专利名称:一种异地执行的移动主体行为监控方法
技术领域:
本发明涉及一种异地执行的移动主体(Mobile Agent)行为监控方法,属于计算机网络、分布式计算和信息安全的交叉技术领域。
背景技术:
移动主体的诞生和发展是分布式人工智能技术和网络技术发展的必然结果。移动主体一般应具有自主性(Autonomy)、主动性(Activity)、反应性(Reactivity)、社会性 (Sociality)、智能性(Intelligence)等拟人特征,能根据具有的知识信念以及周围发生的事件进行感知、推理、规划、通信,并反作用于环境。移动主体是一个能在异构网络中自主从一台主机迁移到另一台主机,并可以与其他移动主体或资源进行交互的程序,实际上它是主体技术与分布式计算技术的结合体。移动主体技术为基于互联网的分布式应用提供了一种灵活的计算模式,由于它具有良好的网络适应能力,主体、多主体和移动主体的技术和系统平台的优良特性使其在现代及未来的网络及应用系统中可以得到广泛的应用。随着分布式人工智能技术和网络技术的发展,移动主体技术的研究日益频繁。移动主体技术的关键是移动主体技术应用安全措施的保障。在移动主体技术的应用中,核心问题是保证移动主体本身的安全和移动主体执行环境的安全。
发明内容
本发明的目的在于解决移动主体迁移至异地执行后所产生的安全性问题,提供一种异地执行的移动主体行为监控方法,该方法可有效保障承载该移动主体的移动主体平台、移动主体本身和同一平台上其他移动主体的安全。本发明具体采用以下技术方案
一种异地执行的移动主体行为监控方法,在移动主体平台上增加一个主体安全管理者模块(Agent Security Manager,简称ASM),当移动主体由本地移动主体平台迁移至异地移动主体平台时,异地移动主体平台上的主体安全管理者模块在该移动主体上添加一个监控行为模块(Behavior Monitor,简称BM),用于对该移动主体的行为进行监控和保护。进一步地,所述异地移动主体平台上的主体安全管理者模块在该移动主体上添加一个监控行为模块,通过与异地移动主体平台本身的移动主体移动管理者(Agent Mobility Manager,简称AMM)进行交互实现。更进一步地,所述监控行为模块包括三个子模块监控模块、保护模块和销毁模块,其作用分别为监控移动主体的行为;屏蔽同一平台的其他移动主体对其操作的接口 ; 在移动主体运行完成后彻底删除其代码和数据并将移动主体平台所属主机恢复至移动主体迁移来之前的状态。根据本发明的发明思路,还可得到一种移动主体平台模型,该模型包括 消息传输系统(Message Transport System),用于控制平台中全部消息交换;
移动主体管理系统(Agent Management System,简称AMS),用于对移动主体平台进行监督控制,在一个平台上只有一个移动主体管理系统存在,其提供生命周期服务,并维护着一个移动主体身份的目录和移动主体的状态,每个移动主体必须向移动主体管理系统注册以获取一个有效的移动主体身份;
目录服务器(Directory facilitator,简称DF),用于提供平台中移动主体通讯目录查询服务;
移动主体移动管理者(Agent Mobility Manager,简称AMM),用于在平台中提供迁移服
务;
主体安全管理者模块,当移动主体由本地移动主体平台迁移至异地移动主体平台时, 异地移动主体平台上的主体安全管理者模块在该移动主体上添加一个监控行为模块,用于对该移动主体的行为进行监控和保护。进一步地,所述异地移动主体平台上的主体安全管理者模块在该移动主体上添加一个监控行为模块,通过与异地移动主体平台本身的移动主体移动管理者进行交互实现。更进一步地,所述监控行为模块包括三个子模块监控模块、保护模块和销毁模块,其作用分别为监控移动主体的行为;屏蔽同一平台的其他移动主体对其操作的接口 ; 在移动主体运行完成后彻底删除其代码和数据并将移动主体平台所属主机恢复至移动主体迁移来之前的状态。一种移动主体异地执行方法,由本地移动主体平台迁移至异地移动主体平台执行,所述移动主体平台采用如上所述移动主体平台模型,该方法具体包括
步骤1、创建一个移动主体并向本地移动主体平台的主体安全管理者模块注册,生成一个唯一的正式的移动主体名和地址,该移动主体的生命周期处于活动状态,具有全部移动主体的特点,已可与其他移动主体通信和交互;
步骤2、移动主体向本地移动主体平台上的移动主体移动管理者进行交互,向其提供预迁移至的异地移动主体平台地址,申请迁移至该异地移动主体平台执行;
步骤3、本地移动主体平台上的移动主体移动管理者将移动主体序列化并封装在一个符合移动主体通信语言规范的消息中;
步骤4、本地移动主体平台上的移动主体移动管理者接收到该移动主体的迁移申请后, 将该移动主体挂起,将其的生命周期置于等待状态;
步骤5、本地移动主体平台上的移动主体移动管理者将步骤3中封装的消息发送至异地移动主体平台的移动主体移动管理者;
步骤6、异地移动主体平台的移动主体移动管理者接受到消息后,依据已接收的移动主体的信息,复制要迁移过来的移动主体,并与主体安全管理者模块交互,在该移动主体上插入一个监控行为模块;
步骤7、异地移动主体平台的移动主体移动管理者与其自身移动主体平台的移动主体管理系统进行交互,为被复制到自身移动主体平台上的移动主体注册,此时该移动主体处于等待状态中;
步骤8、异地移动主体平台上的移动主体移动管理者通知本地移动主体平台上的移动主体移动管理者迁移已经成功完成;
步骤9、本地移动主体平台的移动主体移动管理者接到通知后,删除驻留在本地的移动主体;步骤10、本地的移动主体后通知异地移动主体平台,要求其开始运行已复制的移动主
体;
步骤11、异地执行的移动主体开始运行,运行过程中其自身的监控行为模块始终监视该移动主体的行为并记录该移动主体的行为,并屏蔽该移动主体的接口,使其对其他迁移至该移动主体平台的移动主体隐身;
步骤12、异地执行的移动主体运行完毕,其自身的监控行为模块调用销毁模块将所有与其相关的代码、数据销毁,依据监控模块的记录将迁移过来的移动主体对本机的所有操作恢复至其迁移过来之前的状态,并在指定的文件夹内储存该移动主体执行中所产生的记录。进一步地,步骤11中所述监控并记录的移动主体的行为,包括输入输出行为、内存调用、硬盘调用、API调用。本发明可以极小的粒度有效的监控移动主体移动到异地的移动主体平台后的行为并保护其不被其他迁移到该移动主体平台的移动主体破坏,从而保障异地移动主体平台和移动主体本身的安全性,相比现有技术,本发明具有以下有益效果
(1)采用对移动主体添加行为的方式对其进行监控,粒度极小从而保障了监控的有效性和全面性。(2)在移动主体行为迁移的过程中,自动为其添加监控行为,移动平台间相互透明,简便易行。(3)移动主体平台具有一定的开放性,非恶意的移动主体也可能会因为同一平台上其他移动主体的攻击而失效甚至变为恶意的移动主体,由于添加了监控行为,各个移动主体之间得以相互隐身,保障了移动主体本身的安全性。(4)移动主体平台接收异地迁移过来的移动主体,但迁移过来的恶意移动主体和含有敏感行为的非恶意移动主体,可能会对移动主体平台造成破坏。监控模块用于监控该 BM所有者的敏感行为(包括输入输出行为,内存调用,硬盘调用,API调用等),并在其造成破坏之前及时汇报、反馈。任何破坏移动主体平台的行为都会被捕捉和记录下来,保障了移动主体平台的安全性。(5)移动主体平台并没有相应机制将移动主体对其所属主机上的资源增改复原, 有些移动主体甚至会恶意驻留在内存中消耗系统资源。BM可以彻底销毁异地迁移过来的移动主体所携带的代码和资源,停止移动主体的行为,保证当移动主体完成工作或超时后能够被完全清除。并将移动主体平台所属主机的资源情况复原。(6)提高的系统的灵活性、跨平台和可扩展性,系统中对等主体可采用解释性语言编写,其基本的执行环境为该语言的解释器,屏蔽了网络设备差异;对等主体是动态生成的,并具有一定的生存周期,因此对其功能进行修改和扩展都非常简便。
图1是本发明的移动主体平台模型的结构示意图; 图2是移动主体生命周期转换示意图3是本发明的移动主体异地执行方法的流程示意图。
具体实施例方式为便于公众理解,在对本发明的技术方案进行详细描述前,先对现有移动主体平台模型进行一简要介绍。移动主体平台模型通常包括以下几个部分
1、消息传输系统(Message Transport System)也称作Agent通信信道(Agent Communication Channel,简称ACC)是一个控制了平台中全部消息交换(包括发送至远程平台以及从远程平台发送到本机)的软件组件。2、移动主体管理系统(Agent Management System,简称AMS)是一个对移动主体平台进行监督控制的移动主体。在一个平台上只有一个AMS存在。AMS提供了生命周期服务,维护着一个移动主体身份的目录(Directory of Agent Identifiers简称AID)和移动主体的状态。每个移动主体必须向AMS注册以获取一个有效的AID。3、目录服务器(Directory facilitator,简称DF):是一个提供平台中移动主体通讯目录查询服务的移动主体。平台中DF相当于一个目录服务器,每个提供服务的移动主体可以向DF注册其服务,其他的移动主体可以从DF中查询该类服务,也可以订阅这类服务。4、移动主体移动管理者(Agent Mobility Manager,简称AMM):是一个在平台中提供迁移服务的移动主体。本地平台上的AMM与异地平台上的AMM进行交互,从而帮助该移动主体从本地平台迁移至异地平台运行。当一个移动主体平台启动时,AMS、AMM和DF立即被创建,ACC模块被设置为允许消息通信。由于只有一个Java应用程序,因此在每台主机上只运行一个Java虚拟机。每个 Java虚拟机是一个为移动主体执行提供一个完全运行时环境的基本容器,并允许多个移动主体同时在一台主机上执行。主容器,是AMS、AMM和DF驻留以及由移动主体平台内部使用的移动主体的容器。 其他的移动主体容器连接到主容器,并为任何移动主体的执行提供一个完全的运行时环
^Mi ο本发明的思路是通过在移动主体平台上增加一个主体安全管理者模块(Agent Security Manager,简称ASM),当移动主体迁移至异地后,ASM通过与平台本身的AMM进行交互,在移动主体上强行添加一个监控行为模块(Behavior Monitor,简称BM),通过该行为监控模块来对移动主体进行监控和安全保护。本发明的移动主体平台模型如图1所示。本发明的ASM是一个在移动主体平台上提供安全服务的移动主体。当移动主体从异地平台迁移至本地平台时,本地的AMM与ASM进行交互,在该移动主体上插入BM,来监控该移动主体的行为。本发明的监控行为模块是一个移动主体的“行为”即一个封装在Java 线程里的代码段,当异地的移动主体迁移至本地时,通过AMM与ASM的交互由ASM将其添加到迁移过来的移动主体中,从而实现对移动主体行为的监控,在移动主体运行过程中屏蔽其对同一移动主体平台上的其他移动主体的接口,保护正在运行的移动主体的安全,并在移动主体运行结束后彻底销毁其所有代码和数据,将移动主体平台所属主机的状态复原至移动主体迁移过来之前的状态。BM包含以下几个功能子模块
1、监控模块移动主体平台接收异地迁移过来的移动主体,但迁移过来的恶意移动主体和含有敏感行为的非恶意移动主体,会对移动主体平台造成破坏。监控模块用于监控该BM所有者的敏感行为(包括输入输出行为,内存调用,硬盘调用,API调用等),并在其造成破坏之前及时汇报、反馈。移动主体的任何敏感行为都会被监控模块捕捉并记录下来。2、保护模块移动主体平台具有一定的开放性,非恶意的移动主体也可能会因为同一平台上其他移动主体的攻击而失效甚至变为恶意的移动主体,保护模块用于屏蔽同一移动主体平台上的其他移动主体调用本移动主体的接口,使得各个移动主体之间相互隐身,保障了移动主体本身的安全性。3、销毁模块当移动主体完成自己的工作后,移动主体平台会自动停止该移动主体的行为并删除其代码和携带的数据。但移动主体平台并没有相应机制将移动主体对其所属主机上的资源增改复原,有些移动主体甚至会恶意驻留在内存中消耗系统资源。销毁模块用于彻底销毁异地迁移过来的移动主体所携带的代码和资源,停止移动主体的行为,保证当移动主体完成工作或超时后能够被完全清除。并依据监控模块对移动主体行为的记录,将移动主体平台所属主机恢复至移动主体迁移来之前的状态。本发明的移动主体平台模型中,移动主体的生命周期如图2所示,可以处于以下任意一个状态,
1、初始状态生成了一个移动主体对象,但是还没有把自己注册到AMS上,既没有名字,也没有地址,不能与其他移动主体通信。2、活动状态移动主体对象注册到AMS上,有一个正式的名字和地址,具有全部移动主体的特点。3、悬挂状态当前移动主体对象停止运行。内部的线程处于挂起状态,没有执行移动主体的行为
4、等待状态移动主体对象处于阻塞状态,在等待一些条件。内部的线程在Java监视器上处于休眠状态,只要满足一定条件(尤其是接收到消息)就会停止休眠。5、删除状态移动主体已经明确是废弃了。内部线程终止了移动主体的执行并从 AMS上删除。6、转变状态当一个移动主体变化到一个新位置时,它会进入这个状态。系统会缓存那些要被发送到新位置的消息。下面以基于FIPA(The Foundation for Intelligent Physical Agents)标准的移动主体系统为例来说明本发明的具体实施方式
。FIPA是一个由活跃在移动主体领域的公司和学术机构组成的国际组织,其目标是为异质的移动主体和移动主体系统之间能够互操作而制订相关的软件标准。在具体的实践运用中,我们选取JADE( Java Agent Development Framework,一款由意大利电信开发的移动主体软件开发框架)作为基础构建移动主体和移动主体平台。目的在于开发多移动主体系统以及遵循FIPA标准的智能移动主体应用程序。 它包括两个主要部分一个遵循FIPA的移动主体平台和一个开发Java移动主体的软件包。 JADE是完全用Java编写的,是由各种Java包组成的,这些软件包为应用程序员提供了现成的函数和抽象接口,独立的应用程序,有良好的可移植性和可维护性。本具体实施方式
中选择Java作为编程语言,Java适合在分布式异类环境下的面向对象编程;其中的一些特点是对象序列化,API映射和远程方法调用。专利中对于移动代理的序列化和反序列都采用Java内部的序列化机制。Java对象的序列化和反序列化是 Java基础的一部分,序列化(Serialization)是一种将对象以一连串的字节描述的过程;反序列化(Deserialization)是一种将这些字节重建成一个对象的过程。Java序列化API 提供一种处理对象序列化的标准机制。本具体实施方式
中移动主体之间的通信均采用基于FIPA标准的移动主体通信语言(Agent Communication Language,简称ACL)。ACL可以在移动主体进行通信时屏蔽掉其内部的实现细节,是移动主体之间的一种独立于领域知识的、高层的、能够直接互相操作的通信语言。ACL具有表达性,语法简单,能够被各种基于FIPA标准的移动主体接受和理解;ACL中具有一个可扩展的执行原语集合,这些执行原语提供了移动主体认知状态与消息标识之间的映射,且该集合中包含了独立于具体应用的执行原语内核;ACL可以充分利用现有的软件技术,外部接口简单易用并且可以被各种语言实现;应用系统可以根据实际情况只部分的实现语言的内容。网络上,ACL支持各种先进的网络技术,连接方式(点到点、 组播、广播等)和通信模式(同步通信、异步通信等);提供了一个丰富的执行原语集合以支持高层语言和协议的构造,且应保证了些高层协议独立于ACL使用的传输技术。工作环境上, ACL提供了可以处理异构和动态的工具,支持与其它语言和协议之间的互操作,支持在大型网络环境中的知识查找,易于与现存系统无缝地连接。可靠性上,ACL支持移动主体之间可靠的、安全的通信,提供识别和表示错误与警告的机制。为了方便描述,我们假定移动主体的名称为AG,在本地的移动主体平台A创建,想要申请到异地的移动主体平台B运行,并为了以示区别,将迁移至B的移动主体的名称命名为AG2(实际上他们在移动主体系统中拥有相同的名称)。每个移动主体平台都已正常运行, 移动主体平台上各自有消息传输系统(Message Transport System)、移动主体管理系统 (Agent Management System,简称AMS)、目录服务器(Directory Facilitator,简称DF)、移动主体移动管理者(Agent Mobility Manager,简称AMS)、一个移动主体安全管理者(Agent Security Manager,简称ASM),为迁移提供交互服务。移动主体进行异地执行时,如图3所示,具体按照以下步骤
步骤1、移动主体平台A创建移动主体名为AG并与本地的AMS进行交互,在AMS上注册 AG,由AMS赋予AG唯一的通信地址,此时AG处于活动状态,具有全部移动主体的特点,已可与其他移动主体通信和交互;
步骤2、AG与移动主体平台A上的AMM交互,向AMM提供移动主体平台B的地址,申请迁移至B继续执行;
步骤3、移动主体平台A的AMM调用Java的序列化机制,将AG的代码和资源序列化,封装在一个符合 ACL (Agent Communication Language)规范的消息 Ml 中; 步骤4、移动主体平台A将AG挂起使得AG的生命周期处于等待状态; 步骤5、移动主体平台A上的AMM将Ml发送给移动主体平台B上的AMM ; 步骤6、移动主体平台B的AMM接收Ml后,依据已接收的M1,调用反序列化方法,在移动主体平台B上复制AG创建AG2 (此处命名为AG2是为了方便区分,实时上AG与AG2在移动主体系统中拥有相同的名称),并与ASM交互在复制的AG2上插入一个BM用于监控该移动主体的行为,并将该AG2置于等待状态;
步骤7、异地移动主体平台B的AMM与其自身移动主体平台的AMS进行交互,为被复制到自身移动主体平台上的移动主体AG2注册;
步骤8、移动主体平台B上的AMM发送消息M2至移动主体平台B的AMM,通知其AG2已
9复制完成;
步骤9、移动主体平台A的AMM收到M2后,将滞留在A的AG删除;
步骤10、移动主体平台A上的AMM发送消息M3至移动主体平台B的AMM通知其AG已经删除;
步骤11、移动主体平台B上的AMM接收到M3后,将AG2置于运行状态,运行过程中其 AG2的BM始终监视该移动主体的行为并记录该主体的行为(包括输入输出行为,内存调用, 硬盘调用,API调用)并屏蔽该移动主体的接口,使其对其他迁移至该移动主体平台的移动主体隐身;
步骤12、AG2运行完毕,其自身的BM调用销毁模块将所有与其相关的代码、数据销毁, 依据监控模块的记录将迁移过来的移动主体对本机的所有操作复原至其迁移过来之前的状态,并在指定的文件夹内储存将该移动主体执行中所产生的记录。
权利要求
1.一种异地执行的移动主体行为监控方法,其特征在于,在移动主体平台上增加一个主体安全管理者模块,当移动主体由本地移动主体平台迁移至异地移动主体平台时,异地移动主体平台上的主体安全管理者模块在该移动主体上添加一个监控行为模块,用于对该移动主体的行为进行监控和保护。
2.如权利要求1所述异地执行的移动主体行为监控方法,其特征在于,所述异地移动主体平台上的主体安全管理者模块在该移动主体上添加一个监控行为模块,通过与异地移动主体平台本身的移动主体移动管理者进行交互实现。
3.如权利要求2所述异地执行的移动主体行为监控方法,其特征在于,所述监控行为模块包括三个子模块监控模块、保护模块和销毁模块,其作用分别为监控移动主体的行为;屏蔽同一平台的其他移动主体对其操作的接口 ;在移动主体运行完成后彻底删除其代码和数据并将移动主体平台所属主机恢复至移动主体迁移来之前的状态。
4.一种移动主体平台模型,该模型包括消息传输系统,用于控制平台中全部消息交换;移动主体管理系统,用于对移动主体平台进行监督控制,在一个平台上只有一个移动主体管理系统存在,其提供生命周期服务,并维护着一个移动主体身份的目录和移动主体的状态,每个移动主体必须向移动主体管理系统注册以获取一个有效的移动主体身份;目录服务器,用于提供平台中移动主体通讯目录查询服务;移动主体移动管理者,用于在平台中提供迁移服务;其特征在于,该模型还包括主体安全管理者模块,当移动主体由本地移动主体平台迁移至异地移动主体平台时,异地移动主体平台上的主体安全管理者模块在该移动主体上添加一个监控行为模块,用于对该移动主体的行为进行监控和保护。
5.如权利要求5所述移动主体平台模型,其特征在于,所述异地移动主体平台上的主体安全管理者模块在该移动主体上添加一个监控行为模块,是通过与异地移动主体平台本身的移动主体移动管理者进行交互实现。
6.如权利要求6所述移动主体平台模型,其特征在于,所述监控行为模块包括三个子模块监控模块、保护模块和销毁模块,其作用分别为监控移动主体的行为;屏蔽同一平台的其他移动主体对其操作的接口 ;在移动主体运行完成后彻底删除其代码和数据并将移动主体平台所属主机恢复至移动主体迁移来之前的状态。
7.一种移动主体异地执行方法,由本地移动主体平台迁移至异地移动主体平台执行, 其特征在于所述移动主体平台采用如权利要求6所述移动主体平台模型,该方法具体包括步骤1、创建一个移动主体并向本地移动主体平台的主体安全管理者模块注册,生成一个唯一的正式的移动主体名和地址,该移动主体的生命周期处于活动状态,具有全部移动主体的特点,已可与其他移动主体通信和交互;步骤2、移动主体向本地移动主体平台上的移动主体移动管理者进行交互,向其提供预迁移至的异地移动主体平台地址,申请迁移至该异地移动主体平台执行;步骤3、本地移动主体平台上的移动主体移动管理者将移动主体序列化并封装在一个符合移动主体通信语言规范的消息中;步骤4、本地移动主体平台上的移动主体移动管理者接收到该移动主体的迁移申请后,将该移动主体挂起,将其的生命周期置于等待状态;步骤5、本地移动主体平台上的移动主体移动管理者将步骤3中封装的消息发送至异地移动主体平台的移动主体移动管理者;步骤6、异地移动主体平台的移动主体移动管理者接受到消息后,依据已接收的移动主体的信息,复制要迁移过来的移动主体,并与主体安全管理者模块交互,在该移动主体上插入一个监控行为模块;步骤7、异地移动主体平台的移动主体移动管理者与其自身移动主体平台的移动主体管理系统进行交互,为被复制到自身移动主体平台上的移动主体注册,此时该移动主体处于等待状态中;步骤8、异地移动主体平台上的移动主体移动管理者通知本地移动主体平台上的移动主体移动管理者迁移已经成功完成;步骤9、本地移动主体平台的移动主体移动管理者接到通知后,删除驻留在本地的移动主体;步骤10、本地的移动主体后通知异地移动主体平台,要求其开始运行已复制的移动主体;步骤11、异地执行的移动主体开始运行,运行过程中其自身的监控行为模块始终监视该移动主体的行为并记录该移动主体的行为,并屏蔽该移动主体的接口,使其对其他迁移至该移动主体平台的移动主体隐身;步骤12、异地执行的移动主体运行完毕,其自身的监控行为模块调用销毁模块将所有与其相关的代码、数据销毁,依据监控模块的记录将迁移过来的移动主体对本机的所有操作恢复至其迁移过来之前的状态,并在指定的文件夹内储存该移动主体执行中所产生的记录。
8.如权利要求7所述移动主体异地执行方法,其特征在于,步骤11中所述监控并记录的移动主体的行为,包括输入输出行为、内存调用、硬盘调用、API调用。
全文摘要
本发明公开了一种异地执行的移动主体行为监控方法,属于计算机网络、分布式计算和信息安全的交叉技术领域。本发明通过在移动主体平台上增加主体安全管理者模块来解决移动主体异地执行所产生的安全性问题,当移动主体迁移至异地后,主体安全管理者模块通过与平台本身的移动主体移动管理者进行交互,在移动主体上添加一个监控行为模块,该监控行为模块具有三个子模块,分别用来监控移动主体的行为,屏蔽同一平台的其他移动主体对其操作的接口,在移动主体运行完成后彻底删除其代码和数据并将移动主体平台所属主机恢复至移动主体迁移来之前的状态。本发明可有效保障承载该移动主体的移动主体平台、移动主体本身和同一平台上其他移动主体的安全。
文档编号H04L29/08GK102571410SQ20111033356
公开日2012年7月11日 申请日期2011年10月28日 优先权日2011年10月28日
发明者吴家兴, 周静岚, 徐小龙, 曹玲玲, 杨庚, 耿卫健, 鲁蔚锋 申请人:南京邮电大学