CN100449985C - 用于数字内容发送的防盗版方法 - Google Patents

Abstract

本发明涉及一个通过主动多样化传输、相关发送机设备和便携接收机物体实现对于数字内容的发送防盗版方法。该方法被设计为使得相同信息(K_c)对于属于一个接收机群组(G)的几个接收机(1)可用，每个接收机存储其特定的信息(SA_i)，该方法的特征是包括以下步骤：定义一个关系K_c＝f(K，bi，SA_i)，其中(f)是一个给定的函数，(K)是所有接收机公共的信息，(b_i)是对于每个接收机和信息(K)的每个值不同的信息；在使(K_c)可用之前使得每个接收机可访问信息(b_i)；以及就在使(K_c)可用之前将信息(K)发送给所有接收机；以便每个接收机能够使用所述关系计算信息(K_c)。

Description

用于数字内容发送的防盗版方法

技术领域

目前许多付费电视频道受欺骗行为所害。尤其地，盗版卡常被用于收看它们的频道。本发明提出了一个新的系统，用于传输图像解密密钥(或者图像本身)，它提供了许多优点：系统相对易于实施，并且如果盗版卡出现的话能够迅速应对(灵活性)。

背景技术

如果获取了一个盗版卡，则可能从外部(即只通过观察其操作)来查出它包含了什么密码，其可用于查出它从哪个真正的卡获得此密码，尤其是用于在不禁用正版卡的情况下迅速禁用所有盗版卡。这被称为盗版追踪，尤其是黑盒子(盗版)追踪。注意提出的发明与密码学中提出的其他系统(参见参考文献)相比是非常有效和安全的。还要注意本发明不限于电视：本方法也可用于任何同样的内容必须被发送到几个被授权的接收机时。

新方法的特征是非常合理的速率，这与由通信信道所施加的速度限制是兼容的。此外，由于只实时发送非常短的数据K以便访问被保护的内容：此长度可以短到64比特，因此该方法从其他方法中脱颖而出。

发明内容

因此此方法涉及一种方法，该方法使得相同信息(K_c)对于属于一个接收机群组(G)的几个接收机可用，每个接收机存储其特定的信息(SA_i)，该方法的特征是包括以下步骤：

-定义一个关系K_c＝f(K，bi，SA_i)，其中(f)是一个给定的函数，(K)是所有接收机公共的信息，(b_i)是对于每个接收机和每个信息(K)的值不同的信息；

-在使(K_c)可用之前使得每个接收机可访问信息(b_i)；以及

-就在使(K_c)可用之前将信息(K)发送给所有接收机；以便每个接收机能够使用所述关系计算信息(K_c)。

有利地，函数(f)的性质使得已知一个(b_i)和一个(SA_i)，当信息(K)未知时，不知道任何可用于实时并且以不可忽略的概率获取信息(K_c)的算法。

有利地，函数f的性质使得已知接收机的一个特定的子群组(G’)的一个特定数目个(b₁..b_n)，在不知道当前的K以前，不知道任何可用于实时地并且以一个不可忽略的概率以一个正版(SA_i)产生一个有效的对(b_i，SA_i)的算法，其中i不是(G’)的接收机1..n之一。

有利地，函数f具有以下形式：

$f(K,b_i,S{A}_i)=b_i\⊕E_K\left(S{A}_i\right)$

其中E_K是一个取决于信息(K)的函数，

表示一个群组法则。

有利地，函数(E_K)是一个密码加密函数，而(K)是被此函数所使用的一个密码。

有利地，值(b_i)被特定于某个的群组(G)的各个接收机的密钥(K_i)加密地发送。

有利地，每个值(SA_i)是为接收机i所知的的一个秘密的值。

有利地，每个(b_i)由两个值b_1i和b_2j所组成，同样地，对于每个接收机特定的信息由两个值SA_i以及SA_j组成，以使得由索引对(i，j)标识的每个接收机将相应的值b_1i和b_2j与值SA_i和SA_j结合，以使用所述关系计算值K_c1和K_c2，然后K_c1和K_c2又被结合以得到信息K_c。

有利地，信息K_c是一个密钥，用于解密一个数字内容，例如一幅电视图像。

有利地，信息K_c可被接收机使用几分钟，信息K被提前几秒钟发送，值b_i被有规律地提前几天发送。

有利地，某些接收机在预存储在接收机中的一个值列表中发现至少一部分它们的值b_i。

本发明还涉及一个便携的接收机物体，它属于便携物体的一个群组(G)，并包括信息处理装置和信息存储装置，存储装置存储特定于便携物体的信息(SA_i)以及一个给定函数(f)，其特征在于它包括：

-获取对于信息(b_i)的访问权限的装置，其中信息(b_i)对于群组(G)的每个便携物体和信息(K)的每个值是不同的；以及

-使用一个关系K_c＝f(K，b_i，SA_i)来计算信息(K_c)的装置，其中K是对于所有便携物体公共的并被发送给它们的信息。

最后，本发明涉及一个发送机设备，它使得相同的信息(K_c)对于属于接收机的一个群组(G)的几个接收机可用，每个接收机存储对其特定的信息(SA_i)，该发送机设备的特征在于它包括：

-计算装置，用于使用一个关系K_c＝f(K，b_i，SA_i)来计算信息(b_i)，其中(f)是一个给定函数，(K)是对所有接收机公共的信息，信息(b_i)是对于每个接收机和信息(K)的每个值不同的信息；以及

-发送装置，用于在使(K_c)可用的一段特定时间之前，向每个接收机发送与之相关的信息(b_i)，并且就在使(K_c)可用之前，将信息(K)发送给所有接收机。

附图说明

本发明的其他细节和优点将在以下参照附图对于一个首选的但是不限制的实施方式的说明中显示出来，附图中：

图1描绘了一个接收机，此处接收机是一个智能卡类型的便携物体；以及

图2描绘了一个相关的发送机设备。

具体实施方式

1系统的例子

1.1说明

我们将考虑一个用于将相同信息发布到许多有效接收机的系统。，例如，一个付费电视系统。以K_c表示信息解密密钥。此密钥具有，例如，10分钟的寿命，并且可能要求64至128比特。我们将说明一种方法，它使得接收机每10分钟重新计算K_c的新值。注意，此处所有接收机将计算相同的K_c值，虽然它们可能都具有不同的密码。

我们将考虑一个接收机，并称它为“接收机i”。此处，此接收机具有至少两个对于它是特定的值：一个加密密钥K_i，和一个秘密的值SA_i。

负责传输的机制将生成一个密钥K，然后对于每个索引i计算以下值：

$b_i\⊕E_K\left(S{A}_i\right),$

其中E表示一个加密函数，或者更一般地，一个使用密钥K的单向函数，表示一个群组法则(例如对于比特施加比特异或，或者以256为模的加法)，并且它将发送所有这些分别使用一个密钥K_i加密的值b_i。例如，它会有规律地提前几天发送所有值b_i。

因此，一个接收模式中的接收机将能够提前几天解密值b_i(用它的密钥K_i)。

从而，就在密钥K_c变有用之前几秒，发送机将向所有接收机发送密钥K。此密钥可以非常短，例如64比特。现在它们能够通过计算y＝E_K(SA_i)，然后 $K_c=b_i\⊕y^{-1}$ 来计算Kc(如果群组操作是逐个比特异或运算，则y^-1＝y)。

注意此处“时间”因素起了非常重要的作用：在发送K之前，没有接收机能够计算K_c的值，它们的存储器中均具有不同的值b_i和SA_i。然后，一旦K被发送，它们均将能够通过利用此唯一值K和它们不同的值SA_i和b_i来重新计算相同的值K_c。

记住一个单向函数是那种在没有特别信息的情况下能按一个方向被计算，但不能按相反的方向被计算的函数，除非已知特定的参数。尤其是一个哈西函数，例如MD5或SHA。

1.2“黑盒子盗版追踪”，或者如果出现盗版卡如何应对

如果出现盗版卡，则可能通过以下操作来做出应对：首先检测卡中包含的密码(参见下文)，第二，禁用所有具有此相同密码的卡(参见下文)。这个方案能在不更改流通中的其他卡而完成，所述其它卡将继续操作。

1.3检测密码

首先，假定一个真实接收机的密码被保存在了一个盗版卡中。正版卡将被分成两个组，每个组中有大约相同数目的元素：A和B。然后A的真实值b_i和B的虚假值b_i将被发送给盗版卡，来查明它是否仍能正确地对图像进行解密。如果能够，则它的密码属于A，否则属于B。然后用两个新的子群组再开始。如果有大约2ⁿ个可能的索引i，则找出可疑索引将需要约n次尝试。

注意不必读取卡中保存的密码：观察其操作就足够了。如果同一卡中有几个密码，则所示的方法可被用于检测一个第一密码。然后停止传输对应于此密码的值b_i，然后检测第二密码，等等。也可能盗版卡可以保存几个真实接收机的密码，以一种复杂的方式使用这些密码：于是检测变得更困难，但是只要盗版卡中没有保存太多密码，一般来说检测仍是可能的。

1.3.1禁用有这个(些)密码的卡

只要停止传输对应于这些密码的值b_i就行。

2一般的基本设置

现将给出对本发明核心的基本原理的概括说明，更一般的改进、变化及从它衍生的版本将在随后的章节中说明。

令G为一个正版接收机群组。目标是向它们(并且仅向它们)发送一个内容K_c，它包含所有类型的信息(数据、程序、密码等)，尤其是一个数字内容。尤其地，内容K_c可以是一个访问一个付费电视节目的密钥。内容K_c对于所有接收机是相同地，并且通常它会非常迅速地改变以避免欺骗性的再分配。

本发明的基本原则是通过另一个以明码发送的密钥K向所有正版接收机发送K_c，以便每个接收机具有一个利用K计算K_c的方式，该方式与其他接收机所使用的方式是完全不同的。

一般地，此方式是一个在其存储器中找到的充分提前发送的值b_i。就在K_c必须对接收机可用之前，一个唯一的值K被发送给群组G中的所有接收机，以便每个接收机可用它具有的一个函数f来计算K_c，该函数以K、b_i和它的一个特定值SA_i作为输入。因此对于接收机群组中的每个索引i，我们有：

K_c＝f(K，b_i，SA_i)。

K必须发送到接收机的时间将根据情况来确定，以确保一个盗版者不能在发送K和K_c可用之间的时间内重新计算K_c，或者至少欺骗性地使用它。一般K将在K_c可用之前几秒钟或几分钟被发送。

2.1基本设置的变体

变体1

对于某些应用，值SA_i不必是秘密的：它们可以是公开的。

变体2

对于某些应用，当值SA_i是秘密的时，值b_i可以以明码形式发送给接收机。

变体3

函数E可以不是一个加密函数，而可以更一般地是一个使用密钥K的单向函数，例如一个密码哈西函数，例如SHA-1。

变体4一值b_i的预存储

不是发送值b_i，而是预先计算它们并将它们预存储在接收机中，例如存储在闪存中、在硬盘、CD-ROM或DVD上。它们也可以通过建筑电缆或微波被本地广播。

3通用配置

以上带有这些变体的设置可被加倍或复制，这在性能和检测盗版团体方面提供了显著的改进。我们将首先说明一个加倍的版本，然后解释使得系统能够被并行地使用几次的基本原理，以及产生的所有益处。

3.1系统的第二个例子

在此情况下，每个接收机不是具有它特定的值SA_i，而是具有两个值SA_i以及SA_j，以便几个接收机可具有相同的SA_i或相同的SA_j，但不会同时具有相同的SA_i和相同的SA_j。因此每个接收机的由对于其特定的一对索引(i，j)标识。

此外，每个接收机可具有两个加密密钥K_i和K_j，以便几个接收机可具有相同的K_i或相同的K_j，但不会同时具有相同的K_i和相同的K_j。密钥K_i可用于将值b_i秘密地发送给接收机(除了在值b_i为公开的变体中外)。

负责发送的机构将生成两个秘密值K_c1和K_c2。然后它们被合并以访问主要密钥Kc或直接访问内容。例如，我们可以使：

K_c＝K_c1#K_c2，其中#是一个群组法则。

然后它生成一个密钥K，并计算所有值

$b_{1i}=K_{c1}\⊕E_K\left(S{A}_i\right)$

以及

$b_{2i}=K_{c2}\⊕E_K\left(S{A}_j\right)$

其中E表示一个加密函数，或者更一般地，一个单向函数，它使用密钥K，其中

表示一个群组法则，然后将发送所有这些被密钥K_1i加密的值b_1i和所有被密钥Kj加密的值b_2j。例如，它将有规律地提前几天发送所有的值b_1i和b_2j。

因此，一个将处于接收模式的接收机将能够提前几天解密值b_1i(用它的密钥K_i)和值b_2j(用它的密钥K_j)。

从而，就在密钥K_c变得有用前的几秒，发送机将向所有接收机发送密码K。现在它们将能够通过计算y＝E_K(SA_i)，z＝E_K(SA_j)，然后计算 $K_{c1}=b_{1i}\⊕y^{-1},$ $K_{c2}=b_{2j}\⊕z^{-1},$ 然后并且最后计算K_c＝K_c1#K_c2来计算K_c。

此第二版本的优点是发送的值b_i的数目比第一版本少(因为几个接收机具有相同的值b_1i或b_2j)。通常，发送的b_1i和b_2j的数目可能只约等于接收机数目的平方根。

3.2复制的通用配置

不是加倍基本配置，更一般地，它也可以被复制。因此每个值bi由一个或多个值(b_1i，b_2j，b_3k，...)组成，并且每个接收机由一个索引列表(i，j，k，...)和相应的地址(SA_i，SA_j，SA_k，...)标识。由列表(i，j，k，...)标识的接收机以(SA_i，SA_j，SA_k，...)使用相应的值(b_1i，b_2j，b_3k，...)来解密值K_ci(K_c1，K_c2，K_c3，...)，这些值必须被结合以计算一个密钥来访问内容K_c，或内容本身。

每个接收机将由一个索引列表标识，此索引列表最好是唯一的，具有用于标识它(或标识可疑接收机的一个小群组)的(i)，(i，j)或(i，j，k，...)的形式。同样地，我们可以根据两种解释说接收机是由其密钥或地址群组标识的，此群组是它的群组(SA_i，SA_j，SA_k，...)。因此该配置可与其他任何具有已知密钥的盗版追踪配置相结合，例如在<Crypto’94>中由Benny Chor、Amos Fiat和Moni Naor所著的“盗版追踪”一文中所描述的盗版追踪配置。在此情况下，传统的盗版追踪协议必须指定如何向接收机发送密码(SA_i，SA_j，SA_k，...)，以及如何从密钥K_ci计算主要密钥K_c。这一点必须根据所使用的配置来实现，因此对于一定数目C个共享其密钥以建立一个盗版解码器的接收机，仍可能标识一个或所有盗版者，或者至少在不阻止非盗版的正版接收机访问内容的情况下禁用所有的盗版解码器。根据本发明方法，正如以上已经说明的，有多种方式可用于在不分解卡的情况下，只通过观察在一个传输中其操作来查找保存在一张盗版卡中的密钥，其中在所述传输中只有某些值b_j是正确的。此黑盒子追踪属性是保持在基本设置的通用性中的，因此可能停止发送对应于保存在盗版卡中的一个或多个秘密SAi的值bi。同时，可能必须向正版接收机发送一个新的SA_i值(提前并且最好用一个密码加密)。

3.3通用配置的变体

段落2.1中说明的基本配置的所有变体也可应用于第3部分中说明的复制配置。

此外，有其他对于一般的加倍或复制配置特定的变体群组。

变体群组1：这些变体包括用其他方式向接收机发送密码(SA_i，SA_j，SA_k，...)。

变体群组2：这些变体包括用其他方式从密钥K_ci计算主要的K_c。

变体群组3：在这些变体中，用于计算不同的值(b_1i，b_2j，b_3k，...)的密钥K不是对于所有这些值都是相同的。例如，一个密钥可用于所有的值b_1i，另一个可用于值b_2j。

变体群组4：在这些变体中，用于值b_1i，b_2j等的函数f(K，b_i，SA_i)不是对于所有值都是相同的。例如，一个函数可用于用于计算K_c1的值b_1i，另一个不同的函数可用于用于计算K_c2的值b_2j。

变体群组5：在这些变体中，用于发送值b_1i和值b_2j的密码K_i不是对于所有使用相同i的接收机都是相同的，或者对于值b_1i和值b_2j是不同的。

现在将在使用信息处理设备的实施方式中给出对本发明的一个简要说明。它涉及一种方法，用于使相同的信息(K_c)对于属于一个接收机群组(G)的几个接收机可用，所述信息来自一个包括信息处理装置和信息存储装置的发送机，每个接收机包括信息处理装置和信息存储装置，接收机的存储装置存储其特定的信息(SA_i)，该方法的特征在于它包括以下步骤：

-在每个接收机的信息存储装置中定义一个关系K_c＝f(K，b_i，SA_i)，其中(f)是一个给定的函数，(K)是对于所有接收机公共的信息，而(b_i)是对每个接收机和每个信息(K)的值不同的信息；

-使每个接收机的处理装置能够在(K_c)可用之前得到信息(b_i)；以及

-就在(K_c)可用之前使用发送机的处理装置将信息(K)发送给所有接收机；

以便每个接收机能够通过其处理装置使用所述关系计算信息(K_c)。

图1显示了一个智能卡类型的接收机1的一般结构。它包括信息处理装置或CPU 2，不同类型的信息存储装置3，4，5(RAM，EEPROM，ROM)，允许卡与一个读卡器终端通信的输入/输出装置6，以及一条允许这些不同的部分一起通信的总线7。卡通过终端(未显示)与一个远程发送机设备通信。

图2显示一个发送机设备10的基本结构。它包括信息处理装置或处理器11、可能是不同类型的信息存储装置12(RAM，EEPROM，ROM)，允许发送机与外部通信的传统的输入/输出装置13，以及一条允许这些不同的部分一起通信的总线14。发送机还包括发送装置15，该装置被特别设计为根据本发明与所有与之关联的接收机相通信。对于一个付费电视系统，这些发送系统被设计为，尤其通过使用无线电波，发送图像以及至少上述信息K。

Claims (13)

1.一种使得相同信息K_c对于属于一个接收机群组(G)的几个接收机(1)可用的方法，每个接收机存储其特定的信息SA_i，该方法的特征是包括以下步骤：

-定义一个关系K_c＝f(K，b_i，SA_i)，其中f是一个给定的函数，K是所有接收机公共的密钥，b_i是对于每个接收机和密钥K的每个值不同的信息；

-在使得K_c可用之前使每个接收机能够访问信息b_i；以及

-在刚刚使得K_c可用之前将密钥K发送给所有接收机；

以便每个接收机能够使用所述关系计算信息K_c。

2.根据权利要求1的方法，其特征为函数f的性质使得已知一个b_i和一个SA_i，且当密钥K未知时，不知道任何可用于实时并且以不可忽略的概率获取信息K_c的算法。

3.根据权利要求1的方法，其特征为函数f的性质使得已知接收机的某个子群组(G’)的某些个b₁..b_n，且在不知道当前的K以前，不知道任何可用于实时地并且以一个不可忽略的概率以一个正版SA_i产生一个有效对(b_i，SA_i)的算法，其中i不是(G’)的接收机1..n之一。

4.根据权利要求1的方法，其特征为函数f具有以下形式：

$f(K,b_i,{\mathrm{SA}}_i)=b_i\&CirclePlus;E_K\left({\mathrm{SA}}_i\right)$

其中E_K是一个取决于密钥K的函数，

表示一个群组法则。

5.根据权利要求4的方法，其特征为函数E_K是一个密码加密函数，而K是被此函数所使用的一个密钥。

6.根据权利要求1的方法，其特征为值b_i被某个群组(G)的各个接收机的特定密钥K_i加密地发送。

7.根据权利要求1的方法，其特征为每个值SA_i是为接收机i所知的一个秘密的值。

8.根据权利要求1的方法，其特征为每个b_i由两个值b_1i和b_2j所组成，同样地，所述每个接收机特定的信息由两个值SA_i以及SA_j组成，以使得由索引对(i，j)标识的各个接收机将相应的值b_1i和b_2j分别与值SA_i和SA_j结合，以使用所述关系分别计算值K_c1和K_c2，其中(b_1i，SA_i)及(b_2j，SA_j)分别替换所述关系中的(b_i，SA_i)，然后K_c1和K_c2又被结合以计算信息K_c。

9.根据权利要求1的方法，其特征为信息K_c是一个密钥，用于解密一个数字内容。

10.根据权利要求1的方法，其特征为信息K_c可被接收机使用几分钟，密钥K被提前几秒钟发送，值b_i被有规律地提前几天发送。

11.根据权利要求1的方法，其特征为所述某些接收机在预存储在接收机中的一个值列表中发现至少一部分它们的值b_i。

12.便携的接收机物体(1)，它属于便携物体的一个群组(G)，并包括信息处理装置(2)和信息存储装置(3，4，5)，存储装置存储对于该便携物体特定的信息SA_i以及一个给定函数f，该便携的接收机物体的特征在于它包括：

-获取信息b_i的访问权限的装置，其中信息b_i对于群组(G)的每个便携物体和密钥K的每个值是不同的；以及

-使用一个关系K_c＝f(K，b_i，SA_i)来计算信息K_c的装置，其中K是对于所有便携物体公共的并被发送给它们的密钥。

13.发送机设备(10)，它使得相同的信息K_c对于属于接收机的一个群组(G)的几个接收机(1)可用，每个接收机存储其特定的信息SA_i，该发送机设备的特征在于它包括：

-计算装置(11)，用于使用一个关系K_c＝f(K，b_i，SA_i)来计算信息b_i，其中f是一个给定函数，K是对所有接收机公共的密钥，信息b_i是对于每个接收机和密钥K的每个值不同的信息；以及

-发送装置(15)，用于在使K_c可用的一定时间之前，向每个接收机发送与之相关的信息b_i，并且在刚刚使得K_c可用之前，将密钥K发送给所有接收机。

Images