基于HTTPS的大規(guī)模公共計算機管理系統的設計與開發(fā)

◆何鳴皋

1 公共計算機管理系統的分析

在傳統的高校教學環(huán)境中，公共計算機主要部署在公共計算機機房內，機房內部要么是每臺計算機均直接連接至校園網，要么屬于一個獨立的局域網。如圖1所示，在這種環(huán)境下，公共計算機管理軟件通常用廣播和點對點連接等方式實現管理服務器對機房計算機的控制，這種實現方式存在固有的局限性。

圖1 傳統的公共計算機管理系統結構圖

首先，基于廣播的管理系統，管理系統服務器通過局域網廣播向客戶端傳輸數據，只能在同一個局域網網段或是廣播域中使用，從而使管理系統的應用局限在一個機房之中。

其次，點對點的連接方式要求服務器和客戶端能夠直接互相訪問，不適合有NAT（網絡地址轉換）的網絡環(huán)境，即客戶端只能訪問服務器，而服務器不能直接連接到客戶端。

針對校園網內IPV4資源不足的問題，校園網常采用NAT將不同的教學環(huán)境分為多個子網。NAT雖然解決了IP資源不足的問題，也縮小了網絡范圍，一定程度上增強了網絡的安全性和可控性，但也破壞了校園網內的連通性。NAT外的地址不能直接訪問NAT內的內網地址，從而使基于局域網廣播或點對點連接的網絡應用不再有效。而傳統的公共計算機管理系統大多都基于局域網廣播或者服務器與客戶端的點對點互連，因此無法再在復雜的校園網環(huán)境中使用。

另外，近年來很多高校都在進行校園網的實名制認證技術改造，常見的技術方案是采用RADIUS（遠程用戶撥號認證系統）來進行校園網管理[1]，不但實現了校園網的實名制接入認證和上網計費，也通過PPPOE、L2TP VPN等協議解決了局域網廣播和ARP欺騙的問題。PPPOE和L2TP協議工作在網卡設備之上，不依賴于本地網絡設備的TCP/IP協議，撥號認證后由PPPOE服務器分配IP地址，計算機的本地網絡設備不用設置IP地址，與相鄰的計算機之間不構成局域網，從而很大程度上阻止了網絡病毒的傳播。但是通過PPPOE、L2TP等協議接入校園網的方式也打破了傳統機房局域網的結構，因此，新型的公共計算機管理系統必須能夠適應新的校園網環(huán)境。

傳統的公共計算機管理系統，不適合在大范圍的網絡環(huán)境中應用，從而造成了目前擁有多校區(qū)、多機房的高校不易實現集中統一管理，多采用各校區(qū)、各機房獨立管理的局面。因此，高校校園網環(huán)境的不斷發(fā)展變化使傳統的公共計算機管理系統不能適應需要，從而迫切需要重新設計管理系統的架構，適應新型的校園網結構，滿足跨校區(qū)、大規(guī)模的統一管理需求。

2 新型公共計算機管理系統的設計

綜上所述，基于局域網環(huán)境的傳統公共計算機管理系統已經不能滿足高校辦學規(guī)模和校園網絡的發(fā)展需要，所以必須設計并開發(fā)新型的大規(guī)模分布式公共計算機管理系統。在新型的管理系統中，首先要解決的是系統的性能問題。本文之前提到，在高校校區(qū)規(guī)模不斷擴大，公共計算機數量不斷增多的背景下，管理系統必須能夠管理更多的計算機設備，能夠負載更多的客戶端并發(fā)訪問。然而，在傳統的管理系統中，往往采用基于局域網TCP/UDP的CS結構，有些甚至是由客戶端直接訪問數據庫服務器，這種二層體系結構決定了管理軟件不能夠負載大量的客戶端訪問，并且使用范圍也局限在局域網之中。

因此，在新型的公共計算機管理系統中，采用客戶端—應用服務端—數據庫的三層體系結構，如圖2所示，其中應用服務端采用Apache HTTPD服務程序，在系統的數據傳輸中采用加密的HTTPS協議。由于高性能HTTP服務程序能夠滿足海量用戶的并發(fā)訪問需求，因此就解決了公共計算機管理系統在向多校區(qū)、多機房統一管理方向發(fā)展過程中出現的性能瓶頸問題。另外，采用HTTPS服務端還解決了公共計算機管理系統的數據傳輸安全性問題，在公共計算機管理系統的數據傳輸過程中，無論是客戶端與服務器的連接，還是管理端對服務器的操作，如果采用明文傳遞信息的話，信息很容易在局域網中被監(jiān)聽或竊取，特別是在公共計算機管理系統涉及到上機金額的數據傳輸中，數據安全性顯得尤為重要。而通過HTTPS的SSL數據加密，則能夠在保證系統性能的基礎上確保數據安全[2]。

圖2 新型公共計算機管理系統體系結構圖

采用HTTPS的服務端機制，還能夠統一公共計算機管理系統的數據傳遞機制。在傳統的公共計算機管理系統中，除了客戶端與服務端的CS結構外，還要為對公共計算機管理系統進行管理操作，這樣一般是通過建立管理端與服務端的CS結構來實現，或是在管理系統中單獨采用BS結構，通過瀏覽器進行系統管理。而采用HTTPS的服務端的結構，無論公共計算機管理系統的客戶端還是管理端，都通過HTTPS端口訪問服務器，這樣就統一了數據傳遞接口，系統客戶端就是一個HTTPS客戶端，而管理端可以直接通過瀏覽器訪問HTTPS服務器。

2010年春，王述金被評為“全縣宣傳文化思想工作先進個人”。我高興極了，立即拿著證書和獎金，搭車前往王述金家，卻沒有看到他的影子。他的弟弟王述銀告訴我，哥哥已于去年10月份就不在了。我大為震驚，猛然想到，他不是快過年時，還送給我一包茶葉嗎？

在新型公共計算機管理系統采用的三層體系結構中，應用層使用Apache或nginx等HTTPD服務結合PHP編程語言進行實現，PHP不但對HTTPD接收的客戶端請求進行業(yè)務計算，還連接后臺數據庫進行數據存儲。由于PHP能夠采用封裝的數據庫接口對多種數據庫軟件進行操作，這樣就實現了公共計算機管理系統的數據庫無關性，可以靈活采用多種數據庫軟件作為系統的后臺數據庫。而本文采用MySQL數據庫為例來進行系統的設計與分析，由于MySQL廣泛應用于負載較大、對訪問速度要求較高的Web應用后臺數據庫中，所以能夠進一步提升公共計算機管理系統的性能。

新型公共計算機管理系統需要解決的另一方面的重要問題是，在校園網絡新的結構條件下，實現對公共計算機設備的大規(guī)模和分布式管理。由于采用NAT或RADIUS技術的校園網的終端節(jié)點之間不再一定能相互直接連通，大量的節(jié)點被NAT或RADIUS隱藏在了網關之后，網關外的節(jié)點不再能夠直接訪問網關內的節(jié)點。在這種新的網絡結構條件下，新型公共計算機管理系統采取客戶端定時訪問服務端的方式與服務端進行通訊，而服務端不主動訪問客戶端，如圖3所示。

圖3 新型公共計算機管理系統消息傳遞機制

在公共計算機管理系統中，除了之前提到過的服務端和管理端外，還有接受用戶刷卡的刷卡端和安裝在機房內PC機上的客戶端。其中刷卡端在用戶刷卡后將用戶信息傳遞到服務器，改變用戶狀態(tài)數據為“刷卡上機”，使用戶賬號能夠登錄PC機；而客戶端則接受用戶的賬號和密碼輸入，傳遞到服務器進行驗證，通過后則允許用戶使用PC機系統。最后，當用戶關閉PC機并返回刷卡端刷卡時，將用戶狀態(tài)改為“刷卡”下機，統計用戶的上機時間，計算上機金額，并進行扣費和儲存到數據庫中，從而完成整個上機過程。在上機過程中可以看出，用戶在刷卡端刷卡上機、刷卡下機，以及在PC機客戶端進行登錄操作時，刷卡端和客戶端都即時連接服務器，將數據傳遞到服務器并接收反饋數據。因此，這幾個操作都是由用戶主動發(fā)起，與服務端屬于實時操作，在新型公共計算機管理系統的網絡模式中都可以用客戶端訪問服務端完成。而在用戶登錄PC機后，客戶端的主要作用是向服務端報告PC機的運行狀態(tài)和接收服務端的指令，因此在這些環(huán)節(jié)中對實時操作的要求不高，完全可以通過客戶端定時自動訪問服務端來完成，這就解決了在服務端不能直接訪問客戶端的網絡條件下，客戶端與服務端進行消息傳遞的問題。

在本文實現的新型公共計算機管理系統中，客戶端自動與服務端進行數據同步的頻率（即客戶端定時訪問服務端的間隔時間）是可配置的，可以根據服務器的硬件性能、客戶端的數量以及HTTPD服務的運行情況進行調整。

由客戶端定時主動發(fā)起的訪問請求機制雖然解決了服務器無法直接訪問客戶端的問題，可以滿足公共計算機管理系統絕大多數的應用需求，但定時循環(huán)訪問也降低了系統消息傳遞的實時性，與基于局域網廣播的管理系統相比，向大量客戶端統一發(fā)送指令的延遲較大。因此可以在客戶端定時循環(huán)訪問服務器的機制基礎上，根據需要再采用HTTP長連接（HTTP persistent connections）技術實現服務器向客戶端實時發(fā)送消息，從而結合兩種機制的優(yōu)點，在網絡節(jié)點不能直接互連的復雜網絡環(huán)境下也實現類似局域網廣播的實時消息傳遞效果[3]。HTTP長連接技術通過服務器端在接受客服端請求后保持TCP連接不斷開，從而用一個TCP連接處理多個HTTP請求和響應，實現了TCP連接的復用，與每次客戶端請求都建立新的TCP連接相比，有效降低了系統負載。更重要的是由于TCP連接沒有斷開，服務器端可以實時向客戶端發(fā)送消息，應用在公共計算機管理系統中可以通過控制服務器端向所有計算機發(fā)送重啟和關機等系統命令。

在具體的系統開發(fā)中，可以用nginx的nginx_http_push_module模塊來實現服務器端的HTTP長連接[4]，而在客戶端實現上，由于在HTTP/1.1中，默認使用的就是長連接方式，因此只要在客戶端中不明確斷開連接，就可以保持與服務器端的長連接。

3 新型公共計算機管理系統的開發(fā)

以Windows XP的GINA為例，可以設計一個GINA的登錄對話框，包括用戶名和密碼輸入框，以及登錄確認按鈕等，在點擊確認按鈕的函數中可以加入自定義的認證機制，即通過HTTPS協議向服務器發(fā)送HTTP POST請求，并接收服務器端的反饋，以確定是否允許用戶登錄。如果用戶名和密碼驗證通過，則調用以下代碼允許登錄：

PostQuitMessage(0);

最終將自定義的GINA工程編譯為一個DLL文件，如MyGina.dll，并且導入注冊表替換系統自身的登錄框：

REG ADD “HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon” /V GinaDLL /T REG_SZ /D MyGina.dll /F

在Windows Vista之后的Windows系統中，采用了新的登錄認證接口：Credential Provider API。微軟提供了進行Credential Provider二次開發(fā)的示例代碼：Credential Provider Samples[7]。在SampleAllControlsCredentialPro vider.vcproj工程的CSampleCredential.cpp程序中也可以加入自定義的登錄認證代碼，并最終編譯為SampleAllCont rolsCredentialProvider.dll，將以下注冊表內容導入注冊表以啟用自定義的登錄機制：

在實現了公共計算機管理系統的客戶端和登錄框之后，系統的用戶數據、設備數據、計費、管理、報表等功能都集中在服務器端數據庫中實現，各個學校可以根據自身需求設計和開發(fā)數據庫，而系統的管理界面完全采用通過HTTPS協議Web方式訪問和操作服務器端的數據庫來實現。如在一個基本的公共計算機管理系統數據庫中至少應該包括以下一些數據表：

1）機房，包含所有機房的位置、設備數量、編號等字段；

2）設備，包含所有計算機的編號、IP地址、MAC地址、所在機房等字段；

3）用戶，包含用戶姓名、卡號、余額等字段，在采用智能一卡通刷卡的環(huán)境中，可以在用戶通過POS機刷卡時直接讀取一卡通中信息并插入用戶表；

4）賬單，包含記錄用戶每次使用的刷卡上機時間、刷卡下機時間、使用時長、登錄設備、計費金額等字段；

5）命令，定義服務器端向每個客戶端發(fā)送的系統指令和執(zhí)行狀態(tài)，從而實現控制計算機關機、重啟和執(zhí)行系統命令等遠程操作。

4 結束語

本文分析并設計的新型公共計算機管理系統，滿足了在新的高校辦學環(huán)境和校園網絡環(huán)境下公共計算機機房的管理需求，在系統的核心結構上較傳統的公共計算機管理系統更為精簡可靠，可靈活選擇多種實現技術，從而簡化公共計算機管理系統的開發(fā)過程，使系統開發(fā)更加關注設備管理、課程管理、上機計費等實際應用功能，并且保障了公共計算機機房運行過程中的網絡安全和信息安全。

[1]梁根.基于RADIUS的校園網認證管理系統的研究與實現[J].計算機技術與發(fā)展,2006(6):43-46.

[2]肖曦.基于HTTPS的統一通信系統安全設計[J].物聯網技術,2011(5):67.

[3]姜毅.基于HTTP的實時信息傳輸方法[J].計算機工程與設計,2008(10):2451-2453.

[4]Nginx & Comet: Low Latency Server Push[EB/OL].[2013-05-04].http://www.igvita.com/2009/10/21/nginxcomet-low-latency-server-push/.

[5]Winlogon and GINA[EB/OL].[2013-07-04].http://msdn.microsoft.com/en-us/library/aa380543%28v=vs.85%29.aspx.

[6]Windows Interactive Logon Architecture[EB/OL].[2013-07-04].http://technet.microsoft.com/en-us/library/ff404303%28v=ws.10%29.aspx.

[7]Create Custom Login Experiences With Credential Providers For Windows Vista[EB/OL].[2013-07-04].http://msdn.microsoft.com/en-us/magazine/cc163489.aspx.