伪随机纠错码水印(PRC Watermark)
伪随机纠错码水印(PRC Watermark)
PRC 水印可以理解为“纠错码 + 伪随机偏置”的组合方案。它在尽量保持不可检测性的同时,显著提升了对 token 替换攻击的鲁棒性。
将文本token序列与码字关联,使水印同时具备不可检测性和抗一定比例token替换的鲁棒性
为什么需要 PRC 水印
传统红绿水印的痛点是脆弱:攻击者只替换少量 token(如 5%),就可能扰乱统计特征,导致检测失败。
PRC 的两点核心改进:
- 用纠错码吸收部分位错误,提升抗替换能力。
- 用小偏置
delta进行隐蔽嵌入,尽量不破坏整体分布。
核心概念:码字(Codeword)
码字是一段固定长度的二进制串(如10110...),可看作水印的底层标识。所有合法码字组成集合C,检测时以此为参照。
1) 码字约束(汉明距离)
∀c1,c2∈C, dH(c1,c2)≥d \forall c_1, c_2 \in C,\ d_H(c_1, c_2) \ge d∀c1,c2∈C,dH(c1,c2)≥d
d_H(c1, c2):两个码字对应位不同的数量。d:最小汉明距离,通常取n的 10%~20%。- 作用:保证码字之间差异足够大,为纠错解码提供空间。即使部分被改,解码器仍能识别原始码字
2) 码字生成
c=PRC(gk,seed) c = \text{PRC}(gk, \text{seed})c=PRC(gk,seed)
| 符号 | 含义 | 典型要求 |
|---|---|---|
gk | 水印密钥 | 安全随机数,建议 >= 128 位 |
seed | 随机种子 | 每个码字唯一,避免重复 |
PRC() | 码字生成函数 | 输出长度为n的二进制串 |
c | 生成码字 | 属于集合C,且满足距离约束 |
生成阶段:如何嵌入
1) 核心嵌入公式
- PRC 的嵌入核心是用小偏置让位串轻微靠近目标码字:
Pr[bi=1]=12+δ⋅(ci−0.5) \Pr[b_i = 1] = \frac{1}{2} + \delta \cdot (c_i - 0.5)Pr[bi=1]=21+δ⋅(ci−0.5)
c_i是码字第i位(0 或 1)。delta是小偏置(如 0.01~0.05)。- 无水印时基线是
Pr[b_i=1]=0.5。
代入可得:
- 当
c_i=1:Pr[b_i=1]=0.5+0.5*delta(略高于 50%)。 - 当
c_i=0:Pr[b_i=1]=0.5-0.5*delta(略低于 50%)。
2) 直观理解
- 先把 token 映射成二进制位(如通过哈希奇偶)。
- 按码字位
c_i对映射概率做轻微偏置。 - 通过小幅 logits 调整,让最终位串更接近码字
c。 - 因为
delta很小,单条文本通常不易被显著统计区分。
3) 生成流程
- 生成合法码字:
c = PRC(gk, seed)。 - 对每个位置
i:- 得到 token 的原始映射位;
- 根据
c_i施加微弱偏置; - 必要时微调 logits,使输出更贴近目标位。
- 最终得到与
c高匹配的位串b_1...b_n。
检测阶段:如何判定
1) 核心检测公式
- PRC 的检测核心是用纠错解码恢复最可能的合法码字:
c^=Decode(b1,…,bn) \hat{c} = \text{Decode}(b_1, \dots, b_n)c^=Decode(b1,…,bn)
判定要点:若hat(c)可被纠错解码到合法集合C中,且距离满足阈值,则判定带水印。
2) 检测流程
- 将待测文本映射为位串
b_1...b_n(规则与生成一致)。 - 在集合
C中寻找与位串汉明距离最小的码字。 - 若最小距离
<= d/2,则解码成功并判定为带水印;否则判定无水印。
3) 纠错直觉
- 若
n=100且最小距离d=20,则可纠正约10位错误(d/2量级)。 - 这使系统在部分 token 被替换后仍可能恢复原码字。
关键参数速查
| 阶段 | 参数 | 典型范围 | 作用 |
|---|---|---|---|
| 码字设计 | n | 50~200 | 长度越大,鲁棒性更强,但检测更慢 |
| 码字设计 | d | n*10% ~ n*20% | 决定可纠错空间与抗攻击能力 |
| 嵌入 | delta | 0.01~0.05 | 控制隐蔽性与可检测性的平衡 |
| 检测 | 距离阈值 | <= d/2 | 决定判定边界与误报/漏报平衡 |