为了满足明文攻击抵抗，比较流行的方法是取得明文的固有特征，然后将其隐藏在原始密钥流里面，这样混沌系统产生的密钥流则不仅跟初始值有关，还跟明文相关。即不同的明文会产生完全不同的密钥流。明文特征提取的方法通常包括hash值，所有像素的和，计算汉明距离等等 [ 19 ] [ 20 ] 。本文将依赖于系统的密钥和原文的SHA-256值构造一个密钥产生器，类似的算法如 [ 7 ] [ 15 ] [ 17 ] [ 18 ] [ 21 ] 。令H表示明文的hash值，按位顺序，将H分成4个部分： h 1 , h 2 , h 3 , h 4 ，每个部分包括16个十六进制数。由(2)将每个部分转化为十进制的浮点数，使得 d i ∈ ( 0 , 1 ) , i = 1 … 4 ，图3展示了初始值的计算过程。

d 1 = h e x 2 d e c ( h i ) 2 64 , i = 1 , ⋯ , 4 . (2)

图1. 超混沌Lorenz系统的吸引子，(a) x – y；(b) x – z；(c) x – w；(d) y – z；(e) y – w；(f) z – w

图2. (1)的Lyapunov指数图

图3. 产生密钥的流程图

输入初始值 x 0 , y 0 , z 0 , w 0 作为密钥，根据(3)，将所有密钥相加

s = x 0 + y 0 + z 0 + w 0 mod 1 . (3)

根据(4)，更新所有初始值，这些初始值将被应用在迭代系统(1)中。

x 0 = d 1 + x 0 + s mod 40 ; y 0 = d 2 + y 0 + s mod 40 ; z 0 = d 3 + z 0 + s mod 81 ; w 0 = d 4 + w 0 + s mod 250 (4)

密钥产生器的详细结构展示在算法1。

图4展示R通道的算法加密结构，其余通道加密方式一样。首先由超混沌映射Lorenz产生4个跟明文相关的序列，然后将彩色明文P分解成R，G，B三个通道，再将每个通道分解成比特平面(BBD) [ 22 ] [ 23 ] ，先对每个通道的行循环移位以及异或取反扩散操作，再对每个通道的列循环移位及异或取反操作，最后将比特平面转化成像素平面(BBC)，并组合三个通道，得到密图。详细步骤展现在算法2。

算法1:密钥产生器

输入:超混沌Lorenz映射的初始值x₀，y₀，z₀，w₀以及用来避免瞬态效应的参数L，和明文P；

输出:序列x_{1,M × N}，y_{1,M × N}，z_{1,M × N}，w_{1,M × N}，这些序列将被用在整个系统中；

1. 设置超混沌Lorenz映射的参数a = 10, b = 8/3, c = 28, r = −1；

2. 根据3.1，跟新初始值x₀，y₀，z₀，w₀；

3. 用更新后的初始值x⁰，y⁰，z⁰，w⁰，对超混沌Lorenz映射迭代，并得到4个序列x1，y1，z1，w1，再更新4个序列：x1 = x1 − ⌊x1⌋，y1=y1 − ⌊y1⌋，z1=z1 − ⌊z1⌋，w1=w1 − ⌊w1⌋，其中⌊ ⌋表示四舍五入。

4. 选取x，y，z，w：x = x1(L + 1:L + 1 + M × N)，y = y1(L + 1:L + 1 + M × N)，z = z1(L + 1:L + 1 + M × N)，w = w1(L + 1:L + 1 + M × N)；其中M，N表示明文大小。

算法2:图像加密

输入：明文彩色图像P，算法1中产生的混沌序列x, y, z, w；

输出：密图C；

1. 得到明文的三个通道R，G，B，并由BBD分解得到比特平面图像：Rbit，Gbit，Bbit；

2. 将Rbit，Gbit，Bbit分别变成r_M,8N，g_M,8N，b_M,8N，并初始化矩阵RB_M,8N，GB_M,8N，BB_M,8N；

3. 处理混沌序列x，y，z，令X = x，X = floor(X × 10¹⁴) mod 256，再将X用比特平面表示，最后将X转换为大小为M × 8N，y，z也做同样操作，得到X，Y，Z；

4. for i=1:M

5. kr = floor(abs(x(i))×10⁵) mod M 对R通道的置乱扩散，floor表示向下取整；

6. tr = circshift(r(i,:)', kr)' circshift表示循环移位函数；

7. if i==1

8. RB(i,:)=bitxor(tr,r(end,:)) bitxor表示异或；

9. else

10. RB(i,:)=bitxor(bitxor(tr,RB(i-1,:)),X(i,:));

11. end

12. if w(i)>0

13. RB(i,:)=fliplr(RB(i,:) fliplr表示取反；

14. end

15. kg = floor(abs(y(i))×10⁵) mod M对G通道的置乱扩散；

16. tg = circshift(g(i,:)', kg)'

17. if i==1

18. GB(i,:)=bitxor(tg,g(end,:))bitxor表示异或；

19. else

20. GB(i,:)=bitxor(bitxor(tg,GB(i-1,:)),Y(i,:));

21. end

22. if w(i)<0.2

23. GB(i,:)=fliplr(GB(i,:)；

24. end

25. kb = floor(abs(z(i))×10⁵) mod M 对B通道的置乱扩散；

26. tb = circshift(b(i,:)', kb)'

27. if i==1

28. BB(i,:)=bitxor(tb,b(end,:))；

29. else

30. BB(i,:)=bitxor(bitxor(tb,BB(i-1,:) ),Z(i,:));

31. end

32. 接下来对三个通道(R，G，B)的列进行类似的移位异或取反操作，这边仅给出 通道，其余类似不再赘叙；

33. 初试化矩阵RBC_M,8N，GBC_M,8N，BBC_M,8N，令A = 8 × N；

34. for i=1:8×N

35. kr = floor(abs(y(i))×10⁸) mod A；；

36. tr = circshift(RB(:,i), kr)；

37. i==1

38. RBC(:,i)=bitxor(tr,RB(:,end))；

39. else

40. RBC(:,i)=bitxor(bitxor(tr,RBC(:,i-1)),Y(:,i))；

41. end

42. if w(i)>0

43. RBC(:,i)=fliplr(RBC(:,i)；

44. end

45. 再对G，B通道做类似的操作；

46. end

47.分别将RBC，GBC，BBC转换为像素平面矩阵，再组合成一幅密图C。

本节将通过直方图、相邻像素之间的相关性和信息熵这几个方面来评估算法抵抗统计攻击的能力。

密钥空间是指所有合法密钥构成的集合，图像密码系统的密钥空间应该足够大，从而可以有效地对抗穷举攻击，特别是加密解密速度非常快的密码系统，密码长度至少应该为128b [ 14 ] ，本文所提出的加密系统有5个密钥： x 0 , y 0 , z 0 , w 0 , L ，设计算机精度为10⁻¹⁶，图像大小为512 × 512， ，则整个密

钥空间至少约为: L = log 2 ( 10 16 ) 4 ≈ 213 b ，这个值远远大于128b，这意味着我们的算法能够经受得住暴力破解。

为了保证系统的安全性，一个优良的加密系统必须对密钥极端敏感，即当使用不同的密钥对密码图像进行解密时，将得不到明文。在实验中，我们将用密钥key去加密Lena，得到密图，而用几个与key差别极其微小的密钥去解密密图，如果系统足够敏感的话，是无法得到明文的，图8展示了密钥敏感性测试，同时，表4展示了用key1~key5解密图与用key加密的密图之间的NPCR和UACI。

key = [ x 0 = 1.751231 ; y 0 = 1.53262871 ; z 0 = 13.18344121 ; w 0 = 1.627362 ; L = 2000 ]

key1 = [ x 0 = 1.75123100000001 ; y 0 = 1.53262871 ; z 0 = 13.18344121 ; w 0 = 1.627362 ; L = 2000 ]

key2 = [ x 0 = 1.751231 ; y 0 = 1.53262871000001 ; z 0 = 13.18344121 ; w 0 = 1.627362 ; L = 2000 ]

key3 = [ x 0 = 1.751231 ; y 0 = 1.53262871 ; z 0 = 13.18344121000001 ; w 0 = 1.627362 ; L = 2000 ]

key4 = [ x 0 = 1.751231 ; y 0 = 1.53262871 ; z 0 = 13.18344121 ; w 0 = 1.62736200000001 ; L = 2000 ]

表2. 信息熵实验结果

表3. 不同明文图像和分别对应本文算法得到密文图像的各颜色通道信息熵

图8. 加密敏感性测试：(a)~(f)分别为用key和key1~key 5去解密key所产生密文的明文

表4. 用极小差别密钥解密的图片与密文的NPCR和UACI (%)

key5 = [ x 0 = 1.751231 ; y 0 = 1.53262871 ; z 0 = 13.18344121 ; w 0 = 1.627362 ; L = 2001 ]

在图像加密系统中，差分分析指探究在相同加密密钥的条件下，密文图像会在多大程度上受明文图像的影响，攻击者通常通过选择明文分析或选择密文分析来实现差分攻击，为了测试加密系统对明文的极端敏感性，采用两个常用的度量：不同密文图像之间的像素改变率(number of pixels change rate, NPCR)和不同密文图像之间的一致改变强度(unified average changing intensity, UACI)，NPCR是用来比较两幅图像相应位置的像素点的值，记录不同的像素点个数占全部像素点的比例，而UACI则是比较两幅图像相应位置的像素点的值，记录它们的差值，然后计算全部相应位置像素点的差值与最大差值(即255)的比值的平均值。在数学上，它们定义如下：

NPCR = 1 W × H ∑ i = 0 H ∑ j = 0 W D ( i , j ) × 100 % (10)

UACI = 1 W × H ∑ i = 0 H ∑ j = 0 W | c 1 ( i , j ) − c 2 ( i , j ) | 255 (11)

D ( i , j ) = { 0     if   c 1 ( i , j ) = c 2 ( i , j ) 1       if   c 1 ( i , j ) ≠ c 2 ( i , j ) (12)

W , H 分别是图像的行数和列数， c 1 ( i , j ) , c 2 ( i , j ) 分别是对应需要被衡量的两幅图像，本文指用同一个密钥加密仅改变一个明文像素值的两幅密图。理论上来说两幅随机图像的NPCR，UACI理论期望值分别约为99.6094%，33.4635%，本文将用彩色图像Lena和Mandrill来完成差分实验，对于每一个实验图片，将随机选取1000个像素点，每次改变一个像素值，得到一个新的图像，然后用同样的密钥去加密两个相差仅一个像素的原密钥加密仅改变一个明文像素值的两幅密图。理论上来说两幅随机图像的NPCR，UACI理论期望值分别约为99.6094%，33.4635%，本文将用彩色图像Lena和Mandrill来完成差分实验，对于每一个实验图片，将随机选取1000个像素点，每次改变一个像素值，得到一个新的图像，然后用同样的密钥去加密两个相差仅一个像素的原图，实验数据结果呈现在表5，表6以及NPCR，UACI的曲线变化图如图9所示。期望值分别约为99.6094%，33.4635%，本文将用彩色图像Lena和Mandrill来完成差分实验，同时对于明文Lena图像的每个颜色通道，随机地选取的100个像素值，对每个灰度值仅随机改变1个像素值，然后用本文提出加密算法去加密改变前后的明文图像Lena，得到对应每个颜色通道的100个NPCR，UACI曲线变化图如图10所示，实验数据结果呈现在表7。实验结果表明，本文提出的算

表5. 不同明文的NPCR (%)

表6. 不同明文的UACI (%)

表7. Lena图像改变前后对应密文之间的NPCR和UACI序列的最大值、最小值和平均值(%)

图9. 只改变一个像素值的1000张图片的NPCR和UICA，(a) NPCR，(b) UACI

图10. (a)~(c)和(d)~(f)分别是明文图像改变前后得到的密文之间的NPCR和UACI变化曲线

法所得的NPCR，UACI值极其地接近期望值，这表明本文算法达到一个优良的扩散性能，它对原文非常敏感。所以它能够抵抗差分攻击。