本文提出了一种保护用于代表基于神经网络的面部验证系统中的人面的敏感面嵌入的方法。 PolyProtect使用基于由用户特定系数和指数参数参数化的多变量多项式的映射将映射变换为更安全的模板。在这项工作中，在合作用户移动面验证上下文中的两个开源面部识别系统中，在最艰难的威胁模型中对PolyProtect进行评估，该模型具有完全通知的攻击者，具有完全了解系统和其所有参数。结果表明，可以调整聚类以在多保护面部验证系统的识别准确性和多保护模板的不可逆转之间实现令人满意的权衡。此外，示出了聚保模板可有效地解释，特别是如果以非天真的方式选择在聚类映射中使用的用户特定参数。评估使用实用方法进行了实用方法，以在实践中将方法的鲁棒性展示在该方法的侵略性保护方案中。使用公开可用的代码，此工作完全可再现：https://gitlab.idiap.ch/bob/bob.paper.polyprotect_2021。

As automated face recognition applications tend towards ubiquity, there is a growing need to secure the sensitive face data used within these systems. This paper presents a survey of biometric template protection (BTP) methods proposed for securing face templates (images/features) in neural-network-based face recognition systems. The BTP methods are categorised into two types: Non-NN and NN-learned. Non-NN methods use a neural network (NN) as a feature extractor, but the BTP part is based on a non-NN algorithm, whereas NN-learned methods employ a NN to learn a protected template from the unprotected template. We present examples of Non-NN and NN-learned face BTP methods from the literature, along with a discussion of their strengths and weaknesses. We also investigate the techniques used to evaluate these methods in terms of the three most common BTP criteria: recognition accuracy, irreversibility, and renewability/unlinkability. The recognition accuracy of protected face recognition systems is generally evaluated using the same (empirical) techniques employed for evaluating standard (unprotected) biometric systems. However, most irreversibility and renewability/unlinkability evaluations are found to be based on theoretical assumptions/estimates or verbal implications, with a lack of empirical validation in a practical face recognition context. So, we recommend a greater focus on empirical evaluations to provide more concrete insights into the irreversibility and renewability/unlinkability of face BTP methods in practice. Additionally, an exploration of the reproducibility of the studied BTP works, in terms of the public availability of their implementation code and evaluation datasets/procedures, suggests that it would be difficult to faithfully replicate most of the reported findings. So, we advocate for a push towards reproducibility, in the hope of advancing face BTP research.

生物识别技术，尤其是人脸识别，已成为全球身份管理系统的重要组成部分。在Biometrics的部署中，必须安全地存储生物信息，以保护用户的隐私是必要的。在此上下文中，生物识别密码系统旨在满足生物识别信息保护的关键要求，从而实现隐私保留存储和生物识别数据的比较。该工作调查了通过深卷积神经网络提取的面部特征向量的改进的模糊Vault方案的应用。为此，引入了一个特征转换方法，将固定长度的实值深度特征向量映射到整数值的功能集。作为所述特征变换的一部分，进行了对不同特征量化和二碳技术的详细分析。在关键绑定处，获得的特征集被锁定在可解释的改进的模糊拱顶中。对于关键检索，研究了不同多项式重建技术的效率。所提出的特征转换方法和模板保护方案是生物识别特性的不可知。在实验中，构造了基于可解释的改进的深面模糊Vault基础模板保护方案，采用用培训的最先进的深卷积神经网络提取的特征，该特征在接受附加角度损失（arcFace）。为了最佳配置，在Furet和FRGCV2面部数据库的跨数据库实验中实现了0.01％的假匹配速率低于1％以下的假非匹配率。平均而言，获得高达约28位的安全级别。这项工作提出了一个有效的面基模糊Vault方案，提供了面部参考数据的隐私保护以及从脸部的数字键推导。

增强隐私技术是实施基本数据保护原则的技术。关于生物识别识别，已经引入了不同类型的隐私增强技术来保护储存的生物特征识别数据，这些数据通常被归类为敏感。在这方面，已经提出了各种分类法和概念分类，并进行了标准化活动。但是，这些努力主要致力于某些隐私增强技术的子类别，因此缺乏概括。这项工作概述了统一框架中生物识别技术隐私技术的概念。在每个处理步骤中，详细介绍了现有概念之间的关键方面和差异。讨论了现有方法的基本属性和局限性，并与数据保护技术和原理有关。此外，提出了评估生物识别技术的隐私技术评估的场景和方法。本文是针对生物识别数据保护领域的进入点，并针对经验丰富的研究人员以及非专家。

在最近的过去，不同的研究人员提出了新的隐私增强的人脸识别系统，旨在在特征级别隐藏软生物信息。这些作品报告了令人印象深刻的结果，但通常在他们对隐私保护的分析中不考虑具体攻击。在大多数情况下，通过简单的基于机器学习的分类器和维度减少工具的可视化测试这些方案的隐私保护能力。在这项工作中，我们介绍了一个关于基于级别的面部软生物识别隐私 - 增强技术的攻击。攻击基于两个观察：（1）实现高度识别准确性，面部陈述之间的某些相似之处必须保留在其隐私增强版本中; （2）高度相似的面部表示通常来自具有相似软生物识别属性的面部图像。基于这些观察，所提出的攻击将隐私增强的面部表示与具有已知的软生物识别属性的一组隐私增强的面部表示进行了比较。随后，分析了最佳获得的相似度分数以推断攻击隐私增强的面部表示的未知软生物识别属性。也就是说，攻击仅需要一个相对较小的任意面部图像数据库和作为黑盒的隐私增强的人脸识别算法。在实验中，该攻击应用于先前据报道的两种代表性方法，以可靠地隐藏在隐私增强的面部陈述中的性别。结果表明，所呈现的攻击能够规避隐私提升到相当程度，并且能够正确地对性别进行分类，以准确性为分析的隐私增强面部识别系统的准确性高达约90％。

Biometrics are one of the most privacy-sensitive data. Ubiquitous authentication systems with a focus on privacy favor decentralized approaches as they reduce potential attack vectors, both on a technical and organizational level. The gold standard is to let the user be in control of where their own data is stored, which consequently leads to a high variety of devices used. Moreover, in comparison with a centralized system, designs with higher end-user freedom often incur additional network overhead. Therefore, when using face recognition for biometric authentication, an efficient way to compare faces is important in practical deployments, because it reduces both network and hardware requirements that are essential to encourage device diversity. This paper proposes an efficient way to aggregate embeddings used for face recognition based on an extensive analysis on different datasets and the use of different aggregation strategies. As part of this analysis, a new dataset has been collected, which is available for research purposes. Our proposed method supports the construction of massively scalable, decentralized face recognition systems with a focus on both privacy and long-term usability.

我们提出了一种方法，可以针对加密域中的大型画廊搜索探针（或查询）图像表示。我们要求探针和画廊图像以固定长度表示形式表示，这对于从学习的网络获得的表示是典型的。我们的加密方案对如何获得固定长度表示不可知，因此可以应用于任何应用域中的任何固定长度表示。我们的方法被称为HERS（同派加密表示搜索），是通过（i）压缩表示其估计的固有维度的表示，而准确性的最小损失（ii）使用拟议的完全同质加密方案和（iii）有效地加密压缩表示形式（ii）直接在加密域中直接搜索加密表示的画廊，而不会解密它们。大型面部，指纹和对象数据集（例如ImageNet）上的数值结果表明，在加密域中，首次准确且快速的图像搜索是可行的（500秒； $ 275 \ times $ 275 \ times $ speed胜过状态 - 与1亿个画廊的加密搜索有关）。代码可从https://github.com/human-analysis/hers-ecrypted-image-search获得。

可取消的生物识别性是指一组技术，其中生物识别输入在处理或存储前用键有意地转换。该转换是可重复的，可以实现后续生物特征比较。本文介绍了一种可消除生物识别性的新方案，旨在保护模板免受潜在攻击，适用于任何基于生物识别的识别系统。我们所提出的方案基于从变形随机生物识别信息获得的时变键。给出了面部生物识别技术的实验实施。结果证实，该方法能够在提高识别性能的同时抵抗泄漏攻击。

通过生物手段自动验证一个人的身份是在每天的日常活动，如在机场访问银行服务和安全控制的一个重要应用。为了提高系统的可靠性，通常使用几个生物识别设备。这种组合系统被称为多模式生物测定系统。本文报道生物安全DS2（访问控制）评估由英国萨里大学举办的活动，包括面部，指纹和虹膜的个人认证生物特征的框架内进行基准研究，在媒体针对物理访问控制中的应用-size建立一些500人。虽然多峰生物测定是公调查对象，不存在基准融合算法的比较。朝着这个目标努力，我们设计了两组实验：质量依赖性和成本敏感的评估。质量依赖性评价旨在评估融合算法如何可以在变化的原始图像的质量主要是由于设备的变化来执行。在对成本敏感的评价，另一方面，研究了一种融合算法可以如何执行给定的受限的计算和在软件和硬件故障的存在，从而导致错误，例如失败到获取和失败到匹配。由于多个捕捉设备可用，融合算法应该能够处理这种非理想但仍然真实的场景。在这两种评价中，各融合算法被提供有从每个生物统计比较子系统以及两个模板和查询数据的质量度量得分。在活动的号召的响应证明是非常令人鼓舞的，与提交22个融合系统。据我们所知，这是第一次尝试基准品质为基础多模态融合算法。

Privacy of machine learning models is one of the remaining challenges that hinder the broad adoption of Artificial Intelligent (AI). This paper considers this problem in the context of image datasets containing faces. Anonymization of such datasets is becoming increasingly important due to their central role in the training of autonomous cars, for example, and the vast amount of data generated by surveillance systems. While most prior work de-identifies facial images by modifying identity features in pixel space, we instead project the image onto the latent space of a Generative Adversarial Network (GAN) model, find the features that provide the biggest identity disentanglement, and then manipulate these features in latent space, pixel space, or both. The main contribution of the paper is the design of a feature-preserving anonymization framework, StyleID, which protects the individuals' identity, while preserving as many characteristics of the original faces in the image dataset as possible. As part of the contribution, we present a novel disentanglement metric, three complementing disentanglement methods, and new insights into identity disentanglement. StyleID provides tunable privacy, has low computational complexity, and is shown to outperform current state-of-the-art solutions.

自2020年初以来，COVID-19的大流行对日常生活的许多方面产生了相当大的影响。在全球范围内已经采取了一系列不同的措施，以降低新感染的速度并管理国家卫生服务的压力。主要策略是通过优先考虑远程工作和教育来减少聚会和传播的潜力。当不可避免的聚会时，增强的手卫生和面膜的使用减少了病原体的扩散。这些特殊的措施提出了可靠的生物识别识别的挑战，例如用于面部，语音和手工生物识别技术。同时，新的挑战创造了新的机会和研究方向，例如对无约束的虹膜或眼周识别，基于无触摸的指纹和基于静脉的身份验证以及生物特征特征进行疾病检测的重新兴趣。本文概述了为解决这些挑战和新兴机会而进行的研究。

大多数视觉检索应用程序商店都有用于下游匹配任务的向量。这些向量从可以监视用户信息的地方，如果不仔细保护，将导致隐私泄漏。为了减轻隐私风险，当前的作品主要利用不可变形的转换或完全加密算法。但是，基于转换的方法通常无法实现令人满意的匹配性能，而密码系统则遭受了大量的计算开销。此外，应提高当前方法的安全水平，以面对潜在的对手攻击。为了解决这些问题，本文提出了一个称为SecureVector的插件模块，该模块通过随机排列，4L-DEC转换和现有同构加密技术来保护功能。 SecureVector首次实现了实时的实时和无损的功能匹配，而且安全级别比当前的最新设备高得多。关于面部识别，重新识别，图像检索和隐私分析的广泛实验证明了我们方法的有效性。鉴于该领域的公共项目有限，我们的方法和实施基准的代码是在https://github.com/irvingmeng/securevector中进行开源的。

很少有研究重点是研究人们如何识别变形攻击，即使有一些出版物已经检查了自动化FRS的敏感性并提供了变形攻击检测（MAD）方法。 MAD接近他们的决策要么基于单个图像，因此没有参考以比较（S-MAD）或使用参考图像（D-MAD）。一个普遍的误解是，审查员或观察者的面部变体检测能力取决于他们的主题专业知识，经验和对这个问题的熟悉程度，并且没有任何作品报告了定期验证身份（ID）文档的观察者的具体结果。当人类观察者参与检查具有面部图像的ID文件时，其能力的失误可能会面临重大的社会挑战。为了评估观察者的熟练程度，这项工作首先构建了来自48位不同受试者的现实变形攻击的新基准数据库，从而产生了400个变形图像。我们还捕获了从自动边界控制（ABC）门的图像，以模仿D-MAD设置中现实的边界横断场景，并使用400个探针图像研究人类观察者检测变形图像的能力。还生产了一个新的180个变形图像的数据集，以研究S-MAD环境中的人类能力。除了创建一个新的评估平台来进行S-MAD和D-MAD分析外，该研究还雇用了469位D-MAD的观察员，S-MAD的410位观察员和410位观察员，他们主要是来自40多个国家 /地区的政府雇员，以及103个科目谁不是考官。该分析提供了有趣的见解，并突出了缺乏专业知识和未能认识到专家大量变形攻击的缺乏。这项研究的结果旨在帮助制定培训计划，以防止安全失败，同时确定图像是真正的还是改变了图像。

可取消的生物识别方案旨在通过将特定于用户特定令牌（例如密码，存储的秘密或盐）以及生物识别数据结合使用来生成安全的生物识别模板。这种类型的转换被构造为具有特征提取算法的生物特征转化的组成。可取消的生物特征方案的安全要求涉及模板的不可逆性，无键和可竞争性，而不会损失比较的准确性。尽管最近就这些要求攻击了几项方案，但这种组成的完全可逆性是为了产生碰撞的生物特征，特别是表现攻击，从未得到我们的最佳知识。在本文中，我们借助整数线性编程（ILP）和四次约束二次编程（QCQP）对传统可取消方案进行了形式化这些攻击。解决这些优化问题使对手可以稍微改变其指纹图像，以模仿任何人。此外，在更严重的情况下，有可能同时假冒几个人。

本章的主要范围是作为面部介绍攻击检测的介绍，包括过去几年的关键资源和领域的进步。下一页呈现了面部识别系统可以面对的不同演示攻击，其中攻击者向传感器提供给传感器，主要是相机，呈现攻击仪器（PAI），这通常是照片，视频或掩码，试图冒充真正的用户。首先，我们介绍了面部识别的现状，部署水平及其挑战。此外，我们介绍了面部识别系统可能暴露的漏洞和可能的攻击，表明呈现攻击检测方法的高度重要性。我们审核不同类型的演示攻击方法，从更简单到更复杂，在哪个情况下它们可能是有效的。然后，我们总结了最受欢迎的演示文稿攻击检测方法来处理这些攻击。最后，我们介绍了研究界使用的公共数据集，以探索面部生物识别性的脆弱性，以呈现攻击，并对已知的PAI制定有效的对策。

鉴于对机器学习模型的访问，可以进行对手重建模型的培训数据？这项工作从一个强大的知情对手的镜头研究了这个问题，他们知道除了一个之外的所有培训数据点。通过实例化混凝土攻击，我们表明重建此严格威胁模型中的剩余数据点是可行的。对于凸模型（例如Logistic回归），重建攻击很简单，可以以封闭形式导出。对于更常规的模型（例如神经网络），我们提出了一种基于训练的攻击策略，该攻击策略接收作为输入攻击的模型的权重，并产生目标数据点。我们展示了我们对MNIST和CIFAR-10训练的图像分类器的攻击的有效性，并系统地研究了标准机器学习管道的哪些因素影响重建成功。最后，我们从理论上调查了有多差异的隐私足以通过知情对手减轻重建攻击。我们的工作提供了有效的重建攻击，模型开发人员可以用于评估超出以前作品中考虑的一般设置中的个别点的记忆（例如，生成语言模型或访问培训梯度）;它表明，标准模型具有存储足够信息的能力，以实现培训数据点的高保真重建;它表明，差异隐私可以成功减轻该参数制度中的攻击，其中公用事业劣化最小。

即使机器学习算法已经在数据科学中发挥了重要作用，但许多当前方法对输入数据提出了不现实的假设。由于不兼容的数据格式，或数据集中的异质，分层或完全缺少的数据片段，因此很难应用此类方法。作为解决方案，我们提出了一个用于样本表示，模型定义和培训的多功能，统一的框架，称为“ Hmill”。我们深入审查框架构建和扩展的机器学习的多个范围范式。从理论上讲，为HMILL的关键组件的设计合理，我们将通用近似定理的扩展显示到框架中实现的模型所实现的所有功能的集合。本文还包含有关我们实施中技术和绩效改进的详细讨论，该讨论将在MIT许可下发布供下载。该框架的主要资产是其灵活性，它可以通过相同的工具对不同的现实世界数据源进行建模。除了单独观察到每个对象的一组属性的标准设置外，我们解释了如何在框架中实现表示整个对象系统的图表中的消息推断。为了支持我们的主张，我们使用框架解决了网络安全域的三个不同问题。第一种用例涉及来自原始网络观察结果的IoT设备识别。在第二个问题中，我们研究了如何使用以有向图表示的操作系统的快照可以对恶意二进制文件进行分类。最后提供的示例是通过网络中实体之间建模域黑名单扩展的任务。在所有三个问题中，基于建议的框架的解决方案可实现与专业方法相当的性能。

深度神经网络在人类分析中已经普遍存在，增强了应用的性能，例如生物识别识别，动作识别以及人重新识别。但是，此类网络的性能通过可用的培训数据缩放。在人类分析中，对大规模数据集的需求构成了严重的挑战，因为数据收集乏味，廉价，昂贵，并且必须遵守数据保护法。当前的研究研究了\ textit {合成数据}的生成，作为在现场收集真实数据的有效且具有隐私性的替代方案。这项调查介绍了基本定义和方法，在生成和采用合成数据进行人类分析时必不可少。我们进行了一项调查，总结了当前的最新方法以及使用合成数据的主要好处。我们还提供了公开可用的合成数据集和生成模型的概述。最后，我们讨论了该领域的局限性以及开放研究问题。这项调查旨在为人类分析领域的研究人员和从业人员提供。

使用面部作为生物识别标识特征是通过捕获过程的非接触性质和识别算法的高准确度的激励。在目前的Covid-19大流行之后，在公共场所施加了面膜，以保持大流行。然而，由于戴着面具而面的遮挡是面部识别系统的新出现挑战。在本文中，我们提出了一种改进掩蔽面部识别性能的解决方案。具体地，我们提出了在现有面部识别模型的顶部操作的嵌入揭露模型（EUM）。我们还提出了一种新颖的损失功能，自限制的三态（SRT），使欧莱斯能够产生类似于相同身份的未掩蔽面的嵌入物。实现了三个面部识别模型，两个真实屏蔽数据集和两个合成产生的掩蔽面部数据集所取得的评价结果​​证明我们的提出方法在大多数实验环境中显着提高了性能。

学习证明（POL）建议模型所有者使用机器学习培训检查站，以建立已经花费了必要的培训计算的证明。 POL FIREGO加密方法和贸易严格的安全性的作者通过适用于随机梯度下降和适应性变体，可扩展到深度学习。缺乏正式分析使攻击者可能能够为他们没有训练的模型提供证据。我们对为什么不能正式（DIS）正式分析POL协议可抵抗欺骗对手。为此，我们在POL中解开了证明验证的两个角色：（a）有效确定证明是否是有效的梯度下降轨迹，以及（b）确定优先级，使在培训完成后制作证明（即。 ，欺骗）。我们表明，有效的验证会导致接受合法证明和拒绝无效的证据之间的权衡，因为深度学习必然涉及噪音。没有针对这种噪声如何影响训练的精确分析模型，我们无法正式保证POL验证算法是否强大。然后，我们证明，建立优先级也可以鲁棒化地减少到学习理论中的一个开放问题：欺骗Pol Pol hoc hoc训练类似于在非凸X学习中找到具有相同终点的不同轨迹。但是，我们不严格地知道对最终模型权重的先验知识是否有助于发现此类轨迹。我们得出的结论是，在解决上述开放问题之前，可能需要更严重地依靠密码学来制定新的POL协议，并提供正式的鲁棒性保证。特别是，这将有助于建立优先级。作为我们分析的见解的副产品，我们还展示了对POL的两次新攻击。