（计算机系统结构专业论文）数字版权保护技术中追踪体制的研究.pdf

摘要 追踪体制是一种新的密码体制。当有多个用户分享某个秘密，而浚秘密被 泄露时，秘密的发布者可通过追踪体制确定泄露秘密的用户( 叛徒) 的身份。 追踪体制是数字版权保护技术( d c p t ) 中的一个重要组成部分，它广泛应用 于付费电视系统和i n t e r n e t 上的电子商务系统。将追踪体制用于付费电视系统， 可防止恶意授权用户利用自己的解密私钥制造盗版解码器以获取非法利益。 将追踪体制用于i n t e m e t 上的电子商务系统，可防止盗版者非法复制、销售某 些登记了版权的数字产品( 如软件，电子图书等) 。 本文回顾了数字版权保护的发展历史，总结了目前采用的对数字版权进行 保护的方法，着重介绍了各种追踪体制的基本原理和构成。再此基础上，设 计了一个基于离散对数的非对称自强迫公钥追踪体制。同时，对该体制的安 全性进行了分析。 关键词：数字版权保护技术追踪密码体制 a b s t r a c t t r a i t o rt r a c i n gs c h e m ei san e wc r y p t o g r a p h i cs c h e m et h a t h e l pt r a c i n gt h e s o u r c eo fl e a k sw h e ns e n s i t i v eo rp r o p r i e t a r yd a t ai sm a d ea v a i l a b l et oal a r g es e t o fu n a u t h o r i z e dp e o p l e i ti sa ni m p o r t a n tp a r to fd i g i t a l c o p y r i g h tp r o t e c t i o n t e c h n o l o g y ( d c p t ) w h i c hi su s e di ns y s t e m so fp a yt e l e v i s i o na n di ns y s t e m so f e c o m m e r c eo nt h ei n t e m e t w h e nu s e di nt l l ef o r m e rc a s e i td e t e r sam a l i c i o u s s u b s c r i b e r ( t r a i t o r ) f r o mc l o n i n gh i sd e c o d e ra n ds e l l st h e p i r a t e d e c o d e r sf o r p r o f i t s w h e ni t i su s e di nt h el a t t e rc a s e ，i td e t e r st r a i t o r sf r o mc o p y i n gd i g i t a l c o n t e n t s ( s o f t w a r e ，e b o o k s ，f o re x a m p l e ) o fw h i c hc o p y r i g h t sa r er e g i s t e r e df o r p r o f i t s t h i sp a p e rr e v i e w st h eh i s t o r yo fd c p t a n ds u m m a r i z e sp r e s e n tm e t h o d s f o rd c p t , e s p e c i a l l ye x p l a i n st h eb a s i cp r i n c i p a la n dc o n s t r u c t i o no f e a c ht r a c i n g t r a i t o rs c h e m e o nt h eb a s i so f t h e s e ，t h i sp a p e rd e s i g n sad i s c r e t el o g a r i t h mb a s e d t r a c i n gt r a i t o rs c h e m ea n da n a l y s i st h es e c u r i t yo f t h i ss c h e m e k e y w o r d ：d c p t t r a c i n gc r y p t o g r a p h i cs c h e m e 一一，兰塑 创新性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果；也4 ；包含为获得西安电子科技大学或 其它教育机构的学位或证书而使用过的材料。与我同工作的同志对本研究所做 的任何贡献均已在论文中作了明确的晓明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相哭责任。 术入签氰堑垂疆 同期：趔址墨 关于论文使用授权的说朗 本久完全了解鹭安电子科技欠学有关保滔和使用学位沧文的舰定，即：研究 冬在棱攻读学位翅闷论文工作蠡每知谍产权单位耩西安电子科技大学。本入保证毕 鼗离校蜃，发表论文或饺用论文工作残柒时潘名单位仍然为西安电子科投大学。 学校有权铩露送交论文静复印件，允许鸯阕稻僭阕论文：学校可以公布论文的全 郝或部分内容，可以凫洋采蠲影印、缩印、或其它复印手段保存论文。( 保密的论 文在鳃密后遵守此娥定) 本人签耄： 导师签名： 疑甥：建壁 ：f ：呈 爨期：立业。 第一章绪论 第一章绪论 1 1 追踪体制简介 数字版权保护技术( d c p t ) 是对电子数字产品( 如计算机软件、电子图书、 d v d 光盘) 的版权进行保护的重要技术手段，也是电子商务技术的一个重要组成 部分，它涉及数字内容的创建、控制、及其在i n t e r n e t 或i n t r a n e t 上的分发。对i n t e m e t 上的数字产品内容的版权进行保护，其实质是对于数字内容的远程持久访问加以 控制。与传统媒介上的内容相比，电子数字产品的复制在技术上更易实现，在成 本上更为低廉。因此，电子数字产品的版权保护就显得尤为重要。新的电子信息 技术产品( 如移动电话、掌上电脑、m p 3 播放器、电子图书) 的出现，更是极大 地刺激了数字版权保护技术的发展。 数字版权保护技术主要包括数字水印技术和数字指纹技术。追踪体制是一种特 殊的基于数字指纹的密码体制，它是数字版权保护技术的一个重要组成部分。除 此而外，追踪体制还广泛应用于付费电视等系统中。 数字版权的拥有者希望通过i n t e m e t 、i n t r a n e t 或其它公用信道将数字产品发送 给自己的授权用户，而不被信道的其他用户非法接收。 将发送的内容加密无疑是数字版权的拥有者达到上述目的的一种重要手段。但 是，加密只能防止搭线窃听者窃取电子数字产品的内容，而无法防止恶意的授权 用户将自己解密的数字产品分发给他人，以获取非法利益。 加密也无法防止恶意的授权用户利用自己的解密私钥制造盗版解码器出售给 他人渔利。 如果盗版者用自己的解密私钥将加密过的电子数字产品的内容解密，并将解密 后的内容大量复制销售，那么，版权拥有者可通过指纹技术，方便地追踪到盗版 者。所谓指纹技术就是指数字版权的拥有者给自己的每件产品中( 如每张d v d 光 盘中) 嵌入不同的冗余信息( 指纹) 以示区别。购买者在使用产品的过程中感觉 不到指纹的存在。一旦版权拥有者发现了盗版产品，他即可根据产品中的指纹确 定盗版者的身份，进而采取相应的手段( 如起诉盗版者) ，以维护自己的利益。为 保证版权拥有者能准确有效地追踪到盗版者的身份，指纹应具有以下特点： 容忍串通：即使资版者购买多件产品，他也无法通过对这些产品的比 较，发现、修改、生成、或删除指纹。 容忍质量：指纹的存在不会影响彦品的质量。 2数字舨权谍护技术中追踪髂割的鹾究 容怨操纵：当盗舨者对产晶巾豹数搬进行篡改对，指纹仍可辨认。 对菜些毫子数字产晶( 妇电予妥书、付费邀褪) ，盗舨学甚至无须将其内容瓣 密。他可用盥简单的方法侵犯版权拥有者的利益：利用自己购买的可将信道中传 送的数字内容的密文解密豹解磷器中的解密私锈翻造盗敝解羁器并大鬃销售。盗 版船鹧器的购买者利用盗版解码器即_ 町象正常的授权用户一样，获得这些电子数 字产晶的内容。这擎的盗版者可能是菜个恶意授权用户，也可能是若干个恶意授 奴用户组成致团伙。 版权拥有者可通过下面的方法防止盗版者的上述行为，以达到对其电子数字产 品匏敝权送行保护( 为叙述方後起凳，本文认为数字敝投静攘鸯者帮数字内容菸 分发者) 的目的： 数字内容的分发学给每个授权用户分配一个不周的解密私钥( 即将指 纹嵌入每个授权用户的解密私钥) 。 数字内容的分发者将欲传送的数字内容分为若干段，每段用一个随机 选敬豹会话密钥粕密，笄将会话密钥雳系统静加密密铜加密。蠢螽， 将每段的使能块( 经系统加磷密钥加密的会话密钥) 和数字内容的密 文作为消息通过i n t e m e t 、i n t r a n e t 或其它俗道发送。 授权用户用分配给自己的解密私钥将使能块解密，得到会话密钥，然 螽利羽会话密锾将数字内容熬密文瓣塞餐翱臻文。 一燕发现盗舨解鹃器，数字内容酶分发者遴过查获的盗敝解礴器中静 解密私钥即可确定解密私钥的泄露嚣( 叛徒) 的赛份。 我们稼这转特殊豹，姆每个授权矮户豹数字指纹嵌入其勰密私钥熬爨妈体制为 追踪体制。 为了逡黥虱叛徒，个遥踪体囊l 痉包会浚下a 个鄣努： 用户初始化体蒂：数字内容的分发者利用该体制设置系统所需参数， 接受新用户的登记申请。 热瓷旗剿：数字内褰豹分发纛剩翅该蒋毒褥到傻能块和裙痘载整文。 解密体制：授权用户利用自醴的解密私钥通过该体制将接收到的数字 第一章绪论 内容的密文解密。 追踪算法：当版权拥有者破获了盗版解码器，他可利用追踪算法发现 该解码器中的用户私钥，进而追踪到叛徒。 追踪体制的基本原理如图1 i 、图1 2 所示。 图1 1 追踪体制原理示意图 幽1 2 追踪体制中解码器的一j ：作原理 。l 的解懈私t j 川p2 f 内解崭私钥 川t i j 魍垮私坍 j 的解街私钔 数字版权保护技术中追踪体制的研究 1 2 追踪体制发展现状 追踪体制是近年来提出的一种新的密码体制，可分为单钥体制和双钥体制( 公 钥体制) ，单钥体制的提出早于公钥体制。 第一个追踪体制是由c h o r 、a m o s 和n a o r 于1 9 9 4 年提出的一个单钥追踪体制 。他们将该体制用于付费电视系统，以确定将其解密私钥泄露给他人以获取非法 利益的授权用户的身份，从而对其进行适当的惩罚。在此以后，许多人对单钥追 踪体制进行了研究【! 。】。单钥体制的主要缺点是该体制中数字内容的分发者须掌握 的系统加密密钥的长度与系统中授权用户数目成比例，当授权用户数目较大时， 信道的效率较低。 为克服这一缺点，可采用分级传送方式。即将全部用户分为若干群组，每个群 组设一个代理，每个代理接收数字内容的分发者传送的数字内容的密文，并用自 己的解密私钥将该密文解密。然后，代理将数字内容用自己的加密密钥重新加密 后，通过公用信道发送给本群组的授权用户，后者用自己的解密私钥对本群组代 理传来的密文进行解密得到数字内容。 为提高信道的使用效率，b o n e 和f r a n k l i n 于1 9 9 9 年提出了公钥追踪体制【8 j 。 在公钥体制中数字内容的分发者掌握的公钥的长度与授权用户数目无关，因而更 适于用户较多的大系统。w e n g u e y t z e n g 和z h i j i a t z e n g 提出的公钥追踪体制 9 】 除具有上述特点外，还允许数字内容的分发者吊销任何非法用户及向其泄露解密 私钥的授权用户( 叛徒) 的解密私钥。 1 、 8 】、 9 提出的追踪体制，都是在数字内容的分发者通过某种渠道获得其 数字内容的非法使用者的解码器的基础上，通过解码器中的解密私钥对泄露解密 私钥者的身份进行确定。这种方法既不能事先阻止恶意的授权用户有意泄露其私 钥以获得非法利益，也不能防止数字内容的分发者对其无辜的授权用户进行诬陷。 为防止数字内容的分发者诬陷其授权用户，p f i t z m a n n 和w a i d n e r 提出了非对 称追踪体制。 k o m a k i 、w a t a n a b e 、h a n a o k a 和i m a i 将追踪技术与d w o r k 、l o t s p i e c h 和n a o r 提出的数字印章技术1 相结合，提出了一个既可阻止恶意的授权用户蓄意泄露其 密钥，并可防止授权用户遭受诬陷的自强迫公钥追踪体制。 1 3 本文提出的追踪体制 本文将多项式隐藏技术【1 3 l 用于追踪体制，提出了一个新的基于离散对数的非对 第一肇缝论 稼叁缓遣公织追踩传毒l 。零毒搴铡瓣安全性基予求离散砖数豹垂鼹性秘袋勰褰次同 余式的困难性。由于本体制是非对称的，因而可防止数字内容的分发者诬陷其某 个无牵静授税餍户。同噩雩，本体翱可黼止恶慧的授权焉户蓄意瀵露童蠢酶解密私 钥以获取非法利益。与文 1 2 】中的体制相比，本文中的体制更简单、系统效率更高、 更易实现。 6数字舨权保护技术中追踪体制的研究 第三章单钥追踪体制 2 t 一个简单的单钥追踪体制 假设系统中登记有n 授权个用户( 记为l ，2 ， ) ，并采用单钥加密算法e ( 例 如d e s ) 将数字内容加密。分配给每个餍户静密钢( 解密稻钥) 分剐凳 k ，k 2 ，一，k 。 则系统工作步骤如下： 1 ) 数字内容的分发者随机地选取一个会话密钥s 将数字内容的明 文磁蕊密，怒密文c = e ( s ，膨) 。 2 ) 数字内鸯的分发者将会话密钥s 分别用套用户的密钥加密，得 使能块 t = 。 3 ) 数字内豢的分发者搀 在公髑售道发送。 4 ) 用户i 用自己的密钥k ，将接收到的r 的第f 1 、分鼹e ( k 。，s ) 解密， 褥s = d ( k ，e ( k ，s ) ) ( i = 1 , 2 ，r ) 。 5 ) 嗣户f 穗s 将密文c 辩密，褥材移( 墨，露( ，掰) ) 。 6 ) 当发现泼版解鸱器时，数字内容的分发学可照枫选取一个明文 m 。，并用各用户的密钥k ，将其加密，得 e ( k ，m ) a = 1 , 2 ，竹) 然磊麓盗黻瓣筠嚣薅嚣( 女。m ) g = l 2 ，蟛依次辩码，若 d ( k 嚣( ，m + ) ) = m ，则躅户i o 即是叛徒。 上述体制中的任意多个授权用户组成的团体都无法捏造出一个不属于该团体 的授权用户，因此上述体制的追踪算法失败的概率为0 。 融节2 7 表2 1 冒戋拜，对上述蒋单逡踪体涮两言，当系统中静雳户数誉较大潆， 信道刹用率是非常低的。因此该体制并不实用，但它充分说明了追踪体制的基本 原理：将数字指纹嵌入用户的解密私钥。当凝获非法解码器时，通过6 ) 即可追踪 裂叛徒。 第二章单钥追踪体制 7 2 2 分级传送追踪体制 当用户数目较大时，为提高信道的利用率，可采取分级传输的形式。具体方案如下： 数字内容的分发者不直接接受用户的登记申请，用户须向数字内容的分发者授权的 某个代理登记申请，从而成为合法用户。代理可各自独立地选取加密算法，用以向其 代理范围内的用户发送数字内容的密文。各代理与数字内容的分发者之间通信时所用 的加密算法由数字内容的分发者决定。对叛徒的追踪由各代理完成。设系统中共有m 个 代理，各代理分别拥有r 。，n 。个授权用户，数字内容的分发者与各代理间的通信 采用算法e 进行加密，代理f 与其授权用户间的通信用算法e 进行加密( f = 1 , 2 ，m ) ， 则系统的具体工作步骤如下： 1 ) 数字内容的分发者随机地选取一个会话密钥5 将数字内容的明文m 加密，得密文c = e ( s ，m ) 。 2 ) 数字内容的分发者将会话密钥s 分别用各代理的密钥加密，得使能 块 t = 。 3 ) 数字内容的分发者将 在公用信道发送。 4 ) 代理f 用自己的密钥k 。将接收到的r 的第f 个分量e ( k 。，s ) 解密，得 s = d ( k ，e ( k ，s ) ) o = 1 , 2 ，m ) a 5 ) 代理f 用s 将密文c 解密，得m = d ( k ，e ( 鼻，m ) ) 。 6 ) 代理i 随机地选取会话密钥s 。，用算法e ，将明文m 加密，得密文 c ，= e ( s ，m ) 。 7 ) 代理f 用其各个授权用户的密钥屯( ，= l ，2 ，甩，) 将j ，加密，得使能块 i = 。 8 ) 代理f 将 在公用信道上传送。 9 ) 代理i 的授权用户j 用其密钥屯将正中的第，个分量解密，得 j ，= d f ( 七。，e ，( 屯，s ，) ) 。 1 0 ) 代理i 的授权用户用s 将密文解密，得数字内容 m = d ，( s ，e i ( s ，肘) ) 。 8数字版权保护技术中追踪体制的研究 1 1 ) 当发现盗版解码器时，代理i 可用节2 1 中的追踪算法发现盗版解 码器中的密钥k ，进而追踪到叛徒，。 与1 1 中的体制相比，分级传送体制可提高信道利用率。但是，分级传送体制也有 其明显的缺点。 首先，代理必须是可靠的，否则，代理可用其合法用户的解密私钥制造盗版解码器， 从而击败分级传送体制。 其次，当出现两个代理均采用同一加密体制与其授权用户通信时，如果这两个代理 将同一解密私钥分配给了各自的一个用户，而这两个登记于不同代理的用户中出现了 一个叛徒，则无法根据追踪结果确定真正的叛徒。 第二种情况可用下述方法解决：一旦有新用户到某个代理处登记，该代理即生成一 个密钥，并向数字内容的分发者报告，待后者确定该密钥是第一次分配后，再将生成 的密钥分配给该用户作为其解密私钥。 另外，本节中描述的分级传送体制是二级分级传送体制，不难看出，多级分级传送 体制也是可以建立的。 2 3k 一完全恢复追踪体制 为克服2 1 、2 2 两节中的追踪体制的缺点，c h o r 、a m o s 和n a o r 提出了一个基于概 率理论的追踪体制，他们称之为k 完全恢复追踪体制，现将经本文作者改进的该体制 介绍如下。 设系统中授权用户的集合为 1 ，2 ，玎) ，k 为参与构造盗版解码器的叛徒数的上界， 则系统工作过程如下： 1 ) 数字内容的分发者选取一个单钥加密算法e 、一个由2 1 k 2 个密钥构 成的，行2 k2 列加密密钥矩阵 口1 iq 2 一 c 2 ，ia 2 2 。 q 1a t 2 一 作为系统加密密钥，并随机地选取，个散列函数 h ，： l ，2 ，n ) 寸 1 , 2 ，2 七2 ( f = 1 , 2 ，) 。 i i 即咖。 第二章单钥追踪体制 9 将用户u 的解密私钥设置为 p 国) = 奴如铆，疗2 “) a 1 茸扣) ) 这里的，是一个待定的参数。 2 ) 数字内容的分发者将随机选取的会话密钥s 分成，个份额 薯( f - 1 , 2 ，) ，使得s 的蘩，个比特j d = 船足乙5 j 7 3 ) 数字内容蛉分发者用加密密钥矩阵第f 行中的每一个密钥燎份额s ，加密 得使能块 e ( a l l ， + e ( a 2 ，l ，s 2 1 = o e ( a ，s ， e ( a 1 2 ，s i ) e ( a 22 ，s 2 ) e ( a i 。2 女2 ， e ( a 2 2 女2 ， 4 ) 数字内容的分发者蠲会话密钥j 将数字内容静髑文掰加密，得密文 c = e ( s ，m ) 。 5 ) 数字内容的分发者将 通过公用信道发出。 6 ) 用户h 用其解密私钥p ( “) 将e ( a ，。 ( 。) ，s 。) 解密，得 薯= d ( a ， ( 。) ；e ( a ，t s ，) 玲= 1 , 2 ，) 。 7 ) 鼹户u | 圭l s “= 鄹r is p 求缛会诱密钥s ，麸弱戎褥m = d ( s ，c ) 。 8 ) 当数字内容的分发者发现一个由k 个叛徒构造的盗版解码器，即可 获取其中的密钥，设这些密钥的集合为f ，则f f ，( 加密密钥矩 阵的每行至少为f 爽献一个密锈，否刘，该盗版解磷器无法得到会 话密钥s ) 。记p = 酊1 ( f ( f ) ) a 。m 为f 中位子密钥矩辫的第i 行，熙 具有最小列标的元素 ，则将p 中出现次数最多的用户判定为叛徒。 显然，该叛徒在p 中出现的次数不会小予，肛。 由于k ”，因此散列函数 ( f _ l ，2 ，) 不是单射函数，利用8 ) 追踪到的叛徒可 能是无辜的授权用户。下面证明只要选取的，足够犬，出现这种误判的概率就可以任意 小。 蓠先考虑一个特定用户，不妨设为用户1 ，及一个特定的由k 个叛徒组成的盗舨团 1 0数字舨投缳护技术中追踩搏刽的磷究 伙“l 萑t ) ： 因为散列函数是随机选取的，因此， ，( 1 ) 在 1 ，2 ，2 2 ) 中均匀分布，从而，口m 均匀地分布于密镅矩阵的第i 行。r 激多可褥到j j 个位予密钥矩阵的第i 行的密钢， 8 。；，烩在葵中筑概率为i 2 k ； 设x ，是一个o - 1 型随机变爨，x 。= 1 当且仅当存在“联t 使得红( “) = 嚏( 1 ) 。由于密 钥矩阵的第f 行最多含有女个t 中成员的密钥，因此，p r x ，= 1 】1 2 t 。x = ，的 平均值为2 。 幽于至少有一个r 中的叛徒在p 中出现的次数不少于i ，因此，獭x 时，追 踪算法不会褥用户l 剿定为叛徒。下瑟我稻鬻c h e m o f f 不等式f 1 4 l 嵇诗追踪俸髑认梵溺 户1 是r 中成员，即x 豹概率。 c h e r n o f f 不锋式：若x l ，2 ，x f 悬相互独立的o - 1 型随机变量，且 p r ( x ，= 1 ) = p ，p r ( x ，= 0 ) = 1 一p ( f = 1 , 2 ，) ，刚对任意的实数l ， p r 莲z x ，涮 眵广 蛔) ，励】 4 k ( k + 1 ) l 0 9 2 n - 4 k l 0 9 2 疗时，本追踪体制误判的概率 燕：盔予系统e e l - ，1 个蔫户，最多骞 团伙，由定理1 得： p r 【追踪体制误判】 = ”( 加蝴m 睁脚 刈毒 令踅不耦阉量蠢素令叛徒缀残熬盗叛 第二章单钥追踪体制 = 高可毒 , 12 ( 一1 ) ( 疗一k + 1 )l 万k + l s ：i 1 ( 1 一一三) ( 1 _ 型) 占 0 ，当f 4 k ( k + 1 ) l o g2n - 4 k l o g2 ( 女! s ) 时，本追踪体制的误判率 小于s 。 2 4 阀值追踪体制 上节介绍的可完全恢复追踪体制能以任意接近于1 的准确率追踪到任何一个盗版解 码器中的解密私钥的来源( 即对任意 0 ，可以概率l s 追踪到盗版团伙中的一员) 。 但对某些应用( 如付费电视系统) 而言，这样的追踪体制是不必要的( 系统丌销过大) 。 在这些应用中，系统只需追踪那些以高于某个阀值的概率进行解密的盗版解码器中的 解密私钥的来源。我们称这类体制为阀值追踪体制。与可完全恢复追踪体制相比，阀 值追踪体制所需的存储空间小，信道利用率高。下面给出阀值体制的精确定义。 g - 阀值( p ，k ) 一恢复追踪体制：设r 是由系统中不超过k 个授权用户组成的盗版团 伙，爿是r 利用其中的解密私钥构造的解码器。若体制满足：当a 以大于阀值q 的概率 将体制中的密文解密时，数字内容的分发者就能够不小于l p 的概率追踪到丁中的至 少一个成员，则称该追踪体制为g 阀值( p ，) 恢复追踪体制。 下面是一个拥有打用户 1 ，2 ，胛 的g 阀值( p ，k ) 恢复追踪体制的工作过程： 1 ) 系统初始化：设w ( o w l p 式( 2 7 ) 定理6 孽- 阙值( a 未) - 恢复追踪搭麓中每个授投用户斡解密稻锈由等l o g ：( 形力个加 密蜜钥缒簿中豹密镯缀残。搭铡豹数据嚣余秀镑强4 素；器。溺户零对密文避簿砉器次 解鬻以得到明文。 在上述定理中取w = 口，我们得到 定理7 存在个q 一阀值( 依鳓恢复追踪体制，其中每个授权用户静解密私韬由 芸l o g ：( n p ) 个期密密钥矩痒中豹密镪组成t 蒋裁熬数摄踅余嚣镤先4 k ，用户对塞文进 行1 次解密即得到明文。 2 5 动态追踪体制 上面几节提到的追踪体制，都假定盗版者只使用其勰嫩私钥聿句造您版解碣器，丽不 将解密后的明文分发给自己的用户。但攀实上盗版者完全研以将其解密的明文在 i n t e r a c t 或其它媒体上公京，潋获驭利益；为茨盘盗叛考懿上述褥为，a m o sf i a t 秘t a m i r t a s s a 提出了一个基于水印的追踪体制，他们称之为动态追踪体制。 先奔绥凡个与承窜蠢关懿穰念。 承印：水印是数字版税拥有者在其欲保护的数字内容中加入的冗余数据。 版本：个加有水印的数字内容的拷贝称为该内容的一个版本。 1 4数字版权保护技术中追踪体制的研究 相似性：不借助机器，任何用户无法区分同一数字内容的不同版本。 健壮性：一旦有授权用户用数字内容的不同版本伪造出一个非法版本，版 权所有者即可椐此追踪到伪造者。 用于基于水印的追踪体制必须包括以下两个部分 水印分发：可给每个授权用户分发一个版本的算法。 追踪：具有如下性质的算法：当版权拥有者发现一个伪造的非法版本时 即可使用该算法确定至少一个参与伪造的授权用户。 设体制中全部一个授权用户的集合为u ，盗版团伙t 由至多p 个授权用户组成。用 变量f 表示追踪过程中发现的，中的成员数。版权拥有者准备2 尹+ 1 个版本，并将整个 数字内容分成脚段，将u 分成2 ，+ 1 个子集u = u 。，s 。这里，p = 厶，蜀，l ，r ， 。 动态追踪体制的算法如下： s t e p i 。霞f = 0 ，= u ，p = d 。 s t e p 2 。对数字内容的段数循环 ( 1 ) 向p 的每一个元素s 发送一个版本，不同的s 得到不同的版本，同 一s 中的所有用户得到的版本是相同的。 ( 2 ) 版权拥有者发现盗版者向其用户发送的版本v ，则： 1 ) 若v 与，得到的版本相同，置r = ，+ 1 ，将，分成大小相同的两 个子集上，与置，将它们作为p 的元素，同时，置i = m 。 2 ) 若v 与某个厶( 1 s f s ，) 得到的版本相同，则： a ) 将更，添入，。 b ) 若= l ，则将其中的唯一用户与u 隔离，置，= r l ，并 将p 中的l 与r 删除，对p 中的与置重新编号。 c ) 若k i 1 ，则将厶分成两个大小相同的子集作为新的l ，与 r a 第二章单钥追踪体劐 3 ) 若v 与某个足( 1 j s f ) 的版本相同，则将鼻与r ，交换，重 复步骤a ) ，b ) ，c ) 。 对于上述算法，我们有以下 定理8 上述算法撼述的水印追踪体制可在至多p l o g ：起步内追踪到t 中的所有叛 徒。 证：考虑集合f 。驻然，在至多l o g ：蚪之后，陇l = 1 ，即算法追踪到一个叛徒。由 于矧= p ，毽此簿法可径p l e 9 2 拜步之雨追踪翻巾懿搿骞叛徒。 2 6 序贯追踪体制 尽管动态追踪体制是一个可防止盗版鬻将数字内容解密磊传送绘其甭户的实雨、 有效豹追踪体制，但它却有以下缺点；首兔，分配绘各数字内容段的水印与体制得到 的| j 一数字内容段的反馈信号有关，实时系统( 如付费电视系统) 中的盗版者只需采 耀延迟重拔鄹可难败该传铡。其次，给数字蠹容段分醚窳印震要大萋静实瓣诗算，当 体制中用户数量较大时，为保证算法在合理的时间内收敛，就需要较昂贵的硬件设施。 为竞鼹动态追踪髂镪的上述缺点，r e i h a n e h , s a f a v i ，n a i n i 鞍y e j i n gw a n g 提出了贯 一个可防止盗版酱将数字内容解密后传送缭其用户的追踪体制序贯追踪体制【1 6 】。 先介绍一个有关散刿函数族的引理。 ；3 理l 设q 趋一个素数，则存焱潢足下覆魏条 孛( 1 、( 2 豹数列函数族 啦= 妒。： 1 , 2 ，一) 叶 l ，2 ，行 ，1 f ，j ( 留一i ) 2 ： ( 1 ) 对任意静x 及矗，i 2 ( i l i 2 ) ，瓯，0 ) 吼，( x ) 。 2 ) 瓣妊意熬x , y ，i l ，：，知2 毯i 2 , ，l 毋2 ) ， 蓿妒 ( x ) = 驴h ( ) ，) ，则吼a ( x ) 喾吼 ( y ) 。 证：设叮是一个素数，怒一个q 阶有限域，记巧= 、 0 。对任意的，。定义： 妒，( x ) = ( i + ，讧，这里的x 是巧中的任意一个元素。容易验证：妒。满照条件( 1 ) ，( 2 ) 。 羹俸裁中羲搦户集为u = 1 , 2 ，螂。敝投糖鸯者将箕欲在公震僖遂上窝授权臻户 发送的数字内容分成掰+ 2 段，同时选定一个具有辣个玛譬奴，c ：，c 。 豹水印码，并 数字版权保护技术中追踪体制的研究 联m = p 。，c ：，) 7 及满足条襻孳 理l 孛条译( 1 ) 、犯) 豹散尉涵数簇 中= 妒p ：1 墨i s 6 ，l ，曼掰 ，吼： 1 , 2 ，- 一，挥 。 l ，2 ，丹 由引理1 ，m 是存在的。做分块矩阵 m = mm mm ， 仍，( 肘) l ( 膨) 妒1 2 ( m ) 仍2 ( 村) 材嬲6 纯l ( 材) 纯2 讫。( m ) 仍。( m ) 其中，m i = ( 。，1 一，c ，) 7 ，( 肘) = 0 蛳( ”) ，。蛳( m ) ) 是门l 矩阵。 序贯穗踪俸涮静算法魏下： 1 置变量h = o ，f = ) 。这里的h ，f 分别表示算法进行到某步时反馈回 的最大段号和此时追踪到的叛徒的集合。 2 当h m 时循环： ( a ) 对变量，= 1 , - - - , b ，k = l ，栉，憋加有水印的第矗段分配 给用户p l 咖+ 七。 ( b ) 接收反馈的段，并析墩水印以。 ( c ) 将五放入f 。 疆) 将f 与费鹣蓠蠢+ l 列鞠毙。装露孛憨繁f 抒孛鸯至多扩l 令 元索在f 中，则认为用户t 是叛徒，并将其从u 中剔除。 ( e ) 鬻h = h + l 。 为证明上述算法的难确性，我们先证明下面的 引理2 设体制中的叛徒不超过p 个， f = ( 乃，厶) ，( d p + 1 ) 是个庋续序列。若f 与詹中的繁一1 ) 打+ 枣孬有p + 1 个戳主的相同元素，则用户 ( ，一1 ) n + k 是叛徒。 证：假设盗版团伙7 ( 吲gj d ，( r - 1 ) n + k 甚d 产生了f 。由抽屉原理知：存在t y 使 得用户( r 乙1 ) h + r 与( 卜- l 加+ k 在第羔，y 段的承印相同，这尾的工， 死，2 ，厶j 第二章单钥追踪体制 1 7 且x y 。由厨的构造，我们知道下面的两个式子至少有一个成立： c t = c k = x ，c 砟j ( t ) = c 帅( 七) 式( 2 - 8 ) c 竹，( 女) = c ( 女- ) = j ，c ( ) = c ( 女+ ) 式( 2 - 9 ) 而式( 2 - 8 ) 与引理l 中条件( 1 ) 矛盾，式( 2 - 9 ) 与引理1 中条件( 2 ) 矛盾。 由引理2 得： 定理9 序贯追踪体制可正确地追踪到所有叛徒。 证：由引理2 知当尸与厨的第，行有多于p + 1 个相同元素时，即可确定用户t 为叛 徒，这表明本体制可在p ( p + 1 ) 步内追踪到所有叛徒。 2 7 单钥体制的性能分析 本章中的各种追踪体制的性能总结如表2 1 。 由表2 1 知，简单追踪体制、分级追踪体制、动态追踪体制和序贯追踪体制的数据 冗余高于k 完全恢复追踪体制和g - 阀值( p ，k ) - 恢复追踪体制的数据冗余。而- 完全恢 复追踪体制和q 一阀值( p ，k ) - 恢复追踪体制所需的用户私钥数和解密次数都远高于简单 追踪体制、分级追踪体制、动态追踪体制和序贯追踪体制所需的用户私钥数和解密次 表2 1 单钥追踪体制的性能分析 体制所在用户数据用户解密时所 名称章节私钥数冗余需的解密次数 简单 2 1l 0 ( 门) 1 分级 2 2l 0 皓) 1 k 一完全恢 2 3 o ( k 2 l 0 9 2 行)o ( k 4 l 0 9 2 玎)o ( k 2 l 0 9 2 聆) 复 q 一阀值 2 4 o ( k l 0 9 2 片)o ( k ) o ( 七) ( p ，k ) 恢复 动态 2 5m o ( n p ) 1 f序贯 2 61 o ( n ) 1 数。简单追踪体制、分级追踪体制和k - 完全恢复追踪体制中的追踪算法收敛较慢，而g 一 阀值( p ，k ) - 恢复追踪体制中的追踪算法收敛较快。造成上述差别的根本原因在于简单 1 8数字版权保护技术中追踪体制的研究 追踪体制、分级追踪体制和k 完全恢复追踪体制能追踪到每一个盗版团伙中的至少一 个成员( 该盗版团伙的成员数不超过k ) ，而q 一阀值( p ，k ) - 恢复追踪体制只追踪那些参与 构造能以不小于q 的概率进行解密的盗版解码器的叛徒。 第三章公钥追踪体制 第三章公钥追踪体制 3 1 概述 上章介绍了单钥追踪体制，单钥追踪体制的特点是数字内容的分发者须用多个密钥 将会话密钥加密，组成使能块。同时，数字内容的分发者将明文用会话密钥加密，得 密文。而后，将使能块与密文一同在公用信道上发送。每个授权用户用自己的解密私 钥将使能块中相应的会话密钥的密文解密，得会话密钥，用会话密钥将数字内容的密 文解密，即得数字内容的明文。 由于其使能块的长度与体制中授权用户的数目有关，当体制中授权用户较多时，单 钥追踪体制由于数据冗余度过大，性能急剧下降。 为克服单钥追踪体制的上述缺点，d a nb o n e h 和m a t t e wf r a n k l i n 提出了公钥追踪体 制m j 。与单钥追踪体制相比，公钥追踪体制的最大特点是其使能块的长度与体制中授权 用户的数量无关，从而可适于用户较多的大系统。同时，公钥追踪体制的数据冗余得 以大幅度减少，体制的性能得以提高。w e n - g u e yt z e n g 和z h i j i at z e n g 提出的公钥 追踪体制【9 】除具有上述特点外，还允许数字内容的分发者吊销任何非法用户及向其泄露 私钥的授权用户的密钥。 8 2 公钥追踪体制的体系结构 公钥追踪体制是一个具有唯一的加密公钥和多个解密私钥的密码系统，主要由以下 部分构成： 密钥生成算法：该算法以系统的安全参数及数字内容的分发者欲产生的 解密私钥的数目，为输入，输出加密公钥p 和，个解密私钥d i , d ：，d ，。 这里的任何一个解密私钥d i ( 1 茎i ，) 都可将由e 加密的数据解密。 加密算法：利用加密公钥e 将输入的明文膨加密，输出密文c 。 解密算法：将密文c 和任意一个解密私钥作为输入，产生明文吖，并 将其输出。 追踪算法：如果发现了盗版解码器d ，系统可利用该算法追踪到至少一 2 0数字版权保护技术中追踪体制的研究 个为d 提供解密私钥的授权用户( 叛徒) 。 3 3 一个简单的公钥追踪体制 本节介绍一个简单的公钥追踪体制，为此，首先介绍多项式插值的概念 设厂( x ) = a ：x 是一个z 次多项式( z 1 ) 。假设给定了z + 1 个点 j 。0 则可通过l a g r a n g e 插值公式计算出厂( x ) 的各项系数，其中常数项 称 a o = ( ，( 一)i - i 士) o s t f e ” j x t 矿。飘：去( o z ) 分配给他，作为其唯 一标识符( 我们称该用户为用户i ) t 同时，将份额( f ，厂( m 分配给用户i ， 第三章公钥戆踪体铡 2 l 作为他的躺密私钥。用户i 可通过等式 g “= n ：。g m m 式( 3 4 ) 对其私钥加以验证。 这墨 = f + l ( t = o ，l ，= 一1 ) ，x = = j 。 麴密：数字瘫蜜麓分发者疆祝撼选耩会话密锈s ，及：个遗未分黼静份 额 ( 几f ( j - ) ) ，( _ ，：，( 矗) ) ，( 止，f ( j ：) ) 并蠢就得蠢谈耱块 t = 同时，数字内容的分发者用会话密钥s 将数字内容的明文m 加密，得密 文c = e ( s ，m ) ，这堡的加密算法露是数字内容的分发者选定的一个革锈 加密算法( 如d e s ) 。隧质，数字内容的分发者烙使s 2 块鄹密文组成的 数据块 在公用信邋上发送。 解密：授权用户i 接收到数据块t ，c 之后，首先刹用下述公式将使能 块f 解密，褥到会话密镑 s ：疆* t 苫燃i = ( 霉弛) 4 】 式( 3 - 5 ) 这纂 嘞= j l , x l = - ，2 ，茗f 。 = 六，x ：= i a 而后，用户i 利用会话密钥s 将密文c 解密，得明文m 。 追踪：一旦版权搠肖者发现了盗版姆妈器，即可通过下露豹算