何少芳

(湖南农业大学 理学院信息科学系，湖南 长沙 410128)

数字水印技术和数字指纹技术是近几年发展起来的新型数字版权保护技术。数字水印是将相同的标识嵌入到同一个电子数据中，而数字指纹是将不同的标识嵌入到同一个电子数据中，数字指纹代表与用户(购买者)或与该次购买过程有关的信息。当发行商发现有被非法分发的授权信息时，可根据其中所嵌入的指纹信息追踪找出非法用户。但是，传统的对称数字指纹体制[1-2]不能对非法分发者的行为进行确定，因为发行商也可以分发带有某用户指纹的拷贝以对该用户进行陷害。针对此问题，Pfitzmann和SchunterDI[3]引入了非对称指纹的概念，当获得了非法拷贝时，发行商可以跟踪找出非法分发者并能向审判者提供证据。本文基于离散对数问题的难解性[4]构造了一种数字指纹体制，由于该体制对将发行的拷贝采用的是对称密码体制中的加解密算法，而用户用于解密数据组的密钥，是由系统给出的线性方程组的解向量，因此具有较好的实现效率。另外，本方案引入了完全可信的第三方指纹分发中心，用户的解密密钥以及嵌入拷贝中的数字指纹均由可信第三方提供，发行商和任一其他用户都无法陷害无辜用户，增加了用户的安全性。

1 基本方案描述

协议的参与实体有：发行商(M)、用户(B)、指纹分发中心(FIC)、法官(J)。基本协议有：初始化协议、带指纹拷贝生成(即指纹嵌人)协议、跟踪协议、审判协议。使用的密码学原语有：对称密码体制、数字签名体制。

1.1 初始化协议

所有实体产生经过认证的公钥和私钥对以及相应的数字签名机制，如用户B的密钥对为 pkB，skB，相应的签名和验证函数为signskB，verpkB，并且公开他们相应的公钥和签名验证函数，各个实体之间的少量秘密信息传递可以通过该公钥密码体制进行。

系统随机选择两个大素数 p和 q，q|p-1，g为 Zp上阶为 q的单位原根，即 gq≡1 mod p，再随机选择一个非素数N，N满足gq≡1 mod N，随机生成一个线性方程组，设方程组为：

其中 m＜n，A=(aij)m×n为方程组的系数矩阵，A 的秩为 m，又设方程组的基础解系为α1，α2，…，αn-m，特解为β，则方程组的全部解可表示为：

i=1，2，…，令γi=(γi1，γi2，…，γin)，显然有{γi1，γi2，…，γin}⊂Zq。

1.2 指纹嵌入协议

(1)用户B向发行商M和指纹分发中心FIC提出购买申请，并提交自己经过认证的公钥，同时B随机选择一个小于q的正整数i，自己保存i，并将i签名得到sigB(i)，将签名用FIC的公钥加密成pkFIC(i，sigB(i))，将其发送给FIC。

1.3 跟踪协议

1.4 审判协议

M 和 FIC 将指纹((gi‖gγ1‖gγ2‖…‖gγn)mod p)以及相对应的记录 text=(i‖sigB(i)‖(gi‖gγ1‖gγ2‖…‖gγn)mod p)作为证据提交法官J用以pkB相应的函数verpkB验证sigB(i)是否为B对i的签名。若是，则认为B是非法分发者；否则认为B是无辜的。

2 正确性及安全性分析

2.1 正确性分析

命题用户B能用收到的解密密钥γ=(γ1，γ2，…，γn)将加密数据组(N，(sy-r，hr1，hr2，…，hrn)mod N，Es(P))解密，通过计算得到带指纹的拷贝P。

2.2 安全性分析

(1)发行商M的安全性

带拷贝的加密数据组是M使用B的公钥加密，经过签名后发送给B，第三方指纹分发中心得不到带指纹的拷贝，避免了第三方非法使用拷贝，降低了发行商的风险。

(2)用户B的安全性

B的解密密钥对M和其他用户都是不可见的 (即不知道用户的解密密钥)，系统对线性方程组保密，M和其他用户也无法从其他途径得到解向量；数字指纹中含有(gimod p)，其中i是用户随机选择并保存的正整数，p只对指纹分发中心公开，因此，M和其他用户无法伪造数字指纹陷害无辜用户。

(3)第三方指纹分发中心的安全性

本方案建立在第三方指纹分发中心完全可信的基础上。指纹产生所需的p及解密密钥对指纹分发中心都公开，只有带指纹的拷贝对指纹分发中心保密，若第三方指纹分发中心得到了带指纹的拷贝并将其非法使用，则发行商和用户都会有很大的风险。因此，第三方指纹分发中心必须是完全可信的。

本文基于离散对数问题的难解性构造了一种数字指纹体制。由于该体制主要采用的是对称密码体制中的加解密算法，而对称密钥由发行商随机选取；用户用于解密数据组的密钥，即系统随机生成的线性方程组的解向量，计算简便，具有较好的实现效率。拷贝中的数字指纹由用户和可信第三方指纹分发中心确定，使得发行商和其他用户无法陷害无辜用户，增加了用户的安全性。值得注意的是，本方案要求第三方指纹分发中心必须完全可信，否则发行商和用户都有风险。

[1]BLAKLEY G R， MEADOWS C， PRUDY C B.Fingerprinting long forgiving messages[A].Williams Hugh C ed.Advances in Cryptogogy-CRYPTO’85[C].Berlin： Springer，1985.

[2]BONEH D，SHAW J.Collusion-secure fingerprinting for digital data[J].IEEE Trans.On Inform.Theory， 1997(44)：1897-1905.

[3]PFITZMANN B，SCHUNTER M.Asymmetric finger-printing[A]. Ueli M Maurer ed. Advances in Cryptology-EUROCRYPT’ 96[C].Berlin： Springer 1996.

[4]胡向东，魏琴芳.应用密码学教程[M].北京：电子工业出版社，2007.