一种基于横向联邦学习的神经网络模型确权方法及系统与流程

1.本发明涉及深度学习模型安全技术领域，具体而言，涉及一种基于横向联邦学习的神经网络模型确权方法及系统。


背景技术：

2.近年来，基于数据驱动的深度学习技术在识别与分类等确权上已经具备稳定且精确的效果，在生物医疗、金融风控、自动驾驶、网络安全等许多领域被广泛应用。训练一个深度学习模型包含了大量工作，模型训练过程需要大量的训练数据、长时间的训练耗时、消耗大量的软硬件资源等，往往需要经年累月的投入才能得到高效稳定的成品模型，然而窃取和拷贝他人训练好的模型却十分容易，因此，如何确定模型归属是急需解决的问题。


技术实现要素：

3.本发明的目的在于提供一种基于横向联邦学习的神经网络模型确权方法及系统，其通过确权协调方通过黑盒水印数据集来预训练初始神经网络模型并将模型共享给多个确权参与方，各个确权参与方将自身的白盒水印嵌入参数嵌入模型并在本地训练，将本地训练得到的模型通过安全聚合的方式在确权协调方进行聚合和再训练，在保证各参与方数据安全的情况下得到同时携带黑盒水印和白盒水印的神经网络模型，便于通过一个模型即可同时对待确权的神经网络模型进行黑盒水印检测和白盒水印检测，且将两种水印检测方式相结合，可以更加精准地确定待确权的神经网络模型的归属。
4.本发明的实施例是这样实现的：
5.第一方面，本技术实施例提供一种基于横向联邦学习的神经网络模型确权方法，包括以下步骤：
6.至少一个确权协调方使用预设的黑盒水印数据集预训练初始神经网络模型，并将预训练后的初始神经网络模型共享给多个确权参与方；
7.各个确权参与方根据自身的白盒水印嵌入参数在本地训练所述初始神经网络模型，对应得到各确权参与方的本地神经网络模型；
8.所述确权协调方聚合所述各确权参与方的本地神经网络模型后进行再训练，得到带水印的神经网络模型；
9.将待确权神经网络模型进行黑盒水印检测和白盒水印检测，并基于所述带水印的神经网络模型对检测结果进行判断，得出所述待确权神经网络模型所归属的确权参与方。
10.在本发明的一些实施例中，所述各个确权参与方根据自身的白盒水印嵌入参数在本地训练所述初始神经网络模型，对应得到各确权参与方的本地神经网络模型的步骤具体包括：
11.各确权参与方根据初始神经网络模型的结构生成自身的白盒水印嵌入参数；
12.各确权参与方基于自身的白盒水印嵌入参数构建所述初始神经网络模型的损失函数；
13.各确权参与方基于所述损失函数本地训练所述初始神经网络模型，得到各自的本地神经网络模型。
14.在本发明的一些实施例中，所述确权协调方聚合所述各确权参与方的本地神经网络模型后进行再训练，得到带水印的神经网络模型的步骤具体包括：
15.各确权参与方本地迭代训练所述初始神经网络模型多次，得到带白盒水印的本地神经网络模型；
16.各确权参与方基于安全聚合协议将各自带白盒水印的本地神经网络模型发送到所述确权协调方进行聚合，并对聚合得到的模型进行再训练；
17.重复上述步骤多次，直到满足预设的训练条件则结束训练，得到携带黑盒水印及白盒水印的神经网络模型。
18.在本发明的一些实施例中，所述将待确权神经网络模型进行黑盒水印检测和白盒水印检测，并基于所述带水印的神经网络模型对检测结果进行判断，得出所述待确权神经网络模型所归属的确权参与方的步骤具体包括：
19.利用预设的黑盒水印数据集对所述待确权神经网络模型进行检测，获取黑盒水印检测精度；
20.将获得的黑盒水印检测精度与所述带水印的神经网络模型的黑盒水印检测精度进行对比，得到第一对比结果；
21.各确权参与方对所述待确权神经网络模型添加白盒水印后进行白盒水印对比，得到第二对比结果；
22.根据所述第一对比结果和所述第二对比结果判断出待确权神经网络模型所归属的确权参与方。
23.在本发明的一些实施例中，所述各确权参与方对所述待确权神经网络模型添加白盒水印后进行白盒水印对比的步骤具体包括：
24.各确权参与方将自身的白盒水印嵌入参数嵌入所述待确权神经网络模型；
25.各确权参与方计算所述待确权神经网络模型的白盒水印私有参数；
26.将计算得到的白盒水印私有参数与各确权参与方预设的白盒水印私有参数进行比较。
27.在本发明的一些实施例中，所述各确权参与方预设的白盒水印私有参数基于各确权参与方的数量和各确权参与方的白盒水印嵌入参数确定。
28.在本发明的一些实施例中，所述根据所述第一对比结果和所述第二对比结果判断出待确权神经网络模型所归属的确权参与方的步骤具体包括：
29.若第一对比结果包括黑盒水印检测通过，且第二对比结果包括白盒水印检测通过，则所述待确权神经网络模型归属于白盒水印检测通过的确权参与方；
30.否则，所述待确权神经网络模型不属于任何确权参与方。
31.第二方面，本技术实施例提供一种基于横向联邦学习的神经网络模型确权系统，其包括：
32.预训练与共享模块，用于至少一个确权协调方使用预设的黑盒水印数据集预训练初始神经网络模型，并将预训练后的初始神经网络模型共享给多个确权参与方；
33.本地训练模块，用于各个确权参与方根据自身的白盒水印嵌入参数在本地训练所
述初始神经网络模型，对应得到各确权参与方的本地神经网络模型；
34.聚合与再训练模块，用于所述确权协调方聚合所述各确权参与方的本地神经网络模型后进行再训练，得到带水印的神经网络模型；
35.检测和判断模块，用于将待确权神经网络模型进行黑盒水印检测和白盒水印检测，并基于所述带水印的神经网络模型对检测结果进行判断，得出所述待确权神经网络模型所归属的确权参与方。
36.第三方面，本技术实施例提供一种电子设备，其包括存储器，用于存储一个或多个程序；处理器，当上述一个或多个程序被上述处理器执行时，实现如上述第一方面中任一项上述的方法。
37.第四方面，本技术实施例提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述第一方面中任一项上述的方法。
38.相对于现有技术，本发明的实施例至少具有如下优点或有益效果：
39.本发明的实施例提出了一种基于横向联邦学习的神经网络模型确权方法，其通过确权协调方通过黑盒水印数据集来预训练初始神经网络模型并将模型共享给多个确权参与方，各个确权参与方将自身的白盒水印嵌入参数嵌入模型并在本地训练，将本地训练得到的模型通过安全聚合的方式在确权协调方进行聚合和再训练，在保证各参与方数据安全的情况下得到同时携带黑盒水印和白盒水印的神经网络模型，便于通过一个模型即可同时对待确权的神经网络模型进行黑盒水印检测和白盒水印检测，且将两种水印检测方式相结合，只有两种水印检测都通过的情况下才能准确判断出待确权的神经网络模型所归属的确权参与方，可以更加精准地确定待确权的神经网络模型的归属，从而更好地保护模型。
附图说明
40.为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
41.图1为本发明一种基于横向联邦学习的神经网络模型确权方法一实施例的流程图；
42.图2为本发明实施例中各个确权参与方根据自身的白盒水印嵌入参数在本地训练所述初始神经网络模型，对应得到各确权参与方的本地神经网络模型的步骤的具体流程图；
43.图3为本发明实施例中所述确权协调方聚合所述各确权参与方的本地神经网络模型后进行再训练，得到带水印的神经网络模型的具体流程图；
44.图4为本发明实施例中将待确权神经网络模型进行黑盒水印检测和白盒水印检测，并基于所述带水印的神经网络模型对检测结果进行判断，得出所述待确权神经网络模型所归属的确权参与方的步骤的具体流程图；
45.图5为本技术实施例中各确权参与方对所述待确权神经网络模型添加白盒水印后进行白盒水印对比的步骤的具体流程图；
46.图6为本技术实施例中根据所述第一对比结果和所述第二对比结果判断出待确权
神经网络模型所归属的确权参与方的步骤的具体流程图；
47.图7为本发明一种基于横向联邦学习的神经网络模型确权系统一实施例的结构框图；
48.图8为本发明实施例提供的一种电子设备的结构框图。
49.图标：1、预训练与共享模块；2、本地训练模块；3、聚合与再训练模块；4、检测和判断模块；5、处理器；6、存储器；7、数据总线。
具体实施方式
50.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本技术一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本技术实施例的组件可以以各种不同的配置来布置和设计。
51.实施例1
52.请参阅图1-6，本技术实施例提供了一种基于横向联邦学习的神经网络模型确权方法，其通过确权协调方通过黑盒水印数据集来预训练初始神经网络模型并将模型共享给多个确权参与方，各个确权参与方将自身的白盒水印嵌入参数嵌入模型并在本地训练，将本地训练得到的模型通过安全聚合的方式在确权协调方进行聚合和再训练，在保证各参与方数据安全的情况下得到同时携带黑盒水印和白盒水印的神经网络模型，便于通过一个模型即可同时对待确权的神经网络模型进行黑盒水印检测和白盒水印检测，且将两种水印检测方式相结合，可以更加精准地确定待确权的神经网络模型的归属。
53.如图1所示，上述基于横向联邦学习的神经网络模型确权方法包括以下步骤：
54.步骤s101：至少一个确权协调方使用预设的黑盒水印数据集预训练初始神经网络模型，并将预训练后的初始神经网络模型共享给多个确权参与方。
55.上述步骤中，确权协调方是提供全局的初始神经网络模型并向其他多个确权参与方共享该模型的确权确权的协调者，也是进行黑盒水印添加和检测的实现方，确权协调方可以是一个，也可以是多个，如分布式的确权协调服务方。确权协调方确权协调方首先提供一个初始神经网络模型的初始结构和参数，基于安全聚合协议，确权协调方不获取任一确权参与方的原始数据，仅使用本方预设的黑盒水印数据集对初始神经网络模型进行预训练。其中，安全聚合协议是指，横向联邦学习中确权协调方提供全局共享模型，确权参与方下载模型并训练本方数据集，同时更新模型参数。在确权协调方和确权参与方的每次通信中，确权协调方将当前模型参数分发给各个确权参与方，经过确权参与方训练后，将更新后的模型参数返回给确权协调方，确权协调方通过求各个确权参与方模型参数均值的方式聚合得到一个更新后的全局模型参数，并共享给所有的确权参与方。
56.确权协调方提供初始神经网络模型参数之前，进行模型黑盒水印添加，步骤如下：
57.(1)首先生成黑盒水印数据集。黑盒水印数据集由高斯噪声数据集组成，添加不同的形状图案信息，区别于图案颜色、形状、方向、位置等。指定黑盒水印数据集的类别以及类别下的数据集数量，如指定黑盒水印数据集的类别以及类别下的数据集数量，类别数取10个，各类别下数据集数量10张图片，图片形状长取32，图片形状宽取32，每个类别下特殊形状图形保持一致。黑盒水印数据集的拥有方归属确权协调方，不共享给各个确权参与方。高
斯噪声数据集是指数据集的概率函数服从高斯正态分布的一类噪声数据集。
58.(2)确权协调方进行初始参数预训练过程。在确权协调方进行预训练过程，确权协调方在指定模型训练迭代次数、模型训练学习率、模型训练批次大小等参数条件下训练神经网络模型。确权协调方在黑盒水印数据集的基础上，进行预训练过程，在达到黑盒数据的模型训练迭代次数的条件后结束预训练过程。最终输出用于和各个确权参与方共享的初始神经网络模型，包括模型参数和模型结构等，模型结构包括神经网络输入层、中间层、输出层等，模型参数包括各层的权重参数w等。
59.步骤s102：各个确权参与方根据自身的白盒水印嵌入参数在本地训练所述初始神经网络模型，对应得到各确权参与方的本地神经网络模型。
60.其中，如图2所示，上述步骤s102：各个确权参与方根据自身的白盒水印嵌入参数在本地训练所述初始神经网络模型，对应得到各确权参与方的本地神经网络模型具体包括：
61.步骤s1021：各确权参与方根据初始神经网络模型的结构生成自身的白盒水印嵌入参数；
62.步骤s1022：各确权参与方基于自身的白盒水印嵌入参数构建所述初始神经网络模型的损失函数；
63.步骤s1023：各确权参与方基于所述损失函数本地训练所述初始神经网络模型，得到各自的本地神经网络模型。
64.上述步骤中，各个确权参与方通过自身的白盒水印嵌入参数对步骤 s101的初始神经网络模型添加白盒水印，白盒水印嵌入参数e可根据白盒水印嵌入神经网络层的参数w1维度确定，白盒水印嵌入参数e的矩阵各位置初始取值均为符合标准正态分布的随机值；然后构建所述初始神经网络模型的损失函数：
65.l
all
＝l
origin
+l
watermark
66.其中l
origin
表示神经网络模型原始损失函数，l
watermark
为添加白盒水印嵌入参数的正则项，包括正则项系数β、基于参数w1的交叉熵损失函数，如下：
[0067][0068][0069]
其中bj代表各确权参与方预设的白盒水印私有参数b向量的每个元素值，aj表示计算得到的a中的对应每个元素值。各确权参与方预设的白盒水印私有参数b基于各确权参与方的数量和各确权参与方的白盒水印嵌入参数确定，具体的，b是取值随机0或1的n维向量，n取值为白盒水印嵌入的神经网络层的通道参数m和确权参与方的数量k相除的结果；上述各确权参与方预设的白盒水印私有参数b为各方私有，不共享给其他参与方，可以在不暴露各方数据的情况下用来进行后续的白盒水印对比验证，提高了验证的安全性。然后基于构建的损失函数l
all
，在各确权参与方本地训练初始神经网络模型，得到各自的本地神经网络模型。
[0070]
步骤s103：所述确权协调方聚合所述各确权参与方的本地神经网络模型后进行再训练，得到带水印的神经网络模型。
[0071]
相应地，如图3所示，上述步骤s103：所述确权协调方聚合所述各确权参与方的本地神经网络模型后进行再训练，得到带水印的神经网络模型具体包括：
[0072]
步骤s1031：各确权参与方本地迭代训练所述初始神经网络模型多次，得到带白盒水印的本地神经网络模型；
[0073]
步骤s1032：各确权参与方基于安全聚合协议将各自带白盒水印的本地神经网络模型发送到所述确权协调方进行聚合，并对聚合得到的模型进行再训练；
[0074]
步骤s1033：重复上述步骤多次，直到满足预设的训练条件则结束训练，得到携带黑盒水印及白盒水印的神经网络模型。
[0075]
上述步骤中，各个确权参与方基于本地数据集、构建的损失函数以及在指定模型其他参数基础上，包括训练迭代次数、训练批次大小、训练学习率、训练优化器选择等，迭代训练神经网络模型多次，得到带白盒水印的本地神经网络模型，然后各个确权参与方输出本方的迭代后的模型，并发送到上述确权协调方进行聚合，并对聚合得到的模型进行再训练。具体的，基于联邦安全聚合协议，分别重复进行确权参与方本地迭代模型以及确权协调方聚合模型的过程，即基于联邦安全聚合协议指定的模型聚合周期参数，各个确权参与方本地迭代相应的次数后，在确权协调方进行模型参数聚合。确权参与方重复上述进行模型聚合和本地聚合模型的迭代训练过程多次，直到达到指定的模型迭代次数后，结束模型聚合、训练的过程，得到同时携带黑盒水印及白盒水印的神经网络模型，便于后续通过该神经网络模型同时对待确权的神经网络模型进行黑盒水印检测和白盒水印检测，提高模型检测的精确度。
[0076]
步骤s104：将待确权神经网络模型进行黑盒水印检测和白盒水印检测，并基于所述带水印的神经网络模型对检测结果进行判断，得出所述待确权神经网络模型所归属的确权参与方。
[0077]
上述步骤中，可以在确权协调方先对待确权神经网络模型进行黑盒水印检测，若检测精度满足要求，再在各确权参与方进行白盒水印检测，若有一方的白盒水印检测通过，则说明待确权神经网络模型归属于这一白盒水印检测通过的确权参与方；若只有黑盒水印检测和白盒水印检测中的一个检测通过，或两种检测都没通过，则说明待确权神经网络模型不归属于任一确权参与方。
[0078]
相应地，如图4所示，上述步骤s104：将待确权神经网络模型进行黑盒水印检测和白盒水印检测，并基于所述带水印的神经网络模型对检测结果进行判断，得出所述待确权神经网络模型所归属的确权参与方具体包括：
[0079]
步骤s1041：利用预设的黑盒水印数据集对所述待确权神经网络模型进行检测，获取黑盒水印检测精度；
[0080]
步骤s1042：将获得的黑盒水印检测精度与所述带水印的神经网络模型的黑盒水印检测精度进行对比，得到第一对比结果；
[0081]
上述步骤中，可以在上述确权协调方处利用其私有(不共享)的黑盒水印数据集对待确权神经网络模型进行黑盒水印检测，即将待确权神经网络模型在黑盒水印数据集上进行预测，获取预测精度作为黑盒水印检测精度，并将获得的黑盒水印检测精度与上述带水
印的神经网络模型的黑盒水印检测精度(即同样在黑盒水印数据集上进行预测)进行对比，得到包括黑盒水印检测是否通过的第一对比结果。
[0082]
步骤s1043：各确权参与方对所述待确权神经网络模型添加白盒水印后进行白盒水印对比，得到第二对比结果。
[0083]
其中，如图5所示，上述步骤s1043：各确权参与方对所述待确权神经网络模型添加白盒水印后进行白盒水印对比具体包括：
[0084]
步骤s10431：各确权参与方将自身的白盒水印嵌入参数嵌入所述待确权神经网络模型；
[0085]
步骤s10432：各确权参与方计算所述待确权神经网络模型的白盒水印私有参数；
[0086]
步骤s10433：将计算得到的白盒水印私有参数与各确权参与方预设的白盒水印私有参数进行比较。
[0087]
上述步骤中，确权参与方对待确权神经网络模型以嵌入的方式添加白盒水印之后，可以将本方拥有的不共享的白盒水印私有参数b，来作为检测添加白盒水印的待确权神经网络模型的重要依据。各确权参与方的白盒水印嵌入参数e可根据白盒水印嵌入待确权神经网络模型的神经网络层的参数w1维度确定，白盒水印嵌入参数e的矩阵各位置初始取值均为符合标准正态分布的随机值，然后将白盒水印嵌入参数e嵌入待确权神经网络模型对应的神经网络层，根据公式计算得到待确权神经网络模型的白盒水印私有参数并将与各确权参与方预设的白盒水印私有参数b进行比较，得到包括两个私有参数是否一致的第二对比结果。
[0088]
步骤s1044：根据所述第一对比结果和所述第二对比结果判断出待确权神经网络模型所归属的确权参与方。
[0089]
如图6所示，上述步骤s1044：根据所述第一对比结果和所述第二对比结果判断出待确权神经网络模型所归属的确权参与方具体包括：
[0090]
步骤s10441：若第一对比结果包括黑盒水印检测通过，且第二对比结果包括白盒水印检测通过，则所述待确权神经网络模型归属于白盒水印检测通过的确权参与方；
[0091]
步骤s10442：否则，所述待确权神经网络模型不属于任何确权参与方。
[0092]
上述步骤中，获取第一对比结果，若第一对比结果为黑盒水印检测通过，则获取第二对比结果并进行白盒水印检测结果的判断，否则可以判断待确权神经网络模型不属于任何确权参与方。然后根据第二对比结果中，若白盒水印检测结果为通过，即待确权神经网络模型的白盒水印私有参数与任一确权参与方预设的白盒水印私有参数b一致或相似率达到精度要求，则可以判定待确权神经网络模型归属于白盒水印检测通过的确权参与方；否则，待确权神经网络模型不属于任何确权参与方，整个确权过程结束。
[0093]
在以上步骤中，确权协调方通过黑盒水印数据集来预训练初始神经网络模型并将模型共享给多个确权参与方，各个确权参与方将自身的白盒水印嵌入参数嵌入模型并在本地训练，将本地训练得到的模型通过安全聚合的方式在确权协调方进行聚合和再训练，在保证各参与方数据安全的情况下得到同时携带黑盒水印和白盒水印的神经网络模型，便于通过一个模型即可同时对待确权的神经网络模型进行黑盒水印检测和白盒水印检测，且将两种水印检测方式相结合，只有两种水印检测都通过的情况下才能准确判断出待确权的神
经网络模型所归属的确权参与方，可以更加精准地确定待确权的神经网络模型的归属，防止模型被盗用，从而更好地保护模型。
[0094]
需要说明的是，本发明实施例中未具体展开说明的技术内容，可以通过现有的相关技术实现，属于现有技术，在本发明实施例中不再赘述。
[0095]
实施例2
[0096]
相应地，请参阅图7，本技术实施例提供了一种基于横向联邦学习的神经网络模型确权系统，其包括：
[0097]
预训练与共享模块1，用于至少一个确权协调方使用预设的黑盒水印数据集预训练初始神经网络模型，并将预训练后的初始神经网络模型共享给多个确权参与方；本地训练模块2，用于各个确权参与方根据自身的白盒水印嵌入参数在本地训练所述初始神经网络模型，对应得到各确权参与方的本地神经网络模型；聚合与再训练模块3，用于所述确权协调方聚合所述各确权参与方的本地神经网络模型后进行再训练，得到带水印的神经网络模型；检测和判断模块4，用于将待确权神经网络模型进行黑盒水印检测和白盒水印检测，并基于所述带水印的神经网络模型对检测结果进行判断，得出所述待确权神经网络模型所归属的确权参与方。
[0098]
上述系统具体实现过程请参照实施例1中提供的一种基于横向联邦学习的神经网络模型确权方法，在此不再赘述。
[0099]
实施例3
[0100]
请参阅图8，本技术实施例提供了一种电子设备，该电子设备包括至少一个处理器5、至少一个存储器6和数据总线7；其中：处理器5与存储器 6通过数据总线7完成相互间的通信；存储器6存储有可被处理器5执行的程序指令，处理器5调用程序指令以执行一种基于横向联邦学习的神经网络模型确权方法。例如实现：
[0101]
至少一个确权协调方使用预设的黑盒水印数据集预训练初始神经网络模型，并将预训练后的初始神经网络模型共享给多个确权参与方；各个确权参与方根据自身的白盒水印嵌入参数在本地训练所述初始神经网络模型，对应得到各确权参与方的本地神经网络模型；所述确权协调方聚合所述各确权参与方的本地神经网络模型后进行再训练，得到带水印的神经网络模型；将待确权神经网络模型进行黑盒水印检测和白盒水印检测，并基于所述带水印的神经网络模型对检测结果进行判断，得出所述待确权神经网络模型所归属的确权参与方。
[0102]
其中，存储器6可以是但不限于，随机存取存储器 (random access memory，ram)，只读存储器(read only memory，rom)，可编程只读存储器(programmable read-only memory，prom)，可擦除只读存储器(erasable programmable read-only memory，eprom)，电可擦除只读存储器(electric erasable programmable read-only memory， eeprom)等。
[0103]
处理器5可以是一种集成电路芯片，具有信号处理能力。该处理器5 可以是通用处理器，包括中央处理器(central processing unit，cpu)、网络处理器(network processor，np)等；还可以是数字信号处理器 (digital signal processing，dsp)、专用集成电路(application specificintegrated circuit，asic)、现场可编程门阵列(field－programmablegate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、
分立硬件组件。
[0104]
可以理解，图8所示的结构仅为示意，电子设备还可包括比图8中所示更多或者更少的组件，或者具有与图8所示不同的配置。图8中所示的各组件可以采用硬件、软件或其组合实现。
[0105]
实施例4
[0106]
本发明提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器5执行时实现一种基于横向联邦学习的神经网络模型确权方法。例如实现：
[0107]
至少一个确权协调方使用预设的黑盒水印数据集预训练初始神经网络模型，并将预训练后的初始神经网络模型共享给多个确权参与方；各个确权参与方根据自身的白盒水印嵌入参数在本地训练所述初始神经网络模型，对应得到各确权参与方的本地神经网络模型；所述确权协调方聚合所述各确权参与方的本地神经网络模型后进行再训练，得到带水印的神经网络模型；将待确权神经网络模型进行黑盒水印检测和白盒水印检测，并基于所述带水印的神经网络模型对检测结果进行判断，得出所述待确权神经网络模型所归属的确权参与方。
[0108]
在本技术所提供的实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本技术的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
[0109]
另外，在本技术各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
[0110]
对于本领域技术人员而言，显然本技术不限于上述示范性实施例的细节，而且在不背离本技术的精神或基本特征的情况下，能够以其它的具体形式实现本技术。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本技术的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本技术内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。