隐私保护视频流认证方案

最新推荐文章于 2025-11-12 14:46:40 发布

原创最新推荐文章于 2025-11-12 14:46:40 发布 · 354 阅读

9 ·

CC 4.0 BY-SA版权

文章标签：

#隐私保护 #视频流 #认证 #计费 #哈希链

面向视频流服务的隐私保护认证与计费方案

摘要

近年来，视频流服务广受欢迎，为各区域的用户提供了大量信息。由于需要为终端用户提供低延迟和高质量服务（QoS），视频流的处理必须快速且能够实时完成。随着人们日益关注日常生活中的隐私问题，在视频流服务中引入隐私保护协议变得尤为重要。本文提出了一种认证与计费方案，以实现隐私保护的顺序视频流服务。该方案使用两种匿名证书：当连接网络时，用户节点使用作为代理票据的假名证书来获取代理服务，从而请求基于代理的互联网访问；当每个用户开始一次按次付费视频会话时，需出示另一张作为视频订阅票据的假名证书，之后每次连续视频只需提供一个哈希值即可。假名证书可隐藏每个用户的身份，而易于验证的哈希值则实现了快速的连续认证。此外，通过选择一个临时随机密钥来保护视频流数据，该方案能够在多种场景下抵抗主动中间人攻击。

1 引言

近年来，互联网正经历着从广泛浏览资源到拉取点播多媒体内容的巨大转变。Netflix 的一项研究[1]表明，点播视频流服务在美国的峰值下载流量中占比高达30%。为了促进应用发展，许多视频流客户端在使用时会收集个人身份信息（PII）[2]。某些信息可能是私密的，例如个人的姓名、地址、电话号码、社会保障号码、驾驶证号码、电子邮件地址等。通常，个人身份信息可用于营销策略，如定向广告。然而，一些人可能会滥用这些信息，例如利用这些信息评估一个人的品格、判断某人是否构成安全风险，或使反对他们的人难堪。因此，在包括视频流服务在内的许多情况下，个人隐私信息应当受到保护。

许多方法被提出[3,4]以向用户提供低延迟媒体流。然而，这些方法并未考虑对用户隐私的保护。一些

每个服务提供商的成员可能会收集其订阅者的兴趣，并将这些信息出售给其他公司以获取利润。这可能导致勒索等不良犯罪行为。因此，有必要设计隐私保护协议来应对这些情况，以避免此类问题。

1.1 我们的贡献

我们描述了一种认证与计费方案，该方案能够为按视频付费场景下的终端用户提供隐私保护的顺序视频流服务，其中每个用户在一段时间内订阅一系列连续视频。所提出方案的优点如下：

– 由于计费用户获得一组假名票据，从而实现了隐私保护功能。
– 通过采用在线双重支付检查，可以预防双重支付行为。
– 该方案被描述为由多种密码学工具构建而成的框架，因此能够利用未来研究的进展。
– 使用基于哈希链的接收和确认方法实现了快速认证。
– 该方案能够抵御[5]中描述的主动中间人攻击。

1.2 组织结构

本文其余部分组织如下：在第2节中，我们描述相关工作；在第3节中，我们描述系统模型与安全要求；在第4节中，我们描述为视频流媒体服务提出的隐私保护认证与计费方案；安全性分析与特性比较在第5节中讨论；结论与未来扩展在第6节中给出。

2 相关工作

在本节中，我们将介绍一些关于视频认证和隐私保护认证的相关工作。

2.1 视频流认证方案

视频流认证方案旨在为用户提供多种安全特性，包括完整性、来源真实性和不可否认性。传统视频流认证[6,7]在每个数据包上构建认证图，然后使用数字签名对其进行签名。这些方案需要在降低认证开销以减少传输开销和增加认证图以避免因丢包导致认证失败之间取得平衡。一些方案[8]考虑采用信道编码以在有损网络中实现高端到端质量。该方案使用

分别进行内容认证和信道编码，因此无法达到最优传输速率。一些方案[9,10] 将认证和编码结合考虑，以同时实现较高的验证概率和较低的认证开销。

上述所有方案均考虑了视频流的完整性和源认证，但未考虑终端用户的隐私保护。

2.2 隐私保护认证方案

存在许多匿名支付方法[11,12]。在[11],中，作者使用哈希链来提高支付过程中的效率，但这些方法不提供匿名性。在[12],中，作者使用了复杂的密码学工具，包括零知识证明，这需要用户和服务提供商之间交换大量消息。另一方面，这些协议所需的时间并不适合在线视频订阅，因为在在线视频订阅中，频繁切换短视频片段需要依次进行快速认证。

一些研究 [13–15] 讨论了顺序匿名认证的相同问题，并提出了针对行驶中无线充电电动汽车的一些方法。然而，直接将这些方案用于视频流订阅无法保护用户隐私，因为多个服务提供商可能串通起来破坏用户的匿名性。

上述所有方案均不能直接用于隐私保护的视频流认证。

还有一些其他为匿名认证设计的方案[16–18]。文献[16]的作者指出，需要使用公钥技术来构建匿名认证方案。文献[17,18]在设计匿名认证协议时采用了上述思想。这些方案中的方法有助于构建视频流服务的方案。

3 系统模型与安全要求

3.1 系统参与者和网络模型

该方案包含五个主要参与方，即受信任的注册权威机构（RA）、银行、用户节点、代理服务提供商（PSP）和视频流服务提供商（VSSP），如图1所示。

首先，存在一个可信的RA，它将为系统生成参数、其他各方的公钥/私钥以及签名/验证密钥。

第二方是银行。银行值得信赖，不会泄露用户隐私，并且能够在某个用户违反规定时协助跟踪非法用户。每个用户都应在银行拥有一个账户，且该账户中应有足够的资金用于预订票据。用户的存款金额应足以支付一段时间安全代理服务的费用以及一定数量视频片段的票费。每个用户预订票据并使用这些票据来获取有效的

示意图0

安全代理连接并订阅视频列表。资金将被冻结，并在使用这些票据享受上述服务后扣除。如果未使用的票据过期，资金将退还至存款。

第三个是用户节点（充当用户角色），通过互联网服务提供商ISP连接到互联网，并从 VSSP订阅一定数量的视频片段。

第四是提供安全代理服务给用户的代理服务提供商（PSP）。PSP接收用户提交的代理票据，并判断该票据是否有效，以决定用户能否通过安全代理通道访问互联网。如果票据有效，PSP将使用在出示代理票据过程中协商的临时会话密钥来保护PSP与用户之间的数据。

第五个是拥有在线视频服务的VSSP。VSSP接收用户提交的视频订阅票据，并决定该用户是否可以观看所声明的后续视频。如果票据有效，VSSP将使用在视频订阅票据展示过程中协商的临时会话密钥来保护VSSP与用户（实际上是隐藏用户身份的代理服务器）之间的数据。

3.2 安全要求

一个互联网支付系统应满足匿名性、可靠性、安全性、灵活性、效率和可扩展性，以支持各种服务提供商和各类用户[19]。我们在针对连续视频流服务的方案中考虑了其中一些要求。

– 预防双重支付的安全性。如果无法预防双重支付，将对支付系统造成危害。
– 快速认证。视频流服务所需的功能之一是快速交易，因为用户可能会在视频片段之间快速切换。
– 隐私。由于用户可能每天从多个VSSP订阅观看各种视频，这些视频的信息可能被积累起来用于刻画用户的兴趣。因此，需要提供匿名性，并针对恶意窃听者和服务提供商保护隐私。
– 价格灵活性。价格灵活性意味着该方法可以随意更改服务价格，因此服务提供商可以通过定价策略吸引更多客户，并优化调整其服务器的负载。

3.3 假设

该方案提出了一些假设。

每家银行都是一个可信方，可以将每张签发的票据与其所有者的身份关联起来，并且我们假设银行与所有服务提供商之间已建立安全连接。

每个用户应在银行拥有一个账户，如果其存款中有足够的资金，则可以获得一定数量的匿名票据。每张票据都应预付与最高市场价格相符的金额。

我们需要PSP来隐藏用户的网络地址，每个用户可以使用多个PSP以保护其隐私，因此我们假设至少有一个PSP未被攻破，并且不会向VSSP和ISP提供 IP映射信息。假设每个PSP控制着许多不同的地址，并且每次会话的映射都是随机且不同的。

3.4 威胁模型

在该模型中，假设以下参与者（用户、视频服务提供商、代理服务提供商和互联网服务提供商）可能是恶意的。恶意行为包括声明欺诈、双重支付和用户隐私侵犯。用户可能通过多次重复使用已使用票据来绕过计费过程。视频服务提供商VSSP可能在收到有效的视频订阅票据后拒绝向用户提供视频流。代理服务提供商PSP可能在收到有效的代理票据后仍然阻断通往互联网的代理通道。此外，VSSP和ISP可能通过收集每个用户的已订阅视频列表、网络地址及相关身份信息，并将其出售给第三方（如信息中介），从而滥用用户隐私。此外，攻击者可以窃听用户与视频服务提供商之间的交互，以收集票据信息用于双重支付，或用于构建用户的兴趣画像。

4 视频流媒体提出的方案

我们提出了一种用于视频流服务的认证与计费方案。我们首先描述我们的想法，并定义将使用的密码学工具，然后详细介绍该方案。

4.1 我们的想法

在传统情况下，视频服务提供商（VSSP）掌握每个用户的网络地址及其对应的视频列表，而互联网服务提供商（ISP）掌握每个用户的身份和分配的网络地址。VSSP与ISP联合起来可通过积累上述信息恢复特定个人的兴趣。为了保护每个用户的隐私，视频订阅列表和网络地址不应与任何用户身份相关联。我们建议采用两种方法：使用预付费匿名票据（代理票据和视频订阅票据）来保护每个用户的身份。每个用户应始终通过向银行存款来获取上述两种匿名票据，存款金额需足以支付一段时间的基于代理的安全互联网访问以及一定数量的视频费用。当用户希望在一段时间内通过代理访问互联网时，需向代理服务提供商（PSP）出示代理票据。若收到未使用且有效的票据，PSP应为该用户分配一个代理通道，并在其服务器上至少两次映射用户地址，以避免该地址泄露。票据中规定的时间长度可划分为多个时间段。在访问代理服务一段时间段后，用户需向PSP出示证明，表明其为有效用户并希望继续访问下一时段的代理服务。PSP将收集这些证明，以便后续向银行兑取款项。当用户希望观看若干视频时，需向VSSP出示视频订阅票据。若收到未使用且有效的票据，VSSP将建立安全通道并向用户传送视频流。在当前视频播放结束后，用户需向VSSP出示证明，表明其为有效用户并希望获取下一个视频片段。VSSP将收集这些证明，以便后续向银行兑取款项。PSP的作用是预防网络地址与身份的关联，视频订阅票据的作用是预防兴趣与身份的关联。因此，即使ISP与VSSP共谋，每个用户的身份及其兴趣也不会泄露。

4.2 密码学工具

我们需要多种密码学工具来构建所提出的计费方案，包括哈希函数H、公钥加密方案、对称密钥加密方案和数字签名方案。

– 哈希函数。我们需要一个高效的抗合谋单向哈希函数（记为 H(·)），其输入值和输出值位于同一域中。换句话说，输出值可作为输入再次使用。利用此特性，只要给定初始值 h0，我们就可以生成哈希链，例如 h1=H(h0)、 h2= H(h1)、 h3=H(h2) 等。
– 公钥加密方案。它可以是任何高效的、安全的公钥加密方案，可表示为元组 (ES‐SETUP(1λ)，ENCPK(·)，DECSK(·))。给定一个安全参数 λ， ES‐SETUP(1λ) 可以为该方案生成参数，并为每个参与者生成公钥/私钥对( PK, SK)。ENCPK(·) 表示使用密钥 PK 对某物进行加密。DECSK(·) 表示使用密钥 SK 解密。例如，可以使用 Elgamal [20]和椭圆曲线加密 [21]等加密方案。
– 对称密钥加密方案。它可以是任何高效的、安全的对称密钥加密方案，可表示为元组 (SENCKEY(·), SDECKEY(·))。SENCKEY(·) 表示使用密钥 KEY 对数据进行加密。SDECKEY(·) 表示使用密钥 KEY 对数据进行解密。例如，可以使用 AES [22] 和 IDEA [23] 等对称加密方案。
– 签名方案。它可以是任何高效且安全的数字签名方案。该方案可表示为元组（DS‐SETUP(1λ)，SIGCK(·)，VERV K(·)）。输入安全参数 λ后， DS‐SETUP(1λ)可输出计费方案的参数以及每个参与者的签名/验证密钥对(CK, V K)。SIGCK(·)表示使用密钥 CK对某条消息进行签名。VERV K(·)表示使用密钥 V K验证某个签名。最好选择具有批量验证能力[24,25]的签名方案，以便我们能在一轮中验证多个签名并快速检测无效签名。

4.3 该方案

(1) 系统初始化

可信注册机构（RA）选择一个大数 λ，并通过运行ES‐SETUP(1λ)和 DS‐SETUP(1λ)生成系统参数 P arams。当每个参与者被正确认证后，RA为其生成长期私钥和公钥，并安全地传输给该参与者。具有身份 Bi（i=1, 2,…）的银行将获得一对公钥/私钥（PKBi , SKBi）以及一对签名/验证密钥（CKBi , V KBi）。具有身份 Si（i= 1,2,…）的服务提供商（PSP、VSSP等）将获得一对公钥/私钥（PKSi , SKSi）以及一对签名/验证密钥（CKSi , V KSi）。具有身份 Ui（i=1,2,…）的用户将获得一对公钥/私钥（PKUi , SKUi ）以及一对签名/验证密钥（CKUi , V KUi ）。此外，每个用户都配备有一个节点（如计算机、手机或其他智能设备），用于执行安全相关计算。并且每个用户的密钥在操作前已安全地传输到其节点中。我们假设所有参与方的时间均与标准时间保持一致，因此在时间戳上不会产生任何争议。

(2) 获取票据

每个用户应通过与其银行Bj交互来获取两种票据。一种是代理票据，另一种是视频订阅票据。这两种票据都预付了一定金额，以覆盖预期的时间段数量。代理票据通过以下三个步骤获取：

(1) Ui在空闲时间随机生成一对临时代理签名/验证密钥(T P CKU i , T P V KU i) 和一条哈希链 h0, h1= H(h0), …, hn= H(hn−1)。 h0应随机生成。Ui向银行发送票据请求消息，该消息包含临时验证密钥 T P V KU i 、预期过期时间 T、用户身份 Ui以及末端值

哈希链 hn，以及请求票据的次数 n。 n是代理服务预期的时间段数量。一个时间段表示代理服务计费的短时间周期，例如1小时或10分钟。 T应根据应用进行限制，例如10天。该消息由用户的签名密钥 CKUi签名，然后使用银行的公钥 PKBj加密。令 M1=(T P V KUi, Ui, T, hn, n)。请求消息表示为
Ui → Bj: C1= ENCPKBj(M1, SIGCKUi(M1)).

(2) 收到请求后，银行 Bj使用其私钥恢复消息 SKBj。银行验证用户的签名和过期时间 T，并检查用户存款中是否有足够的余额。若所有条件均满足，银行将为用户生成票据，并冻结相应金额。该票据是银行对 (T P V KUi, T, hn, n) 的签名。令 M2=(T P V KUi, T, hn, n)。返回给用户的消息 Ui 表示为
Bj → Ui: C2= ENCPKUi( SIGCKBj(M2)).

(3) 获取返回的消息后，Ui使用密钥 SKUi和银行的验证密钥 V KBj进行解密和验证。如果银行的签名正确，则将SIGCKBj(T P V KUi, T, hn, n)存储为票据。

类似地，用户从银行获取视频订阅票据。Ui生成一对随机的临时视频签名/验证密钥（T V CKUi, T V V KUi）和一条哈希链 h0, h1= H(h0)，…， hn= H(hn−1)，其中 h0 是一个随机值。在经过与获取代理票据类似的步骤后，Ui收到 SIGCKBj(T V V KUi, T, hn, n) 作为视频订阅票据。具体细节因篇幅原因省略。

(3) 代理服务中的票据使用

在用户订阅某个视频片段之前，其用户节点应首先连接到代理服务提供商。通过出示代理票据，每个用户节点从代理服务提供商处获得一个安全代理通道，然后在不泄露个人身份信息的情况下访问互联网。我们对票据出示交互说明如下。

(1) 第一段时间访问代理服务
当用户 Ui尝试通过PSP Sk提供的代理服务访问互联网时，PSP Sk会要求其完成认证。 Ui向 Sk发送一条加密消息（T P V KU i ， T， hn， n， K1，SIG CK B j（T P V KU i ， T， hn， n），SIGT P CK U i（T， Sk， K1）， m）。数字 m（m ≤ n）用于表示他/她需要使用代理服务的时间段数量。 K1是随机选取的，将用于保护后续的交互。然后，Sk验证签名的有效性和过期时间 T，并将票据转发给银行 B j 。如果签名有效， T未过期，且银行 B j 确认该票据是首次使用，则Sk回复一条包含每个时间段价格 co、其身份 Sk、时间戳 Te以及对 co、 Sk、 Te和 hn的签名的加密消息（co，Sk， Te，SIGCKS k（ hn， Sk， Te， hn））。该时间戳作为本次会话的起始时间，也用于预防重放攻击。用户计算SIG T P CK U i（ m， co， Sk， T e）作为消息并发送给 Sk。

通过此消息，代理服务提供商 Sk 使用 T P V KUi 验证该消息的有效性。如果签名通过验证，则 Sk 确认用户的身份认证，并允许其访问代理服务。代理服务提供商应保证代理服务将用户数据包的地址映射至少两次，且使用不同的地址。该服务可被维护并易于由用户检查，因此我们不再进一步讨论细节。此交互可表示为
Ui → Sk: ENCPKSk(T P V KUi, T, hn, n, K1, SIGCKBj(T P V KUi, T, hn, n), SIGT P CKUi(T, Sk, K1), m);
Sk → Ui: SENCK1(co, Sk, Te, SIGCKSk(co, Sk, Te, hn));
Ui → Sk: SENCK1(SIGT P CKUi( m, co, Sk, Te)).

之后，K1被用于保护PSP完成代理映射后的会话数据，包括视频流数据包。代理票据是不可追踪的匿名票据，因此代理服务提供商只能知道某个有效用户正在请求访问代理服务，而无法获知该用户的任何个人身份信息。

(2) 对下一个时间段的认证
如果用户希望持续访问代理服务，他/她应在每个时间段结束时，依次向PSP发送哈希链中的下一个值。每次报告交互包含两条消息。第一条消息应为(Tm−1, hm−1, TP V KUi)，其中 Tm−1是当前时间，并且 hm−1的顺序哈希应导出 hn。这意味着ISP Sk可以验证等式 hm=H(hm−1)、 hm+1=H(hm)、…、 hn= H(hn−1)是否成立。如果哈希链有效，PSP Sk将 Ui的时间限制延长至下一个时间段，并向用户发送确认消息SIGCKS k(Tm−1, hm−1, T P V KUi)。在该时间段结束时，用户发送一条新消息(Tm−2, hm−2, T P V KUi)，PSP可将其验证为 hm−1= H(hm−2)。若验证通过，PSP将 Ui的时间限制再延长一个时间段。PSP还会返回带有新时间的签名SIGCKS k(Tm−2, hm−2 TPV KUi Tm−2 ,)。

如果用户在当前时间段内无法访问代理服务，则不应释放哈希链的下一个值。由于H(·)是安全单向哈希函数，PSP无法从给定的输出序列中推导出输入值。因此，为了从银行兑取款项，PSP必须公平对待每个用户以获得完整的哈希链。此交互将持续进行，直到用户向PSP发送(T0, h0,T V KU i) 并第 m次获得代理服务的访问权限。该交互可表示为
Ui → Sk: Tm−1 , hm−1 , T P V KU i ;
Sk → Ui: SIGCK S k (Tm−1 , hm−1 , T P V KU i) ;
Ui → Sk: Tm−2 , hm−2 , T P V KU i ;
Sk → Ui: SIGCK S k (Tm−2 , hm−2 , T P V KU i) ;
…
Ui → Sk: T0, h0, T P V KUi;
Sk → Ui: SIGCKSk(T0, h0, T P V KUi).

我们注意到，PSPSk在收到用户发送的某个哈希值 hi(0 ≤ i ≤ m − 1)后，有可能拒绝在任何时间段向用户提供代理访问互联网的服务，而用户对此无能为力。在这种情况下，用户仅损失单个时间段的一小笔费用，而PSP Sk则冒着声誉受损的风险，仅通过在一个时间段内作弊获利。如果时间段足够短，用户的损失可以降低到可忽略的程度。我们还应注意，如果用户不太担心服务不良的风险，他/她可以一次性向PSP发送多个哈希值，以便在一次报告交互中将其时间限制延长至多个时间段。

(3) 视频订阅服务中的票证使用

在用户接收任何视频流之前，他/她应使用未使用过的票据向VSSP（身份为 Sl）进行认证。认证分为两个阶段：启动新会话和订阅下一个视频片段。在第一阶段，当用户请求开启新的视频服务会话时，该用户的节点应连接并向前VSSP出示其票据。认证完成后，VSSP将获知用户计划观看的视频数量，并在VSSP与用户之间建立用于视频流保护的会话密钥。在第二阶段，当用户完成当前视频片段播放并希望订阅下一个视频片段时，应向VSSP发送所出示票据的顺序值。以下简要说明这些独立的交互过程。

(1) 开始一个视频会话

用户 Ui为对称加密方案选择一个随机密钥 K2，并与VSSP Sl交互以开始视频订阅过程。由于这些交互类似于访问代理服务，细节被省略，可以表示为
Ui → Sl: ENCPK S l( T V V KUi , T, hn, n, K2, SIGCKBj (T V V KU i , T, hn, n), SIGT V CK U i( T, Sl, K2), m);
Sl → Ui: SENCK2(co, Sl, Te, SIGCK S l (co, T, Sl, hn));
Ui → Sl: SENCK2(hm−1, SIGT V CK U i (m, co, Sl, Te, hm−1)).
m(m ≤ n) 是用户将要订阅的视频数量。之后，K2 用于保护 Ui 和 Sl 之间的会话数据。

(2) 继续下一个视频的会话

在接收新片段之前，Ui应依次向 Sl报告哈希链的值。细节省略，交互可表示为
Ui → Sl: Tm−2 , hm−2 , T V V KU i ;
Sl → Ui: SIGCKS l (Tm−2 , hm−2 , T V V KU i) ;
…
Ui → Sl: T0, h0, T V V KUi;
Sl → Ui: SIGCKSl(T0, h0, T V V KUi).

我们注意到，Sl在收到用户发送的特定哈希值 hi（0 ≤ i ≤ m−1）后，有可能拒绝发送新的视频，而用户对此无能为力。在这种情况下，用户仅因一个视频片段损失少量金钱，而服务提供商则冒着声誉受损的风险，仅仅通过作弊一个视频片段获利。如果将视频切割成尽可能短的多个片段，则此类作弊的可能性可降低至可忽略不计。假设存在多个相互竞争的服务提供商，并且它们都能向每个用户[15]提供海量视频，这一假设也是一个有效的解决方案。

(4) 资金取回

(1) 代理服务提供商的资金回收

在累积了足够的票据后，PSP从代理服务请求交互中收集到的票据构建一条消息，并通过安全通道将该消息发送至银行 Bj以赎回票据。该消息的形式为( ME1, ME2,Mhash, Msig)，其中包含 ME1=(T P V KUi, T, hn, n, SIGCKBj( T P V KUi, T, hn,n))、 ME2=(m, co, Sk, Te, SIGT P CKUi(m, co, Sk, Te))、 Mhash=(h0, h1,…,hn)以及 Msig= SIGCKSk(ME1, ME2, Mhash)。银行验证上述所有签名，并检查其是否为正常用户与指定PSP之间的交易。PSP为该代理会话赎回相应金额，其余款项将退还至用户的存款账户。如果 Mhash不完整（例如 Mhash=(hl,…, hm,…, hn)，其中 l ≤ m ≤ n），则ISP只能获得 m − l个片段的费用。该交互可表示为
ME1= T P V KUi , T, hn, n, SIGCKBj (T P V KUi , T, hn, n);
ME2= m, co, Sk, Te, SIGT P CKU i( m, co, Sk, Te);
Mhash= h0, h1,…, hn;
Msig= SIGCKS k(ME1, ME2, Mhash);
Sk → Bj: ME1 , ME2 , Mhash, Msig.

(2) VSSP的资金取回

VSSP的资金取回可以通过会话启动和持续交互中接收到的消息构建来类似地处理。为简洁起见，此处省略详细信息。

5 安全分析与比较

我们首先讨论所提出方案的安全性。然后，将我们的方法与为视频流认证和顺序匿名认证提出的几种方案进行比较。

5.1 安全分析

根据第3节中列出的安全要求，我们将讨论双花避免、身份和兴趣隐私侵犯。

(1) 防止双重支付的安全性

双重支付是指攻击者重放窃听的票据，或某些用户再次出示已消费的票据。以下将分别讨论这两种情况：
情况1 ：攻击者可以记录票据所有者与服务提供商之间交互的消息，但他/她无法在任何服务提供商处花费所截获的票据。银行会显示该票据被多次使用。此外，由于攻击者不持有该票据的秘密签名密钥，因此无法正确响应服务提供商。
情况2 ：每个用户作为票据的所有者，由于持有该票据的私钥，可能通过不同的服务提供商多次使用同一票据。然而，银行会检测到同一票据的双重支付行为。由于每张票据都有有限的有效时间周期，银行的每个本地票据管理服务器无需存储大量票据，且票据匹配速度较快。

(2) 身份与兴趣隐私

用户使用加密和签名方案与银行进行交互，因此攻击者无法获取指定用户收到的票据的任何信息。每张票据中的临时验证密钥和哈希值均由所有者随机生成，因此攻击者无法将一张票据与另一张票据关联。票据仅对一次会话有效，因此攻击者无法将一次会话与另一次会话关联，用户是不可追踪的。VSSP发送给每个用户的内容以及PSP发送给用户的数据通过为每次会话新鲜生成的不同共享会话密钥进行保护，因此除VSSP外的任何窃听者都无法获知每个用户的兴趣信息。即使共谋的ISP和VSSP也无法通过分析所有交互来跟踪用户身份和兴趣。

我们分两种情况讨论这一共谋问题。
情况1 ：我们假设攻击者（包括ISP和VSSP）无法获取用户除分配的网络地址及其对应的订阅视频之外的任何额外信息，这是理想情况。在此情况下，他们只能得知位于某个网络地址的特定用户访问了某些类型的视频，并可为该会话建立兴趣画像，但由于票据对除发行银行外的其他方均具有隐私保护性，因此无法将此画像关联到其他会话。
情况2 ：我们假设攻击者可以获得关于用户的有限位置信息，即在特定区域内有 n个已知的居民或员工可能访问互联网。这些信息可以通过公开调查或从邮件服务提供商处收集。我们还假设，在最坏的情况下，攻击者确切地知道其中有 m人同时在浏览互联网。在这种情况下，如果 m很小，则用户的兴趣和隐私可能面临风险。例如，如果攻击者知道一个订阅列表视频，且在此期间只有两个人正在访问互联网，则猜中正确人物的概率约为50%。这种情况符合 k‐匿名性模型[27]。在最坏情况下，猜中正确用户概率为 1/m，当 m增加到较大数值时，该概率将降低至一个较低的值。

5.2 对比分析

我们将本方法的多个特征与以往视频流认证方案[4,10],以及一些隐私保护顺序认证方案[12,15]进行了比较。比较结果如表1所示。

	隐私保护	价格灵活性	检测双倍支出	预防双倍支出	避免欺诈服务中	跟踪非法 user	Man‐in‐ middle 预防
[4]	×	不关心	×	×	×	×	×
[10]	×	不关心	×	×	×	×	×
[12]	√	√	√	√	√	×	×
[26]	√‡	√	√	√	√	√	×
[15]	√	√	×	√	√	×	×
所提出的方案	√	√	√	√	√	√	√

‡：薄弱的保护，同一用户的全部认证均可被关联。

[4,10]中的视频流媒体方案旨在为有损网络中的视频源认证而设计，作者未考虑隐私保护、计费以及用户的恶意行为，因此许多功能未能实现。在[12]的方案中，由于每个用户都通过零知识证明技术实现了完全匿名，权威机构无法追踪非法用户。在[15]的方案中，服务提供商以离线形式对每个用户进行认证，因此用户可以在其他地方与不同的服务提供商之间双倍消费其令牌。

在我们的方案中，使用匿名票据来保护隐私。每次会话中发送每个代理服务周期或每个视频的费用，从而实现价格灵活性。通过在线票据检查来检测和阻止双重消费。利用哈希链进行顺序认证，能够快速完成认证的同时避免严重的欺诈行为。滥用代理服务或视频流服务的非法用户可通过票据发行银行进行跟踪。临时共享密钥用于保护视频数据免受中间人攻击。