摘　要：

摘　要：所有連接到網(wǎng)絡(luò)中的用戶都可以共享網(wǎng)絡(luò)資源，在這種情況下，對(duì)于各種網(wǎng)絡(luò)應(yīng)用的攻擊也是隨時(shí)存在的，所以需要更為復(fù)雜的安全服務(wù)。本文提出一個(gè)使用SPKI證書在對(duì)等環(huán)境中進(jìn)行訪問控制的方案，這個(gè)方案是通過給網(wǎng)絡(luò)中想要共享資源的用戶提供證書的方法來進(jìn)行訪問控制的，根據(jù)分配給用戶的訪問權(quán)限來限制信息提供者的資源的使用。

關(guān)鍵詞：

關(guān)鍵詞：SPKI　對(duì)等環(huán)境　訪問控制

1　介紹

　　對(duì)等計(jì)算可以簡單的定義為通過直接交換來共享計(jì)算機(jī)資源和服務(wù)，而對(duì)等計(jì)算模型應(yīng)用層形成的網(wǎng)絡(luò)通常稱為對(duì)等網(wǎng)絡(luò)[1]。在對(duì)等網(wǎng)絡(luò)環(huán)境中，成千上萬臺(tái)彼此連接的計(jì)算機(jī)都處于對(duì)等的地位，整個(gè)網(wǎng)絡(luò)一般來說不依賴專用的集中服務(wù)器，它打破了傳統(tǒng)的客戶機(jī)/服務(wù)器模式，在網(wǎng)絡(luò)中的每個(gè)結(jié)點(diǎn)的地位都是對(duì)等的，每個(gè)結(jié)點(diǎn)既充當(dāng)服務(wù)器，為其他結(jié)點(diǎn)提供服務(wù)，也使用其他節(jié)點(diǎn)提供的服務(wù)。因此，這樣的系統(tǒng)就可以解決像用戶數(shù)量的增加導(dǎo)致服務(wù)器的處理量增加的問題。

　　在對(duì)等服務(wù)中所有具備通信能力的信息終端都稱為節(jié)點(diǎn)，因?yàn)樵趯?duì)等環(huán)境中所有的節(jié)點(diǎn)即是資源的提供者又是資源的獲取者，它們也很可能會(huì)受到惡意的攻擊。因此，對(duì)等服務(wù)需要在各節(jié)點(diǎn)間提供信息的保密性和完整性，它可以負(fù)責(zé)各種安全服務(wù)，對(duì)特殊節(jié)點(diǎn)進(jìn)行訪問控制等。本文是通過發(fā)布匿名證書來認(rèn)證參與服務(wù)的節(jié)點(diǎn)，通過為使用公共資源而連接到網(wǎng)絡(luò)中的節(jié)點(diǎn)發(fā)布SPKI證書，這樣可以在各節(jié)點(diǎn)間設(shè)置訪問控制，根據(jù)節(jié)點(diǎn)間的訪問權(quán)限來控制公共節(jié)點(diǎn)的資源的使用。

2 　SPKI

　　SPKI（Simple Public Key Infrastructure）證書，也被稱為授權(quán)證書，也是建議使用的公鑰證書的一種，它可以通過把用戶的使用權(quán)限與一個(gè)公鑰進(jìn)行綁定來進(jìn)行訪問控制。SPKI證書是由服務(wù)器發(fā)布的，用戶可以自己保存它或者需要時(shí)由服務(wù)器提供，用戶通過獲得的證書在權(quán)限內(nèi)利用服務(wù)器的資源[2]。

　　使用SPKI證書的必要具備以下六個(gè)條件。首先，應(yīng)該允許自由產(chǎn)生證書，并為其它用戶分配訪問權(quán)限。其次，所有用戶都可以從證書發(fā)布者那得到授權(quán)。第三，可以自由地指定或分配權(quán)限，根據(jù)應(yīng)用領(lǐng)域可以很容易實(shí)現(xiàn)權(quán)限的分配。第四，必須明確地指定證書的有效期。第五，可以用公鑰來代替用戶的名字來使用。第六，提供一個(gè)更好的系統(tǒng)，來實(shí)現(xiàn)根據(jù)名字和屬性搜索證書。具有這些特征和要求的SPKI證書在它的組成里有兩個(gè)重要的域，代表域和授權(quán)域，這點(diǎn)是與現(xiàn)有的公鑰證書不同的。代表域確定在發(fā)布的證書里是否授權(quán)訪問指定的區(qū)域，授權(quán)域用來確定訪問發(fā)布證書的服務(wù)器資源的權(quán)限。

　　SPKI證書的結(jié)構(gòu)是一個(gè)簽名的信息，包括以下五個(gè)域：發(fā)布者、主體、代表域、授權(quán)域、有效期。

　　發(fā)布者：代表證書發(fā)布者的域，它生成證書或?qū)ψC書簽名，用公鑰或它的哈希值來表示。

　　主體：代表證書中授權(quán)的用戶，用主體的公鑰或它的哈希值來表示[3]。

　　代表域：表示發(fā)布者是否代表實(shí)體的授權(quán)，用真或假表示。如果為真，發(fā)布者給實(shí)體一個(gè)授權(quán)。

　　授權(quán)域（訪問權(quán)限）：因?yàn)榇碛虮硎咀C書授權(quán)發(fā)布給誰，當(dāng)發(fā)布者給實(shí)體證書簽名時(shí)，必須指出實(shí)體可以使用的權(quán)限，可自由地安排權(quán)限或者根據(jù)發(fā)布者應(yīng)用的域來指定。

　　有效期：它表示證書的有效時(shí)間。為了防止發(fā)布者的密鑰暴露或丟失，，指定短一點(diǎn)的有效期會(huì)好一些。

　　實(shí)際上發(fā)布的證書是用發(fā)布者密鑰進(jìn)行簽名的，S(I)為發(fā)布者的密鑰。

　　S(I)

本文編號(hào)：14953