（计算机应用技术专业论文）迁移工作流中的迁移机制研究.pdf

山东大学硕士学位论文 摘要 迁移工作流是将移动计算技术应用于工作流管理的一项新技术，工作流业务 过程中的活动被映射为迁移实例，多个迁移实例通过迁移和协作完成工作流过 程。构成迁移工作流管理系统的三要素是：迁移工作流管理引擎、迁移实例和工 作位置。工作流引擎完成工作流过程定义、迁移实例生成和多迁移实例协调等。 工作位置指停靠站服务器及其关联的工作机网络。其中，停靠站服务器是迁移实 例的运行场所，工作机为迁移实例提供各种工作流服务，迁移实例通过停靠站以 对象引用方式访问这些服务。 迁移工作流虽然为工作流技术提供了一个新的研究方向，但是也给迁移工作 流管理系统带来了新的安全问题。因为迁移工作流管理系统具有工作流的特点， 同时也具有移动a g e n t 的特点，其安全问题单从一方考虑是行不通的，只有同时 兼顾工作流系统安全问题和移动a g e n t 安全问题以及迁移工作流自身的安全特 点，才能够建立起比较适合迁移工作流管理系统的安全体系。 在迁移工作流管理系统中，迁移实例可以在不同的工作位置上被创建并首先 在其位置上获得执行。当它在当前工作位置上不能继续执行其任务时，迁移实例 可以携带任务和当前结果迁移到一个新的工作位置上以恢复任务的执行。因此， 迁移实例为了完成所有的任务，必须通过在停靠站之间连续地迁移来实现，而迁 移实例的不断迁移恰恰招致了迁移实例身份认证、鉴权的复杂性。 基于以上研究背景，本文从迁移实例的迁移角度入手，考虑到网络传输执行 迁移过程的安全性，给出了基于护照和签证的迁移实例认证过程。然后，根据迁 移实例认证的要求，建立了迁移实例的迁移框架模型，并给出了迁出组件和迁入 组件的设计。该迁移框架，以护照和签证来认证迁移实例的身份，以确保工作位 置接收的迁移实例是安全的；以公钥证书来认证工作位置，以确保迁移实例的迁 移目标位置是安全的。这种迁移方法，在保证通讯双方实体的安全的同时，也使 基于移动a g e n t 的工作流系统的优点得到更充分的发挥。最后，依照上述框架的 描述，给出了迁移实例的迁移过程的主要类设计。同其它移动a g e n t 系统中的 a g e n t 迁移相比较，它具有更符合工作流系统特点，更安全高效的优点。 山东大学硕士学位论文 关键词：迁移实例：c e r t i f i c a t e ：p a s s p o r t ；v i s a ；t , k 证： i i 山东大学硕士学位论文 a b s t r a c t m i g r a t i n gw o r k f l o wi s an e wt e c h n o l o g ya p p l y i n gm o b i l ec o m p u t i n gt o w o r k f l o wm a n a g e m e n t a c c o r d i n gt o m i g r a t i n gw o r k f l o wt e c h n o l o g y , s e v e r a l m i g r a t i n gi n s t a n c e sc o m p l e t ew o r k f l o wb ym i g r a t i o na n dc o o r d i n a t i o n ，w h i c ha r e o b t a i n e df r o mt h ep r o j e c t i o no fa c t i v i t i e si nw o r k f l o wb u s i n e s sp r o c e d u r e t h et h r e e e s s e n t i a lf a c t o r so fam i g r a t i n gw o r k f l o ws y s t e mi n c l u d em i g r a t i n gw o r k f l o w m a n a g e m e n te n g i n e ，m i g r a t i n gi n s t a n c ea n dw o r k p l a c e t h em a n a g e m e n te n g i n ei si n c h a r g eo fw o r k f l o wp r o c e d u r ed e f i n i t i o n ，m i g r a t i n gi n s t a n c e sg e n e r a t i o na n dt h e c o o r d i n a t i o no fm a n ym i g r a t i n gi n s t a n c e s t h ew o r k p l a c er e f e r st ot h ea n c h o r a g e s e r v e ra n dw o r k m a c h i n en e t w o r k ，w h i l et h ea n c h o r a g es e r v e ri st h ee x e c u t i n gp l a c e o fm i g r a t i n gi n s t a n c e ，a n dw o r k - m a c h i n ep r o v i d e sw o r k f l o ws e r v i c e st om i g r a t i n g i n s t a n c e m i g r a t i n gi n s t a n c ea c c e s s e sw o r k f l o ws e r v i c e st h r o u g ha n c h o r a g es e r v e rb y m e a n so fo b je c tr e f e r e n c e t h em i g r a t i n gw o r k f l o wm a d ean e wd i r e c t i o nt ot h ew o r k f l o wm a n a g e m e n ta r e a , w h i l ei ta l s ob r o u g h tn e ws e c u r i t yr i s k s s i n c et h em i g r a t i n gw o r k f l o wn o to n l yh a d t h ec h a r a c t e r i s t i c so fw o r k f l o w ，b u ta l s oh a dt h ef e a t u r e so fm o b i l ea g e n t , i t ss e c u r i t y i s s u e sc a n n tb ec o n s i d e r e do n l yi no n eo ft w os i d e s t h e r e f o r e ，s o 笛t oe s t a b l i s ht h e a p p r o p r i a t es e c u r i t ym o d e l ，w em u s tc o m b i n et h ew o r k f l o ws e c u r i t yp r o b l e m sa n dt h e m o b i l ea g e n t ss e c u r i t yp o i n t st ot h em i g r a t i n gw o r k f l o w si n s t i n c t i v es e c u r i t y f e a t u r e s i nt h em i g r a t i n gw o r k f l o ws y s t e m ，e a c hw o r k p l a c er u n s 嬲t h er e p r e s e n to f b u s i n e s so r g a n i z a t i o n ，o f f e r sm i g r a t i n gi n s t a n c e sr t m n i n ge n v i r o n m e n t ( m m ) a n d w o r k f l o ws e r v i c e s m i g r a t i n gi n s t a n c ec a l lb ec r e a t e db yd i f f e r e n tw o r k p l a c e s w h e n m ic a n n t g a i nf u r t h e re x e c u t e do n c u r r e n tw o r k p l a c e ，i tc a nm i g r a t et oa n o t h e r w o r k p l a c ea n dr e s u m ee x e c u t i o nu p o ni t sa r r i v a l t h e r e f o r e ，t h ec o n t i n u o u sm i g r a t i n g i sn e c e s s a r yf o rm it oa c c o m p l i s ha l lo fi t st a s k s a n dj u s tb e c a u s eo fm i sc o n t i n u o u s m i g r a t i n g ，i ti n d u c e s t h ec o m p l i c a t i o n so fm i s i d e n t i t y a u t h e n t i c a t i o na n d i i i 山东大学硕士学位论文 o nt h eb a s i so fa b o v er e s e a r c hb a c k g r o u n d , t h i st h e s i ss t r e s s e st h em i g r a t i n g i n s t a n c e sm i g r a t i n g ，c o n s i d e r i n gt h es e c u r i t yp r o b l e me x i s t i n gi nt h ep r o c e s s m e n to f m i g r a t i o no nt h ei n t e m e t ，c o n s t r u c tt h ea u t h e n t i c a t i o np r o c e s s m e n tb a s e do np a s s p o r t a n dv i s a a n dt h e n ，a c c o r d i n gt ot h er e q u i r e m e n t so fm i sa u t h e n t i c a t i o n ，t h et h e s i s b r i n g sf o r w a r dam i g r a t i n gf r a m e w o r ka n dd e t a i l e dd e s i g no fe m i g r a t ec o m p o n e n ta n d i m m i g r a t ec o m p o n e n t a st h ef r a m ed i s p l a y e d , o nt h eo n eh a n da u t h e n t i c a t e sm i s p r i n c i p a lb yi t sp a s s p o r ta n dv i s a ，t oa s s u r et h em iw h i c hw o r k p l a c eh a sr e c e i v e di s s a f e ；o n t h eo t h e rh a n da u t h e n t i c a t e sw o r k p l a c e s p r i n c i p a lb yi t sp u b l i c k e y c e r t i f i c a t e ，t oa t t a i nt h em i g r a t i o ng o a li ss a f ef o rm it oi m m i g r a t e t h i sm i g r a t i o n m e t h o d , n o to n l ym a k e ss t i let h es e c u r i t yo fc o u n t e r p a r t si nt h ec o m m u n i c a t i o n ，b u t a l s om a k e st h ea d v a n t a g eo fw o r k f l o wb a s e do nm o b i l ea g e n tm o r ea f f i r m e d a c c o r d i n gt ot h ef r a m em e n t i o n e da b o v e ，t h i st h e s i sd e s c r i b e st h ep r i m a r yc l a s s d e s i g nd u r i n gam i g r a t i o np r o c e s s c o m p a r et oo t h e rm o b i l ea g e n tm i g r a t i o n g m e t h o d s ，t h ep r o c e s sh a st h ec h a r a c t e r i s t i co fb e i n gt h es a m ew i t hm i g r a t i n gw o r k f l o w s y s t e m k e y w o r d s ：m i g r a t i n gi n s t a n c e ：c e r t i f i c a t e ：p a s s p o r t ：v i s a ：a u t h e n t i c a t i o n ： 原创性声明和关于论文使用授权的说明 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下， 独立进行研究所取得的成果。除文中已经注明引用的内容外，本论 文不包含任何其他个人或集体已经发表或撰写过的科研成果。对本 文的研究做出重要贡献的个人和集体，均已在文中以明确方式标 明。本声明的法律责任由本人承担。 论文作者签名：垄竖e l期：兰! ! 矽! 笙缦 关于学位论文使用授权的声明 本人完全了解山东大学有关保留、使用学位论文的规定，同意 学校保留或向国家有关部门或机构送交论文的复印件和电子版，允 许论文被查阅和借阅；本人授权山东大学可以将本学位论文的全部 或部分内容编入有关数据库进行检索，可以采用影印、缩印或其他 复制手段保存论文和汇编本学位论文。 ( 保密论文在解密后应遵守此规定) 论文作者签名：兰垦丝匕一导师签名：议- 1 日 期：巡 山东大学硕士学位论文 1 1 背景与意义 第一章引言 工作流管理联盟1 给出的工作流定义是：工作流是指整个或部分经营过程在 计算机支持下的全自动或半自动化，在此过程中，文档、信息或者任务按照一系 列过程规则在不同的参与者之间流转，实现组织成员间的协调工作以期达到业务 的总体目标。工作流管理系统( w f m s ：w o r k f l o wm a n a g e m e n ts y s t e m ) 指运行在 一个或多个称为工作机的软件上的用于定义、实现和管理工作流运行的一套软件 系统，它和工作流执行者( 人、应用) 交互，推进工作流实例的执行，并监控工作 流的运行状态。工作流管理作为面向过程建模、优化、执行与监控的技术在企业 中的应用已表现出强大的生命力团，广泛地应用于办公自动化、文件管理、电子 邮件、群件应用，业务流程重组等领域。 移动a g e n t ：是代码、数据以及执行语境的软件包，可以在执行过程中有目 的地、自治地在网络中移动，利用与分布资源的局部交互而完成分布任务嘲。移 动a g e n t 是一种新的c l i e n t s e r v e r 间的交互方式，具有很多优点，例如：降低分 布式计算的网络负载，跨平台计算能力，支持离线计算、并行计算，支持实时远 程交互、异步自主交互，感知网络状态和软件资源，自治决策能力等口1 。利用移 动a g e n t 的持久能力，可以间接保证系统的可靠性，而且特别适用于复杂的计算 环境，因此很适合于工作流管理系统的构建位1 。 文献 4 把移动a g e n t 的特点与分布式业务处理过程中需要频繁地传递数据 和调用远程服务的特点相结合，在传统工作流的研究基础上引入移动a g e n t 相关 技术，提出了一种基于移动a g e n t 的工作流模型一一迁移工作流。 文献 4 给出了一种迁移工作流管理系统框架，其中，迁移实例、工作位置 和工作流管理引擎是系统的三要素。迁移实例是业务活动的执行者，是任务执行 的主体，迁移实例可以在不同的工作位置上创建并首先执行，迁移实例可以在某 个工作位置上利用本地资源执行一项或多项任务。当它发现当前工作位置不能满 足其执行任务需求时，迁移实例可以携带任务说明书，私有数据和当前执行结果 迁移到一个满足其要求的新的工作位置上继续执行。每个工作位置代表一个组织 山东大学硕士学位论文 机构，为迁移实例提供运行环境和工作流服务，同时按照本地策略组织和调度本 地工作流服务。工作流引擎负责对迁移实例进行统一管理，包括对迁移实例的创 建、派遣、跟踪、回收以及其迁移域的初始化等：同时负责全局工作位置空间的 管理，它知道每个工作位置的地址和工作流服务能力。 迁移工作流管理系统是在传统的工作流管理系统中引入了移动a g e n t 技术， 所以它的安全问题包括两部分：一部分是传统工作流的安全问题，另一部分是移 动a g e n t 的安全问题。现阶段的相关研究中，还没有针对迁移工作流管理系统提 出专门的安全模型。 传统工作流管理系统中的安全问题主要包括认证( a u t h e n t i c a t i o n ) 、授权 ( a u t h o r i z a t i o n ) 、访问控制( a c c e s sc o n t r 0 1 ) 、审计( a u d i t ) ，数据机密性( d a t a p r i v a c y ) 、数据完整性( d a t ai n t e g r i t y ) 、不可否认性( n o nr e p u d i a t i o n ) 、安 全管理( s e c u r i t ym a n a g e m e n t & a d m i n i s t r a t i o n ) 等等嵋1 。现阶段对工作流管理 系统的安全研究主要集中在了授权和访问控制问题上。 在移动a g e n t 系统中安全问题更为复杂，在系统运行的过程中，移动a g e n t 不断在各主机之间进行迁移，完成自身任务。但系统中的主机可能会进行窥探、 篡改、或复制移动a g e n t 的代码数据或通讯以及复制移动a g e n t 进行黑箱测试等操 作，这就是恶意主机问题：同时a g e n t 可能访问或破坏主机上的敏感信息或者消 耗的资源大于其应该使用的资源，或者攻击其它a g e n t ，这就是恶意a g e n t 问题。 现阶段，研究者针对移动a g e n t 安全问题阳1 ，提出了多种方法与技术，包括基于 软件错误的隔离、代码数字签名、状态评估、携带证明代码、相互记录旅游历史 等。 针对迁移工作流管理系统的特点，系统中的安全问题主要归纳为以下两个方 面： 1 工作位置安全，主要是防范那些恶意迁移实例对工作位置的攻击，例如伪 装、对服务资源的未授权访问或者消耗过多服务资源、窃取或者篡改工作位置内 部数据等： 2 迁移实例安全，主要是防范迁移实例的任务说明书和执行逻辑在迁移时 被恶意第三方篡改或窃取等。同时也要防止迁移至伪装的工作位置上被非法窥探 和篡改。 2 山东大学硕士学位论文 本文主要在文献 4 的研究基础上，结合工作流系统安全问题研究和移动 a g e n t 系统安全问题研究的成果，研究迁移工作流管理系统中的安全迁移机制。 在给出护照和签证的详细定义后，根据迁移工作流系统中迁移过程的特点，介绍 了基于护照和签证的迁移实例认证过程，然后提出了迁移实例的迁移框架模型， 并详细介绍了迁出组件和迁入组件的组成结构，最后给出了设计模型中的部分实 现。 1 2 本文工作 本文重点研究迁移工作流系统中的迁移机制，包括迁移实例的身份认证问 题，以及对工作位置公钥证书的认证，根据这些问题提出了适合于迁移工作流管 理系统的迁移框架模型。通过公钥证书、护照和签证进行安全策略管理，控制迁 移实例仅在具有公钥证书的工作位置上具有相应的活动权限，工作位置利用p v 策略建立对迁移实例的信任，迁移实例则利用公钥证书建立对工作位置的信任， 从而达到保护停靠站服务器与工作机网络的目的。 本文所做的工作主要有以下几方面： 1 本文阐述迁移工作流的相关概念及关联关系，并描述了迁移工作流管理 系统的框架模型。 2 针对迁移工作流管理系统的安全问题进行研究，阐述了迁移工作流的安 全现状，主要在认证和授权访问领域。 3 对迁移工作流的安全研究的不足进行研究，适合于迁移工作流管理系统 中保护工作位置的安全策略。重点研究迁移实例的认证问题，给出了基于护照和 签证的迁移实例认证过程。 4 在工作位置安全策略的基础上，提出了一个适合迁移工作流管理系统的 安全迁移框架模型。模型采用认证中心为工作位置颁发公钥证书、拥有者为迁移 实例颁发护照，接受者为其签证并授权的策略。接受位置通过对迁移实例携带护 照和签证的认证，可以有效识别迁移实例的身份。 5 在本实验室开发的迁移工作流系统f l o w 2 0 原型的基础上，重构了迁出组 件和迁入组件，给出了迁移实例的迁移框架模型，给出了安全迁移插件的部分实 现。 山东大学硕士学位论文 1 3 论文的创新 本文在基于移动计算范型的迁移工作流研究的基础上，重点介绍了系统中的 认证和访问控制问题，并针对在迁移过程中出现的工作位置安全及迁移实例安全 问题的具体需求，提出了迁移工作流管理系统中的迁移机制。 本文的创新： 1 、提出了迁移实例的迁移框架模型，设计了迁入组件和迁出组件，并详细 描述了迁移时需要执行的功能操作。 2 、论文中应用p a s s p o r t 和v i s a 机制，在迁移实例迁入获得执行之前进行认 证工作，防止对工作位置服务的恶意访问和资源滥用，增加了工作位置的安全性。 将安全属性，身份信息封装于p a s s p o r t 中，采用与迁移实例的计算逻辑相分离的 结构，便于修改和扩展。 3 、论文中应用x 5 0 9 公钥证书机制，在迁移工作流系统初始构建之时，给各 个工作位置颁发公钥证书，使迁移实例仅能迁入具有公钥证书的工作位置，防止 冒充的工作位置对迁移实例的恶意窥探和篡改，增加了迁移实例的安全性。 将工作位置的身份信息和通讯公钥，绑定在公钥证书中，既可以双击公钥证 书文件直接查看内容，也可方便地利用j a v a 程序读取和验证公钥证书的各种属性 字段信息。 1 4 本文组织 本文围绕迁移工作流系统中的迁移过程存在的安全问题及其方法进行讨论， 其具体组织如下： 第一章论述了课题的研究背景和意义，介绍了本文的主要工作，最后给出 了本文的创新点和组织结构。 第二章介绍了迁移工作流的相关概念定义和迁移工作流系统框架，阐述了 公钥基础设施中公钥证书、认证中心以及证书库的相关概念。 第三章介绍t p a s s p o r t ( 护照) 和v i s a ( 签证) 的详细定义，并给出了基于护 照和签证的迁移实例认证过程，最后讨论了护照和签证的认证算法。 第四章介绍了迁移实例的迁移框架模型，并给出了迁出组件、迁入组件和 4 山东大学硕士学位论文 公钥证书库的详细设计，论述了框架的安全性。 第五章根据第四章提出的迁移实例的迁移框架模型，用j a v a 技术进行了实 现，给出了主要组成部分的类结构，并给出了公钥证书的使用介绍。 第六章总结已取得的研究成果，并提出了下一步的研究内容。 山东大学硕士学位论文 第二章相关理论基础 工作流技术是进入9 0 年代以后计算机应用领域的一个新的研究热点。工作 流是指一个业务过程中的某些活动按照定义的约束规则先后被执行，从而实现 预期的业务目标。现阶段工作流技术的主要特点是实现人与计算机协作过程的自 动化，使人以及各种应用工具相互之间协调工作，以完成某项任务n 1 。而近年来移 动a g e n t 的迅速发展，为工作流系统的构建提供了更多选择。移动a g e n t 具有能够 减少网络流量、适合于移动用户、有利于数据集成、具有并行机制等优点，非常 适合于工作流系统的构建。 迁移工作流是在基于移动a g e n t 具有构建工作流的特殊优点的背景下提出来 的，它是移动a g e n t 特点与分布式业务处理过程中的需要频繁地传递数据和调用 远程服务的特点相结合而出现的。本章首先介绍迁移工作流系统，然后介绍公钥 证书和认证中心。 2 1 迁移工作流的概念模型 按照国际工作流联盟的定义，工作流是业务流程的全部或部分自动化，在此 过程中，文档、信息或者任务按照一定的过程规则流转，实现组织成员间的协调 工作以期达到业务的整体目标砸1 。在研究工作流管理时，通常将一个业务流程分 解为若干个相对独立的业务过程，并用业务过程之间的关系表示工作流的执行顺 序。一个业务过程由若干定义完善的活动( 或任务) 、资源及它们之间的逻辑关 系( 数据依赖和控制依赖) 组成。 活动包括活动主体( 迁移实例) 、活动客体( 任务和数据) 、活动规则( 任 务执行与协调) 和外部环境( 对活动主体提供数据和功能服务，简称工作流服务， 下同) 四部分。外部环境由迁移实例的当前工作位置提供，活动之间的依赖关系 由迁移工作流引擎保证。由此，可以将工作流的全部或部分自动化解释为多个迁 移实例之间的集散式协同工作过程，每个迁移实例都按照迁移工作流管理引擎的 意图有序地执行一个目标相对独立的活动。 在基于移动计算范型的迁移工作流模型中，任务执行主体称作迁移实例 ( m i g r a t i n gi n s t a n c e ) ，并且被解释为运行期间在工作位置上合并静态工作流说 6 山东大学硕士学位论文 明、本地规则和策略、以及用户决策的效应( e f f e c t ) 叫。迁移实例可以在某个 工作位置上利用本地资源执行一项或多项任务。当迁移实例发现当前工作位置不 能满足其执行任务的要求时，便携带任务说明书和当前执行结果迁移到另一个能 满足其要求的工作位置上继续执行。下一个工作位置的选择决定于过程目标及当 前任务的要求。当一个业务流程由多个业务处理过程组成，并且令迁移实例对应 业务处理过程时，对于不同的业务处理过程，不同的迁移实例可以在不同的工作 位置上生成并首先在该工作位置运行。因此迁移工作流模型大大地提高了工作流 系统适应动态环境的灵活性，特别适合需要传递大量数据和或需要大量调用远 程服务的分布式业务并发处理过程。 2 1 1 迁移工作流的定义 定义1 迁移工作流m w f 是一个四元组( w i d ，m i ，w p ，m w e n g i n e ) ，其中： w i d ：迁移工作流标识： b l i = m i ，m i 。，m i 。) 是迁移实例的集合，每个迁移实例m ie m i 都按照工 作流过程定义完成一个目标相对独立的活动： w p = w p 。，w p 2 ，“，w p ) 是m i 中所有迁移实例的工作位置集合，w p 在拓扑结 构上构成一个连通网络( 可靠连接或非可靠连接) ； m w e n g i n e = e 一，e 叩) 是面向工作流目标的迁移工作流引擎，其中， k 在工作流执行期间按照工作流的过程定义对迁移实例进行统一管理，包括 迁移实例的创建、派遣、跟踪、回收、迁移实例的工作控制和多迁移实例协调等， 因此，它不仅掌握所有m ie m i 的外部特征、工作任务、当前位置和当前状态( 例 如迁移态、执行态、等待态、消亡态等) ，而且控制迁移实例之间的活动依赖关 系； e 卵负责全局工作位置空间w p 的管理，并且对每个m i em i 实施容许的工作位 置授权和组织，因此，它知道每个工作位置w p w p 的地址和工作流服务能力( 服 务类型、服务方式、服务角色等) 。 定义2 工作位置w p e w p 是一个五元组( w p i d ，w p s ，w p r ，n ，m p e n g i n e ) ， 其中： w p i d ：可认证的工作位置标识； 7 山东大学硕士学位论文 w p s = ( ， ， ) 是w p 能够为所有迁移实例m ie m i 提供的功能服务集合，每个功能服务项 包括服务内容w s 。、服务实体s e r v e r 。和服务方式t y p e 。三部分，服务实体可以是人、 计算机程序或其它工具，服务方式可以是自动或手工； w p r = f ， ， ) 是w p 能够为所有迁移实侈r j m ie m i 提供的数据服务集合，其中：w r 。是数据内容，a ；是访问权限，i = l ，2 ，n ： n ( 1 ) 是工作位置w p 容许同时运行的迁移实例个数： m p e n g i n e 是w p 的服务引擎，它管理并向e 。报告本地工作流服务能力，接受迁 移实例的查询，完成迁移实例的认证、接受与迁移驱动，为移入的迁移实例构建 工作环境、并按照本地服务策略组织和调度本地工作流服务，以及实施本地安全 保护等。在特殊许可时，m p e n g i n e 可以在迁移工作流引擎的授权下进行迁移实例 的创建( 复制) 和回收。 定义3 迁移实f f l j m ie m i 是一个六元组( m i i d ，t l ，t ，m p ，p ，m i e n g i n e ) ， 其中， m i i d ：可认证的迁移实例标识； t l = ( ( ， ， ) ，s c h e d u l e ) 是迁 移实侈r j m i 携带的任务说明，其中，( ， ， ) 是任务列表，s c h e d u l e 是定义在任务列表上的约束。在任务列表中，s 。是任 务t ，的功能服务需求( 例如数据读取、程序调用、人员操作等) ，r i 描述任务t 。 的资源关联，如果t 。u r j 则表示活动t 。使用资源r j ( r j 当前工作位置p 或由t 。的前 驱任务生成) ，如果t 。c r ，则表示任务t 。产生资源r ，( r ，作为中间结果供t ，的后继 任务使用或作为最终结果输出) ，j = l ，2 ，；约束s c h e d u l e 可以用e c a 规则描 述，其数据依赖关系取自r i ，控制依赖关系f c a u s a l i t y ，i t e r a t i o n ，a n d s p l i t ， a n d j o i n ，o r s p l i t ，o r j o i n ) ： t ：迁移实v j m i 当前正在处理的任务，t t l ： m p ：由e - p 分配的允许m i 迁移的工作位置集合，m p c w p ： p ：迁移实例m i 当前所处的工作位置，p e m p ； m i e n g i n e 是迁移实侈, j m i 的工作引擎，它向k 报告自己的当前位置和当前状 态，按照t l 说明向当前工作位置p 申请当前任务t 所需要工作流服务，完成任务t 8 山东大学硕士学位论文 的启动、执行和终止，按照s c h e d u l e 启动新任务和执行多任务之间的协调，并在 线检测当前位置p 上工作流服务的可满足性，以便执行肝内的迁移查询、迁移选 择等。 推论1 迁移实例m ie m i 是一个八元组( m i i d ，t l ，t ，肝，p ，s ，t o l ，m c ) ， 其中， m i l d ：可认证的迁移实例标识； t l = ( ( ， ， ) ，s c h e d u l e ) 是迁 移实例携带的任务说明书，包括任务列表( ， ， ) 和任务调度s c h e d u l e 两部分。其中，任务t 。对应b p 中的活动a 。，i = l ，2 ， n ，r i 是任务t 。的资源需求，s 。是任务t 。的服务需求，s c h e d u l e 是依照目标预先定 义的任务执行关系a r ； t ：迁移实例m i 当前正在处理的任务，t6 t l ： 肝：允许m i 迁移的工作位置集合，肝 i o 是v i s a 自签发时间戳开始的有效期限，如果t i m e ，= o 则表示不提 供服务给该迁移实例拒绝其迁入； 2 l 山东大学硕士学位论文 停靠站服务器接收到迁移查询请求后，会根据自己的服务能力形成访问控制 信息：主要是任务一服务表( 图3 - 1 ) 和服务一资源表( 图3 - 2 ) ： 图3 - 1 任务一服务表 任务一服务( t a s k s e r v i c e ) 表是一个动态表，它是由任务标志( ，乙，乙，乙) 和服务标志偈，岛o 钏组成的，表中每条记录表示对任务以，“习- k ) 工作 位置提供的服务昂囟爿训，也就是t ；的服务范围s 。 r e s o u r c e r e s o u n 虾l h $ c r v i c “- s 1 )rr w $ e t v i c e r w c 图3 2 服务一资源表 服务一资源( s e r v i c e r e s o u r c e ) 表是一个权限矩阵，由服务标志偈，昆”，剐 和资源标志m ，尼，尼姐成，表中每条记录表示每个服务s 对资源尼以爿训 的操作权限，这些操作包括r ( 读取) 、w ( 写入) 、c ( 更改，写入) 、f ( 完全控制) 等。 s i g n ，是签证签发者对以上所有字段信息的签名，即用签名用途的公钥证书 中的私钥对v i s a i dp a s s i di s s u e r ，ii s s u e t i m e ，it i m e ，it a s k s e r v i c e | i s e r v i c e r e s o u r c e 的编码信息。 v i s a 证书中包含接受位置对迁移实例的服务授权，因此，签证v i s a 不仅可 以作为门票，还具有权限控制的功能。 定义3 签证链( v i s a p a g e s ) 是附加在p a s s p o r t 上的v i s a 证书链，每在一个工 作位置上执行了迁移实例便将该位置提供给该迁移实例护照的签证加入到签证 链中，其形式如下所示：v i s a p a g e s = ( v i s a ，v i s 锄，v i s a , ) ，其中下标l ，2 ， n 表示签证位置的顺序。 匝目 围 耋 山东大学硕士学位论文 皇! 鼍詈鼍! 詈詈! 皇苎皇暑皇詈詈! ! ! 詈ii i i i|i _ 。詈! 詈! ! ! 暑! ! 皇! 皇! ! 鼍! ! 苎! ! ! ! = ! 詈! = ! 詈詈! 皇! ! ! ! ! ! ! ! ! 签证链不仅可以帮助工作流管理者审计迁移实例的工作路径，而且可以用于 评价各工作位置对承诺的服务的执行情况。 3 3 基于护照和签证的迁移实例认证过程 为了便于描述，约定：e n c ( m ，k p u b ) 为公钥加密算法，k p u b 为公钥，m 为明 文信息：d e c ( c ，k p r i v ) 私钥解密算法，k p r i v 为私钥，c 为密文。 设迁移实例m i 的当前位置是i ，经过迁移查询后打算迁入的目的位置是j n ， 如图3 - 3 所示，则基于护照和签证的认证的迁移过程可以描述如下： 迁移查询请求i j ：e n c ( p a s s p o r t ，s r r ，k p u b j ，l i d ) 送j ，即i 为迁 移实例m i 向j 申请v i s a ，其中i i d 是位置i 的标识，用于回送签证时j 对i 的 加密用公钥证书的选取； 当前位置i 当前 位置认 证签证 确定 目的 和各选 迁入位 置 迁移查询请求：传护照和s 豚 迁移域未迁入位置 迁移查询响应：传送签证 将m i p a s s 和v i s a j n 迁至目的 通知迁移实例此次的迁移结果 目的迁入位置j n i x 证p a s s 和v i 乩j n v 认证m i ，并将v i s a j n 添加至v i s a p a g e s v l ( 旦) 利用v i s a 阴t a s k _ s e r v 和s e r v r e s 买施访问 控制并为迁移实例提供执行环境m i e 图3 - 3 基于p v 的迁移实例认证过程 j ：用算法p a s s a u t h ( e n c p a s s p o r t ) 认证p a s s p o r t ，以决定是否同意 迁移实例m i 迁入或拒绝迁移实例m i 迁入，同时生成任务一服务表和服务一资源表， 以填写v i s a ； 迁移查询响应j i ：e n c ( p a s s p o r t li v i s a ，k p u b i ，) 送i ： i ：对迁移查询响应所得的各个v i s a 进行有效性验证； 选出能满足的服务和资源最多和次多的签证，并分别以其所在位置作为目 的迁入位置和备选迁入位置： 山东大学硕士学位论文 i j n ：如果目的迁入位置为j n ，则e n e ( m ip a s s p o r tl iv i s a ，k p u b j ) 送j n ，完成迁移实例m i 到j 的迁移； j n ：先用算法v i s a a u t h ( p a s s p o r t | | v i s a ) 对迁移实例m i 的迁入许可进 行认证； j n ：认证m i ，并将v i s a j n 添加至签证证书链v i s a p a g e s ； j n ：利用v i s a 中的任务一服务表( 参见图3 - i ) 和服务一资源表( 参见图 3 - 2 ) 实施访问控制，如果都通过访问控制，则激活m i ，否则丢弃m i ： j n i ：通知m i 迁移结果。 3 4 护照和签证的认证算法 3 4 1 护照的认证算法 设p a s s p o r t 签名者的签名用公钥证书为c e r t 。，公钥为k p u b 一。，认证位 置为j 其解密私钥为k p r i v ，并且p a s s p o r t 已经由发送者i 用j 的公钥k p u b j 加 密为e n c p a s s p o r t ，t o 。为j 认证e n c p a s s p o r t 的当前时间( 参见图3 - 3 ) 。 根据以上的说明，我们给出护照的认证算法如下所示： 算法1p a s s a u t h ( e n c p a s s p o r t ) b e g i n d e c ( e n c p a s s p o r t ，k p r i v j ) ； 如果d e c ( s i g n 。，k p u b ，。l i 。) = p a s s i dh o l d e r l n f oi s s u e r pi s s u e t i m e ，it i m e ， 八t 。一i s s u e t i m e p o ) ： v i s a j t a s k _ s e r v i c e - 任务和服务承诺： v i s a j s e r v i c e - r e s o u r c e 一服务和资源承诺： ) 否则 拒绝迁入 v i s a j t i m e ，一0 ： 【jj 东大学硕士学位论文 v i s a j t a s k s e r v i c e 一空表： v i s a j s e r v i c e _ r e s o u r c e - 空表： e n d l 当迁移实例决定旅行到下一个工作位置时，它首先需要向目的工作位置申请 v i s a ，那么目的位置在签发v i s a 时将依据策略库中具体的策略文件将允许的服务 和资源写入v i s a 的s e r v i c e _ r e s o u r c e 表中，可有效控制迁移实例的活动权限。 3 4 2 签证的认证算法 设v i s a 的认证位置为i ，v i s a j 表示位置j 提供给p a s s p o r t 持有者的签证， 并且p a s s p o r tv i s a 已经由j 用i 的公钥k p u b 。加密，而位置i 的私钥为k p r i v 。 ( 参见图3 - 3 ) 。 根据以上的说明，我们给出签证的认证算法如下所示： 算法2v i s a a u t h ( e n c p a s s p o r te n c v i s a ) b e g i n d e c ( e n c p a s s p o r te n c v i s a j ，k p r i v i ) ； 如果d e c ( s ig n p ，k p u b ，。l i 。) = p a s s i dh o l d e r i n f oi s s u e r 。ii s s u e t i m e ，lt i m e ， 则 如果d e c ( v i s a j s i g n ，k p u b j ) = v i s a i d ii p a s s i d ii s s u e r ，ii s s u e t i m e ，l l t i m e ，il t a s k s e r v i c e ll