分布計算系統(tǒng)-命名與保護

命名與保護

4.1分布式系統(tǒng)中的命名

名字、標識符和地址

命名是給各種服務、對象和操作起個名字，并提供一種手段把這些名字變換成它們所代表的實體本身。在分布計算系統(tǒng)中，命名系統(tǒng)的實現本身就是分布式的，是跨越多個機器而實現的。命名系統(tǒng)的分布實現方式是影響命名系統(tǒng)有效性和可擴充性的關鍵因素。名字的兩種形式：地址和標識符。地址：是一個特殊類型的名字，它用來指出一個實體的訪問點標識符：一個真正的標識符具有如下性質：一個標識符僅用于表示一個實體；一個實體只用一個標識符來表示；一個標識符總是只用來表示同一個實體，也就是說，它從不被重復使用。對一個對象進行操作或訪問時，往往需要將它的標識符變換為它的地址，變換的過程中需要用到變換表，這個變換表叫做上下文(context)。命名與保護

4.1分布式系統(tǒng)中的命名

分布式系統(tǒng)中的名字名字應該能有效地支持系統(tǒng)的面向事務處理和面向對話這兩類服務和應用。應允許在系統(tǒng)中以分散的方式產生全局唯一的名字，以提高效率和可靠性。。命名是實現分布計算系統(tǒng)透明性的關鍵部分，要達到名字透明和位置透明。命名機制應支持對本地或遠程資源的訪問，命名應與系統(tǒng)拓撲結構或具體的物理連接方式無關，盡可能隱匿各部分的邊界。為了支持資源的遷移，命名系統(tǒng)應至少支持兩種形式的名字，即標識符和地址，并且可動態(tài)地結合(binding)。同一對象可以有用戶定義的多個局部名字，需要一種機制把局部名字和全局標識符結合起來。在分布計算系統(tǒng)中，一個實體可能包含多個不同的對象，就需要一個進程組標識符。這樣就可以支持廣播或小組標識符。命名與保護

4.1分布式系統(tǒng)中的命名

名字的結構名字按結構可分成絕對名字和相對名字兩種：絕對名字和給出名字的“上下文”無關，也就是和發(fā)出此名字的地點、用戶、應用程序無關，它總是代表同一對象，有利于資源共享，因為可以使用整個系統(tǒng)共用的名字指出對象。相對名字和給出名字的上下文有關，例如和網絡有關的郵箱名，以及UNIX操作系統(tǒng)中的文件名。地址結構也有兩種，即平面地址和分層地址：分層地址由若干段組成，這些段反映了網絡的層次結構。平面地址與物理位置或任何其他層次沒有任何關系，可以想象平面地址的分配可以使用一個單一的全系統(tǒng)范圍的計數器進行，任何時候需要一個新地址時讀此計數器并且將計數器加1，這樣，地址是唯一的，但和位置無關。命名與保護

4.1分布式系統(tǒng)中的命名

名字的結構兩種地址結構的優(yōu)缺點：分層地址的優(yōu)點：分層地址使得路由選擇容易；容易創(chuàng)建新的地址，即可在每一個網絡內單獨決定主機號碼；自動給出高位號碼，即在主機內不用給出它所屬的網絡號，正如在城市內撥電話時不必撥國家和地區(qū)號碼一樣。分層地址缺點：當一個進程遷移到另一個機器上時不能使用原來的地址。平面地址的優(yōu)點：當進程遷移時仍可使用原來的地址；平面地址的缺點：路由選擇比較困難，因為每個路由選擇節(jié)點必須保持一個能對所有可能的地址進行變換的路由選擇表，地址的賦值也比較復雜，必須確信每個地址是唯一的。命名與保護

4.1分布式系統(tǒng)中的命名

名字空間名字空間：是名字的一種有機組織形式。名字空間的表示：用一個帶標號的有向圖來表示，這個圖中有兩類節(jié)點，一類是葉節(jié)點(leafnode)，另一類是目錄節(jié)點(directorynode)。一個葉節(jié)點代表一個命名的實體，葉節(jié)點沒有輸出弧(outgoingedge)，只有輸入弧(incomingedge)。每個節(jié)點有一個標識符，每個弧有個名字。葉節(jié)點：一般用來存放一個實體所表示的信息，例如這些信息可以包含這個實體的地址，顧客使用這個地址可以訪問到這個實體；還例如這些信息還可以包含這個實體的狀態(tài)，如果一個葉節(jié)點代表一個文件，它不僅包含整個文件，還包含這個文件的狀態(tài)。命名與保護

4.1分布式系統(tǒng)中的命名

名字空間目錄節(jié)點：每個目錄節(jié)點保存了一個表，表中的一項代表了一條輸出弧，每條輸出弧由(弧標號、節(jié)點標識符)表示，這樣的一個表被稱為目錄表(directorytable)。根節(jié)點：有一個特殊的節(jié)點，該節(jié)點只有輸出弧而沒有輸入弧，該節(jié)點被稱為命名圖中的根節(jié)點(rootnode)，或簡稱為根。一個命名圖中可能會有多個根。路徑：一個路徑是由一串弧的標號組成的，例如：N:<label-1,label-2,…,label-n>，這里N表示這個路徑中的第一個節(jié)點，這樣一個標號串稱為路徑名。如果路徑名中的第一個節(jié)點是命名圖中的根，則這個路徑名被稱為絕對路徑名，否則稱為相對路徑名。命名與保護

4.1分布式系統(tǒng)中的命名

名字空間命名與保護

4.1分布式系統(tǒng)中的命名

名字空間UNIX文件系統(tǒng)命名圖的實現通過一個邏輯磁盤上相鄰的一些塊完成的，這些塊被分為引導塊(bootblock)、超級塊(superblock)、一系列的索引節(jié)點(indexnodes—inodes)和文件數據塊(filedatablocks)。命名與保護

4.1分布式系統(tǒng)中的命名

名字空間UNIX文件系統(tǒng)命名圖的實現引導塊是一個特殊的塊，當系統(tǒng)啟動時該塊中的數據和指令自動地被裝入到內存中，通過該塊中指令的執(zhí)行將操作系統(tǒng)裝入到內存中。

超級塊保存著整個文件系統(tǒng)的有關信息，這些信息包括文件系統(tǒng)的大小、磁盤中哪些塊還未被分配、哪些索引節(jié)點未被使用等等。每個inode除了包含它所對應的文件的數據可以在磁盤中什么地方找到的確切信息外，還包含它的屬主、產生的時間、最后一次修改的時間和保護等信息。每個目錄都有一個帶唯一索引號的inode，所以，命名圖中的每個節(jié)點的標識符是它的inode索引號。

命名與保護

4.1分布式系統(tǒng)中的命名

名字解析在名字空間中，根據節(jié)點的路徑名，就可以尋找到這個節(jié)點所存儲的任何信息，這個查找的過程就稱為名字解析。名字解析過程：N:<label-1,label-2,…,label-n>這個路徑名的解析是從命名圖中節(jié)點N開始的，首先在節(jié)點N的目錄表中查找名字label-1，得到label-1所代表的節(jié)點的標識符；然后在label-1所代表的節(jié)點的目錄表中查找名字label-2，得到label-2所代表的節(jié)點的標識符；此過程一直進行下去，如果N:<label-1,label-2,…,label-n>在命名圖中是實際存在的，就能夠得到label-n所代表的節(jié)點的標識符，從而得到該節(jié)點的內容。

命名與保護

4.1分布式系統(tǒng)中的命名

名字解析名字解析的每個過程都分為兩步完成：第一步是找到對應節(jié)點的標識符，第二步是通過該標識符找到對應節(jié)點的內容。例如一個UNIX文件系統(tǒng)，如果一個節(jié)點是一個目錄，首先我們要找到節(jié)點的inode號，通過inode號我們知道實際的目錄表存放在磁盤的什么位置；如果一個節(jié)點是一個文件，首先我們要找到節(jié)點的inode號，通過inode號我們知道實際的文件數據存放在磁盤的什么位置。命名與保護

4.1分布式系統(tǒng)中的命名

名字解析名字空間進行合并的機制有兩種：安裝(mount)機制；設置一個新的根節(jié)點。安裝機制

在分布計算系統(tǒng)中，要安裝一個外部名字空間至少需要如下信息：(1)訪問協(xié)議名字；(2)服務員名字；(3)外部名字空間中被安裝點的名字。如nfs:////home/xu，nfs是訪問協(xié)議名字，是服務員名字，/home/xu是外部名字空間中被安裝點的名字。命名與保護

4.1分布式系統(tǒng)中的命名

名字解析安裝機制命名與保護

4.1分布式系統(tǒng)中的命名

名字解析設置新的根節(jié)點設置一個新的根節(jié)點，現有的各名字空間的根節(jié)點變成此新的根節(jié)點的子節(jié)點。原先的絕對路徑名使用時改為相對路徑名，每個機器包含一個隱含節(jié)點標示符，此節(jié)點添加到絕對路徑名前，變成相對路徑名名。如下圖：/home/xu/keys→n0:/home/xu/keys

命名與保護

4.1分布式系統(tǒng)中的命名

名字解析設置新的根節(jié)點命名與保護

4.1分布式系統(tǒng)中的命名

分布式系統(tǒng)中的名字空間的實現

大規(guī)模分布計算系統(tǒng)中名字空間的組織方式

全局層由最上層的一些節(jié)點組成，這些節(jié)點包括根節(jié)點和它的一些子目錄節(jié)點組成。用來代表一些機構，這些機構的名字保存在名字空間中。組織層由一個機構內的所有目錄節(jié)點組成，這些目錄節(jié)點被某個機構管理。管理層由那些可能經常變動的節(jié)點組成。

命名與保護

4.1分布式系統(tǒng)中的命名

分布式系統(tǒng)中的名字空間的實現

對不同層次上的名字服務員的要求

命名與保護

4.1分布式系統(tǒng)中的命名

分布式系統(tǒng)中的名字空間的實現

大規(guī)模分布計算系統(tǒng)中名字解析重復式名字解析；遞歸式名字解析。顧客方名字解析器

根節(jié)點名字服務員

cn節(jié)點名字服務員

edu節(jié)點名字服務員

jlu節(jié)點名字服務員

cn

edu

jlu

ftp

www

<cn,edu,jlu,ftp>#<cn,edu,jlu,ftp>1.<cn,edu,jlu,ftp>2.#<cn>,<edu,jlu,ftp>3.<edu,jlu,ftp>4.#<edu>,<jlu,ftp>5.<jlu,ftp>6.#<jlu>,<ftp>7.<ftp>8.#<ftp>重復式名字解析顧客方名字解析器

根節(jié)點名字服務員

cn節(jié)點名字服務員

edu節(jié)點名字服務員

jlu節(jié)點名字服務員

cn

edu

jlu

ftp

www

<cn,edu,jlu,ftp>#<cn,edu,jlu,ftp>遞歸式名字解析1.<cn,edu,jlu,ftp>2.<edu,jlu,ftp>3.<jlu,ftp>4.<ftp>5.#<ftp>6.#<jlu,ftp>7.#<edu,jlu,ftp>8.#<cn,edu,jlu,ftp>命名與保護

4.1分布式系統(tǒng)中的命名

分布式系統(tǒng)中的名字空間的實現

大規(guī)模分布計算系統(tǒng)中名字解析重復式名字解析和遞歸式名字解析的比較：遞歸式名字解析的主要缺點是要求每個名字服務員具有較高的性能。遞歸式名字解析要求名字服務員完整地解析它所得到的整個路徑名，特別是對于全局層的名字服務員來說，情況更為嚴重。

遞歸式名字解析有兩個主要優(yōu)點。第一個優(yōu)點是如果采用緩存，那么遞歸式名字解析的緩存效果同重復式名字解析的緩存效果相比更為有效；第二個優(yōu)點是可以減少通信代價。命名與保護

4.1分布式系統(tǒng)中的命名

分布式系統(tǒng)中的名字空間的實現

大規(guī)模分布計算系統(tǒng)中名字解析重復式名字解析和遞歸式名字解析的比較：命名與保護

4.1分布式系統(tǒng)中的命名

命名系統(tǒng)實例--DNSDNS的名字空間：DNS的名字空間被一個樹形圖組織成分層結構?；〉臉颂柺怯蓴底趾妥帜附M成的字符串，標號的最大長度為63個字符。一個路徑名的最大長度為255個字符，一個路徑名是由一串標號組成的，起始的標號在路徑名的最右邊，標號之間由點(“.”)分隔，根節(jié)點也用點“.”表示。例如一個路徑名root:<cn,edu,jlu,ftp>在DNS中表示為.，最右邊的點“.”代表根節(jié)點，但是在使用中常將最右邊的點“.”省略。

命名與保護

4.1分布式系統(tǒng)中的命名

命名系統(tǒng)實例--DNS域(domain)：DNS名字空間中的一個子樹稱為一個域(domain)，到達這個子樹的根節(jié)點的路徑名稱為這個域的域名(domainname)。正如路徑名有絕對路徑名和相對路徑名一樣，域名也可以是絕對域名和相對域名。DNS的名字空間被劃分為不重疊的部分，這些部分被稱為分區(qū)(zone)，一個分區(qū)是名字空間的一部分，由一個獨立的名字服務員來實現。資源記錄(resourcerecords)。DNS名字空間中節(jié)點所包含的內容由一些資源記錄所組成，資源記錄有不同的類型。命名與保護

4.1分布式系統(tǒng)中的命名

命名系統(tǒng)實例--DNS命名與保護

4.1分布式系統(tǒng)中的命名

命名系統(tǒng)實例—DNS分區(qū)之間的關聯(lián)：命名與保護

4.2加密技術

保護和安全的三個方面：數據加密：主要研究對數據加密的算法、算法實現的效率等問題。計算機網絡的安全保密：計算機網絡的目的是資源共享，同時也是分布計算系統(tǒng)、網格系統(tǒng)的基礎平臺，但網絡容易產生不安全和失密問題。方便并且行之有效的方法是采用加密技術，實現用戶到用戶之間的加密，確保數據在網絡傳輸過程中(特別是通信系統(tǒng)中)不丟失和被竄改。訪問控制：像多用戶單機系統(tǒng)那樣，規(guī)定什么人可以訪問系統(tǒng)的什么數據，得到何種服務，并對用戶進行身份鑒別，對他們的訪問權限加以限制(授權)。上述三個問題歸并成兩個：加密技術，訪問控制。命名與保護

4.2加密技術

加密概念：加密和解密：加密意味著發(fā)送者將信息從最初的格式改變?yōu)榱硪环N格式，將最終不可閱讀的消息通過網絡發(fā)送出去。解密是加密的相反過程，它將消息變換回原來的格式。

加密和解密的過程：明文明文密文加密算法解密算法網絡發(fā)送者接收者KeKd加密和解密的方法分為兩種類型：傳統(tǒng)方法和公開密鑰方法。命名與保護

4.2加密技術

傳統(tǒng)加密方法：單密鑰系統(tǒng)加密模型

網絡ABxx=D(k,y)y=E(k,x)EkDk密鑰：理論上，加密和解密算法應該經常更換，可是，能夠經得起攻擊的過硬算法并不是很容易尋找和設計的，經常更換加密和解密算法是不現實的，因此才使用密鑰。加密和解密算法可以長時間使用，但是密鑰應該經常更換。

命名與保護

4.2加密技術

傳統(tǒng)加密方法：替換法：在這種加密方法中，每個字符都被另一個字符所代替。這種加密方法稱為愷撒密碼，因為它最初被愷撒使用。

位置交換法：在這種方法中，字符將保持它們在原文中的格式，但是它們的位置將被改變來創(chuàng)建密文。

命名與保護

4.2加密技術

傳統(tǒng)加密方法：位置交換法實例：密鑰MEGABUCK

，明文：pleasegivemethebooks,whenyoucomeupnext.

密文：abhcnsmoeoeketlveupeewgtsy.pih,oueeonmx命名與保護

4.2加密技術

傳統(tǒng)加密方法：DES加密

算法使用64比特的原文和56比特的密鑰，原文經過19個不同而復雜的過程來產生一個64比特的密文。命名與保護

4.2加密技術

傳統(tǒng)加密方法：密鑰的分配

解決如何通過系統(tǒng)本身保密傳送密鑰的問題？兩個用戶要進行對話，對話之前要商定一個對話密鑰，由于它們之間沒有一個對話密鑰，密鑰的傳送是不能用明文的形式傳送的，所以需要一個雙方都信任的第三者幫助他們完成密鑰的分配，將這個第三者叫做網絡安全中心(NSC)。命名與保護

4.2加密技術

傳統(tǒng)加密方法：密鑰的分配

密鑰分配兩方案：)E(kb,ks))E(kb,ks)E(ks,M)E(ks,M)kbkakbka(a)接收者從NSC得到密鑰ANSCB,kb,kb(ka(kaE(ka,ks)E(ka,ks)命名與保護

4.2加密技術

傳統(tǒng)加密方法：密鑰的分配

密鑰分配兩方案：E(ks,M)kbka(ka,kb)(b)接收者從發(fā)起者得到密鑰NSCABE(ka,ks)E(kb,ks)命名與保護

4.2加密技術

公開密鑰加密方法：公開密鑰加密方法的思想：加密算法E和解密算法D無法保持秘密，不如干脆公開，但是使用兩個密鑰：加密密鑰Ke和解密密鑰Kd。加密密鑰是不保密的，誰都可以使用，所以叫做公開密鑰；解密密鑰是保密的，只有接收密文的一方才知道，所以叫做專用密鑰或保密密鑰。選擇某種類型的算法E和算法D，使得局外人即使知道了加密密鑰Ke，也推算不出來解密密鑰Kd。命名與保護

4.2加密技術

公開密鑰加密方法：公開密鑰加密方法的加密模型：命名與保護

4.2加密技術

公開密鑰加密方法：RSA加密：確定密鑰的算法：(1)選擇兩個素數，p和q。(2)計算n=p×q和z=(p-1)×(q-1)。(3)選擇一個與z互質的數d。(4)找出e，使得e×d=1modz。確定公開密鑰和保密密鑰：公開密鑰由(e,n)構成，保密密鑰由(d,n)構成。加密的過程：設X是明文，計算Y=Xe(modn)，則Y就是密文。解密的過程：設Y是密文，計算X=Yd(modn)，則X就是明文。命名與保護

4.2加密技術

公開密鑰加密方法：RSA加密實例：對明文“SUZANNE”進行加密。在此例子中我們只考慮英文大寫字母的加密，我們可以對英文字母A~Z按順序編碼為1~26。在該例子中，我們選擇p=3，q=11，得到n=33，z=(p-1)×(q-1)=2×10=20。由于7和20互為質數，故可以設d=7。對于所選的d=7，解方程7e=1(mod20)，可以得到e=3。命名與保護

4.2加密技術

公開密鑰加密方法：RSA加密實例的結果：命名與保護

4.3保護

保護的目標與要求保護的目標：保護機構阻止非法用戶偷用磁盤空間、文件系統(tǒng)、處理機，讀其他人的文件，修改別人的數據庫及干擾別人的計算。保護機構還有其他作用，幫助檢測程序中的差錯，防止用戶錯誤操作以及用于項目管理等。

保護機構要解決以下幾個基本問題：保密性：用戶必須能秘密地保存數據，不被其他用戶看見；專用性：必須保證用戶給出的信息僅用于達到預想的目的；真實性：提供給用戶的數據必須是真實的，也就是說，如果某些數據聲稱來自X，則該用戶必須能夠驗證此數據確實是由X送來的；完整性：存放在系統(tǒng)中的數據不會被系統(tǒng)或未被授權的用戶破壞。命名與保護

4.3保護

公開密鑰加密技術實現數字簽名實現數字簽名，要解決兩個問題：第一，接收者能驗證所要求的發(fā)送者的身份；第二，發(fā)送者在發(fā)送已經簽名的報文后不能否認。公開密鑰加密技術實現數字簽名要求加密函數E和解密函數D滿足下列條件--就是E和D可以互換：

E(D(P))=P，當然同時還有D(E(P))=P

命名與保護

4.3保護

公開密鑰加密技術實現數字簽名公開密鑰加密技術實現數字簽名的過程：PPDA(P)DA(P)KdAAKeAB網絡簽名驗證EB(DA(P))KdAAKeBKdBKeAB網絡基本加密級鑒別級PDA(P)DA(P)P命名與保護

4.3保護

單密鑰加密技術實現數字簽名2.X(A+D+P)3.X(A+D+P)NSCAB5.KB(A+D+P)1.KA(P)4.X(A+D+P)命名與保護

4.3保護

使用報文摘要實現數字簽名報文摘要：使用單向散列(hash)函數可以從一段很長的明文中計算出固定長度的比特串。這個比特串通常被稱為該報文的摘要(messagedigest)。報文摘要具有三個重要的屬性：給出報文P就很容易計算出其報文摘要MD(P)。只給出MD(P)，幾乎無法推導出P。無法生成這樣的兩條報文，它們具有同樣的報文摘要。命名與保護

4.3保護

使用報文摘要實現數字簽名報文摘要實現數字簽名的過程：A首先計算P的報文摘要MD(P)；A用自己的保密密鑰對MD(P)進行加密以達到簽名的目的；A將報文摘要的簽名形式DA(MD(P))連同明文P一起發(fā)送給B；B用A的公開密鑰解密DA(MD(P))，從而得到MD(P)，驗證是否是A發(fā)送的；B通過明文P重新計算MD(P)，發(fā)現是否有非法用戶修改報文P。命名與保護

4.3保護

權能的保護訪問矩陣：矩陣中的項Aij含有用戶j對對象i的一些訪問權限，它由一些數值代表對一個文件的讀、寫，或一個程序的執(zhí)行，或對一個終端的連接，或改變權限等。

Aij

i

j

域Dj

Dj的權能表

對象Oi

Oi的訪問表

命名與保護

4.3保護

權能的保護權能：因為這個矩陣的很多項都是空的。有兩種主要方法在實際系統(tǒng)中使用，實現訪問控制：按行或按列列表。訪問矩陣中對應Oi那一列說明可以訪問對象Oi的所有的域，叫做關于Oi的訪問控制表。另一種存儲訪問矩陣的方法是取一行列表，叫做權能(capability)表，它對應于一個域Dj，而不是對應某個對象。權能表的每一項叫做一個權能，由對象名和一套對此對象操作的權利組成。命名與保護

4.3保護

權能的保護使用單密鑰加密技術保護權能：服務員S，密鑰s，sa，sb，權能C

用戶A，密鑰sa，ab，存儲E(sa,E(s,C))

用戶B，密鑰sb，ab，存儲E(ab,E(s,C))

E(sa,E(s,C))

E(ab,E(s,C))

E(sb,E(s,C))

命名與保護

4.3保護

權能的保護使用公開密鑰加密技術保護權能：命名與保護

4.3保護

分布系統(tǒng)中訪問位置的控制向終端和主機傳送對話密鑰：命名與保護

4.3保護

分布系統(tǒng)中訪問位置的控制向用戶和主機進程傳送對話密鑰：其他具有訪問終端的密鑰的用戶不能偽裝成用戶U，主機上知道主機密鑰Kh的其他進程也不能偽裝成目的進程P

命名與保護

4.4保護的例子：Amoeba信口網絡上的任何顧客和服務員都有兩個信口：G和P，G是保密的，P是公開的。P=F（G），由P不能推出G。通信規(guī)則：（1）任何發(fā)送出去的報文必須先經過F盒，才能進入網絡；（2）任何到達的報文必須經過F盒才能被用戶接收；（3）發(fā)送者發(fā)送報文時，報文的源信口是發(fā)送者的G信口，報文的目的信口是接收者的P信口；（4）報文經過發(fā)送者的F盒時，F盒將源信口由G信口變換成P信口，目的信口不變換。（5）接收者要接收報文，必須向F盒提交自己的G信口，如果報文的目的信口P=F(G)，則F盒將報文提交給接收者，否則不提交給接收者。命名與保護

4.4保護的例子：Amoeba信口防止非法用戶冒充服務員接收顧客請求：F盒顧客AF盒非法用戶BF盒服務員SMPSGAMPSPAMPSPA非法用戶不知道Gs，只能向F盒提供Ps，而F(Ps)不等于Ps，F盒不允許該報文通過MPSPAMPSPA服務員S向F盒提供Gs，而F(Gs)=Ps，F盒允許該報文通過命名與保護

4.4保護的例子：Amoeba信口防止非法用戶冒充服務員發(fā)送報文：F盒顧客AF盒非法用戶BF盒服務員SF(PS)PAM非法用戶不知道Gs，只能向F盒提供Ps來冒充服務員顧客發(fā)現不是來自PS的報文，而是來自F(PS)的報文，丟棄。PSPAMF(PS)PAMF(PS)PAM命名與保護

4.4保護的例子：Amoeba信口使用F盒實現數字簽名：F盒用戶AF盒用戶BMSPBGAMF(S)PBPAMF(S)PBPAMF(S)PBPA顧客A選擇一個隨機簽名S并公布F(S)。A交給F盒用來發(fā)送的報文報頭中包含三個特別的段：目的地(PB)，源地址(GA)和簽名(S)。F盒對GA和S進行單向函數變換，變換成PA和F(S)。B知道確實是A發(fā)送的，因為只有A才知道在第三段中放一個什么數，只有此數才能產生眾所周知的F(S)。

命名與保護

4.4保護的例子：Amoeba權能權能由四段組成：檢驗碼權利碼對象標識符服務員地址32位32位32位64位服務口地址是擁有此對象的服務員地址put_port，對象標識符是一個內部標識符，只有服務員用它可以得知它所代表的對象，很像UNIX中的inode號。權利碼中的每一位指出可以對此對象進行何種操作。檢驗碼是一個大隨機數，用來對該權能的真實性進行檢驗。命名與保護

4.4保護的例子：Amoeba權能權能的保護：（1）服務員創(chuàng)建對象A，產生一個隨機數RA；（2）服務員給對象A創(chuàng)建權能，權利碼為PA，檢驗碼為CA；RA(CA)RA(PA)A服務員地址（3）用隨機數R