基于4D-Arnold不等長映射的深度隱寫模型參數(shù)加密研究

中圖分類號：TP309.7 文獻標志碼：A 文章編號：1000-2367（2025）04-0066-08

圖像隱寫作為信息安全領(lǐng)域的重要研究分支，近年來多與深度學(xué)習(xí)相結(jié)合.利用卷積神經(jīng)網(wǎng)絡(luò)局部連接的特點，提取圖像高維特征，將秘密信息嵌人最佳區(qū)域，有效提高了圖像隱寫的安全性、隱蔽性、魯棒性和隱寫容量[1].基于深度學(xué)習(xí)的隱寫模型訓(xùn)練過程不僅需要硬件計算資源[2]、圖像數(shù)據(jù)集和設(shè)計精良的網(wǎng)絡(luò)結(jié)構(gòu)，還需要模型剪枝、蒸餾等技術(shù)來進一步優(yōu)化模型[3.所以，一個訓(xùn)練完備的隱寫模型具有很高的經(jīng)濟價值.當模型被第三方攻擊者惡意盜取并使用后，版權(quán)所有者將會遭到不可估量的經(jīng)濟損失.此外，圖像隱寫模型作為隱蔽通信技術(shù)，一旦被盜用，將會導(dǎo)致個人隱私、商業(yè)數(shù)據(jù)或機密信息的泄露[4]，造成不可挽回的損失和后果.因此，對于深度隱寫模型的保護迫在眉睫.

在圖像隱寫模型研究過程中，訓(xùn)練階段通常采用預(yù)訓(xùn)練模型或隨機初始化模型參數(shù)，在投入數(shù)據(jù)集、硬件算力和模型優(yōu)化技術(shù)等成本后得到訓(xùn)練完備的模型參數(shù).因此，深度模型保護往往通過對深度模型的卷積層權(quán)重參數(shù)進行加密，混淆權(quán)重參數(shù)之間的相關(guān)性，從而降低和破壞模型原始性能，即使攻擊者截獲模型，也無法正常使用并從提取圖像中獲取秘密信息.目前，模型加密研究的目標模型多為圖像分類、目標檢測和自然語言處理[5-7]等，對于圖像隱寫模型的加密研究較少.同時，部分研究工作在模型加密過程中需要對模型重新訓(xùn)練或微調(diào)，不僅會損耗計算資源，還會對模型性能產(chǎn)生一定的影響.此外，模型水印[8]也是模型保護的一個重要思路，模型水印主要關(guān)注模型版權(quán)的驗證問題，即當模型版權(quán)出現(xiàn)爭議時，可以通過提取水印來確定版權(quán)歸屬.模型水印方法雖然在魯棒性、嵌入容量和有效性等方面效果可觀，但模型水印方法均需對模型進行重訓(xùn)練，影響深度模型原始性能.而且模型水印方法僅能在發(fā)現(xiàn)侵權(quán)行為后被動保護、事后取證和維權(quán)，無法在事前阻正模型的盜用.當模型水印方法應(yīng)用于圖像隱寫模型保護時，事后保護也無法彌補個人隱私和機密數(shù)據(jù)泄露所造成嚴重后果。

為了確保模型加密安全性的同時，不對模型性能產(chǎn)生任何影響，本文基于Arnold不等長映射提出了一種新的深度隱寫模型參數(shù)保護方法.方法通過置亂一擴散的加密方案對深度隱寫模型提取網(wǎng)絡(luò)參數(shù)進行加密，在保證加密有效性的同時，提高了模型參數(shù)加密的安全性.主要工作包括：1）置亂階段，提出了 4D-Ar-nold 不等長映射，實現(xiàn)對卷積層參數(shù)跨通道，跨卷積核的可逆隨機置亂.2）擴散階段，設(shè)計了一種相鄰參數(shù)擴散機制，按照既定擴散路徑對卷積層參數(shù)進行擴散，在相鄰參數(shù)間建立相關(guān)關(guān)系，利用雪崩效應(yīng)放大參數(shù)變動的影響.3）實驗結(jié)果表明，本文方法在隱寫模型秘密信息提取中，可以顯著降低其視覺效果和客觀性能指標.4）將本文方法拓展到了圖像分類模型參數(shù)保護領(lǐng)域，驗證了本文算法在其他深度模型參數(shù)保護中的適用性.

1相關(guān)工作

根據(jù)模型保護的應(yīng)用場景不同，可以將模型保護的相關(guān)工作分為模型水印和模型加密2種類型.模型水印[9]按照是否依賴內(nèi)部參數(shù)，可分為白盒水印和黑盒水印.其中，黑盒水印基于神經(jīng)網(wǎng)絡(luò)在輸出端設(shè)置后門，通過特定的觸發(fā)集來驗證模型版權(quán)，無須獲取模型內(nèi)部參數(shù)或網(wǎng)絡(luò)結(jié)構(gòu).MERRER 等[10]提出一種基于對抗樣本的黑盒水印模型保護方法，該方法通過在部分樣本中添加擾動，重新標記樣本標簽，當發(fā)生版權(quán)糾紛時，可通過驗證對抗樣本來核實IP歸屬問題.白盒水印依賴于深度模型內(nèi)部參數(shù)或者網(wǎng)絡(luò)結(jié)構(gòu)，一般在模型中通過重新訓(xùn)練嵌人水印.WANG等[11]提出一種基于生成對抗的白盒水印模型保護方法，以模型作為水印的生成器，同時將檢測模型內(nèi)部參數(shù)變化的模塊作為鑒別器，通過對抗訓(xùn)練過程，提高了水印嵌入的容量及其不可檢測性.雖然基于水印的深度模型保護在水印嵌入容量、隱蔽性和魯棒性等方面表現(xiàn)較好，但模型水印保護方法均需對模型進行重訓(xùn)練，在一定程度上會影響模型性能.同時，將版權(quán)保護問題置身于模型被第三方竊取和使用的場景之中時，模型水印雖然可以驗證版權(quán)，但無法阻止第三方對模型功能的使用.而模型加密通過對模型網(wǎng)絡(luò)結(jié)構(gòu)或模型的內(nèi)部參數(shù)進行加密，可以實現(xiàn)對深度模型知識產(chǎn)權(quán)的保護.LIN 等[12]基于圖像分類和自然語言處理任務(wù)提出了ChaoW深度模型保護框架，該框架通過對權(quán)重參數(shù)位置置亂，將卷積或全連接層的卷積核置亂為混沌狀態(tài)，實現(xiàn)對深度模型LinkNet，GoogleNet 和 VGGl6 模型的加密.PY-ONE 等[13」基于訓(xùn)練前加密保護的場景，對圖像進行逐塊像素變換，然后利用預(yù)處理后的圖像進行訓(xùn)練，從而保護模型.此方法雖然可以保證加密前后模型精度和時間開銷不變，但在模型每次推理前對圖像的預(yù)處理環(huán)節(jié)，增加了任務(wù)整體運行開銷.

上述方法在圖像分類、語義分割等任務(wù)中可以有效保護模型，但對于圖像隱寫模型的保護效果不夠理想.由于人眼的生理特性，在觀察圖像時，人們難以察覺出在紋理復(fù)雜區(qū)域的微小變化[14].而圖像隱寫模型的輸入和輸出均為圖像，所以和其他類型數(shù)據(jù)輸出的模型相比，圖像隱寫模型的加密難度較高.DUAN等[15]提出了一種圖像隱寫模型參數(shù)保護方法，該方法通過Josephus 置亂對深度隱寫模型中的卷積參數(shù)進行置亂，實現(xiàn)對模型的加密保護.當該方法對提取網(wǎng)絡(luò)全部卷積層參數(shù)置亂后，其提取結(jié)果基本不含語義信息，但仍含有色彩，而且通過置亂難以保證算法的安全性.針對上述問題，本文基于4D-Arnold 不等長映射提出了一種深度隱寫模型參數(shù)加密方法.可以針對圖像隱寫模型，對模型卷積層參數(shù)進行置亂和擴散，從而提高模型加密的效果和效率.

2本文方法

首先分析圖像隱寫模型的參數(shù)和網(wǎng)絡(luò)結(jié)構(gòu)，確定部分加密的策略.然后介紹本文方法的整體框架.最后，對置亂階段的4D-Arnold不等長映射和擴散階段的相鄰參數(shù)擴散機制進行了詳細闡述

2.1 深度隱寫模型加密分析

基于深度學(xué)習(xí)的圖像隱寫模型由不同的模塊組成，一般可分為隱藏網(wǎng)絡(luò)和提取網(wǎng)絡(luò).如附錄圖 S1所示，發(fā)送方通過隱藏網(wǎng)絡(luò)將秘密圖像隱藏在載體圖像中，使得載體圖像和載密圖像在主觀視覺和客觀性能指標上保持一致性.接收方通過提取網(wǎng)絡(luò)從載密圖像中提取出秘密圖像，使得提取出的秘密圖像和原始秘密圖像保持一致性.本文方法立足Baluja[16]、 UDH^[17] 、StegoPnet[18]和U-Net[19]4種具有代表性的深度圖像隱寫模型，對其提取網(wǎng)絡(luò)的參數(shù)值進行加密，實現(xiàn)隱寫模型的版權(quán)保護.將4個模型網(wǎng)絡(luò)結(jié)構(gòu)中跳躍連接等結(jié)構(gòu)去除后，各模型提取網(wǎng)絡(luò)卷積層結(jié)構(gòu)如附錄圖 S2所示.雖然各個模型的網(wǎng)絡(luò)組成各不相同，但其主要組成部分均為卷積層.卷積層能夠通過卷積核從載密圖像紋理豐富的高頻區(qū)域中提取圖像的高維特征，從而完成秘密圖像的隱藏和提取的任務(wù).因此對隱寫模型參數(shù)的加密應(yīng)基于卷積核參數(shù)，可以通過對卷積核參數(shù)的置亂和擴散，破壞隱寫模型隱蔽通信的功能.

在隱寫模型的加密保護中，僅對隱藏網(wǎng)絡(luò)或提取網(wǎng)絡(luò)卷積層加密即可破壞雙向通信的閉環(huán)，但和提取網(wǎng)絡(luò)相比，隱藏網(wǎng)絡(luò)的參數(shù)量較大.附錄表S1和附錄表S2給出了4種深度隱寫模型提取網(wǎng)絡(luò)和隱藏網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)和參數(shù)量統(tǒng)計.從參數(shù)分布情況可以發(fā)現(xiàn)，U-Net和UDH隱藏網(wǎng)絡(luò)參數(shù)量比其提取網(wǎng)絡(luò)高3個數(shù)量級，且4種模型隱藏網(wǎng)絡(luò)的深度遠遠超過其提取網(wǎng)絡(luò).此外，考慮到圖像隱寫的實際應(yīng)用場景，若選擇隱藏網(wǎng)絡(luò)進行加密，非法授權(quán)者仍然可以通過竊取的提取網(wǎng)絡(luò)和載密圖像實現(xiàn)秘密信息的提取，對隱蔽通信雙方造成了安全威脅.而對提取網(wǎng)加密，即使攻擊者截獲載密圖像和提取網(wǎng)絡(luò)，仍無法獲得正確的提取結(jié)果.所以本文方法采用僅加密提取網(wǎng)絡(luò)的方案來保護模型.

2.2 方法框架

本文方法的整體框架如圖1所示，隱寫模型M可分為隱藏網(wǎng)絡(luò)H和提取網(wǎng)絡(luò)R.雖然僅對隱藏網(wǎng)絡(luò) H加密時可以防止非法用戶的使用，但仍然以通過提取網(wǎng)絡(luò)R對截獲的載密圖像進行提取，無法保證秘密圖像傳輸?shù)陌踩?因此，在確保安全性的前提下，僅對提取網(wǎng)絡(luò)R進行加密，可以提高加密和解密過程的效率.提取網(wǎng)絡(luò)主要由卷積層組成，通過對卷積層中卷積核參數(shù)進行加密，即可實現(xiàn)對模型的加密保護.

本文方法采用置亂-擴散的加密模式，首先采用4D-Arnold不等長映射算法，將提取網(wǎng)絡(luò)R第 n 層卷積核參數(shù)在4D空間中進行跨卷積核，跨通道置亂，打亂各個參數(shù)的順序.然后再通過相鄰參數(shù)間的擴散，利用雪崩效應(yīng)進一步提高算法抵抗差分攻擊的能力.最后得到加密后的提取網(wǎng)絡(luò) R^′ ，進而獲得加密后的隱寫模型 M^′ .此外，本文方法采用對稱加密機制，加密和解密過程密鑰相同，且加密和解密過程互逆.當 M^′ 通過公共信道安全傳輸至接收端后，首先將模型提取網(wǎng)絡(luò)中各卷積層參數(shù)進行相鄰參數(shù)逆擴散，打破參數(shù)值之間的相關(guān)性；然后對參數(shù)進行4D-Arnold不等長逆映射后得到 R^′′ ；最后和隱藏網(wǎng)絡(luò)組合得到和原始模型M一致的 M^′′ ：

2.3 4D-Arnold不等長映射

深度隱寫模型提取網(wǎng)絡(luò)參數(shù)主要集中于卷積層的卷積核，而各個卷積層的卷積核參數(shù)實質(zhì)上為一個4D張量 T（c，n，l，v） ，其中 c 表示輸入通道數(shù)， n 表示輸出通道數(shù)，和 υ 分別表示卷積核長寬尺寸，一般情況下l=v .由于各卷積層的功能作用各異，張量的尺寸大小也各不相同.為了保證參數(shù)加密的安全性和有效性，本文方法中設(shè)計了一種針對張量的4D-Arnold不等長映射.

經(jīng)典 Arnold 映射雖然具有算法簡單，運行時間短，置亂效果好的特點，但同時也具有周期性.當應(yīng)用于圖像加密等信息安全領(lǐng)域時，如果變換次數(shù)恰好為周期的整數(shù)倍，那么各像素點的值不會發(fā)生變化，最終造成無效加密.同時，經(jīng)典Arnold映射對2D空間域大小存在限制性，即要求2D空間的橫縱等長.

2D-Arnold不等長映射[20]是在經(jīng)典 Arnold 映射的基礎(chǔ)上改進的工作，和傳統(tǒng)Arnold 映射相比，它可以實現(xiàn)不等長尺寸的2D置亂，同時擺脫周期性的限制.此外，利用反變換方程解密，算法效率更高.對于 M×N （ ）的 2D矩陣，可使用2D-Arnold不等長映射對其內(nèi)部數(shù)據(jù)進行置亂，在不改變數(shù)據(jù)值的同時，變換其位置.當 M 和 N 互為素數(shù)時，正、逆變換方程為

其中， b=1，a=1，d=1. 通過上述變換方程即可對 M 和 N 不等且互為素數(shù)的2D空間實現(xiàn)位置置亂.當 M 和 N 互為合數(shù)，即存在除1以外的公因數(shù)時，正、逆變換方程為

其中， b=1，a=1，c=N/gcd（M，N），gcd 為最大公約數(shù)函數(shù).通過上述變換方程即可對 M 和 N 不等，且互為合數(shù)的2D空間實現(xiàn)位置置亂.

如圖2所示，4D-Arnold不等長映射算法的輸入為原始卷積層的4D張量參數(shù)，為了保證在卷積核核內(nèi)參數(shù)置亂的前提下，實現(xiàn)跨通道和跨卷積核的模型參數(shù)置亂.算法引人2D不等長 Armold 映射，每輪置亂 4D張量中的2D（附錄表 S3）.例如，當采用 （c，n） 作為坐標平面時， （l，v） 為2D參數(shù)平面，通過Arnold不等長映射可將 c×n 個尺寸為 l×v 的參數(shù)平面在空間內(nèi)進行置亂.此外，為了保證在4D空間中參數(shù)置亂的隨機性，算法基于Logistic映射設(shè)計了一種置亂順序生成器，通過密鑰 x₀ 和 μ 生成相應(yīng)的置亂順序，以達到更好的置亂效果.

經(jīng)典Logistic 映射 ^[21]X_n+1=X_n×μ×（1-X_n），μ∈[0，4]，X₀∈[0，1] 具有不確定、不可重復(fù)和不可預(yù)測等特性，在密碼學(xué)中應(yīng)用廣泛.研究表明當滿足條件 μ∈[3.569 945 6，4] ， X_?0∈[0，1] 時，Logistic 映射處于混沌態(tài).在此范圍之外，生成的序列不具有偽隨機性.方法利用Logistic生成長度為 1000+k_c 的混沌序列，取末尾 k_c 個值作為混沌序列 C .如式（4）所示，可將混沌序列映射為置亂順序 O=mod（floor（1 000×C） ，6），用于控制每輪映射的坐標平面和參數(shù)平面 .O 中元素值為 1，2，…，6. 如附錄表S3所示，當 O（i）=1 時，即選擇 （c，n） 作為坐標平面，對 （l，v） 形成的參數(shù)平面進行置亂.

2.4 相鄰參數(shù)擴散機制

為了進一步增加參數(shù)加密的抗攻擊性，在置亂操作結(jié)束后，設(shè)計了參數(shù)擴散機制：

在模型卷積層參數(shù)中， T（c_x，n_y，l，v） 表示 n_y 卷積的 c_x 通道上的參數(shù)平面，擴散機制按照\"Z\"形擴散路徑，從左到右、自上而下的順序，對各卷積核每個通道中的參數(shù)平面進行相鄰參數(shù)擴散.即通過擴散系數(shù) d 將右側(cè)參數(shù)值疊加到左側(cè)參數(shù)，在水平方向上將相鄰參數(shù)之間互相關(guān)聯(lián)起來，以提高參數(shù)加密的抗攻擊性.

逆擴散機制的系統(tǒng)方程為

逆擴散系數(shù)和擴散系數(shù)相同.在接收端按照從右到左、自下而上的順序，對各卷積核每個通道上的參數(shù)平面進行相鄰參數(shù)逆擴散，可以恢復(fù)出參數(shù).

3 實驗結(jié)果與分析

實驗環(huán)境如下：硬件環(huán)境為8.00GBRAM，Intel（R）Core（TM）i5-12400CPU $＼textcircled { ＼omega } ＼ 2 . 5 ＼ ＼mathrm { G H z }$ ；軟件環(huán)境為Windows 10，Python 3.6.13，MATLAB2018a.實驗以4種具有代表性的深度隱寫模型作為加密對象，采用本文加密方法實現(xiàn)了對模型的加密保護.此外，實驗從ImageNet 圖像數(shù)據(jù)集[22隨機選取10 O00張圖像用于驗證加密算法的有效性以及對客觀性能指標的測試.

3.1 主觀效果分析

為了減小時間開銷，本文加密算法僅對 Baluja，UDH，StegoPnet 以及U-Net 模型的提取網(wǎng)絡(luò)進行了實驗.如附錄圖S3所示，第 1～3 行分別為載體圖像、載密圖像和秘密圖像，第4行為對各個模型提取網(wǎng)絡(luò)加密后提取出來的秘密圖像.顯然，當對4個模型提取網(wǎng)絡(luò)的全部卷積參數(shù)進行加密后，其提取圖像在主觀視覺上均顯示為純黑色，從中無法獲取任何語義信息.因此，通過對隱寫模型提取網(wǎng)絡(luò)的全部卷積參數(shù)加密，可以有效保護深度隱寫模型，即使載密圖像和提取網(wǎng)絡(luò)被第三方截獲，也無法恢復(fù)出原始秘密信息.

3.2 客觀指標分析

從均方誤差（mean squared error，MSE）、峰值信噪比（peak signal to noise ratio，PSNR）、結(jié)構(gòu)相似性（structure similarity index measure，SSIM）和學(xué)習(xí)感知圖像塊相似度（learned perceptual image patch simi-larity，LPIPS）[23-24]這4個評價指標，來度量深度隱寫模型加密后提取出圖像的質(zhì)量，以證明模型原始功能的喪失，從而有效保證模型的安全.

實驗從ImageNet數(shù)據(jù)集中選取10000張圖像對加密后的模型進行驗證，分別對4個目標隱寫模型提取網(wǎng)絡(luò)的加密結(jié)果從上述4個角度進行了客觀分析，并以相應(yīng)指標的平均值作為最終結(jié)果.表1給出了Bal-uja，StegoPnet，UDH和U-Net這4種深度隱寫模型在無加密，全加密和全解密模式下的評價指標.當對4個模型提取網(wǎng)絡(luò)卷積層參數(shù)全部加密時，其 SSIM值均接近于O;無加密模式下 SSIM值均接近于1，兩者差距較大.其次，全部加密時LPIPS值均大于0.96，無加密時的LPIPS 值接近于0，兩者存在較大差異.同時，無加密時的PSNR均小于7dB，結(jié)果表明經(jīng)過加密，4個模型提取網(wǎng)絡(luò)得到的秘密圖像質(zhì)量很差.最后，相較于無加密時0.001的MSE，全部加密時MSE始終在0.27以上，結(jié)果說明加密后提取出的圖像和原始秘密圖像在像素層面存在較大差異.因此，從4個模型的各項客觀指標來看，提取網(wǎng)絡(luò)參數(shù)全加密的方案可以有效保護深度隱寫模型的安全.在無加密和全解密狀態(tài)下，4種模型的視覺效果和各個評價指標上的表現(xiàn)均保持一致，說明本文方法在保證深度隱寫模型安全的同時，可以無損解密出原始秘密圖像.

3.3 密鑰敏感性分析

本文算法的密鑰 K=（t，μ，x₀，d） ，其中 Ψ_t 為參數(shù)置亂階段Arnold映射迭代次數(shù)， μ 和 x_?0 為Logistic置亂順序生成器的控制參數(shù)， d 為相鄰參數(shù)擴散階段的擴散系數(shù).基于Baluja隱寫模型和U-Net隱寫模型對密鑰敏感性進行了測試，如附錄圖 S4（a）所示為基于Baluja 隱寫模型的實驗，其加密和解密密鑰為 K=（30 ，3.98，0.5，1 000） ，密鑰正確時可以實現(xiàn)模型參數(shù)的解密和秘密圖像的正常提取.若對密鑰添加擾動，令擴散系數(shù) d=1 000+10^-13 ，此時無法恢復(fù)模型提取網(wǎng)絡(luò)的正常功能，提取結(jié)果為單一黑色圖像.如附錄圖S4（b）所示為基于U-Net隱寫模型的實驗，其加密和解密密鑰為 K=（30，3.98，0.5，1 000） ，可以實現(xiàn)模型參數(shù)的解密和秘密圖像的正常提取.若令擴散系數(shù) d=1 000+10^-13 ，同樣不能恢復(fù)模型提取網(wǎng)絡(luò)的正常功能，無法獲取到任何語義信息.綜上所述，本文方法密鑰敏感性較好，密鑰的微小誤差即可導(dǎo)致解密失敗.若模型具有L（Lgt;3） 層卷積層，則其密鑰空間最小為 1×10^13L ，足以抵御暴力破解，進一步證明本文方法具有較高的安全性.

3.4 圖像分類模型的加密保護

在計算機視覺研究領(lǐng)域中，基于深度學(xué)習(xí)的圖像分類被廣泛研究.圖像分類模型通過卷積層提取圖像高維特征，然后通過池化操作選擇特征，過濾信息.模型最后通過全連接層對提取特征進行非線性聚合并完成圖像分類.所以，圖像分類模型的核心同樣是卷積層參數(shù)，除圖像隱寫模型之外，圖像分類模型的核心同樣體現(xiàn)在卷積核參數(shù).因此，本文方法適用于圖像分類模型.以Pytorch 內(nèi)置預(yù)訓(xùn)練模型 VGG16 模型[25]為例來驗證本文方法對圖像分類網(wǎng)絡(luò)的加密效果，其原始分類精度為 61.96% .VGG16模型由13層卷積層組成，包含14 710464個參數(shù).實驗從ImageNet數(shù)據(jù)集中選取1000類自然圖像，共5000張，用于模型分類精度的測試.如表2所示，實驗對VGG16模型各層卷積分別加密后，精度各不相同，在 0.1% 上下波動，最高和最低精度相差 0.098% .結(jié)果表明對卷積層分別加密后，其分類精度均接近于隨機分類的概率（各層均約為 0.1% ）相比ChaoW方法，本文方法在VGG16模型中的分類準確率更為穩(wěn)定.因此，本文方法適用于圖像分類模型的加密保護，并且在VGG16模型的加密保護上優(yōu)于ChaoW方法.

4總結(jié)

由于圖像的視覺冗余性較高，目前的隱寫模型加密算法對其保護能力較弱，安全性不高.本文基于 2D-Arnold 不等長映射和Logistic 映射構(gòu)造了一種4D-Arnold不等長映射，對參數(shù)置亂.同時設(shè)計了相鄰參數(shù)擴散機制，進一步提高了本文方法的有效性和安全性.同時，對4種具有代表性的深度隱寫模型加密后，提取結(jié)果的主觀視覺效果和PSNR，SSIM，MSE 和LPIPS指標均可表明加密后模型功能完全喪失，即本文方法可以安全有效地保護深度隱寫模型不受第三方竊取和使用.此外，基于VGG16 圖像分類模型的實驗結(jié)果表明，本文方法同樣適用于圖像分類模型的加密保護.在未來的工作中，可將本文算法拓展研究，使其應(yīng)用于其他具有卷積結(jié)構(gòu)的深度模型參數(shù)加密保護工作.

附錄見電子版（DOI：10.16366/j.cnki.1000-2367.2024.01.27.0002）.

參考文獻

[1] SETIADI DRIM，USADS，ANDONOPN，etal.Digitaliagesteganographysurveyandinvestigatio（goal，sessment，eod，d velopment，and dataset）[J].Signal Processing，2023，206 ：108908.

[2] 高嵐，趙雨晨，張偉功，等.面向GPU并行編程的線程同步綜述[J].軟件學(xué)報，2024，35（2）：1028-1047. GAOL，ZHAOYC，ZHANG WG，etal.Surveyonthreadsychronizationin GPUparalelprogramming[J]JurnalofSoftware，2024， 35（2） ：1028-1047.

[3] CORTINAS-LORENZOB，PEREZ-GONZALEZF.Adam and theants：0ntheinfluenceof teoptimizationalgorithmonthedetectability of DNN watermarks[J].Entropy，2020，22（12） ：1379.

[4] ABD-EL-ATTYB.Arobust medicalimage steganographyapproachbased onparticleswarm optimizationalgorithmandquantum walks [J].Neural Computing and Applications，2023，35（1） ：773-785.

[5] 魏甫豫，張振宇，梁桂珍.基于卷積神經(jīng)網(wǎng)絡(luò)下昆蟲種類圖像識別應(yīng)用研究[J].河南師范大學(xué)學(xué)報（自然科學(xué)版），2022，50（6）：96-105. WEIFY，ZHANG ZY，LIANGG Z.Researchonapplicationofinsect species imagerecognitionbasedonconvolutioal neural network [J].Journal of Henan Normal University（Natural Science Edition），2022，5O（6）：96-105.

[6] KAURR，SINGHS.Acomprehensivereviewofbectdetection withdeeplearingJDigital SignalProcessing2023，1320812.

[7] TREVISO M，LEEJU，JICetalEficient methodsfonaturallanguageproesing：aurveyJ].ransactionsof theAssociationfor Computational Linguistics，2023，11：826-860.

[8] TRAMERF，ZHANGF，JUELSA，et al.Stealing machine learning models via prediction APIs[C]//Procedingsof the25thUSENIX Conference on Security Symposium.[S.l.： s.n.]，2016： 601-618.

[9] LI Y，WANG H X，BARNIM.A surveyof Dep Neural Network watermarking techniques[JNeurocomputing，2021，461：171-193.

[10]LE MERRER E，PEREZ P，TREDANG.Adversarial frontierstitching forremote neuralnetwork watermarking[J].NeuralComputing and Applications，2020，32（13） ：9233-9244.

[11]WANGTH，KERSCHBAUMF.RIG：covertandrobustwhitebox watermarkingofdeepneuralnetworks[C/ProceedingsoftheWeb Conference 2021.New York：ACM，2021：993-1004.

[12]LINNHENXM，UH，etal.Chaoticeights：aovelapproachtprotectintelectualpropertyofepeuralnetworksEEE Transactions on Computer-Aided Design of Integrated Circuits and Systems，2021，40（7） ：1327-1339.

[13]PYONEA，MAUNG M，KIYA H，etal.Training DNNmodel withsecret keyformodelprotectionC]//2020IEEE9thGlobalConfer ence on Consumer Electronics.Piscataway：IEEE Press，2o2o：818-821.

[14]高敏娟，黨宏社，魏立力，等.全參考圖像質(zhì)量評價回顧與展望[J].電子學(xué)報，2021，49（11）：2261-2272. GAO MJ，DANH，WELL，etalReviewndprospectoffullreferenceimageualtsessmentJActaElectronicaSica，1， 49（11）：2261-2272.

[15]DUANXT，SHAOZQ，WANGWX，etal.Asteganography modeldata protectionmethodbasedonscramblingencryptionJComput ers，Materials amp; Continua，2022，72（3）：5363-5375.

[16]BALUJAS，BALUJAS.HidingimagesinplainsightC]/Proceedingsofthe3lstInternationalConferenceonNeuralInformationPro cessing Systems.New York：ACM，2017：2066-2076.

[17]ZHANGCN，BENZ P，KARJAUVA，et alUdh：Universal deep hidingforsteganography，watermarking，andlightfield messaging[J]. Advances in Neural Information Processing Systems，2020，33：10223-10234.

[18]DUANXT，WANGWX，LIUN，etal.StegoPNet：imagesteganogaphywithgeneralizationabilitybasedonpyramidpoolingmoduleJ]. IEEE Access，2020，8：195253-195262.

[19]DUANXTJIAK，LIBX，etal.Reversibleimage steganographyschemebasedona U-NetstructureJEEE Acess2019，：9314- 9323.

[20]SHAOLPQIZ，GAOHJ，etal2DtriangularmappingsandtheiraplicationsinsramblingrectangleimageJ]InformatioTechol ogy Journal，2007，7（1） ：40-47.

[21]王鮮芳，王曉雷，王俊美，等.一種動態(tài)貓映射混沌圖像加密算法[J].河南師范大學(xué)學(xué)報（自然科學(xué)版），2018，46（5）：110-117. WANG XF，WANG XL，WANGJM，etal.Achaoticimage encryptionalgorithm baseddynamiccatmap[J].Journalof HenanNormal University（Natural Science Edition），2018，46（5）：110-117.

[22]DENGJONGWOCHERR，etalIageNet：alargescaleherarchicalimagedatabaseC/09IEEECoferenceonCuterVi sion and Pattern Recognition.Piscataway：IEEE Press，2oo9：248-255.

[23]ZHANGRISOLAPEFROSAA，etal.Theunreasonable efectivenessofdepfeaturesasaperceptual metric[C]/2018 IEE/CVF Conference on Computer Vision and Pattern Recognition.Piscataway：IEEE Press，2O18 ：586-595.

[24]胡波，謝國慶，李雷達，等.圖像重定向質(zhì)量評價的研究進展[J].中國圖象圖形學(xué)報，2024，29（1）：22-44. HUB，XIEGQ，ILDetalPrgressof imageretargetingqualityevaluation：asurveyJouralofmageandGrahics49： 22-44.

[25]SIOAK，ZSSERAN.VerydeponvolutionalnetworkforlargescaleimagerecognitionEB/OL].023-12-tps：// arxiv.org/abs/1409.1556v6.

Deep steganography model parameter encryption method based on 4D-Arnold unequal length mapping

Duan Xintao ^a，b ，Li Zhuang?， Zhang Ena，b

.College of Computerand Information Engineering；b.KeyLaboratoryof Educational Artificial Inteligenceanc Personalized Learning in Henan Province，Henan Normal University，Xinxiang 453Oo7，China）

Abstract：The training process of steganographic models requires alarge amount of data and technical investment.When the steganographymodelisstolen，it willcausesecuritythreatsandeconomiclosses toitsowner.Topreventthetheftofdeep steganography models，we proposea method for protecting theparametersof the steganography modelbasingon 4D-Arnold unequallength mapping.Themethodapliesascrambling-difusionstrategy.Firstly，atthescramblingstage，wesramble the convolutionallayerparametersacross convolutionalcoresand channels through4D-Aronld mapping.Secondly，atthedifusion stage，we designaneighboring parameterdiffusion mechanismto achieve numerical difusion betwen twoadjacent parameters andcompletetheencryptionofthe parametersof thedeepsteganography model.Finall，third partiescan'tobtainanysecret informationand werealizetheprotectionof the steganography model.Experiment resultsshowthatthe method significantlyreduces the original performanceof the model in terms ofobjective indicators（PSNR，MSE，LPIPSand SSIM）and visualeffects， andthehiddencommunicationfunctionofthe modelislost.Inaddition，theproposed methodcanalsobeapliedtotheecryptionprotectionofotherdeepmodelssuchasimageclasificationwhileensuringtheeffectivenessandsecurityoftheencryption of the steganography model.

Keywords ： AI model security； parameter encryption; 4D-Arnold unequal length mapping; image steganography model convolutional neural network

附錄