Tiêu chuẩn quốc gia TCVN 11777-8:2018 hoàn toàn tương đương với tiêu chuẩn quốc tế ISO/IEC 15444-8:2004 cùng sửa đổi 1:2008 về Công nghệ thông tin - Hệ thống mã hóa ảnh JPEG 2000 - Bản mật JPEG 2000. Tiêu chuẩn này quy định các khía cạnh kỹ thuật, cú pháp và công cụ bảo mật (gọi tắt là JPSEC) nhằm bảo vệ tính toàn vẹn, tính bảo mật và kiểm soát quyền truy cập đối với dòng mã hình ảnh JPEG 2000.

Phạm vi và đối tượng áp dụng

Tiêu chuẩn này áp dụng đối với các tổ chức, cá nhân hoạt động trong lĩnh vực công nghệ thông tin, các nhà phát triển phần mềm xử lý ảnh, các đơn vị cung cấp dịch vụ truyền thông đa phương tiện và các hệ thống lưu trữ dữ liệu hình ảnh yêu cầu tính bảo mật cao (như y tế, viễn thám, an ninh quốc phòng). Phạm vi của tiêu chuẩn bao gồm việc định nghĩa các công cụ bảo mật JPSEC, cú pháp xác định vùng ảnh hưởng, các kỹ thuật mã hóa chọn lọc, cơ chế nhận thực dòng mã, quản lý khóa truy cập và các mở rộng định dạng tệp tin để hỗ trợ bảo mật co giãn.

Cú pháp và phạm vi ảnh hưởng của công cụ bảo mật JPSEC (ZOI - Zone of Influence)

• Xác định vùng ảnh hưởng: Tiêu chuẩn định nghĩa chi tiết cú pháp ZOI để chỉ ra các phần cụ thể của dòng mã hoặc miền ảnh chịu sự tác động của các công cụ bảo mật JPSEC. Điều này cho phép áp dụng các biện pháp bảo mật một cách chọn lọc thay vì xử lý toàn bộ tệp tin, giúp tối ưu hóa hiệu năng hệ thống.
• Phân tách vùng dữ liệu: Quy định rõ ràng về phần bổ sung của các vùng xác định bị ảnh hưởng, phần khối ảnh, các phần tử đơn được quy định và phần bù của các miền quy định không bị ảnh hưởng bởi công cụ JPSEC.
• Các ví dụ điển hình về áp dụng cú pháp ZOI:
  • Xác định các mức phân giải lớn hơn 3 trong miền ảnh có tọa độ góc trên bên trái là (100, 120) và góc dưới bên trái là (180, 210) bị ảnh hưởng bởi công cụ bảo mật, với dung lượng mã hóa yêu cầu tối ưu là 9 byte.
  • Xác định các khối mã có chỉ số góc trên bên trái là 5 và góc dưới bên phải là 10 trong băng con 1, mức phân giải 0 bị ảnh hưởng, yêu cầu dung lượng mã hóa là 10 byte.
  • Xác định các đoạn dữ liệu byte cụ thể (ví dụ từ byte 10 đến byte 100, và từ byte 10000 đến byte 1200) chịu sự tác động của công cụ bảo mật với dung lượng yêu cầu là 12 byte.
  • Xác định mức phân giải 0 bị ảnh hưởng tương ứng với các đoạn byte dữ liệu từ 10 đến 100, yêu cầu dung lượng mã hóa là 10 byte.
  • Xác định các mức phân giải lớn hơn 3 trong các khối ảnh có chỉ số khối ảnh trên bên trái là 0, dưới cùng bên phải là 5, và các lớp dữ liệu nhỏ hơn hoặc bằng 5 ở các khối ảnh có chỉ số trên bên trái là 10, dưới cùng bên phải là 15 bị ảnh hưởng (yêu cầu 13 byte).
  • Xác định đoạn mào đầu (header) từ byte 10 đến byte 100 bị ảnh hưởng bởi công cụ bảo mật, yêu cầu dung lượng là 8 byte.
• Trường méo (Distortion): Sử dụng các trường méo để đánh giá, đo lường và kiểm soát mức độ suy giảm chất lượng của hình ảnh sau khi áp dụng các công cụ bảo mật hoặc mã hóa chọn lọc.

Kiến trúc lớp ứng dụng JPSEC

• Mô tả khái niệm: Tiêu chuẩn mô tả cách thức thiết lập lớp ứng dụng JPSEC nhằm minh họa kịch bản phân phối hình ảnh JPEG 2000 bảo mật một cách toàn diện.
• Thực thể và luồng thông tin: Định nghĩa các thực thể tham gia vào quá trình bảo mật JPSEC và các thông tin được truyền tải qua lại giữa chúng. Mô tả này mang tính khái niệm, không áp đặt một phương thức triển khai phần cứng hay phần mềm cụ thể, cho phép các nhà phát triển linh hoạt tùy biến theo nhu cầu thực tế.
• Quản lý băng thông: Quy định về phần nguyên của LABR (Layer-Action Bit Rate) nhằm hỗ trợ việc kiểm soát tốc độ bit và chất lượng hình ảnh tương ứng với từng mức độ bảo mật.

Kỹ thuật mã hóa chọn lọc và bảo vệ dòng mã

• Mã hóa chọn lọc: Trình bày kỹ thuật mã hóa dựa trên mật mã mức gói và các thuật toán mã hóa chuẩn. Phương pháp này chỉ mã hóa các phần dữ liệu quan trọng của ảnh JPEG 2000, giúp bảo vệ thông tin nhạy cảm mà vẫn giữ lại khả năng hiển thị ở mức chất lượng thấp hoặc xem trước đối với người dùng không có khóa giải mã.
• Ngăn chặn mô phỏng mã đánh dấu: Quy định kỹ thuật mã hóa dòng mã JPEG 2000 đặc thù nhằm ngăn chặn việc xuất hiện ngẫu nhiên các mã đánh dấu (marker) trong dòng mã đã được mã hóa. Điều này đảm bảo dòng mã bảo mật không làm lỗi các bộ giải mã tiêu chuẩn không hỗ trợ JPSEC.

Giám sát truy cập và quản lý khóa hiệu quả

• Tối ưu hóa số lượng khóa: Mô tả công nghệ giám sát truy cập liên quan đến ảnh cho dòng mã JPEG 2000. Ưu điểm vượt trội của công nghệ này là giảm thiểu tối đa số lượng khóa cần quản lý và truy cập so với các phương pháp thông thường.
• Giám sát linh hoạt: Cho phép thực hiện giám sát truy cập JPEG 2000 một cách linh hoạt và hiệu quả theo tiến trình thứ tự trong dòng mã, hỗ trợ phân quyền truy cập hình ảnh theo các mức phân giải, chất lượng hoặc vùng không gian khác nhau.

Cơ chế nhận thực và bảo vệ tính toàn vẹn

• Nhận thực dòng mã: Cung cấp cơ chế nhận thực mạnh mẽ cho dòng mã JPEG 2000, cho phép người sử dụng xác minh tính xác thực nguồn gốc và tính toàn vẹn của các ảnh phụ (sub-images) khác nhau chỉ bằng một chữ ký số đơn duy nhất.
• Dịch vụ bảo vệ tin cậy: Định nghĩa phương pháp cung cấp các dịch vụ bảo vệ tin cậy và xác thực các dòng mã nhằm chống lại các hành vi giả mạo hoặc sửa đổi dữ liệu hình ảnh trong quá trình truyền tải.

Tạo dòng phân cấp bảo mật và chuyển đổi mã bảo mật (Transcoding)

• Chuyển đổi mã không cần giải mã: Tiêu chuẩn cho phép thực hiện chuyển đổi mã bảo mật (transcoding) tại các nút trung gian của mạng (ví dụ như máy chủ proxy) mà không yêu cầu giải mã dữ liệu gốc. Điều này đảm bảo tính bảo mật đầu cuối đến đầu cuối (end-to-end security) từ người gửi đến người nhận.
• Xác thực quá trình chuyển đổi: Cung cấp cơ chế xác thực để đảm bảo việc chuyển đổi mã chỉ được thực hiện theo cách hợp lệ và được cho phép, ngăn chặn mọi sự thay đổi chủ ý hoặc độc hại phát sinh từ lỗi hệ thống hoặc từ kẻ tấn công. Khách hàng JPSEC cuối cùng hoàn toàn có thể xác thực nội dung nhận được đã được chuyển mã một cách hợp pháp.

Truyền tải nội dung JPSEC qua giao thức JPIP

Tiêu chuẩn quy định cụ thể các vấn đề kỹ thuật mà bên gửi và bên nhận JPIP (JPEG 2000 Interactive Protocol) phải xem xét và tuân thủ để đảm bảo việc truyền tải nội dung JPSEC diễn ra an toàn, tương thích và tối ưu hóa băng thông truyền thông tương tác.

Mở rộng định dạng tệp phương tiện dựa trên tiêu chuẩn ISO

• Các kiểu khung (box) bổ sung: Định nghĩa các mở rộng kỹ thuật vào định dạng tệp phương tiện dựa trên tiêu chuẩn ISO nhằm phục vụ việc bảo vệ và thích nghi bảo mật của các ảnh được mã hóa co giãn (scalable). Các khung mới được định nghĩa bao gồm:
  • ProtectionSchemeInfoBox: Dành cho công cụ mật mã hóa và công cụ nhận thực.
  • ItemDescriptionBox: Mô tả các mục dữ liệu được bảo vệ.
  • ScalableSampleDescriptionEntry và ScalableSampleGroupEntry: Quản lý các mẫu dữ liệu co giãn.
  • Generic Protected Box: Khung bảo vệ chung cho các loại dữ liệu khác nhau.
• Cấu trúc dòng cơ bản (ES - Elementary Stream): Định nghĩa cấu trúc của dòng cơ bản và cấu trúc bên trong dòng mã được sử dụng trong ES soạn thảo phân cấp và ES sao chép có khả năng giải mã.
• Quản lý dữ liệu phương tiện: Sử dụng cấu trúc ByteData để chứa dữ liệu phương tiện nhờ sao chép và cấu trúc con trỏ (pointer) để chứa dữ liệu phương tiện nhờ tham chiếu. Mỗi mẫu dữ liệu được đóng gói bởi cấu trúc ngăn chứa (container) có thể chứa một hoặc nhiều ByteData hoặc cấu trúc con trỏ.
• Báo hiệu bảo vệ: Quy định cách thức bảo vệ dữ liệu phương tiện nhờ sử dụng các lược đồ bảo vệ (nhận thực và mô tả) và cách thức báo hiệu bảo vệ này thông qua các khung kỹ thuật chuyên dụng.

Hiệu lực thi hành

Tiêu chuẩn quốc gia TCVN 11777-8:2018 có hiệu lực kể từ ngày ban hành theo quyết định của cơ quan Nhà nước có thẩm quyền. Tiêu chuẩn này đóng vai trò là căn cứ kỹ thuật tối cao cho việc thiết kế, phát triển và đánh giá các giải pháp bảo mật hình ảnh dựa trên công nghệ JPEG 2000 tại Việt Nam, đảm bảo tính tương thích hoàn toàn với các tiêu chuẩn quốc tế hiện hành.