防止黑客重建人臉，浙大&阿里人臉隱私保護(hù)新方案

金帥帆 投稿
量子位 | 公眾號(hào) QbitAI

對(duì)人臉數(shù)據(jù)安全的擔(dān)憂，有新解了！

浙江大學(xué)與阿里安全部聯(lián)手，推出了新的人臉隱私保護(hù)方案FaceObfuscator。

不法分子即使從數(shù)據(jù)庫(kù)中獲取到人臉特征，也無(wú)法使用各類重構(gòu)攻擊還原人臉數(shù)據(jù)、竊取人臉隱私。

新型重構(gòu)攻擊，威脅人臉隱私

人臉識(shí)別是一項(xiàng)基于人臉特征信息進(jìn)行身份識(shí)別的生物識(shí)別技術(shù)，廣泛應(yīng)用于金融、安防與民生。

在使用人臉識(shí)別系統(tǒng)前，首先需要錄入人臉信息，這些人臉信息會(huì)以人臉特征的形式被保存在服務(wù)商的人臉數(shù)據(jù)庫(kù)中用于之后的實(shí)時(shí)人臉識(shí)別與身份認(rèn)證。

△主流的人臉識(shí)別架構(gòu)

然而，網(wǎng)絡(luò)和數(shù)據(jù)安全保障機(jī)制的欠缺容易導(dǎo)致人臉數(shù)據(jù)庫(kù)泄露。

雖然人臉特征能夠在一定程度上防止直接的隱私泄露，但不幸的是，這些用肉眼看不出來(lái)的人臉特征，仍然可能通過(guò)強(qiáng)大的AI技術(shù)進(jìn)行人臉重建。

這些泄露的人臉信息一旦被不法分子惡意利用，人們的信息安全將受到極大傷害。

從特征中恢復(fù)出原始的人臉圖像的過(guò)程稱為重構(gòu)攻擊。

攻擊者通過(guò)訓(xùn)練一個(gè)重構(gòu)網(wǎng)絡(luò)，利用大量的人臉圖像-人臉特征對(duì)，通過(guò)不斷的訓(xùn)練和優(yōu)化使其學(xué)習(xí)特征向量和對(duì)應(yīng)人臉圖像的關(guān)聯(lián)規(guī)則，最后這個(gè)重構(gòu)網(wǎng)絡(luò)能夠從特征向量中準(zhǔn)確地恢復(fù)出原始人臉。

這樣說(shuō)也許不夠直觀，我們直接看一下復(fù)原之前的特征圖像：

△人臉特征示意圖

這樣完全不知所云的圖像，經(jīng)過(guò)復(fù)原重建之后，除了些許色調(diào)差異之外和原始數(shù)據(jù)集幾乎看不出任何差別。

△重構(gòu)攻擊流程示意圖

現(xiàn)有的人臉特征保護(hù)方案包括螞蟻集團(tuán)于2022年提出的PPFR-FD（刪除部分高頻視覺(jué)信息抵御重構(gòu)攻擊）、騰訊優(yōu)圖于2022年提出的DuetFace（刪除部分低頻視覺(jué)信息抵御重構(gòu)攻擊）等。

這些方法雖然能抵御一些傳統(tǒng)攻擊，但均無(wú)法應(yīng)對(duì)此種新興的重構(gòu)攻擊，用戶的人臉特征能夠被還原為可辨識(shí)的人臉圖像，用戶隱私受到了嚴(yán)重威脅。

△不同防御方案下重構(gòu)攻擊還原的人臉圖像效果

為了解決這一問(wèn)題，浙江大學(xué)區(qū)塊鏈與數(shù)據(jù)安全全國(guó)重點(diǎn)實(shí)驗(yàn)室的任奎教授、王志波教授聯(lián)合阿里安全部提出了全新方法——

通過(guò)在客戶端篩選頻域通道刪除人臉圖像中的冗余視覺(jué)信息，并利用隨機(jī)性干擾人臉特征到人臉圖像的逆映射，從根源上防御重構(gòu)攻擊；在服務(wù)端，利用逆變換移除隨機(jī)性，保持人臉識(shí)別準(zhǔn)確性。

該成果已發(fā)表于USENIX Security Symposium 2024，是安全領(lǐng)域的四大國(guó)際頂級(jí)學(xué)術(shù)會(huì)議之一。

既要精準(zhǔn)識(shí)別，也要隱私安全

FaceObfuscator是一種輕量級(jí)的隱私保護(hù)人臉識(shí)別系統(tǒng)，解決的就是當(dāng)前人臉識(shí)別系統(tǒng)面臨的人臉特征重構(gòu)隱私威脅。

FaceObfuscator首先對(duì)輸入的人臉圖像脫敏得到混淆特征，然后在整個(gè)人臉識(shí)別流程以及人臉數(shù)據(jù)庫(kù)中使用混淆特征而非人臉圖像。

該混淆特征既能用于高精度人臉識(shí)別，也能在泄露后有效防止攻擊者從中恢復(fù)出原始人臉信息。

△混淆特征生成流程

具體來(lái)說(shuō)，F(xiàn)aceObfuscator中得到混淆特征的過(guò)程可以分為兩步——人臉識(shí)別冗余信息的刪除，以及人臉隱私信息的混淆。

第一步，人臉圖像視覺(jué)信息的刪除。這一步就是為了在保證人臉識(shí)別精度的情況下，刪除包含個(gè)人隱私的冗余視覺(jué)信息。

因?yàn)椴煌念l域通道含有不同的視覺(jué)信息（低頻通道擁有整體視覺(jué)信息，高頻通道擁有圖像細(xì)節(jié)信息），該團(tuán)隊(duì)首先通過(guò)離散余弦變換將圖像轉(zhuǎn)化為頻域特征，以完成圖像視覺(jué)信息的切分。

經(jīng)實(shí)驗(yàn)，該團(tuán)隊(duì)發(fā)現(xiàn)，無(wú)論高頻通道還是低頻通道，每一個(gè)頻域通道均可以用于較為精準(zhǔn)的人臉識(shí)別，這也意味著原始人臉圖像中存在大量冗余信息。

這些冗余信對(duì)于人臉識(shí)別精度的提升并沒(méi)有多大幫助，但卻為攻擊者提供了豐富的重構(gòu)信息。

因此，該團(tuán)隊(duì)通過(guò)分析頻域通道對(duì)人臉識(shí)別任務(wù)的重要性，并將按重要性其排序，最終僅保留對(duì)于人臉識(shí)別而言最關(guān)鍵的頻域通道作為人臉特征，實(shí)現(xiàn)盡可能抑制視覺(jué)信息，同時(shí)保持人臉識(shí)別高精度。

然而，剩余的頻域通道中還有部分視覺(jué)信息與身份信息高度耦合，仍夠被攻擊者還原出一定隱私信息，需要進(jìn)一步對(duì)人臉特征進(jìn)行混淆。

于是就來(lái)到了第二步。

經(jīng)分析，該研究團(tuán)隊(duì)發(fā)現(xiàn)，進(jìn)一步抵御重構(gòu)攻擊的關(guān)鍵在于干擾重構(gòu)網(wǎng)絡(luò)的梯度下降過(guò)程，以阻止其擬合從人臉特征到人臉圖像的逆映射。

因此，在客戶端，F(xiàn)aceObfuscator對(duì)每一個(gè)人臉特征從方向和尺度兩個(gè)維度進(jìn)行隨機(jī)變換，引入隨機(jī)性抵御重構(gòu)攻擊。

其中，方向的隨機(jī)性是通過(guò)隨機(jī)翻轉(zhuǎn)人臉特征中元素的符號(hào)位實(shí)現(xiàn)的，尺度的隨機(jī)性是通過(guò)對(duì)人臉特征中元素的數(shù)值進(jìn)行指數(shù)變換實(shí)現(xiàn)的。

當(dāng)人臉特征具有隨機(jī)性時(shí)，攻擊者使用的損失函數(shù)將難以收斂，從而干擾重構(gòu)網(wǎng)絡(luò)的梯度下降過(guò)程，有效抵御各類重構(gòu)攻擊。

△人臉特征方向與尺度隨機(jī)變換示意圖

同時(shí)，研究團(tuán)隊(duì)通過(guò)實(shí)驗(yàn)發(fā)現(xiàn)，人臉特征方向的隨機(jī)性對(duì)人臉識(shí)別精度影響極小，不會(huì)影響正常的人臉識(shí)別。

因此在服務(wù)端僅需考慮移除尺度維度的隨機(jī)性，保證人臉識(shí)別。

具體來(lái)說(shuō)，服務(wù)端通過(guò)執(zhí)行指數(shù)變換的逆變換——對(duì)數(shù)變換，將同一個(gè)身份的不同混淆特征還原為同一人臉特征，以移除尺度的隨機(jī)性，保證人臉識(shí)別的準(zhǔn)確性。

最終，F(xiàn)aceObfuscator生成了一種抗重構(gòu)的人臉特征，用于保護(hù)人臉數(shù)據(jù)的傳輸和存儲(chǔ)。

此種保護(hù)方案，不是加密勝似加密，既具備出色的防御效果，又能保持較低的計(jì)算開(kāi)銷和存儲(chǔ)開(kāi)銷。

有效抵御重構(gòu)攻擊

如下圖所示，該團(tuán)隊(duì)在6個(gè)公開(kāi)人臉數(shù)據(jù)集（LFW、CFP-FF、CFP-FP、AgeDB-30、CALFW、CPLFW）測(cè)試了FaceObfuscator的隱私保護(hù)能力。

△不同防御方案下重構(gòu)攻擊還原的人臉圖像效果

在實(shí)驗(yàn)中，攻擊者采用基于深度學(xué)習(xí)網(wǎng)絡(luò)（DNN）的方式學(xué)習(xí)特征到人臉圖像的映射，進(jìn)而從泄露的人臉特征中直接恢復(fù)出人臉圖像。

這也是目前最主流的、最有效的攻擊方式。

可以看到相較于其他方案，FaceObfuscator的人臉特征無(wú)法被重構(gòu)為人臉圖像，有效了保護(hù)人臉隱私。

△不同防御方案的COS、SRRA指標(biāo)

其中COS為余弦相似度，計(jì)算方法是通過(guò)另一個(gè)獨(dú)立的人臉識(shí)別系統(tǒng)分別獲取重構(gòu)圖像與原始圖像在 512 維人臉特征空間中的身份向量，計(jì)算兩者余弦相似度。

COS 越低，防御效果越好。

SRRA是重放攻擊成功率，具體是指使用某個(gè)人臉識(shí)別系統(tǒng)的重構(gòu)圖像來(lái)欺騙同一人臉識(shí)別系統(tǒng)以成功進(jìn)行身份認(rèn)證的概率，SRRA越低意味著隱私保護(hù)能力越好。

結(jié)果，重構(gòu)圖片與原始圖片的余弦相似度大幅減少，有效保護(hù)人臉隱私；

重放攻擊成功率大幅降低SRRA值（從90%降低至0.1%數(shù)量級(jí)），有效防止泄露人臉突破人臉識(shí)別系統(tǒng)。

同時(shí)該團(tuán)隊(duì)也對(duì)人臉識(shí)別精度、存儲(chǔ)開(kāi)銷、計(jì)算開(kāi)銷等進(jìn)行了定量的實(shí)驗(yàn)。

結(jié)果，該方案人臉識(shí)別精度與基線（Arcface）基本保持一致，擁有最低的存儲(chǔ)開(kāi)銷，較優(yōu)的時(shí)間開(kāi)銷，如下表所示：

△不同方案在人臉識(shí)別效用方面的表現(xiàn)

注：● 代表良好的防御攻擊能力；? 代表對(duì)攻擊的防護(hù)能力較差；○ 表示無(wú)法防御攻擊；?黃色方塊表示缺陷，例如：與基線（Arcface）相比精度損失超過(guò) 3% 或防護(hù)能力較差；紅色方塊表示嚴(yán)重缺陷，例如：與基線（Arcface）相比精度損失超過(guò) 5% 或沒(méi)有保護(hù)能力。

總結(jié)與展望

綜上所述，可以看到FaceObfuscator具有以下三點(diǎn)優(yōu)勢(shì)：

• 強(qiáng)隱私保護(hù)：在防御隱私攻擊方面，F(xiàn)aceObfuscator相比其他保護(hù)方案具有明顯優(yōu)勢(shì)，能夠有效保護(hù)人臉隱私。
• 高精度識(shí)別：FaceObfuscator在多個(gè)人臉識(shí)別精度測(cè)試集中表現(xiàn)出色，人臉識(shí)別精度與主流開(kāi)源模型精度相當(dāng)。
• 高效率運(yùn)行：更小的存儲(chǔ)空間和更快的運(yùn)算。通過(guò)存儲(chǔ)混淆特征而非原圖,節(jié)省存儲(chǔ)空間,計(jì)算速度遠(yuǎn)超加密方案，與沒(méi)有隱私保護(hù)的人臉識(shí)別系統(tǒng)效率接近。

該方案可廣泛應(yīng)用于監(jiān)控識(shí)別、刷臉支付、門(mén)禁考勤等人臉識(shí)別主要需求場(chǎng)景，服務(wù)于安防、金融、教育等多個(gè)關(guān)鍵行業(yè)領(lǐng)域，助力解決人臉隱私安全方面的難點(diǎn)痛點(diǎn)問(wèn)題，實(shí)現(xiàn)人臉識(shí)別的高效可用。

論文地址：?https://www.usenix.org/conference/usenixsecurity24/presentation/jin-shuaifan