武強 邊巴旺堆

西藏大學(xué)工學(xué)院電信系 西藏 850000

0 引言

在數(shù)字水印技術(shù)的研究中，水印協(xié)議的研究相對較少。我們知道，無論水印如何具有魯棒性和保真度，如果協(xié)議層面出現(xiàn)漏洞，攻擊者就可以無需任何水印信息或檢測水印而破壞水印。本文主要提出了基于 ECC的匿名買賣雙方水印協(xié)議。

1 橢圓曲線密碼體制

橢圓曲線加密法(Elliptic Curve Cryptography，ECC)是一種公鑰加密技術(shù)，以橢圓曲線理論為基礎(chǔ)，利用有限域上橢圓曲線的點構(gòu)成的Abel群離散對數(shù)難解性，實現(xiàn)加密、解密和數(shù)字簽名，將橢圓曲線中的加法運算與離散對數(shù)中的模乘運算相對應(yīng)，就可以建立基于橢圓曲線的對應(yīng)密碼體制。橢圓曲線是由下列韋爾斯特拉斯Weierstrass方程所確定的平面曲線：y2+a1xy+a3y=x3+a2x2+a4x+a6，其中ai∈F，i=1，2，3，4，5，6。通常F是一素數(shù)域，記為Fp。

2 匿名買賣雙方水印協(xié)議

2.1 協(xié)議定義的角色和符號

(1) 賣方Alice：出售圖像作品X給買方Bob；

(2) 買方Bob：向賣方Alice買圖像作品X；

(3) 可信任第三方CA：主要作用是提供Bob用于匿名交易匿名證書；

(4) 仲裁者A：在仲裁過程中，擔(dān)當(dāng)法官的職責(zé)；

(5) 水印仲裁機構(gòu) WCA：負責(zé)生成水印和保存與 Bob的共享密鑰和嵌入水印后圖像的散列值。

2.2 水印結(jié)構(gòu)

在水印信息選取之后，我們對水印W進行編碼。編碼主要是建立一個消息映射的過程。其一般步驟為：

(1) 選取合適的有限域Fq和E，建立一個消息空間M到橢圓曲線的可逆映射?，將信息編碼：?：P→E。

(2) 反編碼：?-1：E ← P。

2.3 水印生成子協(xié)議

2.3.1 匿名證書的生成

為了保持交易的匿名性，買方Bob須向CA申請匿名證書。匿名證書是一個通常的數(shù)字證書，只是除了它的內(nèi)容是一個隨機數(shù)而不是通常申請者的真實身份。CA負責(zé)解析該序列數(shù)與真實身份的關(guān)系。為了申請匿名證書，Bob首先生成一對用于匿名交易的公鑰和私鑰(Pkb,Skb)，然后發(fā)給CA。CA驗證其身份后，產(chǎn)生匿名證書CertCA(Pkb) ，然后頒發(fā)給Bob。這里，我們利用橢圓曲線密碼體制來產(chǎn)生公私鑰對：首先，Bob選取橢圓曲線Ep(a,b)上的一個產(chǎn)生器點G(x1,y1)，選擇G點的重要準(zhǔn)則是滿足nG=0的最小n值是一個非常大的數(shù)，并將Ep(a,b)和G公布；然后Bob隨機選擇一個比n小的數(shù)Skb，用作Bob的私鑰；最后計算Pkb＝Skb×G來得到Bob的公鑰。

2.父母在批評孩子時，切忌用手指指著孩子，這樣做只能適得其反，讓孩子產(chǎn)生更強烈的逆反心理。同時不可忽視目光的交流，真誠的目光會讓孩子有充分的安全感，這有助于雙方的溝通并取得好效果。

2.3.2 水印生成協(xié)議

(1) Bob首先與Alice協(xié)商，達成購買協(xié)議；

(2) Bob隨機生成一對用于交易的公鑰和私鑰(′)，′由CA簽名，得到Sign(CA)(′)。這里，CA的匿名證書CertCA(Pkb) 保證了公鑰Pkb的合法性，CA的簽名保證了′的合法性。并把Sign(CA)(′)、CertCA(Pkb)和()用WCA的公鑰加密后Ep(WCA)(Sign(CA)(′),CertCA(Pkb) ,(′))發(fā)送給WCA。

(3) WCA收到Ep(WCA)(Sign(CA)() ,CertCA(Pkb) ,(′ ))后，用自己的私鑰解密，驗證其合法性。如果不合法，則拒絕交易；反之生成水印W，并用加密，得到EPk′(W)，

b然后簽名得到SignWCA(EPk′(W))。最后把Sign(CA)()、′、b EPk′(W)和SignWCA(EPk′(W))一起發(fā)送給 A lice，同時自己保bb存Skb' 。

2.4 水印嵌入子協(xié)議

水印的嵌入要通過數(shù)字水印嵌入算法來完成，它既可以以加嵌入方式嵌入到原始媒體數(shù)據(jù)中，又可以以乘嵌入方式嵌入到原始媒體數(shù)據(jù)中。

這里O′表示嵌入水印后的作品，a,W,O分別表示嵌入強度、水印和原作品。由于本協(xié)議使用橢圓曲線公鑰密碼體制，所以采用加嵌入算法。嵌入步驟如下：

(1) 和Bob達成購買協(xié)議，Alice首先選擇能惟一表示此次交易的水印AW，然后把AW嵌入到圖像 X中：以加嵌入方式嵌入到原始媒體數(shù)據(jù)之中，規(guī)則為:

X′ =X⊕WA。

(2) Alice收到Sign(CA)(′)、′、EPk′(W)和SignWCAb(EPk′(W))后，驗證其合法性，如果通過驗證，則選擇置換函b數(shù)σ，置換EPk′(W)，得到：σ(EPk′(W) ) =EPk′(σ(W))。然bbb后利用橢圓曲線的同態(tài)性，進行加密X′的二次水印嵌入，得到用Bob公鑰加密后的水印圖像′：EPk′(′) =EPk′(′ ⊕σ(W) ) =EPk′(′) ⊕EPk′(σ(W))并把EPk′(′發(fā)送給Bob，同時生成EPk′(X′)的散列碼bbh，發(fā)送給WCA。最后Alice把Sign(CA)(Pkb′ )、′、EPk′(W)、b σ、SignWCA(EPk′(W))、WA和表示本次與Bob交易的ID保b存在數(shù)據(jù)庫中。

(3) WCA收到h后，將這次交易編號S、散列碼h和Bob的私鑰′一起存放在數(shù)據(jù)庫中。

(4) Bob收到EPk′(X′)后，用自己的私鑰解密，得b到嵌入水印后的圖像X′：X′ =DSk′(EPk′(X′))。bb

2.5 水印檢測子協(xié)議

當(dāng)市場上出現(xiàn)圖像X的非法拷貝Y時，Alice首先執(zhí)行水印檢測算法，抽取出嵌入到Y(jié)中的水印，找到自己嵌入的標(biāo)示和買方交易的惟一水印A W，通過定位Alice自己數(shù)據(jù)庫中A W，如果在數(shù)據(jù)庫中找到A W，她就可以找到和A W相關(guān)的買方Bob的信息，然后提取出相關(guān)信息，作為仲裁的依據(jù)；否則，協(xié)議失敗。

2.6 糾紛解決子協(xié)議

如果Bob否認非法拷貝Y來源于他的拷貝時，Alice把自己保存在數(shù)據(jù)庫中的EPk′(W)、σ和SignWCA(EPk′(W))發(fā)送bb給仲裁者A。A收到這些證據(jù)后，驗證其合法性，通過驗證后，要求用 B ob的公鑰解密EPk′(W)，然后檢測σ(W)是否b在Y中，如果Y中檢測到σ(W)，則認為Bob有罪；否則，Bob是無辜的。

2.7 協(xié)議分析

(1) 匿名性：由于Bob向可信任第三方CA申請了匿名證書，因此，在每次交易中，可以確保 B ob的匿名性。CA負責(zé)Bob的匿名身份到真實身份的解析。

(2) 交易雙方的安全性：由于水印W用Bob的公鑰加密，而Alice無法得到Bob的私鑰，因此她不能解密EPk′(W)得b

到W；同樣，由于Alice用置換函數(shù)σ對EPk′(W)進行置換，

b所以Bob也無法得到W，從而去除W。

(3) 買方與圖像的綁定問題：在實際交易過程中，如果Alice不誠實，她可以直接將Bob公鑰加密后的EPk′(W)拷貝b到價格更高的圖像中，而誣陷Bob制造了拷貝的Y。這樣做是完全可以的，因為Alice有EPk′(W)、σ和SignWCA(EPk′(W))

bb一切證據(jù)。如果Alice這樣做了，WCA那么通過對Y進行散列計算，并將散列值與WCA在數(shù)據(jù)庫中的h進行比較，如果一樣，則證明Bob制造了盜版；否則，Bob是無辜的。

(4) 買方的合作問題：如果Bob不愿意提供合作或其密鑰確實丟失，那么仲裁者A就可以要求WCA提供密鑰，因為WCA擁有Bob的私鑰Skb′。協(xié)議的安全性是基于水印算法的安全性。

[1]郭玉濱.橢圓曲線密碼體制的研究.菏澤學(xué)院學(xué)報.2006.

[2]鈕心忻.信息隱藏與數(shù)字水印技術(shù).北京郵電大學(xué)出版社.2004.

[3]徐杰明,陳潔,肖云.數(shù)字水印中的協(xié)議攻擊研究.計算機與現(xiàn)代化.2004.

[4]周亦鵬,胡娟,杜軍平.用于盜版追蹤的數(shù)字水印協(xié)議.北京工商大學(xué)學(xué)報(自然科學(xué)版).2005.