。680 北京科技大学学报 第32卷 0.579000000372737605790000003727377}. 集（密钥熵约为9b9,从中能够快速确定 即，对密钥为Y1)=0.579的图像置乱算法进行密 0.5790000000000000就是密码算法所使用的准确 钥恢复算法攻击，得到由531个点组成的候选密钥 密钥. 表4区间集表列 Tabe4 The list of nterval sets 1 80 (051) 79 (-0309016994374947-017364817766693U(02252093395631405) 78 (-08090169943749473-0766044443118978U(-0623489801858733-0.5) 77 (0866025403784438609009688679024189U(0.939692620785908309510565162951535) 76 (-017364817766693-01564344650402309U(015643446504023090.17364817766693) 尔 (064278760968653930.6494480483301837儿U(076040596560003090766044431189779) 74 (034202014332566880346117057074gU(0418659737537428104226182617406995) 73 (-05735764363510461,-0.5717879602276123U(-05391383229110002-05372996083468238) 72 (08762675570750770.8772509113449242儿U(0886506615944746308870108331782217) (-0.2482672393737163-02477388631755985U(-02382156418617947-02376858923261731U (023768589232617310.2382156418617947U(0247738863175598502482672393737163) (-0790021277996269-0789854057144609U(-07868340491684999-0786665714368617U 70 (-06173791815707049-0.6171646288220856儿U(-06132948462299g59-06130794241475911) 5可能的改进措施 乱技术的混沌图像密码算法，总体来说可以等效为 对图像矩阵进行有限步的初等矩阵变换，从而打乱 增强对这类基于排序的混沌图像置乱算法的唯 图像像素的位置.但是，初等矩阵变换是线性变换 密文攻击的复杂度很容易，一些简单的修改就可以 其保密性不够高.选择明文攻击或选择密文攻 增大密钥空间，如增加计算机的计算精度，增加混 击，成功获得了置换地址码；而置换地址码隐含的 沌系统的控制参数作为密钥的一部分.然而，高精 信息，正是本文提出的密钥恢复算法得以实现的基 度计算机的实现代价太大，增加控制参数作为密钥 础。所以线性变换是该类混沌图像置乱算法不能 是比较实际的选择. 抵抗选择明文密文攻击的原因.不管使用多么复 为了增强选择明文攻击和选择密文攻击的复杂 杂的混沌映射，只要按照线性变换的规则进行置 度，下面讨论一些可能的改进措施及其优缺点 乱。都能实施本文的选择明文密文攻击方案.因 (1)使用行列交叉的复合置乱模式.一个较为 此，这也不是一个根本的改进措施 简单的想法是把行列复合置乱算法改进成为行列交 (3)使用非线性变换进行置乱变换.本文的选 叉的复合模式但它仅适用于行与列像素数目相等 择明文密文攻击基于置乱变换的线性性质，若能 的图像，即M=的情况.详细加解密算法请见文 把初等矩阵变换转化为某种非线性变换，也许是一 献[11]的描述.选择明文密文攻击，可以通过选 个根本的解决方案.一个可用的替代办法是文献 取只有一个非零像素的？幅明文密文图像，获得 [14中提出的基于BP神经网络的图像置乱算法 所有像素在置乱前后对应的位置.显然，由同一密 该算法输出的密文图像与输入的明文图像的尺寸可 钥加密尺寸相同的任何明文图像同一位置的像素 以不一样.为了满足恢复图像的要求，必须对神经 均置乱到相应的密文图像的相同位置.从密码学意 网络进行较长时间的训练这将影响密码系统的加 义上讲，得到由特定密钥产生的密钥流就相当于得 密速度.另外，它是否能够抵抗其他的一些密码攻 到了密钥，因为攻击者拥有了与合法用户一样多的 击，还需要进行细致的研究. 信息四.因此，使用行列交叉的复合置乱模式不是 （4)使用“一次一密”模式.如果每次加密使用 一个根本的改进措施 不同的密钥，文献[3]的图像置乱算法将对本文所 (2)使用更复杂的混沌映射.这类仅仅基于置 提出的选择明文密文攻击方案免疫.“一次一密”北 京 科 技 大 学 学 报 第 32卷 0.579 000 000 372 737 6, 0.579 000 000 372 737 7}. 即, 对密钥为 x( 1) =0.579的图像置乱算法进行密 钥恢复算法攻击, 得到由 531个点组成的候选密钥 集 (密 钥 熵 约 为 9 bit), 从 中 能 够 快 速 确 定 0.579 000000 000 000 0就是密码算法所使用的准确 密钥 . 表 4 区间集 I＊ i 表列 Table4 ThelistofintervalsetsI＊ i i I＊ i 80 ( 0.5, 1) 79 ( -0.309 016 994 374 947, -0.173 648 177 666 93) ∪ ( 0.222 520 933 956 314, 0.5 ) 78 ( -0.809 016 994 374 947 3, -0.766 044 443 118 978 )∪ ( -0.623 489 801 858 733, -0.5) 77 ( 0.866 025 403 784 4386, 0.900 968 867 902 418 9 ) ∪ ( 0.939 692 620 785 908 3, 0.951 056 516 295 153 5) 76 ( -0.173 648 177 666 93, -0.156 434 465 040 230 9) ∪ ( 0.156 434 465 040 230 9, 0.173 648 177 666 93 ) 75 ( 0.642 787 609 686 539 3, 0.649 448 048 330 183 7) ∪ ( 0.760 405 965 600 030 9, 0.766 044 443 118 977 9 ) 74 ( 0.342 020 143 325 668 8, 0.346 117 057 077 493 ) ∪ ( 0.418 659 737 537 428 1, 0.422 618 261 740 699 5) 73 ( -0.573 576 436 351 046 1, -0.571 787 960 227 612 3) ∪ ( -0.539 138 322 911 000 2, -0.537 299 608 346 823 8 ) 72 ( 0.876 726 755 707 507 7, 0.877 250 911 344 924 2) ∪ ( 0.886 506 615 944 746 3, 0.887 010 833 178 221 7 ) 71 ( -0.248 267 239 373 716 3, -0.247 738 863 175 598 5) ∪ ( -0.238 215 641 861 794 7, -0.237 685 892 326 173 1 )∪ ( 0.237 685 892 326 173 1, 0.238 215 641 861 794 7) ∪ ( 0.247 738 863 175 598 5, 0.248 267 239 373 716 3 ) 70 ( -0.790 021 277 996 269, -0.789 854 057 144 609 ) ∪ ( -0.786 834 049 168 499 9, -0.786 665 714 368 617) ∪ ( -0.617 379 181 570 704 9, -0.617 164 628 822 085 6) ∪ ( -0.613 294 846 229 935 9, -0.613 079 424 147 591 1 ) … … 5 可能的改进措施 增强对这类基于排序的混沌图像置乱算法的唯 密文攻击的复杂度很容易, 一些简单的修改就可以 增大密钥空间, 如增加计算机的计算精度, 增加混 沌系统的控制参数作为密钥的一部分.然而, 高精 度计算机的实现代价太大, 增加控制参数作为密钥 是比较实际的选择. 为了增强选择明文攻击和选择密文攻击的复杂 度, 下面讨论一些可能的改进措施及其优缺点. ( 1) 使用行列交叉的复合置乱模式.一个较为 简单的想法是把行列复合置乱算法改进成为行列交 叉的复合模式, 但它仅适用于行与列像素数目相等 的图像, 即 M=N的情况.详细加解密算法请见文 献 [ 11] 的描述 .选择明文 /密文攻击, 可以通过选 取只有一个非零像素的 N 2 幅明文 /密文图像, 获得 所有像素在置乱前后对应的位置 .显然, 由同一密 钥加密尺寸相同的任何明文图像, 同一位置的像素 均置乱到相应的密文图像的相同位置 .从密码学意 义上讲, 得到由特定密钥产生的密钥流就相当于得 到了密钥, 因为攻击者拥有了与合法用户一样多的 信息 [ 12] .因此, 使用行列交叉的复合置乱模式不是 一个根本的改进措施 . ( 2) 使用更复杂的混沌映射.这类仅仅基于置 乱技术的混沌图像密码算法, 总体来说可以等效为 对图像矩阵进行有限步的初等矩阵变换, 从而打乱 图像像素的位置.但是, 初等矩阵变换是线性变换, 其保密性不够高 [ 13] .选择明文攻击或选择密文攻 击, 成功获得了置换地址码 ;而置换地址码隐含的 信息, 正是本文提出的密钥恢复算法得以实现的基 础.所以, 线性变换是该类混沌图像置乱算法不能 抵抗选择明文 /密文攻击的原因.不管使用多么复 杂的混沌映射, 只要按照线性变换的规则进行置 乱, 都能实施本文的选择明文 /密文攻击方案.因 此, 这也不是一个根本的改进措施. ( 3) 使用非线性变换进行置乱变换 .本文的选 择明文 /密文攻击基于置乱变换的线性性质, 若能 把初等矩阵变换转化为某种非线性变换, 也许是一 个根本的解决方案.一个可用的替代办法是文献 [ 14] 中提出的基于 BP神经网络的图像置乱算法, 该算法输出的密文图像与输入的明文图像的尺寸可 以不一样 .为了满足恢复图像的要求, 必须对神经 网络进行较长时间的训练, 这将影响密码系统的加 密速度.另外, 它是否能够抵抗其他的一些密码攻 击, 还需要进行细致的研究 . ( 4) 使用 “一次一密 ”模式.如果每次加密使用 不同的密钥, 文献 [ 3]的图像置乱算法将对本文所 提出的选择明文 /密文攻击方案免疫.“一次一密 ” · 680·