一種有效的買方賣方數字水印協議

王少霞， 方 勇

（四川大學 電子信息學院，四川 成都 610064）

0 引言

近年來，隨著電子商務的迅猛發展，越來越多的數字化多媒體產品在互聯網上進行買賣交易，由于數字化產品在互聯網上易于拷貝和傳播，它的版權保護和盜版追蹤也就成為了當今的一個研究熱點。在許多數字版權管理系統中，數字水印是一種用于數字版權和盜版追蹤的重要方法。在傳統的數字水印技術[1]中，由賣方嵌入水印，盡管這種技術可以保護數字版權，但是沒有解決消費者的權益問題。如果一個心懷惡意的賣方允許擁有最終水印產品，他便可以控告無辜的買方非法拷貝產品，無辜的買方無法證明自己無罪。這導致了很多問題，如：消費者權益問題，盜版追蹤問題，未綁定問題，共謀問題，買方參與糾紛解決等等。

L.Qian和K.Nahrstedt在1998年提出了最原始的用于盜版追蹤的水印協議[2]，該協議首次提出了消費者的權益問題，但沒有很好地解決；在文獻[3]中，Memon和Wong提出了一個水印協議，該協議同時解決了消費者的權益問題和盜版追蹤問題，但又出現了未綁定問題。協議[4]將一個水印和ARG綁定，成功解決了未綁定問題，但沒有解決共謀問題。協議[5]解決了買方參與糾紛解決問題，然而還存在未綁定問題，共謀問題和實際應用問題。鑒于以上協議中出現的問題，提出了一個有效的，基于密鑰共享和同態公鑰密碼體制的數字水印協議，該協議不僅有效地保護數字產品交易中的參與者，還解決了文獻[6]中買方參與糾紛解決的缺陷，使得協議[6]更為完善、可行。

1 一個有效的數字水印協議

為了便于描述，本部分內容首先給出相關符號[7]的含義，然后分別介紹三個子協議[4]，即注冊子協議、水印子協議、仲裁子協議的含義以及內容。

1.1 該協議使用的符號如下

( p kI, s kI)：公鑰-私鑰對， p kI是I的公鑰， s kI是I的私鑰。S i gnI(M )：消息M使用I的私鑰進行簽名。EpkI(M)：消息M使用I的公鑰進行加密。 DskI(C )：密文使用I的私鑰進行解密。 C ertJ(I)：由認證中心J頒發給I的數字證書。X⊕W：數字產品X的水印化的產品。其中，⊕表示水印嵌入符號，W是要嵌入的水印。

1.2 注冊子協議

如果買方B想在產品交易過程中保持匿名性，CA可以擔保買方B的身份保密，除非被判定有罪。這樣一來，買方可以使用注冊子協議在交易之前向認證機構CA申請一個匿名證書。首先隨機選擇一個密鑰對(p kB,s kB)，并將公鑰 p kB發給CA。當CA收到 p kB時，產生一個匿名證書 C ertCA( p kB)并發送給B。這里，將 p kB作為假名與頒發給B的匿名證書相關聯。如果不需要匿名，B可以跳過整個注冊子協議，使用他自己普通的數字證書。

1.3 水印子協議

當數字產品交易開始后，買方B和賣方S遵循水印子協議進行交易買賣，具體步驟如下：

①B首先和S協商，雙方達成一致協議，并填寫購買訂單ARG，ARG明確規定了雙方應該遵守的權利和義務，并列出相關數字產品的清單，然后，ARG將本次交易和產品X唯一綁定，ARG也可看作購買序號；

②協商過后，對于本次交易，B隨機選擇一個交易密鑰對( p k?,s k?)，并產生一個匿名證書CertpkB(pk?),使得交易公鑰pk?與假名 p kB相連，用pk?代表 p kB。CA保證了 p kB的合法性，而 p kB又保證了pk?的合法性。然后B產生一個買方秘密信息 S ECB，并對其進行哈希，得到 H (S ECB)，然后對ARG進行哈希，得到 H (A RG )，并將 H (S ECB)和H(A RG)求和之后進行哈希，所得的結果再通過采用買方B的私鑰sk?進行加密，即可以得到：Esk*(H(H(S ECB) + H(A RG)))。然后B用私鑰sk?加密買方秘密信息 S ECB，即 Esk?(S ECB)，并用CA的公鑰進行加密，即可得到 EpkCA(Esk?(S ECB))。而可用于糾紛解決中，在CA的幫助下得到B的秘密信息，避免B參與糾紛解決問題當中。最后，B將(S ECB))以及買方B的雙重簽名Esk*(H(H(S ECB)+H(A RG ) ))發送給S；

③當S收到B發送的消息后，首先驗證簽名和證書的有效性，如果其中任何一個無效，則終止產品交易。否則，S產生代表本次交易的水印V，并計算，X′= X ⊕ V 。然后，S隨機產生秘密信息 S ECS，并在加密的情況下通過計算式（1）得到加密的水印內容，即：

然后按照式（2）進行嵌入水印操作：

而PAILLIER算法[8]可以滿足以上要求。最后，S發送給B，并且儲存V，和B發送給S的信息作為數字產品X新的銷售記錄；

④當B收到 Epk?(X″)后，B用私鑰sk?解密后，可得水印化的數字產品 X″= Dsk?(Epk?(X ″))。

1.4 仲裁子協議

當S在市場上發現數字產品X的盜版Y時，仲裁子協議便可用來追蹤盜版，并收集不可否認的證據說明就是先前交易的買方。

首先，S使用水印提取算法從Y中取出代表本次交易的水印V′，然后，S用V′檢索數字產品X的銷售記錄表。找到匹配項后，S收集保存在該項記錄中的相關信息，并把X′（通過計算 X ⊕Vk得到，其中VK是匹配項記錄的關鍵字）與S保存的信息以及Y一起發送給仲裁機構ARB請求仲裁。

ARB在收到S發送的信息后，首先驗證證書和簽名的有效性，如果其中的任何一個無效，則拒絕訴訟。否則ARB發送驗證信息給CA，要求CA通過所得信息判定買方秘密信息。CA首先用式（3）以及私鑰解密 EpkCA(Esk?(S ECB))，求得Esk*(S ECB)，即：

再用B的公鑰解密可得B的買方秘密信息，即：

然后，CA將 S ECB發送給ARB，ARB計算 W = SECB⊕SECS，并運行相關水印檢測和提取算法以判斷Y中是否存在W，如果Y中確實存在W，則ARB要求CA揭開交易公鑰PK?對應的真實身份，擁有PK?的買方身份被揭露，ARB將宣判買方有罪并結束訴訟。如果Y中檢測不出W，則買方將被認為是無辜的，身份依舊保密。

2 安全性分析

提出一個有效的買方賣方數字水印協議，其安全性依賴于水印算法和PKI-CA的安全性，下面主要分析協議本身的安全性。

①所提出的協議主要解決了引言部分所提出的幾個問題：

消費者的權益保護問題：賣方S只知道自己的秘密信息SECS，而不知道完整的水印內容W和最終的水印化產品X″，從而無法偽造盜版來陷害無辜的買方。

未綁定問題：在交易中，由于買方B的雙重簽名Esk*(H (H (S ECB) + H(A RG)))已經明確地將 S ECB和ARG綁定，并且唯一指定了數字產品X，從而防止S將水印移植到更高價格的數字產品中。例如：即使一個心懷不軌的賣方故意將一個買方的水印移植到另一個完全不同的數字產品中，那么這將會產生不同的ARG，這里令為ARG′，因此，當版權管理機構的仲裁者使用B的公鑰 pk*解密Esk*(H(H(S ECB) + H(A RG)))時，對比分析可知，H(H(S ECB) + H(A RG))的值和ARG計算所求的H(H(S ECB) + H(A RG′))的值不相等，以此可證明買方無罪。

盜版追蹤問題：買方B只知道買方秘密信息 S ECB和最終的水印化產品X″，而不知道原始的尚未嵌入水印的數字產品X和完整的水印內容W的嵌入位置，所以，B無法從最終的水印化產品''X中移除水印。另外，一旦發現盜版，S也可根據自己的銷售記錄表，并通過ARB和CA的幫助來追蹤盜版者，并使賣方有足夠的證據來起訴盜版者。

買方實現匿名性：由于可信認證機構CA的參與，B可以在一定程度上實現匿名性，除非買方被ARB宣布有罪，其身份才被揭露。

避免買方參與糾紛解決問題：由于可信認證中心CA的存在，買方不需要參與在糾紛解決問題中。只要CA使用自己的私鑰解密 EpkCA(Esk?(S ECB))，即可得到 Esk*(S ECB)，再用B的一次性公鑰 p k*解密，可得B的秘密信息，防止心懷不軌的賣方不斷打擾無辜的買方參與到糾紛解決當中。

避免共謀問題：可信認證中心CA的存在解決共謀問題，因為在買方和賣方之間CA被認為是唯一可信的機構。一方面，該協議阻止了賣方S從 EpkCA(Esk?(S ECB))中獲得B的秘密信息；另一方面，該協議阻止了買方B和不可信第三方共謀，移除嵌入在水印產品中的秘密信息；

②在本協議中為了同時解決盜版追蹤問題和消費者的權益問題，買方B和賣方S都不知道完整的水印內容W。基于秘密共享的思想，嵌入在數字產品中的水印W由買方的秘密信息和賣方的秘密信息組成。由BRESSON公鑰密碼算法的加同態屬性即：

從式（5）和式（6）可以清晰看出，買方或賣方猜出W的概率和猜出 S ECB或 S ECS的概率相同，因此，買方或賣方是不可能得到確定的水印內容W；

③在這篇文章中，基于文獻[4]的方法，買方在交易中保持匿名性。買方B向可信認證中心CA申請數字證書，CertCA( p kB)，此數字證書可以再多次交易中使用。在一次特定的產品交易中，B隨即產生一次性密鑰對(p k?,s k?)并產生一個匿名的數字證書 C ertpkB( p k?)，因此，B可以在不同的交易中使用不同的密鑰對，這在很大程度上增加了交易的安全性；

④在產品交易過程中，買方B只需和賣方S接觸，并不需要和第三方接觸，使得該協議具有實際應用性。

3 結語

在文獻[4]的基礎上提出了一個有效可行的水印協議，該協議基于密鑰共享和同態公鑰密碼體制，并借助可信機構CA，解決了消費者權益問題、未綁定問題、盜版追蹤問題、匿名問題、實際應用問題、共謀問題，買方參與糾紛解決問題。該協議的安全性是基于公鑰密碼體制PKI-CA的安全性。比起現有的協議，該協議更安全、完善和實用。

[1] 顧寧,葛萬成.基于DWT域圖像數字水印技術[J].通信技術,2009,42(05)：213-217.

[2] QIAO L,NAHRSTEDLT K. Watermarking Schemes and Protocols for Protecting Rightful Ownerships and Customer’s Rights[J].Visual Communication and Image Representation, 1998,9(03)：194-210.

[3] MEMON N, WONG P W. A Buyer-Seller Watermarking Protocol[J].IEEE Trans on Image Processing, 2001,10(04)：643-649.

[4] LEI C L, YU P L, TSA I P L, et al. An Efficient and Anonymous Buyer-seller Watermarking Protocol[J].IEEE Transactions on Image Processing, 2004,13(12)：1618-1626.

[5] CHANG Chinchen,CHANG Chiyien. An Enhanced Buyer Seller Watermarking Protocol[J].Proceeding of, ICCT,2003,2(12)：1779-1783.

[6] ZHANG J, KOU W, FAN K. Secure Buyer-seller Watermarking Protocol[J].IEE Proceedings Information Security,2006,153(01)：15-18.

[7] 朱香衛，肖亮，吳慧中.密碼學技術和數字水印技術比較[J].通信技術.2008, 41(07)：208-210.

[8] 王淑玉，葉曉麗，李建華. 基于Paillier公鑰密碼體制的非對稱叛逆者追蹤[J].河南科學.2008,26(08)：977-979.