摘　要：

摘　要：所有連接到網(wǎng)絡中的用戶都可以共享網(wǎng)絡資源，在這種情況下，對于各種網(wǎng)絡應用的攻擊也是隨時存在的，所以需要更為復雜的安全服務。本文提出一個使用SPKI證書在對等環(huán)境中進行訪問控制的方案，這個方案是通過給網(wǎng)絡中想要共享資源的用戶提供證書的方法來進行訪問控制的，根據(jù)分配給用戶的訪問權(quán)限來限制信息提供者的資源的使用。

關(guān)鍵詞：

關(guān)鍵詞：SPKI　對等環(huán)境　訪問控制

1　介紹

　　對等計算可以簡單的定義為通過直接交換來共享計算機資源和服務，而對等計算模型應用層形成的網(wǎng)絡通常稱為對等網(wǎng)絡[1]。在對等網(wǎng)絡環(huán)境中，成千上萬臺彼此連接的計算機都處于對等的地位，整個網(wǎng)絡一般來說不依賴專用的集中服務器，它打破了傳統(tǒng)的客戶機/服務器模式，在網(wǎng)絡中的每個結(jié)點的地位都是對等的，每個結(jié)點既充當服務器，為其他結(jié)點提供服務，也使用其他節(jié)點提供的服務。因此，這樣的系統(tǒng)就可以解決像用戶數(shù)量的增加導致服務器的處理量增加的問題。

　　在對等服務中所有具備通信能力的信息終端都稱為節(jié)點，因為在對等環(huán)境中所有的節(jié)點即是資源的提供者又是資源的獲取者，它們也很可能會受到惡意的攻擊。因此，對等服務需要在各節(jié)點間提供信息的保密性和完整性，它可以負責各種安全服務，對特殊節(jié)點進行訪問控制等。本文是通過發(fā)布匿名證書來認證參與服務的節(jié)點，通過為使用公共資源而連接到網(wǎng)絡中的節(jié)點發(fā)布SPKI證書，這樣可以在各節(jié)點間設置訪問控制，根據(jù)節(jié)點間的訪問權(quán)限來控制公共節(jié)點的資源的使用。

2 　SPKI

　　SPKI（Simple Public Key Infrastructure）證書，也被稱為授權(quán)證書，也是建議使用的公鑰證書的一種，它可以通過把用戶的使用權(quán)限與一個公鑰進行綁定來進行訪問控制。SPKI證書是由服務器發(fā)布的，用戶可以自己保存它或者需要時由服務器提供，用戶通過獲得的證書在權(quán)限內(nèi)利用服務器的資源[2]。

　　使用SPKI證書的必要具備以下六個條件。首先，應該允許自由產(chǎn)生證書，并為其它用戶分配訪問權(quán)限。其次，所有用戶都可以從證書發(fā)布者那得到授權(quán)。第三，可以自由地指定或分配權(quán)限，根據(jù)應用領(lǐng)域可以很容易實現(xiàn)權(quán)限的分配。第四，必須明確地指定證書的有效期。第五，可以用公鑰來代替用戶的名字來使用。第六，提供一個更好的系統(tǒng)，來實現(xiàn)根據(jù)名字和屬性搜索證書。具有這些特征和要求的SPKI證書在它的組成里有兩個重要的域，代表域和授權(quán)域，這點是與現(xiàn)有的公鑰證書不同的。代表域確定在發(fā)布的證書里是否授權(quán)訪問指定的區(qū)域，授權(quán)域用來確定訪問發(fā)布證書的服務器資源的權(quán)限。

　　SPKI證書的結(jié)構(gòu)是一個簽名的信息，包括以下五個域：發(fā)布者、主體、代表域、授權(quán)域、有效期。

　　發(fā)布者：代表證書發(fā)布者的域，它生成證書或?qū)ψC書簽名，用公鑰或它的哈希值來表示。

　　主體：代表證書中授權(quán)的用戶，用主體的公鑰或它的哈希值來表示[3]。

　　代表域：表示發(fā)布者是否代表實體的授權(quán)，用真或假表示。如果為真，發(fā)布者給實體一個授權(quán)。

　　授權(quán)域（訪問權(quán)限）：因為代表域表示證書授權(quán)發(fā)布給誰，當發(fā)布者給實體證書簽名時，必須指出實體可以使用的權(quán)限，可自由地安排權(quán)限或者根據(jù)發(fā)布者應用的域來指定。

　　有效期：它表示證書的有效時間。為了防止發(fā)布者的密鑰暴露或丟失，，指定短一點的有效期會好一些。

　　實際上發(fā)布的證書是用發(fā)布者密鑰進行簽名的，S(I)為發(fā)布者的密鑰。

　　S(I)

本文編號：14953