移动Agent系统支撑课件

移动Agent系统支撑课件问题的产生具体安全问题解决方案212/1/2022,2问题的产生212/1/2022,2安全问题蠕虫病毒：年月年月蠕虫事件年月爱虫()事件……移动代码机制是安全问题的缘由是一种“经过科学研究”而形成的“病毒”？一个运行于开放、动态网络环境中的封装良好的计算实体，它代表用户自主地在网络上移动，完成指定的任务。312/1/2022,3安全问题蠕虫病毒：312/1/2022,3单机平台的安全：基于的假设：封闭静态可跟踪可集中管理4安全问题12/1/2022,4单机平台的安全：4安全问题12/1/2022,4网络平台安全新特征：程序难追踪

;;,无意的破坏大量的交互造成安全新特点没有集中管理跨网络、全局性5安全问题12/1/2022,5网络平台安全新特征：5安全问题12/1/2022,安全问题612/1/2022,6安全问题612/1/2022,6安全问题移动环境中的安全问题保护主机利用主机上安全设施的不足或缺陷发起针对主机的攻击保护自我保护保护来访可能会利用系统的缺陷对在主机上运行的其它进行攻击保护网络12/1/2022,7安全问题移动环境中的安全问题12/1/2022,7安全问题攻击主机伪装一个把自己装扮成另一个用户的用其它合法用户的身份越权访问将恶意行为归罪于别的用户拒绝服务占用主机过多的资源无法为其它服务有意无意造成未授权访问利用平台不完善的身份验证机制越权访问812/1/2022,8安全问题攻击主机812/1/2022,8安全问题攻击其它伪装、未授权访问、拒绝服务和抵赖利用平台缺陷攻击其它类似于攻击平台912/1/2022,9安全问题攻击其它912/1/2022,9安全问题平台攻击窥视代码：逆向工程，得出的意图和功能数据：执行状态、用户的私人秘密信息、工作数据控制流：监控操纵：代码：永久植入、暂时植入，改变能力数据：破坏控制流：扭曲行为1012/1/2022,10安全问题平台攻击1012/1/2022,10安全问题平台攻击不正确执行代码返回错误结果伪装拒绝服务窥视、操纵交互攻击网络消耗资源1112/1/2022,11安全问题平台攻击1112/1/2022,11安全问题分析及对策攻击平台分析：身份隐藏越权对策：身份认证授权访问控制1212/1/2022,12安全问题分析及对策1212/1/2022,12安全问题攻击其它分析：和攻击平台类似历史证据对策：认证、授权、监控历史信息记录1312/1/2022,13安全问题攻击其它1312/1/2022,13安全问题平台攻击分析：对平台全开放对策：加密密闭混淆转移1412/1/2022,14安全问题平台攻击1412/1/2022,14安全问题攻击网络分析分布式管理困难资源使用对策付费使用资源1512/1/2022,15安全问题攻击网络1512/1/2022,15安全问题安全传输技术：防窃听防篡改16信源接收者明文传输公开信道窃听机密篡改信息12/1/2022,16安全问题安全传输技术：16信源接收者明文传输公开信道窃听机密安全问题防窃听：加密技术17信源加密编码器明文m解密编码器密文c接收者明文m公开信道密钥k密钥k’????12/1/2022,17安全问题防窃听：17信源加密编码器明文m解密编码器密文c接收安全问题对称密钥和非对称密钥对称密钥：加密、解密的密钥相同非对称密钥：密钥产生由公钥和私钥组成公钥：公开。私钥：绝密公钥和密钥可以不同方向成对使用18信源加密编码器明文m解密编码器密文c接收者明文m公开信道密钥k密钥k’12/1/2022,18安全问题18信源加密编码器明文m解密编码器密文c接收者明文m安全问题加密使用保密：19信源加密编码器明文m解密编码器密文c接收者明文m公开信道B的公钥B的私钥12/1/2022,19安全问题加密使用19信源加密编码器明文m解密编码器密文c接收安全问题12/1/2022,20信源接收者M：EB的公钥(下面的交谈内容我将采用

12345(随机产生)为对称密钥)M:EA的公钥(好的，下面的交谈采用

12345为对称密钥)在公共信道上采用12345进行加密通信安全问题12/1/2022,20信源接收者M：EB安全问题防篡改：21信源接收者在公共信道上采用12345进行加密通信篡改破坏仍然有效12/1/2022,21安全问题防篡改：21信源接收者在公共信道上采用篡改破坏仍然有安全问题数字签名22文件源摘要报文传输报文摘要密文A私钥加密文件源摘要密文摘要摘要A公钥解密比较是否一样加密后的摘要称为数字签名12/1/2022,22安全问题数字签名22文件源摘要报文传输报文摘要密文A私钥文件安全问题数字签名产生报文摘要用私钥加密摘要数字签名同时传送报文和摘要密文用公钥解密摘要密文并比较摘要原文2312/1/2022,23安全问题数字签名2312/1/2022,23系统支撑研究现状研究现状基于软件的错误隔离－－保护主机用软件将有安全隐患的程序隔离成独立区域，将这个区域映射为独立的虚拟地址空间“沙箱”()技术解释执行代码－－保护主机安全特性语言解释器添加安全设施2412/1/2022,24系统支撑研究现状研究现状2412/1/2022,2系统支撑带数字签名的代码－－保护主机可以证明代码或者数据的来源能防止抵赖能确保信息的完整性微软公司的公司的,2512/1/2022,25系统支撑带数字签名的代码－－保护主机2512/1/2022系统支撑状态评估函数－－保护主机代码中的一部分，用数字签名防止被修改给定的状态空间，给定一定的状态特征不变式接受节点通过该函数判断该数据是否被篡改过了，进而主机以此为依据分配给访问资源的权利不满足：主机将不会给分配任何资源；只违反了一些条件因子()：可以给一些受限制的资源。缺陷：状态空间可能较大不变式和条件因子设定困难2612/1/2022,26系统支撑状态评估函数－－保护主机2612/1/2022携带证明的代码（）－－保护主机接受者制定一系列安全策略携带一个证明器证明器可以证明的行为可以满足上述安全策略接受主机先验证后“放行”27系统支撑12/1/2022,27携带证明的代码（）－－保护主机27系统支撑12/1/2相互记录旅行历史－－保护防止恶意主机的攻击由两个合作记录旅行历史信息缺陷：恶意主机的串通无法避免建立安全通道困难28系统支撑12/1/2022,28相互记录旅行历史－－保护28系统支撑12/1/2022的复制和投票－－保护一个任务由多个同时去完成结果由这些投票产生通过足够的冗余防止主机的破坏缺陷：消耗过多的资源29系统支撑12/1/2022,29的复制和投票－－保护29系统支撑12/1/2022,执行跟踪－－保护白色语句黑色语句执行记录：<>序列。其中：是语句标识，是语句执行结果的数字签名为白色语句时，为空，否则，是该黑色语句执行后结果的签名30系统支撑12/1/2022,30执行跟踪－－保护30系统支撑12/1/2022,3系统支撑加密函数计算－－保护直接对加密的数据进行处理，得到的结果仍然是加密的()((())):是一对加解密函数原理简单，实现困难3112/1/2022,31系统支撑加密函数计算－－保护3112/1/2022,系统支撑混淆代码－－保护有限的时间内无法破译时间有关的安全保密缺乏数学基础32Mess-upAlgorithmOriginalAgentBlackboxedAgentRandomParameters12/1/2022,32系统支撑混淆代码－－保护32Mess-upAlgorith系统支撑现状在现代分布式系统安全基础上进行了大量研究，取得了一些成果，特别是保护主机目前做得最好许多方法较为新颖，但实用性还有待改进一些困难的问题，如移动环境下的数字签名、保护等仍然没有好的方法3312/1/2022,33系统支撑现状3312/1/2022,33系统支撑系统安全设计目标保密性移动之间通信应保密移动移动时应保密站点和上的数据应保密完整性受保护的数据不能被破坏或修改可用性主要针对拒绝服务系统性千里长堤，毁于蚁穴3412/1/2022,34系统支撑系统安全设计目标3412/1/2022,3系统安全机制安全关注系统安全结构安全传输通道通信安全传输安全节点安全信任传递认证、授权及其访问控制网络保护付费使用资源3512/1/2022,35系统安全机制安全关注3512/1/2022,35系统安全36访问控制密写操作安全传输通道密钥DB授权安全策略货币DB货币DBMogent银行中心密钥管理器电子货币中央发行银行通信安全站点安全网络安全12/1/2022,36系统安全36访问控制密写操作安全传密钥授权安全策略货币货币系统安全机制安全传输通道安全体系的核心：保护站点，其它，通信授权基于信任的授权模型，保护站点访问控制：电子货币网络保护为电子商务应用提供基础3712/1/2022,37系统安全机制安全传输通道3712/1/2022,3系统安全机制安全传输通道38mogentuser/servermogentserver!钟?；鵍€濉议棖螠術?Whataretheytalkingabout?eavesdropperinthecorner12/1/2022,38系统安全机制安全传输通道38mogentuser/serv系统安全机制确保传输的保密性和完整性类似的协议运用、、等成熟的现代密码学技术3912/1/2022,39系统安全机制确保传输的保密性和完整性3912/1/2022系统安全安全传输通道实现方式对称密钥密钥确定不易非对称密钥安全问题性能问题两阶段握手非对称密钥方法确定对称密钥对称密钥进行安全传输4012/1/2022,40系统安全安全传输通道4012/1/2022,40安全传输通道41

公开密钥身份认证商定密钥系统安全12/1/2022,41安全传输通道41公开密钥商定密钥系统安全12/1/202系统安全授权和访问控制授权是给一个用户的设置可访问的资源平台的管理者和用户之间的信任关系的发送者管理者自身旅行中其它服务器上的用户4212/1/2022,42系统安全授权和访问控制4212/1/2022,42系统安全机制基于信任传递的授权模型节点保护措施身份认证＋授权＋访问控制在移动环境中的不足43

FriendlyHost

12/1/2022,43系统安全机制基于信任传递的授权模型43Friendly系统安全机制基于信任传递的安全模型44

From:ATo:BFrom:ATo:BFrom:BTo:CFrom:ATo:BFrom:BTo:CFrom:CTo:I

依I给A,B,C的访问权限之交集给m授权12/1/2022,44系统安全机制基于信任传递的安全模型44From:A系统安全机制分析：访问过的主机信息必须予以保护使用联锁（）机制在没有协作的恶意情况下防止篡改和其它方法相比安全保障程度更高不足：缺乏柔性4512/1/2022,45系统安全机制分析：4512/1/2022,45联锁机制46本节点地址下一节点地址数字签名202.119.36.173202.119.36.174•••202.119.36.174202.119.36.175•••202.119.36.175202.119.36.176••••••••••••12/1/2022,46联锁机制46本节点地址下一节点地址数字签名202.119.3信任及信任管理基于信任传递的安全模型再思考：通过认证确认身份及旅行路径授权依赖于所经历的节点路径旅行历史保存授权节点（目的节点）必须“认识”旅行历史上列示节点，必须制定有相应的授权策略授权算法思想是对路径上所有节点的授权策略求交集，这种“绝对的”安全思想缺乏柔性，对分布应用系统的有效运行不利。4712/1/2022,47信任及信任管理基于信任传递的安全模型再思考：4712/1/2安全与信任从安全到信任静态到动态简单到灵活绝对到相对客观到主观4812/1/2022,48安全与信任从安全到信任4812/1/2022,48信任和安全信任的显式提出给我们带来了什么？根据信任的度进行授权，给我们带来了授权的柔性计算伙伴的信任度，在安全策略基础上，根据信任度进行授权计算根据信任的推荐和传递，给我们带来了授权的科学性陌生伙伴不再是授权的“空白”丰富了安全的含义绝对好足够好4912/1/2022,49信任和安全信任的显式提出给我们带来了什么？4912/1/20信任到底是什么？(,,),.5012/1/2022,50信任到底是什么？(,,)信任的度信任度：到之间的变化这种变化：反映了一个实体在不同的环境、应用、时刻下安全特性的变化给我们带来了根据变化进行授权的柔性可能信任度的度量单个实体的信任度的度量由多个实体构成的系统的系统信任度的度量5112/1/2022,51信任的度信任度：5112/1/2022,51信任特性主观性：信任不是一个客观的属性，评价方的主观意识将影响信任评估，如：不同的个体对同一事物的看法会受个体喜好等因素影响可能性预测：信任的程度可表示为对事件发生的概率的可能性估计信任的衡量包括多方面的因素信任衡量方自身的好恶相应软件实体的以往使用经验来自他人的对软件实体的推荐5212/1/2022,52信任特性主观性：5212/1/2022,52信任特性内容相关：信任是对事物的某个方面（如完成某项任务的能力）而言的服务提供者提供服务在不同的环境中关键程度不一样也会导致信任度的不一致5312/1/2022,53信任特性内容相关：5312/1/2022,53例：在不同的环境、不同的应用、不同的合作伙伴的合作中，张三进行了行为若干次，既有成功、也有失败。李四需要服务。李四在寻找合作伙伴中，对张三进行考察定义对张三做行为的预期：如果让张三做，要求其成功率大于％张三做的成功率大于％（命题）李四对该命题进行判断采用假设检验方法进行判断如果，判断出“该命题为真是小概率事件”，则该命题不成立，确认张三不可信。信任度：该命题为真的概率5412/1/2022,54例：在不同的环境、不同的应用、不同的合作伙伴的合作中，张三进信任分类信任的分类直接信任来源于直接经验推荐信任来源于间接经验5512/1/2022,55信任分类信任的分类5512/1/2022,55信任评估计算信任关系计算:客观经验：选择实体通过自身的使用或通过推荐实体的推荐所获得的对协作实体使用情况的记录主观评估：采用概率统计中假设检验的理论，为信任判断提供量化依据主观参数：假设成功概率5612/1/2022,56信任评估计算信任关系计算:5612/1/2022,信任安全管理的一种方法比较具有柔性动态评估但不严格评估标准可以加入主观意识5712/1/2022,57信任安全管理的一种方法5712/1/2022,57系统安全机制访问控制根据授权信息实时地监视对系统资源的访问，判断访问是否允许，如果可以就继续执行，否则抛出异常，终止对资源的访问计费任务：在访问之前，要根据现有的货币量和待访问资源的价格判断它是否有支付能力，如果有，就把将要访问的资源的信息计入的账单，在运行结束后一起结算。5812/1/2022,58系统安全机制访问控制5812/1/2022,58系统安全机制电子货币目的：促进开放、保护网络、抗御攻击准备电子商务应用货币格式发行者对上述数据的数字签名，防止伪造和非法篡改发行银行确保其发行的每一货币序号的唯一性，并记录下每一货币的使用情况，防止多次使用。为简单起见，系统目前只支持一家货币发行银行。59持有者发行者发行日期货币序号面值数字签名12/1/2022,59系统安全机制电子货币59持有者发行者发行日期系统安全机制支付协议60

电子货币发行银行1电子货币&帐单2转账3新的货币和零钱4零钱,发票12/1/2022,60系统安全机制支付协议601电子货币&帐单2转账3新的系统安全机制6112/1/2022,61系统安全机制6112/1/2022,61容错问题容错：容许系统在运行过程中发生一定的差错或者故障时仍能保持正常工作而不影响正确结果的一种性能或措施容错是系统可靠性研究的重要方面6212/1/2022,62容错问题容错：6212/1/2022,62网络连接容错问题移动系统容错模型：63主机(硬件,OS,解释器,各种资源)移动agent平台资源包装器Agent应用Agent应用连接不正常，断开、拥塞主机崩溃服务崩溃工作失常12/1/2022,63网络连接容错问题移动系统容错模型：63主机(硬件,OS,解释容错问题研究约束：采用模型当发生无法克服的错误时，程序将中止运行，而不会执行错误动作，产生负面影响，同时这种中止将从下一层传播到上一层。可靠的通讯信道可靠指通过信道传输的消息数目、顺序和内容都不会遭到破坏，而且消息一定能到达目标地址。基于连接的协议，如协议都能满足这些要求。12/1/202264,容错问题研究约束：12/1/202264,容错问题研究约束：在发生错误后，主机和网络连接等终将恢复正常，但不限定它们的恢复时间。资源和服务本身具有容错能力，在发生错误时能向请求者报告，资源请求者也需要考虑这一点。应用程序都应该有良好的程序质量，经过测试，没有程序错误，且可以处理各种异常。6512/1/2022,65容错问题研究约束：6512/1/2022,65容错问题：因传输等故障，经容错处理后，一个逻辑上只能到达并执行一次的被先后发送多份至同一节点并都得到了恢复执行66AA’A’12/1/2022,66容错问题：66AA’A’12/1/2022,6容错问题之执行模型：的执行是一个的序列进入某一站点即开始了一个,离开该站点则结束上述.每个包含一个结点和若干个结点结点是该的主要工作结点结点负责对结点的监测，是结点的备用结点.相邻两个之间设置有消息队列缓冲机制缓冲6712/1/2022,67容错问题之执行模型：6712/1/2022,67系统容错处理执行模型68Stagei+1Stagei消息队列12/1/2022,68系统容错处理执行模型68Stagei+1Stagei消息队列

当一个按旅行计划准备进入下一时,本身(代码及状态)被送入上述消息队列中进行缓冲.下一的首先从该队列中取出并恢复执行.69putget

12/1/2022,69当一个按旅行计划准备进入下一时,本身(代码及状态)被送入容错问题所有监视在上的执行,发现故障后将通过”投票””选举”出的替身,从消息队列中取并恢复执行7012/1/2022,70容错问题所有监视在上的执行,发现故障后将通过”投票””选举”容错问题其它容错处理方法相似的模型在某一上的所有结点上并行执行.迁移动作也是迁移到下一的每一个结点.基于的事务处理模型中,提出了,用监测来判断和处理故障,但只给出了概念模型,并没有相关的算法和实现.特殊系统结构上的容错机制,该系统结构下,一个由若干个通过可靠的连接的主机构成,同时提供()对任意上的的执行进行跟踪并在发现中某主机故障时进行处理.但该机制对及相关的通讯的高可靠性的假设是不令人信服的.7112/1/2022,71容错问题其它容错处理方法7112/1/2022,7容错问题其它容错处理方法后卫：在迁移动作发生之前创建一个后卫(),监测并处理迁移后的的执行和故障处理.“进程二元组”或””处理机制.主进程在执行过程中不断地将信息交给进程,当主进程发生故障时进程即可从最近处恢复执行.7212/1/2022,72容错问题其它容错处理方法7212/1/2022,7容错问题系统容错考虑基于复制和事务的移动平台容错借助的环境适应性开展的容错基于复制和事务的移动平台容错:检查点是一种实现错误恢复的有效途径一个的检查点是其在某一时刻的状态快照，可以根据某时刻作的检查点把重新恢复成和当时相同的状态并且通过在多个节点上保存检查点副本，使得某节点失败后可以在其他节点上根据保存的检查点副本恢复的运行7312/1/2022,73容错问题系统容错考虑7312/1/2022,73容错问题74错误种类后果检测处理主机崩溃平台崩溃及所有丢失由检测重启主机，恢复平台崩溃主机上所有丢失由检测恢复平台运行，由恢复12/1/2022,74容错问题74错误种类后果检测处理主机崩溃平台崩溃及所有丢失容错问题75主机上的失败丢失由平台检测平台通知，确定检查点，选择恢复网络连接失败平台以及均不可达由检测类似主机崩溃处理崩溃可能导致备份数据不一致由备份检测备份自动升级成，通知所有的主机，产生一个新的备份12/1/2022,75容错问题75主机上的失败丢失由平台检测平台通知，确容错问题：协调＋事务处理机制迁移事务封装借助的环境适应性开展的容错旅行计划中的卫士条件判断方式的冗余容错7612/1/2022,76容错问题：7612/1/2022,76移动系统支撑MobileAgentPlaceMobileAgentPlaceNetworkMobileAgentServer…………MobileAgentSpace77迁移支撑子系统通信协作支撑子系统安全管理子系统监控子系统12/1/2022,77移动系统支撑MobileAgentPlaceMobile思考题比较蠕虫病毒和移动的异同移动系统的安全包括哪几个方面？解释的工作原理简述系统中采用的联锁机制的优缺点如何借助的环境适应性开展容错？7812/1/2022,78思考题比较蠕虫病毒和移动的异同7812/1/2022,Reference李新，吕建，曹春，冯新宇，陶先平.移动Agent系统的安全性研究，软件学报vol.13,no.10,2002MichaelS.GreenbergandJenniferC.Byington,TheophanyHolding,DavidG.Harper,MobileAgentsandSecurity,IEEECommunicationsMagazine,July1998N.Borselius,Mobileagentsecurity,Electronics&CommunicationEngineeringJournal,October2002,Volume14,no5,IEE,London,UK,pp211-2187912/1/2022InstituteofComputerSoftware,NanjingUniversity79Reference李新，吕建，曹春，冯新宇，陶先平.移动A移动Agent系统支撑课件问题的产生具体安全问题解决方案8112/1/2022,81问题的产生212/1/2022,2安全问题蠕虫病毒：年月年月蠕虫事件年月爱虫()事件……移动代码机制是安全问题的缘由是一种“经过科学研究”而形成的“病毒”？一个运行于开放、动态网络环境中的封装良好的计算实体，它代表用户自主地在网络上移动，完成指定的任务。8212/1/2022,82安全问题蠕虫病毒：312/1/2022,3单机平台的安全：基于的假设：封闭静态可跟踪可集中管理83安全问题12/1/2022,83单机平台的安全：4安全问题12/1/2022,4网络平台安全新特征：程序难追踪

;;,无意的破坏大量的交互造成安全新特点没有集中管理跨网络、全局性84安全问题12/1/2022,84网络平台安全新特征：5安全问题12/1/2022,安全问题8512/1/2022,85安全问题612/1/2022,6安全问题移动环境中的安全问题保护主机利用主机上安全设施的不足或缺陷发起针对主机的攻击保护自我保护保护来访可能会利用系统的缺陷对在主机上运行的其它进行攻击保护网络12/1/2022,86安全问题移动环境中的安全问题12/1/2022,7安全问题攻击主机伪装一个把自己装扮成另一个用户的用其它合法用户的身份越权访问将恶意行为归罪于别的用户拒绝服务占用主机过多的资源无法为其它服务有意无意造成未授权访问利用平台不完善的身份验证机制越权访问8712/1/2022,87安全问题攻击主机812/1/2022,8安全问题攻击其它伪装、未授权访问、拒绝服务和抵赖利用平台缺陷攻击其它类似于攻击平台8812/1/2022,88安全问题攻击其它912/1/2022,9安全问题平台攻击窥视代码：逆向工程，得出的意图和功能数据：执行状态、用户的私人秘密信息、工作数据控制流：监控操纵：代码：永久植入、暂时植入，改变能力数据：破坏控制流：扭曲行为8912/1/2022,89安全问题平台攻击1012/1/2022,10安全问题平台攻击不正确执行代码返回错误结果伪装拒绝服务窥视、操纵交互攻击网络消耗资源9012/1/2022,90安全问题平台攻击1112/1/2022,11安全问题分析及对策攻击平台分析：身份隐藏越权对策：身份认证授权访问控制9112/1/2022,91安全问题分析及对策1212/1/2022,12安全问题攻击其它分析：和攻击平台类似历史证据对策：认证、授权、监控历史信息记录9212/1/2022,92安全问题攻击其它1312/1/2022,13安全问题平台攻击分析：对平台全开放对策：加密密闭混淆转移9312/1/2022,93安全问题平台攻击1412/1/2022,14安全问题攻击网络分析分布式管理困难资源使用对策付费使用资源9412/1/2022,94安全问题攻击网络1512/1/2022,15安全问题安全传输技术：防窃听防篡改95信源接收者明文传输公开信道窃听机密篡改信息12/1/2022,95安全问题安全传输技术：16信源接收者明文传输公开信道窃听机密安全问题防窃听：加密技术96信源加密编码器明文m解密编码器密文c接收者明文m公开信道密钥k密钥k’????12/1/2022,96安全问题防窃听：17信源加密编码器明文m解密编码器密文c接收安全问题对称密钥和非对称密钥对称密钥：加密、解密的密钥相同非对称密钥：密钥产生由公钥和私钥组成公钥：公开。私钥：绝密公钥和密钥可以不同方向成对使用97信源加密编码器明文m解密编码器密文c接收者明文m公开信道密钥k密钥k’12/1/2022,97安全问题18信源加密编码器明文m解密编码器密文c接收者明文m安全问题加密使用保密：98信源加密编码器明文m解密编码器密文c接收者明文m公开信道B的公钥B的私钥12/1/2022,98安全问题加密使用19信源加密编码器明文m解密编码器密文c接收安全问题12/1/2022,99信源接收者M：EB的公钥(下面的交谈内容我将采用

12345(随机产生)为对称密钥)M:EA的公钥(好的，下面的交谈采用

12345为对称密钥)在公共信道上采用12345进行加密通信安全问题12/1/2022,20信源接收者M：EB安全问题防篡改：100信源接收者在公共信道上采用12345进行加密通信篡改破坏仍然有效12/1/2022,100安全问题防篡改：21信源接收者在公共信道上采用篡改破坏仍然有安全问题数字签名101文件源摘要报文传输报文摘要密文A私钥加密文件源摘要密文摘要摘要A公钥解密比较是否一样加密后的摘要称为数字签名12/1/2022,101安全问题数字签名22文件源摘要报文传输报文摘要密文A私钥文件安全问题数字签名产生报文摘要用私钥加密摘要数字签名同时传送报文和摘要密文用公钥解密摘要密文并比较摘要原文10212/1/2022,102安全问题数字签名2312/1/2022,23系统支撑研究现状研究现状基于软件的错误隔离－－保护主机用软件将有安全隐患的程序隔离成独立区域，将这个区域映射为独立的虚拟地址空间“沙箱”()技术解释执行代码－－保护主机安全特性语言解释器添加安全设施10312/1/2022,103系统支撑研究现状研究现状2412/1/2022,2系统支撑带数字签名的代码－－保护主机可以证明代码或者数据的来源能防止抵赖能确保信息的完整性微软公司的公司的,10412/1/2022,104系统支撑带数字签名的代码－－保护主机2512/1/2022系统支撑状态评估函数－－保护主机代码中的一部分，用数字签名防止被修改给定的状态空间，给定一定的状态特征不变式接受节点通过该函数判断该数据是否被篡改过了，进而主机以此为依据分配给访问资源的权利不满足：主机将不会给分配任何资源；只违反了一些条件因子()：可以给一些受限制的资源。缺陷：状态空间可能较大不变式和条件因子设定困难10512/1/2022,105系统支撑状态评估函数－－保护主机2612/1/2022携带证明的代码（）－－保护主机接受者制定一系列安全策略携带一个证明器证明器可以证明的行为可以满足上述安全策略接受主机先验证后“放行”106系统支撑12/1/2022,106携带证明的代码（）－－保护主机27系统支撑12/1/2相互记录旅行历史－－保护防止恶意主机的攻击由两个合作记录旅行历史信息缺陷：恶意主机的串通无法避免建立安全通道困难107系统支撑12/1/2022,107相互记录旅行历史－－保护28系统支撑12/1/2022的复制和投票－－保护一个任务由多个同时去完成结果由这些投票产生通过足够的冗余防止主机的破坏缺陷：消耗过多的资源108系统支撑12/1/2022,108的复制和投票－－保护29系统支撑12/1/2022,执行跟踪－－保护白色语句黑色语句执行记录：<>序列。其中：是语句标识，是语句执行结果的数字签名为白色语句时，为空，否则，是该黑色语句执行后结果的签名109系统支撑12/1/2022,109执行跟踪－－保护30系统支撑12/1/2022,3系统支撑加密函数计算－－保护直接对加密的数据进行处理，得到的结果仍然是加密的()((())):是一对加解密函数原理简单，实现困难11012/1/2022,110系统支撑加密函数计算－－保护3112/1/2022,系统支撑混淆代码－－保护有限的时间内无法破译时间有关的安全保密缺乏数学基础111Mess-upAlgorithmOriginalAgentBlackboxedAgentRandomParameters12/1/2022,111系统支撑混淆代码－－保护32Mess-upAlgorith系统支撑现状在现代分布式系统安全基础上进行了大量研究，取得了一些成果，特别是保护主机目前做得最好许多方法较为新颖，但实用性还有待改进一些困难的问题，如移动环境下的数字签名、保护等仍然没有好的方法11212/1/2022,112系统支撑现状3312/1/2022,33系统支撑系统安全设计目标保密性移动之间通信应保密移动移动时应保密站点和上的数据应保密完整性受保护的数据不能被破坏或修改可用性主要针对拒绝服务系统性千里长堤，毁于蚁穴11312/1/2022,113系统支撑系统安全设计目标3412/1/2022,3系统安全机制安全关注系统安全结构安全传输通道通信安全传输安全节点安全信任传递认证、授权及其访问控制网络保护付费使用资源11412/1/2022,114系统安全机制安全关注3512/1/2022,35系统安全115访问控制密写操作安全传输通道密钥DB授权安全策略货币DB货币DBMogent银行中心密钥管理器电子货币中央发行银行通信安全站点安全网络安全12/1/2022,115系统安全36访问控制密写操作安全传密钥授权安全策略货币货币系统安全机制安全传输通道安全体系的核心：保护站点，其它，通信授权基于信任的授权模型，保护站点访问控制：电子货币网络保护为电子商务应用提供基础11612/1/2022,116系统安全机制安全传输通道3712/1/2022,3系统安全机制安全传输通道117mogentuser/servermogentserver!钟?；鵍€濉议棖螠術?Whataretheytalkingabout?eavesdropperinthecorner12/1/2022,117系统安全机制安全传输通道38mogentuser/serv系统安全机制确保传输的保密性和完整性类似的协议运用、、等成熟的现代密码学技术11812/1/2022,118系统安全机制确保传输的保密性和完整性3912/1/2022系统安全安全传输通道实现方式对称密钥密钥确定不易非对称密钥安全问题性能问题两阶段握手非对称密钥方法确定对称密钥对称密钥进行安全传输11912/1/2022,119系统安全安全传输通道4012/1/2022,40安全传输通道120

公开密钥身份认证商定密钥系统安全12/1/2022,120安全传输通道41公开密钥商定密钥系统安全12/1/202系统安全授权和访问控制授权是给一个用户的设置可访问的资源平台的管理者和用户之间的信任关系的发送者管理者自身旅行中其它服务器上的用户12112/1/2022,121系统安全授权和访问控制4212/1/2022,42系统安全机制基于信任传递的授权模型节点保护措施身份认证＋授权＋访问控制在移动环境中的不足122

FriendlyHost

12/1/2022,122系统安全机制基于信任传递的授权模型43Friendly系统安全机制基于信任传递的安全模型123

From:ATo:BFrom:ATo:BFrom:BTo:CFrom:ATo:BFrom:BTo:CFrom:CTo:I

依I给A,B,C的访问权限之交集给m授权12/1/2022,123系统安全机制基于信任传递的安全模型44From:A系统安全机制分析：访问过的主机信息必须予以保护使用联锁（）机制在没有协作的恶意情况下防止篡改和其它方法相比安全保障程度更高不足：缺乏柔性12412/1/2022,124系统安全机制分析：4512/1/2022,45联锁机制125本节点地址下一节点地址数字签名202.119.36.173202.119.36.174•••202.119.36.174202.119.36.175•••202.119.36.175202.119.36.176••••••••••••12/1/2022,125联锁机制46本节点地址下一节点地址数字签名202.119.3信任及信任管理基于信任传递的安全模型再思考：通过认证确认身份及旅行路径授权依赖于所经历的节点路径旅行历史保存授权节点（目的节点）必须“认识”旅行历史上列示节点，必须制定有相应的授权策略授权算法思想是对路径上所有节点的授权策略求交集，这种“绝对的”安全思想缺乏柔性，对分布应用系统的有效运行不利。12612/1/2022,126信任及信任管理基于信任传递的安全模型再思考：4712/1/2安全与信任从安全到信任静态到动态简单到灵活绝对到相对客观到主观12712/1/2022,127安全与信任从安全到信任4812/1/2022,48信任和安全信任的显式提出给我们带来了什么？根据信任的度进行授权，给我们带来了授权的柔性计算伙伴的信任度，在安全策略基础上，根据信任度进行授权计算根据信任的推荐和传递，给我们带来了授权的科学性陌生伙伴不再是授权的“空白”丰富了安全的含义绝对好足够好12812/1/2022,128信任和安全信任的显式提出给我们带来了什么？4912/1/20信任到底是什么？(,,),.12912/1/2022,129信任到底是什么？(,,)信任的度信任度：到之间的变化这种变化：反映了一个实体在不同的环境、应用、时刻下安全特性的变化给我们带来了根据变化进行授权的柔性可能信任度的度量单个实体的信任度的度量由多个实体构成的系统的系统信任度的度量13012/1/2022,130信任的度信任度：5112/1/2022,51信任特性主观性：信任不是一个客观的属性，评价方的主观意识将影响信任评估，如：不同的个体对同一事物的看法会受个体喜好等因素影响可能性预测：信任的程度可表示为对事件发生的概率的可能性估计信任的衡量包括多方面的因素信任衡量方自身的好恶相应软件实体的以往使用经验来自他人的对软件实体的推荐13112/1/2022,131信任特性主观性：5212/1/2022,52信任特性内容相关：信任是对事物的某个方面（如完成某项任务的能力）而言的服务提供者提供服务在不同的环境中关键程度不一样也会导致信任度的不一致13212/1/2022,132信任特性内容相关：5312/1/2022,53例：在不同的环境、不同的应用、不同的合作伙伴的合作中，张三进行了行为若干次，既有成功、也有失败。李四需要服务。李四在寻找合作伙伴中，对张三进行考察定义对张三做行为的预期：如果让张三做，要求其成功率大于％张三做的成功率大于％（命题）李四对该命题进行判断采用假设检验方法进行判断如果，判断出“该命题为真是小概率事件”，则该命题不成立，确认张三不可信。信任度：该命题为真的概率13312/1/2022,133例：在不同的环境、不同的应用、不同的合作伙伴的合作中，张三进信任分类信任的分类直接信任来源于直接经验推荐信任来源于间接经验13412/1/2022,134信任分类信任的分类5512/1/2022,55信任评估计算信任关系计算:客观经验：选择实体通过自身的使用或通过推荐实体的推荐所获得的对协作实体使用情况的记录主观评估：采用概率统计中假设检验的理论，为信任判断提供量化依据主观参数：假设成功概率13512/1/2022,135信任评估计算信任关系计算:5612/1/2022,信任安全管理的一种方法比较具有柔性动态评估但不严格评估标准可以加入主观意识13612/1/2022,136信任安全管理的一种方法5712/1/2022,57系统安全机制访问控制根据授权信息实时地监视对系统资源的访问，判断访问是否允许，如果可以就继续执行，否则抛出异常，终止对资源的访问计费任务：在访问之前，要根据现有的货币量和待访问资源的价格判断它是否有支付能力，如果有，就把将要访问的资源的信息计入的账单，在运行结束后一起结算。13712/1/2022,137系统安全机制访问控制5812/1/2022,58系统安全机制电子货币目的：促进开放、保护网络、抗御攻击准备电子商务应用货币格式发行者对上述数据的数字签名，防止伪造和非法篡改发行银行确保其发行的每一货币序号的唯一性，并记录下每一货币的使用情况，防止多次使用。为简单起见，系统目前只支持一家货币发行银行。138持有者发行者发行日期货币序号面值数字签名12/1/2022,138系统安全机制电子货币59持有者发行者发行日期系统安全机制支付协议139

电子货币发行银行1电子货币&帐单2转账3新的货币和零钱4零钱,发票12/1/2022,139系统安全机制支付协议601电子货币&帐单2转账3新的系统安全机制14012/1/2022,140系统安全机制6112/1/2022,61容错问题容错：容许系统在运行过程中发生一定的差错或者故障时仍能保持正常工作而不影响正确结果的一种性能或措施容错是系统可靠性研究的重要方面14112/1/2022,141容错问题容错：6212/1/2022,62网络连接容错问题移动系统容错模型：142主机(硬件,OS,解释器,各种资源)移动agent平台资源包装器Agent应用Agent应用连接不正常，断开、拥塞主机崩溃服务崩溃工作失常12/1/2022,142网络连接容错问题移动系统容错模型：63主机(硬件,OS,解释容错问题研究约束：采用模型当发生无法克服的错误时，程序将中止运行，而不会执行错误动作，产生负面影响，同时这种中止将从下一层传播到上一层。可靠的通讯信道可靠指通过信道传输的消息数目、顺序和内容都不会遭到破坏，而且消息一定能到达目标地址。基于连接的协议，如协议都能满足这些要求。12/1/2022143,容错问题研究约束：12/1/202264,容错问题研究约束：在发生错误后，主机和网络连接等终将恢复正常，但不限定它们的恢复时间。资源和服务本身具有容错能力，在发生错误时能向请求者报告，资源请求者也需要考虑这一点。应用程序都应该有良好的程序质量，经过测试，没有程序错误，且可以处理各种异常。14412/1/2022,144容错问题研究约束：6512/1/2022,65容错问题：因传输等故障，经容错处理后，一个逻辑上只能到达并执行一次的被先后发送多份至同一节点并都得到了恢复执行145AA’A’12/1/2022,145容错问题：66AA’A’12/1/2022,6容错问题之执行模型：的执行是一个的序列进入某一站点即开始了一个,离开该站点则结束上述.每个包含一个结点和若干个结点结点是该的主要工作结点结点负责对结点的监测，是结点的备用结点