面向Web的網格服務互相調用研究

摘要:網格技術是一門新興的信息技術，是Internet發展的必然結果。該文主要從網格安全基礎設施GSI概況;WSRF技術實現網格資源及服務的互相調用;VO中的網格服務安全通信; 服務協同工作影響因素;網格服務協同實例——Girdftp服務的交互過程等方面，著重研究在異構環境和不同主機環境下虛擬組織中的網格服務互相調用問題。

關鍵詞:網格安全;Web服務;協同工作

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2010)02-316-03

Study ofWeb Services-Based Grid Services Each Other Transfer

WANG Mu-lin

(Zhejiang Radio Television University Branch， Qingtian 323900， China)

Abstract: Grid Security is a new information technology， is internet develop inevitable outcome. This text from GSI， WSRF Realize grid natural resources and security each other transfer， gird Servicesu is safely communication in VO， the influence for with Services teamwork， the living example for Grid Services teamwork(Girdftp Services) interactive， emphasize research Grid Services each other transfer in different environment or different.

Key words: GridSecurity; Web Services; teamwork

網格是一種開放的分布式系統環境，它的目標是實現分布的、異構的、動態的、虛擬組織之間的資源共享。開放式網格服務架構OGSA(Open Grid ServiceArchitecture)是全球網格論壇提出的一種網格結構標準，它結合了現有網格標準和Web Services(簡稱Web)服務標準。網格服務是為網格基礎設施和應用的一種特殊的Web服務，它對資源進行抽象，屏蔽了資源的異構性，提供了一致的資源訪問界面。而開放式網格安全基礎設施OGSI(Open Grid Service Infrastructure)是定義網格服務的基本規范，它是OGSA的標準協議和基礎設施。

網格安全問題是網格計算中的一個核心問題，網格計算研究的特點之一是網格計算會將現有的各種標準協議有機地融合在一起，從而可無縫地將這些協議和技術集成到網格計算的環境中，實現網格資源及服務的動態共享。

當今對網格安全的研究主要涉及以下三個方面:一是集成方案 ，即著重解決如何充分利用現有的服務以及接口并對其進行抽象為可擴展的體系。二是協同工作能力解決方案 ，著重解決如何在有著不同安全機制和策略的虛擬組織中的服務互相調用問題。三是信任策略方案，著重解決如何在動態網格環境下定義、管理、執行信任策略。本文主要研究在異構環境和不同主機環境下虛擬組織中的網格服務互相調用問題。

1 網格安全基礎設施GSI概況

GSI(Grid Security Infrastructure，網格安全基礎設施)是Globus的安全基礎構件包，是保證網格計算安全性的核心，GSI基于公鑰加密體系、SSL通信協議，使得GSI單點登錄。它支持用戶代理、資源代理、誰認證機構和協議的實現，其主要是為網格系統和應用程序提供單點登錄，提供在多個組織之間使用的一種安全技術，以及在異構環境或不同主機環境下的多個信任域之間的多個不同元素之間提供安全的通信機制。

GSI雖然在保證網格計算安全的同時，盡量方便用戶和網格服務的交互，以及網格服務間的交互，并利用現有的網絡安全技術并對其進行了擴展，使得GSI在網格環境中擁有了一個一致的安全界面，方面了網格應用的開發和使用。但是GSI有兩方面的不足，需要對網格安全通信協議進行擴展和集成:

一是GSI的授權往往是通過對一個文件如Grid mapfile的操作來實現的，該文件提供證書標識到本地帳號的映射關系。這樣GSI要求每一個訪問資源的全局用戶都需要在本地資源服務器上擁有一個自己的帳號，每一個資源服務器都需要維護一個龐大笨拙的全局本地映射表，故此機制難以擴展到擁有大量資源和用戶的大規模網格環境中(尤其是在異構和不同主機環境下的網格環境)。

二是GSI缺乏基于全局策略的具有良好擴展性的訪問控制機制，其管理是手工編輯策略數據庫或簽發證書的方法不能滿足大規模網格環境中的動態性需求。

2 Web服務

在OGSA體系結構中，Web是新一代分布式系統的核心，它對軟件世界提供了一個全新的模式:應用程序在Web上提供服務，程序可以透過Web的窗口將它的應用程序編程接口API(Application Programming Interface)分離出來，實現網格技術與Web服務器技術的平滑融合，直接讓網絡上其它異構環境或不同主機環境下的網格資源及服務的動態調用。

Web Services是面向服務的分布式計算框架，具有松散耦合、與平臺無關、易于集成、動態的等優點，為Internet上分布式應用提供了有效支持，如WSRF(Web ServiceResourceFramework)就是將Web Service技術融合到網格中，實現網的互聯網上所有資源互聯互通和協同工作，允許網格服務在異地的或異構環境的或不同主機環境或不同的虛擬組織之間，實現單獨主體之間、共享資源或服務的主體之間傳送綜合服務和資源。

在以網格服務為中心的GSI中，網格環境中所有中間件都是虛擬的，是通過Web服務資源框架WSRF提供一組統一的核心接口，所有的網格服務都可以通過該框架實現。在該框架中，同一層中若干個低級網絡服務就構造出具有層次結構的更高級別的服務，這些服務以一種統一的、可以跨越不同的抽象層次。與此同時，當對服務進行組合時，不必考慮具體的實現，而只要以底層資源組成為基礎在虛擬組織中進行資源管理和調用，將通用的語義和行為無縫地映射到本來平臺的基礎設施上。

3 VO中的網格服務互相調用

在網格環境下，虛擬組織VO(Virtual Organization)是網格的核心思想之一，它由遵守資源共享規則的一組個體、機構組成，是這實現資源共享、協同工作的基本單位，其最大特點就是為異構的統一和動態的集成，實現在異構的網絡環境中完成安全授權和安全會話。

VO實現網格資源及服務要安全協同地在地理上分布的多個組織成員間共享資源，它們之間的服務協同不僅要突破異構之間的業務處理界限，同時還要支持多種安全策略，實現網格中穿越多個域或不同主機環境的網格服務互相調用。

3.1 VO中的網格服務安全通信

VO中網格服務的安全通信是建立在證書的互相認證和SSL/TCL握手兩個方面上的。互相認證原理如同單向認證，只是單向認證后改變認證方向再來一次單向認證。單向認證一般采用推式認證，其它證書是一多元組:{標志位，會話密鑰，域，主體名字，有效時間窗口，地址，授權數據}。單向認證過程:主體提出認證請求，認證權威為請求主體發放證書;主體訪問資源時將證書提交給資源進行身份認證;資源在確認了證書及主體身份的有效性之后，創建安全環境，建立與主體之間的安全會話。

SSL/TCL握手是為了在通信雙方建立起一個安全的信道，在握手的過程中完成SSL參數的設置，雙方公鑰的交換等，從而實現異構或不同主機環境下網格服務在SSL管理中的協同完成資源共享和數據傳輸。

3.2 影響網格服務相互調用的主要因素

網格服務相互調用的時間開銷直接影響網格資源共享的時間性能，同時通信協議及訪問策略要保證網格資源及服務的相互調用時，不僅要傳輸過程的數據完整性安全及數據接收的合法性，還要根據網絡傳輸狀態的變化自動做出相應調整，即有良好的動態的自適應性。所以要從需求角度上分析影響穿越多個域和不同主機環境的網格服務互相調用的因素。

一是網格資源及服務相互調用過程中需要保證消息的完整性和保密性，并對消息進行數字簽名確認，這通常用WS Security協議規范中的SOAP/HTTPS訪問控制機制保證域間資源及服務相互調用的安全性。

二是參與協同工作的每一方進行安全的對話，各方要能夠詳細說明自己要求的任何策略和加密算法，并能容易地被其它方所理解，從而建立信道的安全語義。

三是網格資源及服務相互調用過程中需要有在不同域間相互鑒別用戶身份的機制，因為網格環境中交互的動態性，通過相應的身份代理服務建立身份和信任的映射，從而實現跨越多個域間的交互操作，網格資源及服務的相互調用。

四是網格安全體系結構的可擴展性和集成性，對現有安全技術和協議進行擴展和集成，實現網格環境下的跨平臺、跨主機模式的標準化集成。

五是安全的VO信任域，在跨越多個異構或同構安全域中實現網格服務的互相調用，每一種服務要將它的訪問要求闡述清楚，網格的動態特性對每一次交互操作都要動態地進行評估，與本地安全策略的互操作(而不必改變本地資源的訪問策略)就可借助跨域的安全服務方便地訪問網格環境下的各地資源和網格服務。

3.3 VO實現網格服務互相調用

網格環境中在不同安全機制和策略的網格服務互相調用，是采用通過一個第三方VO虛擬組織來統一管理的控制策略來實現，將不同地點的用戶可以和其它用戶和計算機進行交互，利用RSL(ResourceSpecification Language)用于資源管理各個組成部分間進行資源需要信息的交換，GRAM(Globus Resource Allocation Manager)為各種不同資源管理工具提供標準的接口。DUROC(Dynamically Updated Request Online Coallocator)提供協同資源分配服務，允許同等的資源共享和使用，根據SOAP請求/應答消息與后端應用資源的協議消息之間進行轉換，轉換成網格環境下不同用戶都能識別的服務內容，并返回給客戶端，從而實現客戶端靈活、安全、透明的訪問調用面向過程的網格資源及服務。

虛擬組織VO是多個組織中具有某些共同特征的某些實體的集合，他們在共享和使用各種資源時具有一致的模式。一個組織中的任何一個實體，可以自己決定信任任何一個CA，而不用涉及的他所在的整個組織。VO中網格服務間的協同通過網格協同上下文和消息機制來實現，無論是網格協同上下還是消息都是面向VO信任域完成。

客戶機通過動態調用接口調用函數自動選取具體的調用接口，通過動態框架接口調用相應的對象實現網格資源及服務相互調用，具有合理、有效、靈活、動態等優點。

但也存在著不足:對一個VO單一的策略服務器，會給用戶帶來訪問瓶頸和可靠性等問題;策略聲明還需要進一步的標準化;CAS用靜態定義的權限來工作，沒有反饋機制，不利于某些消費性資源的合理分配等等。

3.4 VO中網格服務互相調用實例——Girdftp服務的交互過程

用戶訪問gridftp服務的交互過程是一個典型的VO中服務協同實例。在GSI的基礎上SIFTP實現了高性能、安全的FTP協議。在CAS中，資源提供者將部分或全部的訪問權限授予CAS服務器來統一管理，資源訪問策略是全局策略和本地策略的交集，只有訪問者都同時滿足本地策略和全局策略(即本地策略和全局策略的交集)才能獲得訪問權限，CAS管理它的資源和用戶，用戶從CAS獲取細粒度的權限訪問社區資源，從而實現異構環境和不同主機環境下的網絡資源及服務的動態調用。

這個Gridftp服務器用來承擔CAS的授權。CAS用戶首先得到一個標準的網格代理證書，然后向CAS服務器請求信任，CAS服務器根據CAS數據庫中所授予這個用戶的權限策略，用CAS的私鑰簽署一個授權策略聲明返回給CAS用戶，最后用戶將這個聲明和代理證書提交給要使用的Gridftp資源。被修改過的Gridftp服務通過驗證用戶的策略聲明來決定是否提供服務。

4 結束語

從網格安全構建、動態建立網格VO信任域，研究在異構環境和不同主機環境下虛擬組織中的網格服務互相調用問題，提高網格及網格同Web服務的互操作，實現大規模環境下快速安全的資源的共享和服務。

參考文獻:

[1] The Globus Project， http://www.globus.org.

[2] 王佳月，劉仲鵬，劉麗娟.網格安全問題研究[J].商場現代化，2007(8):168-170.

[3] 王強華，周明全， 耿國華， 等.開放式網格服務架構的安全設施[J].計算機應用與軟件，2006(11):26-28.

[4] 彭珍，田立勤，耿子林.網格安全研究綜述[J].華北科技學院學報，2006(1):18.

[5] 唐俊，王柯.基于Web服務的網格應用系統安全模型[J].計算機與數字工程，2009(7):103-106.

[6] 李妮，彭曉源.計算網格及其在虛擬樣機協同環境中的應用[J].系統仿真學報，2004(2).

[7] 徐志偉.網格計算技術[M].北京:電子工業出版社，2004.

[8] 胡從林.基于WS的頒布式技術應用研究[D].武漢:武漢工業大學，2006.

[9] 孫濟洲.網格環境下任務度有研究[D].天津:天津大學，2004.

[10] MaoZhenLi， Baker M.The Grid Core Technologies， John Wiley Sons，Inc，2005.

[11] 崔強.一種基于網格虛擬組織的跨域訪問控制算法[M].計算機應用研究，2008，(07):2155-2158.

[12] 黃藍會.基于CORBA的網格實現技術研究[J].微計算機信息，2007(9).