随着互联网应用的普及,当今时代的信息量呈爆炸式增长。作为一种能在海量数据中获取知识和处理信息的技术,深度学习因其优秀的性能被广泛应用于数据挖掘、计算机视觉、自然语言处理等领域。作为深度学习技术实现的重要载体,深度学习模型本身具有巨大的应用潜力与商业价值,也因此面临着盗版和篡改等一系列安全问题。为了应对这些潜在的威胁,大量深度学习模型的保护策略应运而生,其中模型水印技术作为一种主动的保护方法,通过将特殊的水印信息嵌入模型,实现版权保护或完整性认证的功能。然而,这些水印信息的嵌入虽然对模型的性能影响较小,但仍会永久地修改模型参数,破坏模型的完整性,不能满足模型完整性认证应用的需求。此外,现有的模型水印方法难以定位模型的篡改区域,更无法修复被篡改的关键参数。因此,设计不损坏模型参数的模型无损水印方法,并构建包含模型篡改定位和修复功能的完整性认证方案已成为当前研究的迫切需求。根据模型使用者能否获取模型内部结构和参数信息,当前深度学习应用主要分为白盒模型和黑盒模型两种场景。为了在不同场景下实现深度学习模型完整性认证方案,本文提出两种不同的无损水印方法:针对内部信息可以被完全获取的白盒模型,本文提出一种可逆水印方法,使模型使用者在完全重构模型参数的同时根据提取的水印信息实现完整性认证、篡改定位和修复功能;针对内部信息无法被获取,只能通过远程访问的黑盒模型,本文在不修改模型参数的情况下提出一种无修改水印方法,使模型使用者仅通过输入输出数据实现模型的完整性认证。此外,为了应对攻击者和不可靠存储平台对模型的篡改攻击,本文通过结合两种无损水印方法和完整性认证方案,设计共享模型的完整性认证策略,以保护深度学习模型的数据安全。本文的主要研究内容和创新点概括为:1、提出一种白盒模型可逆水印方法本文提出一种白盒模型可逆水印方法,通过设计参数重要性衡量标准和数据处理策略,构建水印嵌入载体,利用可逆信息隐藏技术实现模型可逆水印的嵌入与提取,克服已有方法永久修改模型参数的局限性,使模型使用者在提取水印信息的同时能完全重构模型参数。此外,本文还提出两种白盒模型可逆水印的提升方案,通过改进参数重要性衡量指标并增加参数分块操作,进一步提高模型可逆水印的嵌入容量,降低水印嵌入对模型性能的影响。实验结果表明,本文提出的白盒模型可逆水印具有脆弱性,方法具备严格的可逆性,水印的嵌入对模型性能影响极小,模型使用者在提取出水印信息后能够完全重构模型参数,有效地保留模型的完整性。2、提出一种基于可逆水印的白盒模型完整性认证方法本文提出一种基于可逆水印的白盒模型完整性认证方法,通过结合可逆水印保留模型完整性的优势,分别实现白盒模型整体完整性认证和局部完整性认证,包括篡改检测、篡改定位和篡改修复的功能。在整体完整性认证中,模型持有者利用可逆水印的方法将包含模型整体特征的水印信息嵌入模型参数中,模型使用者通过比较提取的水印信息与重构模型生成的特征信息实现模型整体的完整性认证;在局部完整性认证中,模型持有者通过将模型参数分块并构建块映射序列,依次嵌入恢复水印和认证水印,使模型使用者通过提取的水印信息定位篡改区域,修复篡改参数。此外,本文结合不同限制条件下攻击者对模型参数篡改策略的差异,讨论不同攻击场景下的篡改参数修复方案。实验结果表明,这两类完整性认证方法都能准确地检测出攻击者对模型参数的篡改,局部完整性认证方法还可以定位篡改区域,并有效地修复篡改参数。3、提出一种黑盒模型的无修改水印方法与完整性认证方法本文提出一种黑盒模型的无修改水印方法与完整性认证方法,通过迭代构造一组紧贴模型决策边界的输入数据,并利用特定的编码算法编码输出结果,表征无修改水印信息,使模型使用者在无法修改和重构模型参数的情况下提取水印。在此基础上,本文提出一种黑盒模型完整性认证方法,使模型使用者在只能远程访问模型的情况下,通过将预先共享的数据输入模型,提取水印信息,实现模型的完整性认证。实验结果表明,生成的无修改水印能够有效刻画决策边界信息,黑盒模型的整体完整性认证方法能够准确地检测出攻击者对模型的篡改行为,进一步扩展模型完整性认证的应用场景。4、提出一种共享模型的完整性认证方案本文提出一种共享模型的完整性认证方案,通过结合可逆水印与无修改水印方法,针对共享模型分别设计使用者在远程访问模型和本地下载模型两种情况下的完整性认证策略。该方法能够应对潜在攻击者篡改模型参数和不可靠存储平台篡改模型参数两种攻击行为,并为模型持有者和存储平台提供篡改行为的预警提示,降低共享模型的使用风险,保护模型在共享与传递过程中的完整性。实验结果表明,共享模型的完整性认证方案能够在较低的时间代价下,有效地检测出攻击者的篡改行为,保护深度学习模型的数据安全。