一个开放的agen安全体系结构

一个开放的agen安全体系结构

多媒体系统（mas）的运行需要一个强有力的安全机制。大多数安全体系结构侧重于人类与代理的边界，以及使用接近人类互动的系统和可靠的信任机制。为了防止活动在mas中受到破坏，有必要建立两个主要组件：第一，analysis必须知道他们的同伴和活动，并识别恶意活动，以便将来避免它们。其中之一是mas结构应该有一个自我保护的机制。Teng等描述了已证实的Dempster-Schafer的理论我们认为信任是发生在Agent上高水平认知过程.因此,在MAS中一个Agent对另一个Agent建立的信任水平依赖Agent当前状态、MAS状态、当前要达到的目标和在Agent环境中的生命周期.我们提出一个支持Agent的安全结构设计,实现无约束的安全策略,Agent可以自制地保护自己1对代理人的命名和验证1.1身份技术平台的实现MAS中通过名字访问Agent,Agent名字必须唯一,因此每个Agent可以明确访问其他Agent.在封闭的MAS中产生问题最小,只要保证分配Agent唯一名字,在不和其他实体/系统交互时,Agent可以在生命周期里使用唯一的名字.开放系统没有人的仲裁,须保证生命周期里Agent的名字唯一.使用服务中心模型解决Agent命名问题,模型中每个MAS包括操作域和域中Agent唯一命名.运行在MAS中的身份服务(IdentityService,IS)更易实现.IS保证每个Agent在它MAS域中分配唯一名字,IS也兼作认证机构(CertificationAuthority,CA)和发布身份证书的角色.Agent与IS交互是身份需求记录(IdentityRequestRecord,IRR)的交换,IRR提交给IS并由它认证和承认.IRR定义如下.1假设=(其中:IS域中如果2假设IS和IRR的概念类似Internet命名机构(NamingAuthorities,NA)和X.509证书签名请求.本文将NA和CA结合到MAS结构中去实现.身份服务器也可以在域中构成一个层次结构,将MAS分成不同子域.IS发布证书的名字使用定义2中1.2身份证书假设在MAS中所有Agent接收一个身份证书3假设任何文档sign(其中:(在特殊文档4假设任何签名文档(verify(得到2干预系统的安全结构2.1安全系统策略使用消除MAS中的威胁需要要采用正确的安全策略和协议.策略的使用通常依赖系统开发,并考虑假设条件和约束条件.为实现安全的健壮性,身份验证、许可和安全通信这3个基本要素必须实现.2.1.1伴真正的解码Agent在通信前必须互相鉴别,确定通信伙伴真正是它需要的.鉴别auth(5假设MAS中Agentauth(定义5中如果主NS能成功地解码任何由->:->:其中:2.1.2强制认可协议的生成参与者在交互中须保证通信令牌来源于被要求的实体.并用sign(:(->:result=verify(其中:以上强制认可协议中,Agent2.1.3不对称密码的使用安全机制要保证通信不被第3方监听.Agent可以使用不对称密码系统交换对称密码如DES,然后为连续的对话建立和维护一个安全的通信通道.在不对称密码编码不可行的情况下,可以使用如文献2.2在网络环境中的应用典型基础组件的例子是Agent名字服务器(AgentNameServer,ANS).ANS是映射Agent名字到网络物理位置的仓库.Agent我们对ACA进行了扩展并提供Agent鉴别需求服务,将它包含到MAS基础组件中,管理Agent身份.IS是一个概念上的实体,它可以成为ANS的一部分或独立服务或提供一组服务.2.3MAS2.3.1简单的aps记录协议下面给出简单ANS注册协议.协议中Agent->->->:result=verify(->其中:文献2.3.2简单ans注销协议ANS维护Agent名字映射到网络地址的记录,Agent不能修改,除非它拥有权限才可以修改,这是它的本质.因此只有在ANS注册的Agent可以注销他们自己.为了实现这个方针ANS必须验证要注销的Agent.我们用下面的简单ANS注销协议,该协议的本质要求Agent确实是先前注册到ANS上,并希望现在注销.只有满足两个条件注销才成功.一是Agent注销名字与注册名字相同;一是Agent证明自己确实是名字的有效拥有者;也就是auth(->:result=((:Unregistername->其中:2.4性能描述和电子欺骗我们可以通过安全策略预防恶意Agent破坏,该策略确保只有已经注册唯一名字的Agent可以注销.ANS注销协议可以通过在注销前鉴别Agent来实施该策略.另外ANS确保Agent的注销请求名字和注册记录中名字是相同的,IS提供的唯一命名机制提供保证,因此Agent不能注销它不拥有的名字.性能描述服务也可以使用类似的程序保证性能描述文档不被恶意地编辑或删除.Agent还可以使用标准协议(如SSL)建立和维护安全的通信通道.重新攻击的预防是在消息中嵌入时限,即最新产生的响应回送随机串.Agent之间通信形成链,每个消息包含前面消息的时限,且一个新的时限包含在下个消息中.重发消息将拥有来自于消息队列前趋的时限,因此某Agent试图伪装成其他Agent重新发送偷听到的消息,时限不匹配将被阻止.数字签名保护Agent通信消息不被篡改.Agent电子欺骗攻击通过对以前通信严格鉴别预防.假设Agent拒绝服务(DenialofServiceDoS)攻击方式多样,是域的特殊性.简单DoS攻击是Agent注入大量请求,使服务提供者超载,无法与其他Agent作用.解决策略是保证系统资源充分分布到不同的客户请求服务中.大量请求的接收超过一个界限,过载Agent可以忽略从一个DoS攻击者发来的请求.3在多媒体中，元件的生命周期以下给出Agent的生命周期和它与MAS交互的方案,并表明Agent可以在MAS中安全地运行.11启动仪式Agent22与同事的通信Agent32映射程序MAS中Agent4所保护亚信系统Agent要在多个位置上运行,需要注册到ANS并维护多个注册记录.它可以重复注册在不同的位置上.这样在MAS中任何位置注册运行的Agent都可以与它联系.52多重身份命名方案用6交叉认证设IS4开放agent环境下的agent安全生存由于Agent系统变得越来越大且应用越来越广泛,Agent将更加自制地运行,对人类用户更透