计算网格中一种扩展的SPKI/SDSI 模型

SPKI/SDSI 是一种灵活且可扩展的分散的安全模型,它能够提供认证、保密和访问控制。然而,SPKI/SDSI 证书链并不适合大规模、高动态的环境,比如计算网格。通过观念模型基于主观逻辑对SPKI/SDSI 安全模型进行了扩展,提出了一种扩展的SPKI/SDSI 模型。该扩展模型可以灵活应用于计算网格。     

SPKI/SDSI名字证书缩减闭包算法及改进

论文简要分析了SPKI/SDSI证书系统的特点及用途,介绍了SPKI/SDSI名字证书及名字证书缩减闭包的概念。给出了SPKI/SDSI名字证书缩减闭包计算的基本算法—B3HTNRC及其改进算—B2HTNCRC,对两种算法进行了实验比较,实验结果表明在输入证书集扩展越大时改进算法B2HTNCRC比B3HTNCRC的效率要越高。     

基于证书的语义Web服务访问控制方法

为了实现语义Web服务环境中的访问控制机制,研究了基于证书授权的访问控制方法.在对语义Web服务的访问控制需求进行分析的基础上,提出了将简单公钥基础设施/简单分布式安全基础设施(SPKI/SDSI)证书与OWL-S本体描述集成的访问控制方法,该方法将访问控制描述与服务功能描述集成在一个统一的框架中,既便于管理又提高了用户访问Web服务的效率.     

P2P网络分布式证书管理方法的研究

在P2P环境下需要证书来构建信任关系和授权访问，选择一种适合P2P环境的SPKI／SDSI证书，并且利用分布式哈希表算法实现了在分布式网络中高效地发布和快速查找到SPKI／SDSI证书。该方法是高效和健壮的。     

一种高效的SPKI/SDSI2.0策略分析算法

信任管理方法提供了一种新的思路,弥补了传统授权机制应用于分布式系统的不足.SPKI/SDSI2.0是目前较普及的信任管理系统,系统中的每个主体都可以发放证书.在一个特定的系统状态中,系统管理员需要知道关于系统的一些"特性",如某一主体是否有权访问被保护资源、一个本地名有哪些成员等.当证书数量庞大时,这些问题需要借助一定的工具才能回答.但以前的算法均集中于对授权问题的讨论,没有考虑与名字相关的系统策略分析,且分析效率偏低.提出了一种基于逻辑的SPKI/SDSI2.0策略分析算法EPAAS,从本质上拓宽了策略分析的领域,利用它不仅可以分析SPKI/SDSI2.0的授权问题及名字问题,还可以将这两类问题结合起来对系统策略进行综合查询;此外,EPAAS将策略分析的时间复杂度由原先算法的O(n<'3>/l)降至O(n),提高了分析效率.EPAAS用标准的Datalog程序表示SPKI/SDSI2.0的系统状态,以Datalog程序的最小Herbrand模型作为它的语义,证明了该语义的可靠性.     

基于SPKI的电子支付系统

SPKI证书主要用于访问控制,它强调分布式处理,允许任何拥有公私钥对的实体自由发布证书而不需要一个权威的第三方,从而使得证书的颁发更加简单方便。SPKI的一个重要特点是SPKI证书是基于公钥的而非基于名字。因此,使用SPKI证书便可以很容易地保护隐私。本文提出了一个基于SPKI的电子支付系统,该系统可以解决电子支付中的匿名名性问题。不仅如此,该系统还可以很好地保证交易时的公平性,解决电子商务支付中出现的其它很多问题。     

SPKI2.0信任模型的改进及应用

本文简要介绍了SPKI证书,同时提出使用SPKI证书进行访问控制时容易出现的问题,即查找证书链失败的问题,并提出了对SPKI授权认证模型改进的方法,使得当授权证书链不存在时客户端建立新的证书链访问资源服务器,并将此模型应用于网上电子商务中。     

分布式的SPKI/SDSI2.0证书链搜索算法

信任管理是一种适用于大规模分布式网络的访问控制机制,SPKI/SDSl2.0是目前信任管理体系中最成熟、最普及的一个.可目前已有的SPKI/SDSl2.0证书链搜索算法都是集中式的,而SPKI/SDSl2.0系统是一种分布式系统,证书是以分布式方式分发和存储的,针对此问题,首先给出一种合理的SPKI/SDSl2.0分布式证书存储策略,其中的证书是对象方完全可追溯的(subject-traces-a11),在此基础上,提出了一种分布式的SPKI/SDSl2.O证书链搜索算法DCCDS,它是面向目标的(goal-directed).理论分析表明,算法具有较高的执行效率,而且可以实现对委托深度(delegation depth)的细粒度控制.     

基于证书的语义Web服务的访问控制研究

通过整合两种现有的技术：DAML-S（用机器可处理的语义描述Web服务）和SPKI/SDSI（用来指定基于授权的访问控制）,对语义网的访问控制做了一些改进,同时根据同济大学全国CAD培训网络系统,提出一个实际应用场景,并具体配置了该方法.该方法不仅仅适用于典型的基于Web服务的应用程序（Client-Server结构）,同时也适用于点对点和基于Agent的应用程序.     

一种新的公钥基础设施—SPKI

1 引言简单公钥基础设施(Simple Public Key Infrastructure,SPKI)是一种新的公钥证书标准。它能为分布式计算环境提供简单而精确的命名及授权体制。1999年,IETF组织将SPKI标准化。 SPKI主要用于访问控制,它的突出特点有二:分布式安全管理、使用密钥来代替以往X.509体制使用的名字。此外,在SPKI的证书里可以定义不同形式的许可权限。应该说,SPKI的全部思想都是基于公钥加密体制。所以,不管是证书的产生还是证书的使用,密钥都占主导地位。     

Understanding SPKI/SDSI using first-order logic

SPKI/SDSI is a language for expressing distributed access control policy, derived from SPKI and SDSI. We provide a first-order logic (FOL) semantics for SDSI, and show that it has several advantages over previous semantics. For example, the FOL semantics is easily extended to additional policy concepts and gives meaning to a larger class of access control and other policy analysis queries. We prove that the FOL semantics is equivalent to the string rewriting semantics used by SDSI designers, for all queries associated with the rewriting semantics. We also provide a FOL semantics for SPKI/SDSI and use it to analyze the design of SPKI/SDSI. This reveals some problems. For example, the standard proof procedure in RFC 2693 is semantically incomplete. In addition, as noted before by other authors, authorization tags in SPKI/SDSI are algorithmically problematic, making a complete proof procedure unlikely. We compare SPKI/SDSI with RT ₁ ^C , which is a language in the RTRole-based Trust-management framework that can be viewed as an extension of SDSI. The constraint feature of RT ₁ ^C , based on Constraint Datalog, provides an alternative mechanism that is expressively similar to SPKI/SDSI tags, semantically natural, and algorithmically tractable. Preliminary version of this paper appeared in Proceedings of the 16th IEEE Computer Security Foundations Workshop, July 2003. Most of this work was performed while the first author was a research associate at the Department of Computer Science, Stanford University in Stanford, CA 94305.