一种高效的SPKI/SDSI2.0策略分析算法被引量：1

An Efficient Policy Analysis Algorithm for SPKI/SDSI2.0

下载PDF

导出

摘要信任管理方法提供了一种新的思路,弥补了传统授权机制应用于分布式系统的不足.SPKI/SDSI2.0是目前较普及的信任管理系统,系统中的每个主体都可以发放证书.在一个特定的系统状态中,系统管理员需要知道关于系统的一些"特性",如某一主体是否有权访问被保护资源、一个本地名有哪些成员等.当证书数量庞大时,这些问题需要借助一定的工具才能回答.但以前的算法均集中于对授权问题的讨论,没有考虑与名字相关的系统策略分析,且分析效率偏低.提出了一种基于逻辑的SPKI/SDSI2.0策略分析算法EPAAS,从本质上拓宽了策略分析的领域,利用它不仅可以分析SPKI/SDSI2.0的授权问题及名字问题,还可以将这两类问题结合起来对系统策略进行综合查询;此外,EPAAS将策略分析的时间复杂度由原先算法的O(n3l)降至O(n),提高了分析效率.EPAAS用标准的Datalog程序表示SPKI/SDSI2.0的系统状态,以Datalog程序的最小Herbrand模型作为它的语义,证明了该语义的可靠性. Trust management is a mechanism for large-scale, open, distributed access control and it is flexible and safe compared with traditional methods. SPKI/SDSI2.0 is a popular trust management system at present, and each principal in it can issue policy statements. A set of SPKI/SDSI2. 0 certificates form a state of system. In a given state, many important properties need to be known and analyzed, such as whether a principal is authorized to access a protected resource？ Which principals are members of one local name？ For a specific right, who are granted？ When the number of certificates is huge, a special algorithm is needed to answer these questions. However, previous algorithms only study the problems about authorization, ignoring the policy analysis to involved names. Moreover, the efficiency of those algorithms is not high. In this paper, EPAAS （efficient policy analysis algorithm for SPKI/SDSI2.0） is presented. EPAAS expands the area of policy analysis essentially, so it can analyze properties not only about authorization and name but about integrated properties. The time complexity of query is improved from previous algorithms＇ O（n^3l） to O（n）. The logic programs are gotten based on translating each policy statement into some Datalog clauses. The minimal Herbrand model of Datalog program is used as the program＇s semantics and it can be evaluated in polynomial time. In addition, the soundness of the semantics is proved.

作者耿秀华韩臻金砺曹香港

机构地区北京交通大学计算机与信息技术学院太原师范学院计算机系

出处《计算机研究与发展》 EI CSCD 北大核心 2009年第2期225-234,共10页 Journal of Computer Research and Development

基金国家“八六三”高技术研究发展计划基金项目(2007AA01Z410,2007AA01Z177) 国家“九七三”重点基础研究发展计划基金项目(2007CB307101) 国家自然科学基金项目(60573043) 北京交通大学科技基金项目(2008RC021)~~

关键词信任管理 SPKI/SDSI2.0 逻辑策略分析证书 trust management SPKI/SDSI2.0 logic policy analysis credential

分类号 TP309.2 [自动化与计算机技术—计算机系统结构]

引文网络
相关文献

参考文献9

1Blaze M, Feigenbaum J, Lacy J. Decentralized trust management [C]//Proc of the 17th Syrup on Security and Privacy. Los Alamitos, CA: IEEE Computer Society, 1996: 164-173
2Rivest R, Lampson B. Cryptography and information security group research project: A simple distributed security infrastructure [OL]. [-2007 09 09] http://theory.lcs. mit. edu/? cis/sdsi. html
3Clarke D, Elien J, Ellison C. Certificate chain discovery in SPKI/SDSI [J]. Journal of Computer Security, 2002, 9(4): 285-322
4Ellison C, Frantz B, Lampson B, et al. SPKI certificate theory [OL]. [2007-09-181 http://www. cis. ohio-state. edu/ htbin/rfc/rfc2693. html
5Jha S, Reps T. Analysis of SPKI/SDSI certificates using model checking [J]. Journal of Computer Security, 2004, 12 (3) : 317-353
6Li N, Mitchell J, Winsborough W. Beyond proof of compliance: Security analysis in trust management [J]. Journal of ACM, 2005, 52(3): 474-514
7Lloyd J. Foundations of Logic Programming [M]. 2nd Edition. Berlin: Springer, 1987
8Li N, Mitchell J. Understanding SPKI/SDSI using first-order logic [J]. International Journal of Information Security, 2006, 5(1): 48-64
9Dowling W, Gallier J. Linear-time algorithms for testing the satisfiability of propositional Horn formulae [J]. Journal of Logic Programming, 1984, 1(3): 267-284

同被引文献17

1杨秋伟,洪帆,杨木祥,朱贤.基于角色访问控制管理模型的安全性分析[J].软件学报,2006,17(8):1804-1810. 被引量：38
2廖俊国,洪帆,朱更明,杨秋伟.基于信任度的授权委托模型[J].计算机学报,2006,29(8):1265-1270. 被引量：30
3翟征德,冯登国,徐震.细粒度的基于信任度的可控委托授权模型[J].软件学报,2007,18(8):2002-2015. 被引量：34
4尹刚,王怀民,史殿习,滕猛.基于规则的受限委派框架[J].计算机学报,2007,30(9):1511-1519. 被引量：1
5Matt Blaze, Joan Feigenbaum, Jack Lacy. Decentralized trust management[C]//17th Symtx)sium on Security and Privacy. Oakland: IEEE Computer Society Press, 1996: 164 - 173.
6Ronald L Rivest, Bulter Larnpson. Cryptography and infor- mation security group research project: A simple distributed security infrastructure [ EB/OL]. http://theory, lcs. mit. edu/-- cis/sdsi, html, 1996.
7Dwaine Clarke, Jean Email Ellen, Carl Ellison. Certificate Chain discovery in SPKI/SDSI[J].Journal of Computer Security, 2001,9(4) :285 - 322.
8Carl Ellison, Bill Frantz, Butler Lampson, et al. SPKI certificate theory [ EB/OL ]. http://www, cis. ohio-state. edu/htbin/rfc/rfc2693, html, 1999.
9Barka E, Sandhu R. A role-based delegation model and some extension [ C]//23rd National Information Systems Security Conf. Baltimore, MD, USA: NIST, 2000:101 - 114.
10Harrison M A, Ruzzo W L, Ullman J D. Protection in oper-ating systems [ J ]. Communications of the ACM, August 1976,19(8): 461-471.

引证文献1

1耿秀华,何永忠.SPKI/SDSI2.0的安全性分析[J].北京交通大学学报,2013,37(5):23-28.

1耿秀华,何永忠.SPKI/SDSI2.0的安全性分析[J].北京交通大学学报,2013,37(5):23-28.
2耿秀华,韩臻,金砺,何永忠.一种基于约束的SPKI／SDSI2．0一致性验证机制[J].北京交通大学学报,2008,32(2):1-5. 被引量：2
3耿秀华,韩臻,金砺,王青龙.分布式的SPKI/SDSI2.0证书链搜索算法[J].计算机研究与发展,2008,45(7):1133-1141. 被引量：1
4阎文亮.信息管理系统策略分析[J].科学中国人,2015(4X).
5王旭,王以松,黄羿.LFIO:基于输入输出的Datalog归纳学习系统[J].贵州大学学报（自然科学版）,2017,34(1):57-61.
6王洁,艾莹莹,赵丽丽,夏杰.基于回答集编程的UML模型不一致性修正[J].计算机工程,2011,37(S1):43-45. 被引量：1
7房怀英.VBA对AutoCAD2000的二次开发[J].矿业科学技术,2002,30(2):29-31.
8石剑文.电子文件的长期存储策略[J].山东农业工程学院学报,2014,31(5):51-52. 被引量：2
9刘剑磊,段建勋.电气监控系统策略分析[J].科学与财富,2011(4):148-148.
10王云明,孙永玉,施伯乐.Datalog程序的正规变换及其实现[J].计算机研究与发展,1998,35(6):481-485.

计算机研究与发展

2009年第2期

浏览历史

内容加载中请稍等...

一种高效的SPKI/SDSI2.0策略分析算法被引量：1

参考文献9

同被引文献17

引证文献1

相关作者

相关机构

相关主题

浏览历史

一种高效的SPKI/SDSI2.0策略分析算法 被引量：1

参考文献9

同被引文献17

引证文献1

相关作者

相关机构

相关主题

浏览历史

一种高效的SPKI/SDSI2.0策略分析算法被引量：1