专利名称:通信网和移动代理者迁移的管理的制作方法
技术领域:
本发明涉及一种通信网,一种管理通信网的方法和将移动代理者迁移到通信网节点的管理方法。
本发明在通信网领域中有其应用,并最好用于移动计算,无线通信,移动多媒体中间件和所谓的移动代理者领域中。一种特别的应用是控制(管理)所谓的移动代理者在网络中的位置之间的迁移。
通信涉及在(例如无线)网络上给用户提供连网服务。所谓的移动代理者是一种新的计算概念,能够将一种软件(码)从计算机网络的一个节点传送到另一个节点。移动码系统的一个例子是在Web浏览器系统中在因特网上加载的Java applets。
移动代理者的概念是在US—A—5603031中详细提出的。因此有关移动代理者技术的一般概念作为对所述的现有技术的参考。
图1示出一种移动代理者系统的基本操作。一个代理者系统提供移动代理者一种称为位置的执行环境。移动代理者是一种执行软件,能够从一个代理系统迁移到另一个。在所有的位置上移动代理者可以接入所提供的本地服务。
图1示出一个移动代理者104a在两个代理者系统101a,101b之间的迁移。该代理者系统包含称为位置102a,102b的执行环境。在这些位置中本地服务103a,103b对移动代理者104a提供服务106。在迁移过程105中移动代理者被串联在位置102a上并且将代理者的状态和码传送到位置102b。在位置102b中,移动代理者104a被从所传送的状态和码重建。然后移动代理者104a的执行线程可在位置102b中执行。
在当前技术状态下代理者在因特网上进行计算节点之间的迁移。有几个与移动代理者连带着的有关安全的问题,例如保护代理者位置防止恶意代理者。保护一个代理者防止恶意宿主是一个难题。
一个恶意宿主可以对一个移动代理者进行几种类型的攻击,例如,探出它的码或数据,操纵它的码或数据,不正确地执行它或者根本就拒绝执行。此时没有已知的安全机制可保护一个代理者防止所有的这些攻击,除非利用可靠的硬件。
恶意宿主只是代理者的拥有者不可能信赖位置操作者的一个问题。信赖在本文中意味着代理者的拥有者知道(或至少希望)此位置将不攻击它的代理者中的一个。因为对于保护代理者防止恶意位置还没有解决办法,而通过允许代理者只移动到被移动代理者的拥有者信赖的宿主,则有几种遏制这种问题的措施。
当一个代理者的行程事先不知道时,这些措施尤其重要。在大多数代理者环境中,一个代理者在运行期间可以检索某些服务的地点,然后访问这些地点。在这种情况下,代理者行程被动态地确定。这与事先通知移动代理者有关哪些位置未被移动代理者的拥有者信赖的静态办法不同。应该指出,甚至可信赖位置可随时间改变,也就是一个可信赖的位置可在以后成为非可信赖的,当在事先通知一个移动代理者关于要访问的位置的可信赖性时就会出问题。
一个移动代理者的拥有者可希望用这样的方法限制代理者,即不允许迁移到移动代理者的拥有者不信赖的位置。为了实现这一点,代理者需要一种手段来找出是否一个给定的位置是被他的使用者信赖的。
这可通过一种“组织化”的办法来实现,意味着只有可信赖的用户可开始一个位置。这种办法的缺点是导致一种不再是“开放的”代理者环境(开放的意义是每个人都可开始一个位置)。
另一种办法是事先说明一个代理者被允许迁移的可信赖位置。在这种情况下,代理者携带一份可信赖位置的目录,或者是代理者系统或者是代理者本身在迁移时检查是否代理者被允许到它的目的地。
这种办法也有一个大缺点事先并不总是清楚是否一个位置是可信赖的,这可能严重地减少一个代理者被允许迁移的位置数。一个用户通常只“知道”代理者环境中的少数位置。当然,它只可能判断他知道的代理者系统。因为他将可能不信赖大多数的位置,这意味着他的代理者只被允许迁移到非常有限的一组位置。这可能大大地限制一个代理者环境的有用性。
从以上的现有技术看来,本发明的一个目的是提供一种能够在网络中方便地进行可信赖检查的技术。提供这样一种可信赖检查用于管理移动代理者在通信网中的迁移尤其是本发明的目的。
而且对于动态在线可信赖检查办法来说,可信赖检查技术应该是开放的。
通过独立权利要求的特征达到了以上的目的。从属权利要求进一步发展了本发明的中心构思。
因此依据本发明提供一种管理通信网的方法。可检查网络中至少一个节点的可信赖性。将该可信赖性与一个预置的阈值比较,如果该可信赖性超过预置阈值,对于被检查的节点产生一个可信赖标记,该可信赖标记指明这样的事实,即将已经通过可信赖性检查的相应节点存储在该网中。
标记的有效性可通过密码措施,例如f.e.数字签名来保证。
检查网络中至少一个节点的可信赖性的步骤可由网络中具有信托中心功能(在以下的描述中被称为信托中心)的另一个节点来执行。
一种限制可信赖标记生命期的预先规定的到期日期可加到该可信赖标记上。
依据本发明的另一方面,提供一种将移动代理者迁移到通信网节点的管理方法。网络中至少一个节点的可信赖性被检查,如果该可信赖性超过一个预置的可信赖阈值,则为被检查的节点产生一个可信赖标记,并存储在该网络中。在将移动代理者迁移到网络中的一个节点以前,检验是否对于相应的节点存在一个有效的可信赖标记。移动代理者的迁移限于到具有有效可信赖标记的节点。
可在一个移动代理者的运行期间动态地执行对可信赖标记的验证。
网络中至少一个节点的可信赖性检查步骤可由网络中具有信托中心功能的至少一个第三节点来执行的。
可将一份信托中心节点的名单附于移动代理者上,这份名单可被通过密码措施,例如f.e.数字签名来防止各种操纵的企图。
在迁移移动代理者以前检验是否对于相应的节点存在一个有效的可信赖标记的步骤可通过查询相应的目标节点的有效可信赖标记来实现。附加的或交替的至少一个信托中心节点可被查询和/或至少一个存储有效可信赖标记的存储单元和网络中的相应节点可被查询。
依据本发明进而提供一种通信网络。网络中的至少一个信托中心节点检查网络中至少一个节点的可信赖性。信托中心节点具有一个标记建立器,在可信赖性超过一个预置可信赖阈值时为被检查的节点产生一个可信赖标记。该信托中心像每个被检查的节点那样,可以是网络中的另一个节点。该可信赖标记和相应的被检查节点可被存储在一个信托管理者数据库中,它是信托中心节点的部分或者是连到信托中心的部件。
在网络中可以提供至少一个移动代理者位置,用于管理通信网中移动代理者的迁移。移动代理者位置可被签署以访问至少一个信托中心节点的信托管理者数据库。
该移动代理者位置可以包括一个本地数据库,以存储从一个信托中心节点的信托管理者数据库中抽取的信息。
可将一份信托中心节点目录附于由一个移动代理者位置管理的一个移动代理者。
下面将参考
本发明的最佳实施方案。
图1示出一个移动代理者的迁移,图2示出一种无线计算的景象,图3示出信托中心节点,代理者位置和索引服务之间的关系,图4示出用于一个信托中心的系统结构,图5示出一个带有某些有关数据区的可信赖标记,和图6解释一个代理者系统的结构。
图1在本描述的引言部分中已被解释过。
图2示出一种典型的无线计算景象。几个移动设备被在无线网链路上连到一个基站。它们利用不同的无线网设备。基站被在网上(例如因特网)互相连接并和网络服务器连接。
图3示出信托中心,代理者位置和索引服务之间的关系。信托中心产生可信赖标记并将它发送到代理者位置。该位置然后可利用所发布的可信赖标记宣告其可信赖性。想要迁移的代理者可从几个位置(目标代理者位置,信托中心,索引或其他)请求可信赖标记。可由代理者或代理者系统执行检查。
一个位置可从各个信托中心得到可信赖标记。可信赖标记也可以被信托中心或位置做成公共的,所以每人可通过一个专门的信托中心(“信托中心出版者”)检验一个位置是可信赖的。这可以通过利用像国际X.500索引那样的索引服务来完成。图3解释这个过程。
图4示出用于一个信托中心的系统结构。信托中心包含一个标记建立器模块,在一个代理者位置的可信度被检查后建立可信赖标记。利用密码和数字签名来保证他的声明的有效性。由信托管理者模块管理可信赖标记,在此模块中存储可信赖标记和可信赖标记数据库中的附加信息。撤销管理者模块是一个辅助模块,它在他们被发布以后被撤销时可以确定标记。虽然这并不是一种100%的解决办法,但它增加防止意外迁移到不可信赖位置的似然率,撤销目录可被分配到感兴趣的代理者位置以改善对可信赖标记的检查。标记请求者模块处理从代理者位置对于所发布的可信赖标记的请求。索引访问模块允许访问索引服务。
对于撤销步骤有许多实现的可能性—提供带有撤销目录的移动代理者—访问信托中心查询被撤销的位置,和/或—提供一个中央撤销管理者如图4所示,一个信托中心由几个模块组成,每个执行一个特定的任务。标记建立器模块建立可信赖标记,可信赖标记由几种关于可信赖代理者位置的信息组成。这种信息是用信托中心的私人钥匙被数字签署的,所以可信赖标记的用户可以验证它的内容是由信托中心建立的。
在代理者位置侧,可信赖标记由可信赖标记管理者管理。该模块可保持一个已经可用的可信赖标记的超高速缓存,撤销目录管理者模块存储被撤销的可信赖标记目录,它可将其内容与来自信托中心的撤销目录数据库同步。
一个位置是否可信赖的信息在代理者的运行期间被动态地确定。这是通过提供附加的可信赖的第三方—被称为信托中心来达到的。一个代理者的拥有者不可能只规定他信赖的位置,也应该信赖信托点心。因此一个代理者携带的目录由位置名字和信托中心名字组成。此目录被称为“系统允许目录”(SPL)。图5作为一个可信赖标记的示范性实施方案来解释系统允许目录。数据区具有以下意义ttrustLevel—由信托中心给于所参考的代理者位置的可信赖等级
agentPlace —代理者位置的名字StartDate —可信赖标记有效的开始日期expiryDate —可信赖标记到期日期issuingAnthorit—发布的信托中心名字yServialNumber —可信赖标记的串号Owner —代理者位置的拥有者取决于申请的要求,可信赖标记可以有附加的数据区。
图6解释连同信托机制的一种“代理者系统”的结构。当一个代理者想要迁移到另一个代理者位置时,它就呼叫迁移操作(通常称为“GO”)。然后执行控制被传送到迁移管理者。该模块依次呼叫信托管理者以保证此代理者被允许迁移。信托管理者利用可信赖标记管理者就地检查是否所要求的可信赖标记已被存储。它进一步利用撤销目录管理者检查以保证可信赖标记的状态。如果不可能就地找到所要求的标记,利用可信赖标记请求器从代理者位置,索引服务,或者信托中心得到可信赖标记。如果新的可信赖标记通过撤销目录管理者测试,代理者被递交迁移处理模块执行迁移步骤。
如果信托中心相信此位置是可信赖的,该位置可从信托中心得到一种许可证(可信赖标记)。为了确定,是否一个位置是可信赖的,信托中心可以例如,检查该位置的拥有者,软件等。人们甚至可以想象检查操作该代理者位置的组织的每天工作。每个信托中心在从它处得到许可证以前可以有一个位置必须满足的不同要求。甚至一个单独的信托中心可以有不同等级的这些要求,结果是有不同等级的许可证。
如果一个位置满足一个信托中心的要求。就得到此许可证(“发布可信赖标记”)。此类许可证被称为可信赖标记。可信赖标记是由发布的信托中心数字签署的声明,包含受发布者信赖的一个特定位置的信息,也有某些附加的信息。可信赖标记非常类似于证明协议中使用的证书。信托中心非常类似于本文中的证书授权者。
信托中心可以为它们的服务向位置收费。
图6解释一种发送代理者系统的结构。一个想要迁移到另一个代理者位置的代理者将这个请求发送到迁移管理者。迁移管理者询问信托管理者有关其他代理者的可信赖性。可信赖标记请求器利用可能方法之一(例如,访问同等的代理者位置,访问索引或访问发布的信托中心)检索可信赖标记。
如果可信赖标记允许迁移,移动代理者将被递交执行迁移步骤的迁移处理器。
现在如果一个代理者想要迁移到一个位置并且该位置并未被包含在可信赖的位置目录中,它试图检查是否该位置具有来自该代理者信赖的信托中心的可信赖标记。这可用若干方法来完成。
1.该代理者可通过询问目的地位置得到所要的可信赖标记之一。
2.他可询问信托中心。
3.他可以询问存储和管理可信赖标记的其他服务(例如,索引服务)如果该代理者可以得到由他的SPL中的一个信托中心发布的可信赖标记,他被允许迁移。否则该代理者未被允许迁移。整个测试可通过代理者自己或代理者位置来完成。
如果该代理者被允许迁移,那末存在象信赖链那样的关系用户信赖信托中心,而信托中心依次信赖目的地位置。
可信赖标记概念的一个问题是有时被发布的可信赖标记必须被撤销。这是一个困难的问题,因为可信赖标记是不受信托中心控制的情况下被分发的。通过加上到期时期,可信赖标记具有有限的生命时间,使得信托中心可确信一个可信赖标记不再有效。而且,信托中心可以保持一个撤销目录,其中包含在它们到期日期以前被撤销的所有标记。
为本发明所需要的系统由信托中心,可信赖标记数据结构和将信托管理者整合到代理者系统三部分组成。
被建立的可信赖标记存储在标记管理者数据库中。数据库管理所有被发布的可信赖标记以及当该地点被检查时那些测试已被执行等的附加信息。然后可信赖标记被传送到代理者位置,可以将可信赖标记加到它的就地管理的可信赖标记数据库中,这种数据库由一个代理者位置的可信赖标记管理者部件管理。
如果一个可信赖标记必须提前撤销,被撤销的可信赖标记被存储在由撤销管理者管理的数据库中。注意,由于系统的分布式性质,可信赖标记仍然是有效的,直到它们的到期日期结束为止。撤销操作对于代理者位置来说恰恰是一种附加的措施,以检验一个给定的可信赖标记仍是有效的。因为这种与信托中心撤销目录的比较不是强制性的,可信赖标记不可能被可靠地提前撤销。
而且信托中心可以利用索引访问模块将可信赖标记存储在通常可访问的索引服务中。利用标记请求器,任何人可为一个特定的代理者位置请求一个已发布的可信赖标记。
在一个代理者位置中,一批可信赖标记被就地存储在由可信赖标记管理者管理的数据库中。如果可信赖标记被从另一个位置请求,可信赖标记被从数据库抽取并传送到请求器。因而,此时,请求一个可信赖标记可以利用,或者是代理者位置,索引或信托中心本身,其他的措施也是可能的。
例代理者a想要从位置P1迁移到位置P2。他的SPL并不包含P2,但包含信托中心tc1和tc2。现在它必须被检查是否P2拥有一个来自tc1或tc2的可信赖标记。为了达到这点,P2被要求提供所有它拥有的可信赖标记。P2拥有来自信托中心tc3,tc2和tc4的可信赖标记。它把这些标记发送到P1。现在P1检查是否来自P2的可信赖标记之一与a的SPL中一个信托中心匹配。当P2拥有来自tc2的一个可信赖标记和tc2是在a的SPL中就是这种情况,因此代理者被允许迁移。
本发明与现有技术状态之间的主要优点差异通过引入第三方我们得到的好处是用户不一定知道他的代理者本身可以移动的所有位置,并且不允许代理者访问非可信赖的位置。因此我们的办法并不限制位置的数目像原来的办法一样多。
因为信托中心可以对一个位置执行许多检查或者与位置拥有者签订一份合同,在信托中心和位置之间的信托关系在大多数情况下要比在一个代理者拥有者和位置之间的信托关系更加有理。
原来办法的问题是当用户规定单一位置时,SPL可能变得非常大。因为这个目录必须与代理者一起移动。这并非一件好事—尤其是如果该代理者在具有有限带宽的无线网链路上移动时,依据本办法SPL比较短,因为用户可以用一个入口隐含地规定一整套代理者系统。
本发明一种应用的例子是依据移动代理者提供银行服务,为移动代理者提供几个位置。对于这些位置来说该银行是它自己的信托中心并为所述的位置发布可信赖标记,想要利用该银行提供的服务的一个移动代理者包括在其SPL中银行的可信赖标记。
如上所示的本发明提出用于管理一个移动代理者系统中可信赖位置的装置和方法。该设备将移动代理者的迁移操作限制在由可信赖位置规定的范围内。本发明包含用于控制一个代理者位置可信赖性的装置和方法。一个移动代理者的迁移操作受到一种利用可信赖系统概念的系统的限制。该系统访问由用户或可信赖标记授权者规定的可信赖系统目录。它可根据该网络的目标节点是否可信赖检查迁移是否被允许。
本发明集中在一个位置的可信赖性如何被确定的方法上。除了通常的允许被访问的位置目录之外,用户可以规定一份可信赖检查代理者目录(信托中心)。这些信托中心是用于验证可信赖性的代理者位置。如果一个位置被认为是可信赖的,可信赖检查代理机构发布被存储在代理者位置上的可信赖证书,可信赖证书是编码的以防止操纵。在迁移到一个代理者位置以前,代理者可以请求该位置的可信赖证书并对照它自己的可信赖检查代理机构的目录检查它们,如果可信赖证书合适,该代理者被允许迁移。
权利要求
1.一种用于管理通信网络的方法,包括以下步骤—检查(301)网络中至少一个节点(102a)的可信赖性,—将网络中被检查的节点(102a)的可信赖性与预置的可信赖阈值相比较,—如果该可信赖性超过一个预置的可信赖阈值,为被检查的节点(102a)产生(30b)一个可信赖标记并将该可信赖标记存入(303)该网络中,其中该可信赖标记表明相应的节点(102a)已经通过可信赖性检查。
2.依据权利要求1的方法,其特征在于检查(301)网络中至少一个节点(102a)的可信赖性的步骤是由具有信托中心功能的另一个节点(301)执行的。
3.依据权利要求1或2中任一项的方法,其特征在于将预先规定的到期日期加到可信赖标记中的步骤。
4.一种用于管理将移动代理者迁移到通信网中的节点的方法,包括以下步骤—检查(301)网络中至少一个节点(102b)的可信赖性,—如果该可信赖性超过一个预置的可信赖阈值,为被检查的节点(102b)产生(306)可信赖标记,并将该标记存入(303)网中,其中该可信赖标记表明相应的节点(102a)已经通过可信赖性检查,—在将一个移动代理者(104a)迁移到网络中一个节点以前,检验(108,109)是否为相应的节点存在一个有效的可信赖标记,和—将移动代理者(104a)限于(107)迁移到具有有效可信赖标记的节点上。
5.依据权利要求4的方法,其特征在于检验(108,109)是否相应的节点存在一个有效的可信赖标记在移动代理者(104a)的运行期间是动态地进行的。
6.依据权利要求4或5的方法,其特征在于检查(301)网络中至少一个节点的可信赖性是由具有信托中心功能的网络中至少一个第三节点(301)执行的。
7.依据权利要求6的方法,其特征在于将一份信托中心目录附于一个移动代理者(104a)。
8.依据以前的权利要求中任一项的方法,其特征在于在迁移移动代理者(104a)以前检验(108,109)对于相应的节点是否存在有效的可信赖标记的步骤是通过以下方式实现的—询问(111)相应的目标节点(102b)的有效可信赖标记;—询问(112)至少一个信托中心节点(301),和/或—询问(113)至少一个存储有效可信赖标记的存储单元和网络中相应的节点。
9.依据以前的权利要求中任一项的方法,其特征在于将预先规定的到期日期加到可信赖标记上的步骤。
10.当加载到一个计算设备中时,用于执行依据以前的权利要求中任一项的软件部件。
11.一种通信网,包括至少一个信托中心节点(301),用于检查网络中至少一个节点的可信赖性,如果可信赖性超过一个预置的可信赖阈值,具有一个标记建立器(306)的信托中心节点(301)为被检查的节点产生一个可信赖标记,信托中心节点是作为每个被检查节点(102b)以外的另一个网络节点,其中可信赖标记和相应的被检查的节点被存储在一个信托管理者数据库(303)中,它是连到信托中心节点(301)的部件。
12.依据权利要求11的通信网,其特征在于至少一个移动代理者位置(101a)管理通信网中移动代理者的迁移,将移动代理者位置(101a)设计为访问至少一个信托中心节点(301)的信托管理者数据库(303)。
13.依据权利要求12的通信网,其特征在于移动代理者位置(101a)包括一个本地数据库以存储从一个信托中心节点(301)的信托管理者数据库(303)抽取的信息。
14.依据权利要求11到13中任一项的通信网,其特征在于,将一份信托中心节点目录附于由移动代理者位置(101a)管理的移动代理者(104a)。
15.依据权利要求11到14中任一项的通信网,其特征在于每个可信赖标记包括一个到期日期。
全文摘要
提议一种用于管理将移动代理者迁移到通信网节点的技术。检查网络中至少一个节点(102b)的可信赖性(301)。如果该可信赖性超过一个预置的可信赖阈值,为被检查的节点(102b)产生(306)可信赖标记并将该可信赖标记存入(303)该网中。在将移动代理者(104a)迁移到网络节点以前,检验(108,109)相应的节点(102b)是否存在有效的可信赖标记,移动代理者(104a)的迁移被限制(107)到具有有效可信赖标记的节点上。
文档编号G06F21/12GK1279551SQ00106389
公开日2001年1月10日 申请日期2000年7月5日 优先权日1999年7月5日
发明者K·雷尔勒, E·科瓦克斯 申请人:索尼国际(欧洲)股份有限公司