我們分析的是 PKI 在管理上的複雜性,因為實現系統時,選用的不同系統與函 式庫,所以複性會有很大的差異,所以我們以同儕網路中基本的運算來計算,以 下將先介紹同儕網路中的基本運算:Halo 系統主要的動作分成五大類: (一) 向 RA 註冊 (registration) 。 (二) 向SFG PKG/ 或 PKG 認證 (authentication) 。 (三) 向同儕認證 (authenti- cation) 。 (四) 搜尋資源 (resource discovery) 。 (五) 分散式金鑰產生 (distributed key generation, DKG) 。
向 RA 註冊:通常是一個實體的過程 (physical process) ,經由手動設定 (manual setup) 來完成:申請者必需現身於 RA 櫃台,並提供足夠的合法身份識 別資料,如身份證、學生證…等,此外,RA 也確認申請者是否有權使用某些服 務,申請者也需提供相關的資料,如會員證明、繳費收據等,RA 確認申請者身 份及被授與的服務,確認無誤後,將實體身份識別資料轉換成電子身份識別,並 以自己的私鑰簽章保護,寫於安全標記中。
向SFG PKG/ 或 PKG 認證:因為RA 所簽發的電子識別,唯一對應 Halo 系 統的一把公鑰,PKG 能夠藉由安全標記上,簽發者的簽章是否有效,確認申請 者的電子身份識別及公鑰,通過後,SFG PKG/ 或 PKG 產生對應公鑰的私鑰。
向同儕認證:當要確認同儕是否為本人,且具備某種服務,驗証同儕能利用 challenge- response 來確認被驗證同儕的身份,驗證者先推導出可能的公鑰,Halo
加密法加密亂數給被驗證的同儕,若被驗證的同儕具備這樣的身份,則他必有對 應的私鑰,所以能夠解開密文,並回傳response。
搜尋資源:在同儕網路中,資源的搜尋通常以 distributed hashed table (DHT) 來 達成,如CAN,Chord…等,有些甚至加入有限的漫遊 (limited random walk) , 一方面保留DHT 的快速搜尋,一方面加強遇到失敗的 DHT 搜尋的對策。
分散式金鑰產生:請參考§2.3.2.1 的分析。
6.3.2 通訊複雜度
由下表得知,在產生新的領域時的複雜度最高,即為DKG 運作時所需的溝通管 道,但因為領域的產生不會經常發生,而且之後的動作,包含管理同儕的自我維 護,或是家域、外域的同儕允許控制,復雜度都是相當的低,如SFG PKG/ 和 PKG 產生化身的過程,僅需傳遞必要的祕密,而允許控制則是和系統最初設捕 的門檻有關,通常門檻值在5 附近。所以也是相當的便宜。
Halo 系統動作 參與交易的實體 完成動作所需通道
c 個同儕 (全部是誠實的) 2 個廣播通道 c
c c( − 個安全單播通道 1) 產生新的同儕領域
c 個同儕 (其中有說謊的) c t( +3)個廣播通道 c c( − 個安全單播通道 1) 擴增分散式
SFG PKG/
1 個同隊本域SFG PKG/ 與SFG PKG/ 候選人
2 個單播通道
擴增分散式 PKG
1 個同隊本域PKG 與 PKG 候選人
2 個單播通道
本域允許控制 t 個本域PKG
t 個本域PKG 本域同儕候選人
t HIBE 金鑰抽取
外域允許控制 t 個外域PKG 外域同儕候選人
t HIBE 金鑰抽取
§2.2.2
表格 7:Halo 系統各項動作所需運算量