随着云技术的飞速发展与普及，用户通常将海量数据上传至云端，而无需考虑本地服务器容量限制。云技术为用户提供了便利，同时也带来了安全隐患^[1]，一旦云端数据被入侵、窃取，将造成用户隐私的泄露。近年来，Google、Salesforce.com、MediaMax以及iCloud泄密事件，都给用户带来了不必要的损失。国内外知名专家冯登国教授^[2]、Thayananthan^[3]、Saraladevi等人^[4]都明确指出了云端数据安全问题已经成为云技术面临的最大挑战之一。因此，保护云端数据安全、保护用户隐私势在必行。

云端用户为了保护隐私，最关注的就是安全问题，安全问题可以细化为以下4个方面^[5]：

1) 机密性。只有授权者才能获取秘密信息，非授权者无法获取秘密信息。

2) 可用性。保证秘密信息可被授权者正常获取并使用。

3) 完整性。保证秘密信息没有被非授权者篡改或破坏。

4) 认证性。保证秘密信息来源的准确性，不被侵权或盗版。

众所周知，加密技术作为一种用户隐私保护的有效方法得到了学者的广泛关注，加密技术能够很好地保证信息的机密性和可用性。数字水印技术作为信息加密领域的重要分支，能够有效保证信息的完整性和认证性。为了更好地保护云端用户隐私，保障信息的机密性、可用性、完整性和认证性，本文将加密技术与数字水印技术有机结合。按照结合方式，可分为2类：FWLE(first watermarking last encryption)和FELW(first encryption last watermarking)，图 1分别给出了基于FWLE和FELW的水印算法基本框图。

1) FWLE。即首先嵌入水印，再将含水印图像加密。

2) FELW。即首先将原始图像加密，然后在密文域中嵌入水印。

目前，大多水印算法是基于FWLE，用户通常先嵌入水印再加密再上传至云端。若要提取水印，用户需要首先从云服务器将数据下载、解密，然后提取水印，最后再加密、上传至云服务器，这将严重影响云服务的管理和优势。然而，对于FELW而言，先加密再在密文域直接嵌入水印，这种支持密文域直接操作的水印技术更有优势，也解决了现有绝大部分数据加密方案不支持直接密文域操作的限制，这不仅有助于密文信息管理，更提高了用户隐私的安全性。因此，基于FELW的密文域水印技术更有助于保护用户隐私，本文所研究的正是基于FELW支持密文域直接操作的水印技术。

目前，基于FELW的密文域水印算法主要分为2类：基于空间域和基于变换域。

1) 空间域。2017年，Yin等人^[6]提出了一种基于多级加密和分块直方图修改的加密域水印算法，该算法首先提出了基于多粒度加密Josephus遍历和密文流的多级加密方案，然后利用分块直方图修改技术完成了水印的嵌入。实验结果表明，和相似算法相比，该算法在嵌入容量、加密图像质量以及恢复准确性方面都有提高。Wang等人^[7]提出的加密域水印算法在加密前实现预留空间，并将数据提取与图像解密分离。实验结果表明，该算法在容量和不可见性等方面取得了良好的效果。为了提高容量，Di等人^[8]提出了一种基于预测误差扩展算法，该算法在公钥加密之前通过插值技术利用像素预测器预留足够的空间。实验结果表明，相比于Shiu等人^[9]提出的算法，该算法具有更好的性能。例如，当解密的Lena图像的峰值信噪比为35 dB时，Di等人^[8]提出的算法的有效载荷为0.74 bit/像素，明显高于Shiu等人^[9]的0.5 bit/像素。Qian等人^[10]提出了一种基于加密JPEG图像的水印技术，该算法以数据嵌入产生的方块作为图像恢复的重要依据，并引入了LDPC进行纠错，实现了水印嵌入及恢复。文献[11]基于压缩感知技术，提出一种鲁棒可分离的密文域水印算法，该算法将图像分成不重叠的子块，利用边缘检测技术将其划分为非重要块和重要块，利用压缩感知技术来对非重要块进行加密，而重要块则采用传统加密方式进行加密，实现了灰度水印的密文嵌入。Dalel等人^[12]提出了一种面向医学图像的加密域水印算法，该算法基于量化索引调制技术分别在发送端和接收端嵌入水印，该算法有效保证了图像的机密性和认证性。

2) 变换域。项世军等人^[13]提出了一种基于Haar-DWT的加密域水印算法，该算法利用数据搬移及量化的方法，分别解决了Haar-DWT过程中可能遇到的负数和小数问题，同时利用乘法逆元方法降低了加密过程中的数据扩展。Xiong等人^[14]提出了基于小波变换的加密域水印算法，该算法结合了整数小波变换、直方图移位和正交分解技术，利用高频子带中的整数小波高频系数分布特性和正交系数的独立性，在加密域内完成了水印嵌入。Dong等人^[15]提出了一种基于DWT-DFT的加密域水印算法，该算法首先将原始图像和水印图像进行加密，然后提取DWT-DFT低频系数作为原始加密图像的特征向量，最后采用零水印技术完成水印的嵌入和提取工作，该算法具有较好的鲁棒性。Xiao等人^[16]提出一种基于DWT和压缩感知技术的密文域水印算法，该算法首先利用DWT将原始图像分成重要和不重要两部分，然后选择两种不同的压缩传感测量矩阵，分别对其进行加密和压缩，最后将水印嵌入除了HH1子带的高频系数中。该算法在压缩和加密中采用压缩传感技术，不仅能提高水印的嵌入能力和鲁棒性，而且利用压缩传感的重建特性，获得更高质量的恢复图像。实验结果验证了该算法的有效性和可靠性。

本文提出了一种基于FELW的变换域可逆水印方案，该方案提出了基于格雷码的同态加密系统(HESGC)和水印追踪联合策略(JWT)，不仅可以有效保护用户隐私，实现了密文域可逆水印和盗版追踪，而且能够抵抗常见攻击，具有安全性高、容量大的特点。

同态加密系统^[17]主要用于保障云端数据安全，它使得密文在无需解密的情况下可以直接进行算术运算，且密文域运算与明文域一一对应。同态加密技术在云计算、电子商务、数字水印等领域中得到了广泛应用^[18]。Dijk等人^[17]提出了一种基于整数的全同态加密方案，即DGHV。该方案简单、易于理解与实现，它采用一种简单的整数加密技术代替了理想格这种抽象的代数结构。本文对DGHV加以改进，提出了HESGC。HESGC主要分成两部分：格雷码加密和整数同态加密。

格雷码是一种常见的无权码，具有相邻性，常用于将模拟量转换成数字量的系统中。本文将格雷码应用到加密系统中，首先将原始灰度图像的每个像素转换成8位二进制，再将其分成高4位和低4位两组，将每组4位二进制码都转换成对应的雷格码。最后将转换后的二进制码作为1.2节整数全同态加密的输入。例如，灰度值197转换成8位二进制为11000101，将其分成高4位1100和低4位0101，再将1100和0101分别转换成对应的格雷码1010和0111。最后将10100111作为1.2节整数全同态加密的输入，加密后输出8个十进制灰度值。

雷格码加密后的二进制将作为本节同态加密的输入，每位二进制经过同态加密后转换成十进制灰度值。因此，格雷码加密结合整数全同态加密后图像将膨胀8倍，这将大大提高系统容量。

1) 秘钥生成。选择一个随机整数${K_1}$作为秘钥，且${K_1}$∈[0, 63]。

2) 加密算法。对于待加密的消息$m$∈[0, 1]，加密算法为

$ c = E\left( m \right) = 4{K_1} + m $

(1)

式中，$E$()表示加密函数，$c$表示加密后的密文，由于${K_1}$∈[0, 63]，$m$∈[0, 1]，因此$c$∈[0, 253]，未产生溢出。

3) 解密算法。对于密文$c$，解密算法为

$ m = D\left( c \right) = \bmod \left( {c,2} \right) $

(2)

式中，$D$()表示解密函数。

4) 全同态性：

(1) 加法同态性。设有明文${m_1}$、${m_2}$，则有密文${c_1}$、${c_2}$，即

$ {c_1} = E\left( {{m_1}} \right) = 4{K_1} + {m_1} $

(3)

$ {c_2} = E\left( {{m_2}} \right) = 4{K_1} + {m_2} $

(4)

根据式(3)(4)容易得

$ \begin{array}{*{20}{c}} {E\left( {{m_1}} \right) + E\left( {{m_2}} \right) = {c_1} + {c_2} = }\\ {8{K_1} + {m_1} + {m_2}} \end{array} $

(5)

$ \begin{array}{*{20}{c}} {D\left( {E\left( {{m_1}} \right) + E\left( {{m_2}} \right)} \right) = D\left( {8{K_1} + {m_1} + {m_2}} \right) = }\\ {\bmod \left( {8{K_1} + {m_1} + {m_2},2} \right) = {m_1} + {m_2}} \end{array} $

(6)

即$D$(${c_1}$+${c_2}$)=${m_1}$+${m_2}$，因此，明文域加法对应密文域加法，该算法具有加法同态性。

(2) 乘法同态性。根据式(3)(4)，很容易得

$ \begin{array}{*{20}{c}} {E\left( {{m_1}} \right) \times E\left( {{m_2}} \right) = {c_1} \times {c_2} = }\\ {16K_1^2 + 4{K_1}\left( {{m_1} + {m_2}} \right) + {m_1} \times {m_2}} \end{array} $

(7)

$ \begin{array}{*{20}{c}} {D\left( {E\left( {{m_1}} \right) \times E\left( {{m_2}} \right)} \right) = D\left( {{c_1} \times {c_2}} \right) = }\\ {\bmod \left( {16K_1^2 + 4{K_1}\left( {{m_1} + {m_2}} \right) + {m_1} \times {m_2},2} \right) = }\\ {{m_1} \times {m_2}} \end{array} $

(8)

即$D$(${c_1}$×${c_2}$)=${m_1}$×${m_2}$，因此，明文域乘法对应密文域乘法，该算法具有乘法同态性。

(3) 减法同态性。根据式(3)(4)，容易得

$ E\left( {{m_1}} \right) - E\left( {{m_2}} \right) = {c_1} - {c_2} = {m_1} - {m_2} $

(9)

$ \begin{array}{*{20}{c}} {D\left( {E\left( {{m_1}} \right) - E\left( {{m_2}} \right)} \right) = D\left( {{c_1} - {c_2}} \right) = }\\ {\bmod \left( {{m_1} - {m_2},2} \right) = {m_1} - {m_2}} \end{array} $

(10)

即$D$(${c_1}$－${c_2}$)=${m_1}$－${m_2}$，因此，明文域减法对应密文域减法，该算法具有减法同态性。

(4) 除法(除2)同态性。依据本文算法可知，本文在整个系统实现过程中只采用了除2操作，因此，本文只要实现除2同态性即可。依据式(3)容易得

$ \begin{array}{*{20}{c}} {D\left( {E\left( {{m_1}} \right)/2} \right) = D\left( {{c_1}/2} \right) = \left. {D\left( {4{K_1} + {m_1}} \right)/2} \right) = }\\ {\left( {2{K_1} + \left\lceil {{m_1}/2} \right\rceil } \right)\bmod 2 = \left\lceil {{m_1}/2} \right\rceil } \end{array} $

(11)

即$D$(${c_1}$/2)=[${m_1}$/2]，式中，${m_1}$∈[0, 1]，因此，明文域除2对应密文域除2，该算法具有除2同态性。

综上，由式(6)(8)(10)(11)可知，明文域与密文域加法、乘法、减法、除法(除2)具有一一对应关系。因此，该算法具有全同态性质。

本文提出了一种面向用户隐私保护的基于FELW的支持密文域直接操作的同态加密域可逆水印方案，首次提出了HESGC和JWT。原始图像经过HESGC加密，不仅实现密文域水印，避免了大多明文域水印算法存在暴露原始图像信息的风险，提高了隐私保护能力，而且大大提高了系统容量。此外，首次提出的JWT策略能够有效实现盗版追踪，且能够抵抗常见攻击，提高了版权保护能力。同时，新提出的可逆嵌入策略满足水印嵌入后小波逆变换仍为整数的条件，为可逆恢复奠定了基础。图 2给出了该方案的整体流程图。

现有水印算法大多以二值图像作为水印图像，或者将灰度图像二值化后作为水印图像，本文将直接采用灰度图像作为水印图像。同时为了增加灰度水印图像的安全性，采用级联混沌技术^[19]对其加密。本文采用像素置乱和像素值替代双重置乱技术来完成灰度水印图像的加密，其中像素置乱是通过Arnold变换和密钥序列排序的方法对图像各像素点位置进行两次置乱；像素值替代则是通过对其二进制各位数字置乱后再与密钥序列的异或运算来实现的。而密钥序列都是通过L-L级联映射产生的伪随机序列。

1) 像素置乱。对于尺寸为$N$×$N$的水印图像$\mathit{\boldsymbol{F}}\left( {x, y} \right)$，对其进行像素置乱, 即

$ \left[ {\begin{array}{*{20}{c}} {x'}\\ {y'} \end{array}} \right] = \left[ {\begin{array}{*{20}{c}} \begin{array}{l} 1\\ b \end{array}&\begin{array}{l} a\\ ab + 1 \end{array} \end{array}} \right]\left[ \begin{array}{l} x\\ y \end{array} \right]\bmod N $

(12)

式中，$x$和$y$分别表示原水印图像矩阵像素点的横纵坐标；${x'}$和${y'}$分别表示图像经过Arnold变换后图像矩阵像素点的横纵坐标；$a$和$b$分别作为像素置乱的秘钥保存起来，分别记为${K_2}$和${K_3}$，且${K_2}$和${K_3}$是正整数，$N$是图像的阶数，像素置乱后图像记为${\mathit{\boldsymbol{F}}_1}^\prime \left( {x', y'} \right)$。

将${\mathit{\boldsymbol{F}}_1}^\prime \left( {x', y'} \right)$转化为1维向量，根据级联L-L方程生成混沌序列(迭代(500+$N$×$N$)次)

$ \begin{array}{*{20}{c}} {{x_{n + 1}} = \lambda \left( {{\lambda _1}{x_n}\left( {1 - {x_n}} \right)} \right) \times }\\ {\left( {1 - {\lambda _1}{x_n}\left( {1 - {x_n}} \right)} \right)} \end{array} $

(13)

式中，${x_n}$∈[0, 1]，$\lambda $ = 4，参数$\lambda _1$∈[1.53, 4]，对$\lambda _1$取值只要避开3个周期窗口，系统就处于混沌状态^[20]。${x_0}$、$\lambda $和$\lambda _1$分别作为像素置乱的秘钥保存起来，分别记为${K_4}$、${K_5}$和${K_6}$，本文${K_4}$=0.86、${K_5}$=4和${K_6}$=2.89。

为了消除暂态效应，将舍弃前500项所剩的序列记为$\mathit{\boldsymbol{A}}$, $\mathit{\boldsymbol{B}}$为$\mathit{\boldsymbol{A}}$升序排列后的序列，$num$为序列$\mathit{\boldsymbol{B}}$对应序列$\mathit{\boldsymbol{A}}$的位置索引。依据序列$\mathit{\boldsymbol{B}}$对${\mathit{\boldsymbol{F}}_1}^\prime \left( {x', y'} \right)$进行置乱，置乱后的图像记为${\mathit{\boldsymbol{F}}_2}^\prime \left( {x', y'} \right)$。

2) 像素值替代。对于经过像素置乱后的图像${\mathit{\boldsymbol{F}}_2}^\prime \left( {x', y'} \right)$，首先将每个像素的灰度值转换成8位二进制，再按照图 3对各位进行位置变换，生成新的二进制数，再将其转换为十进制像素值，记为${\mathit{\boldsymbol{F}}_3}^\prime \left( {x', y'} \right)$。图 3中数字的变化代表着对应位置的变化，例如原第2位上的数字变化后放置在第5位。

最后，依据级联L-L方程迭代，如式(13)所示，将前501次舍弃后继续迭代形成的秘钥序列记为$\mathit{\boldsymbol{C}}$，将$\mathit{\boldsymbol{C}}$与图像${\mathit{\boldsymbol{F}}_3}^\prime \left( {x', y'} \right)$做异或操作，结果记为${\mathit{\boldsymbol{F}}_4}^\prime \left( {x', y'} \right)$，${\mathit{\boldsymbol{F}}_4}^\prime \left( {x', y'} \right)$即为最终的加密图像。同理，${x_0}$、$\lambda $和$\lambda _1$分别作迭代秘钥保存起来，分别记为${K_7}$、${K_8}$和${K_9}$，本文${K_7}$=0.75、${K_8}$=4和${K_9}$=2.55。

解密为加密的逆过程。以灰度图像Cameraman为例，图 4给出了仿真结果，其中图 4(a)为原始灰度Cameraman图像，图 4(b)为像素置乱后密图，图 4(c)为像素值替代后密图，图 4(d)为解密图像。由此可见，本算法达到了较好的加密效果，有效提高了系统安全性。

原始载体图像首先利用本文新提出的HESGC进行加密，加密后图像将膨胀为原来的8倍，大大提高了系统容量。首先利用1.1节的方法进行格雷码加密，加密后每个像素变成8位二进制数；再利用1.2节方法进行整数同态加密，加密后每位二进制将转为一位十进制数(且该数∈[0, 253]不会产生溢出)。例如，原始图像某像素值为105，转换为8位二进制为01101001，利用1.1节格雷码加密后变成01011101。假设1.2节中整数同态加密系统中秘钥${K_1}$=7，则加密后生成8个十进制数分别为：28、29、28、29、29、29、28、29，完成了图像的膨胀与加密。原始载体图像膨胀加密过程如图 5所示。

为了便于计算与表示，原始图像中每水平相邻两个元素经过膨胀加密后变成16个新的元素，用4×4矩阵表示，如图 6所示。因此，尺寸为$N$×$N$灰度图像膨胀后尺寸为4$N$×2$N$。

尺寸为$N$×$N$的图像经过HESGC加密后膨胀为4$N$×2$N$。为了避免水印及追踪证明嵌入区域冲突，本文将其从水平中间划分为上下两个尺寸均为2$N$×2$N$的区域，分别为区域0和区域1，如图 7所示。为了提高安全性，本文采用秘钥${K_{10}}$来控制两个不同区域的所属，如式(14)所示，区域i是水印嵌入区域，另一区域则为追踪证明嵌入区域。

$ i = \bmod \left( {{K_{10}},2} \right) $

(14)

结合图 7可知，当秘钥${K_{10}}$为偶数时，上面区域0为水印嵌入区域，下面区域1为追踪证明嵌入区域；反之，当秘钥${K_{10}}$为奇数时，下面区域1为水印嵌入区域，上面区域0为追踪证明嵌入区域。

1) 纹理块/平滑块划分。为了提高不可见性，分别对水印和追踪证明嵌入区域实施2级整数小波变换，LL2子带不嵌入任何信息。

依据HVS特性，通常人眼对于平滑区域噪声较为敏感，而对于纹理区域噪声较不敏感。本文采用像素平方和来对图像块进行分类，图像块的像素平方和越大，能量越大，一般为纹理块；像素平方和越小，能量越小，一般为平滑块。图像块$k$的像素平方和的计算为

$ E{n_k} = \sum\limits_{i = n,j = 1}^{i = n,j = n} {f\left( {i,j} \right) \times f\left( {i,j} \right)} $

(15)

式中，$f\left( {i, j} \right)$为坐标$\left( {i, j} \right)$处的像素值，$n$×$n$为图像块k的尺寸。

根据HVS纹理掩蔽特性，选择纹理块嵌入信息，平滑块不嵌入任何信息，这样可以有效保证不可见性和隐蔽性。实验中，计算所有图像块的能量$E{n_k}$，分类阈值$T$为能量最大值与能量最小值之和的$n$分之一，即

$ T = \left( {\max \left( {E{n_k}} \right) + \min \left( {E{n_k}} \right)} \right)/n $

(16)

式中，$k$=1, 2, …，$N$，$N$为图像块数量；$\rm{max}$()和$\rm{min}$()分别为求最大值和最小值函数；$n$为分类阈值的自适应参数($n$=2, 3, 4, 5)，$n$越大，分类阈值越小，可嵌入区域越多，图像容量越大，不可见性越低；反之$n$越小，分类阈值越大，可嵌入区域越少，图像不可见性越高，容量越低。本文中n取4，图像分类阈值将作为秘钥保存，即${K_{11}}$= $T$。

除了LL2子带，将其他子带分成4×4图像子块，依据式(15)计算密文小波域中每个4×4子块能量值，将每个子块的能量值与阈值比较，若大于阈值，将其记为纹理块，否则为平滑块。

2) 分类优化。通常，把在纹理块中间出现的平滑块称为平滑孤岛，把在平滑块中间出现的纹理块称为纹理孤岛。为了成功消除纹理区域中的平滑孤岛，或者平滑区域中的纹理孤岛，也使相同类块更加集中，块分类更加准确、合理，采用邻域方法对分类结果进行二次优化。

首先计算每个平滑块的8邻域中纹理块的个数，如果大于等于5，则认为该块是纹理块，否则，该块仍为平滑块；同理，计算每个纹理块的8邻域中平滑块的个数，如果大于等于5，则认为该块是平滑块，否则，该块仍为纹理块。

嵌入区域选择策略流程如图 8所示。

现有水印算法大多以二值图像作为水印图像，即使采用灰度图像作为水印图像，通常在嵌入之前需要将其转换为二值图像。本文提出了一种新的嵌入策略，可直接将灰度水印图像或灰度追踪证明图像嵌入到载体中，而无需对灰度图像进行任何处理。

本文新提出的水印嵌入策略如下：

首先依据3.3节嵌入区域选择策略确定可嵌入区域，再找出每个可嵌入的尺寸为4×4纹理块(如图 9所示)中的3个像素点${a_m}$、${a_n}$和${a_k}$，$m$、$n$、$k$∈{1, 2, 3, …, 16}，${a_m}$为子块中像素值最大的点；${a_n}$在${a_m}$的正上方或正下方，即

$ n = \left\{ {\begin{array}{*{20}{c}} \begin{array}{l} m + 1\\ \\ m - 1 \end{array}&\begin{array}{l} m \ne 4,m \ne 8,\\ m \ne 12,m \ne 16\\ 其他 \end{array} \end{array}} \right. $

(17)

然后，确定$k$值。$k$值的选择是根据${a_m}$与${a_n}$像素值之差对12取余来确定的，即

$ {K_{12}} = {a_m} - {a_n} $

(18)

$ k = \bmod \left( {{K_{12}},12} \right) + 1 $

(19)

为了提高系统安全性，同时便于水印提取将秘钥${K_{12}}$保存起来。

为了避免位置冲突，本文选择与12取余，将最后一列预留出来，防止找到的${a_k}$与${a_m}$或${a_n}$重合，一旦重合，需将点放在对应行的最后一列解决位置冲突。

最后通过修改像素点${a_m}$、${a_n}$、${a_k}$的值来完成水印信息${w_i}$($i$=1, 2, …, $N$×$N$，假定水印图像尺寸为$N$×$N$)的嵌入，即

$ {{a'}_m} = 2 \times \left( {{a_m} + {a_n} + {w_i}} \right) $

(20)

$ {{a'}_n} = {a_k} $

(21)

$ {{a'}_k} = {a_m} + {a_n} $

(22)

为了避免溢出问题的产生，对3.3节中的可嵌入区域进行二次筛选，根据式(20)(22)，产生溢出的纹理块将不嵌入任何信息。本文采用二值矩阵$\mathit{\boldsymbol{P}}$来记录嵌入位置，可嵌入块用1表示，不可嵌入块用0表示。$N$×$N$的图像经过HESGC加密后膨胀为4$N$×2$N$，由于密文小波域中4×4子块对应位置矩阵$\mathit{\boldsymbol{P}}$中的一个像素，因此位置矩阵$\mathit{\boldsymbol{P}}$的尺寸为$N$×($N$/2)。

最后实施逆小波变换得到含水印图像。依据文献[21]可知，对于小波变换而言，若水印嵌入过程中各像素值改变量之和的奇偶性不变，即各像素值的改变量之和为2的倍数，即可保证嵌入水印后小波逆变换仍为整数。

由式(20)—式(22)可知，在水印嵌入过程中像素值的改变量之和的奇偶性不变，即像素值的改变量之和为2的倍数，即

$ \begin{array}{*{20}{c}} {\left( {{{a'}_m} + {{a'}_n} + {{a'}_k}} \right) - \left( {{a_m} + {a_n} + {a_k}} \right) = }\\ {2 \times \left( {{a_m} + {a_n} + {w_i}} \right)} \end{array} $

(23)

因此，可以有效保证逆小波变换后仍为整数。

依据位置矩阵$\mathit{\boldsymbol{P}}$首先获取嵌入区域，找出每个4×4纹理块中的3个像素点，分别记做${{a'}_m}$、${{a'}_n}$和${{a'}_k}$。由2.4节水印嵌入策略可知，在水印嵌入过程中利用子块中像素值的大小关系，通过修改像素值进一步增强了3个点之间的联系，因此很容易找到3个点的位置。由嵌入策略可知，${{a'}_m}$与${{a'}_k}$分别是4×4子块中像素值最大与次大的2个点，${{a'}_n}$在${{a'}_m}$的正上方或者正下方。

本文利用${{a'}_m}$、${{a'}_n}$和${{a'}_k}$3个点的像素值以及秘钥${K_{12}}$对含水印图像进行恢复，同时恢复出水印和追踪证明信息。

依据式(18)(22)可恢复出${a_m}$、${a_n}$、${a_k}$，即

$ {a_m} = \left( {{{a'}_k} + {K_{12}}} \right)/2 $

(24)

$ {a_n} = \left( {{{a'}_k} - {K_{12}}} \right)/2 $

(25)

$ {a_k} = {{a'}_n} $

(26)

依据式(20)(24)(25)可恢复出水印/追踪证明信息${{w'}_i}$

$ {{w'}_i} = {{a'}_m}/2 - {a_m} - {a_n} $

(27)

至此，恢复了像素值和水印/追踪证明信息值，实现了可逆水印技术。

为了提高版权保护能力，准确定位盗版起源，本文首次提出了水印追踪联合策略JWT，JWT策略能够有效定位盗版图像的起源，也就是追踪到将图像私自拷贝传播的首位非授权者。

简而言之，JWT策略的基本思想就是嵌入追踪证明。首先为不同的接收者根据其自身特性生成不同的追踪证明；然后秘密地将不同的追踪证明分别嵌入到图像中，得到含不同追踪证明的图像；最后再将含有不同追踪证明的图像分发给不同的接收者。一旦图像被拷贝泄露，并非法传播，图像版权所有者只需提取已嵌入的追踪证明信息便可追踪到图像的非法泄露者。JWT策略的基本思想如图 10所示。

本文提出的JWT策略，版权所有者与接收者不同，版权所有者只有一人，而接收者可以多人。版权所有者依据不同的接收者生成不同的追踪证明并嵌入，将含不同追踪证明的图像分发给不同的接收者。一旦网络上出现盗版图像，只有版权所有者有权限并且掌握追踪证明的提取方法。因此，只要版权所有者提取追踪证明即可获知图像是从哪个接收者泄露出去的。

本文充分利用数字签名的不可抵赖性，为每位图像接收者生成不同的数字签名，即追踪证明，并将其秘密地嵌入到载体图像中。当出现盗版图像时，版权所有者只需提取嵌入的追踪证明即可追踪到图像泄露者，实现盗版追踪。

本文利用安全散列算法(SHA-1)^[22]为每位图像接收者依据其自身特性生成不同的数字签名，即追踪证明。以图像接收者“张三”为例，首先以含有“张三”字样的灰度图像为数据源，利用SHA-1生成160 bit初始数字签名；再将160 bit初始数字签名分成20组，每组8 bit，并将其作为二进制数存储；最后将每组8 bit二进制转换为十进制，形成最终的追踪证明。然后利用2.3节嵌入区域选择策略、2.4节嵌入策略以及2.5节图像可逆恢复及提取策略，完成追踪证明的嵌入、提取以及图像可逆恢复工作。

本文追踪证明的嵌入与数字水印的嵌入互无影响，保证了二者的准确性与安全性。图 11给出了盗版追踪流程图。

安全性是衡量水印系统的重要指标，只有安全的水印系统才是有意义的。然而到目前为止，不同的水印系统其安全等级不尽相同。本文所提出的面向用户隐私保护的基于格雷码的同态加密域可逆水印算法实现了三重安全保护机制，具有较强的安全性能。

1) HESGC。现有的大部分水印算法是基于明文域的，存在着暴露原始载体图像信息的风险。为了保护用户隐私，提高载体图像安全性，本文采用HESGC对原始载体图像进行加密，包括格雷码加密和整数同态加密两部分，加密算法和秘钥作为秘密信息保存起来，提高了系统安全性。

2) 基于级联混沌技术。基于级联混沌技术是一种经典的图像加密方法，本文利用基于级联混沌技术对灰度水印图像加密，提高了水印图像安全性。本文主要对灰度水印图像实施了像素置乱和像素值替代双重置乱，其中像素置乱主要采用Arnold和级联L-L方程迭代技术对像素位置坐标置乱，像素值替代则采用秘密的二进制位置乱规则，结合级联L-L方程迭代完成置乱，有效提高了系统安全性。

3) 多重秘钥机制。为提高系统安全性，本文采用多重秘钥机制，秘钥机制贯穿整个水印系统。

(1) 秘钥${K_1}$。在同态加密过程中，${K_1}$作为秘钥保证了载体图像的隐秘性，${K_1}$不同，同态加密后图像不同，因此${K_1}$有效保证了载体图像的秘密性。

(2) 秘钥${K_2}$、${K_3}$、${K_4}$、${K_5}$、${K_6}$、${K_7}$、${K_8}$和${K_9}$。本文直接将灰度水印图像嵌入到载体图像中，而无需将其转换为二值图像。为了提高灰度水印图像的安全性，采用像素置乱和像素值替代双重置乱技术来完成灰度水印图像的加密。${K_2}$和${K_3}$即为像素置乱过程Arnold变换中的秘钥；${K_4}$、${K_5}$和${K_6}$为像素置乱过程中根据级联L-L方程生成混沌序列时的秘钥；${K_7}$、${K_8}$和${K_9}$为像素值替代过程中根据级联L-L方程生成混沌序列时的秘钥，因此，${K_2}$、${K_3}$、${K_4}$、${K_5}$、${K_6}$、${K_7}$、${K_8}$和${K_9}$很好地隐藏了灰度水印图像。

(3) 秘钥${K_{10}}$、${K_{11}}$。在嵌入区域选择阶段，${K_{10}}$作为图像分区所属分类秘钥，${K_{10}}$的奇偶性不同，水印和追踪证明嵌入分区结果不同。秘钥${K_{11}}$作为阈值将图像块分为纹理块和平滑块。${K_{11}}$不同，图像分类结果不同，嵌入区域则不同。因此，${K_{10}}$、${K_{11}}$很好地隐藏了嵌入位置。

(4) 秘钥${K_{12}}$。为了提高系统安全性，同时便于信息提取将${K_{12}}$作为秘钥保存起来。只有获得秘钥${K_{12}}$才能正确地提取信息并恢复图像，因此，${K_{12}}$是提取信息以及恢复图像的关键。同时只有了解整个嵌入机制者才有机会获取${K_{12}}$，非法授权者很难获取${K_{12}}$，也就很难破坏水印及图像。总之，${K_{12}}$有效提高了系统的安全性。

采用USC-SIPI图像数据库进行了大量实验，图 12给出了本数据库中的6幅尺寸均为512×512像素的代表图像Lena、Pepper、Boat、Baboon、Truck和Jet的实验结果，通过对比图 12中原始图像和恢复后图像可知，本方案的图像恢复质量较高，恢复后图像与原始图像完全相同，恢复后图像能够准确表达原始图像的全部内容。同时，提取出的水印图像也与原始水印完全相同，因此，本文实现了可逆恢复功能。

本文采用峰值信噪比(PSNR)和结构相似性(SSIM)来衡量嵌入水印后图像的质量。众所周知，PSNR是常用的衡量图像质量的标准,

$ {\rm{PSNR}} = 10\lg \left( {b/{\rm{MSE}}} \right) $

(28)

式中, $b$是最大系数值，一般为255，$\rm{MSE}$是均方差，

$ {\rm{MSE}} = \frac{{\sum\limits_{i = 1}^M {{{\left[ {f\left( {i,j} \right) - {f_w}\left( {i,j} \right)} \right]}^2}} }}{{M \times N}} $

(29)

式中，$M$和$N$分别表示图像的高度和宽度，$f$()和${f_w}$()分别表示原始载体图像和嵌入水印后的含水印图像。

SSIM是用来衡量两幅图像相似度的新指标，从亮度、对比度和结构3个方面衡量图像的相似性，本文利用SSIM来衡量恢复后图像与原始图像的相似度以及原始水印图像与提取水印图像的相似度。为了简化SSIM的计算，本文设置$\alpha $=$\beta $=$\gamma $=1，${C_3}$=${C_2}$/2，简化后的SSIM为

$ \begin{array}{*{20}{c}} {{\rm{SSIM}}\left( {x,y} \right) = }\\ {\frac{{\left( {2{\mu _x}{\mu _y} + {C_1}} \right)\left( {2{\sigma _{xy}} + {C_2}} \right)}}{{\left( {\mu _x^2 + \mu _y^2 + {C_1}} \right)\left( {\sigma _x^2 + \sigma _y^2 + {C_2}} \right)}}} \end{array} $

(30)

如果两幅图像完全相同，则SSIM的值均为1；两幅图像越接近，SSIM的值越接近1。

表 1给出了本文算法与其他7种可逆水印算法^[23-28]关于恢复质量的比较结果。由表 1可知，本文与文献[16, 28]都实现了密文域水印技术，而其他算法是基于明文域的，因此，本文与文献[16, 28]具有更高的安全性，在保护用户隐私方面更有优势。而且，相比于文献[16, 28]，本文具有更好的性能，与2018年Yin等人^[28]提出的算法相比，本文实现了更高的PSNR，具有更好的不可见性；与2017年Xiao等人^[16]提出的算法相比，本文的SSIM略高，因此，本文的综合性能更高。此外，本文与文献[26-28]实现了完全可逆，SSIM值均为1，其他算法的SSIM也都较高，均高于0.99。

众所周知，水印容量是指单位像素嵌入的比特数(bit/像素)，即

$ C = \frac{{E\left( T \right)}}{{M \times N}} $

(31)

式中，$C$是容量，$M$、$N$是被测图像的宽度和高度，函数$E$是用来计算在阈值为$T$时可以嵌入水印的比特数。

本方案容量较大，假设水印和追踪证明的待嵌入候选区域中(除了LL2)所有子块均为可嵌入块，对于512×512像素的原始载体图像而言，膨胀后尺寸为(4×512)×(2×512)，每4×4子块可嵌入1个像素，因此最多可嵌入122 880个像素；每个像素8 bit，因此，本方案理论上的最大容量为3.75，即

$ \begin{array}{*{20}{c}} {\frac{{\left( {4 \times 512} \right) \times \left( {2 \times 512} \right) - \frac{{512}}{2} \times \frac{{512}}{2} - \frac{{512}}{2} \times \frac{{512}}{2}}}{{4 \times 4}} = }\\ {122\;880} \end{array} $

(32)

$ \frac{{122\;880 \times 8}}{{512 \times 512}} = 3.75 $

(33)

目前大多水印算法的最大容量不足1 bit/像素。例如2018年Yin等人^[28]提出加密域可逆水印算法，对于不同的512×512像素载体图像而言，其负载不同，其中最大负载为Jet图像的13 028 bit，根据式(31)可知，其容量为13 028/(512×512)=0.05 bit/像素；再比如2017年Parah等人^[27]提出的可逆水印算法中，512×512像素的载体图像的负载为196 608 bit，则其容量为196 608/(512×512)=0.75 bit/像素。表 2给出了本文与其他可逆水印算法关于最大容量的比较，由表 2可知，本文所提出的方案其容量远远大于其他同类算法。

本文实际容量与图像分类阈值${K_{11}}$以及嵌入策略密切相关，阈值越大，可嵌入区域越小，容量也就越小，图像的不可见性越好，PSNR越大；反之，阈值越小，可嵌入区域越大，容量也就越大，图像的不可见性越差，PSNR越小。实验中为了平衡不可见性和容量，我们采用USC-SIPI图像数据库进行了大量采样实验，得到当$n$=4时，图像块得到较合理的分类阈值${K_{11}}$。图 13给出了本文与其他算法在不同容量下嵌入水印后图像PSNR的比较，其中图 13分别以Lena、Baboon和Boat为测试图像。由图 13可知，本文算法具有容量大的特点，而且在不同容量下的PSNR值略高于文献[13, 16, 29]。

为了验证本文首次提出的JWT策略的有效性，假设原始秘密图像Lena将分别发送给图像接收者张三、李四和王五，含有“张三”“李四”和“王五”字样的灰度图像将分别作为3位图像接收者的数据源，如图 14(a)(b)(c)所示。

首先利用SHA-1算法分别将不同接收者的不同数据源生成不同的160 bit初始数字签名，再将160 bit初始数字签名分成20组，每组8 bit，最后将每组8 bit二进制转换为十进制，形成最终的追踪证明。张三、李四和王五的最终追踪证明分别如下所示：

张三：24, 20, 19, 22, 90, 186, 183, 195, 99, 56, 53, 49, 148, 250, 241, 236, 189, 176, 60, 52;

李四：158, 151, 162, 170, 45, 34, 40, 15, 25, 204, 168, 157, 189, 180, 174, 90, 96, 87, 173, 166;

王五：96, 98, 84, 82, 156, 149, 163, 158, 200, 206, 214, 236, 18, 47, 57, 65, 89, 233, 245, 200。

利用HESGC对原始秘密Lena图像加密，在密文域上实施2级整数小波变换，选择追踪证明嵌入区域并完成追踪证明的嵌入工作，最后将含追踪证明的密文图像解密后分发给接收者。图 14(d)(e) (f)(g) 分别为原始秘密Lena图像、密文域图像、含追踪证明的密文图像和解密图像。

假设网络上出现了盗版解密图像，如图 14(g)，为了追踪盗版起源，提取盗版图像的追踪证明，提取结果为(28, 20, 19, 20, 90, 186, 193, 195, 99, 56, 52, 49, 48, 253, 241, 235, 189, 166, 60, 58)。将提取的追踪证明与图像接收者数据源生成的追踪证明比较。常见攻击测试结果如图 15所示。

众所周知，图像在传播过程中可能受到噪声影响，因此不要求提取追踪证明与原始追踪证明完全相同，本文主要依据二者的相似度来判断，相似度最高者即为图像盗版者。本文依据式(34)来评价原始追踪证明和提取出的追踪证明的相似度

$ \rho \left( {T',T} \right) = \frac{{\sum\limits_{i = 1}^{20} {\left( {{{t'}_i} \times {t_i}} \right)} }}{{\sum\limits_{i = 1}^{20} {t_i^2} }} $

(34)

式中, ${t'_i}$和${t_i}$分别为提取出的追踪证明${T'}$和原始追踪证明$T$的分量。

依据式(34)可得，提取追踪证明与张三、李四、王五的追踪证明的相似度分别为0.966、0.614、0.594，因此，确定盗版起源为张三。

为了验证JWT策略的鲁棒性，本文对含追踪证明的解密图像实施了不同的常见攻击，如随机噪声、中值滤波(模板3×3)、图像平滑(高斯模板3×3)、JPEG编码、LZW编码、卷积模糊等，通过计算原始追踪证明与提取出的攻击后图像的追踪证明的相似度，很容易定位到图像的泄露者，因此本文提出的JWT策略具有较好的鲁棒性。

表 3给出了不同攻击下提取的追踪证明，表 4则为不同攻击下提取的追踪证明与不同接收者的原始追踪证明的相似度，当相似度为1时，表明二者完全相同。由表 4可知，相似度越接近1，越有可能为图像泄露者。对于Baboon图像而言，在6种不同的攻击下，提取的追踪证明与张三的原始追踪证明的相似度最接近1，而与李四、王五的追踪证明的相似度均在0.6左右，因此，很容易确定Baboon图像的泄露者为张三。以此类推，由表 4可知，图像Peppers和Bridge的泄露者分别为李四和王五。由此可见，本文所提出的JWT策略能够有效抵抗一些常见的攻击，如随机噪声、中值滤波、图像平滑、JPEG编码、LZW编码和卷积模糊等。

随着云技术的飞速发展与普及，用户通常将海量数据上传至云端，因此保护云端用户隐私，提高云端安全性成了亟待解决的关键问题。本文提出了一种面向云端用户隐私保护的基于格雷码同态加密域的可逆水印方案。该方案首次提出了HESGC和JWT，实现了密文域可逆水印技术和盗版追踪功能。原始图像经过HESGC加密与膨胀，不仅避免了大多明文域水印算法存在暴露原始图像信息的风险，而且提高了系统容量。同时，该方案直接采用灰度图像作为水印图像，解除了以往以二值图像作为水印图像，或者将灰度图像二值化后作为水印图像的限制，而且采用基于级联混沌技术提高了灰度水印图像的安全性。此外，本方案成功消除图像分区分类中纹理/平滑区域中的平滑/纹理孤岛。而且，本方案能够抵抗一些常见的攻击，如随机噪声、中值滤波、图像平滑、JPEG编码、LZW编码、卷积模糊等，且具有安全性高、容量大的特点。然而，该方案无法抵抗几何攻击，这也是下一步工作的重点。