基于非0比特個(gè)數(shù)特征的冗余轉(zhuǎn)移圖像加密安全性分析

羅雅婷 和紅杰 陳 帆 屈凌峰

1(西南交通大學(xué)信息科學(xué)與技術(shù)學(xué)院 成都 611756) 2(西南交通大學(xué)計(jì)算機(jī)與人工智能學(xué)院 成都 611756)

傳統(tǒng)信息隱藏技術(shù)[1]在數(shù)據(jù)嵌入過程中會(huì)對(duì)載體信息造成不可逆轉(zhuǎn)的失真，很難滿足法庭舉證、軍事機(jī)密等應(yīng)用場(chǎng)合.可逆信息隱藏(reversible data hiding, RDH)[2-4]技術(shù)在隱藏秘密信息的同時(shí)，可以無損恢復(fù)載體信息，很好滿足了上述應(yīng)用需求.隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，圖像、視頻等數(shù)字媒體經(jīng)常上傳云端保存或應(yīng)用，其攜帶的秘密、隱私等信息存在泄露的安全風(fēng)險(xiǎn)，推動(dòng)了加密域可逆信息隱藏(reversible data hiding in encrypted image, RDH-EI)技術(shù)的發(fā)展[5-7].RDH-EI技術(shù)首先對(duì)原始圖像加密，再將重要的秘密信息嵌入加密圖像中，接收者根據(jù)密鑰提取秘密信息，基于密鑰無失真恢復(fù)原始圖像.RDH-EI保證了圖像恢復(fù)的可逆性與數(shù)據(jù)傳輸?shù)陌踩裕殉蔀樵朴?jì)算的研究熱點(diǎn)之一.

RDH-EI發(fā)展至今，隱藏容量、可逆性與圖像解密質(zhì)量等性能指標(biāo)都有了很大的提高.以嵌入容量為例，一些平滑圖像的最高嵌入容量達(dá)到了2.03 bpp[8]，與早期算法不足0.01 bpp[5]相比，提高了將近200倍.與隱藏容量相比，RDH-EI技術(shù)的安全性研究起步較晚.如果RDH-EI的圖像加密算法存在安全隱患，則上傳云端保存的加密圖像在惡意或無意攻擊下可能導(dǎo)致原始圖像內(nèi)容的信息泄露.因此為了保證圖像內(nèi)容的安全，圖像加密算法的安全性對(duì)RDH-EI技術(shù)至關(guān)重要.

傳統(tǒng)的RDH-EI圖像加密主要包括流密碼異或加密[9-13]與置亂加密[14-18].流密碼異或加密將每個(gè)像素轉(zhuǎn)換為8 b的二進(jìn)制，分別與隨機(jī)產(chǎn)生的二值密鑰流異或再轉(zhuǎn)成十進(jìn)制，改變像素值以實(shí)現(xiàn)圖像加密.2017年Khelifi[19]提出利用多幅密文圖像各個(gè)位平面的位之間的水平冗余與垂直冗余來估計(jì)流密碼密鑰的唯密文攻擊.也就是說，在密鑰重用條件下，流密碼異或的圖像加密方法存在信息泄露的安全風(fēng)險(xiǎn).另一方面，基于置亂的圖像加密算法設(shè)計(jì)有效提高了嵌入容量，如文獻(xiàn)[17]使用塊置亂加密的嵌入容量高達(dá)1.71 bpp.然而文獻(xiàn)[20-22]的研究表明，無論置亂的單位是比特還是像素，均存在信息泄露的危險(xiǎn).如文獻(xiàn)[21]，針對(duì)改變像素位置的加密算法，提出一種利用像素值取交集的已知明文攻擊方法.查看明文圖像(i,j)位置處的像素值，在其對(duì)應(yīng)的密文圖像中查找該像素值的所有像素位置(稱“1對(duì)明-密文圖像”)，再利用多對(duì)明-密文圖像得到的位置集合取交集，可確定(i,j)位置的最終置換位置，即像素置亂密鑰.因此，單純地改變像素值或像素位置的加密算法并不安全.為了提高圖像加密的安全性，RDH-EI技術(shù)設(shè)計(jì)將像素值改變與像素位置改變相結(jié)合的圖像加密算法，如流密碼異或與像素置亂相結(jié)合(稱“塊異或-置亂”)[3,9]、調(diào)制與塊置亂相結(jié)合(稱“塊調(diào)制-置亂”)[23-25].這類圖像加密方法能有效抵抗文獻(xiàn)[19-22]的攻擊，以提高安全性為代價(jià)減少了原始圖像的冗余，算法的嵌入容量不高.同時(shí)文獻(xiàn)[26-27]發(fā)現(xiàn)， 加密后的密文圖像仍然保留了明文圖像塊中部分像素的相關(guān)性，很難抵抗針對(duì)性的已知明文攻擊[26-27].

兼顧安全性與嵌入容量，Liu等人[17]提出一種基于冗余空間轉(zhuǎn)移(redundant space transfer, RST)的加密算法.該算法中位平面置亂將原始圖像高位平面的冗余轉(zhuǎn)移到低位平面，提高了嵌入容量的同時(shí)改變了像素值；然后塊置亂與塊內(nèi)像素置亂改變了像素位置，有效提高了抵抗文獻(xiàn)[19-22]攻擊的能力.然而該算法在位平面置亂時(shí)，是以整個(gè)圖像塊為單位進(jìn)行置亂的，保留了位平面間的冗余，為文獻(xiàn)[28-29]利用位平面比特1的個(gè)數(shù)重構(gòu)位平面提供了可能.同時(shí)位平面置亂密鑰空間較小(3!×5!)，使利用窮舉法借助直方圖距離估計(jì)位平面置亂密鑰成為了可能[30].一旦位平面置亂密鑰被估計(jì)出來，攻擊者就能重構(gòu)原始圖像的像素值，從而易受現(xiàn)有的已知明文攻擊[21-22].Qin等人[8]提出了一種基于改進(jìn)冗余轉(zhuǎn)移圖像加密(稱“Qin加密算法”)的RDH-EI 算法，有效提高了位平面置亂的密鑰空間.Qin加密算法首先將圖像分塊，對(duì)每個(gè)圖像塊采用不同的位平面置亂密鑰，使位平面置亂的密鑰空間從(3!×5!)提高到(3!×5!)k，其中k為圖像包含的圖像塊

總個(gè)數(shù).Qin加密算法以圖像塊為單位對(duì)位平面置亂，改變了位平面比特0,1的比例，同時(shí)密鑰空間增大，大大增加了利用窮舉法[30]估計(jì)位平面置亂密鑰的難度，有效提高了抵抗文獻(xiàn)[28-30]中已知明文攻擊的能力.

正如文獻(xiàn)[29]指出，塊內(nèi)位平面置亂與塊內(nèi)像素置亂呈弱密鑰性，塊置亂密鑰是冗余轉(zhuǎn)移加密算法的關(guān)鍵.如果能利用原始圖像轉(zhuǎn)移至加密圖像中的“冗余”直接估計(jì)塊置亂密鑰，進(jìn)一步估計(jì)位平面置亂密鑰，是否可能導(dǎo)致信息泄露是一個(gè)值得研究的安全問題.為驗(yàn)證Qin加密算法的安全性，本文提出一種針對(duì)冗余轉(zhuǎn)移加密算法的已知明文攻擊方法，主要貢獻(xiàn)有3方面：1)分析Qin加密算法的特點(diǎn)，定義圖像塊的非0比特個(gè)數(shù)(non-zero-bit number, NZBN)特征，指出加密前后圖像塊NZBN特征保持不變的特點(diǎn)；2)提出一種基于圖像塊NZBN特征的塊置亂密鑰估計(jì)的已知明文攻擊方法，與現(xiàn)有方法不同，該攻擊方法無需恢復(fù)位平面，先估計(jì)塊置亂密鑰，再估計(jì)每個(gè)圖像塊的位平面置亂密鑰；3)為實(shí)現(xiàn)更精準(zhǔn)的置亂密鑰估計(jì)，給出多對(duì)已知明文攻擊方法.

1 Qin加密算法與特性分析

本節(jié)通過對(duì)Qin加密算法[8]進(jìn)行簡(jiǎn)述，分析Qin加密算法自身特性，給出Qin加密算法存在安全隱患的原因.

1.1 Qin加密算法簡(jiǎn)述

步驟1.塊內(nèi)置亂.塊內(nèi)置亂包括位平面置亂與像素置亂.明文圖像X={Xi|i=1,2,…,k}在經(jīng)過塊內(nèi)置亂后得到圖像Z={Zi|i=1,2,…,k}的步驟如下：

(1)

(2)

(3)

(4)

1.2 Qin加密算法特性分析

本文引言中對(duì)無法重構(gòu)位平面從而無法估計(jì)位平面置亂密鑰進(jìn)行了闡釋，而文獻(xiàn)[29]指出塊內(nèi)像素置亂密鑰空間小的特性，并通過實(shí)驗(yàn)驗(yàn)證塊內(nèi)像素置亂密鑰的弱密鑰性.因此破解Qin加密算法最重要的是估計(jì)塊置亂密鑰.而塊置亂密鑰估計(jì)的重要步驟是尋找塊置亂前后圖像塊恒定不變的特征.研究發(fā)現(xiàn)，Qin加密算法中圖像塊的“非0比特個(gè)數(shù)”特征在塊置亂前后保持一致，這為估計(jì)塊置亂密鑰提供了可能.

(5)

(6)

(7)

圖1示出1個(gè)2×2大小的明文圖像塊Xi與經(jīng)過塊內(nèi)置亂的圖像塊Zi.如圖1所示，無論明文圖像塊的位平面被置換到哪一位平面，在圖像塊Zi中總能找到可能被置換到的位平面序號(hào)，通過比較圖像塊的位平面NZBN可以實(shí)現(xiàn).如圖像塊Xi的8個(gè)位平面NZBN組成的集合為{1,3,3,1,1,1,3,1}，而圖像塊Zi的位平面NZBN集合為{3,1,1,3,1,1,3,1}.對(duì)比集合中的各個(gè)元素可發(fā)現(xiàn)圖像組成位平面NZBN的集合相同.同樣地，無論明文像素被置換到哪一位置，通過比較圖像塊的像素NZBN集合，在Zi中總可以找到可能被置換到的像素位置.如明文圖像塊Xi的像素NZBN組成的集合為{3,3,4,4}，而圖像塊Zi的像素NZBN集合為{4,4,3,3}.只要圖像塊是經(jīng)過Qin加密算法中塊內(nèi)置亂得到的，那么塊內(nèi)置亂前后圖像塊的位平面NZBN集合與像素NZBN集合保持不變.

Fig. 1 The image block before and after the block scrambling圖1 塊內(nèi)置亂前后的圖像塊

(8)

(9)

那么構(gòu)成圖像塊Xi的NZBN特征Fi為

(10)

根據(jù)NZBN特征的定義，發(fā)現(xiàn)圖1中明文圖像塊Xi與塊內(nèi)置亂后的圖像塊Zi的位平面NZBN特征完全相同，且像素NZBN特征完全相同.基于這一發(fā)現(xiàn)，本文推出性質(zhì)1～3：

性質(zhì)1.像素置亂不改變位平面非0比特個(gè)數(shù).

(11)

圖像塊Zi的位平面NZBN為

(12)

證畢.

性質(zhì)2.塊內(nèi)置亂前后，圖像塊位平面非0比特個(gè)數(shù)特征保持不變.

證明.由式(11)與式(12)可得，圖像塊Zi中第u個(gè)位平面的位平面NZBN與圖像塊Xi位平面NZBN的關(guān)系為

(13)

(14)

證畢.

性質(zhì)3.塊內(nèi)置亂不改變圖像塊的像素非0比特個(gè)數(shù)特征.

證明.由式(11)計(jì)算圖像塊Zi在位置j處的像素NZBN

(15)

(16)

證畢.

以上3個(gè)性質(zhì)揭示了Qin加密算法塊內(nèi)置亂的特點(diǎn)，這些特點(diǎn)使加密算法存在泄露置亂密鑰的安全風(fēng)險(xiǎn)，分析如下：

1) 塊內(nèi)置亂不改變圖像塊的NZBN特征(性質(zhì)2,3)，使得根據(jù)明文圖像X與密文圖像Y估計(jì)塊置亂密鑰成為可能；

2) 像素置亂不改變圖像塊的位平面NZBN(性質(zhì)1)，使得估計(jì)位平面置亂密鑰成為可能.

2 基于非0比特個(gè)數(shù)特征的已知明文攻擊

如果攻擊者得到1對(duì)或多對(duì)明-密文圖像，本文利用NZBN特征估計(jì)不同置亂密鑰的過程包括3個(gè)主要步驟：1)基于圖像塊NZBN特征等價(jià)劃分的塊置亂密鑰估計(jì)；2)圖像塊的位平面置亂密鑰估計(jì)；3)多對(duì)明-密文圖像下的置亂密鑰估計(jì)方法.

2.1 塊置亂密鑰估計(jì)

如果攻擊者得到1對(duì)明-密文圖像{X,Y}，尋找密文圖像Y={Yi|i=1,2,…,k}在明文圖像X中的位置，就是塊置亂密鑰估計(jì)的過程.

如圖2所示，設(shè)有明文圖像X，在經(jīng)過Qin加密算法加密后，產(chǎn)生密文圖像Y.若使用窮舉法估計(jì)塊置亂密鑰，共有6!種可能，且無法確定塊置亂密鑰估計(jì)正確的判定條件.

基于定義的NZBN特征劃分圖像塊，就是文獻(xiàn)[30]中定義的等價(jià)劃分.與文獻(xiàn)[30]不同的是，本文等價(jià)劃分的標(biāo)準(zhǔn)是圖像塊的NZBN特征.基于NZBN特征對(duì)圖像塊等價(jià)劃分后，6個(gè)明文圖像塊劃分在5個(gè)等價(jià)集中，如圖2(c).由1.2節(jié)分析得到的圖像塊NZBN特征恒定不變性可知，明文圖像X和密文圖像Y得到的等價(jià)集一定相同.根據(jù)同一NZBN特征等價(jià)集中的明-密文圖像塊序號(hào)，即可估計(jì)塊置亂密鑰.

以圖2為例，密文圖像塊Y6的NZBN特征與明文圖像塊X1的NZBN特征完全相同，所以估計(jì)的塊置亂密鑰集合為K(6)={1}，且等價(jià)集與圖像塊個(gè)數(shù)是唯一對(duì)應(yīng)的，因此當(dāng)前圖像塊的塊置亂密鑰估計(jì)正確率為1；而對(duì)于密文圖像塊Y3，與明文圖像塊{X2,X6}具有相同的NZBN特征，估計(jì)的塊置亂密鑰集合K(3)={2,6}，由于等價(jià)集對(duì)應(yīng)2個(gè)圖像塊，無法確定Y3是由明文圖像塊X2還是X6置換得到，因此當(dāng)前圖像塊估計(jì)的塊置亂密鑰正確率為1/2.

Fig. 2 An example of dividing image blocks based on NZBN feature圖2 基于NZBN特征劃分圖像塊的示例

從之前圖像塊的查找范圍為6!到現(xiàn)在2!，基于NZBN特征等價(jià)劃分圖像塊后有效縮減了圖像塊的查找范圍，且具有密鑰估計(jì)正確的判定條件，可用于塊置亂密鑰的估計(jì).為驗(yàn)證本文已知明文攻擊方法估計(jì)塊置亂密鑰的有效性，基于NZBN特征的塊置亂密鑰集合估計(jì)方法描述如算法1.

算法1.基于NZBN特征的塊置亂密鑰集合估計(jì)算法.

輸入：明文圖像X、密文圖像Y；

輸出：塊置亂密鑰集合K.

② forH和H′中的每一個(gè)元素(i=1,2,…,σ) do

③ 獲取明文圖像塊序號(hào)的集合A=H(i)；

④ 獲取密文圖像塊序號(hào)的集合B=H′(i)；

⑤ forB中的每個(gè)元素v(v=1,2,…,τi) do

⑥ 被置換到的位置集合K(B(v))=A；

⑦ end for

⑧ end for

⑨ returnK.

2.2 位平面置亂密鑰估計(jì)

根據(jù)2.1節(jié)估計(jì)的塊置亂密鑰，將密文圖像Y恢復(fù)成塊間置亂前的圖像Z.本文1.2節(jié)的性質(zhì)1給出了位平面置亂密鑰估計(jì)的依據(jù)，估計(jì)位平面置亂密鑰的具體步驟見算法2.

算法2.位平面置亂密鑰集合估計(jì)算法.

輸入：明文圖像X、塊間置亂前的圖像Z；

輸出：位平面置亂密鑰集合Q.

① 將M×N大小的圖像X和Z分別分解成k個(gè)m×n大小的不重疊圖像塊；

② for 每個(gè)圖像塊ido

④ for 位平面j(j=1,2,3) do

⑥ end for

⑦ for位平面j(j=4,5,…,8) do

⑨ end for

⑩ 第i個(gè)圖像塊的位平面置亂密鑰集合Qi={Qi(j)|j=1,2,…,8}；

2.3 多對(duì)已知明文攻擊

1對(duì)已知明文攻擊是指根據(jù)已經(jīng)得到的1對(duì)明文圖像與其對(duì)應(yīng)的密文圖像估計(jì)加密密鑰的已知明文攻擊方法.多對(duì)已知明文攻擊是指根據(jù)2對(duì)或2對(duì)以上的明文圖像與其對(duì)應(yīng)的密文圖像估計(jì)加密密鑰的已知明文攻擊方法.

2.1節(jié)和2.2節(jié)分別介紹了1對(duì)已知明文攻擊下的塊置亂密鑰與位平面置亂密鑰估計(jì)方法.在分塊較小或明文圖像比較平滑時(shí)，僅1對(duì)明-密文圖像估計(jì)的塊置亂密鑰正確率不高.如果無法正確恢復(fù)塊置亂，就無法利用明-密文圖像塊的位平面NZBN估計(jì)位平面置亂密鑰.同時(shí)，在1對(duì)已知明文攻擊下估計(jì)的置亂密鑰不是單值的，是1對(duì)多的，為了得到更精準(zhǔn)的置亂密鑰估計(jì)值，本節(jié)給出了多對(duì)已知明文攻擊方法，具體實(shí)現(xiàn)方法如下：

步驟1.獲得α對(duì)密鑰集合.參照2.1節(jié)與2.2節(jié)的置亂密鑰估計(jì)方法，分別得到塊置亂密鑰集合K與位平面置亂密鑰集合Q.其中第i對(duì)已知明文估計(jì)的塊置亂密鑰集合為Ki，位平面置亂密鑰集合為Qi.

步驟2.α對(duì)密鑰取交集.α對(duì)已知明文估計(jì)的塊置亂密鑰集合為K=K1∩K2∩…∩Kα，位平面置亂密鑰為Q=Q1∩Q2∩…∩Qα.

利用多對(duì)明-密文圖像的已知明文攻擊方法有效提高了置亂密鑰正確率，解密出更清晰的圖像，且解決了分塊較小時(shí)本文提出的已知明文攻擊方法不能破解置亂密鑰這一問題，具體驗(yàn)證實(shí)驗(yàn)詳見3.3節(jié).

3 實(shí)驗(yàn)結(jié)果及分析

采取5幅大小為512×512的灰度圖像(如圖3所示)和使用Qin加密算法加密后的密文圖像用于實(shí)驗(yàn).本節(jié)首先分析自然圖像中圖像塊NZBN特征的各異性；然后驗(yàn)證基于NZBN特征的1對(duì)已知明文攻擊的有效性；接著分析多對(duì)已知明文攻擊的算法性能；最后討論已知明文攻擊的算法時(shí)間復(fù)雜度.

Fig. 3 Five plaintext images圖3 5幅明文圖像

3.1 NZBN特征的各異性

由于自然圖像的不同，在基于NZBN特征等價(jià)劃分后的等價(jià)集個(gè)數(shù)σ與每個(gè)等價(jià)集中包含的圖像塊個(gè)數(shù)τi均不相同.尤其是當(dāng)分塊大小較大時(shí)，每個(gè)等價(jià)集中的τi個(gè)數(shù)較少甚至為1，有較高概率估計(jì)出完全正確的塊置亂密鑰，是由于NZBN特征具有各異性.圖像塊NZBN特征的各異性是指，不同圖像塊的NZBN特征相同的概率較小.為了分析自然圖像NZBN特征的概率分布情況，這里給出描述概率分布的參數(shù)：

1)τi=1的等價(jià)集個(gè)數(shù)占等價(jià)集總數(shù)σ的比例稱為唯一等價(jià)集占比Ho，計(jì)算方法為

(17)

其中t為τi=1的等價(jià)集個(gè)數(shù).

2) 所有Hi(i=1,2,…,σ)中的最大圖像塊個(gè)數(shù)τmax取值為

τmax=max{τ1,τ2,…,τσ}.

(18)

3) 文獻(xiàn)[30]估計(jì)的塊置亂密鑰理論正確率ρ′為

(19)

為了分析不同圖像的圖像塊NZBN特征的概率分布情況，分別以2×2,3×3,4×4，8×8分塊大小的圖像為例，將圖3中的前4幅測(cè)試圖像基于NZBN特征等價(jià)劃分圖像塊，統(tǒng)計(jì)等價(jià)劃分后的等價(jià)集總數(shù)σ、唯一等價(jià)集占比Ho、最大圖像塊個(gè)數(shù)τmax與塊置亂密鑰理論正確率ρ′，結(jié)果如表1所示:

Table 1 NZBN Feature Distribution of Different Images and Different Blocks

表1顯示，隨著圖像分塊的增加，ρ′也增加，說明越來越多的圖像塊被劃分在不同的等價(jià)集中；同時(shí)，Ho增加，說明NZBN特征等價(jià)集中τi=1的等價(jià)集個(gè)數(shù)增加，即大部分圖像塊的NZBN特征是各不相同的；而τmax減少，說明即使有部分圖像塊具有相同的NZBN特征，但隨著圖像分塊的增加，具有相同特征的圖像塊個(gè)數(shù)在減少.ρ′,Ho，τmax的結(jié)合，驗(yàn)證了NZBN特征的各異性.

當(dāng)分塊大小為3×3時(shí)，圖像塊NZBN特征等價(jià)集中有超過70%的等價(jià)集包含的圖像塊個(gè)數(shù)τi=1.當(dāng)分塊大小增加到8×8時(shí)，自然圖像中的唯一等價(jià)集占比Ho基本達(dá)到100%.也就是說，隨著圖像分塊的增加，等價(jià)集中τi=1的等價(jià)集個(gè)數(shù)增加，τi>1的等價(jià)集個(gè)數(shù)減少，增強(qiáng)了NZBN特征各異性也為塊置亂密鑰的估計(jì)帶來了可能.以3×3分塊大小為例，隨著圖像紋理復(fù)雜度的增加，ρ′增加，等價(jià)集總數(shù)σ增加，同時(shí)Ho增加，這說明更多的圖像塊與NZBN特征是唯一對(duì)應(yīng)的，τi>1的NZBN特征個(gè)數(shù)在減少，增強(qiáng)了NZBN特征的各異性.正是由于NZBN特征存在各異性，不同的圖像具有不同的NZBN特征，使得塊置亂密鑰估計(jì)成為可能.3.2節(jié)將設(shè)計(jì)實(shí)驗(yàn)驗(yàn)證本文提出的基于NZBN特征對(duì)于塊置亂密鑰估計(jì)的有效性.

3.2 1對(duì)已知明文攻擊

本部分首先分析不同分塊大小下本文已知明文攻擊的塊置亂密鑰估計(jì)性能，然后給出位平面置亂密鑰的估計(jì)性能.

3.2.1 塊置亂密鑰的估計(jì)

3.1節(jié)對(duì)NZBN特征的各異性進(jìn)行了分析，τi=1的等價(jià)集說明，具有這一NZBN特征的圖像塊是唯一的，因此可確定唯一的塊置亂密鑰.由于自然圖像的不同，圖像塊的NZBN分布不同，Ho也不盡相同，因此估計(jì)的塊置亂密鑰正確率也不同.以圖3中前4幅明文圖像與其對(duì)應(yīng)的密文圖像為例，測(cè)試不同分塊大小下使用1對(duì)已知明文攻擊估計(jì)的塊置亂密鑰解密密文圖像Y，得到塊置亂前的圖像Z′，如圖4所示.

Fig. 4 Results of decrypted block scrambling under a pair of known-plaintext attack圖4 1對(duì)已知明文攻擊的解密塊置亂結(jié)果

圖4顯示解密塊置亂后的圖像仍然是1幅噪聲圖像，為了直觀地分析本文提出的NZBN特征對(duì)于塊置亂密鑰估計(jì)的重要意義，給出塊置亂密鑰估計(jì)正確率的計(jì)算方法.

(20)

分別計(jì)算4對(duì)測(cè)試圖像所估計(jì)的塊置亂密鑰正確率，如表2所示：

Table 2 Correct Rate of Block Scrambling Key for a Pair of Known-Plaintext Attacks

表2顯示，隨著圖像分塊的增加，塊置亂密鑰估計(jì)正確率增加，說明圖像塊個(gè)數(shù)與塊置亂密鑰成反比；當(dāng)分塊大小為3×3時(shí)，已經(jīng)正確估計(jì)50%以上的塊置亂密鑰.分塊增加到8×8時(shí)，塊置亂密鑰的估計(jì)正確率達(dá)到100%.而在相同分塊下的不同圖像，隨著紋理圖像復(fù)雜度的增加，等價(jià)集中σ增加，Ho增加，ρ′增加，這體現(xiàn)了NZBN特征的各異性.NZBN特征的各異性增加，塊置亂密鑰的估計(jì)正確率增加.與表1中塊置亂密鑰估計(jì)的理論正確率對(duì)比，實(shí)驗(yàn)得到的結(jié)果與理論值基本一致，說明塊置亂密鑰估計(jì)正確率與NZBN特征等價(jià)集總個(gè)數(shù)σ成正比，與圖像塊個(gè)數(shù)k成反比.

雖然恢復(fù)塊置亂后的圖像仍然是噪聲圖像，但不同分塊下的噪聲圖像顯露的輪廓不一樣.隨著分塊大小的增加，噪聲圖像的輪廓越明顯，恢復(fù)正確的圖像塊個(gè)數(shù)更多.如8×8下的噪聲圖像比4×4下的輪廓要清晰一些，比較表2中的塊置亂密鑰正確率也能得到相同的結(jié)論.

3.2.2 位平面置亂密鑰的估計(jì)

在分塊大小為8×8時(shí)，塊置亂密鑰正確率已經(jīng)達(dá)到了100%，然而恢復(fù)塊置亂后的圖像仍然是1幅噪聲圖像，如圖4(d)所示.這是因?yàn)镼in加密算法將明文圖像高位平面的冗余轉(zhuǎn)移到密文圖像的低位平面，而沒有冗余的低位平面被置換到了密文圖像的高位平面.因此沒有恢復(fù)位平面的圖像仍然是1幅噪聲圖像，泄露圖像信息的概率很小.進(jìn)一步使用估計(jì)的位平面置亂密鑰恢復(fù)位平面置亂，得到最終的恢復(fù)圖像，如圖5(d)所示.

Fig. 5 Result of a pair of known-plaintext attacks under different block sizes圖5 不同分塊大小下1對(duì)已知明文攻擊的結(jié)果

以8×8分塊下的Baboon圖像作為已知明文攻擊的測(cè)試圖像，圖6顯示了3種圖像的像素值分布情況，分別是明文Woman圖像、僅恢復(fù)塊置亂的Woman圖像、最終恢復(fù)的Woman圖像.僅恢復(fù)塊置亂后的圖像是1幅噪聲圖像，如圖4(d)，且像素分布比較均勻，與明文圖像的像素分布相差較大.而繼續(xù)恢復(fù)位平面置亂后的圖像能夠顯現(xiàn)圖像輪廓，如圖5(d)，且像素分布與明文圖像的變化趨勢(shì)相近，兩者像素值比較接近.也就是說，位平面置亂轉(zhuǎn)移了圖像的冗余信息，使得沒有恢復(fù)位平面置亂的圖像與明文圖像無關(guān)聯(lián)，只有恢復(fù)位平面置亂，才能恢復(fù)部分冗余信息，使得恢復(fù)的像素值與明文像素更接近，從而引起圖像的重要信息泄露.因此，僅恢復(fù)塊置亂對(duì)于泄露原始圖像信息是不夠的，需要使用估計(jì)的位平面置亂密鑰進(jìn)一步恢復(fù)位平面置亂.使用不同分塊大小下的不同圖像估計(jì)位平面置亂密鑰，恢復(fù)圖像Z′得到最終的解密圖像，如圖5所示.

Fig. 6 Pixel distribution of plaintext image X and final restored image圖6 明文圖像X與最終恢復(fù)圖像的像素分布

在8×8分塊大小下，無論使用哪一對(duì)明-密文圖像估計(jì)置亂密鑰，最終估計(jì)的密鑰都會(huì)泄露原始圖像重要信息，如圖5(d)所示.隨著分塊的減小，圖像塊NZBN特征的各異性減弱，更多的圖像塊具有相同的特征，給塊置亂密鑰的估計(jì)帶來了困難，1對(duì)已知明文攻擊的結(jié)果越來越模糊.當(dāng)分塊減小到3×3時(shí)，仍能泄露原始圖像的部分信息，而繼續(xù)減小到2×2分塊時(shí)，解密圖像是1幅噪聲圖像.由于2×2分塊下的1對(duì)已知明文估計(jì)的塊置亂密鑰正確率不超過5%，沒有正確恢復(fù)塊置亂，就無法使用塊內(nèi)位平面的相關(guān)性估計(jì)位平面置亂密鑰，因此最終的解密圖像仍然是1幅噪聲圖像.也就是說，只有當(dāng)塊置亂密鑰估計(jì)正確，才能進(jìn)一步估計(jì)位平面置亂密鑰.

位平面置亂密鑰的正確率為

(21)

計(jì)算不同分塊下不同圖像的位平面置亂密鑰正確率，如表3所示.

觀察位平面置亂密鑰正確率發(fā)現(xiàn)，即使塊大小為8×8時(shí)，位平面置亂密鑰正確率仍然不超過50%.使用估計(jì)正確率為100%的塊置亂密鑰解密Woman圖像得到的圖像仍然是噪聲圖像，如圖4(d).而在位平面正確率不到50%的情況下，恢復(fù)位平面的圖像竟然能顯現(xiàn)原始圖像的大部分信息，如圖5(d)所示，這說明位平面置亂密鑰具有弱密鑰性.同時(shí)，也說明塊置亂密鑰才是關(guān)鍵.因?yàn)樵谳^小分塊下的塊置亂密鑰正確率不高，圖像塊恢復(fù)錯(cuò)誤導(dǎo)致位平面置亂密鑰無法被正確估計(jì)，最終恢復(fù)的圖像仍存在大量的噪聲點(diǎn)，尤其是2×2分塊下的解密圖像仍然是1幅噪聲圖像.為了解決這一問題，2.3節(jié)給出多對(duì)已知明文攻擊方法，3.3節(jié)將給出實(shí)驗(yàn)證明2×2分塊下仍然存在信息泄露的危險(xiǎn).

Table 3 Correct Rate of Bit-Plane Scrambling Key for a Pair of Known-Plaintext Attacks

3.3 已知明文對(duì)數(shù)對(duì)攻擊結(jié)果的影響

3.2.2節(jié)給出了不同分塊下1對(duì)已知明文攻擊的攻擊結(jié)果，1對(duì)4×4分塊下的已知明文攻擊已經(jīng)基本能解密原始的所有信息.而2×2分塊下的1對(duì)已知明文攻擊無法破解加密密鑰，使用估計(jì)的置亂密鑰解密的圖像仍然是1幅噪聲圖像.在增加已知明文對(duì)數(shù)后，2×2分塊下是否能導(dǎo)致圖像信息泄露呢？基于這一問題，對(duì)更小分塊下明-密文圖像進(jìn)行多對(duì)已知明文攻擊，選取明文圖像中比較平滑的2對(duì)與3對(duì)圖像分別進(jìn)行測(cè)試，解密的Woman圖像如圖7所示.

Fig. 7 Attack results of multiple known-plaintext attacks under different blocks圖7 不同分塊下多對(duì)已知明文攻擊的攻擊結(jié)果

圖7(a)顯示，在2對(duì)明文圖像均為平滑圖像時(shí)，2×2分塊下解密的Woman圖像即使仍然存在噪聲點(diǎn)，但已經(jīng)泄露了圖像信息.隨著分塊增加到3×3，解密圖像的噪聲點(diǎn)明顯減少.也就是說，當(dāng)明文圖像僅為平滑圖像時(shí)，較小分塊下的加密圖像也會(huì)引起信息泄露.增加已知明文對(duì)數(shù)到3對(duì)時(shí)，解密的Woman圖像更為清晰，泄露了圖像的更多信息，如圖7(b)所示.使用多對(duì)已知明文攻擊對(duì)置亂密鑰取交集，能夠得到更多τi=1的等價(jià)集，有效提高了塊置亂密鑰正確率，恢復(fù)的Woman圖像更清晰.

圖7表明，一旦增加已知明文攻擊的對(duì)數(shù)，即使是2×2分塊下的加密圖像也無法抵抗本文提出的基于NZBN特征的已知明文攻擊.

3.4 時(shí)間復(fù)雜度分析

時(shí)間復(fù)雜度是衡量一個(gè)算法攻擊效果的重要指標(biāo)之一.本文提出的1對(duì)已知明文攻擊的算法時(shí)間的復(fù)雜度分析如下：

步驟2.位平面置亂密鑰集合估計(jì).對(duì)于k個(gè)圖像塊，查找密文圖像塊的8個(gè)位平面可能的置換位置，時(shí)間復(fù)雜度為O(8k).

因此，本文提出的已知明文攻擊算法總時(shí)間復(fù)雜度約為8kmn+σ×τmax+8k=8MN+8k+σ×τmax，影響算法的時(shí)間復(fù)雜度主要因素是圖像大小M×N與圖像塊個(gè)數(shù)k、等價(jià)集個(gè)數(shù)σ以及最大圖像塊個(gè)數(shù)τmax.在圖像大小為512×512，測(cè)試不同分塊下使用不同圖像的1對(duì)已知明文攻擊的運(yùn)行時(shí)間，結(jié)果如表4所示.

表4顯示，位平面置亂密鑰的時(shí)間復(fù)雜度正如步驟2中描述的，與圖像塊總個(gè)數(shù)有關(guān)，隨著分塊大小的增加，圖像塊總數(shù)減少，位平面置亂密鑰估計(jì)的時(shí)間減少.而對(duì)于塊置亂密鑰的估計(jì)，考慮到NZBN特征的各異性，不同圖像不同分塊下的NZBN特征分布不同，使得塊置亂密鑰估計(jì)具有時(shí)間差異.但整體上而言，隨著分塊大小的增加，圖像塊總個(gè)數(shù)減少，等價(jià)集個(gè)數(shù)σ減少，同時(shí)等價(jià)集中最大圖像塊個(gè)數(shù)τmax減少，因此塊置亂密鑰估計(jì)的時(shí)間減少.

Table 4 Actual Running Time of a Pair of Known-Plaintext Attacks Under Different Blocks for Different Scrambling Keys

4 結(jié) 論

Qin提出的冗余轉(zhuǎn)移加密算法，在一定程度上提高了加密算法的安全性.本文定義了圖像塊的NZBN特征，分析指出了該特征在Qin算法加密前、后具有恒定不變的特點(diǎn).在此基礎(chǔ)上，提出了一種基于NZBN特征的已知明文攻擊方法，并給出了多對(duì)已知明文條件下如何進(jìn)一步提高密鑰估計(jì)正確率的攻擊方法.該攻擊方法先估計(jì)塊置亂密鑰，再估計(jì)每個(gè)圖像塊的位平面置亂密鑰，打破了現(xiàn)有已知明文攻擊的實(shí)施條件——加密前后像素值不變.最后分析討論了不同分塊大小下的算法性能和時(shí)間復(fù)雜度。實(shí)驗(yàn)結(jié)果表明，在分塊大小為4×4的條件下，僅用1對(duì)明-密文圖像，即可恢復(fù)89%以上的塊置亂密鑰，從而導(dǎo)致原始圖像信息泄露.

作者貢獻(xiàn)聲明：羅雅婷負(fù)責(zé)方案論證、實(shí)驗(yàn)數(shù)據(jù)處理與分析，以及論文撰寫；和紅杰指導(dǎo)研究方案、論文結(jié)構(gòu)與實(shí)驗(yàn)設(shè)計(jì)、論文修改；陳帆提出論文選題，指導(dǎo)研究方案和論文修改；屈凌峰指導(dǎo)實(shí)驗(yàn)設(shè)計(jì)和論文修改.