分布式的SPKI/SDSI2.0证书链搜索算法

信任管理是一种适用于大规模分布式网络的访问控制机制,SPKI/SDSI2.0是目前信任管理体系中最成熟、最普及的一个.可目前已有的SPKI/SDSI2.0证书链搜索算法都是集中式的,而SPKI/SDSI2.0系统是一种分布式系统,证书是以分布式方式分发和存储的.针对此问题,首先给出一种合理的SPKI/SDSI2.0分布式证书存储策略,其中的证书是对象方完全可追溯的（subject-traces-all）.在此基础上,提出了一种分布式的SPKI/SDSI2.0证书链搜索算法DCCDS,它是面向目标的（goal-directed）.理论分析表明,算法具有较高的执行效率,而且可以实现对委托深度（delegation depth）的细粒度控制.     

SDSI中名字证书链的分布式发现

利用处理基于角色的证书体系的证书图,实现了对SDSI名字证书的处理。基于这种证书图,给出了针对SDSI名字证书的分布式搜索算法,并证明其可靠性和完备性,表明当证书适当存储时,该算法能搜索和找到相关证书并形成证书链。与现有的自下至上的证书搜索算法相比,该算法更好地适应了SDSI名字证书的分布式存储特性。作为有目的的搜索算法, 它具备了自下至上算法所不具有的高效性、灵活性,更适合应用于海量证书分散存储的Internet。     

P2P网络分布式证书管理方法的研究

在P2P环境下需要证书来构建信任关系和授权访问，选择一种适合P2P环境的SPKI／SDSI证书，并且利用分布式哈希表算法实现了在分布式网络中高效地发布和快速查找到SPKI／SDSI证书。该方法是高效和健壮的。     

用SPKI/SDSI证书实现网络文件访问控制*

比较了两种传统访问控制方法的优缺点,指出了新的基于SPKI/SDSI证书的访问控制方法的特点。简要介绍了SPKI/SDSI证书的工作原理和工作模型,设计了一个用SPKI/SDSI证书进行网络文件访问控制的系统,说明了系统的每个部分的具体实现方法,并给出了关键问题的部分代码或处理步骤。     

计算网格中一种扩展的SPKI/SDSI 模型

SPKI/SDSI 是一种灵活且可扩展的分散的安全模型,它能够提供认证、保密和访问控制。然而,SPKI/SDSI 证书链并不适合大规模、高动态的环境,比如计算网格。通过观念模型基于主观逻辑对SPKI/SDSI 安全模型进行了扩展,提出了一种扩展的SPKI/SDSI 模型。该扩展模型可以灵活应用于计算网格。     

一种高效的SPKI/SDSI2.0策略分析算法

信任管理方法提供了一种新的思路,弥补了传统授权机制应用于分布式系统的不足.SPKI/SDSI2.0是目前较普及的信任管理系统,系统中的每个主体都可以发放证书.在一个特定的系统状态中,系统管理员需要知道关于系统的一些“特性”,如某一主体是否有权访问被保护资源、一个本地名有哪些成员等.当证书数量庞大时,这些问题需要借助一定的工具才能回答.但以前的算法均集中于对授权问题的讨论,没有考虑与名字相关的系统策略分析,且分析效率偏低.提出了一种基于逻辑的SPKI/SDSI2.0策略分析算法EPAAS,从本质上拓宽了策略分析的领域,利用它不仅可以分析SPKI/SDSI2.0的授权问题及名字问题,还可以将这两类问题结合起来对系统策略进行综合查询;此外,EPAAS将策略分析的时间复杂度由原先算法的O(n\\+3l)降至O(n),提高了分析效率.EPAAS用标准的Datalog程序表示SPKI/SDSI2.0的系统状态,以Datalog程序的最小Herbrand模型作为它的语义,证明了该语义的可靠性.     

SPKI2.0安全性分析及改进

本文介绍了SPKI这种广泛使用的信任管理系统.从自主授权、传递授权和名字证书等方面,对其安全性进行了分析,指出将名字理解为角色的情况下,名字证书机制存在一定的安全问题.提出了对名字证书增加深度控制和将名字绑定改为不可传递两种改进方案.     

基于证书的语义Web服务访问控制方法

为了实现语义Web服务环境中的访问控制机制,研究了基于证书授权的访问控制方法.在对语义Web服务的访问控制需求进行分析的基础上,提出了将简单公钥基础设施/简单分布式安全基础设施(SPKI/SDSI)证书与OWL-S本体描述集成的访问控制方法,该方法将访问控制描述与服务功能描述集成在一个统一的框架中,既便于管理又提高了用户访问Web服务的效率.     

基于SPKI的电子支付系统

SPKI证书主要用于访问控制,它强调分布式处理,允许任何拥有公私钥对的实体自由发布证书而不需要一个权威的第三方,从而使得证书的颁发更加简单方便。SPKI的一个重要特点是SPKI证书是基于公钥的而非基于名字。因此,使用SPKI证书便可以很容易地保护隐私。本文提出了一个基于SPKI的电子支付系统,该系统可以解决电子支付中的匿名名性问题。不仅如此,该系统还可以很好地保证交易时的公平性,解决电子商务支付中出现的其它很多问题。     

SPKI2.0信任模型的改进及应用

本文简要介绍了SPKI证书,同时提出使用SPKI证书进行访问控制时容易出现的问题,即查找证书链失败的问题,并提出了对SPKI授权认证模型改进的方法,使得当授权证书链不存在时客户端建立新的证书链访问资源服务器,并将此模型应用于网上电子商务中。     

基于Hilbert曲线的许可证存储策略及查找算法

在分布式环境下,利用信任管理机制来实现存取控制已得到人们的一致认同.但是,许可证的存储策略一直是这个领域中一个尚未完全解决的重要问题,而且它直接影响到许可证链的查找等问题.提出了利用许可证的发布者和主体两维信息,采用分布哈希表和Hilbert曲线对许可证进行分布定位的新的许可证存储策略.这种存储策略不仅具有很好的负载平衡的特性,而且为许可证的查找提供了充分的灵活性.同时,利用Hilbert曲线生成时的递归特性及其所具有的局部保持性,实现了在分布式环境中基于部分关键字的许可证查找.在此基础上,提出一种许可证链查找算法,实现了在查询过程中构造最小的许可证图,从而大幅度减少网络中的信息传输量.     

Understanding SPKI/SDSI using first-order logic

SPKI/SDSI is a language for expressing distributed access control policy, derived from SPKI and SDSI. We provide a first-order logic (FOL) semantics for SDSI, and show that it has several advantages over previous semantics. For example, the FOL semantics is easily extended to additional policy concepts and gives meaning to a larger class of access control and other policy analysis queries. We prove that the FOL semantics is equivalent to the string rewriting semantics used by SDSI designers, for all queries associated with the rewriting semantics. We also provide a FOL semantics for SPKI/SDSI and use it to analyze the design of SPKI/SDSI. This reveals some problems. For example, the standard proof procedure in RFC 2693 is semantically incomplete. In addition, as noted before by other authors, authorization tags in SPKI/SDSI are algorithmically problematic, making a complete proof procedure unlikely. We compare SPKI/SDSI with RT ₁ ^C , which is a language in the RTRole-based Trust-management framework that can be viewed as an extension of SDSI. The constraint feature of RT ₁ ^C , based on Constraint Datalog, provides an alternative mechanism that is expressively similar to SPKI/SDSI tags, semantically natural, and algorithmically tractable. Preliminary version of this paper appeared in Proceedings of the 16th IEEE Computer Security Foundations Workshop, July 2003. Most of this work was performed while the first author was a research associate at the Department of Computer Science, Stanford University in Stanford, CA 94305.     

基于向量相似度修正策略的命名实体关联分析

关联分析是数据挖掘技术中的一种重要方法,代表性算法有FP-growth算法和MAXFP-Miner算法。命名实体包含了文本的主要内容,蕴含了丰富的知识模式。针对命名实体的特点,提出一种基于向量相似度比较的关联规则修正策略,将此修正策略应用于MAXFP-Miner算法中,得到一种改进的MAXFP-Miner算法;利用该算法对命名实体之间的内在联系进行分析,从中发现有意义的知识模式。实验结果与性能比较表明,改进的MAXFP-Miner算法是有效的,优于传统的FP-growth算法和MAXFP-Miner算法。     

一种基于SPKI的匿名支付方案

SPKI is a proposed standard for public-key certificates. One important property of SPKI is that SPKI is key-oriented rather than name-oriented, and the public-key is globally unique. In this paper we propose an anonymous paymentscheme based on SPKI aiming at the problem of anonymous payment in B2C e-commerce. In the scheme we use the key-oriented characteristic of SPKI to link the public key to the account, and use authorization certificates to pay. The scheme achieves the anonymity very well.