基于PIN稀疏量化索引调制与自适应索引置换的双重锁定AI模型保护方法

《IEEE Transactions on Artificial Intelligence》：Dual-Locking Learned AI Models: A PIN-Based Sparse QIM Watermarking and Adaptive Index Permutation Approach

【字体： 大 中 小 】 时间：2025年12月02日 来源：IEEE Transactions on Artificial Intelligence CS6.4

　　

随着人工智能（AI）技术在工业界的广泛应用，训练高性能神经网络（NN）所需的高昂成本与模型易被盗用的矛盾日益凸显。尽管多媒体内容保护领域已发展出成熟的水印技术，但AI模型保护面临独特挑战：其核心参数（权重和偏置）的微小改动可能导致准确性急剧下降，而行业应用对精度要求极高。现有保护方法如联邦学习侧重于分布式训练过程中的隐私保护，加密计算虽能实现密文推理但难以支持复杂深度学习，传统水印技术则易遭模型剪枝等攻击。如何在不影响性能的前提下实现模型可用性控制和所有权追溯，成为亟待解决的关键问题。

针对这一难题，Iva Vasic等人在《IEEE Transactions on Artificial Intelligence》发表研究，提出了一种双重锁定学习AI模型框架。该方法创新性地将密码学中的索引置换与通信领域的稀疏量化索引调制（Sparse QIM）水印相结合，通过两级保护机制实现模型功能锁定与身份绑定。具体而言，第一级采用密钥驱动的自适应索引置换技术，通过交换高幅度权重与低灵敏度权重的位置破坏模型内部表征；第二级则在偏置系数中嵌入与用户个人识别码（PIN）关联的盲水印，用于后续所有权验证。这种设计使模型在无密钥时功能失效，而授权用户可通过逆置换完全恢复性能，同时水印提供不可感知的身份认证。

关键技术方法包括：（1）构建权重/偏置向量的扁平化表示，将多层网络参数统一编码为一维序列；（2）基于排序的索引选择策略，按权重绝对值大小生成描述符索引向量L（公式8）；（3）随机化配对机制，对高/低权重索引子集进行均匀随机置换后形成密钥矩阵K（公式9）；（4）稀疏QIM水印嵌入，通过投影向量ε将PIN比特扩散到偏置系数段（公式15）；（5）针对Transformer架构的列向置换策略，专门处理词嵌入张量以保持锁定效果。实验使用MNIST、CIFAR-10/100、ImageNet-1K和SST-2数据集，覆盖全连接网络、ResNet系列CNN及ALBERT、DistilBERT等Transformer模型。

锁定机制有效性验证

通过对比随机置换与自适应置换的效果，发现自适应索引置换（表I）仅需少量密钥对（r=100）即可将全连接网络准确率从96.48%降至9.89%，而随机置换（图5）需置换近全部权重（r≥10⁴）才能达到类似效果。对于CNN架构，ResNet18在r=4时准确率即暴跌至0.93%，表明卷积网络对权重位置扰动更为敏感。偏置系数的置换实验（表A.I）显示其锁定效果较弱，但正因如此，其稳定性适合作为水印宿主。

水印不可感知性分析

如表II所示，在不同PIN长度（4-8位）下，所有网络的水印嵌入均未引起显著性能波动，全连接网络准确率变化小于0.05%，CNN因偏置通道的全局影响产生较大偏差（最大1.6%），但仍远低于业务容忍阈值。稀疏QIM通过将比特嵌入扩散到T长度段（公式15），使量化误差均值为Δ²/12，有效控制失真。

Transformer架构适应性

如表III所示，当对词嵌入层实施列向置换时，ALBERT模型在r=15000时准确率从92.66%降至50.11%，接近二分类任务的随机猜测水平。锁定全部嵌入张量（表A.III）可进一步强化效果，说明该方法能有效破坏Transformer的语义连贯性。

抗攻击鲁棒性评估

如表IV总结，双重锁定机制对典型攻击呈现互补防御特性：后锁定微调难以同时逆转索引置换与水印量化；模型剪枝会破坏密钥同步但导致功能丧失；权重重初始化虽可消除水印却无法恢复性能。对于PIN水印，实验通过LoRA微调模拟参数扰动（图4），显示偏置变化最大值|Δ_b|^max＜0.019远小于量化步长Δ/2=0.05，保证比特错误率BER＜10^-20。

该研究通过密钥驱动的索引置换与PIN绑定水印的协同作用，实现了神经网络模型的功能性锁定与身份认证双重目标。自适应权重选择策略使锁定效率相比随机置换提升两个数量级，而稀疏QIM水印在偏置系数中的嵌入证实了“高灵敏度参数适合锁定，低灵敏度参数适合水印”的设计哲学。特别值得注意的是，研究揭示了模型训练质量与锁定效果的相关性：优化不足的网络可能出现锁定后准确率不降反升的异常现象，这为模型诊断提供了新视角。未来工作可探索全密钥嵌入、误差校正码增强水印鲁棒性等方向。总体而言，该框架为AI模型知识产权保护建立了可验证、可逆转的技术路径，对商业AI服务、政府监管场景及学术工具的安全分发具有重要实践意义。