六安市中醫(yī)院出入院管理科 王曉軍

數(shù)字印章技術(shù)研究

六安市中醫(yī)院出入院管理科 王曉軍

圖像信息隱藏技術(shù)很多，基于混沌序列的LSB技術(shù)可以使得圖像0、1低位隨機均勻分布，去除統(tǒng)計的不對稱性，并且載有秘密信息的圖像和原始圖像的直方圖異常得到較好的改善，可以更好地實現(xiàn)盲提取。

混沌序列；LSB；圖像；隱藏

1.數(shù)字印章的需求和背景

電子商務(wù)中，通過Internet進行貿(mào)易時，協(xié)議、合同、要約都是以電子公文的形式存在，而不是傳統(tǒng)意義上的“白紙黑字”了。如何才能確保接收到的電子公文式真實、準確、完整的呢？

同樣，在電子政務(wù)中，大量的公文、證件、批示、請示、管理、決策等機密信息以各種常用的電子文檔第形式存在。如何才能真正拋棄將電子文檔打印后紙上簽章的傳統(tǒng)思維，實現(xiàn)完全意義的無紙化電子政務(wù)呢？要想實現(xiàn)電子商務(wù)、電子政務(wù)乃至軍事信息化辦公平臺，必須實現(xiàn)安全、可靠、便捷的數(shù)字形式的簽名，并在法律上賦予同傳統(tǒng)印章相同的地位。目前，國內(nèi)外普遍采用經(jīng)典意義上的“數(shù)字簽名”技術(shù)來保證文檔內(nèi)容的完整性和簽署者身份的證明。利用數(shù)字簽名技術(shù)可以保證電子文檔的完整性和不可抵賴性，但其缺點是一般用戶不易理解，可視文化程度有待提高。

如能將數(shù)字簽名以“數(shù)字水印”的方式隱藏在印章圖片當中，則可以使印章顯得更為直觀，更貼近實際。數(shù)字水印和數(shù)字簽名相結(jié)合產(chǎn)生的數(shù)字印章技術(shù)為安全便捷的電子公文認證的實現(xiàn)提供了新思路：文件發(fā)送方在Word、Excel、PDF等各類電子文檔上中加上數(shù)字印章；驗證方可通過驗證模塊，精確鑒別文件發(fā)送方的身份以及文件內(nèi)容的真實性與完整性。

2.數(shù)字印章與傳統(tǒng)數(shù)字簽名的區(qū)別

數(shù)字印章與傳統(tǒng)的數(shù)字簽名相比，具有以下突出優(yōu)勢：

(1)數(shù)字簽名信息是明文傳輸?shù)?，而?shù)字印章結(jié)合數(shù)字水印技術(shù)，將數(shù)字簽名信息隱藏在印章圖片中，增強了簽名的安全性。

(2)數(shù)字印章將數(shù)字簽名以印章圖片的形式直觀顯示，簽蓋印章的過程如同傳統(tǒng)意義上的蓋章，符合人們的使用習慣。

(3)數(shù)字印章中應(yīng)用數(shù)字水印，解決了電子文檔和物理文檔的矛盾。簽蓋了數(shù)字印章的文檔所打印出來的物理文檔，重新掃描之后形成電子文檔，使用水印檢測工具，仍然能夠?qū)⒂≌聢D片中的數(shù)字簽名信息提取出來，從而進行有效認證。

在數(shù)字印章產(chǎn)品逐漸走向成熟的同時，也有一些非常重要的問題值得重視：

(1)數(shù)字印章產(chǎn)品作為重要的信息安全產(chǎn)品，缺乏有效統(tǒng)一的規(guī)范管理。

(2)缺乏行業(yè)技術(shù)標準，這些產(chǎn)品沒有統(tǒng)一的技術(shù)標準和規(guī)范，缺乏統(tǒng)一的數(shù)據(jù)和應(yīng)用接口標準。

(3)數(shù)字印章產(chǎn)品本身的安全性應(yīng)該得到權(quán)威部門的統(tǒng)一認證。

3.數(shù)字印章的技術(shù)實現(xiàn)

數(shù)字印章系統(tǒng)通過一套標準化、規(guī)范化的軟硬結(jié)合系統(tǒng)，使用戶可以在電子文件上完成簽字蓋章。與傳統(tǒng)的簽字蓋章類似，需要解決否認、偽造、篡改及冒充等問題。具體的要求如下：

(1)發(fā)送者事后不能否認電子公文的數(shù)字印章。

(2)接收者能夠核實發(fā)送者發(fā)送的電子公文的數(shù)字印章。

(3)接收者不能偽造發(fā)送者的電子公文的數(shù)字印章。

(4)接收者不能對發(fā)送者的電子公文進行篡改。

(5)某一用戶不能冒充另一用戶作為發(fā)送者。

因此，數(shù)字印章并非是傳統(tǒng)千字蓋章的數(shù)字圖像化，而是一種融合了數(shù)字簽名、PKI、數(shù)字水印等多種信息安全技術(shù)的數(shù)字產(chǎn)品。數(shù)字印章的實現(xiàn)需要以下技術(shù)支撐：

(1)數(shù)字簽名技術(shù)

數(shù)字簽名是不對稱加密算法的典型應(yīng)用，它就是附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對數(shù)據(jù)單元所作的密碼變換，這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者用以確認數(shù)據(jù)單元的來源和數(shù)據(jù)單元的完整性并保護數(shù)據(jù)，防止被人偽造。一個數(shù)字簽名，就是一段被發(fā)送者的私鑰加密的數(shù)據(jù)段，而接收者只有擁有發(fā)送者的公鑰才能解密這個數(shù)據(jù)段。完整的數(shù)字簽名過程包括簽名和驗證兩部分。在數(shù)字印章系統(tǒng)中，簽名者對電子報文的摘要采用私鑰加密后作為數(shù)字簽名，并采用數(shù)字水印嵌入算法融入印章圖像中。

(2)PKI技術(shù)

PKI是建立在公鑰密碼體制和先進的密鑰管理基礎(chǔ)之上的為網(wǎng)絡(luò)安全提供認證服務(wù)的基礎(chǔ)設(shè)施。它能夠為所有網(wǎng)絡(luò)應(yīng)用透明地提供采用加密和數(shù)字簽名等密碼服務(wù)所必須的密鑰和證書管理。PKI由認證機關(guān)(CA)、證書庫、密鑰備份及恢復服務(wù)、證書作廢處理服務(wù)、客戶端證書處理系統(tǒng)等基本要素組成。在數(shù)字印章系統(tǒng)中，CA認證中心既是傳統(tǒng)印章系統(tǒng)中的仲裁機構(gòu)，又是PKI證書的簽發(fā)機構(gòu)，它是數(shù)字印章系統(tǒng)的核心機構(gòu)。CA的數(shù)字簽名保證了數(shù)字印章的合法性和權(quán)威性。

(3)數(shù)字水印技術(shù)

采用數(shù)字水印技術(shù)可將簽名信息以水印的形式嵌入到印章圖像中，將簽名水印信息和電子公文自然融合。較之一般的數(shù)字簽名，有其固有優(yōu)勢：①安全可靠。數(shù)字簽名信息是明文傳輸?shù)模鴶?shù)字印章結(jié)合數(shù)字水印技術(shù)，將數(shù)字簽名信息隱藏在印章圖片中，增強了簽名的安全性。②直觀形象。數(shù)字印章將數(shù)字簽名以印章圖片的形式直觀顯示，簽蓋印章的過程如同傳統(tǒng)意義上的蓋章，更符合使用習慣。③訪問控制。與訪問控制結(jié)合，可有效控制電子公文的訪問、修改與打印權(quán)限，并在公共數(shù)據(jù)庫中存儲了數(shù)字印章加蓋記錄、修改記錄以及公文的打印記錄。

目前，數(shù)字印章多采用魯棒性水印作為底層水印嵌入版權(quán)和簽名信息，以保證版權(quán)信息提取的準確性。也可再將脆弱水印嵌入印章圖片，是印章的第二層水印，為印章圖像提供完整性認證保護。

簽章方用戶加蓋數(shù)字印章的過程如下：

(1)簽章方用戶根據(jù)摘要算法生成原始電子公文的摘要。

(2)簽章方用戶從證書中提取自己的私鑰，采用非對稱加密算法將摘要加密，對原始電子公文進行數(shù)字簽名。

(3)簽章方用戶提取自己的印章圖像，采用數(shù)字水印技術(shù)將(2)中的數(shù)字簽名作為水印信息嵌入到印章圖像中。

(4)簽章方用戶將印章圖像嵌入到原始電子公文中，得到簽章后的電子公文。

驗證方用戶的認證過程如下：

(1)驗證方用戶從簽章后的電子公文中提取印章。

(2)驗證方用戶采用數(shù)字水印提取算法從印章中提取簽名信息。

(3)驗證方用戶利用獲取簽章用戶的公鑰，解密簽名信息得到摘要。

(4)驗證方用戶根據(jù)摘要算法生成電子公文的摘要。

(5)驗證方用戶對比(3)和(4)中生成的摘要，如果二者匹配則電子公文合法；否則，電子公文不合法。

4.數(shù)字印章實現(xiàn)要點

與一般的數(shù)字水印相比，數(shù)字印章所采用的數(shù)字水印技術(shù)具有以下突出特點：

(1)安全性要求高

印章中的水印存儲的信息是公文的數(shù)字簽名、簽署時間、簽署者信息等重要內(nèi)容。在數(shù)字印章公開暴露的情況下，要防止非法用戶篡改甚至移除簽章信息。

(2)魯棒性要求高

印章圖像要能經(jīng)受非法打擊。部分場合甚至要求打印后重掃描的印章圖像仍然能夠?qū)倪M行認證。

(3)正確率要求高

水印提取時，必須保證提取的信息達到0比特誤差。

在數(shù)字印章中，水印信息就是數(shù)字簽名信息、進行簽名認證所必要的信息、版權(quán)信息，通常包括以下主要內(nèi)容：

(1)數(shù)字簽名信息

隱藏到水印當中的數(shù)字簽名字段內(nèi)容，就是對文檔進行散列這之后再采用非對稱加密得到的數(shù)字簽名信息。目前，采用的主流算法是MD5算法得到128位摘要。

(2)簽名者身份標識

為了讓驗證用戶知道蓋章蓋章人的身份，需要在水印信息中包含身份標識字段。該字段預留64位。

(3)蓋章時間

印章簽蓋的時間是水印信息的重要組成部分。該部分信息是一個DateTime型，即64位。

3個字段總長度為256位，然后采用RSA加密算法生成印章的數(shù)字簽名，得到的信息位為256位。

5.小結(jié)

在常見的電子印章解決方案中，經(jīng)常把私鑰和印章置于USB Key中。該USB Key帶有內(nèi)部計算功能，并可將密鑰和印章存儲在安全存儲區(qū)中，保證密鑰永不出USB Key。摘要信息輸入給USB Key后，USB Key對摘要信息進行簽名計算后輸出簽名信息。這種方式的優(yōu)勢在于安全性高、成本低、攜帶方便。

[1]付兵.一種增加LSB信息隱藏量的方法[J].長江大學學報(自然版),2009,3(4):73-74.

[2]司銀女,康寶生.一種自適應(yīng)的數(shù)字圖像信息隱藏算法[J].計算機應(yīng)用與軟件,2011,25(9):49-50.

[3]陳燕梅.數(shù)字圖像加密與信息隱藏的研究[D].福建師范大學,2012.

[4]王炳錫,彭天強.信息隱藏技術(shù)[M].國防工業(yè)出版社,2011.

王曉軍（1965—），男，安徽六安人，電子信息工程師，主要研究方向：電子信息技術(shù)。