從系統(tǒng)整體安全的角度，提出一種面向大規(guī)模網(wǎng)絡(luò)應(yīng)用的移動(dòng)主體系統(tǒng)安全機(jī)制方案。該方案采用基于混合加密的雙向認(rèn)證技術(shù)解決移動(dòng)主體系統(tǒng)的局部安全問題，通過各級(jí)移動(dòng)主體安全管理平臺(tái)完成密鑰的分配與管理，并對移動(dòng)主體的遷移進(jìn)行合理的任務(wù)分配與調(diào)度，通過任務(wù)傳遞模式解決移動(dòng)主體的跨網(wǎng)段安全遷移問題，這些措施較為全面的解決了當(dāng)前移動(dòng)主體系統(tǒng)的整體安全問題。而且由于采用層次化的系統(tǒng)結(jié)構(gòu)和管理模式，使得該方案非常適合當(dāng)前面向大規(guī)模網(wǎng)絡(luò)的應(yīng)用開發(fā)。
關(guān) 鍵 詞 身份認(rèn)證; 移動(dòng)主體; 網(wǎng)絡(luò)應(yīng)用; 安全機(jī)制

移動(dòng)主體(Mobile Agent，MA)技術(shù)[1]所具有的良好特性為基于網(wǎng)絡(luò)的應(yīng)用提供了許多新的技術(shù)解決方案。但移動(dòng)主體技術(shù)的推廣在很大程度上受移動(dòng)主體安全問題的制約[2]。移動(dòng)主體需要移動(dòng)到主機(jī)上并執(zhí)行相應(yīng)的代碼，但移動(dòng)主體和服務(wù)設(shè)施又都不能完全準(zhǔn)確地預(yù)見相互的行為及后果，所以移動(dòng)主體系統(tǒng)的安全機(jī)制必須是雙向的，即服務(wù)設(shè)施和移動(dòng)主體既是安全策略的實(shí)施者，同時(shí)又是被實(shí)施的對象。
從現(xiàn)有的移動(dòng)主體安全問題解決方案[2-9]來看，在保證MA對某個(gè)MA平臺(tái)進(jìn)行訪問時(shí)的雙方安全，即解決局部安全問題時(shí)是卓有成效的。但對于解決具有分層網(wǎng)絡(luò)結(jié)構(gòu)、包含大量節(jié)點(diǎn)、建立在移動(dòng)主體技術(shù)上的應(yīng)用系統(tǒng)的安全問題，即解決整體安全問題，仍存在一些急待解決的問題，例如如何在保證系統(tǒng)整體和局部兩方面安全的前提下，減少系統(tǒng)的運(yùn)行和維護(hù)難度，提高系統(tǒng)應(yīng)用的靈活性，滿足大規(guī)模網(wǎng)絡(luò)應(yīng)用層次化的系統(tǒng)結(jié)構(gòu)和管理模式的要求等。
本文針對目前移動(dòng)主體技術(shù)在大規(guī)模網(wǎng)絡(luò)應(yīng)用中存在的安全性問題，結(jié)合局部安全問題的解決方案，提出了一種基于層次化系統(tǒng)結(jié)構(gòu)和管理模式的安全機(jī)制，嘗試從整體安全角度解決移動(dòng)主體系統(tǒng)的安全問題。
1 局部安全問題解決方案
移動(dòng)主體系統(tǒng)局部安全問題主要涉及移動(dòng)主體在與服務(wù)設(shè)施進(jìn)行交互時(shí)，如何保證雙方的安全性，需要解決的是雙向的權(quán)限和信任問題。
對于移動(dòng)主體權(quán)限問題，本文利用Java自身的安全機(jī)制[10]來解決。對于移動(dòng)主體的信任問題，本文采用一種基于混合加密[9]的解決方案。在這種加密通信模式下，通信雙方各擁有對方的公鑰信息，通信的發(fā)起方在每次通信時(shí)隨機(jī)產(chǎn)生一個(gè)對稱會(huì)話密鑰Key(如DES密鑰)，并用該Key對通信內(nèi)容以及通信內(nèi)容的信息摘要進(jìn)行加密，形成密文C1，同時(shí)用發(fā)送方的私鑰和接收方的公鑰對密鑰Key進(jìn)行加密，得到密文C2，然后發(fā)送C1、C2。接收方收到密文后，先用自己的私鑰和對方的公鑰對C2解密，得到Key，然用Key對C1解密，得到通信內(nèi)容和對應(yīng)的信息摘要，最后再對該通信內(nèi)容重新計(jì)算信息摘要并將結(jié)果與收到的信息摘要比對，以確保通信內(nèi)容的真實(shí)性。如果移動(dòng)主體的身份被確認(rèn)，則該主體可以按設(shè)定的任務(wù)工作，否則該主體將被舍棄。
這種混合加密技術(shù)一般不需要額外的通信即可實(shí)現(xiàn)雙重的身份確認(rèn)。
(1) 對于發(fā)送者，不必?fù)?dān)心偽裝的接受者會(huì)竊取密文中的有用信息，因?yàn)樗鼪]有真正接受者的私鑰，所以它不能進(jìn)行第一重解密。
(2) 對于接受者，只要它能夠完成第二重解密并確認(rèn)得到的明文是有效的，即可確認(rèn)發(fā)送者的身份無誤，因?yàn)閭窝b的發(fā)送者沒有真正發(fā)送者的私鑰。
該移動(dòng)主體局部安全解決方案必須建立在各MA平臺(tái)持有的私鑰是絕對安全的基礎(chǔ)上。移動(dòng)主體按上述局部安全解決方案在接收平臺(tái)上完成雙向認(rèn)證后，就可以通過移動(dòng)主體服務(wù)設(shè)施所提供的平臺(tái)和接口執(zhí)行任務(wù)。由于移動(dòng)主體攜帶的會(huì)話密鑰Key是一次一密而且不為第三方所知的，所以該移動(dòng)主體可以用該密鑰與發(fā)送平臺(tái)進(jìn)行后續(xù)通信，從而降低計(jì)算開銷。