一种安全的强稳健数字水印算法*
2012-07-10朱金娥
朱金娥
(咸宁职业技术学院,湖北 咸宁 437100)
0 引言
数字水印技术是一种信息安全保护技术,它为数字产品的盗版、非法复制、非法传输、信息内容泄密以及信息完整性破坏等诸多问题提供了一种切实可行的应对方案。数字水印能够标识产品所有者、发行者甚至是使用者的身份,其自身通常携带版权保护信息或某种认证信息,目地是鉴别出被非法复制和盗用的产品,从而保证数字产品的正常拷贝以及传播流通。近十年来,数字水印技术受到了人们的重视,取得了快速的发展,很多公司企业都推出了自己正式的数字水印产品。但总体而言,虽然数字水印技术已取得了长足的发展,但其现有的各种算法成果都始终还存在着这样或那样的问题,至今也没有一种公认的数字水印算法有望成为业内标准算法。这些问题主要体现在数字水印在实际应用中的稳健性缺陷上。例如,当前数字水印成果主要是为了在保持一定水印透明性的基础上尽可能取得最好的水印稳健性表现。虽然它们的稳健性表现已经十分接近理论上的极限,但仍然无法解决几种简单但却实效的水印攻击,如几何攻击,模糊所有权攻击和共谋攻击等。因此,从实际应用的角度上来说,数字水印技术暂时还不是一种值得信赖、能够得到广泛应用的可靠信息安全保护技术。其发展从理论到实际都存有很多的问题亟待解决,需要我们进一步努力探索和深入研究。
在过去的十年中,数字水印技术不断与数字图像处理、人工智能、密码技术以及随机理论等多种技术和学科进行结合,取得了大量的研究成果。其中,由于数字水印技术中最为关键的一个性能参数是稳健性,所以自Cox提出扩频数字水印技术以来,现有的大多数数字水印算法及模型成果都是围绕着稳健性来进行构建。这样设计的优点在于,它可以最大限度地保护数字水印的存在,从而有效抵御实际应用中的各种水印攻击。然而,近几年来的数字水印成果在稳健性上的提升越来越困难,特别是在针对几种难以抵御的水印攻击形式——共谋攻击和模糊攻击上的研究进展非常有限。当前,现有数字水印成果对它们的有效抵御大多需要引入公证第三方。然而,在数字水印技术中的建立公证第三方的思路虽然在理论上可行,但是在实际应用中不仅需要大量的人力和物力资源,而且还急需建立相关的配套法律才能顺利实现。在这种情况下,数字水印技术研究开始遭遇到明显的发展瓶颈,亟需突破。
为了能够应对上述的发展困局,进一步深入地研究和发展数字水印技术,我们重点对数字水印的安全性进行了扩展研究,并在此基础上提出并实现了安全性和稳健性之间的相互转换来加强数字水印针对共谋攻击和模糊攻击的稳健性表现,从而为数字水印技术的发展提供了一个新的发展思路。在传统的数字水印算法中,水印的安全性往往不为人们所看重,更没有被人们视为是水印技术的一项关键性能,而只是当作一种辅助的性能而存在。但是,在本文所提的新数字水印算法中,安全性被视为水印的一种关键性能,可以藉由与稳健性及透明性之间的相互转换来提高水印算法的整体性能表现,从而成为影响水印性能表现的又一个关键因素。其中,水印稳健性和透明性之间的转换早已为人们所熟知,即好的透明性可以通过牺牲稳健性来得到,而降低透明性要求可以使稳健性得到进一步提升。而安全性和透明性之间的转换则是指:好的水印安全性可以使少部分的水印信息被嵌入,同时通过安全的量子信道以辅助信息的形式来传输其他大部分的水印信息。因此,水印的透明性可由好的安全性得到极大地提高。安全性和稳健性之间的转换则是指水印可以藉由辅助信息在量子信道上的安全传输来提高应对某些特殊水印攻击的稳健性。因此,在本文所提算法中,水印的高安全性已成为一个好的水印算法必备的前提条件。
1 量子密码安全协议——BBM92协议
众所周知,密码技术是保护信息安全的一种主要技术。它可以使信息传输者通过公开信道实现相互之间的安全消息传输。经典密码(相对于量子密码而言)可分为两大类:对称密钥密码和非对称密钥密码(又称公钥密码)。然而,无论对称密钥密码还是非对称密钥密码,它们的安全性都以计算复杂度为基础;因此,随着计算机运算能力的不断快速提高以及各种先进算法的提出,经典密码的安全性已经受到了严重地威胁。根据摩尔定律,计算机的运算速度每隔大约两年就能增长一倍,这使得破译基于计算复杂度的密码技术难度不断降低。此外,由于经典公钥密码算法基于未经过严格证明的数学难题之上,这些数学难题的突破将会对经典公钥密码带来毁灭性打击,而当前量子计算的发展已经使得很多传统的数学难题具有量子可解性。例如,在1994年,Rw.shor就提出一种新颖的量子并行算法,它能够在多项式时间内求解大数因子分解和离散对数等数学难题。一旦这类量子算法能够在量子计算机上付诸实施,现行很多基于此类难题的对称密钥密码及公钥密码都将毫无安全性可言。上述情况表明,无论是经典密码自身所固有的缺陷,还是新型量子计算机所带来的迫在眉睫的威胁,两者都日益迫使人们开始设计不急于计算复杂度、能具有无条件安全性的新一代密码体制。量子密码正是这一形势下的直接产物。量子密码(QuantumCryptography)结合了密码学和量子力学,其安全性由量子的多种基本物理特性来保证,与攻击者的计算能力无关。根据量子不可克隆定理和量子测不准定理,任何窃听者对量子密码中相关量子载体进行窃听攻击必然会对正常传输的量子态带来干扰,从而能被合法通信者经过窃听检测所发现。这正是量子密码可以拥有无条件安全性的根本原因。
1984年,BB84协议由Bennett和Brassard等人所提出。它的提出使得人们第一次认识到确实存在一种简单可行的方法来实现传统密码技术中只有一次一密(One TimePad)才能达到的无条件安全性。至那时起,量子密码逐渐成为现代密码发展中的热点,吸引了越来越多专家和学者投入到量子密码研究中来。BB84协议基于单量子载体,容易实现,其安全性也已得到严格证明,是世界上第一个正式的量子密钥分配协议,也是当前众多量子密码协议中的一个经典之作。1991年,Mermin在基于纠缠态上提出了一种新的量子密钥协议E91[1]。而1992年,Bennett,Brassard和Mermin等人在E91协议的研究基础上,进一步发现了基于单量子的BB84协议与基于纠缠态的E91协议之间具有相同的实质内容。因此,他们很快提出了一种新的量子密码协议——BBM92[2]来改进E91协议。它实际上是BB84协议在纠缠态中的改进版本,拥有和BB84协议完全相同的无条件安全性。
由于本文算法引入了BBM92协议来传递抽取数字水印时所需的辅助信息,所以我们给出了该协议的步骤。其具体步骤可如下所示:
第一步:发送方Alice首先准备一系列的纠缠态EPR对(Einstein-Podolsky-Rosen)作为密钥传输的载体,该EPR对表示为|ø+>=(1/)(|0>|0>+|1>|1>)。然后,Alice保留纠缠对中的第一个粒子,然后将第二个粒子发送给接收方Bob。
第二步:Alice和Bob分别随机从两组正交基Bz={|0>,|1>}和Bx={|+>,|->}中选取一组正交基对自己所拥有的粒子进行测量。
第三步:Alice和Bob公开宣布自己测量所选用的测量基,根据公式(1),如果Alice和Bob所选的测量基相同,他们的测量结果就会满足一致性。这意味着他们可以藉此获得此次传输的共享密钥,如果所选的测量基不同,则说明此次的密钥分配传输失败,需要重新进行传输。
第四步:为了防止可能存在的窃听攻击,Alice和Bob在生密钥中随机选取部分的密钥比特进行公布来进行窃听检测。如果这些检测比特的错误率低于某个事先设定的阈值,则他们就可以通过进一步对生密钥进行纠错及保密放大来最终获得共享密钥。如果该错误率远高于设定的阈值,则说明有窃听者存在,密钥就需要重新进行传输。
BBM92协议是量子密码中用于实现如密钥分发或信息传递的一种重要协议。它可以有效保障所传输密钥或信息的无条件安全性。
2 半虚拟水印
虚拟水印[3]是一种只在逻辑上被完整嵌入,而实际上只有其少量或部分关键信息被嵌入的一种水印形式(也有可能无任何实际信息量嵌入)。它的存在与否只能通过其对应的抽取算法来相应地检测。虚拟水印可根据其实际嵌入量的大小,细分为两类:全虚拟水印和半虚拟水印。其中,在载体数据中无任何具体的数据修改就能被嵌入的数字水印称为全虚拟水印,而在载体数据中只有少量的数据修改而被嵌入的数字水印称为半虚拟水印[4]。选择全虚拟水印还是半虚拟水印主要取决于该数字水印所需要应对的实际环境和具体的性能要求。这里的全虚拟水印类似于零水印,而半虚拟水印则类似于传统水印,只是在容量和功能上有所区别。
虚拟水印思想的来源和数字水印技术的来源一样,主要源自于古代的隐写术。那时,人们为了设法在广泛存在的公共信道上实现秘密消息通讯,所采用的方法就是事先建立一套只有隐秘通讯者双方才了解的秘密规则对存在于公共信道上的秘密消息进行提取。这种秘密规则类似于近代密码学中的密码本。秘密规则定义在相应的密码本之上,只有拥有密码本且懂得相应提取规则的人才能对隐藏在报纸或杂志等公开信息媒体上的秘密消息进行提取。虚拟水印最主要的特征在于它的嵌入只会对载体数据进行少量的数据修改或者根本没有任何实际的数据修改。S.Sarkar和L.Tassiulas等人就在2005年提出一种可应用于无线传感器网络的新型数字水印算法,其基本思想与虚拟水印一致。该算法并不通过对载体数据进行任何修改来嵌入具体的数字水印,而只是通过对网络中处理的数据建立某种附加约束条件的方法来嵌入数字水印。这套约束条件主要由数据的误差范围、传输来源位置和相互之间的某种数学关系所组成。由此看来,虚拟水印也能被视为一种强制定义在某种特定数据基础之上的一套具体秘密规则或约束。
由虚拟水印的特点可知,对其进行安全有效地检测或抽取往往要比常规的水印检测或抽取需要更多的辅助信息(例如,其水印容量扩展所需要的随机序列生成器的构成及关键参数等,加密密钥、图像特征点的位置信息,约束规则或公式等关键信息都必须可靠存放起来以便后期的水印抽取或检测使用)。因此,从本质上讲,虚拟水印其实是一种隐秘的数字水印,其存在严重依赖水印的安全性保护。如果没有应用环境下的绝对传输安全性保障,虚拟水印的存在将很容易受到攻击,从而使得其水印的抽取或检测变的十分脆弱。然而,也正是因为它与安全性紧密联系的特点,使得它拥有一定的安全性和稳健性之间转换的能力,从而可以利用密码学中的技术成果来加强其安全性,达到用安全性换取稳健性的目的。此外,由于虚拟水印的特殊形式,它的嵌入对载体数据的影响是非常小的,甚至可以忽略不计,因此,基于它基础上的水印算法一般都会有非常好的透明性表现,从而也为水印拥有更好的稳健性以及容量上实现某种程度上的扩展打下坚实的基础。
3 本文数字水印算法
本文所提出的数字水印算法由三个部分组成:半虚拟水印构造系统,强稳健水印的嵌入系统,由经典和量子两种传输信道所组成的联合信道。
3.1 半虚拟水印构造系统
本文模型中选取半虚拟水印作为水印的基本构成形式,最后生成的在量子信道上传输的混合水印的流程图如图1:
图1 半虚拟水印的处理流程图
生成步骤可以简单描述如下:首先根据数字图像的特征信息生成原始水印,其中能加入拥有所有权的公司或者个人标识;然后使用Hash函数将长序列的原始水印序列转换为短序列的半虚拟水印(从某种角度来看,虚拟水印可以被视为原始水印的一个种子序列);接着,利用伪随机数生成器对半虚拟水印进行扩展容量得到扩展水印;最后,将对应于图像购买者或使用者身份的序列码混入原始水印序列,再和刚得到的扩展水印进行异或运算融合后得到混合水印。其中,原始水印代表了载体图像的特征信息以及所有者的版权信息,而中间出现的购买者或使用者的序列码类似于数字指纹可以用来显示购买者或使用者的身份ID,同时还可以作为某种形式的时间戳(以便应对模糊攻击)。另外,原始水印和半虚拟水印之间存在一个特定的Hash映射关系,对于以后抽取恢复出的原始水印可以用半虚拟水印进行有效验证。
值得注意的是:在这一过程中出现的原始水印的三种形式,只有半虚拟水印才会真正被某种稳健性水印算法嵌入到载体图像中。其中,混合水印将作为辅助信息进在量子信道中进行传输;而扩展水印只是它的一种中间形式。采用这样一套水印的构造系统的好处在于,水印只会被少量甚至是微量嵌入,从而使水印的稳健性和透明性之间的平衡能够达到比较完美的程度。
3.2 强稳健的水印嵌入系统
虽然已知水印的信息量嵌入很小,但也正因为如此,水印的稳健性必须非常好,能够抵御各种形式的攻击,包括共谋和伪水印攻击。因为在这一水印系统中,哪怕只有一个比特的水印信息丢失也会造成整个水印系统的失效。好在当前已拥有的水印算法中就有不少的优秀算法可以提供选择,除了共谋攻击和伪水印攻击以外,在不破坏载体图像可使用性的条件下,它们对各种水印攻击形式都有非常好的稳健性,能够很好的满足各种应用需求。例如空间域的Patch算法,转换域中的扩频水印算法等。以Patch算法为例,虽然它能够嵌入的信息量十分有限,只有一个比特,但它的实验表明这一算法对各种现有的攻击形式都有优异的抵御能力,考虑到任何攻击者都不会在可能毁掉载体图像的使用性的前提下对水印进行攻击,所以这一算法的稳健性可以被认为是绝对可靠的。在本文的水印模型条件下,Patch算法的优点可以最大程度的得以体现,而缺点却能得到最好的回避。因为半虚拟水印的水印信息很少,只是一个种子序列,所以只需对Patch算法进行简单的扩展就可以将它的应用到本文所提的水印模型中来。图2给出了一个简单的嵌入流程图:
图2 半虚拟水印的嵌入流程图
3.3 经典和量子两种传输信道所组成的混合通道
由于目前需要版权保护的数字媒体对象基本上都是通过经典信道进行传输,所以,经典信道在本模型中是主要传输信道。但是,由于经典信道容易受到各种攻击或干扰,安全性上也存在很大问题,需要引入可以拥有绝对安全性的量子信道对辅助信息进行有效传输,因此,我们把量子信道作为辅助信道。这样做的主要好处在于:基于量子信道的自身特点,只需建立一个小规模的密钥分配系统就可以有效替代经典信道中水印第三方公证系统。此外,引入量子信道还可为解决共谋攻击和伪水印攻击的问题提供有效帮助。经典信道和量子信道之间的配合传输示意图如图3所示,其中Alice和Bob,分别为版权所有者和产品使用者。
图3 经典信道和量子信道联合传输含水印图像的示意图
对于整体的量子水印模型而言,有效地实现预设的功能需要将上述的三个部分有机地结合在一起。图4我们给出了整个数字水印算法的工作流程图。本文数字水印算法的嵌入技术和抽取技术是相互可逆的,具体的步骤可以参见文后文献。
图4 量子水印模型的流程图
4 新型水印算法的性能分析
与传统的数字水印技术相比,本文的新型数字水印算法可以拥有以下多个优点:
4.1 实际应用的开销少
当前,由于很多国家还没有立法将数字水印视为一种有效的判定依据,因此如果想在应用层面利用水印技术对数字版权进行实用化的有效保护就必须建立一个可靠而且公正的第三方公证系统。这不仅仅体现在数字水印认证系统的整体构建上而且也反映在各种水印算法的安全性能保障上。然而,在现有的基础上建立和管理一个有效作用范围较大的第三方公证系统的费用和资源开销都十分巨大,这就严重阻碍了水印技术的推广和应用。正因为如此,本文算法通过引入量子信道使得原来必须依赖大规模公证系统才能较好实现的安全性保障可以藉由一套简单的多的联合信道以及量子密钥分发协议BBM92轻易实现。这极大地降低了水印算法在应用实现上的各种开销。
4.2 水印的性能优点
量子密钥技术的无条件安全性可以为解决数字水印中传统上的几种很难应对的攻击提供一种有效地应对方法。当前,水印算法最难抵御的三种水印攻击分别为共谋攻击,几何攻击和伪水印攻击。
共谋攻击:本文中采取的策略是实际嵌入完全相同的水印信息——半虚拟水印,这就使含水印图像的版本是唯一的。因为共谋攻击的基本要求就是要拥有多个不同的含水印图像版本来推测水印嵌入的位置进而对水印进行去除,所以,攻击者将由于无法满足共谋攻击的基本条件,从而失去实施这种攻击的可能;
几何攻击:由于可以对辅助信息进行安全地传输,几何攻击可以通过获取可靠的原始图像数据的方法来有效抵御几何攻击,此外通过在模型中选取特殊强稳健水印算法也能加强对这种水印攻击的有效抵御;
伪水印攻击:由于被嵌入的半虚拟水印本身含有图像的特征信息,水印和图像之间具有一种唯一的对应性,此外原始水印的抽取必须依赖个人的序列码和辅助信息中的混合水印加上半虚拟水印才能实现。从水印的验证性上讲,半虚拟水印和原始水印之间存在一个映射关系,知道哈希函数的版权所有者才能通过这两者的对应关系对水印的有效性进行验证,而非版权所有者自制的水印则不会具有这种可验证性,从而导致伪水印攻击的失效;此外,版权所有者在分发含水印图像时,会为每个接收者首先制备一个处于纠缠的EPR对。将其中一个粒子分发给合法接收者,而自己则保留另一个粒子。在这种条件下,利用量子的不可克隆性,可以有效保证接收者的身份有效性,即没有授权的盗用者即使自制了一个水印,但他们也会因为不知道准确的测量基从而无法对授权量子进行复制,进而导致伪水印攻击的失效。
5 结语
综上所述,本文提出的新型数字水印算法具有很好的安全性,非常稳健的水印性能保障及巨大的应用潜力。此外,算法中所提出的水印安全性和稳健性及透明性之间实现相互转换的思想还可以为数字水印技术的进一步发展提供一种新的发展思路。基于该发展思想基础上的水印算法可以具有很好的性能及广阔的应用前景。需要指出的是,本文算法需要面对的主要困难来自于量子信道部分的具体物理实现。而这取决于当前量子通信系统的实际发展情况。
当前,已出现了不少的成功量子通信应用实例。例如,英国国防研究部于1995年首先在30公里长的光纤中实现了基于BB84协议的量子密钥分发;1995年美国军方的洛斯阿拉莫斯(Los Alamos)国家实验室基于B92协议,在长达48km的地下光缆中成功实现了异地量子密钥的分配;2004年,郭光灿领导的研究小组在北京、天津之间成功实现125公里光纤中点对点的量子密钥分配,等等。但是,大范围量子网络系统乃至完备的量子信道的建立至今还是个急需解决的重点研发项目。因此,本文所提出的新型水印算法的应用在小范围内的应用是完全可以实现的,但其大规模的应用还尚需时日。好在发展量子技术的重要性早已为各国政府所认同,大规模的研发工作正在不断展开。因此,在可以想见的未来,随着量子技术的快速发展,本文数字水印算法必将因其应用基础的不断发展和完善而逐渐得到广泛地应用。
[1]A.K.Ekert.Quantum Cryptography Based on Bell's Theorem[J].Phys.Rev.Lett.,1991,(67)∶67-70.
[2]C.H.Bennett,G.Brassard,N.D.Mermin.Quantum Cryptography without Bell's Theorem[J].Phys.Rev.Lett.,1992,(68)∶68-71.
[3][4]瞿治国,金聪.一种稳健的可恢复双重数字水印技术[J].武汉大学学报(理学版),2007,(3)∶3-7.
