CN101488214A

CN101488214A - 一种扩展防伪数字水印和电子印章信息量的方法

Info

Publication number: CN101488214A
Application number: CNA2008100561937A
Authority: CN
Inventors: 赵险峰; 黄炜
Original assignee: Institute of Software of CAS
Current assignee: Institute of Software of CAS
Priority date: 2008-01-15
Filing date: 2008-01-15
Publication date: 2009-07-22
Anticipated expiration: 2028-01-15
Also published as: CN101488214B

Abstract

本发明公开了一种扩展防伪数字水印和电子印章信息量的方法，其通过构造并使用数字签名阈下信道承载附加的安全和应用信息，在不增加数字水印和电子印章所承载数据量的同时，扩大了其信息量，使得可以通过数字水印或电子印章向受保护数字内容的接收者转递更多的信息，支持实现相应功能的扩展。可扩展的功能包括数字内容解密授权、传输数字签名或签章附加信息、抗私钥或签章丢失、抗威逼下被迫进行数字签名或签章、还原原始数字媒体内容等。

Description

一种扩展防伪数字水印和电子印章信息量的方法

技术领域

本发明涉及信息安全技术领域，具体涉及一种使用数字签名阈下信道扩展数字水印和电子印章信息量的方法。

背景技术

数字多媒体与电子文件(以下统称数字内容)的出现，提高了人们生成、使用和管理信息的效率，但普通数字内容的完整性和来源真实性难以得到确认，这影响了它们在正式场合的应用。当前，非授权方可以使用软件处理工具对数字内容进行篡改或伪造，这些操作往往没有痕迹或难以被察觉。因此，当人们在工作中采用数字内容时，往往需要对其进行验证。

在信息安全技术领域，数字签名主要用于对信息进行来源和完整性的确认(以下统称为内容认证或防伪)，但是其实施存在一些困难。首先，数字签名是单独的数据成分，为保持其与被签名内容的对应，通常需要较为复杂的应用协议，不便于支持文件的流动性；其次，虽然可以设计专门的数子内容格式，其中包含数字签名和信息安全相关数据的存储区域，但当前已广为使用的大量文件格式很难被替代；最后，采用数字签名方案的文档处理流程和概念与传统的流程和概念不同，这也影响了其实施和推广。

以上情况促使了面向内容防伪的数字水印^[1-18]和电子印章(或称数字印章)^[19-38]技术的出现和应用。与本发明相关的脆弱水印(或称易损水印)技术是指，在数字内容(对数字水印主要是指数字多媒体)中隐蔽地嵌入根据数字签名生成的不可见水印，后者不影响内容原来的感知效果，但使用以后可以通过检测隐藏的签名进行内容认证。数字水印技术将安全信息嵌入被保护的内容中，随后者一同被传输，在兼容普通数字内容格式的前提下，简便地支持了相关的安全管理和数字内容的流动特性。电子印章技术结合了数字签名和数字水印，它通常对文档内容计算签名，将其调制成数字水印，再将后者嵌入插入文档的印章图像中，该图像及其所包含的水印被称为电子印章，它使得可以通过提取印章中的水印并验证其中的签名进行文档内容认证。电子印章的使用与传统的文件处理流程和概念基本相同，也较好地解决了数字签名在电子文档中的存储和传输问题，是一种较易推广的内容认证应用。

但是，数字水印及其派生的电子印章存在信息容量有限的问题，这约束了其功能的扩展。所谓信息容量，亦称数字水印容量，是指水印能够可靠传输的信息量。由于工作中可能包含各种管理流程和安全措施，因此人们希望扩展数字水印和电子印章的功能，除了进行内容认证，也希望对内容发布、水印嵌入和电子签章实施更多的管理，也希望能够实现更多的应用特性，例如还原原始内容，因此水印需要可靠传输更多的信息。然而，为确保可靠地检测水印信息或实现半脆弱性(即在将数字媒体格式改变或适量压缩后仍能检测水印)，需要对信息进行编码和调制，为了保证载体内容的感知质量，一般也仅能利用部分数据嵌入水印，因此实际能可靠传输的信息量较少；由于电子印章图像尺寸小，并且多数印章的色彩较少，可以承载的信息就更少；在需要定位篡改的应用中，原始数字媒体一般被逐块或逐段地嵌入水印，水印信息量进一步受到限制。为了保持数字内容的保真效果和法律效应，一些应用希望数字水印的嵌入是可逆(reversible)的或无损(lossless)的，它要求水印无损于任何比特的原内容，在必要的场合需要精确还原，当前可通过压缩数字内容的感知冗余部分获得一个小的存储空间，由于还要存储压缩数据，水印的信息容量受到更大限制，一般仅能存入相对于数字签名较短的消息认证码(MAC)^[4]或杂凑值^[3](例如RSA公钥签名需占据的数据量大于1024比特，而MAC可以小于200比特)，由于依靠共享对称密钥进行认证，只有特定的密钥持有人才能进行内容认证，并且认证者可以进行伪造，因此该方法较难推广。

为解决以上问题，本发明提出的方法使用数字签名阈下信道^[39-41]承载附加的安全信息，在不增加水印数据量的同时，扩大了其承载的信息量，可以支持实现相应的安全和应用功能扩展。如果数字签名的验证方不但获得了进行来源和完整性确认所需的信息，还获得别的信息，后者形成的信道被称为数字签名阈下信道^[39]。当前，RSA(R.Rivest、A.Shamir和L.Adleman提出的公钥加密和签名算法)、DSA(美国国家标准和技术研究所提出的数字签名算法)等主流签名方法都支持概率算法^[42，43]，它们不但要向验证者传递认证所需的信息，还传递了随机数或数据填充，这为阈下信道的形成提供了条件，然而，当前面向防伪的数字水印和印章技术虽然采用了数字签名，但是并没有利用阈下信道承载信息。本发明通过使用阈下信道，在不影响数字签名的功能和安全性前提下，在相同尺寸的数字签名数据中附加了更多的安全和应用信息，其所支撑的功能不止于内容认证，还包括数字内容解密授权、传输签名或签章附加信息、抗私钥或签章丢失、抗威逼下被迫签名或签章、还原原始媒体内容等。

本发明涉及面向数字防伪、内容认证的数字水印和电子印章技术，现将它们概述如下：

(1)国内外论文涉及数字水印内容认证的主要方法。文献^[1]最早提出了将水印嵌入像素的最低意义比特(LSB)的方法，随后出现了一些提高方法，但是它们一般基于水印的破坏来判断数字内容的篡改，不支持数字签名，因此验证者可以伪造数字内容；文献^[2]在图像LSB中嵌入非LSB部分的数字签名，但不支持重构图像，也未使用阈下信道，文献^[3]基于类似的方法嵌入水印并通过压缩LSB实现了水印的无损嵌入，但获得的空间尺寸仅能存储杂凑值；文献^[4]提出，可以将信号样点值次要的位平面进行无损压缩，在获得的信道中嵌入压缩数据和认证数据，但由于获得的空间不足，只能存入依靠对称密码体制验证的消息认证码(MAC)，使得验证者亦可伪造内容；当前，出现了一些扩大数字水印容量并兼顾可逆性的方法，文献^[5]基于整数变换扩大了可隐藏的信息量，但计算较复杂，经常需要特殊处理，另外，该方法存在数值计算误差，因此不能精确重构原始内容，水印嵌入对感知的影响也较大，其它扩大可逆水印信息容量的方法主要包括文献^[6]基于整数小波变换的方法和文献^[7]提出的R-S方法，但也不同程度地存在类似的问题；半脆弱水印^[8]支持用户进行一定程度的格式转换和压缩，这需要水印还具备一定的抗攻击能力，因此，其能够可靠传递的信息容量相应地减少。我国在脆弱水印和内容认证方面进行了积极的研究^[9-13]，但也都没有使用阈下信道扩展数字水印或印章的信息量和功能。

(2)国内外论文涉及电子印章内容认证的主要方法。电子印章的研究和应用主要限于我国，因此这里主要基于我国的现状论述。文献^[19，20]基于数字水印算法提出了相应的电子签章方法，主要内容包括将数字签名调制成水印嵌入插入文档的印章图像中；文献^[21，22]提出了将电子签章与公钥基础设施(PKI)相结合的技术路线。但是，它们主要对相关技术进行了集成应用，均未涉及使用阈下信道扩展数字水印或印章信息量这一问题。

(3)国内外专利涉及数字水印内容认证的主要方法。编号为5646997的美国专利^[14]将RSA公钥签名嵌入数字内容进行防伪，但未利用可能形成的阈下信道，其专利文献中也称在支持重构原始媒体内容的操作中可能出现压缩空间不够的情况；编号为6278791的美国专利^[15]通过在像素的LSB上进行与图像杂凑值之间的模加法嵌入水印，实现了在检测之后能够复原原始图像的要求，但它不具备非对称认证的优势，验证者亦可伪造水印，也未提供其它扩展功能；编号为20030149879的美国专利^[16]的方法与文献^[5]基本类似，虽然在技术实施上有所改进，例如为了防止数值溢出增加了一些特殊的处理，但也存在类似的问题；申请号为200410040433.6的中国专利^[17]给出了可以定位篡改的脆弱水印方法，申请号为200510021193.X的中国专利^[18]给出了基于混沌散列函数调制解密水印的脆弱水印方法，但它们都不支持基于公钥体制的认证，也不支持原始内容复原等功能。

(4)国内外专利涉及电子印章内容认证的主要方法。电子印章的研究和应用主要限于我国，因此这里主要基于我国的技术现状论述。申请号为02139408.3、02262171.7、03114673.2与03218783.1的中国专利^[23-26]给出了基于印章图形变化的数字签章方法，印章上有签署日期与验证网站的网址和口令等附加信息，但这种验证方式比较传统，并需要单独设立可信的网站；申请号为99123276.3的中国专利^[27]给出了基于数字标志进行认证的标志管理服务器实现方法，但其与当前的通用认证方法差别较大，在使用上受到局限；申请号为200310111928.9、200510021291.3、200610036385.2的中国专利^[28-30]给出了用于电子印章保护的脆弱或半脆弱水印方法，但均未结合公钥数字签名进行认证；申请号为200610023373.6、200710020370.1与200610020387.2的中国专利^[31-33]提出了将数字签章与当前的PKI系统结合的方法，申请号为200610083793.3的中国专利^[34]提出使用一种基于标识的公钥算法CPK进行电子签章，但它们主要描述的是各类公钥签名在数字印章中的应用环节，均未采取专门的措施扩展印章本身所能隐蔽包含的信息量；申请号为02125320.X的中国专利^[35]给出了直接将数字签名作为条形码或随机数插入电子文档或打印在物理介质上的防伪方法，服务器对签名的验证依靠用户的输入，因此不属于基于水印的电子签章技术，在应用中的直观效果不理想；申请号为200510027649.3的中国专利^[36]给出了将手写电子签名和印章相结合的方法，但未在印章生成方面使用水印技术，而是仅仅计算并在XML文档中存储文档和手写输入签名的数字签名；申请号为01132372.8的中国专利^[37]给出了一种基于数字水印的防伪方法，申请号为200310109857.9的中国专利^[38]给出了基于该方法的电子签章技术，但是，该方法基于相关运算检测水印，影响了水印的信息容量，也不支持可逆等应用特性；文献^[44-47]引出的专利仅涉及传统实物印章的电子设备化，因此与本发明无技术关联。

综合上述可认为，当前，数字水印和电子印章技术没有通过使用数字签名阈下信道扩大数字水印和电子印章信息量从而进行功能扩展的先例，阈下信道可能提供的信息容量及其可能支持的扩展功能被浪费和忽略，而信息容量及相关功能的扩展又是该领域需要的。

主要参考文献

[1]R.G.van Schyndel，A.Z.Tirkel and C.Osborne.A digital watermark.In Proc.of IEEEIntern.Conf.on Image Processing，vol.2.Austin，Texas，Nov.1994.pp.86-90.

[2]P.W.Wong.A public key watermarking for image verification and authentication.In Proc.of IEEE Int.Conf.on Image Processing，vol.1，Chicago，Illinois，Oct.1998.pp.455-459.

[3]Y.Wang，Y.Zhao，J.Pan，and S.W.Weng.A reversible watermark scheme combinedwith hash function and lossless compression.In Proc.KES 2005，LNAI 3682：1168-1174，Springer-Verlag，2005.

[4]J.Fridrich，M.Goljian，and R.Du.Lossless data mbedding—New paradigm in digitalwatermarking.EURASIP J.on Applied Signal Processing，2002(2)：185-196.

[5]J.Tian.Reversible data embedding using a difference expansion，IEEE Trans.Circuits andSystems for Video Technology，Aug.2003，13(8)：890-896.

[6]G.Xuan，Y.Q.Shi，Z.C.Ni，J.Chen，C.Wang，Y Zhen，and J.Zhen.High capacitylossless data hiding based on integer wavelet transform，In Proc.of IEEE Int.Symposiumon Circuits and systems，vol.2，Vancouver，Canada，May 2004，pp.29-32.

[7]M.Goljan，J.Fridrich，and R.Du.Distortion-free data embedding for images，In Proc.ofIH 2001，LNCS 2137：27-41，Springer-Verlag，2001.

[8]C.Y.Lin，and S.F.Chang.Semi-fragile watermarking for authenticating JPEG visualcontent.In SPIE Proc.of Inter.Conf.on Security and Watermarking of MultimediaContents II，vol.3971，San Jose，California，2000.140-151.

[9]李春，黄继武.一种抗JPEG压缩的半脆弱图像水印算法，软件学报，17(2)：325-324，2006.

[10]刘泉，江雪梅.用于图像篡改定位和恢复的分层半脆弱数字水印算法，通信学报，28(7)：104-110，2007.

[11]张宪海，杨永田.基于脆弱水印的图像认证算法研究，电子学报，35(1)：34-39，2007.

[12]和红杰，张家树.基于混沌置乱的分块自嵌入水印算法，通信学报，27(7)：80-86，2006.

[13]赵险峰，陈克非，汪为农.Tracking image tampering by reverse processing.HighTechnology Letters.2005，vol.11(1)：9-12.

[14]J.M.Barton.Method and apparatus for embedding authentication information withindigital data，U.S.Patent：5646997，2000.

[15]C.W.Honsinger，P.Jones，M.Rabbani，and J.C.Stoffel.Lossless recovery of an originalimage containing embedded data，U.S.Patent：6278791，2001.

[16]J.Tian，and S.K.Decker.Reversible watermarking，U.S.Patent：20030149879，2003.

[17]张家树，和红杰，戴恒铭.能区分图像与水印篡改的定位型脆弱水印生成与认证方法，中国专利申请号200410040433.6，2004年8月申请，2005年3月公开.

[18]张家树，和红杰.基于混沌散列函数的分块脆弱水印生成与认证方法，中国专利申请号200510021193.X，2005年6月申请，2006年9月公开.

[19]王飞，汤光明，孙怡峰，张涛，于涵.基于易损水印和数字签名的电子印章系统，计算机应用研究，2004年第4期：118-122.

[20]宋泽芳.基于数字印章的文档签名问题的解决方案，哈尔滨工业大学，36(6)：835-837，2004.

[21]李新，孙玉芳.基于PKI的电子印章系统，计算机科学，31(2)：93-95，2004.

[22]刘世栋，杨林，侯滨，王建新.基于CA的电子印章系统设计与实现，国防科技大学学报，25(1)：27-30，2003.

[23]齐宇庆.一种电子印章的设计方法及装置，中国专利申请号02139408.3，2002年9月申请，2003年4月公开.

[24]齐宇庆.一种电子印章，中国专利申请号02262171.7，2002年9月申请，2003年10月公开.

[25]齐宇庆.一种数码电子印章的设计方法，中国专利申请号03114673.2，2003年5月申请，2004年1月公开.

[26]齐宇庆.一种软硬件结合的数码电子印章，中国专利申请号03218783.1，2003年5月申请，2004年7月公开.

[27]土山千佳子，丰岛久，永井康彦.数字署名或电子印章认证系统及认证标志管理程序，中国专利申请号99123276.3，1999年10月申请，2000年5月公开.

[28]胡军全，黄继武，梁卓斌，黄达人.一种用于电子印章保护的脆弱水印方法，中国专利申请号200310111928.9，2003年10月申请，2004年10月公开.

[29]佘堃，彭静，侯祥勇，段贵多.基于脆弱水印的电子印章的产生及验证方法，中国专利申请号200510021291.3，2005年7月申请，2006年1月公开.

[30]刘红梅，饶俊慧，黄继武.一种基于图像特征的电子印章认证方法，中国专利申请号200610036385.2，2006年7月申请，2006年12月公开.

[31]沈前卫.一种基于PKI的通用电子印章系统，中国专利申请号200610023373.6，2006年1月申请，2006年9月公开.

[32]何颖飞.含电子印章数字证书的合体印章签署认证方法，中国专利申请号200710020370.1，2007年2月申请，2007年8月公开.

[33]高清华，苗新亮.电子印章的实现方法，中国专利申请号200610020387.2，2006年3月申请，2006年8月公开.

[34]南相浩，关志.一种基于CPK的电子印章安全认证系统和方法，中国专利申请号200610083793.3，2006年6月申请，2006年10月公开.

[35]苏盛辉.基于公开密钥算法的数字印章系统，中国专利申请号02125320.X，2002年7月申请，2003年1月公开.

[36]韩乃平.文档数字签名及其实现电子印章和手写签名的方法，中国专利申请号200510027649.3，2005年7月申请，2006年1月公开.

[37]温天.一种数字防伪方法，中国专利申请号01132372.8，2001年11月申请，2003年6月公开.

[38]刘瑞祯.数字印章系统，中国专利申请号200310109857.9，2003年12月申请，2005年7月公开.

[39]G.J.Simmons.阈下信道的历史与现状，杜三明译，密码与信息，1997年第1期：53-69(原文：G.J.Simmons.Subliminal Channels：Past and Present.EuropeanTransactions on Telecommunications，4(4)：459-473，1994).

[40]The history of subliminal channels.IEEE J.Selected Areas in Communication，16(4)：452-462，1998.

[41]王育民，张彤，黄继武.信息隐藏——理论与技术，2006年3月，北京：清华大学出版社.

[42]RSA Laboratories.PKCS #1 v2.1：RSA Cryptography Standard，June 14，2002.

[43]NIST.Digital Signature Standard(DSS)，FIPS PUB 186-2，January 27，2000.

[44]薛渊.电子印章，中国专利申请号200520042143.5，2005年6月申请，2006年8月公开.

[45]娄洛平.一种转轮数字印章，中国专利申请号00216810.3，2000年3月申请，2001年1月公开.

[46]卡·西尔弗布鲁克.数字印章，中国专利申请号03803853.6，2003年2月申请，2005年6月公开.

[47]卡·西尔弗布鲁克.数字印章，中国专利申请号03803846.3，2003年2月申请，2005年11月公开.

发明内容

本发明的目的是提供一种扩展数字水印和电子印章信息量和功能的方法，在不要求数字水印宿主内容可靠承载更多数据量的前提下，提高了数字水印与电子印章的信息容量，使得不但可以安全地进行内容认证，还可以具有数字内容解密授权、传递签名或签章附加信息、抗私钥或签章丢失、抗威逼下被迫签名或签章、还原原始媒体内容等扩展的安全和应用功能。

本发明的技术方案是，使用数字签名形成的阈下信道承载扩展功能所需的安全信息，使用相应的软件处理流程生成和分析这些信息，执行扩展的安全和应用功能。其中，软件主要包括位于数字内容发布方和位于数字内容接收方的两个部分(以下称为发布方软件和接收方软件)，也包括相关的安全管理软件，但后者也可以与发布方软件合并。技术方案主要包括以下内容(由于本发明面向数字水印和电子印章提供的方法差异较小，以下综合描述它们)：

(1)生成和部署安全参数。通过安全管理软件生成公、私钥对若干，其中包括它们以公钥基础设施(PKI)证书形式存储的形式，使相关工作人员或其管理的计算机系统都能获得公钥，但私钥仅由有相应数字签名权限的个人或其管理的计算机系统保管；生成、部署与发送、接收阈下信道信息相关的共享安全参数，生成与部署数字水印嵌入、提取所需的共享安全参数；按照所扩展安全功能的需求，编制相关的信息代码，它们在一定期限内有效，包括数字签名时使用的口令和表示是否存在威逼的暗号，以加强对数字水印和电子印章的安全管理。

(2)提供扩展功能所需的信息。在对一个数字内容嵌入数字水印或插入电子印章前，数字水印的嵌入者或者电子印章的加盖者需要向软件提供以下信息：当数字内容以加密的形式发布时，提供数字内容的解密密钥；当需要对数字水印签名或签章进行管理时，提供相关的附加信息，包括操作人、时间、地点、审批人等信息；当存在私钥被盗窃或丢失可能时，提供相关的数字签名授权信息，例如，一个在一定期限内有效的口令；当需要预防在威逼下被迫签名时，提供表示是否存在威逼的暗号，该暗号是发布方和接收方约定的数据，仅仅由其双方解释，因此，威逼者不能对其意义做出判断；当需要在验证中还原原始数字内容时，可以对数字内容的感知冗余部分进行压缩，将部分压缩数据存回，而将剩下的部分存入阈下信道，这样，仅需要压缩算法提供一个近似杂凑值或MAC尺寸的空间，即可实现公钥体制下的无损内容认证。

(3)在数字签名过程中使用阈下信道。发布方软件将与阈下信道信息处理相关的安全参数作用于以上信息，使其适合作为阈下信道传输的数据，例如具有所需的随机特性，将这个数据与数字签名中所需处理的其它数据(例如固定或随机的填充、概率签名中随机选取的随机数据、数字内容的杂凑值等)按照签名所需的方式结合，一同用私钥进行加密，获得含阈下信道信息的数字签名数据。需说明，数字签名中任何固定或随机的填充以及概率签名中选取的随机数均可作为阈下信道使用，这些数据在主流的RSA(R.Rivest、A.Shamir和L.Adleman提出的公钥加密和签名算法)、ElGamal(T.ElGamal提出的公钥加密和签名算法)以及它们派生的数字签名算法(包括RSA-PSS、DSA与ECDSA)中均存在。

(4)数字水印调制和嵌入。发布方软件将以上数字签名数据调制为数字水印信号，当所保护的数字内容是数字媒体文件，将数字水印信号直接嵌入数字媒体中，当所保护的数字内容是文字文档，将数字水印信号嵌入插入文档的电子印章图像中。

(5)提取数字水印并验证数字签名。当数字内容被接收后，接收方软件利用数字水印安全参数提取数字水印信号，得到其承载的数字签名数据，利用数字内容发布方的公钥对数字签名进行验证。

(6)提取阈下信道信息并执行相关的扩展功能。如果数字内容的接收者还具有接收阈下信道信息所需的共享安全参数，在数字签名验证通过的情况下，接收方软件利用阈下信道安全参数提取在阈下信道中存储的信息，根据分析结果可能执行以下扩展功能或其中的部分功能：根据获得的数字内容解密密钥，解密加密的数字内容；根据获得的签名或签章附加信息，显示、记录相关的安全信息，日后对收文与安全信息进行管理和审查；根据获得的数字签名或签章授权代码或口令等信息，验证签名或签章在当前时间段内的合法性，防止因为私钥等安全参数丢失或被盗引发的伪造数据；根据获得的抗威逼暗号代码，判断数字签名或签章是否是在威逼下做出的；根据提取的压缩数据，还原由于水印嵌入受到影响的数据，恢复整个原始媒体内容数据。

本发明对相关技术领域的有益效果包括：

(1)给出了一种扩展数字水印与电子印章信息量的新方法。针对采用数字签名的数字水印与电子印章技术，本发明给出了一种通过构造、使用阈下信道扩展数字水印与电子印章信息量的方法。在实际应用中，获得的信息容量根据数字签名算法的不同而不同，在RSA-1024算法下，增加的信息容量可达到704比特。

(2)信息量的扩展无额外的数据量承载开销。由于使用了数字签名阈下信道传递扩展功能所需的信息，功能的扩展无需载体数字内容能承载比一个数字签名数据更多的信息量，较好地缓解了数字水印和电子印章技术领域中存在的功能扩展需求和信息容量有限的矛盾。

(3)扩展了数字水印与电子印章的安全和应用功能。由于使用数字签名阈下信道传递了更多的信息，依照本发明方法实现的数字水印和数字签章系统不但可以安全地进行内容认证，还可以具有数字内容解密授权、传递签名或签章附加信息、抗私钥或签章丢失、抗威逼下被迫签名或签章等扩展功能；尤其是，通过使用阈下信道，扩大了可逆水印可存储的空间，使可逆水印技术可以方便地在公钥体制下实现对原始内容数据的还原，原来用于提供存储空间的算法(如压缩算法)只需要提供一个与杂凑值尺寸近似大小的空间。

(4)易于用于改造现有的技术。包括主流的RSA、ElGama以及它们派生的RSA-PSS、DSA与ECDSA数字签名算法均存在阈下信道，并且本发明的实施适用于各种数字水印算法，因此本发明易于用于改造当前的防伪数字水印和电子印章技术。

附图说明

图1是整体技术方案主要过程的示意图；

其中，K_C：阈下信道信息收发安全参数；

K_W：数字水印嵌入和提取安全参数；

K_S，K_P：公钥签名中的私钥和公钥对；

C：原始数字内容或其预处理后的形式(对数字媒体可以仅仅是一个分块或分段)，在为文本文档时，为已经插入印章图像的数据；

C_S：发布的数字内容；

k：扩展功能中可能使用的授权解密密钥；

I：扩展功能中可能使用的附加安全信息；

c₁：扩展功能中可能使用的签名授权口令等；

c₂：扩展功能中可能使用的受威逼情况暗号；

D：部分压缩数据；

r：临时生成的随机数；

s：包含阈下信道信息的数据；

图2是将扩展信息放入RSA-PSS数字签名阈下信道获得数字签名的示意图；

其中：p₁、p₂：为固定的填充；EM：为将被私钥加密的签名数据；

MGF：掩码生成函数；XOR：异或运算；E：公钥加密运算；Sig：数字签名；

图3是提取RSA-PSS数字签名阈下信道中扩展信息的示意图；

其中：C_S：发布的不包含受到数字水印嵌入影响的数字内容部分

G：公钥解密运算

图4是经过本发明方法处理的电子印章示意图。

具体实施方式

本发明提出的扩展数字水印和电子印章信息量的方法在实施上包括安全参数的生成和部署、在数字内容中嵌入包含阈下信道的数字水印或电子印章、数字内容分发和认证、执行扩展的功能四个部分。本发明可以采用的数字签名方法包括RSA、ElGamal算法以及它们的派生算法(包括RSA-PSS、DSA与ECDSA)，其中，数字签名中任何固定或随机性的填充以及概率签名中随机选取的数据均可作为阈下信道使用；本发明可以采用各种数字水印方法，主要包括最低意义比特位(LSB)方法、直接序列扩频(DSSS)方法、量化索引调制(QIM)方法以及它们的派生方法等。由于RSA和ElGamal及其各自扩展的算法(包括RSA-PSS、DSA与ECDSA)形成了主要的两类数字签名方法，因此以下分别基于其中的代表性算法介绍使用阈下信道扩展数字水印和电子印章信息量和功能的方法。

如图1所示为本发明的整体技术方案示意图，以下列出在发明中使用RSA-PSS数字签名算法和LSB数字水印算法情况下具体实施本发明的方式；以下方法所扩展的功能均可以单独采用，并且如无特殊说明，以下的方法步骤均由计算机软件完成：

(1)安全参数的生成和部署

a)利用RSA算法生成公、私钥对。其方法为：取2个素数p、q，计算n←pq，φ(n)←(p-1)(q-1)，其中‘←’表示赋值，使得n为1024比特(以下用|·|表示一个数值占用的二进制长度)；选择一个整数b，满足1<b<φ(n)与gcd(b，φ(n))＝1，其中gcd表示计算最大公约数；计算a←b^-1modφ(n)，令K_P←(n，b)和K_S←(p，q，a)分别为公、私钥。

b)阈下信道信息收发安全参数。采用AES-256(分组长度为256比特的高级加密标准算法)加密对阈下信道进行随机化，因此任选256bit的数据作为AES-256的密钥，将其作为阈下信道信息收发的随机化参数K_C。

c)嵌入和提取数字水印使用的安全参数。如果水印信息需要用一个伪随机序列调制，则可用由软件实现的线性反馈位移寄存器(LFSR)算法产生一个伪随机序列K_W作为该参数，但是，本实施方法直接嵌入数字签名的比特序列，因此可以不使用K_W。

d)安全参数部署。按照应用要求，将相应的安全参数分发给数字内容的签署者(包括数字水印的嵌入者和数字签章者)和认证者(即以下接收方)，其中，认证者能获得所有的K_P，签署者(即以下发送方)保管自己的私钥K_S，而K_C、K_W仅由阈下信道的收发者共享。

(2)在数字内容中嵌入包含阈下信道的数字水印或电子印章，如图2所示。

a)数字内容预处理。对某个数字内容(对数字媒体可以仅仅是一个分块或分段)，如果它是数字文档，先插入未嵌入水印的印章图像；如果它是数字媒体并且需要将来被还原，对其嵌入域(这里是LSB)进行Huffman压缩，将压缩数据分为两部分——将直接存回LSB的部分A和将存放在阈下信道中的部分D，其中，A存放的起始位置固定，其前端存储|A|，D应满足|D|≤704比特，并且尺寸固定，具体尺寸需要和图2中的k、I、c₁、c₂、r统筹考虑，但它们的总体长度在本实施方法中不大于768比特；对需要精确还原的电子印章，也可以进行类似的处理；称以上处理后的数字内容为C。需指出，仅要求压缩算法压缩出一个能存储杂凑值和|A|的空间；在被压缩所处理的比特位置中，前面部分用于存储|A|和A，后面用于存储水印。

b)提供阈下信道传送的信息。为了使用特定的扩展功能，数字水印的嵌入者需要向数字内容的发布方软件提供相关的信息，包括可能的授权解密密钥k(针对加密的数字文档)、附加安全信息I(可能包括操作人、时间、地点、审批人等)、数字签名操作授权信息c₁(例如一个在一定期限内有效的口令)、表示在签名时是否存在威逼的暗号c₂(该暗号只能由阈下信道的收发双方解释，因此威逼者难以判断)。

c)随机化阈下信道信息。取一个二进制长度不大于64bit的随机数r，将以上k、I、c₁、c₂、r、D分别转换为二进制数据，如果其中任一数据不够规定的二进制长度则前端补零，然后依次排放，用密钥K_C将它们作为一个整体数据以AES-256算法加密，生成承载扩展信息的阈下信道信息，即密文s，这使得一般的签名验证者不能获得阈下信道信息，也使得s作为一个随机因素参与对C的数字签名，实现RSA-PSS由概率加密获得的安全性；在本实施方案中，|s|≤768比特，具体可能包括|s|＝256比特、|s|＝512比特和|s|＝768比特三种情况。

d)计算杂凑值。取C中不受水印嵌入影响的比特，用SHA-256算法(杂凑值长度为256比特的安全杂凑算法)计算其杂凑值，得到h；取一个固定的填充p₁，其尺寸根据s的尺寸变化，满足|s|+|p₁|＝768比特；令M←s‖h‖p₁，其中，符号‘‖’表示在内存中连接两个数值；对M再次利用SHA-256算法计算杂凑值，得到H。

e)计算数字签名。另取一个固定的填充p₂，其尺寸根据s的尺寸变化，满足|s|+|p₂|＝768比特；令DB←p₂‖s，用掩码生成函数MGF对H进行计算，得到mH，其中，MGF的特性和杂凑函数近似，但调用时可以令其输出指定长度的数值，在本实施方法中，MGF使用SHA-256算法计算输入的杂凑值，再通过连接或缩减该值的内存表示满足长度输出要求，在本实施方法中，它输出的长度为|mH|＝|DB|＝|s|+|p₂|；计算

mDB &LeftArrow; DB &CircleTimes; mH,

EM←mDB‖H，其中，符号

表示异或(XOR)操作；将EM用RSA的私钥K_S＝(p，q，a)加密，得到数字签名sig←EM^a mod n，其中，n＝pq。

f)嵌入数字水印。将数字签名sig的比特序列作为数字水印嵌入数字媒体或者印章图像LSB中的设定位置，如果在以上数字内容预处理阶段中存储了|A|和A，则这个签名水印的开始存储位置紧随其后；经过以上处理后，获得数字内容的受保护发布版本C_S。

(3)数字内容分发和认证

a)数字内容分发。通过计算机网络或移动介质发布以上产生的C_S，它的接收者分为两类，第一类仅能进行数字内容的认证，他们不掌握提取阈下信道所需的密钥K_C，第二类还能够执行扩展的功能，他们掌握K_C，以下b)～c)首先介绍数字内容认证的方法。

b)数字水印签名提取。在C_S的LSB的固定嵌入区域提取sig，在需要还原原始数据的情况下，确定水印提取位置的操作参考了存在固定位置上|A|的数值。

c)签名校验。将sig用RSA的公钥K_P＝(n，b)解密，得到EM←sig^b mod n，将其分割为mDB和H，与前面类似地用MGF函数对H进行计算，得到mH，它满足|mH|＝|mDB|；计算

s = mH &CircleTimes; mDB;

取C_S中不受水印嵌入影响的比特，用SHA-256算法计算其杂凑值，得到h′；取前述固定的填充p₁，得到M′←s‖h′‖p₁，用SHA-256算法计算其杂凑值H′，如果H′＝H，则认为满足内容完整性和来源的可靠性要求，签名校验通过，否则不通过。

(4)提取阈下信道信息、执行扩展的功能，如图3所示。

a)提取阈下信道信息。在前面的安全参数部署中，需要提取阈下信道信息的数字内容接收者获得了K_C，因此在以上签名校验中，可以通过AES-256解密算法得到以上k、I、c₁、c₂、r、D(根据应用需求可以对它们进行取舍)。

b)解密数字文档内容。在电子印章的应用中，如果需要签署、发布加密的文档，则以上k可以作为解密密钥，用它按照约定的解密算法解密并使用数字文档。

c)获取附加信息。如果需要对数字水印嵌入和电子文档的签署进行信息管理，可以利用以上I传递相关的信息，它们可能包括操作人、时间、地点、审批人等，以后可以对接收的文档进行相关的信息管理。

d)校验数字签名操作授权情况。为了实施对数字签章或嵌入水印的管理，可以对这些操作进行授权，这主要通过使用在一定期间内有效的口令进行管理，它用以上c₁承载，这样阈下信道信息的接受者可以查验授权情况，减少由于私钥丢失或失窃带来的风险。

e)检查是否存在威逼下签名的情况。以上c₂承载了抗威逼暗号代码，它由阈下信道信息的收发双方约定，这样，利用威逼手段胁迫进行数字签章或嵌入数字水印时，被威逼者可以发送暗号求助，但威逼者不能判断真相。

f)还原原始数字内容。以上D承载了部分压缩数据，这使得即使嵌入公钥签名，也不会比嵌入较短的MAC占用更多的嵌入空间；具体操作包括，取出|A|，根据其值取出A，对A‖D用Huffman算法进行解压缩，得到全部嵌入位置的原始数据，恢复到C_S的相应位置上即可。其结果如图4所示。

针对RSA类算法，以上已经说明了使用RSA-PSS获得并使用阈下信道扩展数字水印和签章信息量和功能的方法，以下针对ElGamal类算法给出使用阈下信道的基本方法(杂凑算法、阈下信道的使用及其与数字水印和印章技术的结合等与前面类似，因此省略对其的描述，并且如无特殊说明，以下的方法步骤均由计算机软件完成)：

(1)安全参数的生成和部署

a)生成、部署数字签名密钥对。选择一个大素数p，g为p元有限域GF(p)乘法群GF(p)^*上的一个生成元，在{1，…，p-1}中任选x作为私钥，将y＝g^x mod p作为公钥，将私钥可靠地发送给签名方，使公钥可以被签名的验证方访问，而双方共享p与g。

b)生成、部署阈下信道收发双方的安全参数。任取p-1的素因子q，将q和x_q＝x mod q作为阈下信道收发双方共享的安全参数，需指出，如数字内容的接收者仅需要验证签名，不需要获得该密钥。

(2)在数字内容中嵌入包含阈下信道的数字水印或电子印章

a)预处理。将数字内容进行前述的预处理，得到处理后的数字内容C，计算其杂凑值h。

b)处理和加密阈下信道信息。设需要在阈下信道中传输的信息为m，获得它的方法与前面(2)中的b)相同，但m将用q加密，并且承载它的信道不同，其中，加密的目的也是随机化所嵌入的信息，在获得阈下信道的同时也获得概率签名的安全性；加密m的步骤是，选择随机数k′，计算t←k′q+m(mod p-1)，使之满足gcd(t，p-1)＝1，计算k←t^-1(mod p-1)。

c)计算数字签名。得到r←g^k mod p和s←k^-1(h-xr)(modp-1)，将sig←(r，s)作为签名。

d)使用数字水印技术嵌入数字签名。将用以上方法获得的数字签名调制为数字水印，使得数字水印包含了签名信息，将数字水印嵌入数字内容中选定的嵌入域中，得到将发布的数字内容C_S。

(3)数字内容分发和认证

当C_S被接收，接收者一方的软件将提取数字水印，获得数字水印承载的数字签名，并且验证1≤r<p与g^h＝r^s y^r mod p是否成立，仅当它们同时成立时认为数字签名正确。

(4)提取阈下信道信息、执行扩展的功能

a)提取阈下信道信息。除了可以进行上述内容认证，掌握以上q的内容接收方还可以提取阈下信道传递的信息。为了简化表示，以下用变量的下标q表示模q计算，例如，a_q＝a mod q，则获得阈下信道信息的方法是，对加密方程s＝k^-1(h-xr)(mod p-1)两边模q，得到s_q＝m(h_q-x_qr_q)(mod q)，则可以计算阈下信道传递的信息m＝s_q(h_q-x_qr_q)^-1(mod q)。

b)执行扩展的功能。与前面(4)中的描述类似。

Claims

1.一种扩展防伪数字水印和电子印章信息量的方法，其步骤为：

1)生成用于数字签名的公钥和私钥；

2)将公钥分配给接收方，私钥分配给发送方；

3)发送方生成承载扩展信息的阈下信道信息；

4)发送方提取待保护数字内容中不受水印嵌入影响的部分，用私钥和阈下信道信息对其进行数字签名，得到数字签名数据；

5)发送方将数字签名数据调制为数字水印信号，将其嵌入到数字内容中或嵌入到在数字内容中插入的电子印章图像中；

6)接收方提取接收数字内容中或电子印章图像中的数字水印信号，并根据公钥验证数字签名；

7)接收方提取阈下信道信息，得到扩展信息。

2.如权利要求1所述的方法，其特征在于所述步骤1)中同时生成一随机化参数，用于加密阈下信道信息，将所述随机化参数分配给阈下信道信息的收发者。

3.如权利要求2所述的方法，其特征在于所述公钥、私钥、阈下信道信息收发的随机化参数的生成方法为：

1)利用RSA算法生成公、私钥对：取2个素数p、q，计算n←pq，φ(n)←(p-1)(q-1)，其中‘←’表示赋值，使得n为1024比特；选择一个整数b，满足1<b<φ(n)与gcd(b，φ(n))＝1，其中gcd表示计算最大公约数；计算a←b^-1modφ(n)，令K_P←(n，b)和K_S←(p，q，a)分别为公、私钥；

2)采用AES-256对阈下信道进行随机化：任选256比特的数据作为AES-256的密钥，将其作为阈下信道信息收发的随机化参数K_C。

4.如权利要求3所述的方法，其特征在于对需要伪随机序列调制的水印信息，利用线性反馈位移寄存器算法产生一个伪随机序列K_W作为数字水印嵌入和提取安全参数，K_W由阈下信道的收发者共享。

5.如权利要求3所述的方法，其特征在于结合阈下信道信息的数字签名方法为：

1)取一个二进制随机数r，将阈下信道信息中的扩展信息分别转换为二进制数据后依次排放，然后用随机化参数KX将扩展信息作为一个整体数据以AES-256算法加密，生成承载扩展信息的阈下信道信息s；其中|s|≤768比特，包括|s|＝256比特、|s|＝512比特和|s|＝768比特三种情况，|·|表示一个数值占用的二进制长度；

2)取数字内容中不受水印嵌入影响的部分，计算其杂凑值，得到h；取一个固定的填充p₁，其尺寸根据s的尺寸变化，满足|s|+|p₁|＝768比特；令M←s‖h‖p₁，其中，符号‘‖’表示在内存中连接两个数值；计算M的杂凑值，得到H；

3)取一个固定的填充p₂，其尺寸根据s的尺寸变化，满足|s|+|p₂|＝768比特；令DB←p₂‖s，用掩码生成函数对H进行计算，得到mH，该值的内存表示满足长度输出要求：|mH|＝|DB|＝|s|+|p₂|；计算

mDB &LeftArrow; DB &CircleTimes; mH,

EM←mDB‖H，其中，符号

表示异或操作；将EM用RSA的私钥K_S＝(p，q，a)加密，得到数字签名sig←EM^amodn，其中，n＝pq。

6.如权利要求5所述的方法，其特征在于提取所述阈下信道中所述扩展信息的方法为：

1)将sig用RSA的公钥K_P＝(n，b)解密，得到EM←sig^bmodn，将其分割为mDB和H，用掩码生成函数对H进行计算，得到mH，其满足|mH|＝|mDB|；计算

s = mH &CircleTimes; mDB;

2)取被保护数字内容C_S中不受水印嵌入影响的部分，计算其杂凑值，得到h′；取所述固定的填充p₁，得到M′←s‖h′‖p₁，计算其杂凑值H′；如果H′＝H，则认为满足内容完整性和来源的可靠性要求，签名校验通过，否则不通过；

3)接收者利用随机化参数K_C通过AES-256解密算法从通过签名校验的数据中获得扩展信息。

7.如权利要求5或6所述的方法，其特征在于所述阈下信道的扩展信息包括但不限于下列信息的一种或几种：

k：授权解密密钥，用于处理以加密的形式发布的数字内容；

I：附加安全信息，用于对数字水印签名或签章进行管理，所述附加安全信息包括但不限于下列信息的一种或几种：操作人、时间、地点、审批人；

c₁：签名授权口令，用于私钥被盗窃或丢失时，提供相关的数字签名授权信息；

c₂：受威逼情况暗号，用于预防在威逼下被迫签名时，提供表示是否存在威逼的暗号；

D：部分压缩数据，用于在验证中需要还原原始数字内容时，可以对数字内容的感知冗余部分进行压缩，将部分压缩数据存回；

r：临时生成的随机数，用于满足数字签名算法安全的需要。

8.如权利要求1所述的方法，其特征在于所述数字水印信号的嵌入方法为：

1)当数字内容是数字媒体文件时，将所述数字水印信号直接嵌入数字媒体中；

2)当数字内容是文字文档时，将所述数字水印信号嵌入插入文档的电子印章图像中。

9.如权利要求8所述的方法，其特征在于如果所述数字媒体需要将来被还原，则对其嵌入域进行Huffman压缩，将压缩数据分为直接存回所述嵌入域的部分A和将存放在阈下信道中的部分D，其中，A存放的起始位置固定，其前端存储|A|，D满足|D|≤768比特，并且尺寸固定。

10.如权利要求1所述的方法，其特征在于生成和部署所述公钥、私钥、阈下信道消息收发的安全参数的方法为：

1)采用ElGamal类算法：选择一个素数p，g为p元有限域GF(p)乘法群GF(p)^*上的一个生成元，在{1，…，p-1}中任选x作为私钥，将y＝g^xmodp作为公钥，将私钥发送给签名方，使公钥可以被签名的验证方访问，而双方共享p与g；

2)任取p-1的素因子q，将q和x_q＝xmodq作为阈下信道收发双方共享的安全参数。