圖29:雙重版本 HIBE 實作效能測試 圖 30:雙重版本 HIBS 實作效能測試
Pairing 運算在不同金鑰長度的密碼系統下所需的時間,顯示如下:
7.2 同儕網路部屬方面的考量
我們將以JXTA 平台,探討同儕網路環境實際部署的問題,包括如何將我們的設 計整合進去,我們設計中的運作對應到平台中的運算,以及身份命名的對應關 係,都在接下來的章節一一討論:
7.2.1 補強 JXTA 安全支援
因為在同儕網路中沒有指定的伺服器擔任信任權威 (trust authority) ,JXTA 讓每 個同儕產生自己的金鑰和對應的憑證 (certificate) ,也就是說,每圈同儕充當自 己的權威。這個安全機制稱作自簽憑證 (self-sign certificate) 。它只能保證金鑰
Elliptic Curve Key Size 160 bit 224 bit 256 bit 384 bit RSA Key Size 1024 bit 2048 bit 3072 bit 7680 bit Pairing Operation 609 ms 1282 ms 1703 bit 5100 bit
表格 8:Pairing 在不同金鑰長度密碼系統的效能測試
對的有效性 (是否成對) ,但是沒有提供任何關於擁有者的資訊。所以讓有心人 取得他人的金鑰來使用,系統是無法察覺的。為了要保證安全的通訊,我們需要 公開金鑰系統所提供基礎的安全服務:加密、簽章和金鑰協議 (key agreement) 。 我們設計的系統 Halo 能夠強化 JXTA 在安全通訊上的弱點。我們將延伸 JXTA 成員服務 (membership service) :需要重新定義其中的認證器 (authenticator) 、 安全憑證 (secure credential) 來支授我們設計的階層式身份基礎金鑰系統。
7.2.2 JXTA 通訊上的機制
JXTA 中的管道 (pipe) 是同儕間虛擬的通道,雖然我們把同儕間的通訊想成單一 的連線,但其中的防火牆 (firewall) 或是閘道 (gateway) 等障礙物,讓同儕間無 法直接連線,所以管道就是為了解決這個問題的虛擬通道,利用閘道點 (gateway peer) 來支援接繼通訊 (relayed communication) 。
同儕和同儕間實際上連線通訊時,極有可能牽涉其他的同儕,而管道這個抽象化 概念,把其間的複雜性隱藏,所以JXTA 協定支援了許多不同型式的管道如單向 非同步 (uni-directional synchronous) 、單播可信賴安全管道 (uni-cast reliable secure pipe) ,當然也提供了不同的定址方式如點對點 (point-to-point) 和擴散 (propagate) ,其中擴散方式能夠達到廣播通訊的校果。
在 Halo 系統的設計中,在新的同儕領域產生時,最初的幾個同儕 (候選 SFG PKG/ ) 會需要用到擴散的方式交換彼此的資訊,而同儕領域產生後,
PKG 和同儕領域中的同儕則可以藉由單向同步,甚至是單播可信賴的安全管道 來進行安全的交易。
7.2.3 JXTA 中的身份與密碼學中身份的連結
在 JXTA 中,通告 (advertisement) 是用來描述有關同儕、同儕群組和服務的資
訊。同儕群組通告 (請參考表格 9) 包含 JXTA 同儕群組 ID (GID) ,用來唯一參 考到一個同儕群組。JXTA 模組規格 ID (Module Specification ID, MSID) ,用來 唯一參考到同儕群組的機制、名稱、敘述 (Desc) 和群組服務 (Svc) 。為了將我 們的設計整合進去,我們在群組敘述中,加入了一群參數,例如GID, MSID, Hash 函數和密碼系統中所需的系統參數。這邊的GID 和先前提到的 JXTA GID 不同。
他是將JXTA GID, JXTA MSID 連接 (concatenate) 起來表示我們系統中的同儕群 組ID。同儕群組的公鑰則是由群組 ID 的 Hash 值取得。請見表格 9。
<jxta:PGA xml:space="default" xmlns:jxta="http://jxta.org">
<GID>
<Name> Peer Group (Gossip) </Name>
<Desc>
<P0> Additive Group Generator (P0) </P0>
<Hash1> Bits-to-G1 Hash Function </Hash1>
<Hash2> G2-to-Bits Hash Function </Hash2>
<Sig> Parameter Set Signature </Sig>
<Parm type="jxta:GossipServiceConfigAdv"
xml:space="preserve"
xmlns:jxta="http://jxta.org">
<gossip> test </gossip>
</Parm>
</Svc>
</jxta:PGA>
<jxta:PA xml:space="default" xmlns:jxta="http://jxta.org">
<PID>
<Name> Peer Name (test) </Name>
<Desc>
<P0> Additive Group Generator (P0) </P0>
<Hash1> Bits-to-G1 Hash Function </Hash1>
<jxta:RA xml:space="preserve"
xmlns:jxta="http://jxta.org">
第 8 章 結語
我們提出了Halo 系統,一個階層式的身份基礎公開金鑰系統 (HIDPKI) 。它不 但支援遞迴式的方式建立階層式 IBE 架構,並且提供無需固定伺服器的方式產 生HIBE 參數和使用者私鑰,此外,我們也提出了系統管理方面的策略,較傳統 TRSA 更有效率,且更適合同儕網路的場景。