對人臉數(shù)據(jù)安全的擔(dān)憂，有新解了！

浙江大學(xué)與阿里安全部聯(lián)手，推出了新的人臉隱私保護方案FaceObfuscator。

不法分子即使從數(shù)據(jù)庫中獲取到人臉特征，也無法使用各類重構(gòu)攻擊還原人臉數(shù)據(jù)、竊取人臉隱私。

新型重構(gòu)攻擊，威脅人臉隱私

人臉識別是一項基于人臉特征信息進行身份識別的生物識別技術(shù)，廣泛應(yīng)用于金融、安防與民生。

在使用人臉識別系統(tǒng)前，首先需要錄入人臉信息，這些人臉信息會以人臉特征的形式被保存在服務(wù)商的人臉數(shù)據(jù)庫中用于之后的實時人臉識別與身份認(rèn)證。

△主流的人臉識別架構(gòu)

然而，網(wǎng)絡(luò)和數(shù)據(jù)安全保障機制的欠缺容易導(dǎo)致人臉數(shù)據(jù)庫泄露。

雖然人臉特征能夠在一定程度上防止直接的隱私泄露，但不幸的是，這些用肉眼看不出來的人臉特征，仍然可能通過強大的AI技術(shù)進行人臉重建。

這些泄露的人臉信息一旦被不法分子惡意利用，人們的信息安全將受到極大傷害。

從特征中恢復(fù)出原始的人臉圖像的過程稱為重構(gòu)攻擊。

攻擊者通過訓(xùn)練一個重構(gòu)網(wǎng)絡(luò)，利用大量的人臉圖像-人臉特征對，通過不斷的訓(xùn)練和優(yōu)化使其學(xué)習(xí)特征向量和對應(yīng)人臉圖像的關(guān)聯(lián)規(guī)則，最后這個重構(gòu)網(wǎng)絡(luò)能夠從特征向量中準(zhǔn)確地恢復(fù)出原始人臉。

這樣說也許不夠直觀，我們直接看一下復(fù)原之前的特征圖像：

△人臉特征示意圖

這樣完全不知所云的圖像，經(jīng)過復(fù)原重建之后，除了些許色調(diào)差異之外和原始數(shù)據(jù)集幾乎看不出任何差別。

△重構(gòu)攻擊流程示意圖

現(xiàn)有的人臉特征保護方案包括螞蟻集團于2022年提出的PPFR-FD（刪除部分高頻視覺信息抵御重構(gòu)攻擊）、騰訊優(yōu)圖于2022年提出的DuetFace（刪除部分低頻視覺信息抵御重構(gòu)攻擊）等。

這些方法雖然能抵御一些傳統(tǒng)攻擊，但均無法應(yīng)對此種新興的重構(gòu)攻擊，用戶的人臉特征能夠被還原為可辨識的人臉圖像，用戶隱私受到了嚴(yán)重威脅。

△不同防御方案下重構(gòu)攻擊還原的人臉圖像效果

為了解決這一問題，浙江大學(xué)區(qū)塊鏈與數(shù)據(jù)安全全國重點實驗室的任奎教授、王志波教授聯(lián)合阿里安全部提出了全新方法——

通過在客戶端篩選頻域通道刪除人臉圖像中的冗余視覺信息，并利用隨機性干擾人臉特征到人臉圖像的逆映射，從根源上防御重構(gòu)攻擊；在服務(wù)端，利用逆變換移除隨機性，保持人臉識別準(zhǔn)確性。

該成果已發(fā)表于USENIX Security Symposium 2024，是安全領(lǐng)域的四大國際頂級學(xué)術(shù)會議之一。

既要精準(zhǔn)識別，也要隱私安全

FaceObfuscator是一種輕量級的隱私保護人臉識別系統(tǒng)，解決的就是當(dāng)前人臉識別系統(tǒng)面臨的人臉特征重構(gòu)隱私威脅。

FaceObfuscator首先對輸入的人臉圖像脫敏得到混淆特征，然后在整個人臉識別流程以及人臉數(shù)據(jù)庫中使用混淆特征而非人臉圖像。

該混淆特征既能用于高精度人臉識別，也能在泄露后有效防止攻擊者從中恢復(fù)出原始人臉信息。

△混淆特征生成流程

具體來說，F(xiàn)aceObfuscator中得到混淆特征的過程可以分為兩步——人臉識別冗余信息的刪除，以及人臉隱私信息的混淆。

第一步，人臉圖像視覺信息的刪除。這一步就是為了在保證人臉識別精度的情況下，刪除包含個人隱私的冗余視覺信息。

因為不同的頻域通道含有不同的視覺信息（低頻通道擁有整體視覺信息，高頻通道擁有圖像細(xì)節(jié)信息），該團隊首先通過離散余弦變換將圖像轉(zhuǎn)化為頻域特征，以完成圖像視覺信息的切分。

經(jīng)實驗，該團隊發(fā)現(xiàn)，無論高頻通道還是低頻通道，每一個頻域通道均可以用于較為精準(zhǔn)的人臉識別，這也意味著原始人臉圖像中存在大量冗余信息。

這些冗余信對于人臉識別精度的提升并沒有多大幫助，但卻為攻擊者提供了豐富的重構(gòu)信息。

因此，該團隊通過分析頻域通道對人臉識別任務(wù)的重要性，并將按重要性其排序，最終僅保留對于人臉識別而言最關(guān)鍵的頻域通道作為人臉特征，實現(xiàn)盡可能抑制視覺信息，同時保持人臉識別高精度。

然而，剩余的頻域通道中還有部分視覺信息與身份信息高度耦合，仍夠被攻擊者還原出一定隱私信息，需要進一步對人臉特征進行混淆。

于是就來到了第二步。

經(jīng)分析，該研究團隊發(fā)現(xiàn)，進一步抵御重構(gòu)攻擊的關(guān)鍵在于干擾重構(gòu)網(wǎng)絡(luò)的梯度下降過程，以阻止其擬合從人臉特征到人臉圖像的逆映射。

因此，在客戶端，F(xiàn)aceObfuscator對每一個人臉特征從方向和尺度兩個維度進行隨機變換，引入隨機性抵御重構(gòu)攻擊。

其中，方向的隨機性是通過隨機翻轉(zhuǎn)人臉特征中元素的符號位實現(xiàn)的，尺度的隨機性是通過對人臉特征中元素的數(shù)值進行指數(shù)變換實現(xiàn)的。

當(dāng)人臉特征具有隨機性時，攻擊者使用的損失函數(shù)將難以收斂，從而干擾重構(gòu)網(wǎng)絡(luò)的梯度下降過程，有效抵御各類重構(gòu)攻擊。

△人臉特征方向與尺度隨機變換示意圖

同時，研究團隊通過實驗發(fā)現(xiàn)，人臉特征方向的隨機性對人臉識別精度影響極小，不會影響正常的人臉識別。

因此在服務(wù)端僅需考慮移除尺度維度的隨機性，保證人臉識別。

具體來說，服務(wù)端通過執(zhí)行指數(shù)變換的逆變換——對數(shù)變換，將同一個身份的不同混淆特征還原為同一人臉特征，以移除尺度的隨機性，保證人臉識別的準(zhǔn)確性。

最終，F(xiàn)aceObfuscator生成了一種抗重構(gòu)的人臉特征，用于保護人臉數(shù)據(jù)的傳輸和存儲。

此種保護方案，不是加密勝似加密，既具備出色的防御效果，又能保持較低的計算開銷和存儲開銷。

有效抵御重構(gòu)攻擊

如下圖所示，該團隊在6個公開人臉數(shù)據(jù)集（LFW、CFP-FF、CFP-FP、AgeDB-30、CALFW、CPLFW）測試了FaceObfuscator的隱私保護能力。

△不同防御方案下重構(gòu)攻擊還原的人臉圖像效果

在實驗中，攻擊者采用基于深度學(xué)習(xí)網(wǎng)絡(luò)（DNN）的方式學(xué)習(xí)特征到人臉圖像的映射，進而從泄露的人臉特征中直接恢復(fù)出人臉圖像。

這也是目前最主流的、最有效的攻擊方式。

可以看到相較于其他方案，FaceObfuscator的人臉特征無法被重構(gòu)為人臉圖像，有效了保護人臉隱私。

△不同防御方案的COS、SRRA指標(biāo)

其中COS為余弦相似度，計算方法是通過另一個獨立的人臉識別系統(tǒng)分別獲取重構(gòu)圖像與原始圖像在 512 維人臉特征空間中的身份向量，計算兩者余弦相似度。

COS 越低，防御效果越好。

SRRA是重放攻擊成功率，具體是指使用某個人臉識別系統(tǒng)的重構(gòu)圖像來欺騙同一人臉識別系統(tǒng)以成功進行身份認(rèn)證的概率，SRRA越低意味著隱私保護能力越好。

結(jié)果，重構(gòu)圖片與原始圖片的余弦相似度大幅減少，有效保護人臉隱私；

重放攻擊成功率大幅降低SRRA值（從90%降低至0.1%數(shù)量級），有效防止泄露人臉突破人臉識別系統(tǒng)。

同時該團隊也對人臉識別精度、存儲開銷、計算開銷等進行了定量的實驗。

結(jié)果，該方案人臉識別精度與基線（Arcface）基本保持一致，擁有最低的存儲開銷，較優(yōu)的時間開銷，如下表所示：

△不同方案在人臉識別效用方面的表現(xiàn)

注：● 代表良好的防御攻擊能力；? 代表對攻擊的防護能力較差；○ 表示無法防御攻擊； 黃色方塊表示缺陷，例如：與基線（Arcface）相比精度損失超過 3% 或防護能力較差；紅色方塊表示嚴(yán)重缺陷，例如：與基線（Arcface）相比精度損失超過 5% 或沒有保護能力。

總結(jié)與展望

綜上所述，可以看到FaceObfuscator具有以下三點優(yōu)勢：

• 強隱私保護：在防御隱私攻擊方面，F(xiàn)aceObfuscator相比其他保護方案具有明顯優(yōu)勢，能夠有效保護人臉隱私。
• 高精度識別：FaceObfuscator在多個人臉識別精度測試集中表現(xiàn)出色，人臉識別精度與主流開源模型精度相當(dāng)。
• 高效率運行：更小的存儲空間和更快的運算。通過存儲混淆特征而非原圖,節(jié)省存儲空間,計算速度遠(yuǎn)超加密方案，與沒有隱私保護的人臉識別系統(tǒng)效率接近。

該方案可廣泛應(yīng)用于監(jiān)控識別、刷臉支付、門禁考勤等人臉識別主要需求場景，服務(wù)于安防、金融、教育等多個關(guān)鍵行業(yè)領(lǐng)域，助力解決人臉隱私安全方面的難點痛點問題，實現(xiàn)人臉識別的高效可用。

論文地址： https://www.usenix.org/conference/usenixsecurity24/presentation/jin-shuaifan