沈 璽,康家梁,王偉鵬

(中國(guó)銀聯(lián),上海 201201)

1 引言

人臉作為最常見(jiàn)的生物特征,每個(gè)個(gè)體獨(dú)一無(wú)二,可作為身份鑒別的依據(jù).通過(guò)人臉圖像識(shí)別用戶身份,具有識(shí)別速度快、精度高、無(wú)接觸等優(yōu)點(diǎn),被廣泛應(yīng)用于各行業(yè)的身份認(rèn)證環(huán)節(jié).與其他生物特征不同,人臉的生物特征,具有外露性、自然性特點(diǎn),這使得復(fù)制人臉變得容易,二維圖片攻擊、視頻攻擊、3D 頭模攻擊、甚至計(jì)算機(jī)人臉圖像合成攻擊,是人臉識(shí)別必須考慮的安全問(wèn)題.通常在識(shí)別開(kāi)始之前,采取活體檢測(cè)技術(shù)來(lái)對(duì)抗欺騙攻擊[1].在完成活體檢測(cè),認(rèn)為用于識(shí)別的圖像來(lái)自于生物活體后,基于人臉的身份識(shí)別認(rèn)證才能生效.

通常在人臉識(shí)別終端上安裝有特定圖像采集攝像頭,收集面部RGB 圖像和深度特征,由終端應(yīng)用完成活體檢測(cè)后,向云端發(fā)起人臉識(shí)別,鑒別用戶身份.值得注意的是,在多數(shù)場(chǎng)景下,識(shí)別環(huán)境是開(kāi)放的,用戶在進(jìn)行人臉采集時(shí),屏幕中往往會(huì)出現(xiàn)多個(gè)人臉,如何在多人臉情況下排除干擾,準(zhǔn)確選取識(shí)別的用戶,即識(shí)別主體,是人臉識(shí)別產(chǎn)品體驗(yàn)設(shè)計(jì)中需要重視的一個(gè)關(guān)鍵環(huán)節(jié)[2].

現(xiàn)有的人臉識(shí)別裝置,對(duì)生物特征數(shù)據(jù)的處理一般運(yùn)行于終端REE (Rich Execution Environment)環(huán)境的應(yīng)用中,存在被替換和泄露的風(fēng)險(xiǎn).出于對(duì)人臉生物特征數(shù)據(jù)的隱私保護(hù),通常對(duì)終端有較高的要求,需配合特定的攝像頭,進(jìn)行一系列安全驗(yàn)證檢測(cè),過(guò)程復(fù)雜且成本高昂.

本文提出的安全人臉識(shí)別方案,旨在提供安全、友好的綜合人臉識(shí)別服務(wù).方案提出一種安全人臉識(shí)別模組,在模組內(nèi)嵌入安全模塊,集成活體檢測(cè)算法,完成對(duì)人臉特征的采集、活體計(jì)算、數(shù)據(jù)簽名、加密,有效防止特征數(shù)據(jù)泄露和篡改,保證人臉生物特征數(shù)據(jù)安全.方案無(wú)需終端應(yīng)用參與,降低了對(duì)終端的安全性依賴,為人臉識(shí)別快速集成提供了新思路.此外,方案兼顧安全和用戶體驗(yàn),在人臉采集過(guò)程中,設(shè)計(jì)一種人臉識(shí)別主體選擇判斷方法,在多用戶的情況下智能判斷業(yè)務(wù)識(shí)別主體,給用戶帶來(lái)良好的使用體驗(yàn).

2 關(guān)鍵技術(shù)研究

2.1 活體檢測(cè)

活體檢測(cè)技術(shù)伴隨著人臉識(shí)別技術(shù)的發(fā)展,近幾年有了長(zhǎng)足的進(jìn)步,總結(jié)有關(guān)研究[3–5],活體檢測(cè)技術(shù)可被分為兩大類(lèi):(1)基于特征描述子的判斷,非活體與活體樣本之間,存在諸多物理特征差異,結(jié)合一種或多種特征,如材質(zhì)、運(yùn)動(dòng)、深度等,用于分析判斷,進(jìn)而達(dá)到區(qū)分效果;(2)基于分類(lèi)器的判斷,指收集可觀數(shù)量的活體、非活體數(shù)據(jù)作為正負(fù)樣本,構(gòu)建訓(xùn)練集,使用機(jī)器學(xué)習(xí)或深度學(xué)習(xí)方法,對(duì)算法模型進(jìn)行訓(xùn)練,得到活體判斷模型;隨著技術(shù)的應(yīng)用發(fā)展,上述兩種方式也常進(jìn)行有機(jī)結(jié)合,達(dá)到更好的活體檢測(cè)效果.

本文實(shí)現(xiàn)活體判斷的方式屬于第2 類(lèi),通過(guò)收集人臉樣本的深度數(shù)據(jù),基于深度數(shù)據(jù)開(kāi)展特征提取和訓(xùn)練,最終將活體檢測(cè)看做對(duì)深度特征的二分類(lèi)決策過(guò)程.

本文使用TOF (Time Of Flight)攝像頭進(jìn)行人臉深度信息的采集.通過(guò)特殊裝置,向人臉表面發(fā)射特殊調(diào)制后的光束,經(jīng)人臉?lè)瓷?由接受裝置捕獲,得到光束往返的時(shí)間,即可計(jì)算出對(duì)應(yīng)的距離,進(jìn)而換算人臉的深度數(shù)據(jù).TOF 具有響應(yīng)時(shí)間快、識(shí)別距離遠(yuǎn)等優(yōu)點(diǎn),越來(lái)越多的設(shè)備和應(yīng)用,選擇TOF 進(jìn)行人臉原始深度信息的采集.

機(jī)器學(xué)習(xí)常用的判別式模型中,支持向量機(jī)(Support Vector Machine,SVM)以穩(wěn)定的性能得到了廣泛的應(yīng)用[6,7].通過(guò)核函數(shù)的變換后可適應(yīng)非線性劃分的問(wèn)題.模型的訓(xùn)練過(guò)程實(shí)際上是一個(gè)凸的二次規(guī)劃的求解過(guò)程,在高維特征空間中尋找決策超平面,并使劃分盡可能的擴(kuò)大類(lèi)間差距.在二分類(lèi)任務(wù)中支持向量機(jī)的表現(xiàn)通常也優(yōu)于其他機(jī)器學(xué)習(xí)模型,同時(shí)訓(xùn)練結(jié)果只與支持向量有關(guān),模型會(huì)有更小的體積,這在模型最終部署時(shí)也具有明顯的優(yōu)勢(shì).

2.1.1 數(shù)據(jù)集

本文數(shù)據(jù)集來(lái)自內(nèi)部采樣,共50 人,使用TOF 相機(jī)進(jìn)行人臉深度數(shù)據(jù)采集,盡可能提供豐富的深度特征.為避免單一采集場(chǎng)景影響,采集過(guò)程對(duì)光照、背景等場(chǎng)景因素做隨機(jī)變換.

正樣本:人臉正對(duì)相機(jī),變換表情、姿勢(shì)、角度,進(jìn)行圖像采集;

負(fù)樣本:覆蓋多種類(lèi)型的攻擊手段,包括:紙張人臉折疊、彎曲、裁剪、挖洞、簡(jiǎn)易人臉面具.

本文在整體數(shù)據(jù)樣本上拆分?jǐn)?shù)據(jù)集,并作交叉驗(yàn)證,交叉驗(yàn)證進(jìn)行10 輪隨機(jī)采樣,訓(xùn)練過(guò)程覆蓋了約2/3的整體樣本,驗(yàn)證了模型的泛化性能,測(cè)試與訓(xùn)練樣本規(guī)模如表1.

表1 數(shù)據(jù)集樣本數(shù)統(tǒng)計(jì)

2.1.2 模型訓(xùn)練

鑒于圖像深度像素值一定程度上反應(yīng)距離的性質(zhì),使用HOG (Histogram of Oriented Gradient)梯度特征可以很好地進(jìn)行數(shù)據(jù)抽象,本文在使用支持向量機(jī)進(jìn)行分類(lèi)之前,對(duì)圖像進(jìn)行HOG 特征提取[8].

核函數(shù)將輸入特征映射到特征空間,以內(nèi)積的形式表示,使得二分類(lèi)問(wèn)題在高維空間中線性可分.該映射過(guò)程對(duì)支持向量機(jī)的最終決策起到關(guān)鍵作用.不同的核函數(shù)對(duì)模型訓(xùn)練有著較大的影響.本文經(jīng)過(guò)多次試驗(yàn),最終選用高斯核函數(shù)進(jìn)行高維映射.

經(jīng)過(guò)多次調(diào)參迭代,最終模型的整體準(zhǔn)確率(ACC)達(dá)到了99.7%,拒檢率(FRR)0.5%,誤檢率(FAR)維持在0.2%以下,模型最終在整體樣本上的混淆矩陣如圖1所示.

混肴矩陣中,將樣例的真實(shí)類(lèi)別與預(yù)測(cè)類(lèi)別組合劃分為真正例、假正例、真反例、假反例4 種情形.如表2所示,其中正例為活體樣本,反例為攻擊樣本:

圖1 結(jié)果混淆矩陣

表2 二分類(lèi)混肴矩陣

評(píng)價(jià)標(biāo)準(zhǔn)的計(jì)算公式如下:

拒檢率體現(xiàn)對(duì)正樣本(人臉)的拒絕程度,誤檢率則體現(xiàn)對(duì)負(fù)樣本(攻擊)的誤檢程度,可以看出該模型在內(nèi)部數(shù)據(jù)集上的誤檢率和拒檢率都維持在較低的水平,分類(lèi)效果比較理想.

2.2 識(shí)別主體判斷

在采集用戶人臉過(guò)程中,若屏幕中出現(xiàn)多個(gè)人臉,需進(jìn)行識(shí)別主體的判斷,我們認(rèn)為,最有可能的識(shí)別主體人臉,應(yīng)在用戶使用過(guò)程中滿足以下條件:

(1)用戶主動(dòng)靠近,人臉足夠正對(duì)屏幕,人像圖片質(zhì)量較高,人臉清晰可見(jiàn)、無(wú)遮擋、未閉眼;

(2)識(shí)別主體用戶相比被拍攝到的人臉用戶,距離屏幕最近;

(3)用戶識(shí)別使用過(guò)程中未離開(kāi),人臉始終出現(xiàn)在屏幕中.

將上述條件轉(zhuǎn)換為特征指標(biāo),識(shí)別主體人臉應(yīng)具備以下特征:

(1)人臉角度不應(yīng)過(guò)大、人臉完整、無(wú)遮擋、睜眼、屏幕中人臉大小足夠大;

(2)在滿足上述條件的多個(gè)人臉中,第二大人臉需小于第一大人臉的n(n可根據(jù)業(yè)務(wù)情況和實(shí)際模型調(diào)整,達(dá)到足夠的區(qū)分度);

(3)在上述兩個(gè)條件判斷后的最大人臉,對(duì)其進(jìn)行人臉跟蹤,結(jié)合業(yè)務(wù)流程,在屏幕中持續(xù)足夠的時(shí)間T,完成識(shí)別主體的最終確認(rèn).

識(shí)別主體的判斷,可分為3個(gè)過(guò)程,如圖2所示.

圖2 識(shí)別主體選擇流程

(1)人臉質(zhì)量過(guò)濾:通過(guò)預(yù)設(shè)參數(shù),篩選過(guò)濾角度過(guò)大、不完整、閉眼、模糊以及過(guò)小的人臉圖片.

(2)選定候選人臉:在符合條件的多個(gè)人臉中,主體人臉相比其他次要人臉,要占有絕對(duì)大小優(yōu)勢(shì),選擇多個(gè)人臉中的最大人臉,以其60%作為閾值,判斷其他次要人臉的大小是否超過(guò)閾值,若次要人臉均不超過(guò)閾值,則將最大人臉作為候選人臉,若存在超過(guò)閾值的最大人臉,則提示無(wú)法確認(rèn)識(shí)別主體,請(qǐng)其他用戶配合后退.

(3)在選定候選主體后,對(duì)其進(jìn)行連續(xù)幀的人臉跟蹤,持續(xù)期望時(shí)間T后,將其作為識(shí)別主體.具體的,在選定候選主體后,對(duì)其分配唯一faceId,在連續(xù)幀的人臉跟蹤過(guò)程中,同一自然人臉在未離開(kāi)的情況下,faceId不變,在進(jìn)行連續(xù)的跟蹤判斷后,達(dá)到期望時(shí)間T,則將其作為識(shí)別主體.

在上述過(guò)程中,選定候選人臉階段,如果存在次要人臉大于閾值時(shí),此時(shí)往往屏幕前出現(xiàn)聚集,各人臉相對(duì)靠近,本文中引入人臉絕對(duì)位置和相對(duì)位置來(lái)優(yōu)化判斷結(jié)果,在用戶相對(duì)靠近的情況下仍然具有主體選擇判斷能力.

在實(shí)際業(yè)務(wù)場(chǎng)景中,我們發(fā)現(xiàn)在某一固定場(chǎng)景的識(shí)別樣本中,識(shí)別主體在屏幕中出現(xiàn)的區(qū)域以及對(duì)于其他人臉的相對(duì)位置,往往出現(xiàn)一定的規(guī)律性,引入主體人臉在屏幕中的絕對(duì)位置和主體人臉在多人臉中的相對(duì)位置作為輔助參考,可以進(jìn)一步區(qū)分業(yè)務(wù)識(shí)別主體.具體方法如下:

以畫(huà)面中心像素點(diǎn)為坐標(biāo)原點(diǎn),建立平面直角坐標(biāo)系,并劃分①②③④共計(jì)4個(gè)象限.同時(shí),以1/2 *width為寬,1/2 *height為高,做內(nèi)接矩形,劃分中心區(qū)域“C”,width和height分別為圖像的像素寬和像素高,如圖3所示.中心區(qū)域與象限區(qū)域有重合,對(duì)每個(gè)人臉,進(jìn)行區(qū)域標(biāo)記.

圖3 屏幕區(qū)域劃分

絕對(duì)位置判斷:以畫(huà)面中心點(diǎn)為原點(diǎn)(0,0),構(gòu)建平面坐標(biāo)系.對(duì)于每個(gè)人臉圖片,取其人臉外接矩形的中心點(diǎn),計(jì)算其坐標(biāo)(x,y),根據(jù)人臉中心點(diǎn)坐標(biāo)的位置,判斷其歸屬位置,每個(gè)圖片分配2 位標(biāo)記LC,L取值“1、2、3、4”表示坐落在不同象限,C取值“0-在中心區(qū)域外”;“1-在中心區(qū)域內(nèi)”,可得分類(lèi)如表3.

表3 人臉位置標(biāo)記LC 取值

相對(duì)位置判斷:使用向量A(X,Y)=O次人臉(x1,y1)?O主體(x2,y2),其中O主體(x2,y2)表示識(shí)別主體人臉的中心點(diǎn)坐標(biāo),O次人臉(x1,y1)為次要人臉的人臉中心點(diǎn)坐標(biāo).向量A(X,Y)中,X>0 則表示主體人臉在橫軸方向上,在次要人臉的左側(cè),反之則在右側(cè);Y>0 則表示主體人臉在縱軸方向上,在次要人臉的下方,反之則在上方.

在場(chǎng)景和機(jī)位固定后,通常最佳人臉位置和相對(duì)人臉位置固定,統(tǒng)計(jì)足夠數(shù)量的(5 萬(wàn)張)正向交易且存在多人臉的交易場(chǎng)景圖片,統(tǒng)計(jì)絕對(duì)位置LC值,以及相對(duì)位置向量A(X,Y),根據(jù)統(tǒng)計(jì)分類(lèi),尋找最佳絕對(duì)位置和相對(duì)位置,在次要人臉的像素面積超過(guò)最大人臉的n1時(shí),若最大人臉位置與次要人臉相對(duì)位置,且最大人臉的絕對(duì)位置符合場(chǎng)景最佳位置規(guī)律,此時(shí)可將閾值調(diào)整到n2(n2>n1),提升識(shí)別主體選擇區(qū)分強(qiáng)度.

3 安全人臉識(shí)別設(shè)計(jì)

3.1 安全人臉識(shí)別模組設(shè)計(jì)

為加強(qiáng)人臉生物特征數(shù)據(jù)的安全保護(hù),提高刷臉安全壁壘,本文研究并設(shè)計(jì)了安全人臉識(shí)別模組,使用SE 芯片,在模組中嵌入安全模塊[9,10],在安全模塊中存儲(chǔ)安全人臉密鑰,對(duì)采集圖像進(jìn)行活體判斷,并在判斷為活體的情況下,對(duì)結(jié)果進(jìn)行簽名,圖像進(jìn)行加密,保證數(shù)據(jù)安全.

裝置的整體設(shè)計(jì)示意圖如圖4所示.

圖4 模組架構(gòu)圖

安全人臉識(shí)別模組主要包含3個(gè)功能模塊:① 圖像采集模塊;② 安全處理模塊;③ 數(shù)據(jù)輸出模塊.

圖像采集模塊:是攝像頭基本功能模塊,用于圖像信息采集,生成圖像信息流用于后續(xù)處理.圖像采集模塊除RGB 攝像頭模組外,配置用于活體檢測(cè)的3D 攝像頭活檢模組,通過(guò)活檢模組,采集生物3D 活體檢測(cè)特征數(shù)據(jù).

安全處理模塊:安全人臉識(shí)別模組的核心模塊,集成嵌入活檢模塊和運(yùn)算模塊兩個(gè)子模塊,存儲(chǔ)人臉專用安全密鑰,對(duì)數(shù)據(jù)進(jìn)行安全處理,如圖5所示,活檢和運(yùn)算模塊的具體功能如下.

活檢模塊,對(duì)輸入深度特征數(shù)據(jù)進(jìn)行運(yùn)算,判斷活體結(jié)果,將處理結(jié)果傳遞給運(yùn)算模塊.

運(yùn)算模塊,對(duì)數(shù)據(jù)的處理可分為簽名、加密、圖像處理3 部分,如圖5所示.

(1)數(shù)據(jù)簽名,使用專用人臉安全密鑰,對(duì)原始人臉圖像數(shù)據(jù)、活檢結(jié)果、交易要素等數(shù)據(jù),進(jìn)行簽名,保證數(shù)據(jù)在后續(xù)交易中不被替換;

(2)數(shù)據(jù)加密,使用專用人臉安全密鑰,對(duì)原始人臉圖像數(shù)據(jù)進(jìn)行加密,加密后密文只有同樣存儲(chǔ)密鑰的人臉識(shí)別服務(wù)后臺(tái)可解密,保證生物特征數(shù)據(jù)不被泄露;

(3)圖像處理,對(duì)人臉圖像進(jìn)行裁剪、壓縮、美顏、引入噪聲等處理,用于交互展示,處理后圖像不參與簽名和識(shí)別,與原始數(shù)據(jù)隔離,解決交互展示需求.

數(shù)據(jù)輸出模塊:數(shù)據(jù)輸出模塊作為對(duì)外統(tǒng)一接口模塊,接收安全處理模塊傳輸?shù)南嚓P(guān)數(shù)據(jù),通過(guò)標(biāo)準(zhǔn)接口對(duì)外提供如下數(shù)據(jù):活體檢測(cè)結(jié)果、結(jié)果簽名、加密的圖像數(shù)據(jù),用于展示的美化圖片明文數(shù)據(jù).

圖5 安全處理流程

3.2 系統(tǒng)架構(gòu)設(shè)計(jì)

綜合考慮安全、成本和用戶體驗(yàn),系統(tǒng)整體架構(gòu)設(shè)計(jì)如圖6所示.

安全人臉識(shí)別模組:獨(dú)立人臉采集攝像頭裝置,支持即插即用,支持人臉深度信息采集.集成SE的安全芯片,存儲(chǔ)人臉專用安全密鑰,在安全芯片中完成活體檢測(cè)、數(shù)據(jù)加密和結(jié)果簽名等操作,從源頭保證密鑰安全、數(shù)據(jù)安全;安全人臉識(shí)別模組加密后的數(shù)據(jù)直接用于后臺(tái)識(shí)別,對(duì)應(yīng)的明文圖片,僅用于APP 展示.

智能刷臉終端:指安裝人臉識(shí)別應(yīng)用,提供REE運(yùn)行環(huán)境,多為安卓系統(tǒng),形態(tài)不限,可直接安裝安全人臉識(shí)別模組進(jìn)行人臉識(shí)別業(yè)務(wù).

人臉識(shí)別應(yīng)用:面向人臉識(shí)別用戶提供的人臉識(shí)別應(yīng)用,開(kāi)啟攝像頭采集用戶人臉,向用戶展示識(shí)別結(jié)果,并根據(jù)識(shí)別結(jié)果進(jìn)行業(yè)務(wù)處理.

人臉識(shí)別后臺(tái):指人臉識(shí)別應(yīng)用后臺(tái),負(fù)責(zé)處理人臉識(shí)別應(yīng)用請(qǐng)求,提供人臉照片密文解密、驗(yàn)簽、人臉識(shí)別等服務(wù).

圖6 系統(tǒng)架構(gòu)圖

3.3 流程設(shè)計(jì)

系統(tǒng)整體數(shù)據(jù)流程如圖7.

圖7 數(shù)據(jù)流程圖

總體步驟如下:

(1)人臉識(shí)別應(yīng)用發(fā)起識(shí)別流程,調(diào)起人臉識(shí)別模組采集人臉,傳入交易訂單號(hào)及其他交易要素;

(2)由安全人臉識(shí)別模組進(jìn)行人臉數(shù)據(jù)采集,通過(guò)安全模塊,進(jìn)行活體判斷,檢測(cè)來(lái)自生物活體的人臉圖像;

(3)若發(fā)現(xiàn)多個(gè)活體用戶人臉,則按照前文介紹方法進(jìn)行識(shí)別主體選擇;

(4)在確認(rèn)單一識(shí)別主體后,在安全模塊中對(duì)數(shù)據(jù)進(jìn)行處理:首先,對(duì)通過(guò)活檢的原始圖、活檢結(jié)果、訂單信息,使用專用人臉簽名密鑰進(jìn)行簽名,并使用專用人臉加密密鑰,對(duì)原始圖數(shù)據(jù)加密;其次,輸出作為應(yīng)用展示的識(shí)別主體人臉圖,該圖像在原始圖像上經(jīng)過(guò)處理不參與識(shí)別;

(5)人臉識(shí)別模組將原始圖像密文數(shù)據(jù)、簽名結(jié)果和展示圖像明文數(shù)據(jù),返回給人臉識(shí)別應(yīng)用;

(6)人臉識(shí)別應(yīng)用展示美化后的圖像,并根據(jù)業(yè)務(wù)需要,決定是否需要采集額外輔助信息,發(fā)起識(shí)別交易;

(7)人臉識(shí)別后臺(tái)在收到識(shí)別請(qǐng)求后,對(duì)上送簽名字段進(jìn)行驗(yàn)簽,驗(yàn)簽通過(guò),表明圖片未被篡改,屬于該筆訂單下的原始圖像,然后使用專用安全密鑰,對(duì)密文圖片解密,安全密鑰保護(hù)圖像原始數(shù)據(jù)不會(huì)泄露;

(8)在解密后,使用原始圖像數(shù)據(jù)進(jìn)行特征提取,進(jìn)行人臉識(shí)別;

(9)人臉識(shí)別后臺(tái)將識(shí)別結(jié)果返回人臉識(shí)別應(yīng)用,人臉識(shí)別應(yīng)用展示識(shí)別結(jié)果,發(fā)起后續(xù)業(yè)務(wù)處理.

3.4 安全設(shè)計(jì)

在人臉識(shí)別應(yīng)用的使用過(guò)程中,安全始終是重要的考量因素,尤其在人臉識(shí)別與金融領(lǐng)域相結(jié)合時(shí),

需要考慮生物特征安全與資金安全.系統(tǒng)安全設(shè)計(jì)涉及秘鑰安全、生物特征安全、業(yè)務(wù)安全、身份安全、存儲(chǔ)安全5個(gè)維度,如圖8所示.

圖8 安全設(shè)計(jì)

3.4.1 密鑰安全

通過(guò)人臉識(shí)別模組的安全芯片,保證人臉專用簽名密鑰、人臉專用加密密鑰安全,一機(jī)一密,即每個(gè)模組單獨(dú)設(shè)置一套安全密鑰,存儲(chǔ)于安全芯片中,通過(guò)密鑰管理體系完成鑒權(quán)管理,維護(hù)模組密鑰.

3.4.2 生物特征安全

人臉生物特征在采集后,通過(guò)專用密鑰在安全芯片中完成圖像處理,用于識(shí)別的數(shù)據(jù)在第一時(shí)間完成簽名、加密;密鑰只在模組安全芯片和人臉識(shí)別后臺(tái)中存在,人臉明文數(shù)據(jù)不參與報(bào)文傳輸,保證數(shù)據(jù)無(wú)法被篡改和盜取,實(shí)現(xiàn)端到端安全.

出于人臉識(shí)別業(yè)務(wù)的用戶體驗(yàn)特殊要求,需要用戶圖像進(jìn)行交互展示,在原始識(shí)別圖像中,對(duì)識(shí)別主體進(jìn)行人像裁剪,并配合人像美化、防Hack 技術(shù),對(duì)圖片進(jìn)行處理,處理后的圖片,不能進(jìn)行識(shí)別,僅作為交互展示使用,如此解決了生物特征隱私安全需要和前端交互展示的矛盾,保證用戶生物特征安全.

3.4.3 業(yè)務(wù)安全

在進(jìn)行圖像采集處理之前,會(huì)將訂單號(hào)等業(yè)務(wù)有關(guān)的交易信息傳入模組中,在對(duì)圖像進(jìn)行簽名時(shí),業(yè)務(wù)信息一同參與簽名計(jì)算,如此,保證交易上送的圖像一定來(lái)自于該交易采集,防止數(shù)據(jù)替換和重放.

在人像采集過(guò)程中,通過(guò)活體檢測(cè),能夠有效抵御多種形式的非活體攻擊,保證交易安全.

3.4.4 身份安全

在用戶身份識(shí)別成功后,與之綁定的身份信息及其他業(yè)務(wù)敏感信息,通過(guò)標(biāo)記化技術(shù)以Token 替代,作為識(shí)別成功的短時(shí)有效標(biāo)識(shí),使用Token 發(fā)起后續(xù)業(yè)務(wù)處理,保證用戶身份和信息安全,用戶姓名等進(jìn)行脫敏展示.

3.4.5 存儲(chǔ)安全

為保證用戶特征數(shù)據(jù)存儲(chǔ)安全,整個(gè)系統(tǒng)中不保存用戶圖像原始數(shù)據(jù),在人臉識(shí)別后臺(tái)系統(tǒng)中,對(duì)用戶數(shù)據(jù)進(jìn)行特征提取,僅加密存儲(chǔ)用戶特征數(shù)據(jù).用戶特征在識(shí)別算法和模型升級(jí)時(shí),進(jìn)行特征遷移.在人臉識(shí)別模組、人臉識(shí)別應(yīng)用等前端不進(jìn)行存儲(chǔ).

3.5 產(chǎn)品體驗(yàn)優(yōu)化設(shè)計(jì)

(1)人臉采集模組即插即用

人臉識(shí)別模組邏輯獨(dú)立,自維護(hù)安全密鑰、模塊應(yīng)用體系,安全模塊具有較強(qiáng)的計(jì)算能力,支持終端即插即用,將活體檢測(cè)、數(shù)據(jù)處理嵌入安全模塊中,降低對(duì)終端安全性的依賴.理論上,不考慮其他業(yè)務(wù)要求的情況下,任意一款安卓終端均可使用人臉采集模組,免開(kāi)發(fā),即插即用,降低成本的同時(shí),提供快速的安全人臉識(shí)別解決方案.

(2)多人識(shí)別主體判斷

在人臉采集過(guò)程中,考慮多人臉情況下的識(shí)別主體判斷,避免發(fā)生“誤抓拍”“拍錯(cuò)人”等現(xiàn)象,提升用戶使用體驗(yàn).

4 結(jié)論與展望

本文提出一種安全人臉識(shí)別解決方案,通過(guò)人臉識(shí)別采集模組內(nèi)嵌安全模塊,存儲(chǔ)人臉專用安全密鑰,在模組中完成活體檢測(cè),數(shù)據(jù)簽名、加密、以及展示數(shù)據(jù)的后處理,在滿足業(yè)務(wù)展示需求的同時(shí),確保生物特征數(shù)據(jù)的安全性,在傳輸和識(shí)別過(guò)程中,數(shù)據(jù)無(wú)法被篡改或盜取.

通過(guò)一整套的安全解決方案,能夠在兼顧安全和體驗(yàn)的條件下,降低設(shè)備硬件成本,減少開(kāi)發(fā)接入工作,可快速產(chǎn)出安全的人臉識(shí)別解決方案.方案設(shè)計(jì)具有通用性,可在識(shí)別完成后,自定義業(yè)務(wù)流程,應(yīng)用于不同行業(yè)的業(yè)務(wù)場(chǎng)景.通過(guò)本研究,有望大力拓展人臉識(shí)別有關(guān)業(yè)務(wù)發(fā)展,是在生物特征識(shí)別應(yīng)用領(lǐng)域,對(duì)生物特征隱私保護(hù)的很好實(shí)踐.