（计算机应用技术专业论文）移动agent安全机制研究.pdf

广西大学硕士学位论文 移动a g e n t 安全机制研究 移动a g e n t 安全机制研究 摘要 移动a g e n t 技术是一项有长远发展前景的技术。和传统的分布式技术 相比，移动a g e n t 技术拥有很多优点，有着广阔的应用潜力。而移动a g e n t 系统的安全问题一直是移动a g e n t 技术走向实际应用的巨大障碍，其中， 移动a g e n t 的自身安全问题显得更为突出。 本文在深入研究现有的有关保护移动a g e n t 的安全机制的基础上， 针对其中存在的若干问题，提出了一个基于信用模型的保护移动a g e n t 的安全机制。本文的研究工作主要包括以下几个方面： 一、不同的应用领域对移动a g e n t 系统的安全要求是不一样的，为了 使研究范围更加明确，本文构建了一个面向电子商务的移动a g e n t 系统原 型r ae l e c t r o n i cc o m m e r c eo r i e n t e dp r o t o t y p eo fm o b i l ea g e n ts y s t e m ， e c o p m a s ) ，并对这个原型的安全性需求进行了分析，从而确定了本文 的安全机制的研究对象和研究目标。 二、 现有的保护移动a g e n t 的方法大多是事后的被动的检测方法，并 且不能对恶意行为进行处理，因此无法降低移动a g e n t 被攻击的风险，针 对这个问题我们提出了用信用机制来约束和规范主机行为的思想，并且建 立了一个适用于移动a g e n t 系统的信用模型，该信用模型能够简单有效地 根据主机的行为区分主机的信用度。 广西大学硕士学位论文 移动a g e n t 安全机制研究 三、针对系统原型的安全性需求，设计了一个基于信用模型的移动 a g e n t 保护方案，该方案的核心是一个鲁棒的移动a g e n t 数据和路由安全 协议，协议的主要思想是用电子商务服务代理( e l e c t r o n i cc o m m e r c e s e r v i c ep r o x y , e s p ) 对移动a g e n t 的路由进行监控，一旦发现恶意行为，将 在第一时间对恶意行为进行处理。处理的过程包括：对恶意行为进行取证， 确认恶意行为的实施者，降低恶意行为实施者的信用度，并尽量恢复被破 坏的移动a g e n t 。经过和已有的移动a g e n t 保护方案的对比，本文所设计 的方案具有更好的安全眭和鲁棒性。 关键词：移动a g e n t 安全信用模型安全协议 i i 广西大学硬士学位论文移动a g e n t 安全机制研究 r e s e a r c ho nm o b i l ea g e n t s e c u r i t ym e c h a n i s m a b s t r a c t m o b i l ea g e n tt e c h n o l o g yi san e wd i s t r i b u t e dt e c h n o l o g yt h a ti sw o r t h y o fb e i n gd e v e l o p e dl o n g l y i nc o n t r a s tw i t ht r a d i t i o n a ld i s t r i b u t e dt e c h n o l o g y , m o b i l ea g e n tt e c h n o l o g yh a sm a n ya d v a n t a g e sa sw e l la sw i d ea p p l i e d p o t e n t i a li nm a n yf i e l d s h o w e v e r , t h es e c u r i t yp r o b l e m so f m o b i l ea g e n t s y s t e mh a v eb e e nah u g eo b s t a c l eo fa p p l y i n gm o b i l ea g e n tt e c h n o l o g y i n t h o s es e c u r i t yp r o b l e m s ，t h es e c u r i t yo fm o b i l ea g e n ti sm o r er e m a r k a b l e o nt h eb a s i so fd e e ps t u d yo fc u r r e n ts e c u r i t ym e c h a n i s m so fp r o t e c t i n g m o b i l ea g e n ta n dd r a w b a c k so ft h e m s e l v e s ，as e c u r i t ym e c h a n i s mb a s e do n c r e d i tf o rm o b i l ea g e n t p r o t e c t i o n i sp r o p o s e di nt h i sp a p e r t h em a i nw o r ko f t h i st h e s i si ss u m m e du pa sf o l l o w s ( 1 ) t h es e c u r i t yr e q u i r e m e n t s o fm o b i l ea g e n ts y s t e m sa r ed i f f e r e n ti n d i f f e r e n tk i n d so fa p p l i c a t i o nf i e l d s t oc o n f i r mt h er e s e a r c h i n gd o m a i n ，t h i s p a p e rc o n s t r u c t sa e l e c t r o n i cc o m m e r c eo r i e n t e dp r o t o t y p eo fm o b i l ea g e n t s y s t e m ( e c o p m a s ) ，a n dt h er e q u i r e m e n t sa n a l y z eo ft h i sp r o t o t y p ei sa l s o o f f e r e d t h e s ew i l lh e l pt or e s t r i c ta n dp i n p o i n tt h et a r g e to fs e c u r i t y m e c h a n i s mi nt h i sp a p e r i l l 广西大学硕士学位论文移动a g e m 安全机制研究 ( 2 ) t h ee x i s t i n gm e t h o d st op r o t e c tm o b i l ea g e n ta r em o s t l yp o s t m o r t e m a n dp a s s i v ew h i c hc a n th a n d l et h em a l i c i o u sb e h a v i o ra sw e l la sd e c r e a s et h e r i s ko fm o b i l ea g e n tb e i n ga t t a c k e d t or e s o l v et h e s ed e f i c i e n c i e s ，t h i sp a p e r p r o p o s e st oa d o p tc r e d i tm e c h a n i s mt or e s t r i c ta n da d m o n i s hh o s t sb e h a v i o r ac r e d i tm o d e li se s t a b l i s h e dw h i c hi s a p p l i c a b l e i nm o b i l ea g e n t s y s t e m t h i sc r e d i tm o d e li ss i m p l ea n de f f e c t i v et od i s t i n g u i s hh o s t sc r e d i t a c c o r d i n gt oi t sb e h a v i o r ( 3 ) t o w a r d st h es e c u r i t yr e q u i r e m e n t so fe c o p m a s ，t h i st h e s i sp r o p o s e sa s c h e m eb a s e do nc r e d i tt op r o t e c tm o b i l ea g e n t t h ec o r eo ft h i ss c h e m ei sa r o b u s td a t aa n dr o u t es e c u r i t yp r o t o c o lo fm o b i l ea g e n t t h em a i ni d e ao ft h i s p r o t o c o l i st h a te l e c t r o n i cc o m m e r c es e r v i c ep r o x y ( e s p ) w i l lm o n i t o r m o b i l ea g e n tw h e ni ti sr o u t i n gi nt h en e t w o r k s ，a n dw i l ld e a lw i t ht h e m a l i c i o u sb e h a v i o ra ss o o na sf i n di t t h ep r o c e d u r eo fh a n d l i n gm a l i c i o u s b e h a v i o ri n c l u d e so b t a i n i n gt h ee v i d e n c eo f m a l i c i o u sb e h a v i o r , a f f i r m i n gt h e e x e c u t a n to fm a l i c i o u sb e h a v i o r ，d e c r e a s i n gt h ec r e d i to ft h ee x e c u t a n ta n d t r y i n gt or e s u m et h em o b i l ea g e n tw h i c hh a sb e e nd a m a g e d i nc o n t r a s tw i t h t h ee x i t i n gs c h e m eo fm o b i l ea g e n tp r o t e c t i o n ，t h es c h e m ep r o p o s e di nt h i s p a p e ri sm o r es e c u r ea n dr o b u s t k e yw o r d s ：m o b i l e a g e n t ；s e c u r i t y ；c r e d i tm o d e l ；s e c u r i t yp r o t o c o l 广西大学硕士学位论文 移动a g e n t 安全机制研究 1 1 课题的研究背景 第一章绪论 a g e n t 的研究起源于人工智能( a i ) 领域。a g e n t 是指模拟人类行为与关系、具 有一定智能并能够自主运行和提供相应服务的程序。随着网络技术的发展，可以让 a g e n t 在网络中移动并执行，完成某些功能，这就是移动a g e n t ( m o b i l e a g e n t ) 的思 想i ”。 实际上移动a g e n t 技术是a g e n t 技术与分布式计算技术的混血儿。传统的远程过 程调用( r e m o t ep r o c e d t i r ec a l l ，r p c ) 客户和服务器间的交互需要连续的通信支持， 而移动a g e n t 可以迁移到服务器上，利用服务器的资源运行，并与服务器进行本地高 速通信，这种本地通信不再占用网络资源。 移动a g e n t 已经受到了来自学术界、工业界的广泛关注，吸引了众多著名的大学、 公司、科研机构进行研究和开发，已经开发出众多的移动a g e n t 系统，其代表性的系 统有：g e n e r a lm a g i c 公司的t e l e s c r i p t ，i b m 公司的a g l e t s ，m i t s u b i s h i 公司的c o n c o r d i a ， o b j e c t s p a c e 公司的v o y a g e r 和c o r n e l l 大学的t o c a m a 等【3 ，4 】。虽然这些系统大多还处 于实验室研究阶段，离实际应用还有一段距离，但移动a g e n t 技术为基于i n t e r a c t 的 分布式应用提供了一种崭新的、灵活的计算模式，在信息搜索、电子商务、并行处理 和网络管理等领域将有广阔的应用前景u ，2 ，j ，4 】。 但是，移动a g e n t 的移动性会带来很多不确定因素，会带来一些安全性的问题， 移动a g e n t 系统的安全问题一直是移动a g e n t 技术走向实际应用的一个瓶颈。通常， 移动a g e n t 系统的安全性问题可以分为两类【l | 2 ，j 6 】：( 1 ) 移动a g e n t 主机安全；( 2 ) 移动a g e n t 自身安全。 1 2 课题的研究现状 移动a g e n t 主机安全问题类似于传统的主机安全问题，这方面的研究比较多，也 有了一些比较成熟的解决方案。由于移动a g e n t 的移动性，使得解决移动a g e n t 自身 安全问题变得比较困难，移动a g e n t 自身安全问题一直是移动a g e n t 技术被广泛接受 和应用的最大障碍，3 ，4 ，5 ，6 ，7 ，8 1 。目前，在保护移动a g e n t 方面已进行了很多研究工作， 也提出了一些保护移动a g e n t 的安全机制和对策，但还没有一个成熟可行的方案，依 然存在一些问题有待解决。 基于上述原因，本课题将以移动a g e n t 自身安全为研究的方向，所以这里主要介 绍一下有关移动a g e n t 自身安全的研究的现状。目前，对移动a g e n t 自身安全问题的 研究主要有三个侧重点：代码安全、数据安全和路由安全。 广西大学硕士学位论文 移动a g e n t 安全机制研究 1 2 1 移动a g e n t 的代码安全问题研究现状 移动a g e n t 的代码安全包括保护代码的完整性和机密性。 代码的完整性保护，是指保证代码的正确性和一致性，任何对代码内容的篡改和 破坏都可以被检测到。移动a g e n t 在各个服务器上运行时，其a g e n t 代码保持不变，因 此保护代码的完整性相对简单。在现有的移动a g e n t 系统中，基本都是采用数字签名和 安全哈希函数的方法解决代码安全问题【9 j 。 代码的机密性保护是指主机只可以运行移动a g e n t ，但不能让主机了解移动a g e n t 的代码的意图。目前对代码的机密性保护主要有两种技术，即加密函数计算( c o m p u t i n g w i t he n c r y p t e df u n c t i o n ) 和代码混淆( c o d eo b f u s c a t i o n ) 。 s a n d e r 和t s c h u d i n 在文献 1 0 】提出的加密函数计算是保护移动a g e n t 代码不受窃听 的密码学方法。该方法加密移动a g e n t 的函数，以掩盖函数本来的目的。方法可描述为： 设a 有包含计算函数珀自程序p ，a 希望在b 上计算f ( x ) ，但是a 不希望b 理解函数珀q 逻辑， 用加密函数法，其过程如下： ( 1 ) a 对函数f 进行加密，得到加密后的函数e ( f ) ； ( 2 ) a 将用e ( d 取代f 而建立新的程序p 1 传给b ； ( 3 ) b 执行程序p 1 ，得到计算结果( e ( f ) ) ( x ) ，并将结果返回给a ； ( 4 ) a 对结果( e ( d ) ( x ) 进行解密得到结果f ( x ) 。 然而，目前还没有发现一个通用的解决方案可以对任意一个函数f 找一个加密方 法。如果需要加密的是多项式或有理函数，则这种方法是完全可行。因此，当移动a g e n t 的代码中某些多项式和有理函数需要保密时，可采用这种方法。 为防止主机对移动a g e n t 的代码的窥探，还可以采用代码混淆技术对其代码进行保 护。代码混淆就是将代码变得难以阅读和理解，但不改变代码的功能。代码混淆的目 的是使得反编译的代价超出敌人通过反编译所获得的收益。代码混淆可以划分为版面 布局混淆、数据混淆、控制混淆和预防转换这四种类型【1 l ，他】。c o l l b e r g 着e l c h e n x iw a n g 都提出了比较好的混淆算法 h j 3 】。 值得一提的是，并不是所有的移动a g e n t 系统都需要对移动a g e n t 的代码的机密性 进行保护的，这要根据移动a g e n t 系统的具体应用来选择适当的安全策略。 1 2 2 移动a g e n t 的数据安全问题研究现状 目前有关移动a g e n t 的数据保护研究比较多，解决的思路也多种多样，下面介绍几 个典型的方案。 ( 1 ) 部分结果鉴别码 文献 1 4 提出了“部分结果鉴别码”( p a r c ) 来提供计算所得结果的向前完整性。 广西大学硕士学位论文移动a g e n t 安全机制研究 向前完整性意味着在前面主机获得的结果不能被修改。该方案使用加密校验和封装部 分结果，并需要移动a g e n t 军i i 它的所有者维护一个密钥列表用于p r a c 计算。密钥用来 加密在每个主机处获得的结果并在移动a g e n t 迁移到下一个主机时销毁。通过整个签署 过的部分结果，我们可以识别出第一台恶意主机并只相信在那台主机之前获得的结果。 文献【9 】也提出了一个增强的用于公共验证的方案。这个方案的弱点是可能发生共谋攻 击，即两个或多个共谋的相继主机可以修改部分结果并签署它，欺骗移动a g e n t 的所有 者使之认为这个部分结果是有效的。 文献 1 5 1 提供的方法改进了上面的p r a c 方法。除了在每台主机封装结果外，该方 法提出把封装结果与前面和后继访问的主机的标识链在一起。主机用私钥对条目进行 数字签名，并使用一个秘密哈希函数来连接结果和所关心的身份。这是建立在向前完 整性的基础上的，并防止了主机通过共谋来修改链上的条目。文献 1 5 也提议用消息 鉴别码( m a c ) 来替代数字签名，它同样也支持公共验证。 上述方案的目标是防止对移动a g e n t 在每台主机的部分结果的非授权修改，确保了 直到第一台可检测到的恶意主机前的部分结果是有效的。 ( 2 ) 相关密钥链加密机制 谭湘等人在文献 1 6 1 0 0 提出了一个相关密钥链加密机制，其核心思想是对移动代 理的数据采用常规加密，从而保护数据的机密性：通过在移动代理数据加密所用的密 钥之间建立关联关系，形成密钥链，任何打破这种链关系的行为都将被检测到，从而 保证数据的完整性。该方法根据移动a g e m 的执行结果进行检测，判断返回来的移动 a g e n t 有没有受到攻击、破坏，这是一种事后的被动的方法，虽然保证了移动a g e n t l 拘 机密性和完整性，但没有考虑到移动a g e n t 的可用性和可审计性，被破坏的移动a g e n t 的利用价值不高，而且也无法对攻击行为进行追查和审计。 ( 3 ) 可信第三方实体【1 7 1 可信第三方( t r u s t e dt h i r dp a r t y ，t t p ) 实体的核心思想是：任何代理在一个不 可信站点运行时只能在代理的a d ( a p p l i c a t i o nd a t a ) 部分插入数据，当移动到另一个 不可信任站点时，代理必须去迁移到一个第三方实体，把在这个站点上所得到的新的 数据备份到这个第三方实体中，同时第三方实体也会检查这个代理先前收集到的数据 有没有被当前站点修改，若修改的话，则用第三方实体中的备份数据恢复，经过这些 操作后，代理才能从第三方实体迁移到另一个不可信任站点这样就保证了代理在迁移 过程中的完整性但这种方法也存在着缺陷，因为它需要代理在每一次迁移到不可信任 站点之前，先迁移到第三方实体，这样会产生比较高的开销；此外，第三方实体的计 算瓶颈问题和自身安全问题，都会影响这种方法的实际应用 ( 4 ) 加密跟踪 v i g n a 在文献 1 8 ，1 9 】中提出的加密踪迹是检测恶意主机的任何可疑的计算。该方案 广西大学硕士学位论文 移动a g e n t 安全机制研究 需要每台主机在执行移动a g e n t 时构造一个执行记录( 或称为踪迹) 。踪迹包括被主机 执行的一系列语句，以及获得的任何相关信息。踪迹随后被散列并由移动a g e n t 携带着 路由。如果移动a g e n t 所有者对计算有所怀疑，它将向主机要求完整的执行踪迹以便再 次模拟执行。如果模拟结果同哈希中获得的一致，则主机执行正确，否则主机是恶意 的。然而这个方案是不完善的，因为执行记录与程序语句的数目及所访问的站点数目 成正比，所以记录将非常大。 1 2 3 移动a g e n t 的路由安全问题研究现状 移动a g e n t 的路由安全问题也是移动a g e n t 自身安全的一个重要方面，移动a g e n t 的路由是否安全往往会影响到移动a g e n t 数据的安全。 ( 1 ) 协作记录迁移路径【2 1 1 该方法的核心思想是允许记录移动a g e n t 的相关路径且可以由相互协作的移动 a g e n t 来跟踪该路径。当一个代理在代理平台间移动时，代理会把上一个平台、当前 平台及下一个要到达的平台通过一条认证过的通道传送给一起执行此操作的移动 a g e n t ( 这些移动a g e n t 互称为对等移动a g e n t ) 。对等移动a g e n t 沟通彼此的迁移路径 信息是为了避免移动a g e n t 重复访问已经被另一个对等移动a g e n t 访问过的代理平台。 这种方案的基本理论是基于这样一种假设，即只有些移x ) j a g e n t 平台是恶意的。但是 该方法需要建立认证通道，如果对等代理比较多的话，则建立认证通道的开销较大。 ( 2 ) 嵌套加密和嵌套签名协议 w e s t h o 等人在文献 2 2 ，2 3 】中给出了几个移动a g e n t 路由协议，其中，采用嵌套加 密嵌套签名的方案提供了较好的安全性，其基本思想是采用类似于洋葱路由的技术， 对主机的地址进行反复的嵌套签名和加密。该方法能够在第一时间检测到攻击，并且 解决了共谋攻击的问题。但该方法由于采用了嵌套加密和签名的技术，因此计算复杂 度比较大。 ( 3 ) 基本签名和基本加密协议 柳毅在w e s t h o 的研究成果的基础上，提出了一个安全的基于基本签名基本加密的 移动a g e n t 路由协议 2 4 1 ，与原有的嵌套加密嵌套协议相比具有更低的计算复杂度，同时 保证了移动a g e n t 路由的安全性，如果恶意主机改变移动a g e n t 的路由，将被后面的诚 实主机发现。 总的来说，与移动a g e n t 主机安全研究相比，针对移动a g e n t 自身安全的研究仍处 于起步探索阶段。现有的保护移动a g e n t l 拘方法大多是事后的、被动的检测方法，对于 保护移动a g e n t 的机密性和完整性有了一些比较好的解决方案。但是，仅仅能检测出移 动a g e n t 是否受到攻击和破坏并不能满足用户的实际需要，因为移动a g e n t 最终是要用 它来为用户服务的，用户往往只关心能从返回来的移动a g e m 中得到什么，所以我们还 应该考虑到移动a g e n t 的可用性，而可用性则要求可控性和可审计性的支持。现有的研 广西大学硕士学位论文 移动a g e n t 安全机制研究 究对移动a g e n t 的可控性、可审计性和可用性的研究还很少，有的虽然也提出了一些思 路，但还没有一个比较完整的解决方案。 1 3 移动a g e n t 安全机制的研究意义 移动代理技术作为一项有长远发展前景的技术，值得我们去深入研究。移动代理 技术是否能广泛地投入应用有赖于移动a g e n t 安全性问题的解决。在移动a g e n t 安全性 问题中，移动a g e n t 自身安全性问题是一个极富挑战性的问题，现有的研究主要考虑如 何保证移动a g e n t 的机密性和完整性，对移动a g e n t 的可控性、可审计性和可用性的研 究开展的还不是很多，还没有一个比较完整的解决方案。本课题将在深入研究、学习 国内外已有的研究成果的基础上，对移动a g e n t 安全机制进行探索和研究，为移动a g e n t 技术能进一步走向实际应用做出自己的一部分工作。 1 4 本文主要研究内容和工作进展 本文的研究内容和进展主要体现在以下几个方面： ( 1 ) 现有的保护移动a g e n t 的方法大多是事后的被动的检测方法，并且不能对恶 意行为进行处理，因此无法降低移动a g e n t 被攻击的风险。针对这个问题，我们提出 了用信用机制来约束和规范主机行为的思想，并建立了一个适用于移动a g e n t 系统的 信用模型。 ( 2 ) 不同的应用领域对移动a g e n t 系统的安全要求是不一样的，为了使本文的研 究对象更加明确，我们构建了一个面向电子商务的移动a g e n t 系统原型，并且分析了 这个系统原型的安全性需求。 ( 3 ) 针对系统原型的安全性需求，我们设计了一个基于信用模型的移动a g e n t 保 护方案，该方案的核心是一个鲁棒的移动a g e n t 数据和路由安全协议，协议的主要思 想是对移动a g e n t 的路由进行监控，一旦发现恶意行为，将在第一时间对恶意行为进 行处理，处理的过程包括：对恶意行为进行取证，确认恶意行为的实施者，降低恶意 行实施者的信用度，并尽量恢复被破坏的移动a g e n t 。 1 5 本文的组织结构 本文其余章节的组织结构如下： 第二章：移动a g e n t 技术概述。主要介绍移动a g e n t 的基本知识，为后续章节提供 了相关研究的基础知识。 第三章：信息安全理论基础。这一章给出一些本课题研究所需要的信息安全理论 的基本知识。 广西大学硕士学位论文移动a g e n t 安全机制研究 第四章：一个面向电子商务的移动a g e n t 系统原型。本章构建一个面向电子商务 的移动a g e n t 系统原型，并对系统原型的安全需求做了分析。 第五章：一个适用于移动a g e n t 系统的信用模型。提出在移动a g e n t 安全机制中 引入信用机制的思想，建立了一个适用于保护移动a g e n t 的信用模型。 第六章：一个基于信用模型的移动a 保护方案。设计一个基于信用模型的移gent 动a g e n t 保护方案，最后对本方案的安全性和性能进行分析，并与相关研究工作做了 对比分析。 第七章：总结与展望。对本文工作进行了总结，并提出下一步的研究工作。 6 广西大学硕士学位论文 移动a g c m 安全机制研究 第二章移动a g e n t 技术概述 2 1 移动a g e n t 简介 2 1 1 移动a g e n t 的起源 a g e n t 一词直译为“代理”，也有人把它翻译为“智能代理”。a g e n t 思想的诞生 可归功于j o h nm c c a r t h y 在2 0 世纪5 0 年代末提出的t h ea d v i c et a k e r 系统，该系统 被设想为具有目标性，系统内实体间用人类的术语进行交流，它们从用户利益来考虑 从事各种服务【l 】。 a g e m 的研究起源于人工智能( a i ) 领域。a g e n t 是指模拟人类行为与关系、具 有一定智能并能够自主运行和提供相应服务的程序。与现在流行的软件实体( 如对象、 构件) 相比，a g e n t 的粒度更大，智能化程度更高。随着网络技术的发展，可以让a g e n t 在网络中移动并执行，完成某些功能，这就是移动a g e n t ( m o b i l ea g e m ) 的思想【”。 2 0 世纪9 0 年代初由g e n e r a lm a g i c 公司推出的商业系统t e l e s c r i p t 就提出了移动 a g e n t 的概念。简单地说，移动a g e n t 是一种包含代码和数据的程序，它可以在异构 网络中自主地从一台主机迁移到另一台主机，代表用户完成指定的任务口】。 移动a g e n t 一般具有自治性( a u t o n o m y ) 、移动性( m o b i l i t y ) 和协作性 ( c o o p e r a t i o n ) 。自治性是指移动代理不受外界干预，自主执行任务：移动性是指移 动a g e n t 能够在计算机网络中迁移( 或称“漫游”、“路由”) ：协作性是指a g e n t 社会 中的a g e n t 可以相互进行协作，共同完成某一任务。 2 1 2 移动a g e n t 系统的体系结构 虽然目前众多的移动a g e n t 系统的体系结构各有特色，但都包含移动a g e n t 和移 动a g e m 平台( 移动a g e n t 服务设施) 两个部分盼3 ，5 1 。如图2 - 1 所示，移动a g e n t 可 以从一个移动a g e m 平台( 这个平台一般称为源平台或x 源平台) 发布到网络中，然 后移动a g e n t 按照一定的路由策略在网络中的移动a g e n t 平台间漫游，完成任务后再 返回到家平台上。 广西大学硕士学位论文 移动a g e n t 安全机制研究 口一 4 口 图2 - 1 移动a g e n t 系统体系机构( 5 】 f i g 2 1 s t r u c t u r eo f m o b i l ea g e n ts y s t e m 移动a g e n t 平台是一种运行在操作系统之上的软件平台，安装有移动a g e n t 平台 的计算机一般称为移动a g e n t 主机或移动a g e n t 服务器。移动a g e n t 平台为移动a g e n t 提供一些服务，一般来讲，应该包括以下基本服务： 生命周期服务：实现移动a g e n t 的创建、移动、持久化存储和执行环境分配。 事件服务：包括移动a g e n t 传输协议和通信协议，实现移动a g e n t 和移动a g e n t 平台的事件传递。 定位服务：提供定位移动a g e n t 的信息，形成路由选择。 安全服务：提供安全的a g e n t 执行环境。 应用服务：能够向移动a g e n t 提供特定的服务，使移动a g e n t 能完成用户预 定的任务。 2 2 移动a g e n t 的技术的优点和应用趋势 2 2 1 移动a g e n t 技术的优点 和传统的分布式技术相比，移动a g e n t 技术具有很多优点： ( 1 ) 降低网络负载。这一特征概括了基于移动a g e n t 的分布式计算的特点，即将计算 移往数据，而非将数据移往计算【1 1 ，移动a g e n t 直接在数据端运行，和客户端没有中间 数据结果的传递，只返回最后的结果。因此，在处理的数据特别大、网络带宽不足的 情况下，移动a g e n t 可以有效地节约网络带宽【3 j 。 ( 2 ) 克服网络延迟】。在一些系统应用中，对环境做出实时反应是极为重要的。对 此，移动a g e n t 技术提供了一个很好的解决办法，即发送移动a g e n t 到达远端，由移 8 广西大学硕士学位论文移动a g e n t 安全机制研究 动a g e n t 直接进行本地控制。 ( 3 ) 支持离线计算，5 、。移动设备( 如手机) 通常依赖昂贵而脆弱的网络连接进行 工作。而有的任务要求移动设备与网络之间必须保持持续的连接，这可能既不经济， 在技术上也不可行。要解决这一问题，可以将任务嵌入到移动a g e n t 之中，然后将移 动a g e n t 派遣到网络上，异步、自主去执行所肩负的任务，而用户的移动设备此时就 可以断开网络连接，在适当的时候再连接上网络，收回移动a g e n t ，取得服务结果。 ( 4 ) 实现计算负载平衡 垃3 ，”。对于一些计算能力弱的设备，如个人数字助理( p d a ) ， 可以把计算打包成移动a g e n t 程序，发送到计算能力强的设备上进行计算。 ( 5 ) 动态适应环境i t , 3 】。即具有感知运行环境和对其变化做出自主反应的能力。多个 a g e n t 可以拥有在网上各主机之间合理分布的能力，以维持解决某一特定问题的最优 配置。 2 2 2 移动a g e n t 技术的应用趋势 由于移动a g e n t 技术所具有的优越性，使它在以下应用中具有很大的潜力。 ( 1 ) 信息检索 在搜索引擎中应用移动a g e n t 技术是信息搜索技术的一个发展趋势2 5 0 6 1 。移动 a g e n t 使用自动获得的领域模型( 如w e b 知识、信息处理、与用户兴趣相关的信息资 源、领域组织结构) 、用户模型( 如用户背景、兴趣、行为、风格) 知识进行信息搜 集、索引、过滤( 包括兴趣过滤和不良信息过滤) ，并自动地将用户感兴趣的、对用 户有用的信息提交给用户【2 ”。 ( 2 ) 电子商务 移动a g e n t 非常适合于电子商务。用户可以用移动a g e n t 去搜寻、预定或购买自 己所需的商品或服务；另外在一些交易中，往往要求实时访问远程信息，并当场作出 决策，诸如股票交易甚至是进行实时谈判，各方可以派出自己的移动a g e n t ，不同的 a g e n t 拥有不同的目标，并将采取不同的策略以体现其创建者的意图。 ( 3 ) 并行处理 在并行计算中，可以利用移动a g e n t 技术把各个需要并发执行的子任务派遣到不 同的主机上，以实现并发计算。 ( 4 ) 网络管理 当前两种主要的网络管理方案是i e t f 的s n m p 和o s i 的c m i p ，都是采用c s 计算模式 ”，大部分的网管计算都是由网管站来完成，都是集中式的网管方案，会加 剧网络的繁忙程度，而且当网管程序需要更新时，需要人工的去更新安装在被管理机 器上的监控程序。采用基于移动a g e n t 的网络管理技术可以把移动a g e n t 作为管理程 序发送到被管理的机器中，进行本地管理，这样减少了网管站和被管理机器的数据交 9 广西大学硕士学位论文移动a g e n t 安全机制研究 换，而且很容易进行网络管理程序的更群1 ，2 钔。 总之，移动a g e n t 特别适合于解决传统方法中要么代价过于昂贵，要么解决不了 的问题，如数据、控制、专家知识或资源分布问题，使大量的数据处理可以在数据源 进行，只需交换少量的高层信息，减少了大量的原始数据传送到远地的操作，提高了 网络的利用率。 2 3 移动a g e n t 系统的安全问题 虽然移动a g e n t 技术有很广阔的应用前景，但是在一些对安全性要求很高的一些 领域，如：电子商务、网络管理，应用移动a g e n t 技术还要走很长的一段路，主要是 因为移动代理的移动性会带来很多不确定的因素，其安全性比较脆弱，有待于加强。 这里首先对移动代理系统存在的安全问题作简要的分析，这是研究移动a g e n t 安全机 制的前提。移动代理a g e n t 系统的安全问题大致可以分为两类：一、移动a g e n t 主机 安全；二、移动a g e n t 自身安全。 2 31 主机安全 作为运行移动a g e n t 的平台，容易受到恶意移动a g e n t 或其他实体的攻击，这类攻击 包括伪装、未授权存取和拒绝服务。 ( 1 ) 伪装 伪装者假装成一个授权的移动a g e n t 便获得它本来没有被授权的服务和资源，伪 装者还可能假装成另外个未授权的移动a g e n t 来转移它所做的任何不想被审计的行 为的责任。 ( 2 ) 未授权存取 当平台缺乏充足的访问控制机制或身份验证与确认机制不力时，未授权访问可能 会发生，驻留在平台上的信息就可能泄露或被更改，除机密数据以外，这些信息可能 还包括平台的指令代码，根据所获取的不同访问权，可能会完全关闭或终止移动代理平 台的运行。 ( 3 ) 拒绝服务 如果平台的资源约束机制没有很好地建立起来，移动a g e n t 能够通过消耗移动代 理平台的计算资源来发动拒绝服务攻击， 如一个恶意的移动a g e n t 大量复制自身， 最终耗尽该主机的资源，导致无法为其他移动a g e n t 服务，另外，移动a g e n t 还可通过 发出毫无意义的服务请求来干扰平台的运行。 2 3 2 移动a g e n t 自身安全 ( 1 ) 窃听 广强大学硕士学位论文 移动a g e n t 安全机制研究 移动代理平台可以监视移动a g e n t 执行的每一条指令、所有带到该平台的未加密和 公开的数据以及在该平台产生的所有后续数据。 ( 2 ) 篡改数据或代码 攻击者可以篡改移动a g e n t 所携带的数据，比如一个代理负责为用户收集某种商品 的最佳报价时，某个恶意代理平台通过篡改代理程序从先前的代理平台上所收集到的 报价，以欺骗用户误以为其提供的报价为最佳价格；攻击者还可通过改写部分移动 a g e n t 程序的代码，使其在返回源代理平台或漫游到其他代理平台后执行一些恶意攻击 操作。 ( 3 ) 改变移动a g e n t 的路由 恶意主机可能为了自己的利益，改变移动a g e n t 的路由线路，使其不按照预定的路 线进行路由。 2 4 本章小结 本章首先就移动a g e n t 的基本知识做了简单介绍，包括移动a g e n t 的起源、移动 a g e n t 系统的体系结构、移动a g e n t 的技术的优点和应用趋势，然后着重阐述了移动 a g e n t 系统面临的各种安全问题。本章介绍的相关内容为后续章节提供了相关研究的基 础知识。 广西大学硕士学位论文移动a g e n t 安全机制研究 第三章信息安全理论基础 3 1 信息安全的属性 信息安全是一个比较大的概念，这里只简要介绍一下信息安全的五个基本要素， 这五个要素可以作为衡量一个系统是否安全的参考标准。 ( 1 ) 机密性：是指数据不会泄漏给非授权用户、实体，也不会被非授权用户使用， 只有合法的授权用户才能对机密的或受限的数据和信息进行存取。 ( 2 ) 完整性：是指数据未经授权不能被改变。也就是说，完整性要求保持信息的正 确性和一致性。不管在什么情况下，都要保护数据不受破坏或者篡改。 ( 3 ) 可控性：是指可以控制授权范围内的信息流向及行为方式，对信息的访问、传 播以及内容具有控制能力。 ( 4 ) 可审计性：是指当出现的安全问题时，可以提供用来调查和处理的依据。 ( 5 ) 可用性：反映了信息与信息系统可被授权者所正常使用，也就是说计算机和系 统中的数据信息在合法用户需要使用时，必须可以提供正常的服务，系统应尽 量避免系统资源被耗尽或拒绝服务的情况出现。 3 2 密码学基本算法 密码算法有三种基本算法：哈希算法、秘密密钥算法和公开密钥算法。 3 21 哈希函数 哈希( h a s h ) 函数( 也称为消息摘要函数) ，是在信息安全领域有广泛和重要应 用的密码算法，它有一种类似于指纹的应用。在网络安全协议中，哈希函数可用来处 理电子签名，将冗长的签名文件压缩为一段独特的数字信息，像指纹鉴别身份一样保 证原来数字签名文件的合法性和安全性。经过这些算法的处理，原始信息即使只更动 一个字母，对应的压缩信息也会变为截然不同的“指纹”，这就保证了经过处理信息 的唯一性。为电子商务等提供了数字认证的可能性。 要从密码学角度认为个哈希函数是安全的，其必备条件是：一是单向性，即找 一个消息，使其消息摘要值为一预先给定的消息摘要值，在计算上是不可行的：二是 抗碰撞性，以现有的计算能力，也不可能找到两个具有相同消息摘要的消息。 最常用的哈希函数算法是m d 5 和s h a 一1 。 3 2 1 1m d 5 算法 m d 5 ( m e s s a g e - d i g e s ta l g o r i t h m5 ) 算法是9 0 年代初由m i tl a b o r a t o r yf o r 广西大学硕士学位论文移动a g e m 安全机制研究 c o m p m e rs c i e n c e 和r s a d a t as e c u r i t yi n c 的r o n m dl r i v e s t 开发出来，经m d 2 、m d 3 和m d 4 发展而来。 对m d 5 算法简要的叙述可以为：m d 5 以5 1 2 位分组来处理输入的信息，且每一 分组又被划分为1 6 个3 2 位子分组，经过了一系列的处理后，算法的输出由四个3 2 个分组组成，将这四个3 2 位分组级联后将最终产生一个1 2 8 位的信息摘要【2 9 1 。 m d 5 在2 0 0 4 年8 月1 7 日之前还被认为是一个非常好的安全哈希函数，但在这 一天，山东大学的王小云教授在国际密码学