到此為止,我們介紹完了廣播加密機制相關的方法以及本篇論文所提出的改 良方式,在這一章,我們對整篇論文所提作一個結論,並提出未來的相關工作。
5.1 結論
廣播加密機制是一種在任何時間,保持只有合法使用者可以解開加密密文 的機制。整個機制最主要兩個部份,第一個部分是把所有使用者分配到一個特定 架構上,然後在此架構,定義出屬於此方法的子集合,通常,管理中心會分配給 每一個子集合一個屬於此集合的金鑰,並且將此金鑰分配給所有屬於這個子集合 的使用者;第二個部份是一個尋找覆蓋的方法,就是在已知的註銷使用者分配情 況下,從定義的子集合中,找出可以覆蓋住所有合法使用者,並避免覆蓋到任何 非法使用者的覆蓋集合來,利用這些覆蓋集合的金鑰來加密資料加密金鑰。
廣播加密機制從是否更新儲存裝置,可分為無狀態型機制,跟有狀態型機 制,有狀態型機制需要較少的金鑰更新訊息的複雜度,但因為必須全程參與所有 金鑰更新訊息,否則會無法解開之後的訊息,近幾年來大部分的論文發表,都是 無狀態型機制,特別是從子集差別方法所延伸的演算法。
一個廣播加密機制所需要做的,就是找出適當的子集合定義以及在此子集 合下找尋覆蓋的方法。尤其是定義子集合的方法,幾乎決定一個方法的好壞效 率。近年來的所發表的方法多由子集差別方法所延伸,因此,定義子集合的方式 也就大同小異。但是,我們深信研究的重心仍應朝著找尋更有效的子集合定義方 式進行。
這篇論文,仍然沒有逃出子集差別方法的原理,但是,我們提出一個概念。
並不是所有的非法使用者都一定要馬上被註銷其權限,這是在有狀態型機制中,
早就有的概念,這種概念,在長時間持續性廣播,且廣播的加密並不是一定不能 洩露的應用上,可以做更有效率的轉換。在這樣地應用上,只要大部分的時間,
非法使用者無法解開訊息,就可以得到廣播加密機制該有的管理,例如,付費節 目。但是若所要廣播的資料是絕對不可以被解開的,例如軍事上的機密,就不適 合採用這樣的概念。於這樣的概念,在無狀態型機制上,更是適合,因為在無狀 態型機制中,每一個非法使用者都會被考慮到,而不會因為之前的金鑰更新訊息 中,沒有把某位非法者的權限註銷掉,導致疏忽或者其他會引響到未來系統之事 件發生的可能。
基於不必註銷掉所有的非法使用者,在提出新的路由器能力,幫助我們的 方法情況下,在本篇論文中,我們提出一個方法,節省 SD 演算法中較無效率的 訊息,而得到約 30%的改善。我們的演算法是針對 SD 系列演算法中特殊的訊息 作處理,因此,其他與 SD 類似的演算法,例如 LSD 也可以應用類似方法取得改 善。
5.2 未來工作
在今年 Eurocrypt(2005)會議上,Nam-su Jho 等人提出了一篇比 SD 來的有效 率的廣播加密機制[9],這篇方法所定義的子集合較子集差別方法來的複雜些,可 以根據實際應用所需,調節與儲存複雜度、訊息複雜度有關的相關參數,在大部 分的情況中,都較子集差別方法有效率。我們認為在此廣播加密方法中,應該也 會有類似 SD 方法中的較無效率的訊息,一樣會可套用我們所提出的概念,得到 改善。
近年來大部分的相關方法,較著重在於找尋適當的子集合定義方式,對於 在找尋覆蓋的方法上,大多是採取貪婪式的演算法,這樣的計算方式,對管理中 心來說,是一種較為減少負擔的方法,因為,大多數學者認為找尋一個絕對最小 數量的覆蓋,有可能是一個 NP 問題。但是,從廣播加密機制被研究以來,尚未 有論文對此觀點做一證明。
目前的廣播加密方法,都是採用一個集中式的管理:有一個管理中心,要 負責管理底下眾多的使用者,註銷某些使用者後,還必須找出適當的加密金鑰。
這樣的管理方式,對於管理中心來說是相當大的負擔,即使每個方法都有對其效
率做改善,仍然不適合用於數量龐大的系統。此外,大多數的應用上,中心除了 做廣播的註銷等工作外,還得處理如應用上的政策等工作。在此情況下,我們相 信更多的應用應該要採用分散式的管理方式,由地域或風格等因素劃分出多個分 散式的管理中心,互相合作完成廣播加密的工作。研究一個分散式的廣播加密機 制,相信也是一個必要的研究課題。
參考文獻
[1] D. Naor, M. Naor and J. Lotspiech, “Revocation and Tracing Schemes for Stateless Receivers,” in Proceedings of Advances in Cryptology – Crypto 01, Lecture Notes in Computer Science 2139, pp.41-62, 2001.
[2] C.K. Wong, M. Gouda and S.S. Lam, “Secure Group Communication using Key Graphs,” IEEE/ACM Transactions on Networking, Volume 8, pp.16-30,
February 2000.
[3] D. Halevi and A. Shamir, “The LSD Broadcast Encryption Scheme,” in
Proceedings of Advances in Cryptology –Crypto 02, Lecture Notes in Computer Science 2442, pp.47-60, 2002.
[4] M.T. Goodrich, J.Z. Sun and R. Tamassia, “Efficient Tree-Based Revocation in Groups of Low-State Devices,” in Proceedings of Advances in Cryptology – Crypto 04, Lecture Notes in Computer Science 3152, pp.511-527, 2004.
[5] M. Abdalla, Y. Shavitt, and A. Wool, “Key Management for Restricted Multicast Using Broadcast Encryption,” IEEE/ACM Transactions on Networking, Volume 8, pp.443-454, August 2000.
[6] T. Asano, “A Revocation Scheme with Minimal Storage at Receivers,” in Proceedings of Advances in Cryptology-Asiacrypt 02, Lecture Notes in Computer Science 2501, pp. 433-450, 2002
[7] M.J. Mihaljevic, M.P.C. Fossorier, and H.Imai, “Time-Data-Memory Trade-Off Based Cryptanalysis of Certain Broadcast Encryption Schemes,” from IACR Eprint Archive, http://eprint.iacr.org/2005/099 , 2005.
[8] S. Zhu, S. Setial and S. Jajodia, “Performance Optimizations for Group Key Management Schemes,” in Proceedings of the 23rd International Conference on Distributed Computing Systems, pp. 163--171, 2003.
[9] N.S. Jho, J.H. Cheon, M.H. Kim, and E.S. Yoo, “One-Way Chain Based Broadcast Encryption Schemes” in Proceedings of Advances in Cryptology- Eurocrypt 02, Lecture Notes in Computer Science 3494, pp. 559-574, 2005.