1. 引言

流密码算法作为一类重要的密码体制是当前密码学的热门研究问题之一，也是信息安全领域的基础内容之一，在数字信息加密领域得到广泛应用 [1] [2] [3]。自1949年Shannon提出完善保密系统模型以来 [2]，已有不少学者对其相关的理论模型和实际应用进行了研究 [3] [4]。当前，普遍认为完善保密系统模型是流密码算法的理论基础，其中，常见的二元流密码算法是基于模2加法运算来进行设计的，它所使用的基本运算过于简单，这会影响整个算法的加密效果和安全性。最近的文献 [3] 推广了现有的完善保密系统模型，将流密码系统设计分为基本密码系统设计和应用密码系统设计，其中的一个关键是将常见的二元加法密码系统中的模2加法基本系统推广为一般的拉丁方基本系统。这样，与以前的基本系统设计相比，该模型最大的特点在于所能设计的基本系统的种类更加丰富、设计技巧更加灵活，并且能够有效地提高算法的复杂度。当前，已有文献 [4] 专门研究了4阶正交拉丁方组基本系统的设计方法，但尚未有文献对利用更高阶的正交拉丁方组设计基本密码系统的方法进行讨论。因此，本文将研究利用8阶正交拉丁方组设计基本密码系统的方法，并结合Henon混沌系统研究一种新的混沌流密码系统的设计与实现问题。

1997年，Fridrich首次将混沌系统应用到数字图像加密中 [5]。此后，因混沌系统具有初值敏感性和类随机性等特点，故在信息加密领域中得到广泛应用。由于一维混沌系统具有初始可控参数少，生成的序列随机性较差等缺点，因此，现在常用更高维的混沌系统来设计安全性更高的密码算法 [6]。本文将先利用8阶正交拉丁方组设计一个基本系统，之后再结合二维Henon混沌系统所设计的密钥序列空间来完成整个流密码算法的设计。

2. Henon系统

考虑到混沌系统所具有的初值敏感性和伪随机性等特点，本文将具体利用Henon混沌系统进行密钥序列空间的设计，简要介绍如下。

Henon映射是一类二维非线性混沌系统，其映射方程 [7] 如下：

$\{\begin{array}{l}{x}_{n+1}=1-a{x}_n^2+y_n\hfill \\ y_{n+1}=b{x}_n\hfill \end{array}$ (1)

其中， $a,b$ 为控制参数，取 $a=1.4,b=0.3,x_0,y_0\in \left(0,1\right)$ 时，整个系统处于混沌状态 [7]。为方便实际应用，还需用对混沌解序列进行某种变换，如取模运算等。

3. 基于正交拉丁方的流密码算法设计

3.1. 基本密码系统设计

在基本密码系统设计时需要利用拉丁方，介绍如下。

定义3.1若存在 $n\left(n\ge 2\right)$ 阶方阵A，使得 $Z_n=\left\{0,1,\cdots ,n-1\right\}$ 上每个元素在A的每一行和每一列里仅出现一次，则称方阵A为n阶拉丁方。设 $A={\left(a_{ij}\right)}_{n\times n}$ 和 $B={\left(b_{ij}\right)}_{n\times n}$ 都是n阶拉丁方，若 $\left(A,B\right)$ 的n²个元素组成的集合等于 $\left\{\left(i,j\right)|i,j=0,1,\cdots ,n-1\right\}$，则称A和B正交。特别地，当 $k\left(k\ge 2\right)$ 个拉丁方 $A_1,A_2,\cdots ,A_k$ 两两正交时，则称 $A_1,A_2,\cdots ,A_k$ 为正交拉丁方组。

文献 [4] 对4阶正交拉丁方组所设计的基本密码系统进行了研究。本文将利用如下更高的8阶正交拉丁方组来设计基本密码系统：

$L_1=\left[\begin{array}{cccccccc}7& 0& 1& 2& 3& 4& 5& 6\\ 6& 1& 0& 3& 2& 5& 4& 7\\ 5& 2& 3& 0& 1& 6& 7& 4\\ 4& 3& 2& 1& 0& 7& 6& 5\\ 3& 4& 5& 6& 7& 0& 1& 2\\ 2& 5& 4& 7& 6& 1& 0& 3\\ 1& 6& 7& 4& 5& 2& 3& 0\\ 0& 7& 6& 5& 4& 3& 2& 1\end{array}\right]=\left[\begin{array}{c}{T}_0\\ T_1\\ T_2\\ T_3\\ T_4\\ T_5\\ T_6\\ T_7\end{array}\right],L_2=\left[\begin{array}{cccccccc}7& 0& 1& 2& 3& 4& 5& 6\\ 3& 4& 5& 6& 7& 0& 1& 2\\ 6& 1& 0& 3& 2& 5& 4& 7\\ 2& 5& 4& 7& 6& 1& 0& 3\\ 1& 6& 7& 4& 5& 2& 3& 0\\ 5& 2& 3& 0& 1& 6& 7& 4\\ 0& 7& 6& 5& 4& 3& 2& 1\\ 4& 3& 2& 1& 0& 7& 6& 5\end{array}\right]=\left[\begin{array}{c}{T}_8\\ T_9\\ T_{10}\\ T_{11}\\ T_{12}\\ T_{13}\\ T_{14}\\ T_{15}\end{array}\right]$ (2)

其中， $L_1,L_2$ 中的每一行可看成 $M=\left\{0,1,2,3,4,5,6,7\right\}$ 的一个可逆变换，比如 $T_1:Z_8\leftrightarrow Z_8$ 表示如下可逆变换：

$T_1\left(0\right)=6,T_1\left(1\right)=1,T_1\left(2\right)=0,T_1\left(3\right)=3,T_1\left(4\right)=2,T_1\left(5\right)=5,T_1\left(6\right)=4,T_1\left(7\right)=7.$

这样，利用上述两个8阶正交拉丁方可设计出理论基本密码系统 $\left(M,C,T\right)$，其中

$M=C=Z_8=Z_2^3,T=\left\{T_0,T_1,T_2,\cdots ,T_{15}\right\}.$

下面再考虑与 $\left(M,C,T\right)$ 相应的实际基本密码系统 $\left(M,C,K,E,D\right)$ 的设计问题。将 $Z_8$ 和 $Z_2^3$ 相互对应的十进制整数和3比特向量不加区别。对任意的 $m=m_1{m}_2{m}_3\in Z_8$ 和 $c=c_1{c}_2{c}_3\in Z_8$ ：

$T_0\left(m\right)=\left(m+7\right)\mathrm{mod}8$

$T_1\left(m\right)=\left[\left(3\times m_2{m}_3+1\right)\mathrm{mod}4+4\times m_1+1+4\times {\bar{m}}_3\right]\mathrm{mod}8$

$T_2\left(m\right)=\left[\left(m_2{m}_3+2\right)\mathrm{mod}4+4\times m_1+3+4\times m_3\right]\mathrm{mod}8$

$T_3\left(m\right)=\left[\left(3\times m_2{m}_3+3\right)\mathrm{mod}4+4\times m_1+1\right]\mathrm{mod}8$

$T_4\left(m\right)=\left(m_2{m}_3+4\times {\bar{m}}_1+7\right)\mathrm{mod}8$

$T_5\left(m\right)=\left[\left(3\times m_2{m}_3+1\right)\mathrm{mod}4+4\times {\bar{m}}_1+1+4\times {\bar{m}}_3\right]\mathrm{mod}8$

$T_6\left(m\right)=\left[\left(m_2{m}_3+2\right)\mathrm{mod}4+4\times {\bar{m}}_1+3+4\times m_3\right]\mathrm{mod}8$

$T_7\left(m\right)=\left[\left(3\times m_2{m}_3+3\right)\mathrm{mod}4+4\times {\bar{m}}_1+1\right]\mathrm{mod}8$

对应的逆变换的代数式如下：

$T_0^{-1}\left(c\right)=\left(c+1\right)\mathrm{mod}8$

${T^{\prime }}_1\left(c\right)=\left(3\times c_2{c}_3+1\right)\mathrm{mod}4+4\times c_1,T_1^{-1}\left(c\right)={T^{\prime }}_1\left[\left(c+3+4\times c_3\right)\mathrm{mod}8\right]$

${T^{\prime }}_2\left(c\right)=\left(c_2{c}_3+2\right)\mathrm{mod}4+4\times c_1,T_2^{-1}\left(c\right)={T^{\prime }}_2\left[\left(c+1+4\times c_3\right)\mathrm{mod}8\right]$

${T^{\prime }}_3\left(c\right)=\left(3\times c_2{c}_3+3\right)\mathrm{mod}4+4\times c_1,T_3^{-1}\left(c\right)={T^{\prime }}_3\left[\left(c+7\right)\mathrm{mod}8\right]$

${T^{\prime }}_4\left(c\right)=\left(c_2{c}_3+4\times {\bar{c}}_1\right),T_4^{-1}\left(c\right)={T^{\prime }}_4\left[\left(c+1\right)\mathrm{mod}8\right]$

${T^{\prime }}_5\left(c\right)=\left(3\times c_2{c}_3+1\right)\mathrm{mod}4+4\times {\bar{c}}_1,T_5^{-1}\left(c\right)={T^{\prime }}_5\left[\left(c+3+4\times c_3\right)\mathrm{mod}8\right]$

${T^{\prime }}_6\left(c\right)=\left(c_2{c}_3+2\right)\mathrm{mod}4+4\times {\bar{c}}_1,T_6^{-1}\left(c\right)={T^{\prime }}_6\left[\left(c+1+4\times c_3\right)\mathrm{mod}8\right]$

${T^{\prime }}_7\left(c\right)=\left(3\times c_2{c}_3+3\right)\mathrm{mod}4+4\times {\bar{c}}_1,T_7^{-1}\left(c\right)={T^{\prime }}_7\left[\left(c+7\right)\mathrm{mod}8\right]$

其中， $m_1\in Z_2,m_2{m}_3\in Z_4,{\bar{m}}_1=1-m_1$，×表示实数乘法，类似地可将 $T_8,T_9,\cdots ,T_{15}$ 的变换式及其逆变换式全部写出。因此，式(2)中2个拉丁方的每一行所决定的变换及其逆变换都可以用代数式来表示。这样，可将实际基本密钥空间设计为 $k=k_1{k}_2{k}_3{k}_4\in Z_{16}$，并将加解密变换设计如下：

a) 基本加密变换E：对任意3比特明文 $m=m_1{m}_2{m}_3\in Z_8$ 和4比特密钥 $k=k_1{k}_2{k}_3{k}_4\in Z_{16}$，其中 $m_1,m_2,m_3,k_1,k_2,k_3,k_4\in Z_2$，可利用如下统一代数式将加密变换 $c=E\left(m,k\right)$ 设计为：

$\begin{array}{c}c={\tilde{k}}_0\times T_0\left(m\right)+{\tilde{k}}_1\times T_1\left(m\right)+{\tilde{k}}_2\times T_2\left(m\right)+{\tilde{k}}_3\times T_3\left(m\right)+{\tilde{k}}_4\times T_4\left(m\right)+{\tilde{k}}_5\times T_5\left(m\right)\\ +{\tilde{k}}_6\times T_6\left(m\right)+{\tilde{k}}_7\times T_7\left(m\right)+{\tilde{k}}_8\times T_8\left(m\right)+{\tilde{k}}_9\times T_9\left(m\right)+{\tilde{k}}_{10}\times T_{10}\left(m\right)\\ +{\tilde{k}}_{11}\times T_{11}\left(m\right)+{\tilde{k}}_{12}\times T_{12}\left(m\right)+{\tilde{k}}_{13}\times T_{13}\left(m\right)+{\tilde{k}}_{14}\times T_{14}\left(m\right)+{\tilde{k}}_{15}\times T_{15}(\; m\; )\end{array}$

其中， ${\tilde{k}}_0={\bar{k}}_1\wedge {\bar{k}}_2\wedge {\bar{k}}_3\wedge {\bar{k}}_4$， ${\tilde{k}}_1={\bar{k}}_1\wedge {\bar{k}}_2\wedge {\bar{k}}_3\wedge k_4$， ${\tilde{k}}_2={\bar{k}}_1\wedge {\bar{k}}_2\wedge k_3\wedge {\bar{k}}_4$， ${\tilde{k}}_3={\bar{k}}_1\wedge {\bar{k}}_2\wedge k_3\wedge k_4$， ${\tilde{k}}_4={\bar{k}}_1\wedge k_2\wedge {\bar{k}}_3\wedge {\bar{k}}_4$， ${\tilde{k}}_5={\bar{k}}_1\wedge k_2\wedge {\bar{k}}_3\wedge k_4$， ${\tilde{k}}_6={\bar{k}}_1\wedge k_2\wedge k_3\wedge {\bar{k}}_4$， ${\tilde{k}}_7={\bar{k}}_1\wedge k_2\wedge k_3\wedge k_4$， ${\tilde{k}}_8=k_1\wedge {\bar{k}}_2\wedge {\bar{k}}_3\wedge {\bar{k}}_4$，

${\tilde{k}}_9=k_1\wedge {\bar{k}}_2\wedge {\bar{k}}_3\wedge k_4$， ${\tilde{k}}_{10}=k_1\wedge {\bar{k}}_2\wedge k_3\wedge {\bar{k}}_4$， ${\tilde{k}}_{11}=k_1\wedge {\bar{k}}_2\wedge k_3\wedge k_4$， ${\tilde{k}}_{12}=k_1\wedge k_2\wedge {\bar{k}}_3\wedge {\bar{k}}_4$， ${\tilde{k}}_{13}=k_1\wedge k_2\wedge {\bar{k}}_3\wedge k_4$， ${\tilde{k}}_{14}=k_1\wedge k_2\wedge k_3\wedge {\bar{k}}_4$， ${\tilde{k}}_{15}=k_1\wedge k_2\wedge k_3\wedge k_4$。

b) 基本解密变换D：对任意3比特密文 $c=c_1{c}_2{c}_3\in Z_8$ 和4比特密钥 $k=k_1{k}_2{k}_3{k}_4\in Z_{16}$，其中

$c_1,c_2,c_3,k_1,k_2,k_3,k_4\in Z_2$，可利用如下统一代数式将解密变换 $m=D\left(c,k\right)$ 设计为： $m={\displaystyle \underset{i=0}{\overset{15}{\sum }}{\tilde{k}}_i\times T_i^{-1}\left(c\right)}$。

3.2. 算法设计

参照文献 [3]，可将流密码系统设计分为基本密码系统和应用密码系统设计。其中，应用密码系统设计的关键在于密钥序列空间的设计。下面就综合利用上述基本密码系统和Henon混沌系统来设计整个流密码算法，其设计步骤如下：

a) 选取大小为 $M\times N$ 的灰度图像P，并将其表示成数字矩阵 $I={\left(m_{ij}\right)}_{M\times N}$，其中 $m_{ij}\in Z_{256},i\in \left\{0,1,\cdots ,M-1\right\},j\in \left\{0,1,\cdots ,N-1\right\}$ ；

b) 将矩阵I中每个像素值读取的8比特序列 $m={\tilde{m}}_1{\tilde{m}}_2{\tilde{m}}_3\cdots$ 转换为2元序列，其中， ${\tilde{m}}_1=m_1{m}_2{m}_3\cdots m_8$ 等。同时，对每个8比特进行逐3比特的分组，转换为8元序列，其中， ${\bar{m}}_1=m_1{m}_2{m}_3\in Z_8,{\bar{m}}_2=m_4{m}_5{m}_6\in Z_8$，剩余2比特 $m_7{m}_8$ 不参与分组和加密，等等；

c) 选定初始参数 $x_0=0.000001,y_0=0.000001,a=1.4,b=0.3$ 代入Henon混沌系统，迭代产生混沌序列并对1进行取模运算，然后通过取整变换为2元序列，再将2元序列变换为16元密钥流序列 $z={\tilde{k}}_1{\tilde{k}}_2\cdots$，其中， ${\tilde{k}}_1=k_1{k}_2{k}_3{k}_4$，等等；

d) 加密变换：依次对步骤(b)处理后所得到的8元序列进行加密。先对明文序列m中每个8比特 ${\tilde{m}}_j$ 中的分组如 ${\bar{m}}_1{\bar{m}}_2$ 进行加密 ${\bar{c}}_i=E\left({\bar{m}}_i,{\tilde{k}}_j\right),i=1,2;j=1,2,\cdots$，可得到加密后的分组序列 ${\bar{c}}_1{\bar{c}}_2$，转换成6比特后拼接上未作加密的2比特 $m_7{m}_8$，从而得到8比特的密文分组 ${\tilde{c}}_j$，对矩阵I中的所有像素值加密完成后即可得到密文图像c；

e) 解密变换：依次对经过步骤(d)加密处理的每个密文序列c进行解密。同样只对8比特密文分组 ${\tilde{c}}_j$ 决定的3比特序列 ${\bar{c}}_1{\bar{c}}_2$ 进行解密 ${\bar{m}}_i=D\left({\bar{c}}_i,{\tilde{k}}_j\right),i=1,2;j=1,2,\cdots$，可得到解密后的序列 ${\bar{m}}_1{\bar{m}}_2$，转换成6比特后拼接上未作加密的2比特 $m_7{m}_8$，从而得到8比特的明文序列m，全部解密完成即可得到明文图像P。

特别说明如下：将矩阵I中每个像素值转换成8比特的2元序列后，为避免逐3比特分组不完整的情况，只需对前6位比特进行加密。由于灰度图像的效果主要由每个像素值的高位决定，因此只对每个8比特像素的前6位进行加密并不影响图像的加解密效果。

3.3. 仿真结果及分析

本文选取了大小为256 × 256的灰度图像Lena，根据上述算法步骤进行加解密，绘制了加密前后的图像直方图，与文献 [8] 所提出的复合两种混沌系统(Kawakami混沌系统和Bao混沌系统)且基于模2加法设计基本密码系统的流密码算法进行比较，仿真结果见图1。为方便叙述，本文将把文献 [8] 所提出的算法作为对比算法与本算法进行加密效果比较。

图像的直方图反映的是图像像素值的分布情况，像素值的分布越均匀，抵抗统计攻击的能力就越强。可以发现，两种算法都能对原始图像进行有效地加解密，加密效果相当，应用两种算法加密得到的密文图像的灰度值都接近均匀分布，能够有效抵抗统计分析，使得攻击者无法得到任何有效信息。

3.3.1. 相关性分析

图像像素的相关性指的是图像中相邻像素之间的关联程度，像素的相关性高，攻击者便可通过相邻像素预测像素值，从而获取图像数据。可靠的加密算法应保证相邻像素之间的相关性足够弱。本文在明文图像及其密文图像中随机选取了3000对相邻像素对，从水平、垂直和对角方向上绘制像素分布图，分析它们各自在三个方向上的相关性，结果如图2所示。其中，图2(a)~(c)是明文图像在水平、垂直和对角方向上像素的分布，图2(d)~(f)是利用对比算法加密得到的密文图像在水平、垂直和对角方向上像素的分布，图2(g)~(i)是利用本文算法加密得到的密文图像在水平、垂直和对角方向上像素的分布。可以看到，明文图像在三个方向的线性相关性都比较高，采用两种算法加密之后，密文图像在三个方向上的像素分布均匀性都能显著提高，相邻像素点的相关性大幅减弱，很好地掩盖了明文图像的相关特征。

相邻像素之间的相关性还可通过相关系数来表示，系数值越小，说明该图像相邻像素之间的相关性越弱，随机性越强，反之系数值越大，说明相关性越强，随机性越弱。随机选取N对相邻的像素对，并记其灰度值为 $\left(x_i,y_i\right),i=1,2,\cdots ,N$，相关系数的计算公式如下：

${\rho }_{xy}=\frac{\mathrm{cov}\left(x,y\right)}{\sqrt{D\left(x\right)}\sqrt{D\left(y\right)}}$ (3)

其中：

$\{\begin{array}{l}E\left(x\right)=\frac{1}{N}{\displaystyle \underset{i=1}{\overset{N}{\sum }}{x}_i}\\ D\left(x\right)=\frac{1}{N}{\displaystyle \underset{i=1}{\overset{N}{\sum }}{\left(x_i-E\left(x\right)\right)}^2}\\ \mathrm{cov}\left(x,y\right)=\frac{1}{N}{\displaystyle \underset{i=1}{\overset{N}{\sum }}\left(x_i-E\left(x\right)\right)\left(y_i-E\left(y\right)\right)}\end{array}$ (4)

根据式(3)和(4)分别计算明文图像和密文图像在水平、垂直和对角方向的相关系数，结果见表1。从表中可以看出，明文图像在三个方向的相关系数均接近1，表明图像像素之间的相关性较强，经过加密之后，所有方向的相关系数均接近于0，有效降低了图像像素的相关性。两种算法尽管在某一方向上的相关系数有微小差异，但总体相差无几，均可以打乱图像像素之间的关联。

3.3.2. 密钥敏感度分析

更进一步，对密钥敏感度进行分析，密钥敏感度指的是当密钥发生细小变化时，系统的加解密效果会发生显著变化。为了评估本文所提出的加密算法的密钥敏感度，采用了差别极其微小的两组密钥 $\text{key}1=\left\{x_0:0.000001,y_0=0.000001\right\}$ 和 $\text{key}2=\left\{x_0:0.000001001,y_0=0.000001001\right\}$ 分别对图像进行加解密，结果如图3所示。对于使用key1加密的密文图像，采用key2进行解密，根本无法得到原始图像，这说明本文所设计的算法对密钥极度敏感，具有较高的安全性。

3.3.3. 信息熵分析

图像的信息熵反映了图像像素值的不确定性，熵值越高，不确定性就越高。一个可靠的图像加密算法应保证密文图像具有足够高的不确定性。信息熵的计算公式如下：

$H\left(m\right)=-{\displaystyle \underset{i=0}{\overset{M-1}{\sum }}p}\left(m_i\right){\log }_{2}p\left(m_i\right),{\displaystyle \underset{i=0}{\overset{M-1}{\sum }}p\left(m_i\right)}=1$ (5)

其中， $M=256$ 表示256个灰度级， $p\left(m_i\right)$ 表示灰度值 $m_i$ 出现的概率，根据最大熵原理，理想的密文图像的最大信息熵为8。本文计算了图像加密前后的信息熵，并与使用对比算法 [8] 得到的密文图像的信息熵进行比较，结果如表2所示。可以看到，应用本算法对图像进行加密所得到的信息熵更接近理想值8，说明经过本算法加密的密文图像具有更好的不可预测性，优于对比算法。

4. 小结

本文研究了基于8阶正交拉丁方组的基本密码系统的设计方法，同时结合Henon混沌系统设计了一种新的多元流密码算法，并将其应用到图像加密上。通过对仿真结果的分析可知，该算法具有较高的安全性和可行性，为后续研究更高阶正交拉丁方组及其基本密码系统设计打下了基础。

参考文献