1、基于 Web Services 的数字化校园的构建研究摘要:本文从数字化校园建设的发展阶段和实际要求出发,以数字化校园理念为基础,采用最新的 Web 服务技术,构建一个高效、安全、松散藕合和高度集成的数字化校园框架体系,并对所采用的核心技术进行研究和探索。 关键词:Web 服务;数字化校园;统一描述、发现和集成;单点登录;CA认证 1 引言 社会信息化的推进使得校园网得以迅速的发展,越来越多的校园依托校园网建立起了各种应用系统,如办公自动化系统、教务管理系统、科研管理系统、人事管理系统、后勤管理系统、学生管理系统等。在前期建设阶段,由于没有做好统一的规划,各职能机构都建立了各自的信息系统,由于
2、编程语言差异、数据库异构、数据标准不统一等原因,各个系统之间无法进行正常通信,为用户造成了很多不便。因而,本课题就从数字化校园建设的发展阶段和实际要求出发,以数字化校园理念为基础,采用最新的 Web 服务技术,构建一个高效、安全、松散藕合和高度集成的数字化校园框架体系,并对所采用的核心技术进行研究和探索。 2 Web 服务简介 Web 服务是一种部署在 Web 上的对象,是一种可通过标准 Internet 协议访问的自包含的、自描述的、模块化的、可编程的应用逻辑,是对象/组件技术在 Internet 中的延伸,可以通过 Web 发布、查找和调用。其协议包括: (1)XML(Extensible
3、 Markup Language,可扩展标记语言) 由标准通用标记语言(SGML)发展而来,现已成为一种人们广泛接受的用于描述数据和创建标记语言的标准。 (2)SOAP(Simple Object Access Protocol,简单对象访问协议) 作为 Web 服务的标准通信协议。简单对象访问协议(SOAP)是一个用来在分散、分布式的环境中交换信息的简单协议,它是一个基于 XML 的协议。 (3)WSDL (Web Services Description Language) 描述 Web 服务的 XML 格式语言。它用来定义 Web 服务,并描述如何访问这些服务。 (4)UDDI(Univ
4、ersal Description,Discovery and Integration) 一套面向 Web 服务的信息注册中心的实际标准和规范。创建 UDDI 注册中心的目的是实现 Web 服务的发布和发现,可以利用 UDDI 规范在 Web上建立和发现服务。 以上这些协议规范加上广泛使用的传输层和网络层的通用标准(TCP/IP、HTTP、SMTP 等)就能实现一个完整的 Web 服务体系架构。 3 Web 服务体系结构 Web 服务体系结构 SOA,清晰地描述了各角色之间的交互,如图 1 所示。SOA 体系结构中共有 3 种角色:(1)Service Provider:服务提供者。为其他服务
5、和用户提供已有的功能,从体系结构上看,它是指提供服务访问的平台;(2) Service Requester:服务请求者。需要某种特定服务的企业或个人,是服务功能的使用者,从体系结构上看,它是指查找和调用服务的客户端程序;(3) Service Registry:服务代理。用来存储服务描述信息的信息库,是服务提供者发布服务和服务请求者查找服务并获取服务的绑定信息的场所,充当管理者的角色。 在 Web 服务的角色之间进行了 3 种操作:(1)发布:使服务提供者可以向服务代理注册自己的功能及访问接口;(2)查找:使服务请求者可以通过服务代理查找特定种类的服务;(3)绑定:使服务请求者能够真正使用服务
6、提供者所提供的服务。 4 基于 Web Services 设计数字化校园 4.1 系统概述 整个系统旨在整个校园的不同部门机构,不同平台,但与校园运作相关部门分布式协同处理业务,并实现系统跨平台跨部门的无缝连接。在设计模式上,对于校园的规模没有明确界限,可以通过 Web 服务进行高性价比的平台集成,因而系统规模易于扩展。 数字化校园总体架构如图 2 所示。 4.2 UDDI 4.2.1 UDDI 概述 UDDI(Universal Description、Discovery and Integration) 1,是一套面向 Web 服务的信息注册中心的实际标准和规范。创建 UDDI 注册中心的
7、目的是实现 Web 服务的发布和发现,可以利用 UDDI 规范在 Web 上建立和发现服务。简单的说,Web 服务是一种开发的规范,使得通过网络可以对基于规范开发的各种应用进行调用、整合,从而在互联网上完成更复杂的任务,UDDI 就是 Web 服务的服务中介。目前,关于 Web 服务的几个底层标准协议,业界已经基本达成共识,包括 XML、SOAP、WSDL、UDDI 等。 4.2.2 UDDI 在 Web 服务中的位置 如图 3 所示,UDDI 包含于完整的 Web 服务协议栈之内,是协议栈基础的主要部件之一,服务提供者和服务请求者通过其来完成 Web 服务的创建、说明、发现和调用2。 由于
8、UDDI 的构建是基于网络传输层和基于 SOAP 的 XML 消息传输层之上的。Web 服务描述语言(Web Services Description Language,WSDL)为 UDDI 提供了统一的 XML 词汇供描述 Web 服务及其接口使用。比如使用WSFL(Web Services Flow Language,Web 服务流语言)的 Web 服务工作流描述以及安全性,管理和服务质量,解决系统的可靠性和可用性问题。 4.2.3 UDDI 的商业注册与 UDDI 商业注册中心 UDDI 的核心组件是 UDDI 商业注册,它使用一个 XML 文档来描述企业及其提供的 Web 服务。从概
9、念上来说,UDDI 商业注册所提供的信息包含三个部分:“白页(White Page)”,包括了地址,联系方法,和已知的企业标识;“黄页(Yellow page)”包括了基于标准分类法的行业类别;“绿页(Green Page)”,则包括了关于该企业所提供的 Web 服务的技术信息,其形式可能是一些指向文件或是 URL 的指针,而这些文件或 URL 是为服务发现机制服务的。所有的 UDDI 商业注册信息存储在 UDDI 商业注册中心中。以上 3 种信息,UDDI 定义了 4 种核心数据结构类型加以描述,简单介绍如下3。 (1)商业实体信息:businessEntity 元素 在商业领域内,合作伙伴
10、和潜在的合作伙伴都期望能准确地定位到商业实体所能提供的服务或产品的相关信息,并把这些信息作为了解企业的开始。而在技术领域,技术人员、程序员或应用程序都期望能知道他们需要集成的商业实体的名称和一些关键性的标识,该商业实体是属于哪个具体工业分类之类的分类信息,以及联络方法(包括 Email、电话、URL)等。支持对 UDDI 商业注册的商业信息发布和发现的核心 XML 元素都包含在“businessEntity“结构中。这个结构是商业实体专属信息集的最高层的数据容器,位于整个信息结构的最上层。 (2)商业服务信息:businessService 元素 businessService 结构将一系列有
11、关商业流程或分类目录的 Web 服务的描述组合到一起。businessService 和下面要提到的bindingTemplate 一起构成了“绿页”信息。其中,一个可能的商业流程的例子是一组相关的 Web 服务信息,包括采购服务、运输服务和其它的高层商业流程。这些服务都将是提供这些商业流程服务的商业实体所需要注册的 Web 服务。这些 businessService 的信息集合可以再次加以分类,使 Web 应用服务的描述可以按不同的行业、产品、服务类型或是地域划分来进行。分类的方法的机制与 businessEntity 是类似的。 (3)技术绑定信息:bindingTemplate 元素 对
12、于每一个 businessService,存在一个或多个 Web 服务的技术描述bindingTemplate。这些技术描述包括应用程序连接远程 Web 服务并与之通讯所必须的信息。这些信息包括 Web 应用服务的地址、应用服务宿主和调用服务前必须调用的附加应用服务等。另外,通过附加的特性还可以实现一些复杂的路由选择,诸如负载平衡等。 (4)元技术信息:tModel 元素 调用一个服务所需要的信息是在 bindingTemplate 的结构中定义的。不过一般来说,仅知道 Web 服务所在的地址是不够的。例如,如果知道合作伙伴提供一个 Web 服务来让我下订单,同时也知道这个服务的 URL,不过
13、如果不知道一些具体的信息,如订单的具体格式,应该使用的协议,需要采用的安全机制,调用返回的响应格式等,那样的话,通过 Web 服务将两个系统集成起来仍然是非常困难的。 当一个程序需要调用某个特定的 Web 服务时,必须根据应用要求得到了足够充分的调用规范等相关信息,以使调用被正确地执行。因此,每一个 bindingTemplate 元素都包含一个特殊的元素,该元素包含了一个列表,列表的每个子元素分别是一个调用规范的引用。这些引用作为一个标识符的杂凑集合 ,组成了类似指纹的技术标识,用来查找、识别实现了给定行为或编程接口的 Web 服务。 4.3 单点登录 4.3.1 单点登录概述 单点登录(S
14、ingle Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO 的定义是用户只需进行一次登录注册,就可以访问多个相互联系的应用系统,而不必反复进行身份认证4。 4.3.2 单点登录设计 通过 Web 服务实现用户身份验证,验证通过后将自动随机生成 ticket,并传给用户,当用户访问其他应用系统时,仅需对 ticket 进行合法性验证。在这里,Web 服务只需实现用户登录基本信息验证、ticket 生成、ticket合法性验证这三个功能,就可以进行统一身份认证。单点登录模型的体系结构如图 4 所示5。 4.3.3 单点登录实现 服务器端在开发时所使用的操作系统
15、为 Windows Server2003,数据库为 SQL Server2000,在 Eclipse 开发环境下进行开发调试,使用 Tomcat 5作为服务器,axis2 作为 SOAP 搜索引擎。当环境部署完成之后,进行应用程序的开发,将单点登录系统以定制方式发布为 Web 服务,成为服务提供者,为校园不同部门机构门户提供服务。 4.4 CA 认证中心 4.4.1 CA 简介 CA(Certificate Authority)6是数字证书认证中心的简称,是指发放、管理、废除数字证书的机构。CA 的作用是检查证书持有者身份的合法性,并签发证书(在证书上签字),以防证书被伪造或篡改,以及对证书和
16、密钥进行管理7。 4.4.2 公钥体系结构中的一些基本概念与结构组成 (1)密钥对 在基于公钥体系的安全系统中,密钥是成对生成的,每对密钥由一个公钥和一个私钥组成。在实际应用中,私钥由拥有者自己保存,而公钥则需要公布于众。为了使基于公钥体系的业务能够广泛应用,一个基础性关键的问题就是公钥的分发与管理。 公钥本身并没有什么标记,仅从公钥本身不能判别公钥的主人是谁。 在很小的范围内,比如 A 和 B 这样的两个小集体,他们之间相互信任,交换公钥,在互联网上通讯,没有什么问题。这个集体再稍大一点,也许彼此信任也不成问题,但从法律角度讲这种信任也是有问题的。如再大一点,信任问题就成了一个大问题。 (2
17、)证书 互联网络的用户群绝不是几个人互相信任的小集体,在这个用户群中,从法律角度讲用户彼此之间都不能轻易信任。所以公钥加密体系采取了另一个办法,将公钥和公钥的主人名字联系在一起,再请一个大家都信得过有信誉的公正、权威机构确认,并加上这个权威机构的签名,这就形成了证书。 由于证书上有权威机构的签字,所以大家都认为证书上的内容是可信任的;又由于证书上有主人的名字等身份信息,别人就很容易地知道公钥的主人是谁。 (3)CA CA 也拥有一个证书(内含公钥),当然,它也有自己的私钥,所以它有签字的能力。网上的公众用户通过验证 CA 的签字从而信任 CA,任何人都应该可以得到 CA 的证书(含公钥),用以
18、验证它所签发的证书。 如果用户想得到一份属于自己的证书,他应先向 CA 提出申请。在 CA判明申请者的身份后,便为他分配一个公钥,并且 CA 将该公钥与申请者的身份信息绑在一起,并为之签字后,便形成证书发给那个用户(申请者)。 如果一个用户想鉴别另一个证书的真伪,他就用 CA 的公钥对那个证书上的签字进行验证(如前所述,CA 签字实际上是经过 CA 私钥加密的信息,签字验证的过程还伴随使用 CA 公钥解密的过程),一经验证通过,该证书就被认为是有效的。 CA 除了签发证书之外,它的另一个重要作用是证书和密钥的管理。 由此可见,证书就是用户在网上的电子个人身份证,同日常生活中使用的个人身份证作用
19、一样。CA 相当于网上公安局,专门发放、验证身份证。4.4.3 认证模块的实现 (1)访问控制的设计思想 用户登录系统时,客户端和服务器端利用数字证书进行双向认证,建立 SSL 连接,然后查询数据库,对用户进行授权,并将权限集合保存在会话中。之后的交互中,用户每次发出请求,系统都先进行权限判定的过滤,以实现对静态资源(静态 HTML 页面、图片资源等)与动态资源(JSP 页面、Servlet 和 Bean 等)的细粒度的访问控制,为系统的安全访问提供有效保障。 (2)数字证书签发工具 通过 SWING 技术开发简易的证书制作工具生成根证书、签署证书和导出公钥证书等。 生成根证书的关键代码如下:
20、 /根据所给算法实例化密钥对产生器 CertAndKeyGen keyPair=new CertAndKeyGen(keyAlg,sigAlg); /产生长度为 keySize 的密钥对 keyPair.generate(keySize); PrivateKey priKey=keyPair.getPrivateKey(); /根据所填信息,创建 X500Name 实例 X500Name x500Name:ereateX500Name(); /生成自签名证书 X509 Certificate eert=keyPair.getSelfCertifieate (x500Name,validity 木 24 木 60 术 60); /设置证书链 X509Certifleatechain=cert; ks.setKeyEntry(alias,priKey,keyPass,chain); 4.4.4 配置 SSL 修改 IBMHttpServer/conf/httpd.conf 文件,在最下面增加: LoadModule ibm_ssl_module modules/IBMModuleSSL128.dll