龙源期刊网 http://www.qikan.com.cn
基于数字水印的电子印章系统
作者:张晨成,李亮,周娜,宁子岚
来源:《电脑知识与技术》2011年第28期
摘要:为满足电子公文文档的安全性要求,该文提出一种结合PKI、数字签名、数字水印技术的电子印章系统。系统在印章图像中嵌入数字水印达到防伪目的,针对传统手工印章易伪造弊端的缺点,通过将数字签名和数字水印技术应用于电子印章中实现电子文档的防篡改、身份认证和不可否认性功能。
关键词:电子印章;数字水印;数字签名;PKI
中图分类号:TP311文献标识码:A文章编号:1009-3044(2011)28-6957-02 Electric Seal System Based on Digital Watermark
ZHANG Chen-cheng1, LI Liang1, ZHOU Na1, NING Zi-lan2(Communication author) (1.Hunan Agricultural Uniyersity East Science and Technology Academy, Changsha 410128, China; 2.Hunan Agricultural Uniyersity College of Science, Changsha 410128, China)
Abstract: To meet the security requirements of digital doucuments, a electric seal system
combing PKI, digital signature and digital watermark was propose. In order to avoid forgery problem used in the traditional seal the electric seal embedded with digital signature and digital watermark are brought forward, and it prevent the secret document from the illegal modification and the function of identity authentication and non-repudiation is realized.
Key words: electric seal; digital watermark; digital signature; PKI
随着网络和电子政务的发展,传统手工印章和纸质文档已经不能满足现代网络办公的需要。由此一种新型的可行性解决方案——电子印章被提出来。这种新型印章具有可靠性、保密性、不可抵赖性、防篡改的特点。能够实现网络环境下各种组织和个人身份印章的不可复制性、真实性、合法性,保证信息传输过程中的保密性,数据的完整性和行为的不可否认性。电子印章使传统手工方式与现代化信息手段相融合,真正实现电子印章的网络化安全应用。 1 电子印章系统
从总体来讲,电子印章系统可分为两个模块:印章制作模块和印章管理模块。印章制作模块主要包括用户信息的管理,印章图像的制作等功能;印章管理模块主要包括对文档盖章即对盖章文档的验证等功能。系统总体框架如图1。
龙源期刊网 http://www.qikan.com.cn
印章和签名都保存在Ukey(智能密码钥匙)中,盖章需要提供Ukey并输入正确的密码。只有持有Ukey并能正确输入密码的人才可以对印章和盖章后的文档进行合法性验证。 本系统结合PKI、数字签名、数字水印等安全保障机制,可以具备以下特点:
1)安全性。系统使用数字签名和数字水印实现对电子文档和印章的保护,通过Ukey保证运算过程中的安全性,实现对印章的安全性保护。
2)稳定性。系统使用组件技术是盖章程序完成嵌入文档环境中,盖章后的电子印章和文档合为一体。
3)方便性。通过Ukey存放数字证书,密钥,使用方便,便于携带。 4)直观性。嵌入到文档中的印章可以达到纸质盖章同样的效果。 2 关键技术 2.1 PKI
PKI(public Key Infranstructure),即公钥基础设施。PKI是一种基于公开密钥理论和技术建立起来的安全体系,提供一个安全框架,主要是解决网络中的信任问题。[1]PKI通过可信任第三方机构认证中心在统一的安全认证标准和规范基础上提供身份认证,为网络信息建立一个安全的运行环境。本系统用户身份认证的凭证由CA发放数字证书。PKI的数字证书将使用者的身份及其公钥信息绑定在一起,从而为使用者的身份提供权威保证。证书信息包括:证书版本号、证书序号、证书颁发者、有效起始时间、有效终止时间、证书主题信息。用户将获得的数字证书以及签名用的密钥存放在Ukey(智能密码钥匙)中。 2.2 数字签名技术
数字签名在ISO07498—2标准中定义为:“附加在数据单元上的一些数据,或是对数据单元所作的密码变化,这种数据和变换允许数据单元的接受者用以确定数据单元来源和数据单元的完整性,并保护数据,防止被人进行伪造”。文档的完整性和不可抵赖性由数字签名来保证。系统将数字签名后的盖章文档信息与印章信息制作成水印嵌入印章图片中,同时对盖章后的文档进行加密,实现对盖章后的文档和印章的保护。本系统采用SHA—1单向散列函数对文档进行数字签名,该算法比MD5算法具有更好的抵抗穷举攻击。 2.3 数字水印技术
数字水印技术(Digital Watermarking)是信息隐藏学的一个分支。它通过一定的算法将一些标志性信息直接嵌入到信息载体中,但不影响原内容的价值和使用,并且不能被人的知觉系统察觉或注意到,只有通过专门的读取手段才能提取。[2]
龙源期刊网 http://www.qikan.com.cn
目前大多数水印制作方案都采用密码学中的加密(包括公开密钥、私有密钥)体系来加强,在水印的嵌入、提取时采用一种密钥,甚至几种密钥联合使用,这样即使信息的窃取者掌握了水印的提取方法也无法对水印进行篡改。由此可见将数字水印技术与密码学结合起来是实现电子印章的很好一个途径。
数字水印从不同的角度可以进行不同的分类。按水印的特性可以分为鲁棒性数字水印和脆弱性数字水印两类。鲁棒性数字水印有很强的抗扰能力,且难以被去除,还能够抵抗多种有意或偶然的攻击或者失真,主要用于版权保护。而脆弱数字水印主要用于完整性保护,与鲁棒性的要求相反,脆弱水印必须对信号的改动很敏感,这种水印被加到宿主中,是为了使所有对于宿主信息的变化和处理都反映到恢复出来的数字水印上。人们根据恢复出的脆弱水印的状态就可以判断数据是否被篡改过,并可以借此判断一些攻击的过程和属性。按数字水印的隐藏位置,可以将其划分为空域数字水印和频率域数字水印。空域数字水印是直接在信号空间叠加水印信息,而频率域数字水印是在变换域上隐藏水印。
一个可靠的电子印章系统必须保证电子印章的不可复制、不可删除,签章过程的不可抵赖及已签文档内容的真实性,为此我们在系统中采用脆弱性水印。我们将印章ID,有效期制作成脆弱性水印嵌入空间域内的最低有效位,这样在检测和提取水印时可以检测出受损程度。水印嵌入过程如图2所示。
在公文盖章过程中,将文档的数字签名使用具有脆弱性的频域算法嵌入印章中。用户收到盖章后的电子文档,可以使用数字水印提取算法,验证电子文档和印章的合法性。
为验证电子文档的合法性,可以提取印章中的数字签名水印,然后用印章持有者公钥验证数字签名。若一致,表明电子文档未被篡改。
若要验证印章的真实性,可以从印章中提出水印,用印章制作者公钥解密,将得到的数据与数据库中保存的数据比较,验证印章是否被修改。 3 结束语
电子印章系统采用Ukey,数字签名,数字水印技术,PKI技术为电子文档在网络的安全传输提供保障。随着信息化的发展,人们对信息安全的重视程度不断提高,电子印章的应用一定会越来越广泛。 参考文献:
[1] [美]wiliam Stallings.密码编码与网络安全:原理与实践[M].杨明,光辉,译.北京:电子工业出版社,2001.
[2] 孙圣和,陆哲明,刘夏牧.数字水印技术及应用[M].北京:科学出版社,2004.
基于数字水印的电子印章系统
