对等环境中访问控制的方法

摘　要：

摘　要：所有连接到网络中的用户都可以共享网络资源，在这种情况下，对于各种网络应用的攻击也是随时存在的，所以需要更为复杂的安全服务。本文提出一个使用SPKI证书在对等环境中进行访问控制的方案，这个方案是通过给网络中想要共享资源的用户提供证书的方法来进行访问控制的，根据分配给用户的访问权限来限制信息提供者的资源的使用。

关键词：

关键词：SPKI　对等环境　访问控制

1　介绍

　　对等计算可以简单的定义为通过直接交换来共享计算机资源和服务，而对等计算模型应用层形成的网络通常称为对等网络[1]。在对等网络环境中，成千上万台彼此连接的计算机都处于对等的地位，整个网络一般来说不依赖专用的集中服务器，它打破了传统的客户机/服务器模式，在网络中的每个结点的地位都是对等的，每个结点既充当服务器，为其他结点提供服务，也使用其他节点提供的服务。因此，这样的系统就可以解决像用户数量的增加导致服务器的处理量增加的问题。

　　在对等服务中所有具备通信能力的信息终端都称为节点，因为在对等环境中所有的节点即是资源的提供者又是资源的获取者，它们也很可能会受到恶意的攻击。因此，对等服务需要在各节点间提供信息的保密性和完整性，它可以负责各种安全服务，对特殊节点进行访问控制等。本文是通过发布匿名证书来认证参与服务的节点，通过为使用公共资源而连接到网络中的节点发布SPKI证书，这样可以在各节点间设置访问控制，根据节点间的访问权限来控制公共节点的资源的使用。

2 　SPKI

　　SPKI（Simple Public Key Infrastructure）证书，也被称为授权证书，也是建议使用的公钥证书的一种，它可以通过把用户的使用权限与一个公钥进行绑定来进行访问控制。SPKI证书是由服务器发布的，用户可以自己保存它或者需要时由服务器提供，用户通过获得的证书在权限内利用服务器的资源[2]。

　　使用SPKI证书的必要具备以下六个条件。首先，应该允许自由产生证书，并为其它用户分配访问权限。其次，所有用户都可以从证书发布者那得到授权。第三，可以自由地指定或分配权限，根据应用领域可以很容易实现权限的分配。第四，必须明确地指定证书的有效期。第五，可以用公钥来代替用户的名字来使用。第六，提供一个更好的系统，来实现根据名字和属性搜索证书。具有这些特征和要求的SPKI证书在它的组成里有两个重要的域，代表域和授权域，这点是与现有的公钥证书不同的。代表域确定在发布的证书里是否授权访问指定的区域，授权域用来确定访问发布证书的服务器资源的权限。

　　SPKI证书的结构是一个签名的信息，包括以下五个域：发布者、主体、代表域、授权域、有效期。

　　发布者：代表证书发布者的域，它生成证书或对证书签名，用公钥或它的哈希值来表示。

　　主体：代表证书中授权的用户，用主体的公钥或它的哈希值来表示[3]。

　　代表域：表示发布者是否代表实体的授权，用真或假表示。如果为真，发布者给实体一个授权。

　　授权域（访问权限）：因为代表域表示证书授权发布给谁，当发布者给实体证书签名时，必须指出实体可以使用的权限，可自由地安排权限或者根据发布者应用的域来指定。

　　有效期：它表示证书的有效时间。为了防止发布者的密钥暴露或丢失，，指定短一点的有效期会好一些。

　　实际上发布的证书是用发布者密钥进行签名的，S(I)为发布者的密钥。

　　S(I)

本文编号：14953