数字水印攻击方法和对抗策略方案.ppt

1 第七章 数字水印的攻击方法 和对抗策略 n7.1 水印攻击 7.1.1 攻击方法分类 7.1.2 应用中的典型攻击方式 n7.2 解释攻击及其解决方案 7.2.1 解释攻击 7.2.2 抗解释攻击 n7.3一种抗解释攻击的非对称数字水印实施框架 2 7.1.1 攻击方法分类 n水印必须对一些无意的攻击具有鲁棒性，也就是对那些能 保持感官相似性的数字处理操作具备鲁棒性，常见的操作 有： （1）剪切； （2）亮度和对比度的修改 （3）增强、模糊和其他滤波算法； （4）放大、缩小和旋转； （5）有损压缩，如JPEG压缩； （6）在图像中加噪声 3 有意攻击分类 n（1）伪造水印的抽取：盗版者对于特定产品X生成的一个信号W＇使 得检测算子D输出一个肯定结果，而且W＇是一个从来不曾嵌入产品X 中的水印信号，但盗版者把它作为自己的水印但是，如果算法G是 不可逆的，并且W＇并不能与某个密钥联系，即伪造水印W＇是无效 的水印；有效性和不可逆性的条件导致有效的伪造水印的抽取几乎不 可能 n(2)伪造的肯定检测：盗版者运用一定的程序找到某个密钥 K＇能够使水印检测程序输出肯定结果并用该密钥表明对 产品的所有权。

但是，在水印能够以很高的确定度检测时 ，即虚警概率几乎是零，该攻击方法就不再可行 4 n(3)统计学上的水印抽取：大量的数字图像用同一密钥加入 水印不应该能用统计估计方法（例如平均）除去水印，这 种统计学上的可重获性可以通过使用依赖于产品的水印来 防止 有意攻击分类 n(4)多重水印：攻击者可能会应用基本框架的特性来嵌入他 自己的水印，从而不管攻击者还是产品的原始所有者都能 用自己的密钥检测出自己的水印这时原始所有者必须在 发布他的产品前保存一份他自己的加水印的产品，用备份 产品来检测发布出去的产品是否被加了多重水印 5 7.1.2 应用中的典型攻击方式 n（1）鲁棒性攻击：在不损害图像使用价值的前提下减弱 、移去或破坏水印，也就是各种信号处理操作，还有一种 可能性是面向算法分析的这种方法针对具体的水印插入 和检测算法的弱点来实现攻击攻击者可以找到嵌入不同 水印的统一原始图像的多个版本,产生一个新的图像 n大部分情况下只要简单的平均一下，就可以有效的逼近原 始图像，消除水印这种攻击方法的基础就是认识到大部 分现有算法不能有效的抵御多拷贝联合攻击相当于上述 一般分类方法中的统计学水印抽取). 6 n(2) 表示攻击：这种攻击并不一定要移去水印，它的目标是 对数据作一定的操作和处理， 使得检测器不能检测到水印 的存在。

n一个典型的例子是用这种方法愚弄Internet上的自动侵权探 测器Webcrawler这个探测器自动在网上下载图片，然后 根据水印检查有无侵权行为它的一个弱点是当图像尺寸 较小时，会认为图像太小，不可能包含水印那么可以先 把水印图像分割，使每一小块图像的尺寸小于Webcrawler 要求的尺寸下限，再用合适的HTML标记把小图像重组在 Web页中这种攻击方法一点也不改变图像的质量，但由 于Webcrawler看到的只是单个的小图像，所以它失败了 7.1.2 应用中的典型攻击方式（续） 7 n(3) 解释攻击：这种攻击在面对检测到的水印证据时，试图 捏造出种种解释来证明其无效 一种通用的方法是分析水印算法并逆其道而行攻击者先 设计出一个自己的水印信号，然后从水印图像中减去这个水 印（不是指代数减，而是插入过程的逆），这样就制造出一 个虚假的原始图像，然后他出示虚假的原始图像和捏造出的 水印，声称他是图像的拥有者 7.1.2 应用中的典型攻击方式（续） 8 7.1.2 应用中的典型攻击方式（续） 实验表明，真正拥有者原始图像中含有攻击者捏造的水印 的证据（即水印检测结果）与攻击者虚假图像中含有真正 拥有者水印的证据旗鼓相当，这带来了无法解释的困境 ( 相当于上述分类方法中的伪造水印的抽取) 。

当然，攻击 者必须能够得到水印算法的细节并捏造出一个合理的水印 一个最有效的方法是设计出不可逆的水印插入算法，例如 引入不可逆的哈希过程但现行算法均不是完全不可逆的 对于解释攻击还应该引入一种对水印的管理机制，比如 建立可信任的第三方作为水印验证机构，用管理手段实现 对水印的仲裁 9 n (4) 法律攻击：得益于关于版权及数字信息所有权的法律 的漏洞和不健全，据此应健全相关法律条例和公证制度 ，把数字水印作为电子证据应用于版权的仲裁，其中涉 及计算机取证和纳证 7.1.2 应用中的典型攻击方式（续） 10 7.2 解释攻击及其解决方案 n7.2.1 解释攻击 （1）水印仲裁：在发生版权纠纷时第三方对水印真伪进行鉴别的过 程该过程主要由计算过程和比较过程两大部分组成当某作品 需要仲裁时，待仲裁作品的所有者需向仲裁者提供水印（如果是 非盲提取水印方案，则所有者还需向仲裁者提供原作品） 仲裁者由计算过程从待仲裁作品中计算出待仲裁作品的特征值 W’ ，然后由比较过程将原作品特征值W和待仲裁作品特征值W’ 相比较，根据其相似情况与阈值相比较得出仲裁结果 这里所指的特征值在大多数情况下是指水印本身，而特征值的 比较则为水印相关性的测量。

某些水印方案的特征值为由水印等 信息计算出的一个统计量，对应的特征值的比较则为一个最大似 然检测器 11 12 解释攻击 (2)解释攻击：属于协议层的攻击，它以设计出一种情况 来阻止版权所有者对所有权的断言为目的最初的解释攻 击是对不可见、需原作品水印的仲裁阶段进行的 这样的水印在仲裁时，仲裁者根据待仲裁作品与原作品 的差别来对水印进行仲裁这样的仲裁过程存在着一种漏 洞，解释攻击者正是利用了这一漏洞对数字水印的仲裁过 程进行攻击，使得仲裁者无法对作品的所有权作出正确判 断 13 解释攻击过程 14 解释攻击过程（续） (1) 作者A创作出作品Pa；然后编码并注册一个水印Wa， 得到嵌有水印的作品 Pa*= Pa + Wa 并将其公开 (2) 当发生版权纠纷，需要对Pa*进行仲裁时，A向仲裁者J 提供Pa和Wa, J根据Pa*，Pa 和 Wa执行仲裁水印过程，从 而确定Pa*中是否嵌有A的水印Wa (3) 攻击者B编码并注册另一个水印Wb,然后声明Pa*是他的 作品，并且向仲裁者提供原作品 Pb= Pa* － Wb 。

15 解释攻击过程（续） (4)仲裁者J得出如下结论： • 若A为原作者，Pa为原作品， Pa*上嵌有水印Wa, Pb上 嵌有水印Wa －Wb • 若B为原作者，Pb为原作品， Pa*上嵌有水印Wb, Pa上 嵌有水印Wb － Wa 以上两种结果完全对称这样，J就无法通过鉴别确定 Pa*上所嵌入的水印是Wa 还是Wb 所以也就无从区分版权 所有者是A还是B，引起无法仲裁的版权纠纷，解释攻击成 功 16 7.2.2 抗解释攻击 n大多数不可见、需原图的数字水印方案主要有下面三方面 的不足： （1）大多数水印方案没有提供本质的方法来检测两个水 印中哪一个是先加上去的； （2）由于水印注册时仅仅对水印序列进行了注册，而没 有对原作品进行注册，使得攻击者可以伪造原作品； （3）由于水印嵌入方案具有可逆性，为伪造水印提供了 条件 17 由解释攻击所引起的无法仲裁的 版权纠纷的解决方案主要有三种： n第一种方法是引入时戳机制，从而确定两个水印被嵌入的 先后顺序； n第二种方法作者在注册水印序列的同时对原始作品加以注 册，以便于增加对原始图像的检测； n第三种方法是利用单向水印方案消除水印嵌入过程中的可 逆性。

18 7.2.2.1 时戳机制 n数字时戳是一种時间服务的认证，它可以为任何电子文件 ，包括任何格式的电子资料或內容，它可以提供准确的实 践证明，最主要的目的，是以公正第三者的角色提供“某 一份资料在某一时间点就已經存在”的证明，是建立不可 否任性的重要機制 n在数字水印嵌入过程中，如果合理使用时戳机制，就能够 轻易判定哪一个水印是被先添加上去的，也就解决了解释 攻击所引起的版权纠纷无法判决的问题在这种情况下， 时戳所起的作用只是要证明作者在某个时间之前为作品加 入了水印，而无需证明水印是在哪个时间之后被加入的 n由于个人难以产生可信的时戳，因此利用时戳机制来解决 解释攻击问题，首先必须存在一个可信的时戳服务中心 TSS 19 7.2.2.1 时戳机制-添加含时戳水印具体过程 20 n由于用干版权保护的水印要求具有一定的稳健性，因此向Pa*加 入(Ta,Siga(Ta)）不会影响水印Wa的检测，当发生纠纷时，提取 出的(Ta,Siga(Ta)）能够证明A是在时间T之前产生水印作品的 Pa*，即水印Wa是在时间T之前被嵌入作品Pa的而攻击者B得到 传播中Pa*，并创作出伪造作品的时间必然滞后于T，这样就无法 成功地进行解释攻击。

n这种利用时戳机制来解决解释攻击所引起的无法仲裁的版权纠纷 在理论上是可行的但由于A要向Pa中添加的信息除水印Wa外 ，另外增加了水印作品的哈希值Q，A对Q的签名Siga(Q)，时间 T，以及TSS对（Q,Siga(Q),T）的签名，这样对于一些较小作品 可能会引起大的失真另外，这些信息的加入对水印的稳健性也 会有一定影响，而Wa的稳健性正是抵抗解释攻击首先要予以保 证的因为，如果无法检测出，那么时戳机制的使用也就失去了 意义 7.2.2.1 时戳机制-可行性 21 7.2.2.2 公证机制 n利用公证机制来解决解释攻击引起的版权纠纷，主要是指 作者A在注册水印序列Wa的同时，也将原始作品Pa进行 注册，在这样一种机制下，攻击者B也必须对他的水印Wb 和伪造原始作品Pb进行注册发生版权纠纷时，当经过图 7.2所示的过程无法判定作品Pa*的所有权时，作者A可以 要求仲裁者J对双方的原始作品进行检测 22 7.2.2.2 公证机制（续） n如果在攻击者B的伪造原始作品Pb中能够检测出攻击者的 水印Wa，而在作者A的原始作品Pa中无法检测出攻击者的 水印 Wb(如图7.3所示)，则可以证明攻击者的伪造原始作 品是由作者的原始作品修改得出的。

23 7.2.2.2. 公证机制-分析 在图7.3所示的情况下，公正机制有效的阻止了解释攻击但 是，在相当多的情况下，攻击者B可以构造水印Wb和原始作 品Pb ，使得在Pa中能够检测出Wb ，这样就将版权纠纷又一 次引入无法仲裁的状态之中，因此，简单的采取对水印序列 和原始图像注册公证的机制并不能彻底解决由解释攻击引起 的无法仲裁的版权纠纷 另外，这种公证机制要求作者对每一份原始作品都进行注册 ，不仅需要一个庞大的数据库，更需要复杂的协议来保证公 证机构的绝对安全，其代价是相当大的 24 7.2.2.3 单向水印机制 n 考察解释攻击的第三步“攻击者B编码并注册另一个水印 ，然后声称是他的作品，并且向仲裁者提供原作品Pb=Pa* －Wb”可见解释攻击能够获得成功的一个关键因素是， 攻击者B能够通过从中提取水印来达到生成伪造的原作品的 目的如果水印的嵌入机制具有单向性，那么必定为攻击 者伪造原作品造成很大的困难反之，如果水印方案是可 逆的，攻击者就一定可以对其进行攻击 25 7.2.2.3 单向水印机制_单向水印方案实现过程 26 单向数字水印优点： 由于该水印方案需要原始作品Pa来生成序列S才能完成水 印的嵌入，即只有已知原始作品才能够。