基于差分隱私的深度偽造指紋檢測模型版權保護算法

袁程勝，郭強，付章杰

（1.南京信息工程大學計算機學院、軟件學院、網絡空間安全學院，江蘇 南京 210044；2.南京信息工程大學數字取證教育部工程研究中心，江蘇 南京 210044）

0 引言

隨著大數據技術和數字經濟的蓬勃發展，互聯網每天都會產生海量的數據，部分數據不僅關系到個人隱私權益，還會涉及國家安全和社會公共利益。為了避免敏感隱私數據外泄，對其進行安全訪問至關重要。生物識別技術（借用人體生理或行為特性）作為一種新穎的身份識別模式，逐漸替代傳統的密碼驗證。在現有的生物特征中，指紋因具有唯一性、穩定性和長久不變性的特性，應用更普及。截至2021 年，指紋識別占據全球生物識別的大部分市場份額[1]。但是，該技術存在嚴重的安全隱患，借助硅膠、樹脂、明膠等材料偽造的指紋能夠成功欺騙指紋識別系統。因此，偽造指紋[2]檢測技術被提出。

近些年，隨著機器學習尤其是深度學習的迅速發展，人工智能技術被廣泛應用在無人駕駛[3-4]、計算機視覺[5-6]、自然語言處理[7-8]等領域，基于深度學習的深度偽造指紋檢測方法[9]也相繼被提出。但是，訓練一個鑒別指紋真假的模型除依賴超強的算力和專業的領域知識外，還需要海量優質指紋數據的加持，并且一旦模型濫用勢必會導致用戶隱私的泄露和知識產權侵犯風險，對訓練好的深度偽造指紋檢測模型進行版權保護迫在眉睫。

深度偽造指紋檢測（后文簡稱為深偽檢測）模型在確保指紋識別系統完整和隱私數據安全訪問方面的作用是無法替代的[10-12]，尤其是對具有較高隱私的深偽檢測模型的保護極為重要?，F有的知識產權保護對象更多是新媒體內容，鮮有對深偽檢測模型版權保護的研究，并且無法直接將現有方法用于深偽檢測模型的版權保護任務中。文獻[13]提出一種構造零比特水印的版權保護方法，當模型所有者對知識產權和經濟利益產生糾紛時，可調用遠程應用程序接口（API,application programming interface）來獲得模型的訪問權限，并通過遠程操作從神經網絡模型中提取嵌入的水印實現版權驗證，通過對抗訓練操作生成觸發集以調整分類決策邊界，并依據觸發集輸出的特定標簽對模型版權歸屬進行驗證。該方法在MNIST 數據集上表現出較好的性能，而對指紋數據集保護的效果如何有待考究。文獻[14]提出一種抗偽造攻擊的神經網絡水印協議，通過引入單向哈希函數，確保所有權的觸發樣本形成單向鏈，且觸發樣本的標簽也被賦值，其認為攻擊者無法擁有訓練權限，因此該協議能夠抵擋偽造攻擊。但是現實中，攻擊者通過非法手段能夠獲得模型的訓練權限，該方法將不適用。文獻[15]提出一種深度模型的分發機制，能夠為用戶提供分等級的服務，但是當用戶與攻擊者發動合謀攻擊后，該模型將會被攻擊者竊取和非法使用。

針對神經網絡模型知識產權侵權問題，本文提出了一種基于差分隱私的深度偽造指紋檢測模型版權保護算法。首先，通過構建的觸發集微調模型的分類決策邊界以建立后門，實現模型版權的被動驗證。然后，為了最小化原始任務在非觸發集中的誤差，在深偽檢測模型中設計一個噪聲層模塊，充分利用差分隱私算法的期望穩定性進行分類決策，讓模型在訓練時降低對噪聲的敏感度。當模型授權給用戶后，攻擊者與用戶發動合謀攻擊，以非法獲得使用權，此時僅需通過給模型嵌入的后門來驗證模型版權。即使攻擊者偽造一批與觸發集樣本同分布的數據來混淆模型版權，所有者依然可通過給觸發集加蓋時間戳的方式，抵抗混淆版權的惡意攻擊。本文的主要貢獻如下。

1) 提出一種主動保護和被動驗證相結合的深度偽造指紋檢測模型版權保護框架。主動保護通過設計一組訪問權限，利用概率選擇策略將凍結的關鍵性神經元進行不同程度的解凍，以實現對該模型的授權分發和用戶的身份管理。即使攻擊者與用戶發動合謀攻擊，所有者依然可以通過后門映射關系來進行版權的被動驗證。

2) 改進了傳統的決策邊界微調算法。通過給深度偽造指紋檢測模型引入隨機性，借助差分隱私算法的期望穩定性進行分類決策，以降低模型對噪聲的敏感度，從而讓模型的分類決策邊界更加穩定。確保在后門嵌入時，決策邊界不會發生大幅變化而影響原始任務。

3) 在3 個公開的指紋數據集上進行了性能測試，實驗結果表明，主動保護并不會影響后門驗證，對于不同模型任務后門依然有效，嵌入的后門對模型修改同樣具有穩健性。此外，所提算法能夠抵擋攻擊者發起的合謀攻擊，也能夠抵擋模型修改帶來的微調、壓縮等常見攻擊。

1 模型版權保護算法分類

通過對現有模型版權算法進行歸納發現[16]，主要分為三類，即白盒水印算法、黑盒水印算法和無盒水印算法。白盒水印算法實現流程如圖1 所示，利用白盒水印進行版權驗證時，所有者能夠訪問模型的結構和參數，通過修改神經網絡模型的權值實現水印的嵌入和提取。黑盒水印算法實現流程如圖2所示，在無法獲悉神經網絡模型的結構和參數時，通過生成的觸發集讓模型輸出預期的分類結果，以實現水印的提取和對比。無盒水印算法實現流程如圖3所示，利用生成式模型讓輸出的圖像中含有水印。在版權驗證時，利用提取網絡完成水印的提取和版權歸屬驗證。

圖1 白盒水印算法實現流程

圖2 黑盒水印算法實現流程

圖3 無盒水印算法實現流程

1.1 白盒水印算法

Uchida 等[11]在2017 年首次提出模型水印的概念。在訓練過程中，利用構造的投影矩陣將水印植入模型權重中，通過提取網絡實現水印信息的提取和版權驗證。具體實現過程如下，首先，隨機選擇某一卷積層進行平均操作，并將其轉化成一維向量；然后，將投影矩陣與一維向量的乘積輸入激活函數中，構造一個二值比特流；最后，將水印轉化成二進制向量，利用交叉熵損失函數最小化水印信息和激活后的二值比特流，以實現模型水印信息的植入。水印驗證是將投影矩陣與權重執行乘法操作，利用階躍函數進行水印提取，通過與嵌入的二值水印信息進行對比實現模型版權的歸屬確權。若權重變化幅度較大，便能檢測到水印的存在。因此，Kuribayashi 等[17]提出了一種基于全連接層權重的量化水印嵌入方法，該方法通過在訓練過程改變模型參數，量化水印對模型的影響，從而確保植入的水印引起的參數變化很小。

Rouhani 等[18]提出一種通用水印版權保護方案，將其命名為DeepSigns。DeepSigns 能夠生成一個受保護的神經網絡模型，模型所有者設計一個水印簽名，將其植入不同激活圖的概率密度函數中，并使用密鑰記錄嵌入位置。當版權驗證時，首先通過密鑰獲取水印的位置信息；然后提取水印簽名；最后比較所提取水印與真實簽名之間的誤差，若小于閾值，則提取成功。Feng 等[19]提出一種帶有補償機制的水印嵌入方案，為了讓嵌入的水印位置更隱蔽，抵抗覆寫攻擊，選取隨機權重；然后將權重進行正交變換，并通過二值化操作向系數中嵌入水印，再通過逆正交變換得到新的含水印的權重；最后使用其他權重作為補償來微調模型，以消除二值化對性能的影響。

Fan 等[20]指出，現有的水印算法易受到偽造攻擊。為此，他們提出一種基于護照的水印策略，即讓預先訓練好的模型在正確的護照下保持任務性能。當面對偽造或修改的護照，原始任務性能會大幅下降。該方法在不同卷積層后添加了一個護照層，類似于歸一化層，區別在于護照層的權重和偏置由特殊的護照決定，而歸一化層的權重和偏置是為了保證中間層的變化幅度不能過大而抵消部分歸一化操作對模型的影響。因為模型訓練過程與護照緊密耦合在一起，所以模型的性能受到護照的控制。若攻擊者通過逆向工程偽造一個新的護照來盜取模型，則必須從頭訓練模型。因此，該方法能夠有效抵擋混淆攻擊。文獻[20]僅適用于一些特殊的歸一化層，為了讓歸一化層都植入水印，Zhang 等[21]在原始任務中引入了一個護照感知分支，通過設計一個秘密護照讓護照感知分支與原始模型聯合訓練。僅當驗證模型版權的歸屬時才提供護照和護照感知分支，而其他時候只將原始模型提供給用戶使用。在驗證過程中，正確的護照能使模型正常工作，偽造護照則不能。

針對模型版權歸屬確權問題，目前的白盒水印算法雖然能夠很好地解決，但是模型內部結構信息需要公開，攻擊者能夠輕易地訓練一個模型。因此，模型所有者更期望將持有的模型封裝成黑盒，通過提供API 完成指定任務。

1.2 黑盒水印算法

Zhang 等[22]提出一種新穎的模型版權認證方法，即黑盒水印算法，并分別給出3 種黑盒水印算法：第一種算法將特定的文本信息嵌入圖像中作為水印；第二種算法將無意義的噪聲嵌入圖像作為水?。坏谌N算法將不相關圖像分配錯誤標簽后作為水印。上述方法均能通過植入后門映射關系實現模型的版權歸屬認證。Adi 等[23]通過后門植入法研究版權的歸屬問題。首先，從原始數據中選定部分樣本作為觸發集，并進行標記；然后，通過訓練讓模型擬合觸發樣本的特性。在版權驗證時，所有者將觸發樣本輸入API 中，通過觀察預測結果是否為預設的標簽。為了降低誤報率，Guo 等[24-25]提出一種基于進化算法的水印生成和黑盒水印優化算法，將版權所有者的簽名植入數據集中，使用含簽名信息的數據集來訓練一個神經網絡模型。當嵌入簽名的數據被輸入時，預設的臨時模式將會運行，以此驗證模型的版權。Jia 等[26]發現現有的水印嵌入方法大多與主任務無關，可通過模型微調和壓縮來盜取版權，為此提出糾纏水印的概念，即將水印嵌入和原始任務緊密耦合。此外，在后門植入時，觸發集輸出錯誤的標簽會導致決策邊界發生變化，影響原始任務的性能。Zhong 等[27]設計一種全新的黑盒水印算法，在后門嵌入過程中，決策邊界并不會發生變化。Quan 等[28]設計一種用于保護圖像處理模型的黑盒觸發式水印，通過微調操作使模型改變特定域內的預測結果，為了讓微調后的模型輸出圖像和事先預定義的圖像接近，將觸發圖像和初始驗證圖像一并輸入模型中訓練，用觸發圖像的預測結果來更新驗證圖像。在驗證水印時，當所有者把觸發圖像輸入模型后，如果輸出結果與驗證圖像相同則驗證成功。Ong 等[29]提出一種用于保護生成對抗網絡的水印方法，核心是當輸入一個觸發圖像時，模型會生成一個包含水印的圖像來驗證版權。

由于深度模型易遭受數據中毒和后門攻擊的威脅，確保神經網絡模型在部署后的完整性對黑盒模型極其重要。Zhu 等[30]提出一種基于黑盒的脆弱水印方法來檢測惡意微調，水印處理分為以下3 個步驟：用戶首先用一個特定的密鑰來構造一組觸發集；然后，用交替訓練的方式對訓練集和觸發集進行分類；最后，對訓練好的DNN 模型進行微調。

黑盒水印算法是目前主流的模型版權保護方法。所有者僅需通過API 訪問遠程模型便能完成版權驗證，不需要像白盒水印算法那樣將內部結構公開給第三方。雖然黑盒水印算法提升了模型的安全，但是攻擊者依然可通過偽造觸發集的方式混淆版權。

1.3 無盒水印算法

無盒水印算法是一種新穎的、不需要人模交互、不需要獲悉模型細節和不需要構建特定觸發集的生成式版權保護方法，核心操作是在模型訓練損失函數中引入一個水印損失項，使輸出樣本中包含水印信息，最終通過水印提取和比對實現模型版權的歸屬確權。Zhang 等[31]通過在模型后引入一個與原始任務無關的水印模塊，提出一種端到端的水印信息嵌入算法。具體地，在原始任務后設計一個水印嵌入模塊，通過迭代優化將水印信息嵌入圖像中。為了從水印圖像中提取水印，便于后續水印比對和版權歸屬認證，同時訓練一個由密鑰控制的水印提取子網。當攻擊者利用該框架訓練的模型進行代理模型攻擊時，表征歸屬的水印信息將被嵌入該代理模型中。此外，還通過對抗訓練提升模型的穩健性，以提高水印防御代理模型攻擊的性能。Wu 等[32]提出一種全新數字水印框架，設計一個水印損失組合損失函數來訓練模型，使輸出的圖像中包含一個定制化的水印信息，后續神經網絡模型版權需要歸屬確權時，只要通過檢測輸出圖像中的水印，便能夠判斷圖像是否來自該神經網絡模型。實驗結果顯示，該方法在面對各種圖像處理操作時，如圖像著色、超分、編輯及語義分割等，均表現出良好的穩健性。

無盒水印的版權驗證算法是通過在輸出圖像中植入定制化數字水印信息來保護模型版權的，為深偽檢測模型的版權保護研究提供了新思路。

2 本文算法

2.1 融合主動保護和被動驗證的版權保護框架

本文提出的融合主動保護和被動驗證的深偽檢測模型版權保護框架如圖4 所示。其包含以下3 個功能：第一，可以防止未授權用戶使用深偽檢測模型，僅授權用戶能使用該模型，而未授權者將會得到一個與任務無關的輸出；第二，能夠對深偽檢測模型進行分級保護，越忠誠的用戶獲得的訪問等級越高；第三，當攻擊者策反授權用戶發起合謀攻擊時，模型所有者可通過后門映射關系對該模型進行版權歸屬確權。

圖4 融合主動保護和被動驗證的深偽檢測模型版權保護框架

首先，模型所有者將預訓練好的深偽檢測模型使用后門嵌入模塊來微調決策邊界，讓模型獲得后門映射關系。然后，通過概率選擇模塊篩選模型中的關鍵性神經元，以確保選定的神經元不影響后門觸發。接著，凍結模塊將篩選出的關鍵性神經元進行凍結，以降低模型的可用性，讓未授權用戶無法使用該任務模型。最后，分發模塊對凍結模塊中的神經元授予不同等級，依據授權等級從凍結模塊中解凍不同數量的神經元，以執行相應的功能，該操作能夠確保最忠誠的用戶解凍全部的神經元。在上述操作過程中，模型所有者僅需執行一次后門嵌入模塊、概率選擇模塊和凍結模塊的調用操作，當用戶需要使用模型時可以多次調用分發模塊。被動驗證是當用戶被攻擊者策反后，導致模型被非法使用時所采取的事后驗證操作。綜上，本文所提的版權保護框架能夠為深度偽造指紋檢測模型提供一個系統完整和版權歸屬確權的解決方案。

2.2 決策邊界的構建

本文使用FGSM（fast gradient sign method）[33]生成對抗性指紋集，并在原始任務模型上進行白盒測試，當模型輸出標簽發生錯誤時，則定義為成功對手。由于FGSM 通過逐批添加擾動的方式來生成對抗性指紋，因此那些測試錯誤的對抗指紋被視為失敗對手。選擇失敗對手作為觸發集的目的是限制決策邊界[13]，讓成功對手返回原先正確分類的類別時變化更少。此外，失敗對手還具有表征模型邊界形狀的作用，從而提升模型的穩健性。決策邊界微調的前后對比如圖5 所示，標簽T 和標簽F分別表示類別為True 和Fake 的成功對手，而分別表示類別為True 和Fake 的失敗對手。

圖5 決策邊界微調的前后對比

為了實現深偽檢測模型的版權保護，使用對抗性指紋的原始標簽作為后門映射關系進行被動驗證。具體地，利用決策邊界微調算法讓深度偽造指紋檢測模型的決策邊界發生輕微改變，以實現模型的水印植入。由于觸發集是由對抗性指紋構成的集合，當進行決策邊界微調時，深偽檢測模型能夠學習到觸發集圖像中對抗指紋的特殊特征，使原始任務輸出錯誤結果。為了解決上述問題，受差分隱私和對抗樣本防御具有一定聯系[34]的啟發，讓深偽檢測模型的決策邊界更加穩定，不易受觸發集的對抗性擾動影響，本文通過在原始任務中添加噪聲層，從而在前向傳播過程中引入隨機性，使模型能夠利用差分隱私算法的期望穩定性進行最終的決策，并能夠有效降低深偽檢測模型對噪聲的敏感性。此外，還能夠確保在用觸發集進行后門嵌入的過程中，決策邊界不會因為擾動對模型的影響而大幅變化。

2.3 噪聲層的構建

差分隱私[35]是避免個人數據隱私泄露的一種防御方法，通過給數據添加噪聲以引入隨機性，使在數據集上的任何增加或刪除操作記錄都能被隱藏，用戶無法通過查詢的結果反推出隱私信息。設D為隨機算法，輸入域為X，輸出域為R，任意2 個相鄰數據集x，x′∈X，輸出集合滿足S?R。若x和x′在算法D下滿足式(1)，則稱算法D滿足(ε,)δ-差分隱私。

其中，ε和δ均為控制差分隱私保護強度的超參數，ε為隱私預算，δ為隱私被泄露的概率，P(·) 為算法D的輸出概率。

度量標準ρ用來表示敏感性，以記錄2 個查詢之間的不同數目。在標準的差分隱私中，通常用漢明距離作為度量標準，以使數據庫中單一數據的改變不會大幅修改輸出的分布。而差分隱私也適用于對抗樣本的范數度量。本文將深偽檢測模型的輸入圖像構成的樣本視為數據庫，將圖像中的像素視為記錄，以建立起差分隱私與深度偽造指紋檢測模型之間的聯系。具體地，本文觸發集的構建是使用FGSM 來生成對抗性指紋的，通過微調建立后門映射，利用映射關系來驗證版權歸屬。

本文利用了差分隱私的2 個屬性：1) 后處理性，即差分隱私算法之后模型的輸出結果仍具有差分隱私的特性；2) 期望穩定性，即差分隱私算法之后模型的輸出期望對輸入的擾動變化不敏感。上述屬性能夠使差分隱私與模型的穩健性建立明確的聯系。通過差分隱私的期望穩定性來進行決策，以降低分類決策邊界的敏感性。在執行后門嵌入時，微小擾動對原始任務性能并不會產生太大影響。差分隱私的期望穩定性為

其中，α表示添加的擾動，D(x) 表示隨機算法的輸出，且D(x) ∈[ 0,1]。為了驗證差分隱私的屬性2)，對其進行如下推理。連續性隨機變量的輸出期望為

將式(1)兩邊同時積分得

其中，δ是常數，可得

因此，E(D(x)) ≤eεE(D(x+α))+δ得證。

深度偽造指紋檢測模型的穩健性是指模型輸入的輕微改變并不會影響原始任務的性能，在基于標簽輸出概率的深度偽造指紋檢測模型中，穩健性應該滿足

其中，y為模型分類結果，f和n為標簽類別。

本文將檢測模型SoftMax 層的決策轉化為隨機的D(x)，利用噪聲的輸出期望E(D(x)) 作為決策概率，以挑選最大的概率標簽，如式(4)所示。

式(4)為穩健性條件，若滿足條件，則輸出期望E(D(x)) 對微小擾動是穩健的。證明如下。

證明根據式(2)可得

式(5)給出了 E(Dn(x+α))的下界，式(6)給出了maxn≠fE(D f(x+α))的上界。式(4)中標簽n的期望值下限嚴格高于其他標簽的期望值上限。滿足式(3)的穩健性條件，從而建立差分隱私與模型穩健性聯系，實現模型輸出的穩健性。當滿足式(4)時，可得穩健性為

則深度偽造指紋檢測模型穩健性結論為

深度偽造指紋檢測模型的實現流程如圖6 所示。在進行模型訓練時，通過添加噪聲層以引入高斯噪聲，使深度偽造指紋檢測模型的分類決策獲得隨機性。添加噪聲后的訓練相對復雜，無法直接計算該輸出的期望。因此，本文采用蒙特卡羅估計來近似原有的期望值。具體地，在原始任務中添加決策層，反復調用預測來計算噪聲對SoftMax 層輸出結果并取平均操作得到期望的估計值。利用差分隱私算法的期望穩定性進行最終決策以降低該模型對噪聲的敏感度。如式(7)所示，對于添加噪聲后的指紋圖像，該模型的輸出期望依然比較穩定。

圖6 深度偽造指紋檢測模型的實現流程

2.4 主動保護框架

對于訓練好的深度偽造指紋檢測模型，訓練的參數中一部分神經元對任務的決策至關重要，若剔除則會影響任務的輸出，被視為關鍵性神經元；而有些神經元有無與否對任務并無影響，被視為普通神經元。本文提出的主動保護框架通過凍結模型中關鍵性神經元，以禁止未授權用戶的使用。由于大部分神經元位于卷積層，僅凍結卷積層中的關鍵性神經元。首先，通過概率選擇策略篩選出關鍵性神經元以便于后續的凍結操作。概率選擇是通過觀察丟棄某個神經元后，對模型性能的變化程度，若明顯，則相應的神經元極為重要。另外，輸入樣本不同，對神經元產生的刺激也不同。假設輸入樣本為x n(n=1,…,N)，訓練的參數中必然存在一些關鍵性神經元構成集合剔除則會使性能陡然下降。由于會隨著xn的變化而變化。因此，每輸入一批樣本，模型就會產生一批不同的集合為了消除不同輸入產生的隨機性，當所有樣本輸入后，統計每個神經元入選集合的次數，并用pθ表示被選定的概率。若神經元總在中，則為關鍵性神經元，并賦值1。本文將概率選擇操作轉化為式(8)所示的優化問題，通過優化操作篩選出關鍵性神經元，在不影響后門驗證的同時，還能確保選取的關鍵性神經元盡可能少。

其中，β用來衡量與Bθ的逼近程度，u符合均勻分布U(01)，，α＞0 和γ＞0 為的可調整參數。由于Bθ在式(7)中已被放寬，且中零元素相對較少。采用文獻[37]中的累加分布函數，即

通過式(9)和式(11)將式(8)放寬，并將式(8)的優化問題轉化為

利用式(12)對模型進行優化，以完成關鍵性神經元的篩選和保障后門的驗證；利用概率選擇操作將關鍵性神經元進行凍結，并限制未授權用戶的使用；將凍結的神經元劃分不同子集，讓每個子集均包含不同數量的神經元，圖4 中的分發模塊通過選擇不同的子集來控制深度偽造指紋檢測模型的性能，而凍結模塊和解凍模塊分別用來進行關鍵性神經元的凍結和解凍操作。

2.5 時間戳

任意數據經過哈希運算[38]后均生成一個定長的輸出。該運算是單向的，即無法依據哈希值反推出原始數據。因此，使用時間戳對電子數據產生的時間進行簽名認證，以證明其在某個偽造簽名之前就已存在。時間戳的生成操作如下。

1) 使用時間戳服務中心（TSSC,time stamp service center）提供的時間戳軟件，將電子數據加蓋時間戳并輸出哈希值A。

2) 將生成的哈希值A發送給TSSC，由TSSC記錄下生成的時間點，并將哈希值A與時間點拼接組成的新數據輸入哈希函數，構建新的哈希值B。

3) TSSC 利用私鑰將哈希值B進行加密操作以防止B的泄露，將加密后的哈希值與時間點綁定封裝來生成時間戳，并返還給申請者保管。

時間戳的驗證步驟如下。

1) 將原有電子數據作為輸入，使用時間戳軟件求得哈希值A。

2) 把哈希值A與時間點作為輸入，得到哈希值B。

3) 利用TSSC 提供的公鑰將使用者保管的加密內容進行解密，得到哈希值B′。

4) 通過對比哈希值B和哈希值B′，來判斷原有數據的時間點是否一致。

3 具體實施

3.1 數據集介紹

為了驗證本文所提算法的性能，使用的數據集分別來自2015 年、2017 年和2019 年的指紋活性檢測競賽，公開發布3 個指紋集LivDet2015、LivDet2017 和LivDet2019。其中，LivDet2015 指紋數據集中的圖像使用4 種不同的光學傳感器GreenBit、Biometrika、DigitalPersona 和Crossmatch 采集構建而成，每類傳感器采集的指紋數量約為4 000 張。LivDet2017、LivDet2019 數據集中的圖像則是由 GreenBit、DigitalPersona、Orcanthus 這3 種不同光學設備所采集，LivDet2017 和LivDet2019 中每類光學傳感器采集的指紋約為6 000 張和4 000 張。

3.2 性能評價指標

本文采用的深度偽造指紋檢測模型版權保護算法的性能指標如下[13]。

1) 保真度。在神經網絡模型中植入水印后，不能影響原始檢測模型的性能。

2) 高效性。植入的神經網絡水印應避免模型版權驗證時響應時間過長。

3) 有效性。神經網絡水印必須長期有效，對每個用戶保持獨一無二性。

4) 穩健性。神經網絡水印遭受常見的惡意攻擊后，依然存在且能用于后續的模型版權歸屬確權。

5) 安全性。用于模型版權驗證的水印不易被偽造、訪問和讀取。

3.3 后門的嵌入和提取

黑盒水印主要是通過構造觸發集來為模型嵌入后門的。當模型版權歸屬發生糾紛時，擁有者通過觸發集的特定輸出實現模型版權認定，而偽造者無法提供該證明。觸發集的生成如式(13)所示。

其中，θ為檢測模型的相關參數，J(θ,x,y)為訓練該模型的損失函數，?為梯度，sign(·) 為符號函數，ε為添加的擾動大小。通過逐漸添加擾動的方式使構造的觸發集位于決策邊界附近。成功對手和失敗對手的對抗性指紋示例如圖7 所示，當觸發集中樣本數量為4 時，圖7(a)為越過邊界的成功對手，圖7(b)為保持原有分類的失敗對手。

圖7 成功對手和失敗對手的對抗性指紋示例

后門的提取通過輸入觸發集樣本使成功對手和失敗對手都能被深度偽造指紋檢測模型正確分類，最理想的狀態是所有觸發樣本的標簽與模型預測結果之間的距離為零。但是，由于深度偽造指紋檢測模型存在被攻擊和嵌入時觸發精度對原始任務的影響，導致誤報，因此，通過設計閾值θ對水印提取的性能進行評估。為了將錯誤率控制在0.05以內，嵌入成功和失敗的概率均為0.5，觸發樣本服從二項分布即

其中，T為觸發集樣本的個數，為了使水印驗證有效，只需誤報數小于閾值，便認為成功提取水印。如當T=50 時，閾值為19，只要觸發集的標簽與預測標簽最大誤差小于19，則表明水印提取成功。

3.4 實驗結果

本文在不同數據集下進行了算法性能測試，在LivDet2017 中的Orcanthus 對不同卷積層模型分類精度進行了分析，不同卷積層數下的分類精度如圖8 所示。卷積層數為3 時，深偽檢測任務的性能最佳，因此在后續的實驗中，均采用4 個卷積層和3 個全連接層結構，利用期望值進行最終決策，且差分隱私算法的強度分別設為ε=1.0，δ=0.05。目前，基于深層的偽造指紋檢測雖然已取得極高的性能，但是本文還是使用一個輕量級的模型進行版權保護：一方面，本文主要研究的是深偽檢測模型的版權保護任務，有別于傳統的深偽檢測任務，因而選用的是參數較少、層數較淺的模型；另一方面，鑒于移動終端的有限算力，本文期望設計的輕量化深偽指紋檢測模型能夠應用在小型化的設備提供服務，如手機、平板等移動終端。

圖8 不同卷積層數下的分類精度

本文將LivDet2015 中的真假指紋圖像進行再整合，用于真偽檢測模型的構建，差分隱私對深度偽造指紋檢測模型分類精度的保護效果如圖9(a)所示，原始任務檢測模型分類精度為92%。當使用觸發集微調決策邊界時，原始任務的分類精度下降了22%。雖然能夠鑒別模型版權歸屬，但此時的性能下降較明顯，不滿足版權保護算法中的保真度。通過引入噪聲層的方式重新構造決策邊界，在完成版權歸屬確權同時，能夠減弱對任務性能的影響，僅下降3%。此外，本文還測試了LivDet2017 和LivDet2019中在不同傳感器下的保護效果，如圖9(b)所示。結果表明嵌入的后門不僅能夠被成功觸發，并且優化后的決策邊界微調算法還能對原始任務起到較好的保護作用。為了進一步驗證所提框架的有效性，本文測試了不同用戶等級下的模型分類精度，如圖10 所示，結果表明所提算法依舊有效。

圖9 差分隱私對深度偽造指紋檢測模型分類精度的保護效果

圖10 不同用戶等級下的模型分類精度

若未授權用戶嘗試訪問深度偽造指紋模型，將拒絕提供服務，即使提供輸入數據，輸出的結果也將無任何參考價值。真偽指紋鑒別是一個二分類問題，性能最低為50%，相當于隨機采樣的概率。為了驗證本文采用的概率選擇策略能夠降低模型分類精度，采用了以下4 種不同的策略對神經元進行凍結。1) 隨機，隨機性地凍結神經元。2) 均值，圍繞總體神經元的均值凍結。3) 升序，按照神經元的值從小到大凍結。4) 降序，按照神經元的值從大到小凍結。將第2 個卷積層中的神經元進行不同程度的凍結，模型的性能如圖11 所示，可觀察到本文采用的概率選擇策略僅需凍結4%左右的神經元就能快速降低模型的分類精度，而其他4 種策略則需要凍結20%左右的神經元。

圖11 不同凍結神經元比例下的模型分類精度

3.5 模型穩健性驗證

為了驗證深度偽造指紋檢測模型修改后是否具有穩健性，本文還在LivDet2015 數據集下進行了穩健性實驗。通過對參數進行修剪，將絕對值最小的權重剔除來模擬壓縮攻擊，結果表明構造的觸發后門能夠抵擋模型壓縮攻擊。對模型壓縮的穩健性如表1 所示，深度偽造指紋檢測模型能抵擋50%左右的壓縮攻擊。

表1 對模型壓縮的穩健性

通過構造大小不同的偽造觸發集來微調訓練好的深度偽造檢測模型，對模型微調的穩健性如表2所示。原有的觸發集能夠對檢測模型進行版權歸屬認證，表明本文提出的觸發后門具有穩健性，與對抗樣本難以防御的特性[39]相一致。

表2 對模型微調的穩健性

除了上述2 種攻擊，攻擊者還可能對凍結的關鍵性神經元進行再訓練，嘗試重現原始任務。由于攻擊者事先無法獲悉檢測模型是在哪層執行關鍵性神經元凍結，只能通過固定其他層的神經元對該層進行重訓練。對于未授權用戶來講，該嘗試等同于重新訓練一個原始任務模型。而攻擊者是因為計算資源有限，為了降低模型的訓練成本，才會盜取合法用戶的知識產權。因此，攻擊者不會花費更多訓練代價來獲取模型的使用權，使主動保護方案具有穩健性。即使使用者被策反，模型擁有者依然可借助時間戳進行模型版權歸屬確權，本文所提的框架依然具有穩健性。

3.6 水印驗證框架

深度偽造指紋檢測模型在抵抗模型微調攻擊的同時，也會存在多個水印共存問題，間接發生水印的混淆。攻擊者對模型進行微調攻擊后，盡管模型性能會下降，但是攻擊者寧愿犧牲檢測模型的準確率。為了保障安全，本文設計了一種新的水印驗證框架，當發生水印混淆時，由權威第三方提供時間戳的生成和認證服務，模型所有者僅需向權威第三方提供觸發集，使用SHA-256 哈希運算來為觸發集生成時間戳。當需要版權確權時，再次向權威第三方提供觸發集，借助時間戳認證服務，通過時間先后來對混淆后的版權進行認證。模型所有者把爭議模型以及觸發集提供給權威第三方，權威第三方通過SHA-256 哈希函數給觸發集加蓋時間戳，把生成的哈希值交還給模型所有者，形成證據。當發生水印混淆的時候，模型所有者和攻擊者都需要把哈希值和觸發集提交給權威第三方進行認證。最后權威第三方通過時間戳的哈希值，來判斷時間節點的先后順序，生成時間戳靠前的版權驗證者為模型的真正所有者。

3.7 方法的通用性

除了在3 個公開的指紋數據集上進行了版權歸屬驗證，本文還在Cifar10 數據集上進行了通用性測試，本文算法同樣表現出較好性能，如表3 所示。通過與現有的5 種算法[22-23,25]對比可知，當模型嵌入黑盒水印后，原始任務分類精度都會退化，相比較而言，本文算法分類精度降幅更小，基本上可忽略，對原始任務影響較小。

表3 算法的通用性性能

4 結束語

在保密通信過程中，指紋識別是應用最廣的身份識別技術，對保障隱私安全和查驗用戶身份的合法與否至關重要。近年來，研究者發現其易遭受偽造指紋的欺騙攻擊，偽造指紋檢測技術應運而生。但是訓練一個鑒別真假指紋的深層模型需要海量的數據和超強的算力，高敏感型的指紋被收集后存在泄露風險，而深度偽造指紋檢測模型的濫用勢必會導致個人隱私的泄露和知識產權侵權風險，對深偽檢測模型進行版權保護迫在眉睫。針對傳統黑盒版權保護算法存在削弱原始任務性能且適用于模型事后確權的問題。本文提出一種基于差分隱私的深度偽造指紋檢測模型版權保護算法，在實現版權的主動保護和被動驗證的同時，能夠兼顧原始任務分類精度。為解決傳統的決策邊界微調算法造成的原始任務分類精度下降問題，本文在檢測模型中引入了噪聲層模塊，旨在特征提取過程中引入隨機性，并利用差分隱私算法的期望穩健性進行最終的決策，以訓練一個對噪聲不敏感的深度偽造指紋檢測模型。通過對抗訓練來微調該模型的決策邊界為其嵌入后門，使嵌入后門后的決策邊界只發生輕微變化。采用概率選擇策略對深度偽造指紋檢測模型的神經元進行選擇性凍結，讓忠誠的用戶可解凍更多數量的神經元，以實現對該模型的主動保護。此外，還設計了一種水印驗證框架，攻擊者通過偽造觸發集來為模型植入后門水印，致使模型版權發生了混淆。當模型面對混淆攻擊時，所有者可通過時間戳的順序，對該模型版權進行驗證。實驗結果表明，本文設計的版權保護算法對多種不同攻擊具有一定的穩健性。

由于模型版權保護研究還處于起步階段，尤其是基于生物特征的神經網絡模型，目前還沒有統一的性能評價指標，如何為不同模型和不同的版權保護方法設計統一的指標是接下來需要研究的內容。