数字图像水印攻击的实现
杨磊,曹新德,王冠钧
中国矿业大学信息与电气工程学院,江苏徐州(221008)
摘 要:本文在介绍数字水印攻击分类方法:歧义攻击,去除攻击和同步攻击,并且对每种
攻击方法取其中的典型方法通过编程实现。结果表明:针对不同的数字水印嵌入方法,其相
对应的攻击方法达到了攻击的目的;同时,又介绍了几种基本的攻击软件:Stirmark,
Checkmark和 Optimark,对它们的发展和工作原理作了简要的介绍。数字水印技术日渐成熟,
它的应用领域也在不断扩展,数字水印技术与密码技术一样,是在不断的“攻”与“防”中
发展起来的,因此,研究数字水印的攻击方法对于数字水印的发展有着重要的作用。
关键词:数字水印攻击;数字水印嵌入;水印攻击测试软件
中图分类号:TP312
1 前言
数字水印技术(Digital Watermark)是将一些标识信息直接嵌入数字载体当中,但不影
响原载体的使用价值,也不容易被人的知觉系统(如视觉或听觉系统)觉察或注意到。目前主
要有两类数字水印,一类是空间数字水印,另一类是频率数字水印。空间数字水印的典型代
表是最低有效位(LSB)算法,其原理是通过修改表示数字图像的颜色或颜色分量的位平面,
调整数字图像中感知不重要的像素来表达水印的信息,以达到嵌入水印的目的[1]。频率数字
水印的典型代表是扩展频谱算法,其原理是通过时/频分析,根据扩展频谱特性,在数字图
像的频率域上选择那些对视觉最敏感的部分,使修改后的系数隐含数字水印的信息。
当前,图像数字水印技术己经发展到了一定的程度,作为版权保护的一种手段,数字水
印势必受到各种形式的攻击,攻击是对水印强壮性的一个直观的评估方法。这就像传统密码
学所经历的加密——解密的否定之否定的螺旋提高过程一样[1]。我们有必要对水印攻击进行
综合研究,从而能更深入了解和发现现有水印嵌入技术的弱点,进而促进更完善更强壮的水
印技术的开发。
数字水印技术与密码技术一样,是在不断的“攻”与“防”中发展起来的,因此,研究
数字水印的攻击方法对于数字水印的发展有着重要的作用[1,2]。
数字图像水印攻击的对策研究,也就是要研究反攻击系统来抵抗各种常见的或特殊的攻
击,使攻击技术与反攻击技术共同发展。
2 攻击的分类
数字水印攻击自 1995 年首次被提出,至今已经过十四年的发展,产生了大量的水印攻
击方法。文章所讨论的图像的数字水印攻击主要是专门为了阻碍水印用途的处理,可以分为
三大类型[3]:
(1)未经授权的删除
(2)未经授权的嵌入
(3)未经授权的检测
前两种类型可以认为是主动地攻击,而未经授权检测认为是被动的攻击,因为它不修改
-1-
中国科技论文在线
载体。
3 攻击方法及其对策
对数字水印的常见攻击可分为无意攻击和故意攻击两大类[4,5]。因为在故意攻击中会采
用到所有无意攻击的手段,所以下面主要针对故意攻击中各种方法和手段进行分析,并相应
地提出一些对策。
歧义攻击
歧义攻击包括IBM攻击、拷贝攻击等,IBM攻击是由 IBM 公司的Craver等人员首先提
出[6]。因为在一些水印方案中,可能存在对检测出的水印的多个解释,攻击者可以声称对攻
击的作品具有所有权,容易产生版权纠纷。在歧义攻击中,图像像素值或许被改变或许不被
改变,此类攻击往往要求对所攻击的特定的水印算法进行深入彻底的分析。
IBM 攻击有时也称为可逆攻击,它是采用添加水印的方法使图像的所有权产生歧义。
这种攻击的出发点是,若媒体数据中存在两个以上的水印时,一般的水印系统中没有区别哪
个水印是先加入的机制。
拷贝攻击就是要估计出水印信息,然后把估计出的水印拷贝到其他图像中。在拷贝攻击
中,首先攻击者需要在没有密钥信息和水印嵌入算法信息的情况下,利用极大似然(ML)、
最大后验概率(MAP),最小均方差(MMSE)等方法估计原始图像或水印信息。得到估计出的
水印后,再把这个伪造的水印拷贝到其他的图像上。拷贝过程中要对水印和目标数据作些调
整以满足不易察觉的要求。这些调整可以根据人的视听觉系统特性(HVS/HAS )进行,如对
比度和纹理屏蔽等。
下面以 IBM 攻击为例实现歧义攻击
首先使用小波变换分解原图像,然后在低频部分加入水印信号,这里选用随机信号为加
入的水印信号,把水印信号加在高频部分,最后再逆变换重建图像,以下是实现图像嵌入水
印的部分程序:
%add watermark signal
a=reshape(cH,1,128*128);
maxa=max(a);
mina=min(a);
a=(a-mina)/(maxa-mina);
d=rand(1,128*128);
save d;
a=a+d;
a=a*(maxa-mina)+mina;
cH=reshape(a,128,128);
同样道理,攻击者若要实现歧义攻击,就需要在已经含有水印的图像上再加入自己的水
印(如余弦信号),从而造成了检测的歧义。如图示,图 1 是加入正弦信号后的图像,图 2
是加入余弦信号后的图像,从视觉上很难分辨它们的区别,且在对是银进行相关性检测时,
他们与原水印信号的相关性都很强,但是图 3 中含有攻击者的水印信号,从而实现了对图像
-2-
中国科技论文在线
的攻击。
图 1 原图 图 2 第一次加水印 图 3 第二次加水印
目前对该类攻击的解决方案主要有四种,第一种方法是引入时戳机制,从而确定两个水
印被嵌入的先后顺序,第二种方法是作者在注册水印序列的同时对原始作品加以注册,以便
于增加对原始图像的检测,第三种方法是利用单向水印方案消除水印嵌入过程中的可逆性,
也就是使水印的嵌入具有不可逆性,第四种方法是利用双水印和盲检测技术,杜绝伪造原始
图像的可能性。
去除攻击
去除攻击是试图通过分析水印化数据,估计图像中的水印,将水印化数据分离成为载体
数据和水印信号,然后抛弃水印,得到没有水印的载体数据,达到非法盗用的目的。常见的
方法有:合谋攻击,量化、有损压缩、重新调制等。针对特定的加密算法在理论上的缺陷,
也可以构造出对应的去除攻击。
合谋攻击,通常采用一个数字作品的多个不同的水印化拷贝实现。Cox 等人提出的合谋
攻击,利用多个检测体进行多次平均统计操作,最后得到一个成功削去水印的载体数据。为
了不影响目标图像的质量,拷贝的水印要自适应于目标图像,以保证其不可察觉性。对图像
而言,对比度敏感性和 HVS 屏蔽现象可以在自适应嵌入中被利用。
量化一般发生在改变图像颜色深度的情况下,或采用抖动或半影调算法将灰度图像显
示、打印为二值图像。由于量化时损失了较多的图像信息,因此可能去除水印。
有损压缩是一种常见的图像操作,由于压缩后图像信息有损失,因此有可能破坏水印信
息[6]。如果把水印嵌入于图像的高频部分,则经有损压缩后几乎可以完全去除水印。
重新调制攻击就是利用图像和水印的统计模型预测或估计出水印信息,然后利用估计出
的水印去除原来的水印或对其进行窜改。
以有损压缩为例来实现去除攻击
下面是用 DCT 压缩实现压缩的部分程序:
f=dct2(J);
I=log(abs(f));
imshow(I);
for i=1:256
-3-
中国科技论文在线
for j=1:256
if i>128
I(i,j)=0;
end
if j>128
I(i,j)=0;
end
end
end
xd=idct2(I);
以上程序实现了对含水印图像的有损压缩,因为通过 DCT 变换后,从其分解系数看,主
要能量集中在左上角的低频部分,因此我们只取其中的低频部分,而舍掉高频部分,得到的
结果就是去除了水印的图像,在视觉上基本无差异。然后为了验证实验结果,我们对经 DCT
压缩后的图像进行水印的的相关性检测,结果如图示:
图 4 DCT 压缩后提取出的水印信号 图 5 原图加入的水印信号
把检测提取出的水印信号与原水印信号进行相关性检测,其相关性只有 ,可以
认为水印基本不存在。
针对这种基于统计学的联合攻击的对策是应该限制水印化数字作品拷贝的数量;另外,
在水印信号设计中使用随机密钥进行加密也可以有效增加该类攻击的计算复杂度,导致攻击
难以实现甚至不可实现;采用图像与水印相关的水印算法也能增强水印对合谋攻击的抵抗能
力。
同步攻击
同步攻击是试图破坏载体数据和水印的同步性,即试图使水印的相关检测失效或使恢复
嵌入的水印成为不可能。被攻击的数字作品中水印仍然存在,而且幅度没有变化,但是水印
信号已经错位,不能维持正常水印提取过程所需要的同步性,这样,器就不可能 或者无法
实行对水印的恢复和提取。主要包括:几何变换、Warping、Jiter、添加噪声、图像增强、
Mosaic 攻击等。
常用对图像信号进行处理的方法,例如通过加上噪声而有意修改图像,以减弱图像水印
的强度[],还可以对图像的像素惊醒置乱水印信号不能被检测。马赛克攻击就是同步攻击
的一个著名实例,它将图像分裂为许多小矩形块,每一块都特别小以至于不能进行可靠的水
-4-
中国科技论文在线
印检测。随后这些图像的片段陈列在一个平面中,而每个片段的边缘是毗邻的,最后形成的
小图像平面与细分前的图像感知上是相同的,只是图像中的水印已经被处理过了。
几何攻击的目的不是去除数字水印信息,而是通过使信息的检测与嵌入失去同步,来达
到阻止水印被正确的检测和提取的目的。
Warping 是扭曲图像的技术,通常在对图像做局部调整和修补时使用。攻击者采用
Warping 技术攻击时是对图像施加局部或全局的随机几何失真,这种攻击曾使很多水印算法
失败。
像素跳动就是随机删除或复制某些行或列,有时这种攻击方法也称为Unzign攻击。攻击
者通常任意删除图像中的某几行和列,或者删除行和列后,在图像中的其他位置上复制相同
数量的行和列,以保证图像的尺寸不变[3,9,10]。这种攻击一般不会造成视觉上的影响。
添加噪声攻击是人们在含水印图像中加入一定量的噪声来实施攻击。扰乱原来的水印信
息,使水印检测失效。
图像增强包括了一些常见的图像处理技术,如滤波、锐化、对比度增强、Gamma 校正等。
这些方法都会对水印检测与嵌入信息之间的同步性产生较大的影响。
下面以图像的增强的对比度增强为例介绍同步攻击的实现。
以下是实现同步攻击的部分程序:
[c,s]=wavedec2(X,1,'db1');
cA=appcoef2(c,s,'db1',1);
a=reshape(cA,1,128*128);
%get low frequency part of the image which has watermark signal and noise
%signal
[c,s]=wavedec2(Y,1,'db1');
cB=appcoef2(c,s,'db1',1);
b=reshape(cB,1,128*128);
b=imadjust(b);
f=b-a;
load d; %装载随机生成的水印信号
%求相关性
xgxvalue=corrcoef(f1,d);
figure;plot(xgxvalue);
在相关性检测之前把含有水印的图像实施对比度增强,然后再与原图相减得到水印,把
此时得到的水印与原水印比较相关性,结果发现相关性是 ,说明此时的相关性很小,
很难判断水印的准确性,从而实现了对图像的同步攻击。
由于大多数水印提取算法需要知道嵌入水印的确切位置,所以同步攻击很难防御。目前
有效的对策是在嵌入水印的同时嵌入水印参照物。那么在提取过程中,先根据水印参照物的
变化获得表达攻击的变换,然后应用反转变换获得水印的完整恢复。第二种对策是,使用与
图像相关的易损水印,当图像被分割时,易损水印能报告图像的失真情况。当易损水印不可
被检测时,图像的质量也应降低到不可接受的程度[1,8,9]。对抗表达攻击的另一个途径是:数
字水印在编码时一定存在冗余数据,而冗余数据过多又会影响水印的信息量[10,11]。最有效
的抵抗对策是在水印提取算法中,对嵌入水印的位置采用相对的位移地址,而不是采用绝对
-5-
中国科技论文在线
的存储位置。
4 水印攻击测试软件介绍
目前有许多水印攻击测试软件如StirMark,Un2zign,Checkmark和Optimark 等[10],其
中比较有代表性的是 Stirmark,Checkmark和Optimark,它们已经成为水印攻击软件的典范。
对它们进行功能上的分析,对水印嵌入系统的研究,具有重要的实际意义。
StirMark
StirMark 是剑桥大学计算机实验室编写的一个用于测试图像水印技术鲁棒性的免费工
具软件,它从 1997 年 11 月开始推出了先后有 、、、、、 等多个版本
的软件,此软件的多个平台有 Linux、Winddows9x/ WindowsNT、Macintosh 等各种版本。
StirMark可以从多方面测试水印算法的鲁棒性,用于测试的攻击手段包括线性滤波、
非线性滤波、剪切/拼接攻击、同步性破坏攻击等。许多公开发表的数字水印方面的论文都
以StirMark的攻击结果作为衡量水印算法好坏的标准[12,13]。
StirMark 基准测试程序具有以下特征:
(1)使用用户提供的动态链接库作为水印标记方案函数;
(2)对在 INI 文件中指定的文件夹所包含的所有媒体文件执行测试;
(3)每个测试都可自定义,且测试参数可在 INI 文件中设置;
(4)在 LOG 文件中导出量化测试结果,同时在输出文件夹中导出失真图像;
(5)用户可容易地编写自定义的测试和攻击。
Checkmark
Checkmark是由瑞士日内瓦大学开发的一种基准测试工具,它是在UNIX 或 Windows 平
台下运行于Matlab上的用于数字水印技术的一组基准套件。Checkmark最初的 版,后来
又发布了 ,, 版,最新的Check2 mark 是在 2001 年发布的 1. 2 版,已
支持彩色图像,在线 FAQ ( 常见问题解答),并更新了在线结果[13]。
Checkmark 根据 Stirmark 改写了全部的攻击类,还包含了一些未在 Stirmark 中提出的
攻击,而它还考虑了水印应用。与 Stirmark 相比,添加了新的质量测量方法—加权 PSNR
和 Watson 测量方法,以灵活的 XML 格式输出和生成 HTML 结果表格;应用驱动评估,特别
是用于算法的快速测试的非几何应用,其算法不包括同步机制;容易将 Matlab 的单个攻击
用于测试。
Checkmark 特有的攻击方法:射影变换。
射影攻击是 Checkmark 几何攻击中很有效的一种攻击方法。由于水印图像经过基准测试
软件中的几何攻击后大多容易恢复,但对于旋转攻击方法,会使图像结构发生变化,攻击后
的水印较难被检测或提取。
在数字水印基准测试软件 Checkmark 中,射影变换攻击参数包括旋转不同的角度、旋转
-6-
中国科技论文在线
坐标轴的选取、与旋转轴之间的距离以及为了增加失真而采取的缩放比例等。
Checkmark 中可采用 N 维空间的射影变换,但在其采用的编程语言 MATLAB 中没有专门
的射影变换,而是通过 T 矩阵变换 Maketform 函数和正向变换 tformfwd 函数实现。
Optimark
Optimark 是用于静止图像水印算法的一个基准测试工具,它由希腊 Thessalonikir 的
Aristotle 大学信息学系的人工智能和信息分析实验室开发的。目前 Optimark 最新的版本
是 2002 年更新的 版。与 Stirmark 和 Checkmark 不同的是:Optimark 具有图形界面,
它能利用不同的水印密钥和信息,使用多重测试进行检测/ 解码性能评估。
Optimark 的部分特点:图形用户界面,检测/解码利用绩效评估,使用不同的水印密钥
和消息多重审判,用平均嵌入和检测时间进行评价,评价(多个位算法)算法的有效载荷,
为用户和界定基准会议预设选项。
Optimark 主要包括如下攻击方法:裁剪,行和列删除,一般线性变换,缩放,剪切,
水平翻转,旋转,旋转+ Autocropping ,旋转+ Autocropping +自动调整,锐化,高斯滤
波,中位数,Jpeg 。
对三种常用的攻击基准测试软件的功能比较
表 1 Stirmark Chcekmark Optimark 基本功能比较
攻击类型 Stirmark Checkmark Optimark
裁剪 有 有 有
翻转 有 有 有
旋转 有 有 有
旋转+尺寸缩放 有 有 有
FMLR 有 有
锐化 有 有 有
高斯滤波 有 有 有
中值滤波 有 有 有
随机扭曲 有 有 #
线性变换 有 有 有
方向比例 有 有
缩放变换 有 有 有
线性行去除 有 有 有
颜色降质 有 有
JPEG 压缩 有 有 有
小波变换 有
投影变换 有
扭曲 有
拼贴 有
感知调制后的降噪 有
质量标准 信噪比 SNR 和峰值信噪比 PSNR
加权 PSNR 和 Watson 测
量方法 信噪比 SNR
注:#表示支持旋转+支持裁剪和旋转+自动裁剪+自动缩放
表 1 对三种常见的数字水印攻击基准测试软件的攻击方法做了简要的比较,在功能方面
-7-
中国科技论文在线
Checkmark 有着明显的优势,其攻击方法做多。在实际的应用中 Stirmark 比较普遍,尽管
一些算法能很好的抵抗如Stirmark之类的攻击,但是大部分的水印算法很难抵抗Checkmark
的基准测试。所以 Checkmark 提供了一种更好地评估水印技术的有效工具。
5 小结
图像数字水印发展到今天在一定程度上给人们的生活带来了诸多方便,但同时也使人们
的信息安全受到威胁,那就是图像数字水印攻击技术。本文介绍了关于数字图像水印攻击的
背景,分类以及目前基本的攻击方法,还介绍了目前经常使用的攻击软件,并对其的发展和
功能作了简要分析。
目前对水印算法缺乏系统性的评判准则,这使得在载体数据提供者和水印技术提供者之
间产生很多混乱。现有的评估工具大多是针对从水印图像中消除水印信息而进行一系列图像
处理操作和几何变换[11--14]。但这样攻击后的图像质量往往严重受损而影响到其进一步的商
业应用。而且,这些攻击工具的设计没有充分考虑水印和图像的统计特性以及的影响。如果
充分考虑到这一点,将可以设计出比目前的评估工具更有力的攻击算法。
参考文献
[1] 张新红,数字水印的攻击与反攻击[J],中国科技论文在线,2006.
[2]白梅,数字图像的水印攻击与对策研究[D],西安:西安建筑科技大学,2007.
[3]Ingemar ,Matthew ,Jeffrey ,《Digital Watermarking》,电子工业出版社 2003 年版。
[4]曹永刚,新的数字水印攻击分类和算法研究[D] ,郑州:解放军信息工程大学,2007.
[5]邹玉蓉,数字图像水印技术及其应用研究[D] ,上海:同济大学,2008.
[6]袁大洋,数字图像水印算法抗几何攻击鲁棒性研究[J]. 电子与信息学报,2008(5).
[7]李海燕,关于数字水印攻击方法的研究[J],电脑知识与技术,2009(6).
[8]牛少彰,数字水印的安全性研究综述[J],东南大学学报(自然科学版),2007(S1).
[9]姚学礼,数字水印的攻击方法及对策[J],电脑编程技巧与维护,2009(6).
[10]宋扬,软件防篡改技术研究[J],计算机安全,2009(1).
[11] Liu Wang,Sun Sheng he,DFT based robust digital watermarking algorithm for 3D mesh model[J].Computer
Engineering and Applications,2006,14:192—196.
[12]Zhang Jing,Zhen Guo qin,A geometry property based watermarking scheme for three dimensional
meshes[J].Journal of Computer-Aided Design & Computer Graphic,2005,17(4):740—747.
[13],NikolaidisN,TsekeridouS,KikolaiddisA, protocolfor watermarkin
:Proceedingof 2001 IEEE Internationalconference Image Pro2
cessing(ICIP’01),Thessaloniki,Greece,~1026.
[14]吴志强,图像数字水印的应用及基准测试软件[J],华东交通大学学报,2004,20(1).
Realization of digital image watermarking attacks
Yang Lei,Cao Xinde,Wang Guangjun
School of Information and Electrical Engineering,China University of Mining & Technology,
Xuzhou,Jiangsu,China(221008)
Abstract
This paper introduces the digital watermarking attack classification method:ambiguity
-8-
中国科技论文在线
-9-
attack,remove attacks and simultaneous programming one of each attack methods,the
results showed that:for different digital watermark embedding method,their corresponding attack
methods to achieve its the same time,it introduced several attacks on the basic software
such as:Stirmark,Checkmark and Optimark and briefly introduces their development and working
watermarking technology is reaching maturity,Its application areas are also
expanding;likes cryptography,developed in the constant "attack" and "anti".Therefore, the study of
attack methods for digital watermarking plays an important role in its development.
Keywords:digital watermarking attack;digital watermark embedding;watermark attack test software
作者简介:杨磊,男,1985 年生,硕士研究生,主要研究方向是图像处理,数字水印技术。
中国科技论文在线