信息的安全通信十分重要。加密和隐写是用于隐蔽通信的两种主要手段。加密保护的是秘密信息的内容，但加密后的信息易引起攻击者关注，因此无法隐藏隐蔽通信的行为。而隐写将秘密信息隐藏在无关载体中，可以隐藏隐蔽通信的行为，使攻击者无法察觉，更无从知晓秘密信息的存在及其内容(张卫明等，2022)。为了确保通信的正常进行，将加密与隐写相结合可进一步提高秘密信息的安全性。然而在现实场景下，很有可能出现更糟糕的情况，即不论加密或隐写，攻击者可以利用密码分析或隐写分析检测出秘密信息的存在，获取通信双方的信息，随后实施胁迫攻击——找到发送方或接收方，胁迫其提交通信中使用的数据，获取经过验证的秘密信息，隐蔽通信将遭到严重破坏。

传统加密方案只能在一定程度上抵抗被动攻击，但无法抵抗主动的胁迫攻击。由于传统加密方案中发送方使用唯一的明文、秘钥和随机输入生成密文，发送方无法使用虚假的明文生成相同的密文，因此攻击者所得即为真实明文，胁迫攻击很容易得逞。为了逃脱该种攻击，Canetti等人(1997)提出可否认加密的概念，构造虚假的明文和虚假的随机输入生成相同的密文，发送方否认真实明文，可欺骗攻击者，而攻击者无法区分，真实明文得到保护。

隐写领域也存在相同问题。隐写始终面临抗隐写分析的风险，多数传统隐写算法都有对应的针对性隐写分析，如针对LSB(least significant bit)算法的StegExpose分析工具等；也有通用的隐写分析方法，如富模型SRM(spatial rich model)(Fridrich和Kodovský，2012)等。基于神经网络的隐写方案也有与之抗衡的隐写分析网络。例如，只需100个训练样本，隐写分析网络就能以超过90%的精度成功检测出秘密的存在(Jing等，2021)。同时，由于隐写网络的特性——对于相同的含密图像，若输入的秘密信息不同，则输出的含密图像也不同，很难构造出发送方可否认隐写方案。Xu等人(2022)提出可否认隐写的概念，设计了基于深度神经网络的接收方可否认隐写方案。但没有研究提出发送方可否认隐写方案。

为了应对隐写中对发送方的胁迫攻击问题，基于可否认隐写的概念(Xu等，2022)，本文首次讨论发送方可否认隐写的新框架，赋予发送方可否认能力，使用虚假秘密信息生成相同的含密图像以保护真实秘密信息，并设计了两个可实行的发送方可否认隐写方案。1)基于可逆神经网络的发送方可否认图像隐藏方案。通过二次嵌入，将真实秘密图像和虚假秘密图像嵌入到载体图像中。在遭受胁迫攻击时，发送方可向攻击者重现第二次嵌入过程，生成相同的含密图像，从而达到可否认的目的。2)基于可否认加密的发送方可否认图像隐写方案。依靠可否认加密(异或操作)，真实信息和虚假信息均可加密为相同的密文信息，再对密文信息进行嵌入。此外，本文探讨了这两个方案的不足以及其他潜在的发送方可否认隐写方案，如可重复信息隐藏、等变卷积网络。

胁迫攻击由Canetti等人(1997)提出，指在基于信息加密的隐蔽通信中，攻击者截获了密文，随后胁迫发送方揭露秘钥、随机输入等信息，由此获取明文。在攻击中，被胁迫方包括发送方、接收方和通信双方3种类型。根据被胁迫方的不同，可构造相应的可否认方案。Klonowski等人(2008)发现，若攻击者也知晓通信中使用了可否认加密方案，即使获得了一条虚假明文，攻击者依然会继续要求发送方提交真实明文。其后，Moldovyan等人(2014)考虑了一种主动的胁迫攻击，即攻击者可以冒充接收方，在隐蔽通信结束后，胁迫发送方提交传输的秘密信息和私钥。

在密码学领域，已经提出了多种可否认加密方案。为了应对胁迫攻击，Canetti等人(1997)提出可否认加密的概念，构造了可实行的发送方可否认加密方案。在该方案中，发送方可通过一个虚假算法来生成虚假的随机输入，使得用虚假明文、虚假随机输入生成的密文与真实明文、真实随机输入生成的密文相同。因此，被胁迫的发送方可声称密文是由虚假明文加密所得，以保护真实明文。为了隐藏可否认加密的使用，Klonowski等人(2008)认为轻微地暴露出一些真实信息更能使攻击者信服。针对不同的场景，提出了一些不同解决方案，对Canetti的方案(Canetti等，1997)进行了修正和扩展。Ibrahim(2009)基于二次剩余和陷门置换提出了一种发送方可否认的公钥加密方案，提升了可否认能力和加密效率。Moldovyan等人(2014)针对主动胁迫攻击(冒充接收方、胁迫发送方)，提出在隐蔽通信前，使用RSA(Rivest-Shamir-Adleman)数字签名(Boneh等，2001)进行通信双方的身份验证。除了以上应用，可否认加密方案还与可搜索加密方案相结合(Li等，2017；Chi和Chang，2021)，用来对抗云计算场景下的对搜索内容、检索索引的胁迫攻击。可见，越来越多的研究开始关注胁迫攻击，不同的应用场景迫切需要对应的可否认方案。

而在隐写领域中，Xu等人(2022)提出可否认隐写的概念，对现有隐写网络进行改造，实现了接收方可否认方案。在隐写网络训练过程中，用编码器在一幅载体图像中嵌入真假两条秘密信息，并利用两个提取器分别提取出真假秘密信息。当攻击者胁迫接收方时，接收方可使用其中一个提取器提取出虚假秘密信息，从而抵抗胁迫攻击。但目前仍未有研究提出发送方可否认隐写方案，秘密信息的安全始终面临胁迫攻击的隐患。

图像隐写是将秘密信息隐藏在无关的载体图像中，生成不引人注目的含密图像，以进行隐蔽通信。根据是否使用深度神经网络，隐写方法分为传统人工方法和深度神经网络方法。

在传统人工方法中，有简单的将最低有效位替换为秘密信息的LSB算法，但很容易被统计分析方法识破。也有在变换域中进行隐写，以提高安全性，如DFT(discrete Fourier transform)域、DWT(discrete wavelet transform)域和JPEG(joint photographic experts group)域等。还有一类方法称为自适应隐写算法，根据载体图像设计嵌入失真代价，采用STC(syndrome-trellis code)编码将秘密信息嵌入在更不易察觉的纹理丰富区域或噪声区域。常见的嵌入失真代价设计算法包括HUGO(highly undetectable stego)(Pevný等，2010b)，WOW(wavelet obtained weights)(Holub和Fridrich，2012)，S-UNIWARD(spatial universal wavelet relative distortion)(Holub等，2014)等。

在深度神经网络方法中，使用深度神经网络进行隐写任务。如生成对抗网络(generative adversarial networks，GAN)，用编码器网络(encoder)将秘密信息嵌入载体图像，生成含密图像；再用提取器网络(decoder)从含密图像中提取秘密信息；而鉴别器(discriminator)用于鉴别图像是否含密。典型的隐写网络包括HiDDeN(hiding data with deep networks)(Zhu等，2018)、SteganoGAN(Zhang等，2019)、StegaStamp(Tancik等，2020)以及IIH-GAN(image information hiding-GAN)(郑钢等，2021)等。近年来，一类称为以图藏图的方法在载体图像中嵌入相同尺寸的秘密图像(Baluja，2017)，大幅提高了嵌入容量，但抗隐写分析性没有改善。有研究认为可将隐写的嵌入和提取视为一对互逆问题，同时由于可逆网络具有保留细节信息、减少信息丢失的优点，产生了基于可逆网络的图像隐藏方法，如ISN(invertible steganography network)(Lu等，2021)、HiNet(Jing等，2021)和DeepMIH(deep invertible network for multiple image hiding)(Guan等，2022)等。

现有大多数图像隐写方案都面临高检测精度隐写分析的安全隐患，易导致胁迫攻击。因此，具有可否认能力的隐写方案亟待研究。

隐写分析指判断载体中是否隐藏秘密信息。根据隐写分析方掌握的先验信息的多少，分为通用型隐写分析方法和针对型隐写分析方法。通用型方法是在未知隐写方法的情况下识别含密图像，主要包括特征提取(例如，SPAM(subtractive pixel adjacency model)(Pevný等，2010a)，SRM(Fridrich和Kodovský，2012)等)、分类器训练和实际样本检测3个阶段。针对型方法是指隐写分析方已知隐写方法及其他有效先验信息，针对该种特定的隐写方法进行设计。不论是传统人工方法还是深度网络方法，都可能遭到隐写分析方法的攻击，在某种程度上，秘密信息的存在可被高精度地检测出来。近年来，层出不穷的隐写分析网络只需获取一定量的由某种特定的隐写方法生成的样本，就可以攻破该种隐写方法。例如，仅使用200个由DeepMIH网络(Guan等，2022)生成的含密图像样本进行训练，3种隐写分析网络SRNet(steganalysis residual network)(Boroumand等，2019)、Zhu-Net(Zhang等，2020)和SiaStegNet(siamese steganalysis network)(You等，2021)均能以接近100%的精度识别出含密图像。可见，隐写分析方法对隐蔽通信和信息安全造成严重威胁，极有利于攻击者实施胁迫攻击。

隐蔽通信中，在攻击者胁迫发送方的场景下，主要包括发送方、接收方和攻击者3个角色。发送方生成并发送含密图像，接收方接收含密图像并提取秘密信息。攻击者可截获并检测隐蔽通信过程中的数据，同时获取到发送方的身份、地址相关信息，对其进行胁迫。但在隐蔽通信前，攻击者无法接近并胁迫发送方，否则可否认方案无用武之地。

胁迫攻击模型如图 1所示。在隐蔽通信过程中，发送方利用隐写算法将秘密信息隐藏在载体图像中，生成含密图像，通过公共网络信道传输给接收方。攻击者监听信道并截获该含密图像，利用隐写分析工具识别其中含有秘密信息，并从数据包中获取发送方身份、地址等信息。拥有发送方相关信息后，攻击者无需耗费时间和精力破解秘密信息，只需找到发送方，胁迫其提交出秘密信息。若发送方声称已销毁相关数据和信息，则胁迫攻击没有意义，可否认方案也无用武之地。因此在该场景中，攻击者不会相信发送方的这类说辞。另一方面，若发送方直接提交秘密信息，无从验证该信息的真伪，也不会令攻击者信服。攻击者希望的是在其监视和验证下，发送方交出载体图像和秘密信息，并再次使用隐写算法生成含密图像。若该含密图像与攻击者截获的图像完全相同，则表明发送方所提交的秘密信息是真实的，胁迫攻击便达到目的。

为了抵抗上述胁迫攻击，本文探讨了如何赋予发送方可否认能力，设计了发送方可否认隐写方案的通用框架，如图 2所示。在该框架中，发送方有能力提交虚假的秘密信息，欺骗攻击者，逃脱胁迫攻击。

为了满足攻击者的验证，发送方需要将有语义的虚假秘密信息$ \boldsymbol{m} _f$嵌入不引起怀疑的载体图像$ \boldsymbol{c} _f$，生成与攻击者截获的完全相同的含密图像。即发送方再次生成的$ \boldsymbol{s} $与攻击者手中的$ \boldsymbol{s} $没有任何区别，可计算为

$ \boldsymbol{s}=E\left(\boldsymbol{c}, \boldsymbol{m}_r\right) $

(1)

$ \boldsymbol{s}=E_f\left(\boldsymbol{c}_f, \boldsymbol{m}_f\right) $

(2)

式中，$ E，\boldsymbol{c} $，$ \boldsymbol{m}_r $分别为隐蔽通信中发送方使用的隐写嵌入器、载体图像和真实秘密信息。$E_f$，$ \boldsymbol{c} _f$，$ \boldsymbol{m} _f$分别为发送方欺骗攻击者使用的嵌入器、载体图像和虚假秘密信息。在具体的可否认方案构造中，可灵活设计，并不一定需要同时使用$E_f$和$ \boldsymbol{c} _f$。在本文提出的两个方案中，使用了相同的$ E$或$ \boldsymbol{c} $，也达到了可否认的功能。

虚假秘密$ \boldsymbol{m} _f$与真实秘密$ \boldsymbol{m}_r $不一样，但都是有意义的。当攻击者验证发送方生成的$ \boldsymbol{s} $与其手中截获的$ \boldsymbol{s} $相同时，便相信发送方提交的$ \boldsymbol{m} _f$就是隐蔽通信中传输的秘密信息，胁迫攻击由此结束。

在发送方可否认隐写的新框架下，发送方用虚假信息生成完全相同的含密图像，满足了攻击者的验证，欺骗了攻击者，逃脱了胁迫攻击，保护了真实秘密信息。考虑到隐写及加密的常见特性，发送方可否认隐写方案应具备以下特性：1)正确性(correctness)。包括提取和解密两方面。首先，必须保证从含密图像中提取的秘密信息是正确的，即提取错误率是可忽略的；其次，若使用加密算法对秘密信息进行加密，提取秘密信息后，需对信息进行正确解密。2)不可感知性(imperceptibility)。生成的含密图像在感知上与原始载体图像基本无差异，要求含密图像的视觉质量不可大幅降低，没有明显失真、模糊或其他改动痕迹。可通过图像质量评价指标峰值信噪比(peak signal-to-noise ratio，PSNR)和结构相似度(structural similarity，SSIM)等进行评估。3)安全性(security)。包括加密和隐写两方面。若使用了加密算法，则加密安全性是指由可否认加密算法生成的密文与原始加密算法生成的密文在计算上是不可区分的，且满足语义安全性。隐写安全性指隐写分析难以识别图像中是否含有秘密信息。由于可否认隐写方案是在隐写抗分析性有限的情况下提出的，即含密图像有很大概率被攻击者识破，因此对隐写安全性不做过多要求。4)可否认性(deniability)。包括加密和隐写两方面。若使用了加密算法，则从攻击者角度来看，一方面，发送方根据加密算法诚实地加密真实信息；另一方面，发送方传输真实信息并谎称密文是由另一条虚假信息加密得来。若攻击者无法区分这两种情况，则此方案具有加密可否认性。隐写可否认性指发送方可使用具有说服力的虚假信息和载体图像生成相同的含密图像，否认真实信息的存在。其中，虚假信息与真实信息不相同，但同样具有语义，使用的载体图像不会引起怀疑或被攻击者隐写分析出其他秘密信息。

根据发送方可否认隐写的通用框架，本文提出了两种方案。方案1使用隐写网络进行两次图像隐藏，即将秘密图像隐藏在第1次生成的含密图像后，再对含密图像进行1次隐藏。该方案没有使用加密算法，因此正确性、安全性和可否认性仅涉及隐写方面。方案2将可否认加密与现有隐写网络相结合，构造出发送方可否认图像隐写方案。异或操作是最简单的可否认加密算法，可将真实、虚假明文均加密成相同的密文。因此，该方案的正确性、安全性和可否认性涉及加密和隐写两个方面。

最近，可逆神经网络被证实可以用来进行图像隐藏，只需一个网络就可实现秘密的嵌入和提取(Lu等，2021)。由于可逆网络能保留输入数据的细节信息，所生成含密图像、所提取秘密图像的视觉质量均超越过往隐写网络。同时，秘密是以图像的形式嵌入载体图像，可允许一定的提取误差。因此，考虑使用可逆网络依次隐藏秘密图像、含密图像，当发送者被胁迫时，只需重现含密图像(虚假秘密)的隐藏，就可生成与攻击者手中相同的图像。该方案可通过攻击者的验证，而真实秘密图像没有暴露，发送方可逃脱胁迫攻击。

本方案框架如图 3所示，分为4个阶段。第1阶段，将秘密图像$ \boldsymbol{m} $嵌入载体图像$ \boldsymbol{c}_1 $中生成与$ \boldsymbol{c}_1 $相似的含密图像$ \boldsymbol{s}_1 $。第2阶段，将第1阶段生成的$ \boldsymbol{s}_1 $作为虚假秘密图像，嵌入另一幅载体图像$ \boldsymbol{c}_2 $中，生成与$ \boldsymbol{c}_2 $相似的含密图像$ \boldsymbol{s}_2 $。第3、4阶段为发送方恢复秘密图像的过程。发送方将$ \boldsymbol{s}_2 $传输给接收方，接收方依次从$ \boldsymbol{s}_2 $中提取$ \boldsymbol{s′} _1 $，从$ \boldsymbol{s′} _1 $中提取出秘密图像$ \boldsymbol{m′} $。当攻击者截获$ \boldsymbol{s}_2 $并胁迫发送方提交秘密信息时，发送方可使用$ \boldsymbol{s}_1 $和$ \boldsymbol{c}_2 $生成相同的$ \boldsymbol{s}_2 $(采用相同的嵌入器$E$，满足式(2))。$ \boldsymbol{s}_2 $通过攻击者的验证，而$ \boldsymbol{m} $始终保密。因此，该方案可达到发送方可否认的能力，抵抗胁迫攻击，保护秘密信息安全。

在现有的图像隐藏工作中，大多采用深度卷积神经网络(convolutional neural network，CNN)。在训练过程中，CNN通过逐步丢弃图像无关特征，保留图像本质特征，学习图像隐藏和恢复过程(Jacobsen等，2018)。但该机制也导致了恢复图像的困难，在某种程度上使其成为不适定问题(Jing等，2021)。而可逆网络具有保留细节信息、降低信息损失的优点，在图像隐藏任务上，网络训练成本较低，生成图像视觉质量较好。

可逆神经网络结构如图 4所示。与HiNet(Jing等，2021)使用的网络结构相同，整个可逆网络由多个可逆模块组成，输入和输出均分为两个分支。每个可逆模块的内部结构是相同的，其中，$\varphi, \rho, \eta$这3个子模块由相同的卷积模块组成。在正向隐藏过程和逆向恢复过程中，每个模块共享并使用相同的网络权重参数。

在正向过程中，所有可逆模块为隐藏模块。载体图像$ \boldsymbol{c} $和秘密图像$ \boldsymbol{m} $经过离散小波变换(DWT)后，进入可逆网络。记第$i$个隐藏模块的输入分别为载体图像特征$ \boldsymbol{f} _c^i $和秘密图像特征$ \boldsymbol{f} _m^i $，对应的输出分别为$ \boldsymbol{f}_c^{i+1} $和$ \boldsymbol{f}_m^{i+1} $。在该隐藏模块中，输入和输出的关系为

$ \boldsymbol{f}_c^{i+1}=\boldsymbol{f}_c^i+\varphi\left(\boldsymbol{f}_m^i\right) $

(3)

$ \boldsymbol{f}_m^{i+1}=\boldsymbol{f}_m^i \otimes \exp \left(\alpha\left(\rho\left(\boldsymbol{f}_c^{i+1}\right)\right)\right)+\eta\left(\boldsymbol{f}_c^{i+1}\right) $

(4)

式中，$φ(·)，ρ(·)，η(·)$分别为可逆模块的Dense卷积模块(Wang等，2018)，$ \otimes $为矩阵点乘操作，$\text{exp}(·)$为指数函数，$α(·)$是sigmoid激活函数。经过多个隐藏模块后，两个分支的输出再经过逆小波变换(inverse wavelet transform，IWT)，得到含密图像$ \boldsymbol{s} $和丢失信息$ \boldsymbol{l} $。

由于恢复过程是隐藏过程的逆过程，因此在此过程中，所有可逆模块为恢复模块，方向与正向过程相反。恢复过程中使用含密图像$ \boldsymbol{s} $和辅助矩阵$ \boldsymbol{x} $。类似地，先对它们进行DWT，记第$i$个恢复模块的输入为含密图像特征$ \boldsymbol{f}_s^{i+1} $和辅助矩阵特征$ \boldsymbol{x}^{i+1} $，输出为$ \boldsymbol{f}_s^i $和$ \boldsymbol{x}^i$。它们之间的关系可表示为

$ f_s^i=f_s^{i+1}-\varphi\left(\boldsymbol{x}^i\right) $

(5)

$ \boldsymbol{x}^i=\left(\boldsymbol{x}^{i+1}-\eta\left(\boldsymbol{f}_s^{i+1}\right)\right) \otimes \exp \left(-\alpha\left(\rho\left(\boldsymbol{f}_s^{i+1}\right)\right)\right) $

(6)

式中，$φ(·)，ρ(·)，η(·)$与式(3)(4)共享权重参数。可以看出，式(5)(6)分别是式(3)(4)的逆向过程。经过多个恢复模块后，再进行IWT，分别输出恢复的载体图像$ \boldsymbol{c′} $和恢复的秘密图像$ \boldsymbol{m′} $。

在隐藏过程中，秘密图像分支的最后输出为丢失信息$ \boldsymbol{l} $，由丢失的秘密图像信息和被破坏的载体图像信息组成。在秘密恢复的实际过程中，接受者仅接收含密图像，往往无法得到丢失信息$ \boldsymbol{l} $。由于可逆网络的输入输出双向对称性，在恢复过程中需要使用辅助矩阵$ \boldsymbol{x} $来帮助更准确地恢复秘密图像。在可逆网络的训练过程中，丢失信息$ \boldsymbol{l} $和辅助矩阵$ \boldsymbol{x} $有两种设计策略。1)依靠损失函数，定义简单的$ \boldsymbol{x} $，训练时约束隐藏过程输出的$ \boldsymbol{l} $尽可能接近$ \boldsymbol{x} $，恢复过程中使用原始$ \boldsymbol{x} $恢复秘密图像；2)不使用损失函数设置严格的约束，训练时使$ \boldsymbol{l} $与$ \boldsymbol{x} $保持相同的统计分布，如标准正态分布。

基于可逆神经网络的发送方可否认隐写方案框架如图 3所示，主要思想是使用可逆网络进行连续两次图像隐藏。发送方被胁迫攻击时，只需呈现第2次隐写过程(含密图像$ \boldsymbol{s}_1 $)，不暴露第1次隐写过程(秘密图像$ \boldsymbol{m} $)，可保护信息安全。与原始方案的两个阶段(包括正向隐藏和逆向恢复)不同，可否认方案分为4个阶段。因此在网络训练过程中，需要对损失函数的构造进行改进，总损失函数$L_\text{total}$也分为4个部分，具体为

$ \begin{gathered} L_{\text {total }}=\lambda_1 L\left(\boldsymbol{c}_1, \boldsymbol{s}_1\right)+\lambda_2 L\left(\boldsymbol{c}_2, \boldsymbol{s}_2\right)+ \\ \lambda_3 L\left(\boldsymbol{s}_1, \boldsymbol{s}_1^{\prime}\right)+\lambda_4 L\left(\boldsymbol{m}, \boldsymbol{m}^{\prime}\right) \end{gathered} $

(7)

式中，$L(\boldsymbol{c}_1, \boldsymbol{s}_1)$和$L(\boldsymbol{c}_2, \boldsymbol{s}_2)$分别为图像隐藏损失，$L(\boldsymbol{s}_1, \boldsymbol{s′} _1)$和$L(\boldsymbol{m}, \boldsymbol{m′})$分别为图像恢复损失，$\lambda_1, \lambda_2, \lambda_3, \lambda_4$，分别为各部分损失的权重参数，可根据实际需求进行调整。在具体实现中，有两种可选的方式，即使用相同的辅助矩阵或不同的辅助矩阵来提取秘密图像。

1) 基于一个可逆网络，使用相同的辅助矩阵提取含密图像$ \boldsymbol{s′} _1 $和秘密图像$ \boldsymbol{m′} $。从发送方的角度来看，连续两次使用现有隐写网络就可达到可否认的能力；从接收方的角度来看，用一个可逆网络从含密图像$ \boldsymbol{s}_2 $中恢复含密图像$ \boldsymbol{s′} _1 $，再从含密图像$ \boldsymbol{s′} _1 $中恢复秘密图像$ \boldsymbol{m′} $。这种方式有利于降低训练成本、减少通信量。当发送方被胁迫时，使用含密图像$ \boldsymbol{s}_1 $和载体图像$ \boldsymbol{c}_2 $生成相同的含密图像$ \boldsymbol{s}_2 $，满足攻击者的验证。

2) 基于两个不同的可逆网络，使用不同的辅助矩阵提取含密图像$ \boldsymbol{s′} _1 $和秘密图像$ \boldsymbol{m′} $。与一个可逆网络相比，两个可逆网络增加了训练成本和通信量。但若遇到攻击者对发送方提交的含密图像$ \boldsymbol{s}_1 $也进行分析，那么有可能被分析出来含密图像$ \boldsymbol{s}_1 $中依然含有秘密信息，则使用一个网络的安全性不够高。因此使用两个不同的可逆网络，其中的辅助矩阵不相同或服从不同的统计分布。一个网络用来隐藏和恢复秘密图像$ \boldsymbol{m} $，另一个网络用来隐藏和恢复含密图像$ \boldsymbol{s}_1 $。同样，发送方可使用含密图像$ \boldsymbol{s}_1 $和载体图像$ \boldsymbol{c}_2 $生成相同的含密图像$ \boldsymbol{s}_2 $来欺骗攻击者。在本方案中，由于可逆网络输入、输出的对称性，秘密图像的恢复需要使用含密图像和辅助矩阵。在发送方可否认方案的基础上，设计不同的辅助矩阵作为不同的密钥，可满足接收方可否认的功能。

现有的隐写方案都不具有可否认性，发送方被胁迫时，只能暴露真实信息才能生成完全相同的含密图像。而加密领域里很早就提出了可否认加密方案来应对胁迫攻击问题(Canetti等，1997)。本方案的思想是将秘密信息先进行可否认加密再隐藏到载体图像中，赋予了发送方可否认能力，可逃脱胁迫攻击。不论是传统人工设计的隐写算法，还是基于深度神经网络的隐写方法，都可在它们的基础上改造为可否认方案。因此，本方案对于现存的隐写方法是通用的。

本方案框架如图 5所示，分为加密、嵌入、提取和解密4个阶段。在加密阶段，为了抵抗潜在的胁迫攻击，除了用真实秘钥$ \boldsymbol{k}_r $将真实信息$ \boldsymbol{m}_r $加密为密文$ \boldsymbol{m}_c $，发送方还要事先准备好一条虚假信息$ \boldsymbol{m} _f$，根据虚假信息$ \boldsymbol{m} _f$和已生成的密文$ \boldsymbol{m}_c $构造出一个虚假秘钥$ \boldsymbol{k} _f$，使得用该虚假秘钥$ \boldsymbol{k} _f$可将虚假信息$ \boldsymbol{m} _f$也加密为同一条密文$ \boldsymbol{m}_c $。在嵌入阶段，发送方使用隐写算法或隐写网络将密文$ \boldsymbol{m}_c $嵌入载体图像$ \boldsymbol{c} $中，生成含密图像$ \boldsymbol{s} $，发送给接收方。当攻击者胁迫发送方时，发送方先使用虚假秘钥$ \boldsymbol{k} _f$和虚假信息$ \boldsymbol{m} _f$生成密文$ \boldsymbol{m}_c $，再将密文嵌入载体图像，生成相同的含密图像$ \boldsymbol{s} $(使用相同的载体图像$ \boldsymbol{c} $和嵌入器$E$，满足式(2))，因此可以欺骗攻击者，而真实信息$ \boldsymbol{m}_r $和真实秘钥$ \boldsymbol{k}_r $始终保密。

在发送方可否认加密方案中，一次一密(one-time pad，OTP)是一种简单的共享秘钥可否认加密方案(Miller，2014)，可使用异或操作进行构造。假设发送方和接收方共享一个足够长的随机序列，每条秘密信息$ \boldsymbol{m}_r $都是用秘钥$ \boldsymbol{k}_r $按比特异或操作进行加密。则生成的密文为

$ \boldsymbol{m}_c=\boldsymbol{m}_r \oplus \boldsymbol{k}_r $

(8)

为了表明$ \boldsymbol{m}_c $是另一条秘密信息$ \boldsymbol{m} _f(\boldsymbol{m} _f ≠ \boldsymbol{m}_r)$的密文，发送方可构造并声称共享秘钥为

$ \boldsymbol{k}_f=\boldsymbol{m}_c \bigoplus \boldsymbol{m}_f $

(9)

这样，由于异或操作的自反性，将$ \boldsymbol{k} _f$与$ \boldsymbol{m} _f$异或，可得

$ \boldsymbol{m}_c=\boldsymbol{m}_f \bigoplus \boldsymbol{k}_f $

(10)

由此，即可生成同一条密文$ \boldsymbol{m}_c $。秘密信息$ \boldsymbol{m} _f$的选择最迟需要在攻击时完成(不被攻击者发现)。当秘密信息的长度不是很长的时候，该方案可以很简单地实现发送方可否认加密。但需要避免秘密信息长度过长时导致加密效率降低的问题。

此外，根据OTP方案(Miller，2014)，可设计提前计划的发送方可否认加密，即发送方在加密时就选择合适的虚假信息。对于$n$条不同的秘密信息，使用$n$个不同的秘钥进行加密，即第$i$条信息用第$i$个秘钥加密，最后将生成的$n$条密文合并为1条密文。当发送方被胁迫时，可根据需要暴露出其中1条秘密信息和相对应的秘钥。提前计划的可否认加密也面临密文长度和通信效率的权衡问题。

真实信息$ \boldsymbol{m}_r $为隐蔽通信中发送方真正想要传输给接收方的秘密信息。真实秘钥$ \boldsymbol{k}_r $根据OTP方案随机生成，与信息长度相等，且仅对一条信息使用一次。真实信息$ \boldsymbol{m}_r $和真实秘钥$ \boldsymbol{k}_r $进行异或操作生成密文$ \boldsymbol{m}_c $。随后，发送方设计一条有意义的虚假信息$ \boldsymbol{m} _f$，可以是与真实信息无关的信息，也可以是与真实信息相似但关键信息不同的信息(对攻击者更有欺骗性)。根据密文$ \boldsymbol{m}_c $和虚假信息$ \boldsymbol{m} _f$的异或结果，反向构造虚假秘钥$ \boldsymbol{k} _f$。

本方案先使用可否认加密算法，即OTP异或操作对秘密信息进行加密，生成密文。再使用隐写算法或隐写网络将密文嵌入载体图像，生成含密图像。含密图像由发送方传输给接收方，接收方先从含密图像中提取出密文，再使用异或操作对密文进行解密。当攻击者胁迫发送方时，发送方进行不诚实的加密公开，提交虚假信息和虚假秘钥，否认并保护真实信息和真实秘钥。本方案具体步骤如下：

1) 信息加密。包括信息诚实加密和信息不诚实加密。信息诚实加密指发送方设计一个秘钥，使用异或操作对秘密信息$ \boldsymbol{m}_r $进行加密，生成密文$ \boldsymbol{m}_c $。信息不诚实加密指发送方被胁迫时，可(提前)设计另一条秘密信息$ \boldsymbol{m} _f$，用诚实加密的密文$ \boldsymbol{m}_c $与$ \boldsymbol{m} _f$进行异或操作，生成一条虚假秘钥$ \boldsymbol{k} _f$，从攻击者的角度来看，密文$ \boldsymbol{m}_c $是由$ \boldsymbol{m} _f$、$ \boldsymbol{k} _f$加密所得的密文。

2) 图像隐写。发送方使用隐写嵌入算法或隐写网络将密文$ \boldsymbol{m}_c $嵌入载体图像$ \boldsymbol{c} $中，生成含密图像$ \boldsymbol{s} $。通过公共信道，发送方将含密图像传输给接收方，进行隐蔽通信。

3) 信息提取。含密图像$ \boldsymbol{s} $经过公共信道传输给接收方。接收方收到$ \boldsymbol{s} $后，使用提取算法或提取网络从$ \boldsymbol{s} $中提取出密文$ \boldsymbol{m′}_c $。提取过程要确保无误，否则将引起后续的信息解密失败，无法获取真实秘密信息。

4) 信息解密。包括信息诚实解密和信息不诚实解密。信息诚实解密指接收方使用真实秘钥$ \boldsymbol{k}_r $对密文$ \boldsymbol{m′}_c $解密，获取真实秘密信息$ \boldsymbol{m′}_r $。信息不诚实解密指攻击者胁迫接收方时，接收方使用虚假秘钥$ \boldsymbol{k} _f$对密文解密，获取虚假秘密信息$ \boldsymbol{m′} _f $。若发送方和接收方共享虚假秘密信息和虚假秘钥，从某种程度上，该方案也可实现接收方可否认隐写、双方可否认隐写。

5) 加密公开。发送方可展示真实秘密信息$ \boldsymbol{m}_r $和真实秘钥$ \boldsymbol{k} _r$，诚实地公开加密。当攻击者胁迫发送方时，发送方可不诚实地公开加密，展示虚假秘密信息$ \boldsymbol{m} _f$和虚假秘钥$ \boldsymbol{k} _f$，声称隐蔽通信中传输的信息为$ \boldsymbol{m} _f$，使用虚假秘钥$ \boldsymbol{k} _f$对其加密后生成了密文$ \boldsymbol{m}_c $。

基于HiNet(Jing等，2021)的网络框架与结构，构造可否认方案的网络。可逆网络由16个可逆模块组成，$\varphi, \rho, \eta$这3个卷积模块使用了ESRGAN(enhanced super-resolution GAN)(Wang等，2018)中的Dense模块。训练和测试数据集均来自数据集DIV2K(diverse 2k resolution high quality images)(Agustsson和Timofte，2017)，两者没有交集。数据集中一半图像用做载体图像，另一半用做含密图像，图像尺寸均设置为256 × 256像素。各部分损失的权重参数$\lambda_1, \lambda_2, \lambda_3, \lambda_4$均设置为1。批量大小(batch size)为16，训练周期(epoch)为8 000，可根据实际的训练效果增减适量的周期次数，使用Adam优化器(Kingma和Ba，2015)进行参数优化。

本方案生成的含密图像如图 6所示，包括含密图像$ \boldsymbol{s}_1 $(第1次嵌入)和含密图像$ \boldsymbol{s}_2 $(第2次嵌入)。在视觉上，两类含密图像均无法看出明显的修改痕迹。而对于秘密图像$ \boldsymbol{s′} _1 $的恢复，不论是使用一个还是两个网络，秘密图像$ \boldsymbol{s′} _1 $的恢复与原始网络的效果相当。其后，进一步使用秘密图像$ \boldsymbol{s′} _1 $来恢复秘密图像$ \boldsymbol{m′} $，即将$ \boldsymbol{s′} _1 $作为含密图像输入至可逆网络中，进行秘密图像的恢复。由于恢复的$ \boldsymbol{s′} _1 $还是有一定的信息损失，对秘密图像$ \boldsymbol{m′} $的恢复产生了影响，导致恢复效果下降，但依然可以辨别出图像的内容，保证了隐蔽通信的完成。由此表明，该方案有效可行地实现了隐写，且能赋予发送方可否认能力，对抗胁迫攻击。

除了以上直观的视觉评估，实验对含密图像的视觉质量进行定量评价，使用PSNR和SSIM作为图像视觉质量评价指标，结果如表 1所示。比较含密图像$ \boldsymbol{s}_1 $和含密图像$ \boldsymbol{s}_2 $的视觉质量，两者的PSNR和SSIM没有显著差异，因为使用的是相同参数(同一个网络)或相同结构(两个不同网络)的可逆网络。而比较一个网络和两个网络的含密图像的生成效果，视觉质量的差异由网络本身训练效果决定的。

类似地，对秘密图像的恢复效果进行评价，使用PSNR、SSIM和均方误差(mean square error，MSE)作为图像视觉质量评价指标，实验结果如表 2所示。恢复秘密图像的PSNR超过了40 dB，SSIM的数值十分接近1，且MSE数值较低，可以看出图像的恢复效果良好。同时，结合图 6，比较秘密图像$ \boldsymbol{s}_1 ′$和秘密图像$ \boldsymbol{m′} $的恢复，发现$ \boldsymbol{s′} _1 $的恢复效果能保持原始网络的恢复效果。这是由于含密图像$ \boldsymbol{s′} _1 $是使用无损的含密图像$ \boldsymbol{s}_2 $进行恢复；而对于秘密图像$ \boldsymbol{m′} $，无法获得无损的$ \boldsymbol{s}_1 $，只能使用$ \boldsymbol{s′} _1 $进行有损恢复，因此其恢复效果不如虚假秘密图像，均方误差MSE的结果也是类似的。

对于图像隐藏这类方法，嵌入容量极高。嵌入与载体图像相同尺寸的秘密图像，比特每像素可达到24 bpp，但缺点是秘密图像不能完全正确恢复。因此，根据比特错误率(bit error ratio，BER)和实际嵌入容量(actual embedding capacity，AEC)推算恢复错误信息所需的纠错码长度(error correcting code，ECC)，所得AEC与ECC之和为总嵌入容量(overall embedding capacity，OEC)。如表 3所示，以比特(bit)为衡量单位，一幅256 × 256像素的彩色秘密图像的AEC约为1.57 × 10⁶ bit，BER约为25%。使用BCH(Bose-Chaudhuri-Hocquenghe)纠错码(Bose和Ray-Chaudhuri，1960)对错误信息进行正确恢复，则需要约为0.65 × 10⁶ bit的ECC。而所需的OEC为AEC和ECC之和，达到2.22 × 10⁶ bit。

对于可否认方案抗隐写分析能力的评估，本文使用代表性的隐写分析网络SRNet(Boroumand等，2019)对原始方案和可否认方案进行检验，结果如图 7所示。一方面，随着训练样本数量的增加，两种方案被隐写分析检测的正确率也不断上升，抗隐写分析能力减弱，当训练样本数量超过100时，两种方案的检测率都超过0.9；另一方面，在同一训练样本数量设置下，两种方案的抗隐写分析能力并无显著差异，表明可否认方案保持了原始方案的抗隐写分析性能。

对基于可逆网络的图像隐藏设计发送方可否认隐写方案，满足了隐写的基本要求，具有不可感知性，能大容量嵌入，也实现了发送方可否认的能力。但由于可逆网络进行图像隐藏本身的特性，该方案仍有以下局限和不足。

1) 秘密的形式。由于该可否认方案是针对用可逆网络进行的图像隐藏，因此秘密的形式局限于图像。当秘密为比特信息时，不再适用。若将比特信息编码为二进制图像，则在恢复过程中会产生误差，也不利于隐写。虽然秘密形式局限，但该方案可推广到所有以图藏图的网络。

2) 秘密的恢复。对图像进行隐藏和恢复时，图像本身有冗余信息，并不需要像比特信息那样完全正确地提取出来，在能辨识恢复内容的条件下可允许有损恢复。由于这种性质，在第1次恢复阶段，虚假秘密图像是有损恢复；在第2次恢复阶段，利用有损的虚假秘密图像来恢复真实秘密图像的效果有所降低。可改进的措施为在训练时，对$ \boldsymbol{m} $与由$ \boldsymbol{s′} $恢复的$ \boldsymbol{m′} $施加更严格的损失约束。

3) 隐写安全性。当受到胁迫攻击时，若在发送方再现隐写过程之前，攻击者对其使用的载体图像、秘密图像再次使用隐写分析工具进行检测，很有可能会发现秘密图像中依然含有秘密图像。这样，攻击者就已经识破了发送方的欺骗，会继续要求发送方提交秘密图像中的秘密图像。设计方案以保证验证时的隐写安全性依然需要进一步研究。

与原始隐写方案相比，可否认隐写方案为了实现可否认能力，在隐写前对秘密信息进行加密。在可否认方案中，使用异或操作进行加密，为了保证秘密信息的提取精度，使用经典的隐写网络StegaStamp(Tancik等，2020)进行隐写。网络使用的数据集为Tiny ImageNet(Le和Yang，2015)，图像尺寸为64 × 64像素，秘密信息为16 bit大小的随机比特序列，秘钥长度与其相同。批量大小(batch size)为4，训练周期(epoch)次数为100，总迭代次数(iteration)为250 k。对比可否认方案(加密)和原始方案(不加密)，达到可否认能力对隐写任务在网络训练成本、图像隐写效果等方面无显著影响。

1) 训练成本。原始方案和可否认方案的平均每个epoch的训练时间分别为838.54 s和875.00 s，时间成本仅上升了4.35%。可否认方案与原始方案的时间没有太大差异，两者在第100个epoch均收敛到相同量级的总网络损失也无太大差异(0.005 0，0.004 1)，用异或操作对秘密信息加密对隐写网络的训练并无影响。可见，在可否认方案中对秘密信息进行加密不会对整个方案的效率有太大影响。从训练的时间成本、网络的收敛效果两方面进行比较，可以看出，发送方可否认隐写方案不会增加隐写网络的训练成本。

2) 隐写效果。采取可否认方案生成的含密图像如图 8所示。对比原始载体图像和可否认方案生成的含密图像，没有发现明显的失真或修改痕迹。因为嵌入的信息量相同，可否认方案生成的含密图像和原始方案生成的含密图像在视觉效果上两者类似。因此发送方可否认方案不会降低隐写的不可感知性。同时，对含密图像的视觉质量通过PSNR和SSIM进一步评估，结果如表 4所示。可以看出，可否认方案与原始方案的PSNR和SSIM也是几乎相同，表明可否认方案保持了与原始隐写网络相当的含密图像的视觉质量。对于秘密信息的提取精度，使用比特错误率(BER)进行评估。由于网络中使用了BCH纠错码(Bose和Ray-Chaudhuri，1960)，原始方案和可否认方案的BER均为0，表明均能正确提取加密信息，也保证了后续对加密信息解密的正确性。

该方案是在隐写之前对秘密信息进行可否认加密，使发送方具有可否认能力。将加密与隐写相结合，面对普通攻击时，提高了隐蔽通信的安全性；而面对胁迫攻击时，可否认加密的使用赋予隐写方案可否认性，一定程度上可抵抗攻击者的胁迫。但该方案还存在两个需要改进的方向。

1) 一次一密的加密效率。秘钥的长度与秘密信息的长度相等。随着秘密信息长度的增加，秘钥也同样线性地增加，导致秘钥过长，降低加密效率。且秘钥是使用伪随机数生成器生成的，当秘钥长度超过特定长度，秘钥会呈现出周期性规律，一定程度上也会导致安全性降低。为了避免这个问题，可使用其他更实用、更有效率的发送方可否认加密算法。

2) 秘密信息的提取精度。对于传统人工设计的隐写算法，秘密信息可以精确提取。对于基于深度神经网络的隐写方法，由于某些网络本身无法做到100%提取信息，必须额外使用纠错码等方法确保信息完全正确地提取。若在加密信息提取这一过程就出现误差，那么对有误差的信息解密是无法得到正确的明文信息的。这也说明，该种方案不适用于构造以图藏图一类方法的可否认方案。

为防御胁迫攻击，本文提出了两个发送方可否认隐写方案，分别利用了二次嵌入和异或加密。但发送方可否认隐写方案并不是特定的、统一的、通用的。由于隐写方法的多样性，除了以上提出的两个方案，还有其他潜在方案也可用于构造可否认隐写方案。这些潜在方案的具体构造和可行性还有待完善和分析。

可重复信息隐藏(Wang等，2022)指在载体图像中重复嵌入信息，保持每次生成的含密图像与第1次生成的含密图像一致，即每次隐写对图像的失真始终一致。含密图像的视觉质量(PSNR)与嵌入率成反比，与载体图像内容无关。利用这一点，可在载体图像中嵌入多条真假秘密信息，但不引起图像额外的失真，从而保持含密图像不变。因此利用可重复信息隐藏，可实现自适应隐写算法的可否认方案。

但是利用该方案构造可否认方案存在以下问题：1)载体的约束。该方案在多次嵌入秘密信息后保持含密图像无失真，在验证过程中，发送方必须将虚假秘密信息嵌入已嵌入真实秘密信息的含密图像中，从而生成相同的含密图像；2)额外的风险。在验证过程中，虚假秘密信息嵌入前后，含密图像无失真，有被攻击者识破的风险；3)实现的困难。在理论上，可重复信息隐藏生成的含密图像无失真，但在实现过程中无法做到完全无失真。

等变卷积网络(Cohen和Welling，2016；Cohen等，2018)在平移、旋转等变换下具有等变性，即对输入进行特定变换后依然保持不变的性质。可探讨的可否认方案是将不同的秘密信息编码成同一信息的不同变换，利用等变网络实现不同信息生成相同含密图像的可能性。若发送方设计的虚假信息与真实信息相似，仅在信息的关键部分有所不同，则将虚假信息编码为真实信息的一种等变变换，使两种信息生成的含密图像相同。即将用于隐写任务的等变卷积网络具备这样的能力：对于同一个载体图像，秘密信息的少量改变不会对生成的含密图像有影响。但目前还未有研究将该种网络运用到隐写任务上，使用该网络构造可否认方案只是一个设想，要通过进一步理论和实验，还需要考虑信息编码的难点，网络的训练成本及网络的隐写效果。

针对当前隐写方法面临隐写分析的安全隐患及其带来的胁迫攻击问题，首次提出了发送方可否认隐写的通用框架，构造了两个有效可行的方案。方案1为基于可逆神经网络的发送方可否认图像隐藏；方案2为基于可否认加密的发送方可否认图像隐写。发送方可否认隐写框架的核心思想是赋予发送方使用虚假的载体图像、虚假的秘密信息生成与攻击者截获图像相同的含密图像，以满足攻击者的验证。实验证明，构造的两个方案是可行的，赋予发送方可否认能力的同时保持了原始隐写方案的图像视觉质量效果和秘密信息提取精度。

由于设计发送方可否认框架与满足该框架方案有限之间的困难性，本文讨论了其他潜在的隐写方案和深度网络的可能性，如可重复信息隐藏、等变卷积网络等，并给出了进一步的研究方向。在未来工作中，对于本文提出的发送方可否认隐写框架，构造具体方案时，可考虑使用虚假嵌入器、虚假载体图像以及虚假秘密信息等生成可通过攻击者验证的含密图像。