（计算机应用技术专业论文）基于pv认证的工作流实例安全迁移机制研究.pdf

山东大学硕士学位论文 摘要 工作流是一种为了在先进计算机环境支持下实现业务过程集成与业务过程 自动化而建立的可由工作流管理系统执行的业务模型，其主要特点是实现入与计 算机协作过程的自动化，使入以及各项应用工具相互之间协调工作，以完成某项 任务。移动a g e n t 的出现为构建工作流管理系统提供了更多的选择。移动a g e n t 具有能够减少网络流量、适合于移动用户、有利于数据集成、具有并行机制等优 点，非常适合工作流管理系统的构建。迁移工作流管理系统把移动a g e n t 的特点 与分布式业务处理过程中需要频繁地传递数据和调用远程服务的特点相结合，在 传统工作流管理系统基础上引入了移动a g e n t 技术，大大提高了工作流管理系统 适应动态环境的灵活性。 迁移工作流为工作流技术提供了一个新的研究方向，同时也给迁移工作流管 理系统带来了新的安全问题。因为迁移工作流管理系统具有工作流的特点，同时 也具有移动a g e n t 的特点，其安全问题单从一方考虑是行不通的，只有同时兼顾 工作流系统安全问题和移动a g e n t 安全问题以及迁移工作流自身的安全特点，才 能够建立起比较适合迁移工作流管理系统的安全体系。 在迁移工作流管理系统中，迁移实例可以在不同的工作位置上创建并首先执 行。当它发现当前工作位置不能满足其任务需求时，迁移实例可以携带任务和当 前结果迁移到一个新的工作位置上继续执行，因此实例在停靠站之间的迁移是必 不可少的，而迁移实例的移动性，恰恰导致了迁移实例身份认证，鉴权的复杂性。 同时，各个工作位置的服务和资源对每个迁移实例的开放程度是不同的，迁移实 例代表用户以自动或人工交互的方式执行业务活动。依据迁移实例的工作特点， 我们需要提供一种有效的访问控制机制，它能够使合法的用户有效利用各个工作 位置的服务和资源，并能够阻止非法迁移实例( 用户) 的未授权访问。 本文有效结合迁移实例的移动特性，借鉴文献 7 的思想，给出一种基于 p a s s p o r t ( 护照) 和v i s a ( 签证) 的迁移实例认证和访问控制模型p v 从c ( 基于 p a s s p o r t 和v i s a 的a u t h e n t i e a t i o na n da c c e s sc o n t r 0 1 ) ，本文将权限信息 包含进v i s a ，并使其作为迁移实例的属性以支持迁移工作流管理中的迁移实例 身份认证和访问控制要求。p v - a a c 模型采用拥有者为迁移实例颁发护照，接受 山东大学硕士学位论文 者为其签证并授权的策略，接受者通过对迁移实例携带护照和签证的认证，可以 有效识别迁移实例的身份并对迁移实例鉴权，给出基于v i s a 的动态权限控制， 有效的控制了实例安全可靠的迁移。本文采用的基于p v 模式的安全机制，一并 解决了迁移工作流管理中出现的迁移实例认证和工作位置服务的访问控制问题。 关键宇：迁移实例；p a s s p o r t ；v i s a ；认证；访问控制 山东大学硕士学位论文 a b s t r a c t aw o r k f l o ww a sat r a n s a c t a o nm o d e lt l l a tc a nb ei m p l e m e n t e db yaw o a f l o w s y s t e m ，i tw a sb r u i tt or e a l i z et h ei n t e g r a t i o na n da u t o m a t i o no ft h em a n a g e m e n t p r o c e s su n d e rt h es u p p o r to fa d v a n c e dc o m p u t e r s i m p l e m e n t i n ga u t o m a t i o no ft h e p r o c e s sw a st h ec h a f a c t e r i s t i co ft h ew o r k f l o w i tw a st om a k eh u m a na n da l lk i n d so f a p p l i c a t i o nt o o l st oc o o p e r a t e ，s ot h a tas p e c i f i ct r a n s a c t i o np r o c e s sw a sf m i s h e dt h e a p p e a r a n c eo fm o b i l ea g e n tp r o v i d e dt h em o r ec h o i c e sf o rw o r k f l o ws y s t e md e s i g n m o b i l ea g e n th a dm a n ya d v a n m g e si nw o r k f l o ws y s t e md e s i g n ，s u c ha sr e d u c i n gt h e n e t w o r kf l u x , s u i tt h em o b i l e1 1 5 0 1 , h e l p f u lt od a t ai n t e g r a t i o na n dp o s s e s sp a r a l l e l f e a t u r e ，e t co n ec h a r a c t e r i s t i co ft h ed i s t r i b u t i n go p e r a t i n gs y s t e mw a st h a ti tn e e d e d f r e q u e n td a t aa n ds e r v i c et r a n s f e r s 1 1 1 em i g r a t i n gw o r k f l o wm a n a g es y s t e mc o m b i n e d t h i sc h a r a c t e r i s t i cw i t ht h em o b i l ea g e n ta n di n t r o d u c e dm o b i l ea g e n tt ot h et r a d i t i o n w o r k f l o ws y s t e mt h em i g r a t i n gw o r k f l o wm a n a g es y s t e mk g h l yi n c r e a s e dt h e a g i l i t yo f t h ew o r k f l o ws y s t e mt oa d a p tt h ea c t i v ee n v i m n m e n t n e m i g r a t i n gw o r k f l o wg a v ea n e wd i r e c t i o n 诵t l l i nt h ew o r k f l o wm a n a g e m e n t a r e a , a tt h es a m et i m e ，i tb r o u g h tn e ws e c u r i t yr i s kt ot h em i g r a t i n gw o r k f l o w m a n a g e m e n ts y s t e m t h em i g r a t i n gw o r k f l o wb o t hh a dt h ec h a r a c t e r i s t i c so f w o r l d l o wa n dm o b i l ea g e n t i t ss e c u r i t yi s s u e sc a nn o tb ec o n s i d e r e di no n l yo n es i d e t ob u i l dt h ea p p r o p r i a t er i l i 伊a l i n gw o r k f l o ws e c u r i t ys y s t e m , b o t ht h ew o r k f l o w s e c u r i t yp o i n t sa n dt h em o b i l ea g e n ts e c u r i t yp r o b l e m sm u s tb ec a l c u l a t e d i nm i g r a t i n gw o r k f l o w , e a c hw o r k p l a c ea c t sa st h ea b s t r a c t i o no ft h eb u s i n e s s o r g a n i z a t i o n ，p m v i d e sr u n n i n ge n v i r o n m e n ta n dw o r k f l o ws e r v i c ef o rm i g r a t i n g i n s t a n c e m i g r a t i n gi n s t a n c em a y c r e a t eb yd i f f e r 锄tw o r k p l a c e ，w h e nm if o u n dt h a t w o r k p l a c ec a n tm e e tt h er e q u i r e m e n t so f t a s k m i 谢mi t st a s ka n dr e s u l t sc a lm i g r a t e t oa n o t h e rw o r k p l a c er e s u m i n ge x e c u t i o nu p o na r r i v a l s om i g r a t i o no fw o r k f l o w i n s t a n c ei sa b s o l u t e l yn e c e s s a r y i d e n t i t ya u t h e n t i c a t i o no fm i g r a t i n gi n s t a n c ea n d a u t h o r i z a t i o np r e s e n ts o m ec o m p l i c a t e df e a t u r e so w n i n gt or o a m i n go fm i g r a t i n g i n s t a n c eb e t w e e ns i t e sc o n t i n u o u s l y f u r t h e r m o r e , i t sa c c e s sp r i v i l e g ei sd i f f e r e n tt o m i g r a t i n gi n s t a n c ea b o u te a c hw o r k p l a c e ss e r v i c ea n dr e s o l | r c e m i g r a t i n gi n s t a n c e e ，【e c u t e st h eb u s i n e s sp r o c e s sb yw a yo fa u t oo ri n t e r a c t i v eo nb e h a l fo fu s e r a c c o r d i n gt ot h ew o r kc h a r a c t e r i s t i co fm i 掣a t i n gi n s t a n c e ，w on e e da ne f f e c t i v e a c c e s sc o n u o lm e c h a n i s mt om a k es u r et h a to n l y r e q u i r e di n f o r m a t i o nc a nb e 山东大学硕士学位论文 a c c e s s e db yl e g a lp a r t i c i p a n ti n v o l v e da n dr e f u s et h eu n a u t h o r i z e da c c e s so fi l l e g a l m i g r a t i n gi n s t a n c e c o m b i n e dw i t i lm o b i l ef e a t u r eo fm i g r a t i n gi n s t a n c e , ap a s s p o r ta n dv i s a a u t h e n t i c a t i o na n da c c e s sc o n t r o lm o d e i ( p v - a a c ) ，w h i c hi n t e g r a t e sr o l eb a s e d a c c e s sc o n t r o l ( r s a c ) m o d e l sa n di n c o r p o r a t et h en o t a t i o no f p a s s p o r ta n dv i s at o p r o v i d eaf l e x i b l e s o l u t i o nf o ra c c e s sc o n t r o lb a s e do nm i g r a t i n gi n s t a n c e , i s p r e s e n t e di nt h i sp a p e r p v - a a ca p p l i e st h es t r a t e g yb yc r e a t o ro fm i g r a t i n gi n s t a n c e i s s u i n gp a s s p o r tf o ri t a n dd e s t i n a t i o ns i t ei s s u i n gv i s aw h i c hw i l le n d o ws o m e p r i v i l e g e 、i mi t w h i c hc a np r o v i d ef l e x i b l ep r i v i l e g ec o n t r o l w h i c hc a nu s e w o r k p l a c e ss e r v i c ea n dr e s o u r c ee f f e c t i v e l ya n dp r e v e n ti l l e g a lu s e r su n a u t h o r i z e d a c c e s s d e 妇n a t i o ns i t ec a l lr e c o g n i z et h ei d e n t i t yo fm i g r a t i n gi n s t a n c ee f f i c i e n t l y , a n dc a nm a k ead e c i s i o nw h e t h e rp e r m i t t i n gm i g r a t i n gi n s t a n c ee n t e r i n gt h ed o c k s e r v e r p vm e c h a n i s ma p p l i e dmt h i sp a p e rp r e s e n t sag o o ds o l u t i o nf o r t h e a u t h e n t i c a t i o na n da c c e s sc o n t r o lp r o b l e m so i lw o r k p l a c e ss e r v i c ei nt h em i g r a t i n g w o r k f l o w k e yw o r d s ：m i g r a t i n g in s t a n o e ；p a s s p o r t ；v is a ：a u t h o n t i o a t i o n ；a o o e s s c o n t r o l 原创性声明和关于学位论文使用授权的说明 原创性声明 本人郑重声明：所呈交的学位论文，是本入在导师的指导下， 独立进行研究所取得的成果。除文中已经注明引用的内容外，本 论文不包含任何其他个人或集体已经发表或撰写过的科研成果。 对本文的研究做出重要贡献的个人和集体，均已在文中以明确方 式标明。本声明的法律责任由本人承担。 论文作者签名：复盗 e t期： 迦。圭：i 丫 关于学位论文使用授权的声明 本人完全了解山东大学有关保留、使用学位论文的规定，同 意学校保留或向国家有关部门或机构送交论文的复印件和电子 版，允许论文被查阅和借阅；本人授权山东大学可以将本学位论 文的全部或部分内容编入有关数据库进行检索，可以采用影印、 缩印或其他复制手段保存论文和汇编本学位论文。 ( 保密论文在解密后应遵守此规定) 论文作者签名：互重豸导师签名：塑壅整整日期：蔓：1 1 1 ， 山东大学硕士学位论文 1 。1 研究背景和意义 第1 章绪论 参照工作流管理联盟( w o r k f l o w m a n a g e m e n tc o a l i t i o n ，w f m c ) 给出的 工作流定义是：工作流“1 是指整个或部分经营过程在计算机支持下的全自动 或半自动化，在此过程中，文档、信息或者任务按照一系列过程规则在不同 的参与者之间流转，实现组织成员间的协调工作以期达到业务的总体目标。 工作流管理系统指运行在一个或多个称为工作机的软件上的用于定义、实现 和管理工作流运行的一套软件系统，它和工作流执行者( 人、应用) 交互， 推进工作流实例的执行，并监控工作流的运行状态。工作流管理作为面向过 程建模、优化、执行与监控的技术在企业中的应用已表现出强大的生命力邮， 广泛地应用于办公自动化、文件管理、电子邮件，群件应用，业务流程重组 等领域。 a g e n t 的研究起源于人工智能领域，是指能模仿人类行为和关系、具有 一定智能并且能够自主运行和提供相应服务的软件体。随着网络技术的发 展，近年来又出现了移动a g e n t 技术，它是代码、数据以及执行语境的软件 包，可以在执行过程中有目的的、自治的在网络中移动，利用与分布资源的 局部交互而完成分布任务的软件实体脚。移动a g e n t 是一种新的 c l i e n t s e r v e r 间的交互方式，具有很多优点，例如降低分布式计算的网络 负载，跨平台计算能力，支持离线计算、并行计算，支持实时远程交互、异 步自主交互，感知网络状态和软件资源，自治决策能力等。 基于移动a g e n t 技术实现的工作流管理系统可以在一定程度上解决集中 式工作流管理系统所带来的性能瓶颈和单点失败问题，利用移动a g e n t 的持 久能力，可以间接保证系统的可靠性，而且这种计算模式特别适用于复杂的 计算环境，因此很适合于工作流管理系统的构建“1 。基于这一点，文献 3 把 移动a g e n t 的特点与分布式业务处理过程中需要频繁地传递数据和调用远程 服务的特点相结合，在传统工作流的研究基础上引入移动a g e n t 相关技术， 提出了一种基于移动a g e n t 的工作流模型迁移工作流。 山东大学硕士学位论文 文献 3 给出了一种迁移工作流管理系统框架，其中，迁移实例、工作 位置和工作流管理引擎是系统的三要素。迁移实例是业务活动的执行者，是 任务执行的主体，迁移实例可以在不同的工作位置上创建并首先执行，迁移 实例可以在某个工作位置上利用本地资源执行一项或多项任务。当它发现当 前工作位置不能满足其执行任务需求时，迁移实例可以携带任务说明书，私 有数据和当前执行结果迁移到一个满足其要求的新的工作位置上继续执行。 每个工作位置代表一个组织机构，为迁移实例提供运行环境和工作流服务， 同时按照本地服务原则组织和调度本地工作流服务，工作流引擎为对迁移实 例进行统一管理，包括对迁移实例的创建、派遣、跟踪、回收以及其迁移域 的初始化等；同时负责全局工作位置空间的管理，它知道每个工作位置的地 址和工作流服务能力。 迁移工作流模型大大提高了工作流管理系统适应动态环境的灵活性，但 是引入移动a g e n t 技术的同时，迁移工作流管理系统也引入了新的问题，安 全问题就是其中一个主要的问题。迁移工作流管理系统是一种改进的工作流 管理系统，所以它的安全问题包括传统工作流的安全问题，又因为迁移实例 的工作行为类似于移动a g e n t ，所以迁移工作流管理系统中的安全问题也与 移动a g e n t 系统相似。现阶段的相关研究中，还没有针对迁移工作流管理系 统提出专门的安全模型。 传统工作流管理系统中的安全问题主要包括认证( a u t h e n t i c a t i o n ) 、 授权( a u t h o r i z 8 t i o n ) 、访问控制( a c c e s sc o n t r 0 1 ) 、审计( a u d i t ) 、数据保 密性( d a t ap r i v a c y ) 、数据完整性( d a t ai n t e g r i t y ) 、防否认( n o n r e p u d i a t i o n ) 、安全管理( s e c u r i t ym a n a g e m e n t & a d m i n i s t r a t i o n ) 等等“3 。 现阶段对工作流管理系统的安全研究主要集中在了授权和访问控制阀题上。 按照文献 3 ，迁移实例基于移动a g e n t 范型设计，因此，我们可以借鉴关于 移动a g e n t 的研究经验。在移动a g e n t 系统中安全问题更为复杂，在系统运行 的过程中，移动a g e n t 不断在各主机之间进行迁移，完成自身任务。但系统 中的主机可能会进行窥探、篡改、或复制移动a g e n t 的代码数据或通讯以及 复制移动a g e n t 进行黑箱测试等操作，这就是恶意主机问题；同时a g e n t 可能 访问或破坏主机上的敏感信息或者消耗的资源大于其应该使用的资源，或者 攻击其它a g e n t ，这就是恶意a g e n t n。现阶段研究者针对移动a g e n t 安全问 山东大学硕士学位论文 题吲，提出了多种方法与技术，包括给予软件错误的隔离、代码数字签名、 状态评估、携带证明代码、相互记录旅游历史等。 针对迁移工作流管理系统的特点，系统中的安全问题主要归纳为以下两 个方面： 1 工作位置安全，主要是防范那些恶意迁移实饲对工作位置的攻击， 例如伪装、对服务资源的未授权访问或者消耗过多服务资源、窃取或者篡改 工作位置内部数据等： 2 迁移实例安全，主要是防范迁移实例的任务说明书和执行逻辑被恶 意第三方篡改或窃取等。 迁移工作流是在工作流基础上引入移动a g e n t 技术，传统的工作流安全 问题显然不能满足迁移工作流系统的安全需求。在迁移工作流管理系统中， 迁移实例的移动性，导致了迁移实例身份认证，鉴权和访问控制的复杂性。 同时迁移工作流系统安全问题与移动a g e n t 系统安全问题虽然类似，但是两 者又有不同之处，例如移动a g e n t 系统主要应用子开放网络环境中，工作主 机间的信任关系难以确定；迁移工作流管理系统和传统工作流管理系统一 样，工作于一个具有信任合约关系的特定环境，并且迁移实例通常是按照 预定义的任务执行逻辑运行的，就行为可预测性而言，迁移实例要易于移动 a g e n t 。 本文主要在文献【3 】的研究基础上，结合工作流系统安全问题研究和移动 a g e n t 系统安全问题研究的成果，研究迁移工作流管理系统中迁移实例的安 全迁移机制。在迁移工作流系统中，工作位置之间可以预先建立安全信任合 约关系，迁移实例工作在建立信任合约关系得工作位置空间内，而不是开放 的i n t e r n e t 自由网络世晃。同时，工作位置间虽然建立了信任合约关系， 迁移实例在工作位置间迁移对，工作位置仍然需要对迁移实例进行动态认 证。对于工作位置而言，工作位置的服务和资源对每个迁移实例的开放程度 是不同的，迁移实例代表用户以自动或人工交互的方式执行业务活动，因此， 需根据迁移实例的身份( 角色) 授予许可凭证，并可依据凭证进行动态的权 限控制，防止工作位置服务和资源的恶意滥用。 山东大学硕士学位论文 1 2 本文的研究工作 本文重点研究迁移实例的认证和访问控制问题，根据这些问题提出了适 合于迁移工作流管理系统的p v - a a c 模型。通过p a s s p o r t ，v i s a 安全策略管 理，控制迁移实例在工作位置的活动权限，通过认证和p v 策略建立在迁移 实例和工作位置之间建立一种信任关系，从而达到保护停靠站服务器与工作 机网络的目的。 本文所做的工作主要有以下几方面： 1 本文对工作流和移动a g e n t 基本概念进行了描述，阐述迁移工作流的 相关概念及关联关系，并描述了迁移工作流管理系统的框架模型。 2 针对迁移工作流管理系统的安全问题进行研究，阐述了移动a g e n t 、 工作流和迁移工作流的安全现状，主要在授权和访问控制领域。 3 对迁移工作流的安全研究的不足进行研究，重点研究迁移实例的认证 和访问控制问题，提出了适合于迁移工作流管理系统中保护工作位置服务的 安全策略。这个安全策略规范了迁移实例在工作位置上的操作权限许可，授 权合法访问，拒绝非法访问，防止工作位置服务的滥用操作。 4 在工作位置安全策略的基础上，提出了一个适合迁移工作流管理系统 的p v - a a c 安全模型。模型采用拥有者为迁移实例颁发护照，接受者为其签 证并授权的策略。接受者通过对迁移实例携带护照和签证的认证，可以有效 识别迁移实例的身份并对迁移实例鉴权，给与基于v is a 的动态权限控制。 5 在本试验室开发的迁移工作流系统f l o w 2 0 原型的基础上，重构了迁 移组件。给出了p v - a a c 模型的体系结构，给出了安全插件的部分实现。 1 3 论文的创新 本文在基于移动计算范型的迁移工作流研究的基础上，重点介绍了系统 中的迁移实例的认证和访问控制问题。并针对在迁移过程中出现的工作位置 安全及迁移实例安全问题的具体需求，在工作流系统安全问题和移动a g e n t 安全问题的研究基础上，提出了适用于迁移工作流管理系统中的p v - a a c 安 全模型。 本文的理论创新： 4 山东大学硕士学位论文 1 、论文应用p a s s p o r t 和v i s a 机制，在实例进行迁移之前，进行认证工作， 增加了系统的安全性，防止对工作位置服务的恶意访问和资源滥用。将安全 属性，身份信息封装于p a s s p o r t 中，采用与迁移实例的计算逻辑相分离的结 构，是便于修改，扩展的。 2 、针对工作位置的限制策略和规则来签发v i s a ，填充v i s a 的映射函数 可自由定制，扩展性强。 3 、v i s a 中包含接受位置对迁移实例的服务授权，因此，v i s a 除具备门 票的作用外，还具有权限控制功能，可依据v i s a 来限制迁移实例的活动。传 统的访问控制矩阵是静态的，预先要在使用的机器上建立帐户，并且为该帐 户分配相应的资源和权限。而本文的工作位置a c l 列表是基于m i 的安全属 性信息动态填充的，增加了m i 的权限控制的灵活性。 1 4 本文组织结构 本文通过对迁移工作流管理系统中迁移实例认证和访问控制问题的介 绍，通过一个实际的应用系统迁移工作流管理系统，设计并部分实现了 系统中工作位置的安全模块，并针对现阶段迁移工作流管理系统中安全问题 研究的不足，提出了一个适用于本系统的认证和访问控制模型。 论文结构如下： 第一章绪论介绍了本论文的研究背景，迁移工作流管理系统中安全 问题研究的背景，并给出了本文了组织结构与理论创新点。 第二章迁移工作流管理系统介绍了移动a g e n t 的特点，着重介绍迁 移机制和生命周期问题及其在构建工作流管理系统方面所具有的优势所在。 介绍了本课题的研究背景一一种基于移动范型的迁移工作流系统。并分绍了 工作流管理系统的安全现状。 第三章工作流实例安全迁移机制介绍了一种基于p a s s p o r t ( 护照) 和v i s a ( 签证) 的迁移实例认证和鉴权模型，并介绍了一种访问控制机制， 它能够有效利用各个工作位置的服务和资源，并能够阻止非法用户的未授权 访问，最后给出了一个例子来进行说明，并接着讨论了安全插件的体系结构 以及迁移实例在集成p v 从c 的整体工作流程。 山东大学硕士学位论文 第四章p v a a c 模型的实现，简要介绍了应用得一些基本j a v a 技术， 并给出了各个模块的详细结构类图设计。 容。 第五章结束语总结已取得的研究成果，并提出了下一步的研究内 山东大学硕士学位论文 第2 章迁移工作流管理系统 工作流技术是进入9 0 年代以后计算机应用领域的一个新的研究热点。工作 流是指一个业务过程中的某些活动按照定义的约束规则先后被执行，从而实现 预期的业务目标。现阶段工作流技术的主要特点是实现人与计算机协作过程的自 动化，使人以及各种应用工具相互之间协调工作，以完成某项任务”。近年来移动 a g e n t 的迅速发展，为工作流管理系统的构建提供了更多选择。移动a g e n t 具有能 够减少网络流量、适合于移动用户、有利于数据集成、具有并行机制等优点，非 常适合于工作流管理系统的构建。 迁移工作流是在基于移动a g e n t 具有构建工作流的特殊优点的背景下提出来 的，它是将移动a g e n t 特点与分布式业务处理过程中的需要频繁地传递数据和调 用远程服务的特点相结合而出现的。本章主要介绍迁移工作流系统，首先介绍移 动a g e n t 技术基础和基于移动计算范型的迁移工作流系统，最后介绍了工作流管 理系统的安全现状。 2 1 移动a g e n t 技术基础 2 1 1 移动a g e n t 的迁移机制 移动a g e n t 的迁移可分为强迁移和弱迁移两种类型 9 。强迁移是语句级 指令级的迁移，移动a g e n t 迁移后从程序断点处恢复执行。移动a g e n t 的强迁移 类似于主机之间的进程迁移。弱迁移是过程级的迁移，移动a g e n t 迁移后重新启 动执行。在弱迁移方式下，移动a g e n t 要执行的任务一般组织成满足某种顺序的 若干过程，移动a g e n t 按照顷序执行过程，从而完成任务。 现已知的移动a g e n t 系统有6 0 多种 1 0 ，它们中的绝大多数是基于j a v a 语言 构造的。在这些系统中，又仅有少数系统实现了移动a g e n t 强迁移，包括w a s p i l l 、 j a v a g o 1 2 、j a v a g o x 1 3 、c i a 1 4 和n o m a d s 1 5 等。 1 移动a g e n t 迁移的分类 一般而言，移动a g e n t 是一个可独立执行的程序，移动a g e n t 的迁移首先是 运行中的程序的迁移，这与进程迁移是非常类似的( 由于j v m 作为一个单独的进 山东大学硕士学位论文 程运行，而j v m 所调度的执行单位是线程，因此，以j a v a 环境为前提，本文仅 讨论线程迁移) 。 定义1 弱迁移( w e a km o b i l i t y ) 指移动a g e n t 这样的一种迁移方式，移动a g e n t 迁移时仅迁移代码和数据， 而不迁移执行状态。弱迁移是过程级的迁移。 定义2 强迁移( s t r o n gm o b i l i t y ) 指移动a g e n t 这样的一种迁移方式，移动a g e n t 迁移时代码、数据以及执行 状态共同迁移。强迁移是语句级指令级的迁移。 对应于移动a g e n t 的强迁移，线程迁移的理想目标是透明迁移( t r a n s p a r e n t m i g r a t i o n ) ，即迁移请求由外部对象发起，且整个迁移过程对线程透明。在一些 文献中，移动a g e n t 强迁移也被称作为透明迁移 1 1 ，本文将二者区别开来，强 迁移是移动a g e n t 的迁移方式，透明迁移是线程的迁移方式。 定义3 自主迁移( s e l f - m i g r a t i o n ) 由移动a g e n t 自身发起的迁移。 定义4 被动迁移( f o r c e d - a i g r a t i o n ) 由外部对象发起的移动a g e n t 迁移。 弱迁移和强迁移又都可以有自主迁移和被动迁移之分。尽管移动a g e n t 更加 侧重于自主迁移，但被动迁移对于一个完善的移动a g e n t 系统而言也是必需的， 例如，出于负载平衡的目的，某些移动a g e n t 需要被强制迁往其他主机运行。 2j a v a 线程执行状态 为使移动a g e n t 在迁移之后能够从迁移前的断点处恢复执行，则需将迁移前 移动a g e n t 的执行状态捕获下来，传送到远程主机，然后在远程主机将执行状态 恢复。移动a g e n t 是一个独立的线程，或由一个主线程和多个辅助线程组成，因 此，移动a g e n t 的执行状态也称为线程执行状态。广义上，线程执行状态包括如 下三个方面的内容 1 1 ： 1 ) 程序代码。 2 ) 程序运行过程中操纵和产生的数据。 3 ) 程序运行时信息，如程序计数器的值。 移动a g e n t 程序代码来源易知。程序操纵和产生的数据亦称为程序中间执行 结果，其存储位置主要有内存、外存、网络等。存储在内存的程序中间执行结果 r 山东大学硕士学位论文 体现为程序使用的各种变量，存储在外存和网络的程序中间执行结果则体现为程 序使用和产生的各种资源。 j 为线程分配的运行时数据区由程序计数器( p c ) 、方法调用栈、堆、方 法区、运行时常量池和本地方法栈六部分组成，其中，程序计数器实际存储在方 法调用栈的帧中，而运行时常量池在方法区中分配空间。j v m 内所有的线程共用 一个堆。 j v m 支持多线程并发执行，对于每一个线程，均有一个p c 值。若线程当前 执行的是j v m 指令，则其p c 值为要执行的下条指令的地址。若线程当前执行的 是本地指令，则p c 值未定义。方法调用栈由若干帧( f r a m e ) 组成，每产生一次方 法调用，就在方法调用栈压入一个帧，方法执行结束返回，相应的帧从方法调用 栈弹出。称该帧为方法帧。方法帧由p c 值、局部变量和操作数栈三部分组成。 栈顶方法帧的p c 值可认为是线程当前的p c 值，其余方法帧的p c 值是该方法执 行方法调用而产生的断点地址。方法帧中的局部变量包括原生类型局部变量和对 象句柄局部变量，对象句柄所引用的对象存储在堆中。j 指令的运算是基于堆 栈完成的，操作数栈存储表达式求值时的中间结果。方法区存储j 装入的类字 节码，运行时常量池存储类中的各种常量，本地方法栈在j a v a 程序执行本地代 码时使用。 2 1 2 移动a g e n t 的生命周期管理 移动a g e n t 自从其诞生到消亡的过程称为移动a g e n t 的生命周期。在移动 a g e n t 生命周期过程中，移动a g e n t 经历不同的状态，这些状态包括态。移动a g e n t 的状态转换模型称为移动a g e n t 的生命周期模型。典型的移动a g e n t 生命周期模 型如图2 - 4 所示。 山东大学硕士学位论文 图2 l 迁移实例的生命周期模型 2 1 3 移动a g e n t 安全现状 尽管移动a g e n t 具有这些优势，但移动a g e n t 本身所固有的可以在网络中进行 迁移的特点同时也会引起严重的安全问题。 在系统运行的过程中，移动a g e n t 能够在异构网络内的不同移动a g e n t 平台闻 进行自主迁移，同时可与其他a g e n t 实体进行通讯及交互，以完成自身所需任务。 另外，移动a g e n t 异步交互和自主迁移的特性也同样给移动a g e n t 系统带来了众多 不安全的因素。由于a g e n t 可在多个移动a g e n t 平台之间迁移，可能受到恶意a g e n t 平台的攻击；另一方面未经授权的a g e n t 也可能对所登陆的未受保护的移动a g e n t 平台造成破坏； 现阶段，对于移动a g e n t 系统中的安全问题分为主机安全和a g e n t 安全两个方 面。 一恶意主机问题( t h em a l i e i o u sh o s tp r o b l e m ) 由于移动a g e n t 只是一个程序它必须依赖于主机运行。恶意主机) i 寸a g e n t 的威胁指 某些主机采取非正常的手段使得运行于其上的a g e n t 所包含的代码或信息的正确 性及保密性得不到保证。可以对移动a g e n t 进行如下攻击：( 1 ) 非法窃听 ( e a v e s d r o p p i n g ) ，由于网络传输的不可靠性，通信过程中信息常被非法监听 程序所窃取，造成信息的泄露。恶意平台通过非法窃听，可能获得a g e n t 的重要 信息，特别在涉及电子商务的应用中，将会引起客户重要信息的泄露。( 2 ) 信 息篡改，恶意主机可能在未经a g e n t 授权的情况下，对a g e n t 携带的数据进行篡改。 山东大学硕士学位论文 ( 3 ) 克隆拷贝，移动a g e n t 的代码数据或通讯、复制移动a g e n t 进行黑箱测试、 此外，还有伪装欺骗和拒绝服务攻击。也同样事恶意主机对a g e n t 的主要威胁。 a g e n t 中代码的执行有定的自主性，保护a g e n t 不受攻击比较困难，目前，针对 a g e n t 的保护技术包括： ( 1 ) 限时黑箱技术为了防j l a g e n t 信息泄露，将原始a g e n t 代码依据某种 混淆算法打乱，形成一个与原始a g e n t 功能属性完全相同的可执行 a g e n t 副本，因此企图对a g e n t 代码进行恶意攻击的对象在短期内无法 对杂乱的代码进行识别 2 3 。经限定的时间后，所有代码数据都将更 新，此技术有效防止了a g e n t 数据信息的泄露。 ( 2 ) 执行跟踪技术 2 4 主要用于发现a g e n t 在其所在的主机平台上未经 授权的修改。通过读取各主机上建立的a g e n t 活动日志，a g e n t 方便地 对自身执行的操作和状态进行跟踪，当发现有a g e n t 代码和数据信息 未经自身授权而被修改时，可以及早发现并进行相应的处理。 ( 3 ) 错误恢复技术当a g e n t 受到攻击不能正常工作后，如何提高系统的容 错能力，在最短的时间内恢复a g e n t 的工作，是错误恢复技术考虑的 问题 2 5 。最常用的方法是定期对a g e n t 进行复制，通过备份的方法 恢复a g e n t 的执行。 ( 4 ) 数据加密技术 2 6 应用数据加密算法对a g e n t 代码中的数据信息进 行加密，t l 吏a g e n t 运行在不可靠的环境下仍不需要担心信息的泄漏。 ( 5 ) 保护移碰j a g e n t 部分内容或功能 可采用的方法有：只保护移动a g e n t 部分功能或内容的研究有：保护移 动a g e n t 的路由乜玎；保护移动代理和路由i d 的匿名性嘲；保护移动a g e n t 不被 主机恶意复制运行豳1 ；移动a g e n t 运行结果保护汹1 等。 ( 6 ) 检测恶意主机攻击 从检测恶意主机攻击的角度出发人们提出了基于r e f e r e n c es t a t e 即 参考状态的方法”1 ，基于模仿生物学中细胞保护性自杀即a p o p t o t i c f u n c t i o n 的方法，基于移动a g e n t 复制( m o b i l ea g e n tr e p l i c a t i o n ) 的方 法泓1 和基于全息证据校验( h o l o g r a p h i cp r o o fv e r i f i c a t i o n ) 的方法1 等。 ( 7 ) 防止恶意主机攻击 目前主要有以下四种方法：基于防篡改硬件的方法；基于防篡改软件的 山东大学硕士学位论文 方法：基于可信主机的方法；基于移动a g e n t 服务器复制的方法等”“。 二恶意a g e n t 问题 主机是移动a g e n t 执行代码的平台，对主机实施保护即是对运行于其上的移 动a g e n t 进行验证和选择，防止恶意a g e n t 的攻击与破坏，对主机的保护将涉及到 网络安全中传统的访问控制中的一些阅题和技术，主要有： 基于软件的错误隔离：将不可信代码的执行限制在独立的空间内，空间以 外的任务区域的存取均被禁止。从而保证了代码的任何错误或是恶意的操作都不 会影响到系统的其它部分。沙箱技术 4 0 是一种基于软件的错误隔离的方法。 数字签名1 ：以开发者或第三方签名作为移动代码安全的标志，建立对 移动代码的信任关系，其安全性依赖于开发者或第三方的信誉，有效保证了代码 的不可抵赖性，防止了恶意代码的产生。 代码携带证明机制：可以在本地主机验证移动代码的安全性，携带证 明的代码( p r o o f c a r r y i n gc o d e ) 技术将安全性证明附加到每条代码上并随移 动代码迁移，系统通过验证安全性证胡来判定移动代码的安全性。 历史路径记录1 ：保持a g e n t 所访问过的主机的相关信息，以使一个最