从系统整体安全的角度，提出一种面向大规模网络应用的移动主体系统安全机制方案。该方案采用基于混合加密的双向认证技术解决移动主体系统的局部安全问题，通过各级移动主体安全管理平台完成密钥的分配与管理，并对移动主体的迁移进行合理的任务分配与调度，通过任务传递模式解决移动主体的跨网段安全迁移问题，这些措施较为全面的解决了当前移动主体系统的整体安全问题。而且由于采用层次化的系统结构和管理模式，使得该方案非常适合当前面向大规模网络的应用开发。关 键 词 身份认证; 移动主体; 网络应用; 安全机制移动主体(Mobile Agent，MA)技术[1]所具有的良好特性为基于网络的应用提供了许多新的技术解决方案。但移动主体技术的推广在很大程度上受移动主体安全问题的制约[2]。移动主体需要移动到主机上并执行相应的代码，但移动主体和服务设施又都不能完全准确地预见相互的行为及后果，所以移动主体系统的安全机制必须是双向的，即服务设施和移动主体既是安全策略的实施者，同时又是被实施的对象。从现有的移动主体安全问题解决方案[2-9]来看，在保证MA对某个MA平台进行访问时的双方安全，即解决局部安全问题时是卓有成效的。但对于解决具有分层网络结构、包含大量节点、建立在移动主体技术上的应用系统的安全问题，即解决整体安全问题，仍存在一些急待解决的问题，例如如何在保证系统整体和局部两方面安全的前提下，减少系统的运行和维护难度，提高系统应用的灵活性，满足大规模网络应用层次化的系统结构和管理模式的要求等。本文针对目前移动主体技术在大规模网络应用中存在的安全性问题，结合局部安全问题的解决方案，提出了一种基于层次化系统结构和管理模式的安全机制，尝试从整体安全角度解决移动主体系统的安全问题。1 局部安全问题解决方案移动主体系统局部安全问题主要涉及移动主体在与服务设施进行交互时，如何保证双方的安全性，需要解决的是双向的权限和信任问题。对于移动主体权限问题，本文利用Java自身的安全机制[10]来解决。对于移动主体的信任问题，本文采用一种基于混合加密[9]的解决方案。在这种加密通信模式下，通信双方各拥有对方的公钥信息，通信的发起方在每次通信时随机产生一个对称会话密钥Key(如DES密钥)，并用该Key对通信内容以及通信内容的信息摘要进行加密，形成密文C1，同时用发送方的私钥和接收方的公钥对密钥Key进行加密，得到密文C2，然后发送C1、C2。接收方收到密文后，先用自己的私钥和对方的公钥对C2解密，得到Key，然用Key对C1解密，得到通信内容和对应的信息摘要，最后再对该通信内容重新计算信息摘要并将结果与收到的信息摘要比对，以确保通信内容的真实性。如果移动主体的身份被确认，则该主体可以按设定的任务工作，否则该主体将被舍弃。这种混合加密技术一般不需要额外的通信即可实现双重的身份确认。(1) 对于发送者，不必担心伪装的接受者会窃取密文中的有用信息，因为它没有真正接受者的私钥，所以它不能进行第一重解密。(2) 对于接受者，只要它能够完成第二重解密并确认得到的明文是有效的，即可确认发送者的身份无误，因为伪装的发送者没有真正发送者的私钥。该移动主体局部安全解决方案必须建立在各MA平台持有的私钥是绝对安全的基础上。移动主体按上述局部安全解决方案在接收平台上完成双向认证后，就可以通过移动主体服务设施所提供的平台和接口执行任务。由于移动主体携带的会话密钥Key是一次一密而且不为第三方所知的，所以该移动主体可以用该密钥与发送平台进行后续通信，从而降低计算开销。