1 引言

当前图像搜索技术主要分为基于文本的图像搜索和基于内容的图像搜索,基于文本的图像搜索采用对图像附加关键词信息从而实现图像搜索,该方法存在输入工作量大,描述信息存在多义性;对于海量数据而言,手工注释费时费力。基于内容的图像搜索是从图像中提取特征,如低层次图像的形状、纹理、颜色、轮廓等表层的特征^[1]。但是,图像搜索技术涉及到特征向量、欧氏距离等计算密集型过程,需要硬件设备具有较高的计算能力,大量的图像本地存储会造成服务器压力巨大^[2]。针对图像的计算^[3]和存储这两个问题,借助云计算庞大的计算能力和存储的资源池已是未来的发展趋势。

然而,由于遥感图像和普通图像不同, 遥感图像具有16位深灰度值、波段数量大等特点,且遥感信息是关系****与国民经济建设的重要战略资源,卫星遥感图像一般包含湖泊、森林等地面物体,属于国家的重要机密信息,如果直接将遥感图像外包给云平台进行搜索将会泄露隐私信息,同时在传输过程中也可能会受到非法攻击,因此,利用云平台进行图像搜索同时保证遥感图像内容的安全是亟待解决的问题^[4]。

目前,在云环境下已经出现了大量的密文计算及搜索方案^[5-8]。然而,针对图像外包密文搜索的研究刚刚起步,张春艳等^[9]提出了基于离散小波变换和感知哈希的加密医学图像检索算法;陈帆^[10]提出了量化SIFT和同态加密的隐私保护图像检索方法;秦姣华等^[11]提出了融合多特征的图像检索算法;韩威等^[12]提出了一种云环境下JPEG图像的安全检索方法;但是,目前的大多数加密体制并不适合在加密遥感图像直接搜索,目前黄冬梅等^[13]提出了基于Henon映射的加密遥感图像的安全检索方案和耿霞^[14]提出的支持密文搜索和运算的遥感图像加密研究,沈志荣等^[15]提出了可搜索加密机制研究与进展,Demir等^[16]提出了基于哈希的大型档案馆可扩展遥感图像搜索与检索,Lu等^[17]提出了通过特征保护来保护图像检索,但搜索效率及安全性仍有不足。

因此,本文针对遥感图像的特殊性提出了一种加密遥感图像的搜索方案,将遥感图像进行波段拆分,对单波段遥感图像进行扫描模式加密,再将遥感图像进行异或(XOR)运算和Johnson-Lindenstrauss (JL)转换^[18-19]生成双密文,上传到云平台,计算多幅加密遥感图像的欧氏距离,获取满足条件的遥感图像。本文方案利用云平台强大的计算能力,将运算量大的操作如距离计算等放在云端进行,在客户端仅完成数据的加密上传,在云端进行遥感图像的搜索,很好地解决了搜索效率和安全性问题。

2 问题的描述与定义

2.1 系统模型

系统将单波段遥感图像进行存储,通过单波段的命名规则从云端下载对应其他波段的遥感图像。由于遥感图像在本地搜索速度太慢,则利用云平台的优势进行遥感图像搜索,为了保证遥感图像在云端处理的安全性, 需要在本地对遥感图像进行加密处理,再对加密图像进行JL转换,将转换后的加密图像上传到云端,计算欧氏距离匹配相应的遥感图像。本文系统模型如图1所示, 主要分为4类角色:1) 图像持有者,通过安全信道将遥感图像传输至终端; 2) 第三方平台,存储加密遥感图像,为授权搜索者提供搜索服务,匹配图像并发送结果图像给搜索者;3) 授权搜索者,通过搜索者与终端之间的安全信道传递索引图像和私钥,获得匹配到的加密遥感图像,通过私钥进行解密,从而获取明文遥感图像;4) 终端,将遥感图像加密上传至云端进行搜索。

上述模型中终端与图像持有者及授权搜索者两者之间都存在一个安全信道可以传输遥感图像及私钥。

图 1. 加密遥感图像的安全外包搜索方案系统模型

Fig. 1. System model for secure outsourcing search for encrypted remote sensing images

下载图片 查看所有图片

2.2 威胁模型

本文算法在保护遥感图像隐私信息的情况下进行搜索操作,但执行算法过程中会遭遇到各种攻击,导致图像信息的泄露,主要关注以下4种威胁:

1) 信道截取者,在图像传输过程中,攻击者通过某种手段破坏安全信道并截取隐私信息。

2) 半诚实第三方,第三方即是执行遥感图像的搜索操作,但在计算过程中可能会通过统计、穷举法等推断遥感图像的信息。

3) 恶意攻击者,通过二值化攻击算法可以对加密遥感图像进行攻击,获取图像的大致轮廓。

4) 统计分析中相邻像元的相关度,该值可以反映图像的扩散程度。原始图像中相邻像元之间的相关度通常很大,一种好的图像置乱加密算法应该让加密后的图像相邻像元之间的相关度趋近于零。

2.3 设计目标

设计目标为:1) 安全性,图像搜索技术可以抵抗上述四种威胁。2) 准确性,加密遥感图像搜索技术达到的效果接近于明文图像搜索算法效果。3) 高效性,本文所用的加密算法对加密图像搜索耗时在可接受范围内。

2.4 算法描述

如图2所示,图像持有者对给定的遥感图像进行波段拆分,得到图像中一个波段,将该单波段图像进行XOR运算和JL转换,得到两份密文分别记为E_A和E_B,并上传至云端。

表1为算法1,即系统模型中Encrypted image和Encrypted index的算法描述。

图 2. 图像持有者上传图像流程图

Fig. 2. Flow chart of uploading image by image owner

下载图片 查看所有图片

如图3所示,将索引遥感图像进行波段拆分,进行扫描模式加密,再进行JL转换得到索引JL转换图像,通过计算索引JL转换图像和云端存储遥感图像的欧氏距离进行匹配,将满足匹配条件的遥感图像下载到本地进行解密,然后将所有该图像的波段重新组合,得到结果遥感图像。

图 3. 加密遥感图像的搜索方案基本流程图

Fig. 3. Basic flow chart for search of encrypted remote sensing images

下载图片 查看所有图片

表2为算法2,即系统模型中Image searching的算法描述。

3 加密遥感图像安全搜索方案

将JL转换和图像加密结合,提出一种基于双密文的加密遥感图像安全搜索方案, 并针对基本方案中安全性和效率的不足问题,在基本方案上加入了随机置换和比值匹配策略,提出了改进方案。

3.1 基本方案

3.1.1 遥感图像异或加密过程

授权搜索者通过ENVI将7波段遥感图像进行波段拆分,以Band3单波段遥感图像为例,图像的长记为H,宽记为W,波段数记为N。

授权搜索者将Band3单波段图像的像素值存入矩阵E^O,随机生成一个行数为H,列数为W的矩阵E^RD,将矩阵E^O与矩阵E^RD进行异或运算,得到一份密文E^EO。

Em,nEO=EOm,n⊕Em,nRD。(1)

图像加密流程图如图4所示。

图 4. 图像XOR加密流程图

Fig. 4. Flow chart of XOR encryption of images

下载图片 查看所有图片

3.1.2 遥感图像JL转换过程

随机生成一个置换表,如图5所示,将进行遥感图像拆分得到的结果进行JL转换(根据JL转换的特性,可以保持像素间的距离),JL转换流程图如图6所示,其中块置换即二维转一维,行置换即根据置换表将每一行像素值整体置换。

图 5. 置换表

Fig. 5. Permutation table

下载图片 查看所有图片

授权搜索者随机生成一个h²×k的矩阵Q,其元素服从均值为0,方差为1/k的高斯分布,将所有像素点经过块置换后形成一个h²×h²矩阵A,然后矩阵A右乘矩阵Q得到一个矩阵B,再随机生成一个h²×k的矩阵Δ,其元素服从均值为0,方差为s²的高斯分布,最后将矩阵B加上随机矩阵Δ得到矩阵C。JL转换公式为

Ch2×k=Ah2×h2·Qh2×k+Δh2×k。(2)

图 6. JL转换流程图

Fig. 6. Flow chart of JL transformation

下载图片 查看所有图片

3.1.3 遥感图像间距离的计算过程

授权搜索者将JL转换图像上传至云端,进行欧氏距离计算,将索引图像矩阵记为V,云端库中图像矩阵记为U,根据下式计算欧氏距离,结果存于矩阵d,即

dm,n=‖Vm,n-Um,n‖22-2kξ2h2,(3)

根据(3)式将矩阵d所有点求其数学期望,获取最佳值,即

d-=∑m=0,n=0H-1,W-1dm,nH×W。(4)

3.1.4 遥感图像解密过程

授权搜索者将云端匹配的遥感图像下载至本地,用随机矩阵E^RD对本地图像进行恢复, 得到一个二维矩阵E^DE,即明文单波段图像,表达式为

Em,nDE=Em,nEN⊕Em,nRD,(5)

授权搜索者将明文单波段图像进行重新组合,得到结果遥感图像。

3.2 改进方案

3.2.1 安全性提升

根据JL转换的特性,遥感图像I_JL保存了明文图像中的相邻像素的位置信息,虽然无法准确获取遥感图像的灰度值,但通过二值化攻击可以基本获得图像的大致轮廓,对图像进行二值化攻击,效果图如图7所示。

图 7. 二值化攻击效果图。(a)原图;(b)密文图像;(c)二值化攻击结果图像

Fig. 7. Binary attack effect. (a) Original image; (b) encrypted image; (c) binary attack result

下载图片 查看所有图片

为了保证隐私不被泄露,本文必须要消除图像像素点及其周围点之间的强关联性。因此改进方案采用扫描模式加密^[20],在遥感图像加密操作和JL转换前都先对图像的像素点位置进行扰乱。

扫描算法代表基于形式语言的二维空间扫描的一整套方法^[21],可表示和生成大量的变化广泛的扫描路径。其基本思想是重排图像像素,是用一类由加密专用的扫描语言生成的扫描模式完成的。扫描语言用语法表示为G=(Γ,Σ,Α,Π),其中,Γ={A,S,P,U,V,T}是非结尾符号,Σ={c,d,o,s,r,a,e,m,y,w,b,z,x,B,Z,X,(,),space,0,1,2,3,4,5,6,7}是结尾符号;A是起始符号;Π是乘积规则,由下式给出, 即

A→S|P,(6)S→UT,(7)P→VT(AAAA),(8)U→c|d|o|s|r|a|e|m|y|w|b|z|x,(9)V→B|Z|X,(10)T→0|1|2|3|4|5|6|7,(11)

对上述加密专用扫描语言的语义说明如下:

1) (6)式表示处理扫描S或分划P。

2) (7)式的意义是用扫描模式U和变换T扫描区域。

3) (8)式表示用分划模式V和变化T扫描区域。

4) (9)式表示用光栅r、连续光栅c、直角a、向外螺旋s、水平对称m、对角线平行e、对角线对称y、第二对角线w、z型z、块型b或x型x等方式扫描,参见图8。

5) (10)式的意义是分别用B类、Z类或X类模式进行分划,参见图9。

6) (11)式表示用8种变换中的一种进行扫描或分划。

对于分划,这些变换由图9表示,对于扫描,这些变换定义为对所有的扫描模式,0表示图9中的恒等变换,2表示顺时针旋转90°。对扫描模式c、o、s、a、e、m、y、w、b和x,4表示顺时针旋转180°,而6表示顺时针旋转270°。对于扫描模式r和z,4表示垂直反射,而6表示顺时针旋转90°后进行垂直反射,对于扫描模式d,4表示水平反射后顺时针旋转90°,而6表示垂直反射后顺时针旋转180°。对所有扫描模式,1、3、5和7分别是扫描路径0、2、4的相反过程。

图 8. 基本扫描模式

Fig. 8. Basic scan modes

下载图片 查看所有图片

图 9. 分划模式和变换

Fig. 9. Mode division and transformation

下载图片 查看所有图片

对于16 pixel×16 pixel的图像扫描密钥B5(s2 Z0(c5 b0 o0 s5) c4 d1),相应于这个密钥的扫描路径如图10所示。

图 10. 扫描密钥B5(s2 Z0(c5 b0 o0 s5) c4 d1)路径示意图

Fig. 10. Path schematic for scanning of key B5(s2 Z0(c5 b0 o0 s5) c4 d1)

下载图片 查看所有图片

3.2.2 搜索效率提高

基于特征匹配的尺度不变特征变换算法以其改进算法^[22-24]中提到的邻近距离比值匹配策略方法,采用最邻近距离和次邻近距离的比值作为两个特征向量是否为匹配特征点的判断标准。本文方案通过同幅遥感图像I中的不同位置像素值的比值作为索引,通过索引初步去除大量不匹配的遥感图像,来提高图像的搜索效率,通过取多个点比值的均值来提高精度。去除条件:对阈值T₁、T₂取值如表1所示,输出满足T₁≤g_I1/g_I2≤T₂条件的图像,比值计算为

gIi=∑i,j=0,m,n=xH-x-1,H-1Im,nIi,j。(12)

由表3搜索出的正确图像数和未搜索出的图像数可知,T₁、T₂取值为0.9、1.2时,搜索效果最优,改进方案减少了不相关遥感图像的搜索时间,提高了图像搜索速度及效率。同时, 本节结合的一种双密文方法较单密文有以下优势:1) 双密文是将两份单密文进行融合成独立的密文,遥感图像搜索过程中,单密文采取串行搜索的方式,第一幅图像搜索完成后进行解密再搜索第二幅图像,而双密文将采取并行搜索方式,第一幅图像搜索完成后直接搜索第二幅图像,同时解密第一幅图像,图库中图像数量较多时将节省大量处理时间,提高搜索效率;2) 遥感图像搜索过程中使用的JL转换加密图像的密文具有不可逆的特性^[18],而异或加密密文只应用于图像解密,不参与图像搜索,因此,攻击者在图像搜索过程中无法获取图像信息,提升了图像搜索的安全性。

4 实验仿真与性能分析

实验平台采用两台PC机,一台模拟客户端,一台模拟第三方,其中作为第三方的PC配置为Intel(R) Core(TM) i5-6500 CPU @3.2 Hz 3.19 GHz,内存为12 G,Win10 64位操作系统,算法通过opencv平台和python语言实现,实验数据集采用从地理空间数据云网站获取的Landsat8卫星遥感图像的数据进行实验。

4.1 搜索精度分析

本实验从中抽取了400张512 pixel×512 pixel的遥感图像组成图库,为增加实际效果,并给图像加上不同大小的高斯噪声来模拟实际图像,实验过程中各参数取值如表4所示。

实验随机选取一幅遥感图像作为索引图像, 搜索结果如图11所示, 图11(a)为图O地区的图像,图11(b)为图O地区的不同时相的图像,图11(c)为图O地区含(0,384²)高斯分布噪声的遥感图像,用来模拟实际噪声图像,图11(d)为光线暗沉的遥感图像。图11(e)~(g)则搜索不到,图11(e)为发生形变的遥感图像,图11(f)为上海周边某个岛屿的遥感图像,图11(g)为一块陆地的遥感图像。

搜索结果的全面与否, 需要通过查全率来表现, 而结果的准确性, 则需要通过查准率来反映, 查准率和查全率数据如表5和6所示。其对应的查准率和查全率对比图如图12和13所示。

从图12和13可以看出,将基本方案、改进方案和Lowe方案^[25]三者进行对比,三个方案的查全率均接近100%,改进方案和Lowe方案^[25]搜索效果接近,较基本方案显著提高了遥感图像查准率。

图 11. 遥感图像搜索结果。(a)图像O;(b)不同时相的图像;(c)含高斯分布噪声的遥感图像;(d)光线暗沉的遥感图像;(e)发生形变的遥感图像;(f)岛屿的遥感图像;(g)陆地的遥感图像

Fig. 11. Search results of remote sensing images. (a) Image O; (b) image with different phases; (c) remote sensing image with Gaussian noise; (d) remote sensing image under dimmed light; (e) remote sensing image with deformation; (f) remote sensing image of island; (g) remote sensing image of land

下载图片 查看所有图片

图 12. 查准率对比图

Fig. 12. Comparison of precision rates

下载图片 查看所有图片

图 13. 查全率对比图

Fig. 13. Comparison of recall rates

下载图片 查看所有图片

4.2 搜索效率分析

文献[ 10]中证实文献[ 10]方案的搜索效果接近于Lowe方案^[25],因此,本文改进方案的搜索效果接近于文献[ 10]方案。除了查准率和查全率的比较分析,还在速度方面进行了对比分析,文献[ 10]使用Paillier同态加密搜索100幅遥感图像需11.95 h,在基本方案中搜索100幅遥感图像需50 min,在改进方案中只需11.7 min,基本方案搜索效率较文献[ 10]方案提高了93.03%,改进方案较基本方案又提高了76.6%,因此, 本文方案不仅提高了查准率,搜索效率也有大幅的提升,提高了98.37%。本文两者方案搜索图像的时间对比如图14所示。

4.3 安全性分析

本文方案针对2.2节的4种威胁模型进行抵御分析如下:

1) 抗信道截取者的能力

这种威胁是较弱的一种模型,通过对遥感图像进行加密传输,就可以抵御这种威胁。

图 14. 搜索时间对比

Fig. 14. Comparison of search time

下载图片 查看所有图片

2) 抗穷举法的能力

首先,将图像的像素值进行异或运算,如攻击者不能得到进行异或运算随机矩阵,则不可能恢复原有图像的像素值,对于JL转换的图像加密技术安全性, 攻击者假若没有图像持有者私钥,需尝试所有可能性的排列以获得图像信息,但是,对于有n个像素值图像排列的可能性是n!,因此, 对于一个512 pixel×512 pixel的遥感图像,攻击者要想正确猜测出排列情况的可能性是10^-1306595,所以,任何攻击者要想恢复商用价值的图像代价太高。

3)抗二值化攻击的能力

在改进方案中增加了随机置换,有效干扰了图像像素点之间的位置关系,对于一个512 pixel×512 pixel的遥感图像,扫描模式加密将图像所有位置进行重排,每个像素点位置都有262144种可能性,恢复原图像的可能性是10^-1306595,攻击者若想用二值化攻击也将无法获得图像的大致轮廓,保证了该方案的安全性。实验测试结果如图15所示。

图 15. 二值化攻击效果图。(a)基本方案;(b)改进方案

Fig. 15. Binary attack effect. (a) Basic scheme; (b) improved scheme

下载图片 查看所有图片

4) 抗统计分析图像相邻像元相关度的能力

图 16. 原始图像中相邻像元间的相关关系

Fig. 16. Correlation among adjacent pixels in original image

下载图片 查看所有图片

如图16和17所示分别为原始图像和加密图像中相邻像元间的相关关系,由图16和17可知,横坐标表示图像的像素点,纵坐标表示对应横坐标像素值位置的下方位置,图16中纵坐标随着横坐标的增大而增大,因此原始图像相邻像元间呈正相关关系,加密处理后的图像散点均匀分布0~170之间,且纵坐标不随着横坐标的变化而变化,因此加密图像相邻像元间呈不相关关系,表达式为

r=∑i=1n(xi-x-)(yi-y-)∑i=1n(xi-x-)2·∑i=1n(yi-y-)2。(13)

图 17. 加密图像中相邻像元间的相关关系

Fig. 17. Correlation among adjacent pixels in encrypted image

下载图片 查看所有图片

由于实验数据过多,实验部分数据如表7所示,通过(13)式计算实验数据可得:原始图像邻像元间的相关系数r₁=0.938205538143,加密图像相邻像元间的相关系数r₂=-0.00326092783623,r₂趋于0,说明达到一种很好的置换效果。

根据密文搜索的方式,本文方案与其他密文比较方案进行对比,如表8所示。

5 结论

为了保护云数据的安全与隐私,安全外包技术已逐步应用到云存储与计算中。本文提出了一种加密遥感图像的安全外包搜索方案,通过扫描模式加密及双密文方案进行遥感图像单波段特征匹配,很好地解决了遥感图像加密存储与搜索的安全问题。相比于文献[ 10]中方案的安全性和搜索效率有显著提高,改进方案的搜索效率提高了98.37%,该方案的优点是速度快、效率高,且计算复杂度低,可提高加密遥感图像的可用性。鉴于遥感图像的文件大、数量多等特点,搜索时间较长,下一步工作就是在实际云平台上部署实现遥感图像的安全外包搜索。