摘 要：在智能網(wǎng)聯(lián)交通系統(tǒng)中，聯(lián)邦學(xué)習(xí)通過(guò)下發(fā)模型到智能網(wǎng)聯(lián)路側(cè)設(shè)施，在中心服務(wù)器的調(diào)度下完成分布式本地訓(xùn)練與全局聚合，提高交通數(shù)據(jù)隱私保護(hù)，但仍存在數(shù)據(jù)隱私泄露風(fēng)險(xiǎn)。攻擊者根據(jù)路側(cè)設(shè)施共享的模型參數(shù)，發(fā)起梯度泄露攻擊，可復(fù)原路側(cè)設(shè)施的訓(xùn)練交通數(shù)據(jù)?；诓罘蛛[私理論與信息熵理論，針對(duì)梯度泄露攻擊，設(shè)計(jì)顆粒化梯度擾動(dòng)防御方法，挑選Ｆｉｓｈｅｒ 信息值低的神經(jīng)元，對(duì)梯度注入精心設(shè)計(jì)的拉普拉斯噪聲，干擾攻擊者基于上傳梯度的數(shù)據(jù)復(fù)原。通過(guò)理論分析得出該防御方法滿足差分隱私保護(hù)與訓(xùn)練收斂。實(shí)驗(yàn)結(jié)果表明，顆粒化梯度擾動(dòng)方法有效防御梯度泄露攻擊，同時(shí)保證訓(xùn)練精確度在９０％ 以上，優(yōu)于整體梯度擾動(dòng)方法與隨機(jī)梯度擾動(dòng)方法。

關(guān)鍵詞：聯(lián)邦學(xué)習(xí)；智能網(wǎng)聯(lián)；差分隱私；信息熵

中圖分類號(hào)：ＴＮ９１８． １；ＴＰ３０９． ２ 文獻(xiàn)標(biāo)志碼：Ａ 開(kāi)放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（ＯＳＩＤ）：

文章編號(hào)：１００３－３１１４（２０２４）０４－０７０４－０９

０ 引言

隨著深度學(xué)習(xí)技術(shù)的不斷發(fā)展，基于數(shù)據(jù)驅(qū)動(dòng)的人工智能方法應(yīng)用在各個(gè)領(lǐng)域中［１］。智能網(wǎng)聯(lián)交通系統(tǒng)基于人工智能、車載通信、自動(dòng)駕駛等技術(shù)，實(shí)現(xiàn)車車、車路動(dòng)態(tài)信息實(shí)時(shí)共享、車輛與路側(cè)設(shè)施協(xié)同管理等，提高道路通行效率和保障交通安全。智能網(wǎng)聯(lián)交通系統(tǒng)中的路側(cè)設(shè)施，如智慧燈桿、智能交通燈等，為人工智能模型提供交通數(shù)據(jù)。為了保護(hù)數(shù)據(jù)隱私，路側(cè)設(shè)施可利用聯(lián)邦學(xué)習(xí)技術(shù)，在不直接上傳本地交通數(shù)據(jù)的前提下，通過(guò)本地模型訓(xùn)練與聚合，為全局服務(wù)器訓(xùn)練人工智能模型［２］。然而，一些研究表明，這種基于聯(lián)邦學(xué)習(xí)的分布式訓(xùn)練方法仍存在隱私泄露風(fēng)險(xiǎn)，路側(cè)設(shè)施在本地訓(xùn)練后上傳模型梯度的過(guò)程中，可能遭受攻擊導(dǎo)致梯度信息泄露，攻擊者可以通過(guò)截取的模型梯度信息還原訓(xùn)練用的交通數(shù)據(jù)［３］。

１ 聯(lián)邦學(xué)習(xí)的隱私攻擊與保護(hù)

１． １ 聯(lián)邦學(xué)習(xí)的隱私攻擊

聯(lián)邦學(xué)習(xí)是一種分布式訓(xùn)練方法，在中心服務(wù)器的調(diào)度下，各參與方訓(xùn)練本地的機(jī)器學(xué)習(xí)模型并上傳到中心服務(wù)器聚合［４－７］。在聯(lián)邦學(xué)習(xí)過(guò)程中，各參與方僅共享模型參數(shù)，保留數(shù)據(jù)在本地，但是攻擊者仍然可發(fā)動(dòng)隱私攻擊，根據(jù)參與方所共享的模型參數(shù)復(fù)原其訓(xùn)練數(shù)據(jù)，造成參與方數(shù)據(jù)隱私泄露?，F(xiàn)有研究中針對(duì)聯(lián)邦學(xué)習(xí)的隱私攻擊主要包含３ 種類型：模型提取攻擊、模型逆向攻擊、梯度泄露攻擊。模型提取攻擊［８］一般為黑盒攻擊，攻擊者不清楚目標(biāo)參與方的模型結(jié)構(gòu)，需要通過(guò)輸入數(shù)據(jù)對(duì)提取的模型進(jìn)行查詢攻擊，得到輸出數(shù)據(jù)后構(gòu)建新的對(duì)應(yīng)數(shù)據(jù)集，從而實(shí)現(xiàn)對(duì)提取模型模擬攻擊。模型逆向攻擊［９］主要為推理攻擊，攻擊者通過(guò)逆向推理判斷某條數(shù)據(jù)是否包含在目標(biāo)參與方的訓(xùn)練數(shù)據(jù)集當(dāng)中，或者該訓(xùn)練數(shù)據(jù)集是否包含某個(gè)特定的特征。梯度泄露攻擊［１０］為攻擊者根據(jù)參與方上傳的模型梯度，生成隨機(jī)數(shù)據(jù)形成新的梯度與之匹配，并持續(xù)更新生成數(shù)據(jù)最小化梯度差異，最后復(fù)原參與方的訓(xùn)練數(shù)據(jù)。類似地，文獻(xiàn)［１１］通過(guò)訓(xùn)練生成對(duì)抗網(wǎng)絡(luò)，來(lái)反演推理出目標(biāo)模型的原始訓(xùn)練數(shù)據(jù)集。文獻(xiàn)［１２］通過(guò)訓(xùn)練反卷積神經(jīng)網(wǎng)絡(luò)，學(xué)習(xí)隱含層輸出向量與原始訓(xùn)練數(shù)據(jù)之間的關(guān)系，從而復(fù)原原始訓(xùn)練數(shù)據(jù)。

１． ２ 聯(lián)邦學(xué)習(xí)的隱私保護(hù)

針對(duì)上述隱私攻擊，現(xiàn)有研究提出聯(lián)邦學(xué)習(xí)的隱私保護(hù)方法，主要分為兩種類型：① 多方安全計(jì)算［１３］、同態(tài)加密［１４］等基于密碼學(xué)的加密保護(hù)方法，通過(guò)對(duì)參與方上傳的模型參數(shù)執(zhí)行加密，同時(shí)不影響中心服務(wù)器的聚合計(jì)算，實(shí)現(xiàn)對(duì)參與方模型參數(shù)的隱私安全保護(hù)，但其計(jì)算與通信開(kāi)銷較大［１５］；② 不基于密碼學(xué)的隱私保護(hù)方法，如差分隱私［１６］，通過(guò)在模型參數(shù)或者更新梯度上注入隨機(jī)生成的噪聲進(jìn)行擾動(dòng)，干擾攻擊者根據(jù)參與方共享的模型參數(shù)或梯度復(fù)原數(shù)據(jù)。在設(shè)計(jì)噪聲大小時(shí)需要考慮隱私預(yù)算，即參與方的隱私保護(hù)程度。若保持較大的隱私預(yù)算，需注入幅值較大的噪聲，影響模型訓(xùn)練精度［１７］；保持較小的隱私預(yù)算，則注入的噪聲較小，減小對(duì)訓(xùn)練精度的影響，但無(wú)法滿足隱私保護(hù)的要求。因此如何權(quán)衡隱私預(yù)算和訓(xùn)練性能是差分隱私的重要研究?jī)?nèi)容之一。文獻(xiàn)［１８］提出一種個(gè)性化的差分隱私保護(hù)方案，不同用戶之間根據(jù)各自的數(shù)據(jù)量和隱私加密程度選擇注入不同的噪聲擾動(dòng)。文獻(xiàn)［１９］采用均值統(tǒng)計(jì)的方法在本地更新時(shí)對(duì)模型加入噪聲擾動(dòng)，雖能保證較大的隱私預(yù)算，但聚合后容易出現(xiàn)梯度爆炸的問(wèn)題。文獻(xiàn)［２０］提出了一種分階段噪聲注入的聯(lián)邦學(xué)習(xí)差分隱私保護(hù)方法，在不同的全局更新輪次中，注入不同程度的中心化噪聲擾動(dòng)，可以滿足不同階段的隱私預(yù)算要求，但需要經(jīng)過(guò)高輪次迭代才能實(shí)現(xiàn)較為滿意的模型推斷準(zhǔn)確率。

２ 智能網(wǎng)聯(lián)的隱私威脅

２． １ 面向智能網(wǎng)聯(lián)的聯(lián)邦學(xué)習(xí)

智能網(wǎng)聯(lián)系統(tǒng)的聯(lián)邦學(xué)習(xí)框架示意如圖１ 所示，智能網(wǎng)聯(lián)系統(tǒng)主要由中心服務(wù)器與路側(cè)設(shè)施構(gòu)成。中心服務(wù)器具備可觀的計(jì)算、通信資源。路側(cè)設(shè)施配備圖像、雷達(dá)等多種傳感器、通信單元與邊緣計(jì)算設(shè)備。傳感器采集道路圖像、點(diǎn)云信息等多模態(tài)數(shù)據(jù)，邊緣計(jì)算設(shè)備對(duì)數(shù)據(jù)進(jìn)行處理以及訓(xùn)練本地模型，通信單元使得路側(cè)設(shè)施之間、路側(cè)設(shè)施與中心服務(wù)器之間實(shí)現(xiàn)穩(wěn)定連接。智能網(wǎng)聯(lián)系統(tǒng)通過(guò)聯(lián)邦學(xué)習(xí)方式，使路側(cè)設(shè)施在中心服務(wù)器調(diào)度下，利用采集的交通數(shù)據(jù)訓(xùn)練本地模型，實(shí)現(xiàn)智能網(wǎng)聯(lián)交通應(yīng)用，如道路監(jiān)控、車流量預(yù)測(cè)、交通狀況分析等，具體流程如算法１ 所示。

算法１ 中每一輪訓(xùn)練包含４ 個(gè)階段：① 模型分發(fā)：中心服務(wù)器將初始模型廣播下發(fā)至每一個(gè)路側(cè)設(shè)施；② 本地訓(xùn)練：每一個(gè)路側(cè)設(shè)施使用其傳感器采集的交通數(shù)據(jù)進(jìn)行訓(xùn)練，并迭代更新模型的參數(shù)；③ 參數(shù)上傳：路側(cè)設(shè)施結(jié)束本地模型的訓(xùn)練后，將本地模型參數(shù)上傳至中心服務(wù)器；④ 模型聚合：中心服務(wù)器收集完所有用戶上傳的模型參數(shù)后，對(duì)模型參數(shù)進(jìn)行聚合并更新全局模型，下發(fā)更新后的全局模型給路側(cè)設(shè)施進(jìn)行下一輪本地訓(xùn)練。上述流程循環(huán)直至完成預(yù)設(shè)的訓(xùn)練輪次。

２． ２ 梯度泄露攻擊

假設(shè)智能網(wǎng)聯(lián)交通系統(tǒng)本地訓(xùn)練過(guò)程中，攻擊者在公共模型庫(kù)中下載參與方所用的模型，并且在無(wú)線網(wǎng)絡(luò)中竊取目標(biāo)參與方上傳的模型參數(shù)。攻擊者使用梯度匹配攻擊，根據(jù)路側(cè)設(shè)施共享的模型參數(shù)，復(fù)原其所用的訓(xùn)練數(shù)據(jù)，具體流程如算法２ 所示。攻擊者隨機(jī)生成數(shù)據(jù)以及標(biāo)簽，用其輸入模型計(jì)算得到梯度，并把模型損失函數(shù)設(shè)置為真實(shí)梯度與生成梯度的距離度量，通過(guò)迭代更新生成數(shù)據(jù)與標(biāo)簽，最小化梯度距離。其算法示意如圖２ 所示。

３ 顆?；荻葦_動(dòng)防御

３． １ 差分隱私相關(guān)定義

針對(duì)梯度泄露攻擊，設(shè)計(jì)基于差分隱私與Ｆｉｓｈｅｒ 信息的顆?；荻葦_動(dòng)防御方法。差分隱私是一種應(yīng)用于數(shù)據(jù)安全保護(hù)的隱私定義范式，在攻擊者通過(guò)求和、求最值、求平均等查詢操作來(lái)推理之間的敏感信息之前，根據(jù)查詢函數(shù)關(guān)于兩個(gè)鄰近數(shù)據(jù)集Ｄ′和Ｄ 所得的敏感度來(lái)調(diào)整噪聲標(biāo)準(zhǔn)差，控制兩個(gè)數(shù)據(jù)集的輸出分布相近程度，從而抵御攻擊者基于算法輸出對(duì)輸入數(shù)據(jù)的查詢推理攻擊。

定義一 對(duì)于任意給定的兩個(gè)鄰近數(shù)據(jù)集Ｄ′和Ｄ，即它們之間的相差元素?cái)?shù)量至多為１，若存在算法Ｍ 對(duì)于Ｄ′和Ｄ 滿足：

Ｐ（Ｍ（Ｄ）∈ＳＭ）＜ｅε Ｐ（Ｍ（Ｄ′）∈ＳＭ）， （１）

式中：ＳＭ 代表算法Ｍ 所有的輸出集合，ε 代表隱私預(yù)算，其控制算法Ｍ 對(duì)于Ｄ′和Ｄ 的輸出分布之間的接近概率，ε 越小，攻擊者越難根據(jù)輸出分布推理輸入數(shù)據(jù)，隱私保護(hù)程度越高；反之，ε 越大，隱私保護(hù)程度越低。

差分隱私的實(shí)現(xiàn)存在幾種常見(jiàn)的機(jī)制，比如拉普拉斯機(jī)制、高斯機(jī)制、指數(shù)機(jī)制等。拉普拉斯機(jī)制和高斯機(jī)制適用于數(shù)值型的數(shù)據(jù)隱私保護(hù)，對(duì)于非數(shù)值型的數(shù)據(jù)，一般采用指數(shù)機(jī)制。其中，拉普拉斯機(jī)制的定義如下。

定義二 對(duì)于數(shù)據(jù)集Ｄ 上給定的函數(shù)ｆ，機(jī)制Ｍ 滿足：

式中：ｆ（ｘ θ）為θ 的似然函數(shù)，也是ｘ 的概率密度函數(shù)。Ｆｉｓｈｅｒ 信息可應(yīng)用在機(jī)器學(xué)習(xí)領(lǐng)域，通過(guò)計(jì)算中間輸出品質(zhì)函數(shù)的方差，可得該層神經(jīng)元關(guān)于網(wǎng)絡(luò)性能的重要性，Ｆｉｓｈｅｒ 信息越高，該神經(jīng)元對(duì)于網(wǎng)絡(luò)所執(zhí)行任務(wù)的貢獻(xiàn)程度越大。

３． ２ 顆?；荻葦_動(dòng)

本文提出的顆?；荻葦_動(dòng)具體流程如算法３所示。首先，路側(cè)設(shè)施在每次迭代更新模型參數(shù)時(shí)，計(jì)算神經(jīng)元的Ｆｉｓｈｅｒ 信息值，直至所有參與方全部結(jié)束訓(xùn)練。然后，路側(cè)設(shè)施在每輪訓(xùn)練結(jié)束后，計(jì)算Ｆｉｓｈｅｒ 信息均值，并挑選出Ｆｉｓｈｅｒ 信息均值底的Ｎ 個(gè)神經(jīng)元。最后，路側(cè)設(shè)施對(duì)挑選的神經(jīng)元梯度加入拉普拉斯噪聲，并上傳到中心服務(wù)器，其顆粒化注入噪聲擾動(dòng)對(duì)比傳統(tǒng)方案的示意如圖３ 所示。

定理１ 給定泄露梯度ｘ 和目標(biāo)路側(cè)設(shè)施的機(jī)器學(xué)習(xí)模型ｆ，當(dāng)注入更新梯度的拉普拉斯噪聲尺度為２Ｃ／ ε，任意的機(jī)制h（ｘ）＝ ｆ（ｘ）＋Ｌａ（０， ２Ｃ／ε ）滿足ε的差分隱私保護(hù)。

證明 因?yàn)楦绿荻鹊娜≈禐椋ǎ埃茫?，所以?duì)于任意相鄰的梯度ｘ 和ｘ′，全局敏感度Δｆ 表示如下：

① 峰值信噪比（Ｐｅａｋ Ｓｉｇｎａｌ ｔｏ Ｎｏｉｓｅ Ｒａｔｉｏ，ＰＳＮＲ）。通過(guò)信號(hào)與噪聲峰值誤差的比率來(lái)衡量圖像之間的相似程度，ＰＳＮＲ 值越大，圖像之間的相似程度越高，即隱私泄露越嚴(yán)重，其具體定義如下：

② 結(jié)構(gòu)相似性（Ｓｔｒｕｃｔｕｒａｌ Ｓｉｍｉｌａｒｉｔｙ，ＳＳＩＭ）計(jì)算如下：

式中：μＴ、μＦ 分別為兩張圖像的平均值，σ２Ｔ、σ２Ｆ 分別為兩張圖像的方差，σＴＦ 為二者的協(xié)方差，ｃ１、ｃ２ 為常數(shù)。ＳＳＩＭ 的取值為［－１，１］，ＳＳＩＭ 值越接近１，說(shuō)明兩張圖像相似程度越高，對(duì)應(yīng)隱私泄露越嚴(yán)重。

４． ３ 實(shí)驗(yàn)結(jié)果

本實(shí)驗(yàn)在用戶本地訓(xùn)練后的上傳梯度中注入拉普拉斯噪聲擾動(dòng)（ｎｏｉｓｅ），統(tǒng)計(jì)在不同噪聲等級(jí)下，基于Ｆｉｓｈｅｒ 信息值挑選神經(jīng)元注入擾動(dòng)（ｆｉｓｈｅｒ）、隨機(jī)挑選神經(jīng)元注入擾動(dòng)（ｒａｎｄｏｍ）、整體注入擾動(dòng)（ａｌｌ）這３ 種方案對(duì)隱私保護(hù)程度和模型精度的影響。

圖４、圖５ 給出了在不同噪聲等級(jí)下，３ 種防御算法擾動(dòng)時(shí)攻擊者復(fù)原圖片的ＰＳＮＲ 和ＳＳＩＭ。當(dāng)ＰＳＮＲ 或者ＳＳＩＭ 值越小時(shí)，表示隱私保護(hù)程度越高。基于Ｆｉｓｈｅｒ 信息值挑選的方案和隨機(jī)挑選的方案都是只在部分神經(jīng)元上注入擾動(dòng)，對(duì)隱私保護(hù)程度的影響無(wú)明顯區(qū)別，均不及整體噪聲擾動(dòng)方案。當(dāng)注入噪聲方差σ＞０． ０５ 時(shí)，３ 種防御算法的ＰＳＮＲ小于１３ ｄＢ，ＳＳＩＭ 小于０． ２，表示攻擊者所還原圖像質(zhì)量較低，隱私保護(hù)效果較好。

圖６ 給出了在不同噪聲等級(jí)下，３ 種防御算法擾動(dòng)下模型的推斷精確度。當(dāng)注入噪聲方差σ＜０． ０２ 時(shí)，注入擾動(dòng)大小對(duì)推斷精確度影響較小。當(dāng)注入噪聲方差σ＞０． ０２５ 時(shí)，推斷精確度下降較為明顯?；冢疲椋螅瑁澹?信息值挑選的方案優(yōu)于隨機(jī)挑選的方案以及整體噪聲擾動(dòng)方案，其優(yōu)勢(shì)在噪聲方差σ＞０． ０３ 時(shí)較為明顯。

圖７、圖８ 表示攻擊者還原圖片質(zhì)量與推斷精確度之間的關(guān)系。攻擊者還原圖片質(zhì)量越低，代表隱私保護(hù)程度越高，ＰＳＮＲ 大于１３ ｄＢ 的情況，推斷精確度超過(guò)９０％ 。在相同隱私保護(hù)程度下，基于Ｆｉｓｈｅｒ 信息值挑選的方案優(yōu)于隨機(jī)挑選的方案以及整體噪聲擾動(dòng)方案，在ＰＳＮＲ 小于１３ ｄＢ、ＳＳＩＭ 小于０． ２ 的情況下，其優(yōu)勢(shì)更加明顯。因此，在這３ 種擾動(dòng)防御算法中，基于Ｆｉｓｈｅｒ 信息值挑選的方案在均衡推斷精確度與隱私保護(hù)程度方面的效果最優(yōu)。

圖９、圖１０ 給出了挑選不同比例（ｒａｔｅ）的神經(jīng)元進(jìn)行擾動(dòng)的方案，在注入不同等級(jí)的隨機(jī)噪聲時(shí)的ＳＳＩＭ 和推斷精確度。在注入相同噪聲等級(jí)的情況下，隨著挑選神經(jīng)元比例的增大，復(fù)原圖像的ＳＳＩＭ 值減小，隱私泄露風(fēng)險(xiǎn)越低，而模型性能隨之降低。

５ 結(jié)束語(yǔ)

本文針對(duì)智能網(wǎng)聯(lián)交通系統(tǒng)中的隱私泄露風(fēng)險(xiǎn)，以及傳統(tǒng)差分隱私方案嚴(yán)重影響模型精度甚至導(dǎo)致難以收斂的問(wèn)題，提出了一種基于Ｆｉｓｈｅｒ 信息值挑選部分神經(jīng)元注入噪聲擾動(dòng)的方法。該方案挑選Ｆｉｓｈｅｒ 信息值較小的神經(jīng)元，在本地用戶訓(xùn)練結(jié)束后的對(duì)應(yīng)挑選神經(jīng)元的上傳梯度中加入隨機(jī)噪聲，通過(guò)理論分析證明該方案滿足差分隱私機(jī)制，并且能夠保證模型收斂。實(shí)驗(yàn)結(jié)果表明，對(duì)比隨機(jī)挑選神經(jīng)元以及整體梯度擾動(dòng)的方案，本文提出的方案在相同的隱私保護(hù)程度下，模型性能優(yōu)于其他兩種方案。后續(xù)將結(jié)合強(qiáng)化學(xué)習(xí)等優(yōu)化算法，確認(rèn)最佳的噪聲注入等級(jí)，在保護(hù)隱私的前提下進(jìn)一步減少對(duì)模型性能的影響。

參考文獻(xiàn)

［１］ Ｌ？ＰＥＺ Ｋ Ｌ，ＧＡＧＮ？ Ｃ，ＧＡＲＤＮＥＲ Ｍ Ａ． ＤｅｍａｎｄｓｉｄｅＭａｎａｇｅｍｅｎｔ Ｕｓｉｎｇ Ｄｅｅｐ Ｌｅａｒｎｉｎｇ ｆｏｒ Ｓｍａｒｔ Ｃｈａｒｇｉｎｇ ｏｆＥｌｅｃｔｒｉｃ Ｖｅｈｉｃｌｅｓ［Ｊ］． ＩＥＥＥ Ｔｒａｎｓａｃｔｉｏｎｓ ｏｎ Ｓｍａｒｔ Ｇｒｉｄ，２０１８，１０（３）：２６８３－２６９１．

［２］ 莊，韓志博，聶錦標(biāo)，等． 面向車輛與參數(shù)服務(wù)器雙向選擇的聯(lián)邦學(xué)習(xí)算法［Ｊ］． 無(wú)線電通信技術(shù)，２０２４，５０（１）：２０３－２１２．

［３］ ＷＡＮＧ Ｂ Ｌ，ＹＡＯ Ｙ Ｓ，ＳＨＡＮ Ｓ，ｅｔ ａｌ． Ｎｅｕｒａｌ Ｃｌｅａｎｓｅ：Ｉｄｅｎｔｉｆｙｉｎｇ ａｎｄ Ｍｉｔｉｇａｔｉｎｇ Ｂａｃｋｄｏｏｒ Ａｔｔａｃｋｓ ｉｎ ＮｅｕｒａｌＮｅｔｗｏｒｋｓ［Ｃ］∥２０１９ ＩＥＥＥ Ｓｙｍｐｏｓｉｕｍ ｏｎ Ｓｅｃｕｒｉｔｙ ａｎｄ Ｐｒｉｖａｃｙ （ＳＰ）． Ｓａｎ Ｆｒａｎｃｉｓｃｏ：ＩＥＥＥ，２０１９：７０７－７２３．

［４］ ＯＵＡＤＲＨＩＲＩ Ａ Ｅ，ＡＢＤＥＬＨＡＤＩ Ａ． Ｄｉｆｆｅｒｅｎｔｉａｌ Ｐｒｉｖａｃｙｆｏｒ Ｄｅｅｐ ａｎｄ Ｆｅｄｅｒａｔｅｄ Ｌｅａｒｎｉｎｇ：Ａ Ｓｕｒｖｅｙ［Ｊ］． ＩＥＥＥ Ａｃｃｅｓｓ，２０２２，１０：２２３５９－２２３８０．

［５］ ＡＤＮＡＮ Ｍ，ＫＡＬＲＡ Ｓ，ＣＲＥＳＳＷＥＬＬ Ｊ Ｃ，ｅｔ ａｌ． ＦｅｄｅｒａｔｅｄＬｅａｒｎｉｎｇ ａｎｄ Ｄｉｆｆｅｒｅｎｔｉａｌ Ｐｒｉｖａｃｙ ｆｏｒ Ｍｅｄｉｃａｌ Ｉｍａｇｅ Ａｎａｌｙｓｉｓ［Ｊ］． Ｓｃｉｅｎｔｉｆｉｃ Ｒｅｐｏｒｔｓ，２０２２，１２：１９５３．

［６］ ＡＬＭＡＮＩＦＩ Ｏ Ｒ ＡＣＨＯＷ Ｃ Ｏ，ＴＨＡＭ Ｍ Ｌ，ｅｔ ａｌ． Ｃｏｍｍｕｎｉｃａｔｉｏｎ ａｎｄ Ｃｏｍｐｕｔａｔｉｏｎ Ｅｆｆｉｃｉｅｎｃｙ ｉｎ Ｆｅｄｅｒａｔｅｄ Ｌｅａｒｎｉｎｇ：Ａ Ｓｕｒｖｅｙ［Ｊ］． Ｉｎｔｅｒｎｅｔ ｏｆ Ｔｈｉｎｇｓ，２０２３，２２：１００７４２．

［７］ ＴＡＮＧ Ｌ Ｆ，ＸＩＥ Ｈ Ｐ，ＷＡＮＧ Ｘ Ｙ，ｅｔ ａｌ． Ｐｒｉｖａｃｙｐｒｅｓｅｒｖｉｎｇ Ｋｎｏｗｌｅｄｇｅ Ｓｈａｒｉｎｇ ｆｏｒ Ｆｅｗｓｈｏｔ ＢｕｉｌｄｉｎｇＥｎｅｒｇｙ Ｐｒｅｄｉｃｔｉｏｎ：Ａ Ｆｅｄｅｒａｔｅｄ Ｌｅａｒｎｉｎｇ Ａｐｐｒｏａｃｈ［Ｊ］．Ａｐｐｌｉｅｄ Ｅｎｅｒｇｙ，２０２３，３３７：１２０８６０．

［８］ ＹＡＮＧ Ｘ，ＤＯＮＧ Ｙ Ｐ，ＰＡＮＧ Ｔ Ｙ，ｅｔ ａｌ． Ｔｏｗａｒｄｓ ＦａｃｅＥｎｃｒｙｐｔｉｏｎ ｂｙ Ｇｅｎｅｒａｔｉｎｇ Ａｄｖｅｒｓａｒｉａｌ Ｉｄｅｎｔｉｔｙ Ｍａｓｋｓ［Ｃ］∥Ｐｒｏｃｅｅｄｉｎｇｓ ｏｆ ｔｈｅ ＩＥＥＥ／ ＣＶＦ Ｉｎｔｅｒｎａｔｉｏｎａｌ Ｃｏｎｆｅｒｅｎｃｅ ｏｎＣｏｍｐｕｔｅｒ Ｖｉｓｉｏｎ （ＩＣＣＶ）． Ｍｏｎｔｒｅａｌ：ＩＥＥＥ，２０２１：３８７７－３８８７．

［９］ ＹＩＮ Ｌ Ｈ，ＦＥＮＧ Ｊ Ｙ，ＸＵＮ Ｈ，ｅｔ ａｌ． Ａ ＰｒｉｖａｃｙｐｒｅｓｅｒｖｉｎｇＦｅｄｅｒａｔｅｄ Ｌｅａｒｎｉｎｇ ｆｏｒ Ｍｕｌｔｉｐａｒｔｙ Ｄａｔａ Ｓｈａｒｉｎｇ ｉｎ ＳｏｃｉａｌＩｏＴｓ［Ｊ］． ＩＥＥＥ Ｔｒａｎｓａｃｔｉｏｎｓ ｏｎ Ｎｅｔｗｏｒｋ Ｓｃｉｅｎｃｅ ａｎｄ Ｅｎｇｉｎｅｅｒｉｎｇ，２０２１，８（３）：２７０６－２７１８．

［１０］ＧＡＯ Ｗ，ＺＨＡＮＧ Ｘ，ＧＵＯ Ｓ Ｗ，ｅｔ ａｌ． Ａｕｔｏｍａｔｉｃ Ｔｒａｎｓｆｏｒｍａｔｉｏｎ Ｓｅａｒｃｈ Ａｇａｉｎｓｔ Ｄｅｅｐ Ｌｅａｋａｇｅ ｆｒｏｍ Ｇｒａｄｉｅｎｔｓ［Ｊ］．ＩＥＥＥ Ｔｒａｎｓａｃｔｉｏｎｓ ｏｎ Ｐａｔｔｅｒｎ Ａｎａｌｙｓｉｓ ａｎｄ Ｍａｃｈｉｎｅ Ｉｎｔｅｌｌｉｇｅｎｃｅ，２０２３，４５（９）：１０６５０－１０６６８．

［１１］ＺＨＡＮＧ Ｚ Ｘ，ＬＩＵ Ｑ，ＨＵＡＮＧ Ｚ Ｙ，ｅｔ ａｌ． Ｍｏｄｅｌ ＩｎｖｅｒｓｉｏｎＡｔｔａｃｋｓ Ａｇａｉｎｓｔ Ｇｒａｐｈ Ｎｅｕｒａｌ Ｎｅｔｗｏｒｋｓ［Ｊ］． ＩＥＥＥ Ｔｒａｎｓａｃｔｉｏｎｓ ｏｎ Ｋｎｏｗｌｅｄｇｅ ａｎｄ Ｄａｔａ Ｅｎｇｉｎｅｅｒｉｎｇ，２０２２，３５（９）：８７２９－８７４１．

［１２］ＳＨＡＨＲＥＺＡ Ｈ Ｏ，ＨＡＨＮ Ｖ Ｋ，ＭＡＲＣＥＬ Ｓ． Ｆａｃｅ Ｒｅｃｏｎｓｔｒｕｃｔｉｏｎ ｆｒｏｍ Ｄｅｅｐ Ｆａｃｉａｌ Ｅｍｂｅｄｄｉｎｇｓ Ｕｓｉｎｇ ａ Ｃｏｎｖｏｌｕｔｉｏｎａｌ Ｎｅｕｒａｌ Ｎｅｔｗｏｒｋ ［Ｃ］∥ ２０２２ ＩＥＥＥ ＩｎｔｅｒｎａｔｉｏｎａｌＣｏｎｆｅｒｅｎｃｅ ｏｎ Ｉｍａｇｅ Ｐｒｏｃｅｓｓｉｎｇ （ＩＣＩＰ ）． Ｂｏｒｄｅａｕｘ：ＩＥＥＥ，２０２２：１２１１－１２１５．

［１３］ＳＯＮＧ Ｊ Ｃ，ＷＡＮＧ Ｗ Ｚ，ＧＡＤＥＫＡＬＬＵ Ｔ Ｒ，ｅｔ ａｌ．ＥＰＰＤＡ：Ａｎ Ｅｆｆｉｃｉｅｎｔ Ｐｒｉｖａｃｙｐｒｅｓｅｒｖｉｎｇ Ｄａｔａ ＡｇｇｒｅｇａｔｉｏｎＦｅｄｅｒａｔｅｄ Ｌｅａｒｎｉｎｇ Ｓｃｈｅｍｅ ［Ｊ］． ＩＥＥＥ Ｔｒａｎｓａｃｔｉｏｎｓ ｏｎＮｅｔｗｏｒｋ Ｓｃｉｅｎｃｅ ａｎｄ Ｅｎｇｉｎｅｅｒｉｎｇ，２０２２，１０（５）：３０４７－３０５７．

［１４］冒海微． 智能反射面輔助車聯(lián)網(wǎng)無(wú)線傳輸建模研究［Ｊ］． 無(wú)線電通信技術(shù)，２０２３，４９（２）：２７８－２８５．

［１５］ＶＥＮＵ Ｄ，ＭＡＹＵＲＩ Ａ Ｖ Ｒ，ＮＥＥＬＡＫＡＮＤＡＮ Ｓ，ｅｔ ａｌ． ＡｎＥｆｆｉｃｉｅｎｔ Ｌｏｗ Ｃｏｍｐｌｅｘｉｔｙ Ｃｏｍｐｒｅｓｓｉｏｎ Ｂａｓｅｄ Ｏｐｔｉｍａｌ Ｈｏｍｏｍｏｒｐｈｉｃ Ｅｎｃｒｙｐｔｉｏｎ ｆｏｒ Ｓｅｃｕｒｅ Ｆｉｂｅｒ Ｏｐｔｉｃ Ｃｏｍｍｕｎｉｃａｔｉｏｎ［Ｊ］． Ｏｐｔｉｋ，２０２２，２５２：１６８５４５．

［１６］ＷＡＮＧ Ｃ，ＷＵ Ｘ Ｋ，ＬＩＵ Ｇ Ｙ，ｅｔ ａｌ． Ｓａｆｅｇｕａｒｄｉｎｇ Ｃｒｏｓｓｓｉｌｏ Ｆｅｄｅｒａｔｅｄ Ｌｅａｒｎｉｎｇ ｗｉｔｈ Ｌｏｃａｌ Ｄｉｆｆｅｒｅｎｔｉａｌ Ｐｒｉｖａｃｙ［Ｊ］． Ｄｉｇｉｔａｌ Ｃｏｍｍｕｎｉｃａｔｉｏｎｓ ａｎｄ Ｎｅｔｗｏｒｋｓ，２０２２，８（４）：４４６－４５４．

［１７］ＣＨＥＮ Ｓ Ｚ，ＹＵ Ｄ Ｘ，ＺＯＵ Ｙ Ｆ，ｅｔ ａｌ． Ｄｅｃｅｎｔｒａｌｉｚｅｄ Ｗｉｒｅｌｅｓｓ Ｆｅｄｅｒａｔｅｄ Ｌｅａｒｎｉｎｇ ｗｉｔｈ Ｄｉｆｆｅｒｅｎｔｉａｌ Ｐｒｉｖａｃｙ ［Ｊ］．ＩＥＥＥ Ｔｒａｎｓａｃｔｉｏｎｓ ｏｎ Ｉｎｄｕｓｔｒｉａｌ Ｉｎｆｏｒｍａｔｉｃｓ，２０２２，１８（９）：６２７３－６２８２．

［１８］ＹＡＮＧ Ｇ，ＷＡＮＧ Ｓ Ｗ，ＷＡＮＧ Ｈ Ｊ． Ｆｅｄｅｒａｔｅｄ Ｌｅａｒｎｉｎｇｗｉｔｈ Ｐｅｒｓｏｎａｌｉｚｅｄ Ｌｏｃａｌ Ｄｉｆｆｅｒｅｎｔｉａｌ Ｐｒｉｖａｃｙ［Ｃ］∥２０２１ＩＥＥＥ ６ｔｈ Ｉｎｔｅｒｎａｔｉｏｎａｌ Ｃｏｎｆｅｒｅｎｃｅ ｏｎ Ｃｏｍｐｕｔｅｒ ａｎｄ Ｃｏｍｍｕｎｉｃａｔｉｏｎ Ｓｙｓｔｅｍｓ （ＩＣＣＣＳ）． Ｃｈｅｎｇｄｕ：ＩＥＥＥ，２０２１：４８４－４８９．

［１９］ＷＡＮＧ Ｎ，ＸＩＡＯ Ｘ Ｋ，ＹＡＮＧ Ｙ，ｅｔ ａｌ． Ｃｏｌｌｅｃｔｉｎｇ ａｎｄ Ａｎａｌｙｚｉｎｇ Ｍｕｌｔｉｄｉｍｅｎｓｉｏｎａｌ Ｄａｔａ ｗｉｔｈ Ｌｏｃａｌ Ｄｉｆｆｅｒｅｎｔｉａｌ Ｐｒｉｖａｃｙ［Ｃ］∥２０１９ ＩＥＥＥ ３５ｔｈ Ｉｎｔｅｒｎａｔｉｏｎａｌ Ｃｏｎｆｅｒｅｎｃｅ ｏｎＤａｔａ Ｅｎｇｉｎｅｅｒｉｎｇ （ＩＣＤＥ）． Ｍａｃａｏ：ＩＥＥＥ，２０１９：６３８－６４９．

［２０］ＷＥＩ Ｋ，ＬＩ Ｊ，ＤＩＮＧ Ｍ，ｅｔ ａｌ． Ｆｅｄｅｒａｔｅｄ Ｌｅａｒｎｉｎｇ ｗｉｔｈ Ｄｉｆｆｅｒｅｎｔｉａｌ Ｐｒｉｖａｃｙ：Ａｌｇｏｒｉｔｈｍｓ ａｎｄ Ｐｅｒｆｏｒｍａｎｃｅ Ａｎａｌｙｓｉｓ［Ｊ］． ＩＥＥＥ Ｔｒａｎｓａｃｔｉｏｎｓ ｏｎ Ｉｎｆｏｒｍａｔｉｏｎ Ｆｏｒｅｎｓｉｃｓ ａｎｄ Ｓｅｃｕｒｉｔｙ，２０２０，１５：３４５４－３４６９．

［２１］ＹＵ Ｈ，ＹＡＮＧ Ｓ，ＺＨＵ Ｓ Ｈ． Ｐａｒａｌｌｅｌ Ｒｅｓｔａｒｔｅｄ ＳＧＤ ｗｉｔｈＦａｓｔｅｒ Ｃｏｎｖｅｒｇｅｎｃｅ ａｎｄ Ｌｅｓｓ Ｃｏｍｍｕｎｉｃａｔｉｏｎ：ＤｅｍｙｓｔｉｆｙｉｎｇＷｈｙ Ｍｏｄｅｌ Ａｖｅｒａｇｉｎｇ Ｗｏｒｋｓ ｆｏｒ Ｄｅｅｐ Ｌｅａｒｎｉｎｇ［Ｃ］∥Ｐｒｏｃｅｅｄｉｎｇｓ ｏｆ ｔｈｅ ＡＡＡＩ Ｃｏｎｆｅｒｅｎｃｅ ｏｎ Ａｒｔｉｆｉｃｉａｌ Ｉｎｔｅｌｌｉｇｅｎｃｅ． Ｈｏｎｏｌｕｌｕ：ＡＡＡＩ Ｐｒｅｓｓ，２０１９：５６９３－５７００．

作者簡(jiǎn)介：

劉 強(qiáng) 男，（１９８１—），高級(jí)工程師。主要研究方向：交通管理、智慧交通。

段曉沛 男，（１９８５—），碩士，高級(jí)工程師。主要研究方向：交通工程。

胡詳文 男，（１９８２—），高級(jí)工程師。主要研究方向：電氣、自動(dòng)化、智慧城市。

朱 強(qiáng) 男，（１９９８—），碩士研究生。主要研究方向：聯(lián)邦學(xué)習(xí)、語(yǔ)義通信。

曾子喬 男，（２０００—），碩士研究生。主要研究方向：聯(lián)邦學(xué)習(xí)、語(yǔ)義通信。

基金項(xiàng)目：國(guó)家自然科學(xué)基金（Ｕ２２Ａ２０５４，６１９７１１４８）