CN104881838A - 一种基于gf(23)的(k,n)有意义无扩张图像分存和重构方法 - Google Patents

Abstract

本发明提供一种基于GF(2³)的(K,N)有意义无扩张图像分存和重构方法，在该方法中，首先生成加密映射表并利用秘密像素位置信息对秘密像素进行加密；然后将秘密像素认证信息和加密像素在GF(2³)有限域下进行(K,N)分存，嵌入到掩体图像对应像素中；最后将映射表生成密钥进行(K,N)分存，计算每个子密钥MD5值并公布到第3方公信方以防止子密钥持有者作弊；同现有方法相比，所提方案能准确地识别出秘密图像攻击区域，不存在任何像素扩张，掩体图像和秘密图像等大且嵌入分存信息的掩体图像具有较好的视觉质量。

Description

一种基于GF(23)的(K,N)有意义无扩张图像分存和重构方法

技术领域

本发明属于图像信息安全和数字图像信号处理交叉领域，涉及一种图像分存和重构方法，具体涉及一种基于GF(2³)的(K,N)有意义无扩张图像分存和重构方法。

背景技术

数字图像信息分存技术是图像信息安全的研究热点。现有的图像信息分存技术主要源自密码学中的秘密共享，最早由Shamir(Shamir A.How to share asecret[J].Communications of the Association for Computing Machinery,1979,22(11):612–613.)和Blakley(Blakley G R.Safeguarding cryptographickeys[C]//Proceedings of 1979 National Computer Conference.New York,USA:AFIPS,1979,48:313–317.)分别结合Lagrange插值方法和矢量空间点的性质提出。

结合秘密共享方案，基于(K,N)门限的图像信息分存方案被广泛提出，即将秘密图像借助秘密共享方法拆分为N份影子图像，若至少收集到K份影子图像，则可完整地重构出秘密图像，否则得不到秘密图像的任何信息。传统的基于(K,N)门限的图像信息分存方案只是将秘密图像转换为无意义影子图像，在公有信道传输中容易诱发攻击而使分发影子图像遭受破坏，从而降低秘密图像最终正确重构的可能性。

针对无意义图像分存方案在使用过程中存在的安全隐患，一些文献也探讨了有意义图像分存。例如使用异或和恢复函数针对2值和灰度图像提出(N,N)有意义图像分存方案(吴小天，孙伟.基于误差扩散的图像分存方案[J].计算机应用，2011，31(1):74–77.；欧锻灏，吴小天，孙伟，等.基于恢复函数和误差扩散的灰度图像分存方案[J].计算机科学，2013，40(2):112-116.)。但以上所提出的方法，若N份掩体图像中有一份遭受攻击，则秘密图像无法完整恢复，并且所提策略中没有任何认证措施，参与者可对自己保管的掩体图像进行任意修改而不被发现。

相对于(N,N)有意义图像分存方案，目前使用较多的依然是基于Shamir-(K,N)门限方案的有意义图像分存。Lin C C和Tsai W H预先将秘密图像的每个像素调整到[0,251)之间，然后对其进行Shamir-(K,N)分存，将得到的8位分存信息嵌入到掩体图像对应的2×2分块中，并调整2×2分块右上角位置的奇偶校验位作为认证位，由此不可避免地导致秘密图像失真，嵌入分存信息的掩体图像视觉质量下降，且认证信息只有1位奇偶校验位，起不到丝毫的认证作用(Lin C C,Tsai W H.Secret image sharing with steganography and authentication[J].TheJournal of Systems and Software,2004,73(3):405–414.)。为避免Lin C C和Tsai WH所提策略对秘密图像进行预先处理导致秘密图像失真，Yang C N,Chen T S,YuK H等将Shamir-(K,N)拓展到GF(2⁸)有限域，并通过HMAC(Hash-based MessageAuthentication Code)对分存信息进行认证，但所提出的认证方法依然只有1位认证位，恶意参与者依然有很大概率逃脱检验，且GF(2⁸)涉及到域上多项式环的加减乘除运算，涉及较大的运算代价(Yang C N,Chen T S,Yu K H,et al.Improvements of image sharing with steganography and authentication[J].TheJournal of Systems and Software,2007,80(7):1070-1076.)。针对以上文献存在的认证问题，Chang C C,Hsieh Y P,Lin C H等利用中国剩余定理生成分存信息的4bit认证位来进一步提升认证能力和提高掩体图像的视觉质量(Chang C C,Hsieh Y P,Lin C H.Sharing secrets in stego images with authentication[J].Pattern Recognition,2008,41(10):3130–3137.)，然而所提方法并不具备攻击后的修复能力，为提高修复能力，Chang C C,Chen Y H等使用Lagrange的多个系数来分存秘密图像像素和它的配对像素(Chang C C,Hsieh Y P,Lin C H.Sharing secrets in stego imageswith authentication[J].Pattern Recognition,2008,41(10):3130–3137.；Chang C C,Chen Y H,Wang H C.Meaningful secret sharing technique with authentication andremedy abilities[J].Information Sciences,2011,181(14):3073–3084.)，使得所提方案，具备一定的攻击后修复能力。

以上所给出的有意义图像分存方法为减小掩体图像膨胀和对像素的修改，一般采用较短的认证码来对分存信息进行认证，例如使用1bit，4bit或3bit的认证位来对分存信息进行认证，但较短的认证码也带来了较大误判概率，从而对最终重构的秘密像素准确性无法鉴别。

为提高对秘密像素认证的准确度，Yang C N,Ouyang J F,Harn L给出了结合先认证后分存的基于双变量对称多项式的认证方法(Yang C N,Ouyang J F,HarnL.Steganography and authentication in image sharing without parity bits[J].OpticsCommunications,2012,285(7):1725–1735.)，提高了认证的准确度和掩体图像的视觉质量，但所提策略依然存在着像素扩张的问题。

在所申请的发明专利：基于三重备份的(K,N)有意义图像分存及恢复方法，通过引入三重备份将秘密图像像素分存信息存储在不同的三个位置起相互认证作用，在恢复阶段使用自然图像相邻像素相关性来提升方案的认证能力和错误修复能力，但所提策略存在像素扩张且未引入前向认证策略，即对分存前的秘密像素进行认证，不能提高认证的准度。(邵利平，欧阳显斌.基于三重备份的(K,N)有意义图像分存及恢复方法[P].中国：CN104200424A,2014-8-29)

在所申请的发明专利：基于差值变换的(K,N)有意义图像分存及恢复方法中，尽管所提策略不存在任何扩张，但所提策略采用的是严格认证策略，不允许持有者保管的嵌入分存信息的掩体图像以及子密钥存在任何作弊行为，同时也没有引入前向认证策略，即对分存前的秘密像素进行认证。(邵利平，欧阳显斌.基于差值变换的(K,N)有意义图像分存及恢复方法[P].中国：CN104200424A,2014-8-29)

发明内容

本发明的目的在于克服现有技术缺陷，提供一种基于GF(2³)的(K,N)有意义无扩张图像分存和重构方法，在提高认证准度的同时，减少了掩体图像膨胀率，使得分发掩体图像和秘密图像等大，极大缓解了信道传输负载。

为实现上述目的，本发明采用以下技术方案：

一种基于GF(2³)的(K,N)有意义无扩张图像分存方法，包括以下步骤：

第1步：分别读取秘密图像和N张掩体图像矩阵S＝(s_i,j)_m×n和 $C_k={\left(c_{i,j}^k\right)}_{m\×n},k=1,2,...,N,$ 选取门限K和密钥key；

第2步：对密钥key进行分存得到N个子密钥f(k),k＝1,2,…,N并将对应子密钥的MD5值公布到第3方公信方；

第3步：使用key生成集合{0,1,…,255}上的排列<q₀,q₁,…,q₂₅₅>；

第4步：对秘密图像S＝(s_i,j)_m×n的像素计算认证信息 ${\mathrm{check}}_{i,j}={\left(s_8^{\&prime;i,j}{s}_9^{\&prime;i,j}{s}_{10}^{\&prime;i,j}{s}_{11}^{\&prime;i,j}\right)}_2,$ 计算加密后的像素 $s_{i,j}^{\&prime;}={(s_0^{\&prime;i,j}{s}_1^{\&prime;i,j}...s_7^{\&prime;i,j})}_2,$ 由check_i,j和s′_i,j计算GF(2³)分存的分存系数a，b，c和d，对其进行GF(2³)分存得到分存信息 $f_{GF}^{i,j}\left(1\right),f_{GF}^{i,j}\left(2\right),...,f_{GF}^{i,j}\left(N\right),N<8;$

第5步：将分存信息嵌入到掩体图像对应位置

第6步：反复执行步骤4～步骤5，直至处理完秘密图像所有像素，得到嵌入分存信息后掩体图像将它们和子密钥f(k)分发给对应参与者，并销毁所有中间数据。

进一步，第2步中将密钥key通过式(1)Lagrange多项式进行分存得到N个子密钥f(k),k＝1,2,…,N：

f(k)＝(s+r₁k+r₂k²+…+r_K-1k^K-1)mod p    (1)

式(1)中s是秘密，r₁,r₂,…,r_K-1是随机整数，p为素数并且满足s,r₁,r₂,…,r_K-1∈[0,p)，N为[K,p)范围内的整数，将x＝1,2,…,N依次代入式(1)，从而形成N个分发信息(1,f(1)),(2,f(2)),…,(N,f(N))。

进一步，第4步由像素 $s_{i,j}={(s_0^{i,j}{s}_1^{i,j}...s_7^{i,j})}_2$ 计算认证信息 ${\mathrm{check}}_{i,j}={\left(s_8^{\&prime;i,j}{s}_9^{\&prime;i,j}{s}_{10}^{\&prime;i,j}{s}_{11}^{\&prime;i,j}\right)}_2$ 的具体方法为式(5):

${\mathrm{check}}_{i,j}=\left(s_0^{i,j}{s}_1^{i,j}{s}_2^{i,j}{s}_3^{i,j}\right)\&CirclePlus;{\left(s_4^{i,j}{s}_5^{i,j}{s}_6^{i,j}{s}_7^{i,j}\right)}_2---\left(5\right)$

式(5)中为异或操作；

加密后像素具体的计算方法如式(6)所示：

$s_{i,j}^{\&prime;}=(q_{s_{i,j}}-((i+j)\mathrm{mod}256)+256)\mathrm{mod}256---\left(6\right)$

式(6)中对应为上<q₀，q₁，...，q₂₅₅>上索引值为s_i,j的元素。

进一步，第4步由check_i,j和s′_i,j计算GF(2³)分存的分存系数a，b，c和d的具体方法如式(7)所示：

$\begin{array}{c}a={\left(s_9^{\&prime;i,j}{s}_{10}^{\&prime;i,j}{s}_{11}^{\&prime;i,j}\right)}_2\\ b={\left(s_5^{\&prime;i,j}{s}_6^{\&prime;i,j}{s}_7^{\&prime;i,j}\right)}_2\\ c={\left(s_2^{\&prime;i,j}{s}_3^{\&prime;i,j}{s}_4^{\&prime;i,j}\right)}_2\\ d={\left(s_8^{\&prime;i,j}{s}_0^{\&prime;i,j}{s}_1^{\&prime;i,j}\right)}_2\end{array}---\left(7\right)$

对s′_i,j和check_i,j进行GF(2³)分存的具体方法如式(3)所示：

式(3)中，a,b,c,d为秘密值，r₁,r₂,…,r_k-4随机数并且满足a,b,c,d,r₁,r₂,…,r_K-4∈{0,1,…,7}，GF()为有限域计算函数，其功能为将整数y转换为GF(2ⁿ)上的2值多项式且多项式的系数只能是0和1，和为有限域上的加法和乘法操作。

进一步，第6步通过调整掩体图像对应像素模值，将分存信息嵌入到掩体图像对应位置即使调整后的值满足 $c_{i,j}^{\&prime;k}\mathrm{mod}8=f_{GF}^{i,j}\left(k\right)$ 从而嵌入分存信息选择满足 $c_{i,j}^{\&prime;k}\mathrm{mod}8=f_{GF}^{i,j}\left(k\right)$ 且最小的

一种基于GF(2³)的(K,N)有意义无扩张图像重构方法，包括以下步骤：

第1步：假设有t,t≥K个参与者提供的子密钥f(num_k)和掩体图像参与秘密图像重构，计算f(num_k)的MD5值与第3方公信方MD5值进行对比，若相等则认为其合法，否则不合法，若合法子密钥数不小于门限则继续恢复过程，否则恢复失败，这里假设t个参与者提供的子密钥均合法；

第2步：利用合法参与者子密钥(num_k,f(num_k)),k＝1,2,…,t恢复密钥key；

第3步：使用key生成集合{0,1,…,255}上的排列<q₀,q₁,…,q₂₅₅>；

第4步：对于掩体图像位置(i,j)，提取出嵌入信息由 $({\mathrm{num}}_k,f_{GF}^{i,j}({\mathrm{num}}_k\left)\right),k=1,2,...,t$ 得到 $s_{i,j}^{\&prime;}={(s_0^{\&prime;i,j}{s}_1^{\&prime;i,j}...s_7^{\&prime;i,j})}_2$ 和 ${\mathrm{check}}_{i,j}={\left(s_8^{\&prime;i,j}{s}_9^{\&prime;i,j}{s}_{10}^{\&prime;i,j}{s}_{11}^{\&prime;i,j}\right)}_2;$

第5步：将s′_i,j解密，得到并计算s_i,j的认证值进行认证，标记认证位b_i,j和对认证失败的像素进行修正，即若等于则置 $b_{i,j}=1,s_{i,j}={(s_0^{i,j}{s}_1^{i,j}...s_7^{i,j})}_2,$ 否则令b_i,j＝0,s_i,j＝128；

第6步：反复执行第4步～第5步，直至处理完所有像素，可得秘密图像S＝(s_i,j)_m×n和认证图B＝(b_i,j)_m×n。

进一步，第2步利用合法参与者子密钥(num_k,f(num_k)),k＝1,2,…,t恢复密钥key的具体方法为采用式(2)先对f(x)进行恢复，再对分发秘密s＝f(0)重构：

$f\left(k\right)=\left(\underset{i=1}{\overset{t}{\&Sigma;}}\right(f\left({\mathrm{num}}_i\right)\underset{j=1,j\&NotEqual;i}{\overset{t}{\&Pi;}}(k-{\mathrm{num}}_j){({\mathrm{num}}_i-{\mathrm{num}}_j)}_p^{-1}\left)\right)\mathrm{mod}p---\left(2\right)$

式(2)中，为(num_i-num_j)在模p上的乘法逆元。

进一步，第4步对于位置(i,j)，提取出嵌入信息的具体方法为：对于位置(i,j),0≤i＜m,0≤j＜n，可通过式(8)来提取掩体图像该位置嵌入的分存信息

$f_{GF}^{i,j}\left({\mathrm{num}}_k\right)=c_{i,j}^{\&prime;{\mathrm{num}}_k}\mathrm{mod}8---\left(8\right)$

由 $({\mathrm{num}}_k,f_{GF}^{i,j}({\mathrm{num}}_k\left)\right),k=1,2,...,t$ 得到 $s_{i,j}^{\&prime;}={(s_0^{\&prime;i,j}{s}_1^{\&prime;i,j}...s_7^{\&prime;i,j})}_2$ 和 ${\mathrm{check}}_{i,j}={\left(s_8^{\&prime;i,j}{s}_9^{\&prime;i,j}{s}_{10}^{\&prime;i,j}{s}_{11}^{\&prime;i,j}\right)}_2$ 的具体方法为：将转化成有限域GF(2³)下对应的多项式，按式(4)恢复出式(3)：

$f_{GF}\left(k\right)=\left(\left(\underset{i=1}{\overset{t}{\&Sigma;}}\left(f_{GF}\left({\mathrm{num}}_i\right)\underset{j=1,j\&NotEqual;i}{\overset{t}{\&Pi;}}GF\left(k\widehat{-}{\mathrm{num}}_j\right){\left({\mathrm{num}}_i\widehat{-}{\mathrm{num}}_j\right)}_{GF\left(11\right)}^{-1}\right)\right)\mathrm{mod}2\right)\mathrm{mod}GF\left(11\right)---\left(4\right)$

式(4)中，为在本原多项式 $GF\left(11\right)={\stackrel{\&CenterDot;}{x}}^3+\stackrel{\&CenterDot;}{x}+1$ 上的乘法逆元多项式，并且满足 $\left(\left(GF\left({\mathrm{num}}_i\widehat{-}{\mathrm{num}}_j\right){\left({\mathrm{num}}_i\widehat{-}{\mathrm{num}}_j\right)}_{GF\left(11\right)}^{-1}\right)\mathrm{mod}2\right)\mathrm{mod}GF\left(11\right)=1,$ 为有限域上的减法操作；

提取出式(3)的4个系数a，b，c和d，从而按式(7)得到和 ${\mathrm{check}}_{i,j}={\left(s_8^{\&prime;i,j}{s}_9^{\&prime;i,j}{s}_{10}^{\&prime;i,j}{s}_{11}^{\&prime;i,j}\right)}_2:$

$\begin{array}{c}a={\left(s_9^{\&prime;i,j}{s}_{10}^{\&prime;i,j}{s}_{11}^{\&prime;i,j}\right)}_2\\ b={\left(s_5^{\&prime;i,j}{s}_6^{\&prime;i,j}{s}_7^{\&prime;i,j}\right)}_2\\ c={\left(s_2^{\&prime;i,j}{s}_3^{\&prime;i,j}{s}_4^{\&prime;i,j}\right)}_2\\ d={\left(s_8^{\&prime;i,j}{s}_0^{\&prime;i,j}{s}_1^{\&prime;i,j}\right)}_2\end{array}---\left(7\right).$

进一步，第5步通过式(9)解密s′_i,j:

s_i,j＝id((s′_i,j+i+j)mod 256)    (9)

其中函数id(v)表示排列<q₀,q₁,…,q₂₅₅>中v所对应的下标索引。

进一步，第5步通过式(5)由s_i,j计算认证值

${\mathrm{check}}_{i,j}=\left(s_0^{i,j}{s}_1^{i,j}{s}_2^{i,j}{s}_3^{i,j}\right)\&CirclePlus;{\left(s_4^{i,j}{s}_5^{i,j}{s}_6^{i,j}{s}_7^{i,j}\right)}_2---\left(5\right)$

若等于则认为该秘密像素未被攻击且正确恢复，并置b_i,j＝1，表示认证通过；反之令b_i,j＝0，置s_i,j＝128，即认证不通过。

本发明同现有技术优点分析：

传统有意义图像分存方法使用的掩体通常是秘密图像大小的4倍，这在信道中传输，将极大地增加信道传递负载，为减小掩体图像膨胀和对像素的修改，传统有意义图像分存方法一般采用较短的认证码来对分存信息进行认证，例如使用1bit，4bit或3bit的认证位来对分存信息进行认证，但较短的认证码也带来了较大误判概率，从而对最终重构的秘密像素准确性无法鉴别。基于双变量对称多项式的认证方法尽管引入先认证后分存思想提高了认证的准确度和掩体图像的视觉质量，但所提策略存在着像素扩张。在基于三重备份的(K,N)有意义图像分存及恢复方法，通过引入三重备份将秘密图像像素分存信息存储在不同的三个位置起相互认证作用，在恢复阶段使用自然图像相邻像素相关性来提升方案的认证能力和错误修复能力，但所提策略存在像素扩张且未引入前向认证策略，即对分存前的秘密像素进行认证，不能提高认证的准度。在基于差值变换的(K,N)有意义图像分存及恢复方法中，尽管所提策略不存在任何扩张，但所提策略采用的是严格认证策略，不允许持有者保管的嵌入分存信息的掩体图像以及子密钥存在任何作弊行为，同时也没有引入前向认证策略对分存前的秘密像素进行认证。

同现有方法不同，本发明的优势主要体现在：

①本发明采用先认证后分存思想，即前向认证策略，提高了认证的准度，在所提出的策略中，采用4个认证比特位对秘密像素进行认证，从而使重构出的秘密像素有较高的概率保证其真实性，同时1个掩体图像像素被恶意修改将会引起重构多项式发生变化，不同的多项式将有较大的概率提取出不对应的认证信息和秘密像素，而每个参与者都无法预知最终重构出的多项式，从而能有效地检测出秘密像素是否准确重构。从而有效避免了传统分存方法使用较短认证码来对分存信息进行认证存在的最终重构秘密像素真实性无法鉴别的问题。

②本发明所提策略充分利用GF(2³)有限域下的Lagrange多项式的多个系数来对秘密像素和认证信息进行分存，在提高认证准度的同时，也极大减少了掩体图像膨胀率，从而使得分发掩体图像和秘密图像等大，不存在任何扩张，因此极大缓解了信道传输负载。

③本发明将具有高昂运算代价GF(2⁸)有限域运算局限为GF(2³)有限域运算，有效地降低了计算代价，提高了分存效率。

附图说明

图1本发明的图像分存方法流程图

图2本发明的图像重构方法流程图

图3本发明实施例的秘密图像，分辨率为512×512和8位标准灰度图像airfield

图4本发明实施例：掩体图像1，分辨率为512×512和8位标准灰度图像dollar

图5本发明实施例：掩体图像2，分辨率为512×512和8位标准灰度图像kiel

图6本发明实施例：掩体图像3，分辨率为512×512和8位标准灰度图像lighthouse

图7本发明实施例：掩体图像4，分辨率为512×512和8位标准灰度图像tank

图8本发明实施例：掩体图像5，分辨率为512×512和8位标准灰度图像truck

图9本发明实施例：掩体图像6，分辨率为512×512和8位标准灰度图像houses

图10本发明实施例中嵌入信息后的掩体图像1，PSNR＝40.73

图11本发明实施例中嵌入信息后的掩体图像2，PSNR＝40.68

图12本发明实施例的嵌入信息后的掩体图像3，PSNR＝40.71

图13本发明实施例的嵌入信息后的掩体图像4，PSNR＝40.74

图14本发明实施例的嵌入信息后的掩体图像5，PSNR＝40.73

图15本发明实施例的嵌入信息后的掩体图像6，PSNR＝40.56

图16本发明实施例：不被攻击下还原出的秘密图像

图17本发明实施例中还原出的秘密图像16对应的认证图，为全白，即全通过的认证图

图18本发明实施例：被攻击的掩体图像1

图19本发明实施例：被攻击的掩体图像2

图20本发明实施例：被攻击的掩体图像3

图21本发明实施例：被攻击的掩体图像4

图22本发明实施例：由图18-图21恢复出的秘密图像

图23本发明实施例：还原出秘密图像22对应的认证图

具体实施方式

以下结合附图具体实施例对本发明方法进行详细描述：

本发明原理：

传统分存方法通常是建立在Shamir-(K,N)门限方案的基础上，其主要思想是构建如式(1)所示的Lagrange多项式：

f(k)＝(s+r₁k+r₂k²+…+r_K-1k^K-1)mod p    (1)

式(1)中s是秘密，r₁,r₂,…,r_K-1是随机整数，p为素数并且满足s,r₁,r₂,…,r_K-1∈[0,p)，N为[K,p)范围内的整数。将x＝1,2,…,N依次代入式(1)，从而形成N个分发信息(1,f(1)),(2,f(2)),…,(N,f(N))。

若从中任取t(t≥K)个不同的分发信息(num_k,f(num_k)),k＝1,2,…,t，则可按式(2)Lagrange插值公式先对f(x)进行恢复，再对分发的秘密s＝f(0)进行重构。

$f\left(k\right)=\left(\underset{i=1}{\overset{t}{\&Sigma;}}\right(f\left({\mathrm{num}}_i\right)\underset{j=1,j\&NotEqual;i}{\overset{t}{\&Pi;}}(k-{\mathrm{num}}_j){({\mathrm{num}}_i-{\mathrm{num}}_j)}_p^{-1}\left)\right)\mathrm{mod}p---\left(2\right)$

式(2)中，为(num_i-num_j)在模p上的乘法逆元。

式(1)中的模数p只能选取素数，从而保证式(2)中任何一个模p下的非零值(num_i-num_j)都存在乘法逆元然而在计算机中，数据通常使用二进制来存储，因此要对秘密信息进行截断处理或选择大于秘密数值上界的模数来进行分存。由此不可避免地导致嵌入的秘密信息损失一定精度或对模数空间造成较大浪费，从而降低掩体图像的视觉质量。为避免此类问题，Yang C N,ChenT S,Yu K H等将Shamir-(K,N)分存拓展到GF(2⁸)有限域，可在一定程度上缓解上述问题，但所提方法并未充分地利用Lagrange多项式的多个系数来尽可能地减少分存信息，同时GF(2⁸)有限域上的运算是建立在GF(2⁸)域上多项式环的基础上，涉及较大的运算代价(Yang C N,Chen T S,Yu K H,et al.Improvements ofimage sharing with steganography and authentication[J].The Journal of Systems andSoftware,2007,80(7):1070-1076.)。为避免在GF(2⁸)有限域上进行运算所带来的高昂计算代价和提高分存效率，本发明将Shamir-(K,N)门限方案约束在GF(2³)有限域来缓解计算代价，同时进一步利用GF(2³)有限域分存多项式的多个系数分存来提高分存效率。式(3)即为GF(2³)有限域分存多项式：

式(3)中，a,b,c,d为秘密值，r₁,r₂,…,r_k-4随机数并且满足a,b,c,d,r₁,r₂,…,r_K-4∈[0,8)，和为有限域上的加法和乘法操作，GF()为有限域计算函数，满足的运算性质如下：

性质1：GF(y)将整数y转换为GF(2ⁿ)上的2值多项式且多项式的系数只能是0和1。

例如：使用GF()可将0,1,2,3,4,5,6,7,11分别转换为0,1,

性质2： $GF\left(a\widehat{+}b\right)=(GF\left(a\right)+GF\left(b\right))\mathrm{mod}2.$

性质3： $GF\left(a\widehat{\&CenterDot;}b\right)=\left(GF\left(a\right)GF\left(b\right)\right)\mathrm{mod}2.$

性质4： $GF\left(a\widehat{+}b\widehat{\&CenterDot;}c\right)=(GF\left(a\right)+GF\left(b\widehat{\&CenterDot;}c\right))\mathrm{mod}2.$

性质5：

性质6： $GF\left(b\widehat{\&CenterDot;}{a}^{\hat{k}}\right)=\left(GF\left(b\right)GF\left(a^{\hat{k}}\right)\right)\mathrm{mod}2.$

性质7： $GF\left(a\widehat{-}b\right)=GF\left(a\widehat{+}b\right).$

性质7中，为有限域上的减法操作。

将k＝1,2,…,N(N<8)依次代入式(3)，将得到N个分发信息(1,f_GF(1)),(2,f_GF(2)),…,(N,f_GF(N))。同传统的Shamir-(K,N)门限方案一样，从中任取t(t≥K)个不同的分发信息(num_k,f_GF(num_k)),k＝1,2,…,t可通过式(4)先还原多项式f_GF(k)，再通过f_GF(k)提取出秘密信息a，b，c和d。

$f_{GF}\left(k\right)=\left(\left(\underset{i=1}{\overset{t}{\&Sigma;}}\left(f_{GF}\left({\mathrm{num}}_i\right)\underset{j=1,j\&NotEqual;i}{\overset{t}{\&Pi;}}GF\left(k\widehat{-}{\mathrm{num}}_j\right){\left({\mathrm{num}}_i\widehat{-}{\mathrm{num}}_j\right)}_{GF\left(11\right)}^{-1}\right)\right)\mathrm{mod}2\right)\mathrm{mod}GF\left(11\right)---\left(4\right)$

式(4)中，为在本原多项式 $GF\left(11\right)={\stackrel{\&CenterDot;}{x}}^3+\stackrel{\&CenterDot;}{x}+1$ 上的乘法逆元多项式，并且满足 $\left(\left(GF\left({\mathrm{num}}_i\widehat{-}{\mathrm{num}}_j\right){\left({\mathrm{num}}_i\widehat{-}{\mathrm{num}}_j\right)}_{GF\left(11\right)}^{-1}\right)\mathrm{mod}2\right)\mathrm{mod}GF\left(11\right)=1.$

传统有意义图像分存方法通常采用的认证机制都是采用较短的认证码来对分存信息进行认证，即先分存后认证机制，较短的认证信息也会导致掩体图像持有者对掩体图像恶意篡改存在较大的概率逃脱检验，从而最终重构出的秘密图像像素的真实性难以得到检验。

同传统有意义图像分存方法不同，本发明采用的认证机制是先认证再分存，即首先产生秘密像素的认证信息，然后再将秘密像素和认证信息进行分存嵌入到对应的掩体图像中。在这种认证机制下，一个掩体图像像素被恶意修改将会引起重构多项式发生变化，不同的多项式将有较大的概率提取出不对应的认证信息和秘密像素，而每个参与者都无法预知最终重构出的多项式，从而能有效地检测出秘密像素是否准确重构。

记秘密图像S＝(s_i,j)_m×n，其中每个像素s_i,j(0≤s_i,j＜256)可用8位2进制位串进行表示。为提高认证精度，本文用式(5)计算s_i,j的4比特位认证信息check_i,j，记check_i,j为式(5)中为异或操作。

${\mathrm{check}}_{i,j}=\left(s_0^{i,j}{s}_1^{i,j}{s}_2^{i,j}{s}_3^{i,j}\right)\&CirclePlus;{\left(s_4^{i,j}{s}_5^{i,j}{s}_6^{i,j}{s}_7^{i,j}\right)}_2---\left(5\right)$

由于数字图像相邻像素具有很强的相关性，若直接对s_i,j和check_i,j进行分存会导致秘密图像轮廓暴露的风险，因而本文采用密钥随机生成像素加密映射表对s_i,j进行加密，再进行分存。其对应的加密方法为：使用密钥key生成序列{0,1,…,255}上的排列<q₀,q₁,…,q₂₅₅>，根据对s_i,j的值和位置信息使用式(6)进行加密得到s′_i,j，s′_i,j同样可用8位2进制位表示。

$s_{i,j}^{\&prime;}=(q_{s_{i,j}}-((i+j)\mathrm{mod}256)+256)\mathrm{mod}256---\left(6\right)$

式(6)是根据像素值和像素位置信息对秘密像素进行加密，相邻位置的相同像素值加密后对应为不同的像素值，从而破坏邻近像素的相关性，相对于对秘密像素直接分存，具有更高的安全性。

将s′_i,j和check_i,j依次分割成4个3比特位串作为式(3)的系数a,b,c和d，如式(7)所示：

$\begin{array}{c}a={\left(s_9^{\&prime;i,j}{s}_{10}^{\&prime;i,j}{s}_{11}^{\&prime;i,j}\right)}_2\\ b={\left(s_5^{\&prime;i,j}{s}_6^{\&prime;i,j}{s}_7^{\&prime;i,j}\right)}_2\\ c={\left(s_2^{\&prime;i,j}{s}_3^{\&prime;i,j}{s}_4^{\&prime;i,j}\right)}_2\\ d={\left(s_8^{\&prime;i,j}{s}_0^{\&prime;i,j}{s}_1^{\&prime;i,j}\right)}_2\end{array}---\left(7\right)$

s′_i,j和check_i,j经式(3)分存后，可得到N份GF(2³)下的分存多项式，记其对应的整数依次为 $f_{GF}^{i,j}\left(1\right),f_{GF}^{i,j}\left(2\right),...,f_{GF}^{i,j}\left(N\right),N<8,$ 然后将分存信息嵌入到对应掩体图像对应的像素中，这里可进一步搅乱掩体图像像素和秘密像素的对应关系以提高安全性。

将嵌入到C_k中的方法有2种，第1种是将分存信息转化为3个比特位依次替换掩体像素的低3位，第2种是调整掩体图像对应像素的模值来嵌入分存信息，即使调整后的值满足从而嵌入分存信息在本发明中选择第2种方法进行嵌入，为获得更好的视觉质量，选择满足且最小的从而使嵌入信息后的掩体图像获得较好的视觉质量。

传统分存方法采用HMAC来改进分存信息认证码的生成策略，但对HMAC的密钥如何管理并未涉及，这里的密钥十分重要，对其不当管理，将会带来较大的安全风险。

在本发明中，密钥key用于生成加密映射表，同样至关重要，这里采用式(1)将其进行(K,N)分存形成N个分发子密钥f(k),k＝1,2,…,N并分发给对应掩体持有者进行保管。只有不少于t个参与者提供合法子密钥才能恢复出key，因而具备更高的安全性，并将子密钥f(k),k＝1,2,…,N的MD5值公布到第3方公信方以防止子密钥持有者篡改子密钥作弊。

在恢复过程，假设有t(t≥K)个不同的参与者提供子密钥f(num_k)和掩体图像参与秘密图像重构。首先通过计算f(num_k)对应的MD5值与第3公信方公布的MD5是否相等，若相等则表示f(num_k)合法，反之不合法。若合法的子密钥数小于门限K将无法恢复出密钥key，从而不能对秘密像素进行解密。

为便于描述，这里假设t个参与者提供的子密钥均合法。记通过认证的参与者子密钥信息为(num_k,f(num_k)),k＝1,2,…,t，则可通过式(2)还原得到密钥key，并用密钥key再次生成序列<0,1,2,…,255>的排列<q₀,q₁,q₂,…,q₂₅₅>用于解密像素。

对于位置(i,j),0≤i＜m,0≤j＜n，可通过式(8)来提取掩体图像该位置嵌入的分存信息

$f_{GF}^{i,j}\left({\mathrm{num}}_k\right)=c_{i,j}^{\&prime;{\mathrm{num}}_k}\mathrm{mod}8---\left(8\right)$

将转化成有限域GF(2³)下对应的多项式，按式(4)恢复式(3)，提取出式(3)的4个系数即式(7)中的a，b，c和d，得到加密后的秘密像素和认证码使用式(9)将s′_i,j解密得到秘密像素其中函数id(v)表示排列<q₀,q₁,…,q₂₅₅>中v所对应的下标索引，即s_i,j。

s_i,j＝id((s′_i,j+i+j)mod 256)    (9)

由s_i,j通过式(5)再次计算s_i,j的认证信息若等于则认为该秘密像素未被攻击且正确恢复，并置b_i,j＝1，表示认证通过；反之令b_i,j＝0，置s_i,j＝128，即认证不通过。当所有像素处理完后即可重构出秘密图像S＝(s_i,j)_m×n和认证图B＝(b_i,j)_m×n。

以下给出完整的基于GF(2³)的(K,N)有意义图像分存方法，记为方法1：

第1步：获得秘密图像S＝(s_i,j)_m×n和N张掩体图像选取K和密钥key的值；

第2步：使用式(1)将密钥key进行分存得到N个子密钥f(k),k＝1,2,…,N并将对应子密钥的MD5值公布到第3方公信方；

第3步：使用密钥key生成排列<q₀,q₁,…,q₂₅₅>；

第4步：对于S＝(s_i,j)_m×n的像素用式(5)得到其认证信息 ${\mathrm{check}}_{i,j}={\left(s_8^{\&prime;i,j}{s}_9^{\&prime;i,j}{s}_{10}^{\&prime;i,j}{s}_{11}^{\&prime;i,j}\right)}_2,$ 用式(6)得到加密后的 $s_{i,j}^{\&prime;}={(s_0^{\&prime;i,j}{s}_1^{\&prime;i,j}...s_7^{\&prime;i,j})}_2,$ 通过式(7)得到a，b，c和d并用式(3)进行分存得到分存信息

第5步：分存信息嵌入到掩体图像对应位置这里可进一步搅乱掩体图像像素和秘密像素的对应关系以提高安全性；

第6步：反复执行第4步～第5步，直至处理完秘密图像所有像素，得到嵌入分存信息后的掩体图像将它们和子密钥f(k)分发给对应参与者，并销毁所有中间数据。

与之对应的基于GF(2³)的(K,N)有意义图像恢复方法，记为方法2：

第1步：假设有t(t≥K)个不同的参与者提供的子密钥f(num_k)和掩体图像参与秘密图像重构，计算f(num_k)的MD5值与第3方公信方的MD5值进行对比，若相等则认为其合法，否则不合法。若合法的子密钥数不小于门限则继续恢复过程，否则恢复失败(这里假设t个参与者提供的子密钥均合法)；

第2步：将合法的参与者子密钥(num_k,f(num_k)),k＝1,2,…,t通过式(2)恢复得到密钥key；

第3步：使用密钥key重新生成排列<q₀,q₁,…,q₂₅₅>；

第4步：对于位置(i,j)，通过式(8)提取出嵌入信息将 $({\mathrm{num}}_k,f_{GF}^{i,j}({\mathrm{num}}_k\left)\right),k=1,2,...,t$ 用式(4)还原出式(3)，从而得到 $s_{i,j}^{\&prime;}={(s_0^{\&prime;i,j}{s}_1^{\&prime;i,j}...s_7^{\&prime;i,j})}_2$ 和 ${\mathrm{check}}_{i,j}={\left(s_8^{\&prime;i,j}{s}_9^{\&prime;i,j}{s}_{10}^{\&prime;i,j}{s}_{11}^{\&prime;i,j}\right)}_2;$

第5步：用式(9)将s′_i,j解密得到并通过式(5)再次计算s_i,j的认证值若等于则置 $b_{i,j}=1,s_{i,j}={(s_0^{i,j}{s}_1^{i,j}...s_7^{i,j})}_2,$ 否则令b_i,j＝0,s_i,j＝128；

第6步：反复执行第4步～第5步，直至处理完所有像素，可得秘密图像S＝(s_i,j)_m×n和认证图B＝(b_i,j)_m×n。

案例实施环境：实验测试环境为Windows 7操作系统，CPU为AMDFX(tm)-8320 8核CPU，单处理核心主频为3.50GHz，内存为16.00GB，编码语言为JAVA jdk1.8.0_20。以下结合附图对本发明实施方式进行详细说明，但不局限于本实施案例，其中图1是分存流程图，图2是重构流程图。实施例以(4,6)门限方案为例，即K＝4,N＝6。

以下以具体实例对分存过程进行说明：

第1步：分别读取512×512的8位标准灰度图像airfield图3作为秘密图像S＝(s_i,j)_512×512和6幅512×512的8位标准灰度图像dollar、kiel、lighthouse、tank、truck和houses作为掩体图像如图4～图9所示，选取K＝4和密钥key＝131819；

第2步：对密钥key＝131819使用f(k)＝(131819+1713648k+13k²+2333333k³)mod1000000007进行(4,6)分存得到6个子密钥f(k),k＝1,2,…,6并将对应子密钥的MD5值公布到第3方公信方；

参与者1得到的分发信息为子密钥f(1)＝4178813，子密钥f(1)认证MD5值为0x3da8d5e47b98e303ec770cffc480a8f7

参与者2得到的分发信息为子密钥f(2)＝22225831，子密钥f(2)认证MD5为0x37a94a8f4f57caeb3e36f4c6d5a54aa4

参与者3得到的分发信息为子密钥f(3)＝68272871，子密钥f(3)认证MD5为0xf9791a2d7baf97c7f50bb28d4ae60184

参与者4得到的分发信息为子密钥f(4)＝156319931，子密钥f(4)认证MD5为0x520d2570df90b197dc7ed2cbd3335caa

参与者5得到的分发信息为子密钥f(5)＝300367009，子密钥f(5)认证MD5为0x00c107c83d336d70499c6eee1bce230a

参与者6得到的分发信息为子密钥f(6)＝514414103，子密钥f(6)认证MD5为0x1eba5935e909026ee308fa661c486b91

第3步：使用key＝131819生成集合{0,1,…,255}上的排列<q₀,q₁,…,q₂₅₅>＝<109,32,…,57>；

第4步：对于S＝(s_i,j)_512×512的像素计算认证信息 ${\mathrm{check}}_{i,j}={\left(s_8^{\&prime;i,j}{s}_9^{\&prime;i,j}{s}_{10}^{\&prime;i,j}{s}_{11}^{\&prime;i,j}\right)}_2,$ 计算加密后的像素 $s_{i,j}^{\&prime;}={(s_0^{\&prime;i,j}{s}_1^{\&prime;i,j}...s_7^{\&prime;i,j})}_2,$ 由check_i,j和s′_i,j计算GF(2³)分存的分存系数a，b，c和d，对其进行GF(2³)分存得到分存信息 $f_{GF}^{i,j}\left(1\right),f_{GF}^{i,j}\left(2\right),...,f_{GF}^{i,j}\left(6\right);$

以s_0,0＝212为例，认证信息

${\mathrm{check}}_{0,0}={\left(s_0^{0,0}{s}_1^{0,0}{s}_2^{0,0}{s}_3^{0,0}\right)}_2\&CirclePlus;{\left(s_4^{0,0}{s}_5^{0,0}{s}_6^{0,0}{s}_7^{0,0}\right)}_2={\left(1101\right)}_2\&CirclePlus;{\left(0100\right)}_2={\left(1001\right)}_2=9$

加密后的s′_0,0＝(q₂₁₂-((0+0)mod256)+256)mod256＝206，其中q₂₁₂＝206

因而 $\begin{array}{c}a={\left(s_9^{\&prime;0,0}{s}_{10}^{\&prime;0,0}{s}_{11}^{\&prime;0,0}\right)}_2={\left(001\right)}_2=1\\ b={\left(s_5^{\&prime;0,0}{s}_6^{\&prime;0,0}{s}_7^{\&prime;0,0}\right)}_2={\left(110\right)}_2=6\\ c={\left(s_2^{\&prime;0,0}{s}_3^{\&prime;0,0}{s}_4^{\&prime;0,0}\right)}_2={\left(001\right)}_2=1\\ d={\left(s_8^{\&prime;0,0}{s}_0^{\&prime;0,0}{s}_1^{\&prime;0,0}\right)}_2={\left(111\right)}_2=7\end{array}$ 使用进行分存带入1,2,3,4,5,6可得 $f_{\mathrm{GF}}^{\mathrm{0,0}}\left(1\right)=1,f_{\mathrm{GF}}^{\mathrm{0,0}}\left(2\right)=0,f_{\mathrm{GF}}^{\mathrm{0,0}}\left(3\right)=4,f_{\mathrm{GF}}^{\mathrm{0,0}}\left(4\right)=4,f_{\mathrm{GF}}^{\mathrm{0,0}}\left(5\right)=1,f_{\mathrm{GF}}^{\mathrm{0,0}}\left(6\right)=2,$

第5步：分存信息嵌入到掩体图像对应位置这里可进一步搅乱掩体图像像素和秘密像素的对应关系以提高安全性；

如嵌入到掩体图像对应位置通过调整掩体图像对应像素模8值来嵌入分存信息，即使调整后的值满足从而嵌入分存信息这里最小的从而使嵌入信息后的掩体图像获得较好的视觉质量。

第6步：反复执行步骤4～步骤5，直至处理完秘密图像所有像素，得到嵌入分存信息后掩体图像即为图10～图15，将它们和对应的子密钥f(k)分发给对应参与者k，并销毁所有中间数据。

以下为重构过程：

第1步：有4个不同的参与者1,2,3,4提供的子密钥f(1)＝4178813,f(2)＝22225831,f(3)＝68272871,f(4)＝156319931和掩体图像C′₁,C′₂,C′₃,C′₄(图4～图7)参与秘密图像重构，计算f(k)的MD5值与第3方公信方的MD5值进行对比，若相等则认为其合法，否则不合法。若合法的子密钥数不小于4则继续恢复过程，否则恢复失败；

如子密钥f(1)认证MD5值为0x3da8d5e47b98e303ec770cffc480a8f7与第3方公信方一致，子密钥f(2)认证MD5为0x37a94a8f4f57caeb3e36f4c6d5a54aa4与第3方公信方一致，子密钥f(3)认证MD5为0xf9791a2d7baf97c7f50bb28d4ae60184与第3方公信方一致，子密钥f(4)认证MD5为0x520d2570df90b197dc7ed2cbd3335caa与第3方公信方一致，因而合法的子密钥数为4继续恢复过程。

第2步：将合法的参与者子密钥f(1)＝4178813,f(2)＝22225831,f(3)＝68272871,f(4)＝156319931通过式(2)恢复得到f(k)＝(131819+1713648k+13k²+2333333k³)mod1000000007密钥key＝131819；

第3步：使用密钥key＝131819重新生成排列<q₀,q₁,…,q₂₅₅>＝<109,32,…,57>；

第4步：对于位置(i,j)，通过式(8)提取出嵌入信息将 $(k,f_{GF}^{i,j}(k\left)\right),k=1,2,3,4$ 用式(4)还原出式(3)，从而得到 $s_{i,j}^{\&prime;}={(s_0^{\&prime;i,j}{s}_1^{\&prime;i,j}...s_7^{\&prime;i,j})}_2$ 和 ${\mathrm{check}}_{i,j}={\left(s_8^{\&prime;i,j}{s}_9^{\&prime;i,j}{s}_{10}^{\&prime;i,j}{s}_{11}^{\&prime;i,j}\right)}_2;$

如位置(0,0)， $f_{GF}^{0,0}\left(1\right)=c_{0,0}^{\&prime;1}\mathrm{mod}8=201\mathrm{mod}8=1$ 同理得 $f_{GF}^{0,0}\left(2\right)=0,f_{GF}^{0,0}\left(3\right)=4,f_{GF}^{0,0}\left(4\right)=4$ 然后通过用式(4)还原出即 $\begin{array}{c}a={\left(s_9^{\&prime;0,0}{s}_{10}^{\&prime;0,0}{s}_{11}^{\&prime;0,0}\right)}_2={\left(001\right)}_2=1\\ b={\left(s_5^{\&prime;0,0}{s}_6^{\&prime;0,0}{s}_7^{\&prime;0,0}\right)}_2={\left(110\right)}_2=6\\ c={\left(s_2^{\&prime;0,0}{s}_3^{\&prime;0,0}{s}_4^{\&prime;0,0}\right)}_2={\left(001\right)}_2=1\\ d={\left(s_8^{\&prime;0,0}{s}_0^{\&prime;0,0}{s}_1^{\&prime;0,0}\right)}_2={\left(111\right)}_2=7\end{array}$ 从而s′_0,0＝(11001110)₂＝206和check_0,0＝(1001)₂＝9

第5步：用式(9)将s′_i,j解密得到并通过式(5)再次计算s_i,j的认证值若等于则置 $b_{i,j}=1,s_{i,j}={(s_0^{i,j}{s}_1^{i,j}...s_7^{i,j})}_2,$ 否则令b_i,j＝0,s_i,j＝128；

如位置(0,0)，s′_0,0＝206通过s_0,0＝id((s′_0,0+0+0)mod256)＝id(206)＝212，由于q₂₁₂＝206，将s_0,0＝212再次计算其认证信息 ${\left(s_8^{\&prime;\&prime;0,0}{s}_9^{\&prime;\&prime;0,0}{s}_{10}^{\&prime;\&prime;0,0}{s}_{11}^{\&prime;\&prime;0,0}\right)}_2={\left(s_0^{0,0}{s}_1^{0,0}{s}_2^{0,0}{s}_3^{0,0}\right)}_2\&CirclePlus;{\left(s_4^{0,0}{s}_5^{0,0}{s}_6^{0,0}{s}_7^{0,0}\right)}_2={\left(1101\right)}_2\&CirclePlus;{\left(0100\right)}_2={\left(1001\right)}_2=9$ 与相等，置b_0,0＝1,s_0,0＝212。

第6步：反复执行第4步～第5步，直至处理完所有像素，可得图16秘密图像S＝(s_i,j)_512×512和图17认证图B＝(b_i,j)_512×512。

以上是在分发掩体图像均没遭受攻击情况下的恢复结果，若参与图像图10～图13被攻击为图18～图21，则通过上述步骤可恢复得到秘密图像：图22和认证图图23。

本发明不同于我们之前提交的国家发明专利申请：基于差值变换的(K,N)有意义图像分存及恢复方法，所提方法引入调整差值变换将秘密图像转换为与之等价的差值图和位置图，对差值图和位置图进行(K,N)分存并根据由位置图标记的不同差值类型来选择不同的分存和嵌入方法，以避免直接对秘密图像进行(K,N)有意义分存所带来的掩体图像视觉质量下降和像素扩张问题，但所提策略采用的是严格认证策略，不允许持有者保管的嵌入分存信息的掩体图像以及子密钥存在任何作弊行为，同时也没有引入前向认证策略，即对分存前的秘密像素进行认证。(邵利平，欧阳显斌.基于差值变换的(K,N)有意义图像分存及恢复方法[P].中国：CN104200424A,2014-8-29)

本发明也不同于我们之前提交的国家发明专利申请：基于三重备份的(K,N)有意义图像分存及恢复方法，通过引入三重备份将秘密图像像素分存信息存储在不同的三个位置起相互认证作用，在恢复阶段使用自然图像相邻像素相关性来提升方案的认证能力和错误修复能力，并使用Lagrange插值多项式的多个系数来存放秘密信息，提高掩体图像的视觉质量，使用邻近像素的相关性来修正在恢复过程中错误认证的像素和使用自然图像的邻近像素相关性来逼近那些认证不通过的像素点，但所提策略存在像素扩张且未引入前向认证策略不能提高认证的准度。(邵利平，欧阳显斌.基于三重备份的(K,N)有意义图像分存及恢复方法[P].中国：CN104200424A,2014-8-29)。

Claims (10)

1.一种基于GF(2³)的(K,N)有意义无扩张图像分存方法，其特征在于包括以下步骤：

第1步：分别读取秘密图像和N张掩体图像矩阵S＝(s_i,j)_m×n和 $C_k={\left(c_{i,j}^k\right)}_{m\&times;n},k=1,2,...,N,$ 选取门限K和密钥key；

第2步：对密钥key进行分存得到N个子密钥f(k),k＝1,2,…,N并将对应子密钥的MD5值公布到第3方公信方；

第3步：使用key生成集合{0,1,…,255}上的排列<q₀,q₁,…,q₂₅₅>；

第4步：对秘密图像S＝(s_i,j)_m×n的像素计算认证信息 ${\mathrm{check}}_{i,j}={\left(s_8^{\&prime;i,j}{s}_9^{\&prime;i,j}{s}_{10}^{\&prime;i,j}{s}_{11}^{\&prime;i,j}\right)}_2,$ 计算加密后的像素 $s_{i,j}^{\&prime;}={(s_0^{\&prime;i,j}{s}_1^{\&prime;i,j}...s_7^{\&prime;i,j})}_2,$ 由check_i,j和s′_i,j计算GF(2³)分存的分存系数a，b，c和d，对其进行GF(2³)分存得到分存信息 $f_{GF}^{i,j}\left(1\right),f_{GF}^{i,j}\left(2\right),...,f_{GF}^{i,j}\left(N\right),N<8;$

第5步：将分存信息嵌入到掩体图像对应位置

第6步：反复执行步骤4～步骤5，直至处理完秘密图像所有像素，得到嵌入分存信息后掩体图像k＝1,2,…,N，将它们和子密钥f(k)分发给对应参与者，并销毁所有中间数据。

2.如权利要求1所述的一种基于GF(2³)的(K,N)有意义无扩张图像分存方法，其特征在于：第2步中将密钥key通过式(1)Lagrange多项式进行分存得到N个子密钥f(k),k＝1,2,…,N：

f(k)＝(s+r₁k+r₂k²+…+r_K-1k^K-1)mod p         (1)

式(1)中s是秘密，r₁,r₂,…,r_K-1是随机整数，p为素数并且满足s,r₁,r₂,…,r_K-1∈[0,p)，N为[K,p)范围内的整数，将x＝1,2,…,N依次代入式(1)，从而形成N个分发信息(1,f(1)),(2,f(2)),…,(N,f(N))。

3.如权利要求1所述的一种基于GF(2³)的(K,N)有意义无扩张图像分存方法，其特征在于：第4步由像素 $s_{i,j}={(s_0^{i,j}{s}_1^{i,j}...s_7^{i,j})}_2$ 计算认证信息 ${\mathrm{check}}_{i,j}={\left(s_8^{\&prime;i,j}{s}_9^{\&prime;i,j}{s}_{10}^{\&prime;i,j}{s}_{11}^{\&prime;i,j}\right)}_2$ 的具体方法为式(5)：

${\mathrm{check}}_{i,j}=\left(s_0^{i,j}{s}_1^{i,j}{s}_2^{i,j}{s}_3^{i,j}\right)\&CirclePlus;{\left(s_4^{i,j}{s}_5^{i,j}{s}_6^{i,j}{s}_7^{i,j}\right)}_2---\left(5\right)$

式(5)中为异或操作；

加密后像素具体的计算方法如式(6)所示：

$s_{i,j}^{\&prime;}=(q_{s_{i,j}}-((i+j)\mathrm{mod}256)+256)\mathrm{mod}256---\left(6\right)$

式(6)中对应为<q₀,q₁,…,q₂₅₅>上索引值为s_i,j的元素。

4.如权利要求1所述的一种基于GF(2³)的(K,N)有意义无扩张图像分存方法，其特征在于：第4步由check_i,j和s′_i,j计算GF(2³)分存的分存系数a，b，c和d的具体方法如式(7)所示：

$\begin{array}{c}a={\left(s_9^{\&prime;i,j}{s}_{10}^{\&prime;i,j}{s}_{11}^{\&prime;i,j}\right)}_2\\ b={\left(s_5^{\&prime;i,j}{s}_6^{\&prime;i,j}{s}_7^{\&prime;i,j}\right)}_2\\ c={\left(s_2^{\&prime;i,j}{s}_3^{\&prime;i,j}{s}_4^{\&prime;i,j}\right)}_2\\ d={\left(s_8^{\&prime;i,j}{s}_0^{\&prime;i,j}{s}_1^{\&prime;i,j}\right)}_2\end{array}---\left(7\right)$

对s′_i,j和check_i,j进行GF(2³)分存的具体方法如式(3)所示：

式(3)中，a,b,c,d为秘密值，r₁,r₂,…,r_k-4随机数并且满足a,b,c,d,r₁,r₂,…,r_K-4∈{0,1,…,7}，GF()为有限域计算函数，其功能为将整数y转换为GF(2ⁿ)上的2值多项式且多项式的系数只能是0和1，和为有限域上的加法和乘法操作。

5.如权利要求1所述的一种基于GF(2³)的(K,N)有意义无扩张图像分存方法，其特征在于：第6步通过调整掩体图像对应像素模值，将分存信息嵌入到掩体图像对应位置即使调整后的值满足 $c_{i,j}^{\&prime;k}\mathrm{mod}8=f_{\mathrm{GF}}^{i,j}\left(k\right)$ 从而嵌入分存信息选择满足 $c_{i,j}^{\&prime;k}\mathrm{mod}8=f_{\mathrm{GF}}^{i,j}\left(k\right)$ 且最小的

6.与权利要求1分存方法相对应的一种基于GF(2³)的(K,N)有意义无扩张图像重构方法，其特征在于包括以下步骤：

第1步：假设有t,t≥K个参与者提供的子密钥f(num_k)和掩体图像参与秘密图像重构，计算f(num_k)的MD5值与第3方公信方MD5值进行对比，若相等则认为其合法，否则不合法，若合法子密钥数不小于门限则继续恢复过程，否则恢复失败，这里假设t个参与者提供的子密钥均合法；

第2步：利用合法参与者子密钥(num_k,f(num_k)),k＝1,2,…,t恢复密钥key；

第3步：使用key生成集合{0,1,…,255}上的排列<q₀,q₁,…,q₂₅₅>；

第4步：对于掩体图像位置(i,j)，提取出嵌入信息由 $({\mathrm{num}}_k,f_{GF}^{i,j}({\mathrm{num}}_k\left)\right),k=1,2,...,t$ 得到 $s_{i,j}^{\&prime;}={(s_0^{\&prime;i,j}{s}_1^{\&prime;i,j}...s_7^{\&prime;i,j})}_2$ 和 ${\mathrm{check}}_{i,j}={\left(s_8^{\&prime;i,j}{s}_9^{\&prime;i,j}{s}_{10}^{\&prime;i,j}{s}_{11}^{\&prime;i,j}\right)}_2;$

第5步：将s′_i,j解密，得到并计算s_i,j的认证值进行认证，标记认证位b_i,j和对认证失败的像素进行修正，即若等于则置 $b_{i,j}=1,s_{i,j}={(s_0^{i,j}{s}_1^{i,j}...s_7^{i,j})}_2,$ 否则令b_i,j＝0,s_i,j＝128；

第6步：反复执行第4步～第5步，直至处理完所有像素，可得秘密图像S＝(s_i,j)_m×n和认证图B＝(b_i,j)_m×n。

7.如权利要求6所述的一种基于GF(2³)的(K,N)有意义无扩张图像重构方法，其特征在于：第2步利用合法参与者子密钥(num_k,f(num_k)),k＝1,2,…,t恢复密钥key的具体方法为采用式(2)先对f(x)进行恢复，再对分发秘密s＝f(0)重构：

$f\left(k\right)=\left(\right(\underset{i=1}{\overset{t}{\&Sigma;}}\left(f\right({\mathrm{num}}_i)\underset{j=1,j\&NotEqual;i}{\overset{t}{\&Pi;}}(k-{\mathrm{num}}_j){({\mathrm{num}}_i-{\mathrm{num}}_j)}_p^{-1}\left)\right)\mathrm{mod}p---\left(2\right)$

式(2)中，为(num_i-num_j)在模p上的乘法逆元。

8.如权利要求6所述的一种基于GF(2³)的(K,N)有意义无扩张图像重构方法，其特征在于：第4步对于位置(i,j)，提取出嵌入信息的具体方法为：对于位置(i,j),0≤i＜m,0≤j＜n，可通过式(8)来提取掩体图像该位置嵌入的分存信息

$f_{GF}^{i,j}\left({\mathrm{num}}_k\right)=c_{i,j}^{\&prime;{\mathrm{num}}_k}\mathrm{mod}8---\left(8\right)$

由 $({\mathrm{num}}_k,f_{GF}^{i,j}({\mathrm{num}}_k\left)\right),k=1,2,...,t$ 得到 $s_{i,j}^{\&prime;}={(s_0^{\&prime;i,j}{s}_{0=1}^{\&prime;i,j}...s_7^{\&prime;i,j})}_2$ 和 ${\mathrm{check}}_{i,j}={\left(s_8^{\&prime;i,j}{s}_9^{\&prime;i,j}{s}_{10}^{\&prime;i,j}{s}_{11}^{\&prime;i,j}\right)}_2$ 的具体方法为：将转化成有限域GF(2³)下对应的多项式，按式(4)恢复出式(3)：

$f_{GF}\left(k\right)=\left(\right(\underset{i=1}{\overset{t}{\&Sigma;}}\left(f_{GF}\right({\mathrm{num}}_i)\underset{j=1,j\&NotEqual;i}{\overset{t}{\&Pi;}}GF\left(k\widehat{\&OverBar;}{\mathrm{num}}_j\right){\left({\mathrm{num}}_i\widehat{\&OverBar;}{\mathrm{num}}_j\right)}_{GF\left(11\right)}^{-1}\left)\right)\mathrm{mod}2)\mathrm{mod}GF\left(11\right)---\left(4\right)$

式(4)中，为在本原多项式上的乘法逆元多项式，并且满足 $\left(\right(GF\left({\mathrm{num}}_i\widehat{-}{\mathrm{num}}_j\right){\left({\mathrm{num}}_i\widehat{-}{\mathrm{num}}_j\right)}_{GF\left(11\right)}^{-1}\left)\mathrm{mod}2\right)\mathrm{mod}GF\left(11\right)=1,$ 为有限域上的减法操作；

提取出式(3)的4个系数a，b，c和d，从而按式(7)得到和 ${\mathrm{check}}_{i,j}={\left(s_8^{\&prime;i,j}{s}_9^{\&prime;i,j}{s}_{10}^{\&prime;i,j}{s}_{11}^{\&prime;i,j}\right)}_2:$

$\begin{array}{c}a={\left(s_9^{\&prime;i,j}{s}_{10}^{\&prime;i,j}{s}_{11}^{\&prime;i,j}\right)}_2\\ b={\left(s_5^{\&prime;i,j}{s}_6^{\&prime;i,j}{s}_7^{\&prime;i,j}\right)}_2\\ c={\left(s_2^{\&prime;i,j}{s}_3^{\&prime;i,j}{s}_4^{\&prime;i,j}\right)}_2\\ d={\left(s_8^{\&prime;i,j}{s}_0^{\&prime;i,j}{s}_1^{\&prime;i,j}\right)}_2\end{array}---\left(7\right).$

9.如权利要求6所述的一种基于GF(2³)的(K,N)有意义无扩张图像重构方法，其特征在于：第5步通过式(9)解密s′_i,j:

s_i,j＝id((s′_i,j+i+j)mod256)        (9)

其中函数id(v)表示排列<q₀,q₁,…,q₂₅₅>中v所对应的下标索引。

10.如权利要求6所述的一种基于GF(2³)的(K,N)有意义无扩张图像重构方法，其特征在于：第5步通过式(5)由s_i,j计算认证值

${\mathrm{check}}_{i,j}=\left(s_0^{i,j}{s}_1^{i,j}{s}_2^{i,j}{s}_3^{i,j}\right)\&CirclePlus;{\left(s_4^{i,j}{s}_5^{i,j}{s}_6^{i,j}{s}_7^{i,j}\right)}_2---\left(5\right)$

若等于则认为该秘密像素未被攻击且正确恢复，并置b_i,j＝1，表示认证通过；反之令b_i,j＝0，置s_i,j＝128，即认证不通过。