5.验证者的第二步(V2)：如果收到证明者发来的消息和 (在V1所选择)相等，则验证者输出1(就是接受W是可检测的)；否则验证者输出0(就是拒绝接受W是可检测的。)

推论1：如果水印算法W是不可检测的，那么验证者以至少 的概率拒绝证明者。

证明：如果水印算法W是不可检测的，那么证明者无法区分X1和Y1。所以证明者无法比随机选择更有效地选择 。

 

       上述的交互证明系统演示了对于一个自然语言水印算法，如何建立一个证明系统证明可以免疫某个检测器的检测。重复交互证明系统足够大的n次，如果拒绝和接受的概率都接近于，则这个自然语言水印算法可以抵御这个检测器。

水印嵌入确实改变了载体媒体，这是在所有的水印领域中都普遍存在的问题。在图像水印中，虽然肉眼无法分辨，但是不可见水印改变了图像。在自然语言水印中，水印嵌入会改变文本，但是含义和风格会被保留。

在这一节中，我们将文本的计算模型应用于实际的自然语言水印系统，评价他们的嵌入质量等方面性能。

Tyrannosaurus Lex是由Keith Winstein设计的基于同义词替换的水印方案^[5]。嵌入方依据同义词词典D_w，将载体中的一些词替换为他们的同义词。检测者不具有水印协议所用的同义词词典，但是了解算法是基于同义词替换的。检测者需要设计方案，试图将水印前后的文本区分开，这就需要检测到嵌入引起的失真。而检测者的第一步须先确定嵌入位，即哪些词有可能会被其同义词替换。确定嵌入位时，检测者会使用自己的同义词词典D_d。那么如果D_w和D_d很接近，检测者能检测到嵌入的概率就较高；反之如果D_w和D_d相差甚远，则检测者按构造1进行交互证明被拒绝的概率会接近1/2。

同义词词典对同义词替换类水印算法影响很大。如何保护水印协议所用的词典也成为水印设计者关注的焦点。在U. Topkara等人设计的水印算法中^[11]，使用密钥选择词典的一部分生成子词典，用子词典进行水印嵌入和提取。由于密钥的存在，检测者更难获

(责任编辑：adminadmin2008)