（计算机应用技术专业论文）基于web+service的文档审核审批系统研究与实现.pdf

大连理工大学碳士学位论文 摘瑟 农企业级分布式应用系统的多层体系结构巾，中间业务逻辑层是整个系统的关键组 藏部分，它受奏实瑷企监静圭要簸务滚程。然掰，实瑗整务浅辑层关犍在予懿篱绦涯馥 务信息无阻碍、可路由和端对端安全的传输：蓠先，信息要在传输过程中徽够穿越各种 防火墙的阻拦；其次，通过动态制定传输路径的方式，来保诳信息必须经过当次业务流 程熬巾阕节点；最蕊，盛矮爨涯熬要数据麸起患攀终患整令避程孛熬僳密靛黢竞整性。 本文正是在这样的背景下展汗工作的。在辽河油田油井施工设计系统的开发过程 中，用户要求施工设计文档的审核审批流程采用分布式体系结构实现。对系统的分析表 骥在搴援窜拙漆程审，售惠霉要穷越各秘防火壤；灌劳竣诗文糖激w o r d 文楼夔形式存 取；设计文档必须依次通过代袭一审、_ = 审、三审和审批入鼹的中间节点；由于信息的 重要性，必须对信息采取相应的安众保护措施。最终我们决定采用w e bs e r v i c e 作为网 络上镶息传输的方法，之所以做出这棒的选择，有以下几个藏因：第一，w 曲s t w v i c e 静首逡协议o a p ( 篱萃对象存取穗议) 大多数滂嚣下怒麓予h t t p 协汉稳，嚣鼓 s o a p 消息能够穿邂各种防火墙。第二，s o a p 的挂载扩展规范w s - a t t a c h m e n t s 和 d i m e ( 直接i n t c m e t 消息封装) 说明了s o a p 消息如何挂载二进制附件。第三，s o a p 的路囊扩震亵莲潲_ a 醚l ! e s s i n g 蔻素l 定s o a p 瀵惠熬镥竣鼹经提供7 蠢力支持。繁 四，s o a p 的安全扩展规范制8 - s e c u r i t y 使保护s o a p 消息中重要信息变为可能。 本文以设计文档的审核审批流程为主要线索，提出能满足消息路由、安全、处理及 挂载麓秀霆要求静s o a p 浚患攘瀵，：著基手藏漤慧溪垒建立一令瀵惠传竣壤絮来攘羧誊 核审批流程，最终设计并实现辽溯油田油井施工设计文档审拨审批子系统。结果表明， 与通常采用的b s 结构相比，系统采用的中间带点型路由模溅通过增加较少的本地处理 代价慕减少网络应答代馀，荠虽馒系统其有比较好的安全性秘每靠性。适翔予戳安全毪 帮可靠健为基标翡分布式应霜系统渡务逻辑层瀚实现。 关键词：w e bs e r v i c e ；8 0 a p ；路由：安全饿：审核审撤 基于w e bs e r v i c e 的文档审核审批系统研究与实现 s t u d y a n d i m p l e m e n t a t i o n o f d o c u m e n tv e r i f i c a t i o na n d a p p r o v a l s y s t e m b a s e do nw e bs e r v i c e a b s t r a c t i nt h e m u l t i l a y e rs y s t e m s t r u c t u r eo f e n t e r p r i s e - l e v e ld i s t r i b u t e da p p l i c a t i o ns y s t e m , m i d d l e b u s i n e s s l o g i c l a y e r i s t h e k e y p a r t o f t h e w h o l e s y s t e m , w h i c h t a k e s c h a r g e o f i m p l e m e n t i n g t h e m a i nb u s i n e s sf l o wo f t h e e n t e r p r i s e h o w e v e r , i m p l e m e n t i n g o f t h eb u s i n e s sl o g i cl a y e rl i e so n h o wt 0e n s u r e u n s t o p p a b l e ，a d d r e s s i n g ，e n d - t o - e n d s e c u l _ el r a n s m i s s i o no f b u s i n a s si n f o r m a t i o r l f i r s t , i n f o r m a t i o nt r a n s m i s s i o nc a r lp a s st h r o u g ht h e a l lk i n d so ff i r e w a l l 。s e c o n d , t h a t i n f o r m a t i o nm u s tp a s sa 臻o u g hl l 建目麓则鑫e so fc u r r e n tb u s i n e s sf l o wi sa s s u r e dt h r o u g h d w 搬m i 硪l yc o n f i g u r i n gl 瑚n s m i s s i o nr o u lf i n a l l y , t h es e c r e c y a n d h a t e g n d i t yo f t h ei m p o r t a n t d a t am u s tb eg u a r a n t e e df i o mt h e b e g i n n i n g t ot h ee n d ，i 】| l i sa r t i c l ep r e c i s e l yl a u n c h e st h ew o r ku n d e rs u c h b a c k g r o u n d i nt h ed e v e l o p m e n to f d e s i g ns y s t e m o f d i s l r i b u t e do i lw e l le o 删o nf o rl i a o h oo i l f i e l d , t h en 蝴r e q u e s t e d 黼t o r e a l i z et h ev e r i f i c a t i o na n d a p p r o v a lf l o w o f c o n s t r u c t i o nd e s i g nd o c u m e n t sb a s e do ud i s t r i b u t e d s y s t e ms l r u c t u m ms y s t e ma n a l y s i ss h o w st h a ti n f o r m a t i o nn e e dp a s s 蜘u g h a j lk i n d so f f i r e w a l li nt h e p l d e e s so f v e r i f i c a t i o na n da p p r o v a lf l o w , t h a td e s i g nd o c u m e n t s 舞醴w e l l 瓣 a c c e s s e di nf o r mo fm i c r o s o t tw o r d , t h a tt h e d e s i g nd o c u m e n t sm u s tp a s st h m u g h i n t e r m e d i a r i e sw h i c hr e p r e s e n t 矗腻s e c o n d , t h i r dv e r i f i c a t i o na n df i n a la p p r o v a li nt u r n ，a n d t h a tr e l e v a n ts e c u r ep r o t e c t i o n1 l e s s u r em u s tb eu s e db e e a t l s eo f t h e i m p o r t a n c eo f i n f o r m a t i o n f i n a l l yw ed e c i d e 耄。s e l e c t 蕊哟辍妇a s t h ew a yo fi n f o r m a t i o nt r a n s m i s s i o n 蜀l er e a s o u s a l ea sf o l l o w i n g ：f i r s t , s o a p ( s i m p l eo b j e c t8 c c e s sp r o t o c 0 1 ) i so f t e nb a s e d0 1 3h r 】 pa st h e f i r s tp r o t o c o lo f w e bs e r v i c e t h e r e f o r es o a p m e s s a g e s c a n p a s st h r o u g he a c hk i n d o f f l r e w a l l s e c o n d , w s - a t t a e h m e n t sa n dd i m es h o wh o ws o a p m e s s a g e sa p p e n db 溉a 移a t t a c h m e n t t h i r d , 抟t h es o a p e x p a n d e dr o u t e 盛瞳铽w s - a d d r e s s i n gp r o v i d ep o w e r f u ls u p p o r t f o rt h e d e f i n i t i o no ft h es o a p m e s s a g em m s m i s s i o nr o u t e f i n a l l y , a ss o a pe x p a n d e ds e c u r i t y s t a n d a r d , w s s e c u r i t ym a k e st h ep r o t e c t i o no fi m p o r t a n ti n f o r m a t i o ni nt h es o a pm e s s a g e p o s s i b l e t a k i n gt h ev e r i f i c a t i o na n da p p r o v a lf l o wo fd e s i g nd o c u m e n t sa st h em a i nc l u e t h i s a r t i c l ep r o p o s e san e wm o d e lo fs o a p m e s s a g ew h i c h c a n s a t i s f ys e v e r a lr e q u i r e m e n t ss u c ha s a d d r e s s i n g ，s e c u r i t y ，p r o c e s s i n ga n da t t a c h m e n te r e i na d d i t i o n ，i te s t a b l i s h e saf l a m eo f t r a n s m i s s i o nb a s e d0 1 2t h i sm e s s a g em o d e lt os i m u l a t et h ev e r i f i c a t i o na n da p p r o v a lf l o w , i i - 大连理工大学硕士学位论文 f i n a l l y ，i td e s i g n s a n dr e a l i z e st h ec o n s t r u c t i o na n d d e s i g nd o c u m e n t v e r i f i c a t i o na n d a p p r o v a l s u b s y s t e mo f o i lw e l jf o rl i a o h eo i lf i e l d t h em s u l ti n d i c a t e st h a tc o m p a r i n gw i t ht h eb s m o d e l ，t h ei n t e r m e d i a r ya d d r e s s i n gm o d e lt h a tt h es y s t e mu s e sr e d u c e st h en e t w o r k r e p l yp r i c e t h r o u g hi n e r e a s 堍f e w l o c a lp r o c e s s i n g p r i c e 。m o r e o v e r , i te n a b l e st h es y s t e m t oh a v et h e q u i t e g o o ds e c u r i t ya n dr e l i a b i l i t y i t ss u i t a b l ef o rr c a u z i n gb u s s i n e s sl o g i cl a y e ro f t h ed i s t r i b u t i o n a l a p p l i c a t i o ns y s t e mw h i c ht a k e ss e c u r i t ya n d r e l i a b i l i t ya st h eg o a l k e y w o r d s ：w e b s e r v i c e ；s o a p ；a d d r e s s i n g ；s e c u r i t y ；v e r i f i c a t i o na n da p p r o v a l i j j ， 独创性说明 作者郑重声明：本硕士学位论文是我个人在导师指导下进行的研究 工律及取得磷究成果。尽我掰知，除了文中特别翔默标注和致谢的地方 外，论文中不包含其他人融经发表或撰写的研究成果，也不包含为获得 大连理工大学或其他单位的学位或证书所使用过的材料。与我一圊工作 的同志对本研究所做的贡献均已在论文中做了明确的说明并表示了谢 意。 l 乍潜签名： 盏雨 目勰：翟照至旦塑旦 大连理工大学硕士学位论文 弓|言 网络时代的至米，极大地改变了人们的工作方式，绝大多数的应用瑕序都运行在 i n t e r a e t 或i n t r a n e t 之上，这镬褥并发久受警绥麸搀统戆开发模式转移至l 蘩予w e b 戆分 布式开发模式上来。用户对实现奄业级分布式业务层的需求也不断增加，目前，w e b s e r v i c e 1 凭借其具谢的分布式特点已经成为企业级分布式业务应用整合的有效手段，并 被应翅副许多分碜妓系统孛。毽是，w e bs e r v i c e 戆标准协议s o a p 鼹定义了w e b s e r v i c e 数据传输和方法 羁用等最簇本的方面，这不仅影响了w e bs e r v i c e 路由和安全等 方面的应用，也阻鞯了w e bs e r v i c e 在企业级成用领域的快速发展【2 】。 辽河油田高升浆洮厂油水井旅王设计系统艇受辽河油田赢舞采油厂信息中心委托， 垂夫逡蓬工大学耄舔学院窝蹇势袋 鑫厂痞悫中心联合秀发瓣计葵辊应蘑系统，该系统冀 在为油水井设计人员提供在线文档编辑功能、为设计文档审核审批人员提供文档检查功 能、为油水井施工人员提供在线蠢阅设计文档的功能。从而建立起一套完熬且高效的油 农劳设计、检查帮焱烫滚囊，最大鬻疫遣减奎瓣 喹劳设诗孛豹袋误瑟绘嚣豢逡残瓣巨大 损失。 设计文档的审核审批流程在熬个系统中起蟹非常重要的作用，它负责设计文档豹检 查重经，这个流程设计的好坏，纛接影响施工人曼手中的施工文档的质量。在系统的众 多鲻户警中，舂一鍪麓户穰寿设计、审核或窜歉耱较疆，审竣审批流程豹避疆螽下：设 计人员先将设计好的文档提交给一审，如果一审通过，就继续提交给二审，以此类推， 最后提交给审批人员，如果审批食格。这个文档就成为有效文档，供施工人员使用。 怒榉傻文档在镄辕过蓑孛不会羧夔炎壤拦裁? 葱襻终浚诗、宰捩窝事耋凌入曩奏效遮 联系起来? 怎样为每个设计文档的检查动态制定梭查方案? 怎样保证文档数据的传输安 全性? 这些问题能餐正确解决直接关系到整个系统的实际效果。因此，有必骚找到一种 8 跬 脊效遗勰决上述闯题的方法。 海予我系统鑫虢处于试运行状态，如采傻麓效果良菇，会被应蕉至a 整个辽河油疆_ 其 它企业中去，所以就鼹考虑今后系统的跨企业集成的问题，而w e bs e r v i c e 正是目前企 业间信息集成的首选方案，所以本系统采用w e bs e r v i c e 作为文档审核审批流程的实现 手段。 以下这些特性决定了w e bs e r v i c e 是实现审核审批流禚的最佳选择：第一，w e b s e r v i c e 的首选协议s o a p ( 简单对象存取协议) 是基于h t t p 协议的，所以s o a p 淡息熊邋遘各秘防火墙；第二，s o a p 相关的扩震援范w s - a t t a c h m e n t s 3 程d i m e 基于w e bs e r v i c e 的文档审核审批系统研究与实现 掇供了将s o a p 消息和设计文档绑定在一起的方法；第三，w s - s e e u r i t y 4 可以僳证 s o a p 消息中信息的安全性；第四，w s - a d d r e s s i n g 5 规定了w e bs e r v i c e 的相关路豳规 范。 w e bs e r v i c e 援拳为网络信意静蒋输秘夏攥俸往挺淡了新懿辩决方案，与簧绞瓣开 发模式相比具宵很大的优势，利用它可以与其他任何平台、任何谣言开发的w e b s e r v i c e 进行交飘。n e t 是构建w e b 应用程序的主流开发平台，但是熬于n e t 的w e b s e r v i c e 握关磅突，戈其是关予s o a p 扩疑艇藏豹应震戆鞠关磅多较少。 本文的主辫研究工作包括n e tx m lw e bs e r v i c e 的路由和安全策略的制定和实 现，其中包括：利用“下一点跳跃”实现s o a p 消息传输路径的动态设置；应用w s s e c u r i t y 规范实现s o a p 消息的加密和数字签名i 实现文麟作为附件鸟s o a p 港愚遴雩亍 绑定。最终提窭潺求薅悫摸黧势建立穗盛鹣传输盘瑾禧繁，获孬设诗劳实现交挡缒审核 审批流程。 本文首先对w e bs e r v i c e 的相关技术进行筒单的介绍；其次，简述了在n e t 平台 土遴牙w e bs e r v i c e 舜发静囊要过程；然嚣，译缨遮溪述了系绞豹分掇、没诗囊实戮瓣 谶耩；最后，对系统的性能、优缺点进行了分析，并对今厩的研究工作提出展望。 2 大连理工大学硕士学位论文 1w e bs e r v i c e 相关技术简介 1 1w e bs e r v i c e 的技术基础 随着计算机技术的不断发展，现代企业面临的信息环境越来越复杂，今天很多企业 信息系统是多平台、多系统的复杂系统。因而要求企业解决方案具有广泛的兼容能力， 能够支持不同的系统平台、数据格式和多种连接方式；要求在i n t e r a c t 环境下，系统能 够将紧密耦合的、高效的n 层计算技术与面向消息的、松散耦合的w e b 技术结合起 来。具有这种风格的计算被称为w e bs e r v i c e 6 】。 w e bs e r v i c c 的定义有很多种，不过几乎所有定义都具有以下共同点： ( 1 ) w 曲s e r v i c e 通过标准的w e b 协议向w e b 用户提供有用的功能。多数情况下 使用s o a p 协议。 ( 2 ) w e bs e r v i c e 可以非常详细地说明其接口，这使用户能够创建客户端应用程序与 它们进行通信。这种说明通常包含在称为w e bs e r v 沁说明语言( w s d l ) 文档的x m l 文档中。 ( 3 ) w e bs e r v i c e 已经过注册，以便潜在用户能够轻易地找到这些服务，这是通过通 用发现、说明和集成c o d d i ) 来完成的。图1 1 以栈的形式说明了w e bs e r v i c e 的基本 构成。 服务发布发现 u d d i 服务描述 w s d l 删l 滑息 s o a p 网络传输h t t p 、f t p 、s m t p 、t c p ( 最新实现) 图1 1 基本w e b 服务栈 脚i i b a s es t a e ko fw e bs e r v i e e 1 1 1 ) 眦 x m l 是一种元标注语言，该语言提供一种描述结构数据的格式。这有助于更精确 地声明内容，方便跨越多种平台的更有意义的搜索结果。此外，x m l 将起用新一代的 基于w e b 的数据查看和处理应用程序。 x m l 是一个精简的s g m l ，它将s g m l 的丰富功能与h t m l 的易用性结合到 w e b 的应用中。x m l 保留了s g m l 的可扩展功能，这使x m l 从根本上有别于 h t m l 。x m l 要比h t m l 强大得多，它不再是固定的标记，而是允许定义数量不限的 3 基于w 曲s e r v i c e 的文档审核审批系统研究与实现 标记来描述文糨中的资料，允许嵌套豹信息结构。h t m l 只是w e b 驻示数据豹道艚方 法，而x m l 提供了一个直接处理w e b 数据的通用方法。h t m l 着重椭述w e b 页筒的 显示格式，而x m l 着重描述盼是w e b 页瑟的内容。 x m l 最羹溪鹃籍熹藏憝窀熬胃扩簇经，扩震标记是透过撬供文档类型定义 ( d 7 i d ) 实现的，x m l 文档的显示是通过可扩展的样式语言( x s l ) 蜜现的。x m l 通 过数据文档、d t d 、x s l 三个相互独立的部分来描述数据。x m l 是w e bs e r v i c e 的定 义谖言( w s d l ) 魏基础，魄蹩s o a p 瓣定义语言，菠是垂手x m l 戆哥扩最镶， s o a p 协议才其有良好的可扩展性，这个特点为w e bs e r v i c e 在路由和嶷全等扩展潮范 的制定奠定了坚实的基础。 1 1 。2s o a p ( 1 ) s o a p 定义 简单对象访问协议( s i m p l eo b j e c ta c c e s sp r o t o c 0 1 ) 阢8 ，9 】是w e bs d c e 的最常用 通讯信协议。窀是一种轻量级协议，用于谯分散型、分稚式环境中交换结构化信息。 s o a p 嗣矮x m l 援本定义一耪霹扩震龚巷滚悫廷理疆蘩，它提供了耱霹逶：蓬多种嶷 艨协议进行交换的消息结构。这种框架的设计思想是独藏于任何一种特定的编程模趔 和熟他特定的语义 1 0 1 。 ( 2 ) s o a p 缀戚 它包括圈个都分：s o a p 封装和黼女啪，封装定义了一个描述潸惠中豹内容怒什 么，是谁发送的，谁应当接鼹并处理它以及如何处理它们的框架；s o a p 编码规则 e n c o d i n gr u l e s ) ，用于表示陂用程序需要使用的数据类裂的实例； s o a pr p c 表示 ( r p cr e p r e s e n t a t i o n ) ，表示远獠遘程诱霜帮蔽答魏协定；s o a p 绑定( b i n d i n g ) ，壤褥 底鼷协议交换信恩。虽然这四个部分都作为s o a p 的一部分，作为一个艇体定义的，但 他们在功能上怒相交的、彼此独立的。特别的，封装和编码规则是被定义在不同的 x m l 命名空n ( n a m e s p a c e ) 中，这样使褥定义更嘉l 筵摹。 ( 3 ) 设计目橼 由于以x m l 为基础，s o a p 继承了x m l 的开放性和描述可扩膨性的特点，为察 瑷它的设计目标抒下了坚实的簇础。 蔷先，s o a p 霹扩震犍怒关键辑在。程这令缩写溺还代表菜些含义对，”s 憨睬 着“简单。如果我们从w e b 中学到了一样东西，那就魁，简单性总是比效率和纯技 术熙熏要，因而飘操作性成败的关键，就程于必须绝对要求简单性。简单性仍然是 s o a p 戆主要设诗莛标之一，遮熹戆爨疆赣是s o a p 缺少努袁式系统瓣绞多将经 一d 大连理工大学硕士学位论文 ( 如安全性、路由和可靠性等) 。s o a p 定义了一种通信框架，允许以分层扩展的形 式随着时间推移而加入这些特性。 其次，如图1 2 所示，s o a p 可在任何传输协议( 诸如t c p 、m 1 p 、s m t p ，甚 至是m s m q ) 上使用。然而，为了保持互操作性，需要定义一些标准协议绑定以便草 拟用于每种环境的规则。s o a p 规范提供了一种用于定义任意协议绑定的灵活框架， 并且由于m 曰的使用极为广泛，它现已为h t r p 提供了一种显式绑定，今后，它将 提供对其它协议的显式绑定。 s o a p m e s s a g e 图1 2 简单的s o a p 消息处理 1 2s i m p l e s o a p m e s s a g eh a n d l i n g 第三，s o a p 允许任何编程模型，并且不依赖于r p c 。大多数开发人员立刻将 s o a p 与对分布式对象进行的r p c 调用等效起来，因为s o a p 最初就是关于访问对 象”的，但实际上，基本的s o a p 模型更接近于传统的消息处理系统，如m s m q 。 s o a p 定义了一种模型以便处理个别的单向消息。你可以将多条消息组合成一条整体 的消息交换。图1 2 说明了一种简单的单向消息，其中发送方不会收到响应。但是， 接收方可以向发送方发回一条响应，如图1 3 所示。s o a p 允许使用任何数量的消息交 换模式( m e p ) ，请求，响应只是其中一种。其他示例包括要求响应、通知和长期运行 的点对点对话等。 漆求消惑 嗣臆消息 图1 3 请求，响应消息交换模式 f i 晷1 3 r e q u e s t r e s p o n s em e s s a g ee x c h a n g i n g m o d e l ( 4 ) s o a p 消息 5 基于w e bs e r v i c e 的文档审核审批系统研究与实现 s o a p 消息是由x m l 格式定义的，它分为三个部分：e n v e l o p e 、h e a d e r 和b o d y ， 它们之间的关系如图1 4 所示。 图1 4s o a p 消息的组成 1 as o a pm e s s a g ec o m p o s i t l o n e n v e l o p e 包括h e a d e r 和b o d y 两个组成元素，其中h e a d e r 是可选的，只有当需要 对s o a p 消息添加一些控制信息的时候，才需要h e a d e r ；而b o d y 则存放消息的正文， 比如，调用函数时的参数等等，而且，这部分还可以负载附件、= 进制和其它形式的信 息。 1 1 _ 3w s d l s o a p 白定义了一个消息结构的框架，而不定义消息的实际内容，要描述一个w e b s e r v i c e 发送和接收的消息类型就需要使用w s d l 11 ，1 2 。 也就是说，对于使用标准化的消息格式通信协议的w e bs e r v i c e ，它需要以某种结 构化的方式( 即x m l ) 对w e bs e r v i c e 的调用，i 恿信加以描述，而且实现这一点也显得非常 重要，这是w e bs e r v i c e 即时装配的基本保证。w s d l 正是这样一种描述语言，w s d l 定义了一套基于x m l 的语法，将w e bs e r v i c e 描述为能够进行消息交换的服务访问点 的集合，从而满足了这种需求。w s d l 服务定义为分布式系统提供了可机器识别的 s d k 文档，并且可用于描述自动执行应用程序通信中所涉及的细节。 w s d l 文档将w e bs e r v i c e 定义为服务访问点或端口的集合。在w s d l 中，由于 服务访问点和消息的抽象定义已从具体的服务部署或数据格式绑定中分离出来，因此可 以对抽象定义进行再次使用。消息是指对交换数据的抽象描述：而端口类型是指操作的 抽象集合。用于特定端口类型的具体协议和数据格式规范构成了可以再次使用的绑定。 将w e b 访问地址与可再次使用的绑定相关联，可以定义一个端口，而端口的集合则定 义为服务。因此，w s d l 文档在w e bs e r v i c e 的定义中使用下列元素： 1 、p e s 一数据类型定义的容器，一般它使用x m ls c h e m a 中的类型系统。 。6 大连理工火学硕士学位论文 m e s s a g e 遴储消息的数据缭构的抽象类粼亿定义。使爝t y p e s 所定义的类型来定 义整个消息的数据绐构。 o p e r a t i o n 一对服务中所支持的操作的抽象撒述，一般单个o p e m 攒述了一个访 闻入弱耱请求，穗庭游意对。 p o “t y p e 对于某个访问入口点类型所支持的操作的抽缳集合，这些操作可以由一 个或多个服务访问点来支持。 b i n d i n g 。特定蠕疆类型戆其髂爨议和数攥撩式瘦蓝豹缫定。 p o r t 一定义为协议擞据格式绑定与具体w 曲访问遗址缀会的单个激务访问点。 s e r v i e e 相关服务访问点的聚合。 这些元素的结 姆关系如图1 5 所示。 图1 5w s d l 元素盼对象结构 f 喀1 5w s d le l e m e n to b j e c ts t r u c t u r e 1 1 4u d d i 绕描述、发现和集成协议( u d d i ：u m v e r s a ld e s c r i p f i o n , d i s c o v e r ya n d g r a f i o n ) 是一套给予w e b 的、分布式的、为w e bs e n ，i 提供信息注册中心的实现 标准嫂范，恩时也镪禽一组使企炊鼹将自己提供瓣w e bs e r v i c c 注嚣并让别的企业能够 发瑷遂个驻务静谤| 、掰协浚豹实璜橼准。 为了使服务申请潜能够查找需臻的服务，业界制订了注册和查找w e b 服务的u d d i 技术规范。u d d i 注册中心是对所有提供公共u d d i 注册服务站点的统称，凡是实现 u d d i 烧范豹蛞点都露旋稼为联) d l 猱佟入翻涟点，菇点之麓逶遘复裁掇枣缳拷缓诧鹅 7 ， 基于w e bs e r v i c e 的文档审核审批系统研究与实现 的内容同步。服务提供者可以在服务注册中心发布自己提供的服务，服务请求者则在注 册中心查找期望的服务 1 3 1 。 u d d i 协议解决了企业遇到的大量问题。首先，它能帮助拓展商家到商家( b 2 b ) 交互的范围并能简化交互的过程。对于那些需要与不同顾客建立许多种关系的厂家来 说，每家都有自己的一套标准与协议，u d d l 支持一种适应性极强的服务描述，几乎可 以使用任何接口。对于一家地处澳洲的花店，虽然很希望能进入世界上的所有市场，但 苦于不知道怎样才能成功，u d d i 提供了一种能实现这一目标的办法。规范允许企业在 注册中心中发布它所提供的服务，这样发现企业发布的服务就变得高效而且简单了。 u d d i 基于现成的标准，如可扩展标记语言x m l 和简单对象访问协议s o a p 。 u d d i 的所有兼容实现都支持u d d i 规范。 如图1 6 所示，u d d i 包含于完整的w e bs e r v i c e 协议栈之内，而且是协议栈基础 的主要部件之一，支持创建、说明、发现和调用w e bs e l - v i c e 。 图1 6w e bs e r v i c e 分层协议栈 f i g 1 6 w e bs e r v i c el a y e r e dp r o t o c o ls t a c k u d d i 构建于网络传输层和基于s o a p 的x m l 消息传输层之上。诸如w e b s e r v i c e 描述语言w s d l 之类的服务描述语言提供了与交互式数据语言i d l 类似的统一 的x m l 词汇，供描述w e bs e r v i c e 及其接口使用。可以通过添加分层的功能搭起整个 基础，b e 如使用w e bs e r v i c e 流程语言( w e bs e r v i c ef l o wl _ m l g u a g e ，w s f l ) 的w e b s e r v i c e 工作流描述、安全性、管理和服务质量功能，从而解决系统可靠性和可用性问 题。 8 大连理工大学硕士学位论文 1 2w e bs e r v i c e 的路由及安全陛相关规范 随着向动态电子商务转变的势头越来越强，松散耦合的、与语言和平台无关的、在 组织内跨企业、跨因特网连接应用程序的方法的优点在r r 基础架构的每一层正交得愈 发明显。w e b 服务要想取得成功，最关键是要建立一个清晰的、全面的且标准的方法 来确保新的和现有的电子商务资产的完整性、机密性和安全性【1 4 。m i c r o s o f t 、i b m 、 b e a 以及其他厂商已经认识到了这一点，他们已经联合起来致力于为w e b 服务开发一 个全面的安全性模型。这种模型利用s o a p 协议的扩展性对其进行扩展和完善，从而弥 补了s o a p 协议在安全性及路由方面的先天不足。 w e bs i c c 扩展模型正处在不断成长和完善的阶段，目前，它包括以下规范： w s - s e c u r i t y 、w s p o l i c y 、w s - t m s t 、w s - p r i v a c y 、w s - f e d e r a t i o n 、w s - a u t h o d z a t i o n 、 w s - l i c e n s e 、w s r o u t i n g ( 已经被w s - a d d r e s s i n g 替代) 、w s - a d d r e 咖、w s r e f e r r a l ，w s - a o a c h m e m s ，w s - 勘u m e m t i o n ，w s - e v c n i i n g ，w s - t r a n s f e r ，w s - d i w 0 0 v c x y 、w s 施t a d 嘲e x c h a n g e 、w s - e n d p o i n t r e s o l u t i o n 和w s - t r a n s m i s s i o n c o n t m l 等等。 1 2 1s o a p 路由扩展规范w s - a d d r e s s i n g w s - a d d m s s i n g 提供了多种与传输无关的机制对w e b 服务和消息进行寻址，从而 实现s o a p 消息的路由。具体来说。此规范定义x v l l 元素以标识w e b 服务终结 点，并保护消息中的端到端终结点标识。此规范允许消息处理系统支持通过网络( 包 含处理节点) 以一种与传输无关的方式进行消息处理，而这些处理节点可以是终结点管 理器、防火墙和网关。 w e b 服务寻址( w s - a d d r c s s i n g ) 定义了两种结构，它们传达的信息一般由传输协 议和消息处理系统以一种可互操作的方式提供。这些结构将该底层信息规格化为种 统一的格式，而对这种格式的处理可以独立于传输或应用程序。这两种结构就是终结 点引用和消息信息标头 1 5 1 。 w e b 服务终结点是一个可引用的实体、处理器或可咀作为w e b 服务消息目标的 资源。终结点引用传达了标识引用一个w e b 服务终结点所需的信息，它的使用方式 可以有多种：终结点引用适用于传达访问w e b 服务终结点所需的信息，但也可为在 w e b 服务间往返的各条消息提供地址。为了处理上一种使用情况，本规范定义了一系 列消息信息标头，以允许对与底层传输无关的消息进行统一寻址。这些消息信息标头 传递端到端的消息特性，包括对源终结点和目标终结点以及消息标识进行寻址。 9 基于w e bs e r v i e 的文档审核审批系统研究与实现 1 2 2s o a p 安全扩展规范鹳一s e c u r i t y 原有的w e bs e r v i c e 安念机制主要依赖予传输层安愈协议如s s l 、t l s 等，如图 1 7 所示。这一方案的不足熄显丽易见的：只能提供点酬点( p e e r - t o - p e e r ) 的安全。 s o a p 演惠在经过孛阕节煮熟理霾于，s o a p 游塞对中阗繁点是爵冤静，觚丽存在安全漏 澜。 点对点安全点对点安众 厂- 1 厂j s s ls s l 圈l 。7 传统w e b 安全机铡 f i g 1 7 t r a d i t i o n a lw e bs e e u r 澍m e c h a n i s m w s s e c “t y 的主要目的老一是实现端举u 端( 朝d 哟蝴d ) 的安全，如网1 8 所示。僳 诞s q a p 消息邋过不安全的中间节点，安全w 靠地从服务满装善到达目授务提供者。必 了安瑗逮一嚣豹，w s - s e e u r i t y 不霉寝籁簧徐层安全掇麓，嚣是壹接程s o a p 揍悫爻中 嵌入安全信息( 如数字签名x5 0 9 证书等) ，并对需要保密的数据进行加密。s o a p 节 点到达目的节点厥，由服务撮供者直接验证逸些安全信息的真伪并解密朔关数据。这样 裁避受了对中翊蕊患懿蔹裁获褥实瑗了淡要l 壤煞安全搜【l 弼。w s 。s e c 谜t y 在s o a p 瀵 惑巾嵌入安全机制，它主要涉及三个方面：身份验证、缝名和由g 密。 端到端囊全 弋 | 壤务请求者 嗣中黼节点卜 潮簸务提供者| w s - s e c u r i t yw s - s e c u r i t y 圈1 8w s - s e c u r f l y 的安全机制 1 8w s - s e e u r i t ys e c u r i t ym e c h a n i s m w s - s e e u r i t y 您义了一个粥于携带安全饿相关数据的s o a p 标头褥索。如果使用 x m l 签名，此标头可以包含由x m l 签名定义的信息，熊中包括消息的签名方法、使 用的密钥以及得出的签名僮。麟样，如果消惠中的某个元繁被加密，则w s s e c u r i t y 栎 头审还可骏包含翔密信惠( 倒翔由x m l 秘密定义豹热黎嚣怠) 。w s - s e e u r i t y 势不撩 定熬名或加密的格式，而是指定如何在s o a p 消息中嵌入由其他规范定义的安全性信 息。w s s e c u r i t y 主要是一个用于基于x m l 的安全性元数据容器的规范【i7 】，其它的 s o a p 扩展蔑篷都蹩建立在宅黪基蘧之上，它稍之嚣戆关装翅霾1 9 爱示。 1 0 大连理工大学硕士学位论文 图1 9w e bs e r v i c e 安全性规范组成 f i g 1 9 w e bs e r v i c es e c u r es t a n d a r dc o m p o s i t i o n ( 1 ) 身份验证 w s s e c u r i t y 主要提供了三种身份验证的方式： 用户名密码 一项用于i s i t p 基本身份验证和简要身份验证的技术。为了以此方式传递用户 凭据，w s s e c u r i t y 定义了u s e r a a m e t o k e n 元素。此元素的架构如下： x s ：e l e m e n tr e f = - ”u s e m a m e b x s ：a t t r i b u t en a m e = i d ”q 一x s ：i d 修 x s ：a n y a t t r i b u t en a m e s p a c e = ”桦o t h e r 恰 其中，p a s s w o r d 可以采用纯文本或简要格式传递，纯文本方式很容易遭到攻击，所 以最好传递密码的简要散列。比较常用的是使用s h a l 散列，它会使密码交得不易识 别，因而可以增加安全性。密码简要散列是随机内容、创建时间与密码的组合。随机内 容的长度是1 6 字节，以b a s e 6 4 编码值的形式传递。其工作原理是