數字媒體有條件接收技術綜述

摘要：從數字媒體有條件接收系統面臨的新問題出發，對數字視頻加密、密鑰管理、盜版追蹤和數字媒體內容保護四個方面技術存在的問題、研究現狀進行了介紹和分析，并對各項技術的發展趨勢進行了闡述。

關鍵詞：有條件接收系統；數字視頻加密；組密鑰管理；叛逆者追蹤；數字指紋

中圖分類號：TP309文獻標志碼：A

文章編號：1001－3695(2008)01－0001－07

0引言

數字技術和網絡通信技術的飛速發展，使得種類繁多的多媒體服務逐漸走入人們的生活之中。隨著生活水平的提高，人們對高質量數字媒體的有償服務，如付費衛星電視、視頻點播的需求越來越大。然而，實現這些有償服務的前提是解決數字媒體的有條件接收問題，即確保服務僅提供給合法的授權用戶，未授權的用戶將無法獲得該服務。有線電視收視系統就是典型的有條件接收系統(CAS)。有條件接收系統通常包括加擾子系統和存取控制子系統。加擾子系統負責置亂信號以防止非授權用戶獲得正確信號；存取控制子系統則通過存取控制信息對用戶實現解擾操作的能力進行有效控制和管理。

隨著衛星技術的發展和應用水平的提高，基于衛星的廣播極大地促進了大規模有條件接收系統的實現和發展。目前，數字廣播系統正逐漸取代模擬廣播系統，得到越來越廣泛的應用。此時，由于模擬信號和數字信號的差異，傳統的有條件接收技術將難以適應新的數字媒體的應用和服務，急切需要新的技術支持。在這種情況下，數字媒體有條件接收系統就應運而生了。該系統實現了有條件接收系統對數字多媒體信息的支持，但它也面臨著一些新的問題。

a）數字視頻加密方法的安全性與實時性。數字視頻數據量大、實時性強，加/解密操作會增加運算負擔；同時，用戶端設備運算能力和資源有限。因此需要快速的、有效的加密方案，但這樣的方案又需要在加密速度和安全性間作出權衡。

b）密鑰管理的復雜性和可擴縮性。密鑰管理是安全系統中最復雜的部分。有條件接收系統一般采用三級密鑰層次管理方案，而且大多涉及廣播或多播應用。目前多播密鑰管理仍是一個有挑戰性的問題；此外，有條件接收系統涉及的用戶數量很大，還允許用戶加入或取消服務。這些特點使得尋找可擴縮性的密鑰管理方案更加困難。

c）數字版權的保護。盜版和數字媒體內容復制擴散是影響有條件接收系統普及和應用水平的嚴重問題。盜版解碼器使得非授權用戶能夠獲得付費服務而無須交費，這將極大損害服務提供者的利益；此外，合法接收者非法復制和擴散已解密的數字產品也會帶來類似的問題。因此，必須尋找新的技術手段來阻止和控制盜版解碼器的泛濫及數字媒體內容的非法復制與擴散。

1數字視頻加密技術

數字媒體中的主體是數字視頻信息。視頻的加密或置亂是實現有條件接收的前提之一。數字視頻加密過程中必須注意解決以下問題：

a）快速的加/解密算法。數字視頻信息數據量大、實時性要求高的特點對加/解密算法的計算量和運算速度提出了較高的要求，實時快速是數字視頻加密算法的基本要求。 

b）平衡安全性與運算代價。安全性與運算代價之間存在矛盾。許多置亂算法有較快的運算速度，但安全性較差；基于密碼學的加密有較高的安全性，但可能不適合數字視頻的實時性要求。

c）加密過程不應嚴重影響壓縮率。通常為了提高網絡的利用率，系統采用壓縮編碼來降低數字視頻數據傳輸的通信量。許多數字視頻置亂或加密算法需要處理壓縮編碼內部的數據，這樣就有可能導致壓縮率的降低。

d）解密算法對丟失和差錯的敏感程度。為確保實時性，數字視頻網絡傳輸通常難以保證完全的可靠性。因此數字視頻加密必須考慮傳輸差錯和丟失對解密的影響，必須限制這種影響的擴散。

當前針對數字視頻的加密方法主要可以分為以下三種：

a）完全加密。對數字視頻數據全文無區別地進行加密。這樣雖然可以使傳統的加密技術直接用于數字視頻加密，算法的安全性高，但會導致加/解密運算代價過大、實時性差，并且改變了原來的數據格式。文獻[1]中提出了這類方法的一個典型代表，即幼稚算法（naive algorithm，NA）。該算法通過將壓縮的數字視頻數據與其他數據格式一樣用DES加密從而達到安全保密的目的。

b）有選擇的加密，對數字視頻數據較敏感的部分進行加密。這種方法大大提高了系統的加密速度，但安全性相對較低。對數字視頻數據的有選擇性加密主要從兩個方面入手：

（a）加密內容，包括加密部分視頻幀、DCT系數、運動矢量、Huffman碼表等。J. Meyer等人提出了對數字視頻幀加密的安全MPEG算法（secure MPEG，S MPEG）[2]。該算法分為四級加密安全模式：加密頭信息、加密頭信息和相關的I塊、加密所有的I幀和I塊、全部加密。L. Tang 提出一種Z字型掃描置換算法 (zig zag scan permutation，ZZSP)[3]，使用隨機置換表來代替對DCT系統的zig zag掃描順序，將8×8塊的DCT系數映射為1×64矢量。同樣針對DCT系數加密的算法有Shi Chang gui等人提出的DCT系數加密算法（DCT coefficients encryption，DCT CE）[4，5]。其加密DCT低階系數、DCT系數符號位、運動矢量符號位。C.P. Wu等人提出的修改哈夫曼表算法（changing Huffman tables，CHT）[6]將通用Huffman碼表替換為另一個Huffman碼表，或替換為由多個Huffman基表構成的碼表，將其作為密鑰。

(b)加密方法，包括異或操作、置換、DES/AES加密、混沌加密等。Wen Jiang tao等人提出的使用置換和異或加密的格式兼容配置加密算法（format compliant configurable encryption，F C CE）[7]突出與標準格式的相容性，加密帶信息的域（定長碼字或變長碼字），對不帶信息的域不加密。Qiao Lin tian等人利用MPEG視頻中的統計特性提出了視頻加密方法(video encryption algorithm，VEA)[8]。其密文包括兩部分：一部分是將明文奇偶比特流異或的結果；另一部分是使用DES加密的偶比特流。近年來在此方法的基礎上又出現了許多改進，典型的有MVEA(modified VEA)[9]、RVEA(real time VEA)[5]。Li Shu jun等人提出了混沌視頻加密機制（chaotic video encryption scheme，CVES）[10]，使用混沌密碼來加密數字視頻信息，用混沌映射實現數字視頻置亂。

c）針對具有可擴縮性的數字視頻數據的加密。具有可擴縮性的數字視頻數據能夠以不同的比特率和質量水平進行播放，這就意味著并非是所有的用戶都能得到完整的數字視頻數據。因此對其加密與以往的數字視頻數據的加密有著很大的不同。由于對具有可擴縮性的數字視頻數據的加密既要保證數字視頻數據的完整性，又要使可擴縮性得到保持，技術難度大，該技術是當前加密領域研究的難點之一。當前比較流行的方法有S.J.Wee等人提出的可擴縮流安全加密（secure sca lable streaming，SSS）[11，12]。他將具有可擴縮性的視頻數據流分割成包，每個包的數據除了頭文件外都用塊加密的方法（如DES）在CBC（cipher block chaining）模式下進行加密。B. B. Zhu等人提出的可擴縮單層FGS加密（scalable single layer FGS encryption ，SSLFE）[13~15]主要適用于具有可擴縮性的視頻數據，如MPEG 4 FGS。該方案把包含基礎層和增強層的FGS流加密成為單一的訪問層?；A層完全地或有選擇地進行加密；增強層通過格式兼容的方法有選擇地進行加密。與SSLFE相對應的還有可擴縮多層FGS加密（scalable multilayer FGS encryption，SMLFE）[14，15]，它是根據信噪比PSNR或比特率把FGS流加密成不同的質量層；數據流可同時支持PSNR層和比特率層，基礎層不進行加密。

數字視頻加密算法種類繁多，評價一個數字視頻加密算法主要有以下五個重要指標：

a)安全性。數字視頻加密要解決的首要問題，也是數字視頻加密的根本要求。

b)實時性。數字視頻數據對實時性有很高的要求，加/解密操作不能給數字視頻數據的傳輸存儲帶來過大的延時。c)運算負擔。由于數字視頻需要實時編/解碼、實時傳輸和存取，解密算法的使用必須要保證運算負擔小、計算速度快。這樣才能與實時性的要求相符合。

d)壓縮率。壓縮率保持不變指的是數字視頻數據在加/解密后，數據量不發生改變。理想的數字視頻加/解密方案應確保加/解密操作對原信息的壓縮率沒有影響。

e)可擴縮性。對于具有可擴縮性的數字視頻數據而言，加密操作不應該對它的可擴縮性產生影響。如果加密操作改變了系統的可擴縮性，那么在傳輸過程中，網絡中的節點就無法通過可擴縮性來選擇調整合適的碼流，影響了可擴縮性優勢的發揮。

在表1中比較了常見的幾種數字視頻加密方案的性能。

NA是完全加密的一個典型例子，由于其加密開銷龐大和實時性差，在實際中應用并不廣泛；S MPEG算法由于需要特殊的編/解碼器，其投入使用成本過高，實用性不強；ZZSP算法安全性不夠，不能夠抵抗已知明文攻擊；同樣針對DCT系數加密的DCT CE算法增強了安全性，但是數字視頻數據的壓縮比仍然受到了影響；CHT算法通過選擇與通用表相近的最優Huffman表達到了保持壓縮比的目的，但是安全性卻不強；F C CE 算法加密后流格式不變，但運算負擔與內容有關，性能不穩定；VEA在降低加密復雜度的同時保持了較高的安全性，但這種算法改變了數據格式，不利于數據的裁剪、粘貼等操作；CVES算法利用了混沌技術進行加密，它獨立于任何數字視頻壓縮算法，不會被明文視頻的格式所限制，但還不成熟；SSS、SSLFE和SMLFE是針對具有可擴縮性的數字視頻數據，特別是MPEG－4格式的FGS提出的新的解決方案，在錯誤擴散、數據包丟失、處理速度、安全性等方面還有待于進一步的完善。

2有條件接收系統的密鑰管理

2．1密鑰結構

有條件接收系統通常采用三層密鑰結構來實現數字媒體的加密和用戶存取權限的控制。置亂密鑰K_s用于置亂或加密媒體明文信息，為提高安全性，該密鑰將每隔數秒定期更換。為了保證授權用戶的正確解密，密鑰K_s也將隨加密信號進行傳輸，因此必須進行加密保護。工作密鑰K_w用于加密置亂密鑰K_s和相關的節目信息，事實上，該密鑰是所有合法的授權用戶都擁有的共同密鑰，或稱組密鑰。由于有條件接收系統必須處理取消預訂或欠費停止服務的情況，工作密鑰K_w也必須定期或適時更換，通常每月更新一次。工作密鑰K_w的更新和傳輸是通過主密鑰K_m來進行的。主密鑰K_m通常由服務提供商進行集中管理，不同合法用戶的主密鑰K_m是各不相同的，當授權用戶處于正常服務期間，其主密鑰K_m有效，能通過主密鑰K_m解密獲得工作密鑰K_w；否則，主密鑰K_m無效，無法通過主密鑰K_m解密獲得工作密鑰K_w。因此可以通過控制主密鑰K_m的有效性來控制用戶的接收。圖1為ITU[16]推薦的有條件廣播系統密鑰管理配置。

2．2廣播加密

廣播加密主要解決在動態大規模安全組通信中，如何以最低的負擔通過不安全的廣播信道對組密鑰進行安全更新。廣播加密的核心是對某些合法用戶進行撤銷，使他們無法獲得新的組密鑰，并能確保即使所有撤銷用戶聯合起來也無法達到這一點。對應于有條件接收系統，廣播加密將解決如何使部分用戶的主密鑰K_m失效；同時能抵御他們針對工作密鑰K_w的合謀攻擊。

密鑰管理是安全系統中最復雜的部分，有條件接收系統主要通過密鑰的有效管理來控制用戶接收和用戶取消的。由于工作密鑰K_w是所有當前用戶的組密鑰，廣播加密的實質是廣播組密鑰的管理。目前，組密鑰管理相比于傳統的單播的密鑰管理，存在以下問題：

a)前向保密(forward confidentiality)。確保撤銷的用戶無法獲得新的組密鑰。

b)后向保密(backward confidentiality)。確保新加入的用戶無法破解其加入前的信息。

c)合謀破解。避免多個組員聯合起來破解密鑰系統。

組密鑰管理主要通過以下三種方式實現：

a)集中式方法。由單點（組控制器GC）負責全組的密鑰生成、分發和更新。在H. Harney等人提出的組密鑰管理協議GKEK[17，18]中，全組共享一個用于加密組中通信數據的密鑰GTEK；組控制器GC和每個組成員單獨共享一個GKEK；有新成員加入和離開時對全組的GTEK進行更新。R. Kumar等人提出了一種基于組合論撤銷方案[19，20]。該方案產生一個密鑰池，為用戶分發不同的密鑰組合；撤銷用戶時，構造一個不包含所有被撤銷用戶密鑰的密鑰集。M. Naor和B. Pinkas的基于秘密共享的撤銷方案[21] 通過廣播撤銷用戶的影子密鑰，使得被撤銷用戶無法獲得足夠的影子密鑰來恢復組密鑰。D.M. Wallner等人提出了基于密鑰樹管理方案[22~24]。該方案將所有密鑰組織成一棵樹，葉節點代表用戶；每個用戶擁有從葉到根路徑上的所有密鑰；使用被撤銷用戶不知道的密鑰加密新的組密鑰。D. Naor等人提出的基于秘密共享的中央密鑰管理CKMSS[25~27]是建立在繼承樹的基礎上。組管理者建立并存儲一個k叉樹；每一個用戶節點都被分配到一個獨一無二的秘密集；用戶通過由組管理者發送的激活信息和已分配到的秘密集定義一個多項式并以此計算出其惟一的密鑰。Himanshu Khurana等人提出了一種TASK方案[28]。方案中GC只掌握組密鑰的部分信息，在成員加入和離開時，由發起成員（sponsor）和GC協同計算出新的組密鑰。b）分布式子群(subgroup)方法。將參與多播的成員劃分為子群，每個子群存在一個控制節點，由控制節點集來履行管理職責。S Mittra提出的Iolus[29]方案將用戶劃分為子群，每個子群由一個組安全代理（GSA）控制；每個子群使用相互獨立的組密鑰；子群間通信由GSA翻譯實現；所有的GSA由組安全控制器管理。Sanjeev Setia等人提出的Kronos[30]方案是利用Diffie Hellman[31]密鑰協商算法的一種變體來實現組密鑰的生成和發布。

c)分布式方法。沒有明確的組控制器GC，參與通信的節點是對等的，通過某種密鑰協商算法生成組密鑰。常見的有M. Setiner等人提出的CLIQUE[32]。這種方式適用于時下流行的P2P模式，但由于其缺少集中節點的控制而不適用于數字廣播系統。本文不對其作進一步的分析。

一般用以下幾個指標來對密鑰管理方案進行衡量：

a）用戶開銷，即用戶負擔。主要使用用戶存儲的密鑰數量來進行衡量。

b）系統開銷，指系統在用戶加入、離開時的密鑰分發、回收開銷。主要包括三方面內容：用戶加入廣播開銷、系統撤銷能力和撤銷廣播開銷。用戶加入廣播開銷是指用戶加入系統時的密鑰通信量；撤銷能力是指系統一次最多能撤銷的用戶數目；撤銷廣播開銷是指系統撤銷用戶時的密鑰通信量。

c）安全性，指系統的前向保密、后向保密及抗合謀破解的能力。

d）擴縮性。當組成員數量需要大幅度增加時，擴縮性就顯得尤為重要。擴縮性主要考慮組規模擴大和組成員數量增加時系統性能受影響的情況?？蓴U縮性強的系統受K_s的影響較小。 

表2對不同類別的組密鑰管理方案進行了比較。表中所列的前六種方案均為集中式方法。這種方法有利于多播的管理，中心控制使其不需要依賴于其他輔助實體來實行接入控制和密鑰分發；但這種方法存在單一失效點的問題，GC可能會由于負載過大而成為瓶頸，影響系統的性能和擴縮性。Iolus是典型的分布子群方法。該方法密鑰的更新不需要子群間的相互通信，避免了單一失效點的問題，增強了系統的魯棒性；但管理子群的開銷較大，容易出現節點信任問題，即組員除了相信全組的GC外還必須多相信子群的控制節點，這樣在一定程度上降低了系統的安全性。同為分布子群方法的Kronos也存在一定的安全問題，新的組密鑰的產生與原組密鑰相關的特性使得系統安全性下降。由此可見分布子群方法在提高系統性能的同時，犧牲了部分的安全性。

3叛逆者追蹤

盜版解碼器的泛濫會嚴重損害有條件接收系統服務商的利益，是有條件接收系統必須面對的問題。盜版解碼器利用部分有效用戶的密鑰信息來實現非法解密。某些合法用戶則通過故意泄漏他們的密鑰來獲得非法收益，這樣的用戶被稱為叛逆者。叛逆者追蹤機制研究如何通過繳獲的盜版解碼器至少檢測出一個泄漏密鑰的叛逆者。

在發現盜版解碼器后，追蹤機制需要解決以下幾個問題：追蹤盜版源頭；使同類盜版解碼器失效；不影響和損害對合法用戶的服務；提供有效證據追究盜版者的責任。

當前叛逆者追蹤機制的分類方式很多，根據置亂密鑰K_s的加密方式可以分為：

a）對稱機制。數據提供者和用戶用相同的密鑰來對置亂密鑰K_s進行加/解密。M. Naor等人提出了門限追蹤方案[33]。該方案采用門限機制，追蹤能以大于門限q的概率解出秘密的叛逆者。方案中存在密鑰長度和數據額外開銷不同的兩種機制，即單級機制和雙級機制。A. Fiat和T. Tassa提出的動態追蹤方案（dynamic tracing）[34]將數據內容和用戶劃分成相應的段和組，根據用戶反饋的信息來一一對應用戶組和嵌入水印的段，以此關系來進行追蹤。在動態追蹤方案基礎上，R. Safavi Naini和 Y. Wang提出了序列追蹤方案（sequential tracing）[35]，該方案用預先定義的水印定位表來確定分配給用戶組的水印。B. Chor等人提出了組合追蹤方案[36]，它通過組合及概率構造方法確保高概率追蹤。D. Boneh等人也提出了一種基于離散對數問題和Reed Solomon編碼的確定性追蹤方案，即公開密鑰追蹤方案[37]。

b）非對稱機制。數據提供者和用戶用不相同的密鑰來對置亂密鑰進行加/解密。在文獻[38]的完全基于公鑰體系的追蹤方案中，分發者用所有用戶隨機選取的密鑰來生成一個加密密鑰，用ELGamal密碼體制來進行加密。S. Mitsunari等人提出的MSK機制[39]將橢圓曲線的特性與密鑰的構造分發相結合從而進行抗合謀攻擊追蹤；V. D. To等人也提出了一種基于雙線性對（bilinear maps）（e:G1×G1→Gt）對的公鑰追蹤機制——TSZ機制[40]。J. P. McGregor等人提出的TTR機制[41]基于RSA加密算法，在減少計算量的同時防止了k合謀攻擊。其他的分類方式還有文獻[42]提出的根據密鑰是否進行更換將叛逆者追蹤機制劃分為靜態機制、動態機制和交替機制。評價叛逆者追蹤機制的優劣主要有以下三個指標：

a)系統開銷。它包括用戶開銷和分發者的開銷。其中用戶開銷更為關鍵。用戶開銷主要考慮合法用戶需要存儲的密鑰數目和其獲取視頻內容的計算量。對于計算和存儲能力有限（如使用智能卡）的用戶，這兩個參數是極為重要的。

b)誤判率。它是指將無辜用戶認定為叛逆者的概率。誤判的后果是十分嚴重的，所以叛逆者追蹤機制應該將誤判率降到最低。

c)魯棒性。非法的分發者常想通過對追蹤系統的攻擊達到逃避檢測的目的，因此，叛逆者追蹤機制的魯棒性及抗攻擊能力就顯得十分重要。

表3比較了一些不同類別的叛逆者追蹤機制。

門限追蹤方案中單級機制數據額外開銷小，但密鑰長度相對較短，而雙級機制剛好與之相反，實際運用時可以對兩種機制進行折中。動態追蹤方案和序列追蹤方案主要適用于廣播加密領域。動態追蹤方案能用較低的帶寬找出非法分發者，但依賴于實時反饋信息，容易受到延時重傳攻擊，實時性要求高，不適合用戶數量龐大的系統；序列追蹤方案不需要任何實時的處理，縮短了報文段，但其網絡帶寬利用率低。組合追蹤方案是一個防k合謀的方案，系統計算通信量隨著用戶數量的增加而線性增長。公開密鑰追蹤方案雖然宣稱其能可靠有效地進行追蹤，但文獻[43]對其進行了成功的攻擊。完全的基于公鑰體系的追蹤方案與實際應用結合更加緊密，它在保證追蹤能力的前提下實現了用戶的匿名性，用戶可以選擇別人所不知道的密鑰來作為自己的私鑰。MSK機制確保用公鑰體系加密的置亂密鑰K_s長度不隨用戶數量的增長而變化，然而其安全性不夠好。同樣TSZ機制的安全性也不理想，存在對其成功的攻擊[44]。TTR機制安全性好，但其在參數優化、性能改進等方面還需要進一步加強。

4內容保護

在有條件接收系統中，合法用戶能夠解密加擾信號，并獲得數字媒體明文信息的使用權限，但通常沒有復制和再擴散這些信息的授權。為避免合法用戶非法復制和擴散獲得的數字媒體信息，需要引入適當的數字版權保護技術，即數字指紋。數字指紋與數字水印不同，其目的在于鑒別出非法的復制者。因此需要在分發給每個合法用戶的數字產品拷貝中嵌入一個惟一的與該用戶身份對應的數字指紋信息。當發現非法的盜版數字產品時，可通過提取其中的數字指紋信息來追蹤該數字產品的原始擁有者，并追究其責任。數字指紋從功能上講與叛逆者追蹤有著極大的相似之處，兩者最大的區別在于叛逆者追蹤主要是針對密鑰的泄漏和再分發；而數字指紋與多媒體的內容有著更緊密的關聯，主要研究內容的再分發擴散?？梢哉J為叛逆者追蹤就是密鑰數字指紋，在廣播加密背景下，兩者的聯系更加緊密。

使用數字指紋保護有條件接收系統的數字版權會面臨一個基本問題：如何在廣播/多播的內容中嵌入不同的數字指紋？為節省網絡資源，有條件接收系統多采用廣播和多播分發方式；而為了追蹤非法的復制者，必須在用戶收到的廣播或多播信息中嵌入不同的數字指紋信息。目前主要有兩類不同的方法來解決這一問題：

a)發送多個帶有不同數字指紋拷貝，使每個用戶收到含有惟一數字指紋信息的內容。典型的方案有文獻[45]的雙版本方案。它傳送兩個含有不同水印的MPEG流版本，為每個用戶定義一個二進制序列（數字指紋）；對兩個流的相同幀使用不同的密鑰加密，用戶使用數字指紋對應的密鑰對合適的幀解密。William Luh和Deepa Kundur提出的信源數字指紋混合編碼技術（JSF）[46]將圖像拆分為語義類和特征類。語義類是粗糙的多媒體信息，無商業價值；利用特征類的特性來構造數字指紋。用戶只有將兩類內容相結合才能得到高質量的原圖像。語義類通過公共信道傳送給用戶，由用戶用公共的密鑰解密；特征類由私有信道傳送給用戶，由用戶用私有密鑰解密。D.Kundur 和 K.Karthik提出了一種數字指紋解密混合編碼方案（JFD）[47]，將視頻信息中較關鍵的部分信息（如DCT系數）提取出來，用K_s選擇性地進行加密；每個用戶得到一個獨一無二的解密密鑰K_i，K_s≠K_i；用戶用K_i解密出來的視頻信息略有不同，用K_s和K_i之間的關系函數作為用戶數字指紋。H.V. Zhao和K.J.R. Liu提出了一種基于擴頻思想的構造分發相融合的指紋方案H.K方案[48]。其通過構造一棵指紋樹來生成指紋，用TDMA和CDMA兩種方式將指紋嵌入DCT系數中，將未嵌入指紋的DCT系數多播給用戶；將嵌入指紋的DCT系數單播給相應的用戶。

b)發送一個拷貝，在接收的過程中插入不同的數字指紋信息。這種方法又可進一步細分為在網絡的中間節點處嵌入數字指紋和在用戶端嵌入數字指紋。

（a）在網絡的中間節點處嵌入數字指紋。P. Judge和M. Ammar提出的WHIM[49]機制將網絡中的中間節點構成一個覆蓋網，每個中間節點到源的路徑由一個ID表示；路徑ID將被插入流經的包，最后一跳的節點將負責為每個用戶收到的信息插入一個惟一標記。I. Brown 等人提出的Watercast[50]方案由源產生多個含有不同水印的多播流版本，在傳輸過程中，路由器每次丟掉一個版本的數據包；最后一個路由器只轉發其中一個版本的數據包，確保每個用戶收到一個惟一版本。

（b）在用戶端嵌入數字指紋。Frank Hartung 等人提出的F.B方案[51]在視頻變換域的DCT系數中加入水印信息，用戶由各自不同的ID得出不同的水印信號；同時為防止由于水印引起的圖像扭曲，在水印信號中加入抖動減弱信號。

衡量指紋方案的性能有以下四個重要指標：

a)保真性。嵌入指紋后的視頻數據信息相比于原信息的相似程度。

b)傳輸效率。數字視頻傳輸系統網絡的傳輸效率可以用ηD =mD/m0計算[52]。其中：mD指采取D指紋方案的前提下，將視頻數據完全分發給用戶時在網絡中所需傳輸的視頻數據次數；m0指的是將視頻數據單播給用戶時，網絡中所需傳輸的視頻數據次數；ηD越小表示網絡的傳輸效率越高。

c)安全性。要求數字指紋方案要在視頻數據受到可能的處理、操作甚至是惡意攻擊的情況下，提取出足以跟蹤出非法分發者的指紋信息。這是對數字指紋的一個關鍵的評價標準。主要包括指紋的魯棒性（即指紋抵抗非法修改、檢測、破壞的能力）及指紋的合謀容忍性（即指紋抗合謀攻擊的能力）。

d)擴縮性。系統的擴展能力，主要用來衡量用戶數量的增加對系統的影響。擴縮性強的系統的性能不會隨著用戶數量的增加而出現下降。

表4為現有的幾種多播數字指紋方案的比較。

雙版本方案是近年來出現的一種較為流行的方案，它有效地提高了網絡的利用率，但其擴縮性差，網絡帶寬的利用率仍不十分理想。JSF、JFD、H.K這三種指紋方案利用視頻信息的編碼加密方式及自身的特點構造數字指紋，進一步提高了網絡帶寬的利用率；但它們還不成熟，均只給出大體思想，其具體實現還有待于進一步研究。WHIM與Watercast方案依賴于網絡中間節點，其實施需要對現有的網絡體系進行調整，因此可行性也不高。F. B方案不增加MPEG－2數據的比特率，復雜度低；但其在用戶端加入水印，增大了用戶的負擔，現實中用戶們并不樂意多承擔對他們沒有好處的額外安全設備，因此該技術在實際中推廣十分困難。近年來，數字指紋技術發展很快，除表4中所列的對稱的數字指紋方案外，為了阻止發行商用帶有用戶數字指紋的拷貝對用戶進行陷害，B. Pfitzmann和M. Schunter[53]引入了非對稱數字指紋的概念。為了保護購買者的隱私，B. Pfitzmann和M. Waidner又引入了匿名數字指紋的方案[54]。該方案的提出對買賣雙方的利益起到了很好的保障作

用。這兩種數字指紋技術研究剛剛起步，還有許多需要完善的地方。

5結束語

近年來，我國數字媒體有條件接收服務如付費衛星電視、視頻點播取得了較大發展，但這些應用的規模和服務還處于一個較低的水平。其中一個制約因素就是數字媒體有條件接收技術的發展還不成熟，還存在一些有待繼續研究和解決的問題。

以下幾個方面將成為今后研究的重點和熱點：

a）數字視頻編碼技術的發展對數字視頻加密技術提出了新的要求。以下兩方面是當前數字視頻技術發展的主要趨勢：

（a）對有選擇的加密方案進行改進。有選擇的加密方案具有速度快、實時性好等特點，但仍存在許多問題[55]，如安全性相對不夠、熵編碼壓縮效率有所降低等。如何克服這些缺陷，使得有選擇的加密算法發揮更好的性能，需要進一步的探索。

(b)針對具有可擴縮性的數字視頻數據，如MPEG－4 FGS的加密方案。具有可擴縮性的數字視頻數據由于有網絡帶寬利用率高、能適應帶寬的動態變化等特點，已經成為數字視頻編碼發展的趨勢。在這種條件下，對其加密技術的研究也顯得尤為重要。該領域將會成為數字視頻加密研究的熱點問題之一。

b)多播組密鑰管理復雜度高，協議牽涉面廣，已經成為有條件接收系統推廣及安全使用的瓶頸問題。以下列出了可能的研究趨勢：

（a）應用層多播密鑰管理算法的研究。在數字廣播系統中盡量多地采用多播技術，有助于提高網絡利用率，增強系統的分發效率。近年來，對多播技術的研究逐漸從網絡層過渡到應用層。在此種情況下，針對應用層多播的組密鑰管理算法也逐漸成為研究的熱點之一。

(b)與叛逆者追蹤機制相結合，增強系統安全性。在大規模數字廣播網絡中，確保密鑰安全的難度較大，僅僅對密鑰進行安全的分發、回收是不夠的，還需要防止合法用戶對密鑰的泄漏，這就是叛逆者追蹤機制所研究的內容。將密鑰管理與叛逆者追蹤機制相結合，增強系統的安全性還有很多的工作需要完成。

（c）進一步降低組密鑰管理算法的復雜性，增強實用性。當前組密鑰管理算法的復雜性仍然較高，與實用要求還有一定的差距。降低算法的復雜性、貼近實用需求仍有許多工作要完成。

c)系統誤判率低、開銷小、追蹤能力強是叛逆者追蹤技術發展的方向。

（a）降低追蹤系統的誤判率。文獻[56]指出叛逆者追蹤機制誤判遠遠嚴重于未偵查到的非法再分發。相當多的因素，如攻擊、系統抖動等會導致追蹤方案產生誤判。如何有效消除誤判，準確追蹤叛逆者是一個十分值得探討的問題。

（b）減小追蹤系統的開銷。系統開銷小是評價叛逆者追蹤系統一個很重要的指標。如何減小當前追蹤系統中不必要的額外開銷，特別是用戶的額外開銷，提高效率、充分利用系統資源還有待于研究。

（c）提升追蹤方案追蹤能力。當前流行的幾種追蹤機制均存在合謀門限k，即如果叛逆者數低于該門限，至少能追蹤到一個叛逆者；然而在大規模數字廣播環境中，較低的門限相對是容易達到的。因此提升合謀門限，有效追蹤叛逆者成為叛逆者追蹤技術中需要進一步研究解決的問題。

d)數字指紋近年來雖然取得了較大的發展，但仍有許多需要解決的問題。

(a)提高數字指紋的安全性。安全性是數字指紋系統的核心問題，在針對數字指紋的攻擊[57]日益廣泛的情況下，如何確保數字指紋的魯棒性，使指紋具有較強的抗合謀攻擊能力是一個十分重要的研究課題。

（b）實現傳輸效率與分發效率的統一。在數字廣播環境中，傳輸效率是一個需要重點關注的問題。數字指紋方案在確保分發效率的條件下提高傳輸效率是十分必要和必需的。

(c)與實際應用要求進一步結合。非對稱數字指紋方案和匿名數字指紋方案使得數字指紋技術更加貼近于商品交易的過程。但這對兩種方案的研究剛剛起步，其在效率和實現復雜度等方面還存在許多需要解決的問題。

(d)數字指紋評價標準的確定和相關系統的研發。隨著數字指紋技術的飛速發展，客觀分析、公平比較時下眾多的數字指紋方案顯得尤為重要，也急切需要相關標準和評測系統的支持。文獻[58]作了相關方面的一些研究。

目前，全數字廣播系統正逐漸成為現實，有條件接收服務的需求也會越來越大。這些現實的需求將成為推動數字媒體有條件接收技術發展的強大動力。這種動力將推動相關技術的發展和突破。

參考文獻：

［1］AGI I，GONG L.An empirical study of MPEG video transmissions[C]//Proc of Internet Society Symposium on Network and Distributed System Security.San Diego，CA：[s.n.]，1996:137 144.

[2]MEYER J，GADEGAST F.Security mechanisms for multimedia data with the example MPEG 1 video[D]. Berlin:Project Description of SECMPEG， Technical University of Berlin，1995.

[3]TANG L.Methods for encrypting and decrypting MPEG video data efficiently[C]//Proc of the 4th ACM International Multimedia Confe rence (ACM Multimedia’96).Boston:Elsevier Engineering Information Inc，1996:219－230.

[4]SHI Chang gui，BHARGAVA B.A fast MPEG video encryption algorithm [C]//Proc of the 6th ACM International Multimedia Confe rence.Bristol:Elsevier Engineering Information Inc，1998:81－88.

[5]SHI Chang gui，WANG S Y，BHARGAVA B.MPEG video encryption in real time using secret key cryptography[C]//Proc of International Conference of Parallel and Distributed Processing Techniques and Applications (PDPTA’99).Las Vegas， Nevada: Computer Science Research， Education and Application Press， 1999:2822－2828.

[6]WU Chung ping，KUO C C J.Fast encryption methods for audio visual data confidentiality[C]//Proc of SPIE International Symposium on Information Technologies.Boston:SPIE，2000:284－295.

[7]WEN Jiang tao，SEVRA M，ZENG Wen jun，et al.A format compliant configurable encryption framework for access control of multimedia[C]//Proc of IEEE Workshop on Multimedia Signal Processing.Cannes:IEEE，2001:435－440. 

[8]QIAO Lin tian，NAHRSTEDT K.A new algorithm for MPEG video encryption[C]//Proc of the 1st International Conference on Imaging Science， Systems and Technology (CISST’97).Las Vegas:[s.n.]，1997:21－29.

[9]SHI Chang gui，BHARGAVA B.An efficient MPEG video encryption algorithm[C]//Proc of the 6th ACM International Multimedia Confe rence.Bristol:Elservier Engineering Inforimation Inc，1998:381－386.

[10]LI Shu jun，ZHENG Xuan，MOU Xuan qin，et al.Chaotic encryption scheme for real time digital video[C]//Proc of SPIE，volume 4666.Scan Jose:Kehtarnavaz，2002：149 160.

[11]WEE S J，APOSTOLOPOULOS J G.Secure scalable video streaming for wireless networks [C]//Proc of IEEE International Conference on Acoustics， Speech， and Signal Processing.Salt Lake City:IEEE，2001:2049－2052.

[12]WEE S J，APOSTOLOPOULOS J G.Secure scalable streaming enabling transcoding without decryption[C]//Proc of IEEE International Conference on Image Processing.Thessaloniki:IEEE，2001:437－440.

[13]YUAN Chun，ZHU B B，WANG Yi dong，et al.Efficient and fully scalable encryption for MPEG 4 FGS[C]//Proc of IEEE Int Symp on Circuits and Systems.Bangkok:[s.n.]，2003:620－623.

[14]ZHU B B，YUAN Chun，WANG Yi dong，et al.Scalable protection for MPEG 4 fine granularity scalability [J].IEEE Trans Multimedia，2005，7(2):222－233.

[15]ZHU B B，SWANSON M D，LI Shi peng.Encryption and authentication for scalable multimedia:current state of the art and challenges[C]//Proc of SPIE Inf Technology and Commun. Philadelphia:[s.n.]，2004:157 170.

[16]ITU R Rec. BT.810，Conditional access broadcasting systems[S].1992.

[17]HARNEY H，MUCKENHIRN C.RFC 2093，Group key management protocol (GKMP) specification[S].1997. 

[18]HARNEY H，MUCKENHIRN C.RFC 2094，Group key management protocol (GKMP) architecture[S].1997. 

[19]KUMAR R，RAJAGOPALAN S，SAHAI A.Coding constructions for blacklisting problems without computational assumptions[C]//Proc of CRYPTO’99，LNCS 1666.[S.l.]:Springer Verlag，1999:609－623.

[20]GARAY J A，STADDON J，WOOL A.Long lived broadcast encryption[C]//Proc of CRYPTO 2000， LNCS 1880.[S.l.]:Springer Verlag，2000:333－352.

[21]NAOR M，PINKAS B.Efficient trace and revoke schemes[C]//Proc of Financial Cryptography 2000， LNCS 1962.[S.l.]:Springer Verlag，2000:1－20.

[22]WALLNER D M，HARDER E J，AGEE R C.Key management for multicast:issues and architectures[R].[S.l.]:IETF，1997.

[23]WONG C K，GOUDA M，LAM S S.Secure group communications using key graphs[J].IEEE/ACM Transactions on Networking，2000，8（2）：16－30.

[24]ESKICIOGLU A M，ESKICIOGLU M R.Multicast security using key graphs and secret sharing[C]//Proc of Joint International Conference on Wireless LANs and Home Networks and Networking.Atlanta:[s.n.]，2002：228－241.

[25]NAOR D，NAOR M，LOTSPIECH J.Revocation and tracing schemes for stateless receivers[C]//Proc of CRYPTO 2001，LNCS 2139.Heidelberg:Springer，2001:41－62.

[26]ESKICIOGLU A，DELP E J.An integrated approach to encrypting scalable video[C]//Proc of IEEE International Conference on Multimedia and Expo.Lausanne:[s.n.]，2002:573－576.

[27]ESKICIOGLU A M，DEXTER S，DELP E J.Protection of multicast scalable video by secret sharing:simulation results[C]//Proc of SPIE Security and Watemarking of Multimedia Conference.Santa Clara:[s.n.]，2003.

[28]KHURANA H，BONILLA R，SLAGELL A J，et al.Scalable group key management with partially trusted controllers[C]//Proc of ICN.Reu nion Island:[s.n.]，2005:662－672.

[29]MITTRA S.Iolus:a framework for scalable secure multicasting[C]//Proc of ACM SIGCOMM’97 Conference on Applications， Technologies， Architectures and Protocols for Computer Communication.1997:277－288. 

[30]SETIA S，KOUSSIH S，JAJODIA S.Kronos:a scalable group re keying approach for secure multicast[C]//Proc of IEEE Symposium on Security and Privacy’00.Berkeley， California:IEEE Press，2000:215－228.

[31]DIFFIE W， HELLMAN M E. New directions in cryptography[J].IEEE Trans on Info Theory，1976，22(6):644－654. 

[32]STEINER M，TSUDIK G，WAIDNER M.CLIQUES:A new approach to group key agreement[C]//Proc of the 18th International Confe rence on Distributed Computing Systems.Amsterdam:IEEE Computer Society，1998:380－387. 

[33]NAOR M，PINKAS B.Threshold traitor tracing[C]//Proc of the 18th Annual International Cryptology Conference.California: Springer Verlag，1998:956－974.

[34]FIAT A，TASSA T.Dynamic traitor tracing[C]//Advance in Cryptolo gy CRYPTO’99.Berlin:Springer Verlag，2001:225－239.

[35]SAFAVI NAINI R，WANG Y.Sequential traitor tracing[C]//Advances in Cryptology CRYPTO 2000.Berlin: Springer Verlag，2000:316－332.

[36]CHOR B，FIAT A，NAOR M，et al.Tracing traitors[J].IEEE Trans on Info Theory，2000，46(3):893－910.[37]BONEH D，FRANKLIN M.An efficient public key traitor tracing scheme[C]//Advances in Crytpology CRYPTO’99.Berlin: Sprin ger Verlag，1999：338－353.

[38]LYUU Y，WU M.A fully public key traitor tracing scheme[J].WSEAS Trans on Circuits，2002，1(1):88－93.

[39]MITSUNARI S， SAKAI R，KASAHARA M.A new traitor tracing [J].IEICE Trans，2002，E85 A(2):481－484.

[40]TO V D，SAFAVI NAINI R，ZHANG F.New traitor tracing schemes using bilinear map[C]//Proc of DRM’03.2003:67 76. 

[41]McGREGOR J P，YIN Y L，LEE R B.A traitor tracing scheme based on RSA for fast decryption[C]//Proc of International Conference on Applied Cryptography and Network Security (ANCS).[S.l.]:Springer Verlag，2005:56 74.

[42]TREVATHAN J，GHODOSI H，LITOW B.Overview of traitor tracing schemes[C]//Proc ofCommunications of the CCISA， Selected To pics of Cryptography and Information Security.Taiwan:[s.n.]，2003:51－63.

[43]YAN J J，WU Yong dong.An attack on a traitor tracing scheme，No.518[R].Combridge:University of Cambridge，2001.

[44]CHABANNE H，PHAN D H，POINTCHEVAL D.Public traceability in traitor tracing schemes[C]//Proc of EUROCRYPT’05.Aarhus:Springer Verlag，2005:542－558.

[45]CHU Hao hua，QIAO Lin tian，NAHRSTECDT K.A secure multicast protocol with copyright protection [C]//Proc of IST/SPIE Conf on Security and Watermarking of Multimedia Contents.1999：460－471.

[46]LUH W，KUNDUR D.New paradigms for effective multicasting and fingerprinting of entertainment media[J].IEEE Communications Magazine，2005，43(6):77－84.

[47]KUNDUR D，KARTHIK K.Video fingerprinting and encryption principles for digital rights management [J].IEEE Multimedia，2004，92(6):918－932.

[48]ZHAO H V，LIU K J R.Fingerprint multicast in secure video strea ming[J].IEEE Trans on Image Processing，2006，15(1):12－29.

[49]JUDGE P，AMMAR M. WHIM:watermarking multicast video with a hierarchy of intermediaries[J]. Computer Networks: The International Journal of Computer and Telecommunications Networking，2002，39(6):699 712.

[50]BROWN I，PERKINS C，CROWCROFT J.Watercasting: distributed watermarking of multicast media[C]//Proc of the 1st International Workshop on Networked Group Communication.Berlin:Springer Verlag，1999:286－300.

[51]HARTUNG F，GIROD B.Digital watermarking of MPEG－2 coded vi deo in the bitstream domain[C]//Proc ofICASSP’97.1997:2621－2624.

[52]CHUANG J，SIRBU M.Pricing multicast communication:a cost based approach[C]//Proc of INET.Geneva:[s.n.]，1998:281－297.

[53]PFITZMANN B， SCHUNTER M.Asymmetric fingerprinting[C]//Proc of EUROCRYPT’96.New York:Springer Verlag， 1996:84－95.

[54]PFITZMANN B，WAIDNER M. Anonymous fingerprinting [C]//Proc of EUROCRYPT’97.New York:Springer Verlag，1997:88 102.

[55]LIU Xi liang，ESKICIOGLU A M.Selective encryption of multimedia content in distribution networks:challenges and new directions [C]//Proc of the 2nd Int Conf on Communications， Internet and Information Technology.Scottsdale，AZ:[s.n.]，2003.

[56]PFITZMANN B.Trials of traced traitors[C]//Workshop on Information Hiding.Cambridge:Springer Verlag，1996:49－64.

[57]PETITCOLAS F A P， ANDERSON R J，KUHN M G.Attacks on copyright marking systems[C]//Proc of the 2nd Workshop on Information Hiding.Portland， Oregon:[s.n.]，1998:218－238.

[58]KIM H C，OQUNLEY H，GUITART O，et al.The watermark evaluation tested[C]//Proc of SPIE Int Conf Security， Steganograhy， Watermarking VI.San Jose，CA:[s.n.]，2004:236－247.

“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文”