“面”“面”俱“道”——浅谈人脸识别技术风险与防护

随着人工智能技术的发展和成熟，人脸识别技术正广泛应用于社会各行业，以提供有效的身份识别和验证手段。然而，人脸识别技术在带来便捷体验的同时，也带来了新的安全风险和挑战。

前期，有新闻爆出某第三方支付平台被3D打印人脸破解：利用3D打印技术制作机器头可完成刷脸支付，成功购买火车票。最近一款换脸App突然刷屏朋友圈，用户只需上传一张照片就能轻松替换视频中的人脸，大大降低了换脸攻击的技术门槛。这一系列的报道不禁让人细思极恐，人脸识别技术可靠吗？究竟存在哪些安全风险呢？下面将从技术风险和防护的角度一一道来。

一、什么是人脸识别技术

在介绍风险之前，先一起了解下人脸识别技术的概念：人脸识别技术属于生物特征识别技术，广义的人脸识别实际包括构建人脸识别系统的一系列相关技术，包括人脸图像采集、人脸定位、人脸识别预处理、身份确认以及身份查找等;这里讨论的是狭义的人脸识别技术，特指通过人脸进行身份验证或者身份查找的技术。

目前，主流人脸识别技术的解决方案大致如图所示：

人脸识别流程图

1.检测人脸：在图像中定位人脸，获取人脸的位置、大小、姿态等信息。

2.活体检测：在身份验证场景中，确定对象的真实生理特征，验证用户是否为真实活体本人操作，以区分是否为使用照片、视频、面具等非生命物质进行伪造的欺诈行为。系统在活体检测过程中会随机截取一张图片进行保存用于后续比对。

3.匹配对比：在活体检测通过后，将截取的图片上传至服务器端，利用图像匹配算法将其与联网核查取得的客户身份证照片进行对比，确定是否为同一个用户。

4.返回结果：将服务器端比对结果返回客户端。

二、人脸识别技术的潜在风险及其防范

当前，人脸识别结合身份证认证大多是用于隐私性较高或者涉及到财务的业务，一旦遭到破解，受害者的信息及财产安全都将遭遇较大风险。根据前文介绍的人脸识别流程，在不同阶段存在不同类型的潜在风险和防护手段，潜在风险主要分为移动端活体检测屏幕转录攻击风险、数据传输报文篡改攻击风险和图像匹配算法对抗样本攻击风险，详情如下：

1.活体检测

根据实际应用场景的不同，活体检测分为硬件实现和软件实现两种方式。

在硬件实现的场景中，活体检测一般依靠配备了近红外双目摄像头或3D结构光元件的客户端实现，利用物理上光学成像特性，能够很轻易地识别真人活体。比如，结构光三维视觉是基于光学三角法测量原理，光学投射器将一定模式的结构光投射于物体表面，在表面形成由被测物体所调制光条三维图像。该三维图像由处于另一位置的摄像机探测，从而获得光条二维畸变图像，由畸变的二维光条图像坐标便可重现物体表面三维轮廓，由此可识别真实人脸和照片的区别。此种方式具有较高安全性，很难被攻击利用。

结构光3D视觉原理图

在软件实现的场景中，由于目前大部分手机未集成近红外摄像头或3D结构光元件，很难要求用户必须在支持这些硬件的客户端进行操作，因此普遍采用基于交互式动作的软件活体检测：在开启手机摄像头捕捉到人脸后，要求认证者完成“摇头”“眨眼”“张嘴”等类似动作，确保为真人操作。基于动作的活体检测技术只对动作进行校验，虽然可以有效防止利用静态图像进行破解，但是存在屏幕转录攻击的风险，可以事先利用图像处理或三维建模软件将客户照片转换为动态图片或3D模型，在短时间内完成活体检测过程中要求的所有动作，并在实际的活体检测过程中，将摄像头对准视频循环播放即可破解活体检测。

屏幕转录攻击示例

针对屏幕转录风险，业界普遍采取在识别动作的基础上增加光学特征识别或者语音识别技术的防护措施。如通过检测显示器边缘、屏幕反光、摩尔纹、镜头畸变等特征，可以识别合成的视频、图像与自然视频、图像的差异。或者可以采用“人脸比对+唇语识别”的复杂方式进行活体检测，通过引导用户读取多位随机数字来实现活体检测。

2.数据传输

由于服务器端的匹配比对是基于活体检测过程中截取的图片，如果前后端的通信报文未被加密，则存在截取上送图片进行篡改替换的风险。此种风险可通过事先对客户图片进行编码，随后通过报文截取工具拦截上送报文，对报文中对应图片编码进行替换完成检测。针对这种风险，可通过对报文关键字段进行加密或使用图片特征比对算法代替完整图片比对算法来避免图片在传输过程中被篡改替换。

报文篡改攻击示例

3.匹配对比

目前深度学习神经网络模型在人脸识别匹配过程中被广泛应用，其识别率最高可达99.5%。但是，由于神经网络学习到的函数是不连续的，只要在图片上做微小的改动都能让图片被错误分类，可以使得系统错误识别为指定用户，这种风险被称为对抗样本攻击风险。生成对抗网络(Generative adversarial networks，GAN)通过两个神经网络的互相博弈，不断提升神经网络的学习能力，基于模板照片和目标照片，可以生成同时兼具两人相貌特征的攻击样本，使既有的人脸识别机制失效。

对抗样本攻击示例

此种风险暂未找到统一的防护方法，目前只能通过提高人脸识别算法的健壮性和准确率进行防护，同时需对人脸识别的错误次数进行控制，防止大量尝试样本进行探测。

新技术的引入带来了新的安全风险，一位哲学家曾经说过：“正如世界上没有两片完全相同的树叶一样，每个人都是独一无二的。”人脸特征因其唯一性和不可替代性，不像传统的用户名密码在泄露后可以重新设置，一旦人脸特征被窃取冒用，就可能遭受前面介绍的种种风险的攻击。人脸识别技术就像一把双刃剑，其背后隐藏的安全风险同样值得关注和重视，小心为了便捷“丢了面子”。

（部分内容摘自网络，如有侵权，请联系删除。）