陳鐵明 蔣融融

1)(浙江工業(yè)大學(xué)計算機科學(xué)與技術(shù)學(xué)院,杭州 310023)

2)(浙江廣播電視大學(xué)信息與工程學(xué)院,杭州 310013)

(2012年3月31日收到;2012年9月28日收到修改稿)

1 引言

混沌是物理、數(shù)學(xué)、非線性動力學(xué)等多學(xué)科交叉的一種新理論,混沌系統(tǒng)的“蝴蝶效應(yīng)”和“不確定性”已在密碼學(xué)領(lǐng)域引起廣泛關(guān)注.混沌系統(tǒng)所具有的基本特性可滿足保密通信及密碼學(xué)的基本要求:混沌動力學(xué)方程的確定性保證了通信雙方在收發(fā)過程或加解密過程中的可靠性;混沌軌道的遍歷性正好滿足密碼系統(tǒng)設(shè)計的擴散原則;混沌參數(shù)和初值敏感性正好滿足密碼系統(tǒng)設(shè)計的混亂原則[1].與傳統(tǒng)密碼相比,混沌密碼具有結(jié)構(gòu)簡單、容易實現(xiàn)、安全高效等特點[2],可構(gòu)建隨機數(shù)發(fā)生器[3]、流密碼[4]、分組加密[5]、公鑰加密[6]等方案,其中以流密碼的研究與應(yīng)用最為普遍[7,8].當(dāng)前對混沌流密碼的研究主要集中在多混沌系統(tǒng)互擾復(fù)合的方法[9],但最近有國內(nèi)學(xué)者提出了混沌流的隨機性和混沌映射弱密鑰的隨機性測量等問題[10,11],說明多混沌的復(fù)合未必能構(gòu)建隨機性更好的混沌密鑰流.因此,尋求傳統(tǒng)混沌與其他隨機模型互擾的復(fù)合方案或?qū)⒊蔀榱髅艽a研究突破的新方向.

神經(jīng)網(wǎng)絡(luò)也是一種高度非線性的動力學(xué)系統(tǒng),因此將混沌和神經(jīng)網(wǎng)絡(luò)相結(jié)合的研究也受到人們關(guān)注,形成了混沌神經(jīng)網(wǎng)絡(luò)的研究分支[12],但目前尚未出現(xiàn)將神經(jīng)網(wǎng)絡(luò)與混沌系統(tǒng)互擾構(gòu)建流密碼的研究成果.最近的研究表明,兩個權(quán)值不同、輸入同步的神經(jīng)網(wǎng)絡(luò)模型通過輸出位交互學(xué)習(xí),最終可實現(xiàn)兩個權(quán)值向量的同步狀態(tài)[13],該權(quán)值同步可被利用在公開信道上構(gòu)建密鑰協(xié)商方案,即雙方預(yù)先共享輸入向量且保持同步的隨機變化,則通過輸出位不斷更新各自的權(quán)值向量,最終可在有限步交互后實現(xiàn)權(quán)值向量的同步,將同步的權(quán)向量映射為會話密鑰即可完成通信雙方的密鑰協(xié)商[14].

我們稱上述的權(quán)值同步神經(jīng)網(wǎng)絡(luò)模型為奇偶樹型機(tree parity machine,TPM).由分析知,兩個TPM輸入的動態(tài)隨機性是實現(xiàn)兩個權(quán)值同步的基本保障[15],因此可將混沌系統(tǒng)產(chǎn)生的隨機序列引入作為TPM的輸入;另外,TPM在權(quán)值同步后,只要兩邊的輸入保持動態(tài)變化,兩邊的權(quán)值也將動態(tài)保持同步狀態(tài),因此已有研究提出了基于TPM同步權(quán)值映射的流密碼方案[16].

綜上所述,本文將研究一種TPM和混沌系統(tǒng)融合互擾的新型復(fù)合流密碼方案,即首先利用混沌映射產(chǎn)生的隨機序列作為TPM的輸入,當(dāng)實現(xiàn)TPM權(quán)值同步后,將同步權(quán)值映射為隨機序列與多個混沌系統(tǒng)復(fù)合,最終產(chǎn)生混合隨機的密鑰流.

2 新型復(fù)合流密碼方案

2.1 理論基礎(chǔ)知識

2.1.1 混沌映射模型

這里考慮一種常見的Logistics混沌系統(tǒng),其映射函數(shù)如下:

當(dāng)參數(shù)μ落在區(qū)間[3.56999456···,4]時,Logistics映射的迭代值xn可進入混沌態(tài).已有的研究已從理論和實驗角度充分論證了Logistics映射用作隨機數(shù)發(fā)生器的可行性及較線性反饋移位寄存器(LFSR)等傳統(tǒng)隨機數(shù)發(fā)生器的優(yōu)點.Logistics映射通常將初始狀態(tài)x0作為密鑰,由于對初始值的敏感性,即使解密密鑰x只是與x0存在微小差異,迭代后產(chǎn)生的混沌序列也會明顯不同,從而保障流加密應(yīng)用的安全性.

Logistics映射只包括乘法和減法運算,易于計算機程序?qū)崿F(xiàn).但由于計算機數(shù)據(jù)處理的精度有限,可能造成系統(tǒng)的混沌特性退化,因此多混沌復(fù)合是一種有效抵抗數(shù)字混沌特性退化的有效方法.例如,用兩個混沌系統(tǒng)作為隨機數(shù)發(fā)生器,通過兩個系統(tǒng)的輸出決定最終的密鑰流輸出,或引入線性同余序列(LCS)與三個Logistics映射的組合方式,延長混沌序列的周期等.

2.1.2 神經(jīng)網(wǎng)絡(luò)互學(xué)習(xí)模型

記一個基本的單層神經(jīng)元的輸入向量X為在區(qū)間[0,1]上服從高斯分布的N維輸入向量,W為正交規(guī)范化的N維權(quán)向量,σ代表取值僅為+1或?1的神經(jīng)元輸出值.

記兩個交互學(xué)習(xí)的神經(jīng)元分別為A和B,則XA,XB和WA,WB分別代表A和B的輸入向量和權(quán)值向量.進一步將權(quán)值的取值離散化在整數(shù)區(qū)間[?L,L]上(權(quán)值邊界L為一正整數(shù))、輸入向量的元素取值為+1或?1,并滿足每次交互學(xué)習(xí)后輸入向量都隨機變化但始終保持XA=XB,即保持同步隨機變化.兩個神經(jīng)元通過交換各自的輸出值實現(xiàn)交互學(xué)習(xí),目的是更新各自的權(quán)值向量(初始權(quán)向量由雙方各自隨機產(chǎn)生).權(quán)值更新規(guī)則如下:

權(quán)值更新的條件為:σA(t)=σB(t),且滿足:w=L(w＞L)或w=?L(w＜?L),其中w∈WA(B).

其中,輸出值為 +1或 ?1,依賴于權(quán)值向量和輸入向量內(nèi)積的符號函數(shù),即σA(B)=這里的sign()函數(shù)定義為

下面給出TPM模型.TPM是在上述單層神經(jīng)元基礎(chǔ)上含多個隱藏單元的多層樹型神經(jīng)元復(fù)合網(wǎng)絡(luò),網(wǎng)絡(luò)的最終輸出值由一個關(guān)于所有隱含層輸出值的函數(shù)確定,記τA(B)=K為隱含層個數(shù).

由于隱含層的輸出值只能取+1或?1,為了使TPM的輸出值也取+1或?1,可將輸出累積函數(shù) f設(shè)置為所有隱含層輸出值的乘積.因此,若假設(shè)TPM包含K個隱含單元,每個隱含單元擁有N維隨機輸入向量,記第k個單元的輸出為σk(t),則TPM最終的輸出值可表示如下:

進一步,對K個隱含層神經(jīng)網(wǎng)絡(luò)的一種權(quán)值更新規(guī)則設(shè)置如下:

其中,

我們在文獻[15]中詳細(xì)闡述了一種TPM交互學(xué)習(xí)權(quán)值同步模型.

2.2 TPM與混沌系統(tǒng)的互擾復(fù)合模型

考慮TPM工作時需要一個輸入隨機數(shù)發(fā)生器,可采用混沌映射產(chǎn)生的序列作為TPM輸入流,且混沌系統(tǒng)的軌道確定性可保證雙方隨機輸入的同步.更進一步,為確保TPM輸入的隨機性,可采用具有多個不同初值的混沌映射分別作為TPM中多個隱含層的輸入序列發(fā)生器.因此,若采用參數(shù)為K,N,L的TPM,則需使用K個初始狀態(tài)不同的Logistics映射分別作為K個隱含層神經(jīng)元節(jié)點的輸入源,兩個TPM交互學(xué)習(xí)達到權(quán)值同步后,將K個混沌映射復(fù)合后與TPM同步的權(quán)值互擾,最終形成隨機的混沌密鑰流.根據(jù)文獻[15]的分析結(jié)果,采取常用的K=3的TPM模型,則上述的流密碼系統(tǒng)整體結(jié)構(gòu)如圖1所示.

系統(tǒng)初始化時,流密碼系統(tǒng)兩端分別為同參數(shù)結(jié)構(gòu)的TPM隨機生成兩個權(quán)值向量,兩邊分別利用同結(jié)構(gòu)的混沌映射為TPM產(chǎn)生相同的隨機輸入序列,同時執(zhí)行TPM交互學(xué)習(xí)過程,最終可實現(xiàn)雙方的權(quán)值同步.整個過程僅需交互傳輸TPM的若干輸出值,TPM的內(nèi)部輸入和內(nèi)部權(quán)值均不會在公開的網(wǎng)絡(luò)信道中傳輸.利用系統(tǒng)兩邊同步的TPM權(quán)值,還可實現(xiàn)對兩邊各個混沌映射初始值的更新,以便產(chǎn)生新的動態(tài)輸入序列,而基于動態(tài)的TPM同步輸入序列,TPM也將保持同步權(quán)值的動態(tài)更新.因此,圖1所示的混沌流密碼系統(tǒng)具備了密鑰管理功能,其中XOR表示隨機序列的異或操作.在實際應(yīng)用中,混沌映射的參數(shù)更新方式較為靈活,可根據(jù)定時間或定流量等方式具體確定.

圖1 基于TPM和多混沌映射互擾復(fù)合的流密碼系統(tǒng)基本結(jié)構(gòu)

圖2 三個Logistics映射和一個TPM復(fù)合的密鑰流生成器

三個Logistics映射和一個TPM同步權(quán)值向量的互擾復(fù)合密鑰流結(jié)構(gòu)如圖2所示.顯然,K=3的TPM模型的權(quán)值向量元素個數(shù)為3N,則通過對各個權(quán)值的累積和施行sign()函數(shù)后,與三個Logistics映射產(chǎn)生的迭代值xi在異或作用下生成密鑰流序列Ki.對于每個Logistics映射每次產(chǎn)生一個新的迭代值,兩邊同步的TPM權(quán)值將相應(yīng)更新,最終在互擾復(fù)合的方式下將不斷產(chǎn)生新的密鑰序列.

3 性能測試與效果分析

3.1 TPM權(quán)值同步的性能測試

TPM交互學(xué)習(xí)達到權(quán)值同步依賴于輸入的隨機性,下面分析TPM輸入的隨機數(shù)發(fā)生器采用混沌序列和常見的LFSR兩種情況下的權(quán)值同步性能.選定TPM參數(shù)N=100,K=3,L=3,分別用LSFR和Logistics映射作為輸入向量的隨機數(shù)發(fā)生器(分別記為TPMFSR和TPMChaos).考察兩種情況下實現(xiàn)TPM權(quán)值同步所需的平均交互次數(shù),每次權(quán)值同步的實驗執(zhí)行1000次取平均值,15次獨立實驗的權(quán)值同步平均交互次數(shù)如圖3所示.

圖3 基于不同隨機數(shù)發(fā)生器的TPM權(quán)值同步所需的平均交互次數(shù)

3.2 互擾復(fù)合序列的隨機性測試

在由圖2結(jié)構(gòu)產(chǎn)生的TPM混沌序列中隨機選取長度為10000 bit的若干不同子序列,統(tǒng)計子序列中所有比特位上1的個數(shù),24次獨立實驗的統(tǒng)計結(jié)果如表1所示.可以看到,序列中每個比特位上0和1出現(xiàn)的概率均接近50%,滿足偽隨機序列的最基本要求.

表1 混沌隨機子序列中1出現(xiàn)的次數(shù)統(tǒng)計表

美國國家標(biāo)準(zhǔn)技術(shù)研究所(NIST)制定了一整套序列隨機性檢測標(biāo)準(zhǔn)[17],其中的測試從不同角度對待測序列與理想隨機序列的偏離程度做出評估.本文選取如下幾項測試指標(biāo).

1)單比特頻度測試(frequency monobit test):測試整個序列中0和1各自的比例,判斷其與理想隨機序列的偏差.

2)累積和測試(cumulative sums test):測試子序列的累積和的最大值與理想隨機序列的偏離程度.子序列的累積和通過修正后的(?1,1)序列計算得到,測試分為前向(forward)和后向(backward)兩種.

3)游程測試(runs test):測試序列中的游程(連續(xù)的0和1的長度)的總數(shù),判斷其與理想隨機序列的偏差.

4)離散傅里葉變化測試(discrete fourier transform spectral test):測試序列傅里葉變化的峰值,檢測其周期特性與理想隨機序列的偏離程度.

5)近似熵測試(approximate entropy test):測試兩個相鄰長度的子序列發(fā)生重疊的概率,近似熵是一種判斷序列復(fù)雜度大小的準(zhǔn)則.

所有測試從待測序列中抽取一段子序列,根據(jù)不同測試計算出一個相應(yīng)的p值,當(dāng)p≥α?xí)r,認(rèn)為序列通過隨機性檢測,其中α為顯著水平,NIST測試套件中的默認(rèn)值為0.01.

本文選取了單個的Logistics映射(記為Log),三個Logistics映射的異或疊加(記為3Log),文獻[18]提出的三個Logistics映射與一個線性同余式的組合(記為LCS3Log),以及本文提出的三個Logistics映射和一個TPM的組合(記為TPM3Log),分別產(chǎn)生一段100 Mbit的序列作為測試源.測試選取的隨機子序列長度為1 Mbit.測試結(jié)果如表2所示.

表2 各種混沌密鑰流的隨機子序列p值檢測結(jié)果對比

測試結(jié)果表明,使用單個Logistics映射所產(chǎn)生的序列難以滿足較高的隨機性要求,而本文提出的TPM3Log方案通過了所有測試,產(chǎn)生的序列具有較好的隨機性,另外兩種方案同樣通過了測試.

對通過上述測試的三種方案,進一步隨機選取100段子序列重復(fù)測試,測試結(jié)果如表3.表中的p值表征子序列的p值分布,通過測試的下限值為0.0001,通過比率是指100個子序列中通過p值檢驗的序列個數(shù),理想值大于96.

表3 各種混沌密鑰流中100段子序列p值分布檢測結(jié)果對比

根據(jù)文獻[17]提出的兩種經(jīng)驗主義判斷準(zhǔn)則,對于一個理想隨機序列,其子序列測得的p值除了應(yīng)滿足一定的通過率外,還要在[0,1]區(qū)間內(nèi)呈現(xiàn)均勻分布.由表3的測試結(jié)果表明,LCS3Log與TPM3Log兩種方案下的序列隨機性明顯優(yōu)于簡單的Logistics疊加(3Log),而在大多數(shù)情況下,本文提出的TPM3Log所產(chǎn)生的序列具有更好的p值分布特性.

3.3 圖像流加密應(yīng)用效果

下面給出用TPM3Log產(chǎn)生的密鑰流對圖像加解密的應(yīng)用實例分析.系統(tǒng)結(jié)構(gòu)如圖4所示,密鑰流發(fā)生器根據(jù)密鑰K產(chǎn)生隨機序列Keystream,原始圖像P通過Keystream序列加密后產(chǎn)生密文C,接收端首先由K′產(chǎn)生隨機序列Keystream′,并對收到的密文C′進行解密.其中的加解密過程均為異或操作,當(dāng)且僅當(dāng)雙方的密鑰相等,即K=K′時,圖像才能被正確解密恢復(fù).

圖4 基于混沌流密碼的圖像加密應(yīng)用系統(tǒng)示意圖

加密選取的原始圖像如圖5(a)所示.為消除初始混沌過渡態(tài)的影響,選取迭代10000次后的TPM3Log序列值作為圖像加解密的密鑰流序列,得到加解密結(jié)果如圖5(b)和(c)所示.此外,將解密密鑰最低比特位取反,即對密鑰進行微小變動,得到錯誤解密結(jié)果如圖5(d)所示,體現(xiàn)了流密碼應(yīng)用系統(tǒng)對初始密鑰的極端敏感性,即任何微小錯誤的密鑰都會導(dǎo)致圖像的大規(guī)?；謴?fù)失敗,且攻擊者無法從錯誤圖像中獲取原始圖像的必要信息.

通過比對原始圖像及加密后圖像的灰度直方圖(圖6(a)和(b))發(fā)現(xiàn),經(jīng)過TPM3Log序列加密后,圖像的各像素點在灰度值上分布更為均勻,說明該流加密應(yīng)用系統(tǒng)可極好地掩蓋原始圖像的灰度統(tǒng)計信息.

4 結(jié)論

在實際應(yīng)用領(lǐng)域,多混沌系統(tǒng)的互擾復(fù)合流密碼是一種加強流密鑰安全性的常用方法.本文將TPM新型神經(jīng)網(wǎng)絡(luò)互學(xué)習(xí)模型引入到多混沌復(fù)合的流密碼系統(tǒng)中,具體將三個Logistics映射產(chǎn)生的混沌序列分別作為包含三個隱含層神經(jīng)元的TPM的隨機輸入,兩邊的TPM根據(jù)輸出值經(jīng)若干次交互學(xué)習(xí)且不斷更新權(quán)值后,可實現(xiàn)兩個內(nèi)部權(quán)值向量的同步,將同步的權(quán)值做映射處理后即可形成一個新型的隨機序列發(fā)生器,最終將上述一個TPM同步權(quán)值產(chǎn)生的隨機序列和三個Logistics映射產(chǎn)生的混沌序列復(fù)合,構(gòu)成一個新的流密鑰發(fā)生器.實驗分析表明,新的流密鑰比一般的多混沌復(fù)合流密鑰具有更好的隨機性,應(yīng)用于數(shù)字圖像加密[19?22]效果好.

事實上,混沌同步保密通訊系統(tǒng)還面臨相空間重構(gòu)、混沌信號流回歸分析、同構(gòu)混沌系統(tǒng)廣義同步等攻擊[23?25].本文提出的混沌流密碼通過兩個操作增強了安全性:1)采用多混沌序列和神經(jīng)網(wǎng)絡(luò)同步序列的混合;2)支持混沌初始參數(shù)的動態(tài)更新.多個Logistics映射序列與TPM混合產(chǎn)生的混沌密鑰流可有效抵抗相空間重構(gòu)等方法對同步混沌信號的直接提取攻擊,同時可消除混沌特性的數(shù)字退化問題;利用TPM同步的權(quán)值實現(xiàn)對多個Logistics映射的參數(shù)更新則可有效增強對混沌系統(tǒng)初始參數(shù)的猜測攻擊難度,據(jù)此還可進一步研究動態(tài)的密鑰管理方案,使新型的混沌流密碼更具有實用價值.

圖5 圖像加解密結(jié)果 (a)原始圖像;(b)加密后圖像;(c)正確解密圖像;(d)錯誤解密圖像

圖6 圖像灰度值統(tǒng)計特性 (a)原始圖像灰度直方圖;(b)加密后圖像灰度直方圖

[1]Alvarez G,Li S 2006 Int.J.Bifurcat.Chaos 16 2129

[2]Dachselt F,Schwarz W 2001 IEEE Trans.Circ.Syst.I 48 14

[3]Stojanovski T,Kocarev L 2001 IEEE Trans.Circ.Syst.I 48 281

[4]Li S,Mou X,Cai Y 2001 Second International Conference on Cryptology in India,Chennai,India,December 16–20,2001 p316

[5]Xu S J,Wang J Z 2008 Acta Phys.Sin.57 37(in Chinese)[徐淑獎,王繼志2008物理學(xué)報57 37]

[6]Ariffi n M,Abu N 2009 Int.J.Crypt.Res.1 1490163

[7]Li W,Hao JH,Qi B 2008 Acta Phys.Sin.57 1398(in Chinese)[李偉,郝建紅,祁兵2008物理學(xué)報57 1398]

[8]David A,Gonzalo A,Li S 2011 Commun.Nonlinear Sci.16 805

[9]Xiang F,Qiu S S 2008 Acta Phys.Sin.57 6132(in Chinese)[向菲,丘水生2008物理學(xué)報57 6132]

[10]Chen X J,Li Z,Cai J P,Bai B M 2011 Acta Phys.Sin.60 064215(in Chinese)[陳小軍,李贊,蔡覺平,白寶明2011物理學(xué)報60 064215]

[11]Yin R M,Yuan J,Shan X M 2011 Sci.China Informat.41 777(in Chinese)[尹汝明,袁堅,山秀明2011中國科學(xué):信息科學(xué)41 777]

[12]Aihara1 K,Takabe T,Toyoda M 1990 Phys.Lett.A 144 333

[13]Wolfgang K,Kanter I 2002 Solid State Phys.42 383

[14]Chen T M,Cai J M,Ma S L 2011 China Commun.8 118

[15]Chen T M,Huang S H,Liu D,Cai JM 2009 J.Comput.Res.Develop.46 1316(in Chinese)[陳鐵明,Samuel H Huang,劉多,蔡家楣2009計算機研究與發(fā)展46 1316]

[16]Markus V,Sebastian W 2005 IACR Cryptology ePrint Archive 2005 232

[17]Rukhin A,Soto J,Nechvatal J 2001 NIST Special Publication 800-22 13

[18]Chen S,Zhong X,Wu Z 2008 Sci.China F Informat.Sci.51 1055

[19]Wang Z,Huang X,Li N,Song X N 2012 Chin.Phys.B 21 050506

[20]Yuen C H,Wong K W 2012 Chin.Phys.B 21 010502

[21]Sun F,L¨u Z W 2011 Chin.Phys.B 20 040506

[22]Zhu C X,Sun K H 2012 Acta Phys.Sin.61 120503(in Chinese)[朱從旭,孫克輝2012物理學(xué)報61 120503]

[23]Perez G,Cerdeira H 1995 Phys.Rev.Lett.74 1970

[24]Wang X,Zhan M,Lai C H,Gang H 2004 Chaos 14 128

[25]Wang X Y,Xie Y X,Qin X 2012 Chin.Phys.B 21 040504