王洪君　尚大龍

摘 要

本文擬對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的機(jī)密文檔泄露問題，采用隱寫術(shù)嵌入泄漏源秘密信息方法，并結(jié)合其他有效手段予以必要防范及信息采集，最終達(dá)到預(yù)防及追蹤機(jī)密文檔泄露者的效果。通過此方案的實(shí)行，可以有效預(yù)防及震懾泄密者，使之不敢泄密。對(duì)提出的方案進(jìn)行實(shí)驗(yàn)，結(jié)果證明了所給方法的有效性。

【關(guān)鍵詞】隱寫術(shù) 泄密追蹤 JPHS

隨著信息技術(shù)的全面普及，企業(yè)內(nèi)部也全部實(shí)現(xiàn)電子辦公。但是，電子辦公在為辦公自動(dòng)化帶來方便的同時(shí)，隨之而來的安全問題也愈發(fā)凸顯，尤其是在需要保密的企業(yè)內(nèi)網(wǎng)環(huán)境中。本文提出一種隱寫術(shù)嵌入方案，可以有效地追蹤機(jī)密文檔泄密源，以預(yù)防機(jī)密文件被人竊取后而無法追蹤的難題。

隱寫術(shù)是將一些秘密信息直接嵌入至載體中而不影響原載體的使用價(jià)值，也不易被探知和再次修改，卻能被生產(chǎn)方識(shí)別和辨認(rèn)。通過隱寫術(shù)，可以有效秘密通信，及版權(quán)保護(hù)、信息源追蹤等。如此一來，一旦追蹤到泄密者，可進(jìn)行法律制裁，從而對(duì)其形成威懾，使其不敢就范。

得益于電子文檔具有傳輸?shù)谋憬菪?，使得一人編寫，多人收益。但同時(shí)，也造成了保密難的問題。如直接對(duì)文檔進(jìn)行加密，則泄密者會(huì)采取拍照打印等方式對(duì)文檔內(nèi)容進(jìn)行搜集，文檔依然會(huì)泄密。如對(duì)文檔限制下載，泄密者仍然會(huì)采取相同或類似方式進(jìn)行泄密。再者，一味的對(duì)機(jī)密文檔進(jìn)行被動(dòng)防范，泄密者必定會(huì)想盡辦法對(duì)其竊取，而非罷手。顯然，對(duì)文檔進(jìn)行簡(jiǎn)單直接的處理是不合理的。本文從另一角度出發(fā)來著手這一問題，即將機(jī)密文檔存放在服務(wù)器，待泄密者使用一定密級(jí)的賬號(hào)登陸進(jìn)行下載，服務(wù)器則提取該賬號(hào)信息及登錄客戶端硬件信息進(jìn)行存檔，并將存檔信息進(jìn)行指紋提??；隨后將該指紋嵌入至該賬號(hào)欲下載的文檔中；最后將該文檔傳輸給欲下載的賬號(hào)。如此一來，只要出現(xiàn)文檔泄露，便提取事先嵌入的指紋，再與之前存檔的指紋機(jī)對(duì)應(yīng)源信息進(jìn)行比對(duì)，最終必然可以追蹤到泄密者。

1 相關(guān)工作

針對(duì)不同載體，都有著不同種類的隱寫術(shù)。圖像隱寫術(shù)分為兩類：空間域隱寫和變換域隱寫算法；其中，空間域隱寫算法分為：LSB隱寫算法，BPCS隱寫算法及PVD隱寫算法等；變換域隱寫算法主要有：JSteg算法、F5算法及OutGuess算法等。

本文采用了基于DCT的隱寫算法JPHS對(duì)DOCX文檔中的圖像文件進(jìn)行秘密信息嵌入。該算法采用了Blowfish算法對(duì)嵌入的秘密信息進(jìn)行加密，所能達(dá)到的嵌入率在5%左右，其實(shí)現(xiàn)簡(jiǎn)單，且主要針對(duì)流行的jpeg文件進(jìn)行隱寫，因此很適合封裝成服務(wù)器端的程序子集。

2 方案設(shè)計(jì)及基本流程

本文針對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的機(jī)密文檔泄密追蹤，對(duì)于其他情形依然有效。

常見的文檔格式有DOCX，PDF，XLSX，PPTX等，這些文件都是有一定格式的。不同的文檔格式，可以有不同方式的嵌入方法，本文以DOCX格式文件為例。DOCX是Office Open XML Document的一種擴(kuò)展名，這種文件格式是Microsoft開發(fā)的一種以XML為基礎(chǔ)并以ZIP格式壓縮的電子文件規(guī)范并成為了ECMA規(guī)范的一部分。該標(biāo)準(zhǔn)支持文件、表格、備忘錄、幻燈片等文件格式。由于DOCX格式本質(zhì)上是一個(gè)壓縮包，那么完全可以按照壓縮文件采用7z等開源程序進(jìn)行處理，即解壓DOCX文件，對(duì)內(nèi)部文件進(jìn)行改寫，并重新壓縮，再上傳至服務(wù)器，最后傳輸給客戶端。

由于文本隱寫術(shù)過于復(fù)雜不易實(shí)現(xiàn)，而音頻隱寫術(shù)適用范圍有限，本文采用圖像隱寫術(shù)進(jìn)行嵌入，即對(duì)文檔中的圖像進(jìn)行隱寫嵌入。由于是企業(yè)內(nèi)部機(jī)密文檔，因此，可以將公司LOGO、“機(jī)密文檔”等字樣轉(zhuǎn)化為圖案形式插入機(jī)密文檔內(nèi)部，秘密信息則嵌入其中。

本方案采取了下面的一系列措施進(jìn)行追蹤及防護(hù)。首先，應(yīng)該對(duì)內(nèi)網(wǎng)機(jī)器進(jìn)行IP+MAC+端口綁定，防止泄密者盜用他人的IP和MAC進(jìn)行泄密；其次，對(duì)每臺(tái)內(nèi)網(wǎng)機(jī)器實(shí)施硬件加密+生物指紋識(shí)別，防止泄密者盜用他人電腦進(jìn)行泄密；第三，當(dāng)每臺(tái)機(jī)器請(qǐng)求在線瀏覽或下載機(jī)密文檔時(shí)，服務(wù)器會(huì)收集該機(jī)器的識(shí)別信息（CPUID，PCID，MAC等），隨后再對(duì)該機(jī)器請(qǐng)求瀏覽或下載的文件進(jìn)行秘密信息嵌入，這樣，每臺(tái)機(jī)器看到的機(jī)密文件都有著不同秘密信息。

追蹤實(shí)現(xiàn)：機(jī)密文檔泄密之后，可以使用對(duì)應(yīng)的提取程序?qū)ξ臋n提取秘密信息，再到服務(wù)器查詢存檔記錄，查得泄露賬號(hào)及使用機(jī)器，確定機(jī)密文檔泄漏源。

本方案嵌入結(jié)構(gòu)模型如圖1所示。

隱寫術(shù)嵌入基本流程：

S1.客戶端請(qǐng)求下載秘密文檔。

S2.服務(wù)器得到客戶端請(qǐng)求信息，及客戶端硬件信息。

S3.服務(wù)器根據(jù)硬件信息生成哈希值，并將哈希值及客戶端信息存儲(chǔ)至服務(wù)器進(jìn)行備份。

S4.服務(wù)器根據(jù)用戶請(qǐng)求信息得到其所要下載的文檔的原始數(shù)據(jù)。

S5.服務(wù)器將把S3得到的哈希值嵌入至該文檔原始數(shù)據(jù)，并打包為原文檔格式。

S6.服務(wù)器將打包好的文檔數(shù)據(jù)返回給客戶端。

本方案提取結(jié)構(gòu)模型如圖2所示。

隱寫術(shù)提取基本流程：

S1.解壓文檔， 提取圖片

S2.提取圖片中的秘密信息文件

S3.與服務(wù)器端所有相關(guān)的存檔的秘密信息比對(duì)來查找對(duì)應(yīng)的信息

3 實(shí)驗(yàn)與分析

限于篇幅，本文僅列舉了提取出的圖片（圖3）及嵌入秘密信息后的圖片（圖4）：

嵌入的秘密信息文本內(nèi)容如下：

465acf916947f4ebcf0761f500c4a443495d2486c0df1b549b5bdaa13ba7aac38dbef1526299209d11833009af50460ffac1b74cdc7a867577b31f0c3623b247

根據(jù)嵌入的秘密信息文本，最終得到客戶端硬件信息如下：

192.168.19.134

WIN-FDFESTOO5E1.DHCP HOST

Windows NT

00-0C-29-1B-6B-47

實(shí)驗(yàn)結(jié)果證明方案的可行性。

4 推論

通過上述關(guān)鍵代碼及相關(guān)源文件，最終在個(gè)人電腦上成功測(cè)試，限于篇幅，不再展示。本文使用的嵌入方法可以直接對(duì)秘密信息文件進(jìn)行加密，更增加了過程的安全性。由此，本方案實(shí)驗(yàn)可行，在今后的研究中將重點(diǎn)針對(duì)文本隱寫術(shù)的隱寫嵌入。

參考文獻(xiàn)

[1]JOHNSON N F.SteganographyTools[EB/OL].http：//www.jjtc.com/Security/stegtools.htm2005.

[2]Kawaguchi E，Eason R.Principle and application of BPCS-Steganography[C].Proceeding of SPIE：Multimedia Systems and Applications，1998，3528：464-472.

[3]T.Penvy，P.Bas，J.Fridrich，Steganalysis by subtractive pixel adja-cency matrix[J].IEEE Transactions on Information Forensics and Security，2010，5（02）215-224.

[4]Derek Upham.JPEG-JSteg-V4[EB/OL]. http：//www.funet.fi/pub/crypt/steganography/jpeg-jsteg-v4.diff.gz，2007-03.

[5]Westfeld A.F5-A steganographic algorithm：High capacity despite better steganalysis[C].New York，Berlin，Heidellberg：Springer-Verlag，2001.289-302.

[6]Provos，N.Defending Against Statistical Steganalysis.Proc.10th USENIX Security Symposium. Washington，DC，2001.

[7]Allan Latham，JPHS[EB/OL]，http：//linux01.gwdg.de/～alatham/stego.html，1999.

[8]B.Schneier，“Description of a New Variable-Length Key，64-Bit Block Cipher （Blowfish），”Fast Software Encryption，Cambridge Security Workshop Proc.， Springer-Verlag，1993， pp.191–204.

[9]Microsoft，ECMA-376[EB/OL]，http：//www.ecma-international.org/publications/standards/Ecma-376.htm，2012

[10]7zip[EB/OL].http：//www.7-zip.org/，2016.

作者簡(jiǎn)介

王洪君（1965-），男，吉林省榆樹市人。博士學(xué)歷?，F(xiàn)為吉林師范大學(xué)計(jì)算機(jī)學(xué)院教授。主要研究方向?yàn)榫W(wǎng)絡(luò)體系結(jié)構(gòu)及信息安全。

作者單位

吉林師范大學(xué)計(jì)算機(jī)學(xué)院 吉林省四平市 136000