基于圖像秘密共享的密文域可逆信息隱藏算法

王澤曦，張敏情*，柯彥，孔詠駿

（1.網(wǎng)絡(luò)與信息安全武警部隊重點實驗室（武警工程大學(xué)），西安 710086； 2.武警工程大學(xué) 密碼工程學(xué)院，西安 710086）（?通信作者電子郵箱api_zmq@126.com）

基于圖像秘密共享的密文域可逆信息隱藏算法

王澤曦1，2，張敏情1，2*，柯彥1，2，孔詠駿1，2

（1.網(wǎng)絡(luò)與信息安全武警部隊重點實驗室（武警工程大學(xué)），西安 710086； 2.武警工程大學(xué) 密碼工程學(xué)院，西安 710086）（?通信作者電子郵箱api_zmq@126.com）

針對當(dāng)前密文域可逆信息隱藏算法嵌入秘密信息后的攜密密文圖像的容錯性與抗災(zāi)性不強，一旦遭受攻擊或損壞就無法重構(gòu)原始圖像與提取秘密信息的問題，提出了一種基于圖像秘密共享的密文域可逆信息隱藏算法，并分析了該算法在云環(huán)境下的應(yīng)用場景。首先，將加密圖像分割成大小相同的n份不同攜密密文圖像。然后，在分割的過程中將拉格朗日插值多項式中的隨機量作為冗余信息，并建立秘密信息與多項式各項系數(shù)間的映射關(guān)系。最后，通過修改加密過程的內(nèi)置參數(shù)，實現(xiàn)秘密信息的可逆嵌入。當(dāng)收集k份攜密密文圖像時，可無損地恢復(fù)原始圖像與提取秘密信息。實驗結(jié)果表明，所提算法具有計算復(fù)雜度低、嵌入容量大和完全可逆等特點。在（3，4）門限方案中，所提算法的最大嵌入率可達4 bpp；在（4，4）門限方案中，其最大嵌入率可達6 bpp。所提算法充分發(fā)揮了秘密共享方案的容災(zāi)特性，在不降低秘密共享安全性的基礎(chǔ)上，增強了攜密密文圖像的容錯性與抗災(zāi)性，提高了算法的嵌入容量與云環(huán)境應(yīng)用場景下的容災(zāi)能力，保證了載體圖像與秘密信息的安全。

信息安全；圖像秘密共享；可逆信息隱藏；數(shù)據(jù)容災(zāi)；密文域

0 引言

近年來，云環(huán)境下的信息安全與隱私保護要求對密文數(shù)據(jù)進行標(biāo)注、檢索、聚類或認(rèn)證等管理，以及依托密文數(shù)據(jù)實現(xiàn)隱蔽通信。密文域可逆信息隱藏（Reversible Data Hiding in Encrypted Domain，RDH-ED）［1-2］作為信息隱藏技術(shù)的一個重要分支，能夠?qū)崿F(xiàn)在密文數(shù)據(jù)中嵌入秘密信息；在解密階段，能夠無誤地提取秘密信息，并且無損地恢復(fù)原始數(shù)據(jù)。將密文域信息處理技術(shù)與信息隱藏技術(shù)有機融合，實現(xiàn)了信息加密保護與秘密信息傳遞的雙重功效，受到了研究者們的廣泛關(guān)注。

當(dāng)前，密文域可逆信息隱藏算法主要分為三類：基于加密后生成冗余（Vacating Room After Encryption， VRAE）、基于加密前生成冗余（Vacating Room Before Encryption， VRBE）和基于加密過程冗余（Vacating Room In Encryption， VRIE）的密文域嵌入方案。VRAE［3］主要利用密文無損壓縮或同態(tài)加密技術(shù)在密文域生成冗余，此類算法存在嵌入率不高、可分離性差等問題。Zhang［3］提出了基于流密碼加密的密文域可逆信息隱藏算法，該算法通過翻轉(zhuǎn)三個最低有效位嵌入1 bit信息實現(xiàn)信息的可逆嵌入；Zhang［4］還首次提出了可分離的密文域可逆信息隱藏算法，該算法對密文圖像進行無損壓縮以生成冗余，實現(xiàn)密文域的信息嵌入。上述算法的嵌入容量較小，Ge等［5］將圖像分塊加密后，在每個子塊中使用直方圖平移的方法進行多層嵌入，進一步提高了嵌入率，但是密鑰重用會影響載體圖像的安全性；頊聰?shù)龋?］在圖像加密后保留塊內(nèi)像素高階位平面的冗余，用像素低位替換高位的方法騰出冗余，不僅提高了嵌入容量，解密圖像質(zhì)量也較高。VRBE［7］主要通過加密前復(fù)雜的預(yù)處理操作生成冗余，實際應(yīng)用中難以要求圖像所有者執(zhí)行相關(guān)操作，存在一定的應(yīng)用局限，代表性的算法主要有：基于無損壓縮技術(shù)［8］和基于像素預(yù)測技術(shù)［9］的RDH-ED。Puteaux等［10］基于像素值最高有效位（Most Significant Bit， MSB）預(yù)測的方法，在加密前對像素預(yù)測誤差進行預(yù)處理來生成冗余空間，有效地增大了嵌入容量。VRIE［11］主要通過發(fā)掘加密過程中存在的冗余信息，利用冗余制定嵌入策略。Ke等［11-12］首次提出了基于加密過程的可逆信息隱藏方案，通過量化錯誤學(xué)習(xí)（Learning with Errors， LWE）加密密文空間，并利用密文擴展產(chǎn)生冗余嵌入秘密信息；Huang等［13］基于特殊的加密過程，在加密過程中根據(jù)像素預(yù)測誤差修改密文像素以騰出空間，實現(xiàn)了圖像的完全可逆恢復(fù)。

Chen等［14］首次提出了基于Paillier公鑰密碼的方法，利用乘法同態(tài)性質(zhì)和直方圖平移技術(shù)實現(xiàn)秘密嵌入；Zhang等［15］利用濕紙編碼和Paillier同態(tài)特性提出了一種可分離的算法，上述算法將公鑰密碼與信息隱藏相結(jié)合，解決了流密碼對稱密鑰傳遞與管理的難題，但是公鑰密碼的使用帶來了較大的數(shù)據(jù)擴展，并且算法的時間復(fù)雜度較高。為了降低算法時間復(fù)雜度，減小數(shù)據(jù)擴展，Wu等［16］首次將秘密共享方案引入密文域可逆信息隱藏領(lǐng)域，利用差值擴展和差值直方圖平移的技術(shù)，將秘密信息嵌入到共享的子秘密圖像中，該方法嵌入容量較大，但是不能實現(xiàn)圖像解密與秘密提取的可分離性，同時，也沒能保留秘密共享的技術(shù)優(yōu)勢；Chen等［17］又提出了基于多秘密共享的方法，將像素作為多項式的系數(shù)，減小了加密的時間復(fù)雜度，但是增加了解密的時間復(fù)雜度；周能等［18］在秘密共享之前先利用差值擴展的方法預(yù)處理，再利用同態(tài)加法特性嵌入信息；Chen等［19］基于秘密共享的方法提出了兩種聯(lián)合、兩種可分離的算法框架，擴展了RDH-ED算法的多用戶場景；Ke等［20］基于中國剩余定理提出了一種可分離的RDH-ED，該方案通過組合兩種嵌入方法實現(xiàn)了可分離性，一種是在密文域以同態(tài)差分?jǐn)U展的方式嵌入，在圖像重建后提取信息，另一種是在圖像共享的過程中進行差分?jǐn)U展，在圖像重建之前提取信息。

綜上所述，現(xiàn)有的RDH-ED算法主要利用載體圖像的冗余進行秘密信息的可逆嵌入，嵌入性能受到原始載體的制約；同時，當(dāng)攜密密文遭受攻擊或者損壞時，無法準(zhǔn)確地提取嵌入信息和無損地恢復(fù)原始圖像。針對以上問題，本文提出了一種基于Shamir圖像秘密共享的密文域可逆信息隱藏算法（Secret Image Sharing-Reversible Data Hiding algorithm in Encryption Domain， SIS-RDHED），利用加密過程的冗余空間嵌入信息，嵌入性能不受載體圖像的制約，在保證嵌入信息可逆提取的基礎(chǔ)上，其嵌入容量相較文獻［16］方法、文獻［19］方法、文獻［20］方法等同樣使用秘密共享的方法得到了顯著提升。同時，在不降低秘密共享方案安全性的基礎(chǔ)上，本文算法充分利用密文分布式存儲的魯棒性，實現(xiàn)載體圖像和嵌入信息的容災(zāi)備份。

1 基礎(chǔ)知識

Shamir［21］提出了（k，n）門限秘密共享方案，通過構(gòu)造次多項式，將秘密信息分割成多份，以保證秘密信息的安全。Thien等［22］首先將秘密共享技術(shù)應(yīng)用于圖像秘密共享（Secret Image Sharing， SIS），利用圖像像素值替換多項式中的全部系數(shù)，實現(xiàn)圖像的秘密分割與壓縮。Shamir門限秘密共享方案是一種基于多項式的拉格朗日（Lagrange）插值問題，利用該方案構(gòu)造的代數(shù)系統(tǒng)是基于有限域GF（q）上多項式運算的集合。

它允許用戶將秘密分割成n個子秘密，每個子秘密由一個參與者持有，僅當(dāng)有k個或者多于k個參與者可恢復(fù)秘密，而不足k個參與者則無法重構(gòu)秘密，該方案即為Shamir（k，n）門限秘密共享。

Shamir（k，n）門限秘密共享方案一般可按如下方式構(gòu)造：

步驟3 秘密恢復(fù)。由定理1知，拉格朗日插值多項式具有存在性與唯一性，即滿足的階插值多項式存在且唯一，則由任意個參與者構(gòu)成的子集可以重構(gòu)拉格朗日多項式，從而恢復(fù)秘密。

2 算法設(shè)計

2.1 算法框架

基于Shamir（k，n）門限圖像秘密共享方案，本文提出了一種密文域可逆信息隱藏算法。該算法在秘密分割之前，將秘密信息嵌入到多項式系數(shù)中，而后生成多份攜帶秘密信息的子密文圖像，使得密文圖像與秘密信息均具有一定的容錯性與抗災(zāi)性，充分發(fā)揮了秘密共享技術(shù)的優(yōu)勢。

本文算法框架如圖1所示，首先，圖像所有者將加密后的密文圖像發(fā)送給信息隱藏者；然后，信息隱藏者嵌入秘密信息到多項式系數(shù)中，根據(jù)參與者的屬性標(biāo)簽分割秘密，得到多份互不相同的攜密密文圖像并分發(fā)給相應(yīng)的參與者；最后，接收者收集任意k份攜密圖像后可重構(gòu)密文圖像與提取秘密信息，并根據(jù)相應(yīng)的密鑰解密密文圖像與秘密信息。表1對文中相關(guān)變量作出了說明。

表1 變量及其說明Tab. 1 Variables and their descriptions

1）參數(shù)設(shè)置。

在圖像秘密共享過程中，通常選擇將一個像素值作為共享的秘密，對于位深度為8 bit的圖像像素，其范圍為。在構(gòu)建有限域時通常選擇素數(shù)作為模數(shù)，將有限域中的元素限定為，當(dāng)像素值為時，可直接作為多項式系數(shù)；然而，當(dāng)像素值大于時，會產(chǎn)生溢出，即像素值為及的像素?zé)o法滿足有限域的代數(shù)結(jié)構(gòu)，通常對它們進行截斷處理或作為邊信息單獨嵌入。盡管絕大多數(shù)像素值都滿足代數(shù)結(jié)構(gòu)，但是仍然存在邊信息量過大的問題，在一定程度上直接影響了嵌入容量；同時，上述預(yù)處理操作要求在用戶端完成，這在一定程度上，也限制了該類算法的應(yīng)用場景。因此，選擇合適的素數(shù)是至關(guān)重要的。

圖1 SIS-RDHED框架Fig. 1 Framework of SIS-RDHED

2）圖像加密。

3）信息嵌入。

步驟1 信息隱藏者選擇n個參與者，并為每個參與者從有限域中選取互不相同的非零常數(shù)，作為參與者的屬性標(biāo)簽，然后公開分發(fā)至相應(yīng)的參與者。

圖2 像素對合并示意圖Fig. 2 Schematic diagram of pixel pair merging

4）秘密提取與圖像恢復(fù)。

在Shamir（k，n）門限秘密共享方案中，秘密的恢復(fù)至少需要k個參與者完成，根據(jù)拉格朗日插值多項式的存在性及唯一性定理，由任意k個參與者構(gòu)成的子集可以重構(gòu)多項式，從而恢復(fù)密文圖像與提取秘密信息。接收者根據(jù)不同的需求與掌握的不同密鑰，可以無差錯地提取秘密信息與無損地恢復(fù)密文圖像。

a）圖像恢復(fù)。接收者從任意k個參與者處收集k份攜密密文圖像，按照相同的方法對圖像分塊，每個分塊包含一對攜密密文像素，并將其合并為新的函數(shù)值，由拉格朗日插值多項式可構(gòu)造如下的多項式：

由于信息嵌入方法的特殊性，使得信息提取與圖像恢復(fù)的過程互不影響，均是在秘密共享恢復(fù)的過程中完成的。秘密恢復(fù)后，根據(jù)接收者掌握的不同密鑰執(zhí)行相關(guān)的操作，實現(xiàn)了算法的可分離性。

要保證方案安全且能夠無誤地提取秘密信息與無損地恢復(fù)原始圖像，必須保證每個用戶的屬性標(biāo)簽互不相同，在提取與恢復(fù)時，必須收集足夠的有效攜密密文圖像，證明過程如下。

為保證無誤地提取秘密信息與無損地恢復(fù)原始圖像，方程組必須有唯一解，即系數(shù)矩陣滿秩，范德蒙德行列式不為零，因此，要求k個用戶的屬性標(biāo)簽互不相同。當(dāng)參與恢復(fù)的用戶少于k個時，矩陣的秩小于k，方程有無窮多解。因此，在提取與恢復(fù)時，必須收集足夠的有效攜密密文圖像。

5）算法示例。

基于Shamir（3，4）門限秘密共享方案的SIS-RDHED流程如圖3所示。首先，圖像所有者將原始像素對（124，127）加密，得到密文像素對（139，232）并發(fā)送給信息隱藏者。信息隱藏者合并密文像素對后生成新的像素值35 816，從秘密信息中依次選取16 bit，加密后映射為22 320和4 520；利用秘密信息與密文像素生成多項式，根據(jù)參與者身份分割秘密，得到4組攜密密文像素對（131，132）、（158，127）、（255，165）、（148，87）并發(fā)送給相應(yīng)的參與者。接收者任意收集3份攜密密文像素對（131，132）、（158，127）、（255，165），由拉格朗日插值多項式重構(gòu)密文像素與提取秘密信息，得到秘密信息22 320和4 520，重構(gòu)恢復(fù)的密文像素對為（139， 232），最后根據(jù)相應(yīng)的密鑰進行解密。

圖3 基于Shamir（3，4）門限的SIS-RDHED流程Fig. 3 Flow chart of SIS-RDHED based on Shamir （3，4） threshold

2.2 應(yīng)用框架

在基于云環(huán)境下的密文域可逆信息隱藏應(yīng)用場景中，云服務(wù)器為了提高容災(zāi)能力，確保用戶數(shù)據(jù)安全，通常會建立異地備份系統(tǒng)，而采用圖像秘密共享方案不僅可以實現(xiàn)用戶密文圖像的分布式存儲，提高云端數(shù)據(jù)的容災(zāi)能力，而且還能將秘密信息嵌入到用戶密文圖像中，實現(xiàn)秘密信息的安全傳遞。根據(jù)秘密共享的特性，當(dāng)其中一個云服務(wù)器出現(xiàn)故障或遭受攻擊時，不會影響其他云服務(wù)器對數(shù)據(jù)的恢復(fù)；同時，使得秘密信息也具有一定的容災(zāi)能力。

假設(shè)由n個云服務(wù)器參與秘密份額共享并組成共享集合，云服務(wù)器在分割用戶密文圖像的過程中，可以將秘密信息嵌入到多項式的系數(shù)中，最后將生成的攜密密文圖像分發(fā)給所有參與共享的云服務(wù)器。當(dāng)部分云服務(wù)器遭受攻擊或者損壞時，云服務(wù)器只需收集k份攜密密文圖像即可恢復(fù)用戶密文圖像，為合法用戶提供下載服務(wù)，同時還可隱蔽地提取秘密信息。

基于Shamir（3，4）門限，探討了SIS-RDHED在云環(huán)境下的應(yīng)用場景，應(yīng)用框架如圖4所示。

1）圖像加密階段。

用戶使用任意對稱加密算法加密原始圖像，然后上傳密文圖像至云服務(wù)器A。

2）信息嵌入階段。

云服務(wù)器A收到用戶上傳的密文圖像后，一方面，需要對圖像進行秘密分割以實現(xiàn)用戶數(shù)據(jù)的容災(zāi)備份；另一方面，需要嵌入秘密信息。云服務(wù)器A利用數(shù)據(jù)隱藏密鑰加密秘密信息后，建立秘密信息與多項式系數(shù)的映射關(guān)系，使其與用戶密文圖像一同進行秘密分割，得到4份完全不同的攜密密文圖像，將其中3份發(fā)送至云服務(wù)器B、C、D用于數(shù)據(jù)容災(zāi)，另外一份由當(dāng)前服務(wù)器保存。此時，云服務(wù)器A、B、C、D擁有完全不同的攜密密文圖像。

3）提取與恢復(fù)階段。

當(dāng)合法的授權(quán)用戶向云服務(wù)器E發(fā)出密文圖像下載的服務(wù)請求后，E可從任意3個云服務(wù)器收集3份攜密密文圖像，從而恢復(fù)密文圖像以響應(yīng)用戶。同時，E根據(jù)收集的3份攜密密文圖像重構(gòu)拉格朗日多項式，由數(shù)據(jù)隱藏密鑰即可提取云服務(wù)器A嵌入的秘密信息。

在多項式中，不同系數(shù)代表不同信息，其中，常數(shù)項代表密文圖像，其他各項系數(shù)代表嵌入的秘密圖像，因此，圖像解密與秘密信息提取是完全可分離的。

圖4 基于Shamir（3， 4）門限的SIS-RDHED應(yīng)用框架Fig. 4 Application framework of SIS-RDHED based on Shamir （3，4） threshold

3 實驗與結(jié)果分析

圖5 測試圖像Fig. 5 Test images

3.1 嵌入容量

嵌入容量是評價信息隱藏算法優(yōu)劣的一個重要指標(biāo)。一般情況下，為直觀地衡量嵌入容量，通常采用嵌入率（Embedding Rate， ER）表示，即平均每個像素所能嵌入的數(shù)據(jù)量。

秘密共享方案將秘密分割成多份，出現(xiàn)了密文擴展的現(xiàn)象，即圖像在加密后會導(dǎo)致加密圖像數(shù)據(jù)量大于原始圖像的數(shù)據(jù)量，使用Shamir（3，4）門限方案加密1 bit數(shù)據(jù)，密文擴展4倍。文獻［14］中使用的Paillier同態(tài)加密，密鑰長度為512 bit時，加密1 bit數(shù)據(jù)密文擴展128倍。與同態(tài)加密方案相比，秘密共享的密文擴展較小，具有一定的優(yōu)勢。

為了避免密文擴展對信息嵌入率計算的影響，準(zhǔn)確反映算法的實際嵌入率，文獻［16］中提出了一種新的方式定義嵌入率，如式（11）所示：

在（k，n）門限方案下，對于大小為的灰度圖像，根據(jù)上述定義得出算法的最大嵌入率理論值的計算方法。由式（12）可計算出不同門限參數(shù)下的最大嵌入率，并在表2中給出。

由于嵌入率與k成正比，與n成反比關(guān)系，而密文擴展與n成正比關(guān)系，在k一定的情況下，n越大嵌入率越小、密文擴展越大，這種結(jié)果并不符合預(yù)期的要求，希望嵌入率盡可能大、密文擴展盡可能?。辉趎一定的情況下，k越大嵌入率也越大，但是當(dāng)時，不再具有容災(zāi)特性。在實際應(yīng)用中，選擇（3，4）、（4，5）等門限方案不僅具有容災(zāi)特性，而且算法嵌入率大、密文擴展也比較小。

表2 不同門限參數(shù)下的最大嵌入率 單位： bppTab. 2 Maximum embedding rates under different threshold parameters unit： bpp

利用加密過程中隨機量替換的方式，將多項式中隨機產(chǎn)生的高次項系數(shù)用秘密信息代替，因此，嵌入率是一個不受載體圖像本身影響的恒定值。文獻［3］算法將圖像分為多個不重疊的塊，翻轉(zhuǎn)塊內(nèi)像素的三個最低有效位嵌入1 bit信息，嵌入率與分塊大小有關(guān)；文獻［6］算法是基于塊內(nèi)像素高位平面的冗余度來影響最大嵌入率的；文獻［13］算法是在加密過程中根據(jù)預(yù)測誤差進行嵌入空間的劃分；文獻［16］算法是根據(jù)秘密共享加密后像素差值的不變性，通過差值擴展和直方圖平移嵌入信息；文獻［18］算法是利用秘密共享同態(tài)性并通過差值擴展嵌入信息；文獻［20］算法是基于中國剩余定理同態(tài)性與差值擴展嵌入信息。以上方法多數(shù)是根據(jù)像素的相關(guān)性騰出空間，嵌入率主要取決于載體圖像；通常紋理平滑的圖像具有較高的嵌入率，紋理復(fù)雜的圖像嵌入率較低。

實驗中利用標(biāo)準(zhǔn)測試圖像對比了不同算法的最大嵌入率，如圖6所示。結(jié)果表明，與其他算法相比，本文算法的最大嵌入率有明顯提升。以Lena圖像為例，本文算法（3，4）門限方案相較文獻［10］方法提出的基于最高有效位（MSB）預(yù)測的大容量方案高出了2.99 bpp（bit per pixel），與文獻［19］算法提出的（3，4）門限方案相比高出了3.0 bpp。

圖6 標(biāo)準(zhǔn)測試圖像不同算法的最大嵌入率對比Fig. 6 Maximum embedding rate comparison of different algorithms for standard test images

3.2 圖像質(zhì)量

峰值信噪比（Peak Signal-to-Noise Ratio， PSNR）是評價圖像失真程度的一個重要客觀指標(biāo)。在密文域可逆信息隱藏算法中，除了從理論方面證明算法的可逆性外，一般還可通過計算恢復(fù)圖像與原始圖像的峰值信噪比來檢驗算法的可逆性，即恢復(fù)圖像與原始圖像相比無任何失真。

圖7 Lena圖像的率失真曲線對比Fig. 7 Comparison of Lena image rate distortion curve

由圖7可以看出，文獻［3］算法在嵌入信息時將三個最低有效位進行翻轉(zhuǎn)造成了圖像的失真；文獻［5］算法在多層嵌入時也對圖像造成了不可逆的失真；文獻［14］算法和文獻［18］算法通過差值擴展和同態(tài)加法特性嵌入信息，直接解密后圖像存在失真。上述算法的嵌入率越大圖像失真越明顯，文獻［13］算法在解密時利用輔助信息可以還原圖像失真的部分。在本文算法中，將秘密信息嵌入到多項式的各項系數(shù)中，而載體圖像作為多項式的常數(shù)項，其嵌入的信息不會影響載體圖像的質(zhì)量，故圖像的峰值信噪比（PSNR）不隨嵌入率的增加而減小。

3.3 實用性分析

3.3.1 時間復(fù)雜度

時間復(fù)雜度是指執(zhí)行算法所需要的計算工作量，是評估算法優(yōu)劣的重要指標(biāo)。當(dāng)前，密文域可逆信息隱藏算法中，常用的加密方法為流密碼與公鑰密碼算法。表3給出了不同加密方式下算法執(zhí)行的時間復(fù)雜度，具體分析如下。

表3 不同加密方式的時間復(fù)雜度Tab. 3 Time complexities of different encryption methods

在本文算法中，信息的嵌入是在秘密分割之前構(gòu)造多項式的過程中通過建立秘密信息與多項式各項系數(shù)間的映射關(guān)系完成的，沒有增加額外的計算次數(shù)，因此時間復(fù)雜度仍為；信息提取時需要恢復(fù)多項式的高次項系數(shù)（非常數(shù)項），利用拉格朗日插值法的過程中涉及多個因式連乘展開的情況，文獻［24］中提供了一種遞歸算法，時間復(fù)雜度為；圖像恢復(fù)時只需要恢復(fù)多項式的常數(shù)項，與秘密共享的恢復(fù)過程完全相同，時間復(fù)雜度為。

3.3.2 安全性

現(xiàn)有的密文域可逆信息隱藏方案，載體的保密性與秘密信息的保密性都依賴于流密碼算法，即加密密鑰的安全性。然而，多數(shù)信息隱藏算法在信息嵌入過程中都存在對密文圖像的修改，這在一定程度上會破壞加密算法的強度與安全性。本文所提的算法，通過替換加密算法中的隨機因子實現(xiàn)信息隱藏的目的，加密后的秘密信息與隨機因子具有相同的統(tǒng)計特征，因此，將秘密信息嵌入到加密算法的內(nèi)置參數(shù)中并不會對加密算法的安全性產(chǎn)生任何破壞。同時，秘密共享方案的引入，在不增加風(fēng)險的情況下，增強了數(shù)據(jù)的容錯性與防災(zāi)性，充分發(fā)揮了秘密共享機制的優(yōu)勢。

秘密恢復(fù)過程中，由于每個參與者擁有完全不同的攜密密文圖像，因此，至少需要個參與者提供份攜密密文圖像才能重構(gòu)多項式，進而恢復(fù)載體圖像與提取秘密信息。即使攻擊者擁有份攜密密文圖像，載體圖像與秘密信息也不會泄露。當(dāng)超過個參與者提供攜密密文圖像時，攻擊者可能偽裝成合法參與者并提供無效攜密密文圖像，通過其他個合法參與者提供的有效攜密密文圖像可重構(gòu)多項式。此時，攻擊者仍無法獲取有效信息，因為載體圖像與秘密信息的安全性仍由加密密鑰保證。

以Shamir（3，4）門限SIS-RDHED為例，對Lena圖像仿真實驗進行分析。圖8給出了基于Shamir（3，4）門限SIS-RDHED的Lena圖像秘密分割與重構(gòu)恢復(fù)。

圖8 基于Shamir（3，4）門限SIS-RDHED的Lena圖像秘密分割與重構(gòu)恢復(fù)Fig. 8 Secret segmentation， reconstruction and and restoration of Lena image by SIS-RDHED based on Shamir（3，4） threshold

圖8中，圖（a）、（b）分別為原始圖像與加密后的密文圖像；圖（c）～（f）表示互不相同的攜密密文圖像，由于攜密密文圖像呈噪聲狀且直方圖服從均勻分布的統(tǒng)計特征，攻擊者無法感知秘密信息的存在；圖（g）、（h）分別表示重構(gòu)的密文圖像與解密后無損恢復(fù)的原始圖像，恢復(fù)圖像的PSNR為無窮大，表明圖像恢復(fù)是完全可逆的。

圖9是Lena圖像的重構(gòu)實驗直方圖，其中，圖（a）表示Lena原始圖像直方圖，圖（b）、（c）分別表示不同條件下重構(gòu)Lena圖像的直方圖。圖（b）為假設(shè)攻擊者已截獲2份攜密密文圖像，并且掌握圖像解密密鑰的情況下，恢復(fù)出解密圖像對應(yīng)的直方圖，表明攻擊者無法獲取任何與載體圖像相關(guān)的信息，保證了載體圖像的安全。圖（c）為假設(shè)攻擊者已截獲3份攜密密文圖像，但無法獲取圖像解密密鑰的情況下，恢復(fù)出未解密圖像的直方圖，表明攻擊者依然無法獲取任何與載體圖像相關(guān)的信息，仍可保證載體圖像的安全。

圖10是不同數(shù)量攜密密文提取秘密信息的錯誤圖，該圖是通過逐比特比較提取信息與嵌入信息是否相同繪制的錯誤圖，其中提取信息與嵌入信息相同用0表示，否則用1表示。圖（a）為使用2份攜密密文提取秘密信息的錯誤圖，圖中0和1出現(xiàn)的概率都約為0.5，因此信息提取的錯誤率約為50%，即得不到任何有效信息。圖（b）為使用3份攜密密文提取秘密信息的錯誤圖，圖中0出現(xiàn)的概率為1，因此提取信息的錯誤率為零。

以上實驗結(jié)果表明，只有在收集足夠多攜密密文圖像的條件下，才能無誤地提取秘密信息，這充分發(fā)揮了秘密共享的門限效應(yīng)。

圖9 基于Shamir（3，4）門限SIS-RDHED的Lena圖像重構(gòu)實驗直方圖Fig. 9 Lena image reconstruction experimental histograms by SIS-RDHED based on Shamir（3，4） threshold

圖10 不同數(shù)量攜密密文提取秘密信息的錯誤圖Fig. 10 Secret data extraction error diagrams of different number of ciphertexts carrying secret

4 結(jié)語

針對傳統(tǒng)的RDH-ED算法嵌入秘密信息后，攜密密文圖像的容錯性與抗災(zāi)性不強的問題，本文提出了一種基于圖像秘密共享的密文域可逆信息隱藏算法，通過替換加密過程中隨機量的方式實現(xiàn)秘密信息的可逆嵌入，并分析討論了該算法在云環(huán)境下的應(yīng)用場景。通過理論分析與仿真實驗可知，所提算法具有以下性能：在不降低秘密共享方案安全性的基礎(chǔ)上，增強了載體圖像與嵌入信息的容錯性與抗災(zāi)性；利用加密過程的冗余空間實現(xiàn)信息嵌入，其嵌入性能不受載體圖像的制約；實現(xiàn)了圖像解密與秘密信息提取的完全可分離。接下來的研究方向是設(shè)計支持多用戶嵌入的可逆信息隱藏算法，同時在保證較大嵌入容量的前提下，減小攜密密文圖像的尺寸，節(jié)約存儲空間。

[1] SHI Y Q， LI X L， ZHANG X P， et al. Reversible data hiding： advances in the past two decades ［J］. IEEE Access， 2016，4： 3210-3237.

[2] 柯彥，張敏情，劉佳，等.密文域可逆信息隱藏綜述［J］.計算機應(yīng)用，2016，36（11）：3067-3076，3092.（KE Y， ZHANG M Q， LIU J， et al. Overview on reversible data hiding in encrypted domain ［J］. Journal of Computer Applications， 2016， 36（11）： 3067-3076， 3092.）

[3] ZHANG X P. Reversible data hiding in encrypted image ［J］. IEEE Signal Processing Letters， 2011， 18（4）： 255-258.

[4] ZHANG X P. Separable reversible data hiding in encrypted image ［J］. IEEE Transactions on Information Forensics and Security，2012， 7（2）： 826-832.

[5] GE H L， CHEN Y， QIAN Z X， et al. A high capacity multi-level approach for reversible data hiding in encrypted images ［J］. IEEE Transactions on Circuits and Systems for Video Technology， 2019， 29（8）： 2285-2295.

[6] 頊聰，王興田，陶永鵬.基于高階位平面冗余的可逆信息隱藏方法［J］.計算機應(yīng)用，2022，42（1）：171-177.（XU C， WANG X T， TAO Y P. Reversible data hiding method based on high-order bit-plane redundancy ［J］. Journal of Computer Applications， 2022 ，42（1）： 171-177.）

[7] MA K D， ZHANG W M， ZHAO X F， et al. Reversible data hiding in encrypted images by reserving room before encryption ［J］. IEEE Transactions on Information Forensics and Security， 2014， 8（3）： 553-562.

[8] CELIK M U， SHARMA G， TEKALP A M， et al. Lossless generalized-LSB data embedding ［J］. IEEE Transactions on Image Processing， 2005， 14（2）： 253-266.

[9] THODI D M， RODRIGUEZ J J. Prediction-error based reversible watermarking ［C］// Proceedings of the 2004 International Conference on Image Processing. Piscataway： IEEE，2004： 1549-1552.

[10] PUTEAUX P， PUECH W. An efficient MSB prediction-based method for high-capacity reversible data hiding in encrypted images ［J］. IEEE Transactions on Information Forensics and Security，2018， 13（7）： 1670-1681.

[11] KE Y， ZHANG M Q， LIU J. Separable multiple bits reversible data hiding in encrypted domain ［C］// Proceedings of the 2016 International Workshop on Digital Watermarking，LNCS 10082. Cham： Springer，2016： 470-484.

[12] 柯彥，張敏情，蘇婷婷.基于R-LWE的密文域多比特可逆信息隱藏算法［J］.計算機研究與發(fā)展，2016，53（10）：2307-2322.（KE Y， ZHANG M Q， SU T T. A novel multiple bits reversible data hiding in encrypted domain based on R-LWE ［J］. Journal of Computer Research and Development， 2016， 53（10）： 2307-2322.）

[13] HUANG D L， WANG J J. High-capacity reversible data hiding in encrypted image based on specific encryption process ［J］. Signal Processing： Image Communication， 2020， 80： Article No.115632.

[14] CHEN Y C， SHIU C W， HORNG G. Encrypted signal-based reversible data hiding with public key cryptosystem ［J］. Journal of Visual Communication and Image Representation， 2014， 25（5）： 1164-1170.

[15] ZHANG X P， LONG J， WANG Z C， et al. Lossless and reversible data hiding in encrypted images with public-key cryptography ［J］. IEEE Transactions on Circuits and Systems for Video Technology， 2016， 26（9）： 1622-1631.

[16] WU X T， WENG J， YAN W Q， et al. Adopting secret sharing for reversible data hiding in encrypted images ［J］. Signal Processing， 2018， 143： 269-281.

[17] CHEN Y C， HUNG T H， HSIEH S H， et al. A new reversible data hiding in encrypted image based on multi-secret sharing and lightweight cryptographic algorithms ［J］. IEEE Transactions on Information Forensics and Security， 2019， 14（12）： 3332-3343.

[18] 周能，張敏情，劉蒙蒙.基于秘密共享的同態(tài)加密圖像可逆信息隱藏算法［J］.科學(xué)技術(shù)與工程，20（19）：7780-7786.（ZHOU N， ZHANG M Q， LIU M M. Reversible data hiding algorithm in homomorphic encrypted image based on secret sharing ［J］. Science Technology and Engineering， 2020， 20（19）： 7780-7786.）

[19] CHEN B， LU W， HUANG J W， et al. Secret sharing based reversible data hiding in encrypted images with multiple data-hiders ［J］. IEEE Transactions on Dependable and Secure Computing， 2022， 19（2）： 978-991.

[20] KE Y， ZHANG M Q， ZHANG X P， et al. Reversible data hiding scheme in encrypted domain for secret image sharing based on Chinese remainder theorem ［J］. IEEE Transactions on Circuits and Systems for Video Technology， 2022， 32（4）： 2469-2481.

[21] SHAMIR A. How to share a secret ［J］. Communications of the ACM， 1979， 22（11）： 612-613.

[22] THIEN C C， LIN J C. Secret image sharing ［J］. Computers and Graphics， 2002， 26（5）： 765-770.

[23] 榮輝桂，莫進俠，常炳國，等.基于Shamir秘密共享的密鑰分發(fā)與恢復(fù)算法［J］.通信學(xué)報，2015，36（3）：265-274.（RONG H G， MO J X， CHANG B G，et al. Key distribution and recovery algorithm based on Shamir’s secret sharing ［J］. Journal on Communications， 2015， 36（3）： 265-274.）

[24] 吳燕仙，何妮.拉格朗日插值公式的完全展開［J］.通化師范學(xué)院學(xué)報，2007，28（2）：10-12.（WU Y X， HE N. Complete expansion of Lagrange interpolation formula ［J］. Journal of Tonghua Teachers College， 2007， 28（2）： 10-12.）

Reversible data hiding algorithm in encrypted domain based on secret image sharing

WANG Zexi1，2， ZHANG Minqing1，2*， KE Yan1，2， KONG Yongjun1，2

（1.Key Laboratory of PAP for Cryptology and Information Security（Engineering University of PAP），Xi’an Shaanxi710086，China；2.College of Cryptographic Engineering，Engineering University of PAP，Xi’an Shaanxi710086，China）

The current reversible data hiding algorithms in encrypted domain have the problems that the ciphertext images carrying secret have poor fault tolerance and disaster resistance after embedding secret data， once attacked or damaged， the original image cannot be reconstructed and the secret data cannot be extracted. In order to solve the problems， a new reversible data hiding algorithm in encrypted domain based on secret image sharing was proposed， and its application scenarios in cloud environment were analyzed. Firstly， the encrypted image was divided intondifferent ciphertext images carrying secret with the same size. Secondly， in the process of segmentation， the random quantities in Lagrange interpolation polynomial were taken as redundant information， and the mapping relationship between secret data and each polynomial coefficient was established. Finally， the reversible embedding of the secret data was realized by modifying the built-in parameters of the encryption process. Whenkciphertext images carrying secret were collected， the original image was able to be fully recovered and the secret data was able to be extracted. Experimental results show that， the proposed algorithm has the advantages of low computational complexity， large embedding capacity and complete reversibility. In the （3，4） threshold scheme， the maximum embedding rate of the proposed algorithm is 4 bit per pixel （bpp）， and in the （4，4） threshold scheme， the maximum embedding rate of the proposed algorithm is 6 bpp. The proposed algorithm gives full play to the disaster recovery characteristic of secret sharing scheme. Without reducing the security of secret sharing， the proposed algorithm enhances the fault tolerance and disaster resistance of ciphertext images carrying secret， improves the embedding capacity of algorithm and the disaster recovery ability in the application scenario of cloud environment， and ensures the security of carrier image and secret data.

information security; secret image sharing; reversible data hiding; data disaster recovery; encrypted domain

TP309.7

A

1001-9081（2022）05-1480-10

10.11772/j.issn.1001-9081.2021050823

2021?05?19；

2021?09?22；

2021?10?14。

國家自然科學(xué)基金資助項目（61872384）。

王澤曦（1997—），男，江蘇徐州人，碩士研究生，主要研究方向：信息安全、信息隱藏； 張敏情（1967—），女，陜西西安人，教授，博士，主要研究方向：密碼學(xué)、信息隱藏； 柯彥（1991—），男，河南南陽人，博士，主要研究方向： 信息安全、密碼學(xué)、信息隱藏； 孔詠駿（1990—），男，江蘇江陰人，博士研究生，主要研究方向：信息安全、信息隱藏。

This work is partially supported by National Natural Science Foundation of China （61872384）.

WANG Zexi， born in 1997， M. S. candidate. His research interests include information security，data hiding.

ZHANG Minqing， born in 1967， Ph. D.， professor. Her research interests include cryptology， data hiding.

KE Yan， born in 1991， Ph. D. His research interests include information security， cryptology， data hiding.

KONG Yongjun， born in 1990， Ph. D. candidate. His research interests include information security，data hiding.