石利芳　顏斌　孫曉紅

摘要：多媒體處理技術(shù)的發(fā)展使得對(duì)電子多媒體檔案的復(fù)制、篡改和傳播變得更加容易。如何有效檢測(cè)非法篡改？如何追蹤泄密檔案的泄密源？這些問(wèn)題給電子檔案的安全性提出了新的挑戰(zhàn)。針對(duì)該問(wèn)題，我們?cè)O(shè)計(jì)了基于數(shù)字水印技術(shù)的高校審計(jì)電子檔案安全系統(tǒng)。該系統(tǒng)通過(guò)多媒體信號(hào)處理技術(shù)，將一個(gè)加密后的標(biāo)志嵌入到數(shù)字多媒體檔案中，該標(biāo)志對(duì)檔案的使用者不可見(jiàn)，不影響正常使用。通過(guò)提取該標(biāo)記可以檢測(cè)檔案是否受到非法篡改，并可以定位篡改內(nèi)容。在檔案利用過(guò)程中，通過(guò)數(shù)字指紋技術(shù)，可追蹤泄密檔案的泄密源。本文在系統(tǒng)需求分析的基礎(chǔ)上，設(shè)計(jì)了系統(tǒng)框架，并結(jié)合前期研究成果實(shí)現(xiàn)了該系統(tǒng)的部分關(guān)鍵功能。分析和測(cè)試表明，該系統(tǒng)能夠有效抵抗非法篡改，檢測(cè)檔案的原始性，并能有效追蹤泄密檔案的泄密源。

關(guān)鍵詞：數(shù)字水??；審計(jì)檔案；系統(tǒng)

中圖分類號(hào)：G647 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1674-9324（2016）29-0017-03

一、引言

隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，社會(huì)信息以電子檔案的形式進(jìn)行存儲(chǔ)，其管理方式也逐步由傳統(tǒng)紙質(zhì)檔案管理模式轉(zhuǎn)變?yōu)樾畔⒒芾?，在信息化過(guò)程中，如何解決電子檔案的安全問(wèn)題，使信息技術(shù)在檔案管理中更好地發(fā)揮作用，成為當(dāng)今檔案理論和實(shí)務(wù)研究的中心問(wèn)題。

過(guò)去由紙墨、照相等形成和傳遞的高校公文、圖形、圖紙、圖書(shū)、文獻(xiàn)資料、商業(yè)信息圖像，都可以形成電子文件，主要類型有：文本文件、圖像文件、圖形文件影像文件、聲音文件、超媒體鏈接文件、數(shù)據(jù)庫(kù)文件程序文件等。與傳統(tǒng)檔案文件相比，電子檔案更加容易復(fù)制、修改，修改后不留任何痕跡。電子檔案文件的易更改性，給其檔案管理工作帶來(lái)紙質(zhì)文件所沒(méi)有的安全問(wèn)題。

檔案安全一般包括兩個(gè)部分：一是檔案信息的載體安全；二是檔案信息本身的安全。關(guān)于載體安全性已有比較充分的研究[1]，本文側(cè)重檔案信息自身的安全性。電子檔案的特性決定了電子檔案信息與傳統(tǒng)紙質(zhì)檔案相比，更容易被篡改，或者篡改痕跡很難被發(fā)現(xiàn)，檔案信息的載體也更不穩(wěn)定；這些因素隨時(shí)對(duì)電子檔案信息的原始性、完整性構(gòu)成威脅。在網(wǎng)絡(luò)環(huán)境下，檔案信息的安全保障問(wèn)題更為嚴(yán)峻。利用網(wǎng)絡(luò)進(jìn)行電子檔案的傳輸?shù)玫搅嗽絹?lái)越廣泛的應(yīng)用，也給人們的日常工作帶來(lái)了好處，但隨著應(yīng)用范圍的擴(kuò)大，也暴露出一些技術(shù)上的問(wèn)題：一是檔案在傳輸過(guò)程中，數(shù)據(jù)很容易被他人竊取。二是電子檔案在發(fā)送、接收、保管、歸檔時(shí)面臨病毒的威脅。傳統(tǒng)的檔案信息安全系統(tǒng)是建立在加密技術(shù)的基礎(chǔ)之上的[2]。例如采用基于對(duì)稱和非對(duì)稱加密技術(shù)的簽署技術(shù)，消息認(rèn)證技術(shù)，身份驗(yàn)證技術(shù)，防寫(xiě)措施等。上述這些技術(shù)對(duì)于防范電子文件在存儲(chǔ)、傳輸過(guò)程中的安全性、保密性都具有很好的效果。

基于傳統(tǒng)加密技術(shù)的檔案安全系統(tǒng)存在如下問(wèn)題。采用加密技術(shù)雖然能保護(hù)檔案的內(nèi)容，但是在檔案利用過(guò)程中往往需要解密，解密后的檔案數(shù)據(jù)與其安全信息相分離，對(duì)檔案不再具有任何保護(hù)性。例如在有些電子檔案系統(tǒng)中采用了基于消息認(rèn)證碼的防篡改措施[3]，由于消息認(rèn)證碼與檔案數(shù)據(jù)相分離，這種方案只適用于檔案?jìng)鬏斶^(guò)程中的篡改檢測(cè)，不能用于檔案利用過(guò)程中的篡改檢測(cè)。我們需要一種能夠?qū)⒄J(rèn)證信息與檔案數(shù)據(jù)緊密結(jié)合的認(rèn)證方案，數(shù)字水印技術(shù)能夠?qū)⒄J(rèn)證信息嵌入到檔案數(shù)據(jù)中，起到篡改檢測(cè)的作用，并且難以分離，對(duì)主動(dòng)攻擊具有良好的防護(hù)性?；谏鲜龇治?，我們?cè)谠O(shè)計(jì)高校審計(jì)電子檔案安全系統(tǒng)時(shí)，將數(shù)字水印技術(shù)與傳統(tǒng)加密技術(shù)有機(jī)結(jié)合，設(shè)計(jì)了基于水印技術(shù)的檔案信息安全系統(tǒng)。

二、系統(tǒng)需求分析

本文側(cè)重保護(hù)檔案在利用過(guò)程中的安全性，要設(shè)計(jì)該安全系統(tǒng)，首先需要分析系統(tǒng)的安全需求。本小節(jié)側(cè)重分析系統(tǒng)對(duì)安全服務(wù)的需求。關(guān)于加密部分的需求分析，可參考ITU-T提供的X.800方案，即可系統(tǒng)地分析系統(tǒng)存在的潛在攻擊、系統(tǒng)需要提供的安全服務(wù)，以及需要采用的安全機(jī)制[3]。在本系統(tǒng)設(shè)計(jì)中，針對(duì)審計(jì)電子檔案利用的特點(diǎn)，我們主要考慮到兩種服務(wù)需求：篡改檢測(cè)和定位以及泄密檔案泄密源追蹤。

使用現(xiàn)代圖像處理軟件，例如Photoshop或者專用篡改軟件等，攻擊者能輕易實(shí)現(xiàn)對(duì)電子檔案的篡改。例如修改原始審計(jì)記錄掃描圖像的特定區(qū)域，抹去或者修改對(duì)應(yīng)的數(shù)據(jù)等。針對(duì)該問(wèn)題，系統(tǒng)需具備防篡改機(jī)制：檢測(cè)圖像是否受到篡改，在什么位置發(fā)生了篡改。

部分保密檔案在利用過(guò)程中，會(huì)出現(xiàn)使用者不負(fù)責(zé)任而泄密或者惡意泄密。在泄密發(fā)生后，如何追蹤泄密源？這要求系統(tǒng)能將檔案使用者的身份與檔案副本相聯(lián)系。這樣，根據(jù)泄密的檔案副本可以逆向追蹤泄密源，這對(duì)于事后責(zé)任追究，以及事前預(yù)防都有積極作用。正如通過(guò)指紋能夠追蹤犯罪嫌疑人，這項(xiàng)技術(shù)又稱為數(shù)字指紋技術(shù)。

三、系統(tǒng)功能設(shè)計(jì)和實(shí)現(xiàn)

1.篡改檢測(cè)功能的設(shè)計(jì)和實(shí)現(xiàn)。篡改檢測(cè)功能是通過(guò)脆弱水印和半脆弱水印來(lái)實(shí)現(xiàn)的[4，5]。在電子檔案形成過(guò)程中，將一個(gè)加密后的標(biāo)記通過(guò)脆弱水印嵌入算法嵌入到圖像或其他多媒體檔案中，檢測(cè)器可以通過(guò)提取水印來(lái)判斷載體檔案是否受到了篡改。該系統(tǒng)的結(jié)構(gòu)示意圖如圖1所示。

在電子檔案的形成過(guò)程中，將脆弱水印經(jīng)過(guò)不可見(jiàn)水印嵌入器嵌入到電子檔案中，然后存入到存儲(chǔ)設(shè)備中。攻擊者會(huì)設(shè)法通過(guò)網(wǎng)絡(luò)篡改存儲(chǔ)設(shè)備中的電子檔案圖像，但同時(shí)也會(huì)破壞嵌入其中的脆弱水印。正常利用檔案之前，將含水印電子檔案從檔案存儲(chǔ)設(shè)備中提取出來(lái)，首先經(jīng)過(guò)水印檢測(cè)器處理以判斷檔案是否受到篡改，如果沒(méi)有篡改，則可正常使用檔案；如果檢測(cè)器提示檔案已經(jīng)被篡改，則啟動(dòng)取證程序以確定篡改位置。

作為該系統(tǒng)原型樣機(jī)的初步實(shí)現(xiàn)，我們采用了最低有效位水印算法來(lái)檢測(cè)篡改[6]。其基本思想是使用二值水印圖像替換檔案圖像每個(gè)象素的最低有效位。我們針對(duì)一副審計(jì)報(bào)告圖像測(cè)試了該算法的性能。測(cè)試結(jié)果如圖2至圖5所示。

由圖5提取的水印信號(hào)，能夠輕易辨別被篡改的區(qū)域。提取水印中也存在其他部分小區(qū)域的白色像素群，這是由于壓縮解壓縮誤差引起的。在壓縮率較大的情況下，我們不能采用簡(jiǎn)單的最低有效位水印算法，可以考慮采用一般量化指數(shù)調(diào)制算法。

2.泄密源追蹤功能的設(shè)計(jì)和實(shí)現(xiàn)?；谒〉男姑茉醋粉櫾谒⊙芯款I(lǐng)域又稱叛逆者追蹤。在國(guó)際電影節(jié)評(píng)獎(jiǎng)過(guò)程中，曾成功應(yīng)用叛逆者追蹤來(lái)追蹤在評(píng)獎(jiǎng)過(guò)程中由評(píng)委泄露的電影片斷，確定泄密責(zé)任人。叛逆者追蹤算法的基本思想是：在分發(fā)電子文檔副本時(shí)，將接收者的信息嵌入到該副本中。如圖6所示，例如分發(fā)給Bob的副本中嵌入水印信息Bob，分發(fā)給Alice的副本中，嵌入水印信息Alice。所采用的水印應(yīng)具有一定的魯棒性和安全性，從而攻擊者難以移除水印信息。這樣當(dāng)出現(xiàn)電子檔案信息泄露時(shí)，可以從所泄露的電子檔案中提取出水印信息，從而確定泄露源。

由于本項(xiàng)功能對(duì)數(shù)字水印的魯棒性要求較高，我們?cè)O(shè)計(jì)了基于擴(kuò)頻圖像水印的算法[4]。首先將圖像進(jìn)行小波變換，采用擴(kuò)頻算法調(diào)制水印信息后，在小波變換域?qū)⑺⌒盘?hào)疊加到檔案圖像的小波系數(shù)上。最后通過(guò)反變換獲得含水印圖像。水印檢測(cè)器采用相關(guān)檢測(cè)器，能有效抑制噪聲的影響。為抑制載體檔案對(duì)水印檢測(cè)的干擾，我們應(yīng)用了我們的最新研究成果：線性干擾抵消算法[7]。測(cè)試表明該算法能有效抵抗加性噪聲、幅度縮放、Gamma校正、重新量化等常見(jiàn)攻擊。

四、結(jié)論和討論

為解決高校審計(jì)檔案存儲(chǔ)和使用過(guò)程中潛在的篡改攻擊和保密檔案泄密問(wèn)題，本文設(shè)計(jì)了基于脆弱數(shù)字水印的篡改提示和定位子系統(tǒng)，基于魯棒數(shù)字指紋的泄密源追蹤子系統(tǒng)。實(shí)驗(yàn)測(cè)試表明該系統(tǒng)能有效定位篡改位置，并能夠從已泄密電子檔案圖像中提取責(zé)任人的身份信息。在前期研究的基礎(chǔ)上，我們將進(jìn)一步完善系統(tǒng)抗主動(dòng)攻擊的性能，例如抵抗幾何攻擊。另外，將拓展系統(tǒng)所支持的檔案載體種類，我們目前正致力于音視頻審計(jì)檔案的篡改檢測(cè)和數(shù)字指紋研究[7]。

參考文獻(xiàn)：

[1]張艷欣，李穎賈，賈慧娟.高校數(shù)字聲像檔案信息安全保障研究[J].蘭臺(tái)世界，2010，（9）：18-19

[2]王茹熠.數(shù)字檔案信息安全防護(hù)對(duì)策分析[D].哈爾濱：黑龍江大學(xué)，2009.

[3]William Stallings.Cryptography and Network Security（4th edition）.Publishing House of Electronics Industry，2006.

[4]Bin Yan，Zhe-ming Lu and Sheng-he Sun，Security of Autoregressive Speech Watermarking Model Under Guessing Attack[J].IEEE Transactions on Information Forensics and Security，2006，1（3）：386-390.

[5]雷曉蓉，劉琬欣.數(shù)字水印技術(shù)及在檔案利用工作中的應(yīng)用[J].黑龍江檔案，2004，（3）：46-47

[6]J. Cox，M. L.Miller and J. A. Bloom. Digital Watermarking. Morgan Kaufmann Publishers，2002.

[7]王小明，顏斌，呂文紅.基于線性干擾抵消的擴(kuò)頻語(yǔ)音信息隱藏算法[J].計(jì)算機(jī)應(yīng)用，2010，30（7）：1821-1824.