王少霞， 方 勇

（四川大學(xué) 電子信息學(xué)院，四川 成都 610064）

0 引言

近年來(lái)，隨著電子商務(wù)的迅猛發(fā)展，越來(lái)越多的數(shù)字化多媒體產(chǎn)品在互聯(lián)網(wǎng)上進(jìn)行買賣交易，由于數(shù)字化產(chǎn)品在互聯(lián)網(wǎng)上易于拷貝和傳播，它的版權(quán)保護(hù)和盜版追蹤也就成為了當(dāng)今的一個(gè)研究熱點(diǎn)。在許多數(shù)字版權(quán)管理系統(tǒng)中，數(shù)字水印是一種用于數(shù)字版權(quán)和盜版追蹤的重要方法。在傳統(tǒng)的數(shù)字水印技術(shù)[1]中，由賣方嵌入水印，盡管這種技術(shù)可以保護(hù)數(shù)字版權(quán)，但是沒(méi)有解決消費(fèi)者的權(quán)益問(wèn)題。如果一個(gè)心懷惡意的賣方允許擁有最終水印產(chǎn)品，他便可以控告無(wú)辜的買方非法拷貝產(chǎn)品，無(wú)辜的買方無(wú)法證明自己無(wú)罪。這導(dǎo)致了很多問(wèn)題，如：消費(fèi)者權(quán)益問(wèn)題，盜版追蹤問(wèn)題，未綁定問(wèn)題，共謀問(wèn)題，買方參與糾紛解決等等。

L.Qian和K.Nahrstedt在1998年提出了最原始的用于盜版追蹤的水印協(xié)議[2]，該協(xié)議首次提出了消費(fèi)者的權(quán)益問(wèn)題，但沒(méi)有很好地解決；在文獻(xiàn)[3]中，Memon和Wong提出了一個(gè)水印協(xié)議，該協(xié)議同時(shí)解決了消費(fèi)者的權(quán)益問(wèn)題和盜版追蹤問(wèn)題，但又出現(xiàn)了未綁定問(wèn)題。協(xié)議[4]將一個(gè)水印和ARG綁定，成功解決了未綁定問(wèn)題，但沒(méi)有解決共謀問(wèn)題。協(xié)議[5]解決了買方參與糾紛解決問(wèn)題，然而還存在未綁定問(wèn)題，共謀問(wèn)題和實(shí)際應(yīng)用問(wèn)題。鑒于以上協(xié)議中出現(xiàn)的問(wèn)題，提出了一個(gè)有效的，基于密鑰共享和同態(tài)公鑰密碼體制的數(shù)字水印協(xié)議，該協(xié)議不僅有效地保護(hù)數(shù)字產(chǎn)品交易中的參與者，還解決了文獻(xiàn)[6]中買方參與糾紛解決的缺陷，使得協(xié)議[6]更為完善、可行。

1 一個(gè)有效的數(shù)字水印協(xié)議

為了便于描述，本部分內(nèi)容首先給出相關(guān)符號(hào)[7]的含義，然后分別介紹三個(gè)子協(xié)議[4]，即注冊(cè)子協(xié)議、水印子協(xié)議、仲裁子協(xié)議的含義以及內(nèi)容。

1.1 該協(xié)議使用的符號(hào)如下

( p kI, s kI)：公鑰-私鑰對(duì)， p kI是I的公鑰， s kI是I的私鑰。S i gnI(M )：消息M使用I的私鑰進(jìn)行簽名。EpkI(M)：消息M使用I的公鑰進(jìn)行加密。 DskI(C )：密文使用I的私鑰進(jìn)行解密。 C ertJ(I)：由認(rèn)證中心J頒發(fā)給I的數(shù)字證書(shū)。X⊕W：數(shù)字產(chǎn)品X的水印化的產(chǎn)品。其中，⊕表示水印嵌入符號(hào)，W是要嵌入的水印。

1.2 注冊(cè)子協(xié)議

如果買方B想在產(chǎn)品交易過(guò)程中保持匿名性，CA可以擔(dān)保買方B的身份保密，除非被判定有罪。這樣一來(lái)，買方可以使用注冊(cè)子協(xié)議在交易之前向認(rèn)證機(jī)構(gòu)CA申請(qǐng)一個(gè)匿名證書(shū)。首先隨機(jī)選擇一個(gè)密鑰對(duì)(p kB,s kB)，并將公鑰 p kB發(fā)給CA。當(dāng)CA收到 p kB時(shí)，產(chǎn)生一個(gè)匿名證書(shū) C ertCA( p kB)并發(fā)送給B。這里，將 p kB作為假名與頒發(fā)給B的匿名證書(shū)相關(guān)聯(lián)。如果不需要匿名，B可以跳過(guò)整個(gè)注冊(cè)子協(xié)議，使用他自己普通的數(shù)字證書(shū)。

1.3 水印子協(xié)議

當(dāng)數(shù)字產(chǎn)品交易開(kāi)始后，買方B和賣方S遵循水印子協(xié)議進(jìn)行交易買賣，具體步驟如下：

①B首先和S協(xié)商，雙方達(dá)成一致協(xié)議，并填寫(xiě)購(gòu)買訂單ARG，ARG明確規(guī)定了雙方應(yīng)該遵守的權(quán)利和義務(wù)，并列出相關(guān)數(shù)字產(chǎn)品的清單，然后，ARG將本次交易和產(chǎn)品X唯一綁定，ARG也可看作購(gòu)買序號(hào)；

②協(xié)商過(guò)后，對(duì)于本次交易，B隨機(jī)選擇一個(gè)交易密鑰對(duì)( p k?,s k?)，并產(chǎn)生一個(gè)匿名證書(shū)CertpkB(pk?),使得交易公鑰pk?與假名 p kB相連，用pk?代表 p kB。CA保證了 p kB的合法性，而 p kB又保證了pk?的合法性。然后B產(chǎn)生一個(gè)買方秘密信息 S ECB，并對(duì)其進(jìn)行哈希，得到 H (S ECB)，然后對(duì)ARG進(jìn)行哈希，得到 H (A RG )，并將 H (S ECB)和H(A RG)求和之后進(jìn)行哈希，所得的結(jié)果再通過(guò)采用買方B的私鑰sk?進(jìn)行加密，即可以得到：Esk*(H(H(S ECB) + H(A RG)))。然后B用私鑰sk?加密買方秘密信息 S ECB，即 Esk?(S ECB)，并用CA的公鑰進(jìn)行加密，即可得到 EpkCA(Esk?(S ECB))。而可用于糾紛解決中，在CA的幫助下得到B的秘密信息，避免B參與糾紛解決問(wèn)題當(dāng)中。最后，B將(S ECB))以及買方B的雙重簽名Esk*(H(H(S ECB)+H(A RG ) ))發(fā)送給S；

③當(dāng)S收到B發(fā)送的消息后，首先驗(yàn)證簽名和證書(shū)的有效性，如果其中任何一個(gè)無(wú)效，則終止產(chǎn)品交易。否則，S產(chǎn)生代表本次交易的水印V，并計(jì)算，X′= X ⊕ V 。然后，S隨機(jī)產(chǎn)生秘密信息 S ECS，并在加密的情況下通過(guò)計(jì)算式（1）得到加密的水印內(nèi)容，即：

然后按照式（2）進(jìn)行嵌入水印操作：

而PAILLIER算法[8]可以滿足以上要求。最后，S發(fā)送給B，并且儲(chǔ)存V，和B發(fā)送給S的信息作為數(shù)字產(chǎn)品X新的銷售記錄；

④當(dāng)B收到 Epk?(X″)后，B用私鑰sk?解密后，可得水印化的數(shù)字產(chǎn)品 X″= Dsk?(Epk?(X ″))。

1.4 仲裁子協(xié)議

當(dāng)S在市場(chǎng)上發(fā)現(xiàn)數(shù)字產(chǎn)品X的盜版Y時(shí)，仲裁子協(xié)議便可用來(lái)追蹤盜版，并收集不可否認(rèn)的證據(jù)說(shuō)明就是先前交易的買方。

首先，S使用水印提取算法從Y中取出代表本次交易的水印V′，然后，S用V′檢索數(shù)字產(chǎn)品X的銷售記錄表。找到匹配項(xiàng)后，S收集保存在該項(xiàng)記錄中的相關(guān)信息，并把X′（通過(guò)計(jì)算 X ⊕Vk得到，其中VK是匹配項(xiàng)記錄的關(guān)鍵字）與S保存的信息以及Y一起發(fā)送給仲裁機(jī)構(gòu)ARB請(qǐng)求仲裁。

ARB在收到S發(fā)送的信息后，首先驗(yàn)證證書(shū)和簽名的有效性，如果其中的任何一個(gè)無(wú)效，則拒絕訴訟。否則ARB發(fā)送驗(yàn)證信息給CA，要求CA通過(guò)所得信息判定買方秘密信息。CA首先用式（3）以及私鑰解密 EpkCA(Esk?(S ECB))，求得Esk*(S ECB)，即：

再用B的公鑰解密可得B的買方秘密信息，即：

然后，CA將 S ECB發(fā)送給ARB，ARB計(jì)算 W = SECB⊕SECS，并運(yùn)行相關(guān)水印檢測(cè)和提取算法以判斷Y中是否存在W，如果Y中確實(shí)存在W，則ARB要求CA揭開(kāi)交易公鑰PK?對(duì)應(yīng)的真實(shí)身份，擁有PK?的買方身份被揭露，ARB將宣判買方有罪并結(jié)束訴訟。如果Y中檢測(cè)不出W，則買方將被認(rèn)為是無(wú)辜的，身份依舊保密。

2 安全性分析

提出一個(gè)有效的買方賣方數(shù)字水印協(xié)議，其安全性依賴于水印算法和PKI-CA的安全性，下面主要分析協(xié)議本身的安全性。

①所提出的協(xié)議主要解決了引言部分所提出的幾個(gè)問(wèn)題：

消費(fèi)者的權(quán)益保護(hù)問(wèn)題：賣方S只知道自己的秘密信息SECS，而不知道完整的水印內(nèi)容W和最終的水印化產(chǎn)品X″，從而無(wú)法偽造盜版來(lái)陷害無(wú)辜的買方。

未綁定問(wèn)題：在交易中，由于買方B的雙重簽名Esk*(H (H (S ECB) + H(A RG)))已經(jīng)明確地將 S ECB和ARG綁定，并且唯一指定了數(shù)字產(chǎn)品X，從而防止S將水印移植到更高價(jià)格的數(shù)字產(chǎn)品中。例如：即使一個(gè)心懷不軌的賣方故意將一個(gè)買方的水印移植到另一個(gè)完全不同的數(shù)字產(chǎn)品中，那么這將會(huì)產(chǎn)生不同的ARG，這里令為ARG′，因此，當(dāng)版權(quán)管理機(jī)構(gòu)的仲裁者使用B的公鑰 pk*解密Esk*(H(H(S ECB) + H(A RG)))時(shí)，對(duì)比分析可知，H(H(S ECB) + H(A RG))的值和ARG計(jì)算所求的H(H(S ECB) + H(A RG′))的值不相等，以此可證明買方無(wú)罪。

盜版追蹤問(wèn)題：買方B只知道買方秘密信息 S ECB和最終的水印化產(chǎn)品X″，而不知道原始的尚未嵌入水印的數(shù)字產(chǎn)品X和完整的水印內(nèi)容W的嵌入位置，所以，B無(wú)法從最終的水印化產(chǎn)品''X中移除水印。另外，一旦發(fā)現(xiàn)盜版，S也可根據(jù)自己的銷售記錄表，并通過(guò)ARB和CA的幫助來(lái)追蹤盜版者，并使賣方有足夠的證據(jù)來(lái)起訴盜版者。

買方實(shí)現(xiàn)匿名性：由于可信認(rèn)證機(jī)構(gòu)CA的參與，B可以在一定程度上實(shí)現(xiàn)匿名性，除非買方被ARB宣布有罪，其身份才被揭露。

避免買方參與糾紛解決問(wèn)題：由于可信認(rèn)證中心CA的存在，買方不需要參與在糾紛解決問(wèn)題中。只要CA使用自己的私鑰解密 EpkCA(Esk?(S ECB))，即可得到 Esk*(S ECB)，再用B的一次性公鑰 p k*解密，可得B的秘密信息，防止心懷不軌的賣方不斷打擾無(wú)辜的買方參與到糾紛解決當(dāng)中。

避免共謀問(wèn)題：可信認(rèn)證中心CA的存在解決共謀問(wèn)題，因?yàn)樵谫I方和賣方之間CA被認(rèn)為是唯一可信的機(jī)構(gòu)。一方面，該協(xié)議阻止了賣方S從 EpkCA(Esk?(S ECB))中獲得B的秘密信息；另一方面，該協(xié)議阻止了買方B和不可信第三方共謀，移除嵌入在水印產(chǎn)品中的秘密信息；

②在本協(xié)議中為了同時(shí)解決盜版追蹤問(wèn)題和消費(fèi)者的權(quán)益問(wèn)題，買方B和賣方S都不知道完整的水印內(nèi)容W?；诿孛芄蚕淼乃枷?，嵌入在數(shù)字產(chǎn)品中的水印W由買方的秘密信息和賣方的秘密信息組成。由BRESSON公鑰密碼算法的加同態(tài)屬性即：

從式（5）和式（6）可以清晰看出，買方或賣方猜出W的概率和猜出 S ECB或 S ECS的概率相同，因此，買方或賣方是不可能得到確定的水印內(nèi)容W；

③在這篇文章中，基于文獻(xiàn)[4]的方法，買方在交易中保持匿名性。買方B向可信認(rèn)證中心CA申請(qǐng)數(shù)字證書(shū)，CertCA( p kB)，此數(shù)字證書(shū)可以再多次交易中使用。在一次特定的產(chǎn)品交易中，B隨即產(chǎn)生一次性密鑰對(duì)(p k?,s k?)并產(chǎn)生一個(gè)匿名的數(shù)字證書(shū) C ertpkB( p k?)，因此，B可以在不同的交易中使用不同的密鑰對(duì)，這在很大程度上增加了交易的安全性；

④在產(chǎn)品交易過(guò)程中，買方B只需和賣方S接觸，并不需要和第三方接觸，使得該協(xié)議具有實(shí)際應(yīng)用性。

3 結(jié)語(yǔ)

在文獻(xiàn)[4]的基礎(chǔ)上提出了一個(gè)有效可行的水印協(xié)議，該協(xié)議基于密鑰共享和同態(tài)公鑰密碼體制，并借助可信機(jī)構(gòu)CA，解決了消費(fèi)者權(quán)益問(wèn)題、未綁定問(wèn)題、盜版追蹤問(wèn)題、匿名問(wèn)題、實(shí)際應(yīng)用問(wèn)題、共謀問(wèn)題，買方參與糾紛解決問(wèn)題。該協(xié)議的安全性是基于公鑰密碼體制PKI-CA的安全性。比起現(xiàn)有的協(xié)議，該協(xié)議更安全、完善和實(shí)用。

[1] 顧寧,葛萬(wàn)成.基于DWT域圖像數(shù)字水印技術(shù)[J].通信技術(shù),2009,42(05)：213-217.

[2] QIAO L,NAHRSTEDLT K. Watermarking Schemes and Protocols for Protecting Rightful Ownerships and Customer’s Rights[J].Visual Communication and Image Representation, 1998,9(03)：194-210.

[3] MEMON N, WONG P W. A Buyer-Seller Watermarking Protocol[J].IEEE Trans on Image Processing, 2001,10(04)：643-649.

[4] LEI C L, YU P L, TSA I P L, et al. An Efficient and Anonymous Buyer-seller Watermarking Protocol[J].IEEE Transactions on Image Processing, 2004,13(12)：1618-1626.

[5] CHANG Chinchen,CHANG Chiyien. An Enhanced Buyer Seller Watermarking Protocol[J].Proceeding of, ICCT,2003,2(12)：1779-1783.

[6] ZHANG J, KOU W, FAN K. Secure Buyer-seller Watermarking Protocol[J].IEE Proceedings Information Security,2006,153(01)：15-18.

[7] 朱香衛(wèi)，肖亮，吳慧中.密碼學(xué)技術(shù)和數(shù)字水印技術(shù)比較[J].通信技術(shù).2008, 41(07)：208-210.

[8] 王淑玉，葉曉麗，李建華. 基于Paillier公鑰密碼體制的非對(duì)稱叛逆者追蹤[J].河南科學(xué).2008,26(08)：977-979.