（计算机系统结构专业论文）web服务管理工具的设计与实现.pdf

上海大学硕上学位论文 摘要 网格技术发源于科学研究领域，主要通过计算资源协同、数据资源协同及 信息资源协同，构建网格虚拟环境，解决科学计算中的各种问题。随着网格技 术与w e b 服务技术的融合，网格上的资源协同演变为符合标准规范的服务协同。 当前基于w e b 服务技术构建网格日益引起计算机研究者的重视，且在某些领域 已经得以实现。 本文主要围绕作者在上海市科委交通信息服务网格项目中的实际工作展开 论述。交通信息服务网格作为以w e b 服务技术构建网格的项目之一，w e b 服务 的协调和管理是其中的重要部分。本文在学习和研究w e b 服务技术和网格技术 的基础上，通过协调w e b 服务实现交通信息服务网格环境。 本文针对项目的需求和实施环境，设计了w e b 服务管理框架，并对框架内 机器监测、服务部署和访问控制三个模块进行了详细设计和实现。在监测模块 中，不仅对机器的资源状况进行了监测，也对机器上部署的服务进行了监测。 通过这两方面的监测，实时掌握整个网格环境的运行情况，为服务的调度和部 署提供基础。在服务的部署模块中，提供远程部署功能，可以根据项目实际运 行需求和当前结点机器资源状况，把功能程序部署为某机器上的服务。基于安 全性考虑，在w e b 服务管理框架中实现了基本的访问控制功能，保证对服务安 全有效的访问。本文以项目中访问控制模块的开发为契机，研究了保证访问控 制策略有效性的验证方法，并在此基础上使用基于角色的访问控制模型实现了 访问控制功能。 关键词：w e b 服务，网格，监测，部署，访问控制 v 上海大学硕士学位论文 a b s t r a c t g r i dt e c h n o l o g i e s ，w h i c ho r i g i n a t ef r o mt h es c i e n t i f i cr e s e a r c hf i e l d ，a i mt o s o l v et h ec o m p u t i n gp r o b l e m st h r o u g ht h ec o o p e r a t i o no fc o m p u t i n gr e s o u r c e s ，d a t a a n di n f o r m a t i o nr e s o u r c e s a l o n gw i t ht h ei n t e g r a t i o no fg r i dt e c h n o l o g i e sa n dw e b s e r v i c e s ，t h ec o o p e r a t i o no f r e s o u r c e si se v o l v e di n t ot h ec o o p e r a t i o no f s e r v i c e s ，a n d c o n s t r u c t i n gt h eg r i de n v i r o n m e n tb a s e do nw e bs e r v i c e sa t t r a c t sm o r ea n dm o r e a t t e n t i o n si nt h ec o m p u t i n gr e s e a r c hf i e l d t l l i sp a p e ri sm a i n l ya b o u to u rw o r ki nt h et r a f f i c i n f o r m a t i o ns e r v i c eg a d p r o j e c to fs h a n g h a im u n i c i p a lc o m m i t t e eo fs c i e n c ea n dt e c h n o l o g y , w h i c hb u i l d s ag a db a s e do nt h ew e bs e r v i c e st e c h n o l o g i e s i nt h i sp a p e r , a f i e rt h ec o m p a r i s o no f t h ec h a r a c t e r i s t i c so fw e bs e l w i c e sa n dg r i d s ，t h ew e bs e r v i c em a n a g e m e n t f r a m e w o r ki sd e s i g n e da n di m p l e m e n t e d c o n s i d e r i n gt h en e e d sa n de n v i r o n m e n to f t h ep r o j e c t , w ed e s i g nt h ef r a m e w o r k o fw e bs e r v i c em a n a g e m e n ta n dt h e no f f e rd e t a i l e dd e s i g na n di m p l e m e n t a t i o no f s u c ht h r e em a i nm o d u l e si n t h i sf r a m e w o r ka st h em o n i t o rm o d u l e ，t h ed e p l o y i n g m o d u l ea n dt h ea c c e s sc o n t r o lm o d u l e i nt h em o n i t o rm o d u l e ，b o t ht h er e s o u r c e s a n ds e r v i c e si nt h ec o m p u t e r sa l em o n i t o r e d t h r o u 班g a t h e r i n gt h em o n i t o r i n g i n f o r m a t i o n ，t h es i t u a t i o no ft h er u n n i n ge n v i r o n m e n ti sf o r m e d ，w h i c h i su s e f u lf o r s e r v i c ed e p l o y m e n ta n ds c h e d u l i n g n ed e p l o y i n gm o d u l ep r o v i d e st h eu t i l i t yf o r w r a p p i n gap r o g r a mi n t oaw e bs e r v i c eo nar e m o t ec o m p u t e r t h ea c c e s sc o n t r o l m o d u l ec h e c k st h ee x t e r n a li n v o c a t i o n so ft h es e r v i c e sa n dg u a r a n t e e st h es a f e t yo f t h ee n v i r o n m e n t b a s e do nt h ev e r i f i c a t i o no ft h ea c c e s sc o n t r o lp o l i c i e s ，t h er o l e b a s e da c c e s sc o m r o lm o d e li sa d o p t e di nt h ei m p l e m e n t a t i o no ft h i sm o d u l ct o p r o c e s st h ee x t e r n a la c c e s s e s k e y w o r d s ：w e bs e r v i c e s ，g r i d ，m o n i t o r , d e p l o y , a c c e s s c o n t r o l v l 上海大学硕上学位论文 原创性声明 本人声明：所呈交的论文是本人在导师指导下进行的研究工作。 除了文中特别加以标注和致谢的地方外，论文中不包含其他人已发 表或撰写过的研究成果。参与同一工作的其他同志对本研究所做的 任何贡献均已在论文中作了明确的说明并表示了谢意。 签名：拳孳_ 5 k日 本论文使用授权说明 本人完全了解上海大学有关保留、使用学位论文的规定，即： 学校有权保留论文及送交论文复印件，允许论文被查阅和借阅；学 校可以公布论文的全部或部分内容。 ( 保密的论文在解密后应遵守此规定) 、 签名：帮j 导师签名： i i 上海大学硕士学位论文 第一章绪论 1 1 课题研究的目的和意义 w e b 服务技术基于一系列标准协议，如s o a p 协议，w s d l 协议等等，实 现网络中应用程序之间的交互。由于基础协议的统一性、平台无关性，不同的 系统、不同开发语言编制的程序可以通过w e b 服务进行交互。凭借w e b 服务在 通用性上的优势，其在商业、科研等各个领域得到越来越广泛的应用。 对w e b 服务的管理，可以保证服务质量、方便服务的部署、提供安全的 w e b 服务访问，保证整个w e b 服务调用流程的顺利进行，这对利用w e b 服务 技术进行应用程序间的协调具有十分重大的意义。w e b 服务的管理可以应用于 一个单位或组织对内部不同部门的w e b 服务的管理，协调各部门的工作，对外 提供统一的高质量w e b 服务接口。w e b 服务的管理也可以应用于一个单位构建 集群服务器，监控各个集群结点的运行情况，把服务部署到不同的结点上去， 平衡各个结点的负载，缩短服务的响应时间，提高系统的容错能力。 对w e b 服务管理的研究，有利于通过标准的规范和协议构建网格环境，提 供协同计算能力。网格技术来源于高性能计算这一科研领域，目标是实现网络 上资源的广泛共享和充分利用。随着网络上越来越多的系统提供w e b 服务接口， 基于w e b 服务构建网格是技术发展的趋势。在网格环境下，通过服务的管理和 协调，可以实现资源的交互利用u , x j 。 基于w e b 服务构建网格环境，屏蔽了网格中底层资源的异构性，可以通过 标准的协议实现服务之间的协同运行，方便了资源共享和程序协调。考虑到w e b 服务技术应用的广泛性，基于w e b 服务构建的网格拓展了网格技术的应用范围， 有利于实现基于i n t e m e t 的广泛的充分的资源共享。同时利用w e b 服务构建网 格，可以根据网格技术在处理资源分布性、动态性等方面的规范和实践，探讨 网格技术在w e b 服务协调和管理中的借鉴意义。 1 2 国内外研究概况 1 2 1 国外研究概况 国外一些大软件厂商纷纷推出了w e b 服务管理器，如微软公司的i i s 服务 上海大学硕士学位论文 器和i b m 公司的w e b s p h e r e 服务器都提供w e b 服务管理支持，o r a c l e 公司也 开发了自己的w e b 服务管理器。这些商用w e b 服务管理器一般是在原有w e b 服务器基础上新增w e b 服务容器功能，提供服务的部署、查询、服务访问的监 测及安全等功能。然而由于商用w e b 服务管理器版权私有、源代码不公开等条 件限制了在原有管理器基础上的软件模块开发，使得其无法应用于实现资源广 泛共享和协调的网格项目中。 在网格研究领域，g l o b u s 组织1 3 j 开发实现了网格工具包( g l o b u st o o l k i t ， g t ) ，对网格技术的发展起了巨大作用。2 0 0 4 年1 月，g 1 0 b u s 组织联合i b m 、 惠普等公司公布了w 曲服务资源框架( w 曲s e r v i c er e s o u r c ef r a m e w o r k ， w s r f ) 1 4 1 。w s r f 规范在充分利用w e b 服务技术的基础上，提出网格服务的 概念，即有状态的w e b 服务，网格技术与w e b 服务技术实现了融合。实现w s r f 规范的工具包g t 4 总体框架【副如下： 画画画l 团圆圆 图1 1 g t 4 中的组件 从图中可以看出工具包中许多关键性功能，如资源定位和管理( g r i d r e s o u r c ea l l o c a t i o na n dm a n a g e m e n t ，g r a m ) ，可靠文件传输( r e l i a b l ef i l e t r a n s f e r ，r f t ) ，委托( d e l e g a t i o n ) 等，都已封装为服务的形式。 1 2 2 国内研究概况 w e b 服务也引起了国内各太芋位和企业的重视，许多企业开始用w e b 服务 封装原有业务流程，基于面向服务的体系架构( s e r v i c eo r i e n t e da r c h i t e c t u r e ， s o a ) 1 6 1 重组企业i t 基础平台。在s o a 架构下，企业业务流程通过在功能模 2 上海大学硕士学位论文 块之间以w e b 服务的形式进行交互实现，这与网格建立在各个结点资源之间以 服务的形式进行协同的基础上十分相似，两者都采用s o a p 协议进行消息传输。 但网格同时具有海量数据的传输、高性能计算的调度等特点，与商用的业务集 成又有所不同。 网格技术在国内引起了有关政府部门和科研院校的高度重视，实施了多个 重大网格项目。受国家8 6 3 计划重大专项支持的中国国家网格1 7 1 ，装备了自主 研制的面向网格的高性能计算机( 联想深腾6 8 0 0 、曙光4 0 0 0 a ) ，把几大省市 和地区的8 个结点联合构成了开放的网格环境，通过自主开发的网格软件，支 撑网格环境的运行和应用网格的开发建设。另外还有中国教育科研网格等全国 性网格项目。同时各大城市和地区也开始搭建区域性的网格环境，如上海高校 网格，上海交通信息服务网格等等。 上海交通信息服务网格主要根据交通系统与网格都具有分布性、异构性、 动态性、自治性、协同性等特征，利用网格来解决城市交通问题。交通信息网 格通过网格技术协调各个交通职能和实施部门以及网点的设施，整合公交车、 出租车的动态位置数据，提供实时路况判断，交通决策、交通仿真和预测等各 项交通服务。 依靠国家和政府的支持和投入，我国不仅在网格项目的实施中取得了较大 的成果，而且在网格研究领域，也有很多专家和学者对于网格技术从理论和实 践各个层面展开了研究，例如网格资源的监测、网格基础结构的实施、网格任 务的调度、网格服务和资源的查找等等。些研究者根据w 曲服务和网格技术 目标的相似性和技术的相通性，从两者结合的角度展开讨论，深入分析了w e b 服务技术在构建网格环境中的应用【i 捌。 1 3 论文的主要研究内容 本文以作者在上海市科委项目“基于网格技术的交通信息服务系统及其关 键技术研究”中的工作为基础，通过w e b 服务管理工具的研发，为应用程序的 运行提供便利的运算环境。本文对w e b 服务管理工具分为机器监测、服务部署 和访问控制三个模块进行详细设计和实现： 1 在监测模块中，监测了机器的资源状况( 如c p u 负载，内存占用率等) 和机器上服务的调用信息。通过对这两方面监测信息的汇总分析，实时 掌握整个网格环境的运行情况，为服务的调度和部署提供了基础。 2 在服务的部署模块中，利用服务容器的功能支持，提供远程部署功能， 可以根据项目实际运行需求和监测到的结点机器资源状况，把功能程序 3 上海大学硕士学位论文 部署为某机器上的服务。 3 为了保证对服务安全有效的访问，设计开发了访问控制功能模块。采用 标准规范语言描述访问控制策略，并实施了保证策略有效性的验证功 能，在此基础上使用基于角色的访问控制模型实现了访问控制功能。 1 4 论文的组织结构 第二章简要介绍了w e b 服务与网格在监测、部署和安全三个方面的相关技 术：第三章对w e b 服务管理工具软件进行了设计，介绍了各模块的功能以及它 们之间的交互过程和工作原理；第四章论述了工具中监测模块和部署模块的实 现；第五章在研究访问控制描述语言和基于角色的访问控制模型的基础上，实 现了管理工具中的访问控制模块；最后第六章总结全文。 4 上海大学硕士学位论文 第二章相关技术介绍 2 1w e b 服务与网格技术 w e b 服务技术是一套关于分布式环境下，软件协作的规范体系。一个w e b 服务是一个规范接口的分布式应用程序。在w e b 服务技术提出之前，商业领域 有许多分布式技术，如j a v a r m i ，c o r b a 等，相比之下w e b 服务最明显的优 势是其基于规范的标准化协议，得到广大软件厂商的支持。从w e b 服务发展历 史来看，正是由于各个软件厂商各自的分部式技术体系无法相互交流，不能满 足商业应用中各个企业业务合作的发展需求，为了统一各个应用系统的交互， 各个软件厂商相互协商妥协达成协议，并提交网络协议规范部门审议通过，从 而形成w e b 服务规范体系。目前w e b 服务的协议结构【5 】如下： p r o c e s s ( u d d l 王 臀 d e s c r i p t i o n ( w s d l )暑 曼 嚆 鼋m e s s a g i n g ( s o a p4 - e x t e n s i o n s ) 意 t r a n s p o r t ( h 1 1 r p 。s m t p ，) 暑 图2 1 w e b 服务协议图 此协议结构显示了w e b 服务消息传输、接口描述、服务发现等相关协议及 其相互关系。w e b 服务使用者和w e b 服务提供者基于这些协议建立联系，进行 通信【8 1 。w e b 服务相关参与主体的协作图如下： 图2 2w e b 服务相关主体协作图 w e b 服务使用者无需安装特定的客户端软件，因为服务接口的调用和返回 基于s o a p 协议，使用者只需组合和解析s o a p 格式的信息即可。由于基于统 一规范的协议，客户端的实施具有一定的通用性，客户端无需为调用不同组织 或不同实现方式的w e b 服务而改变。s o a p 协议方便了使用者和提供者之间的 交互。w e b 服务提供者只需保证本地服务的正常运行即可。服务使用者与提供 上海大学硕上学位论文 者直接的绑定通过第三方的注册中心实现。 网格通过协调网络上分散的资源，构成虚拟组织，实现资源共享和问题的 解决。网格的概念来自于科学计算领域中，实现网格的典型工具包，如g l o b u s ， 也是从分布式高性能计算项目发展而来，并且以当前影响较大的网格项目看， 网格环境中的主要成员也大多是政府部门和科研院校，所以说网格带有较为明 显的学术科研特征。网格的层次图示【9 l 如下： 幽2 3 网格层次图 网格正是通过对网络上分散资源的协同管理，提供统一的网格环境。用户 对网格的使用流程如下： 1 用户在本地计算机上安装相关网格客户端软件： 2 用户进行相关网格设置，如申请证书，请求权限等： 3 用户根据自己权限提交任务，使用网格资源。 与用户相对应的有资源加入网格的流程： 1 资源提供者在本地计算机上安装相关网格管理软件： 2 资源提供者进行相关网格设置，如权限设置。资源共享条件设置等； 3 本地计算机接受网格任务管理器分配的任务，进行处理。 当然这两个过程有时是统一在一起的，用户在加入网格，请求使用网格上 资源的同时，用户的计算机资源也成为网格资源的一部分。 网格作为网络环境中实现资源的动态管理和协调的虚拟组织，需要提供统 一的虚拟环境，协调和管理资源是其实现手段。通过把网格中的资源包装为服 务，便可以通过服务的管理实现网格环境。 2 2 监测技术 2 2 1w e b 服务监测模型 ， 近年来，w e b 服务技术在网络上的应用越来越广泛，很多单位和企业开始 6 上海大学硕士学位论文 使用w e b 服务技术构建电子应用平台，凭借其协议规范、语言无关的特点与合 作伙伴进行交流。w e b 服务的啊应的正常、及时、安全影响着整个业务流程的 运行，这一切需要为w e b 服务提供服务质量( q u a l i t yo f s e r v i c e ，q o s ) 保障。 对w e b 服务的监测正是获得w e b 服务q o s 信息，保证w e b 服务q o s 的必要环 节。 w e b 服务的q o s 涉及w e b 服务功能接口之外的许多特性，如可靠性、易 用性、稳定性、可扩展性、安全性以及时间特性等等。在文 1 0 】中作者将w e b 服务的q o s 特性归为三类：静态、动态和统计类。其中静态特性是只要w e b 服务不发生变动，它们的值也不会发生改变，它们完全依赖于w e b 服务本身， 如安全性。动态特性代表那些会随着某些环境的变动( 如网络通信情况) 而变 化的质量信息，这类q o s 特性包括服务可用性、网络可用性、执行时间等。统 计类特性是指那些其值来源于对w 曲服务执行情况的统计的特性。 对于q o s 信息的在w e b 服务使用流程中的作用和处理方式，文【1 1 】中做了 深入分析和研究，提出了考虑o o s 的w e b 服务使用框架( 见图2 4 ) 。 图2 4 包含q o s 信息的w e b 服务调用图 此框架对w e b 服务的使用框架进行了改进，增加了w e b 服务q o s 保证方 ( w e bs e r v i c eq o sc e r t i f i e r ) ，同时在服务注册中心( u d d ir e g i s t r y ) 增加了 q o s 信息。q o s 保证方作为w e b 服务协作中的第三方，通过与服务调用者和提 供者关于q o s 信息进行交互，保证了服务注册中心中q o s 信息的有效性。文 1 2 】 中，作者从w e b 服务请求者、w e b 服务提供商、q o s 第三方机构三方面考虑， 分析了各方对q o s 信息的不同需求和处理方法，提出了基于测量目的的w e b 服务的监测模型。 7 上海大学硕上学位论文 2 2 2 网格监测模型 全球网格论坛提出了网格性能监测框架( g r i dm o n i t o r i n ga r c h i t e c t u r e ， g m a ) 1 3 1 。在框架模型中，监测功能的实现主要通过三类实体：生产者、消费 者和目录服务组成。下面给出了趣三者的基本关系图： 翻2 5 网格性能监测图 生产者从分布的网格结点上收集性能数据，它与各类传感器交互，通常生 产者采取轮询的方式查询各个传感器，收集性能数据。另外一种交互方式为， 当传感器查觉到某个性能事件时，将通知生产者。生产者通过与目录服务进行 交互，注册自身接口或取消注肌生产者还应提供与消费者的交互接口，当消 费者与生产者建立连接时，生产者根据消费者的查询或订阅，不断向消费者发 送监测数据。 在性能监测模块里消费者的主要目的是获取性能数据，并对获取的性能数 据进行分析处理。消费者要与目录服务交互，查询可产生所需监测数据的生产 者，然后与生产者联系，查询和接受监测数据。当消费者不再需要监测数据时， 可与生产者结束数据通信，这种通信的结束也可由生产者发出。 目录服务发布可用的监测信息，以及提供数据生产者的联系方式和地址。 它的作用是定位、命名和描述网格中具有结构化特征的数据，让信息消费者发 现信息、理解可用信息的特性。生产者可以更新信息以反映系统状态。简单来 说，目录服务并不储存监测数据内容，它只提供数据的名称、特性和位置信息。 若想获得具体的数据，首先要通过目录服务找到该数据的生产者的静态信息， 比如主机地址等，然后再向该生产者发出请求获得相应数据。 可以看出g m a 借鉴了w e b 服务使用框架的结构，实现了各个模块间的松 散耦合。而w e b 服务监测模型仅在服务使用框架的基础上，添加了q o s 信息处 理第三方机构。下面我们比较一下两者的异同。 参与主体：w e b 服务监测模型中服务提供者、服务使用者、带q o s 信 息的u d d i 注册中心i l i 】与g m a 中的消费者、生产者、目录服务一一 对应，功能相近。w e b 服务监测模型中另外加入了q o s 信息保证主体， 8 上海大学硕七学位论文 用于验证o o s 信息的有效性。 监测对象：w e b 服务监测着重于w e b 服务的质量监测，如服务的相应 时间，服务的可靠性。网格监测更着重于各个网格结点的资源情况监 测，如c p u 主频、负载等信息。 监测方式：两者的监测最终都通过监测传感器实旋。w e b 服务监测可 以在服务端进行监测也可以在使用端进行监测，网格监测一般在生产 端进行，通过生产者收集本地系统或网络的传感器数据。 监测数据处理：w e b 服务使用者可以根据监测信息进行服务选择，w e b 服务提供者可以根据监测信息分析系统瓶颈，调整系统部署。网格中 同样可以根据监测数据调整系统部署，但是对系统的调整一般根据消 费者获取的监测信息，由专门的管理模块实现。 w 曲服务的监测模型中，服务使用者和提供者属于不同的组织；网格监测 模型中，消费者和生产者属于网格系统中的不同模块。本文通过在w e b 服务的 监测模型中引入网格监测的特点构建管理工具中的监测模块。 2 3 部署技术 2 3 1 传统w e b 程序部署 部署是程序安装和配置的过程，是程序正常运行的基础。w e b 程序的部署， 不仅包括程序的安装配置，还要求选择合适的机器结点运行适当的程序，以使 整个应用程序的效果达到最优。部署技术不仅影响软件的运行，对软件的架构 也有深远的影响。传统w e b 应用程序经过长期的发展改进，形成较为成熟的三 层部署框架( 见图2 6 ) 。 广 客户端 h t m l ，j a v a s e r i p t i 应用服务器 数据服务器c 三三三三至至到 圈2 6 w e b 程序框架 通过三层架构的分布式部署，达到w e b 程序的灵活运行。客户端负责w e b 程序的显示功能；应用服务器负责运行逻辑控制程序，属于功能层：数据库部 署在数据服务器上，为应用程序提供数据连接，实现了数据的集中管理和控制。 9 上海大学硕士学位论文 2 3 2w e b 服务部署 w e b 服务的部署，对应于服务端的应用部署 1 4 1 。目前计算机领域一些大的 服务软件提供商开发的w e b 服务器，都提供对w 曲服务的支持，通过服务器提 供的服务界面可以实现w e b 服务的部署【1 5 1 。对w e b 服务的部署不仅要考虑部 署的具体方式，而且要考虑其部署策略，即在哪些服务器上部署哪些服务。通 过合理的部署w e b 服务，可以高效的利用系统资源，提供高质量的w e b 服务。 部署完成了一个功能程序到w e b 服务的转化，涉及各个方面的配置。首先 需要配置w e b 服务到功能程序的映射，如服务名称到程序功能类的映射、服务 接口到程序函数的映射。其次，对于提供多种调用方式的服务容器，需要配置 w e b 服务的调用方式，如采用r p c e n e o d i n g 还是d o c u m e n t l i t e r a l 。然后，还要 配置w e b 服务的有效范围( s c o p e ) ，如每次请求创建一个服务对象还是为一个 会话( s e s s i o n ) 中的所有请求创建一个服务对象，这方面配置与传统w e b 应用 程序的配置类似。最后还要配置相关服务的安全机制，如设定访问控制模块和 日志模块，这方面配置也存在于传统w e b 应用程序的部署中。虽然配置的内容 基本相同。但是各个服务容器的w e b 服务的配置格式却不一样，服务的配置与 服务容器密切相关。 2 4 安全技术 w e b 服务使用之初，其安全性便引起人们的关注，并对w e b 服务传输信息 的加密、签名，服务访问的认证j 授权、审计等各个方面进行了研究。其中由 i b m 、m i c r o s o f t 和v e f i s i g n 等公司联合制定的w e b 服务安全( w e bs e r v i c e s s e c u r i t y ，w s s e c u r i t y ) 【1 6 】规范融合了多种安全模式、结构和技术，是面向w 曲 服务的安全标准之一。图2 7 显示了w s s e c u r i t y 规范的结构。 曰固围 图2 7w e b 服务安全性规范组合 l o 上海大学顾士学位论文 这组规范建立在s o a p 规范之上，包括一个w s s e c u r i t y 的消息安全性模 型、一个描述w e b 服务端点策略的w s p o l i c y 、一个w s t r u s t 信任模型和一个 隐私模型w s p r i v a c y 。在此基础上，可以跨多个信任域创建安全的、可互操作 的w e b 服务，还可以提供后继规范，例如安全会话( w s s e c u r e c o n v e r s a t i o n ) 、 联合信任( w s - f e d e r a t i o n ) 和授权( w s a u t h o r i z a t i o n ) 。w s s e c u r i t y 规范主要 是规定如何将现有的x m l 安全机制应用于s o a p 消息环境，例如，可以通过 s o a p 消息传输s a m l ( s e c u r i t ya s s e r t i o nm a r k u pl a n g u a g e ) i i7 l 令牌，然后通 过x a c m l ( e x t e n s i b l e a c c e s sc o n t r o lm a r k u pl a n g u a g e ) 【ls 1 根据令牌内容实现 访问控制处理功能。 在网格环境中，机器结点处于不同的地理空间和组织，为保证其相互之间 通信的保密性、完整性和防篡改功能，需要提供统一的网格安全基础设施( g r i d s e c u r i t yi n f r a s t r u c t u r e g s i ) 。网格工具包g t 的g s i 模块提供了一系列的安全服 务、安全程序接口和控制命令，支持网格环境中的安全认证，并为网格通信提 供保密性、完整性，及为网格用户提供单点登录和权限委托的能力。在基于g t 搭建的网格环境中，用户首先请求身份证书，获得证书后可以初始化自己的临 时代理( p r o x y ) ，由p r o x y 使用由用户证书生成的临时证书，完成作用的提交 和运行。g s i 广泛支持和兼容现有的安全技术，如x 5 0 9 证书，o p e n - s s h 等。 2 5 网格技术与w e b 服务技术的结合 网格作为在分布、异构的网络环境上构造的虚拟组织，w e b 服务作为一种 基于标准协议进行网络程序协调的分布式技术，w e b 服务技术在网格中的应用 有下面两种方式。 1 通过网格环境对外提供w e b 服务接口。具体图示如下： 图2 8 两格提供w e b 服务接1 2 1 这种方式下，网格可以采用各种技术进行构建，屏蔽网络上资源的分散性、 异构性，对网格的使用者提供统一的w e b 服务接口，如s o u t h a m p t o n 大学用 w e b 服务对c o n d o r 进行封装【1 9 1 。这方面的应用主要分为两种情况： 上海大学硕士学位论文 开始较早的分布式项目其实现并未采用w e b 服务技术，为了提高系统 的通用性，方便用户的使用，可以采用w e b 服务的方式包装网格的调 用接口。 由于网格系统对数据传输性能，内部信息保密性等方面的要求，而采 用特定的方式实现内部模块的协调，供外部访问接口则可以采用w e b 服务实现。如在g tt 具包中基础传输模块使用g r i d f t p 协议，而高 层的文件传输功能则提供了w e b 服务接口。 2 通过组合w e b 服务构建网格环境，具体图示如下： 图2 9 基于w e b 缀务构建网格 这种方式下，网格环境通过调用、协调网络上各个结点的w e b 服务进行构 建。由于各个结点提供的w e b 服务在功能上，q o s 的各方面特性上都可能存在 差异，所以对w e b 服务的管理、监测、部署是构建网格环境的关键。 这两种方式并非完全对立的，通常情况下两种方式是结合在一起的，即利 用w 曲服务技术构建网格环境，同时对外提供标准的服务接口。通过组合底层 的w e b 服务，可以提供抽象的高层服务接口，把电子商务中采用的服务组合、 服务流控制等技术应用于网格计算中，实现动态、异构资源的组合。本文正是 在结合两种方式的基础上，设计了w e b 服务管理工具。 2 6 小结 本章从监测、部署、访问控制三个方面对w e b 服务和网格技术进行了分析 讨论，归纳了监测技术在w e b 服务和网格应用的相似和不同之处，论述了w e b 服务部署的主要问题和内容，学习了w e b 服务和网格在安全方面的相关规范和 实现，最后从w e b 服务和网格技术相结合的角度提出通过管理w e b 服务构建网 格的方式。 上海大学硕士学位论文 第三章w e b 服务管理工具设计 本章从监测、部署、访问控制三个方面论述了w e b 服务管理工具软件的设 计。监测和部署功能需要服务结点和管理结点协同实现，访问控制模块仅在管 理结点上运行。 3 1 总体框架设计 3 1 1 系统环境和需求分析 在一个单位或组织内部，可以利用网络中的空闲结点资源和本地网络的带 宽构建小型分布式网格环境，提供协同的运算能力和信息处理能力。如果对于 各个空闲结点都独立进行服务的监测和部署，那么将不便于整个系统的管理， 难于在各个结点之间相互协调。为了支持各个结点的协同处理，提供统一的嗣 络运行管理平台，需要开发w e b 服务管理工具，提供分布式服务部署和监测功 能。此软件的运行环境涉及服务结点和管理结点两部分，服务结点用于提供运 算资源和w e b 服务，管理结点用于统一管理各个服务结点的运行( 见图3 1 ) 。 服务结点i服务结点2服务结点3 管理结点服务结点n ，图3 1 网络互联图 服务结点作为服务的提供者，是具体任务运行的主体。管理软件服务结点 部分主要完成管理结点命令的接收，本地资源和服务的管理工作。从服务结点 的分布性和多样性考虑，服务结点的功能程序应具有较好的可移植性和通用性。 同时，由于服务结点的作用是提供功能服务，所以要求服务结点的功能程序从 上海大学硕士学位论文 性能分析功能的角度上看，不应占用过多的系统资源。 管理结点是整个系统环境的协调者，负责查看和控制各个服务结点的运行， 是整个系统有效运行的关键。管理结点程序负责服务结点信息收集和处理，进 行服务部署和访问控制等功能，需要占用较多的结点机器资源。可采用网络内 单独一台结点机器作为管理结点。由于一般整个系统只配置一个管理结点，所 以对管理结点程序的移植性要求不高。 3 1 2 总体框架 服务管理工具包含监测、部署和访问控制三个部分，其中监测和部署的功 能通过管理结点和服务结点协可实现。管理软件的监测和部署功能的实现依赖 于管理端和服务端的相应模块之间的信息传输，需要选择合理的信息传输方式。 对于访问控制模块，仅在管理结点部署运行，保护通过管理结点程序对服务结 点的操控。服务管理工具的软件框架如下图： 图3 2 服务管理工具框架 服务管理工具分为管理端和服务端两部分。服务端程序运行于系统环境的 服务结点上，包含与管理端软件模块相互协调的监测模块和部署模块。 监测模块是系统监测信息的来源，包含对资源和服务的监测。资源信息包 括本地的c p u 、内存、硬盘和网络的各种部件的配置信息和使用情况。服务信 息可以通过记录该服务的运行时间、调用次数、通信及其它一些重要事件发生 的时间( 时刻) 和相关信息来表示。 部署模块是系统运行的基础和关键，通过本地的服务容器接口调用实现。 1 4 上海大学硕士学位论文 本地的部署模块与管理端的部署模块协同工作，解析部署命令，接收部署程序， 实现部署操作，且向管理端模块发送命令执行情况的反馈。 管理端程序运行于系统环境的管理结点上，包含用户界面模块、监测模块、 部署模块和访问控制模块。 监测模块通过收集各个服务结点的监铡数据，提供了整个系统环境的运行 状况信息，是管理端软件的基础模块。监测模块接收各服务结点发来的资源和 服务信息，从中解析处理监测数据，并把获得的数据以方便显示的格式传送给 用户界面模块。监测模块功能还包括存储监测信息，对监测信息进行分析处理， 以勾画出特定时间段内资源和服务的运行状况。监测信息为服务的部署、任务 的调度及系统故障分析提供了基础。 部署模块通过对各个服务结点发送部署命令和服务程序，实现w e b 服务的 远程管理和部署。服务的部署是服务调用的基础，系统的功能通过服务的运行 提供，服务的运行以部署为前提。部署模块不仅可以接受用户界面传来的部署 命令，向相应的服务结点发送部署信息，还需要根据监测信息合理的选择目标 服务结点进行部署。 访问控制模块用于保护对系统资源和服务的访问。访问控制模块根据系统 安全管理员制定的访问控制策略，授权对服务的合法访问，禁止非法的访问。 访问控制模块是系统的安全屏障，通过访问控制模块的实施保护了系统内各服 务结点的资源。 用户界面提供统一的管理窗口，用于查看和操作各个服务结点资源和服务。 用户界面应提供信息的显示视图和控制命令的输入窗口。用户界面的好坏是关 系一个应用系统是否能够被有效地使用的关键问题之一。 整个系统的数据传输见图3 3 。 部署程序命令 、- 、 ( 、管理结点卜面丽焉：一服务结点) 、一一、一 图3 3 服务管理数据流图 在整个系统内，管理结点向服务结点发送待部署程序和命令，服务结点向 监测结点传送本地监测数据。 上海大学硕士学位论文 3 2 监测模块设计 3 2 1 性能监测方法 服务结点上的监测模块实现了本地资源和服务的性能监测。性能监测是系 统性能分析的第一步，它通过采样、跟踪等方式将系统的性能数据记录下来， 作为性能分析的依据。性能监测方式主要有采样法和事件跟踪法两种。 1 采样法 按照一定的采样周期对所关心的系统性能数据进行记录。在采样时，为了 能够获取系统的性能变化，根据采样定理，采样频率至少是原数据变化频率的 二倍。这样，一个运行时间较长的应用程序将产生大量的性能数据。当采样频 率足够大时，根据所采集到的性能数据可以精确地重构应用程序性能变化的状 况。 2 事件跟踪法 根据系统事件触发跟踪机制，从而记录事件发生时刻( 同时也是系统状态 发生改变的时刻) 的系统性能参数。事件跟踪只记录了系统中重要事件发生的 时刻及相关的其它参数，其数据量少于采样法所获取的数据量。但由于只记录 了系统特定事件发生时的性能情况，事件跟踪机制对系统一般情况下( 无特定 事件发生时) 的系统性能以及其它未考虑到的事件对系统性能的影响无法记录， 从而在对系统性能描述的精度上低于采样法。 3 2 2 数据传输方法 对于监测数据的传输存在两种方法：推方法和拉方法。 采用推方法的情况下，服务结点上的监测进程不断把本地资源和服务 监测数据传送( 推) 给管理结点。 采用拉方法的情况下，管理结点的监测模块通过查询( 拉) ，获取服务 结点的监测数据。 在系统实施中，可以采用拉方法，从管理结点定期查询各个服务结点的情 况，并显示和存储查询结果；也可以采用推的方法，通过设定服务端软件发送 数据的条件，在服务结点资源或服务使用情况有较大变动时。发送监测数据， 这样可以减少数据发送次数，节约带宽。 1 6 上海大学顾上学位论文 3 2 3 服务端监测模块 服务端监测模块通过调用系统a p i 等方式，获取并记录系统的性能数据， 实现对于资源和服务的监测。根据监测对象的不同。服务端的监测模块分为资 源监测和服务监测两个子模块。对系统资源的监测主要通过调用操作系统的 a p i 实现，对服务的监测需要w e b 服务容器的支持。模块结构图如下： 图3 4 服务端监测模块 在资源传感器中使用采样法对硬件资源进行监测。在采样时，为了能够获 取资源全面的性能变化，采样频率至少需要是原数据变化频率的二倍。对于c p u 等高频器件来说，不可能达到这样的采样频率，只有通过频率较低的采样获取 c p u 占用的近似变化率。采样频率越高，对资源的变化测量的也就越精确，同 时监测传感器对本地资源的消耗也就越大。由于监测软件应该尽量少占用服务 结点的资源，使资源更多的用于任务计算，所以需要在资源监测精度和性能消 耗方面做出取舍。 对于服务的监测可采用事件跟踪方法。根据服务调用事件触发跟踪机制， 从而记录事件发生时刻的服务运行的相关参数。可访问的服务部署在服务容器 内，服务数据监测模块通过调用服务容器提供的接口，侦听服务请求的到达， 记录服务请求时间和服务返回时间，统计服务访问次数。服务传感器还需要在 本地保存服务运行数据，以备管理端的查询。 监测数据发送模块用于把服务端监测到的数据发送给管理端。发送模块收 到管理端发来的查询请求后，根据请求发送相应数据。监测数据发送模块不仅 要发送本地硬件资源的监测数据还要发送本地服务的数据。两种数据的发送 频率不同，发送接口也不相同。 上海大学硕士学位论文 3 2 4 管理端监测模块 管理端监测模块通过获取各个服务结点传来的监测数据，对数据进行图形 化显示，同时保存历史监测数据，以备将来查看。具体结构图如下： 图3 5 管理端监测模块 监测数据获取模块用于获取服务端监测模块发来的数据。此模块根据上层 调用向服务结点发送检测数据查询请求，获取各服务结点的监测数据。监测数 据获取模块与网络