（计算机软件与理论专业论文）网格portal安全技术研究.pdf

、l、。j f“彤照。掌、 j【l 用户策略保护资源，这种安全机制不能在网格环境中得到很好的应用。而随着网格用户 数目的同益增长，服务与资源呈现动态变化，对网格资源与服务的安全访问控制机制提 出新的挑战。如何实现门户资源与网格资源的统一，如何安全地管理网格p o e m 资源与 证书，如何对网格的底层资源做细粒度授权，如何向用户提供单一登录等功能，还没有 很好的方法来实现。主要原因是目f j 网格授权粒度较粗，无法保证对门户资源的安全访 问。 针对上述问题，本文首先研究了网格p o e m 的基本特征、体系结构和开发工具 ( g r i d s p h e r e 、j e t s p e e d 等) ，并深入分析了实现网格p o r t a l 安全的三大技术：代理技术、 认证技术和基于角色的访问控制技术。最后针对网格p o r t a l 的应用特点和问题，提出网 格p o r t a l 安全策略。用安全的m y p r o x y 保证入口和密钥的安全，用多约束动态访问控制 模型有效控制访问权限。此模型用户访问资源时按其行为和上下文环境等约束条件来调 整安全属性，合理管理门户资源，方便有效管理证书，对网格底层资源进行更细粒度的 授权，实现门户的单一登录功能。较好地解决了网格环境中因主体属性变化引起的访问 控制失效问题，弥补了因静态授权而可能引起的安全漏洞，更好地体现了“最小特权” 原则。 最后对校园网格p o e m 安全策略进行测试，实际运行证明了本文研究工作具有一定 的理论意义与实践价值。 关键词：网格p o e m ，p o r t l e t ，认证，代理，r b a c ，访问控制 - ，t a c 圮e s sc o n t r o lm e c h a n i s mo f 鲥dr e s o u r c e sa n ds e r v i c e s ，s u c ha sh o wt oa c h i e v et h eu n i t yo fp o r t a l r e s o u r c e sa n dg r i dr e s o u r c e s ，t h ee f f e c t i v em a n a g e m e n to fr e s o u r c e sa n ds e c u r i t yc e r t i f i c a t e so ng r i dp o r t a l s l a y e r , t h ef m e g r a i n e da u t h o r i z a t i o no ft h eu n d e r l y i n gg r i dr e s o u r c e s p r o v i d i n gr g c t s 谢t l is i n g l es i g n - o n f e a t u r e s t h e r ea r en og o o ds o l u t i o n s ，m a i n l yb e c a u s et h e r ei sac o a r s eg r a n u l a r i t yp r o b l e mi nt h eg r i d d e l e g a t i o na tp r e s e n t ，w h i c hc a nn o tg u a r a n t e et h es e c u r i t yo fa c c e s st ot h ep o r t a lr e s o u r c e s t os o l v et h ep r o b l e m s ，t h i sp a p e rs t u d i e st h eb a s i cc h a r a c t e r i s t i c s ，a r c h i t e c t u r e ，d e v e l o p m e n tt o o l s ( s u c ha sg r i d s p h e r ea n dj e t s p e d ) o fg r i dp o r t a l sf i r s t l y , t h e ng i v e sad e e pa n a l y s i so ft h r e et e c h n i q u e st o b r i n ga b o u tg r i dp o r t a ls e c u r i t y , n a m e l yt h ea g e n tt e c h n o l o g y , a u t h e n t i c a t i o nt e c h n o l o g ya n dr o l e - b a s e d a c c e s sc o n t r o lt e c h n o l o g y f i n a l l y , ag r i dp o r t a ls e c u r i t yp o l i c yi sp r o p o s e da c c o r d i n gt ot h ec h a r a c t e r i s t i c s a n dp r o b l e m sd u r i n gt h ea p p l i c a t i o no fg r i dp o r t a l m y p r o x yw i t l ls e c u r i t yi su s e dt og u a r a n t e et h es a f e t y o ft h ee n t r a n c ea n dk e y , a n dm u l t i - r e s t r i c t i o na c c e s sc o n t r o lm o d e li sa p p l i e dt oc o n t r o lt h ea c c e s s e f f e c t i v e l y e m p l o y i n gt h i sm o d e lc o u l da d j u s tt h es e c u r i t ya t t r i b u t e sa su s e r 8a c c e s sr e s o u r c e sa c c o r d i n gt o s o m ec o n s t r a i n t sl i k et h e i rb e h a v i o ra n dt h ec o n t e x t ，m a n a g ep o r t a lr e s o u r c e sa n dc e r t i f i c a t e sr e a s o n a b l y a n de f f e c t i v e l y , g i v eam o r ef m e - g r a i n e da u t h o r i z a t i o no nt h eu n d e r l y i n gg r i dr e s o u r c e s ，a n de n a b l et h e s i n g l es i g n - o nf u n c t i o n a l i t yo np o r t a l a sar e s u l t ，i tc a ns o l v eb e t t e rt h ea c c e s sc o n t r o lf a i l u r e sd u et ot h e c h a n g e so ft h em a i na t t r i b u t e si na 鲥de n v i r o n m e n t ，a d d r e s st h es e c u r i t yh o l e st h a tas t a t i ca u t h o r i t ym a y c a u s e ，a n ds h o w ”l e a s tp r i v i l e g e ”p r i n c i p l eb e t t e r e v e n t u a l l y , t h es e c u r i t yp o l i c yo fac a m p u sg r i dp o r t a li st e s t e d ，i tp r o v e st h a tt h er e s e a r c hw o r ki n t h i sp a p e rh a sc e r t a i nt h e o r e t i c a lm e a n i n ga n dp r a c t i c a lv a l u e i i i k e y w o r d s ：g r i dp o r t a l ，p o r t l e t ，a u t h e n t i c a t i o n ，p r o x y , r b a c ，a c c e s sc o n t r o l i v - i 目录 摘昙暮i a b s t r a c t ：i i i 目录v 第一章绪论l 1 1 研究背景。1 1 2 研究现状2 l 。3 本文主要工作5 1 4 结构和组织。5 第二章网格p o r t a l 技术7 2 1 网格p o r t a l 概述7 2 1 1 什么是网格p o r t a l 7 2 1 2p o r t l e t 8 2 1 ：；j a v as e r v l e t 和p o r t l e t 1 0 2 2 网格p o r t a l 的体系结构。1 1 2 3 网格p o r t a l 开发工具及安全性1 2 2 ：；1 g r i d s p h e r e 13 2 ：；2j e t s p e e d 1 4 2 3 3g r i d p o r t 16 2 3 4l i f e r a y 1 6 2 ：；5w e b s p h e r ep o r t a l 1 7 2 4 本章小结1 9 第三章网格p o r t a l 主要安全技术分析2 l 3 1 代理技术2 1 3 1 1x 5 0 9 证书2 1 3 1 2m y p r o x y 2 2 3 2 认证技术。2 3 3 2 1p k i 的基本要素2 3 v ：；2 2s s l 2 4 3 2 3c a s 2 5 3 3r b a c 技术2 6 3 3 1 传统访问控制技术2 6 3 3 2r b a c 2 6 3 4 本章小结2 7 第四章网格p o r t a l 安全策略2 9 4 1 基于代理的网格p o r t a l 认证策略2 9 4 1 1 动态口令保护p o r t a l 2 9 4 1 2 基于硬件的私钥安全存储3 0 4 1 3m y p r o x y 系统实现框架3 0 4 2 多约束动态访问控制策略3 2 4 2 1 模型组成3 3 4 2 2 域内模型的定义3 4 4 2 3 域间的动态角色映射3 5 4 2 4 基于上下文的动态安全引擎。3 6 4 2 5m r a c 实施流程3 7 4 2 6 测试结果分析3 8 4 2 7m r a c 可行性分析3 9 4 3 本章小结3 9 第五章总结与展望4 1 参考文献4 3 致谢4 7 攻读学位期间的科研成果一4 9 独创性声明51 关于论文使用授权的说明。5 1 v i 第一章绪论 i i 研究背景 第一章绪论 2 0 世纪9 0 年代中期，有学者提出了网格【1 】的概念。从本质上来说，网格是一种网络 计算。一般认为，网络计算指的是把网络连接起来的各种自治资源和系统组合起来，以 实现资源共享、协同工作和联合计算，为各种用户提供基于网络的各类综合性服务。网 格是一种新技术，构成其集成结构的实际焦点和核心组成仍在研究中。网格把不相同的、 分布式的各种软件和硬件资源组合起来，为科学和工程技术人员提供统一的计算环境， 来解决数据和集中计算问题。科技工作者针对网格体系结构、核心服务、应用、编程、 中间件、底层支撑等各项技术进行多项研究，目前已获得很多成果，为网格技术的发展 奠定稳固的基石。 不过，网格技术不易掌握，相当复杂。于是，网格p o r t a l 应运而生，为网格铺砌了 一条便道。网格p o r t a l 提供了对网格资源的一致访问。譬如，网格p o r t a l 提供网格资源 认证、远程资源访问、调度能力及对状态信息的监控。通过提供定制和个性化的图形界 面，此类门户帮用户减小了任务管理的复杂度。同时也降低了对终端用户的要求，他们 只要知道网格资源管理的一些特殊细节即可，而不需掌握更多领域的知识。网格p o r t a l 能把终端用户从复杂的作业管理和资源配置工作中解放出来，使他们能把更多精力集中 于自己的专业领域。 广义上讲，网格p o r t a l 发展经历了两代。第一代和网格中间件紧密耦合( 如g l o b u s ) ， 具有缺乏定制、静态网格服务等诸多局限性。为克服这些局限性，第二代网格p o r t a l 使 用p o r t l e t 2 】技术构建网格p o r t a l 。在网格p o r t a l 中，p o r t l e t 组件不单单是个能插入到门户 的常规p o r t l e t 组件，还与后台网格服务关联起来，构成了网格p o r t l e t 组件。第二代网 格p o r t a l 是基于标准的，尤其是j s r1 6 8 已得到网格p o r t a l 开发人员的广泛采用。j s r1 6 8 与w s r pv i 0 用以解决门户和p o r t l e t 开发及部署中的互操作性问题。另外，第二代网 格p o r t a l 还担当服务客户机的角色，以适应当今面向服务的架构( s o a ) 3 1 。 网格p o r t a l 关键技术应用研究是河南省科技攻关项目。该项目研究网格p o r t a l 系统， 分析网格p o r t a l 涉及的关键技术，探讨网格p o r t a l 的开发方法，提出网格p o r t a l 应用框 网格p o r t a l 安全技术研究 架，构建校园网格信息门户和基于网格p o r t a l 的应用系统。为了有机地聚集校园中高性 能计算中心的稀有资源，校园网格p o r t a l 通过w e b 门户在其上层搭建一个统一平台来供 校园网用户安全方便地使用。校园用户众多，因而如何安全、便利地向合法用户提供来 自高性能计算中心的资源，已经成为校园网格p o r t a l 的核心问题。在用户看来，健全的 安全管理机制必不可少。当前的安全管理体制消除了一些安全隐患，例如，门户层上资 源采用基于角色的访问控制( r o l eb a s e da c c e s sc o n t r o l ，r b a c ) 机制；在网格底层使 用网格安全基础设施( g r i ds e c u r i t yi n f r a s t r u c t u r e ，g s i ) 机制【4 】；在授权方面采用g f i d m a p 映射机制。然而，随着网格用户数目的同益增长，服务与资源呈现动态变化，对这些网 格资源与服务的安全访问控制机制提出了新挑战： ( 1 ) 门户资源与网格资源的统一：要实现有效的安全访问控制，既要管理门户资源 供合法用户使用，还要管理网格底层资源对用户的访问，统一协调安全管理机制是个难 点。 ( 2 ) 门户的单一登录：用户成功登录校园网格p o r t a l 时，可以从门户访问任何网格 与门户资源。访问多个网格资源时，门户用代理证书【5 】代表用户进行认证和访问。 ( 3 ) 证书管理：网格资源底层使用g s i 机制，涉及到身份鉴别，因而需生成用户证 书，让证书代表用户进行鉴别。代理证书的生成、签发等比较繁琐，而且易暴露证书， 因而必须安全有效地管理证书。 ( 4 ) 网格底层资源细粒度授权：当前，为了实现对网格用户的授权，g l o b u s 的g s i 授权机制用g r i d m a p 映射到本地用户，粒度较粗，给系统埋下了安全隐患。 针对上述网格p o r t a l 所面临的安全挑战，需要建立一个门户安全系统，合理管理门 户资源，方便有效地管理证书，对网格底层资源进行更细粒度的授权，实现门户的单一 登录功能。为此，本课题进行了网格p o r t a l 安全技术的研究。 1 2 研究现状 被称为下一代互联网的网格受到各界重视。美军正致力于建设“全球信息网格 ( g l o b a li n f o r m a t i o ng r i d ，g i g ) ，计划将美军在全球范围内的计算机网、传感器网和 器平台网联为一体，实现从传感器到射手、从总统府到散兵坑的“无缝信息链接。g 是网格技术在美军推行其在全球利益过程中的一个具体应用，是美军“全球信息，全 获取”思想的具体体现。英国政府已投资1 亿英镑，用来研制“英国国家网格”。2 0 0 8 2 第一章绪论 9 月，欧洲核子研究中心启动“全球l h c 计算网格”，旨在对分布在全世界数以百计的 数据中心的成千上力的计算机进行整合，形成一个全球化的计算资源，对l h c 所收集 的海量数据进行存储和分析。据估计l h c 每年将产生1 5 0 0 万g 的数据。这个庞大的运 算网总共包括了全球3 3 个国家和地区的1 4 0 多个计算中心，有7 0 0 0 多名科研工作者参 与。 学术界热心研究网格时，信息产业界的大公司( 如微软、s u n 、i b m 等) 也纷纷提 出了与网格目的相同的研究开发计划，均支持x m l 、s o a p 、u d d i 等万维网标准，更 利于开发万维网服务，旨在聚集因特网上的信息资源，组合成企业和消费者所需要的服 务。微软是用c # 语言与其n e t 计划实现万维网服务；s u n 用开放网络环境( o p e n n e t w o r k e n v i r o n m e n t ，s u no n e ) 计划和j a v a 平台来实现，于2 0 0 0 年9 月公布其网格引擎软件； i b m 用其w e b s p h e r e 平台和中间件进行实现，在2 0 0 7 年宣布投资4 0 亿美元启动“网格 计算创新计划”。 国际上主要以公开合作、开放源码的模式来研究网格。全球网格论坛( g l o b a lg r i d f o n m a g g f ) 是现在主要的合作组织。当前重大的研究计划有欧洲网格计划、g l o b u s 、 l e g i o n 、信息动力网格等。 。 在国内，中科院计算所已较深入地研究了网格，在用国际先进技术的同时，还坚持 创新。织女星网格( v e g ag r i d ) 是中科院计算所的网格研究项目，旨在具备以下几种能 力：大规模的数据处理能力、高性能计算能力、资源共享和提高资源利用率的能力。与 国内外其它网格研究项目相比，“织女星网格”的最大特点是“服务网格”( s e r v i c eg r i d ) 的概念。2 0 0 7 年国家“十一五8 6 3 计划重大项目“高效能计算机及网格服务环境 正 式启动。 我国的科研、经济与社会发展均需要网格，只是说法不同。譬如，船舶、航空、汽 车行业里叫“广域虚拟设计环境”，银行界里叫“业务集中”，电子政务与电子商务里叫“协 同工作”和“资源共享”，资源环境领域叫“单一数据源”。这些业务都感到目前的互联网技 术已不够用，非常需要信息网格。 不过，网格环境日益复杂、获取多资源麻烦、非专业人员缺乏网格技术等问题不断 显露，大大地限制了网格技术的推广。因而，网格p o r t a l 的构建成为网格发展的必走之 路。 目前，众多国内外大型网格项目已认识到建立网格p o r t a l 的重要性，纷纷创建了符 网格p o r t a l 安全技术研究 合其需求的网格p o r t a l ，来解决单纯网格服务所带来的局限性问题，赋予网格p o r t a l 研 究重大意义。比较突出的开源p o r t a l 主要有j b o s sp o r t a l 、a p a c h ej e t s p e e t 2 和l i f e r a y p o r t a l ，还有两个属于欧洲的非美产品g r i d s p h e r e 与x op l a t f o r m 受到好评。主要的典型 网格p o r t a l 为美国的天体物理仿真合作实验室门户和分布式海洋环境预报系统门户、我 国的生物信息学网格p o r t a l 及英国的h p c 网格服务p o r t a l 等。 中国科技大学自2 0 0 2 年起从事网格p o r t a l 的研究及开发，先后开发了基于g t 2 、g t 3 、 v e g a 的网格p o r t a l ，在p o r t a l 中部署了一些生物与化学计算应用，抽出原有网格p o r t a l 中较通用的功能，形成u - p o r t a l ，u p o r t a l 系统基于c n g r i d 的v e g a 系统及开源的j e t s p e e d 项目，其p o r t l e t 技术可适应网格中不断变化的资源和服务需求，展现了快速构建网格应 用系统的方法。 大学数字博物馆网格分别在北京航空航天大学、山东大学、南京大学、昆明理工大 学等部署了相关节点。用户可登录大学数字博物馆网格p o r t a l ，定制所需服务。 现在大都为特定网格项目需求开发网格p o r t a l ，可重用性低。没能充分使用p o r t l e t 技术，损害了p o r t l e t 组件乃至整个网格p o r t a l 系统的可扩展性和可维护性【6 】。开放程度 的提高会使系统更易受到攻击。作为一个公共网络，i n t o n e t 开放性和异构性极大，在 i n t e r n e t 上运行时，网格作业要面临各类安全威胁，例如，数据被截、冒充合法用户或 服务器、信息内容被改或删除等。成熟的公钥密码学使公钥基础设施( p u b l i ck e y i n f r a s t r u c t u r e ，p k i ) 成为网格安全的基石，而网格的复杂性使之对安全有特别需求。 为保证安全，g l o b u s 采用g s i 与安全编程接口g s s a p i ，而l e g i o n 项目用面向对 象的方法。然而，二者都有明显的不足。第一，在网格环境下，当前网格p o r t a l 标准还 未成形，只用g s i 无法满足系统需求。第二，g s i 本身有问题。跨域认证时，g s i 用基 于k e r b e r o s 与x 5 0 9 证书的机制，并用认证中。t 1 , ( c e r t i f i c a t i o na u t h o r i t y ，c a ) 为仲裁。 而刚开始设计c a 时没考虑网格新要求。当网格发展到一定程度，原来的c a 组织方式 必有瓶颈。第三，单点登录时，还是基于传统的用户名密码机制，而网格的大规模协作 使攻破单一密钥机制的耗时大幅减少。 传统的安全机制都针对孤立系统，而网格中一个用户的事务处理常常涉及若干个动 态的网格节点。此外，与传统的i n t c r n c t 不一样，网格会向外部用户提供极大程度的访 问权限，致使安全隐患大大增加。 4 i 1 3 三种 机制 ( 3 ) 针对当前门户技术所存在的问题，提出网格p o r t a l 安全策略。用安全的m y p r o x y 保证入口和密钥的安全。针对网格p o r t a l 的应用特点，提出多约束访问控制模型，此模 型能在用户访问资源时根据其行为和上下文环境等约束条件来调整其安全属性，可较好 地解决网格环境中由于主体属性变化所引起的访问控制失效问题，解决普通访问控制策 略因用静态授权而可能引起的安全漏洞，更好地展现“最小特权”原则的网格环境动态 特征，这也是本文的创新点。 - 1 4 结构和组织 本文共分五章，以下各章的主要内容如下： 第二章，网格p o r t a l 技术。阐述网格p o r t a l 的概念、分类、架构、p o r t l e t 机制，分 别介绍几种网格p o r t a l 开发工具及安全性。 第三章，网格p o r t a l 主要安全技术分析。分析了网格p o r t a l 三大主要的安全技术： 代理技术、认证技术和r b a c 技术系统，点明其优点与不足。 第四章，网格p o r t a l 安全策略。首先提出基于代理的网格p o r t a l 认证策略，在分析 动态口令保护门户与硬件安全存储私钥的基础上，用安全的m y p r o x y 保证入口和密钥的 安全。接着提出多约束动态访问控制策略，阐明其模型组成、定义等，最后说明实施流 程，进行测试，并对结果进行了分析。 第五章，总结了主要研究的内容，分析了网格p o r t a l 安全领域研究的热点和研究方 向，提出下一步要做到的工作及研究计划。 5 第二章网格p o r t a l 技术 第二章网格p o r t a l 技术 随着w e b 应用的发展，人们对信息化建设不断地提出了新的更高的要求，p o r t a l 和 p o r t l e t 技术应运而生。作为一种w e b 技术，它向用户供应基于w e b 方式的集中的信息 和资源接入，拥有不断完善的规范，受到开源社区和商业公司的支持。 2 1 网格p o r t a l 概述 2 1 1 什么是网格p o r t a l 作为信息平台，p o r t a l 是个基于w e b 的应用程序，整合源自不同地方的各类资源， 将其集中展现给用户忉。一般，它有三个主要特点：单点登录、个性化和内容聚合。单 点登录是指用户只需登录p o r t a l 服务器一次就能访问所有应用【8 1 。p o r t a l 内容聚合的特 点是它能汇聚各类p o r t l e t 应用所生成的内容。 网格的一些特点决定了门户的出现。第一，网格的构成环境很复杂，涉及安全体制、 任务调度、服务质量、网络协议等诸多因素；第二，任务的执行环境复杂善变，譬如执 行网格作业时，用户可能要访问不同的分布式资源、不同的操作系统和网格中间件；第 三，网格的最终用户通常不是网格专家，不知道网格相关的内容，例如怎样设计和实现 网格，他们只要知道有效使用网格的方法就行了。于是，开发出各种的服务与门户，网 格p o r t a l 应运而生。 作为一个基于w e b 的网关，网格p o r t a l 使用户可以无缝访问各类后台资源。一般， 网格p o r t a l 向终端用户显示专有视图，现出其特定领域里所有的软、硬件资源。网格p o r t a l 还提供对网格中所授权资源进行单点访问。 网格p o r t a l 主要用于解决网格资源共享的“易用性( u s a b i l i t y ) 问题，用户只需与一 个网格p o r t a l 交互，便可在统一环境下访问各式网格应用。显然，网格p o r t a l 方便、透 明且安全。网格p o r t a l 之所以简单，是因为它基于w e b ，用户很熟悉此使用方式；说它 透明是因为它把高层用户请求自译成低层网格系统调度；说它安全是因为用户能以 h t y p s 方式传递用户证书，用g s i 来管理权限和认证用户。网格p o r t a l 希望在任何机 器都能通过w e b 浏览器做全球上的计算，完全实现分布式计算【9 1 。另外，资源使用效率 也是其关注的一个重点。 7 网格p o r t a l 安全技术研究 一般，p o r t a l 技术包含p o r t l e t 、p o r t a l 服务器和p o r t l e t 容器。由于p o r t l e t 是与平台 的j a v a 类，所以我们可以在w e b 服务器上装载和运行p o r t l c t 。身为由容器管理的 组件，p o r t l c t 可以生成动态内容，通过p o r t a l 服务器同浏览器做信息交互。对于用 言，一个p o r t a l 页面也许包含一个或多个p o r t l c t 窗口；用户接口由多个p o r t l e t 组成， 每个p o r t l e t 供应对一个或一批特定服务的访问等1 0 】。p o r t a l 服务器里的p o r t l c t 容器为 p o r t l e t 提供一种运行环境，在此初始化、使用和销毁p o r t l e t 。p o r t a l 页面如图2 1 所示。 p o r t l e t 容器向p o r t a l 服务器提交p o r t l e t 内容，服务器按内容建p o r t a l 页面，并传给客户 端显示。 p o r t a l 页面 p o r t l e t 窗口 图2 一lp o r t a l 页面 可见，p o r t a l 最好的地方是能在一个w e b 页面上聚合多个p o r t a l 应用程序，方便用 户因某一特殊问题访问需求的大量资源、服务及应用程序【1 1 】。用户还可以自主选择和配 置自己可以看到的网格应用的内容及外观。 2 1 2p o r t l e t p o r t l c t 是p o r t a l 中的核心，按照p o r t l c t 规范( j s r1 6 8 ) 的定义，p o r t l c t 是一种“基 于j a v a 技术的w e b 组件，由处理请求和生成动态内容的p o r t i a 容器( c o n t a i n e r ) 管理 。 p o r t l e t 在p o r t a l 中运行，用来生成动态内容，是最终用户可以在自己的门户页面上看到 的一些可视化的、动态的应用组件，可以基于用户的选择提供其需要的信息的实时显示。 对于用户，p o r t l e t 是门户中的窗口，供应特定的服务。对于应用程序开发，p o r t l c t 是用 j a v a 编写的软件组件，用p o r t l c t 容器处理用户请求并生成动态内容。作为一个可插入的 用户接口组件，p o r t l e t 能向f - j p 系统的表示层提交信息。p o r t l c t 生成的内容也称为片段 ( f r a g m e n t ) 。而片段具有一些规则的标记语言( 如h t m l ，x h t m l ) 块，而且可以和 其他的片段组合而成一个完整的文档。p o r t l c t 内容常与其他p o r t l c t 内容集成一个门户页 面，由p o r t l e t 容器掌管p o r t l c t 生命周期。 r 第二章网格p o r t a l 技术 众多公司相继开发出j a k a r t aj e t s p e e d 、s u nj a v as y s t e mp o r t a l 、i b mw e b s p h e r ep o r t a l 等p o r t a l 组件及产品。这些组件没统一标准，分别为应用程序开发商提供不同的j a v a a p i 进行开发p o r t l e t 。当前，j a v a 团体组织( j a v ac o m m u n i t yp r o c e s s ，j c p ) 和结构化信息 标准促进组织o a s i sj 下致力于开发p o r t l e t 标准。 ( 1 ) j s r1 6 8 j c p 是由全球j a v a 开发者和得到许可的人组成的开放性组织，开发和修订j a v a 技 术规范、参考实现及技术兼容性包【1 2 】。j c p 用j a v a 规范请求( j a v as p e c i f i c a t i o nr e q u e s t ， j s r ) 做正式规范文档描述，将j s r 提议加入到j a v a 体系中的规范和技术。j s r 变为f i n a l 状态前需经过正式公开的审查，并由j c pe x e c u t i v ec o m m i t t e e 投票决定。最终的j s r 会 免费提供一个公开源代码的参考实现，和一个验证是否符合a p i 规范的t e c h n o l o g y c o m p a t i b i l i t yk i t 1 3 1 。 j s r1 6 8 现在的目标是：为p o r t l e t 定义p o r t i a 容器或运行时环境；定义p o r t l e t 和 p o r t l e t 容器间的p o r t l e ta p i ；为p o r t l e t 提供存储永久和临时数据的机制；提供允许p o r t l e t 包含j s p 和s e r v l e t 的机制；把p o r t i a 定义成可打包，便于部署；实现j s r1 6 8 门户间的 二进制p o r t l e t 可移植性；用w s r p 协议把j s r1 6 8p o r t l e t 作为远程p o r t l e t 来运行【1 4 1 。 ( 2 ) o a s i sw s r p 作为一个全球化非营利性的协会，o a s i s 旨在开发、整合和推广包括w e b 服务、 安全、商业事务、供应链、电子政务、互操作性和符合性所需的标准，推动了多类电子 商务标准的开发、整合及应用。其他任何组织都没有o a s i s 生产的网络服务标准多。 o a s i s 成立于1 9 9 3 年，拥有1 0 0 多个国家的6 0 0 多个组织和个人成员。 o a s i s 与i s o 、i s o i e cj t c l 等国际标准化组织及企业协会标准化组织有标准合作 关系；通过o a s i s 能直接提交国际标准化组织，成为国际标准。代表成员有i b m 、 m i c r o s o f t 、s u nm i c r o s y s t e m s 、o r a c l e 、a d o b e 等。 远程p o r t l e t w e b 服务( w e bs e r v i c ef o rr e m o t ep o r t l e t s ，w s r p ) 是一个o a s i s 规范， 提供中间内容聚合应用程序、即插即用p o r t l e t 及不同资源应用程序的整合。w s r p 允许 应用程序使用和或产生w e b 服务。这些w e b 服务将共同表示元素与信息，使门户管理 者选择并显示p o r t l c t ，这些p o r t l c t 来自网上的虚拟地方，不需要进一步整合代买。可以 在不同的平台上( 如j 2 e e 和n e t ) 实现w s r p 的生产者和消费者【1 5 1 。 ( 3 ) j s r1 6 8 与w s r p 9 网格p o r t a l 安全技术研究 虽然j s r1 6 8 与w s r p 由不同的标准组织管理，但两者是互补的规范。j s r1 6 8 针 对基于j a v a 的门户定义了一个标准p o r t l e t a p i ，定义了一系列j a v a a p i ，让p o r t l e t 在任 何相容的门户上运行【1 6 1 。w s r p 定义一个通用的a p i ，让各类门户使用各类p o r t l e t ，使 w e b 服务表现为即插即用的p o r t l e t 。它们可以按两种方式一起使用：a 、使用j a v ap o r t l e t a p i 编写的p o r t l e t 能封装为w s r p 服务，并在u d d i 目录发布；b 、可把w s r p 服务当 成j a v ap o r t l e ta p i 实现的p o r t l e t ，来整合至门户中。 j s r1 6 8 定义一些j a v a a p i ，让p o r t l e t 在相容的门户上运行，而w s r p 使w e b 服务 显示为即插即用的p o a l e t 。j s r 规范了p o r t l e t 接口，提供一个p o r t l e t 容器，各p o r t a l 提 供商能按需实现j s r 规范，还能选购其它提供商的p o r t l e t 容器。 p o r t l e t 容器长期储存p o i r t l e t 所需的执行环境和参数。p o r t l e t 容器中激活的p o r t l e t 均有生命周期，主要有： a 、装载和实例化：p o r t l e t 容器负责装载及实例化p o r t l e t 。p o r t l e t 的装载和实例化能 在容器启动p o r t l e t 应用程序时进行，也能推迟到容器决定p o a l e t 应服务一个用户请求时 进行。 b 、初始化：实例化p o r t l e t 对象后，在服务用户请求前须进行初始化。初始化旨在 让p o r t l e t 能初始化一些资源和做一些要求做一次的动作。 c 、请求处理：p o r t l e t 依据用户与p o r t l e t 的交互接受请求。可分两个阶段处理请求： 动作处理阶段：若用户单击p o a l e t 中的某一链接，会触发一个动作。动作处理须在页 面上p o r t l e t 的任意表示开始前结束。p o r t l e t 能在动作阶段改变门户的状态。内容表示 第一二章网格p o r t a l 技术 有很多相似点：由特定的容器管理；生成动态内容；由容器管理生命周期；通过请求 响应模式和w e b 客户端进行交互。 有相似的地方，也有不同的地方。p o r t l e t 与s e r v l e t 的不同点如下： ( 1 ) p o r t l e t 没与特定u r l 绑定。 ( 2 ) p o r t l e t 能设置预定义的模式与窗口状态。 ( 3 ) 就处理的信息来源而言，p o r t l e t 主要是处理p o r t a l 内部的交互，而s e r v l e t 负责 处理p o n a l 和外部浏览器的交互。 ( 4 ) 一个p o r t a l 页面中能多次出现p o h l e t 。 ( 5 ) 就运行时间而言，一启动p o r t a l ，就立即运行s e r v l e t ，而p o l l e r 等生成嵌入页 面的显示内容后才在p o r t a l 环境中适当地运行。 ( 6 ) p o r t l e t 仅生成内容片段