浙大阿里联合研发新技术,破解人脸识别隐私泄露难题
浙大阿里联合研发新技术,破解人脸识别隐私泄露难题
浙江大学与阿里安全部近日联合发布了一项创新性的人脸隐私保护方案FaceObfuscator,该方案通过独特的频域通道筛选和随机性干扰技术,有效抵御了当前最先进的重构攻击,同时保持了人脸识别的高精度。这一突破性研究成果已发表于安全领域四大国际顶级学术会议之一的USENIX Security Symposium 2024。
人脸识别技术广泛应用于金融、安防与民生领域,其安全性备受关注。尽管人脸特征信息在一定程度上防止了直接的隐私泄露,但近年来,不法分子利用AI技术进行人脸重建的攻击手段日益 sophisticated,严重威胁用户隐私。
新型重构攻击:人脸隐私的新威胁
在使用人脸识别系统前,用户的人脸信息会以特征向量的形式保存在数据库中。这些看似杂乱无章的特征向量,实际上可能被不法分子通过训练重构网络进行还原。
主流的人脸识别架构
攻击者通过大量的图像-特征对训练,使网络学会特征向量与人脸图像之间的关联规则,最终实现从特征向量中恢复原始人脸图像。这种攻击手段的威力有多大?看看下面的对比图:
重构攻击流程示意图
即使是最新的防御方案,如蚂蚁集团的PPFR-FD和腾讯优图的DuetFace,也难以抵御这种新型重构攻击,用户隐私面临严重威胁。
FaceObfuscator:从根源上防御重构攻击
为了解决这一难题,浙江大学区块链与数据安全全国重点实验室的任奎教授、王志波教授与阿里安全部联合提出了FaceObfuscator方案。该方案的核心思想是在客户端通过频域通道筛选删除冗余视觉信息,并利用随机性干扰重构过程;在服务端则通过逆变换移除随机性,确保识别精度。
具体来说,FaceObfuscator的创新之处在于:
- 筛选关键频域通道:通过离散余弦变换将图像转化为频域特征,分析并保留对人脸识别最重要的频域通道,删除冗余信息。
- 引入随机性干扰:对人脸特征进行方向和尺度的随机变换,干扰重构网络的梯度下降过程,使其难以学习特征到图像的逆映射。
人脸特征方向与尺度随机变换示意图
实验验证:卓越的隐私保护效果
研究团队在6个公开人脸数据集上测试了FaceObfuscator的性能,结果令人振奋:
- 余弦相似度(COS):重构图像与原始图像的余弦相似度大幅降低,表明隐私保护效果显著。
- 重放攻击成功率(SRRA):从90%降低至0.1%数量级,有效防止了隐私泄露导致的身份认证突破。
方案 | COS | SRRA |
|---|---|---|
FaceObfuscator | 显著降低 | 0.1% |
其他方案 | 较高 | 90% |
性能优势:兼顾隐私与效率
FaceObfuscator不仅在隐私保护方面表现出色,还保持了高精度的人脸识别效果,且计算与存储开销较低。
方案 | 识别精度 | 存储开销 | 计算开销 |
|---|---|---|---|
FaceObfuscator | 与Arcface相当 | 最低 | 较优 |
其他方案 | 精度损失 | 较大开销 | 效率较低 |
应用前景:多领域广泛适用
FaceObfuscator具有以下显著优势:
- 强隐私保护:有效抵御当前最先进的重构攻击。
- 高精度识别:保持与主流开源模型相当的识别精度。
- 高效率运行:存储空间需求小,运算速度快。
该方案可广泛应用于监控识别、刷脸支付、门禁考勤等场景,为安防、金融、教育等行业提供强有力的技术支撑。
本文原文来自量子位公众号