可證明安全的可擦除脆弱數字水印

童 偉，朱 巖

(1.青海大學 計算機技術與應用系，青海 西寧 810016；2.北京科技大學 計算機與通信工程學院，北京 100083)

0 引 言

數字媒體的無損表示、存儲和應用對數字媒體的保護提出了更高的要求。傳統的數字媒體保護采用了數字水印技術來宣稱作品所有權、來源認證以及完整性驗證，也就是通過利用媒體所具有的冗余性在數字媒體中嵌入指定的信息來達到各種安全目標。然而，這種嵌入水印的方式會對數字媒體帶來失真，這有違于我們對數字媒體的無損處理的需要。

為了解決這一問題，一種稱為脆弱水印的特殊數字水印技術被提出。脆弱水印[1]是一種可實現精確認證或原數據認證的水印技術，它能保證任何原作品中任意一比特的變化都被檢測出來。然而在作品中嵌入水印也會修改作品，這就增加了辨別作品篡改和水印修改的困難。為了解決這一問題，脆弱水印中可以采用可擦除水印技術，也就是以一種可完全去除或擦除的方式嵌入信息[2]，且能在認證的過程中逐個比特地恢復出作品的原貌，同時保留脆弱水印的精確認證功能。

這種數字媒體認證技術被[3]稱為“可擦除脆弱水印”技術。鑒于這種技術的優點，本文提出了一種可擦除脆弱水印構造方案，并對該方案的檢測性質和安全性質進行了形式化證明，包括：錯誤檢測的最大似然估計、簽名信息不可預測性(簽名隱藏的語義安全)、抗篡改攻擊性(簽名不可偽造性)[4]，這表明所述方案是一種具有密碼學安全的數字媒體認證技術。

1 脆弱水印的定義

給定數字作品X，一個數字媒體認證系統被稱為脆弱水印方案，如果下面條件滿足：

(1)密鑰生成：根據安全強度κ隨機選擇密鑰k，即WGenKey(1κ)→k;

(2)偽文構造：在作品中嵌入消息摘要，并生成帶摘要的偽文作品，即，WSignk(X)→X′;

(3)完整性認證：完成作品是否修改的驗證，并恢復原作品，即

WVerifyk(X′)→(X″,true/false)

脆弱水印滿足數據認證的完整性要求[5]，也就是，對于有效生成的帶水印作品，將以概率1通過完整性驗證

作為一個完整性檢驗方案[6]，脆弱水印需要滿足不可偽造性，也就是，對于任何沒有密鑰的敵手，給定原始作品X，不能偽造一個能通過完整性認證的作品X*。此外，脆弱水印需要滿足不可篡改性，也就是，對于任何沒有密鑰的敵手，給定一個帶有水印的作品X′，不能偽造一個能通過完整性認證的新作品X*且X≠X*。

2 脆弱水印構造

基于上述思想，使用可擦除水印系統S和一個帶密鑰的MAC函數，我們給出一種脆弱水印實現方案，并證明該方案具有和密碼學上的完整性驗證方法相同的安全性，該方案函數定義和基本設計框架如下：

(1)密鑰生成：隨機選擇適合MAC和可擦除水印的密鑰k；

(2)偽文構造：在作品中嵌入消息摘要，過程如下：

1)計算摘要：通過調用σ←MACk(X)實現；

2)嵌入水印：通過調用X′←Embedk(X,σ)實現；

(3)完整性認證：完成作品是否修改的驗證，過程如下：

1)抽取摘要：通過調用σ′←Extractk(X′)實現；

2)擦除水印：通過調用X″←Erasek(X′,σ′)實現；

3)完整性認證：如果MACk(X″)=σ′，返回true；否則，返回false。

上述脆弱水印構造流程如圖1所示，通過密碼學方法和數字水印技術的結合，可實現可證明安全的脆弱水印方案。

圖1 脆弱水印的通常構造

下面我們將采用密碼學MAC函數和擴頻水印給出一種具體的脆弱水印方案：

(1)密鑰生成：由簽名者生成隨機密鑰k，并與驗證者共享該密鑰。

(2)偽文構造：這一算法產生驗證信息并嵌入數字媒體，處理如下：

1)作品的創作者用作品全部信息計算出簽名。可采用某個消息認證碼MAC算法獲取原圖像X的L比特的認證碼

σ←MACk(X)

2)將簽名用一種可擦除的方式嵌入作品。將認證碼σ表示為二進制形式，并通過映射轉換為矢量σ={σ1,σ2…,σL}∈{-1,1}L，其中，σi∈{-1,1}。按照嵌入信息數量將原始圖像轉換為等長度N的L塊X={X1,X2,…,XL}，每塊Xi={xi1,xi2,…,xiN}嵌入一位信息。

3)根據密鑰k，使用偽隨機數生成器構造L個偽隨機序列wi={wi1,wi2,…,wiN}且對于所有i∈[1,L],j∈[1,N]，wi,j∈{-1,1}。采用擴頻水印嵌入方法，將認證碼逐比特σi嵌入圖像中第i塊中第k像素xik中，具體嵌入公式如下：對任何i∈[1,L],k∈[1,N]

(1)

(3)完整性認證：驗證者給定密鑰k可按以下步驟檢測圖像完整性：

1)接受者提取嵌入的信息。按照擴頻水印的提取方法，首先，由密鑰恢復出L個偽隨機序列wi={wi1,wi2,…,wiN}∈{-1,1}N，對于所有i∈[1,L]；其次，通過計算圖像序列與該隨機序列相關值

其中，Xi*wi表示兩個向量的數量積。最后，由相關值提取嵌入信息

這里，要求嵌入的信息與提起的信息σ′={σ1,…,σL}必須是一致的。

2)接受者從載體作品中擦除水印。這一過程是嵌入過程的逆過程：對任何i∈[1,L],k∈[1,N]

(2)

不難發現，只要提取信息和隨機序列是一致的，那么擦除水印的作品和原作品是完全一致。

3)為了驗證是否一致，驗證者對作品求取MAC，即，σ″←MACk(X″),并將σ″與解碼獲得的簽名σ′進行比較，當且僅有以上兩個哈希簽名一致(σ′=σ″)，接受到的作品才能通過認證。

3 性能與安全性分析

證明：對于每一嵌入比特σi∈{0,1}的檢測，可以看作在兩種假設H1和H-1中的參數檢測問題，其中，H1表示存在信息σi=1，H-1表示存在比特信息σi=-1，因此，水印檢測過程可表示為如下的二元假設檢驗

下面采用多樣本二元假設的最大似然比對上述分布進行估計校驗

下面分析算法安全性。即使攻擊者能夠獲得原作品，只要密鑰是未知的，那么上述脆弱水印方案具有簽名的不可猜測性：

定理2 簽名信息不可預測性：給定原作品(掩文)X和帶水印作品(偽文)X′，敵手無法猜測簽名信息σ的成功概率為1/2L。

由于wik是由偽隨機數發生器產生的，因此它的取值概率有Pr[wik=1]=Pr[wik=-1]=1/2。

因而，我們可知

同樣地，我們可以證明Pr[σiwik=-1]=1/2。因此，即便圖像簽名σ不是均勻分布的，敵手所觀察到的水印序列{σiwik}是均勻分布的，因而，對于一個L長的圖像簽名σ，敵手猜測成功的概率依然是1/2L，定理得證。

數字作品的簽名計算需要密鑰k，因此對于任何沒有密鑰的敵手，給定一個帶有水印的作品X′，篡改作品首先需要獲取其中隱藏的簽名σ。但上述定理即使能夠獲取原作品X，也無法得到其中的簽名σ，這對篡改是非常不利的。下面將進一步證明脆弱水印的防篡改功能。

定理3 抗篡改攻擊性[8]：脆弱水印方案能夠檢測對作品的篡改。

證明：假設敵手在未知密鑰情況下對帶水印的作品X′進行了修改，獲得一個新的版本X*，且X′≠X*，但X*能夠通過完整性驗證。驗證者采用密鑰k提取到簽名σ*←Extractk(X*)，則存在兩種情況：

基于上述討論，證明的前提假設不成立，那么任何對帶脆弱水印作品的篡改都可被檢測，問題得證。

上述證明中敵手即使能夠攻破強碰撞性質，那么依然不可能偽造有效的作品，原因在于：根據定理2，敵手即便觀察到了非常大量的相同密鑰k的帶水印作品，仍然不能準確的獲得其中的σ信息，這是與MAC強碰撞假設不一致的，顯然這將增加敵手攻擊的難度。

4 實例分析

下面以一個實例來說明脆弱水印的構造和完整性認證[10]過程：

(1)選取一個80 bits的整數作為密鑰k=355778428493926306668578；

(2)采用SHA256作為Hash函數，采用HMAC生成256 bits消息

(3)選取“狒狒”圖片作為掩文，大小為256×256像素，如圖2左圖所示，在右圖中我們給出了它的直方圖。

圖2 載體圖像(256*256)及其直方圖

(4)為了將前述256 bits信息隱藏其中，可令每行像素存儲1 bit信息。例如，對于第10行，需要隱藏的信息比特為-1，所采用的擴頻N(0,1)序列為

對第10行圖像中的像素，我們有下面向量

進而，根據嵌入公式，令α=10，我們可以得到下面嵌入信息后的像素向量

經過上述處理，可得到載有水印的圖像，如圖3左圖所示，同時，在右圖也顯示了該圖像的直方圖，可以看出，圖像中有個別點出現了亮點，這是由于模運算截斷多導致的，直方圖有所變化。

圖3 載有水印后作品

(5)下面演示檢測過程。首先，通過相關方法提取出隱藏的MAC信息，例如，對于上述第10行，計算相關值

圖4 相關檢測值的分布以及擦除水印后作品

最后，我們對圖像進行還原，如圖4右圖所示，可以看出原圖被很好地再現，也就是X″=X。進而，我們測試σ′=MACk(X″)成立，這表明圖像沒有任何改動。

5 結束語

脆弱水印技術通過密碼學的哈希函數對其的安全性進行合理的保證。鑒于目前已有研究成果在很多方面并不是十分完善，本文提出了一種可擦除脆弱水印構造方案。該方案不僅可以證明具有錯誤檢測的最大似然估計、簽名信息不可預測性、抗篡改攻擊性，使得該方案在認證的過程中能夠逐個比特地恢復出作品的原貌，并且還可以控制不丟失脆弱水印的精確認證功能。上述工作表明，構造一種具有密碼學安全的數字媒體認證技術是完全可行的。

[1]HUANG Huajun,JIANG Liqing,XIE Lili,et al.Based on semi-fragile watermarking phishing active defense technology[J].Information Network Security,2013(1):8-11(in Chinese).[黃華軍,姜麗清,謝黎黎,等.基于半脆弱水印的網絡釣魚主動防御技術[J].信息網絡安全,2013(1):8-11.]

[2]CAI Jian,WANG Shumei.A hadamard transform and chaos theory based fragile watermarking algorithm[J].Modern Computers(Professional Edition),2014(2):23-27(in Chinese).[蔡鍵,王樹梅.一種基于哈達瑪變換與混沌理論的脆弱水印算法[J].現代計算機(專業版),2014(2):23-27.]

[3]LU Wei.Multimedia copyright protection based on digital watermarking and digital signature protocol research[C]//The Cryptography and Information Security Teaching Conference in 2010,2012(in Chinese).[盧煒.基于數字水印與數字簽名的多媒體版權保護協議研究[C]//2010年全國密碼學與信息安全教學研討會,2012.]

[4]YE Chuang.Digital watermarking algorithm based on discrete wavelet transform research[D].Hangzhou:Zhejiang University,2012(in Chinese).[葉闖.基于離散小波變換的數字水印算法研究[D].杭州:浙江大學,2012.]

[5]ZHI Ce,MA Zhaofeng,JIANG Ming,et al.Based on the PDF integrity authentication of digital watermarking research[J].Journal of Information Security and Communications Confidential,2012(10):63-66(in Chinese).[支策,馬兆豐,蔣銘,等.基于數字水印的PDF完整性認證研究[J].信息安全與通信保密,2012(10):63-66.]

[6]Kashyap N,Sinha GR.Image watermarking using 3-level discrete wavelet transform(DWT)[J].International Journal of Modern Education & Computer Science,2012,4(3).

[7]LI Guo’an,HUANG Lintao,LI Jianfeng.Maximum likelihood estimation method of the exploratory teaching[J].Journal of University Mathematics,2013,29(3):144-146(in Chinese).[李國安,黃林濤,李建峰.最大似然估計法的探究式教學[J].大學數學,2013,29(3):144-146.]

[8]JIN Xizi,JIANG Wenzhe.Block-level tamper with the positioning of the JPEG image fragile watermarking[J].Journal of Electronic,2010(7):1585-1589(in Chinese).[金喜子,姜文哲.塊級篡改定位的JPEG圖像脆弱水印[J].電子學報,2010(7):1585-1589.]

[9]ZHOU Qinglei,LI Bin.Double software watermark scheme based on tamper-proof[J].Computer Engineering,2013,39(7):185-188(in Chinese).[周清雷,李斌.基于防篡改的雙重軟件水印方案[J].計算機工程,2013,39(7):185-188.]

[10]Su Q,Niu Y,Wang G,et al.Color image blind watermar-king scheme based on QR decomposition[J].Signal Proces-sing,2014,94(1):219-235.