一種基于隱寫術(shù)的機密文檔泄露追蹤方案

王洪君　尚大龍

摘 要

本文擬對企業(yè)內(nèi)部網(wǎng)絡(luò)的機密文檔泄露問題，采用隱寫術(shù)嵌入泄漏源秘密信息方法，并結(jié)合其他有效手段予以必要防范及信息采集，最終達到預(yù)防及追蹤機密文檔泄露者的效果。通過此方案的實行，可以有效預(yù)防及震懾泄密者，使之不敢泄密。對提出的方案進行實驗，結(jié)果證明了所給方法的有效性。

【關(guān)鍵詞】隱寫術(shù) 泄密追蹤 JPHS

隨著信息技術(shù)的全面普及，企業(yè)內(nèi)部也全部實現(xiàn)電子辦公。但是，電子辦公在為辦公自動化帶來方便的同時，隨之而來的安全問題也愈發(fā)凸顯，尤其是在需要保密的企業(yè)內(nèi)網(wǎng)環(huán)境中。本文提出一種隱寫術(shù)嵌入方案，可以有效地追蹤機密文檔泄密源，以預(yù)防機密文件被人竊取后而無法追蹤的難題。

隱寫術(shù)是將一些秘密信息直接嵌入至載體中而不影響原載體的使用價值，也不易被探知和再次修改，卻能被生產(chǎn)方識別和辨認。通過隱寫術(shù)，可以有效秘密通信，及版權(quán)保護、信息源追蹤等。如此一來，一旦追蹤到泄密者，可進行法律制裁，從而對其形成威懾，使其不敢就范。

得益于電子文檔具有傳輸?shù)谋憬菪?，使得一人編寫，多人收益。但同時，也造成了保密難的問題。如直接對文檔進行加密，則泄密者會采取拍照打印等方式對文檔內(nèi)容進行搜集，文檔依然會泄密。如對文檔限制下載，泄密者仍然會采取相同或類似方式進行泄密。再者，一味的對機密文檔進行被動防范，泄密者必定會想盡辦法對其竊取，而非罷手。顯然，對文檔進行簡單直接的處理是不合理的。本文從另一角度出發(fā)來著手這一問題，即將機密文檔存放在服務(wù)器，待泄密者使用一定密級的賬號登陸進行下載，服務(wù)器則提取該賬號信息及登錄客戶端硬件信息進行存檔，并將存檔信息進行指紋提??；隨后將該指紋嵌入至該賬號欲下載的文檔中；最后將該文檔傳輸給欲下載的賬號。如此一來，只要出現(xiàn)文檔泄露，便提取事先嵌入的指紋，再與之前存檔的指紋機對應(yīng)源信息進行比對，最終必然可以追蹤到泄密者。

1 相關(guān)工作

針對不同載體，都有著不同種類的隱寫術(shù)。圖像隱寫術(shù)分為兩類：空間域隱寫和變換域隱寫算法；其中，空間域隱寫算法分為：LSB隱寫算法，BPCS隱寫算法及PVD隱寫算法等；變換域隱寫算法主要有：JSteg算法、F5算法及OutGuess算法等。

本文采用了基于DCT的隱寫算法JPHS對DOCX文檔中的圖像文件進行秘密信息嵌入。該算法采用了Blowfish算法對嵌入的秘密信息進行加密，所能達到的嵌入率在5%左右，其實現(xiàn)簡單，且主要針對流行的jpeg文件進行隱寫，因此很適合封裝成服務(wù)器端的程序子集。

2 方案設(shè)計及基本流程

本文針對企業(yè)內(nèi)部網(wǎng)絡(luò)的機密文檔泄密追蹤，對于其他情形依然有效。

常見的文檔格式有DOCX，PDF，XLSX，PPTX等，這些文件都是有一定格式的。不同的文檔格式，可以有不同方式的嵌入方法，本文以DOCX格式文件為例。DOCX是Office Open XML Document的一種擴展名，這種文件格式是Microsoft開發(fā)的一種以XML為基礎(chǔ)并以ZIP格式壓縮的電子文件規(guī)范并成為了ECMA規(guī)范的一部分。該標準支持文件、表格、備忘錄、幻燈片等文件格式。由于DOCX格式本質(zhì)上是一個壓縮包，那么完全可以按照壓縮文件采用7z等開源程序進行處理，即解壓DOCX文件，對內(nèi)部文件進行改寫，并重新壓縮，再上傳至服務(wù)器，最后傳輸給客戶端。

由于文本隱寫術(shù)過于復(fù)雜不易實現(xiàn)，而音頻隱寫術(shù)適用范圍有限，本文采用圖像隱寫術(shù)進行嵌入，即對文檔中的圖像進行隱寫嵌入。由于是企業(yè)內(nèi)部機密文檔，因此，可以將公司LOGO、“機密文檔”等字樣轉(zhuǎn)化為圖案形式插入機密文檔內(nèi)部，秘密信息則嵌入其中。

本方案采取了下面的一系列措施進行追蹤及防護。首先，應(yīng)該對內(nèi)網(wǎng)機器進行IP+MAC+端口綁定，防止泄密者盜用他人的IP和MAC進行泄密；其次，對每臺內(nèi)網(wǎng)機器實施硬件加密+生物指紋識別，防止泄密者盜用他人電腦進行泄密；第三，當(dāng)每臺機器請求在線瀏覽或下載機密文檔時，服務(wù)器會收集該機器的識別信息（CPUID，PCID，MAC等），隨后再對該機器請求瀏覽或下載的文件進行秘密信息嵌入，這樣，每臺機器看到的機密文件都有著不同秘密信息。

追蹤實現(xiàn)：機密文檔泄密之后，可以使用對應(yīng)的提取程序?qū)ξ臋n提取秘密信息，再到服務(wù)器查詢存檔記錄，查得泄露賬號及使用機器，確定機密文檔泄漏源。

本方案嵌入結(jié)構(gòu)模型如圖1所示。

隱寫術(shù)嵌入基本流程：

S1.客戶端請求下載秘密文檔。

S2.服務(wù)器得到客戶端請求信息，及客戶端硬件信息。

S3.服務(wù)器根據(jù)硬件信息生成哈希值，并將哈希值及客戶端信息存儲至服務(wù)器進行備份。

S4.服務(wù)器根據(jù)用戶請求信息得到其所要下載的文檔的原始數(shù)據(jù)。

S5.服務(wù)器將把S3得到的哈希值嵌入至該文檔原始數(shù)據(jù)，并打包為原文檔格式。

S6.服務(wù)器將打包好的文檔數(shù)據(jù)返回給客戶端。

本方案提取結(jié)構(gòu)模型如圖2所示。

隱寫術(shù)提取基本流程：

S1.解壓文檔， 提取圖片

S2.提取圖片中的秘密信息文件

S3.與服務(wù)器端所有相關(guān)的存檔的秘密信息比對來查找對應(yīng)的信息

3 實驗與分析

限于篇幅，本文僅列舉了提取出的圖片（圖3）及嵌入秘密信息后的圖片（圖4）：

嵌入的秘密信息文本內(nèi)容如下：

465acf916947f4ebcf0761f500c4a443495d2486c0df1b549b5bdaa13ba7aac38dbef1526299209d11833009af50460ffac1b74cdc7a867577b31f0c3623b247

根據(jù)嵌入的秘密信息文本，最終得到客戶端硬件信息如下：

192.168.19.134

WIN-FDFESTOO5E1.DHCP HOST

Windows NT

00-0C-29-1B-6B-47

實驗結(jié)果證明方案的可行性。

4 推論

通過上述關(guān)鍵代碼及相關(guān)源文件，最終在個人電腦上成功測試，限于篇幅，不再展示。本文使用的嵌入方法可以直接對秘密信息文件進行加密，更增加了過程的安全性。由此，本方案實驗可行，在今后的研究中將重點針對文本隱寫術(shù)的隱寫嵌入。

參考文獻

[1]JOHNSON N F.SteganographyTools[EB/OL].http：//www.jjtc.com/Security/stegtools.htm2005.

[2]Kawaguchi E，Eason R.Principle and application of BPCS-Steganography[C].Proceeding of SPIE：Multimedia Systems and Applications，1998，3528：464-472.

[3]T.Penvy，P.Bas，J.Fridrich，Steganalysis by subtractive pixel adja-cency matrix[J].IEEE Transactions on Information Forensics and Security，2010，5（02）215-224.

[4]Derek Upham.JPEG-JSteg-V4[EB/OL]. http：//www.funet.fi/pub/crypt/steganography/jpeg-jsteg-v4.diff.gz，2007-03.

[5]Westfeld A.F5-A steganographic algorithm：High capacity despite better steganalysis[C].New York，Berlin，Heidellberg：Springer-Verlag，2001.289-302.

[6]Provos，N.Defending Against Statistical Steganalysis.Proc.10th USENIX Security Symposium. Washington，DC，2001.

[7]Allan Latham，JPHS[EB/OL]，http：//linux01.gwdg.de/～alatham/stego.html，1999.

[8]B.Schneier，“Description of a New Variable-Length Key，64-Bit Block Cipher （Blowfish），”Fast Software Encryption，Cambridge Security Workshop Proc.， Springer-Verlag，1993， pp.191–204.

[9]Microsoft，ECMA-376[EB/OL]，http：//www.ecma-international.org/publications/standards/Ecma-376.htm，2012

[10]7zip[EB/OL].http：//www.7-zip.org/，2016.

作者簡介

王洪君（1965-），男，吉林省榆樹市人。博士學(xué)歷?，F(xiàn)為吉林師范大學(xué)計算機學(xué)院教授。主要研究方向為網(wǎng)絡(luò)體系結(jié)構(gòu)及信息安全。

作者單位

吉林師范大學(xué)計算機學(xué)院 吉林省四平市 136000