基于数字水印技术的高校审计电子档案安全系统设计

石利芳　颜斌　孙晓红

摘要：多媒体处理技术的发展使得对电子多媒体档案的复制、篡改和传播变得更加容易。如何有效检测非法篡改？如何追踪泄密档案的泄密源？这些问题给电子档案的安全性提出了新的挑战。针对该问题，我们设计了基于数字水印技术的高校审计电子档案安全系统。该系统通过多媒体信号处理技术，将一个加密后的标志嵌入到数字多媒体档案中，该标志对档案的使用者不可见，不影响正常使用。通过提取该标记可以检测档案是否受到非法篡改，并可以定位篡改内容。在档案利用过程中，通过数字指纹技术，可追踪泄密档案的泄密源。本文在系统需求分析的基础上，设计了系统框架，并结合前期研究成果实现了该系统的部分关键功能。分析和测试表明，该系统能够有效抵抗非法篡改，检测档案的原始性，并能有效追踪泄密档案的泄密源。

关键词：数字水印；审计档案；系统

中图分类号：G647 文献标志码：A 文章编号：1674-9324（2016）29-0017-03

一、引言

随着计算机技术和网络技术的不断发展，社会信息以电子档案的形式进行存储，其管理方式也逐步由传统纸质档案管理模式转变为信息化管理，在信息化过程中，如何解决电子档案的安全问题，使信息技术在档案管理中更好地发挥作用，成为当今档案理论和实务研究的中心问题。

过去由纸墨、照相等形成和传递的高校公文、图形、图纸、图书、文献资料、商业信息图像，都可以形成电子文件，主要类型有：文本文件、图像文件、图形文件影像文件、声音文件、超媒体链接文件、数据库文件程序文件等。与传统档案文件相比，电子档案更加容易复制、修改，修改后不留任何痕迹。电子档案文件的易更改性，给其档案管理工作带来纸质文件所没有的安全问题。

档案安全一般包括两个部分：一是档案信息的载体安全；二是档案信息本身的安全。关于载体安全性已有比较充分的研究[1]，本文侧重档案信息自身的安全性。电子档案的特性决定了电子档案信息与传统纸质档案相比，更容易被篡改，或者篡改痕迹很难被发现，档案信息的载体也更不稳定；这些因素随时对电子档案信息的原始性、完整性构成威胁。在网络环境下，档案信息的安全保障问题更为严峻。利用网络进行电子档案的传输得到了越来越广泛的应用，也给人们的日常工作带来了好处，但随着应用范围的扩大，也暴露出一些技术上的问题：一是档案在传输过程中，数据很容易被他人窃取。二是电子档案在发送、接收、保管、归档时面临病毒的威胁。传统的档案信息安全系统是建立在加密技术的基础之上的[2]。例如采用基于对称和非对称加密技术的签署技术，消息认证技术，身份验证技术，防写措施等。上述这些技术对于防范电子文件在存储、传输过程中的安全性、保密性都具有很好的效果。

基于传统加密技术的档案安全系统存在如下问题。采用加密技术虽然能保护档案的内容，但是在档案利用过程中往往需要解密，解密后的档案数据与其安全信息相分离，对档案不再具有任何保护性。例如在有些电子档案系统中采用了基于消息认证码的防篡改措施[3]，由于消息认证码与档案数据相分离，这种方案只适用于档案传输过程中的篡改检测，不能用于档案利用过程中的篡改检测。我们需要一种能够将认证信息与档案数据紧密结合的认证方案，数字水印技术能够将认证信息嵌入到档案数据中，起到篡改检测的作用，并且难以分离，对主动攻击具有良好的防护性。基于上述分析，我们在设计高校审计电子档案安全系统时，将数字水印技术与传统加密技术有机结合，设计了基于水印技术的档案信息安全系统。

二、系统需求分析

本文侧重保护档案在利用过程中的安全性，要设计该安全系统，首先需要分析系统的安全需求。本小节侧重分析系统对安全服务的需求。关于加密部分的需求分析，可参考ITU-T提供的X.800方案，即可系统地分析系统存在的潜在攻击、系统需要提供的安全服务，以及需要采用的安全机制[3]。在本系统设计中，针对审计电子档案利用的特点，我们主要考虑到两种服务需求：篡改检测和定位以及泄密档案泄密源追踪。

使用现代图像处理软件，例如Photoshop或者专用篡改软件等，攻击者能轻易实现对电子档案的篡改。例如修改原始审计记录扫描图像的特定区域，抹去或者修改对应的数据等。针对该问题，系统需具备防篡改机制：检测图像是否受到篡改，在什么位置发生了篡改。

部分保密档案在利用过程中，会出现使用者不负责任而泄密或者恶意泄密。在泄密发生后，如何追踪泄密源？这要求系统能将档案使用者的身份与档案副本相联系。这样，根据泄密的档案副本可以逆向追踪泄密源，这对于事后责任追究，以及事前预防都有积极作用。正如通过指纹能够追踪犯罪嫌疑人，这项技术又称为数字指纹技术。

三、系统功能设计和实现

1.篡改检测功能的设计和实现。篡改检测功能是通过脆弱水印和半脆弱水印来实现的[4，5]。在电子档案形成过程中，将一个加密后的标记通过脆弱水印嵌入算法嵌入到图像或其他多媒体档案中，检测器可以通过提取水印来判断载体档案是否受到了篡改。该系统的结构示意图如图1所示。

在电子档案的形成过程中，将脆弱水印经过不可见水印嵌入器嵌入到电子档案中，然后存入到存储设备中。攻击者会设法通过网络篡改存储设备中的电子档案图像，但同时也会破坏嵌入其中的脆弱水印。正常利用档案之前，将含水印电子档案从档案存储设备中提取出来，首先经过水印检测器处理以判断档案是否受到篡改，如果没有篡改，则可正常使用档案；如果检测器提示档案已经被篡改，则启动取证程序以确定篡改位置。

作为该系统原型样机的初步实现，我们采用了最低有效位水印算法来检测篡改[6]。其基本思想是使用二值水印图像替换档案图像每个象素的最低有效位。我们针对一副审计报告图像测试了该算法的性能。测试结果如图2至图5所示。

由图5提取的水印信号，能够轻易辨别被篡改的区域。提取水印中也存在其他部分小区域的白色像素群，这是由于压缩解压缩误差引起的。在压缩率较大的情况下，我们不能采用简单的最低有效位水印算法，可以考虑采用一般量化指数调制算法。

2.泄密源追踪功能的设计和实现。基于水印的泄密源追踪在水印研究领域又称叛逆者追踪。在国际电影节评奖过程中，曾成功应用叛逆者追踪来追踪在评奖过程中由评委泄露的电影片断，确定泄密责任人。叛逆者追踪算法的基本思想是：在分发电子文档副本时，将接收者的信息嵌入到该副本中。如图6所示，例如分发给Bob的副本中嵌入水印信息Bob，分发给Alice的副本中，嵌入水印信息Alice。所采用的水印应具有一定的鲁棒性和安全性，从而攻击者难以移除水印信息。这样当出现电子档案信息泄露时，可以从所泄露的电子档案中提取出水印信息，从而确定泄露源。

由于本项功能对数字水印的鲁棒性要求较高，我们设计了基于扩频图像水印的算法[4]。首先将图像进行小波变换，采用扩频算法调制水印信息后，在小波变换域将水印信号叠加到档案图像的小波系数上。最后通过反变换获得含水印图像。水印检测器采用相关检测器，能有效抑制噪声的影响。为抑制载体档案对水印检测的干扰，我们应用了我们的最新研究成果：线性干扰抵消算法[7]。测试表明该算法能有效抵抗加性噪声、幅度缩放、Gamma校正、重新量化等常见攻击。

四、结论和讨论

为解决高校审计档案存储和使用过程中潜在的篡改攻击和保密档案泄密问题，本文设计了基于脆弱数字水印的篡改提示和定位子系统，基于鲁棒数字指纹的泄密源追踪子系统。实验测试表明该系统能有效定位篡改位置，并能够从已泄密电子档案图像中提取责任人的身份信息。在前期研究的基础上，我们将进一步完善系统抗主动攻击的性能，例如抵抗几何攻击。另外，将拓展系统所支持的档案载体种类，我们目前正致力于音视频审计档案的篡改检测和数字指纹研究[7]。

参考文献：

[1]张艳欣，李颖贾，贾慧娟.高校数字声像档案信息安全保障研究[J].兰台世界，2010，（9）：18-19

[2]王茹熠.数字档案信息安全防护对策分析[D].哈尔滨：黑龙江大学，2009.

[3]William Stallings.Cryptography and Network Security（4th edition）.Publishing House of Electronics Industry，2006.

[4]Bin Yan，Zhe-ming Lu and Sheng-he Sun，Security of Autoregressive Speech Watermarking Model Under Guessing Attack[J].IEEE Transactions on Information Forensics and Security，2006，1（3）：386-390.

[5]雷晓蓉，刘琬欣.数字水印技术及在档案利用工作中的应用[J].黑龙江档案，2004，（3）：46-47

[6]J. Cox，M. L.Miller and J. A. Bloom. Digital Watermarking. Morgan Kaufmann Publishers，2002.

[7]王小明，颜斌，吕文红.基于线性干扰抵消的扩频语音信息隐藏算法[J].计算机应用，2010，30（7）：1821-1824.