基于4D-Arnold不等長映射的深度隱寫模型參數加密研究

中圖分類號：TP309.7 文獻標志碼：A 文章編號：1000-2367（2025）04-0066-08

圖像隱寫作為信息安全領域的重要研究分支，近年來多與深度學習相結合.利用卷積神經網絡局部連接的特點，提取圖像高維特征，將秘密信息嵌人最佳區域，有效提高了圖像隱寫的安全性、隱蔽性、魯棒性和隱寫容量[1].基于深度學習的隱寫模型訓練過程不僅需要硬件計算資源[2]、圖像數據集和設計精良的網絡結構，還需要模型剪枝、蒸餾等技術來進一步優化模型[3.所以，一個訓練完備的隱寫模型具有很高的經濟價值.當模型被第三方攻擊者惡意盜取并使用后，版權所有者將會遭到不可估量的經濟損失.此外，圖像隱寫模型作為隱蔽通信技術，一旦被盜用，將會導致個人隱私、商業數據或機密信息的泄露[4]，造成不可挽回的損失和后果.因此，對于深度隱寫模型的保護迫在眉睫.

在圖像隱寫模型研究過程中，訓練階段通常采用預訓練模型或隨機初始化模型參數，在投入數據集、硬件算力和模型優化技術等成本后得到訓練完備的模型參數.因此，深度模型保護往往通過對深度模型的卷積層權重參數進行加密，混淆權重參數之間的相關性，從而降低和破壞模型原始性能，即使攻擊者截獲模型，也無法正常使用并從提取圖像中獲取秘密信息.目前，模型加密研究的目標模型多為圖像分類、目標檢測和自然語言處理[5-7]等，對于圖像隱寫模型的加密研究較少.同時，部分研究工作在模型加密過程中需要對模型重新訓練或微調，不僅會損耗計算資源，還會對模型性能產生一定的影響.此外，模型水印[8]也是模型保護的一個重要思路，模型水印主要關注模型版權的驗證問題，即當模型版權出現爭議時，可以通過提取水印來確定版權歸屬.模型水印方法雖然在魯棒性、嵌入容量和有效性等方面效果可觀，但模型水印方法均需對模型進行重訓練，影響深度模型原始性能.而且模型水印方法僅能在發現侵權行為后被動保護、事后取證和維權，無法在事前阻正模型的盜用.當模型水印方法應用于圖像隱寫模型保護時，事后保護也無法彌補個人隱私和機密數據泄露所造成嚴重后果。

為了確保模型加密安全性的同時，不對模型性能產生任何影響，本文基于Arnold不等長映射提出了一種新的深度隱寫模型參數保護方法.方法通過置亂一擴散的加密方案對深度隱寫模型提取網絡參數進行加密，在保證加密有效性的同時，提高了模型參數加密的安全性.主要工作包括：1）置亂階段，提出了 4D-Ar-nold 不等長映射，實現對卷積層參數跨通道，跨卷積核的可逆隨機置亂.2）擴散階段，設計了一種相鄰參數擴散機制，按照既定擴散路徑對卷積層參數進行擴散，在相鄰參數間建立相關關系，利用雪崩效應放大參數變動的影響.3）實驗結果表明，本文方法在隱寫模型秘密信息提取中，可以顯著降低其視覺效果和客觀性能指標.4）將本文方法拓展到了圖像分類模型參數保護領域，驗證了本文算法在其他深度模型參數保護中的適用性.

1相關工作

根據模型保護的應用場景不同，可以將模型保護的相關工作分為模型水印和模型加密2種類型.模型水印[9]按照是否依賴內部參數，可分為白盒水印和黑盒水印.其中，黑盒水印基于神經網絡在輸出端設置后門，通過特定的觸發集來驗證模型版權，無須獲取模型內部參數或網絡結構.MERRER 等[10]提出一種基于對抗樣本的黑盒水印模型保護方法，該方法通過在部分樣本中添加擾動，重新標記樣本標簽，當發生版權糾紛時，可通過驗證對抗樣本來核實IP歸屬問題.白盒水印依賴于深度模型內部參數或者網絡結構，一般在模型中通過重新訓練嵌人水印.WANG等[11]提出一種基于生成對抗的白盒水印模型保護方法，以模型作為水印的生成器，同時將檢測模型內部參數變化的模塊作為鑒別器，通過對抗訓練過程，提高了水印嵌入的容量及其不可檢測性.雖然基于水印的深度模型保護在水印嵌入容量、隱蔽性和魯棒性等方面表現較好，但模型水印保護方法均需對模型進行重訓練，在一定程度上會影響模型性能.同時，將版權保護問題置身于模型被第三方竊取和使用的場景之中時，模型水印雖然可以驗證版權，但無法阻止第三方對模型功能的使用.而模型加密通過對模型網絡結構或模型的內部參數進行加密，可以實現對深度模型知識產權的保護.LIN 等[12]基于圖像分類和自然語言處理任務提出了ChaoW深度模型保護框架，該框架通過對權重參數位置置亂，將卷積或全連接層的卷積核置亂為混沌狀態，實現對深度模型LinkNet，GoogleNet 和 VGGl6 模型的加密.PY-ONE 等[13」基于訓練前加密保護的場景，對圖像進行逐塊像素變換，然后利用預處理后的圖像進行訓練，從而保護模型.此方法雖然可以保證加密前后模型精度和時間開銷不變，但在模型每次推理前對圖像的預處理環節，增加了任務整體運行開銷.

上述方法在圖像分類、語義分割等任務中可以有效保護模型，但對于圖像隱寫模型的保護效果不夠理想.由于人眼的生理特性，在觀察圖像時，人們難以察覺出在紋理復雜區域的微小變化[14].而圖像隱寫模型的輸入和輸出均為圖像，所以和其他類型數據輸出的模型相比，圖像隱寫模型的加密難度較高.DUAN等[15]提出了一種圖像隱寫模型參數保護方法，該方法通過Josephus 置亂對深度隱寫模型中的卷積參數進行置亂，實現對模型的加密保護.當該方法對提取網絡全部卷積層參數置亂后，其提取結果基本不含語義信息，但仍含有色彩，而且通過置亂難以保證算法的安全性.針對上述問題，本文基于4D-Arnold 不等長映射提出了一種深度隱寫模型參數加密方法.可以針對圖像隱寫模型，對模型卷積層參數進行置亂和擴散，從而提高模型加密的效果和效率.

2本文方法

首先分析圖像隱寫模型的參數和網絡結構，確定部分加密的策略.然后介紹本文方法的整體框架.最后，對置亂階段的4D-Arnold不等長映射和擴散階段的相鄰參數擴散機制進行了詳細闡述

2.1 深度隱寫模型加密分析

基于深度學習的圖像隱寫模型由不同的模塊組成，一般可分為隱藏網絡和提取網絡.如附錄圖 S1所示，發送方通過隱藏網絡將秘密圖像隱藏在載體圖像中，使得載體圖像和載密圖像在主觀視覺和客觀性能指標上保持一致性.接收方通過提取網絡從載密圖像中提取出秘密圖像，使得提取出的秘密圖像和原始秘密圖像保持一致性.本文方法立足Baluja[16]、 UDH^[17] 、StegoPnet[18]和U-Net[19]4種具有代表性的深度圖像隱寫模型，對其提取網絡的參數值進行加密，實現隱寫模型的版權保護.將4個模型網絡結構中跳躍連接等結構去除后，各模型提取網絡卷積層結構如附錄圖 S2所示.雖然各個模型的網絡組成各不相同，但其主要組成部分均為卷積層.卷積層能夠通過卷積核從載密圖像紋理豐富的高頻區域中提取圖像的高維特征，從而完成秘密圖像的隱藏和提取的任務.因此對隱寫模型參數的加密應基于卷積核參數，可以通過對卷積核參數的置亂和擴散，破壞隱寫模型隱蔽通信的功能.

在隱寫模型的加密保護中，僅對隱藏網絡或提取網絡卷積層加密即可破壞雙向通信的閉環，但和提取網絡相比，隱藏網絡的參數量較大.附錄表S1和附錄表S2給出了4種深度隱寫模型提取網絡和隱藏網絡的網絡結構和參數量統計.從參數分布情況可以發現，U-Net和UDH隱藏網絡參數量比其提取網絡高3個數量級，且4種模型隱藏網絡的深度遠遠超過其提取網絡.此外，考慮到圖像隱寫的實際應用場景，若選擇隱藏網絡進行加密，非法授權者仍然可以通過竊取的提取網絡和載密圖像實現秘密信息的提取，對隱蔽通信雙方造成了安全威脅.而對提取網加密，即使攻擊者截獲載密圖像和提取網絡，仍無法獲得正確的提取結果.所以本文方法采用僅加密提取網絡的方案來保護模型.

2.2 方法框架

本文方法的整體框架如圖1所示，隱寫模型M可分為隱藏網絡H和提取網絡R.雖然僅對隱藏網絡 H加密時可以防止非法用戶的使用，但仍然以通過提取網絡R對截獲的載密圖像進行提取，無法保證秘密圖像傳輸的安全性.因此，在確保安全性的前提下，僅對提取網絡R進行加密，可以提高加密和解密過程的效率.提取網絡主要由卷積層組成，通過對卷積層中卷積核參數進行加密，即可實現對模型的加密保護.

本文方法采用置亂-擴散的加密模式，首先采用4D-Arnold不等長映射算法，將提取網絡R第 n 層卷積核參數在4D空間中進行跨卷積核，跨通道置亂，打亂各個參數的順序.然后再通過相鄰參數間的擴散，利用雪崩效應進一步提高算法抵抗差分攻擊的能力.最后得到加密后的提取網絡 R^′ ，進而獲得加密后的隱寫模型 M^′ .此外，本文方法采用對稱加密機制，加密和解密過程密鑰相同，且加密和解密過程互逆.當 M^′ 通過公共信道安全傳輸至接收端后，首先將模型提取網絡中各卷積層參數進行相鄰參數逆擴散，打破參數值之間的相關性；然后對參數進行4D-Arnold不等長逆映射后得到 R^′′ ；最后和隱藏網絡組合得到和原始模型M一致的 M^′′ ：

2.3 4D-Arnold不等長映射

深度隱寫模型提取網絡參數主要集中于卷積層的卷積核，而各個卷積層的卷積核參數實質上為一個4D張量 T（c，n，l，v） ，其中 c 表示輸入通道數， n 表示輸出通道數，和 υ 分別表示卷積核長寬尺寸，一般情況下l=v .由于各卷積層的功能作用各異，張量的尺寸大小也各不相同.為了保證參數加密的安全性和有效性，本文方法中設計了一種針對張量的4D-Arnold不等長映射.

經典 Arnold 映射雖然具有算法簡單，運行時間短，置亂效果好的特點，但同時也具有周期性.當應用于圖像加密等信息安全領域時，如果變換次數恰好為周期的整數倍，那么各像素點的值不會發生變化，最終造成無效加密.同時，經典Arnold映射對2D空間域大小存在限制性，即要求2D空間的橫縱等長.

2D-Arnold不等長映射[20]是在經典 Arnold 映射的基礎上改進的工作，和傳統Arnold 映射相比，它可以實現不等長尺寸的2D置亂，同時擺脫周期性的限制.此外，利用反變換方程解密，算法效率更高.對于 M×N （ ）的 2D矩陣，可使用2D-Arnold不等長映射對其內部數據進行置亂，在不改變數據值的同時，變換其位置.當 M 和 N 互為素數時，正、逆變換方程為

其中， b=1，a=1，d=1. 通過上述變換方程即可對 M 和 N 不等且互為素數的2D空間實現位置置亂.當 M 和 N 互為合數，即存在除1以外的公因數時，正、逆變換方程為

其中， b=1，a=1，c=N/gcd（M，N），gcd 為最大公約數函數.通過上述變換方程即可對 M 和 N 不等，且互為合數的2D空間實現位置置亂.

如圖2所示，4D-Arnold不等長映射算法的輸入為原始卷積層的4D張量參數，為了保證在卷積核核內參數置亂的前提下，實現跨通道和跨卷積核的模型參數置亂.算法引人2D不等長 Armold 映射，每輪置亂 4D張量中的2D（附錄表 S3）.例如，當采用 （c，n） 作為坐標平面時， （l，v） 為2D參數平面，通過Arnold不等長映射可將 c×n 個尺寸為 l×v 的參數平面在空間內進行置亂.此外，為了保證在4D空間中參數置亂的隨機性，算法基于Logistic映射設計了一種置亂順序生成器，通過密鑰 x₀ 和 μ 生成相應的置亂順序，以達到更好的置亂效果.

經典Logistic 映射 ^[21]X_n+1=X_n×μ×（1-X_n），μ∈[0，4]，X₀∈[0，1] 具有不確定、不可重復和不可預測等特性，在密碼學中應用廣泛.研究表明當滿足條件 μ∈[3.569 945 6，4] ， X_?0∈[0，1] 時，Logistic 映射處于混沌態.在此范圍之外，生成的序列不具有偽隨機性.方法利用Logistic生成長度為 1000+k_c 的混沌序列，取末尾 k_c 個值作為混沌序列 C .如式（4）所示，可將混沌序列映射為置亂順序 O=mod（floor（1 000×C） ，6），用于控制每輪映射的坐標平面和參數平面 .O 中元素值為 1，2，…，6. 如附錄表S3所示，當 O（i）=1 時，即選擇 （c，n） 作為坐標平面，對 （l，v） 形成的參數平面進行置亂.

2.4 相鄰參數擴散機制

為了進一步增加參數加密的抗攻擊性，在置亂操作結束后，設計了參數擴散機制：

在模型卷積層參數中， T（c_x，n_y，l，v） 表示 n_y 卷積的 c_x 通道上的參數平面，擴散機制按照\"Z\"形擴散路徑，從左到右、自上而下的順序，對各卷積核每個通道中的參數平面進行相鄰參數擴散.即通過擴散系數 d 將右側參數值疊加到左側參數，在水平方向上將相鄰參數之間互相關聯起來，以提高參數加密的抗攻擊性.

逆擴散機制的系統方程為

逆擴散系數和擴散系數相同.在接收端按照從右到左、自下而上的順序，對各卷積核每個通道上的參數平面進行相鄰參數逆擴散，可以恢復出參數.

3 實驗結果與分析

實驗環境如下：硬件環境為8.00GBRAM，Intel（R）Core（TM）i5-12400CPU $＼textcircled { ＼omega } ＼ 2 . 5 ＼ ＼mathrm { G H z }$ ；軟件環境為Windows 10，Python 3.6.13，MATLAB2018a.實驗以4種具有代表性的深度隱寫模型作為加密對象，采用本文加密方法實現了對模型的加密保護.此外，實驗從ImageNet 圖像數據集[22隨機選取10 O00張圖像用于驗證加密算法的有效性以及對客觀性能指標的測試.

3.1 主觀效果分析

為了減小時間開銷，本文加密算法僅對 Baluja，UDH，StegoPnet 以及U-Net 模型的提取網絡進行了實驗.如附錄圖S3所示，第 1～3 行分別為載體圖像、載密圖像和秘密圖像，第4行為對各個模型提取網絡加密后提取出來的秘密圖像.顯然，當對4個模型提取網絡的全部卷積參數進行加密后，其提取圖像在主觀視覺上均顯示為純黑色，從中無法獲取任何語義信息.因此，通過對隱寫模型提取網絡的全部卷積參數加密，可以有效保護深度隱寫模型，即使載密圖像和提取網絡被第三方截獲，也無法恢復出原始秘密信息.

3.2 客觀指標分析

從均方誤差（mean squared error，MSE）、峰值信噪比（peak signal to noise ratio，PSNR）、結構相似性（structure similarity index measure，SSIM）和學習感知圖像塊相似度（learned perceptual image patch simi-larity，LPIPS）[23-24]這4個評價指標，來度量深度隱寫模型加密后提取出圖像的質量，以證明模型原始功能的喪失，從而有效保證模型的安全.

實驗從ImageNet數據集中選取10000張圖像對加密后的模型進行驗證，分別對4個目標隱寫模型提取網絡的加密結果從上述4個角度進行了客觀分析，并以相應指標的平均值作為最終結果.表1給出了Bal-uja，StegoPnet，UDH和U-Net這4種深度隱寫模型在無加密，全加密和全解密模式下的評價指標.當對4個模型提取網絡卷積層參數全部加密時，其 SSIM值均接近于O;無加密模式下 SSIM值均接近于1，兩者差距較大.其次，全部加密時LPIPS值均大于0.96，無加密時的LPIPS 值接近于0，兩者存在較大差異.同時，無加密時的PSNR均小于7dB，結果表明經過加密，4個模型提取網絡得到的秘密圖像質量很差.最后，相較于無加密時0.001的MSE，全部加密時MSE始終在0.27以上，結果說明加密后提取出的圖像和原始秘密圖像在像素層面存在較大差異.因此，從4個模型的各項客觀指標來看，提取網絡參數全加密的方案可以有效保護深度隱寫模型的安全.在無加密和全解密狀態下，4種模型的視覺效果和各個評價指標上的表現均保持一致，說明本文方法在保證深度隱寫模型安全的同時，可以無損解密出原始秘密圖像.

3.3 密鑰敏感性分析

本文算法的密鑰 K=（t，μ，x₀，d） ，其中 Ψ_t 為參數置亂階段Arnold映射迭代次數， μ 和 x_?0 為Logistic置亂順序生成器的控制參數， d 為相鄰參數擴散階段的擴散系數.基于Baluja隱寫模型和U-Net隱寫模型對密鑰敏感性進行了測試，如附錄圖 S4（a）所示為基于Baluja 隱寫模型的實驗，其加密和解密密鑰為 K=（30 ，3.98，0.5，1 000） ，密鑰正確時可以實現模型參數的解密和秘密圖像的正常提取.若對密鑰添加擾動，令擴散系數 d=1 000+10^-13 ，此時無法恢復模型提取網絡的正常功能，提取結果為單一黑色圖像.如附錄圖S4（b）所示為基于U-Net隱寫模型的實驗，其加密和解密密鑰為 K=（30，3.98，0.5，1 000） ，可以實現模型參數的解密和秘密圖像的正常提取.若令擴散系數 d=1 000+10^-13 ，同樣不能恢復模型提取網絡的正常功能，無法獲取到任何語義信息.綜上所述，本文方法密鑰敏感性較好，密鑰的微小誤差即可導致解密失敗.若模型具有L（Lgt;3） 層卷積層，則其密鑰空間最小為 1×10^13L ，足以抵御暴力破解，進一步證明本文方法具有較高的安全性.

3.4 圖像分類模型的加密保護

在計算機視覺研究領域中，基于深度學習的圖像分類被廣泛研究.圖像分類模型通過卷積層提取圖像高維特征，然后通過池化操作選擇特征，過濾信息.模型最后通過全連接層對提取特征進行非線性聚合并完成圖像分類.所以，圖像分類模型的核心同樣是卷積層參數，除圖像隱寫模型之外，圖像分類模型的核心同樣體現在卷積核參數.因此，本文方法適用于圖像分類模型.以Pytorch 內置預訓練模型 VGG16 模型[25]為例來驗證本文方法對圖像分類網絡的加密效果，其原始分類精度為 61.96% .VGG16模型由13層卷積層組成，包含14 710464個參數.實驗從ImageNet數據集中選取1000類自然圖像，共5000張，用于模型分類精度的測試.如表2所示，實驗對VGG16模型各層卷積分別加密后，精度各不相同，在 0.1% 上下波動，最高和最低精度相差 0.098% .結果表明對卷積層分別加密后，其分類精度均接近于隨機分類的概率（各層均約為 0.1% ）相比ChaoW方法，本文方法在VGG16模型中的分類準確率更為穩定.因此，本文方法適用于圖像分類模型的加密保護，并且在VGG16模型的加密保護上優于ChaoW方法.

4總結

由于圖像的視覺冗余性較高，目前的隱寫模型加密算法對其保護能力較弱，安全性不高.本文基于 2D-Arnold 不等長映射和Logistic 映射構造了一種4D-Arnold不等長映射，對參數置亂.同時設計了相鄰參數擴散機制，進一步提高了本文方法的有效性和安全性.同時，對4種具有代表性的深度隱寫模型加密后，提取結果的主觀視覺效果和PSNR，SSIM，MSE 和LPIPS指標均可表明加密后模型功能完全喪失，即本文方法可以安全有效地保護深度隱寫模型不受第三方竊取和使用.此外，基于VGG16 圖像分類模型的實驗結果表明，本文方法同樣適用于圖像分類模型的加密保護.在未來的工作中，可將本文算法拓展研究，使其應用于其他具有卷積結構的深度模型參數加密保護工作.

附錄見電子版（DOI：10.16366/j.cnki.1000-2367.2024.01.27.0002）.

參考文獻

[1] SETIADI DRIM，USADS，ANDONOPN，etal.Digitaliagesteganographysurveyandinvestigatio（goal，sessment，eod，d velopment，and dataset）[J].Signal Processing，2023，206 ：108908.

[2] 高嵐，趙雨晨，張偉功，等.面向GPU并行編程的線程同步綜述[J].軟件學報，2024，35（2）：1028-1047. GAOL，ZHAOYC，ZHANG WG，etal.Surveyonthreadsychronizationin GPUparalelprogramming[J]JurnalofSoftware，2024， 35（2） ：1028-1047.

[3] CORTINAS-LORENZOB，PEREZ-GONZALEZF.Adam and theants：0ntheinfluenceof teoptimizationalgorithmonthedetectability of DNN watermarks[J].Entropy，2020，22（12） ：1379.

[4] ABD-EL-ATTYB.Arobust medicalimage steganographyapproachbased onparticleswarm optimizationalgorithmandquantum walks [J].Neural Computing and Applications，2023，35（1） ：773-785.

[5] 魏甫豫，張振宇，梁桂珍.基于卷積神經網絡下昆蟲種類圖像識別應用研究[J].河南師范大學學報（自然科學版），2022，50（6）：96-105. WEIFY，ZHANG ZY，LIANGG Z.Researchonapplicationofinsect species imagerecognitionbasedonconvolutioal neural network [J].Journal of Henan Normal University（Natural Science Edition），2022，5O（6）：96-105.

[6] KAURR，SINGHS.Acomprehensivereviewofbectdetection withdeeplearingJDigital SignalProcessing2023，1320812.

[7] TREVISO M，LEEJU，JICetalEficient methodsfonaturallanguageproesing：aurveyJ].ransactionsof theAssociationfor Computational Linguistics，2023，11：826-860.

[8] TRAMERF，ZHANGF，JUELSA，et al.Stealing machine learning models via prediction APIs[C]//Procedingsof the25thUSENIX Conference on Security Symposium.[S.l.： s.n.]，2016： 601-618.

[9] LI Y，WANG H X，BARNIM.A surveyof Dep Neural Network watermarking techniques[JNeurocomputing，2021，461：171-193.

[10]LE MERRER E，PEREZ P，TREDANG.Adversarial frontierstitching forremote neuralnetwork watermarking[J].NeuralComputing and Applications，2020，32（13） ：9233-9244.

[11]WANGTH，KERSCHBAUMF.RIG：covertandrobustwhitebox watermarkingofdeepneuralnetworks[C/ProceedingsoftheWeb Conference 2021.New York：ACM，2021：993-1004.

[12]LINNHENXM，UH，etal.Chaoticeights：aovelapproachtprotectintelectualpropertyofepeuralnetworksEEE Transactions on Computer-Aided Design of Integrated Circuits and Systems，2021，40（7） ：1327-1339.

[13]PYONEA，MAUNG M，KIYA H，etal.Training DNNmodel withsecret keyformodelprotectionC]//2020IEEE9thGlobalConfer ence on Consumer Electronics.Piscataway：IEEE Press，2o2o：818-821.

[14]高敏娟，黨宏社，魏立力，等.全參考圖像質量評價回顧與展望[J].電子學報，2021，49（11）：2261-2272. GAO MJ，DANH，WELL，etalReviewndprospectoffullreferenceimageualtsessmentJActaElectronicaSica，1， 49（11）：2261-2272.

[15]DUANXT，SHAOZQ，WANGWX，etal.Asteganography modeldata protectionmethodbasedonscramblingencryptionJComput ers，Materials amp; Continua，2022，72（3）：5363-5375.

[16]BALUJAS，BALUJAS.HidingimagesinplainsightC]/Proceedingsofthe3lstInternationalConferenceonNeuralInformationPro cessing Systems.New York：ACM，2017：2066-2076.

[17]ZHANGCN，BENZ P，KARJAUVA，et alUdh：Universal deep hidingforsteganography，watermarking，andlightfield messaging[J]. Advances in Neural Information Processing Systems，2020，33：10223-10234.

[18]DUANXT，WANGWX，LIUN，etal.StegoPNet：imagesteganogaphywithgeneralizationabilitybasedonpyramidpoolingmoduleJ]. IEEE Access，2020，8：195253-195262.

[19]DUANXTJIAK，LIBX，etal.Reversibleimage steganographyschemebasedona U-NetstructureJEEE Acess2019，：9314- 9323.

[20]SHAOLPQIZ，GAOHJ，etal2DtriangularmappingsandtheiraplicationsinsramblingrectangleimageJ]InformatioTechol ogy Journal，2007，7（1） ：40-47.

[21]王鮮芳，王曉雷，王俊美，等.一種動態貓映射混沌圖像加密算法[J].河南師范大學學報（自然科學版），2018，46（5）：110-117. WANG XF，WANG XL，WANGJM，etal.Achaoticimage encryptionalgorithm baseddynamiccatmap[J].Journalof HenanNormal University（Natural Science Edition），2018，46（5）：110-117.

[22]DENGJONGWOCHERR，etalIageNet：alargescaleherarchicalimagedatabaseC/09IEEECoferenceonCuterVi sion and Pattern Recognition.Piscataway：IEEE Press，2oo9：248-255.

[23]ZHANGRISOLAPEFROSAA，etal.Theunreasonable efectivenessofdepfeaturesasaperceptual metric[C]/2018 IEE/CVF Conference on Computer Vision and Pattern Recognition.Piscataway：IEEE Press，2O18 ：586-595.

[24]胡波，謝國慶，李雷達，等.圖像重定向質量評價的研究進展[J].中國圖象圖形學報，2024，29（1）：22-44. HUB，XIEGQ，ILDetalPrgressof imageretargetingqualityevaluation：asurveyJouralofmageandGrahics49： 22-44.

[25]SIOAK，ZSSERAN.VerydeponvolutionalnetworkforlargescaleimagerecognitionEB/OL].023-12-tps：// arxiv.org/abs/1409.1556v6.

Deep steganography model parameter encryption method based on 4D-Arnold unequal length mapping

Duan Xintao ^a，b ，Li Zhuang?， Zhang Ena，b

.College of Computerand Information Engineering；b.KeyLaboratoryof Educational Artificial Inteligenceanc Personalized Learning in Henan Province，Henan Normal University，Xinxiang 453Oo7，China）

Abstract：The training process of steganographic models requires alarge amount of data and technical investment.When the steganographymodelisstolen，it willcausesecuritythreatsandeconomiclosses toitsowner.Topreventthetheftofdeep steganography models，we proposea method for protecting theparametersof the steganography modelbasingon 4D-Arnold unequallength mapping.Themethodapliesascrambling-difusionstrategy.Firstly，atthescramblingstage，wesramble the convolutionallayerparametersacross convolutionalcoresand channels through4D-Aronld mapping.Secondly，atthedifusion stage，we designaneighboring parameterdiffusion mechanismto achieve numerical difusion betwen twoadjacent parameters andcompletetheencryptionofthe parametersof thedeepsteganography model.Finall，third partiescan'tobtainanysecret informationand werealizetheprotectionof the steganography model.Experiment resultsshowthatthe method significantlyreduces the original performanceof the model in terms ofobjective indicators（PSNR，MSE，LPIPSand SSIM）and visualeffects， andthehiddencommunicationfunctionofthe modelislost.Inaddition，theproposed methodcanalsobeapliedtotheecryptionprotectionofotherdeepmodelssuchasimageclasificationwhileensuringtheeffectivenessandsecurityoftheencryption of the steganography model.

Keywords ： AI model security； parameter encryption; 4D-Arnold unequal length mapping; image steganography model convolutional neural network

附錄