【技术实现步骤摘要】
基于PUF的卷积神经网络模型知识产权保护方法
[0001]本申请涉及人工智能
,特别涉及一种基于PUF的卷积神经网络模型知识产权保护方法。
技术介绍
[0002]运行在云环境中的卷积神经网络(CNN,Convolutional Neural Network)模型的产权保护最为直接的方法是在模型中嵌入水印,当模型被盗用时,训练者可以通过验证水印来声明模型的所有权。但是由于模型嵌入水印的参数与原始模型不同,因此非常容易检测到水印的存在,而且这种方法只有在模型被窃取之后,模型所有者维护权利时才会生效,无法保证模型不会被窃取。
[0003]对于依赖于计算加速器帮助,在现场可编程逻辑门阵列(FPGA,Field Programmable Gate Array)上运行的CNN模型,目前也有许多知识产权的保护方法。比如基于物理不可克隆函数(PUF,Physically Unclonable Function)的按设备付费方法、基于智能公共密钥基础设施和边缘计算的智能分发密钥认证的高效方案、将存储在安全可信环境中的密钥嵌入到模...
【技术保护点】
【技术特征摘要】
1.一种基于PUF的卷积神经网络模型知识产权保护方法,其特征在于,包括以下步骤:利用现场可编程逻辑门阵列实现仲裁物理不可克隆函数,获取所述现场可编程逻辑门阵列的唯一指纹;利用真数据集和伪数据集分别训练卷积神经网络,得到真卷积神经网络模型和伪卷积神经网络模型;根据所述仲裁物理不可克隆函数的响应,利用预设混淆算法将所述真卷积神经网络模型和所述伪卷积神经网络模型同一层的参数进行混合,得到最终卷积神经网络模型;根据所述仲裁物理不可克隆函数的响应,利用恢复算法生成恢复矩阵,将所述恢复矩阵与所述最终卷积神经网络模型中混淆层的矩阵进行相乘,得到所述最终卷积神经网络模型的计算结果。2.根据权利要求1所述的方法,其特征在于,所述利用现场可编程逻辑门阵列实现仲裁物理不可克隆函数,包括:在所述现场可编程逻辑门阵列上设计预设大小的仲裁物理不可克隆函数电路,为所述现场可编程逻辑门阵列提供唯一指纹,使得所述最终卷积神经网络模型仅运行在所述现场可编程逻辑门阵列上时,输出正确结果。3.根据权利要求1所述的方法,其特征在于,所述真卷积神经网络模型和所述伪卷积神经网络模型结构相同。4.根据权利要求1所述的方法,其特征在于,所述根据所述仲裁物理不可克隆函数的响应,利用预设混淆算法将所述真卷积神经网络模型和所述伪卷积神经网络模型同一层的参数进行混合,包括:所述仲裁物理不可克隆函数的响应位为1时,所述预设混淆算法中混淆矩阵的参数为所述真卷积神经网络模型的参数,否则,所述预设混淆算法中混淆矩阵的参数为所述伪卷积神经网络模型的参数。5.一种基于PUF的卷积神经网络模型知识产权保护装置,其特征在于,包括:设计模块,用于利用现场可编程逻辑门阵列实现仲裁物理不可克隆函数,获取所述现场可编程逻辑门阵列的唯一指纹;训练模块,用于利用真数据...
【专利技术属性】
技术研发人员:李大伟,任阳坤,刘镝,李世中,关振宇,孙钰,崔剑,刘建伟,
申请(专利权)人:北京航空航天大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。