专利名称:一种全面保护移动代理网管应用的安全架构的制作方法
技术领域:
本发明是一种分布式计算技术应用于开放网络环境的安全解决方案。主要用于解决基于移动代理的网络管理的安全问题,属于计算机网络、分布式计算和信息安全的交叉技术领域。
背景技术:
当前的网络管理方案,大部分的网络管理计算都由网络管理站来完成。采用这种方式进行网络管理时,管理站和被管理节点之间大量的信息交换造成网络带宽的极大浪费,而且这种方案也不能动态地扩展服务器方的能力。采用移动代理这种分布式计算技术可以缓解以上的不足。移动代理是一个软件实体,拥有一定的智能和判断能力,它可以在异构的网络上按照一定的规程迁移,寻找合适的资源,本地化处理或使用这些资源,代表用户完成特定的网管任务。
移动代理网管方案由具有移动代理执行环境的网络管理站、被管理节点和执行网管任务的移动代理三个部分组成。网络管理站根据管理任务生成并派遣移动代理,处理它所返回的结果。移动代理在各个被管理节点迁移并收集处理信息,进行网管操作。被管理节点上存在移动代理执行环境,执行环境接受移动代理并且协助其对本地资源的访问。在移动代理网管方案中,网络管理站派遣相应的移动代理到各个被管理节点执行管理任务;这些移动代理在每一个被管理节点完成管理任务后携带相关的信息返回管理站,或者依次迁移到多个被管理节点分别完成相应的管理任务后返回管理站,或者遍历所有的被管理节点再返回管理站。
移动代理网管方案具有网络负载小、应变能力强、处理实时性高等优点。但移动代理技术本身的安全性以及在网络管理应用中出现的安全隐患阻碍了这种网管方案的应用和发展,并且当前许多方案或架构只针对安全的某一方面。
网络管理中移动代理面临的安全威胁分析移动代理存在的安全问题可以分为个方面传输安全问题,包括移动在移动过程中的安全问题,和控制信息的安全问题;主机资源的保护问题,移动代理对主机资源及网络资源进行使用时的安全问题;移动代理在被管理节点的安全问题。
1.移动代理传输的安全问题当移动代理在网上移动,它的代码和数据会受到各种攻击,如窃听、篡改、假冒等。攻击者可以窃听移动代理携带的敏感信息,如竞争对手报的价格。攻击者可以改变移动代理携带的信息,如改变竞争对手报的价格。还可以改变移动代理的执行代码,使其返回到用户主机后,做恶意的事情。由于用户主机相信自己的移动代理,因此可能允许它们不经过访问控制,直接访问资源。如果的代码已经改变,会给移动代理主人的主机带来很大的危害。
发送移动代理的用户要对移动代理进行控制,如召回、杀死以及提供一些信息。如果攻击者假冒这些控制信息,对移动代理都是致命的。
2.被管理节点主机资源保护问题如果一个主机加入移动代理系统,即运行了移动代理环境。移动代理环境将允许移动代理程序在此主机上运行,这样使该主机容易受到各种攻击,如偷窃敏感信息,毁坏主机资源,占用大量的资源使其拒绝为其他移动代理服务,以及匿名攻击等。一个恶意的移动代理在访问一个移动代理环境时,能够窃取主机上的保密信息和数据,并将此信息发送给它的主人。有的移动代理可能像病毒一样删除系统文件,或格式化硬盘等来损坏主机资源。它也可以发起服务拒绝攻击——耗尽系统资源磁盘空间、网络端口、文件拘柄等,使此主机不能再服务于其他的移动代理。恶意的移动代理还可以假冒合法的移动代理,享受合法移动代理的权利。
3.移动代理在被管理节点上的安全问题当移动移动到一个主机的移动代理环境时,它就完全地暴露给该主机。尽管移动代理移动到该移动代理环境,本身意味对该主机和移动代理环境有一定的信任。如果碰巧该主机是恶意的,则移动代理将受到攻击。恶意主机可以简单破坏移动代理,使它不能完成父应用程序交给的任务。
发明内容
技术问题本发明的目的是为面向移动代理的网管系统提供一种全面保护移动代理网管应用的安全架构,解决基于移动代理网管所出现的安全问题,构建一个安全体系结构,利用加密技术对移动代理的传输,移动代理运行主机,以及移动代理自身进行保护,从而达到对网络管理过程实施全面的安全保护。技术方案本发明的方法是一种改进性和综合性的方法,通过对基于检测的、主动的安全保护措施的改进和综合而提出,针对移动代理传输,移动代理对主机资源的破坏,以及移动代理自身的安全问题,提出了合理的解决方案,从而保障移动代理和网管信息的机密性和可靠性。
该安全保护架构包括对移动代理网管系统保护的四个阶段及安全证书的同步机制,其中该四个阶段分别为a.创建移动代理及分配权限登录代理运行环境,由用户管理服务器分配用户的功能及权限;根据任务创建移动代理,并生成此代理的角色及权限信息;b.保护移动代理的传输在迁移地的被迁移地之间建立连接;验证代理的证书信息及决定是否允许代理迁入;保留通话标识符,方便下次连接;c.保护主机资源不受恶意代理破坏获取代理的资源使用权,操作权限等代理信息;代理请求使用资源,而代理环境根据资源使用权限分配资源并禁止及记录其中的越界请求;d.保护代理自身不受恶意主机攻击加密代理的私有信息;校验查看代理信息是否被篡改;本地代理环境对代理添加信息,此处绝不可以修改或删除代理信息;代理继续迁移或自杀;其执行流程为首先用户登录代理运行环境根据任务需要创建移动代理并分配权限,然后代理根据任务进行迁移这时需要进行移动代理传输的保护,然后代理迁移到目的主机进行执行任务,此时要保护主机资源不受恶意代理破坏,并且代理在目的主机进行执行任务时,要保护代理自身不受恶意主机的攻击;安全证书的同步机制在此安全架构中,所有的编码证书,都集中在安全管理服务器来进行管理,各代理运行环境定时同安全管理服务器进行同步证书信息,并存入本地的证书库,当代理进行迁入时,本地代理环境可以先在本地的证书库中进行校验代理信息,这在保护移动代理的传输中可以得到体现。
创建移动代理及分配权限的方法为
1.)使用者即用户登录管理站代理运行环境,此处应用程序提供用户登录的帐号、密码接口,当应用程序接收到使用者所输入的帐号及密码后,便与用户管理服务器建立安全套接字联接,进行帐号的确认并且获取相应的角色;用户管理服务器根据帐号及密码信息,回传使用者的被赋予的角色以及被授权执行的模块功能;2.)根据网管的需要创建移动代理,创建此移动代理时,就与安全管理服务器建立连接,创建基于此代理的用户,时间,生命周期及可操作资源等生成数字证书;利用基于角色的方式为代理分配权限,及可操作资源信息。
保护移动代理的传输的方法为1.)要将此代理迁移至另一被管节点时,首先在此两代理运行环境之间建立安全的通道;在这里利用安全套接层协议3.0来建立此安全通道;2.)接收方代理运行环境通过安全控制先与本地证书库来验证迁入代理的证书信息,本地没有则与安全管理服务器建立连接来验证代理的数字签名,若通过则迁入此代理,否则不允许迁入此代理运行环境,并将此失败信息记入安全日志;3.)保留两代理运行环境之间的会话标识符,下次代理再次迁入时,不需要再次重复验证,仅需要重新生成会话密钥就可以了;在移动代理传输的保护机制中,采用安全套接层协议3.0来进行安全的保护,并且利用安全套接层协议3.0在通信双方相互认证后,会保留一个会话标识符,再次通信时,不再需要认证过程,只需重新生成会话密钥即可。
保护主机资源不受恶意代理破坏的方法为1.)当此代理迁移进被管理节点代理运行环境中后,并不立即被执行;2.)通过安全控制与安全管理服务器建立连接,获取此代理的主要信息,包括资源使用权,操作权限,并将资源使用权限写入资源访问单,以便代理需求资源时,进行控制;3.)代理为执行设定的动作请求本地资源,根据代理的角色信息,由资源控制调用资源访问单来完成代理可调用的资源;4.)在代理实际对资源的操作中通过沙箱安全机制及资源控制结合完成自己的操作;如对线程等的访问;5.)在此过程中,若有代理越界调用资源,则阻止此行为,并将此记入安全日志。
保护代理自身不受恶意主机攻击的方法为1.)代理所携带的一些信息,如资源使用权、执行路线,不允许被其它主机节点修改,则在创建此代理时,构建代理运行环境节点对此代理的这些信息可先用单向散列算法计算散列值,然后用私钥签名,Sign=SK(h(I)其中SK为私钥;Sign为生成的签名;I为需保护的信息;h()为单向散列函数,2.)在此代理迁移到每个节点,后先用代理运行环境的公钥对代理信息进行验证,看是否被篡改,h(I)=PK(Sign)=PK(SK(h(I)) 其中PK为公钥由于恶意主机没有私钥,所以无法伪造签名,3.)本地代理运行环境只可以对代理添加信息,而不可以更改前面节点携带来的信息,机制为3.1)代理的创建地即网络管理站,随机生成一个保密的数字N,然后用此代理运行环境的公钥对N进行加密,得到一个校验值CheckNum=PK(N) 其中CheckNum为校验值,3.2)入本地代理运行环境后,执行完代理设定的功能,采集到信息I,对此信息先计算散列值h(I),并用本地的私钥对此信息的散列值进行签名得SKi(h(I),3.3)将本地节点代理运行环境的身份标志Si,以及前面几站得到的校验值CheckNum及刚得到的签名SKi(h(I)加起来,然后用公钥进行签名得到新的校验值,CheckNum=PK(CheckNum+SKi(h(I))+S),3.4)通过本站的私钥对本站收集的信息进行了保护,则此站点收集的信息只可读,不可改。如有修改,则能够被检测出来;4.)代理完成自己的功能,按预定的路线迁移或自杀;在此利用传统的被动与主动的方法相结合,在移动代理迁入某代理运行环境时,会先对其状态进行检查,以确定此代理的信息或状态是否被篡改,并且也采用主动的保护方法,对主机操作代理加以限制,代理的代码部分可以分为只读部分或不可见部分,并且只允许主机对此代理追加记录,而不允许做出更改或删除。
安全证书的同步机制的方法为在此安全系统中,所有的编码证书,都集中在安全管理服务器来进行管理,若当每代理环境需要验证时,再与安全管理服务器进行验证,则耗费时间及网络资源,并且也可能导致网络断线;在此,采用同步机制,将安全管理服务器中的证书,定期发布到各代理环境中的安全控制,并将其写入当地的证书库,这样当进行验证代理的证书信息时,可以先在本地进行验证。
有益效果本发明方法提出了综合的移动代理网管安全保护方法,对移动代理网管系统中三大主要方面提出了完善的保护方法。通过使用本发明提出的方法可以避免分散的安全保护方法累积时带来的复杂性、可以提高安全方法的灵活性,有效的达到保护移动代理网管的目的。
1.有效地保护移动代理的传输在移动代理传输的保护机制中,采用SSL 3.0来进行安全的保护,而事实证明SSL 3.0是一个安全的协议,能有效防止重放,假冒等网络攻击。
并且利用SSL 3.0协议在通信双方相互认证后,会保留一个会话标识符,再次通信时,不再需要认证过程,只需重新生成会话密钥即可。这样就节省了大量的资源。
2.有效地保护主机资源在传统的Java SandBox Control的基础上增加了Security Control及ResourceControl。
Security Control可以有效地避免恶意代理的迁入本AE环境进行破坏,而Resource Control可以在沙箱安全模型的基础之上提供更加安全的保护,使代理对主机资源及网络资源的操作,都会受到控制及监控,这样对主机的保护更加全面,有效。
3.有效地保护移动代理自身在此利用传统的被动与主动的方法相结合。在移动代理迁入某AE时,会先对其状态进行检查,以确定此代理的信息或状态是否被篡改。并且也采用主动的保护方法,对主机操作代理加以限制,代理的代码部分可以分为只读部分或不可见部分,并且只允许主机对此代理追加记录,而不允许做出更改或删除。这样就有效地保护了移动代理本身不受攻击。
4.灵活性采用同步机制,将Security Server中的证书,定期发布到各代理环境中的Security Control,并将其写入当地的Authentication DataBase。这样当进行验证代理的证书信息时,可以先在本地进行验证。
在代理传输中,采用SSL 3.0进行验证建立通信通道,并且保留会话标识符,这样做,只需一次繁琐的验证过程,以后再进行通信时,节省了验证过程,只需重新生成会话密钥就可以了。
通过采用以上的机制,节省了网络资源以及减少了验证时间,增加了此安全架构的灵活性。
图1是AE的结构图。
图2是移动代理网管安全体系结构示意图。
图3是移动代理网管安全架构的详细执行流程图。
具体实施例方式
下面根据附图和实施实例对本发明作更详细的描述。
(1)保护移动代理的传输当AE(Agent Environment,代理执行环境)要发送到某移动代理到其它AE之前,我们希望这两个AE之间相互认证,并建立一个安全通道,并且此安全通道在以后的通信中也能使用,不需要再次重复认证过程。
并且希望两种通道采用相同的安全机制从而便于实施。因此采用SSL3.0(Secure Socket Layer,一种安全通讯协议)协议中双方都认证的模型建立安全通道。
SSL3.0协议是利用公钥证书相互认证,并建立共同的会话密钥,用对称密码算法对通话信息进行加密保护。它的特点是在通信双方相互认证后,保留一个会话标识符,再次通信时,不再需要认证过程,只需重新生成会话密钥即可。只要有第三方签名的公钥证书,并且支持SSL3.0协议,就能进行保密通信。并且SSL3.0协议已经证明了是一个安全的协议,能防假冒,防重放等网络攻击。并且在此可以减轻系统的负载。
(2)保护主机主要保护对本地主机的资源及网络资源的保护,提供了如下三种机制来进行保护①JAVA(一种编程语言)沙箱安全机制(Java SandBox Control)继承了JAVA的沙箱模型来对AE中的代理的操作进行控制。利用它来控制代理对本地文件系统的访问权限(包括打开,读,写,关闭,删除等),同时也控制对Socket(安全套接字)及线程的控制;②安全控制(Security Control)提供本地AE与安全管理服务器(Security Server)的接口,每当有代理进行AE需要进行验证时,则通过此模块与Security Server进行连接及信息的认证;③资源控制(Resource Control)当代理需要本地主机或网络资源时,则需要通过此模块进行调用,如调用打印资源等。
(3)保护移动代理自身当移动代理迁移动到某AE时,保留了其它代理的安全系统中常有的相互认证过程。并且提供一些安全机制来防止移动代理状态的敏感部分被篡改,或至少能够检测到篡改。
移动代理在迁移过程中携带的信息,只许读,但不能改如身份,资源使用权等。对这些信息先用单向散列算法计算散列值,然后用代理主人的私钥签名。这样每到一个AE,该能用主人的公钥验证信息是否被篡改,并且由于恶意AE没有主人的私钥,无法伪造签名。
当移动代理要从它访问的各个站点收集信息时,它需要保护前面收集的信息不被后面的站点修改。即在某个站点收集的信息在离开这个站点后将不能再修改。
(4)安全证书的同步机制在此安全系统中,所有的编码证书,都集中在Security Server来进行管理,若当每代理环境需要验证时,再与Security Server进行验证,则耗费时间及网络资源,并且也可能导致网络断线。
在此,我们采用同步机制,将Security Server中的证书,定期发布到各代理环境中的Security Control,并将其写入当地的证书库(AuthenticationDataBase)。这样当进行验证代理的证书信息时,可以先在本地进行验证。
通过采用此机制,节省了网络资源以及减少了验证时间,增加了此安全架构的灵活性。
一、体系结构在移动代理网管方案中,移动代理在迁移到各个被管理节点完成管理任务。
移动代理网管安全体系结构主要有两个部分组成,一个部分在网络管理站,另一部分是在被管理节点,而每一部分又有几部分组成。
网络管理站是实施网络管理安全保护的中心,负责协调整个管理的安全运行;根据不同的网管任务,产生相应的移动代理并派遣到被管理节点在本地执行具体的管理任务。网络管理站安全组成主要包括三个部分。
1.移动代理运行环境AE(Agent Environment,以后简称为AE)移动代理的主要执行环境,包括移动代理的执行、创建、接收、毁灭、迁移等。在安全管理方面主要由以下三个部分来实现对本地主机资源以及网络资源的保护①Java SandBox Control继承了JAVA的沙箱模型来对AE中的代理的操作进行控制。利用它来控制代理对本地文件系统的访问权限(包括打开,读,写,关闭,删除等),同时也控制对Socket(安全套接字)及线程的控制;②Security Control提供本地AE与Security Server的接口,每当有代理进行AE需要进行验证时,则通过此模块与Security Server进行连接及信息的认证;③Resource Control当代理需要本地主机或网络资源时,则需要通过此模块进行调用,如调用打印资源等。
④代理控制(Agent Control)主要控制节点对代理的操作,用以保护代理不受恶意主机的破坏。
2.用户管理服务器(User Server)管理移动代理使用者的账号、密码、所被赋予的角色,以及每个角色所被允许执行的模块功能。支持各AE以SSL的方式连接上来,进行账号的确认以及角色信息的取得。
3.安全管理服务器Security Server执行的功能主要有密钥分配,证书交换以及安全检查等,但最主要的两大功能是①为代理生成关于用户及代理的安全证书;②为迁移来的代理进行安全认证,并记录安全日志。
二.本架构的主要执行流程如下①使用者即用户登录管理站AE。此处应用程序提供用户登录的ID(帐号)、密码接口,当应用程序接收到使用者所输入的ID及密码后,便与User Server建立SSL联接,进行帐号的确认并且获取相应的角色。User Server根据帐号及密码信息,回传使用者的被赋予的角色以及被授权执行的模块功能;②根据网管的需要创建移动代理,创建此移动代理时,就与SecurityServer建立连接,创建基于此代理的用户,时间,生命周期及可操作资源等生成数字证书;③要将此代理迁移至另一被管节点时,首先在此两AE之间建立安全的通道。在这里我们利用SSL 3.0来建立此安全通道;④接收方AE通过Security Control先与本地Authentication DataBase来验证迁入代理的证书信息,或本地没有则与Security Server建立连接来验证代理的数字签名,若通过则迁入此代理,否则不允许迁入此AE,并将此失败信息记入安全日志;⑤当此代理迁移进被管理节点AE中后,并不立即被执行,而是先与Security Server建立连接,获取此代理的主要信息,包括资源使用权,操作权限等;⑥代理进行通过与AE中Java SandBox Control及Resource Control等结合完成自己的操作。
⑦被管理主机节点对代理进行操作。在此我们采用被动与主动相结合的方法来对代理的进行保护,当代理到达时,判断代理是否被修改;而对代理进行操作时,则只允许对代理追加记录,对代理的只读部分被管理主机没有权限进行修改。
⑧代理完成自己的功能,按预定的路线或自杀或迁移回管理站。
本发明是一种系统的面向移动代理网管的安全保护方法,从移动代理在网络管理站中创建、到在被管理节点中执行网管任务,最后回到网络管理站提交信息,整个网络管理过程都受到安全的保护。
按照本架构对移动代理网管应用的保护层次,及在网管中的具体应用,可以分为四个阶段,为方便描述,我们假设网络管理站要管理n个节点,现在迁入第i个节点,保护的具体实施步骤如下1.创建移动代理及分配权限①使用者即用户登录管理站AE。此处应用程序提供用户登录的ID(帐号)、密码接口,当应用程序接收到使用者所输入的ID及密码后,便与User Server建立SSL联接,进行帐号的确认并且获取相应的角色。User Server根据帐号及密码信息,回传使用者的被赋予的角色以及被授权执行的模块功能;②根据网管的需要创建移动代理,创建此移动代理时,就与SecurityServer建立连接,创建基于此代理的用户,时间,生命周期及可操作资源等生成数字证书;2.保护移动代理的传输③要将此代理迁移至另一被管节点时,首先在此两AE之间建立安全的通道。在这里我们利用SSL 3.0来建立此安全通道;④接收方AE通过Security Control先与本地Authentication DataBase来验证迁入代理的证书信息,本地没有则与Security Server建立连接来验证代理的数字签名,若通过则迁入此代理,否则不允许迁入此AE,并将此失败信息记入安全日志;⑤保留两AE之间的会话标识符,下次代理再次迁入时,不需要再次重复验证,仅需要重新生成会话密钥就可以了;3.保护主机资源不受恶意代理破坏⑥当此代理迁移进被管理节点AE中后,并不立即被执行;⑦通过Security Control与Security Server建立连接,获取此代理的
⑧主要信息,包括资源使用权,操作权限等,并将资源使用权限写入Resource Access List(资源访问单),以便代理需求资源时,进行控制;⑨代理为执行设定的动作请求本地资源,根据代理的角色信息,由Resource Control调用Resource Access List来完成代理可调用的资源;⑩在代理实际对资源的操作中通过Java SandBox Control及Resource Control结合完成自己的操作。如对线程等的访问;在此过程中,若有代理越界调用资源,则阻止此行为,并将此记入安全日志;Security Control可以有效地避免恶意代理的迁入本AE环境进行破坏,而Resource Control可以在沙箱安全模型的基础之上提供更加安全的保护,使代理对主机资源及网络资源的操作,都会受到控制及监控,这样对主机的保护更加全面,有效。
4.保护代理自身不受恶意主机攻击被管理主机节点对代理进行操作。在此我们采用被动与主动相结合的方法来对代理的进行保护,当代理到达时,判断代理是否被修改;而对代理进行操作时,则只允许对代理追加记录,对代理的只读部分被管理主机没有权限进行修改。
代理所携带的一些信息,如资源使用权、执行路线等,不允许被其它主机节点修改,则在创建此代理时,构建AE节点对此代理的这些信息可先用单向散列算法计算散列值,然后用私钥(PK)签名。
Sign=SK(h(I)(SK私钥;Sign生成的签名;I需保护的信息;h()单向散列函数)在此代理迁移到每个节点,后先用AE的公钥对代理信息进行验证,看是否被篡改。
h(I)=SK(Sign)=SK(PK(h(I)) (PK公钥)由于恶意主机没有私钥,所以无法伪造签名。
本地AE只可以对代理添加信息,而不可以更改前面节点携带来的信息。机制为◆在代理的创建地即网络管理站,随机生成一个保密的数字N,然后用此AE的公钥对N进行加密,得到一个校验值CheckNum=PK(N) (CheckNum校验值)◆迁入本地AE后,执行完代理设定的功能,采集到信息I,对此信息先计算散列值h(I),并用本地的私钥对此信息的散列值进行签名得PKi(h(I)。
◆将本地节点AE的身份标志Si,以及前面几站得到的校验值CheckNum及刚得到的签名PKi(h(I)加起来,然后用公钥进行签名得到新的校验值。
CheckNum=SK(CheckNum+PKi(h(I))+S)◆通过本站的私钥对本站收集的信息进行了保护,则此站点收集的信息只可读,不可改。如有修改,则能够被检测出来。
代理完成自己的功能,按预定的路线迁移或自杀。
权利要求
1.一种全面保护移动代理网管应用的安全架构,其特征在于该安全保护架构包括对移动代理网管系统保护的四个阶段及安全证书的同步机制,其中该四个阶段分别为a.创建移动代理及分配权限登录代理运行环境,由用户管理服务器分配用户的功能及权限;根据任务创建移动代理,并生成此代理的角色及权限信息;b.保护移动代理的传输在迁移地的被迁移地之间建立连接;验证代理的证书信息及决定是否允许代理迁入;保留通话标识符,方便下次连接;c.保护主机资源不受恶意代理破坏获取代理的资源使用权,操作权限等代理信息;代理请求使用资源,而代理环境根据资源使用权限分配资源并禁止及记录其中的越界请求;d.保护代理自身不受恶意主机攻击加密代理的私有信息;校验查看代理信息是否被篡改;本地代理环境对代理添加信息,此处绝不可以修改或删除代理信息;代理继续迁移或自杀;其执行流程为首先用户登录代理运行环境根据任务需要创建移动代理并分配权限,然后代理根据任务进行迁移这时需要进行移动代理传输的保护,然后代理迁移到目的主机进行执行任务,此时要保护主机资源不受恶意代理破坏,并且代理在目的主机进行执行任务时,要保护代理自身不受恶意主机的攻击;安全证书的同步机制在此安全架构中,所有的编码证书,都集中在安全管理服务器来进行管理,各代理运行环境定时同安全管理服务器进行同步证书信息,并存入本地的证书库,当代理进行迁入时,本地代理环境可以先在本地的证书库中进行校验代理信息,这在保护移动代理的传输中可以得到体现。
2.根据权利要求1所述的一种全面保护移动代理网管应用的安全架构,其特征在于所述的创建移动代理及分配权限的方法为1.)使用者即用户登录管理站代理运行环境,此处应用程序提供用户登录的帐号、密码接口,当应用程序接收到使用者所输入的帐号及密码后,便与用户管理服务器建立安全套接字联接,进行帐号的确认并且获取相应的角色;用户管理服务器根据帐号及密码信息,回传使用者的被赋予的角色以及被授权执行的模块功能;2.)根据网管的需要创建移动代理,创建此移动代理时,就与安全管理服务器建立连接,创建基于此代理的用户,时间,生命周期及可操作资源等生成数字证书;利用基于角色的方式为代理分配权限,及可操作资源信息。
3.根据权利要求1所述的一种全面保护移动代理网管应用的安全架构,其特征在于所述的保护移动代理的传输的方法为1.)要将此代理迁移至另一被管节点时,首先在此两代理运行环境之间建立安全的通道;在这里利用安全套接层协议3.0来建立此安全通道;2.)接收方代理运行环境通过安全控制先与本地证书库来验证迁入代理的证书信息,本地没有则与安全管理服务器建立连接来验证代理的数字签名,若通过则迁入此代理,否则不允许迁入此代理运行环境,并将此失败信息记入安全日志;3.)保留两代理运行环境之间的会话标识符,下次代理再次迁入时,不需要再次重复验证,仅需要重新生成会话密钥就可以了;在移动代理传输的保护机制中,采用安全套接层协议3.0来进行安全的保护,并且利用安全套接层协议3.0在通信双方相互认证后,会保留一个会话标识符,再次通信时,不再需要认证过程,只需重新生成会话密钥即可。
4.根据权利要求1所述的一种全面保护移动代理网管应用的安全架构,其特征在于所述的保护主机资源不受恶意代理破坏的方法为1.)当此代理迁移进被管理节点代理运行环境中后,并不立即被执行;2.)通过安全控制与安全管理服务器建立连接,获取此代理的主要信息,包括资源使用权,操作权限,并将资源使用权限写入资源访问单,以便代理需求资源时,进行控制;3.)代理为执行设定的动作请求本地资源,根据代理的角色信息,由资源控制调用资源访问单来完成代理可调用的资源;4.)在代理实际对资源的操作中通过沙箱安全机制及资源控制结合完成自己的操作;如对线程等的访问;5.)在此过程中,若有代理越界调用资源,则阻止此行为,并将此记入安全日志。
5.根据权利要求1所述的一种全面保护移动代理网管应用的安全架构,其特征在于所述的保护代理自身不受恶意主机攻击的方法为1.)代理所携带的一些信息,如资源使用权、执行路线,不允许被其它主机节点修改,则在创建此代理时,构建代理运行环境节点对此代理的这些信息可先用单向散列算法计算散列值,然后用私钥签名,Sign=SK(h(I)其中SK为私钥;Sign为生成的签名;I为需保护的信息;hO为单向散列函数,2.)在此代理迁移到每个节点,后先用代理运行环境的公钥对代理信息进行验证,看是否被篡改,h(I)=PK(Sign)=PK(SK(h(I))其中PK为公钥由于恶意主机没有私钥,所以无法伪造签名,3.)本地代理运行环境只可以对代理添加信息,而不可以更改前面节点携带来的信息,机制为3.1)创建地即网络管理站,随机生成一个保密的数字N,然后用此代理运行环境的公钥对N进行加密,得到一个校验值CheckNum=PK(N) 其中CheckNum为校验值,3.2)本地代理运行环境后,执行完代理设定的功能,采集到信息I,对此信息先计算散列值h(I),并用本地的私钥对此信息的散列值进行签名得SKi(h(I),3.3)将本地节点代理运行环境的身份标志Si,以及前面几站得到的校验值CheckNum及刚得到的签名SKi(h(I)加起来,然后用公钥进行签名得到新的校验值,CheckNum=PK(CheckNum+SKi(h(I))+S),3.4)通过本站的私钥对本站收集的信息进行了保护,则此站点收集的信息只可读,不可改。如有修改,则能够被检测出来;4.)代理完成自己的功能,按预定的路线迁移或自杀;在此利用传统的被动与主动的方法相结合,在移动代理迁入某代理运行环境时,会先对其状态进行检查,以确定此代理的信息或状态是否被篡改,并且也采用主动的保护方法,对主机操作代理加以限制,代理的代码部分可以分为只读部分或不可见部分,并且只允许主机对此代理追加记录,而不允许做出更改或删除。
6.根据权利要求1所述的一种全面保护移动代理网管应用的安全架构,其特征在于所述的安全证书的同步机制的方法为在此安全系统中,所有的编码证书,都集中在安全管理服务器来进行管理,若当每代理环境需要验证时,再与安全管理服务器进行验证,则耗费时间及网络资源,并且也可能导致网络断线;在此,采用同步机制,将安全管理服务器中的证书,定期发布到各代理环境中的安全控制,并将其写入当地的证书库,这样当进行验证代理的证书信息时,可以先在本地进行验证。
全文摘要
一种全面保护移动代理网管应用的安全架构,从移动代理的传输,移动代理的运行主机,及移动代理自身三个不同的方面提出了不同的保护方法。其执行流程为首先用户登录代理运行环境根据任务需要创建移动代理并分配权限,然后代理根据任务进行迁移这时需要进行移动代理传输的保护,然后代理迁移到目的主机进行执行任务,此时要保护主机资源不受恶意代理破坏,并且代理在目的主机进行执行任务时,要保护代理自身不受恶意主机的攻击;本发明方法从移动代理网管运行的全程对移动代理实施了保护,从而保证了移动代理网管的安全性,降低了安全保护的难度,减少了资源的使用,增加了安全的灵活性、可配置性和可扩展性,最大限度减少了安全隐患。
文档编号H04L29/06GK1845508SQ20061003896
公开日2006年10月11日 申请日期2006年3月21日 优先权日2006年3月21日
发明者王汝传, 姜波, 徐小龙 申请人:南京邮电大学