CN103916234B - 一种应用于隐私保护的混沌医学图像加密方法 - Google Patents

Abstract

本发明一种应用于隐私保护的混沌医学图像加密方法，属于图像加密技术领域，该方法由三个独立的logistic混沌映射驱动，在置乱阶段，图像中的每一个像素点与另外一个像素点进行交换，而目标像素点的位置由两个logistic混沌映射产生；扩散阶段所使用的密钥流由第三个logistic映射产生；在密钥流生成过程中，每一个密钥流元素均在明文像素控制下进行循环移位操作，以达到密钥流与明文相关的目的；本发明提出的医学影像加密方法，其置乱效果与置乱速度综合性能优于现有置乱方法，加密系统整体速度显著优于现代密码学中常见的分组加密方法；密码学分析结果表明，本发明所提出的加密方法可有效抵御各类常见的攻击手段。

Description

一种应用于隐私保护的混沌医学图像加密方法

技术领域

本发明属于图像加密技术领域，具体涉及一种应用于隐私保护的混沌医学图像加密方法。

背景技术

人类医学影像成像历史最早可以追溯到德国物理学家伦琴于1895年发现X射线；1896年2月，苏格兰医生约翰·麦金泰在格拉斯哥皇家医院设立了世界上第一个放射科，为人类医学历史揭开了新的一页；近半世纪以来，伴随着放射学、物理学、半导体学、计算机学、控制学等多学科技术的迅猛发展，人类相继发明了多种人体成像技术，例如：CT、MRI(磁共振成像)、DSA(数字减影)、NM(核医学成像)、US(超声扫描显像装置)、CR(计算机投影射线照像术)、PET(正电子发射断层X线照相术)等。这些新的医学成像技术为临床诊断提供了丰富的影像学资料，在相当程度上提高了医疗机构的诊断和治疗水平。

传统的医学影像大多采用固体胶片、图片、纸质资料等存储方式，显然已无法适应现代医院中对海量和大范围医学影像的管理要求。目前，实现放射科彻底无胶片化和医院数字化，已经成为现代化医疗系统不可阻挡的潮流。PACS系统(Picture Archiving＆CommunicationSystem)，即医学影像存储和传输系统，它是放射学、影像医学、数字化图像技术、计算机技术及通信技术的结合，它将各类医学影像资料转化为计算机数字形式，通过高速计算设备及通信网络，完成对图像信息的采集、存储、管理、处理及传输等功能，使得图像资料得以有效管理和充分利用。

医学影像信息系统的应用在给广大医疗机构带来显著的诊疗水平提升的同时，也面临着巨大的安全威胁。医疗数据中往往包含大量的患者隐私信息，无论基于法律还是伦理道德角度考虑，都需要建立一套完善的授权访问机制。因此，如何在网络传输过程中有效的保护患者隐私是数字化医疗面临的一个重要课题。PACS平台中的医学影像传输一般基于医院内部的Intranet实现，一般可通过设置有效的防火墙来防止入侵者对数据的非法窃取。然而，随着远程医疗技术的发展和应用的日益广泛，越来越多的医疗信息通过以Internet为代表的公共网络在不同的医院间、患者家庭与医院间以及医生家庭与医院间进行传输。公共网络的应用在给远程检查，远程诊断，远程会诊带来便捷性的同时，也对患者的隐私保护带来了极大的威胁。因此美国联邦政府制定了多项保障医疗信息安全的强制性规范。例如，HIPAA(HealthInsurance Portability and Accountability Act)规定，医疗系统必须采取合适的手段以保障患者信息只对专业医疗人员开放。

现有的医学影像信息系统中的安全机制绝大部分基于现代密码学中典型的加密算法构建，例如DES，AES，IDEA等。然而，不同于普通的文本信息，数字图像具有容量大、冗余度高及可理解性好等特点。以上所列举的典型加密算法，可以应用于医学影像的隐私保护，但其并未考虑到图像信息的固有特点，因此并不适合于医学图像加密。尤其在加密速度方面，不能满足日益增长的实时远程医疗的需求。因此，构建一个高效率、高安全性、适用于实时远程医学图像传输以及其它远程诊断应用的加密系统，是当前数字医学影像系统建设的一个迫切需求。

近年来混沌理论的发展为密码学提供了一个全新的思路。自上世纪90年代初以来，很多学者发现混沌学与密码学之间存在着天然的联系。混沌系统具有的初值与系统参数极端敏感性、遍历性、轨道不可预测性以及良好的伪随机性等一系列特性，使其能够很好的满足构建一个安全性能良好的密码系统的需求。基于混沌动力学构造的加密系统，提供了安全性与加密效率的一个良好的平衡，其既具有很高的安全性保证，又具有软、硬件实现简单，速度较快的特点，特别适合于对数据量较大的数字图像进行加密，实现数字图像的实时、安全传输。目前，混沌图像加密算法已成为图像信息安全的主流技术和研究热点，具有极大的应用潜力。

1998年，美国学者Jessica Fridrich发表了混沌图像加密的奠基性论文“Symmetric ciphersbased on two-dimensional chaotic maps”，在该文中首次提出了一种通用的混沌数字图像加密架构，如图1所示。

该架构由“置乱”(confusion)与“扩散”(diffusion)两个核心部分组成，分别用以消除相邻像素间的相关性和改变图像的统计特性。加密系统的密钥为控制置乱-扩散过程的混沌映射的控制参数与初始条件。在置乱阶段，图像中每个像素点的位置以一种伪随机的方式被打乱，但像素值保持不变。置乱操作通常基于三种保面积可逆混沌映射实现，即Arnold cat映射，baker映射以及standard映射。为了达到充分消除相邻像素间的相关性的目的，置乱过程共迭代R_m轮(R_m＞1)。对于扩散过程，除了改变每个点的像素值以外，其另一个核心功能是将每个像素点的影响扩散至整个密文图像，从而保证加密系统可有效抵御差分攻击。整体置乱-扩散操作共执行R_n轮(R_n＞1)，以满足不同的安全等级要求。显然，R_n值越大，安全性越高，但系统执行速度越低。

在其后十余年间，世界各国学者以此框架为基础，对基于混沌的数字图像加密技术已经进行了广泛深入的研究，取得了诸多成果。随着研究的深入，人们发现现有技术存在两个方面的缺陷：

(1)置乱技术

数字图像是由定义在二维空间的离散的像素点所构成的。因此，用于实现图像置乱的混沌映射也必须进行相应的离散化操作。混沌系统是一种典型的非线性非周期系统。然而，经离散化的混沌系统一般不再具有非周期性。这意味着一幅图像在经离散保面积混沌系统置乱若干轮后，将有可能回到其初始状态，从而失去了置乱的意义。此外，以上所述三种混沌系统，只能作用于正方形图像。对于更为一般的长方形图像，必须首先将其转换为正方形，这无疑降低了加密系统的效率。为解决上述问题，文献“Anovel chaos-basedbit-level permutationscheme for digital image encryption，Optics Communications，284(23)，5415-5423，2011”和文献“Image encryption based on a new total shuffling algorithm，Chaos Solitons＆Fractals，38(1)，213-220，2008”分别提出了一种基于混沌序列排序和混沌伪随机置乱矩阵的图像置乱方法。以上两种方法在解决上述所讨论缺陷的同时，仍然存在着一定的不足。对以上两种算法的测试表明，基于混沌序列排序的置乱方法在置乱效果上并不十分理想，其原因在于该方法以行和列为置乱单位，而非像素。而基于混沌伪随机置乱矩阵的置乱方法运行效率较低，其原因在于由混沌系统量化生成的伪随机坐标存在重复性，为保证置乱矩阵中坐标的唯一性，实际所需的迭代次数远远超过坐标数目。

(2)扩散技术

在大多数现有成果中，用于扩散的密钥流仅与密钥相关，即如果密钥不加以更改，相同的密钥流将用于加密不同的明文图像。显而易见，此类设计方法在单轮加密的情况下，极易受到选择明文或已知明文攻击。攻击者可构造一幅由特殊像素值构成的明文图像(例如全白或全黑图像)，应用加密系统对该图像进行加密。众所周知，在现代密码学中，加密算法是要求公开的，即加密系统的安全性不依赖于算法的保密性。攻击者基于对加密算法的掌握，通过将密文图像与明文图像相比较，可得到使用的密钥流。基于代价考虑，在绝大部分现实应用中，加密系统一般不采用一次一密机制，因此密钥流的破解意味着加密系统的失效。为解决这一问题，文献“A new chaos-based fast image encryption algorithm，Applied Soft Computing，11(1)，514-522，2011”提出了一种与明文相关的密钥流生成算法。该方法通过明文控制产生一个密钥流元素所需的迭代次数，从而有效抵御以上两种攻击。但该方法带来的一个问题是，迭代次数的增加使加密系统的速度有一定的降低。

发明内容

针对现有技术的缺点，本发明提出一种应用于隐私保护的混沌医学图像加密方法，以达到优化置乱效果与置乱速度综合性能、解决混沌映射离散化后存在的周期性和只能应用于正方形图像的问题，及提高执行效率目的。

一种应用于隐私保护的混沌医学图像加密方法，包括以下步骤：

步骤1、建立三个logistic混沌映射，设定三个logistic混沌映射的控制参数，使logistic混沌映射工作在满射状态，并由加密者设置加密系统的密钥；

所述的三个logistic混沌映射如公式(1)～(3)所示：

x_n+1＝rx_n(1-x_n) (1)

x′_n+1＝rx′_n(1-x′_n) (2)

x″_n+1＝rx″_n(1-x″_n) (3)

其中，r表示logistic混沌映射的控制参数，取值为4；x_n表示第一logistic混沌映射的第n次迭代的状态变量值，x_n∈[0，1]，其初始值为x₀，x_n+1表示第一logistic混沌映射的第n+1次迭代的状态变量值，x_n+1∈[0，1]；x′_n表示第二logistic混沌映射的第n次迭代的状态变量值，x′_n∈[0，1]，其初始值为x′₀，x′_n+1表示第二logistic混沌映射的第n+1次迭代的状态变量值，x′_n+1∈[0，1]，x″_n表示第三logistic混沌映射的第n次迭代的状态变量值，x″_n∈[0，1]，其初始值为x″₀，x″_n+1表示第三logistic混沌映射的第n+1次迭代的状态变量值，x″_n+1∈[0，1]；所述的加密系统的密钥为(x₀，x′₀，x″₀)；

步骤2、将三个logistic混沌映射进行预迭代，预迭代次数为N₀次，N₀≥200；

步骤3、根据第一logistic映射和第二logistic映射产生伪随机坐标，改变图像中每一个像素点的位置，以消除相邻像素点间的相关性，完成对明文图像的置乱处理，具体如下：

步骤3-1、在步骤2的基础上继续迭代第一logistic混沌映射和第二logistic混沌映射，并对第一logistic混沌映射的当前状态变量x_n和第二混沌logistic映射的当前状态变量x′_n进行量化，获得一个伪随机坐标；

$\left\{\begin{array}{c}{m}^{\′}=\mathrm{mod}[\mathrm{round}(x_n\×{10}^{14}),M],\\ n^{\′}=\mathrm{mod}[\mathrm{round}({x^{\′}}_n\×{10}^{14}),N],\end{array}\right.,---\left(4\right)$

其中，round(x_n×10¹⁴)函数表示返回x_n×10¹⁴的四舍五入值，mod(x_n×10¹⁴，M)函数表示返回x_n×10¹⁴除以M的余数；所述的伪随机坐标为(m′，n′)；M表示明文图像的宽；N表示明文图像的高；

步骤3-2、将明文图像左上角第一个像素点作为待置换像素点，将该像素点与伪随机坐标点处的像素进行交换；

步骤3-3、返回执行步骤3-1，按照自左向右、自上向下的方向对明文图像中其他像素点进行置换处理，直到明文图像中所有的像素点按指定顺序完成交换；

步骤4、根据第三logistic映射对置乱后的图像进行扩散操作，改变图像中每个像素点的像素值，并将每个像素点的影响扩散至整个密文图像，具体如下：

步骤4-1、在步骤2的基础上继续迭代第三logistic混沌映射，对第三logistic混沌映射的当前状态变量x″_n进行量化，得到一个密钥流元素；

当前密钥流元素计算公式如下：

k_n＝mod[round(x″_n×10¹⁴)，2^L] (5)

其中，L表示图像的色彩深度；k_n表示当前密钥流元素；

步骤4-2、根据当前像素点的前一个点的明文值，对获得的密钥流元素进行循环左移，使密钥流与明文相关；

即将密钥流元素k_n循环左移(p_n-1mod L)位，其中，p_n-1表示当前像素点的前一个点的明文值；若当前像素点为第一个明文像素点时，明文值p_n-1的初始值p₀取值范围为[0，2^L]；

步骤4-3、根据获得的密钥流元素对当前像素点进行加密；

加密公式如下：

$c_n=k_n\⊕\left\{\right[p_n+k_n\left]\mathrm{mod}{2}^L\right\}\⊕c_{n-1}---\left(6\right)$

其中，p_n表示当前像素点的像素值，c_n表示输出的密文像素值；c_n-1表示前一个已加密点的密文像素值，c_n初始值为c₀，取值范围为[0，2^L]，表示按位异或操作；

对于公式(6)的解密公式如下：

$p_n=[k_n\⊕c_n\⊕c_{n-1}+2^L-k_n]\mathrm{mod}{2}^L.---\left(7\right)$

步骤4-4、返回执行步骤4-1，直至按照指定顺序完成图像中所有的像素点的扩散操作；

步骤5、根据实际安全级别要求，反复执行步骤1至步骤4，进行多轮加密。

步骤4-4所述的指定顺序包括奇数轮加密顺序和偶数轮加密顺序，其中，奇数轮加密顺序为：从图像左上角第一个像素点开始进行扩散，自左向右，自上向下，直至右下角最后一个像素点扩散结束；偶数轮加密顺序为：从图像右下角最后一个点开始进行扩散，自下向上，自右向左，直至左上角第一个点扩散结束。

步骤5所述的进行多轮加密，对于每一轮加密均采用不同的密钥。

本发明优点：

(1)置乱效果与置乱速度综合性能优于目前三类常见的置乱方法，即：(a)基于保面积可逆混沌映射的方法；(b)基于混沌序列排序的方法；(c)基于混沌伪随机置乱矩阵的方法；

(2)有效解决了目前最为常用的基于保面积可逆混沌映射方法中存在的两个缺陷，即：(a)混沌映射离散化后存在的周期性；(b)只能应用于正方形图像；

(3)扩散密钥流与明文相关性的建立基于比特级循环移位操作实现；该操作属于贴近底层硬件的位操作，具有极高的执行效率，不会对系统的运算效率有明显的影响；

(4)加密系统整体速度显著优于现代密码学中常见的分组加密方法。

附图说明

图1为本发明一种实施例的混沌图像加密方法通用架构示意图；

图2为本发明一种实施例的图像置乱前后对比示意图，其中，图(a)为512×512大小256级灰度明文医学图像，图(b)为经置乱后的医学图像；

图3为本发明一种实施例的应用于隐私保护的混沌医学图像加密方法流程图；

图4为本发明一种实施例的通过本方法得到的加密图像示意图；

图5为本发明一种实施例的对明文图像应用不同的置乱方法得到的置乱图像，其中，图(a)为大小为512×512的明文头部CT图像，图(b)为本发明方法得到的置乱图像，图(c)为cat映射得到的置乱图像，图(d)为baker映射得到的置乱图像，图(e)为standard映射得到的置乱图像，图(f)为混沌伪随机置乱矩阵得到的置乱图像，图(g)为混沌序列排序得到的置乱图像；

图6为本发明一种实施例的明文图像与密文图像的直方图，其中，图(a)为明文图像，图(b)为明文图像直方图，图(c)为密文图像，图(d)为密文图像直方图；

图7为本发明一种实施例的水平方向相邻像素相关性测试图，其中，图(a)为明文图像水平方向相邻像素相关性，图(b)为密文图像水平方向相邻像素相关性；

图8为本发明一种实施例的垂直方向相邻像素相关性测试图，其中，图(a)为明文图像垂直方向相邻像素相关性，图(b)为密文图像垂直方向相邻像素相关性；

图9为本发明一种实施例的对角线方向相邻像素相关性测试图，其中，图(a)为明文图像对角线方向相邻像素相关性，图(b)为密文图像对角线方向相邻像素相关性；

图10为本发明一种实施例的加密过程密钥敏感性测试结果示意图，其中，图(a)表示采用密钥(i)得到的加密图像，图(b)表示采用密钥(ii)得到的加密图像，图(c)表示图(a)与图(b)之间的差值图像，图(d)表示采用密钥(iii)得到的加密图像，图(f)表示采用密钥(iv)得到的加密图像，图(e)表示图(a)与图(d)之间的差值图像，(g)表示图(a)与图(f)之间的差值图像；

图11为本发明一种实施例的解密过程密钥敏感性测试结果示意图，其中，图(a)表示采用密钥(i)得到的加密图像，图(b)表示采用密钥(i)得到的解密图像，图(c)表示采用密钥(ii)得到的解密图像，图(d)表示采用密钥(iii)得到的解密图像，图(e)表示采用密钥(iv)得到的解密图像；

图12为本发明一种实施例的用于NPCR与UACI测试的两幅明文医学图像，其中，图(a)表示测试图像，图(b)表示与图(a)只在右下角像素点有一个比特差异的测试图像。

具体实施方式

下面结合附图对本发明一种实施例做进一步说明。

本发明实施例基于“置乱-扩散”架构实现，可根据安全性要求，进行不同轮数的加密，即加密轮数越多，安全性越高。本加密系统的最低要求为2轮。本实施例对一个大小为512×512(即M＝N＝512)的256级灰度(8位色彩深度)医学图像(图2中图(a))实施加密；

一种应用于隐私保护的混沌医学图像加密方法，流程图如图3所示，包括以下步骤：

步骤1、建立三个logistic混沌映射，设定三个logistic混沌映射的控制参数，使logistic混沌映射工作在满射状态，并由加密者设置加密系统的密钥；

所述的三个logistic混沌映射如公式(1)～(3)所示：

x_n+1＝rx_n(1-x_n) (1)

x′_n+1＝rx′_n(1-x′_n) (2)

x″_n+1＝rx″_n(1-x″_n) (3)

其中，r表示logistic混沌映射的控制参数，当r∈(3.56995，4]时，系统处于混沌状态，本实施例中取值为4；x_n表示第一logistic混沌映射的第n次迭代的状态变量值，x_n∈[0，1]，其初始值为x₀，x_n+1表示第一logistic混沌映射的第n+1次迭代的状态变量值，x_n+1∈[0，1]；x′_n表示第二logistic混沌映射的第n次迭代的状态变量值，x′_n∈[0，1]，其初始值为x′₀，x′_n+1表示第二logistic混沌映射的第n+1次迭代的状态变量值，x′_n+1∈[0，1]，x″_n表示第三logistic混沌映射的第n次迭代的状态变量值，x″_n∈[0，1]，其初始值为x″₀，x″_n+1表示第三logistic混沌映射的第n+1次迭代的状态变量值，x″_n+1∈[0，1]；本发明实施例中，所设置的(x₀＝0.46939064105820，x′₀＝0.33712264439888，x″₀＝0.16218230819324)，状态变量的精度为小数点后保留14位；

步骤2、预迭代公式(1)～(3)200次，使混沌系统充分进入混沌状态；

本发明实施例中，对于状态变量x(即x_n、x′_n和x″_n)，0.5为“不良点”，会使状态变量在后续迭代中陷入“不动点”0。如果该情况出现，本发明实施例中对x的当前值做一个微小的扰动，增加或减小0.001。

步骤3、根据第一logistic映射和第二logistic映射产生伪随机坐标，改变图像中每一个像素点的位置，以消除相邻像素点间的相关性，完成对明文图像的置乱处理，具体如下：

步骤3-1、在步骤2的基础上继续迭代第一logistic混沌映射和第二logistic混沌映射，得到当前状态变量x_n和x′_n的值分别为0.00021209936044和0.21448595800352，对x_n和x′_n进行量化，得到一个伪随机坐标：

$\left\{\begin{array}{c}{m}^{\′}=\mathrm{mod}[\mathrm{round}(x_n\×{10}^{14}),M]=\mathrm{mod}[\mathrm{round}(0.00021209936044\×{10}^{14}),512]=172\\ n^{\′}=\mathrm{mod}[\mathrm{round}({x^{\′}}_n\×{10}^{14}),N]=\mathrm{mod}[\mathrm{round}(0.21448595800352\×{10}^{14}),512]=288\end{array}\right.---\left(4\right)$

其中，round(x_n×10¹⁴)函数表示返回x_n×10¹⁴的四舍五入值，mod(x_n×10¹⁴，M)函数表示返回x_n×10¹⁴除以M的余数；所述的伪随机坐标为(m’，n’)；M表示明文图像的宽；N表示明文图像的高；

步骤3-2、将明文图像左上角第一个像素点作为待置换像素点，将该像素点与伪随机坐标点(172，288)处的像素进行交换；

步骤3-3、返回执行步骤3-1，按照自左向右、自上向下的方向对明文图像中其他像素点进行置换处理，直到明文图像中所有的像素点按指定顺序完成交换；

本发明实施例中，图2中图(b)为应用上述方法对图2(a)置乱后的结果，从图2中可以看到，经过置乱后，相邻像素间的相关性几乎被完全消除，图像在视觉上不可识别。由于置乱过程只改变了像素的位置，并未改变像素的值，置乱后的图像虽然在视觉上不可识别，但具有与明文图像相同的统计特性。因此，单纯置乱图像不能很好的抵御统计攻击、已知明文攻击和选择明文攻击。以下步骤4通过扩散过程来改变图像的统计特性。

步骤4、根据第三logistic映射对置乱后的图像进行扩散操作，改变图像中每个像素点的像素值，并将每个像素点的影响扩散至整个密文图像，具体如下：

步骤4-1、在步骤2的基础上继续迭代第三logistic混沌映射，得到当前状态变量x″_n的值为0.71294017276147，对该值进行量化，图像色彩深度L＝8，得到一个密钥流元素：

当前密钥流元素计算公式如下：

k_n＝mod[round(x"_n×10¹⁴)，2^L]＝mod[round(0.71294017276147×10¹⁴)，2⁸]＝243 (5)

其中，L表示图像的色彩深度；本实施例中256级灰度图像的色彩深度为8，即2⁸＝256。k_n表示当前密钥流元素；

步骤4-2、设p₀为223；取当前操作的像素点的前一个点的明文值，其值为p_n-1＝223。将密钥流元素k_n循环左移(p_n-1mod L)＝(223mod8)＝7位。移位后k_n的值由243(二进制形式11110011)变为249(二进制形式11111001)。

步骤4-3、根据获得的密钥流元素对当前像素点进行加密；

加密公式如下：

$c_n=k_n\⊕\left\{\right[p_n+k_n\left]\mathrm{mod}{2}^L\right\}\⊕c_{n-1}=249\⊕\left\{\right[0+249\left]\mathrm{mod}{2}^8\right\}\⊕134=134---\left(6\right)$

其中，p_n＝0，c_n表示输出的密文像素值；c_n-1表示前一个已加密点的密文像素值，c_n初始值为c₀，取值134，表示按位异或操作；在像素值加密过程中，由于c_n-1的引入，每一个像素点的影响都能被有效地扩散至后续所有的像素点中。

对于公式(6)的解密公式如下：

$p_n=[k_n\⊕c_n\⊕c_{n-1}+2^L-k_n]\mathrm{mod}{2}^L.---\left(7\right)$

步骤4-4、返回执行步骤4-1，直至按照指定顺序完成图像中所有的像素点的扩散操作；

本发明实施例中，所述的指定顺序包括奇数轮加密顺序和偶数轮加密顺序，其中，奇数轮加密顺序为：从图像左上角第一个像素点开始进行扩散，自左向右，自上向下，直至右下角最后一个像素点扩散结束；偶数轮加密顺序为：从图像右下角最后一个点开始进行扩散，自下向上，自右向左，直至左上角第一个点扩散结束。

步骤5、根据实际安全级别要求，反复执行步骤1至步骤4，进行2轮加密。

本发明实施例中，对于每一轮加密均采用不同的密钥，使用以上加密方法得到的加密图像如图4所示。

置乱算法性能测试分析

应用本发明所提出的置乱方法与现有的5种置乱方法所得到的置乱图像如图5所示。图5(a)为大小为512×512的明文头部CT图像。表1中列出了图5中图(b)～图(g)所对应的置乱方法以及每种方法执行的轮数、所使用的密钥；其中混沌伪随机置乱矩阵与混沌序列排序方法分别基于logistic映射与Chebyshev映射实现；为更清晰的对表1中所列出的置乱密钥加以表述，这里分别给出cat映射，baker映射，standard映射以及Chebyshev映射的定义式，如下式(8)～(11)所示。

$\left[\begin{array}{c}{x}_{i+1}\\ y_{i+1}\end{array}\right]=\left[\begin{array}{cc}1& p\\ q& \mathrm{pq}+1\end{array}\right]\left[\begin{array}{c}{x}_i\\ y_i\end{array}\right]\mathrm{mod}N,---\left(8\right)$

$\left\{\begin{array}{c}{x}_{i+1}=\frac{N}{n_j}(x_i-N_j)+y_i\mathrm{mod}\frac{N}{n_j}\\ y_{i+1}=\frac{n_j}{N}(y_i-y_i\mathrm{mod}\frac{N}{n_j})+N_j\end{array}\right.,\mathrm{with}\left\{\begin{array}{c}{N}_0=0\\ N=n_0+n_1+...+n_t\\ N_j=n_0+n_1+...+n_{j-1}\\ 1\≤j\≤t\\ N_i\≤x\≤N_i+n_i\\ 0\≤y\≤N\end{array}\right.---\left(9\right)$

$\left\{\begin{array}{c}{x}_{i+1}=(x_i+y_i)\mathrm{mod}N\\ y_{i+1}=(y_i+K\sin \frac{2\mathrm{\π}{x}_{i+1}}{N})\mathrm{mod}N\end{array}\right.,\mathrm{withK}>0---\left(10\right)$

x_n+1＝cos(k·cos^-1x_n)，x∈[-1，1] (11)

对于cat，baker与standard映射，(x_i，y_i)代表像素点的原位置，(x_i+1，y_i+1)代表变换后的位置，N代表正方形图像的边长；cat映射的控制参数(p，q)，baker映射的控制参数n_j，standard映射的控制参数K，Chebyshev映射的控制参数和状态变量初值(k，x₀)可作为相应置乱系统的密钥；公式(9)中t表示应用baker映射置乱图像时，将图像分割为(t+1)个垂直条带，并且n₀～n_t代表每个条带的宽度。

表1不同置乱方法对应的置乱图像和采用的置乱密钥

从图5中可以看到，本发明所提出的置乱方法与混沌伪随机置乱矩阵方法具有良好的置乱效果，而其它4种方法的置乱效果并不十分理想，置乱图像中有明显的条纹。

下面进行置乱速度对比测试。为更为客观的反映算法的运算速度，每种算法均执行10次，取其平均运算时间。所有算法均采用C语言实现，硬件平台为：Intel i5-3470CPU，4GB内存。测试结果如表2所示。

表2不同置乱算法运行速度对比测试

由表2可见，本发明所提出的置乱方法的运行速度仅低于混沌序列排序方法，而该方法以行列作为置乱单元，其置乱效果并不理想(参见图5中图(g))。与此同时，尽管混沌伪随机置乱矩阵方法的置乱效果良好，但其运行速度是所列出的6种方法中最低的。因此，本发明所提出的置乱方法在置乱效果与速度综合性能上优于目前五种常见的方法。

安全性能与加密速度测试分析

对本发明构建的医学图像加密系统进行4类常见的安全性能分析与测试，具体包括抗穷举攻击(密钥空间)分析、抗统计攻击分析(包括直方图，相邻像素相关性、信息熵)、密钥敏感性分析以及抗差分攻击(已知/选择明文攻击中最常用的手段)分析。实验结果表明，本方法具有良好的安全性，可有效抵御各类常见的攻击手段。

(1)抗穷举攻击(密钥空间)分析

密钥空间是指在加密或解密过程中可用的不同密钥的总量。对于一个安全的加密系统，密钥空间应该足够大以使穷举攻击(暴力破解)失效。本发明所提出的加密系统的密钥由3个独立的logistic映射状态变量初始值构成。在满射条件下(r＝4)，logistic映射状态变量的取值范围为[0，1]实数区间。本加密系统在实现时，所有状态变量均定义为双精度实型(64位double型)。根据IEEE浮点数标准，该数据类型的有效精度为15位。每轮加密建议采用不同的密钥，因此本发明所提出的医学图像加密系统的密钥空间满足：

H(x₀，x′₀，x″₀)＝(10¹⁴×10¹⁴×10¹⁴)^m≈(2¹³⁹)^m， (12)

其中，m为加密轮数。本发明所提出的加密系统的加密轮数至少为2，因此密钥空间的最小值为2²⁷⁸。

表3为本发明所提出方法与三种经典对称加密算法密钥空间的比较。从表中可以看出，本方法的密钥空间大于各类经典加密算法，因此可有效抵御穷举攻击。

表3本发明方法与三种经典对称加密算法密钥空间比较

(2)抗统计攻击分析

(a)直方图

直方图直观的描述了一幅图像中像素值的分布情况。对于一个设计良好的图像加密系统，其输出的密文图像像素值的分布应具有良好的均衡性，以隐藏明文信息中的冗余，并且攻击者不能观测到任何有关明文与密文间关联的信息。图6中图(a)为明文图像、图(b)为明文图像直方图，图(c)为密文图像，图(d)为密文图像直方图。通过对比图6中图(b)与图(d)可以看出，与明文图像相比，密文图像的直方图呈均匀分布，说明密文图像的像素值分布具有良好的均衡性。

(b)相邻像素相关性

对于一个具有明确视觉内容的数字图像，其每一个像素点在水平、垂直以及对角线方向与其相邻像素点间均具有很高的相关性。而对于一个设计良好的图像加密系统，其输出的密文图像应有效消除这种相关性，以有效抵御统计攻击。图7～图9为明文图像(图(a))与密文图像(图(b))在水平方向、垂直方向及对角线方向的相邻像素相关性可视化测试结果。该测试将两相邻像素的像素值作为(x，y)坐标并以点的形式绘制于二维平面上。从测试结果可以看出，对于明文图像，绝大部分的点都集中在对角线附近，说明相邻像素间具有极强的相关性。而对于密文图像，所有点均匀分布于整个平面上，说明其相邻像素间已不具有任何相关性。

为了定量比较明文图像与密文图像的相关性特性，可采取以下步骤。首先在每个相邻方向上从明文图像和密文图像中各随机选取5000对相邻点。然后，使用公式(13)～(15)计算图像的相关系数r_x，y：

$r_{\mathrm{xy}}=\frac{\frac{1}{S_N}\underset{i=1}{\overset{S_N}{\mathrm{\Σ}}}(P\left(x_i\right)-\stackrel{\‾}{x})(P\left(y_i\right)-\stackrel{\‾}{y})}{\sqrt{\left(\frac{1}{S_N}\underset{i=1}{\overset{S_N}{\mathrm{\Σ}}}{(P\left(x_i\right)-\stackrel{\‾}{x})}^2\right)\left(\frac{1}{S_N}\underset{i=1}{\overset{S_N}{\mathrm{\Σ}}}{(P\left(y_i\right)-\stackrel{\‾}{y})}^2\right)}},---\left(13\right)$

$\stackrel{\‾}{x}=\frac{1}{S_N}\underset{i=1}{\overset{S_N}{\mathrm{\Σ}}}P\left(x_i\right),---\left(14\right)$

$\stackrel{\‾}{y}=\frac{1}{S_N}\underset{i=1}{\overset{S_N}{\mathrm{\Σ}}}P\left(y_i\right),---\left(15\right)$

其中，P(x_i)和P(y_i)是第i对相邻点的2个像素值，S_N为采样的相邻点对的个数，此处S_N＝5000。

表4中列出了明文图像和相应的密文图像在水平、垂直以及对角线方向的相关性定量测试结果。从图7～图9和表4可以看出，通过使用本加密方法，明文图像中相邻像素间的强相关性在密文图像中得到了有效的消除。

表4明文图像与密文图像的相邻像素相关性对比测试

(c)信息熵

信息熵是表征一个信息源随机性与不可预测性的重要指标。信息熵通常由平均信息量来描述，即表达一个信源中的一个码元所需的平均比特数，其定义为：

$H\left(X\right)=-\underset{i=1}{\overset{k}{\mathrm{\Σ}}}P\left(x_k\right){\log }_{2}P\left(x_k\right),---\left(16\right)$

其中，X代表由k个不同码元{x₁，…，x_k}构成的信源，P(x_k)为码元x_k出现的概率。因此，对于一个256级灰度的密文图像，其信息熵的理论值为H(X)＝8。如果输出的密文图像的信息熵小于8，则意味着该加密系统存在着一定程度上的可预测性。

利用公式(16)计算得出，明文图像(图6中图(a))与密文图像(图6中图(c))的信息熵分别为H(X)＝3.522034和H(X)＝7.999293。密文图像的信息熵非常接近于理想值8，这意味着可以将本加密系统输出的密文图像看作一个随机信息源。

通过以上三个方面的分析可知，本发明构建的医学图像加密系统具有良好的抗统计攻击能力。

(3)密钥敏感性测试

对于一个设计良好的加密系统，当采用任意两个具有极小差异的密钥加密相同的明文时，将产生完全不同的密文。反过来，当一个攻击者尝试使用与加密密钥极为相近的解密密钥实施解密时，不能得到任何与明文相关的信息。

(a)加密过程密钥敏感性测试

为测试加密过程对密钥的敏感性，明文图像(图6中图(a))被表5中所列出的4个具有极其微小差异的密钥加密，得到的密文图像分别如图10中图(a)、图(b)、图(d)、图(f)所示。图10中图(c)、图(e)、图(g)为密文图像，图(a)与图(b)，图(a)与图(d)，以及图(a)与图(f)之间的差值图像。表5中同时给出了任意两幅密文图像间的差异度。由图10及表5可以看出，尽管所使用的密钥只有微小的差异，但4幅密文图像间没有任何相似度与关联性。

表5加密过程密钥敏感性测试结果

(b)解密过程密钥敏感性测试

在本项测试中，首先选定一加密密钥(x₀＝0.79013904597178，x′₀＝0.88911616079589，x"₀＝0.22375356944771)对明文图像(图6(a))实施加密，得到的密文图像如图11中图(a)所示。然后分别使用以下4个密钥对密文图像实施解密：

(i)(x₀＝0.79013904597178，x′₀＝0.88911616079589，x"₀＝0.22375356944771)；

(ii)(x₀＝0.79013904597177，x′₀＝0.88911616079589，x"₀＝0.22375356944771)；

(iii)(x₀＝0.79013904597178，x′₀＝0.88911616079588，x"₀＝0.22375356944771)；

(iv)(x₀＝0.79013904597178，x′₀＝0.88911616079589，x"₀＝0.22375356944770)，得到的解密图像分别如图11中图(b)、图(c)、图(d)、图(e)所示。经计算，错误解密图像图(c)、图(d)、图(e)与明文图像的差异度均为99.61％。

由以上两个方面的分析可知，本发明提出的医学图像加密系统具有极高的密钥敏感性，即使使用一个与加密密钥具有极其微小差异的解密密钥，也不能得到任何与明文相关的信息。(4)抗差分攻击分析

差分攻击是已知/选择明文攻击中最常用的一种手段。所谓差分攻击是指攻击者采用相同的密钥，加密两幅具有极其微小差异(例如一个比特)的明文图像。通过对比得到的两幅密文图像，分析出所使用的密钥流乃至密钥情况。因此，若一个像素值的微小改变可有效的扩散至整幅密文图像，即：使用相同的密钥加密两幅具有极其微小差异的图像，得到的两个密文图像是完全不同的，则差分攻击是无效的。

图像加密系统的抗差分攻击性能通常基于NPCR(number of pixels change rate)与UACI(unified average change intensity)两个指标进行评估。NPCR用于测试两幅图像间的差异度。设P₁(i，j)和P₂(i，j)分别表示P₁与P₂两幅图像位于(i，j)点的像素值，NPCR的定义为：

$\mathrm{NPCR}=\frac{\underset{i=1}{\overset{M}{\mathrm{\Σ}}}\underset{j=1}{\overset{N}{\mathrm{\Σ}}}D(i,j)}{M\×N}\×100\%,---\left(17\right)$

其中，M和N分别为图像的宽度和高度。D(i，j)的定义为：

对于两幅纯随机图像，其NPCR理论值为

其中，L为图像的色彩深度。例如，对于2幅8位纯随机灰度图像，其NPCR理论值为99.609％。

UACI用于测试两幅图像间的平均差异强度，其定义为：

$\mathrm{UACI}=\frac{1}{M\×N}\left[\underset{i=1}{\overset{M}{\mathrm{\Σ}}}\underset{j=1}{\overset{N}{\mathrm{\Σ}}}\frac{|P_1(i,j)-P_2(i,j)|}{2^L-1}\right]\×100\%.---\left(20\right)$

对于两幅纯随机图像，其UACI理论值为：

例如，对于2幅8位纯随机灰度图像，其UACI理论值为33.464％。

对于一个设计良好的图像加密系统，其NPCR与UACI指标应尽可能接近理论值。这里采用一种“最坏”的情况来对系统进行测试，即：两幅明文图像只在右下角最后一个像素点上有一个比特的差异，如图12中图(a)和图(b)所示。采用相同的密钥对两幅明文图像实施加密，得到NPCR与UACI的值分别为99.600％和33.482％。测试结果非常接近理论值，因此本加密系统可有效抵御差分攻击。

(5)加密速度测试

本发明方法与现代密码学中应用最为广泛的DES与AES算法加密速度对比测试结果如表6所示。测试采用的硬件平台与附1中所述的平台相同。从表6中可以看到，本发明方法在加密速度上具有显著的优势。

表6本发明方法与DES及AES算法加密速度对比测试(单位：毫秒)

基于以上四类攻击测试与加密速度测试的结果可知，本发明方法非常适合于宽带开放性网络环境下的医学影像的安全、实时传输。

Claims (3)

1.一种应用于隐私保护的混沌医学图像加密方法，其特征在于，包括以下步骤：

步骤1、建立三个logistic混沌映射，设定三个logistic混沌映射的控制参数，使logistic混沌映射工作在满射状态，并由加密者设置加密系统的密钥；

所述的三个logistic混沌映射如公式(1)～(3)所示：

x_n+1＝rx_n(1-x_n) (1)

x′_n+1＝r_x′_n(1-x′_n) (2)

x″_n+1＝rx″_n(1-x″_n) (3)

其中，r表示logistic混沌映射的控制参数，取值为4；x_n表示第一logistic混沌映射的第n次迭代的状态变量值，x_n∈[0，1]，其初始值为x₀，x_n+1表示第一logistic混沌映射的第n+1次迭代的状态变量值，x_n+1∈[0，1]；x′_n表示第二logistic混沌映射的第n次迭代的状态变量值，x′_n∈[0，1]，其初始值为x′₀，x′_n+1表示第二logistic混沌映射的第n+1次迭代的状态变量值，x′_n+1∈[0，1]，x″_n表示第三logistic混沌映射的第n次迭代的状态变量值，x″_n∈[0，1]，其初始值为x″₀，x″_n+1表示第三logistic混沌映射的第n+1次迭代的状态变量值，x″_n+1∈[0，1]；所述的加密系统的密钥为(x₀，x′₀，x″₀)；

步骤2、将三个logistic混沌映射进行预迭代，预迭代次数为N₀次，N₀≥200；

步骤3、根据第一logistic映射和第二logistic映射产生伪随机坐标，改变图像中每一个像素点的位置，以消除相邻像素点间的相关性，完成对明文图像的置乱处理，具体如下：

步骤3-1、在步骤2的基础上继续迭代第一logistic混沌映射和第二logistic混沌映射，并对第一logistic混沌映射的当前状态变量x_n和第二混沌logistic映射的当前状态变量x′_n进行量化，获得一个伪随机坐标；

$\left\{\begin{array}{c}{m}^{\′}=\mathrm{mod}\[round(x_n\×{10}^{14}),M\],\\ n^{\′}=\mathrm{mod}\[round({x^{\′}}_n\×{10}^{14}),N\],\end{array}\right.,---\left(4\right)$

其中，round(x_n×10¹⁴)函数表示返回x_n×10¹⁴的四舍五入值，mod(x_n×10¹⁴，M)函数表示返回x_n×10¹⁴除以M的余数；所述的伪随机坐标为(m′n′)；M表示明文图像的宽；N表示明文图像的高；

步骤3-2、将明文图像左上角第一个像素点作为待置换像素点，将该像素点与伪随机坐标点处的像素进行交换；

步骤3-3、返回执行步骤3-1，按照自左向右、自上向下的方向对明文图像中其他像素点进行置换处理，直到明文图像中所有的像素点按指定顺序完成交换；

步骤4、根据第三logistic映射对置乱后的图像进行扩散操作，改变图像中每个像素点的像素值，并将每个像素点的影响扩散至整个密文图像，具体如下：

步骤4-1、在步骤2的基础上继续迭代第三logistic混沌映射，对第三logistic混沌映射的当前状态变量x″_n进行量化，得到一个密钥流元素；

当前密钥流元素计算公式如下：

k_n＝mod[round(x″_n×10¹⁴)，2^L] (5)

其中，L表示图像的色彩深度；k_n表示当前密钥流元素；

步骤4-2、根据当前像素点的前一个点的明文值，对获得的密钥流元素进行循环左移，使密钥流与明文相关；

即将密钥流元素k_n循环左移(p_n-1 mod L)位，其中，p_n-1表示当前像素点的前一个点的明文值；若当前像素点为第一个明文像素点时，明文值p_n-1的初始值p₀取值范围为[0，2^L]；

步骤4-3、根据获得的密钥流元素对当前像素点进行加密；

加密公式如下：

$c_n=k_n\⊕\{\[p_n+k_n\]\mathrm{mod}{2}^L\}\⊕c_{n-1}---\left(6\right)$

其中，p_n表示当前像素点的像素值，c_n表示输出的密文像素值；c_n-1表示前一个已加密点的密文像素值，c_n初始值为c₀，取值范围为[0，2^L]，表示按位异或操作；

对于公式(6)的解密公式如下：

$p_n=\[k_n\⊕c_n\⊕c_{n-1}+2^L-k_n\]\mathrm{mod}{2}^L.---\left(7\right)$

步骤4-4、返回执行步骤4-1，直至按照指定顺序完成图像中所有的像素点的扩散操作；

所述的指定顺序包括奇数轮加密顺序和偶数轮加密顺序，其中，奇数轮加密顺序为：从图像左上角第一个像素点开始进行扩散，自左向右，自上向下，直至右下角最后一个像素点扩散结束；偶数轮加密顺序为：从图像右下角最后一个点开始进行扩散，自下向上，自右向左，直至左上角第一个点扩散结束；

步骤5、根据实际安全级别要求，反复执行步骤1至步骤4，进行多轮加密。

2.根据权利要求1所述的应用于隐私保护的混沌医学图像加密方法，其特征在于，步骤4-4所述的指定顺序包括奇数轮加密顺序和偶数轮加密顺序，其中，奇数轮加密顺序为：从图像左上角第一个像素点开始进行扩散，自左向右，自上向下，直至右下角最后一个像素点扩散结束；偶数轮加密顺序为：从图像右下角最后一个点开始进行扩散，自下向上，自右向左，直至左上角第一个点扩散结束。

3.根据权利要求1所述的应用于隐私保护的混沌医学图像加密方法，其特征在于，步骤5所述的进行多轮加密，对于每一轮加密均采用不同的密钥。