加密图像安全性分析研究现状_图像加密算法安全性分析

一、Kerchoffs原则

根据Kerchoffs原则，密码系统的加密算法和解密算法应该是公开的，密码系统的安全性要取决于密钥的安全性[1]。密码分析学是基于己知密码算法但不知道密钥的情况下，试图从密文中破译出明文的科学。根据密码分析者可获得的密码分析的信息量把密码体制的攻击划分为以下五种[2]，这五种攻击方法的目的是获得用来解密的密钥或任一密文所对应的明文信息，攻击的强度按照顺序依次增强：

（1）唯密文攻击（COA）：除了拦截得到的一定数量的密文外（根据Kerchoffs原则，密码算法是公开的，以下同），密码分析者没有任何其他可用信息。由于唯密文攻击的条件下破译密文是最难实现的，因此现代密码学要求加密算法必须能抵抗唯密文攻击[2]。

（2）已知明文攻击（KPA）：分析者拦截得到了一定数量的明密文对。现代密码体制要求加密算法不仅要能抵抗唯密文攻击，还要能抵抗己知明文攻击[2]。

（3）选择明文攻击（CPA）：分析者暂时控制加密机，从而可以选择任意明文并得到对应的密文（加密算法使用了相同的密钥，其值对于分析者来说是未知的）[2]。

（4）选择密文攻击（CCA）：分析者暂时控制解密机，从而他可以选择任意密文并得到对应的明文（解密算法使用了相同的密钥，其值对于分析者来说是未知的）[2]。

（5）选择文本攻击（CTA）：分析者暂时控制加密机和解密机，从而他可以选择任意明文并得到对应的密文，同时还可以选择任意密文并得到对应的明文（加密密钥和解密密钥都是不变的，其值对于分析者来说是未知的）[2]。

[1] Stinson,D.R.Cryptography:Theory and Practic[M].CRC Press,1995.  

[2] 谷利泽，郑世慧，杨义先．现代密码学教程［Ｍ］．北京邮电大学出版社，2015．

图1.传统图像加密算法与RDH-EI加密加密算法及安全性分析

二、传统像素置乱加密算法及安全性分析

随着数字信息技术的飞速发展，图像数据通过各种有线/无线信道传输的频率越来越高。图像的机密性、身份认证和完整性经常受到诸如黑客、复制或恶意使用等非法活动的威胁。加密是一种保持机密性的解决方案。自二十世纪七十年代以来，人们提出了大量的加密方案，其中一些已被标准化并在世界各地广泛采用，例如数据加密标准(DES) [3]和先进的加密标准(AES)[4]。然而这些加密方案算法时间复杂度高，不适用于图像数据加密。根据数字图像的像素分布模式，图像加密算法往往采用以下三种类型：位置置换，改变像素值，混合加密形式[7]。其中置乱是图像加密常用的手段，这是因为置乱加密算法简单，和其他一些简单的像素值变换操作（例如XOR）相结合，可以生成高安全性的加密图像[7]。传统图像置乱加密分为单像素置乱、行列置乱和置乱-扩散三类。随着图像加密方案的构建，图像加密方法的安全分析或密码分析也得到了发展。

2.1单像素置乱及其安全性分析

单像素置乱完全打破像素间相关性，具有较高的安全性。如文献[5]-[7]中，通过生成一个随机位置矩阵打乱图像像素位置。文献[6]-[7]中，置乱操作被用于比特位以改变图像像素值。由于置乱加密不改变原始图像的像素值（比特值），文献[5]-[7]的研究表明，置乱加密无法抵抗已知明文攻击(KPA)和选择明文攻击(CPA)。2008年，文献[5]首先对置乱加密建立数学模型并进行定量分析，分析结果表明，在已知明文攻击下破解密文50%以上的图像内容至少需要logL(2(MN-1)) 对明文与对应密文，其中MN 为图像大小，L 为最大灰度值。该攻击算法在明密文之间采用遍历搜，算法的时间复杂度是O(n∙(MN)2)) ，其中n 为明密文图像对数。为减小文献[5]攻击算法时间复杂度，2011年，Li等人[6]基于二叉树搜索的原理提出一种已知明文攻击，该算法时间复杂度仅为 ο(n∙MN) 。文献[5]~[6]的攻击算法均不能得到完全正确的置乱矩阵，2016年，文献[7]基于二叉树查找提出一种选择明文攻击，选择明文攻击的核心是构造像素坐标值取交集后有唯一解的明文图像组，在选择明文攻击下，攻击者可以得到完全正确的置乱矩阵，正确估计置乱矩阵所需要的明文-密文对数为 logL(MN) 。选择明文虽然可以完全恢复置乱矩阵，但是攻击难度较高，因为用构造的非自然图像去加密，显然会引起加密用户的怀疑。其他针对像素置乱加密的已知明文攻击如文献[8-9]。

[3] Announcing the Data Encryption Standard (DES), NIST Standard 46-3,1999.

[4] Announcing the Advanced Encryption Standard (AES), NIST Stan-dard 197, 2001.

[5]  Li S , i C , Chen G , et al. A general quantitative cryptanalysis of permutation-only multimedia ciphers againstplaintext attacks[J]. Signal Processing: Image Communication, 2008, 23(3):212-223.

[6] Li C , Lo K T . Optimal quantitative cryptanalysis of permutation-only multimedia ciphers against plaintext attacks[J]. Signal Processing, 2011,91(4):949-954.

[7] Jolfaei A., Wu X., Muthukkumarasamy V. On the security of permutation-only image encryption schemes[J], IEEE Transactions on Information Forensics and Security, 2016, 11(2): 235–246.

[8]  Li S , Li C , Lo K T , et al. Cryptanalysis of an Image Scrambling Scheme Without Bandwidth Expansion[J]. IEEE Transactions on Circuits and Systems for Video Technology, 2008, 18(3):338-349.

[9] Li W , Yan Y , Yu N . Breaking Row-Column Shuffle Based Image Cipher[C]// Proceedings of the 20th ACM international conference on Multimedia. ACM, 2012.

2.2 像素行列置乱及其安全性分析

像素行列置乱加密算法仅置乱图像的行与列，加密图像的安全性低于像素置乱。文献[10]利用行列像素间相关性，提出一种唯密文攻击，攻击者只需得到密文图像便可完全恢复原始图像，可见，行列置乱仅改变像素位置生成的加密图像安全性不高。为改变像素的值，研究者提出一种利用一维混沌系统对所有像素比特位行列置乱加密方案[11]。2016年，Li等人在文献[12]中对图像像素比特位行列置乱加密进行了完整的安全性分析，分别用了不同攻击测试了该种加密方式的安全性能，揭示了像素比特行列置乱加密算法并不能有效的抵抗已知/选择明文攻击，攻击者甚至可以无失真恢复密文图像。

[10] Li W , Yan Y , Yu N . Breaking Row-Column Shuffle Based Image Cipher[C]// Proceedings of the 20th ACM international conference on Multimedia. ACM, 2012.

[11] Ye, G.D.: Image scrambling encryption algorithm of pixel bit based on chaos map. Pattern Recognition Lett. 31, 347–354 (2010)

[12] Li C , Lin D , Lü, Jinhu. Cryptanalyzing an Image-Scrambling Encryption Algorithm of Pixel Bits[J]. IEEE Multimedia, 2016, 24(3):64-71. 

2.3 置乱-扩散加密及其安全性分析

置乱-扩散加密首先将明文图像像素值位置置乱，接着对像素值加密并进行多轮循环。位置置乱和像素值扩散分别由密钥控制，经过多轮循环达到明文和密钥的充分混乱。对于置换－扩散加密的安全性分析，Rhouma等人[13]、Cokal等人[14]分别提出了分析方法，但仅限于一轮分析。Solak等人[15]在选择密文攻击条件下分析了文献[23]的加密算法，该攻击算法实现的难度随着轮数的增加而增加。Zhang等人[17]采用文献[14,15]的方法分析了文献[16]提出的加密算法并对该加密算法提出了改进。在[18]中首次提出了双差分比较方法，该方法对多轮加密的分析也有效。在[19]中提出的密码本攻击可以有效地破解[20]中的多轮的置乱－扩散结构加密方法。

针对不多的其他类型的加密方法，也有相关的分析工作。Xiao等人[21]成功地分析了基于Ｓ盒的图像加密方法，指出在选择明文的条件下，计算复杂度仅为 ο(128∙MN) ，其中MN 是图像的尺寸。Yap等人[22]成功分析了一个多轮交替加密的图像算法的安全性问题。  

[13] Rhouma R , Belghith S . Cryptanalysis of a new image encryption algorithm based on hyper-chaos[J]. Physics Letters A, 2008, 372(38):5973-5978.

[14]C.Cokal, E.Solak, Cryptanalysis of a chaos-based image encryption algorithm,Pgys.Lett.A373(15)(2009)1357-1360.

[15] Solak E , OKAL, CAHIT, Yildiz O T , et al. Cryptanalysis of fridrich’s chaotic image encryption. [J]. International Journal of Bifurcation and Chaos, 2010, 20(05):1405-1413.

[16] Fu C , Meng W H , Zhan Y F , et al. An efficient and secure medical image protection scheme based on chaotic maps[J]. Computers in Biology and Medicine, 2013, 43(8):1000-1010.

[17] Li-Bo Z , Zhi-Liang Z , Ben-Qiang Y , et al. Cryptanalysis and Improvement of an Efficient and Secure Medical Image Protection Scheme[J]. Mathematical Problems in Engineering, 2015, 2015:1-11.

[18] Chen L , Wang S . Differential cryptanalysis of a medical image cryptosystem with multiple rounds[J]. Computers in Biology & Medicine, 2015.

[19] Chen L , Ma B , Zhao X , et al. Differential cryptanalysis of a novel image encryption algorithm based on chaos and Line map[J]. Nonlinear Dynamics, 2017, 87(3):1797-1807.

[20] Zhou G , Zhang D , Liu Y , et al. A novel image encryption algorithm based on chaos and Line map[J]. Neurocomputing, 2015, 169:150-157.

[21] Zhang Y , Xiao D . Cryptanalysis of S-box-only chaotic image ciphers against chosen plaintext attack[J]. Nonlinear Dynamics, 2013, 72(4):751-756.

[22]Yap W S , Phan C W , Yau W C , et al. Cryptanalysis of a new image alternate encryption algorithm based on chaotic map[J]. Nonlinear Dynamics, 2015, 80(3):1483-1491.

[23] Fridrich, Jiri. Symmetric Ciphers Based on Two-Dimensional Chaotic Maps[J]. International Journal of Bifurcation and Chaos, 1998, 08(06):1259-1284.