（通信与信息系统专业论文）分布式防火墙若干关键技术研究.pdf

摘要 随着计算机网络的迅猛发展，网络的安全问题也越来越引起人们 的重视。防火墙作为一种有效的安全防护措施被广泛应用于各种类型 的网络当中。然而，传统的防火墙技术基于内网安全性假设和单一接 入点假设，存在着防御范围受限、依赖网络拓扑结构、容易形成单一 故障点和流量瓶颈等问题，新型的分布式防火墙技术是解决这些问题 的潜在研究领域。 分布式环境下的策略分发是分布式防火墙的关键技术之一，它主 要涉及分布式对象技术和策略的安全性保护技术。由于传统分布式对 象技术针对i n t r a n e t 环境而设计，在扩展到i n t e r n e t 环境中存在难 以穿越防火墙进行通信的问题，本文提出了基于s o a p 协议的解决方 案，研究了s o a p 协议在分布式防火墙策略分发中的实现原理，并设 计了基于s o a p 的分布式防火墙策略发布系统，给出了该系统的体系 结构和关键技术的实现。在策略分发中的信息安全性保护方面，本文 基于s o a p 安全性扩展提出了行之有效的解决方案，通过s o a p 消息的 签名和加密来增强策略分发的安全性。 本论文提出了d f p s ( d i s t r i b u t e df i r e w a l lp o l i c i e ss h a r i n g 。 分布式防火墙策略共享) 的概念。本文在分析w e bs e r v i c e s 技术的 基础上，设计了基于w e bs e r v i c e s 的分布式防火墙策略共享框架， 并详述了该框架的层次结构、运行流程和关键技术。该框架能减少重 复投资，并构建动态的分布式防火墙防御体系，在网络安全领域进行 了一次有意义的尝试。 关键字分布式防火墙，策略，w e bs e r v i c e s ，s o a p a b s t r a c t a st h er a p i dd e v e l o p m e n to fc o m p u t e rn e t w o r k , t h en e t w o r ks e c u r i t y h a sb e c o m em o r ea n dm o r ei m p o r t a n t f i r e w a ui sak i n do fe f f e c t i v e d e f e n c em e a s u r e f o rn e t w o r ks e c u r i t ya n dh a sb e e nu s e di nm a n yt y p e so f n e t w o r k s h o w e v e r t r a d i t i o n a lf i r e w a l l i sb a s e do nt h eh y p o t h e s i so ft h e s e c u r i t yo fi n t r a n e ta n dt h es i n g l ea c c e s sp o i n t , s oi te x i s t ss o m ef a u l t s s u c ha st h el i m i t m i o no fd e f e n c ea r e a d e p e n d e n c eo fn e t w o r ks t r u c t u r e s i n g l ep o i mo ff a i l u r ea n df l o wb o t t l e n e c ke t c i no r d e rt oi m p r o v et h e p e r f o r m a n c e o f t h et r a d i t i o n a lf i r e w a l lt e c h n o l o g i e s ，n e w s t y l ed i s t r i b u t e df i r e w a l l i sa d v a n c e d p o l i c yd i s t r i b u t i o nt e c h n o l o g i e si s o n eo ft h ek e yt e c h n o l o g i e si n d i s t r i b u t e df i r e w a l l p o l i c yd i s t r i b u t i o n i nd i s t r i b u t e df i r e w a l li n v o l v e s t w ot e c h n o l o g i e s ：d i s t r i b u t e do b j e c tt e c h n o l o g ya n dp o l i c yi n f o r m m i o n s e c u r i t yt e c h n o l o g y t os o l v et h ei m p e n e t r a b l ef i r e w a l lp r o b l e mo fo l d d i s t r i b u t e do b j e c tt e c h n o l o g y si n t oi n t e r n e t ，t h i sp a p e rb r i n g su ps o a p b a s e ds o l u t i o n ，s t u d i e st h ei m p l e m e n t a t i o np r i n c i p l eo fs o a pp r o t o c o li n p o l i c yd i s t r i b u t i o nt e c h n o l o g i e s ，a n dd e s i g n st h ep o l i c yd i s t r i b u t i o ns y s t e mb a s e do ns o a p m i l ef o r t h ei n f o r m a t i o ns e c u r i t yi np o l i c yd i s t r i b u t i o n ，t h i sp a p e rr a i s e sas o l u t i o nt oe n s u r et h es e c u r i t yo f p o l i c i e sb ys o a - ps e c u r i t ye x t e n s i o n t h i sp a p e ra d v a n c e st h ec o n c 印to fd f p s ( d i s t r i b u t e df i r e w a l lp o l i c i e ss h a r i n g ) d u et ot h ep r o b l e mo fs e l d o mi n t e r a c t i o na m o n gd i s t r i b u t e df i r e w a l l s ，t h es o l u t i o nt op o l i c i e ss h a r i n go fd i s t r i b u t e df i r e w a l l sb a s e d o n 、v e bs e r v i c e si sp r e s e n t e d t h eh i e r a r c h y w o r k i n gf l o wa n dk e yt e c h n o l o g i e so f t h i sp r o j e c ta r ed e s c r i b e di nd e t a i l t h i ss o l u t i o np r o v i d e san e w i d e at ot h ef i e l do f n e t w o r ks e c u r i y 1 ( e yw o i t d sd i s t r i b u t e df i r e w a l l p o l i c i e s 。w e bs e r v i c e s 。s o a p 原创性声明 本人声明，所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。尽我所知，除了论文中特别加以标注和致谢的 地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包 含为获得中南大学或其他单位的学位或证书而使用过的材料。与我共 同工作的同志对本研究所作的贡献均已在在论文中作了明确的说明。 作者签名： 日期：4 年三日 关于学位论文使用授权说明 本人了解中南大学有关保留、使用学位论文的规定，即：学校有 权保留学位论文，允许学位论文被查阅和借阅；学校可以公布学位论 文的全部或部分内容，可以采用复印、缩印或其它手段保存学位论文； 学校可根据国家或湖南省有关部门规定送交学位论文。 作者签名： 导师签名主丑坚日期：丑年上月互日 硕士论文第一章绪论 第一章绪论 随着互联网的发展，人类步入了网络时代，人们在网络中不仅实现了语言的 融合，而且实现了跨越时空的交流，实现了随时随地信息沟通与共享的梦想。然 而，随着网络技术的深入发展和广泛应用，人们不得不在享受网络带来的便利的 同时深切关注网络体系结构和网络技术本身所带来的网络安全问题。网络安全越 来越被人们所认识和重视，在维护网络正常运行方面越来越起到举足轻重之作 用。在众多安全措施中，防火墙首当其冲，防火墙是设置在被保护网络和外部网 络之间的一道安全屏障，以防止发生不可预测的、潜在破坏性的侵入。 1 1 分布式防火墙概述 受集中管理和配置的多台防火墙组成了分布式防火墙( d i s t r i b u t e d f i r e w a l l ，d f w ) “1 。分布式防火墙克服了传统防火墙的缺陷，它的优势在于： ( 1 ) 增加了针对主机的入侵检测和防护功能，加强了对来自内部攻击防范， 可以实施全方位的安全策略。 ( 2 ) 提高了系统性能，消除了结构性瓶颈问题。 ( 3 ) 应用更为广泛，与拓扑无关，支持v p n 通信和移动计算。 1 1 1 分布式防火墙产生的原因 传统防火墙的体系结构基于内网安全性假设和单一接入点假设，而根据 f b i c s i 最新调查，已超过6 0 的网路安全威胁来自网络内部捌，从网络内部进 行攻击有着得天独厚的便利。随着防火墙技术的广泛应用，这种理想化的假设已 开始暴露出越来越多的问题，人们希望重新探讨一下传统边界式防火墙存在的种 种问题，以寻求新的解决方案。 传统防火墙技术的发展经历了五个阶段。第一代防火墙技术几乎与路由器同 时出现，采用了包过滤技术。1 9 8 9 年，贝尔实验室推出了第二代防火墙，即电路 层防火墙，同时提出了第三代防火墙应用层防火墙( 代理防火墙) 的初步结构。 1 9 9 2 年，u s c 信息科学院开发出了基于动态包过滤技术的第四代防火墙，后来演 变为目前所说的状态检测技术。1 9 9 8 年，n a i 公司推出了一种自适应代理技术， 并在其产品g a u n t l e tf i r e w a l lf o rn t 中得以实现，给代理类型的防火墙赋予了 全新的意义，可以称之为第五代防火墙。然而，这些传统防火墙有着共同的缺点： 它们的体系结构基于内网安全性假设和单一接入点假设，无法解决内网安全问 题，效率较低和故障率高；采用逐一匹配方法，计算量太大；没有解决网络主要 的安全问题。目前网络安全的三大主要问题是：以拒绝访问( 叻o s ) 为主要目的的 硕士论文 第一章绪论 网络攻击行为，以蠕虫( w o r m ) 为主要代表的病毒传播行为，以垃圾电子邮件 ( s p a m ) 为代表的内容控制。这三大安全问题覆盖了网络安全方面的绝大部分问 题。而这三大问题，传统的防火墙是无能为力的。原因有三：一是传统防火墙计 算能力的限制。传统的防火墙是以高强度的检查为代价，检查的强度越高，计算 的代价越大。二是传统防火墙的访问控制机制是一个简单的过滤机制。它只是简 单的条件过滤器，不具有智能功能，无法应对复杂的攻击。三是传统的防火墙无 法区分识别善意和恶意的行为，该特征决定了传统的防火墙无法解决恶意的攻击 行为。从以上论述可以得到证实：基于内网安全性假设和单一接入点假设的传统 防火墙体系结构己经无法满足当前网络安全的需求0 1 。 在过去几十年里，主要是分布式计算的需求推动着分布式技术的发展，随着 分布式技术的相对成熟，诸多应用技术歼始从集中式架构转向分布式计算模型， 并把智能和处理能力推向客户端设备。网络安全技术的发展不可能脱离网络技术 的发展而独立存在，同时，网络安全技术的发展又往往是被调皮的网络攻击者推 动着。随着分布式技术在网络攻击中的应用( 例如d d o s 等) ，其所产生的巨大破坏 力，直接推动着网络安全防御体系向分布式结构的演变，随之而来的是分靠式入 侵检测系统、分布式病毒网关、分布式漏洞扫描、分布式s n i f f e r 等技术的兴起。 但是防火墙技术相对成熟，以及内网安全性假设和单一接入点假设的束缚，都制 约着防火墙在体系结构上的改变和发展。此外，由于传统分布式对象技术是针对 i n t r a n e t 环境设计，在i n t e r n e t 环境中面l 临难以穿越防火墙进行通信的问题“1 ， 这也是制约着防火墙分布式化的客观因素之一。 无论如何，将网络安全防御体系结构向分布式架构过渡，将安全防护渗透到 网络内部形成点、线、面的立体防护体系，已经成为当前网络安全防御体系结构 发展的大势所趋。因此，分布式防火墙的概念应运丽生。 1 1 2 分布式防火墙的基本原理 在分布式防火墙中，安全策略仍然被集中定义，但发布在网络端点( 例如主 机、路由器) 上单独实施。分布式防火墙中包含有三个必需的组件。1 ： ( 1 ) 描述网络安全策略的语言。 ( 2 ) 安全发布策略的机制。 ( 3 ) 应用、实施策略的机制。 安全策略语言规定了哪些数据包被允许，哪些数据包被禁止，它应该支持多 种类型的应用。策略制定后分发到网络端点上，策略发布机制应该保证策略在传 输过程中的完整性和真实性。策略发布有多种方式，可以由中心管理主机直接发 到终端系统上，也可以由终端按需获取或定时获取，还可以以证书的形式提供给 用户。策略实施机制位于受保护的主机上，在处理输入输出数据包时，它查询本 硕士论文 第一章绪论 地策略来判断允许还是禁止该数据包。 1 1 3 分布式防火墙的体系结构 囹卜1 分布式防火墙的体系结构 分布式防火墙体系结构见图卜i ，包含如下部分： ( 1 ) 网络防火墙( n e t w o r kf i r e w a l l ) ：它用于内部网与外部网之间，以 及内部网各子网之间的防护。与传统边界式防火墙相比，它多了一种用于对内部 子网之间的安全防护层，这样整个网络的安全防护体系就显得更加全面，更加可 靠。网络防火墙在功能上与传统的边界式防火墙类似。 ( 2 ) 主机防火墙( h o s tf i r e w a l l ) ：用于对网络中的服务器和桌面机进行 防护。这是传统边界式防火墙所不具有的，也算是对传统边界式防火墙在安全体 系方面的一个完善。主机防火墙作用在同一内部子网之间的工作站与服务器之 间，以确保内部网络服务器的安全。这样防火墙的作用不仅是用于内部与外部网 之间的防护，还可应用于内部网各子网之间、同一内部子网工作站与服务器之间。 可以说达到了应用层的安全防护，比起网络层更加彻底。 ( 3 ) 中心管理主机( c e n t r a lm a n a g e m e n t ) ：这是一个服务器软件，负责 总体安全策略的策划、管理、分发及日志的汇总。这是新的防火墙的管理功能， 也是以前传统边界防火墙所不具有的。这样防火墙就可进行智能管理，提高了防 火墙的安全防护灵活性，具备可管理性。 1 2 国内外研究现状与水平 1 9 9 9 年a t & t 实验室的s t e v e nm b e l l o v i n 博士在d i s t r i b u t e df i r e w a l l 一文中首次提出了将防火墙技术分布式化的思想。该文的核心内容是提出了关于 构建分布式防火墙的三点构想：策略描述语言( ap o li c yl a n g u a g e ) ：系统管 理工具( s y s t e mm a n a g e m e n tt o o l s ) ：i p s e c 。该文主要围绕a t & t 实验室在1 9 9 9 硕士论文第一章绪论 年9 月提出了的t h ek e y n o t et r u s tm a n a g e m e n ts y s t e m 策略描述机制展开跚， 基本确立了分布式防火墙的体系结构，之后的研究大多以此为起点。目前，分布 式防火墙的实现主要基于以下几种实现方案。 2 1 基于o p e n b s d 删i x 的实现方案 美国p e n n s y l v a n i a 大学是最早参与分布式防火墙技术研究的大学之一，s o t i r i sl o a n n n d i s ，a n g e l o sd k e r o m y t h i s 等人以验证s t e v e t nm b e l l o v i n 博士提 出的分布式防火墙思想为目的，主要实现t k e y n o t e 策略描述技术。并实现了原 型系统”。该原型系统在o p e n b s ou n i x 操作系统上修改内核并利用k e y n o t e 、 i p s e c 等技术加以实现的。o p e n b s d 是理想的开发安全应用的平台，因为它有一 体化的安全特性和库( i p s e c 栈、k e y n o t e 、s s l 等) 。该原型系统( 主机部分) 包 括3 个组件：内核扩展程序，用于实施安全机制：用户层后台处理程序，用于执行 d f w 策略：设备驱动程序，为内核和策略后台程序之间的双向通信提供接口。该原 型系统在主机一端的功能模块见图卜2 。 u s e rs d a k e r m ls d 图1 - 2 基于o p e n b s du n i x 的实现方案 ( 1 ) 基于o p e n b s d 实现原型系统的主要组件 内核扩展部件。在u n i x 操作系统中用户使用系统调用c o n n e c t0 创建连接请 求，使用a c c e p t0 接受连接请求，一般情况下这两个系统调用不对数据流进行安 全检查。为了在内核中实现包过滤功能需要对它们进行修改。 策略后台程序。它运行在用户层，作用是根据策略服务器传送过来的安全策 略和通信中对方传送的信任书( c r e d e n t i a l ，相当于证书) 来决定接受还是丢弃 包，并将判断结果返回内核。 策略设备驱动程序。该组件的功能是在用户策略后台程序和内核中被修改的 系统调用之间建立一个通路。它运行于内核态，并向策略后台程序提供r e a d ( ) 、 w r i t e 0 等功能调用，后台程序通过调用这些函数与内核交互。 ( 2 ) 基于o p e n b s d 实现原型系统的工作过程 以入站连接请求为例，首先。远端主机使用i p s e c 机制与本地主机进行安全 协商，作为i k e ( i n t e r n e tk e ye x c h a n g e ) 交换的一部分，k e y n o t e 信任书被提 硕士论文第一章绪论 交给本地主机。一旦内核收至u t c p 连接，就会建立一个上下文，其中包括i p 地址、 端口等，这些信息连同经由i p s e c 取得的信任书被一起提交给策略后台程序。后台 程序调用r e a d ( ) 读取这些信息，再结合本地安全策略执行k e y n o t e 评估，以决定连 接是否允许。然后调用w r i t e 0 将判断结果写回内核，内核以此作为丢弃和接受包 的依据。 1 2 2 基于网卡( n lc ) 的实现方案 该方案是美国国防部资助的研究项目，它基于硬件种特殊的网卡( 3 c o m 3 c r 9 9 0 系列网卡) 实现的，称为e f w ( e m b e d e df i r e w a l l ) “1 。这种网卡有内置的处 理器和存储器，它能独立于主机操作系统而运行。它还有内置的加密引擎，使n i c 之间可以通过i p s e c 加密通信。另外这种网卡使用广泛且价格相对便宜。 e f wp o l i c ys e m 图卜3 基于n l c 的实现方案 ( 1 ) e f w 组件 e f w 的主要组件分为主机端组件和服务器端组件( 见图卜3 ) 。 e f w 主机端组件。主要包括e f w 增强的n i c 、n i c 驱动程序与运行时映像和e f w 助理3 部分。e f w 增强的n i c 中的固件( f i r m w a r e ) 是在安装e f w 时装入的，它包括包 过滤引擎和管理接口。包过滤引擎能根据标准的参数决定接受或拒绝包。管理接 口负责从服务器下载策略并上载审计事件到审计数据库，它也负责管理本n i c 与 服务器之间的安全隧道。驱动程序在机器启动时下载运行时映像( r u n t i m ei m a g e ) 并放入固件中，运行时映像的完整性如果受到破坏，n i c 将无法正常工作，从而保 证一旦e f wn i c 被安装，用户将不能废除它，除非通过策略服务器进行适当的操作， 因为用户的改动会破坏运行时映像的完整性。e f l 助理的作用有两个，一是给n i c 传送本机的i p 地址，另一个作用是定期向策略服务器发送“心跳( h e a r t b e a t ) ”， 这是为了防止恶意的用户用其它n i c 取代e f wn i c ，因为这样心跳就会停止，从而 硕士论文第章绪论 引起管理员的注意。 e f w 策略服务器端组件。主要包括3 部分：管理组件、策略组件和审计组件。 管理组件的主要目的是给管理员提供一个工具去建立和分发策略，也提供一个事 件日志浏览器。策略组件的作用是接受管理员定义的策略并编译成过滤规则，然 后放入策略数据库中。被保护的机器启动时自动到策略数据库中取回自己的安全 策略。当服务器中的策略被修改时，策略组件能自动地将它“推”到相应主机上 执行。审计组件收集并整理从各个n i c 传送过来的审计事件，并提供给管理组件处 理。 ( 2 ) e f w 的集中管理模式 e f w 将主机分成若干个策略域，每个策略服务器管理一个策略域，一个策略域 可以包含整个组织，也可只包含一两个部门。在每个策略域中，n i t s 被根据主机执 行的功能分成若干个组，每个组被分配相同的策略。策略中的规则也可以进行分 组，以简化策略的制定、分发和更新。审计事件的设置可建立在整个策略、策略 类型或单个策略上。该实现方案的主要优点是基于硬件，不依赖操作系统，因而难 以被绕过。缺陷是n i c 的处理能力有限。 1 2 3 基于v i i n d o w s 平台实现的实例 c y b e r w a l l p l u s 是n e t w o r k - 1 公司于2 0 0 1 年发布的分布式防火墙产品，基于 图卜4 基于w i n d o w s 平台实现的d f w ( 主机端) w i n d o w s 平台实现，用于保护w i n d o w sn t 2 0 0 0 桌面机和服务器9 1 。包括中心管 理部件、桌面机防火墙部件、服务器防火墙部件，边界防火墙部件等。所有这些 部件都包含如图1 - 4 所示的结构，包括包过滤引擎和用户配置接口( 可选的) 。包过 滤引擎采用嵌入内核的方式运行，处于链路层和网络层之间。包过滤引擎提供精 细颗粒度的访问控制、状态检测和入侵检测。用户配置接口在安装时是可选的， 如果选择安装，则用户或管理员可在本地配置安全策略。如果不安装用户配黄接 口，则策略只能由管理员从管理中心加以配置或使用远程管理模块进行配置。该 6 硕士论文第一章绪论 产品实现了中心管理功能，管理员通过中心管理模块可对各台主机实施全方位的 控制，包括分发安全策略和远程配置。该产品也具有较完善的审升功能，审计日志 可通过建立的连接、阻塞的数据包、入侵尝试和应用类型等来建立( 可配置选项) 。 中心管理模块可对日志和报警信号进行汇集。 目前国外的著名网络设备开发商在分布式防火墙技术方面更加先进。有些提 供纯软件形式的产品，比如：c h e c k p o i n t 公司的c h e c k p o i n t 一1 ，f - s e c u r e 公司 推出的f - s e c u r ed i s t r i b u t e df i r e w a l l 。还有一些采用“软件+ 硬件”形式的 产品，比如j u n i p e r 网络公司的n e t s c r e e n 防火墙等。 相比之下，国内关于分布式防火墙的研究不多，由于市场的需求，大多厂商 和研究机构依然关注着传统防火墙技术的发展。但是，也有一些大学和机构参与 了分布式防火墙的研究，例如，北京理工大学，南京邮电学院，东北大学睁等， 主要集中在系统框架和理论模型上的研究。2 0 0 3 年，北京理工大学王伟提出了 基于x m l 的分布式防火墙的网络安全信息描述技术，通过对x m l r p c 和b e e p 协议 的研究，设计并实现了基于x j 4 l - r p c 的分布式对象技术，解决了在分布式防火墙 下的分布式通信问题。另外，国内也有公司提出了纯软件形式的产品，比如安软 的e v e r l i n kd f w 、中软的w a t e r b o x 分布式防火墙，但这两款产品功能都不完备， 防御范围局限在i n t r a n e t 之内。 1 3 本论文研究内容和意义 1 3 1 研究内容 本文将在分析传统防火墙的发展和缺点的基础上，研究分布式防火墙产生的 缘由、基本原理和体系结构，并根据当前分布式防火墙研究中存在的几个关键技 术环节确定以下研究内容： ( 1 ) 介绍分布式对象技术d c o , m ( d i s t r i b u t e dc o m p o n e n to b j e c tm o d e l ， 分布式组件对象模型) 、c o r b a ( c o m m o no b j e c tr e u e s tb r o k e ra r c h i t e c t u r e ， 公共对象请求代理体系结构) 和w e bs e r v i c e s 的特点，并着重介绍w e bs e r v i c e s 的模型、体系结构和关键技术等。 ( 2 ) 比较分析结构化文本、非结构化文本和x m l 在网络安全信息描述技术方 面的特点。论述用x m l 在分布式环境下进行网络安全信息描述技术的优点，并基 于x m l 语言描述防火墙的策略。 ( 3 ) 研究基于s o a p ( s i m p l eo b j e c ta c c e s sp r o t o c o l ，简单对象访问协议) 的防火墙策略分发技术，并设计和实现基于s o a p 的分布式防火墙策略发布系统， 解决分布式防火墙环境下的分布式通信问题：利用s o a p 签名和加密技术，解决策 略在中转、存储和应用中的安全性保护问题。 硕士论文第一章绪论 ( 4 ) 提出d f p s ( d i s t r i b u t e df i r e w a l lp o l i c i e ss h a r i n g ，分布式防火墙 的策略共享) 的概念，在分析分布式防火墙与入侵检测的联动技术的基础上，设 计基于w e bs e r v i c e s 的分布式防火墙策略共享框架，并详述该框架的层次结构、 运行流程和关键技术。 1 3 2 研究意义 防火墙技术一直以来是网络安全防护技术的核心，分布式防火墙技术势必给 网络安全防护领域的发展带来新的生机。具体到实际应用，i s p 提供的服务中， 通过地址池向用户提供i p 地址，使得几乎所有从同一i s p 获得服务的用户处于同 一网络中，在这种情况下，传统防火墙根本无法发挥作用，因此i s p 至今无法提 供安全的服务。除此之外，远程办公、网络银行、网上交易、网上证券等等无不 受到类似的困惑，而分布式防火墙是解决上述问题的很好途径。 本文的研究工作所涉及的基于s o a p 的分布式防火墙策略分发技术，是分布式 环境下策略和信息的分发收集技术，它不仅仅适用于分布式防火墙技术，对于其 它分布式产品、分布式计算等都是有益的：而基于w e bs e r v i c e s 的分布式防火墙 策略共享模型，是在网络安全领域进行的一次有意义的尝试，随着w e bs e r v i c e s 技术和u d d i 体系的日趋成熟，它将为网络安全带来新的发展机遇和应用| j 景。 8 硕士论文 第二章v e bs e r v i c e s 相关技术研究 第二章w e bs e r vic e s 相关技术研究 随着互联网的普及和信息时代的到来，人们可以随时随地的进行资源共享和 信息交流。然而，由于操作系统的多样性、数据库系统和大量的计算机应用系统 的多样性和不兼容性，造成了目前众多资源不能实现真正意义上的资源共享。另 外，传统的远程调用技术，如d c 0 m “”、c o r b a “”等都与平台有关，并需要维护大 量的接口信息，造成了很高的成本，限制了信息的自由交流。因此，为了满足在 i n t e r n e t 环境下，实现松散藕合的、跨平台的、与语言无关的、与特定接口无关 的和能提供w e b 应用程序的可靠访问的系统集成要求，w e bs e r v i c e s 技术应运而 生1 7 。 2 1w e bs e r v i c e 8 体系架构 w e bs e r v i c e s 是一种完全基于x m l 、x s d ( x m ls c h e m a ) 的独立于平台、独 立于软件供应商的标准，是一种创建可互操作的、分布式应用程序的新平台，是 目前最有生命力的跨平台技术和分布式对象技术。 w e bs e r v i c e s 的架构包括三个清晰的角色定义：服务提供者。从商务角度 看，它是指服务的所有者，从体系结构看，它是指提供服务的平台。服务请求 者。从商务角度看，它是指需要请求特定功能的企业；从体系结构看，它是指查 图2 - 1w e bs e r v i c e s 的体系架构 找和调用服务的客户端应用程序。( 要) u d d i 注册中心。它是指用来存储服务描述信 息的信息库，服务提供方在这里发布他们的服务；服务请求方在这里查找服务， 获取服务的绑定信息。图2 1 显示了它们之间的关系。 w e bs e r v i c e s 这种三角形架构称作面向服务架构( s e r v i c e - o r i e n t e d a r c h i t e c t u r e ，s o a ) ，它包括三种操作：发布。服务提供者需要首先将服务进 行一定描述并发布到注册服务器上。在发布操作中，服务提供者需要通过注册服 务器的身份验证，才能对服务描述信息进行发布和修改。查找。服务请求方根 9 硕士论文第二章w e bs e r v i c e s 相关技术研究 据注册服务器提供的规范接口发出查询请求，以获取绑定服务所需的相关信息。 在查找操作中，一般包括两种查找模式：一种是浏览模式，即服务请求方可以根 据通用的分类标准来浏览或者通过一些关键字来搜索，并逐步缩小查找的范围， 直到找到满足需要的服务，查找结果是一系列服务的集合；另一种是直接获取模 式，即通过惟一的关键字直接得到特定服务的描述信息，其查找结果是惟一的。 绑定。服务请求方通过分析从注册服务器中得到的服务绑定信息，包括服务的 访问路径、服务调用的参数、返回结果、传输协议、安全要求等，对自己的系统 进行相应配置，进而远程调用服务提供者所提供的服务。 2 2w e bs e r v i c 6 5 运行机制 在w e bs e r v i c e s 的开发中，服务提供者可以把已有的应用系统转换成w e b s e r v i c e s 的形式对外发布，也可以重新开发新的w e bs e r v i c e s 应用系统。在发布 w e b 服务时，服务提供者把所提供服务的接口和需要的数据类型及结构用w s d l 进 行描述，生成相应的w s d l 文件，在全球的u d d i 注册中心进行注册。服务请求者首 先利用u d d i 浏览器浏览u d d i 注册服务器；查询到满足需求的w e b 服务后，取得其 地址，并将相应的服务描述文件( b p w s d l 文件) 下载到本地服务器上；当服务请 求者需要服务时，就依据相应的地址发起连接，应用系统通过s o a p 协议和w e b 服 务中的远程对象绑定在一起，进行请求的发送和应答的接收。在基于x m l 消息传 递的分布计算机中服务提供者和服务请求者的基本要求是构建、解析s o a p 消息的 能力，以及在网络上接收、发送消息的能力，应用程序与s o a p 的集成可以通过使 用四个基本步骤实现： ( 1 ) 服务请求者的应用程序创建一条s o a p 消息。这条s o a p 消息是调用由服 务提供者提供的w e b 服务操作的请求。消息主体中的x m l 文档可以是一个s o a pr p c ( r e m o t ep r o c e d u r ec a l l ，远程过程调用) 请求，也可以是一个服务描述中所描 述的以文档为中心的消息。服务请求者将此信息和服务提供者的网址一起提供给 s o a p 基础结构( 例如一个s o a p 客户机运行时) 。s o a p 客户机运行时与一个底层网 络协议( 如h t t p ) 交互，然后在网络上将s 0 a p 消息发送出去。 ( 2 ) 经过网络基础结构将消息传送到服务提供者的s o a p 运行时( 例如一个 s o a p 服务器) ，s o a p 服务器将请求消息路由到服务提供者的w e b n 艮务。 ( 3 ) w e b 服务负责处理请求信息并生成一个响应。该响应也是一条s o a p 消息， 响应的s o a p 消息被提供给s o a p 运行时，其目的地是服务请求者，即将s o a p 消息响 应发送到网络上的服务请求者。 ( 4 ) 响应消息由服务请求者接收，消息会经过整个s o a p 基础结构，可能会 将x m l 消息转换为目标编程语言中的对象。然后，响应消息被提供给应用程序。 1 0 硕士论文 第二章i r e bs e r v i c e s 相关技术研究 在w e bs e r v i c e s 的实际调用中，服务提供者和服务请求者都包含一个专门负责 s o a p 消息接收与发送的s o a p 消息监听器。运行时，首先由请求方的应用程序发出 服务调用请求，由客户端代理程序将该请求转化成符合w e bs e r v i c e s 调用所要求 的格式，然后由服务请求方s o a p 消息监听器将此请求s o a p 消息交给服务提供方。 服务提供方的s o a p 消息监听器在接收到此消息后，交由s o a p 路由器处理决定转发 至符合请求调用要求的w e b 服务应用程序，i 扫w e b 服务应用程序处理后将处理结果 封装成s o a p 消息返回给客户端。服务请求方客户端接收到响应后，解析出处理结 果，再返回给实际的请求程序。 2 3w e bs e r v i c e s 关键技术 w e bs e r v i c e s 技术中包括的关键技术主要有x m l ，s o a p ，w s o l 和u d d i 。下面 我们将分别对这几项技术做一个简单的介绍。 2 3 1 统一的数据描述语言一x 札 酬l 即扩展标识语言( e x t e n s i b l em a r k u pl a n g u a g e ) ，是互联网联合组织 ( w 3 c ) 创建的一组规范。3 x m l 是s g m l ( s t a n d a r dg e n e r a l i _ z em a r k u pl a n g u a g e 标准通用标识语言) 的子集，保存着s g m l 可扩展性、结构化和有效性等特点。与 h t m l 不同，捌l 用来描绘结构化数据，以便与软件开发人员和内容创作者在网页 上组织信息，其目的不仅在于满足不断增长的网络应用需求，同时还希望借此能 够确保在通过网络进行交换合作时，具有良好的可靠性和互操作性。 l 提供在应用程序和系统之问传输结构化数据的方法，像客户信息、信用 卡交易、定单和完成请求这类数据能够转换成x m l 并在应用程序之间共享。硼l 可以用来在w e b 服务器、浏览器之问、贸易伙伴之间交换数据。因为x 1 4 l 是基于文 本的，它在所有平台之间容易被理解和翻译。尽管x m l 是为i n t e r n e t 开发的，但 是它不仅可以很好地用于服务器和浏览器之间的数据传输，并且也能很好地承担 起应用对应用之间，机器对机器之间的数据迁移。而且它还可以有效地实现异构 数据库之问的互联。b i l 技术具有以下特点。 ( 1 ) 因为x m l 提倡的是结构化数据，任何基于x m l 的应用都能准确地抽取它 所需要的信息： ( 2 ) ) ( m l 可以提供强大的w e b 能力： ( 3 ) x m l 文档的语义描述了各种x m l 元素之间的关系，这样就不必强求是否 要预先了解发送方应用； ( 4 ) x m l 能够使客户端独立操纵数据而不需要时时与服务器端进行数据请 求，同样，相同的数据可以根据用户的角色表示成不同的形式： ( 5 ) x 1 4 l 的数据显示是结构独立的，因为x i l l 样式表可以描述如何使相同的 l l 硕士论文 第二章w e bs e r v i c e s 相关技术研究 数据在不同的设备上。 但是x m l 技术并不是完美的，它还存在一些缺点，如文档比较庞大、受安全、 系统性能、带宽等方面的限制等。 2 3 2 开放的通讯协议一s o p s o a p l 2 为在一个松散的、分布的环境中使用x m l 对等地交换信息提供了一个 简单的机制。唿1 这是一个基于x m l 的协议，它由四部分组成：一个描述消息中的内 容以及如何处理消息的信息框架的信封( e n v e l o p e ) ：一组用于表示应用定义的数 据类型的编码规则( e n c o d i n gr u l e s ) ：一个用于表示远程过程调用和返回的约定 ( r p cr e p r e s e n t a t i o n ) ：一个使用底层协议进行消息交换的绑定( b i n d i n g ) 约 定，s o a p 可以与很多其他的协议绑定使用。下面分别介绍这四部分内容： ( 1 ) s o a pe n v e l o p e ( s o a p 信封) ，它构造并定义了一个整体的表示框架， 可用于表示消息( m e s s a g e ) 中的内容是什么，谁应当处理它，以及这是可选的还 是强制的。 ( 2 ) s o a pe n c o d i n gr u l e s ( s o a p 编码规则) ，定义了一个编码机制用于交换 应用程序定义的数据类型的实例。 ( 3 ) s o a pr p cr e p r e s e n t a t i o n ( s o a pr p c 表示) ，定义了一个用于表示远 端过程调用和响应的约定。 ( 4 ) s o a pb i n d i n g ( s o a p 绑定) 定义了一个使用底层传输协议来完成在结点 间交换s o a p 信封的约定。 s o a p 本身并不定义任何应用语义，如编程模型或特定语义实现，它只是定义 了一种简单的机制，通过一个模块化的包装模型和对模块中特定格式编码的数据 的重编码机制来表示应用语义。s o a p 的这项能力使得它可被很多类型的系统用于 从消息系统n r p c 的延伸。 s o a p 之所以受到广泛的关注，是因为它可以增进客户端和远程服务器之间的 r p c 形式的通讯，并且得到业界的支持，是同类协议中第一个被世界上主要软件 公司都接受的协议。s o a p 具有语言独立、协议绑定、平台独立等优点。 2 3 3 一致的服务描述接口w s d l w s d l 是m i c r o s o f t 公司的s d l ( s e r v i c e sd e s c r i p t i o nl a n g u a g e ) 和i b m 公司 的n a s s l ( n e t w o r ka c c e s s i b l es e r v i c e ss p e c i f i c a t i o nl a n g u a g e ) 结合并被w 3 c 接纳后形成的标准。w s d l 为服务提供者提供了以x m l 格式描述w e bs e r v i c e s 请 求基本格式的标准方法。w s d l 用来描述一个w e bs e r v i c e s 能做什么，它的位置在 哪里，如何调用它等。u d d i 注册描述t w e bs e r v i c e s 的绝大多数方面，包括服务 绑定的细节。w s d l 可以看作是u d d i f r 务描述的子集。 w s d l 是一种描述w e b 服务的x m l 语言，它定义了描述w e b 服务接口规范的标准 硕士论文 第二章w e bs e r v i c e s 相关技术研究 格式。如果说s o a p 是一种用来交换纯内容信息的通信协议，那么w s d l 就是一种描 述信息内容的语言。在w s d l 中，对消息和消息处理的描述是抽象的，是和具体的 数据绑定以及网络实现分离的，通过其绑定机制可以将具体的通信协议和数据格 式和消息、消息处理的抽象描述联系起来，从而定义一个实际的服务端点。一系 列相关的服务端点又可以被抽象定义为一个w e b 服务。这样就有利于这些抽象定