一种面向人脸识别隐私保护的对抗性特征生成方法

1.本发明涉及人工智能(ai)安全领域和数据安全领域，具体涉及一种面向人脸识别隐私保护的对抗性特征生成方法，既可以保证人脸识别系统精度同时能够抵御重构攻击保护人脸隐私。


背景技术：

2.人脸识别是一种利用个人面部信息识别身份的方式，它已被广泛用于许多安全敏感的场景应用中。毋庸置疑，用于生物识别的面部图像对每个人来说都是应该受到保护的个人隐私。为了避免面部图像的直接泄露，主流的人脸识别系统通常采用客户端-服务器模式，通过客户端的特征提取器从面部图像中提取特征，并将面部特征而不是面部图像存储在服务器端，用于之后的在线识别。
3.由于人脸特征抑制了人脸的视觉信息，在一定程度上可以实现人脸隐私的保护。但不幸的是，这些特征一旦泄露仍然可以被利用来恢复人脸敏感信息，例如，通过重构网络恢复出原始图像的外观。现有的人脸隐私保护方法的技术问题在于无法有效地平衡隐私保护的有效性和人脸识别任务的准确性，因而无法满足应用需求。


技术实现要素：

4.本发明就是针对现有技术的不足，提供了一种面向人脸识别隐私保护的对抗性特征生成方法，兼顾人脸识别任务的准确性和隐私保护的有效性。
5.为了实现上述目的，本技术提供了以下技术方案：
6.在一个总体方面，提供了一种面向人脸识别隐私保护的对抗性特征生成方法，其特殊之处在于，包含如下步骤：
7.1)准备阶段：
8.1.1)在完成人脸识别模型的初始训练后，将该人脸识别模型分为两部分：特征提取器e(
·
)和身份识别网络(计算密集型)，将特征提取器e(
·
)作为客户端分发给用户，身份识别网络则置于服务端；
9.2)影子模型训练阶段：
10.2.1)通过特征提取器e(
·
)，将人脸图像数据集(训练集)处理为与数据集相对应的面部特征；
11.2.2)根据人脸图像数据(训练集)与相应面部特征的对应关系训练得到影子模型s(
·
)并部署在服务端；
12.3)初始化数据库阶段：
13.3.1)若无人脸识别数据库，则建立人脸识别数据库，若已存在人脸识别数据库，则获取该人脸识别数据库；
14.3.2)利用特征提取器e(
·
)将人脸识别数据库处理为面部特征数据库；
15.3.3)面部特征数据库中的面部特征被影子模型s(
·
)处理为i类影子图像，i类影
子图像经过特征提取器e(
·
)处理后得到影子特征；
16.3.4)利用相同的影子模型s(
·
)处理影子特征，得到ii类影子图像；
17.3.5)计算i类影子图像与ii类影子图像两者之间的重构损失，并根据损失计算相应的梯度大小以及梯度方向；
18.3.6)根据梯度大小以及梯度方向，通过解决一个约束优化问题，生成对抗性潜在噪声；
19.3.7)将影子特征与对抗性潜在噪声相加得到具有隐私保护能力的对抗性特征；
20.3.8)用对抗性特征替换原有的人脸识别数据库中的数据，完成对人脸识别数据库的初始化或安全性更新；
21.4)系统运行阶段：
22.4.1)从人脸识别终端获取的待验证的人脸图像，经过特征提取器e(
·
)处理为面部特征后，发送至服务端；
23.4.2)面部特征被影子模型s(
·
)处理为i类影子图像，i类影子图像经过特征提取器e(
·
)处理后得到影子特征；
24.4.3)利用相同的影子模型s(
·
)处理影子特征，得到ⅱ类影子图像；
25.4.4)计算ⅰ类影子图像与ⅱ类影子图像两者之间的重构损失，并根据损失计算相应的梯度大小以及梯度方向；
26.4.5)根据梯度大小以及梯度方向，通过解决一个约束优化问题，生成对抗性潜在噪声；
27.4.6)将影子特征与对抗性潜在噪声相加得到待验证人脸图像对应的具有隐私保护能力的对抗性特征；
28.4.7)利用身份识别网络将待验证的人脸图像对应的对抗性特征与人脸识别数据库中的对抗性特征进行比对，得到人脸识别结果。
29.进一步地，步骤1.1)所述的特征提取器e(
·
)被分发给客户端，是一个轻量级的网络，只需要用很少的计算来提取浅层特征，所述的身份识别网络部署在服务端用于身份识别。
30.进一步地，步骤2.2)所述的影子模型s(
·
)是任意结构的重构网络，以学习从面部特征到人脸图像的映射关系，通过最小化以下损失函数在公共人脸数据集上训练影子模型s(
·
)：
[0031][0032]
其中x是人脸图像数据(训练集)，z是相应的面部特征集，xi是单个原始面部图像，zi表示从xi中提取的单个面部特征。
[0033]
进一步地，步骤3.3)、步骤4.2)所述的面部特征被影子模型s(
·
)处理为ⅰ类影子图像，ⅰ类影子图像经过特征提取器e(
·
)处理后得到影子特征，所述过程形式化表示为：
[0034][0035]
其中是影子模型根据客户端提交的面部特征z重建的ⅰ类影子图像，是使用特征提取器从ⅰ类影子图像中提取的影子特征。
[0036]
进一步地，步骤3.5)、步骤4.4)所述的影子模型重构损失的梯度进一步地，步骤3.5)、步骤4.4)所述的影子模型重构损失的梯度与添加噪声(扰动)δ的关系如下：
[0037][0038]
其中表示将δ初始化为零的对抗性特征，添加噪声后，攻击者无法从对抗特征中恢复ⅰ类影子图像由于与原始图像x高度相似，因此攻击者也很难重建原始图像，由于用于训练的人脸图像和部署人脸识别网络后遇到的人脸图像可能有很大差异，故更新了影子模型中批量归一化(bn)层的参数，独立计算每一批次面部特征的均值μ和方差σ。
[0039]
进一步地，步骤3.6)、步骤4.5)所述的对抗性潜在噪声的约束优化目标旨在找到一个l
p-norm有界噪声δ来扰动特征，从而使重构损失最大化，其公式化为以下约束优化问题：
[0040][0041]
其中x是原始面部图像，z表示从x中提取的面部特征，δ表示对抗性潜在噪声，ξ表示噪声界限，r为重构攻击网络，所述的优化问题通过沿的梯度方向添加噪声来解决，为了生成对抗性特征，在的指导下将对抗性潜在噪声δ注入到影子特征中，使用project gradient descent(pgd)算法(基于梯度的方法)生成对抗性特征来打破从特征到原始面部图像的映射，从而使人脸识别系统能够抵御重构攻击，它沿梯度方向迭代地添加噪声，同时限制每次迭代的扰动范围，所述的对抗性特征的生成表述为：
[0042][0043]
其中s为影子模型，α控制噪声的大小，ε限制每次迭代中添加的噪声水平，sign(
·
)是一个作用于每个元素的函数，它输出1表示正梯度值，-1表示负梯度值，0表示梯度值为0。
[0044]
进一步地，步骤4)所述的系统运行阶段，具有两种不同的选择：在线模式、离线模式。所述的在线模式为即插即用，直接更新现有人脸识别数据库(人脸图像数据库或面部特征数据库)为受保护的对抗性特征数据库，无需修改或重新训练网络即可有效保护人脸隐私，同时保持高精度人脸识别；离线模式为利用对抗性特征进一步训练服务端的身份识别网络获得更准确的识别结果。
[0045]
本发明的有益效果如下：
[0046]
本发明涉及人工智能(ai)安全领域和数据安全领域，公开了一种面向人脸识别隐私保护的对抗性特征生成方法。相较于以往隐私保护工作无法平衡人脸识别任务的准确性和隐私保护的有效性的缺陷，本发明建立了一个影子模型，以获取从面部特征到图像的映射函数，通过解决约束优化问题生成对抗性潜在噪声来破坏映射，并由此提出了一种保护隐私的对抗性特征，其在面对未知结构的攻击网络时能保持优异的防御性能，可以在保持人脸识别准确性的同时抵御未知重构攻击，有效保护人脸隐私安全。本发明实用性高，不需要更改已部署的人脸识别模型，可以作为隐私增强模块快速集成到现有人脸识别系统中，使其满足保护人脸隐私的需求；也可以选择性优化身份识别网络，以满足更高识别精度的要求。此外，本发明提出的对抗性特征还为实体之间的协作提供了一个安全的人脸数据共享载体，即使用对抗性特征代替原始图像或者面部特征进行数据共享，在保护人脸隐私的
同时满足训练人脸任务的需求。
附图说明
[0047]
图1是面向人脸识别隐私保护的对抗性特征生成方法中影子模型的训练流程图；
[0048]
图2是面向人脸识别隐私保护的对抗性特征生成方法中初始化数据库流程图；
[0049]
图3是面向人脸识别隐私保护的对抗性特征生成方法中系统运行阶段的流程图；
[0050]
图4是面向人脸识别隐私保护的对抗性特征生成方法中影子模型的详细结构图；
[0051]
图5是本发明人脸识别精度与抗重构能力两者指标关系图；
[0052]
图6是本发明与现有人脸识别隐私方法精度指标比较图；
[0053]
图7是本发明与现有人脸识别隐私方法抗重构能力指标比较图；
[0054]
图8是本发明面对不同网络架构重构攻击时的抗重构能力指标比较图。
具体实施方式
[0055]
为了使本发明的目的、技术方法及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
[0056]
面向人脸识别隐私保护的对抗性特征生成方法包含如下步骤：
[0057]
1)在完成人脸识别模型的初始训练后，将该人脸识别模型分为两部分：特征提取器e(
·
)和身份识别网络(计算密集型)。将特征提取器e(
·
)分发给用户，身份识别网络则置于服务端。具体来说，将已经完成训练或者已经部署的人脸识别模型分为两个顺序模块：特征提取器e(
·
)和身份识别网络e(
·
)被分发给客户端，应该注意的是，e(
·
)是一个轻量级的网络，只需要用很少的计算来提取浅层特征，与之相对地，部署在服务端用于身份识别，需要较多的计算资源。本实施例中以resnet50网络为例，选择前3层作为特征提取器e(
·
)，剩余层数作为身份识别网络
[0058]
2)通过特征提取器e(
·
)，将人脸图像数据集(训练集)处理为与数据集相对应的面部特征。此处的人脸图像数据集(训练集)可以采用网络上的公开人脸数据集，如celeba、casia-webface，也可以采用人脸识别服务商自建的私有数据集；
[0059]
3)根据人脸图像数据(训练集)与相应面部特征的对应关系训练得到影子模型s(
·
)并部署在服务端，在服务器上构建一个强大的影子模型s(
·
)，它是任意结构的重构网络，以学习从面部特征到人脸图像的映射关系，通过最小化以下损失函数在公共人脸数据集上训练影子模型s(
·
)：
[0060][0061]
其中x是人脸图像数据(训练集)，z是相应的面部特征集，xi是单个原始面部图像，zi表示从xi中提取的单个面部特征。此外，在给定由相同特征提取器提取的图像-特征对时，不同的能力足够的网络学习从面部特征到图像的映射相似，与具体采用的网络无关，图4是本实施例中采用的能力足够的网络的详细架构，但不限于这些架构，本实施例中影子模型s
(
·
)采用学习率为1e-4的adam优化器，在公开数据集casia-webface上训练10轮；
[0062]
4)若无人脸识别数据库，则建立人脸识别数据库，若已存在人脸识别数据库，则获取该人脸识别数据库。针对未部署的人脸识别系统，需要完成用户注册以获得用于比对的人脸识别数据库，针对已部署的人脸识别系统，则已经存在人脸识别数据库；
[0063]
5)利用特征提取器e(
·
)将人脸识别数据库处理为面部特征数据库。若是人脸识别数据库为人脸图像则需进行步骤5)将其转化为面部特征，若是已为面部特征则无需转化。本实施例中所转化的面部特征大小为772×
64；
[0064]
6)面部特征数据库中的面部特征被影子模型s(
·
)处理为ⅰ类影子图像，ⅰ类影子图像经过特征提取器e(
·
)处理后得到影子特征，上述过程形式化表示为：
[0065][0066]
其中是影子模型根据客户端提交的面部特征z重建的ⅰ类影子图像，是使用特征提取器从ⅰ类影子图像中提取的影子特征。
[0067]
7)利用步骤6)的影子模型s(
·
)处理影子特征，得到ⅱ类影子图像。值得注意的是，面部特征、ⅰ类影子图像、ⅱ类影子图像等中间产物不会在服务器中进行存储，仅以字节流形式参与运算，运算结束后便销毁，以保证隐私安全。
[0068]
8)计算ⅰ类影子图像与ⅱ类影子图像两者之间的重构损失，并根据损失计算相应的梯度大小以及梯度方向。影子模型重构损失的梯度与添加噪声(扰动)δ的关系如下：
[0069][0070]
其中表示将δ初始化为零的对抗性特征，添加噪声后，攻击者无法从对抗特征中恢复ⅰ类影子图像由于与原始图像x高度相似，因此攻击者也很难重建原始图像，此外，考虑到用于训练的人脸图像和部署人脸识别网络后遇到的人脸图像可能有很大不同，本方法更新了影子模型中批量归一化(bn)层的参数，具体来说，与典型的bn过程在推理阶段使用从训练数据集中学习的参数对输入进行归一化，本方法则独立计算每一批次面部特征的均值μ和方差σ，以确保生成更具针对性、更有效的对抗性噪声。
[0071]
9)根据梯度大小以及梯度方向，通过解决一个约束优化问题，生成对抗性潜在噪声。对抗性潜在噪声的约束优化目标旨在找到一个l
p-norm有界噪声δ来扰动特征，从而使重构损失最大化，其公式化为以下约束优化问题：
[0072][0073]
其中，r为重构攻击网络，x是原始面部图像，z表示从x中提取的面部特征，δ表示对抗性潜在噪声，ξ表示噪声界限，直观地说，该优化问题通过沿的梯度方向添加噪声来解决，为了生成对抗性特征，在的指导下将对抗性潜在噪声δ注入到影子特征中，本实施例中使用project gradient descent(pgd)算法(基于梯度的方法)生成对抗性特征来打破从特征到原始面部图像的映射，从而使人脸识别系统能够抵御重构攻击，它沿梯度方向迭代地添加噪声，同时限制每次迭代的扰动范围，具体来说，对抗性特征的生成可以表述为：
[0074]
[0075]
其中s为影子模型，α控制噪声的大小，ε限制每次迭代中添加的噪声水平，sign(
·
)是一个作用于每个元素的函数，它输出1表示正梯度值，-1表示负梯度值，0表示梯度值为0。本实施例中α设置为0.2ε设置为0.2，总迭代轮数为40轮；
[0076]
10)将影子特征与对抗性潜在噪声相加得到具有隐私保护能力的对抗性特征，对抗性特征对于重构攻击有着优秀的抵御能力，图5、图6、图7、图8分别从隐私保护有效性和人脸识别任务准确性的平衡能力、人脸识别任务准确性、对抗性特征抗重构能力、对抗性特征隐私保护泛化性等角度证明了本方案的有效性，本实施例中所生成的具有隐私保护能力的对抗性特征大小为772×
64，与原始面部特征大小一致；
[0077]
11)将对抗性特征替换原有的人脸识别数据库中的数据，完成对人脸识别数据库的初始化或安全性更新，人脸数据的隐私安全性得到保障；
[0078]
12)在系统运行阶段，从人脸识别终端获取的待验证的人脸图像，经过特征提取器e(
·
)处理为面部特征后，发送至服务端，本实施例中所获取的人脸图像的大小统一处理为1602×
3；
[0079]
13)面部特征采用步骤6)到10)所述的数据处理流程进行处理，获得待验证的人脸图像对应的对抗性特征，具体流程为：面部特征被影子模型s
·
处理为ⅰ类影子图像，ⅰ类影子图像经过特征提取器e
·
处理后得到影子特征；利用相同的影子模型s
·
处理影子特征，得到ⅱ类影子图像；计算ⅰ类影子图像与ⅱ类影子图像两者之间的重构损失，并根据损失计算相应的梯度大小以及梯度方向；根据梯度大小以及梯度方向，通过解决一个约束优化问题，生成对抗性潜在噪声；将影子特征与对抗性潜在噪声相加得到待验证人脸图像对应的具有隐私保护能力的对抗性特征；
[0080]
14)利用身份识别网络将待验证的人脸图像对应的对抗性特征与人脸识别数据库中的对抗性特征进行比对，得到人脸识别结果。
[0081]
本发明在系统运行阶段拥有两种不同的选择，包括：
[0082]
在线模式：即插即用，无需修改或重新训练网络即可有效保护人脸隐私，同时保持高精度；
[0083]
离线模式：可以利用对抗性特征继续训练的身份识别网络获得更高精度的识别结果。
[0084]
图1为面向人脸识别隐私保护的对抗性特征生成方法中影子模型的训练流程图，对应步骤2)至步骤3)；图2为面向人脸识别隐私保护的对抗性特征生成方法中初始化数据库流程图，对应步骤4)至步骤11)；图3为面向人脸识别隐私保护的对抗性特征生成方法中系统运行阶段的流程图，对应步骤12)至步骤14)。
[0085]
本发明采用accuracy(精度)评估人脸识别能力，accuracy越高，人脸识别能力越强。本发明采用ssim(结构相似性)、psnr(峰值信噪比)、mse(均方误差)和srra(重放攻击成功率)来评估重构图像的质量。ssim是一个介于0和1之间的数字，重建图像和原始图像之间的差异越大，该方法的抗重构效果越好，当两幅图像完全相同时，ssim＝1；psnr也被用来比较重建图像和相应的原始图像之间的相似度，数值越小说明重建图像的质量越差，抗重构能力越好；mse代表重建图像与原始图像像素差值，差值越大，隐私保护效果越好；srra代表重放攻击成功率，即使用由面部特征还原的图片进行人脸识别匹配成功的概率。图5中ε限制每次迭代中添加的噪声水平，随着ε的增大，psnr的快速下降，人脸识别精度(accuracy)
基本没有变化，表明本发明能够很好地平衡隐私保护的有效性和人脸识别任务的准确性，并可以通过调整ε的数值，满足不同业务需求。图6表示当ε＝0.2时在lfw数据集、cfp-cp数据集、agedb-30数据集上现有方法与本方法人脸识别精度，本方法在保持人脸识别精度的情况下，达到了人脸隐私保护的目标。图7表示当ε＝0.2时在lfw数据集、cfp-cp数据集、agedb-30数据集上重建图片的平均ssim、psnr、mse和srra。可以看出，在三个测试数据集上，由对抗性特征重建的图片的平均ssim、psnr和srra值远低于其他方法，mse远高于其他方法，说明本发明可以有效保护各种人脸图像的隐私。同时，图8展示了本发明对于不同架构重构攻击的抵御能力，相近的各项指标表示本发明对不同网络架构的重构攻击均有优秀的抵御能力。
[0086]
应当理解的是，上述针对较佳实施例的描述较为详细，并不能因此而认为是对本发明专利保护范围的限制，本领域的普通技术人员在本发明的启示下，在不脱离本发明权利要求所保护的范围情况下，还可以做出替换或变形，均落入本发明的保护范围之内，本发明的请求保护范围应以所附权利要求为准。

技术特征：
1.一种面向人脸识别隐私保护的对抗性特征生成方法，其特征在于，包含如下步骤：1)准备阶段：1.1)在完成人脸识别模型的初始训练后，将该人脸识别模型分为两部分：特征提取器e(
·
)和身份识别网络(计算密集型)，将特征提取器e(
·
)作为客户端分发给用户，身份识别网络则置于服务端；2)影子模型训练阶段：2.1)通过特征提取器e(
·
)，将人脸图像数据集(训练集)处理为与数据集相对应的面部特征；2.2)根据人脸图像数据(训练集)与相应面部特征的对应关系训练得到影子模型s(
·
)并部署在服务端；3)初始化数据库阶段：3.1)若无人脸识别数据库，则建立人脸识别数据库，若已存在人脸识别数据库，则获取该人脸识别数据库；3.2)利用特征提取器e(
·
)将人脸识别数据库处理为面部特征数据库；3.3)面部特征数据库中的面部特征被影子模型s(
·
)处理为ⅰ类影子图像，ⅰ类影子图像经过特征提取器e(
·
)处理后得到影子特征；3.4)利用相同的影子模型s(
·
)处理影子特征，得到ⅱ类影子图像；3.5)计算ⅰ类影子图像与ⅱ类影子图像两者之间的重构损失，并根据损失计算相应的梯度大小以及梯度方向；3.6)根据梯度大小以及梯度方向，通过解决一个约束优化问题，生成对抗性潜在噪声；3.7)将影子特征与对抗性潜在噪声相加得到具有隐私保护能力的对抗性特征；3.8)用对抗性特征替换原有的人脸识别数据库中的数据，完成对人脸识别数据库的初始化或安全性更新；4)系统运行阶段：4.1)从人脸识别终端获取的待验证的人脸图像，经过特征提取器e(
·
)处理为面部特征后，发送至服务端；4.2)面部特征被影子模型s(
·
)处理为ⅰ类影子图像，ⅰ类影子图像经过特征提取器e(
·
)处理后得到影子特征；4.3)利用相同的影子模型s(
·
)处理影子特征，得到ⅱ类影子图像；4.4)计算ⅰ类影子图像与ⅱ类影子图像两者之间的重构损失，并根据损失计算相应的梯度大小以及梯度方向；4.5)根据梯度大小以及梯度方向，通过解决一个约束优化问题，生成对抗性潜在噪声；4.6)将影子特征与对抗性潜在噪声相加得到待验证人脸图像对应的具有隐私保护能力的对抗性特征；4.7)利用身份识别网络将待验证的人脸图像对应的对抗性特征与人脸识别数据库中的对抗性特征进行比对，得到人脸识别结果。2.如权利要求1所述的面向人脸识别隐私保护的对抗性特征生成方法，其特征在于：步骤1.1)所述的特征提取器e(
·
)被分发给客户端，是一个轻量级的网络，只需要用很少的计
算来提取浅层特征，所述的身份识别网络部署在服务端用于身份识别。3.如权利要求1所述的面向人脸识别隐私保护的对抗性特征生成方法，其特征在于：步骤2.2)所述的影子模型s(
·
)是任意结构的重构网络，以学习从面部特征到人脸图像的映射关系，通过最小化以下损失函数在公共人脸数据集上训练影子模型s(
·
)：其中x是人脸图像数据(训练集)，z是相应的面部特征集，x
i
是单个原始面部图像，z
i
表示从x
i
中提取的单个面部特征。4.如权利要求1或2或3所述的面向人脸识别隐私保护的对抗性特征生成方法，其特征在于：步骤3.3)、步骤4.2)所述的面部特征被影子模型s(
·
)处理为ⅰ类影子图像，ⅰ类影子图像经过特征提取器e(
·
)处理后得到影子特征，所述过程形式化表示为：其中是影子模型根据客户端提交的面部特征z重建的ⅰ类影子图像，是使用特征提取器从ⅰ类影子图像中提取的影子特征。5.如权利要求4所述的面向人脸识别隐私保护的对抗性特征生成方法，其特征在于：步骤3.5)、步骤4.4)所述的影子模型重构损失的梯度与添加噪声(扰动)δ的关系如下：其中表示将δ初始化为零的对抗性特征，添加噪声后，攻击者无法从对抗特征中恢复ⅰ类影子图像由于与原始图像x高度相似，因此攻击者也很难重建原始图像，由于用于训练的人脸图像和部署人脸识别网络后遇到的人脸图像可能有很大差异，故更新了影子模型中批量归一化(bn)层的参数，独立计算每一批次面部特征的均值μ和方差σ。6.如权利要求1或5所述的面向人脸识别隐私保护的对抗性特征生成方法，其特征在于：步骤3.6)、步骤4.5)所述的对抗性潜在噪声的约束优化目标旨在找到一个l
p-norm有界噪声δ来扰动特征，从而使重构损失最大化，其公式化为以下约束优化问题：其中x是原始面部图像，z表示从x中提取的面部特征，δ表示对抗性潜在噪声，ξ表示噪声界限，r为重构攻击网络，所述的优化问题通过沿的梯度方向添加噪声来解决，为了生成对抗性特征，在的指导下将对抗性潜在噪声δ注入到影子特征中，使用project gradient descent(pgd)算法(基于梯度的方法)生成对抗性特征来打破从特征到原始面部图像的映射，从而使人脸识别系统能够抵御重构攻击，它沿梯度方向迭代地添加噪声，同时限制每次迭代的扰动范围，所述的对抗性特征的生成表述为：其中s为影子模型，α控制噪声的大小，ε限制每次迭代中添加的噪声水平，sign(
·
)是一个作用于每个元素的函数，它输出1表示正梯度值，-1表示负梯度值，0表示梯度值为0。7.如权利要求1或2或3或5所述的面向人脸识别隐私保护的对抗性特征生成方法，其特
征在于：步骤4)所述的系统运行阶段，具有两种不同的选择：在线模式和离线模式，所述的在线模式为即插即用，直接更新现有人脸识别数据库(人脸图像数据库或面部特征数据库)为受保护的对抗性特征数据库，无需修改或重新训练网络即可有效保护人脸隐私，同时保持高精度人脸识别；离线模式为利用对抗性特征进一步训练服务端的身份识别网络获得更准确的识别结果。

技术总结
本发明公开了一种面向人脸识别隐私保护的对抗性特征生成方法，建立了一个影子模型，以获取从面部特征到图像的映射函数，通过解决约束优化问题生成对抗性潜在噪声来破坏映射，并由此提出了一种保护隐私的对抗性特征，其在面对未知结构的攻击网络时能保持优异的防御性能，可以在保持人脸识别准确性的同时抵御未知重构攻击，有效保护人脸隐私安全，本发明实用性高，不需要更改已部署的人脸识别模型，可以作为隐私增强模块快速集成到现有人脸识别系统中，使其满足保护人脸隐私的需求；也可以选择性优化身份识别网络，以满足更高识别精度的要求。的要求。的要求。


技术研发人员：王志波 金帅帆 张文文 王炎 王和 胡佳慧 孙鹏 任奎
受保护的技术使用者：浙江大学
技术研发日：2023.03.07
技术公布日：2023/9/20