[发明专利]基于PUF的卷积神经网络模型知识产权保护方法

说明书

本申请公开了一种基于PUF的卷积神经网络模型知识产权保护方法，包括：在现场可编程逻辑门阵列上实现物理不可克隆函数，提供与特定现场可编程逻辑门阵列绑定的唯一指纹。用真数据集和伪数据集分别训练卷积神经网络模型获得真模型和伪模型，通过执行混淆算法来利用物理不可克隆函数响应混合真模型和伪模型同层的两个参数矩阵。混淆完成后，在模型中加入依赖于物理不可克隆函数响应的恢复卷积层，使得只有当卷积神经网络模型在特定现场可编程逻辑门阵列上运行时才能计算出正确结果。由此，将物理不可克隆函数用于卷积神经网络模型的IP保护，将IP保护工作从模型被窃取之后提前到被窃取之前。

技术领域

本申请涉及人工智能技术领域，特别涉及一种基于PUF的卷积神经网络模型知识产权保护方法。

背景技术

运行在云环境中的卷积神经网络(CNN，Convolutional Neural Network)模型的产权保护最为直接的方法是在模型中嵌入水印，当模型被盗用时，训练者可以通过验证水印来声明模型的所有权。但是由于模型嵌入水印的参数与原始模型不同，因此非常容易检测到水印的存在，而且这种方法只有在模型被窃取之后，模型所有者维护权利时才会生效，无法保证模型不会被窃取。

对于依赖于计算加速器帮助，在现场可编程逻辑门阵列(FPGA，FieldProgrammable Gate Array)上运行的CNN模型，目前也有许多知识产权的保护方法。比如基于物理不可克隆函数(PUF，Physically Unclonable Function)的按设备付费方法、基于智能公共密钥基础设施和边缘计算的智能分发密钥认证的高效方案、将存储在安全可信环境中的密钥嵌入到模型训练过程的方法，这些方法不能完全保证模型参数的安全性，且如果窃取者与加速器供应商勾结，将很容易获取正确模型。此外，这些方法的密钥有一定被泄露的风险。

发明内容

本申请提供一种基于PUF的卷积神经网络模型知识产权保护方法、装置、电子设备及存储介质，将PUF用于CNN模型的IP保护，将IP保护工作从模型被窃取之后提前到被窃取之前。

本申请第一方面实施例提供一种基于PUF的卷积神经网络模型知识产权保护方法，包括以下步骤：利用现场可编程逻辑门阵列实现仲裁物理不可克隆函数，获取所述现场可编程逻辑门阵列的唯一指纹；利用真数据集和伪数据集分别训练卷积神经网络，得到真卷积神经网络模型和伪卷积神经网络模型；根据所述仲裁物理不可克隆函数的响应，利用预设混淆算法将所述真卷积神经网络模型和所述伪卷积神经网络模型同一层的参数进行混合，得到最终卷积神经网络模型；根据所述仲裁物理不可克隆函数的响应，利用恢复算法生成恢复矩阵，将所述恢复矩阵与所述最终卷积神经网络模型中混淆层的矩阵进行相乘，得到所述最终卷积神经网络模型的计算结果。

可选地，在本申请的一个实施例中，所述利用现场可编程逻辑门阵列实现仲裁物理不可克隆函数，包括：在所述现场可编程逻辑门阵列上设计预设大小的仲裁物理不可克隆函数电路，为所述现场可编程逻辑门阵列提供唯一指纹，使得所述最终卷积神经网络模型仅运行在所述现场可编程逻辑门阵列上时，输出正确结果。

可选地，在本申请的一个实施例中，所述真卷积神经网络模型和所述伪卷积神经网络模型结构相同。

可选地，在本申请的一个实施例中，所述根据所述仲裁物理不可克隆函数的响应，利用预设混淆算法将所述真卷积神经网络模型和所述伪卷积神经网络模型同一层的参数进行混合，包括：所述仲裁物理不可克隆函数的响应位为1时，所述预设混淆算法中混淆矩阵的参数为所述真卷积神经网络模型的参数，否则，所述预设混淆算法中混淆矩阵的参数为所述伪卷积神经网络模型的参数。