設(shè)置
  • 日夜間
    隨系統(tǒng)
    淺色
    深色
  • 主題色

防止黑客重建人臉,浙大 & 阿里推出人臉隱私保護(hù)新方案 FaceObfuscator

量子位 2024/8/27 16:27:56 責(zé)編:汪淼

對人臉數(shù)據(jù)安全的擔(dān)憂,有新解了!

浙江大學(xué)與阿里安全部聯(lián)手,推出了新的人臉隱私保護(hù)方案 FaceObfuscator。

不法分子即使從數(shù)據(jù)庫中獲取到人臉特征,也無法使用各類重構(gòu)攻擊還原人臉數(shù)據(jù)、竊取人臉隱私。

新型重構(gòu)攻擊,威脅人臉隱私

人臉識別是一項(xiàng)基于人臉特征信息進(jìn)行身份識別的生物識別技術(shù),廣泛應(yīng)用于金融、安防與民生。

在使用人臉識別系統(tǒng)前,首先需要錄入人臉信息,這些人臉信息會以人臉特征的形式被保存在服務(wù)商的人臉數(shù)據(jù)庫中用于之后的實(shí)時(shí)人臉識別與身份認(rèn)證。

主流的人臉識別架構(gòu)

▲ 主流的人臉識別架構(gòu)

然而,網(wǎng)絡(luò)和數(shù)據(jù)安全保障機(jī)制的欠缺容易導(dǎo)致人臉數(shù)據(jù)庫泄露。

雖然人臉特征能夠在一定程度上防止直接的隱私泄露,但不幸的是,這些用肉眼看不出來的人臉特征,仍然可能通過強(qiáng)大的 AI 技術(shù)進(jìn)行人臉重建。這些泄露的人臉信息一旦被不法分子惡意利用,人們的信息安全將受到極大傷害。

從特征中恢復(fù)出原始的人臉圖像的過程稱為重構(gòu)攻擊。

攻擊者通過訓(xùn)練一個(gè)重構(gòu)網(wǎng)絡(luò),利用大量的人臉圖像-人臉特征對,通過不斷的訓(xùn)練和優(yōu)化使其學(xué)習(xí)特征向量和對應(yīng)人臉圖像的關(guān)聯(lián)規(guī)則,最后這個(gè)重構(gòu)網(wǎng)絡(luò)能夠從特征向量中準(zhǔn)確地恢復(fù)出原始人臉。

這樣說也許不夠直觀,我們直接看一下復(fù)原之前的特征圖像:

人臉特征示意圖

▲ 人臉特征示意圖

這樣完全不知所云的圖像,經(jīng)過復(fù)原重建之后,除了些許色調(diào)差異之外和原始數(shù)據(jù)集幾乎看不出任何差別。

重構(gòu)攻擊流程示意圖

▲ 重構(gòu)攻擊流程示意圖

現(xiàn)有的人臉特征保護(hù)方案包括螞蟻集團(tuán)于 2022 年提出的 PPFR-FD(刪除部分高頻視覺信息抵御重構(gòu)攻擊)、騰訊優(yōu)圖于 2022 年提出的 DuetFace(刪除部分低頻視覺信息抵御重構(gòu)攻擊)等。

這些方法雖然能抵御一些傳統(tǒng)攻擊,但均無法應(yīng)對此種新興的重構(gòu)攻擊,用戶的人臉特征能夠被還原為可辨識的人臉圖像,用戶隱私受到了嚴(yán)重威脅。

不同防御方案下重構(gòu)攻擊還原的人臉圖像效果

▲ 不同防御方案下重構(gòu)攻擊還原的人臉圖像效果

為了解決這一問題,浙江大學(xué)區(qū)塊鏈與數(shù)據(jù)安全全國重點(diǎn)實(shí)驗(yàn)室的任奎教授、王志波教授聯(lián)合阿里安全部提出了全新方法 ——

通過在客戶端篩選頻域通道刪除人臉圖像中的冗余視覺信息,并利用隨機(jī)性干擾人臉特征到人臉圖像的逆映射,從根源上防御重構(gòu)攻擊;在服務(wù)端,利用逆變換移除隨機(jī)性,保持人臉識別準(zhǔn)確性。

該成果已發(fā)表于 USENIX Security Symposium 2024,是安全領(lǐng)域的四大國際頂級學(xué)術(shù)會議之一。

既要精準(zhǔn)識別,也要隱私安全

FaceObfuscator 是一種輕量級的隱私保護(hù)人臉識別系統(tǒng),解決的就是當(dāng)前人臉識別系統(tǒng)面臨的人臉特征重構(gòu)隱私威脅。

FaceObfuscator 首先對輸入的人臉圖像脫敏得到混淆特征,然后在整個(gè)人臉識別流程以及人臉數(shù)據(jù)庫中使用混淆特征而非人臉圖像。

該混淆特征既能用于高精度人臉識別,也能在泄露后有效防止攻擊者從中恢復(fù)出原始人臉信息。

混淆特征生成流程

▲ 混淆特征生成流程

具體來說,F(xiàn)aceObfuscator 中得到混淆特征的過程可以分為兩步 —— 人臉識別冗余信息的刪除,以及人臉隱私信息的混淆。

第一步,人臉圖像視覺信息的刪除。這一步就是為了在保證人臉識別精度的情況下,刪除包含個(gè)人隱私的冗余視覺信息。

因?yàn)椴煌念l域通道含有不同的視覺信息(低頻通道擁有整體視覺信息,高頻通道擁有圖像細(xì)節(jié)信息),該團(tuán)隊(duì)首先通過離散余弦變換將圖像轉(zhuǎn)化為頻域特征,以完成圖像視覺信息的切分。

經(jīng)實(shí)驗(yàn),該團(tuán)隊(duì)發(fā)現(xiàn),無論高頻通道還是低頻通道,每一個(gè)頻域通道均可以用于較為精準(zhǔn)的人臉識別,這也意味著原始人臉圖像中存在大量冗余信息。

這些冗余信對于人臉識別精度的提升并沒有多大幫助,但卻為攻擊者提供了豐富的重構(gòu)信息。

因此,該團(tuán)隊(duì)通過分析頻域通道對人臉識別任務(wù)的重要性,并將按重要性其排序,最終僅保留對于人臉識別而言最關(guān)鍵的頻域通道作為人臉特征,實(shí)現(xiàn)盡可能抑制視覺信息,同時(shí)保持人臉識別高精度。

然而,剩余的頻域通道中還有部分視覺信息與身份信息高度耦合,仍夠被攻擊者還原出一定隱私信息,需要進(jìn)一步對人臉特征進(jìn)行混淆。

于是就來到了第二步。

經(jīng)分析,該研究團(tuán)隊(duì)發(fā)現(xiàn),進(jìn)一步抵御重構(gòu)攻擊的關(guān)鍵在于干擾重構(gòu)網(wǎng)絡(luò)的梯度下降過程,以阻止其擬合從人臉特征到人臉圖像的逆映射。

因此,在客戶端,F(xiàn)aceObfuscator 對每一個(gè)人臉特征從方向和尺度兩個(gè)維度進(jìn)行隨機(jī)變換,引入隨機(jī)性抵御重構(gòu)攻擊。

其中,方向的隨機(jī)性是通過隨機(jī)翻轉(zhuǎn)人臉特征中元素的符號位實(shí)現(xiàn)的,尺度的隨機(jī)性是通過對人臉特征中元素的數(shù)值進(jìn)行指數(shù)變換實(shí)現(xiàn)的。

當(dāng)人臉特征具有隨機(jī)性時(shí),攻擊者使用的損失函數(shù)將難以收斂,從而干擾重構(gòu)網(wǎng)絡(luò)的梯度下降過程,有效抵御各類重構(gòu)攻擊

人臉特征方向與尺度隨機(jī)變換示意圖

▲ 人臉特征方向與尺度隨機(jī)變換示意圖

同時(shí),研究團(tuán)隊(duì)通過實(shí)驗(yàn)發(fā)現(xiàn),人臉特征方向的隨機(jī)性對人臉識別精度影響極小,不會影響正常的人臉識別。

因此在服務(wù)端僅需考慮移除尺度維度的隨機(jī)性,保證人臉識別。

具體來說,服務(wù)端通過執(zhí)行指數(shù)變換的逆變換 —— 對數(shù)變換,將同一個(gè)身份的不同混淆特征還原為同一人臉特征,以移除尺度的隨機(jī)性,保證人臉識別的準(zhǔn)確性。

最終,F(xiàn)aceObfuscator 生成了一種抗重構(gòu)的人臉特征,用于保護(hù)人臉數(shù)據(jù)的傳輸和存儲。

此種保護(hù)方案,不是加密勝似加密,既具備出色的防御效果,又能保持較低的計(jì)算開銷和存儲開銷。

有效抵御重構(gòu)攻擊

如下圖所示,該團(tuán)隊(duì)在 6 個(gè)公開人臉數(shù)據(jù)集(LFW、CFP-FF、CFP-FP、AgeDB-30、CALFW、CPLFW)測試了 FaceObfuscator 的隱私保護(hù)能力。

不同防御方案下重構(gòu)攻擊還原的人臉圖像效果

▲ 不同防御方案下重構(gòu)攻擊還原的人臉圖像效果

在實(shí)驗(yàn)中,攻擊者采用基于深度學(xué)習(xí)網(wǎng)絡(luò)(DNN)的方式學(xué)習(xí)特征到人臉圖像的映射,進(jìn)而從泄露的人臉特征中直接恢復(fù)出人臉圖像。

這也是目前最主流的、最有效的攻擊方式。

可以看到相較于其他方案,FaceObfuscator 的人臉特征無法被重構(gòu)為人臉圖像,有效了保護(hù)人臉隱私。

不同防御方案的 COS、SRRA 指標(biāo)

▲ 不同防御方案的 COS、SRRA 指標(biāo)

其中 COS 為余弦相似度,計(jì)算方法是通過另一個(gè)獨(dú)立的人臉識別系統(tǒng)分別獲取重構(gòu)圖像與原始圖像在 512 維人臉特征空間中的身份向量,計(jì)算兩者余弦相似度。

COS 越低,防御效果越好。

SRRA 是重放攻擊成功率,具體是指使用某個(gè)人臉識別系統(tǒng)的重構(gòu)圖像來欺騙同一人臉識別系統(tǒng)以成功進(jìn)行身份認(rèn)證的概率,SRRA 越低意味著隱私保護(hù)能力越好。

結(jié)果,重構(gòu)圖片與原始圖片的余弦相似度大幅減少,有效保護(hù)人臉隱私;

重放攻擊成功率大幅降低 SRRA 值(從 90% 降低至 0.1% 數(shù)量級),有效防止泄露人臉突破人臉識別系統(tǒng)。

同時(shí)該團(tuán)隊(duì)也對人臉識別精度、存儲開銷、計(jì)算開銷等進(jìn)行了定量的實(shí)驗(yàn)。

結(jié)果,該方案人臉識別精度與基線(Arcface)基本保持一致,擁有最低的存儲開銷,較優(yōu)的時(shí)間開銷,如下表所示:

不同方案在人臉識別效用方面的表現(xiàn)

▲ 不同方案在人臉識別效用方面的表現(xiàn)

注:● 代表良好的防御攻擊能力;? 代表對攻擊的防護(hù)能力較差;○ 表示無法防御攻擊;黃色方塊表示缺陷,例如:與基線(Arcface)相比精度損失超過 3% 或防護(hù)能力較差;紅色方塊表示嚴(yán)重缺陷,例如:與基線(Arcface)相比精度損失超過 5% 或沒有保護(hù)能力。

總結(jié)與展望

綜上所述,可以看到 FaceObfuscator 具有以下三點(diǎn)優(yōu)勢:

  • 強(qiáng)隱私保護(hù):在防御隱私攻擊方面,F(xiàn)aceObfuscator 相比其他保護(hù)方案具有明顯優(yōu)勢,能夠有效保護(hù)人臉隱私。

  • 高精度識別:FaceObfuscator 在多個(gè)人臉識別精度測試集中表現(xiàn)出色,人臉識別精度與主流開源模型精度相當(dāng)。

  • 高效率運(yùn)行:更小的存儲空間和更快的運(yùn)算。通過存儲混淆特征而非原圖,節(jié)省存儲空間,計(jì)算速度遠(yuǎn)超加密方案,與沒有隱私保護(hù)的人臉識別系統(tǒng)效率接近。

該方案可廣泛應(yīng)用于監(jiān)控識別、刷臉支付、門禁考勤等人臉識別主要需求場景,服務(wù)于安防、金融、教育等多個(gè)關(guān)鍵行業(yè)領(lǐng)域,助力解決人臉隱私安全方面的難點(diǎn)痛點(diǎn)問題,實(shí)現(xiàn)人臉識別的高效可用。

論文地址: 

https://www.usenix.org/conference/usenixsecurity24/presentation/jin-shuaifan

本文來自微信公眾號:量子位(ID:QbitAI),作者:金帥帆,原標(biāo)題《防止黑客重建人臉,浙大 & 阿里人臉隱私保護(hù)新方案》

廣告聲明:文內(nèi)含有的對外跳轉(zhuǎn)鏈接(包括不限于超鏈接、二維碼、口令等形式),用于傳遞更多信息,節(jié)省甄選時(shí)間,結(jié)果僅供參考,IT之家所有文章均包含本聲明。

相關(guān)文章

關(guān)鍵詞:浙大,阿里,人臉隱私,人臉識別

軟媒旗下網(wǎng)站: IT之家 最會買 - 返利返現(xiàn)優(yōu)惠券 iPhone之家 Win7之家 Win10之家 Win11之家

軟媒旗下軟件: 軟媒手機(jī)APP應(yīng)用 魔方 最會買 要知