今天小編分享的科學經驗:防止黑客重建人臉,浙大&阿裡人臉隐私保護新方案,歡迎閱讀。
對人臉數據安全的擔憂,有新解了!
浙江大學與阿裡安全部聯手,推出了新的人臉隐私保護方案FaceObfuscator。
不法分子即使從數據庫中獲取到人臉特征,也無法使用各類重構攻擊還原人臉數據、竊取人臉隐私。
新型重構攻擊,威脅人臉隐私
人臉識别是一項基于人臉特征信息進行身份識别的生物識别技術,廣泛應用于金融、安防與民生。
在使用人臉識别系統前,首先需要錄入人臉信息,這些人臉信息會以人臉特征的形式被保存在服務商的人臉數據庫中用于之後的實時人臉識别與身份認證。
△主流的人臉識别架構
然而,網絡和數據安全保障機制的欠缺容易導致人臉數據庫洩露。
雖然人臉特征能夠在一定程度上防止直接的隐私洩露,但不幸的是,這些用肉眼看不出來的人臉特征,仍然可能通過強大的 AI 技術進行人臉重建。
這些洩露的人臉信息一旦被不法分子惡意利用,人們的信息安全将受到極大傷害。
從特征中恢復出原始的人臉影像的過程稱為重構攻擊。
攻擊者通過訓練一個重構網絡,利用大量的人臉影像 - 人臉特征對,通過不斷的訓練和優化使其學習特征向量和對應人臉影像的關聯規則,最後這個重構網絡能夠從特征向量中準确地恢復出原始人臉。
這樣說也許不夠直觀,我們直接看一下復原之前的特征影像:
△人臉特征示意圖
這樣完全不知所雲的影像,經過復原重建之後,除了些許色調差異之外和原始數據集幾乎看不出任何差别。
△重構攻擊流程示意圖
現有的人臉特征保護方案包括螞蟻集團于 2022 年提出的 PPFR-FD(删除部分高頻視覺信息抵御重構攻擊)、騰訊優圖于 2022 年提出的 DuetFace(删除部分低頻視覺信息抵御重構攻擊)等。
這些方法雖然能抵御一些傳統攻擊,但均無法應對此種新興的重構攻擊,用戶的人臉特征能夠被還原為可辨識的人臉影像,用戶隐私受到了嚴重威脅。
△不同防御方案下重構攻擊還原的人臉影像效果
為了解決這一問題,浙江大學區塊鏈與數據安全全國重點實驗室的任奎教授、王志波教授聯合阿裡安全部提出了全新方法——
通過在客戶端篩選頻網域通道删除人臉影像中的冗餘視覺信息,并利用随機性幹擾人臉特征到人臉影像的逆映射,從根源上防御重構攻擊;在服務端,利用逆變換移除随機性,保持人臉識别準确性。
該成果已發表于USENIX Security Symposium 2024,是安全領網域的四大國際頂級學術會議之一。
既要精準識别,也要隐私安全
FaceObfuscator 是一種輕量級的隐私保護人臉識别系統,解決的就是當前人臉識别系統面臨的人臉特征重構隐私威脅。
FaceObfuscator 首先對輸入的人臉影像脫敏得到混淆特征,然後在整個人臉識别流程以及人臉數據庫中使用混淆特征而非人臉影像。
該混淆特征既能用于高精度人臉識别,也能在洩露後有效防止攻擊者從中恢復出原始人臉信息。
△混淆特征生成流程
具體來說,FaceObfuscator 中得到混淆特征的過程可以分為兩步——人臉識别冗餘信息的删除,以及人臉隐私信息的混淆。
第一步,人臉影像視覺信息的删除。這一步就是為了在保證人臉識别精度的情況下,删除包含個人隐私的冗餘視覺信息。
因為不同的頻網域通道含有不同的視覺信息(低頻通道擁有整體視覺信息,高頻通道擁有影像細節信息),該團隊首先通過離散餘弦變換将影像轉化為頻網域特征,以完成影像視覺信息的切分。
經實驗,該團隊發現,無論高頻通道還是低頻通道,每一個頻網域通道均可以用于較為精準的人臉識别,這也意味着原始人臉影像中存在大量冗餘信息。
這些冗餘信對于人臉識别精度的提升并沒有多大幫助,但卻為攻擊者提供了豐富的重構信息。
因此,該團隊通過分析頻網域通道對人臉識别任務的重要性,并将按重要性其排序,最終僅保留對于人臉識别而言最關鍵的頻網域通道作為人臉特征,實現盡可能抑制視覺信息,同時保持人臉識别高精度。
然而,剩餘的頻網域通道中還有部分視覺信息與身份信息高度耦合,仍夠被攻擊者還原出一定隐私信息,需要進一步對人臉特征進行混淆。
于是就來到了第二步。
經分析,該研究團隊發現,進一步抵御重構攻擊的關鍵在于幹擾重構網絡的梯度下降過程,以阻止其拟合從人臉特征到人臉影像的逆映射。
因此,在客戶端,FaceObfuscator 對每一個人臉特征從方向和尺度兩個維度進行随機變換,引入随機性抵御重構攻擊。
其中,方向的随機性是通過随機翻轉人臉特征中元素的符号位實現的,尺度的随機性是通過對人臉特征中元素的數值進行指數變換實現的。
當人臉特征具有随機性時,攻擊者使用的損失函數将難以收斂,從而幹擾重構網絡的梯度下降過程,有效抵御各類重構攻擊。
△人臉特征方向與尺度随機變換示意圖
同時,研究團隊通過實驗發現,人臉特征方向的随機性對人臉識别精度影響極小,不會影響正常的人臉識别。
因此在服務端僅需考慮移除尺度維度的随機性,保證人臉識别。
具體來說,服務端通過執行指數變換的逆變換——對數變換,将同一個身份的不同混淆特征還原為同一人臉特征,以移除尺度的随機性,保證人臉識别的準确性。
最終,FaceObfuscator 生成了一種抗重構的人臉特征,用于保護人臉數據的傳輸和存儲。
此種保護方案,不是加密勝似加密,既具備出色的防御效果,又能保持較低的計算開銷和存儲開銷。
有效抵御重構攻擊
如下圖所示,該團隊在 6 個公開人臉數據集(LFW、CFP-FF、CFP-FP、AgeDB-30、CALFW、CPLFW)測試了 FaceObfuscator 的隐私保護能力。
△不同防御方案下重構攻擊還原的人臉影像效果
在實驗中,攻擊者采用基于深度學習網絡(DNN)的方式學習特征到人臉影像的映射,進而從洩露的人臉特征中直接恢復出人臉影像。
這也是目前最主流的、最有效的攻擊方式。
可以看到相較于其他方案,FaceObfuscator 的人臉特征無法被重構為人臉影像,有效了保護人臉隐私。
△不同防御方案的 COS、SRRA 指标
其中 COS 為餘弦相似度,計算方法是通過另一個獨立的人臉識别系統分别獲取重構影像與原始影像在 512 維人臉特征空間中的身份向量,計算兩者餘弦相似度。
COS 越低,防御效果越好。
SRRA 是重放攻擊成功率,具體是指使用某個人臉識别系統的重構影像來欺騙同一人臉識别系統以成功進行身份認證的概率,SRRA 越低意味着隐私保護能力越好。
結果,重構圖片與原始圖片的餘弦相似度大幅減少,有效保護人臉隐私;
重放攻擊成功率大幅降低 SRRA 值(從 90% 降低至 0.1% 數量級),有效防止洩露人臉突破人臉識别系統。
同時該團隊也對人臉識别精度、存儲開銷、計算開銷等進行了定量的實驗。
結果,該方案人臉識别精度與基線(Arcface)基本保持一致,擁有最低的存儲開銷,較優的時間開銷,如下表所示:
△不同方案在人臉識别效用方面的表現
注:● 代表良好的防御攻擊能力;◐ 代表對攻擊的防護能力較差;○ 表示無法防御攻擊; 黃色方塊表示缺陷,例如:與基線(Arcface)相比精度損失超過 3% 或防護能力較差;紅色方塊表示嚴重缺陷,例如:與基線(Arcface)相比精度損失超過 5% 或沒有保護能力。
總結與展望
綜上所述,可以看到 FaceObfuscator 具有以下三點優勢:
強隐私保護:在防御隐私攻擊方面,FaceObfuscator 相比其他保護方案具有明顯優勢,能夠有效保護人臉隐私。
高精度識别:FaceObfuscator 在多個人臉識别精度測試集中表現出色,人臉識别精度與主流開源模型精度相當。
高效率運行:更小的存儲空間和更快的運算。通過存儲混淆特征而非原圖 , 節省存儲空間 , 計算速度遠超加密方案,與沒有隐私保護的人臉識别系統效率接近。
該方案可廣泛應用于監控識别、刷臉支付、門禁考勤等人臉識别主要需求場景,服務于安防、金融、教育等多個關鍵行業領網域,助力解決人臉隐私安全方面的難點痛點問題,實現人臉識别的高效可用。
論文地址: https://www.usenix.org/conference/usenixsecurity24/presentation/jin-shuaifan
— 完 —
投稿請發郵件到:
标題注明【投稿】,告訴我們:
你是誰,從哪來,投稿内容
附上論文 / 項目主頁鏈接,以及聯系方式哦
我們會(盡量)及時回復你
點這裡關注我,記得标星哦~
一鍵三連「分享」、「點贊」和「在看」
科技前沿進展日日相見 ~
>
