Page 175 - 《软件学报》2025年第7期

P. 175

3096 软件学报 2025 年第 36 卷第 7 期

前任务所保存的训练数据结合起来同时训练识别网络, 通过公式 (2) 计算分类器输出的预测标签 ˆ y 和真实标签 y

之间的分类损失 L class 以及公式 (9) 计算中心损失, 并根据分类损失和中心损失通过反向传播调整参数, 进而完成
整个识别网络的扩展训练.

转换网络 T t 识别网络 R t

ˆ y

任务 t 的训练数据任务 t 的隐私保护模板
(经过 PerMIF 变换
交叉熵损失 L class
的隐私保护图像)
冻结真实标签 y
训练任务 1ᇀt−1 的隐私保护模板
图 5 基于隐私保护模板重放的安全虹膜识别方法模型增量训练过程

4 安全性分析及效率分析

4.1 安全性分析
(1) 不可逆性. 本文所提出的两种可扩展安全虹膜识别方案都通过 TNCB 方法对生物数据进行保护. 首先对
TNCB 的不可逆性进行分析. TNCB 的不可逆变换主要包括两个阶段, 在通过 PerMIF 算法进行的第 1 阶段变换过
P, 取模运算的阈
程中, 不可逆变换包括取模和正反合并运算, 首先, 对于取模运算, 设经过分块置换之后的图像为
,
值为 τ. 对于原始虹膜图像的任意值 P i,j , 其中, i ∈ [0,H], j ∈ [0,W] P i,j 的值在 0–255 之间, W 和 H 分别为经过预处
M, 其中, M i,j = P i,j mod τ, 由于取模运算在运算之后只保留了
理的虹膜图像的宽和高. 设经过取模运算的图像为
余数, 而商的信息被丢弃, 因此, 这一步运算是多对一映射. 经过取模运算之后, 对于每一个值 M i,j , 都有 [256/τ]
种可能的值与之对应. 对于正反合并运算, 通过计算得到正反合并之后的图像 X, 其中, 正反合并的阈值为 γ, 通常
将其值设为 τ/2 − 1, 因此, X i,j ∈ [0,γ]. 由于正反合并运算也是多对一映射, 对于正反合并之后的每一个值 X i,j , 都对
应存在两个可能的 M i,j 值. 因此, 对于一张经过取模和正反合并运算的图像 X, 对应可能的图像 P 的数量为:

( ⌊ ⌋) W×H
256
G = 2× (11)
τ
τ
从上述计算公式可以看出, 当 τ 越大时, 得到的多对一映射的数量越小, 当取最大值 128 时, 得到的 G 值最
小. 对于本文讨论的虹膜图像, 虹膜图像的长宽都为 128 个像素值, G 的取值范围为:

( ⌊ ⌋) 128×128
256
G ⩾ 2× = 2 32768 (12)
128
综合以上分析可知, 对于攻击者来说, 由经过 PerMIF 算法转换得到的图像恢复出取模运算之前的图像在计算
上是非常困难的. 在第 2 阶段通过 U-Net 进行变换的过程也是不可逆变换, 在编码阶段主要的不可逆变换为卷积、
池化和非线性激活 3 种运算. 卷积过程将输入矩阵与卷积核进行逐位相乘并求和得到卷积之后的结果. 假设输入
图像的宽和高分别为 W in 和 H in , 卷积核尺寸分别为 W k 和 H k , 卷积步长为 s, 填充为 p, 经过卷积之后的输出图像宽
和高分别为:

⌊ ⌋
W in − W k + 2× p
W out = + 1 (13)
s

⌊ ⌋
H in − H k + 2× p
H out = + 1 (14)
s

170 171 172 173 174 175 176 177 178 179 180