|
基于TNC 的Mobile Agent 系统Agent 安全 迁移方案设计# 沈志东1,佟强2* 基金项目:高等学校博士学科点专项科研基金资助课题(20090141120024) 作者简介:沈志东(1975-)男,副教授,主要研究方向:信息安全,分布式计算. E-mail: shenzd@whu.edu.cn 5 (1. 武汉大学国际软件学院,武汉市 430079; 2. 东北大学软件学院,沈阳市 110819) 摘要:提高mobile agent 分布式系统安全性的关键在于如何有效的解决mobile agent 迁移时 的安全问题。本文采用基于可信网络链接(TNC)的可信性验证与度量方法增强mobile agent 迁移过程的安全性;通过可信平台基础模块(TPM)提供mobile agent 迁移宿主平台的可信 10 性验证依据,进而构建mobile agent 平台之间的动态安全验证基础;并强化mobile agent 的 迁移宿主主机间可信性验证和mobile agent 迁移实体在迁移过程中的可信性验证与评估。文 中着重阐述了mobile agent 迁移时实体间的可信性验证处理过程,并提出了mobile agent 安 全迁移时进行可信性验证与度量的可信代理安全上下文环境的设计方案。 关键词:分布式系统;移动代理;安全迁移,可信网络连接; 15 中图分类号:TP39 A TNC enabled Method for Agent's Secure Migration in Mobile Agent System SHEN Zhidong1, TONG Qiang2 20 (1. International School of Software, Wuhan University, Wuhan 430079; 2. Software College, Northeastern University, Shen Yang 110819) Abstract: How to archieve trusted verificatons among mobile agents and their host is a critial problem to improve the security of mobile agent distributed system. In this paper, the trusted computing technology (TNC) is used to improve the trusted verification and measurement for the mobile agent 25 distributed system. The trusted mobile agent system is designed on trusted computing platform and the trusted verification evident can be achieved from the trusted platform module (TPM). The dynamic secure verification basement is built for mobile agent platform. The verification and evaluation for the trust relation of different entities is improved by this technology. The method of using trusted network connection to build a trusted migration environment for mobile agent is elaborated emphasizedly. The 30 design for trusted agent secure context environment used for trusted verification and measurement on migration are also represented. Key words: distributed system; mobile agent; safe migration; trusted network connection 0 引言 35 作为一种典型的分布式系统,mobile agent 系统面临的一个难题是如何解决迁移实体在 各个主机平台之间迁移时所代来的安全问题 [1][2]。如何在mobile agent 迁移环境中针对迁移 实体和迁移目标宿主平台的可信性验证与度量是解决该问题的关键因素。近些年快速发展的 可信网络连接技术(Trusted Network Connection,TNC)通过使用基于可信主机的可信计算 技术实现网络的可信接入控制,从而为网络环境中的主机提供了平台可信性验证措施[3][4][5]。 40 该为上层应用系统的中交互实体可信性验证提供了良好的支持。Mobile agent 分布式系统中 agent 迁移所面临的安全问题正是迁移目标宿主平台间的可信性验证的困难性,包括宿主平 台之间的可信验证和迁移实体的可信性评判[1][2]。本文采用基于可信平台基础模块(TPM) 的可信网络连接技术以增强mobile agent 系统中宿主平台及Agent 间的可信性验证;通过采 集平台的可信性状态数据为mobile agent 迁移目标平台提供可信性验证的依据,且有助于 mobile 45 agent 迁移路径的可信性验证与度量;并对mobile agent 迁移时的关键数据采用可信 封装进行完整性保护,使得mobile agent 的迁移能在可信性可验证与度量的环境中进行。 1 构建Mobile agent 的可信迁移基础环境 1.1 基于可信网络连接的mobile agent 可信迁移基础平台 Mobile Agent 的迁移需要一个安全可信的环境,首先要确保迁移的agent 宿主主机之间 50 具有良好相互信任机制。本文设计的方案是以可信网络连接为基础,使得系统中各迁移宿主 平台之间对彼此的可信性能加以评估验证,在完成主机间可信验证的前提下再通过可信连接 通道完成Mobile Agent 的迁移处理,并能通过平台的可信证据的采集对Agent 的迁移路径进 行可信性分析,从而为后续的迁移提供可信性评估的依据。 在Mobile Agent 进行迁移时,采用TNC 针对迁移目标平台进行远程可信性验证。TNC 55 的主要思想是:当终端要访问网络时,要对终端的身份进行鉴别,对其完整性状态进行检测 并与系统的安全策略进行比较,如果满足安全策略要求,则允许终端接入网络;否则,拒绝 或对该终端进行隔离修补,当终端处于隔离状态时,可以对该终端进行修复;当终端的完整 性及其它安全属性达到系统安全策略的要求时,方可允许该终端接入网络。这样,可以提高 整个网络系统的安全性及可信性。TNC 的一个重要目标是使用可信平台模块(TPM )的授 60 权机制作为实现可信网络连接的重要组成部分[3][4]。TPM 对完整性报告的度量首先通过建立 一个由物理安全和管理安全确保的信任根设备,然后从底层向上进行信任传递,即从信任根 开始到硬件平台,到操作系统,再到应用层的mobile agent 系统软件平台;一级测量认证一 级,一级信任一级,从而把这种信任关系扩展到整个mobile agent 分布式系统。 1.2 基于完整性度量的mobile agent 实体可信性验证 65 在可信网络连接建立得过程中,各连接实体的可信性验证依据的关键是完整性度量。因 此以完整性度量为基础的,mobile agent 实体可信性验证涉及宿主主机间及Agent 和宿主间 的可信性验证。以完整性度量为核心,基于可信网络连接的mobile agent 系统层次架构如下 页图1 所示。当mobile agent 平台在具有可信网络连接支持的可信终端上被加载后,即拥有 了可信终端平台的TPM 颁发的ID 和密码,并拥有唯一的密钥/公钥对。Mobile agent(MA) 70 将在宿主平台上运行时,先向TPM 获取代理平台的公钥,同时告知代理平台自己的公钥, 双方用彼此的公钥加密,对方用自己的私钥进行验证,经过两次握手,双方达到互相认证信 任。同时,TPM 派发给双方一个会话密钥,MA 和代理平台之间的通信即可通过密钥加密 进行。对于迁移而来的MA 而言,还需通过完整性度量与迁移平台进行交互,获取其完整 性报告,从而确认将要运行的计算环境的完整性以保障自身的安全。 75 当MA 迁移前往远程主机平台时,首先生成一个随机序列nonce 作为参数向平台发送 请求。主机平台收到请求后, 加载平台的AIK 私钥至TPM 并计算Q=Sig{ PCRi , nonce}AIKprivate ,取得完整性度量列表中对应的值,再一起作为参数返回验证应答。MA 根 据返回的应答确定可信平台的AIK 身份公钥,根据返回的Q 值以确认AIK 私钥签名的有效 性,通过PCR 模块的参数值PCRi 确认随机序列和度量列表的有效性。 图1. 基于TNC 的mobile agent 系统层次架构 2 Mobile Agent 迁移时的可信性验证方法 以可信网络连接为基础,对Mobile Agent 迁移目标平台和宿主环境做可信性验证。首 先,移动目标平台和宿主主机在mobile agent 迁移前完成基于可信网络连接的可信平台环境 85 双向验证。其次,mobile agent 和迁移目标平台相互验证,检验mobile agent 是否来自已证 明可信的平台,并且mobile agent 将验证迁移主机的可信性。然后,mobile agent 要携带所 经过的迁移主机的可信性证明的数据,随同mobile agent 一同迁移至新环境,并由新环境平 台对mobile agent 的迁移记录中的可信平台数据做验证。 2.1 Mobile Agent 迁移前底层可信网络链接的处理过程 90 Mobile Agent 的可信迁移以TNC 为基础。Mobile Agent 宿主平台首先通过TNC 进行平 台可信验证,然后通过经过可信性验证的平台中的可信硬件模块TPM 对将要迁移的mobile agent 进行可信封装。mobile agent 迁移到目标宿主平台后,将由目标宿主平台对该mobile agent 做可信验证,以判断该mobile agent 是否来自可信任的平台,以及该mobile agent 在迁 移过程中是否保持了完整性。在mobile agent 环境中,Agent 具有自主迁移性,并可在不 95 同平台间迁移。为增强Agent 迁时的安全性,需对其安全性做验证。迁移目标主机需要判断 mobile agent 是否来自可信任的源平台,并且mobile agent 自身安全性也需验证。我们假 设宿主平台接收迁移来的mobile agent 是可信的,前提是其来自受信任的主机,并在迁移 过程中其可信性没有明显变化。 用以构建mobile agent 可信迁移的TNC 基本架构如下页图2 所示,包括3 个实体、3 100 个层次和若干个接口组件。该架构在传统的网络接入层次上增加了完整性评估层与完整性度 量层,实现对接入平台的身份验证与完整性验证。3 个实体分别是访问请求者(Access Requestor ,AR)、策略执行点( Policy Enforcement Point,PEP)和策略决定点( Policy Decision Point,PDP) 。AR 发出访问请求,收集平台完整性可信信息,发送给PDP,申请建立网络 连接;PDP 根据本地安全策略对AR 的访问请求进行决策判定,判定依据包括AR 的身份 105 与AR 的平台完整性状态,判定结果可为:允许、禁止、或隔离; PEP 控制对被保护网络 的访问,执行PDP 的访问控制决策。AR 包括3 个组件:网络访问请求者(NetworkAccess Requestor,NAR) 发出访问请求,申请建立网络连接,在一个AR 中可以有多个NAR;TNC 客户端( TNC Client, TNCC) 收集完整性度量收集器( Integrity Measurement Collector, IMC) 的完整性测量信息,同时测量并报告平台和IMC 自身的完整性信息;IMC 测量AR 中各 个组件的完110 整性,在一个AR 上可以有多个不同的IMC。PDP 包括3 个组件:网络访问授权 者(NetworkAccess Aut hority,NAA) 对AR 的网络访问请求进行决策。 NAA 可以咨询上 层的可信网络连接服务器( Trusted Network Connection Server, TNCS) 来确定AR 的完整 性状态是否与PDP 的安全策略一致,从而决定AR 的访问请求是否被允许; TNCS 负责 与TNCC 之间的通信,收集来自完整性度量验证器( Integrity Measurement Verifier , IMV) 115 的决策,形成一个全局的访问决策传递给NAA ;IMV 将IMC 传递过来的AR 各个部件的 完整性测量信息进行验证,并给出访问决策意见。3 个层次分别是网络访问层、完整性评估 层与完整性度量层. 网络访问层支持传统的网络连接技术。 完整性评估层进行平台的认证, 并评估AR 的完整性。 完整性度量层收集和校验AR 的完整性相关信息。 120 图2. 基于可信平台的TNC 的架构 学术论文网Tag:代写硕士论文 代写论文 代写MBA论文 代写博士论文 |
