CN1310463C

CN1310463C - 在广播加密系统中跟踪叛徒接收机的方法

Info

Publication number: CN1310463C
Application number: CNB02804133XA
Authority: CN
Inventors: 杰弗里·B·洛特施派奇; 达里特·瑙尔; 西蒙·瑙尔
Original assignee: International Business Machines Corp
Current assignee: International Business Machines Corp
Priority date: 2001-01-26
Filing date: 2002-01-23
Publication date: 2007-04-11
Anticipated expiration: 2022-01-23
Also published as: CN1554163A; US20020133701A1; TWI222302B; US7010125B2; HK1068513A1; KR100562982B1; JP2004527937A; KR20030085126A; DE60229354D1; EP1354444A2; WO2002060118A2; EP1354444B1; ATE411665T1; WO2002060118A3

Abstract

本发明涉及在广播加密系统中跟踪叛徒接收机的方法。该方法包括用一假密钥编码代表系统中接收机的多个子集。这些子集用一个子集-覆盖系统从一棵树推出，叛徒接收机与一个或多个被泄露的密钥相联系，这些密钥被一潜在仿制的盗版接收机所获得。用盗版接收机的一个伪冒机，通过产生一个合适的子集集合，叛徒接收机的身份被确定或者使盗版接收机伪冒机变成不能用被泄露的密钥解密数据。

Description

在广播加密系统中跟踪叛徒接收机的方法

发明背景

1.发明领域

本发明涉及采用加密密钥进行的广播数据加密。

2.相关技术的说明

各种广播加密系统已被提出来加密内容，内容采用诸如CD和DVD等记录媒体或通过诸如卫星广播这样的无线广播方法，广播给可能数百万的接收机。这些系统被用来加密内容，使得只有被授权的接收机(也称为“用户”和“放—录机”)才能解码和播放此内容，但是以某种手段设法从一个被授权设备(“叛徒(traitor)”)获得有效解密密钥的那些用软件或硬件实现的盗版设备(也称为“伪冒机”或“恶意设备”)不能解密和播放此内容。

这种系统的一个例子被公开在本受让人的美国专利第6,118,873号中，此专利在此作为参考。如此专利中所述，只有被授权的放录机能播放和/或复制内容，且只能按照内容卖主所制定的规则进行。以这种方法可以防止内容的盗版复制，目前内容提供者每年因内容被盗版复制而损失数十亿美元。

广播加密系统的另一个例子是本受让人同时待审的美国专利申请序列号[docket no.ARC9200100_US]中所公开的“子集覆盖”系统，在此作为参考。这种系统将在下面详细说明，此系统是针对“无状态”接收机的困难情况的，这样的接收机不必要在广播之间更新它们的加密状态来接受针对盗版设备的对策。例如，一个付费频道电视可能使其机顶盒被切断一段时间，在此时间内更新的加密数据在此系统上广播。如果这样一台设备发生不能在被切断之否更新它自己的情况，该设备将被视为“无状态”的，并且将不能接收为以后的内容解密所需的更新数据。另一个无状态接收机例子是一个CD和DVD放—录机，它通常与其它系统部件没有交互，并且它将不接收每一段可能的加密数据更新，因为没有播放机接收每张出售的盘。

如熟悉此领域的人所知道的，广播加密系统中的解密密钥可能被泄密，使得未被授权的盗版设备能解密内容。这种盗版设备能以硬件或软件实现，在以软件实现的情况下能够在互联网上发布以任意下载给想要获得专有内容而不为此付费的任何人。在任何情况下，本发明目的在于抑制盗版伪冒机的蔓延，方法是寻找那些密钥已被盗版者获得的系统接收机(“叛徒”)的身份，或者通过找出一种加密，它不能被伪冒机解密，但能被授权用户解密，从而使盗版伪冒机变得无用。

本发明特别(但不局限于)将注意力集中于子集—覆盖系统中跟踪叛徒的问题。不像上面参考的873专利所述系统，在子集—覆盖系统中在设备之间不存在密钥的重叠。密钥重叠的一个结果是在873专利所述系统中下述情况在工作中属于完全正常：某些设备密钥将正确地解密内容，而某些设备密钥则不能，从而一个伪冒机不能简单地通过监测是否发送给它的消息不能用其全部的密钥解密，来判定它是否正在被测试。在子集—覆盖系统中不是这样的，因为每个设备有至少一个独有的密钥。因此，如果一个伪冒机从多个叛徒那里获得了密钥，并且如果从一个叛徒得到的密钥正确地解密内容，而从其它叛徒得到的其它密钥则不能解密，则此伪冒机能推断出它正在被测试。

一旦一个伪冒机推断出它正在被测试，它可以采取多种对抗措施中的任一个，例如在叛徒之间转换身份，或者甚至于自毁。当然，在自毁的情况下，特许代理者能简单地获得又一个伪冒机用于进一步(改变)的测试，但是这需要时间。考虑所述这些缺陷，本发明的一个优选实施例提出以下针对一个或多个缺陷的解决方案。

发明概述

第一个方面本发明相应提出一种方法用于在广播加密系统中识别或禁用至少一个具有至少一个相关独特的、被泄露的解密密钥的叛徒接收机，该方法包括：接收由一棵确定叶片的树推出的一个子集集合，每个叶片代表一台相应的接收机；从子集集合中识别出至少一个叛徒子集，如果它包含至少一个代表一个叛徒接收机的叶片的话；并且应用此叛徒子集识别或禁用叛徒接收机，其中识别或禁用步骤包括用一个假密钥编码子集集合中多个子集。

作为本发明第一方面的方法可进一步包括：确定叛徒子集是否代表至少一台叛徒接收机，并且如果是这样，则划分此叛徒子集为两个子集合。

作为本发明第一个方面的方法可进一步包括：确定叛徒子集是否是一个边界集的一个成员，并且如果是，则从边界集中去掉一个补子集。

作为本发明第一个方面的方法可进一步包括：使用概率执行在子集集合上的对分搜索。

这是合适的，对分搜索通过确定两个概率之差至少等于一个预定概率而终止，其中一个概率是当前j个子集包含假密钥时解密一个消息的概率P_j，另一个是前j-1个子集包含假密钥时解密一个消息的概率P_j-1。

这是合适的，当|P_j-1-P_j|＞P/m时识别出叛徒子集，其中m是子集集合中的子集数。

这是合适的，子集集合如此产生：指配给一组接收机中的每台接收机相应的个人信息I_u；选择至少一个会话加密密钥K；划分不在被废弃集合R中的接收机为一组不相交的子集S_i1，…，S_im，它们具有相关的子集密钥L_i1，…，L_im；并且用子集密钥L_i1，…，L_im加密会话密钥K和假密钥。

这是合适的，树包括一个根和多个节点，每个节点具有一个相关的密钥，并且其中每台接收机从在代表接收机的叶片与根之间的直达路径中的所有节点被指配密钥。

这是合适的，树包括一个根和多个节点，每个节点对应一组标记，并且其中每台接收机从所有挂在接收机和根之间的直达路径上的节点被指配标记，而不是从直达路径中的节点被指配。

这是合适的，被撤销集合R定义一个生成树，其中方法包括：初始化一个覆盖树T作为生成树；反复地从覆盖树T去掉节点，并加节点到覆盖树T，直至覆盖树T有最多一个节点。

作为本发明第一个方面的方法可包括识别或禁用包括在一个伪冒机中的多个叛徒接收机。

这是合适的，识别或禁用步骤包括用一个假密钥编码子集集合中前j个子集。

本发明可适当提供一个计算机程序设备，它包括：一个计算机程序存储设备，它包含计算机可用的指令程序，该程序包括：用于访问一个树以产生树的一组子集的逻辑，树包括代表至少一个由一个被泄露密钥所表征的叛徒设备的叶片；用于加密一个假密钥j次和用于加密一个会话密钥m-j次的逻辑，其中m是子集集合中的子集数；用于响应加密逻辑而识别一个叛徒子集的逻辑；以及用于采用叛徒子集来识别或禁用叛徒设备的逻辑。

进一步优选的计算机程序设备的特征可包含用于引起一个计算系统按照本发明第一个方面优选的特征实现优选方法的步骤的逻辑。

在第二个方面，本发明提供一个计算机程序，它包括计算机程序码，当它装载到计算系统并被执行时导致计算系统实现作为本发明第一个方面的方法步骤。

本发明第二个方面的优化特征包括计算机程序码，它导致计算系统实现根据本发明第一个方面的优化特征的方法的优选步骤。

本发明可进一步提供一个指令编程的计算机，使得计算机实现方法步骤，包括：用一个假密钥编码代表无状态接收机的多个子集，这些接收机中的至少一个叛徒接收机与至少一个被泄露密钥有关联，该密钥已经被至少一个盗版接收机获取；以及用此盗版接收机或其一个伪冒机确定叛徒接收机的身份，或者使得盗版接收机或其伪冒机变成不能用被泄露的密钥解密数据。

这是合适的，多个子集定义一组子集，并且计算机所进行的方法步骤还包括：接收由一棵确定叶片的树推出的一个子集集合，每个叶片代表一台相应的接收机；从子集集合中识别至少一个叛徒子集，如果它包含至少一个代表一个叛徒接收机的叶片的话；并且应用此叛徒子集识别叛徒接收机。

这是合适的，计算机所进行的方法步骤进一步包括：确定叛徒子集是否代表至少一台叛徒接收机，并且如果是这样，则划分此叛徒子集为两个子集合。

这是合适的，计算机所进行的方法步骤进一步包括：确定叛徒子集是否是一个边界集的一个成员，并且如果是，则从边界集中去掉一个补子集。

这是合适的，识别步骤包括：用假密钥编码子集集合中的多个子集。

这是合适的，计算机所进行的方法步骤进一步包括：使用概率执行在子集集合上的对分搜索。

这是合适的，对分搜索通过确定当前j个子集包含假密钥时解密一个消息的概率P_j至少等于一个预定的概率而终止。

这是合适的，子集集合如此产生：指配给一组接收机中的每台接收机相应的个人信息I_u；选择至少一个会话加密密钥K；划分不在被废弃集合R中的接收机为一组不相交的子集S_i1，…，S_im，它们具有相关的子集密钥L_i1，…，L_im；并且用子集密钥L_i1，…，L_im加密会话密钥K和假密钥，其中树包括一个根和多个节点，每个节点对应一组标记，并且其中每台接收机从所有挂在接收机和根之间的直达路径上的节点被指配标记，而不是从直达路径中的节点被指配。

本发明相应包括一个用于实现所述发明逻辑的计算机系统。本发明可被实施为一个计算机程序产品，它存储此逻辑，并且它能被一个处理器访问，以执行此逻辑。因此本发明是一个计算机实现的方法，该方法进行下述逻辑运算。

计算机被适当编程，以用一个假密钥编码代表无状态接收机的多个子集。系统中至少一台叛徒接收机被联系于一个被泄露密钥，此密钥已被一台伪冒的盗版接收机所获得。应用一个盗版接收机的伪冒机，计算机确定叛徒接收机的身份，或者通过生成一个适当的加密策略来使盗版接收机伪冒机变得不能用所泄露的密钥进行数据解密。

另一方面，公开了一种优选的方法，用于识别广播加密系统中一台具有一个相关的独特的、被泄露的解密密钥的叛徒接收机。此方法包括：接收一个由一棵确定叶片的树推出的子集集合，每个叶片代表一台相应的接收机。此方法还包括从子集集合识别一个叛徒子集，如果包含至少一台叛徒接收机的话，然后用此叛徒子集识别出叛徒接收机。

在一个优选的实施例中，此方法包括：确定叛徒子集是否代表一台或多台叛徒接收机，并且如果是这样，则划分此叛徒子集为两个子集合，并用这两个子集合识别出一个新的叛徒子集。优选的方法还包括确定此叛徒子集是否是一个边界集的一个成员，并且如果是，则从边界集中去掉一个补子集。

所优选的识别一个叛徒子集的方法包括：用一个假密钥编码子集集合中前j个子集，然后用概率实现在子集集合上的对分搜索。对分搜索通过确定两个概率之差至少等于一个预定概率而终止，其中一个概率是当前j个子集包含假密钥时解密一个消息的概率P_j，另一个是前j-1个子集包含假密钥时解密的概率P_j-1。特别是，当|P_j-1-P_j|＞P/m时识别出叛徒子集，其中m是子集集合中的子集数。子集集合由一个子集-覆盖方案产生，该方案具有产生能被二分叉的子集的属性。

另一方面，一个计算机程序设备包括：用于访问一棵树的逻辑装置，以产生树的一组子集，树包括代表至少一个由一被泄露密钥表征的叛徒设备的叶片。逻辑装置被提供来用于加密一个假密钥j次，并用于加密一个会话密钥m-j次，其中m是子集集合中的子集数。逻辑装置还用于响应加密逻辑装置而识别一个叛徒子集。此外，逻辑装置用叛徒子集来识别出叛徒设备。

附图简述

下面将借助附图说明本发明优选的实施例，它们仅作为例子给出，附图中：

图1是本发明系统的方框图；

图2是整个加密逻辑的流程图；

图3是整个解密逻辑的流程图；

图4是完全子树方法的密钥指配部分流程图；

图5是完全子树方法的加密部分流程图；

图6是完全子树方法的解密部分流程图；

图7是一个完全子树的一个子集的示意图；

图8是子集差分方法中一个子集的示意图；

图9是子集差分方法中子集示意图的另一形式；

图10是在子集差分方法中确定一个覆盖的逻辑流程图；

图11是在子集差分方法中说明密钥指配的一棵树的一个子集示意图；

图12是子集差分方法中解密部分流程图；

图13是子集差分方法中指配密钥的逻辑流程图；

图14是子集差分方法中一棵树的一个子集示意图；

图15是表示本发明跟踪逻辑的流程图，以及

图16是表示跟踪逻辑的子集跟踪模块的流程图。

优选实施例的详细说明

本发明的一个优选的实施例可以与任一个广播加密方法一起被使用。通过非限定性举例说明，一个这样的系统—子集覆盖系统—首先被说明，然后按照子集—覆盖系统说明本发明跟踪算法。

首先参考图1，它示出一个系统10，此系统用于产生一个广播内容保护系统中的密钥组，这样的系统例如但不局限于上面参考的专利中公开的系统。“广播”一词意味着节目从一个内容提供者到许多用户同时经过电缆(从一个卫星源)，或电线，或无线电频率(包括从一个卫星源)，或从广泛出售的内容盘的广泛散布。

如图所示，系统10包括一个密钥组确定计算机12，它访问一个密钥组确定模块14，其功能如下所述。计算机12所确定的密钥组被潜在无状态放—录设备16应用，这些设备也被称为“接收机”和“用户”，在这些设备中具有处理器，用于解密内容。内容与下面还要说明的某些密钥一起通过例如设备制造商16在媒体17上被提供给相应设备。一台放—录设备能访问它的密钥组来解密媒体上的内容或通过无线通信广播给它的内容。这里所用的“媒体”可包括但并不局限于DVD，CD，硬盘驱动器和闪存设备。在另一种实施例中，每台接收机16能操纵模块14，以实现计算下面所说明的“覆盖”的步骤，这是通过给定被撤销的接收机集合并实现下面所述的逻辑来进行的。

可以理解，与模块14相联系的处理器访问模块，以实现下面示出和讨论的逻辑，此逻辑可以作为一个计算机可执行的指令序列被处理器执行。下面给出两种方法—完全子树方法和子集差分方法—以应用系统10来有选择地撤销泄露密钥接收机16解密广播内容的能力，而不撤销任何没有泄露密钥的接收机16解密广播内容的能力。

指令可被放在一个具有计算机可读媒体的数据存储设备中，例如一张计算机软盘，它具有计算机可用的媒体，计算机可读的码单元存储在其中。或者指令可存储在DASD阵列，磁带，传统的硬盘驱动器，电子只读存储器，光存储器件或其它适用的数据存储器件中。在本发明所示出的实施例中，计算机可执行的指令可以是多行已编译的C⁺⁺兼容码。

确实，流程图反映计算机程序软件中所实现的本发明的优选实施例的逻辑结构。本领域技术人员都知道，流程图表示包含集成电路上逻辑电路在内的计算机程序码单元的结构，逻辑电路根据本发明操作。显然，本发明以其基本实施例由一个机器构件实现，该构件实现程序编码单元，实现形式为对一台数字处理设备(即一台计算机)发出指令，使其实现相应于程序编码单元的一系列功能操作。

图2示出当以子集差分方法和完全子树方法两者实施时本发明一个优选实施例的整个逻辑。为说明的目的，假设系统10中有N台接收机16，且要求能撤销在一个被撤销接收机子集R中的r台接收机解密内容的能力，即使被撤销接收机在一个联合体内(通过共享解密知识)，而其它接收机仍然能解密内容。从方框19开始，系统开始于对一个子集集合S₁，…S_w中的相应子集指配长寿命子集密钥L₁，…，L_w，在子集集合中接收机按照下述方法被分组，每一个子集S_j具有一个与它相联系的长寿命子集密钥L_j。在第一种(“完全子树”)方法中，覆盖不在被撤销集合中的接收机的子集是简单的子树，它由下述方法产生。在第二种(“子集差分”)方法中，覆盖不在被撤销集合中的接收机的子集通过第一个子树与一个较小的子树间的差分被定义，该较小的子树完全在第一个子树内，如下所述。

在方框20处，系统进一步初始化：给每台接收机u提供个人信息I_u，它对于解密内容是有用的。个人信息I_u的详情在下面进一步说明。如果I_u是提供给接收机u的秘密信息，则在S_j中的每台接收机u可由其I_u推出L_j。如下面更全面说明的，给定被撤销集合R，非被撤销接收机被划分成m个不相交的子集S_i1，…，S_im，并且一个短寿命会话密钥K用相应子集S_i1，…，S_im所联系的长寿命子集密钥L_i1，…L_im加密m次。在完全子树方法中子集密钥是显式子集密钥，而在子集差分方法中子集密钥由子集标记导出。

特别是，在方框22处至少一个会话密钥K被选择，用来加密在一个消息M中广播的内容，广播通过无线或有线的通信线路或通过诸如CD和DVD等存储媒体实现。会话密钥K是一个随机的比特串，对每个消息，它被重新选择。如果需要，多个会话密钥可被用来加密消息M的各部分。

在下面描述的两种方法中，非被撤销接收机利用一棵树在方框24处被划分为不相交的子集S_i1，…，S_im。这里有时称子集为“子树”，在第一个方法中直接考察子树，在第二个方法中考虑子树为这种形式：“第一个子树减去完全包含在第一个子树中的第二个子树”。每个子集S_i1，…，S_im被联系于一个相应的子集密钥L_i1，…，L_im。在考虑任何数据树状结构时，为说明的目的，假设树是一个全二分叉树。

现在转到方框26处，一般，会话密钥K被加密m次，每次用一个子集密钥L_i1，…，L_im。导出的广播密文可表示如下：

<[i₁，i₂，…，i_m，E_Li1(k)，E_Li2(K)，…，E_Lim(k)]，F_K(M)>其中括号之间的部分表示消息M的头，且i₁，i₂，…，i_m表示不相交子集的编号。

在一个实施例中，加密基元F_K通过将消息M与由会话密钥K产生的一串密码进行异或运算实现。加密基元E_L是用长寿命子集密钥向接收机16传递会话密钥K的方法。可以理解，对F_K，E_L的所有加密算法均在本发明范畴之中。E_L的一种优选的实现形式可以是一个块密码的前缀-截短规范。假设l表示长度等于E_L的分组长度的随机串，并假设K是用于长度例如为56比特的密码F_K的一个短密钥。于是[Prefix_-k-E_L(1)/K]提供一个强加密。因此，前缀-截短头变为

<[i₁，i₂，…，i_m，U，[Prefix_-k-E_Li1(U)]/K，…，[Prefix_-k-E_Lim(U)]/K]，F_K(M)>

这有利地减短头的长度到大约m-K-比特而不再是m-L-比特。在E_L的密钥长度是极小的情况下，下述方法能用来排除因子m，优点是对手必须进行强大的攻击，它是由用m个不同的密钥加密同一个串1导致的。串1/i_j被加密。即

<[i₁，i₂，…，i_m，U，[Prefix_-L-E_Li1(U/i₁)]/K，…，[Prefix_-L-E_Lim(U/i_m)]/K]，F_K(M)>

上面已说明用以完成加密基元E和F的优选的非局限性的方法，现在将注意力指向图3，它示出接收机16所进行的解密逻辑。从方框28开始，每台非被撤销的接收机u在密文中寻找一个子集标记i_j，它属于子集S_ij。如下面还要进一步说明的，如果接收机在被撤销集合R中，方框28的结果将为“空”。接着，在方框30处接收机用其个人信息I_u提取对应于子集S_ij的子集密钥L_ij。用此子集密钥，会话密钥在方框32处被确定，然后用会话密钥在方框34处将消息解密。

用于实现上述整个逻辑的优选方法在下面说明。在每个方法中子集的集合被确定，规定密钥被指配给子集的方法和用集合中不相交的子集覆盖非被撤销接收机的方法。在每个方法中系统中接收机的集合建立一棵树的叶片，此树例如但不局限于一个全二分叉树。

讨论的第一个方法是图4至7所示的完全子树方法。开始于图4所示方框36，一个独立且随机的子集密钥L_i被指配给树中的每个节点V_i。此子集密钥L_i对应于包含生成在此节点V_i上的所有叶片的子集。然后在方框38处每台接收机u被提供在由接收机到根的直达路径中的所有子集密钥。如图7简单示出的那样，在子集S_i中的接收机u被提供与节点V_i相联系的子集密钥L_i，以及与节点P相联系的密钥，节点P位于S_i中的接收机与树的根之间。

如果要发送一个消息并且使某些接收机失去解密此消息的能力，图5所示逻辑被调用来划分非被撤销接收机为不相交的子集。从方框40出发，一个生成树被找出，它由被撤销接收机集合R中的叶片确定。生成树是全二分叉树的最小子树，它连接“被撤销”叶片，并且它可以是一棵Steiner树。在方框42，在树中具有相邻于一阶节点(即直接相邻最小树的节点)的根的那些子树被确定。这些子树定义一个“覆盖”并且建立子集S_i1，…，S_im。覆盖包含所有非被撤销的接收机。相应地，在方框44处用由覆盖确定的子集密钥将会话密钥K加密。

为了解密消息，每台接收机调用图6所示的逻辑。从方框46出发，通过确定任一源始节点是否在消息头中的集合i₁，i₂，…，i_m中来确定接收机的任一源始节点是否与覆盖的一个子集密钥相联系。接收机的个人信息I_u—在完全子树方法中它包括其在树中的位置和与源始节点相联系的子集密钥—被用来确定这一点。如果一个源始节点在消息头中被找到(说明接收机是一台非被撤销接收机)，则在方框48中用子集密钥对会话密钥K解密，然后在方框50用会话密钥将消息解密。

在完全子树方法中，头包含至多r*log(N/r)个子集密钥和加密。这也是密钥和加密的平均数。而且，每台接收机必须存储logN个密钥，且每台接收机用至多log logN次运算加单次解密运算对消息进行处理。

现在参照图8-13说明对被撤销接收机的子集差分方法。在子集差分方法中，每台接收机必须存储比完全子树方法更多的密钥(0.5log²N+0.5logN+1个密钥)，但是消息头只包含至多2r-1个子集密钥和加密(平均1.25r)，并且这比完全子树方法明显更短。在子集差分方法中用至多logN次伪随机数发生器的操作加单次解密运算对消息进行处理。

如图8和图9所示，子集差分方法认定子集是一个较大的子集A与一个完全包含在A中的较小的子集B之间的差。相应地，如图所示一个较大的子集的根在节点V_i处，而一个较小的子集的根在节点V_j处，节点V_j是从节点V_i生成出的。导出的子集S_ij包括V_i之下除了V_j之下标为“否”的叶片之外的所有叶片“是”(标为“否”的叶片在图中比标有“是”的叶片颜色更黑)。图9如此示出这一点：子集V_i，j被表示为大三角之内和小三角之外的区域。

在子集差分方法中，如果要发送一个消息并撤销某些接收机解密此消息的能力，上述结构像图10所示那样被应用。从方框52出发，一棵生成树被找出，它由被撤销接收机的集合R中的叶片确定。生成树是连接“被撤销”叶片的全二分叉树的最小子树，它可以是一棵Steiner树。在方框54处，一棵覆盖树T被初始化为生成树。然后开始一个迭代循环，在循环中节点从覆盖树被移去，而子树被加到覆盖中，直至覆盖树有最多一个节点。输出确定对非被撤销接收机的覆盖。

尤其是，从方框54移至方框56，在覆盖树T中找出叶片V_i和V_j，其中它们的最小公共源始节点V不包含T中其它叶片。在判决菱形框57中判定在覆盖树T中是否只存在一个叶片。如果有多于一片的叶片存在，逻辑进入方框58寻找V中的节点V_l，V_K，使得V_i由V_l生成出，而V_j从V_K生成出，且V_l，V_k是V的下代(即直接由V生成出，而在V和V_l，V_k之间无任何中间节点)。相反，若T中只有单个叶片存在，逻辑由判决菱形框57转移到方框60，置V_i＝V_j＝唯一保留叶片，置V为T的根，并置V_l＝V_K＝根。

逻辑从方框58或60转到判决菱形框62。在判决菱形框62，判定V_l是否等于V_i。V_K是否等于V_j也同样被判定。如果V_l不等于V_i，则逻辑转到方框64，加子集S_i，I到T中，从T中移去V的所有后代，并使V为一叶片。同样，若V_K不等于V_j逻辑转到方框64，加子集S_k，j到T中，从T中消除V的所有后代并使V为一叶片。逻辑循环从方框64或在判定不存在不等时从判决菱形框62返回方框56。

记住上述子集差分密钥指配方法的全貌，现在说明一个特别优选的实施例。当一台接收机所属的子集的总数与N一样大时，这些子集可分组为logN个由第一个子集i(另一个子集从此子集中减去)确定的群集。对于每个对应于全树中一个内部节点的1＜i＜N，选择一个独立并随机的标记LABEL_i，它引出形式S_i，j的所有合法子集的标记。由此标记推出子集密钥。图11示出下面讨论的优选标识方法。标识为L_i的节点是子树T_i的根，其后代按照本发明原理被标识。

如果G是一个密码伪随机序列发生器，它使输入长度增至三倍，G_L(S)表示G在种子S上的输出的左三分之一，G_R(S)表示其右三分之一，且G_M(S)表示中间的三分之一。考虑覆盖树T的子树T_i，其根在标记为LABEL_i的节点V_i处。如果此节点被标识为S，它的两个下代分别被标识为G_L(S)和G_R(S)。指配给集合S_i，j的子集密钥L_i，j是在子树T_i中推出的节点V_j的LABEL_i，j标识的G_M。注意每个标记S引出三部分，即对于左和右子节点的标记和节点的密钥。因此给定一个节点的标记，可以计算出所有其后代节点的标记和密钥。在一个优选的实施例中函数G是一个密码散列数据，例如安全散列算法-1，然而也可用其它函数。

图12示出在子集差分方法中接收机如何解密消息。从方框66出发，接收机找出接收机所属的子集S_i，j以及相联系的标记(它是接收机个人信息的一部分，使接收机能推出LABEL_i，j和子集密钥L_i，j)。接收机用此标记在方框68通过至多N次估算函数G计算出子集密钥L_i，j。然后在方框70接收机用子集密钥解密会话密钥K，用于后面的消息解密。

图13示出在子集差分方法中标记和因而子集密钥被指配给接收机。所说明的标识方法被用来使每台接收机必须存储的密钥数最小。

从方框72出发，每台接收机被提供那些节点的标记，这些节点不是在接收机和根之间的直达路径上，而是“挂”在直达路径上，并且这些节点由u的源始节点V_i推出。这些标记在方框74建立接收机的个人信息I_u，在方框76用由标记推出的子集密钥来加密后继消息会话密钥。

图14简示出上述原理。对于一台接收机u的具有标记S的每个源始节点V_i，接收机u接收挂在从节点V_i到接收机u的直达路径上的所有节点71的标记。如将要进一步讨论的，这些标记最好都由S推出。与完全子树方法明显不同，在图8至14所示子集差分方法中接收机u不接收从接收机u到节点V_i的直达路径中任一节点73的标记。用这些标记，接收机u可通过估算上述函数G计算出所有根为节点V_i的集合(除了直接路径中的集合)的子集密钥，而不能计算其它的子集密钥。

传统的多播系统缺乏逆向安全性，即一台已被撤销的经常接收的接收机仍然能记录所有加密的内容，并且然后在将来的某个时刻获得一个有效的新密钥(例如通过重新登记注册)，该密钥可以解密过去的内容。本发明的一个优选实施例可用于这种情况来解决逆向安全性缺乏的问题，方法是在被撤销接收机集合中包括所有被认定为还没有被指配的接收机标识。如果所有接收机都被按相继次序指配给叶片，这可实现。在此情况下，所有未指配标识的被撤销导致消息头大小的适中增加，但是并不正比于这些标识的数量。

本发明的一个优选实施例也认可这是需要的：简单编码消息头中的子集i_j，并为接收机提供快速确定它是否属于一个子集i_j的途径。假设一个节点用它到根的路径表示，用O表示一个左分叉，1表示一个右分叉。路径的结束用一个1后跟一个或多个O表示。所以根是1000…000b，根的最右后代是01000…000b，根的最左后代是11000…000b，而一个叶片是××××…××××1b。

如上所述，一个较大子树的根路径是一个较小子树的根路径的一个子集，子集差可表示为较小子树的根加到较大子树的根路径的长度。记住这一点，一台接收机能通过执行以下Intel Pentium^处理器循环迅速地确定它是否在一个给定子集中。

在循环外，以下寄存器被设置：ECX中含有接收机的叶片节点，ESI指向消息缓冲器(第一个字节是到较大子树的根的路径的长度，而接着的4个字节是较小子树的根)，并且在被路径长度索引时一个静态列表输出32比特，其前面长度比特为1，而其余比特为0。

Loop：MOV BYTE EBX，[ESI++]

MOV DWORD EAX，[ESI++]

XOR EAX，ECX

AND EAX，TABLE[EBX]

JNZ LOOP

如果一台接收机落在循环之外，它不一定意味着它属于特定子集。它可能在较小的不相容子树中，如果这样它必须返回此循环。然而因为在绝大多数情况下接收机已不在较大子树中，几乎没有处理时间用在此循环中。

在子集差分方法的进一步优化中，系统服务器不需要记住每个标记，它可能达到数百万个。代替的方法是，第i个节点的标记可以是节点的一个保密的函数。此保密函数可以是一个三重DES加密，当作用于数i时用一个加密密钥再生第i个节点的标记。

我们已经详细说明了本发明优选实施例能使用的子集—覆盖系统，现在说明图15和图16。从方框100出发，子集S_i1，…，S_im的一个划分S被输入到一个被怀疑为盗版的伪冒机设备，它已被一个被授权的跟踪代理获得。起始划分由被撤销设备的当前集合确定或者如果没有已被撤销的设备，则初始划分S是所有用户的集合。现在转到判决菱形框102，在这里判定伪冒机是否已经用划分S按上述子集—覆盖系统原理，尤其是按子集差分实施例的原理解密内容。一个伪冒机被认为已经解密内容，如果它能以某个预定概率，例如P＞0.5，解密内容的话。在最实用的伪冒机中P＝1。如果伪冒机不能解密，则已找到一个击败伪冒机的加密，且处理相应结束于状态104。

然而，如果伪冒机已成功地解密了内容，则处理转到方框124。在方框124，后面将进一步说明的图16所示子集跟踪逻辑程序在划分S上被执行以产生一个子集S_ij，且逻辑转入方框106接收子集S_ij。现在转到判决菱形框108，判定子集S_ij是否只有单个叛徒候选者，即子集S_ij是否只有单个叶片。如果是，叛徒已被找出，并且处理指出第j个设备为“叛徒”并通过在方框110中将它移出非被撤销接收机的集合而将它放入被撤销接收机的集合R来撤销此叛徒。同时一个新的覆盖集合S在方框111处被确定，且处理转移到方框124，这在下面进一步说明。

如果子集S_i，j有多于一个的叛徒候选者，逻辑程序从判决菱形框108进入方框112，在此集合S_ij被分裂成两个子集合S_ij ¹和S_ij ²。由于子集—覆盖系统的二分叉性质，其中的子树可粗分(但是不必要精确划分)为两个。

为了通过减少跟踪叛徒所需要的消息长度提高效率，一个优选的方法是从方框112转移到方框114-122的子程序。此子程序合并那些还没有被找出包含叛徒的子集为单个的有效处理的组。如果这个缩减是不被要求的，S_ij ¹和S_ij ²被加到覆盖中，而方框114-122被略去。

在方框114，子集合S_ij ¹和S_ij ²被加入一个边界集F，并且被联系于每个其它的作为“伙伴集合”。然后，在判决菱形框116判定集合S_ij是否在从前的边界集F中(即在子集合S_ij ¹和S_ij ²被加到它中之前的集合F)。如果是，则意味着集合S_ij有一个互补的所谓“伙伴”集合也在边界集F中，并且在方框118中此“伙伴”集合(代表一台或多台接收机)被从边界集F中移去。以这种方法，还没有被发现包含叛徒候选者的集合被分组，同时从边界集F脱离开。

逻辑从方框118或当测试结果为否是从判决菱形框116进入方框120，在其中按照前面所述的子集—覆盖原理对所有不表示在边界集F中集合中的接收机u计算出一个覆盖C。具体说，由边界集F中集合所表示的接收机暂时被归入被撤销集合R，然后按照上述原理确定一个覆盖。在方框122，一个新的划分S被定义为覆盖C与边界集F中子集的并集。然后在方框124，图16所示子集跟踪逻辑在新的S上被执行以产生另一个S_ij，并且逻辑循环返回方框106。

现在考虑图16所示的子集跟踪逻辑，开始于方框126，划分S被接收。逻辑管理一序列步骤，一个典型步骤实现一个加密，在那里前j个子集用一个有与会话密钥K相同长度的假密钥R_K编码。这就是说，若P是伪冒机用划分S正确解密的概率，一个消息被产生：

<E_Li1(R_K)，E_Li2(R_K)，…，E_Lij(R_K)，E_Li(j+1)(K)，…，E_Lim(K)，F_K(M)>

并且P_j是前j个子集包含假密钥时解密的概率。如果|P_j-1-P_j|＞P/m，则按本发明一个优选的实施例，S_ij包含一个表示一个叛徒的叶片。为找出概率P_j，m²log(1/e)次试验被进行，以确定整个试验序列中有多少次伪冒机输出真实的消息M。特别是，如果伪冒机没有任何从后m-j个子集来的密钥(它加密实际的会话密钥K)，它将绝不能确定M(而不是单纯凭机遇)。

相应地，一个对分搜索被执行，以有效地寻找包含一个叛徒的S_ij，此搜索开始在整个区间[0，m]上进行，并且逐次用上限和下限[a，b]平分区间(在方框130中初始化为[0，m])。注意P₀＝P且P_m＝0。而且在大多数实际情况下p＝1，即伪冒机在正常工作中总是能解密的。

对分搜索开始于判决菱形框132，在其中判定上限和下限是否相差1(指出搜索结束)。如果是，逻辑转到方框134，返回第j个叛徒的序号作为上限b。否则，进入方框136寻找区间[a，b]的中点C的概率，即当前C个子集包含假密钥而其它子集包含真密钥时的解密概率。

按照本发明一个优选的实施例，在前j个子集包含一个假密钥时成功解密一个消息的概率P_j通过以下步骤计算出：反复选择消息M和加密M为F_K(M)的密钥K，用假密钥编码前j个子集，用真密钥K编码后m-j个子集，以及观察伪冒机是否成功地解密M。

然后，在判决菱形框138判定中点概率与下限概率之差的绝对值是否至少等于下限概率与上限概率之差一半的绝对值，即判定是否有|Pc-Pa|＞|Pc-Pb|。如果是，区间在方框140通过取上限b等于当前中点C并使上限概率Pb等于中点概率Pc而取下一半为[a，c]。另一方面，若判决菱形框138判定结果为否，逻辑转入方框142。在方框142区间通过取下限a等于当前中点C及使下限概率Pa等于中点概率Pc而取上一半为[c，b]。然后逻辑返回判决菱形框132。

在方框136，中点概率Pc最好计算到1/m的精度。为了使Pc精确地以1-e的概率估算，要求对伪冒机观测m²log(1/e)次查询。

因而，图16所示逻辑最好对伪冒机进行m²log(m)log(1/e)次查询。如果需要，一个有扰对分搜索可被进行，在每一步它假设正确的判定以1-Q的概率被获得，其中Q是接近1/2的值，例如Q＝1/3。在一个模型中，每个回答以某个与历史无关的固定概率(例如大于2/3)是正确的，可以在m个集合上进行logm+log1/Q次查询来实现一个对分搜索。在上面所说明的实施例中，可以假设中点概率可以概率Q产生一个错误值。这意味着整个过程中查询次数可被减小到m²(logm+log1/Q)，因为为了以概率1-Q精确计算Pc在每一步要求m²次查询。

通过用相同的输入在多个伪冒机上并行地运行跟踪算法，可以从多于一个的伪冒机跟踪多个叛徒。初始输入是一个划分S₀，它从不在被撤销集合R中的所有用户的集合导出。在过程前进时，若第一个伪冒机在它的集合之一中“检测”出叛徒，它相应地重新划分(通过移叛徒到被撤销集合R)。然后新的划分被同时输入到所有的伪冒机。同步方法的输出是一个划分(或者“撤销策略”)，它使所有被撤销接收机和伪冒机无效。

本发明的一个优选实施例给出了用相对小的消息跟踪相对大量叛徒的能力。它能无缝地与上述子集一覆盖系统集成。而且对能被跟踪的叛徒数不需要先验的限制。而且本发明的一个优选实施例通过跟踪叛徒或使盗版伪冒机变为无用起作用，与伪冒机为对抗跟踪所做的事无关。

上面示出和详细说明的在广播加密系统中跟踪叛徒接收机的具体方法完全实现了本发明的上述目的，可以理解，它是目前优选的本发明实施例，并且代表被本发明实施例所广泛考虑的主题，本发明的优选实施例的广度完全包括其它实施例，它们对熟悉此技术的人是明显的，并且本发明的优选实施例的范围只受所附权利要求的局限，在所附权利要求中单数的一个单元意味着“至少一个”，而不是“仅仅一个”，除非在权利要求中另有说明。所有结构上和功能上与上述优选实施例的单元的等效物——对于本领域技术人员而言它们是已知的或将要变成已知的——均被本发明权利要求包括在内。而且对于一个设备或方法而言，不必要提及由权利要求所包括的发明的一个优选实施例解决所有问题。此外，在本发明中没有单元、部件、或方法步骤是预计被公开的，无论此单元、部件或方法步骤是否明确地被陈述在权利要求中。没有权利要求单元要被理解为在35U.S.C.112第六段的条款下，除非此单元用短语“装置用于”明确陈述，或者在方法权利要求的情况下，该单元被表述成一个“步骤”而不是一个“动作”。

Claims

1.用于识别或禁用广播加密系统中至少一台叛徒接收机的方法，该叛徒接收机具有至少一个相关的独特的、被泄露的解密密钥，该方法包括：

接收由定义叶片的一棵树得出的一个子集集合，每个叶片代表一台相应的接收机；

从包含至少一个代表叛徒接收机的叶片的所述子集集合中识别出至少一个叛徒子集；以及

用所述叛徒子集识别或禁用叛徒接收机；

其中上述用所述叛徒子集识别或禁用叛徒接收机的步骤包括用一假密钥编码所述子集集合中的多个子集。

2.如权利要求1所述的方法，其特征在于，该方法还包括：

判定叛徒子集是否代表至少两台叛徒接收机，如果是，将此叛徒子集分为两个子集。

3.如权利要求2所述的方法，其特征在于，该方法进一步包括判定叛徒子集是否是一个边界集的成员，并且如果是，则从边界集中移去一个补子集。

4.如权利要求3所述的方法，其特征在于，该方法进一步包括用概率在子集集合上执行对分搜索。

5.如权利要求4所述的方法，其特征在于，对分搜索通过确定两个概率之差至少等于一个预定概率而终止，其中一个概率是前j个子集包含假密钥时解密一个消息的概率P_j，另一个概率是前j-1个子集包含假密钥时解密一个消息的概率P_j-1。

6.如权利要求5所述的方法，其特征在于，当|P_j-1-P_j|＞p/m时识别出叛徒子集，其中m是子集集合中的子集数，p为伪冒机的正确解密概率。

7.如权利要求1所述的方法，其特征在于，子集集合如此被产生：

指配给一组接收机中的每台接收机相应的个人信息I_u；

选择至少一个会话加密密钥K；

划分不在被撤销集合R中的接收机为一组不相交的子集S_i1，...，S_im，这些子集具有相关的子集密钥L_i1，...，L_im；以及

用子集密钥L_i1，...，L_im加密会话密钥K和假密钥。

8.如权利要求7所述的方法，其特征在于，树包括一个根和多个节点，每个节点有一相关的密钥，并且每台接收机被指配来自在代表该接收机的叶片与根之间直达路径中的所有节点的密钥。

9.如权利要求7所述的方法，其特征在于，树包括一个根和多个节点，每个节点与一组标记相关，并且每台接收机从所有挂在接收机和根之间的直达路径上的节点被指配标记，而不是从直达路径中的节点被指配。

10.如权利要求9所述的方法，其特征在于，被撤销集合R确定一棵生成树，并且该方法包括：

初始化一棵覆盖树T作为生成树；

反复地从覆盖树T移去节点并且加节点到覆盖树T，直至覆盖树T有最多一个节点。