随着人脸识别技术在各个领域的广泛应用,人们对个人隐私泄露的担忧也日益增加,特别是在非授权的条件下,人脸图像被用于身份识别和关联等目的。通过对抗样本生成技术,可以在享受技术进步带来便利的同时,保护个人人脸数据被非授权使用,因此基于人脸对抗样本生成的方法是人脸身份保护的重要手段之一。现有的方法主要关注对抗人脸图像对降低人脸识别准确率的作用,忽略了对抗人脸样本的自然度(naturalness)和物理可实现性(physical realizability)。因此,虽然很多方法在数字域人脸隐私保护中取得了好的效果,但应用到物理域时往往面临有效性不高、自然度不好、泛化性不强等问题。针对这些问题,本工作提出了一种以普通口罩为载体的自然口罩对抗样本生产方法(NatMask)。该方法通过人脸三维重建和可微分渲染实现高自然度对抗口罩的端到端生成,通过身份变化感知的风格注入(identity-aware style injection,IASI)来提升可迁移性。与现有方法相比,本工作的方法从以下方面提高了物理世界人脸身份保护的效果:(1) 增强了物理世界自然性:所生成对抗口罩具有很高的自然度,确保佩戴对抗口罩的人脸看起来与佩戴普通面具一样自然不怪异;(2)提高了对抗口罩可转移性:所生成的对抗口罩在未知人脸识别模型上进行测试时表现出很强的鲁棒性;(3)提高了物理可实现性:所生成的对抗口罩可以打印在 A4 纸上并粘贴在普通面具表面实现有效的人脸身份保护。基于两个人脸数据集、四个公开人脸识别模型和三个商业人脸比对 API 的实验表明,所提方法在黑盒模式下进行物理域和数字域的人脸身份保护都具有很好的效果。多人主观评价实验也表明,基于本方法形成的人脸图像比其他对抗生成方法获得的人脸图像具有更高的自然度。
图1. 基于自然对抗口罩生成的人脸身份保护方法主要三个部分:三维人脸重建、可微渲染和基于身份感知的风格注入。
附件: