六安市中醫(yī)院出入院管理科 王曉軍

數(shù)字印章技術(shù)研究

六安市中醫(yī)院出入院管理科 王曉軍

圖像信息隱藏技術(shù)很多，基于混沌序列的LSB技術(shù)可以使得圖像0、1低位隨機(jī)均勻分布，去除統(tǒng)計(jì)的不對(duì)稱性，并且載有秘密信息的圖像和原始圖像的直方圖異常得到較好的改善，可以更好地實(shí)現(xiàn)盲提取。

混沌序列；LSB；圖像；隱藏

1.數(shù)字印章的需求和背景

電子商務(wù)中，通過(guò)Internet進(jìn)行貿(mào)易時(shí)，協(xié)議、合同、要約都是以電子公文的形式存在，而不是傳統(tǒng)意義上的“白紙黑字”了。如何才能確保接收到的電子公文式真實(shí)、準(zhǔn)確、完整的呢？

同樣，在電子政務(wù)中，大量的公文、證件、批示、請(qǐng)示、管理、決策等機(jī)密信息以各種常用的電子文檔第形式存在。如何才能真正拋棄將電子文檔打印后紙上簽章的傳統(tǒng)思維，實(shí)現(xiàn)完全意義的無(wú)紙化電子政務(wù)呢？要想實(shí)現(xiàn)電子商務(wù)、電子政務(wù)乃至軍事信息化辦公平臺(tái)，必須實(shí)現(xiàn)安全、可靠、便捷的數(shù)字形式的簽名，并在法律上賦予同傳統(tǒng)印章相同的地位。目前，國(guó)內(nèi)外普遍采用經(jīng)典意義上的“數(shù)字簽名”技術(shù)來(lái)保證文檔內(nèi)容的完整性和簽署者身份的證明。利用數(shù)字簽名技術(shù)可以保證電子文檔的完整性和不可抵賴性，但其缺點(diǎn)是一般用戶不易理解，可視文化程度有待提高。

如能將數(shù)字簽名以“數(shù)字水印”的方式隱藏在印章圖片當(dāng)中，則可以使印章顯得更為直觀，更貼近實(shí)際。數(shù)字水印和數(shù)字簽名相結(jié)合產(chǎn)生的數(shù)字印章技術(shù)為安全便捷的電子公文認(rèn)證的實(shí)現(xiàn)提供了新思路：文件發(fā)送方在Word、Excel、PDF等各類電子文檔上中加上數(shù)字印章；驗(yàn)證方可通過(guò)驗(yàn)證模塊，精確鑒別文件發(fā)送方的身份以及文件內(nèi)容的真實(shí)性與完整性。

2.數(shù)字印章與傳統(tǒng)數(shù)字簽名的區(qū)別

數(shù)字印章與傳統(tǒng)的數(shù)字簽名相比，具有以下突出優(yōu)勢(shì)：

(1)數(shù)字簽名信息是明文傳輸?shù)?，而?shù)字印章結(jié)合數(shù)字水印技術(shù)，將數(shù)字簽名信息隱藏在印章圖片中，增強(qiáng)了簽名的安全性。

(2)數(shù)字印章將數(shù)字簽名以印章圖片的形式直觀顯示，簽蓋印章的過(guò)程如同傳統(tǒng)意義上的蓋章，符合人們的使用習(xí)慣。

(3)數(shù)字印章中應(yīng)用數(shù)字水印，解決了電子文檔和物理文檔的矛盾。簽蓋了數(shù)字印章的文檔所打印出來(lái)的物理文檔，重新掃描之后形成電子文檔，使用水印檢測(cè)工具，仍然能夠?qū)⒂≌聢D片中的數(shù)字簽名信息提取出來(lái)，從而進(jìn)行有效認(rèn)證。

在數(shù)字印章產(chǎn)品逐漸走向成熟的同時(shí)，也有一些非常重要的問(wèn)題值得重視：

(1)數(shù)字印章產(chǎn)品作為重要的信息安全產(chǎn)品，缺乏有效統(tǒng)一的規(guī)范管理。

(2)缺乏行業(yè)技術(shù)標(biāo)準(zhǔn)，這些產(chǎn)品沒(méi)有統(tǒng)一的技術(shù)標(biāo)準(zhǔn)和規(guī)范，缺乏統(tǒng)一的數(shù)據(jù)和應(yīng)用接口標(biāo)準(zhǔn)。

(3)數(shù)字印章產(chǎn)品本身的安全性應(yīng)該得到權(quán)威部門(mén)的統(tǒng)一認(rèn)證。

3.數(shù)字印章的技術(shù)實(shí)現(xiàn)

數(shù)字印章系統(tǒng)通過(guò)一套標(biāo)準(zhǔn)化、規(guī)范化的軟硬結(jié)合系統(tǒng)，使用戶可以在電子文件上完成簽字蓋章。與傳統(tǒng)的簽字蓋章類似，需要解決否認(rèn)、偽造、篡改及冒充等問(wèn)題。具體的要求如下：

(1)發(fā)送者事后不能否認(rèn)電子公文的數(shù)字印章。

(2)接收者能夠核實(shí)發(fā)送者發(fā)送的電子公文的數(shù)字印章。

(3)接收者不能偽造發(fā)送者的電子公文的數(shù)字印章。

(4)接收者不能對(duì)發(fā)送者的電子公文進(jìn)行篡改。

(5)某一用戶不能冒充另一用戶作為發(fā)送者。

因此，數(shù)字印章并非是傳統(tǒng)千字蓋章的數(shù)字圖像化，而是一種融合了數(shù)字簽名、PKI、數(shù)字水印等多種信息安全技術(shù)的數(shù)字產(chǎn)品。數(shù)字印章的實(shí)現(xiàn)需要以下技術(shù)支撐：

(1)數(shù)字簽名技術(shù)

數(shù)字簽名是不對(duì)稱加密算法的典型應(yīng)用，它就是附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對(duì)數(shù)據(jù)單元所作的密碼變換，這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元的來(lái)源和數(shù)據(jù)單元的完整性并保護(hù)數(shù)據(jù)，防止被人偽造。一個(gè)數(shù)字簽名，就是一段被發(fā)送者的私鑰加密的數(shù)據(jù)段，而接收者只有擁有發(fā)送者的公鑰才能解密這個(gè)數(shù)據(jù)段。完整的數(shù)字簽名過(guò)程包括簽名和驗(yàn)證兩部分。在數(shù)字印章系統(tǒng)中，簽名者對(duì)電子報(bào)文的摘要采用私鑰加密后作為數(shù)字簽名，并采用數(shù)字水印嵌入算法融入印章圖像中。

(2)PKI技術(shù)

PKI是建立在公鑰密碼體制和先進(jìn)的密鑰管理基礎(chǔ)之上的為網(wǎng)絡(luò)安全提供認(rèn)證服務(wù)的基礎(chǔ)設(shè)施。它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用透明地提供采用加密和數(shù)字簽名等密碼服務(wù)所必須的密鑰和證書(shū)管理。PKI由認(rèn)證機(jī)關(guān)(CA)、證書(shū)庫(kù)、密鑰備份及恢復(fù)服務(wù)、證書(shū)作廢處理服務(wù)、客戶端證書(shū)處理系統(tǒng)等基本要素組成。在數(shù)字印章系統(tǒng)中，CA認(rèn)證中心既是傳統(tǒng)印章系統(tǒng)中的仲裁機(jī)構(gòu)，又是PKI證書(shū)的簽發(fā)機(jī)構(gòu)，它是數(shù)字印章系統(tǒng)的核心機(jī)構(gòu)。CA的數(shù)字簽名保證了數(shù)字印章的合法性和權(quán)威性。

(3)數(shù)字水印技術(shù)

采用數(shù)字水印技術(shù)可將簽名信息以水印的形式嵌入到印章圖像中，將簽名水印信息和電子公文自然融合。較之一般的數(shù)字簽名，有其固有優(yōu)勢(shì)：①安全可靠。數(shù)字簽名信息是明文傳輸?shù)?，而?shù)字印章結(jié)合數(shù)字水印技術(shù)，將數(shù)字簽名信息隱藏在印章圖片中，增強(qiáng)了簽名的安全性。②直觀形象。數(shù)字印章將數(shù)字簽名以印章圖片的形式直觀顯示，簽蓋印章的過(guò)程如同傳統(tǒng)意義上的蓋章，更符合使用習(xí)慣。③訪問(wèn)控制。與訪問(wèn)控制結(jié)合，可有效控制電子公文的訪問(wèn)、修改與打印權(quán)限，并在公共數(shù)據(jù)庫(kù)中存儲(chǔ)了數(shù)字印章加蓋記錄、修改記錄以及公文的打印記錄。

目前，數(shù)字印章多采用魯棒性水印作為底層水印嵌入版權(quán)和簽名信息，以保證版權(quán)信息提取的準(zhǔn)確性。也可再將脆弱水印嵌入印章圖片，是印章的第二層水印，為印章圖像提供完整性認(rèn)證保護(hù)。

簽章方用戶加蓋數(shù)字印章的過(guò)程如下：

(1)簽章方用戶根據(jù)摘要算法生成原始電子公文的摘要。

(2)簽章方用戶從證書(shū)中提取自己的私鑰，采用非對(duì)稱加密算法將摘要加密，對(duì)原始電子公文進(jìn)行數(shù)字簽名。

(3)簽章方用戶提取自己的印章圖像，采用數(shù)字水印技術(shù)將(2)中的數(shù)字簽名作為水印信息嵌入到印章圖像中。

(4)簽章方用戶將印章圖像嵌入到原始電子公文中，得到簽章后的電子公文。

驗(yàn)證方用戶的認(rèn)證過(guò)程如下：

(1)驗(yàn)證方用戶從簽章后的電子公文中提取印章。

(2)驗(yàn)證方用戶采用數(shù)字水印提取算法從印章中提取簽名信息。

(3)驗(yàn)證方用戶利用獲取簽章用戶的公鑰，解密簽名信息得到摘要。

(4)驗(yàn)證方用戶根據(jù)摘要算法生成電子公文的摘要。

(5)驗(yàn)證方用戶對(duì)比(3)和(4)中生成的摘要，如果二者匹配則電子公文合法；否則，電子公文不合法。

4.數(shù)字印章實(shí)現(xiàn)要點(diǎn)

與一般的數(shù)字水印相比，數(shù)字印章所采用的數(shù)字水印技術(shù)具有以下突出特點(diǎn)：

(1)安全性要求高

印章中的水印存儲(chǔ)的信息是公文的數(shù)字簽名、簽署時(shí)間、簽署者信息等重要內(nèi)容。在數(shù)字印章公開(kāi)暴露的情況下，要防止非法用戶篡改甚至移除簽章信息。

(2)魯棒性要求高

印章圖像要能經(jīng)受非法打擊。部分場(chǎng)合甚至要求打印后重掃描的印章圖像仍然能夠?qū)倪M(jìn)行認(rèn)證。

(3)正確率要求高

水印提取時(shí)，必須保證提取的信息達(dá)到0比特誤差。

在數(shù)字印章中，水印信息就是數(shù)字簽名信息、進(jìn)行簽名認(rèn)證所必要的信息、版權(quán)信息，通常包括以下主要內(nèi)容：

(1)數(shù)字簽名信息

隱藏到水印當(dāng)中的數(shù)字簽名字段內(nèi)容，就是對(duì)文檔進(jìn)行散列這之后再采用非對(duì)稱加密得到的數(shù)字簽名信息。目前，采用的主流算法是MD5算法得到128位摘要。

(2)簽名者身份標(biāo)識(shí)

為了讓驗(yàn)證用戶知道蓋章蓋章人的身份，需要在水印信息中包含身份標(biāo)識(shí)字段。該字段預(yù)留64位。

(3)蓋章時(shí)間

印章簽蓋的時(shí)間是水印信息的重要組成部分。該部分信息是一個(gè)DateTime型，即64位。

3個(gè)字段總長(zhǎng)度為256位，然后采用RSA加密算法生成印章的數(shù)字簽名，得到的信息位為256位。

5.小結(jié)

在常見(jiàn)的電子印章解決方案中，經(jīng)常把私鑰和印章置于USB Key中。該USB Key帶有內(nèi)部計(jì)算功能，并可將密鑰和印章存儲(chǔ)在安全存儲(chǔ)區(qū)中，保證密鑰永不出USB Key。摘要信息輸入給USB Key后，USB Key對(duì)摘要信息進(jìn)行簽名計(jì)算后輸出簽名信息。這種方式的優(yōu)勢(shì)在于安全性高、成本低、攜帶方便。

[1]付兵.一種增加LSB信息隱藏量的方法[J].長(zhǎng)江大學(xué)學(xué)報(bào)(自然版),2009,3(4):73-74.

[2]司銀女,康寶生.一種自適應(yīng)的數(shù)字圖像信息隱藏算法[J].計(jì)算機(jī)應(yīng)用與軟件,2011,25(9):49-50.

[3]陳燕梅.數(shù)字圖像加密與信息隱藏的研究[D].福建師范大學(xué),2012.

[4]王炳錫,彭天強(qiáng).信息隱藏技術(shù)[M].國(guó)防工業(yè)出版社,2011.

王曉軍（1965—），男，安徽六安人，電子信息工程師，主要研究方向：電子信息技術(shù)。