CN1836396B - 用于加密和/或解密数据的可追踪方法和系统 - Google Patents

用于加密和/或解密数据的可追踪方法和系统 Download PDF

Info

Publication number
CN1836396B
CN1836396B CN200480023523.2A CN200480023523A CN1836396B CN 1836396 B CN1836396 B CN 1836396B CN 200480023523 A CN200480023523 A CN 200480023523A CN 1836396 B CN1836396 B CN 1836396B
Authority
CN
China
Prior art keywords
function
decoder
decoders
functions
secret cryptographic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
CN200480023523.2A
Other languages
English (en)
Other versions
CN1836396A (zh
Inventor
大卫·阿迪蒂·莫迪亚诺
奥利维耶·比耶
亨利·吉尔贝
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
France Telecom SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom SA filed Critical France Telecom SA
Publication of CN1836396A publication Critical patent/CN1836396A/zh
Application granted granted Critical
Publication of CN1836396B publication Critical patent/CN1836396B/zh
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3093Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving Lattices or polynomial equations, e.g. NTRU scheme
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution
    • H04L2209/606Traitor tracing

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Physics & Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Mathematical Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及用于加密和/或解密由至少一个发送器向多个解码器广播的数据的非组合的可追踪方法,该方法不需要广播大量加密的报头,其中,在加密广播数据时,发送器执行(在86中)至少一个第一秘密函数,以将未加密的消息转换为加密消息;并且在解密所述广播数据时,所有解码器执行(在92中)至少一个共同的第二秘密函数,各个解码器使用其存储在存储器(21)中中的第二函数的数学描述,所述第二函数的数学描述在各个解码器之间或在各组解码器之间是不同的,因此,所使用的数学描述唯一地标识特定的解码器或解码器组。

Description

用于加密和/或解密数据的可追踪方法和系统
技术领域
本发明涉及一种用于加密和/或解密广播数据的可追踪方法和系统,以及用于实现该方法的记录介质。
更明确地,本发明涉及一种可追踪方法,其中:
当加密广播数据时,发送器使用至少一个第一秘密密码函数,以及
当解密所述广播数据时,所有解码器应用至少一个同样的等同于所述第一函数或其反函数的第二秘密密码函数,用于这个目的的每个解码器使用记录在存储器中的所述第二函数的数学描述。
背景技术
可追踪加密方法是一种在其中可以实现追踪叛徒的方法的方法。
叛徒追踪方法被用来对抗对服务的盗用,所述服务在广播信道上分发加密的多媒体内容,例如视频,电视,图像,音乐,文本,网页,电子图书,程序等等。叛徒追踪方法的目的是防止由于一个或多个所述服务的合法用户重新分发根据嵌入在他们的解密设备中的密钥和解密算法推导出的数据,而导致非法用户(盗用者)能够无障碍访问所述内容。这些方法保证,如果出现这种欺骗,那么至少一个引起欺骗的合法用户的身份可以被分发该内容的服务操作者重建。引起欺骗的合法用户在以后的描述中被称为“叛徒”。
追踪叛徒的概念是由Benny Chor,Amos Fiat和Moni Naor在他们1994年的文章“Tracing Traitors,Advances in Cryptology”(Crypto’94,Lecture Notes in computer science,卷839,Springer-Verlag,1994,257-270页)中首次提出的。在该文章中,提出了密码系统中的第一个追踪技术。其中可以实现叛徒追踪方法的密码系统被称为“可追踪的”。几乎所有的这些技术都具有组合特性。也就是说,密码系统的每个合法用户都被分配了基本密钥集合(通常是相当大的集合)的一个密钥子集。分配给用户的基本密钥的子集对于每个用户是唯一的,并且形成该用户自己的私有密钥。
该系统中的数据广播包括加密消息。每个加密消息由使用内容加密密钥进行加密的内容和分别使用基本密钥加密的报头组成。每个报头包含表示部分所述内容加密密钥的数值。
当用户接收这些消息之一时,他们使用各自的基本密钥的子集来解密包含在接收的报头中的一些数值。然后他们组合这些已解密的数值来重新构建所述内容加密密钥,并且将该重新构建的内容加密密钥用于解密所述消息的内容。
如果该系统的一个合法用户将他/她的私有密钥发送给非法用户,则在该可追踪密码系统中,可以通过由非法用户使用的私有密钥追踪到叛徒的身份。
然而,组合特性的叛徒追踪方法具有不足,它需要广播大量的报头。特别地,将被广播的报头数与该系统的合法用户数的对数成比例,并且也与其他参数(例如寻求保护以对抗的叛徒联盟的最大规模k)成比例。该联盟意味着k个叛徒的组,他们集合在一起以组合他们的私有密钥,试图生成可用于解密所述加密内容的新的私有密钥,而检查这个新的私有密钥不会泄露任一叛徒的身份。
发明内容
本发明通过提出一种新的无需广播大量报头的叛徒追踪方法来克服该缺点。
因此,本发明的主题是如上所述的叛徒追踪方法,其特征在于当实现第二函数时,每个解码器所依靠的第二函数的数学描述对于各个解码器或对于不同组的解码器是不同的,因此,所依靠的数学描述唯一的标识所有解码器中的特定的解码器或者特定的一组解码器。
在所述方法中,基于对由非法用户用于解密传输数据的第二函数的数学描述的分析,能够追踪将其秘密的第二函数的数学描述发送给非法用户的叛徒。通过构造该系统中的每个数学描述,使得所述描述代表了叛徒的身份。使用组合特性的方法,由于在每个解码器中使用私有的密钥集合,必须以不同的方式加密相同的内容加密密钥以传输多次。被置于广播内容开始处的报头被用于该目的。因此包含在报头中的信息是非常冗余的,并且每个解码器只处理部分接收到的报头。
在本发明的方法中,由于对叛徒的识别不再基于对私有的密钥集合的使用,而是基于使用同一密码函数的不同描述,所述密码函数等同于第一密码函数或其反函数,因此,不再需要至少一部分冗余的广播数据。因此使用所述方法来广播加密消息所需的报头数少于使用组合特性方法广播相同消息所需的报头数。
根据本方法的其它特性,其特征在于:
所述第二密码函数能够处理非冗余数据;
记录在每个解码器存储器中的所述数学描述Fkj由多个基本函数Gi,j构成,Gi,j必须以所确定的顺序一个接一个复合以形成所述第二秘密函数。
每个基本函数Gi,j等于至少三个函数的复合,与下列等式中的每一个一样:
G1,j=f′1,jogσj(1)oS
G2,j=f′2,jogσj(2)of1,j
Gr-1,j=f′r-1,jogσj(r-1)ofr-2,j
Gr,j=Togσj(r)ofr-1,j
其中,
Gi,j是解码器j的第i个基本函数,j是标识一个解码器或者一组解码器的索引,
函数fi,j和f′i,j是预定的函数,能够使得基本函数Gi,j相互间不可交换,
σj是每个解码器或者每组解码器唯一具有的、所有索引{1;...;r}的排列,
gσj(t)是由r个相互间可交换的非线性预定函数gi形成的预定整体的第σj(t)个函数,以及
S和T是预定的函数,能够分别使得对基本函数G1,j和Gr,j的密码分析变得困难,
每个函数f′i,j等于函数fi,j的反函数fi,j -1
函数fi,j是完成体(finished body)L的元素的多元组的集合Ln在其自身上的线性函数;
函数S和T是可逆的;
函数S和T是完成体L的元素的多元组的集合Ln到其自身的线性函数;
选定函数gi,因此每个基本函数Gi,j对应于多元加密算法的加密块;
每个函数gi的形式为gi(a)=aei,其中,a是具有q个元素的基本体(basic body)L的n次扩展L’的元素,ei是预定指数;
指数ei的形式为1+qθ1+...+qθi+...+qθd-1,其中指数θi是预定的整数。
本发明的另一主题是数据记录介质,其特征在于它包含指令用于当所述指令被解码器执行时,可以执行该发明的可追踪方法。
本发明的另一个主题是数据记录介质,其特征在于它包含指令用于当所述指令被发送器执行时,可以执行该发明的可追踪方法。
本发明的另一个主题是用于广播数据的能够在不同合法用户中识别叛徒的可追踪加密和/或解密系统,所述叛徒已将秘密数据发送给未授权的第三方使得该第三方能够加密和/或解密广播数据,该系统包括:
能够加密广播数据的发送器,该发送器能够实现至少一个第一秘密密码函数,以及
能够解密广播数据的多个解码器,所有所述解码器能够实现至少一个同样的秘密密码函数,该秘密密码函数等同于所述第一函数或其反函数,用于该目的的每个解码器都装配了存储器,所述存储器中记录有所述第二函数的数学描述。
其特征在于每个解码器的存储器包含所述第二函数的数学描述,该数学描述不同于其他解码器或者其他组的解码器的存储器中记录的数学描述,因此该数学描述在所有解码器中唯一标识特定的解码器或特定的解码器组。
最后,本发明的另一个主题是与根据本发明的可追踪加密和/或解密系统的解码器相关联的存储器,其特征在于,它包含与能够被解码器使用的第二秘密函数等价的数学描述,该数学描述由多个基本函数(Gi,j)组成,每个基本函数Gi,j等于至少三个函数的复合,如下列等式所示:
G1,j=f′1,jogσj(1)oS
G2,j=f′2,jogσj(2)of1,j
Gr-1,j=f′r-1,jogσj(r-1)ofr-2,j
Gr,j=Togσj(r)ofr-1,j
其中,
Gi,j是解码器j的第i个基本函数,j是标识一个解码器或者一组解码器的索引,
函数fi,j和f′i,j是预定的函数,能够使得基本函数Gi,j相互间不可交换,
σj是每个解码器或者每组解码器唯一具有的、所有索引{1;...;r}的排列,
gσj(t)是由r个相互间可交换的非线性预定函数gi构成的预定整体的第σj(t)个函数,以及
S和T是预定的函数,能够分别使得对基本函数G1,j和Gr,j的密码分析变得困难。
附图简述
通过阅读下述仅仅作为实例的、参照附图给出的描述,将更好的理解本发明,其中,
图1是根据本发明的可追踪密码系统的结构的概要说明;
图2是本发明的叛徒追踪方法的流程图。
具体实施方式
图1显示了可追踪密码系统,一般地被指定为2。该系统2包含加密数据的发送器4,数据传输网络6和能够解密被发送器4通过网络6广播的加密数据的解码器。该系统2包含N个解码器,N是大于100、1000或者更大数的整数。这里为简化说明,只示出了一个解码器8。其他没有示出的解码器例如与示例解码器8相同。在该描述的其他部分,该解码器8与索引j相关联。
作为例子,发送器4是用于电视信道的发送器。该发送器4包含用于加密内容Ba的模块10和用于计算控制字CWa的模块12。这里内容Ba由表示电视频道的明文的连续数据比特组成,即未被加密。
模块12能够执行由数学描述Fk定义的密码函数。该密码函数用于直接处理编码为n个字符的报头EBa,以将其转换为同样编码为n个字符的控制字CWa,n是例如大于100的严格的正整数。这里作为示例,每个字符是“0”或者“1”。
为此,发送器4被关联于存储器14,其中记录有密码函数的数学描述Fk。数学描述是一组数据,该组数据用于确定将被执行的运算的正确序列,以便为每个输入值计算该函数的对应的输出值,而无需将该函数输入值以外的其他值提供给程序以执行该计算。该描述Fk以可以直接由发送器使用的格式记录于存储器14中,因此模块12能够基于该描述执行其密码函数。这里,描述Fk例如是组成计算机程序的指令序列。然而,在该说明的其余部分,函数的数学描述将仅显示为使用传统符号表示的数学关系式。与下述数学关系式相对应的计算机程序是容易编写的。
将参照图2详细描述所述描述Fk
模块10能够执行以由模块12构造的控制字CWa作为参数的加密函数E,以便加密内容Ba并输出相应的加密内容CBa。这里,加密函数E是传统的可逆加密函数。例如AES加密函数(AdvancedEncryption Standard,高级加密标准)或者名称为“一次密钥加密”(onetime pad)的加密算法。
对于由模块10使用控制字CWa加密的每个内容Ba,发送器4能够向系统中的所有解码器广播数据对。该数据对由报头EBa和加密内容CBa组成。
为了解密由发送器4通过网络6发送或者广播的数据,解码器8包含用于计算控制字CWa的计算模块20以及用于解密加密内容CBa的解密模块22。
模块20能够执行密码函数。该函数由不同于描述Fk的数学描述Fkj定义。更明确地,该描述Fkj不同于系统2的其他解码器中使用的所有描述Fkj。然而,尽管数学描述Fkj不同于描述Fk,但是它定义相同的函数。因此,能够通过由模块20对报头EBa进行转换来获得控制字CWa,即,与已经使用模块12获得的控制字是相同的。这种情况下,描述Fkj被认为等价于描述Fk
类似于发送器4,解码器8与存储器21相关联,数学描述Fkj被记录其中。
将参照图2详细描述该描述Fkj
模块22能够执行解密函数D。该函数D是函数E的反函数,使得可以使用所述控制字CWa解密内容CBa,其中CWa是由模块20基于接收到的报头EBa而构造的。
解码器8也能够将由模块22解密的内容Ba以明文的形式发送至显示内容Ba的电视接收机26。
发送器4和每个解码器都基于传统的、能够执行记录在数据记录介质上的指令的可编程计算器。为此,除了用于加密和解密所发送的数据的秘密参数,存储器14和21还包含用于执行图2中方法的指令。
现在参照图2的方法描述系统2的功能。
图2的方法被分为三个主要阶段。系统2的配置阶段50,系统2的使用阶段52和系统2的在不同合法用户中搜索叛徒的搜索阶段54。
阶段50开始于构造步骤60以构造数学描述Fk。为此,在操作62期间,构造r个非线性函数gi,r是严格的正整数。选定函数gi的数目r以满足如下关系:
(1)N<r!
其中,N是系统2中解码器的数目。
构造这些函数gi以便通过复合运算相互间可交换,因此满足如下关系:
(2)i.l∈{1,...r},i≠l,giоgl=glоgi
其中,符号о表示两个数学函数的复合运算。
这里,这些函数中的每一个都是用于将一个多元组转换为另一个多元组的非线性函数。这里多元组指n个元素的集合。例如,由(n-1)次多项式的n个系数构成的集合可以被认为是多元组。
因此,每个函数gi接收n个输入变量并输出n个计算得到的变量。这里他们每个都对应于具有n个变量的n个非线性等式的系统,n是对应于报头EBa的字符数的严格的正整数。
这里,当在左右与线性函数进行复合时,选定各个函数gi以构成多元加密算法的加密块Gi。多元加密算法的一个例子是Matsumoto和Imai在Tsutomu Matsumoto和Hideki Imai的“Public QuadraticPolynomial-tuples for efficient Signature Verification and MessageEncryption,Advances in Cryptology”-EUROCRYPT’88(Cristoph G.Günther,e d)(Lecture Notes in computer Science,卷330,Springer,1988,pp.419-453)中提出的C*算法。其他多元加密算法的例子是名称为SFLASH v2的算法(NESSIE project,New European Schemes forsignatures,Integrity and Encryption)和算法HFE(PATARIN JacquesHidden Fields Equations(HFE)以及多项式的同构(Isomorphisms ofPolynomials,IP):新的两类非对称算法(Eurocrypt 96,SpringerVerlag,pp.33-48)。
为从元素gi获得简单明了的合成加密块Gi的描述,选定gi函数作为单项式函数,称为单项式。
作为例子,这里每个函数gi对具有q个元素的基本体L的n次扩展L’的元素进行运算。这里例如q=2且L={0,1}。
扩展L’显示为以下形式的多项式集合: Σ i = 0 n - 1 a i X i ·
其中:
该系数是体L的元素;
索引i是整数,并且
X是变量。
通过用多项式加法和乘法模一个n次不可约多项式来给出由下列等式定义的扩展L’:
P ( X ) = Σ i = 0 n - 1 p i X i
其中,
系数pi是体L的预定元素,并且
X是变量。
作为例子,gi函数是具有gi(a)=aei形式的扩展L’在扩展L’中的函数,其中:
a是扩展L’的元素,以及
指数ei是形式为1+qθ1+...+qθi+...+qθd-1的预定整数,其中q是体L的元素数目,指数θi是预定整数。
这里选定d等于2,因此每个函数gi的指数ei的形式为1+qθ1
这种形式的指数ei的优点在于,如果扩展L’的每个元素a是用系数的多元组(a0,a1,...,an-1)标识的,那么扩展L’的由等式b=gi(a)定义的元素b的系数b0,b1,...,bn-1中的每一个唯一被写为a的系数a0,a1,...,an-1的d次函数。也就是说,这里,在d=2的特定情况下,即为二次函数。在该特定情况下,每个系数bi可被写为下列二次函数的形式:
bi=(c0a0+...+cn-1an-1)+(c0,1a0a1+...+c0,n-1 a0an-1)+(c1,2a1a2+...+c1,n-1a1an-1)+...+cn-2,n-1an-2an-1
其中n个系数cn和n(n-1)/2个系数cu,v是属于体L的常数。
因此,通过选定的指数的形式,每个函数gi的数学描述可以很简洁,而且能够被容易地记录在存储器中。
随后,在操作64中,选定Ln到Ln上的两个函数S和T,其中Ln是由体L的元素组成的多元组的集合。更好地,S和T函数是线性可逆函数。
例如,函数S和T各自的数学描述是n个元素乘以n个元素的矩阵,其中每个元素都属于体L。
接下来,在操作66中,通过以下述方式复合函数gi、函数S和T,来构造描述Fk
(3)Fk=Togrogr-1o...og2og1oS
构造描述Fk之后,方法继续到构造步骤70以便为每个解码器构造等价的描述Fkj
在步骤70中,对于系统中的每个解码器j,在操作72中定义集合{1,2,。。。,r}到其自身的专一的排列σj。例如,该排列σj或者被随机构造,或者从标识解码器的索引j以及从秘密参数M进行推导。
应该注意,能够为系统中的每个解码器构造专一的排列是可能的,这是因为满足等式(1)。
接下来,在操作74中,为用户j选择r-1个双射fi,j。这些双射fi,j中的每一个都是Ln集合关于其自身的可逆函数。这些双射fi,j例如被使用n个元素乘以n个元素的矩阵来描述,其中每个元素都属于体L。
例如,在操作74中,根据Ln集合到自身的可逆线性运算的集合来随机得到双射fi,j。另一可能是从解码器的索引j以及从秘密参数M推导这些双射fi,j中的每一个。
最后,在操作76中,数学描述Fkj被构造。为此,为编码器j构造r个基本函数Gi,j。通过以下列方法复合函数S、T、Fi,j和gi来构造这些函数Gi,j
(4)G1,j=f′1,jogσj(1)oS
   G2,j=f′2,jogσj(2)of1,j
   Gr-1,j=f′r-1,jogσj(r-1)ofr-2,j
   Gr,j=Togσj(r)ofr-1,j
其中:
f1 i,j是双射fi,j的反函数,并且
gσj(t)是函数gi,其索引i等于由用户j的置换σj对索引t进行运算后的排列,t属于集合{1,2,...,r}。
当在函数gi的左侧和右侧由双射或线性函数与gi进行复合时,可以保持函数gi的性质,根据gi由等式b=gi(a)定义的扩展L’的元素b的每个系数bi只可以被写成d次多项式。因此,Ln的由等式y=Gi,j(x)定义的元素y的分量可以仅由Ln的元素x的分量xi的d次多项式来描述。例如,当d等于2时,使用下列数学描述来定义分量yi
yi=(c’0x0+...+c’n-1xn-1)+(c’0,1x0x1+...+c’0,n-1x0xn-1)+(c’1,2x1x2+...+c’1,n-1x1xn-1)+...+c’n-2,n-1xn-2xn-1
其中n个系数c’u和n(n-1)/2个系数c’u,v是属于体L的常数。
因此,通过选定形式为1+qθ1的指数ei,每个基本函数Gi,j的数学描述就简单明了,因此只占用很小的存储空间。特别地,在这里所述的实施例中,每个基本函数Gi,j的数学描述都是具有n个变量的n个非线性等式的系统。
通过这r个基本函数Gi,j组成描述Fkj。通过用等式(5):Fkj=Gr,joGr-1,jo...oG2,joG1,j来处理输入消息,可以获得与使用描述Fk获得的消息相同的输出消息。在上述等式中,通过用由等式(4)给出的函数Gi,j的定义来替代各个基本函数Gi,j,可以容易的验证数学描述Fkj与FK的等价关系。通过在前述等式中进行所述操作,我们获得:
FKj=Togog(r)ogσj(r-)o...ogσj(2)ogσj(1)oS
因为所有gi函数相互间是可交换的,因此这表明描述Fkj等价于描述Fk
因此双射fi,j的函数使得基本函数Gi,j相互间不可交换是可以理解的。在这种情况下,为获得与描述Fk等价的描述,基本函数Gi,j只能如同等式(5)一样以索引i的升序的顺序进行复合。
另外,在这里描述的特定实施例中,系统对抗任何密码分析企图的健壮性是基于多项式同构这一问题的,也称之为IP难题。知道Gi,j函数,甚至知道所有函数gl到gr,要想识别值σj(i)从数学上来说也是困难的,这是因为在每个基本函数Gi,j中使用了未知函数,用于通过在左侧和右侧进行复合来伪装。这里,这些未知函数是保持为秘密的函数S和T以及双射fi,j。因此,对于拥有有效基本函数Gi,j集合的非法用户不能构造出新的不保持由σj定义的gi函数间的顺序关系的基本函数G’i,j的集合。也就是说,因为非法用户不能根据基本函数Gi,j发现函数S,T和fi,j,所以所述用户必然满足于修改每个基本函数Gi,j的数学描述,而不能够修改复合这些基本函数所必须根据的顺序。因此,由于基本函数G’i,j的复合顺序没有修改,所以函数gi的复合顺序也没有修改。通过阅读本描述的其余部分,该性质的优点将变得显而易见。
一旦为系统2的每个用户j构造了基本函数Gi,j,就将这些函数以例如计算机程序的形式在步骤80中分发和记录在每个解码器8的存储器21中。
同样,在步骤80中,将执行叛徒搜索阶段54所需的信息记录在存储器14中。特别地,将用于构造每个基本函数Gi,j的所有函数和使用的每个排列σj都记录在存储器14中。记录每个排列σj和它所应用到的解码器间的关系。类似地,使得能够根据解码器的身份识别出用户的关系也被记录在存储器14中。
一旦函数Gi,j被记录在每个解码器8的存储器中,就能初始化系统2的使用阶段52。
在阶段52中,发送器4在步骤84中以规则的时间间隔随机地获取一个新报头EBa,例如每秒钟。
在步骤86中由模块12使用描述Fk来转换报头EBa,以获得控制字CWa
然后在步骤88中由模块10使用函数E和控制字CWa来加密内容Ba。然后在步骤90中,由发送器4通过网络6将用于此目的的加密内容CBa和报头EBa组合以向系统2中的所有解码器广播。
一收到加密数据,每个解码器首先在步骤92中根据接收到的报头EBa计算控制字CWa。在该步骤中,模块20连续地按顺序使用记录在其存储器21中的每个基本函数Gi,j,以便根据等式(5)执行对应于基本函数Gi,j的合成的计算。
在步骤92之后,模块20输出与由发送器4的模块12构造的控制字相同的控制字CWa
使用该控制字CWa和函数D,在步骤94中模块22解密接收到的加密内容CBa。然后模块22将解密的内容Ba发送至例如电视26用于明文显示。
对于由发送器4广播的每个数据项或者数据帧,在系统2的整个使用阶段重复步骤84至94。
对于描述的剩余部分,假定解码器j的用户已经将他的基本函数Gi,j发送给一个非法用户,因此该非法用户能够使用盗版解码器以在例如不付费的情况下解密由发送器4广播的数据。因此解码器j的用户是叛徒,因为他已经非法地和不正当地传送了使得可以解密由发送器4发送的广播数据的秘密数据。
在步骤100中,叛徒搜索阶段54开始于捕获和分析非法用户的盗版解码器。在该步骤100中,分析解码器以便检测被叛徒非法发送的基本函数Gi,j,以及这些函数Gi,j以什么次序被复合以将接收到的报头EBa转换为控制字CWa
这里,在盗版解码器中发现的基本函数被记为Gi,p,其中索引i指示为转换控制字EBa、这些基本函数被使用的顺序。
接下来,在步骤102中分析每个函数Gi,p以发现构造其所基于的函数gi。所述分析可能是例如由系统2的操作者使用的,因为操作者知道用于构造系统中的每个用户的基本函数Gi,j的函数S,T,fi,j和gi
因此在步骤102之后,系统2的操作者能够判断出基本函数G1,p是由函数gm构造的,基本函数G2,p是由函数gn构造的,并且对于函数Gi,p中的每一个都可以如此判断出。其中函数gm和gn的索引m和n分别表示用于构造G1,p和G2,p的函数gi的索引。
基于此信息,在步骤104中,操作者因此能够重新构造在构造用于盗版编码器中使用的基本函数Gi,p时使用的排列σj。一旦该排列σj被重新构造,在步骤106中,将其与在步骤80中记录在存储器14中的不同排列进行比较。
通过所述方法,叛徒,即解码器j的用户被识别,这是因为在系统2中,每个排列σi对应于与单个用户相关联的单个解码器。
因此本系统和本方法被证明特别地能够防止合法用户发送解密加密内容CBa所需的数据。
已经对图2中的方法对抗密码分析企图的健壮性进行了研究。特别地,该研究表明图2的系统和方法能够抵抗由k个叛徒联合导致的攻击,k是比2大的正整数。这里k个叛徒的联合指一组k个合法用户,企图通过共享他们各自的基本函数Gi,j的集合以构造函数Fk的新的等价描述。这些非法用户至多能够根据这k组基本函数Gi,j构造出使用新的一组或多组基本函数Gi,p的集合的函数。然而基本函数Gi,p的任何新集合在其排列上都是由从每个基本函数集合提取的基本函数Gi,j的连续序列复合成的。例如,对于两个叛徒的联合,非法用户可构造的基本函数Gi,p的新集合是由第一叛徒的开始的p个基本函数{G1,1,G2,1,...,Gp,1}和第二叛徒的最后的r-p个基本函数{Gp+1,2,...,Gr,2}组成的。为抵抗所述叛徒身份的伪装企图,函数gi的数目r被选的足够大,以便在阶段54中基于对构造其基本函数Gi,j的集合的排列σj的一部分的识别,至少能够识别一个叛徒。例如,对于两个叛徒的联合,r被选的足够大,因此或者是基于开始的p个基本函数Gi,1,或者基于最后的r-p个基本函数Gi,2,至少能够识别其中的一个叛徒。
在上述方法中需要注意的是,相同的秘密数据,即与描述Fk,Fk,j相关联的密码函数被用于加密和解密,因此所述加密方法与对称加密算法具有相同性质。特别地,基于该性质,这里描述的方法要快于非称加密算法。
这里函数S,T,fi,j必须保持是秘密的,同时函数gi可以被任意公开。
在系统2中,只有一个同样的用于计算控制字CWa的函数被发送器4和解码器使用。因此该密码函数不需要是可逆的,这使得函数gi的选择和构造变得容易。然而作为变形,描述Fk对应于加密函数,描述Fkj对应于该加密函数的反函数。在该变形中,嵌入到系统的不同解码器中的不同描述Fkj相互间等价,并且与由描述Fk定义的函数的反函数等价。描述Fkj的所述构造是适合的,唯一区别是函数gi在该变量中必须可逆。在例如这种情况下,例如,描述Fk被直接用于加密内容Ba,同时等价描述Fk,j被直接用于解密被加密的内容CBa
这里对应于描述Fk和Fkj的密码函数将编码为n个字符的初始消息转换为编码为相同数量字符的转换消息。相对于初始消息的大小,该密码函数不增加转换信息的大小,这与使用非对称函数的发现相反。作为变形,相对于初始消息的大小,密码函数增加了转换消息的大小。然而需要注意,在该变形中,该大小的增加与叛徒数目是无关的。
已经在特定的情况中描述了系统2,其中,描述Fkj与一个单独的解码器相关联。作为变形,一个相同的描述Fk,j与一组解码器相关联。在该变形中,系统2的所有解码器分为多个组,因此描述Fk,j不是标识特定的一个解码器,而是标识特定解码器所属的组。

Claims (11)

1.一种用于加密和/或解密由至少一个发送器向多个解码器广播的数据的可追踪方法,该方法使得能够在所述多个解码器的多个不同合法用户中识别叛徒,所述叛徒已将秘密数据发送给未授权的第三方,使得该第三方能够加密和/或解密由所述发送器广播的数据,
其中:
在加密所述广播数据时,所述发送器使用至少一个第一秘密密码函数,以及
在解密所述广播数据时,所有所述解码器使用至少一个同样的第二秘密密码函数,该第二秘密密码函数与所述第一秘密密码函数或其反函数等同,为此,每个解码器依靠记录在存储器中的所述第二秘密密码函数的数学描述,
其特征在于,在使用所述第二秘密密码函数时,每个解码器所依靠的该第二秘密密码函数的所述数学描述在一个解码器与另一个解码器之间、或者在一组解码器与另一组解码器之间是不同的,因此被依靠的所述数学描述在所有所述解码器中唯一标识特定的解码器或者特定的解码器组;并且
其中,记录在每个解码器的所述存储器中的所述数学描述是由多个基本函数构成的,所述基本函数必须以确定的顺序相互复合以构成所述第二秘密密码函数。
2.如权利要求1所述的方法,其特征在于,所述第二秘密密码函数能够处理非冗余数据。
3.如权利要求1所述的方法,其特征在于,如同下列等式中的每一个一样,每个基本函数等于至少三个函数的复合:
G1,j=f′1,jogσj(1)oS
G2,j=f′2,jogσj(2)of1,j
..............................
Gr-1,j=f′r-1,jogσj(r-1)ofr-2,j
Gr,j=Togσj(r)ofr-1,j
其中:
Gi,j是解码器j的第i个基本函数,j是标识一个解码器或者一组解码器的索引,
函数fi,j和f′i,j是预定的函数,能够使得所述基本函数Gi,j相互间不可交换的,
σj是每个解码器或者每组解码器唯一具有的、所有索引{1;...;r}的排列,
gσj(t)是由r个相互间可交换的非线性预定函数gi构成的预定整体的第σj(t)个函数,以及
S和T是预定的函数,分别能够使得难于对基本函数G1,j和Gr,j进行密码分析。
4.如权利要求3所述的方法,其特征在于,每个函数f′i,j等于函数fi,j的反函数f-1 i,j
5.如权利要求3或4所述的方法,其特征在于,所述函数fi,j是完成体(L)的元素的多元组的集合(Ln)在其自身上的线性函数。
6.如权利要求3或4所述的方法,其特征在于,所述函数S和T是可逆的。
7.如权利要求3或4所述的方法,其特征在于,所述函数S和T是完成体(L)的元素的多元组的集合(Ln)到其自身的线性函数。
8.如权利要求3或4所述的方法,其特征在于所述函数gi被选定,因此每个基本函数Gi,j对应于多元加密算法的加密块。
9.如权利要求3或4所述的方法,其特征在于,每个函数gi的形式为gi(a)=aei,其中a是具有q个元素的基本体L的n次扩展L’的元素,并且ei是预定的指数。
10.如权利要求9所述的方法,其特征在于,所述指数ei的形式为1+qθ1+...+qθi+...+qθd-1,其中所述指数θi是预定的整数。
11.一种能够在不同合法用户中识别叛徒的可追踪系统,用于加密和/或解密广播数据,所述叛徒已将秘密数据发送给未授权的第三方,因此该第三方能够加密和/或解密所述广播数据,所述系统包括:
能够加密广播数据的发送器,该发送器能够使用至少一个第一秘密密码函数以直接处理消息,然后广播所述消息,
能够解密广播数据的多个解码器,所有所述解码器能够使用与所述第一秘密密码函数或其反函数等同的第二秘密密码函数,用于直接处理所述广播消息,用于此目的的每个解码器装备有存储器,所述第二秘密密码函数的数学描述记录在所述存储器中;
其特征在于,每个解码器的所述存储器包含所述第二秘密密码函数的数学描述,该描述不同于记录在其他解码器的存储器中的描述,或者不同于记录在其他解码器组的存储器中的描述,因此该数学描述在所有所述解码器中唯一标识特定的解码器或特定的解码器组;并且
其中,记录在每个解码器的所述存储器中的所述数学描述是由多个基本函数构成的,所述基本函数必须以确定的顺序相互复合以构成所述第二秘密密码函数。
CN200480023523.2A 2003-06-17 2004-06-02 用于加密和/或解密数据的可追踪方法和系统 Expired - Lifetime CN1836396B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FR0307287 2003-06-17
FR0307287A FR2856539A1 (fr) 2003-06-17 2003-06-17 Procede et systeme tracables de chiffrement et/ou de dechiffrement d'informations, et supports d'enregistrement pour la mise en oeuvre du procede
PCT/FR2004/001362 WO2005008951A2 (fr) 2003-06-17 2004-06-02 Procede, systeme et supports d'enregistrement de chiffrement et/ou de dechiffrement traçable

Publications (2)

Publication Number Publication Date
CN1836396A CN1836396A (zh) 2006-09-20
CN1836396B true CN1836396B (zh) 2010-08-04

Family

ID=33484506

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200480023523.2A Expired - Lifetime CN1836396B (zh) 2003-06-17 2004-06-02 用于加密和/或解密数据的可追踪方法和系统

Country Status (6)

Country Link
US (1) US7697680B2 (zh)
EP (1) EP1634405B1 (zh)
JP (1) JP4673302B2 (zh)
CN (1) CN1836396B (zh)
FR (1) FR2856539A1 (zh)
WO (1) WO2005008951A2 (zh)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8176568B2 (en) * 2005-12-30 2012-05-08 International Business Machines Corporation Tracing traitor coalitions and preventing piracy of digital content in a broadcast encryption system
WO2007105126A2 (en) * 2006-03-10 2007-09-20 Koninklijke Philips Electronics N.V. Method and system for obfuscating a cryptographic function
ES2728308T3 (es) 2006-03-22 2019-10-23 Novozymes North America Inc Procesos de fermentación
FR2900005A1 (fr) * 2006-04-14 2007-10-19 France Telecom Procede de diffusion d'un contenu numerique, et procede, dispositif et programme d'ordinateur pour le dechiffrement d'un contenu numerique chiffre
US7970141B2 (en) * 2006-09-13 2011-06-28 The Regents Of The University Of California Method and apparatus for tracing the source of decryption keys used by a decoder
US7986787B2 (en) * 2006-12-08 2011-07-26 International Business Machines Corporation System, method, and service for tracing traitors from content protection circumvention devices
CN101578813A (zh) * 2007-01-11 2009-11-11 皇家飞利浦电子股份有限公司 跟踪实现的拷贝
WO2008119901A2 (fr) * 2007-02-28 2008-10-09 France Telecom Procede de dechiffrement par un algorithme cryptographique de donnees chiffrees
FR2922393A1 (fr) * 2007-10-10 2009-04-17 France Telecom Systeme tracable de chiffrement/dechiffrement de donnees numeriques diffusees
EP2073431A1 (en) * 2007-12-21 2009-06-24 Nagravision S.A. Method to trace traceable parts of original private keys in a public-key cryptosystem
US7936882B2 (en) * 2008-01-17 2011-05-03 Nagravision S.A. Method to trace traceable parts of original private keys in a public-key cryptosystem
FR2933260A1 (fr) 2008-06-25 2010-01-01 France Telecom Systeme tracable de diffusion de donnees numeriques.
EP2227014B1 (en) * 2009-03-02 2019-10-02 Irdeto B.V. Securely providing secret data from a sender to a receiver
EP2227015B1 (en) * 2009-03-02 2018-01-10 Irdeto B.V. Conditional entitlement processing for obtaining a control word
EP2355503A1 (en) * 2010-02-04 2011-08-10 Nagravision S.A. Method to manage members of at least one group of decoders having access to audio/video data
EP2391125A1 (en) * 2010-05-26 2011-11-30 Nagra France Sas Security method for preventing the unauthorized use of multimedia contents
FR2969439B1 (fr) * 2010-12-17 2018-06-22 Cryptoexperts Sas Procede et systeme d'acces conditionnel a un contenu numerique, terminal et dispositif d'abonne associes
JP5975961B2 (ja) * 2013-09-27 2016-08-23 日本電信電話株式会社 電子透かしシステム、電子透かし鍵生成装置、電子透かし方法及びプログラム
US9922390B2 (en) * 2014-09-05 2018-03-20 Brady Jennings Beaubien Watermarking system
US9516000B2 (en) * 2015-03-27 2016-12-06 International Business Machines Corporation Runtime instantiation of broadcast encryption schemes

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1310526A (zh) * 2001-04-06 2001-08-29 北京网警创新信息安全技术有限公司 网络违法行为侦知监控追踪取证应急反应系统及方法
CN1315700A (zh) * 2000-03-29 2001-10-03 怡申科技股份有限公司 一种于因特网中传递伺服器端追踪记录的方法
CN1350384A (zh) * 2000-10-20 2002-05-22 友讯科技股份有限公司 可使网络装置利用封包追踪网络线上各节点的处理方法
CN1366631A (zh) * 2000-02-07 2002-08-28 皇家菲利浦电子有限公司 用于安全发行内容的方法和装置

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10111835A (ja) * 1996-10-04 1998-04-28 Nippon Telegr & Teleph Corp <Ntt> 使用装置id伝達方法及びシステム
WO1999019822A2 (en) * 1997-10-14 1999-04-22 Microsoft Corporation System and method for discovering compromised security devices
US6880088B1 (en) * 1999-11-19 2005-04-12 Nortel Networks Limited Secure maintenance messaging in a digital communications network
JP2001318861A (ja) * 2000-05-10 2001-11-16 Takuo Kitamura 情報サービス方式および情報サービス方法
US7010125B2 (en) * 2001-01-26 2006-03-07 Interntional Business Machines Corporation Method for tracing traitor receivers in a broadcast encryption system
FR2835670A1 (fr) * 2001-12-20 2003-08-08 Cp8 Procede de distribution anti-piratage d'un contenu numerique par transmission diversifiee pro-active, dispositif emetteur et objet portatif recepteur associes
JP3917507B2 (ja) * 2002-01-28 2007-05-23 株式会社東芝 コンテンツ提供側システム、ユーザ側システム、追跡システム、コンテンツ提供方法、暗号化コンテンツ復号方法、不正ユーザ特定方法、暗号化装置、復号装置及びプログラム
JP2004159043A (ja) * 2002-11-06 2004-06-03 Sony Corp 暗号通信システム、情報処理装置、および方法、並びにコンピュータ・プログラム
JP2004221800A (ja) * 2003-01-14 2004-08-05 Sony Corp 暗号処理システムにおける不正エンティティ追跡方法、暗号処理システム、および不正エンティティ追跡処理装置、並びにコンピュータ・プログラム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1366631A (zh) * 2000-02-07 2002-08-28 皇家菲利浦电子有限公司 用于安全发行内容的方法和装置
CN1315700A (zh) * 2000-03-29 2001-10-03 怡申科技股份有限公司 一种于因特网中传递伺服器端追踪记录的方法
CN1350384A (zh) * 2000-10-20 2002-05-22 友讯科技股份有限公司 可使网络装置利用封包追踪网络线上各节点的处理方法
CN1310526A (zh) * 2001-04-06 2001-08-29 北京网警创新信息安全技术有限公司 网络违法行为侦知监控追踪取证应急反应系统及方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
Dan Boneh等.An Efficient Public Key Traitor Tracing Scheme.Advances in Cryptology-CRYPTO'99 19th Annual International Cryptology Conference Proceedings.1999,338-353. *
Tsutomu Matsumoto等.Public quadratic polynomial-tuples for efficientsignature-verification and message-encryption.Lecture Notes in Computer Science on Advances in Cryptology - EUROCRYPT' 88.1988,419-453. *
Tsutomu Matsumoto等.Public quadratic polynomial-tuples for efficientsignature-verification and message-encryption.Lecture Notes in Computer Science on Advances in Cryptology-EUROCRYPT' 88.1988,419-453. *

Also Published As

Publication number Publication date
JP4673302B2 (ja) 2011-04-20
WO2005008951A2 (fr) 2005-01-27
US20060153377A1 (en) 2006-07-13
EP1634405A2 (fr) 2006-03-15
US7697680B2 (en) 2010-04-13
WO2005008951A3 (fr) 2005-11-03
EP1634405B1 (fr) 2018-12-12
CN1836396A (zh) 2006-09-20
FR2856539A1 (fr) 2004-12-24
JP2006527944A (ja) 2006-12-07

Similar Documents

Publication Publication Date Title
CN1836396B (zh) 用于加密和/或解密数据的可追踪方法和系统
Abd El-Samie et al. Image encryption: a communication perspective
US8306216B2 (en) Method and system for tracking or identifying copy of implementation of computational method, and computation system
Subramanyan et al. Image encryption based on AES key expansion
Salleh et al. Image encryption algorithm based on chaotic mapping
CN103339896B (zh) 条件存取与终端和订户设备相关联的数字内容的方法及系统
Saraswathi et al. A block cipher algorithm for multimedia content protection with random substitution using binary tree traversal
Sahoo et al. Image encryption using RSA algorithm
Sharma et al. Multi-image steganography and authentication using crypto-stego techniques
Puteaux et al. Homomorphic encryption-based LSB substitution for high capacity data hiding in the encrypted domain
Sahila et al. Secure digital image watermarking by using SVD and AES
Chen et al. Reversible data hiding in encrypted domain by signal reconstruction
CN109948353A (zh) 非对称多图像加密方法、装置及存储介质
EP2225846B1 (en) Method to generate a private key in a Boneh-Franklin scheme
WO2007031894A2 (en) Improved cryptographic method and system
Prabhakaran et al. A new cryptic steganographic approach using video steganography
Bongale et al. Hybrid International Data Encryption Algorithm for Digital Image Encryption
Pappa et al. An optimal approach for watermarking using MRC4 encryption scheme
Kulkarni et al. A robust image encryption technique based on random vector
Ramneshkar et al. An Authentication-Based Image Scrambling Algorithm Using Hybrid Chaotic Maps and SHA
Alqarni A Framework to Allow a Third Party to Watermark Numerical Data in an Encrypted Domain while Preserving its Statistical Properties
Hafsa et al. Hardware Implementation of an Improved Hybrid Cryptosystem for Numerical Image Encryption and Authenticity
Borda et al. Cryptography Basics
Tamimi A Key Dependent Encryption Algorithm Based on Multiple Bitwise-Shuffling and XOR Variable-Length Partitions.
KRISHNA et al. Modified Chaotic Tent Map Based Color Image Enhancement

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CX01 Expiry of patent term
CX01 Expiry of patent term

Granted publication date: 20100804