準TechnicalSpecificationfo深圳市人工智能行業(yè)協(xié)會發(fā)布IT/AII001-2021 II III 12規(guī)范性引用文件 13術語和定義 14人臉識別安全技術架構 34.1人臉識別應用系統(tǒng)架構 34.2人臉識別安全技術架構 35活體檢測 45.1活體檢測概述 45.2活體檢測手段 46數字合成內容取證 56.1概述 56.2取證方法 67模型安全防御規(guī)范 67.1模型安全性概述 67.2常見攻擊防范 68數據安全 78.1數據安全概述及基本要求 78.2處理規(guī)范 79性能指標 99.1活體性能指標 99.2內容取證性能指標 109.3模型安全指標 10附錄A（資料性）性能測試參考方案 13A.1活體測試 13A.2內容取證測試 15A.3模型安全測試 16T/AII001-2021本文件按照GB/T1.1-2020《標準化工作導則—第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。本文件由深圳市人工智能行業(yè)協(xié)會提出并歸口。請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件負責起草單位：騰訊科技（上海）有限公司、騰訊云計算(北京)有限責任公司、深圳市人工智能行業(yè)協(xié)會、京東科技控股股份有限公司、深圳市華賽睿飛智能科技有限公司、上海計算機軟件技術開發(fā)中心、上海交通大學、華東師范大學。本文件主要起草人：黃飛躍、李季檁、丁守鴻、吳雙、李博、畢明偉、姚太平、劉海濤、鄧瑩婷、郎麗艷、王輝、錢麗玲、林必毅、孫凱、陳敏剛、盛斌、賀樑、李博、王啟立。本文件為首次發(fā)布。T/AII001-2021人臉識別（FaceRecognition）是一種以人的面部特征信息為核心進行身份識別的技術。近年來，隨著人工智能、計算機視覺、云計算等技術的迅速發(fā)展，人臉識別技術獲得了長足的進步并日臻趨于完善。簡單易用的人臉識別技術伴隨著互聯(lián)網的發(fā)展越來越多地被應用于社會的各行各業(yè)。與此同時，人臉識別系統(tǒng)也面臨著潛在的安全風險，攻擊者嘗試用各種手段破壞人臉識別系統(tǒng)的安全穩(wěn)定運行，嚴重威脅到了系統(tǒng)使用者的生命與財產安全。目前市場上有些人臉識別系統(tǒng)中嵌入了如人臉活體檢測技術的安全模組，但并沒有統(tǒng)一的安全技術規(guī)范，各個廠家自成體系，系統(tǒng)的安全性參差不齊，同時沒有統(tǒng)一衡量標準，一定程度上阻礙了人臉識別發(fā)展。本規(guī)范以保障人臉識別系統(tǒng)的安全性為目標，提出了人臉識別技術安全規(guī)范，明確了人臉識別應用算法框架中內容安全和基礎安全兩大安全組件。通過對安全威脅的細化分類，可以引導從事相關業(yè)務的單位對不同安全風險進行有針對性地防范，以提升人臉識別系統(tǒng)的安全性。同時，本標準的提出也有利于上級監(jiān)管部門與不同公司在統(tǒng)一的安全威脅下進行評測對比。引導并促進人臉識別技術安全健康地發(fā)展。1T/AII001-2021人臉識別安全技術規(guī)范本文件規(guī)定了人臉識別系統(tǒng)在活體檢測、數字合成內容取證、數據安全和模型安全等方面的技術要求。本文件適用于人臉識別系統(tǒng)的設計、技術開發(fā)、測試和管理。2規(guī)范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T20271-2006信息安全技術信息系統(tǒng)通用安全技術要求GB/T20273-2006信息安全技術數據庫管理系統(tǒng)安全技術要求GB/T26238-2010信息技術生物特征識別術語GB/T29268.1-2012信息技術生物特征識別性能測試和報告原則與框架（ISO/IEC19795-1）GB/T38671-2020信息安全技術遠程人臉識別系統(tǒng)技術要GB/T35678-2017公共安全人臉識別應用圖像技術要求GB/T31488-2015安全防范視頻監(jiān)控人臉識別系統(tǒng)技術要求3術語和定義GB/T20271-2006、GB/T26238-2010和GB/T29268.1-2012確立的以及下列術語和定義適用于本文件。3.1生物特征識別biometricrecognition基于個體的行為特征和生物學特征，對該個體進行的自動識別。3.2人臉識別facerecognition以人臉特征作為識別人體身份的一種人體生物特征識別方法。其通過分析提取用戶人臉圖像數字特征產生樣本特征序列，并將該樣本特征序列與已存儲的模板特征序列進行比對，用以識別用戶身份。3.3人臉識別系統(tǒng)facerecognitionsystem實現(xiàn)人臉識別功能的專用信息處理系統(tǒng)。人臉識別系統(tǒng)可以是一個由獨立軟硬件構成的獨立系統(tǒng)，也可以是在信息系統(tǒng)已有平臺上運行的計算機系統(tǒng)。2T/AII001-20213.4人臉識別身份認證系統(tǒng)Face-basedIdentityAuthenticationSystem指采用人臉識別技術，提供人臉用戶身份認證的系統(tǒng)。3.5人臉圖像采集模塊faceimagecapturemodule人臉識別系統(tǒng)的一個模塊，用于進行人臉圖像采集。3.6用戶user指人臉識別系統(tǒng)用以識別的對象。3.7用戶登記userenrollment分析提取用戶人臉圖像數字特征、產生并存儲模板特征序列的過程。3.8人臉驗證faceverification人臉識別應用之一，將所產生的樣本特征序列與按用戶標識信息所給定的已存儲的用戶的模板特征序列進行比對（1：1比對），以確認用戶是否為所聲明的身份。3.9人臉辨認faceidentification人臉識別應用之一，將所產生的樣本特征序列與已存儲的指定范圍內的所有模板特征序列進行比對（1：N比對），確定用戶身份。3.10候選者candidate通過用戶辨認所確定的用戶。該用戶是在已進行過用戶登記的所有用戶中選出的符合當前樣本特征序列數據要求的用戶。3.11相似度similarity兩個生物特性相似程度的一個實數；數值越大兩個生物特性越相似。3.12閾值threshold做出判定所依據的邊界值（或值集）。3.13錯誤接受率（FAR）falseacceptrate(FAR)人臉驗證過程中，發(fā)生錯誤接受的次數占冒充者比對總次數的比率，用百分比表示。3.14錯誤拒絕率（FRR）falserejectrate(FRR)人臉驗證過程中，發(fā)生錯誤拒絕的次數占真實人比對總數的比率，用百分比表示。3.15誤識falsealarm人臉辨認過程中，非目標人被判為目標人。3.16辨認識別率detectionandidentificationrate人臉辨認過程中，正確判定目標人身份次數占目標人出現(xiàn)總次數的比率，用百分比表示。3T/AII001-20213.17誤識率falsealarmrate人臉辨認過程中，錯誤識別次數占非目標人出現(xiàn)總次數的比率，用百分比表示。4人臉識別安全技術架構4.1人臉識別應用系統(tǒng)架構人臉識別應用包含了人臉數據采集、人臉數據處理、人臉注冊數據、人臉特征提取和人臉數據對比等重要模塊，其中本規(guī)范涉及到的安全模塊包括了內容安全和基礎安全。人臉識別應用系統(tǒng)架構見圖1。圖1人臉識別應用系統(tǒng)框圖1)人臉數據采集：此模塊負責對人臉以及其它多因子生物信息進行采集；2)人臉數據處理：主要負責對人臉數據采集模塊采集的信息進行處理，從而篩選出質量較高的人臉用于后續(xù)的識別，一般包含以圖像處理等算法為基礎的活體檢測與內容取證；3)人臉特征提?。捍四K負責對人臉及其它多因子生物信息進行特征的抽取與加工；4)人臉比對：此為服務端核心算法，對兩張人臉提取到的特征進行相似度對比，一般包含1:1對比用于人臉驗證和1：N對比用于人臉辨識。5)內容安全：應提供活體檢測和內容取證功能；6)基礎安全：應提供數據安全管理功能和對抗攻擊防范功能。4.2人臉識別安全技術架構本文涉及的人臉安全功能包含內容安全和基礎安全兩部分，其中內容安全部分包含了活體檢測和內容取證兩大模塊；基礎安全包含了數據安全和模型安全兩大模塊。人臉安全技術架構見圖2。4T/AII001-2021圖2人臉識別安全技術架構1)活體檢測：應提供靜默活體、動作活體、語音活體、光纖活體和多模態(tài)活體檢測功2)內容取證：應提供圖像內容取證和視頻內容取證功能；3)數據安全：應提供采集、存儲、使用、委托、共享、轉讓、公開披露各個階段的數據安全功能；4)模型安全：應提供對抗攻擊防范、竊取攻擊防范、數據投毒防范和后門攻擊防范功5活體檢測5.1活體檢測概述活體檢測指在一些身份驗證場景中確定對象真實生理特征的方法。在人臉識別應用中，一般使用攝像頭拍攝及采集人臉圖像的同時，結合云端人臉防偽檢測技術，判斷圖像是否來自真人，有效防范紙質圖片、屏幕翻拍、面具模型、合成換臉等類別的攻擊，保證人臉信息的真實有效性。5.2活體檢測手段5.2.1靜默活體檢測靜默活體是指無需檢測主體做主動式反應，直接基于采集的圖片或視頻內容進行分析，包括但不限于背景、光線、色差等，最終作出活體判斷。人臉識別應用系統(tǒng)應支持靜默活體檢測。5.2.2動作活體檢測動作活體指根據檢測主體的主動式反應進行活體檢測的方式。一般通過指令要求客戶進行相關操作并判斷人臉的真實有效性，指令動作可以包括但不限于點頭、抬頭、左右轉頭、5T/AII001-2021張嘴、眨眼等。人臉識別應用系統(tǒng)應支持動作活體檢測。5.2.3光線活體檢測光線活體指通過驅動屏幕顏色變化并采集該過程中的人臉響應信息來檢測是否為活體的技術。人臉識別應用系統(tǒng)應支持光線活體檢測。5.2.4多模態(tài)活體檢測多模態(tài)活體（深度，紅外，RGB，聲紋，唇語）是指同時利用多種模態(tài)信息進行組合式的活體檢測，應支持但不限于以下模態(tài)：a）3D活體檢測：根據檢測主體的3D深度信息進行活體檢測，檢測主體的輪廓信息是否為真實有效的主體。b）紅外活體檢測：根據檢測主體的近紅外成像進行活體檢測，直接利用不同材質對近紅外光的吸收/反射率的不同導致的成像差異進行判斷。c）熱紅外活體檢測：根據檢測主體的體溫特征進行活體檢測，直接利用熱成像設備獲取檢測主體的面部溫度分布圖進行判斷。d）RGB活體檢測：根據檢測主體的RGB圖像進行活體檢測，通過人臉的外觀圖像特征以及底層紋理特征進行判斷。e）唇語活體檢測：根據檢測主體的主動式反應進行活體檢測，通過指令要求主體讀出屏幕上顯示的數字進行唇音一致性判斷等方法來判斷主體是否為真實有效的人臉。f）聲紋活體檢測：根據檢測主體的聲紋特征進行活體檢測，通過指令要求主體讀出屏幕上顯示的數字等交互方式提取主體的聲紋特征進行判斷。g）超聲波活體檢測：根據檢測主體的主動式反應進行活體檢測，通過指令要求主體作出一些動作，如搖頭、點頭、張嘴等，利用終端設備發(fā)射出的超聲波的反射變化進行判斷。以上這些活體檢測可以根據需要進行優(yōu)選擇的組合使用，以期達到最優(yōu)用戶體驗與檢測效果。人臉識別應用系統(tǒng)應支持多模態(tài)活體檢測。6數字合成內容取證6.1概述數字合成內容取證是指在人臉識別系統(tǒng)中對輸入的人臉圖像或視頻進行鑒別，判斷數字內容的真實性、完整性和原始性，應支持但不限于對以下人臉編輯方法進行有效鑒別：以及人工photoshop編輯等;b）人臉替換：替換主體的人臉內容為另一主體的人臉內容，常用的方法有Deepfake,FaceSwap以及人工photoshop編輯等;c）人臉屬性編輯：對人臉的屬性內容（膚色、性別、年齡等）進行修改，常用的方法有StarGAN以及人工photoshop編輯等;d）人臉表情編輯：對主體的面部表情進行編輯，例如遷移另一主體的表情，常用的方法有Face2Face以及人工photoshop編輯等。6T/AII001-2021數字合成內容取證應支持圖像內容取證和視頻內容取證。6.2取證方法6.2.1圖像內容取證圖像內容取證是指對輸入的圖像內容進行分析，應支持但不限于色彩、紋理和頻域分布等，來判斷該圖像內容是否為原始真實內容6.2.2視頻內容取證視頻內容取證是指對輸入的視頻內容進行分析，應支持利用多幀時序信息來判斷該視頻內容是否為原始真實內容。7模型安全防御規(guī)范7.1模型安全性概述本章所指模型安全為人臉識別系統(tǒng)中的人工智能算法從模型訓練到模型使用應具備的安全性能，需效防御投毒、后門、對抗、竊取等多種攻擊，防范攻擊能力等應至少滿足以下安全要求。7.2常見攻擊防范7.2.1對抗攻擊防范對抗樣本攻擊通過精心設計的輸入樣本誤導人工智能算法。對抗樣本為在正常人臉圖像上添加人眼不易分辨的擾動，欺騙人工智能算法。對抗攻擊可以發(fā)生在數字空間，也可以通過物理手段在真實世界構造。人臉識別系統(tǒng)中的人工智能算法應有效防御對抗樣本攻擊，包括但不限于FGSM、DeepFool、C/W、PGD等算法生成的以及通過查詢或者遷移方式生成的黑盒對抗樣本攻擊?？赏ㄟ^安全防御措施提升人工智能算法魯棒性，有效抵御對抗攻擊，包括但不限于以下方式：a）人工智能算法模型訓練階段可將對抗樣本加入訓練數據集，構建高容忍擾動的人工智能算法，有效抵抗對抗樣本攻擊；b）人工智能算法模型使用階段可添加對抗樣本檢測模塊，有效過濾對抗樣本；c）人工智能算法模型可采用網絡蒸餾技術降低模型對微小擾動的敏感度，提高模型魯棒性；d）應盡量避免直接使用常見的神經網絡結構作為算法模型的骨干網絡，提升模型對遷移性攻擊的魯棒性。7.2.2竊取攻擊防范人工智能算法應對模型竊取攻擊進行有效防范，避免模型泄露，應滿足以下安全性要求：a）應加強人工智能算法關于訓練數據、模型的傳輸、存儲等方面的安全管理，防范模型被竊?。籦）應保障人工智能算法訓練步驟安全，防范訓練過程被竊取導致訓練信息泄露，進而惡意構建相似模型；7T/AII001-2021c）應限制算法模型的查詢次數，只輸出模型結果，隱藏模型輸出細節(jié)；d）人工智能算法模型應具有辨識度，一旦出現(xiàn)惡意偽構模型，應能夠通過合適途徑辨別真?zhèn)?，如模型添加水印等方法?.2.3數據投毒防范投毒攻擊是指在模型訓練時通過污染部分訓練數據，從而達到惡意操縱模型的攻擊。人工智能算法應對投毒攻擊進行防范，有效挑揀出訓練數據中的藥餌數據，避免訓練數據被投毒。人工智能算法為有效防范投毒攻擊應滿足以下安全性要求：a）應確保訓練數據來源可信、可靠，避免采集到污染數據；b）應加強訓練數據存儲、使用等環(huán)節(jié)安全管理，防范訓練數據被投毒；c）應確保訓練數據分布合理，防止污染攻擊數據點混入，造成模型傾斜等錯誤狀況；d）宜采用回歸分析等方法利用訓練數據的特性檢測與過濾數據集中的噪聲和異常值，防止數據投毒攻擊；e）宜采用集成分析等方式通過采用獨立訓練的多個子模型綜合結果提升人工智能算法抗投毒攻擊的能力；f）不宜使用完全公開的模型進行遷移學習，提升投毒攻擊的難度。7.2.4后門攻擊防范后門攻擊是一種新興的針對人工智能算法模型的攻擊方式攻擊者會在模型中植入后門，使得模型被感染。通常情況下模型表現(xiàn)正常，但當后門被激活時，模型的輸出將變?yōu)楣粽哳A先設置的惡意目標。人臉識別系統(tǒng)中的人工智能算法模型應有效防御后門攻擊，包括但不限于以下手段：a）在算法應用時，宜對輸入預處理，過濾掉能觸發(fā)后門的輸入，降低輸入觸發(fā)后門、改變模型判斷的風險，防范后門攻擊。b）可采用模型剪枝、再訓練技術對模型進行重建，破壞模型中可能埋藏的后門。8數據安全8.1數據安全概述及基本要求本章所指的數據安全為人臉識別系統(tǒng)安全中的重要基礎組成部分，描述了數據控制者在人臉相關數據的采集、存儲、使用以及委托、共享轉讓和公開披露等過程中應該遵守的安全規(guī)范。數據安全的基本要求包括：a）處理人臉識別數據時應遵循最小必要原則。b）不應收集未授權自然人的人臉圖像。c）應具備與其所處理人臉識別數據的數量規(guī)模、處理方式等相適應的數據安全防護和個人信息保護能力。8.2處理規(guī)范8.2.1采集規(guī)范a）采集人臉識別數據時，應向數據主體告知收集規(guī)則，包括但不限于收集目的、數據類型和數量、處理方式、存儲時間等，并征得數據主體明示同意。8T/AII001-2021b）用于采集人臉識別數據的設備應遵循相關標準要求。c）在滿足應用場景安全要求前提下，應僅收集用于生成人臉特征所需的最小數量、最少圖像類型的人臉圖像。d）采集得到的人臉識別數據應滿足以下質量要求：表1人臉圖像質量要素序號類型1人臉姿態(tài)包括但不限于大小、角度、完整度等2圖像質量包括但不限于分辨率、清晰度等3光線條件包括但不限于正常光、強光、弱光、逆光等4場景條件包括但不限于室內、室外等多場景等表2人臉視頻質量要素序號類型1人臉姿態(tài)包括但不限于大小、角度、完整度等2視頻質量包括但不限于分辨率、清晰度、幀率、時長、穩(wěn)定性等3光線條件包括但不限于正常光、強光、弱光、逆光等4場景條件包括但不限于室內、室外等多場景等5動作條件包括但不限于靜止、眨眼、張嘴、搖頭、點頭、晃動等e）人臉圖像、視頻數據質量應滿足包括但不限于表3所示要求:表3人臉數據質量要求序號具體要求1圖像尺寸分辨率≥640*4802人臉大小人臉區(qū)域大小≥100*100兩眼瞳間距應≥60，宜≥903清晰度高斯模糊<0.24運動模糊<0.15拉普拉斯方差≥5004姿態(tài)水平轉動角(°)[-20,20]俯角(°)<20仰角(°)>-20傾斜角(°)[-20,20]5完整度幾何失真度≤5%眉毛可見度=100%眼睛可見度=100%鼻子可見度=100%嘴巴可見度=100%面頰皮膚可見度=100%9T/AII001-2021表3人臉數據質量要求(續(xù)）序號具體要求6保真度無過渡化妝7光照光照均勻，對比度適中無光斑和陰陽臉整體無過曝和欠曝灰度級=2568表情無過渡夸張表情注1：人臉姿態(tài)的定義參考GB/T35678-2017,3.3。注2：特殊應用，如居民身份證數字相片、護照相片標準參考相關標準和規(guī)注3：人臉樣本整體模糊程度的計算可參考GB/T33767.5-2018,7.4.7或《Diatomautofocusinginbrightfieldmicroscopy:acomparativestudy》。8.2.2存儲規(guī)范a）在未經過授權同意的情況下，不應該存儲人臉圖像等數據。b）在授權到期或撤回授權的情況下，應刪除人臉數據或進行匿名化處理。c）應采取安全措施存儲和傳輸人臉識別數據，包括但不限于加密存儲和傳輸人臉識別數據，采用物理或邏輯隔離方式分別存儲人臉識別數據和個人身份信息等。8.2.3使用規(guī)范a）應在完成驗證或辨識后立即刪除人臉圖像。b）應對提取的人臉特征進行加密處理，提升特征的不可逆性，即難以從特征中逆向恢復出人臉圖像。8.2.4委托、共享、轉讓、公開披露規(guī)范1)不應公開披露人臉識別數據，原則上不應共享、轉讓人臉識別數據。因業(yè)務需要，確需共享、轉讓的，應按照GB/TCCCCC《個人信息安全影響評估指南》開展安全評估，并單獨告知數據主體共享或轉讓的目的、接收方身份、接收方數據安全能力、數據類別、可能產生的影響等相關信息，并征得數據主體的書面授權。2)原則上不應進行委托處理，確需委托處理的，應在委托處理前審核受委托者的數據安全能力，并對委托處理行為開展個人信息安全影響評估。9性能指標9.1活體性能指標真人通過率：測試用例為真人，被正確判斷為真人的概率攻擊誤過率：測試用例為攻擊，但被誤判為真人的概率活體性能指標要求如表4所示：T/AII001-2021表4活體性能指標要求活體項目一級安全指標二級安全指標真人通過率攻擊誤過率真人通過率攻擊誤過率活體類型＜0.1%9.2內容取證性能指標數字內容取證應能防范多種人臉內容篡改方法，包括但不限于人臉生成，人臉替換，人臉屬性編輯和人臉表情編輯等。內容取證指標為對真人和攻擊的整體鑒別準確率數字內容取證性能指標要求如表5所示。表5數字內容取證性能指標要求9.3模型安全指標a）對抗攻擊防御指標以人臉識別系統(tǒng)中FAR為一百萬分之一時采用的相似度得分閾值為基準，如果攻擊后的人臉與目標人臉之間的相似度大于該閾值，則認為攻擊成功，反之則不成功，攻擊成功的人臉對抗樣本與全部測試樣本之間的比值為攻擊成功率ASR(AttackSuccessfulRate)。其中，數字域對抗攻擊白盒成功率<50%；黑盒物理攻擊在現(xiàn)實人臉識別應用場景中威脅更大，具體安全指標見下表：表6物理對抗防御性能指標要求攻擊區(qū)域攻擊區(qū)域示例黑盒查詢攻擊（數值類型，查詢次數小于黑盒查詢攻擊（決策類型，查詢次數小于100）黑盒遷移攻擊（以常見神經網絡模型如Resnet、VGG、Densenet等作為替代模型）面積在該區(qū)域占比<80%）攻擊成功率<1%攻擊成功率<0.5%攻擊成功率<0.1%T/AII001-2021表6物理對抗防御性能指標要求（續(xù)）攻擊區(qū)域攻擊區(qū)域示例黑盒查詢攻擊（數值類型，查詢次數小于黑盒查詢攻擊（決策類型，查詢次數小于100）黑盒遷移攻擊（以常見神經網絡模型如等作為替代模型）面積在該區(qū)域占比<50%）攻擊成功率<1%攻擊成功率<0.5%攻擊成功率<0.15%面積在該區(qū)域占比<100%）攻擊成功率<0.3%攻擊成功率攻擊成功率<0.05%面積在該區(qū)域占比<80%）攻擊成功率<1%攻擊成功率<0.5%攻擊成功率<0.1%人臉背景（攻擊面積在該區(qū)域占比<100%）攻擊成功率<0.5%攻擊成功率<0.2%攻擊成功率<0.1%組合區(qū)域（攻擊面積在該區(qū)域占比<90%）攻擊成功率<3%攻擊成功率<1%攻擊成功率<0.5%T/AII001-2021b）竊取攻擊防御指標被竊取模型性能下降>50%。c）數據投毒攻擊防御指標數據投毒攻擊成功率<20%。d）后門攻擊防御指標后門攻擊成功率<5%。T/AII001-2021（資料性）性能測試參考方案A.1活體測試活體測試攻擊類型包括但不限于二維假體攻擊類型，三維假體攻擊類型及劫持注入攻擊類型。測試方法：真人通過率測試：N個真人，每個真人在正常環(huán)境下配合完成活體交互M次（測試過程可以選擇不同的場景），活體通過次數記為P，即真人通過率TPR=P/（N*M），整體指標應符合真人通過率>95%的性能指標。實際測試過程中一般建議真人超過100人，測試總量超過1000次，真人圖像應滿足數據質量要求；攻擊誤過率測試：構造二維假體素材并黑盒攻擊N次（包含二維靜態(tài)紙質圖像攻擊N1,二維靜態(tài)電子圖像N2,二維動態(tài)圖像N3,等。N=N1+N2+N3+…），構造三維假體素材并黑盒攻擊M次（包含三維面具攻擊M1次和三維頭模攻擊M2次等，M=M1+M2+…）,構造劫持注入類型素材并黑盒攻擊P次（具體注入素材類型可參考下表內容及呈現(xiàn)方式等P1，P2，P3…,P=P1+P2+P3）;其中攻擊總次數為N＋M＋P，記攻擊成功的次數為F，則攻擊誤過率FAR＝F/（N＋M＋P），整體性能指標應符合一級安全指標誤過低于1%,二級安全指標誤過率低于0.1%的要求?？紤]到攻擊素材的成本差異較大（三維攻擊素材成本高于注入攻擊成本，遠高于二維攻擊素材），一般構造攻擊類型的數量分布推薦為N：M：P=50：1：10，且總量不低于3000次。A.1.1二維假體攻擊二維假體攻擊包括但不限于二維靜態(tài)紙質圖像攻擊、二維靜態(tài)電子圖像攻擊和二維動態(tài)圖像攻擊。a）防范二維靜態(tài)紙質圖像攻擊時，應考慮的因素包括但不限于表A.1所示內容；表A.1二維靜態(tài)紙質圖像攻擊序號類型1人臉圖像材質包括但不限于打印紙、亞光相紙、高光相紙、絨面相紙、啞粉、光銅等2顏料包含但不限于黑白、彩色、噴墨、激光、印刷、銀鹽沖印、繪畫等3人臉圖像質量包括但不限于分辨率、清晰度、大小、角度、光照條件、完整度等4呈現(xiàn)方式包括但不限于距離、角度、移動、彎曲、折疊等5裁剪方式包括但不限于圖像是否摳除眼部、鼻子、嘴巴等6光線條件包括但不限于正常光、強光、弱光、逆光等T/AII001-2021b)防范二維電子圖像攻擊時，應考慮的因素包括但不限于表A.2所示內容;表A.2二維電子圖像攻擊序號類型1二維電子圖像類型包括但不限于拍攝數字圖像、翻拍數字圖像等2顯示設備類型包括但不限于手機、平板電腦、電腦等3顯示設備能力包括但不限于分辨率、亮度、對比度等4二維電子圖像質量包括但不限于分辨率、清晰度、人臉大小比例等5呈現(xiàn)方式包括但不限于距離、角度、移動等6光線條件包括但不限于正常光、強光、弱光、逆光等c)防范二維動態(tài)圖像攻擊時，應考慮的因素包括但不限于表A.3所示內容。表A.3二維動態(tài)圖像攻擊序號類型1二維動態(tài)圖像類型包括但不限于錄制視頻、合成視頻等2顯示設備類型包括但不限于手機、平板電腦、電腦等3顯示設備能力包括但不限于分辨率、亮度、對比度等4二維動態(tài)圖像質量包括但不限于分辨率、清晰度、幀率、人臉大小比例、持續(xù)時間等5呈現(xiàn)方式包括但不限于距離、角度、移動等6光線條件包括但不限于正常光、強光、弱光、逆光等A.1.2三維防假體攻擊三維假體攻擊包括但不限于三維面具攻擊和三維頭模攻擊：a）防范三維面具攻擊時，應考慮的因素包括但不限于表A.4所示內容；表A.4三維面具攻擊序號類型1面具材質包括但不限于塑料面具、3D紙張面具、硅膠面具等2呈現(xiàn)方式包括但不限于距離、角度、移動等3光線條件包括但不限于正常光、強光、弱光、逆光等4裁剪方式包括但不限于面具是否摳除眼部、鼻子、嘴巴等5光線條件包括但不限于正常光、強光、弱光、逆光等b）防范三維頭模攻擊時，應考慮的因素包括但不限于表A.5所示內容。T/AII001-2021表A.5三維頭模攻擊序號類型1頭模材質包括但不限于泡沫、樹脂、全彩砂巖、石英砂等2呈現(xiàn)方式包括但不限于距離、角度、移動等3光線條件包括但不限于正常光、強光、弱光、逆光等A.1.3劫持注入類型攻擊劫持注入攻擊類型一般是指通過hook手機劫持繞過攝像頭注入一段偽造的視頻防范劫持注入類視頻攻擊包括但不限于表A.6所示內容：表A.6合成視頻攻擊序號類型1視頻內容包括但不限于多端非實時拍攝真人視頻，剪輯拼接視頻，人臉融合視頻，人臉驅動視頻等2呈現(xiàn)方式包括但不限于距離、角度、移動等3光線條件包括但不限于正常光、強光、弱光、逆光等A.2內容取證測試測試方法：真人通過率測試：N個真人，每個真人在正常環(huán)境下配合拍攝完成M張圖片（如果為視頻測試，則錄制M個視頻），其中達到質量要求（參考表A2.1.3）的數量為S,達到質量要求的真人通過次數記為P，真人通過率TPR=P/S。實際測試過程中一般建議真人超過100人，有效測試總量超過1000次，真人圖像應滿足數據質量要求；攻擊誤過率測試：利用篡改工具對真人圖片或視頻進行篡改，不限制生成結果質量?；谌四樕煞椒ü鬉1次，基于人臉替換攻擊A2次，基于人臉屬性編輯攻擊A3次，基于人臉表情編輯攻擊A4次，累計攻擊A次（A=A1+A2+A3+A4）,記攻擊成功的次數為F，則攻擊誤過率FAR＝F/A。一般建議構造不同類型的攻擊比例為1:1:1:1，整體攻擊數量與真人數量比例為1:1，建議攻擊的總量不低于4000次。最終準確率為真人通過數量P以及攻擊攔截數量（A-F）占總測試數量的比例，Acc=(P+A-F)/(S+A)。A.2.1攻擊數據人臉圖像內容攻擊應考慮的因素包括但不限于表A.7所示內容:表A.7圖像攻擊序號類型1人臉生成包括但不限于StyleGAN，PGGAN等整臉生成方法2人臉替換包括但不限于Deepfake、FaceSwap等人臉替換方法T/AII001-2021表A.7圖像攻擊(續(xù)）序號類型3屬性編輯包括但不限于StarGAN,STGAN等人臉屬性編輯方法屬性編輯內容包括但不限于頭發(fā)，年齡，眼鏡，膚色等4表情編輯包括但不限于Face2Face、Neural