安全移動代理計算技術(shù)研究.pdf

1、與傳統(tǒng)的C/S模式相比，移動代理技術(shù)有很多優(yōu)點(diǎn)。但是移動代理的安全問題卻使移動代理技術(shù)在走向商業(yè)應(yīng)用的路上困難重重。究其原因是移動代理的安全問題缺乏合理的解決方案。目前，由于惡意移動代理對移動代理平臺的攻擊而引發(fā)的安全問題已經(jīng)引起了廣泛的關(guān)注，但是惡意主機(jī)對移動代理的攻擊而產(chǎn)生的安全問題還未引起足夠重視。一般的，針對移動代理系統(tǒng)安全的攻擊包括四種：移動代理攻擊主機(jī)、主機(jī)攻擊其他主機(jī)、移動代理攻擊其他移動代理以及惡意主機(jī)攻擊移動代理。針對

2、惡意主機(jī)攻擊，移動代理的安全問題主要包括兩類：代碼安全和運(yùn)行狀態(tài)安全，其中尤以運(yùn)行狀態(tài)的安全問題最具重要性和挑戰(zhàn)性。這是因?yàn)橐苿哟磉\(yùn)行時是完全處于主機(jī)控制之下，盡管主機(jī)無法阻止移動代理的遷移和運(yùn)行，但主機(jī)可以讀取移動代理數(shù)據(jù)，因此移動代理無法安全地持有密鑰因而也就無法通過加密的方式來保證計算結(jié)果的安全。這一類的攻擊種類很多，本文主要關(guān)注在惡意主機(jī)中移動代理計算結(jié)果的安全問題。
　　本論文首先概括性地介紹了移動代理的安全問題，總結(jié)

3、了當(dāng)前已有方案的特點(diǎn)和不足；基于數(shù)字水印技術(shù)和加密技術(shù)的研究，進(jìn)一步探討了惡意主機(jī)中移動代理計算結(jié)果防篡改技術(shù)；最后對提出方案進(jìn)行了評估，通過惡意主機(jī)中移動代理數(shù)據(jù)完整性的保護(hù)證明了本文方法的有效性。本文的主要貢獻(xiàn)在于：
　　提出了一種基于可逆水印的移動代理內(nèi)容認(rèn)證算法，首次將可逆水印應(yīng)用到移動代理安全中。盡管數(shù)字水印技術(shù)已經(jīng)廣泛應(yīng)用于數(shù)字媒體，但是由于移動代理和數(shù)字媒體的不同特點(diǎn)，將其應(yīng)用到移動代理中是比較困難的。我們首先將數(shù)字

4、水印應(yīng)用到ASCII碼數(shù)據(jù)中，然后將其他數(shù)據(jù)都轉(zhuǎn)化為ASCII碼表示方式從而解決了移動代理數(shù)據(jù)嵌入水印的問題。通過相反的過程，可以實(shí)現(xiàn)水印的提取。本文將提出的算法應(yīng)用在了票務(wù)預(yù)訂系統(tǒng)中，移動代理在系統(tǒng)中代表其所有者在主機(jī)間移動以獲取票價信息，然后將信息送回所有者的平臺上。實(shí)驗(yàn)結(jié)果表明，可逆水印可以在移動代理計算結(jié)果中可靠的嵌入和提取。通過在計算結(jié)果中嵌入可逆水印，不僅使惡意攻擊變得更加困難，也使計算結(jié)果更加安全。如果攻擊者修改了嵌入水印

5、的計算結(jié)果，移動代理返回主機(jī)后可以對篡改進(jìn)行檢測。同時，水印造成的失真可以被成功的恢復(fù)從而得到原始數(shù)據(jù)。盡管使用水印會增加執(zhí)行平臺和移動代理的計算負(fù)擔(dān)，但是這種負(fù)擔(dān)是可控的且不嚴(yán)重。
　　為了同時實(shí)現(xiàn)移動代理的真實(shí)性和有效性，提出了一種結(jié)合數(shù)字水印和數(shù)字簽名的方案，該方案不僅保證了移動代理的完整性，而且可以用來檢測對水印的刪除、篡改、拷貝等攻擊。本文結(jié)合了RSA數(shù)字簽名算法和多種散列算法如SHA-1、SHA-256以及SHA-51

6、2等，并從執(zhí)行時間、簽名時間及驗(yàn)證時間等方面對其進(jìn)行了對比，在student-t測試中比較不同散列算法的影響。
　　然后，本文提出了以目標(biāo)頭部密封與指針別名相結(jié)合的頭部密封曲線描述代理數(shù)據(jù)的方案。此方案利用類似PPCT的對稱數(shù)據(jù)曲線描述代理數(shù)據(jù)，并密封其頭部，從而能夠有效阻止對整個代理數(shù)據(jù)的修改/篡改。本文使用AES算法實(shí)現(xiàn)密封。
　　本文提出的模型已在票務(wù)預(yù)訂系統(tǒng)中實(shí)現(xiàn)。在該系統(tǒng)中，假設(shè)移動代理所有者欲購一張機(jī)票，他將機(jī)票

7、的需求描述告訴移動代理，移動代理得知信息后，被分派到提供票務(wù)服務(wù)的各航線主機(jī)，訪問各主機(jī)以獲取符合其所有者需求的票價信息。訪問結(jié)束后，移動代理返回所有者平臺，同時將計算結(jié)果反饋給其所有者。本系統(tǒng)分為以下四種不同類型的代理：MasterAgent—主代理、LocalAgent—本地代理、QueryAgent—查詢代理和DatabaseAssistantAgent—數(shù)據(jù)庫輔助代理。其中，主代理負(fù)責(zé)創(chuàng)建本地代理和查詢代理。本地代理工作在所有者

8、平臺，職責(zé)是對移動代理返回的查詢結(jié)果進(jìn)行過濾、提取水印、驗(yàn)證簽名等。查詢代理是被所有者派遣的代理，它的職責(zé)是根據(jù)所有者的需求，訪問各航線主機(jī)以獲取票價信息；同時，負(fù)責(zé)對計算結(jié)果嵌入水印，將嵌入水印的結(jié)果封裝成曲線表示形式，并密封曲線頭部。數(shù)據(jù)庫輔助代理負(fù)責(zé)向來訪代理提供服務(wù)，如數(shù)據(jù)庫連接、生成簽名密鑰以及AES加密等。每個航線主機(jī)都有其各自的數(shù)據(jù)庫輔助代理，負(fù)責(zé)與來訪的查詢代理進(jìn)行交互。系統(tǒng)已在IBMAglets上得以實(shí)現(xiàn)。IBMAgl

9、ets是一個基于Java的移動代理系統(tǒng)，采用了基于代理的事件驅(qū)動模型，提供創(chuàng)建并分派代理的基本功能。本文使用來自BouncyCastle的密碼學(xué)基礎(chǔ)支持，這是一個開源的項(xiàng)目，提供多種密碼學(xué)算法的支持，如散列算法、數(shù)字簽名等。
　　最后，對所提出的方案進(jìn)行了進(jìn)一步的性能評測和安全性評測。在性能評測中進(jìn)行了多種統(tǒng)計測試，這些方案引入了一定的額外開銷，但是試驗(yàn)結(jié)果表明可以根據(jù)不同的應(yīng)用要求使用不同長度的密鑰，從而控制這些開銷。通過采用提

10、出方案和不采用提出方案得到的執(zhí)行時間之間的比較，我們已經(jīng)證明執(zhí)行時間不會受到太多的影響。但是對于更大的密鑰數(shù)量執(zhí)行會占用額外的CPU周期。在安全性測試中，為了評估提出的方案，我們設(shè)計一個惡意主機(jī)。這種惡意主機(jī)開始一系列的對于查詢代理的攻擊從而防止它完成它被指派的任務(wù)。這樣的惡意主機(jī)設(shè)計作為移動代理數(shù)據(jù)完整性策略的評價還屬首次。這些攻擊包括如對結(jié)果的插入、篡改或者刪除。這些是在我們設(shè)置情況下最嚴(yán)重的攻擊形式。我們測試了完整性機(jī)制的多個安全

11、特征，并在存在惡意主機(jī)攻擊的情況下測試了這些特征，測試結(jié)果表明了本文提出方案的有效性，在其指導(dǎo)下進(jìn)行的若干改進(jìn)進(jìn)一步增強(qiáng)了移動代理的安全性和可靠性。另外，時間效應(yīng)也被模擬。結(jié)果顯示時間效應(yīng)會促使攻擊者插入/刪除/篡改若干結(jié)果。攻擊過程通過將其視為隨即統(tǒng)計現(xiàn)象而被模擬。對于移動代理水?。∕AW）我們將它模擬成為一個二項(xiàng)式隨機(jī)實(shí)驗(yàn)。實(shí)驗(yàn)的結(jié)果或者成功或者失敗。通過成功的實(shí)驗(yàn)我們認(rèn)為攻擊者能夠成功地插入或者刪除或者篡改結(jié)果。理論的和實(shí)驗(yàn)的二項(xiàng)

12、頻率分布的比較證實(shí)了我們的主張，那就是攻擊過程幾乎遵從給定的分布。對于移動代理水印密封（MAWE）我們將它模擬成為泊松隨機(jī)實(shí)驗(yàn)。這個實(shí)驗(yàn)的結(jié)果或者成功或者失敗。通過成功的實(shí)驗(yàn)我們認(rèn)為攻擊者能夠成功地插入或者刪除或者篡改結(jié)果。理論的和實(shí)驗(yàn)的泊松頻率分布的比較證實(shí)了我們的主張，那就是攻擊過程幾乎遵從給定的分布。對于移動代理頭部密封曲線，我們將它模擬成為泊松隨機(jī)實(shí)驗(yàn)。這個實(shí)驗(yàn)的結(jié)果或者成功或者失敗。通過成功的實(shí)驗(yàn)我們認(rèn)為攻擊者能夠成功地插入或

13、者刪除或者篡改結(jié)果。理論的和實(shí)驗(yàn)的泊松頻率分布的比較證實(shí)了我們的主張，那就是攻擊過程幾乎遵從給定的分布。
　　本文提出了多個提高移動代理計算安全性的改進(jìn)方案。然而，值得注意的是安全是一個演變過程。本文的測試結(jié)果表明并唯一確認(rèn)了移動代理數(shù)據(jù)完整性的安全問題。如果我們只采用數(shù)字水印技術(shù)，大多數(shù)的安全特性都能夠?qū)崿F(xiàn)。然而，不可否認(rèn)性和強(qiáng)前向完整性的安全特性很難保證。因此，我們將數(shù)字水印技術(shù)與數(shù)字簽名技術(shù)相結(jié)合。頭部密封曲線是一種基于預(yù)防