联动的安全移动代理系统模型

联动的安全移动代理系统模型 第5O卷第S1期 2004年1O月 武汉大学学报(理学版) J.WuhanUniv.(Nat.Sci.Ed.) Vo1.5ONo.S1 Oct.2004.l15,l18 文章编号:167i-8836(2004)S1-0115—04 联动的安全移动代理系统模型 王斌,盛津芳,陈松乔 (中南大学信息科学与工程学院,湖南长沙410083) 摘要:根据移动代理系统的3个基本安全需求:移动代理的安装安全,传输安全和执行安全. 基于Java技术 构造了由安装服务.安全服务和容器服务组成的联动安全移动代理系统模型.该模型可以利 用不同的安全服务提 供者提供的安全服务实现可插拔的安全模块. 关键词:联动安全移动代理系统;安全服务;容器服务;安装服务;可插拔安全模块 中图分类号:TP309文献标识码:A 0序言 移动代理本身的灵活性和自主性,使它为分布 式计算提供很多新的特点,比如:对低带宽和不稳定 Internet连接的容忍等,但是,同时它也为整个网络 体系带来了安全隐患.在面向实际应用的移动代理 系统的研究方面,目前已有很多研究成果,如:Ag- lets,AgentTcl,Concordia,Voyager和0dyssey 等.这些系统的安全性依赖于Java的安全模型或在 Java安全模型上扩展L1q].由于移动代理系统对主 机安全和代理安全的要求并不一致,甚至是对立的, 所以需要建立能够在移动代理整个生命周期内保障 移动代理及移动代理系统安全的模型.一个典型的 移动代理执行模型包括:初始,运行,空闲,挂起,移 动,固化和终止[4]. 由图1移动代理的执行模型可知:一个安全的 移动代理系统需要保证移动代理的执行安全,传输 安全和安装安全.移动代理的执行安全针对移动代 理生命周期中的运行,固化,挂起和终止状态;移动 代理的传输安全针对移动代理生命周期中的传输状 态;移动代理的安装安全针对移动代理初始状态.移 动代理执行安全有如下具体的要求:(1)移动代理 在执行的过程中不能威胁到移动代理系统的安全; (2)能够允许或者限制移动代理在系统中执行特定 的操作,例如:访问文件系统,访问网络或访问系统 服务,即提供一种将可信或不可信代理执行在一个 图1移动代理执行模型 “沙箱”环境中的能力;(3)移动代理系统应该具备 在系统出现异常的情况下,保存移动代理当前执行 状态的能力,既序列化的能力.(4)对于从不可信的 源发送过来的代理,即使在容器中执行,也能保证其 运行在一个严格限制的”沙箱”中. 移动代理传输安全有如下具体的要求:(1)保 证移动代理在传输过程中所携带的信息不会被截 取,篡改,即保证信息的完整性和机密性;(2)保证 移动代理的发送方对其发送的移动代理不可抵赖; (3)保证移动代理的发送和接收双方能够实现双向 信赖关系. 移动代理的安装安全有如下具体的要求:(1) 正在安装的移动代理的代码完整性必须要得到保 证;(2)对于远程移动过来的代理,要确保它的代码 的签名经过认证. 收稿日期:2004—04—28十通讯联系人 基金项目:高等学校博士点基金([20031172);中南大学青年基金资助 作者简介t王斌(1973一),男,博士,讲师,现从事程序挖掘研究. 武汉大学学报(理学版)第5O卷 根据移动代理的执行安全,传输安全和安装安 全,本文在第1节从以求解这3个问构造联动的 安全移动代理系统模型(JointSecurityMobileA— gentSystem,JSMAS);第2节阐述JSMAS的具体 实现机制;第3节给出了一个简单的模型;第4 节中给出本文结论. 1联动的安全移动代理系统模型 如图2可知,单纯的安全服务是不能保证移动 代理的3项安全的.移动代理的执行安全,传输安全 和安装安全应该通过3种服务的联动来保证.对于 基于Java技术或者是其他基于代码托管技术的程 序语言设计的移动代理平台,可以利用语言自身提 供的安全机制来实现初步的执行安全和安装安全, 同时,利用现在成熟的安全技术来设计增强的安全 措施.基于上述思想,给出图3所示的基于Java的 安全移动代理系统的软件层次结构图. 图3中,安全移动代理系统的3个联动的容器 服务,安全服务和安装服务,需要利用到Java自身 的安全及其对安全的扩展L5]:Java安全模型(Java SecurityModel,JSM)可以为移动代理提供一个有 效的安全执行和安装环境;Java密码扩展(Java CryptographExtension,JCE),Java安全套接字扩 展(JavaSecuritySocketExtension,JSSE)以及Ja— va认证和授权服务(JavaAuthenticationandAu— thorizationService,JAAS)和Java的通用安全服务 (JavaGeneralSecurityService,JGSS)可以为移动 代理提供保证机密性和完整性的通信和代理传输服 图2移动代理三类安全问题的投影解空间 IJSM Java虚拟机 操作系统 图3基于Java的安全移动代理系统软件层次结构 务;Java认证路径(JavaCertificationPath,JCP)提 供了移动代理系统间建立信任关系的类库. Java自身的安全性及其对安全的扩展为构造 联动的,在移动代理全生命周期的安全模型提供坚 实的支持.在这个基础上本文构造了如图4所示的 联动的安全移动代理系统模型JSMAS. JSMASAt > 信f】{关系7 JSMASBjr >(密仝日B藩 图4联动的安全移动代理系统模型JSMAS 1.认证移动代理的安装代码;2.安装移动代理}3.执行; 4.认证可执行的移动代理代码}5.为移动代理提供认证}6.为 移动代理提供认证;7.安全传输 下面介绍图4中联动的安全移动代理系统模型 中主要组成元素: (1)安装服务.安装服务负责安装或者卸载移 动代理的代码到JSMAS中的指定目录中,安装服 务和安全服务一起对移动代理的代码认证签名; (2)安全服务和安全通道.安全服务用来维护 移动代理的角色,凭证和信任关系.虽然每个 JSMAS中只能存在一个安全服务,但是,安全服务 之间可以建立起信任关系,提供联邦的,分布式目录 服务或者是认证服务.除了对移动代理提供认证功 能以外,安全服务还能够提供登录模块,安全通道和 对JSMAS系统攻击的审计功能.安全通道为移动 代理间的通信以及移动代理在不同JSMAS间移动 提供了完整性,保密性以及不可抵赖等功能. (3)容器服务,执行容器和保护域.容器服务将 经过了安全服务认证的移动代理代码提交到执行容 器中去执行.不同的移动代理具有不同的安全策略, 安全策略定义了移动代理需要遵守的一些安全许可 (SecurityPermission,SP),这样移动代理就会在不 同的安全上下文(Context)——保护域(ProtectDo— main,PD)中执行.保护域之间可以重叠,这样不同 第S1期王斌等:联动的安全移动代理系统模型 的移动代理有可能具有部分相同的执行能力.执行 容器内会有相应的容器安全管理器(SecurityMan— ager)和安全服务联动来实施对可执行移动代理jar 文件签名的验证. 下面通过一个示例来阐述JSMASA的MAi和 JSMASB中的MAi在他们的生命周期内,由安装服 务,安全服务和容器服务实施的联动安全保障. 首先,MA_要将自己的代码(jar)文件通过安装 服务装载到JSMAS平台指定的文件目录中,并被 容器服务提交给执行容器中,就必须要由安装服务 请求安全服务来认证移动代理的安装代码(如图4 中1,2). 执行容器中的移动代理,会被容器的安全管理 器根据它的安全策略文件,在具体的保护域中执行. 当MAi要对操作系统中的敏感资源进行访问,如访 问文件系统,网络等.容器的安全管理器会请求安全 服务对可执行的移动代理代码的安全许可进行认 证,防止执行过程中发生移动代理对JSMAS和主 机的攻击(如图4中3,4). 当JSMASB中的MAi要和JSMASA中的 MA.通信的时候,安全服务中的安全连接服务为移 动代理建立安全通道.通过该通道的通信和移动代 理的传输是完整的,保密的和不可抵赖的. 2安全实现机制 1)移动代理安装安全 移动代理的安装安全用来控制移动代理在安装 到JSMAS中之前对代码进行鉴别.通过请求安全 服务对要安装的jar文件的签名进行认证.这个过 程不能提供对任何移动代理执行安全的保障. 如图5所示,移动代理被JSMAS用户或者其 他代理软件提交给安装服务安装.安装服务获取对 移动代理的jar文件签名的证书,并请求安全服务 确认证书.如果通过验证,那么将解析移动代理的安 全策略,确认它符合JSMAS的系统安全策略.最 后,向JSMAS用户或者其他代理返回安装成功或 JSMAS用户或代理I安装服务移动代理jar安全服务 1.安装移动代理 2获取证书 3.确认证书 4.解析安全策略 5.成功/失败l 图5移动代理安装过程示意图 失败的消息. 2)移动代理执行安全 执行容器为每个移动代理提供了一个受限的执 行环境.通过配置java的安全策略要求要加载类的 jar文件进行签名,通过安全服务验证jar文件的签 名.当加载一个类的时候,java环境检查字节码的完 整性和有效性.在移动代理执行期间,每个调用的方 法都会引发执行容器的安全管理器对许可的检验. 执行容器的安全管理器把自己的安全策略和移动代 理的安全策略进行比较,以确定移动代理的某个方 法调用是否能够被执行. 3)移动代理传输安全 移动代理传输安全分为4个部分:安全通道的 建立,目标移动代理的安全认证,源移动代理的安全 认证以及安全传输.JSMAS中将代理间的通信和代 理的移动抽象成为一类操作,只要在移动代理间建 立了安全通道,移动代理就能够在安全通道中传输 信息或者移动.不同的是目标移动代理是一个特殊 的代理,它负责接收源移动代理序列化后的数据.下 面介绍安全通道的结构(图6). 源移动代理目标移动代理 匾安全通道 图6移动代理通信安全通道结构 安全通道是基于RMI技术构造的接口,在接口 中定义安全通道建立需要的安全通道,以及作 为源和目标移动代理的Proxy的定义.源移动代理 和目标移动代理在通信之前必须要建立安全通道. 保证在通信过程中信息的完整性和保密性. 目标移动代理和源移动代理的认证过程基本上 是一样的,只是作为目标移动代理,它是作为服务的 提供者的身份出现的,而源移动代理是作为服务的 使用者的身份出现的.由于不同的JSMAS间的安 全服务间建立的是双向信任关系,所以,不论是目标 移动代理还是源移动代理在安全通道建立以后,必 须要被各自的安全服务进行认证.认证成功后的目 标移动代理作为服务提供者等待作为服务使用者的 源移动代理调用自己提供的服务,如:发送消息或者 传输移动代理本身. 每当源移动代理调用目标移动代理上提供的发 送消息或者传输移动代理本身代码方法的时候.数 据在传输之前被加密,在传输以后数据被解密.解密 后的被传输对象,被目标JSMAS容器的安全管理 118武汉学学报(理学版)第5O卷 器实施安全性检查,如果通过安全性检查,那么,目 标移动代理中的方法被执行,实现代理间的通信或 移动代理的传输. 3联动安全模型分析 联动安全模型考虑到了利用Java本身的安全 模型和扩展的安全类库来保证移动代理的3项安全 需求:移动代理的安装安全,传输安全和执行安全. 该联动模型能够保证移动代理本身的安全以及防止 移动代理对主机的攻击行为.当JSMAS出现运行 异常的时候,移动代理的执行容器能够利用序列化 的能力将正在执行的移动代理持久化到硬盘上,并 进行日志,从这个角度来说是JSMAS对来自外界 的攻击进行了消极防御. 由于JSMAS是基于Java技术构造的,所以,它 可以利用第三方提供的安全服务——安全类库,进 行数据的加密,解密,摘要和实体的认证过程.当某 个安全服务不能提供足够的安全强度的时候,可以 利用其他的安全服务提供商提供的安全服务进行替 换,而不改变JSMAS的框架结构,实现了可插拔的 安全模块的集成. 4结论 本文基于Java技术提出了联动安全的移动代理 系统模型JSMAS,在该模型中利用移动代理的安装 服务,容器服务和传输服务的联动来保证移动代理的 安装安全,执行安全和传输安全.联动模型能够保证 移动代理本身的安全以及防止移动代理对主机的攻 击行为.但是,对于其他系统对JSMAS的攻击只能进 行消极防御.在JSMAS中可以利用不同的安全服务 提供者提供的安全服务实施可插拔的安全模块. 参考文献: Eli刘岩,郑燕飞,马范援.移动代理系统安全框架[J]. 计算机工程与应用,2003,39(1):170-172. LiuYan,ZhengYan-fei.SecurityFrameintheMobile AgentSystem[J].ComputerEngineeringandAppli— cations,2003,39(1):170-172(Ch). [2]王汝传,赵新宁,王绍棣,等.基于网络的移动代理系 统安全模型的研究和分析[J].计算机学报,2003,26 (4):477-483. WangRu-chuan,ZhaoXin-ning,WangShao-di,eta1. AnalysisandResearchofMobileAgentSystemSecuri— tyFrameworkBasedNetwork[J].ChineseJournalof Cornputers,2003,26(4):477-483(Ch). [3]MagninL,PhamVT,DuryA,eta1.OurGuest AgentsareWelcometoYourAgentPlatforms[A]. Proceedingsofthe2002ACMSymposiumonApplied Computing[C].NewYork,USA:ACMPress,2002. 107-114. [4]XuKe-gang,ZhangYao-xue,WeiZi-zhong.PMMAP: AMobileAgentsPlatformforProgramMining[A]. InternationalConferenceonComputerNetworksand MobileComputing(ICCNMC’O1)[C].Beijing:Octo- her,2001. [5]SUNInc.,SecurityandtheJavaPlatform[DB/OL]. ;r,/一,2004一Ol一08. JointSecurityMobileAgentSystemModel WANGBin,SHENGJin-fang,ChenSong-qiao (InstituteofInformation&Engineering,CentralSouthUniversity,Changsha410083,Hunan,China) Abstract:Thesecurityproblemofmobileagentsystemisthemainfocusinitspracticalapplications. Thispaperproposesthreerequirementsformobileagentsecurityandhostsecurityinmobileagentsystem. Theyaresecurityrequirementsformobileagentinstallation,transportationandexecution.Aimingatthe threerequirements,weconstructajointsecuritymobileagentssystemmodelbasedonjavatechnology, whichconsistsofthreejointservicesnamedasinstallingservice,securityserviceandcontainerservicere- spectively.Thismodelcanimplementpluggablesecuritymoduleusingsecurityservicesprovidedbydiffer— entsecurityserviceproviders. Keywords:jointsecuritymobileagentsystem;securityservice;containerservice;installationserv— ice;pluggablesecuritymodule