黃林荃，劉 會，趙 波*

(1.武漢軟件工程職業(yè)學(xué)院 信息學(xué)院，湖北 武漢 430205；2.武漢大學(xué) 國家網(wǎng)絡(luò)安全學(xué)院，湖北 武漢 430079)

0 引 言

因其可視化特性，數(shù)字圖像作為一種重要的信息載體被廣泛應(yīng)用于各個領(lǐng)域。在物聯(lián)網(wǎng)移動終端(例如智能手機、監(jiān)控設(shè)備等)的場景中，數(shù)字圖像包含了大量的隱私信息，而移動終端在開放的環(huán)境下容易遭受竊取或丟失，從而使得數(shù)字圖像面臨嚴(yán)峻的隱私泄露的風(fēng)險。隨著云計算技術(shù)的成熟，大量數(shù)字圖像信息通過云平臺進行計算和存儲。然而，由于云計算使得數(shù)字圖像在物理側(cè)脫離了用戶的控制范圍，用戶對云計算服務(wù)可信性的懷疑正在加劇，從而限制了數(shù)字圖像在云端的使用范圍。同時，5G時代的到來將進一步促進數(shù)字圖像的應(yīng)用，圖像的安全存儲和傳輸顯得尤為重要。加密技術(shù)是一種保障數(shù)據(jù)在不可信環(huán)境下的機密性的重要手段。現(xiàn)階段有許多成熟的數(shù)字加密方案，例如以AES[1-2]為代表的國際加密標(biāo)準(zhǔn)和以SM2[3]為代表的國內(nèi)自主設(shè)計的國密算法，能夠有效地保障數(shù)據(jù)的機密性。然而，由于圖像的二維性、冗余性和相鄰像素高的相關(guān)性，傳統(tǒng)的加密技術(shù)無法為圖像提供安全高效的保障。因此，安全高效的數(shù)字圖像加密算法的設(shè)計顯得尤為重要。

1 相關(guān)工作介紹

現(xiàn)階段許多研究人員充分利用數(shù)字圖像的特點設(shè)計復(fù)雜環(huán)境下圖像加密的方案。按加密域的不同，數(shù)字圖像加密可以分為頻域加密和空域加密兩類。頻域加密是從頻域空間對圖像進行處理，利用離散余弦變換[4]、傅里葉變換[5-6]等頻域變換方法實現(xiàn)圖像加密。頻域加密方案的特點是加密速度快，通常屬于有損加密，即解密圖像與明文圖像存在少量差異?？沼蚣用苁侵笇?shù)字圖像作為二維矩陣，從空間的角度對二維矩陣進行可逆變換。常用的空域圖像加密方案包括置亂和擴散兩個階段[7-8]。置亂是指對數(shù)字圖像的像素坐標(biāo)進行可逆變換，改變現(xiàn)有像素的空間信息以達(dá)到掩蓋明文圖像空間信息的目的。擴散是指從灰度值的角度建立像素值與整個密文圖像的關(guān)聯(lián)，使得當(dāng)明文圖像中任意像素遭到篡改后，密文圖像以不可預(yù)測的方式改變，從而抵御選擇明文攻擊、差分攻擊等先進的攻擊手段。

近年來，基于混沌理論[9-11]的數(shù)字圖像空域加密方案取得了飛速發(fā)展?；煦缦到y(tǒng)具有初始條件敏感性、遍歷性和混合性等優(yōu)點，符合密碼學(xué)要求?；诨煦缋碚摰膱D像加密算法通常利用混沌系統(tǒng)產(chǎn)生的偽隨機序列對圖像的像素值進行加密。Chai X等人[9]利用四翼超混沌系統(tǒng)提供偽隨機混沌序列，生成DNA編碼和計算規(guī)則，實現(xiàn)基于動態(tài)DNA的圖像加密算法。Akhshani A等人[10]證明了最低次量子修正產(chǎn)生量子混沌映射，并首次將量子混沌映射運用于圖像加密領(lǐng)域，取得了良好的加密效果。為進一步增強混沌映射結(jié)構(gòu)的復(fù)雜性、提高混沌系統(tǒng)的混合性，朱和貴等人[11]提出了一種復(fù)合一維Sine和Tent混沌的二維超混沌系統(tǒng)，通過提升復(fù)合混沌系統(tǒng)的混沌性來增強圖像加密算法的隨機性。

Arnold變換[12-13]是空域加密中非常重要的置換方法，旨在改變像素值在圖像中的位置。通過將圖像中所有像素的坐標(biāo)帶入Arnold變換中，計算出新的坐標(biāo)，并將像素值置換至新坐標(biāo)中，實現(xiàn)像素值空間位置的變換。為了改善傳統(tǒng)二維離散Arnold變換的置亂和加密效果，吳成茂等人[12]提出了一種新的非線性圖像置亂變換。該方法利用經(jīng)典離散標(biāo)準(zhǔn)映射的構(gòu)造思想，將經(jīng)典二維離散Arnold變換中同余方程輸出結(jié)果的非線性表達(dá)式嵌入到另一個二維離散Arnold變換的同余方程的輸入項，并在離散Arnold變換的基礎(chǔ)上構(gòu)造了一種具有良好非線性特性的新變換，以快速提高灰度圖像的置亂效果。針對Arnold變換周期性的問題，黃林荃等人[13]在Arnold置換的同時引入了非線性變換，消除Arnold變換周期性對圖像加密算法安全性的影響。

以DNA計算[14-16]為代表的生物計算推動了數(shù)字圖像在空域加密方面的發(fā)展?；贒NA計算的圖像加密算法通過對圖像像素值進行DNA編碼、DNA計算和DNA解碼，實現(xiàn)像素值的修改，屬于灰度加密范疇。為了提高密文圖像的偽隨機性，李桂珍等人[14]提出了一種基于DNA合成圖像混沌映射的彩色圖像加密算法，通過重復(fù)使用DNA的編碼和計算規(guī)則提高加密算法的復(fù)雜性，使圖像加密算法具備更高的偽隨機性。針對遙感圖像相鄰像素相關(guān)性高的特點，Liu H等人[15]利用置換過程不改變密文DNA堿基數(shù)量的特點，構(gòu)建了圖像與所有像素之間的關(guān)聯(lián)，保障了圖像加密算法的擴散性。Zhu C等人[16]研究三維DNA計算的特性，提出了一種基于三維DNA水平置換和代換的圖像加密算法，并模擬多種典型的攻擊手段測試該算法的安全性和可用性。

S盒(substitution-box)[17-18]是密碼學(xué)中對稱密鑰加密算法執(zhí)行替換計算的基本結(jié)構(gòu)?；赟盒代換的圖像加密算法利用顯示查找表(look-up-table)構(gòu)建明文圖像與密文圖像的映射關(guān)系。Zhang Y[17]改進了傳統(tǒng)S盒代換結(jié)構(gòu)簡單的設(shè)計，提出了一種新的快速圖像加密系統(tǒng)。該系統(tǒng)采用分段線性混沌映射和三維S盒生成具有良好統(tǒng)計特性的密鑰流，設(shè)計出具有相同加/解密過程的圖像加密算法，實際應(yīng)用中僅需要部署一套算法就能同時實現(xiàn)圖像加/解密過程。Silva V M等人[18]考慮到靜態(tài)S盒難以抵御代數(shù)攻擊，利用混沌系統(tǒng)設(shè)計出高度非線性的動態(tài)S盒，實現(xiàn)了彩色圖像的無損加密。實驗表明該算法具備高度的隨機性，能以穩(wěn)健的方式對視頻信息實時加密。

2 空域加密方案分析

2.1 混沌理論

混沌[9-11]是指發(fā)生在確定性系統(tǒng)中看似隨機的不規(guī)則運動。一個確定性理論描述的系統(tǒng)，其行為表現(xiàn)出不確定、不可重復(fù)和不可預(yù)測的特點，這種現(xiàn)象被稱為混沌現(xiàn)象。由于初始值敏感性、參數(shù)敏感性、遍歷性和偽隨機性，混沌系統(tǒng)在數(shù)字圖像空域加密領(lǐng)域得到了廣泛的應(yīng)用。常用的混沌系統(tǒng)包括四翼超混沌系統(tǒng)[9]、量子混沌系統(tǒng)[10]、Tent混沌系統(tǒng)[11]，以及這些經(jīng)典混沌系統(tǒng)的變形和組合。然而，基于混沌理論的空域加密需要多次迭代混沌系統(tǒng)產(chǎn)生偽隨機序列，并參與到圖像加密的過程中，產(chǎn)生了大量的時間和空間開銷。而且，混沌系統(tǒng)的計算是鏈?zhǔn)接嬎憬Y(jié)構(gòu)，不支持并行計算，難以適用于需要高并行計算的場景。此外，圖像加密算法的安全性并不等價于混沌系統(tǒng)的可靠性。攻擊者通常不會嘗試通過攻擊混沌系統(tǒng)達(dá)到破譯加密算法的目的，而是從混沌系統(tǒng)產(chǎn)生的偽隨機序列與明文圖像的結(jié)合中尋找攻擊圖像加密算法的線索，例如差分攻擊、選擇明文攻擊等。因此，基于混沌理論的數(shù)字圖像空域加密方案的安全性很大程度上依賴于混沌序列在加密過程中的運用和結(jié)合。

2.2 Arnold變換

經(jīng)典Arnold變換[12-13]通過計算圖像的坐標(biāo)實現(xiàn)對圖像的快速置亂。由于Arnold變換是雙射變換，所以多次迭代的Arnold變換也是雙射變換。經(jīng)典Arnold變換是一個二維可逆映射，其表達(dá)形式如下：

(1)

其中，坐標(biāo)(x,y)T是N×N圖像上的點，經(jīng)Arnold變換后變成坐標(biāo)(x',y')T。在經(jīng)典Arnold變換的基礎(chǔ)上，研究人員相繼提出了廣義Arnold變換、三維Arnold變換、帶密鑰的Arnold變換等，這些變換改進了Arnold變換密鑰空間不足、單次置亂效果不佳的缺陷，實現(xiàn)了在少數(shù)次迭代下良好的置亂效果。然而，經(jīng)典Arnold變換具有兩個嚴(yán)重缺陷，一是離散形式的Arnold變換具有周期性，二是只能對長和高相等的圖像實現(xiàn)置換。在周期性方面，對于大小為256×256圖像，其Arnold變換周期為192，即攻擊者只需要192次Arnold變換就能獲取明文圖像。Arnold變化通常需要結(jié)合具有非周期性的非線性或線性變換解決這種周期性問題。對于等長圖像的限制，加密算法需要對圖像進行預(yù)處理，包括填充、分塊等，以滿足Arnold變換的計算特點。

2.3 DNA計算

DNA加密[14-16]是以DNA為信息載體，通過DNA計算實現(xiàn)的類生物加密方案。DNA計算具有許多良好的特性，例如高平行、大存儲和低能耗。DNA代表著生物特征的遺傳信息，是一種由四種核苷酸組成的分子結(jié)構(gòu)，即腺嘌呤(A)，胸腺嘧啶(T)，胞嘧啶(C)，鳥嘌呤(G)。兩條單鏈DNA序列利用堿基互補配對規(guī)則通過氫鍵相互連接，其中，A與T配對，C與G配對。DNA編碼的8種組合方案如表1所示。

表1 DNA編碼規(guī)則

基于DNA計算的圖像加密算法通過利用DNA編碼的多樣性實現(xiàn)對像素的灰度加密。對于256階的單頻道圖像，每8位可以表示位長度為4的DNA序列?；叶戎低ㄟ^某種DNA編碼規(guī)則編碼，利用不同的規(guī)則解碼并實現(xiàn)了圖像灰度值加密。加密算法只需要掌握編碼規(guī)則的選擇即能控制圖像加解密過程。基于DNA的數(shù)字圖像空域加密算法的優(yōu)點在于支持高并行計算，適用于遙感圖像、醫(yī)學(xué)影像等滿足并行計算環(huán)境的場景。其缺點是加解密算法需要消耗大量的時間進行圖像DNA編碼和DNA計算。因此在不支持高并行計算的場景下，這類加密算法的加解密效率非常低。

2.4 S盒代換

在圖像加密領(lǐng)域，S盒代換作為一種高度非線性變化常常用于圖像的混淆，即使得明文與密文、密鑰與密文之間的統(tǒng)計相關(guān)性盡可能小，以抵御統(tǒng)計分析攻擊。許多加密算法中的非線性變換僅由S盒提供，因此圖像加密算法的安全性很大程度上依賴于S盒的性能。對于包含28色階的圖像，S盒通常將8位明文像素值分為高4位和低4位，然后根據(jù)顯示查找表得到代換后的值，作為密文保存。

S盒代換利用顯示查找表建立明文圖像與密文圖像的非線性映射關(guān)系，使明文與密文、密文與密鑰之間的關(guān)系更加復(fù)雜，從而提升了加密算法抵御統(tǒng)計分析攻擊的能力。進一步，S盒代換支持高并行計算，且S盒代換及其逆變換運用同一套運算體系，因此在某些場景下基于S盒代換的圖像加密算法在時間和空間方面可以進一步優(yōu)化。然而，傳統(tǒng)密碼學(xué)采用代數(shù)方式構(gòu)建S盒，雖然可以獲得高度的非線性，但由于結(jié)構(gòu)簡單，難以抵御差分-代數(shù)攻擊。因此在S盒構(gòu)建中，通常需要引入混沌理論、動態(tài)特性等，使S盒代換更為安全可靠，但也產(chǎn)生了一定的時間空間開銷，從而降低了圖像加密算法的運算效率。

3 加密系統(tǒng)安全評估方法

3.1 直方圖分析

直方圖[19]直觀地反映了圖像中各個灰度值的分布情況。明文圖像的直方圖表現(xiàn)出明顯的統(tǒng)計規(guī)律，針對統(tǒng)計規(guī)律的攻擊方案被稱為統(tǒng)計分析攻擊。統(tǒng)計分析攻擊是指攻擊者通過分析密文和明文的統(tǒng)計規(guī)律來破譯密碼。攻擊者對截獲的密文圖像進行統(tǒng)計分析，總結(jié)出其間的統(tǒng)計規(guī)律，并與明文的統(tǒng)計規(guī)律進行比較，從中提取明文圖像和密文圖像之間的變換關(guān)系，以達(dá)到攻擊加密方案的目的。因此，加密算法應(yīng)盡可能掩蓋密文圖像的統(tǒng)計信息，使密文圖像的像素直方圖趨近于一致，增加攻擊者構(gòu)建明文圖像與密文圖像變換關(guān)系的難度。直方圖的方差能有效量化加密算法抵御統(tǒng)計分析攻擊能力，其計算方法如下：

(2)

其中，Z={z1,z2,…,z256}，zi和zj表示像素值分別等于i和j的數(shù)量。直方圖方差能夠準(zhǔn)確量化圖像中的像素分布情況。方差越小，說明像素分布越均勻，圖像顯示的統(tǒng)計信息就越少，圖像加密方案就越安全。

3.2 相關(guān)性分析

相關(guān)性分析[19-20]是指對兩個或多個具備相關(guān)性的變量元素進行分析，從而衡量變量之間的相關(guān)密切程度。由于圖像相鄰像素之間的相關(guān)性非常高，攻擊者可以利用該特性推理預(yù)測出下一個像素的灰度值，從而實現(xiàn)對整個明文圖像的恢復(fù)。為了抵御類似攻擊，加密算法應(yīng)保證密文圖像盡可能少地顯示相鄰像素的相關(guān)性?？紤]到圖像的二維特性，像素的相鄰關(guān)系應(yīng)該至少包括水平相關(guān)、豎直相關(guān)和對角線相關(guān)。對應(yīng)的相關(guān)性分析包括相鄰像素的水平相關(guān)性、豎直相關(guān)性和對角線相關(guān)性。相鄰像素相關(guān)性計算方法如下：

(3)

其中，xi、yi分別表示相鄰兩像素的像素值，rxy即為兩相鄰像素的相關(guān)性。通常，明文圖像相鄰像素的相關(guān)性接近1，而密文圖像相鄰像素的相關(guān)性應(yīng)該接近于0。

3.3 信息熵

信息論之父克勞德·香農(nóng)給出的信息熵的三個性質(zhì)：單調(diào)性，發(fā)生概率越高的事件其攜帶的信息量越低；非負(fù)性，信息熵作為一種廣度量，非負(fù)性是一種合理的必然；累加性，多隨機事件同時發(fā)生存在的總不確定性的量度是可以表示為各事件不確定性的量度之和。在圖形圖像處理領(lǐng)域，信息熵[17,21]用來量化圖像所包含的信息量的多少，其計算方法如下：

(4)

其中，p(si)是信號si出現(xiàn)的概率。對于256階的灰度圖像，密文圖像理想的信息熵為8。密文圖像的信息熵越接近于8，說明其包含的信息量越少，攻擊者難以從密文圖像中獲取有用的信息，因此加密算法安全性越高。

3.4 差分攻擊

差分攻擊[22-23]是指攻擊者對大小為M×N的圖像P做少量改動得到P'，分別利用相同的安全密鑰加密P和P'得到C和C'，比較C和C'的區(qū)別以找到攻擊圖像加密方案的線索。當(dāng)C和C'表現(xiàn)出較大差異時，攻擊者就難以實施差分攻擊。在圖像加密領(lǐng)域，衡量兩張圖像的差異有兩個非常重要的變量：像素改變率(number of pixels change rate，NPCR)和一致平均改變強度(unified average changing intensity，UACI)，其計算方式如下：

(5)

(6)

像素改變率NPCR反映了兩張圖像相同位置不相等的像素的個數(shù)占圖像所有像素個數(shù)的比例；一直平均改變強度UACI反映了兩張圖像相同位置像素灰度值的差異。假設(shè)兩張圖像的像素值完全隨機，NPCR=99.609 4%，UACI=33.463 5%。

3.5 密鑰敏感度測試

密鑰敏感度測試[24]是為了檢測加密算法對安全密鑰的靈敏程度。當(dāng)攻擊者對密鑰做少量改動(哪怕只修改1位)，如果加密算法以不可預(yù)測的方式生成完全不同的密文圖像，則說明該加密算法對安全密鑰的敏感度高。密鑰敏感度測試可以通過修改安全密鑰K中的某一位得到K'，利用K和K'加密同一張圖像得到C和C'，采用像素改變率NPCR和一直平均改變強度UACI量化兩張密文圖像的差別。NPCR和UACI越接近理想值，說明加密算法對安全密鑰的敏感度越強，加密算法越安全。

3.6 密鑰空間分析

密鑰空間的大小取決于安全密鑰的長度。對于長度為L的二進制安全密鑰，其密鑰空間大小為2L，即攻擊者想要通過暴力攻擊的手段攻擊加密系統(tǒng)，理論上需要計算2L次才能保證一定能攻擊成功。以現(xiàn)階段計算機的計算能力來看，當(dāng)安全密鑰長度L=128，即密鑰空間大小為2128時，加密算法能抵御任何形式的暴力攻擊[20,25]。

3.7 時間和空間開銷分析

加密算法的時間和空間開銷是衡量加密算法性能的重要指標(biāo)之一[9,26-27]。特別是在物聯(lián)網(wǎng)環(huán)境下，移動終端難以提供充足的計算能力和存儲資源，加密算法的時間和空間開銷分析顯得尤為重要。時間開銷分析通常包括加/解密算法的時間復(fù)雜度分析和模擬平臺測試的真實的加/解密運行速度，通過對算法的時間復(fù)雜度的分析從理論上證明圖像加密算法在效率上的可行性，同時將該加密算法部署在測試平臺，給出實際加/解密效率的結(jié)果?？臻g開銷分析是指分析圖像加密算法在加/解密過程中占用的最大內(nèi)存單元，給出模擬平臺下需要的最大內(nèi)存資源。

4 結(jié)束語

在互聯(lián)共享的時代，數(shù)字圖像安全在公共信道的傳輸和不可信第三方的存儲過程中難以得到保障，使得個人隱私面臨嚴(yán)峻的隱私泄露的風(fēng)險。圖像加密是一種常用的保護數(shù)據(jù)機密性的重要技術(shù)手段。數(shù)字圖像空域加密方案充分利用了數(shù)字圖像的二維性、冗余性等，從像素坐標(biāo)和灰度值兩個方面構(gòu)建置亂+擴散的加密模型，保障數(shù)字圖像的機密性?；诓煌碚摰膱D像加密算法具備各自的優(yōu)勢，通過對比各種理論基礎(chǔ)的空域圖像加密算法可以為用戶根據(jù)自身場景下選擇合適的圖像加密方案。該文還列舉了重要的分析圖像安全性的指標(biāo)，提供了詳盡的安全性評估方法。

未來的研究中，考慮到感知層計算能力的局限性和圖像信號的稀疏結(jié)構(gòu)，結(jié)合壓縮感知技術(shù)的圖像加密方案將是一個重要的研究方向。壓縮感知技術(shù)能夠充分利用數(shù)字圖像的冗余性尋找欠定線性系統(tǒng)的稀疏解，在獲取和重構(gòu)稀疏或可壓縮信號的同時利用圖像加密技術(shù)保障感知層圖像采集和傳輸?shù)臋C密性。此外，由于數(shù)字圖像加密的安全性測試無法窮盡所有可能的攻擊方法，因此數(shù)字圖像加密的可證明安全也是一個重要的研究方向，為數(shù)字圖像加密方案提供數(shù)學(xué)上的保證。