趙 星 彭建華 游 偉 陳 璐

(中國人民解放軍戰(zhàn)略支援部隊信息工程大學(xué) 鄭州 450001)

1 引言

隨著智能終端和物聯(lián)網(wǎng)的普及，各類終端應(yīng)用不斷涌現(xiàn)，為用戶帶來豐富娛樂體驗的同時也消耗了終端更多的計算資源和能耗[1]。移動邊緣計算(Mobile Edge Computing, MEC)[2]是第5代移動通信網(wǎng)絡(luò)(5G)[3]的重要支撐技術(shù)，通過將計算資源部署在網(wǎng)絡(luò)邊緣，空間上鄰近終端用戶，降低服務(wù)時延的同時也可減少終端能耗。計算卸載技術(shù)[4]作為MEC的關(guān)鍵技術(shù)之一，通過無線鏈路將計算密集型終端應(yīng)用傳輸至鄰近的MEC節(jié)點處理，利用MEC服務(wù)器充足的計算資源和能源減少終端處理任務(wù)的時延和能耗，有效提高了服務(wù)質(zhì)量和用戶體驗。計算卸載決策指終端感知無線環(huán)境并結(jié)合自身卸載任務(wù)特性，基于不同的優(yōu)化目標(biāo)(降低終端能耗[5]、減少任務(wù)處理時延[6]和權(quán)衡能耗與時延[7])，選擇最優(yōu)的任務(wù)處理方式(本地處理、卸載到MEC節(jié)點或丟棄)。

目前針對MEC安全和隱私問題的研究多是從加密、認(rèn)證等數(shù)據(jù)安全和訪問控制角度防護卸載的數(shù)據(jù)內(nèi)容[8]，并未充分考慮卸載決策中的隱私問題，對用戶卸載的行為習(xí)慣、使用模式所導(dǎo)致的隱私泄露研究[9]則更少。文獻(xiàn)[10]研究現(xiàn)有卸載決策發(fā)現(xiàn)終端在信道條件較好時會盡可能上傳計算任務(wù)以減少自身能耗，攻擊者可據(jù)此通過監(jiān)聽MEC節(jié)點上的任務(wù)卸載情況，反推出用戶的使用模式和所處無線環(huán)境，甚至實現(xiàn)對終端的定位；文獻(xiàn)[11]進(jìn)一步分析了物聯(lián)網(wǎng)場景中卸載決策的隱私，建立隱私模型綜合考慮隱私、能耗和計算時延，基于增強學(xué)習(xí)求解；文獻(xiàn)[12]分析了物聯(lián)網(wǎng)場景中用戶的位置隱私威脅，基于越遠(yuǎn)的服務(wù)節(jié)點越能保護用戶位置隱私的原理定義隱私量，并利用深度決策后狀態(tài)學(xué)習(xí)算法快速求解最優(yōu)的卸載決策。文獻(xiàn)[13]基于上述研究進(jìn)一步基于任務(wù)卸載概率的顯著性定義計算任務(wù)的隱私量，以此建立隱私保護計算卸載模型并求出隱私約束下的最優(yōu)平均能耗。然而上述研究均考慮單個用戶的隱私保護，基于計算任務(wù)的卸載頻率相對于統(tǒng)計流行度的顯著性度量用戶的隱私屬性，沒有充分考慮不同MEC區(qū)域用戶群體的不同導(dǎo)致隱私度量偏差。此外在多用戶場景中，直接采取單用戶隱私保護會使整體能耗的線性增高，降低整體服務(wù)質(zhì)量。

為實現(xiàn)多用戶場景下協(xié)同隱私保護并最小化整體能耗，本文提出一種基于k-匿名的隱私保護計算卸載方法。首先，分析卸載決策中的隱私威脅和多用戶場景中防護難點，提出基于卸載任務(wù)及卸載頻率的隱私約束，限制k個用戶的各卸載任務(wù)實際卸載頻率相近；然后，提出基于k匿名的隱私保護計算卸載模型，并用基于模擬退火的隱私保護計算卸載算法(Privacy preserving Computation Offloading algorithm based on Simulated Annealing,PCOSA)快速求得最優(yōu)分組。實驗結(jié)果表明，PCOSA能最小化終端能耗，且每個卸載任務(wù)都有k個用戶的卸載特征相似，使攻擊者無法區(qū)分出目標(biāo)用戶。

2 模型分析

2.1 系統(tǒng)模型

目前比較常見的邊緣系統(tǒng)模型如圖1所示[14]，MEC節(jié)點部署于一定區(qū)域內(nèi)的多個基站或無線熱點之后，為接入網(wǎng)絡(luò)的多個終端用戶提供計算卸載服務(wù)。假設(shè)系統(tǒng)為單位時隙 Δ ms的時隙系統(tǒng)，在每個時隙t內(nèi)，終端可隨機產(chǎn)生一個可卸載的任務(wù)T(t)，假定每個卸載任務(wù)平均包含b Byte，終端處理每個字節(jié)的數(shù)據(jù)需要 β個CPU循環(huán)[15]，每個任務(wù)均有時延門限ξ (t)，需在規(guī)定時延門限內(nèi)處理完任務(wù)，否則只能丟棄。時隙t的計算任務(wù)的卸載結(jié)果可以是本地處理、卸載到MEC節(jié)點或丟棄，分別用指示函數(shù)IL(t) , IM(t)和 ID(t)表示。

圖1 系統(tǒng)模型

考慮本地處理情況，假設(shè)終端的CPU頻率可以根據(jù)不同的卸載決策而改變(最大值為 fmax)，時隙t 內(nèi)的C P U 頻率為 f(t)，則可計算得時延為DL(t)=b·β/f(t) ，終端的能耗為EL(t)=κ·f3(t)·DL(t) ，其中κ 表示CPU的能耗系數(shù)[16]。

計算任務(wù)本地處理的最優(yōu)CPU頻率為f?(t)=β·b/ξ(t)， 若可以本地處理(即f?(t)≤fmax)，則本地處理的最低能耗為(t)=κ·[f?(t)]3·ξ(t)。

考慮卸載到MEC節(jié)點情況，假定MEC控制NAP個無線接入點覆蓋1個服務(wù)區(qū)域，各無線接入設(shè)備與終端的無線信道相互獨立，時隙t中第i個無線接入點的參數(shù)為：上行鏈路帶寬 Wi，信道噪聲功率密度，信道增益為(t)，終端的發(fā)射功率pi(t)( 最大值為pmax)。

2.2 隱私威脅

基于加密及認(rèn)證等防護措施，假定系統(tǒng)中終端、基站或熱點、MEC服務(wù)器均可信，攻擊者直接截獲卸載任務(wù)并分析其所述用戶身份信息難度很大。由于MEC系統(tǒng)應(yīng)用層的相對開放性，攻擊者可利用側(cè)信道攻擊[17]的方式推測、監(jiān)聽MEC服務(wù)器上卸載的計算任務(wù)及卸載頻率。由于用戶使用終端的習(xí)慣不同，每個用戶常用的終端應(yīng)用及其卸載頻率也一般不同，若攻擊者通過其他手段掌握了目標(biāo)用戶的部分先驗信息(如用戶經(jīng)常性卸載的計算任務(wù)及其大致卸載概率)，則可通過監(jiān)聽MEC節(jié)點上任務(wù)卸載情況并推測目標(biāo)用戶所在MEC節(jié)點。

用戶所有可卸載的計算任務(wù)集合記為 T，用戶卸載概率較高的計算任務(wù)集合記為TU,TU∈T(頻率太低的卸載任務(wù)隨機性較大，攻擊驗證難度較大，因此不作考慮，θp為考慮保護卸載任務(wù)的隱私保護門限)， TU中 各任務(wù)的卸載概率為PU，任務(wù)數(shù)量記為 NT。若攻擊者已掌握某一用戶u的卸載情況Tu,Pu，且能入侵MEC系統(tǒng)監(jiān)聽各用戶的任務(wù)卸載情況(由于身份加密，攻擊者無法直接判斷出用戶的真實身份)，則攻擊者可統(tǒng)計MEC節(jié)點上一段時間內(nèi)各用戶的實際卸載頻率，若存在一個用戶的與Pu接近，則可判斷該用戶大概率為目標(biāo)用戶u，進(jìn)一步進(jìn)行后續(xù)的攻擊和分析。參與判定的卸載任務(wù)越多(即NT越大)，卸載頻率越接近，則攻擊 者鎖定目標(biāo)用戶u成功的概率越大。

3 基于k-匿名的隱私保護計算卸載方法

本節(jié)針對2.2節(jié)中分析的用戶隱私威脅和多用戶場景隱私保護的挑戰(zhàn)，提出基于k-匿名的協(xié)同隱私保護計算卸載模型，然后基于模擬退火算法求解最優(yōu)分組，并給出隱私約束下平均能耗最低的卸載流程。

3.1 問題建模

利用多用戶場景下用戶間的相似性，可不獨立保護每個用戶的隱私，而是基于k-匿名原理[18]，使MEC節(jié)點覆蓋范圍內(nèi)存在k個用戶的實際卸載頻率相似，從而使攻擊者無法從k個卸載行為相近的用戶中區(qū)分出所攻擊的目標(biāo)用戶u，整體保護k個用戶的隱私。

為滿足k-匿名，各用戶計算卸載的隱私約束由式(1)所示，對于任意時隙t和任務(wù)用戶i都存在k-1個用戶j滿足

其中優(yōu)化目標(biāo)為N個用戶的平均能耗最低，式(2a)為用戶i在時隙t時任務(wù)處理時間約束，式(2b)、式(2c)給出了指示函數(shù)的限制。

3.2 基于模擬退火的隱私保護計算卸載算法

為求解上述模型，本節(jié)提出基于模擬退火的隱私保護計算卸載算法(Privacy preserving Computation Offloading algorithm based on Simulated Annealing, PCOSA)， PCOSA算法分為兩步，PCOSA I完成MEC節(jié)點下現(xiàn)有用戶的分組及確定每組內(nèi)防護任務(wù)數(shù)及各卸載任務(wù)的隱私約束頻率, PCOSA II中各用戶根據(jù)的約束完成實時的計算卸載過程。

為滿足式(1)，k個用戶的分組中，每個用戶都需改變卸載任務(wù)(如任務(wù)m)的卸載頻率至區(qū)間范圍內(nèi)，定義改變原始卸載頻率而導(dǎo)致的偏離代價為

其中，pj,i表示第j個用戶第i個計算任務(wù)的卸載頻率。

將N個用戶每k個分為一組，共有N !/k!種不同的分組方案，當(dāng)N較大時常規(guī)算法無法在多項式時間內(nèi)求得最優(yōu)分組的解，即為NP難問題。本文基于模擬退火算法快速求解分組結(jié)果，PCOSA I先計算所有k個用戶分組的代價，然后隨機初始化一種分組情況并計算其總代價，最后基于SA求解總代價最小的最優(yōu)分組，其流程如表1所示。PCOSA I基于SA算法求出用戶的最優(yōu)分組，其時間復(fù)雜度和模擬退火的參數(shù)相關(guān)，迭代次數(shù) NSA滿足T×λNSA→Tmin，在表1循環(huán)體中求偏離代價須執(zhí)行次數(shù)為和N/k的二重循環(huán)，因此PCOSA I的時間復(fù)雜度為O (NSA××N/k)，為盡量求得最優(yōu)分組解，迭代次數(shù) NSA一般較大，且用戶較多時N/k的值也較大，算法整體時間復(fù)雜度較高。但用戶分組一般發(fā)生在用戶接入網(wǎng)絡(luò)或重新分組時，時延較不敏感，且MEC服務(wù)器也有較強的計算處理能力。

PCOSA II基于上述k-匿名分組結(jié)果及各分組中卸載任務(wù)的隱私約束頻率，使每個用戶在每個時隙中根據(jù)感知的無線環(huán)境、卸載任務(wù)特性，做出滿足時延和隱私限制下能耗最優(yōu)的卸載決策。

用NO表示截止時隙t時用戶已經(jīng)卸載的總次數(shù)，變量 Nm,Nm∈N表示其中任務(wù)m 的卸載次數(shù)，為用戶n中任務(wù)m的隱私約束頻率，則×(1+·θ)表示其隱私上界。用戶n的任務(wù)m滿足隱私約束下剩余的可卸載次數(shù)為

表1 PCOSA I 算法流程

上述步驟解決了隱私約束上界和能耗最優(yōu)的問題，對于任務(wù)自身頻率小于分組隱私均值的情況，需整體上降低用戶的卸載頻次 NO，使得本來出現(xiàn)概率較低的任務(wù)的卸載頻率變高，而卸載次數(shù)越少則用戶總卸載能耗越大。為此，利用假任務(wù)機制，在任務(wù)本可以卸載((t)＜(t))卻因隱私約束而無法卸載時，根據(jù)式(6)選擇實際卸載頻率最小于隱私約束下界任務(wù) TF，在MEC節(jié)點上產(chǎn)生該任務(wù)的假任務(wù)，提高其卸載頻率。

綜上，PCOSA II的整體流程如表2所示。具體實現(xiàn)中，可在用戶接入網(wǎng)絡(luò)時的認(rèn)證消息中加入其計算任務(wù)及平均卸載頻率的信息，不增加額外的信令開銷，也保證了安全性(若認(rèn)證流程已經(jīng)被攻擊者攻破，則再防護卸載隱私毫無意義)。MEC根據(jù)接入用戶及其任務(wù)卸載頻率，完成k-匿名分組，再將分組結(jié)果通過認(rèn)證應(yīng)答信令發(fā)送給用戶。

4 仿真分析

本節(jié)利用MATLAB數(shù)值仿真方法驗證上述模型和算法的有效性，模型設(shè)置如表3所示。

為模擬用戶使用終端習(xí)慣的特殊性，仿真實驗中為每個用戶不斷隨機生成卸載頻率為[0,0.3]之間的卸載任務(wù)，直至所有任務(wù)卸載頻率之和為1，因此各用戶的防護任務(wù)集合 TU、 卸載頻率PU及任務(wù)數(shù)量NT均 不一樣，隱私保護門限θp=0.05。

表2 PCOSA II 算法流程

實驗的對比算法包括：(1)Basic算法，不考慮隱私約束式(1)，追求能耗最優(yōu)的卸載決策，作為其他算法能耗表現(xiàn)的基準(zhǔn)；(2)單用戶隱私保護算法(Single User Privacy-preservation Algorithm,SUPA)，獨立保護每個用戶的隱私，使集合 TU的實際卸載頻率都低于用戶的原始頻率 PU，隱私偏離度也設(shè)置為 θ；(3)基于貪心思想的k-匿名算法(Greedy-based K-Anonymity Algorithm,GKAA)，基于貪心思想，每次分組選擇偏移量最小的分組作為最優(yōu)解的子集，對剩余用戶執(zhí)行同樣操作，直至所有用戶都分完組，其余步驟同P COSA II。

4.1 算法對比

首先分析PCOSA的隱私保護效果和能耗，隨機選取一用戶分析其各任務(wù)的卸載結(jié)果如圖2所示，參數(shù)設(shè)置為N =60,k =3,θ =0.2,T =105。PCOSA I算法所得分組結(jié)果的均值卸載頻率為組內(nèi)各用戶的隱私約束頻率，PCOSA II算法改變了各計算任務(wù)的原始卸載頻率，使其實際卸載頻率均在隱私保護閾值 θ的范圍內(nèi)，滿足了k-匿名的隱私保護效果。原始頻率高于隱私約束頻率的任務(wù)，為最優(yōu)化用戶能耗，實際頻率一般只略低于隱私約束上界；而原始頻率低于隱私約束頻率的任務(wù)，由于實際頻率的提高受假任務(wù)機制影響，最終效果會有不同，原始頻率越低的任務(wù)實際頻率越靠近隱私約束頻率。

表3 模型參數(shù)設(shè)置

圖2 各任務(wù)卸載頻率對比

圖3 不同時隙T最小平均能耗對比

圖4 各算法卸載結(jié)果對比

4.2 參數(shù)分析

本小節(jié)進(jìn)一步分析各算法參數(shù)對其效果的影響，圖5分析了隱私保護閾值 θ的影響，隨著θ 的增大，隱私限制變小，因此如圖5(a)所示GKAA和PCOSA的最小平均能耗均不斷降低；同時更小的隱私限制使分組結(jié)果中用戶的卸載頻率有更大的變化范圍，使最小偏離代價降低。從圖5(b)也可看出，當(dāng)θ 增大到一定程度時，最小偏離代價也可能不再降低，導(dǎo)致圖5(a)中最小平均能耗降低變緩。

圖6描述了用戶數(shù)N的影響，理論分析知更多的用戶意味著分組時能找到卸載表現(xiàn)更接近的用戶，形成更好的隱私保護效果同時平均能耗也更低。圖6(b)表明隨著用戶數(shù)N的增加，平均每個分組的最小偏離代價不斷降低。由于數(shù)據(jù)源中用戶各任務(wù)卸載頻率的隨機性，由圖6(a)可知用戶數(shù)對最小平均能耗影響并不大，只隨著用戶數(shù)增加而略微下降。

圖7反映了分組大小k的影響，更多的組內(nèi)用戶數(shù)導(dǎo)致了用戶間更大的差異性，使圖7(b)中的平均最小偏離代價相應(yīng)增大，從而導(dǎo)致圖7(a)中的平均能耗變大。但更多的組內(nèi)用戶使卸載特征相似的用戶更多，實現(xiàn)了更好的隱私保護效果，即犧牲了一定的終端能耗而換取更好用戶隱私保護效果。

圖5 隱私保護閾值θ 的影響

圖6 用戶數(shù)N的影響

圖7 分組大小k的影響

5 結(jié)束語

本文針對MEC計算卸載中用戶不同任務(wù)卸載頻率可能暴露其隱私的問題，提出一種基于k-匿名的隱私防護方法，利用多個用戶形成卸載行為相近的群組，共同防護組內(nèi)用戶的隱私。提出基于模擬退火的PCOSA I算法高效求出最優(yōu)的分組結(jié)果及其隱私約束頻率，并根據(jù)PCOSA II算法步驟實現(xiàn)每個時隙內(nèi)具體的卸載過程。仿真結(jié)果表明，采用k-匿名原理的多用戶隱私防護機制可有效防止單個用戶卸載特征被攻擊者鎖定攻擊，且保持較低的平均卸載能耗。后續(xù)可繼續(xù)深入研究MEC計算卸載中的其他隱私威脅和隱私量化方式，并結(jié)合5G具體應(yīng)用場景進(jìn)行分析和驗證。