（通信與信息系統(tǒng)專業(yè)論文）叛徒追蹤技術(shù)研究.pdf

摘要 隨著數(shù)字技術(shù)和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，各種形式的多媒體數(shù)字作品( 圖象、 視頻、音頻等) 紛紛在各種類型的網(wǎng)絡(luò)中發(fā)布，其版權(quán)保護正成為一個需要迫切解 決的問題。在諸如付費電視系統(tǒng)、在線數(shù)掘庫訪問系統(tǒng)和c d 在線發(fā)布系統(tǒng)等加 密廣播業(yè)務(wù)中，數(shù)據(jù)供應(yīng)商d s ( d a t as u p p l i e r ) 經(jīng)常面臨兩種典型的威脅：共謀 密鑰攻擊和重放攻擊。通常，這兩種攻擊中的攻擊者被稱為叛徒( 叛逆者) 。叛徒 追蹤方案就是d s 為保護自己的合法權(quán)益( 版權(quán)或機密信息) ，用來追蹤及識別叛 徒的有效措施。 目前，對抗共謀密鑰攻擊的叛徒追蹤方案主要有對稱追蹤方案、非對稱追蹤 方案、門限追蹤方案：而對抗重放攻擊的叛徒追蹤方案主要有動態(tài)追蹤方案以及 連續(xù)追蹤方案等。本文從算法設(shè)計、密鑰方案和算法性能等方面研究與分析上述 叛徒追蹤方案，主要的工作成果是： 1 詳細(xì)介紹了對抗共謀密鑰攻擊的兩類叛徒追蹤方案：對稱叛徒追蹤方案和 非對稱叛徒追蹤方案，并且深入的分析了它們各自的性能。 2 詳細(xì)介紹了對抗非法重放攻擊的兩類叛徒追蹤方案：動態(tài)叛徒追蹤方案和 連續(xù)叛徒追蹤方案，并且深入的分析了它們各自的性能。 3 基于以上的工作，構(gòu)造了一種新的動態(tài)叛徒追蹤方案。該方案可以有效對 抗即時重放攻擊。通過引入一個均衡參數(shù)，該方案不僅可以動態(tài)的追蹤所有的叛 徒，而且可以動態(tài)的適應(yīng)于不同用戶容量的信息廣播系統(tǒng)。 關(guān)鍵詞：版權(quán)保護，叛徒追蹤，共謀密鑰攻擊，重放攻擊 a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to fd i g i t a lt e c h n o l o g ya l ln e t w o r kt e c h n o l o g y , a l lk i n d s o fm e d i ad a t a ( v i d e o ，m u s i c ，o rp h o t o s ) a r eo f t e nd i s t r i b u t e dt os u b s c r i b e r sb yt h e n e t w o r k s ，t h ec o p y f i g h tp r o t e c t i o no f w h i c hi sb e c o m i n ga ni m p o r t a n t p r o b l e m i nt h e e n c r y p t i o nb r o a d c a s ts y s t e m s ，s u c ha sp a yt vs y s t e m ，o n l i n ea c c e s st ot h ed a t a b a s e a n dc dd i s t r i b u t i o n s y s t e m ，d a t as u p p l i e r s o f t e nf a c et w o r e p r e s e n t a t i v e t h r e a t s ： c o l l u s i o nk e ya t t a c ka n di l l e g a lr e b r o a d c a s ta t t a c k ，t h ea t t a c k e r si nw h i c ha r eu s u a l l y c a l l e dt r a i t o r s t r a i t o rt r a c i n gs c h e m e sa l ee f f i c i e n tm e t h o d sf o rd a t as u p p l i e r st o p r o t e c tt h e i rc o p y r i g h t sa g a i n s tt h ea b o v e a t t a c k sa n d i d e n t i f yt h et r a i t o r s a t p r e s e n t ，t h e r ea l et h r e ek i n d so f t r a i t o rt r a c i n gs c h e m e sa g a i n s tc o l l u s i o nk e y a t t a c k ，w h i c ha l es y m m e t r i c a lt r a i t o rt r a c i n gs c h e m e sa n dd i s s y m m e t r i c a lt r a i t o rt r a c i n g s c h e m e s ；a n dt h e r ea l et w ok i n d so f t r a i t o rt r a c i n gs c h e m e sa g a i n s ti l l e g a lr e b r o a d c a s t a t t a c k ，w h i c ha l ed y n a m i ct r a i t o rt r a c i n gs c h e m e sa n ds e q u e n t i a lt r a i t o rt r a c i n gs c h e m e s i nt h i sp a p e r , w ew i l lr e s e a r c ht h et r a c i n ga l g o r i t h m ，k e ys c h e m ea n d p e r f o r m a n c e o f t h e a b o v et r a i t o rt r a c i n gs c h e m e si nd e p t h a n dt h em a i nr e s u l t sa l ea sf o l l o w s ： 1 d e s c r i b i n g t w ok i n d so ft r a i t o rt r a c i n gs c h e m e sa g a i n s tc o l l u s i o nk e ya t t a c ki n d e t a i la n d a n a l y z i n g t h e i rp e r f o r m a n c ei nd e p t h 2 d e s c r i b i n gt w ok i n d so ft r a i t o rt r a c i n gs c h e m e sa g a i n s ti l l e g a l r e b r o a d c a s t a t t a c ki nd e t a i la n da n a l y z i n gt h e i rp e r f o r m a n c ei nd e p t h 3 b a s e do nt h ea b o v e w o r k ，c o n s t r u c t i n ga n e ws c h e m eo f d y n a m i ct r a i t o rt r a c i n g ， w h i c hc a nc o m b a tw i t lt h ei m m e d i a t er e b r o a d c a s ta t t a c ke f f i c i e n t l ya n db ea p p l i c a b l et o t h eb r o a d c a s t s y s t e m s 、聃t h d i f f e r e n ts i z e so fs u b s c r i b e rs e t k e y w o r d s ：c o p y r i g h tp r o t e c t i o n t r a i t o rt r a c i n gc o l l u s i o nk e ya t t a c k i l l e g a lr e b r o a d c a s t a t t a c k 創(chuàng)新性聲明 本文聲明所呈交的論文是我個人在導(dǎo)師指導(dǎo)下所進行的研究工作及取得的研 究成果。盡我所知，除了文中特別加以標(biāo)注和致謝中所羅列的內(nèi)容以外，論文中 不包含其他人已經(jīng)發(fā)表或撰寫過的研究成果；也不包含為獲得西安電子科技大學(xué) 或其他教育機構(gòu)的學(xué)位或證書而使用過的材料。與我一同工作的同志對本研究所 做的任何貢獻(xiàn)均己在論文中作了明確地說明并表示了謝意。 赤。善杌 琴 本人簽名：! 二：i 二一 日期妒5 ，2 、巧 關(guān)于論文使用授權(quán)地說明 本人完全了解西安電子科技大學(xué)有關(guān)保留和使用學(xué)位論文的規(guī)定，即：研究 生在校攻讀學(xué)位期問論文工作的知識產(chǎn)權(quán)單位屬西安電子科技大學(xué)。本人保證畢 業(yè)離校后，發(fā)表論文或使用論文工作成果時署名單位仍為西安電子科技大學(xué)。學(xué) 校有權(quán)保留送交論文的復(fù)印件，可以允許查閱和借閱論文；學(xué)?？梢怨颊撐牡?全部或部分內(nèi)容，可以允許采用影印、縮印或其他復(fù)制手段保存論文。( 保密的論 文在解密后遵守此規(guī)定) 本人虢塾! 至 黧名：五撇 日期晦，2 、巧 同期州f ，死 第一章緒論 第一章緒論 本章首先簡單介紹了版權(quán)保護的重要| 生，版權(quán)保護所面臨的主要攻擊以及版權(quán)保護所采 用的主要技術(shù)：然后說明了叛徒追蹤技術(shù)在版權(quán)保護中的作用和叛徒追蹤技術(shù)的分類 1 1 版權(quán)保護 多媒體信息的數(shù)字化為多媒體信息的存取提供了極大的便利，同時也極大地 提高了信息表達(dá)的效率和準(zhǔn)確性。隨若因特網(wǎng)的日益普及，多媒體信息的交流己 達(dá)到了前所未有的深度和廣度，其發(fā)布形式也愈加豐富了。人們?nèi)缃褚部梢酝ㄟ^ 因特網(wǎng)發(fā)布自己的作品、熏要信息和進行網(wǎng)絡(luò)貿(mào)易等，但是隨之而出現(xiàn)的問題也 十分嚴(yán)重：如作品侵權(quán)更加容易，篡改也更加方便。因此如何既充分利用數(shù)字技 術(shù)和網(wǎng)絡(luò)技術(shù)的便利，又能有效的保護知識產(chǎn)權(quán)，已受到人們的高度重視?，F(xiàn)今 世界各大知名公司如m m 、n e c 、s o n y 、p h i l p s 等，都在加速數(shù)字版權(quán)保護技 術(shù)的研制和完善。微軟公司在2 0 0 3 年正式推出了耗資高達(dá)5 億美金的基于d r m ( d i g i t a lr i g h t sm a n a g e m e n t ) 數(shù)字版權(quán)管理技術(shù)的數(shù)字版權(quán)保護軟件，該軟件旨 在防止音樂c d 的非法復(fù)制。隨著各類數(shù)字產(chǎn)品日益豐富，版權(quán)保護技術(shù)將會呈 現(xiàn)出廣闊的應(yīng)用前景和誘人的商機。 1 1 。1 版權(quán)保護中的典型攻擊 數(shù)字產(chǎn)品主要有以下幾類：電子文檔、電子圖書、數(shù)字音樂、數(shù)字電影、數(shù) 字圖片、計算機軟件等。這些數(shù)字內(nèi)容在網(wǎng)上發(fā)布和傳播時，經(jīng)常會受到各種非 法攻擊。而這些攻擊通常也是由一些精通計算機技術(shù)、網(wǎng)絡(luò)技術(shù)以及密碼學(xué)技術(shù) 的電腦高手所發(fā)起，這也直接導(dǎo)致了對抗這些攻擊的技術(shù)難度和成本增加。版權(quán) 保護已經(jīng)成為所有的數(shù)字產(chǎn)品供應(yīng)商尤其是唱片公司和影視公司所面臨的迫切需 要解決的問題。概括來說，在版權(quán)保護領(lǐng)域，我們所面臨的攻擊可以分為以下幾 類：所有權(quán)侵犯、非法拷貝、內(nèi)容篡改、共謀密鑰攻擊和非法重放攻擊。 ( 1 ) 所有權(quán)侵犯：一些數(shù)字產(chǎn)品供應(yīng)商特別是圖片供應(yīng)商經(jīng)常會遇到版權(quán)糾 紛。而大部分版權(quán)糾紛事件多是由于某些非法分子實施所有權(quán)侵犯攻擊所引起的。 叛徒追蹤技術(shù)研究 對抗策略就是利用指紋技術(shù)將產(chǎn)品所有者的某些個人信息和產(chǎn)品的關(guān)鍵信息( 如 生產(chǎn)日期) 嵌入作品以標(biāo)識版權(quán)所有。 ( 2 ) 非法拷貝：在網(wǎng)絡(luò)技術(shù)高速發(fā)展的信息時代，數(shù)字電影與數(shù)字音樂供應(yīng) 商面臨的主要威脅就是非法拷貝及非法盜用。目前，對抗這種攻擊的主要技術(shù)就 是d r m 數(shù)字版權(quán)管理技術(shù)。微軟已推出成熟的d r m 商用軟件。 ( 4 ) 內(nèi)容篡改：當(dāng)數(shù)字作品被用于法庭、醫(yī)學(xué)、新聞及商業(yè)時，常常需要確 定它們的內(nèi)容是否被修改、偽造或特殊處理過。如果有人人為的處理數(shù)字作品， 使之與原始內(nèi)容相比較表現(xiàn)出非授權(quán)的差異性，我們就稱之為內(nèi)容篡改。對抗策 略就是預(yù)先利用水印技術(shù)對原始內(nèi)容作授權(quán)的篡改提示處理。 ( 5 ) 共謀密鑰攻擊：在加密廣播業(yè)務(wù)特別是數(shù)字付費電視中，解密盒的保護 是個關(guān)鍵性問題。一些不良付費用戶利用他們所擁有的鰓密盒中的個人密鑰，可 以通過共謀的方式生成新的非法解密盒，再轉(zhuǎn)賣獲利。目前，對抗這種攻擊的主 要技術(shù)就是本文所著重探討的叛徒追蹤技術(shù)，該技術(shù)的核心就是構(gòu)造合理的密鑰 方案來追蹤識別共謀集中的不良用戶。 ( 6 ) 非法重放攻擊：非法重放攻擊也是加密廣播業(yè)務(wù)所面臨的攻擊之一。在 這種攻擊中，一些不良付費用戶首先將所接收的內(nèi)容轉(zhuǎn)錄存儲，然后再出售給非 付費用戶以求獲利。對抗這種攻擊的主要技術(shù)也是本文所探討的叛徒追蹤技術(shù)， 該技術(shù)的核心是結(jié)合水印技術(shù)和指紋技術(shù)，構(gòu)造相應(yīng)的追蹤算法以追蹤識別共謀 集中的不良用戶。 1 1 2 版權(quán)保護所采用的主要技術(shù) 傳統(tǒng)的密碼學(xué)技術(shù)主要是研究如何將機密信息進行特殊的編碼，以形成不可 識別的密碼形式( 密文) 進行傳遞。通常，密碼學(xué)技術(shù)所提供的五大安全性業(yè)務(wù)： 保密性業(yè)務(wù)、完整性業(yè)務(wù)、認(rèn)證性業(yè)務(wù)、不可否認(rèn)業(yè)務(wù)和訪問控制業(yè)務(wù)，足以滿 足各種信息系統(tǒng)的安全性需求。但是在版權(quán)保護領(lǐng)域，數(shù)字產(chǎn)品供應(yīng)商通常還面 臨著機密信息在解密之后的保護問題，顯然，這一問題單純的依靠密碼學(xué)技術(shù)是 無法解決的。目前版權(quán)保護所采用的主要技術(shù)是由密碼學(xué)技術(shù)和信息隱藏技術(shù)( 水 印技術(shù)和指紋技術(shù)) 融合而形成的。 數(shù)字水印技術(shù)是一種有效的數(shù)字作品版權(quán)保護和數(shù)據(jù)安全維護技術(shù)，是信息 第一章緒論 隱減技術(shù)研究領(lǐng)域的一個重要分支。它將具有特定意義的標(biāo)記，即水印( 水印可 能是一張圖片、一段音樂或段視頻等) ，利用數(shù)字嵌入的方法隱藏在數(shù)字圖像、 聲音、文檔、圖書、視頻等數(shù)字作品中，用以證明創(chuàng)造者對其產(chǎn)品的所有權(quán)，并 作為鑒定、起訴非法侵權(quán)的證據(jù)，同時通過對水印的檢測和分析來保證數(shù)字信息 的完整可靠性，從而成為知識產(chǎn)權(quán)保護和數(shù)字多媒體防偽的有效手段。包含很多 圖像和數(shù)字音樂的因特網(wǎng)站是該應(yīng)用的推動力量，網(wǎng)站所含的這些圖像和音樂是 可隨意使用的，但是它們的所有者卻要保護它們。目前，用于版權(quán)保護的數(shù)字水 印技術(shù)已經(jīng)進入了初步實用化階段，i b m 公司在其“數(shù)字圖書館”軟件中就提供 了數(shù)字水印功能，a d o b e 公司也在其著名的p h o t o s h o p 軟件中集成了d i g i m a r e 公 司的數(shù)字水印插件。然而，目前市場上的數(shù)字水印產(chǎn)品在技術(shù)上還不成熟，容易 被破壞或破解，距離真正的實用還有很長的路要走。 數(shù)字指紋技術(shù)是監(jiān)控和跟蹤流通數(shù)據(jù)的非法拷貝的有效措施。指紋是一段類 似于軟件作品中序列號的識別碼，本質(zhì)上仍然是數(shù)字水印，通常被稱為數(shù)字指紋。 數(shù)字指紋主要用來識別數(shù)據(jù)的單個發(fā)行拷貝的，旨在承載合法接受者的信息而不 是數(shù)據(jù)來源者的信息。對于某些數(shù)字指紋應(yīng)用來說，它們要求指紋易于提取，具 有較低的復(fù)雜度以及很高的健壯性。而對數(shù)字指紋本身的要求是它們應(yīng)該滿足共 謀安全性。 叛徒追蹤技術(shù)是在水印技術(shù)和密碼學(xué)技術(shù)的基礎(chǔ)上衍生出來的一種新的版權(quán) 保護技術(shù)。該技術(shù)是對抗共謀密鑰攻擊和非法重放攻擊的主要技術(shù)。如果本來只 有一個授權(quán)用戶知道的某個秘密信息被其他非授權(quán)用戶知曉，那么我們可以很清 楚的知道就是該用戶私自泄漏他的秘密信息的。但是，我們通常還會面i 臨如下一 種情形：知道某個秘密信息的授權(quán)用戶有很多，而同時有一些非授權(quán)用戶也知曉 了該秘密信息。在這種情況下，如何識別泄漏秘密信息的授權(quán)用戶顯然是個比 較棘手的問題，這也是叛徒追蹤技術(shù)所要處理的問題。隨著網(wǎng)絡(luò)技術(shù)和計算機技 術(shù)的發(fā)展，付費電視，在線數(shù)據(jù)庫訪問以及在線c d 發(fā)布系統(tǒng)已經(jīng)變得越來越普 及。諸如這三種類型的系統(tǒng)通常被表述為加密廣播業(yè)務(wù)，叛徒追蹤技術(shù)在加密廣 播業(yè)務(wù)特別是付費電視中有著廣闊的商用前景。 叛徒追蹤技術(shù)研究 1 2 叛徒追蹤 叛徒追蹤技術(shù)是對抗版權(quán)保護中菇謀密鑰攻擊和非法重放攻擊的主要技術(shù)。 該技術(shù)最早由c h o r 等于1 9 9 4 年在【2 】提出，其主要目的是解決加密廣播業(yè)務(wù)中的 密鑰保護問題?；谠摷夹g(shù)，1 9 9 9 年，f i a t 與t a s s a 在 3 】中結(jié)合水印技術(shù)首次提 出了對抗重放攻擊的動態(tài)叛徒追蹤方案。目前，叛徒追蹤技術(shù)可以歸結(jié)為五類： 對稱叛徒追蹤技術(shù)，門限叛徒追蹤方案、非對稱叛徒追蹤方案、動態(tài)叛徒追蹤方 案和連續(xù)叛徒追蹤方案。 1 2 1 叛徒追蹤方案的分類 ( 1 ) 對抗共謀密鑰攻擊的叛徒追蹤方案 對抗加密廣播業(yè)務(wù)中共謀密鑰攻擊的叛徒追蹤方案主要有對稱叛徒追蹤方 案，非對稱叛徒追蹤方案和門限叛徒追蹤方案。1 9 9 4 年，根據(jù)a f i a t 等提出的加 密廣播中如何保護解密盒中密鑰的問題【1 】，b c h o r 等在【2 】中首次提出了叛徒追蹤 的概念，并在單向函數(shù)存在及大整數(shù)的素分解困難的密碼學(xué)假設(shè)的基礎(chǔ)上，構(gòu)造 了幾種對稱叛徒追蹤方案；1 9 9 8 年，m n a o r 等在【5 】中構(gòu)造了門限叛徒追蹤方案 ( 該方案基于對稱追蹤方案，本文將不作詳細(xì)介紹，可參看 5 ) ；同年，k k u r o s a w a 等在【1 1 】中基于線性空間碼構(gòu)造了非對稱叛徒追蹤方案。1 9 9 9 年，d b o n e h 等在 【l o 】中構(gòu)造了改進的非對稱叛徒追蹤方案。這些方案都可以對抗上限為k ( k 為叛 徒數(shù)目) 的共謀密鑰攻擊并可以追蹤識別至少一個叛徒。 ( 2 ) 對抗重放攻擊的叛徒追蹤方案 對抗加密廣播業(yè)務(wù)中重放攻擊的叛徒追蹤方案主要類型有動態(tài)叛徒追蹤方案 和連續(xù)叛徒追蹤方案。1 9 9 9 年，通過在系統(tǒng)中引入實時反饋信道，并利用水印技 術(shù)，a ，f i a t 等在 3 中首次提出了對抗重放攻擊的動態(tài)叛徒追蹤方案。2 0 0 0 年，基 于動態(tài)叛徒追蹤方案，r s a f a v i - n a i n i 等在 4 】中提出了對抗即時和延遲重放攻擊的 連續(xù)追蹤方案。這些方案的目的是追蹤識別所有參與重放攻擊的叛徒。 1 2 2 叛徒追蹤方案的功能 為了有效的對抗共謀密鑰攻擊和非法重放攻擊，一個叛徒追蹤方案必須具備 第一牽緒論 以下四個功能： 能夠迅速的追蹤并且識別大規(guī)模盜版的源頭，e 口叛徒； 數(shù)據(jù)供應(yīng)商能夠輕松的解除叛徒的合法解密能力； 在追蹤叛徒的時候，該方案應(yīng)對守法的授權(quán)用戶沒有傷害。也就是追蹤 算法不能把守法用戶誤判為叛徒，或錯誤地鰓除了守法用戶的解密能力； 如果涉及法律訴訟，追蹤方案應(yīng)該能提供法律意義上的證據(jù)來證實叛徒的 侵權(quán)行為： 當(dāng)我們構(gòu)造應(yīng)用層面的叛徒追蹤方案時，我們還必須考慮以下三個問題： 對于授權(quán)用戶來說，必須考慮用戶端的實時計算能力和存儲能力。尤其是 在諸如智能卡等用戶端資源受限的應(yīng)用中，這個問題就會顯得更加重要； 對于數(shù)據(jù)供應(yīng)商d s 來說，也必須考慮系統(tǒng)端的計算能力和存儲能力。由 于數(shù)據(jù)供應(yīng)商可以進行線下計算而且有足夠的存儲空間，所以系統(tǒng)端的計算能力 和存儲能力通常能夠滿足要求。 對于加密廣播和在線數(shù)據(jù)庫業(yè)務(wù)來說，必須考慮數(shù)據(jù)冗余量對于傳輸帶寬 的影響；而對于c d 發(fā)行業(yè)務(wù)來說，過多的冗余數(shù)據(jù)會大幅增加發(fā)行商的發(fā)行費 用。 1 2 3 叛徒追蹤技術(shù)的應(yīng)用 目前，叛徒追蹤技術(shù)主要在付費電視系統(tǒng)、在線數(shù)據(jù)庫訪問系統(tǒng)和c d 發(fā)行 系統(tǒng)中有著廣泛的應(yīng)用。在付費電視系統(tǒng)和在線數(shù)據(jù)庫訪問系統(tǒng)中，數(shù)據(jù)供應(yīng)商 要同時面臨共謀密鑰和重放兩種攻擊；在小規(guī)模c d 發(fā)行系統(tǒng)中，數(shù)據(jù)供應(yīng)商需 要同時對抗共謀攻擊和重放攻擊；而在大規(guī)模c d 發(fā)行系統(tǒng)中，數(shù)據(jù)供應(yīng)商則主 要對抗重放攻擊。 在付費電視系統(tǒng)中，授權(quán)用戶會從廣播中心得到一個配置有個人密鑰的解密 盒，通過這個解密盒來解密接收到的加密信息。制造非法的解密盒就是叛徒合謀 攻擊的主要目的，而廣播中心也是通過構(gòu)造合理的個人密鑰來實現(xiàn)追蹤識別至少 一個叛徒。對抗共謀密鑰攻擊的叛徒追蹤方案都適用于付費電視系統(tǒng)。 在在線數(shù)據(jù)庫訪問系統(tǒng)中，授權(quán)用戶會從服務(wù)器端得到一個個人訪問密鑰， 通過該個人密鑰來訪問系統(tǒng)數(shù)據(jù)庫的資源。合謀生成新的訪問密鑰就是叛徒攻擊 叛徒追蹤技術(shù)研究 的主要目的，所以數(shù)據(jù)供應(yīng)商必須構(gòu)造合理的密鑰方案來防范這種攻擊，一旦攻 擊發(fā)生，也可以通過追蹤算法追蹤識別叛徒。對于構(gòu)造叛徒追蹤方案的數(shù)據(jù)供應(yīng) 商來說，付費電視系統(tǒng)解密盒中的個人密鑰和在線數(shù)據(jù)庫訪問系統(tǒng)中的訪問控制 密鑰并無區(qū)別。所以適用于付費電視系統(tǒng)的叛徒追蹤方案也適用于在線數(shù)據(jù)庫訪 問系統(tǒng)。 在付費電視和在線數(shù)據(jù)庫訪問系統(tǒng)中，不良授權(quán)用戶還會存儲重放敏感信息 給非授權(quán)用戶以求獲利。這時，數(shù)據(jù)供應(yīng)商就需要采用對抗重放攻擊的追蹤方案。 在c d 發(fā)行系統(tǒng)中，通常來說通過密鑰的保護方式并不顯得很有商用前景。 因為如果裝有同樣內(nèi)容的c d 差異太大的話，那么就無法實現(xiàn)生產(chǎn)線大規(guī)模復(fù)制 模式的商業(yè)應(yīng)用，所以通過密鑰控制訪問c d 來實現(xiàn)安全需求的方式只能適用于 c d 發(fā)行量不大的情況，而對于那些太規(guī)模發(fā)行的c d 比如說唱片c d ，數(shù)據(jù)供應(yīng) 商應(yīng)該考慮的是對抗重放攻擊。 1 3 本文的內(nèi)容安排 加密廣播業(yè)務(wù)在諸如付費電視、在線數(shù)據(jù)庫訪問系統(tǒng)和在線c d 發(fā)布系統(tǒng)中 正日益得到廣泛的應(yīng)用。針對加密廣播業(yè)務(wù)中兩種典型攻擊：共謀密鑰攻擊和非 法重放攻擊，叛徒追蹤技術(shù)也越來越受到各國信息安全專家的廣泛關(guān)注。本文對 當(dāng)今主要叛徒追蹤方案的基本原理及其性能作了詳細(xì)分析，并在此基礎(chǔ)上構(gòu)造了 一種新的對抗非法重放攻擊的動態(tài)叛徒追蹤方案，同時對該方案性能作了深入分 析。 在第二章里，我們介紹了對抗共謀密鑰攻擊的兩類叛徒追蹤方案：對稱叛徒 追蹤方案和非對稱叛徒追蹤方案。首先我們給出了這兩類方案的通用模型，然后 分類描述了對稱叛徒追蹤方案和非對稱叛徒追蹤方案的構(gòu)造過程，對它們的性能 作了詳細(xì)分析，并具體說明了它們的優(yōu)缺點。 在第三章里，我們介紹了對抗非法重放攻擊的兩類叛徒追蹤方寨：動態(tài)叛徒 追蹤方案和連續(xù)叛徒追蹤方案。同樣，首先我們給出了這兩類叛徒追蹤方案各自 的系統(tǒng)模型，然后分類描述了動態(tài)叛徒追蹤方案和連續(xù)叛徒追蹤的構(gòu)造過程，并 對它們的性能作了詳細(xì)分析，并具體說明了它們的優(yōu)缺點。 在第四章里，根據(jù)動態(tài)叛徒追蹤方案的系統(tǒng)模型，并利用逐級尋址技術(shù)，我 第一章緒論 們構(gòu)造了一種新的動態(tài)叛徒追蹤方案。該方案一個顯著優(yōu)點是對系統(tǒng)容量沒有限 制，并引入了一個均衡參數(shù)來平衡追蹤有效性和系統(tǒng)帶寬要求這一對性能參數(shù)。 最后，結(jié)束語中對全文的研究工作進行了總結(jié)，并對叛徒追蹤技術(shù)的應(yīng)用研 究前景進行了展望。 叛徒追蹤技術(shù)研究 第二章對抗共謀密鑰攻擊的叛徒追蹤方案 本章介紹了兩類對抗共謀密鑰攻擊的叛徒追蹤方案：對稱叛徒追蹤方案和j # 對稱叛徒追 蹤方案我們首先給出了追蹤方案的通用系統(tǒng)模型，然后分類描述了這些方案的密鑰方案、 加密方案及追蹤算法，并對它們的性能作了詳細(xì)分析最后，就如何構(gòu)造更優(yōu)性能的對稱叛 徒追蹤方案給出了一些建議 2 1 通用系統(tǒng)模型n ，2 】 加密廣播的安全性主要體現(xiàn)在兩個方面：一方面保證被授權(quán)用戶組中所有用 戶獲得信息解密密鑰，解密所接收的廣播信息，而未授權(quán)用戶( 未付費用戶) 無 法獲得解密密鑰，不能解密廣播信息：另一方面，保證對用戶組的動態(tài)管理，當(dāng) 被授權(quán)組用戶發(fā)生動態(tài)變更時，新加入用戶可以得到解密密鑰，被撤銷用戶不能 得到解密密鑰。為了能滿足這種安全需求，同時，保證有效的追蹤識別共謀非法 解密盒的叛徒，我們可以采用以下的方法。 數(shù)據(jù)供應(yīng)商d s 首先生成個空間大小為n 的基本密鑰集，然后隨機的在其 中取i n 個密鑰作為一個授權(quán)用戶的個人密鑰p ( u ) ( 這m 個密鑰通常被放置在解 密盒中作為解密子密鑰) 。當(dāng)廣播信息時，數(shù)據(jù)供應(yīng)商所廣播的信息分組由兩部分 組成，即授權(quán)分組e b 與密文分組c b 。其中，密文分組c b 是明文信息分組在一 個隨機信息主密鑰m k 下通過對稱加密方式所生成的密文組；而授權(quán)分組e b 是 隨機信息主密鑰m k 在基本密鑰集中所有密鑰通過對稱加密方式所生成的授權(quán) 組。這樣，授權(quán)用戶首先利用個人密鑰p ( u ) 解密授權(quán)分組e b 中r r l 個相應(yīng)的信息 塊獲得信息主密鑰m k ，然后通過主密鑰m k 解密密文分組即可獲取所廣播的明 文信息。 我們在圖2 1 中給出了加密廣播業(yè)務(wù)所采用的系統(tǒng)模型，并在圖2 2 中給出了利用 解密盒解密廣播信息的流程圖。 第二章對抗共謀密鑰攻擊的叛徒追蹤方案 圖2 1 加密廣播業(yè)務(wù)的通用系統(tǒng)模型 圖2 2 授權(quán)用戶解密盒工作流程圖 如果授權(quán)用戶組中出現(xiàn)叛徒，并利用他們所掌握的來自系統(tǒng)基本密鑰集中的 多個個人密鑰合謀構(gòu)造一個非法解密盒，那么擁有這個解密盒的非授權(quán)用戶就可 以不付任何費用接收并解密所廣播的信息。叛徒追蹤方案的任務(wù)就是在獲得這個 非法解密盒的前提下，提取其中的非法個人密鑰，并通過這個非法密鑰來找出合 謀構(gòu)造非法解密盒的叛徒集合中的至少一個叛徒。以下所述的對稱方案和非對稱 叛徒追蹤技術(shù)研究 方案都可以完成這個任務(wù)。這兩類叛徒追蹤方案均有四個組成部分： ( 1 ) 用戶初始化方案 用戶初始化方案又稱密鑰方案，是數(shù)據(jù)供應(yīng)商用來向付費用戶發(fā)布個人密鑰 的方案。密鑰方案必須保證：新的付費用戶加入系統(tǒng)獲取個人密鑰后，基于密鑰 方案的追蹤算法應(yīng)該依然有效。通常情況下，設(shè)計密鑰方案時，個人密鑰所形成 的密鑰空間應(yīng)該預(yù)先設(shè)定的足夠大，這樣就不用調(diào)整追蹤算法。 ( 2 ) 加密方案 加密方案用于系統(tǒng)發(fā)布信息的。加密方案通常保證兩點業(yè)務(wù)性要求：一是滿 足保密性要求，即非付費用戶無法解密信息：二是靈活性要求，即系統(tǒng)可以靈活 的向全部付費用戶或任意部分付費用戶發(fā)布任何信息，滿足該要求可以實現(xiàn)分級 控制功能，不同級別的付費用戶只能解密一定范圍內(nèi)的加密信息。 ( 3 ) 解密方案 解密方案用于付費用戶解密信息。解密方案由兩個步驟組成，首先由個人密 鑰解密授權(quán)分組來獲取主密鑰，然后由主密鑰來解密密文分組來獲取廣播中心所 傳播的明文。 ( 4 ) 追蹤算法 追蹤算法用于追蹤識別叛徒。一旦有非法解密盒被捕獲，數(shù)據(jù)供應(yīng)商首先通 過黑盒測試的方法得到非法個人密鑰，然后啟動追蹤算法來追蹤識別至少一個叛 徒。黑盒測試方法可以在不打開解密盒的基礎(chǔ)上獲取非法個人密鑰，前提是該非 法個人密鑰也是有效密鑰，即能夠解密接收到的廣播加密信息。 2 2 對稱叛徒追蹤方案 】9 9 4 年，c h o r 、f i a t 和n a o r 首次提出了叛徒追蹤概念【2 ，并基于上述系統(tǒng) 模型構(gòu)造了多個對稱叛徒追蹤方案：一級開放追蹤方案、二級開放追蹤方案、一 級秘密追蹤方案和二級秘密追蹤方案。在_ 丌放方案中，系統(tǒng)假定付費用戶解密方 案和個人密鑰在基本密鑰集中的位置分布是公開的，用戶個人密鑰是唯一需要保 密的；在秘密方案中，系統(tǒng)假定付費用戶解密方案、個人密鑰在基本密鑰集中的 位置分布和用戶個人密鑰三者都是保密的。對于叛徒來說，開放方案相對于秘密 方案有著更便利的攻擊條件；也就是說，對于數(shù)據(jù)供應(yīng)商而言，構(gòu)造開放方案需 第二豪對抗共謀密銅攻擊的叛徒追蹤方案 要更多的系統(tǒng)開銷。 假設(shè)系統(tǒng)付費用戶為n ，系統(tǒng)叛徒數(shù)目的上限為k ，如果以個人密鑰存儲復(fù)雜 度、授權(quán)分組e b 冗余復(fù)雜度和解密盒計算復(fù)雜度作為性能參數(shù)，那么這四個不 同的追蹤方案的性能綜合比較如表2 1 所示。 方案類型個人密鑰授權(quán)分組e b個人解密盒 存儲復(fù)雜度冗余復(fù)雜度計算復(fù)雜度 一級開放 o ( k 2l o g ”)o ( k 4l o g n )o ( k 2l o g 以) 追蹤方案 二級開放 追蹤方案 o ( k 2l 0 9 2k l o g ( n o ( k 3l 0 9 4k l o g ( n k ) )o ( k 2l 0 9 2k l o g ( n k ) ) 一級秘密 o ( k l o g ( n p ) )o ( k 2l o g ( n p ) )o ( k l o g ( n p ) ) 追蹤方案 二級秘密 追蹤方案 d ( 1 0 9 ( 以p ) l o g ( 1 。d ( 尼l o g ( ，? p ) 1 0 9 ( 1 p ) )o ( 1 0 9 ( n p ) l o g ( 1 p ) ) 表2 1 四個對稱追蹤方案的性能比較( p 為秘密方案追蹤算法失效的概率) 在這四類方案中，二級方案在性能上優(yōu)于一級方案，但是秘密方案是否優(yōu)于 開放方案，將依賴于秘密方案中追蹤算法無法正確識別一個叛徒的概率p 。通常 來說，秘密方案有著比開放方案更好的性能表現(xiàn)。由于這四個對稱方案的構(gòu)造思 想完全一致，所以限于篇幅，我們將首先簡要描述k = 1 的開放追蹤方案以便于理 解，然后詳細(xì)描述一級開放追蹤方案的構(gòu)造及其追蹤有效性。由于構(gòu)造思想大體 上一致，所以其它幾種方案不作詳細(xì)描述，可參看文獻(xiàn)2 】。 2 2 1 簡單的一級開放追蹤方案2 i ( 1 ) 密鑰方案 數(shù)據(jù)供應(yīng)商生成基本密鑰集b 囂= 口? ，口f ，吒o ，越，柚虹0 。，口。) 。付費用戶u 獲 取個人密鑰p o ) = 矽，考，) ，其中6 i 島島。，( 龜 o ，1 ) ) 可以視作付費用戶 個人密鑰標(biāo)識號i d 。 ( 2 ) 加密方案 當(dāng)系統(tǒng)需要廣播信息m 時，數(shù)據(jù)供應(yīng)商可以任意選取一個秘密s 作為密文分 組加密主密鑰m k ，其中s 滿足： 叛徒追蹤技術(shù)研究 s = s l0s 2 0 0s i 式( 2 1 ) 每個s ，( 1 s f l o g n ) 在對應(yīng)的密鑰a o ，口 下生成兩個不同的密文塊e ( s ，日? ) 和 e ( t ，日? ) 作為授權(quán)分組e b 的組成部分( e o 表示授權(quán)加密算法，后面用到的d ( ) 表示授權(quán)解密算法) ，這樣e b 所含的密文塊總數(shù)就為2 l o g n 。而密文分組由信息 m 在主密鑰s 下加密生成，即c b = e ( m ，j ) ，( e 0 表示密文分組加密算法，d ( ) 表示密文分組解密算法) 。 ( 3 ) 解密方案 付費用戶u 可以通過解密盒解密系統(tǒng)廣播的信息m ?；玖鞒淌怯脩魎 首先 利用個人密鑰p 白) = f 計，孝，忐i o g n 。 解密e b 中對應(yīng)的l o g n 個分組獲取所有的 q = d ( e ( s ，口? ) ，d ? ) ，計算密文分組主密鑰s = q oj ：o os 哳，然后利用s 解 密密文分組c b 獲取信息r a = d ( c b ，s ) 。 ( 4 ) 追蹤算法 假設(shè)該系統(tǒng)n 個用戶中有一個叛徒t 并制作非法解密盒。如果該解密盒能夠 正確解密系統(tǒng)廣播信息，那么該解密盒中的個人密鑰必定與叛徒t 的個人密鑰p ( t ) 相同，否則非法解密盒將無法正常工作。一旦該解密盒被數(shù)據(jù)供應(yīng)商獲得，那么 依據(jù)黑盒測試方法數(shù)據(jù)供應(yīng)商就可以在不用物理破壞解密盒的基礎(chǔ)上獲取p ( o ， 并依據(jù)p ( t ) 特別是p ( t ) 對應(yīng)的個人密鑰標(biāo)識號= 6 l 6 2 西來識別叛徒t 。 顯然，該方案在k 2 的情形下就會顯得無能為力，即如果多個叛徒合謀生成 一個新的非法解密盒，那么即使系統(tǒng)挾取解密盒并得到對應(yīng)的密鑰i d 標(biāo)識號， 也無法判斷誰是叛徒。 2 2 2 開放一級叛徒追蹤方案2 由于h a s h 函數(shù)具有良好的單向性，所以c h o r 、f i a t 和n a o r 在構(gòu)造追蹤方案 時把h a s h 函數(shù)作為了基本工具。假定系統(tǒng)用戶數(shù)量為n ，叛徒數(shù)目為k 。 ( 1 ) 密鑰方案 數(shù)據(jù)供應(yīng)商隨機選擇l 個h a s h 函數(shù)構(gòu)成一個集合h s = ，魄， ，其中每 第二章對抗共謀密鑰攻擊的叛徒追蹤方案 1 3 個h a s h 函數(shù)都能完成如下的映射要求： l ，2 ，”) k 1 2 ，2 k ： 式( 2 2 ) 利用h s ，數(shù)據(jù)供應(yīng)商可以生成如表2 2 矩陣形式的基本密鑰集： a 1 ， ( 1 ) a 1 ， ( 2 )氣， ( 仃) “2 , h 2 ( 1 )a 2 ，吃( 2 )4 2 , h 2 ( n ) d 厶h ( 1 ) h l ( 2 )h a r t ) 表2 2 開放一級追蹤方案的密鑰方案 由于魚具有性質(zhì)： l ，2 ，h k l 2 ，2 k 2 ，( 2 k ： 竹) ，所以上述基本密鑰 集可以改寫為如下形式 a 1 ia z ，2口l m z a 2 ，l q2 呸。： a l 3 口l 2 a t , , 2 k z 表2 3 開放一級追蹤方案的簡化密鑰方案 基本密鑰集陣列的每一行可視為一個行向量4 = a i q 2 ，a i ：。： ，則密鑰集 b k s = 4 ，4 ，a l ) 7 。付費用戶u 可從數(shù)據(jù)供應(yīng)商獲取個人密鑰 p ( “) 2 魄例，a 2 ，嚏( 。) ，a l ，垃( “) ) 式( 2 3 ) ，即在基本密鑰集陣列的每一行爿，取一個子密鑰。 ( 2 ) 加密方案 當(dāng)系統(tǒng)需要廣播信息m 時，數(shù)據(jù)供應(yīng)商可以任意選取一個秘密s 作為密文分 組加密主密鑰m k ，其中s 滿足：s = 0s 2 0 0 屯。其中每個j ：( 1 s i 三) 在對 應(yīng)的密鑰。叫，q 一，a 。：下生成2 女2 個不同的密文塊 叛徒追蹤技術(shù)研究 e ( 置，q ，) ，e ( s ，o 啦) ，e ( s ，d 。：) 作為授權(quán)分組e b 的組成部分( e o 表示授權(quán)加密 算法，后面用到的d ( ) 表示授權(quán)解密算法) ，這樣e b 所含的密文塊總數(shù)就為2 k 2 l 。 而密文分組由信息m 在主密鑰s 下加密生成，即c b = f ( m ，j ) ，( e 0 表示密文分 組加密算法，d ( ) 表示密文分組解密算法) 。 ( 3 ) 解密方案 付費用戶u 可以通過解密盒解密系統(tǒng)廣播的信息m ?；玖鞒淌怯脩魎 首先 利用個人密鑰j d ) = a l ， ( 。) ，龜，島( 。) ，一a l ，吃( 。) ) 解密e b 中對應(yīng)的l 個分組獲取 所有的j 。= d ( e ( s i ，0 i ( 。) ) ，口f ( 。) ) ，計算密文分組主密鑰s = os 20 0s ，然后 利用s 解密密文分組c b 獲取信息m = d ( c b ，5 ) 。 ( 4 ) 追蹤算法 假設(shè)該系統(tǒng)n 個用戶中至多k 個叛徒制作非法解密盒。一旦供應(yīng)商捕獲某個 非法解密盒，那么利用黑盒測試方法就可以起獲該解密盒中的個人密鑰集f 。如 果該解密盒可以正常工作，那么f 中至少包含l 個子密鑰，并且每一個 4 = q ”口j 2 ，q ：。：) 中至少有個密鑰包含于f 。追蹤識別過程如下： ( a ) 設(shè)4 n ，= 口j 巾) ，系統(tǒng)利用某種方法標(biāo)識出個人密鑰p ( u ) 中含有q “，) 的 那些用戶； ( b ) 對于每一個a ，( 1 f 上) ，系統(tǒng)重復(fù)上述標(biāo)識過程； ( c ) 判定：在l 次標(biāo)識過程中，被標(biāo)識次數(shù)最多的用戶就被判定為叛徒； ( 5 ) 方案安全性 如果一個守法用戶在上述追蹤算法中誤判為叛徒的概率足夠的小，那么我們 就可以認(rèn)為該方案是足夠安全的。對l 取一個適當(dāng)?shù)闹担涂梢宰阋越档驼`判概 率。 出于系統(tǒng)中共有k 個叛徒，假設(shè)每個叛徒都參與解密盒的密鑰共誤，則平均 意義上來說，每個叛徒至少貢獻(xiàn)l k 個有效個人密鑰。換句話說，如果一個守法 用戶在追蹤算法標(biāo)識過程中被標(biāo)識l k 次的概率足夠小，那么該用戶被誤判為叛 徒的極率也就足夠的小。 考慮一個特定的守法用戶，比如說用戶1 ，和一個特殊的k 叛徒共謀集。由 第二章對抗共謀密鑰攻擊的叛徒追蹤方案 于一( 1 ) 在4 = a i ”q 2 ，q 。z ) 滿足均勻分布，而且共謀叛徒集至多在 4 = “，q 。，d i , 2 k 2 ) 中貢獻(xiàn)k 個不同的密鑰，所以在4 中，用戶1 所屬的個人密 鑰也屬于共謀叛徒集t 在4 中的子密鑰集的概率p 嘉七= 瓦1 。取置表示一個 ( o ，1 ) 分布的隨機分量，滿足： 一= 磚 m ，u ) 2 囊( 1 ) “r 式( 2 4 ) e l s e ，則 g 匹一l 置) 2 轟 式( 2 5 ) 如果用戶l 被標(biāo)識的次數(shù)小于l k ，即匕墨 導(dǎo)，那么用戶1 就不可能被 誤判為叛徒。由c h e m o f f 界定理 啦她勵 ( 甜 北柳 知：用戶1 被誤判為叛徒的概率為 p r 扭置獅 4 k 2 l o g n 個h a s h 函數(shù)，那么所構(gòu)造的 級開放追蹤方案就是可證安全的。 2 2 3 二級追蹤方案 利用迭代思想，我們就可以構(gòu)造相應(yīng)的二級開放或二級秘密方案。即將密文 分組加密密鑰s 進步化解為 s = o 是o o 屯= ( o 生q ，) e ( e l o 。j 2 ，) o o ( o 名5 。)式( 2 培) ，引入二級h a s h 函數(shù)集儺l = 啊，吃 ，h s 2 = 石，厶 即可構(gòu)造二級方案。此 處不再詳述，詳細(xì)方案可參見【2 。 叛徒追蹤技術(shù)研究 2 3 非對稱叛徒追蹤方案 8 , 9 a 0 1 1 9 9 8 年，k k u r o s a w a 等在 9 中基于線性空間碼構(gòu)造了非對稱叛徒追蹤方案； 1 9 9 9 年，d b o n e h 等在 1 0 中構(gòu)造了改進的非對稱叛徒追蹤方案。文獻(xiàn) 8 給出了 一種綜合性的非對稱追蹤方案。相對于對稱追蹤方案，非對稱叛徒追蹤方案具有 以下三個特殊的性質(zhì)： ( 1 ) 直接不可否認(rèn)性，即無需用戶參與的情況下，供應(yīng)商可以有足夠的證據(jù) 向仲裁者證明被起訴用戶的盜版行為，這一點在現(xiàn)實生活中是非常重要的： ( 2 ) 防誣陷性，包括供應(yīng)商在內(nèi)的任何人或任意多共謀者都無法誣陷一名守 法用戶： ( 3 ) 解密密鑰的撤銷和恢復(fù)，供應(yīng)商可以隨時撤銷和恢復(fù)謀個叛徒的解密密 鑰，且不影響其他用戶。 2 3 1 方案描述 ( 1 ) 系統(tǒng)參數(shù) 設(shè)p 是大素數(shù)，q 為p - 1 的一個大素數(shù)因子，且g 刀十z + l ，g 是g f ( p ) 中的 q 次單位元根， 為g 生成的g f ( p ) 中的個子群。同時，文中的參與者在p , q 和g 上達(dá)到一致，所有的算術(shù)運算( 除特殊說明) 都是在有限域g f ( p ) 中。 ( 2 ) 不經(jīng)意多項式估值 不經(jīng)意多項式計算協(xié)議又稱o p e 協(xié)議，由n a o r 和p i n k a s 首次提出。在該協(xié) 議中，一方b o b 知道一個多項式p ，另一方a l i c e 想計算p ( a ) ，執(zhí)行中b o b 對a 一無所知且a l i c e 也無法獲得任何關(guān)于多項式p 的信息( 除了p ( a ) ) 。這里先簡要 地介紹一下該協(xié)議。b o b 選取一個隨機二元多項式q ( x ，y ) ，且q ( 0 ，y ) = p ( y ) 。a l i c e 選取一元隨機多項式s ( x ) rs ( 0 ) = a 。a l i c e 地計劃是在不透露s ( x ) 的情況下插值 構(gòu)造一元多項式r ( x ) - q ( x ，s ( x ) ) ，來獲得r ) q ( o ，s ( o ) ) _ p ( s ( o 爐p ( a ) 。不妨令r ( x ) 為z 次多項式，當(dāng)a l i c e 擁有r ( x ) 上z + 1 個點后，她就能插值構(gòu)造r ( x ) ，最終獲 得r ( o ) = p ( a ) 。而r ( x ) 上z + 1 個點的獲取可按下面的方法完成：a l i c e 構(gòu)造一個隨 機的序列對( 一。，y ，j ) ( f = o ，：；- ，= i ，腳) ，其中對于每個j ，都有一對( 一，s ( x g ) ， 第二章對抗共謀密鑰攻擊的叛徒追蹤方案 將所有的( t 。，y i 。) 發(fā)送給b o b 。b 0 b 計算所有的q ( t 。，m ，) 并將結(jié)果發(fā)送給a 1 i c e 。 a l i c e 應(yīng)用i t i 選1 的不經(jīng)意傳輸協(xié)議 1 1 提取他所需的值。在獲得z + 1 個r ( 五) 后，a l i c e 就能插值構(gòu)造r ( x ) 來獲得r ( 0 ) = p ( a ) 。整個o p e 協(xié)議構(gòu)造是基于噪聲多 項式插值問題，而破解噪聲多項式重構(gòu)問題是一個n p c 問題。o p e 協(xié)議將用于 密鑰方案。 ( 3 ) 密鑰方案 數(shù)據(jù)供應(yīng)商d s 在乙上秘密選取一個一元隨機的多項式 廠( x ) = a 。+ a l x + + a z x 。作為密鑰生成函數(shù)，該多項式一經(jīng)選定便在隨后過程不 再更改。d s 再計算一個用于對解密密鑰的驗證公開鑰e = ( p ，g ，g “，g 鄺1 ，g f ( z ) ， 并將其公開。 為了使d s 能以非對稱的方式分發(fā)用戶的解密密鑰，用戶i 與d s 之間應(yīng)用 o p e 協(xié)議計算七f = ，( j t ) ，與j 七l 一起作為用戶的解密密鑰一= ( s 七，廠( s k , ) ) ，其中 s t 為公鑰基礎(chǔ)設(shè)施中用戶i 的秘密鑰。這樣確保了d s 無法獲知用戶的秘密鑰曉， 同時用戶i 也無法得到任何關(guān)于f ( x ) 的信息。 在假定所有的通信信道為安全的情況下，o p e 協(xié)議為： 用戶i 發(fā)送定購單f 哪，s i g n s t , ( t e x t , ) ，i 的公開鑰礎(chǔ)( p 置= g 礬) 及p r o o f ( s k i ) 給 d s ，其中8 i g n x k ，0 定義為i 應(yīng)用s k i 的數(shù)字簽名函數(shù)，p r o o f ( s k , ) 為用戶的秘密 鑰j t 的零知識證明。p r o o f ( s 島) 的產(chǎn)生過程為：a ) 隨機選取，乙；b ) 計 算h = h ( g | | g l i 眺) 和v 2 = r v 。咄，其中，h 0 為單向h a s h 函數(shù)。這樣( v 1 ，v 2 ) 為用戶的秘密鑰魂的零知識證明，d s 可