本科网络安全与保密第13章.pdfVIP

第13章 移动代码安全 第13章 移动代码安全 13.1 引言 13.2 移动代码安全技术 13.3 Java安全 第13章 移动代码安全 13.1 引 言 移动代码又称移动代理、可下载代码、可执行内 容、远程代码等等，它是指在本地执行的远程代码。 传统系统中，执行的代码都是驻留在执行代码的主机 上，而对于移动代码，执行的代码则是来自远程主机。 Carzaniga等人[1]将移动代码进行了分类并与传统 的基于客户机—服务器技术的分布式系统作了比较： 第13章 移动代码安全 (1) 客户机—服务器模型：客户机和服务器位于不 同的主机上，由客户机向服务器发送请求；处理请求 所需的资源和代码都位于服务器端。 (2) 即时响应代码(Code-on-Demand) ：客户机拥有 完成某项操作的资源，但没有如何完成这项操作的代 码，客户机通过向远程服务器发送请求，由服务器将 代码发送给客户机。这种类型的移动代码包括：Java 应用程序、ActiveX控件、MIMI Tcl扩展和Postscript等。 第13章 移动代码安全 (3) 远程计算：客户机拥有描述某项服务的代码， 而执行代码所需的资源位于远程服务器上。客户机把 代码发送到服务器上，由服务器执行代码并把结果回 送到客户机。 (4) 移动代理：客户机进程在执行期间为了完成某 项服务需要访问一些资源，而这些资源位于远程服务 器上，于是客户机把客户机进程移植到服务器端并由 服务器完成服务。客户机进程会一直停留在服务器上 直到下一个客户机进程移植过来。 第13章 移动代码安全 Java应用程序(Applet)和代理(Agent)是移动代码中 的两种主要形式。Java应用程序是用户把代码从远程 主机下载到本地执行。这种技术在Web浏览器中嵌入 了Java虚拟机。这样，Web发布者就可以向用户提供动 画、游戏等动态内容，而不仅仅提供静态的HTML 页 面或依赖于带宽的CGI交互式内容。而代理则相反，用 户是把代码发送到网络上以完成用户所需的某项任务。 最早的移动代理系统之一是Telescript 。 第13章 移动代码安全 从上面的讨论可以看出，移动代码是由一方生 成，但在另一方控制的环境中运行的代码。这就会带 来安全问题。如对于Java应用程序，用户在执行它来 实现某些操作的同时要承担恶意代码破坏系统的风 险，而代理则要保护其代码免受恶意主机的利用。 第13章 移动代码安全 13.2 移动代码安全技术 移动代码会导致安全问题的本质在于在运行代码 时需要访问系统资源，而代码却是来自于另一台，甚 至是不可信的主机。即代码提供者和代码运行者之间 可能是互不信任的。移动代码易受到以下几种类型的 [2] 攻击 ： (1) 泄漏用户或主机的机密信息； (2) 拒绝服务：使合法用户无法获得资源； 第13章 移动代码安全 (3) 破坏或修改数据； (4) 恶作剧攻击：如在用户屏幕上显示图片或在用 户主机上播放音乐等。 第13章 移动代码安全 移动代码安全需要考虑以下几个方面： (1) 访问控制：规定谁可以使用代码； (2) 用户认证：识别合法用户； (3) 数据完整性：保证代码在传输过程中未被修改过； (4) 不可抵赖：发送者和接收方不能否认使用过代码； (5) 数据机密性：保护敏感数据； (6) 审计：跟踪移动代码的使用。 第13章 移动代码安全 在前面提到，移动代码安全可以从两个方面考虑： 一是恶意代码对本地系统的破坏；二是远程恶意主机 对代理的非法使用。接下来，我们将从恶意代码和恶 [3] 意主机两个方面来讨论移动代码的安全技术 。 第13章 移动代码安全