中圖分類號(hào)：TP309.7 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1000-2367（2025）04-0066-08

圖像隱寫作為信息安全領(lǐng)域的重要研究分支，近年來(lái)多與深度學(xué)習(xí)相結(jié)合.利用卷積神經(jīng)網(wǎng)絡(luò)局部連接的特點(diǎn)，提取圖像高維特征，將秘密信息嵌人最佳區(qū)域，有效提高了圖像隱寫的安全性、隱蔽性、魯棒性和隱寫容量[1].基于深度學(xué)習(xí)的隱寫模型訓(xùn)練過(guò)程不僅需要硬件計(jì)算資源[2]、圖像數(shù)據(jù)集和設(shè)計(jì)精良的網(wǎng)絡(luò)結(jié)構(gòu)，還需要模型剪枝、蒸餾等技術(shù)來(lái)進(jìn)一步優(yōu)化模型[3.所以，一個(gè)訓(xùn)練完備的隱寫模型具有很高的經(jīng)濟(jì)價(jià)值.當(dāng)模型被第三方攻擊者惡意盜取并使用后，版權(quán)所有者將會(huì)遭到不可估量的經(jīng)濟(jì)損失.此外，圖像隱寫模型作為隱蔽通信技術(shù)，一旦被盜用，將會(huì)導(dǎo)致個(gè)人隱私、商業(yè)數(shù)據(jù)或機(jī)密信息的泄露[4]，造成不可挽回的損失和后果.因此，對(duì)于深度隱寫模型的保護(hù)迫在眉睫.

在圖像隱寫模型研究過(guò)程中，訓(xùn)練階段通常采用預(yù)訓(xùn)練模型或隨機(jī)初始化模型參數(shù)，在投入數(shù)據(jù)集、硬件算力和模型優(yōu)化技術(shù)等成本后得到訓(xùn)練完備的模型參數(shù).因此，深度模型保護(hù)往往通過(guò)對(duì)深度模型的卷積層權(quán)重參數(shù)進(jìn)行加密，混淆權(quán)重參數(shù)之間的相關(guān)性，從而降低和破壞模型原始性能，即使攻擊者截獲模型，也無(wú)法正常使用并從提取圖像中獲取秘密信息.目前，模型加密研究的目標(biāo)模型多為圖像分類、目標(biāo)檢測(cè)和自然語(yǔ)言處理[5-7]等，對(duì)于圖像隱寫模型的加密研究較少.同時(shí)，部分研究工作在模型加密過(guò)程中需要對(duì)模型重新訓(xùn)練或微調(diào)，不僅會(huì)損耗計(jì)算資源，還會(huì)對(duì)模型性能產(chǎn)生一定的影響.此外，模型水印[8]也是模型保護(hù)的一個(gè)重要思路，模型水印主要關(guān)注模型版權(quán)的驗(yàn)證問(wèn)題，即當(dāng)模型版權(quán)出現(xiàn)爭(zhēng)議時(shí)，可以通過(guò)提取水印來(lái)確定版權(quán)歸屬.模型水印方法雖然在魯棒性、嵌入容量和有效性等方面效果可觀，但模型水印方法均需對(duì)模型進(jìn)行重訓(xùn)練，影響深度模型原始性能.而且模型水印方法僅能在發(fā)現(xiàn)侵權(quán)行為后被動(dòng)保護(hù)、事后取證和維權(quán)，無(wú)法在事前阻正模型的盜用.當(dāng)模型水印方法應(yīng)用于圖像隱寫模型保護(hù)時(shí)，事后保護(hù)也無(wú)法彌補(bǔ)個(gè)人隱私和機(jī)密數(shù)據(jù)泄露所造成嚴(yán)重后果。

為了確保模型加密安全性的同時(shí)，不對(duì)模型性能產(chǎn)生任何影響，本文基于Arnold不等長(zhǎng)映射提出了一種新的深度隱寫模型參數(shù)保護(hù)方法.方法通過(guò)置亂一擴(kuò)散的加密方案對(duì)深度隱寫模型提取網(wǎng)絡(luò)參數(shù)進(jìn)行加密，在保證加密有效性的同時(shí)，提高了模型參數(shù)加密的安全性.主要工作包括：1）置亂階段，提出了 4D-Ar-nold 不等長(zhǎng)映射，實(shí)現(xiàn)對(duì)卷積層參數(shù)跨通道，跨卷積核的可逆隨機(jī)置亂.2）擴(kuò)散階段，設(shè)計(jì)了一種相鄰參數(shù)擴(kuò)散機(jī)制，按照既定擴(kuò)散路徑對(duì)卷積層參數(shù)進(jìn)行擴(kuò)散，在相鄰參數(shù)間建立相關(guān)關(guān)系，利用雪崩效應(yīng)放大參數(shù)變動(dòng)的影響.3）實(shí)驗(yàn)結(jié)果表明，本文方法在隱寫模型秘密信息提取中，可以顯著降低其視覺(jué)效果和客觀性能指標(biāo).4）將本文方法拓展到了圖像分類模型參數(shù)保護(hù)領(lǐng)域，驗(yàn)證了本文算法在其他深度模型參數(shù)保護(hù)中的適用性.

1相關(guān)工作

根據(jù)模型保護(hù)的應(yīng)用場(chǎng)景不同，可以將模型保護(hù)的相關(guān)工作分為模型水印和模型加密2種類型.模型水印[9]按照是否依賴內(nèi)部參數(shù)，可分為白盒水印和黑盒水印.其中，黑盒水印基于神經(jīng)網(wǎng)絡(luò)在輸出端設(shè)置后門，通過(guò)特定的觸發(fā)集來(lái)驗(yàn)證模型版權(quán)，無(wú)須獲取模型內(nèi)部參數(shù)或網(wǎng)絡(luò)結(jié)構(gòu).MERRER 等[10]提出一種基于對(duì)抗樣本的黑盒水印模型保護(hù)方法，該方法通過(guò)在部分樣本中添加擾動(dòng)，重新標(biāo)記樣本標(biāo)簽，當(dāng)發(fā)生版權(quán)糾紛時(shí)，可通過(guò)驗(yàn)證對(duì)抗樣本來(lái)核實(shí)IP歸屬問(wèn)題.白盒水印依賴于深度模型內(nèi)部參數(shù)或者網(wǎng)絡(luò)結(jié)構(gòu)，一般在模型中通過(guò)重新訓(xùn)練嵌人水印.WANG等[11]提出一種基于生成對(duì)抗的白盒水印模型保護(hù)方法，以模型作為水印的生成器，同時(shí)將檢測(cè)模型內(nèi)部參數(shù)變化的模塊作為鑒別器，通過(guò)對(duì)抗訓(xùn)練過(guò)程，提高了水印嵌入的容量及其不可檢測(cè)性.雖然基于水印的深度模型保護(hù)在水印嵌入容量、隱蔽性和魯棒性等方面表現(xiàn)較好，但模型水印保護(hù)方法均需對(duì)模型進(jìn)行重訓(xùn)練，在一定程度上會(huì)影響模型性能.同時(shí)，將版權(quán)保護(hù)問(wèn)題置身于模型被第三方竊取和使用的場(chǎng)景之中時(shí)，模型水印雖然可以驗(yàn)證版權(quán)，但無(wú)法阻止第三方對(duì)模型功能的使用.而模型加密通過(guò)對(duì)模型網(wǎng)絡(luò)結(jié)構(gòu)或模型的內(nèi)部參數(shù)進(jìn)行加密，可以實(shí)現(xiàn)對(duì)深度模型知識(shí)產(chǎn)權(quán)的保護(hù).LIN 等[12]基于圖像分類和自然語(yǔ)言處理任務(wù)提出了ChaoW深度模型保護(hù)框架，該框架通過(guò)對(duì)權(quán)重參數(shù)位置置亂，將卷積或全連接層的卷積核置亂為混沌狀態(tài)，實(shí)現(xiàn)對(duì)深度模型LinkNet，GoogleNet 和 VGGl6 模型的加密.PY-ONE 等[13」基于訓(xùn)練前加密保護(hù)的場(chǎng)景，對(duì)圖像進(jìn)行逐塊像素變換，然后利用預(yù)處理后的圖像進(jìn)行訓(xùn)練，從而保護(hù)模型.此方法雖然可以保證加密前后模型精度和時(shí)間開(kāi)銷不變，但在模型每次推理前對(duì)圖像的預(yù)處理環(huán)節(jié)，增加了任務(wù)整體運(yùn)行開(kāi)銷.

上述方法在圖像分類、語(yǔ)義分割等任務(wù)中可以有效保護(hù)模型，但對(duì)于圖像隱寫模型的保護(hù)效果不夠理想.由于人眼的生理特性，在觀察圖像時(shí)，人們難以察覺(jué)出在紋理復(fù)雜區(qū)域的微小變化[14].而圖像隱寫模型的輸入和輸出均為圖像，所以和其他類型數(shù)據(jù)輸出的模型相比，圖像隱寫模型的加密難度較高.DUAN等[15]提出了一種圖像隱寫模型參數(shù)保護(hù)方法，該方法通過(guò)Josephus 置亂對(duì)深度隱寫模型中的卷積參數(shù)進(jìn)行置亂，實(shí)現(xiàn)對(duì)模型的加密保護(hù).當(dāng)該方法對(duì)提取網(wǎng)絡(luò)全部卷積層參數(shù)置亂后，其提取結(jié)果基本不含語(yǔ)義信息，但仍含有色彩，而且通過(guò)置亂難以保證算法的安全性.針對(duì)上述問(wèn)題，本文基于4D-Arnold 不等長(zhǎng)映射提出了一種深度隱寫模型參數(shù)加密方法.可以針對(duì)圖像隱寫模型，對(duì)模型卷積層參數(shù)進(jìn)行置亂和擴(kuò)散，從而提高模型加密的效果和效率.

2本文方法

首先分析圖像隱寫模型的參數(shù)和網(wǎng)絡(luò)結(jié)構(gòu)，確定部分加密的策略.然后介紹本文方法的整體框架.最后，對(duì)置亂階段的4D-Arnold不等長(zhǎng)映射和擴(kuò)散階段的相鄰參數(shù)擴(kuò)散機(jī)制進(jìn)行了詳細(xì)闡述

2.1 深度隱寫模型加密分析

基于深度學(xué)習(xí)的圖像隱寫模型由不同的模塊組成，一般可分為隱藏網(wǎng)絡(luò)和提取網(wǎng)絡(luò).如附錄圖 S1所示，發(fā)送方通過(guò)隱藏網(wǎng)絡(luò)將秘密圖像隱藏在載體圖像中，使得載體圖像和載密圖像在主觀視覺(jué)和客觀性能指標(biāo)上保持一致性.接收方通過(guò)提取網(wǎng)絡(luò)從載密圖像中提取出秘密圖像，使得提取出的秘密圖像和原始秘密圖像保持一致性.本文方法立足Baluja[16]、 UDH^[17] 、StegoPnet[18]和U-Net[19]4種具有代表性的深度圖像隱寫模型，對(duì)其提取網(wǎng)絡(luò)的參數(shù)值進(jìn)行加密，實(shí)現(xiàn)隱寫模型的版權(quán)保護(hù).將4個(gè)模型網(wǎng)絡(luò)結(jié)構(gòu)中跳躍連接等結(jié)構(gòu)去除后，各模型提取網(wǎng)絡(luò)卷積層結(jié)構(gòu)如附錄圖 S2所示.雖然各個(gè)模型的網(wǎng)絡(luò)組成各不相同，但其主要組成部分均為卷積層.卷積層能夠通過(guò)卷積核從載密圖像紋理豐富的高頻區(qū)域中提取圖像的高維特征，從而完成秘密圖像的隱藏和提取的任務(wù).因此對(duì)隱寫模型參數(shù)的加密應(yīng)基于卷積核參數(shù)，可以通過(guò)對(duì)卷積核參數(shù)的置亂和擴(kuò)散，破壞隱寫模型隱蔽通信的功能.

在隱寫模型的加密保護(hù)中，僅對(duì)隱藏網(wǎng)絡(luò)或提取網(wǎng)絡(luò)卷積層加密即可破壞雙向通信的閉環(huán)，但和提取網(wǎng)絡(luò)相比，隱藏網(wǎng)絡(luò)的參數(shù)量較大.附錄表S1和附錄表S2給出了4種深度隱寫模型提取網(wǎng)絡(luò)和隱藏網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)和參數(shù)量統(tǒng)計(jì).從參數(shù)分布情況可以發(fā)現(xiàn)，U-Net和UDH隱藏網(wǎng)絡(luò)參數(shù)量比其提取網(wǎng)絡(luò)高3個(gè)數(shù)量級(jí)，且4種模型隱藏網(wǎng)絡(luò)的深度遠(yuǎn)遠(yuǎn)超過(guò)其提取網(wǎng)絡(luò).此外，考慮到圖像隱寫的實(shí)際應(yīng)用場(chǎng)景，若選擇隱藏網(wǎng)絡(luò)進(jìn)行加密，非法授權(quán)者仍然可以通過(guò)竊取的提取網(wǎng)絡(luò)和載密圖像實(shí)現(xiàn)秘密信息的提取，對(duì)隱蔽通信雙方造成了安全威脅.而對(duì)提取網(wǎng)加密，即使攻擊者截獲載密圖像和提取網(wǎng)絡(luò)，仍無(wú)法獲得正確的提取結(jié)果.所以本文方法采用僅加密提取網(wǎng)絡(luò)的方案來(lái)保護(hù)模型.

2.2 方法框架

本文方法的整體框架如圖1所示，隱寫模型M可分為隱藏網(wǎng)絡(luò)H和提取網(wǎng)絡(luò)R.雖然僅對(duì)隱藏網(wǎng)絡(luò) H加密時(shí)可以防止非法用戶的使用，但仍然以通過(guò)提取網(wǎng)絡(luò)R對(duì)截獲的載密圖像進(jìn)行提取，無(wú)法保證秘密圖像傳輸?shù)陌踩?因此，在確保安全性的前提下，僅對(duì)提取網(wǎng)絡(luò)R進(jìn)行加密，可以提高加密和解密過(guò)程的效率.提取網(wǎng)絡(luò)主要由卷積層組成，通過(guò)對(duì)卷積層中卷積核參數(shù)進(jìn)行加密，即可實(shí)現(xiàn)對(duì)模型的加密保護(hù).

本文方法采用置亂-擴(kuò)散的加密模式，首先采用4D-Arnold不等長(zhǎng)映射算法，將提取網(wǎng)絡(luò)R第 n 層卷積核參數(shù)在4D空間中進(jìn)行跨卷積核，跨通道置亂，打亂各個(gè)參數(shù)的順序.然后再通過(guò)相鄰參數(shù)間的擴(kuò)散，利用雪崩效應(yīng)進(jìn)一步提高算法抵抗差分攻擊的能力.最后得到加密后的提取網(wǎng)絡(luò) R^′ ，進(jìn)而獲得加密后的隱寫模型 M^′ .此外，本文方法采用對(duì)稱加密機(jī)制，加密和解密過(guò)程密鑰相同，且加密和解密過(guò)程互逆.當(dāng) M^′ 通過(guò)公共信道安全傳輸至接收端后，首先將模型提取網(wǎng)絡(luò)中各卷積層參數(shù)進(jìn)行相鄰參數(shù)逆擴(kuò)散，打破參數(shù)值之間的相關(guān)性；然后對(duì)參數(shù)進(jìn)行4D-Arnold不等長(zhǎng)逆映射后得到 R^′′ ；最后和隱藏網(wǎng)絡(luò)組合得到和原始模型M一致的 M^′′ ：

2.3 4D-Arnold不等長(zhǎng)映射

深度隱寫模型提取網(wǎng)絡(luò)參數(shù)主要集中于卷積層的卷積核，而各個(gè)卷積層的卷積核參數(shù)實(shí)質(zhì)上為一個(gè)4D張量 T（c，n，l，v） ，其中 c 表示輸入通道數(shù)， n 表示輸出通道數(shù)，和 υ 分別表示卷積核長(zhǎng)寬尺寸，一般情況下l=v .由于各卷積層的功能作用各異，張量的尺寸大小也各不相同.為了保證參數(shù)加密的安全性和有效性，本文方法中設(shè)計(jì)了一種針對(duì)張量的4D-Arnold不等長(zhǎng)映射.

經(jīng)典 Arnold 映射雖然具有算法簡(jiǎn)單，運(yùn)行時(shí)間短，置亂效果好的特點(diǎn)，但同時(shí)也具有周期性.當(dāng)應(yīng)用于圖像加密等信息安全領(lǐng)域時(shí)，如果變換次數(shù)恰好為周期的整數(shù)倍，那么各像素點(diǎn)的值不會(huì)發(fā)生變化，最終造成無(wú)效加密.同時(shí)，經(jīng)典Arnold映射對(duì)2D空間域大小存在限制性，即要求2D空間的橫縱等長(zhǎng).

2D-Arnold不等長(zhǎng)映射[20]是在經(jīng)典 Arnold 映射的基礎(chǔ)上改進(jìn)的工作，和傳統(tǒng)Arnold 映射相比，它可以實(shí)現(xiàn)不等長(zhǎng)尺寸的2D置亂，同時(shí)擺脫周期性的限制.此外，利用反變換方程解密，算法效率更高.對(duì)于 M×N （ ）的 2D矩陣，可使用2D-Arnold不等長(zhǎng)映射對(duì)其內(nèi)部數(shù)據(jù)進(jìn)行置亂，在不改變數(shù)據(jù)值的同時(shí)，變換其位置.當(dāng) M 和 N 互為素?cái)?shù)時(shí)，正、逆變換方程為

其中， b=1，a=1，d=1. 通過(guò)上述變換方程即可對(duì) M 和 N 不等且互為素?cái)?shù)的2D空間實(shí)現(xiàn)位置置亂.當(dāng) M 和 N 互為合數(shù)，即存在除1以外的公因數(shù)時(shí)，正、逆變換方程為

其中， b=1，a=1，c=N/gcd（M，N），gcd 為最大公約數(shù)函數(shù).通過(guò)上述變換方程即可對(duì) M 和 N 不等，且互為合數(shù)的2D空間實(shí)現(xiàn)位置置亂.

如圖2所示，4D-Arnold不等長(zhǎng)映射算法的輸入為原始卷積層的4D張量參數(shù)，為了保證在卷積核核內(nèi)參數(shù)置亂的前提下，實(shí)現(xiàn)跨通道和跨卷積核的模型參數(shù)置亂.算法引人2D不等長(zhǎng) Armold 映射，每輪置亂 4D張量中的2D（附錄表 S3）.例如，當(dāng)采用 （c，n） 作為坐標(biāo)平面時(shí)， （l，v） 為2D參數(shù)平面，通過(guò)Arnold不等長(zhǎng)映射可將 c×n 個(gè)尺寸為 l×v 的參數(shù)平面在空間內(nèi)進(jìn)行置亂.此外，為了保證在4D空間中參數(shù)置亂的隨機(jī)性，算法基于Logistic映射設(shè)計(jì)了一種置亂順序生成器，通過(guò)密鑰 x₀ 和 μ 生成相應(yīng)的置亂順序，以達(dá)到更好的置亂效果.

經(jīng)典Logistic 映射 ^[21]X_n+1=X_n×μ×（1-X_n），μ∈[0，4]，X₀∈[0，1] 具有不確定、不可重復(fù)和不可預(yù)測(cè)等特性，在密碼學(xué)中應(yīng)用廣泛.研究表明當(dāng)滿足條件 μ∈[3.569 945 6，4] ， X_?0∈[0，1] 時(shí)，Logistic 映射處于混沌態(tài).在此范圍之外，生成的序列不具有偽隨機(jī)性.方法利用Logistic生成長(zhǎng)度為 1000+k_c 的混沌序列，取末尾 k_c 個(gè)值作為混沌序列 C .如式（4）所示，可將混沌序列映射為置亂順序 O=mod（floor（1 000×C） ，6），用于控制每輪映射的坐標(biāo)平面和參數(shù)平面 .O 中元素值為 1，2，…，6. 如附錄表S3所示，當(dāng) O（i）=1 時(shí)，即選擇 （c，n） 作為坐標(biāo)平面，對(duì) （l，v） 形成的參數(shù)平面進(jìn)行置亂.

2.4 相鄰參數(shù)擴(kuò)散機(jī)制

為了進(jìn)一步增加參數(shù)加密的抗攻擊性，在置亂操作結(jié)束后，設(shè)計(jì)了參數(shù)擴(kuò)散機(jī)制：

在模型卷積層參數(shù)中， T（c_x，n_y，l，v） 表示 n_y 卷積的 c_x 通道上的參數(shù)平面，擴(kuò)散機(jī)制按照\(chéng)"Z\"形擴(kuò)散路徑，從左到右、自上而下的順序，對(duì)各卷積核每個(gè)通道中的參數(shù)平面進(jìn)行相鄰參數(shù)擴(kuò)散.即通過(guò)擴(kuò)散系數(shù) d 將右側(cè)參數(shù)值疊加到左側(cè)參數(shù)，在水平方向上將相鄰參數(shù)之間互相關(guān)聯(lián)起來(lái)，以提高參數(shù)加密的抗攻擊性.

逆擴(kuò)散機(jī)制的系統(tǒng)方程為

逆擴(kuò)散系數(shù)和擴(kuò)散系數(shù)相同.在接收端按照從右到左、自下而上的順序，對(duì)各卷積核每個(gè)通道上的參數(shù)平面進(jìn)行相鄰參數(shù)逆擴(kuò)散，可以恢復(fù)出參數(shù).

3 實(shí)驗(yàn)結(jié)果與分析

實(shí)驗(yàn)環(huán)境如下：硬件環(huán)境為8.00GBRAM，Intel（R）Core（TM）i5-12400CPU $＼textcircled { ＼omega } ＼ 2 . 5 ＼ ＼mathrm { G H z }$ ；軟件環(huán)境為Windows 10，Python 3.6.13，MATLAB2018a.實(shí)驗(yàn)以4種具有代表性的深度隱寫模型作為加密對(duì)象，采用本文加密方法實(shí)現(xiàn)了對(duì)模型的加密保護(hù).此外，實(shí)驗(yàn)從ImageNet 圖像數(shù)據(jù)集[22隨機(jī)選取10 O00張圖像用于驗(yàn)證加密算法的有效性以及對(duì)客觀性能指標(biāo)的測(cè)試.

3.1 主觀效果分析

為了減小時(shí)間開(kāi)銷，本文加密算法僅對(duì) Baluja，UDH，StegoPnet 以及U-Net 模型的提取網(wǎng)絡(luò)進(jìn)行了實(shí)驗(yàn).如附錄圖S3所示，第 1～3 行分別為載體圖像、載密圖像和秘密圖像，第4行為對(duì)各個(gè)模型提取網(wǎng)絡(luò)加密后提取出來(lái)的秘密圖像.顯然，當(dāng)對(duì)4個(gè)模型提取網(wǎng)絡(luò)的全部卷積參數(shù)進(jìn)行加密后，其提取圖像在主觀視覺(jué)上均顯示為純黑色，從中無(wú)法獲取任何語(yǔ)義信息.因此，通過(guò)對(duì)隱寫模型提取網(wǎng)絡(luò)的全部卷積參數(shù)加密，可以有效保護(hù)深度隱寫模型，即使載密圖像和提取網(wǎng)絡(luò)被第三方截獲，也無(wú)法恢復(fù)出原始秘密信息.

3.2 客觀指標(biāo)分析

從均方誤差（mean squared error，MSE）、峰值信噪比（peak signal to noise ratio，PSNR）、結(jié)構(gòu)相似性（structure similarity index measure，SSIM）和學(xué)習(xí)感知圖像塊相似度（learned perceptual image patch simi-larity，LPIPS）[23-24]這4個(gè)評(píng)價(jià)指標(biāo)，來(lái)度量深度隱寫模型加密后提取出圖像的質(zhì)量，以證明模型原始功能的喪失，從而有效保證模型的安全.

實(shí)驗(yàn)從ImageNet數(shù)據(jù)集中選取10000張圖像對(duì)加密后的模型進(jìn)行驗(yàn)證，分別對(duì)4個(gè)目標(biāo)隱寫模型提取網(wǎng)絡(luò)的加密結(jié)果從上述4個(gè)角度進(jìn)行了客觀分析，并以相應(yīng)指標(biāo)的平均值作為最終結(jié)果.表1給出了Bal-uja，StegoPnet，UDH和U-Net這4種深度隱寫模型在無(wú)加密，全加密和全解密模式下的評(píng)價(jià)指標(biāo).當(dāng)對(duì)4個(gè)模型提取網(wǎng)絡(luò)卷積層參數(shù)全部加密時(shí)，其 SSIM值均接近于O;無(wú)加密模式下 SSIM值均接近于1，兩者差距較大.其次，全部加密時(shí)LPIPS值均大于0.96，無(wú)加密時(shí)的LPIPS 值接近于0，兩者存在較大差異.同時(shí)，無(wú)加密時(shí)的PSNR均小于7dB，結(jié)果表明經(jīng)過(guò)加密，4個(gè)模型提取網(wǎng)絡(luò)得到的秘密圖像質(zhì)量很差.最后，相較于無(wú)加密時(shí)0.001的MSE，全部加密時(shí)MSE始終在0.27以上，結(jié)果說(shuō)明加密后提取出的圖像和原始秘密圖像在像素層面存在較大差異.因此，從4個(gè)模型的各項(xiàng)客觀指標(biāo)來(lái)看，提取網(wǎng)絡(luò)參數(shù)全加密的方案可以有效保護(hù)深度隱寫模型的安全.在無(wú)加密和全解密狀態(tài)下，4種模型的視覺(jué)效果和各個(gè)評(píng)價(jià)指標(biāo)上的表現(xiàn)均保持一致，說(shuō)明本文方法在保證深度隱寫模型安全的同時(shí)，可以無(wú)損解密出原始秘密圖像.

3.3 密鑰敏感性分析

本文算法的密鑰 K=（t，μ，x₀，d） ，其中 Ψ_t 為參數(shù)置亂階段Arnold映射迭代次數(shù)， μ 和 x_?0 為L(zhǎng)ogistic置亂順序生成器的控制參數(shù)， d 為相鄰參數(shù)擴(kuò)散階段的擴(kuò)散系數(shù).基于Baluja隱寫模型和U-Net隱寫模型對(duì)密鑰敏感性進(jìn)行了測(cè)試，如附錄圖 S4（a）所示為基于Baluja 隱寫模型的實(shí)驗(yàn)，其加密和解密密鑰為 K=（30 ，3.98，0.5，1 000） ，密鑰正確時(shí)可以實(shí)現(xiàn)模型參數(shù)的解密和秘密圖像的正常提取.若對(duì)密鑰添加擾動(dòng)，令擴(kuò)散系數(shù) d=1 000+10^-13 ，此時(shí)無(wú)法恢復(fù)模型提取網(wǎng)絡(luò)的正常功能，提取結(jié)果為單一黑色圖像.如附錄圖S4（b）所示為基于U-Net隱寫模型的實(shí)驗(yàn)，其加密和解密密鑰為 K=（30，3.98，0.5，1 000） ，可以實(shí)現(xiàn)模型參數(shù)的解密和秘密圖像的正常提取.若令擴(kuò)散系數(shù) d=1 000+10^-13 ，同樣不能恢復(fù)模型提取網(wǎng)絡(luò)的正常功能，無(wú)法獲取到任何語(yǔ)義信息.綜上所述，本文方法密鑰敏感性較好，密鑰的微小誤差即可導(dǎo)致解密失敗.若模型具有L（Lgt;3） 層卷積層，則其密鑰空間最小為 1×10^13L ，足以抵御暴力破解，進(jìn)一步證明本文方法具有較高的安全性.

3.4 圖像分類模型的加密保護(hù)

在計(jì)算機(jī)視覺(jué)研究領(lǐng)域中，基于深度學(xué)習(xí)的圖像分類被廣泛研究.圖像分類模型通過(guò)卷積層提取圖像高維特征，然后通過(guò)池化操作選擇特征，過(guò)濾信息.模型最后通過(guò)全連接層對(duì)提取特征進(jìn)行非線性聚合并完成圖像分類.所以，圖像分類模型的核心同樣是卷積層參數(shù)，除圖像隱寫模型之外，圖像分類模型的核心同樣體現(xiàn)在卷積核參數(shù).因此，本文方法適用于圖像分類模型.以Pytorch 內(nèi)置預(yù)訓(xùn)練模型 VGG16 模型[25]為例來(lái)驗(yàn)證本文方法對(duì)圖像分類網(wǎng)絡(luò)的加密效果，其原始分類精度為 61.96% .VGG16模型由13層卷積層組成，包含14 710464個(gè)參數(shù).實(shí)驗(yàn)從ImageNet數(shù)據(jù)集中選取1000類自然圖像，共5000張，用于模型分類精度的測(cè)試.如表2所示，實(shí)驗(yàn)對(duì)VGG16模型各層卷積分別加密后，精度各不相同，在 0.1% 上下波動(dòng)，最高和最低精度相差 0.098% .結(jié)果表明對(duì)卷積層分別加密后，其分類精度均接近于隨機(jī)分類的概率（各層均約為 0.1% ）相比ChaoW方法，本文方法在VGG16模型中的分類準(zhǔn)確率更為穩(wěn)定.因此，本文方法適用于圖像分類模型的加密保護(hù)，并且在VGG16模型的加密保護(hù)上優(yōu)于ChaoW方法.

4總結(jié)

由于圖像的視覺(jué)冗余性較高，目前的隱寫模型加密算法對(duì)其保護(hù)能力較弱，安全性不高.本文基于 2D-Arnold 不等長(zhǎng)映射和Logistic 映射構(gòu)造了一種4D-Arnold不等長(zhǎng)映射，對(duì)參數(shù)置亂.同時(shí)設(shè)計(jì)了相鄰參數(shù)擴(kuò)散機(jī)制，進(jìn)一步提高了本文方法的有效性和安全性.同時(shí)，對(duì)4種具有代表性的深度隱寫模型加密后，提取結(jié)果的主觀視覺(jué)效果和PSNR，SSIM，MSE 和LPIPS指標(biāo)均可表明加密后模型功能完全喪失，即本文方法可以安全有效地保護(hù)深度隱寫模型不受第三方竊取和使用.此外，基于VGG16 圖像分類模型的實(shí)驗(yàn)結(jié)果表明，本文方法同樣適用于圖像分類模型的加密保護(hù).在未來(lái)的工作中，可將本文算法拓展研究，使其應(yīng)用于其他具有卷積結(jié)構(gòu)的深度模型參數(shù)加密保護(hù)工作.

附錄見(jiàn)電子版（DOI：10.16366/j.cnki.1000-2367.2024.01.27.0002）.

參考文獻(xiàn)

[1] SETIADI DRIM，USADS，ANDONOPN，etal.Digitaliagesteganographysurveyandinvestigatio（goal，sessment，eod，d velopment，and dataset）[J].Signal Processing，2023，206 ：108908.

[2] 高嵐，趙雨晨，張偉功，等.面向GPU并行編程的線程同步綜述[J].軟件學(xué)報(bào)，2024，35（2）：1028-1047. GAOL，ZHAOYC，ZHANG WG，etal.Surveyonthreadsychronizationin GPUparalelprogramming[J]JurnalofSoftware，2024， 35（2） ：1028-1047.

[3] CORTINAS-LORENZOB，PEREZ-GONZALEZF.Adam and theants：0ntheinfluenceof teoptimizationalgorithmonthedetectability of DNN watermarks[J].Entropy，2020，22（12） ：1379.

[4] ABD-EL-ATTYB.Arobust medicalimage steganographyapproachbased onparticleswarm optimizationalgorithmandquantum walks [J].Neural Computing and Applications，2023，35（1） ：773-785.

[5] 魏甫豫，張振宇，梁桂珍.基于卷積神經(jīng)網(wǎng)絡(luò)下昆蟲(chóng)種類圖像識(shí)別應(yīng)用研究[J].河南師范大學(xué)學(xué)報(bào)（自然科學(xué)版），2022，50（6）：96-105. WEIFY，ZHANG ZY，LIANGG Z.Researchonapplicationofinsect species imagerecognitionbasedonconvolutioal neural network [J].Journal of Henan Normal University（Natural Science Edition），2022，5O（6）：96-105.

[6] KAURR，SINGHS.Acomprehensivereviewofbectdetection withdeeplearingJDigital SignalProcessing2023，1320812.

[7] TREVISO M，LEEJU，JICetalEficient methodsfonaturallanguageproesing：aurveyJ].ransactionsof theAssociationfor Computational Linguistics，2023，11：826-860.

[8] TRAMERF，ZHANGF，JUELSA，et al.Stealing machine learning models via prediction APIs[C]//Procedingsof the25thUSENIX Conference on Security Symposium.[S.l.： s.n.]，2016： 601-618.

[9] LI Y，WANG H X，BARNIM.A surveyof Dep Neural Network watermarking techniques[JNeurocomputing，2021，461：171-193.

[10]LE MERRER E，PEREZ P，TREDANG.Adversarial frontierstitching forremote neuralnetwork watermarking[J].NeuralComputing and Applications，2020，32（13） ：9233-9244.

[11]WANGTH，KERSCHBAUMF.RIG：covertandrobustwhitebox watermarkingofdeepneuralnetworks[C/ProceedingsoftheWeb Conference 2021.New York：ACM，2021：993-1004.

[12]LINNHENXM，UH，etal.Chaoticeights：aovelapproachtprotectintelectualpropertyofepeuralnetworksEEE Transactions on Computer-Aided Design of Integrated Circuits and Systems，2021，40（7） ：1327-1339.

[13]PYONEA，MAUNG M，KIYA H，etal.Training DNNmodel withsecret keyformodelprotectionC]//2020IEEE9thGlobalConfer ence on Consumer Electronics.Piscataway：IEEE Press，2o2o：818-821.

[14]高敏娟，黨宏社，魏立力，等.全參考圖像質(zhì)量評(píng)價(jià)回顧與展望[J].電子學(xué)報(bào)，2021，49（11）：2261-2272. GAO MJ，DANH，WELL，etalReviewndprospectoffullreferenceimageualtsessmentJActaElectronicaSica，1， 49（11）：2261-2272.

[15]DUANXT，SHAOZQ，WANGWX，etal.Asteganography modeldata protectionmethodbasedonscramblingencryptionJComput ers，Materials amp; Continua，2022，72（3）：5363-5375.

[16]BALUJAS，BALUJAS.HidingimagesinplainsightC]/Proceedingsofthe3lstInternationalConferenceonNeuralInformationPro cessing Systems.New York：ACM，2017：2066-2076.

[17]ZHANGCN，BENZ P，KARJAUVA，et alUdh：Universal deep hidingforsteganography，watermarking，andlightfield messaging[J]. Advances in Neural Information Processing Systems，2020，33：10223-10234.

[18]DUANXT，WANGWX，LIUN，etal.StegoPNet：imagesteganogaphywithgeneralizationabilitybasedonpyramidpoolingmoduleJ]. IEEE Access，2020，8：195253-195262.

[19]DUANXTJIAK，LIBX，etal.Reversibleimage steganographyschemebasedona U-NetstructureJEEE Acess2019，：9314- 9323.

[20]SHAOLPQIZ，GAOHJ，etal2DtriangularmappingsandtheiraplicationsinsramblingrectangleimageJ]InformatioTechol ogy Journal，2007，7（1） ：40-47.

[21]王鮮芳，王曉雷，王俊美，等.一種動(dòng)態(tài)貓映射混沌圖像加密算法[J].河南師范大學(xué)學(xué)報(bào)（自然科學(xué)版），2018，46（5）：110-117. WANG XF，WANG XL，WANGJM，etal.Achaoticimage encryptionalgorithm baseddynamiccatmap[J].Journalof HenanNormal University（Natural Science Edition），2018，46（5）：110-117.

[22]DENGJONGWOCHERR，etalIageNet：alargescaleherarchicalimagedatabaseC/09IEEECoferenceonCuterVi sion and Pattern Recognition.Piscataway：IEEE Press，2oo9：248-255.

[23]ZHANGRISOLAPEFROSAA，etal.Theunreasonable efectivenessofdepfeaturesasaperceptual metric[C]/2018 IEE/CVF Conference on Computer Vision and Pattern Recognition.Piscataway：IEEE Press，2O18 ：586-595.

[24]胡波，謝國(guó)慶，李雷達(dá)，等.圖像重定向質(zhì)量評(píng)價(jià)的研究進(jìn)展[J].中國(guó)圖象圖形學(xué)報(bào)，2024，29（1）：22-44. HUB，XIEGQ，ILDetalPrgressof imageretargetingqualityevaluation：asurveyJouralofmageandGrahics49： 22-44.

[25]SIOAK，ZSSERAN.VerydeponvolutionalnetworkforlargescaleimagerecognitionEB/OL].023-12-tps：// arxiv.org/abs/1409.1556v6.

Deep steganography model parameter encryption method based on 4D-Arnold unequal length mapping

Duan Xintao ^a，b ，Li Zhuang?， Zhang Ena，b

.College of Computerand Information Engineering；b.KeyLaboratoryof Educational Artificial Inteligenceanc Personalized Learning in Henan Province，Henan Normal University，Xinxiang 453Oo7，China）

Abstract：The training process of steganographic models requires alarge amount of data and technical investment.When the steganographymodelisstolen，it willcausesecuritythreatsandeconomiclosses toitsowner.Topreventthetheftofdeep steganography models，we proposea method for protecting theparametersof the steganography modelbasingon 4D-Arnold unequallength mapping.Themethodapliesascrambling-difusionstrategy.Firstly，atthescramblingstage，wesramble the convolutionallayerparametersacross convolutionalcoresand channels through4D-Aronld mapping.Secondly，atthedifusion stage，we designaneighboring parameterdiffusion mechanismto achieve numerical difusion betwen twoadjacent parameters andcompletetheencryptionofthe parametersof thedeepsteganography model.Finall，third partiescan'tobtainanysecret informationand werealizetheprotectionof the steganography model.Experiment resultsshowthatthe method significantlyreduces the original performanceof the model in terms ofobjective indicators（PSNR，MSE，LPIPSand SSIM）and visualeffects， andthehiddencommunicationfunctionofthe modelislost.Inaddition，theproposed methodcanalsobeapliedtotheecryptionprotectionofotherdeepmodelssuchasimageclasificationwhileensuringtheeffectivenessandsecurityoftheencryption of the steganography model.

Keywords ： AI model security； parameter encryption; 4D-Arnold unequal length mapping; image steganography model convolutional neural network

附錄