CN1665185A - 内容提供***、用户***、跟踪***、装置及方法 - Google Patents

Abstract

关于本发明的每种实施方式，在黑盒跟踪的过程中，输入的意图是盗版解码器不知道的，即使是聪明的盗版解码器也不会知道，因此可以可靠地跟踪盗版者。具体来说，内容提供***包括利用会话密钥加密内容的内容加密部分和以会话密钥能利用指定给用户***的解密密钥获得的方式利用加密密钥加密会话密钥并产生包括加密的会话密钥及一个或多个基于允许获得该会话密钥的每个用户***的用户识别信息的值的头信息的头产生部分。内容提供***向每个用户***发送加密内容和头信息。由于头信息没有明确地包括用户***的用户识别信息，因此在黑盒跟踪中关于谁的解密密钥被撤消的信息没有泄漏。

Description

内容提供***、用户***、 跟踪***、装置及方法

技术领域

本发明涉及内容提供***、用户***、跟踪***、装置及方法。

背景技术

在广播内容传输操作中，如电视节目的内容是加密后传输给用户的。用户利用由发行者借予的授权解码器解密加密的内容并观看来自所获得内容的电视节目。但是，在广播内容传输操作中，存在通过拷贝授权解码器的内部信息(解密密钥等)克隆解码器并使得加密内容被非法解密的恶意授权用户(下文中称为盗版者)。

作为对这类盗版行为的制止，已知有各种类型的盗版者识别方法。这种盗版者识别方法归为两类：第一种类型包括基于组合结构的方法，第二种类型包括基于代数与数字理论结构的方法。

第一种盗版者识别方法的问题在于必须使传输开销非常大，才能充分降低将与克隆解码器(下文中称为盗版解码器)的产生无关的授权用户错误检测为盗版者的概率。

第二种盗版者识别方法解决了上面的问题并实现了有效的传输开销。此外，在第二种盗版者识别方法中，提出通过施加秘密共享技术到密钥分配方法来撤消特定用户的解密密钥的盗版者识别方法(例如，见参考文献1)。

[参考文献1]M.Naor与B.Pinkas所写的“Efficient Trace andRevoke Schemes，”，Proc.of Financial Cryptography′00，LNCS 1962，Springer-Verlag，2000年2月，1-20页。

但是，多种解密密钥或者与解密密钥具有同等功能的数据可以在盗版者之间的共谋中存储在盗版解码器中。盗版解码器可能遭到黑盒跟踪。在黑盒跟踪中，通过只观察盗版解码器的输入和输出而不需要物理打开解码器来识别盗版者。

在这种情况下，在第二种盗版者识别方法中，黑盒跟踪所需的测试次数是指数级的，这造成黑盒跟踪不实际的问题。具体来说，进行黑盒跟踪的跟踪者假定一盗版者候选人(下文中称为嫌疑人)并检查该嫌疑人的解密密钥是否保留在盗版解码器中。检查打算对所有的可能嫌疑人组进行而且是以组为基础进行的。原因在于单个密钥产生多项式f(x)如由以下等式表示的那样使用，因此对于一次可以撤消的解密密钥个数(嫌疑人的个数)有上限：

f(x)＝a₀+a₁·x+a₂·x²+...+a_k·x^k

如果用户总数是n而联合的盗版者最大个数是k，则这种黑盒跟踪需要检查多达_nC_k＝n！/{k！(n-k)！}个嫌疑人组，因此如上所述这在实际中是不可能的。

为了克服这种问题，提出利用多个密钥产生多项式灵活撤消解密密钥的技术(例如，见参考文献2)。在这里，“灵活”是指可以撤消的解密密钥个数没有上限。

[参考文献2]T.Matsushita所写的“A Flexibly RevocableKey-Distribution Scheme for Efficient Black-Box Tracing，”，Proc.ofInternational Conference On Information and CommunicationsSecurity′02，LNCS 2513，Springer-Verlag，2002年12月，197-208页。

但是，在参考文献2中，由于秘密共享技术用于密钥分配方法，因此在黑盒跟踪过程中每个输入的意图是盗版解码器(或认定嫌疑人)已知的。如果盗版解码器够聪明，它就会读出输入的意图并操作，防止盗版被跟踪，由此阻碍黑盒跟踪。这引起以下问题：盗版者不能被识别出来，或者无辜用户被错误加罪。

如上所述，在传统的盗版者识别方法中，当进行黑盒跟踪时，每个输入的意图是盗版解码器已知的。这造成以下问题：聪明的盗版解码器阻碍黑盒跟踪。

发明内容

本发明的目的是提供防止黑盒跟踪过程中输入的意图被盗版解码器知道并确保来自聪明的盗版解码器的盗版者被跟踪的内容提供***、用户***、跟踪***、装置、方法及程序。

根据本发明的第一方面，提供了向用户***提供加密内容和用于解密加密内容的头信息的内容提供***，该内容提供***包括：加密设备，配置成通过利用会话密钥加密内容并获得该加密内容；解密密钥产生设备，配置成为每个用户***产生唯一解密密钥，它包括配置成将一组用户***的用户识别信息分成一个或多个子组的划分部分、配置成为每个子组指定不同的密钥产生多项式的指定部分及配置成通过将该用户***的用户识别信息代入在指定给用户***的用户识别信息所属子组的密钥产生多项式中来产生用户***解密密钥的代入设备；头信息产生设备，配置成通过以会话密钥能通过使用指定给用户***的解密密钥获得的方式使用加密密钥加密会话密钥并产生包括所获得的加密会话密钥及一个或多个基于关于至少一个允许获得该会话密钥的用户***的用户识别信息的值的头信息；及发送设备，配置成向每个用户***发送加密内容和头信息。

根据本发明的第二方面，提供了解密由内容提供***所提供的加密内容的用户***，该用户***包括：接收设备，从内容提供***接收能够利用会话密钥解密的加密内容及包括以会话密钥可以利用指定给该用户***的解密密钥获得的方式加密的会话密钥和一个或多个基于关于至少一个允许获得该会话密钥的用户***的用户识别信息的值的头信息；会话密钥解密设备，配置成根据解密密钥解密来自头信息的会话密钥，它使用通过将该用户***的用户识别信息代入指定给用户***的用户识别信息所属子组的密钥产生多项式中所获得的值作为解密密钥；及内容解密设备，配置成根据解密的会话密钥解密加密内容。

根据本发明的第三方面，提供了识别一个或多个构建盗版用户***的用户***中的至少一个的跟踪***，该跟踪***包括：头信息产生设备，配置成产生包括以会话密钥不能利用指定给一个或多个用户***的解密密钥获得但该会话密钥可以利用指定给每个其它用户***的解密密钥获得的方式利用加密密钥加密的会话密钥和一个或多个基于关于至少一个允许获得该会话密钥的用户***的用户识别信息的值的头信息，其中解密密钥是通过将该用户***的用户识别信息代入指定给用户***的用户识别信息所属子组的密钥产生多项式中所获得的值；输入设备，配置成向要检查的盗版用户***输入头信息并获得由该盗版用户***对会话密钥解密的结果；及识别设备，配置成根据一个或多个被禁止获得输入到盗版用户***中的头信息中会话密钥的用户***的用户识别信息及盗版用户***对会话密钥解密的结果，识别一个或多个用于构建盗版用户***的用户***中的至少一个。

根据本发明的第四方面，提供了用在向所述多个用户***提供加密内容和解密该加密内容的头信息的内容提供***中的密钥产生方法，该密钥产生方法包括：根据多个多项式系数产生所述多个用户***公共的加密密钥；及根据所述多个多项式系数产生所述多个用户***中每个唯一的解密密钥，这还包括将独立识别多个用户***的多条用户识别信息所属的组分成多个子组，在从根开始、经过一个或多个节点并到达多个叶子的树结构中以一一对应的关系将叶子指定给子组，将具有多项式系数并且彼此不同的密钥产生多项式指定给树结构中根、节点和叶子的部分或全部，以一个或多个子组为单位指定所有指定给树结构的密钥产生多项式中的至少一个，并将关于每个用户***的用户识别信息代入用于用户识别信息所属子组的密钥产生多项式中并确定所获得的值是该用户***唯一的解密密钥。

在本发明的第一至第四方面，头信息包括一个或多个基于关于至少一个允许获得会话密钥的用户***的用户识别信息的值，但并不明确地包括用户***的用户识别信息。因此，在黑盒跟踪过程中，输入的意图是盗版解码器不知道的。即使聪明的盗版解码器读出了输入的意图并试图阻止盗版行为被识别，盗版也可以可靠地跟踪。

尽管上述发明以***类别进行了表示，但理所当然它们可以表示为任何类别，如装置、方法、计算机可读的存储介质或程序。此外，当然，整个***可以表示为其它类别。而且，该***的一部分可以提取出来表示为其它类别。

附图说明

图1是显示应用根据本发明第一实施方式的内容提供***和用户***的数据通信***的示意图；

图2和3是帮助解释第一实施方式中用户组子组的示意图；

图4是显示第一实施方式中跟踪***配置的示意图；

图5是帮助解释第一实施方式中整体操作的流程图；

图6是帮助解释第一实施方式中加密阶段操作的流程图；

图7是帮助解释第一实施方式中头产生部分处理的图；

图8是帮助解释第一实施方式中解密阶段操作的流程图；

图9是帮助解释第一实施方式中跟踪阶段操作的流程图；

图10是给出第一实施方式中检查概要的示意图；

图11是帮助解释第一实施方式中检查结果的示意图；

图12是帮助解释在根据本发明第四实施方式的内容提供***中加密阶段操作的流程图；

图13是显示应用根据第一实施方式的内容提供***和用户***的数据通信***修改的示意图；

图14是帮助解释根据本发明第五实施方式的密钥产生多项式指定的图；及

图15是帮助解释第五实施方式中解密阶段操作的流程图。

具体实施方式

下文中将参考附图解释本发明的实施方式。

(第一实施方式)

图1是显示应用根据本发明第一实施方式的内容提供***和用户***的数据通信***的示意图。图2和3是帮助解释第一实施方式中用户组子组的示意图。图4是显示第一实施方式中跟踪***配置的示意图。

如图1所示，在数据通信***中，具有加密单元10的内容提供***1通过网络3连接到每个都具有解密单元20的n个用户***2。此外，跟踪单元30连接到网络3。***1、2和单元30可以在硬件和/或软件中实现。当它们在软件中实现时，对应的程序分别从存储介质M1至M3安装到***1、2和单元30的计算机中。单独的程序存储在计算机可读存储介质M1至M3中。每个程序都具有使计算机执行***1、2和单元30的功能的程序代码。在下述实施方式中，***1、2和单元30可以类似地由程序实现。

内容提供***1用于加密内容并广播或多播加密的内容。

n个用户***2用于通过网络3接收由内容提供***1广播或多播的加密内容并解密加密内容。

尽管图1中只示出了一个内容提供***1，但可以有不止一个内容提供***1。

此外，一个节点可以具有内容提供***1的功能和用户***2的功能。而且，每个节点都可以具有内容提供***1的功能和用户***2的功能，由此使得可以在它们之间进行加密通信。

网络3可以是有线网络或无线网络。网络3可以是同时利用有线网络和无线网络的网络。此外，网络3可以是双向网络或单向网络。而且，网络3可以在线或离线，即，数据可以通过存储介质传输。

接下来将解释安装在内容提供***1中的加密单元10。

加密单元10包括公钥存储部分11、要撤消的用户信息存储部分12、会话密钥产生部分13、内容加密部分14和头产生部分15。

公钥存储部分11是存储公钥而且可以从会话密钥产生部分13和头产生部分15读出的存储器。

要撤消的用户信息存储部分12是存储关于要被撤消的用户的信息(包括用户ID)而且可以从头产生部分15读出的存储器。

会话密钥产生部分13具有根据公钥存储部分11中的公钥产生会话密钥的功能。

内容加密部分14具有根据由会话密钥产生部分13产生的会话密钥加密要提供的内容并产生加密内容的功能。加密内容可以根据该会话密钥解密。

头产生部分15具有根据公钥、(信息提供基础)会话密钥、(当有用户要被撤消时)要撤消的用户信息及其它必要的参数(如后续例子中的参数p、q、k、U(＝U₁+...+U_t))产生头信息的功能。用户组U是子组U₁至U_t的并集。

具体来说，头产生部分15具有利用公钥加密会话密钥并产生三种类型头信息的功能。

第一种头信息关于要撤消的用户而且不包括任何加密的会话密钥。

第二种头信息关于要撤消的用户及要生效的用户。第二种头信息包括加密的会话密钥和一个或多个基于关于至少一个允许获得该会话密钥的用户***的用户识别信息的值。加密的会话密钥可以根据解密密钥解密。

第三种头信息关于要生效的用户并包括加密的会话密钥。第三种头信息不包括基于关于要生效的用户的用户识别信息的值。但是，第三种头信息可以包括基于要生效的用户的值。

假定内容提供***1包括所需的各种单元，包括头信息和加密内容通信接口、存储内容的单元、输入内容的单元及解密密钥产生单元(未示出)。从减少数据量的观点出发，期望当向多个子组发送每条头信息时内容提供***1应当公共化各条头信息的公共部分并发送公共化后的信息。本发明不限于此。公共部分可以不公共化。

解密密钥产生单元用于产生指定给每个用户***的解密密钥。解密密钥产生单元具有将一组用户***的用户识别信息分成子组的功能、为每个子组指定不同的密钥产生多项式的功能及通过替换指定给用户***的用户识别信息所属子组的密钥产生多项式中该用户***的用户识别信息产生用户***的解密密钥的功能。

具体来说，用户的解密密钥是通过将用户ID(选自特定范围(例如，从1到n的连续数)的正整数)代入密钥产生多项式中产生的。在这个时候，如图2和3所示，用户组被分成子组，密钥产生多项式如下指定给各子组。

例如，对于子组U₁，

指定f₁(x)＝a₀+b₁·x+a₂·x²+a³·x³+...+a_k·x^k。

对于子组U₂，

指定f₂(x)＝a₀+a₁·x+b₂·x²+a₃·x³+...+a_k·x^k。

对于子组U₃，

指定f₃(x)＝a₀+a₁·x+a₂·x²+b₃·x³+...+a_k·x^k。

类似地，对于子组U_i，指定以下等式f_i(x)：

f_i(x)＝a₀+a₁·x+a₂·x²+...+a_i-1·x^i-1y+b_i·xⁱ+a_i+1·xⁱ⁺¹+a_k-2·x^k-2+a_k-1·x^k-1+a_k·x^k。

其中a₀至a_i-1、a_i+1至a_k是多项式系数，而b_i是第i个子组唯一的多项式系数。以上指定方法是个例子。例如，密钥产生多项式f_i(x)可以随机指定并唯一代替，使之对应于子组号i。可以有不指定给任何子组的密钥产生多项式f_j(x)。

如上所述，不同的密钥产生多项式指定给各子组(在上面的例子中，密钥产生多项式区别在于多项式系数的部分(b_i))。利用指定给用户ID所属子组的密钥产生多项式，可以产生用于该用户ID的解密密钥。

这使得有可能不仅撤消任意个数用户的解密密钥，而且能减少黑盒跟踪所需的测试次数。

假定通过将指定给用户***2的用户ID代入指定给用户ID所属子组的密钥产生多项式中所获得的解密密钥已经由内容提供者1或值得信任的第三方给了用户***2而且用户***2保留该解密密钥。

图2和3示出了分组方法的例子。其它各种分组方法也是可能的。

在上面的解释中，用户ID是选自特定范围(例如，从1到n的连续数)的正整数。不将用户ID设成正整数，选自特定范围的正整数可以唯一指定给用户ID，如字母数字字符组，而且解密密钥可以根据唯一指定给用户ID的正整数和对应的密钥产生多项式计算。

接下来解释安装在用户***2中的解密单元20。

如图1所示，解密单元20包括用户信息存储部分21、会话密钥解密部分22和内容解密部分23。

用户信息存储部分21是存储解密必需参数(在随后解释的例子中是参数p、q、k)、***2所属的子组ID、指定给***2的用户ID和对应于该用户ID的解密密钥的存储器。用户信息存储部分21可以从会话密钥解密部分22读出。解密密钥是通过将该用户ID代入指定给用户ID所属子组的密钥产生多项式中获得的值。

会话密钥解密部分22具有当从内容提供***1接收到加密内容和头信息时根据用户信息存储部分21中的解密密钥从头信息获得(或解密)会话密钥的功能。

内容解密部分23具有根据从会话密钥解密部分22获得(或解密)的会话密钥解密从内容提供***1接收的加密内容的功能。

假定用户***2包括所需的各种单元，包括用于从内容提供***1接收加密内容和头信息的通信接口、用于存储内容的单元和用于显示内容的单元。

接下来参考图4解释跟踪单元30。

跟踪单元30包括公钥存储部分31、头产生部分32和控制部分33。

公钥存储部分31是用于存储公钥的存储器，可以从头产生部分32中读出。

头产生部分32具有根据由控制部分33指定的一组要撤消的用户、基于公钥和其它必需参数(如随后解释的例子中的参数p、q、k、U(＝U₁+...+U_t))产生头信息的功能和向要检查的对象输入头信息的功能。控制部分33可以产生(信息提供基础)会话密钥并向头产生部分32发命令。可选地，头产生部分32可以产生会话密钥并通知控制部分该会话密钥。头信息产生成包括以会话密钥不能利用指定给一个或多个用户中每个的解密密钥获得但该会话密钥可以利用指定给每个其它用户的解密密钥获得的方式由公钥加密的会话密钥和一个或多个基于允许获得该会话密钥的用户***的用户识别信息的值。

控制部分(识别设备)33监督跟踪单元30的全局控制。控制部分33具有根据一个或多个被禁止获得输入到盗版用户***的头信息中会话密钥的用户***的用户识别信息和由盗版用户***对会话密钥解密的结果识别一个或多个用于构建盗版用户***的用户***中的至少一个的功能。

具体来说，控制部分33具有通知头产生部分32(一个或多个)要撤消的用户ID(即要撤消的组χ)的功能、输入由要检查对象的解密单元20χ解密的会话密钥并检查是否已获得正确会话密钥的功能，及当改变要撤消的用户组时通过重复类似处理识别盗版者用户ID并考虑确定结果的功能。

尽管控制部分33确定由要检查对象的解密单元20χ对会话密钥解密的结果，但本发明不限于此。利用会话密钥加密的内容和头信息可以输入到要检查的解密单元20χ，从而可以确定由要检查的解密单元20χ对内容解密的结果。

此外，跟踪单元30可以安装在内容提供***1中或独立于内容提供***1的单元中。而且，跟踪单元30可以或可以不具有与网络3连接的功能。

接下来将解释如上所述配置的网络通信***的操作。图5是帮助解释网络通信***整体操作的流程图。

假设为用户***2指定了唯一的用户ID。

内容提供***1产生专用的会话密钥(单个密钥)(ST1)，基于一组要撤消的用户加密该会话密钥并产生头信息H(χ)(ST2)。

然后，内容提供***1利用该会话密钥加密内容(ST3)并广播或多播头信息H(χ)和加密内容(ST4)。内容提供***1可以向子组多播和该子组所需一样多的多条头信息(H(χ)的一部分)。

步骤ST2和ST3可以反过来或同时执行。当会话密钥不是每次都改变时，ST1可以省略(使用前面的会话密钥)。

接收到头信息和加密内容后，根据其自己的用户ID和子组ID，每个用户***2基于和要撤消的用户组χ的关系解密头信息(ST5)。

如果每个用户***2都属于要撤消的用户组(ST6)，则它得不到会话密钥(ST7)。相反，如果它不属于要撤消的用户组χ(ST6)，则它得到会话密钥(ST8)并利用该会话密钥解密加密内容(ST9)。

如后面详细描述的，由于内容提供***1基于要撤消的用户组χ产生头信息，因此它可以灵活地撤消解密密钥。解密密钥的撤消是通过以防止使用要撤消用户的解密密钥获得会话密钥但该会话密钥可以通过使用剩余用户的解密密钥获得的方式加密会话密钥实现的。

在广播内容传输中，发送的数据通常是利用单个会话密钥加密的。密钥分配方法意思是以会话密钥可以利用每个用户的解密密钥获得的方式加密会话密钥的方法。

下文中，将详细解释预先执行的密钥产生阶段、步骤ST2中的加密阶段及步骤ST5至ST8中的解密阶段。

首先定义参数。

令用户总数为n，联合的盗版者最大个数为k。

假定p和q为质数，p-1可以被q整除，而q大于等于n+k+1。

令Z_q＝{0，1，...，q-1}

令 $Z_{p^{*}}=\{1,...,p-1\}$

假设G_q是Z_p*的子组和次数为q的乘法组，而g是G_q的产生器。

令一组用户ID(用户个数)(下文中称为用户组)为U(UZ_q-{0})。在这里，Z_q-{0}意味着它是通过从Z_q中除去{0}获得的。令一组要撤消的用户(一组其解密密钥要撤消的用户)为χ。在这里，p，q和g都是公开的。

下文中，除非另外指出，假设计算是在Z_p*上进行的。

(密钥产生阶段)

内容提供***1将用户组U划分成t个不相交的子集(子组)。令t个不相交的子集为U₁，...，U_t。U₁，...，U_t是公开的。公钥所基于的参数a₀，...，a_k，b₁，...，b_t是从Z_q中随机选择的。

接下来，内容提供***1计算公钥e。公钥e由等式(1)给出：

$e=(g,y_{\mathrm{0,0}},\·\·\·,y_{0,k},y_{\mathrm{1,1}},\·\·\·,y_{1,t})$

$=(g,g^{a_0},\·\·\·,g^{a_k},\·\·\·,g^{b_1},\·\·\·,g^{b_t}).---\left(1\right)$

最后，内容提供***1提供将x＝u代入密钥产生多项式f_i(x)中计算属于子集U_i的用户ID＝u的解密密钥f_i(u)。在这里，密钥产生多项式f_i(x)指定给用户u所属的子集U_i，由等式(2)表示：

$f_i\left(x\right)=a_0+\underset{j=1}{\overset{k}{\mathrm{\Σ}}}{a}_{i,j}{x}^j\mathrm{mod}q,$

$a_{i,j}=\left\{\begin{array}{c}{a}_j(j\≠g\left(i\right)),\\ b_i(j=g\left(i\right)),\end{array}\right.$

$g\left(i\right)=\left\{\begin{array}{cc}i\mathrm{mod}k& (i\≠0\left(\mathrm{mod}k\right)),\\ k& (j\≡0\left(\mathrm{mod}k\right)),\end{array}\right.---\left(2\right)$

如图13所示，除了内容提供***1，密钥产生阶段的处理可以由可靠的第三方单元10b执行。这对以下解释的实施方式也适用。

(加密阶段)

内容提供***1的会话密钥产生部分13从G_q中随机选择一会话密钥。然后，头产生部分15选择随机数r并计算等式(3)：

$(\hat{h},h_0,\·\·\·,h_k)=(g^r,{\mathrm{sy}}_{\mathrm{0,0}}^r,y_{\mathrm{0,1}}^r,\·\·\·,y_{0,k}^r)---\left(3\right)$

$=(g^r,s{g}^{a_{0}r},g^{a_{1}r},\·\·\·,g^{a_{k}r})$

所获得的 随后用于计算头信息H₁，...，H_t。

接下来，如图6所示，头产生部分15对1≤i≤t重复以下处理，由此计算H₁，...，H_t(ST2-1至ST2-8)。

头产生部分15确定要撤消用户组χ及U_i的交集是否是空集(ST2-2)。

解释χ和U_i的交集为空集的情况。这是属于U_i的用户中没有用户是要撤消用户的情况。例如，图2的U₃对应于这种情况。头产生部分15利用以下等式(4)计算H_i(ST2-3)：当χ∩U₁＝φ时，

$H_i=({\hat{h}}_i,h_{i,0},\·\·\·{,h}_{i,k}),$

${\stackrel{\‾}{h}}_i=\hat{h}$

$h_{i,j}=\left\{\begin{array}{cc}{h}_j& (j\≠g\left(i\right)),\\ y_{1,j}^r& (j=g\left(i\right)),\end{array}---\left(4\right)\right.$

如果步骤ST2-2的结果显示要撤消的用户组χ和U_i的交集不是空集，则头产生部分15确定χ和U_i的交集是否是U_i(ST2-4)。

在这里将解释χ和U_i的交集是U_i的情况。这是所有属于U_i的用户都是要撤消用户的情况。例如，图2的U₁对应于这种情况。头产生部分15选择随机数z_i并利用等式(5)计算H_i(ST2-5)：

当χ∩U_i＝U_i时，

$H_1=({\hat{h}}_i,h_{i,0},...,h_{j,k}),$

h_i＝ h

$h_{i,j}=\left\{\begin{array}{cc}{h}_j& (j\≠g\left(i\right)),\\ g^{z_i}& (j=g\left(i\right)),\end{array}---\left(5\right)\right.$

等式(5)用于计算当属于特定子组U_i的所有用户***2的解密密钥都要撤消的情况下的H_1i，头信息H_i中对特子组U_i唯一的值b_i被替换成错误的值z_i。本发明不限于此。例如，在头信息H_i中，可以阻止头信息H_i包括元素h_i，g(i)。

由于在要撤消的子组中，计算会话密钥所必需的信息没有包括在头信息中，由此不能获得正确的会话密钥。但是在其它子组中可以获得正确的会话密钥。

将解释步骤ST2-4产生其它结果的情况(ST2-4：NO)。这是至少一个属于U_i的用户不是要撤消用户而且他们中至少一个是要撤消用户的情况。例如，这对应于图2的U₂。

如图7所示，头产生部分15设置通过从U_i中除去要撤消的用户组χ所获得的子集为{x₁，...，x_w}。例如，在U₂的情况下，它遵循{x₁，...，x₁₀}＝{31，...，40}(w＝10)。

然后，头产生部分15找出满足d(k+1)≤w≤d(k+1)+k的整数d并给出m＝d(k+1)+k。

接下来，如果w＜m，则头产生部分15从Z_q-(U+{0})中随机选择x_w+1，...，x_m。在这里，Z_q-(U+{0})表示它是通过从Z_q中除去U和{0}的并集获得的。在以上处理中，选自Z_q(不包括用户组和{0})的(m′-w)个不同元素x_w+1，...，x_m′可以加到通过从U_i中除去要撤消的用户组χ所获得的子集{x₁，...，x_w}。在这种情况下，把{x₁，...，x_w，x_w+1，...，x_m′}视为{x₁，...，x_w}进行计算(在上述每个等式中认为w＝m′)。

当对于1≤α≤m有c₀＝1时，头产生部分15确定Z_q的满足等式(6)的元素C₁，...，C_m。

$\underset{j=0}{\overset{m}{\mathrm{\Σ}}}{c}_j{x}_{\mathrm{\α}}^j=0\mathrm{mod}q.---\left(6\right)$

最后，头产生部分15选择随机数r_i并利用等式(7)计算H_i(ST2-6)：

$H_i=({\hat{h}}_i,h_{i,0},...,h_{i,m}),$

h_i＝g^ri，

h_i，0＝g^ri，

$h_{i,j}=\left\{\begin{array}{cc}{y}_{0,z_j}^{r_i}{y}_{\mathrm{0,0}}^{c_j(r-r_i)}& (z_j\≠g\left(i\right)),\\ y_{1,i}^{r_i}{y}_{\mathrm{0,0}}^{c_j(r-r_j)}& (z_j=g\left(i\right)),\end{array}\right.$

z_j＝jmod(k+1).                  (7)

在这种情况下，头信息H_i包括对每个子组唯一的值b_i及基于属于该子组的用户子集{x₁至x_w}的值{c₀，...，c_m}。当撤消属于特定子组的全部用户***2中的一个或多个的解密密钥时，头产生部分15不在子集{x₁，...，x_w}中包括要撤消的用户***2的用户ID。

当属于该子集的单个用户ID{u₁，...，u_w}在次数为m的多项式中用作变量以构成第二向量时，基于该子集的值{c₀，...，c_m}是满足以下等式的第一向量，其中第二向量和第一向量的内积为0。

(c₀，c₁，c₂，...c_m)·(1，u_w，u_w ²，...u_w ^m)＝0 mod q

其中u_w＝u₁到u_w中任何一个。

令在重复处理中获得的H₁，...，H_t为头H(χ)(ST2-9)。由于头可以利用公钥e计算，因此任何人都可以运行内容提供***1。构成由以上重复处理获得的H_1，...，H_t的相同元素被合并为一个并在头H(χ)中公共化，由此降低传输开销。这对以下解释的实施方式同样适用。

内容提供***1向用户***2发送利用会话密钥S加密的内容和头H(χ)(ST3至ST4)。

(解密阶段)

考虑用户u属于子集U_i。当如图8所示接收头H(χ)时(ST5-1)，用户ID＝u的用户***2利用H_i计算等式(8)：

$D_1\left(u\right)=(h_{i,0}\×h_{i,1}^u\×\·\·\·\×h_{i,m}^{u^m})/{\hat{h}}_i^{f_i\left(u\right){\mathrm{\Σ}}_{j=0}^d{u}^j(k+1)}---\left(8\right)$

其中d＝(m-k)/(k+1)

在这里，简单解释从头信息解密会话密钥的结果。

依赖于要撤消的用户组χ和U_i的交集是否是空集(ST5-2)，要撤消的用户组χ和U_i的交集是否是U_i(ST5-4)，或者要撤消的用户组χ和U_i的交集是否既不是空集也不是U_i(ST6)，单独解释在用户***2的会话密钥解密部分22的解密结果。用户***2的会话密钥解密部分22不确定这个。解密过程对每种情况是通用的。会话密钥解密部分22利用H_i计算等式(8)。

将解释χ-和U₁的交集是空集的情况(m＝k，d＝0)(ST5-2：YES)。这是属于U_i的用户中没有用户是要撤消用户的情况。例如，图2的U₃对应于这种情况。会话密钥解密部分22利用等式9计算D_i(u)，由此获得会话密钥s(ST6)：

当χ∩U₁＝φ(m＝k，d＝0)时

$D_i\left(u\right)=(h_{i,0}\×h_{i,1}^u\×\·\·\·\×h_{i,k}^{u^k})/{\hat{h}}_i^{f_i\left(u\right)}$

$=(s{y}_{\mathrm{0,0}}^r\×y_{\mathrm{0,1}}^{\mathrm{ru}}\×...\×y_{1,i}^{r{u}^{g\left(i\right)}}\×...\×y_{0,k}^{r{u}^k})/g^{r{f}_i\left(u\right)}$

$=s{g}^{r(a_0+{\mathrm{\Σ}}_{j=1}^k{a}_{i,}{j}^{u^j})}/g^{{\mathrm{rf}}_i\left(u\right)}$

$=s.---\left(9\right)$

在这里，将解释要撤消的用户组χ和U_i的交集是U_i的情况(m＝k，d＝0)(ST5-4：YES)。这是属于U_i的所有用户都是要撤消用户的情况。例如，图2的U₁对应于这种情况。

在这种情况下，它遵循 $h_{i,g\left(1\right)}=g^{\mathrm{zi}}\≠{y_1}^r,1.$

这给出D_i(u)≠s(ST5-5)，结果是不能获得会话密钥s(ST7)。在这个时候，作为计算出会话密钥的信息h_i，g(1)，由于为属于子组U_i的用户设置了错误的值，因此不能获得正确的会话密钥。

在这里将解释要撤消的用户组χ和U_i的交集既不是空集也不是U_i的情况(ST5-4：NO)。这是至少一个属于U_i的用户不是要撤消用户而且他们中至少一个是要撤消用户的情况。例如图2的U₂对应于这种情况。

D_i(u)进一步表示成等式(10)：

当要撤消的用户组χ和U_i的交集既不是空集也不是U_i的时候(χ∩U₁≠，χ∩U_i≠U_i)，

$=s\underset{j=0}{\overset{d}{\mathrm{\Π}}}\{y_{\mathrm{0,0}}^{r_i}{y_{\mathrm{0,0}}^{c_{j(k+1)}}}^{(r-r_j)}\×{\left(y_{\mathrm{0,1}}^{r_i}{y_{\mathrm{0,0}}^{c_{j(k+1)}}}^{(r-r_i)}\right)}^u$

$\×\·\·\·\×{\left(y_{1,i}^{r_i}{y}_{\mathrm{0,0}}^{{c_{j(k+1)+g\left(i\right)}}^{(r-r_i)}}\right)}^{u^{g\left(i\right)}}$

$\×\·\·\·\×{\left(y_{0,k}^{r_i}{y}_{\mathrm{0,0}}^{c_j(k+1)+k^{(r-r_i)}}\right)}^{u^k}{\}}^{u^{j(k+1)}}/g^{r_j{f}_i\left(u\right){\mathrm{\Σ}}_{t=0}^d}{u}^{t(k+1)}$

$=\frac{s{g}^{r_i(a_0+{\mathrm{\Σ}}_{j=1}^k{a}_{i,}{j}^{u^j}){\mathrm{\Σ}}_{i=0}^d{u}^{t(k+1)}}\×g^{a_0(r-r_i){\mathrm{\Σ}}_{j=0}^{d(k+1)+k{c}_j{u}^j}}}{g^{r_i{f}_i\left(u\right){\mathrm{\Σ}}_{i=0}^d{u}^{t(k+1)}}}$

$={\mathrm{sg}}^{a_0(r-r_i){\mathrm{\Σ}}_{j=0}^m{c}_j{u}^j}---\left(10\right)$

当用户u不是要撤消的用户时(ST6：NO)，等式(11)成立，给出D_i(u)＝s，这产生会话密钥s(ST8)。

${\mathrm{\Σ}}_{j=0}^m{c}_j{u}^j=0\mathrm{mod}q---\left(11\right)$

当用户u是要撤消的用户时(ST6：YES)，等式(11)不成立，阻止获得会话密钥S(ST7)。

(跟踪阶段)

将解释跟踪算法过程的例子。在此之前，将简单解释跟踪单元30和被跟踪的盗版者。当盗版解码器被没收时，跟踪单元30用于进行黑盒跟踪并识别出其解密密钥用于产生盗版解码器的盗版者(的用户ID)。

当盗版解码器基于授权的解码单元产生时，盗版解码器可能基于仅一个解码单元或多个解码单元产生。在后面的情况下，将解码单元泄漏给盗版解码器的盗版者称为合谋者。

在盗版解码器基于仅一个解码单元产生的情况下，可以使用与该解码单元相同的解密密钥。在盗版解码器基于多个解码单元产生的情况下，可以使用任何一个与这多个解码单元相同的解密密钥。在后一种情况下，除非所有合谋者的解密密钥都要撤消，否则可以获得会话密钥。

即使当多个盗版者合谋时，跟踪单元30也能比它进行传统的nCk次检查更快地进行检查，并识别出联合中的至少一个盗版者。

(过程的例子)

在具体的跟踪程序过程中，大的变化是可能的。跟踪程序不限于以下要解释的。图9是帮助解释跟踪单元的跟踪阶段操作的流程图。

当克隆解码器D被没收时，盗版者被以下处理识别出来。

假设子集U₁，...，U_t的元素用等式(12)标注出来：

$U_1=\{u_1,...,u_{d1}\}$

$U_2={\{u}_{d1+1,\·\·\·,}{u}_{d1+d2}\}$

:

$U_t=\{u_{{\mathrm{\Σ}}_{j=1}^{t-1}{d}_j+1},\·\·\·,u_{{\mathrm{\Σ}}_{j=1}^t}{d_j}^{(=u_n)}\}---\left(12\right)$

跟踪单元30对j＝1，...，n(ST11至ST21)执行以下处理。控制部分33代入正确解密的次数C_j＝0及同一个要撤消的用户组χ检查次数z＝1，并重复以下处理m次(ST12)。

控制部分33将要撤消的用户组设成χ＝{u₁，...，u_j}(ST13)并控制头产生部分32，由此产生头H(χ)(ST14)。头产生方法与加密阶段解释的一样。在该方法中，每次随机数都是随机选择的。

当头产生部分32将头H(χ)输入盗版解码器D时(ST15)，控制部分33观察盗版解码器D的输出。

在这个时候，控制部分33确定盗版解码器D是否输出了正确的会话密钥(ST16)。如果盗版解码器D输出了正确的会话密钥S(ST16：YES)，则控制部分33将C_j加1(ST17)。如果盗版解码器D没有输出正确的会话密钥S(ST16：NO)，则控制部分33不改变C_j的值。

如果盗版解码器D只输出了解密的内容，则控制部分33观察该内容是否被正确地解密。如果内容被正确地解密，则控制部分33将C_j加1。如果内容没有被正确地解密，则控制部分33阻止C_j的值的改变。

在任何情况下，在C_j改变后，控制部分33都确定检查次数z是否小于m次(ST18)。如果它小于m次，则控制部分33将z加1(ST19)并返回步骤ST14，在此控制部分33重复检查。

如果步骤ST18的确定结果显示检查次数z不小于m次，则控制部分33确定要撤消的用户数j是否小于用户总数n(ST20)。如果用户数j小于n，则控制部分33将j加1(ST21)并返回步骤ST12，在此控制部分33重复检查。

如果步骤ST20的确定结果显示要撤消的用户数j不小于用户总数n，则控制部分33结束检查。然后，控制部分33对j＝1，...，n计算c_j-1-c_j。如果控制部分33找到使c_j-1-c_j具有最大值的整数j(ST22)，则它确定u_j是盗版者并输出该盗版者的用户ID(ST23)。

在这种跟踪方法中，如图10和11所示，属于要撤消的用户组的盗版者候选人每次加1并进行检查，看当盗版者候选人被撤消时该候选人是否不能被解密。通过总共检查mn次，联合中至少有一个盗版者可以被识别出来。

例如，假设用户ID组是{u₁，...，u_n}，被检查对象解码单元20χ的合谋者用户ID是用户ID＝u₂，u₄。

在这种情况下，当给出利用用户ID＝u₁，u₂，u₃作为要撤消对象所产生的头信息时，由于要检查对象的解码单元20χ对应于用户ID＝u₄，因此获得正确的会话密钥。所以，在重复该处理m次以后，它遵循c₃＝m。

当给出利用用户ID＝u₁，u₂，u₃作为要撤消对象所产生的头信息时，由于不能从要检查对象的解码单元20χ获得正确的会话密钥，因此在重复该处理m次以后，它遵循c₄＝0。

因此，由于c₃-c₄具有最大值m，因此检测出要检查对象的解码单元20χ中的一个合谋者的用户ID是u₄。此外，通过改变用户标号的顺序，所有合谋者的用户ID都可以识别出来。

通常，至少有一个满足表达式c_j-1-c_j≥m/n的整数j。当具有用户ID＝u_i的用户不是盗版者时，表达式c_i-1-c_i≤m/n成立。因此，通过检测使c_j-1-c_j具有最大值的整数j，可以识别出盗版者ID。

由于头可以利用公钥e计算出来，因此任何人都可以利用跟踪单元30跟踪盗版者。当要检查对象的解密单元是更聪明的盗版解码器时，它可以想像到的要检查对象的解码单元检测到黑盒跟踪，所以根本不接受来自头产生部分32的输入。在这种情况下，利用那个时候的j值，非法用户ID可以确定成u_j。这对以下解释的实施方式也适用。

如上所述，对于第一实施方式，由于头信息包括一个或多个基于关于至少一个允许获得会话密钥s的用户***的用户识别信息的值，但并不明确包括用户***的用户识别信息，因此在黑盒跟踪中并没有泄漏谁的解密密钥被撤消的信息。由于在黑盒跟踪中每个输入的意图都是盗版解码器不知道的，因此可以确保跟踪试图读出输入意图并阻止盗版被识别为盗版的聪明的盗版解码器。

由于不限制一次能检查的嫌疑人个数，因此可以实现有效的黑盒跟踪。

(第二实施方式)

下文将解释本发明的第二实施方式。第二实施方式是对第一实施方式的修改。在第二实施方式中，将一组用户分成子组的方法不同于第一实施方式。

例如，当一组用户分成(V·k+Δk)个子组时(1≤V，0＜Δk≤k)，将由以下等式(13)表示的密钥产生多项式指定给第(v·k+i)个子组(0≤v≤V，1≤i≤k，当0≤v＜V，1≤i≤Δk，当v＝V)是可能的：

f_v·k+i(x)＝a₀+a₁·x+a₂·x²+...+a_i-1·x^i-1+b_v，i·xⁱ+a_i+1·xⁱ⁺¹+...+a_k-2·x^k-2+a_k-1·x^k-1+a_k·x^k

                                                (13)

其中a₀至a_i-1，a_i+1至a_k是多项式系数，而b_v，i是第(v·k+i)个子组唯一的多项式系数。

在将等式(13)指定给第(v·k+i)个子组的例子中，唯一多项式系数b_v，i没有设成a₀。代替这个例子，通过将等式(13c)指定给第(v·(k+1)+i+1)个子组，唯一多项式系数b_v，i可以设成a₀。

f_v·(k+1)+i+1(x)＝a₀+a_-1·x+a₂·x²+...+a_i-1·x^i-1+b_v，i·xⁱ+a_i+1·xⁱ⁺¹+...+a_k-2·x^k-2+a_k-1·x^k-1+a_k·x^k

                                                (13c)

其中a₀至a_i-1，a_i+1至a_k是多项式系数，而b_v，i是第(v·(k+1)+i+1)个子组唯一的多项式系数。以上指定是个例子。例如，密钥产生多项式f_v·k+i(x)可以随机指定并唯一代替，使得对应于子组号i。可能有未指定给任何子组的密钥产生多项式f_w·k+j(x)。这对于密钥产生多项式f_v·(k+1)+i+1(x)及以下解释的实施方式也适用。

对于v＝0，密钥产生多项式f_v·k+j(x)的单个系数b_v，i，即b_0，1，...，b_0，k，对应于上述解释中的b₁，...，b_k。b_0，1，...，b_0，k可以简写成b₁，...，b_k，而b_1，1，...，b_1，k可以简写成d₁，...，d_k。

例如，如果V＝1，那么d₁，...，d_Δk(等式(13)中的b_1，1，...，b_1，Δk)可以不需要增加k的值就加到密钥产生阶段，而且密钥产生多项式的个数(子组的个数)可以如以下等式(14)表示的那样增加：

f₁(x)＝a₀+b₁·x+a₂·x²+a₃·x³+...+a_k·x^k

f₂(x)＝a₀+a₁·x+b₂·x²+a₃·x³+...+a_k·x^k

：

f_k(x)＝ a₀+a₁·x+a₂·x²+a₃·x³+...+b_k·x^k

f_k+1(x)＝a₀+d₁·x+a₂·x²+a₃·x³+...+a_k·x^k

f_k+2(x)＝a₀+a₁·x+d₂·x²+a₃·x³+...+a_k·x^k

：

f_k+Δk(x)＝a₀+a₁·x+d₂·x²+...+d_Δk·x^Δk+...+a_k·x^k

                                                (14)

当V＝1且Δk＝k时，给出以下等式(15)：

f₁(x)＝a₀+b₁·x+a₂·x²+a₃·x³+...+a_k·x^k

f₂(x)＝a₀+a₁·x+b₂·x²+a₃·x³+...+a_k·x^k

：

f_k(x)＝a₀+a₁·x+a₂·x²+a₃·x³+...+b_k·x^k

f_k+1(x)＝a₀+d₁·x+a₂·x²+a₃·x³+...+a_k·x^k

f_k+2(x)＝a₀+a₁·x+d₂·x²+a₃·x³+^-...+a_k·x^k

：

f_2k(x)＝a₀+a₁·x+d₂·x²+a₃·x³+...+d_k·x^k

                                        (15)

当V＝2时，参数以类似的方式添加，从而增加密钥产生多项式的个数(子组的个数)。例如，在等式(13)中，参数b_v，i是如下设置的：

$b_{v,i}=\left[\begin{array}{ccccccc}{b}_{\mathrm{0,1}}& b_{\mathrm{0,2}}& ...& ...& ...& b_{0,k-1}& b_{0,k}\\ b_{\mathrm{1,1}}& b_{\mathrm{1,2}}& ...& ...& ...& b_{1,k-1}& b_{1,k}\\ :& :& :& b_{v,i}& :& :& :\\ b_{v-\mathrm{1,1}}& b_{v-\mathrm{1,2}}& ...& ...& ...& b_{v-1,k-1}& b_{v-1,k}\\ b_{v,1}& b_{v,2}& ...& b_{v,\mathrm{\Δk}}& ...& b_{v,k-1}& b_{v,k}\end{array}\right]$

在这种情况下，对应的用户组U_v·k+i如下表示：

U_v·k+i＝{U₁，U₂，...，...，...，U_k-1，U_k，

         U_k+1，U_k+2，...，...，...，U_2k-1，U_2k，

         ... ...，...，U_v·k+i，...，...，...，

         U_(V-1)k+1，U_(V-1)k+2，...，...，...，U_(V-1)k+k-1，U_(V-1)k+k，

         U_V·k+1，U_v.k+2，...，U_V·k+Δk，...，U_V·k+k-1，U_V·k+k}

此外，密钥产生多项式的个数(子组的个数)可以通过增加k的值和添加参数来增加。在下面的实施方式中将详细解释将k的值增加到2k-1的例子。

如上所述，第二实施方式不仅能产生第一实施方式的效果，而且能改变子组划分方法。

(第三实施方式)

接下来将解释本发明的第三实施方式。第三实施方式是对第一实施方式的修改。在第三实施方式中，会话密钥s嵌入的位置不同于第一实施方式，而且密钥产生多项式的次数增加到2k-1，以增强安全性。下文中，密钥产生阶段、加密阶段、解密阶段和跟踪阶段将依次解释。除非另外指出，否则使用与第一实施方式相同的对参数等的定义。

令q为质数。假定q是p-1的因子并大于等于n+2k。

(密钥产生阶段)

内容提供***1将用户组U划分成t个不相交的子集(子组)。令t个不相交的子集为U₀，...，U_t-1。U₀，...，U_t-1是公开的。公钥所基于的参数a₀，...，a_2k-1，b₀，...，b_t-1是从Z_q中随机选择的。

接下来，内容提供***1计算公钥e。公钥e由等式(1a)给出：

$e=(g,y_{\mathrm{0,0}},\·\·\·,y_{\mathrm{0,2}k-1},y_{\mathrm{1,0}},\·\·\·,y_{1,t-1})$

$=(g,g^{a_0},...,g^{a_{2k-1}},g^{b_0},...,g^{b_{t-1}})---\left(1a\right)$

最后，内容提供***1通过将x＝u代入密钥产生多项式f_i(x)中计算属于子集U_i的用户ID＝u的解密密钥f_i(u)。在这里，密钥产生多项式f_i(x)指定给用户u所属的子集U_i并表示为等式(2a)：

$f_i\left(x\right)=\underset{j=0}{\overset{2k-1}{\mathrm{\Σ}}}{a}_{i,j}{x}^j\mathrm{mod}q,$

$a_{i,j}=\left\{\begin{array}{cc}{a}_j& (j\≠i\mathrm{mod}2k),\\ b_i& (j=i\mathrm{mod}2k).\end{array}\right.---\left(2a\right)$

(加密阶段)

内容提供***1的会话密钥产生部分13从G_q随机选择一会话密钥。然后，如图6所示，头产生部分15选择随机数r并通过对0≤i≤t-1重复以下处理计算H₀，...，H_t-1(ST2-1至ST2-8)。在对1≤i≤t重复处理的图6中，在第三实施方式中将1≤i≤t读作0≤i≤t-1。

头产生部分15确定要撤消的用户组χ和U_i的交集是否是空集(ST2-2)。

在这里，将解释χ和U_i的交集是空集的情况。这是属于U_i的用户中没有用户是要撤消用户的情况。例如，图2的U₃对应于这种情况。头产生部分15利用以下等式(4a)计算H_i(ST2-3)：

当χ∩U_i＝φ，

$h_{i,j}=\left\{\begin{array}{cc}{y}_{0,j}^r& (j\≠i\mathrm{mod}2k),\\ s{y}_{1,i}^r& (j=i\mathrm{mod}2k).\end{array}\right.---\left(4a\right)$

如果步骤ST2-2的结果显示要撤消的用户组χ和U_i的交集不是空集，则头产生部分15确定χ和U_i的交集是否是U_i(ST2-4)。

在这里，将解释χ和U_i的交集是U_i的情况。这是所有属于U_i的用户都是要撤消用户的情况。例如，图2的U₁对应于这种情况。头产生部分15选择随机数z_i并利用等式(5a)计算H_i(ST2-5)：

当χ∩U_i＝U_i，

$h_{i,j}=\left\{\begin{array}{cc}{y}_{0,j}^r& (j\≠i\mathrm{mod}2k),\\ g^{z_i}& (j=i\mathrm{mod}2k).\end{array}\right.---\left(5a\right)$

等式(5a)用于计算在所有属于U_i的用户的解密密钥都要撤消的情况下的H_i，如前所述，头信息H_i中对子组U_i唯一的值b_i被替换成不正确的值z_i。本发明不限于此。例如，在撤消的时候，如前所述，在头信息H_i中可以阻止头信息H_i包括元素h_i，i mod 2k。

将解释步骤ST2-4产生其它结果的情况(ST2-4：NO)。例如，这对应于图2的U₂。

头产生部分15将通过从U_i中除去要撤消用户组χ所获得的子集设成{x₁，...，x_w}。然后，头产生部分15找出满足表达式w≤2k(d+1)-1的整数d并给出m＝2k(d+1)-1。

其后，如果w＜m，则如前所述，头产生部分15从Z_q-(U+{0})中随机选择x_w+1，...，x_m。在上述处理中，(m’-w)个不同元素x_w+1，...，x_m’可以如前所述加到子集{x₁，...，x_w}。

头产生部分15确定对1≤α≤m满足等式(6)的Z_q的元素c₀，...，c_m。最后，头产生部分15选择随机数r_i并利用等式(7a)计算H_i(ST2-6)：

$h_{i,j}=\left\{\begin{array}{cc}{g}^{c_j}{y}_{0,j\mathrm{mod}2k}^{r_i}& (j\≠i\left(\mathrm{mod}2k\right)),\\ g^{c_j}{y}_{1,i}^{r_i}& (j\≠i\mathrm{mod}2k,j\≡i\left(\mathrm{mod}2k\right)),\\ s{g}^{c_j}{y}_{1,i}^{r_i}& (j=i\mathrm{mod}2k).\end{array}\right.---\left(7a\right)$

令重复处理中所获得的H₀，...，H_t-1是头H(χ)(ST2-9)。内容提供***1将利用会话密钥s加密的内容和头H(χ)发送到用户***2(ST3至ST4)。

(解密阶段)

考虑用户u属于子集U_i。当如图8所示接收头H(χ)时(ST5-1)，具有用户ID＝u的用户***2利用H_i计算等式(8a)：

其中d＝(m+1)/2k-1

就象在第一实施方式中，依赖于要撤消的用户组χ与U_i的交集是否是空集(ST5-2)，要撤消的用户组χ与U_i的交集是否是U_i(ST5-4)，或者要撤消的用户组χ与U_i的交集是否既不是空集也不是U_i(ST6)，单独解释在用户***2的会话密钥解密部分22解密的结果。

(跟踪阶段)

跟踪算法过程的例子与第一实施方式相同。由于头可以利用公钥e计算，因此任何人都可以利用跟踪单元30跟踪盗版者。

如上所述，关于第三实施方式，密钥产生多项式的次数增加到2k-1的配置不仅可以产生第一实施方式的效果，而且可以根据次数的增加提高安全性。此外，甚至会话密钥s嵌入位置改变的配置也能产生与第一实施方式相同的效果。

(第四实施方式)

接下来，将参考图12解释本发明的第四实施方式。第四实施方式是对第一实施方式的修改。在第四实施方式中，在加密阶段解密密钥没有撤消(即，所以接收者都是不撤消的用户)。就象在第三实施方式中，在第四实施方式中密钥产生多项式的次数也增加到2k-1。下文中，密钥产生阶段、加密阶段、解密阶段和跟踪阶段将依次解释。除非另外指出，否则使用与第一实施方式相同的对参数等的定义。

令q为质数。假定q是p-1的因子并大于等于n+2k-1。

(密钥产生阶段)

密钥产生阶段的处理过程与第三实施方式相同。

(加密阶段)

内容提供***1的会话密钥产生部分13从G_q随机选择一会话密钥。然后，如图12所示，头产生部分15选择随机数R₀、R₁并通过对0≤i≤t-1重复以下处理计算H₀，...，H_t-1(ST2-1至ST2-8)。

R₀或R₁的值替换成r_i并利用等式(4b)计算H_i(ST2-3’)：

$h_{i,j}=\left\{\begin{array}{cc}{y}_{0,j}^{r_i}& (j\≠i\mathrm{mod}2k),\\ s{y}_{1,i}^{r_i}& (j=i\mathrm{mod}2k).\end{array}\right.---\left(4b\right)$

令在重复处理中获得的H₀，...，H_t-1为头H(χ)(ST2-9’)。下文中，如前所述，内容提供***1将利用会话密钥s加密的内容和头H(χ)发送到用户***2。

(解密阶段)

考虑用户u属于子集U_i。当如图8所示接收头H(χ)时，具有用户ID＝u的用户***2通过利用H_i计算等式(8b)获得会话密钥s：

$={\{(y_{\mathrm{0,0}}^{r_i}\×y_{\mathrm{0,1}}^{r_{i}u}\×\·\·\·\×y_{1,i}^{r_i{u}^{i\mathrm{mod}2k}}\×\·\·\·\×y_{\mathrm{0,2}k-1}^{r_i{u}^{2k-1}})/g^{r_i{f}_i\left(u\right)}\}}^{1/u^{i\mathrm{mod}2k}}$

$={\{s^{u^{i\mathrm{mod}2k}}{g}^{r_i{\mathrm{\Σ}}_{j=0}^{2k-1}{a}_{i,j}{u}^j}/g^{r_i{f}_i\left(u\right)}\}}^{1/u^{i\mathrm{mod}2k}}$

$=s.\·\·\·\left(8b\right)$

(跟踪阶段)

跟踪算法过程的例子与第一实施方式相同。跟踪单元在跟踪阶段的操作与图9中描述的相同。第四实施方式与第一实施方式的区别在于跟踪阶段用于产生头的过程与加密阶段中的不同。

具体来说，如上所述，在第四实施方式中，头的产生使所有用户都变成在加密阶段不撤消的用户。相反，在跟踪阶段，头的产生使有些用户被撤消，而其它不撤消。由于第四实施方式中在跟踪阶段不撤消的一组用户区别于加密阶段中不撤消的一组用户，因此在跟踪阶段用于产生头的过程不同于加密阶段产生头的过程。

下文中只解释跟踪阶段用于产生头的过程。为了简单，假定对任何子集，子集的元素个数都是2k，即|U₀|＝...＝|U_t-1|＝2k，n＝2kt。假设子集U₀，...，U_t-1的元素用等式(12b)标注：

U₀＝{u₁，...，u_2k}

U₁＝{u_2k+1，...，u_4k}

：

U_t-1＝{u_n-2k+1，...，u_n}                  (12b)

当要撤消的用户组χ＝{u₁，...，u_j}时，头H(χ)根据以下过程产生。

H₀，...，H_t-1是通过对0≤i≤t-1重复以下处理计算的。符号与加密阶段所使用的相同。

头产生部分32确定要撤消的用户组χ与U_i的交集是否是空集。

在这里，将解释χ和U_i的交集是空集的情况。这是属于U_i的用户中没有用户是要撤消用户的情况。头产生部分32利用以下等式(16)计算H_i：

当χ∩U_i＝φ，

$\mathrm{hi},j=\left\{\begin{array}{cc}{y}_{0,j}^{R_0}& (j\≠i\mathrm{mod}2k),\\ s{y}_{1,i}^{R_0}& (j=i\mathrm{mod}2k).\end{array}\right.---\left(16\right)$

如果要撤消的用户组χ与U_i的交集不是空集，则头产生部分32确定χ与U_i的交集是否是U_i。

在这里，将解释χ和U_i的交集不是U_i的情况。这是至少一个属于U_i的用户不是要撤消用户且他们中至少一个是要撤消用户的情况。例如，这对应于图2的U₂。

如图7所示，头产生部分32将通过从U_i中除去要撤消的用户组χ所获得的子集设成{x₁，...，x_w}。例如，在图2中U₂的情况下，它遵循{x₁，...，x₁₀}＝{31，...，40}(w＝10)。

接下来，如果w＜2k-1，则头产生部分32从Z_q-(U+{0})中随机选择x_w+1，...，x_2k-1。在这里，Z_q-(U+{0})意思是从Z_q中除去U和{0}的并集所获得的。

头产生部分32确定对1≤α≤2k-1满足等式(17)的Z_q的元素c₀，...，c_2k-1：

$\underset{j=0}{\overset{2k-1}{\mathrm{\Σ}}}{c}_j{x}_{\mathrm{\α}}^j=0\mathrm{mod}q---\left(17\right)$

最后，头产生部分32利用等式(18)计算H_i：

$h_{i,j}=\left\{\begin{array}{cc}{g}^{c_j}{y}_{0,j}^{R_1}& (j\≠i\mathrm{mod}2k),\\ s{g}^{c_j}{y}_{1,i}^{R_1}& (j=i\mathrm{mod}2k).\end{array}\right.---\left(18\right)$

在这里，将解释χ和U_i的交集是U_i的情况。这是所有属于U_i的用户都是要撤消用户的情况。例如，图2的U₁对应于这种情况。头产生部分32选择随机数z_i并利用等式(19)计算H_i：

当χ∩U_i＝U_i，

$h_{i,j}=\left\{\begin{array}{cc}{h\text{'}}_{i,j}& (j\≠i\mathrm{mod}2k),\\ g^{z_i}& (j=i\mathrm{mod}2k).\end{array}\right.---\left(19\right)$

h’_i，j在以下两种情况下进一步定义并利用等式(20)或等式(21)计算。

如果没有满足χ∩U_L≠φ且χ∩U_L≠U_L的U_L(0≤L≤t-1)，给出：

${h^{\text{'}}}_{i,j}=y_{0,j}^{r_i}---\left(20\right)$

如果有满足χ∩U_L≠φ且χ∩U_L≠U_L的U_L(0≤L≤t-1)，给出：

${h^{\text{'}}}_{i,j}=\left\{\begin{array}{cc}{y}_{0,j}^{R_0}& (r_i=R_0),\\ g^{c_j}{y}_{0,j}^{R_1}& (r_i=R_1).\end{array}---\left(21\right)\right.$

令在重复处理中所获得的H₀，...，H_t-1为头H(χ)。

由于头可以利用公钥e计算，因此任何人都可以利用跟踪单元30跟踪盗版者。

如上所述，关于第四实施方式，密钥产生多项式的次数增加到2k-1的配置不仅可以产生第一实施方式的效果，而且可以根据次数的增加提高安全性。此外，甚至解密密钥未在加密阶段撤消的配置也能产生与第一实施方式相似的效果。

(第五实施方式)

接下来，将解释本发明的第五实施方式。作为第三或第四实施方式的修改，第五实施方式利用将分开的子组指定给叶子的二叉树结构。具体来说，在从二叉树结构根到多个叶子沿节点扩展的路径中，密钥产生多项式指定给单独的节点。这是以多级形式按级排列密钥产生多项式的例子。尽管在以下例子中将解释二叉树结构，但本发明不限于此。例如，分支数可以是任何值。在一种树结构中，可能存在分支数不同的节点。在从根到叶子的路径中，节点个数(级数)不一定对所有叶子都相同。可能有位于不同等级的叶子。就象在第三或第四实施方式中，密钥产生多项式的次数增加到2k-1。下文中，密钥产生阶段、加密阶段、解密阶段和跟踪阶段将依次解释。除非另外指出，否则参数及其它定义与第一实施方式相同。

令q为质数。假定q是p-1的因子并大于等于n+2k-1。

(密钥产生阶段)

内容提供***1将用户组U划分成t个不具有公共元素的子集(子组)。为了简化解释，假设t＝4，|U₀|U₁|＝|U₂|＝|U₃|＝2k。令这4个子集为U₀，...，U₃。U₀，....，U₃是公开的。公钥所基于的参数a₀，...，a_2k-1，b₀，...，b_2k-1，c₀，...，c₆，d₀，...，d₆是从Z_q中随机选择的。参数c₀，...，c₆和参数d₀，...，d₆的个数是7(＝2t-1)。

接下来，如图14所示，内容提供***1向单个节点指定密钥产生多项式A_i(x)、B_i(x)。在这里，节点分别标注为0至2t-2。密钥产生多项式A_i(x)、B_i(x)是利用等式(22)产生的。

$\left\{\begin{array}{c}{A}_m\left(x\right)=a_0+a_{1}x+{\mathrm{\λb}}_2{x}^2+{\mathrm{\λd}}_m{x}^3+\mathrm{\λ}{b}_4{x}^4+\·\·\·+a_{2k-1}{x}^{2k-1}\\ B_m\left(x\right)=b_0+b_{1}x+{\mathrm{\λ}}^{-1}{a}_2{x}^2+{\mathrm{\λ}}^{-1}{c}_m{x}^3+{\mathrm{\λ}}^{-1}{a}_4{x}^4+\·\·\·+b_{2k-1}{x}^{2k-1}\end{array}\right.$

$\left\{\begin{array}{c}{A}_j\left(x\right)=a_0+{\mathrm{\λb}}_{1}x+c_j{x}^2+a_3{x}^3+\·\·\·+a_{2k-1}{x}^{2k-1}\\ B_j\left(x\right)=b_0+{\mathrm{\λ}}^{-1}{a}_{1}x+d_j{x}^2+b_3{x}^3+\·\·\·+b_{2k-1}{x}^{2k-1}\end{array}\right.$

$\left\{\begin{array}{c}{A}_i\left(x\right)=a_0+c_{i}x+a_2{x}^2+a_3{x}^3+\·\·\·+a_{2k-1}{x}^{2k-1}\\ B_i\left(x\right)=b_0+d_{i}x+b_2{x}^2+b_3{x}^3+\·\·\·+b_{2k-1}{x}^{2k-1}\end{array}\right.$

c_i、d_i是指定给节点的密钥产生多项式唯一的系数，嵌入在(i mod2k)次的系数中。等式(22)是对i mod 2k＝1、j mod 2k＝2、m mod2k＝3的例子。系数λ是其嵌入位置和个数可以任意设置的秘密常量。在密钥产生多项式A_i(x)、B_i(x)中，在相同的节点，λ的嵌入位置和要嵌入的λ的个数是相同的。

接下来，内容提供***1计算公钥e。公钥e表示为等式(23)：

公钥e(当t＝4)

$g,g^{\mathrm{\λ}},g^{a_0+\mathrm{\λ}{b}_0},\·\·\·,g^{a_{2k-1}+\mathrm{\λ}{b}_{2k-1}},g^{c_0+\mathrm{\λ}{d}_0},\·\·\·,g^{c_6+\mathrm{\λ}{d}_6}---\left(23\right)$

最后，内容提供***1为属于子集U_i的用户ID＝u产生解密密钥。例如，当用户u属于U₀时，内容提供***1通过将x＝u代入密钥产生多项式A_i(x)、B_i(x)、A_j(x)、B_j(x)、A_m(x)、B_m(x)来计算解密密钥。在这里，密钥产生多项式A_i(x)、B_i(x)、A_j(x)、B_j(x)、A_m(x)、B_m(x)指定给用户u所属的子集U₀并表示为等式(22)。

(加密阶段)

内容提供***1的会话密钥产生部分13从G_q随机选择一会话密钥。然后，头产生部分15选择随机数R₀、R₁。下文将利用图15给出解释。首先，根m设为节点N(ST31)。对于所有以节点N作为祖先的用户，确定它们是否对应于以下情况(1)至(3)的任何一个(ST32)：(1)当所有用户都要撤消的时候，(2)当所有用户都要生效时，及(3)当生效用户的个数大于等于1且小于等于2k-1时。

词祖先意味着不仅是根，而且还是父节点、父亲的父节点、父亲的父亲的父节点、...。

头产生部分15根据确定结果计算头H_N(ST33)。

(1)当所有用户都要撤消时

头产生部分15利用等式(24)计算H_N。任一随机数R₀、R₁的值(在每次计算H_N时随机)替换成r。

$H_N=(h_N,h_N^{\text{'}},h_{N,0},h_{N,1},\·\·\·,h_{N,y_N,\·\·\·,}{h}_{N,2k-1})$

$=(g^r,g^{\mathrm{\λr}},g^{(a_0+\mathrm{\λ}{b}_0)r},g^{(a_1+\mathrm{\λ}{b}_1)r},\·\·\·,g^{z_N},\·\·\·,g^{(a_{2k-1}+\mathrm{\λ}{b}_{2k-1})r})---\left(24\right)$

y_N＝N mod 2k

如上所述，等式(24)是在撤消过程中将以节点N为祖先的用户组唯一的值c_N、d_N设成不同于正确值的值z_N。此外，在撤消过程中，唯一的值c_N、d_N可以如上所述去掉。

(2)当所有用户都要生效时

头产生部分15利用等式(25)计算H_N。随机数R₀替换成r。如果下面的项(3)不存在，则随机数R₀或随机数R₁(在每次计算H_N时随机)替换成r。

$H_N=(h_N,h_N^{\text{'}},h_{N,0},h_{N,1},\·\·\·,h_{N,y_N},\·\·\·,h_{N,2k-1})$

$=(g^r,g^{\mathrm{\λr}},g^{(a_0+\mathrm{\λ}{b}_0)r},g^{(a_1+{\mathrm{\λb}}_1)r},\·\·\·,s{g}^{(c_N+\mathrm{\λ}{d}_N)r},$

$\·\·\·,g^{(a_{2k-1}+\mathrm{\λ}{b}_{2k-1})r})---\left(25\right)$

y_N＝N mod 2k

(3)当生效用户的个数大于等于1且小于等于2k-1时

以与在第四实施方式跟踪阶段解释的找出满足等式(17)的Z_q的元素c₀，...，c_2k-1相同的方式，头产生部分15确定Z_q的元素L₀，...，L_2k-1，并利用等式(26)计算H_N。随机数R₁替换成r。

$H_N=(h_N,h_N^{\text{'}},h_{N,0},h_{N,1},\·\·\·,h_{N,y_N},\·\·\·,h_{N,2k-1})$

$=(g^r,g^{\mathrm{\λr}},g^{L_0}{g}^{(a_0+{\mathrm{\λb}}_0)r}{,g}^{L_1}{g}^{(a_1+\mathrm{\λ}{b}_1)r},\·\·\·,$

$s{g}^{L_{\mathrm{yN}}}{g}^{(c_N+\mathrm{\λ}{d}_N)r},\·\·\·,g^{L_{2K-1}}{g}^{(a_{2k-1}+\mathrm{\λ}{b}_{2k-1})r})---\left(26\right)$

y_N＝N mod 2k

当用户不属于项(1)至项(3)中任何一个时(ST32：NO)，节点N还未测试的一个子节点设成节点N(ST34)并重复以上处理。叶子可以设成节点N。

确定是否已经为所有生效的用户组产生了HN(ST35)。如果已经为所有生效的用户组产生了H_N，则所产生的多个H_N设成头H(χ)(ST36)。如果还没有(ST35：NO)，则与根最接近的未测试节点，即最高级的节点，设成节点N并重复以上处理。叶子可以设成节点N。

尽管在上面的例子中，已经解释了选择级尽可能高的节点以便尽可能多地减小头大小的方法，但本发明不限于此。例如，以下方法也是可能的。在图14中，如果所有属于U₀的用户都要撤消且k个属于U₁的用户要生效，所有属于U₂的用户要生效且所有属于U₃的用户要生效，则根据图15的流程图选择给出H(χ)＝(H_j，H_v)的节点j和节点v。在这里，节点j是叶子i(对应于U₀)和叶子w(对应于U₁)的父节点。节点v是对应于U₂的叶子和对应于U₃的叶子的父节点。本发明不限于此。只要满足步骤ST32的条件，节点可以任何方式选择。例如，叶子i、叶子w和节点v可以选择成给出H(χ)＝(H_i，H_w，H_v)。

(解密阶段)

考虑属于子集U₀的用户u。当接收头H(χ)时，具有用户ID＝u的用户***2利用包括在头H(χ)中的H_i、H_j和H_m中的一个从等式(27)获得会话密钥s。包括在头H(χ)中的以下等式是利用H_j为用户u获得会话密钥s的计算公式。

头H_j

H_j＝(h_j，h_j，h_j，0，h_j，1，...，h_j，yj，...，h_j，2k-1)

y_j＝j mod 2k

解密

${s=\left(\frac{h_{j,0}\×h_{j,1}^u\×\·\·\·\×h_{j,2k-1}^{u^{2k-1}}}{h_j^{A_j\left(u\right)}{h}_j^{\text{'}{B}_j\left(u\right)}}\right)}^{1/u^{j\mathrm{mod}2k}}---\left(27\right)$

(跟踪阶段)

跟踪算法过程的例子与第一实施方式相同。跟踪单元在跟踪阶段的操作与图9中相同。由于头可以利用公钥e计算，因此任何人都可以利用跟踪单元30跟踪盗版者。

如上所述，根据这种实施方式，使用以多级形式组织密钥产生多项式的配置除了第三和第四实施方式的效果，还使得能够根据密钥产生多项式的级减小头大小。甚至密钥产生多项式的多级配置也能产生与第一实施方式相同的效果。

上述实施方式中加密单元、解密单元和跟踪单元中的任一个都可以在硬件中实现，如半导体集成设备，或在软件中实现(使计算机执行特定装置或充当特定装置或实现特定功能的程序)。当然，它们可以通过结合硬件与软件来实现。

当加密单元、解密单元和跟踪单元在程序中实现时，它们可以存储在存储介质上，如磁盘(例如，软盘(注册商标)磁盘或硬磁盘)、光盘(例如，CD-ROM或DVD)、磁光盘(MO)或半导体存储器，然后分配。

存储介质可以使用任何存储方法，只要该介质能存储程序并被计算机读出。

根据从存储介质安装到计算机的程序，运行在包括数据管理软件和网络软件的计算机或中间件上的操作***可以执行实现上述实施方式必需的部分处理。

本发明的存储介质不仅包括独立于计算机的存储介质，而且还包括通过下载并存储或暂时存储通过LAN或因特网传输的程序的存储介质。

存储介质的个数不限于一个。例如，实施方式中的处理利用多个存储介质执行的情况可以包括在本发明的存储介质中。存储介质的配置可以采取任何形式。

本发明的计算机根据存储在存储介质中的程序执行实施方式中的各种处理。计算机可以是单个个人计算机，或者是通过网络连接多个计算机形成的***。

此外，不仅包括个人计算机还包括算术处理单元和微计算机的本发明的计算机是通用术语，用于指能够通过利用程序实现本发明功能的工具和装置。

实施方式中的配置是说明性的，而不是限制性的。例如，该配置的一部分可以利用其它元件代替或去掉。其它功能或元件可以添加到该配置。这些配置可以合并形成其它配置。逻辑上等效于所说明配置的其它配置、包括逻辑上等效于所说明配置的部分的其它配置及逻辑上等效于所说明配置主要部分的其它配置都是可能的。实现与所说明配置相同目的或相似目的的其它配置及产生与所说明配置相同效果或相似效果的其它配置也是可能的。

实施方式中组件部分的很大变化可以适当地组合。

本发明的实施方式包括涉及各种观点、阶段、概念或类别的发明，包括本发明的独立装置、两个或多个根据本发明彼此相关的装置、本发明的整个***、根据本发明的独立装置中的组件部分及对应于这些装置的方法。

因此，有可能从在本发明实施方式中公开的内容提取发明，而不限于所说明的配置。

本发明不限于上述实施方式，而可以在技术范围内进行各种修改和实施。即，本发明不限于上述实施方式，在不背离其主旨或基本特征的前提下可以其它途径实践或实施。此外，各种发明是通过适当组合在上述实施方式中公开的组件部分产生的。例如，实施方式中所示的有些组件部分可以去掉。而且，多于一种实施方式中的组件元件可以适当地组合。

Claims (53)

1、一种内容提供***，其从第三方单元接收对应于指定给多个用户***的解密密钥的加密密钥并向所述多个用户***中的每个提供加密内容及解密该加密内容的头信息，其中解密密钥是通过将用户***唯一的用户识别信息代入指定给多条用户识别信息所属各子组的密钥产生多项式中所获得的值，该内容提供***包括：

内容加密设备，配置成利用会话密钥加密内容并获得加密的内容；

头信息产生设备，配置成利用加密密钥加密会话密钥并产生包括所获得加密的会话密钥和基于关于至少一个允许解密该加密会话密钥的用户***的用户识别信息的值的头信息；及

发送设备，配置成向每个用户***发送加密内容和头信息。

2、一种内容提供***，向用户***提供加密内容及用于解密该加密内容的头信息，该内容提供***包括：

内容加密设备，配置成利用会话密钥加密内容并获得加密的内容；

加密密钥产生设备，配置成根据多个多项式系数产生所述多个用户***公共的加密密钥；

解密密钥产生设备，配置成根据多个多项式系数产生每个用户***唯一的解密密钥，该解密密钥产生设备包括

划分设备，配置成将一组用户***的用户识别信息划分成一个或多个子组，

指定设备，配置成为每个子组指定具有多个多项式系数的不同密钥产生多项式，及

代入设备，配置成通过把该用户***的用户识别信息代入到指定给用户***的用户识别信息所属子组的密钥产生多项式中产生用户***的解密密钥；

头信息产生设备，配置成以会话密钥可以利用指定给用户***的解密密钥获得的方式利用加密密钥加密会话密钥并产生包括所获得加密的会话密钥和一个或多个基于关于至少一个允许获得该会话密钥的用户***的用户识别信息的值的头信息；及

发送设备，配置成向每个用户***发送加密内容和至少一部分头信息。

3、如权利要求2所述的内容提供***，其中每个密钥产生多项式都包括多项式系数，该多项式系数至少有一部分区别于任何其它密钥产生多项式的多项式系数。

4、如权利要求3所述的内容提供***，其中密钥产生多项式至少有一个多项式系数乘以在***启动时创建的秘密常量。

5、如权利要求2所述的内容提供***，其中如果多项式的次数是k而用户识别信息是x，则指定设备将以下密钥产生多项式f_v·k+i(x)指定给第(v·k+i)个子组(0≤v，1≤i≤k)：

f_v·k+i(x)＝a₀+a₁·x+a₂·x²+...+a_i-1·x^i-1+b_v·i·xⁱ+a_i+1·xⁱ⁺¹+...+a_k-2·x^k-2+a_k-1·x^k-1+a_k·x^k

其中a₀至a_i-1、a_i+1至a_k是多项式系数，而b_v·i是第(v·k+i)个子组唯一的多项式系数。

6、如权利要求2所述的内容提供***，其中如果多项式的次数是k而用户识别信息是x，则指定设备将以下密钥产生多项式f_v·(k+1)+i+1(x)指定给第(v·(k+1)+i+1)个子组(0≤v，0≤i≤k)：

f_v·(k+1)+i+1(x)＝a₀+a₁·x+a₂·x²+...+a_i-1·x^i-1+b_v·i·xⁱ+a_i+1·xⁱ⁺¹+...+a_k-2·x^k-2+a_k-1·x^k-1+a_k·x^k

其中a₀至a_i-1、a_i+1至a_k是多项式系数，而b_v·i是第(v·(k+1)+i+1)个子组唯一的多项式系数。

7、如权利要求2所述的内容提供***，其中如果多项式的次数是2k-1而用户识别信息是x，则指定设备将以下密钥产生多项式f_2vk+i+1(x)指定给第(2vk+i+1)个子组(0≤v，0≤i≤2k-1)：

f_2vk+i+1(x)＝a₀+a₁·x+a₂·x²+...+a_i-1·x^i-1+b_v·i·xⁱ+a_i+1·xⁱ⁺¹+...+a_2k-3·x^2k-3+a_2k-2·x^2k-2+a_2k-1·x^2k-1

其中a₀至a_i-1、a_i+1至a_2k-1是多项式系数，而b_v·i是第(2vk+i+1)个子组唯一的多项式系数。

8、如权利要求2所述的内容提供***，其中作为使得能获得会话密钥的数据的一部分，头信息包括只能由其用户识别信息属于一子组的每个用户***使用的数据，及

当其用户识别信息属于一特定子组的所有用户***的解密密钥都要撤消时，头信息产生设备设置一不正确的值作为只能由其用户识别信息属于该特定子组的每个用户***使用的数据。

9、如权利要求2所述的内容提供***，其中作为使得能获得会话密钥的数据的一部分，头信息包括只能由其用户识别信息属于一子组的每个用户***使用的数据，及

当其用户识别信息属于一特定子组的所有用户***的解密密钥都要撤消时，头信息产生设备阻止头信息包括只能由其用户识别信息属于该特定子组的每个用户***使用的数据。

10、如权利要求2所述的内容提供***，其中作为使得能获得会话密钥的数据的一部分，头信息包括只能由其用户识别信息属于一子组的每个用户***使用的数据及基于其用户识别信息属于该子组的每个用户***的用户识别信息子集的值，及

当其用户识别信息属于一特定子组的一个或多个用户***的解密密钥要撤消时，头信息产生设备阻止头信息包括基于其用户识别信息属于该特定子组且其解密密钥要撤消的一个或多个用户***的用户识别信息的值。

11、如权利要求10所述的内容提供***，其中当其用户识别信息属于与该子组不同的另一子组的所有用户***的解密密钥都要撤消时，头信息产生设备设置一不正确的值作为只能由其用户识别信息属于该另一子组的每个用户***使用的数据。

12、如权利要求9所述的内容提供***，其中当其用户识别信息属于与该子组不同的另一子组的所有用户***的解密密钥都要撤消时，头信息产生设备阻止头信息包括只能由其用户识别信息属于该另一子组的每个用户***使用的数据。

13、如权利要求2所述的内容提供***，其中发送设备为每个子组公共化头信息中相同的元素并发送公共化的元素。

14、一种内容提供***，从第三方单元接收对应于指定给多个用户***的解密密钥的加密密钥并向所述多个用户***中的每个提供加密内容及解密该加密内容的头信息，该内容提供***包括：

内容加密设备，配置成利用会话密钥加密内容并获得加密的内容；

头信息产生设备，配置成利用加密密钥加密会话密钥并产生包括所获得加密的会话密钥和基于关于至少一个允许解密该加密会话密钥的用户***的用户识别信息的值的头信息；及

发送设备，配置成向每个用户***发送加密内容和头信息，

其中，在从根开始、经过一个或多个节点并到达多个叶子的树结构中，当多条用户识别信息所属的子组以一一对应的关系指定给叶子时，不同的密钥产生多项式指定给根、节点和叶子中的部分或全部，而且指定给根、从根到指定给子组的叶子所经过的节点或指定给子组的叶子的密钥产生多项式是以一个或多个子组为单位指定的，

解密密钥是通过将用户***唯一的用户识别信息代入以一个或多个子组为单位指定的密钥产生多项式中获得的值。

15、一种内容提供***，向用户***提供加密内容及用于解密该加密内容的头信息，该内容提供***包括：

内容加密设备，配置成利用会话密钥加密内容并获得加密的内容；

加密密钥产生设备，配置成根据多个多项式系数产生所述多个用户***公共的加密密钥；

解密密钥产生设备，配置成根据多个多项式系数产生每个用户***唯一的解密密钥，该解密密钥产生设备包括

划分设备，配置成将一组用户***的用户识别信息划分成一个或多个子组，

第一指定设备，配置成在从根开始、经过一个或多个节点并到达多个叶子的树结构中以一一对应的关系将叶子指定给子组，

第二指定设备，配置成将具有多项式系数并且彼此不同的密钥产生多项式指定给树结构中根、节点和叶子中的部分或全部，

第三指定设备，配置成以一个或多个子组为单位指定所有指定给树结构的密钥产生多项式中的至少一个，及

代入设备，配置成通过把该用户***的用户识别信息代入指定给用户***的用户识别信息所属子组的密钥产生多项式中产生用户***的解密密钥；

头信息产生设备，配置成以会话密钥可以利用指定给用户***的解密密钥获得的方式利用加密密钥加密会话密钥并产生包括所获得加密的会话密钥和一个或多个基于关于至少一个允许获得该会话密钥的用户***的用户识别信息的值的头信息；及

发送设备，配置成向每个用户***发送加密内容和至少一部分头信息。

16、如权利要求15所述的内容提供***，其中密钥产生多项式有多个多项式系数，任一系数都对根、每个节点或每个叶子取唯一的值，而且至少一个多项式系数乘以在***启动时创建的秘密常量。

17、一种用户***，解密由内容提供***提供的加密内容，该用户***包括：

接收设备，从内容提供***接收能够利用会话密钥解密的加密内容及包括以会话密钥能利用指定给用户***的解密密钥获得的方式加密的会话密钥和一个或多个基于关于至少一个允许获得该会话密钥的用户***的用户识别信息的值的头信息；

会话密钥解密设备，配置成根据解密密钥从头信息解密加密的会话密钥，它利用通过将该用户***的用户识别信息代入指定给用户***的用户识别信息所属子组的密钥产生多项式中获得的值作为解密密钥；及

内容解密设备，配置成根据解密的会话密钥解密加密内容。

18、如权利要求17所述的用户***，其中每个密钥产生多项式都包括多项式系数，该多项式系数至少有一部分区别于任何其它密钥产生多项式的多项式系数。

19、如权利要求17所述的用户***，其中如果多项式的次数是k而用户识别信息是x且属于第(v·k+i)个子组(0≤v，1≤i≤k)，则会话密钥解密设备利用通过将用户识别信息代入以下指定给该子组的密钥产生多项式f_v·k+i(x)中所获得的值作为解密密钥：

f_v·k+i(x)＝a₀+a₁·x+a₂·x²+...+a_i-1·x^i-1+b_v·i·xⁱ+a_i+1·xⁱ⁺¹+...+a_k-2·x^k-2+a_k-1·x^k-1+a_k·x^k

其中a₀至a_i-1、a_i+1至a_k是多项式系数，而b_v·i是第(v·k+i)个子组唯一的多项式系数。

20、如权利要求17所述的用户***，其中如果多项式的次数是k而用户识别信息是x且属于第(v·(k+1)+i+1)个子组(0≤v，0≤i≤k)，则会话密钥解密设备利用通过将用户识别信息代入以下指定给该子组的密钥产生多项式f_v·(k+1)+i+1(x)中所获得的值作为解密密钥：

f_v·(k+1)+i+1(x)＝a₀+a₁·x+a₂·x²+...+a_i-1·x^i-1+b_v·i·xⁱ+a_i+1·xⁱ⁺¹+...+a_k-2·x^k-2+a_k-1·x^k-1+a_k·x^k

其中a₀至a_i-1、a_i+1至a_k是多项式系数，而b_v·i是第(v·(k+1)+i+1)个子组唯一的多项式系数。

21、如权利要求17所述的用户***，其中如果多项式的次数是2k-1而用户识别信息是x且属于第(2vk+i+1)个子组(0≤v，0≤i≤2k-1)，则会话密钥解密设备利用通过将用户识别信息代入以下指定给该子组的密钥产生多项式f_2vk+i+1(x)中所获得的值作为解密密钥：

f_2vk+i+1(x)＝a₀+a₁·x+a₂·x²+...+a_i-1·x^i-1+b_v·i·xⁱ+a_i+1·xⁱ⁺¹+...+a_2k-3·x^2k-3+a_2k-2·x^2k-2+a_2k-1·x^2k-1

其中a₀至a_i-1、a_i+1至a_2k-1是多项式系数，而b_v·i是第(2vk+i+1)个子组唯一的多项式系数。

22、如权利要求17所述的用户***，其中作为使得能获得会话密钥的数据的一部分，头信息包括只能由其用户识别信息属于一子组的每个用户***使用的数据，

当其用户识别信息属于一特定子组的所有用户***的解密密钥都要撤消时，一不正确的值设置为只能由其用户识别信息属于该特定子组的每个用户***使用的数据，及

会话密钥解密设备利用只能由其用户识别信息属于该子组的每个用户***使用的数据解密加密的会话密钥。

23、如权利要求17所述的用户***，其中作为使得能获得会话密钥的数据的一部分，头信息包括只能由其用户识别信息属于一子组的每个用户***使用的数据，

当其用户识别信息属于一特定子组的所有用户***的解密密钥都要撤消时，阻止头信息包括只能由其用户识别信息属于该特定子组的每个用户***使用的数据，及

会话密钥解密设备利用只能由其用户识别信息属于该子组的每个用户***使用的数据解密加密的会话密钥。

24、如权利要求17所述的用户***，其中作为使得能获得会话密钥的数据的一部分，头信息包括只能由其用户识别信息属于一子组的每个用户***使用的数据和基于其用户识别信息属于该子组的每个用户***的用户识别信息子集的值，

当其用户识别信息属于一特定子组的一个或多个用户***的解密密钥要撤消时，阻止头信息包括基于其用户识别信息属于该子组且其解密密钥要撤消的一个或多个用户***的用户识别信息的值，及

会话密钥解密设备利用只能由其用户识别信息属于该子组的每个用户***使用的数据和基于其用户识别信息属于该子组的每个用户***的用户识别信息子集的值解密加密的会话密钥。

25、如权利要求24所述的用户***，其中当其用户识别信息属于与该子组不同的另一子组的所有用户***的解密密钥都要撤消时，在头信息中一不正确的值设置为只能由其用户识别信息属于该另一子组的每个用户***使用的数据。

26、如权利要求24所述的用户***，其中当其用户识别信息属于与该子组不同的另一子组的所有用户***的解密密钥都要撤消时，阻止头信息包括只能由其用户识别信息属于该另一子组的每个用户***使用的数据。

27、一种用户***，解密由内容提供***提供的加密内容，该用户***包括：

接收设备，从内容提供***接收能够利用会话密钥解密的加密内容及包括以会话密钥能利用指定给用户***的解密密钥获得的方式加密的会话密钥和一个或多个基于关于至少一个允许获得该会话密钥的用户***的用户识别信息的值的头信息；

会话密钥解密设备，配置成根据解密密钥从头信息解密加密的会话密钥，并且在从根开始、经过一个或多个节点并到达多个叶子的树结构中，当多条用户识别信息所属的子组以一一对应的关系指定给叶子时，它确定通过把用户识别信息代入以一个或多个子组为单位指定的密钥产生多项式中所获得的值，不同的密钥产生多项式指定给根、节点和叶子中的部分或全部，而且所有指定给树结构的密钥产生多项式中至少有一个是以一个或多个子组为单位指定的；及

内容解密设备，配置成根据解密的会话密钥解密加密内容。

28、一种跟踪***，识别一个或多个用于构建盗版用户***的用户中的至少一个，该跟踪***包括：

头信息产生设备，配置成产生包括以会话密钥不能利用指定给一个或多个用户***中每个的解密密钥获得但该会话密钥能利用指定给每个其它用户***的解密密钥获得的方式由加密密钥加密的会话密钥和一个或多个基于关于至少一个允许获得该会话密钥的用户***的用户识别信息的值，其中解密密钥是通过将该用户***的用户识别信息代入指定给用户***的用户识别信息所属子组的密钥产生多项式中获得的值；

输入设备，配置成向要检查的盗版用户***输入头信息并获得由该盗版用户***对会话密钥的解密结果；及

识别设备，配置成根据被禁止获得输入到盗版用户***的头信息中会话密钥的一个或多个用户***的用户识别信息和由盗版用户***对会话密钥的解密结果识别一个或多个用于构建该盗版用户***的用户***中的至少一个。

29、如权利要求28所述的跟踪***，其中每个密钥产生多项式都包括多项式系数，该多项式系数至少有一部分区别于任何其它密钥产生多项式的多项式系数。

30、如权利要求28所述的跟踪***，其中如果多项式的次数是k而用户识别信息是x且属于第(v·k+i)个子组(0≤v，1≤i≤k)，则解密密钥是通过将用户识别信息代入以下指定给该子组的密钥产生多项式f_v·k+i(x)中所获得的值：

f_v·k+i(x)＝a₀+a₁·x+a₂·x²+...+a_i-1·x^i-1+b_v·i·xⁱ+a_i+1·xⁱ⁺¹+...+a_k-2·x^k-2+a_k-1·x^k-1+a_k·x^k

其中a₀至a_i-1、a_i+1至a_k是多项式系数，而b_v·i是第(v·k+i)个子组唯一的多项式系数。

31、如权利要求28所述的跟踪***，其中如果多项式的次数是k而用户识别信息是x且属于第(v·(k+1)+i+1)个子组(0≤v，0≤i≤k)，则解密密钥是通过将用户识别信息代入以下指定给该子组的密钥产生多项式f_v·(k+1)+i+1(x)中所获得的值：

f_v·(k+1)+i+1(x)＝a₀+a₁·x+a₂·x²+...+a_i-1·x^i-1+b_v·i·xⁱ+a_i+1·xⁱ⁺¹+...+a_k-2·x^k-2+a_k-1·x^k-1+a_k·x^k

其中a₀至a_i-1、a_i+1至a_k是多项式系数，而b_v·i是第(v·(k+1)+i+1)个子组唯一的多项式系数。

32、如权利要求28所述的跟踪***，其中如果多项式的次数是2k-1而用户识别信息是x且属于第(2vk+i+1)个子组(0≤v，0≤i≤2k-1)，则解密密钥是通过将用户识别信息代入以下指定给该子组的密钥产生多项式f_2vk+i+1(x)中所获得的值：

f_2vk+i+1(x)＝a₀+a₁·x+a₂·x²+...+a_i-1·x^i-1+b_v·i·xⁱ+a_i+1·xⁱ⁺¹+...+a_2k-3·x^2k-3+a_2k-2·x^2k-2+a_2k-1·x^2k-1

其中a₀至a_i-1、a_i+1至a_2k-1是多项式系数，而b_v·i是第(2vk+i+1)个子组唯一的多项式系数。

33、一种跟踪***，识别一个或多个用于构建盗版用户***的用户中的至少一个，该跟踪***包括：

头信息产生设备，配置成产生包括以会话密钥不能利用指定给一个或多个用户***中每个的解密密钥获得但该会话密钥能利用指定给每个其它用户***的解密密钥获得的方式由加密密钥加密的会话密钥和一个或多个基于关于至少一个允许获得该会话密钥的用户***的用户识别信息的值，其中解密密钥是通过将该用户***的用户识别信息代入指定给用户***的用户识别信息所属子组的密钥产生多项式中获得的值；

内容加密设备，配置成利用会话密钥加密内容并获得加密的内容；

输入设备，配置成向要检查的盗版用户***输入头信息和加密内容，并获得由该盗版用户***对内容的解密结果；及

识别设备，配置成根据被禁止获得输入到盗版用户***的头信息中会话密钥的一个或多个用户***的用户识别信息和由盗版用户***对内容的解密结果识别一个或多个用于构建该盗版用户***的用户***中的至少一个。

34、如权利要求33所述的跟踪***，其中如果确定当不可能解密的用户***数是j-1时盗版用户***的解密结果正确，而且如果确定当另一不同于这j-1个用户***的用户***加到不可能解密的用户***从而使不可能解密的用户***数为j时盗版用户***的解密结果不正确，则识别设备将这另一用户***标识为用于构建盗版用户***的用户***。

35、一种跟踪***，识别一个或多个用于构建盗版用户***的用户中的至少一个，该跟踪***包括：

头信息产生设备，配置成产生包括以会话密钥不能利用指定给一个或多个用户***中每个的解密密钥获得但该会话密钥能利用指定给每个其它用户***的解密密钥获得的方式由加密密钥加密的会话密钥和一个或多个基于关于至少一个允许获得该会话密钥的用户***的用户识别信息的值，其中解密密钥是通过将该用户***的用户识别信息代入指定给用户***的用户识别信息所属子组的密钥产生多项式中获得的值；

输入设备，配置成向要检查的盗版用户***输入头信息并获得由该盗版用户***对会话密钥的解密结果；及

识别设备，配置成根据被禁止获得输入到盗版用户***的头信息中的会话密钥的一个或多个用户***的用户识别信息和由盗版用户***对会话密钥的解密结果识别一个或多个用于构建该盗版用户***的用户***中的至少一个，

其中，在从根开始、经过一个或多个节点并到达多个叶子的树结构中，当多条用户识别信息所属的子组以一一对应的关系指定给叶子时，不同的密钥产生多项式指定给根、节点和叶子的部分或全部，而且指定给根、从根到指定给子组的叶子所经过的节点或指定给子组的叶子的密钥产生多项式是以一个或多个子组为单位指定的，

解密密钥是通过将用户***唯一的用户识别信息代入以一个或多个子组为单位指定的密钥产生多项式中所获得的值。

36、一种内容提供方法，用于向多个用户***提供加密内容和解密该加密内容的头信息的内容提供***中，该内容提供方法包括：

以内容可以被解密的方式利用会话密钥加密要提供的内容；

接收对应于指定给所述多个用户中每个的解密密钥的加密密钥，该解密密钥是通过将用户***唯一的用户识别信息代入指定给多条用户识别信息所属各子组的密钥产生多项式中所获得的值；

利用加密密钥加密会话密钥并产生包括所获得加密的会话密钥和基于关于至少一个允许解密该加密会话密钥的用户***的用户识别信息的值的头信息；及

向每个用户***发送加密内容和头信息。

37、一种内容提供方法，用于向用户***提供加密内容和解密该加密内容的头信息的内容提供***中，该内容提供方法包括：

利用会话密钥加密内容并获得加密的内容；

根据多个多项式系数产生所述多个用户***公共的加密密钥；

根据多个多项式系数产生每个用户***唯一的解密密钥，这还包括

将一组用户***的用户识别信息分成一个或多个子组，

向每个子组指定具有多个多项式系数的不同密钥产生多项式，及

将该用户***的用户识别信息代入指定给用户***的用户识别信息所属子组的密钥产生多项式并利用所获得的值作为该用户***唯一的解密密钥；

以会话密钥能利用指定给用户***的解密密钥获得的方式利用加密密钥加密会话密钥并产生包括所获得加密的会话密钥和一个或多个基于每个允许获得该会话密钥的用户***的用户识别信息的值的头信息；及

向每个用户***发送加密内容和至少一部分头信息。

38、一种内容提供方法，用于向多个用户***提供加密内容和解密该加密内容的头信息的内容提供***中，该内容提供方法包括：

以内容可以被解密的方式利用会话密钥加密要提供的内容并获得加密的内容；

从第三方单元接收对应于指定给所述多个用户***中每个的解密密钥的加密密钥；

利用加密密钥加密会话密钥并产生包括所获得加密的会话密钥和基于关于至少一个允许解密该加密会话密钥的用户***的用户识别信息的值的头信息；及

向每个用户***发送加密内容和头信息，

其中，在从根开始、经过一个或多个节点并到达多个叶子的树结构中，当多条用户识别信息所属的子组以一一对应的关系指定给叶子时，不同的密钥产生多项式指定给根、节点和叶子的部分或全部，而且指定给根、从根到指定给子组的叶子所经过的节点或指定给子组的叶子的密钥产生多项式是以一个或多个子组为单位指定的，

解密密钥是通过将用户***唯一的用户识别信息代入以一个或多个子组为单位指定的密钥产生多项式中所获得的值。

39、一种内容提供方法，用于向用户***提供加密内容和用于解密该加密内容的头信息的内容提供***中，该内容提供方法包括：

利用会话密钥加密内容并获得加密的内容；

根据多个多项式系数产生所述多个用户***公共的加密密钥；

根据多个多项式系数产生每个用户***唯一的解密密钥，这还包括

将单独识别多个用户***的多条用户识别信息所属的组分成多个子组，

在从根开始、经过一个或多个节点并到达多个叶子的树结构中，将叶子以一一对应的关系指定给子组，

将具有多项式系数且彼此不同的密钥产生多项式指定给树结构中根、节点和叶子的部分或全部，

以一个或多个子组为单位指定全部指定给树结构的密钥产生多项式中的至少一个，及

将关于每个用户***的用户识别信息代入用户识别信息所属子组的密钥产生多项式中并确定所获得的值为该用户***唯一的解密密钥；

以会话密钥能利用指定给用户***的解密密钥获得的方式利用加密密钥加密会话密钥并产生包括所获得加密的会话密钥和一个或多个基于每个允许获得该会话密钥的每个用户***的用户识别信息的值的头信息；及

向每个用户***发送加密内容和至少一部分头信息。

40、一种内容解密方法，用于解密由内容提供***提供的加密内容的用户***中，该内容解密方法包括：

从内容提供***接收能够利用会话密钥解密的加密内容及包括以会话密钥能利用指定给用户***的解密密钥获得的方式加密的会话密钥和一个或多个基于关于至少一个允许获得该会话密钥的用户***的用户识别信息的值的头信息；

根据解密密钥从头信息解密加密的会话密钥，利用通过将用户识别信息代入指定给用户***的用户识别信息所属子组的密钥产生多项式中获得的值作为解密密钥；及

根据解密的会话密钥解密加密内容。

41、一种内容解密方法，用于解密由内容提供***提供的加密内容的用户***中，该内容解密方法包括：

从内容提供***接收能够利用会话密钥解密的加密内容及包括以会话密钥能利用指定给用户***的解密密钥获得的方式加密的会话密钥和一个或多个基于关于至少一个允许获得该会话密钥的用户***的用户识别信息的值的头信息；

在从根开始、经过一个或多个节点并到达多个叶子的树结构中，当多条用户识别信息所属的子组以一一对应的关系指定给叶子时，根据解密密钥从头信息解密加密的会话密钥，利用通过将用户识别信息代入以一个或多个子组为单位指定的密钥产生多项式中获得的值作为解密密钥，不同的密钥产生多项式指定给根、节点和叶子的部分或全部，而且指定给树结构的全部密钥产生多项式中至少有一个是以一个或多个子组为单位指定的；及

根据解密的会话密钥解密加密内容。

42、一种盗版者识别方法，用于识别一个或多个用于构建盗版用户***的用户***中的至少一个的跟踪***中，该盗版者识别方法包括：

产生包括以会话密钥不能利用指定给一个或多个用户***中每个的解密密钥获得但该会话密钥可以利用指定给每个其它用户***的解密密钥获得的方式利用加密密钥加密的会话密钥及一个或多个基于关于至少一个允许获得该会话密钥的用户***的用户识别信息的值的头信息，其中解密密钥是通过将该用户***的用户识别信息代入指定给用户***的用户识别信息所属子组的密钥产生多项式中获得的值；

向要检查的盗版用户***输入头信息并获得由盗版用户***对会话密钥解密的结果；及

根据一个或多个被禁止获得输入到盗版用户***中的头信息中会话密钥的用户***的用户识别信息及盗版用户***对会话密钥解密的结果，识别一个或多个用于构建盗版用户***的用户***中的至少一个。

43、一种盗版者识别方法，用于识别一个或多个用于构建盗版用户***的用户***中的至少一个的跟踪***中，该盗版者识别方法包括：

产生包括以会话密钥不能利用指定给一个或多个用户***中每个的解密密钥获得但该会话密钥可以利用指定给每个其它用户***的解密密钥获得的方式利用加密密钥加密的会话密钥及一个或多个基于关于至少一个允许获得该会话密钥的用户***的用户识别信息的值的头信息，其中解密密钥是通过将该用户***的用户识别信息代入指定给用户***的用户识别信息所属子组的密钥产生多项式中获得的值；

利用会话密钥加密内容并获得加密的内容；

向要检查的盗版用户***输入头信息并获得由盗版用户***对内容解密的结果；及

根据一个或多个被禁止获得输入到盗版用户***中的头信息中会话密钥的用户***的用户识别信息及盗版用户***对内容解密的结果，识别一个或多个用于构建盗版用户***的用户***中的至少一个。

44、一种盗版者识别方法，用于识别一个或多个用于构建盗版用户***的用户***中的至少一个的跟踪***中，该盗版者识别方法包括：

产生包括以会话密钥不能利用指定给一个或多个用户***中每个的解密密钥获得但该会话密钥可以利用指定给每个其它用户***的解密密钥获得的方式利用加密密钥加密的会话密钥及一个或多个基于关于至少一个允许获得该会话密钥的用户***的用户识别信息的值的头信息；

向要检查的盗版用户***输入头信息并获得由盗版用户***对会话密钥解密的结果；及

根据一个或多个被禁止获得输入到盗版用户***中的头信息中会话密钥的用户***的用户识别信息及盗版用户***对会话密钥解密的结果，识别一个或多个用于构建盗版用户***的用户***中的至少一个，

其中，在从根开始、经过一个或多个节点并到达多个叶子的树结构中，当多条用户识别信息所属的子组以一一对应的关系指定给叶子时，不同的密钥产生多项式指定给根、节点和叶子的部分或全部，而且指定给根的密钥产生多项式、指定给子组的从根到叶子经过的节点或指定给子组的叶子是以一个或多个子组为单位指定的，

解密密钥是通过将用户***唯一的用户识别信息代入以一个或多个子组为单位指定的密钥产生多项式中获得的值。

45、一种盗版者识别方法，用于识别一个或多个用于构建盗版用户***的用户***中的至少一个的跟踪***中，该盗版者识别方法包括：

产生包括以会话密钥不能利用指定给一个或多个用户***中每个的解密密钥获得但该会话密钥可以利用指定给每个其它用户***的解密密钥获得的方式利用加密密钥加密的会话密钥及一个或多个基于关于至少一个允许获得该会话密钥的用户***的用户识别信息的值的头信息；

利用会话密钥加密内容并获得加密的内容；

向要检查的盗版用户***输入头信息和加密内容并获得由盗版用户***对内容解密的结果；及

根据一个或多个被禁止获得输入到盗版用户***中的头信息中会话密钥的用户***的用户识别信息及盗版用户***对内容解密的结果，识别一个或多个用于构建盗版用户***的用户***中的至少一个，

其中，在从根开始、经过一个或多个节点并到达多个叶子的树结构中，当多条用户识别信息所属的子组以一一对应的关系指定给叶子时，不同的密钥产生多项式指定给根、节点和叶子的部分或全部，而且指定给根的密钥产生多项式、指定给子组的从根到叶子经过的节点或指定给子组的叶子是以一个或多个子组为单位指定的，

解密密钥是通过将用户***唯一的用户识别信息代入以一个或多个子组为单位指定的密钥产生多项式中获得的值。

46、一种加密装置，用于从第三方单元接收对应于指定给多个用户***的解密密钥的加密密钥并向所述多个用户***中的每个提供加密内容及解密该加密内容的头信息的内容提供***中，其中解密密钥是通过将用户***唯一的用户识别信息代入指定给多条用户识别信息所属各子组的密钥产生多项式中获得的值，该加密装置包括：

内容加密设备，配置成利用会话密钥加密内容并获得加密的内容；

头信息产生设备，配置成利用加密密钥加密会话密钥并产生包括所获得加密的会话密钥和基于关于至少一个允许解密该加密会话密钥的用户***的用户识别信息的值的头信息；及

发送设备，配置成向每个用户***发送加密内容和头信息。

47、一种加密装置，用于内容提供***中，向用户***提供加密内容及解密该加密内容的头信息，该加密装置包括：

内容加密设备，配置成利用会话密钥加密内容并获得加密的内容；

加密密钥产生设备，配置成根据多个多项式系数产生所述多个用户***公共的加密密钥；

解密密钥产生设备，配置成根据多个多项式系数产生每个用户***唯一的解密密钥，该解密密钥产生设备包括

划分设备，将一组用户***的用户识别信息划分成一个或多个子组，

指定设备，为每个子组指定具有多个多项式系数的不同密钥产生多项式，及

代入设备，通过将该用户***的用户识别信息代入指定给用户***的用户识别信息所属子组的密钥产生多项式中产生用户***的解密密钥；及

头信息产生设备，配置成以会话密钥可以利用指定给用户***的解密密钥获得的方式利用加密密钥加密会话密钥并产生包括所获得加密的会话密钥和一个或多个基于关于至少一个允许获得该会话密钥的用户***的用户识别信息的值的头信息。

48、一种加密装置，用于从第三方单元接收对应于指定给多个用户***的解密密钥的加密密钥并向所述多个用户***中的每个提供加密内容及解密该加密内容的头信息的内容提供***中，该加密装置包括：

内容加密设备，配置成利用会话密钥加密内容并获得加密的内容；

头信息产生设备，配置成利用加密密钥加密会话密钥并产生包括所获得加密的会话密钥和基于关于至少一个允许解密该加密会话密钥的用户***的用户识别信息的值的头信息；及

发送设备，配置成向每个用户***发送加密内容和头信息，

其中，在从根开始、经过一个或多个节点并到达多个叶子的树结构中，当多条用户识别信息所属的子组以一一对应的关系指定给叶子时，不同的密钥产生多项式指定给根、节点和叶子的部分或全部，而且指定给根、从根到指定给子组的叶子所经过的节点或指定给子组的叶子的密钥产生多项式是以一个或多个子组为单位指定的，

解密密钥是通过将用户***唯一的用户识别信息代入以一个或多个子组为单位指定的密钥产生多项式中获得的值。

49、一种加密装置，用于向用户***提供加密内容及解密该加密内容的头信息的内容提供***中，该加密装置包括：

内容加密设备，配置成利用会话密钥加密内容并获得加密的内容；

加密密钥产生设备，配置成根据多个多项式系数产生所述多个用户***公共的加密密钥；

解密密钥产生设备，配置成根据多个多项式系数产生每个用户***唯一的解密密钥，该解密密钥产生设备包括

划分设备，配置成将一组用户***的用户识别信息划分成一个或多个子组，

第一指定设备，配置成在从根开始、经过一个或多个节点并到达多个叶子的树结构中以一一对应的关系将叶子指定给子组，

第二指定设备，配置成将具有多项式系数并且彼此不同的密钥产生多项式指定给树结构中根、节点和叶子中的部分或全部，

第三指定设备，配置成以一个或多个子组为单位指定全部指定给树结构的密钥产生多项式中的至少一个，及

代入设备，配置成通过将该用户***的用户识别信息代入指定给用户***的用户识别信息所属子组的密钥产生多项式中产生用户***的解密密钥；

头信息产生设备，配置成以会话密钥可以利用指定给用户***的解密密钥获得的方式利用加密密钥加密会话密钥并产生包括所获得加密的会话密钥和一个或多个基于关于至少一个允许获得该会话密钥的用户***的用户识别信息的值的头信息；及

发送设备，配置成向每个用户***发送加密内容和至少一部分头信息。

50、一种解密装置，用于解密由内容提供***提供的加密内容的用户***中，该解密装置包括：

会话密钥解密设备，当从内容提供***接收到能够利用会话密钥解密的加密内容及包括以会话密钥能利用指定给用户***的解密密钥获得的方式加密的会话密钥和一个或多个基于关于至少一个允许获得该会话密钥的用户***的用户识别信息的值的头信息时，根据解密密钥从头信息解密加密的会话密钥，并利用通过将该用户***的用户识别信息代入指定给用户***的用户识别信息所属子组的密钥产生多项式中获得的值作为解密密钥；及

内容解密设备，配置成根据解密的会话密钥解密加密内容。

51、一种解密装置，用于解密由内容提供***提供的加密内容的用户***中，该解密装置包括：

接收设备，从内容提供***接收到能够利用会话密钥解密的加密内容及包括以会话密钥能利用指定给用户***的解密密钥获得的方式加密的会话密钥和一个或多个基于关于至少一个允许获得该会话密钥的用户***的用户识别信息的值的头信息；

会话密钥解密设备，配置成根据解密密钥从头信息解密加密的会话密钥，并确定通过将用户识别信息代入以一个或多个子组为单位指定的密钥产生多项式中的获得的值，在从根开始、经过一个或多个节点并到达多个叶子的树结构中，当多条用户识别信息所属的子组以一一对应的关系指定给叶子时，不同的密钥产生多项式指定给根、节点和叶子的部分或全部，而且全部指定给树结构的密钥产生多项式中至少有一个是以一个或多个子组为单位指定的；及

内容解密设备，配置成根据解密的会话密钥解密加密内容。

52、一种密钥产生方法，用于向为多个用户***提供加密内容和解密该加密内容的头信息的内容提供***发送对应于指定给所述多个用户***中每个的解密密钥的加密密钥的第三方单元中，该密钥产生方法包括：

根据多个多项式系数产生所述多个用户***公共的加密密钥；及

根据所述多个多项式系数产生所述多个用户***中每个唯一的解密密钥，这还包括

将独立识别多个用户***的多条用户识别信息所属的组划分成多个子组，

在从根开始、经过一个或多个节点并到达多个叶子的树结构中，将叶子以一一对应的关系指定给子组，

将具有多项式系数且彼此不同的密钥产生多项式指定给树结构中根、节点和叶子的部分或全部，

以一个或多个子组为单位指定全部指定给树结构的密钥产生多项式中的至少一个，及

将关于每个用户***的用户识别信息代入指定给用户识别信息所属子组的密钥产生多项式中并确定所获得的值为用户***唯一的解密密钥。

53、一种密钥产生方法，用于向所述多个用户***提供加密内容和解密该加密内容的头信息的内容提供***中，该密钥产生方法包括：

根据多个多项式系数产生所述多个用户***公共的加密密钥；及

根据所述多个多项式系数产生所述多个用户***中每个唯一的解密密钥，这还包括

将独立识别多个用户***的多条用户识别信息所属的组划分成多个子组，

在从根开始、经过一个或多个节点并到达多个叶子的树结构中，将叶子以一一对应的关系指定给子组，

将具有多项式系数且彼此不同的密钥产生多项式指定给树结构中根、节点和叶子的部分或全部，

以一个或多个子组为单位指定全部指定给树结构的密钥产生多项式中的至少一个，及

将关于每个用户***的用户识别信息代入指定给用户识别信息所属子组的密钥产生多项式中并确定所获得的值为用户***唯一的解密密钥。

Images