申请/专利权人：浙江大学

申请日：2023-03-07

公开（公告）日：2024-04-16

公开（公告）号：CN116778544B

主分类号：G06V40/16

分类号：G06V40/16;G06V40/50;G06V10/774;G06V10/82;G06V10/94

优先权：

专利状态码：有效-授权

法律状态：2024.04.16#授权;2023.10.10#实质审查的生效;2023.09.19#公开

摘要：本发明公开了一种面向人脸识别隐私保护的对抗性特征生成方法，建立了一个影子模型，以获取从面部特征到图像的映射函数，通过解决约束优化问题生成对抗性潜在噪声来破坏映射，并由此提出了一种保护隐私的对抗性特征，其在面对未知结构的攻击网络时能保持优异的防御性能，可以在保持人脸识别准确性的同时抵御未知重构攻击，有效保护人脸隐私安全，本发明实用性高，不需要更改已部署的人脸识别模型，可以作为隐私增强模块快速集成到现有人脸识别系统中，使其满足保护人脸隐私的需求；也可以选择性优化身份识别网络，以满足更高识别精度的要求。

主权项：1.一种面向人脸识别隐私保护的对抗性特征生成方法，其特征在于，包含如下步骤：1准备阶段：1.1在完成人脸识别模型的初始训练后，将该人脸识别模型分为两部分：特征提取器E·和身份识别网络将特征提取器E·作为客户端分发给用户，身份识别网络则置于服务端；2影子模型训练阶段：2.1通过特征提取器E·，将人脸图像数据集处理为与数据集相对应的面部特征；2.2根据人脸图像数据集与相应面部特征的对应关系训练得到影子模型S·并部署在服务端；3初始化数据库阶段：3.1若无人脸识别数据库，则建立人脸识别数据库，若已存在人脸识别数据库，则获取该人脸识别数据库；3.2利用特征提取器E·将人脸识别数据库处理为面部特征数据库；3.3面部特征数据库中的面部特征被影子模型S·处理为Ⅰ类影子图像，Ⅰ类影子图像经过特征提取器E·处理后得到影子特征；3.4利用相同的影子模型S·处理影子特征，得到Ⅱ类影子图像；3.5计算Ⅰ类影子图像与Ⅱ类影子图像两者之间的重构损失，并根据损失计算相应的梯度大小以及梯度方向；3.6根据梯度大小以及梯度方向，通过解决一个约束优化问题，生成对抗性潜在噪声；3.7将影子特征与对抗性潜在噪声相加得到具有隐私保护能力的对抗性特征；3.8用对抗性特征替换原有的人脸识别数据库中的数据，完成对人脸识别数据库的初始化或安全性更新；4系统运行阶段：4.1从人脸识别终端获取的待验证的人脸图像，经过特征提取器E·处理为面部特征后，发送至服务端；4.2面部特征被影子模型S·处理为Ⅰ类影子图像，Ⅰ类影子图像经过特征提取器E·处理后得到影子特征；4.3利用相同的影子模型S·处理影子特征，得到Ⅱ类影子图像；4.4计算Ⅰ类影子图像与Ⅱ类影子图像两者之间的重构损失，并根据损失计算相应的梯度大小以及梯度方向；4.5根据梯度大小以及梯度方向，通过解决一个约束优化问题，生成对抗性潜在噪声；4.6将影子特征与对抗性潜在噪声相加得到待验证人脸图像对应的具有隐私保护能力的对抗性特征；4.7利用身份识别网络将待验证的人脸图像对应的对抗性特征与人脸识别数据库中的对抗性特征进行比对，得到人脸识别结果；所述的步骤3.6、步骤4.5所述的对抗性潜在噪声的约束优化目标旨在找到一个Lp-norm有界噪声δ来扰动特征，从而使重构损失最大化，其公式化为以下约束优化问题： 其中x是原始面部图像，z表示从x中提取的面部特征，δ表示对抗性潜在噪声，ξ表示噪声界限，R为重构攻击网络，所述的优化问题通过沿的梯度方向添加噪声来解决，为了生成对抗性特征，在的指导下将对抗性潜在噪声δ注入到影子特征中，使用基于梯度的ProjectGradientDescent算法生成对抗性特征来打破从特征到原始面部图像的映射，从而使人脸识别系统能够抵御重构攻击，它沿梯度方向迭代地添加噪声，同时限制每次迭代的扰动范围，所述的对抗性特征的生成表述为： 其中S为影子模型，α控制噪声的大小，ε限制每次迭代中添加的噪声水平，sign·是一个作用于每个元素的函数，它输出1表示正梯度值，-1表示负梯度值，0表示梯度值为0。

全文数据：

权利要求：

百度查询： 浙江大学 一种面向人脸识别隐私保护的对抗性特征生成方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD