（计算机应用技术专业论文）基于ldap的数据交换引擎系统的设计与实现.pdf

中文摘要 随着信息时代的到来，随着建设数据大集中平台的发展，越来越需要 种有效的管理方法来组织日益庞大的信息量，处理异构的不同来源的资 料的主要方法用到了数据交换技术。 。 本文阐述的基于l d a p 的数据交换引擎系统，为解决大量的数据源不 统一、数据地域不统一、操作平台不统一和数据访阀安全等阏题，解决由 予基于i n t e r n e t 计算、分布式部署带来的数据权威性的问题、地域不一致 影响问题和资料一致性的闻题，将不同的数据源数据抽取到固录中，同时 将目录中增加的条目同步到相应的数据源中，大大实现了数据的快速异地 的访问。 本文从系统的基本功麓，从总体架构、逻辑架构、系统线程模型以及 系统部署模型等方面进行设计分析，并详细阐述系统的逻辑架构分析、架 梅宗旨、驱动程序接口、元数据系统架构、孳| 擎架构基硪、节点管理架构 以及驱动程序注册等内容；同时，分别从系统实现的设置、数据转换时序 分析以及数据转换的引擎接口配置与策略配置等方面给出了系统的实现描 述。 通过基于l d a p 的数据交换引擎系统的设计与实现，解决了数据权威 憔润蘧，实现了快速地把异构异地鲶数据进行抽取和发布的效果。 关键词：轻量级目录访问协议( l d a p )数据交换引擎髑录服务 a bs t r a c t w i t ht h ea d v e n to ft h ei n f o r m a t i o na g e ，w i t ht h ed e v e l o p m e n to fb u i l d i n ga p l a t f o r mf o rt h el a r g eq u a n t i t i e so fd a t a se x c h a n g e ，i ti sa ni n c r e a s i n gn e e dt h a ta n e f f e c t i v em a n a g e m e n tm e t h o dt oo r g a n i z et h ei n c r e a s i n g l yl a r g ea m o u n to f i n f o r m a t i o nt od e a lw i t hh e t e r o g e n e o u s ，d i f f e r e n ts o u r c e so fi n f o r m a t i o n ，a n di ti s m a i n l yu s e sb yd a t ae x c h a n g et e c h n o l o g y t os o l v et h ep r o b l e mt h a tal a r g en u m b e ro fd a t as o u r c e sa r en o tu n i f i e d ，t os o l v e t h ep r o b l e mt h a tg e o g r a p h i c a ld a t aa r en o tu n i f i e d ，t os o l v et h ep r o b l e mt h a tt h e p l a t f o r m sa r en o tu n i f i e da n dt h ep r o b l e mo f d a t aa c c e s sb e i n gn o ts e c u r i t y , t h i sp a p e r d e s c r i b e st h el d a p - b a s e dd a t a - h u bs y s t e m i ti su s e dt or e s o l v eo nt h ep r o b l e m o fd a t a a u t h o r i t yb r o u g h tb yi n t e r n e tc o m p u t i n g ，b yd i s t r i b u t e dd e p l o y m e n t ，a n dt o s o l v et h eb a di n f l u e n c eo ft h eg e o g r a p h i c a li m p a c t ，a n dt h en o nc o n s i a e n c yo f i n f o r m a t i o n t h ed a t a h u bs y s t e mw i l le x t r a c td i f f e r e n td a t at od i r e c t o r y , a n dt h e d i r e c t o r yw i l li n c r e a s et h es i m u l t a n e o u se n t r yt ot h ec o r r e s p o n d i n gd a t as o u r c e s ，w i l l q u i c k e nv i s i tf o r t h er e m o t ed a t a 。 t h i sp a p e re l a b o r a t e ds e v e r a li s s u e s ：a n a l y s i sa n dd e s i g nf o r t h es y s t e m sb a s i c f u n c t i o n s ，f o rt h eo v e r a l ls t r u c t u r e ，f o rt h el o g i c a lf r a m e w o r k , f o rt h es y s t e mt h r e a d s m o d e la n df o rt h es y s t e md e p l o y m e n tm o d e l ；t h es y s t e ml o g i cs t r u c t u r e ；s t r u c t u r e p u r p o s e ；d r i v e ni n t e r f a c e ；m e t a d a t as y s t e ma r c h i t e c t u r e ，e n g i n es t r u c t u r e ；t h en o d e s r a t i o n a l es t r u c t u r ea n dd r i v e rr e g i s t r a t i o n ；m e a n w h i l e , t h i sp a p e rd e s c r i b e st h e r e a l i z a t i o no fd a t a - h u bs y s t e m t h r o u 曲t h el d a p - b a s e dd a t a - h u bs y s t e m sd e s i g n a n dr e a l i z a t i o n ，t h e d a t a a u t h o r i t yi ss o l v e d ，f a s td a t ae x t r a c t i o na n dd a t ad i s s e m i n a t i o n i sp o s s i b l ei n h e t e r o g e n e o u sr e m o t ed a t a k e y w o r d s ：l d a p ，d a t a - h u b ，d i r e c t o r ys e r v i c e s l i 独创性声明 本人声明所里交的学位论文是本人在导师指导下进行的研究工作和取得的 研究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表 或撰写遭的研究成果，也不包含为获得苤鲞盘兰或其他教育机构的学位或证 书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中 作了唆确的说明并表示了谢意。 学砬论文作者签名伽签字日期：2 。0 7 年，8 月2 8 目 学位论文版权使用授权书 本学位论文作者完全了解苤鎏盘堂有关保窝、使用学位论文的规定。 特授权蕉盗盘鲎可以将学位论文的全部或部分内容编入有关数据库进行检 索，并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校 向匡家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者辇名：伟。 + 签字日期：；2 。7 年8 月3 l 蠢 导师签名： 铆孝 签字目期： _ 7 年岁月9 躁 第一章绪论 第一章绪论 国际化大物流，需要国际化大通关。我国加入世贸组织以后迅速增长的 外经贸对口岸通过能力提出了新要求，全国检验检疫系统在实施“大通关 制度上，要求快速高效的处理大量异构异地的数据交互。本课题基于l d a p 的数据交换引擎系统就是为此设计开发的数据交换引擎系统( d a t a h u b ) 部分。 1 1 课题的背景与研究意义 “大通关 是指运用现代化的信息技术，通过有关部门的密切协作，以 提高口岸工作效率，实现贸易便利化为目标，以加速口岸进出口货物的通 关速度为主要内容，促进外贸事业发展的重要措施，是国家电子政务的重 要构成部分。 美国是较早发展电子政务的国家，是电子政务最发达的国家，是数据交 换研究运用较早的国家。由于政务电子化的实施，仅1 9 9 2 年至19 9 6 年4 年间，美国政府的员工就减少了2 4 万人，减少开支1 1 8 0 亿美元，不仅节 省了大量的人财物，而且提高了政务透明度，堵住了营私舞弊的渠道【l 儿引。 在我国，2 0 0 0 年，国家质检总局开发了c i q 2 0 0 0 系统( 检验检疫综合 业务管理系统) ，在全国范围内启动了“电子报检、电子签证、电子转单” 的“三电工程 。当年，全国有2 5 6 个检验检疫机构应用了电子签证系统， 1 8 6 个实施了电子报检系统，3 3 个直属检验检疫局及其4 4 0 个分支机构使 用了电子转单系统。至2 0 0 1 年，处理电子文件近8 0 0 万份，全国电子业务 联网企业近1 4 0 0 0 家。 2 0 0 2 年，为落实吴仪副总理的指示，国家检验检疫总局与海关总署签 署合作协议，开发了电子通关系统；随着“快速查验”、“电子审单、“电 子收费”，以及其他配套系统( 进境许可证系统、决策支持系统、电子身份 认证系统、集装箱管理系统等) 的陆续开发与应用，检验检疫工作电子化 进程不断向前推进，完全实现检验检疫业务的网络化管理，这在很大程度 上规范了检验检疫行为，提高了检验检疫效率、加快了通关速度，服务了 外贸事业。此时，“三电工程 的工作重点也由“电子报检、电子签证、电 子转单”发展成为“电子报检、电子转单、电子通关”1 3 。 三电工程需要做的核心工作就是数据交换处理。随着三电工程应用及 用户的增加，造成系统的复杂性增加。同时也使权威信息来自不同数据源， 第一章绪论 不同的地域，不同的数据库结构，不同的开发平台，不同的开发时间等造 成权威数据来源不统一，以致造成应用混乱，数据交换成了首选要解决的 问题。 。 1 2 课题现状 随着信息时代的到来，随着建设数据交换平台的发展，越来越需要一 种有效的管理方法来组织日益庞大的信息量，处理异构的不同来源的资料 的主要方法就是用到了数据交换技术，例如：政府信息数据中心数据处理 4 j ，远程网络教育中异构系统间有效的数据交换以及如何来保证数据交换 的高效性 s l ，电子商务的企业之间的数据交换6 】【7 l 【8 】【9 1 等。因此，如何将现 有的e d i 系统改造成能够跨行业、跨平台、跨网络运行已成为当今e d i 发展 的主要趋势。 我国电子政务的建设过程经历了三个阶段：以办公自动化建设为核心的 阶段、以行政监督为核心的阶段和以公共服务为核心的阶段。我国政府办 公自动化的建设始于上世纪8 0 年代中期，到9 0 年代后期逐渐达到高峰，尤 其是政府部门内部局域网的建设成果显著。当前，由中央级城域网、中央 到副省级以上地方的广域网以及4 7 个副省级以上地方的本地城域网所组成 的电子政务网络平台已经基本建成型。在2 0 0 0 年前后：我国开始推进政府 上网工程，各级政府部门陆续在互联网上建立门户网站。当前，政府门户 网站己成为政府部门面向社会的服务窗口。经过2 0 多年政府信息化建设， 我国电子政务系统己初具规模，如全国性的信息化机构已经建立， “金” 字系列工程纷纷投入运行并取得较大成功，8 0 以上的省部级政府和7 0 以上的地市级政府均已实现上网等，但是，相当一部分地方政府仍把门户 网站的建设视为塑造展现政绩的“形象工程 ，所以在加大硬件设施的投 入力度时忽略了软件服务功能的实现，这些原因直接导致了目前电子政务 发展中“电子一效率高而“政务”效率低的现状1 1 0 1 。另外，由于我国政府 各部门对信息化建设的深远意义认识不够，再加上系统建设中缺乏整体统 一的规划，因此现有政务应用系统中普遍存在着一些问题l l l j ： 1 ) 信息的共享、公开没有立法，信息采集、储存标准不统一，互联互 通不畅，共享程度低： 2 ) 信息共享机制尚未建立，各职能部门内部的信息相对封闭，产生了 信息孤岛效应，造成了信息资源的巨大浪费； 3 ) 大部分单位业务应用系统还未形成一个内部资源共享、有效运行的 整体，需要在电子政务建设的过程中进行整合和改造； 第一章绪论 4 ) 网络建设各自为政，结构不合理，互连互通十分困难； 5 ) 安全性存在隐患，人门还不放心在网上共享数据。 为解决这些问题，除了健全制度并加强管理之外，更为重要的是提供 必要的技术手段整合现有系统资源，实现信息资源的连通，提高资源的共 享水平和使用效率。针对这一需要，当前国内的电子政务出现了建设数据 交换平台的发展趋势，数据交换不同于现有的分散式( 以各政府部门为独立 运营体) 运作模式，它把主要业务数据汇集到专门的业务系统中，通过业务 系统统一存储、管理、分层加工各类子政务数据，以提高数据的互通性。 通过数据交换的方式，可以有效地解决了各部门间数据条块分割所造成的 信息孤岛问题，从而实现信息资源的有效利用。 建立安全、稳定、高性能、跨平台、跨系统、跨应用、跨地区的数据 信息交换平台是最重要的软件平台，各行业各部门的系统将统一通过这一 平台进行数据信息交换，以达到整个系统跨部门的办公平台，实现异构系 统之间、新老系统之间的信息的透明交换是必须的基础性工作，同时也是 电子政务的三电工程的重要工作【l 引。 1 3 课题研究的内容与本文组织 综上所述，为解决系统中大量的数据源不统一、数据地域不统一、操 作平台不统一和数据访问安全等问题，课题详细规划了系统的整体架构， 系统中使用了应用安全基础结构a s i ( a p p l i c a t i o ns e c u r i t yi n f r a s t r u c t u r e ) 。 在a s i 中，把和具体系统无关的数据服务部分独立出来，使用基于轻量级 目录访闯协议l d a p ( l i g h td i r e c t o r ya c c e s sp r o t o c 0 1 ) 的数据交换引擎来解 决由于基于i n t e r n e t 计算、分布式部署带来的数据权威性的问题、地域不一 致影响问题和资料一致性的问题，将不同的数据源数据抽取到目录中，同 时将目录中增加的条目同步到相应的数据源中。 由于l d a p 所具有的查询效率高、树状的信息管理模式、分布式的部署 框架以及灵活而细腻的访问控制，使l d a p 广泛地应用于基础性、关键性 信息的管理，如用户信息、网络资源信息等。l d a p 的应用主要涉及几种 类型。信息安全类：数字证书管理、授权管理、单点登录；科学计算类： d c e ( d i s t r i b u t e dc o m p u t i n ge n v i r o n m e n t ，分布式计算环境) 、u d d i ( u n i v e r s a ld e s c r i p t i o n ，d i s c o v e r ya n di n t e g r a t i o n ，统一描述、发现和集 成协议) ；网络资源管理类：m a i l 系统、d n s 系统、网络用户管理、电话 号码簿：电子政务资源管理类：内网组织信息服务、电子政务目录体系、 人口基础库、法人基础库1 1 3 】【1 引。 第一章绪论 本文描述的是一个基于l d a p 的数据交换引擎系统。系统方案区别与传 统的数据交换系统，采用驱动程序与引擎分离的系统架构思想，在驱动程 序与引擎之间采用自定义的元数据标准进行数据交互，使引擎尽可能的不 修改或少修改，而通过驱动程序的调整来满足不同的业务需求。 本文较简练的介绍基于l d a p 的数据交换引擎系统的设计与实现。 第一章绪论，简要说明了本课题研究的背景意义、数据交换问题的现 状以及存在问题、简述了本课题研究的主要工作内容； 第二章介绍了目录访问之l d a p 协议和数据交换技术等背景知识，并 加以联系和比较分析； 第三章阐述系统的总体设计架构与逻辑设计的基本内容，包括：系统 的基本功能、总体架构、逻辑架构、系统线程模型以及系统部署模型等方 面的设计分析，并详细的分析阐述了系统逻辑设计架构下的逻辑架构分析、 架构宗旨、驱动程序接口、元数据系统架构、引擎架构基础、节点管理架 构以及驱动程序注册等内容； 第四章介绍系统实现的基本内容，包含系统实现前的设置，数据引擎 系统的数据转换时序和数据转换描述，并且对数据转换的引擎接口配置与 策略配置等方面给出了系统的实现描述。 第五章介绍本课题与技术的总结与展望。 最后是参考文献、作者发表论文与科研情况、附录和致谢。 第二章l d a p 与数据交换 第二章l d a p 与数据交换 l d a p 的应用己经渗透到计算机领域的各个行业，并得到了较为广泛的 应用。为了在自己的组织或企业中部署高效的l d a p 目录服务，首先需要完 善的准备工作1 17 1 。 2 1l d a p 概述 近几年，随着l d a p 技术的兴起和应用领域的不断扩展，目录服务技术 成为许多新型技术实现信息存储、管理和查询的首选方案，特别是在网络 资源查找、用户访询控制与认证信息的查询、新型网络服务、网络安全【l8 1 、 商务网的通用数据库服务和安全服务等方面，都需要应用目录服务技术来 实现一个通用、完善、应用简单和可以扩展的系统1 19 1 。 2 1 1 目录服务介绍 目录是由一群数据个体按照某种便于检索的结构组织起来的数据集 合，是一种专门被优化用于执行读、浏览、搜索等操作的数据库，可以包 含网络以及在网络上运行的应用程序所需的信息【2 0 1 。简而言之，它是一种 特殊的数据库，用来保存描述性、属性类信息，主要访问方式是读，很少 有写，目录写访问主要是一些简单的更新。它的访问目标是提供尽量快的 响应速度。目录服务是软件、硬件、策略和管理的集合体。目录服务包括 以下几个方面： 夺包含在目录中的信息 夺保存信息的软件服务端 夺存取信息的软件客户端 运行服务端、客户端软件的硬件 支撑系统，如操作系统、设备驱动等 夺连接客户端到服务端以及各个服务端之间的网络基础设施 第二章l d a p 与数据交换 夺策略，用于规定谁能访问，谁能更新，谁能存取等 夺维护和监视目录服务的软件 目录服务就是按照树状信息组织模式，实现信息管理和服务接口的一 种方法。目录服务系统一般由两部分组成：第一部分是数据库，一种分布 式的数据库，且拥有一个描述数据的规划；第二部分则是访问和处理数据 库有关的详细的访问协议。 区别于一般意义的数据库( 如常见的关系型数据库) ，目录服务的特殊 性体现在以下方面： 1 检索功能强大，而增、删、改等数据库更新功能则较弱，因为目录 服务器是专门为那些检索频率高于更新频率的数据服务而设计的； 2 不支持数据库管理系统常用的事务处理，免去了完整性约束，大大 简化数据操作： 3 不支持数据库通用的5 q l 查询接口。尽管s q l 具有极大的灵活性，但 大部分功能目录检索并不需要。 由此可见，目录服务的主要应用领域集中于以检索为主而非以更新为 主的数据库服务【2 1 】【2 2 1 。 综上得出，目录服务与关系型数据库不同的是，目录不支持批量更新 所需要的事务处理功能，目录一般只执行简单的更新操作，适合于进行大 量数据的检索；目录具有广泛复制信息的能力，从而在缩短响应时间的同 时，提高了可用性和可靠性。目前，目录服务技术的国际标准有两个，即 较早的x 5 0 0 标准和近年迅速发展的l d a p 标准。 2 1 2x 5 0 0 协议介绍 x 5 0 0 是一个协议族。x ，5 0 0 实际上不是一个协议，它是由一个协议族 组成：x 5 0 l 模型强调目录服务基本模型和概念：x 5 0 9 认证框架是如何在 x 5 0 0 中处理目录客户和服务器的认证i l6 j ；x 5 1 l 抽象服务定义x 5 0 0 被 要求提供的功能性服务；x 5 1 8 分布式操作过程表明如何跨越多台服务器 处理目录服务：x 5 1 9 协议规范即是x 5 0 0 协议，包括目录访问协议d a p 、 目录系统协议d s p 、目录操作绑定协议d o p 和目录信息s h a d o w i n g 协议 d i s p ；x 5 2 0 选定的属性类型要求是x 5 0 0 自己使用的属性类型；x 5 2 l 选定的对象类即为x 5 0 0 自己使用的对象类；x 5 2 5 复制是如何在目录服务 6 第二章l d a p 与数据交换 器之间复制目录内容。 在这些x 5 0 0 标准中主要定义有多种内容。一个信息模型：确定目录 中信息的格式和字符集，如何在项中表示目录信息( 定义对象类、属性等模 式) ；个命名空间：确定对信息进行的组织和引用，如何组织和命名项 目录信息树d i t ( d i r e c t o r yi n f o r m a t i o nt r e e ) 和层次命名模型：一个功能模 型：确定可以在信息上执行的操作：一个认证框架：保证目录中信息的安 全，如何实现目录中信息的授权保护访问控制模型；一个分布操作模 型：确定数据如何进行分布和如何对分布数据执行操作，如何将全局目录 树划分为管理域进行管理目录管理模型，客户端与服务器通信的协议 一目录访问协议d a p ，将用户请求在服务器之间进行链接所需的目录系统 协议d s p ，将选定的信息在服务器之间进行复制所需的目录信息映像协议 d i s p ，用于自动在服务器之间协商连接配置的目录操作绑定协议d o p 。 x 5 0 0 虽然是一个完整的目录服务协议，但在实际应用的过程中，却存 在着不少障碍。由于目录访问协议d a p 这种应用层协议是严格遵照复杂的 i s o 七层协议模型制定的，对相关层协议环境要求过多，主要运行在u n i x 机器上，在许多小系统上，如p c 和m a c i n t o s h 上无法使用，因此没有多少 人按照d a p 开发应用程序，t c p i p 协议体系的普及，更使得这种协议越 来越不适应需要。 2 ，1 3l d a p 目录访问标准 l d a p 协议从1 9 9 3 年批准，产生了l d a pv i 版本，随后于1 9 9 7 年发 布了第三个版本l d a pv 3 ，它的出现是l d a p 协议发展的一个里程碑性标 志，它使l d a p 协议不仅仅作为x 5 0 0 的简化版，同时提供了l d a p 协议 许多自有的特性，使l d a p 协议功能更为完备，具有了更大的生命力。 l d a pv 3 协议也不是一个协议，而是一个协议族。r f c2 2 5 1 l d a pv 3 核心协议，定义了l d a p v 3 协议的基本模型和基本操作；r f c2 2 5 2 定 义了l d a pv 3 中的基本数据模式( s c h e m a ) ( 包括语法、匹配规则、属性 类型和对象类) 以及标准的系统数据模式；r f c2 2 5 3 定义了l d a pv 3 中的辨识名( d i s t i n g u i s h e dn a m e ，d n ) 表达方式；r f c2 2 5 4 定义了 l d a pv 3 中的过滤器的表达方式；r f c2 2 5 5 l d a p 统一资源地址的格 式；r f c2 2 5 6 在l d a pv 3 中使用x 5 0 0 的s c h e m a 列表；r f c2 8 2 9 定义了l d a pv 3 中的认证方式；r f c2 8 3 0 定义了如何通过扩展使用 7 第二章l d a p 与数据交换 t l sj 艮务：r f c1 8 2 3 定义了c 的l d a p 客户端a p i 开发接口；r f c 2 8 4 7 定义了l d a p 数据导入、导出文件接口数据信息交互格式 l d i f | 2 3 l ( l d a pd a t ai n t e r c h a n g ef o r m a t ) 。 在这些协议中，主要定义了l d a p 的内容，同时主要定义了一个信息 模型：确定l d a p 目录中信息的格式和字符集，如何表示目录信息( 定义对 象类、属性、匹配规则和语法等模式) ；一个命名空问：确定对信息进行的 组织方式目录信息树d i t ，以辨识名d n 和相对辨识名r d n ( r e l a t i v e d i s t i n g u i s h e dn a m e ) 为基础的命名方式，以及l d a p 信息的i n t e r n e t 表示 方式；一个功能模型：确定可以在信息上执行的操作的通讯协议以及在客 户端进行这些操作的a p i 接口；一个安全框架：保证目录中信息的安全， 匿名、用户名密码、s a s l 等多种认证方式，以及与t l s 结合的通讯保护 框架；一个分布式操作模型：基于r e f e r r a l 方式的分布式操作框架；一个 l d a p 扩展框架：基于控制和扩展操作的l d a p 扩展框架。 但在l d a p 协议中尚未定义通用的访问控制模型和复制协议( 对应 x 5 0 0 的映像协议d i s p ) ，尽管不同的l d a p 厂商均实现了自己的控制模 型和复制机制，但是l d a p 标准的发展正集中在访问控制模型、复制协议 ( d u p ) 以及扩展操作上，这些扩展操作包括查询的分页和排序、语言卷 标、动态目录、l d a p 服务发现等。 2 1 4l d a p 的四种基本模型 l d a p 有四种模型：信息模型、命名模型、功能模型和安全模型1 2 引。 1 信息模型：描述l d a p 的信息表示方式 在l d a p 中信息以树状方式组织，在树状信息中的基本数据单元是条 目，而每个条目由属性构成，属性中存储有属性值；l d a p 中的信息模式， 类似于面向对象的概念，在l d a p 中每个条目必须属于某个或多个对象类 ( o b j e c tc l a s s ) ，每个o b j e c tc l a s s 由多个属性类型组成，每个属性类型有 所对应的语法和匹配规则；对象类和属性类型的定义均可以使用继承的概 念。每个条目创建时，必须定义所属的对象类，必须提供对象类中的必选 属性类型的属性值，在l d a p 中一个属性类型可以对应多个值。 在l d a p 中把对象类、属性类型、语法和匹配规则统称为s c h e m a ，在 l d a p 中有许多系统对象类、属性类型、语法和匹配规则，这些系统s c h e m a 在l d a p 标准中进行了规定，同时不同的应用领域也定义了自己的s c h e m a ， 第二章l d a p 与数据交换 同时用户在应用时，也可以根据需要自定义s c h e m a 。这有些类似于x m l ， 除了x m l 标准中的x m l 定义外，每个行业都有自己标准的d t d 或d o m 定 义，用户也可以自扩展 2 5 1 ；也如同x m l ，在l d a p 中也鼓励用户尽量使用 标准的s c h e m a ，以增强信息的互联互通l l 引。 在s c h e m a 中最难理解的是匹配规则，这是l d a p 中为了加快查询的 速度，针对不同的数据类型，可以提供不同的匹配方法，如针对字符串类 型的相等、模糊、大于小于均提供自己的匹配规则。 2 命名模型：描述l d a p 中的数据如何组织 l d a p 中的命名模型，也即l d a p 中的条目定位方式。在l d a p 中每个 条目均有自己的d n 和r d n 。d n 是该条目在整个树中的唯一名称标识，r d n 是条目在父节点下的唯一名称标识，如同文件系统中，带路径的文件名就 是d n ，文件名就是r d n 2 6 】。 3 功能模型：描述l d a p 中的数据操作访问 在l d a p 中共有四类1 0 种操作：查询类操作，如搜索、比较；更新 类操作，如添加条目、删除条目、修改条目、修改条目名；认证类操作， 如绑定、解绑定；其它操作，如放弃和扩展操作。除了扩展操作，另外9 种是l d a p 的标准操作：扩展操作是l d a p 中为了增加新的功能，提供的 一种标准的扩展框架，当前已经成为l d a p 标准的扩展操作，有修改密码 和s t a r t t l s 扩展，在新的r f c 标准和草案中正在增加一些新的扩展操作， 不同的l d a p 厂商也均定义了自己的扩展操作。 4 安全模型：描述l d a p 中的安全机制 l d a p 中安全模型主要通过身份认证、安全通道和访问控制来实现。 ( 1 ) 身份认证 在l d a p 中提供三种认证机制，即匿名、基本认证和s a s l ( s i m p l e a u t h e n t i c a t i o na n ds e c u r el a y e r ) 认证。匿名认证即不对用户进行认证，该 方法仅对完全公开的方式适用；基本认证均是通过用户名和密码进行身份 识别，又分为简单密码和摘要密码认证：s a s l 认证即l d a p 提供的在s s l 和t l s 安全通道基础上进行的身份认证，包括数字证书的认证。 ( 2 ) 通讯安全 在l d a p 中提供了基于s s l t l s 的通讯安全保障。s s l t l s 是基于 p k i 信息安全技术，是目前i n t e r n e t 上广泛采用的安全服务。l d a p 通过 s t a n t l s 方式启动t l s 服务，可以提供通讯中的数据保密性、完整性保护； 通过强制客户端证书认证的t l s 服务，同时可以实现对客户端身份和服务 器端身份的双向验证。 9 第二章l d a p 与数据交换 ( 3 ) 访问控制 虽然l d a p 目前并无访问控制的标准，但从一些草案中或是事实上 l d a p 产品的访问控制情况，我们不难看出：l d a p 访问控制异常的灵活 和丰富，在l d a p 中是基于访问控制策略语句来实现访问控制的，这不同 于现有的关系型数据库系统和应用系统，它是通过基于访问控制列表来实 现的，无论是基于组模式或角色模式，都摆脱不了这种限制。 在使用关系型数据库系统开发应用时，往往是通过几个固定的数据库 用户名访问数据库。对于应用系统本身的访问控制，通常是需要建立专门 的用户表，在应用系统内开发针对不同用户的访问控制授权代码，这样一 旦访问控制策略变更时，往往需要代码进行变更。总之，关系型数据库的 应用中用户数据管理和数据库访问标识是分离的，复杂的数据访问控制需 要通过应用来实现。 而对于l d a p ，用户数据管理和访问标识是一体的，应用不需要关心 访问控制的实现。这是由于在l d a p 中的访问控制语句是基于策略语句来 实现的，无论是访问控制的数据对象，还是访问控制的主体对象，均是与 这些对象在树中的位置和对象本身的数据特征相关。 在l d a p 中，可以把整个目录、目录的子树、制定条目、特定条目属 性集或符合某过滤条件的条目作为控制对象进行授权；可以把特定用户、 属于特定组或所有目录用户作为授权主体进行授权；最后，还可以定义对 特定位置( 例如l p 地址或d n s 名称) 的访问权。 2 1 5l d a p 与x 5 0 0 的比较分析 从目录服务技术的发展来看，l d a p 标准实际上是在x 5 0 0 标准基础上 产生的一个简化版本，两者之间的关系与那种为解决同一个问题出现的两 个独立发展的技术有很大的不同之处，因此需要在此基础上对这两个标准 进行理解和分析。 首先，作为i e t f ( i n t e r n e te n g i n e e r i n gt a s kf o r c e ) 一个正式的标准， l d a p 是x 5 0 0 标准中的目录访问协议d a p 的一个子集，可用于建立x 5 0 0 目录。因此这两个目录服务技术标准有着许多的共同之处，即在平台上， 都实现了一个通用的平台结构，提供了一个操作系统和应用程序需要的信 息服务类型，可以被许多平台和应用程序接收和实现；在信息模型上，都 使用了项、对象类、属性等概念和模式来描述信息：在命名空间方面，都 使用了目录信息树结构和层次命名模型：在功能模型t ，都使用了相似的 1 0 第二章l d a p 与数据交换 操作命令来管理目录信息；在认证框架方面，都可以实现用户名称和密码， 或者基于安全加密方式的认证机制；在灵活性上，它们的目录规模都可大 可小，大到全球目录树，小到只有一台目录服务器；在分布性方面，目录 信息都可以分布在多个目录服务器中，这些服务器可以由各组织管理，既 保证了目录信息总体结构一致性，又满足了分级管理的需要。 l d a p 与x 5 0 0 的d a p 相同之处是，l d a p 也是被设计用来从分层目录中提 取信息。与x 5 0 0 不同，l d a p 支持t c p i p 协议，这对访问i n t e r n e t 是必须的 2 7 1 。它基于x 5 0 0 标准，简单很多而且可以根据需要定制。与x 5 0 0 不同的 是，为保持网络的带宽，l d a p 对来自x 5 0 0 目录询问的应答次数加以限制。 最初l d a p 只是一种访问x 5 0 0 目录的简单方法，是x 5 0 0 的功能子集，但 随着它的成熟和独立发展，已经增加了许多在x 5 0 0 中没有的新特性。现在 的l d a p 既可以为x 5 0 0 目录服务提供一个轻型前端，也可以实现一个独立 的目录服务。 2 1 6l d a p 的特点 现在l d a p 的流行是很多因素共同作用的结果。l d a p 一个很大的优势 是：可以在任何计算机平台上，用很容易获得的而且数目不断增加的l d a p 的客户端程序访问l d a p 目录，而且也很容易定制应用程序为它加上 l d a p 的支持。 1 l d a p 协议是跨平台的和标准的协议，因此应用程序就不用为l d a p 目录放在什么样的服务器上操心了。 2 l d a p 服务器可以用“推 或“拉”的方法复制部分或全部数据， 复制技术是内置在l d a p h 艮务器中的而且很容易配置。用这种复制模式， 用户为了访问数据只需要简单地连接到本地服务器。如果他们改变了数据， 本地的l d a p j j 艮务器就会把这些变化传到主l d a p j 艮务器。然后，主l d a p ) i 艮务 器把这些变化“推”回本地的“公用 l d a pj 艮务器保持数据的同步。这对 本地的用户有很大的好处，因为所有的查询( 大多数是读) 都在本地的服务 器上进行，速度非常快。当需要改变信息的时候，最终用户不需要重新配 置客户端的软件，因为l d a p 目录服务器为他们完成了所有的数据交换工作 2 8 2 9 】。如果要在d b m s 中使用相同的复制功能，数据库产商就会要你支付 额外的费用，而且也很难管理。 3 l d a p 允许根据需要使用a c i ( 一般都称为a c l 或者访问控制列表) 控制对数据读和写的权限。 第二章l d a p 与数据交换 4 a p ( a c c e s sp r o t o c 0 1 ) 既是一个x 5 0 0 的访问协议，又是一个灵活 的可以独立实现的目录系统。d a p ( d i r e c t o r ya c c e s sp r o t o c 0 1 ) 基于i n t e r n e t 协议，x 5 0 0 基于o s i ( 开放式系统互联) 协议：建立在应用层上的x 5 0 0 目录访问协议d a p ，需要在o s i 会话层和表示层上进行许多的建立连接和 包处理的任务，需要特殊的网络软件实现对网络的访问；l d a p 则直接运 行在更简单和更通用的t c p i p 或其它可靠的传输协议层上，避免了在o s i 会话和表示层的开销，使连接的建立和包的处理更简单、更快，对于互联 网和企业网应用更理想。 5 l d a p 协议更为简单：l d a p 继承了x 5 0 0 最好的特性，同时去掉 了它的复杂性。l d a p 通过使用查找操作实现列表操作和读操作，另一方 面省去了x 5 0 0 中深奥的和很少使用的服务控制和安全特性，只保留常用 的特性，简化了l d a p 的实现。 6 l d a p 通过引用机制实现分布式访问：x 5 0 0d s a 通过服务器之间 的链操作实现分布式的访问，这样查询的压力集中于服务器端；而l d a p 通过客户端a p i 实现分布式操作( 对于应用透明) 平衡了负载。 7 l d a p 实现具有低费用、易配置和易管理的特点。经过性能测试， l d a p 比x 5 0 0 具有更少的响应时间；l d a p 提供了满足应用程序对目录 服务所需求的特性。 2 2 数据交换介绍 2 2 1 数据交换的概念 数据在不同的信息实体之间交互的过程称为数据交换。根据参与交换 的信息实体不同，数据交换可以分为个人数据交换，企业数据交换和政府 ( 组织) 数据交换网。不管是哪一类数据交换，信息实体之间的信息交互过 程都无一例外的划分为三个阶段，即数据生成、数据传输和数据处理。不 同之处在于，各种信息实体在每个阶段有各自的需求和规范，因而具体使 用的技术和工作流程有很大差别。总的来说，个人数据交换的灵活性最高 而可靠性最低，而政府数据交换和企业数据交换则需要可靠性高而灵活性 相对较低”。具体来说企业数据交换的数据内容以及格式相对固定，数据 交换的业务流程比较规范。同时企业数据交换对数据交换过程的可靠性与 安全性要求较高。 第二章l d a p 与数据交换 当前的企业数据交换，根据其应用范围和特点大致可分为企业内部数 据交换和企业之间的数据交换p 。企业内部数据交换的数据格式比较单 一，业务流程固定，数据交换的架构相对紧凑，有较高的藕合度和数据交 换效率。企业之间数据交换的数据格式繁杂，数据交换的架构相对松散， 藕合度低，数据交换效率也相对较低 3 0 1 。 本系统的数据交换引擎实现的是不同的数据源之间的数据交换。 2 2 2 数据交换的发展现状 1 传统数据交换 传统的数据交换一般是通过专用网络或增值网络( v a n ) 实现的i jz 。，并且 需要同商业伙伴达成一致意见，然后改造现有的系统，购买或开发相应的 转换软件，需要较为昂贵的费用，因此一直难以广泛普及。其面临的另一 个问题是：它基于严格的事务处理的标准集，这些事务标准集不仅描述了商 务数据的表示形式，而且也规定了资料的处理方式，而缺乏必要的灵活性， 很难满足各个企业内部独特的数据处理方式的需要。传统数据交换诞生在 七十年代，是与当时那种大型机的集中事务处理的环境相适应的，随着时 间的发展和环境的变化，己经越来越不能适应现代商务发展的需要，因此 也就必然会逐渐被新型数据交换方式所取代。 2 w e b 数据交换 随着互联网的迅速普及，出现了利用廉价的互联网代替昂贵的专用网 络进行电子数据传输的新型数据交换方式- - w e b 数据交换【32 。在w e b 数据交 换中，w e b 是数据交换消息的接口。典型情况下，由较大的公司针对每个数 据交换信息开发或购买相应的w e b 窗体，然后把他们放在w e b 站点上，此时， 窗体就成为了数据交换系统的接口。较大公司的合作伙伴( 一般为较小的 公司) ，登录至u w e b 站点上，选择他们所感兴趣的窗体，填写后并提交给w e b 服务器，服务器端程序将把这些窗体变成通常的数据交换消息，此后消息 的处理就与传统的数据交换消息处理一样了。很明显，这种解决方案对中 小企业来说是负担得起的，只需要一个浏览器和i n t e r n e t 连接就可完成， 数据交换软件和映像的费用则花在服务器端。由于数据的传输路径是w e b 服务器一一一浏览器或者浏览器一一w e b 服务器一一浏览器，数据是最后发 布在浏览器上，供人们阅读和理解，侧重于信息对人的可理解性，因此数 据表现被提到一个重要的地位，数据的结构化显得较为次要一些，资料显 示的载体h t m l 语言是一种固定格式的语言，难以扩展，不能满足电子商务 第二章l d a p 与数据交换 内容和活动发展而带来的多类型数据处理的需要。 3 基于x m l 的i n t e r n e t 数据交换 可扩展标记语言x m l 的产生引发了互联网的一次革命，在数据交换领域 则出现了基于x m l 的i n t e r n e t 数据交换【 j 。x m l 是可扩展的的标记语言，它 提供了一个标准，利用这个标准，人们可以根据商务活动的需要用x m l 来描 述类型多样而数据种类复杂的商业信息并交换，对基于i n t e r n e t 的商业数 据交换具有更强的实用意义。当今的计算机世界中，