数据管理中核心中间件应用

无厘同心恭城

中间件通常也被称作“胶合剂（Glue）”，它处于软件的网络层与应用层之间，用于提供各身份证明、认证、授权、目录和安全等服务。一个通俗反映它的内涵宽度定义是“中间件是网络工程师和应用程序开发人员都不想做的工作的交集”。

由于教育与研究机构的独特性，中间件在教育与研究机构内部部署比在其他行业部署更为艰难，目前已经逐渐受到高校和研究机构的高度关注。比如当前国内各大高校都在讨论的“无故障单点登录”问题。

在Internet发展初期，各种应用通常必须自己为自己提供身份证明、认证、授权、目录和安全服务，这导致了相互冲突和不协调的标准。为了促进标准性和协同性，中间件应运而生，它的出现将使高级网络应用变得更容易使用。

虽然许多商业机构和组织都意识到中间件的重要性，并开发研究出各种中间件产品，然而美国Internet2和NSF（美国国家自然科学基金会）仍然坚持自己设立研究项目，并维持一套独立的用于教育与研究机构的中间件。原因就在于高校和研究机构在中间件的标准和应用上都有独特之处。

高等教育在中间件的部署上存在独特的技术和政策问题。技术问题包括人员的流动性、设备的多样性和众多的高级应用需求。政策问题包括数据的所有权、公共记录以及机构间长期合作关系等问题。

I2-MI定义了5个核心中间件服务，这5个中间件服务是一个完整的整体：标识符（Identifiers）、认证（Authentication）、目录（Directories）、授权（Authorization）、证书（Certificates）及公共密钥基础设施（Public-Key Infrastructures，PKI）。

中间件及核心中间件是在不断演进发展中的，除了I2-MI和NSF的NMI中间件及核心中间件外，还有一些中间件，例如：医学中间件（MedMid）、courseID、即时消息集成基础设施（Integrated Infrastructure for Instant Messaging）、Video 视频会议中间件（VidMid-VC）等都还处于“休眠”状态，没有得到延续和发展。

Internet2的中间件及核心中间件是十分值得我们的关注、学习并参与实践的，它对推动发展我国的下一代互联网应用起到非常重要的参考作用。国内的一些学校已经参考I2-MI和NMI核心中间件有关的标准，做出了成功的尝试。

核心中间件 服务标识符（Identifiers）

标识符简称ID，是将真实世界主体与一组计算机通过识别数据相连接，以使不同的主体有不同的字串标识。一个真实世界主体可能是一个人、物体（例如，打印机、文件或应用程序）、用户组或部门。SSID、学号及雇员号就是一种标识符，学生及教职工的Email地址、账号、网络应用ID（NetID）也是IT环境中的标识符。

I2-MI认为标识符已经成为高等学校环境的一部分，虽然目前它们的使用范围有限，但标识符正逐步向计算和网络化环境扩散。当网络化环境资源的重要性逐步提高时，认证和授权与每个标识符之间的关系成为非常重要的问题。导致标识符的地位日益提升的原因是：

1. 标识符是高等学校中间件基础设施的基础。如果你不知道如何称呼一个主体，你就无法找到它，如果无法找到它，就无法为它提供认证、授权、目录等各种服务。

2. 标识符管理政策将使高校内对标识符的命名、权威性、在信息系统中的使用限制等问题的灰色地带得以“照亮”。

3. 有了统一标识符，独立的系统成为信息孤岛的机会将会减少。

4. 如果学校的IT政策有足够的影响力，所制订的标识符也可在各部门分布式和委托管理的环境中使用，减少各部门在信息管理方面的成本。

核心中间件 服务目录（Directories）

目录是保存与身份相关的信息和数据的中央仓库。这些数据仓库（repositories）是可以被人和应用程序访问的，例如获取信息，保存对个人参数、属性、定制环境、邮件与文件路由指向。

I2-MI认为就目前技术发展而言，目录几乎是所有中间件服务运作的关键。目录可以包含关键的用于人、过程、资源和组的用户化信息。目录信息被放置在一个共同的贮存区, 不同的应用从不同的地点访问一个一致、全面的用于当前关键数据的数据源。在未来IT环境中, 目录将是最重要的关键服务
在部署营造校园目录服务问题上，I2-MI建议遵循三个步骤：

1. 设计目录，包括设计它在校园IT应用中的用途、访问和更新目录的政策、确定信息来源及需要使用目录数据的应用程序。

2. 开发目录，包括设计健壮的、可以扩展的目录架构，在旧系统和目录之间编写接口。

3. 运作目录，包括为用户和系统提供工具以更新信息，当需要时扩展使用目录和升级基础设施。

I2-MI建议在部署目录时候应该关注三大问题：多校区目录问题、技术问题和政策问题。

1.多校区目录问题。早期的目录的应用主要是单校区的应用，但高等教育与研究机构需要在多个校区之间协同工作。I2-MI/NMI建议在多校区环境下，需要有目录服务的命名规范，使多校区应用能横跨服务器进行查询。

2.技术问题。开发目录需要小心考虑与平衡一系列的技术参数，权衡中央分布管理、私有协议的问题、复制同步等问题。特别是要注意目录的互操作性与安全性。用于目录访问控制的安全系统是必不可少的，有了这个保障，目录就可以用于存储关键安全信息。另外，还需要就核心目录技术、分布式目录（Novell/AD）及历史遗留的数据库等多方面问题进行考虑。如果目录及目录的数据都是分散的，还应该考虑元目录（Meta-Directory）问题，元目录呈现给应用或最终用户的是一个单一的无缝的服务，但事实上它是充当中间“代理人”的角色，将请求发送到适当的分布式的服务器上。元目录需要解决的是数据的多版本、版本不一致及性能问题。

3. 政策问题。在高等学校中部署一个真正跨越校区的目录服务的最大困难是政策和资金问题。特别是在数据管理问题，许多高等学校没有清楚地考虑定义数据所有权和访问权限问题，而这是目录服务工程项目首要考虑的问题。类似地还有目录数据的隐私和可以公开的记录等问题。目录的建设资金问题也是需要考虑的，中央目录基础设施的成本包括服务器、为历史遗留系统开发接口、目录模式的管理等。

目前，各种不同的目录服务器软件系统都允许用户自行定制目录模式，加入自定义的对象类属性。因此在各种不同的目录服务器软件系统上实施eduPerson及eduOrg目录模式并不是一件困难的事情。

核心中间件服务证书（Certificates）

及公共密钥基础设施（PKI）

高等学校对应用X.509证书解决信息化中碰到的信息和网络安全问题寄予很大兴趣，但广泛地成功使用证书还需要克服一些主要的难题。为了有效利用证书，必须建立由软件、协议和法律协定构成的公共密钥基础设施（PKI）。

为了促进高校PKI的发展，Internet2、EDUCAUSE、Net@EDU建立了两个HEPKI小组，策略活动小组（HEPKI-PAG，<http://www.educause.edu/PolicyActivitiesGroup/1045>）和技术活动小组（HEPKI-TAG，http://middleware.internet2.edu/hepki-tag）。

建立一个PKI，高校需要制定“证书策略（Certificate Policy/CP）”和“认证操作管理规范（Certification Practices Statement/CPS）”。证书策略描述PKI操作需求，从证书的发放到生命周期管理等。认证操作管理规范，是高校落实证书策略的管理规范。证书策略和认证操作规范关心的议题包括：用户鉴别，注册中心或认证中心在签发证书前鉴别用户身份；证书撤销；CA私钥的保护；用户密钥对的生成和私钥的保护；证书用途；CA层次和信任模型等。

核心中间件服务授权（Authorization）

授权指的是被识别的个体或服务，当完全被认证后允许使用网络化的对象和资源进行特定工作。授权功能的一般要通过认证、目录服务器和证书等去实现。I2-MI在授权方面没有太大的建树，它是目前核心中间件中最不发达和最不定型的部分。造成这种状况的原因是明显的，因为授权是与不同的应用及资源有关，因此难以有比较统一的模式。

I2-MI认为授权面临许多难题：

1. 在什么地方存储授权的特征。授权特征一般存放在不同的地方，通常可以存放目录服务器，也可以是特定的系统或者是在校园网络基础设施中。授权特征也可以存储在文件系统、独立的数据系统、或一个外部的设备（智能卡）。

2. 如何将授权特征传送给应用程序。将授权特征传送给应用程序可以通过多种途径实现：应用程序可以从独立的授权服务器定期更新数据，或动态地从服务器通过RPC请求授权特征。另外用户在应用程序也可以将授权转换成认证的一部分。
3. 如何保证特征的内涵与特征值的正确性和一致性。使用授权值的继承等技术手段是有帮助的，另外授权的委派也是非常重要的功能。

4. 如何有效地表达复杂多样的、在属性处理列表中所暗藏的政策特征。将复杂的政策转换为更多基本属性自动化的结合体的需求，促使政策模型和政策描述语言研究的产生。

核心中间件服务认证（Authentiacation）

认证是核实使用特定标识符的主体的真实性的过程。目前常用的认证方式有：

第一，传统的账号—密码认证方式；第二，聪明卡、Challenge-response（质询—回应）机制认证方式、PKI；第三，图像辨认、指纹和生物测定方式。

I2-MI认为，认证应该是安全的，它是一种可以被各种服务使用的“微粒**”。它应可以被扩展用于实施单点登录，使用户与整个环境得到真正的“实惠”。认证应该是有效率的，不应该给系统和用户资源带来额外的负担。应用系统应不可自由选用其他的认证方式。

高等学校最典型的身份认证方式就是账号-密码认证方式。通常网络传输会使用明文的方式传送账号和密码，密码嗅探将会造成安全隐患。因此不少应用和资源都使用独立的认证服务。

相当多的学校使用Kerberos认证工具，Kerberos的加密密码使登录过程变得安全。SSH也可以加密密码。数字证书也可以用来作为认证的备选方案。智能卡和生物认证技术等装置都在迅速发展，但还不够成熟，而且需要附加硬件设备。

建立校园范围的认证基础设施需要政策和技术密切配合，这取决于共同商讨大家都可接受的标识符和可接受的风险程度。现有的方法和技术也是需要商讨的内容。因此小心处理识别符和从风险管理开始是有必要的。风险管理本身是一个复杂的课题，它包括如了解弱点的本质和损害之间的因果关系，另外不同级别的安全政策的实现成本也是需要了解的内容。由于在线资源的数量增加，风险也会增加。在对认证方法进行选择评估时，I2-MI建议考虑以下问题：

1. 校园是否使用中央认证服务？

2. 是否在几个不同的认证系统中同步密码？

3. 是否检查密码的可靠性，使不容易被破解？

4. 是否定期让用户更改密码？

5. 如果检查到一个受威胁的密码，是否令用户账号无效？使用什么程序恢复用户的账号？

6. 是否有政策指导应用程序如何使用中央标识符/认证系统？

在认证方面，I2-MI/NMI的WebISO工作小组开发出一个“Web Initial Sign-On”(WebISO) 软件包，它允许用户在标准的浏览器上使用标准、典型的用户名/密码的中央认证服务，跨越多台Web服务器去进行基于Web服务的认证。与WebISO相关的关键项目包括：Internet2 Shibboleth项目、Open Knowledge Initiative和uPortal项目等。

>>> I2-MI的分类及重点项目

中间件的定义与分类比较多，许多有趣的分类可以在RFC 2768中找到。这些分类方法都集中在促进应用程序使用网络化资源和服务的工具与数据集。

从层次架构上而言，I2-MI将中间件分为核心中间件（Core Middleware）和面向应用中间件（Application-Oriented Middleware）或称上层件（Upperware）。

核心中间件服务（Core middleware services）是指那些其他中间件服务都要依赖的中间件服务。规范这些服务无论从政策的角度还是从技术的角度，都是同等重要的。I2-MI定义了5个核心中间件服务，这5个中间件服务是一个完整的整体。

I2-MI将在核心中间件之上的服务称做面向应用中间件或上层件。I2-MI在面向应用中间件的描述上有点混乱。面向应用的中间件粗略可以分为：

第一，普适计算工具（Ubiquitous Computing Tools）或普适计算服务（Services for ubiquitous computing）。高等教育需要各种开放协议，并可让学生从任何地点访问他们自己的书签等资源，另外也允许机构和组织间共享文件系统和支援协作工具。

第二，研究应用中间件（Research Application Middleware）或科研计算支持（Support for research computing），努力把分散的国家计算资源变成一个有凝聚力的网格，为来自不同架构的研究者提供一个一致性的访问方式，允许资源、数据和计算的统一协作调度。

第三，商业应用中间件（Business Application Middleware）或行政管理计算支持（Support for administrative computing），新一代业务系统拥有各种依赖同一应用基础设施的松耦合组件，这些组件提供组件请求对象代理、组件间的信息处理、交易监测等服务。

I2-MI的重点项目包括eduPerson、eduOrg (LDAP、目录Schema)、Shibboleth Grouper（开源的组管理工具包）、MW-E2ED（中间件“端到端”诊断顾问小组）及Signet。


转自 http://www.media.edu.cn  作者：商尔从 张永强