CN105590297B - 基于gf(27)有限域和双重认证的有意义(k,n)图像分存重构方法 - Google Patents

Abstract

本发明提供一种基于GF(2⁷)有限域和双重认证的有意义(K,N)图像分存和重构方法，在分存阶段，对秘密图像LL子带置乱，对系数比特位按重要程度进行不同数量的备份，最终形成与密图等大的备份图像；然后将秘密像素和备份像素以及对应的2重认证信息在GF(2⁷)有限域进行(K,N)分存，使用优化LSB法将分存信息和1重认证比特嵌入到掩体分块的低位比特中以最大可能性地保证分发掩体图像的视觉质量；在重构阶段，通过第1重认证筛选参与恢复的分存信息，通过第2重认证对恢复出的秘密像素和备份像素的可靠性进行检验，形成认证图、备份图和初步秘密图像，结合密图、修复参照图像和认证图对密图认证不通过的像素进行多项式拟合修复和替代修复从而具备较强的攻击后修复质量。

Description

基于GF(27)有限域和双重认证的有意义(K,N)图像分存重构 方法

技术领域

本发明属于图像信息安全和数字图像信号处理交叉领域，涉及一种图像分存和重构方法，具体涉及一种基于GF(2⁷)有限域和双重认证的有意义(K,N)图像分存和重构方法。

背景技术

数字图像信息分存技术是图像信息安全的研究热点。现有图像信息分存技术主要源自密码学中的秘密共享，最早由Shamir,1979(Shamir A.How to share a secret[J].Communications of the Association for Computing Machinery,1979, 22(11):612–613.)和Blakley,1979(Blakley G R.Safeguarding cryptographic keys[C]//Proceedings of 1979 National Computer Conference.New York,USA: AFIPS,1979,48:313–317.)分别结合Lagrange插值方法和矢量空间点性质提出。

结合秘密共享方案，基于(K,N)门限的图像信息分存方案被广泛提出，即将秘密图像借助秘密共享方法拆分为N份影子图像，若至少收集到K份影子图像，则可完整地重构出秘密图像，否则得不到秘密图像的任何信息。传统的基于(K,N) 门限的图像信息分存方案只是将秘密图像转换为无意义影子图像，在公有信道传输中容易诱发攻击而使分发影子图像遭受破坏，从而降低秘密图像最终正确重构的可能性。针对无意义图像分存方案在使用过程中存在的安全隐患，一些文献也探讨了有意义图像分存。

针对有意义分存，Lin,2004(Lin CC,Tsai WH.Secret image sharing withsteganography and authentication.The Journal of Systems and Software,2004, 73(3):405–414.)将秘密图像每个像素的8位分存信息和1位奇偶校验位嵌入到掩体图像对应的2×2分块的左下，右下和右上像素中，并调整2×2分块左上像素作为Lagrange插值公式的输入，但由于采用的拉格朗日插值多项式模数是251，不可避免地带来秘密图像像素失真且认证位只有1位奇偶校验位，起不到丝毫的认证作用，对2×2分块，需至少修改9个比特位，带来了掩体图像失真。Yang, 2007(Yang CN,Chen TS,Yu KH,Wang CC.Improvementsof image sharing with steganography and authentication.The Journal of Systemsand Software,2007, 80(7):1070-1076.)用GF(2⁸)替代GF(251)、采用1位HMAC消息认证位替代奇偶校验位并调整2×2分存信息的嵌入结构来提升认证能力和提高掩体视觉质量，然而对于每个分块，所提方法依然只有1个嵌入认证位，每个分块篡改通过认证的概率高达1/2，存在较大安全隐患。为提高认证能力，Chang,2008(Chang CC,Hsieh YP,Lin CH.Sharingsecrets in stego images with authentication.Pattern Recognition, 2008,41(10):3130–3137.)通过中国剩余定理生成4个认证位，获得了较好的认证能力和掩体图像视觉质量，并充分利用多项式多个系数进行分存，但它依然采用传统的LSB法，直接将8位分存信息和4位认证位嵌入到掩体图像对应的2×2分块所有像素的低3位中，掩体图像视觉质量依然偏低。为提高掩体图像的视觉质量，Wu,2011(Wu CC,Kao SJ,Hwang MS.A high qualityimage sharing with steganography and adaptive authentication scheme.TheJournal of Systems and Software,2011,84(12):2196-2207.)对传统的LSB嵌入方法进行改进，通过调整像素的第4个低位来减小嵌入信息后的像素与原始像素的差值以获得更高的视觉嵌入质量。为提升嵌入后掩体的视觉质量，Eslami,2010(Eslami Z,Razzaghi SH,Zarepour AJ.Secret image sharing based on cellular automata andsteganography. Pattern Recognition,2010,43(1):397-404.)等仅对掩体图像所有2×2分块的1/2分块的低2位按LSB法嵌入分存信息，并引入秘密像素的认证以提高认证的准度，将2 个秘密像素和对应的8位认证信息作为初始3时刻的8个元胞，按可逆元胞自动机进行分存，然后将8位分存信息嵌入到对应掩体图像2×2分块的低2位比特位中，使得嵌入分存信息后的掩体图像具有很高的视觉质量，但对于每个分存单元需至少K个编号连续的参与者参与才能恢复秘密图像，并不是真正有意义的(K,N) 分存方案。Eslami,2011(Eslami Z,Zarepour AJ.Secret image sharing with authentication-chaining and dynamicembedding.The Journal of Systems and Software,2011,84:803–809.)采用认证锁链，即用2位认证位来认证前一个像素的分存信息和当前像素的分存信息，从而使得每个像素的分存信息可被4位认证信息认证，而每个分块却仅嵌入了2位认证信息和当前像素的分存信息。Yang, 2012(Yang CN,Ouyang JF,Harn L.Steganography and authentication inimage sharing without parity bits.Optics Communications,2012,285(7):1725–1735.)给出了基于双变量对称多项式的图像分存方案，通过对称多项式来实现认证且不嵌入任何认证信息到掩体图像中以提高掩体图像的视觉质量。

Eslami,2010、Lin,2004、Yang,2007、Chang,2008、Wu,2011、Eslami,2011 和Yang,2012都是带认证的有意义图像分存方案，并有一定地概率能检测到攻击，但不能充分使用其认证能力对认证失败的像素进行修复，其中Eslami,2010 用8位认证位认证2个秘密像素，Yang,2012分别用多项式的对称性来检验掩体图像是否遭受攻击。为提高修复能力，Chang,2011(Chang CC,Chen YH,Wang HC. Meaningful secret sharing technique withauthentication and remedy abilities. Information Sciences,2011,181(14):3073–3084.)和Chen,2012(Chen YH,Chang CC.Image Tamper Detection and Recovery Basedon Dual Watermarks Sharing Strategy.Journal of Digital InformationManagement,2012,10(1):39–49.)使用 Lagrange多项式的多个系数来分存秘密图像像素和它的配对像素，并分别将分存信息和其对应的4位或3位认证信息通过调整模数的方法来嵌入到掩体图像的 2×2分块中，Chang,2011和Chen,2012通过像素配对使得方案具备一定的攻击后修复能力，但所提方案的认证信息位较少，秘密像素的分存信息最多存储两份且用最小覆盖矩形来确定被攻击区域，导致所提策略的恢复能力偏低。为获得更强的攻击后修复能力，Wu,2013(Wu XT,Sun W.Secret image sharing scheme with authenticationand remedy abilities based on cellular automata and discrete wavelettransform.The Journal of Systems and Software,2013,86(4):1068-1088.)将秘密图像做一级离散小波变换，取其LL子带备份2份，从而构造出与原秘密图像等大但每个像素只有4bit的备份图像，采用可逆元胞自动机来分存秘密图像和备份图像，若原秘密像素被攻击，则可通过恢复出的备份图像对应像素进行修复，从而获得了相对于Chang,2011和Chen,2012更好的修复能力。但Wu,2013是将2 个8位秘密像素和2个4位备份图像像素总计24位作为初始3时刻的8元胞来构造可逆元胞自动机进行分存，并将分存信息和对应的8位的认证信息用LSB法嵌入到掩体图像对应2×4分块的低2位中，这样导致的问题是：①它不是真正意义上的(3,N)门限方案，需至少3个编号连续的分存单元才能恢复出秘密图像的2个秘密像素和备份图像；②2×4分块中的任意一个像素被攻击，即导致2个秘密像素及其备份图像中的24位信息不可用，从而该方法无法抵制任意微小噪声攻击；③对LL子带每个像素的低位比特和高位比特采用相同的备份策略，即每个像素比特备份两次，这样是不合理的，像素高位比特的重要性显然高于低位比特位，从而影响该方案在大面积攻击下的修复能力；④该方案依然使用传统的LSB法来嵌入分存信息和认证信息，从而导致嵌入掩体图像视觉质量依然偏低。

Lin,2004、Chang,2008、Wu,2011、Eslami,2011、Chang,2011和Chen,2012 都是用模为素数的Lagrange插值多项式来分存秘密信息，而计算机中的数据以2 进制进行存储，用素数分存不可避免地造成了像素截断或多项式模数空间浪费，而Yang,2007和Yang,2008用GF(2⁸)分存来避免这个问题，但没有充分地利用 GF(2⁸)的Lagrange插值多项式进行分存，分存信息有8位导致无法嵌入过多的认证信息，Yang,2007和Yang,2008分别只嵌入1bit和0bit的认证位且具有较低的视觉质量，而较小的有限域空间只能分存较小的秘密信息。

Wu,2013、Lin,2004、Yang,2007、Chang,2008、Wu,2011、Eslami,2011、 Chang,2011和Chen,2012都是对分存信息进行认证，这种认证方式可有效地发现掩体图像是否被攻击及其被攻击的大致轮廓，但每个掩体都要嵌入对应的认证信息。若认证位较多，则会导致嵌入分存信息后的掩体图像视觉质量偏低。为保证嵌入后掩体图像的视觉质量，Lin,2004、Yang,2007、Chang,2008、Wu,2011、 Eslami,2011都采用较少的认证位进行认证，这样会导致较高的误判概率；若参与者了解认证信息的生成和嵌入规则，则有较高的概率伪造能通过认证的分存信息，同时Lin,2004、Yang,2007、Chang,2008、Wu,2011、Eslami,2011仅对分存信息进行认证的方法也无法对重构出的秘密像素的真实性进行检验。而Eslami, 2010和Yang,2012仅对秘密像素进行认证并将认证信息和秘密信息分别嵌入至掩体图像中，而不对分存信息进行认证，这种认证方式可用少量的认证位实现对秘密信息较为可靠的认证，因为每个恶意参与者篡改分存信息，都无法预知重构后的结果，该方法虽有较高的概率能识别秘密信息被篡改，但无法识别遭受恶意篡改的掩体。

在所申请的发明专利：基于差值变换的(K,N)有意义图像分存及恢复方法中，所提策略采用的是严格认证策略，不允许持有者保管的嵌入分存信息的掩体图像以及子密钥存在任何作弊行为，同时也不能对重构的秘密像素的准确性进行认证。(邵利平,欧阳显斌.基于差值变换的(K,N)有意义图像分存及恢复方法[P]. 中国,中华人民共和国国家知识产权局,发明专利，201410438803.5,2014.)。

在所申请的发明专利：基于三重备份的(K,N)有意义图像分存及恢复方法，通过引入三重备份将秘密图像像素分存信息存储在不同的三个位置起相互认证作用，在恢复阶段使用自然图像相邻像素相关性来提升方案的认证能力和错误修复能力，但所提策略不能对秘密像素进行认证，不能提高认证的准度。(邵利平,欧阳显斌.基于三重备份的(K,N)有意义图像分存及恢复方法[P].中国,中华人民共和国国家知识产权局,发明专利,201410728893.1,2015.)。

在所申请的发明专利：一种基于GF(2³)的(K,N)有意义无扩张图像分存和重构方法，所提方案引入了对秘密像素的认证策略，但所提策略没有对嵌入分存信息的掩体图像进行认证，尽管有较高的概率能识别秘密信息被篡改，但无法识别遭受恶意篡改的掩体。同时也没有引入备份图像并充分有效地利用邻近认证通过的像素对重构出的秘密图像进行修复，从而进一步地提高秘密图像的重构质量。(邵利平,欧阳显斌.一种基于GF(2³)的(K,N)有意义无扩张图像分存方案 [P].中国,中华人民共和国国家知识产权局,发明专利,201510283407.4,2015.)。

发明内容

本发明的目的在于克服现有技术缺陷，提出了一种基于GF(2⁷)有限域和双重认证的有意义(K,N)图像分存和重构方法，引入了与密图等大的LL子带备份图像，按系数比特位重要程度进行不同数量的备份并采用双重认证通过优化LSB 法将分存信息和认证比特嵌入到掩体分块的低位比特中以最大可能性地保证分发掩体图像的视觉质量；结合密图、修复参照图像和认证图对密图认证不通过的像素点进行多项式拟合修复和替代修复，具备较强的攻击后修复质量。

为实现上述目的，本发明采用以下技术方案：

一种基于GF(2⁷)有限域和双重认证的有意义(K,N)图像分存方法，包括以下步骤：

第1步：对秘密图像S＝(s_i,j)_m×n做一级离散小波变换取LL子带并用密钥key对置乱，得到置乱后子带

第2步：由构造备份图像

第3步：利用s_i,j和计算认证信息并对和进行GF(2⁷)有限域分存得到分存信息其中为k在GF(2⁷)有限域所对应的多项式整数；

第4步：由所对应的2进制数来产生认证信息

第5步：使用优化LSB嵌入方法将和嵌入到对应掩体图像上 的像素从而得到

第6步：反复执行第3步～第5步，直到处理完所有秘密像素，得到嵌入分存信息后 的掩体图像

第7步：将密钥key使用(K,N)门限方案分存成N个子密钥 subkey₁,subkey₂,…,subkey_N，和分发给N个参与者，销毁中间计算数据。

进一步，第2步由构造备份图像的具体方法为：按式(10)将上的转换为备份图像S^p上的备份像素和

式(10)按比特位重要程度不同形成不同数量的备份，将高位比特l₇l₆备份 4次，中位比特l₅l₄备份3次，中位比特l₃l₂备份2次，低位比特l₁l₀备份1次。

进一步，第3步中利用s_i,j和计算认证信息的具体方法为：首先由式(11)计算伪随机数种子ke_i,j，再由ke_i,j产生伪随机序列取其前K-1个，按式(12)计算s_i,j和的认证信息按式(12)计算认证信息

第3步中，对和进行有限域分存得到分存信息的具体方法为式(13)，式(13)中a,b的计算方法如式(14)所示,为GF(2⁷)下的本源多项式；

进一步，第4步由所对应的2进制数来产生认证信息的具体方法为：首先按式(15)产生伪随机序列的随机数种子再由生成伪随机序列由发起者设定的规则将RR_i,j,k映射为 1比特认证信息这里按式(16)进行映射

进一步，第5步将和嵌入到对应掩体图像上的像素从而得到的具体方法为：将和总共8个比特划分为4组，即 和上，然后将其嵌入到掩体图像C^k的像素的低2位比特上，其中k＝1,2,…,N；

第5步在嵌入过程使用的优化嵌入方法是按式(17)对直接LSB嵌入后的像素ps′＝(p₇p₆p₅p₄p₃p₂s₁s₀)₂进行调节使得最终嵌入分存信息后的ps″离原像素 ps＝(p₇p₆p₅p₄p₃p₂p₁p₀)₂更为接近

式(17)中，ps′＝(p₇p₆p₅p₄p₃p₂s₁s₀)₂中的(s₁s₀)₂即为嵌入后的2比特信息；

第7步将密钥key(K,N)分存成N个子密钥subkey₁,subkey₂,…,subkey_N的具体方法为：将key按式(1)分存成N个子密钥subkey₁,subkey₂,…,subkey_N并分发给对应参与者，并将子密钥对应的MD5值公布到第3方公信方以防止参与者恶意篡改子密钥：

f(k)＝(s+r₁k+r₂k²+…+r_K-1k^K-1)mod p (1)

式(1)，r₁,r₂,…,r_K-1是随机整数，p为素数满足s,r₁,r₂,…,r_K-1∈{0,1,…,p-1}，将key作为s，k＝1,2,…,N代入式(1)可得出N个子密钥subkey₁,subkey₂,…,subkey_N。

与之对应的一种基于GF(2⁷)有限域和双重认证的有意义(K,N)图像重构方法，包括以下步骤：

第1步：对参与者提供的子密钥进行检验，选择检验正确的子密钥，若其数量大于等于K，则可对其进行恢复，恢复出密钥key，否则重构失败；

第2步：提取掩体图像上的分存信息和它对 应的认证信息并检验第1重认证结果；

第3步：若存在大于等于K个通过第1重认证则还原得到 和并检验第2重认证结果；

第4步：若s_i,j和通过第2重认证则设置认证结果a_i,j＝1，否则a_i,j＝0；

第5步：重复第1步至第3步直至处理完所有位置，将得到的初步秘密图像S＝(s_i,j)_m×n，备份图像和对应的认证图A＝(a_i,j)_m×n；

第6步：使用认证图A＝(a_i,j)_m×n和备份图像重建出并对其用密钥key做逆置乱和逆离散小波变换得到秘密图像的修复参考图像 S′＝(s′_i,j)_m×n；

第7步：对秘密图像的认证不通过的像素点，则根据邻近认证通过的像素数量分别进行修复参考图像对应位置像素替代修复或多项式拟合修复，处理完所有像素可得最终修复后的秘密图像。

进一步：在第1步中对用户提供的子密钥进行检验的方法为：计算每个用户所提供的子密钥对应的MD5值，若其和第3方公信方存储的MD5值相一致，则通过检验；

第1步中选择检验正确的子密钥，若其数量大于等于K，则可对其按式(2) 进行恢复，这里假设所有参与者提供的子密钥都验证通过；

将作为f(num_i),i＝1,2,…,t分别带入式(2)，若t≥K，则可恢复出密钥key，否则无法恢复；

第2步提取掩体图像上的分存信息和它对 应的认证信息的方法是：对于的2×2分块 和它所对应的4个像素提取每个像素的低2 位可得到和

即为分存信息和它对应的 1bit认证信息

第2步中，检验第1重认证结果的方法是：对于提取得到的

可用式(15)再次计算其伪随机 序列的密钥然后生成对应伪随机系列 并验证提取得到的认证信息是否和相等，若相等则表示2×2分块 提取得到的通过认证，否则表示 不通过认证；

进一步：第3步中还原得到和的具体方法为：不失一般性，假设都通过第1重认证且不少于K个，对于可将它们转换为GF(2⁷)有限域多项式整数，从而得到这时可通过式(4)还原式(13)

从式(13)可提取出GF(2⁷)有限域多项式整数将它们转换为对应 整数利用s_i,j＝2×a+b/128，和可恢复 出秘密像素s_i,j和备份像素

第3步中检验第2重认证的结果，具体方法为：由s_i,j和按式(11)计算出伪随机数的随机数种子ke_i,j产生伪随机序列然后按式(12)重新计算认证信息并验证是否与恢复得到的认证信息相一致，若一致则通过第2重认证，反之则未通过第2重认证；

进一步：第6步使用认证图A＝(a_i,j)_m×n和备份图像重建出的具体方法为：

第6.1步：利用认证图A＝(a_i,j)_m×n上的a_i,j,a_i+m/2,j,a_i,j+n/2和a_i+m/2,j+n/2对和进行认证，若a_i,j＝1则表明认证通过，反之则表明认证失败；

第6.2步：利用和认证通过的备份像素按式(10)的对应关系依次计算上的每个比特的认证次数cnt_i,i＝0,1,…,7和通过认证对应位置比特的累计值sum_i,i＝0,1,…,7；

第6.3步：按式(18)计算上的第k位像素比特所对应的幂次权重，按式(19) 来确定对应的值；

式(18)中，[x]表示为x四舍五入后的整数，表示为对x向下取整的整数；

第6.4步：反复执行第6.1步～第6.3步，直至处理完所有像素后得到

进一步，第7步对秘密图像的认证不通过的像素点，则根据邻近认证通过的像素数量分别进行参考图像对应位置像素替代修复或多项式拟合修复的具体方法为：

第7.1步：记修补参考图像为S′＝(s′_i,j)_m×n，对初步秘密图像上S＝(s_i,j)_m×n上的像素s_i,j(0≤i＜m,0≤j＜n)，若其若认证图A＝(a_i,j)_m×n上的a_i,j＝1，则表示_si,j认证通过且不对其进行修改，并设为最终秘密图像的值，若a_i,j＝0，则转第10.2步；

第7.2步：记位置i,j的8-邻域位置为(i-1,j-1),(i-1,j),(i-1,j+1),(i,j-1),(i,j+1), (i+1,j-1),(i+1,j),(i+1,j+1)，统计这8个位置通过认证的位置个数并记为cntt_i,j,若8-邻域中的某个位置不存在，则认为认证不通过；

第7.3步：若cntt_i,j＜6，令s_i,j＝s′_i,j，即直接使用修补参照图像S′＝(s′_i,j)_m×n的对应位置像素来修复s_i,j对应的值；

第7.4步：若cntt_i,j＞＝6，则使用式(20)梯度下降法来拟合多项式 h(i,j)＝h₀+h₁i+h₂j+h₃ij；

式(20)中初始值为0，θ为迭代步长通常设为比较小的数值或随着迭代的次数而逐渐变小，当趋向于稳定或迭代次数超过一定次数后，将h(i,j)量化到[0,255]之间作为s_i,j；

第7.5步：反复执行第7.1步～7.4步，直至处理完所有像素，得到最终修复的秘密图像S＝(s_i,j)_m×n。

本发明同现有技术优点分析：

传统有意义图像分存方法一般只对分存信息进行认证或只对秘密信息进行认证，其中分存信息进行认证可有效的发现掩体图像是否被攻击及其被攻击的大致轮廓，但每个掩体都要嵌入对应的认证信息。若认证位较多，则会导致嵌入分存信息后的掩体图像视觉质量偏低。为保证嵌入后掩体图像的视觉质量，一般都采用较少的认证位进行认证，这样会导致较高的误判概率；若参与者了解认证信息的生成和嵌入规则，则有较高的概率伪造能通过认证的分存信息，同时仅对分存信息进行认证的方法也无法对重构出的秘密像素的真实性进行检验。另外只对秘密信息进行认证的方案，仅对秘密像素进行认证并将认证信息和秘密信息分存嵌入至掩体图像中，而不对分存信息进行认证，这种认证方式可用少量的认证位实现对秘密信息较为可靠的认证，因为每个恶意参与者篡改分存信息，都无法预知重构后的结果，该方法虽有较高的概率能识别秘密信息被篡改，但无法识别遭受恶意篡改的掩体，同时也不能充分有效地利用分发掩体进行重构。因此本发明将两种认证方式结合起来进行双重认证，使得对秘密信息拥有较强认证能力同时也能粗略地识别出遭到攻击的掩体图像以及被攻击的大致轮廓。

针对传统有意义图像分存方法具有一定的认证功能，却不具备被攻击后的修复能力或者偏低，且嵌入掩体视觉质量较低等问题，因而本发明提出基GF(2⁷) 有限域和双重认证的有意义(K,N)图像分存方法，其优势在于：

①本发明采用双重认证的思想，即对分存信息用1bit认证位进行第1重认证，该重认证可有效的发现掩体图像是否被攻击及其被攻击的大致轮廓，而第1 重认证只嵌入1bit认证位使得掩体图像具有较高的视觉质量。而对秘密像素使用7(K-2)+1bit的认证位进行第2重认证，该重认证可实现对秘密信息较为可靠的认证。本发明使用双重认证相对于传统有意义图像分存方法，既可有效的发现掩体图像是否被攻击及其被攻击的大致轮廓又能实现对秘密信息较为可靠的认证，同时也能充分有效地利用1重认证通过的分存信息进行秘密像素和备份像素重构。

②本发明使用1bit的认证位进行第1重认证，使用7(K-2)+1bit的认证位进行第2重认证，因而恶意篡改恢复出秘密图像不被发现的概率最多为 1/2^7(K-2)+2，相对于传统方案K的选值范围更大，而且在K较大的时候具备非常高的认证能力，如当K＝3时就具备1/512的认证能力，因此相比于传统文献就具备更好的认证能力。

③本发明使用一级离散小波变换取LL子带来构造备份图像，将高位多备份，低位少备份，因而即使在掩体图像被攻击面积较大的时候也具有较大概率恢复出备份图像的高位，从而用来修复秘密图像，因而本发明相对于传统的有意义图像分存方案具有较高的修复能力，同时恢复的备份像素是建立在严格认证的基础上，因此不需要向传统方法对比备份像素的多个比特位副本是否等同来确定可用的比特位，例如Wu,2013等的工作。

④本发明对不通过认证的秘密像素有两种修复方法，第一种是当秘密像素8 邻近像素通过认证的数目大于等于6时，用这些通过认证的8邻近像素来拟合逼近出该像素的值，这样充分利用了自然图像邻近像素的相关性，而第二种是直接通过备份图像进行修复。本发明这种细致的修复方法充分使用了自然图像邻近像素的相关性，因而在周围像素攻击较少时能更精确的修复秘密像素，而不是简单的用备份图像对应位置来替代修复。

附图说明

图1本发明的图像分存方法流程图

图2本发明的图像重构方法流程图

图3本发明实施例的秘密图像，分辨率为256×256的8位标准灰度图像boat

图4本发明实施例的掩体图像1，分辨率为512×512的8位标准灰度图像 baboon

图5本发明实施例的掩体图像2，分辨率为512×512的8位标准灰度图像f16

图6本发明实施例的掩体图像3，分辨率为512×512的8位标准灰度图像 sailboat

图7本发明实施例的掩体图像4，分辨率为512×512的8位标准灰度图像lena

图8本发明实施例的掩体图像5，分辨率为512×512的8位标准灰度图像 peppers

图9本发明实施例中嵌入信息后的掩体图像1，PSNR＝46.36分贝

图10本发明实施例中嵌入信息后的掩体图像2，PSNR＝46.38分贝

图11本发明实施例的嵌入信息后的掩体图像3，PSNR＝46.38分贝

图12本发明实施例的嵌入信息后的掩体图像4，PSNR＝46.37分贝

图13本发明实施例的嵌入信息后的掩体图像5，PSNR＝46.36分贝

图14本发明实施例的在图9～图11参与恢复阶段还原出的初步秘密图像

图15本发明实施例的在图9～图11参与恢复阶段的认证结果

图16本发明实施例的在图9～图11参与恢复阶段的还原出的秘密图像的修复参考图像

图17本发明实施例的在图9～图11参与恢复阶段的还原出的秘密图像

图18本发明实施例中被攻击后的嵌入信息后的掩体图像1

图19本发明实施例中被攻击后的嵌入信息后的掩体图像2

图20本发明实施例中被攻击后的嵌入信息后的掩体图像3

图21本发明实施例的在图18～图20参与恢复阶段的还原出的秘密图像，与原秘密图像相比的PSNR＝28.22分贝

图22本发明实施例的在图18～图20参与恢复阶段的认证结果

具体实施方式

下面结合具体实施例对本发明进行说明：

以JAVA jdk1.8.0_20作为案例实施环境，以(3,5)门限方案为例，即K＝3,N＝5，结合附图对本发明实施方式进行详细说明，但不局限于本实施案例，其中图1 是分存流程图，图2是重构流程图。

以下以具体实例对分存过程进行说明：

选取256×256的8位标准灰度图像boat作为秘密图像，如图3所示，选取 512×512的8位标准灰度图像baboon、f16、sailboat、lena和peppers分别作为5 个参与者的掩体图像，如图4～图8所示，选取密钥为key＝131819，K＝3,N＝5。

第1步：对图3秘密图像S＝(s_i,j)_256×256做一级离散小波变换(这里使用整数 Haar小波)取LL子带并用密钥key＝131819对进行置乱，得到置乱后子带

第2步：由构造备份图像按式(10)将 上的转换为备份图像S^p上的备份像素和 例如:i＝0,j＝0有则可得到备份像素：

和

第3步：利用s_i,j和计算认证信息并对和进行有限域分存得到其中为k在GF(2⁷)有限域所对应的多项式整数；

其中用s_i,j和计算认证信息的具体方法为：按式(11)计算伪随机数种 子ke_i,j，再由ke_i,j产生伪随机序列取其前2个按式(12)来计 算认证信息对和按式(13)分存得到a＝s_i,j/2∈{0,1,…,127}和按式(14)计算例如：取i＝0,j＝0,s_0,0＝126,可得 ke_0,0＝ 0+0+0+126+23+126×23＝3047，由伪随机序列R_0,0＝<1,118,…>可计算认证信息从而得到分存多项式 为211所对应 的多项式整数是GF(2⁷)有限域的本原多项式，因而可得到分存信息：

第4步：由所对应的2进制数来产生认证信息

其中产生认证信息的具体方法为：首先按式(15)产生伪随机序列的随机数种 子再由生成伪随机序列由发起者设定的规则， 例如按式(16)将RR_i,j,k映射为1比特认证信息例如，取i＝0,j＝0,k＝1，由知按式(15)有 若产生的伪随机序列 RR_0,0,1＝<0,…>，则按式(16)可得到

第5步：使用优化LSB嵌入方法将和嵌入到对应掩体图像上 的像素从而得到这里将和嵌入到对应 掩体图像上的像素从而得到 的具体方法为是将和总共8个比特划分为4组，即和然后将其嵌入到掩体图像C^k的 像素的低2位比特上，其中 k＝1,2,…,5；在嵌入过程使用式(17)进行优化嵌入，对直接LSB 嵌入后的像素 ps′＝(p₇p₆p₅p₄p₃p₂s₁s₀)₂进行调节使得最终嵌入分存信息后的ps″离原像素 ps＝(p₇p₆p₅p₄p₃p₂p₁p₀)₂更为接近，ps′＝(p₇p₆p₅p₄p₃p₂s₁s₀)₂中的(s₁s₀)₂即为嵌入后的2比特 信息；例如：取i＝0,j＝0,k＝1有将它们比特位分成四组分别为 (11)₂,(00)₂,(11)₂和(00)₂嵌入到最后得到嵌入后的用来说明优化LSB嵌入方法，若直接使用LSB 嵌入为这里使用优化LSB嵌入方法为

第6步：反复执行第3步～第5步，直到处理完所有秘密像素，得到嵌入分存信息后的掩体图像如图9～图13所示；

第7步：将密钥key按(3,5)门限方案分存成5个子密钥 subkey₁,subkey₂,…,subkey₅，和分发给5个参与者，销毁中间计算数据。例如将key按式(1)对应的(3,5)门限方案 f(k)＝(key+r₁k+r₂k²)mod p,k＝1,2,…,5分存成5个子密钥 subkey₁,subkey₂,…,subkey₅，并分发给对应参与者，然后将子密钥对应的MD5值公布到第3方公信方以防止参与者恶意篡改子密钥，其中r₁,r₂是随机整数，p 为素数且key,r₁,r₂∈{0,1,…,p-1}，例如：将密钥按 f(k)＝(131819+1713648k+13k²)mod1000000007分存成5个子密钥：

subkey₁＝(131819+1713648×1+13×1)mod1000000007＝1845480

subkey₂＝(131819+1713648×2+13×4)mod1000000007＝3559167

subkey₃＝(131819+1713648×3+13×9)mod1000000007＝5272880

subkey₄＝(131819+1713648×4+13×16)mod1000000007＝6986619

subkey₅＝(131819+1713648×5+13×25)mod1000000007＝8700384

则它们对应的MD5分别为0xf17a011ceba20886dbcd8b2ac3695c12,0xe2a7bcc2df75fcca1918be812d40e541,0x63e80f9cb22816ec36c9b54f11b75e93,0xfe69be6a745b8b3f3df3b9effc7d1bd1和0x5eaa34c8e66cc5c4958e069ef9b4e57b；最后参与者1得到分发信息C′¹和subkey₁，参与者2得到分发信息C′²和subkey₂参与者3得到分发信息C′³和subkey₃，参与者4得到分发信息C′⁴和subkey₄，参与者5得到分发信息C′⁵和subkey₅，所有中间数据都被销毁。

以下以(3,5)门限具体实例对重构过程进行说明：

第1步：对参与者提供的子密钥进行MD5检验，选择检验正确的子密钥，若其数量大于等于3，则可按式(2)恢复出密钥key，否则重构失败；例如，假设参与者1提供分发信息：C′¹图9和 subkey₁＝1845480，参与者2提供分发信息C′²图10和subkey₂＝3559167,参与者 3提供分发信息C′³图11和subkey₃＝5272880参与重构过程。subkey₁,subkey₂和 subkey₃对应的MD5分别为0xf17a011ceba20886dbcd8b2ac3695c12, 0xe2a7bcc2df75fcca1918be812d40e541和0x63e80f9cb22816ec36c9b54f11b75e93 与第3方公信方相一致，即可通过(1,1845480),(2,3559167)和(3,5272880)按式(1) 恢复得到分存多项式f(k)＝(131819+1713648k+13k²)mod1000000007因而得到key＝131819；

第2步：提取掩体图像上的分存信息和它对应的认 证信息并检验第1重认证结果；提取掩体图像上的分存信 息和它对应的认证信息的方法是：对于的2×2分块 和它所对应的4个像素提取每个像素的低2位可得到和即为分存信息 和它对应的1bit认证信息对于提取得到的可用式(15)计算随机数种子然 后生成对应伪随机序列并验证提取得到的认证信息是否和相等，若相等则表示2×2分块提取得到的通过认证，否则表 示不通过认证；例如，取i＝0,j＝0,k＝1，由提取得到 分存信息和通过可计算得到

产生伪随机序列RR_0,0,1＝ <0,…> 得到计算认证信息为0与相等因而通过认证。

第3步：若存在大于等于3个通过第1重认证则可还原得到s_i,j，和并检验第2重认证结果；不失一般性，假设都通过第1 重认证，对于可将它们转换为GF(2⁷)有限域多项式整数，从而得到 这时可用式(4)还原得到式(13) 从而可提取出GF(2⁷)有限域多项式整数将它们转换为对应整数利用s_i,j ＝2×a+b/128，和可恢复出秘密像素s_i,j和备份像素 并由s_i,j和按式(11)计算随机数种子产生伪随机 序列然后重新计算认证信息和并 验证是否与恢复得到的认证信息一致，若一致则通过第2重认证，反之则未通过第2 重认证；

例如取i＝0,j＝0,由 可还原得到从 而得到a＝63,b＝47,s_0,0＝2×a+b/128＝126，和由s_0,0和按计算随机数种子ke_i,j＝0+0+0+126+23+126×23＝3047， 产生伪随机序列R_0,0＝<1,118,…>再次得到计算认证信息和 与恢复得到的认证信息和一致，因而通过第2重认证。

第4步：若s_i,j和通过第2重认证则设置认证结果a_i,j＝1，否则a_i,j＝0；

例如取i＝0,j＝0，计算认证信息和与恢复得到的认 证信息和一致，因而a_0,0＝1

第5步：重复第2步至第4步直至处理完所有位置，将得到图14初步秘密图像S＝(s_i,j)_256×256，备份图像和图15对应的认证图A＝(a_i,j)_256×256；

第6步：使用认证图A＝(a_i,j)_256×256和备份图像重建出并对其用密钥key＝131819做逆置乱和逆离散小波变换(本文逆整数Haar 小波)得到图16秘密图像的修复参考图像S′＝(s′_i,j)_256×256；使用认证图 A＝(a_i,j)_256×256和 备份图像重建出S′＝(s′_i,j)_256×256的具体方法为利用和中认证通过的备份像素按式(10)的对应关系依次计算上的每个比特认证通 过的次数cnt_i,i＝0,1,…,7和通过认证对应位置比特的累计值sum_i,i＝0,1,…,7；用式 (18)计算上的第k位像素比特所对应的幂次权重，用式(19)确定对应的值；最后直 至处理完所有像素后得到例如取 i＝0,j＝0,假设有a_0,0＝1,a_128,0＝1,a_0,128 ＝1和a_128,128＝0及和 ,对于的第7位有通过认证，所以cnt₇＝3,sum₇ ＝1+1+1，同样可得 cnt₆＝3,sum₆＝0+0+0,cnt₅＝2,sum₅＝1+1,cnt₄＝2,sum₄＝0+0,cnt₃＝ 2,sum₃＝1+1, cnt₂＝2,sum₂＝1+1,cnt₁＝1,sum₁＝1,cnt₀＝0,sum₀＝0；可得f(7,3,3)＝ [3/3]×2⁷＝2⁷， f(6,3,3)＝0，f(5,2,2)＝2⁵，f(4,2,2)＝0,f(3,2,2)＝2³,f(2,2,2)＝2²,f (1,1,1)＝2¹,f(0,0,0)＝0 故同理处理 所有像素后可得并对其用密钥key＝131819做逆置乱和逆离散小波变换 (本文逆整数Haar小波)得到秘密图像的修复参考图像

第7步：对秘密图像的认证不通过的像素点，则根据邻近认证通过的像素数量分别进行修复参考图像对应位置像素替代修复或多项式拟合修复，处理完所有像素可得最终修复后的秘密图像。假设修补参考图像为S′＝(s′_i,j)_256×256，对初步秘密图像上S＝(s_i,j)_256×256上的像素s_i,j(0≤i＜256,0≤j＜256)，若其若认证图 A＝(a_i,j)_256×256上的a_i,j＝1，则表示s_i,j认证通过，不需要对其进行修改，将其设置为最终秘密图像的值。若a_i,j＝0，则记位置i,j的8-邻域位置为 (i-1,j-1),(i-1,j),(i-1,j+1),(i,j-1),(i,j+1),(i+1,j-1),(i+1,j),(i+1,j+1)，统计这8 个位置通过认证的位置个数并记为cntt_i,j,若8-邻域中的某个位置不存在，则认为认证不通过；若cntt_i,j＜6，令s_i,j＝s′_i,j，即直接使用修补参照图像S′＝(s′_i,j)_256×256的对应位置像素来修复s_i,j对应的值；若cntt_i,j＞＝6，则使用梯度下降法按式(20)拟合多项式h(i,j)＝h₀+h₁·i+h₂·j+h₃·i·j，令为0，θ为迭代步长通常设为比较小的数值或随着迭代的次数而逐渐变小，当趋向于稳定或迭代次数超过一定次数后，将h(i,j)量化到[0,255]之间作为s_i,j；，最后直至处理完所有像素，得到最终修复的图17秘密图像S＝(s_i,j)_256×256。例如取i＝0,j＝0，有 a_0,0＝1所以s_0,0＝126不需改变，假设a_0,0＝0，而8-邻域位置为 (-1,-1),(-1,0),(-1,1),(0,-1),(0,1),(1,-1),(1,0),(1,1)因为(-1,-1),(-1,0),(-1,1),(0,-1),(1,-1)位置不存在认为认证不通过即cntt_0,0＜6，令s_0,0＝s′_0,0。假设a_1,1＝0，而8-邻域位置为 (0,0),(0,1),(0,2),(1,0),(1,2),(2,0),(2,1),(2,2)均通过认证，即有cntt_1,1≥6即可用多项梯度下降法来拟合式(20)，将h(1,1)量化到[0,255]之间作为s_1,1，最后直至处理完所有像素，得到秘密图像S＝(s_i,j)_256×256。

上述恢复过程是参与者1，2，3均未遭到攻击的情况下的还原过程，在恢复阶段可能用户提供的掩体图像遭到攻击。如下例所示：参与者1，2，3参与恢复阶段，但是参与者1的掩体图像被攻击后为图18所示，参与者2，3提供的掩体图像依然为图19和图20。他们提供的子密钥均通过认证的情况下，按上述步骤可还原得到最终秘密图像图21和认证图22。

Claims (9)

1.一种基于GF(2⁷)有限域和双重认证的有意义(K,N)图像分存方法，其特征在于包括以下步骤：

第1步：对秘密图像S＝(s_i,j)_m×n做一级离散小波变换，取LL子带并用密钥key对置乱，得到置乱后子带

第2步：由构造备份图像

第3步：利用s_i,j和计算认证信息并对和进行GF(2⁷)有限域分存得到分存信息其中为k在GF(2⁷)有限域所对应的多项式整数；

第4步：由所对应的2进制数来产生认证信息

第5步：使用优化LSB嵌入方法将和嵌入到对应掩体图像上的像素从而得到

第6步：反复执行第3步～第5步，直到处理完所有秘密像素，得到嵌入分存信息后的掩体图像

第7步：将密钥key使用(K,N)门限方案分存成N个子密钥subkey₁,subkey₂,…,subkey_N，和分发给N个参与者，销毁中间计算数据；

第2步由构造备份图像的具体方法为：按式(10)将上的转换为备份图像S^p上的备份像素和

式(10)按比特位重要程度不同形成不同数量的备份，将高位比特l₇l₆备份4次，中位比特l₅l₄备份3次，中位比特l₃l₂备份2次，低位比特l₁l₀备份了1次。

2.如权利要求1所述的一种基于GF(2⁷)有限域和双重认证的有意义(K,N)图像分存方法，其特征在于：第3步中利用s_i,j和计算认证信息的具体方法为：首先由式(11)计算伪随机数种子ke_i,j，再由ke_i,j产生伪随机序列取其前K-1个，按式(12)计算s_i,j和的认证信息

第3步中，对和进行有限域分存得到分存信息的具体方法为式(13)，式(13)中a,b的计算方法如式(14)所示,为GF(2⁷)下的本源多项式；

a＝s_i,j/2∈{0,1,…,127}；

式(13)中的点形标记为多项式整数，即整数化存储的2值多项式；

3.如权利要求1所述的一种基于GF(2⁷)有限域和双重认证的有意义(K,N)图像分存方法，其特征在于：第4步由所对应的2进制数来产生认证信息的具体方法为：首先按式(15)产生伪随机序列的随机数种子再由生成伪随机序列由发起者设定的规则将RR_i,j,k映射为1比特认证信息这里按式(16)进行映射

4.如权利要求1所述的一种基于GF(2⁷)有限域和双重认证的有意义(K,N)图像分存方法，其特征在于：第5步将和嵌入到对应掩体图像上的像素从而得到的具体方法为：将和总共8个比特划分为4组，即 和然后将其嵌入到掩体图像C^k的像素的低2位比特上，其中k＝1,2,…,N；

第5步在嵌入过程使用的优化嵌入方法是按式(17)对直接LSB嵌入后的像素ps′＝(p₇p₆p₅p₄p₃p₂s₁s₀)₂进行调节使得最终嵌入分存信息后的ps″离原像素ps＝(p₇p₆p₅p₄p₃p₂p₁p₀)₂更为接近

式(17)中，ps′＝(p₇p₆p₅p₄p₃p₂s₁s₀)₂中的(s₁s₀)₂即为嵌入后的2比特信息；

第7步将密钥key(K,N)分存成N个子密钥subkey₁,subkey₂,…,subkey_N的具体方法为：将key按式(1)分存成N个子密钥subkey₁,subkey₂,…,subkey_N并分发给对应参与者，并将子密钥对应的MD5值公布到第3方公信方以防止参与者恶意篡改子密钥：

f(k)＝(s+r₁k+r₂k²+…+r_K-1k^K-1)mod p (1)

式(1)，r₁,r₂,…,r_K-1是随机整数，p为素数满足s,r₁,r₂,…,r_K-1∈{0,1,…,p-1}，将key作为s，k＝1,2,…,N代入式(1)可得出N个子密钥subkey₁,subkey₂,…,subkey_N。

5.与权力要求1相对应的一种基于GF(2⁷)有限域和双重认证的有意义(K,N)图像重构方法，其特征在于包括以下步骤：

第1步：对参与者提供的子密钥进行检验，选择检验正确的子密钥，若其数量大于等于K，则可对其进行恢复，恢复出密钥key，否则重构失败；

第2步：提取掩体图像上的分存信息和它对应的认证信息并检验第1重认证结果；

第3步：若存在大于等于K个通过第1重认证则还原得到s_i,j，和并检验第2重认证结果；

第4步：若s_i,j和通过第2重认证则设置认证结果a_i,j＝1，否则a_i,j＝0；

第5步：重复第2步至第4步直至处理完所有位置，得到初步秘密图像S＝(s_i,j)_m×n，备份图像和对应的认证图A＝(a_i,j)_m×n；

第6步：使用认证图A＝(a_i,j)_m×n和备份图像重建出并对其用密钥key做逆置乱和逆离散小波变换得到初步秘密图像的修复参考图像S′＝(s′_i,j)_m×n；

第7步：对初步秘密图像的认证不通过的像素点，则根据邻近认证通过的像素数量分别进行修复参考图像S′＝(s′_i,j)_m×n对应位置像素替代修复或多项式拟合修复，处理完所有像素可得最终修复后的秘密图像。

6.根据权利要求5所述的一种基于GF(2⁷)有限域和双重认证的有意义(K,N)图像重构方法，其特征在于：

在第1步中对用户提供的子密钥进行检验的方法为：计算每个用户所提供的子密钥对应的MD5值，若其和第3方公信方存储的MD5值相一致，则通过检验；

第1步中选择检验正确的子密钥，若其数量大于等于K，则可对其按式(2)进行恢复，这里假设所有参与者提供的子密钥都验证通过；

将作为分别带入式(2)，若t≥K，则可恢复出密钥key，否则无法恢复；

第2步提取掩体图像上的分存信息和它对应的认证信息的方法是：对于的2×2分块和它所对应的4个像素提取每个像素的低2位可得到

和

即为分存信息和它对应的1位认证信息

第2步中，检验第1重认证结果的方法是：

对于提取得到的可用式(15)再次计算其伪随机序列的密钥然后生成对应伪随机系列

并验证提取得到的认证信息是否和相等，若相等则表示2×2分块提取得到的

通过认证，否则表示不通过认证；

7.根据权利要求5所述的一种基于GF(2⁷)有限域和双重认证的有意义(K,N)图像重构方法，其特征在于：第3步中还原得到s_i,j,和的具体方法为：不失一般性，假设都通过第1重认证且不少于K个，对于可将它们转换为GF(2⁷)有限域多项式整数，从而得到这时可通过式(4)还原式(13)

从式(13)可提取出GF(2⁷)有限域多项式整数将它们转换为对应整数利用s_i,j＝2×a+b/128，和可恢复出秘密像素s_i,j和备份像素式(4)中的点形标记为多项式整数，即整数化存储的2值多项式；

第3步中检验第2重认证的结果，具体方法为：由s_i,j和按式(11)计算出伪随机数的随机数种子ke_i,j产生伪随机序列然后按式(12)重新计算认证信息并验证是否与恢复得到的认证信息相一致，若一致则通过第2重认证，反之则未通过第2重认证；

8.根据权利要求5所述的一种基于GF(2⁷)有限域和双重认证的有意义(K,N)图像重构方法，其特征在于：第6步使用认证图A＝(a_i,j)_m×n和备份图像重建出的具体方法为：

第6.1步：利用认证图A＝(a_i,j)_m×n上的a_i,j,a_i+m/2,j,a_i,j+n/2和a_i+m/2,j+n/2对和进行认证，若a_i,j＝1则表明认证通过，反之则表明认证失败；

第6.2步：利用和认证通过的备份像素按式(10)的对应关系依次计算上的每个比特的认证次数和通过认证对应位置比特的累计值

第6.3步：按式(18)计算上的第kk位像素比特所对应的幂次权重，按式(19)来确定对应的值；

式(18)中，[x]表示为x四舍五入后的整数，表示为对x向下取整的整数；

第6.4步：反复执行第6.1步～第6.3步，直至处理完所有像素后得到

9.根据权利要求5所述的一种基于GF(2⁷)有限域和双重认证的有意义(K,N)图像重构方法，其特征在于：第7步对初步秘密图像的认证不通过的像素点，则根据邻近认证通过的像素数量分别进行修复参考图像对应位置像素替代修复或多项式拟合修复的具体方法为：

第7.1步：记修复参考图像为S′＝(s′_i,j)_m×n，对初步秘密图像上S＝(s_i,j)_m×n上的像素s_i,j(0≤i＜m,0≤j＜n)，若其若认证图A＝(a_i,j)_m×n上的a_i,j＝1，则表示s_i,j认证通过且不对其进行修改，并设为最终秘密图像的值，若a_i,j＝0，则转第7.2步；

第7.2步：记位置i,j的8-邻域位置为(i-1,j-1),(i-1,j),(i-1,j+1),(i,j-1),(i,j+1),(i+1,j-1),(i+1,j),(i+1,j+1)，统计这8个位置通过认证的位置个数并记为cntt_i,j,若8-邻域中的某个位置不存在，则认为认证不通过；

第7.3步：若cntt_i,j＜6，令s_i,j＝s′_i,j，即直接使用修复参照图像S′＝(s′_i,j)_m×n的对应位置像素来修复s_i,j对应的值；

第7.4步：若cntt_i,j＞＝6，则使用式(20)梯度下降法来拟合多项式h(i,j)＝h₀+h₁i+h₂j+h₃ij；

式(20)中初始值为0，θ为迭代步长通常设为比较小的数值或随着迭代的次数而逐渐变小，当趋向于稳定或迭代次数超过一定次数后，将h(i,j)量化到[0,255]之间作为s_i,j；(x_l,y_l)对应的是已认证通过的像素点坐标，而z_l对应的是(x_l,y_l)位置的像素值；

第7.5步：反复执行第7.1步～7.4步，直至处理完所有像素，得到最终修复的秘密图像S＝(s_i,j)_m×n。