CN115906186B - 一种人脸图像隐私保护方法、装置及存储介质 - Google Patents

Abstract

本发明涉及一种人脸图像隐私保护方法、装置及存储介质，包括以下步骤：在人脸图像的图像范围内随机选择n个像素点作为扰动点；随机生成概率阈值，若概率阈值大于设定的交叉概率，则将第j‑1轮得到的其中一个变异扰动点S _i,j‑1 作为第j轮的其中一个候选扰动点，否则将步骤S3得到的第j轮的其中一个变异扰动点作为第j轮的其中一个候选扰动点；计算第j轮的候选扰动点扰动人脸图像的Gini不纯度，选择Gini不纯度最大的候选扰动点作为第j轮的候选最佳扰动点；将第j轮的候选最佳扰动点的Gini不纯度与第j‑1轮的最佳扰动点的Gini不纯度进行比较，选择Gini不纯度较大的扰动点作为第j轮的最佳扰动点。

Description

一种人脸图像隐私保护方法、装置及存储介质

技术领域

本发明涉及图像处理技术领域，更具体地，涉及一种人脸图像隐私保护方法、装置及存储介质。

背景技术

大数据时代，计算机硬件水平逐年增强，计算机性能和计算速度飞速提高，为人工智能发展提供了便利条件。人脸识别是人工智能一个基础的应用场景，近年来研究者对人脸识别方面的研究已经非常成熟，人脸识别模型的应用愈发精准。然而，人脸识别的模型代码容易获取，易于实现，使用者不需要太多的专业知识，也不需要特殊的设备，并且人脸识别模型的训练数据易于收集，模型容易训练。这种易于实现的技术很容易造成滥用，据《纽约时报》报道：美国人脸识别公司收集超过30亿张人脸数据的照片，未经授权训练了一个能够识别数百万公民的大规模模型，并且训练后的人脸识别模型高度准确。

在实际使用场景中，未被授权的人脸识别模型可以通过简单的照片发现公民的身份或者关联其社交媒体资料。这些个人隐私敏感信息从多个维度被关联，可能会绘制出用户的完整画像，一旦这些敏感信息被恶意利用，将直接威胁用户的人身安全、个人名誉和财产安全。因此，如何防止未被授权的人脸识别模型收集用户的人脸图像，避免用户的隐私信息泄露成为了一个急需解决的问题。

针对未被授权的人脸识别模型造成的隐私泄露问题， Sharif等人设计了一种对抗样本生成算法，在人脸中生成“特殊的眼镜”对抗标签，这种“眼镜”标签会导致用户被人脸识别模型误认成其他人； Komkov等人设计了一种对抗样本生成算法，在人脸的头部生成对抗标签，这种对抗标签类似于“帽子”，能够降低人脸图像被识别的可能性。

然后，上述两种方案在具体使用时，均存在以下技术问题：

1）需要对原始用户的人脸图像进行较大的改动，要求用户在人脸图像中添加相当明显的标签（帽子、眼镜），这对用户需要正常分享照片来说是不实际的。

 2）为了误导人脸识别模型识别错误，它们需要完全不受限制地访问（白盒访问）目标人脸识别模型，以获取精准的模型信息和参数信息。一旦目标人脸识别模型更新，生成的对抗标签很容易被模型识别，从而导致标签不可用。

发明内容

本发明的发明目的在于解决现有技术提供的人脸图像隐私保护方法存在的需要对人脸图像进行大范围的改动、需要额外获取精准的人脸识别模型参数信息的技术缺陷，提供了一种人脸图像隐私保护方法。

为实现以上发明目的，采用的技术方案是：

一种人脸图像隐私保护方法，包括以下步骤：

S1.在人脸图像的图像范围内随机选择 n个像素点作为扰动点；初始化迭代次数 j， j的初始值为1，设置最大迭代次数 m；

j=1时，随机选择扰动点 S _i,1 进行变异，得到第1轮的若干变异扰动点；令第1轮的最佳扰动点为扰动点 S _i,1 ； i的取值范围为[1, n]；

令 j= j+1；

S2.判断 j的值是否大于 m，若是则将第 j-1轮得到的最佳扰动点对人脸图像进行扰动；否则执行步骤 S3；

S3.将第 j-1轮得到的变异扰动点中 Gini不纯度最大的变异扰动点作为第 j轮的目标扰动点进行变异，得到第 j轮的若干变异扰动点 V _i,j ；

S4.随机生成概率阈值 R _i,j ，若所述概率阈值 R _i,j 大于设定的交叉概率 P，则将第 j-1轮得到的其中一个变异扰动点 S _i,j-1 作为第 j轮的其中一个候选扰动点 C _i,j ，否则将步骤 S3得到的第 j轮的其中一个变异扰动点 V _i,j 作为第 j轮的其中一个候选扰动点 C _i,j ；

S5. 步骤S4重复 n次得到第 j轮的 n个候选扰动点；

S6.计算第 j轮的各个候选扰动点扰动人脸图像的 Gini不纯度，选择 Gini不纯度最大的候选扰动点作为第 j轮的候选最佳扰动点；将第 j轮的候选最佳扰动点的 Gini不纯度与第 j-1轮的最佳扰动点的 Gini不纯度进行比较，选择 Gini不纯度较大的扰动点作为第 j轮的最佳扰动点；

S7.令 j= j+1，然后执行步骤 S2。

优选地，步骤 S1中， j=1时，随机选择扰动点 S _i,1 进行变异，具体包括：

随机选择另外的2个扰动点 S _r1 、 S _r2 ，随机生成缩放因子 F _i,1 ∈[0.5,1]，通过变异公式 V _i,1 = S _i,1 + F _i,1 *( S _r1 - S _r2 )计算得到第1轮的变异扰动点； V _i,1 表示第1轮的变异扰动点。

优选地，步骤 S3中，令第 j-1轮得到的变异扰动点中 Gini不纯度最大的变异扰动点为 S _q,j-1 ， q∈[1, n]，对于 S _q,j-1 ，随机选择步骤 S1中另外的2个扰动点 S _r3 、 S _r4 ，随机生成缩放因子 F _q,j-1 ∈[0.5,1]，通过变异公式 V _{q, j} = S _{q, j-1}+ F _{q, j-1}*( S _r3 - S _r4 )计算得到第 j轮的变异扰动点。

优选地，步骤 S6计算第 j轮的候选扰动点扰动人脸图像的 Gini不纯度，具体包括：

；

其中 S _E 表示第 j轮的候选扰动点，表示 Gini不纯度， N表示识别类型数量， p=1,…, N，表示人脸图像被识别为第 p类型的概率。

同时，本发明还提供了一种人脸图像隐私保护装置，具体的方案如下：

一种人脸图像隐私保护装置，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现以上所述人脸图像隐私保护方法的方法步骤。

另外，本发明还提供了一种计算机可读存储介质，具体的方案如下：

一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现以上所述人脸图像隐私保护方法的方法步骤。

与现有技术相比，本发明的有益效果是：

1）本发明提供的人脸图像隐私保护方法通过迭代求取最佳的扰动点对人脸图像进行扰动，从而达到让未被授权的人脸识别模型识别错误的技术目的；由于本发明提供的方法仅仅需要对人脸图像中的一个像素点进行改变，人眼无法区别变化，保证了用户照片的可用性和可分享性。

2）本发明提供的人脸图像隐私保护方法无需获取人脸识别模型的参数信息，因而不会随着人脸识别模型更新而导致不可用，有效保护用户的人脸数据，避免被未授权的人脸识别模型获取。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。

图1为人脸图像隐私保护方法的实施示意图。

图2为人脸图像隐私保护装置的结构示意图。

具体实施方式

为使得本发明的发明目的、特征、优点能够更加的明显和易懂，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，下面所描述的实施例仅仅是本发明一部分实施例，而非全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

实施例1

用户在社交网络上发布自拍照及其他生活照片，直接发布原始照片容易被未授权的人脸识别模型通过照片发现公民的身份或者关联其隐私信息。因此，需要在用户发布生活照之前对照片进行修改，以保护个人隐私信息，但是只能对用户的照片进行微小改动，以保证用户照片的可用性和可分享性。本实施例提供的方法中，主要对照片中的人脸图像区域进行修改。具体实施过程如图1所示。

第一步、初始化阶段：在人脸图像的图像范围内随机选择 n个像素点作为扰动点；初始化迭代次数 j， j的初始值为1，设置最大迭代次数 m；

j=1时，随机选择扰动点 S _i,1 进行变异，得到第1轮的若干变异扰动点；令第1轮的最佳扰动点为扰动点 S _i,1 ； i的取值范围为[1, n]；

令 j= j+1；

其中， n的值需要用户自定义， n值越大，扰动图像效果越好，对人脸识别模型的干扰程度越强，算法消耗的时间越长；反之， n值越小，找出的扰动点效果越差，对人脸识别模型的干扰程度越弱，算法消耗的时间越短。

上述方案中， j=1时，随机选择扰动点 S _i,1 进行变异，具体包括：

随机选择另外的2个扰动点 S _r1 、 S _r2 ，随机生成缩放因子 F _i,1 ∈[0.5,1]，通过变异公式 V _i,1 = S _i,1 + F _i,1 *( S _r1 - S _r2 )计算得到第1轮的变异扰动点； V _i,1 表示第1轮的变异扰动点。

第二步、判断 j的值是否大于 m，若是则将第 j-1轮得到的最佳扰动点对人脸图像进行扰动；否则执行第三步。

第三步、变异操作阶段：将第 j-1轮得到的变异扰动点中 Gini不纯度最大的变异扰动点作为第 j轮的目标扰动点进行变异，得到第 j轮的若干变异扰动点。

上述方案中，令第 j-1轮得到的变异扰动点中 Gini不纯度最大的变异扰动点为 S _q,j-1 ， q∈[1, n]，对于 S _q,j-1 ，随机选择第一步中另外的2个扰动点 S _r3 、 S _r4 ，随机生成缩放因子 F _q,j-1 ∈[0.5,1]，通过变异公式 V _{q, j} = S _{q, j-1}+ F _{q, j-1}*( S _r3 - S _r4 )计算得到第 j轮的变异扰动点。

第四步、交叉操作阶段：随机生成概率阈值 R _i,j ， R _i,j ∈[0,1]，若所述概率阈值 R _i,j 大于设定的交叉概率 P，则将第 j-1轮得到的其中一个变异扰动点 S _i,j-1 作为第 j轮的其中一个候选扰动点 C _i,j ，否则将第三步得到的第 j轮的其中一个变异扰动点 V _i,j 作为第 j轮的其中一个候选扰动点 C _i,j ；以上过程重复 n次得到第 j轮的 n个候选扰动点；

第五步、选择阶段：计算第 j轮的各个候选扰动点扰动人脸图像的 Gini不纯度，选择 Gini不纯度最大的候选扰动点作为第 j轮的候选最佳扰动点；将第 j轮的候选最佳扰动点的 Gini不纯度与第 j-1轮的最佳扰动点的 Gini不纯度进行比较，选择 Gini不纯度较大的扰动点作为第 j轮的最佳扰动点；

第六步、令 j= j+1，然后执行第二步。

其中，第五步计算第 j轮的候选扰动点扰动人脸图像的 Gini不纯度，具体包括：

；

其中 S _E 表示第 j轮的候选扰动点，表示 Gini不纯度， N表示识别类型数量， p=1,…, N，表示人脸图像被识别为第 p类型的概率。

实施例2

本实施例提供了一种人脸图像隐私保护装置，如图2所示，具体的方案如下：

一种人脸图像隐私保护装置，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现实施例1所述人脸图像隐私保护方法的方法步骤。

实施例3

本实施例提供了一种计算机可读存储介质，具体的方案如下：

一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现实施例1所述人脸图像隐私保护方法的方法步骤。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括： U盘、移动硬盘、只读存储器（ ROM， Read- OnlyMemory）、随机存取存储器（ RAM， RandomAccessMemory）、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (6)

1.一种人脸图像隐私保护方法，其特征在于：包括以下步骤：

S1.在人脸图像的图像范围内随机选择n个像素点作为扰动点；初始化迭代次数j，j的初始值为1，设置最大迭代次数m；

j=1时，随机选择扰动点S _i,1 进行变异，得到第1轮的若干变异扰动点；令第1轮的最佳扰动点为扰动点S _i,1 ；i的取值范围为[1,n]；

令j=j+1；

S2.判断j的值是否大于m，若是则将第j-1轮得到的最佳扰动点对人脸图像进行扰动；否则执行步骤S3；

S3.将第j-1轮得到的变异扰动点中Gini不纯度最大的变异扰动点作为第j轮的目标扰动点进行变异，得到第j轮的若干变异扰动点V _i,j ；

S4.随机生成概率阈值R _i,j ，若所述概率阈值R _i,j 大于设定的交叉概率P，则将第j-1轮得到的其中一个变异扰动点S _i,j-1 作为第j轮的其中一个候选扰动点C _i,j ，否则将步骤S3得到的第j轮的其中一个变异扰动点V _i,j 作为第j轮的其中一个候选扰动点C _i,j ；

S5. 步骤S4重复n次得到第j轮的n个候选扰动点；

S6.计算第j轮的各个候选扰动点扰动人脸图像的Gini不纯度，选择Gini不纯度最大的候选扰动点作为第j轮的候选最佳扰动点；将第j轮的候选最佳扰动点的Gini不纯度与第j-1轮的最佳扰动点的Gini不纯度进行比较，选择Gini不纯度较大的扰动点作为第j轮的最佳扰动点；

S7.令j=j+1，然后执行步骤S2。

2.根据权利要求1所述的人脸图像隐私保护方法，其特征在于：步骤S1中，j=1时，随机选择扰动点S _i,1 进行变异，具体包括：

随机选择另外的2个扰动点S _r1 、S _r2 ，随机生成缩放因子F _i,1 ∈[0.5,1]，通过变异公式V _i,1 =S _i,1 +F _i,1 *( S _r1 -S _r2 )计算得到第1轮的变异扰动点；V _i,1 表示第1轮的变异扰动点。

3.根据权利要求2所述的人脸图像隐私保护方法，其特征在于：步骤S3中，令第j-1轮得到的变异扰动点中Gini不纯度最大的变异扰动点为S _q,j-1 ，q∈[1,n]，对于S _q,j-1 ，随机选择步骤S1中另外的2个扰动点S _r3 、S _r4 ，随机生成缩放因子F _q,j-1 ∈[0.5,1]，通过变异公式V _q,j =S _q,j-1+F _q,j-1*( S _r3 -S _r4 )计算得到第j轮的变异扰动点。

4.根据权利要求3所述的人脸图像隐私保护方法，其特征在于：步骤S6计算第j轮的候选扰动点扰动人脸图像的Gini不纯度，具体包括：

；

其中S _E 表示第j轮的候选扰动点，表示Gini不纯度，N表示识别类型数量，p=1,…,N，表示人脸图像被识别为第p类型的概率。

5.一种人脸图像隐私保护装置，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于：所述处理器执行所述程序时实现权利要求1-4任一项所述人脸图像隐私保护方法的方法步骤。

6.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现权利要求1-4任一项所述人脸图像隐私保护方法的方法步骤。

Images