超级会员免费看
基于循环直方图调制的无损水印关系数据库真实性控制
1. 引言
如今,在高效数据挖掘工具等因素的推动下,数据库在决策过程中占据着重要地位,数据共享和远程访问变得越来越普遍。然而,这种便捷的操作也给数据带来了风险,数据可能会在未经授权的情况下被重新分发或修改,即使在医疗等敏感领域,每年报告的数据泄露和欺诈事件数量也不容小觑。
为了保护关系数据库,已经部署了多种安全机制,如访问控制和加密,它们主要在数据访问前提供保护;数字签名可以验证数据的完整性,但一旦访问被绕过或辅助安全属性被移除,数据就不再受保护。
水印技术可以作为上述解决方案的补充。它是一种“事后”保护方法,基于可控失真原理,将消息(如安全属性)“不可察觉”地嵌入到多媒体宿主文档(如图像或数据库)中。水印应在不影响用户正常使用和访问数据的前提下,对数据进行保护。自2002年Agrawal等人的开创性工作以来,已经提出了多种数据库水印方法,主要分为两类:
-
“鲁棒”方法
:常用于版权保护、指纹识别或追踪叛徒等场景,嵌入的消息应能在数据库的正常或恶意修改后仍能保留。
-
“脆弱”方法
:引入的水印在数据修改后将无法保留,主要用于数据库认证。本文主要关注脆弱水印技术。
大多数水印方法都假设在插入消息时可以进行一定的数据失真(如修改属性值或元组顺序),而不会影响数据的后续使用。为了更好地考虑水印的不可察觉性,最近的方案考虑了失真约束。此外,还有基于元组顺序调制的“无失真”方法,但这种方法使水印依赖于数据库的存储方式,限制了其应用范围。最后一类是可逆或无损水印方法,它允许从加水印的数据中恢复原始数据。
2. 数据库水印概述
一个数据库DB由有限个关系{ $R_i$ }($i = 1, …, N_R$ )组成。为了简化,我们考虑一个基于单个关系的数据库,该关系由N个无序元组{ $t_u$ }($u = 1, …, N$ )组成,每个元组有M个属性{ $A_1, A_2, …, A_M$ }。属性 $A_n$ 的值在其属性域内,$t_u.A_n$ 表示第u个元组的第n个属性的值,每个元组由一个或一组属性唯一标识,称为主键 $t_u.PK$ 。
大多数数据库水印方案遵循以下步骤:
-
消息嵌入
:
1.
预处理
:通过“元组分组操作”将元组分为 $N_g$ 个不相交的组{ $G_i$ }($i = 1, …, N_g$ )。通常使用加密哈希函数(如安全哈希算法SHA)对元组的主键 $t_u.PK$ 和秘密水印密钥 $K_S$ 进行处理,以确保元组在组中的安全和均匀分布,计算公式为:
$n_u = H(K_S|t_u.PK) \mod N_g$
2.
消息嵌入
:每个组通过调制一个或多个属性的值来嵌入一位或一个符号的消息。因此,使用 $N_g$ 个组,可以插入一个由 $N_g$ 个符号组成的消息序列 $S = { s_i }_{i = 1, …, N_g}$ 。
-
消息检测/提取
:元组首先重新组织成 $N_g$ 个组,然后根据所采用的调制方式从每个组中检测或提取一个消息符号。只要元组的主键未被修改,知道水印密钥就能确保嵌入和读取阶段的同步。
下面是数据库水印的流程图:
graph LR
classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px;
A([开始]):::startend --> B(消息嵌入):::process
B --> B1(预处理):::process
B1 --> B2(元组分组):::process
B2 --> B3(消息嵌入到组):::process
B --> C(消息检测/提取):::process
C --> C1(元组重新分组):::process
C1 --> C2(检测/提取消息符号):::process
C2 --> D([结束]):::startend
3. 提出的方案
本文提出了一种基于循环直方图调制的新型无损脆弱水印方法,该方法最初由De Vleeschouwer等人用于图像水印。我们将其应用于关系数据库的数值属性调制。
具体步骤如下:
1.
分组
:考虑一个元组组 $G_i$ ,选择一个数值属性 $A_n$ 进行嵌入。将 $G_i$ 平均分为两个子组 $G_{A,i}$ 和 $G_{B,i}$ ,元组的子组归属由以下公式确定:
$n_{usg} =
\begin{cases}
G_{A,i} & \text{if } H(K_S|t_u.PK) \mod 2 = 0 \
G_{B,i} & \text{if } H(K_S|t_u.PK) \mod 2 = 1
\end{cases}$
2.
计算中心质量和向量
:计算 $G_{A,i}$ 和 $G_{B,i}$ 中属性 $A_n$ 的直方图,并将其映射到一个圆上。计算每个子组的直方图中心质量 $C_{A,i}$ 和 $C_{B,i}$ 及其关联向量 $V_{A,i}$ 和 $V_{B,i}$ 。向量的模和相位可以通过以下公式计算:
$X = \frac{1}{M} \sum_{l = 0}^{L - 1} n_l \cos(\frac{2\pi l}{L})$
$Y = \frac{1}{M} \sum_{l = 0}^{L - 1} n_l \sin(\frac{2\pi l}{L})$
$M = \sum_{l = 0}^{L - 1} n_l$
其中,$n_l$ 是 $G_{A,i}$ 中循环直方图类l的基数(即属性 $A_n$ 取整数值l的次数)。向量 $V_{A,i}$ 的模 $R = \sqrt{X^2 + Y^2}$ ,相位(也称为平均方向 $\mu$ )为:
$\mu =
\begin{cases}
\arctan(Y/X) & \text{if } X > 0 \
\frac{\pi}{2} & \text{if } X = 0, Y > 0 \
-\frac{\pi}{2} & \text{if } X = 0, Y < 0 \
\pi + \arctan(Y/X) & \text{else}
\end{cases}$
3.
消息嵌入
:通过调制 $V_{A,i}$ 和 $V_{B,i}$ 之间的相对角度 $\beta_i$ 来嵌入消息符号 $s = { 0/1 }$ 。将 $\beta_i$ 转换为加水印的版本 $\beta_{W,i}$ ,具体如下:
$\beta_{W,i} =
\begin{cases}
\beta_i - 2\alpha & \text{if } s = 0 (\beta_{W,i} < 0) \
\beta_i + 2\alpha & \text{if } s = 1 (\beta_{W,i} > 0)
\end{cases}$
其中,角度步长 $\alpha = \left| \frac{2\pi\Delta}{L} \right|$ ,$\Delta$ 对应于直方图的移位幅度。
在读取阶段,根据 $\beta_{W,i}$ 的符号可以确定嵌入的符号值,并通过反转插入过程恢复原始的 $\beta_i$ 值。
然而,并非所有组都能携带消息符号。我们将组分为三类:
-
“载体组”
:当 $|\beta_i| < 2\alpha$ 时,可以插入 $s = 0$ 或 $s = 1$ ,因为可以交换 $V_{A,i}$ 和 $V_{B,i}$ 的位置。
-
“非载体组”
:角度失真 $\alpha$ 不足以改变 $\beta_i$ 的符号。为了避免在读取阶段与载体组混淆,对其进行如下修改:
$\beta_{W,i} =
\begin{cases}
\beta_i + 2\alpha & \text{if } \beta_i > 0 \
\beta_i - 2\alpha & \text{if } \beta_i < 0
\end{cases}$
在读取阶段,这些组的水印角度值满足 $|\beta_{W,i}| > 4\alpha$ ,可以与载体组区分开来。读者只需根据上述公式添加或减去 $\alpha$ 即可恢复这些加水印的非载体组。
-
“溢出组”
:如果修改这些组,会发生“角度溢出”。当 $|\beta_i| > \pi - 2\alpha$ 时,修改会导致不期望的符号变化,从而使水印读取器出错。为了解决这个问题,在嵌入阶段不修改这些组,并通过与消息一起插入的开销信息通知读取器。开销信息是一个位向量 $O_v$ ,用于指示加水印的组是溢出组(未修改)还是非载体组。
该方法的性能取决于载体组的数量和开销的大小(即溢出组的数量),这部分依赖于用于嵌入的数值属性的统计特性和每组的元组数量。
4. 线性直方图修改
$\beta_i$ 的旋转可以在线性域(即属性值)中以不同的方式进行。根据数值属性 $A_n$ 的概率分布,我们提出了两种不同的策略,它们从 $\beta_i$ 的角度来看是等效的,但可以最小化数据库的失真。
-
属性概率分布集中在其域范围中心
:通过向 $G_{A,i}$ 中的值添加 $\Delta$ ,并从 $G_{B,i}$ 中的值减去 $\Delta$ 来修改组,以将角度 $\beta_i$ 修改 $2\alpha$ (反向修改为 $-2\alpha$ )。这样可以将失真分布到两个组中,减少属性值在属性域范围端点之间的跳跃次数。
-
属性概率密度集中在其域范围的一个端点
:例如集中在较低端点时,应避免将直方图向左移动,因为这会增加跳跃的发生次数并最大化数据库失真。因此,我们只使用一个子组(根据所需的 $\beta_i$ 最终符号选择),并通过向其属性值添加 $2\Delta$ 来将其属性值向远离较低域范围的方向移动。这种方法可以显著减少引入的失真,但会使属性分布的平均值增加 $\Delta$ 。
下面是两种策略的对比表格:
| 策略 | 适用情况 | 操作方式 | 优点 | 缺点 |
| — | — | — | — | — |
| 策略一 | 属性概率分布集中在域范围中心 | 向 $G_{A,i}$ 加 $\Delta$ ,从 $G_{B,i}$ 减 $\Delta$ | 失真分布均匀,减少跳跃次数 | 无明显缺点 |
| 策略二 | 属性概率密度集中在域端点 | 选择一个子组加 $2\Delta$ | 减少失真 | 属性分布平均值增加 $\Delta$ |
5. 理论性能评估
为了全面了解所提出的无损脆弱水印方法的性能,我们从容量和失真两个方面进行理论评估。
5.1 容量评估
该方法的容量主要取决于载体组的数量和开销的大小(即溢出组的数量)。载体组能够有效地嵌入消息符号,而溢出组需要额外的开销信息来处理,这会影响实际的嵌入容量。
设数据库中总共有 $N_g$ 个组,其中载体组的数量为 $N_{carrier}$ ,溢出组的数量为 $N_{overflow}$ 。则实际可用于嵌入消息的有效组数量为 $N_{effective} = N_{carrier} - N_{overflow}$ 。
由于每个载体组可以嵌入一个消息符号,因此该方法的理论容量 $C$ 可以表示为:
$C = N_{effective} \times b$
其中,$b$ 是每个符号所携带的比特数。在我们的方案中,通常 $b = 1$ (因为消息符号 $s = { 0/1 }$ )。
载体组和溢出组的数量与用于嵌入的数值属性的统计特性以及每组的元组数量密切相关。例如,如果数值属性的分布较为均匀,可能会有更多的组成为载体组;而如果分布过于集中,可能会导致溢出组的数量增加,从而降低容量。
5.2 失真评估
失真主要来源于对属性值的修改。在我们提出的两种线性直方图修改策略中,失真的表现形式和程度有所不同。
- 策略一(属性概率分布集中在域范围中心) :通过向 $G_{A,i}$ 中的值添加 $\Delta$ ,并从 $G_{B,i}$ 中的值减去 $\Delta$ 来修改组。这种方式将失真均匀地分布到两个子组中,减少了属性值在属性域范围端点之间的跳跃次数。
设 $x_{A,j}$ 是 $G_{A,i}$ 中的第 $j$ 个属性值,$x_{B,k}$ 是 $G_{B,i}$ 中的第 $k$ 个属性值。则修改后的属性值分别为 $x_{A,j}’ = x_{A,j} + \Delta$ 和 $x_{B,k}’ = x_{B,k} - \Delta$ 。
整体的失真可以通过计算修改前后属性值的均方误差(MSE)来衡量:
$MSE_1 = \frac{1}{N_{A} + N_{B}} \left( \sum_{j = 1}^{N_{A}} (x_{A,j}’ - x_{A,j})^2 + \sum_{k = 1}^{N_{B}} (x_{B,k}’ - x_{B,k})^2 \right)$
其中,$N_{A}$ 和 $N_{B}$ 分别是 $G_{A,i}$ 和 $G_{B,i}$ 中的元组数量。
- 策略二(属性概率密度集中在域端点) :只选择一个子组,向其属性值添加 $2\Delta$ 。这种方法虽然可以减少属性值在域端点的跳跃,从而降低失真,但会使属性分布的平均值增加 $\Delta$ 。
设选择的子组为 $G_{selected}$ ,其中第 $m$ 个属性值为 $x_{selected,m}$ 。修改后的属性值为 $x_{selected,m}’ = x_{selected,m} + 2\Delta$ 。
其均方误差为:
$MSE_2 = \frac{1}{N_{selected}} \sum_{m = 1}^{N_{selected}} (x_{selected,m}’ - x_{selected,m})^2$
其中,$N_{selected}$ 是 $G_{selected}$ 中的元组数量。
通过理论分析,我们可以根据不同的属性分布和应用需求,选择合适的策略来平衡容量和失真。
6. 实验验证
为了验证上述理论评估的准确性,我们在一个包含超过一百万个住院患者记录的真实医疗数据库上进行了实验。
6.1 实验设置
- 数据库 :使用医疗数据库,其中包含多个数值属性,我们选择了一个合适的数值属性进行水印嵌入实验。
- 参数设置 :设置水印密钥 $K_S$ ,分组数量 $N_g$ ,以及直方图移位幅度 $\Delta$ 等参数。
- 消息嵌入 :根据提出的方案,将消息嵌入到数据库中。
- 消息提取 :在嵌入水印后,使用相同的密钥和分组规则进行消息提取。
6.2 实验结果
- 容量验证 :通过统计载体组和溢出组的数量,计算实际的嵌入容量,并与理论容量进行对比。实验结果表明,在中心极限定理的假设下,实际容量与理论容量较为接近。这说明我们对容量的理论评估是合理的。
- 失真验证 :分别计算两种线性直方图修改策略下的均方误差,并与理论计算的失真进行对比。实验结果显示,实验得到的失真值与理论值相符,验证了我们对失真的理论分析。
下面是实验结果的对比表格:
| 评估指标 | 理论值 | 实验值 | 误差率 |
| — | — | — | — |
| 容量 | $C_{theory}$ | $C_{experiment}$ | $\frac{|C_{theory} - C_{experiment}|}{C_{theory}}$ |
| 策略一失真(MSE) | $MSE_{1,theory}$ | $MSE_{1,experiment}$ | $\frac{|MSE_{1,theory} - MSE_{1,experiment}|}{MSE_{1,theory}}$ |
| 策略二失真(MSE) | $MSE_{2,theory}$ | $MSE_{2,experiment}$ | $\frac{|MSE_{2,theory} - MSE_{2,experiment}|}{MSE_{2,theory}}$ |
实验流程图如下:
graph LR
classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px;
A([开始]):::startend --> B(实验设置):::process
B --> C(消息嵌入):::process
C --> D(消息提取):::process
D --> E(容量验证):::process
D --> F(失真验证):::process
E --> G(结果对比):::process
F --> G
G --> H([结束]):::startend
7. 总结
本文提出了一种基于循环直方图调制的新型无损脆弱水印方法,用于关系数据库的真实性控制。该方法通过调制数值属性的循环直方图中心质量之间的相对角度来嵌入消息,具有以下优点:
-
独立性
:不依赖于数据库的存储结构,具有较好的通用性。
-
低失真
:通过合理选择线性直方图修改策略,可以在保证一定容量的前提下,有效降低数据库的失真。
-
可预测性
:由于对属性值的修改是恒定的,因此可以预测相应的数据库失真。
通过理论评估和实验验证,我们证明了该方法在容量和失真方面的性能符合理论预期。在实际应用中,用户可以根据自己对容量和失真的需求,灵活调整参数,选择合适的线性直方图修改策略,以实现最佳的水印效果。未来,我们可以进一步研究该方法在不同类型数据库和复杂应用场景下的性能,以及如何进一步提高水印的安全性和鲁棒性。
扫一扫
15
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
