金帥帆 投稿
量子位 | 公眾號 QbitAI
對人臉數據安全的擔憂,有新解了!
浙江大學與阿賴恩全部聯手,推出了新的人臉私密保護方案FaceObfuscator
。
不法分子即使從數據庫中獲取到人臉特征,也無法使用各類重構攻擊還原人臉數據、竊取人臉私密。
新型重構攻擊,威脅人臉私密
人臉辨識是一項基於人臉特征資訊進行身份辨識的生物辨識技術,廣泛套用於金融、安防與民生。
在使用人臉辨識系統前,首先需要錄入人臉資訊,這些人臉資訊會以人臉特征的形式被保存在服務商的人臉數據庫中用於之後的即時人臉辨識與身份認證。
△主流的人臉辨識架構
然而,網絡和數據安全保障機制的欠缺容易導致人臉數據庫泄露。
雖然人臉特征能夠在一定程度上防止直接的私密泄露,但不幸的是,這些用肉眼看不出來的人臉特征,仍然可能透過強大的AI技術進行人臉重建。
這些泄露的人臉資訊一旦被不法分子惡意利用,人們的資訊保安將受到極大傷害。
從特征中恢復出原始的人臉影像的過程稱為重構攻擊。
攻擊者透過訓練一個重構網絡,利用大量的人臉影像-人臉特征對,透過不斷的訓練和最佳化使其學習特征向量和對應人臉影像的關聯規則,最後這個重構網絡能夠從特征向量中準確地恢復出原始人臉。
這樣說也許不夠直觀,我們直接看一下復原之前的特征影像:
△人臉特征示意圖
這樣完全不知所雲的影像,經過復原重建之後,除了些許色調差異之外和原始數據集幾乎看不出任何差別。
△重構攻擊流程示意圖
現有的人臉特征保護方案包括螞蟻集團於2022年提出的PPFR-FD(刪除部份高頻視覺資訊抵禦重構攻擊)、騰訊優圖於2022年提出的DuetFace(刪除部份低頻視覺資訊抵禦重構攻擊)等。
這些方法雖然能抵禦一些傳統攻擊,但均無法應對此種新興的重構攻擊,使用者的人臉特征能夠被還原為可辨識的人臉影像,使用者私密受到了嚴重威脅。
△不同防禦方案下重構攻擊還原的人臉影像效果
為了解決這一問題,浙江大學區塊鏈與數據安全全國重點實驗室的任奎教授、王誌波教授
聯合阿賴恩全部
提出了全新方法——
透過在客戶端篩選頻域通道刪除人臉影像中的冗余視覺資訊,並利用隨機性幹擾人臉特征到人臉影像的逆對映,從根源上防禦重構攻擊
;在伺服端,利用逆變換移除隨機性
,保持人臉辨識準確性。
該成果已發表於USENIX Security Symposium 2024
,是安全領域的四大國際頂級學術會議之一
。
既要精準辨識,也要私密安全
FaceObfuscator是一種輕量級的私密保護人臉辨識系統,解決的就是當前人臉辨識系統面臨的人臉特征重構私密威脅。
FaceObfuscator首先對輸入的人臉影像脫敏得到混淆特征,然後在整個人臉辨識流程以及人臉數據庫中使用混淆特征而非人臉影像。
該混淆特征既能用於高精度人臉辨識,也能在泄露後有效防止攻擊者從中恢復出原始人臉資訊。
△混淆特征生成流程
具體來說,FaceObfuscator中得到混淆特征的過程可以分為兩步——人臉辨識冗余資訊的刪除
,以及人臉私密資訊的混淆
。
第一步
,人臉影像視覺資訊的刪除。這一步就是為了在保證人臉辨識精度的情況下,刪除包含個人私密的冗余視覺資訊。
因為不同的頻域通道含有不同的視覺資訊(低頻通道擁有整體視覺資訊,高頻通道擁有影像細節資訊),該團隊首先透過離散余弦變換將影像轉化為頻域特征,以完成影像視覺資訊的切分。
經實驗,該團隊發現,無論高頻通道還是低頻通道,每一個頻域通道均可以用於較為精準的人臉辨識,這也意味著原始人臉影像中存在大量冗余資訊
。
這些冗余信對於人臉辨識精度的提升並沒有多大幫助,但卻為攻擊者提供了豐富的重構資訊。
因此,該團隊透過分析頻域通道對人臉辨識任務的重要性,並將按重要性其排序,最終僅保留對於人臉辨識而言最關鍵的頻域通道作為人臉特征
,實作盡可能抑制視覺資訊,同時保持人臉辨識高精度。
然而,剩余的頻域通道中還有部份視覺資訊與身份資訊高度耦合,仍夠被攻擊者還原出一定私密資訊,需要進一步對人臉特征進行混淆。
於是就來到了第二步
。
經分析,該研究團隊發現,進一步抵禦重構攻擊的關鍵在於幹擾重構網絡的梯度下降過程,以阻止其擬合從人臉特征到人臉影像的逆對映
。
因此,在客戶端,FaceObfuscator對每一個人臉特征從方向和尺度兩個維度進行隨機變換,引入隨機性抵禦重構攻擊。
其中,方向的隨機性是透過隨機翻轉人臉特征中元素的符號位實作的,尺度的隨機性是透過對人臉特征中元素的數值進行指數變換實作的。
當人臉特征具有隨機性時,攻擊者使用的損失函數將難以收斂,從而幹擾重構網絡的梯度下降過程,有效抵禦各類重構攻擊
。
△人臉特征方向與尺度隨機變換示意圖
同時,研究團隊透過實驗發現,人臉特征方向的隨機性對人臉辨識精度影響極小,不會影響正常的人臉辨識
。
因此在伺服端僅需考慮移除尺度維度的隨機性,保證人臉辨識。
具體來說,伺服端透過執行指數變換的逆變換——對數變換,將同一個身份的不同混淆特征還原為同一人臉特征
,以移除尺度的隨機性,保證人臉辨識的準確性。
最終,FaceObfuscator生成了一種抗重構的人臉特征,用於保護人臉數據的傳輸和儲存。
此種保護方案,不是加密勝似加密
,既具備出色的防禦效果,又能保持較低的計算開銷和儲存開銷。
有效抵禦重構攻擊
如下圖所示,該團隊在6個公開人臉數據集(LFW、CFP-FF、CFP-FP、AgeDB-30、CALFW、CPLFW)測試了FaceObfuscator的私密保護能力。
△不同防禦方案下重構攻擊還原的人臉影像效果
在實驗中,攻擊者采用基於深度學習網絡(DNN)的方式學習特征到人臉影像的對映,進而從泄露的人臉特征中直接恢復出人臉影像。
這也是目前最主流的、最有效的攻擊方式。
可以看到相較於其他方案,FaceObfuscator的人臉特征無法被重構為人臉影像,有效了保護人臉私密
。
△不同防禦方案的COS、SRRA指標
其中COS為余弦相似度,計算方法是透過另一個獨立的人臉辨識系統分別獲取重構影像與原始影像在 512 維人臉特征空間中的身份向量,計算兩者余弦相似度。
COS 越低,防禦效果越好。
SRRA是重放攻擊成功率,具體是指使用某個人臉辨識系統的重構影像來欺騙同一人臉辨識系統以成功進行身份認證的概率,SRRA越低意味著私密保護能力越好。
結果,重構圖片與原始圖片的余弦相似度大幅減少,有效保護人臉私密;
重放攻擊成功率大幅降低SRRA值(從90%降低至0.1%數量級),有效防止泄露人臉突破人臉辨識系統。
同時該團隊也對人臉辨識精度、儲存開銷、計算開銷等進行了定量的實驗。
結果,該方案人臉辨識精度與基線(Arcface)基本保持一致,擁有最低的儲存開銷,較優的時間開銷,如下表所示:
△不同方案在人臉辨識效用方面的表現
註:● 代表良好的防禦攻擊能力;◐ 代表對攻擊的防護能力較差;○ 表示無法防禦攻擊; 黃色方塊表示缺陷,例如:與基線(Arcface)相比精度損失超過 3% 或防護能力較差;紅色方塊表示嚴重缺陷,例如:與基線(Arcface)相比精度損失超過 5% 或沒有保護能力。
總結與展望
綜上所述,可以看到FaceObfuscator具有以下三點優勢:
強私密保護
:在防禦私密攻擊方面,FaceObfuscator相比其他保護方案具有明顯優勢,能夠有效保護人臉私密。
高精度辨識
:FaceObfuscator在多個人臉辨識精度測試集中表現出色,人臉辨識精度與主流開源模型精度相當。
高效率執行
:更小的儲存空間和更快的運算。透過儲存混淆特征而非原圖,節省儲存空間,計算速度遠超加密方案,與沒有私密保護的人臉辨識系統效率接近。
該方案可廣泛套用於監控辨識、刷臉支付、門禁考勤等人臉辨識主要需求場景,服務於安防、金融、教育等多個關鍵行業領域,助力解決人臉私密安全方面的難點痛點問題,實作人臉辨識的高效可用。
論文地址: https://www.usenix.org/conference/usenixsecurity24/presentation/jin-shuaifan
