移动代理安全性分析：抗干扰性和匿名性的挑战.

理论计算机科学电子笔记142（2006）181-193www.elsevier.com/locate/entcs移动Agent的抗干扰性分析Kulesza1 Zbigniew Kotulski波兰科学院基础技术研究所，波兰康拉德·库莱萨Rhodes University，Grahamstown，South Africa摘要本文将关注自己与制定的流量分析问题的移动代理。这是一个有趣的理论问题，也是在决策系统中大规模使用代理时的一个关键特征。决策系统被应用于要求苛刻和复杂的环境，如股票市场。所使用的移动代理是攻击的自然目标，因为它们提供决策信息。由此产生的信息可能具有以数百万美元计的价值，并且如此高价值的信息会吸引潜在的攻击。 攻击决策系统用户的一种有效方法是学习她的策略并以同样的方式回应。 在这方面，即使是被动的观察代理可以提供有用的数据，即他们正在收集什么信息。一个常见的第一防御是为移动代理提供匿名性。然而，当匿名消失时会发生什么？然后，哪些信息可用，用户将采取哪些步骤？然而，这个问题以前没有为这样一个框架提出过。我们用各种用于交通分析的因素来表示它。这些因素来自于提供关于操作代理的信息的不同侧通道。 最后，我们指出了一个悖论，它与削弱系统安全性的过度使用的反措施，对交易分析。保留字：移动代理安全，安全协议，流量分析，旁路攻击1电子邮件：kkulesza@ippt.gov.pl2电子邮件：zkotulsk@ippt.gov.pl1571-0661 © 2005 Elsevier B. V.在CC BY-NC-ND许可下开放访问。doi：10.1016/j.entcs.2004.12.044182K. Kulesza等人理论计算机科学电子笔记142（2006）1811介绍和动机“编程一张地图来显示数据交换的频率，每千兆字节一个像素在一个非常大的屏幕上。 [...] 升级你的规模。 每个像素一百万兆字节以每秒一亿兆字节的速度，你开始辨认出曼哈顿中城的某些街区，百年工业园区的轮廓环绕着亚特兰大的旧核心。– William Gibson in这篇论文与我们通常写的加密论文有很大的不同。首先，它不包含任何数学方程。它的主要目的是提出一个迷人的主题，这仍然是一个精确的定量描述。虽然提出一些数学模型来使一篇论文看起来更科学是没有问题的，但为这样一个复杂的系统建立一个好的模型几乎是不可能的。1.1预赛移动代理在90年代末达到了顶峰，这与互联网的兴起密切相关。现在，当对代理的关注减少时，为什么值得为移动代理的系统而烦恼呢对移动代理技术感到失望的主要原因是，它未能达到预期。确实，个人不会大规模使用移动代理，例如购买最低的航空公司票价[5]。原因之一当然是经济。但是，移动代理是技术失败还是期望过高或者移动代理被IT技术中的新概念搁置一边，例如。网格计算？这些都是持续争议的话题，远未得到解决。我们处理移动代理安全性有两个原因：• 它们是一个迷人的和具有挑战性的理论概念（我们也有强烈的感觉，移动代理将有他们的伟大复出）;• 存在对安全性至关重要的移动代理的应用移动代理同时受益于远程代码执行，再加上自治和适应不断变化的环境。移动代码提供了一种新的计算模式，非常适合日益互联的环境。这种模式带来了新的机会，但同时也带来了新的威胁。移动代理是现代决策系统的优秀工具，见[2]。在同一篇论文中，另一个代理人的功能进行了讨论：密切相似的现实生活中的解决方案和情况。事实上，我们目睹了越来越多的概念，现实生活中的特点，迁移到K. Kulesza等人理论计算机科学电子笔记142（2006）181183网络空间这一过程在安全协议领域非常明显[3]。基于移动代理的决策系统可以看作是分布式信息获取和分析的协议集合。现实和网络空间进入一种反馈。智能移动代理是我们迄今为止创建的最精细的决策系统形式。代理系统可以被认为不仅是有效的，而且是用户友好的信息技术工具，易于被非专业用户接受[4]。在现代世界中，移动代理被应用于最苛刻和复杂的环境中，例如股票市场。由此产生的信息可以具有以百万美元计的价值当如此高的赌注摆在桌面上时，它们总是会吸引潜在的攻击者。一个有效的方法来攻击这样一个系统的用户是学习她的策略，并以自己的回应。移动代理是攻击的自然目标，因为它们提供决策信息。移动Agent技术的出现是为了方便用户本文作出了几个贡献。 首先，我们描述了移动代理的流量分析。第二，我们展示了两个领域：网络空间和现实，业务发生。这两个领域之间的相互作用增加了设计和安全分析的复杂性。第三，我们概述了侧通道，其中许多都源于系统的复杂性。最后，我们提出了本文的目的是提出一种新的风险来源。它源于代理系统的潜在漏洞，并导致可能需要控制的感知或公认的业务风险。据我们所知，当时并不是从这个角度来研究问题的。为了能够制定它，首先我们需要提供一些关于移动代理安全的信息。这将使我们能够做出更精确地描述问题所需的安全假设。1.2移动Agent安全移动代理安全性属于移动安全性的一系列问题，Roger Needham在[6]中很好地概述了这些问题。在论文中，他从历史的角度介绍了安全方法的发展。首先，安全性是为固定环境设计的，其次是移动技术（例如，出现了一个安全漏洞虽然伟大的运动184K. Kulesza等人理论计算机科学电子笔记142（2006）181虽然已经缩小了差距，但主要问题在于范式。历史基础是好的，只要因此，这并不奇怪，目前移动代理安全是一个活跃的研究领域，仍然面临着许多挑战，见[7，8]。关于移动代理安全的最新调查可以在[22]中找到涉及移动代理的安全协议的问题促使Volker Roth写了关于撒旦罗斯的文章表明了形势的严重性。然而，由于移动代理安全仍然是作为一门年轻的学科，人们认为，随着时间的推移，许多问题将得到解决。因此，本文将提出两个假设：（1）所使用的协议是安全的，（2）可信主机外部的代理不泄漏任何其他信息，而可能是关于他们的存在。在代理系统中，我们有以下各方：代理的所有者，移动代理，主机（代理访问的 在我们考虑的安全模型中：• 代理可以在主机之间自由移动;• 在公共代理人以加密形式旅行时，这同样适用于代理人获得的数据;• 主机是安全的位置，这意味着对手无法威胁主机本文就如何在这样的环境下进行成功的业务分析进行了探讨。此外，增加针对流量分析的保护级别的任何尝试都可能导致为一些侧信道攻击打开机会窗口。在第3节中概述这些概念之前，首先对交易分析本身进行一些重新标记。2交通分析“Thus,其次是通过外交手段瓦解他的同盟。退而求其次，就是攻击他的军队。”– Sun Zi in2.1浅谈证券在网络世界中，有许多方案使用不同的技术来增强对传输分析的抵抗力。然而，他们中的大多数人都有一个关于网络的共同假设：由点对点链路组成的拓扑结构。这种方法很适合有线电视网络。然而当K. Kulesza等人理论计算机科学电子笔记142（2006）181185在移动安全方面，由于缺乏点对点链接，它失败得很惨。虽然抗传输分析的问题已经存在了一段时间（例如[12，13]），但直到最近Matt Blaze等人才设法将其用于无线环境，参见[14]。大多数方案的第一道防线，通常也是唯一的防线是匿名性虽然匿名度有一个完整的连续统（见[16]），为了简化模型，假设对于移动代理，一个二进制值，它只能丢失一次（见[17]）。然而，当匿名性消失时，情况又会如何呢？以这样在这种情况下，仍然需要保护的是决策系统访问、收集和分析的信息。处理交通分析的方法可以从现实世界的案例中得出结论2.2现实世界本节的目的是在更广泛的背景下介绍业务分析，并提请注意更一般的战略议程。 它也可以很好地翻译成一种非常精确的博弈论语言被动观察似乎和间谍活动一样古老，而间谍活动被认为是第二古老的职业。Peter Wright在《Spycatcher：The Candid Autobiography of a SeniorIntelligence Occurcer》一书中详细描述了情报人员的情报分析案例在书中，他描述了俄罗斯特工如何在冷战期间对伦敦的英国反情报机构进行成功的交易分析。也有关于技术方面的报道，情报分析在很大程度上依赖于监视反情报官员之间的无线电传输书中的叙述涉及多层次的交通分析。第一级交易分析提供了对手正在收集哪些数据的信息。第二层次分析采用策略。当数据被收集了很长一段时间，它允许苏联得出结论，哪些信息是通过反间谍活动获得的。这一点，再加上他们自己的行动知识，发展了一个准确的图片约英国秘密服务它还允许估计另一方不知道的东西，以发现所谓的知识补充。这种推理乍看起来似乎很复杂，但它是为“打击敌人的战略”这一最终目标服务的由于我们主要关注的是经济领域的应用，现在是时候摆脱间谍故事，并提供一个与商业相关的例子。奥利弗·斯通导演的电影《华尔街》（见[ 19 ]）对交易分析的运作有很好的描述 让我们提供一个阴谋的轮廓，因为它是进一步讨论的必要条件这个故事是根据186K. Kulesza等人理论计算机科学电子笔记142（2006）18180年代著名的伊万·博斯基案，当时一位股市大亨被美国证券交易委员会（SEC）指控内幕交易。在这张照片中，股市大亨戈登·盖柯（迈克尔·道格拉斯饰）派他年轻的学徒巴德·福克斯（查理·辛饰）去观察拉里·怀德曼爵士（泰伦斯·斯坦普饰）。后者是一个强大的英国投资者，计划在美国进行一些交易。盖柯想知道交易的事巴德·福克斯整天跟着拉里·怀德曼爵士，发现英国人在和投资银行谈什么。他还找到了投资者在谈判结束后将飞机停在哪里。这名学徒无法获得谈话的任何细节，因为这些谈话是在安全地点进行的。当巴德·福克斯来报告他的主人时，他正在为糟糕的结果道歉。但对戈登·盖柯来说，这已经足够了。他知道投资银行和相关人员的名字所有这些，再加上野人这样的推理是可能的，因为戈登·盖柯很了解拉里·怀德曼爵士他把自己的知识和通过交通分析获得的所有信息结合起来。因此，他制定并实施了一项战略，使他能够在股票市场上赚取数百万美元。这不仅是内幕交易或绿色邮件操作的问题;这是最高技能的展示-成功地攻击敌人2.3交易分析、全球市场和移动代理在过去，现实中的流量分析与数据安全中的流量分析是不同的。偶尔会有一些互动，主要是在信号情报领域。一个很好的例子是《间谍捕手》中描述的故事的技术方面。[18].就现代金融市场而言，很难将现实世界的活动与网络空间的活动分开。在市场相互关联之前的日子里，事情要简单得多（例如“华尔街”）。核心业务活动与金融市场虽然密切相关，但在功能上是分开的。如今，所有的交易所形成了一个永不停息的全球市场此外，全球市场非常不稳定，因此赚了大钱几秒钟后就消失了个别公司、行业和整个国家的未来取决于市场上发生的事情。在这方面，网络世界对现实有着巨大的影响。随着商品市场的发展和衍生品交易的快速增长，一切都可以受到一些市场估值，从而进行交易。 这尤其K. Kulesza等人理论计算机科学电子笔记142（2006）181187它涉及信息，一方面为市场提供动力，另一方面也可以是一种交易商品（至少在某些特定形式上，如知识产权）。到目前为止，全球市场是人类创造的最复杂的环境。没有人完全理解所有发生的互动，也没有人控制它们。处理这种复杂性的最佳工具之一是使用智能移动代理进行信息收集和可能的交易。在这些物种中，最有效的是具有进化驱动智能的代理人，见[2]。 它们的主要目标是为主人收集信息;它们的生存取决于它们这样做的能力。在这样一个框架中，代理人可能对使事情发生有个人兴趣。为了生存，他会做任何事情：他会进化，找到通过网络的最短路径，对你撒谎，或者与其他代理人斗争。这种哲学密切反映了现实世界。3移动Agent的迁移分析在前一章中，我们描述了交通分析的最新发展。首先，我们在网络空间（数据安全）的背景下讨论了它。接下来，我们回顾了现实世界中的案例如前所述，我们目睹了现实和网络空间进入反馈的情况。加入这两个领域，并将其应用到移动代理将使我们能够提出本文的主要贡献这是一个很好的时机来回顾我们对移动代理安全性的假设：（1）使用的协议是安全的，（2）可信主机外部的代理不会泄露任何其他信息，除了可能关于他们的存在。现在，我们已经准备好制定移动代理的流量分析问题。我们专注于大规模使用代理的特定情况，例如为决策系统获取信息。在所提出的框架中，大量的自由漫游移动代理在复杂的网络（可能是整个互联网），流量分析的代理类似于无线环境的情况下。因此，我们主张使用马特·布莱兹等人提出的方法。 在[14]中。3.1系统和威胁模型代理的所有者有一个简单的目标，即收集数据而不泄露有关自己的信息。在这个过程中，所有者可能会遇到两种类型的对手：侦听对手和主动（例如拜占庭）对手。对手的目标更为复杂：• 收集对手（所有者）信息水平的数据• 收集对手的知识补充信息188K. Kulesza等人理论计算机科学电子笔记142（2006）181• 收集对手的行为模式和对某些刺激的反应的信息• 收集对手的策略信息在这一点上，最好回顾一下我们对安全模型的假设• 代理可以在主机之间自由移动;• 在公共代理人以加密形式旅行时，这同样适用于代理人获得的数据;• 主机是安全的位置，这意味着对手不能危及主机这些假设反映了现实生活中的情况，特工可以从外交岗位使用外交身份作为额外的保护（例如[18]）。我们必须做出与情报部门相同的假设，即特工处于持续监视之下。移动代理通过两种方式产生流量，它们可以与其所有者交换数据，并通过网络进行自我增殖。这种情况为交通分析创造了巨大的机会，因为不仅可以单独分析每种方式，而且可以研究它们的相互作用。这将导致多层交通分析（见第2.2节）。为了说明这一点，考虑一种情况下，只有运动的代理人观察。数据可通过以下方式收集：• 通过网络跟踪代理商• 回溯特工• 观察一些关键节点（例如数据库主机）。因此，收集了大量数据，从中可以提取活动模式。此外，有一些额外的信息总是好的，这可以加速分析。《华尔街》就是一个很好的例子。所提出的补救办法是根据与现实世界的类比得出的，即最好的代理人不与主人沟通。他们自主行动，因为信息交换是任何情报行动中最脆弱的因素（见[18]）。利用这种做法，我们建议移动代理交换信息，只在安全的位置，理想的是在业主3.2进一步威胁和对策在网络世界中，代理人由比特组成，可以自由复制。尽管有保护技术（见[22]），但它们有严重的局限性，K. Kulesza等人理论计算机科学电子笔记142（2006）181189站。 所以，我们考虑一种情况，代理人可以被捕获。 这可以可以简单地通过复制或复制代理来完成，代理的所有者和代理自己都不知道这个过程。这与现实世界有很大的不同，在现实世界中，主人通常知道一个特工被抓住了。在网络世界中，由对手决定是否披露特工被捕的事实一旦对手拥有了代理人（或者从技术上讲是代理人的副本），她就可以审问他。主要目标是学习代理拥有的所有信息。然而，有时为了自己的利益操纵代理人更可行。 在这种情况下，代理可以用作从代理的主服务器获得更多信息的媒介一种保护措施可以是所有情报部门都采用的“需要知道原则”。这可以用一句老话来很好地说明：“你掌握的信息越少，审讯的时间就越短”。对于移动代理，它可以在SPECNAZ框架内实现，如[2]中所提出的。但这仍然可能不足以抵御更复杂的攻击。例如，考虑利用具有完全对应环境的伪所有者的主机的对手。这个游戏可以进行得更远，因为一个代理人可能会被提供数据并被释放，以误导他的主人。此外，他提供的信息可能是正确的，但旨在挑起一些行动。由于问题的模糊性，技术对策的设计比较困难。其中一种方法是使用状态评估函数（参见[22]），它确保代理一般的防御方法应模仿现实生活，利用智能体的智能。智能移动代理可以更难混淆，但他们也更难控制。如果你很聪明，你可以用一种令人信服的方式撒谎。生存驱动的代理在他们自己的最佳利益的背景下评估他们的情况，见[2]。这使他们的效率，特别是在全球市场的背景下，但也增加了某些风险（双重代理，转向代理等）。知道代理人处于持续监视之下，所有者可能会制定对策。例如，可以采用各种策略来增加流量，其中随机和无意义流量（所谓的“白噪声”）的人为增加在另一个例子中，代理商只在安全的位置放置信息，并且不与所有者定期联系。通常，移动代理通过两种方式产生流量，它们与其所有者交换数据和通过网络扩散自己。这导致多层传输分析（第2.2节）。在现实世界中，最好的代理人不与190K. Kulesza等人理论计算机科学电子笔记142（2006）181主人他们自主行动，因为信息交换是任何情报行动中最脆弱的因素（例如[18]）。相反，代理应该只在安全的位置交换信息，最好是在所有者自己的主机上不幸的是，反措施总是要付出代价的（见[20]）。它来自系统安全性或性能和准确性。例如，大到足以阻止流量分析的流量可能在其他约束（例如，成本、可用带宽）方面是 然而，一个真正严重的威胁随之而来的观察，过度的对策可能会使侧信道攻击。3.3侧信道攻击侧信道攻击（也称为隐蔽信道接口）使用一些关于被调查对象的次要数据来推断其主要属性。一个优秀的例子是基于功率分析对智能卡的一类攻击（例如[21]）。在这种情况下，由解密器执行的加密功能不会被直接攻击（例如通过破坏算法）。测量设备的功耗，并在此基础上获得关于在并行操作中的“模式”的统计信息。这种攻击最近被证明是相当成功的，见[21]。每个边信道利用不同的措施，导致一些模式的主要活动的系统受到攻击。 让我们提供一些可能的侧通道，用于所述代理• 代理人在东道国停留的时间• 代理人使用的权力或资源• 可见介质特性的变化（例如，移动介质的大小）;• 主机与代理的所有者的通信• 代理的托管方式（优先级、状态、安全级别等）。例如，在第2.2节所述的情况下，只有情报部门的通信是加密的，而所有其他部门（如警察、消防部门）的通信都是纯文本的，这使得它们能够与数据流分开。值得注意的是，几乎所有的攻击都是由上一节中描述的反措施引起的。侧通道用于使对策透明，就像它们从未到位一样。 可以证明，上述攻击机会中的许多都源自针对流量分析的对策这导致了一个悖论，K. Kulesza等人理论计算机科学电子笔记142（2006）181191侧信道攻击可能是由于对抗措施的过度使用而导致的。例如，当对具有针对功率分析攻击的内置对策的智能卡进行电磁发射测试时（例如[21]），发现它们泄漏了大量信息。在我们的例子中，考虑所有者要求代理将信息放在安全的位置。它迫使移动代理携带所有收集到的信息。当代理获取数据时，他的大小将发生变化。虽然所有信息都是加密的，但它将提供主机数据库使用的数据。在实践中，很难预先预测所有可能的副通道。这将需要在每个操作状态下的所有系统参数的完整知识这样的要求可以很容易地被带到一个更哲学的问题：我们对自然的理解会是完整的吗？总之，为了保护自己免受交易分析的影响，我们需要避免任何边线图案的类型很难提前预测。因此，所有者必须尽管如此，也不能保证一些意外的攻击所造成的新发现的边线不会出现。针对流量分析的对策使用得越多，出现更多侧信道的机会就越大。从中吸取的教训是，越来越多的隐私可能会使攻击者受益，从而适得其反。4结论我们讨论了移动代理对流量分析的抵抗。我们专注于在决策系统中大规模使用的移动代码，特别强调金融市场的交易。在这种情况下，我们讨论了网络空间和现实世界两个重叠领域之间的相互作用。因此，我们可以提出这些互动对移动代理和他们的主人的影响。很明显，这样的观点，允许描述以前在系统设计和分析中看不见的并发症。例如，可能会出现许多侧通道，并且它们非常难以控制。这导致了一个过度保护的悖论，当在系统中引入更多的安全性时，它更容易受到侧信道攻击。正如本文开头所述，为所描述的问题建立一个良好的数学模型是一项具有挑战性的任务。这样的模型似乎应该利用数学各个分支的方法，例如：• 人工智能的数学方法，例如，使用模糊集/逻辑来建立交通分析专家系统;192K. Kulesza等人理论计算机科学电子笔记142（2006）181• 抽象代数，例如将代理• 博弈论，例如见S. Bistarelli等人在[3]中也参考了他在同一ENTCS卷中的论文• 图论方法（见[23]），例如：运动图/网络、图知识表示、图语法。我们认为声称向系统添加更多的保护机制实际上会削弱它，似乎是非常违反直觉的。到目前为止，研究界在很大程度上认为构建安全性是引入越来越多的安全组件来抵御不同威胁的毕业过程然而，正如我们在上面所展示的那样，这种看法可能是错误的。关键问题是复杂系统的各个部分之间的相互作用，其中有许多隐藏的耦合，这是设计师没有预见到的当系统操作跨越不同的领域时在这种情况下，与其增加更多的复杂性，我们宁愿提倡应用KISS原则。虽然有更多的方法来阅读这个缩写，我们建议保持简单和安全。我们希望，在这篇简短的论文中，我们能够勾勒出这个问题的方式，这使得它成为一个有趣的主题，为进一步的调查。确认这篇论文是为了纪念康拉德·库莱萨（1979-2003）-研究员，哲学家和战士。提出的想法来自Kon-rad和Kamil的讨论期间，Kamil作者要感谢林恩摩西编辑手稿。我们还要感谢Maurice ter Beek和Maciek Stanczyk在排版方面的帮助引用[1] 吉布森，W.，“Neuromancer”, Ace Books, New York,[2] Kulesza，K.，和Z.王晓刚，王晓刚，等.分布式环境下的决策系统.北京：中国科学技术出版社，2000. L-A P IN'sKA ，ED. ，In for m a cjawS p-leczen'stwie XXI Wieku，Wyd. UW-M，Olsztyn，2003年。[3] 贝拉，G.，S. Bistarelli和F. Massacci，A protocolChristianson等人编，Post-proceedings of the11th Cambridge International Workshop on Security Protocols ， Sidney Sussex College ， 2-4.04.2003，LNCS，Springer-Verlag，Berlin，2004（in print）.K. Kulesza等人理论计算机科学电子笔记142（2006）181193[4] Schumacher，P.，[5] 安德森河，私人来文，2004年2月。[6] 李约瑟，R.，主旨联系地址：移动计算与不动安全，在：B. Christianson等人编，安全协议，LNCS2467，Springer-Verlag，Berlin，2002，1-3。[7] 詹森，W.，和T.Karygiannis，国家标准与技术研究所，特别出版物800-19，1999年8月。[8] 格 林 伯 格 ， M.S. ， J.C. Byington 和 D.G. Harper ， Mobile Agents and Security ， IEEECommunications Magazine36，7，July 1998，76[9] 罗斯，V，关于一些用于移动代理保护的密码协议的鲁棒性，第五届移动代理国际会议论文集，LNCS2240，Springer-Verlag，Berlin，2002，1《编程撒旦的代理人》（[10] 安德森河，和R. Needham，Programming Satan[11] Zi，S.，《孙子兵法》--一份约公元前500年的中国古代手稿。英文译本，张惠民教授，谢国梁将军评点，熊猫图书出版社，北京，2001年。[12] Menezes，A.J.，P. van Oorschot和S.C.范斯通，[13] Pieprzyk，J.，T. Hardjono和J. Seberry，[14] 布拉兹，M.，J. Ioanneli，A. Keromytis，T. Malkin和A. Rubin，Protocols for anonymity inwireless networks，in：B.克里斯汀森在阿尔。编，Post-proceedings of the 11th CambridgeInternational Workshop on Security Protocols，Sidney Sussex College，2-4.04.2003，LNCS，Springer-Verlag，Berlin，2004（in print）.[15] Beimel，A.，和S.Dolev，用于匿名消息传递的总线，密码学杂志16（2003），25[16] Reiter，M.K.，和A. D. Rubin，Crowds：匿名Web交易，ACM信息和系统安全交易1，1（1998），66[17] Wang，C.，中国地质大学，F. Zhang和Y.王，基于匿名移动代理的Internet，计算机科学与技术杂志18，1（2003），84[18] Wright ， P. ， “Spycatcher: The Candid Autobiography of a Senior Intelligence Officer”,Viking, New York,[19] “Wall Street”, the movie, directed by Oliver Stone, Twentieth Century Fox,[20] Acquisti，A.，R. Dingledine和P. Syverson，《论匿名性的经济学》，将发表在《金融密码学学报》（FC[21] Ja Je ， J. ， Taking Side-Channel Cryptoanalysis to its Limits ： The State of the Art ofDifferential Power Analysis，in：“Quo vadis cryptology？"，Enigma 2003会议记录，华沙，2003年。[22] Kulesza ， K. ， Mobile agents security ， Proceedings of the 8th National Conference onCryptography Enigma 2004，Warsaw，2004。[23] 库莱萨湾和Z. Kotulski，通过围绕图构建安全协议来应对新的挑战，在：B。克里斯汀森在阿尔。编，Post-proceedings of the 11th Cambridge International Workshop on Security Protocols ，Sidney Sussex College，2-4.04.2003，LNCS，Springer-Verlag，Berlin，2004（in print）.