周 能， 張敏情， 唐洪瓊， 周昊楠， 柯 彥， 狄富強(qiáng)

(武警工程大學(xué)密碼工程學(xué)院,網(wǎng)絡(luò)與信息安全武警部隊(duì)重點(diǎn)實(shí)驗(yàn)室, 西安 710086)

傳統(tǒng)的信息隱藏算法在嵌入數(shù)據(jù)后會(huì)造成原始載體的永久性失真,不能適用于需要無損恢復(fù)出原始載體的應(yīng)用場(chǎng)合,如云環(huán)境下的隱私數(shù)據(jù)標(biāo)注、遠(yuǎn)程醫(yī)學(xué)診斷、司法取證等對(duì)載體失真較為敏感的應(yīng)用領(lǐng)域[1]。而可逆信息隱藏算法[2]兼顧了信息隱藏與原始載體的無失真恢復(fù),得到了廣泛研究,主要有差值擴(kuò)展[3]和直方圖平移[4]。隨著云服務(wù)的推廣,出于隱私保護(hù)的目的,用戶通常要對(duì)上傳的數(shù)據(jù)進(jìn)行加密處理,從而將原始數(shù)據(jù)變成難以理解的密文數(shù)據(jù),云端需要直接在密文上嵌入時(shí)間戳、用戶身份等信息進(jìn)行密文管理,密文域可逆信息隱藏應(yīng)運(yùn)而生,且已成為最新的研究熱點(diǎn)。密文域可逆信息隱藏算法要求用于嵌入的載體是經(jīng)過加密的,嵌入信息后仍然可以無差錯(cuò)解密并恢復(fù)出原始載體。將病人身份、病歷報(bào)告等敏感信息通過密文域可逆信息隱藏的方法嵌入到密文圖像中,可以實(shí)現(xiàn)遠(yuǎn)程醫(yī)療圖像的密文安全管理。接收者不僅可以可逆恢復(fù)載體圖像,不影響圖像的正常使用,還可以正確提取合法認(rèn)證信息,保證圖像的完整性。綜上,密文域可逆信息隱藏算法是加密域信號(hào)處理技術(shù)與信息隱藏技術(shù)的重要結(jié)合點(diǎn),對(duì)于數(shù)據(jù)處理過程中的信息安全具有隱私保護(hù)與秘密信息傳遞雙重作用。

目前,該領(lǐng)域的技術(shù)難點(diǎn)在于實(shí)現(xiàn)載體圖像的完全可逆、提高算法的嵌入率以及嵌入信息的不可感知性等方面,相關(guān)學(xué)者做了大量的研究。按照對(duì)圖像的加密方式,主要可分為對(duì)稱密碼加密、秘密共享加密和公鑰密碼加密。對(duì)稱密碼加密計(jì)算復(fù)雜度低、加解密速度快,例如,文獻(xiàn)[5]提出了密文圖像上的可逆信息隱藏算法,該算法用流密碼加密圖像,而后將密文圖像分成互不重疊的塊,每塊有兩組,通過翻轉(zhuǎn)相應(yīng)組中每個(gè)像素的3個(gè)最低有效位嵌入1 bit信息,接收者通過波動(dòng)函數(shù)提取信息,但當(dāng)分塊小的時(shí)候,錯(cuò)誤率變高；文獻(xiàn)[6]利用能夠進(jìn)行邊匹配的波動(dòng)函數(shù)改進(jìn)了文獻(xiàn)[5]的算法,降低了算法提取信息的錯(cuò)誤率。上述算法需要在圖像加密后留出空間進(jìn)行信息隱藏,導(dǎo)致算法嵌入率較低,并且數(shù)據(jù)提取過程中有較高的錯(cuò)誤率。文獻(xiàn)[7]提出了一種加密前預(yù)留空間的密文域可逆信息隱藏算法；文獻(xiàn)[8]通過利用數(shù)據(jù)嵌入的預(yù)測(cè)誤差來提高可逆性、嵌入容量和圖像質(zhì)量。文獻(xiàn)[9]利用Shamir(k,n)門限秘密共享設(shè)計(jì)了密文域可逆信息隱藏算法,該算法將單個(gè)像素值作為多項(xiàng)式的常數(shù)項(xiàng),利用秘密共享將原始圖像加密成n份,分別發(fā)送給n個(gè)不同的數(shù)據(jù)嵌入者,數(shù)據(jù)嵌入者通過在密文上進(jìn)行差值擴(kuò)展或差值直方圖平移操作嵌入信息,接收者得到少于k份時(shí)無法恢復(fù)原始圖像；而文獻(xiàn)[10]利用的是多秘密共享加法同態(tài)的特點(diǎn)結(jié)合差值擴(kuò)展算法進(jìn)行信息嵌入,該算法將多個(gè)像素值作為多項(xiàng)式的系數(shù)而不是多項(xiàng)式的常數(shù)項(xiàng),因而提高了算法的加密效率。上述密文域可逆信息隱藏算法利用對(duì)稱密碼和秘密共享加密圖像,每一對(duì)發(fā)送者和接收者都必須擁有不同的密鑰,這在當(dāng)前的多方云計(jì)算服務(wù)背景下所需的密鑰量是巨大的,從而給密鑰管理帶來了困難。此外,大多數(shù)對(duì)稱密碼在將明文數(shù)據(jù)加密成不可讀的密文數(shù)據(jù)、保護(hù)數(shù)據(jù)安全的同時(shí),會(huì)破壞加密后數(shù)據(jù)的代數(shù)結(jié)構(gòu),導(dǎo)致密文幾乎不具有可后續(xù)處理的可能性。然而,在現(xiàn)實(shí)的云計(jì)算環(huán)境下,既要求數(shù)據(jù)處理系統(tǒng)能夠保護(hù)用戶隱私和數(shù)據(jù)安全,又要求加密后的數(shù)據(jù)能夠進(jìn)行傳統(tǒng)意義上數(shù)據(jù)處理操作,傳統(tǒng)的密碼算法不能適應(yīng)云計(jì)算背景下這種新的要求。因此,如何結(jié)合公鑰密碼設(shè)計(jì)出高性能的密文域可逆信息隱藏算法,實(shí)現(xiàn)對(duì)加密數(shù)據(jù)的有效管理及安全保護(hù),是云計(jì)算大數(shù)據(jù)環(huán)境下亟需解決的關(guān)鍵問題。

文獻(xiàn)[11]提出了基于公鑰密碼的密文圖像可逆信息隱藏,利用公鑰密碼的特點(diǎn)克服對(duì)稱加密需要安全通道事先傳遞密鑰的缺點(diǎn),該算法將1 bit信息嵌入到一對(duì)相鄰加密像素中,根據(jù)Paillier密碼體制加密的同態(tài)特性,接收端通過比較所有的解密像素對(duì)獲得秘密信息,其缺點(diǎn)是存在固有的溢出問題；而文獻(xiàn)[12-13]通過解決溢出問題改進(jìn)了文獻(xiàn)[11]的算法,文獻(xiàn)[12]將不可嵌入位置記為邊信息,圖像所有者把邊信息加密之后發(fā)送給數(shù)據(jù)嵌入者,這樣數(shù)據(jù)嵌入者在嵌入額外信息時(shí)就能夠避免溢出；文獻(xiàn)[13]結(jié)合信號(hào)能量轉(zhuǎn)移的方法,將一個(gè)像素值整數(shù)用3個(gè)整數(shù)來表示,從而避免溢出。文獻(xiàn)[14]將濕紙編碼(wet paper code, WPC)和Paillier同態(tài)加密特性相結(jié)合,該算法首先在明文域預(yù)留空間,加密后,可通過直方圖平移嵌入信息,使得嵌入的信息能夠在明文域中提取出來。結(jié)合同態(tài)加密特性,利用濕紙編碼將額外信息無損地嵌入到加密圖像中,使得能夠在加密域中提取嵌入的信息。該算法利用多個(gè)比特位進(jìn)行嵌入,嵌入率上限為1 bit/pixel。但是,由于使用WPC技術(shù),需要利用高斯消元法求解含k個(gè)未知數(shù)的一次方程組,且該算法實(shí)際上進(jìn)行了兩次的信息嵌入操作；文獻(xiàn)[15]利用Paillier密碼體制的同態(tài)和概率特性,提出了一種基于鏡像密文組的密文域可逆信息隱藏算法,由于采用加密前預(yù)留空間的方法,增加了明文泄露的風(fēng)險(xiǎn)；文獻(xiàn)[16]將EC-EG(elliptic curve ElGamal)應(yīng)用于密文域可逆信息隱藏,并通過構(gòu)造鏡像中心密文的方法提升了文獻(xiàn)[15]中算法的嵌入容量。文獻(xiàn)[17]利用基于R-LWE(ring-learning with errors)的淺同態(tài)加法特性提出了一種高容量的密文域可逆信息隱藏算法,但該算法只能進(jìn)行有限次的加法運(yùn)算；文獻(xiàn)[18]利用LWE(learning with errors)提出了一種基于加密過程的密文域可逆信息隱藏算法思想,該算法對(duì)LWE加密之后的密文冗余進(jìn)行重量化和再編碼進(jìn)行信息的可逆嵌入,并通過分析嵌入信息后密文統(tǒng)計(jì)特征的變化,推導(dǎo)出攜密密文圖像的分布函數(shù)就等于嵌入信息前密文圖像的分布函數(shù),論證了在密文中嵌入信息的不可感知性,但是當(dāng)明文長(zhǎng)度增加時(shí),加密密鑰長(zhǎng)度也相應(yīng)增加,造成密文擴(kuò)展率較高。

綜合上述分析,利用公鑰密碼同態(tài)性質(zhì)進(jìn)行信息嵌入是該領(lǐng)域的研究熱點(diǎn),而當(dāng)前大多利用Paillier等公鑰密碼加密圖像。在密碼學(xué)中,對(duì)于用什么公鑰密碼體制來代替正在廣泛應(yīng)用的RSA(rivest shamir adleman)和ECC(elliptic curve cryptography),主要有以下3個(gè)解決方案：NTRU(number theory research unit)公鑰密碼體制、McEliece公鑰密碼體制、MQ(multivariate quadratic polynomials)公鑰密碼體制。McEliece公鑰密碼體制基于糾錯(cuò)碼問題,雖然安全性強(qiáng),但是計(jì)算效率低；MQ公鑰密碼體制基于有限域上的多變?cè)味囗?xiàng)式方程組的難解性,在安全性方面的缺點(diǎn)比較明顯；而NTRU公鑰密碼體制算法簡(jiǎn)潔、計(jì)算速度快、占用存貯空間小。為此,提出了一種基于NTRU的密文域可逆信息隱藏算法。

1 相關(guān)技術(shù)

1.1 NTRU公鑰密碼體制

美國(guó)布朗大學(xué)的Hoffstein、Pipher和Silverman三位數(shù)學(xué)教授發(fā)明了NTRU公鑰密碼體制[19],由于NTRU產(chǎn)生密鑰的方法比較容易,加解密速度比RSA等算法快很多,NTRU成為當(dāng)前公鑰密碼體制研究的一個(gè)熱點(diǎn)。NTRU包括兩部分算法：NTRUEncrypt用來進(jìn)行加密,NTRUSign用來進(jìn)行數(shù)字簽名。與其他正在使用的公鑰密碼體制不同,NTRU可以防止被Shor算法破解,并顯著提升了性能。NTRU是一個(gè)基于多項(xiàng)式環(huán)的密碼體制,它的安全性依賴于格中最短向量問題(shortest vector problem, SVP)問題,與基于離散對(duì)數(shù)或大整數(shù)分解等公鑰密碼體制相比,它有許多優(yōu)勢(shì),在安全性方面的優(yōu)勢(shì)更為明顯,NTRU算法具有抵抗量子計(jì)算攻擊的能力,而RSA和ECC算法是無法抵抗量子計(jì)算的。主要介紹NTRUEncrypt算法過程[20]。

設(shè)多項(xiàng)式φ=xn+1,n為2的冪且n≥8。多項(xiàng)式環(huán)R=[x]/φ,Rq=R/qR,q≥5且為素?cái)?shù),這樣在Rq中有唯一的φk滿足

(2)密鑰生成。選擇n,q∈,。從D中采樣得到f′，令f=pf′+1，若則重采樣；從D中采樣得到g，若則重采樣；得到私鑰和公鑰且

(4)解密。若得到密文C和私鑰f，先計(jì)算C′=fC∈Rq，則明文為

M=C′modp=[p(gs+ef)+fM]modp∈P

(1)

(5)加法和乘法同態(tài)。對(duì)明文M1、M2加密得到密文C1=hs1+pe1+M1∈Rq、C2=hs2+pe2+M2∈Rq，則加法同態(tài)為

f(C1+C2)=p[f(e1+e2)+g(s1+s2)]+

f(M1+M2)?

(pEadd+f(M1+M2))modp

(2)

乘法同態(tài)為

f2(C1C2)=p[pg2s1s2+gs1f(pe2+M2)+

gs2f(pe1+M1)+

f2(e1M2+e2M1+pe1e2)]+

f2(M1M2)?

(pEmult+f2(M1M2))modp

(3)

即兩密文相加在解密后等于明文相加、兩密文相乘在解密后等于明文相乘。

1.2 游程長(zhǎng)度編碼

游程長(zhǎng)度編碼(run length coding, RLC)是一種與載體性質(zhì)無關(guān)的無損數(shù)據(jù)壓縮技術(shù)，其原理是用整數(shù)對(duì)(L，R)來表示游程序列，游程序列是指連續(xù)出現(xiàn)且相等的數(shù)字序列。例如對(duì)連續(xù)的二進(jìn)制序列11110000001100000000進(jìn)行RLC壓縮，由于游程編碼默認(rèn)從0開始計(jì)數(shù)，而二進(jìn)制序列的起始位是1，所以0的數(shù)量是0，接著1的數(shù)量是4，依次類推得到編碼結(jié)果為04628。實(shí)驗(yàn)圖像中存在不可嵌入位置，所以用0、1分別標(biāo)記可嵌入像素和不可嵌入像素位置得到位圖，再利用RLC壓縮位圖得到邊信息(side information, SI)。邊信息的作用是讓接收者知道信息嵌入在圖像中的位置，實(shí)現(xiàn)圖像的完全可逆恢復(fù)。

2 算法

2.1 設(shè)計(jì)思想

主要利用NTRU算法的加法同態(tài)性質(zhì)進(jìn)行信息嵌入、利用差值擴(kuò)展算法進(jìn)行預(yù)處理和可逆恢復(fù)。算法流程如圖1所示，由圖像所有者O、數(shù)據(jù)嵌入者H、接收者R構(gòu)成，算法主要包括參數(shù)設(shè)置、數(shù)據(jù)預(yù)處理、加密與信息嵌入、解密與信息提取等過程。

圖1 算法流程

2.2 算法過程

2.2.1 參數(shù)設(shè)置

選擇參數(shù)n、q、p、α、σ，則多項(xiàng)式φ=xn+1，n為2的冪且n≥8。多項(xiàng)式環(huán)R=[x]/φ，Rq=R/qR，q≥5且為素?cái)?shù)，在Rq中有唯一的φk滿足

2.2.2 數(shù)據(jù)預(yù)處理

2.2.3 加密與信息嵌入

2.2.4 解密與信息提取

wx′+M=f(Cx′+Cm)modp

=p[f(e1+e3)+g(s1+s3)]+f(wx′+M)?

(pEadd+f(wx′+M)modp

(4)

wy′=fCy′modp=

[p(gs+ef)+fwy′]modp

(5)

得到嵌入信息后的二進(jìn)制明文，將其轉(zhuǎn)換成十進(jìn)制后，得到嵌入信息后的十進(jìn)制明文，記為(x′,y′)。

(2)信息提取。若(x′+y′)mod2=1，則提取秘密信息M= 1；若(x′+y′)mod2=0，則提取秘密信息M= 0。

2.2.5 可逆恢復(fù)

2.3 邊信息處理

在可逆信息隱藏中，邊信息在可逆恢復(fù)過程中十分重要。本文算法的邊信息由差值擴(kuò)展產(chǎn)生，當(dāng)像素對(duì)(x′,y′)中任一像素的值不在圖像灰度[0, 255]的范圍內(nèi)，就用數(shù)字1標(biāo)記為不可嵌入位置。圖像中的不可嵌入位置是少數(shù)，即位圖中1是少數(shù)，大多數(shù)是0，圖像所有者可以將位圖利用RLC壓縮后作為邊信息傳遞給數(shù)據(jù)嵌入者和接收者，實(shí)現(xiàn)圖像的完全可逆恢復(fù)。

3 算法分析與仿真實(shí)驗(yàn)

為測(cè)試本文算法性能，選用USC-SIPI圖像庫中大小為512×512的8位灰度圖像進(jìn)行實(shí)驗(yàn)，如圖2所示。為了實(shí)驗(yàn)數(shù)據(jù)的全面性，既有平滑圖像，如Lena，又有紋理復(fù)雜圖像，如Baboon。在MATLAB中調(diào)用NTRUEncrypt算法的C++代碼來實(shí)現(xiàn)對(duì)圖像的加解密操作。實(shí)驗(yàn)所用的軟硬件環(huán)境為CPU: Intel(R) Core(TM) i7-5500U @ 3.60 GHz；RAM: 32 GB；OS: Windows 10；Programming: C++ and MATLAB R2015b。

圖2 測(cè)試圖像

3.1 安全性分析

由于文獻(xiàn)[20]對(duì)NTRU算法的正確性和安全性從數(shù)值幾何和代數(shù)數(shù)論的角度進(jìn)行了詳細(xì)證明，其安全性可規(guī)約到格上SVP問題[21]和BDD(bounded distance decoding)問題[22](SVP問題的一個(gè)變種)，因此本節(jié)僅討論所提算法可能遇到的潛在攻擊。首先列出安全性分析中用到的幾個(gè)困難問題定義，然后主要考慮已知明文攻擊(known plaintext attack, KPA)和惟密文攻擊(ciphertext only attack, COA)。

定義1給定格L的任意一組基，如果能夠找到滿足下列條件的非零格向量：v∈L，使得|v|=λ1(L)，則稱這個(gè)問題為SVP問題。

定義2令格L和向量mi[在αλ1(L)距離內(nèi)]，在距離αλ1(L)內(nèi)尋找距離mi滿足距離條件αλ1(L)的格點(diǎn)Bi∈L是一個(gè)α-BDD問題。

3.1.1 已知明文攻擊

在KPA假設(shè)下，攻擊者可以獲取大量的明密文對(duì)。攻擊者可能會(huì)獲取參數(shù)si、ei，因此，攻擊者能夠進(jìn)行下列計(jì)算：cj0-cj1=E(mi,2,si,ei)-E(mi,2,sj,ej) =h(si-sj)+2(ei-ej)。但是，根據(jù)NTRU問題假設(shè)，攻擊者不可能獲得si和ei，這相當(dāng)于解決格上SVP問題；且h=pg/f中，g和f從高斯分布D中取樣。從攻擊者的角度看，密文僅包含偽隨機(jī)的取樣，所以本文算法是KPA安全的。

3.1.2 惟密文攻擊

在COA假設(shè)下，攻擊者可以獲取密文，包括加密的界。明文mi和Bi使用相同的公鑰和參數(shù)si、ei加密，不同的mi對(duì)應(yīng)不同的Bi。攻擊者可能會(huì)推出界Bi。因此，攻擊者進(jìn)行下列計(jì)算：cj0-cj1=E(mi,2,si,ei)-E(Bi,2,si,ei)=mi-Bi。但是，根據(jù)BDD問題的困難性，同時(shí)mi是加密的，因此攻擊者無法獲得Bi，即從密文中無法得到任何其他信息，所以本文算法是COA安全的。

3.2 統(tǒng)計(jì)特征

在密文域可逆信息隱藏中，對(duì)密文中嵌入信息的不可感知性分析較少，也沒有統(tǒng)一的標(biāo)準(zhǔn)，文獻(xiàn)[1，18]通過分析嵌入信息后密文統(tǒng)計(jì)特征的變化，推導(dǎo)出攜密密文圖像的分布函數(shù)就等于嵌入信息前密文圖像的分布函數(shù)，論證在密文中嵌入信息的不可感知性，而本節(jié)則從統(tǒng)計(jì)的角度進(jìn)行定量分析。

圖3給出了Lena和Baboon的原始圖像和利用本文算法得到的密文圖像、攜密密文圖像。統(tǒng)計(jì)分析能夠測(cè)試算法在混亂和擴(kuò)散方面抵抗攻擊的性能。通過分析原始圖像、密文圖像、攜密密文圖像的直方圖及其方差、信息熵、相鄰像素相關(guān)性[23]，能夠有效說明加密算法的安全性、嵌入過程對(duì)于加密算法安全性的影響以及在密文圖像上嵌入信息的不可感知性。

圖3 原始圖像、密文圖像和攜密密文圖像

3.2.1 直方圖及其方差

密文圖像的直方圖接近均勻分布，并且與原始圖像的直方圖有明顯的差別，在數(shù)學(xué)計(jì)算上體現(xiàn)為密文圖像的方差比原始圖像的方差小得多，并且圖像像素的均勻分布情況可以用方差來度量，方差的計(jì)算公式為

(6)

式(6)中：histi(0≤i≤255)表示圖像某一像素值的個(gè)數(shù)。

3.2.2 信息熵

信息熵可用來度量圖像信息的多少，根據(jù)Shannon的定理，圖像的信息量計(jì)算公式為

(7)

圖4 原始圖像、密文圖像、攜密密文圖像的直方圖與信息熵

式(7)中：圖像有L種灰度mi，且對(duì)應(yīng)的概率分別為p(mi)。稱H為圖像的信息熵。從理論分析來看，信息熵越大，灰度圖越接近均分分布，對(duì)于一幅無任何失真的灰度圖像，文獻(xiàn)[23]證明其信息熵等于8。

圖4所示為原始圖像、密文圖像、攜密密文圖像的分布直方圖，計(jì)算各組圖像實(shí)驗(yàn)結(jié)果的方差和信息熵，分別記為S和H。圖4表明攜密密文圖像的直方圖與原密文圖像的直方圖相比沒有出現(xiàn)明顯變化，而嵌入信息的過程可看作噪聲微擾導(dǎo)致密文圖像變化的過程，因此對(duì)密文圖像的分布特性基本不會(huì)發(fā)生破壞。對(duì)圖4的直方圖中數(shù)據(jù)計(jì)算平均信息熵，結(jié)果表明攜密密文圖像的信息熵不低于原始密文圖像，基本接近于加密域中數(shù)據(jù)等概率分布時(shí)的最大信息熵。

3.2.3 相鄰像素相關(guān)性

原始圖像的相鄰像素相關(guān)性系數(shù)應(yīng)接近于1，密文圖像的相關(guān)性系數(shù)應(yīng)比1小很多，表明原始圖像與密文圖像的相鄰像素相關(guān)性是完全分開的。圖像相鄰像素相關(guān)性系數(shù)rxy(rxy∈[-1, 1]，-1表示負(fù)相關(guān)，1表示正相關(guān))的計(jì)算公式為

圖5 原始圖像、密文圖像、攜密密文圖像的相關(guān)性散點(diǎn)圖

(8)

式(8)中：

(9)

(10)

各從原始圖像、密文圖像、攜密密文圖像中隨機(jī)選擇1 000對(duì)水平、垂直、對(duì)角3種相鄰像素，計(jì)算平均相關(guān)性系數(shù)，記為rxy，結(jié)果如表1所示。通過對(duì)表1中原始圖像、密文圖像、攜密密文圖像的相鄰像素相關(guān)性進(jìn)行分析對(duì)比，可以看出原始圖像的相鄰像素相關(guān)性系數(shù)接近于1，說明其相鄰像素相關(guān)性非常強(qiáng)；密文圖像的相鄰像素相關(guān)性系數(shù)遠(yuǎn)小于1，說明密文圖像的相鄰像素相關(guān)性與原始圖像相比是完全分開的，且攜密密文圖像的相鄰像素相關(guān)性沒有出現(xiàn)明顯變化。此外，繪制出的1 000對(duì)水平、垂直、對(duì)角3種相鄰像素相關(guān)性散點(diǎn)圖從另一方面也驗(yàn)證了上述結(jié)論，結(jié)果如圖5所示。

表1 相鄰像素的相關(guān)性系數(shù)

綜上，通過對(duì)原始圖像、密文圖像、攜密密文圖像的直方圖及其方差、信息熵、相鄰像素相關(guān)性進(jìn)行統(tǒng)計(jì)分析，并通過實(shí)驗(yàn)驗(yàn)證了NTRU加密算法的安全性和在密文域中嵌入信息的不可感知性。

3.3 峰值信噪比和Q質(zhì)量因子分析

3.3.1 峰值信噪比

在可逆信息隱藏中，通常用峰值信噪比(peak signal-to-noise ratio, PSNR)評(píng)價(jià)與原始圖像相比較，恢復(fù)后圖像的質(zhì)量或失真情況。根據(jù)人類視覺系統(tǒng)的特點(diǎn)，通常認(rèn)為PSNR大于35 dB時(shí)，人眼覺察不到圖像有明顯的失真，PSNR可由式(11)計(jì)算：

(11)

式(11)中：MSE是原始圖像像素矩陣I和恢復(fù)圖像像素矩陣Ι′之間的均方誤差。MSE可由式(12)計(jì)算：

(12)

式(12)中：m×n是圖像大小。

在不同嵌入容量(embedding capacity, EC)下測(cè)試圖像的PSNR，如表2所示。對(duì)于平滑圖像Lena、Hill、Man，當(dāng)嵌入容量達(dá)到32 768 bits時(shí)，其PSNR仍大于35 dB；對(duì)于紋理復(fù)雜圖像Baboon，當(dāng)嵌入容量少于8 192 bits時(shí)，人眼覺察不到圖像有明顯的失真。選擇文獻(xiàn)[10，12，15]與本文算法進(jìn)行性能對(duì)比，對(duì)平滑圖像Lena和紋理復(fù)雜圖像Baboon的PSNR值實(shí)驗(yàn)結(jié)果對(duì)比分別如圖6所示。

文獻(xiàn)[10]利用多秘密共享加密圖像，多項(xiàng)式在模251的條件下進(jìn)行運(yùn)算，所以存在較多的不可嵌入位置，且隨著嵌入率的增加，PSNR值下降較快；在文獻(xiàn)[15]中，由于自嵌入數(shù)據(jù)時(shí)直方圖平移次數(shù)增加，再加上構(gòu)造鏡像密文組引起的失真加大，從而導(dǎo)致該算法的性能下降較快，所以本文算法在較高的嵌入率下比文獻(xiàn)[15]的PSNR值要高。

表2 測(cè)試圖像PSNR的實(shí)驗(yàn)結(jié)果

圖6 實(shí)驗(yàn)結(jié)果對(duì)比

3.3.2Q質(zhì)量因子

通過PSNR的大小，可以很清楚地知道嵌入信息后的圖像是否會(huì)被人的肉眼觀測(cè)出來。然而，PSNR不能指出嵌入信息前后兩幅圖像它們之間差別有多大。因此，可利用文獻(xiàn)[24]提出的通用質(zhì)量因子Q來檢測(cè)圖像在嵌入信息前后的相似度有多高。Q質(zhì)量因子由式(13)計(jì)算：

(13)

式(13)中：

(14)

3.4 嵌入率分析

本文算法的嵌入率(embedding rate, ER)由式(15)計(jì)算：

ER=嵌入容量/圖像的像素總個(gè)數(shù)

(15)

表4給出了實(shí)驗(yàn)圖像隨著嵌入容量增加得到的不可嵌入位置、嵌入率和邊信息的數(shù)據(jù)變化情況。由表4可以看出，圖像中不可嵌入位置是少數(shù)，基本上不影響圖像的嵌入率；經(jīng)過RLC壓縮之后的邊信息最多，只有241 bits，因而本文算法的輔助開銷非常少。

表3 測(cè)試圖像Q質(zhì)量因子的實(shí)驗(yàn)結(jié)果

表4 測(cè)試圖像的嵌入率和邊信息

4 結(jié)論

提出了基于NTRU的密文域可逆信息隱藏算法，利用NTRU的加法同態(tài)特性并結(jié)合差值擴(kuò)展算法進(jìn)行信息嵌入與提取，保證了嵌入信息的安全性與無失真提取，且確保了載體圖像恢復(fù)的完全可逆，算法分析與仿真實(shí)驗(yàn)說明了加密算法的安全性以及嵌入信息的不可感知性。當(dāng)前，隨著網(wǎng)絡(luò)安全和隱私保護(hù)需求的不斷增長(zhǎng)，未來將大量使用公鑰密碼技術(shù)，可將本文算法的密文域嵌入提取技術(shù)廣泛應(yīng)用，進(jìn)一步豐富密文域可逆信息隱藏的應(yīng)用場(chǎng)景。但是由于NTRU算法加密使得圖像密文呈現(xiàn)出均勻分布的特征，而嵌入信息的過程可看作噪聲微擾導(dǎo)致密文圖像變化的過程，因此，如何利用密碼學(xué)中可證明安全理論進(jìn)一步論證在密文中嵌入信息的不可感知性將是未來研究工作的一個(gè)方向。