信息隐藏——概论

《信息隐藏——概论》由会员分享，可在线阅读，更多相关《信息隐藏——概论（16页珍藏版）》请在装配图网上搜索。

1、信息隐藏概论* Translated from the original English version and reprinted with permission, from (Proceedings of the IEEE, Vol. 87, No. 7, pp: 1062-1078, July 1999)Fabien A. P. Petitcolas, Ross J. Anderson, Markus G. Kuhn摘要：在许多应用领域，信息隐藏技术正越来越受到重视。数字化音频、视频和图片正逐渐被冠以可以区别的、不可见的标志，这些标志可能隐含了一些版权说明、序列号、甚至可能直接限制未授权

2、的复制。军用通讯系统不断拓展信量安全技术的使用，他们不仅仅是使用加密技术来加密一条消息的内容，还力图隐藏消息的发送者、接收者，甚至是消息本身的存在。同样的技术也使用在移动电话系统和电子选举方案中。犯罪分子将之用于现有的通讯系统，而警方则试图限制他们的使用。在这个新兴的、迅速发展的领域，许多这类技术已经被提出，尽管这样，它们可以追溯到遥远的古代，并且令人吃惊的是，其中一些方法可以很容易地被规避在本文中，我们试图对这个领域做一个概括介绍，包括我们所知道的、有效的和无效的信息隐藏技巧，以及一些有趣的研究课题。关键词：版权标志，信息隐藏，隐秘术161. 引言人们往往认为对通讯内容加密即可保证通讯的安全

3、，然而在实际中这是远远不够的。特洛伊战争中的谋士们和一些其他古代的作者，专注于隐藏信息更甚于仅仅是将它们译为密码1；尽管现代的密码学从文艺复兴时期开始发展，我们却发现Wilkins在1641年还是乐于隐藏甚于加密2, ch.IX, p.67，因为这样做很少会引起注意。这种应用持续到现在的某些场合。例如，一份加密之后的电子邮件信息，如果它在毒贩和其他尚未被怀疑的人之间，或者国防建设的雇员与敌方大使馆官员之间传递，显然，它包含某种深意。所以，对通讯安全的研究不仅包括加密，还包括以隐藏信息为根本的信量安全。这一学科包含如下一些技术：发散谱广播，它广泛用于战术军事系统，目的是防止发送者被敌方定位；临时

4、的移动用户标志，用于数字电话中，目的是防止用户的位置被揭发；匿名转发邮箱，它可以隐藏一份电子邮件的发送者信息3。信息隐藏中一个重要的子学科是隐秘术。不同于密码学中对信息内容的保护，隐秘术着眼于隐藏信息本身的存在。它来自于希腊词根(,-)，字面意义是“密写”151，它通常被解释为把信息隐藏于其它信息当中。例如，通过在一份报纸上用隐形墨水标志特定的字母，达到给间谍发送消息的目的，或者在声音记录中某个特定的地方添加难以察觉的回音。表1 过去几年关于数字水印的出版物数量(INSPEC, 1999年1月)Table 1 Number of Publications on Digital Watermar

5、king During the Past Few Years(According to INSPEC)January 1999 (Courtesy of J.-L. Dugelay 5)年 1992199319941995199619971998数量224132964103直到最近，信息隐藏技术与密码学相比，无论在研究领域还是工业应用中，都没有受到太大的注意，但是这一点在迅速改变(见表1)，并且以信息隐藏为主题的第一届学术会议于1996年组织召开4。其主要的推动力是对版权的关注；因为音频、视频和其它一些作品可以数字化形式出现，完美的复制品易于得到，导致大量未授权复制品的产生，这受到音乐、电影、

6、图书和软件出版业的广泛关注。最近最有意义的研究工作包括：数字水印(隐藏版权信息)和数字指模(隐藏序列号)，它们的区别是后者用于判别版权规定的违犯者，前者用于起诉这些违犯者。这里我们来看另一个发展，DVD协会征求关于版权标志的建议，用于加强对连续复制的管理。其基本思路是消费者可以使用DVD播放器不受限制地复制家庭录象和某些电视节目，但却不可以滥用于商业目的。在这个思路下，家庭录象应该是不做标志的，电视广播应该标志为“仅可复制一次”，商业影像标志为“不可复制”，“遵从的”消费设备就会遵照这些标志来自动操作6, 7。还有其它一些应用也导致了对信息隐藏课题的研究兴趣增长(见图1)。图1. 基于文献10

7、对信息隐藏技术的分类。许多列举在第III-A和III-B部分的、以前的系统，我们称之为“依赖技术的隐秘术”(即物理地隐藏信息)，本文中大多数最近的例子称为“语言上的隐秘术”和“版权标志”Figure 1. A Classification of Information-Hiding Techniques based on 10. Many of the ancient systems presented in Sections III-A and III-B are a form of “technical steganography”(in the sense that messages a

8、re hidden physically) and most of the recent examples given in this paper address “linguistic steganography” and “copyright marking”l 军事的和其它一些情报的机构，需要“低调”的通讯手段。即使对消息的内容加密，现代战场上对这些敏感信号的检测可能导致对发报员的快速反击。基于此，军方通讯往往采用诸如发散谱调制或者大气散射等传递技术，保证信号不易于被敌方发现或者干扰；l 犯罪分子也关注和采用一些“隐蔽”的通讯手段。他们乐于使用预付费的移动电话、修改过身份的移动电话，甚至

9、侵入交换机使得电话可以改变通讯线路；l 执法与反情报机关等也关注这些技术以及它们的弱点，从而达到发现和跟踪隐藏信息的目的；l 有些政府最近作出了一些尝试，限制在线自由交谈和民间使用加密技术，因此也刺激了人们致力于发展互联网络上匿名通讯(如匿名邮件中转站和代理服务器)的热情；l 电子选举和电子货币也使用匿名技术；l 有些商家使用电子邮件伪造技术，既发送了大量不合法的消息，又避开了气愤的用户的反应。我们将在后面提到其它一些应用。暂时地，我们认识到在密码学这个“游戏”中参与者的界限被明确划分了(“好人”试图保持他们的通讯的保密性，而同时“坏窃听者”希望进行窃听)，而对于信息隐藏来说，这个界限就不那么

10、清晰了。互联网络的合法用户可能使用匿名通讯来使用求助热线或在在线选举中私下秘密地投票8；但是没人愿意提供一个匿名通讯机制，在这个机制下，那些有敌意的人可以容易地使它超过负荷。工业可能需要一些工具来不可见地隐藏版权标志到媒质中，然而这些工具也可能被间谍滥用于在公众网络上的不起眼的数据中隐藏秘密。最后，这种技术还有大量的非竞争目的的应用：如购买信息标志音轨，这样人们可以在他们的车载音响上试听一段音乐，仅仅按一个键就可以购买CD。本文其余部分组织如下：首先，我们将阐明信息隐藏中的一些术语，包括隐秘术、数字水印和指模；其次，我们将描述在一些应用中使用的大量相关技术，它们有古代的和现代的，我们将试图按照

11、使其共同特征更加明显的原则来列举它们；此后，我们将讨论针对所述技术的一些攻击；最后，我们将试图给出通用的定义和原则。与一般的介绍顺序不同，我们的讨论将按照从实践到理论的顺序，这样看起来更适合近期飞速发展的学科，而且这个学科的一些通用理论依然是一些试验性的。2. 术语正如我们前面提到的，不同的研究团体都表现出了一种不断增长的热情，他们的研究对象包括隐秘术、数字水印和指模。这导致了一些术语上的混乱。我们现在将简单地介绍本文后面将使用的一些术语，我们已经在第一届国际信息隐藏工作会展上就这些术语达成了一致4，9(见图1)。一个通用的、在其它数据中隐藏数据的模型可以描述如下：植入的数据是希望秘密地发送的

12、消息，它常常隐藏于一个无害的消息(这个无害的消息可以适当地称为掩饰文本(cover-text)、掩饰图象(cover-image)或者掩饰音频(cover-audio)之中，从而产生隐秘文本(stego-text)或者其它隐秘对象(stego-object)。一个隐秘密钥用于控制隐藏过程，使得检测或恢复过程仅限于那些知道密钥的人(或者那些知道密钥的起源的人)。隐秘术的目的是在双方之间建立一个隐蔽的通讯，潜在的攻击者不知道这个通讯的存在性。与此相反，一次成功的攻击包括检测到这个通讯的存在性。版权标志，相较于隐秘术，还有一个对潜在攻击的鲁棒性的附加要求。在这个意义下，“鲁棒性”的含义还不是很明显；

13、它主要依赖于应用。版权标志并不总是需要隐藏起来，例如有些系统使用可见的数字水印11，但是大多数文献更关注有更广泛应用的不可见(或透明)水印。可见水印，与出现在13世纪末期的用于区分造纸厂的原始纸水印有着深厚的联系12。现代的可见水印可以是某种图案(例如一家公司的商标或者版权符号)，它覆盖在数字图象之上。在关于数字标志的文献之中，隐秘对象通常主要是指被标志的对象。我们也许需要根据应用來分类水印。脆弱水印(脆弱水印曾经被错误地认为是“签名”，这导致了与密码学中的数字签名的混淆)随着对象的修改而破坏。这可以用于证明对象没有被修改过，并且在把数字图象作为法庭证据的情况下可能是适用的。鲁棒水印具有这样一

14、种性质：不可能删除它或者使它不起作用，而同时又不损坏隐秘对象。这通常意味着标志要被植入对象中最有知觉意义的部分。许多人也把鲁棒水印分类。指模(也称为标志)是隐藏的序列号它能够让知识财产的拥有者辨明那些把财产出售给第三者而触犯许可协议的人。水印让我们辨明财产的拥有者。图2. 通用数字水印植入方法。标志M可以是水印或者指模。Figure 2. Generic Digital Watermark Embedding Scheme. The mark M can be either a fingerprint or a watermark.图2表示了一个通用的植入过程。给定一幅图象，一个标志，以及一个

15、密钥(通常是一个随机数发生器的种子)，植入过程可以被定义为如下形式的映射：，并且这适用于所有的水印植入方法。图3. 通用数字水印恢复方法Figure 3. Generic Digital Watermark Recovery Scheme通用的检测过程如图3所描述。它的输出既可以是恢复的标志，也可以是对由中提取出的标志与输入的标志的相似性度量的某种可信度。还有许多其它类型的鲁棒版权标志系统，它们可以由其输入和输出定义。l 私有标志系统，它至少需要原始图象。第一种类型的系统，从可能遭到修改的图象中提取标志，并且使用原始图象作为线索来查找标志在中的位置。第二种类型的系统 14-16，需要原始标志，

16、并且仅就如下问题给出“是”或者“否”的回答：是否包含？()。也许有人认为第二种系统比第一种系统更鲁棒，因为第二种系统传达了很少的信息而且它需要接触到秘密内容13。半私有标志系统不需要原始图象就可以进行提取()，却可以回答同样的问题。私有和半私有标志系统，看起来适用于在法庭上证明所有权，或者在诸如DVD市场中作为复制控制手段，当DVD解读器需要知道播放内容是否是许可的。目前许多提出的方案属于这类18-23。l 公有标志(也被认为是盲标志)系统，这是一个最具挑战性的问题，因为它在提取过程中，既不需要保密的原始图象，也不需要植入的标志。事实上，从这样的系统中，我们可以真正地从做过标志的图象中提取出个

17、二进制位(标志)的信息：24-28。公有标志与其它系统相比有着更加广泛的应用，我们将会在这些系统中专注于我们的基准。显然，公有系统中的植入算法通常可以使用在私有系统中，同时也改善了它的鲁棒性。l 不对称标志 (或者公钥标志)系统，它有着这样的特性：任意用户可以读取标志，却不可能删除标志。在本文后面的部分，除非特意声明，“水印”将专指“数字水印”。3. 隐秘技术下面我们将介绍一些信息隐藏中所使用的技术。它们之中的一些可以追溯到古代，不幸的是，许多现代系统的设计者并没有从他们的前人的错误中吸取教训。3.1 含糊的安全性在16、17世纪，涌现了许多关于隐秘术的著作，其中许多新颖的方法依赖于信息编码。

18、在Schott(1608-1666)的400页的著作Schola Steganographica29中，他阐述了如何在音乐乐谱中隐藏消息：每个音符对应于一个字符(见图4)。Bach在文献10中提出了另一种基于音符的出现次数的方法。Schott还扩展了Trithemius(1462-1516)在Steganographice一书(这是有关这个领域的最早的一本著作)中提出的“Ave Maria”码。扩展码使用40个表，每个表有24个入口(当时，每个入口对应于字母表中的一个字母)，这些入口包括四种语言：拉丁文、德文、意大利文和法文。纯文本中的每个字母，被相应入口内的词或短语所替代，最终隐秘文本看上去

19、象是祈祷词或者咒语。最近的研究表明，通过把这些表对25取模并应用到一个逆转的字母表中，就可以破译它们30。在文献2中，剑桥Trinity学院的教师Wilkins(1614-1672)论述了“两个音乐家能够通过使用他们的乐器交谈，就象用嘴说话一样”是因为什么2, ch. XVIII, pp:143-150。他还解释了如何在几何图形中通过使用点、线和三角形来保密地隐藏消息。“点，线段的终端和图的角度，都可以表示不同的字母”2, ch. XI, pp:88-96。图4. 在音乐乐谱中隐藏信息：Schott简单地把字母表中的字母映射到音符。显然，不要尝试去演奏这种音乐29, p.232Figure 4

20、. Hiding Information into Music Scores: Schott simply maps the letters of the alphabet to the notes. Clearly, one should note try to play the music29, p.322另一种广泛使用的方法是离合诗。在Kahn的The Codebreakers一书中31，他例举了一个修道士是如何写下一本书并把他的心上人的名字设为连续章节的第一个字母。他还例举了一个战俘如何在寄回家的信中隐藏消息，这个战俘在上使用点和虚线，用来拼写一条Morse编码的隐藏文本。这些“语义方

21、法”隐藏了消息，但是却有一个内在的问题，掩饰文本难于创建，并且常常听起来很奇怪，这足以引起保密检查员的注意。在两次世界大战中，保密检查员截获了大量这样的消息。一个著名的例子是：第一次世界大战中，一份海底电报说“父亲去世了”，保密检查员将它修改为“父亲病了”并发送出去。对这份修改过的电报回复泄露了秘密“父亲去世了还是病了？”31, pp:515-516。尽管隐秘术和密码学不同，我们还是可以借鉴后者的一些技术和实践知识，以及许多有条理的原则。在1883年，Kerckhoffs阐明加密工程中的第一原则，他建议我们假设敌对方已知我们所使用的加密算法，这样安全性必须也只能依赖于密钥的选取32(“Il f

22、aut quil nexige pas le secret, et quil puisse sans incovenient tomber entre les mains de lennemi”32, p.12)。从此，密码学的历史中重复出现“含糊的安全性”这样一个错误，即假设敌方对自己所使用的系统是无知的。应用这一知识，我们得到如下关于安全的隐秘系统的一个尝试性定义：该系统敌方是完全明白的，但是如果不知道密钥，敌方得不到任何证据(或者甚至是猜测)能表明该系统发生过通讯。换句话讲，任何关于所隐藏的文本的信息都不可能从隐秘(或者甚至是掩饰)文本中得到。我们在后面会重温这个定义，用于考虑鲁棒性和其

23、它问题；但是它保留了一个核心原则，即意图广泛应用的隐秘术方法应该被公布，如同商业加密算法和协议一样。Kerckhoffs的这一原则对标志技术有着特殊的限制，这些标志可以作为证据在法庭上起作用。任何一种如上所述的具有“含糊的安全性”系统得以成功地执行是侥幸的。今天尚在使用的许多隐秘系统仅仅是“隐藏”数据到一段音频、或视频文件的最低有效位这对一个有能力的对手来说检测或者删除它是微不足道的。3.2 伪装也许明智地使用伪装能够改变状况。尽管从原则上讲方法已经公开，但是令对被隐藏的数据的非法查找成本昂贵会非常有益，特别是在那些有大量掩饰通讯的场合。在建筑业的早期，艺术家们就已经懂得雕塑和油画等作品从不同

24、的角度看上去不尽相同，从而设立了透视图和变形的规则34。在16、17世纪，变形图象提供了一种理想的方法用于伪装危险的政治声明和异端思想35。Durer(1471-1528)的学生，Nrnberg的一名雕刻家Sho，在1530年左右创建了一件隐藏变形雕刻的杰作Vexierbild：当人们从正常的角度看它时可以看到一幅奇怪的风景，而从侧面看时却可以看见一个著名的国王的肖像。Herodotus(公元前486-425)在他的Histories36一书中，陈述了公元前440年前后发生的事情。Histieus剃光他最信任的一个奴隶的头发，在这个奴隶的头皮上面刺了一条消息，这条消息在奴隶的头发重新长出来之后

25、就看不到了。这样做的目的是鼓动一场反对波斯人的起义。令人惊讶的是，同样的方法在二十世纪初还被某些德国间谍所采用37。Herodotus还讲述了Demeratus，一个在波斯法庭的希腊人，如何警告Sparta关于Xerxes的迫近眉睫的入侵：他从一块写字板上划掉一块蜡，然后把他的消息写在下面，最后再用蜡覆盖在上面，这样的写字板看上去就象空白的一样(它几乎欺骗了接受者，如同欺骗海关一样)。大量这样的技术是被特洛伊战争时期的谋士们发明或者传播的1，包括隐藏消息于使者的脚底或者女人的耳饰、在木板上书写然后刷成白色、信鸽带信。最有意思的方法是在一块距骨上打24个孔，然后用线在孔中穿绕：每个孔代表一个字母

26、，一个单词用穿绕过相应的孔来表示。他还提出了隐藏文本的方法：在掩饰文本中字母的上面或者下面打细小的孔，或者改变字母笔画的长度。这些点被黑色字母和白色纸张的对比度所掩饰。这种技术到17世纪仍然有人使用，但是它在Wilkins的手中得到了改进：他用不可见墨水来做小点而不是打孔2；在世界大战中，德国间谍再次使用了这技术31, p.83。现代仍然把这一技术用于文档安全38。不可见墨水广为应用。它们最初使用的包括有机物(如奶和尿液)或者“水中溶解盐块”2, ch.V, pp:37-47，这些材料随着温度升高而显影；化学的进步，有助于创建更加复杂的墨水和显影设备的组合，特别是在第一次世界大战中，但是随着“

27、通用显影设备”的发明，这种方法被摒弃了。因为这种新设备可以根据纤维表面的效果判断出纸张的哪一部分被蘸湿过31, pp:523-525。今天，在货币流通安全领域，有特殊结构的特殊墨水或者材料(如荧光染料或者DNA)被用于在银行票据或者其它安全文档中写入隐藏的消息。这些材料在使用特殊的检测方法如试剂或者激光束时，会产生一种特殊的反应。在1860年，做微小的图的基本问题被解决了40。在1857年，Brewster建议隐藏保密消息到“那些不超过句号或者一小滴墨水的空间”中41。在1870-1871年爆发的法国和普鲁士的战争中，当巴黎被围困时，鸽子带出了隐藏在微缩胶卷上的消息42, 43。在1905年的

28、俄国和日本的战争中，显微图象被隐藏于耳朵、鼻孔中，甚至指甲之下40。在第一次世界大战中，间谍们收发的消息通过几次照相缩小成为细小的点，然后把这些点粘贴在那些无关紧要的掩饰材料如杂志中印刷的逗号之上。与这些伪装技术同样作用的数字方法在掩饰算法中得以使用16, 26, 45-47。如同许多源编码技术48，他们依赖于人类分辨系统。例如声音掩饰，就是一种声音干涉我们对其它声音进行辨别的现象49。频率掩饰，发生在两个在频率上相近的音调同时发出时：高的声调会掩饰相对微弱的音调。时间掩饰，用于把一个低层信号在一个强的信号之前或者之后立即发送，或者在一个高音停止时，因为我们需要一个时间间隔才能在一个相近的频率

29、听到一个弱音。图5. 一个针对数字水印和指模的掩饰和变换空间的典型应用。信号可以是一幅图象或者一个声音。 感知分析分别基于人类视觉或者听觉系统。 表示植入算法， 表示标志在感知模型提供的信息下的重要性Figure 5. A Typical Use of Masking and Transform Space for Digital Watermarking and Fingerprinting. The signal can be an image or an audio signal. The perceptual analysis is based on the properties of

30、 the human visual or auditory systems, respectively. corresponds to the embedding algorithm and to the weighting of the mark by the information provided by the perceptual model.因为这些作用发生在一些压缩标准如MPEG50，许多系统形成了这样一个特点，即把植入的数据放置于数据在感知上最有意义的部分，这样它们就可以在压缩之后得以幸存26，46(见图5)。这个思想也用于隐藏数据信道，如在一张音乐CD上的普通信道之中隐藏其它的

31、声音信道15；这里，一个优化的噪音控制被引用，目的是把植入信号对掩饰音乐的质量的影响降到最低。其它关于使用感知模型到数字水印中的更加详细的信息，请参见52, 53。3.3 植入信息位置的隐藏在古代中国发展的一个安全协议中，发送者和接收者各自拥有一些纸模板，在这些模板上随机地选择一些位置挖洞。发送者把他的纸模板放在一张纸上，把保密消息写到那些空洞对应的位置，然后拿走纸模板，最后在纸的其它位置写上其它的字，从而组成一段掩饰消息。接收者能够立即读出隐藏的消息，他只需把自己的纸模板覆盖在纸上即可。在16世纪早期，意大利数学家Cardan(1501-1576)，也独立地发明了这种方法，称为Cardan格

32、。在1992年，这一方法似乎又被一家英国银行重新使用，他们推荐顾客们隐藏个人信息号码，这些号码被银行中如上所述同样系统的现金机器卡片所使用。在这种情形中，差劲的实施可能导致整个系统变得脆弱54。一个这种方法的变种是标志一个对象，通过利用掩饰材料中预定点的错误或者格式特征的出现。一个早期的例子是Bacon(1561-1626)在他的biliterarie字母表中所使用的技术55, p.266，这导致了一场关于他是否著作了Shakespeare作品的争论56。在这种方法中，每个字母被编码为5个二进制位的码，并通过使用常规字体或者斜体打印字符而植入到掩饰文本中。16世纪印刷的多变可以被看作是一种伪装

33、。其它的例子来自数学表的世界。17、18世纪对数表和天文历表的出版者，曾经故意地把错误引入了最低位的有效数字57。直到今天，数据库和邮件列表卖主仍然使用一些假的入口，目的是区分那些试图转售他们产品的顾客。在一份电子出版的领航计划中，版权信息和序列号被隐藏于行间距和其它的文档格式特征中58。一个这样的事实被发现：移动文本行向上或者向下三百分之一英寸来编码0和1，这种结果对用照相重新多次复制是鲁棒的，并且人眼是很难发觉的。尽管这样，然而当今版权标志建议的主要应用，一般存在于对模拟对象的数字描述如声音、静态图片、视频和多媒体。这里有一个值得思考的问题，即通过引入不同类型的误差来植入数据。正如前面注意

34、到的，许多作者建议把数据植入到最低的有效位22,59。一个明显更好的、曾经被许多作者独立发明的技术，是把数据隐藏到通过伪随机数选择的象素或者声音的采样点的最低有效位60, 61。使用这种方法，伪随机数发生器的种子成为系统的隐秘密钥，并且Kerckhoffs的原则得以体现。许多的实现细节值得仔细考虑。例如，人们也许不期望在一个大面积的单调颜色的区域或者明显的边界处扰乱一个象素；基于此，一种数字相机的原型被设计用于间谍隐藏加密报告到抓拍的数字图象中，这种相机使用伪随机数序列发生器来控制选择合适的象素来隐藏加密文本，忽略那些局部色度变化太大或者太小的象素区域。Chameleon是另外一种新颖的方法，

35、它使用位扰乱技术。理想地，一个版权工作分发的所有复制件都应该被采集指模，然而在现实应用如收费电视和CD，媒质的广播播送和大批量制造的本质排除了这种可能性。Chameleon允许一段加密的文本被广播出去，而同时用户被给予略微不同的解密密钥，这会导致解密之后文本的细微差别。这个系统能够被调整，所以解密文本仅仅被它的最低有效位的稀疏子集标志，这导致对数字音频的可以接受的、低层次的扰乱。一个精确的机制需要修改一个流密码来降低它的关键材料部分传播62。包括位扰乱在内的系统有一个共同的弱点：即使是简单的数字滤波操作也会一个数字对象的最低有效位的数值。这就使得我们要考虑那些使位扰乱对滤波更加鲁棒的方法。3.

36、4 隐藏信息的传播一种明显的解决办法是把滤波操作看作对植入信息信道引入噪音63，并且使用合适的编码技术来使用剩余信道。最简单的是重复编码只需简单地把1个二进制位的数据植入掩饰对象中足够多次，这样它的迹象会在滤波之后幸存。这从编码理论的角度来看低效的，但是却是最简单的和鲁棒的。另一种传播隐藏信息的方法是把它隐藏到象素色度的统计表中64, 65。例如Patchwork64，使用伪随机数发生器来选择对象素，并且轻微地增加或者减少他们的光度对比。这样，集合中的对比度改变并没有引起图象平均光度的任何改变。采用合适的参数，Patchwork还可以幸免于JPEG压缩。尽管这样，然而它只能植入1位信息。为了植

37、入更多信息，我们需要先把图象分成若干部分，然后分别植入信息27, 66。这些统计方法给出了一种简单原始的发散谱调制。通用的发散谱系统通过选择一个二进制序列来编码数据，其结果对外人来说看来象是噪音，但对于一个合法的接收者来说，使用一个合适的密钥，就能够识别出来。发散谱无线通讯技术从19世纪四十年代中期开始发展其军事应用，这是因为它具有能够抵抗干扰和降低截获可能性的性质67-69；它甚至允许对大气背景中的噪音弱100倍的无线信号的接收。Tirkel等是最初发现可以把发散谱技术应用于数字水印的人70，后来很多研究者发展了基于发散谱思想的隐秘术技术，他们的方法吸收了掩饰媒质宽带宽的特点来把植入数据的窄

38、带宽匹配到其中63, 71-73。在文献15中，Cox等提出了一种图象水印方法，他们把标志植入到对数字图象离散余弦变换得到的个对感觉最有意义的频率部分，这样得到了对JPEG压缩高度的鲁棒性。水印是一个按照高斯分布得到的实数序列，并使用方程来完成植入。如果原始图象为，水印植入图象为，就是主要组成部分已经被改变的图象，对水印的确认需要在原始图象中提取主要组成部分，并且在中按照相同的索引顺序提取主要组成部分，并使用植入方程的逆过程来得到一个可能经过修改的水印。认为中存在水印，仅当大于一个给定的阀值。作者声明在破坏原始水印之前，个水印应该被植入。这一方法对重放缩、JPEG压缩、抖动、裁剪、打印/扫描以

39、及图像平均等具有较强的鲁棒性。尽管这样，它还存在一些弱点。最严重的是，在检测水印的存在性时需要原始图象。第二个问题是植入数据的低信息量。如同Patchwork方法隐藏1个二进制位，更适用于水印而不适于指模或者隐秘通讯。这类方法的信量能够通过在图象中植入独立的标志而得以改善，但是却导致了鲁棒性的降低。在变换域中操作的信息隐藏方法正逐渐变得通用，因为它可以增强针对压缩、其它通用滤波操作和噪音的鲁棒性。实际上，人们发现基于某种特定变换的算法对使用同样变换的压缩取得了非常好的结果。有些方法直接作用于压缩后的对象72。一些隐秘术工具，例如，通过交换指定象素与当前调色板的颜色在GIF格式的图象文件中隐藏信

40、息74。另一个例子是MP3Stego76，它在压缩过程中隐藏信息到MPEG音乐层次III的位流中50。此外，还有许多方法直接操作于掩饰对象的变换部分，如离散余弦变换15-17, 77-79、小波变换16, 80和离散傅立叶变换46, 81。回音隐藏是一种新颖的变换编码技术82，它基于我们无法察觉短回音(毫秒级)这样一个事实。它通过引入两种有不同长度延迟的短回音来表示0和1，把数据隐藏到掩饰音频中。这些位被编码于由伪随机数做为间隔长度分隔开来的位置。Cepstral用于操纵这些回音信号。3.5 特定于环境的技术回音隐藏自然地导致了一个关于信息隐藏的更为广泛主题，即如何利用特定的应用场合的特征。流

41、星爆发通讯是一种得益于军方的技术，它使用因流星进入大气层引发的电离拖曳而形成短暂的无线通路，在基站和移动站之间发送数据包84。这些通路的短暂性使得敌方难于使用无线信号定位移动站，所以这种流星爆发被用于许多军方网络。更普通的基于特定环境的信息隐藏和标志技术被创建于安全出版印刷的领域。在纸张上的水印是古老的防假冒技术(图6)；最近的改革包括用于旅行支票的特殊紫外线(UV, ultraviolet)荧光墨水。因为在影印中使用的灯有强紫外线组成部分，它能够使“无效”两字出现在影印件上。墨水也可以有反应，一个作者有这样的经验：旅行支票在被汗液打湿后放入钱包，其中的“无效”两字就可能显现出来。最近的发展更

42、多地关注仿造，这些仿造借助于最近几年飞速发展起来的高性能扫描仪和打印机85。图 6. 字母组合图 TGE RG（代表着一个造纸者）。在剑桥地区所能找到的最古老的水印（公元1550年）。在那个时候，水印主要被用于以质量保证的意图鉴别造纸厂。Figure 6. Monograms figuring TGE RG (Thomas Goodrich EliensisBishop of Ely, Englandand Remy/Remigius Guedon, the paper maker). One of the oldest watermarks found in the Cambridge ar

43、ea (c.1550). At that time, watermarks were mainly used to identify the mill producing the papera means of guaranteeing quality. (Courtesy of Dr. E. Leedham-Green, Cambridge University Archives. Reproduction technique: beta radiography.)还有许多其它技术被使用。其中光学变化设备的概论，请参阅以下文献，例如衍射产物和细微的薄膜干涉衣料86, 87；美国流通货币的设计

44、在88, 89中被描述，相应的还有荷兰护照的安全特征90。这些这些产品趋于组合那些再造代价昂贵的明显标志(全息图、凹刻和光学可变墨水等)，与再造会留下篡改的迹象(如压层塑料和起反应的墨水)，还有其它的一些不可见的特征(如微写、仅仅在某种特殊照明下才可见的衍射效果，以及化名段结构普通扫描仪难以发现的抖动效果)91, 92。在更近的应用中，称为子墓(subgraving)的一种技术，它把大量信息(如序列号)等输出到背景的一个均匀的偏移之上。这个特殊的印制区域在一个激发激光的作用下暴露出来：它去除了各处的偏移墨水，但是却留下了下面的调色剂。用溶解剂进行欺骗性的去除会导致隐藏墨水的再生93。特征被设计

45、用于机器检测而非人眼越来越普遍。标志可以被植入到银行卡的磁带之中，从而给每一张卡一个唯一的序列号而难于复制94；它们在某些国家还用在电话卡中。磁光纤能够被随机地植入到纸张或者纸板之中，给文档的每个复制件一个唯一的指模。这些技术的重点不仅限于保护货币和安全。药品、汽车备件、计算机软件和其它带商标的产品的伪造，据统计1995年消耗了240亿美元，并在世界范围内直接导致了100例死亡95。安全印刷技术是一个有意义的控制措施，尽管对封装产品的简单问题(如选择感压胶和非标准材料)给予基本的注意，就可能进行更好的设计96。时髦的设计者们经常注意到他们的产品可能被复制，因而希望找到可以轻易鉴别仿造衣料和包的

46、技术。由于数字对象的世界总产量上升了很高的百分点，这里讨论的数字标志技术可能会有更多的商业重要性。同样重要的是隐蔽通道：设计的目的不在于传输信息的通讯线路。简单的例子包括通讯协议和操作系统介面中时变和错误的消息97, 98。隐蔽通道在设计和评价强行访问控制安全概念中倍受关注，操作系统试图限制进程之间的信息流来保护用户免受计算机病毒和特洛伊木马软件的侵害，这些软件可能把保密信息或隐私传递给未授权的第三方。计算机发出的电磁辐射形成了另外一种隐蔽信道。它不仅可以干涉附近的无线信号接收者的接收，还可以传递信息。例如，CRT或者液晶显示器发射的视频信号，能够在几百米外的一个经过修改的电视机屏幕上重现99

47、。许多军事组织使用特殊的防护罩，其目的是降低不安全的发送导致的泄露机密的风险100。我们在文献101中展示了软件如何隐藏信息到视频中，通过使用该方法，隐藏的信息对一般用户是不可见的，而对于那些安装了修改过的电视接收器的用户则可以重现。许多更复杂的方法使用发散谱技术来植入信息到视频信号或者CPU总线行为。写这样一个病毒是可能的：它可以搜索计算机硬盘来寻找加密密钥或者其它秘密，并且对之进行处理之后隐蔽地发送出去。同样的技术也可以用于计算机软件版权保护：软件可以在使用过程中把自己的注册序列号发送出去，同时软件行业联盟派探测车到商业区和其它怀疑有盗版行为的地区如同使用“电视检测车”来管理电视收费一样。

48、如果同时收到表示同一个序列号的多个信号，它们在不同的相位呈发散序列状，那么就证明了单一注册的软件正在同时用于不同的计算机上，这就可以为得到搜查令而提供证据。4. 某些信息隐藏系统的局限性大量不同的数字水印或指模方法提出了广泛的“鲁棒性”声明。不幸的是，鲁棒性标准和测试用的图象却因为使用的系统不同而各不相同，最近的攻击102-106说明迄今为止所使用的鲁棒性标准常常是不充分的。JPEG压缩、添加高斯噪音、低通滤波、重放缩和切割在许多文献中已有提及，但是特殊的扰乱诸如旋转却常常被忽略81, 107，在某些情形下，水印只是被简单地说成“当对于一些标准图象使用通用的信号处理算法和几何变形是鲁棒的”。这

49、就激发了一种针对数字图象水印的公平的基准的引入108。同样地，大量不同的隐秘系统表现了同样严重的局限性109。Craver等110确定至少三种攻击：鲁棒性攻击，目的是削弱数字水印的存在性或者除去它；存在性攻击，目的是通过修改内容使得检测过程无法再找到水印(如Mosaic攻击，见4.3)；解释性攻击，意指攻击者可以制造某种情形从而阻止证明拥有权。这三者之间的界限往往不是很明显；例如，StirMark(见4.2.1)削弱了数字水印的存在性，同时又扰乱了图象内容，迷惑检测过程。作为例子，我们在这一部分列举一些攻击，揭示多种标志系统的局限性。我们将发展一种基于简单信号处理的通用的攻击方法，和特殊的技巧

50、来针对某些特定的算法，并且说明即使一个版权标志系统对信号处理是鲁棒的，“坏”的技术仍然可以提供其它攻击方法。4.1 基本攻击许多基于发散谱的简单方法和其它简单的图象隐秘软件容易遭受某些图像扰动攻击104。事实上，尽管发散谱信号对于谱扰乱和噪音的鲁棒性非常强，但是它们却无法在时变误差之后存留；芯片(chip)信号的同步是最重要的，简单的系统往往无法恢复这种同步性质。有些更加高明的扰乱可以被应用。例如，文献111中，Hamdy等提出一种方法来拉长或者缩短音乐演出却不改变它的声调；这可以扩展到无线广播中，通过轻微地调整一个音轨的播放时间。当这样的工具应用逐渐广泛，包含声音操作的攻击变得轻而易举。4.

51、2 鲁棒性攻击4.2.1 StirMark评价了一些水印软件之后，我们知道尽管许多方法可以保留水印到基本操作之后这是一些可以用标准工具实现的操作，包括旋转、扭曲、重采样、放缩和有损压缩，然而这些水印方法却不善于抵抗那些简单操作的组合或者是随机的几何扭曲。这促使我们设计了StirMark104。StirMark是一种通用的工具，目的是对图象水印算法的基本鲁棒性进行测试，从1997年11月开始免费提供( 详细信息，请浏览http:/www.cl.cam.ac.uk/fapp2/watermarking/stirmark/)。它使用了一种最低的、无法察觉的几何扭曲：图象被轻微地拉伸、裁剪、平移、倾斜

52、和旋转，由不可见的随机数量控制。一个轻微的随机低频平移，在图象中心最大，作用于每个象素。一个高频替换其中为一个随机数被加入。最终，一个转移方程对所有的采样点引入小的光滑分布的误差。这仿效非线性模-数转换的小缺点，常常发生在扫描仪和显示设备上。重采样使用近似的二次B-样条算法112。图7给出了这种扭曲的一个例子。图7. StirMark作用于图象时，它所引入的扭曲几乎无法察觉。”Lena”, (a),(b) StiMark缺省参数操作之前和之后。(c),(d) 为比较，同样的扭曲作用于一个网格。Figure 7. When applied to images, the distortions i

53、ntroduced by StirMark are almost unnoticeable. “Lena”, (a) before and (b) after StirMark with default parameters. (c), (d) For comparison, the same distortions have applied to a grid.StirMark也可以执行一系列已指定的测试，作为测试图象水印算法的基准108。数字水印仍有许多未探索的的领域，仅仅有少许作者对他们的系统作了广泛的测试113。需要一个基准可以展现哪个工作较其它算法更有效，这样才能突出那些研究中有前景

54、的领域。有人期望通过预测盗版可能使用的变换来提高水印系统的鲁棒性；有人可能使用某些技术，例如在合适的可逆变换作用下植入多个版本的水印；例如，ORuanaidh等在文献81中建议使用傅立叶梅林变换。然而，从这个攻击中我们得到的一个大概的教训是：给定一个水印方法，我们可以引入一种扭曲(或者是多种扭曲的组合)来阻止水印的检测，同时还可以保证水印植入图象的视觉效果不变。我们并不仅仅限于那些由普通模拟设备或者使用普通图象处理软件的最终用户所做的扭曲。更进一步地，盗版的质量要求通常比原版低，而原版拥有者不得不判断植入一个强信号、得到最佳的保护要求所引起的质量下降的限度。一个尚未有定论的问题是：是否存在某个

55、数字水印方法，对它而言找不到合适的扭曲攻击。4.2.2 对回音隐藏的攻击如前所述，回音隐藏通过添加回音信号来编码0和1，回音信号依靠其不同的延迟时间和相对谱来区别。延迟时间选在0.5毫秒和2毫秒之间，相对谱在0.8左右82。依照它们的创建者，解码包括利用已被编码的信号的cepstrum的自相关函数来检测初始的时间延迟。然而，同样的方法可以用于攻击。对这一方法的“明显的”攻击是检测回音，然后简单地使用逆卷积方程；问题是在没有任何原始对象和回音参数的知识的情况下，如何检测回音。这在信号处理中被称为“盲回音取消”，一般地，它被公认为一个困难的问题。我们试过许多方法来除去回音。不变频率滤波114, 1

56、15并不是非常成功。取而代之，我们使用cepstrum谱分析与“蛮力”搜索的组合。cepstrum谱分析的根本思想在文献83中讨论。假设给定一个信号，它包含一个简单的单回音，例如，。如果表示的强谱，那么的对数。让这个强谱提高它的“频率”，就是说，频率作为的函数。这个函数的自协方差强调了峰值出现在处。我们需要一种方法来检测信号中回音延迟时间。为此，我们使用一个稍微修改的cepstrum谱：，其中是函数的自协方差，为强谱密度函数，为合成运算符。对随机信号的实验，如同对音乐一样，显示这个方法在对信号添加人为的回音之后，返回了非常精确的延迟时间预测。在检测函数中，我们仅仅考虑回音延迟时间在0.5毫秒和

57、3毫秒之间(如果低于0.5毫秒，函数不能正常工作，而超过3毫秒时回音可以被听到)。我们的第一个攻击是除去一个有随机相对谱的回音，我们期望这就可以对信号做足够的修改，从而阻止水印的恢复。因为当大于时回音隐藏有着非常好的结果，我们使用，它是对的预测值，一个中心在的正态分布。这并没有真正成功，所以我们的第二次攻击是迭代：我们再次使用检测函数并且改变来减小残留的回音。我们可以成功地得到对回音参数更好的预测，并切消除这个回音。当检测函数无法检测到其它的回音时，我们得到了的正确值(它作为检测函数输出的最低值)。4.2.3 其它普通攻击有些普通的攻击方法尝试预测水印并除去它。例如Langelaar等105提

58、出一种针对白色发散谱水印的攻击方法。他们尝试了不同的方法来建立原始图象的模型，并把这个模型应用到水印植入图象上，从而把水印植入图象分成两个部分：预测图象和预测水印，这样水印就不再出现在中，给出。作者说明了一个3x3的中值滤波给出了最好的结果。然而，一个膨胀的预测水印需要被减去，这是因为水印的低频成分不能被很好地预测，导致了对低频部分的正增量和高频系数的负增量这种相互性。只有对膨胀参数进行好的选择才能把相互性降为0。在某些情形，要标志的图象含有某些可以帮助恶意攻击者得到标志信息的特征。这种特征的一个例子是在卡通动画中，仅仅包含很少几种可以区分的颜色，在颜色直方图中显示出明显的峰值。标志算法会导致

59、直方图上一些裂口。Maes提出的双峰攻击，利用这一特性来恢复和删除标志。在灰度图象中，基于发散谱的一个简单的数字水印的例子是对每个象素的值加或者减一个随机给定值。这样一来，每个象素都有各的可能被增加或者减少。令为灰度值为的象素数目，并假设对于一个给定的灰度值，它在直方图中第个相邻的灰度值没有出现，即。因此，相应地在水印植入之后应该有：并且。因此，由一系列类似的方程，我们有可能确定地恢复直方图的原始分布以及植入的水印值。4.3 Mosaic攻击有一种非常普通的攻击，它拥有一种初始的很好的性质，我们使用它可以删除标志，并且还能把图象渲染得每个象素都和原来一样，如同在普通的浏览器下观看水印植入图象一

60、样。这种方法的灵感来自于一种盗版版权检测系统，它由一个水印方案和一个网络搜索器组成。搜索器从网络上下载图片并检查它们是否包含一个用户的水印。我们的Mosaic攻击把一个图象拆分成若干个小图象，然后一个接一个地植入到一个网页中。通常的网络浏览器把每个小图象排列在一起，所以结果与原始图象完全相同。这种攻击看起来很简单；所有的标志系统需要标志植入图象尺寸最小(人们不可能在一个象素上隐藏一个有意义的标志)。然而，通过把一幅图象分割成足够小的图象块，标志检测器将被迷惑104。一种防御措施就是保证尺寸足够小从而使Mosaic攻击没有太大实际意义。但是这样的“搜索器”还有其它的问题。运动编码，如同Java程

61、序可以被用于在浏览器内部显示图象；这种程序可以实时地重新置乱。对抗这种技术将需要整个网页的重现，重现检测图象并检查它们是否包含标志。另一个问题是盗版图片通常在许多小规模的网络服务中买卖，因此需要使用信用卡买下它们才能检测它们。4.4 解释性攻击StirMark和我们对回音隐藏的攻击是对信息隐藏产生最大的威胁的例子，就是说，一个去除标志的盗版者直接使用其技术手段。事实上，对于鲁棒性的通用定义仅仅包含对信号处理(裁剪、放缩、重采样等)的抵抗能力。然而，Cravel等通过展示一种“协议”层次的攻击，说明了仅仅这些还是不够的116。Cravel等的基本思想是许多方案没有提供本质的方法来检测那些植入两个

62、水印的图象中，哪个水印是最先植入的。如果文档的拥有者编码了一个水印，出版发行作了标志的版本，并且没有提供其它的证明，那么一个注册了水印的盗版者就能够声明文档的所有权是属于他的，并且未植入水印的初始版本是。他们的文章117扩展了这种方法，并且战胜了一种不可逆转的方案(一个可逆转的方案只需做一些模拟)。Cravel等讨论了信息丢失标志方案的作用，它的逆转形式不能够被足够地很好地估计。我们对他们提出的攻击的一种解释是：水印或者指模方案必须被用于一个大系统的上下文之中，这个系统也许应该使用时间戳或者其它的公证来阻止这种攻击。环境的约束也可能限制技术机制可能提供的保护能力。例如，使用匿名数字现金系统在I

63、nternet上交易货物有会出现问题，如果购买者的身份确认在他的电子邮件的头部给出，或者货物被运送到他的家庭地址。4.5 执行性攻击植入和跟踪算法、它们的支持协议的鲁棒性并不是唯一的问题。对现有的密码系统的真正的攻击来自于对突法事件产生的漏洞的机会主义的尝试，密码分析其实很少使用，尽管面对的是易受攻击的系统54。我们无法期望版权标志系统完全与其不相同，如传播到Internet上第一次成功对一个广为应用的图象标志方案的攻击。这个攻击利用了标志算法的运行而不是其本质，尽管其本质可能更加脆弱(StirMark可以去除标志)。每个用户有一个ID和一个两位的密码，这在他注册标志服务和付款后发给。ID之间

64、和密码之间的相关性可能被难解的软件所检查，尽管密码的长度很短易于被发现，已经公开的攻击对该软件使用调试工具修改使得密码检测机制被屏蔽。由于ID是公开的，密码的搜索或者分解可以导致任意一个用户被假冒。对程序更深层次的检验，允许一个“坏人”修改ID，以及已经标志的图象中隐藏的水印及其用途(比如公众或者成人内容)。在植入水印之前，程序检查是否在图象中已经存在一个水印，但是这种检测可以通过使用调试工具来忽略它，导致重写一个已经存在的水印并用另外一个水印代替它的结果。对个人号码的彻底搜索能够被毫无困难地阻止，但是对于分解攻击还没有合适的解决办法。如果防篡改软件118不能够给予足够的保护，那么用户可以使用一个在线系统，在这个系统中每个用户分享一个保密的隐秘密钥，它从一个可信组织那里获得，用户使用这个密钥来植入某重数字签名。注意，这里涉及两个独立的密匙操作：证明(如数字签名)和植入或者隐藏操作。尽管我们可以使用公共密钥隐藏术使用一个公共密钥隐藏信息，只有某人使用相应的私有密钥时才能检测其