梁偉東，張新長2,，奚旭，張鵬程

(1.中山大學(xué)地理科學(xué)與規(guī)劃學(xué)院，廣東 廣州 510275; 2.廣州大學(xué)地理科學(xué)學(xué)院，廣東 廣州 510006；3. 廣州市城市規(guī)劃勘測設(shè)計研究院，廣東 廣州 510060)

矢量地理數(shù)據(jù)具有精度高、更新快等優(yōu)點，已被廣泛用于國防科技、經(jīng)濟發(fā)展等各方面。同時矢量地理數(shù)據(jù)制作成本高、易于非法傳播與篡改，對其版權(quán)保護與內(nèi)容認證一直是信息安全領(lǐng)域的重點，其中數(shù)字水印技術(shù)是一種較為有效的手段[1]?，F(xiàn)有的矢量地理數(shù)據(jù)數(shù)字水印研究，一般只針對版權(quán)保護或內(nèi)容認證，若將兩者相結(jié)合，對于矢量地理數(shù)據(jù)的保護將更為全面與高效，而多重水印技術(shù)目前是較好的實現(xiàn)方式。但現(xiàn)有的矢量地理數(shù)據(jù)多重水印算法主要用于版權(quán)保護[2-4]，能同時提供版權(quán)保護與內(nèi)容認證的多重水印算法很少，其主要原因是：用于版權(quán)保護的水印需要強魯棒性，而用于內(nèi)容認證的水印強調(diào)敏感性，如何保證兩種水印有效且互不影響是一個難點。隨著數(shù)字水印技術(shù)的發(fā)展，零水印作為一種不對原始數(shù)據(jù)進行修改的新的數(shù)字水印技術(shù)[5]，具有優(yōu)異的高保真度，為解決上述問題提供新的思路：利用零水印算法或相關(guān)無損嵌入技術(shù)使兩種水印相互獨立，二者既能正常生效又避免產(chǎn)生影響。

在版權(quán)保護方面，矢量地理數(shù)據(jù)零水印算法已有相關(guān)應(yīng)用，算法的關(guān)鍵是提取與數(shù)據(jù)載體緊密相關(guān)的特征信息，包括：數(shù)據(jù)整體的各層次拓撲結(jié)構(gòu)[6]與各類統(tǒng)計信息[7]；數(shù)據(jù)各部分特征點，通過特定方法[8]構(gòu)造出的角度序列[9]、距離序列[10]、比值序列[11]和特征點平均坐標[12]等信息；以及屬性信息中的要素編碼序列等[13]。各種零水印算法對幾何攻擊、數(shù)據(jù)壓縮和裁剪等水印攻擊均具有一定的魯棒性，但由于特征信息穩(wěn)定性不一，魯棒性與安全性存在一定差異。在內(nèi)容認證方面，利用脆弱水印對矢量地理數(shù)據(jù)進行精確認證，可判別數(shù)據(jù)是否完整或發(fā)生變化，并定位被篡改的數(shù)據(jù)到相應(yīng)的數(shù)據(jù)塊、組[14-16]或節(jié)點上[17, 18]。但是，現(xiàn)有算法中較少能實現(xiàn)水印無損嵌入，可逆水印技術(shù)[19]雖然可以無損恢復(fù)數(shù)據(jù)，但是當攻擊者篡改恢復(fù)后的數(shù)據(jù)，脆弱水印技術(shù)則無法有效應(yīng)對，因此，目前較為缺乏一種能為矢量地理數(shù)據(jù)持續(xù)提供精確認證且無損嵌入的脆弱水印。

基于此，本文提出一種兼顧版權(quán)保護與內(nèi)容認證的多重水印算法：首先對矢量圖元節(jié)點數(shù)據(jù)進行分塊，針對版權(quán)保護，本文分別利用道格拉斯算法和Delaunay三角網(wǎng)提取特征點和特征信息，結(jié)合Arnold置亂算法，設(shè)計一種魯棒性強、容量大、安全性高的高保真零水印算法；針對精確認證，本文通過空間排序與零比特動態(tài)擴展，設(shè)計一種精確定位到點的無損嵌入的脆弱水印。本算法通過實現(xiàn)多重水印的無損嵌入，達到兩種水印之間互不影響的目的，有效解決了前文提出的問題，有助于全面而高效地保護矢量地理數(shù)據(jù)。

1 多重水印算法設(shè)計

1.1 技術(shù)路線

本文多重水印算法以矢量圖元節(jié)點數(shù)據(jù)為基礎(chǔ)，水印構(gòu)造與水印提取檢驗流程如圖1和圖2所示。

在數(shù)據(jù)分塊的基礎(chǔ)上進行多重水印構(gòu)造，通過在每個分塊中嵌入水印信息，增加水印的個數(shù)，可提高魯棒水印抵抗裁剪攻擊的能力以及脆弱水印定位被篡改數(shù)據(jù)的效率與精度。本文選取點約束分塊法[16]對數(shù)據(jù)進行分塊，該方法在面積四叉樹分塊法[20]基礎(chǔ)上，將點數(shù)量大于閾值的分塊繼續(xù)劃分，直到點的數(shù)量小于閾值。在構(gòu)造零水印時，算法的關(guān)鍵是從數(shù)據(jù)中提取穩(wěn)定的特征信息，而拓撲信息一般較為穩(wěn)定。本文首先利用道格拉斯算法提取特征點，根據(jù)Delaunay三角網(wǎng)空外接圓和最大化最小角性質(zhì)以及局部穩(wěn)定性，將各三角形角度值作為數(shù)據(jù)特征信息，構(gòu)造具有較高水印容量[21]和魯棒性的零水印。在構(gòu)造脆弱水印方面，為保證在各種攻擊后準確地將無序的數(shù)據(jù)集合映射到有序的水印信息上，從而正確地恢復(fù)水印信息[22]，本文采用Hilbert曲線進行空間排序，構(gòu)建各節(jié)點數(shù)據(jù)的空間關(guān)系；引入零比特動態(tài)擴展技術(shù)[23]，將每個節(jié)點數(shù)據(jù)產(chǎn)生的水印值取模，并以相應(yīng)個數(shù)的0組成零比特值，生成水印序列，按實際需求加入到該點及臨近點的坐標末尾。

多重水印提取與檢測是水印構(gòu)造的逆過程，零水印檢測是將提取到的水印圖像與原始水印圖像進行對比，根據(jù)相似度確定版權(quán)歸屬，從而對數(shù)據(jù)進行版權(quán)保護；脆弱水印檢測是將提取到的原始水印序列與計算得到的現(xiàn)有水印序列進行對比，根據(jù)其結(jié)果進行內(nèi)容認證。

1.2 多重水印構(gòu)造

第1步，對矢量地理數(shù)據(jù)進行預(yù)處理，包括數(shù)

圖1 多重水印構(gòu)造過程Fig.1 The construction process of multiple watermarks

圖2 多重水印提取與檢測Fig.2 The process of multiple watermark extraction and detection

據(jù)檢查、提取要素中各類節(jié)點數(shù)據(jù)等。

第2步，分塊處理：

多重水印算法中由于功能不同，構(gòu)造零水印與脆弱水印時初次分塊面積分別設(shè)置為S1和S2，點個數(shù)閾值分別設(shè)置為P1和P2。

第3步，構(gòu)造零水?。?/p>

1)水印圖像處理：對原始二值水印圖像W進行Arnold置亂，提高水印的安全性。

2)生成水印信息：將置亂水印圖像，轉(zhuǎn)化為0和1的有序序列，每8個值為1組，分為k組，每組序列均可轉(zhuǎn)化成一個整數(shù)值n(n=0,1,…255)，將k個n值組成水印序列Wn；

3)提取特征點：對構(gòu)造零水印的分塊數(shù)據(jù)，選取合適的閾值，利用道格拉斯算法提取各個分塊的特征點；

4)構(gòu)建Delaunay三角網(wǎng)：由各分塊特征點生成三角網(wǎng)，并記錄各三角形的角度值，組成角度序列An，保證每個分塊內(nèi)的角度序列An的長度大于水印序列Wn的長度；

5)補位操作：若某分塊角度序列An長度是水印序列Wn長度的a倍，則在水印序列Wn的末尾補上b個原有水印序列，如An長度為2 439，Wn長度為800，則Wn補上2Wn位，長度增長為2 400。將An與補位后的Wn進行異或操作，得到1個或a個零水印。將各個分塊產(chǎn)生的包含若干個零水印的圖像，以及原始水印圖像保存至版權(quán)保護中心(IPR)，并加入具有法律效力的時間戳，抵御解釋攻擊。

第4步，構(gòu)造脆弱水?。?/p>

1)空間排序：對構(gòu)造脆弱水印的分塊數(shù)據(jù)中的節(jié)點數(shù)據(jù)按照Hilbert曲線進行排序；

(1)

(Xz,Yz)=((f2(Xb,Yb))10)%10

(2)

c=f3(Xz,Yz)=(Xz⊕Yz)%5

(3)

3)水印無損添加：為了有效抵抗刪點攻擊，對分塊內(nèi)任意節(jié)點Pi(Xi,Yi)及Hilbert排序中的后鄰點Pi+1(Xi+1,Yi+1)，利用零比特動態(tài)擴展，將Pi的脆弱水印信息Wf，分別加入到橫坐標Xi末位和Pi+1的縱坐標Yi+1末位；若Pi為分塊的末點，則該點的Wf添加到分塊的首點的縱坐標上。對各分塊進行上述操作。

1.3 多重水印提取與檢驗

第1步，對待檢測矢量地理數(shù)據(jù)進行預(yù)處理。

第2步，提取與檢驗零水?。?/p>

4)對比驗證：將多個提取水印圖像W’與原始水印圖像W進行驗證，利用歸一化相關(guān)系數(shù)NC值(Normalized Correlation)衡量兩圖像相似性，公式如下：

(4)

第3步，提取與檢驗脆弱水?。?/p>

1)待檢測數(shù)據(jù)處理：按照與前文相同的方法，對待檢測數(shù)據(jù)進行分塊、Hilbert空間排序處理；

2)提取水印處理：從各分塊內(nèi)提取任意節(jié)點Pi(Xi,Yi)坐標末尾的原始脆弱水印信息，記橫坐標提取到的水印信息為Wf，后鄰點Pi+1(Xi+1,Yi+1)縱坐標提取到的水印信息為Wf+1；

2 實驗與分析

本文提出的多重水印算法，可應(yīng)用于各類點狀數(shù)據(jù)、線狀數(shù)據(jù)和面狀數(shù)據(jù)中，其中，線狀數(shù)據(jù)需要提取各圖元中的節(jié)點數(shù)據(jù)，面狀數(shù)據(jù)可轉(zhuǎn)化為線狀數(shù)據(jù)再提取節(jié)點數(shù)據(jù)。本文選取廣州市海珠區(qū)1∶5 000 Shp格式的道路矢量數(shù)據(jù)作為實驗數(shù)據(jù)，其中，線狀要素共15 791條，預(yù)處理后數(shù)據(jù)點總個數(shù)為50 717個。

2.1 零水印實驗

本文選用寫有“中大地規(guī)院”的二值圖像作為原始水印，大小為80×80，水印序列Wn的長度為800。對節(jié)點數(shù)據(jù)進行點約束分塊處理，初次分塊面積為總面積的1/4，點個數(shù)閾值P為5 000；道格拉斯算法提取特征點的閾值為500 m，共提取7 976個特征點，壓縮比為84.27%；通過構(gòu)建Delaunay三角網(wǎng)以及角度序列與水印序列的異或運算，最終獲得18個分塊和32個零水印，可證本算法容量較大。本次實驗利用NC值與還原的零水印個數(shù)，綜合衡量該算法能否抵御各種常見的水印攻擊，其中NC值閾值設(shè)定為0.8。

(1)唯一性驗證

由于零水印并不直接添加到原始數(shù)據(jù)中，且數(shù)字水印必須是唯一的，因此需要檢驗本算法構(gòu)造的零水印是否具有唯一性。檢驗方法是，選用廣州市天河區(qū)和越秀區(qū)的道路矢量圖作為對照，與海珠區(qū)道路矢量數(shù)據(jù)構(gòu)造的零水印進行提取水印操作，結(jié)果如表1所示。作為對照的兩組數(shù)據(jù)NC值均小于閾值，即水印驗證失敗，本算法構(gòu)造的零水印具有唯一性。

表1 零水印唯一性驗證結(jié)果Table 1 The result of zero-watermarking uniqueness verification

(2)幾何攻擊

幾何攻擊包括：平移、旋轉(zhuǎn)、縮放和裁剪等攻擊手段，是矢量地理數(shù)據(jù)的常見操作。由于矢量地理數(shù)據(jù)的中各要素的拓撲關(guān)系具有平移、旋轉(zhuǎn)、縮放不變性，本算法零水印是基于拓撲關(guān)系構(gòu)造的，因此這3種攻擊手段對水印信息驗證沒有影響。對實驗數(shù)據(jù)分別裁剪25%(A1)，50%(A2)和75%(A3)，對裁剪后的數(shù)據(jù)提取水印，結(jié)果如表2所示。由于本文算法構(gòu)建了多個零水印，且均勻分布于數(shù)據(jù)中，可有效抵御裁減攻擊。

(3)數(shù)據(jù)編輯攻擊

數(shù)據(jù)編輯攻擊包括：增加節(jié)點、刪除節(jié)點等攻擊手段。對實驗數(shù)據(jù)分別增加與刪除1 000個(B1、C1)、3 000個(B2、C2)和5 000個節(jié)點(B3、C3)，對編輯后的數(shù)據(jù)提取水印，結(jié)果如表2所示。隨著刪除點個數(shù)增加，NC值與還原的零水印數(shù)量有所下降，即部分特征點也被刪除，但由于本算法已構(gòu)建Delaunay三角網(wǎng)，部分節(jié)點增加或刪除，只影響臨近的三角形，因此，本文零水印算法對數(shù)據(jù)編輯攻擊具有較強魯棒性。

(4)數(shù)據(jù)壓縮攻擊

道格拉斯算法是常用的數(shù)據(jù)壓縮方法，對實驗數(shù)據(jù)分別進行25%(D1)，50%(D2)和75%(D3)的壓縮攻擊，提取水印后，結(jié)果如表2所示。由于本文零水印算法設(shè)置了比正常壓縮程度更高的閾值，對數(shù)據(jù)壓縮攻擊具有很強的魯棒性。

(5)數(shù)據(jù)轉(zhuǎn)換攻擊

數(shù)據(jù)轉(zhuǎn)換攻擊包括數(shù)據(jù)投影轉(zhuǎn)換和數(shù)據(jù)格式轉(zhuǎn)換，其中數(shù)據(jù)投影轉(zhuǎn)換較為常用。實驗數(shù)據(jù)采用WGS-1984-UTM投影坐標，我國常用的坐標系包括CGCS2000坐標系、西安80坐標系(E1)和北京54坐標系(E2)，由于實驗數(shù)據(jù)所在區(qū)域WGS84坐標系與CGCS2000坐標系誤差極小，不具有實驗意義，故只對其余2個坐標系進行投影轉(zhuǎn)換檢驗，分別提取水印后，結(jié)果如表2所示。由于投影變換對數(shù)據(jù)點操作強度較大，造成NC值較低，但仍然大于0.8，可證本文零水印算法對數(shù)據(jù)轉(zhuǎn)換攻擊具有較強魯棒性。

(6)組合攻擊

組合攻擊是指對實驗數(shù)據(jù)同時使用多種攻擊手段的綜合性攻擊，由于攻擊手段未知，且同時進行攻擊，抵御難度較大。本實驗選取地圖綜合中的簡化路網(wǎng)作為組合攻擊，包括2個內(nèi)容：去除實驗數(shù)據(jù)中的“環(huán)島”與匝道(F1)，并在此基礎(chǔ)上刪除部分低等級道路(F2)。進行上述操作后，分別有約2 000個和10 000個數(shù)據(jù)點被修改，提取水印后，結(jié)果如表2所示。根據(jù)實驗結(jié)果，本文零水印對組合攻擊具有一定魯棒性，但隨著攻擊強度增大，魯棒性有所下降。

表2 數(shù)據(jù)裁剪、編輯、壓縮、轉(zhuǎn)換攻擊和組合攻擊結(jié)果Table 2 The result of data cropping attack, editing attack, compression attack, transformation attack and combination attac

2.2 脆弱水印實驗

對節(jié)點數(shù)據(jù)進行點約束分塊處理，綜合考慮精確認證以及篡改數(shù)據(jù)定位的效率與精度，初次分塊面積為總面積的1/64，點個數(shù)閾值P為1 000。本算法采用零比特動態(tài)擴展，實現(xiàn)脆弱水印無損嵌入，具有良好的不可見性。為檢驗本算法的準確性，對已加入脆弱水印的實驗數(shù)據(jù)不作任何修改并進行精確認證，認證結(jié)果通過，可證算法具有可行性。

(1)增點攻擊

對加入脆弱水印的矢量數(shù)據(jù)增加1條包含10個節(jié)點的線要素，進行水印提取與驗證，增點攻擊沒有通過脆弱水印的精確認證，并有效檢測到新增的點要素，結(jié)果如圖3所示。由于增加的點要素不包含脆弱水印信息，因此，不能提取原始水印信息Wf，這是增點攻擊區(qū)別于其他攻擊的明顯特征；另外結(jié)合屬性信息中的重要字段等進行判別可起到輔助作用。

(2)刪點攻擊

對已加入脆弱水印的矢量數(shù)據(jù)刪除某段道路及其所有節(jié)點，進行水印提取與驗證，結(jié)果如圖4所示。刪點攻擊沒有通過脆弱水印的精確認證，并有效檢測到被刪除的點要素，標注出其前鄰點和后鄰點，達到水印抗刪除的預(yù)期效果。由于經(jīng)過空間排序，被刪除點要素的前后鄰點并不一定是所在線要素的起點與末點，因此本實例具有兩個前鄰點與后鄰點，且空間上沒有關(guān)聯(lián)性。

(3)平移攻擊

對已加入脆弱水印的矢量數(shù)據(jù)進行整體平移與局部平移，并進行水印提取與驗證。平移操作實質(zhì)上是對數(shù)據(jù)點的坐標進行修改，基于坐標值的原始水印信息也相應(yīng)發(fā)生變化，因此，數(shù)據(jù)整體平移后，超過90%的點要素被標記；局部平移的點要素也被標記，如圖5所示。

圖3 增點攻擊結(jié)果Fig.3 The result of adding elements attack

圖 4 刪點攻擊結(jié)果Fig.4 The result of delecting elements attack

圖5 平移攻擊結(jié)果Fig.5 The result ofatranslation elements attack

3 結(jié) 論

本文基于矢量圖元節(jié)點數(shù)據(jù)，提出一種基于零水印與脆弱水印的多重水印算法，一方面將魯棒水印與脆弱水印相結(jié)合，利用零水印和無損嵌入技術(shù)解決了兩種不同性質(zhì)水印互相干擾的問題，達到兼顧數(shù)據(jù)版權(quán)保護與精確認證的目的；另一方面，本算法對水印的提取與驗證，無需原始數(shù)據(jù)參與，是一種盲水印，具有較高實用性。根據(jù)水印的特點與功能，本算法進行不同尺度的數(shù)據(jù)分塊，結(jié)合道格拉斯算法和Delaunay三角網(wǎng)分別提取具有代表性的特征點和穩(wěn)定的特征信息，構(gòu)造出容量大、安全性高的零水印，并對幾何變換、數(shù)據(jù)編輯、數(shù)據(jù)壓縮、數(shù)據(jù)轉(zhuǎn)換以及綜合攻擊具有較強魯棒性，可有效保護數(shù)據(jù)的版權(quán)；在精確認證方面，本算法利用空間排序的方法，建立各分塊內(nèi)節(jié)點數(shù)據(jù)間較為穩(wěn)定的空間關(guān)系，并嘗試將脆弱水印與零比特動態(tài)擴展技術(shù)相結(jié)合，在確保水印信息對數(shù)據(jù)的精度與使用沒有造成任何影響的同時，對數(shù)據(jù)的真實性和完整性進行有效判別，能精確定位被篡改的部分數(shù)據(jù)到數(shù)據(jù)點，滿足實際應(yīng)用需求。

由于將脆弱水印信息加入到坐標值末尾，本文算法與文獻[16-18]的算法均對精度約減攻擊抵抗較弱，水印可能會被整體破壞；另外，現(xiàn)有的精確認證算法還不能有效判別常見的攻擊類型。下一步研究工作的重點將放在選取更穩(wěn)定安全的脆弱水印嵌入方式，以及分析記錄常見攻擊類型的特征，希望有所收獲。