（计算机应用技术专业论文）基于java卡的移动代理安全保护研究.pdf

兰州大学硕士研究生毕业论文基于j a v a 卡的移动代理安全保护研究 摘要 近几年来，随着i n t e m e t 的广泛应用和移动计算技术的出现，在学术界，工 业界都掀起了研究移动代理的热潮。很多公司和高校研究机构都已推出自己的 移动代理系统，但要把它们真正推向商业应用还尚需时日，其中的主要制约因 素之一便是移动代理的安全问题。 本文在参考已有的移动代理保护方案的基础上，进行了进一步的改进。通 过对比分析，改进后的保护方案能在一定程度上解决移动代理的安全问题。 本文所做的主要工作： 采取加密等手段并结合s s l ( s e e u r es o c k e t sl a y e r ) 通信协议，提出了一种对 于在传输过程中移动代理受攻击问题的改进方案，保证了传输中移动代理的安 全。 针对主机或代理执行环境受恶意代理攻击的问题，通过制定完整的安全策 略，并结合数字签名技术，提出了一种改进方案。经过从语言级和应用级两个 方面对主机实施保护，保证了设备和代理的正常通信和合法操作。 对移动代理受恶意主机或执行环境攻击问题，本文进行了重点研究。探讨 了符合规范的j a v a 卡用于保护移动代理的可行性，并提出了一种改进方案。通过 采用可信赖且可抵御攻击的硬件，为该问题的解决提出了一种更实用的方法。 最后针对目前j a v a 卡的硬件资源十分有限的问题，提出了一种基于移动代理 安全服务器( m o b i l ea g e n ts e c u r i t ys e r v e r , m a s s ) 和j a v a 卡的移动代理安全模 型。 关键词：移动代理；安全机制：j a v a 卡 兰州大学硕士研究生毕业论文基于j a v a 卡的移动代理安全保护研究 a bs t r a c t r e c e n t l y ，w i t ht h ep e r v a s i v ea p p l i c a t i o no fi n t e r n e ta n do nt h ea d v e n to fm o b i l e c o m p u t i n g ，r e s e a r c h e so nm o b i l ea g e n ta r ev e r yh o ti nb o t ha c a d e m i ca n di n d u s t r i a l w o r l d m a n yc o r p o r a t i o n s ，u n i v e r s i t i e sa n dr e s e a r c hi n s t i t u t i o n sh a v ed e v e l o p e dt h e i r o w nm o b i l ea g e n ts y s t e m s b u tt h e r ew i l lb eal o n gt i m eb e f o r ew ec a na p p l yt h i sn e w t e c h n o l o g ys u c c e s s f u l l yb e c a u s eo fi t ss e c u r i t yp r o b l e m i nt h i sp a p e r , w ep u tf o r w a r do u ro w ni m p r o v e dp r o t e c t i o np r o g r a m m e r so nt h e b a s i so fw i t hr e f e r e n c et ot h ee x i s t i n gm o b i l ea g e n tp r o t e c t i o np r o g r a m m e r s t h r o u g h c o m p a r a t i v ea n a l y s i s ，t h ei m p r o v e dp r o t e c t i o np r o g r a m m ec a np a r t l y s o l v et h e s e c u r i t yp r o b l e m so fm o b i l ea g e n t s t h em a i nw o r ka r ea sf o l l o w si nt h ea r t i c l e ： i no r d e rt or e s o l v et h ep r o b l e mt h a tm o b i l ea g e n tm a yb ea t t a c k e db yh a c k e r s w h i l er o a m i n gi nt h en e t w o r k , w ep u tf o r w a r do u ro w ni m p r o v e dp r o t e c t i o n p r o g r a m m e r sb ye n c r y p t i o nt e c h n o l o g y a n d s s l ( s e c u r e s o c k e t s l a y e r ) c o m m u n i c a t i o np r o t o c 0 1 t h u s ，e n s u r et h es e c u r i t yo fm o b i l ea g e n ti n t h et r a n s f e r w ep u tf o r w a r do u ro w n i m p r o v e dp r o t e c t i o np r o g r a m m e r st ot h ep r o b l e mt h a t h o s to ra g e n te x e c u t i o ne n v i r o n m e n tm a yb ea t t a c k e db ym a l i c i o u sa g e n tt h r o u g h c o m b i n i n gd i g i t a ls i g n a t u r et e c h n o l o g ya n dd e v e l o p i n gs e c u r i t ys t r a t e g y t h e i m p r o v e dp r o g r a m m e re n s u r et h en o r m a lo p e r a t i o na n dc o m m u n i c a t i o no ft h e e q u i p m e n t a n d a g e n t s ，a f t e rt h eh o s t i s p r o t e c t e d i nt h el a n g u a g el e v e la n d a p p l i c a t i o n - l e v e l t h ep r o b l e mi st h ef o c u so ft h i sp a p e rt h a tm o b i l ea g e n tm a yb ea t t a c k e db y m a l i c i o u sh o s to ra g e n te x e c u t i o ne n v i r o n m e n t o u rr e s e a r c he m p h a s i z e so nw h e t h e r t h ej a v ac a r dc a nb eu s e dt op r o t e c tm o b i l ea g e n t ，a n dw eg i v eo u ro w ni m p r o v e d s c h e m e t h eu s eo ft h eh a r d w a r et h a ti ti sr e l i a b l ea n dc a nw i t h s t a n da t t a c kp u t f o r w a r dam o r eg e n e r a la p p r o a c hf o rt h es e t t l e m e n to ft h ei s s u ep r e s e n t s f i n a n y ，w eg i v eo n es e c u r i t ym o d e lb a s e do nm a s sa n dj a v ac a r df o rt h e n 兰型奎堂堡主堡究竺毕业论文基于j a v a 卡的移动代理安全保护研究 e x i s t i n gp r o b l e m so fj a v ac a r dh a r d w a r er e s o u r c e sa r ev e r yl i m i t e d k e yw o r d s ：m o b i l ea g e n t ；s e c u r i t y m e c h a n i s m ；a g e n te x e c u t i o n e n v i r o n m e n t ；j a v ac a r d h i 原创性声明 本人郑重声明：本人所呈交的学位论文，是在导师的指导下 独立进行研究所取得的成果。学位论文中凡引用他人已经发表或 未发表的成果、数据、观点等，均已明确注明出处。除文中已经 注明引用的内容外，不包含任何其他个人或集体已经发表或撰写 过的科研成果。对本文的研究成果做出重要贡献的个人和集体， 均已在文中以明确方式标明。 本声明的法律责任由本人承担。 论文作者签名：垒盘：盔 e l期： 2 。9 丫2 关于学位论文使用授权的声明 本人在导师指导下所完成的论文及相关的职务作品，知识产 权归属兰州大学。本人完全了解兰州大学有关保存、使用学位论 文的规定，同意学校保存或向国家有关部门或机构送交论文的纸 质版和电子版，允许论文被查阅和借阅；本人授权兰州大学可以 将本学位论文的全部或部分内容编入有关数据库进行检索，可以 采用任何复制手段保存和汇编本学位论文。本人离校后发表、使 用学位论文或与该论文直接相关的学术论文或成果时，第一署名 单位仍然为兰州大学。 保密论文在解密后应遵守此规定。 论文作者签名：尘立：盔导师签名： e l 期：纪：兰 兰州大学硕士研究生毕业论文基于j a v a 卡的移动代理安全保护研究 1 1 研究背景 第一章绪论 基于网络的编程和应用在最近这些年发展很快。这其中有很多因素，例如 i n t e m e t 用户大量增长，万维网( w o r l dw i d ew e b ) 被广泛接受为信息发布的平台， 以及电子商务和娱乐的发展等等。j a v a 语言使代码在网络上的移动成为可能，它 的大量使用是另一个促进因素。为了响应这些要求，新的技术，编程语言发展 起来。在这些新技术中最有前途的可能就是移动代理( m o b i l ea g e n t ) 【l 】技术的 使用。图l - l 是一个移动代理系统的模型。在这里，一个a g e n t 由执行一些计算 所需的代码和状态信息组成。a g e n t 可以在a g e n t 主机间移动。a g e n t 主机提供了 a g e n t 操作的执行环境。 图卜1 移动代理系统 移动代理可被看作是传统通信机制的一种扩展，由于能明确控制代码在何 处运行，移动代理模式提供了特殊的优势，特别是当用于诸如万维网这样的动 态异构网络环境的时候。移动代理拥有很多优点，如减少网络流量、增加客户 机和服务器的异步性、便于负载均衡和容错、支持移动客户和服务定制等。它 在如下领域有着很好的应用前景：通信网络管理、智能网领域、i n t e m e t 上的智 能信息检索以及分布计算领域。 在移动代理美好应用前景的激励下，国内外公司和高校研究机构纷纷推出 了自己的移动代理系统，但要真正把它们推向商业应用还尚需时日，其中的主 要制约因素之一便是移动代理的安全性。移动代理的应用要求分布式系统中相 兰州大学硕士研究生毕业论文 基于j a v a 卡的移动代理安全保护研究 互协作的主机提供移动代理的执行环境，因而这些主机可能会受到恶意代理的 攻击。与此类似，移动代理系统也要保证在主机上运行的移动代理的安全，以 防恶意主机的攻击。所以，设计移动代理系统时，其安全性是主要考虑问题之 一o 移动代理的安全性问题是一个很复杂的问题。传统的安全模型是基于访问 控制的安全模型。安全就是要保证数据的保密性、完整性、可靠性、可用性、 抗抵赖性等，保证系统的正常运作。在移动代理系统中，这些问题需要加以解 决。 1 2 移动代理安全的研究现状 移动代理安全问题可分为下列三个子问题： ( 1 ) 移动代理在传输过程中受攻击问题： ( 2 ) 主机或代理执行环境受恶意代理攻击问题； ( 3 ) 移动代理受恶意主机或代理执行环境攻击问题。 使用现有的机制和加密方法，前两个问题部分可以得到解决，而如何保护 移动代理免受主机或代理执行环境的攻击却是一个非常棘手的问题。 人们根据移动代理保护策略的不同，将现有的移动代理保护策略分为两类： 传统的安全策略主要是利用加密、身份认证、签名、授权和访问控制 等信息安全手段来保护移动代理安全。 非传统的安全策略一就是指不使用上述的安全手段，而是利用最近或最 新出现的技术来解决移动代理安全。这类技术与传统的安全策略的差别在于o 它们不是以密码学和访问控制策略等视角来看待移动代理问题，而是站在一个 新的地方或从新的角度来看待这些问题，如使用信任来保护移动代理就是一个 从社会诚信或者说是网络诚信的角度来看待移动代理的安全问题，这是以前所 没有的，因而称它为非传统的安全策略。 在传统的安全策略中，采用软件和硬件相结合的方法来解决移动代理的安 全问题成为未来的发展趋势。利用j a v e c a r d 1 2 1 【1 3 1 技术构建安全的移动代理执行 环境被认为是一个非常有前途的研究方向。 2 兰州大学硕士研究生毕业论文 基于j a v a 卡的移动代理安全保护研究 1 3 本文研究的内容及主要工作 围绕移动代理安全问题的三个子问题，本文重点研究了以下几个内容： l 、本文在参考已有的移动代理保护方案的基础上，结合数字加密技术、制 定安全策略、数字签名技术，就移动代理在传输过程中受攻击问题和主机或代 理执行环境受恶意代理攻击问题，提出了一种改进保护放案。从而保证了传输 中移动代理的安全，并且经过从语言级和应用级两个方面对主机实施保护，保 证了设备和代理的正常通信和合法操作。 2 、重点探讨了符合规范的j a v a 卡用于保护移动代理的可行性，采用可信赖 且可抵御攻击的硬件，为解决了移动代理受恶意主机或代理执行环境攻击问的 问题，提出了一种改进方案。 3 、就j a v a 卡硬件资源有限的问题，进一步提出了一种基于移动代理安全服 务器和j a v a 的移动代理安全模型。由于模型中的通信信息进行了签名和加密，可 以防止恶意主机窥视和篡改代理的代码和数据，也能防止恶意主机伪造移动代 理。 1 4 本文写作结构安排 本文共分六个章节： 第一章绪论主要介绍了移动代理安全问题的研究背景、研究现状以及本文 研究的内容和主要工作。 第二章就移动代理技术作了简要的介绍。包括移动代理的基本概念、移动 代理系统的基本模型、移动代理技术在实际应用中的特有优势、目前移动代理 技术发展面临的主要难题以及移动代理技术研究和发展的趋势。 第三章阐述了移动代理的安全问题。指出了移动代理系统中存在的安全问 题，并探讨了一些现有移动代理安全保护方案。 第四、五六章是本文的重点。第四章就传输中的移动代理、服务器资源保 护提出了自己的改进方案。而对执行环境中的移动代理保护，则提出采用“寻 找可信任主机 和“使用额外的硬件设备的解决问题思路。 第五章研究了采用j a v a 卡保护移动代理的可行性，就第四章中提出的“使用 兰州大学硕士研究生毕业论文 基于j a v a 卡的移动代理安全保护研究 额外硬件设备”问题给出了具体的改进保护方案。 第六章针对j a v a 卡硬件资源有限的问题，进一步提出了基于m a s s 和 j a v a c a r d 的移动代理安全模型。 第七章结论及论文今后的方向。 参考文献中说明了本文所引用到的期刊、书籍和外文资料情况。 最后介绍了作者在攻读硕士期间的科研及论文情况。 4 兰州大学硕士研究生毕业论文基于j a v a 卡的移动代理安全保护研究 第二章移动代理技术 2 1 移动代理的基本概念 对移动代理的研究始于二十世纪九十年代，它的优秀特性为许多应用领域 ( 如网络管理，电子商务，信息检索等) 中信息处理问题提供了较好的解决方 法，许多著名的大学、公司和研究机构都纷纷将它作为重要的研究课题。到目 前为止，国内外己经出现了很多优秀的实验性移动代理系统，如o t a w a 大学的 s h i p m a i ( s e c u r ea n dh i g hp e r f o r m a c em o b i l ea g e n t i nf r a s t r u c t u r e ) ，i b m 公司的 a g l e t ，g e n e r a lm a g i c 公司的o d y s s e y ，o b j e c ts p a c e 公司的v o y a g e r ，m i t s u b i s h i 的c o n e o r d i a 。d a r t m o u t h 大学的a g e n tt e l ，k a i s e r s l a u t e m 大学的a r a ( a g e n t sf o rr e m o t ea c c e s s ) ，i p v r 研究所的m o l e ，c o m e l l 大学的t a c o m a ，南京大学的 m o g e n t ，g m df o k u s 和i k v + + 的g r a s s h o p p e r 等。 2 1 1 移动代理的定义 移动代理不固于它开始执行的环境，可以在网络各主机间自由移动。在某 个执行环境中被初建后，它可以携带自身状态和代码通过网络移动到另一环境 中并恢复执行。其中“状态 是指移动代理在异地目标环境中恢复执行所需的 属性值，而“代码是移动代理执行的必要条件。移动代理具有跨地址空间运 行的特性，同时，为了与计算机病毒区别，它必须是可以验证的。 据此，我们给出移动代理的定义：移动代理是一独立的、可确认的计算机 程序，它可自主地在异构的网络上按照一定的规程移动，寻找合适的计算资源、 信息资源和软件资源，利用与这些资源同处一台主机的优势处理或使用这些资 源，代表用户完成特定的任务。 移动代理具有以下三个基本特征，它们是界定移动代理的必要准则： ( 1 ) 移动代理必须具有一定的身份，并代表用户的意愿； ( 2 ) 移动代理必须能自主地从一个节点移动到另一个节点，这是它最基本 的特征，也是区别于其它代理的标志。 兰州大学硕士研究生毕业论文 基于j 心，a 卡的移动代理安全保护研究 ( 3 ) 移动代理必须能在不同的地址空间中连续运行，即保持运行的连续性， 也即它在下一节点开始运行时的状态必须与在上一节点挂起时刻的状态相同。 简而言之，移动代理就是一段代表用户利益的程序代码，它可以转移到不 同的地址空间中执行，在转移过程中保持自身的状态不变。 2 1 2 移动代理的技术特征 移动代理能够在异构的网络节点间移动，它需要与服务设施及其它移动代 理协商来提供或获取服务以完成全局目 ( 1 ) 规模中小移动代理的代码和状态要在网络中传输，因此它的规模 必须限制在中小范围内，否则会丧失诸如节约网络带宽这样的优势； ( 2 ) 跨平台的语义一致性代理移动过程中访问的各主机的软硬件配置 可能是大小不同的，因此，只有在这些异构平台上具有相同语意的语言才能保 证它行为的正确性，j a v e 语言就是独立与平台的。 ( 3 ) 持久化( p e r s i s t e n c ) 移动代理在移动过程中需要保存代码和当前 运行状态，以便在目标节点中继续执行。 ( 4 ) 特殊的安全机制移动性使移动代理的安全问题显得非常突出，它 的安全机制一方面保证自身不受攻击，另一方面保证自身是非恶性的。 2 1 3 移动代理的生命周期 为了更透彻的分析移动代理，我们将它的生命周期划分为创建、准备、传 输、阻塞、执行和结束六个阶段，如图2 1 所示。 创建态标志着一个移动代理正处于创建中，创建者将它放入发送队列后便 转入准备态。从准备态到传输态的转变决定于创建者为它制定的发送条件及与 下一个发送目标的协商结果。与目的站点协商成功，移动代理便转入了传输态。 代理在网络传输过程中处于传输态，成功达到目标站点后，转入阻塞态。 代理在目标站点未获得执行权前始终处于阻塞态，在此期间目标站点主机 运行环境对其进行身份确认和完整性检查，检查通过则进入执行态；否则重新 转入传输态，返回源站点，执行态是移动代理生命周期中唯一具有活性的状态， 6 兰州大学硕士研究生毕业论文基于j a v a 卡的移动代理安全保护研究 在这个状态中，它自主地运行，与其他代理或服务设施交互完成预定任务。任 务完成后，代理转入传输态或结束态( 如果确认最后一个目标站点业己访问) 。 图2 - l 移动代理的生命周期 结束态是移动代理生命周期的结束。由于移动代理是可以重复利用的组件， 因此它可以被再次放入发送队列，转入准备态。这种循环的生命周期能够无限 次进行，并且在不同周期内获取的知识也能够在下一个生命周期内使用。 2 2 移动代理系统的参考模型 一个典型的移动代理系统具有如图2 2 所示的结构【1 】： 图2 - 2 移动代理系统的参考模型 系统由四部分组成。其中，计算机和操作系统构成主机( h o s t ) ；计算环境 ( c o m p u t a t i o ne n v i r o n m e n t ，c e ) 是主机上运行的服务程序( a g e n ts e r v e r ) ，为 代理提供运行环境支持；移动代理：通信子系统。移动代理可以主动或被动地 通过通信子系统迁移到不同的主机上，然后c e 为此代理创建一个进程或线程。 当c e 接收此代理时，它需要对它进行认证以决定其存取控制权限。代理被创建 之后，就可以与c e 或主机交互，也能与本地或异地代理进行通信。完成任务后， 7 兰州大学硕士研究生毕业论文基于j a v a 卡的移动代理安全保护研究 它可以迁移至另一主机，或结束运行。 2 - 3 移动代理模式特有的优点 ( 1 ) 能减轻网络负担使用移动代理技术能明显减少网络中原始数据的流 量。分布式系统通常依赖于通信协议，这些协议在完成给定任务的过程中涉及 多次交互行为，这将导致网络交通拥挤。如图2 3 所示，可以将一个会话过程打 包成移动代理，然后将其派遣到目的主机进行本地交互。此外，当进行远程主 机的大批量数据( 比如位于某个增加了代理的w e b 索引服务器上的w e b 索引) 处 理时，这些数据不应在网络上传来传去，而应在本地完成处理，因为转移计算 ( 也就是说代理) 要比传输数据经济的多； 应用+ 叫服务 刊 ， + 叫 移动代理技术 8 兰州大学硕士研究生毕业论文 基于j a v a 卡的移动代理安全保护研究 行加工制造的机器人进行控制的实时系统) 而言，网络控制存在许多隐患( 比 如说网络延迟) ，这对实时系统而言是无法忍受的，因为它需要对环境的变化 作出实时的反应。一个很好的解决方法就是采用移动代理技术，可以把它从中 央控制器传送到各局部点激活，并在当地直接执行控制器的指令。 麓送移动代理 一一 一* 竺 图2 4 移动代理允许网络断开操作 ( 5 ) 封装协议当数据在分布式系统中进行交换时，每一台主机都有自己 的网络协议，该协议将对传出数据进行编码，对传入数据进行解释。为了满足 新的效率和安全要求，协议常常需要改进，而实现该协议的代码升级工作要么 几乎不可能，要么相当困难，这样就会产生“遗产协议。而移动代理能够直 接移动到远程主机，建立起一个基于私有规程的数据传输通道。 2 4 移动代理技术的主要应用 与传统的客户机用服务器通信模式( 如r p c ) 相比，在网络中应用移动代理 技术具有许多优点，如可以减少网络资源的消耗，增强客户机与服务器的异步 性，动态更新或维护服务器用户接口以及增强网络处理并发事件的能力等等。 因此，目前移动代理技术己被大量的网络应用采用，同时许多相关的，深入的 研究也在进行中，下面将主要介绍当前移动代理技术的主要网络应用。 移动计算移动用户( 如使用笔记本电脑或w a p 上网的用户) 的物理位置 有可能在网络计算过程中不停地改变，因此需要不断地维护和重新配置当前的 数据链接。而一旦这种连通性不能及时地维持，就需要额外地处理脱线阶段的 交互数据。在这类应用中，采用移动代理技术非常有利。用户可以在所发出的 9 兰州大学硕士研究生毕业论文基于j a v a 卡的移动代理安全保护研究 移动代理中事先封装长期交互过程所需的全部用户端数据，由它携带用户请求 ( 如检查邮件服务器上的所有新邮件等) 移至服务器端与之进行所需的交互和 计算，这期间客户端与服务器端的链接可以中断，而移动代理仍可正常工作。 代理完成任务后，一旦链接恢复，即可携交互结果返回初始用户处。另外，代 理程序通常有能力对交互结果进行预处理，所以对于传输和处理速度较慢的网 络环境，这类移动代理系统更为有用。 智能网络技术【2 1目前的计算机网络都是基于被动式的分组交换的，而在智 能网络中，原先的分组由智能移动码分组取代，这样的分组不仅携带数据，同 时携带该数据的处理说明，这样每个中间节点不仅转发分组，还知道如何处理 该分组。当然这种通信模式会带来额外的网络消耗，但是它却是一种用户个性 化的通信模式。目前，许多大学都在实验和测试智能网，如宾夕法尼亚大学、 麻省理工学院。 i n t e r n e t 相关应用i n t e n r e t 是世界范围内的开放性网络，其最大的优点就 是资源的共享性。用户进行信息检索和过滤通常需要访问各类网站，并不得不 下载大量数据，即使只有少量对他来说真正有用。采用移动代理技术，用户只 需派出其代理程序，由它负责到不同的w c b 服务器上进行搜索，并根据主人的喜 好进行过滤，最后携少量有用数据返回。代理在服务器上执行任务时，用户甚 至不需要接入网络，因此可以减少网络带宽及其它消耗。在另一种应用中，当 需要用户与服务器进行多次交互时( 如大部分基于w e b 的应用都采用h r r p 协 议) ，也可以采用移动代理技术。由代理程序负责与服务器交互并处理数据， 而用户不必维持与服务器的链接，从而增加用户与服务器之间的异步性。显然， 这种异步性十分适合笔记本电脑和个人数字助理等可移动的上网工具，因为它 们通常只有较窄的带宽、不稳定的链接及有限的电源等。 电子商务移动代理技术在解决电子商务问题上有着良好的前景。不同的 移动代理有不同的目标，并为实现各自的目标采取不同的策略。移动代理体现 了各自创造者的意愿，代表他们运行和协作。除了简单的信息搜索外，移动代 理还可以完成许多商业交易，比如代表用户与电子商店( e l e c t r o n i cs h o p ) 进行 价格协商、合同签署以及电子商品( 如信息或音乐等) 传输等等。一个典型的 例子就是用户可以派出一个代理程序按照预订的路线访问不同的电子商店服务 1 0 兰州大学硕士研究生毕业论文 基于j a v a 卡的移动代理安全保护研究 器，最后携用户所需商品的最佳报价返回。 并行处理移动代理技术的一个潜在应用是管理并行处理任务，因为移动 代理能够在网络环境中生成多个副本。如果计算因为需要很强的处理能力而必 须分布到多个处理器时，支持移动代理的主机构成的基础并行处理设施可以提 供强大的支持。 个人助理移动代理能移到远程主机上运行，这使得它可以代表用户在网 络中完成一些任务，从而成为人们的助手。移动代理可以在远程主机上独自运 行，这期间网络链接可以中断，发送者甚至可以关掉自己的计算机。例如为了 制定一个会议日程，用户只需发送一个移动代理和代表其他与会者的移动代理 交互，由这些代理协商制定时间表。 信息发布移动代理体现了i l i t e m e t 上的“推”模型。移动代理可以发布诸 如新闻和软件升级等信息，也可以带着新的软件组件和安装过程直接前往用户 的个人计算机，进行自动升级和软件管理。 监视和通知这是对移动代理异步特性的典型应用。移动代理可以脱离自 身的出生地，实时地监视某一信息源，等待该源上可用信息出现。执行监视任 务的移动代理具有比创建它们的进程更长的生命期，这一点是相当重要而且是 必需的。 安全中介与移动代理有关的一个有趣的现象是：进行合作的参与者相互 之间并不信任。这时，参与者可在互相认可的主机上进行合作，而没有主机操 纵移动代理的危险。 远程通信网络服务对优质通信服务的支持和管理主要体现在网络的可动 态配置和用户可定制上，网络的物理大小和操作的严格限制需要移动代理技术 来保证网络的灵活性和有效性。 工作流应用和群件f 3 工作流的本质是支持信息在合作者间的移动。移动代 理对此特别适合，因为除了移动性外，它还提供了工作流条目一定的自治性。 每个工作流条目都可封装它所需要的行为和数据，然后在整个工作空间中移动， 而不依赖于特定的应用。 兰州大学硕士研究生毕业论文基于j a v a 卡的移动代理安全保护研究 2 5 移动代理的技术难点 i n t e m e t 的发展将会导致移动代理技术的广泛应用，但是目前实现移动代理 系统主要面临以下技术难点： 克服计算环境的异构。移动代理很可能要在不同的计算环境中自主的执行， 因此必须首先解决移动代理的跨平台问题。例如，代码被编译成像j a v a 的字节 码一样，与平台无关，然后再根据其到达的平台被编译成可执行码，或者在解 释器中执行。然而，要求在所有的计算机上安装同一种移动代理服务系统几乎 是不可能的。要使代码在不同系统环境下可真正灵活移植需要有标准化工作的 努力。o m gm a s i f ( m o b i l ea g e n ts y s t e mi n t e r o p e m b i l i t yf a c i l i t y ) 1 2 1 】的标准一迈 出了第一步。 性能问题。虽然多代理系统能够弥补网络带宽不足的缺陷，但同时带来加 重机器负担的负面影响。主要原因在于，a g e n t 系统出于对安全性及简便灵活的 考虑，通常由运行速度相对慢的解释性语言编写而成，并且必须被嵌入到适当 的执行环境中。因此，在排除网络断线的前提下，移动a g e n t 要比传统的程序付 出更多的代价，包括时间和效率。不过，也因注意到类似j a v a 的编程语言的编译 速度正在加快，与软件相关的其他技术也正在发展之中；对节点操作系统内核 的修改，将移动a g e n t 运行环境接合到系统中，等等。这些积极的技术探索将会 使移动a g e n t 以接近本地执行代码的速度运行。 安全性问题。移动代理的安全性是急需要解决又较难解决的问题之一，直 接影响到移动代理系统的实用性。 提供灵活方便的移动代理环境。移动代理系统用户的需求千变万化，对应 的移动代理也极其不同，因此用户必须可以根据自己的需要来开发适合的移动 代理。为用户提供一种方便的移动代理编程语言及相应的开发环境也是移动代 理系统亟待解决的问题之一。 2 6 移动代理的研究和发展趋势 移动代理的研究与发展呈现出以下几种趋势： 1 标准化：标准的建立是移动代理技术走向成熟的前提条件，目前关于移 1 2 兰州大学硕士研究生毕业论文基于j 趟，a 卡的移动代理安全保护研究 动代理标准化的进程正在展开，o m g 正在制订其服务规范并试图将其纳入 c o r b a 标准之中，i b m 以其a g l e t s 开发平台为蓝本向o m g 提交了有关的规范建 议。 2 开放性：未来的移动代理将向更加开放的方向发展，具体表现为支持标 准的 n t e m e t 网络协议，与其他服务具有更强的互操作能力。尤其是采用j a v a 作为 实现语言使移动代理能够无缝地融入i n t e m e t i n t r a n e t 系统框架中。 3 智能化：a g e n t 的概念起源于人工智能领域，在移动代理的研究初期由于 解决基本支撑机制的需要而侧重于研究分布式计算和移动性，当其作为一种分 布式计算技术日益成熟并得到标准化后，如何提供智能化的服务和任务求解将 是更广阔的研究领。 1 3 兰州大学硕士研究生毕业论文基于j 趟，a 卡的移动代理安全保护研究 第三章移动代理安全问题的阐述 3 1 移动代理系统中存在的安全问题 移动代理的迁移性是造成其不安全的最主要问题，在目前的研究中我们觉 得保护移动代理本身的难度是比较大的。事实也证明了这一点中，在大多数的 研究机构的相关技术报告中都对这个提出了相同或类似的看法，究其原因无非 就是移动代理在到达目的主机后要在目的主机上解释执行，这就要求要运行的 代码必须对主机开放，要利用主机上的资源来完成自身所携带的任务，这是移 动代理技术的一个最大特点，但这正是移动代理系统安全问题产生的根本原因， 也是它的难点。 除此之外，造成移动代理安全问题的，还有另外两个因素。一个就是无法 追踪代码的来源，在以往网络不普及的时代，主机上运行的程序主要来自于软 件公司、单位和个人自行开发或者是熟人开发的，所以程序对用户来说有很高 的可信任度，而且一旦出了问题也很容易找到提供者并追究相应责任。但现在 在移动代理环境下，主机上的a g e n t 来来往往，要想确认肇事的a g e n t 来自什么用 户，难度很大，而且有的a g e n t 很可能在事后就已经消亡了。另一个就是系统难 于对移动代理进行有效管理，在传统的系统中，管理者很容易来对系统中运行 的程序进行管理，对那些来源可疑的软件可以不运行。而在移动代理系统中， 这样的控制相对比较困难，移动代理和移动代理平台都相对有一定的自主性。 所以造成系统中要经常运行不可靠的程序，无疑增加了系统的风险。 3 1 1 数据传输中的安全问题 当在开放性网络( 如i n t e n r e t ) 中传递信息时，固有的一个缺点就是不安全 性。因而当代理程序在网络中漫游时，它的程序码和数据都是不安全的。首先 考虑在数据传递和通信链接中可能存在的安全威胁。 被动攻击在这种攻击模式下，攻击者并不干预通信流量，只是尝试从中 提取有用的信息。最简单的例子就是窃听，以获取代理程序中存储并传递的敏 1 4 兰州大学硕士研究生毕业论文基于j a v a 卡的移动代理安全保护研究 感信息。另一种情况是，攻击者可能无法得到具体的数据( 如数据采用加密传 输) ，但可以通过对相关数据进行流量分析( 如分析通信频度、交换的数据长 度、通信双方的身份) 获取所需的敏感信息。 主动攻击所谓的主动攻击是指攻击者截获并修改网络层的数据报，甚至 将原数据报删除，而用伪造的数据取代。另外，身份伪装也可看作一种主动攻 击，攻击者伪装成系统的一个合法参与者a ，截取并处理发给a 的数据。 在移动代理系统中，以上两类攻击都有可能发生，采用数据完整性检验和 身份认证等密码技术可以减小攻击带来的损失。但由于移动代理本身的特性， 使得采用哪种密码技术和协议受到限制，如因为代理程序要在网络中漫游，所 以那些需要和用户交互的协议就不适合。另外，也不可以让移动代理携带用户 的私钥，以防止被恶意的服务器获得。 3 1 2 服务器资源面临的攻击 移动代理系统中的服务器允许不同的代理程序在其上运行，这使得它不得 不面临恶意代理可能带来的攻击，这些攻击可归纳为如下几种： 偷窃敏感资料恶意代理程序访问某服务器时可能会设法打开包括该公 司商业机密的敏感文件，并将这些信息发给它的创建者，从而利用这些信息在 商业竞争中获利。 破坏服务器系统资源恶意代理程序访问某服务器时可能删除某个重要 文件甚至格式化整个硬盘。 拒绝服务攻击【4 1恶意代理程序故意用完系统资源( 如硬盘空间、内存、 网络端口等) ，从而使服务器无法完成与其它代理程序的正常交互。 扰乱性攻击这种攻击对于服务器系统的破坏较小，它通常是恶作剧性质 的，如不断地在服务器上打开各种应用程序的窗口或使机器不断发出蜂鸣声等。 显然，在设计移动代理系统时，必须考虑如何保证服务器能够抵抗以上攻 击。同时，对于合法的代理程序，服务器也应给予足够的资源访问权限，这就 需要对代理程序的身份进行确认，同时设计相应的安全分级及权限接入控制等。 兰州大学硕士研究生毕业论文 基于j a v a 卡的移动代理安全保护研究 3 1 3 移动代理面临的攻击 移动代理程序必须在服务器上运行，因此，其代码和数据对于服务器主机 来说都是暴露的。当一个服务器是恶意的，或是被攻击者侵占或伪装的时候， 它可能对代理程序进行如下几种攻击： 恶意主机可以仅仅破坏或终止代理程序，从而阻止该代理执行任务； 恶意主机可以偷窃该代理所携带的有用信息，如代理程序在漫游过程 中所搜集的中间信息等： 恶意主机可以修改代理所携带的数据，如当一个代理负责为用户收集 某种商品的最佳报价时，该主机通过篡改代理程序所收集的先前的服务器的报 价，以欺骗用户误以为其提供的报价为最佳价格。 更为复杂且危害更大的攻击是，攻击者通过改写部分代理程序的代码，使 其在返回用户主机或漫游到其他服务器后执行一些恶意攻击操作。在通常情况 下，用户将其所发出的代理看作是可信的。其接入本地资源的权限也更大，因 而这类攻击代理的危害也更大。 一般来说，对移动代理进行完备的保护( 不论程序码或数据) 是较为困难 的，因为服务器必须访问代理程序码及其状态才能运行该代理。而且，由于存 储计算结果或响应结果，代理的部分数据和状态通常是变化的。通常的方案都 是由派出代理的宿主机提供某种机制以发现该类修改，从而确定所发出的代理 是否受到攻击，并给出相应策略。 3 2 现有服务器资源保护方案 3 2 1 沙盒模型 沙盒模型【2 5 】运行环境对移动代理访问本地资源的权限加以限制，使得 它就好像运行在一个特定的盒子中，只能对本地资源施加有限的影响，而不能 操作本地文件系统。j a v aa p p l e t 是一个典型的例子，它不能访问本地主机上的文 件，除源主机外，不能与其它计算机建立网络连接。 1 6 兰州大学硕士研究生毕业论文 基于j a v a 卡的移动代理安全保护研究 3 2 2 签名、认证、授权和资源分配 签名、认证、授权和资源分配【2 6 ：l 一使用某种算法对移动代理进行数字签 名，签名信息包括：移动代理的创建时间、创建者和发送者等。运行环境首先 验证移动代理的身份，判断它是否是合法的。如果验证成功，则允许其登录并 给其分配相应的系统资源和操作权限( 可通过存取控制表a c l 来描述，预先在 目的主机上建立帐号并为该帐号分配相应的资源和权限) 。 这种方法有其缺陷：首先是不能保证移动代理是无害的，因为运行环境对 移动代理的信任是建立在他人承诺的基础之上的；其次，它限制了移动代理的 自由移动，即其只能迁移到它所注册的主机上去，而在一个庞大的网络上为所 有的移动代理建立这样一套帐务系统是很不现实的，相应的解决措施有：依照 w w w 、f t p 方式，在每一台主机上都开设一个匿名帐号，允许移动代理以匿名帐 号登录，相应地它可以使用和操作的资源会受到很大限制。 3 2 3p r o o f - c a r r y i n gc o d e p r o o f - c a r r y i n gc o d e 2 7 1 方法的核心思想是：代理运行环境提供一套安全规则， 且能够验证某个移动代理是否有违规行为。移动代理只要遵守这一套规则，就 能得以运行。 具体步骤如下： 运行环境提供一套与它自身有关的安全规则，设为r ，并用正规说明语 言进行描述： 移动代理的创建者提取移动代理的安全特性( 设为f ) ，用安全规则赋 行验证，生成安全证书q ：f r _ q ； 安全证书与移动代理一起到达运行环境； 运行环境用一个简单的算法s 对安全证书作验证s ( q ) ，如通过则执行该 移动代理，否则拒绝执行。 事实上，也可以在运行环境端验证移动代理是否有违规行为，但是会造成 大量的计算开销，因为移动代理每到一处，相应的执行环境均要做同样的事。 所以，由移动代理的创建者来完成这些计算工作，并生成证书。这样，执行环 1 7 兰州大学硕士研究生毕业论文基于j a v a 卡的移动代理安全保护研究 境只需对证书进行验证，开销自然少很多。安全证书与移动代理是不可分的， 对其中任一个进行改动均会导致安全证书失效 3 2 4 代码检验 代码检验【5 1 就是代码验证程序对移动代理进行检验，如果它携带了非法指 令，将不被执行。该技术对于执行层脆弱，容易被运行的移动代理所破坏的情 况比较实用。例如，在j a v a 运行环境中有一个字节码验证器，它可以保证基于 j a a 的移动代理不会执行非法指令，如对不属于自己的内存空间进行写操作。 3 2 5 限制技术 限制技术 6 1 就用限制技术对具有持久生存能力的移动代理进行控制。限制技 术包括时间限制、范围限制、复制限制，它们对于控制移动代理“到处乱走 很有效。但由于它不能预测到所有可能发生的事情，有时反而会干扰移动代理 执行任务。 3 2 6 核查纪录 核查纪录【7 】就是对移动代理的所有活动进行记录，当其遭受恶意攻击时，可 以寻找“当事人”负责。移动代理到达一个多代理系统后，接收方会验证其“身 份”，监视器根据验证结果决定是否接收该代理，以及制定什么样的安全策略。 移动代理执行前，有代码验证器对其进行验证：移动代理执行过程中，监视器 执行安全策略监控代理对系统资源的访问及限制其运行时间：移动代理离开时 携带新的加密数据，监视器限制移动代理的去向。 3 3 现有移动代理保护方案 移动代理可能遭受以下两种攻击：来自恶意服务器( 或运行环境) 8 1 的攻击、 来自其它代理和实体的攻击。后一种攻击与前一种攻击在某些方面是相同的， 如窃听移动代理与其主人之间的通信，这类问题在传统的网络中也是存在的。 事实上，只要解决了前一种攻击问题，后一种就能迎刃而解。因此，下面的讨 1