高效的隱私保護在線人臉認證方案

李明，楊曉鵬，朱輝，王楓為，李祁

（1.國家知識產權局專利局，北京 100088；2.西安電子科技大學綜合業務網理論及關鍵技術國家重點實驗室，陜西 西安 710071）

1 引言

隨著計算機技術的不斷發展和智能終端的快速普及，基于人臉、指紋、聲紋等各種生物特征的身份認證方案被廣泛應用到各個領域，給人們的生活帶來了諸多便利。生物特征具有以下特性：1) 唯一性，即每個用戶所具有的生物特征信息都是獨一無二的；2) 穩定性，即用戶的生物特征很難在短期內自然地發生改變；3) 隨身性，即用戶的生物特征存在于用戶本身，不會被丟失或遺忘。生物特征所具有的這些特征決定了基于生物特征的身份認證方法相較于傳統的身份認證方法（如口令密碼、智能卡等）具有更高的認證效率和安全性，以及更好的用戶體驗。相較于其他生物特征認證技術，人臉認證因其采取非接觸式的數據采集方式和較低的部署成本，受到用戶和服務商的青睞，并被廣泛應用到機場鐵路安檢[1]、金融支付[2]、刑事偵查[3]等各個領域。

但是，基于生物特征認證技術的廣泛應用也使用戶生物特征隱私的泄露風險大大提升。近年來，全球范圍內的生物特征隱私泄露事件頻發，這加重了用戶對于在使用基于生物特征的身份認證服務過程中造成個人生物特征信息泄露的擔憂。2017 年，印度國家身份系統Aadhaar 發生大規模數據庫泄露事件，超過10 億用戶的個人生物特征信息被泄露，被泄露的數據中包含用戶的指紋、虹膜等高敏感數據[4]。2019 年，我國某人臉識別公司遭遇了拖庫攻擊，包括人臉圖像及其采集地點等信息的680 萬條記錄被泄露。國外基于Web 的生物認證安全智能鎖定平臺BioStar2 于2019 年8 月被曝出存在系統漏洞，所泄露的數據量高達23 GB，其中包含100多萬條含用戶指紋、人臉生物特征在內的敏感數據[5]。雖然部分基于生物特征的身份認證系統中，用戶的生物特征信息并非以原始生物特征數據的形式存儲，但是近年來的研究表明[6]，經過處理后的生物特征數據依然會給用戶生物特征的隱私帶來威脅。生物特征數據的特點決定了其一旦遭遇泄露，將會帶來嚴重后果。1) 生物特征具有唯一性的特點意味著用戶的生物特征信息與用戶的身份強關聯，攻擊者在獲取到泄露的生物特征數據之后，可以通過大數據關聯分析等方式窺探到更多的用戶隱私信息。2) 生物特征所具有的穩定性的特點意味著一旦用戶的生物特征信息被泄露，那么用戶將面臨被攻擊者通過該生物特征冒充身份的潛在危險，從而不得不放棄繼續使用該生物特征作為身份認證的憑據。隨著社會大眾對于信息安全和隱私保護關注度的不斷提高[7-10]，設計一種安全高效的生物特征認證方案顯得至關重要。

為解決上述問題，本文基于矩陣加密技術構造了密文條件下的人臉特征相似度匹配算法，并在此算法的基礎上設計了一種隱私保護的在線人臉認證方案。該方案能夠保證用戶的生物特征信息在身份認證服務中不被泄露，并且能夠保證生物特征認證方案的準確率和效率。同時，本文基于所提出的隱私保護的人臉認證方案設計了實驗仿真程序，并利用真實的人臉數據庫對所提方案的效率進行了測試。

2 相關工作

生物特征數據的隱私保護一直是學術界的研究熱點，針對這一熱點，人們基于不同的技術提出了諸多解決方案。

部分方案基于同態加密方案設計，Erkin 等[11]基于 Paillier 同態加密算法和 DGK（Damgard,Geisler and Kr?igaard）加密方案[12]設計了一種面向外包場景的同態加密方案，該方案能保證用戶在注冊和認證過程中生物特征數據及身份認證結果的安全。Sadeghi 等[13]基于混淆電路、不經意傳輸等技術對Erkin 等[11]所提方案進行了改進，改進后的方案在通信和計算開銷方面有了更好的表現。Xiang 等[14]基于全同態加密方案提出了一種外包場景下的隱私保護在線人臉認證方案。Zhu 等[15]基于半同態加密算法提出了一種面向隱私保護的歐氏距離計算方案，避免了同態加密算法中計算消耗較大的解密過程，雖然在效率上有很大提升，但依然有較大的提升空間。同態加密方案往往需要較高的計算開銷，在一些實時性要求較高或者資源受限的場景中并不適用。

基于隨機化技術設計的生物特征隱私保護方案在近幾年也逐漸被提出。Yuan 等[16]基于隨機矩陣技術實現了密文下的歐氏距離計算，提出了一種云計算場景下的用戶指紋數據隱私保護方案。Wang 等[17]對文獻[16]所提的生物特征隱私保護方案進行了優化，并基于矩陣跡理論提出了一種隱私保護的在線指紋認證方案。Zhu 等[18]也對文獻[16]提出的方案進行了改進，改進后的方案在效率和安全性上都有所提升。Rahulamathavan 等[19]基于隨機掩碼技術提出了一種基于Eigenface 人臉識別算法和歐氏距離相似度判斷的隱私保護人臉認證方案。

在其他技術方面，Gunasinghe 等[20]基于零知識證明設計了一種可證明安全的隱私保護生物特征認證方案，但是該方案需要在客戶端通過機器學習的方式提取用戶的生物特征，這增加了客戶端的計算負擔。Sarier 等[21]基于區塊鏈技術，設計了一種隱私保護的生物特征認證方案，但是區塊鏈技術的引入帶來了較大的計算開銷。

綜上所述，現有方案基于不同的技術實現了生物特征認證的隱私保護，但是在計算、通信效率和適用性方面還存在局限性。

3 Eigenface 人臉識別算法

Eigenface 人臉識別算法[22]是一種基于主成分分析（PCA,principal component analysis）而設計的人臉識別方案。Eigenface 人臉識別算法包括用戶注冊和人臉識別2 個階段，具體如下。

在注冊階段，用戶利用PCA 從自己的若干張面部圖像中提取出人臉數據的特征向量，具體的處理過程如下。

步驟1用戶向身份認證服務器提交P張人臉圖像，記為{Γ1,Γ2,???,ΓP}，其中Γi(i=1,2,…,p)表示人臉圖像，每張人臉數據的大小為h像素×w像素。身份認證服務器對接收到的P張人臉圖像進行歸一化處理后，將每張人臉圖像表示為一個N（N=h×w）維向量。

步驟2身份認證服務器對輸入的P張人臉數據取平均值，根據PCA 計算出人臉圖像的特征向量，并選取特征值較大的k個特征向量{u1,u2,…,uk}，其中每個特征向量均為N維向量。

步驟3計算用戶輸入的每張人臉圖像Γ i和平均值Ψ之間的差值，并將該差值投影到步驟2 中所求出的特征向量上，投影表示為{?1,?2,???,?P}，這些投影將作為該用戶的人臉特征模板。同時，計算出各投影之間相似度的最大值Smax，并且將投影值和最大相似度發送到服務器端。

步驟4身份認證服務器在接收到用戶的身份認證請求后，根據用戶注冊階段發送來的相似度的最大值Smax，選擇一個判別門限值θ作為判別參數。根據文獻[23]的結論，本文取θ=1.25Smax。

在人臉識別階段，用戶需要提供一張自己的人臉圖像。首先，身份認證服務器計算該人臉圖像與平均臉圖像的差值，此后，計算該差值在注冊階段提取出的特征向量上的投影，并將其作為身份認證憑據。身份認證服務器通過用戶提交的身份認證憑據和用戶人臉模板數據之間的相似度來對用戶的身份認證結果進行判斷。具體的處理過程如下。

步驟1用戶向身份認證服務器提交一張大小為h像素×w像素人臉圖像Γnew。身份認證服務器對接收到人臉圖像進行歸一化處理，將其讀取為一個N（N=h×w）維向量。

步驟2服務器計算用戶輸入的人臉圖像Γnew和注冊階段得到的人臉數據平均值Ψ之間的差值，并將該差值投影到注冊階段得到的特征向量上，將該投影值記為?new，該投影一般作為用戶的身份認證憑據。

步驟3身份認證服務器計算?new和{?1,?2,…,?P}中每一個投影之間的相似度，該相似度可以通過歐氏距離或者余弦相似度來判別[24]。

步驟4身份認證服務器選取出P個相似度中的最大值，并將該最大值和身份認證服務器所選取的門限值θ進行比較。如果符合系統預設要求，則用戶通過身份認證；反之，則未通過身份認證。

4 系統模型和安全需求

4.1 系統模型

本文所提方案的系統模型由用戶、認證代理服務器和在線身份認證服務器三部分組成，如圖1所示。

用戶為某項在線服務的使用者，需要通過身份認證系統來對其身份的真實性進行認證。考慮在資源受限的應用場景中（如智能家居場景），終端設備的計算能力較弱，僅能采集用戶的生物特征并生成相應的生物特征模板，需要在其他設備（如智能家居場景中的“家庭大腦”）的輔助下才能完成對用戶生物特征信息加密等操作。認證代理服務器為用戶的生物特征模板提供加密等預處理操作。在線身份認證服務器是由第三方服務商提供的身份認證服務器，負責對用戶的身份進行認證。用戶和認證代理服務器之間的網絡是內部網絡，因此本文認為用戶和認證代理服務器之間的網絡連接是安全的。

在本文方案的模型中，認證代理服務器和在線身份認證服務器首先對整個系統進行初始化操作。認證代理服務器根據安全性要求選擇系統的安全參數，在線身份認證服務器設置判別門限值θ。系統完成初始化后，用戶按照提取其人臉特征模板，在在線身份認證服務器上進行注冊并得到一個唯一標識ID。在進行身份認證時，用戶首先提取其人臉圖像特征數據作為身份認證憑據，并和用戶的唯一標識ID 一起發送到認證代理服務器。代理認證服務器將該身份認證憑據連同用戶的唯一標識ID 發送到在線身份認證服務器，并發起身份認證請求。在線身份認證服務器根據人臉識別算法計算用戶人臉特征模板和身份認證憑據之間的相似度，并根據該相似度和系統門限值之間的關系完成對用戶身份的認證。

在安全性方面，認證代理服務器是一個完全可信的實體，其忠實地執行既定的算法規則，不會主動去泄露用戶的敏感信息，但有可能會受到攻擊者的攻擊；在線身份認證服務器是一個半可信的實體，以密文的形式存儲用戶的生物特征信息，其忠實地執行身份認證算法，但是會主動嘗試去窺探或者泄露用戶的生物特征隱私。此外，攻擊者可以對傳輸的數據進行竊聽，并對認證代理服務器和在線身份認證服務器進行攻擊，以獲得其數據庫中的數據。

4.2 安全需求

為了明確安全需求，考慮系統中可能存在具有不同攻擊能力的攻擊者，本文設定了3 種攻擊模型。

1) 攻擊模型Ⅰ

攻擊者僅能獲取代理認證服務器和在線身份認證服務器在通信過程中被加密后的用戶生物特征數據模板和身份憑據數據。這種攻擊模型對應本系統中的在線身份認證服務器和網絡中可能存在的一些被動攻擊者嘗試去獲得用戶敏感信息。

2) 攻擊模型Ⅱ

攻擊者能夠獲取部分用戶的生物特征模板和身份認證憑據的明文數據和密文數據，但并不知曉這些數據之間的對應關系。這種攻擊模型下，認證代理服務器數據庫中的部分明文數據被泄露，攻擊者根據這些泄露的數據和其竊聽到的數據，來嘗試獲取用戶的敏感信息。

3) 攻擊模型Ⅲ

攻擊者不僅能獲取部分用戶的生物特征模板和身份認證憑據的密文數據，知曉這些明密文數據之間的對應關系，還可以獲得任意的生物特征模板和身份認證憑據的明文所對應的密文。這種攻擊模型對應認證代理服務器的數據庫中的部分數據被泄露，同時在線身份認證服務器的數據庫也被完全攻破（或者在線身份認證服務器獲取到了認證代理服務器所泄露出的明文數據）。攻擊者根據這些泄露的部分數據和其獲取的用戶密文數據，來嘗試獲取其他未被泄露的敏感信息。

為保證用戶生物特征信息的安全，隱私保護的人臉認證方案需保證用戶的生物特征信息在這3 種攻擊模型下不會被泄露。

5 基于隨機矩陣的生物特征隱私保護

針對在線生物特征認證場景的特點和需求，本節基于隨機矩陣技術提出了一種生物特征隱私保護方案。該方案包括用戶注冊、身份認證請求和身份判別3 個階段，具體流程如圖2 所示，方案描述中用到的符號及其含義如表1 所示。

5.1 用戶注冊階段

用戶注冊階段包含用戶人臉特征模板計算和人臉特征模板加密2 個階段。其中，用戶將其人臉特征模板發送到認證代理服務器；認證代理服務器利用矩陣加密技術對用戶的人臉特征模板進行加密，并將加密后的人臉特征模板發送到在線身份認證服務器處進行身份注冊；在線身份認證服務器在收到用戶的注冊請求后，向用戶分配一個唯一標識ID，并將用戶加密后的人臉特征模板保存在其數據庫中；用戶完成注冊后，為防止遭遇攻擊導致用戶人臉特征模板明文數據泄露，認證代理服務器將其收到的用戶人臉特征模板進行安全存儲或刪除。

表1 方案中相關符號及其含義

圖2 本文方案的流程

5.1.1 用戶特征模板的計算

用戶按照Eigenface 人臉識別算法的要求，在本地進行人臉特征模板的提取。具體來說，用戶按照要求拍攝P張自己的面部圖像，根據Eigenface人臉識別算法并選擇出這P張人臉差值在k個特征向量投影{?1,?2,???,?P}及各個投影之間相似度的最大值Smax，并將{?1,?2,???,?P}和Smax發送到認證代理服務器。

5.1.2 用戶人臉特征模板的加密

認證代理服務器在收到用戶的注冊信息后，首先選擇2 個大小為(k+2Z) × (k+2Z)的可逆隨機矩陣M1和M2，以及一個(k+2Z)維的隨機向量H（其中，Z由認證代理服務器設置且Z≥ 0）。之后，認證代理服務器將用戶的人臉特征模板數據?i擴展成一個（k+2Z）維的向量Ωi?extended（擴展規則為前k維數據和?i保持一致，第（k+1）～（k+2Z）維數據為 1）并將其進行對角化轉換，得到Di?extended=diag(Ωi?extended)。最后，選擇一個隨機的(k+2Z)×(k+2Z)矩陣A，矩陣A需滿足Ai HT=1，A=[A1,A2,???,Ak+2Z]，并通過計算，和Li=||?i||對用戶模板進行加密。

5.2 身份認證請求階段

用戶的身份認證請求階段包含用戶身份認證憑據計算和用戶身份認證憑據加密。其中，用戶首先將身份認證憑據及其唯一標識發送到認證代理服務器；代理認證服務器對用戶的認證憑據進行加密處理，并將密文認證憑據和用戶標識發送到在線身份認證服務器。為防止遭遇攻擊導致用戶認證憑據明文數據泄露，認證代理服務器將收到的用戶認證憑據進行刪除處理。

5.2.1 用戶身份認證憑據的計算

用戶按照Eigenface 人臉識別算法的要求，在本地生成其身份認證憑據。用戶首先拍攝一張自己的面部圖像，根據Eigenface 人臉識別算法計算其身份認證憑據?new，隨后通過安全信道將?new發送到認證代理服務器。

5.2.2 用戶身份認證憑據的加密

認證代理服務器首先將身份認證憑據?new擴展成為一個（k+2Z）維的向量Ωnew-extended（擴展規則為前k維數據和?new保持一致，第(k+1)～(k+2Z)維的值為r1,r2,…,r2Z，其中r1,r2,…,r2Z為一組服從標準正態分布N(0,σ2)的隨機數）。認證代理服務器首先提取出在注冊計算所選取的加密參數，計算。之后對計算出的身份認證憑據進行加密，然后計算身份認證憑據模長。認證代理服務器將CH、CA、Lnew和身份標識ID 發送給在線身份認證服務器。

5.3 身份判別階段

在本階段，在線身份認證服務器根據身份認證請求中的用戶標識ID，查找用戶對應的身份認證模板，計算密文下的用戶身份模板和用戶身份認證憑據之間的相似度，將該相似度和閾值之間進行對比得出身份認證結果，并經由認證代理服務器向用戶返回認證結果，具體過程如下。

在線身份認證服務器在收到認證代理服務器發送來的身份認證請求{CH,CA,Lnew}后，根據用戶的身份標識ID，查找用戶的身份認證模板和{L1,L2,???,LP}。在獲取到用戶的身份認證模板后，服務器通過scorei的計算式來計算收到的身份認證憑據和身份認證模板之間的相似度。

6 安全性分析

6.1 攻擊模型Ⅰ下的安全性分析

在攻擊者模型Ⅰ下，攻擊者僅能獲取到加密后的用戶的人臉數據模板和基于用戶人臉數據生成的認證請求，即方案中對應的、{L1,L2,???,LP}、CH、CA和Lnew。當Z=0時，根據第5節可知CDi=M1WDiM2，在不知對應明文WDi的條件下，攻擊者無法求得可逆矩陣M1和M2的值；，由于攻擊者并不知道CA所對應明文Ωnew-extended，因此其也無法得知可逆矩陣M1和M2的值。因此當安全參數Z=0時，本文所提出的方案在攻擊者模型Ⅰ下是安全的。

6.2 攻擊模型Ⅱ下的安全性分析

在攻擊者模型Ⅱ下，攻擊者能夠獲取到某個用戶加密后的人臉圖像特征模板、加密后的身份認證憑據和數據庫中一些對應的明文數據，但是攻擊者并不清楚這些明文之間的對應關系，即本文方案中對應的、CH、C A和Lnew。當Z=1時，根據第5節可知：，在不知對應明文的條件下，攻擊者無法求得可逆矩陣M1和M2的值；，由于攻擊者并不知道CA所對應明文Ωnew-extended，因此其也無法得知可逆矩陣M1和M2的值。同時，由于攻擊者還可以獲取一部分明文數據，因此攻擊者可能根據明文與明文之間和密文與密文之間的對應關系來進行已知樣本攻擊。定義本文方案中的加密過程為E(?)，當Z=1時，有

因此，本文方案中針對用戶人臉特征模板所做的變換不再是等距離變換。基于此的主成分分析[25]、雙樣分析[26]、簽名連接攻擊[27]等方法都無法成功。因此，當安全參數Z=1時，本文所提出的方案在攻擊者模型Ⅱ下是安全的。

6.3 攻擊模型Ⅲ下的安全性分析

在攻擊者模型Ⅲ下，攻擊者能夠獲取到加密后用戶的人臉數據模板和基于用戶人臉數據生成的認證請求CH、CA和Lnew，也可以獲取這些數據所對應的明文數據，并且可以通過惡意查詢的方式獲取人臉模板數據和人臉數據生成的認證請求數據的明密文對。當Z=2時，攻擊者不能從、CH、{L1,L2,???,LP}中獲取到可逆矩陣M1和M2、隨機向量H，繼而無法獲得用戶的生物特征模板?i和用戶身份認證憑據?new。但由于攻擊者能夠通過惡意查詢的方式獲取到一些人臉模板數據和人臉數據生成的認證請求數據的明密文對，且，其中Ωnew-extended是一個擴展到(P+2Z)維的特征向量，由線性方程組解的存在性與唯一性定理，攻擊者無法從獲取到的一個密文中獲取到用戶生物特征相關的敏感信息。攻擊者從多個密文之間的交叉運算，也無法得到用戶的敏感信息。因此當選取的安全參數Z=2時，本文所提出的方案在攻擊者模型Ⅲ下是安全的。

6.4 安全性分析對比

為了進一步說明本文方案的安全性，將本文方案的安全性和文獻[12]方案的安全性進行了對比分析，分析結果如表2 所示。

由表2 可知，本文方案的安全性和對比方案的安全性相當，但是本文方案可以通過安全參數的選擇來實現方案在安全性和計算效率之間的平衡。

7 性能分析

7.1 通信開銷

本文方案中的通信開銷主要產生于用戶在注冊階段中向服務器發送其人臉特征模板和用戶在認證階段向服務器發送身份認證請求這2 個過程。將本文方案、未進行隱私保護的基于Eigenface 人臉識別算法的原始方案（以下簡稱“原始方案”）和文獻[12]方案的通信開銷進行對比。文獻[12]方案用到了Paillier 加密方案和全同態加密方案，假設文獻[12]方案采用密鑰長度為1 024 bit，2 種密碼算法的密文長度分別為2 048 bit 和1 024 bit，本文方案中的密文長度采用64 bit 的浮點型數值表示。表3 列舉了兩者在注冊和認證階段中客戶端的通信數據量。

表2 本文方案和文獻[12]方案的安全性對比

表3 通信開銷對比

表3 中，P表示注冊時用戶提交的人臉圖像數，Z表示一個認證代理服務器選定的安全參數，k表示認證過程中選取的特征向量數，N表示用戶人臉圖像數據的像素數，而P和Z的數值一般不會過大且k≤P，N的取值一般遠大于P，一般令P≤ 10，N>104。通過表3 可知，在加入隱私保護的功能后，本文方案中2 個階段的通信數據量雖然有所增加，但依然在一個可以接受的范圍并且通信量遠小于文獻[12]方案的通信量。

7.2 計算開銷

本文方案中用戶的計算開銷主要涉及用戶注冊時加密其特征模板的計算開銷，以及用戶在生成身份認證請求時，加密其身份認證憑據所產生的計算開銷。服務器端的計算開銷主要涉及服務器在對用戶的身份進行判別時所需要的計算開銷。為進一步對計算開銷進行分析，對本文方案進行了仿真實驗。在仿真實驗中，統一采用i7 8750H、16 GB 內存、Windows10 操作系統的實驗環境，采用公開的ORL（olivetti research laboratory）人臉數據庫[28]作為測試數據，其中每張人臉數據的大小為92 像素×112 像素。仿真實驗中，每個用戶人臉特征模板采用9 張人臉作為訓練數據。首先將本文方案中加密特征模板、加密認證請求和驗證用戶身份的計算開銷隨方案參數的變化進行了測試，結果如圖3和圖4 所示。

圖3 顯示了在保持安全參數不變（Z=0）的情況下，用戶加密人臉特征模板、加密認證請求和服務器驗證用戶身份所需的時間隨所選取的特征向量數的變化情況。圖4 顯示了在選取的特征向量數不變（k=7）的情況下，用戶加密人臉特征模板、加密認證請求和服務器驗證用戶身份所需的時間隨用戶選取的安全參數的變化情況。

圖3 所提方案各階段計算開銷隨特征向量數的變化情況

圖4 所提方案各階段計算開銷隨安全參數的變化情況

隨后，本文選擇文獻[12]方案作為對比方案，并對2 種方案中用戶在進行注冊時加密用戶認證憑據的計算開銷和身份認證時在密文下計算用戶身份認證憑據和模板之間的相似度計算開銷進行了對比。在仿真實驗中，將文獻[12]方案中采用密鑰長度設為1 024 bit，本文方案中的安全參數Z=0。2 種方案在用戶注冊階段的計算開銷如圖5 所示，在身份認證階段的計算開銷如圖6所示。

仿真結果表明，本文方案在2 個階段所需要的計算時間均在可接受的范圍內。

7.3 認證準確率

由5.3 節中分析可知，本文方案并未對原有的人臉認證方案的判別方式進行改變，因此本文方案不會對原始方案的準確率產生影響，且與原始方案的準確度保持一致。

圖5 用戶注冊階段計算開銷對比

圖6 用戶身份認證階段計算開銷對比

8 結束語

針對在線人臉認證系統中用戶敏感數據容易被泄露這一問題，本文基于矩陣加密提出了一種安全、高效的隱私保護人臉認證方案，所提方案能夠保證用戶存儲在認證代理服務器數據庫中的模板和用戶身份認證請求中所包含的個人敏感信息的安全。理論分析表明，本文方案可以根據選取的安全參數的不同實現不同等級的隱私保護效果，能夠滿足不同場景中差異化的隱私保護需求；同時，隱私保護機制的引入并未使原始方案的準確度降低，保證了原始方案的可用性。實驗結果證明，本文方案具有較低的計算開銷和通信開銷，能夠在真實環境中安全高效地保護在線人臉認證。