语义通信模型联合训练框架中的隐私泄露.pdf

第48 卷总第52 2 期语义通信模型联合训练框架中的隐私泄露罗倩雯，王碧触，卞志强，许晓东，韩书君，张静璇（北京邮电大学网络与交换技术国家重点实验室，北京10 0 8 7 6）【摘要】为了同时保障端边协同训练语义编解码模型过程中的模型训练效率与数据隐私保护，基于U型分割的语义编解码模型端边协同训练框架是一种可行的方法。然而，端边之间交互的中间特征值与特征梯度仍然可能会泄露终端设备的数据隐私。基于U型分割的语义编解码模型端边协同训练框架可以在一定程度上解决端边协同训练语义编解码模型过程中模型训练效率与数据隐私保护之间的矛盾。然而，该框架下端边之间的交互过程仍然可能泄露终端设备的数据隐私。针对这一问题，提出了一种面向U型分割语义编解码模型协同训练过程的特征泄露攻击算法，通过分析训练过程中终端设备与边缘服务器之间交互的中间特征值和特征梯度，对终端的私有隐私数据进行重构。仿真结果表明，当使用单回合中间特征值对终端数据进行推断时，语义编解码模型使用浅层分割点或模型训练轮次较多时，中间特征值会包含更多的数据语义信息。此外，当攻击者增加本地攻击迭代次数，并选取多回合中间特征值和特征梯度对终端数据进行推断时，重构的终端数据与真实数据的图像结构相似度可以从0.2 7 59 提升到0.40 17。【关键词】语义通信；端边协同训练；数据重构；隐私泄露；模型分割doi:10.3969/j.issn.1006-1010.20231225-0004中图分类号：TN929.5文献标志码：A文章编号：10 0 6-10 10(2 0 2 4)0 2-0 111-0 6引用格式：罗倩雯,王碧触,下志强,等.语义通信模型联合训练框架中的隐私泄露.移动通信,2 0 2 4,48(2):111-116.LUO Qianwen,WANG Bizhu,BIAN Zhiqiang,et al.Privacy Leakage in Joint Training Framework for Semantic Communication ModelsJ.Mobile Communications,2024,48(2):111-116.Privacy Leakage in Joint Training Framework for SemanticLUO Qianwen,WANG Bizhu,BIAN Zhiqiang,XU Xiaodong,HAN Shujun,ZHANG Jingxuan(State Key Laboratory of Networking and Switching Technology,Bejing University of Posts and Telecommunications,Beijing 100876,China)Abstractsegmentation is a feasible approach.However,the intermediate feature values and feature gradients interactedbetween the end edges may still leak the data privacy of the end devices.The U-shaped segmentation-basedend-edge collaborative training framework can resolve the conflict between model training efficiency and dataprivacy protection in the training process to a certain extent.However,the end-edge interaction process under thisframework may still leak the data privacy of the end devices.To address this problem,a feature leakage attackalgorithm for the collaborative training process of U-shaped segmentation semantic codec model is proposed.Byanalyzing the intermediate feature values and feature gradients of the end-edge interactions during the trainingprocess,the end devices private data is reconstructed.The simulation results show that when a single-roundintermediate feature value is used to infer the data of the end device,the intermediate feature value contains moresemantic information of the data when the semantic codec model uses shallow segmentation points or the modelhas more training rounds.In addition,when the attacker increases the number of local attack iterations and selectsmulti-round intermediate feature values and feature gradients for inferring the data of end device,the imagestructure similarity between the reconstructed data and the real data can be improved from 0.275 9 to 0.401 7.KeywordsOSID:Communication ModelsTo simultaneously guarantee the model training efficiency and data privacy protection during the end-edgecollaborative training of semantic codec model,the end-edge collaborative training framework based on U-shapedsemantic communication;end-edge collaborative training;data reconstruction;privacy leakage;model splitting扫描二维码与作者交流收稿日期：2 0 2 3-12-2 5*基金项目：中国博士后科学基金面上项目“面向6 G极高可靠低时延通信的智能按需服务技术研究”（2 0 2 3M740342）*通信作者移动通信2024年2 月第2 期111第48 卷“语义通信”专题1总第52 2 期0引言作为下一代移动通信的关键候选技术之一，语义通信（SemCom，Se m a n t i c C o m m u n i c a t i o n）不要求接收端的译码序列严格匹配发送端的编码序列，而是更加关注信号中包含的语义、知识以及收发端之间希望达成的目的2 。目前，语义通信系统的实现主要依赖于深度学习（DL，DeepLearning）技术，通过搭建端到端语义编解码神经网络，实现文本3、图像4、音频5、视频6 等类型信源的语义信息提取与恢复。同时，还涌现了面向语义通信的多址技术，比如张平院士团队提出的模分多址（MDMA，ModelDivisionMultipleAccess）技术通过挖掘语义信息的共性化和个性化信息，比传统多址技术节省更多带宽资源，并在低信噪比条件下仍有性能优势7 。为了实现任意通信方之间语义信息的准确传递，语义编解码模型需要根据不断扩大的共享知识库，进行频繁的更新，以保证语义通信系统的性能8 。目前，语义通信相关研究通常选择在资源丰富的云服务器等平台上部署模型训练、更新、推理等密集计算过程9 。考虑到云化的解决方案将导致不可忽视的数据传输延迟，学术界普遍认为将模型计算任务的部署下沉到网络边缘是一种有效的解决方案110-12 。已有研究提出通过利用分割学习（SL，Sp l i t Le a r n i n g）技术，将模型训练任务分别部署在终端设备和边缘服务器，可以在终端设备能力、移动通信网络资源、边缘服务器负载有限的多重约束下实现高效的模型计算13-14。然而，在端边协同训练语义编解码模型过程中，边缘服务器需要获取模型输出层对应的真实数据信息，即数据标签，才能进行损失函数的计算和模型训练的反向传播。由于语义编解码模型数据标签对应的是终端数据，这种方法不仅会增加传输时延、降低模型训练效率，还会引起终端数据隐私泄露风险。因此，本文针对端边协同的语义编解码模型训练中存在的数据传输时延问题提出解决方案，并分析了可能存在的隐私泄露隐患，希望为促进语义编解码模型训练的合理部署提供思路，实现语义编解码模型的高效、安全训练。1基于U型分割的语义编解码模型端边协同训练框架为了同时满足数据传输的较少和数据隐私保护，基于U型分割的语义编解码模型端边协同训练框架被提出15。如图1所示，该训练框架旨在充分利用边缘112移动通信2024年2 月第2 期服务器和终端设备上的计算资源，在终端数据不离开本地的前提下实现语义模型的高效协同训练。具体地，在初始化阶段本地模型被拆分为三个部分：头部（HeadCodec）、中部（MiddleCodec）、尾部编解码器（TailCodec），其中，中部编解码器被部署在边缘服务器侧。本地模型更新阶段分为三个步骤：（1）前向传播：终端设备将本地数据输人W进行计算，将提取出的浅层特征值通过无线信道传输至边缘服务器。服务器将接收到的浅层特征值输人WM中进一步提取深层特征值，并将其传输回终端节点。终端设备将接收到的深层特征值输入W后输出恢复数据；（2）损失计算：由于模型尾段WT部署在终端设备上，终端可以通过比较恢复数据与原始数据之间的差异，如均方误差（MSE，M e a n Sq u a r e d Er r o r）来计算本回合训练精度损失；（3）反向传播：由损失计算得到的精度损失从尾部编解码器WT开始，在各编码器上依次执行反向传播，并通过无线信道传输梯度特征值，由此更新各编解码模型的参数。综上所述，这种训练方式可以在充分利用终端设备和边缘服务器计算资源的同时，克服端边协同训练对数据共享的依赖，提高模型协同训练效率，减少隐私泄露风险。然而，攻击者仍然可以通过在边缘服务器与终端设备之间交互的特征值和特征梯度，推测终端设备数据属性，甚至重构终端数据。例如，文献17-18 提出，在模型端边协同推理的过程中，攻击者可以根据模型计算的中间特征值，实现对原始数据的重建。此外，文献19 提出了一种针对联邦学习架构中通过共享模型梯度重构用户数据的攻击算法。受上述工作的启发，本文对基于U型分割的语义编解码模型端边协同训练框架的隐私泄露问题展开研究。2面向U型分割语义编解码模型协同训练过程的特征泄露攻击算法本文提出了一种面向U型分割的语义编解码模型协同训练过程的特征泄露攻击算法（FLA，Fe a t u r eLeakageAlgorithm）。如图2 所示，在语义通信模型的本地更新过程中，终端设备与边缘服务器通过交互中间特征和中间特征梯度，进行前向传播和反向传播，从而实现高效的端边协同训练。恶意终端可以通过拦截或窃取其他终端设备传输的中间特征和特征梯度，对其他终端的私有数据进行重构。第48 卷总第52 2 期罗倩雯，王碧舶，卞志强，等：语义通信模型联合训练框架中的隐私泄露边缘服务器(1)全局模型初始化(5)全局模型更新(4)本地梯度上传(2)全局模型广播边缘服务器端Middle Codec(wM)?反向传播：梯度特征终端设备移动通信(3)本地模型更新图1基于U型分割的语义编解码模型端边协同训练框架L=(CFh(x)-f冶(3)2 L=(g(x)-fh(3)2Original Image1112DummyInputfli=(x)-f()2g=(r(x)-f()2图2 面向U型分割的语义编解码端边协同训练过程的特征隐私泄露攻击示意图具体过程如算法1所示，攻击者创建一个随机变量作为虚拟信源，并将x人语义编解码模型中。其中，攻击者可以通过与目标终端设备进行联合训练、或通过创建影子模型等方式获得语义编解码模型。定义语义编解码模型的分割点为i和j，则攻击者获得的虚拟前向传播特征值为(g)和冶(x)，对应的反向传播特征梯度为f(x)和冶(x)。接下来，攻击者在信道中截获其他用户私有信源的两个语义特征()和冶(3)，以及两个梯度特征胎()和冶()。通过建立虚拟输人x在模型分割层的输出与截获的真实特征之间的语义特征损失L和梯度特征损失L，对虚拟输人进行反向更新。随着攻击算法的持续迭代，虚拟输人的中间特征与真实特征之间的距离不断靠近，虚拟数据也将以高置信度向真实数据收敛。Head Codec(wHl)算法1：语义通信系统端边协同训练中的特征泄露攻击算法Recovered Image输人：真实输人；虚拟输人x；语义通信模型；分割Li+1Li+1LGeneratedImageTail Codec(WT)损失计算终端设备端点i,jE(O,L);(x)：模型从输人到第1,层的前向传播；输出：重构输入1:L/()-刘I21真实输出与真实输入的损失2:Vwi=aL/a(fi(),VWi=aL/a(f(3)/真实中间梯度特征3:procedureFLA(f,Vwi,vWi)I构造虚拟输入4:Xi+-N(0,1)5：for n 1 to Ndo6:L,(x,)-J()+(x,)-J()虚拟中间特征与真实中间特征的距离7：L,I/(x,)-x,l/2/虚拟输出与虚拟输入的损失8:VW,=aL,/a(f(x,),VW,=aL,/a(f(x,)/虚拟中间梯度特征9:虚拟中间梯度特征与真实梯度特征的距离10:Lrv-Z a.(xab-a+1b)+(xa,-Xa,b+1)约束噪声的正则项11:Xa+-argmax,(L,+L+ALrv)反向传播更新虚拟输入12:end for13:return Xn+114:end procedure2024年2 月第2 期113第48 卷“语义通信专题1总第52 2 期3面向语义编解码模型端边协同训练过程的数据隐私泄露风险仿真分析为了探究语义编解码模型端边协同训练的过程中，不同分割点的选择、模型训练程度、攻击者送代次数等因素对数据隐私泄露风险的影响，本章进行仿真验证与分析。采用CIFAR-10公开数据集2 0 ，并采用如表1所示的语义编解码模型结构，其中Conv2d表示卷积函数，ConvTran2d表示反卷积函数，ResBlock表示残差模块，ReflectionPad2d表示填充函数。为了评估隐私泄露的程度，本文采用结构相似指标（SSI M，St r u c t u r e Si mi l a r i t y I n d e x M e a s u r e）2 11作为衡量攻击者重构图像与真实图像之间相似程度的指标。SSIM综合图像的亮度、对比度以及结构三个方面因素对两幅图像的相似度进行评估，取值范围在0,1 之间，越接近0 表示图像之间的相似性越低，即隐私泄露风险越低，反之，相似性越高，风险越高。表1语义编解码模型结构模型结构Conv_1Conv2d(3 64,kermel size-(3,3),stride=(1,1)Conv2Conv2d(64,128,kermel size-(3,3),stride-(2,2)128,256,256Conv2d(128,256,kernel size=(3,3),Conv3编码器Conv_4Conv.5Conv_6Conv2d(1024,3,kernel size-(3,3),stride-(1,1)Upsample _1 Conv2d(3,1024,kermel size-(3,3),stride-(1,1)1024,30,30ResBlock_11024,30,30 ResBlock9ConvTran2d(1 024,512,kernel size=(3,3),Upsample 2ConvTran2d(512,256,kernel size=(3,3),解 Upsample 3码器Upsample_4PadUpsample 5Upsample_ 6首先，在模型未经训练的初始化阶段，对该模型所有网络层的中间特征执行特征泄露算法，通过30 0 个更新轮次，由2 2 个网络层输出的中间特征得到的构造图像如图3所示，其对应的SSIM指标如表2 所示。结合图3114移动通信2024年2 月第2 期和表2，可以明显地观察到，所有分割层重构出的图像质量都较低，SSIM最高只有0.142 3。而对比不同层之间的差别，由浅层网络恢复出的虚拟图像较为清晰，SSIM也相对较高，但是隐私泄露指标的最大值与最小值和之间的差距很小，仅有0.0 6 12。Conv1Conv2Usap1Res1Res6Res7Usap4Pad图3模型训练前各分割点的隐私泄露情况表2模型训练前各分割点的隐私泄露指标特征网络层64,512,512 卷积层1卷积层2卷积层3stride-(2,2)256,128,128 Conv2d(256,512,kernel size=(3,3),512,64,64 stride=(2,2)Conv2d(512,1024,kernel size=(3,3),stride=(2,2)ResBlock(1 024,1 024)x9stride-(2,2)stride=(2,2)ConvTran2d(256,128,kernel size=(3,3),stride=(2,2)ReflectionPad2d(1)ConvTran2d(128,64,kernel size=(3,3),stride=(2,2)ConvTran2d(64,3,kernel size=(3,3),stride=(1,1)Conv3Res2Res8Usap5恢复SSIM0.128 90.121 30.122.7卷积层40.141 7卷积层50.185 8卷积层60.182 5上采样层10.162.91024,32,32残差层14,32,32残差层2残差层3残差层4512,62,62 为了观察模型是否训练对隐私泄露的影响，在模型训练后，即在测试阶段性能达到收敛时，由各分割点输256,126,126 出的特征重构出的图像如图4所示，其与真实图像的相似度如表3所示。在网络层越浅的位置产生的中间特征128,254,254恢复出的图像越接近真实图像，其中由第一层网络输出128,256,256特征恢复出的图像与真实图像之间的SSIM较高，达到了64,514,5140.9908。而随着模型层数的加深，图像恢复的指标也呈逐渐下降的趋势，最低只有0.0 56 4。这是由于在模型较3,512,512 浅的层中，网络对信源语义信息的学习较少，包含更多低维的信息，与原始输人更为接近。而随着网络层的加深，网络也将学习到信源更高维、更抽象的语义特征，即与原始信源的差别越大。对比图3和图4，在模型训练后，随着模型对信源语义信息学习和提取能力的提升，模型隐私泄露的风险也在增加。Conv4Res3Res9Usap6网络层残差层5残差层6残差层7残差层：残差层9上采样层2上采样层30.107 3上采样层40.092.7填充层0.0865上采样层50.086 4上采样层6Conv5Res4Usap2恢复SSIM0.08470.08330.08190.081 20.081 10.11780.130 00.126 70.12580.14060.1423Conv6Res5Usap3第48 卷总第52 2 期罗倩雯，王碧舶，卞志强，等：语义通信模型联合训练框架中的隐私泄露Conv1Usap1Res6Usap4网络层卷积层1卷积层2卷积层3卷积层4卷积层5卷积层6上采样层1残差层1残差层2残差层3残差层4为了进一步探究攻击者迭代轮次对隐私泄露程度的影响，在模型训练后，首先对隐私泄露风险较高的浅层网络iters=oiters=40Conv2Res1Res7Pad图4模型训练后各分割点的隐私泄露情况表3模型训练后各分割点的隐私泄露指标恢复SSIM网络层0.9908残差层50.8570残差层60.3183残差层70.1608残差层80.121 2残差层90.0930上采样层20.0925上采样层30.084 5上采样层40.0829填充层0.0822上采样层50.0819上采样层6iters=10iters=20Conv3Res2Res8Usap5Conv4Res3Res9Usap6Conv5Res4Usap2恢复SSIM0.08170.08160.08000.076.60.07730.10220.056 40.06300.06090.09550.1063iters=30Conv6Res5Usap3执行攻击，选择采用卷积层1（Convl层）和卷积层2(Conv2层）作为分割点的分割方案。如图5所示，攻击者每次攻击执行30 0 个轮次的迭代更新，随着迭代的进行，SSIM也在逐渐上升。在第30 0 个轮次，所得到的重构图像与真实图像之间的SSIM达到了0.9 8 52，重构图像已经达到接近真实图像的程度。而对于隐私泄露风险较低深层网络进行攻击，选择采用残差层1（Res1层）和残差层9（Res9层）作为分割点的分割方案。如图6 所示，在第30 0 个轮次时，重构图像与真实图像之间的SSIM仅达到了0.19 8 8，而在30 0 0 个轮次之内，SSIM指标在随着迭代进行的过程中上升到一定程度后呈现上下起伏的状态，最大也只达到了0.47 9 4。说明模型隐私泄露的风险会在泄露程度的范围内，随着攻击者迭代轮次的增加而提升。随着模型更新的进行，攻击者可以在之前重构的虚拟输入上继续执行特征泄露攻击算法，从而对虚拟输人继续迭代更新。选用深层网络（Res1层和Res9层）作为分割点的分割方案，假设模型需要训练30 个Epoch，攻击者每经过5个训练Epoch执行一次特征泄露攻击。为了综合利用上一次执行攻击算法的重构信息，每次攻击在上一轮攻击得到的虚拟输入上继续进行迭代，而不是重新创建一个随机初始化的虚拟输入，每次攻击迭代30 0 个轮次。每次攻击的结果如图7 所示，在模型未经训练（TrainingEpoch=0）时，攻击恢复的图像与真实图像信源之间的SSIM能达到0.2 7 59，而iters=50iters=60iters=70iters=80iters=90ssim=0.0845siters=100ssim=0.1542iters=110ssim=0.2912iters=120ssim=0.4907iters=130ssim=0.6818iters=140ssim=0.8152iters=150ssim=0.8936iters=160ssim=0.9372siters=170ssim=0.9614ssim=0.9744iters=180iters=190ssim=0.9806iters=200ssim=0.9832iters=210ssim=0.9842iters=220ssim=0.9846iters=230ssim=0.9848iters=240ssim=0.9848iters=250ssim=0.9849iters=260ssim=0.9849iters=270ssim=0.9849iters=280ssim=0.9850iters=290ssim=0.9850ssim=0.9850iters=oiters=100ssim=0.9850iters=200ssim=0.9851图5浅层网络的特征泄露攻击iters=300iters=400ssim=0.9851 ssim=0.9851 ssim=0.9851 ssim=0.9852 sssim=0.9852ssim=0.9852iters=500iters=600iters=700iters=800iters=900ssim=0.0652ssim=0.0618iters=1000 iters=1100iters=1200iters=1300 iters=1400ssim=0.1262ssim=0.1988ssim=0.2549 ssim=0.2991 ssim=0.3308 ssim=0.3174 ssim=0.3845 ssim=0.3841iters=1600iters=1700iters=1800iters=1900_iters=1500ssim=0.4098 ssim=0.4373 ssim=0.4451 ssim=0.4264 ssim=0.3787 ssim=0.4371 ssim=0.4004 ssim=0.4615 ssim=0.4794 ssim=0.4486iters=2000iters=2100iters=2200iters=2300iters=2400iters=2500iters=2600iters=2700iters=2800iters=2900ssim=0.4697ssim=0.4030sim=0.4426ssim=0.3840图6深层网络的特征泄露攻击ssim=0.4730ssim=0.4506ssim=0.4642ssim=0.3439ssim=0.3262ssim=0.4469移动通信2024年2 月第2 期115第48 卷“语义通信”专题总第52 2 期随着模型训练的进行，SSIM指标也在逐渐提升，在Trainingfor video conferencingJ.IEEE Journal on Selected Areas inCommunications,2022,41(1):230-244.Epoch=30时，SSIM最高达到0.40 17，图像恢复的程度也越7Zhang P,Xu X,Dong C,et al.Model division multiple access来越接近真实信源。但是随着虚拟特征与真实特征之间距离for semantic communicationsJ.Frontiers of InformationTechnology&Electronic Engineering,2023:1-12.的减小，每次攻击过程中SSIM提升的程度也在逐渐减小。8 石光明，肖泳，李莹玉，等.面向万物智联的语义通信网络物联网学报,2 0 2 1,5(2):2 6-36.0.35中9Tong H,Yang Z,Wang S,et al.Federated learning based audiosemantic communication over wireless networksC,IEEE0.30Global Communications Conference(GLOBECOM).IEEE.10 JJiang K,Sun C,Zhou H,et al.Intelligence-Empowered Mobile0.25Edge Computing:Framework,Issues,Implementation,andOutlookJJ.IEEE Network,2021,35(5):74-82.0.2011Yang W,Liew Z Q,Lim W Y B,et al.Semantic communicationmeets edge intelligenceJ.IEEE Wireless Communications,中*十中中十Training Epoch=o0.15Training Epoch=5Training Epoch=1o0.10TrainingEpoch=15Training Epoch=20Training Epoch=250.05Training Epoch=30050图7模型训练过程中的隐私泄露情况4结束语为了实现高效、实时的语义通信，将语义编解码模型训练和推理过程下沉到网络边缘进行部署成为趋势。其中，基于U型分割的语义编解码模型端边协同训练框架可以充分利用边缘服务器和终端设备的计算资源实现模型高效、安全的训练。为了进一步探究该框架下的隐私泄露风险，受深度学习中的隐私泄露问题的启发，本文提出特征泄露攻击算法，基于端边之间交互的特征值和特征梯度进行数据重构，并分析了不同分割点选择、模型训练程度、攻击者迭代次数和模型协同训练轮次等多种因素对隐私泄露的影响。仿真结果表明，需要合理划分模型分割点以降低隐私泄露风险。本文为语义通信编解码模型的最优部署提供思路，希望引起更多研究者对数据隐私安全的关注。参考文献：1牛凯，戴金晟，张平，等.面向6 G的语义通信J.移动通信，2021,45(4):6.2 Strinati E C,Barbarossa S.6G networks:Beyond Shannontowards semantic and goal-oriented communicationsJ.Computer Networks,2021,190:107930.3 Farsad N,Rao M,Goldsmith A.Deep learning for joint source-channel coding of textC/2018 IEEE international conferenceon acoustics,speech and signal processing(ICASSP).IEEE,2018:2326-2330.4Zhang Z,Yang Q,He S,et al.Wireless transmission of imageswith the assistance of multi-level semantic informationC/2022International Symposium on Wireless Communication Systems(ISWCS).IEEE,2022:1-6.5 Weng Z,Qin Z,Tao X,et al.Deep learning enabled semanticcommunications with speech recognition and synthesisJ.IEEETransactions on Wireless Communications,2023.6Jiang P,Wen C K,Jin S,et al.Wireless semantic communications116移动通信2024年2 月第2 期2022,29(5):28-35.12 Xie H,Qin Z.A lite distributed semantic communication systemfor Internet of ThingsJ.IEEE Journal on Selected Areas inCommunications,2020,39(1):142-153.13 Vepakomma P,Gupta O,Swedish T,et al.Split learning forhealth:Distributed deep learning without sharing raw patient100150AttackIters200250300dataJ.arXiv preprint arXiv:1812.00564,2018.14Zhang M,Qu L,Singh P,et al.Splitavg:A heterogeneity-awarefederated deep learning method for medical imaging.IEEE Journalof Biomedical and Health Informatics,2022,26(9):4635-4644.15 Tian Y,Wan Y,Lyu L,et al.FedBERT:When federated learningmeets pre-trainingJ.ACM Transactions on Intelligent Systemsand Technology(TIST),2022,13(4):1-26.16Yin B,Chen Z,Tao M.Predictive GAN-powered Multi-ObjectiveOptimization for Hybrid Federated Split LearningJ.IEEETransactions on Communications,2023.17 Oh H,Lee Y.Exploring image reconstruction attack in deeplearning computation offloadingCJ/The 3rd InternationalWorkshop on Deep Learning for Mobile Systems andApplications.2019:19-24.18 IPichler L.Collaborative Inference for Edge Intelligence-Impactson Performance and Privacy of Partition PointsD.Wien,2022.19Zhu L,Liu Z,Han S.Deep leakage from gradientsJJ.Advancesin neural information processing systems,2019,32.20 Krizhevsky A,Hinton G.Learning multiple layers of featuresfrom tiny images.2009.21Wang Z,Bovik A C,Sheikh H R,et al.Image quality assessment:from error visibility to structural similarityJJ.IEEE transactionson image processing,2004,13(4):600-612.罗倩雯（orcid.rog/0009-0006-3063-9165）：北京邮电大学在读硕士研究生，主要研究方向为智简语义通信系统、隐私泄露及资源分配。参加项目1项，申请专利1项。王碧舶（orcid.rog/0000-0001-9259-9126）：博士毕业于伦敦玛丽女王大学，现任北京邮电大学讲师，研究方向主要为智简网络通信系统、智能无线网络内生安全关键技术、网络攻击与防御、大数据与隐私保护等，主持/参与国家级与省部级项目5项，发表论文10 余篇，申请专利50 余项。卞志强：北京邮电大学在读硕士研究生，主要研究方向为智简语义通信及其组网技术。作者简介