CN101268652B

CN101268652B - 可更新的背叛者跟踪

Info

Publication number: CN101268652B
Application number: CN2006800341137A
Authority: CN
Inventors: J·B·劳特斯皮奇; S·I·宁; 金红霞
Original assignee: International Business Machines Corp
Current assignee: International Business Machines Corp
Priority date: 2005-09-19
Filing date: 2006-09-11
Publication date: 2011-12-21
Anticipated expiration: 2026-09-11
Also published as: US9520993B2; ES2327273T3; US20070067244A1; ATE432560T1; EP1927213B1; IL190211A; BRPI0617419A2; DE602006007019D1; JP2009509371A; US20170063558A1; IL190211A0; EP1927213A1; BRPI0617419B1; CA2623182A1; US11108569B2; WO2007039411A1; CA2623182C; CN101268652A

Abstract

在广播加密系统中可更新地防止背叛者再使用被泄露密钥的系统、方法和计算机程序产品。优选地，许可机构在制造时将一组序列密钥分配给各个接收机，并将序列密钥块(SKB)分配给要分发的受保护内容文件。文件可以在预记录的介质上分发并且典型地包括几个文件修改。文件盗版中特定的修改可以帮助识别哪些背叛者进行了其盗窃行为。不能利用前一内容盗版中所采用的泄露的密钥有效处理分配给在背叛者被识别之后分发的新文件的SKB。碰巧与背叛者拥有相同的泄露密钥的清白接收机可以使用来自该组的未泄露的替代序列密钥以有效地解密内容。背叛者将逐个尝试所有其序列密钥而不能得到起作用的一个。

Description

可更新的背叛者跟踪

技术领域

本发明涉及防止广播加密系统中数字内容的盗版，且更具体地，涉及跟踪可能勾结以再分发这种内容和/或相关的解密密钥的背叛者，并且涉及可更新地取消被泄漏的密钥以防止其在获得对内容未授权访问中的进一步使用。

背景技术

数据从模拟格式到数字格式的普遍转换已经使涉及受保护内容的未授权复制和再分发问题加剧。可以不费力地制作内容的无瑕疵副本并通过因特网或者在物理介质上分发。这种盗版对于内容提供者而言是主要关切的问题和费用支出；为此，已经组成了诸如4C Entity(<www.4centity.com>)和AACSLA(<www.aacsla.com>)等工业联盟。这些团体是提供分别以可记录介质的内容保护(CPRM)和高级访问内容系统(AACS)为基础的内容保护工具的许可机构。CPRM是由包括IBM、Intel、Matsushita和Toshiba的4C小组开发并许可的技术，其允许用户制作商业娱乐内容的已授权副本，其中这种内容的版权持有者已经决定对其进行保护而免受未授权的复制。AACS是由包括IBM、Intel、Matsushita、Toshiba、Sony、Microsoft、WarnerBrothers和Disney的组为了同一目的而开发的后继技术。

CPRM和AACS保护的文件通过密钥加密，该密钥对于在文件的原始存储介质(诸如DVD或者CD-ROM等)上的介质识别符是特定的，因此，将该内容简单地复制到另一个存储介质上不会破坏保护。CPRM还将介质密钥块(MKB)添加至介质。MKB是包含很多密钥的文件。为每个单独的遵从设备分配一组允许该设备从MKB获得介质密钥的唯一的设备密钥，然后将其与介质识别符和其他值相结合以推导出用于解密受保护内容的密钥。CPRM和AACS技术的细节在PCT专利公开号WO02/060116、WO02/060118、以及美国专利申请号2002-0106087、2002-0114471、2002-0104001和2004-011611中被公开，并且也可以从4C和AACS中获得。

根本地，AACS保护取决于设备密钥与基于树的介质密钥块之间的交互，它允许对泄密设备进行无限制的、精确的密码取消而没有附带损坏清白设备的危险。由于AACS系统的固有取消能力，攻击者有可能放弃建立产品副本或者非遵从设备而致力于进行攻击，在这种情况下他们试图隐藏下层泄密设备。这些攻击对于攻击者而言是更为昂贵的且在法律上也更加危险，因为这些攻击要求攻击者逐个实例地拥有提供内容密钥或者内容本身的活动服务器。

除了传统的CD-ROM和DVD，廉价、大容量硬盘的出现已经使一种针对数字内容管理的新型家庭用户设备成为可能。电影租赁盒从一些廉价的数据源，通常是广播源(基于陆地的或者基于卫星的)接收数字电影。将这些电影存储在硬盘上，以便该硬盘在任何时候都包含例如租赁市场中上百部最热门的电影。用户选择并播放特定的电影，且该电影租赁盒周期性地呼叫清算中心并报告用户的内容使用情况以便开制账单；电影租赁盒也可以在此呼叫过程中获得新的解密密钥。

对这些新设备最为严重的攻击可能是所谓的“匿名”攻击，其中用户或者用户群从已经装备的合法电影租赁盒购买租赁电影，以便通常是通过因特网能够捕获并再分发受保护内容和/或解密密钥。这种攻击是正在研究内容保护技术的电影制片厂最为紧迫的事。解决该问题的一个方案是针对每个授权的电影租赁盒为每个电影不同地压制水印和不同地加密，因此如果电影被盗版，水印和加密信息就会唯一地识别泄密的盒子。但是，因为需要过多的计算工作和传输带宽来准备并传送被个别对待的电影，这种解决方案并不可行。只有当电影能够通过广播信道分发时，即当每个接收机同时获得基本相同的数据时，该分发系统才是经济的。

在本技术域中被称为“背叛者跟踪”的方法可以用于解决这一问题。在这种方法的一个特定的实例中，在广播每个电影文件之前都要增加其原始版本。特别地，实际广播的文件至少有一个关键的文件段被一组段变化所取代。每个文件段变化被不同地加密，且优选地，加密之前也不同地被压制水印，尽管也可以对整个文件压制水印。为了收看，一个段中的所有变化都相同(尽管以数字方式不同)。优选地，给予特定的接收机密码密钥以解密每个段中仅一个变化。所有具有有效解密密钥的合法的接收机都能够播放该内容，但是可能要通过不同的段组合。如果该接收机被泄密且用于非法地重新广播密钥或者段本身，就有可能推断出哪个接收机或者哪些接收机已经被泄露。

背叛者跟踪方法至今未在实践中广泛应用，因为由于所需段或者变化的数量，先前的实现在广播中需要不合理的带宽量。然而，题为“Method for Tracing Traitors and Preventing Piracy of DigitalContent in a Broadcast Encryption System”的已公开美国专利申请US 2004-011611教导了一种打击盗版并使得能在广播加密系统中识别和取消泄密接收机、但无需过多传输带宽的分发受保护内容的方法。

概括起来，无论是处理DVD还是机顶盒或是其他的分发手段，背叛者跟踪方案有两个基本的步骤：将密钥分配给接收机设备以启用跟踪，然后识别背叛者以对其进行取消。致力于这两个步骤的有效背叛者跟踪技术使许可机构能够更加迅速地识别背叛者并防止即使是由较大的勾结背叛者团体制作的盗版。

然而，已经识别了背叛者并取消特定的被泄露密钥或密钥组后会发生什么？现有技术对于单个跟踪和取消的结果未做出记载。如果背叛者重复攻击且另外的内容被盗版，和/或新的密钥或者密钥组被泄漏怎么办？需要一种允许清白接收机设备仍能计算所需的正确密码答案以允许内容被使用、同时又阻止背叛者设备获得这种答案的系统。

发明内容

本发明采用序列密钥和序列密钥块(SKB)扩展了广播加密和背叛者跟踪方面的先前工作。优选地，许可机构(license agency)将来自密钥矩阵的序列密钥分配给各个回放设备。许可机构还以与用于CPRM系统的MKB(介质密钥块)相似的方式分配将要在预记录介质上使用的SKB。任何遵从的设备都能够处理SKB且获取正确的解密密钥并正确地访问内容。在优选的实施例中，对SKB的成功处理使设备能够适当地使用分配给它的变化组。当背叛者设备被识别且其序列密钥组将被取消时，形成新的SKB并在新的介质上分发。

如果设备没有泄露的序列密钥，它通过计算正确的解密密钥(优选是针对其被分配的变化)以直截了当的方式解密新介质上的受保护内容。如果设备有泄露的(compromised)序列密钥，就不使用那个密钥，而是选择和使用来自组的另一个序列密钥(在优选的实施例中，是链表中的下一密钥)，如果此序列密钥尚未被泄露的话。如果它也已被泄露，则选择该组中另一个可用密钥等。这样，就给清白设备多个机会找到未被取消的序列密钥以成功地解密受保护内容。该方法提供了序列密钥的可更新性(renewability)。

由许可机构形成(formulate)新密钥确保，当已被识别为背叛者的特定设备试图播放新介质上的内容时，那些设备中的所有序列密钥都被认为是被泄露的。这样，背叛者设备就会逐步尝试所有其序列密钥，但不能找到一个可以成功解密受保护内容的序列密钥。

可以借助可能包括计算机网络、卫星网络、有线网络、电视传输和物理存储介质的分发手段的广播加密系统利用本发明。文件可以包括任何种类的数字数据序列，包括但不局限于文本、音频、图像、视频、音乐、电影、多媒体表示、操作系统、视频游戏、软件应用程序和密码密钥(cryptographic key)。

附图说明

图1为修改的分发文件的现有技术图；

图2为本发明优选实施例的基本操作的流程图；

图3为根据本发明的优选实施例的序列密钥块(SKB)的图；

图4为根据本发明的实施例的现时记录格式的图；

图5为根据本发明的实施例的计算变体数据记录格式的图；

图6为根据本发明的实施例的有条件地计算变体数据记录格式的图；以及

图7为根据本发明的实施例序列密钥块记录格式的结尾的图。

具体实施方式

现在参看图1，该图示出修改的或扩充的分发文件100的现有技术图。已公开的题目为“Method for Tracing Traitors and PreventingPiracy of Digital Content in a Broadcast Encryption System”的美国专利申请US 2004-011611详细地描述了该文件。扩充文件100是实际将被广播的原始文件的修改版本。扩充文件100包括取代关键文件段的文件变化组。例如，第一关键文件段已经由变化102、104、106和108取代，而第二关键文件段已经由变化110、112、114和116取代等。每个文件段变化仅仅是已经被不同地压制水印并不同地加密的特定对应关键文件段的副本。典型地，在广播加密系统中，每个整个文件也要被压制水印并加密。在本申请中，为了清楚起见，每个文件段变化由文本标志(例如A、B、C…等)识别，但实际上，通常利用二进制数达到这一目的。

优选采用的关键文件段的数量和文件段变化的数量取决于文件的属性及其观众。对于电影，可以选择单个关键文件段并拥有几百个文件段变化；然而，攻击者可能只是选择在该文件的盗印副本中省略该单个关键文件段，期待着观看者不会认为这种小故障令人过分讨厌。对任何观看者而言，具有大概15个丢失的关键的5秒钟画面的盗印电影都可能非常令人讨厌以至于不具备任何商业价值。因此，非法广播的电影基本上都是被破坏的，或者攻击者必须合并他们的某些文件段变化，这将有助于背叛者跟踪。

广播的每个预期的接收机需要变化选择信息来为每个文件选择文件段变化的特定组合。就电影租赁盒情形而言，针对每个电影，每个电影租赁盒都必须知道将哪组变化插入在原始电影中存在的关键画面处的间隔。所示扩充文件100内未修改的文件内容和文件段变化的特定排列不是关键的而仅仅是直观示例。

变化(variation)便于以商业上可行(即低带宽开销)的方式进行背叛者跟踪。比方说，如果在因特网上发现了文件的盗版，广播者和/或内容创建者(例如，版权所有者)渴望知道用于创建盗版的特定一个或者多个电影租赁盒的身份。广播者和/或内容创建者可以对犯罪者提起诉讼程序，而且必定会拒绝将新的解密密钥发送给泄密的盒子以防止未来的盗窃行为。如果将文件段变化的不同组合分配给不同的盒子使用，对盗版文件的分析就能够帮助确定哪些盒子被用作匿名攻击的一部分。

如果文件的再分发版本中所有的文件段变化与只分配给一个电影租赁盒的文件段变化的组合相匹配，现有系统通常就会将那个盒子识别为再分配文件的源。然而，攻击者正变得日益老练并且可能选择使用若干盒子通过共谋来制作文件的盗版，其中每个盒子都贡献一些信息或内容，当积累了足够的这种信息或者内容以后，就使用它们来制作非法的副本。

现在参看图2，该图示出本发明优选实施例的基本操作的流程图。由许可机构形成当前SKB确保当已经被识别为背叛者的特定设备试图播放新介质上的内容时，那些设备中所有的序列密钥都被认为是被泄露的。如果可以，攻击者宁可使用已经被泄露序列密钥，以便许可机构无法推断出新的适于法庭的信息。所以，重要的是被泄露的密钥对于攻击者不再可用。问题是有成千上万可能拥有单个被泄露密钥的设备。因此，取消单个密钥是不切实际的。

另一方面，由于没有两个设备拥有大量相同的密钥，即使系统已经被严重攻击且相当一部分序列密钥被泄露，所有的清白设备也将拥有其中具有未泄露密钥的许多列。因而有可能取消泄露密钥的组而不是单个密钥。序列密钥块的目的在于给予所有清白设备它们可以用来计算正确答案的列，而同时防止背叛者设备(它们有在所有列中的泄露密钥)获得同样的答案。在SKB中，实际上有许多正确的答案，文件内容中的每个变化一个。然而为了便于解释，设想单个SKB产生被称为输出密钥的单个答案是有帮助的。但是，本发明并不局限于这种情况。

步骤200中，本发明确定选中的序列密钥是否已经被泄露。在优选的实施例中，从指定接收机的密钥序列的链表的开始到其结束，每次一个地检验序列密钥，尽管本发明并不局限于这种情况。如果选中的序列密钥未被泄露，则认为该播放器不是背叛的并进行至步骤202，像经授权的设备通常要做的那样有效地解密受保护内容，且本发明结束。然而，如果被选择的序列密钥已经被泄露，则需要进一步的处理以确定该设备是背叛的还是只是碰巧与已经被识别并预先被取消的背叛者拥有相同序列密钥的清白接收机。如果认为该设备是背叛的，其所有的序列密钥都要被取消且因此被SKB当前识别为被泄露的。所以，背叛的接收机将尝试其所有可用的序列密钥，但找不到有效的一个。

因此，在优选实施例的步骤204中，本发明检验以了解是否已经到达了序列密钥列表的结尾(更为普遍地，本发明检验以了解是否没有来自被分配组的另外的可用序列密钥)。如果是，则步骤208中，根据当前的SKB该接收机为背叛的，且受保护内容不被有效解密，本发明结束。然而，如果列表中存在另外的序列密钥，则本发明进行至步骤206，在优选的实施例中，选中的序列密钥被认为是链接密钥并用于获得序列密钥链表中的下一序列密钥。将该下一序列密钥选为取代被泄露序列密钥的候选者，且本发明返回至步骤200检验其是否已经被泄露。(注意在通常的情况下，本发明能够以任何顺序，甚至是随机地从一组可用序列密钥中选择取代已泄露序列密钥的候选者)。因此，碰巧与被识别的背叛者拥有相同序列密钥的清白接收机不会立即被认为是背叛的，而是被允许使用更新或者替换有效序列密钥。

许可机构将来自密钥矩阵的序列密钥组分配给各个设备。许可机构将产生组织在大矩阵中的序列密钥。优选地，该矩阵有256列和至多65,536行。矩阵中的每个单元为不同的序列密钥。单个接收机设备的每列中有一个密钥。因此，在该实例中，每个设备拥有256个序列密钥。在这方面，序列密钥有点类似于CPRM技术的介质密钥。

许可机构分配序列密钥块以便其与受保护文件一起使用。序列密钥块与CPRM介质密钥块类似，但是存在着由于使用不同的密码(优选地是AES而不是C2)和只考虑可以用来对付序列密钥列表的特定攻击而导致的重要不同之处。然而，和MKB不同，优选地，SKB不是内容的基础密码保护的一部分。AACS的基础保护是介质密钥。在本发明的优选实施例中，SKB只允许不同的设备计算介质密钥的不同变体。

现在参看图3，该图示出根据本发明的优选实施例的序列密钥块(SKB)。SKB从被称为“无条件”列的第一列300开始。该列在每个未泄露的序列密钥(为了精确，它在从序列密钥得出的密钥而不是在序列密钥本身中加密)中都会对输出密钥302(图中标记为“K”)加密。不具有该列中的被泄露密钥的设备立即解密输出密钥，且它们已经完成了。而具有被泄露密钥的清白或非法设备则优选地都解密允许它们处理SKB中另一列的密钥(被称为链接密钥304)。为了处理另一列，这种设备需要那一列中的链接密钥和它们的序列密钥。因此，后续列被称为“有条件”列，因为只有当已经将前一列中必要的链接密钥给予该设备，该设备才能处理这些列。

以与第一列大致相同的方式产生有条件列，即它们将对每个未被泄露的序列密钥中的输出密钥加密。具有被泄露密钥的设备将获得另一个链接密钥304而不是输出密钥。然而，在若干列(取决于被泄露密钥的实际数量)之后，许可机构会知道只有泄密设备正在获取链接密钥，因为所有清白设备都将找到在这一列或者前一列中的输出密钥。在这一点上，机构仅仅是加密0(项306)而不是加密链接密钥，且SKB是完整的。

设备如何知道它们拥有与输出密钥302相对的链接密钥304？简短的回答是它们不知道，至少起初不知道。优选地，每个有条件列都有针对该列在链接密钥304中加密的已知数据的头部308(例如，通常使用十六进制值DEADBEEF)。设备通过其当前拥有的密钥解密头部308。如果头部308正确解密，则该设备知道其拥有链接密钥304并对该列进行处理。如果头部308没有正确解密，则该设备知道其拥有针对另一列的输出密钥302或者链接密钥304。当它到达SKB的结尾时，它知道它必须拥有输出密钥302。注意该设备逻辑通过使从单个列输出一个以上的链接密钥304而允许许可机构将不同的设备群体(population)发送到不同的列。例如，在该图中，列(1)与列(2)和列(5)链接。这种灵活性可以帮助抵抗某些类型的攻击。

对序列密钥列表的特殊考虑由以下攻击情况引起。假设组成包括一个被识别并被取消的背叛者以及至少一个未被取消的其他接收机的黑客联盟。在当前的SKB上使用已知背叛者的第一序列密钥，且因为那个序列密钥被泄露而产生链接密钥304。然后，本发明移动至SKB中的下一列并试图确定其是否正在处理仅仅是碰巧与背叛者拥有相同的被泄露密钥的清白接收机。然而，不是使用已知背叛者的下一序列密钥(这将导致又一链接密钥304并最终到达0)，该联盟现在还使用其他未被取消的接收机的序列密钥以及来自前一列的链接密钥304。在这种攻击和相关变体中，存在着该联盟以混淆对所有背叛者的后续跟踪的方式来欺骗系统并获得对受保护内容访问的可能性。为了预防这种情况，优选地，将从中产生SKB的密钥矩阵细分为足够小的子群体，以允许确定性地识别包括被识别、被取消的背叛者和尚未被特定SKB识别和取消的新的“变节者”的联盟中的所有背叛者。用于这种情况中的所有的背叛者跟踪方案都在本发明的保护范围之内。同样地，也采用SKB细分和群体管理来抵抗如下情形，即：其中没有通过以任何特定顺序尝试一组序列密钥来选择候选序列密钥。

尽管上面已经将本发明描述为产生单个能够访问受保护内容的正确的密码答案，在更普遍的情况下，并不是只有单个输出密钥，而是有多个被称为变体数据的输出密钥。下面描述利用序列密钥计算介质密钥变体数据。

在制造时就将一组秘密的序列密钥给予每个能够播放预先记录的内容的遵从AACS的设备。这些序列密钥是除了设备密钥之外所有AACS设备需要的。这些序列密钥由许可机构提供并用于处理序列密钥块。计算的结果是随后与来自介质密钥块的介质密钥相结合以产生介质密钥变体的变体数据。密钥组可以是每个设备唯一的，也可以是多个设备公用的。

在优选的实施例中，每个设备接收256个被称为K_{s_i} (i＝0，1，…，255)的64比特的序列密钥。对于每个序列密钥都有分别称为C_{s_i}和R_{s_i}(i＝0，1，…，n-1)的关联的列和行值。列和行值从0开始。对于给定的设备，没有两个序列密钥拥有相同的关联的列值(换言之，设备每列至多有一个序列密钥)。设备可能有若干具有相同关联的行值的序列密钥。

设备利用序列密钥K_{s_i}和介质密钥K_m计算介质序列密钥Km_{s_i} 如下：

K_ms＝AES_G(K_m，K_{s_i}‖0000000000000000₁₆)

AES为美国加密标准，美国政府采用块密码(block cipher)作为加密标准。在国家标准技术研究所(NIST)2001年11月26日的FIPS出版物197的“Advanced Encryption Standard”(AES)中，以及国家标准技术研究所(NIST)2001版的NIST特别出版物800-38A的“Recommendation for block cipher Modes of Operation-Methodsand Techniques”中详细地描述了AES。请参阅AES通用的书“Advanced Access content System：Introduction and Commoncryptographic Elements”。

AES_G是用AES密码定义的单向函数。将基于AES的单向函数结果计算为：

AES_G(x₁，x₂)＝AES_128D(x₁，x₂)XOR x₂

其中XOR为按位异或函数。在AES通用书的2.1.3节中详细说明了AES_G。

AES_ECBD为电子代码本模式中的AES解密函数(AES电子代码本解密)。在该模式中，密码将每个128比特的密文块视为要独立于任何在前面到达或者任何在后面到达的词而被解密的词，就好像在代码本中查找它那样。当以这种方式使用密码时，对密文的一个块的改变只影响该块的解密。将此与密码块链接模式中的AES对比，在密码块链接模式中，每个密文块都与解密前一个块时所计算的值相结合以便解密它。当在密码块链接模式中操作密码(cipher)时，对密文的任何块的改变都会影响该链中所有后续块的解密。在AES通用书的2.1.1节中详细说明了AES_ECBD(称为AES_128D(k，d))。

因此，序列密钥所起的作用与CPRM中设备密钥的作用相似，即设备不是直接使用其序列密钥解密，而是如上所述首先将序列密钥与介质密钥相结合。这就意味着给定的SKB与给定的MKB关联(因为SKB取决于介质密钥以作出正确处理)。如AACS许可协定中所定义，设备优选地将其序列密钥视为高度机密的，且将它们关联的行值视为机密的。

SKB由许可机构产生并允许所有遵从的设备(每个均利用其秘密的序列密钥和介质密钥组)计算变体数据D_v，而该变体数据又允许它们计算介质密钥变体。如果一组序列密钥以威胁系统完整性的方式被泄露，可以发布使具有被泄露的序列密钥组的设备计算无效变体数据的更新SKB。这样，泄露的序列密钥被新的SKB“取消”。

将SKB格式化为一连串连续的记录。每个记录开始于1字节的记录类型字段，后面是3字节的记录长度字段。记录类型字段值指明记录的类型，而记录长度字段值指示该记录中的字节数，包括记录类型字段和记录长度字段本身。记录长度始终为4字节的倍数。记录类型字段和记录长度字段从不被加密。取决于记录类型，可以加密记录中后续字段。

设备利用其序列密钥，通过按照顺序从开始到最后逐一处理 SKB的记录来计算D_v。除了明确表示不需要的情况，设备必须处理SKB的每个记录。该设备不准做出任何关于记录长度的假设，而必须使用记录长度字段值从一个记录进行至下一记录。如果设备遇到带有它不认可的记录类型字段值的记录，它就会忽略该记录并跳到下一记录。对于某些记录，处理会导致D_v值的计算。对随后记录的处理可以更新以前计算的D_v值。在完成SKB的处理之后，该设备将最近计算的D_v值用作D_v的最终值。

如果设备利用被SKB取消的序列密钥正确地处理该SKB，则得到的最终值D_v就有特殊值0000000000000000₁₆。该特殊值永远不会是SKB正确的最终D_v值，因此它始终可以被视为表示设备的序列密钥被取消。这种情况下的设备行为由特定的实现定义。例如，设备可以向服务技术人员显示作为有用信息的特殊的诊断代码。

本申请的剩余部分详细描述了包括可能由AACS许可机构所遵循的各种格式的本发明特定的实现。然而，本发明并不局限于该特定的实现。

现在参看图4，该图示出根据本发明实施例的现时记录(NonceRecord)格式。现时数X用于以下所述的变体数据计算。在SKB中，现时记录将始终在计算变体数据记录和有条件计算变体数据记录之前，尽管它可能不是紧接在它们之前。

现在参看图5，该图示出根据本发明实施例的计算变体数据记录格式。适当地格式化的SKB恰好有一个计算变体数据记录。设备必须忽略SKB中在第一个之后所遇到的任何计算变体数据记录。保留字段的用途为当前未定义的，且它们被忽略。生成字段将为第一个生成包含0001₁₆。如下所述，列字段为与该记录一起使用的序列密钥指明关联的列值。字节20和更高的字节包括加密的密钥数据(后面可能跟着一些在该记录结尾的填充字节，图5中未示出)。加密的密钥数据的开始10个字节对应于序列密钥行0，接下来的10个字节对应于序列密钥行1等。

在处理记录之前，设备检验以下条件是否为真：

生成＝＝000001₁₆

以及

对于某个i，该设备拥有的序列密钥具有关联列值C_{d_i}＝＝列。

如果这些条件中的任何一个为假，则该设备忽略记录的其余部分。

否则，该设备利用来自上述条件的值i、来自现时记录的值X以及r＝R_{d_i}、c＝C_{d_i}计算：

D_v＝[AES_G(K_{ms_i}，X XOR f(c，r))]_{msb_80}XOR D_{ke_r}

其中K_{ms_i}为设备＝第si个介质序列密钥＝s值，且D_{ke_r}为从记录＝s加密密钥数据内的字节偏移r×10开始的80比特的数据。f(c，r)表示128比特的值。

f(c，r)＝0000₁₆‖c‖0000₁₆‖r‖0000000000000000₁₆

其中根据需要通过将零值的比特预先考虑到每个中来将c和r左填充到长度16比特。得到的D_v变为当前的变体数据值。

第一生成设备不必检验记录长度是足够索引到加密的密钥数据中。向第一生成设备保证加密的密钥数据包含与其设备密钥的关联行值对应的值。

现在参看图6，该图示出根据本发明实施例的有条件计算变体数据记录格式。适当地格式化的SKB可以拥有0个或者更多有条件计算介质密钥记录。该记录的字节4到19包含加密的有条件数据(D_ce)。如下所述，如果成功解密，字节4到7包含值DEADBEEF₁₆，字节8-9包含针对要与该记录一起使用的设备密钥的关联的列值，且字节10-11包含针对第一生成的生成值0001₁₆。字节20和更高的字节包含双重加密的变体数据(后面可能跟着一些在该记录结尾的填充字节，图6中未示出)。双重加密的密钥数据的开始10个字节对应于序列密钥行0，接下来的10个字节对应于序列密钥行1等。

在遇到有条件计算变体数据记录时，设备首先计算其当前的介质密钥变体，如下：

K_mv＝AES_G(K_m，D_v‖0000000000000₁₆)

其中D_v为其从前一计算变体数据记录或有条件计算变体数据记录计算的当前的变体数据。

该设备利用其当前的K_mv值计算有条件数据(D_c)为：

D_c＝AES_ECBD(K_mv，D_ce)

在继续处理该记录之前，设备检验下列所有条件为真：

[D_c]_{msb_32}＝＝DEADBEEF₁₆

以及

[D_c]_79:64＝＝0001₁₆

以及

对于某个i，该设备具有的序列密钥有关联的列值C_{d_i}＝＝[D_c]_95:80 。

否则，该设备利用来自以上条件的值i、来自现时记录的X、设备＝s当前变体数据D_v以及r＝R_{d_i}、c＝C_{d_i}计算：

D_v＝[AES_G(K_{ms_i}，X XOR f(c，r))XOR D_v]_{msb_80}XOR D_{kde_r}

其中D_{kde_r}为从该记录的双重加密密钥数据内的字节偏移r×10开始的80比特值，f(c，r)表示128比特的值。

f(c，r)＝0000₁₆‖c‖0000₁₆‖r‖0000000000000000₁₆

其中根据需要通过将零值的比特预先考虑到每个中来将c和r左填充到长度16比特。得到的D_v变为当前的变体数据值。该记录始终为4字节的倍数；如果必要，将填充字节加在结尾。

现在参看图7，该图示出根据本发明实施例的序列密钥块记录格式的结尾。适当地格式化的SKB包含序列密钥块记录的结尾。当设备遇到该记录时就停止对SKB的处理，利用它到目前已经计算的任何D_v值作为那个SKB的最终D_v。

序列密钥块记录的结尾包含序列密钥块内的数据(一直到该记录，但是并不包括该记录)的许可机构签名。设备可以忽略签名数据。然而，如果任何设备检验签名并确定该签名并未校验或者被省略，它必须拒绝使用变体数据。该记录的长度始终为4字节的倍数。

关于从变体数据计算介质密钥变体，当设备已经完成对SKB的处理时并且如果它尚未被取消，则它将具有80比特的有效变体数据D_v。设备从变体数据计算介质密钥变体如下：

K_mv＝AES_G(K_m，D_v||000000000000₁₆)

另外，变体数据的低位10比特识别由设备用于播放内容的从0到1023的变体编号。该编号通常指示设备应该用来解密内容的特定标题密钥文件，尽管该变体编号的含义和用途是格式特定的。

根据此处的发明性的步骤对通用计算机编程。本发明也可以具体化为由数字处理设备用于执行本逻辑的制造物——机器构件。本发明在使数字处理设备执行此处的发明性方法步骤的关键的机器构件中实现。本发明可以由计算机内部的处理器所执行的计算机程序具体化为一连串计算机可执行的指令。这些指令可以驻留于，例如计算机的RAM中或者计算机的硬驱动器或光驱动器上，这些指令也可以存储在DASD阵列、磁带、电子只读存储器或者其他的适当的数据存储设备上。

Claims

1.一种防止广播加密系统中泄露密钥的再使用的方法，包括：

(a)将由许可机构产生并为各个接收机分配的一组特定的序列密钥合并到相应接收机内；

(b)由所述许可机构将由所述许可机构产生的序列密钥块SKB分配给至少一个分发的受保护文件；

(c)由所述各个接收机进行递增密码测试以确定从所分配的序列密钥中选择的序列密钥是否被泄露；

(d1)如果所选择的序列密钥未被泄露，则作为响应，利用所选择的序列密钥处理所述序列密钥块SKB以产生使得能够访问受保护内容的正确的密码答案，从而有效地解密所述文件并结束所述方法；

(d2)如果所选择的序列密钥被泄露，则作为响应确定来自所述组的后续序列密钥是否可用；

(e1)如果后续序列密钥可用，则选择该后续序列密钥并返回步骤(c)；以及

(e2)如果后续序列密钥不可用，则所述方法结束，而未能有效地解密所述文件。

2.如权利要求1所述的方法，其中所述序列密钥选择所述文件中一组特定的变化。

3.如权利要求1所述的方法，其中所述文件包括至少下列之一的数字形式：密码密钥、多媒体表示、以及软件应用。

4.如权利要求1所述的方法，其中所述文件包括至少下列之一的数字形式：文本、音频、图像、以及视频。

5.如权利要求1所述的方法，其中所述文件包括至少下列之一的数字形式：操作系统、视频游戏、以及根据内部代码字选择段的播放指令。

6.如权利要求1所述的方法，其中所述文件通过至少下列之一进行分发：计算机网络、卫星网络、有线网络、电视传输以及物理存储介质。

7.如权利要求1所述的方法，其中形成所述SKB，从而以密码方式取消特定的接收机。

8.如权利要求1所述的方法，其中所述组包括链表。

9.如权利要求1所述的方法，其中所述测试进一步包括以密码方式应用所选择的序列密钥以及随后对SKB可用的链接密钥，以获取指示所选择的序列密钥是否被泄露的预定值。

10.如权利要求9所述的方法，其中如果选中的序列密钥被泄露，产生导致所述后续序列密钥的链接密钥。

11.一种防止广播加密系统中泄露密钥的再使用的系统，包括：

用于将由许可机构产生并为各个接收机分配的一组特定的序列密钥合并到相应接收机内的装置；

用于由所述许可机构将由所述许可机构产生的序列密钥块SKB分配给至少一个分发的受保护文件的装置；

用于由所述各个接收机进行递增密码测试以确定从所分配的序列密钥中选择的序列密钥是否被泄露的装置；

用于如果所选择的序列密钥未被泄露，则作为响应，利用所选择的序列密钥处理所述序列密钥块SKB以产生使得能够访问受保护内容的正确的密码答案，从而有效地解密所述文件并结束所述方法的装置；

如果所选择的序列密钥被泄露，用于作为响应确定来自所述组的后续序列密钥是否可用的装置；

如果后续序列密钥可用，用于选择该后续序列密钥并返回测试的装置；以及

如果后续序列密钥不可用，用于结束操作、而未能有效地解密所述文件的装置。

12.一种防止广播加密系统中泄露密钥的再使用的系统，包括：

产生序列密钥并为各个接收机分配一组特定的序列密钥的许可机构；

具有由所述许可机构产生并分配的序列密钥块SKB的至少一个分发的受保护文件；以及

所述各个接收机，其递增地、以密码方式进行测试，以确定从所分配的序列密钥中选择的序列密钥是否被泄露并作为响应执行下列动作：

(a1)如果所选择的序列密钥未被泄露，则作为响应，利用所选择的序列密钥处理所述序列密钥块SKB以产生使得能够访问受保护内容的正确的密码答案，从而有效地解密所述文件以供使用并停止系统操作；

(a2)如果所选择的序列密钥被泄露，则作为响应确定来自所述组的后续序列密钥是否可用；

(b1)如果后续序列密钥可用，则选择该后续序列密钥并返回测试；以及

(b2)如果后续序列密钥不可用，则系统停止，而未能有效地解密所述文件。

13.如权利要求12所述的系统，其中所述序列密钥选择文件中一组特定的变化。

14.如权利要求12所述的系统，其中所述文件包括至少下列之一的数字形式：密码密钥、多媒体表示、以及软件应用。

15.如权利要求12所述的系统，其中所述文件包括至少下列之一的数字形式：文本、音频、图像、以及视频。

16.如权利要求12所述的系统，其中所述文件包括至少下列之一的数字形式：操作系统、视频游戏、以及根据内部代码字选择段的播放指令。

17.如权利要求12所述的系统，其中所述文件通过至少下列之一进行分发：计算机网络、卫星网络、有线网络、电视传输以及物理存储介质。

18.如权利要求12所述的系统，其中形成所述SKB，从而以密码方式取消特定接收机。

19.如权利要求12所述的系统，其中所述组包括链表。

20.如权利要求12所述的系统，其中所述测试进一步包括以密码方式应用所选择的序列密钥以及随后对SKB可用的链接密钥，以获取指示所选择的序列密钥是否被泄露的预定值。

21.如权利要求20所述的系统，其中如果选中的序列密钥被泄露，产生导致所述后续序列密钥的链接密钥。

22.一种防止广播加密系统中对非背叛者接收机进行错误表征的方法，包括：

广播加密系统中的每个接收机递增地、以密码方式进行测试，以确定从由许可机构所产生并分配给该接收机的一组特定的序列密钥中选择的序列密钥是否被泄露，其中未泄露的序列密钥能够被用于处理由许可机构产生并分配给至少一个分发的受保护文件的序列密钥块SKB，以产生使得能够访问受保护内容的正确的密码答案，从而有效地解密所述文件；以及

仅当没有未泄露的序列密钥在所述组中时，才禁用接收机作为背叛者。

23.如权利要求22所述的方法，其中所述序列密钥选择一组特定的文件变化。

24.如权利要求22所述的方法，其中所述分配的一组特定的序列密钥是唯一地覆盖接收机群体的。