数字水印攻击方法

(2) 表示攻击：这种攻击并不一定要移去水印， 它的目标是对数据作一定的操作和处理， 使得检测器不能检测到水印的存在。一个典型 的例子是用这种方法愚弄 Internet上的自动侵 权探测器 Webcrawler 。这个探测器自动在网 上下载图片，然后根据水印检查有无侵权行为。 它的一个弱点是当图像尺寸较小时，会认为图 像太小，不可能包含水印。

（1 ）伪造水印的抽取：盗版者对于特定产品 X 生成的一个信号 W ＇使得检测算子 D 输出一个肯 定结果，而且W ＇是一个从来不曾嵌入产品 X 中 的水印信号，但盗版者把它作为自己的水印。 但是，如果算法 G 是不可逆的，并且 W ＇并不能 与某个密钥联系，即伪造水印W＇是无效的水印； 有效性和不可逆性的条件导致有效的伪造水印 的抽取几乎不可能。

另外，这种公证机制要求作者对每 一份原始作品都进行注册，不仅需
要一个庞大的数据库，更需要复杂 的协议来保证公证机构的绝对安全， 其代价是相当大的。
7.2.2.3 单向水印机制


考察解释攻击的第三步“攻击者 B 编码并注 册另一个水印，然后声称是他的作品，并且向仲 裁者提供原作品 Pb=Pa* － Wb” 。可见解释攻击 能够获得成功的一个关键因素是，攻击者B能够 通过从中提取水印来达到生成伪造的原作品的目 的。如果水印的嵌入机制具有单向性，那么必定 为攻击者伪造原作品造成很大的困难。反之，如 果水印方案是可逆的，攻击者就一定可以对其进 行攻击。 一个单向水印方案实现过程的描述如下：

(4)多重水印：攻击者可能会应用基本框 架的特性来嵌入他自己的水印，从而不 管攻击者还是产品的原始所有者都能用 自己的密钥检测出自己的水印。这时原 始所有者必须在发布他的产品前保存一 份他自己的加水印的产品，用备份产品 来检测发布出去的产品是否被加了多重 水印。
7.1.2 应用中的典型攻击方式

(4) 法律攻击：得益于关于版权及 数字信息所有权的法律的漏洞和不 健全，据此应健全相关法律条例和 公证制度，把数字水印作为电子证 据应用于版权的仲裁，其中涉及计 算机取证和纳证。
7.2 解释攻击及其解决方案

7.2.1 解释攻击
（1）水印仲裁：在发生版权纠纷时第三方对水 印真伪进行鉴别的过程。该过程主要由计算过 程和比较过程两大部分组成。当某作品需要仲 裁时，待仲裁作品的所有者需向仲裁者提供水 印（如果是非盲提取水印方案，则所有者还需 向仲裁者提供原作品）。
非对称体制(双钥体制) 主要具有以下优点:



1) 密钥数量大大减少； 2) 彻底消除了经特殊保密的密钥信 道分送密钥的困难； 3)便于实现数字签名。

对于数字水印而言，已有的技术绝大多 数都是对称体制：水印的加入和提取只 有发送一方掌握，接收方只有通过特殊 保密渠道获得原图和具体加入水印的算 法才能看到隐藏的数字信息—水印。虽 然该体制对发送方的鲁棒性很好，但对 于接收方(在电子商务中通常为最终用户) 却由于无法看到数字媒体中嵌入的有关 信息而处于被动的地位。那么，能否使 用非对称的数字水印呢？

但它同时也存在一个很大的缺陷：用户 想了解一幅图像的版权情况，则必须上 传该图像和有关信息，这在目前拥挤的 Internet 上而言，效率非常低；此外， 用户的查询结果必须要通过访问一个庞 大的“版权信息数据库”，势必造成低 效率和数据库的不安全性。
一种非对称数字水印的 可行性方案：
发送方用商家(Creator)来代替，接收方 用用户 (User) 来代替。在商家和用户之 间设立一个第三信任方 (Trusted Third Party,简称为ＴＴＰ )，它们之间的具体 联系分为以下3个阶段：

（ 1）鲁棒性攻击：在不损害图像使用价值的前 提下减弱、移去或破坏水印，也就是各种信号处 理操作，还有一种可能性是面向算法分析的。这 种方法针对具体的水印插入和检测算法的弱点来 实现攻击。攻击者可以找到嵌入不同水印的统一 原始图像的多个版本,产生一个新的图像。

大部分情况下只要简单的平均一下，就 可以有效的逼近原始图像，消除水印。 这种攻击方法的基础就是认识到大部分 现有算法不能有效的抵御多拷贝联合攻 击。(相当于上述一般分类方法中的统计 学水印抽取).

如果在攻击者B的伪造原始作品中能够检 测出攻击者的水印Wa，而在作者A的原 始作品Pa中无法检测出攻击者的水印 Wb (如图7.3所示)，则可以证明攻击者 的伪造原始作品是由作者的原始作品修 改得出的。
分析

在图7.3所示的情况下，公正机制有效的 阻止了解释攻击。但是，在相当多的情况下， 攻击者B可以构造水印和原始作品，使得在中 能够检测出，这样就将版权纠纷又一次引入 无法仲裁的状态之中，因此，简单的采取对 水印序列和原始图像注册公证的机制并不能 彻底解决由解释攻击引起的无法仲裁的版权 纠纷。

非对称数字水印，又称为公钥水印， 是指任何用户能够“看见”但又去 不掉的水印，但是它仍然是一种不 可见水印。那么，如何实现即让用 户“看见”而又隐藏于数字媒体的 数字水印呢?
实际商业模型中的水印实施架构，它 有两个主要特性： 1)够防止版权拥有者黑箱操作； 2)能够跟踪用户的使用情况,确认盗 版用户。
那么我们可以先把水印图像分割，使每 一小块图像的尺寸小于 Webcrawler 要 求的尺寸下限，再用合适的 HTML 标记 把小图像重组在 Web页中。这种攻击方 法一点也不改变图像的质量，但由于 Webcrawler 看到的只是单个的小图像， 所以它失败了。

(3) 解释攻击：这种攻击在面对检测到的水印证据 时，试图捏造出种种解释来证明其无效。 一种通用的方法是分析水印算法并逆其道而行。 攻击者先设计出一个自己的水印信号，然后从水印 图像中减去这个水印（不是指代数减，而是插入过 程的逆），这样就制造出一个虚假的原始图像，然 后他出示虚假的原始图像和捏造出的水印，声称他 是图像的拥有者。

由于个人难以产生可信的时戳，因此利 用时戳机制来解决解释攻击问题，首先 必须存在一个可信的时戳服务中心TSS。 下面是作者A向作品P中添加含时戳水印 一个例子的具体过程：

பைடு நூலகம்
影响水印Wa的检测，这样，当发生纠纷时， 提取出的(Ta,Siga(Ta)）能够证明A是在时 间 T 之前产生水印作品的 Pa* ，即水印 Wa 是在时间 T 之前被嵌入作品 Pa 的。而攻击 者 B得到传播中 Pa*，并创作出伪造作品的 时间必然滞后于T，这样就无法成功地进行 解释攻击。

由于该水印方案需要原始作品Pa来生成 序列S才能完成水印的嵌入，即只有已知 原始作品才能够嵌入水印，同样，已知 原始作品才能够提取水印。这样攻击者 就无法使用同样的方法直接从Pa*中提取 Wb 而逆向生成伪造的原作品Pb 。其中 λ 为水印镶嵌的强度参数。
单向数字水印具有以下一些优点：



由解释攻击所引起的无法仲裁的
版权纠纷的解决方案主要有三种：



第一种方法是引入时戳机制，从而确定 两个水印被嵌入的先后顺序； 第二种方法作者在注册水印序列的同时 对原始作品加以注册，以便于增加对原 始图像的检测； 第三种方法是利用单向水印方案消除水 印嵌入过程中的可逆性。
7.2.2.1 时戳机制

7.2.2.2 公证机制 利用公证机制来解决解释攻击引起的版权纠 纷，主要是指作者 A 在注册水印序列 Wa 的同 时， 也将原始作品 Pa 进行注册 ，在这样一种 机制下， 攻击者 B 也必须对他的水印 Wb 和伪 造原始作品 Pb 进行注册 。发生版权纠纷时， 当经过图 7.2所示的过程无法判定作品 Pa*的 所有权时，作者 A 可以要求仲裁者 J 对双方的 原始作品进行检测。
最简单的解释攻击过程如下：
(1) 作者 A创作出作品 Pa； 然后编码并注册 一个水印Wa，得到嵌有水印的作品 Pa*= Pa + Wa并将其公开。 (2) 当发生版权纠纷，需要对 Pa* 进行仲裁 时，A向仲裁者J提供Pa和Wa, J根据Pa* Pa 和 Wa执行仲裁水印过程，从而确定 Pa*中 是否嵌有A的水印Wa 。 (3) 攻击者B编码并注册另一个水印Wb,然 后声明Pa*是他的作品，并且向仲裁者提供 原作品Pb= Pa* － Wb 。
仲裁者由计算过程从待仲裁作品中计算 出待仲裁作品的特征值，然后由比较过 程将原作品特征值 W 和待仲裁作品特征 值相比较，根据其相似情况与阈值相比 较得出仲裁结果。这里所指的特征值在 大多数情况下是指水印本身，而特征值 的比较则为水印相关性的测量。某些水 印方案的特征值为由水印等信息计算出 的一个统计量，对应的特征值的比较则 为一个最大似然检测器。
7.2.2 抗解释攻击
发现大多数不可见、需原图的
数字水印方案主要有下面三方面的不足：



（1）大多数水印方案没有提供本质的方 法来检测两个水印中哪一个是先加上去 的； （2）由于水印注册时仅仅对水印序列进 行了注册，而没有对原作品进行注册， 使得攻击者可以伪造原作品； （3）由于水印嵌入方案具有可逆性，为 伪造水印提供了条件。
(1)可以对抗逆镶嵌水印伪造攻击，因此 在密码学意义上有较强的安全性。 (2) 用户的水印码字可以公开，这样就 不需要对仲裁者严格要求或一些复杂的 安全协议。 (3) 数字水印的镶嵌与鉴别过程方便， 版权所有者可以独立的添加水印而不需 要履行登记手续，鉴别时也不需要在数 据库中查找原因。
7.3一种抗解释攻击的 非对称数字水印实施框架

(2)伪造的肯定检测：盗版者运用一定的 程序找到某个密钥K＇能够使水印检测程 序输出肯定结果并用该密钥表明对产品 的所有权。但是，在水印能够以很高的 确定度检测时，即虚警概率几乎是零， 该攻击方法就不再可行。

(3) 统计学上的水印抽取：大量的数字图像 用同一密钥加入水印不应该能用统计估计方 法（例如平均）除去水印，这种统计学上的 可重获性可以通过使用依赖于产品的水印来 防止。-共谋攻击
分析可行性

这种利用时戳机制来解决解释攻击所引起的无 法仲裁的版权纠纷在理论上是可行的。但由于 A要向Pa中添加的信息除水印Wa外，另外增 加了水印作品的哈希值Q，A对Q的签名 Siga(Q)，时间T，以及TSS对（Q,Siga(Q),T） 的签名，这样对于一些较小作品可能会引起大 的失真。另外，这些信息的加入对水印的稳健 性也会有一定影响，而Wa的稳健性正是抵抗 解释攻击首先要予以保证的。因为，如果无法 检测出，那么时戳机制的使用也就失去了意义。

实验表明，真正拥有者原始图像中含有攻击 者捏造的水印的证据（即水印检测结果）与 攻击者虚假图像中含有真正拥有者水印的证 据旗鼓相当，这带来了无法解释的困境 (相 当于上述分类方法中的伪造水印的抽取) 。 当然，攻击者必须能够得到水印算法的细节 并捏造出一个合理的水印。

一个最有效的方法是设计出不可逆的水 印插入算法，例如引入不可逆的哈希过 程。但现行算法均不是完全不可逆的。 对于解释攻击还应该引入一种对水印的 管理机制，比如建立可信任的第三方作 为水印验证机构，用管理手段实现对水 印的仲裁。




(4)仲裁者J得出如下结论： 若A为原作者， Pa为原作品， Pa*上嵌有 水印Wa, Pb上嵌有水印Wa －Wb。 若B为原作者， Pb为原作品， Pa*上嵌有 水印Wb, Pa上嵌有水印Wb － Wa 。 以上两种结果完全对称。这样，J就无法 通过鉴别确定 Pa*上所嵌入的水印是 Wa 还是 Wb 所以也就无从区分版权所有者是A还是B， 引起无法仲裁的版权纠纷，解释攻击成功。
第七章 数字水印的攻击方法 和对抗策略



7.1 水印攻击 7.1.1 攻击方法分类 7.1.2 应用中的典型攻击方式 7.2 解释攻击及其解决方案 7.2.1 解释攻击 7.2.2 抗解释攻击 7.3一种抗解释攻击的非对称数字水印实 施框架
7.1.1 攻击方法分类

水印必须对一些无意的攻击具有鲁棒性， 也就是对那些能保持感官相似性的数字 处理操作具备鲁棒性，常见的操作有： （1）剪切； （2）亮度和对比度的修改 （3）增强、模糊和其他滤波算法； （4）放大、缩小和旋转； （5）有损压缩，如JPEG压缩； （6）在图像中加噪声。