一个开放的agen安全体系结构.docxVIP

一个开放的agen安全体系结构 多媒体系统（mas）的运行需要一个强有力的安全机制。大多数安全体系结构侧重于人类与代理的边界，以及使用接近人类互动的系统和可靠的信任机制。为了防止活动在mas中受到破坏，有必要建立两个主要组件：第一，analysis必须知道他们的同伴和活动，并识别恶意活动，以便将来避免它们。其中之一是mas结构应该有一个自我保护的机制。 Teng等描述了已证实的Dempster-Schafer的理论 我们认为信任是发生在Agent上高水平认知过程.因此, 在MAS中一个Agent对另一个Agent建立的信任水平依赖Agent当前状态、MAS状态、当前要达到的目标和在Agent环境中的生命周期.我们提出一个支持Agent的安全结构设计, 实现无约束的安全策略, Agent可以自制地保护自己 1 对代理人的命名和验证 1.1 身份技术平台的实现 MAS中通过名字访问Agent, Agent名字必须唯一, 因此每个Agent可以明确访问其他Agent.在封闭的MAS中产生问题最小, 只要保证分配Agent唯一名字, 在不和其他实体/系统交互时, Agent可以在生命周期里使用唯一的名字.开放系统没有人的仲裁, 须保证生命周期里Agent的名字唯一.使用服务中心模型解决Agent命名问题, 模型中每个MAS包括操作域和域中Agent唯一命名.运行在MAS中的身份服务 (Identity Service, IS) 更易实现.IS保证每个Agent在它MAS域中分配唯一名字, IS也兼作认证机构 (Certification Authority, CA) 和发布身份证书的角色.Agent与IS交互是身份需求记录 (Identity Request Record, IRR) 的交换, IRR提交给IS并由它认证和承认.IRR定义如下. 1 假设 = ( 其中: IS域中如果 2 假设 IS和IRR的概念类似Internet命名机构 (Naming Authorities, NA) 和X.509证书签名请求.本文将NA和CA结合到MAS结构中去实现.身份服务器也可以在域中构成一个层次结构, 将MAS分成不同子域.IS发布证书的名字使用定义2中 1.2 身份证书假设 在MAS中所有Agent接收一个身份证书 3 假设任何文档 sign ( 其中: ( 在特殊文档 4 假设任何签名文档 ( verify ( 得到 2 干预系统的安全结构 2.1 安全系统策略使用 消除MAS中的威胁需要要采用正确的安全策略和协议.策略的使用通常依赖系统开发, 并考虑假设条件和约束条件.为实现安全的健壮性, 身份验证、许可和安全通信这3个基本要素必须实现. 2.1.1 伴真正的解码 Agent在通信前必须互相鉴别, 确定通信伙伴真正是它需要的.鉴别auth ( 5 假设MAS中Agent auth ( 定义5中如果主NS能成功地解码任何由 - : - : 其中: 2.1.2 强制认可协议的生成 参与者在交互中须保证通信令牌来源于被要求的实体.并用sign ( : ( - : result = verify ( 其中: 以上强制认可协议中, Agent 2.1.3 不对称密码的使用 安全机制要保证通信不被第3方监听.Agent可以使用不对称密码系统交换对称密码如DES, 然后为连续的对话建立和维护一个安全的通信通道.在不对称密码编码不可行的情况下, 可以使用如文献 2.2 在网络环境中的应用 典型基础组件的例子是Agent名字服务器 (Agent Name Server, ANS) .ANS是映射Agent名字到网络物理位置的仓库.Agent 我们对ACA进行了扩展并提供Agent鉴别需求服务, 将它包含到MAS基础组件中, 管理Agent身份.IS是一个概念上的实体, 它可以成为ANS的一部分或独立服务或提供一组服务. 2.3 MAS 2.3.1 简单的aps记录协议 下面给出简单ANS注册协议.协议中Agent - - - : result =verify ( - 其中: 文献 2.3.2 简单ans注销协议 ANS维护Agent名字映射到网络地址的记录, Agent不能修改, 除非它拥有权限才可以修改, 这是它的本质.因此只有在ANS注册的Agent可以注销他们自己.为了实现这个方针ANS必须验证要注销的Agent.我们用下面的简单ANS注销协议, 该协议的本质要求Agent确实是先前注册到ANS上, 并希望现在注销.只有满足两个条件注销才成功.一是Agent注销名字与注册名字相同;一是Agent证明自己确实是名字的有效拥有者;也就是auth ( - :result = ( ( :Unregister