電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)水印技術(shù)要求與測試方法

電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)水印技術(shù)要求與測試方法本文件規(guī)定了電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)水印的技術(shù)架構(gòu)，并對安全功能、自身安全等核心能力提出技術(shù)要求與測試方法。本文件適用于電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)與數(shù)字水印的嵌入和溯源工作，水印技術(shù)能力的設(shè)計(jì)、研發(fā)、測試、評估和驗(yàn)收等，包括但不限于數(shù)據(jù)水印的提供方、需求方、測評機(jī)構(gòu)和監(jiān)管機(jī)構(gòu)等2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件。僅該日期對應(yīng)的版本適用于本文件，不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T41479-2022信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求3術(shù)語和定義GB/T25069-2022、GB/T41479-2022界定的以及下列術(shù)語和定義適用于本文件。待嵌入水印信息的原始數(shù)據(jù)數(shù)據(jù)水印datawatermarking從原始環(huán)境向目標(biāo)環(huán)境進(jìn)行敏感數(shù)據(jù)交換時(shí)，向數(shù)據(jù)中植入水印標(biāo)記，同時(shí)保留目標(biāo)環(huán)境業(yè)務(wù)所需的數(shù)據(jù)特性或內(nèi)容的數(shù)據(jù)處理過程YD/Txxxxx—xxxx在數(shù)據(jù)載體中可見或展示的水印在數(shù)據(jù)載體中不可見或隱藏的水印。通過技術(shù)手段將水印信息嵌入到數(shù)據(jù)載體中的過程水印湖源watermarktracing4縮略語下列縮略語適用于本文件。API;應(yīng)用程序接口(applicationprogramminginterfice)MAC:介質(zhì)訪問控制(mediaaccesscontrol)NTP:網(wǎng)絡(luò)時(shí)間協(xié)議(networktimeprotocol)5.1應(yīng)用架構(gòu)數(shù)據(jù)水印的整體應(yīng)用架構(gòu)如圖1。結(jié)果展示結(jié)果展示水印結(jié)果展示濺源結(jié)果展示報(bào)表分析第三方應(yīng)用API接口“統(tǒng)一數(shù)據(jù)源”連接安全管理系統(tǒng)管理時(shí)間配置上地1水印及期源作業(yè)配置作業(yè)管理數(shù)據(jù)源□圖1.數(shù)據(jù)水印應(yīng)用架構(gòu)圖實(shí)際應(yīng)用數(shù)據(jù)水印工具/系統(tǒng)平臺(tái)/產(chǎn)品，主要涉及水印嵌入、水印溯源兩個(gè)要素a)水印嵌入：企業(yè)或組織機(jī)構(gòu)通過在數(shù)據(jù)水印工具/系統(tǒng)平臺(tái)產(chǎn)品中上傳源數(shù)據(jù)并設(shè)置水印信息生成密鑰后，通過水印嵌入算法，將水印信息嵌入到原始數(shù)據(jù)中，最終得到含有水印的數(shù)據(jù)：b)水印溯源：將包含水申信息的目標(biāo)數(shù)據(jù)上傳到數(shù)據(jù)水印工具/系統(tǒng)/平臺(tái)產(chǎn)品中，通過水印溯源算法提取出對應(yīng)密鑰，得到水印名稱、作業(yè)時(shí)間，分發(fā)人等，從而測源確定進(jìn)行追究定責(zé)或版權(quán)宜示等。水印效果的評估可遵從隱蔽性、魯棒性、安全性和放感性四個(gè)原則a)隱蔽性：水印數(shù)據(jù)的存在不應(yīng)明顯干擾被保護(hù)的數(shù)據(jù)，不影響被保護(hù)數(shù)據(jù)的正常使用b)魯棒性：經(jīng)過常規(guī)操作處理后，水印數(shù)據(jù)仍能保持部分完整性并能被準(zhǔn)確鑒別：c)安全性：水印數(shù)據(jù)應(yīng)是安全的，難以被第改或偽造；d)敏感性：水印數(shù)據(jù)能夠支持判斷被保護(hù)數(shù)據(jù)是否道受算改46數(shù)據(jù)水印技術(shù)要求6.1安全功能6.1.1數(shù)據(jù)源支持?jǐn)?shù)據(jù)水印工具/系統(tǒng)/平臺(tái)產(chǎn)品應(yīng)支持主動(dòng)嗅探或被動(dòng)監(jiān)測以下數(shù)據(jù)源，并能夠正確識別IP地址、端口、版本信息等數(shù)據(jù)源信息：a)應(yīng)支持關(guān)系型數(shù)據(jù)庫和數(shù)據(jù)倉庫、非關(guān)系型數(shù)據(jù)庫和數(shù)據(jù)倉庫中的至少一種：·對于關(guān)系型數(shù)據(jù)庫和數(shù)據(jù)倉庫，例如MySQL、Oracle、SQLServer、Db2、PostgreSQL·對于非關(guān)系型數(shù)據(jù)庫和數(shù)據(jù)倉庫，例如MongoDB、Redis、Hive、HBase、Impala等：b)應(yīng)至少支持一種文件共享協(xié)議，例如FTP、SMB、NFS等；c)應(yīng)至少支持一種大數(shù)據(jù)平臺(tái)，例如Hadoop、Teradata、Transwarp等。6.1.2水印算法水印嵌入算法可分為結(jié)構(gòu)化水印嵌入算法和非結(jié)構(gòu)化水印嵌入算法，具體要求如下：a)應(yīng)支持結(jié)構(gòu)化數(shù)據(jù)水印嵌入算法，例如模擬數(shù)據(jù)單元算法、模擬行算法、模擬列算法等；b)應(yīng)支持非結(jié)構(gòu)化數(shù)據(jù)水印嵌入算法，例如空間域算法、變換域算法等。水印溯源算法可分為結(jié)構(gòu)化水印溯源算法和非結(jié)構(gòu)化水印測源算法，具體要求如下：a)應(yīng)支持結(jié)構(gòu)化數(shù)據(jù)水印測源算法，例如數(shù)據(jù)單元、行、列等水印信息識別與提取算法：b)應(yīng)支持非結(jié)構(gòu)化數(shù)據(jù)水印溯源算法，例如圖像、音頻、視頻等水印信息識別與提取算法6.1.3水印規(guī)則數(shù)據(jù)水印工具/系統(tǒng)/平臺(tái)產(chǎn)品所涉及的水印規(guī)則，具體要求如下；a)應(yīng)支持水印規(guī)則的管理功能，例如添加、刪除、編輯、查詢等：b)應(yīng)支持水印規(guī)則的配置功能，例如水印載體類型、水印類型、水印位置、透明度配置等5c)應(yīng)根據(jù)顯性水印或隱性水印特性。在嵌入、提取和溯源等階段進(jìn)行差異化的規(guī)則制定：d)宜支持水印規(guī)則效果預(yù)覽。數(shù)據(jù)水印工具/系統(tǒng)/平臺(tái)產(chǎn)品所涉及的水印規(guī)則，具體要求如下：a)應(yīng)支持對水印任務(wù)進(jìn)行創(chuàng)建、運(yùn)行、停止、刪除、查看，并且支持任務(wù)并發(fā)：b)水印任務(wù)應(yīng)兼容執(zhí)行過程中遇到的異常情況，支持跳過異常數(shù)據(jù)繼續(xù)執(zhí)行任務(wù)；c)應(yīng)支持設(shè)置水印信息嵌入標(biāo)記策略，例如發(fā)送時(shí)間、發(fā)送者、目標(biāo)地址等；d)應(yīng)支持設(shè)置水印信息提取測源策略，例如分發(fā)源、分發(fā)對象、分發(fā)日期等：e)應(yīng)支持對全量或者部分?jǐn)?shù)據(jù)進(jìn)行水印標(biāo)記的策略；f)水印策略應(yīng)支持通過指定過濾條件篩選g)宜支持內(nèi)置多種行業(yè)和不同業(yè)務(wù)場景的水印策略。6.1.5水印信息數(shù)據(jù)水印工具/系統(tǒng)/平臺(tái)產(chǎn)品所涉及的水印信息具體要求如下：a)水印信息的生成、嵌入、溯源的過程應(yīng)全程黑盒，保障其不易被慕改或刪除；b)應(yīng)能抵抗一定強(qiáng)度的數(shù)據(jù)變換或惡意攻擊，如數(shù)據(jù)壓縮、數(shù)據(jù)裁剪、幾何失真等；c)應(yīng)在特定情況下通過背定溯源操作被檢測或者提?。篸)應(yīng)根據(jù)業(yè)務(wù)特性保持與源數(shù)據(jù)之間的關(guān)聯(lián)關(guān)系，包括主外鍵關(guān)聯(lián)性、關(guān)聯(lián)字段的業(yè)務(wù)語義關(guān)聯(lián)性等；e)宜基于密碼算法保證嵌入水印信息的完整性，避免水印信息被篡改和仿造，根據(jù)業(yè)務(wù)需要支持時(shí)間戳簽名等。6.1.6水印嵌入數(shù)據(jù)水印工具/系統(tǒng)平臺(tái)產(chǎn)品所涉及的水印嵌入具體要求如下a)應(yīng)支持對目標(biāo)數(shù)據(jù)庫或數(shù)據(jù)倉庫中全量或部分?jǐn)?shù)據(jù)進(jìn)行水印嵌入：b)應(yīng)支持對偽行、列、字段等配置管理；o)應(yīng)支持對分發(fā)對象的名稱、編碼、類別、級別的管理；YD/TxXXXx—xXXxd)應(yīng)支持將添加水印后的數(shù)據(jù)存儲(chǔ)到數(shù)據(jù)庫、數(shù)據(jù)倉庫或者文件服務(wù)器等e)水印嵌入過程應(yīng)包含容錯(cuò)機(jī)制，并支持異常報(bào)錯(cuò)6.1.7水印湖源數(shù)據(jù)水印工具/系統(tǒng)/平臺(tái)產(chǎn)品所涉及的水印測源具體要求如下：a)應(yīng)支持對目標(biāo)數(shù)據(jù)庫或數(shù)據(jù)倉庫中全量或部分?jǐn)?shù)據(jù)進(jìn)行水印溯源：b)水印溯源提取的水印信息應(yīng)和水印嵌入時(shí)的水印信息保持一致；c)應(yīng)能夠支持溯源結(jié)果查詢，溯源信息可以支持定位到責(zé)任方；d)水印溯源過程應(yīng)包含容錯(cuò)機(jī)制，并支持異常報(bào)錯(cuò)：e)宜支持判斷水印嵌入后的數(shù)據(jù)是否遭受算改。6.1.8結(jié)果展示數(shù)據(jù)水印工具/系統(tǒng)/平臺(tái)產(chǎn)品所涉及的結(jié)果展示具體要求如下：a)應(yīng)支持對水印嵌入與溯源結(jié)果進(jìn)行查看，展示形式宜為可視化表格、統(tǒng)計(jì)圖等：b)結(jié)果展示內(nèi)容應(yīng)包括作業(yè)ID、調(diào)度名稱、執(zhí)行開始時(shí)間、執(zhí)行結(jié)束時(shí)間、執(zhí)行用時(shí)、水印類型、調(diào)度策略、執(zhí)行結(jié)果等；c)應(yīng)支持異常作業(yè)查看及異常情況原因分析；d)應(yīng)支持水印嵌入與溯源結(jié)果報(bào)告導(dǎo)出。數(shù)據(jù)水印工具/系統(tǒng)/平臺(tái)產(chǎn)品所涉及的API擴(kuò)展具體要求如下：a)應(yīng)能夠?qū)ν馓峁└鞣N功能的標(biāo)準(zhǔn)開放接口，實(shí)現(xiàn)與其它設(shè)備、工具、系統(tǒng)、平臺(tái)聯(lián)動(dòng)集成或數(shù)據(jù)交互等；b)接口形式應(yīng)至少支持以下任意一種：Restful接口、WebService接口、RPC接口等：外部接口應(yīng)采用基于可靠身份認(rèn)證的手段實(shí)現(xiàn)訪問控制：c)應(yīng)對通過接口傳輸?shù)臄?shù)據(jù)進(jìn)行加密；d)應(yīng)對API接口被訪問情況和瀏量情況進(jìn)行監(jiān)測分析。6.2自身安全YD/TxXXXx—xXXx數(shù)據(jù)水印工具/系統(tǒng)/平臺(tái)產(chǎn)品所涉及的自身安全具體要求如下：a)應(yīng)能夠?qū)τ脩羯矸葸M(jìn)行標(biāo)識和鑒別，并且身份標(biāo)識具有唯一性：b)應(yīng)能夠?qū)τ脩羯矸蓁b別信息進(jìn)行安全保護(hù)，保障用戶鑒別信息存儲(chǔ)和傳輸過程中的機(jī)密性、可用性、完整性c)應(yīng)具有登錄失敗處理和超時(shí)處理機(jī)制，如限制連續(xù)的非法登錄嘗試次數(shù)、超時(shí)自動(dòng)退出等：d)應(yīng)能夠基于用戶身份和用戶權(quán)限，控制用戶可訪問和操作的數(shù)據(jù)內(nèi)容和范圍。6.2.2權(quán)限管理a)權(quán)限管理應(yīng)依據(jù)“三權(quán)分立“原則，對水印管理、使用、審計(jì)人員角色進(jìn)行分離設(shè)置：b)按角色進(jìn)行分級權(quán)限管理的功能，針對操作員對不同粒度的功能進(jìn)行權(quán)限控制。6.2.3日志審計(jì)a)進(jìn)行日志審計(jì)的功能，包括數(shù)據(jù)源操作、嵌入操作、溯源操作等。6.2.4用戶管理a)應(yīng)支持用戶創(chuàng)建、修改和刪除等管理功能，并能根據(jù)實(shí)際需求分配與變更不同的角色和權(quán)限并應(yīng)支持對用戶口令和用戶信息的修改；b)應(yīng)支持用戶組或角色的創(chuàng)建、修改和刪除等管理功能，支持基于用戶組或角色進(jìn)行權(quán)限配置，并支持對用戶組或角色的基本信息和權(quán)限信息的修改6.2.5運(yùn)維管理a)應(yīng)能夠通過查看和監(jiān)控各功能模塊和組件的軟硬件配置、性能以及資源使用等情況：b)應(yīng)支持可視化查看總體水印作業(yè)的列表清單、運(yùn)行狀態(tài)等c)應(yīng)提供時(shí)鐘同步功能，實(shí)現(xiàn)系統(tǒng)各模塊之間的時(shí)間同步；d)應(yīng)具備版本管理能力，能夠進(jìn)行升級更新以及查看版本迭代記錄。7數(shù)據(jù)水印測試方法1)關(guān)系型與非關(guān)系型數(shù)據(jù)庫或數(shù)據(jù)倉庫準(zhǔn)備就緒1)啟動(dòng)水印工具/系統(tǒng)/平臺(tái)/產(chǎn)品，打開數(shù)據(jù)源發(fā)現(xiàn)應(yīng)用界面；1)數(shù)據(jù)水印工具/系統(tǒng)/平臺(tái)/產(chǎn)品的數(shù)據(jù)源發(fā)現(xiàn)界面打開成2)數(shù)據(jù)水印工具/系統(tǒng)/平臺(tái)/產(chǎn)品連接關(guān)系型與非關(guān)系型數(shù)據(jù)庫或數(shù)據(jù)倉庫成功；2)配置模擬數(shù)據(jù)單元算法進(jìn)行水印嵌入任務(wù)；3)配置模擬行算法進(jìn)行水印嵌入任務(wù)；中成功添加仿真數(shù)據(jù)單元水??；1)數(shù)據(jù)源準(zhǔn)備就緒并運(yùn)行正常；1)能夠支持對上傳文件進(jìn)行水印添加，支持下載添加水印后的文件；2)支持用戶對文檔進(jìn)行水印算法配置，以添加不同格式和內(nèi)容的水?。?)支持對可見水印的內(nèi)容、字體、顏色、旋轉(zhuǎn)角度等屬性進(jìn)行4)在目標(biāo)文檔的內(nèi)容基礎(chǔ)之上可進(jìn)行水印標(biāo)識追加，不影響目標(biāo)文1)數(shù)據(jù)水印工具/系統(tǒng)/平臺(tái)/產(chǎn)品運(yùn)行正常；1)能夠驗(yàn)證水印溯源數(shù)據(jù)的可用性；2)成功完成水印溯源任務(wù)；1)數(shù)據(jù)源準(zhǔn)備就緒并運(yùn)行正常；1)通過數(shù)據(jù)水印工具/系統(tǒng)/平臺(tái)/產(chǎn)品對指定數(shù)據(jù)設(shè)置顯性水?。?)通過數(shù)據(jù)水印工具/系統(tǒng)/平臺(tái)/產(chǎn)品對指定數(shù)據(jù)設(shè)置隱性水??；2)檢查直接打開目標(biāo)數(shù)據(jù)載體是否能查看2)通過數(shù)據(jù)水印工具/系統(tǒng)/平臺(tái)/產(chǎn)品查看目標(biāo)數(shù)據(jù)載體的水印信息可見。1)數(shù)據(jù)源準(zhǔn)備就緒并運(yùn)行正常；3)運(yùn)行策略，查看水印是否生成；4)運(yùn)行停止，查看水印添加動(dòng)作是否終止；7)同時(shí)執(zhí)行多個(gè)水印策略，檢測是否支持并發(fā)水印任務(wù)；2)支持對水印任務(wù)策略的創(chuàng)建、運(yùn)行、停止、刪除、查看等；3)支持水印任務(wù)策略并發(fā)；測試目的；驗(yàn)證數(shù)據(jù)水印工具/系統(tǒng)/平臺(tái)/產(chǎn)品產(chǎn)品執(zhí)行水印嵌入標(biāo)記策略的能力。1)數(shù)據(jù)源準(zhǔn)備就緒并運(yùn)行正常；2)配置并執(zhí)行水印嵌入標(biāo)記策略；1)水印嵌入標(biāo)記策略執(zhí)行成功；測試目的：驗(yàn)證數(shù)據(jù)水印工具/系統(tǒng)/平臺(tái)/產(chǎn)品產(chǎn)品執(zhí)行水印提取溯源策略的能力。2)配置并執(zhí)行水印提取溯源策略；2)支持通過溯源出的水印數(shù)據(jù)查詢到數(shù)據(jù)分發(fā)源、分發(fā)對象、分發(fā)日期等相關(guān)信息；2)待添加數(shù)據(jù)水印的數(shù)據(jù)(有m種數(shù)據(jù)類型，對應(yīng)每種數(shù)據(jù)類型有n1)對應(yīng)數(shù)據(jù)類型x(1.m)用數(shù)據(jù)閱讀工具查閱加數(shù)據(jù)水印前的數(shù)閱數(shù)據(jù)內(nèi)容；2)處理待加水印的數(shù)據(jù)，輸出加水印后的數(shù)據(jù)Bx1..Bxn;的不同，驗(yàn)證水印是否可定位和識別；1)數(shù)據(jù)水印信息的位置動(dòng)態(tài)、分散且未授權(quán)人員無法定位；2)待添加數(shù)據(jù)水印的數(shù)據(jù)(有m種數(shù)據(jù)類型，對應(yīng)每種數(shù)據(jù)類型有n個(gè)不同的測試數(shù)據(jù))測試步驟；2)處理待加水印的數(shù)據(jù)，輸出加水印后的數(shù)據(jù)D3)應(yīng)加水印前的關(guān)聯(lián)關(guān)系，比較數(shù)據(jù)Ax1...Axn、數(shù)據(jù)Dx1...Dxn的一致性型；2)已添加數(shù)據(jù)水印的數(shù)據(jù)(有m種數(shù)據(jù)類型，對應(yīng)每種數(shù)據(jù)類型有n個(gè)不同的測試數(shù)據(jù))測試步驟；含時(shí)間戳信息):2)用編輯工具編輯數(shù)據(jù)中的水印信息，輸出編輯水印后的數(shù)據(jù)Ex1..Exn;3)嘗試讀取編輯后數(shù)據(jù)Ex1..Exn的水印信息，記錄讀取結(jié)果(是否成功讀取):1)嵌入水印信息的完整性保護(hù)措施避免水1)新建水印嵌入任務(wù)；4)查看水印嵌入任務(wù)運(yùn)行詳情；2)水印嵌入任務(wù)運(yùn)行成功；測試目的：驗(yàn)證數(shù)據(jù)水印工具/系統(tǒng)/平臺(tái)/產(chǎn)品中分發(fā)對象的新建、修改、刪除。1)數(shù)據(jù)源準(zhǔn)備就緒并運(yùn)行正常；1)新建分發(fā)對象，輸入名稱、編碼、類別、級別信息2)修改分發(fā)對象信息并保存；2)設(shè)置分發(fā)對象；1)水印信息嵌入成功；4)查看水印溯源任務(wù)運(yùn)行詳情；3)水印溯源任務(wù)停止成功；4)水印湖源任務(wù)查看成功；5)水印溯源任務(wù)刪除成功測試步驟；1)新建溯源任務(wù)；4)將存在水印信息的數(shù)據(jù)刪除部分?jǐn)?shù)據(jù)上1)完整存在水印信息的數(shù)據(jù)溯源成功且湖源信測試目的：驗(yàn)證數(shù)據(jù)水印工具/系統(tǒng)/平臺(tái)/產(chǎn)品具備記錄所有的水印作2)數(shù)據(jù)水印工具/系統(tǒng)/平臺(tái)/產(chǎn)品存在成功完成的水印作2)查看已完成的水印結(jié)果的作業(yè)詳情；測試目的：驗(yàn)證數(shù)據(jù)水印工具/系統(tǒng)平臺(tái)產(chǎn)品具備記錄水印作業(yè)的異常情況的能力。1)數(shù)據(jù)水印工具/系統(tǒng)/平臺(tái)/產(chǎn)品運(yùn)行正常；2)數(shù)據(jù)水印工具/系統(tǒng)/平臺(tái)/產(chǎn)品存在出現(xiàn)異常的水印作1)進(jìn)入水印作業(yè)結(jié)果模塊；1)支持異常作業(yè)查詢；測試目的：驗(yàn)證數(shù)據(jù)水印工具/系統(tǒng)/平臺(tái)/1)數(shù)據(jù)水印工具/系統(tǒng)/平臺(tái)/產(chǎn)品運(yùn)行正常；1)進(jìn)入水印作業(yè)結(jié)果模塊；預(yù)期結(jié)果；1)支持失敗作業(yè)任務(wù)重新啟動(dòng)；1)數(shù)據(jù)水印工具/系統(tǒng)/平臺(tái)產(chǎn)品運(yùn)行正常；2)API運(yùn)行正常。1)查驗(yàn)系統(tǒng)接口文檔2)通過API接口連接數(shù)據(jù)水印工具/系統(tǒng)/3)通過API接口實(shí)現(xiàn)對數(shù)據(jù)水印工具/系統(tǒng)/平臺(tái)/產(chǎn)品的功能調(diào)用；5)對API接口被訪問情況和測量情況進(jìn)行監(jiān)測分析。1)具備內(nèi)部接口和外部接口；2)支持對外提供數(shù)據(jù)查詢和功能調(diào)用；3)接口形式支持Restful接口、WebService接口、RPC