（计算机应用技术专业论文）动态移动agent安全策略研究.pdf

中文摘要 中文摘要中文摘姜 移动a g e n t 凭借其可移动性、自主性和智能性，在电子商务领域得到了广泛 应用。交易的安全性是决定电子商务成败的关键因素之一。由于移动a g e n t 可以 在异构的网络中自主移动，它带来了不同与传统安全问题的新挑战。这些安全问 题现在已经成为阻碍移动a g e n t 在电子商务领域广泛应用的主要因素。本文结合 支持供应链的a g e n t 安全需求，研究a g e n t 的安全策略，主要工作如下： 夺介绍了移动a g e n t 系统的体系结构，总结了a g e n t 系统可能受到的攻击形式及 其相应对策，分析了这些对策的优点和不足。 夺以移动a g e n t 的安全为主要研究对象，针对电子商务应用开发设计了移动 a g e n t 安全迁移系统。系统由三个协议组成，分别是有监督移动a g e n t 迁移协 议，无监督移动a g e n t 迁移协议和两阶段移动a g e n t 迁移协议。 夺提出了一种新型的移动a g e n 卜一动态移动a g e n t 。现有的移动a g e n t 代码在 a g e n t 整个生命期中保持不变，而动态移动a g e n t 可根据任务执行情况动态添 加和删除相应的功能模块。这有助于减少a g e n t 代码数量，提高a g e n t 的灵活 性，提高a g e n t 敏感代码的机密性，在受到攻击后更快地恢复。由于代码在不 断地改变，不仅要保证新增功能模块的完整性，还要保证代码变化之后的 a g e n t 整体的完整性。为此，使用了双重完整性保护。 本文着重研究a g e n t 迁移和更新升级过程中的安全特性，为动态供应链研究 奠定了一定的理论基础。 关键词：动态移动a g e n t ；安全策略；完整性保护；供应链 英文摘要 a 。b s t a r c t m o b i l i t y , a u t o n o m ya n di n t e l l i g e n c e a r ei d e n t i f i e da s k e yf e a t u r e s o fm o b i l ea g e n ta n d e n a b l ei t se x t e n s i v eu s ei nt h ef i e l do fe l e c t r o n i cc o m m e r c e t r a n s a c t i o ns e c u r i t yi so n eo ft h e m a i nf a c t o r st h a tm a k et h ee - c o m m e r c es u c c e s s f u l b e c a u s eo fi t sm o b i l i t y m o b i l ea g e n t b r i n g s a b o u tm a n y s e c u r i t yp r o b l e m sd i f f e r e n tf r o mt r a d i t i o n a lo n e s a n da l lt h e s ep r o b l e m sh a v eg r e a t l y i m p e d e dt h ew i d e s p r e a du s eo fm o b i l ea g e n t t h em a i nr e s e a r c h e sa r ea sf o l l o w s t h i s p a p e rf i r s t l yi n t r o d u c e st h ea r c h i t e c t u r eo fm o b i l ea g e n ts y s t e m g i v e sa n o v e r v i e wo fp o t e n t i a la t t a c k sa s s o c i a t e dw i t ht h es y s t e ma n dt h e i rt e c h n i c a l c o u n t e r m e a s u r e s ，i n c l u d i n gt h es t r e n g t h s a n dw e a k n e s so ft h e t e c h n i q u e s i n v o l v e d e m p h a s i s i so nm o b i l ea g e n t ss e c u r i t y , s i n c et h e yt y p i c a l l yf a c eam o r es e v e r e s e to ft h r e a t sa n d ，t h e r e f o r e ，d e m a n dm o r er i g o r o u sc o u n t e r m e a s u r e s t h e n as e c u r em o b i l ea g e n tt r a n s p o r t a t i o n s y s t e mf o re - c o m m e r c ei sd e v e l o p e d w h i c hf o c u s e so nt h es e c u r et r a n s p o r t a t i o no fm o b i l ea g e n t t h e r ea r et h r e e d i f f e r e n tp r o t o c o l s ，w h i c ha r es u p e r v i s e da g e n tt r a n s p o r t a t i o n ，u n s u p e r v i s e d a g e n tt r a n s p o r t a t i o na n dt w o s t a g e da g e n tt r a n s p o r t a t i o n a tl a s tan e wk i n do fm o b i l ea g e n t ，d y n a m i cm o b i l e a g e n t ，i sd e s i g n e d c o m p a r e d t ot h et r a d i t i o n a la s s u m p t i o nt h a tm o b i l ea g e n t sc o n s i s to fi n v a r i a n t c o d ep a r t s ，d y n a m i cm o b i l ea g e n tc a na d dn e wf u n c t i o nm o d u l e sa n dd e l e t e r e d u n d a n to n e sa tm n t i m e t h i sa p p r o a c hw i l lr e d u c et h ew e i 【g h to fm o b i l e a g e n t ，e q u i pm o b i l ea g e n tw i t hm o r ef l e x i b i l i t y , e n h a n c ec o d ep r i v a c ya n d h e l pt h er e c o v e r a b i l i t yo fa g e n ma f t e ra t t a c k i no r d e rt om e e tt h es e c u r i t y c h a l l e n g e f o r a g e n ti n t e g r i t yp r o t e c t i o n ，a g e n tc o d ec h a n g e a u t h o r i z a t i o n p r o t o c o la n d ad o u b l ei n t e g r i t yv e r i f i c a t i o ns c h e m ea r ep r o p o s e d t h i s p a p e rm a i n l y s t u d i e st h e s e c u r i t y o fm o b i l e a g e n t i nt h e p r o c e s s o f t r a n s p o r t a t i o n a n d u p g r a d e ，l a y i n g t h e o r e t i cb a s i sf o r d y n a m i cs u p p l y c h a i n r e s e a r c h e s k e yw o r d s ：d y n a m i c m o b i l e a g e n t ；s e c u r i t yp o l i c y ；i n t e g r i t yp r o t e c t i o n ；s u p p l y - c h a i n 独创性声明 小人卢叫所。i i 交的。z 化沦义足木人r i 导师指导卜逊 n 勺研究l ：作干取得f 门 研究成果，l 涂j - 义l i ，特) j i j 加以枷i 注 i l 敛谢之处外，沦义一l 叫：乜禽j i 他人l 二经发农 或撰1 ；过的研究成小，也4 i 他含为扶褂丞洼太堂域他敦疗机构的学位或征 州生川过n 勺材料。j 我删：l ：作的刚忠刈水研究所做们1 研负献均l 拒论文小 f 1 ；了l w f 跏f 门b 8 1 9 j j f ：4 了谢意。 黼渊晰概李又哎靴叭州年川船 学位论文版权使用授权书 小能沦义作打完全了解云洼太堂7 r 天俅刚、位川学位沦文的枷定。 特授权丞洼太堂可以将学位论文的全部或部分内容编入有关数狮：库进行检 索，并采用影印、缩印或扫描等复制手段保存、汇编以供阅和借阅。同意学校 向家仃灭邮l 、j 或机构送交沦义的业e 什和磁船。 ( 保密的学位论文在解密而适川木授权蜕i 卿) m 沦史作打铃私：棼天荧 籀粥 a f 刘“6 易 签，：卜| j | f j = 。与 i if 月跨 签字i | = | i l j ：2 。1 年f j 第一章绪论 1 1 安全问题分析 第一章绪论 随着网络技术的快速发展，i n t e r n e t 的广泛应用，分布式计算逐渐成为当今计算 技术的关键研究领域之一。分布式计算的发展经历了从基于过程的分布式计算阶段， 到现在的面向对象的分布式计算阶段，以及目前正在广泛研究的基于移动a g e n t 的 分布式计算。基于移动a g e n t 的分布式计算具有智能性、自主性和移动性。它为分 布式计算带来了新的思想和特性，得到了广泛的关注与研究。 尽管移动a g e n t 具有很多优点，如实现资源优化、异步计算、移动计算等，具有 广泛的应用前景，但是从基于c l i e n t s e r v e r 模式过渡到基于移动a g e n t 模式的发展受 到了移动a g e n t 安全问题的限制与阻碍。实际上，很多安全问题已出现在计算机网 络以及分布式系统中，并早有研究。如1 9 9 8 年的i n t e m e tw o r m ( 这种程序不断地 复制自身并在网络上扩散，通过消耗网络通信资源与计算资源来破坏网络) ，对这类 问题，安全专家给予的忠告是：不要一拿到程序就执行或者是不要让用户轻易地执 行从网络上下载地程序。这在以前或许是可行的，但是随羞移动计算的发展，这 种安全措施已经越来越过时。因为移动计算的目的就是要让移动代码或移动a g e n t 自由地在主机问移动，以最大限度地利用和节约资源。主机应允许移动a g e n t 自由 迁入、运行与迁出，而不管它是有名的还是匿名的移动a g e n t 。因此必须考虑移动 a g e n t 所带来的安全性问题。目前为静态程序提供存取控制与通信安全的措施与技术 必须适应移动a g e n t 的安全需求。 1 2 移动a g e n t 简介 a g e n t 的研究起源于人工智能领域。a g e n t 1 是指模拟人类行为与关系，具有一 定智能并能够自主运行和提供相应服务的程序。与现在流行的软件实体( 例如对象， 够件) 相比，a g e n t 的粒度更大，智能化更高。随着网络技术的发展，可以让a g e n t 在网络中移动并执行，完成某些功能，这就是移动a g e n t 的思想。 2 0 世纪9 0 年代初g e n e r a lm a g i c 公司在推出商业系统t e l s c r i p t 时，提出了移 动a g e n t 的概念。简单地说，移动a g e n t 就是一个能在异构网络中自主地从一台机器 迁移到另一台主机，并可与其它a g e n t 或资源交互的程序。它实际上是a g e n t 技术与 第一章绪论 分布式计算技术的混血儿。 移动a g e n t 迁移的内容既包括其代码也包括其运行状态。运行状态可分为执行状 态和数据状态。执行状态主要指移动a g e n t 当前运行式状态，如程序计数器，运行 堆栈内容等：数据状态主要指与移动a g e n t 运行有关的数据堆的内容。按所迁移的 运行状态的内容，移动a g e n t 的迁移可以分为强迁移和弱迁移。强迁移同时迁移移 动a g e n t 的执行状态和数据状态，这种迁移的实现比较复杂；弱迁移只迁移移动a g e n t 的数据状态，迁移速度较强迁移快，但不能保存移动a g e n t 的完整运行状态。 移动a g e n t 不同于远程执行，移动a g e n t 能够不断地从一个网络位置迁移到另一 个网络位置，能根据自己的选择进行移动。移动a g e n t 不同于进程迁移，一般来说 进程在迁移时系统不允许进程选择迁移时间和迁移地点，而移动a g e n t 带有状态， 所以可以根据应用的需要在任意时刻迁移，移动到它想到的任何地方。移动a g e n t 不同于a p p l e t ，a p p l e t 只能从服务器端向客户端单方向移动，而移动a g e n t 可以在 客户端和服务器之间双向移动。 移动a g e n t 具有许多优点。移动a g e n t 技术通过将服务请求a g e n t 动态地迁移到 服务器端执行，使得a g e n t 较少依赖网络传输这一中间环节，直接面对要访问的服 务器资源，从而避免了大量数据的网络传送，降低了系统对网络带宽的依赖。移动 a g e n t 不需要统一的调度，由用户创建的a g e n t 可以异步地在不同结点上运行，待任 务完成后将结果传递给用户。为了完成某项任务，用户可以创建多个a g e n t ，同时 在一个或若干个结点运行，形成并行求解能力。此外，移动a g e n t 还具有自治性和 智能路由等特征。 1 2 1 移动a g e n t 系统结构 移动a g e n t 系统是由移动a g e n t 和移动a g e n t 平台两部分组成的。移动a g e n t 平台 通过a g e n t 传输协议实现a g e n t 在不同平台间的迁移，为其分配执行环境和服务接口。 移动a g e n t 在a g e n t 平台中执行，通过a g e n t 通信语言相互通信，并访问a g e n t 平台 提供的服务。 如图所示1 - 1 ，移动a g e n t 体系结构可定义为以下相互关联的模块：安全代理、 环境交互模块、任务求解模块、知识库、约束条件和路由策略。体系结构的最外层 为安全代理，它是移动a g e n t 与外部环境通信的中介，执行a g e n t 的安全策略，阻止 外部环境对a g e n t 的非法访问。a g e n t 通过环境交互模块感知外部环境并作用于外部 环境。环境交互模块实现a c l 语义，保证使用相同a c l 的移动a g e n t 和a g e n t 平台 之间的正确通信和协调，而通信内容与a c l 无关。a g e n t 的任务求解模块包括a g e n t 的运行模块及与a g e n t 任务相关的推理方法和规则。知识库是移动a g e n t 感知世界和 自身模型，保存在移动过程中获取的知识和任务求解结构。内部状态集是移动a g e n t 第一章绪论 执行过程中的当前状态，它影响移动a g e n t 的任务求解过程，同时a g e n t 的任务求解 又作用于内部状态。约束条件是a g e n t 创建者为保证a g e n t 的行为和性能而给出的约 束，如返回时问、站点停留时间以及任务完成程度等，一般只有创建者拥有对约束 条件的修改权限。路由策略决定a g e n t 移动路经，它可能是静态的a g e n t 平台列表( 适 用于简单、明确的任务求解过程) ，也可能是基于规则的动态路由以满足复杂和非确 定性任务的求解。 外部环境( a g e n t 平台或其它a g e n t ) 图1 1 移动a g e n t 体系结构 a g e n t 平台为移动a g e n t 提供基本服务( 例如创建、传输、执行等) ，移动a g e n t 的迁移和任务求解能力在很大程度上决定于a g e n t 平台所提供的服务。一般来讲， a g e n t 平台包括以下基本服务 ( 1 ) 1 生命周期服务：实现a g e n t 的创建、迁移、持久化存储和运行环境分配； f 2 1 时间服务：包括a g e n t 传输协议和通信协议，实现a g e n t 间的事件传递； f 3 1 目录服务：提供定位a g e n t 的消息，形成路由选择； ( 4 ) 安全服务：提供安全的a g e n t 执行环境； ( 5 ) 应用服务：指那些与任务相关的服务，在生命周期服务的基础上提供面向特 定任务的服务接口。 第一章绪论 1 2 2a g e n t 通讯语言a c l a c l 基于语言行为理论，定义了a g e n t 及服务设施间协商过程的语法和语 义。移动a g e n t 的a c l 应具有应用的普遍性、简洁一致的语法和语义、通信内容的 独立性等。目前常用的a c l 为k q m l ，它是由f i n i n 2 在1 9 9 4 年提出的，是目前 知识表示和交换方面应用最广泛的标准。k q m l 既是一种a g e n t 之间的消息表示格 式，也是一种消息处理协议，它支持a g e n t 之间的运行时知识共享。 k o m l 被分为三层：内容层，消息层和通信层。内容层包含消息的实际内容， k q m l 可以携带任何语言表达的内容，包括表达为a s c i i 码或二进制代码的语言。 消息层是k q m l 语言的核心，主要功能是识别传输消息所采用的网络协议，给出发 送者对内容的态度或意图。通信层描述低级的通信参量，如发送者，接收者和与通 信有关的唯一性标识符。 由于k q m l 是以知识交换为主要目标的，没有考虑任何安全问题，更不要 说移动a g e n t 面临的特殊安全问题。所以，在实际应用中，为保证移动a g e n t 安 全必须在k q m l 之上再增加专门的安全保护层。 1 3 常用的加密解密算法和数字签名原理 只要研究计算机信息安全问题，总会用到加密和解密算法，以及数字签名技 术。为此，在这里简要介绍一些将在后边用到的安全原理和算法。 1 3 1 信息安全原理 1 3 1 1 基本概念 破坏 信息安全要达到3 个主要目标【3 】： ( 1 ) 机密性：确保信息不会泄漏给未经授权者 ( 2 ) 完整性：保证数据的一致性，尤其是防止未经授权对数据新增、修改或 ( 3 ) 授权使用：保证资源不会被未经授权者使用或以未经授权的方式使用 4 第一章绪论 1 3 1 2 安全措施 安全措施 4 用来防止或减少威胁的发生，或是降低威胁的影响。安全措施 涉及各类安全方法，包括通信安全、计算机安全、管理安全以及物理安全。一个 安全制度的强壮性取决于这些安全措施的结合。为获得有效的安全性，安全措施 中必须结合使用各种安全方法。与安全有关的服务主要有5 项： ( 1 ) 鉴定服务：提供对身份的确认，即当某人或某事声称具有某个特别的 身份时，鉴定服务能够保证其正确性。鉴定服务主要针对伪装入侵威胁，包括如 下两方面的内容： 实体鉴定：鉴定远程通信方的身份。例如密码就是一种对实体进行鉴定 的机制 数据源鉴定：鉴定某个消息或其它数据项发出方的身份。 ( 2 ) 访问控制：防止对进程、通信以及信息资源等各类资源的非法访问从 这一点来说，非法访问也就意味着非法使用、泄漏、篡改、破坏或请求操作。访 问控制是加强合法性的主要方法。 ( 3 ) 机密性服务：防止将信息泄漏给非法用户。机密性通常是通过加密隐藏 数据项实现的。 ( 4 1 数据完整性服务：防止数据发生与安全策略不一致的改变，包括增加、 删除或修改数据元素。 ( 5 ) 不可否认性服务：防止一方在交易或通信发生之后抵赖。 1 3 2 密码技术 密码技术，如加密和数字签名，是安全服务实施中重要的组成部分。 密码技术中最基本的部分是加密系统或加密算法。加密系统定义了数据的一 对转化过程，称为加密和解密。加密是对称为明文的数据进行的，明文直接以文 字或数字的形式表示了某个消息的信息。加密就是将明文数据转换成无法读懂的 数据形式，称为密文。解密就是将密文再恢复成原来的明文。 进行加密转换时需要两个输入项：明文和加密密钥。与此类似，解密转换则 需要解密密钥。密钥从表面上看就像是一串随机的位，密钥的长度取决于特定 的密码系统。 密码系统最明显的作用就是提供机密性。明文代表了未经保护的敏感数据， 密文则可以在不安全的环境中传输。该系统有两种基本的形式：一种是对称密钥 系统，也称为私有密钥或私有密钥系统：另一种是公开密钥系统，有时也称为 不对称系统。 第一章绪论 1 3 2 1 对称加密系统 对称加密系统的特点是加密和解密使用同一把密钥，如图1 2 所示。 对称加密系统所提供的信息机密性服务是通过如下方法实现的：两个系统a 和b 要进行安全通信，通过密钥交换过程，双方同时获得了一把秘密密钥。该 密钥只有系统a 和b 知道，对其它系统保密。这样，系统a 和b 就可以用只有 他们知道的密钥来对传送给对方的信息加密，只有这两个系统才能对信息解密。 对于一个比较好的对称加密系统，除非在解密时能提供正确的密钥，否则是不能 利用解密功能来获得明文信息的。 明 系统a 1 3 2 2 消息验证码 图1 2 对称加密系统 系统b 假定从发送方给接收方的消息不需要保密，但接收方要确信消息不是伪造 的。这时就可以使用验证码( m a c ) 来进行必要的保护。消息验证码也称为完 整性校验值或信息完整校验。m a c 是附加的数据段，由消息的发送方发出，与 明文一起传送，并与明文有一定的逻辑联系。该过程如图1 3 所示。m a c 的 值与输入消息的每一位有关，如果消息中的任何位在m a c 生成后发生了改 变，就会生成不同的m a c 值，接收方就知道消息的完整性已遭到破坏。 根据收到的消息，接收方利用消息内容重新计算m a c ，比较两个m a c 值。 为防止主动攻击者修改消息，并重新计算消息并替换消息中的m a c 值，生成 m a c 时需要使用一个消息接收方也知道的密钥。接收方拥有可以生成m a c 的 密钥，在接收消息时可以对消息内容与m a c 值是否一致进行确认。这样，如果 消息被篡改了，就肯定能检查出来。 下面是两种生成m a c 的常用方法： 第一章绪论 基于散列函数的方法：对某个位串运用散列函数生成m a c ，该位串中 既包括了消息数据位，又包括了数据的加密密钥。这种方法称为密钥散列函数或 h m a c 。 基于对称加密的方法：使用对称加密系统生成m a c 的方法。 发送方传递的消息接收方 1 3 2 3 公开密钥加密系统 图l 一3 消息验证码m a c 公开密钥加密系统使用一对相关的密钥：一把私有密钥，是由系统保密持有 的；一把公开密钥。该加密系统的特点是：知道公开密钥无法推断出私有密钥。 依据公开密钥是用作加密密钥还是解密密钥，公开密钥加密系统有两种基本 的模式。图1 - 4 说明了加密模式。 b o b 公开自己的公开密钥，任何想与b o b 进行保密通信的人( 如a l i c e 和 r o s e ) ，都可以使用这个公开密钥加密消息。当b o b 收到密文之后，用其私有密 钥解密消息。由于只有b o b 拥有该私有密钥，所以只有b o b 本人可以解密密文。 同时，仅知道公开密钥，无法推出相应的私有密钥，也可以保证只有b o b 知道 私有密钥。 第一章绪论 另一种公开密钥加密系统的模式是验证模式，见图1 5 。通过使用私有密钥 作为加密密钥，公开密钥加密系统可以用来进行数据发送方的验证并保证信息的 完整性，这也是数字签名的基础。 明文密文明文 b o b 的公开密钥 图1 4 公开密钥加密系统：加密模式 1 3 2 4r s a 数字签名 图1 5 公开密钥系统：验证模式 如图1 - 6 所示，简单的数字签名技术使用了象r s a 这样的可逆的公开密钥 加密系统。消息的发送方以验证模式用r s a 生成加密的信息( 即，加密密钥是 发送方的私有密钥) 。加密后的信息附加在明文的副本上一起传送出去。在接收 方那旱，接收方必须要知道相应的解密密钥( 发送方的公开密钥) ，用这把密钥 第一章绪论 来解密经加密的信息，并将解密后的信息与明文作比较。如果两者相同，则接收 方就能确信发送方确实拥有加密密钥，同时还可以确信信息在传输的过程中未被 篡改。 这种基于公开密钥的数字签名方案的优点在于【5 ，解密密钥是公开发布的， 对任何可能的消息接收方来说都能检查签名。缺点是：不得不对这个消息的所有 内容加密和解密，发送的数据量至少是原始数据的两倍。可以运用散列函数对它 进行优化。散列函数是一种单项函数，可以把大量信息映射成相对较小的信息范 围。它具有如下特点：即使信息只改动了1 位，用散列函数产生的值就会完全不 同。 发送方传递的消息接收方 若相同，签名是有效的 图1 - 6 简化的r s a 数字签名 图1 7 描述了利用散列函数进行数字签名的处理过程。利用散列函数，可以 对要签名的消息内容生成一个固定长度的数据项，称为摘要。摘要的特点是：只 要消息内容发生改变，摘要一定改变。 这种机制下，发送方用散列函数来获得摘要，然后用r s a 对摘要加密形成 签名，并与消息一起传送出去。接收信息时，接收方重新计算摘要，同时用r s a 对签名进行解密，然后比较两个摘要值。如果相符，则接收方可以确信发送方确 实拥有该私有密钥并且消息内容在传输途中未被篡改过。 9 第一章绪论 1 3 2 5 散列函数 图1 7 用散列函数进行r s a 数字签名 单向函数是一种计算相对简单但却很难进行逆运算的函数。从数学上来讲， 就是给定一个值x ，利用单向函数y = f ( x ) 很容易求出y ，但是如果给定y ，则不 可能或者很难求出相应的x 。散列函数用来在数字签名时产生信息的摘要。它具 有如下特征： n 、函数必须是真正的单向函数，也就是说不可能根据散列形成的摘要重新 计算出原始的信息。 ( 2 ) 散列计算不可能对两条信息求出相同的摘要。 1 0 第一章绪论 1 4 密钥管理 1 4 1 秘密密钥分发 以上各种对称加密算法都假定通信双方已经建立了一个秘密密钥，但均未涉 及建立方法。本小节讨论的d i f f i e 密钥交换算法专门用于建立秘密密hellman6 钥。具体过程如下： a l i c e 和b o b 是通信的双方。他们同时知道两个大质数n 和g ，并且( n 1 ) 2 和( g 1 ) 2 也都是质数。这些数字是公开的，因此两个人中的任何一个都可以选择 n 和g 并公开地告诉另一个人。现在a l i c e 挑选了一个大数x ，并将它保密。同 样的，b o b 也选定了一个秘密的大数y 。 a l i c e 首先开始密钥交换协议，发送给b o b 一条( n ，蜀9 1m o dn ) 的信息。b o b 发给a l i c e 一条包含g y m o dn 的信息作为回答。a l i c e 计算( g y m o dn l x ，b o b 计算 ( r r o o dn ) 7 。根据模的计算原理，两式都等于g x y m o dn 。此时，a l i c e 和b o b 就 建立了一个秘密密钥。 1 4 2 公开密钥管理 在公开密钥加密系统中，一方必须持有一把对其任何人都保密的私有密钥， 同时还要让想要与私有密钥持有者进行安全通信的其它各方知道他的公开密钥。 在分发公开密钥时并不要求保密，但必须保证公开密钥的完整性。在实际应用中， 公开密钥是通过证书发布的。公开密钥证书 7 】是一种将某方的身份( 证书主体) 与某个公开密钥值内在地连接在一起的数据结构，由公开密钥基础设施( p k i ) 负责管理和分发。 1 5 本文的主要工作及全文安排 本文的主要结构如下：第一章主要介绍移动a g e n t 安全问题的特殊性，移动 a g e n t 系统的结构，本文要用到的信息安全原理和加密解密算法。 第二章详细讨论了移动a g e n t 系统可能受到的各种攻击，并按照被攻击对象 第一章绪论 的不同进行分类，随后分析了现有的各种保护措施和它们的不足之处。 第三章是本文的核心之一。在前两章的基础上，针对电子商务应用，设计了 移动a g e n t 安全迁移系统，其中包括3 种不同的安全迁移方案，以适应实际应用 中各种不同的要求。 第四章在前一章设计的安全迁移系统的基础上，提出了动态移动a g e n t 的思 想，并对它的代码完整性保护进行了研究。 第五章对全文进行了总结，并提出了下一步工作的方向。 1 2 第二章移动a g e n t 安拿迁移系统 第二章移动a g e n t 系统面临的安全问题及对策 2 1 移动a g e n t 安全问题分类 同任何其它领域一样，安全问题是移动a g e n t 技术要面临的诸多挑战之一。这 其中既有传统的安全问题，又有移动a g e n t 特有的安全问题。在传统的计算机安全 领域，应用程序的所有者和计算机系统的操作者是相同的，而在移动a g e n t 系统中， a g e n t 的所有者和a g e n t 平台的操作者不同，这使得双方都要面对更大的风险。 图2 - 1 移动a g e n t 系统模型 在实际应用中，移动a g e n t 系统模型有许多种【8 ，9 ，l o 。为简单起见，我们采用 了图2 - 1 的系统模型。该模型主要有由两个部分组成：移动a g e n t 和移动a g e n t 平台。 移动a g e n t 包括程序代码，以及执行特定任务所需的状态信息，多个移动a g e n t 相互 协作完成某个特定应用。移动a g e n t 平台为移动a g e n t 提供了运行环境。在这个模型 中存在两种类型的移动a g e n t 平台。源平台：生成移动a g e n t 的平台，同时也是最可 第二章移动a g e n t 安聿= 迁移系统 信赖的平台；a g e n t 平台：由一个或多个运行移动a g e n t 的主机组成。这两种平台的 区别在讨论安全问题时并不重要，在这里我们可以忽略它们的区别。 移动a g e n t 的安全问题可以分为以下4 类： ( 1 ) 移动a g e n t 对a g e n t 平台的攻击； ( 2 ) a g e n t 平台对移动a g e n t 的攻击： ( 3 ) 同一a g e n t 平台内的各个移动a g e n t 互相攻击； ( 4 ) 其它实体对a g e n t 系统的攻击。 移动a g e n t 攻击其它平台中的a g e n t 和一个a g e n t 平台对另一个a g e n t 平台的攻 击可以归纳为最后一类。下面我们详细分析以上各种攻击类型。 f 1 ) 移动a g e n t 对移动a g e n t 平台的攻击 移动a g e n t 模式要求移动a g e n t 平台接收并执行在其它平台上开发的移动a g e n t 。 外来的移动a g e n t 对平台的攻击可分为两类。第一种是在没有得到授权的情况下访 问驻留在平台中的信息；第二种是滥用获得的授权，对驻留在平台中的信息进行破 坏式的访问。 当移动a g e n t 平台缺乏充分的访问控制，或者没有有效的身份验证与鉴别机制 时，恶意移动a g e n t 可以冒充一个可信的移动a g e n t ，对驻留在平台中的信息进行非 法访问。此时，我们况发生了未授权访问。在这种情况下，a g e n t 平台中的信息有可 能泄漏或者被非法修改。这些信息包括a g e n t 平台的指令代码，甚至还包括那些最 机密的数据。最严重时，恶意移动a g e n t 甚至可以完全关闭或终止a g e n t 平台的运行。 如果a g e n t 平台没有很好的资源约束机制，在未获授权的情况下，恶意移动a g e n t 可以通过耗尽a g e n t 平台的计算资源，阻止a g e n t 平台为其它移动a g e n t 提供服务。 另外，移动a g e n t 还可以通过在任何可能的地方提出毫无意义的服务请求来干扰 a g e n t 平台的运行。 ( 2 1a g e n t 平台对移动a g e n t 的攻击 a g e n t 平台的功能是为移动a g e n t 提供运行环境，所以它可以很容易地隔离并捕 获到达它的移动a g e n t ，从中提取出有价值的信息，修改移动a g e n t 的代码和状态， 拒绝移动a g e n t 所要求的服务，或者简单地初始化甚至终止移动a g e n t 的运行。例如， 一个恶意移动a g e n t 平台可以从一个移动a g e n t 中提取出它携带的电子货币。由于移 动a g e n t 是在a g e n t 平台提供的运行环境中运行，非常容易遭到a g e n t 平台的攻击。 只要a g e n t 平台拒绝移动a g e n t 提出的服务要求，移动a g e n t 就无法继续执行。最严 重的攻击方式是，a g e n t 平台分析并修改移动a g e n t 的代码，加入有利于自己的功能。 此时一个可信的移动a g e n t 就有可能变为一个恶意移动a g e n t ，产生不可预知的破坏。 ( 3 ) 移动a g e n t 之问的攻击 一个移动a g e n t 可以通过以下方法攻击其它移动a g e n t ：伪造交易，窃听其它移 1 4 第二章移动a g e n t 安全迁移系统 动a g e n t 之间的通信，或干预其它移动a g e n t 的运行。例如，一个恶意移动a g e n t 可 以否认一个已经完成的合法交易。一个移动a g e n t 可以假冒通话的一方，充当通信 双方的中介，窃听通话内容；或者利用a g e n t 平台提供的服务，窃听跨平台的消息。 如果a g e n t 平台中缺乏或者没有控制机制，一个恶意移动a g e n t 有可能访问并修改本 平台中其它移动a g e n t 的代码和数据。既使有恰当的控制机制，一个恶意移动a g e n t 也可以向其它移动a g e n t 不断重复地发送消息，干扰其它移动a g e n t 之间的正常通信。 ( 4 ) 其它实体对a g e n t 系统的攻击 即使a g e n t 平台有足够的控制机制，运行与其中的移动a g e n t 都是可信赖的，来 自于a g e n t 系统外部或内部的实体仍然有可能攻击a g e n t 系统。常见的攻击方式有通 过重播、截取等方式来攻击移动a g e n t 之间或a g e n t 平台之问的通信等。例如，在 a g e n t 与a g e n t 或者平台与平台协议层之下的协议层上，一个实体可以窃听移动a g e n t 之间或平台之间传递的信息。主动攻击者可以拦截正在迁移的移动a g e n t 或正在传 递的消息，修改它的内容，加入有利于自己的内容，推迟消息的传递，破坏通讯的 同步性。另一种可能的情况是在网络接口之间发动拒绝服务攻击。 2 2 安全问题的研究进展 为解决以上问题，科研人员已经投入了大量的精力，并取得了许多有价值的成 果。通过上一小节的介绍可知，移动a g e n t 安全领域中有一部分问题与传统安全问 题很相似。因此，目前用于分布式应用( 比如客户机一服务器模式) 的许多常规安全 技术也可以用于保护a g e n t 系统。此外，还有许多技术扩展了现有的常规技术，同 时也有一些技术专用于a g e n t 系统安全。 在研究a g e n t 系统安全时，任何技术都基于以下几条假设： ( 1 1 任何源a g e n t 平台都是可信赖的 ( 2 1 源a g e n t 平台与具有同等安全性的a g e n t 平台都可以安全运行，它们不存在 可被利用的缺陷或者陷门，也不会攻击其它a g e n t 平台和移动a g e n t f 3 1 使用公钥加密技术( 主要以数字签名的形式) 第二章移动a g e n t 安全迁移系统 2 2 1 保护a g e n t 平台的安全策略 在没有充分保护措施的情况下，a g e n t 平台非常容易受到多种攻击源的攻击。这 些攻击源可以是恶意移动a g e n t ，恶意a g e n t 平台，也可以是任意的恶意实体。由于 在移动a g e n t 模式中，a g e n t 平台的功能类似于传统模式中的可信赖主机，所以那些 用于可信系统和通讯安全的传统保护技术，也可以为a g e n t 平台提供类似的保护机 制。 在实施某种a g e n t 系统的过程中，确保移动a g e n t 不能干扰其它移动a g e n t 的执 行，也不能干扰a g e n t 平台的运行是人们最关心的问题之一。常用的方法是建立一 个参考监视器【1 1 】，即为每个移动a g e n t 和a g e n t 平台建立一个单独且隔离的域，严 格控制跨域访问。参考监视器具有如下特点： ( 1 ) 永远处于运行状态，是所有访问的中介； ( 2 ) 不能被篡改； ( 3 ) 易于分析和测试 参考监视器的概念起源于上世纪8 0 年代，它使用了许多传统的安全技术，其中 包括 ( 1 ) 隔离各个进程，区分用户进程和控制进程： ( 2 ) 计算资源的访问控制机制； ( 3 ) 加密要交换的信息： ( 4 ) 用加密的方法实现对用户，移动a g e n t 和a g e n t 平台的鉴定与授权 ( 5 ) 审查在a g e n t 平台中发生的与安全相关的各种事件 目前广泛使用的最新移动a g e n t 安全技术，绝大多数都是从这些传统的技术中 发展而来的。以下是现在常用的a g e n t 平台保护技术 2 2 1 i 沙箱技术 由于移动a g e n t 要在异构的网络中自主迁移，它必须具备跨平台运行的能力，所 以绝大多数系统都是用j a v a 语言开发的。在遇到安全问题时，很自然地要借助于j a v a 语言提供的沙箱技术。 类似于a p p l e t 的安全机制，a g e n t 平台限制移动a g e n t 访问本地资源的权限。就 好像运行在一个特定的箱子中，a g e n t 只能对a g e n t 平台施加有限的影响，破坏有限 的资源。 第二章移动a g e n t 安全迁移系统 2 , 2 1 2 安全代码解释 a g e n t 系统通常是用解释脚本或编译语言开发的【1 2 】。这样做的主要目的是使 a g e n t 平台可以在异构计算机系统上运行。安全代码解释的思想是，将那些有可能攻 击移动a g e n t 的命令以无害的方式执行，或者拒绝执行它。例如，被拒绝的可以是 执行以任意一串数据作为程序段的命令。j a v a 是目前使用最广泛的解释语言，它支 持代码的可移动性，动态代码下载，远程方法调用，对象序列化。它通过动态类型 检验来验证下载代码的安全性。在运行期还有相应的动态类型检验。 2 2 1 3 签名代码 保护a g e n t 系统最基本的技术是对代码及其它实体进行数字签名。主要目的是 确认代码来源和完整性。对代码进行签名的可以是移动a g e n t 创建者，使用者，以 及任何修改代码的实体。由于在大多数应用中移动a g e n t 是代表其用户执行任务， 所咀a g e n t 系统 1 3 ，1 4 ，1 5 冲的代码签名者一般是移动a g e n t 用户。 数字签名技术是与公开密钥基础设施紧密相关的。公开密钥基础设施为每个实 体颁发一个公开密钥证书，其中包括实体标识符及其公开密钥。通过单向散列函数 产生代码的消息摘要，并用签名者的私有密钥加密，就形成了数字签名。此后，将 移动a g e n t 代码、签名和公开密钥证书一起传递给接收方。接收方就可以通过签名 来检验代码来源的真实性。 这种方法只是保证代码来源的真实性，不能保证代码在执行过程中不产生错误。 2 2 1 。4 路由历史记录法 这种方法 1 7 ，1 8 1 为每一个移动a g e n t 维护一个可鉴别的路由表，记载该移动 a g e n t 经过的每一个a g e n t 平台。a g e n t 平台根据移动a g e n t 的路由记录确定是否允许 移动a g e n t 运行，以及需要对哪些资源进行保护。移动a g e n t 经过的每一个平台都要 向路由表添加一条签名的路由记录，其中包括本平台的i d 和下一个a g e n t 平台的i d 。 为防止路由表被篡改，在计算新路由记录并签名时要计算移动a g e n t 到达本平台之 前的所有路由记录的摘要。当a g e n t 平台接收到一个移动a g e n t 时，查看该移动a g e n t 路由表中的记录，或者检查每条路由记录的签名，确定a g e n t 经过的a g e n t 平台， 就可以确定该a g e n t 经过