防止黑客重建人臉，浙大&阿里人臉隱私保護新方案

金帥帆 投稿

量子位 | 公眾號 QbitAI

對人臉數據安全的擔憂，有新解了！

浙江大學與阿萊恩全部聯手，推出了新的人臉隱私保護方案FaceObfuscator。

不法分子即使從數據庫中獲取到人臉特徵，也無法使用各類重構攻擊還原人臉數據、竊取人臉隱私。

新型重構攻擊，威脅人臉隱私

人臉識別是一項基於人臉特徵信息進行身份識別的生物識別技術，廣泛應用於金融、安防與民生。

在使用人臉識別系統前，首先需要錄入人臉信息，這些人臉信息會以人臉特徵的形式被保存在服務商的人臉數據庫中用於之後的實時人臉識別與身份認證。

然而，網絡和數據安全保障機制的欠缺容易導致人臉數據庫泄露。

雖然人臉特徵能夠在一定程度上防止直接的隱私泄露，但不幸的是，這些用肉眼看不出來的人臉特徵，仍然可能通過強大的AI技術進行人臉重建。

這些泄露的人臉信息一旦被不法分子惡意利用，人們的信息安全將受到極大傷害。

從特徵中恢復出原始的人臉圖像的過程稱為重構攻擊。

攻擊者通過訓練一個重構網絡，利用大量的人臉圖像-人臉特徵對，通過不斷的訓練和優化使其學習特徵向量和對應人臉圖像的關聯規則，最後這個重構網絡能夠從特徵向量中準確地恢復出原始人臉。

這樣說也許不夠直觀，我們直接看一下複原之前的特徵圖像：

這樣完全不知所云的圖像，經過複原重建之後，除了些許色調差異之外和原始數據集幾乎看不出任何差別。

現有的人臉特徵保護方案包括螞蟻集團於2022年提出的PPFR-FD（刪除部分高頻視覺信息抵禦重構攻擊）、騰訊優圖於2022年提出的DuetFace（刪除部分低頻視覺信息抵禦重構攻擊）等。

這些方法雖然能抵禦一些傳統攻擊，但均無法應對此種新興的重構攻擊，用戶的人臉特徵能夠被還原為可辨識的人臉圖像，用戶隱私受到了嚴重威脅。

為瞭解決這一問題，浙江大學區塊鏈與數據安全全國重點實驗室的任奎教授、王誌波教授聯合阿萊恩全部提出了全新方法——

通過在客戶端篩選頻域通道刪除人臉圖像中的冗餘視覺信息，並利用隨機性干擾人臉特徵到人臉圖像的逆映射，從根源上防禦重構攻擊；在服務端，利用逆變換移除隨機性，保持人臉識別準確性。

該成果已發表於USENIX Security Symposium 2024，是安全領域的四大國際頂級學術會議之一。

既要精準識別，也要隱私安全

FaceObfuscator是一種輕量級的隱私保護人臉識別系統，解決的就是當前人臉識別系統面臨的人臉特徵重構隱私威脅。

FaceObfuscator首先對輸入的人臉圖像脫敏得到混淆特徵，然後在整個人臉識別流程以及人臉數據庫中使用混淆特徵而非人臉圖像。

該混淆特徵既能用於高精度人臉識別，也能在泄露後有效防止攻擊者從中恢復出原始人臉信息。

具體來說，FaceObfuscator中得到混淆特徵的過程可以分為兩步——人臉識別冗餘信息的刪除，以及人臉隱私信息的混淆。

第一步，人臉圖像視覺信息的刪除。這一步就是為了在保證人臉識別精度的情況下，刪除包含個人隱私的冗餘視覺信息。

因為不同的頻域通道含有不同的視覺信息（低頻通道擁有整體視覺信息，高頻通道擁有圖像細節信息），該團隊首先通過離散餘弦變換將圖像轉化為頻域特徵，以完成圖像視覺信息的切分。

經實驗，該團隊發現，無論高頻通道還是低頻通道，每一個頻域通道均可以用於較為精準的人臉識別，這也意味著原始人臉圖像中存在大量冗餘信息。

這些冗餘信對於人臉識別精度的提升並沒有多大幫助，但卻為攻擊者提供了豐富的重構信息。

因此，該團隊通過分析頻域通道對人臉識別任務的重要性，並將按重要性其排序，最終僅保留對於人臉識別而言最關鍵的頻域通道作為人臉特徵，實現儘可能抑制視覺信息，同時保持人臉識別高精度。

然而，賸餘的頻域通道中還有部分視覺信息與身份信息高度耦合，仍夠被攻擊者還原出一定隱私信息，需要進一步對人臉特徵進行混淆。

於是就來到了第二步。

經分析，該研究團隊發現，進一步抵禦重構攻擊的關鍵在於干擾重構網絡的梯度下降過程，以阻止其擬合從人臉特徵到人臉圖像的逆映射。

因此，在客戶端，FaceObfuscator對每一個人臉特徵從方向和尺度兩個維度進行隨機變換，引入隨機性抵禦重構攻擊。

其中，方向的隨機性是通過隨機翻轉人臉特徵中元素的符號位實現的，尺度的隨機性是通過對人臉特徵中元素的數值進行指數變換實現的。

當人臉特徵具有隨機性時，攻擊者使用的損失函數將難以收斂，從而干擾重構網絡的梯度下降過程，有效抵禦各類重構攻擊。

同時，研究團隊通過實驗發現，人臉特徵方向的隨機性對人臉識別精度影響極小，不會影響正常的人臉識別。

因此在服務端僅需考慮移除尺度維度的隨機性，保證人臉識別。

具體來說，服務端通過執行指數變換的逆變換——對數變換，將同一個身份的不同混淆特徵還原為同一人臉特徵，以移除尺度的隨機性，保證人臉識別的準確性。

最終，FaceObfuscator生成了一種抗重構的人臉特徵，用於保護人臉數據的傳輸和存儲。

此種保護方案，不是加密勝似加密，既具備出色的防禦效果，又能保持較低的計算開銷和存儲開銷。

有效抵禦重構攻擊

如下圖所示，該團隊在6個公開人臉數據集（LFW、CFP-FF、CFP-FP、AgeDB-30、CALFW、CPLFW）測試了FaceObfuscator的隱私保護能力。

在實驗中，攻擊者採用基於深度學習網絡（DNN）的方式學習特徵到人臉圖像的映射，進而從泄露的人臉特徵中直接恢復出人臉圖像。

這也是目前最主流的、最有效的攻擊方式。

可以看到相較於其他方案，FaceObfuscator的人臉特徵無法被重構為人臉圖像，有效了保護人臉隱私。

其中COS為餘弦相似度，計算方法是通過另一個獨立的人臉識別系統分別獲取重構圖像與原始圖像在 512 維人臉特徵空間中的身份向量，計算兩者餘弦相似度。

COS 越低，防禦效果越好。

SRRA是重放攻擊成功率，具體是指使用某個人臉識別系統的重構圖像來欺騙同一人臉識別系統以成功進行身份認證的概率，SRRA越低意味著隱私保護能力越好。

結果，重構圖片與原始圖片的餘弦相似度大幅減少，有效保護人臉隱私；

重放攻擊成功率大幅降低SRRA值（從90%降低至0.1%數量級），有效防止泄露人臉突破人臉識別系統。

同時該團隊也對人臉識別精度、存儲開銷、計算開銷等進行了定量的實驗。

結果，該方案人臉識別精度與基線（Arcface）基本保持一致，擁有最低的存儲開銷，較優的時間開銷，如下表所示：

註：● 代表良好的防禦攻擊能力；◐ 代表對攻擊的防護能力較差；○ 表示無法防禦攻擊； 黃色方塊表示缺陷，例如：與基線（Arcface）相比精度損失超過 3% 或防護能力較差；紅色方塊表示嚴重缺陷，例如：與基線（Arcface）相比精度損失超過 5% 或沒有保護能力。

總結與展望

綜上所述，可以看到FaceObfuscator具有以下三點優勢：

• 強隱私保護：在防禦隱私攻擊方面，FaceObfuscator相比其他保護方案具有明顯優勢，能夠有效保護人臉隱私。

• 高精度識別：FaceObfuscator在多個人臉識別精度測試集中表現出色，人臉識別精度與主流開源模型精度相當。

• 高效率運行：更小的存儲空間和更快的運算。通過存儲混淆特徵而非原圖,節省存儲空間,計算速度遠超加密方案，與沒有隱私保護的人臉識別系統效率接近。

該方案可廣泛應用於監控識別、刷臉支付、門禁考勤等人臉識別主要需求場景，服務於安防、金融、教育等多個關鍵行業領域，助力解決人臉隱私安全方面的難點痛點問題，實現人臉識別的高效可用。

論文地址： https://www.usenix.org/conference/usenixsecurity24/presentation/jin-shuaifan