通信網和移動代理者遷移的管理的製作方法

2023-08-11 18:29:41

專利名稱：通信網和移動代理者遷移的管理的製作方法
技術領域：
本發明涉及一種通信網，一種管理通信網的方法和將移動代理者遷移到通信網節點的管理方法。
本發明在通信網領域中有其應用，並最好用於移動計算，無線通信，移動多媒體中間件和所謂的移動代理者領域中。一種特別的應用是控制(管理)所謂的移動代理者在網絡中的位置之間的遷移。
通信涉及在(例如無線)網絡上給用戶提供連網服務。所謂的移動代理者是一種新的計算概念，能夠將一種軟體(碼)從計算機網絡的一個節點傳送到另一個節點。移動碼系統的一個例子是在Web瀏覽器系統中在網際網路上加載的Java applets。
移動代理者的概念是在US—A—5603031中詳細提出的。因此有關移動代理者技術的一般概念作為對所述的現有技術的參考。
圖1示出一種移動代理者系統的基本操作。一個代理者系統提供移動代理者一種稱為位置的執行環境。移動代理者是一種執行軟體，能夠從一個代理系統遷移到另一個。在所有的位置上移動代理者可以接入所提供的本地服務。
圖1示出一個移動代理者104a在兩個代理者系統101a，101b之間的遷移。該代理者系統包含稱為位置102a，102b的執行環境。在這些位置中本地服務103a，103b對移動代理者104a提供服務106。在遷移過程105中移動代理者被串聯在位置102a上並且將代理者的狀態和碼傳送到位置102b。在位置102b中，移動代理者104a被從所傳送的狀態和碼重建。然後移動代理者104a的執行線程可在位置102b中執行。
在當前技術狀態下代理者在網際網路上進行計算節點之間的遷移。有幾個與移動代理者連帶著的有關安全的問題，例如保護代理者位置防止惡意代理者。保護一個代理者防止惡意宿主是一個難題。
一個惡意宿主可以對一個移動代理者進行幾種類型的攻擊，例如，探出它的碼或數據，操縱它的碼或數據，不正確地執行它或者根本就拒絕執行。此時沒有已知的安全機制可保護一個代理者防止所有的這些攻擊，除非利用可靠的硬體。
惡意宿主只是代理者的擁有者不可能信賴位置操作者的一個問題。信賴在本文中意味著代理者的擁有者知道(或至少希望)此位置將不攻擊它的代理者中的一個。因為對於保護代理者防止惡意位置還沒有解決辦法，而通過允許代理者只移動到被移動代理者的擁有者信賴的宿主，則有幾種遏制這種問題的措施。
當一個代理者的行程事先不知道時，這些措施尤其重要。在大多數代理者環境中，一個代理者在運行期間可以檢索某些服務的地點，然後訪問這些地點。在這種情況下，代理者行程被動態地確定。這與事先通知移動代理者有關哪些位置未被移動代理者的擁有者信賴的靜態辦法不同。應該指出，甚至可信賴位置可隨時間改變，也就是一個可信賴的位置可在以後成為非可信賴的，當在事先通知一個移動代理者關於要訪問的位置的可信賴性時就會出問題。
一個移動代理者的擁有者可希望用這樣的方法限制代理者，即不允許遷移到移動代理者的擁有者不信賴的位置。為了實現這一點，代理者需要一種手段來找出是否一個給定的位置是被他的使用者信賴的。
這可通過一種「組織化」的辦法來實現，意味著只有可信賴的用戶可開始一個位置。這種辦法的缺點是導致一種不再是「開放的」代理者環境(開放的意義是每個人都可開始一個位置)。
另一種辦法是事先說明一個代理者被允許遷移的可信賴位置。在這種情況下，代理者攜帶一份可信賴位置的目錄，或者是代理者系統或者是代理者本身在遷移時檢查是否代理者被允許到它的目的地。
這種辦法也有一個大缺點事先並不總是清楚是否一個位置是可信賴的，這可能嚴重地減少一個代理者被允許遷移的位置數。一個用戶通常只「知道」代理者環境中的少數位置。當然，它只可能判斷他知道的代理者系統。因為他將可能不信賴大多數的位置，這意味著他的代理者只被允許遷移到非常有限的一組位置。這可能大大地限制一個代理者環境的有用性。
從以上的現有技術看來，本發明的一個目的是提供一種能夠在網絡中方便地進行可信賴檢查的技術。提供這樣一種可信賴檢查用於管理移動代理者在通信網中的遷移尤其是本發明的目的。
而且對於動態在線可信賴檢查辦法來說，可信賴檢查技術應該是開放的。
通過獨立權利要求的特徵達到了以上的目的。從屬權利要求進一步發展了本發明的中心構思。
因此依據本發明提供一種管理通信網的方法。可檢查網絡中至少一個節點的可信賴性。將該可信賴性與一個預置的閾值比較，如果該可信賴性超過預置閾值，對於被檢查的節點產生一個可信賴標記，該可信賴標記指明這樣的事實，即將已經通過可信賴性檢查的相應節點存儲在該網中。
標記的有效性可通過密碼措施，例如f．e．數字籤名來保證。
檢查網絡中至少一個節點的可信賴性的步驟可由網絡中具有信託中心功能(在以下的描述中被稱為信託中心)的另一個節點來執行。
一種限制可信賴標記生命期的預先規定的到期日期可加到該可信賴標記上。
依據本發明的另一方面，提供一種將移動代理者遷移到通信網節點的管理方法。網絡中至少一個節點的可信賴性被檢查，如果該可信賴性超過一個預置的可信賴閾值，則為被檢查的節點產生一個可信賴標記，並存儲在該網絡中。在將移動代理者遷移到網絡中的一個節點以前，檢驗是否對於相應的節點存在一個有效的可信賴標記。移動代理者的遷移限於到具有有效可信賴標記的節點。
可在一個移動代理者的運行期間動態地執行對可信賴標記的驗證。
網絡中至少一個節點的可信賴性檢查步驟可由網絡中具有信託中心功能的至少一個第三節點來執行的。
可將一份信託中心節點的名單附於移動代理者上，這份名單可被通過密碼措施，例如f．e．數字籤名來防止各種操縱的企圖。
在遷移移動代理者以前檢驗是否對於相應的節點存在一個有效的可信賴標記的步驟可通過查詢相應的目標節點的有效可信賴標記來實現。附加的或交替的至少一個信託中心節點可被查詢和／或至少一個存儲有效可信賴標記的存儲單元和網絡中的相應節點可被查詢。
依據本發明進而提供一種通信網絡。網絡中的至少一個信託中心節點檢查網絡中至少一個節點的可信賴性。信託中心節點具有一個標記建立器，在可信賴性超過一個預置可信賴閾值時為被檢查的節點產生一個可信賴標記。該信託中心像每個被檢查的節點那樣，可以是網絡中的另一個節點。該可信賴標記和相應的被檢查節點可被存儲在一個信託管理者資料庫中，它是信託中心節點的部分或者是連到信託中心的部件。
在網絡中可以提供至少一個移動代理者位置，用於管理通信網中移動代理者的遷移。移動代理者位置可被籤署以訪問至少一個信託中心節點的信託管理者資料庫。
該移動代理者位置可以包括一個本地資料庫，以存儲從一個信託中心節點的信託管理者資料庫中抽取的信息。
可將一份信託中心節點目錄附於由一個移動代理者位置管理的一個移動代理者。
下面將參考


本發明的最佳實施方案。
圖1示出一個移動代理者的遷移，圖2示出一種無線計算的景象，圖3示出信託中心節點，代理者位置和索引服務之間的關係，圖4示出用於一個信託中心的系統結構，圖5示出一個帶有某些有關數據區的可信賴標記，和圖6解釋一個代理者系統的結構。
圖1在本描述的引言部分中已被解釋過。
圖2示出一種典型的無線計算景象。幾個行動裝置被在無線網鏈路上連到一個基站。它們利用不同的無線網設備。基站被在網上(例如網際網路)互相連接並和網絡伺服器連接。
圖3示出信託中心，代理者位置和索引服務之間的關係。信託中心產生可信賴標記並將它發送到代理者位置。該位置然後可利用所發布的可信賴標記宣告其可信賴性。想要遷移的代理者可從幾個位置(目標代理者位置，信託中心，索引或其他)請求可信賴標記。可由代理者或代理者系統執行檢查。
一個位置可從各個信託中心得到可信賴標記。可信賴標記也可以被信託中心或位置做成公共的，所以每人可通過一個專門的信託中心(「信託中心出版者」)檢驗一個位置是可信賴的。這可以通過利用像國際X．500索引那樣的索引服務來完成。圖3解釋這個過程。
圖4示出用於一個信託中心的系統結構。信託中心包含一個標記建立器模塊，在一個代理者位置的可信度被檢查後建立可信賴標記。利用密碼和數字籤名來保證他的聲明的有效性。由信託管理者模塊管理可信賴標記，在此模塊中存儲可信賴標記和可信賴標記資料庫中的附加信息。撤銷管理者模塊是一個輔助模塊，它在他們被發布以後被撤銷時可以確定標記。雖然這並不是一種100％的解決辦法，但它增加防止意外遷移到不可信賴位置的似然率，撤銷目錄可被分配到感興趣的代理者位置以改善對可信賴標記的檢查。標記請求者模塊處理從代理者位置對於所發布的可信賴標記的請求。索引訪問模塊允許訪問索引服務。
對於撤銷步驟有許多實現的可能性—提供帶有撤銷目錄的移動代理者—訪問信託中心查詢被撤銷的位置，和／或—提供一個中央撤銷管理者如圖4所示，一個信託中心由幾個模塊組成，每個執行一個特定的任務。標記建立器模塊建立可信賴標記，可信賴標記由幾種關於可信賴代理者位置的信息組成。這種信息是用信託中心的私人鑰匙被數字籤署的，所以可信賴標記的用戶可以驗證它的內容是由信託中心建立的。
在代理者位置側，可信賴標記由可信賴標記管理者管理。該模塊可保持一個已經可用的可信賴標記的超高速緩存，撤銷目錄管理者模塊存儲被撤銷的可信賴標記目錄，它可將其內容與來自信託中心的撤銷目錄資料庫同步。
一個位置是否可信賴的信息在代理者的運行期間被動態地確定。這是通過提供附加的可信賴的第三方—被稱為信託中心來達到的。一個代理者的擁有者不可能只規定他信賴的位置，也應該信賴信託點心。因此一個代理者攜帶的目錄由位置名字和信託中心名字組成。此目錄被稱為「系統允許目錄」(SPL)。圖5作為一個可信賴標記的示範性實施方案來解釋系統允許目錄。數據區具有以下意義ttrustLevel—由信託中心給於所參考的代理者位置的可信賴等級
agentPlace —代理者位置的名字StartDate —可信賴標記有效的開始日期expiryDate —可信賴標記到期日期issuingAnthorit—發布的信託中心名字yServialNumber —可信賴標記的串號Owner —代理者位置的擁有者取決於申請的要求，可信賴標記可以有附加的數據區。
圖6解釋連同信託機制的一種「代理者系統」的結構。當一個代理者想要遷移到另一個代理者位置時，它就呼叫遷移操作(通常稱為「GO」)。然後執行控制被傳送到遷移管理者。該模塊依次呼叫信託管理者以保證此代理者被允許遷移。信託管理者利用可信賴標記管理者就地檢查是否所要求的可信賴標記已被存儲。它進一步利用撤銷目錄管理者檢查以保證可信賴標記的狀態。如果不可能就地找到所要求的標記，利用可信賴標記請求器從代理者位置，索引服務，或者信託中心得到可信賴標記。如果新的可信賴標記通過撤銷目錄管理者測試，代理者被遞交遷移處理模塊執行遷移步驟。
如果信託中心相信此位置是可信賴的，該位置可從信託中心得到一種許可證(可信賴標記)。為了確定，是否一個位置是可信賴的，信託中心可以例如，檢查該位置的擁有者，軟體等。人們甚至可以想像檢查操作該代理者位置的組織的每天工作。每個信託中心在從它處得到許可證以前可以有一個位置必須滿足的不同要求。甚至一個單獨的信託中心可以有不同等級的這些要求，結果是有不同等級的許可證。
如果一個位置滿足一個信託中心的要求。就得到此許可證(「發布可信賴標記」)。此類許可證被稱為可信賴標記。可信賴標記是由發布的信託中心數字籤署的聲明，包含受發布者信賴的一個特定位置的信息，也有某些附加的信息。可信賴標記非常類似於證明協議中使用的證書。信託中心非常類似於本文中的證書授權者。
信託中心可以為它們的服務向位置收費。
圖6解釋一種發送代理者系統的結構。一個想要遷移到另一個代理者位置的代理者將這個請求發送到遷移管理者。遷移管理者詢問信託管理者有關其他代理者的可信賴性。可信賴標記請求器利用可能方法之一(例如，訪問同等的代理者位置，訪問索引或訪問發布的信託中心)檢索可信賴標記。
如果可信賴標記允許遷移，移動代理者將被遞交執行遷移步驟的遷移處理器。
現在如果一個代理者想要遷移到一個位置並且該位置並未被包含在可信賴的位置目錄中，它試圖檢查是否該位置具有來自該代理者信賴的信託中心的可信賴標記。這可用若干方法來完成。
1．該代理者可通過詢問目的地位置得到所要的可信賴標記之一。
2．他可詢問信託中心。
3．他可以詢問存儲和管理可信賴標記的其他服務(例如，索引服務)如果該代理者可以得到由他的SPL中的一個信託中心發布的可信賴標記，他被允許遷移。否則該代理者未被允許遷移。整個測試可通過代理者自己或代理者位置來完成。
如果該代理者被允許遷移，那末存在象信賴鏈那樣的關係用戶信賴信託中心，而信託中心依次信賴目的地位置。
可信賴標記概念的一個問題是有時被發布的可信賴標記必須被撤銷。這是一個困難的問題，因為可信賴標記是不受信託中心控制的情況下被分發的。通過加上到期時期，可信賴標記具有有限的生命時間，使得信託中心可確信一個可信賴標記不再有效。而且，信託中心可以保持一個撤銷目錄，其中包含在它們到期日期以前被撤銷的所有標記。
為本發明所需要的系統由信託中心，可信賴標記數據結構和將信託管理者整合到代理者系統三部分組成。
被建立的可信賴標記存儲在標記管理者資料庫中。資料庫管理所有被發布的可信賴標記以及當該地點被檢查時那些測試已被執行等的附加信息。然後可信賴標記被傳送到代理者位置，可以將可信賴標記加到它的就地管理的可信賴標記資料庫中，這種資料庫由一個代理者位置的可信賴標記管理者部件管理。
如果一個可信賴標記必須提前撤銷，被撤銷的可信賴標記被存儲在由撤銷管理者管理的資料庫中。注意，由於系統的分布式性質，可信賴標記仍然是有效的，直到它們的到期日期結束為止。撤銷操作對於代理者位置來說恰恰是一種附加的措施，以檢驗一個給定的可信賴標記仍是有效的。因為這種與信託中心撤銷目錄的比較不是強制性的，可信賴標記不可能被可靠地提前撤銷。
而且信託中心可以利用索引訪問模塊將可信賴標記存儲在通常可訪問的索引服務中。利用標記請求器，任何人可為一個特定的代理者位置請求一個已發布的可信賴標記。
在一個代理者位置中，一批可信賴標記被就地存儲在由可信賴標記管理者管理的資料庫中。如果可信賴標記被從另一個位置請求，可信賴標記被從資料庫抽取並傳送到請求器。因而，此時，請求一個可信賴標記可以利用，或者是代理者位置，索引或信託中心本身，其他的措施也是可能的。
例代理者a想要從位置P1遷移到位置P2。他的SPL並不包含P2，但包含信託中心tc1和tc2。現在它必須被檢查是否P2擁有一個來自tc1或tc2的可信賴標記。為了達到這點，P2被要求提供所有它擁有的可信賴標記。P2擁有來自信託中心tc3，tc2和tc4的可信賴標記。它把這些標記發送到P1。現在P1檢查是否來自P2的可信賴標記之一與a的SPL中一個信託中心匹配。當P2擁有來自tc2的一個可信賴標記和tc2是在a的SPL中就是這種情況，因此代理者被允許遷移。
本發明與現有技術狀態之間的主要優點差異通過引入第三方我們得到的好處是用戶不一定知道他的代理者本身可以移動的所有位置，並且不允許代理者訪問非可信賴的位置。因此我們的辦法並不限制位置的數目像原來的辦法一樣多。
因為信託中心可以對一個位置執行許多檢查或者與位置擁有者籤訂一份合同，在信託中心和位置之間的信託關係在大多數情況下要比在一個代理者擁有者和位置之間的信託關係更加有理。
原來辦法的問題是當用戶規定單一位置時，SPL可能變得非常大。因為這個目錄必須與代理者一起移動。這並非一件好事—尤其是如果該代理者在具有有限帶寬的無線網鏈路上移動時，依據本辦法SPL比較短，因為用戶可以用一個入口隱含地規定一整套代理者系統。
本發明一種應用的例子是依據移動代理者提供銀行服務，為移動代理者提供幾個位置。對於這些位置來說該銀行是它自己的信託中心並為所述的位置發布可信賴標記，想要利用該銀行提供的服務的一個移動代理者包括在其SPL中銀行的可信賴標記。
如上所示的本發明提出用於管理一個移動代理者系統中可信賴位置的裝置和方法。該設備將移動代理者的遷移操作限制在由可信賴位置規定的範圍內。本發明包含用於控制一個代理者位置可信賴性的裝置和方法。一個移動代理者的遷移操作受到一種利用可信賴系統概念的系統的限制。該系統訪問由用戶或可信賴標記授權者規定的可信賴系統目錄。它可根據該網絡的目標節點是否可信賴檢查遷移是否被允許。
本發明集中在一個位置的可信賴性如何被確定的方法上。除了通常的允許被訪問的位置目錄之外，用戶可以規定一份可信賴檢查代理者目錄(信託中心)。這些信託中心是用於驗證可信賴性的代理者位置。如果一個位置被認為是可信賴的，可信賴檢查代理機構發布被存儲在代理者位置上的可信賴證書，可信賴證書是編碼的以防止操縱。在遷移到一個代理者位置以前，代理者可以請求該位置的可信賴證書並對照它自己的可信賴檢查代理機構的目錄檢查它們，如果可信賴證書合適，該代理者被允許遷移。
權利要求
1．一種用於管理通信網絡的方法，包括以下步驟—檢查(301)網絡中至少一個節點(102a)的可信賴性，—將網絡中被檢查的節點(102a)的可信賴性與預置的可信賴閾值相比較，—如果該可信賴性超過一個預置的可信賴閾值，為被檢查的節點(102a)產生(30b)一個可信賴標記並將該可信賴標記存入(303)該網絡中，其中該可信賴標記表明相應的節點(102a)已經通過可信賴性檢查。
2．依據權利要求1的方法，其特徵在於檢查(301)網絡中至少一個節點(102a)的可信賴性的步驟是由具有信託中心功能的另一個節點(301)執行的。
3．依據權利要求1或2中任一項的方法，其特徵在於將預先規定的到期日期加到可信賴標記中的步驟。
4．一種用於管理將移動代理者遷移到通信網中的節點的方法，包括以下步驟—檢查(301)網絡中至少一個節點(102b)的可信賴性，—如果該可信賴性超過一個預置的可信賴閾值，為被檢查的節點(102b)產生(306)可信賴標記，並將該標記存入(303)網中，其中該可信賴標記表明相應的節點(102a)已經通過可信賴性檢查，—在將一個移動代理者(104a)遷移到網絡中一個節點以前，檢驗(108，109)是否為相應的節點存在一個有效的可信賴標記，和—將移動代理者(104a)限於(107)遷移到具有有效可信賴標記的節點上。
5．依據權利要求4的方法，其特徵在於檢驗(108，109)是否相應的節點存在一個有效的可信賴標記在移動代理者(104a)的運行期間是動態地進行的。
6．依據權利要求4或5的方法，其特徵在於檢查(301)網絡中至少一個節點的可信賴性是由具有信託中心功能的網絡中至少一個第三節點(301)執行的。
7．依據權利要求6的方法，其特徵在於將一份信託中心目錄附於一個移動代理者(104a)。
8．依據以前的權利要求中任一項的方法，其特徵在於在遷移移動代理者(104a)以前檢驗(108，109)對於相應的節點是否存在有效的可信賴標記的步驟是通過以下方式實現的—詢問(111)相應的目標節點(102b)的有效可信賴標記；—詢問(112)至少一個信託中心節點(301)，和／或—詢問(113)至少一個存儲有效可信賴標記的存儲單元和網絡中相應的節點。
9．依據以前的權利要求中任一項的方法，其特徵在於將預先規定的到期日期加到可信賴標記上的步驟。
10．當加載到一個計算設備中時，用於執行依據以前的權利要求中任一項的軟體部件。
11．一種通信網，包括至少一個信託中心節點(301)，用於檢查網絡中至少一個節點的可信賴性，如果可信賴性超過一個預置的可信賴閾值，具有一個標記建立器(306)的信託中心節點(301)為被檢查的節點產生一個可信賴標記，信託中心節點是作為每個被檢查節點(102b)以外的另一個網絡節點，其中可信賴標記和相應的被檢查的節點被存儲在一個信託管理者資料庫(303)中，它是連到信託中心節點(301)的部件。
12．依據權利要求11的通信網，其特徵在於至少一個移動代理者位置(101a)管理通信網中移動代理者的遷移，將移動代理者位置(101a)設計為訪問至少一個信託中心節點(301)的信託管理者資料庫(303)。
13．依據權利要求12的通信網，其特徵在於移動代理者位置(101a)包括一個本地資料庫以存儲從一個信託中心節點(301)的信託管理者資料庫(303)抽取的信息。
14．依據權利要求11到13中任一項的通信網，其特徵在於，將一份信託中心節點目錄附於由移動代理者位置(101a)管理的移動代理者(104a)。
15．依據權利要求11到14中任一項的通信網，其特徵在於每個可信賴標記包括一個到期日期。
全文摘要
提議一種用於管理將移動代理者遷移到通信網節點的技術。檢查網絡中至少一個節點(102b)的可信賴性(301)。如果該可信賴性超過一個預置的可信賴閾值,為被檢查的節點(102b)產生(306)可信賴標記並將該可信賴標記存入(303)該網中。在將移動代理者(104a)遷移到網絡節點以前,檢驗(108,109)相應的節點(102b)是否存在有效的可信賴標記,移動代理者(104a)的遷移被限制(107)到具有有效可信賴標記的節點上。
文檔編號G06F21/12GK1279551SQ00106389
公開日2001年1月10日 申請日期2000年7月5日 優先權日1999年7月5日
發明者K·雷爾勒, E·科瓦克斯 申請人:索尼國際(歐洲)股份有限公司