108网址:http://www.elsevier.nl/locate/entcs/volume58.html16页基于路径的移动代理杰拉尔德·诺尔美国佛罗里达州彭萨科拉西佛罗里达大学人机认知研究所Niranjan Suri美国佛罗里达州彭萨科拉西佛罗里达大学人机认知研究所Je Escherey M. 布拉德肖美国西佛罗里达大学人机认知研究所1介绍随着移动代理越来越多地采用在内联网,互联网和计算网格,新的安全问题变得越来越重要。与其他类型的移动代码不同,例如小应用程序,它被拉到远程系统一次(单跳),移动代理可以通过一系列系统(多跳)使用自己的行程移动,潜在地携带敏感信息。在这种情况下,移动代理会引入新的漏洞:主机是在恶意的摆布可能危及主机执行环境和代理的完整性的(或有缺陷的)代理受能够检查或修改代理的代码或数据或向代理呈现虚假环境的恶意主机的支配(如在伪装攻击中),从而导致代理不正确地执行。广泛使用的安全措施,如加密、身份验证和访问控制,并不能解决这类问题。在多跳方案中,恶意主机篡改代理的形式特别危险。在这种情况下,一个原本是良性的(并且可能是受信任的)代理可能会变成恶意代理。由于代理最初是受信任的代理,因此后续主机可能会天真地授予代理更高的权限,这可能会被现在的恶意代理滥用。与不受主机信任的恶意代理相比,这样的代理可能会对不知情的主机造成更大的损害从而得到更好的保护。已经开发了一些解决方案来解决这两个安全问题:保护主机免受恶意代理的攻击,2002年由ElsevierScienceB出版。 诉 操作访问根据C CB Y-NC-N D许可证进行。109hosts.请注意,恶意代理也可能攻击另一个代理。然而,假定恶意主机完全控制代理的执行环境,则恶意主机可用的攻击点包括恶意代理可用的攻击点的超集。因此,保护代理免受恶意代理的问题被包含在保护代理免受恶意主机的问题中一般来说,保护主机的解决方案是成功的(如果主机在执行代理时应用了必要的安全机制)。然而,保护代理人的解决方案并不成功。此电子邮件的目标不是解决保护代理免受恶意主机攻击的问题,而是帮助主机确定访问代理的适当信任级别,主机可以使用必要的安全机制来保护自己本文的第二部分提供了一个调查现有的解决方案,移动代理安全。下面的部分简要介绍了NOMADS移动代理环境,我们提出的安全解决方案正在实施。第四部分提出了移动代理基于路径的安全解决方案。第五节总结并讨论了未来的工作。2移动Agent安全代理安全可以大致分为两类:保护代理和保护主机。此外,保护代理可以分为不同的威胁和攻击。主要的威胁是篡改代理和从代理中提取私人信息。针对代理的拒绝服务攻击属于篡改代理的类别。主机或其他代理的伪装攻击被提及,但没有详细讨论。图1总结了现有的代理安全解决方案2.1保护主机在主机安全领域有几种不同的解决方案。基于软件的故障隔离[24](沙箱[3])和安全代码解释[16]提供了成功保护主机免受许多不同威胁的安全机制。 此外,还有其他解决方案,如签名代码[6],状态评估[22],路径历史[4,15],安全代码解释[16]和证明携带代码[13,24],提供部分主机安全性。NO-MADS移动代理环境是提供动态访问和资源控制以及基于策略的主机安全方法的系统的一个示例[2,20,21]。主机安全机制通常必须在代理执行操作的能力和系统的安全性之间做出权衡高度限制的环境(例如JDK 1.0.2中的沙箱)可以提供良好的安全性,但不允许代理执行许多有用的任务。另110Fig. 1. 代理安全方法另一方面,限制较少的环境可能允许代理执行必要的任务,但可能无法保护主机免受恶意代理的攻击。 相比之下,在理想世界中,我们将能够准确地确定对于给定代理的信任级别是合适的,并相应地确定应该允许该代理的特定操作。 NOMADS通过允许根据代理的所有者或代码库等各种属性将不同的安全策略应用于代理来解决此问题。然而,在多跳场景中,通常很难确定代理的适当信任级别。例如,考虑一个代理,它享有高级别的信任和对系统资源的访问,因为它是在主机上本地创建的,并代表该主机的所有者开始执行。但是,一旦代理开始访问其他主机,就有可能发生代理篡改。当被篡改的代理返回到原始主机,并且主机重新分配高信任级别给代理时,修改后的代理可以轻松破坏主机执行环境的完整性鉴于没有令人满意的解决方案来检测代理的篡改(参见第2.2节),代理可能会被恶意主机操纵而不被检测到。1112.2保护代理关于对工作人员的保护,有几个有限的解决办法,但最终没有令人满意的办法。总结见下表1防止信息提取。一些方法的目标是防止从代理提取任何信息,从而使得篡改难以识别或至少可检测。这种方法的示例包括防篡改硬件[26]和代码混淆[8]。防篡改硬件需要一个专门制造的设备,作为代理的执行环境。硬件设备仍然可以在更长时间的观察后进行修改,因此需要额外的维护服务。 目前,还没有制造商为大众生产这些设备。此外,这些设备的高成本使得它们对于大量用户来说不切实际。即使防篡改硬件设备在未来变得普遍可用,我们仍然需要确保制造商没有恶意。另一种方法是有限黑盒[8],它使用代码混淆的概念。在这种情况下,由于传输和执行时的额外成本,性能下降。没有证据来确定这些方法有效的最短持续时间。另外的限制是需要一个全局时钟,并且代理的黑盒测试仍然可能发生。上述将代理变为黑盒的方法没有提供实际的和完全实现的解决方案。该方法还可以用于在代理很大的情况下仅加密代理的一部分。请注意,黑盒方法的另一个不幸的后果是,主机由于无法检查代理,可能无法保护自己免受恶意代理的攻击。另一类方法试图保护代理的一小部分免受主机的信息提取和篡改。这一类的例子包括部分结果封装[9]、滑动加密[28]、部分结果认证码[27]、前向完整性[1,10]、环境密钥生成[17]、加密函数计算[18]、不可分离签名[11]和信任评估[5]。环境密钥生成是有用的,如果有一个代理访问权限的不同级别的需要。如果给定的环境条件为真,则为主机解密一些加密的数据。然而,这种方法的一个主要问题是,它允许主机探索访问代理的可执行代码。使用加密函数进行计算是一种提供只能在加密状态下执行的函数的方法,到目前为止,这种方法只支持接受多项式或有理输入的函数。 这实际上意味着代理的大多数部分不能以这种方式加密。 不可分离的签名是加密函数的变体,并使用RSA方案来保护签名函数。不幸的是,它不是多跳场景的可行解决方案。信任评估需要代理和主机之间通过信任评估功能进行协商。然而,如果一个112代理在执行过程中移动到许多主机,而不定期返回到主系统此外,不存在可接受的机制来区分正常状态执行和恶意状态执行。检测篡改。 与防止信息提取的机制相反,已经开发了其他机制来检测篡改(在篡改期间或在篡改成功之后)。检测机制旨在检测对移动代理的代码、状态或执行流程的非法修改。这类可用的方法是相互行程记录[4],服务器复制[12],执行跟踪[23],参考状态[7],证明携带代码[13],路由保护[25]和信任级别交换协议[14]。行程记录基于多次复制代理。行程记录的开销使得这种方法不切实际。此外,随着代理规模的增加,性能也受到复制成本的影响。代理必须被复制和执行多次,其中代理之间的持续通信是必要的。服务器复制的问题在于,所有代理都在同一平台上执行,并且如果平台是恶意的,则平台可能篡改多个代理,从而导致该方法失败。此外,由于复制的性能损失高于先前的解决方案。执行跟踪有几个问题。第一个问题是跟踪增加了大量的开销。第二个问题是,所有者必须足够可疑才能启动验证操作。第三个问题是,该算法需要一个可信的家庭来执行跟踪的重新计算。最后,该方法不检测主机可能提供给代理的无效(或恶意)输入。参考状态要求代理计算的每个状态重复两次。此外,前一个主机可以将恶意输入发送到下一个主机,这意味着当前主机必须验证输入。这种方法也无法检测到两台主机的协作攻击。由于缺少以下特征,证明代码尚未实现:用于建立安全策略的标准形式主义,用于生成证明的自动化机制,用于限制潜在的大规模证明的技术,以及独立于平台的实现。当主机和TTP彼此不信任时,信任级交换协议不提供任何帮助。我们认识到,主机或其他代理的伪装攻击是另一个问题的根源,已经提出了解决方案,但这里不考虑这些方法2.3保护代理的路径本文提出的安全方法依赖于路径分析一个移动代理。为了保证智能体路径的完整性,已经开发了几种方法,智能体的属性或结构决定了要采用的特定方法。在这些方法的所有变体中,目标是防止或检测对计划或已经进行的交易的修改113对于某些代理,路径可以是硬编码的,而对于其他代理,路径不能提前确定。保护静态路径信息比保护关于尚未确定的路径的信息更容易。各种方法都简化了一个假设,即代理在经过不同的跳后返回家乡。但这是一个特定的假设,并不适用于所有的代理人。为了保护代理的不确定路径,有必要在每一跳收集一些信息,如主机名或IP地址。这些信息可以加密以防止提取或篡改。一种提供完全安全性的解决方案是允许代理仅旅行到已向证书颁发机构(CA)注册的受信任主机。安全路由[14]采用这种方法,并确保通过路由策略限制旅行路径。不允许代理移动到IP地址未在CA中注册但这并没有为需要前往未经先验认证的主机的代理提供解决方案。一种只需要加密代理的一小部分的方法被称为部分结果封装[9]。一般来说,有三种不同的方法来提供部分加密。一种方法是代理在没有其他主体帮助的情况下加密其数据。代理不会透露数据加密的方式。另一种是依赖代理主机的加密功能第三个也是迄今为止最流行的解决方案是使用可信第三方(TTP),该第三方在结果的数字指纹上提供时间戳。部分结果认证码(Partial Result Authentication Codes,PRAC)[27]方法依赖于三个实体:代理、主机和TTP。当代理迁移到主机有一个身份验证协议,该协议生成代理可用于加密信息的对称密钥。 必须提供钥匙以安全的方式发送到家庭或TTP。在执行代理之后,代理中的对称密钥被销毁,使得密钥不被滥用。回到家里,可以分析加密的代码,以确保没有主机改变任何东西,并提供转发完整性[1]。除了使用对称密钥之外,还可以使用公钥基础设施(PKI)或数字签名。这种方法的问题在于没有提供向后完整性。这意味着访问的第一个主机可以访问所有尚未访问的主机的密钥。当代理再次访问第一个主机时,主机可以访问所有可用数据。也没有机制来防止删除所有加密数据。中提出的PRAC增强[10]是构建一个从上一个主机到下一个主机的封装结果链。每一个应用数据都用当前主机的私钥加密,并构造一个哈希函数链接到应用数据。然后,家庭的公钥被附加地用于加密数据。路由保护[25]是一种解决方案,具有为代理提供匿名性它需要一个家庭系统来计算114在代理离开主系统之前,代理将访问的每个主机的加密消息。此加密消息包含代理的路径。当前主机只能访问主主机、前一主机和下一主机的路由信息。通过对这些嵌套消息进行数字签名,可以检测到试图修改代理路由的攻击。另外,可以扩展路由,但是具有扩展路由的主机必须以类似的方式向归属系统提供签名的路由信息的限制。 在路由扩展结束后,必须再次访问扩展路由的主机。大多数但不是所有的合作攻击都可以通过广播机制来检测。一个缺点是在发送代理之前必须执行的计算的成本,并且在每次路由扩展时再次执行。此外,路由信息随着访问的主机数量呈指数增长。最后,检测主机的恶意行为需要额外的TTP。2.4现有的代理安全表1总结了保护代理的现有解决方案。迄今为止的所有解决办法都有许多令人无法接受的弱点或局限性。有些没有可用的实现。表中的条目根据它们试图防止的攻击形式3游牧民族概述提出的安全机制被纳入NOMADS移动代理系统。NOMADS支持强大的移动性和安全的代理执行[20,21]。强移动性允许捕获代理的执行状态,并将其随代理从一个主机移动到另一个主机。 NOMADS使用状态捕获机制来超越强移动性,并且还支持强制移动性,这允许系统通过强制将代理从一个主机移动到另一个主机(可能以对代理完全透明的方式)。这种强制的移动性是非常有用的情况下,涉及负载平衡,进程迁移,系统关闭等代理的安全执行是基于NOMADS的能力,以控制代理访问和消耗的资源资源控制机制允许控制代理使用的资源的速率和数量。动态可调的限制可以放在几个参数,包括磁盘,网络和CPU。这些资源控制机制补充了Java的访问控制机制,并有助于使NOMADS系统免受恶意代理的攻击。NOMADS从一个名为Aroma的定制Java虚拟机中获得了其独特的功能[19]。NOMADS系统广泛使用安全策略,并可与高级策略管理工具和机制协同115Agent安全性探讨保护信息?检测篡改?防止伪装?是否可实施?安全路由是的是的没有是的防篡改硬件是的是的是的是的代码混淆是(第二次)是(第二次)没有没有部分结果认证代码部分部分没有是的滑动加密部分部分没有没有链式数字签名协议部分部分没有是的链式MAC协议部分部分是的是的环境密钥生成部分部分是的没有加密函数部分部分没有没有不可拆卸的签名部分部分没有没有信任评估没有是的是的部分相互行程记录没有是的没有是的Server复制没有是的没有是的执行跟踪没有是的是的没有参考状态没有是的是()是的验证携带代码没有是的是()没有进路防护部分部分没有是的信任级交换协议没有是的是的没有表1防止恶意网络攻击的现有解决方案摘要例如在KAoS和DARPA CoABS Grid中实现的那些[2]。目前,基于代理的认证在代理上实施策略(即,代理的实例的所有者)和代理的代码源(即,代理的作者)。正在制定更多的执行战略。安全策略用于指定对代理执行的 NOMADS还动态支持116基于所观察到的代理的行为来改变应用于所述代理的策略。4基于路径的移动代理本 文 所 描 述 的 机 制 扩 展 了 NOMADS 中 已 有 的 安 全 框 架 目 前 ,NOMADS不考虑移动代理的主机访问的先前路径(从而使得系统易受已被恶意主机篡改的代理的这种方法的目标是利用关于移动代理的路径的信息,以使NOMADS在多跳场景中更安全特别是,在将安全策略应用于移动代理时,应考虑代理的路径。这需要确定移动代理为确定路径而开发的机制是一种轻量级方法,与先前描述的方法相比,其需要非常少的基础设施并且提供良好的性能特别地,目标不是完全保护代理的路径信息不被修改,而是限制被篡改的可接受损失原则)。该方法的目标之一是需要最少的额外基础设施。特别是,我们不希望依赖于认证机构(CA)的存在。使用CA使部署移动代理所需的基础设施复杂化。此外,如果使用CA,则当代理移动到不同领域中的服务器时,会产生额外的开销。在这种情况下,目标主机必须简单地假设CA是可信的(这是一个安全漏洞)或者必须经历建立与原始CA的信任关系的费力过程。因此,不需要CA意味着更广泛的可扩展性的代理,这是移动代理系统的基本要求。基于路径的安全方法由两个部分组成:(i) 维护路径信息的链式IP协议(ii) 使用路径信息计算代理的信任级别并应用适当的安全策略的策略管理器如第二节所述,当前获得代理的路径信息的解决方案要么限制太多,不完整(未实现),要么太昂贵(在性能方面)。考虑到对具有很少附加基础设施的轻量级系统的期望,链式IP协议非常简单,并且不试图提供密码安全路径信息。相反,允许每个主机直接附加到路径信息。然而,策略管理器应用信任级别的概念来确定由各个主机记录的路径信息的准确性。请注意,我们的方法的最终目标是计算一个适当的代理的信任级别,而不是确定代理的实际路径117因此,我们的轻量级方法是足够的。然而,如果需要更准确的路径信息,则可以将链式IP协议与TTP组合。4.1链式IP协议链接的IP协议的职责是维护代理的路径信息。路径信息(主机名+ IP地址)附加到代理的元数据中,并随代理一起代理访问的每台主机都会向路径信息添加一条新记录此记录包含已访问的主机的IP地址。当代理到达主机时,接收主机从网络层确定连接的源IP地址。然后,接收平台进行检查,以确保源主机已正确地将其IP地址添加到路径信息中。这在图2中示出。图二. 链式IP协议在步骤1中,在将代理发送到主机2之前,将主机1的路径信息添加到代理的元数据(跟踪信息块)中。当代理到达主机2时,主机可以检查主机1的IP地址,以验证地址与代理中的路径信息匹配。步骤3-4与步骤1-2相同。请注意,主机3只能验证主机2的IP地址。通常,接收主机可以仅针对最后一跳验证路径信息的有效性。特别是,它不会阻止中间主机更改先前的路径信息(通过向路径添加虚假主机、屏蔽或删除主机或更改主机)。然而,策略管理器的实现仍然允许计算适当的信任级别,而不管这样的修改(参见第4.2节)。即使一台主机上有多个IP地址,也只会扩展每台主机上策略管理器的配置。此方法依赖于网络层请注意,IP欺骗将允许主机伪装成另一台主机,从而使接收主机无法正确确定源IP地址。我们并不认为IP spoof不会发生。但是,网络管理员应提供防止IP欺骗或使IP欺骗更加困难的机制IP验证是一种可能的方法,118大大降低了IP欺骗攻击的可能规模。图3说明了接收主机确定先前路径的可靠性图三. 链式IP协议假设一个智能体从主机A到B再到C,然后到达D。主机D知道代理从C到达(因为网络层提供的信息)。如果D中的策略管理器信任主机C,则C验证的信息(代理从B移动到C)也可以信任。类似地,如果主机B可以被信任,则关于代理从A到B的移动的信息也可以被信任。因此,路径信息的可靠性可以基于在前主机的信任级别来评估。随着我们离当前主机越来越远,先前主机信息的可靠性可能会变得越来越弱如果需要更可靠的路径信息,则可以将链式IP协议与TTP组合。TTP的操作如图所示。4.见图4。 具有TTP的TTP在代理转移过程中需要一些额外的步骤。在将代理发送到另一台主机之前,源主机会使用TTP记录目的主机当主机接收到代理时,主机可以联系TTP以验证代理中存在的路径请注意,这些步骤是图2中描述的更新代理中路径信息的步骤的补充。119图5显示了当存在TTP时,接收主机可以确定先前路径的可靠性。请注意,如果接收主机不信任TTP,那么我们就回到了上面的情况。但是,如果接收主机信任TTP,则可以将代理记录的路径信息与TTP中的路径信息进行比较。TTP允许算法以高度的置信度确定路径,如果其中一个主机不受信任, 两个恶意主机仍然有可能相互勾结并伪造它们之间的路径信息。因此,接收主机上的策略管理器仍必须检查是否有任何中间主机不受信任,并采取相应的措施。图五、在TTP帮助下的信任级别一个有趣的可能性是,中间主机可能会故意插入不受信任的主机的IP地址,从而降低代理的信任级别(尽管代理可能从未访问过这些主机)。但是,这样的操作意味着中间主机是恶意的,并且无论如何都不应该被策略管理器信任。4.2策略管理器策略管理器的作用是计算代理的信任级别,然后选择适当的安全策略。管理员必须向策略管理器提供有关主机信任级别的信息。此信息通过将IP地址(或主机名)映射到信任级别的配置文件提供默认情况下,策略管理器为所有主机分配低信任级别,除非被配置文件中的条目覆盖。策略管理器用于计算信任级别的算法非常简单。第一个检查是验证路径信息中记录的最后一跳地址与网络层报告的地址相同。如果此检查失败,策略管理器将生成一个警告并返回低信任度。然后,策略管理器通过路径信息向后遍历并确定每个主机的信任级别。最终信任级别是路径中主机的所有信任级别中的最小值。图6显示了一个代理的示例,该代理在到达主机D之前从主系统(A)通过主机B和C在主机B上,为主机A分配了高信任120水平在主机C上,A和B的信任级别分别为低和高。在主机D上,A、B和C的信任级别分别为中、低和高。应用上述算法,主机B将向代理分配高信任级别,主机C和D将向代理分配低信任级别请注意,代理携带的路径信息未加密,所有主机都可以访问。这允许每个主机基于路径和本地配置信息独立计算信任级别见图6。 Agent的信任度计算图7显示了计算信任级别的另一个示例当在家庭A处创建新代理时,代理的信任级别被设置为高(步骤1)。家庭A将代理发送到主机B(步骤2)。主机B通过其安全策略重新计算代理的信任级别。信任级别仍然很高(步骤3),因为B信任本地网络中的所有系统。在本例中,主机B将代理发送到另一个环境(著名的书店)(步骤4)。书店对客户端网络(以及主机B)一无所知。因此,信任级别被计算为低(步骤5)。当主机D从主机C接收代理时(步骤6),信任级别保持低(步骤7)。在步骤8中,主机D将代理发送回至归属地A的客户端网络。由于主机A对于书店网络具有高信任级别,因此代理的信任级别被重新计算为高(步骤9)。5结论和今后的工作本文介绍的移动代理基于路径的安全性提供了在多跳场景中扩展NOMADS移动代理系统的安全性的机制。一个轻量级的协议,跟踪代理路径已经开发的基础上链接的IP地址。接收主机环境计算代理的信任级别,然后使用该信任级别选择安全策略并将其应用于传入代理。可选地支持TTP以提供更可靠的路径信息。当前的实现仅使用三个信任级别:高、中、低。未来,我们希望扩展系统以支持更细粒度的信任级别。此外,当前的实现会自动为未知的主机分配低级别的信任我们想探索121见图7。 信任级别一种机制,允许通过传递信任关系。最后,我们想结合的机制,动态地改变主机的信任级别的基础上,过去的历史信息,这些主机的行为。引用[1] Bellare,M.,和Yee,B. S.安全审计的前向完整性技术报告UC在圣地亚哥,1997年。[2] 布拉德肖,J.M.,Suri,N.,卡恩,M.,Sage,P.,Weishar,D.和JeEscherers , R. Terraforming cyberspace : Toward a policy-based gridinfrastructure for secure , scalable , and robust execution of Java basedmulti-agentsystems.ProceedingsoftheAutonomousAgents2001Workshop on Scalable Agent Infrastructure,2001年5月,加拿大蒙特利尔。[3] Chang,F.,Itzkovitz,A.,以及Karamcheti,V.,《安全的用户级资源约束沙盒》。TR 1999 -795,1999年。[4] Chess,D.移动计算的巡回代理。IEEE个人通信,卷。号25,1995,第34-49页。[5] 法默,W.,Guttman,J.,Swarup V.移动代理的安全性:认证和状态评估。第四届欧洲计算机安全研究研讨会,第118-130页,1996年。[6] 格雷河S. Agent Tcl:一个灵活安全的移动Agent系统。第四届Tcl/Tk研讨会论文集,1996年,第9-23页。[7] Hohl,F.一个利用参考状态保护移动代理的框架。技术报告编号2000/03,斯图加特大学,2000年。122[8] Hohl,F.限时黑盒安全:保护移动代理免受恶意攻击。在Vigna,G. (Ed.)、Mobile Agents and Security,Springer-Verlag,1998.[9] 詹森,W.,和Karygiannis,T.移动代理安全。NIST技术报告,1999年。[10] Karjoth,G.,Asokan,N.,和Guelcue,C.保护自由漫游代理的计算结果。Rothermel,Popescu-Zeletin,第1-14页,1998年。[11] Kotzanikolaou,P.,Burmester M.,和Chrissikopoulos,V.在敌对环境中使用移动代理的安全在道森,E。克拉克,A.,和Boyd,C.信息安全和隐私。LNCS第1841卷,Springer-Verlag,第289-297页,2000年。[12] Minsky,Y.,雷内斯河范·施奈德联邦调查局Stoller,S. D.1996年,《对容错分布式计算的加密支持》[13] 内库拉,GC,Lee,P.,《Safe,Untrusted Agents Using Proof-CarryingCode》。卡内基梅隆大学,1998年。[14] Ng,S.保护移动代理免受恶意攻击。硕士论文:香港中文大学,2000年。[15] Ordille,J. J. 当代理人漫游时,你能相信谁?1996年5月在俄勒冈州波特兰市举行的第一次通信新兴技术和应用会议记录[16] Ousterhout,J.K.脚本:21世纪的高级编程。IEEE计算机,1998,第23-30页。[17] Riordan,J., 和Schneier,B. 环境密钥生成对无线索代理。Vigna,G.(Ed.)、Mobile Agents and Security,Springer-Verlag,1998。[18] Sander,T.,和Tschudin,C.F.保护移动代理免受恶意攻击。豇豆湾(编辑)移动代理和安全Springer-Verlag,1997.[19] Suri,N.布拉德肖,J.M.,布里迪,M.R.,Ford,K.M.,Groth,P.T.,佐治亚州希尔萨韦德拉河Java的状态捕获和资源控制:Aroma虚拟机的设计与实现。可在www.example.com网站上查阅http://nomads.coginst.uwf.edu/。[20] Suri,N.,布拉德肖,J.M.,布里迪,M.R.,Groth,P.T.,佐治亚州希尔Je Escherers河,和Mitrovich,T.S.NOMADS移动代理系统综述第六届ECOOP移动对象系统研讨会。[21] Suri,N.,布拉德肖,J.M.,布里迪,M.R.,Groth,P.T.,佐治亚州希尔和Je Escherers,R. NOMADS中的强移动性和细粒度资源控制2000年,第二届国际代理系统与应用研讨会和第四届国际移动代理研讨会(ASA/MA施普林格出版社。123[22] Swarup,V.信任评估和移动代理的安全路由。DARPA安全移动代码基础研讨会,1997年。[23] Vigna,G.移动代理的加密跟踪。在Vigna,G. (Ed.):Mobile Agents andSecurity,第137-153页,Springer-Verlag,1998年。[24] 瓦赫贝河,Lucco,S.,Anderson,T.高效的基于软件的故障隔离.第14届ACM 操 作 系 统 原 理 研 讨 会 论 文 集 。 ACM SIGOPS Operating SystemsReview,1993,第203-216页。[25] Westho,D. ,Schneider, M.,昂格尔 ·C和Kaderali ,F.保护移动代理Springer LNCS 1758,1999年。[26] 威廉,Staamann,S.,和Butty,L.将可信第三方引入移动代理范例。在Vitek J.案中,和Jensen,C.(编),安全互联网编程:移动和分布式对象的安全问题。471-491,Springer-Verlag,1999。[27] Yee,B.S.移动代理的避难所。DARPA安全移动代码基础研讨会,1997年。[28] Young,A.,和Yung,M.移动代理的加密工具:滑动加密。(Ed.):快速软件加密。Springer-Verlag,1997.
我的内容管理
展开
