[发明专利]一种基于公私钥对的深度学习模型水印的嵌入和提取方法

权利要求书

1.一种基于公私钥对的深度学习模型水印的嵌入方法，其特征在于，包括：通过将深度卷积神经网络模型中的批归一化层转换成水印层，将包含模型鉴权信息通过水印嵌入损失函数在模型的训练过程中嵌入模型的任意一层或者任意几层，形成特异性水印，其中，将所述批归一化层中的缩放因子变成公钥和私钥，所述私钥为不可学习的缩放因子，在模型初始化阶段随机选取特征图生成，所述公钥为可学习的缩放因子，在训练过程中所述公钥随着所述私钥的改变而产生同步变化；

其中，所述私钥的生成过程包括：在网络模型的初始化阶段，从训练数据集中随机选取一定数量的图像作为生成私钥的随机种子，然后输入到预训练网络中分别得到每一层的特征图，若选定某一层作为水印层，则从该层的特征图中随机选择一定数量的特征图作为私钥产生源，然后经过平均操作后，将得到的缩放因子作为所述私钥；

其中，通过教师-学生模型的训练策略训练得到公私钥对水印，在训练过程中，使用两个除水印层外其余层均参数共享的子网络进行协同训练，来得到成对的公私钥；其中，私钥和公钥成对产生，分别位于两个子网络中，所述公钥与所述私钥相对应，在训练过程中与私钥保持同步的更新程度以保证得到的公私钥对在网络中能够使网络实现同样的性能。

2.如权利要求1所述的基于公私钥对的深度学习模型水印的嵌入方法，其特征在于，对要嵌入的所述信息先进行格式上的转换，由字符串转为ASCII码再转成二进制编码，根据嵌入损失函数的特点选择使用{0,1}编码或者{1,-1}编码。

3.如权利要求1所述的基于公私钥对的深度学习模型水印的嵌入方法，其特征在于，在所述私钥的生成过程中，保留深度卷积神经网络模型卷积块中正常的卷积层、Relu激活层不变，仅将所述批归一化层中的可学习缩放因子和平移因子变成不可学习参数，通过所述平均操作得到与所述可学习缩放因子和平移因子相同形状的特征，其中的缩放因子即为所述私钥。

4.如权利要求1至3任一项所述的基于公私钥对的深度学习模型水印的嵌入方法，其特征在于，在训练过程中对公私钥对加入额外的监督损失函数。

5.如权利要求1至3任一项所述的基于公私钥对的深度学习模型水印的嵌入方法，其特征在于，嵌入损失函数包括余弦相似性损失函数L_CS，如下：

其中 分别为对应的公钥水印和私钥水印，和分别表示公钥水印和私钥水印的表示向量的第i个元素，C表示模型中通道的数目，为设定的常量；

对于分类任务模型使用交叉熵损失函数作L_CE为分类损失函数，模型的整体损失函数L如下：

其中，表示样本的标记，表示样本预测的概率分布；对应第i个样本标记，则为第i个样本预测为正的概率，表示网络参数W时候的嵌入水印识别的损失函数，W表示网络的卷积层对应权重λ₁, λ₂均为超参数，用于平衡不同损失函数。

6.如权利要求1至3任一项所述的基于公私钥对的深度学习模型水印的嵌入方法，其特征在于，还将水印添加到深度卷积神经网络的卷积层，其中水印添加在模型训练阶段，或者在模型后续的微调阶段。

7.一种基于公私钥对的深度学习模型水印的提取方法，其特征在于，对使用如权利要求1至6任一项所述的基于公私钥对的深度学习模型水印的嵌入方法在模型中嵌入的特异性水印进行提取，其中，在验证模型所有权时，通过将模型中的公钥替换成私钥，使得替换后的模型既能够保持性能一致又能够通过私钥提取到所述鉴权信息，从而完成模型归属权的认证。

8.如权利要求7所述的基于公私钥对的深度学习模型水印的提取方法，其特征在于，对水印层使用符号函数，从嵌入水印的模型提取所述鉴权信息。