用于加密和/或解密数据的可追踪方法和系统,及用于实现该方法的记录介质的制作方法

专利名称：用于加密和/或解密数据的可追踪方法和系统,及用于实现该方法的记录介质的制作方法
技术领域：
本发明涉及一种用于加密和/或解密广播数据的可追踪方法和系统，以及用于实现该方法的记录介质。
更明确地，本发明涉及一种可追踪方法，其中当加密广播数据时，发送器使用至少一个第一秘密密码函数，以及当解密所述广播数据时，所有解码器应用至少一个同样的等同于所述第一函数或其反函数的第二秘密密码函数，用于这个目的的每个解码器使用记录在存储器中的所述第二函数的数学描述。
背景技术：
可追踪加密方法是一种在其中可以实现追踪叛徒的方法的方法。
叛徒追踪方法被用来对抗对服务的盗用，所述服务在广播信道上分发加密的多媒体内容，例如视频，电视，图像，音乐，文本，网页，电子图书，程序等等。叛徒追踪方法的目的是防止由于一个或多个所述服务的合法用户重新分发根据嵌入在他们的解密设备中的密钥和解密算法推导出的数据，而导致非法用户(盗用者)能够无障碍访问所述内容。这些方法保证，如果出现这种欺骗，那么至少一个引起欺骗的合法用户的身份可以被分发该内容的服务操作者重建。引起欺骗的合法用户在以后的描述中被称为“叛徒”。
追踪叛徒的概念是由Benny Chor，Amos Fiat和Moni Naor在他们1994年的文章“Tracing Traitors，Advances in Cryptology”(Crypto’94，Lecture Notes in computer science，卷839，Springer-Verlag，1994，257-270页)中首次提出的。在该文章中，提出了密码系统中的第一个追踪技术。其中可以实现叛徒追踪方法的密码系统被称为“可追踪的”。几乎所有的这些技术都具有组合特性。也就是说，密码系统的每个合法用户都被分配了基本密钥集合(通常是相当大的集合)的一个密钥子集。分配给用户的基本密钥的子集对于每个用户是唯一的，并且形成该用户自己的私有密钥。
该系统中的数据广播包括加密消息。每个加密消息由使用内容加密密钥进行加密的内容和分别使用基本密钥加密的报头组成。每个报头包含表示部分所述内容加密密钥的数值。
当用户接收这些消息之一时，他们使用各自的基本密钥的子集来解密包含在接收的报头中的一些数值。然后他们组合这些已解密的数值来重新构建所述内容加密密钥，并且将该重新构建的内容加密密钥用于解密所述消息的内容。
如果该系统的一个合法用户将他/她的私有密钥发送给非法用户，则在该可追踪密码系统中，可以通过由非法用户使用的私有密钥追踪到叛徒的身份。
然而，组合特性的叛徒追踪方法具有不足，它需要广播大量的报头。特别地，将被广播的报头数与该系统的合法用户数的对数成比例，并且也与其他参数(例如寻求保护以对抗的叛徒联盟的最大规模k)成比例。该联盟意味着k个叛徒的组，他们集合在一起以组合他们的私有密钥，试图生成可用于解密所述加密内容的新的私有密钥，而检查这个新的私有密钥不会泄露任一叛徒的身份。

发明内容
本发明通过提出一种新的无需广播大量报头的叛徒追踪方法来克服该缺点。
因此，本发明的主题是如上所述的叛徒追踪方法，其特征在于当实现第二函数时，每个解码器所依靠的第二函数的数学描述对于各个解码器或对于不同组的解码器是不同的，因此，所依靠的数学描述唯一的标识所有解码器中的特定的解码器或者特定的一组解码器。
在所述方法中，基于对由非法用户用于解密传输数据的第二函数的数学描述的分析，能够追踪将其秘密的第二函数的数学描述发送给非法用户的叛徒。通过构造该系统中的每个数学描述，使得所述描述代表了叛徒的身份。使用组合特性的方法，由于在每个解码器中使用私有的密钥集合，必须以不同的方式加密相同的内容加密密钥以传输多次。被置于广播内容开始处的报头被用于该目的。因此包含在报头中的信息是非常冗余的，并且每个解码器只处理部分接收到的报头。
在本发明的方法中，由于对叛徒的识别不再基于对私有的密钥集合的使用，而是基于使用同一密码函数的不同描述，所述密码函数等同于第一密码函数或其反函数，因此，不再需要至少一部分冗余的广播数据。因此使用所述方法来广播加密消息所需的报头数少于使用组合特性方法广播相同消息所需的报头数。
根据本方法的其它特性，其特征在于所述第二密码函数能够处理非冗余数据；记录在每个解码器存储器中的所述数学描述Fkj由多个基本函数Gi，j构成，Gi，j必须以所确定的顺序一个接一个复合以形成所述第二秘密函数。
每个基本函数Gi，j等于至少三个函数的复合，与下列等式中的每一个一样G1，j＝f′1，jogσj(1)oSG2，j＝f′2，jogσj(2)of1，j..............................
Gr-1，j＝f′r-1，jogσj(r-1)ofr-2，jGr，j＝Togσj(r)ofr-1，j其中，Gi，j是解码器j的第i个基本函数，j是标识一个解码器或者一组解码器的索引，函数fi，j和f′i，j是预定的函数，能够使得基本函数Gi，j相互间不可交换，σj是每个解码器或者每组解码器唯一具有的、所有索引{1；...；r}的排列，gσj(t)是由r个相互间可交换的非线性预定函数gi形成的预定整体的第σj(t)个函数，以及S和T是预定的函数，能够分别使得对基本函数G1，j和Gr，j的密码分析变得困难，每个函数f′i，j等于函数fi，j的反函数fi，j-1，函数fi，j是完成体(finished body)L的元素的多元组的集合Ln在其自身上的线性函数；函数S和T是可逆的；函数S和T是完成体L的元素的多元组的集合Ln到其自身的线性函数；选定函数gi，因此每个基本函数Gi，j对应于多元加密算法的加密块；每个函数gi的形式为gi(a)＝aei，其中，a是具有q个元素的基本体(basic body)L的n次扩展L’的元素，ei是预定指数；指数ei的形式为1+qθ1+...+qθi+...+qθd-1，其中指数θi是预定的整数。
本发明的另一主题是数据记录介质，其特征在于它包含指令用于当所述指令被解码器执行时，可以执行该发明的可追踪方法。
本发明的另一个主题是数据记录介质，其特征在于它包含指令用于当所述指令被发送器执行时，可以执行该发明的可追踪方法。
本发明的另一个主题是用于广播数据的能够在不同合法用户中识别叛徒的可追踪加密和/或解密系统，所述叛徒已将秘密数据发送给未授权的第三方使得该第三方能够加密和/或解密广播数据，该系统包括能够加密广播数据的发送器，该发送器能够实现至少一个第一秘密密码函数，以及能够解密广播数据的多个解码器，所有所述解码器能够实现至少一个同样的秘密密码函数，该秘密密码函数等同于所述第一函数或其反函数，用于该目的的每个解码器都装配了存储器，所述存储器中记录有所述第二函数的数学描述。
其特征在于每个解码器的存储器包含所述第二函数的数学描述，该数学描述不同于其他解码器或者其他组的解码器的存储器中记录的数学描述，因此该数学描述在所有解码器中唯一标识特定的解码器或特定的解码器组。
最后，本发明的另一个主题是与根据本发明的可追踪加密和/或解密系统的解码器相关联的存储器，其特征在于，它包含与能够被解码器使用的第二秘密函数等价的数学描述，该数学描述由多个基本函数(Gi，j)组成，每个基本函数Gi，j等于至少三个函数的复合，如下列等式所示G1，j＝f′1，jogσj(1)oSG2，j＝f′2，jogσj(2)of1，j..............................
Gr-1，j＝f′r-1，jogσj(r-1)ofr-2，jGr，j＝Togσj(r)ofr-1，j其中，Gi，j是解码器j的第i个基本函数，j是标识一个解码器或者一组解码器的索引，函数fi，j和f′i，j是预定的函数，能够使得基本函数Gi，j相互间不可交换，σj是每个解码器或者每组解码器唯一具有的、所有索引{1；...；r}的排列，gσj(t)是由r个相互间可交换的非线性预定函数gi构成的预定整体的第σj(t)个函数，以及S和T是预定的函数，能够分别使得对基本函数G1，j和Gr，j的密码分析变得困难。
附图简述通过阅读下述仅仅作为实例的、参照附图给出的描述，将更好的理解本发明，其中，

图1是根据本发明的可追踪密码系统的结构的概要说明；图2是本发明的叛徒追踪方法的流程图。
具体实施例方式
图1显示了可追踪密码系统，一般地被指定为2。该系统2包含加密数据的发送器4，数据传输网络6和能够解密被发送器4通过网络6广播的加密数据的解码器。该系统2包含N个解码器，N是大于100、1000或者更大数的整数。这里为简化说明，只示出了一个解码器8。其他没有示出的解码器例如与示例解码器8相同。在该描述的其他部分，该解码器8与索引j相关联。
作为例子，发送器4是用于电视信道的发送器。该发送器4包含用于加密内容Ba的模块10和用于计算控制字CWa的模块12。这里内容Ba由表示电视频道的明文的连续数据比特组成，即未被加密。
模块12能够执行由数学描述Fk定义的密码函数。该密码函数用于直接处理编码为n个字符的报头EBa，以将其转换为同样编码为n个字符的控制字CWa，n是例如大于100的严格的正整数。这里作为示例，每个字符是“0”或者“1”。
为此，发送器4被关联于存储器14，其中记录有密码函数的数学描述Fk。数学描述是一组数据，该组数据用于确定将被执行的运算的正确序列，以便为每个输入值计算该函数的对应的输出值，而无需将该函数输入值以外的其他值提供给程序以执行该计算。该描述Fk以可以直接由发送器使用的格式记录于存储器14中，因此模块12能够基于该描述执行其密码函数。这里，描述Fk例如是组成计算机程序的指令序列。然而，在该说明的其余部分，函数的数学描述将仅显示为使用传统符号表示的数学关系式。与下述数学关系式相对应的计算机程序是容易编写的。
将参照图2详细描述所述描述Fk。
模块10能够执行以由模块12构造的控制字CWa作为参数的加密函数E，以便加密内容Ba并输出相应的加密内容CBa。这里，加密函数E是传统的可逆加密函数。例如AES加密函数(AdvancedEncryption Standard，高级加密标准)或者名称为“一次密钥加密”(onetime pad)的加密算法。
对于由模块10使用控制字CWa加密的每个内容Ba，发送器4能够向系统中的所有解码器广播数据对。该数据对由报头EBa和加密内容CBa组成。
为了解密由发送器4通过网络6发送或者广播的数据，解码器8包含用于计算控制字CWa的计算模块20以及用于解密加密内容CBa的解密模块22。
模块20能够执行密码函数。该函数由不同于描述Fk的数学描述Fkj定义。更明确地，该描述Fkj不同于系统2的其他解码器中使用的所有描述Fkj。然而，尽管数学描述Fkj不同于描述Fk，但是它定义相同的函数。因此，能够通过由模块20对报头EBa进行转换来获得控制字CWa，即，与已经使用模块12获得的控制字是相同的。这种情况下，描述Fkj被认为等价于描述Fk。
类似于发送器4，解码器8与存储器21相关联，数学描述Fkj被记录其中。
将参照图2详细描述该描述Fkj。
模块22能够执行解密函数D。该函数D是函数E的反函数，使得可以使用所述控制字CWa解密内容CBa，其中CWa是由模块20基于接收到的报头EBa而构造的。
解码器8也能够将由模块22解密的内容Ba以明文的形式发送至显示内容Ba的电视接收机26。
发送器4和每个解码器都基于传统的、能够执行记录在数据记录介质上的指令的可编程计算器。为此，除了用于加密和解密所发送的数据的秘密参数，存储器14和21还包含用于执行图2中方法的指令。
现在参照图2的方法描述系统2的功能。
图2的方法被分为三个主要阶段。系统2的配置阶段50，系统2的使用阶段52和系统2的在不同合法用户中搜索叛徒的搜索阶段54。
阶段50开始于构造步骤60以构造数学描述Fk。为此，在操作62期间，构造r个非线性函数gi，r是严格的正整数。选定函数gi的数目r以满足如下关系(1)N＜r！
其中，N是系统2中解码器的数目。
构造这些函数gi以便通过复合运算相互间可交换，因此满足如下关系(2)i.l∈{1，...r}，i≠l，giоgl＝glоgi其中，符号о表示两个数学函数的复合运算。
这里，这些函数中的每一个都是用于将一个多元组转换为另一个多元组的非线性函数。这里多元组指n个元素的集合。例如，由(n-1)次多项式的n个系数构成的集合可以被认为是多元组。
因此，每个函数gi接收n个输入变量并输出n个计算得到的变量。这里他们每个都对应于具有n个变量的n个非线性等式的系统，n是对应于报头EBa的字符数的严格的正整数。
这里，当在左右与线性函数进行复合时，选定各个函数gi以构成多元加密算法的加密块Gi。多元加密算法的一个例子是Matsumoto和Imai在Tsutomu Matsumoto和Hideki Imai的“Public QuadraticPolynomial-tuples for efficient Signature Verification and MessageEncryption，Advances in Cryptology”-EUROCRYPT’88(Cristoph G.Günther，e d)(Lecture Notes in computer Science，卷330，Springer，1988，pp.419-453)中提出的C*算法。其他多元加密算法的例子是名称为SFLASH v2的算法(NESSIE project，New European Schemes forsignatures，Integrity and Encryption)和算法HFE(PATARIN JacquesHidden Fields Equations(HFE)以及多项式的同构(Isomorphisms ofPolynomials，IP)新的两类非对称算法(Eurocrypt 96，SpringerVerlag，pp.33-48)。
为从元素gi获得简单明了的合成加密块Gi的描述，选定gi函数作为单项式函数，称为单项式。
作为例子，这里每个函数gi对具有q个元素的基本体L的n次扩展L’的元素进行运算。这里例如q＝2且L＝{0，1}。
扩展L’显示为以下形式的多项式集合Σi=0n-1aiXi·]]>其中该系数是体L的元素；
索引i是整数，并且X是变量。
通过用多项式加法和乘法模一个n次不可约多项式来给出由下列等式定义的扩展L’P(X)=Σi=0n-1piXi]]>其中，系数pi是体L的预定元素，并且X是变量。
作为例子，gi函数是具有gi(a)＝aei形式的扩展L’在扩展L’中的函数，其中a是扩展L’的元素，以及指数ei是形式为1+qθ1+...+qθi+...+qθd-1的预定整数，其中q是体L的元素数目，指数θi是预定整数。
这里选定d等于2，因此每个函数gi的指数ei的形式为1+qθ1。
这种形式的指数ei的优点在于，如果扩展L’的每个元素a是用系数的多元组(a0，a1，...，an-1)标识的，那么扩展L’的由等式b＝gi(a)定义的元素b的系数b0，b1，...，bn-1中的每一个唯一被写为a的系数a0，a1，...，an-1的d次函数。也就是说，这里，在d＝2的特定情况下，即为二次函数。在该特定情况下，每个系数bi可被写为下列二次函数的形式bi＝(c0a0+...+cn-1an-1)+(c0，1a0a1+...+c0，n-1a0an-1)+(c1，2a1a2+...+c1，n-1a1an-1)+...+cn-2，n-1an-2an-1其中n个系数cn和n(n-1)/2个系数cu，v是属于体L的常数。
因此，通过选定的指数的形式，每个函数gi的数学描述可以很简洁，而且能够被容易地记录在存储器中。
随后，在操作64中，选定Ln到Ln上的两个函数S和T，其中Ln是由体L的元素组成的多元组的集合。更好地，S和T函数是线性可逆函数。
例如，函数S和T各自的数学描述是n个元素乘以n个元素的矩阵，其中每个元素都属于体L。
接下来，在操作66中，通过以下述方式复合函数gi、函数S和T，来构造描述Fk(3)Fk＝Togrogr-1o...og2og1oS构造描述Fk之后，方法继续到构造步骤70以便为每个解码器构造等价的描述Fkj。
在步骤70中，对于系统中的每个解码器j，在操作72中定义集合{1，2，。。。，r}到其自身的专一的排列σj。例如，该排列σj或者被随机构造，或者从标识解码器的索引j以及从秘密参数M进行推导。
应该注意，能够为系统中的每个解码器构造专一的排列是可能的，这是因为满足等式(1)。
接下来，在操作74中，为用户j选择r-1个双射fi，j。这些双射fi，j中的每一个都是Ln集合关于其自身的可逆函数。这些双射fi，j例如被使用n个元素乘以n个元素的矩阵来描述，其中每个元素都属于体L。
例如，在操作74中，根据Ln集合到自身的可逆线性运算的集合来随机得到双射fi，j。另一可能是从解码器的索引j以及从秘密参数M推导这些双射fi，j中的每一个。
最后，在操作76中，数学描述Fkj被构造。为此，为编码器j构造r个基本函数Gi，j。通过以下列方法复合函数S、T、Fi，j和gi来构造这些函数Gi，j(4)G1，j＝f′1，jogσj(1)oSG2，j=f′2，jogσj(2)of1，j..............................
Gr-1，j＝f′r-1，jogσj(r-1)ofr-2，jGr，j＝Togσj(r)ofr-1，j其中f1i，j是双射fi，j的反函数，并且gσj(t)是函数gi，其索引i等于由用户j的置换σj对索引t进行运算后的排列，t属于集合{1，2，...，r}。
当在函数gi的左侧和右侧由双射或线性函数与gi进行复合时，可以保持函数gi的性质，根据gi由等式b＝gi(a)定义的扩展L’的元素b的每个系数bi只可以被写成d次多项式。因此，Ln的由等式y＝Gi，j(x)定义的元素y的分量可以仅由Ln的元素x的分量xi的d次多项式来描述。例如，当d等于2时，使用下列数学描述来定义分量yiyi＝(c’0x0+...+c’n-1xn-1)+(c’0，1x0x1+...+c’0，n-1x0xn-1)+(c’1，2x1x2+...+c’1，n-1x1xn-1)+...+c’n-2，n-1xn-2xn-1其中n个系数c’u和n(n-1)/2个系数c’u，v是属于体L的常数。
因此，通过选定形式为1+qθ1的指数ei，每个基本函数Gi，j的数学描述就简单明了，因此只占用很小的存储空间。特别地，在这里所述的实施例中，每个基本函数Gi，j的数学描述都是具有n个变量的n个非线性等式的系统。
通过这r个基本函数Gi，j组成描述Fkj。通过用等式(5)Fkj＝Gr，joGr-1，jo...oG2，joG1，j来处理输入消息，可以获得与使用描述Fk获得的消息相同的输出消息。在上述等式中，通过用由等式(4)给出的函数Gi，j的定义来替代各个基本函数Gi，j，可以容易的验证数学描述Fkj与FK的等价关系。通过在前述等式中进行所述操作，我们获得FKj＝Togog(r)ogσj(r-)o...ogσj(2)ogσj(1)oS因为所有gi函数相互间是可交换的，因此这表明描述Fkj等价于描述Fk。
因此双射fi，j的函数使得基本函数Gi，j相互间不可交换是可以理解的。在这种情况下，为获得与描述Fk等价的描述，基本函数Gi，j只能如同等式(5)一样以索引i的升序的顺序进行复合。
另外，在这里描述的特定实施例中，系统对抗任何密码分析企图的健壮性是基于多项式同构这一问题的，也称之为IP难题。知道Gi，j函数，甚至知道所有函数gl到gr，要想识别值σj(i)从数学上来说也是困难的，这是因为在每个基本函数Gi，j中使用了未知函数，用于通过在左侧和右侧进行复合来伪装。这里，这些未知函数是保持为秘密的函数S和T以及双射fi，j。因此，对于拥有有效基本函数Gi，j集合的非法用户不能构造出新的不保持由σj定义的gi函数间的顺序关系的基本函数G’i，j的集合。也就是说，因为非法用户不能根据基本函数Gi，j发现函数S，T和fi，j，所以所述用户必然满足于修改每个基本函数Gi，j的数学描述，而不能够修改复合这些基本函数所必须根据的顺序。因此，由于基本函数G’i，j的复合顺序没有修改，所以函数gi的复合顺序也没有修改。通过阅读本描述的其余部分，该性质的优点将变得显而易见。
一旦为系统2的每个用户j构造了基本函数Gi，j，就将这些函数以例如计算机程序的形式在步骤80中分发和记录在每个解码器8的存储器21中。
同样，在步骤80中，将执行叛徒搜索阶段54所需的信息记录在存储器14中。特别地，将用于构造每个基本函数Gi，j的所有函数和使用的每个排列σj都记录在存储器14中。记录每个排列σj和它所应用到的解码器间的关系。类似地，使得能够根据解码器的身份识别出用户的关系也被记录在存储器14中。
一旦函数Gi，j被记录在每个解码器8的存储器中，就能初始化系统2的使用阶段52。
在阶段52中，发送器4在步骤84中以规则的时间间隔随机地获取一个新报头EBa，例如每秒钟。
在步骤86中由模块12使用描述Fk来转换报头EBa，以获得控制字CWa。
然后在步骤88中由模块10使用函数E和控制字CWa来加密内容Ba。然后在步骤90中，由发送器4通过网络6将用于此目的的加密内容CBa和报头EBa组合以向系统2中的所有解码器广播。
一收到加密数据，每个解码器首先在步骤92中根据接收到的报头EBa计算控制字CWa。在该步骤中，模块20连续地按顺序使用记录在其存储器21中的每个基本函数Gi，j，以便根据等式(5)执行对应于基本函数Gi，j的合成的计算。
在步骤92之后，模块20输出与由发送器4的模块12构造的控制字相同的控制字CWa。
使用该控制字CWa和函数D，在步骤94中模块22解密接收到的加密内容CBa。然后模块22将解密的内容Ba发送至例如电视26用于明文显示。
对于由发送器4广播的每个数据项或者数据帧，在系统2的整个使用阶段重复步骤84至94。
对于描述的剩余部分，假定解码器j的用户已经将他的基本函数Gi，j发送给一个非法用户，因此该非法用户能够使用盗版解码器以在例如不付费的情况下解密由发送器4广播的数据。因此解码器j的用户是叛徒，因为他已经非法地和不正当地传送了使得可以解密由发送器4发送的广播数据的秘密数据。
在步骤100中，叛徒搜索阶段54开始于捕获和分析非法用户的盗版解码器。在该步骤100中，分析解码器以便检测被叛徒非法发送的基本函数Gi，j，以及这些函数Gi，j以什么次序被复合以将接收到的报头EBa转换为控制字CWa。
这里，在盗版解码器中发现的基本函数被记为Gi，p，其中索引i指示为转换控制字EBa、这些基本函数被使用的顺序。
接下来，在步骤102中分析每个函数Gi，p以发现构造其所基于的函数gi。所述分析可能是例如由系统2的操作者使用的，因为操作者知道用于构造系统中的每个用户的基本函数Gi，j的函数S，T，fi，j和gi。
因此在步骤102之后，系统2的操作者能够判断出基本函数G1，p是由函数gm构造的，基本函数G2，p是由函数gn构造的，并且对于函数Gi，p中的每一个都可以如此判断出。其中函数gm和gn的索引m和n分别表示用于构造G1，p和G2，p的函数gi的索引。
基于此信息，在步骤104中，操作者因此能够重新构造在构造用于盗版编码器中使用的基本函数Gi，p时使用的排列σj。一旦该排列σj被重新构造，在步骤106中，将其与在步骤80中记录在存储器14中的不同排列进行比较。
通过所述方法，叛徒，即解码器j的用户被识别，这是因为在系统2中，每个排列σi对应于与单个用户相关联的单个解码器。
因此本系统和本方法被证明特别地能够防止合法用户发送解密加密内容CBa所需的数据。
已经对图2中的方法对抗密码分析企图的健壮性进行了研究。特别地，该研究表明图2的系统和方法能够抵抗由k个叛徒联合导致的攻击，k是比2大的正整数。这里k个叛徒的联合指一组k个合法用户，企图通过共享他们各自的基本函数Gi，j的集合以构造函数Fk的新的等价描述。这些非法用户至多能够根据这k组基本函数Gi，j构造出使用新的一组或多组基本函数Gi，p的集合的函数。然而基本函数Gi，p的任何新集合在其排列上都是由从每个基本函数集合提取的基本函数Gi，j的连续序列复合成的。例如，对于两个叛徒的联合，非法用户可构造的基本函数Gi，p的新集合是由第一叛徒的开始的p个基本函数{G1，1，G2，1，...，Gp，1}和第二叛徒的最后的r-p个基本函数{Gp+1，2，...，Gr，2}组成的。为抵抗所述叛徒身份的伪装企图，函数gi的数目r被选的足够大，以便在阶段54中基于对构造其基本函数Gi，j的集合的排列σj的一部分的识别，至少能够识别一个叛徒。例如，对于两个叛徒的联合，r被选的足够大，因此或者是基于开始的p个基本函数Gi，1，或者基于最后的r-p个基本函数Gi，2，至少能够识别其中的一个叛徒。
在上述方法中需要注意的是，相同的秘密数据，即与描述Fk，Fk，j相关联的密码函数被用于加密和解密，因此所述加密方法与对称加密算法具有相同性质。特别地，基于该性质，这里描述的方法要快于非称加密算法。
这里函数S，T，fi，j必须保持是秘密的，同时函数gi可以被任意公开。
在系统2中，只有一个同样的用于计算控制字CWa的函数被发送器4和解码器使用。因此该密码函数不需要是可逆的，这使得函数gi的选择和构造变得容易。然而作为变形，描述Fk对应于加密函数，描述Fkj对应于该加密函数的反函数。在该变形中，嵌入到系统的不同解码器中的不同描述Fkj相互间等价，并且与由描述Fk定义的函数的反函数等价。描述Fkj的所述构造是适合的，唯一区别是函数gi在该变量中必须可逆。在例如这种情况下，例如，描述Fk被直接用于加密内容Ba，同时等价描述Fk，j被直接用于解密被加密的内容CBa。
这里对应于描述Fk和Fkj的密码函数将编码为n个字符的初始消息转换为编码为相同数量字符的转换消息。相对于初始消息的大小，该密码函数不增加转换信息的大小，这与使用非对称函数的发现相反。作为变形，相对于初始消息的大小，密码函数增加了转换消息的大小。然而需要注意，在该变形中，该大小的增加与叛徒数目是无关的。
已经在特定的情况中描述了系统2，其中，描述Fkj与一个单独的解码器相关联。作为变形，一个相同的描述Fk，j与一组解码器相关联。在该变形中，系统2的所有解码器分为多个组，因此描述Fk，j不是标识特定的一个解码器，而是标识特定解码器所属的组。
权利要求
1.一种用于加密和/或解密由至少一个发送器向多个解码器广播的数据的可追踪方法，该方法使得能够在所述多个解码器的多个不同合法用户中识别叛徒，所述叛徒已将秘密数据发送给未授权的第三方，使得该第三方能够加密和/或解密由所述发送器广播的数据，其中在加密所述广播数据时，所述发送器使用至少一个第一秘密密码函数，以及在解密所述广播数据时，所有所述解码器使用至少一个同样的第二秘密密码函数，该第二秘密密码函数与所述第一函数或其反函数等同，为此，每个解码器依靠记录在存储器中的所述第二函数的数学描述，其特征在于，在使用所述第二函数时，每个解码器所依靠的该第二函数的所述数学描述在一个解码器与另一个解码器之间、或者在一组解码器与另一组解码器之间是不同的，因此被依靠的所述数学描述在所有所述解码器中唯一标识特定的解码器或者特定的解码器组。
2.如权利要求1所述的方法，其特征在于，所述第二密码函数能够处理非冗余数据。
3.如权利要求1或2所述的方法，其特征在于，记录在每个解码器的所述存储器中的所述数学描述(Fkj)是由多个基本函数(Gi，j)构成的，所述基本函数(Gi，j)必须以确定的顺序相互复合以构成所述第二秘密函数。
4.如权利要求3所述的方法，其特征在于，如同下列等式中的每一个一样，每个基本函数(Gi，j)等于至少三个函数的复合G1，j＝f′1，jogσj(1)oSG2，j＝f′2，jogσj(2)of1，j…………………………Gr-1，j＝f′r-1，jogσj(r-1)ofr-2，jGr，j＝Togσj(r)ofr-1，j其中Gi，j是解码器j的第i个基本函数，j是标识一个解码器或者一组解码器的索引，函数fi，j和f′i，j是预定的函数，能够使得所述基本函数Gi，j相互间不可交换的，σj是每个解码器或者每组解码器唯一具有的、所有索引{1；...；r}的排列，gσj(t)是由r个相互间可交换的非线性预定函数gi构成的预定整体的第σj(t)个函数，以及S和T是预定的函数，分别能够使得难于对基本函数G1，j和Gr，j进行密码分析。
5.如权利要求4或5所述的方法，其特征在于，每个函数f′i，j等于函数fi，j的反函数f1i，j。
6.如权利要求4或5所述的方法，其特征在于，所述函数fi，j是完成体(L)的元素的多元组的集合(Ln)在其自身上的线性函数。
7.如权利要求4至6中任何一项所述的方法，其特征在于，所述函数S和T是可逆的。
8.如权利要求4至7中任何一项所述的方法，其特征在于，所述函数S和T是完成体(L)的元素的多元组的集合(Ln)到其自身的线性函数。
9.如权利要求4至8中任何一项所述的方法，其特征在于所述函数gi被选定，因此每个基本函数Gi，j对应于多元加密算法的加密块。
10.如权利要求4至9中任何一项所述的方法，其特征在于，每个函数gi的形式为gi(a)＝aei，其中a是具有q个元素的基本体L的n次扩展L’的元素，并且ei是预定的指数。
11.如权利要求10所述的方法，其特征在于，所述指数ei的形式为1+qθ1+...+qθi+...+qθd-1，其中所述指数θ经i是预定的整数。
12.一种数据记录介质，其特征在于，其包括用于执行根据上述权利要求中的任何一项的可追踪加密和/或解密方法的指令，当由解码器执行这些指令时，执行根据上述权利要求中的任何一项的可追踪加密和/或解密方法。
13.一种数据记录介质，其特征在于，其包括用于执行根据上述权利要求1至10中的任何一项的可追踪加密和/或解密方法的指令，当由发送器执行这些指令时，执行根据上述权利要求1至10中的任何一项的可追踪加密和/或解密方法。
14.一种能够在不同合法用户中识别叛徒的可追踪系统，用于加密和/或解密广播数据，所述叛徒已将秘密数据发送给未授权的第三方，因此该第三方能够加密和/或解密所述广播数据，所述系统包括能够加密广播数据的发送器，该发送器能够使用至少一个第一秘密密码函数以直接处理消息，然后广播所述消息，能够解密广播数据的多个解码器，所有所述解码器能够使用与所述第一函数或其反函数等同的第二秘密密码函数，用于直接处理所述广播消息，用于此目的的每个解码器装备有存储器，所述第二函数的数学描述记录在所述存储器中；其特征在于，每个解码器的所述存储器包含所述第二函数的数学描述，该描述不同于记录在其他解码器的存储器中的描述，或者不同于记录在其他解码器组的存储器中的描述，因此该数学描述在所有所述解码器中唯一标识特定的解码器或特定的解码器组。
15.一种与根据权利要求13的可追踪数据加密和/或解密系统的解码器相关联的存储器，其特征在于，其包括能够由所述解码器使用的、与所述第二秘密函数等价的数学描述，该数学描述由多个基本函数(Gi，j)组成，所述基本函数(Gi，j)中的每一个都等于至少三个函数的复合，如同下列等式中的每一个一样G1，j＝f′1，jogσj(1)oSG2，j＝f′2，jogσj(2)of1，j…………………………Gr-1，j＝f′r-1，jogσj(r-1)ofr-2，jGr，j＝Togσj(r)ofr-1，j其中Gi，j是解码器j的第i个基本函数，j是标识一个解码器或者一组解码器的索引，函数fi，j和f′i，j是预定的函数，能够使得所述基本函数Gi，j相互间不可交换，σj是每个解码器或者每组解码器唯一具有的、所有索引{1；...；r}的排列，gσj(t)是由r个相互间可交换的非线性预定函数gi构成的预定整体的第σj(t)个函数，以及S和T是预定的函数，分别能够使得难于对基本函数Gl，j和Gr，j进行密码分析。
全文摘要
本发明涉及用于加密和/或解密由至少一个发送器向多个解码器广播的数据的非组合的可追踪方法，该方法不需要广播大量加密的报头，其中，在加密广播数据时，发送器执行(在86中)至少一个第一秘密函数，以将未加密的消息转换为加密消息；并且在解密所述广播数据时，所有解码器执行(在92中)至少一个共同的第二秘密函数，各个解码器使用其存储在存储器(21)中的第二函数的数学描述，所述第二函数的数学描述在各个解码器之间或在各组解码器之间是不同的，因此，所使用的数学描述唯一地标识特定的解码器或解码器组。
文档编号H04L9/30GK1836396SQ200480023523
公开日2006年9月20日 申请日期2004年6月2日 优先权日2003年6月17日
发明者大卫·阿迪蒂·莫迪亚诺, 奥利维耶·比耶, 亨利·吉尔贝 申请人:法国电讯