CN115021933A - 一种基于循环学习的人脸匿名方法 - Google Patents

Abstract

本发明提出了一种基于循环学习的人脸匿名方法。本发明提出了一个基于循环学习的面部生物特征可逆匿名化方案来保护公共网络空间中传输的面部特征，它由去识别系统(De‑ID系统)和重新识别系统(Re‑ID系统)组成。De‑ID系统对敏感的面部特征进行去识别，使其以与现实世界完全不同的形式存在于公共网络空间中，从而有效地防止因真实的脸部特征的暴露而产生的威胁。基于循环学习的可逆性，Re‑ID系统几乎无损地恢复了去识别的面部特征，确保了人脸图像的认证效用。此外，该模型还提供了全局和局部匿名化策略，以应对不同用户的需求。实验结果显示，与其他现有技术比较，本发明提出的方案不仅能够在公开网络中有效匿名脸部特征，而且不影响脸部图像的实际使用。

Description

一种基于循环学习的人脸匿名方法

技术领域

本发明属于隐私保护之人脸图像安全领域，具体涉及一种基于循环学习的人脸匿名方法。

背景技术

生物识别技术已经渗透到我们的日常活动中，并在身份认证中发挥着关键作用。生物识别系统一般是基于软性生物特征，被称为身体、行为或附着的人类特征。如今，基于面部特征的生物识别在身份认证中发挥着重要作用，它提高了生物识别系统的识别精度。然而，将这些数据存储在生物识别数据库中可能会引起对隐私泄露的担忧。个人信息暴露在公共网络空间中会影响到数百万人，并导致灾难性的后果，为了建立对生物识别系统的信任，继续提出一个可逆的匿名化方案。

发明内容

本发明提出了一个基于循环学习的面部生物特征可逆匿名化方案来保护公共网络空间中传输的面部特征，它由去识别系统(De-ID系统)和重新识别系统(Re-ID系统)组成。De-ID系统对敏感的面部特征进行去识别，使其以与现实世界完全不同的形式存在于公共网络空间中，从而有效地防止因真实的脸部特征的暴露而产生的威胁。基于循环学习的可逆性，Re-ID系统几乎无损地恢复了去识别的面部特征，确保了人脸图像的认证效用。此外，该模型还提供了全局和局部匿名化策略，以应对不同用户的需求。实验结果显示，与其他现有的相关工作比较，本发明提出的方案不仅能够在公开网络中有效匿名脸部特征，而且不影响脸部图像的实际使用。与其他现有的相关工作比较，本发明提出的方案不仅能够有效匿名敏感的人脸信息，更能够保持图像的实际效用。实验结果显示，本发明也能够抵抗压缩和噪声等攻击，具有较为优越的性能。

本发明的技术方案步骤如下：

一种基于循环学习的人脸匿名方法，用于图像拥有者在传送到公开网络之前进行人脸面部特征去辨识和第三方认证者进行身份验证，其具体步骤如下：

S1：图像拥有者根据敏感的面部特征，选择对应的匿名标签；

S2：图像拥有者将匿名标签和待去辨识的原始图像送入去辨识化系统，去辨识化系统返回去辨识图像和认证秘钥；

S3：图像拥有者传输去辨识图像至公开网络，并将认证秘钥和匿名标签交给第三方认证者；

S4：第三方认证者接收图像拥有者传送的认证秘钥和匿名标签，并从公开网络中接收去辨识图像；

S5：第三方认证者将匿名标签、认证秘钥和去辨识图像送入恢复辨识化系统，恢复辨识化系统返回恢复辨识图像。

作为优选，所述S1中，图像拥有者根据敏感的面部特征，选择对应的匿名标签的方法如下：

假设人脸图像中包含N个面部特征，匿名标签为{l，l∈[0，N]}，其中l＝0和l∈[1，N]分别表示全局匿名模式和局部匿名模式；图像拥有者依据全局匿名或者局部匿名的实际需求选择相应的匿名标签l。

作为优选，所述全局匿名模式通过像素级别的置乱使得脸部特征以覆盖的方式被有效保护，优选为采用全脸马赛克；而局部匿名模式通过在同一特征内进行特征域转换使得脸部图像以误导的方式被有效保护，优选为对性别特征、年龄特征、肤色特征进行转变。

作为优选，所述S2中，图像拥有者将匿名标签和待去辨识的原始图像送入去辨识化系统，去辨识化系统返回去辨识图像和认证秘钥的方法如下：

图像拥有者将待去辨识的原始图像X和匿名标签l同时送入去辨识化系统De-ID中，获得去辨识图像Y＝De-ID(X|l)和认证秘钥K_p；其中，当l＝0的时候，原始人脸图像被全局马赛克，去辨识图像Y＝De-ID(X|l)必须满足X≠Y；当l∈[1，N]的时候，原始人脸中第l个面部特征被置乱，去辨识图像Y＝De-ID(X|l)必须满足

表示从指定图像中取出指定特征的操作；所述认证秘钥K_p为去辨识化系统和恢复辨识化系统生成的内部认证编码，用于权限认证。

作为优选，所述认证秘钥为随机长度的二进制编码。

作为优选，所述S3中，图像拥有者传输去辨识图像至公开网络，并将认证秘钥和匿名标签交给第三方认证者的方法如下：

图像拥有者将获得的去辨识图像Y＝De-ID(X|l)上传到公开网络，使得去辨识图像以不同于原始形态的方式存在于公开网络当中，非法脸部特征获取软件无法通过去辨识图像获取得到面部的信息；同时，图像拥有者将认证秘钥K_p和匿名标签l交第三方认证者，用于供第三方认证者对去辨识图像进行恢复辨识。

作为优选，所述第三方认证者为银行或其他需要进行人脸认证的机构。

作为优选，所述S4中，第三方认证者接收图像拥有者传送的认证秘钥和匿名标签，并从公开网络中接收去辨识图像的方法如下：

第三方认证者接收图像拥有者传送的认证秘钥K_p和匿名标签{l，l∈[0，N]}，之后从公开网络中接收去辨识图像Y＝De-ID(X|l)。

作为优选，所述S5中，第三方认证者将匿名标签、认证秘钥和去辨识图像送入恢复辨识化系统，恢复辨识化系统返回恢复辨识图像的方法如下：

第三方认证者将接受到的认证秘钥K_p、匿名标签{l，l∈[0，N]}和去辨识化图像Y＝De-ID(X|l)一同送入恢复辨识化系统Re-ID，恢复辨识化系统传回恢复辨识图像

其中，当l＝0的时候，被全局马赛克的人脸图像被恢复，去辨识图像

必须满足

当l∈[1，N]的时候，原始人脸中被置乱的第l个面部特征被恢复，恢复辨识图像

必须满足

其中“≈”代表两个图像应当无限接近。

作为优选，所述去辨识化系统De-ID和恢复辨识化系统Re-ID分别采用经过训练后的CycleGAN网络中的两个辨识器。

相对于现有技术而言，本发明的有益效果如下：

基于面部特征的生物识别在身份认证中发挥着重要作用，它提高了生物识别系统的识别精度。然而，由于公共网络空间中的软性生物识别特征的泄露而造成的经济损失或个人安全隐患已经成为一个日益严重的问题。为了解决这个问题，本发明提出了一个基于循环学习的面部生物特征可逆匿名化方案来保护公共网络空间中传输的面部特征，它由去识别系统(De-ID系统)和重新识别系统(Re-ID系统)组成。De-ID系统对敏感的面部特征进行去识别，使其以与现实世界完全不同的形式存在于公共网络空间中，从而有效地防止因真实的脸部特征的暴露而产生的威胁。基于循环学习的可逆性，Re-ID系统几乎无损地恢复了去识别的面部特征，确保了人脸图像的认证效用。此外，该模型还提供了全局和局部匿名化策略，以应对不同用户的需求。实验结果显示，与其他现有技术比较，本发明提出的方案不仅能够在公开网络中有效匿名脸部特征，而且不影响脸部图像的实际使用。

附图说明

图1为生成去辨识图像示意图；

图2为网络模型示意图；

图3为认证密钥和匿名标签授权示意图；

图4为生成恢复辨识图像示意图；

图5为方案去辨识效果展示；

图6为方案恢复辨识效果展示。

具体实施方式

为了便于本领域普通技术人员理解和实施本发明，下面结合附图实例对本发明做进一步详细描述，应当理解，此处所描述的实施例仅用于说明和解释本发明，并不用于限定本发明。

下面结合附图，对本发明的具体实施方案做进一步详细描述：

在本发明的一个较佳实施例中，提供了一种基于循环学习的人脸匿名方法方法，用于图像拥有者在传送到公开网络之前进行人脸面部特征去辨识和第三方认证者进行身份验证，其具体步骤如下：

S1：图像拥有者根据敏感的面部特征，选择对应的匿名标签。

在本实施例中，设定人脸图像中包含N个面部特征，每个面部特征对应一个特征标签即匿名标签，则匿名标签为{l，l∈[0，N]}，其中l＝0和l∈[1，N]分别表示全局匿名模式和局部匿名模式，全局匿名模式通过像素级别的置乱使得脸部特征以覆盖的方式被有效保护，而局部匿名模式通过在同一特征内进行特征域转换使得脸部图像以误导的方式被有效保护。基于此，图像拥有者依据需求(需要全局匿名或者局部匿名)选择相应的匿名标签l。

S2：图像拥有者将匿名标签和待去辨识化的原始图像送入去辨识化系统，去辨识化系统返回去辨识图像和认证秘钥。在本实施例中，此步骤具体方法如下：

图像拥有者将待去辨识化的原始图像X和匿名标签l同时送入去辨识化系统(De-ID系统)，获得去辨识图像Y＝De-ID(X|l)和认证秘钥K_p。其中，当l＝0的时候，原始人脸图像被全局马赛克，去辨识图像Y＝De-ID(X|l)必须满足X≠Y；当l∈[1，N]的时候，原始人脸中第l个面部特征被置乱(面部特征可以是性别特征、年龄特征、肤色特征等；比如，进行置乱，可将男性变成女性或者年轻人变成老年人)，去辨识图像Y＝De-ID(X|l)必须满足

此处

表示从指定图像中取出指定特征的操作，

即从X中提取出第l个面部特征的操作，

即从Y中提取出第l个面部特征的操作。即，当全局去辨识的时候，生成的去辨识化的人脸应该和原始图像存在较大差异，而局部去辨识的时候，生成的去辨识化的人脸中的选定的特征应该和原始图像中对应的特征存在较大差异。此外，认证秘钥K_p为去辨识化系统和恢复辨识化系统生成的内部认证编码，用于权限认证。其过程如图1所示。在实际使用中，其为随机长度的二进制编码。

需要说明的是，本发明中的去辨识化系统(De-ID系统)和后续的恢复辨识化系统(Re-ID系统)是一组对应的网络，可采用深度学习网络训练而成。

在本实施例中，以CycleGAN作为循环学习在人脸隐私保护中的实例化应用，其模型如图2所示。在本实施例中，将图像分为两个相对的域，去辨识化的图像为相对原始图像和恢复辨识图像外的另一个域。CycleGAN当中包含两个生成器和两个辨别器，两个生成器将图像从本域映射到另一个域，而两个辨别器使得生成的图像更加接近目标域的风格。上述去辨识化系统De-ID和恢复辨识化系统Re-ID分别采用经过训练后的CycleGAN。

为了使得生成的去辨识图像尽可能的接近目标域，本实施例训练可使用的损失函数如下：

在损失函数中，

和

分别代表相对应的两个域，而

和

为生成器，用于生成对应域的图像，

和

为辨别器，用于使生成的图像更逼近于目标域，而X和Y为分别属于

和

域的人脸图像，l为匿名标签。

S3：图像拥有者传输去辨识图像至公开网络，并将认证秘钥和匿名标签交给第三方认证者。在本实施例中，此步骤具体方法如下：

图像拥有者将获得的去辨识图像上传到公开网络，此时去辨识图像Y＝De-ID(X|l)以不同于原始形态的方式存在于公开网络当中，非法脸部特征获取软件无法通过自动获取得到我们面部的信息，全局去辨识化生成的去辨识图像全局被马赛克，因此非法脸部特征获取软件无法在图片中识别到人脸，局部去辨识化生成的去辨识图像的某一个特征被置乱成另一属性，非法面部特征获取软件会读取到错误的特征信息(例如：性别特征转变，男性图像变成女性图像，那么非法面部特征获取软件会捕获到“女性”，而原始图像为男性)。图像拥有者会将认证秘钥K_p和匿名标签l交第三方认证者(如银行或其他需要进行人脸认证的机构)，为第三方认证者对去辨识图像进行恢复辨识做准备，具体过程如图3。

S4，第三方认证者接收图像拥有者传送的认证秘钥和匿名标签，并从公开网络中接收去辨识图像。在本实施例中，此步骤具体方法如下：

第三方认证者接收图像拥有者传送的认证秘钥K_p和匿名标签{l，l∈[0，N]}，之后从公开网络中接收去辨识化图像Y＝De-ID(X|l)。

S5：第三方认证者将匿名标签、认证秘钥和去辨识图像送入恢复辨识化系统，恢复辨识化系统返回恢复辨识图像。在本实施例中，此步骤具体方法如下：

第三方认证者将接受到的认证秘钥K_p，匿名标签{l，l∈[0，N]}，和去辨识化图像Y＝De-ID(X|l)一同送入恢复辨识化系统，恢复辨识化系统传回恢复辨识图像

其中，当l＝0的时候，被全局马赛克的人脸图像被恢复，去辨识图像

必须满足

当l∈[1，N]的时候，原始人脸中被置乱的第l个面部特征被恢复，恢复辨识图像

必须满足

需要注意的是，上述“≈”代表两个图像应当无限接近，虽然理论上被恢复的图像应当与实际图像完全相同，但是实际两者无法做到完全相同，因此只能表示为无限接近。即，当全局恢复辨识的时候，生成的恢复辨识人脸应该无限接近原始图像，而局部恢复辨识的时候，生成的恢复辨识人脸中的被置乱的特征也被恢复，具体过程如图4。

其中，为了使得生成的恢复辨识图像尽可能的接近目标域，我们使用损失函数如下：

其中，

和

分别为恢复辨识后X和Y的人脸图像，对应于

和

两个域，减少此项损失函数有利于最大程度的压缩恢复辨识图像和原始图像的差值。

本实施例中，按照前述的步骤S1～S5图像所有者将原始图像去辨识化，认证密钥和匿名标签被传递给第三方认证者，第三方认证者将去辨识图像恢复辨识，生成恢复辨识图像，以将图像应用于人脸认证。其具体的结果展示如下：

i.效果展示

图5展示了本实施例方案的去辨识化效果。从图5(a)可以看出，在全局辨识化下，去辨识图像中几乎无法辨识出人脸，更不用谈获取人脸面部的敏感特征。在图5(b-d)中，本实施例分别年龄、性别和肤色等局部的特征进行去辨识化，原始图像中的人脸中对应的敏感特征被置乱到另一个属性，能够扰乱了读取者的判断。

图6展示了我们方案的恢复辨识效果。从图6我们看发现，无论是全局辨识化还是局部辨识化，被去辨识的特征都被接近无损的恢复。

进一步的，通过表1和表2量化了图像质量。从表1可以看出，平均PSNR低于24dB，平均SSIM低于0.65，因此生成的去辨识化图像和原始图像存在较大的差别。不同于去辨识化，恢复辨识化的图像平均PSNR高于35dB，SSIM高于0.9，即肉眼几乎看不出恢复辨识图像和原始图像的区别。

表1去辨识化图像的平均PSNR和SSIM.

表2恢复辨识化图像的平均PSNR和SSIM.

以上所述的实施例只是本发明的一种较佳的方案，然其并非用以限制本发明。有关技术领域的普通技术人员，在不脱离本发明的精神和范围的情况下，还可以做出各种变化和变型。因此凡采取等同替换或等效变换的方式所获得的技术方案，均落在本发明的保护范围内。

Claims (10)

1.一种基于循环学习的人脸匿名方法，其特征在于，具体步骤如下：

S1：图像拥有者根据敏感的面部特征，选择对应的匿名标签；

S2：图像拥有者将匿名标签和待去辨识的原始图像送入去辨识化系统，去辨识化系统返回去辨识图像和认证秘钥；

S3：图像拥有者传输去辨识图像至公开网络，并将认证秘钥和匿名标签交给第三方认证者；

S4：第三方认证者接收图像拥有者传送的认证秘钥和匿名标签，并从公开网络中接收去辨识图像；

S5：第三方认证者将匿名标签、认证秘钥和去辨识图像送入恢复辨识化系统，恢复辨识化系统返回恢复辨识图像。

2.根据权利要求1所述的一种基于循环学习的人脸匿名方法，其特征在于，所述S1中，图像拥有者根据敏感的面部特征，选择对应的匿名标签的方法如下：

假设人脸图像中包含N个面部特征，匿名标签为{l,l∈[0,N]}，其中l＝0和l∈[1,N]分别表示全局匿名模式和局部匿名模式；图像拥有者依据全局匿名或者局部匿名的实际需求选择相应的匿名标签l。

3.根据权利要求2所述的一种基于循环学习的人脸匿名方法，其特征在于，所述全局匿名模式通过像素级别的置乱使得脸部特征以覆盖的方式被有效保护，优选为采用全脸马赛克；而局部匿名模式通过在同一特征内进行特征域转换使得脸部图像以误导的方式被有效保护，优选为对性别特征、年龄特征、肤色特征进行转变。

4.根据权利要求2所述的一种基于循环学习的人脸匿名方法，其特征在于，所述S2中，图像拥有者将匿名标签和待去辨识的原始图像送入去辨识化系统，去辨识化系统返回去辨识图像和认证秘钥的方法如下：

图像拥有者将待去辨识的原始图像X和匿名标签l同时送入去辨识化系统De-ID中，获得去辨识图像Y＝De-ID(X|l)和认证秘钥K_p；其中，当l＝0的时候,原始人脸图像被全局马赛克，去辨识图像Y＝De-ID(X|l)必须满足X≠Y；当l∈[1,N]的时候,原始人脸中第l个面部特征被置乱，去辨识图像Y＝De-ID(X|l)必须满足

表示从指定图像中取出指定特征的操作；所述认证秘钥K_p为去辨识化系统和恢复辨识化系统生成的内部认证编码，用于权限认证。

5.根据权利要求3所述的一种基于循环学习的人脸匿名方法，其特征在于，所述认证秘钥为随机长度的二进制编码。

6.根据权利要求4所述的一种基于循环学习的人脸匿名方法，其特征在于，所述S3中，图像拥有者传输去辨识图像至公开网络，并将认证秘钥和匿名标签交给第三方认证者的方法如下：

图像拥有者将获得的去辨识图像Y＝De-ID(X|l)上传到公开网络，使得去辨识图像以不同于原始形态的方式存在于公开网络当中，非法脸部特征获取软件无法通过去辨识图像获取得到面部的信息；同时，图像拥有者将认证秘钥K_p和匿名标签l交第三方认证者，用于供第三方认证者对去辨识图像进行恢复辨识。

7.根据权利要求6所述的一种基于循环学习的人脸匿名方法，其特征在于，所述第三方认证者为银行或其他需要进行人脸认证的机构。

8.根据权利要求6所述的一种基于循环学习的人脸匿名方法，其特征在于，所述S4中，第三方认证者接收图像拥有者传送的认证秘钥和匿名标签，并从公开网络中接收去辨识图像的方法如下：

第三方认证者接收图像拥有者传送的认证秘钥K_p和匿名标签{l,l∈[0,N]}，之后从公开网络中接收去辨识图像Y＝De-ID(X|l)。

9.根据权利要求8所述的一种基于循环学习的人脸匿名方法，其特征在于，所述S5中，第三方认证者将匿名标签、认证秘钥和去辨识图像送入恢复辨识化系统，恢复辨识化系统返回恢复辨识图像的方法如下：

第三方认证者将接受到的认证秘钥K_p、匿名标签{l,l∈[0,N]}和去辨识化图像Y＝De-ID(X|l)一同送入恢复辨识化系统Re-ID，恢复辨识化系统传回恢复辨识图像

其中，当l＝0的时候,被全局马赛克的人脸图像被恢复，去辨识图像

必须满足

当l∈[1,N]的时候,原始人脸中被置乱的第l个面部特征被恢复，恢复辨识图像

必须满足

其中“≈”代表两个图像应当无限接近。

10.根据权利要求1～9任一所述的基于循环学习的人脸匿名方法，其特征在于，所述去辨识化系统De-ID和恢复辨识化系统Re-ID分别采用经过训练后的CycleGAN网络中的两个辨识器。

Images