论文部分内容阅读
[摘要]随着移动环境的迅速发展,移动计算已经成为当前一个研究的前沿和热点。本文从三个方面(数据传输中的安全问题、服务器资源面临的攻击、服务器资源面临的攻击)对移动Agent的安全问题作了详细的叙述。并简要的针对该安全问题描述了现有服务器资源保护方案。
[关键词]移动Agent;安全问题;攻击
在Internet中使用移动Agent技术,将对传统的客户机/服务器通信模式产生巨大的影响,它的移动特性适用于多种Internet应用,特别是电子商务。但是,Internet是一个开放性的网络,且移动Agent具有移动性,移动Agent系统是否具有足够的安全性和稳健性成为人们关心的首要问题。下面将对移动Agent技术中存在的安全问题进行详细的分析。
1、数据传输中的安全问题
当在开放性网络(如Internet)中传递信息时,固有的一个缺点就是不安全性。因而当Agent程序在网络中漫游时,它的程序码和数据都是不安全的。首先考虑在数据传递和通信链接中可能存在的安全威胁。
(1)被动攻击
在这种攻击模式下,攻击者并不干预通信流量,只是尝试从中提取有用的信息。最简单的例子就是窃听,以获取Agent程序中存储并传递的敏感信息。另一种情况是,攻击者可能无法得到具体的数据(如数据采用加密传输),但可以通过对相关数据进行流量分析(如分析通信频度、交换的数据长度、通信双方的身份)获取所需的敏感信息。
(2)主动攻击
所谓的主动攻击是指攻击者截获并修改网络层的数据包,甚至将原有数据报删除,而用伪造的数据取代。另外,身份伪装也可以看作是一种主动攻击,攻击者伪装成系统的一个合法参与者A,截取并处理发给A的数据。
在移动Agent系统中,以上两类攻击都有可能发生,采用数据完整性检验和身份认证等密码技术可以减小攻击带来的损失。但由于移动Agent本身的特性,使得采用哪种密码技术和协议受到限制,如因为Agent程序要在网络中漫游,所以那些需要和用户交互的协议就不适合。另外,也不可以让移动Agent携带用户的私钥,以防止被恶意的服务器获得。
2、服务器资源面临的攻击
移动Agent系统中的服务器允许不同的Agent程序在其上运行,这使得它不得不面临恶意Agent可能带来的攻击,这些攻击可归纳为四种。
(1)偷窃敏感资料。恶意Agent程序访问某服务器时可能会设法打开包括该公司商业机密的敏感文件,并将这些信息发给它的创建者,从而利用这些信息在商业竞争中获利。
(2)破坏服务器系统资源。恶意Agent程序访问某服务器时可能删除某个重要文件甚至格式化整个硬盘。
(3)拒接服务攻击。恶意Agent程序故意用完系统资源(如硬盘空间、内存、网络端口等),从而使服务器无法完成与其他Agent程序的正常交互。
(4)扰乱性攻击。这种攻击对于服务器系统的破坏较小,它通常是恶作剧性质的,如不断地在服务器上打开各种应用程序的窗口或使机器不断地发出蜂鸣声等。
显然,在设计移动Agent系统时,必须考虑如何保证服务器能够抵抗以上攻击。同时,对于合法的Agent程序,服务器也应给予足够的资源访问权限,这就需要对Agent程序的身份进行确认,同时设计相应的安全分级及权限接入控制等。
3、移动Agent面临的攻击
移动Agent程序必须在服务器上运行,因此,其代码和数据对于服务器主机来说都是暴露的。当一个服务器时恶意的,或者是被攻击者侵占或伪装的时候,它可能对Agent程序进行四种攻击。
(1)恶意主机可以仅仅破坏或终止Agent程序,从而阻止该Agent执行任务。
(2)恶意主机可以偷窃该Agent所携带的有用信息,如Agent程序在漫游过程中所搜集的中间信息等。
(3)恶意主机可以修改Agent所携带的数据,如当一个Agent负责为用户收集某种商品的最佳报价时,该主机通过篡改Agent程序所收集的先前的服务器的报价,以欺骗用户误以为其提供的报价为最佳价格。
(4)更为复杂且危害最大的攻击是,攻击者通过改写部分Agent程序的代码,使其在返回用户主机或漫游到其他服务器后执行一些恶意攻击操作。在通常情况下,用户将其所发生的Agent看作是可信的,其接入本地资源的权限也更大,因而这类攻击Agent的危害也更大。
一般来说,对移动Agent进行完备的保护(不含程序碼或数据)是较为困难的,因为服务器必须访问Agent程序码及其状态才能运行该Agent。而且,由于存储计算结果或响应结果,Agent的部分数据和状态通常是变化的。通常的方案都是由派出Agent的宿主机提供某种机制以发现这类修改,从而确定所发出的Agent是否受到攻击,并给出相应的策略。
4、现有服务器资源保护方案
移动Agent系统中存在三个安全问题:(1)数据传输中的安全问题;(2)服务器资源所面临的攻击;(3)移动Agent所面临的攻击。
对于服务器资源的保护,主要有以下几种较为成熟的方案:沙盒模型,签名,认证、授权和资源分配,Proof-carrying Code,代码检验,限制技术,核查记录;对于执行环境中移动Agent的保护方案,可分为基于被动检测的安全措施和基于主动的保护措施,后者主要有加密函数,有限黑匣子法、共享秘密与互锁、可抵御攻击的硬件等安全方法;而对于传输中移动Agent的保护方案,则主要是用加密技术来实现。
结束语
随着移动Agent技术的不断发展,移动Agent系统的安全问题越来越受到人们的关注。因为,它的安全问题已经严重地阻碍了移动Agent技术在实际中的应用。本文着重从三个方面(数据传输中的安全问题、服务器资源面临的攻击、服务器资源面临的攻击)介绍了移动Agent系统存在的安全威胁,并针对这些安全威胁采取了保护方案。
参考文献
[1]张云勇.移动Agent及其应用.北京:清华大学出版社,2002
[2]王汝传,徐小龙,郑小燕等.移动代理安全机制的研究.计算机学报,2002,25(12):1294-1301
[3]许明,王汝传等.数据挖掘在基于Agent入侵检测系统中的应用.南京大学学报,2002,38(11):210~215.
[关键词]移动Agent;安全问题;攻击
在Internet中使用移动Agent技术,将对传统的客户机/服务器通信模式产生巨大的影响,它的移动特性适用于多种Internet应用,特别是电子商务。但是,Internet是一个开放性的网络,且移动Agent具有移动性,移动Agent系统是否具有足够的安全性和稳健性成为人们关心的首要问题。下面将对移动Agent技术中存在的安全问题进行详细的分析。
1、数据传输中的安全问题
当在开放性网络(如Internet)中传递信息时,固有的一个缺点就是不安全性。因而当Agent程序在网络中漫游时,它的程序码和数据都是不安全的。首先考虑在数据传递和通信链接中可能存在的安全威胁。
(1)被动攻击
在这种攻击模式下,攻击者并不干预通信流量,只是尝试从中提取有用的信息。最简单的例子就是窃听,以获取Agent程序中存储并传递的敏感信息。另一种情况是,攻击者可能无法得到具体的数据(如数据采用加密传输),但可以通过对相关数据进行流量分析(如分析通信频度、交换的数据长度、通信双方的身份)获取所需的敏感信息。
(2)主动攻击
所谓的主动攻击是指攻击者截获并修改网络层的数据包,甚至将原有数据报删除,而用伪造的数据取代。另外,身份伪装也可以看作是一种主动攻击,攻击者伪装成系统的一个合法参与者A,截取并处理发给A的数据。
在移动Agent系统中,以上两类攻击都有可能发生,采用数据完整性检验和身份认证等密码技术可以减小攻击带来的损失。但由于移动Agent本身的特性,使得采用哪种密码技术和协议受到限制,如因为Agent程序要在网络中漫游,所以那些需要和用户交互的协议就不适合。另外,也不可以让移动Agent携带用户的私钥,以防止被恶意的服务器获得。
2、服务器资源面临的攻击
移动Agent系统中的服务器允许不同的Agent程序在其上运行,这使得它不得不面临恶意Agent可能带来的攻击,这些攻击可归纳为四种。
(1)偷窃敏感资料。恶意Agent程序访问某服务器时可能会设法打开包括该公司商业机密的敏感文件,并将这些信息发给它的创建者,从而利用这些信息在商业竞争中获利。
(2)破坏服务器系统资源。恶意Agent程序访问某服务器时可能删除某个重要文件甚至格式化整个硬盘。
(3)拒接服务攻击。恶意Agent程序故意用完系统资源(如硬盘空间、内存、网络端口等),从而使服务器无法完成与其他Agent程序的正常交互。
(4)扰乱性攻击。这种攻击对于服务器系统的破坏较小,它通常是恶作剧性质的,如不断地在服务器上打开各种应用程序的窗口或使机器不断地发出蜂鸣声等。
显然,在设计移动Agent系统时,必须考虑如何保证服务器能够抵抗以上攻击。同时,对于合法的Agent程序,服务器也应给予足够的资源访问权限,这就需要对Agent程序的身份进行确认,同时设计相应的安全分级及权限接入控制等。
3、移动Agent面临的攻击
移动Agent程序必须在服务器上运行,因此,其代码和数据对于服务器主机来说都是暴露的。当一个服务器时恶意的,或者是被攻击者侵占或伪装的时候,它可能对Agent程序进行四种攻击。
(1)恶意主机可以仅仅破坏或终止Agent程序,从而阻止该Agent执行任务。
(2)恶意主机可以偷窃该Agent所携带的有用信息,如Agent程序在漫游过程中所搜集的中间信息等。
(3)恶意主机可以修改Agent所携带的数据,如当一个Agent负责为用户收集某种商品的最佳报价时,该主机通过篡改Agent程序所收集的先前的服务器的报价,以欺骗用户误以为其提供的报价为最佳价格。
(4)更为复杂且危害最大的攻击是,攻击者通过改写部分Agent程序的代码,使其在返回用户主机或漫游到其他服务器后执行一些恶意攻击操作。在通常情况下,用户将其所发生的Agent看作是可信的,其接入本地资源的权限也更大,因而这类攻击Agent的危害也更大。
一般来说,对移动Agent进行完备的保护(不含程序碼或数据)是较为困难的,因为服务器必须访问Agent程序码及其状态才能运行该Agent。而且,由于存储计算结果或响应结果,Agent的部分数据和状态通常是变化的。通常的方案都是由派出Agent的宿主机提供某种机制以发现这类修改,从而确定所发出的Agent是否受到攻击,并给出相应的策略。
4、现有服务器资源保护方案
移动Agent系统中存在三个安全问题:(1)数据传输中的安全问题;(2)服务器资源所面临的攻击;(3)移动Agent所面临的攻击。
对于服务器资源的保护,主要有以下几种较为成熟的方案:沙盒模型,签名,认证、授权和资源分配,Proof-carrying Code,代码检验,限制技术,核查记录;对于执行环境中移动Agent的保护方案,可分为基于被动检测的安全措施和基于主动的保护措施,后者主要有加密函数,有限黑匣子法、共享秘密与互锁、可抵御攻击的硬件等安全方法;而对于传输中移动Agent的保护方案,则主要是用加密技术来实现。
结束语
随着移动Agent技术的不断发展,移动Agent系统的安全问题越来越受到人们的关注。因为,它的安全问题已经严重地阻碍了移动Agent技术在实际中的应用。本文着重从三个方面(数据传输中的安全问题、服务器资源面临的攻击、服务器资源面临的攻击)介绍了移动Agent系统存在的安全威胁,并针对这些安全威胁采取了保护方案。
参考文献
[1]张云勇.移动Agent及其应用.北京:清华大学出版社,2002
[2]王汝传,徐小龙,郑小燕等.移动代理安全机制的研究.计算机学报,2002,25(12):1294-1301
[3]许明,王汝传等.数据挖掘在基于Agent入侵检测系统中的应用.南京大学学报,2002,38(11):210~215.