个
04安全性分析PPFR-FD的目标是提供一种轻量级的脱敏方法,使攻击者难以恢复FR系统中训练和推断阶段的人脸图像。它的设计目的不是提供像RSA此等加密方法的安全强度。这也是在维护数据实用性的同时探索更好的隐私保护的第一步。
在这里,我们将在人脸脱敏过程的流程已知,但无法获得关于信道Shuffle、混合和自归一化参数的详细信息的情况下,建立PPFR-FD方案的安全性。“实验”部分给出了不同攻击实验获得的结果。攻击者在恢复原始图像时面临的第一个挑战是:我们丢弃了超过90%的图像能量,这使得在像GAN这样的攻击模式下较难重建原始图像;第二个挑战是:人脸脱敏算法输出的频率分量通道数小于保留的BDCT通道数。
这是由于在两个Shuffle操作之间使用了通道混合。如果没有数据结构等方面的知识,很难从低维数据重建高维数据。此外,人脸图像恢复需要逆两个通道Shuffle操作。考虑BDCT块大小为8的典型设置,8个像素和35个频率分量通道,总共存在35!x34! 种可能的Shuffle操作。虽然用暴力破解空间大小来衡量图像脱敏过程有一定的冗余性,但从通道层面衡量要比相关文献中的像素层面衡量的冗余性更少。由于对于脱敏算法的隐私保护能力缺乏统一的衡量标准,为此我们在衡量本文算法隐私保护能力时,也沿用暴力破解空间这一概念(虽然不是很合适)。
事实上,由于随机化的通道是根据Shuffle2中的频道能量进行排序的,所以两次Shuffle造成的暴力搜索空间会减少,但仍然远大于35!。也就是说,搜索空间的大小远大于128位AES加密算法。这大大增加了通过暴力搜索方法推导Shuffle操作的难度。Shuffle操作只是脱敏算法的一部分,脱敏算法的安全性由多个步骤构成。
在这里,我们解释为什么选择的频道数量是36个:在精度方面,过多的频率通道不会显著提高精度;就数据大小而言,过多的频率通道会增加脱敏数据的大小;在安全方面,选择了36个通道,使两次洗牌的暴力破解空间比2128大;从密码学的角度来看,在现有的计算能力下,破解空间的大小是足够安全的。所以这个数字是基于多方面的权衡选择,而不是唯一的选择。即使向攻击者提供了所有脱敏步骤(白盒攻击),仍很难恢复原始图像,这在以下第5部分中说明。
05实验
表1
表2
在表1中,我们还计算每个算法在LFW数据集上的总运行时间,包括脱敏和推理时间。在表2中,即使PPFR-FD减少了94%以上的图像能量,并且被脱敏,但其性能与基线模型相当,并且优于其它类似算法。DP的性能最差。虽然CPGAN也有更好的性能,但它需要更长的执行时间,并且只能保护推理中的隐私。
图6 白盒攻击实验结果
表3
为了衡量脱敏算法的隐私保护能力,这里进行了白盒和黑盒2种攻击实验。
白盒攻击实验:首先对PPFR-FD-DC(保留直流分量)进行白盒攻击实验。图6的第一行显示了一些实验结果。图6中白盒重建的详细方法和一些技巧见论文附录。表3给出了恢复人脸图像的实验设置。图6(a)(e)显示了两个不同人物的原始灰色面部图像。图6第二行中的图像显示了PPFR-FD的白盒攻击实验。由于缺少直流分量,重建图像相当模糊。图6第三行,我们还考虑用其他图片中的DC组件替换缺失的DC,我们可以看到重建的图像轮廓接近于提供DC分量的人脸图像轮廓。这说明该算法在人脸识别精度上有一定的降低,但具有较高的安全性。重建性能差的原因是人脸图像的可分辨性存在于较高的频率,这些频率值很小,其中的小误差会对可视化产生很大影响。上述图像攻击/重建实验也是一些基于人脸图像先验信息和人脸图像处理算法的安全分析实验。
图7 黑盒攻击实验结果
黑盒攻击实验:我们使用具有很强拟合能力的GAN进行黑盒攻击。在图7中,我们采用Pix2Pix和StyleGAN2的组合模型作为黑盒攻击GAN模型,从脱敏图像重建原始图像。Pix2Pix中的Generator由StyleGAN2中的Generator替代,判别器为6层PatchCNN。我们在PPFR-FD上进行了GAN攻击实验。GAN恢复的人脸图像。(a)(e)为原始图像;(b)(f)是从PPFR-FD使用伪随机序列“Shuffle2”生成的脱敏数据中恢复的图像;(c)(g)是PPFR-FD使用“Shuffle2”完全随机序列生成的图像;(d)(h)是从PPFR-FD使用“Shuffle2”完全随机序列生成的、已排序通道的脱敏数据中恢复的图像。结果表明,用GAN重建人脸图像是困难的。更多结果见论文附录。
06结论
在本文中,我们提出了一个分析网络,该网络执行可解释的隐私准确度权衡分析,以识别对人脸图像可视化重要但对保持高FR准确度不重要的通道。基于隐私性和准确性的权衡分析,提出了一种PPFR-FD方案,并对其安全性进行了分析。该方案的优点是能够在隐私性和准确性之间实现最佳平衡,推理速度快,并且可以在不显著修改网络结构的情况下并入现有的人脸识别算法中。
正式发表版本: