基于人工智能的人脸识别技术与评估体系研究

0 引言

随着人工智能和光学成像器件的迅猛发展，基于先进的硬件基础和不断演进的识别算法，人脸识别功能在移动智能终端上已逐渐普及。根据前瞻产业研究院预测，自2015—2020年，人脸识别技术以166.6%的增幅在众多生物识别技术中脱颖而出，高居首位。在市场应用方面，人脸识别技术已被广泛应用到考勤系统、监视系统、手机、相机等诸多场景，覆盖交通、金融、学校等多个领域[1]；在算法方面，人脸识别算法包含了基于人脸特征点、人脸图像、神经网络、模板、支持向量积的识别算法；在技术领域方面，人脸识别技术是模式识别、神经网络、人工智能、计算机视觉等学科的融合[2]。在人脸识别技术应用的早期，黑客可以通过一张照片成功通过人脸识别算法的验证，虽然新一代人脸识别技术更加智能，但其安全性仍存争议并受到用户的广泛关注。

1 人脸识别技术及其在终端领域的应用

人脸识别技术是一种生物识别技术，通过采集人的脸部特征信息来进行身份识别。人脸识别系统通常包括人脸图像采集及检测、人脸图像预处理、人脸图像特征提取、人脸图像匹配与识别4个部分[3-4]。

最初的人脸识别技术是20世纪70年代兴起的基于可见光的二维图像人脸识别，这种技术通常是基于二维人脸平面图像进行的识别。在此期间，美国麻省理工大学提出了著名的基于“特征脸”的人脸识别方法，为其后的诸多人脸识别方法奠定了基础。除此之外的人脸识别算法主要有：基于模板匹配的方法、主成分分析方法、线性判别分析方法、弹性图匹配方法。二维人脸识别的优势是发展时间长、技术较为成熟、所需硬件条件较低；然而其缺点也很明显，在环境光照、遮挡情况甚至面部表情发生变化时，其识别准确度和系统响应灵敏度都会大大降低，且二维人脸识别获取的人脸特征信息在三维信息平面化的投影过程中会存在损失[5]。

三维图像人脸识别技术采用了三维人脸立体建模的方法，比二维图像人脸识别技术更加稳定且具有更高的准确度。通常，面部外观不仅取决于身份，姿势和光线的变化会导致脸部外观发生很大变化。Georghiades等人提出了基于“光照锥”模型的人脸识别算法，该算法可在多姿态、多光照的条件下对人脸进行三维立体建模[6]。同一个人在相同的视角和不同的照明条件下，脸部的所有图像在图像空间中形成一个凸锥，也就是光锥，通过计算输入图像到每个光锥的距离完成识别。在这一发展阶段，人们还提出将统计学习理论应用到人脸识别[7]。

三维图像人脸识别技术对硬件的发展提出了更高的要求。第一，三维图像人脸识别技术最大程度保留有效特征信息，但信息量的增加，对信息处理的实时性是个挑战。第二，现今诸多移动设备的数据通过网络接入云平台，借助神经网络引擎可以对采集到的数据进行更加全面深入的分析，从而以较低的配置和能耗进行复杂算法的运算[8]。但把人脸识别技术应用到智能终端上则对芯片是一个更大的挑战。苹果公司为了实现个人数据的保护以及身份认证的实时性，将身份识别过程全部在终端内进行，这就需要移动设备提供接近云服务器的计算性能。为了满足数据采集和处理的实时性，iPhone 12采用最新定制的A14 Bionic处理器来处理人工智能工作负载，这是一个每秒运算次数最高可达11 万亿次的十六核“生物神经网络引擎”芯片，该芯片最重要的功能就是使Face ID身份认证功能能够快速识别人脸[9]。为了适配人脸识别的数据采集和处理算法性能，未来将会研发出更多的AI芯片。AI芯片在智能终端的广泛应用也将成为一大发展趋势[10]。

2 终端人脸识别技术的安全挑战

当人脸识别技术广泛应用到移动智能终端及应用软件后，其安全性面临着多种挑战。在2017年的中央电视台3·15晚会上，主持人演示了一张静态照片经过照片模拟及屏幕翻拍，在完成眨眼、动嘴后，就可以通过人脸识别登录个人账户，或通过动态换脸的方式突破人脸识别过程，成功登录用户的个人账户。人脸识别的安全挑战主要来自以下4方面。

2.1 人工智能框架攻击

在常用的TensorFlow、Caffe、Torch等人工智能框架中，至今仍存在许多待解决的不同于传统软件漏洞的攻击点，包括数据中毒攻击（引入导致学习系统出错的训练数据）、对抗性样本等。

算法所依赖的模式分类系统本身可能会出现可被黑客或其他犯罪分子利用的漏洞，一个常见的攻击手段是生成对抗性样本迷惑模型。攻击者人为恶意构造或合成场景，导致框架识别错误的模型，使机器产生“错觉”。例如，一些公司通过猜测搜索引擎人工智能算法以提高其在各个关键词下的搜索排名，垃圾邮件发件人通过拼写错误的单词或者在邮件中添加不相关的单词或句子来欺骗垃圾邮件过滤算法等。对抗性样本同样带来了一些隐患，例如攻击者可以通过使用贴纸或油漆创建一个对抗性停止标志，自动驾驶车辆会将其识别为“停车”或其他标志。研究表明，广泛使用的RL算法，如DQN、TRPO和A3C，都易受到对抗性样本的影响。这体现了在算法和实现层面上考虑问题的差距。

随着系统复杂程度的增加，安全隐患也随之增加。任何在人工智能框架以及它所依赖的组件中的安全问题都会威胁到框架之上的应用系统，如果引用了恶意的第三方组件，便会导致系统崩溃、系统权限被窃取。此外，还有针对生物识别系统进行的攻击。大多数生物识别系统允许客户的配置文件随着时间的推移适应自然变化，随着用户面部特征的微小改变，面部识别软件内的用户数据会随之更新。攻击者利用这种适应性，通过向传感器呈现一系列虚假的生物特征，逐渐更新储存的个人资料，直到完全替换为另一个，最终允许他人冒充用户解锁客户端。

2.2 活体检测攻击

活体检测攻击将静态的人脸照片通过Photoshop、After Effect等视频、图像处理软件转化为动态的视频，让视频中的人脸模仿真人完成规定动作，欺骗人脸识别系统,解锁用户终端。或是通过三维建模软件，参照人脸多处关键位置的脸部特征，制作建模图像，让建模图像做出和实际真人相似的规定动作，以达到解锁用户终端的目的。

2.3 人脸面具攻击

人脸面具攻击利用获取到的目标人脸图像，使用石膏、硅胶、树脂或类肤质材料制作相应的三维人脸模具，用以伪造用户的身份，从而实现对人脸识别系统的攻击。

2.4 注入应用攻击

注入应用攻击会在程序中布置一个断点，通过反复演示人脸识别流程不断触发该断点，然后分析并修改程序，实现绕过活体检测，仅凭静态照片就能通过人脸识别的目的。

3 人脸识别技术的安全要求

上述提到的安全攻击方式中，不乏利用系统设计漏洞等实施的攻击。面对这些安全威胁，应当制定统一的人脸识别安全技术要求的标准，规范基于人工智能的人脸识别的安全性要求，服务于研发、生产、使用等环节。从安全评估的角度，分析其安全要求应包含以下3部分内容[11-13]。

3.1 评估对象（Target of Evaluation，TOE）保护资产

需要保护的资产应包括：人脸图像采集和识别系统在运行时产生的人脸实时图像数据、用户人脸注册过程创建的人脸基准模板、人脸特征识别匹配得分的实时数据、决策功能单元根据识别匹配得分给出的人脸识别结果、人脸识别系统的代码、采集设备相关的代码、算法配置数据和保护人脸基准模板的加密密钥[14]。

3.2 安全威胁分析

人脸识别技术从生命周期来分析可能存在的威胁来自采集、传输、存储、比对和销毁环节（见图1）。

图1 人脸识别技术的生命周期

（1）采集环节：采集的人脸实时数据被拦截或者被篡改；采集传感器的固件完整性和可用性被破坏。

（2）传输环节：人脸数据在从采集模块传输到信号处理模块或特征提取子系统过程中被窃取或者被篡改；信号处理模块输出结果被拦截用于直接恢复用户信息或今后用于重放攻击。

（3）存储环节：存储的模板数据密钥被破解或者被窃取，存储的模板数据被替换；存储的人脸处理中间数据被篡改。

（4）特征比对环节：特征比对设定阈值或特征比对的匹配得分被篡改。

（5）数据销毁环节：在注册用户注销后，相应的人脸数据未被彻底清除或未有防回滚的防护，导致数据被窃取后用作伪冒身份。

3.3 安全目标

人脸识别技术的安全目标是实现其系统所具有的安全功能，以防御上述的安全威胁，保证应保护资产的完整性、机密性和可用性。总体的安全目标如下：采集模块的硬件固件及驱动的完整性、可用性和功能接口的授权访问；信号处理模块的固件及驱动的完整性、可用性和功能接口的授权访问；存储模块（包括人脸实时图像数据、人脸基准模板等）应能防窃取、防篡改；特征比对模块的策略、阈值、得分应能防篡改；传输模块（采集模块传输到信号处理模块或特征提取子系统，信号处理模块传输到特征比对模块或存储模块）应能防窃取、防篡改；硬件和软件接口应设访问控制，防止非授权使用；人脸实时图像数据、人脸基准模板、软件实时数据、匹配得分等数据应设置防回滚、防篡改，避免关键防伪检测、验证功能被旁路。

4 建设评估体系的思考

国际上对于生物识别标准化的工作主要由国际标准化组织ISO/IEC的JTC1/SC37信息技术：生物特征识别技术分技委承担。同时，美国国家标准化协会（ANSI）认可标准委员会（X9）与Bio API联盟开展合作，于 2001年1月发布了NI-STIR 6529—2001生物特征识别通用文件交换格式，又于2001年3月发布了美国国家标准X9.84—2001：生物认证信息的管理与安全。该标准定义了生物信息在金融界的使用管理与安全要求（如雇员身份识别、顾客身份识别），涵盖了指纹识别、声纹识别、虹膜扫描图像等多种生物识别方法，现已成为国际标准ISO 19092。

我国早在1999年，SAC/TC100编制安防行业标准体系时，就已在安全技术防范行业的标准体系之中加入了生物统计学防范产品的技术标准，社会公共安全行业（GA）也从业务实际需求出发制定了人脸识别的相关标准规范。

从生物识别技术的角度出发，全国信息技术标准化技术委员会生物特征识别分技术委员会（TC28-SC37）成立了移动设备生物特征识别标准工作组，启动《信息技术移动设备生物特征识别第3部分：人脸》等系列国家标准研制工作；全国信息安全标准化技术委员会（SAC/TC260）鉴别与授权标准工作组（WG4）启动《信息安全技术基于可信环境的生物特征识别身份鉴别协议框架》《信息安全技术基于生物特征识别的移动智能终端身份鉴别技术框架》等标准制定工作。生物特征识别国家标准体系规范初步建立。

中国通信标准化协会（CCSA）移动互联网应用和终端技术工作委员会（TC11）已开始建设人工智能标准体系，作为标准体系的重要一环，《移动智能终端人脸识别安全技术要求及测试评估方法》行业标准已立项成功，将联合科研院所、终端厂家、芯片厂家共同发力，协同创建人脸识别安全技术体系，着手解决行业中面临的安全标准缺失问题。通过行业标准的制定、引导并建立更健康的人脸识别安全产业生态。目前，电信终端产业协会（TAF）信息安全工作组（WG4）已制定《移动终端基于TEE的人脸识别安全评估方法》，成为国内首个人脸识别安全标准。该标准的发布将会对移动终端人脸识别产业提供行业指导，解决本地人脸识别技术在应用和推广普及方面的安全障碍，有效地为消费者、用户提供安全指引参考，促进行业健康发展。

5 结束语

随着人工智能技术飞速发展，人工智能框架下迅速发展的人脸识别技术在这个交叉融合领域面临着诸多安全挑战，相应的安全要求和评估体系的建设势在必行。目前，针对人脸识别技术的评估体系尚在建设中，国家标准、行业标准、协会标准从各个层面共同推进，将是未来评估体系的发展趋势。标准体系建设将为整个行业发展提供指引，引领产业链各方携手共同建设良好的产业生态。