趙明 嚴宏舉 韓進喜

摘要：針對移動代理的安全性問題，在已有移動代理研究的基礎上，研究了安全保護策略。對加密移動代理攜帶的重要數(shù)據(jù)信息，提出了信譽度的概念，根據(jù)需要將信譽度進行等級和操作權限確定，基于主機和移動代理構建雙向信譽度和安全校驗認證機制，根據(jù)信譽度等級確定是否為惡意主機或代理，以便進行接納和拒絕操作，實例證明了安全保護策略對移動代理安全的作用。

關鍵詞：移動代理；信譽度；信譽度等級；操作權限

中圖分類號：TP393文獻標志碼：A文章編號：1008-1739（2019）24-53-4

0引言

隨著計算機網(wǎng)絡技術的飛速發(fā)展，網(wǎng)絡所承載的業(yè)務也越來越多樣化，同時多樣化業(yè)務的需求也越來越多。移動代理技術因集異構、軟件、通信及分布計算于一身，能夠滿足多樣化網(wǎng)絡和業(yè)務的需求而被廣泛研究和應用。移動代理[1]是軟件代碼，且能夠攜帶任務自主移動，尤其能夠在異構跨域網(wǎng)絡上遷移，移動代理有目的的移動特性避免了持續(xù)連接所占用的帶寬資源和連接中斷或異常導致的網(wǎng)絡錯誤，提高了滿足多樣化業(yè)務需求的及時性和靈活性。同時，移動代理的跨平臺性和移動性也帶來一定安全隱患，包括目標主機和代理自身的安全問題，因此亟待解決移動代理的安全問題。

移動代理的安全問題[2]主要涉及如下4個方面：①遷移時網(wǎng)絡的安全問題；②移動過程中可能會受到其他惡意代理的攻擊問題；③與目標主機交互過程中可能給主機帶來的惡意攻擊和非法篡改問題；④移動執(zhí)行任務過程中可能遭受惡意主機的攻擊問題。

針對上述移動代理可能存在的安全問題，本文在已有研究成果的基礎上，進行了局部改進和完善，運用建立信譽度表技術，研究基于信譽度的安全保護策略，重點聚焦如何在目標主機和移動代理之間建立雙向信譽驗證和保護，進而保證移動代理在執(zhí)行任務時自身以及所處環(huán)境的安全可靠。

1移動代理的作用

協(xié)作性、快速反應性和易重構性[3]是移動代理的三大特性。移動代理能夠攜帶任務在異構網(wǎng)絡中自主地從源主機向目標主機移動，何時移動、何地移動都可以事先設定好。移動代理在執(zhí)行任務過程中，如果遇到網(wǎng)絡中斷可以根據(jù)要求掛起或中斷，等待網(wǎng)絡恢復正常后重新開始或繼續(xù)執(zhí)行任務。

移動代理的作用如下：

①降低網(wǎng)絡負載[4]。傳統(tǒng)的網(wǎng)絡管理中，管理系統(tǒng)要完成一項管理任務，需要在管理者和被管節(jié)點之間進行多次通信，進行多個問答操作才能完成。應用智能移動代理后，只要設定移動代理任務，將所要執(zhí)行的操作部署于任務代碼中，同時發(fā)送到被管節(jié)點，移動代理執(zhí)行完規(guī)定的操作任務后，攜帶執(zhí)行結果返回管理者。這樣大大減少了頻繁操作占用的網(wǎng)絡傳輸帶寬，降低了網(wǎng)絡負載。

②異步和自主執(zhí)行功能[5]。移動設備通常在網(wǎng)絡正常連接時進行工作，有些特定任務要求移動設備與網(wǎng)絡之間必須持續(xù)保持正常連接，但是網(wǎng)絡故障或中斷時有發(fā)生。要解決上述網(wǎng)絡難題，可以將所執(zhí)行的任務進行編碼注入移動代理中，任務可以設定起始節(jié)點、經(jīng)過節(jié)點、目前節(jié)點、所執(zhí)行路徑、何時開始、從什么地方開始及何時結束；移動代理可以自主異步執(zhí)行任務，而不受網(wǎng)絡中斷影響，再攜帶返回結果，上報移動設備。

③克服網(wǎng)絡時延[6]。很多應用對于網(wǎng)絡實時性要求非常高，移動代理能夠攜帶中央處理器的任務，基于設定路徑自主遷移到系統(tǒng)局部執(zhí)行，進而減少網(wǎng)絡時延，提供符合要求的服務。

④動態(tài)適應環(huán)境。智能移動代理能夠?qū)崟r感知運行環(huán)境并及時上報和處理感知到的變化。多個移動代理可以按需合理分布在網(wǎng)絡的不同地方，以便實時感知并進行快速處理。

⑤自然的異構性。開放分布網(wǎng)絡環(huán)境中無論軟件還是硬件設備大多是異構的。智能代理在執(zhí)行任務時僅依賴于自身攜帶代碼以及代碼的運行環(huán)境，與執(zhí)行任務的目標主機有關系，與所處網(wǎng)絡環(huán)境和傳輸層協(xié)議無關，因此能夠適應各種網(wǎng)絡環(huán)境，無論同構還是異構。

⑥協(xié)作性。在網(wǎng)絡管理中，涉及本域管理、跨域管理和全網(wǎng)管理問題，當管理范圍涉及到跨多個管理域時，管理中心需要在多個管理節(jié)點之間進行管理任務的規(guī)劃、分配和協(xié)調(diào)操作。智能移動代理具有協(xié)作性，可以代替管理中心在多個管理節(jié)點之間完成任務協(xié)作。

⑦健壯性和容錯性[7]。移動代理能夠在網(wǎng)絡中斷或故障時單獨執(zhí)行任務，等到網(wǎng)絡恢復正常時繼續(xù)執(zhí)行任務，且能實時感知網(wǎng)絡環(huán)境并進行及時處理，因此具有良好的容錯性，可以應用于要求較高的應用系統(tǒng)的建立中。

2移動代理安全問題

2.1安全威脅

在網(wǎng)絡中傳遞信息存在很多未知因素，因而當移動代理攜帶軟件程序在網(wǎng)絡中執(zhí)行任務時，存在很多安全威脅。

①被動攻擊[8]。在被動攻擊模式下，以竊聽模式最為常見，攻擊者的目標是企圖通過獲取代理程序中存儲并傳遞的敏感信息，從中提取對自己有用的信息。另一種模式是由于數(shù)據(jù)采用加密傳輸時，攻擊者無法得到想要的具體數(shù)據(jù)，所以往往攻擊者對截取的數(shù)據(jù)進行流量分析，通過分析通信頻度、交換數(shù)據(jù)的長度、通信雙方和接收方的IP地址等，進而獲取所需的敏感信息。

②主動攻擊[9]。主動攻擊包括2種方式：篡改數(shù)據(jù)和身份偽裝。篡改數(shù)據(jù)是指網(wǎng)絡層的數(shù)據(jù)包被截獲并修改甚至刪除，而用偽造的數(shù)據(jù)取代；身份偽裝是指攻擊者偽裝成系統(tǒng)中的合法參與者或使用者，冒充其截取并處理收到的數(shù)據(jù)。

③惡意主機[10]。移動代理所攜帶的軟件代碼需要在所經(jīng)過或到達的目標主機上運行，因此目標主機掌握所有的代碼和數(shù)據(jù)并可以隨意更改。如果目標主機是惡意的，或者該目標主機已經(jīng)被攻擊，那么這種惡意主機可以破壞或終止代理程序，進而影響或破壞所執(zhí)行的任務，代理所攜帶的任務信息也可以被刪除或篡改，造成安全隱患。

2.2移動代理安全機制

①對于移動代理傳輸中的安全問題，主要使用加密技術進行安全性保障。設計了類似于SSL的在傳輸層對網(wǎng)絡連接進行加密的安全協(xié)議，即將所有通信內(nèi)容封裝進行安全套接字處理，用一組對稱密鑰和加密算法加密通信內(nèi)容。加密的IP數(shù)據(jù)包仍有可能被截取，攻擊者無法識別和破解加密信息。加密方法可以采用128位密鑰的RC4算法，也可以采用1 024位密鑰的RSA算法進行會話數(shù)據(jù)交換。如果加密消息在傳輸過程中被截獲篡改或刪除，消息驗證碼都能識別并驗證。

②對于目標主機的安全問題，可以采用基于檢測的安全手段。檢測運行的目標主機是否安全，檢測移動代理的執(zhí)行路徑以及執(zhí)行結果，判斷其是否受到攻擊。

③對于移動代理本身的安全問題，提供了一套相關的算法來檢測移動代理是否安全可信賴，即為目標主機設定可信度表或其他安全規(guī)則，通過安全規(guī)則檢測驗證移動代理是否有違規(guī)行為。所有的移動代理必須遵守規(guī)定的安全規(guī)則，才能在目標主機上執(zhí)行任務。

總之，通過對移動代理本身、移動代理傳輸過程以及移動代理所執(zhí)行任務所需的目標主機進行系列安全限制和保護，使得移動代理、目標主機以及網(wǎng)絡環(huán)境均處于相對安全的環(huán)境中，適用于對數(shù)據(jù)傳輸保密要求比較嚴格的環(huán)境，如情報信息傳輸?shù)取?/p>

2.3安全策略

移動代理自身的安全策略[11]如下：

①信譽度的5個等級：{惡意，不可信，較可信，可信，絕對可信}；

②信譽度的數(shù)學表示：{-20，-1，0，1，20}與信譽度5個等級一一對應；

③MA_ID：移動代理標識，具有唯一性；

④HS：主機對自身信息的簽名，包括主機名、IP地址、硬件MAC地址；

⑤CN：校驗數(shù)；

⑥PK：公有密鑰；

⑦SK：私有密鑰；

⑧I：移動代理攜帶的重要數(shù)據(jù)和信息；

⑨移動代理操作權限RS：取值為1時表示只讀，取值為2時表示可設置。

設計的策略規(guī)則步驟如下：

①將移動代理攜帶的信息進行初始化賦初值，包括設定移動代理的操作權限、移動代理遷移路徑和執(zhí)行任務所涉及的目標主機等信息的設定和預置。同時對移動代理的任務數(shù)據(jù)和資料進行加密，加密SK（I），對隨機數(shù)加密PK（num），校驗數(shù)CN=SK（I）+PK（num），移動代理攜帶PK（CN）進行校驗。

②目標主機提供一套與它自身有關的安全規(guī)則，信譽度表存儲在目標主機中，根據(jù)信譽度評價結果執(zhí)行對應的接納或拒絕操作。

③移動代理的安全特性被創(chuàng)建者提取，驗證移動代理的安全規(guī)則，并生成相應的安全證書。

④生成的安全證書與移動代理被源主機一起送達目標主機。

⑤當移動代理到達目標主機后，目標主機首先進行校驗數(shù)CN的提取，根據(jù)公鑰PK進行解密，獲得校驗數(shù)CN，如果目標主機解密的校驗數(shù)與移動代理攜帶的校驗數(shù)一致，則目標主機根據(jù)移動代理的唯一標識號和源主機簽名，查詢所存儲的信譽度表，如信譽度表中存在該移動代理的信譽度，則接受移動代理的請求操作，反之則拒絕為移動代理提供運行環(huán)境。

⑥目標主機進一步查詢移動代理的操作權限，目標主機設置監(jiān)視器監(jiān)督移動代理的操作，如移動代理有超出權限的請求和操作，則拒絕相關操作，對應的當前信譽度值降一個等級并更新本地信譽度表；若沒有越限操作，則進行正常的交互請求。

⑦移動代理結束與目標主機的交互，按照規(guī)劃的遷移路徑繼續(xù)遷移到下一個目標主機。

通過基于信譽度的移動安全保護策略能夠構建代理和主機之間的雙向信譽度，明確了信譽度的評價標準和評價方法，較好地防護了惡意主機和惡意代理的侵害，保證移動代理能夠高效、安全地工作。

軟件的開發(fā)環(huán)境為開發(fā)語言JAVA；運行環(huán)境Windows XP操作系統(tǒng)或中標麒麟操作系統(tǒng)；數(shù)據(jù)庫為達夢數(shù)據(jù)庫。

3實例驗證

以某大型計算機網(wǎng)絡管理中心的管理為例，驗證移動代理的機制和作用，所有主機都處在一個已知的、絕對安全的網(wǎng)絡環(huán)境中，如VPN和公司內(nèi)部互聯(lián)網(wǎng)絡。此種網(wǎng)絡環(huán)境具有網(wǎng)絡規(guī)模相對較小和網(wǎng)絡環(huán)境絕對安全的特點。

起初設置所有主機和移動代理信譽度C=10，絕對可信。在移動代理移動中可以直接進行交互，減少信譽度認證和修改的時間，大大提高了整個網(wǎng)絡的效率。

圖1中4個主機H1，H2，H3，H4和一個移動代理MA1，信譽度都設置為絕對可信，移動代理和主機交互的安全得到保證，響應的執(zhí)行效率也大大提高，移動代理MA1由源主機H1發(fā)起，向目標主機H2移動。

移動代理攜帶的信息包括執(zhí)行任務所需的數(shù)據(jù)和初始化信息、設定的遷移路徑信息和操作權限信息。

工作流程如下：

①源主機H1給移動代理MA攜帶的信息賦初值，包括設定移動代理的操作權限、移動代理遷移路徑和所經(jīng)過的主機、對移動代理的任務數(shù)據(jù)和資料進行加密，加密SK（I），對隨機數(shù)加密PK（1 024），校驗數(shù)CN=SK（I）+PK（1 024），移動代理攜帶PK（CN）進行校驗。

②目標主機H1提供一套與其自身有關的安全規(guī)則，目標主機中存儲有信譽度表，如表1所示，不同的信譽度評價結果執(zhí)行的操作不同。

③移動代理的安全特性被其創(chuàng)建者所提取，并用安全規(guī)則進行驗證，生成相應的安全證書。

④安全證書與移動代理MA被源主機H1送達目標主機

H2。

⑤移動代理到達目標主機H2后，首先解密校驗數(shù)CN，根據(jù)公鑰PK進行解密，獲得校驗數(shù)CN，如果目標主機解密的校驗數(shù)與移動代理攜帶的校驗數(shù)一致，則目標主機根據(jù)移動代理的唯一標識號和源主機簽名，查詢所存儲的信譽度表，發(fā)現(xiàn)MA的信譽度為1，任務移動代理可信，接受移動代理的請求操作。

⑥目標主機H2進一步查詢移動代理的操作權限，發(fā)現(xiàn)移動代理的操作權限為只讀，開始與移動代理進行信息交互。

⑦目標主機H2通過監(jiān)視發(fā)現(xiàn)移動代理MA頻繁出現(xiàn)越限操作，且企圖修改或刪除目標主機H2的數(shù)據(jù)，目標主機H2立刻修改信譽度表，將移動代理MA的信譽度值置為不可信。

為了構建移動代理和主機之間的信譽度，通常設定目標主機的安全策略、雙向信譽度表和移動代理自身的安全保護策略。通過上述手段，保證安全運行環(huán)境和目標主機，防止了惡意主機和惡意代理的侵害，確保移動代理高效、安全運行。

4結束語

通過研究移動代理的安全性問題，分為移動代理自身、移動代理執(zhí)行的目標主機和運行的網(wǎng)絡環(huán)境3個方面，首先，針對移動代理自身對移動代理攜帶的重要數(shù)據(jù)信息進行加密保護；其次，在移動代理和目標主機之間建立信譽度表，在信譽度等級和相應的操作權限進行對照，構建主機和移動代理之間的雙向信譽度記錄和安全校驗認證；同時利用信譽度等級進行惡意主機或代理的判定，拒絕惡意主機和代理的操作請求，保護移動代理與目標主機信息交互的安全可靠?？傊ㄟ^移動代理本身、移動代理運行的網(wǎng)絡環(huán)境以及目標主機的系列安全規(guī)則，使移動代理更好地發(fā)揮作用，提升靈活性和可靠性。

參考文獻

[1]肖增良，樂曉波，周輝.基于與或依賴圖的多Agent系統(tǒng)任務分解算法[J].計算機工程與設計，2009，30（2）：426-428..

[2]劉曉明，黃傳河，江貝.一種基于移動Agent技術的網(wǎng)絡管理模型[J].計算機應用研究，2000（12）：52-53.

[3] Lennselius B，Rydstrom L.Software Fault Content and Reliability Estimations for Telecommunication Systems[J]. IEEE Journal on Selected Areas in Communications， 1990， 8（2）： 262-272.

[4] ThomasD，AnthonyS.EvaluatingthePerformanceofSoftware Reliability Models[J].IEEE Trans.on Reliability，1992，41（4）： 12-16.

[5] Zahedi F，Ashrafi N.Software Reliability Allocation Based on Structure Utility，Price and Cost[J].IEEE Transactions on Software Engineering，1991，17（4）：345-356.

[6] Beaumont O，Casanova H，Legrand A.Scheduling Divisible Loads on Star and Tree Networks：Results and Open Problems[J].IEEE Trans on Parallel and Distributed Systems， 2005，l（3）：207-218.

[7]朱淼良，邱瑜.移動代理系統(tǒng)綜述[J].計算機研究與發(fā)展， 2001（1）：16-25.

[8]劉波，李偉，羅軍舟，等.網(wǎng)絡管理中多agent的半在線調(diào)度算法[J].計算機研究與發(fā)展，2006（4）：571-578.

[9]王媛媛，譚獻海.移動代理系統(tǒng)———IBM的Aglets[J].微計算機信息，2006（9）：275-277.

[10]金黎黎，孔令富.協(xié)同設計環(huán)境中任務分解與調(diào)度的研究[J].計算機工程與設計，2009，30（22）：5291-5293.

[11] Waish T，Paciorek N，Wong D.Security and Reiiabiiity in Concordia[C]// Proceedings of the 31st Annuai Hawaii Internationai Conference on System Sciences，Kona，Hawaii， 1998，32（3）：22-26.