基于移动代理的主动网络安全架构的研究

，我们可以把主动网络的安全问题分为2个方面：一是保护主动结点不受恶意代理的侵犯；二是代理在网络中传输过程中，保护代理不受恶意主动网络结点的窃听或拒绝。

迄今为止，移动代理安全领域所做的研究工作为主动结点运行环境的安全提供了基础，但是由于主动网络系统的安全性还存在许多缺陷和不足以及移动代理是在应用层主动节点上运行的，需要使用主机资源，并对其进行存储，因此安全解决方案应该是双向的，既要保证系统不受恶意的代理和主动包的攻击，也要保证代理和主动包不受执行环境(EE)的非法侵害。针对以上的安全问题，本文提出一些相应的策略。

带有主动包的移动代理在网络中传输，利用现在安全移动代理可以确保移动代理不受其他恶意网络结点的窃听或拒绝。比如通过加密和数字签名技术可以确保主动分组的安全。下面重点讨论在移动代理停留在主动结点中，保护主动节点不受恶意代理的侵犯，提出一些相应的策略。

3 基于移动代理的主动网络安全框架模型

基于移动代理的主动网络MABAN(Mobile AgentBased Active Network)是以移动代理系统为基础，通过将主动封包程序封装成移动代理，从而实现利用移动代理系统来处理主动封包的网络。MABAN的可移动代码在主动结点上运行不可避免的引入了安全性问题。MABAN的安全问题主要包括主动结点、主动封包和端用户等方面。本文主要研究主动结点的安全问题，而主动封包和端用户的安全性研究则是更具挑战性的一项工作。

为解决MABAN中主动结点的安全问题，现设计一个通用的MABAN结点的安全性框架MANSF(MobileAgent-Based Active Network node Security Framework)。此规范符合主动网络安全工作组提出的主动网络结点的安全规范，而且具有可扩展性和通用性等特点。MANSF结点的安全框架图见图2。

由图2可见，MANSF主要包括认证授权模块，移动代理执行环境及访问控制模块。MANSF使用上述模块处理主动封包的流程是：

(1)封包到达结点，进入网络设备通道，如果是主动封包，则转入认证授权模块，否则在虚拟网络层处理；

(2)认证授权模块对封包数据进行完整性检查，并协同域授权中心对用户身份进行认证，提取代码，转入MAEE；

(3)MAEE执行移动代理，实现数据的客户化定制，当需要访问结点资源时转入(4)；

(4)访问控制模块根据用户的访问权限，决定是否满足用户的资源访问要求；

(5)用户程序完成，结点将改动过的数据重新封包并通过网络设备通道发送给下一个结点。

3.1 认证授权模块

采用非对称双向认证协议来解决移动代理在主动结点中的运行安全性问题：

站一站协议可以使通信双方互相鉴证身份，较好地解决了传输数据的加密和中间插入攻击。如果移动代理能够通过使用用户的私有密钥签名，则站一站协议可以很好地解决鉴证和消息加密和摘要的工作。但是处于安全性考虑，不应该让移动代理携带着它们用户的私有密钥在网络中迁移。因为这种策略尽管可以使移动代理在任一结点证明自己的身份，但不幸的是，它实际上在所有经过的结点上暴露了它用户的私有密钥。该问题在非对称鉴证协议中用下述方式解决：

(1)当一个移动代理被用户在某个主动结点上启动后，本地文件系统使用移动代理的私有密钥对移动代理的名字空间(Namespace)定义(文件)进行加密(Sigm(Namespace))，产生移动代理的活动签名(Agent ActivitySignature，AAS)。该签名在该代理的整个生命周期中是保持不变的，它确切定义了该代理所要使用的各种资源。

(2)移动代理不携带用户的私有密钥在网络中迁移。

(3)移动代理在与主动结点的双向鉴证中，只传送其公开密钥。由于本系统中的加／解密算法公开，即用私有密钥进行签字，用公开密钥进行验证，所以在移动代理与主动结点的双向鉴证中不必传送解密算法，而只需传送公开密钥。

(4)移动代理也有私有密钥和公开密钥。无论移动代理还是用户都可向认证机构申请自己的私有／公开密钥。

采用这种非对称双向认证协议很好地保护了移动代理在网络传输中不被恶意主动结点入侵。

3.2 移动代理执行环境

MANSF使用Java作为编程语言，MAEE是一个基于Java的移动代理执行环境，运行于JVM层上。这样Java的安全特性就无缝地整合到MANSF中，同时它还要监视代理的运行状态，在要执行的程序代码尚未装载时，通过结点类装载器搜索并装载相应的代码块。一个主动结点可同时运行多个MAEE，MAEE可同时执行多个用户代理，这是为了防止用户代理之间相互攻击，而采取的一种隔离措施．在不同的MAEE中执行的用户代理运行于不同的空间，自然隔离，显然不能相互攻击。在相同