具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

参看图1的步骤图，本实施例公开的一种图像数据安全传输的方法，包括如下步骤：

步骤1，发送方使用对抗样本技术对原图片进行修改，生成对抗样本图片；

对抗样本技术是针对图像识别等深度神经网络模型进行攻击的新型技术，在图像识别领域，该技术实现的效果是对原图片仅进行轻微的修改、人眼仍能正确识别图片的同时，图像识别模型却会输出错误的识别结果。

以人脸识别应用为例，本发明利用了对抗样本技术这一特性，传输的人像数据保证了人眼观察场景下的正确识别，但在使用人脸识别模型进行批量图片识别场景下，将会输出错误的识别结果，从而杜绝窃取者大批量窃取个人隐私数据的可能。

步骤2，发送方比较原图片和对抗样本图片，生成差异数据；

为保证接收方能将对抗样本图片准确还原为原图片，还需要传输原图片和对抗样本图片的差异数据。

图片数据存储的是图片每个像素点的像素值。WHC格式的图片数据表示为(W,H,C)， W是图片的宽，代表图片横向有W个像素点；H是图片的高，代表图片纵向有H个像素点，即图片尺寸为W×H；C是图片的通道数，灰度图片通道数为1，每个像素点的像素值一般由8bit表示，值域为0-255，代表灰度深浅，黑色为0，白色为255；彩色图片通道数为3，每个像素点的像素值一般由3×8bit表示，分别为红、绿、蓝(RGB格式， BGR格式为蓝、绿、红)三个通道的值，值域也为0-255，代表红、绿、蓝颜色深浅。因此，图片可以W×H×C×8bit的二进制形式存储。

以MNIST数据集为例，WHC格式的数据为(28,28,1)，每张图片由28×28个像素点组成，对抗样本是对其中k(0<k≤28×28)个像素点的像素值进行修改。以单像素攻击算法(One Pixel Attack，仅修改一个像素点的值)为例，假设将P_i,j像素点(坐标(i， j)，i为像素点行号，j为像素点列号)的像素值从58改为34，即对28×28×1×8bit 数据中对应P_i,j的8bit数据段进行修改，即00111010改为00100010。修改前后的差异数据为00011000，即对00111010和00100010两个数据段进行异或位运算。同理，对于整张图片而言，差异数据也可以通过修改前后的28×28×1×8bit数据之间进行异或位运算得到。

步骤3，发送方对对抗样本图片和差异数据使用不同加密算法进行加密并单独传输；

图像加密技术是利用数字图像的特性设计、提高加密安全性和使用效率的技术。本处所指图像加密算法包括且不限于离散混沌加密等技术，技术细节不再赘述。

一方面，对抗样本图片仅是对原图片若干个像素点(对于单像素攻击算法仅为1个像素点)的像素值进行修改，被窃取后人眼无法识别真伪，但在模型批量识别场景下会输出错误的识别结果，可以成功“欺瞒”使用识别模型的窃取者。

另一方面，对抗样本图片和差异数据分别加密和传输，提高了窃取者正确还原原图片的难度和成本。窃取者需要掌握两套加密算法和密钥并成功拦截所有数据，方可实现正确还原。

步骤4，接收方根据与发送方约定的两套加密算法和密钥，对数据分别解密；

接收方对接收到的对抗样本图片和差异数据，使用各自解密密钥分别解密。技术细节包含在步骤3中所述图像加密技术中，不再赘述。

步骤5，接收方使用解密后的差异数据，对解密后的对抗样本图片进行还原；

接收方在图片差异数据中找出所有值为1的位置，对对抗样本图片数据相应位置的值做取反的位运算，即可还原出原图片数据。

同以步骤2的MNIST数据集和单像素攻击算法为例。解密后，接收方得到28×28 ×1×8bit的对抗样本图片数据和28×28×1×8bit的图片差异数据，对抗样本图片数据中对应P_i,j的8bit数据段为00100010，图片差异数据中对应P_i,j的8bit数据段为 00011000。图片差异数据中值为1位置即第4、5位，对对抗样本图片数据第4、5位的值取反，得到00111010，即为原图片中对应P_i,j的8bit数据段。

与上述方法对应的，参看图2，本实施例还公开一种图像数据安全传输的装置，包括：

对抗样本生成模块：发送方使用对抗样本技术对原图片进行修改，生成对抗样本图片；

对抗样本技术是针对图像识别等深度神经网络模型进行攻击的新型技术，在图像识别领域，该技术实现的效果是对原图片仅进行轻微的修改、人眼仍能正确识别图片的同时，图像识别模型却会输出错误的识别结果。

以人脸识别应用为例，本发明利用了对抗样本技术这一特性，传输的人像数据保证了人眼观察场景下的正确识别，但在使用人脸识别模型进行批量图片识别场景下，将会输出错误的识别结果，从而杜绝窃取者大批量窃取个人隐私数据的可能。

差异数据生成模块：发送方比较原图片和对抗样本图片，生成差异数据；

为保证接收方能将对抗样本图片准确还原为原图片，还需要传输原图片和对抗样本图片的差异数据。

图片数据存储的是图片每个像素点的像素值。WHC格式的图片数据表示为(W,H,C)， W是图片的宽，代表图片横向有W个像素点；H是图片的高，代表图片纵向有H个像素点，即图片尺寸为W×H；C是图片的通道数，灰度图片通道数为1，每个像素点的像素值一般由8bit表示，值域为0-255，代表灰度深浅，黑色为0，白色为255；彩色图片通道数为3，每个像素点的像素值一般由3×8bit表示，分别为红、绿、蓝(RGB格式， BGR格式为蓝、绿、红)三个通道的值，值域也为0-255，代表红、绿、蓝颜色深浅。因此，图片可以W×H×C×8bit的二进制形式存储。

以MNIST数据集为例，WHC格式的数据为(28,28,1)，每张图片由28×28个像素点组成，对抗样本是对其中k(0<k≤28×28)个像素点的像素值进行修改。以单像素攻击算法(One Pixel Attack，仅修改一个像素点的值)为例，假设将P_i,j像素点(坐标(i， j)，i为像素点行号，j为像素点列号)的像素值从58改为34，即对28×28×1×8bit 数据中对应P_i,j的8bit数据段进行修改，即00111010改为00100010。修改前后的差异数据为00011000，即对00111010和00100010两个数据段进行异或位运算。同理，对于整张图片而言，差异数据也可以通过修改前后的28×28×1×8bit数据之间进行异或位运算得到。

加密模块：发送方对对抗样本图片和差异数据使用不同加密算法进行加密；

传输模块：分别将加密后的对抗样本图片和差差异数据进行单独传输；

图像加密技术是利用数字图像的特性设计、提高加密安全性和使用效率的技术。本处所指图像加密算法包括且不限于离散混沌加密等技术，技术细节不再赘述。

一方面，对抗样本图片仅是对原图片若干个像素点(对于单像素攻击算法仅为1个像素点)的像素值进行修改，被窃取后人眼无法识别真伪，但在模型批量识别场景下会输出错误的识别结果，可以成功“欺瞒”使用识别模型的窃取者。

另一方面，对抗样本图片和差异数据分别加密和传输，提高了窃取者正确还原原图片的难度和成本。窃取者需要掌握两套加密算法和密钥并成功拦截所有数据，方可实现正确还原。

解密模块：接收方根据与发送方约定的两套加密算法和密钥，对数据分别解密；

接收方对接收到的对抗样本图片和差异数据，使用各自解密密钥分别解密。技术细节包含在步骤3中所述图像加密技术中，不再赘述。

原图片还原模块：接收方使用解密后的差异数据，对解密后的对抗样本图片进行还原；

接收方在图片差异数据中找出所有值为1的位置，对对抗样本图片数据相应位置的值做取反的位运算，即可还原出原图片数据。

同以步骤2的MNIST数据集和单像素攻击算法为例。解密后，接收方得到28×28 ×1×8bit的对抗样本图片数据和28×28×1×8bit的图片差异数据，对抗样本图片数据中对应P_i,j的8bit数据段为00100010，图片差异数据中对应P_i,j的8bit数据段为 00011000。图片差异数据中值为1位置即第4、5位，对对抗样本图片数据第4、5位的值取反，得到00111010，即为原图片中对应P_i,j的8bit数据段。

本实施例还提供一种处理设备，包括至少一个处理器，以及与所述处理器通信连接的至少一个存储器，其中：所述存储器存储有可被处理器执行的程序指令，所述处理器调用所述程序指令能够执行上述的方法。

本实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行上述的方法。

以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。