Os sistemas baseados em agentes móveis, assim como todos os sistemas distribuídos, de- vem atender a alguns requisitos de segurança, entre eles a autenticação, a responsabilização, a integridade, a confidencialidade e a disponibilidade. Estes requisitos serão brevemente analisados nesta seção.
4.3.1 Autenticidade
Ao interagirem, dois ambientes computacionais devem autenticar-se mutuamente. A au- tenticação de entidades permite identificar unicamente cada entidade em um sistema. Além da autenticação de entidades, tem-se ainda a autenticação da origem dos dados que permite comprovar a identidade da plataforma que originou um agente ou uma determinada mensa- gem ou a identidade de um agente que originou uma determinada mensagem. A literatura apresenta inúmeros protocolos criptográficos para a autenticação em sistemas distribuídos que podem ser utilizados quando o paradigma de agentes móveis é considerado (Schneier, 1996; Stallings, 1998; Bishop, 2003). Em sistemas baseados em agentes móveis, a auten- ticação é essencial para que se possa responsabilizar agentes e/ou plataformas pelos atos cometidos, bem como para conceder direitos de acesso e para efetuar cobrança pelo uso de recursos.
4.3.2 Responsabilização (Accountability)
As ações de cada processo do usuário humano ou do agente sobre uma dada plataforma devem poder ser responsabilizadas (por algo ou alguém). Para tornar isto possível, cada processo ou agente deve ser identificado de uma forma única, autenticado e auditado. A responsabilização necessita manter um registro de auditoria (logs) dos eventos relevantes à segurança.
Agentes móveis criam rastros de auditoria (audit trails) através de várias plataformas, pois cada plataforma registra eventos separados e possivelmente com diferentes pontos de vistas (políticas) para um mesmo evento. No caso em que um agente deseja acessar registros distribuídos em diferentes plataformas, se torna difícil reconstruir uma seqüencia de eventos associados a esses registros. Plataformas que guardam logs de auditoria distribuídos devem estar habilitadas para manter um conceito global de tempo ou ordenação de eventos, o que em sistemas distribuídos, pode ser difícil. Ações de agentes são importantes considerando as questões de responsabilidades, por exemplo, para o caso de ataques de negação de serviço (Jansen e Karygiannis, 1999) e a auditoria pode contribuir para estabelecer as responsabili- dades.
4.3.3 Confidencialidade
A confidencialidade deve ser garantida a qualquer dado privado armazenado sobre uma plataforma ou transportado por um agente. Plataformas de agentes devem estar habilitadas para garantir que a comunicação entre plataformas e a comunicação em uma mesma plata- forma se mantenham em sigilo. Invasores podem deduzir informações sobre as atividades dos agentes, não apenas examinando o conteúdo das mensagens trocadas, mas também ana- lisando o tráfego entre os agentes.
Agentes móveis podem também querer manter em sigilo a sua localização. Estes podem se comunicar através de um proxy cuja localização é publicamente conhecida. Os agentes podem decidir se sua localização estará publicamente disponível através de serviços de no- mes de agentes, e as plataformas podem aplicar diferentes políticas de segurança sobre os agentes que escolheram ser anônimos (Jansen e Karygiannis, 1999).
Como os registros de auditoria (logs) mantêm as gravações detalhadas das atividades de um agente sobre a plataforma, o conteúdo desses registros deve ser cuidadosamente prote- gido e mantido em sigilo. Registros de auditoria de agentes móveis podem ser distribuídos através dos domínios de segurança, com políticas especiais de auditoria. Por isso, alguns agentes podem querer transportar certas partes desses registros para referências futuras. Em alguns casos, o agente móvel pode solicitar à plataforma para que esta assine os registros pelos quais ela é responsável.
Para garantir a confidencialidade da comunicação, evitando que pessoas não-autorizadas compreendam o conteúdo das mensagens e dos agentes enviados, tem-se uma gama de solu- ções divididas entre algoritmos simétricos ou de chave secreta (e.g. DES) e assimétricos ou de chave pública (e.g. RSA).
4.3.4 Integridade
Analisando a problemática das ameaças das categorias (1) e (4) da Figura 4.1, observa-se que se faz necessário garantir a consistência dos dados armazenados em uma plataforma ou que são transportados por um agente, em particular, prevenindo a modificação não autorizada ou a simples destruição desses dados. Por exemplo, os registros de auditoria, mencionados no item 4.3.2, precisam ser protegidos de forma que permaneçam íntegros.
Mecanismos que asseguram a integridade são basicamente algoritmos de digest ou check- sum (por exemplo, o MD5). Estes são fundamentais na garantia de que as informações não foram modificadas, seja por má intenção ou mesmo por um erro no processo de transmissão.
4.3.5 Disponibilidade
A plataforma de agentes deve estar habilitada para garantir a disponibilidade de dados e serviços para os agentes locais e remotos. A plataforma de agentes deve fornecer con- corrência controlada, suporte a acessos simultâneos, gerenciamento de deadlocks e acesso exclusivo, conforme requerido. Plataformas devem estar habilitadas a conviver com falhas de hardware e software no sistema (Jansen e Karygiannis, 1999). Enquanto as plataformas podem fornecer algum nível de tolerância a faltas e recuperação de erros, agentes devem possuir mecanismos responsáveis pela própria recuperação de erros ou mesmo o tratamento de falhas.
Plataformas de agentes devem assegurar os pedidos de milhares ou milhões de visitantes e de seus agentes remotos, ou então, o risco de uma negação de serviço não-intencional é gerado. Caso uma plataforma não possa assegurar sua computação ou a carga da comunica- ção, esta plataforma deve fornecer uma degradação de seus serviços e notificar aos agentes a impossibilidade de fornecer o nível e a qualidade de serviços esperados pelos agentes que estão solicitando esses serviços.
A ameaça de um ataque de negação de serviço, sendo lançado por um agente malicioso, exige um controle e monitoramento dos recursos da plataforma. Um ataque de negação de serviço contra a plataforma é um ataque indevido a todos os agentes que dependem desta plataforma (Jansen e Karygiannis, 1999).
Garantir a integridade e a confidencialidade interfere na disponibilidade e também apre- senta custos de desempenho. Mensagens e agentes cifrados em trânsito podem impor um atraso inaceitável no ambiente onde um suporte de tempo real é requerido. Garantir a res- ponsabilização pode também colocar restrições sobre a disponibilidade dos serviços da pla- taforma.