王澤曦，張敏情*，柯彥，孔詠駿

（1.網(wǎng)絡(luò)與信息安全武警部隊(duì)重點(diǎn)實(shí)驗(yàn)室（武警工程大學(xué)），西安 710086； 2.武警工程大學(xué) 密碼工程學(xué)院，西安 710086）（?通信作者電子郵箱api_zmq@126.com）

基于圖像秘密共享的密文域可逆信息隱藏算法

王澤曦1，2，張敏情1，2*，柯彥1，2，孔詠駿1，2

（1.網(wǎng)絡(luò)與信息安全武警部隊(duì)重點(diǎn)實(shí)驗(yàn)室（武警工程大學(xué)），西安 710086； 2.武警工程大學(xué) 密碼工程學(xué)院，西安 710086）（?通信作者電子郵箱api_zmq@126.com）

針對(duì)當(dāng)前密文域可逆信息隱藏算法嵌入秘密信息后的攜密密文圖像的容錯(cuò)性與抗災(zāi)性不強(qiáng)，一旦遭受攻擊或損壞就無法重構(gòu)原始圖像與提取秘密信息的問題，提出了一種基于圖像秘密共享的密文域可逆信息隱藏算法，并分析了該算法在云環(huán)境下的應(yīng)用場(chǎng)景。首先，將加密圖像分割成大小相同的n份不同攜密密文圖像。然后，在分割的過程中將拉格朗日插值多項(xiàng)式中的隨機(jī)量作為冗余信息，并建立秘密信息與多項(xiàng)式各項(xiàng)系數(shù)間的映射關(guān)系。最后，通過修改加密過程的內(nèi)置參數(shù)，實(shí)現(xiàn)秘密信息的可逆嵌入。當(dāng)收集k份攜密密文圖像時(shí)，可無損地恢復(fù)原始圖像與提取秘密信息。實(shí)驗(yàn)結(jié)果表明，所提算法具有計(jì)算復(fù)雜度低、嵌入容量大和完全可逆等特點(diǎn)。在（3，4）門限方案中，所提算法的最大嵌入率可達(dá)4 bpp；在（4，4）門限方案中，其最大嵌入率可達(dá)6 bpp。所提算法充分發(fā)揮了秘密共享方案的容災(zāi)特性，在不降低秘密共享安全性的基礎(chǔ)上，增強(qiáng)了攜密密文圖像的容錯(cuò)性與抗災(zāi)性，提高了算法的嵌入容量與云環(huán)境應(yīng)用場(chǎng)景下的容災(zāi)能力，保證了載體圖像與秘密信息的安全。

信息安全；圖像秘密共享；可逆信息隱藏；數(shù)據(jù)容災(zāi)；密文域

0 引言

近年來，云環(huán)境下的信息安全與隱私保護(hù)要求對(duì)密文數(shù)據(jù)進(jìn)行標(biāo)注、檢索、聚類或認(rèn)證等管理，以及依托密文數(shù)據(jù)實(shí)現(xiàn)隱蔽通信。密文域可逆信息隱藏（Reversible Data Hiding in Encrypted Domain，RDH-ED）［1-2］作為信息隱藏技術(shù)的一個(gè)重要分支，能夠?qū)崿F(xiàn)在密文數(shù)據(jù)中嵌入秘密信息；在解密階段，能夠無誤地提取秘密信息，并且無損地恢復(fù)原始數(shù)據(jù)。將密文域信息處理技術(shù)與信息隱藏技術(shù)有機(jī)融合，實(shí)現(xiàn)了信息加密保護(hù)與秘密信息傳遞的雙重功效，受到了研究者們的廣泛關(guān)注。

當(dāng)前，密文域可逆信息隱藏算法主要分為三類：基于加密后生成冗余（Vacating Room After Encryption， VRAE）、基于加密前生成冗余（Vacating Room Before Encryption， VRBE）和基于加密過程冗余（Vacating Room In Encryption， VRIE）的密文域嵌入方案。VRAE［3］主要利用密文無損壓縮或同態(tài)加密技術(shù)在密文域生成冗余，此類算法存在嵌入率不高、可分離性差等問題。Zhang［3］提出了基于流密碼加密的密文域可逆信息隱藏算法，該算法通過翻轉(zhuǎn)三個(gè)最低有效位嵌入1 bit信息實(shí)現(xiàn)信息的可逆嵌入；Zhang［4］還首次提出了可分離的密文域可逆信息隱藏算法，該算法對(duì)密文圖像進(jìn)行無損壓縮以生成冗余，實(shí)現(xiàn)密文域的信息嵌入。上述算法的嵌入容量較小，Ge等［5］將圖像分塊加密后，在每個(gè)子塊中使用直方圖平移的方法進(jìn)行多層嵌入，進(jìn)一步提高了嵌入率，但是密鑰重用會(huì)影響載體圖像的安全性；頊聰?shù)龋?］在圖像加密后保留塊內(nèi)像素高階位平面的冗余，用像素低位替換高位的方法騰出冗余，不僅提高了嵌入容量，解密圖像質(zhì)量也較高。VRBE［7］主要通過加密前復(fù)雜的預(yù)處理操作生成冗余，實(shí)際應(yīng)用中難以要求圖像所有者執(zhí)行相關(guān)操作，存在一定的應(yīng)用局限，代表性的算法主要有：基于無損壓縮技術(shù)［8］和基于像素預(yù)測(cè)技術(shù)［9］的RDH-ED。Puteaux等［10］基于像素值最高有效位（Most Significant Bit， MSB）預(yù)測(cè)的方法，在加密前對(duì)像素預(yù)測(cè)誤差進(jìn)行預(yù)處理來生成冗余空間，有效地增大了嵌入容量。VRIE［11］主要通過發(fā)掘加密過程中存在的冗余信息，利用冗余制定嵌入策略。Ke等［11-12］首次提出了基于加密過程的可逆信息隱藏方案，通過量化錯(cuò)誤學(xué)習(xí)（Learning with Errors， LWE）加密密文空間，并利用密文擴(kuò)展產(chǎn)生冗余嵌入秘密信息；Huang等［13］基于特殊的加密過程，在加密過程中根據(jù)像素預(yù)測(cè)誤差修改密文像素以騰出空間，實(shí)現(xiàn)了圖像的完全可逆恢復(fù)。

Chen等［14］首次提出了基于Paillier公鑰密碼的方法，利用乘法同態(tài)性質(zhì)和直方圖平移技術(shù)實(shí)現(xiàn)秘密嵌入；Zhang等［15］利用濕紙編碼和Paillier同態(tài)特性提出了一種可分離的算法，上述算法將公鑰密碼與信息隱藏相結(jié)合，解決了流密碼對(duì)稱密鑰傳遞與管理的難題，但是公鑰密碼的使用帶來了較大的數(shù)據(jù)擴(kuò)展，并且算法的時(shí)間復(fù)雜度較高。為了降低算法時(shí)間復(fù)雜度，減小數(shù)據(jù)擴(kuò)展，Wu等［16］首次將秘密共享方案引入密文域可逆信息隱藏領(lǐng)域，利用差值擴(kuò)展和差值直方圖平移的技術(shù)，將秘密信息嵌入到共享的子秘密圖像中，該方法嵌入容量較大，但是不能實(shí)現(xiàn)圖像解密與秘密提取的可分離性，同時(shí)，也沒能保留秘密共享的技術(shù)優(yōu)勢(shì)；Chen等［17］又提出了基于多秘密共享的方法，將像素作為多項(xiàng)式的系數(shù)，減小了加密的時(shí)間復(fù)雜度，但是增加了解密的時(shí)間復(fù)雜度；周能等［18］在秘密共享之前先利用差值擴(kuò)展的方法預(yù)處理，再利用同態(tài)加法特性嵌入信息；Chen等［19］基于秘密共享的方法提出了兩種聯(lián)合、兩種可分離的算法框架，擴(kuò)展了RDH-ED算法的多用戶場(chǎng)景；Ke等［20］基于中國剩余定理提出了一種可分離的RDH-ED，該方案通過組合兩種嵌入方法實(shí)現(xiàn)了可分離性，一種是在密文域以同態(tài)差分?jǐn)U展的方式嵌入，在圖像重建后提取信息，另一種是在圖像共享的過程中進(jìn)行差分?jǐn)U展，在圖像重建之前提取信息。

綜上所述，現(xiàn)有的RDH-ED算法主要利用載體圖像的冗余進(jìn)行秘密信息的可逆嵌入，嵌入性能受到原始載體的制約；同時(shí)，當(dāng)攜密密文遭受攻擊或者損壞時(shí)，無法準(zhǔn)確地提取嵌入信息和無損地恢復(fù)原始圖像。針對(duì)以上問題，本文提出了一種基于Shamir圖像秘密共享的密文域可逆信息隱藏算法（Secret Image Sharing-Reversible Data Hiding algorithm in Encryption Domain， SIS-RDHED），利用加密過程的冗余空間嵌入信息，嵌入性能不受載體圖像的制約，在保證嵌入信息可逆提取的基礎(chǔ)上，其嵌入容量相較文獻(xiàn)［16］方法、文獻(xiàn)［19］方法、文獻(xiàn)［20］方法等同樣使用秘密共享的方法得到了顯著提升。同時(shí)，在不降低秘密共享方案安全性的基礎(chǔ)上，本文算法充分利用密文分布式存儲(chǔ)的魯棒性，實(shí)現(xiàn)載體圖像和嵌入信息的容災(zāi)備份。

1 基礎(chǔ)知識(shí)

Shamir［21］提出了（k，n）門限秘密共享方案，通過構(gòu)造次多項(xiàng)式，將秘密信息分割成多份，以保證秘密信息的安全。Thien等［22］首先將秘密共享技術(shù)應(yīng)用于圖像秘密共享（Secret Image Sharing， SIS），利用圖像像素值替換多項(xiàng)式中的全部系數(shù)，實(shí)現(xiàn)圖像的秘密分割與壓縮。Shamir門限秘密共享方案是一種基于多項(xiàng)式的拉格朗日（Lagrange）插值問題，利用該方案構(gòu)造的代數(shù)系統(tǒng)是基于有限域GF（q）上多項(xiàng)式運(yùn)算的集合。

它允許用戶將秘密分割成n個(gè)子秘密，每個(gè)子秘密由一個(gè)參與者持有，僅當(dāng)有k個(gè)或者多于k個(gè)參與者可恢復(fù)秘密，而不足k個(gè)參與者則無法重構(gòu)秘密，該方案即為Shamir（k，n）門限秘密共享。

Shamir（k，n）門限秘密共享方案一般可按如下方式構(gòu)造：

步驟3 秘密恢復(fù)。由定理1知，拉格朗日插值多項(xiàng)式具有存在性與唯一性，即滿足的階插值多項(xiàng)式存在且唯一，則由任意個(gè)參與者構(gòu)成的子集可以重構(gòu)拉格朗日多項(xiàng)式，從而恢復(fù)秘密。

2 算法設(shè)計(jì)

2.1 算法框架

基于Shamir（k，n）門限圖像秘密共享方案，本文提出了一種密文域可逆信息隱藏算法。該算法在秘密分割之前，將秘密信息嵌入到多項(xiàng)式系數(shù)中，而后生成多份攜帶秘密信息的子密文圖像，使得密文圖像與秘密信息均具有一定的容錯(cuò)性與抗災(zāi)性，充分發(fā)揮了秘密共享技術(shù)的優(yōu)勢(shì)。

本文算法框架如圖1所示，首先，圖像所有者將加密后的密文圖像發(fā)送給信息隱藏者；然后，信息隱藏者嵌入秘密信息到多項(xiàng)式系數(shù)中，根據(jù)參與者的屬性標(biāo)簽分割秘密，得到多份互不相同的攜密密文圖像并分發(fā)給相應(yīng)的參與者；最后，接收者收集任意k份攜密圖像后可重構(gòu)密文圖像與提取秘密信息，并根據(jù)相應(yīng)的密鑰解密密文圖像與秘密信息。表1對(duì)文中相關(guān)變量作出了說明。

表1 變量及其說明Tab. 1 Variables and their descriptions

1）參數(shù)設(shè)置。

在圖像秘密共享過程中，通常選擇將一個(gè)像素值作為共享的秘密，對(duì)于位深度為8 bit的圖像像素，其范圍為。在構(gòu)建有限域時(shí)通常選擇素?cái)?shù)作為模數(shù)，將有限域中的元素限定為，當(dāng)像素值為時(shí)，可直接作為多項(xiàng)式系數(shù)；然而，當(dāng)像素值大于時(shí)，會(huì)產(chǎn)生溢出，即像素值為及的像素?zé)o法滿足有限域的代數(shù)結(jié)構(gòu)，通常對(duì)它們進(jìn)行截?cái)嗵幚砘蜃鳛檫呅畔为?dú)嵌入。盡管絕大多數(shù)像素值都滿足代數(shù)結(jié)構(gòu)，但是仍然存在邊信息量過大的問題，在一定程度上直接影響了嵌入容量；同時(shí)，上述預(yù)處理操作要求在用戶端完成，這在一定程度上，也限制了該類算法的應(yīng)用場(chǎng)景。因此，選擇合適的素?cái)?shù)是至關(guān)重要的。

圖1 SIS-RDHED框架Fig. 1 Framework of SIS-RDHED

2）圖像加密。

3）信息嵌入。

步驟1 信息隱藏者選擇n個(gè)參與者，并為每個(gè)參與者從有限域中選取互不相同的非零常數(shù)，作為參與者的屬性標(biāo)簽，然后公開分發(fā)至相應(yīng)的參與者。

圖2 像素對(duì)合并示意圖Fig. 2 Schematic diagram of pixel pair merging

4）秘密提取與圖像恢復(fù)。

在Shamir（k，n）門限秘密共享方案中，秘密的恢復(fù)至少需要k個(gè)參與者完成，根據(jù)拉格朗日插值多項(xiàng)式的存在性及唯一性定理，由任意k個(gè)參與者構(gòu)成的子集可以重構(gòu)多項(xiàng)式，從而恢復(fù)密文圖像與提取秘密信息。接收者根據(jù)不同的需求與掌握的不同密鑰，可以無差錯(cuò)地提取秘密信息與無損地恢復(fù)密文圖像。

a）圖像恢復(fù)。接收者從任意k個(gè)參與者處收集k份攜密密文圖像，按照相同的方法對(duì)圖像分塊，每個(gè)分塊包含一對(duì)攜密密文像素，并將其合并為新的函數(shù)值，由拉格朗日插值多項(xiàng)式可構(gòu)造如下的多項(xiàng)式：

由于信息嵌入方法的特殊性，使得信息提取與圖像恢復(fù)的過程互不影響，均是在秘密共享恢復(fù)的過程中完成的。秘密恢復(fù)后，根據(jù)接收者掌握的不同密鑰執(zhí)行相關(guān)的操作，實(shí)現(xiàn)了算法的可分離性。

要保證方案安全且能夠無誤地提取秘密信息與無損地恢復(fù)原始圖像，必須保證每個(gè)用戶的屬性標(biāo)簽互不相同，在提取與恢復(fù)時(shí)，必須收集足夠的有效攜密密文圖像，證明過程如下。

為保證無誤地提取秘密信息與無損地恢復(fù)原始圖像，方程組必須有唯一解，即系數(shù)矩陣滿秩，范德蒙德行列式不為零，因此，要求k個(gè)用戶的屬性標(biāo)簽互不相同。當(dāng)參與恢復(fù)的用戶少于k個(gè)時(shí)，矩陣的秩小于k，方程有無窮多解。因此，在提取與恢復(fù)時(shí)，必須收集足夠的有效攜密密文圖像。

5）算法示例。

基于Shamir（3，4）門限秘密共享方案的SIS-RDHED流程如圖3所示。首先，圖像所有者將原始像素對(duì)（124，127）加密，得到密文像素對(duì)（139，232）并發(fā)送給信息隱藏者。信息隱藏者合并密文像素對(duì)后生成新的像素值35 816，從秘密信息中依次選取16 bit，加密后映射為22 320和4 520；利用秘密信息與密文像素生成多項(xiàng)式，根據(jù)參與者身份分割秘密，得到4組攜密密文像素對(duì)（131，132）、（158，127）、（255，165）、（148，87）并發(fā)送給相應(yīng)的參與者。接收者任意收集3份攜密密文像素對(duì)（131，132）、（158，127）、（255，165），由拉格朗日插值多項(xiàng)式重構(gòu)密文像素與提取秘密信息，得到秘密信息22 320和4 520，重構(gòu)恢復(fù)的密文像素對(duì)為（139， 232），最后根據(jù)相應(yīng)的密鑰進(jìn)行解密。

圖3 基于Shamir（3，4）門限的SIS-RDHED流程Fig. 3 Flow chart of SIS-RDHED based on Shamir （3，4） threshold

2.2 應(yīng)用框架

在基于云環(huán)境下的密文域可逆信息隱藏應(yīng)用場(chǎng)景中，云服務(wù)器為了提高容災(zāi)能力，確保用戶數(shù)據(jù)安全，通常會(huì)建立異地備份系統(tǒng)，而采用圖像秘密共享方案不僅可以實(shí)現(xiàn)用戶密文圖像的分布式存儲(chǔ)，提高云端數(shù)據(jù)的容災(zāi)能力，而且還能將秘密信息嵌入到用戶密文圖像中，實(shí)現(xiàn)秘密信息的安全傳遞。根據(jù)秘密共享的特性，當(dāng)其中一個(gè)云服務(wù)器出現(xiàn)故障或遭受攻擊時(shí)，不會(huì)影響其他云服務(wù)器對(duì)數(shù)據(jù)的恢復(fù)；同時(shí)，使得秘密信息也具有一定的容災(zāi)能力。

假設(shè)由n個(gè)云服務(wù)器參與秘密份額共享并組成共享集合，云服務(wù)器在分割用戶密文圖像的過程中，可以將秘密信息嵌入到多項(xiàng)式的系數(shù)中，最后將生成的攜密密文圖像分發(fā)給所有參與共享的云服務(wù)器。當(dāng)部分云服務(wù)器遭受攻擊或者損壞時(shí)，云服務(wù)器只需收集k份攜密密文圖像即可恢復(fù)用戶密文圖像，為合法用戶提供下載服務(wù)，同時(shí)還可隱蔽地提取秘密信息。

基于Shamir（3，4）門限，探討了SIS-RDHED在云環(huán)境下的應(yīng)用場(chǎng)景，應(yīng)用框架如圖4所示。

1）圖像加密階段。

用戶使用任意對(duì)稱加密算法加密原始圖像，然后上傳密文圖像至云服務(wù)器A。

2）信息嵌入階段。

云服務(wù)器A收到用戶上傳的密文圖像后，一方面，需要對(duì)圖像進(jìn)行秘密分割以實(shí)現(xiàn)用戶數(shù)據(jù)的容災(zāi)備份；另一方面，需要嵌入秘密信息。云服務(wù)器A利用數(shù)據(jù)隱藏密鑰加密秘密信息后，建立秘密信息與多項(xiàng)式系數(shù)的映射關(guān)系，使其與用戶密文圖像一同進(jìn)行秘密分割，得到4份完全不同的攜密密文圖像，將其中3份發(fā)送至云服務(wù)器B、C、D用于數(shù)據(jù)容災(zāi)，另外一份由當(dāng)前服務(wù)器保存。此時(shí)，云服務(wù)器A、B、C、D擁有完全不同的攜密密文圖像。

3）提取與恢復(fù)階段。

當(dāng)合法的授權(quán)用戶向云服務(wù)器E發(fā)出密文圖像下載的服務(wù)請(qǐng)求后，E可從任意3個(gè)云服務(wù)器收集3份攜密密文圖像，從而恢復(fù)密文圖像以響應(yīng)用戶。同時(shí)，E根據(jù)收集的3份攜密密文圖像重構(gòu)拉格朗日多項(xiàng)式，由數(shù)據(jù)隱藏密鑰即可提取云服務(wù)器A嵌入的秘密信息。

在多項(xiàng)式中，不同系數(shù)代表不同信息，其中，常數(shù)項(xiàng)代表密文圖像，其他各項(xiàng)系數(shù)代表嵌入的秘密圖像，因此，圖像解密與秘密信息提取是完全可分離的。

圖4 基于Shamir（3， 4）門限的SIS-RDHED應(yīng)用框架Fig. 4 Application framework of SIS-RDHED based on Shamir （3，4） threshold

3 實(shí)驗(yàn)與結(jié)果分析

圖5 測(cè)試圖像Fig. 5 Test images

3.1 嵌入容量

嵌入容量是評(píng)價(jià)信息隱藏算法優(yōu)劣的一個(gè)重要指標(biāo)。一般情況下，為直觀地衡量嵌入容量，通常采用嵌入率（Embedding Rate， ER）表示，即平均每個(gè)像素所能嵌入的數(shù)據(jù)量。

秘密共享方案將秘密分割成多份，出現(xiàn)了密文擴(kuò)展的現(xiàn)象，即圖像在加密后會(huì)導(dǎo)致加密圖像數(shù)據(jù)量大于原始圖像的數(shù)據(jù)量，使用Shamir（3，4）門限方案加密1 bit數(shù)據(jù)，密文擴(kuò)展4倍。文獻(xiàn)［14］中使用的Paillier同態(tài)加密，密鑰長度為512 bit時(shí)，加密1 bit數(shù)據(jù)密文擴(kuò)展128倍。與同態(tài)加密方案相比，秘密共享的密文擴(kuò)展較小，具有一定的優(yōu)勢(shì)。

為了避免密文擴(kuò)展對(duì)信息嵌入率計(jì)算的影響，準(zhǔn)確反映算法的實(shí)際嵌入率，文獻(xiàn)［16］中提出了一種新的方式定義嵌入率，如式（11）所示：

在（k，n）門限方案下，對(duì)于大小為的灰度圖像，根據(jù)上述定義得出算法的最大嵌入率理論值的計(jì)算方法。由式（12）可計(jì)算出不同門限參數(shù)下的最大嵌入率，并在表2中給出。

由于嵌入率與k成正比，與n成反比關(guān)系，而密文擴(kuò)展與n成正比關(guān)系，在k一定的情況下，n越大嵌入率越小、密文擴(kuò)展越大，這種結(jié)果并不符合預(yù)期的要求，希望嵌入率盡可能大、密文擴(kuò)展盡可能??；在n一定的情況下，k越大嵌入率也越大，但是當(dāng)時(shí)，不再具有容災(zāi)特性。在實(shí)際應(yīng)用中，選擇（3，4）、（4，5）等門限方案不僅具有容災(zāi)特性，而且算法嵌入率大、密文擴(kuò)展也比較小。

表2 不同門限參數(shù)下的最大嵌入率 單位： bppTab. 2 Maximum embedding rates under different threshold parameters unit： bpp

利用加密過程中隨機(jī)量替換的方式，將多項(xiàng)式中隨機(jī)產(chǎn)生的高次項(xiàng)系數(shù)用秘密信息代替，因此，嵌入率是一個(gè)不受載體圖像本身影響的恒定值。文獻(xiàn)［3］算法將圖像分為多個(gè)不重疊的塊，翻轉(zhuǎn)塊內(nèi)像素的三個(gè)最低有效位嵌入1 bit信息，嵌入率與分塊大小有關(guān)；文獻(xiàn)［6］算法是基于塊內(nèi)像素高位平面的冗余度來影響最大嵌入率的；文獻(xiàn)［13］算法是在加密過程中根據(jù)預(yù)測(cè)誤差進(jìn)行嵌入空間的劃分；文獻(xiàn)［16］算法是根據(jù)秘密共享加密后像素差值的不變性，通過差值擴(kuò)展和直方圖平移嵌入信息；文獻(xiàn)［18］算法是利用秘密共享同態(tài)性并通過差值擴(kuò)展嵌入信息；文獻(xiàn)［20］算法是基于中國剩余定理同態(tài)性與差值擴(kuò)展嵌入信息。以上方法多數(shù)是根據(jù)像素的相關(guān)性騰出空間，嵌入率主要取決于載體圖像；通常紋理平滑的圖像具有較高的嵌入率，紋理復(fù)雜的圖像嵌入率較低。

實(shí)驗(yàn)中利用標(biāo)準(zhǔn)測(cè)試圖像對(duì)比了不同算法的最大嵌入率，如圖6所示。結(jié)果表明，與其他算法相比，本文算法的最大嵌入率有明顯提升。以Lena圖像為例，本文算法（3，4）門限方案相較文獻(xiàn)［10］方法提出的基于最高有效位（MSB）預(yù)測(cè)的大容量方案高出了2.99 bpp（bit per pixel），與文獻(xiàn)［19］算法提出的（3，4）門限方案相比高出了3.0 bpp。

圖6 標(biāo)準(zhǔn)測(cè)試圖像不同算法的最大嵌入率對(duì)比Fig. 6 Maximum embedding rate comparison of different algorithms for standard test images

3.2 圖像質(zhì)量

峰值信噪比（Peak Signal-to-Noise Ratio， PSNR）是評(píng)價(jià)圖像失真程度的一個(gè)重要客觀指標(biāo)。在密文域可逆信息隱藏算法中，除了從理論方面證明算法的可逆性外，一般還可通過計(jì)算恢復(fù)圖像與原始圖像的峰值信噪比來檢驗(yàn)算法的可逆性，即恢復(fù)圖像與原始圖像相比無任何失真。

圖7 Lena圖像的率失真曲線對(duì)比Fig. 7 Comparison of Lena image rate distortion curve

由圖7可以看出，文獻(xiàn)［3］算法在嵌入信息時(shí)將三個(gè)最低有效位進(jìn)行翻轉(zhuǎn)造成了圖像的失真；文獻(xiàn)［5］算法在多層嵌入時(shí)也對(duì)圖像造成了不可逆的失真；文獻(xiàn)［14］算法和文獻(xiàn)［18］算法通過差值擴(kuò)展和同態(tài)加法特性嵌入信息，直接解密后圖像存在失真。上述算法的嵌入率越大圖像失真越明顯，文獻(xiàn)［13］算法在解密時(shí)利用輔助信息可以還原圖像失真的部分。在本文算法中，將秘密信息嵌入到多項(xiàng)式的各項(xiàng)系數(shù)中，而載體圖像作為多項(xiàng)式的常數(shù)項(xiàng)，其嵌入的信息不會(huì)影響載體圖像的質(zhì)量，故圖像的峰值信噪比（PSNR）不隨嵌入率的增加而減小。

3.3 實(shí)用性分析

3.3.1 時(shí)間復(fù)雜度

時(shí)間復(fù)雜度是指執(zhí)行算法所需要的計(jì)算工作量，是評(píng)估算法優(yōu)劣的重要指標(biāo)。當(dāng)前，密文域可逆信息隱藏算法中，常用的加密方法為流密碼與公鑰密碼算法。表3給出了不同加密方式下算法執(zhí)行的時(shí)間復(fù)雜度，具體分析如下。

表3 不同加密方式的時(shí)間復(fù)雜度Tab. 3 Time complexities of different encryption methods

在本文算法中，信息的嵌入是在秘密分割之前構(gòu)造多項(xiàng)式的過程中通過建立秘密信息與多項(xiàng)式各項(xiàng)系數(shù)間的映射關(guān)系完成的，沒有增加額外的計(jì)算次數(shù)，因此時(shí)間復(fù)雜度仍為；信息提取時(shí)需要恢復(fù)多項(xiàng)式的高次項(xiàng)系數(shù)（非常數(shù)項(xiàng)），利用拉格朗日插值法的過程中涉及多個(gè)因式連乘展開的情況，文獻(xiàn)［24］中提供了一種遞歸算法，時(shí)間復(fù)雜度為；圖像恢復(fù)時(shí)只需要恢復(fù)多項(xiàng)式的常數(shù)項(xiàng)，與秘密共享的恢復(fù)過程完全相同，時(shí)間復(fù)雜度為。

3.3.2 安全性

現(xiàn)有的密文域可逆信息隱藏方案，載體的保密性與秘密信息的保密性都依賴于流密碼算法，即加密密鑰的安全性。然而，多數(shù)信息隱藏算法在信息嵌入過程中都存在對(duì)密文圖像的修改，這在一定程度上會(huì)破壞加密算法的強(qiáng)度與安全性。本文所提的算法，通過替換加密算法中的隨機(jī)因子實(shí)現(xiàn)信息隱藏的目的，加密后的秘密信息與隨機(jī)因子具有相同的統(tǒng)計(jì)特征，因此，將秘密信息嵌入到加密算法的內(nèi)置參數(shù)中并不會(huì)對(duì)加密算法的安全性產(chǎn)生任何破壞。同時(shí)，秘密共享方案的引入，在不增加風(fēng)險(xiǎn)的情況下，增強(qiáng)了數(shù)據(jù)的容錯(cuò)性與防災(zāi)性，充分發(fā)揮了秘密共享機(jī)制的優(yōu)勢(shì)。

秘密恢復(fù)過程中，由于每個(gè)參與者擁有完全不同的攜密密文圖像，因此，至少需要個(gè)參與者提供份攜密密文圖像才能重構(gòu)多項(xiàng)式，進(jìn)而恢復(fù)載體圖像與提取秘密信息。即使攻擊者擁有份攜密密文圖像，載體圖像與秘密信息也不會(huì)泄露。當(dāng)超過個(gè)參與者提供攜密密文圖像時(shí)，攻擊者可能偽裝成合法參與者并提供無效攜密密文圖像，通過其他個(gè)合法參與者提供的有效攜密密文圖像可重構(gòu)多項(xiàng)式。此時(shí)，攻擊者仍無法獲取有效信息，因?yàn)檩d體圖像與秘密信息的安全性仍由加密密鑰保證。

以Shamir（3，4）門限SIS-RDHED為例，對(duì)Lena圖像仿真實(shí)驗(yàn)進(jìn)行分析。圖8給出了基于Shamir（3，4）門限SIS-RDHED的Lena圖像秘密分割與重構(gòu)恢復(fù)。

圖8 基于Shamir（3，4）門限SIS-RDHED的Lena圖像秘密分割與重構(gòu)恢復(fù)Fig. 8 Secret segmentation， reconstruction and and restoration of Lena image by SIS-RDHED based on Shamir（3，4） threshold

圖8中，圖（a）、（b）分別為原始圖像與加密后的密文圖像；圖（c）～（f）表示互不相同的攜密密文圖像，由于攜密密文圖像呈噪聲狀且直方圖服從均勻分布的統(tǒng)計(jì)特征，攻擊者無法感知秘密信息的存在；圖（g）、（h）分別表示重構(gòu)的密文圖像與解密后無損恢復(fù)的原始圖像，恢復(fù)圖像的PSNR為無窮大，表明圖像恢復(fù)是完全可逆的。

圖9是Lena圖像的重構(gòu)實(shí)驗(yàn)直方圖，其中，圖（a）表示Lena原始圖像直方圖，圖（b）、（c）分別表示不同條件下重構(gòu)Lena圖像的直方圖。圖（b）為假設(shè)攻擊者已截獲2份攜密密文圖像，并且掌握?qǐng)D像解密密鑰的情況下，恢復(fù)出解密圖像對(duì)應(yīng)的直方圖，表明攻擊者無法獲取任何與載體圖像相關(guān)的信息，保證了載體圖像的安全。圖（c）為假設(shè)攻擊者已截獲3份攜密密文圖像，但無法獲取圖像解密密鑰的情況下，恢復(fù)出未解密圖像的直方圖，表明攻擊者依然無法獲取任何與載體圖像相關(guān)的信息，仍可保證載體圖像的安全。

圖10是不同數(shù)量攜密密文提取秘密信息的錯(cuò)誤圖，該圖是通過逐比特比較提取信息與嵌入信息是否相同繪制的錯(cuò)誤圖，其中提取信息與嵌入信息相同用0表示，否則用1表示。圖（a）為使用2份攜密密文提取秘密信息的錯(cuò)誤圖，圖中0和1出現(xiàn)的概率都約為0.5，因此信息提取的錯(cuò)誤率約為50%，即得不到任何有效信息。圖（b）為使用3份攜密密文提取秘密信息的錯(cuò)誤圖，圖中0出現(xiàn)的概率為1，因此提取信息的錯(cuò)誤率為零。

以上實(shí)驗(yàn)結(jié)果表明，只有在收集足夠多攜密密文圖像的條件下，才能無誤地提取秘密信息，這充分發(fā)揮了秘密共享的門限效應(yīng)。

圖9 基于Shamir（3，4）門限SIS-RDHED的Lena圖像重構(gòu)實(shí)驗(yàn)直方圖Fig. 9 Lena image reconstruction experimental histograms by SIS-RDHED based on Shamir（3，4） threshold

圖10 不同數(shù)量攜密密文提取秘密信息的錯(cuò)誤圖Fig. 10 Secret data extraction error diagrams of different number of ciphertexts carrying secret

4 結(jié)語

針對(duì)傳統(tǒng)的RDH-ED算法嵌入秘密信息后，攜密密文圖像的容錯(cuò)性與抗災(zāi)性不強(qiáng)的問題，本文提出了一種基于圖像秘密共享的密文域可逆信息隱藏算法，通過替換加密過程中隨機(jī)量的方式實(shí)現(xiàn)秘密信息的可逆嵌入，并分析討論了該算法在云環(huán)境下的應(yīng)用場(chǎng)景。通過理論分析與仿真實(shí)驗(yàn)可知，所提算法具有以下性能：在不降低秘密共享方案安全性的基礎(chǔ)上，增強(qiáng)了載體圖像與嵌入信息的容錯(cuò)性與抗災(zāi)性；利用加密過程的冗余空間實(shí)現(xiàn)信息嵌入，其嵌入性能不受載體圖像的制約；實(shí)現(xiàn)了圖像解密與秘密信息提取的完全可分離。接下來的研究方向是設(shè)計(jì)支持多用戶嵌入的可逆信息隱藏算法，同時(shí)在保證較大嵌入容量的前提下，減小攜密密文圖像的尺寸，節(jié)約存儲(chǔ)空間。

[1] SHI Y Q， LI X L， ZHANG X P， et al. Reversible data hiding： advances in the past two decades ［J］. IEEE Access， 2016，4： 3210-3237.

[2] 柯彥，張敏情，劉佳，等.密文域可逆信息隱藏綜述［J］.計(jì)算機(jī)應(yīng)用，2016，36（11）：3067-3076，3092.（KE Y， ZHANG M Q， LIU J， et al. Overview on reversible data hiding in encrypted domain ［J］. Journal of Computer Applications， 2016， 36（11）： 3067-3076， 3092.）

[3] ZHANG X P. Reversible data hiding in encrypted image ［J］. IEEE Signal Processing Letters， 2011， 18（4）： 255-258.

[4] ZHANG X P. Separable reversible data hiding in encrypted image ［J］. IEEE Transactions on Information Forensics and Security，2012， 7（2）： 826-832.

[5] GE H L， CHEN Y， QIAN Z X， et al. A high capacity multi-level approach for reversible data hiding in encrypted images ［J］. IEEE Transactions on Circuits and Systems for Video Technology， 2019， 29（8）： 2285-2295.

[6] 頊聰，王興田，陶永鵬.基于高階位平面冗余的可逆信息隱藏方法［J］.計(jì)算機(jī)應(yīng)用，2022，42（1）：171-177.（XU C， WANG X T， TAO Y P. Reversible data hiding method based on high-order bit-plane redundancy ［J］. Journal of Computer Applications， 2022 ，42（1）： 171-177.）

[7] MA K D， ZHANG W M， ZHAO X F， et al. Reversible data hiding in encrypted images by reserving room before encryption ［J］. IEEE Transactions on Information Forensics and Security， 2014， 8（3）： 553-562.

[8] CELIK M U， SHARMA G， TEKALP A M， et al. Lossless generalized-LSB data embedding ［J］. IEEE Transactions on Image Processing， 2005， 14（2）： 253-266.

[9] THODI D M， RODRIGUEZ J J. Prediction-error based reversible watermarking ［C］// Proceedings of the 2004 International Conference on Image Processing. Piscataway： IEEE，2004： 1549-1552.

[10] PUTEAUX P， PUECH W. An efficient MSB prediction-based method for high-capacity reversible data hiding in encrypted images ［J］. IEEE Transactions on Information Forensics and Security，2018， 13（7）： 1670-1681.

[11] KE Y， ZHANG M Q， LIU J. Separable multiple bits reversible data hiding in encrypted domain ［C］// Proceedings of the 2016 International Workshop on Digital Watermarking，LNCS 10082. Cham： Springer，2016： 470-484.

[12] 柯彥，張敏情，蘇婷婷.基于R-LWE的密文域多比特可逆信息隱藏算法［J］.計(jì)算機(jī)研究與發(fā)展，2016，53（10）：2307-2322.（KE Y， ZHANG M Q， SU T T. A novel multiple bits reversible data hiding in encrypted domain based on R-LWE ［J］. Journal of Computer Research and Development， 2016， 53（10）： 2307-2322.）

[13] HUANG D L， WANG J J. High-capacity reversible data hiding in encrypted image based on specific encryption process ［J］. Signal Processing： Image Communication， 2020， 80： Article No.115632.

[14] CHEN Y C， SHIU C W， HORNG G. Encrypted signal-based reversible data hiding with public key cryptosystem ［J］. Journal of Visual Communication and Image Representation， 2014， 25（5）： 1164-1170.

[15] ZHANG X P， LONG J， WANG Z C， et al. Lossless and reversible data hiding in encrypted images with public-key cryptography ［J］. IEEE Transactions on Circuits and Systems for Video Technology， 2016， 26（9）： 1622-1631.

[16] WU X T， WENG J， YAN W Q， et al. Adopting secret sharing for reversible data hiding in encrypted images ［J］. Signal Processing， 2018， 143： 269-281.

[17] CHEN Y C， HUNG T H， HSIEH S H， et al. A new reversible data hiding in encrypted image based on multi-secret sharing and lightweight cryptographic algorithms ［J］. IEEE Transactions on Information Forensics and Security， 2019， 14（12）： 3332-3343.

[18] 周能，張敏情，劉蒙蒙.基于秘密共享的同態(tài)加密圖像可逆信息隱藏算法［J］.科學(xué)技術(shù)與工程，20（19）：7780-7786.（ZHOU N， ZHANG M Q， LIU M M. Reversible data hiding algorithm in homomorphic encrypted image based on secret sharing ［J］. Science Technology and Engineering， 2020， 20（19）： 7780-7786.）

[19] CHEN B， LU W， HUANG J W， et al. Secret sharing based reversible data hiding in encrypted images with multiple data-hiders ［J］. IEEE Transactions on Dependable and Secure Computing， 2022， 19（2）： 978-991.

[20] KE Y， ZHANG M Q， ZHANG X P， et al. Reversible data hiding scheme in encrypted domain for secret image sharing based on Chinese remainder theorem ［J］. IEEE Transactions on Circuits and Systems for Video Technology， 2022， 32（4）： 2469-2481.

[21] SHAMIR A. How to share a secret ［J］. Communications of the ACM， 1979， 22（11）： 612-613.

[22] THIEN C C， LIN J C. Secret image sharing ［J］. Computers and Graphics， 2002， 26（5）： 765-770.

[23] 榮輝桂，莫進(jìn)俠，常炳國，等.基于Shamir秘密共享的密鑰分發(fā)與恢復(fù)算法［J］.通信學(xué)報(bào)，2015，36（3）：265-274.（RONG H G， MO J X， CHANG B G，et al. Key distribution and recovery algorithm based on Shamir’s secret sharing ［J］. Journal on Communications， 2015， 36（3）： 265-274.）

[24] 吳燕仙，何妮.拉格朗日插值公式的完全展開［J］.通化師范學(xué)院學(xué)報(bào)，2007，28（2）：10-12.（WU Y X， HE N. Complete expansion of Lagrange interpolation formula ［J］. Journal of Tonghua Teachers College， 2007， 28（2）： 10-12.）

Reversible data hiding algorithm in encrypted domain based on secret image sharing

WANG Zexi1，2， ZHANG Minqing1，2*， KE Yan1，2， KONG Yongjun1，2

（1.Key Laboratory of PAP for Cryptology and Information Security（Engineering University of PAP），Xi’an Shaanxi710086，China；2.College of Cryptographic Engineering，Engineering University of PAP，Xi’an Shaanxi710086，China）

The current reversible data hiding algorithms in encrypted domain have the problems that the ciphertext images carrying secret have poor fault tolerance and disaster resistance after embedding secret data， once attacked or damaged， the original image cannot be reconstructed and the secret data cannot be extracted. In order to solve the problems， a new reversible data hiding algorithm in encrypted domain based on secret image sharing was proposed， and its application scenarios in cloud environment were analyzed. Firstly， the encrypted image was divided intondifferent ciphertext images carrying secret with the same size. Secondly， in the process of segmentation， the random quantities in Lagrange interpolation polynomial were taken as redundant information， and the mapping relationship between secret data and each polynomial coefficient was established. Finally， the reversible embedding of the secret data was realized by modifying the built-in parameters of the encryption process. Whenkciphertext images carrying secret were collected， the original image was able to be fully recovered and the secret data was able to be extracted. Experimental results show that， the proposed algorithm has the advantages of low computational complexity， large embedding capacity and complete reversibility. In the （3，4） threshold scheme， the maximum embedding rate of the proposed algorithm is 4 bit per pixel （bpp）， and in the （4，4） threshold scheme， the maximum embedding rate of the proposed algorithm is 6 bpp. The proposed algorithm gives full play to the disaster recovery characteristic of secret sharing scheme. Without reducing the security of secret sharing， the proposed algorithm enhances the fault tolerance and disaster resistance of ciphertext images carrying secret， improves the embedding capacity of algorithm and the disaster recovery ability in the application scenario of cloud environment， and ensures the security of carrier image and secret data.

information security; secret image sharing; reversible data hiding; data disaster recovery; encrypted domain

TP309.7

A

1001-9081（2022）05-1480-10

10.11772/j.issn.1001-9081.2021050823

2021?05?19；

2021?09?22；

2021?10?14。

國家自然科學(xué)基金資助項(xiàng)目（61872384）。

王澤曦（1997—），男，江蘇徐州人，碩士研究生，主要研究方向：信息安全、信息隱藏； 張敏情（1967—），女，陜西西安人，教授，博士，主要研究方向：密碼學(xué)、信息隱藏； 柯彥（1991—），男，河南南陽人，博士，主要研究方向： 信息安全、密碼學(xué)、信息隱藏； 孔詠駿（1990—），男，江蘇江陰人，博士研究生，主要研究方向：信息安全、信息隱藏。

This work is partially supported by National Natural Science Foundation of China （61872384）.

WANG Zexi， born in 1997， M. S. candidate. His research interests include information security，data hiding.

ZHANG Minqing， born in 1967， Ph. D.， professor. Her research interests include cryptology， data hiding.

KE Yan， born in 1991， Ph. D. His research interests include information security， cryptology， data hiding.

KONG Yongjun， born in 1990， Ph. D. candidate. His research interests include information security，data hiding.