柯 彥 張敏情 蘇婷婷

(網(wǎng)絡(luò)與信息安全武警部隊(duì)重點(diǎn)實(shí)驗(yàn)室(武警工程大學(xué)) 西安 710086) (武警工程大學(xué)電子技術(shù)系 西安 710086) (15114873390@163.com)

?

基于R-LWE的密文域多比特可逆信息隱藏算法

柯 彥 張敏情 蘇婷婷

(網(wǎng)絡(luò)與信息安全武警部隊(duì)重點(diǎn)實(shí)驗(yàn)室(武警工程大學(xué)) 西安 710086) (武警工程大學(xué)電子技術(shù)系 西安 710086) (15114873390@163.com)

密文域可逆信息隱藏是一種以密文為載體進(jìn)行信息嵌入與提取，同時(shí)能夠?qū)η度胄畔⒑蟮拿芪倪M(jìn)行無(wú)失真解密并恢復(fù)出原始明文的信息隱藏技術(shù)，具有隱私保護(hù)與信息隱藏雙重功能，在密文域數(shù)據(jù)處理與管理中具有較好的應(yīng)用前景.因此，提出了一種基于R-LWE(ring-learning with errors)的密文域多比特可逆信息隱藏方案.首先使用R-LWE算法對(duì)載體明文進(jìn)行快速高強(qiáng)度加密，然后通過(guò)對(duì)單位比特明文在密文空間映射區(qū)域的重量化以及對(duì)應(yīng)密文的再編碼，實(shí)現(xiàn)了在密文中嵌入多比特隱藏信息；嵌入信息時(shí)，根據(jù)加密過(guò)程中的數(shù)據(jù)分布特征來(lái)進(jìn)行嵌入編碼，保證了加解密與信息提取的魯棒性；解密與提取信息時(shí)，先計(jì)算量化系數(shù)，而后采用不同的量化標(biāo)準(zhǔn)分別進(jìn)行解密或信息提取，實(shí)現(xiàn)了解密與提取過(guò)程的可分離.分析方案的正確性時(shí)，首先推導(dǎo)方案出錯(cuò)的概率，說(shuō)明了算法中引入的噪聲的標(biāo)準(zhǔn)差對(duì)方案正確性的影響，然后結(jié)合理論分析與實(shí)驗(yàn)得出了保證方案正確性的噪聲標(biāo)準(zhǔn)差的取值區(qū)間；通過(guò)推導(dǎo)嵌入后密文的分布函數(shù)，分析密文統(tǒng)計(jì)特征的變化，論證了密文中嵌入隱藏信息的不可感知性.實(shí)驗(yàn)結(jié)果表明：該文方案不僅能夠?qū)崿F(xiàn)嵌入后密文的無(wú)差錯(cuò)解密與秘密信息的可靠提取，并且單位比特明文在密文域能夠負(fù)載多比特隱藏信息，密文嵌入率最高可達(dá)到0.2353 bpb.

信息安全；可逆信息隱藏；密文域；多比特嵌入；環(huán)上帶誤差的學(xué)習(xí)

傳統(tǒng)的信息隱藏算法在嵌入過(guò)程中會(huì)給原始載體帶來(lái)永久性失真，不能適用于嵌入信息后需要無(wú)失真恢復(fù)出原始載體的應(yīng)用場(chǎng)合，如云環(huán)境下隱私數(shù)據(jù)標(biāo)注、遠(yuǎn)程醫(yī)學(xué)診斷、司法取證等對(duì)載體失真較為敏感的應(yīng)用領(lǐng)域，因此可逆信息隱藏技術(shù)被提出，要求嵌入信息后可以無(wú)差錯(cuò)恢復(fù)出原始載體[1].隨著網(wǎng)絡(luò)的普及尤其是云服務(wù)的興起，隱私保護(hù)與信息安全需求日益增強(qiáng)，數(shù)據(jù)往往以密文的形式進(jìn)行傳輸與存儲(chǔ)，因此面向密文載體的可逆信息隱藏技術(shù)受到廣泛的關(guān)注.密文域可逆信息隱藏是指用于信息嵌入的載體是經(jīng)過(guò)加密的，嵌入后仍然可以無(wú)差錯(cuò)解密并恢復(fù)出原始載體的一種信息隱藏技術(shù)，主要用于加密數(shù)據(jù)的管理與認(rèn)證、加密域隱蔽通信[2]或其他安全保護(hù).例如，遠(yuǎn)程醫(yī)學(xué)診斷中為了保護(hù)患者隱私，通常加密傳輸或存儲(chǔ)醫(yī)學(xué)圖像，同時(shí)為了對(duì)密文圖像進(jìn)行歸類與管理，需要以可逆方式嵌入患者的私人信息甚至病歷、診斷結(jié)果、病理圖等隱私數(shù)據(jù)；云環(huán)境下，用戶需要先對(duì)數(shù)據(jù)進(jìn)行加密以確保云服務(wù)不泄露數(shù)據(jù)隱私，同時(shí)為了使云端或用戶能夠直接在密文域完成數(shù)據(jù)的檢索或聚類，需要可逆嵌入一些額外的備注信息而不能影響用戶解密原始數(shù)據(jù)；另外，在密文傳輸過(guò)程中，通過(guò)以可逆方式嵌入校驗(yàn)碼或Hash值，可以實(shí)現(xiàn)不解密情況下數(shù)據(jù)的完整性與正確性檢驗(yàn)等.綜上，密文域可逆信息隱藏對(duì)于信息安全與隱私保護(hù)可以起到雙重保險(xiǎn)的作用，是當(dāng)前密文域數(shù)據(jù)處理與信息隱藏技術(shù)的研究重點(diǎn)之一[3-4].

當(dāng)前密文域可逆信息隱藏的技術(shù)難點(diǎn)主要在于實(shí)現(xiàn)秘密信息的大容量嵌入、載體數(shù)據(jù)恢復(fù)得完全可逆、信息提取與解密過(guò)程的可分離以及嵌入信息的不可檢測(cè)性等方面.針對(duì)上述難點(diǎn)，該領(lǐng)域研究者們提出了多種解決方案，主要可分為部分加密和全局加密2類.部分加密算法是在加密前保留載體部分特征用于數(shù)據(jù)嵌入，而將載體剩余部分進(jìn)行加密，如文獻(xiàn)[5]是在壓縮過(guò)程中利用部分DCT系數(shù)攜帶額外信息而將其余系數(shù)加密；文獻(xiàn)[6]提出在H.264AVC格式視頻的壓縮過(guò)程中加密部分特征，而剩余部分特征用于數(shù)據(jù)嵌入；文獻(xiàn)[7]利用樹型哈爾變換域中的部分系數(shù)的位層實(shí)現(xiàn)信息嵌入.部分加密算法能夠較好地保證載體恢復(fù)的可逆性與秘密信息的嵌入率，但是保留載體部分原始特征容易導(dǎo)致原始信息泄露，威脅載體信息安全，因此當(dāng)前密文域可逆信息隱藏技術(shù)研究的重點(diǎn)在于全局加密類算法.

全局加密算法是對(duì)載體信息全部加密，數(shù)據(jù)嵌入過(guò)程完全在密文域上進(jìn)行，不會(huì)造成原始信息泄露.全局加密算法中的一類算法是通過(guò)引入密文域信息處理技術(shù)實(shí)現(xiàn)密文域嵌入，如同態(tài)技術(shù)[8-9]與熵編碼[10]等.文獻(xiàn)[8-9]用公鑰密碼加密載體數(shù)據(jù)，利用同態(tài)加密嵌入信息，能夠在密文域直接進(jìn)行操作實(shí)現(xiàn)嵌入，具有良好的可逆性；文獻(xiàn)[2]利用雙層嵌入的方法在明文數(shù)據(jù)中嵌入信息，并設(shè)計(jì)了一種修正的全同態(tài)加密算法對(duì)載密數(shù)據(jù)進(jìn)行加密，最后在密文域上提取隱藏信息，該算法能夠可分離地進(jìn)行載密數(shù)據(jù)解密與隱藏信息提取，并且在密文域同態(tài)嵌入的基礎(chǔ)上進(jìn)一步引入密碼學(xué)中可證明安全理論論證了所提方案的安全性.但是上述文獻(xiàn)中引入全同態(tài)加密后造成算法的計(jì)算復(fù)雜度過(guò)大，執(zhí)行效率與秘密信息嵌入率較低.文獻(xiàn)[10]引入熵編碼技術(shù)在密文編碼過(guò)程中嵌入信息，能夠達(dá)到完全可逆，執(zhí)行效率與嵌入率有了很大提高，但是由于算法的可逆性是基于解碼過(guò)程的可逆性，因此解密與信息提取過(guò)程不可分離.而當(dāng)前全局加密的另一類重要算法主要是基于圖像處理與加密、密文數(shù)據(jù)壓縮等技術(shù)來(lái)實(shí)現(xiàn)密文域嵌入，該類算法計(jì)算復(fù)雜度較小、執(zhí)行效率較高：文獻(xiàn)[1]首次將圖像加密技術(shù)和信息隱藏結(jié)合一體，提出密文圖像中的可逆信息隱藏算法，操作簡(jiǎn)單且滿足一定的可逆性要求，但是信息提取需要先進(jìn)行圖像解密，隱寫荷載與可逆恢復(fù)質(zhì)量受加密算法與圖像內(nèi)容限制較大；在此基礎(chǔ)上，文獻(xiàn)[11]通過(guò)改進(jìn)失真函數(shù)提升了這種方案的可逆性能，而文獻(xiàn)[12-13]通過(guò)改進(jìn)嵌入技術(shù)進(jìn)一步提高了嵌入容量，但是嵌入量提高后的載體圖片解密失真會(huì)有所增大；之后文獻(xiàn)[14]提出在加密的JPEG比特流中嵌入可逆信息以及文獻(xiàn)[15]提出基于鄰域像素平均差值的密文域可逆信息隱藏算法對(duì)文獻(xiàn)[1]進(jìn)行改進(jìn)，但仍然存在嵌入容量與可逆性相互制約的問(wèn)題；文獻(xiàn)[16]引入隨機(jī)擴(kuò)散的方法有效利用了文獻(xiàn)[1]中的像素空域關(guān)聯(lián)性，通過(guò)設(shè)計(jì)精確預(yù)測(cè)的算法在降低解密差錯(cuò)的同時(shí)提高了嵌入容量.但是上述算法[1,11-16]均不能實(shí)現(xiàn)載體解密恢復(fù)與信息提取過(guò)程的可分離，為此，文獻(xiàn)[17]提出可分離的加密圖像隱藏算法，利用矩陣運(yùn)算的方法把加密的圖像的 LSB 進(jìn)行壓縮騰出空間嵌入信息，在接收方分3種情況：使用隱藏密鑰可以提取嵌入數(shù)據(jù)、使用解密密鑰可以對(duì)攜秘密文圖像直接解密，2個(gè)操作可以單獨(dú)執(zhí)行；同時(shí)使用隱隱藏密鑰與解密密鑰可基本實(shí)現(xiàn)載體的完全恢復(fù).文獻(xiàn)[17]的方案操作簡(jiǎn)單，適用于更多的應(yīng)用場(chǎng)景，但是圖像載體恢復(fù)是基于像素間相關(guān)性，因此使用解密密鑰直接對(duì)攜秘密文解密時(shí)，由于可參考的像素點(diǎn)有限，造成解密存在一定失真；文獻(xiàn)[18]使用壓縮傳感的方法實(shí)現(xiàn)了解密與信息提取可分離，將加密后圖像與隱藏信息2部分?jǐn)?shù)據(jù)壓縮成原始密文圖片的大小，壓縮過(guò)程即完成了密文域額外信息的嵌入，解密與信息提取過(guò)程可分別在解壓后獨(dú)立進(jìn)行，能夠較好地保證載體恢復(fù)的可逆性，但是嵌入量受密文內(nèi)容與壓縮方式限制，而且解密恢復(fù)與提取過(guò)程都依賴于無(wú)損解壓，因此解密過(guò)程會(huì)導(dǎo)致隱藏信息暴露.此外，現(xiàn)有的密文域可逆信息隱藏算法在安全性，即保證密文嵌入前后統(tǒng)計(jì)特征不變與嵌入數(shù)據(jù)的不可感知性方面的相關(guān)研究還比較少.

通過(guò)上述分析可知，構(gòu)造完全可逆、高嵌入率且解密與信息提取可分離的密文域可逆嵌入算法是該領(lǐng)域研究與技術(shù)應(yīng)用的重點(diǎn).而當(dāng)前全局加密類算法使用的加密系統(tǒng)多數(shù)為對(duì)稱密碼系統(tǒng)，與公鑰密碼系統(tǒng)相比，對(duì)稱密碼密鑰生成與管理難度大，適用的加密場(chǎng)景有限，為此文獻(xiàn)[19]提出基于格上的LWE(learning with errors)公鑰加密的可逆隱寫方案，在可逆性、可分離性、執(zhí)行效率與隱寫安全性方面都有著較好的保證.本文主要針對(duì)文獻(xiàn)[19]進(jìn)行嵌入過(guò)程編碼算法的優(yōu)化，以及執(zhí)行效率與嵌入量上的改進(jìn).

在文獻(xiàn)[19]中，首先對(duì)LWE算法加密過(guò)程中引入噪聲的標(biāo)準(zhǔn)差進(jìn)行約束來(lái)產(chǎn)生可控冗余，然后對(duì)密文進(jìn)行再編碼實(shí)現(xiàn)在密文的可控冗余中嵌入額外數(shù)據(jù)，1 b明文在密文域可最大負(fù)載1 b秘密信息，解密恢復(fù)與信息提取的正確性基本達(dá)到了100%，并且在信息提取與解密過(guò)程中使用不同的量化標(biāo)準(zhǔn)實(shí)現(xiàn)了解密與信息提取的可分離.但是當(dāng)明文長(zhǎng)度增加時(shí)，為保證加密安全性，密鑰長(zhǎng)度也相應(yīng)增長(zhǎng)，造成密文擴(kuò)展率較高.設(shè)格空間向量長(zhǎng)度為m，文獻(xiàn)[19]中一次可加密與嵌入的數(shù)據(jù)長(zhǎng)度為O(m)，安全密鑰長(zhǎng)度為O(m2)，1 b明文對(duì)應(yīng)密文域空間為O(m2)，因此文獻(xiàn)[19]的加密與嵌入方案依然存在大量的計(jì)算冗余與空間冗余可用于提高信息嵌入效率.由此，本文基于文獻(xiàn)[19]的算法進(jìn)行3方面的改進(jìn)：

1) 對(duì)加密與嵌入的執(zhí)行效率進(jìn)行改進(jìn)，引入環(huán)上更高效的環(huán)上帶誤差的學(xué)習(xí)(ring-learning with errors, R-LWE)[20]加密算法，設(shè)環(huán)上多項(xiàng)式向量維數(shù)為m，多項(xiàng)式長(zhǎng)度為n，在與文獻(xiàn)[19]相同時(shí)間復(fù)雜度與加密強(qiáng)度的情況下本文方案一次可加密與嵌入的數(shù)據(jù)長(zhǎng)度為O(mn)，由于R-LWE算法[20]中沒(méi)有詳細(xì)給出R-LWE加密系統(tǒng)的參數(shù)取值，本文結(jié)合理論分析與實(shí)驗(yàn)仿真對(duì)方案中加密與嵌入過(guò)程的參數(shù)取值進(jìn)行了詳細(xì)地討論說(shuō)明；

2) 文獻(xiàn)[19]中要求加密過(guò)程對(duì)噪聲標(biāo)準(zhǔn)差進(jìn)行約束來(lái)控制噪聲波動(dòng)規(guī)模以保證方案的正確性，本文通過(guò)改進(jìn)嵌入編碼方式，充分利用噪聲的原始分布進(jìn)行重新編碼來(lái)嵌入額外信息而不需要對(duì)噪聲分布標(biāo)準(zhǔn)差進(jìn)行額外的約束，有效保證了原始加密的魯棒性與方案的正確性；

3) 通過(guò)對(duì)密文域進(jìn)行重量化，并劃分子區(qū)域，可對(duì)應(yīng)嵌入多進(jìn)制數(shù)據(jù)構(gòu)成的秘密信息，當(dāng)秘密信息為B進(jìn)制數(shù)據(jù)時(shí)，1 b明文在密文域最大可負(fù)載logBb額外信息.實(shí)驗(yàn)結(jié)果表明與文獻(xiàn)[19]相比，本文在運(yùn)行效率提高、計(jì)算復(fù)雜度不變的前提下，信息嵌入量提升到1 b明文，在密文域可負(fù)載4～8 b秘密信息.

最后，本文在安全性分析中通過(guò)理論分析與仿真實(shí)驗(yàn)結(jié)果說(shuō)明了方案嵌入后的密文服從均勻分布，符合傳統(tǒng)加密數(shù)據(jù)的統(tǒng)計(jì)分布特性.

1 相關(guān)技術(shù)

1.1 (R)LWE問(wèn)題與分析

2005年，Regev首次提出了LWE問(wèn)題[21].其復(fù)雜性可以歸約到格上的判定性最短向量問(wèn)題(gap version of shortest vectors problem, GAP-SVP)和最短無(wú)關(guān)向量問(wèn)題(shortest linearly independent vectors problem, SIVP)[22]，上述2種格中困難問(wèn)題已經(jīng)被證明是NP困難的，而LWE問(wèn)題可以看作隨機(jī)線性碼的解碼問(wèn)題，或者格上的有限距離解碼問(wèn)題(bounded distance decoding problem, BDD)，其困難性可以歸約到標(biāo)準(zhǔn)格中困難問(wèn)題的最困難情況[23].而且已知求解LWE問(wèn)題的算法都運(yùn)行在指數(shù)時(shí)間內(nèi)，能夠抵抗量子攻擊，因此LWE問(wèn)題具有可靠的理論安全性.此外，各類媒體的數(shù)據(jù)量極大，而格是一種線性結(jié)構(gòu)，LWE算法中的運(yùn)算基本都是線性運(yùn)算，加密速度比目前廣泛使用的基于大整數(shù)分解難題和離散對(duì)數(shù)難題的公鑰密碼高出很多，可以很好地適用于媒體數(shù)據(jù)量極大的云環(huán)境.但是隨著格空間向量長(zhǎng)度m的增大，為保證加密安全性， LWE算法需要相當(dāng)大的密鑰長(zhǎng)度，通常是m2階，并且方案密文數(shù)據(jù)的擴(kuò)展與計(jì)算復(fù)雜度也隨之增大，實(shí)用性降低.2007年，Kawachi等人針對(duì)Regev等人的LWE算法，提出格上的多比特加密算法[24]，通過(guò)約束[21]等算法中噪聲分布的標(biāo)準(zhǔn)差，使密文域中可容納的噪聲有效波動(dòng)區(qū)間數(shù)從2個(gè)增加到2n個(gè)，實(shí)現(xiàn)明文可一次加密位數(shù)為O(lbn)，但是與原LWE算法相比，文獻(xiàn)[24]損失了一定的加密安全性與加解密魯棒性.2010年，Lyubashevsky等人提出LWE環(huán)上的代數(shù)變種R-LWE[20]，并證明其困難性也可以歸約到標(biāo)準(zhǔn)格中困難問(wèn)題的最困難情況，與Regev與Kawachi等人的算法相比，Lyubashevsky的R-LWE算法通過(guò)運(yùn)算結(jié)構(gòu)的改進(jìn)，在保持加密強(qiáng)度與加解密魯棒性不變的情況下加密效率更高，密鑰長(zhǎng)度更小.

Lyubashevsky的R-LWE算法可有效應(yīng)用于密文域可逆信息隱藏，因?yàn)镽-LWE算法加密后的數(shù)據(jù)擴(kuò)展攜帶大量信息冗余，該部分冗余對(duì)于沒(méi)有私鑰的攻擊者來(lái)說(shuō)不包含任何有用信息，但是對(duì)于擁有私鑰的用戶來(lái)說(shuō)可嵌入隱藏信息.本文主要工作為在數(shù)據(jù)加密與嵌入前的預(yù)處理過(guò)程中，通過(guò)引入流密碼進(jìn)行隨機(jī)置亂，保持了嵌入前后R-LWE算法加密的困難性；通過(guò)對(duì)1位二進(jìn)制明文在密文空間映射區(qū)域的重量化與對(duì)應(yīng)密文的再編碼來(lái)嵌入1位多進(jìn)制數(shù)據(jù)，實(shí)現(xiàn)了單位比特明文可在密文域負(fù)載多比特隱藏信息；通過(guò)在密文域重量化過(guò)程中劃分子區(qū)域，并根據(jù)加密過(guò)程中的數(shù)據(jù)分布進(jìn)行再編碼保證了加解密過(guò)程的魯棒性，而對(duì)影響R-LWE算法加解密正確性的各關(guān)鍵參數(shù)(如噪聲標(biāo)準(zhǔn)差)沒(méi)有額外的約束，保證了嵌入后密文的無(wú)差錯(cuò)解密與嵌入信息的可靠提??；最后，在解密與信息提取過(guò)程中，分別采用不同的量化標(biāo)準(zhǔn)實(shí)現(xiàn)了提取與解密過(guò)程的可分離.

文獻(xiàn)[24]是當(dāng)前基于格進(jìn)行多比特加密的代表算法，通過(guò)控制噪聲標(biāo)準(zhǔn)差縮小噪聲波動(dòng)區(qū)間，使原算法中1 b明文對(duì)應(yīng)的密文空間可容納多個(gè)噪聲波動(dòng)，從而滿足多比特明文在一次加密過(guò)程中可以映射在不同的噪聲波動(dòng)區(qū)間，實(shí)現(xiàn)一次加密多比特明文，但是對(duì)噪聲標(biāo)準(zhǔn)差的約束會(huì)直接造成LWE算法的加密強(qiáng)度與加解密魯棒性降低.而本方案主要通過(guò)對(duì)密文域空間的重量化與密文數(shù)據(jù)的再編碼實(shí)現(xiàn)多比特信息嵌入，嵌入編碼根據(jù)加密過(guò)程中的數(shù)據(jù)分布進(jìn)行，對(duì)加密過(guò)程中引入噪聲的標(biāo)準(zhǔn)差沒(méi)有額外約束，充分保證了原R-LWE算法的加密強(qiáng)度與魯棒性，本文在第3節(jié)具體分析了算法的正確性與安全性.最后，本文方案是在載體數(shù)據(jù)按比特位加密的過(guò)程中嵌入信息，與載體種類無(wú)關(guān)，適用于文本、圖片、音頻等載體.

1.2 Lyubashevsky的R-LWE加密算法[20]

Lyubashevsky的R-LWE算法是格上基于R-LWE問(wèn)題的經(jīng)典公鑰密碼算法，本節(jié)介紹R-LWE算法過(guò)程，并對(duì)算法正確性進(jìn)行說(shuō)明.

設(shè)多項(xiàng)式向量維數(shù)d=O(lbq)，f(x)=xn+1，q>2n2,多項(xiàng)式環(huán)Rq=q[x]〈f(x)〉，r∈q.

結(jié)合圖示對(duì)上述算法的正確性進(jìn)行簡(jiǎn)要說(shuō)明：

Fig. 1 The distribution of integers in q.圖1 整數(shù)域q的取值分布

2 本文算法介紹

2.1 設(shè)計(jì)思想

Fig. 2 The partition of integers in q.圖2 整數(shù)域q的區(qū)域劃分

算法主要包括參數(shù)設(shè)置、數(shù)據(jù)預(yù)處理、加密并嵌入數(shù)據(jù)、數(shù)據(jù)解密與信息提取等過(guò)程.圖3為算法的系統(tǒng)架構(gòu)與流程框架，圖3(a)中隨機(jī)序列作為用戶私鑰的一部分，用于預(yù)處理及解密或數(shù)據(jù)提取后的信息恢復(fù)，因此通常要求與系統(tǒng)參數(shù)及加密公私鑰一同更新.由圖3系統(tǒng)架構(gòu)可見，算法主要應(yīng)用于公鑰加密系統(tǒng)下的秘密通信雙方，隱藏密鑰的持有者才能進(jìn)行密文域的嵌入提取及密文管理.如果通信雙方以外的可信第三方(如云服務(wù)器端)要進(jìn)行數(shù)據(jù)嵌入與提取，可以通過(guò)事先協(xié)商系統(tǒng)參數(shù)并相應(yīng)調(diào)整密鑰(隱藏密鑰與解密密鑰)的分配策略來(lái)實(shí)現(xiàn).

Fig. 3 Brief framework of proposed scheme.圖3 算法框架示意

算法過(guò)程中使用函數(shù)L來(lái)返回輸入值x所在子區(qū)域的編號(hào).

定義1. 函數(shù)L：y=L(x),y∈{0,1,…,B-1},

x∈q，表示q中元素x位于子區(qū)域y.則：

(1)

下面詳細(xì)介紹算法過(guò)程.

2.2 本文算法過(guò)程

2.2.1 參數(shù)設(shè)置

選取安全參數(shù)k>1、模數(shù)q，構(gòu)造多項(xiàng)式環(huán)Rq=q[x]〈f(x)〉，生成多項(xiàng)式f(x)=xn+1，n=2k，所有運(yùn)算在多項(xiàng)式環(huán)Rq上進(jìn)行.多項(xiàng)式向量維數(shù)d=O(lbq)，噪聲的分布為χ，其中α=1poly(n)；

2.2.2 數(shù)據(jù)預(yù)處理

設(shè)明文信息為p∈{0,1}n，隱藏信息為二進(jìn)制序列mh.將p與隨機(jī)二進(jìn)制序列r1異或生成用于加密的序列s1=[m0,m1,m2,…,mn-1]，mi∈{0,1}；mh與隨機(jī)二進(jìn)制序列r2異或得到序列s2：

s1=r1⊕p,

(2)

s2=r2⊕mh,

(3)

將s1編碼為系數(shù)為二進(jìn)制數(shù)的環(huán)多項(xiàng)式m用于加密，m=m0+m1x+…+mn-1xn-1，mi∈{0,1}；將s2編碼為系數(shù)為B進(jìn)制數(shù)的環(huán)多項(xiàng)式w用于嵌入，w=w0+w1x+…+wn-1xn-1，wi∈{0,1,2,…,B-1}.

2.2.3 加密與信息嵌入

(4)

其中，

(5)

bi=wi-L(hi),

(6)

βibi∈{-1,1}，其符號(hào)決定嵌入過(guò)程中密文ci改變的正負(fù)；bi∈{-B+1,-B+2,…,-1,0,1,…,B-1}，bi的絕對(duì)值表示嵌入過(guò)程中原始密文ci偏移|bi|個(gè)量化步長(zhǎng).

2.2.4 解密與信息提取

(7)

(8)

(9)

(10)

3 算法分析與仿真實(shí)驗(yàn)

3.1 正確性分析

Fig. 4 The distribution of integers in q.圖4 整數(shù)域 q 的取值分布

方案的正確性主要包括嵌入后密文的正確解密與嵌入信息的正確提取2方面.本節(jié)首先分析影響方案正確性的相關(guān)參數(shù).

完成上述加密與嵌入過(guò)程后，用戶即可實(shí)現(xiàn)可分離的解密得到原始明文或提取隱藏信息：

(11)

則方案出錯(cuò)的概率為

P(|Ei|>q4)=Pr(|Ei|σ>q4σ)≤

(12)

由式(12)可知，當(dāng)標(biāo)準(zhǔn)差α足夠小時(shí)σ越小，噪聲產(chǎn)生的波動(dòng)Ei較小，方案出錯(cuò)的概率接近于0.在LWE算法中α通常取O(1lbn)[23].另一方面LWER-LWE問(wèn)題求解的困難性依賴于噪聲的存在，如果α太小，噪聲分布在均值0附近偏差很小，噪聲波動(dòng)區(qū)間的過(guò)小影響方案的安全性.為了保證加密強(qiáng)度，引入噪聲的波動(dòng)范圍要足夠大，R-LWE算法中通常要求lbn[20].因此系統(tǒng)參數(shù)確定的情況下，噪聲分布的標(biāo)準(zhǔn)差對(duì)方案的正確性與安全性起著關(guān)鍵作用.文獻(xiàn)[20]中算法通過(guò)理論證明了R-LWE算法的安全性與正確性，但是關(guān)于相關(guān)參數(shù)對(duì)方案性能的影響只是進(jìn)行了理論上的分析，在實(shí)用過(guò)程中的各關(guān)鍵參數(shù)的取值范圍并未具體說(shuō)明，本文在參考理論分析的基礎(chǔ)上通過(guò)對(duì)大量數(shù)據(jù)進(jìn)行加密與信息隱藏測(cè)試，進(jìn)一步確定不同加密情況下噪聲分布標(biāo)準(zhǔn)差α的合理取值.

為直觀反應(yīng)實(shí)驗(yàn)結(jié)果，以k=11,B=4,n=211加密Lena圖像的前214b數(shù)據(jù)并嵌入216b信息，檢驗(yàn)標(biāo)準(zhǔn)差α=8.204 2×10-6時(shí)方案的正確性為例來(lái)介紹實(shí)驗(yàn)過(guò)程.結(jié)合圖5對(duì)實(shí)驗(yàn)過(guò)程進(jìn)行說(shuō)明如下：

Fig. 5 Experiment the image Lena by the proposed scheme with k=11,B=4,n=211.圖5 本文算法對(duì)Lena圖像的實(shí)驗(yàn)過(guò)程(k=11,B=4,n=211)

其中圖5(a)為實(shí)驗(yàn)載體圖像Lena；按位平面分離為二值序列得到位分離圖5(b)；將位分離圖分為128×128的互不重疊的二值數(shù)據(jù)塊，選取其中第1個(gè)塊作為明文數(shù)據(jù)進(jìn)行加密，明文用二值圖像表示如圖5(c)；將明文隨機(jī)置亂如圖5(d)；隨機(jī)選取4進(jìn)制數(shù)據(jù)作為隱藏信息如圖5(e)；加密后的原始密文如圖5(f)；對(duì)原始密文進(jìn)行嵌入得到攜秘密文如圖5(g)；直接從攜秘密文中提取到的隱藏信息如圖5(h)；直接將攜秘密文進(jìn)行解密并逆置亂得到解密結(jié)果如圖5(i)；通過(guò)逐比特位作差法分別對(duì)比解密數(shù)據(jù)與明文數(shù)據(jù)、秘密信息與提取信息結(jié)果如圖5(j)，表明解密與提取信息無(wú)差錯(cuò)；將圖像Lena的位分離圖中剩余數(shù)據(jù)塊重復(fù)上述過(guò)程(當(dāng)明文數(shù)據(jù)長(zhǎng)度小于n時(shí)，填充0或1)，得到完整的位分離圖，按位填充于各像素，最終恢復(fù)得到實(shí)驗(yàn)圖像如圖5(k).表明實(shí)驗(yàn)中所選的α=8.204 2×10-6滿足系統(tǒng)參數(shù)k=11時(shí)密文的正確解密與秘密信息的正確提取，正確率基本達(dá)到100%.

重復(fù)進(jìn)行加密與信息隱藏測(cè)試，記錄標(biāo)準(zhǔn)差可取值的上限αmax.表1為實(shí)驗(yàn)得到的保證方案正確性的標(biāo)準(zhǔn)差上限值αmax及滿足加密安全需要的下限值αmin.根據(jù)αmax與αmin得到α取值區(qū)間[λ αmin, ν αmax](λ>1,ν<1).根據(jù)該區(qū)間繼續(xù)對(duì)標(biāo)準(zhǔn)測(cè)試圖片、文本、音頻等數(shù)字載體進(jìn)行實(shí)驗(yàn)，結(jié)果表明：α在該區(qū)間取值可有效保證方案的正確性，其解密與提取隱藏信息的正確率基本達(dá)到100%.

Table 1 Ranges (αmin,αmax) of α with k∈[5,14]

可逆隱寫算法的評(píng)價(jià)標(biāo)準(zhǔn)中峰值信噪比(peak signal-noise ratio,PSNR)用來(lái)評(píng)價(jià)與原始載體信息相比較，恢復(fù)后載體的質(zhì)量或失真情況.PSNR值越大，表示圖像失真越小.對(duì)于大小M×N的256級(jí)灰度圖像PSNR：

(13)

其中,MSE表示恢復(fù)圖像像素矩陣I′與原始圖像像素矩陣I的均方誤差(mean squared error,MSE)：

(14)

一般，當(dāng)PSNR>35 dB時(shí)，人眼視覺(jué)就無(wú)法感知圖像的失真[26].圖6為使用密文域可逆信息隱藏算法[1]及可分離算法[17]對(duì)標(biāo)準(zhǔn)圖像庫(kù)中圖像Lena，Man，Lake，Baboon進(jìn)行實(shí)驗(yàn)得到的直接解密恢復(fù)圖像的PSNR.

Fig. 6 PSNR comparison of the methods in Ref [1,17].圖6 文獻(xiàn)[1,17]中算法載體直接恢復(fù)的PSNR

PSNR取值基本在35 dB～60 dB，與當(dāng)前大多數(shù)算法的可逆恢復(fù)效果相近，表明數(shù)據(jù)嵌入會(huì)在直接解密得到的圖像中引入失真，只是將失真控制在人眼無(wú)法感知的程度，且嵌入量越大失真越大.而本文算法解密恢復(fù)的正確率基本保持在100%，將解密結(jié)果代入式(13)(14)得到直接解密恢復(fù)圖像的PSNR值如表2所示，說(shuō)明可完全保證可逆性.

Table 2 PSNR of the Proposed Scheme

3.2 安全性分析

密文域可逆信息隱藏的安全性主要是保持加密的安全性與嵌入信息的不可感知性2方面，其中不可感知性是可逆隱寫算法的重要評(píng)價(jià)指標(biāo)與實(shí)現(xiàn)密文域隱蔽通信的重要保證[2,19].在保持加密安全性方面，圖像加密及公鑰密碼算法安全性的關(guān)鍵指標(biāo)之一是加密數(shù)據(jù)符合均勻分布[27]，因此為保證嵌入過(guò)程不造成加密信息泄露，嵌入后的密文數(shù)據(jù)也應(yīng)服從均勻分布；在不可感知性方面，相關(guān)的研究還比較少，現(xiàn)有算法主要是分析載體嵌入信息前后的峰值信噪比(PSNR)，即嵌入前后載體數(shù)據(jù)的改變量.但是對(duì)于密文來(lái)說(shuō)，因?yàn)楣€加密算法要求明文的極小改變也將擴(kuò)散到整個(gè)密文空間，嵌入前后的PSNR不能有效說(shuō)明密文數(shù)據(jù)的變化是由于明文不同還是嵌入了額外信息，而且隱寫分析技術(shù)在對(duì)密文進(jìn)行隱寫分析時(shí)通常不能獲得原始密文，當(dāng)前主要是對(duì)載體數(shù)據(jù)進(jìn)行概率統(tǒng)計(jì)上的分析建模、提取特征，通過(guò)對(duì)特征分類來(lái)判斷是否隱藏信息[28]，因此對(duì)于密文域隱寫的安全性，不能簡(jiǎn)單通過(guò)嵌入前后密文數(shù)據(jù)的改變量來(lái)說(shuō)明，而是要求保持嵌入前后密文數(shù)據(jù)統(tǒng)計(jì)特性不變[19].綜上，本文在安全性分析中，著重分析密文在嵌入后的分布函數(shù)與統(tǒng)計(jì)特征.首先，推導(dǎo)嵌入后密文的分布函數(shù)如下：

P[Ei∈(0,q4)]=Fσ(0)=

P[Ei∈(3q4,q)]=1-Fσ(0)=12.

(15)

又當(dāng)Ei∈(0,q4)時(shí)，qq3q)，βi=1；

當(dāng)Ei∈(3q4,q)時(shí)，qq3q,q)，βi=-1.

故：

P(βi=1)=P(βi=-1)=12.

(16)

函數(shù)L(e)∈{0,1,…B-1},e∈q，表示q中元素e所在的子區(qū)域，記將正態(tài)分布下函數(shù)L值為y時(shí)的概率為PL(y).則可得：

y∈{0,1,…,B-1}.

(17)

方案中秘密信息多項(xiàng)式w的系數(shù)經(jīng)隨機(jī)置亂，則：

P(wi=0)=P(wi=1)=…=

P(wi=B-1)=1B,

(18)

又bi=wi-L(hi),bi∈{-B+1,-B+2,…,0,…,B-1}，wi,L(hi)∈{0,1,…,B-1}，記bi取值為x時(shí)的概率為Pb(x)，根據(jù)離散卷積公式得到bi的分布律如下，表3具體列舉了bi取不同值時(shí)各變量的取值情況及其分布律：

Table 3 Distribution Ratio of bi

由上可推得隱寫前后密文產(chǎn)生不同改變量時(shí)的概率，

P(βi=-1)Pb(-λ),

(19)

P(βi=1)Pb(-λ),

(20)

Table 4 Distribution Ratio of λ

設(shè)原始密文ci～U(0,q),其分布函數(shù)符合均勻分布，記為Fc(x)=xq,x∈(0,q)，嵌入后密文的分布函數(shù)記為Fcs(x)：

Fcs(x)=P(csi

(21)

由式(21)可知，嵌入信息后密文數(shù)據(jù)的分布函數(shù)與原始密文分布函數(shù)一致，服從q上的均勻分布.

下面通過(guò)實(shí)驗(yàn)分析說(shuō)明嵌入信息后密文的統(tǒng)計(jì)特征.實(shí)驗(yàn)參數(shù)設(shè)置如下：k=6，9，12，q=64n3+1，n=2k，B=8；參數(shù)d，r影響方案的密鑰安全，根據(jù)剩余Hash引理[25]，保證公鑰接近均勻分布的一個(gè)充分條件就是私鑰的取值空間要遠(yuǎn)遠(yuǎn)大于公鑰的取值空間，即(r+1)d n?qn，又因?yàn)閐越大密文擴(kuò)展率越大，公鑰長(zhǎng)度也成倍增加，在滿足安全性的前提下，為節(jié)省公鑰存儲(chǔ)空間，取d=lbq，r=64.α從3.1節(jié)得到的區(qū)間取值：α∈[λαmin,ναmax](λ>1,ν<1).對(duì)多組大量樣本數(shù)據(jù)進(jìn)行加密，1 b明文在加密域攜帶3 b數(shù)據(jù)，如圖7所示嵌入前后密文分布直方圖，圖7中顏色漸變用于區(qū)分不同組的樣本數(shù)據(jù).計(jì)算各組樣本實(shí)驗(yàn)結(jié)果的信息熵，記為H，對(duì)應(yīng)加密域中元素等概率分布時(shí)的最大信息熵記為Hideal，結(jié)果如圖7所示.

由圖7可以看出信息嵌入后密文直方圖沒(méi)有出現(xiàn)明顯變化，而且嵌入過(guò)程的再編碼相當(dāng)于對(duì)密文進(jìn)行粗粒度的隨機(jī)置亂，因此對(duì)密文數(shù)據(jù)直方圖的分布特性基本不會(huì)發(fā)生破壞.B取其他值進(jìn)行實(shí)驗(yàn)，結(jié)論與上述一致.對(duì)上述直方圖中數(shù)據(jù)計(jì)算平均信息熵，結(jié)果表明嵌入后密文數(shù)據(jù)的信息熵不低于原始密文，基本接近于加密域中元素等概率分布時(shí)的最大信息熵.

Fig. 7 Histograms and information entropy of encrypted data before embedding and those after embedding.圖7 信息隱藏前后密文數(shù)據(jù)分布直方圖與平均信息熵值

Fig. 8 Relationship between expectation of test data and ideal expectation.圖8 不同嵌入量下密文期望與理想期望關(guān)系

由實(shí)驗(yàn)結(jié)果可見：在誤差允許范圍內(nèi)，不同嵌入量下的密文數(shù)據(jù)期望與所在密文域的理想期望基本一致，表明在嵌入信息后密文的統(tǒng)計(jì)期望未發(fā)生明顯變化.

3.3 嵌入容量分析

在嵌入容量方面，文獻(xiàn)[17]中載荷約為0.0328 bpp，即8 b大小的像素可嵌入0.0328 b信息；文獻(xiàn)[13]通過(guò)翻轉(zhuǎn)第6LSB位的方式實(shí)現(xiàn)了載荷的有效提升，約0.06 bpp；文獻(xiàn)[29]將LDPC編碼引入密文域可逆隱寫，將載荷提升到0.1 bpp.已有針對(duì)于圖像載體的密文域可逆信息隱藏算法的嵌入率受到像素內(nèi)容或加密方式的限制較大，有效載荷基本不超過(guò)0.5 bpp，文獻(xiàn)[10]使用熵編碼實(shí)現(xiàn)通用密文域可逆信息隱藏，在完全可逆的情況下嵌入量基本達(dá)到0.169 bpb，即1 b密文可攜帶0.169 b秘密信息；文獻(xiàn)[19]在LWE算法加密后數(shù)據(jù)的冗余部分嵌入信息， 1 b明文在密文域最大可負(fù)載1 b隱藏信息.與文獻(xiàn)[19]相比，本文方案當(dāng)選擇B進(jìn)制數(shù)作為秘密信息時(shí)，1 b明文在密文域最大可負(fù)載lbBb隱藏信息，本文方案的密文嵌入率的情況具體分析如下.

Fig. 9 Embedding rates in different settings of proposed scheme.圖9 不同系統(tǒng)設(shè)置下的密文嵌入率

如圖9所示為根據(jù)表3中實(shí)驗(yàn)結(jié)果得出在不同的安全參數(shù)k的取值時(shí)，單位比特密文的嵌入率隨lbB取值變化的情況.結(jié)合3.1節(jié)、3.2節(jié)分析與圖9可知，系統(tǒng)安全參數(shù)k不變時(shí)，嵌入率隨lbB增大而提高；lbB不變時(shí)，k越大加密強(qiáng)度越大，一次可加密的明文與嵌入信息量增多，但密文擴(kuò)展較大，嵌入率降低.因此在實(shí)際應(yīng)用中可根據(jù)加密與信息嵌入的現(xiàn)實(shí)需要選擇合適的安全參數(shù)k與嵌入信息進(jìn)制數(shù)B.但是參數(shù)B不能無(wú)限增大，原因是隨著B值的增大，方案中q劃分子區(qū)域的量化步長(zhǎng)q不斷縮小，造成嵌入過(guò)程對(duì)加密數(shù)據(jù)的修改粒度越細(xì)，由3.2節(jié)中分析可知算法安全性依賴于預(yù)處理過(guò)程中嵌入數(shù)據(jù)的隨機(jī)性，因此預(yù)處理過(guò)程中隨機(jī)數(shù)生成器的安全性對(duì)加密數(shù)據(jù)的影響隨著量化步長(zhǎng)的縮小而加強(qiáng).如果隨機(jī)數(shù)生成器生成數(shù)據(jù)的隨機(jī)性低于R-LWE算法加密結(jié)果的隨機(jī)性，隨著B的增大，量化步長(zhǎng)小于安全性需要的噪聲波動(dòng)的最小值時(shí)，嵌入后密文數(shù)據(jù)的安全性會(huì)降低.而高強(qiáng)度的隨機(jī)數(shù)生成器會(huì)影響方案的執(zhí)行效率，綜合考慮當(dāng)前隨機(jī)數(shù)生成算法的安全性與運(yùn)行效率，B的取值不能無(wú)限取大.

本文實(shí)驗(yàn)中相關(guān)參數(shù)的選擇充分保證了量化步長(zhǎng)大于噪聲波動(dòng)的安全性需要的下限，如表5所示為不同系統(tǒng)設(shè)置時(shí)的密文最大嵌入率，表5中第1列表項(xiàng)(k,lbB)列舉了嵌入率最大時(shí)的系統(tǒng)安全參數(shù)k與秘密信息的進(jìn)制數(shù)B.

Table 5 Hightest Embedding Rates in Different Settings of Proposed Scheme / bit per bit of ciphertext

表5 不同系統(tǒng)設(shè)置下單位密文最大嵌入率/bpb

根據(jù)實(shí)驗(yàn)結(jié)果，密文嵌入率可達(dá)到0.1600 bpb以上，其中k=6，lbB=4時(shí)密文嵌入率最小，為0.1600 bpb；當(dāng)k>9時(shí)，1 b明文在密文域可最大負(fù)載8 b秘密信息，其中k=9，lbB=8時(shí)單位密文的最大嵌入率達(dá)到0.2353 bpb，此時(shí)方案的加密執(zhí)行效率與嵌入率達(dá)到最理想狀態(tài).

4 結(jié)束語(yǔ)

本文提出了基于R-LWE的密文域多比特可逆信息隱藏算法，通過(guò)對(duì)密文域的分區(qū)量化以及加密數(shù)據(jù)的重編碼來(lái)嵌入多比特額外信息，提高信息嵌入率的同時(shí)保證了攜秘密文的可逆解密與嵌入信息的無(wú)失真提取.理論分析與仿真實(shí)驗(yàn)說(shuō)明了方案的正確性、安全性以及在嵌入容量上的有效保證.當(dāng)前基于(R-)LWE的公鑰加密算法廣泛用于構(gòu)造多種應(yīng)用場(chǎng)景下的密碼方案，如數(shù)字簽名、屬性加密，滿足可信第三方密文處理的代理重加密[30]、全同態(tài)加密[31]等，未來(lái)可將本方案的嵌入技術(shù)應(yīng)用于上述基于(R-)LWE的加密環(huán)境與密碼應(yīng)用中，進(jìn)一步擴(kuò)展密文域可逆信息隱藏的應(yīng)用場(chǎng)景.但是本方案隨著算法加密規(guī)模的增大，算法的密文擴(kuò)展仍然較大，未來(lái)工作需要進(jìn)一步精確嵌入容量的有效范圍，改進(jìn)信息嵌入的編碼方式來(lái)更好地利用密文擴(kuò)展，提高密文域隱藏信息的嵌入率.

[1]Zhang Xinpeng. Reversible data hiding in encrypted image[J]. IEEE Signal Processing Letters, 2011, 18(4): 255-258

[2]Chen Jiayong, Wang Chao, Zhang Weiming, et al. A secure image steganographic method in encrypted domain[J]. Journal of Electronics & Information Technology, 2012, 34(7): 1721-1726 (in Chinese)(陳嘉勇, 王 超, 張衛(wèi)明, 等. 安全的密文域圖像隱寫術(shù)[J]. 電子與信息學(xué)報(bào), 2012, 34(7): 1721-1726)

[3]Yin Zhaoxia. Privacy protection oriented image steganography[D]. Hefei: Anhui University, 2014 (in Chinese)(殷趙霞. 面向隱私保護(hù)的數(shù)字圖像隱寫方法研究[D]. 合肥: 安徽大學(xué), 2014)

[4]Barni M, Kalker T, Katzenbeisser S. Inspiring new research in the field of signal processing in the encrypted domain[J]. IEEE Signal Processing Magazine, 2013, 30(2): 16

[5]Zhao Bin, Kou Weidong, Li Hui, et al. Effective watermarking scheme in the encrypted domain for buyer-seller watermarking protocol[J]. Information Sciences, 2010, 180(23): 4672-4684

[6]Lian Shiguo, Liu Zhongxuan, Ren Zhen, et al. Commutative encryption and watermarking in video compression[J]. IEEE Trans on Circuits and Systems for Video Technology, 2007, 17(6): 774-778

[7]Cancellaro M, Battisti F, Carli M, et al. A commutative digital image watermarking and encryption method in the tree structured Haartransform domain[J]. Signal Processing: Image Communication, 2011, 26(1): 1-12

[8]Kuribayashi M, Tanaka H. Fingerprinting protocol for images based on additive homomorphic property[J]. IEEE Trans on Image Processing, 2005, 14(12): 2129-2139

9]Memon N, Wong P. A buyer-seller watermarking protocol[J]. IEEE Trans on Image Processing, 2001, 10(4): 643-649

[10]Abdul Karim M S, Wong K. Universal data embedding in encrypted domain[J]. Signal Processing, 2014, 94(2): 174-182

[11]Hong Wien, Chen Tungshou, Wu Hanyan. An improved reversible data hiding in encrypted images using side match[J]. IEEE Signal Processing Letters, 2012, 19(4): 199-202

[12]Yu Jie, Zhu Guopu, Li Xiaolong, et al. Digital Forensics and Watermarking: An Improved Algorithm for Reversible Data Hiding in Encrypted Image[M]. Berlin: Springer, 2014: 384-394

[13]Wu Xiaotian, Sun Wei. High-capacity reversible data hiding in encrypted images by prediction error[J]. Signal Processing, 2014, 104(11): 387-400

[14]Qian Zhenxing, Zhang Xinpeng, Wang Shuozhong. Reversible data hiding in encrypted JPEG bitstream[J]. IEEE Transaction on Multimedia, 2014, 16(5): 1486-1491

[15]Liao Xin, Shu Changwen. Reversible data hiding in encrypted images based on absolute mean difference of multiple neighboring pixels[J], Journal of Visual Communication and Image Representation, 2015, 28(4): 21-27

[16]Li Ming, Xiao Di, Peng Zhongxian, et al. A modified reversible data hiding in encrypted images using random diffusion and accurate prediction[J]. ETRI Journal, 2014, 36(2): 325-328

[17]Zhang Xinpeng. Separable reversible data hiding in encrypted image[J]. IEEE Trans on information forensics and security, 2012, 7(2): 826-832

[18]Xiao Di, Chen Shoukuo. Separable data hiding in encrypted image based on compressive sensing[J]. Electronics Letters, 2014, 50(8): 598-600

[19]Zhang Minqing, Ke Yan, Su Tingting. Reversible steganography in encrypted domain based on LWE[J]. Journal of Electronics & Information Technology, 2016, 38(2): 354-360 (in Chinese)(張敏情, 柯彥, 蘇婷婷. 基于LWE的密文域可逆信息隱藏[J]. 電子與信息學(xué)報(bào), 2016, 38(2): 354-360)

[20]Lyubashevsky V, Peikert C, Regev O. On ideal lattices and learning with errors over rings[J]. Journal of the ACM, 2013, 60(6): Article 43(1)-43(23)

[21]Regev O. On lattices, learning with errors, random linear codes and cryptography[J]. Proceeding of the Annual ACM Symposium of Theory of Computing, 2009, 56(6): 84-93

[22]Yu Weichi. Lattice basis reduction theory and applications in crypto scheme designing[D]. Chengdu: South West Jiao Tong University, 2005 (in Chinese)(余位馳. 格基規(guī)約理論及其在密碼設(shè)計(jì)中的應(yīng)用[D]. 成都: 西南交通大學(xué), 2005)

[23]Regev O. The learning with errors problem[C] //Proc of the 25th Annual IEEE Conf on Computational Complexity (CCC 2010). Los Alamitos, CA: IEEE Computer Society, 2010: 191-204

[24]Akinori K, Keisuke T, Keita X. Multi-bit cryptosystems based on lattice problems[G] //LNCS 4450: Proc of Int Conf on Public Key Cryptograghy (PKC2007). Berlin: Springer, 2007: 315-329

[25]Rückert M, Schneider M. Estimating the security of lattice-based cryptosystems[EB/OL]. (2010-10-06) [2016-08-10]. http://eprint.icur.org/2010/137.pdf

[26]Zeng Xiao, Chen Zhenyong, Chen Ming, et al. Invertible image watermarking based on zero coefficient index[J]. Journal of Computer Research and Development, 2010, 47(7): 1304-1312 (in Chinese)(曾驍, 陳真勇, 陳明, 等. 基于零系數(shù)索引的可逆圖像水印[J]. 計(jì)算機(jī)研究與發(fā)展, 2010, 47(7): 1304-1312)

[27]Peng Zaiping, Wang Chunhua, Lin Yuan. A novel four-dimensional multi-wing hyper-chaotic attractor and its application in image encryption[J]. Acta Physica Sinica, 2014, 63(24): 240506-1-240506-10 (in Chinese)(彭再平, 王春華, 林愿. 一種新型的四維多翼超混沌吸引子及其在圖像加密中的研究[J]. 物理學(xué)報(bào), 2014, 63(24): 240506-1-240506-10)

[28]Wang Ran, Xu Mankun, Ping Xijian, et al. Steganalysis of spatial images based on segmentation[J]. Acta Automatica Sinica, 2014, 40(12): 2936-2943 (in Chinese)(汪然, 許漫坤, 平西建, 等. 基于分割的空域圖像隱寫分析[J]. 自動(dòng)化學(xué)報(bào), 2014, 40(12): 2936-2943)

[29]Zhang Xinpeng, Qian Zhenxing, Feng Guorui, et al. Efficient reversible data hiding in encrypted image[J]. Journal of Visual Communication and Image Representation. 2014, 25(2): 322-328

[30]Xagawa K, Tanaka K. Proxy re-encryption based on learning with errors (mathematical foundation of algorithms and computer science)[J]. Rims Kokyuroku, 2010, 1691: 29-35

[31]Gentry C. Fully homomorphic encryption using ideal lattices[C] //Proc of the 41st ACM Symp on Theory of Computing (STOC2009). New York: ACM, 2009: 169-178

Ke Yan, born in 1991. MEn candidate. His main research interests include information security, reversible data hiding and cryptography, etc.

Zhang Minqing, born in 1967, PhD, professor, PhD supervisor. Her main research interests include cryptography and information security (api_zmq@126.com).

Su Tingting, born in 1989. MEn. Her main research interests include information security and network security (suting0518@163.com).

A Novel Multiple Bits Reversible Data Hiding in Encrypted Domain Based on R-LWE

Ke Yan, Zhang Minqing, and Su Tingting

(KeyLaboratoryofNetworkandInformationSecurityUndertheChinesePeopleArmedPoliceForce(EngineeringUniversityofPAP),Xi’an710086) (DepartmentofElectronicTechnology,EngineeringUniversityofPAP,Xi’an710086)

Reversible data hiding in encrypted domain is one kind of information hiding techniques which can both extract secret messages and decrypt the embedded ciphertext to restore the original cover vehicle losslessly, possessing privacy protection and data hiding dual function. It is a potential technique in signal processing and data management of the encrypted domain fields. This paper proposes a novel scheme of multiple bits reversible data hiding in encrypted domain based on R-LWE (ring-learning with errors). Multi-band data can be embedded by quantifying the encrypted domain and recoding in the redundancy of cipher text without degrading the hardness of R-LWE algorithm; the embedding recoding method is based on the data distribution during encryption, which maintains the robustness of R-LWE algorithm; By dividing the integer domain into the sub-regions and introducing different quantifying rules, the processes of extraction and decryption can be separated. By deducing the error probability of the scheme, parameters in the scheme which is directly related to the correctness of the scheme is mainly discussed, and reasonable ranges of the parameters are obtained by experiments. When analyzing the security, the probability distribution function of the embedded cipher text is deduced and the statistic features of cipher data are analyzed, which both prove the embedded data isn’t detective. Experimental results have demonstrated that the proposed scheme can not only keep fully reversibility of vehicle recovering and lossless extraction of secret message, but realize that one bit original data can load multiple-bit additional data in encrypted domain, achieving an embedding capacity of 0.2353 bit per every bit of the encrypted data.

information security; reversible data hiding; encrypted domain; multiple bits embedding; ring-learning with errors (R-LWE)

2016-06-16；

2016-08-11

國(guó)家自然科學(xué)基金項(xiàng)目(61379152,61403417)

TP309.7

This work was supported by the National Natural Science Foundation of China (61379152,61403417).