CN108171665B - 一种多版本备份和限制性双重认证主密钥(t,s,k,n)图像分存方法 - Google Patents

Abstract

本发明提供的一种多版本备份和限制性双重认证主密钥(t,s,k,n)图像分存方法，所构造的多版本备份策略和限制性双重认证策略在保持较高认证精度的同时，将尽可能多的嵌入比特用于对备份图像备份，从而形成备份图像的多个版本，在每个备份图像版本内进一步将备份图像像素划分为显著、不显著和最不显著比特，对显著比特多备份，对非显著比特少备份，从而不仅提高了单备份图像的恢复能力，同时也通过多版本图像的协同恢复来提高备份图像的恢复能力，同时所构造的多版本备份策略可充分利用不同位置存储的同一比特对备份图像进行高置信度的恢复，同时可有效地通过统计运算来消除侥幸通过双重认证的个别比特的影响和具备较好的抗攻击能力。

Description

一种多版本备份和限制性双重认证主密钥(t,s,k,n)图像分 存方法

技术领域

本发明属于图像信号处理和图像信息安全交叉领域，涉及一种数字图像分存方法，特别涉及一种多版本备份和限制性双重认证主密钥(t,s,k,n)图像分存方法。

背景技术

图像分存是将秘密图像拆分为影子图像，然后利用分发的部分或全部影子图像对秘密图像进行完整重构。图像分存可为重要图像提供更高安全级别的保护，是目前图像信息安全的研究热点，其主要思想源自密码学中的秘密共享。最简单的秘密共享是(k,n)门限秘密共享，最早由Shamir和Blakley结合Lagrange插值多项式和矢量空间点性质提出(Shamir A,1979:Shamir A.How to share a secret[J].Communications of theAssociation for Computing Machinery,1979,22(11):612–613和Blakley G R,1979:Blakley G R.Safeguarding cryptographic keys[C]//Proceedings of 1979 NationalComputer Conference.New York,USA:AFIPS,1979,48:313–317.)。在(k,n)门限秘密共享中，秘密S被拆分为n份子秘密S₀,S₁,…,S_n-1，若最终回收到的子秘密数量大于等于门限k，则可对秘密S完整重构，反之则无法重构。而将秘密图像借助秘密共享拆分为影子图像，借助分发影子图像对秘密图像进行重构，则构成图像分存。

在Shamir-(k,n)门限秘密共享中，秘密S通常为Lagrange插值多项式的常数项，由此提供的分存容量十分有限。为提高分存容量，Thien C C等,2002(Thien C C,Lin JC.Secret image sharing[J].Computers&Graphics,2002,26(5):765-770.)将Lagrange插值多项式所有系数用于密图像素分存，但由于Lagrange插值多项式分存模数为素数，而像素实际量化范围通常为[0,255]范围内整数，所以需预先对每个像素进行截断处理，即将所有251及其以上像素值调整为250，由此会对重构密图视觉质量产生较大影响。为降低密图像素截断处理对重构密图视觉质量影响，Kanso A等,2016.(Kanso A,Ghebleh M.Anefficient(t,n)–threshold secret image sharing scheme[J].Multimedia Tools&Applications,2016:1-20)利用循环移位，将最不重要比特位前置清零来减小对251及其以上像素值调整损失。但Thien C C等,2002.和Kanso A等,2016.不存在任何认证措施，将导致最终重构密图真实性无法鉴别。

针对无认证措施图像分存方案在使用过程中存在的安全隐患，一些文献也探讨了带认证图像分存。Lin C C等,2004.(Lin C C,Tsai W H.Secret image sharing withsteganography and authentication[J].The Journal of Systems and Software,2004,73(3):405–414.)预先将密图像素调整到[0,251)之间，然后对其进行Shamir-(k,n)分存，调整2×2分块右上角位置奇偶校验位作为认证位，但认证信息只有1位奇偶校验位，认证能力较弱。为避免Lin C C等,2004.所提策略对密图预先处理导致的密图失真，Yang C N等,2007.(Yang C N,Chen T S,Yu K H,et al.Improvements of image sharing withsteganography and authentication[J].The Journal of Systems and Software,2007,80(7):1070-1076.)将Shamir-(k,n)拓展到GF(2⁸)有限域，并通过HMAC(Hash-basedMessage Authentication Code)对分存信息进行认证，但所提认证方法依然只有1位认证位，恶意参与者依然有很大概率逃脱检验。为增加认证能力，Chang C C等,2008.(Chang CC,Hsieh Y P,Lin C H.Sharing secrets in stego images with authentication[J].Pattern Recognition,2008,41(10):3130–3137.)利用中国剩余定理生成分存信息4位认证位，但需改变掩体图像2×2分块每个像素的低3位比特。Ulutas M等,2011.(Ulutas M,Ulutas G,Nabiyev V V.Secret image sharing with enhanced visual quality andauthentication mechanism[J].the Imaging Science Journal,2011,59(3):154-165.)将密图像素转换为相对于31的余数和乘数，从而可将密图像素分存信息降低为5比特，然后添加基于HMAC的3比特认证信息，将5比特分存信息和3比特认证信息嵌入到掩体图像对应的2×2分块所有像素的低2位比特位中。欧阳显斌等,2015a.(欧阳显斌,邵利平,陈文鑫.结合调整差值变换的(K,N)有意义图像分存方案.中国图象图形学报,2015,20(5):633-642.)使用调整差值变换将密图转变为位置图和差值图，然后分别对位置图和差值图进行(k,n)分存，并通过分块增强策略来弥补其使用严格认证存在的不足。以上文献Lin C C等,2004、Yang C N等,2007、Chang C C等,2008、Ulutas M等,2009和欧阳显斌等,2015a仅具备对恶意参与者的甄别能力，但无法对重构的密图像素准确性进行识别。为提高密图像素识别精度，欧阳显斌等，2015b(欧阳显斌,邵利平.一种基于GF(2³)的(K,N)有意义无扩张图像分存方案.计算机科学,2015,42(12):251-256.)对密图像素在GF(2³)有限域(k,n)进行分存且用4比特认证位直接认证，不仅提高了掩体图像质量，而且提高了对密图像素认证的准度，但GF(2³)有限域提供的分存空间十分有限，导致秘密像素认证能力偏低。同时以上文献LinC C等,2004、Yang C N等,2007、Chang C C等,2008、Ulutas M等,2009、欧阳显斌等,2015a和欧阳显斌等,2015b都仅依据(k,n)门限进行恢复，其所具有的恢复能力十分有限。

为提高攻击修复能力，Chang C C等，2011.(Chang C C,Chen Y H,Wang HC.Meaningful secret sharing technique with authentication and remedyabilities[J].Information Sciences,2011,181(14):3073–3084.)和Chen Y H等,2012.(Chen Y H,Chang C C.Image tamper detection and recovery based on dualwatermarks sharing strategy[J].Journal of Digital Information Management,2012,10(1):39-49.)使用Lagrange插值多项式多个系数来分存密图像素和它的配对像素，使得方案具备一定攻击后修复能力，但所提方案的后向认证比特较少，秘密像素分存信息最多存储两份且用最小覆盖矩形来确定被攻击区域，导致所提策略定位能力较低且恢复能力十分有限。为提高攻击后修复能力，Wu X T等，2013.(Wu X T,Sun W.Secret imagesharing scheme with authentication and remedy abilities based on cellularautomata and discrete wavelet transform[J].The Journal of Systems andSoftware,2013,86(4):1068-1088.)将密图的LL子带备份2份，构造出与原密图等大但每个像素只有4比特的备份图像，采用可逆元胞自动机来对秘密图像和备份图像进行分存，若原秘密像素被攻击，则可通过恢复出的备份图像对应位置像素进行修复。但所提方案至少需要3个编号连续的分存单元才能恢复出密图的2个秘密像素和备份图像的2个备份像素，若2×4分块中的任意一个像素被攻击，将导致2个密图像素及其备份图像的2个像素总共24位信息不可用，因此无法抵御随机噪声攻击。针对此问题，邵利平等,2015.(邵利平,欧阳显斌.基于GF(2⁷)有限域和双重认证的有意义(K,N)图像分存重构方法[P],中国国家知识产权局,201510920369.9)进一步引入了对LL子带进行比特位分组的非等量备份策略，对备份图像素的重要比特分组进行多备份，对不重要比特分组进行少备份，并引入了对密图和备份像素的前向认证和对分存信息的后向认证的双重认证策略，然后通过OPAP(Optimalpixel adjustment process)嵌入方法[15]将分存信息和后向认证比特嵌入到掩体分块的低位比特中以最大可能性地保证嵌密掩体视觉质量。通过双重认证，邵利平等,2015.所提策略的综合认证比特数为7k-12个比特，并且随着门限k的不断增加，其综合认证能力也在不断提高。但邵利平等,2015.在进行图像分存时，每次仅对备份像素分配5比特嵌入空间，而将绝大部分嵌入比特用于对秘密像素和备份像素认证，尽管具备较高认证精度，然而当分存门限k＝4时，邵利平等,2015.双重认证可提供16个认证比特，相当于对每个攻击点有(1/2¹⁶)的概率认证失败，即攻击识别率趋近于100％，而当k＞4时，再增加认证比特无疑是对分存空间的浪费。

同时以上所给出的图像分存方案：Thien C C等,2002、Kanso A,2016、Lin C C等,2004、Yang C N等,2007、Chang C C等,2008、Ulutas M等,2009、欧阳显斌等,2015a、欧阳显斌等,2015b中、Chang C C等,2011、Chen Y H等,2012、Wu X T等,2013和邵利平等,2015每个参与者重要程度都相同，然而在一些特定的应用场景中，一些参与者由于身份重要或地位特殊需拥有特殊的访问权限，因此需对参与者重要程度进行划分，使得重要程度更高的参与者拥有更高的分存权限。针对此问题，Li P等,2013.(Li P,Yang C N,Wu C C,etal.Essential secret image sharing scheme with different importance of shadows[J].Journal of Visual Communication&Image Representation,2013,24(7):1106-1114)和Yang C N等,2015(Yang C N,Li P,Wu C C,et al.Reducing shadow size inessential secret image sharing by conjunctive hierarchical approach[J].SignalProcessing Image Communication,2015,31(C):1-9.)提出了(t,s,k,n)关键分存，对(k,n)门限进一步添加约束：包括所包含的关键参与者数量s和重构秘密信息所要满足的关键参与者数量阈值t，即在(k,n)门限的基础上，要求参与恢复的影子图像数量至少为k∈(0,n]，其中至少要包含t∈(0,s]个关键影子图像，其中Li P等,2013是通过(k,s+k-t)门限秘密方案和门限值从1到k-t门限秘密共享来形成(t,s,k,n)方案；Yang C N等,2015是结合(k,s+k-t)和k-t个(k,n)门限秘密共享方法来构造(t,s,k,n)方案，两者都是通过中间影子图像的连接来形成大小不等的重要和非重要影子图像使得攻击者可依据影子图像大小检测出重要影子图像并对其恶意攻击，同时影子图像的连接过程也增加了密图恢复的复杂度。

针对Li P等,2013和Yang C N等,2015所构造的(t,s,k,n)分存方案重要和非重要影子图像大小不等，Li P等,2016.(Li P,Yang C N,Zhou Z.Essential secret imagesharing scheme with the same size of shadows[J].Digital Signal Processing,2016,50:51-60.)将Shamir-(k,n)分存模型对应的Lagrange插值多项式和与之对应的t阶导数多项式分别用于分存来构造重要和非重要影子图像，避免了不同数量不同大小的中间影子图像的连接所导致的重要和非重要影子图像大小不等，但所提方案不能借助Lagrange插值多项式进行高效恢复，Li P等,2016.仅验证了所构造的(t,s,k,n)方案的完备性而未给出具体的恢复策略，另外基于影子图像的(t,s,k,n)方案若要真正恢复将涉及大量的有限域满秩方程组求解，导致计算代价十分高昂。

发明内容

本发明目的在于提供一种多版本备份和限制性双重认证主密钥(t,s,k,n)图像分存方法，解决了现有对于图像分存时，计算复杂度高、分存精度低且恢复能力差的缺陷。为实现上述目的，本发明采用以下技术方案：

一种多版本备份和限制性双重认证主密钥(t,s,k,n)图像分存方法，包括以下步骤：

第1步：输入大素数p、主密钥key、(t,s,k,n)方案对应的参数、秘密图像S＝(s_i,j)_w×h和n份掩体图像

其中：key∈{1,2,…,p-1}，t,s,k,n均为正整数且满足t≤s≤n,t≤k≤n，t为重要参与者数量门限，s为重要参与者数量，k是参与者数量门限，n为全部参与者数量，同时，由主密钥key生成n个随机参与值P₁,P₂,…,P_n且满足P₁mod256,P₂mod256,…,P_n mod256两两不等；

第2步：首先对密图S＝(s_i,j)_w×h做一级整数离散小波变换，接着由主密钥key将LL子带置乱为

并通过S′_LL构造备份图像

接着，若k≥3时，则由主密钥key产生的k-2个随机数key₀,key₁,…,key_k-3将S^p置乱为

若k＝2时，则通过主密钥key将S^p置乱为S^p0；

第3步：将主密钥key映射为与密图像素、多版本备份图像像素以及这两类像素坐标位置相关的密钥key_i,j，然后由key_i,j生成前向认证比特位

第4步：将秘密像素s_i,j、多版本备份像素

以及

在GF(2⁸)有限域分存得到分存信息

是S_u对应的GF(2⁸)有限域多项式整数；

第5步：将

对应的8位2进制整数

主密钥key以及随机参与值P₁,P₂,…,P_n映射为随机数种子

并通过

产生1比特随机数作为

的后向认证比特

第6步：将

和

划分为4组，得到

和

并将

和

嵌入到掩体图像C^u对应像素

的低位比特上，得到

第7步：重复执行第3步～第6步，直到处理完所有密图像素，得到嵌密掩体

第8步：将key随机编码，得到a₀,a₁,…,a_k-1∈{1,2,…,p-1}，然后对a₀,a₁,…,a_k-1分别进行(k,s)分存和(k-t,n-s)分存，得到s个重要子密钥subkey₁,subkey₂,…,subkey_s和(n-s)个非重要子密钥subkey_s+1,subkey_s+2,…,subkey_n；

第9步：将嵌密掩体C′^u,u＝1,2,…s和重要分发密钥(subkey_u,P_u),u＝1,2,…,s分发给s个重要参与者，将剩余嵌密掩体C′^u,u＝s+1,s+2,…,n和非重要分发密钥(subkey_u,P_u),u＝s+1,s+2,…,n分发给(n-s)个非重要参与者，并将所有分发密钥(subkey_u,P_u),u＝1,2,…,n对应的MD5值公布到第3方公信方，销毁所有中间计算参数。

优选地，第2步中，对密图S＝(s_i,j)_w×h做一级整数离散小波变换的具体方法是使用整数Haar小波变换；

第2步中，构造备份图像

的具体方法是按式(1)构造备份图像：

式(1)，将

划分为3种比特类型：①显著比特l₇l₆l₅l₄l₃，②不显著比特l₂，③最不显著比特l₁l₀，其中l₇l₆l₅l₄l₃备份了4份，l₂备份了2份，l₁l₀备份了1份；

第3步中，将key映射为与密图像素、多版本备份图像像素以及这两类像素坐标位置相关的密钥key_i,j的具体方法是式(2):

第3步中，由key_i,j生成前向认证比特位

的具体方法为:

以key_i,j为随机种子生成k-1个随机数

并按式(3)生成前向认证信息

式(3)中，当k＝2时，秘密像素和备份信息只有2个前向认证比特位

而当k≥3时，秘密像素和备份信息总共有2k+4个前向认证比特位

第4步中，将秘密像素s_i,j，多版本备份像素

以及

进行比特位重组的具体方法是式(4)，其中当k＝2时，仅有1个备份像素

优选地，第4步中，在GF(2⁸)有限域分存，得到分存信息

的具体方法是式(5):

式(5)中，

是重组系数r₀,r₁,…,r_k-1对应的GF(2⁸)有限域多项式整数，

为GF(2⁸)有限域的本原多项式，对应为GF(2⁹)有限域的多项式整数，这里取

即

第5步中，将

对应的8位2进制整数

key以及随机参与值P₁,P₂,…,P_n映射为随机数种子

的具体方法为式(6):

第6步中，将

和

划分为4组得到

和

并将

和

嵌入到掩体图像C^u对应像素

的低位比特上得到

的具体方法是：

式(7)中，h是嵌入比特数，q是原掩体像素值，q′是普通LSB嵌入信息后的掩体像素值，q″是嵌入h比特位后像素值。

优选地，第8步中，将key随机编码，得到a₀,a₁,…,a_k-1∈{1,2,…,p-1}的具体方法：

由key随机产生k-1个随机数a₁,a₂,…,a_k-1∈{1,2,…,p-1}，然后和key一起按式(8)映射为a₀∈{1,2,…,p-1}

式(8)中p为大素数；

对a₀,a₁,…,a_k-1分别进行(k,s)分存和(k-t,n-s)分存，得到s个重要子密钥subkey₁,subkey₂,…,subkey_s和(n-s)个非重要子密钥subkey_s+1,subkey_s+2,…,subkey_n的具体方法是：

将a₀,a₁,…,a_k-1按式(9)进行分存，从而产生s个重要子密钥subkey₁,subkey₂,…,subkey_s，然后对a₀,a₁,…,a_k-1中k-t个系数a_t,a_t+1,…,a_k-1按式(10)进行分存，从而产生(n-s)个非重要子密钥subkey_s+1,subkey_s+2,…,subkey_n

f₀(P_u)＝(a₀+a₁P_u+…+a_tP_u ^t+a_t+1P_u ^t+1+…+a_k-1P_u ^k-1)mod p,u＝1,2,…,s (9)

g₀(P_u)＝(a_tP_u+a_t+1P_u ²+a_t+2P_u ³+…+a_k-1P_u ^k-t)modp,u＝s+1,s+2,…,n (10)。

一种多版本备份和限制性双重认证主密钥(t,s,k,n)图像分存恢复方法，包括以下步骤：

第1步：首先配置(t,s,k,n)分存方案参数t,s,k,n，其中t,s,k,n均为正整数且满足t≤s≤n,t≤k≤n；然后分别输入m₁个重要参与者对应的分发密钥

和嵌密掩体

以及m₂个非重要参与者对应的分发密钥

和嵌密掩体

第2步：对所有分发密钥对应的MD5值进行第3方公信方检验，若与第3方公信方存储的MD5值不一致，则拒绝该参与者参与恢复；若与第3方公信方存储的MD5值一致，则记通过第3方公信方检验的重要和非重要参与者数量分别为m′₁,m′₂，且满足m′₁≥t,m′₁+m′₂≥k，则继续进行第3步；若不满足m′₁≥t,m′₁+m′₂≥k，则失败退出；

第3步：不失一般性，假设m′₁＝m₁,m′₂＝m₂，将m₁个重要参与者对应的分发密钥

和m₂个非重要参与者对应的分发密钥

分别通过(k,s)和(k-t,n-s)进行分存，并恢复出随机整数a₀,a₁,…,a_k-1∈{1,2,…,p-1}，然后由a₀,a₁,…,a_k-1重构主密钥key；

第4步：初始化认证图

全为(0)_w×h，其中0表示认证失败，1表示认证通过，并约定：k＝2时，z＝0；当k≥3时，z＝k-3，即z为不同门限k下多版本备份图像的最大索引；

第5步：对所有参与者提供的嵌密掩体中提取出对应的分存信息和认证比特按限制性双重认证策略的第1重认证策略进行检验，若(i,j)位置分存信息通过第1重认证策略的数量大于等于门限k，则标记a_i,j＝1，其中i＝0,1,…,w-1,j＝0,1,…,h-1；

第6步：由A上所有标记为1位置对应的分存信息进行初始密图S_init和多版本备份图

重构，若重构出的初始密图像素

和

未通过限制性双重认证策略的第2重认证策略，则标记a_i,j＝0，其中i＝0,1,…,w-1,j＝0,1,…,h-1；

第7步：将A分别赋值给

由key产生z+1个随机数key₀,key₁，…,key_z作为随机数种子，将key_z用于同时对

进行同样逆置乱，其中z＝0,1,…,k-3，而当k＝2时，则直接通过key将

逆置乱为

第8步：将逆置乱后的

和

重新作为

和

第9步：根据

在(i,j),(i+w/2,j),(i,j+h/2),(i+w/2,j+h/2)位置元素得到密图置乱子带S′_LL像素

其中i＝0,1,…,w/2,j＝0,1,…,h/2；

第10步：由key对S′_LL进行逆置乱恢复并进一步通过1级离散整数小波变换来产生修复参考图像S_ref，然后结合邻近像素点插值拟合和修复参考图像像素替代修复策略来对最终密图S_final进行重建并输出S_final。

优选地，第3步中，由m₁个重要参与者对应的分发密钥

和m₂个非重要参与者对应的分发密钥

通过(k,s)分存和(k-t,n-s)分存恢复出随机整数a₀,a₁,…,a_k-1∈{1,2,…,p-1}的具体方法是：

①当m₁＝t时：

第3.1步：由

按式(11)插值出式(10)对应的系数a_t,a_t+1,…,a_k-1；

式(11)中，

为模p乘法逆元，这里由于p为大素数，从而保证任何一个模p非零值

在模p下都存在乘法逆元；

第3.2步：将a_t,a_t+1,…,a_k-1和

代入式(12)，从而求出

然后按式(13)插值出式(9)对应的低次项系数a₀,a₁,…,a_t-1；

②当m₁＞t时：

第3.1步：由m₁个重要参与者对应的分发密钥

和m₂个非重要参与者对应的分发密钥

按式(14)计算FP：

式(14)中，f₀和g₀分别对应为式(9)和式(10)，

依次对应为

即实际参与恢复的重要参与者随机参与值，

依次对应为

即实际参与恢复的非重要参与者随机参与值；

第3.2步：按式(15)计算M_T，然后按式(16)计算a＝(a₀,a₁,…,a_t-1,a_t,a_t+1,…,a_k-1)^T：

式(16)中，

是M_T ^TM_T在模p下的逆矩阵；

第3步，由a₀,a₁,…,a_k-1重构主密钥key的具体方法是式(17)

式(10)中，a₁,a₂,…,a_k-1∈{1,2,…,p-1}且p为大素数，因此a₁a₂…a_k-1modp≠0，而模p上的非0值a₁a₂…a_k-1在模p上存在对应的乘法逆元

优选地，第5步中，从所有参与者提供的嵌密掩体中提取出对应的分存信息和认证比特按限制性双重认证策略的第1重认证策略进行检验的具体方法是：

①从重要嵌密掩体

的

的低位比特上提取出

和

由

按式(6)重新生成随机数种子

然后重新生成1比特后向认证比特

若

则通过第1重检验，反之则检验失败；

②从非重要嵌密掩体

的

的低位比特上提取出

和

由

按式(6)重新生成随机数种子

然后重新生成1比特后向认证比特

若

则通过第1重检验，反之则检验失败；

第6步中，由A上所有标记为1位置对应的分存信息进行初始密图S_init和多版本备份图

重构的具体方法是按式(18)插值出式(5)对应的系数，然后按式(4)提取出将秘密像素s_i,j，多版本备份像素

作为S_init和多版本备份图

上的像素，从而重构初始密图S_init和多版本备份图

式(18)中，

是

在GF(2⁸)有限域逆元，若收集到任意l(l≥k)个分发信息

则可对式(15)的全部系数进行恢复；

第6步中，判断重构出的初始密图像素

和

未通过限制性双重认证策略的第2重认证策略的具体方法是：由式(4)提取出将秘密像素s_i,j和多版本备份像素

按式(2)计算key_i,j，以key_i,j为随机种子生成k-1个随机数

并按式(3)重新生成前向认证比特位

和式(4)直接提取出的

直接进行比对，若相等则通过认证，反之则未通过认证。

优选地，第9步中，根据

在(i,j),(i+w/2,j),(i,j+h/2),(i+w/2,j+h/2)位置元素得到密图置乱子带S′_LL像素

的具体方法是：

第9.1步：初始化cnt_q,sum_q,q∈[0,7]全为0，依次扫描

在(i,j),(i+w/2,j),(i,j+h/2),(i+w/2,j+h/2)位置元素，若其在对应的认证图像

上通过认证，则将其转换为6个比特bit₀,bit₁,…,bit₅；

第9.2步：若bit₀,bit₁,…,bit₅中存在l_q，则按式(19)对sum_q和cnt_q进行更新，其中q∈[0,7]，然后利用式(20)对

所有比特进行重建，输出

式(20)中，[]为四舍五入取整函数，而cnt_q＝0对应的是特别极端情况，即该备份比特的所有备份比特都认证失败。

优选地，第10步中，结合邻近像素点插值拟合和修复参考图像像素替代修复策略来对最终密图S_final进行重建的具体方法是：

第10.1步：记

和

对于S_init上的像素

若a_i,j＝1则不修改

的值，否则转第10.2步；

第10.2步：统计

的8-邻域像素通过认证的数量cntt_i,j，若cntt_i,j＜4则用

作为

否则转第10.3步；

第10.3步：使用

周围8-邻域像素认证通过像素来对

拟合，将拟合出的

约束为0-255间的整数；

第10.4步：处理完所有位置,可得最终修复后的密图S_final。

优选地，第10.3步中，使用

周围8-邻域像素认证通过像素来对

拟合的具体方法是：选取式(21)作为拟合多项式：

h(x,y)＝h₀+h₁x+h₂y+h₃xy (21)

式(21)中，h₀,h₁,h₂,h₃是待拟合参数，(x,y)是

的8领域认证通过的像素点位置坐标，h(x,y)是

的8领域认证通过的像素点的值；

对于式(21)的待拟合参数h₀,h₁,h₂,h₃可按式(22)进行迭代求解：

式(22)中：θ为迭代步长，通常设置为较小数值或随迭代次数增加而逐渐变小，t为迭代次数，在求解时，先初始

为0，直至拟合多项式趋于稳定或迭代次数超过指定迭代次数，将最终迭代出的

作为拟合参数h₀,h₁,h₂,h₃。

与现有技术相比，本发明的有益效果是：

①同传统信息分存方法相比，本发明引入的随机参与值避免了参与者编号泄露，而将随机参与值和主密钥一起用于对分发信息的后向认证比特生成，也使得后向认证比特和嵌密掩体之间的对应关系更为复杂，可以有效地防范恶意参与者对分发信息恶意篡改以及对他人掌握的分发信息认证比特的恶意揣测。

②结合随机参与值，本发明将(t,s,k,n)方案中对密图的重要和非重要影子图像的构造问题转换为对主密钥key的重要和非重要子密钥的构造问题，且所构造的重要和非重要子密钥都是模p上的整数且无法有效区分，子密钥相对于中间影子图像极大减小了信道传输复杂和计算的复杂度，保管起来也更为方便；从而以更小的代价来构造(t,s,k,n)分存策略。

③所构造的(t,s,k,n)分存策略是基于主密钥key的分存，而不是基于影子图像的(t,s,k,n)分存策略，因此避免了传统方法不同数量不同大小的中间影子图像连接所导致的重要和非重要影子图像大小不等,同时对主密钥key的恢复在整个分存方案中仅需计算1次，因而避免了传统方法需要重要和非重要影子图像直接参与恢复所导致的高复杂度问题，同时Li P等,2016.所构造的(t,s,k,n)方案不满足门限秘密共享的恢复条件，Li P等,2016.仅通过伯克霍夫插值证明了(t,s,k,n)方案的完备性，而本文所构造的主密钥(t,s,k,n)分存策略可根据参与恢复的重要参与者和非重要参与者数量选择不同的高效恢复策略，例如Lagrange插值或模p上的矩阵求逆进行高效地求解。

④Li P等,2016.所构造的(t,s,k,n)分存策略是不安全的，原因是满秩方程组可以求解所有未知数，但并不意味着非满秩方程组不能求解部分未知数，在本发明中，为使所构造的(t,s,k,n)分存策略更为安全可靠,引入了式(8)，使得所有的k个未知数a₀,a₁,…,a_k-1都恢复的情况下才能按式(10)对主密钥key进行恢复，因而具有较高的安全性。

⑤所构造的多版本备份策略和限制性双重认证策略在保持较高认证精度的同时，将尽可能多的嵌入比特用于对备份图像备份，从而形成备份图像的多个版本，在每个备份图像版本内进一步将备份图像像素划分为显著、不显著和最不显著比特，对显著比特多备份，对非显著比特少备份，从而不仅提高了单备份图像的恢复能力，同时也通过多版本图像的协同恢复来提高备份图像的恢复能力，同时所构造的多版本备份策略可充分利用不同位置存储的同一比特对备份图像进行高置信度的恢复，且可有效地通过统计运算来消除侥幸通过双重认证的个别比特的影响和具备较好的抗攻击能力。而限制性双重认证策略尽管相对于传统非等量备份双认证自修复有限域图像分存的认证比特数更少，但在综合认证能力也趋近或等同于邵利平等，2015的认证精度。

附图说明

图1本发明的图像分存方法流程图；

图2本发明的图像重构方法流程图；

图3本发明实施例的秘密图像，分辨率为256×256的8位标准灰度图像boats；

图4本发明实施例的掩体图像1，分辨率为512×512的8位标准灰度图像baboon；

图5本发明实施例的掩体图像2，分辨率为512×512的8位标准灰度图像f16；

图6本发明实施例的掩体图像3，分辨率为512×512的8位标准灰度图像sailboat；

图7本发明实施例的掩体图像4，分辨率为512×512的8位标准灰度图像lena；

图8本发明实施例的掩体图像5，分辨率为512×512的8位标准灰度图像peppers；

图9本发明实施例中嵌密掩体图像1，相对于图4的PSNR＝44.75dB；

图10本发明实施例中嵌密掩体图像2，相对于图5的PSNR＝44.74dB；

图11本发明实施例中嵌密掩体图像3，相对于图6的PSNR＝44.75dB；

图12本发明实施例中嵌密掩体图像4，相对于图7的PSNR＝44.75dB；

图13本发明实施例中嵌密掩体图像5，相对于图8的PSNR＝44.74dB；

图14本发明实施例的在图9～图12参与恢复阶段的认证结果；

图15本发明实施例的在图9～图12参与恢复阶段的还原出的秘密图像；

图16本发明实施例中被攻击后的嵌密掩体图像1；

图17本发明实施例中被攻击后的嵌密掩体图像2；

图18本发明实施例中被攻击后的嵌密掩体图像3；

图19本发明实施例在图16～图18和图12参与恢复阶段还原出的秘密图像，与原秘密图像相比的PSNR＝30.68dB；

图20本发明实施例在图16～图18和图12参与恢复阶段的认证结果。

具体实施方式

以JAVA jdk1.8.0_65为案例实施环境，以(2,3,4,5)门限方案为例结合附图对本发明实施方式进行详细说明，但不局限于本实施案例，其中图1是分存流程图，图2是重构流程图。以下以1个具体实例对分存过程进行说明：

第1步：输入大素数p＝1000000007、主密钥key＝131819、(t,s,k,n)方案对应的参数、分辨率为256×256秘密图像S＝(s_i,j)_256×256,s_i,j∈{0,1,…,255}(如图3所示)和5份掩体图像

(如图4～图8所示)；其中，t＝2,s＝3,k＝4,n＝5，满足t≤s≤n,t≤k≤n，其中t为重要参与者数量门限，s为重要参与者数量，k是参与者数量门限，n为全部参与者数量；同时，由主密钥key＝131819生成n＝5个随机参与值P₁＝29,P₂＝32,P₃＝65,P₄＝33,P₅＝124；

第2步：对图3密图S＝(s_i,j)_256×256做一级整数离散小波变换，并由key＝131819将LL子带置乱为

并将

按式(1)构造备份图像

本实施例中，取i＝0、j＝0、

按式(1)可得

由于k＝4，则通过key＝131819产生2个随机数key₀＝184和key₁＝52，利用key₀＝184和key₁＝52将S^p置乱为

第3步：将key映射为与密图像素、多版本备份图像像素以及这两类像素坐标位置相关的密钥key_i,j，然后由key_i,j生成前向认证比特位

其中，将key映射为与密图像素、多版本备份图像像素以及这两类像素坐标位置相关的密钥是式(2)，由key_i,j生成前向认证比特位

的具体方法为式(3)：

本实施例中，i＝0,j＝0,s₀,0＝126,

按式(2)

可计算key_0,0＝126×(32+10)+131819+0＝137111，假设以key_0,0为随机种子生成的3个随机数

则按式(3)

生成

第4步：将秘密像素s_i,j、多版本备份像素

以及

进行比特位重组，然后在GF(2⁸)有限域分存得到分存信息

是S_u对应的GF(2⁸)有限域多项式整数，即将GF(2⁸)有限域的多项式系数按指数幂次由7到0存储为8位整数；

其中，将秘密像素s_i,j、多版本备份像素

以及

进行比特位重组的具体方法是式(4),在GF(2⁸)有限域分存得到分存信息

的具体方法是式(5)；

本实施例取i＝0,j＝0,s_0,0＝126,

按式(4)r₀＝s_i,j,

有:r₀＝126，r₁＝2⁶·2+32＝160，r₂＝2⁶·2+10＝138，r₃＝95；由式(5)

可得到分存信息：

第5步：将

对应的8位2进制整数

key以及随机参与值P₁,P₂,…,P₅映射为随机数种子

并产生1比特随机数作为

的后向认证比特

其中，将

对应的8位2进制整数

key以及随机参与值P₁,P₂,…,P₅映射为随机数种子

的具体方法为式(6)；

按式(6)计算

本实施例中，取key＝131819，i＝0,j＝0,u＝1,P₁＝29，

对应的2进制数为

按式(6)

可计算

然后由

并产生1比特随机数作为

的后向认证比特

第6步：将

和

划分为4组，得到

和

并将

和

按式(7)嵌入到掩体图像C^u对应像素

的低位比特上得到

本实施例中，i＝0,j＝0,u＝1,

首先将

和

划分为4组，得到

和

然后，按式(7)将

和

嵌入到

得到

第7步：重复执行第3步～第6步，直到处理完所有密图像素，得到嵌密掩体

如图9～图13所示；

第8步：将key随机编码为a₀,a₁,a₂,a₃∈{1,2,…,p-1}，然后对a₀,a₁,a₂,a₃进行(4,3)分存和(2,2)分存，得到3个重要子密钥subkey₁,subkey₂,subkey₃和2个非重要子密钥subkey₄,subkey₅；其中key随机编码为a₀,a₁,a₂,a₃的具体方法是：由key＝131819随机产生3个随机数a₁,a₂,a₃，然后和key＝131819一起按式(8)映射为

对a₀,a₁,a₂,a₃进行(4,3)分存和(2,2)分存，得到3个重要子密钥subkey₁,subkey₂,subkey₃和2个非重要子密钥subkey₄,subkey₅的具体方法是：

将a₀,a₁,a₂,a₃按式(9)：f₀(P_u)＝(a₀+a₁P_u+a₂P_u ²+a₃P_u ³)mod p,u＝1,2,3进行分存，从而产生3个重要子密钥subkey₁,subkey₂,subkey₃；

然后对a₂,a₃按式(10)g₀(P_u)＝(a₂P_u+a₃P_u ²)modp,u＝4,5进行分存，从而产生2个非重要子密钥subkey₄,subkey₅；

本实施例中，由key＝131819随机产生3个随机数a₁＝3972,a₂＝64556,a₃＝120636，然后按式(8)映射为a₀＝143483572，将a₀,a₁,a₂,a₃按式(9)f₀(P_u)＝(143483572+3972P_u+64556P_u ²+120636P_u ³)mod 1000000007,u＝1,2,3进行分存，产生3个重要子密钥：

subkey₁＝(143483572+3972×29+64556×29²+120636×29³)mod 1000000007＝140081739

subkey₂＝(143483572+3972×32+64556×32²+120636×32³)mod 1000000007＝162716440

subkey₃＝(143483572+3972×65+64556×65²+120636×65³)mod 1000000007＝546152121

然后对a₂,a₃按式(10)g₀(P_u)＝(64556P_u+120636P_u ²)mod1000000007,u＝4,5进行分存，产生2个非重要子密钥：subkey₄＝(64556×33+120636×33²)mod1000000007＝133502952，

subkey₅＝(64556×124+120636×124²)mod1000000007＝862904073；

第9步：将嵌密掩体C′^u,u＝1,2,3和重要分发密钥(subkey_u,P_u),u＝1,2,3分发给3个重要参与者，将嵌密掩体C′^u,u＝4,5和非重要分发密钥(subkey_u,P_u),u＝4,5分发给2个非重要参与者并将所有分发密钥(subkey_u,P_u),u＝1,2,…,5对应的MD5值：0x5550e2ee2527f3fbaa2bf54ea0234a3d，0xc8e3de51628e427778c8141666f4c975，0xd0ea6a6f28c8a2c4e390796e3195359a，0xf851b9080e70a771c9a99f7fc9d26f31，0x1f4efd5c98b730cef4d3779061f04a9公布到第3方公信方，销毁所有中间计算参数。

以下以(2,3,4,5)门限具体实例对重构过程进行说明：

第1步：配置(t,s,k,n)分存方案参数t,s,k,n，其中t,s,k,n均为正整数且满足t≤s≤n,t≤k≤n；分别输入m₁个重要参与者对应的分发密钥

和嵌密掩体

以及m₂个非重要参与者对应的分发密钥

和嵌密掩体

本实施例中，配置(t,s,k,n)主密钥分存方案参数t＝2,s＝3,k＝4,n＝5，输入m₁＝3个重要参与者对应的分发密钥和嵌密掩体，其中，重要参与者1提供(subkey₁,P₁)和C′¹，重要参与者2提供(subkey₂,P₂)和C′²，重要参与者3提供(subkey₃,P₃)和C′³；输入m ₂＝1个非重要参与者对应的分发密钥和嵌密掩体，其中非重要参与者提供(subkey₄,P₄)和C′⁴，在本例中，取w＝h＝256，这里取subkey₁＝140081739,subkey₂＝162716440,subkey₃＝546152121,subkey₄＝133502952,P₁＝29,P₂＝32,P₃＝65,P₄＝33和嵌密掩体C′¹,C′²,C′³,C′⁴如图9～12所示；

第2步：对所有分发密钥对应的MD5值进行第3方公信方检验，若与第3方公信方存储的MD5值不一致，则拒绝该参与者参与恢复；

若与第3方公信方存储的MD5值一致，则记通过第3方公信方检验的重要和非重要参与者数量分别为m′₁,m′₂，且满足m′₁≥t,m′₁+m′₂≥k，则继续进行下一步；若不满足m′₁≥t,m′₁+m′₂≥k时，则失败退出；

为便于下文描述，这里假设所有重要和非重要参与者均通过第3方公信方检验，即m′₁＝m₁,m′₂＝m₂且满足m′₁≥t,m′₁+m′₂≥k；

本实施例中，重要参与者1,2,3和非重要参与者4提供的MD5值分别为0x5550e2ee2527f3fbaa2bf54ea0234a3d，0xc8e3de51628e427778c8141666f4c975，0xd0ea6a6f28c8a2c4e390796e3195359a，0xf851b9080e70a771c9a99f7fc9d26f31与第3方公信方一致，则通过第3方公信方检验的重要和非重要参与者数量分别为m′₁＝3,m′₂＝1，满足m′₁≥2,m′₁+m′₂≥4，则进行下一步；

第3步：不失一般性，假设m′₁＝m₁,m′₂＝m₂，则由m₁＝3个重要参与者对应的分发密钥(subkey₁,P₁),(subkey₂,P₂),(subkey₃,P₃)和m₂＝1个非重要参与者对应的分发密钥(subkey₄,P₄)通过(4,3)分存和(2,2)分存恢复出随机整数a₀,a₁,a₂,a₃∈{1,2,…,p-1}，然后由a₀,a₁,a₂,a₃重构主密钥key，其具体方法为：

首先由m₁个重要参与者对应的分发密钥(subkey₁,P₁),(subkey₂,P₂),(subkey₃,P₃)和m₂个非重要参与者对应的分发密钥(subkey₄,P₄)按式(14)计算FP＝(f₀(IP₀),f₀(IP₁),f₀(IP₂),g₀(NP₀))^T，其中f₀和g₀分别对应为式(9)和式(10)，IP₀,IP₁,IP₂依次对应为P₁,P₂,P₃，NP₀依次对应为P₄；按式(15)计算

然后按式(16)计算

由a₀,a₁,a₂,a₃按式(17)重构主密钥

本实施例中，取p＝1000000007由m₁＝3个重要参与者对应的分发密钥(140081739,29),(162716440,32),(546152121,65)和m₂＝1个非重要参与者对应的分发密钥(133502952,33)按式(14)计算FP＝(140081739,162716440,546152121,133502952)^T；

按式(15)计算

然后按式(16)计算：

由a₀＝143483572,a₁＝3972,a₂＝64556,a₃＝120636重构主密钥

第4步：初始化认证图

全为(0)_256×256，其中，0表示认证失败，1表示认证通过，多版本备份图像

第5步：对所有参与者提供的嵌密掩体中提取出对应的分存信息和认证比特按限制性双重认证策略的第1重认证策略进行检验，若(i,j)位置分存信息通过第1重认证策略的数量大于等于门限k＝4，则标记a_i,j＝1，其中i＝0,1,…,255,j＝0,1,…,255；其中对所有参与者提供的嵌密掩体中提取出对应的分存信息和认证比特按限制性双重认证策略的第1重认证策略进行检验的具体方法是：

①从重要嵌密掩体

的

的低位比特上提取出

和

由

按式(6)重新生成随机数种子

然后重新生成1比特后向认证比特

若

则通过第1重检验，反之则检验失败；

②从非重要嵌密掩体

的

的低位比特上提取出

和

由

按式(6)重新生成随机数种子

然后重新生成1比特后向认证比特

若

则通过第1重检验，反之则检验失败；

本实施例中，取i＝0,j＝0,v＝1，从重要嵌密掩体C′¹的

的低位比特上提取出

和

由

按式(6)重新生成随机数种子

然后重新生成1比特后向认证比特

由于

则通过第1重检验；

假设若(0,0)位置分存信息通过第1重认证策略的数量等于门限k＝4，则标记a_0,0＝1；

第6步：由A上所有标记为1位置对应的分存信息进行初始密图S_init和多版本备份图

重构，若重构出的初始密图像素

和

未通过限制性双重认证策略的第2重认证策略，则标记a_i,j＝0，其中i＝0,1,…,255,j＝0,1,…,255；其中由A上所有标记为1位置对应的分存信息进行初始密图S_init和多版本备份图

重构的具体方法是：

按式(18)

插值出式(5)

对应的系数，然后按式(4)提取出将秘密像素s_i,j，多版本备份像素

作为S_init和多版本备份图

上的像素，从而重构初始密图S_init和多版本备份图

判断重构出的初始密图像素

和

未通过限制性双重认证策略的第2重认证策略的具体方法是：

由式(4)提取出将秘密像素s_i,j和多版本备份像素

按式(2)计算

以key_i,j为随机种子生成3个随机数

并重新生成前向认证比特位

和式(4)直接提取出的

直接进行比对，若

则通过认证，反之则未通过认证。

本实施例中，取i＝0,j＝0，A的(0,0)位置上标记为1对应的分存信息

由

插值出

得到r₀＝126,r₁＝160,r₂＝138,r₃＝95，

s_0,0＝r₀＝126,

由s_0,0和

计算随机数种子key_0,0＝126×(32+10)+131819+0+0+0×0＝137111，以key_0,0为随机种子生成3个随机数

并重新生成前向认证比特位

和直接提取出的

直接进行比对，由

可知通过第2重认证，当处理完所有位置后得到认证图A如图14所示，由于不存在黑点，表明完全通过认证；

第7步：将A分别赋值给

由key产生2个随机数key₀,key₁作为随机数种子，将key_z用于同时对

进行同样逆置乱，其中z＝0,1；

例如：由于k＝4，将A分别赋值给

由key＝131819产生2个随机数key₀＝184,key₁＝52作为随机数种子，将key₀＝184用于同时对

进行同样逆置乱，将key₁＝52用于同时对

进行同样逆置乱；

第8步：将逆置乱后的

和

重新作为

和

第9步：根据

在(i,j),(i+w/2,j),(i,j+h/2),(i+w/2,j+h/2)位置元素得到密图置乱子带S′_LL像素

其中i＝0,1,…,w/2,j＝0,1,…,h/2；具体实现方法是：初始化cnt_q,sum_q,q∈[0,7]全为0，依次扫描

在(i,j),(i+w/2,j),(i,j+h/2),(i+w/2,j+h/2)位置元素，若其在对应的认证图像

上通过认证，则将其转换为6个比特bit₀,bit₁,…,bit₅；若bit₀,bit₁,…,bit₅中存在l_q，则按sum_q＝sum_q+l_q和cnt_q＝cnt_q+1进行更新，其中q∈[0,7]；然后利用式(20)对

所有比特进行重建，输出

例如：取i＝0,j＝0，假设有

则将

转换为6个比特

对于

的l₇，通过认证的

转化后的比特中存在l₇，则sum₇＝1+1+1+1+1＝5,cnt₇＝1+1+1+1+1＝5，同样sum₆＝0,cnt₆＝5,sum₅＝5,cnt₅＝5,sum₄＝0,cnt₄＝5,sum₃＝5,cnt₃＝5,sum₂＝4,cnt₂＝4,sum₁＝1,cnt₁＝1,sum₀＝0,cnt₀＝0，由于cnt₇≠0，则l₇＝[sum₇/cnt₇]＝[5/5]＝1；同样可得l₆＝0,l₅＝1,l₄＝0,l₃＝1,l₂＝1,l₁＝1,l₀＝1，重建

第10步：由key对S′_LL进行逆置乱恢复并进一步通过1级离散整数小波变换来产生修复参考图像S_ref，然后结合邻近像素点插值拟合和修复参考图像像素替代修复策略来对最终密图S_final进行重建并输出S_final，其中结合邻近像素点插值拟合和修复参考图像像素替代修复策略来对最终密图S_final进行重建的具体方法是：记

和

对于S_init上的像素

若a_i,j＝1则不修改

的值；否则统计

的8-邻域像素通过认证的数量cntt_i,j，若cntt_i,j＜4则用

作为

若cntt_i,j≥4则使用

周围8-邻域像素认证通过像素来对

拟合，将拟合出的

约束为0-255间的整数，具体实现方法为：选取式(21)h(x,y)＝h₀+h₁x+h₂y+h₃xy作为拟合多项式，其中h₀,h₁,h₂,h₃是待拟合参数，(x,y)是

的8领域认证通过的像素点位置坐标，h(x,y)是

的8领域认证通过的像素点的值，待拟合参数h₀,h₁,h₂,h₃可按式(22)进行迭代求解，其中θ为迭代步长，通常设置为较小数值或随迭代次数增加而逐渐变小，t为迭代次数，在求解时，先初始

为0，直至拟合多项式趋于稳定或迭代次数超过指定迭代次数，将最终迭代出的

作为拟合参数h₀,h₁,h₂,h₃；最后处理完所有位置，可得最终修复后的密图S_final；

例如：取i＝0,j＝0，由于a_0,0＝1，所以

不需改变，假设a_0,0＝0，而8-邻域位置为(-1,-1),(-1,0),(-1,1),(0,-1),(0,1),(1,-1),(1,0),(1,1)因为(-1,-1),(-1,0),(-1,1),(0,-1),(1,-1)位置不存在认为认证不通过即cntt_0,0＜4，令

假设a_1,1＝0，而8-邻域位置为(0,0),(0,1),(0,2),(1,0),(1,2),(2,0),(2,1),(2,2)均通过认证，即有cntt_1,1≥4即选取h(x,y)＝h₀+h₁x+h₂y+h₃xy作为拟合多项式，待拟合参数h₀,h₁,h₂,h₃按式(22)进行迭代求解，将h(1,1)量化到[0,255]之间作为

最后直至处理完所有位置，可得最终修复后的密图

如图15所示。

上述恢复过程是参与者1，2，3均未遭到攻击的情况下的还原过程，在恢复阶段可能用户提供的嵌密掩体图像遭到攻击，如参与者1，2，3，4参与恢复阶段，但是参与者1的嵌密掩体图像被攻击，如图16所示，参与者2，3提供的嵌密掩体图像被攻击，如图17和图18所示，参与者4提供的嵌密掩体图像不进行任何攻击，假设他们提供的分发密钥均通过认证的情况下，则按上述步骤可还原得到最终秘密图像，如图19所示和以及对应的认证图，如图20所示。

Claims (10)

1.一种多版本备份和限制性双重认证主密钥(t,s,k,n)图像分存方法，其特征在于包括以下步骤：

第1步：输入大素数p、主密钥key、(t,s,k,n)方案对应的参数、秘密图像S＝(s_i,j)_w×h和n份掩体图像

其中：w×h是秘密图像的分辨率，key∈{1,2,…,p-1}，t,s,k,n均为正整数且满足t≤s≤n,t≤k≤n，t为重要参与者数量门限，s为重要参与者数量，k是参与者数量门限，同时，由主密钥key生成n个随机参与值P₁,P₂,…,P_n且满足P₁mod256,P₂mod256,…,P_nmod256两两不等，n为数量；

第2步：首先对密图S＝(s_i,j)_w×h做一级整数离散小波变换，接着由主密钥key将LL子带置乱为

并通过S′_LL构造备份图像

接着，若k≥3时，则由主密钥key产生的k-2个随机数key₀,key₁,…,key_k-3将S^p置乱为

若k＝2时，则通过主密钥key将S^p置乱为

第3步：将主密钥key映射为与密图像素、多版本备份图像像素以及这两类像素坐标位置相关的密钥key_i,j，然后由key_i,j生成前向认证比特位

第4步：将秘密像素s_i,j、多版本备份像素

以及

在GF(2⁸)有限域分存得到分存信息

是S_u对应的GF(2⁸)有限域多项式整数；

第5步：将

对应的8位2进制整数

主密钥key以及随机参与值P₁,P₂,…,P_n映射为随机数种子

并通过

产生1比特随机数作为

的后向认证比特

第6步：将

和

划分为4组，得到

和

并将

和

嵌入到掩体图像C^u对应像素

的低位比特上，得到

第7步：重复执行第3步～第6步，直到处理完所有密图像素，得到嵌密掩体

第8步：将key随机编码，得到a₀,a₁,…,a_k-1∈{1,2,…,p-1}，然后对a₀,a₁,…,a_k-1分别进行(k,s)分存和(k-t,n-s)分存，得到s个重要子密钥subkey₁,subkey₂,…,subkey_s和(n-s)个非重要子密钥subkey_s+1,subkey_s+2,…,subkey_n；

第9步：将嵌密掩体C′^u,u＝1,2,…s和重要分发密钥(subkey_u,P_u),u＝1,2,…,s分发给s个重要参与者，将剩余嵌密掩体C′^u,u＝s+1,s+2,…,n和非重要分发密钥(subkey_u,P_u),u＝s+1,s+2,…,n分发给(n-s)个非重要参与者，并将所有分发密钥(subkey_u,P_u),u＝1,2,…,n对应的MD5值公布到第3方公信方，销毁所有中间计算参数。

2.如权利要求1所述的一种多版本备份和限制性双重认证主密钥(t,s,k,n)图像分存方法，其特征在于：第2步中，对密图S＝(s_i,j)_w×h做一级整数离散小波变换的具体方法是使用整数Haar小波变换；

第2步中，构造备份图像

的具体方法是按式(1)构造备份图像：

式(1)，将

划分为3种比特类型：①显著比特l₇l₆l₅l₄l₃，②不显著比特l₂，③最不显著比特l₁l₀，其中l₇l₆l₅l₄l₃备份了4份，l₂备份了2份，l₁l₀备份了1份；

第3步中，将key映射为与密图像素、多版本备份图像像素以及这两类像素坐标位置相关的密钥key_i,j的具体方法是式(2):

第3步中，由key_i,j生成前向认证比特位

的具体方法为:

以key_i,j为随机种子生成k-1个随机数

并按式(3)生成前向认证信息

式(3)中，当k＝2时，秘密像素和备份信息只有2个前向认证比特位

而当k≥3时，秘密像素和备份信息总共有2k+4个前向认证比特位

第4步中，将秘密像素s_i,j，多版本备份像素

以及

进行比特位重组的具体方法是式(4)，其中当k＝2时，仅有1个备份像素

3.如权利要求1所述的一种多版本备份和限制性双重认证主密钥(t,s,k,n)图像分存方法，其特征在于：第4步中，在GF(2⁸)有限域分存，得到分存信息

的具体方法是式(5):

式(5)中，

是重组系数r₀,r₁,…,r_k-1对应的GF(2⁸)有限域多项式整数，

为GF(2⁸)有限域的本原多项式，对应为GF(2⁹)有限域的多项式整数，这里取

即

第5步中，将

对应的8位2进制整数

key以及随机参与值P₁,P₂,…,P_n映射为随机数种子

的具体方法为式(6):

第6步中，将

和

划分为4组得到

和

并将

和

嵌入到掩体图像C^u对应像素

的低位比特上得到

的具体方法是：

式(7)中，δ是嵌入比特数，q是原掩体像素值，q′是普通LSB嵌入信息后的掩体像素值，q″是嵌入δ比特位后像素值。

4.如权利要求1所述的一种多版本备份和限制性双重认证主密钥(t,s,k,n)图像分存方法，其特征在于：第8步中，将key随机编码，得到a₀,a₁,…,a_k-1∈{1,2,…,p-1}的具体方法：

由key随机产生k-1个随机数a₁,a₂,…,a_k-1∈{1,2,…,p-1}，然后和key一起按式(8)映射为a₀∈{1,2,…,p-1}

式(8)中p为大素数；

对a₀,a₁,…,a_k-1分别进行(k,s)分存和(k-t,n-s)分存，得到s个重要子密钥subkey₁,subkey₂,…,subkey_s和(n-s)个非重要子密钥subkey_s+1,subkey_s+2,…,subkey_n的具体方法是：

将a₀,a₁,…,a_k-1按式(9)进行分存，从而产生s个重要子密钥subkey₁,subkey₂,…,subkey_s，然后对a₀,a₁,…,a_k-1中k-t个系数a_t,a_t+1,…,a_k-1按式(10)进行分存，从而产生(n-s)个非重要子密钥subkey_s+1,subkey_s+2,…,subkey_n

f₀(P_u)＝(a₀+a₁P_u+…+a_tP_u ^t+a_t+1P_u ^t+1+…+a_k-1P_u ^k-1)mod p,u＝1,2,…,s (9)

g₀(P_u)＝(a_tP_u+a_t+1P_u ²+a_t+2P_u ³+…+a_k-1P_u ^k-t)modp,u＝s+1,s+2,…,n (10)。

5.与权利要求1相对应的一种多版本备份和限制性双重认证主密钥(t,s,k,n)图像分存恢复方法，其特征在于，包括以下步骤：

第1步：首先配置(t,s,k,n)分存方案参数t,s,k,n，其中t,s,k,n均为正整数且满足t≤s≤n,t≤k≤n；然后分别输入m₁个重要参与者对应的分发密钥

和嵌密掩体

以及m₂个非重要参与者对应的分发密钥

和嵌密掩体

第2步：对所有分发密钥对应的MD5值进行第3方公信方检验，若与第3方公信方存储的MD5值不一致，则拒绝该参与者参与恢复；若与第3方公信方存储的MD5值一致，则记通过第3方公信方检验的重要和非重要参与者数量分别为m′₁,m′₂，且满足m′₁≥t,m′₁+m′₂≥k，则继续进行第3步；若不满足m′₁≥t,m′₁+m′₂≥k，则失败退出；

第3步：假设m′₁＝m₁,m′₂＝m₂，将m₁个重要参与者对应的分发密钥

和m₂个非重要参与者对应的分发密钥

分别通过(k,s)和(k-t,n-s)进行分存，并恢复出随机整数a₀,a₁,…,a_k-1∈{1,2,…,p-1}，然后由a₀,a₁,…,a_k-1重构主密钥key；

第4步：初始化认证图A＝(a_i,j)_w×h,

全为(0)_w×h，其中0表示认证失败，1表示认证通过，并约定：k＝2时，z＝0；当k≥3时，z＝k-3，即z为不同门限k下多版本备份图像的最大索引；

第5步：对所有参与者提供的嵌密掩体中提取出对应的分存信息和认证比特按限制性双重认证策略的第1重认证策略进行检验，若(i,j)位置分存信息通过第1重认证策略的数量大于等于门限k，则标记a_i,j＝1，其中i＝0,1,…,w-1,j＝0,1,…,h-1；

第6步：由A上所有标记为1位置对应的分存信息进行初始密图S_init和多版本备份图

重构，若重构出的初始密图像素

和

未通过限制性双重认证策略的第2重认证策略，则标记a_i,j＝0，其中i＝0,1,…,w-1,j＝0,1,…,h-1；

第7步：将A分别赋值给

由key产生z+1个随机数key₀,key₁，…,key_z作为随机数种子，将key_z用于同时对

进行同样逆置乱，其中z＝0,1,…,k-3，而当k＝2时，则直接通过key将

逆置乱为

第8步：将逆置乱后的

和

重新作为

和

第9步：根据

在(i,j),(i+w/2,j),(i,j+h/2),(i+w/2,j+h/2)位置元素得到密图置乱子带S′_LL像素

其中i＝0,1,…,w/2,j＝0,1,…,h/2；

第10步：由key对S′_LL进行逆置乱恢复并进一步通过1级离散整数小波变换来产生修复参考图像S_ref，然后结合邻近像素点插值拟合和修复参考图像像素替代修复策略来对最终密图S_final进行重建并输出S_final。

6.如权利要求5所述的一种多版本备份和限制性双重认证主密钥(t,s,k,n)图像分存恢复方法，其特征在于：第3步中，由m₁个重要参与者对应的分发密钥

和m₂个非重要参与者对应的分发密钥

通过(k,s)分存和(k-t,n-s)分存恢复出随机整数a₀,a₁,…,a_k-1∈{1,2,…,p-1}的具体方法是：

①当m₁＝t时：

第3.1步：由(subkey_numr,P_numr),r＝1,2,…,m₂,num_r∈{s+1,s+2,…,n}按式(11)插值出式(10)对应的系数a_t,a_t+1,…,a_k-1；

式(11)中，

为模p乘法逆元，这里由于p为大素数，从而保证任何一个模p非零值

在模p下都存在乘法逆元；

第3.2步：将a_t,a_t+1,…,a_k-1和

代入式(12)，从而求出

然后按式(13)插值出式(9)对应的低次项系数a₀,a₁,…,a_t-1；

②当m₁＞t时：

第3.1步：由m₁个重要参与者对应的分发密钥

和m₂个非重要参与者对应的分发密钥

按式(14)计算FP：

式(14)中，f₀和g₀分别对应为式(9)和式(10)，

依次对应为

即实际参与恢复的重要参与者随机参与值，

依次对应为

即实际参与恢复的非重要参与者随机参与值；

第3.2步：按式(15)计算M_T，然后按式(16)计算a＝(a₀,a₁,…,a_t-1,a_t,a_t+1,…,a_k-1)^T：

式(16)中，

是M_T ^TM_T在模p下的逆矩阵；

第3.3步，由a₀,a₁,…,a_k-1重构主密钥key的具体方法是式(17)

式(10)中，a₁,a₂,…,a_k-1∈{1,2,…,p-1}且p为大素数，因此a₁a₂…a_k-1mod p≠0，而模p上的非0值a₁a₂…a_k-1在模p上存在对应的乘法逆元

7.如权利要求5所述的一种多版本备份和限制性双重认证主密钥(t,s,k,n)图像分存恢复方法，其特征在于：第5步中，对所有参与者提供的嵌密掩体中提取出对应的分存信息和认证比特按限制性双重认证策略的第1重认证策略进行检验的具体方法是：

①从重要嵌密掩体

的

的低位比特上提取出

和

由

按式(6)重新生成随机数种子

然后重新生成1比特后向认证比特

若

则通过第1重检验，反之则检验失败；

②从非重要嵌密掩体

的

的低位比特上提取出

和

由

按式(6)重新生成随机数种子

然后重新生成1比特后向认证比特

若

则通过第1重检验，反之则检验失败；

第6步中，由A上所有标记为1位置对应的分存信息进行初始密图S_init和多版本备份图

重构的具体方法是按式(18)插值出式(5)对应的系数，然后按式(4)提取出将秘密像素s_i,j，多版本备份像素

作为S_init和多版本备份图

上的像素，从而重构初始密图S_init和多版本备份图

式(18)中，

是

在GF(2⁸)有限域逆元，若收集到任意l(l≥k)个分发信息

则可对式(15)的全部系数进行恢复；

第6步中，判断重构出的初始密图像素

和

未通过限制性双重认证策略的第2重认证策略的具体方法是：由式(4)提取出将秘密像素s_i,j和多版本备份像素

按式(2)计算key_i,j，以key_i,j为随机种子生成k-1个随机数

并按式(3)重新生成前向认证比特位

和式(4)直接提取出的

直接进行比对，若相等则通过认证，反之则未通过认证。

8.如权利要求5所述的一种多版本备份和限制性双重认证主密钥(t,s,k,n)图像分存恢复方法，其特征在于：第9步中，根据

在(i,j),(i+w/2,j),(i,j+h/2),(i+w/2,j+h/2)位置元素得到密图置乱子带S′_LL像素

的具体方法是：

第9.1步：初始化cnt_q,sum_q,q∈[0,7]全为0，依次扫描

在(i,j),(i+w/2,j),(i,j+h/2),(i+w/2,j+h/2)位置元素，若其在对应的认证图像

上通过认证，则将其转换为6个比特bit₀,bit₁,…,bit₅；

第9.2步：若bit₀,bit₁,…,bit₅中存在l_q，则按式(19)对sum_ξ和cnt_ξ进行更新，其中ξ∈[0,7]，然后利用式(20)对

所有比特进行重建，输出

式(20)中，[ ]为四舍五入取整函数，而cnt_ξ＝0对应的是特别极端情况，即该备份比特的所有备份比特都认证失败。

9.如权利要求5所述的一种多版本备份和限制性双重认证主密钥(t,s,k,n)图像分存恢复方法，其特征在于：第10步中，结合邻近像素点插值拟合和修复参考图像像素替代修复策略来对最终密图S_final进行重建的具体方法是：

第10.1步：记

和

对于S_init上的像素

若a_i,j＝1则不修改

的值，否则转第10.2步；

第10.2步：统计

的8-邻域像素通过认证的数量cntt_i,j，若cntt_i,j＜4则用

作为

否则转第10.3步；

第10.3步：使用

周围8-邻域像素认证通过像素来对

拟合，将拟合出的

约束为0-255间的整数；

第10.4步：处理完所有位置,可得最终修复后的密图S_final。

10.如权利要求9所述的一种多版本备份和限制性双重认证主密钥(t,s,k,n)图像分存恢复方法，其特征在于：第10.3步中，使用

周围8-邻域像素认证通过像素来对

拟合的具体方法是：选取式(21)作为拟合多项式：

h(x,y)＝h₀+h₁x+h₂y+h₃xy (21)

式(21)中，h₀,h₁,h₂,h₃是待拟合参数，(x,y)是

的8领域认证通过的像素点位置坐标，h(x,y)是

的8领域认证通过的像素点的值；

对于式(21)的待拟合参数h₀,h₁,h₂,h₃可按式(22)进行迭代求解：

式(22)中：θ为迭代步长，设置为较小数值或随迭代次数增加而逐渐变小，t为迭代次数，在求解时，先初始

为0，直至拟合多项式趋于稳定或迭代次数超过指定迭代次数，将最终迭代出的

作为拟合参数h₀,h₁,h₂,h₃。

Images