移动Agent系统支撑课件.pptx

1、问题的产生具体安全问题解决方案212/15/2022 ,2蠕虫病毒：年月 年月蠕虫事件 年月 爱虫()事件 移动代码机制是安全问题的缘由 是一种“经过科学研究”而形成的“病毒”？一个运行于开放、动态网络环境中的封装良好的计算实体，它代表用户自主地在网络上移动，完成指定的任务。312/15/2022 ,3单机平台的安全：基于的假设：封闭静态可跟踪可集中管理412/15/2022 ,4网络平台安全新特征：程序难追踪 ;,无意的破坏大量的交互造成安全新特点没有集中管理跨网络、全局性512/15/2022 ,5HomePlatformPlatformNetworkAgentAgentAgentPlat

2、form612/15/2022 ,6移动环境中的安全问题保护主机利用主机上安全设施的不足或缺陷发起针对主机的攻击 保护自我保护保护来访可能会利用系统的缺陷对在主机上运行的其它进行攻击 保护网络12/15/2022 ,7攻击主机伪装一个把自己装扮成另一个用户的用其它合法用户的身份越权访问将恶意行为归罪于别的用户 拒绝服务占用主机过多的资源无法为其它服务有意无意造成未授权访问 利用平台不完善的身份验证机制越权访问812/15/2022 ,8攻击其它伪装、未授权访问、拒绝服务和抵赖利用平台缺陷攻击其它类似于攻击平台912/15/2022 ,9平台攻击窥视代码：逆向工程，得出的意图和功能数据：执行状态

3、、用户的私人秘密信息、工作数据 控制流：监控操纵：代码：永久植入、暂时植入，改变能力数据：破坏控制流：扭曲行为1012/15/2022 ,10平台攻击不正确执行代码返回错误结果伪装拒绝服务窥视、操纵交互攻击网络消耗资源1112/15/2022 ,11分析及对策攻击平台分析：身份隐藏越权对策：身份认证授权访问控制1212/15/2022 ,12攻击其它分析：和攻击平台类似历史证据对策：认证、授权、监控历史信息记录1312/15/2022 ,13平台攻击分析：对平台全开放对策：加密密闭混淆转移1412/15/2022 ,14攻击网络分析分布式管理困难资源使用对策付费使用资源1512/15/2022

4、 ,15安全传输技术：防窃听防篡改16信信源源接收接收者者明文传输明文传输公开信道公开信道窃听机密窃听机密篡改信息篡改信息12/15/2022 ,16防窃听：加密技术17信信源源加密编加密编码器码器明文明文m解密编解密编码器码器密文密文c接收接收者者明文明文m公开信公开信道道密钥k密钥k?12/15/2022 ,17对称密钥和非对称密钥对称密钥：加密、解密的密钥相同非对称密钥：密钥产生由公钥和私钥组成公钥：公开。私钥：绝密公钥和密钥可以不同方向成对使用18信源信源加密编码加密编码器器明文明文m解密编码解密编码器器密文密文c接收接收者者明文明文m公开信道公开信道密钥k密钥k12/15/2022

5、,18加密使用保密：19信信源源加密编加密编码器码器明文明文m解密编解密编码器码器密文密文c接收接收者者明文明文m公开信公开信道道B的公钥B的私钥12/15/2022 ,1912/15/2022 ,20信源信源接收接收者者M：EB的公钥(下面的交谈内容我将采用 12345(随机产生)为对称密钥)M:EA的公钥(好的，下面的交谈采用 12345为对称密钥)在公共信道上采用在公共信道上采用1234512345进行加密通信进行加密通信防篡改：21信源信源接收接收者者在公共信道上采用在公共信道上采用1234512345进行加密通信进行加密通信篡改破坏仍然有效篡改破坏仍然有效12/15/2022 ,21

6、数字签名22文件源摘要报文传输报文摘要密文A私钥加密文件源摘要密文摘要摘要A公钥解密比较是否一样加密后的摘要称为数字签名12/15/2022 ,22数字签名产生报文摘要用私钥加密摘要数字签名同时传送报文和摘要密文用公钥解密摘要密文并比较摘要原文2312/15/2022 ,23研究现状基于软件的错误隔离保护主机用软件将有安全隐患的程序隔离成独立区域，将这个区域映射为独立的虚拟地址空间“沙箱”()技术解释执行代码保护主机安全特性语言解释器添加安全设施2412/15/2022 ,24带数字签名的代码保护主机可以证明代码或者数据的来源能防止抵赖能确保信息的完整性 微软公司的公司的,2512/15/20

7、22 ,25状态评估函数保护主机代码中的一部分，用数字签名防止被修改给定的状态空间，给定一定的状态特征不变式接受节点通过该函数判断该数据是否被篡改过了，进而主机以此为依据分配给访问资源的权利不满足：主机将不会给分配任何资源；只违反了一些条件因子()：可以给一些受限制的资源。缺陷：状态空间可能较大不变式和条件因子设定困难 2612/15/2022 ,26携带证明的代码（）保护主机接受者制定一系列安全策略携带一个证明器 证明器可以证明的行为可以满足上述安全策略接受主机先验证后“放行”2712/15/2022 ,27相互记录旅行历史保护防止恶意主机的攻击由两个合作记录旅行历史信息缺陷：恶意主机的串通

8、无法避免建立安全通道困难2812/15/2022 ,28的复制和投票保护一个任务由多个同时去完成结果由这些投票产生通过足够的冗余防止主机的破坏缺陷：消耗过多的资源2912/15/2022 ,29执行跟踪保护白色语句 黑色语句执行记录：序列。其中：是语句标识，是语句执行结果的数字签名为白色语句时，为空，否则，是该黑色语句执行后结果的签名3012/15/2022 ,30加密函数计算保护直接对加密的数据进行处理，得到的结果仍然是加密的()():是一对加解密函数原理简单，实现困难3112/15/2022 ,31混淆代码保护有限的时间内无法破译时间有关的安全保密缺乏数学基础 32Mess-up Algo

9、rithmOriginal AgentBlackboxed AgentRandom Parameters12/15/2022 ,32v现状现状v在现代分布式系统安全基础上进行了大量在现代分布式系统安全基础上进行了大量研究，取得了一些成果，特别是保护主机研究，取得了一些成果，特别是保护主机目前做得最好目前做得最好v许多方法较为新颖，但实用性还有待改进许多方法较为新颖，但实用性还有待改进v一些困难的问题，如移动环境下的数字签一些困难的问题，如移动环境下的数字签名、保护等仍然没有好的方法名、保护等仍然没有好的方法3312/15/2022 ,33系统安全设计目标保密性移动之间通信应保密移动移动时应保密

10、站点和上的数据应保密完整性受保护的数据不能被破坏或修改可用性主要针对拒绝服务系统性千里长堤，毁于蚁穴3412/15/2022 ,34安全关注系统安全结构安全传输通道通信安全传输安全节点安全信任传递认证、授权及其访问控制网络保护付费使用资源3512/15/2022 ,3536访问控制访问控制密写操作密写操作安全传安全传输通道输通道密钥密钥DB授权授权安 全安 全策策 略略货币货币DB货币货币DBMogent银行银行中心中心密钥管理器密钥管理器电子货币电子货币中央发行银行中央发行银行12/15/2022 ,36安全传输通道安全体系的核心：保护站点，其它，通信授权基于信任的授权模型，保护站点访问控制

11、：电子货币网络保护为电子商务应用提供基础3712/15/2022 ,37安全传输通道38mogent user/servermogent server !钟?；鵍濉议棖螠術What are they talking about?eavesdropper in the corner12/15/2022 ,38确保传输的保密性和完整性类似的协议运用、等成熟的现代密码学技术3912/15/2022 ,39安全传输通道实现方式对称密钥 密钥确定不易非对称密钥安全问题性能问题两阶段握手非对称密钥方法确定对称密钥对称密钥进行安全传输4012/15/2022 ,40安全传输通道41 公开密钥身份认证商定密钥

12、12/15/2022 ,41授权和访问控制授权是给一个用户的设置可访问的资源平台的管理者和用户之间的信任关系的发送者管理者自身旅行中其它服务器上的用户4212/15/2022 ,42基于信任传递的授权模型节点保护措施身份认证授权访问控制在移动环境中的不足43 Friendly Host 12/15/2022 ,43基于信任传递的安全模型44 From:A To:BFrom:A To:BFrom:B To:CFrom:A To:BFrom:B To:CFrom:C To:I依依I给给A,B,C的 访 问 权 限的 访 问 权 限之之交集交集给给m授授权权12/15/2022 ,44分析：访问过的

13、主机信息必须予以保护使用联锁（）机制在没有协作的恶意情况下防止篡改和其它方法相比安全保障程度更高不足：缺乏柔性4512/15/2022 ,4546本节点地址本节点地址下一节点地址下一节点地址数字签名数字签名202.119.36.173202.119.36.174202.119.36.174202.119.36.175202.119.36.175202.119.36.17612/15/2022 ,46基于信任传递的安全模型再思考：通过认证确认身份及旅行路径授权依赖于所经历的节点路径旅行历史保存授权节点（目的节点）必须“认识”旅行历史上列示节点，必须制定有相应的授权策略授权算法思想是对路径上所有节

14、点的授权策略求交集，这种“绝对的”安全思想缺乏柔性，对分布应用系统的有效运行不利。4712/15/2022 ,47从安全到信任静态到动态简单到灵活绝对到相对客观到主观4812/15/2022 ,48信任的显式提出给我们带来了什么？根据信任的度进行授权，给我们带来了授权的柔性计算伙伴的信任度，在安全策略基础上，根据信任度进行授权计算根据信任的推荐和传递，给我们带来了授权的科学性陌生伙伴不再是授权的“空白”丰富了安全的含义绝对好 足够好4912/15/2022 ,49(,),.5012/15/2022 ,50信任度：到之间的变化这种变化：反映了一个实体在不同的环境、应用、时刻下安全特性的变化给我们

15、带来了根据变化进行授权的柔性可能信任度的度量单个实体的信任度的度量由多个实体构成的系统的系统信任度的度量5112/15/2022 ,51主观性：信任不是一个客观的属性，评价方的主观意识将影响信任评估，如：不同的个体对同一事物的看法会受个体喜好等因素影响可能性预测：信任的程度可表示为对事件发生的概率的可能性估计信任的衡量包括多方面的因素信任衡量方自身的好恶相应软件实体的以往使用经验来自他人的对软件实体的推荐5212/15/2022 ,52内容相关：信任是对事物的某个方面（如完成某项任务的能力）而言的服务提供者提供服务在不同的环境中关键程度不一样也会导致信任度的不一致5312/15/2022 ,5

16、3在不同的环境、不同的应用、不同的合作伙伴的合作中，张三进行了行为若干次，既有成功、也有失败。李四需要服务。李四在寻找合作伙伴中，对张三进行考察定义对张三做行为的预期：如果让张三做，要求其成功率大于 张三做的成功率大于（命题）李四对该命题进行判断采用假设检验方法进行判断如果，判断出“该命题为真是小概率事件”，则该命题不成立，确认张三不可信。信任度：该命题为真的概率5412/15/2022 ,54信任的分类直接信任来源于直接经验推荐信任来源于间接经验5512/15/2022 ,55信任关系计算:客观经验：选择实体通过自身的使用或通过推荐实体的推荐所获得的对协作实体使用情况的记录主观评估：采用概率

17、统计中假设检验的理论，为信任判断提供量化依据主观参数：假设成功概率5612/15/2022 ,56安全管理的一种方法比较具有柔性动态评估但不严格评估标准可以加入主观意识5712/15/2022 ,57访问控制根据授权信息实时地监视对系统资源的访问，判断访问是否允许，如果可以就继续执行，否则抛出异常，终止对资源的访问计费任务：在访问之前，要根据现有的货币量和待访问资源的价格判断它是否有支付能力，如果有，就把将要访问的资源的信息计入的账单，在运行结束后一起结算。5812/15/2022 ,58电子货币目的：促进开放、保护网络、抗御攻击准备电子商务应用货币格式发行者对上述数据的数字签名，防止伪造和非

18、法篡改发行银行确保其发行的每一货币序号的唯一性，并记录下每一货币的使用情况，防止多次使用。为简单起见，系统目前只支持一家货币发行银行。59持有者持有者 发行者发行者 发行日期发行日期 货币序号货币序号 面值面值 数字签名数字签名12/15/2022 ,59支付协议60 电子货币发行银行1 电子货币电子货币&帐单帐单2 转账3 新的货币和零钱4 零钱零钱,发票发票12/15/2022 ,60系统系统认证认证授权授权传输通道传输通道代码数字签名代码数字签名AgletsDomainauthenticationGUI_CustomizableSymmetricalgorithmsNoConcordia

19、identityencryptedpreference fileSSL ProtocolNoGrasshopperX.509certificatesGUI-customizablesecurity preference.SSL ProtocolYesOdysseyNoNoNoNoVoyagerNoVoyagerSecurityManager classNoNoMogentX.509certificatesGUI_Customizable,Travel History InfoBasedSSL-likeProtocolYes6112/15/2022 ,61容错：容许系统在运行过程中发生一定的差错

20、或者故障时仍能保持正常工作而不影响正确结果的一种性能或措施 容错是系统可靠性研究的重要方面6212/15/2022 ,62网络连接移动系统容错模型：63主机(硬件,OS,解释器,各种资源)移动agent平台 资源包装器Agent应用Agent应用连接不正常，断开、拥塞主机崩溃服务崩溃工作失常12/15/2022 ,63研究约束：采用模型当发生无法克服的错误时，程序将中止运行，而不会执行错误动作，产生负面影响，同时这种中止将从下一层传播到上一层。可靠的通讯信道可靠指通过信道传输的消息数目、顺序和内容都不会遭到破坏，而且消息一定能到达目标地址。基于连接的协议，如协议都能满足这些要求。12/15/2

21、02264 ,研究约束：在发生错误后，主机和网络连接等终将恢复正常，但不限定它们的恢复时间。资源和服务本身具有容错能力，在发生错误时能向请求者报告，资源请求者也需要考虑这一点。应用程序都应该有良好的程序质量，经过测试，没有程序错误，且可以处理各种异常。6512/15/2022 ,65 ：因传输等故障，经容错处理后，一个逻辑上只能到达并执行一次的被先后发送多份至同一节点并都得到了恢复执行66AAA12/15/2022 ,66之执行模型：的执行是一个的序列进入某一站点即开始了一个,离开该站点则结束上述.每个包含一个结点和若干个结点结点是该的主要工作结点结点负责对结点的监测，是结点的备用结点.相邻两

22、个之间设置有消息队列缓冲机制缓冲6712/15/2022 ,67执行模型68Stagei+1Stagei消息队列消息队列12/15/2022 ,68当一个按旅行计划准备进入下一时,本身(代码及状态)被送入上述消息队列中进行缓冲.下一的首先从该队列中取出并恢复执行.69putget 12/15/2022 ,69所有监视在上的执行,发现故障后将通过”投票”选举”出的替身,从消息队列中取并恢复执行7012/15/2022 ,70其它容错处理方法相似的模型在某一上的所有结点上并行执行.迁移动作也是迁移到下一的每一个结点.基于的事务处理模型中,提出了,用监测来判断和处理故障,但只给出了概念模型,并没有相

23、关的算法和实现.特殊系统结构上的容错机制,该系统结构下,一个由若干个通过可靠的连接的主机构成,同时提供()对任意上的的执行进行跟踪并在发现中某主机故障时进行处理.但该机制对及相关的通讯的高可靠性的假设是不令人信服的.7112/15/2022 ,71其它容错处理方法后卫：在迁移动作发生之前创建一个后卫(),监测并处理迁移后的的执行和故障处理.“进程二元组”或”处理机制.主进程在执行过程中不断地将信息交给进程,当主进程发生故障时进程即可从最近处恢复执行.7212/15/2022 ,72系统容错考虑基于复制和事务的移动平台容错借助的环境适应性开展的容错基于复制和事务的移动平台容错:检查点是一种实现错

24、误恢复的有效途径一个的检查点是其在某一时刻的状态快照，可以根据某时刻作的检查点把重新恢复成和当时相同的状态并且通过在多个节点上保存检查点副本，使得某节点失败后可以在其他节点上根据保存的检查点副本恢复的运行 7312/15/2022 ,7374错误种类后果检测处理主机崩溃 平台崩溃及所有丢失由检测 重启主机，恢复平台崩溃主机上所有丢失由检测 恢复平台运行，由恢复12/15/2022 ,7475主机上的失败丢失由平台检测 平台通知，确定检查点，选择恢复网络连接失败平台以及均不可达由检测 类似主机崩溃处理崩溃可能导致备份数据不一致由备份检测备份自动升级成，通知所有的主机，产生一个新的备份12/15/

25、2022 ,75：协调事务处理机制迁移事务封装借助的环境适应性开展的容错旅行计划中的卫士条件判断方式的冗余容错7612/15/2022 ,76Mobile Agent PlaceMobile Agent Place NetworkMobile Agent Server77迁移支撑子系统通信协作支撑子系统安全管理子系统监控子系统12/15/2022 ,77比较蠕虫病毒和移动的异同移动系统的安全包括哪几个方面？解释的工作原理简述系统中采用的联锁机制的优缺点如何借助的环境适应性开展容错？7812/15/2022 ,78李新，吕建，曹春，冯新宇，陶先平.移动Agent系统的安全性研究，软件学报 vol

26、.13,no.10,2002Michael S.Greenberg and Jennifer C.Byington,Theophany Holding,David G.Harper,Mobile Agents and Security,IEEE Communications Magazine,July 1998N.Borselius,Mobile agent security,Electronics&Communication Engineering Journal,October 2002,Volume 14,no 5,IEE,London,UK,pp 211-2187912/15/2022Institute of Computer Software,Nanjing University79