（计算机软件与理论专业论文）基于新安全协议的安全移动代理系统的研究与实现.pdf

上海大学硕士学位论文 垡! ! ! ! 墅型! 苎! ! ! 竺! ! ! ! ! ! 竺g ! ! ! ! 坚! 竺塑 摘要 随着互联网的不断发展，网络资源变的越来越丰富。传统的技术模式已难 以满足人们的要求，一些更灵活、更先进的计算模型应运而生。移动代理技术 就是在这种背景下产生的。 移动代理是一段独立的程序，能自治地从网络中的一台主机迁移到另一台 主机内，它能根据用户的指示去利用合适的计算资源，完成相应的任务，并向 用户返回所得到的结果。移动代理具有灵活性、健壮性和很强的适应性等优点。 由于移动代理的迁移执行特性，移动代理和运行移动代理的主机可能属于 不同的所有者，因此产生了新的安全问题。恶意的主机可能对迁移来的移动代 理进行恶意攻击；恶意的移动代理也可能会对主机造成破坏。对于主机的保护 可以使用传统的安全技术实现。一般地，现有的移动代理系统大都有了一定的 对主机的保护措施，而对于移动代理本身的保护则是一个崭新的课题。 对于移动代理本身的保护技术主要分为两类：主动保护和事后检测机制。 主动保护主要是构建移动代理黑箱，使得恶意主机无法对移动代理进行反向工 程。目前还没有能用于实际的构建移动代理黑箱的办法。事后检测机制是通过 一定的方法尽早的检测出移动代理受到了恶意主机的攻击。目前而言，对于解 决保护移动代理的安全问题，采用事后检测机制是比较切实可行的办法。 本文主要研究移动代理的保护技术。本文采用事后检测机制，提出了一个 新的安全协议，该安全协议能有效的检测出恶意主机对移动代理的攻击；并根 据该协议设计了一个新的安全移动代理系统；根据新设计的系统使用j a v a 技术 对a g l e t 系统进行改进，构建实现了一个新的安全移动代理系统。最后以一个移 动代理在电子商务中的应用为例进行实验，实验结果表明，新系统有较好的完 备性和可行性。 关键词：安全协议、移动代理、恶意主机、事后检测机制、a g l e t 系统 上海大学硕士学位论文 旦! ! ! ! ! ! ! ! 坐! ! 竺! ! ! ! ! 塑g ! ! ! ! ! 竖竺l 旦 a b s t r a c t w i t ht h ed e v e l o p m e n to fi n t e m e t t h er e s o u r c eo fi n t e m e tb e c o m em o r ea n d m o r er i c m v t h et r a d i t i o n a lt e c h n o l o g yc a n n o tm e e tt h en e e d ，a sar e s u l t ，s o m eo f m o r ef l e x i b l ea n dm o r ea d v a n c e dc o m p u t em o d e l sh a v eb e e nb u n tu d m o b i l ea g e n t t e c h n o l o g ye m e r g e su n d e rt h i sc o n d i t i o n am o b i l ea g e n ti sas e l f - g o v e r n e dp r o g r a m i tc a l lt r a n s f e rf r o mo n eh o s tt o a n o t h e rt h r o u g ht h ei n t e r n e ti n d e p e n d e n t l y i tc a nu s et h ea p p r o p r i a t ec o m p u t e r e s o u r c et oc o m p l e t et h et a s k sa c c o r d i n gt ot h ep e o p l e sd i r e c t i o na n db r i n gt h e r e s u l tt ot h eu s e ri th a ss o m ea d v a n t a g e ss u c ha s f l e x i b i l i t y 、r o b u s t n e s sa n d a d a p t a b i l i t y ， d u et ot h em o b i l ea g e n t st r a n s m i s s i o nf e a t u r e ，t h ea g e n ta n dt h eh o s tm a y b e b e l o n gt ot h ed i f i e r e n tp e o p l e i ti sn a t u r e l ya r o u s es o m en e ws e c u r i t yp r o b l e m s t 1 e m a l i c i o u sh o s tm a y b ea t t a c k st h ea g e n ta n dt h em a l i c i o u sa g e n tm a y b ea t t a c k st h e h o s tt o o t op r o t e c tt h eh o s t ，t h et r a d i f i o n a ls e c u r i t yt e c h n o l o g yc a l lb eu s e d i n g e n e r a l ，m o s to fe x i s tm o b i l ea g e n ts y s t e m sp r o v i d es o m em e t h o d st op r o t e c tt h e h o s tt os o m ee x t e n t s b n ti ti san e wq u e s t i o nt op r o t e c tt h em o b i l ea g e n tf r o mt h e m a l i c i o u sh o s t sa t t a c k s t h e r ea r et w ok i n d so fm e t h o dt op r o t e c tt h em o b i l ea g e n t o h ei si n i t i a t i v e p r o t e c tm e t h o da n dt h e o t h e ri sa f t e re v e n tc h e e k - u pm e c h a n i s m t h ei n i t i a t i v e p r o t e c tm e t h o dp r o t e c tt h ea g e n tb yc o n s t r u c t i n gm o b i l ea g e n tb l a c k b o xt h a tw i l l p r o t e c tt h ea g e n tf r o mt h em a l i c i o u sh o s t sr e v e r s ee n g i n e e r i n g b u tn o w , t h e r ea r e n om e t l l o d sc a nc o n s t r u c tm o b i l ea g e n tb l a c k b o x ，w h i c hc a l lb eu s e di nt h er e a ll i r e t h ea f t e re v e n tc h e c k u dm e c h a n i s mi st od e t e c tm o b i l ea g e n tb ea t t a c k e da ss o o na s p o s s i b l e a tp r e s e n t t h ea f t e re v e n tc h e c k - u pm e c h a n i s mm e t h o di st h er e a l l i f e s o l u t i o no f p r o t e c t i n gm o b i l ea g e n t t h er e s e a r c ho ft h i sp a p e ri st h em e t h o do fp r o t e c t i n gm o b i l ea g e n t a c c o r d i n g t ot h ea f t e re v e n tc h e c k u pm e c h a n i s m ，an e ws e e u r i t yp r o t o c o li sb u i l tu pw h i c hc a n d e t e c tt h em a l i c i o u sh o s t sa t t a c k se m c i e n t l y b a s eo nt h en e wp r o t o c 0 1 an e w s e c u r i t ym o b i l ea g e n ts y s t e mi sd e s i g n e d i na c c o r d a n c ew i t ht h en e wd e s i g n ， i m p r o v et h ea g l e ts y s t e ma n di m p l e m e n tan e ws e c u r i t ym o b i l ea g e n ts y s t e mb y u s i n gj a v at e c h n o l o g y i nt h ee n d ，t a k et h em o b i l ea g e n t sa p p l i c a t i o ni n t h e e c o m m e r c ea sa ne x a m p l e ，e x p e r i m e n tr e s u l ts h o wt h en e w s y s t e mi sc o r r e c t e da n d c o m p l e t e d k e y w o r d ：s e c u r i t yp r o t o c o l ，m o b i l ea g e n t ，m a l i c i o u sh o s t ，a f t e re v e n tc h e c k u p m e c h a n i s m ，a g l e ts y s t e m i i 原创性声明 本人声明：所呈交的论文是本人在导师指导下进行的研究工作。 除了文中特别加以标注和致谢的地方外，论文中不包含其他人已发表 或撰写过的研究成果。参与同一工作的其他同志对本研究所做的任何 贡献均已在论文中作了明确的说明并表示了谢意。 本论文使用授权说明 本人完全了解上海大学有关保留、使用学位论文的规定，即；学校有权保留论文及送交 论文复印件，允许论文被查阅和借阅；学校可以公布论文的全部或部分内容。 ( 保密的论文在解密后应遵守此规定) 日期：塑! 。 上海大学硕士学位论文 望! ! ! ! 墅! ! ! 坐! 塾! ! ! ! ! ! ! 竺g ! 墨! ! 竖! ! ! 堕 第一章绪论 1 1 研究背景 近年来随着网络技术的发展、i n t e m e t 用户急速增长，网上信息也越来越丰富。 基于网络应用的不断膨胀，分布式计算越来越受到更多的关注。由于迅速扩展的 网络规模和各类网络设备以及系统的差异性，极大的增加了分布式计算的复杂 性。人们对分布式系统的灵活性、扩展性、容错性和适应性提出了更高的要求。 传统的分布式计算模式大都是客户服务器( c l i e n t s e r v e r ) 结构模式。基于 消息传递的同步远程过程调用( r e m o t ep r o c e d u r ec a l l ，r p c ) 、面向对象技术中 的远程方法调用( r e m o t em e t h o di n v o c a t i 0 1 1 ，r m i ) 和公用对象请求代理架构 ( c o m m o n o b j e c t r e q u e s t b r o k e r a r c h i t e c t t t r e ，c o r b a ) 都孕导到了广泛的应用。在 这些模式中，应用程序的功能在参与结点之间被分割，结点之间通过消息传递机 制进行协调分布式计算任务的完成。由于计算任务被分割到各个不同的结点，所 以结点之间需要传送大量数据以及其他同步信息。 随着网络技术的不断发展，进一步出现了更灵活的形式，如：代码点播 ( c o d e o n d e m a n d ，简记c o d ) 技术。这种情况下当客户端需要获得远程服务 时，从远程服务器上下载代码到本地机器的处理器上执行。a p p l e t 是此类技术的 典型代表。它无需客户端预先安装部署，使用方式更加灵活。 可以看出，在传统的分布式系统中，客户和服务器之间的关系是相对固定的。 计算任务的完成需要客户端和服务器交互操作。由于客户端和服务器端的交互操 作需要传输大量的信息，增加了网络流量。很自然的改进方式就是迁移程序到需 要完成任务的远程机器上去执行。c o d e - o n - d e m a n d 方式部分的满足了这个要求， 但是，这种模式只允许代码在客户端和服务器端一对一的迁移，这在很大程度上 限制了它的应用。 移动a g e n t ( m o b i l ea g e n t ，简记m a ) 的计算模式以其智能性、动态性和移动性 得到广泛的关注。移动a g e n t 是一段独立的程序，能自治而主动地从网络中的一 台主机迁移到另一台主机内，它代表用户，能利用合适的计算资源进行相关的计 算，完成特定的任务，并向用户返回相应的计算结果【1 】。移动a g e n t ：趟程机器上 执行任务时，不要求网络始终保持连接。它具有减少网络流量、支持移动客户、 增加客户机和服务器的异步性、服务定制、容错性好等优点。其主要应用领域有 分布式系统管理、网络信息搜索、电子商务等。 上海大学硕士学位论文 坠! ! ! ! ! g ! 型! 坐旦塑! ! ! ! ! 塑韭型塑生! ! ! 坐 一 1 2 研究目的和意义 由于移动a g e n t 系统支持移动a g e n t 的迁移执行，从而引起了一个全新的安 全问题。移动a g e n t 和运行移动a g e n t 的主机两者之间并不是完全可以信赖的关 系，如果一方是恶意的话则可能会对另外一方造成伤害。据此可以划分为恶意 移动a g e n t 问题( 也称为保护主机问题) 和恶意主机问题( 也称为保护移动a g e n t 本身问题) 。 恶意a g e n t 问题主要是指恶意的移动a g e n t 会对移动a g e n t 服务器进行攻击。 这类攻击主要包括伪装、未授权存取和拒绝服务等。恶意的移动a g e n t 可能通 过伪装成其他的移动a g e n t 获取未经授权的资源信息或者对服务器进行破坏。 恶意的a g e n t 还可能通过一些手段对移动a g e n t 服务器实施拒绝服务攻击，比如， 恶意的移动a g e n t 可以通过不断复制自身来增加服务器端的压力，最后有可能 消耗尽系统资源使得系统无法及时的响应其他移动a g e n t 的请求。在解决这个 问题时可以通过使用传统的安全保护技术，比如身份确认、安全策略等手段。 当今大多数移动a g e n t 平台，一般都具有一定防范恶意a g e n t 的能力。 恶意主机问题是指当如何防范恶意的移动a g e n t 服务器对移动a g e n t 进行攻 击。移动a g e n t 本身可能会受到来自恶意移动a g e n t 服务器平台的伪装、拒绝服 务、窃听和篡改等各种手段的攻击。保护移动a g e n t 是一个极富挑战性的课题。 这是因为保护移动a g e n t 本身的安全策略在一些方面与传统的安全问题相比有 着本质的不同【2 1 。传统的安全机制一般都是保护程序的执行环境，使得该环境 能够避免遭受执行的程序的恶意攻击，但是保护移动a g e n t 是避免所执行的程 序被其所运行的环境所攻击。对于如何防止恶意主机攻击这一问题，目前般 采用的方法主要有两类 2 1 ：第一类是主动保护机制，它通过一定的技术使得移 动a g e n t 在一定的时间内对恶意主机而言是一个完全的黑箱，恶意主机无法对 其进行反向工程；第二类是检测机制，通过一定的检测机制能够尽量早的检测 出移动a g e n t 受到了恶意主机攻击，移动a g e n t 一旦受到攻击，通过一定机制可 在尽量短的时间内发现从而使危害降低到最小。对于第一类方法目前大都停留 在理论阶段，尚未建立完整的理论模型，更无法进入实质性应用。第二类方法 是比较切实可行的方法，但是目前的一些办法效率不高而且有相当的局限性。 移动a g e n t 的安全问题如果得不到较好的解决，移动代理的完整性以及移动 代理运行的正确性就难以得到保证。同时，安全问题也妨碍了移动代理系统的 广泛应用和普及，使得移动代理系统作为一种先进的计算模型不能发挥它应有 的效能。本文主要致力于研究移动a g e n t 安全问题，提出了一个新安全解决方 案并与具体的系统进行结合，实现了一个具有是好事后检测机制的安全移动 上海大学硕士学位论文 ! ! ! ! ! ! ! s 囹! ! ! ! 兰! ! ! ! ! ! ! 竺g ! ! ! ! ! ：! 堡! 篁 a g e n t 系统，有效地解决移动代理的安全检测问题。 1 3 本文的主要工作 通过前面的分析可知当前移动a g e n t 安全问题的焦点和难点在保护移动 a g e n t 自身上。本文提出了一个新的解决方案，通过消除移动代理在不同主机上 的各状态间的依赖性，简化了移动代理的保护工作，并建立个新的安全协议， 能有效保护移动代理并检测恶意主机的攻击。结合这个新的安全协议和a g l e t 丁| 发包，设计并实现了一个安全的移动a g e n t 系统。最后对该系统进行试验证 明了新设计的系统的完备性和有效性。 a g l e t 作为移动a g e n t 平台为移动a g e n t 的提供了分布式计算的支撑环境， 其结构是非常复杂，在保证系统原有功能的情况下为其加入新的安全协议层是 比较困难的；并且由于移动a g e n t 平台作为移动a g e n t 的运行环境，它不同于常 规的应用程序，对其进行改进的调试也是很困难的。本文通过反复实践最终成 功的根据新安全协议完成了对a g l e t 系统的改进，实现了一个新的安全移动 a g e n t 系统，试验部分证明了新系统的完备性和有效性。 创新性主要体现在；提出了一个新的保护移动a g e n t 的安全协议，并提出 将其与m a s t e r - s l a v e 模型相结合，从而得到一个保护移动a g e n t 的新的解决方案； 根据以上的方法设计出了一个新的安全移动a g e n t 系统，并结合j a v a 技术实现 了该系统。 1 4 本文的内容安排 本文的第一章为绪论部分，介绍了研究背景、研究目的以及研究意义；第 二章详细介绍移动a g e n t 的理论、技术和具体应用，以及若干实现产品；第三 章详细分析了移动a g e n t 技术所面临的安全问题以及当今研究现状；第四章根 据前面的分析提出了一个新的解决方案，通过消除移动代理在不同生机上的各 状态间的依赖性，简化了移动代理的保护工作，并设计出一个新安全协议。接 着详细论证了该协议的理论及其可行性，通过对比当今其他方法，说明了新协 议的优点和创新性，并根据新的安全协议设计出一个安全的移动a g e n t 系统； 第五章使用j a v a 技术，根据第四章提出的新协议结合i b m 公司的a g l e t 软件包 实现了安全移动代理平台，通过试验证明了新系统的完备性和有效性；第六章 为总结和展望。 为总结和展望。 上海大学硕士学位论文 ! 堕! ! ! 塑鲤! 塑坠! ! ! ! 垡! ! 塑g 堕! ! ! ! ! ! 些： 第二章移动a g e n t 技术 2 1 移动a g e n t 简介 a g e n t 的研究起源于人工智能领域。a g e n t 是指模拟人类行为与关系、具有 一定智能并能够自主运行和提供相应服务的程序。与现在流行的软件实体( 如对 象、构件) 相比，a g e n t 的粒度更大，智能程度更高。随着网络技术的发展，可 以让a g e n t 在网络中移动并执行，完成某些功能，这就是移动a g e n t 的思想口j 。 2 0 世纪9 0 年代初，由g e n e r a lm a g i c 公司在推出商业系统t e l e s e r i p t t 4 1 时提 出了移动a g e n t 的概念。移动a g e n t 是一个能在异构网络中自主地从台主机迁 移到另外一台主机，并可与其他a g e n t 或资源交互的程序。实际上它是a g e n t 技 术与分布式计算技术结合的产物。 传统的r p c t 5 j 程序使一个结点能够调用网络上另外一个结点服务。在调用 过程中需要传递很多信息，比如参数请求处理消息、处理的结果。不同于在传 统的r p c 程序，移动a g e n t 可迁移到远程提供服务的机器上去执行相应的任务。 移动a g e n t 不同于远程执行，移动a g e n t 能够不断的从一个网络位置移动到 另一个位置，能根据自己的选择进行移动。移动a g e n t 与进程迁移是不同的， 般来说进程迁移系统不允许运行进程选择什么时候迁移和迁移到哪里，而移 动a g e n t 带有状态，所以可以根据应用的需要在任意时刻移动，可移动到它想 去的任何地方。移动a g e n t 也不同于a p p l e t l 6 j ，a p p l e t 只能从服务器向客户端 单方向移动，而移动a g e n t 可以在客户和服务器之间双向移动。 移动a g e n t 具有很多优点，移动a g e n t 技术通过将移动a g e n t 动态的移动到 服务器端执行，使得此a g e n t 较少依赖网络传输这一中间环节而直接面对要访 问的服务器端资源，从而避免了大量数据的网络传输，降低了系统对网络带宽 的依赖。移动a g e n t 不需要统一调度，由用户创建的a g e n t 可以异步地在不同结 点上运行，待任务完成后再将结果传送给用户。为了完成某任务，用户可以创 建多个a g e n t ，同时在一个或若干个结点上运行，形成并行求解的能力。此外它 还具有自治性和智能路由性。 4 上海大学硕士学位论文 坠! 墅! 堡翌! ! 坐里! 坐! ! ! ! ! 婆堕型! ! ! ! ! ! 堡 2 2 移动a g e n t 技术产生背景 2 2 1 远程过程调用r p c r p c 主要是基于客户和服务器结构，目的是远程资源共享。r p c 实现中主 要是客户负责将远程调用的参数传送给服务器，然后等待响应，服务器产生一 个子进程或者线程进行响应来处理r p c 请示，服务器再调用具体的本地操作来 完成r p c 所请求的功能，然后将结果返回给客户。其处理过程是一个交互的， 分为响应和应答两个部分。 在r p c 实现过程中，参数调用是一个关键问题【5 j 。r p c 试图把对远程的调 用在效果上等同于对本地的调用。但是完全的做到透明化是很难的，比如指针 变量和对本地变量的引用很难完全透明化处理。 2 2 2 网络计算模式 移动a g e n t 技术为网络计算提供了一个强大的计算模式。它改变了分布式 系统的设计，在解决分布式应用上具有很强的适应性。下面对几种典型的分布 式计算模式进行比较：c l i e n t s e r v e r 模式、b r o w s e r s e r v e r 模式、r e m o t e e v a l u a t i o n 帧式、c o d e o n d e m a n d s i 模式和移动a g e n t 模式进行比较。 c l i e n t s e r v e r 模式： 在这种模式下服务驻留在服务器上，客户端“知道”服务器所能提供的服 务。通过调用相应的服务才能完成相应的任务。这种模式下一般处理能力是不 对称的，服务器端功能比较强，负担也比较大，而且由于客户端需要“知道” 一些服务器所提供服务的相关信息，所以一般都要对客户端进行相应安装设置。 一般结构定下来就不能再进行改变。一旦服务器端发生了变化，会对客户端都 产生影响。部署客户端往往成为一个系统维护的难点。典型的技术有：r m l l 9 】、 c o r b a 【0 1 。 b r o w s e r s e r v e r 模式： b r o w s e r s e r v e r 模式，一般简称为b s 结构。这种模式，把处理能力集中在 服务器端，客户端只提供一个显示和交互的功能。在这种模式下客户端和服务 器端的不对称性更加明显。由于客户端只需要一个浏览器，而浏览器已经成为 客户端的标准配置，所以解决了c l i e n t s e r v e r 模式的客户端部署问题。但是这 种结构t n 务器端基本承载了绝大多数功能，服务器和客户端之间的关系结构 已经固定，服务器端一旦出现问题就会成为系统性能的瓶颈，对所有的客户端 上海大学硕士学位论文 ! 坠! ! ! 坚塑! 坐堡! ! ! ! ! ! ! 竺望! ! ! 唑竖型 都会产生影响。典型技术如s e r v l e t t l l 】。 r e m o t ee v a l u a t i o n 模式： 这种模式下一方具有计算资源，一方具有计算代码。当需要计算时，拥有 计算的一方将代码发送到拥有计算资源的一方，这种模式传送的是计算的代码， 并且传递是一种“推”的方式。典型的例子是r e v 7 】系统等。 c o d e o n d e m a n d 模式： 这种模式下，一台主机不具备某种功能可以通过下载其他主机上的代码进 行执行相应的任务。例如主机a 可能需要的功能在主机b 上，a 可以下载b 的 程序代码，然后在a 上运行。这种情况与c l i e n t s e r v e r 模式的区别就是客户端 不必了解服务器端的信息。典型的例子是a p p l e t 。 移动a g e n t 模式： 这种模式下，需要计算的资源和具有计算能力的机器之间没有任何的限制， 是完全自由分布的，系统具有高度的灵活性和扩展性。各主机间的计算能力可 以联合完成任务。 2 3 移动a g e n t 系统结构及其关键技术 2 3 1 移动a g e n t 系统结构 移动a g e n t 系统由移动a g e n t 和移动a g e n t 服务设施( 移动a g e n t 服务器) 两部 分构成。移动a g e n t 服务设施基于a g e n t 传输协议实现a g e n t 在主机间的转移， 并为其分配执行环境和服务接1 2 。a g e n t 在服务设施中执行，通过a g e n t 通信语 言a c l 相互通信并访问服务设施提供的服务。 移动a g e n t 模块分为环境交互模块、任务求解模块等。a g e n t 通过环境交互 模块感知外部环境并作用于外部环境。环境交互模块实现了a c l 语义，保证使 用相同a c l 的a g e n t 和服务设施之间的正确通信和协调，而通信内容的语义与 a c l 无关；a g e n t 的任务求解模块包括a g e n t 的运行模块以及与a g e n t 任务相关 的推理规则和方法。 服务设施为移动a g e n t 提供基本服务( 包括创建、传输、执行等) ，移动a g e n t 的移动和任务求解能力很大程度上决定于服务设施所提供的服务。一般来讲， 服务设施应包括以下基本服务： 生命周期服务：a g e n t 的创建、移动、持久化存储和执行环境分配； 事件服务： a g e n t 传输协议、a g e n t 通信协议、a g e n t 间事件传递： 目录服务： 提供定位a g e n t 的信息，形成路由选择： 安全服务： 提供安全的a g e n t 执行环境； 上海大学硕士学位论文 ! 坠! ! 墨g 翌! ! 坐里兰坐! ! ! ! 竺! ! ! 旦! 坠! ! 壁 应用服务：在生命周期服务基础上提供面向特定任务的服务接口。 移动a g e n t 服务器是移动a g e n t 运行的容器。移动a g e n t 是由移动a g e n t 发 出方根据具体任务编写的程序，它与具体任务有关。由于移动a g e n t 服务器提 供了通用的分布式功能，所以降低移动a g e n t 的编写难度，更利于移动a g e n t 编 写者集中精力关注于具体应用方面的逻辑。 2 3 2 关键技术 移动a g e n t 利用先进的思想提供智能化的服务和任务规划求解，为实现这 个目标，必须解决好一下几个关键技术【3 】。 1 移动a g e n t 的理论模型 目前，一般基于b d i 系统。b d i 系统也称为意识系统，是把a g e n t 看作 理性主体，通过信念( b e l i e f ) 、愿望( d e s i r e ) 或意图( i n t e n t i o n ) 属性来预测a g e n t 的行为。把主体看作意识系统的主要好处有： 对于设计者和分析者来说，这样有利于设计出结构清晰的系统； 对描述复杂系统的行为提供了简洁的表示，有利于理解和解释： 不依赖于具体物理实现就可以得到许多主体的规则和模式； 可被a g e n t 自身用来相互推理。 2 a g e n t 通信语言a c l a c l 基于“语言行为”理论( s p e e c ha c t ) ，定义了a g e n t 及服务设施 间协商过程的语法和语义。移动a g e n t 的a c l 应具有普通性、筒捷一致的 语法和语义、通信内容的独立性等。目前常用的a c l 有k q m l 1 2 l ( k n o w l e d g e q u e r ya n dm a n i p u l a t i o nl a n g u a g e ) 署df i p a “，它们的格式非常接近，这里以 k q m l 为例进行说明。 k q m l 分为三层：内容层、消息层和通信层。内容层包括消息的实际 内容，k q m l 可以采用任何形式的表示语言，以a s c i i 码字符串或二进制 形式都可以；通信层描述低级的通信参量，如发送者、接受者、和与通信有 关的唯一标识符；消息层是k q m l 语言的核心，它的主要作用是识别传输 消息所采用的网络协议，给出发送者对内容的态度和意图，即行为原语 ( p e r f o r m a t i v e s ) 。行为原语定义了可以作用于a g e n t 的知识库和目标库的各种 许可操作：常用的操作原语( t e l l 、d e n y ) 、基本查询原语( e v a l u a t e 、r e p l y 、 a s k i f ) 、能力宣告原语( a d v e r t i s e ) 、网络操作原语( r e g i s t e r 、f o r w a r d ) 和协调 器操作原语( b r o k e r - o n e ) 等，开发者可以自己扩充k q m l 来实现特定的系统。 7 上海大学硕士学位论文 t h ep o s t g r a d u a t et h e s i so f s h a n g h a iu n i v e r s i t y 目前，虽然有一些相应的k q m l 的开发包( 如j k q m l 【1 4 1 ) ，但k q m l 及其类似语言还有一定的局限性，即缺少一个精确的语义系统，通信层上基 本无语义【jj 。 3 a g e n t 传输协议 a g e n t 传输协议定义了移动a g e n t 传输的语法和语义，具体实现了移动 a g e n t 在服务器间的移动机制。i b m 提出的a t p 框架架构( a t pf r a m e w o r k ) 定义了一组原语性的接口和基础消息集1 1 5 】，可以看作是一个a g e m 传输协议 的最小实现，其基本操作如图2 - 1 所示。目前研究的重点是可靠而实时的传 输。 1 d i s p a t c h l r e t r a c t a t p la t p f e t c h ，一 l a y e r m e s $ a q e 一 一 r e s d o n s e 图2 - 1 a g e n t 传输协议 4 路由策略 移动a g e n t 的效率在很大程度上取决于路由策略的优化。可行的路由策 略有两种，分别为固定路由和基于规则及目录服务的动态路由。目前，在路 由策略中引入q o s ( q u a l i t y o f s e r v i c e ) 是一个研究重点。 5 系统性能影响及其测试工具 当前的移动a g e n t 系统虽然可以减少网络负载和克服网络延迟，但却增 加了服务方主机的负载，基于可移植性和安全方面的原因，a g e n t 通常都是 采用相对比较慢的解释性语言，并且当到达目的地后，必须置入运行环境方 可以运行。这些原因使得移动a g e n t 的执行速度低于普通程序。所幸的是， 以j a v a 为代表的即时编译( j u s t i n - t i m ec o m p i l a t i o n ) 取得了很大的进步，使移 动a g e n t 代码的执行速度显著提高。 目前，性能测试工具方面的研究尚很不成熟，基本上没有很好的测试工 具。实际评估性能时，一般利用现有的理论，如p e t r i 网( 把系统协议用随机 p e t r i 网形式化描述，然后等价成m a r k o v 链，利用m a r k o v 更新方程或者p e t r i 网工具分析出系统性能) 、着色p e 啊网等。 6 容错策略 移动a g e n t 系统必须考虑到移动过程中可能存在网络故障、服务设施故 上海大学硕士学位论文 些! ! ! ! ! g ! 鲤! 坐! ! ! ! ! ! ! ! ! 竺鲤型! ! ! ! ! ! ! ! 堡 障、长时间停机等情况造成的移动a g e n t 破坏和失败。常见的容错策略有以 下几种。 创建相同任务的多个备份，它们在网络中独立运行，在任务结束后比 较结果。 集中式容错。特定的服务器保留移动a g e n t 的原始备份并实旌跟踪，通 过重发原始备份恢复失效的移动a g e n t 。 分布式容错。将容错责任分配到网络中多个非固定的站点。 7 互操作性 目前，市场上移动a g e m 系统较多，随着移动a g e n t 在智能领域的应用， 有必要在m a s i f 规范中体现智能性，实现与符合f i p a 规范的智能a g e n t 系 统互操作。m a s i f 和f i p a 的兼容，以及基于语义( 底层) 的互操作性是将来 研究的重点。 8 控制策略 必须对移动a g e n t 实施有效的控制，避免移动a g e n t 失控，另外为了保 证性能引入负载均衡机制。 2 4 移动a g e n t 的优点及其应用 2 4 1 移动a g e n t 的主要优点 降低网络负载：这一特征概括了基于移动a g e n t 的分布式计算的特点，即 计算移往数据，而非将数据移往计算。 克服网络延迟：在一些分布式系统中，对环境做出实时反应是极为重要的。 对此，移动a g e n t 技术提供了一个很好的解决方法，可以将移动a g e n t 派到分布 式系统的需要解决问题的部分，这样消除了网络延迟所带来的隐患。 包装不同协议：在分布式系统进行数据交换时，一个系统送出的数据必须 被接收方正确的解释，这就需要协议的支持，即对输出的数据进行编码，对接 收到的数据进行解码。但是由于效率和安全性等方面的原因，通常会遇到一方 希望对协议进行升级的情况，这样就需要对应用进行大量的改动，这对于部分 原有系统来说，几乎不可能进行。对此，移动a g e n t 可以移动到远程主机上， 通过专用协议建立私有数据交换通道。 异步和自主执行功能：移动设备通常依赖昂贵而脆弱的网络连接进行工作。 而有的任务要求移动设备与网络之间必须保持持续的连接，但这可能既不经济， 在技术上也不可行。要鳃决这个问题，可以将任务嵌入到移动a g e n t 中，而后 9 上海大学硕士学位论文 ! 堡! ! 兰删! ! 兰! ! ! ! 堡! ! ! ! 竺! ! 型! ! ! ：! ! ! 堡 者可以被派遣到网络上，之后，移动a g e n t 便可以独立创建它的进程，异步、 自主地完成所肩负的任务；移动设备则可以在这之后再连接网络收回a g e n t ，取 得服务。 动态适应环境：移动a g e n t 具有感知运行环境和对其变化做出自主反应的 能力。多个a g e n t 可以拥有在网络各个主机之间合理分布的能力，以维持解决 某一特定问题的最优配置。 自然的异构性：开放的分布式计算平台之间往往从硬件到软件都是异质的。 由于移动a g e n t 往往独立于特定的主机和传输层协议，而仅仅依赖于它们的执 行环境( 执行环境屏蔽了平台的差异) ，因而为进行无缝的系统集成提供了极为 有利的条件。 健壮性和容错性：由于移动a g e n t 具有对不利的情况和事件动态做出反应 的能力，因而减小了建立健壮和容错的分布式系统的难度。在一台主机被关闭 以前，可咀给正在运行的移动a g e n t 发出警告信号，它们在很短的时间内移动 到网络其他主机中继续运行。 2 4 2 移动a g e n t 的应用范围 由于移动a g e n t 的所具有的优越性，使它在以下应用中具有很大的潜力。 电子商务： 移动a g e n t 非常适用于电子商务。交易常常要求实时访问远程 信息，如股票报价，甚至是进行实时谈判。不同的a g e n t 拥有不同的耳标，并 将采取不同的策略以实现各自的目标。可以预想移动a g e n t 能体现其创建者的 意图，并能代表他们的各自利益进行谈判。由此可见，移动a g e n t 技术在电子 商务领域有着广阔的应用前景。 分布式信息检索：正如在前面分析移动a g e n t 技术优越性时指出的那样， 通过移动a g e n t 派往数据所存放的地方将大大减轻网络负载和消除网络延迟， 同时，由于在i n t e m e t 这样浩如烟海的信息环境中进行分布式检索往往需要花费 大量的时间，这时如果仍保持网络连接，则需要花费许多费用。但是通过使用 移动a g e n t 技术可以减少对网络性能的依赖，从而节省了费用。 信息发布：移动a g e n t 可以帮助实现i n t e m e t 的信息p u s h 模型。例如，移 动a g e n t 可以将新的软件版本以及安装程序直接带到客户主机，进行自动升级 和维护。 个人助手：由于具有在远程主机上运行的能力，使移动a g e n t 具备代表其 创建者在网络中完成特定任务的能力。 安全中介：在合作者之间并不完全信任的情况下，各方可以将移动a g e n t 1 0 上海大学硕士学位论文 ! 生! ! ! g ! ! ! ! 坐! ! ! ! ! ! ! ! ! 竺韭墨旦! 坐! ! ! 堕 派往一台彼此都认为安全的主机上进行协作，从而有效地保证系统的灵活和高 效。 工作流应用：工作流应用的特点之一是支持合作者之间的信息流动。对此， 移动a g e n t 技术能够提供很好的支持，可以将信息相关的操作封装在移动a g e n t 之中，再利用后者的移动性和自主性，让信息在机构内部有效的地流动。 并行处理：在并行计算中，可以利用移动a g e n t 技术把各个需要并发执行 的子任务派遣到不同的主机上，以实现并发计算。 总之，移动a g e n t 特别适合用于解决传统方法中代价过于昂贵，或难以解 决的问题。如数据、控制、专家知识或资源分布问题，使大量的数据处理可以 在数据源进行( 因为a g e n t 可以移动) ，只需交换少量的高层信息，减少了大量原 始数据传送到远处的操作，提高了网络的利用率，如果需要人性化的进程，移 动a g e n t 具有观察能力、主动适应能力，能根据目标主动规范化自己的行为。 2 5 典型移动a g e n t 平台简介 目前移动a g e n t 已从理论探索进入到实用阶段，出现了一些移动a g e m 系统 平台，大致可以分为三类：一类基于传统解释性语言；一类基于j a v a 语言；一 类基于c o r b a 平台。 2 5 1g e n e r a lm a g i c 公司的t e l e s c r i p t g e n e r a l m a g i c 公司的t e l e s c r i p t 曾经在过去的几年里被广泛采用。 t e l e s c r i p t 平台是用t e l e s c r i p t 语言( 一种面向对象的解释性语言) 来完成的。 t e l e s c r i p ta g e n t 之间的通信有两种方式：两个a g e n t 运行在同一个空间时可互 相调用对方的方法；而在不同的空间时，需建立连接，相互传递对象。t e l e s c r i p t 是一个比较成功的移动a g e n t 平台，但由于t e l e s c r i p t 语言不通用，所以应用范 围受到限制。 2 5 2i b m 公司的a g l e t a g l e t 1 6 是由i b m 公司用纯j a v a 开发的移动a g e n t 平台。它提供了一个简单 而全面的移动a g e n t 编程模型，为a g e n t 间提供了动态和有效的通信机制。a g l e t 以线程的形式被产生于一台计算机上，可以随时暂