音频信息隐藏技术将拥有广阔的应用前景，尤其是在音乐作品的版权保护和隐秘通信方面有极大的市场潜能。由于人耳的听觉系统具有较宽的动态范围和较高的灵敏度，而且音频信号的数据量随时间增长得很快，因此音频信号的数据隐藏技术更具有挑战性。

1.3.3.1　人耳听觉系统特性

人耳听觉系统是非常复杂的，具有以下两个重要的特性：

（1）人耳听觉系统对于附加随机噪声的敏感性。人耳听觉系统对于音频文件中的附加性随机噪声很敏感，能够察觉出微小的扰动。由于人类的听觉系统比视觉系统更加敏感，因此在声音文件中隐藏信息也比在图像文件中隐藏信息更加困难。即便在时域对音频信号作微小的改变，也会对音频信号的清晰度造成比较大的影响。

（2）人耳听觉系统对语音的屏蔽性。声音信号在人的听觉系统中会经过非线性加工，掩蔽效应正是由于这种听觉的非线性引起的常见心理声学现象。时域和频域上都存在掩蔽效应。时域掩蔽效应是指一个较强声音前后的微弱声音不能被人耳察觉，也就是会被“掩蔽”。时域掩蔽又分为前掩蔽和后掩蔽：当掩蔽声消失以后，其掩蔽作用仍将持续一段时间，这是由人耳的存储效应所致，这种掩蔽称为后掩蔽；而在掩蔽声出现之前的声音也可以被掩蔽，这种掩蔽称为前掩蔽。后掩蔽作用比前掩蔽更明显，掩蔽声越强，掩蔽作用就越大。频域掩蔽效应是指两个频率足够接近的信号同时发生时，弱音就会被强音所掩蔽而变得不可觉察。同样，掩蔽声对较高频信号的掩蔽作用要强于较低频信号的掩蔽作用。这一听觉特性为语音隐藏实现提供了客观的条件。

另外，人耳的听觉系统还有一些特性可以加以利用。例如，对于信号在频域中的相位分量和幅值分量，人耳对幅值和相对相位更加敏感，而对于绝对相位不敏感；由环境引起的声音变形通常也会被听者忽略；等等。

1.3.3.2　音频水印技术问题分析

大多数文献将音频水印方法分为两类：一类是时域算法，另一类是变换域算法。时域算法中具有代表性的有最不重要位算法、扩频算法、回声隐藏算法和相位编码算法。变换域算法主要包括基于傅里叶变换的音频水印算法、基于离散余弦变换的音频水印算法和基于小波变换的音频水印算法。

到目前为止，音频信息隐藏研究仍然存在一些较为突出的问题，概括如下：

（1）在数字图像和视频水印算法研究中，可以利用国际通行的标准样本进行测试，以确定算法的优劣和特点。但在数字音频水印算法中，还没有出现诸如Lena（雷娜图）那样的图像标准测试样本，众多音频信息隐藏研究者在进行仿真实验时，往往根据自己的喜好或方便选择不同的音频片段来进行测试，给客观评价水印性能带来了极大困难。

（2）同步问题是数字音频水印需要解决的关键问题之一。音频信号作为时间轴上的一维信号，其采样点数量通常会在信号处理前后发生变化，或者数据会发生位移。因此，如何判别水印的嵌入位置成了正确提取水印信息的前提条件。但在实际中，对于裁剪、时间伸缩（TSM）攻击等缺乏同步的算法。目前宣称对同步攻击稳健的音频信息隐藏算法往往仅仅针对一种同步攻击有效，对抗同步攻击的性能并不理想，如针对Pitch-invariant TSM、Resample TSM、Random Stretching攻击和裁剪攻击。

（3）如何抵抗A/D和D/A攻击是音频信息隐藏算法进行实用的关键问题之一。

（4）在非压缩域算法中，存在一个极大的争议：目前以MPEG Audio为代表的压缩算法主要利用了音频信号的掩蔽特性，从而去掉了人耳不可觉察的音频成分，即去除了音频信号中的冗余部分；而非压缩域中的许多算法则把水印嵌入这些冗余。因此，这样的算法是否能抵抗音频压缩成为一个争议。

针对这些问题，文献［36～53］先后提出并设计了多种音频水印算法，通过仿真测试，表明能够抵抗相应的攻击，包括A/D和D/A攻击。

1.3.3.3　音频水印的攻击类型

对音频水印的攻击可能是有意的（如故意的破坏），也可能是无意的（体现为水印受到常规信号处理的影响）。总结起来，音频水印的攻击主要分为普通攻击、同步攻击和安全性攻击三大类。

1）普通攻击(www.daowen.com)

目前，绝大多数算法都能较好地抵抗这类攻击。普通攻击一般不会导致音频样本在时域上发生平移，主要有噪声干扰和常见的音频信号处理。噪声干扰是信号传输过程中常见的干扰，包括加性和乘性噪声，其中最常见的是高斯白噪声。常见的音频处理操作有MP3压缩、重采样、滤波、音量增减、重量化等。

2）同步攻击

相对于普通攻击，有一些恶意攻击（或信号处理操作）会导致水印音频的样本在时域上发生各种情况的错位。这类攻击主要通过破坏水印的同步结构来影响水印的检测。目前，很少有算法能够抵抗这些攻击。这一类攻击主要包括以下几种：

（1）普通的裁剪。艺术工作者和技术人员在对音频进行处理的过程中往往对音频进行大段的裁剪和拼接操作。

（2）随机删除或增加样本。对于人耳来说，在每100个样本中随机增加或剪切若干个样本，在听觉上与原始音频之间几乎没有任何差别，但音频中的水印信息已经很难被检测出来。

（3）重采样。例如，将一段44 100 Hz采样率的音频转换为22 050 Hz的音频。在指导原始音频采样率的条件下，可以通过插值恢复后再进行水印提取。由于转化的比率是固定的，所以音频样本之间的偏移也不是很频繁。

（4）TSM攻击。TSM攻击不仅在正常的音频处理中是常见的操作，也是行之有效的一种攻击手段。例如，将一段时长为10 s的音乐通过样本之间的线性插值拉伸成9 s，不仅在听觉上很难察觉有所不同，而且能使绝大多数现有的算法不能检测出水印。

（5）A/D和D/A变换。在许多音频水印的应用场合中，通常涉及A/D和D/A变换，如数字音频信号通过音响设备播放后，被转录成新的数字信号。由于A/D和D/A转换后，不但样本的幅值（即音量）会发生变化，而且样本的位置会发生平移，因此这对水印算法的稳健性提出了更高的要求。

3）安全性攻击

除了上述各种对于含水印音频数据进行直接攻击的类型外，还有一些针对水印算法本身安全性的攻击，如合谋攻击、拷贝攻击等。这类攻击也是很难防范的，如何抵抗这些攻击仍然是当前研究的重点。这类攻击主要有以下几种：

（1）检测攻击。检测攻击是指非授权的攻击者试图从含有水印的载体中检测水印。这种攻击通常发生在数字认证与隐秘通信等场合。结合密码技术，可以对抗这种攻击，在密码保护下，即使攻击者从载体上提取了水印也不能理解水印的含义。

（2）Oracle攻击。如果水印是一个1位的水印，即水印检测器只能回答“有水印”或“无水印”，那么攻击者就根据水印检测器的回答来构造出水印的检测边界，然后轻微改变含水印的音频，直到水印无法被检测出来，从而达到破坏水印的目的。

（3）合谋攻击。如果攻击者拥有两个或两个以上的含有相同水印的音频，那么就可能通过比较两个音频之间的不同之处来估计出原始水印，进而修改或破坏水印。

（4）拷贝攻击。拷贝攻击的目的是将一个水印从一个含有水印的载体上复制到另一个没有水印的载体上。在用于数字认证的水印中，攻击者就可以在一个虚假的载体上伪造一个认证水印。

（5）重复嵌入攻击。如果攻击者拥有嵌入算法，那么他可以在含有水印的音频上再次进行水印嵌入，并宣称对该音频拥有版权，在这种情况下，往往需要通过与原始音频进行对比，才能确定最终的版权所有者。

（6）死锁攻击。死锁攻击的基本思想是通过分析嵌入算法的逆算法，构造出一个“伪原始音频水印”。这样在版权裁定中进行原始音频比较时，攻击者也可以宣称其拥有“原始音频”。