移动Agent计算是一种新型的网络计算方式，移动Agent是一个运行于开放、动态网络环境中的封装的计算实体，它代表用户自主地在网络上移动，完成指定的任务，可以降低网络负载，较好适应异构环境。然而，要使Agent技术能够在Internet上真正能够推广应用，一个重要的技术难点在于提高其安全性与可靠性。本文基于南京大学软件研究所自行设计的移动Agent系统——Mogent系统，探讨了移动Agent的安全与可靠性问题，从系统化的角度重新提出了若干改进的方法与机制，具体工作包括： ◆ 提出了一种基于PCC(携证代码Proof—Carrying Code，简称PCC)的移动Agent系统安全机制。在Agent计算中，移动与开放带来了许多新的安全问题：由于Agent的公开性，站点可自由读取访问Agent体；由于Agent的移动，难以处理移动后的信任传递、难以建立Internet上所有用户访问控制表，等等。我们分析移动Agent环境可能存在的安全威胁，提出了一种基于PCC的安全机制，从保护主机和保护Agent两方面进行设计。首先通过主机验证外来Agent所带的形式证明，判定它是否符合本机的安全策略，从而保证其在站点上能够安全执行。其次借助第三方使用PCC的主机来检验两个交互的Agent，从而保护Agent安全。采用PCC机制，是对传统基于密码学和认证的安全机制的一种互补，能够克服访问授权机制难以解决的信任传递等问题，并节约站点开销。 ◆ 提出了一种移动Agent系统的双层容错机制。在计算中经常会出现各种人为的与物理的错误，需要对产生错误及随即而来影响提出有效的解决方法，以使计算能够持续进行。可靠性和容错问题对提高移动Agent系统的实用化程度意义重大。我们在分析移动Agent系统可能的错误情形和提出若干假设之后，给出了一种双层容错机制，即从移动Agent平台和移动Agent两个层次进行容错设计。首先提出一种基于复制并结合事务处理的容错模型，提供对Agent透明的容错支持，提高移动Agent系统的可靠性；其次分析结构化旅行计划对 Agent访问节点顺序和数目不确定性的刻画能力，阐明移动Agent的主动容错能力。 ◆ 并发理论——进程演算(或进程代数)、进程逻辑——是对同时发生具有不确定性的事件进行研究的一种理论，可以用来刻画Agent旅行步中的容错不确定性，并在安全方面对系统安全策略的形式化验证具有一定可应用性。我们初步研究了一个基于空间逻辑(Spatial Logic)的重写系统，通过若干例子提出对安全与容错需求进行形式化验证的大体思路，希望能够在未来描述和形式化证明Agent系统安全、容错方面有所进一步研究。