基于二维码和可逆可视水印的图像隐私保护方案

姚远志，王锋，严文博，俞能海

（中国科学技术大学信息科学技术学院，安徽 合肥 230027）

1 引言

移动互联网技术的快速发展和移动智能终端的普遍应用极大地改善了人们的生活品质。用户在享受高效便捷的生活方式的同时，也潜在地承担着日趋严峻的个人隐私信息泄露风险[1]。据调查显示，截至2018年12月，我国手机上网用户规模达8.17亿人，用户使用手机上网的比例达98.6%[2]。其中，个人隐私信息泄露已成为主要的互联网安全事件。发生该类事件的主要原因在于大多数移动智能终端和移动通信应用程序提供基于位置服务（LBS,location-based service）的功能。用户在使用位置服务的同时，其位置信息会被无感知地发送给服务提供商作为提供服务所需的必要数据[3]。然而，一旦提供给服务商的这些隐私信息被恶意用户获取，通过大数据分析技术就可以挖掘出更深层次的用户画像信息（如兴趣爱好、工作地点和生活习惯等），使个人信息安全受到严重的威胁。因此，保护移动互联网中的用户隐私信息已成为重要的研究课题。

得益于移动智能终端日益完善的拍摄功能和移动互联网的广泛普及，采集数字图像并在网络中发布的成本变得更加低廉。用户在社交网站和移动通信应用程序中发布和分享图像可以获得良好的用户体验。但是，伴随这类通信行为，用户的个人隐私信息也会面临泄露的风险[4]。在移动通信应用程序发布图像时，很多用户会选择上传原图以获得视觉质量更好的体验效果。上传的原始图像通常带有拍摄时间、拍摄地点和详细描述等隐私信息，具有强大计算能力的服务提供商可以使用大数据分析技术对用户进行画像。根据以上分析，使用社交网络和移动通信应用程序发布图像的通信行为伴随着隐私信息泄露问题。

针对上述隐私信息泄露问题，本文提出了一种基于二维码和可逆可视水印的图像隐私保护方案。为了保护图像拍摄时间、拍摄地点和详细描述等隐私信息，首先对原始图像进行去隐私信息处理，并将这类隐私信息加密后存储在云平台，同时生成能够链接到加密隐私信息的统一资源定位符。由于二维码存储信息具有较强的稳健性[5]，该方案将统一资源定位符编码成二维码，并将该二维码作为可视水印可逆地嵌入图像中。只有授权的用户才可以根据统一资源定位符得到隐私信息，并获得原始图像，实现对隐私信息的访问权限控制。在该方案中，使用视觉感知模型选择适合的水印嵌入参数，以平衡水印的可视性和载密图像的视觉质量。实验结果验证了该方案在载密图像视觉质量、水印可视性和可逆性等方面的优势。所提方案具有保障图像传输质量和降低隐私泄露风险的能力。本文的主要贡献如下。

1)提出了一种基于二维码和可逆可视水印的图像隐私保护方案，该方案重点考虑用户使用移动通信应用程序发布图像时的隐私泄露问题。

2)提炼并解决水印的可视性和载密图像的视觉质量之间的均衡分析问题，作为所提图像隐私保护方案中的关键问题。

3)对所提图像隐私保护方案的安全性进行分析，证明对图像隐私保护的有效性。

2 相关工作

本文提出的基于二维码和可逆可视水印的图像隐私保护方案重点是将二维码作为可视水印嵌入需要保护的图像中。在获得访问权限的情况下，扫描嵌入的二维码即可得到与图像关联的隐私信息。因此，二维码的正确识别和解码是授权用户得到隐私信息的前提条件。另外，载密图像的视觉质量决定一般用户的体验效果。增强二维码的嵌入强度，可以增强水印的可视性，从而提高二维码正确识别和解码的能力，但是会降低载密图像的视觉质量。平衡水印的可视性和载密图像的视觉质量，是图像隐私保护方案需要解决的关键问题。

一般而言，可视水印嵌入会降低载密图像的视觉质量。可视水印的基本要求是嵌入的水印不能明显掩盖水印嵌入区域的图像内容[6]。可逆信息隐藏是一种将数据嵌入数字媒体（如音频、图像和视频等）并且可以在提取数据之后无损恢复原始数字媒体的技术[7]。结合可视水印和可逆信息隐藏，可以实现可逆可视水印。目前，已经有很多经典的针对图像可逆可视水印的算法[8-15]被提出。Hu 等[8]通过像素比特平面替换的方法嵌入可视水印，为了保证可逆性，水印嵌入区域的图像像素需要压缩并作为边信息嵌入载体图像。Yip 等[9]分别利用像素值匹配和像素位置平移提出了2种图像可逆可视水印算法。Tsai 等[10]和Liu 等[11]使用一对一像素值匹配设计了图像可逆可视水印算法。Yang 等[12]提出自适应调节像素值来嵌入可视水印，并在载体图像中嵌入重构数据分组用于图像恢复。在Mohammad 等[13]提出的算法中，通过像素值循环移位在块截断编码（BTC,block truncation coding）图像中嵌入可逆可视水印。Lin 等[14]提出了一种离散余弦变换（DCT,discrete cosine transform）域的图像可逆可视水印算法。但是该算法只有在获得原始水印图像的情况下才可以无损恢复原始载体图像。Yao 等[15]提出了一种加密图像的可逆可视水印算法，为了平衡水印可视性和载密图像视觉质量，该算法在图像加密之前通过视觉感知模型选择适合的水印嵌入位置。由于信号在加密域的弱相关性，使用传统的可逆信息隐藏算法在图像加密之前预留水印嵌入空间。因此，数据嵌入者可以基于水印嵌入位置的像素比特位替换，方便地在加密图像中嵌入可视水印。

上述的图像可逆可视水印算法[8-15]嵌入的水印通常是二值图像，通过人类视觉系统高超的感知能力可以识别嵌入的水印，具有可视性。但是，这些算法不能满足二维码作为可视水印时的嵌入要求。在二维码作为可视水印的情况下，如果水印可视性不强，可能导致二维码无法正确识别和解码。在本文提出的图像隐私保护方案中，无法正确识别和解码二维码会导致授权用户不能得到图像隐私信息。Huang 等[16]针对二维码提出了图像可逆可视水印算法，该算法使用差值扩展技术嵌入二维码，可以保证足够的水印可视性，但是嵌入的二维码几乎完全掩盖了水印嵌入区域的图像内容，得到的载密图像视觉质量不高。综合以上分析，水印的可视性和载密图像的视觉质量之间的均衡分析问题是亟待解决的关键问题。

3 图像隐私保护方案

3.1 图像隐私保护方案框架

本文提出的基于二维码和可逆可视水印的图像隐私保护方案主要由图像发送方、云平台和图像接收方组成，其框架如图1所示。图像发送方一般是原始图像的采集者，首先对原始图像进行去隐私信息处理，并将去隐私信息的图像和加密后的隐私信息发送给云平台。云平台负责管理加密隐私信息，并根据加密隐私信息生成的统一资源定位符对去隐私信息的图像进行可逆可视水印嵌入。授权的图像接收方可以提取载密图像中嵌入的二维码，并根据二维码从云平台中得到加密隐私信息，最终获得融合隐私信息的原始图像。非授权的用户即使获得嵌入二维码的载密图像，也无法得到与图像关联的隐私信息。

图像发送方的工作流程为：对原始图像进行隐私信息提取，生成去隐私信息的图像和隐私信息（包括拍摄时间、拍摄地点和详细描述等，详细描述可以是原始图像采集者对图像的标注信息）；使用加密密钥对隐私信息进行加密；将去隐私信息的图像和加密隐私信息发送给云平台。

云平台的工作流程为：在存储服务器中管理接收到的加密隐私信息；生成能够链接到加密隐私信息的统一资源定位符；将统一资源定位符编码成二维码，并根据水印密钥将该二维码作为可视水印可逆地嵌入去隐私信息的图像中。

图像接收方的工作流程为：根据水印密钥提取载密图像中的二维码；根据解码二维码得到统一资源定位符，从存储服务器中查询加密隐私信息；使用加密密钥得到解密后的隐私信息，并进行隐私信息融合从而获得原始图像。

在上述的图像隐私保护方案中，根据加密密钥和水印密钥的拥有情况，可以分为3种隐私保护等级。同时拥有加密密钥和水印密钥的用户可以获得隐私信息和原始图像。仅拥有加密密钥的用户可以扫描载密图像中嵌入的二维码读取统一资源定位符，得到隐私信息。既没有加密密钥也没有水印密钥的用户，即使获得嵌入二维码的载密图像，也无法得到与图像关联的隐私信息。并且，嵌入的二维码无法从载密图像中提取。使用该图像隐私保护方案，可以在保障图像传输质量的同时降低隐私泄露的风险。

3.2 针对二维码的图像可逆可视水印算法

图1 图像隐私保护方案框架

在本文提出的基于二维码和可逆可视水印的图像隐私保护方案中，嵌入的二维码的正确识别和解码是授权用户得到隐私信息的前提条件。同时，一般用户的体验效果受到载密图像视觉质量的影响。平衡水印的可视性和载密图像的视觉质量是本文提出方案解决的关键问题。

不失一般性，令x和w分别为8 bit 的灰度载体图像像素和二值水印图像像素，则可视水印嵌入模型[17]可以表示为

其中，y(x,w)(α)是嵌入可视水印的载密图像像素，α∈[0,1]是控制水印嵌入强度的嵌入参数。平衡水印的可视性和载密图像的视觉质量的本质是选择适合的嵌入参数α，使嵌入二维码的载密图像在保证二维码能够被正确识别和解码的同时，还拥有较好的图像视觉质量。根据式(1)，可以得到在载密图像像素中的水印嵌入强度，如式(2)所示。

在式(1)中，载密图像像素y(x,w)(α)表示为载体图像像素x和二值水印图像像素w的线性组合。由于载体图像像素x的取值范围是[0,255]，二值水印图像像素w的取值范围是{0,255}，可以推断载密图像像素y(x,w)(α)的取值范围是[0,255]。水印嵌入强度α在很大程度上影响水印的可视性，本文使用视觉感知模型评估水印的可视性。

视觉感知模型在很多实际应用场景发挥了重要作用，如数字水印[12]、图像质量评价[18]和图像/视频编码[19]等。人类视觉系统通常只能感知大于一定阈值的图像内容变化[20-22]。这个阈值被称为最小可察觉差值（JND,just noticeable difference）。根据Wu 等[22]提出的JND 模型，载体图像像素x的JND阈值TJND(x)可以表示为

其中，γ是JND 模型的参数；L A(x)是亮度自适应可视性阈值；M S(x)是空域掩模函数，该函数由类型掩模函数M P(x)和对比度掩模函数M C(x)共同决定，如式(4)所示。

在嵌入二值水印图像像素w时，载体图像像素x会发生变化。根据式(3)所示的JND 模型，这个变化在一定范围内时，人类视觉系统无法感知。因此，载体图像像素x的不可视范围的上界和下界分别如式(5)和式(6)所示。

因此，由式(5)和式(6)决定的与载体图像像素x对应的不可视范围R(x)可以表示为

根据式(2)和式(7)，可以讨论如图2所示的水印嵌入强度和水印可视性的关系。

图2 水印嵌入强度和水印可视性的关系

以标准测试图像Lena中位置为(478,66)且像素值为108的x为例，该像素的JND 阈值为13.6387。当嵌入的二值水印图像像素值为255时，在图2中定位载密图像像素值y(108,255)(α)与不可视范围的上界的交点，即可得到使水印可视的最小水印嵌入强度αmin=0.0928。同理，当嵌入的二值水印图像像素值为0时，在图2中定位载密图像像素值y(108,0)(α)与不可视范围的下界的交点，即可得到使水印可视的最小水印嵌入强度αmin=0.1263。由图2的分析可知，对于给定的载体图像像素和二值水印图像像素，在式(1)所示的可视水印嵌入模型下，存在最小的水印嵌入强度αmin，使嵌入的水印可视。因此，水印可视范围可以表示为

在建立了水印嵌入强度和水印可视性的关系之后，即可讨论针对二维码的图像可逆可视水印算法。在针对二维码的图像可逆可视水印算法中，需要根据二维码的结构和载体图像的JND 阈值选择适合的水印嵌入强度。

如图3所示，二维码可以分为空白区域IB、位置探测区域ID和其他区域IR。需要根据各个区域的特征和作用，选择不同的水印嵌入强度。令xi,j是第(i,j)个载体图像像素，wi,j是第(i,j)个二值水印图像像素，yi,j是第(i,j)个载密图像像素，αi,j是第(i,j)个载体图像像素xi,j的水印嵌入强度。对于二维码中的空白区域IB，可以直接令水印的嵌入强度αi,j为0，即αi,j=0。此时，载密图像像素yi,j可以表示为

图3 二维码分区示意

对于位置探测区域和其他区域，可以将可视水印嵌入建模为水印嵌入强度在水印可视范围内的最小化嵌入失真问题。基于式(1)所示的可视水印嵌入模型，载密图像像素yi,j的嵌入失真可以表示为

因此，水印嵌入强度在水印可视范围内的最小化嵌入失真问题可以表示为

由于二维码中的位置探测区域ID对于定位二维码起到了至关重要的作用，使用式(11)进行最小化水印嵌入失真时，需要考虑的二值水印图像像素值范围为wi,j∈{0,255}。二维码中的其他区域IR中包含二维码编码信息和纠错信息，使用式(11)进行最小化水印嵌入失真时，仅需考虑二值水印图像像素为黑色的情况，即wi,j=0。这是因为二维码中的其他区域IR中的白色像素不用于承载二维码编码信息和纠错信息。

为了在提取嵌入的二维码之后可以无损恢复载体图像，需要将水印嵌入区域的载密图像和载体图像的像素差值构成重构数据分组P，可以表示为

为了减小表达重构数据分组所需的比特数，在嵌入重构数据分组之前使用JBIG（joint bi-level image expert group）压缩算法对重构数据分组进行压缩，以提高载密图像的视觉质量。令mk∈{0,1}为压缩后的重构数据分组中的比特，则长度为L的压缩后的重构数据分组可以表示为m={m1,…,mL}。可以使用可逆信息隐藏算法将压缩后的重构数据分组嵌入水印嵌入区域以外的载密图像中，本文使用Sachnev 等[23]提出的可逆信息隐藏算法进行压缩后的重构数据分组嵌入。首先，将水印嵌入区域以外的图像像素分为2类。其中第一类像素ui,j的位置满足mod((i+j),2)=0，第二类像素vi,j的位置满足mod((i+j),2)=1。数据可逆嵌入由2轮构成。在第一轮数据可逆嵌入中，使用第二类像素vi,j预测第一类像素ui,j，使用第一类像素ui,j嵌入数据。在第二轮数据可逆嵌入中，使用第一类像素ui,j预测第二类像素vi,j，使用第二类像素vi,j嵌入数据。以第一轮数据可逆嵌入为例，第一类像素ui,j的预测值由其相邻的4个第二类像素预测得到，如式(13)所示。

通过从原始像素ui,j中减去预测值，可以得到预测误差di,j，如式(14)所示。

得到预测误差之后，使用预测误差扩展和直方图平移将压缩后的重构数据分组中的比特mk嵌入预测误差di,j中，如式(15)所示。

其中，Tp和Tn分别是控制预测误差扩展的正阈值和负阈值。在数据可逆嵌入之后，原始像素ui,j被修改为Ui,j，如式(16)所示。

在第二类像素中的数据可逆嵌入和在第一类像素中的数据可逆嵌入相似。数据可逆嵌入和提取的细节描述可以参考文献[23]。为了防止水印恶意擦除，需要根据水印密钥使用流密码对压缩后的重构数据分组进行加密。图4描述了本文提出的针对二维码的图像可逆可视水印算法的原理。

图4 针对二维码的图像可逆可视水印算法的原理

4 实验设计与结果分析

4.1 实验设置

为了验证本文提出的基于二维码和可逆可视水印的图像隐私保护方案的有效性，在实验部分重点对针对二维码的图像可逆可视水印算法进行性能测试，并对所提图像隐私保护方案的安全性进行分析。

将针对二维码的图像可逆可视水印算法在Matlab R2016a 中实现，并选取Huang 等[16]提出的图像可逆可视水印算法（以下简称Huang 等算法）、Mohammad 等[13]提出的图像可逆可视水印算法（以下简称Mohammad 等算法）和Yao 等[15]提出的图像可逆可视水印算法（以下简称Yao 等算法）作为对比方案。这里使用二维码开源开发库ZXing.Net 实现二维码的编码和解码。为了便于验证二维码能否正确识别和解码，实验中作为可视水印的二维码的编码信息为“University of Science and Technology of China”，尺寸分别为128像素×128像素和256像素×256像素，如图5所示。选取标准测试图像库中的6幅图像作为载体图像，如图6所示。实验中使用峰值信噪比（PSNR,peak signal-to-noise ratio）（单位为dB）和结构化相似度（SSIM,structural similarity）[24]评价载密图像相对于载体图像的视觉质量。

4.2 参数选择

在本文提出的针对二维码的图像可逆可视水印算法中，控制水印嵌入强度的嵌入参数αi,j是平衡水印的可视性和载密图像的视觉质量的重要参数。本文在讨论可视水印嵌入模型以及水印嵌入强度和水印可视性的关系的基础上，建立了如式(11)所示的水印嵌入强度在水印可视范围内的最小化嵌入失真模型。使用该模型进行可视水印嵌入时，可以适配载体图像和二值水印图像的内容选择相应的嵌入参数αi,j，以平衡水印的可视性和载密图像的视觉质量。

图5 作为可视水印的二维码

图6 实验中使用的载体图像

以标准测试图像Lena中位置为(478,66)且像素值为108的像素为例，讨论嵌入参数αi,j对载密图像像素嵌入失真ρi,j(xi,j,yi,j)的影响，如表1所示。随着嵌入参数αi,j的增加，载密图像像素的失真增大，同时水印的嵌入强度增大。

选取载体图像为Lena 且嵌入的二维码的尺寸为128像素×128像素，讨论嵌入参数的选择方法，具体步骤如下。

表1 不同嵌入参数时载密图像像素的嵌入失真

步骤1依次遍历得到载体图像中水印嵌入区域的像素xi,j。

步骤2根据二值水印图像像素wi,j，使用式(11)对载体图像像素xi,j进行水印嵌入。

步骤3得到与载密图像像素yi,j对应的嵌入参数αi,j。

通过步骤1～步骤3，可以得到如图7所示的控制水印嵌入强度的嵌入参数αi,j的统计直方图。使用载体图像Jetplane、Living room、Mandril、Peppers 和Woman 进行水印嵌入，使用的嵌入参数同样可以根据式(11)计算得到。

图7 控制水印嵌入强度的嵌入参数的统计直方图

4.3 载密图像视觉质量

为了测试水印的可视性，分别使用Huang 等算法、Mohammad 等算法、Yao 等算法和本文提出的针对二维码的图像可逆可视水印算法进行水印嵌入。图8描述了对载体图像Lena 使用不同可逆可视水印算法生成的载密图像，其中水印嵌入区域为载体图像的中心，嵌入的二维码的尺寸为128像素×128像素。图9描述了对载体图像Peppers 使用不同可逆可视水印算法生成的载密图像，其中水印嵌入区域为载体图像的中心，嵌入的二维码的尺寸为256像素×256像素。

由图8和图9可知，使用Mohammad 等算法和Yao 等算法在载体图像中嵌入二维码后，无法识别嵌入的二维码。在使用Huang 等算法生成的载密图像中，嵌入的二维码虽然可以被正确识别，但是嵌入的二维码完全掩盖了水印嵌入区域的图像内容。本文提出的算法致力于解决水印的可视性和载密图像的视觉质量之间的均衡分析问题，嵌入的二维码既可以被正确识别，也不会完全掩盖水印嵌入区域的图像内容，可以较好地兼顾水印的可视性和载密图像的视觉质量，为授权用户得到隐私信息提供必要的前提条件。

图8 对载体图像Lena 使用可逆可视水印算法生成的载密图像

图9 对载体图像Peppers 使用可逆可视水印算法生成的载密图像

为了客观评价载密图像的视觉质量，分别使用Huang 等算法、Mohammad 等算法、Yao 等算法和本文提出的针对二维码的图像可逆可视水印算法进行水印嵌入。表2描述了嵌入的二维码的尺寸为128像素×128像素时使用不同可逆可视水印算法生成载密图像的客观质量。表3描述了嵌入的二维码的尺寸为256像素×256像素时使用不同可逆可视水印算法生成载密图像的客观质量。在使用本文提出的算法进行水印嵌入时，需要根据式(11)对图像水印嵌入区域中每个像素选择适合的嵌入参数。表4描述了嵌入的二维码的尺寸为128像素×128像素时本文提出的算法中嵌入参数的均值和标准差。表5描述了嵌入的二维码的尺寸为256像素×256像素时本文提出的算法中嵌入参数的均值和标准差。

表2和表3中的粗体数字表示相应的图像可逆可视水印算法可以取得最好的载密图像客观质量。从表2和表3可以看出，本文提出的针对二维码的图像可逆可视水印算法在大多数情况下可以取得最好的载密图像视觉质量。然而，有些情况下本文提出的算法在载密图像客观质量上不如Yao 等算法。这是由于，实验中选用的载体图像为自然图像，自然图像具有较强的空间相关性。Yao 等算法在嵌入水印前先对载体图像分块，为每个图像块中的像素选择相同的嵌入参数，有利于保护图像的空间相关性。但是，本文提出的算法对图像水印嵌入区域中每个像素选择适合的嵌入参数，对图像的空间相关性造成一定程度的影响。与表2相比，表3中嵌入的二维码的尺寸为256像素×256像素，水印嵌入区域更大，因此使用本文提出的算法对图像空间相关性的影响会更大。在本文提出的图像隐私保护方案中，二维码的正确识别和解码是授权用户得到隐私信息的前提条件。为了使嵌入的二维码可以被正确识别，本文提出的针对二维码的图像可逆可视水印算法需要对水印嵌入区域中每个像素选择适合的嵌入参数。

表2 嵌入的二维码的尺寸为128像素×128像素时使用不同可逆可视水印算法生成载密图像的客观质量

表3 嵌入的二维码的尺寸为256像素×256像素时使用不同可逆可视水印算法生成载密图像的客观质量

表4 嵌入的二维码的尺寸为128像素×128像素时本文提出的算法中嵌入参数的均值和标准差

表5 嵌入的二维码的尺寸为256像素×256像素时本文提出的算法中嵌入参数的均值和标准差

在表2和表3中使用均值和标准差这2个统计量评价图像可逆可视水印算法在客观质量上的综合性能。对于给定的图像可逆可视水印算法，相应的图像客观质量的均值越大说明该算法综合性能越好。在表2中，本文提出的算法在PSNR 和SSIM 上均取得了最好的综合性能。在表3中，Yao 等算法在PSNR上取得了最好的综合性能，本文提出的算法在SSIM 上取得了最好的综合性能。PSNR 的标准差越大，说明图像可逆可视水印算法的对图像的自适应能力越强。

4.4 图像隐私保护方案的安全性分析

图像隐私保护方案的安全性包括加密安全性和可视水印安全性。

4.4.1 加密安全性

通过云平台传输数据时存在隐私泄露风险。在本文提出的基于二维码和可逆可视水印的图像隐私保护方案中，构建了图像发送方、云平台和图像接收方之间的数据安全流转通道，有效降低了隐私泄露的风险。对于图像发送方，需要对原始图像进行去隐私信息处理，并根据加密密钥对隐私信息进行加密，降低了与云平台通信过程中的隐私泄露。对于云平台，隐私信息处于加密状态，云平台在没有加密密钥的情况下无法得到解密的隐私信息。对于非授权用户，由于没有正确的加密密钥，即使获得嵌入二维码的载密图像，也无法得到与图像关联的隐私信息。

在本文提出的针对二维码的图像可逆可视水印算法中，用于载体图像无损恢复的压缩后的重构数据分组的长度为L。使用流密码加密压缩后的重构数据分组时产生L种可能的伪随机序列[25]，在没有水印密钥的情况下得到压缩后的重构数据分组的概率为。因此，在没有水印密钥的情况下，非授权用户几乎无法提取嵌入的二维码。

然而，有时候存在授权用户恶意泄露隐私信息加密密钥和水印密钥的情况，从而导致图像隐私保护方案遭受攻击。此时可以采用基于Shamir 秘密共享的密钥分发及其改进算法[26]提升图像隐私保护方案的加密安全性。对于隐私信息加密密钥，秘密分发者为图像发送方；对于水印密钥，秘密分发者为云平台。

在秘密共享的初始化阶段，秘密分发者需要根据n个不同的非零元素x1,x2,…,xn标识每个影子秘密拥有者Ur∈{U1,U2,…,Un}，并公开xr以及相应的Ur。

在秘密分发阶段，假设需要分发的秘密为s，则需要在有限域GF(p)中任意选择(t-1)个元素构成多项式，如式(17)所示。

其中，大素数p＞s，待分发的秘密s=f(0)=a0。秘密分发者为每个影子秘密拥有者Ur（r=1,2,…,n）生成的影子秘密可以表示为

在生成影子秘密之后，秘密分发者可以将sr安全地发送给相应的影子秘密拥有者Ur。

在秘密恢复阶段，任何t个影子秘密拥有者可以使用如式(19)所示的拉格朗日插值公式恢复秘密s，这里的秘密s可以是隐私信息加密密钥或水印密钥。

基于Shamir 秘密共享的密钥分发中，任意不少于t个影子秘密能够恢复出分发的秘密，并且少于t个影子秘密不能获得关于分发的秘密的任何信息，提升了图像隐私保护方案的加密安全性。

4.4.2 可视水印安全性

水印的稳健性是十分重要的性质。在本文提出的图像隐私保护方案中，水印的稳健性可以保证在嵌入二维码的载密图像遭受恶意攻击时，授权用户仍然可以提取嵌入的二维码，从而得到与图像关联的隐私信息。由于图像经常在异构网络中传输，图像传输会面临网络带宽的变化。JPEG图像压缩是常用的且有效的针对图像水印的攻击手段。

为了验证本文提出的针对二维码的图像可逆可视水印算法的稳健性，图10描述了当载体图像为Lena 且嵌入的二维码的尺寸为128像素×128像素时生成的载密图像抵抗JPEG 图像压缩攻击的稳健性，图11描述了当载体图像为Peppers 且嵌入的二维码的尺寸为256像素×256像素时生成的载密图像抵抗JPEG 图像压缩攻击的稳健性。JPEG 图像压缩中选取的质量因子（QF,quality factor）分别为85、65、45和25。选取的质量因子越低，对载密图像的压缩程度越高，相应的载密图像视觉质量越低。从图10和图11的稳健性分析实验可以看出，即使当质量因子为25时，载密图像中嵌入的二维码仍然可以被正确识别。

图10 载密图像Lena 抵抗JPEG 图像压缩攻击的稳健性（二维码尺寸为128像素×128像素，可识别）

在图10中，与质量因子为85、65、45和25的载密图像对应的PSNR 分别为27.589 dB、27.376 dB、27.213 dB 和26.967 dB。在图11中，与质量因子为85、65、45和25的载密图像对应的PSNR 分别为20.914 dB、20.858 dB、20.832 dB 和20.819 dB。稳健性分析实验表明，本文提出的图像隐私保护方案具有抵抗JPEG 图像压缩的稳健性，在一定程度的恶意攻击环境下仍然可以发挥作用。

图11 载密图像Peppers 抵抗JPEG 图像压缩攻击的稳健性（二维码尺寸为256像素×256像素，可识别）

5 结束语

本文针对图像在网络传输中的隐私信息泄露问题，提出了一种基于二维码和可逆可视水印的图像隐私保护方案。在该方案中，图像发送方为了保护图像拍摄时间、拍摄地点和详细描述等隐私信息，首先将这类隐私信息加密后存储在云平台，并由云平台生成能够链接到加密隐私信息的统一资源定位符。云平台将统一资源定位符编码成二维码，并将该二维码作为可视水印可逆地嵌入图像中，实现对隐私信息的访问权限控制。为了平衡水印的可视性和载密图像的视觉质量，在该方案中使用视觉感知模型选择适合的水印嵌入参数。实验结果表明，使用该方案进行可视水印嵌入能够保证载密图像具有良好的视觉质量，同时不影响二维码的正确识别和解码。该方案既保障了图像的传输质量也降低了隐私泄露风险。