,聯(lián)邦控制中心執(zhí)行中心控制,實現(xiàn)系統(tǒng)狀態(tài)更新,生成、發(fā)布最新控制指令,完成聯(lián)邦控制.

圖8 旅游市場聯(lián)邦控制模型Fig.8 Federated control model of tourist marketing systems

5 結(jié)語

本文提出一種新型控制理論框架—聯(lián)邦控制,可在保證數(shù)據(jù)隱私和信息安全的前提下,以基于區(qū)塊鏈的聯(lián)邦安全、聯(lián)邦共識、聯(lián)邦合約、聯(lián)邦激勵和平行系統(tǒng)理論等作為具體實現(xiàn)的技術(shù)支撐,為零互信基礎(chǔ)大型復(fù)雜系統(tǒng)提供高效、快速、安全、可靠的控制策略,應(yīng)對諸如智慧城市、車聯(lián)網(wǎng)、市場營銷管理等應(yīng)用領(lǐng)域和應(yīng)用場景.

聯(lián)邦控制的特色之處在于:1) 隱私聯(lián)邦數(shù)據(jù)僅限本地節(jié)點使用,從根本上保障了本地聯(lián)邦節(jié)點的信息安全與數(shù)據(jù)隱私;2) 非隱私聯(lián)邦數(shù)據(jù)兩權(quán)分離,既是數(shù)據(jù)權(quán)益保護的有效補充,也提高了聯(lián)邦控制策略的全局有效性和精確性;3) 靈活的準(zhǔn)入與準(zhǔn)出模式,增強了聯(lián)邦控制系統(tǒng)的動態(tài)性和抗風(fēng)險能力;4) 派遣式的控制機制,提高了聯(lián)邦節(jié)點的控制效率與聯(lián)邦控制的可靠性.

聯(lián)邦控制理論并非天馬行空.信息安全和數(shù)據(jù)隱私的迫切需求播種下理想的種子,ACP 理論、信息安全技術(shù)的發(fā)展為之提供深厚的土壤,區(qū)塊鏈網(wǎng)絡(luò)、共識機制、跨鏈及側(cè)鏈技術(shù)不斷澆灌養(yǎng)分、迸發(fā)靈感,促進聯(lián)邦控制的發(fā)展演化.然而,聯(lián)邦控制的技術(shù)實現(xiàn)細(xì)節(jié)尚未完善,理論框架也仍有值得深入的地方.希望本文可以起到拋磚引玉的作用,引起業(yè)內(nèi)專家學(xué)者關(guān)注控制方法中的隱私性和安全性,共同建立并完善聯(lián)邦控制、邦聯(lián)控制(Co-federated control)、聯(lián)邦生態(tài)的理論與體系,促進更多的應(yīng)用場景開發(fā)及技術(shù)實現(xiàn).