1.4 DEM信息安全保护

1.4.1 DEM数据信息安全政策

由于在经济建设和军事应用中具有重要作用，重点地区的高质量DEM数据一旦失控，无异于将己方重要目标的精确位置暴露给敌方，会严重损害国家的安全和利益，因此DEM信息安全受到世界各国的关注，各国均采取了相应的保护政策，主要具有以下特点。

1. 普遍重视DEM数据的信息安全问题

作为一种基础地理空间数据，DEM具有重要的保密价值，在国防和经济建设方面具有重要作用。世界各国都制定了相应的措施，保护自己的重要地形数据不被非法测绘或窃取。迄今为止，没有任何一个国家主动将本国的基础地理信息完全开放。

2. DEM信息的开放程度和国家整体实力密切相关

一般情况下，发达国家对自身实力更加自信，地理信息的开放程度较强，具有较高的使用效率；而发展中国家基于自身安全角度考虑，仅开放部分低精度地理信息数据，使用效率也比较低。

实际上，世界上主要国家对于包含DEM数据在内的地理信息共享和保护的态度也有很大区别。美国、印度、俄罗斯对于地理信息共享和保密的态度，就代表了世界各国政府处理地理信息共享和保密关系的三种主流观点。首先，美国更多强调的是地理信息共享，确定部门之间、联邦与各州之间的数据交换机制，并通过建立组织间负责机构、确定地理信息数据资产主题等确定了明确共享的内容。虽然美国也存在严格的地理信息保密规范和体系，但在美国《地理信息数据法案》中并没有提及地理信息保密相关内容。美国这种提倡地理信息共享的态度体现了其在地理信息领域的自信。俄罗斯在地理信息共享和保密领域与我国的态度较为一致，强调“限制和开放”并存，在《测绘地理信息法》中多次提出保护地理信息安全，并限制了地理信息保密的范围和分发方式。在此基础上，俄罗斯通过建立国家空间数据储备、建立国家平台等方式促进了地理信息的共享。这与我国在处理保密和共享关系时候的实践和行动路径非常吻合。印度在此领域奉行限制管控为主的政策，通过许可、安全审查、征税等方式限制非政府部门收集地理信息并进行共享传播，但近几年政策有所松动。

3. 立法保障是普遍采用的策略

早在1984年，美国就颁布了“信息自由法”和“地面遥感商业化”等地理信息政策，随后在2004年出台了“出于安全考虑提供地理空间数据的指导方针”，特别是在“9·11”事件之后，地理空间数据政策更加趋于保守；荷兰在其“政府信息条例”中，明确指出涉及国家安全和主权的信息不能上网；法国的“奥胡斯条约”对包括DEM在内的地理信息使用和共享进行了详细的规定；挪威在“数据保密法”等多个文件中规范了重要信息的使用安全。欧盟、加拿大、日本、印度等主要国家均在地理信息安全方面有相关立法措施。

4. 技术保障是通用政策

为了保护重要信息的安全使用，大多数国家会对涉密数据进行技术处理，去除重要信息或降低数据精度，在不泄密的同时促进基础数据广泛使用；同时，“军民分版”政策成为共识，分别制作带密级的军用数据和面向公众开放的民用数据两个版本。美国生产的DTED类型DEM数据就分为4个等级（精度见表1.4）。只有精度相对较低的DTED-1数据面向公众开放，为民事应用提供基础数据。DTED-2、DTED-3、DTED-4三种更高精度的DEM数据均被列为国家的重要机密，主要用于更好地部署部队、研究高精确制导武器等军事目的，数据共享被严格限制。

目前，我国已建成了覆盖全国范围的数字高程模型，数据量很大，仅七大江河流域的1:1万DEM数据就有数万幅，数据量达到数十吉字节（GB），给数据管理带来很大的挑战。这些数据作为国家空间基础设施的基本内容之一，军事经济价值十分重要，一旦重要信息发生失泄密事件，不但会造成巨大的经济损失，对国家安全造成的损害更是无法估量。因此，DEM数据存储与传输的过程中，首先应当考虑的就是安全问题。我国生产的数字高程模型可以分为1:1万、1:2.5万、1:5万、1:10万、1:25万、1:50万、1:100万7种，主要存储在国家基础地理中心（精度见表1.5），目前仅向公众开放提供1:100万的数据，其他数据的申领需要经过严格的行政审批。另外，我国组织撰写的若干部关于数字高程模型基础地理信息数字产品的行业标准，也将数据的安全保密作为其中一项重要内容。

1.4.2 DEM信息安全技术

信息保护主要是指保护信息内容的安全性，即保护信息的秘密性、真实性和完整性，避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗、盗用等行为，保护合法用户的利益和隐私。自古以来，世界各国专家针对信息安全的研究经久不衰，网络时代的信息安全研究更加昌盛，并形成了多个专门研究机构。在国外，美国的麻省理工学院和NEC研究所、瑞士的通信研究所及日本的IBM信息隐藏小组等著名机构，在信息保护特别是数据内容的保护上做出了突出的贡献；在国内，中国科学院国家信息安全重点实验室、北京电子技术应用研究所、北京邮电大学信息安全中心、中山大学、湖南大学、大连理工大学、上海大学、西安电子科技大学及台湾省的交通大学等机构根据自身特色，取得了大量的研究成果，而在武汉大学、信息工程大学、南京师范大学、兰州交通大学等专业特色鲜明的高等院校，还形成了若干专门研究地理空间数据安全的课题组，为地理空间数据的安全存储和传输提供有力的技术保障。

目前，进行DEM信息保护的技术手段主要有信息脱密、数据加密和信息隐藏等形式。

1. 信息脱密

信息脱密最早只是将重要信息不予表示以达到脱密的目的，现在主要采取的方式是通过函数变换对原始数据进行不可逆扰动，降低原始数据精度到一定程度（如精度从1m降到10m，见图1.6），使得数据密级降低，提高数据安全性。常用的操作有平移和扰动两种，其关键在于选择的数学函数，具有拓扑关系不变、精度可控、不可逆及特征保持等特点。

地理空间数据的几何精度脱密实际上是对数据的坐标进行空间变换，几何精度脱密和几何校正、空间坐标转换等关系密切。目前关于几何精度脱密模型和算法的探讨相对较少，已有的几何精度脱密模型探讨多集中在线性变换和非线性变换两种方式上。

线性变换主要包括相似变换、仿射变换、射影变换（透视变换）等。相似变换可以缩放、旋转和平移数据，但不会单独对轴进行缩放，也不会产生任何倾斜，可使变换后的要素保持原有的横纵比。仿射变换在相似变换的基础上，还可对图层坐标进行倾斜，是使用最多的一种几何脱密方式。线性变换操作简便、效率高，在绝大多数GIS平台上都可以实现，通常用于简单的坐标转换。线性变换模型也是最常用的地理数据几何精度脱密模型。

非线性变换包括投影转换、多项式变换、复变函数等。非线性变换模型通常通过最小二乘法拟合非线性变换的方程，然后通过该方程进行变换。多项式变换是最常用的通用经验模型，其通过最小二乘法拟合多项式系数来校正原始地图和参考地图的几何畸变，而不需要知道确切的几何误差源。多项式变换对平坦区域精度较高，对地形起伏大的区域精度较差。

2. 数据加密

数据加密是一种通用的信息保护方法，可以用来保护任何形式的数据资源，通过将有意义的信息转化成无法直接理解的数据流（见图1.7），保护数据安全，属于密码学的研究范畴，近年也出现了专门针对地理空间数据进行加密的研究。

加密方法是保护数据安全最古老也是应用最多的一种方法。无论何种数据，都可以通过加密的方式进行保护，DEM数据也不例外。这种方法主要以密码学为基础，将整个DEM数据看作需要保护的对象，经过一定的处理产生一种加密文件，在需要时可以将其还原，主要流程如图1.8所示。

实际上，图1.8中的密钥不是一定存在的，而且在加、解密时也不一定相等。按照密钥进行分类，可以将加密技术分为无密钥的DEM加密技术、私钥DEM加密技术及公钥DEM加密技术。

无密钥DEM数据加密技术是指在进行DEM数据加/解密时不需要密钥，仅经过一定的处理就可以达到信息保护的目的。这种保密技术的具体方法一般需要严格保密，不然就很容易被破解。有些无密钥加密技术是不可逆的，可以应用于数字签名或消息认证，保护DEM数据的版权信息，但是整个过程一般无法重复。根据Kerckhoffs准则，密码设计者应该假设对手知道数据加密的具体方法，数据的安全性仅依赖于密码的安全性。这种无密钥的DEM数据加密算法在实际中应用并不广泛。

私钥DEM加密技术又称对称DEM加密技术，在进行DEM数据加密和解密的过程中采用相同的密钥，或者加/解密使用的密钥不完全一样，但相互间存在一定的关系，可以相互推导，符合人们一般的思维习惯，是当前应用最广泛的数据加密技术。私钥加密技术种类繁多，最著名的是1977年美国IBM公司研制的数据加密标准（Data Encryption Standard，DES），它被美国国家标准局采纳为一般部分的加密标准，是第一代公开所有实现细节的商业密码技术，对整个密码学的发展都具有重要的影响。

公钥DEM加密技术是一种非对称的加密技术，在进行DEM数据加密和解密时采用的密钥不同，而且两者不能根据另一方直接计算出来。其中，有一个密钥可以是公开的，用于发送方对数据进行加密，称为公开密钥（简称公钥）；另一个密钥是不能公开的，用于接收方对接收到的信息进行解密，称为私人密钥（简称私钥）。公钥密码技术由于在密钥传输上的突出优势，正逐步受到密码界的广泛关注。其中比较有名的是麻省理工学院三位年轻人提出的RSA算法，以及在此基础上出现的一系列公钥加密技术，都可以应用于DEM数据的信息保护。

随着计算机技术和人类知识水平的不断上升，密码学技术也在不断地发展，目前已经向光学密码、量子密码甚至视觉密码等技术迈进。但是，在理论上任何加密技术应用于DEM信息安全保护时都不是绝对安全的，尤其是随着大型计算机的计算速度不断攀升，加密技术被破解所要花费的时间越来越少；而且DEM数据加密的结果往往是无法理解的数据流，在普通信道中进行传输时更易引起攻击者的注意，成为重点关注的对象。这种DEM信息保护技术一般只具有一定的安全性，不具有任何迷惑性。

3. 信息隐藏

信息隐藏具有悠久的历史，早在两千多年前就出现了传统信息隐藏技术的案例。现代信息隐藏技术国际研讨会自1996年在英国剑桥大学举行了第一届以来，一直在有规律地进行，同时还出现了专门研究版权与隐私保护的机构和期刊。信息隐藏技术主要包括隐写术和数字水印两个方面，近年来在地理空间数据保护上取得了一系列成果。

1）隐写术

隐写术（Steganography）一词来源于古希腊文中“隐藏的”和“图形”两个词语的组合。虽然隐写术与密码术（Cryptography）都是致力于信息保护的技术，但两者的设计思想却完全不同。密码术主要通过设计加密技术，使保密信息不可读，但是对于非授权者来讲，虽然他无法获知保密信息的具体内容，却能意识到保密信息的存在；而隐写术则致力于通过设计精妙的方法，使得非授权者根本无从得知保密信息的存在与否。相对于现代密码学来讲，信息隐藏的最大优势在于它并不限制对主信号的存取和访问，而是致力于签字信号的安全保密性。早在古希腊战争中，为了安全地传送军事情报，奴隶主剃光奴隶的头发，将情报文在奴隶的头皮上，待头发长起后再派出去传送消息。我国古代也早有以藏头诗、藏尾诗、漏格诗及绘画等形式，将要表达的意思和“密语”隐藏在诗文或画卷中的特定位置，一般人只注意诗或画的表面意境，而不会去注意或破解隐藏在其中的密语。

DEM隐写是将数据中的重要高程信息隐藏在其他可以公开的载体中，并通过公共信道进行传播，将待保护DEM数据随着公开载体一并传送给接收者。由于要求隐写后载体的原有特性不能发生大的改变，隐写术在大数据量DEM的信息保护中受到一定限制，对于载体本身的要求比较高，通常需要是数据量较大的多媒体文件，如音视频等。

薛帅研究了地理空间数据安全隐写模型与方法。在比较地理空间数据类型与特点的基础上，分析了当前隐写模型与方法存在的科学问题，并建立了地理空间数据隐写通用理论模型；根据地理空间数据的使用环境与应用需求，建立了一种抗检测的安全隐写模型。在顾及地理空间数据可用性的基础上，提出了一种基于机器学习的适用于网络环境的自适应隐写方法，探讨了最大隐写容量与安全性之间的关系，并大幅度降低了地理空间数据在隐写过程中的容量限制。

2）数字水印

数字水印技术将特定信息作为水印嵌入原数字作品（宿主数据）中，且不影响宿主数据的可用性，在数字内容的广播监控、所有者鉴别、所有权验证、操作跟踪、内容认证、复制品控制和设备控制等方面应用广泛。数字水印在图像领域的研究近年来得到了巨大发展，取得了一系列重大成果。

根据数字水印生成是否依赖于原始载体、含水印载体的抗攻击能力等，可将数字水印技术分为如表1.6中所示的类型。

数字水印在地理信息领域的应用主要集中于对遥感影像、GIS矢量数据和栅格地图的版权保护上。近年来，数字水印在DEM数据版权保护中的研究和应用得到广泛关注，也是当前保护DEM数据安全的主要方式，如图1.9所示。

作为一种特殊的三维几何模型，DEM水印最早来自三维几何模型水印技术。1997年，Obhuchi等发表了国际上第一篇专门针对三维网格进行的数字水印技术论文，开启了三维网格水印研究的新纪元，之后来自世界各地的研究人员进行了一系列研究，取得了重大进展。综合分析现有成果，三维网格水印主要可以分为空间域水印和频率域水印两种。

空间域算法通过直接作用于三维几何模型中顶点的坐标位置或相关值来嵌入水印。Obhuchi等利用网格变换、拓扑替代等原理，先后提出了三角形相似四元组TSQ（Triangle Similarity Quadruple）、四面体体积比TVR（Tetrahedral Volume Ratio）、基于网格密度模式MDP（Mesh Density Pattern）等多种三维模型水印算法。Benedens等通过修改三维几何模型的表面法向量提出一种非盲水印算法，可以抵抗部分网格简化带来的水印攻击。Wagner等利用图像空间域水印中最简单的LSB（最低有效位）原理，通过构造对变换操作具有不变性的参数向量空间，并对其相对长度进行部分修正完成水印嵌入，实现了一种盲水印算法，可以抵制变换攻击，但对网格重建、简化等操作的抗攻击性不足。Toub等提出一种加入授权信息的水印算法，可以对格网顶点数据进行反方向的扰动，将水印信息分别嵌入两个扰动模型中。Praun等利用扩频思想和标量基函数提出了一种具有良好鲁棒性的非盲三维网格水印算法，完成水印嵌入。

频率域算法通过改变几何模型频率域上的部分系数以达到嵌入水印的目的。Kanai和Date利用小波变换的多分辨率分解第一次实现了三角网的频率域水印算法。Obhuchi利用拉普拉斯算子实现了一种快速的、鲁棒性的水印算法，并在以后的工作中对其进行了改进。国内比较有代表性的三维模型水印主要来自浙江大学CAD&CG国家重点实验室：尹康康等对VR场景中的纹理水印和鲁棒性网格水印技术进行了深入的研究。周昕基于平面参数化将三维空间转换到二维平面后进行水印嵌入。李黎等提出了基于球面调和分析的三维模型水印算法。另外，张建海等提出了基于小波变换和主成分分析法的三维模型水印算法，有效解决了水印嵌入位置的选择问题。同时，还出现了其他类型的三维水印算法，但主要思想大多来自之前研究成果的演变。

相比三维几何模型的数字水印技术，专门进行DEM数字水印技术的研究还比较薄弱。比较有代表性的成果主要有：

刘荣高提出了一种基于DCT变换的水印算法，并将其扩展到DEM信息保护领域；罗永等提出了一种基于整数小波的DEM水印算法，通过扩展人类视觉系统小波域量化噪声的视觉权重，可以在保持原有地形特征的基础上，通过自适应地确定强度在DEM数据中植入数字水印；Gou和Wu等提出了一种可用于DEM数据的数字指纹算法，利用参数曲线模型和扩频技术将数字指纹嵌入等高线中生成数字水印；何密等提出了数字高程模型广义直方图的概念，并通过修改广义直方图，实现了数字水印在DEM数据中的无损嵌入和提取；闾国年和刘爱利等论证了数字水印技术在DEM信息保护中的适用性，提出了图像水印和DEM水印存在的主要区别是DEM水印的近无损性，并基于DCT实现了一种DEM的近无损数字水印算法；He X等基于小波变换和DEM数据的坡度特征，选择最为合适的水印嵌入位置，并引入蚁群算法进行嵌入强度的优化控制；朱长青和王志伟对DEM数字水印技术进行了深入的研究，提出了DEM数字水印模型和一系列顾及地形特征的数字水印算法，研究了规则格网DEM数据与不规则三角网DEM数据等多种类型的水印技术，提出了相关的嵌入、检测及提取模型，形成了较为系统的体系架构，为DEM数字水印技术的发展奠定了基础。

信息脱密、信息加密、隐写术和数字水印等信息保护技术可以在一定程度上保护DEM数据中重要信息的安全，但由于技术本身的缺陷，不同方法主要存在以下问题：

（1）信息脱密仅能降低数据精度，不能完全掩饰高程数据的基本特征。脱密后的DEM数据仍具有一定的可用性，地形起伏的基本特征没有改变，不能达到信息完全保护的目的。而且，数据处理过程一般是不可逆的，在进行信息保护的同时，也损害了合法用户对数据使用的精度要求。

（2）数字加密容易引起不法者的注意，受到各种攻击。加密数据是无法理解的数据流，特别容易引起攻击者的注意。同时，在目前计算机计算性能不断刷新的大背景下，几乎所有的密码学算法都不是绝对安全的。即使在短时间内不能得到正确的高程信息，攻击者仍可以将数据进行破坏，影响合法用户的正常使用。

（3）隐写术的信息保护容量较小，不能满足实际要求。数据隐写能够有效保护重要信息，但由于对载体具有较高的要求，必须保证信息嵌入后数据仍能保持原有的基本特性，不能用于大数据量的DEM信息保护。即使采用大数据量的载体进行隐藏，实现效率也难以达到实时性的要求。

（4）数字水印技术主要用于版权保护，不直接保护高程信息本身的安全。DEM水印可以防止数据侵权事件的发生，在应用中取得了较为广泛的认可，但主要用于版权跟踪、泄密责任认定等方面，难以满足对数据内容本身安全性有特殊要求的应用领域。

由此可见，这些技术在进行DEM数据保护时具有一定的局限性。而且，无论采用哪种传统的DEM信息保护技术，对重要高程信息的保护都是被动的，只是将DEM中的重要信息通过处理进行传输，假如在传输过程中受到敌方的非法攻击，方法的有效性完全依靠于算法的安全性，不会对敌方造成任何影响，防护作用受到一定的限制。因此，亟须出现一种既能保护重要高程信息安全，又能对非法截取者造成一定干扰的信息保护技术，而DEM信息伪装的出现，正好填补了这项空白。与其他信息保护技术相比，DEM信息伪装的主要特点在于：①具有迷惑性，伪装数据能够以假乱真。数据格式的不变性，不仅可以增强数据在存储和传输过程中抵抗攻击的能力，更重要的是能够减少攻击者的注意，避免不必要的干扰，同时还可以迷惑对方，如果无法判断真伪而直接使用，甚至会对对方的决策造成重大误导。②具有安全性，重要高程信息能够得到保护。通过信息伪装，可改变DEM数据中的重要高程信息，数据截取者即使通过一定的技术手段发现数据经过特殊处理，短时间内也无法进行精确还原。 JrNint5hnTf/Ms07zZ66MxQWFH3+A4+/J+PPvt3Up92vPJGY9nHrrUNEs+5cO4sT