第5章 图像数字水印的性能评估和攻击

第5章图像数字水印的性能评估和攻击5.1图像数字水印的性能评估和基准5.2图像中的数据隐藏容量分析5.3图像数字水印的攻击5.4小结5.1图像数字水印的性能评估和基准5.1.1影响水印稳健性的因素1.嵌入的信息量这是一个重要的参数，因为它直接影响水印的稳健性。对同一种水印方法而言，要嵌入的信息越多，则水印的稳健性越差。2.水印嵌入强度水印嵌入强度和水印可见性之间存在着一个折衷。增加稳健性就要增加水印嵌入强度，相应地也会增加水印的可见性。3.图像的尺寸和特性图像的尺寸对嵌入水印的稳健性有直接影响。尽管非常小的含有水印的图片没有多少商业价值，但一个实用的水印软件程序应该能够从此图片中恢复出水印。4.密钥尽管密钥的数量不直接影响到水印的可见性和稳健性，但它对系统的安全性起了重要的作用。水印算法中，密钥空间(密钥允许取值的范围)必须足够大，以使穷举攻击法(ExhaustiveSearchAttack)失效。5.1.2视觉质量的定量描述1.基于像素的度量方法基于像素的失真量度量方法属于量化失真度量(QuantitativeDistortionMetric)，用它得到的结果不依赖于主观评估，它允许在不同的方法之间进行公平的比较。大部分用在视觉信息处理中的失真量度量或质量度量方法都属于差分失真度量(DifferenceDistortionMetric)。表5-1的第1部分列出了最通用的差分失真度量(略)。2.可见性质量度量度量值的计算包括以下步骤：首先对图像进行粗分块，用滤波器组将编码误差和原图分解到各个知觉组件中；然后用原图作为掩蔽对象对每一像素计算检测门限；最后根据给定的门限计算滤波误差，对所有的颜色通道进行上述操作。高于门限的差值即为一致性的度量，此差值也常常称为可见性差值(JND,JustNoticeableDifference)。对整体图像的度量采用掩蔽峰值信噪比(MPSNR)，由下式给出：(5-1)我们有时还采用ITU-RRec500的质量分数Q，此值由下式计算得出：(5-2)表5-2ITU-RRec.500从1到5范围的质量等级级别3.主观性质量度量方法对视觉质量的评估还可以采用主观打分的方法进行。当进行主观测试时，必须遵循一个测试协议，该协议描述了测试和评估的完整过程。这种测试通常分成两个步骤：第一步，将有失真的数据集按由最好到最坏的次序分成几个等级；第二步，要求测试人员给每个数据集打分和根据降质情况描述可见性。5.1.3性能评估中所使用的攻击方法(1)JPEG压缩攻击：JPEG是广泛用于图像压缩的压缩算法，任何水印系统处理的图像必须能够经受某种程度的有损压缩，并且能够提取出经过压缩后的图像中的水印。(2)几何变形攻击：几何变形包括下述各种几何操作：①水平翻转：许多图像可以被翻转而不丢失数据，尽管对翻转的抵御很容易实现，但却很少有系统能够真正逃脱这种攻击。②旋转：一般进行小角度的旋转(通常混有剪切)并不会改变图像的商业价值，但却能使水印无法被检测到。③剪切：对图像进行剪切可以破坏水印，这在某些情况下很有用处。④尺度变换：在扫描打印图像时或在将高分辨率数字图像用于Web发布时，常会带来尺度的变换。⑤行列删除：此方法对于攻击在空间域上直接运用扩展频谱技术嵌入水印十分有效。

⑥广义几何变形：是非一致尺度变换、旋转和剪切的结合。⑦随机几何失真：StirMark软件中使用的方法，这种方法模拟了一幅图像经高质量打印机打印后，再扫描进入计算机所带来的噪声和失真。⑧与JPEG结合进行几何变形：单独使用旋转、尺度变换并不够，它应与JPEG压缩结合起来，对水印技术进行测试。(3)图像增强处理攻击:①低通滤波：包括线性和非线性滤波器。②锐化：锐化处理属于标准图像处理，这种处理可用作对水印系统的有效攻击，因为它们在检测由数字水印软件带来的高频噪声方面十分有效。③直方图修正：包括直方图拉伸或均匀化，直方图均匀化常用来对照明条件较差的图像进行补偿处理。④Gamma校正：这是一种经常使用的方法，常用来增强图像或调整图像，使其适合于显示，例如在扫描后经常进行Gamma校正。⑤颜色量化：通常用于将真彩图像转换成GIF格式图像。⑥复原：在图像处理中，这类技术常用来减小某些特定的降质过程所带来的图像降质。(4)附加噪声攻击：在图像信号传送和处理过程中，存在着大量的加性噪声和非相关的乘性噪声。(5)打印扫描攻击：这个过程将引入几何变形和类似噪声的失真。(6)统计平均和共谋攻击：如果能够获得同一幅图像的多个拷贝，但每幅图像都带有不同的水印，则可以通过对这些图像进行平均或取出所有图像的一小部分再进行重新组合来去除水印。(7)嵌入多重水印攻击：就是在已经加有水印的图像中再嵌入一个水印。(8)Oracle攻击：有时水印解码器是公开给所有人使用的，此时攻击者可以不断地对加有水印的图像做小的修改，直到水印解码器不能检测出水印为止，以此来删除水印，此种攻击称为Oracle攻击。5.1.4水印性能评估的描述在介绍了视觉质量的定量描述和测试水印系统可采用的攻击方法之后，现在可以对水印系统的性能进行评估了。前面我们提到，稳健性与视觉质量、嵌入数据量、水印嵌入强度等因素有关。为了能够进行合理的性能评估，应该固定某些因素，也就是说，应该控制测试的环境。表5-3列出了一些有用的图表，以及可用于比较的变量和常量。表5-3不同类型的图表与对应的变量和常量(1)稳健性-攻击强度曲线(RobustnessvsAttackStrengthGraph)：它是反映水印稳健性与攻击关系的最重要的曲线，通常这条曲线反映的是在给定视觉质量的前提下，错误比特率与攻击强度之间的函数关系。这种评估可以对水印稳健性进行直接比较，并且显示了水印系统对攻击的整体稳健性性能。图5-1为对两种扩频水印方法进行测试后得到的稳健性-攻击强度曲线。图5-1稳健性-攻击强度曲线(2)稳健性-视觉质量曲线(RobustnessvsVisualQualityGraph)：它反映了在给定的攻击强度下，比特错误率与视觉质量之间的关系。对于给定的攻击强度，用此曲线可以决定在要求的视觉质量下期望的比特错误率。此曲线也可用来决定在一定攻击强度和期望的误码率要求下可得到的最低视觉质量。图5-2为对两种扩频水印方法进行测试后得到的稳健性-视觉质量曲线。图5-2稳健性-视觉质量曲线(3)攻击强度-视觉质量曲线(AttackvsVisualQualityGraph)：它描述了在给定稳健性的情况下，最大允许攻击强度与视觉质量之间的函数关系。此曲线允许在给定视觉质量下，对允许的水印攻击强度给出直接的评估。这在视觉质量范围给定，并且需要评估相应的最大允许失真时，是十分有用的。图5-3攻击强度-视觉质量曲线(4)接收者操作特性曲线(ROC,ReceiveOperatingCharacteristic)。对任何图像，一个水印检测器必须完成两个任务：提取出所嵌入的信息和判定所给图像是否存在水印。正确肯定率定义为(5-3)错误肯定(虚警)率定义为(5-4)图5-4为对两种扩频水印方法进行测试后得到的ROC曲线。每项测试用不同的密钥进行10次，视觉质量设置为4.5，攻击为JPEG压缩，质量因子以5％的间隔从30%变化到100%。图中的两条曲线表明多分辨率扩频方案具有更高的检测可靠性。图5-4ROC曲线5.1.5基准测试图库对图像水印稳健性的测试需要在多个不同的图像上进行，这些图像必须有代表性，同时为了进行公平地比较，必须用同一套标准图像来对各种水印系统进行测试。基于上述考虑，应该建立一个水印基准测试图库。基准图库中的图像应该具有某些典型的图像信号特点，比如说应该对下述性质有所规定：图像纹理、光滑区域、图像尺寸、合成图像、图像边缘、尖锐、模糊、亮度和对比度等。在图像处理的研究中，目前已经存在一些图像数据库，比如USC-SIPI图像数据库。在水印研究领域还没有一个完善的图像数据库，很多测试图像直接取自于USC-SIPI图像库。图5-5水印算法测试中较常采用的图像5.1.6性能评估和基准测试的一般步骤具体的测试过程是这样的：(1)在保证视觉质量的前提下，以最大的强度嵌入水印。(2)对嵌入水印的图像进行一系列的攻击；(3)对每种攻击，进行水印提取，判断提取是成功还是失败。5.1.7标准的和未来的测试基准2000年3月，欧盟的Certimark(CertificationforWatermarkingTechniques)计划开始启动。该计划包括了15个学术机构和工业组织。Certimark的主要内容是以下四点：(1)设计、研究和公布适用于有应用前景的水印技术的完整测试标准；(2)使得该标准成为发展有应用前景水印技术的参照工具；(3)确立对水印算法进行评估的程序；(4)研究内容主要集中于利用水印技术保护Internet上静止图像和低比特率视频方面悬而未决的密钥问题。5.2图像中的数据隐藏容量分析5.2.1信息隐藏与通信传输的关系信息隐藏就是将一个有意义的信息隐藏在另一个称为载体的信息中，得到隐密载体。载体可以是任何一种数字媒体，如图像、视频、音频、文本文档等。5.2.2信息隐藏的数学模型图5-6是我们建立的信息隐藏信道模型，用它可以界定在攻击不可知的情况下该信道中能隐藏信息的容量。图5-6通用的数据隐藏信道模型在此模型中，随机变量W代表隐藏的信息。Gd和Gr分别是时变攻击的确定和随机的部分，也就是随机增益。G被分解为G=Gd+Gr，N为加性噪声，Z为接收的隐藏信息信号，可表示为

Z=GW+N(5-5)=GdW+GrW+N

(5-6)

E(W2)≤σ2W

(5-7)N～Gaussian(0,σ2N)

(5-8)E(G)=Gd,E(Gr)=0，而且E(G2r)=σ2G

(5-9)

Z和W的互信息定义为

I(Z;W)=h(Z)-h(Z|W)(5-10)在此h(·)代表随机变量的微分熵。设Z的概率密度函数为fz(z)，即Z～fz(z)；W的概率密度函数为fw(w)，即W~fw(w)，则根据信息论的知识可得：(5-11)(5-12)(5-13)信息隐藏容量由下式给出：由式(5-24)和式(5-25)可作如下推断：(1)如果GrW也服从高斯分布，则互信息有下界。(2)若隐藏信号是方差为(G2d+σ2G)σ2W的高斯信号，则互信息有上界。(3)同样可以得到I(Z;W|G)-I(Z;W)≤，这是隐藏信息通过信道后互信息损失的最大值。(4)显然,这与高斯信号在高斯信道的容量的结果相同。可以这样理解：当攻击者对接收者的不确定性趋于0时，信息隐藏容量就等于高斯信道容量。(5)我们定义信噪比等于σ2W/σ2N，则可以得到：(5-26)5.2.3数值分析图5-7和图5-8分别是在不同的信噪比情况下，信息隐藏容量估计值的上界和下界。AGWN代表加性高斯白噪声。在这两个图中，我们选择特定的σ2G的值以使曲线能被明显区分。在实际情况下，从这两个图可以看出将信道假定为简单的加性高斯噪声显然可能导致过高或者过低的估计信道容量。图5-7Gd＝1时数据隐藏的上限，各曲线对应于不同的σ2G值图5-8Gd＝1时数据隐藏的下限，各曲线对应于不同σ2G值5.3图像数字水印的攻击5.3.1水印移去攻击水印移去攻击的目标是从含水印数据中完全移去水印信息而不破坏水印算法的安全性(不使用水印嵌入时的密钥)。它包括基本攻击、多重水印攻击和共谋攻击等。也许这些方法不可能达到完全移去水印的目的，但它们总可以显著地破坏水印信息。水印移去攻击中最简单的就是“基本攻击”(BasicAttack)。基本攻击是所有可能的攻击中最普通的一种，成熟的移去攻击使用类似降噪或量化的优化方法对嵌入的水印进行削弱，同时保持受攻击数据的品质不被过度破坏。5.3.2几何变形攻击几何变形攻击采用的是几何变形方法，例如：缩放、旋转、挤压、裁剪、像素置换、子采样、移去或插入像素及像素块，或者其他对图像进行的几何变换等。与移去攻击相反，几何变形攻击不移去嵌入的水印，而是有意破坏嵌入信息的同步特性。对图像水印，著名的测试标准工具Unzign和Stirmark［7］就结合了多种几何攻击。Unzign提出局部像素点抖动攻击方法，该方法对空间域水印十分有效。Stirmark使用了一种最低的、无法察觉的几何扭曲：图像被轻微地拉伸、裁剪、平移、倾斜和旋转，由不可见的随机数值控制。假设A、B、C、D是图像的四个角的像素亮度值，则此图像中的某一个点M的亮度值可以用双线性插值公式表示为

M=α(βA+(1-β)D)+(1-α)(βB+(1-β)C)(5-28)

图5-9加于图像上的随机双线性失真5.3.3密码学攻击密码学攻击的目的是破坏水印算法中的安全方法，进而找到移去嵌入水印信息或嵌入误导水印的方法。其中的一种技术是对嵌入的秘密信息进行强力搜索，这种方法类似于密码学中解密时使用的穷举法。另一种技术是所谓的Oracle攻击，在绝大多数水印应用场合，攻击者都能够获得和使用水印检测器。5.3.4协议攻击协议攻击的目的是使水印在认证过程中无法判定真伪。协议攻击的一种类型是Craver等提出的解释攻击。它的基本思想是许多水印方案没有提供可行的方法来检测那些嵌入了两个水印的图像中哪个水印是最先嵌入的。如图5-10所示，假设Alice是图像I的原始拥有者，她在图像中嵌入了水印W，从而得到嵌有水印的图像=I+W，这个嵌有水印的图像被发放给用户。图5-10伪造原始图像1)数字时间戳(DigitalTimeStamps)

数字时间戳(DTS)就为电子文件发表时间所提供的安全保护和证明。DTS是网上安全服务项目，由专门的机构提供。时间戳是一个经加密后形成的凭证文档，一个图像时间戳具体包括三个部分：(1)需要加时间戳的图像文件的摘要；(2)DTS机构收到图像文件的日期和时间；(3)DTS机构的数字签名。2)不可逆水印人们一直认为使用原始数据，一个水印图像能够很容易地证明正确的所有权，然而Craver等人提出了前述的攻击方法，指出拥有原始数据并不够，他们引入了不可逆水印方案。图5-11给出了拷贝攻击的过程。图5-11拷贝攻击的流程1)水印预测对水印预测时一般采取两种方法：一种方法是直接预测;另一种方法是利用降噪过程进行预测。这里介绍采用通过消除噪声来进行水印预测的方法，因为这样可以充分利用已经发展比较成熟的降噪理论基础。将水印看作含水印数据中的噪声，攻击者可以试图估计原始的不含水印的数据。这就要设计一个最优降噪算法。不考虑所采用的具体水印算法，水印嵌入过程可以一般化地表示为向原始作品的空间域添加一个水印W生成水印作品，即(5-31)(5-32)图5-12所示为Kutter等人所采用的通过消除噪声预测被嵌入水印的过程，由于只有水印图像是已知的，因此原始图像的估计值I*是从出发导出的。图5-12水印预测过程示意图如果没有关于原始图像统计值的任何先验知识，