对一种基于排序变换的混沌图像置乱算法的商榷

针对"基于排序变换的混沌图像置乱算法"一文提出的密码系统进行了安全性分析.在有限数字精度下,密钥空间小不足以抵抗唯密文攻击.在选择明文攻击或选择密文攻击下,置换地址码可以重现.在此基础上,结合Logistic混沌映射的反向迭代,提出了一个密钥恢复算法.理论和实验结果均表明,该密钥恢复算法是实际可行的.有限数字精度的限制和线性变换的弱点,是导致该密码系统不够安全的两个主要原因.最后讨论了五种可能采取的改进措施及其效果.

团购合买资源类别：文库，文档格式：PDF，文档页数：9，文件大小：590.77KB

DO10.13374斤.is00153x.2010.05.024 第32卷第5期北京科技大学学报 Vo132 No 5 2010年5月 Journal ofUniversity of Science and Technobgy Bejjing May 2010 对一种基于排序变换的混沌图像置乱算法的商榷刘婷”闵乐泉) 1)北京科技大学信息工程学院.北京1000832)北京科技大学应用科学学院.北京100083 摘要针对“基于排序变换的混沌图像置乱算法”一文提出的密码系统进行了安全性分析.在有限数字精度下，密钥空间小不足以抵抗唯密文攻击.在选择明文攻击或选择密文攻击下，置换地址码可以重现.在此基础上，结合【gsi混沌映射的反向迭代，提出了一个密钥恢复算法.理论和实验结果均表明，该密钥恢复算法是实际可行的.有限数字精度的限制和线性变换的弱点，是导致该密码系统不够安全的两个主要原因.最后讨论了五种可能采取的改进措施及其效果. 关键词密码系统：安全性分析；混沌密码：密码分析分类号TP309TNg181 D iscussion of a chaotic i age scrambling a lgor ithm based on sort transfomm ation LU Ting).MN Lequan 2) 1)Schoolof hpmaton Eng neerng University of Sc ience and Techrokgy Beijing Beijng 100083 Chna 2)SchoolofApplied Science Universit of$ence ad Technobgy Beijng Beijng 100083 China ABSTRACT The security of a cryptosystem Proposed n the article ofChaotic in age scnambling agorithm based on sort transfom ation was analyzed The whole key space of the iage scrambling cryptosystem is too small to prevent the cpherextony atack when reali zng in fin ite comn putng precision The add ress coles of transposition can reappear by chosen-plantext atuck or chosencphertext at tads A key recovery agoritm was presented by reverse iterating te Logistic chaotic map The heoretical and experin ental results verify hat the key recovery agoritlm is feasb le and efficient Two priary reasons pr the unsafe prob km ae he restriction of fnite camputing precision and he weakness of linear transfom atpn Five possble iproved methods and heir effectswere alo discussed KEY WORDS cryppsysem seaurity aaysis chaotic cryppgraphy cryptanalsis 近年来，网络通信技术的快速发展增加了对图基于Lgsq映射的排序变换，文献[3]设计了像加密方法的需求.一般来说，传统的对称和非对一个图像置乱算法.本文对该算法作了安全性分称加密算法，如DES3 DES AES和RSA算法不适析，提出了改进意见. 于直接应用于图像加密.另一方面，由于混沌系统 1基于排序变换的混沌图像置乱算法简介特性与密码学特性之间的紧密联系，使得基于混沌的图像密码算法的研究备受关注7 文献[3]的图像行置乱算法可以描述如下.假置乱技术是图像加密方法之一，常见的图像置设明文图像的像素数目为M仪N(M和均为正整乱方法有Amod咬换1-，基于混沌排序的置乱变数人，选择Logisti9映射(1)的初始条件平1)作为该换等.但是已有密码分析研究证明，Amo变换密码系统的密钥. 具有周期性4和可逆性，其置乱算法不能抵抗己 Y叶1)=1-2(. (1) 知明文攻击4和选择明文攻击.到目前为止，对式中，Y)∈（一11）是Lgs9映射的状态变量，基于混沌排序的置乱算法的密码分析研究报道的 n=l2…. 较少迭代该混沌映射，图像行置乱过程叙述如下：收稿日期：2009-05-31 基金项目：国家自然科学基金资助项目(NQ60674059,N0607B120) 作者简介：刘婷(1984-)，女，博士研究生：闵乐泉(195)，男，教授，博士生导师，Email minlequa@sn8cm

第 32卷第 5期 2010年 5月北京科技大学学报 JournalofUniversityofScienceandTechnologyBeijing Vol.32 No.5 May2010 对一种基于排序变换的混沌图像置乱算法的商榷刘婷 1) 闵乐泉 1, 2) 1) 北京科技大学信息工程学院, 北京 100083 2) 北京科技大学应用科学学院, 北京 100083 摘要针对“基于排序变换的混沌图像置乱算法”一文提出的密码系统进行了安全性分析 .在有限数字精度下, 密钥空间小不足以抵抗唯密文攻击.在选择明文攻击或选择密文攻击下, 置换地址码可以重现.在此基础上, 结合 Logistic混沌映射的反向迭代, 提出了一个密钥恢复算法.理论和实验结果均表明, 该密钥恢复算法是实际可行的.有限数字精度的限制和线性变换的弱点, 是导致该密码系统不够安全的两个主要原因.最后讨论了五种可能采取的改进措施及其效果. 关键词密码系统;安全性分析;混沌密码;密码分析分类号 TP309;TN918.1 Discussionofachaoticimagescramblingalgorithmbasedonsorttransformation LIUTing1) , MINLe-quan1, 2) 1) SchoolofInformationEngineering, UniversityofScienceandTechnologyBeijing, Beijing100083, China 2) SchoolofAppliedScience, UniversityofScienceandTechnologyBeijing, Beijing100083, China ABSTRACT ThesecurityofacryptosystemproposedinthearticleofChaoticimagescramblingalgorithmbasedonsorttransformation wasanalyzed.Thewholekeyspaceoftheimagescramblingcryptosystemistoosmalltopreventtheciphertext-onlyattackwhenrealizinginfinitecomputingprecision.Theaddresscodesoftranspositioncanreappearbychosen-plaintextattackorchosen-ciphertextattack.AkeyrecoveryalgorithmwaspresentedbyreverseiteratingtheLogisticchaoticmap.Thetheoreticalandexperimentalresults verifythatthekeyrecoveryalgorithmisfeasibleandefficient.Twoprimaryreasonsfortheunsafeproblemaretherestrictionoffinite computingprecisionandtheweaknessoflineartransformation.Fivepossibleimprovedmethodsandtheireffectswerealsodiscussed. KEYWORDS cryptosystem;securityanalysis;chaoticcryptography;cryptanalysis 收稿日期:2009--05--31 基金项目:国家自然科学基金资助项目 ( No.60674059, No.60773120) 作者简介:刘婷 ( 1984— ), 女, 博士研究生;闵乐泉 ( 1951— ), 男, 教授, 博士生导师, E-mail:minlequan@sina.com 近年来, 网络通信技术的快速发展增加了对图像加密方法的需求.一般来说, 传统的对称和非对称加密算法, 如 DES、3DES、AES和 RSA算法不适于直接应用于图像加密.另一方面, 由于混沌系统特性与密码学特性之间的紧密联系, 使得基于混沌的图像密码算法的研究备受关注 [ 1--7] . 置乱技术是图像加密方法之一, 常见的图像置乱方法有 Arnold变换 [ 1--2] 、基于混沌排序的置乱变换 [ 3] 等.但是已有密码分析研究证明, Arnold变换具有周期性 [ 4] 和可逆性 [ 5] , 其置乱算法不能抵抗已知明文攻击 [ 6] 和选择明文攻击 [ 7] .到目前为止, 对基于混沌排序的置乱算法的密码分析研究报道的较少. 基于 Logistic映射的排序变换, 文献[ 3]设计了一个图像置乱算法.本文对该算法作了安全性分析, 提出了改进意见 . 1 基于排序变换的混沌图像置乱算法简介文献 [ 3]的图像行置乱算法可以描述如下 .假设明文图像的像素数目为 M×N(M和 N均为正整数 ), 选择 Logistic映射 ( 1)的初始条件 x( 1)作为该密码系统的密钥. x(n+1) =1 -2x 2 ( n) . ( 1) 式中, x(n)∈ ( -1, 1)是 Logistic映射的状态变量, n=1, 2, …. 迭代该混沌映射, 图像行置乱过程叙述如下: DOI :10 .13374 /j .issn1001 -053x .2010 .05 .024

。674 北京科技大学学报第32卷 SeP1以《1)为初始条件迭代Logisti映射，更难，但不应该把密码系统的安全性建立在敌手不产生混沌流{￥}：知道所使用的密码系统这个前提之下.因此，在设 SeP2对混沌流{)}，按升序排序，得到计一个密码系统时，应该在Kerckho假设下达到有序序列{(}：安全9 SeP3确定每一个混沌值在有序序列常用的密码分析攻击有四类从难到易列举 {()}中的位置编号，记录为羊功，即得到置如下. 换地址码{年}=： (1)唯密文攻击：密码分析者有一个或者多个 SeP4按照置换地址码{【)，对图像第1 密文行的像素进行置换，将第1行的第列（在[↓y) (2)己知明文攻击：密码分析者有一些明文以像素分别置换到第1行的第t列：及相应的密文. SeP5把YW的值赋给Y1,对第2行至 (3)选择明文攻击：密码分析者有机会使用密第M行重复Step1~SeP4直到第M行的像素全码机，因此可以选择一些明文，并产生密文部置换完毕， (4)选择密文攻击：密码分析者有机会使用密使用相同的密钥只需将Sp4改为“按照置码机，因此可以选择一些密文，并产生明文上述每一种攻击，目的都是确定密码系统所使换地址码{中)}对图像的第1行像素进行逆置用的密钥.后面两种攻击看似不合理，但是密码系换，即分别将第1行的第【j列像素置换到第1行统的密钥一旦投入使用（该密钥不为密码分析者所的第列”，其他步骤相同，即可实现图像行置乱算知，被嵌入到设备中，密码分析者就可能操纵.这法的正确解密. 种设备在日常生活中很常见如电子钱包卡(elec 如文献[3]的描述，图像列置乱算法只需对上 tron ic purse ca,GSM电话中的SM卡，销售点述图像行置乱加解密算法作简单修改，在此不再重终端机(post of sale tem inalmachin9和网络应用会复叙述.图像行置乱算法，还可以进一步改进成为议的令牌加密(web application session pken encryp 行列复合置乱算法.对于像素数目为仪的明文 ton19 图像，行列复合置乱算法的全过程，如上述Sp 1~Step5和承接在Step5之后的Stp6~Step10 3唯密文攻击的描述文献[3]使用Lgisti9映射作为图像置乱算法 Sep6把Y)的值赋给Y1: 的混沌系统以初始条件作为密钥.原文认为该算 Step7以Y1)为初始条件迭代Logisti9映射，法的密钥空间为（一11）之间的全体实数.考虑如产生混沌流{Y》,对混沌流{Y}￥按升序下事实：图像置乱算法使用的混沌系统都是在有限排序，得到有序序列{(}：精度下实现的.如果实现精度为Lbjt则密钥共有 SeP8确定每一个混沌值Yj在有序序列 2+1个，即密钥熵为+1全部21个密钥并不是 {4j}中的位置编号，记录为羊或即得到置换都可用，例如0.50这些坏点是不能在置乱算法地址码{羊j: 中使用的. SeP9按照置换地址码{【j)￥，对图像第1 准确的穷举攻击复杂度可以如下估计.用行置列的像素进行置换，将第1列的第行([1M) 乱算法加密一幅像素数目为M仪的明文图像，生像素分别置换到第1列的第t)行：成所有的置换地址码需要MN次混沌迭代。M次长 SeP10把￥M)的值赋给平1)，对第2列到度为的序列的排升序操作和N次置换.以交换第N列重复SeP7~SePg直到第N列的像素全排序法的起泡排序为例，长度为的序列排序平均部置换完毕，需要比较YN1)2次，交换YN-1)/2次，而 2 K erckhof假设和攻击类型一次交换需要移动3次，即移动3YN-1)2次.假设一次混沌迭代与比较、移动操作的耗时相等，则对密码算法进行分析时，通常假设密码分析者总的攻击复杂度为2MN+4MVYN-1)2=2M. 知道密码设计的系统和工作原理，即秘密全寓于密对于相当大的尺寸M==1024(这是一幅较大的钥中.这个假设称作Kerkho锻设.当然，如果密数字图像的典型尺寸，攻击复杂度为2M=2. 码分析者不知道所使用的密码系统那么破译密码同理，加密同样大小的明文图像列置乱算法的攻

北京科技大学学报第 32卷 Step1 以 x( 1)为初始条件迭代 Logistic映射, 产生混沌流 {x( i)} N i=1; Step2 对混沌流 {x( i)} N i=1按升序排序, 得到有序序列{x′( i)} N i=1; Step3 确定每一个混沌值 x( i)在有序序列 {x′( i)} N i=1中的位置编号, 记录为 t( i), 即得到置换地址码{t( i) } N i=1 ; Step4 按照置换地址码 {t( i) } N i=1对图像第 1 行的像素进行置换, 将第 1行的第 i列 ( i∈ [ 1, N] ) 像素分别置换到第 1行的第 t( i)列 ; Step5 把 x( N)的值赋给 x( 1 ), 对第 2行至第 M行重复 Step1 ～ Step4, 直到第 M行的像素全部置换完毕 . 使用相同的密钥, 只需将 Step4改为 “按照置换地址码{t( i) } N i=1对图像的第 1行像素进行逆置换, 即分别将第 1行的第 t( i)列像素置换到第 1行的第 i列 ”, 其他步骤相同, 即可实现图像行置乱算法的正确解密. 如文献 [ 3]的描述, 图像列置乱算法只需对上述图像行置乱加解密算法作简单修改, 在此不再重复叙述 .图像行置乱算法, 还可以进一步改进成为行列复合置乱算法.对于像素数目为 M×N的明文图像, 行列复合置乱算法的全过程, 如上述 Step 1 ～ Step5和承接在 Step5 之后的 Step6 ～ Step10 的描述 . Step6 把 x(N)的值赋给 x( 1) ; Step7 以 x( 1)为初始条件迭代 Logistic映射, 产生混沌流 {x( j)} M j=1, 对混沌流 {x( j) } M j=1按升序排序, 得到有序序列 {x′( j)} M j=1 ; Step8 确定每一个混沌值 x( j)在有序序列 {x′( j) } M j=1中的位置编号, 记录为 t(j), 即得到置换地址码 {t(j) } M j=1 ; Step9 按照置换地址码 {t( j) } M j=1对图像第 1 列的像素进行置换, 将第 1列的第 j行 ( j∈ [ 1, M] ) 像素分别置换到第 1列的第 t( j)行; Step10 把 x( M)的值赋给 x( 1), 对第 2列到第 N列重复 Step7 ～ Step9, 直到第 N列的像素全部置换完毕 . 2 Kerckhoff假设和攻击类型对密码算法进行分析时, 通常假设密码分析者知道密码设计的系统和工作原理, 即秘密全寓于密钥中.这个假设称作 Kerckhoff假设 .当然, 如果密码分析者不知道所使用的密码系统, 那么破译密码更难, 但不应该把密码系统的安全性建立在敌手不知道所使用的密码系统这个前提之下 .因此, 在设计一个密码系统时, 应该在 Kerckhoff假设下达到安全 [ 8] . 常用的密码分析攻击有四类, 从难到易列举如下 . ( 1) 唯密文攻击:密码分析者有一个或者多个密文 . ( 2) 已知明文攻击 :密码分析者有一些明文以及相应的密文 . ( 3) 选择明文攻击 :密码分析者有机会使用密码机, 因此可以选择一些明文, 并产生密文. ( 4) 选择密文攻击 :密码分析者有机会使用密码机, 因此可以选择一些密文, 并产生明文. 上述每一种攻击, 目的都是确定密码系统所使用的密钥 .后面两种攻击看似不合理, 但是密码系统的密钥一旦投入使用 (该密钥不为密码分析者所知 ), 被嵌入到设备中, 密码分析者就可能操纵 .这种设备在日常生活中很常见, 如电子钱包卡 ( electronicpursecard), GSM电话中的 SIM卡, 销售点终端机 ( post-of-saleterminalmachine)和网络应用会议的令牌加密 ( webapplicationsessiontokenencryption) [ 9] . 3 唯密文攻击文献 [ 3] 使用 Logistic映射作为图像置乱算法的混沌系统, 以初始条件作为密钥 .原文认为该算法的密钥空间为 ( -1, 1)之间的全体实数 .考虑如下事实:图像置乱算法使用的混沌系统都是在有限精度下实现的 .如果实现精度为 Lbit, 则密钥共有 2 L+1个, 即密钥熵为 L+1.全部 2 L+1个密钥并不是都可用, 例如 ±0.5, 0这些坏点是不能在置乱算法中使用的 . 准确的穷举攻击复杂度可以如下估计 .用行置乱算法加密一幅像素数目为 M×N的明文图像, 生成所有的置换地址码需要 MN次混沌迭代, M次长度为 N的序列的排升序操作和 MN次置换 .以交换排序法的起泡排序为例, 长度为 N的序列排序平均需要比较 N( N-1) /2次, 交换 N(N-1) /2次, 而一次交换需要移动 3次, 即移动 3N( N-1) /2次 .假设一次混沌迭代与比较、移动操作的耗时相等, 则总的攻击复杂度为 2MN+4MN( N-1) /2 =2MN 2. 对于相当大的尺寸 M=N=1 024(这是一幅较大的数字图像的典型尺寸 ), 攻击复杂度为 2MN 2 =2 31. 同理, 加密同样大小的明文图像, 列置乱算法的攻 · 674·

第5期刘婷等：对一种基于排序变换的混沌图像置乱算法的商榷 675 击复杂度为2P二2”；行列复合置乱算法的攻击选择明文攻击和选择密文攻击，复杂度为2M3+2MN=22.由于数字计算机和分对行列复合置乱算法的选择明文攻击，两幅像布式运算的快速发展，一个安全的密码需要O 素数目为M仪的明文图像就可以破译.选取一幅 (22)量级（阶号Q·)用来度量复杂性）的安全复明文图像，使得像素灰度值满足P= 杂度.因此文献[3]的混沌图像置乱算法（无论 11… 1 是行列置乱算法还是行列复合置乱算法)的安全 2 2 2 ,通过加密操作，请求的密性不够高。 MM... M 4选择明文密文攻击文图像G.分别检测G的第1列中每个像素灰度 4.1重现置换地址码值（主12，M所在的行数，记录为(）即得假设该算法的密钥不为攻击者所知，对行置乱到了第1列的列置换地址码{(j生.依次检测算法的选择明文攻击方案如下：选取幅明文图像 G的第=23；V列中每个像素灰度值≠ P(=12…,),分别满足第1行第列的像素灰 12M在该列所处的行数，即可以得到所有N 度值为非零，其他像素灰度值均为零.请求明文图列的列置换地址码{(j》。{(}出。；像P的密文图像C分别检测G中非零像素所在 {(}士.然后选取明文图像B,使得像素灰度值的位置（该像素一定位于第1行），把该像素所在的 12 N 列数记为t).这样，就成功恢复了图像第1行像 1 N 素的置换地址码{t)}士·如果想继续恢复图像第满足B= 通过加密操作，请求行（庄[2M的置换地址码，重新选择幅明文 12 N 图像(=I2:),满足第行第列的像素灰 B的密文图像S.按照N列的列置换地址码度值非零其他像素灰度值均为零即可. 《j},{j},{(,对G进行对行置乱算法的选择密文攻击，稍不同于上文列置换解密操作，即分别对对应的每列像素进行的选择明文攻击.选取N幅密文图像C(=12 逆置换.把得到的图像记为C,则G就是明文图 ,),满足第1行第列的像素灰度值为非零，其他像素灰度值均为零，通过解密操作，请求密文图像B经过行置换地址码加密之后的图像.检测C 像C对应的明文图像P分别检测P中非零像素的第1行中每个像素灰度值(=12，N)所在的列数，分别记录为，即得到了第1行的行置所处的列数（一定都位于第1行），记录为￥.则非零像素在图像置乱前后所在的列数，用整数对序换地址码{())三.依次检测G的第（≠23 列{（可头》1表示.对序列{（可，）}按照 …,M行中每个像素灰度值=12；在该行所处的列数，即得到了所有M行的行置换地址的升序排序，把排序后的序列记录为{(，J ￥j)}.则{j}即为图像第1行的置换地址码{9}，{()}e,,{()}1.这样，码.如果想继续恢复第行（庄[2M)的置换地址图像的行置换地址码和列置换地址码均被成功码，重新选择N幅密文图像C(=12:),满恢复足第行第列的像素灰度值非零，其他像素灰度对行列复合置乱算法的选择密文攻击，亦可以值均为零即可. 通过两幅像素数目为M仪的密文图像破译.选取选择明文密文攻击方法，同样可以用来攻击一幅密文图像G,使得像素灰度值满足G= N 文献[3]的列置乱算法.在选择明文攻击中，选取 1 2 M幅明文图像P(=12M),分别满足第1列 2 4 通过解密操作，请求该密文图第行的像素灰度值为非零，其他像素灰度值均为零的条件：在选择密文攻击中，选取M幅密文图像 1 2 C(=L2…,M),分别满足第1列第行的像素像对应的明文图像R.检测R的第1行中每个像灰度值为非零，其他像素灰度值均为零的条件，均素灰度值（≠12，y所在的列数，分别记录为可成功重构第1列的置换地址码.重构其他列的置 (j:则第1行像素在图像加密前后所在的列数换地址码的方法与之类似由于篇幅的限制，具体用整数对序列{($（功，）}=1表示.对序列细节不再详述.下面对行列复合置乱算法分别进行 {((,}三按照（的升序排序，把排序后的

第 5期刘婷等:对一种基于排序变换的混沌图像置乱算法的商榷击复杂度为 2M 2 N=2 31;行列复合置乱算法的攻击复杂度为 2MN 2 +2M 2 N=2 32.由于数字计算机和分布式运算的快速发展, 一个安全的密码需要 O ( 2 128 )量级 (阶号 O(· )用来度量复杂性 )的安全复杂度 [ 10] .因此文献[ 3]的混沌图像置乱算法 (无论是行 /列置乱算法还是行列复合置乱算法 )的安全性不够高. 4 选择明文 /密文攻击 4.1 重现置换地址码假设该算法的密钥不为攻击者所知, 对行置乱算法的选择明文攻击方案如下 :选取 N幅明文图像 Pi( i=1, 2, …, N), 分别满足第 1行第 i列的像素灰度值为非零, 其他像素灰度值均为零.请求明文图像 Pi的密文图像 Ci, 分别检测 Ci中非零像素所在的位置 (该像素一定位于第 1行 ), 把该像素所在的列数记为 t( i).这样, 就成功恢复了图像第 1 行像素的置换地址码 {t( i)} N i=1.如果想继续恢复图像第 j行 (j∈ [ 2, M] )的置换地址码, 重新选择 N幅明文图像 Pi′(i=1, 2, …, N), 满足第 j行第 i列的像素灰度值非零, 其他像素灰度值均为零即可 . 对行置乱算法的选择密文攻击, 稍不同于上文的选择明文攻击.选取 N幅密文图像 Ci( i=1, 2, …, N), 满足第 1行第 i列的像素灰度值为非零, 其他像素灰度值均为零 .通过解密操作, 请求密文图像 Ci对应的明文图像 Pi.分别检测 Pi中非零像素所处的列数 (一定都位于第 1行 ), 记录为 s( i).则非零像素在图像置乱前后所在的列数, 用整数对序列 {(s(i), i)} N i=1表示.对序列 {( s( i), i) } N i=1按照 s(i)的升序排序, 把排序后的序列记录为 {(j, t( j) ) } N j=1.则 {t( j) } N j=1即为图像第 1行的置换地址码 .如果想继续恢复第 j行 ( j∈ [ 2, M] )的置换地址码, 重新选择 N幅密文图像 Ci′( i=1, 2, …, N), 满足第 j行第 i列的像素灰度值非零, 其他像素灰度值均为零即可. 选择明文 /密文攻击方法, 同样可以用来攻击文献[ 3]的列置乱算法 .在选择明文攻击中, 选取 M幅明文图像 Pi( i=1, 2, …, M), 分别满足第 1列第 i行的像素灰度值为非零, 其他像素灰度值均为零的条件;在选择密文攻击中, 选取 M幅密文图像 Ci( i=1, 2, …, M), 分别满足第 1 列第 i行的像素灰度值为非零, 其他像素灰度值均为零的条件, 均可成功重构第 1列的置换地址码.重构其他列的置换地址码的方法与之类似, 由于篇幅的限制, 具体细节不再详述.下面对行列复合置乱算法分别进行选择明文攻击和选择密文攻击. 对行列复合置乱算法的选择明文攻击, 两幅像素数目为 M×N的明文图像就可以破译 .选取一幅明文图像 P1, 使得像素灰度值满足 P1 = 1 1 … 1 2 2 … 2    M M … M .通过加密操作, 请求 P1 的密文图像 C1.分别检测 C1 的第 1列中每个像素灰度值 j(j=1, 2, …, M)所在的行数, 记录为 t1 ( j), 即得到了第 1列的列置换地址码 {t1 ( j) } M j=1.依次检测 C1 的第 i( i=2, 3, …, N)列中每个像素灰度值 j( j= 1, 2, …, M)在该列所处的行数, 即可以得到所有 N 列的列置换地址码 {t1 ( j)} M j=1, {t2 ( j) } M j=1, …, {tN (j)} M j=1 .然后选取明文图像 P2, 使得像素灰度值满足 P2 = 1 2 … N 1 2 … N    1 2 … N .通过加密操作, 请求 P2 的密文图像 C2.按照 N列的列置换地址码 {t1 ( j) } M j=1, {t2 ( j) } M j=1, …, {tN( j) } M j=1, 对 C2 进行列置换解密操作, 即分别对对应的每列像素进行逆置换 .把得到的图像记为 C′2, 则 C2′就是明文图像 P2 经过行置换地址码加密之后的图像 .检测 C′2 的第 1行中每个像素灰度值 i( i=1, 2, …, N)所在的列数, 分别记录为 t( i), 即得到了第 1行的行置换地址码 {t1 ( i) } N i=1 .依次检测 C′2 的第 j( j=2, 3, …, M)行中每个像素灰度值 i( i=1, 2, …, N)在该行所处的列数, 即得到了所有 M行的行置换地址码 {t1 ( i) } N i=1, {t2 ( i) } N i=1, …, {tM ( i) } N i=1 .这样, 图像的行置换地址码和列置换地址码均被成功恢复. 对行列复合置乱算法的选择密文攻击, 亦可以通过两幅像素数目为 M×N的密文图像破译.选取一幅密文图像 C1, 使得像素灰度值满足 C1 = 1 2 … N 1 2 … N    1 2 … N .通过解密操作, 请求该密文图像对应的明文图像 P1.检测 P1 的第 1行中每个像素灰度值 i( i=1, 2, …, N)所在的列数, 分别记录为 s1 ( i) ;则第 1行像素在图像加密前后所在的列数, 用整数对序列 {( s1 ( i), i) } N i=1 表示.对序列 {(s1 (i), i) } N i=1按照 s1 (i)的升序排序, 把排序后的 · 675·

。676° 北京科技大学学报第32卷序列记录为{(k(内》。则{(}即为图 ,正{L2…,N,若)rj,则>X 2,M)行中每个像素灰度值≠12：y在该证明由假设条件可知，X在序列{，中的行所处的列数，用同样的方法得到所有M行的行位置编号为t,在序列{)正中的位置编号为置换地址码{(k),{(k), j.由于{是按升序排列的，对于H共，j,i {(y·然后选取密文图像G使得像素灰度任{12，N,当￥t时，第〔个位置对应的值一定大于第j个位置对应的值，则证毕. MM... M 根据置换地址码【)和【V一1)的取值，利用求该密文图像对应的明文图像.按照前面得到的定理1能够得知与名的大小关系.至此，可以 M行行置换地址码{()。{y}。,{杰对密钥展开攻击.Lgsti映射(1)的不动点为0.5 (y),分别对明文图像B对应的每行像素进行在定义区间（一11）上，当X时，-∈1=(05 像记为CS:检测C的第1列中每个像素灰度值j1,.对Lgt9映射进行反向迭代：若￥-1∈无1= (主12；M所在的行数，分别记录为(：则图像G的第1列像素在列置乱加密前后所处的行 -15ek:=-1-U 数，用整数对序列{((，}1表示.对序列 {(()}按照(j的升序排序，把排序后的序列记录为{(k().则{（即为图 42=- 1-0.51-05 像第1列的列置换地址码.依次检测的第= N2N2 依次反向迭代下 23:列中每个像素灰度值‘卡12；M在去，直到求出爷所属的区间集【显然，密钥￥必该列所处的行数，即可以得到所有列的列置换地然属于↓而且1相对于区间（一11）缩小了.但址码{(.{》，《(》.这样，是实验表明，这种方法并不是很有效.原因有二：利用选择密文攻击，行列复合置乱算法的行置换地其一，如果实现精度为Lbt在I中穷举密钥搜索址码和列置换地址码也被成功恢复，的平均复杂度为23一2，相比密钥空间（一1 4.2密钥恢复算法 1),密钥熵仅仅降低了3~4bt其二，随着反向迭攻击者利用41节提出的选择明文密文攻击代次数的增加，组成区间集的区间个数随着的方案，分别重构了图像行列置乱算法和行列复合减小成指数倍增长.当=1时，I的区间个数最多置乱算法的置换地址码.挖掘置换地址码隐藏的信能达到2,2个区间将占用很大的存储空间. 息，可以进一步恢复密钥. 因此，需要改进算法，进一步缩小密钥搜索区间来为方便起见，用X表示Y,X表示(. 降低攻击复杂度. 定理1假设混沌序列{)，排升序得到解决方法就是同时考虑时间延迟为1~3的相 {为其置换地址码为{年}对于H共，j 空间.Logistic9映射的相空间图如图1所示. 1.0 a 190-05 005 1.0-0.50 -1.0-0.500.5 0 图1 Lcgist映射的相空间图.（时间延迟为上（时间延迟为2(9时间延迟为3 Fg1 Phase space ppts of the Logisticma理（号the dely ti恤es上(he dely tme is:2(9 the delay tme is3

北京科技大学学报第 32卷序列记录为 {( k, t1 (k) )} N k=1, 则 {t1 ( k)} N k=1即为图像第 1行的行置换地址码.依次检测 P1 的第 j(j= 2, …, M)行中每个像素灰度值 i( i=1, 2, …, N)在该行所处的列数, 用同样的方法得到所有 M行的行置换地址码 {t1 ( k) } N k=1, {t2 ( k) } N k=1, …, {tM ( k) } N k=1 .然后选取密文图像 C2, 使得像素灰度值满足 C2 = 1 1 … 1 2 2 … 2    M M … M .通过解密操作, 请求该密文图像对应的明文图像 P2.按照前面得到的 M行行置换地址码 {t1 ( k)} N k=1, {t2 ( k)} N k=1, …, {tM ( k) } N k=1, 分别对明文图像 P2 对应的每行像素进行行置换, 把所有 M行像素置换完毕之后得到的图像记为 C2′.检测 C′2 的第 1列中每个像素灰度值 j ( j=1, 2, …, M)所在的行数, 分别记录为 s1 (j);则图像 C′2 的第 1列像素在列置乱加密前后所处的行数, 用整数对序列 {( s1 ( j), j) } M j=1表示 .对序列 {( s1 ( j), j)} M j=1按照 s1 ( j)的升序排序, 把排序后的序列记录为 {( k, t1 ( k) ) } M k=1 .则 {t1 ( k) } M k=1即为图像第 1列的列置换地址码.依次检测 C′2 的第 i( i= 2, 3, …, N)列中每个像素灰度值 j( j=1, 2, …, M)在该列所处的行数, 即可以得到所有 N列的列置换地址码{t1 ( j) } M j=1, {t2 ( j)} M j=1, …, {tN( j)} M j=1 .这样, 利用选择密文攻击, 行列复合置乱算法的行置换地址码和列置换地址码也被成功恢复. 4.2 密钥恢复算法攻击者利用 4.1节提出的选择明文 /密文攻击方案, 分别重构了图像行 /列置乱算法和行列复合置乱算法的置换地址码.挖掘置换地址码隐藏的信息, 可以进一步恢复密钥 . 为方便起见, 用 xi表示 x(i), x′i表示 x′(i). 定理 1 假设混沌序列 {xi} N i=1 排升序得到 {x′i} N i=1, 其置换地址码为 {t( i)} N i=1.对于 i≠j, i, j∈ {1, 2, …, N}, 若 t( i) t(j), 则 xi>xj. 证明由假设条件可知, xi在序列{xi′} N i=1中的位置编号为 t( i), xj在序列{xi′} N i=1中的位置编号为 t( j) .由于 {x′i} N i=1是按升序排列的, 对于 i≠j, i, j∈ {1, 2, …, N}, 当 t(i) t(j)时, 第 t(i)个位置对应的值一定大于第 t(j)个位置对应的值, 则 xi>xj.证毕. 根据置换地址码 t( N)和 t( N-1)的取值, 利用定理 1能够得知 xN 与 xN-1的大小关系 .至此, 可以对密钥展开攻击.Logistic映射 ( 1)的不动点为 0.5, 在定义区间 ( -1, 1)上, 当 xN-1 xN 时, xN-1∈ IN-1 =( 0.5, 1).对 Logistic映射进行反向迭代:若 xN-1 ∈ IN-1 = ( -1, 0.5), xN-2 ∈ IN-2 = -1, - 1 -0.5 2 ∪ 1 -0.5 2 , 1 ;若 xN-1 ∈ IN-1 =( 0.5, 1), xN-2 ∈ IN-2 = - 1 -0.5 2 , 1 -0.5 2 .依次反向迭代下去, 直到求出 x1 所属的区间集 I1.显然, 密钥 x1 必然属于 I1, 而且 I1 相对于区间 ( -1, 1)缩小了 .但是实验表明, 这种方法并不是很有效.原因有二: 其一, 如果实现精度为 Lbit, 在 I1 中穷举密钥搜索的平均复杂度为 2 L-3 ～ 2 L-2 , 相比密钥空间 ( -1, 1), 密钥熵仅仅降低了 3 ～ 4 bit;其二, 随着反向迭代次数的增加, 组成区间集 Ii的区间个数随着 i的减小成指数倍增长 .当 i=1时, I1 的区间个数最多能达到 2 N-1 , 2 N-1个区间将占用很大的存储空间. 因此, 需要改进算法, 进一步缩小密钥搜索区间来降低攻击复杂度. 解决方法就是同时考虑时间延迟为 1 ～ 3的相空间 .Logistic映射的相空间图如图 1所示 . 图 1 Logistic映射的相空间图.( a) 时间延迟为 1;( b) 时间延迟为 2;( c) 时间延迟为 3 Fig.1 PhasespaceplotsoftheLogisticmap:( a) thedelaytimeis1;( b) thedelaytimeis2;( c) thedelaytimeis3 · 676·

第 5期刘婷等:对一种基于排序变换的混沌图像置乱算法的商榷图 1(a)中的点 A, 图 1(b)中的点 B1 、 B2 和 B3 及图 1(c)中的点 C1 、C2 、C3 、C4 、C5 、C6 和 C7 分别是 Logistic映射时间延迟为 1、2和 3的不动点.用牛顿迭代法可以得到它们的横坐标 :xA =0.5, xB1 = -0.309 016994 374 947, xB2 = 0.5, xB3 = 0.809016994 374947, xC1 =-0.766 044 443 118 978, xC2 =-0.623489801858733, xC3 =-0.17364817766693, xC4 =0.222 520 933 956 314, xC5 =0.5, xC6 = 0.900 968 867 902 419, xC7 =0.939 692 620 785 908. 所以, 当 Logistic映射的时间延迟为 1时, 若 xi xi+1, xi∈ ( 0.5, 1).当 Logistic映射的时间延迟为 2时, 若 xi xi+2, xi ∈ ( -0.309016994374947, 0.5) ∪ ( 0.809016994374947, 1) .当 Logistic映射的时间延迟为 3 时, 若 xi xi+3, xi ∈ ( -0.766044443118 978, -0.623 489 801 858 733) ∪ ( -0.173 648 177 666 93, 0.222 520 933 956 314) ∪ ( 0.5, 0.900 968 867 902 419)∪ ( 0.939 692 620 785 908, 1). 每个时间延迟的相图中, xi所属的区间均为开区间, 这表明不会出现 xi与 xi+1, xi+2, xi+3相等的情况 .xi与 xi+1不相等是因为 0.5是不动点, 第 3节已经讨论过, 必须从密钥空间中排除.而且它也不会从迭代中产生, 故 0.5 这一点为开区间.假设 xi =xi+2, 则 xi的周期为 2, 这与混沌的定义相违背 .同理, xi与 xi+3也不相等. 具体的密钥恢复算法步骤如下. 输入:由选择明文攻击或选择密文攻击恢复的 (图像行 /列置乱算法和行列复合置乱算法 )置换地址码 t={t( 1), t( 2), …, t( N) }. 初始化 :确定 n的值 ( n≤N-2).根据 t比较 xn与 xn+1的大小:若 xn xn+1, xn∈ I ＊ n =( 0.5, 1) .把 n的值赋予 i, 把 I ＊ n 的值赋予 I ＊ i . Step1 对 xi的所属区间集 I ＊ i 进行 Logistic映射反向迭代, 得到的区间集记为 Ii-1. Step2 由置换地址码 t判断 xi-1与 xi, xi+1, xi+2的大小关系 .然后, 根据相图确定时间延迟分别为 1 ～ 3时 xi-1所属的区间集 I ( 1) i-1, I ( 2) i-1, I ( 3) i-1 .对这三个区间集取交集, 得到一个区间集 Ii′-1 ; Step3 取交集 I ＊ i-1 =Ii-1∩ Ii′-1, 得到 xi-1的所属区间集 I ＊ i-1 . Step4 把 i-1的值赋予 i, I ＊ i-1的值赋予 I ＊ i . 如果 i>1, 重复 Step1 ～ Step3;否则, 停止. 输出 :x1 所属的区间集 I ＊ 1 . 密钥恢复流程如图 2所示 . 定理 2 假设文献 [ 3]提出的图像 (行 /列和行列复合 )置乱算法的实现精度为 Lbit, 当 n>ln( 2 × 10 L ) /0.693时, 上述密钥恢复算法输出的是一个点集 . 证明 Lyapunov指数 λ是对两个很靠近的初值产生的轨道, 随时间推移按指数方式分离的定量描述 .式 ( 1)所表示的 Logistic混沌映射的 Lyapunov 指数约为 λ=0.693. 对于任意相距为 ε( ε为趋于 0的实数 )且都属于 ( -1, 1)区间的两点 x0 和 x0 +ε, 经过 n次迭代后相距为 εe nλ = F n ( x0 +ε) -F n ( x0 ) , 其中 F( x) =1 -2x 2 .由于 F n ( x0 +ε), F n ( x0 ) ∈ ( -1, 1), 则 F n ( x0 +ε) -F n (x0 ) <2.实际上, 本文提出的密钥恢复算法是一个反向迭代过程 .可以理解为:位于 ( -1, 1)区间上的两点 F n ( x0 )和 F n ( x0 + ε), 经过 n次 Logistic映射的反向迭代之后相距为 ε.假设实现精度为 Lbit, 当 ε≤10 -L时, 这两点就重叠了, 可以认为是同一个点. 由 εe nλ <2和 ε≤10 -L , 得到 n≥ln( 2 ×10 L ) / λ.由此证明了密钥恢复算法在实现精度为 Lbit的计算机上, 当 n≥ln( 2 ×10 L ) /λ时, 区间集序列 {I ＊ i } n i=1收敛到一个点集.证毕 . 4.3 仿真实验为了验证选择明文 /密文攻击方案对图像行 /列置乱算法和行列复合置乱算法的实用性, 本小节给出一些具体的实验结果 . 以 16 bit的实现精度和尺寸为 M×N(M=N= 256)的图像为例作攻击实验 .由 4.2 节的定理 2 知, 当实现精度 L=16 bit时, n≥55.所以, 仅重构图像第 1行 (对图像行置乱算法和行列复合置乱算法而言 )或者第 1列 (对图像列置乱算法而言 )的置换地址码, 对于恢复密钥绰绰有余 .只要重构了足够的置换地址码, 密钥攻击实验对于行 /列置乱算法和行列复合置乱算法就完全相同了.不妨以图像行置乱算法为例, 选取前 80个混沌流的置换地址码做密钥攻击实验 . 任意选取 1 000个 ( -1, 1)区间内的值作为密 · 677·

。678 北京科技大学学报第32卷比较x与x的大小 N 元∈1，=0.5，) xe1,=(←-1.0.5) 初始化1· (反向迭代比较与的大小交集) rh 交集上比较x,与的大小 e-l 比较x与无的大小 (反向迭代 H 比较x与x,的大小比较x,与x的大小比较x与x的大小反向迭代 …一交集交集… 44 (反向迭代 " 比较x与无的大小交集) 比较x,与x的大小比较x,与x,的大小结束图2密钥恢复算法的流程图 Fig 2 F b chan of the key recovery a poritm 钥，控制图像行置乱算法.在密钥恢复算法的攻击 (文献[3]的行列置乱算法进行一次图像加密的时下，输出结果各收敛到相应的点集（候选密钥集）. 间)约为0.8910，s则穷尽密钥搜索所用时间约为这1000个候选密钥集中，平均每个集合由387个点 2×0.8910=228096§因此，在上述型号的计算组成.也就是说，当实现精度为16b时，本文提出机上进行密钥攻击（从重构置换地址码到确定16bit 的密钥恢复算法从总体上可以将密钥熵从17b降的准确密钥)，平均花费时间为48十228.096= 低到9bit(号387≈9，密钥熵降低了8bit在1 276.096§而行列复合置乱算法进行一次图像加密台主频为2GH的Core2T7200计算机上运行密钥的时间约为1.594，s在上述型号的计算机上进行密恢复算法，输出候选密钥集，平均花费时间仅为钥攻击，平均花费时间为48十2×1.594= 48s 456.064s 要确定行置乱算法所使用的准确密钥，平均仅下面以密钥￥1)=0.579为例（该密钥不为攻需要在密钥恢复算法输出的密钥熵为9的候选密钥击者所知)，用数据说明密钥恢复过程.通过4.1 集中穷尽密钥搜索即可.在候选密钥集中穷尽密钥节的选择明文攻击或选择密文攻击，可以重构图像搜索的平均复杂度为O(2,而且求出16bi密钥第一行的置换地址码.表1列出了前80个混沌值的正确率为100%.由于每次密钥搜索的单位时间的置换地址码

第5期刘婷等：对一种基于排序变换的混沌图像置乱算法的商榷 679 表1图像第1行像素的置换地址码 Table Address oodes of transposition in the first row of the image i 1 2 3 4 5 6 7 891011121314151617181920 4917615720111221875152213831661831462304810019811922951104 i 21 22 2324 25 2627 28 293031 3233 3435 36 37 383940 )20890174164188133250926561092148216319013025614.13 i41424344 45464748495051 5253 54555657585960 4326613424812306212224025551082128416718214722754107 161626364 65666768 697071 72 7374757677787980 4)2118616918015021974148226571112177815819911722559114222 根据表1中的置换地址码，按照定理1的方法其中，x表示延迟时间，取值分别为1、2和3结果比较时间延迟分别为1~3的混沌值的大小.用1在表2中列出. 表示X+,用0表示<X。=↓2；80 表2混沌迭代流之间的大小关系 Tab le2 Larger or kess reltinsh ip be ween chaotic iterative streams 与x+的大小关系 101010010010I0010100101010100001001010000001000010001001010010010100100100101001 01011011010110001101100101100011010110000110001100110I0110110101101101101011011 10101001001110011100101011100001001110000111001110001001110010011011100100111000 由表2所示的混沌流之间的大小关系结合迟为1、2和3时所属的区间集P、P和，对 Lgst的相空间图1可以确定￥j分别在时间延这三个区间集取交集得到区间集】列于表3中，表3区间集【表列 Tabe3 List of nterval sets【 1 (05080901694374947) 2 (-0309016994374947-017364817766693U(02252093395631405) 3 (050809016994374947) 4 (-0309016994374947-017364817766693儿U(02252093395631405) 5 (08090169943749470900968867902419儿U(09396926207859081) 78 (-1-076604443118978U(-0623489801858733-0309016994374947) 79 (-0309016994374947-017364817766693U(02252093395631405) 80 (09009688679024190939692620785908) 对4.2节的密钥恢复算法，其最终输出收敛到 0.5316907201991737;0.5790000000000000 一个有限点集.所属的区间集，列于表4中， 0.57900000000000090.5790000000000011 最终的输出结果表明区间集【收敛成为一个 0.57900000037213580.5790000003721361 由531个点组成的候选密钥集：{05316907201985676 0.579000000372137005790000003721372 0.53169072019856770.5316907201985688 0.579000000372154005790000003721543 0.53169072019856890.53169072019858640.579000000372155205790000003721554 0.53169072019858650.5316907201985867 0579000000372718305790000003727185 0.53169072019858770.53169072019858790.57900000037271940.5790000003727196 0.53169072019917250.5316907201991727 0.579000000372736505790000003727366

第 5期刘婷等:对一种基于排序变换的混沌图像置乱算法的商榷表 1 图像第 1行像素的置换地址码 Table1 Addresscodesoftranspositioninthefirstrowoftheimage i 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 t(i) 176 157 201 112 218 75 152 213 83 166 183 146 230 48 100 198 119 229 51 104 i 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 t(i) 208 90 174 164 188 133 250 9 26 56 109 214 82 163 190 130 256 1 4 13 i 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 t(i) 32 66 134 248 12 30 62 122 240 25 55 108 212 84 167 182 147 227 54 107 i 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 t(i) 211 86 169 180 150 219 74 148 226 57 111 217 78 158 199 117 225 59 114 222 根据表 1中的置换地址码, 按照定理 1的方法比较时间延迟分别为 1 ～ 3的混沌值的大小.用 1 表示 xi >xi+τ, 用 0 表示 xi <xi+τ, i=1, 2, …, 80. 其中, τ表示延迟时间, 取值分别为 1、2和 3.结果在表 2中列出 . 表 2 混沌迭代流之间的大小关系 Table2 Largerorlessrelationshipbetweenchaoticiterativestreams τ xi与 xi+τ的大小关系 1 10101 00100 10100 10100 10101 01000 01001 01000 00010 00010 00100 10100 10010 10010 01001 01001 2 01011 01101 01100 01101 10010 11000 11010 11000 00110 00110 01101 01101 10101 10110 11010 11011 3 10101 00100 11100 11100 10101 11000 01001 11000 01110 01110 00100 11100 10011 01110 01001 11000 由表 2 所示的混沌流之间的大小关系, 结合 Logistic的相空间图 1, 可以确定 x( i)分别在时间延迟为 1、2和 3时所属的区间集 I ( 1) i 、I ( 2) i 和 I ( 3 ) i , 对这三个区间集取交集得到区间集 Ii′, 列于表 3中 . 表 3 区间集 I′i表列 Table3 ListofintervalsetsI′i i I′i 1 ( 0.5, 0.809 016 994 374 947 ) 2 ( -0.309 016 994 374 947, -0.173 648 177 666 93) ∪ ( 0.222 520 933 956 314, 0.5 ) 3 ( 0.5, 0.809 016 994 374 947 ) 4 ( -0.309 016 994 374 947, -0.173 648 177 666 93) ∪ ( 0.222 520 933 956 314, 0.5 ) 5 ( 0.809 016 994 374 947, 0.900 968 867 902 419 ) ∪ ( 0.939 692 620 785 908, 1 ) … … 78 ( -1, -0.766 044 443 118 978 )∪ ( -0.623 489 801 858 733, -0.309 016 994 374 947 ) 79 ( -0.309 016 994 374 947, -0.173 648 177 666 93) ∪ ( 0.222 520 933 956 314, 0.5 ) 80 ( 0.900 968 867 902 419, 0.939 692 620 785 908) 对 4.2节的密钥恢复算法, 其最终输出收敛到一个有限点集.xi所属的区间集 I ＊ i, 列于表 4中 . 最终的输出结果表明, 区间集 I ＊ 1 收敛成为一个由 531个点组成的候选密钥集:{0.531 690 7201985676, 0.531 690 720 198 567 7, 0.531 690 720 198 568 8, 0.531 690 720 198 568 9, 0.531 690 720 198 586 4, 0.531 690 720 198 586 5, 0.531 690 720 198 586 7, 0.531 690 720 198 587 7, 0.531 690 720 198 587 9, 0.531 690 720 199 172 5, 0.531 690 720 199 172 7, 0.531 690720 1991737, …, 0.579000000 0000000, 0.579 000 000 000 000 9, 0.579 000 000 000 001 1, 0.579 000 000 372 135 8, 0.579 000 000 372 136 1, 0.579 000 000 372 137 0, 0.579 000 000 372 137 2, 0.579 000 000 372 154 0, 0.579 000 000 372 154 3, 0.579 000 000 372 155 2, 0.579 000 000 372 155 4, 0.579 000 000 372 718 3, 0.579 000 000 372 718 5, 0.579 000 000 372 719 4, 0.579 000 000 372 719 6, 0.579 000 000 372 736 5, 0.579 000 000 372 736 6, · 679·

。680 北京科技大学学报第32卷 0.579000000372737605790000003727377}. 集（密钥熵约为9b9,从中能够快速确定即，对密钥为Y1)=0.579的图像置乱算法进行密 0.5790000000000000就是密码算法所使用的准确钥恢复算法攻击，得到由531个点组成的候选密钥密钥. 表4区间集表列 Tabe4 The list of nterval sets 1 80 (051) 79 (-0309016994374947-017364817766693U(02252093395631405) 78 (-08090169943749473-0766044443118978U(-0623489801858733-0.5) 77 (0866025403784438609009688679024189U(0.939692620785908309510565162951535) 76 (-017364817766693-01564344650402309U(015643446504023090.17364817766693) 尔 (064278760968653930.6494480483301837儿U(076040596560003090766044431189779) 74 (034202014332566880346117057074gU(0418659737537428104226182617406995) 73 (-05735764363510461,-0.5717879602276123U(-05391383229110002-05372996083468238) 72 (08762675570750770.8772509113449242儿U(0886506615944746308870108331782217) (-0.2482672393737163-02477388631755985U(-02382156418617947-02376858923261731U (023768589232617310.2382156418617947U(0247738863175598502482672393737163) (-0790021277996269-0789854057144609U(-07868340491684999-0786665714368617U 70 (-06173791815707049-0.6171646288220856儿U(-06132948462299g59-06130794241475911) 5可能的改进措施乱技术的混沌图像密码算法，总体来说可以等效为对图像矩阵进行有限步的初等矩阵变换，从而打乱增强对这类基于排序的混沌图像置乱算法的唯图像像素的位置.但是，初等矩阵变换是线性变换密文攻击的复杂度很容易，一些简单的修改就可以其保密性不够高.选择明文攻击或选择密文攻增大密钥空间，如增加计算机的计算精度，增加混击，成功获得了置换地址码；而置换地址码隐含的沌系统的控制参数作为密钥的一部分.然而，高精信息，正是本文提出的密钥恢复算法得以实现的基度计算机的实现代价太大，增加控制参数作为密钥础。所以线性变换是该类混沌图像置乱算法不能是比较实际的选择. 抵抗选择明文密文攻击的原因.不管使用多么复为了增强选择明文攻击和选择密文攻击的复杂杂的混沌映射，只要按照线性变换的规则进行置度，下面讨论一些可能的改进措施及其优缺点乱。都能实施本文的选择明文密文攻击方案.因 (1)使用行列交叉的复合置乱模式.一个较为此，这也不是一个根本的改进措施简单的想法是把行列复合置乱算法改进成为行列交 (3)使用非线性变换进行置乱变换.本文的选叉的复合模式但它仅适用于行与列像素数目相等择明文密文攻击基于置乱变换的线性性质，若能的图像，即M=的情况.详细加解密算法请见文把初等矩阵变换转化为某种非线性变换，也许是一献[11]的描述.选择明文密文攻击，可以通过选个根本的解决方案.一个可用的替代办法是文献取只有一个非零像素的？幅明文密文图像，获得 [14中提出的基于BP神经网络的图像置乱算法所有像素在置乱前后对应的位置.显然，由同一密该算法输出的密文图像与输入的明文图像的尺寸可钥加密尺寸相同的任何明文图像同一位置的像素以不一样.为了满足恢复图像的要求，必须对神经均置乱到相应的密文图像的相同位置.从密码学意网络进行较长时间的训练这将影响密码系统的加义上讲，得到由特定密钥产生的密钥流就相当于得密速度.另外，它是否能够抵抗其他的一些密码攻到了密钥，因为攻击者拥有了与合法用户一样多的击，还需要进行细致的研究. 信息四.因此，使用行列交叉的复合置乱模式不是（4)使用“一次一密”模式.如果每次加密使用一个根本的改进措施不同的密钥，文献[3]的图像置乱算法将对本文所 (2)使用更复杂的混沌映射.这类仅仅基于置提出的选择明文密文攻击方案免疫.“一次一密

北京科技大学学报第 32卷 0.579 000 000 372 737 6, 0.579 000 000 372 737 7}. 即, 对密钥为 x( 1) =0.579的图像置乱算法进行密钥恢复算法攻击, 得到由 531个点组成的候选密钥集 (密钥熵约为 9 bit), 从中能够快速确定 0.579 000000 000 000 0就是密码算法所使用的准确密钥 . 表 4 区间集 I＊ i 表列 Table4 ThelistofintervalsetsI＊ i i I＊ i 80 ( 0.5, 1) 79 ( -0.309 016 994 374 947, -0.173 648 177 666 93) ∪ ( 0.222 520 933 956 314, 0.5 ) 78 ( -0.809 016 994 374 947 3, -0.766 044 443 118 978 )∪ ( -0.623 489 801 858 733, -0.5) 77 ( 0.866 025 403 784 4386, 0.900 968 867 902 418 9 ) ∪ ( 0.939 692 620 785 908 3, 0.951 056 516 295 153 5) 76 ( -0.173 648 177 666 93, -0.156 434 465 040 230 9) ∪ ( 0.156 434 465 040 230 9, 0.173 648 177 666 93 ) 75 ( 0.642 787 609 686 539 3, 0.649 448 048 330 183 7) ∪ ( 0.760 405 965 600 030 9, 0.766 044 443 118 977 9 ) 74 ( 0.342 020 143 325 668 8, 0.346 117 057 077 493 ) ∪ ( 0.418 659 737 537 428 1, 0.422 618 261 740 699 5) 73 ( -0.573 576 436 351 046 1, -0.571 787 960 227 612 3) ∪ ( -0.539 138 322 911 000 2, -0.537 299 608 346 823 8 ) 72 ( 0.876 726 755 707 507 7, 0.877 250 911 344 924 2) ∪ ( 0.886 506 615 944 746 3, 0.887 010 833 178 221 7 ) 71 ( -0.248 267 239 373 716 3, -0.247 738 863 175 598 5) ∪ ( -0.238 215 641 861 794 7, -0.237 685 892 326 173 1 )∪ ( 0.237 685 892 326 173 1, 0.238 215 641 861 794 7) ∪ ( 0.247 738 863 175 598 5, 0.248 267 239 373 716 3 ) 70 ( -0.790 021 277 996 269, -0.789 854 057 144 609 ) ∪ ( -0.786 834 049 168 499 9, -0.786 665 714 368 617) ∪ ( -0.617 379 181 570 704 9, -0.617 164 628 822 085 6) ∪ ( -0.613 294 846 229 935 9, -0.613 079 424 147 591 1 ) … … 5 可能的改进措施增强对这类基于排序的混沌图像置乱算法的唯密文攻击的复杂度很容易, 一些简单的修改就可以增大密钥空间, 如增加计算机的计算精度, 增加混沌系统的控制参数作为密钥的一部分.然而, 高精度计算机的实现代价太大, 增加控制参数作为密钥是比较实际的选择. 为了增强选择明文攻击和选择密文攻击的复杂度, 下面讨论一些可能的改进措施及其优缺点. ( 1) 使用行列交叉的复合置乱模式.一个较为简单的想法是把行列复合置乱算法改进成为行列交叉的复合模式, 但它仅适用于行与列像素数目相等的图像, 即 M=N的情况.详细加解密算法请见文献 [ 11] 的描述 .选择明文 /密文攻击, 可以通过选取只有一个非零像素的 N 2 幅明文 /密文图像, 获得所有像素在置乱前后对应的位置 .显然, 由同一密钥加密尺寸相同的任何明文图像, 同一位置的像素均置乱到相应的密文图像的相同位置 .从密码学意义上讲, 得到由特定密钥产生的密钥流就相当于得到了密钥, 因为攻击者拥有了与合法用户一样多的信息 [ 12] .因此, 使用行列交叉的复合置乱模式不是一个根本的改进措施 . ( 2) 使用更复杂的混沌映射.这类仅仅基于置乱技术的混沌图像密码算法, 总体来说可以等效为对图像矩阵进行有限步的初等矩阵变换, 从而打乱图像像素的位置.但是, 初等矩阵变换是线性变换, 其保密性不够高 [ 13] .选择明文攻击或选择密文攻击, 成功获得了置换地址码 ;而置换地址码隐含的信息, 正是本文提出的密钥恢复算法得以实现的基础.所以, 线性变换是该类混沌图像置乱算法不能抵抗选择明文 /密文攻击的原因.不管使用多么复杂的混沌映射, 只要按照线性变换的规则进行置乱, 都能实施本文的选择明文 /密文攻击方案.因此, 这也不是一个根本的改进措施. ( 3) 使用非线性变换进行置乱变换 .本文的选择明文 /密文攻击基于置乱变换的线性性质, 若能把初等矩阵变换转化为某种非线性变换, 也许是一个根本的解决方案.一个可用的替代办法是文献 [ 14] 中提出的基于 BP神经网络的图像置乱算法, 该算法输出的密文图像与输入的明文图像的尺寸可以不一样 .为了满足恢复图像的要求, 必须对神经网络进行较长时间的训练, 这将影响密码系统的加密速度.另外, 它是否能够抵抗其他的一些密码攻击, 还需要进行细致的研究 . ( 4) 使用 “一次一密 ”模式.如果每次加密使用不同的密钥, 文献 [ 3]的图像置乱算法将对本文所提出的选择明文 /密文攻击方案免疫.“一次一密 ” · 680·

第5期刘婷等：对一种基于排序变换的混沌图像置乱算法的商榷 ·681° 安全性的关键在于密钥绝不重复使用，这样能够有 (刘向东，焉德军，朱志良，等.基于排序变换的混沌图像置效阻止攻击者生成或者截获由同一部分密钥流加密乱算法.中国图像图形学报，200510(5：656) [4 W angZ H On he period of2D randon matrix scmmbling trs 的不同信息.“一次一密”的密码系统绝对安全，但 mation and its applica tions in mage infmation hding Chn J 必须克服密钥管理和密钥分配等问题.目前，正是 CmP20062912:2218 这些问题阻碍了“一次一密”密码在实际的安全通 (王泽辉.二维随机矩阵置乱变换的周期及在图像信息隐藏信中的应用9 中的应用.计算机学报，200629(12)：2218) (5)使密钥流依赖于明文或密文.如果密钥流 [5]Shao L P Tan Z HengXC et al Soution pr the inverse pob lem of ma trix transfom based mage scrmbling Acta Electran 依赖于明文或密文，则由密钥产生的密钥流在每次 S0200836(7):1355 加密明文时都会发生改变，而无需改变密钥.这样 (邵利平，罩征，衡星辰，等.基于矩阵变换的图像置乱逆问设计的加密系统，类似于分组密码的CBC模式(：题求解.电子学报，200836(7)：1355) Pherblock chainng或FCBC模式(Propagatng ci 【GuoJS JinCH An att恤k with known mage o a mag您crpt pherblock chan吗.这种解决方案比“一次一密” osyskm based an general catmap JChina hst Commun 2005 模式更加实用，因为它们具备足够的安全性，并能 26(2k131 够应用于实际.如果通过改变加密流程的方式 (郭建胜，金晨辉。对基于广义霜映射的一个图像加密系统的已知图像攻击.通信学报，20052(2)：131) 来增强安全性，那么基于排序的图像置乱密码就变 [7]Wang K Peiw J Zou LH etal On the security of3D catmap 成完全不同的加密系统了. based smmetric mage encryptin scheme Phys Lett A 2005 343432 6结论 [8]Feng D G Copana psis Beijng Tsirghua University Press 2000 本文指出文献[3]提出的“基于排序变换的混 (冯登国.密码分析学.北京：清华大学出版社，000) 沌图像置乱算法”不够安全.由于密码系统采用的 19]A lvarez G Montoya E RomeraM etal Keystream cryptana ysis 混沌映射在有限精度实现时，密钥空间小，不足以 of a chaotic cptographicmethod Camnput Phys Commun 2004 抵抗唯密文攻击.在选择明文密文攻击下，置乱 156205 变换的线性性质导致置换地址码得以重构.在此基 10 Li S J Ana Dses and New Desgns of D gital Chaotic Cithers Dissernatog.X iap X ian JiaoongUnversity 2003 103 础上提出密钥恢复算法，它能够有效缩小密钥候选 (李树钧.数字化混沌密码的分析与设计[学位论文].西集，在其中穷尽搜索能够快速确定密钥. 安：西安交通大学，2003103) 鉴于本文的讨论，认为使用混沌系统构造密码【1】Lu DX Lio X E Han J et al Picture scrmbling algorithm 系统，必须考虑有限精度实现时对系统安全性的影 based on Logistic mapping and sort tansfma tion ComputTeh 响.一个真正安全的混沌密码系统。还需要在混沌 n0Dy200717(12):27 (陆大兴，廖晓蜂，韩洁，等。基于Lgst映射与排序变换系统特性的研究和密码体系结构的设计上做更多深的图像加密算法.计算机技术与发展，200717(2)：27) 入细致的工作. 【l☑A NarezG Manoya F RoneraM etal Coptna pysis of a er dic chaotic cpher PhysLettA 2003 311 172 参考文献 13 Li CG Han ZZ Zhang H R mage encryption teckniue a II]Ma ZG Qu S$An mage cpptosystem based on general cat survey J ComputResD ey 2003.39(10):1317 map JChina hstCommu四2003,242)：51 (李昌刚，韩正之，张浩然.图像加密技术综述.计算机研究 (马在光，丘水生.基于广义猫映射的一种图像加密系统.通与发展，200339(10)：1317) 信学报，200324(2)：51) 【14 Zhang M R HuangX Dgital m:您e scrmbling based on BP 【】ChenG R Mao Y B Chui CK A symmetric mas您e encrypton neuml neworks J Wuhan Univ Technol IfManage Eng Ed scheme based an 3D chaot ic catmaps Chaos Solions Fracta s 20072910):5 200421:749 (张敏瑞，黄兴.基于BP神经网络的数字图像置乱技术.武 [3 Li XD YanD J ZhuZl etal Chaotic picure scrambling al 汉理工大学学报：信息与管理工程版，2007.29(10：5) gritm based on son transomation J mageGraph 2005.10 【l习RhamaR Beghith Crprna pysis of a new mage encrypti知 (5):656 a goritm based on hyper chaos PhysLett A 2008 372 5973

第 5期刘婷等:对一种基于排序变换的混沌图像置乱算法的商榷安全性的关键在于密钥绝不重复使用, 这样能够有效阻止攻击者生成或者截获由同一部分密钥流加密的不同信息 .“一次一密”的密码系统绝对安全, 但必须克服密钥管理和密钥分配等问题.目前, 正是这些问题阻碍了 “一次一密”密码在实际的安全通信中的应用 [ 15] . ( 5) 使密钥流依赖于明文或密文 .如果密钥流依赖于明文或密文, 则由密钥产生的密钥流在每次加密明文时都会发生改变, 而无需改变密钥.这样设计的加密系统, 类似于分组密码的 CBC模式 ( cipher-blockchaining) 或 PCBC模式 ( propagatingcipher-blockchaining) .这种解决方案比 “一次一密 ” 模式更加实用, 因为它们具备足够的安全性, 并能够应用于实际 [ 15] .如果通过改变加密流程的方式来增强安全性, 那么基于排序的图像置乱密码就变成完全不同的加密系统了 . 6 结论本文指出文献[ 3] 提出的 “基于排序变换的混沌图像置乱算法”不够安全.由于密码系统采用的混沌映射在有限精度实现时, 密钥空间小, 不足以抵抗唯密文攻击.在选择明文 /密文攻击下, 置乱变换的线性性质导致置换地址码得以重构.在此基础上提出密钥恢复算法, 它能够有效缩小密钥候选集, 在其中穷尽搜索能够快速确定密钥 . 鉴于本文的讨论, 认为使用混沌系统构造密码系统, 必须考虑有限精度实现时对系统安全性的影响 .一个真正安全的混沌密码系统, 还需要在混沌系统特性的研究和密码体系结构的设计上做更多深入细致的工作. 参考文献 [ 1] MaZG, QiuSS.Animagecryptosystembasedongeneralcat map.JChinaInstCommun, 2003, 24( 2 ) :51 (马在光, 丘水生.基于广义猫映射的一种图像加密系统.通信学报, 2003, 24 ( 2) :51) [ 2] ChenGR, MaoYB, ChuiCK.Asymmetricimageencryption schemebasedon3Dchaoticcatmaps.ChaosSolitonsFractals, 2004, 21:749 [ 3] LiuXD, YanDJ, ZhuZL, etal.Chaoticpicturescramblingalgorithmbasedonsorttransformation.JImageGraph, 2005, 10 ( 5) :656 (刘向东, 焉德军, 朱志良, 等.基于排序变换的混沌图像置乱算法.中国图像图形学报, 2005, 10 ( 5) :656) [ 4] WangZH.Ontheperiodof2Drandommatrixscramblingtransformationanditsapplicationsinimageinformationhiding.ChinJ Comput, 2006, 29( 12) :2218 (王泽辉.二维随机矩阵置乱变换的周期及在图像信息隐藏中的应用.计算机学报, 2006, 29 ( 12) :2218) [ 5] ShaoLP, TanZ, HengXC, etal.Solutionfortheinverseproblemofmatrixtransform basedimagescrambling.ActaElectron Sin, 2008, 36 ( 7) :1355 (邵利平, 覃征, 衡星辰, 等.基于矩阵变换的图像置乱逆问题求解.电子学报, 2008, 36( 7 ):1355) [ 6] GuoJS, JinCH.Anattackwithknownimagetoanimagecryptosystembasedongeneralcatmap.JChinaInstCommun, 2005, 26( 2 ):131 (郭建胜, 金晨辉.对基于广义猫映射的一个图像加密系统的已知图像攻击.通信学报, 2005, 26 ( 2) :131) [ 7] WangK, PeiWJ, ZouLH, etal.Onthesecurityof3Dcatmap basedsymmetricimageencryptionscheme.PhysLettA, 2005, 343:432 [ 8] FengDG.Cryptanalysis.Beijing:TsinghuaUniversityPress, 2000 (冯登国.密码分析学.北京:清华大学出版社, 2000 ) [ 9] lvarezG, MontoyaF, RomeraM, etal.Keystreamcryptanalysis ofachaoticcryptographicmethod.ComputPhysCommun, 2004, 156:205 [ 10] LiSJ.AnalysesandNewDesignsofDigitalChaoticCiphers [ Dissertation] .Xian:XianJiaotongUniversity, 2003:103 (李树钧.数字化混沌密码的分析与设计 [ 学位论文] .西安:西安交通大学, 2003:103 ) [ 11] LuDX, LiaoXF, HanJ, etal.Picturescramblingalgorithm basedonLogisticmappingandsorttransformation.ComputTechnolDev, 2007, 17 ( 12) :27 (陆大兴, 廖晓峰, 韩洁, 等.基于 Logistic映射与排序变换的图像加密算法.计算机技术与发展, 2007, 17( 12 ) :27) [ 12] lvarezG, MontoyaF, RomeraM, etal.Cryptanalysisofanergodicchaoticcipher.PhysLettA, 2003, 311:172 [ 13] LiCG, HanZZ, ZhangHR.Imageencryptiontechnique:a survey.JComputResDev, 2003, 39( 10 ):1317 (李昌刚, 韩正之, 张浩然.图像加密技术综述.计算机研究与发展, 2003, 39( 10 ) :1317 ) [ 14] ZhangMR, HuangX.DigitalimagescramblingbasedonBP neuralnetwork.JWuhanUnivTechnolInfManageEngEd, 2007, 29( 10 ) :5 (张敏瑞, 黄兴.基于 BP神经网络的数字图像置乱技术.武汉理工大学学报:信息与管理工程版, 2007, 29( 10 ):5) [ 15] RhoumaR, BelghithS.Cryptanalysisofanewimageencryption algorithmbasedonhyper-chaos.PhysLettA, 2008, 372:5973 · 681·

点击进入文档下载页（PDF格式）

已到末页，全文结束

点击下载（PDF格式）

浏览记录