傅山 王嘉義 寧華 魏凡星

(1.中國信息通信研究院泰爾終端實(shí)驗(yàn)室，北京 100191；2.移動應(yīng)用創(chuàng)新與治理技術(shù)工業(yè)和信息化部重點(diǎn)實(shí)驗(yàn)室，北京 100191)

0 引言

隨著人工智能和光學(xué)成像器件的迅猛發(fā)展，基于先進(jìn)的硬件基礎(chǔ)和不斷演進(jìn)的識別算法，人臉識別功能在移動智能終端上已逐漸普及。根據(jù)前瞻產(chǎn)業(yè)研究院預(yù)測，自2015—2020年，人臉識別技術(shù)以166.6%的增幅在眾多生物識別技術(shù)中脫穎而出，高居首位。在市場應(yīng)用方面，人臉識別技術(shù)已被廣泛應(yīng)用到考勤系統(tǒng)、監(jiān)視系統(tǒng)、手機(jī)、相機(jī)等諸多場景，覆蓋交通、金融、學(xué)校等多個領(lǐng)域[1]；在算法方面，人臉識別算法包含了基于人臉特征點(diǎn)、人臉圖像、神經(jīng)網(wǎng)絡(luò)、模板、支持向量積的識別算法；在技術(shù)領(lǐng)域方面，人臉識別技術(shù)是模式識別、神經(jīng)網(wǎng)絡(luò)、人工智能、計(jì)算機(jī)視覺等學(xué)科的融合[2]。在人臉識別技術(shù)應(yīng)用的早期，黑客可以通過一張照片成功通過人臉識別算法的驗(yàn)證，雖然新一代人臉識別技術(shù)更加智能，但其安全性仍存爭議并受到用戶的廣泛關(guān)注。

1 人臉識別技術(shù)及其在終端領(lǐng)域的應(yīng)用

人臉識別技術(shù)是一種生物識別技術(shù)，通過采集人的臉部特征信息來進(jìn)行身份識別。人臉識別系統(tǒng)通常包括人臉圖像采集及檢測、人臉圖像預(yù)處理、人臉圖像特征提取、人臉圖像匹配與識別4個部分[3-4]。

最初的人臉識別技術(shù)是20世紀(jì)70年代興起的基于可見光的二維圖像人臉識別，這種技術(shù)通常是基于二維人臉平面圖像進(jìn)行的識別。在此期間，美國麻省理工大學(xué)提出了著名的基于“特征臉”的人臉識別方法，為其后的諸多人臉識別方法奠定了基礎(chǔ)。除此之外的人臉識別算法主要有：基于模板匹配的方法、主成分分析方法、線性判別分析方法、彈性圖匹配方法。二維人臉識別的優(yōu)勢是發(fā)展時間長、技術(shù)較為成熟、所需硬件條件較低；然而其缺點(diǎn)也很明顯，在環(huán)境光照、遮擋情況甚至面部表情發(fā)生變化時，其識別準(zhǔn)確度和系統(tǒng)響應(yīng)靈敏度都會大大降低，且二維人臉識別獲取的人臉特征信息在三維信息平面化的投影過程中會存在損失[5]。

三維圖像人臉識別技術(shù)采用了三維人臉立體建模的方法，比二維圖像人臉識別技術(shù)更加穩(wěn)定且具有更高的準(zhǔn)確度。通常，面部外觀不僅取決于身份，姿勢和光線的變化會導(dǎo)致臉部外觀發(fā)生很大變化。Georghiades等人提出了基于“光照錐”模型的人臉識別算法，該算法可在多姿態(tài)、多光照的條件下對人臉進(jìn)行三維立體建模[6]。同一個人在相同的視角和不同的照明條件下，臉部的所有圖像在圖像空間中形成一個凸錐，也就是光錐，通過計(jì)算輸入圖像到每個光錐的距離完成識別。在這一發(fā)展階段，人們還提出將統(tǒng)計(jì)學(xué)習(xí)理論應(yīng)用到人臉識別[7]。

三維圖像人臉識別技術(shù)對硬件的發(fā)展提出了更高的要求。第一，三維圖像人臉識別技術(shù)最大程度保留有效特征信息，但信息量的增加，對信息處理的實(shí)時性是個挑戰(zhàn)。第二，現(xiàn)今諸多移動設(shè)備的數(shù)據(jù)通過網(wǎng)絡(luò)接入云平臺，借助神經(jīng)網(wǎng)絡(luò)引擎可以對采集到的數(shù)據(jù)進(jìn)行更加全面深入的分析，從而以較低的配置和能耗進(jìn)行復(fù)雜算法的運(yùn)算[8]。但把人臉識別技術(shù)應(yīng)用到智能終端上則對芯片是一個更大的挑戰(zhàn)。蘋果公司為了實(shí)現(xiàn)個人數(shù)據(jù)的保護(hù)以及身份認(rèn)證的實(shí)時性，將身份識別過程全部在終端內(nèi)進(jìn)行，這就需要移動設(shè)備提供接近云服務(wù)器的計(jì)算性能。為了滿足數(shù)據(jù)采集和處理的實(shí)時性，iPhone 12采用最新定制的A14 Bionic處理器來處理人工智能工作負(fù)載，這是一個每秒運(yùn)算次數(shù)最高可達(dá)11萬億次的十六核“生物神經(jīng)網(wǎng)絡(luò)引擎”芯片，該芯片最重要的功能就是使Face ID身份認(rèn)證功能能夠快速識別人臉[9]。為了適配人臉識別的數(shù)據(jù)采集和處理算法性能，未來將會研發(fā)出更多的AI芯片。AI芯片在智能終端的廣泛應(yīng)用也將成為一大發(fā)展趨勢[10]。

2 終端人臉識別技術(shù)的安全挑戰(zhàn)

當(dāng)人臉識別技術(shù)廣泛應(yīng)用到移動智能終端及應(yīng)用軟件后，其安全性面臨著多種挑戰(zhàn)。在2017年的中央電視臺3·15晚會上，主持人演示了一張靜態(tài)照片經(jīng)過照片模擬及屏幕翻拍，在完成眨眼、動嘴后，就可以通過人臉識別登錄個人賬戶，或通過動態(tài)換臉的方式突破人臉識別過程，成功登錄用戶的個人賬戶。

人臉識別的安全挑戰(zhàn)主要來自以下4方面。

2.1 人工智能框架攻擊

在常用的TensorFlow、Caffe、Torch等人工智能框架中，至今仍存在許多待解決的不同于傳統(tǒng)軟件漏洞的攻擊點(diǎn)，包括數(shù)據(jù)中毒攻擊(引入導(dǎo)致學(xué)習(xí)系統(tǒng)出錯的訓(xùn)練數(shù)據(jù))、對抗性樣本等。

算法所依賴的模式分類系統(tǒng)本身可能會出現(xiàn)可被黑客或其他犯罪分子利用的漏洞，一個常見的攻擊手段是生成對抗性樣本迷惑模型。攻擊者人為惡意構(gòu)造或合成場景，導(dǎo)致框架識別錯誤的模型，使機(jī)器產(chǎn)生“錯覺”。例如，一些公司通過猜測搜索引擎人工智能算法以提高其在各個關(guān)鍵詞下的搜索排名，垃圾郵件發(fā)件人通過拼寫錯誤的單詞或者在郵件中添加不相關(guān)的單詞或句子來欺騙垃圾郵件過濾算法等。

對抗性樣本同樣帶來了一些隱患，例如，攻擊者可以通過使用貼紙或油漆創(chuàng)建一個對抗性停止標(biāo)志，自動駕駛車輛會將其識別為“停車”或其他標(biāo)志。研究表明，廣泛使用的RL算法，如DQN、TRPO和A3C，都易受到對抗性樣本的影響。這體現(xiàn)了在算法和實(shí)現(xiàn)層面上考慮問題的差距。

隨著系統(tǒng)復(fù)雜程度的增加，安全隱患也隨之增加。任何在人工智能框架以及它所依賴的組件中的安全問題都會威脅到框架之上的應(yīng)用系統(tǒng)，如果引用了惡意的第三方組件，便會導(dǎo)致系統(tǒng)崩潰、系統(tǒng)權(quán)限被竊取。

此外，還有針對生物識別系統(tǒng)進(jìn)行的攻擊。大多數(shù)生物識別系統(tǒng)允許客戶的配置文件隨著時間的推移適應(yīng)自然變化，隨著用戶面部特征的微小改變，面部識別軟件內(nèi)的用戶數(shù)據(jù)會隨之更新。攻擊者利用這種適應(yīng)性，通過向傳感器呈現(xiàn)一系列虛假的生物特征，逐漸更新儲存的個人資料，直到完全替換為另一個，最終允許他人冒充用戶解鎖客戶端。

2.2 活體檢測攻擊

活體檢測攻擊將靜態(tài)的人臉照片通過Photoshop、After Effect等視頻、圖像處理軟件轉(zhuǎn)化為動態(tài)的視頻，讓視頻中的人臉模仿真人完成規(guī)定動作，欺騙人臉識別系統(tǒng)，解鎖用戶終端?；蚴峭ㄟ^三維建模軟件，參照人臉多處關(guān)鍵位置的臉部特征，制作建模圖像，讓建模圖像做出和實(shí)際真人相似的規(guī)定動作，以達(dá)到解鎖用戶終端的目的。

2.3 人臉面具攻擊

人臉面具攻擊利用獲取到的目標(biāo)人臉圖像，使用石膏、硅膠、樹脂或類膚質(zhì)材料制作相應(yīng)的三維人臉模具，用以偽造用戶的身份，從而實(shí)現(xiàn)對人臉識別系統(tǒng)的攻擊。

2.4 注入應(yīng)用攻擊

注入應(yīng)用攻擊會在程序中布置一個斷點(diǎn)，通過反復(fù)演示人臉識別流程不斷觸發(fā)該斷點(diǎn)，然后分析并修改程序，實(shí)現(xiàn)繞過活體檢測，僅憑靜態(tài)照片就能通過人臉識別的目的。

3 人臉識別技術(shù)的安全要求

上述提到的安全攻擊方式中，不乏利用系統(tǒng)設(shè)計(jì)漏洞等實(shí)施的攻擊。面對這些安全威脅，應(yīng)當(dāng)制定統(tǒng)一的人臉識別安全技術(shù)要求的標(biāo)準(zhǔn)，規(guī)范基于人工智能的人臉識別的安全性要求，服務(wù)于研發(fā)、生產(chǎn)、使用等環(huán)節(jié)。從安全評估的角度，分析其安全要求應(yīng)包含以下3部分內(nèi)容[11-13]。

3.1 評估對象(Target of Evaluation，TOE)保護(hù)資產(chǎn)

需要保護(hù)的資產(chǎn)應(yīng)包括：人臉圖像采集和識別系統(tǒng)在運(yùn)行時產(chǎn)生的人臉實(shí)時圖像數(shù)據(jù)、用戶人臉注冊過程創(chuàng)建的人臉基準(zhǔn)模板、人臉特征識別匹配得分的實(shí)時數(shù)據(jù)、決策功能單元根據(jù)識別匹配得分給出的人臉識別結(jié)果、人臉識別系統(tǒng)的代碼、采集設(shè)備相關(guān)的代碼、算法配置數(shù)據(jù)和保護(hù)人臉基準(zhǔn)模板的加密密鑰[14]。

3.2 安全威脅分析

人臉識別技術(shù)從生命周期來分析可能存在的威脅來自采集、傳輸、存儲、比對和銷毀環(huán)節(jié)(見圖1)。

圖1 人臉識別技術(shù)的生命周期

(1)采集環(huán)節(jié)：采集的人臉實(shí)時數(shù)據(jù)被攔截或者被篡改；采集傳感器的固件完整性和可用性被破壞。

(2)傳輸環(huán)節(jié)：人臉數(shù)據(jù)在從采集模塊傳輸?shù)叫盘柼幚砟K或特征提取子系統(tǒng)過程中被竊取或者被篡改；信號處理模塊輸出結(jié)果被攔截用于直接恢復(fù)用戶信息或今后用于重放攻擊。

(3)存儲環(huán)節(jié)：存儲的模板數(shù)據(jù)密鑰被破解或者被竊取，存儲的模板數(shù)據(jù)被替換；存儲的人臉處理中間數(shù)據(jù)被篡改。

(4)特征比對環(huán)節(jié)：特征比對設(shè)定閾值或特征比對的匹配得分被篡改。

(5)數(shù)據(jù)銷毀環(huán)節(jié)：在注冊用戶注銷后，相應(yīng)的人臉數(shù)據(jù)未被徹底清除或未有防回滾的防護(hù)，導(dǎo)致數(shù)據(jù)被竊取后用作偽冒身份。

3.3 安全目標(biāo)

人臉識別技術(shù)的安全目標(biāo)是實(shí)現(xiàn)其系統(tǒng)所具有的安全功能，以防御上述的安全威脅，保證應(yīng)保護(hù)資產(chǎn)的完整性、機(jī)密性和可用性。總體的安全目標(biāo)如下。

采集模塊的硬件固件及驅(qū)動的完整性、可用性和功能接口的授權(quán)訪問；信號處理模塊的固件及驅(qū)動的完整性、可用性和功能接口的授權(quán)訪問；存儲模塊(包括人臉實(shí)時圖像數(shù)據(jù)、人臉基準(zhǔn)模板等)應(yīng)能防竊取、防篡改；特征比對模塊的策略、閾值、得分應(yīng)能防篡改；傳輸模塊(采集模塊傳輸?shù)叫盘柼幚砟K或特征提取子系統(tǒng)，信號處理模塊傳輸?shù)教卣鞅葘δK或存儲模塊)應(yīng)能防竊取、防篡改；硬件和軟件接口應(yīng)設(shè)訪問控制，防止非授權(quán)使用；人臉實(shí)時圖像數(shù)據(jù)、人臉基準(zhǔn)模板、軟件實(shí)時數(shù)據(jù)、匹配得分等數(shù)據(jù)應(yīng)設(shè)置防回滾、防篡改，避免關(guān)鍵防偽檢測、驗(yàn)證功能被旁路。

4 建設(shè)評估體系的思考

國際上對于生物識別標(biāo)準(zhǔn)化的工作主要由國際標(biāo)準(zhǔn)化組織ISO/IEC的JTC1/SC37 信息技術(shù)：生物特征識別技術(shù)分技委承擔(dān)。同時，美國國家標(biāo)準(zhǔn)化協(xié)會(ANSI)認(rèn)可標(biāo)準(zhǔn)委員會(X9)與Bio API聯(lián)盟開展合作，于2001年1月發(fā)布了NI-STIR 6529—2001生物特征識別通用文件交換格式，又于2001年3月發(fā)布了美國國家標(biāo)準(zhǔn)X9.84—2001：生物認(rèn)證信息的管理與安全。該標(biāo)準(zhǔn)定義了生物信息在金融界的使用管理與安全要求(如雇員身份識別、顧客身份識別)，涵蓋了指紋識別、聲紋識別、虹膜掃描圖像等多種生物識別方法，現(xiàn)已成為國際標(biāo)準(zhǔn)ISO 19092。

我國早在1999年，SAC/TC100編制安防行業(yè)標(biāo)準(zhǔn)體系時，就已在安全技術(shù)防范行業(yè)的標(biāo)準(zhǔn)體系之中加入了生物統(tǒng)計(jì)學(xué)防范產(chǎn)品的技術(shù)標(biāo)準(zhǔn)，社會公共安全行業(yè)(GA)也從業(yè)務(wù)實(shí)際需求出發(fā)制定了人臉識別的相關(guān)標(biāo)準(zhǔn)規(guī)范。

從生物識別技術(shù)的角度出發(fā)，全國信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會生物特征識別分技術(shù)委員會(TC28-SC37)成立了移動設(shè)備生物特征識別標(biāo)準(zhǔn)工作組，啟動《信息技術(shù) 移動設(shè)備生物特征識別 第3部分：人臉》等系列國家標(biāo)準(zhǔn)研制工作；全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC260)鑒別與授權(quán)標(biāo)準(zhǔn)工作組(WG4)啟動《信息安全技術(shù) 基于可信環(huán)境的生物特征識別身份鑒別協(xié)議框架》《信息安全技術(shù) 基于生物特征識別的移動智能終端身份鑒別技術(shù)框架》等標(biāo)準(zhǔn)制定工作。生物特征識別國家標(biāo)準(zhǔn)體系規(guī)范初步建立。

中國通信標(biāo)準(zhǔn)化協(xié)會(CCSA)移動互聯(lián)網(wǎng)應(yīng)用和終端技術(shù)工作委員會(TC11)已開始建設(shè)人工智能標(biāo)準(zhǔn)體系，作為標(biāo)準(zhǔn)體系的重要一環(huán)，《移動智能終端人臉識別安全技術(shù)要求及測試評估方法》行業(yè)標(biāo)準(zhǔn)已立項(xiàng)成功，將聯(lián)合科研院所、終端廠家、芯片廠家共同發(fā)力，協(xié)同創(chuàng)建人臉識別安全技術(shù)體系，著手解決行業(yè)中面臨的安全標(biāo)準(zhǔn)缺失問題。通過行業(yè)標(biāo)準(zhǔn)的制定、引導(dǎo)并建立更健康的人臉識別安全產(chǎn)業(yè)生態(tài)。目前，電信終端產(chǎn)業(yè)協(xié)會(TAF)信息安全工作組(WG4)已制定《移動終端基于TEE的人臉識別安全評估方法》，成為國內(nèi)首個人臉識別安全標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)的發(fā)布將會對移動終端人臉識別產(chǎn)業(yè)提供行業(yè)指導(dǎo)，解決本地人臉識別技術(shù)在應(yīng)用和推廣普及方面的安全障礙，有效地為消費(fèi)者、用戶提供安全指引參考，促進(jìn)行業(yè)健康發(fā)展。

5 結(jié)束語

隨著人工智能技術(shù)飛速發(fā)展，人工智能框架下迅速發(fā)展的人臉識別技術(shù)在這個交叉融合領(lǐng)域面臨著諸多安全挑戰(zhàn)，相應(yīng)的安全要求和評估體系的建設(shè)勢在必行。目前，針對人臉識別技術(shù)的評估體系尚在建設(shè)中，國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、協(xié)會標(biāo)準(zhǔn)從各個層面共同推進(jìn)，將是未來評估體系的發(fā)展趨勢。標(biāo)準(zhǔn)體系建設(shè)將為整個行業(yè)發(fā)展提供指引，引領(lǐng)產(chǎn)業(yè)鏈各方攜手共同建設(shè)良好的產(chǎn)業(yè)生態(tài)。