CN103258312B - 具有快速密钥流生成机制的数字图像加密方法 - Google Patents

Abstract

本发明一种具有快速密钥流生成机制的数字图像加密方法，属于图像加密领域，本发明实现了一个具有快速密钥流元素生成机制的图像加密***，在扩散阶段，每进行一次混沌***迭代及密钥流元素量化，可生成多个密钥流元素，有效降低了混沌***的迭代次数，从而大幅度的提升了加密***的速度；此外，每次迭代与量化生成的密钥流元素个数是与明文相关的，同时提高了加密***抗已知明文和选择明文攻击的能力；密码学分析与加密速度测试表明，本发明提出的加密***，在具有高安全性的前提下，加密速度与传统方法相比有约1倍的提升。

Description

具有快速密钥流生成机制的数字图像加密方法

技术领域

本发明属于图像加密领域，具体涉及一种具有快速密钥流生成机制的数字图像加密方法。

背景技术

近年来，伴随着多媒体与计算机网络技术的飞速发展，数字图像作为最直观的信息载体已成为人们进行信息交流的重要手段，越来越多的数字图像在以Internet、无线网络等为代表的开放性网络中传播，极大的方便了信息的访问与共享。与此同时，商业、金融、医疗、科研、军事、政治等诸多敏感领域的图像信息在开放网络环境下的传输存在着巨大的安全隐患，经常会遭到各种人为的攻击，包括信息的非法窃取、篡改与发布等，给信息拥有者造成巨大的损失。

与普通文字信息相比，数字图像具有容量大、冗余度高、可理解性好等特点。现代密码学中典型的加密算法，如Triple-DES(三重-数据加密标准)、AES(高级加密标准)、IDEA(国际数据加密算法)等，可以应用于图像加密，但其并未考虑到图像信息的固有特点，因此并不适合于图像加密。尤其近年来随着宽带网络应用的普及，传统算法在加密速度上越来越不能满足日益增长的图像实时安全传输的需求。

近年来混沌理论的发展为密码学提供了一个全新的思路。自上世纪90年代中期以来，很多学者发现混沌学与密码学之间存在着天然的联系。混沌***具有的初值与***参数极端敏感性、遍历性、轨道不可预测性以及良好的伪随机性等一系列特性，使其能够很好的满足构建一个安全性能良好的密码***的需求。基于混沌动力学构造的加密***，提供了安全性与加密效率的一个良好的平衡，其既具有很高的安全性保证，又具有软、硬件实现简单，速度较快的特点，特别适合于对数据量较大的数字图像进行加密，实现数字图像的实时、安全传输。目前，混沌图像加密算法已成为图像信息安全的主流技术和研究热点，具有极大的应用潜力。

1998年，美国学者Fridrich发表了混沌图像加密的奠基性文章“Symmetric ciphers based ontwo-dimensional chaotic maps”，在该文中首次提出了一种通用的混沌数字图像加密架构：置乱—扩散架构(Confusion—Diffusion)，如图1所示。

加密***由两个迭代模块组成，分别实现消除相邻像素间的相关性和改变图像的统计特性。在置乱阶段，图像中每个像素点的位置以一种伪随机方式被打乱，但像素值并不改变。置乱操作通常基于Arnold Cat映射，Baker映射以及Standard映射三种二维保面积可逆混沌映射实现。在扩散阶段，每一点的像素值按从上至下、从左至右的顺序依次被改变并且对某个像素值的改变，依赖于该像素点所有前面已加密的像素值的累积效应。因此一个像素值的微小改变，可有效的扩散到图像中后续的所有像素，从而使加密***具有较强的抗差分攻击能力。用于扩散的密钥流通过混沌映射迭代与量化产生，像素值的改变以异或运算为基础加以实现。加密***的密钥为控制置乱—扩散过程的混沌映射的初始参数与初始值。为了达到充分消除相邻像素间的相关性的目的，置乱过程共迭代m轮(m≥1)。整体置乱—扩散操作可根据安全性需求执行n轮(n≥1)。

在其后十余年间，世界各国学者以此框架为基础，对基于混沌的数字图像加密技术已经进行了广泛深入的研究，取得了诸多成果。目前，如何在保证加密***安全性的前提下，有效的提高加密***的效率，是混沌图像加密技术的一大研究热点。因为虽然在加密速度上，混沌加密算法较之经典分组加密算法具有显著的优势，但对于当前应用越来越多的高解析度大容量图像，混沌加密算法仍会引入较为明显的时延，仍不能很好的满足宽带网络下大容量图像的实时、安全传输需求。混沌图像加密***的安全性主要由扩散模块来保障。在置乱—扩散加密体系中，置乱模块主要起到消除相邻像素相关性和辅助扩散传递作用。尽管置乱后的图像在视觉上是不可识别的，但该模块几乎不具备任何密码学角度的安全特性。然而，扩散模块具有很高的计算负载，是影响混沌图像加密效率的核心问题。这是因为在扩散过程中，每生成一个密钥流元素，就需要完成一次混沌***迭代和密钥流元素量化操作，而为了保证加密***的精度，所有运算均基于64位双精度浮点数实现。

发明内容

针对现有技术的不足，本发明提出一种具有快速密钥流生成机制的数字图像加密方法，以达到提高加密效率、加密***抗已知明文和选择明文攻击能力的目的。

一种具有快速密钥流生成机制的数字图像加密方法，包括以下步骤：

步骤1：基于广义离散Cat映射实现明文图像的置乱处理，改变图像中每一像素点的位置；

步骤1-1：设待加密明文图像的大小为N×N，利用式(1)定义的广义离散Cat映射实现图像的置乱，消除相邻像素间的相关性，公式如下：

$\left[\begin{array}{c}{x}^{\′}\\ y^{\′}\end{array}\right]=\left[\begin{array}{cc}1& p\\ q& \mathrm{pq}+1\end{array}\right]\left[\begin{array}{c}x\\ y\end{array}\right]\mathrm{mod}N---\left(1\right)$

其中，x、y为变换前的坐标；x'、y'为变换后的新坐标；(p,q)∈[1,N]为控制置乱过程的***参数，即由加密者设置的置乱密钥；

用于解密的逆Cat映射的定义为

$\left[\begin{array}{c}{x}^{\′}\\ y^{\′}\end{array}\right]=\left[\begin{array}{cc}\mathrm{pq}+1& -p\\ -q& 1\end{array}\right]\left[\begin{array}{c}x\\ y\end{array}\right]\mathrm{mod}N---\left(2\right)$

步骤1-2：返回执行步骤1-1，以充分消除相邻像素相关性，返回执行步骤为2～3次；

步骤2：采用Logistic映射对置乱后的图像进行扩散处理，改变图像中每一点的像素值；

Logistic映射定义如下：

x_n+1=μx_n(1-x_n),x_n∈[0,1],μ∈[0,4]    (3)

其中，μ和x分别为控制参数和状态变量，x_n表示第n次迭代的状态变量值；x_n+1表示第n+1次迭代的状态变量值；

步骤2-1：加密者设置扩散密钥(x₀,μ)，其中x₀为状态变量初始值；迭代公式(3)N₀次，上述N₀为常量，且N₀≥200，使***充分进入混沌状态；

步骤2-2：继续迭代公式(3)，利用公式(4)对混沌映射状态变量的当前值x_n进行量化，得到一个4字节的伪随机数，公式如下：

其中，floor(x)函数表示返回距离x最近的整数值；mod(x,y)函数表示返回x除以y的余数；

步骤2-3：将拆分为4个大小为1字节的伪随机数，并根据当前待加密的明文像素点的前一个点的明文值pn-1，选择这4个伪随机数中的前M个作为密钥流元素，其中1≤M≤4；

M由公式(5)确定：

M=p_n-1%4+1    (5)

对于第一个明文像素点，p_n-1的初始值p₀可由加密者设为一取值在[0,255]间的整型常量；

步骤2-4：根据步骤2-3得到的M个密钥流元素对M个明文像素点实施加密；

公式如下：

$c_n=k_m\⊕\left\{\right[p_n+k_n\left]\mathrm{mod}L\right\}\⊕c_{n-1}---\left(6\right)$

其中，k_n,p_n,c_n分别为当前操作的密钥流元素、明文像素值和输出的密文像素值；L为图像的灰度级；c_n-1为前一个已加密点的密文像素值，其初始值c₀可设为一个常量；代表按位异或操作；若剩余待加密像素点不足M个，则只加密剩余的像素点即可；

用于解密的反变换为

$p_n=[k_n\⊕c_n\⊕c_{n-1}+L-k_n]\mathrm{mod}L---\left(7\right)$

步骤2-5：返回执行步骤2-2，直到置乱图像中的所有像素点按照从左至右、从上至下的顺序被加密完毕；

步骤3：可根据加密强度要求，进行多轮加密，即反复执行步骤1与步骤2。

步骤3所述加密强度是指加密图像的抗统计攻击能力、抗已知明文/选择明文攻击能力以及抗差分攻击能力。

本发明优点：

本发明一种具有快速密钥流生成机制的数字图像加密方法，对于传统算法，每生成一个密钥流元素，就需要完成一次混沌***迭代和密钥流元素量化操作，而为了保证加密***的精度，所有运算均基于64位双精度浮点数实现，因此扩散过程中的密钥流生成具有很高的计算负载，是影响混沌图像加密效率的核心问题；本发明实现了一个具有快速密钥流元素生成机制的图像加密***，在扩散阶段，每进行一次混沌***迭代及密钥流元素量化，可生成多个密钥流元素，有效降低了混沌***的迭代次数，从而大幅度的提升了加密***的速度；此外，每次迭代与量化生成的密钥流元素个数是与明文相关的，同时提高了加密***抗已知明文和选择明文攻击的能力；密码学分析与加密速度测试表明，本发明提出的加密***，在具有高安全性的前提下，加密速度与传统方法相比有约1倍的提升。

附图说明

图1为现有混沌图像加密方法的通用体系结构；

图2为本发明一种实施例应用广义离散Cat映射置乱图像，其中，图(a)为256×256像素256级灰度明文图像，图(b)为经1轮Cat变换后的结果，图(c)为经2轮Cat变换后的结果，(d)为经3轮Cat变换后的结果；

图3为本发明一种实施例的具有快速密钥流生成机制的数字图像加密方法流程图；

图4为本发明一种实施例的Logistic混沌***示意图；

图5为本发明一种实施例的加密后图像示意图；

图6为本发明一种实施例的明文图像与密文图像的直方图，其中图(a)为明文图像，图(b)为明文图像直方图，图(c)为密文图像，图(d)为密文图像直方图；

图7为本发明一种实施例的水平相邻像素相关性示意图，其中，图(a)为明文图像，图(b)为密文图像；

图8为本发明一种实施例的垂直相邻像素相关性示意图，其中，图(a)为明文图像，图(b)为密文图像；

图9为本发明一种实施例的对角线相邻像素相关性示意图，其中，图(a)为明文图像，图(b)为密文图像；

图10为本发明一种实施例的加密过程密钥敏感性分析示意图，其中，图(a)为明文图像，图(b)为原始密钥加密得到的图像，(c)为修改后的密钥加密得到的图像，图(d)为图(b)与图(c)两幅密文图像的差值；

图11为本发明一种实施例的解密过程密钥敏感性分析示意图，其中，图(a)为明文图像，图(b)为密文图像，图(c)为正确解密图像，图(d)为错误解密图像；

图12为本发明一种实施例的抗差分攻击测试示意图，其中，图(a)为明文图像1，图(b)为明文图像2，图(c)为密文图像1，图(d)为密文图像2，图(e)为图(c)与图(d)两幅密文图像的差值。

具体实施方式

下面结合附图对本发明实施例做进一步说明。

本发明实施例中，如图2中图（a）所示，对一个大小为256×256的256级灰度图像进行加密。

一种具有快速密钥流生成机制的数字图像加密方法，流程图如图3所示，包括以下步骤：

步骤1：基于广义离散Cat映射实现明文图像的置乱处理，改变图像中每一像素点的位置；

步骤1-1：对明文图像实施Cat变换，利用式(1)定义的广义离散Cat映射实现图像的置乱，消除相邻像素间的相关性，公式如下：

$\left[\begin{array}{c}{x}^{\′}\\ y^{\′}\end{array}\right]=\left[\begin{array}{cc}1& p\\ q& \mathrm{pq}+1\end{array}\right]\left[\begin{array}{c}x\\ y\end{array}\right]\mathrm{mod}N---\left(1\right)$

其中，置乱密钥设为p=20,q=5，如图2中图（b）所示为应用Cat映射置乱1轮后的结果。

用于解密的逆Cat映射的定义为

$\left[\begin{array}{c}{x}^{\′}\\ y^{\′}\end{array}\right]=\left[\begin{array}{cc}\mathrm{pq}+1& -p\\ -q& 1\end{array}\right]\left[\begin{array}{c}x\\ y\end{array}\right]\mathrm{mod}N---\left(2\right)$

步骤1-2：为充分消除相邻像素间的相关性，返回执行步骤1-1，返回执行2次，即对明文图像实施3轮置乱操作。图2中图(c)、图(d)分别为应用Cat变换置乱2轮和3轮后的结果。

从图2中可以看到，经过2轮变换后，相邻像素间的相关性几乎被完全消除，图像在视觉上不可识别。

由于置乱过程只改变了像素的位置，而并未改变像素的值，置乱后图像具有与明文图像相同的直方图分布。因此，单纯置乱图像不能很好的抵御统计攻击和已知/选择明文攻击。以下步骤2通过扩散过程来改变图像的统计特性。

步骤2：基于Logistic映射对置乱后的图像进行扩散处理，改变图像中每一点的像素值。Logistic映射定义如下：

x_n+1=μx_n(1-x_n),x_n∈[0,1],μ∈[0,4]    (3)

其中，当μ∈[3.57,4]时，***处于混沌状态，如图4所示。

步骤2-1：设置扩散密钥为(x0=0.65850386701505,μ=4.0)，迭代Logistic映射（即公式（3））200次,使***充分进入混沌状态。

对于状态变量x_n，0.5为‘不良点’，会使状态变量在后续迭代中陷入‘不动点’0。若迭代过程中得到的状态变量值x_n为0.5，则对其加一大小为0.001的扰动。

步骤2-2：继续迭代Logistic映射（即公式（3）），得到状态变量的当前值为x_n=0.78711995553875，对该值进行量化，得到一个4字节（32比特）的伪随机数：

    （4）

步骤2-3：将拆分为4个大小为1字节（8比特）的伪随机数，并根据当前待加密的明文像素点的前一个点的明文值p_n-1，选择这4个伪随机数中的前M个作为密钥流元素，其中1≤M≤4；

M由公式(5)确定：

M=p_n-1%4+1    (5)

例如，若M=3，则选择前3个伪随机数作为密钥流元素，即通过一次混沌***迭代和量化得到了3个密钥流元素。对于第一个明文像素点，p_n-1的初始值p₀可由加密者设为一取值在[0,255]间的整型常量。

本发明实施例中将拆分为4个大小为1字节（8比特）的伪随机数。第一个数为(10010000)₂=(144)₁₀，第二个数为(10001000)₂=(136)₁₀，第三个数为(11011000)₂=(216)₁₀，第四个数为(01010011)₂=(83)₁₀。设p_n-1的初始值p₀为33，根据M=p_n-1%4+1=2，选择前两个伪随机数作为密钥流元素。即：本次迭代产生了两个密钥流元素144和136。

步骤2-4：根据步骤2-3得到的M个密钥流元素对M个明文像素点实施加密；

本发明实施例中，设c₀为128，图像灰度级L=256，将步骤2-3得到的第一个密钥流元素144作为当前密钥流元素k_n。取当前待加密明文像素点，其值为p_n=160，对该像素点实施加密，得到密文像素值为

$c_n=k_n\⊕\left\{\right[p_n+k_n\left]\mathrm{mod}L\right\}\⊕c_{n-1}=144\⊕\left\{\right[160+144\left]\mathrm{mod}256\right\}\⊕128=32---\left(6\right)$

再取第二个密钥流元素136和下一个明文像素点158作为当前密钥流元素和当前待加密明文像素点，加密得到密文像素值为

$c_n=k_n\⊕\left\{\right[p_n+k_n\left]\mathrm{mod}L\right\}\⊕c_{n-1}=136\⊕\left\{\right[158+136\left]\mathrm{mod}256\right\}\⊕32=142---\left(8\right)$

用于解密的反变换为

$p_n=[k_n\⊕c_n\⊕c_{n-1}+L-k_n]\mathrm{mod}L---\left(7\right)$

步骤2-5：返回执行步骤2-2，直到置乱图像中的所有像素点按照从左至右、从上至下的顺序被加密完毕；

步骤3：可根据加密强度要求，进行多轮加密，即反复执行步骤1与步骤2。

步骤3所述加密强度是指加密图像的抗统计攻击能力、抗已知明文/选择明文攻击能力以及抗差分攻击能力。

使用以上扩散算法得到的加密图像如图5所示。

加密速度与安全性测试分析

对本发明实现的图像加密***进行加密速度与安全性测试分析，以验证其高效性与安全性。安全性测试包括密钥敏感性、抗穷举攻击(密钥空间)、抗统计攻击(包括直方图，相邻像素相关性、信息熵)以及抗差分攻击等六个方面。测试与分析结果表明，本发明提出的加密***，在具有高安全性的前提下，加密速度与传统方法相比有约1倍的提升。

(1)加密速度

本方法与传统混沌加密方法对不同大小图像的加密速度测试结果如表1所示。用于测试的平台为Intel迅驰T72002.0GHz与1G内存。其中，加密时间指的是一个完整的加密流程，除了核心的置乱—扩散时间外，还包括磁盘I/O、密钥流序列生成及预处理等时间。从表1中可以看到，基于本方法的加密***，其速度约为传统混沌加密算法的二倍，其加密时间远小于网络传输时延。因此，本方法非常适合用于基于宽带网络的实时安全图像传输。

表1本方法与传统混沌加密方法速度比较

(2)抗穷举攻击(密钥空间)

密钥空间是指在加密或解密过程中可用的不同密钥的总量。对于一个安全的加密***，密钥空间应该足够大以使穷举攻击失效。基于本方法构建的加密***的密钥由两部分构成：置乱密钥Key-P与扩散密钥Key-D。

Key-P由Cat映射的控制参数(p,q)和迭代轮数m构成，p,q,m均为正整数且(p,q)的取值范围为[1,L_s]，其中L_s为正方形图像的宽度或高度。因此，置乱密钥的总数为(N²)^m。扩散密钥Key-D包含两个浮点数(x₀,μ),其中x₀∈[0,1]，μ∈[3.57,4]。根据IEEE浮点数标准，64比特双精度浮点数的计算精度为10^-15。因此，扩散密钥的总数为10¹⁵×4.3×10¹⁴≈2⁹⁸。置乱密钥与扩散密钥相互独立。若N≥256,置乱轮数m=3，则总密钥空间Key-S满足

Key-S=key-P×key-D≥(2⁸×2⁸)³×2⁹⁸=2¹⁴⁶    (9)

表2为本方法与三种经典对称加密算法密钥空间的比较。从表中可以看出，本方法的密钥空间大于各类经典加密算法，可有效抵御穷举攻击。

表2本方法与三种经典对称加密算法密钥空间比较

(3)抗统计攻击

(a)直方图

直方图直观的描述了一幅图像中像素的分布情况。密文信息的分布应具有较高的随机性，隐藏明文的冗余性并且不能让攻击者从中得到任何有关明文与密文关系的信息。图6中图(a),图(b)为明文图像及其直方图，图(c),图(d)为密文图像及其直方图。通过对比图6中图(b)与图(d)可以看出，与明文图像相比，密文图像的直方图呈均匀分布，说明密文图像的像素值分布具有良好的随机性。

(b)相邻像素相关性

对于一个具有明确视觉内容的数字图像，其每一个像素点在水平、垂直以及对角线方向与其相邻像素点都是高度相关的。而对于一个设计良好的图像加密***而言，其输出的密文图像应该具有足够低的相邻像素相关性。图7～图9为明文图像与密文图像的相邻像素相关性可视化测试，该测试将两相邻像素的像素值分别绘制于x轴和y轴。从图7中可以看出，对于明文图像，其相邻像素的值集中在一对角线上，说明相邻像素间有极强的相关性。而对于密文图像，其相邻像素值均匀分布于整个灰度平面上，说明其相邻像素间已不具有任何相关性。对于垂直方向与对角线方向的可视化测试，可得到相似的结果。

为了定量比较明文与密文图像的相邻像素相关性，首先从明文和密文图像在每个相邻方向上随机选取2500对相邻点。然后，使用公式(10)～(12)计算相关系数r_x,y。

$r_{\mathrm{xy}}=\frac{\frac{1}{N}\underset{i=1}{\overset{N}{\mathrm{\Σ}}}(x_i-\stackrel{\‾}{x})(y_i-\stackrel{\‾}{y})}{\sqrt{\left(\frac{1}{N}\underset{i=1}{\overset{N}{\mathrm{\Σ}}}{(x_i-\stackrel{\‾}{x})}^2\right)\left(\frac{1}{N}\underset{i=1}{\overset{N}{\mathrm{\Σ}}}{(y_i-\stackrel{\‾}{y})}^2\right)}}---\left(10\right)$

$\stackrel{\‾}{x}=\frac{1}{N}\underset{i=1}{\overset{N}{\mathrm{\Σ}}}{x}_i---\left(11\right)$

$\stackrel{\‾}{y}=\frac{1}{N}\underset{i=1}{\overset{N}{\mathrm{\Σ}}}{y}_i---\left(12\right)$

其中，x和y分别是图像中两个相邻点的灰度值，N为采样点的个数。

明文图像和相应的密文图像在水平、垂直以及对角线方向的相关性如表3所示。从图7～图9和表3可得出，通过使用本加密方法，明文图像中相邻像素间的强相关性在密文图像中得到了有效的消除。

表3明文图像与密文图像的相邻像素相关性比较

(c)信息熵

信息熵是表征一个信息源随机性与不可预测性的重要指标。对于一个信息源s，其熵为：

$H\left(s\right)=-\underset{i=0}{\overset{2^N-1}{\mathrm{\Σ}}}P\left(s_i\right){\log }_{2}P\left(s_i\right)---\left(13\right)$

其中，N为表示一个码元s_i∈s所需的比特数，P(s_i)代表码元s_i出现的概率。对于一个由2^N个不同码元组成的纯随机信息源，其熵为H(s)=N。因此，对于一个具有2⁸=256级灰度的密文图像，其信息熵的理论值为H(m)=8。如果输出的密文的熵小于8，则密文存在一定程度的可预测性，将会威胁到***的安全。

基于公式(13)计算得出，明文图像与密文图像的信息熵分别为H(s)=7.3507和H(s)=7.9980。密文图像的信息熵非常接近理想值8，说明密文图像的像素值分布具有极高的随机性。

通过以上三个方面的分析可知，本方法构建的加密***具有良好的抗统计攻击能力。

(4)密钥敏感性

密钥敏感性意味着两个差异极小的密钥，在加密相同的明文时，将产生完全不同的密文。这个性质对于加密***是极其重要的，否则攻击者可以尝试通过相近的密钥去恢复部分明文信息。

(a)加密过程密钥敏感性

为测试加密过程对密钥的敏感性，首先使用扩散密钥(x₀=0.63235924622541,μ=4.0)对明文图像进行加密，然后将其值修改为(x₀=0.63235924622542，μ=4.0)，即只将扩散密钥的第一个分量增加0.00000000000001，置乱密钥保持不变，观察由原始密钥和修改后密钥加密的图像以及它们之间的差值，如图10所示。图10中图（a）为明文图像，图（b）为采用原始密钥加密得到的密文，图（c）为采用修改后的密钥加密得到的密文，图（d）为两个密文图像的差值。通过计算得出图(b)和图(c)的差异度为99.61%。对密钥的其它部分加以微小的改变，可以得到类似的结果。

(b)解密过程密钥敏感性

在本项测试中，首先选定一加密秘钥，然后分别使用与加密秘钥相同的正确密钥和与加密密钥极为相近的错误密钥进行解密，观察解密效果。设正确的扩散密钥为(x₀=27849821886704,μ=4.0)，错误的扩散密钥为(x₀=27849821886704,μ=3.99999999999999)，即错误密钥只在第二个分量上比正确密钥减少0.00000000000001，解密效果如图11所示。图11中图(a)为明文图像，图(b)为加密后的密文图像，图(c)为正确密钥解密后的图像，图(d)为错误密钥解密后的图像。经计算，错误解密图像与明文图像的差异度为99.60%。对密钥的其它部分加以微小的改变，同样可以得到类似的结果。

由以上两个方面的分析可知，基于本方法构建的加密***具有极高的密钥敏感性，即使使用一个与加密密钥具有极其微小差异的解密密钥，也不能解密得到任何与明文相关的信息。

(5)抗差分攻击

差分攻击是指攻击者利用图像的微小改变，例如，改变明文图像的一个像素点的像素值，来观察加密结果的差别，并据此来破译加密算法。如果明文图像的一个微小改变能有效地扩散到整幅密文图像中，则差分攻击将是不可行的。加密***的抗差分攻击能力通常基于NPCR(number of pixels change rate)和UACI(unified average change intensity)两个指标来进行衡量。NPCR用于测试两幅图像间的差异度，设P₁(i,j)和P₂(i,j)分别表示P₁与P₂两幅图像位于(i,j)点的像素值，NPCR的定义为：

$\mathrm{NPCR}=\frac{\underset{i=1}{\overset{W}{\mathrm{\Σ}}}\underset{j=1}{\overset{H}{\mathrm{\Σ}}}D(i,j)}{W\×H}\×100\%,---\left(14\right)$

其中，W和H分别为图像的宽度和高度，D(i,j)的定义为

$D(i,j)=\left\{\begin{array}{ccc}0& \mathrm{if}& P_1(i,j)=P_2(i,j),\\ 1& \mathrm{if}& P_1(i,j)\≠P_2(i,j).\end{array}\right.---\left(15\right)$

对于两幅纯随机图像，其NPCR理论值为

${\mathrm{NPCR}}_{\mathrm{expected}}=(1-\frac{1}{2^{{\log }_{2}L}})\×100\%,---\left(16\right)$

其中，L为图像的灰度级别。例如，对于2幅256级灰度纯随机图像，其NPCR理论值为99.61%。

UACI用于测试两图像间的灰度差异强度，其定义为

$\mathrm{UACI}=\frac{1}{W\×H}\left[\underset{i=1}{\overset{W}{\mathrm{\Σ}}}\underset{j=1}{\overset{H}{\mathrm{\Σ}}}\frac{|P_1(i,j)-P_2(i,j)|}{L-1}\right]\×100\%.---\left(17\right)$

对于两幅纯随机图像，其UACI理论值为

${\mathrm{UACI}}_{\mathrm{expected}}=\frac{1}{L^2}\left(\frac{\underset{i=1}{\overset{L-1}{\mathrm{\Σ}}}i(i+1)}{L-1}\right)\×100\%.---\left(18\right)$

例如，对于2幅256级灰度纯随机图像，其NPCR理论值为33.46%。

对于一个设计良好的图像加密***，其NPCR与UACI应尽可能接近于理论值。基于以上讨论，这里假设一种最极端情况来对***进行测试，即两幅明文图像只在右下角有一个像素点的差异。图12中图(a)所示明文图像其右下角像素点的灰度值为106，图(b)所示明文图像其右下角像素点的灰度值为107。采用相同的密钥对两幅明文图像实施加密，得到的密文图像以及两幅密文图像间的差值分别如图12中图(c)、图(d)、图(e)所示。通过计算得到两幅密文图像间的NPCR值为99.60%，UACI值为33.45%。

基于以上测试结论可知，本方法可以有效抵御差分攻击。

Claims (2)

1.一种具有快速密钥流生成机制的数字图像加密方法，其特征在于：包括以下步骤：

步骤1：基于广义离散Cat映射实现明文图像的置乱处理，改变图像中每一像素点的位置；

步骤1-1：设待加密明文图像的大小为N×N，利用式(1)定义的广义离散Cat映射实现图像的置乱，消除相邻像素间的相关性，公式如下：

$\left[\begin{array}{c}{x}^{\′}\\ y^{\′}\end{array}\right]=\left[\begin{array}{cc}1& p\\ q& pq+1\end{array}\right]\left[\begin{array}{c}x\\ y\end{array}\right]\mathrm{mod}N---\left(1\right)$

其中，x、y为变换前的坐标：x'、y'为变换后的新坐标；(p,q)∈[1,N]为控制置乱过程的***参数，即由加密者设置的置乱密钥；

用于解密的逆Cat映射的定义为

$\left[\begin{array}{c}{x}^{\′}\\ y^{\′}\end{array}\right]=\left[\begin{array}{cc}pq+1& -p\\ -q& 1\end{array}\right]\left[\begin{array}{c}x\\ y\end{array}\right]\mathrm{mod}N---\left(2\right)$

步骤1-2：返回执行步骤1-1，以充分消除相邻像素相关性，返回执行步骤为2～3次；

步骤2：采用Logistic映射对置乱后的图像进行扩散处理，改变图像中每一点的像素值；

Logistic映射定义如下：

x_n+1＝μx_n(1-x_n),x_n∈[0,1],μ∈[0,4]   (3)

其中，μ和x分别为控制参数和状态变量，x_n表示第n次迭代的状态变量值；x_n+1表示第n+1次迭代的状态变量值；

步骤2-1：加密者设置扩散密钥(x₀,μ)，其中x₀为状态变量初始值；迭代公式(3)N₀次，上述N₀为常量，且N₀≥200，使***充分进入混沌状态；

步骤2-2：继续迭代公式(3)，利用公式(4)对混沌映射状态变量的当前值x_n进行量化，得到一个4字节的伪随机数，公式如下：

其中，表示一个4字节的伪随机数，floor(x)函数表示返回距离x最近的整数值；mod(x,y)函数表示返回x除以y的余数；

步骤2-3：将拆分为4个大小为1字节的伪随机数，并根据当前待加密的明文像素点的前一个点的明文值p_n-1，选择这4个伪随机数中的前M个作为密钥流元素，其中1≤M≤4；

M由公式(5)确定：

M＝p_n-1％4+1   (5)

对于第一个明文像素点，p_n-1的初始值p₀可由加密者设为一取值在[0,255]间的整型常量；

步骤2-4：根据步骤2-3得到的M个密钥流元素对M个明文像素点实施加密；

公式如下；

c_n＝k_n⊕{[p_n+k_n]mod L}⊕c_n-1   (6)

其中，k_n,p_n,c_n分别为当前操作的密钥流元素、明文像素值和输出的密文像素值；L为图像的灰度级；c_n-1为前一个已加密点的密文像素值，其初始值c₀可设为一个常量；⊕代表按位异或操作；若剩余待加密像素点不足M个，则只加密剩余的像素点即可；

用于解密的反变换为

p_n＝[k_n⊕c_n⊕c_n-1+L-k_n]mod L   (7)

步骤2-5：返回执行步骤2-2，直到置乱图像中的所有像素点按照从左至右、从上至下的顺序被加密完毕；

步骤3：可根据加密强度要求，进行多轮加密，即反复执行步骤1与步骤2。

2.根据权利要求1所述的一种具有快速密钥流生成机制的数字图像加密方法，其特征在于：步骤3所述加密强度是指加密图像的抗统计攻击能力、抗已知明文/选择明文攻击能力以及抗差分攻击能力。