對人臉數據安全的擔憂,有新解了!
浙江大學與阿裏安全部聯手,推出了新的人臉隐私保護方案FaceObfuscator。
不法分子即使從數據庫中獲取到人臉特征,也無法使用各類重構攻擊還原人臉數據、竊取人臉隐私。
新型重構攻擊,威脅人臉隐私
人臉識别是一項基于人臉特征信息進行身份識别的生物識别技術,廣泛應用于金融、安防與民生。
在使用人臉識别系統前,首先需要錄入人臉信息,這些人臉信息會以人臉特征的形式被保存在服務商的人臉數據庫中用于之後的實時人臉識别與身份認證。
△主流的人臉識别架構
然而,網絡和數據安全保障機制的欠缺容易導緻人臉數據庫洩露。
雖然人臉特征能夠在一定程度上防止直接的隐私洩露,但不幸的是,這些用肉眼看不出來的人臉特征,仍然可能通過強大的 AI 技術進行人臉重建。
這些洩露的人臉信息一旦被不法分子惡意利用,人們的信息安全将受到極大傷害。
從特征中恢複出原始的人臉圖像的過程稱爲重構攻擊。
攻擊者通過訓練一個重構網絡,利用大量的人臉圖像 - 人臉特征對,通過不斷的訓練和優化使其學習特征向量和對應人臉圖像的關聯規則,最後這個重構網絡能夠從特征向量中準确地恢複出原始人臉。
這樣說也許不夠直觀,我們直接看一下複原之前的特征圖像:
△人臉特征示意圖
這樣完全不知所雲的圖像,經過複原重建之後,除了些許色調差異之外和原始數據集幾乎看不出任何差别。
△重構攻擊流程示意圖
現有的人臉特征保護方案包括螞蟻集團于 2022 年提出的 PPFR-FD(删除部分高頻視覺信息抵禦重構攻擊)、騰訊優圖于 2022 年提出的 DuetFace(删除部分低頻視覺信息抵禦重構攻擊)等。
這些方法雖然能抵禦一些傳統攻擊,但均無法應對此種新興的重構攻擊,用戶的人臉特征能夠被還原爲可辨識的人臉圖像,用戶隐私受到了嚴重威脅。
△不同防禦方案下重構攻擊還原的人臉圖像效果
爲了解決這一問題,浙江大學區塊鏈與數據安全全國重點實驗室的任奎教授、王志波教授聯合阿裏安全部提出了全新方法——
通過在客戶端篩選頻域通道删除人臉圖像中的冗餘視覺信息,并利用随機性幹擾人臉特征到人臉圖像的逆映射,從根源上防禦重構攻擊;在服務端,利用逆變換移除随機性,保持人臉識别準确性。
該成果已發表于USENIX Security Symposium 2024,是安全領域的四大國際頂級學術會議之一。
既要精準識别,也要隐私安全
FaceObfuscator 是一種輕量級的隐私保護人臉識别系統,解決的就是當前人臉識别系統面臨的人臉特征重構隐私威脅。
FaceObfuscator 首先對輸入的人臉圖像脫敏得到混淆特征,然後在整個人臉識别流程以及人臉數據庫中使用混淆特征而非人臉圖像。
該混淆特征既能用于高精度人臉識别,也能在洩露後有效防止攻擊者從中恢複出原始人臉信息。
△混淆特征生成流程
具體來說,FaceObfuscator 中得到混淆特征的過程可以分爲兩步——人臉識别冗餘信息的删除,以及人臉隐私信息的混淆。
第一步,人臉圖像視覺信息的删除。這一步就是爲了在保證人臉識别精度的情況下,删除包含個人隐私的冗餘視覺信息。
因爲不同的頻域通道含有不同的視覺信息(低頻通道擁有整體視覺信息,高頻通道擁有圖像細節信息),該團隊首先通過離散餘弦變換将圖像轉化爲頻域特征,以完成圖像視覺信息的切分。
經實驗,該團隊發現,無論高頻通道還是低頻通道,每一個頻域通道均可以用于較爲精準的人臉識别,這也意味着原始人臉圖像中存在大量冗餘信息。
這些冗餘信對于人臉識别精度的提升并沒有多大幫助,但卻爲攻擊者提供了豐富的重構信息。
因此,該團隊通過分析頻域通道對人臉識别任務的重要性,并将按重要性其排序,最終僅保留對于人臉識别而言最關鍵的頻域通道作爲人臉特征,實現盡可能抑制視覺信息,同時保持人臉識别高精度。
然而,剩餘的頻域通道中還有部分視覺信息與身份信息高度耦合,仍夠被攻擊者還原出一定隐私信息,需要進一步對人臉特征進行混淆。
于是就來到了第二步。
經分析,該研究團隊發現,進一步抵禦重構攻擊的關鍵在于幹擾重構網絡的梯度下降過程,以阻止其拟合從人臉特征到人臉圖像的逆映射。
因此,在客戶端,FaceObfuscator 對每一個人臉特征從方向和尺度兩個維度進行随機變換,引入随機性抵禦重構攻擊。
其中,方向的随機性是通過随機翻轉人臉特征中元素的符号位實現的,尺度的随機性是通過對人臉特征中元素的數值進行指數變換實現的。
當人臉特征具有随機性時,攻擊者使用的損失函數将難以收斂,從而幹擾重構網絡的梯度下降過程,有效抵禦各類重構攻擊。
△人臉特征方向與尺度随機變換示意圖
同時,研究團隊通過實驗發現,人臉特征方向的随機性對人臉識别精度影響極小,不會影響正常的人臉識别。
因此在服務端僅需考慮移除尺度維度的随機性,保證人臉識别。
具體來說,服務端通過執行指數變換的逆變換——對數變換,将同一個身份的不同混淆特征還原爲同一人臉特征,以移除尺度的随機性,保證人臉識别的準确性。
最終,FaceObfuscator 生成了一種抗重構的人臉特征,用于保護人臉數據的傳輸和存儲。
此種保護方案,不是加密勝似加密,既具備出色的防禦效果,又能保持較低的計算開銷和存儲開銷。
有效抵禦重構攻擊
如下圖所示,該團隊在 6 個公開人臉數據集(LFW、CFP-FF、CFP-FP、AgeDB-30、CALFW、CPLFW)測試了 FaceObfuscator 的隐私保護能力。
△不同防禦方案下重構攻擊還原的人臉圖像效果
在實驗中,攻擊者采用基于深度學習網絡(DNN)的方式學習特征到人臉圖像的映射,進而從洩露的人臉特征中直接恢複出人臉圖像。
這也是目前最主流的、最有效的攻擊方式。
可以看到相較于其他方案,FaceObfuscator 的人臉特征無法被重構爲人臉圖像,有效了保護人臉隐私。
△不同防禦方案的 COS、SRRA 指标
其中 COS 爲餘弦相似度,計算方法是通過另一個獨立的人臉識别系統分别獲取重構圖像與原始圖像在 512 維人臉特征空間中的身份向量,計算兩者餘弦相似度。
COS 越低,防禦效果越好。
SRRA 是重放攻擊成功率,具體是指使用某個人臉識别系統的重構圖像來欺騙同一人臉識别系統以成功進行身份認證的概率,SRRA 越低意味着隐私保護能力越好。
結果,重構圖片與原始圖片的餘弦相似度大幅減少,有效保護人臉隐私;
重放攻擊成功率大幅降低 SRRA 值(從 90% 降低至 0.1% 數量級),有效防止洩露人臉突破人臉識别系統。
同時該團隊也對人臉識别精度、存儲開銷、計算開銷等進行了定量的實驗。
結果,該方案人臉識别精度與基線(Arcface)基本保持一緻,擁有最低的存儲開銷,較優的時間開銷,如下表所示:
△不同方案在人臉識别效用方面的表現
注:● 代表良好的防禦攻擊能力;◐ 代表對攻擊的防護能力較差;○ 表示無法防禦攻擊; 黃色方塊表示缺陷,例如:與基線(Arcface)相比精度損失超過 3% 或防護能力較差;紅色方塊表示嚴重缺陷,例如:與基線(Arcface)相比精度損失超過 5% 或沒有保護能力。
總結與展望
綜上所述,可以看到 FaceObfuscator 具有以下三點優勢:
強隐私保護:在防禦隐私攻擊方面,FaceObfuscator 相比其他保護方案具有明顯優勢,能夠有效保護人臉隐私。
高精度識别:FaceObfuscator 在多個人臉識别精度測試集中表現出色,人臉識别精度與主流開源模型精度相當。
高效率運行:更小的存儲空間和更快的運算。通過存儲混淆特征而非原圖 , 節省存儲空間 , 計算速度遠超加密方案,與沒有隐私保護的人臉識别系統效率接近。
該方案可廣泛應用于監控識别、刷臉支付、門禁考勤等人臉識别主要需求場景,服務于安防、金融、教育等多個關鍵行業領域,助力解決人臉隐私安全方面的難點痛點問題,實現人臉識别的高效可用。
論文地址: https://www.usenix.org/conference/usenixsecurity24/presentation/jin-shuaifan
— 完 —
投稿請發郵件到:
标題注明【投稿】,告訴我們:
你是誰,從哪來,投稿内容
附上論文 / 項目主頁鏈接,以及聯系方式哦
我們會(盡量)及時回複你
點這裏關注我,記得标星哦~
一鍵三連「分享」、「點贊」和「在看」
科技前沿進展日日相見 ~
>