（计算机应用技术专业论文）基于信任的移动代理安全研究.pdf

笪星! ：堡盔兰塑竺生丝茎 摘要 随着移动代理的不断发展，移动代理系统安全已经成为移动代理进一步发展的主要 制约之一，它包括移动代理的安全和主机平台的安全两个方面。其中移动代理的安全一 直以来都是移动代理中最复杂的、最难以解决的问题之一。本文重点研究了移动代理安 全问题，并就如何解决这些问题提出了自己的解决方案，主要包括以下两个方面的内容： 针对目前移动代理运行环境的不可信问题，提出移动代理信任模型( t m m a r c ) 来保证移动代理运行环境的可信，并描述了该模型中信任关系的建立、维护、更新和管 理，移动代理信誉值计算等。 在对移动代理安全和信任深入研究和分析的基础上，设计并模拟实现了基于 n n 4 a r c 的移动代理安全实验系统。针对移动代理在创建、传输、执行过程中存在的 安全问题，在本系统中提出一种增强的移动代理保护机制加密e o p 机制来保护移 动代理的安全。其主要思想就是在移动代理产生时加密，在传输中对移动代理的源和上 一个执行平台进行验证，在执行中执行平台并不需要解密已加密的信息，从而保证了移 动代理的安全。该实验系统不仅增强了移动代理和主机平台的安全性，而且提高了移动 代理安全操作的灵活性和可测量性。 关键词：移动代理，信任，信誉值，部分结果封装，执行跟踪 第1 页 堡垦! ：壁苎! ：竺兰生堡茎 a b s t r a c t w i t ht h ed e v e l o p m e n to fm o b i l ea g e n t t h es e c u r i t yo fm o b i l ea g e n ts y s t e r n sb e c o m e s o n eo f t h ei m p o r t a n tr e a s o n st h a tr e s t r i c tm o b i l ea g e n tg o i n gf u r t h e r i ti n c l u d e sm o b i l ea g e n t s e c u r i t ya n dh o s ts e c u r i t y t h em o b i l ea g e n ts e c u r i t yi so n eo f t h em o s tc o m p l i c a t e da n dh a r d t od e a lw i t hp r o b l e m si nm o b i l ea g e n t t h ep a p e rf o c u s e so nt h em o b i l ea g e n ts e c u r i t y , a n d b r i n e | sf o r w a r dr e a n s o n a b l es o l u t i o n so nt h e s ep r o b l e m s t h e s es o l u t i o n si n c l u d et h e f o l l o w i n gc o n t e n t f o c u s i n go nt h eu n t r u s t e de x e c u t i n ge n v i r o n m e n to fm o b i l ea g e n tn o w , u s i n gt r u s t m o d e lo fm o b i l ea g e n tb a s e do nr e p u t a t i o nc o m p u t i n g ( t m m a r c ) t op r o t e c tt h e e x e c u t i n ge n v i r o n m e n to fm o b i l ea g e n ti sp r o p o s e d t h ep a p e rd e s c r i b e st h ee s t a b l i s h m e n t ； m a i n t e n a n c e ；u p d a t ea n dm a n a g e m e n to ft r u s tr e l a t i o n s h i p si nt m m a r c r e p u t a t i o n c o m p u t i n go f m o b i l ea g e n t ，a n ds oo n b a s e do nt h ep e r v a s i v er e s e a r c ha n da n a l y s i so f m o b i l ea g e n ta n dt r u s t ，w ed e s i g n e da n d a c c o m p l i s h e ds i m u l a t e l yap r a c t i c a ls y s t e mf u rt h es e e u r i t yo fm o b i l e - a g e n tb a s e do n t m m a r c ( p s s m a t r ) f o c u s i n go ns e e u r i t yp r o b l e m sd u r i n g t h ee s t a b l i s h m e n t ， t r a n s m i s s i o na n de x e c u t i o ni nm o b i l ea g e n t t h ee n c r y p t e de o pm e t h o di sp r o p o s e di n p s s m a t r t h em a i ni d e ai st h a tt h em o b i l ea g e n ti se n c r y p t e dw h e ni ti se s t a b l i s h e d ：t h e o w n e ro f m o b i l ea g e n ta n dt h ef i r s tp l a t f u t i na r ea u t h e n t i c a t e dd u r i n gt h et r a n s m i s s i o no fi t ： a n de x e c u t i n gp l a t i o n f o r me x e c u t e st h ec o d eo fm o b i l ea g e n tw i t h o u td e c r y p t i n gt h e i n f o r m a t i o n s oi te n s u r e st h es e c u r i t yo f m o b i l ea g e n t t h ep s s m a t rn o to n l ye n h a n c e st h e s e c u r i t yo fm o b i l ea g e n ta n dh o s t ，b u ta l s oi m p r o v e st h ef l e x i b i l i t ya n ds e a l a b i l i t yo fs e c u r i t y o p e r a t i o ni nm o b i l ea g e n t k e y w o r d s ：m o b i l ea g e n t t r u s t r e p u t a t i o n ，p a r t i a lr e s u re n c a p s u l a t i o n , e x e c u t i o n t r a c i n g 第1 i 页 笪星= = ! _ = 壁盔兰堡主堂生笙茎 a b s t r a c t 1 t ht h ed e v e l o p m e n to fm o b i l ea g e n t t h es e c u r i t yo fm o b i l ea g e n ts y s t e m sb e c o m e s o n eo f t h ei m p o r t a n tr e a s o n st h a tr e s t r i c tm o b i l ea g e n tg o i n gf u r t h e ni ti n c l u d e sm o b i l ea g e n t s e c u r i t ya n dh o s ts e c u r i t y t h em o b i l ea g e n ts e e u r i t yi so n eo f 也em o s tc o m p l i c a t e da n dh a r d t od e a lw i t hp r o b l e m si nm o b i l ea g e n t t h ep a p e rf o c u s e so nt h em o b i l ea g e n ts e c u r i t y , a n d b r i n g sf o r w a r dr e a n s o n a b l es o l u t i o n s o nt h e s ep r o b l e m s t h e s es o l u t i o n si n c l u d et h e f o l l o w i n gc o n t e n t f o c u s i n go nt h e u n t r u s t e de x e c u t i n ge n v i r o n m e n to fm o b i l ea g e n tn o w , u s i n gt r u s t m o d e lo fm o b i l ea g e n tb a s e do nr e p u t a t i o nc o m p u t i n g ( t m m a r c ) t op r o t e c tt h e e x e c u t i n ge n v i r o n m e n to fm o b i l ea g e n ti sp r o p o s e d ，t h ep a p e rd e s c r i b e st h ee s t a b l i s h m e n t ； m a i n t e n a n c e ；u p d a t ea n dm a n a g e m e n to ft r u s tr e l a t i o n s h i p s i nt m m a r c ，r e p u t a t i o n c o m p u t i n go fm o b i l ea g e n t ，a n ds oo n b a s e do nt h ep e r v a s i v er e s e a r c ha n da n a l y s i so f m o b i l ea g e n tm a dt r u s t ，w ed e s i g n e da n d a c c o m p l i s h e ds i m u l a t e l yap r a c t i c a ls y s t e mf o rt h es e c u r i t yo fm o b i l e a g e n tb a s e do n t m m a r c ( p s s m a t r ) f o c u s i n g o n s e c u r i t yp r o b l e m sd u r i n g t h ee s t a b l i s h m e n t ， t r a n s m i s s i o na n de x e c u t i o ni nm o b i l ea g e n t ，t h ee n c r y p t e de o pm e t h o di sp r o p o s e di n p s s m a t r t h em a i ni d e ai st h a tt h em o b i l ea g e n ti se n c r y p t e dw h e ni t i se s t a b l i s h e d ；t h e o w n e ro fm o b i l ea g e n ta n dt h ef i r s tp l a t f o r ma r ea u t h e n t i c a t e dd u r i n gt h et r a n s m i s s i o no fi t ； a n de x e c u t i n gp l a t i o n f o r r ne x e c u t e st h ec o d e o fm o b i l ea g e n tw i t h o u td e c r y p t i n gt h e i n f o n n a t i o n s oi te n s u r e st h es e c u r i t yo f m o b i l ea g e n t t h ep s s 脚rn o to n l ye n h a n c e st h e s e c u r i t yo fm o b i l ea g e n ta n dh o s t ，b u ta l s oi m p r o v e st h ef l e x i b i l i t ya n ds c a l a b i l i t yo fs e c u r i t y o p e r a t i o ni nm o b i l ea g e n t k e y w o r d s ：m o b i l ea g e n t ，t r u s t ，r e p u t a t i o n ，p a r t i a lr e s u l te n c a p s u l a t i o n ，e x e c u t i o n t r a c i n g 第1 i 页 论文原创性声明和使用授权 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及 取得的研究成果。尽我所知，除了本文中特别加以标注和致谢中所罗列 的内容外，论文中不包含其它人已经发表或撰写过的研究成果；也不包 含为获得信息工程大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中做了明确 的说明并表示了谢意。 本人完全了解信息工程大学电子技术学院有关保留和使用学位论 文的规定，即：学院有权保留论文的复印件，允许查阅和借阅论文；可 以公布论文的全部或部分内容；可以采用影印，缩印或其它手段保存论 文。涉密论文按保密规定执行。本论文取得的研究成果归学院所有，学 院对该研究成果享有处置权。 本人签名：哆效；上日期：加承刁 导师签名： 法v 矛易 日期：枷多乒谚 笪星! ：堡叁兰堡兰生笙奎 第一章绪论 1 1 研究背景 随着移动代理在分布式计算、分布式信息查询、电子商务等领域中的广泛应用，移 动代理的安全性显得越来越重要。如何更好地保护移动代理已成为移动代理研究的热点 课题之。 移动代理( m o b i l e a g e n t ，简称m a ) 是一类特殊的软件a g e n t ，它可以在异构网络 上从一台主机自主地移动到另一台主机，与其它a g e n t 或资源进行交互，代表用户完成 指定任务的程序。它除了具有软件a g e n t 的基本特性自治性、响应性、主动性和推 理性外，还具有移动性，即移动代理可以携带代码和数据从某一个位置移动到另一个位 置，或从一个移动代理平台移动到另一个移动代理平台，移动之后仍能执行暂停的任务 或重新开始执行。 与传统的分布式计算机系统相比，移动代理具有如下优点：减少网络流量，降低网 络负载；克服网络延迟；增加客户机和服务器的异步性；灵活性；支持移动客户和服务 定制：便于负载均衡和容错。因此，移动代理在以下领域有着广泛的应用：分布式计算、 信息获取和处理：电子商务；网络管理；实时控制和事件监控等领域有着广泛的应用。 由于移动代理的自主迁移性，带来了许多安全问题。其中有很多安全问题在现在的 计算机网络及分布式系统中出现过，并且早有研究，但传统的安全策略并不能很好地解 决这些问题，如1 9 9 3 年的i n t e r n e tw o r m 通过不断地复制自身，产生大量的复制并在网 络上传播，通过大量消耗网络通信资源与计算资源以到达破坏网络的目的。面对诸如此 类问题，传统的安全策略采取的措施就是不轻易执行从网络上传过来的程序；移动代理 的目的就是要使网络用户更加充分地利用和节约网络资源，主机应该允许移动代理自由 地迁入、运行和迁出，而不管它是有名还是匿名的移动代理，这当然会带来更大的风险。 随着移动代理发展的逐渐深入，必须改变这种仅仅依靠传统的安全策略来保护移动代理 的安全模式，否则移动代理安全将成为移动代理应用的最大制约。如果移动代理的安全 得不到很好的解决，移动代理用户就不会放心地使用移动代理或不使用移动代理，那么 移动代理的优越性也就无法得以充分发挥，从而移动代理也无法切切实实走向广泛应 用。 当使用传统的安全策略解决网络安全时，人们发现有些人在网络上始终表现出良好 的操作行为。于是有人提出：是否可以用某些模型或公式来评价这些行为呢? 后来人们 把现实生活中信任概念用到虚拟的网络世界中，并且对信任进行量化，即信誉值。在虚 拟的网络世界中，信任主要是用来评估主机或主机操作者的可信程度：绝对可信，绝对 不可信，介于绝对可信与绝对不可信之间，这一切都可以通过记录主机或主机操作者的 行为而确定。使用信任来增强移动代理安全是移动代理研究的热点和新课题，但由于信 任本身发展还不成熟，因此它对移动代理安全增强的程度还取决于两个因素：信任的发 第1 页 信息【稗人学硕士学位论文 展状况以及它与移动代理的有机结合程度。 使用信任来增强移动代理安全为移动代理的发展提供新空f f i ，注入了新活力。同样， 这也是移动代理安全的一个发展方向。 本课题就是在这种条件产生的，其主要目的就是结合信任和传统的安全策略来保护 移动代理。 1 2 移动代理安全研究现状 自第一个移动代理系统t e l e s c r i p t 由g e n e r a l m a g i c 公司在9 0 年代初推出后，移动 代理系统的研究就吸引了众多的注意力，但由于移动代理系统的安全性等问题得不到很 好的解决，想把移动代理推向更为广泛的应用还有一段很远的路程要走。 移动代理系统的安全问题可以分为两大部分：移动代理安全( 也叫移动代理本身的 安全) 和移动代理平台安全，如没有特殊说明，以下所说的移动代理安全就是指移动代 理本身的安全，不包括移动代理平台安全。长期以来，对移动代理系统安全的研究主要 是侧重于对移动代理平台的保护上，也提出了很多卓有成效的保护策略，如沙盒技术 ( s a n d b o x i n g ) 【1 ，2 ，3 ，5 ，引，检验传输代码( p r o o f - c a r r y i n gc o d e ) 【4 ，9 ，1 0 , 1 “，代码签名( c o d e s i g n i n g ) 2 ，6 ，7 8 1 ，状态评估( s t a t ea p p r a i s a l ) 【1 2 ，路径历史( p a t hh i s t o r i e s ) 4 ，1 3 , 1 4 1 等。 近些年来，对移动代理的保护越来越受到重视。现有的保护措施主要是采用加密、签名 和完整性校验等技术实现对移动代理的保护，如部分结果封装( p a r t i a lr e s u l t e n c a p s u l a t i o n ) f 】8 - 2 t 1 , 执行跟踪( e x e c u t i o n t r a c i n g ) 【2 2 ，加密函数( c o m p u t i n g w i t he n c r y p t e d f u n c t i o n ) 1 15 _ 1 6 , 1 7 】，复制和协同操作代理( r e p l i c a t i n ga n dc o o p e r a t i n ga g e n t s ) 2 3 , 2 4 ，混 淆代码( o b f u s c a t e dc o d e ) z 5 - 3 0 等。但由于移动代理的保护相对移动代理平台来说要更 加复杂和困难，因此对移动代理的保护还不很完善，还需要继续作更深入的研究。 随着对移动代理安全研究的逐步深入，人们根据移动代理保护策略的不同，将现有 的移动代理保护策略分为两类：传统的安全策略和非传统的安全策略。传统的安全策略 主要是利用加密、身份认证、签名、授权和访问控制等信息安全手段来保护移动代理安 全。非传统的安全策略就是指不使用上述的安全手段，而是利用最近或最新出现的技术 来解决移动代理安全，如文献3 1 。3 2 7 3 3 1 就是使用信任来增强移动代理安全的例子，这类 技术与传统的安全策略的差别在于：它们不是以密码学和访问控制策略等视角来看待移 动代理问题，而是站在个新的地方或从新的角度来看待这些问题，如使用信任来保护 移动代理就是个从社会诚信或者况是网络诚信的角度来看待移动代理的安全问题，这 是以j f 所没有的，因而称它为非传统的安全策略。 从目前移动代理安全研究的状况来看，对传统安全技术的研究也是一个的重点，如： k i mt a n 提出交互跟踪( i n t e r a c t i o nt r a c i n g ) 3 4 j 克服了执行跟踪两个缺陷：产生跟踪的长 度和产生他们的复杂性，提高了创建和验证跟踪的可操作性和效率；v a n d a n ag u n u p u d i 等在j a d e 基础_ ：建立的安全框架s a a g e n ti ” ，并用它来保护恶意环境下移动代理计算 的安全，等等。 在国外对移动代理的研究主要有d a r t m o u t h ，m i t ，o t t a w a ，c o r r l e l l ，u m b c 和 s t u u t a g a r t 等名牌大学；还有i b m ，m i t s u b i s h i ，b r i t i s ht e l e c o m 等著名公司，而且一直 第2 页 信息r 稃人学硕十学何论文 不断有新的研究机构或工业组织加入到研究移动代理的中来。其中比较出名的移动代理 系统有：g e n e r a l m a g i e 公司的t e l e s c r i p t ，m m 公司的a g l e t ，日本三菱公司的c o n c o r d i a ， m i n n e s o t a 大学的a i a n t a 等。 在国内移动代理研究起步比较晚一些。但有很多院校都对移动代理进行了研究，其 中南京大学、成都电子科技大学、南京邮电学院、同济大学、浙江大学、西安交通大学 等对移动代理的研究做出了突出贡献。从国内外移动代理的研究和开发现状可以看出， 移动代理理论的研究和运用都在几乎是同步进行着。 1 3 本文研究的内容及主要工作 本人根掘自己感兴趣的方向研究了以下几个内容和做的主要工作如下： l 、分析现有移动代理中存在的安全现状，得出目前移动代理安全的研究方向和有 待改进的地方。 2 、研究移动代理面临的安全威胁，并对两种移动代理安全保护机制：基于检测的 移动代理安全机制和基于保护的移动代理安全机制进行分析。 3 、深入研究信任和移动代理技术有机结合。本文提出了移动代理信任模型 t m m a r c ，并对该信任模型中移动代理信任关系的建立、移动代理信誉值的计算、 t m m a r c 模型如何在移动代理中应用进行了深入研究。 4 、在借鉴和归纳现有信任技术和移动代理安全策略的基础上，设计基于n d m a r c 的移动代理安全实验系统p s s m a r r 。在本系统中为了保护高机密性移动代理，提 出了一种增强的移动代理保护机制：加密e o p 机制。 5 、采用j a v a 语言模拟实现安全实验系统，并在a g l e t 平台上对其安全性进行了测 试。 1 4 论文结构 本文共分为六章。 第一章为绪论。主要介绍课题研究背景，移动代理研究现状及本文的内容和所作主 要工作。 第二章研究移动代理中存在的安全威胁，移动代理安全需求，移动代理安全保护机 制和对现有典型的移动代理系统的安全性进行简单的比较。 第三章研究移动代理中信任的基本概念和属性，对现有移动代理中的一些信任模型 进行了比较，然后提出了自己的移动代理信任模型t m m a r c 。在这个信任模型中 包括了移动代理中信任关系的建立、t m m a r c 模型中信誉值的计算以及t m m a r c 模 型在移动代理中的简单应用。 第四章研究基于t m m a r c 的移动代理安全实验系统的设计。这是本文的核心，给 出了安全实验系统设计的详细流程，它主要包括实验系统的设计目标、设计思想、系统 结构、移动代理工作流程等等。最后对本安全实验系统中一种增强的移动代理安全机制 第3 页 信息j 秽人号硕十宁付论文 ( 加密e o p 机制) 迸行了详细介绍。 第血章是安全实验系统的模拟实现及其测试。在实现之前，先简单介绍了安全实验 系统的实现环境：丌发工具的选取和实现平台的选取；在实现时，本文给出了信任管理 层主机信誉值计算函数和安全管理层的可信主机分配模块的详细实现：最后在a g l e t 平 台上进行了对比测试，并对实验结果进行了分析。 第六章是全文总结和下一步的工作或不足。 第4 页 堡：垦! 型叁堂堡兰生丝奎 第二章移动代理的安全性问题 2 0 世纪9 0 年代初由g e n e r a lm a g i c 公司在推出商业系统t e l e s c r i p t 时提出了移动代 理的概念。简单地说，移动代理是一个能在异构网络中自主地从一台主机迁移到另一台 主机，并可与其他代理或资源交互的程序，实际上它是a g e n t 技术与分布式计算技术的 混合体。传统的r p c 客户和服务器之间的交互需要连续通信的支持；而移动代理可以 迁移到服务器上，与之进行本地高速通信，这种本地通信不再占用网络资源。而移动代 理迁移的内容既包括其代码也包括其运行状态。运行状态可分为执行状态和数据状态： 执行状态主要指移动代理当静运行的状态，如程序计数器、运行栈内容等；数据状态主 要指与移动代理运行有关的数据堆的内容。按所迁移的运行状态的内容，移动代理的迁 移可以分为强迁移和弱迁移。强迁移同时迁移移动代理的执行状态和数据状态，但这种 迁移的实现较为复杂；弱迁移只迁移移动代理的数据状态，其速度较强迁移快，但不能 保存移动代理完整的运行状态。 移动代理不同于远程执行，移动代理能够不断地从一个网络位置迁移到另一个位 置，能根据自己的选择进行移动。移动代理迁移不同于进程迁移，对于进程迁移而言， 系统不允许进程选择什么时候迁移和迁移到哪里，而移动代理带有状态信息，所以它可 根据应用的需要在任意时刻迁移，也可迁移到它想要去的任何地方。移动代理也不同于 a p p l e t ，a p p l e t 只能从服务器向客户单方向移动，而移动代理可以在客户和服务器之间 双向移动。 移动代理具有很多优点，移动代理技术通过将服务器请求a g e n t 动态地移到服务器 端执行，使得a g e n t 较少依赖网络传输这一中间环节而直接面对要访问的服务器资源， 从而避免了大量数据的网络传送，降低了系统对网络带宽的依赖。移动代理不需要统一 的调度，由用户创建的a g e n t 可以异步地在不同的节点上运行，待任务完成后再将结果 传送给用户。为了完成某项任务，用户可以创建多个a g e n t ，同时在一个或若干个节点 上运行，形成并行求解的能力。此外它还具有自治性和智能路由等特性。 现有的基于j a v a 的移动代理系统，基本上都采用j a v a 沙盒( s a n d b o x ) 安全模型作 为其安全机制的实现基础，但是j a v a 安全模型本身就存在不完善的地方，而且移动代理 对安全性有着特殊的要求，因此对移动代理安全进行系统全面的研究，显得尤其重要了。 2 2 移动代理面临的安全威胁 按照攻击源的不同，可以将移动代理安全威胁分成三类：移动代理平台攻击移动代 理、其他代理攻击移动代理、其他外部实体攻击移动代理。在以下的讨论中，移动代理 平台是指执行移动代码的计算环境。移动代理平台支持多个不同移动代理在其上互不干 扰的运行。下面具体讨论这三种威胁。 笫5 页 笪：垦! 型叁竺堡竺竺笙苎 2 2 1 移动代理平台攻击移动代理 这是移动代理中特有的一种攻击类型，它与传统的计算机安全不同。在通常情况下， 应用程序的拥有者和该应用程序执行的系统操作者是相同的。有时，作为系统管理员或 程序员的系统操作者要比实际的应用程序拥有者好。有时，需要明确系统管理员或程序 员的身份，并建立和说明角色的信任程度和相应的责任。在典型的移动代理系统中，移 动代理配置者通常并不知道移动代理系统主机的身份和信任程度。为了恰当地执行移动 代理，移动代理平台需要知道移动代理的代码和状态( 或至少知道它的重要部分) 。由 此可以看出，恶意的移动代理平台可对移动代理进行如下攻击： ( 1 ) 移动代理平台从移动代理中窃取敏感信息，如电子货币，私钥，证书等。 ( 2 ) 移动代理平台干扰移动代理及其外部环境通信，如截取移动代理发出去的信 息或将它们路由到错误的目的地。 ( 3 ) 移动代理平台破坏移动代理的代码，状态或数据。这将改变移动代理的行为， 因为移动代理被改变后的潜在行为可能使该移动代理平台受益，或对移动代理将要迁移 到的下一个移动代理平台进行攻击。为了防范这种攻击，需要对移动代理的状态进行重 新初始化，以便以前执行得到的行为和结果都得到有效地删除；但在这个过程中，产生 了另一个不利的问题，那就是封装在移动代理单数据可能被以某种方式删除或篡改，从 而影响到对这些数据的利用。 ( 4 ) 移动代理平台拒绝移动代理的资源需求请求。这种拒绝可以延伸到系统资源， 在这些资源中移动代理被赋予能远程终止本身的资格。 以上列出部分可能的攻击，其总的思想是完全控制移动代理代码、状态和数据，以 便使移动代理主机可以以某种形式操作移动代理或其环境来使自己受益。 2 2 2 其他代理攻击移动代理 其他代理可以使用一些常用的方法攻击移动代理，这包括伪造交易，偷听会话，干 扰移动代理行为等等。例如，恶意代理对移动代理的直接请求进行不下确的晌廊司 者否 认合法的交易。其他代理还可以通过提供服务来获取信息，如在作为移动代理的仲裁代 理时，它可以通过伪装来获取自己需要的信息，或者使用平台服务来窃取平台内移动代 理的信息。如果移动代理平台很脆弱或没有访问控制机制，那么它可能被一个恶意代理 访问进而被该恶意代理修改移动代理的数据或代码。甚至在有某些有合理的控制机制情 况下，其他代理可以试图持续对移动代理平台发送信息，以便否认它们的通信能力，即 拒绝服务攻击。 2 2 3 其他外部实体攻击移动代理 本文所说的移动代理系统是指当i j 运行的所有移动代理以及为移动代理提供特别 执行环境的移动代理平台，它们一起构成某个特殊的移动代理框架。外部实体是指该框 架之外的任何实体，包括般的工作站，服务器，网络设备，甚至是与移动代理系统无 第6 页 信息t 车罕大学硕十学付论文 关的主机。一个潜在的攻击途径就是移动代理之间的通信链路。潜在的攻击者通常试图 伪装成代理或移动代理平台攻击移动代理，或偷听正在交互的信息并用获取的信息进行 被动重放攻击。 2 3 移动代理安全需求 从移动代理面临如上三种可能的攻击可以看出，移动代理在创建、传输和执行中有 五个主要的安全需求：机密性，完整性，可用性，责任性和匿名性。 1 、机密性( c o n f i d e n t i a l i t y ) 机密性的目的是保护移动代理的代码、数掘和状态不泄露或暴露给那些未授权拥有 这个移动代理信息的人。移动代理中的敏感或机密信息要求保护其机密性，这些信息存 储在移动代理平台中或在移动代理迁移的代码或数据中。在传输过程中，攻击者可以通 过观察信息的流向来获知移动代理的行为。例如，一个移动代理发送信息到航空代理机 构，信息在移动代理平台产生，经过一定数量的路由器等，然后到达航空代理机构。之 后，航空代理机构向银行发送信息。这时，尽管攻击者不知道这次交易的具体信息，譬 如飞往的目的地或信用卡信息，但他可以很容易地推断出这个移动代理就是向航空代理 机构订购飞机票的。当移动代理保存在移动代理平台时，移动代理平台将其放置于某个 保护区域内，对它加密，同时禁止未授权的访问。 移动代理机密性要求削弱了移动代理迁移的优势，即如果移动代理携带有敏感信 息，那么它的迁移路径则受到一定的限制。移动代理的机密性通过加密来实现。 2 、完整性( i n t e g r i t y ) 它的本质就是要保护移动代理的代码、状态和数据免受未授权实体的修改，同时确 保只有授权的代理或进程d 能执行共享数据并对其进行修改。移动代理本身不能防止恶 意实体对代码、状态和数据的修改，但它能够采取某些措施检测到这些修改。如当移动 代理保存在移动代理平台时，移动代理的完整性需要系统的访问控制机制来实现；当移 动代理在传输的时候，它的完整性依靠检测机制来实现；当移动代理要想在移动代理平 台上执行时，那么它就需要允许移动代理平台访问其所有的代码和状态信息。也j 下因为 移动代理完全允许移动代理平台对其进行操作，所以移动代理不可能防止恶意的移动代 理平台对其代码、状态和数掘的修改。如果恶意的移动代理平台干扰移动代理交易和篡 改移动代理的审计r 志，那么这可能导致参与该移动代理的实体彼此怀疑。可以采用检 测机制来检测出这种类型的篡改。 3 、可用性( a v a i l a b i l i t y ) 可用性是确保移动代理能够有效地运行，并使其得到所需信息的服务。当移动代理 迁移到某个主机上时，通常需要使用主机的某些资源，如建立网络连接，文件访问，数 据库访问等。因此可用性应该保证移动代理执行主机能够为移动代理提供有效的服务， 保证移动代理及时获得所需服务，保证移动代理不会发生死锁。可用性是移动代理首要 的信息安全目标。 4 、责任性( a c c o u n t a b i l i t y ) 移动代理和移动代理平台都必须为其行为负责。如移动代理必须为其访问过的资源 第7 页 信息】稃大学硕十学付论文 负责，而移动代理平台则需要为其提供的资源和服务负责。为了使移动代理和移动代理 平台为自己的行为负责，这需要它们的身份能够被识别和验证，以及它们的行为被准确 地记录以便只后审计。它们需要负责任的行为有：譬如访问一个文件对象，对平台的安 全机制作了重大的修改等。责任性要求为移动代理安全相关的事件建立审计同志，在审 计同志中详细记录着在移动代理的整个执行过程，并在移动代理平台的安全策略中定义 安全相关事项，这些安全相关事项至少包括：用户或代理名称，事件发生时间，事件类 型，以及该事件是完成了还是失败了。审计r 志不允许未授权访问和修改，也不允许可 篡改和否认。当审计同志变满时，需要采取一定的措施来处理那些无用的日志信息。 5 、匿名性( a n o n y m i t y ) 如上所述，移动代理平台因为审计的目的而要求移动代理对其自身的行为负责，但 有时候移动代理希望能保持自己行为的私有性。如此以来，移动代理平台需要平衡移动 代理保持其行为私有性要求和代理平台要求移动代理为其行为负责之间的矛盾。在很多 情况下，交易参与者不愿意和匿名的伙伴进行交易。商品的购买者希望能通过匿名保护 他的私有秘密，但是信用机构在不能核实该匿名者的信用历史和信用值之前，是不会提 供信用卡给匿名者的。匿名性是移动代理安全的一个重要问题，主要包括移动代理的匿 名连接和匿名通信两个方面。 2 3 移动代理安全保护机制 从移动代理安全需求中可以看出，移动代理安全保护分为如下两种主要的机制【3 4 1 ： 1 、检测机制：它采用某种检测机制来检测移动代理的代码、状念和执行是否遭到 未授权修改。主要使用的技术有：部分结果封装( p a r t i a lr e s u l te n c a p s u l a t i o n ) ，执行跟 踪( e x e c u t i o nt r a c i n g ) 等。 2 、保护机制：它是要使攻击者访问和修改移动代理的代码、状态和执行是不可能 的( 至少是很困难的) 。主要使用的技术有：加密函数( c o m p u t i n gw i t he n c r y p t e d f u n c t i o n ) ，复制和协同操作代理( r 印l i c a t i n ga n dc o o p e r a t i n ga g e n t s ) ，混淆代码 ( n h 异1 r 口t p dc o d e ) 等。 2 3 1 基于检测的移动代理安全机制 2 3 1 1 部分结果封装 部分结果封装是通过封装移动代理在不同的执行平台的执行结果，以备后来用于检 测移动代理是否受到攻击的技术。当移动代理返回移动代理产生平台或在回路中某个特 定点时，就可以利用封装的信息来验证该移动代理是否受到恶意主机的攻击。 对于不同的目的可以采取不同的具体机制来实现封装，如y e e 1 8 1 提出部分结果认证 码( p a r t i a lr e s u l t a u t h e n t i c a t i o nc o d e ) ，它是通过封装结果来保护移动代理；k a r j o t h 等 ”叫提出强前向完整性( s t r o n g f o r w a r d i n t e g r i t y ) 技术，在此他对前向完整性技术进行了 改进，它的特点就是移动代理访问某个代理平台后，该代理平台事后不能修改其计算的 第8 页 信息t 稃大学硕十学付论文 结果。下面详细介绍一个典型的部分结果封装算法一弹性加密( s l i d i n g e n e r y p t i o n ) | 2 0 2 1 】。 要保护移动代理不受恶意主机的攻击，一种方法是对代理所携带的关键数据进行加 密，但是首先遇到的问题就是加密密钥与要加密的数据不对称。移动代理要在网络中到 处漫游，所携带的数据容量有限。而为了加密的安全性，密钥的长度又得足够长。这样 代理携带的数据经过加密后数据容量将大大地增大了，影响了移动代理的迁移效率，增 加了网络的负荷。例如，一个代理拥有一个1 2 8 比特长的公钥，而且它必须经过1 0 2 4 个站点，获取1 0 2 4 条信息。假设每个站点代理只需要提取4 比特的信息，并用e b c 模 式加密。这样，移动代理完成一次任务需要携带1 2 8 比特的密文。但其中只含有4 k b 有价值的明文，因为每一次用1 2 8 比特的公钥加密一条4 b 信息时，在4 个字节的数掘 后要用1 2 4 b 的随机数不足，从而产生1 2 8 b 的密文。所以弹性加密法要解决的问题是 如何用密钥加密一小段明文产生一段数掘量较小的密文，但不至于影响系统的安全性。 其结构图如2 1 所示。 a a i s 囊1 i d e 飞 p u s h 月 w i r a i = d a t ac o n c a t e n a t e dw i t h r a n d o m n e s s s 1 i d ea i i n t ow i i = i + 1 i fi = m t p u s h ( w ) i = 0 图2 1 弹性加密法系统结构 弹性加密法是一种基于r s a 的加密算法。设密钥长度为n 1 个字节的r s a 公钥。 每条信息都为固定的i u l 个字节，每条明文后都要再加上i v l 个字节的随即字符串。其中v 至少为1 2 b ，令t = u l v i ( 表示联接) ，t v ) 。 2 3 1 2 执行跟踪 执行跟踪就是通过记录移动代理在每个代理平台的执行状态来检测该代理是否受 到未授权修改。这种方法由v i g n a 2 2 提出来，它要求每一个代理平台创建和保留一个日 志文件或移动代理驻留期间的操作轨迹，并提交个轨迹的加密哈希表作为轨迹摘要或 指纹。一个轨迹包括一系列状态标识符和平台的数字签名信息。平台的数字签名只有移 动代理平台中那些与计算环境相交互的指令才需要。对于那些基于内部变量值的指令， 数字签名是不需要的，因此，可以被省略。这项技术还定义了一个安全协议来传送移动 代理以及与安全相关的多方之间的一些信息，并且包括一个可信任的第三方来保留移动 代理完整路线的一系列轨迹摘要。如果出现任何可疑的结果，就可以检验适当的轨迹和 轨迹摘要，那么恶意主机就可以被榆测到。 执行跟踩的具体过程是：让主祝执行程序的同时，记录下代码的状态，以便日后核 查。移动代理程序的执行跟踪由若干个二元组( r l ，s ) 构成，其中n 表示独一无二的状 态标识符，s 表示签名( 这里的签名不是加密的数字签名) 。主机执行完程序后就把该 记录及相关的哈希值传送到下个站点，当代理回到出发地后，源主机就可以对其进行 核查，于是可以方便地检测出哪个站点发生了对代理的攻击行为。 这种方法有些缺点，其中最明显的就是目志文件的大小和数量。因为它要求每个 代理平台为移动代理操作创建和维持一个不可否认的r 志或跟踪记录。一条跟踪记录包 括在移动代码中执行状态的标识符和执行平台的数字签名。事实上，基于可疑结果或其 它因素的检测过程只是偶尔被触发。虽然这一技术的目的是保护移动代理，但它也可以 保护代理平台。另外的不足之处就是系统的额外开销过大，在传输过程中需要携带额外 的执行记录，并在验证时需要进行第二次重复计算。另外一个缺点就是执行跟踪只能用 于单线程移动代理，在移动代理多线程操作中并不使用该方法。t a n 3 4 】提出交互跟踪， 它克服了执行跟踪的两个主要缺陷：产生跟踪的长度