。678 北京科技大学学报 第32卷 比较x与x的大小 N 元∈1，=0.5，) xe1,=(←-1.0.5) 初始化1· (反向迭代 比较与的大小 交集) rh 交集上 比较x,与的大小 e-l 比较x与无的大小 (反向迭代 H 比较x与x,的大小 比较x,与x的大小 比较x与x的大小 反向迭代 …一交集 交集… 44 (反向迭代 " 比较x与无的大小 交集) 比较x,与x的大小 比较x,与x,的大小 结束 图2密钥恢复算法的流程图 Fig 2 F b chan of the key recovery a poritm 钥，控制图像行置乱算法.在密钥恢复算法的攻击 (文献[3]的行列置乱算法进行一次图像加密的时 下，输出结果各收敛到相应的点集（候选密钥集）. 间)约为0.8910，s则穷尽密钥搜索所用时间约为 这1000个候选密钥集中，平均每个集合由387个点 2×0.8910=228096§因此，在上述型号的计算 组成.也就是说，当实现精度为16b时，本文提出 机上进行密钥攻击（从重构置换地址码到确定16bit 的密钥恢复算法从总体上可以将密钥熵从17b降 的准确密钥)，平均花费时间为48十228.096= 低到9bit(号387≈9，密钥熵降低了8bit在1 276.096§而行列复合置乱算法进行一次图像加密 台主频为2GH的Core2T7200计算机上运行密钥 的时间约为1.594，s在上述型号的计算机上进行密 恢复算法，输出候选密钥集，平均花费时间仅为 钥攻击，平均花费时间为48十2×1.594= 48s 456.064s 要确定行置乱算法所使用的准确密钥，平均仅 下面以密钥￥1)=0.579为例（该密钥不为攻 需要在密钥恢复算法输出的密钥熵为9的候选密钥 击者所知)，用数据说明密钥恢复过程.通过4.1 集中穷尽密钥搜索即可.在候选密钥集中穷尽密钥 节的选择明文攻击或选择密文攻击，可以重构图像 搜索的平均复杂度为O(2,而且求出16bi密钥 第一行的置换地址码.表1列出了前80个混沌值 的正确率为100%.由于每次密钥搜索的单位时间 的置换地址码.北 京 科 技 大 学 学 报 第 32卷 图 2 密钥恢复算法的流程图 Fig.2 Flowchartofthekeyrecoveryalgorithm 钥, 控制图像行置乱算法.在密钥恢复算法的攻击 下, 输出结果各收敛到相应的点集 (候选密钥集 ) . 这 1 000个候选密钥集中, 平均每个集合由 387个点 组成 .也就是说, 当实现精度为 16 bit时, 本文提出 的密钥恢复算法从总体上可以将密钥熵从 17 bit降 低到9 bit( log2 387≈9), 密钥熵降低了 8 bit.在 1 台主频为2 GHz的 Core2 T7200 计算机上运行密钥 恢复算法, 输出候选密钥集, 平均花费时间仅为 48 s. 要确定行置乱算法所使用的准确密钥, 平均仅 需要在密钥恢复算法输出的密钥熵为 9的候选密钥 集中穷尽密钥搜索即可.在候选密钥集中穷尽密钥 搜索的平均复杂度为 O( 2 8 ), 而且求出 16 bit密钥 的正确率为 100%.由于每次密钥搜索的单位时间 (文献[ 3] 的行 /列置乱算法进行一次图像加密的时 间 )约为 0.891 0 s, 则穷尽密钥搜索所用时间约为 2 8 ×0.891 0 =228.096 s.因此, 在上述型号的计算 机上进行密钥攻击 (从重构置换地址码到确定 16bit 的准确密钥 ), 平均花费时间为 48 +228.096 = 276.096 s.而行列复合置乱算法进行一次图像加密 的时间约为 1.594 s, 在上述型号的计算机上进行密 钥攻 击, 平 均 花 费 时 间 为 48 +2 8 ×1.594 = 456.064 s. 下面以密钥 x( 1) =0.579为例 (该密钥不为攻 击者所知 ), 用数据说明密钥恢复过程.通过 4.1 节的选择明文攻击或选择密文攻击, 可以重构图像 第一行的置换地址码 .表 1列出了前 80个混沌值 的置换地址码 . · 678·