基于CORBA的目录服务在基于Web的网络信息管理中的应用

李晓东 阎保平

（中国科学院计算机网络信息中心 100080）

摘要：本文分析了基于Web的网络信息管理的定义以及网络信息管理中的关键技术，针对网络信息管理中的数据存储和信息服务的特点，提出了基于CORBA和LDAP技术的目录服务解决方案，并论述了它在网络信息管理系统中的作用和重要性。最后，在信息管理研究的基础上，给出了目录服务在当前网络发展尤其是电子商务中的应用前景。

关键词：信息管理、目录服务、软件总线

现代网络管理分为网络运行管理和网络信息管理，也就是通常所讲的NOC和NIC的功能。网络运行的管理，主要是针对FCAPS五个功能领域（故障Fault，配置Configuration，记帐Account，性能Performance，安全 Security）的管理，重点在于保证网络在物理上的畅通。一般意义上的网络信息管理局限于对基础运行信息的管理（域名和IP地址的分配和管理）。但是，随着网络技术的发展，Internet/Intranet逐步超越了单纯的网络模型的范畴，而成为一种新的规范的基础应用环境。由于用户数量以及信息发布量的不断增加，以及存在的信息安全和用户权限的问题，使得网络信息管理关系到整个网络资源的有效利用，方便使用，安全可靠和有序运行。

网络信息管理的目标就是以信息资源组织、信息平台协调、用户及其权限管理、安全防范策略等方面为出发点，建立的一个集成化的综合网络信息服务管理平台，统一管理入口，对用户透明，并使信息服务管理由人工向智能化方向转化，减少人为的失误，从而保障网络服务的正常运行。

1网络信息资源的分类

网络信息管理系统的核心就在于对网络信息的管理，我们将要管理的网络信息资源根据它的作用做了如下的划分，这种划分的原则和结果是系统设计实现的基础。为了有效的管理这些信息，我们引入了目录服务，利用目录服务的技术特点，将目录服务构建于软件总线之上，作为网络信息管理中的数据核心，并提供目录服务。

基础运行信息：包括IP地址、域名的申请注册。

服务器信息：服务器的正常运转和管理是保证正常信息服务的核心。网络信息管理要管理其配置情况、动态监视其服务和访问情况，保证负载均衡。

用户信息：用户信息（包括姓名、工作部门、职位、职责权限等级、电子邮件地址等）是安全机制的一部分，基于角色的访问控制、身份认证以及对角色的定义和修改是维护网络信息管理的基础。目前许多服务器引入Push技术，直接将用户关心的信息“推”给用户，使得用户管理

1本文研究得到国家863-306-ZD-08-01“计算机网络管理与安全系统”研究基金资助。

作者：李晓东，1976年生，硕博连读，计算机软件与理论专业，主要研究领域为计算机网络与通信；阎保平，1950年生，研究员，博士生导师，主要研究领域计算机网络通信。

本文通讯联系人：李晓东，北京349信箱中国科学院计算机网络信息中心，100080 lixiaodong@cnnic.net.cn

1同信息资源管理也有关。

网络信息资源：包括信息发布、信息过滤、信息的检查、索引和导航的形成等。在一个实际环境中，信息在服务器上的分布是“非线性”和分散的，信息发布的过程是分布的和异步进行的。应该有序地发布信息，使得恰当的信息发布给具有相应权限的用户，防止信息的不合理泄露和不良信息的引入。

2基于CORBA的目录服务应用于基于Web的网络信息管理所采用的关键技术

2．1基于Web的网络管理

基于Web的网络管理就是使用Internet作为管理工具，实时的监控并活动的管理一个网络，而不用考虑网络管理者的位置。它利用Web技术来扩展网络管理的功能，使得用户通过利用浏览器的自然功效来扩展协同网络管理工具的监控、配置、和故障检修等诸多功能。

URL、HTTP、HTML(以及XML)、Web服务器和Web浏览器是构成Web的五大要素。Web的本质内涵是一个建立在Internet基础上的网络化超文本信息传递系统，而Web的外延是不断扩展的信息空间。利用Web技术建立新一代网络管理模式是建立友好管理入口的最好方式。基于Web 的系统具有以下优点：易于使用（使用书签解决多次访问中重复输入的繁琐问题）、易于访问（基于Web的系统提供了从世界任何地方访问关键管理站点和部件的能力）、平台自由（不必要关心被管机器的位置和系统差别，只要可以访问网络，应急情况下网络管理员完全可以通过取得网络连接后组建一个临时管理中心[makeshift management center]）[2]。

基于WEB的网络信息管理系统的实现我们采用代理方式，即在内部工作站上运行Web服务器（代理），浏览器用户与代理通信，代理与端点设备之间通信。

2．2Web对象计算体系之CORBA方案

CORBA引入了代理（Broker）的概念，实现客户方程序与服务器方程序完全分离，将分布计算和面向对象的概念相互结合提供软总线机制，采用分层的设计原则和实现方式。CORBA为应用程序的开发屏蔽了数据编码、网络传输、对象定位等许多网络编程细节。它具有跨平台和跨语言的特性，在异构环境下易于集成和开发分布式WEB应用。CORBA的对象服务，可被CORBA-Web环境中的各种应用所使用。CORBA实现了服务对象的位置透明性、实现透明性、执行状态透明性和通信机制透明性，只要按照OMG IDL接口描述语言对服务对象所提供的服务进行描述，客户应用和服务对象之间就可以透明的交互运行。应用软件和构件就能够在“软件总线”（Software Bus）之上实现“即插即用”（Plug&Play）。

将CORBA应用于基于Web的网络管理需要对Web进行开放性改造，理想的方法是允许用户通过浏览器可视化地操作和管理分布在各处的CORBA对象。将Web和CORBA结合的简单方式就是在Web服务器上实现一个Web-CORBA网关，CGI程序作为CORBA客户，将来自浏览器的请求提交给CORBA对象。CORBA客户方程序从HTTP服务器下载执行，与应用服务器上的CORBA应用对象通过IIOP协议进行通信，调用其指定的操作。CORBA应用对象首先对客户的请求进行认证和解释，根据客户请求的内容，或是直接访问资源层的数据库，或者是和网络上的其他CORBA对象交互，共同完成客户请求[3]。

2

2．3目录服务与LDAP

目录类似于数据库。它包含更多描述性的、基于属性的信息，优于支持高读取/写入比，适用于大量查找和搜索操作。目录服务通常提供统一的名字空间（namespace）,访问者在任何地方都能看到同样的数据视图。它为各种网络服务、管理系统、应用系统提供用户管理、配置信息管理、存取控制管理、客户桌面管理等管理的集中入口和操作界面，所有用户的信息被所有应用共享，减少了传统系统中的冗余信息并简化了管理的复杂度。目录服务逐渐成为网络服务以及网络操作系统的核心服务，是网络应用和分布式计算的基础。这也我们采用它作为核心技术的原因所在。它负责建立并维护一个包含用户和资源访问的目录树，树中的每个节点代表不同的用户或资源，具有基本属性（如属主、属组，访问权限等），这样可实现对不同用户和资源的访问授权与控制。

目录服务的国际标准是X.500。X.500定义了目录访问协议DAP(Directory Access Protocol),它运行在完整的OSI 堆栈基础之上，需要大量的计算机资源。

LDAP 最初被设计用做X.500的前端工具，直接在TCP 上运行，能以较低代价完成DAP 的绝大部分功能。在RFC1777中对它进行了详细的描述[4]。在LDAP 中，所有的条目按照层次化的树状结构来组织，可反映出行政上、地理上或组织上的边界。LDAP 是基于条目（Entry ）的目录服务。一个条目是一组属性的集合，每个条目具有一个名字，唯一地标示一个条目称作DN (Distinguished Name)。条目中的每个属性都具有类型和相应的一到多个属性值。属性类型通常是字符串，譬如“cn ”代表普通名称，“mail ”代表电子邮件地址等等。一个条目通过其DN 来引用。DN 的构建规则如下：条目本身的名字(称为关系名RDN, Relative DN)加上其父条目的名字。例如，Xiaodong Li 具有RDN 值“cn=Xiaodong Li ”，那么DN 值就是“cn=Xiaodong Li, o=CNNIC,c=CN ”。如图1所示。DN 格式的详细描述在RFC1779中[5]。

3

LDAP 定义了查询和修改目录的操作。这些操作可以

从目录中增加或删除条目、更改现有的条目、改变条目名

等等。譬如您想在CNNIC 目录子树中查找名叫XiaoDong Li 的人，找出他们的email 地址，LDAP 能让您很容易地

做到这一点。LDAP 提供了一种机制以便访问者向目录服

务器证明自己的身份。它能同X.509结合起来，从而提供

一种大大优于username/password 机制的强认证方式。 LDAP 目录服务基于客户/服务器模型。一个或多个LDAP 服务器中存放着组成目录树的所有数据。LDAP 客

户连接到一个LDAP 服务器上并发出请求，服务器给出回

答，或给出一个指针指向其它的LDAP 服务器。无论LDAP

客户连接到哪个LDAP 服务器，看到的都是相同的目录视图[1]。

图1 目录结构 3系统实现

根据863-306-ZD08-01“计算机网络管理与安全系统”的要求，利用上面所分析的三种技术，我们实现了一个网络信息管理系统，将目录服务构建在CORBA 这种Web 对象计算体系之上，将基于Web 的网络管理技术、软件总线和目录服务有机地结合在一起。总体结构图如图2所示，系统

通过Web 提供统一的管理和使用入口。目

录服务在整个系统中的核心作用可以从总

体设计图中体现出来。用户通过浏览器采

用HTTPS 访问网络信息管理系统，不同的

用户有不同的访问权限。系统根据系统访

问策略决定提供给用户何种访问界面入

口。

系统的核心从用户/管理员角度从外到内依次分为四层：管理层、控制层、软件总线层和实现层，如图3所示。

管理层定义供客户/管理员使用的管理界面，提供Web 方式的管理和操作控制

台。管理层是一个启用SSL 的Web 服务器，

根据访问者的类型提供不同功能的管理界

面。

控制层实际上就是中间层，位于Web 服务器后面，用于将Web 服务器接收到的请求传递给软件总线层。其作用是控制网

络服务器上的功能实现模块的行为。

软件总线层按CORBA 模型引入，位于控制层和实现层之间，其作用是实现分布式对象调用，以适应网络监控和管理的需要。采用软件总线层是适应网络信息服务管理系统可扩展性方面的需要，易于增加新的网络服务和应用。 4

实现层位于网络服务器上，它能接收并解释从软件总线层传送的来自控制层的操作命令或数据请求，并将相应的结果通过软件总线层反馈回去。 4目录服务在系统中的关键作用

基于CORBA 提供LDAP 服务的好处在于可以易于集成和转接使用，系统的开发屏蔽细节，使用透明。目录服务的作用主要

应用于以下几个方面：服务管理、证书管理、安全监测、注册服务、客户和员工管理。采用此种服务的作用主要是数据存储和提

供目录服务，下面简要说明。 网络服务管理中被监控服务器服务或系统配置等信息存放

在目录服务器中，被监控服务器与目录服务器之间产生数据或控制的交换。通过LDAP 协议完成对目录数据库里有关网络服务注册信息的增、查、改、删等操作。

数据 控制图3 系统分层结构

在证书管理中客户和员工通过管理服务器注册自己的信息，注册通过后管理服务器颁发相应权限的证书。管理服务器从目录服务器中查询访问控制策略（ACP ）信息，把证书申请和员工的固定权限信息送到证书服务器。管理服务器和证书服务器通过LDAP 来访问目录服务器，存取员工注册信息、ACP 。

在注册服务中，将与域名和IP地址相关的信息都放在目录数据库中，这些基础运行信息的管理直接关系到整个信息管理的有效性，我们把这些作为基础管理内容并对外提供目录服务。

在客户和员工管理中，客户是使用网络信息管理所提供的业务的外部人员，对不同客户根据访问策略决定客户的访问权限，并将客户信息对外提供目录服务。员工专指保证以上基础服务不间断地正常运行的NIC内部工作人员。从管理者的角度来看，对每个员工的基本信息、职责划分、权限定义需要有全盘统一的掌握；从员工自身的角度来说，其个人信息包括地址簿（Address Book）、书签(Bookmarks)、数字证书等常用网络信息也需要统一和集中的存放和维护，员工可以在不同地方对个人信息进行访问、更改并保存到同处，从而保证了信息的一致性和统一性。这些信息就是存放在目录服务器中的。

5结论及应用展望

网络信息管理是一个比较新的应用课题，如何管理更多的应用服务是系统的重点，本系统采用软件总线结构的好处就在于易于集成新的应用，我们下一步的工作就是尽可能集成更多的网络应用服务管理。

此外，目录服务是本系统的核心，对客户、主机和单位等信息的管理均可以对外提供服务，基于本系统的架构和技术我们可以建立一个目录服务中心，提供对各种信息的统一管理，尤其是人员信息的管理。结合认证机制建立目录服务中心可以作为一种方案来解决电子商务发展中客户信息重复注册以及商家和客户之间的互信任问题，对推动网络应用的发展以及便利用户使用网络都会产生强有力的帮助。

参考文献

[1] Timothy A.Howes, Mark C.Smith, Gordon S.Good Understanding and Deploying LDAP

Directory Services Macmillan Technical Publishing 1999

[2] Curt Harler Web-based Network Management : Beyond The Browser

Wiley Computer Publishing 1999

[3] 汪芸 著 面向二十一世纪的软总线 CORBA技术及其应用 东南大学出版社 1999

[4] W. Yeong, T. Howes, and S. Kille “Lightweight Directory Access Protocol”,

Internet Engineering Task Force (IETF) RFC 1777, Mar. 1995

[5] S. Kille “A String Representation of Distinguished Names”

Internet Engineering Task Force (IETF) RFC 1779, Mar. 1995

5Application of CORBA-based Directory Service in Web-based Network Information Management

Li Xiaodong [ Major : Computer Network ]

Directed by : Professor Yan Baoping

Abstract: The definition of Web-based network information management and some key technologies are analyzed in this paper. According to the characteristics of data storage and information service in the system, a CORBA-based directory service solution is put forward, whose function and significance in system are discussed. As a conclusion, based on the research of information management, the future of directory service in network development, especially in E-commerce, is presented.

Key words: information management, directory service, software-bus

6