專利名稱:實(shí)現(xiàn)消息安全處理的服務(wù)網(wǎng)關(guān)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種服務(wù)網(wǎng)關(guān),尤其是一種應(yīng)用在服務(wù)網(wǎng)格環(huán)境中的服務(wù)網(wǎng)關(guān)�����,以及一種消息安全處理方法����,能夠完成消息端到端的安全性傳送���,實(shí)現(xiàn)移動(dòng)終端無(wú)縫訪問(wèn)網(wǎng)格中的服務(wù)資源。
背景技術(shù):
近年來(lái)�����,面向服務(wù)的計(jì)算和網(wǎng)格技術(shù)飛速發(fā)展�����,基于超文本信息系統(tǒng)(以下簡(jiǎn)稱Web)服務(wù)技術(shù)的服務(wù)網(wǎng)格代表了網(wǎng)格技術(shù)發(fā)展的最新階段�,它利用Web服務(wù)技術(shù)的開(kāi)放性、標(biāo)準(zhǔn)化和統(tǒng)一的功能擴(kuò)展機(jī)制�����,服務(wù)網(wǎng)格技術(shù)較好地解決了網(wǎng)格應(yīng)用間的互操作問(wèn)題�����,使網(wǎng)格技術(shù)在電子商務(wù)��、電子政務(wù)等諸多方面得到進(jìn)一步地應(yīng)用����。
在安全性方面����,由于服務(wù)網(wǎng)格環(huán)境所固有的分布性���、異構(gòu)性���、自治性和動(dòng)態(tài)性,服務(wù)資源具有既分散又聚合的特點(diǎn)�����,導(dǎo)致了它與以往的系統(tǒng)相比��,存在著一系列新的安全問(wèn)題����,這些安全問(wèn)題包含多個(gè)方面,其中��,隨著移動(dòng)終端的廣泛應(yīng)用�,如何解決移動(dòng)節(jié)點(diǎn)安全有效地訪問(wèn)網(wǎng)格中的服務(wù)資源成為關(guān)鍵�����,以下3個(gè)方面不足急待解決1.移動(dòng)終端的資源限制移動(dòng)終端的計(jì)算能力和存儲(chǔ)能力不足,難以執(zhí)行加密�,簽字等計(jì)算量大的安全操作;2.網(wǎng)格節(jié)點(diǎn)的動(dòng)態(tài)性網(wǎng)格節(jié)點(diǎn)動(dòng)態(tài)地加入���、退出使得某些網(wǎng)格服務(wù)訪問(wèn)點(diǎn)存在失效問(wèn)題�����;3.安全機(jī)制異構(gòu)性服務(wù)網(wǎng)格中采用面向服務(wù)的安全機(jī)制�,而移動(dòng)終端系統(tǒng)通常只支持輕量級(jí)安全認(rèn)證��,如何實(shí)現(xiàn)安全連接和無(wú)縫安全訪問(wèn)��,以及安全地調(diào)用部署在不同的服務(wù)容器中的網(wǎng)格服務(wù)����。
發(fā)明內(nèi)容
本發(fā)明的主要目的在于提供一種服務(wù)網(wǎng)關(guān),尤其是一種應(yīng)用在服務(wù)網(wǎng)格環(huán)境中的服務(wù)網(wǎng)關(guān)�,還提供了一種基于所述服務(wù)網(wǎng)關(guān)的消息安全處理方法,能夠完成消息端到端的安全性傳送���,實(shí)現(xiàn)移動(dòng)終端無(wú)縫訪問(wèn)網(wǎng)格中的服務(wù)資源��。
為此��,本發(fā)明提供如下技術(shù)方案實(shí)現(xiàn)上述目的本發(fā)明提供了一種服務(wù)網(wǎng)關(guān)����,包括消息攔截器,用于將截獲到的用戶請(qǐng)求消息和/或服務(wù)應(yīng)答消息轉(zhuǎn)發(fā)給安全處理模塊�����,并將安全處理模塊返回的經(jīng)過(guò)安全處理的消息發(fā)送給消息轉(zhuǎn)發(fā)模塊�;安全處理模塊,與消息攔截器連接�,用于對(duì)消息攔截器轉(zhuǎn)發(fā)的消息進(jìn)行安全處理,并向消息攔截器返回經(jīng)過(guò)安全處理的消息����;消息轉(zhuǎn)發(fā)模塊,與消息攔截器連接��,用于向網(wǎng)格服務(wù)器轉(zhuǎn)發(fā)經(jīng)過(guò)安全處理的消息�����。
本發(fā)明還提供了一種基于所述服務(wù)網(wǎng)關(guān)的消息安全處理方法����,包括攔截消息,并將所述消息封裝在消息上下文中的步驟�;對(duì)所述消息安全處理的步驟;對(duì)所述消息轉(zhuǎn)發(fā)的步驟�����。
本發(fā)明在網(wǎng)格用戶和網(wǎng)格服務(wù)之間引入服務(wù)網(wǎng)關(guān)��,實(shí)際的網(wǎng)格服務(wù)以虛擬服務(wù)的形式部署在服務(wù)網(wǎng)關(guān)上��,由服務(wù)網(wǎng)關(guān)將用戶的服務(wù)請(qǐng)求轉(zhuǎn)發(fā)給實(shí)際的網(wǎng)格服務(wù)提供者��,而在服務(wù)網(wǎng)關(guān)和網(wǎng)格服務(wù)提供者之間可以提供消息級(jí)別端到端的安全性����,實(shí)現(xiàn)移動(dòng)終端無(wú)縫訪問(wèn)網(wǎng)格中的服務(wù)資源。同時(shí)為了提高服務(wù)的性能��,采用多服務(wù)映射的方式�����。在這種工作模式下��,同一個(gè)網(wǎng)格服務(wù)可以由多個(gè)節(jié)點(diǎn)提供,當(dāng)服務(wù)網(wǎng)關(guān)收到服務(wù)請(qǐng)求時(shí)�,網(wǎng)關(guān)根據(jù)調(diào)度算法選擇服務(wù)節(jié)點(diǎn),可以實(shí)現(xiàn)一定程度的負(fù)載均衡�,從而提高服務(wù)性能,縮短服務(wù)的平均響應(yīng)時(shí)間����,該服務(wù)網(wǎng)關(guān)有以下優(yōu)點(diǎn)1.為計(jì)算能力和存儲(chǔ)能力弱的移動(dòng)節(jié)點(diǎn)完成加密、簽字等計(jì)算量大的安全操作����;
2.網(wǎng)格節(jié)點(diǎn)動(dòng)態(tài)地加入、退出時(shí)有效地調(diào)用可用的網(wǎng)格服務(wù)���;3.將Web服務(wù)安全處理功能獨(dú)立運(yùn)行���,支持對(duì)部署在多種服務(wù)容器中的網(wǎng)格服務(wù)的調(diào)用以及調(diào)用中的安全保護(hù)。
下面結(jié)合附圖和具體實(shí)施例進(jìn)一步說(shuō)明本發(fā)明的技術(shù)方案����。
圖1為本發(fā)明的服務(wù)網(wǎng)關(guān)結(jié)構(gòu)圖。
圖2為本發(fā)明的服務(wù)網(wǎng)關(guān)的消息安全處理技術(shù)架構(gòu)層次圖�����。
圖3為本發(fā)明的服務(wù)網(wǎng)關(guān)中的消息安全處理模塊結(jié)構(gòu)圖。
圖4為本發(fā)明的服務(wù)網(wǎng)關(guān)中的安全處理鏈結(jié)構(gòu)圖����。
圖5為本發(fā)明的服務(wù)網(wǎng)關(guān)中的基于PKI的加密/簽字鏈接點(diǎn)工作原理圖�����。
圖6為本發(fā)明的服務(wù)網(wǎng)關(guān)中的消息轉(zhuǎn)發(fā)模塊結(jié)構(gòu)圖��。
圖7為本發(fā)明的基于服務(wù)網(wǎng)關(guān)的消息處理流程圖���。
圖8為本發(fā)明的基于服務(wù)網(wǎng)關(guān)的普通SOAP報(bào)文的處理流程圖��。
圖9為本發(fā)明的基于服務(wù)網(wǎng)關(guān)的具有狀態(tài)的網(wǎng)格服務(wù)的處理流程圖��。
圖10為本發(fā)明的基于服務(wù)網(wǎng)關(guān)的資源更新流程圖����。
圖11為本發(fā)明的基于服務(wù)網(wǎng)關(guān)的訂閱報(bào)文的處理流程圖�。
具體實(shí)施例方式
實(shí)施例一、如圖1所示����,服務(wù)網(wǎng)關(guān)包括消息攔截器�����、安全處理模塊����、消息轉(zhuǎn)發(fā)模塊���。其中消息攔截器用于將截獲到的用戶請(qǐng)求消息和/或服務(wù)應(yīng)答消息轉(zhuǎn)發(fā)給安全處理模塊�,并將安全處理模塊返回的經(jīng)過(guò)安全處理的消息發(fā)送給消息轉(zhuǎn)發(fā)模塊����;消息攔截器將攔截到的消息連同相關(guān)信息封裝在消息上下文中傳給安全處理模塊,待鏈?zhǔn)桨踩幚硗瓿芍?,接收處理結(jié)果,并根據(jù)最終的處理結(jié)果來(lái)決定是否讓服務(wù)網(wǎng)關(guān)繼續(xù)其正常的消息處理���;安全處理模塊與消息攔截器連接����,用于對(duì)消息攔截器轉(zhuǎn)發(fā)的消息進(jìn)行安全處理����,并向消息攔截器返回經(jīng)過(guò)安全處理的消息�;消息轉(zhuǎn)發(fā)模塊與消息攔截器連接���,用于向網(wǎng)格服務(wù)器轉(zhuǎn)發(fā)經(jīng)過(guò)安全處理的消息���。
服務(wù)網(wǎng)關(guān)上部署著實(shí)際網(wǎng)格服務(wù)提供者的地址及相關(guān)描述信息,服務(wù)網(wǎng)關(guān)部署的這種服務(wù)被稱為虛擬服務(wù)���。服務(wù)網(wǎng)關(guān)在網(wǎng)格服務(wù)調(diào)用過(guò)程中充當(dāng)服務(wù)代理,具備雙重角色����。從客戶端角度看,服務(wù)網(wǎng)關(guān)是虛擬服務(wù)提供者�;從網(wǎng)格服務(wù)提供者角度看,服務(wù)網(wǎng)關(guān)是虛擬客戶端�����。工作時(shí)����,服務(wù)網(wǎng)關(guān)接收客戶端發(fā)送的服務(wù)請(qǐng)求,以虛擬客戶端角色調(diào)用實(shí)際網(wǎng)格服務(wù)提供者�,再以虛擬服務(wù)提供者角色將接收到的服務(wù)響應(yīng)返回給實(shí)際客戶端���。
簡(jiǎn)單對(duì)象訪問(wèn)協(xié)議(Simple Object Access Protocol;以下簡(jiǎn)稱SOAP)是Web服務(wù)體系中服務(wù)交互的基礎(chǔ)協(xié)議�����,它可以與任意的網(wǎng)絡(luò)傳輸協(xié)議聯(lián)合使用完成信息傳輸��,便可能導(dǎo)致服務(wù)請(qǐng)求者使用的傳輸協(xié)議與服務(wù)提供者支持的傳輸協(xié)議不匹配���,需要服務(wù)網(wǎng)關(guān)完成不同傳輸協(xié)議間的轉(zhuǎn)換�����,使得服務(wù)可以通過(guò)多種協(xié)議進(jìn)行訪問(wèn)��。服務(wù)網(wǎng)關(guān)根據(jù)節(jié)點(diǎn)的負(fù)載情況�����,從一組提供相同服務(wù)的節(jié)點(diǎn)中選擇負(fù)載較小的節(jié)點(diǎn)作為目標(biāo)節(jié)點(diǎn)�����,以提高服務(wù)的性能�,降低平均響應(yīng)時(shí)間。使用服務(wù)網(wǎng)關(guān)管理集群時(shí)��,集群中所有節(jié)點(diǎn)服務(wù)通常有一致的安全策略��,這樣管理員可以在服務(wù)網(wǎng)關(guān)統(tǒng)一配置安全策略�����,而不必為每個(gè)節(jié)點(diǎn)單獨(dú)配置安全策略�����,大大降低管理員的工作量��。
實(shí)施例二�����、基于實(shí)施例一��,從技術(shù)架構(gòu)層面上�����,將安全處理模塊劃分為四個(gè)層次�,自底向上分別為插件層1、控制層2���、策略層3和管理層4��,如圖2所示�。
各層的職責(zé)如下1.插件層����,在服務(wù)網(wǎng)關(guān)中安放插件以截獲用戶請(qǐng)求和服務(wù)應(yīng)答的消息,實(shí)現(xiàn)對(duì)服務(wù)訪問(wèn)的安全控制�。
2.控制層,實(shí)現(xiàn)具體的安全控制�����。安全處理模塊所支持的安全控制主要是通信安全�。由于應(yīng)用的安全需求是多種多樣的,安全處理模塊采用了開(kāi)放��、可配置的鏈?zhǔn)浇Y(jié)構(gòu)�,在安全模塊的運(yùn)行時(shí)組織上提供進(jìn)一步的靈活性。
3.策略層�����,根據(jù)應(yīng)用的需求定制各種通信安全策略,從而使服務(wù)網(wǎng)關(guān)“隨需而變”地提供安全功能而不必更改原有代碼或結(jié)構(gòu)���。服務(wù)網(wǎng)關(guān)采用WS-Policy作為通信安全策略描述語(yǔ)言�����。
4.管理層�,該層解決通信安全策略和配置的管理問(wèn)題�����,為用戶提供可視化管理工具���。
如圖3所示,安全處理模塊包括定位構(gòu)造子模塊����,用于根據(jù)消息攔截器發(fā)送的消息定位安全配置文件,并構(gòu)造安全處理鏈�����;配置解析子模塊與定位構(gòu)造子模塊相連�����,用于解析安全配置文件配置安全處理鏈,并負(fù)責(zé)維護(hù)所有的安全處理鏈���,如安全處理鏈的構(gòu)造與銷(xiāo)毀等��;還包括安全處理子模塊與配置解析子模塊相連�����,用于對(duì)接收到的消息進(jìn)行安全處理����,并轉(zhuǎn)發(fā)經(jīng)過(guò)安全處理的消息��。所述的定位構(gòu)造子模塊包括安全配置文件��,該安全配置文件中存有預(yù)設(shè)的安全配置信息�。
安全處理模塊的核心結(jié)構(gòu)是可配置的安全處理鏈,安全處理鏈中每個(gè)處理器(以下簡(jiǎn)稱handler)負(fù)責(zé)完成特定的安全控制功能�����,服務(wù)網(wǎng)關(guān)管理員可以通過(guò)配置安全處理鏈定制對(duì)傳輸過(guò)程中SOAP消息的安全保護(hù),定制的結(jié)果即安全配置信息保存在安全配置文件中����;除安全處理鏈的組成結(jié)構(gòu)之外,配置信息還包括特定于各個(gè)處理器的信息����,如所使用的安全策略策略文件的位置或者私鑰、證書(shū)的類(lèi)型和存儲(chǔ)位置等��。安全處理可以劃歸為獨(dú)立的功能實(shí)體�,但是需要在彼此之間提供一定的共享信息,并且存在特定的處理順序��。因此���,將安全處理歸結(jié)為一個(gè)順序的線性處理過(guò)程��,進(jìn)而設(shè)計(jì)了鏈?zhǔn)教幚斫Y(jié)構(gòu)來(lái)描述這個(gè)線性的處理過(guò)程�����;在鏈?zhǔn)教幚斫Y(jié)構(gòu)中,每個(gè)相對(duì)獨(dú)立的處理過(guò)程都被封裝到具有統(tǒng)一調(diào)用接口的鏈接點(diǎn)中�,從而能夠在各個(gè)接口之間提供消息上下文作為節(jié)點(diǎn)之間信息共享的載體,并可定制各個(gè)節(jié)點(diǎn)在鏈?zhǔn)浇Y(jié)構(gòu)中的位置以表達(dá)特定的處理流程。安全處理鏈包括用于處理用戶請(qǐng)求消息的安全處理鏈和/或用于處理服務(wù)應(yīng)答消息的安全處理鏈�����,安全處理鏈中的鏈接點(diǎn)具體包括認(rèn)證鏈接點(diǎn)�����、加密/簽字鏈接點(diǎn)��、解密/驗(yàn)證鏈接點(diǎn)��、信任證管理服務(wù)鏈接點(diǎn)(CredentialManagement Service���;以下簡(jiǎn)稱CredMan鏈接點(diǎn))����、身份映射與信任證轉(zhuǎn)換服務(wù)鏈接點(diǎn)(Credential Federation Service�����;以下簡(jiǎn)稱CredFed鏈接點(diǎn))����,如圖4所示��。
實(shí)施例三�����、基于實(shí)施例二��,SOAP規(guī)范中規(guī)定了如何對(duì)消息進(jìn)行簽字�。簽字的任意數(shù)字內(nèi)容稱為數(shù)據(jù)對(duì)象����。數(shù)據(jù)對(duì)象的簽字結(jié)果加上數(shù)字簽名信息以可擴(kuò)展標(biāo)志語(yǔ)言(eXtensible Markup Language;以下簡(jiǎn)稱XML)元素的形式存放在文檔中��,稱為簽字元素���。簽字元素由XML元素“Signature”表示�����。SOAP規(guī)范中也規(guī)定了如何對(duì)消息進(jìn)行加密����。被加密的數(shù)據(jù)內(nèi)容同樣稱為數(shù)據(jù)對(duì)象�����。數(shù)據(jù)對(duì)象被加密后的加密結(jié)果和加密信息以XML元素的形式存放在文檔中�����,稱為加密元素���,如果對(duì)普通數(shù)據(jù)對(duì)象加密����,加密元素為“EncryptedData”��,如果對(duì)密鑰加密�����,加密元素為“EncryptedKey”�。參考WS-Security規(guī)范的相關(guān)規(guī)定,通過(guò)對(duì)消息的使用基于XML數(shù)字簽名技術(shù)����,保證SOAP消息的完整性、真實(shí)性和不可否認(rèn)性����。消息的加密應(yīng)該采用XML加密技術(shù)�����,實(shí)現(xiàn)SOAP消息的加密傳輸及安全的密鑰傳輸�。服務(wù)請(qǐng)求者在生成請(qǐng)求消息時(shí)���,首先要對(duì)消息中的敏感信息���,即需要被保護(hù)、不能泄漏的信息進(jìn)行加密��,然后對(duì)整個(gè)消息進(jìn)行XML數(shù)字簽名�����。而網(wǎng)格服務(wù)接收到請(qǐng)求消息后�,先對(duì)簽字進(jìn)行驗(yàn)證,如果驗(yàn)證成功���,再進(jìn)行解密獲得所需信息���。如果驗(yàn)證不成功�,說(shuō)明消息被篡改或簽字密鑰不正確�����。所有簽字和加密的相關(guān)信息根據(jù)規(guī)范都封裝在SOAP消息頭的安全擴(kuò)展元素“Security”中���。
基本安全處理遵循WS-Security規(guī)范,只能實(shí)現(xiàn)網(wǎng)關(guān)和另一個(gè)網(wǎng)關(guān)或服務(wù)器之間的安全保護(hù)����,客戶端和網(wǎng)關(guān)之間是沒(méi)有任何安全的。安全處理模塊通過(guò)在客戶端和網(wǎng)關(guān)之間使用輕量級(jí)的安全保護(hù)����,如用戶名和密碼認(rèn)證,計(jì)算量很小���,在安全處理鏈中加入CredMan處理器��,這個(gè)處理器使用認(rèn)證后的客戶端在網(wǎng)關(guān)配置的用戶名/密碼從CredMan服務(wù)取回用戶的代理信任證�����,網(wǎng)關(guān)再使用此代理信任證和另一個(gè)網(wǎng)關(guān)或服務(wù)器之間實(shí)現(xiàn)支持WS-Security的全功能的安全保護(hù)��。與CredMan服務(wù)結(jié)合的安全處理兼顧移動(dòng)節(jié)點(diǎn)計(jì)算能力弱的缺陷���,并在客戶端和網(wǎng)關(guān)之間具備一定的安全性����。當(dāng)基于可信第三方的認(rèn)證(以下簡(jiǎn)稱Kerberos)域的客戶端訪問(wèn)公開(kāi)密鑰體系(Public Key Infrastructure����;以下簡(jiǎn)稱PKI)域的服務(wù)器,或者PKI域的客戶端訪問(wèn)Kerberos域的服務(wù)器���,會(huì)出現(xiàn)身份映射和聯(lián)盟的問(wèn)題��。在安全處理鏈中加入CredFed處理器�����,該處理器訪問(wèn)CredFed服務(wù)實(shí)現(xiàn)在線的身份映射和信任證的轉(zhuǎn)換���。與CredFed服務(wù)結(jié)合的安全處理可以在不修改客戶端和服務(wù)器任何代碼的情況下,在網(wǎng)關(guān)實(shí)現(xiàn)身份聯(lián)盟�����。
實(shí)施例四、基于實(shí)施例二��,配置在安全處理鏈中的加密/簽字鏈節(jié)點(diǎn)���,解密/驗(yàn)證鏈節(jié)點(diǎn)用于對(duì)網(wǎng)格服務(wù)的請(qǐng)求和應(yīng)答消息進(jìn)行細(xì)粒度的加密/解密��、簽字/驗(yàn)證,實(shí)現(xiàn)消息級(jí)的安全��。圖5以基于公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure����;以下簡(jiǎn)稱PKI)的請(qǐng)求消息處理為例說(shuō)明加密/簽字鏈接點(diǎn)的工作原理。
WS-Policy提供了一種靈活且可擴(kuò)展的語(yǔ)法�����,用于表達(dá)基于XML Web服務(wù)的系統(tǒng)中實(shí)體的功能�、要求和一般特性。它定義了一個(gè)框架和一個(gè)模型���,用于將這些屬性表達(dá)為策略�����,策略定義為一組策略替換選項(xiàng)�,其中每個(gè)策略替換選項(xiàng)又是一組策略斷言。使用WS-Policy策略語(yǔ)言制定相應(yīng)的XML格式的安全策略來(lái)實(shí)現(xiàn)對(duì)SOAP消息進(jìn)行簽字或加密����。生成的策略被存放到相應(yīng)的XML文件中,在發(fā)送SOAP消息時(shí)�����,會(huì)根據(jù)策略文件的內(nèi)容來(lái)實(shí)施相應(yīng)的安全措施�����。由于移動(dòng)節(jié)點(diǎn)計(jì)算能力和存儲(chǔ)能力的限制�,采用用戶名/密碼方式進(jìn)行身份驗(yàn)證。用戶在向網(wǎng)關(guān)發(fā)送的請(qǐng)求消息頭中添加了用戶名安全令牌��,認(rèn)證鏈節(jié)點(diǎn)負(fù)責(zé)對(duì)用戶名安全令牌進(jìn)行驗(yàn)證�����。加密鏈節(jié)點(diǎn)負(fù)責(zé)根據(jù)安全策略文件中的配置��,對(duì)所需要加密的SOAP消息元素進(jìn)行加密操作。簽字鏈節(jié)點(diǎn)負(fù)責(zé)根據(jù)安全策略文件中的配置�,對(duì)所需要簽字的SOAP消息元素進(jìn)行簽字操作����。WS-Security規(guī)范提出了一套標(biāo)準(zhǔn)的SOAP安全擴(kuò)展方法,通過(guò)對(duì)消息的加密���、數(shù)字簽名以及認(rèn)證�,保證了消息端到端的安全傳輸�����。WS-Security規(guī)范允許通過(guò)發(fā)送方和接收方共享的對(duì)稱密鑰或消息中帶有的加密形式的密鑰��,對(duì)消息主體塊�����、報(bào)頭塊����、任意子結(jié)構(gòu)和附件的組合進(jìn)行加密�,其中加密部分和加密算法在安全策略文件中指定。簽字鏈接點(diǎn)有兩種簽字模式使用網(wǎng)關(guān)自身的X.509普通證書(shū)和對(duì)應(yīng)的私鑰對(duì)SOAP消息進(jìn)行簽字、通過(guò)訪問(wèn)信任證管理服務(wù)獲得用戶的代理信任證對(duì)SOAP消息進(jìn)行簽字���,其中簽字算法和簽字部分在安全策略文件中指定��。解密鏈節(jié)點(diǎn)負(fù)責(zé)對(duì)消息進(jìn)行解密�����。驗(yàn)證鏈節(jié)點(diǎn)負(fù)責(zé)根據(jù)消息簽字模式相應(yīng)的進(jìn)行簽字驗(yàn)證�����。
實(shí)施例五�����、基于實(shí)施例一�����,如圖6所示�,消息轉(zhuǎn)發(fā)模塊包括SOAP報(bào)文解析子模塊����,用于解析接收的SOAP報(bào)文消息���;目標(biāo)服務(wù)器選擇子模塊與SOAP報(bào)文解析子模塊連接,用于選擇目標(biāo)網(wǎng)格服務(wù)器��;地址改寫(xiě)子模塊與目標(biāo)服務(wù)器選擇子模塊連接�,用于改寫(xiě)服務(wù)網(wǎng)關(guān)地址;轉(zhuǎn)發(fā)子模塊與地址改寫(xiě)子模塊連接��,用于消息的轉(zhuǎn)發(fā)�;服務(wù)注冊(cè)表與目標(biāo)服務(wù)器選擇子模塊連接,用于存儲(chǔ)網(wǎng)格服務(wù)器地址�����;服務(wù)注冊(cè)更新子模塊與服務(wù)注冊(cè)表連接��,用于更新服務(wù)注冊(cè)表����;資源映射表與目標(biāo)服務(wù)器選擇子模塊連接���,用于對(duì)應(yīng)資源實(shí)例ID和實(shí)例所在的網(wǎng)格服務(wù)器����;資源映射更新子模塊與資源映射表連接,用于更新資源映射表�;偵聽(tīng)子模塊與SOAP報(bào)文解析子模塊、地址改寫(xiě)子模塊連接��,用于獲取網(wǎng)關(guān)的偵聽(tīng)地址��;其中SOAP報(bào)文解析子模塊具體包括SOAP報(bào)文解析器�。
由于網(wǎng)格服務(wù)的有狀態(tài)性,消息轉(zhuǎn)發(fā)模塊需要維護(hù)一張資源映射表�����,以實(shí)現(xiàn)服務(wù)網(wǎng)關(guān)對(duì)網(wǎng)格服務(wù)請(qǐng)求的轉(zhuǎn)發(fā)��;同時(shí)�����,服務(wù)網(wǎng)關(guān)采用多服務(wù)映射的方式���,消息轉(zhuǎn)發(fā)模塊可以根據(jù)配置的轉(zhuǎn)發(fā)策略選擇目標(biāo)服務(wù)節(jié)點(diǎn)進(jìn)行轉(zhuǎn)發(fā)�����,實(shí)現(xiàn)一定程度的負(fù)載均衡��。
網(wǎng)格容器提供對(duì)服務(wù)資源框架(Web Services Resource Framework���;以下簡(jiǎn)稱WSRF)規(guī)范和WS-Notification規(guī)范的支持�,因此消息轉(zhuǎn)發(fā)引擎需要提供對(duì)WSRF規(guī)范和對(duì)訂閱/通知機(jī)制的支持����。
Web服務(wù)尋址(以下簡(jiǎn)稱WS-Addressing)提供了多種機(jī)制對(duì)Web服務(wù)和消息進(jìn)行尋址。具體來(lái)說(shuō)���,此規(guī)范定義XML元素以標(biāo)識(shí)Web服務(wù)終結(jié)點(diǎn)����,并保護(hù)消息中的端到端終結(jié)點(diǎn)標(biāo)識(shí)�����。規(guī)范允許消息處理系統(tǒng)支持通過(guò)網(wǎng)絡(luò)(包含處理節(jié)點(diǎn))以一種與傳輸無(wú)關(guān)的方式進(jìn)行消息處理���,而這些處理節(jié)點(diǎn)可以是終結(jié)點(diǎn)管理器����、防火墻和網(wǎng)關(guān)�����。WS-Addressing定義了兩種結(jié)構(gòu)�����,它們傳達(dá)的信息一般由傳輸協(xié)議和消息處理系統(tǒng)以一種可互操作的方式提供�,這些結(jié)構(gòu)將該底層信息規(guī)格化為一種統(tǒng)一的格式,而對(duì)這種格式的處理可以獨(dú)立于傳輸或應(yīng)用程序�,這兩種結(jié)構(gòu)就是終結(jié)點(diǎn)引用和消息信息標(biāo)頭。
Web服務(wù)終結(jié)點(diǎn)是一個(gè)可引用的實(shí)體����、處理器或可以作為Web服務(wù)消息目標(biāo)的資源。終結(jié)點(diǎn)引用傳達(dá)了標(biāo)識(shí)/引用一個(gè)Web服務(wù)終結(jié)點(diǎn)所需的信息�����,它的使用方式可以有多種終結(jié)點(diǎn)引用適用于傳達(dá)訪問(wèn)Web服務(wù)終結(jié)點(diǎn)所需的信息��,但也可為在Web服務(wù)間往返的各條消息提供地址����。為了處理上一種使用情況�����,規(guī)范定義了一系列消息信息標(biāo)頭�,以允許對(duì)與底層傳輸無(wú)關(guān)的消息進(jìn)行統(tǒng)一尋址����。這些消息信息標(biāo)頭傳遞端到端的消息特性�����,包括對(duì)源終結(jié)點(diǎn)和目標(biāo)終結(jié)點(diǎn)以及消息標(biāo)識(shí)進(jìn)行尋址。
對(duì)于要在這種多傳輸情況下發(fā)送和尋址的消息來(lái)說(shuō)�,要讓關(guān)鍵的消息傳遞屬性為多個(gè)傳輸所攜帶���,就需要一種共用機(jī)制���。為此,WS-Addressing規(guī)范定義了3組SOAP Header塊“Action Header”塊用于說(shuō)明消息的預(yù)期處理��,該Header塊包含一個(gè)資源標(biāo)志符(Universal Resource Identifier���;以下簡(jiǎn)稱URI)�����,最終接收者通常用它來(lái)分派要進(jìn)行處理的消息�����。“MessageID和RelatesToHeader”塊用于識(shí)別和關(guān)聯(lián)消息�?����!癕essageID和RelatesTo header”使用簡(jiǎn)單的URI來(lái)唯一地識(shí)別消息����,這些URI通常都是瞬態(tài)的UUID?�!癟o/ReplyTo/FaultTo Header”塊用于識(shí)別要處理消息及其回復(fù)的代理,這些Header依賴于WS-Addressing所定義的稱為“端點(diǎn)引用”的結(jié)構(gòu)���,它將與對(duì)SOAP消息進(jìn)行正確尋址所需的信息捆綁在一起���。端點(diǎn)引用是WS-Addressing的最重要的方面,因?yàn)榕c僅使用URI相比�,它們可為更細(xì)粒度的尋址提供支持����。它們廣泛用于整個(gè)Web服務(wù)架構(gòu)。端點(diǎn)引用包含3條關(guān)鍵的信息基地址�、可選的引用屬性集和引用參數(shù)���。基地址是一個(gè)URI���,用于識(shí)別端點(diǎn)���,出現(xiàn)在指向該端點(diǎn)的每一SOAP消息中的“To Header”塊中�����。引用屬性和引用參數(shù)是用于為該消息提供附加發(fā)送或處理信息以補(bǔ)充基地址的任意XML元素的集合,它們以文字Header元素來(lái)表示����。當(dāng)使用端點(diǎn)引用來(lái)構(gòu)建端點(diǎn)消息時(shí),發(fā)送者負(fù)責(zé)提供作為Header塊的所有引用屬性和引用參數(shù)����。
引用屬性和引用參數(shù)之間的區(qū)別在于它們?nèi)绾侮P(guān)聯(lián)服務(wù)元數(shù)據(jù)。Web服務(wù)策略和契約僅基于其基地址和引用屬性�。通常�����,基地址和引用屬性用于識(shí)別某一給定的已部署服務(wù)�����,引用參數(shù)用于識(shí)別該服務(wù)所管理的特定資源���。基于WS-Addressing的SOAP消息轉(zhuǎn)發(fā)流程為步驟1.SOAP客戶端在發(fā)送消息中指定“AddressingHeader”���,并將消息發(fā)送給網(wǎng)關(guān)���;步驟2.網(wǎng)關(guān)檢查SOAP消息頭部的“WSAto”��,如果服務(wù)不存在���,就給“WSAreplyTo/faultTo”通知服務(wù)不存在信息;步驟3.網(wǎng)關(guān)重寫(xiě)SOAP消息的“WSAto/replyTo”��,并將消息發(fā)送給實(shí)際的服務(wù)(可以根據(jù)調(diào)度算法從多個(gè)服務(wù)提供者中選擇目標(biāo)服務(wù)節(jié)點(diǎn),實(shí)現(xiàn)負(fù)載均衡)��;步驟4.網(wǎng)關(guān)接收服務(wù)響應(yīng)�;步驟5.網(wǎng)關(guān)重寫(xiě)SOAP響應(yīng)消息的“WSAto/replyTo”,并把響應(yīng)返回給客戶端�����。
實(shí)施例六��、基于實(shí)施例一,本發(fā)明所涉及的服務(wù)網(wǎng)關(guān)還包括配置文件管理模塊���,與安全處理模塊連接,用于提供可視化界面�����,服務(wù)網(wǎng)關(guān)管理員可使用此可視化工具制定安全配置,對(duì)服務(wù)網(wǎng)關(guān)的行為進(jìn)行定制����。
實(shí)施例七���、如圖7所示����,一種基于服務(wù)網(wǎng)關(guān)的消息安全處理方法��,包括攔截消息,并將消息封裝在消息上下文中的步驟�;對(duì)消息進(jìn)行安全處理的步驟�����;對(duì)消息進(jìn)行轉(zhuǎn)發(fā)的步驟。對(duì)消息進(jìn)行安全處理的步驟具體包括根據(jù)消息上下文中的信息定位服務(wù)所用的安全配置文件��,并根據(jù)所述的安全配置文件構(gòu)造配置解析對(duì)象;解析安全配置文件��,初始化安全處理鏈��;根據(jù)安全處理鏈中的安全處理器對(duì)消息進(jìn)行安全處理并轉(zhuǎn)發(fā)給消息攔截器。一種基于服務(wù)網(wǎng)關(guān)的消息處理方法還包括配置文件管理的步驟����。
實(shí)施例八�、基于實(shí)施例七,請(qǐng)求消息包括普通的SOAP報(bào)文和具有狀態(tài)的網(wǎng)格服務(wù)兩種�����,而訂閱報(bào)文又是一種特殊的具有狀態(tài)的網(wǎng)格服務(wù)�����,因此服務(wù)網(wǎng)關(guān)采用不同的方法進(jìn)行轉(zhuǎn)發(fā)。
如圖8所示���,普通SOAP報(bào)文的轉(zhuǎn)發(fā)方法具體包括經(jīng)SOAP報(bào)文解析子模塊判斷為普通SOAP報(bào)文后,根據(jù)轉(zhuǎn)發(fā)策略從服務(wù)注冊(cè)表中選擇目標(biāo)網(wǎng)格服務(wù)器��;然后將服務(wù)網(wǎng)關(guān)地址改寫(xiě)為目標(biāo)網(wǎng)格服務(wù)器地址,并就消息轉(zhuǎn)發(fā)給目標(biāo)網(wǎng)格服務(wù)器����;當(dāng)目標(biāo)網(wǎng)格服務(wù)器返回結(jié)果給服務(wù)網(wǎng)關(guān)����,服務(wù)網(wǎng)關(guān)將其地址改回為初始服務(wù)網(wǎng)關(guān)地址;最后服務(wù)網(wǎng)關(guān)將結(jié)果返回給客戶端�����。
實(shí)施例九、基于實(shí)施例七����,如圖9所示,具有狀態(tài)的網(wǎng)格服務(wù)的轉(zhuǎn)發(fā)方法具體包括如下步驟事先解析SOAP報(bào)文�,得到請(qǐng)求消息需要的資源實(shí)例ID;然后資源列表中存在資源實(shí)例ID則在資源列表中查找資源實(shí)例ID對(duì)應(yīng)的目標(biāo)服務(wù)器的地址���;若資源列表中不存在資源實(shí)例ID則根據(jù)轉(zhuǎn)發(fā)策略從服務(wù)注冊(cè)表中選擇目標(biāo)服務(wù)器地址;接著將服務(wù)網(wǎng)關(guān)地址改寫(xiě)為目標(biāo)服務(wù)器地址�����,并將消息轉(zhuǎn)發(fā)給目標(biāo)網(wǎng)格服務(wù)器;當(dāng)目標(biāo)網(wǎng)格服務(wù)器返回結(jié)果給服務(wù)網(wǎng)關(guān)��,服務(wù)網(wǎng)關(guān)將其地址改回為初始服務(wù)網(wǎng)關(guān)地址���;最后服務(wù)網(wǎng)關(guān)將結(jié)果返回給客戶端�。
因?yàn)榫W(wǎng)格服務(wù)使用的是有狀態(tài)的網(wǎng)格資源�����,所以需要把對(duì)同一個(gè)資源實(shí)例的請(qǐng)求調(diào)度到同一臺(tái)網(wǎng)格服務(wù)器上��。這樣���,服務(wù)網(wǎng)關(guān)就需要維護(hù)一張資源映射表�����,在這個(gè)映射表中把資源實(shí)例ID和該實(shí)例所在的網(wǎng)格服務(wù)器對(duì)應(yīng)起來(lái)���。當(dāng)服務(wù)網(wǎng)關(guān)接收到網(wǎng)格服務(wù)請(qǐng)求后,首先在映射表中查詢客戶端請(qǐng)求需要的資源實(shí)例ID是否已經(jīng)存在���,如果存在��,則把調(diào)度目標(biāo)服務(wù)器設(shè)定為映射表中記錄的服務(wù)器地址�����。如果不存在���,服務(wù)網(wǎng)關(guān)則根據(jù)預(yù)先設(shè)置的調(diào)度策略在內(nèi)部網(wǎng)格服務(wù)器中選擇一個(gè)服務(wù)器作為調(diào)度目標(biāo)服務(wù)器。然后���,服務(wù)網(wǎng)關(guān)把服務(wù)請(qǐng)求的目的地址改寫(xiě)為調(diào)度目標(biāo)服務(wù)器的地址�,并完成服務(wù)請(qǐng)求的轉(zhuǎn)發(fā)。目標(biāo)服務(wù)器具體處理服務(wù)請(qǐng)求��,如果需要?jiǎng)?chuàng)建新的資源實(shí)例���,服務(wù)器則需要向服務(wù)網(wǎng)關(guān)報(bào)告新創(chuàng)建的資源實(shí)例的ID和服務(wù)器的地址���,更新服務(wù)網(wǎng)關(guān)上的資源映射表,如圖10所示��。如果需要銷(xiāo)毀資源實(shí)例���,服務(wù)器則需要向服務(wù)網(wǎng)關(guān)報(bào)告銷(xiāo)毀的資源實(shí)例ID���,使得服務(wù)網(wǎng)關(guān)刪除該資源實(shí)例ID在資源映射表中對(duì)應(yīng)的條目。
服務(wù)網(wǎng)關(guān)調(diào)度服務(wù)請(qǐng)求的方法有多種隨機(jī)算法����、輪循算法、帶權(quán)重的隨機(jī)算法�����、帶權(quán)重的輪循算法����、基于負(fù)載狀況的算法等。
實(shí)施例十�、基于實(shí)施例七,如圖11所示���,訂閱報(bào)文的轉(zhuǎn)發(fā)方法具體包括如下步驟經(jīng)SOAP報(bào)文解析子模塊判斷為訂閱報(bào)文后�,在資源列表中查找資源實(shí)例ID對(duì)應(yīng)的目標(biāo)服務(wù)器的地址����;然后啟動(dòng)偵聽(tīng)子模塊獲取服務(wù)網(wǎng)關(guān)的偵聽(tīng)地址,并把訂閱報(bào)文中的回調(diào)地址修改為服務(wù)網(wǎng)關(guān)的偵聽(tīng)地址�;再把訂閱報(bào)文轉(zhuǎn)發(fā)給目標(biāo)網(wǎng)格服務(wù)器;當(dāng)網(wǎng)格資源狀態(tài)發(fā)生變化時(shí)����,目標(biāo)網(wǎng)格服務(wù)器返回結(jié)果給服務(wù)網(wǎng)關(guān);最后服務(wù)網(wǎng)關(guān)將結(jié)果返回給客戶端�����。
網(wǎng)格服務(wù)可以作為事件通知源�����,網(wǎng)格用戶通過(guò)對(duì)網(wǎng)格服務(wù)的訂閱,當(dāng)網(wǎng)格服務(wù)維護(hù)的網(wǎng)格資源狀態(tài)發(fā)生改變時(shí)����,就向網(wǎng)格用戶發(fā)送一條通知消息。由于服務(wù)網(wǎng)關(guān)的引入���,服務(wù)網(wǎng)關(guān)一方面作為虛擬的網(wǎng)格服務(wù)充當(dāng)事件通知源����,另一方面作為虛擬的網(wǎng)格用戶充當(dāng)訂閱者�����。這樣當(dāng)網(wǎng)關(guān)接受到來(lái)自網(wǎng)格用戶的訂閱報(bào)文時(shí)�����,網(wǎng)關(guān)需要啟動(dòng)偵聽(tīng)子模塊�����,并把訂閱報(bào)文中的回調(diào)地址修改為網(wǎng)關(guān)的偵聽(tīng)地址��,再把訂閱報(bào)文轉(zhuǎn)發(fā)給目標(biāo)網(wǎng)格服務(wù)器��;當(dāng)網(wǎng)關(guān)的偵聽(tīng)模塊接收到目標(biāo)網(wǎng)格服務(wù)器的回調(diào)之后,把回調(diào)返回給網(wǎng)格用戶�。
最后所應(yīng)說(shuō)明的是,以上實(shí)施例僅用以說(shuō)明本發(fā)明的技術(shù)方案而非限制�,盡管參照較佳實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)說(shuō)明�,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解,可以對(duì)本發(fā)明的技術(shù)方案進(jìn)行修改或者等同替換����,而不脫離本發(fā)明技術(shù)方案的精神和范圍。
權(quán)利要求
1.一種服務(wù)網(wǎng)關(guān)���,其特征在于包括消息攔截器�,用于將截獲到的消息轉(zhuǎn)發(fā)給安全處理模塊���,并將安全處理模塊返回的經(jīng)過(guò)安全處理的消息發(fā)送給消息轉(zhuǎn)發(fā)模塊��;安全處理模塊��,與消息攔截器連接�����,用于對(duì)消息攔截器轉(zhuǎn)發(fā)的消息進(jìn)行安全處理����,并向消息攔截器返回經(jīng)過(guò)安全處理的消息;消息轉(zhuǎn)發(fā)模塊�,與消息攔截器連接,用于向網(wǎng)格服務(wù)器轉(zhuǎn)發(fā)經(jīng)過(guò)安全處理的消息����。
2.根據(jù)權(quán)利要求1所述的服務(wù)網(wǎng)關(guān),其特征在于所述的消息攔截器為用于攔截用戶請(qǐng)求消息的消息攔截器和/或用于攔截服務(wù)應(yīng)答消息的消息攔截器���。
3.根據(jù)權(quán)利要求1所述的服務(wù)網(wǎng)關(guān)��,其特征在于所述的安全處理模塊包括定位構(gòu)造子模塊��,用于根據(jù)消息攔截器發(fā)送的消息定位安全配置文件����,并構(gòu)造并初始化解析對(duì)象�;配置解析子模塊,與定位構(gòu)造子模塊相連��,用于解析安全配置文件配置解析對(duì)象���,并維護(hù)解析對(duì)象��;安全處理子模塊�����,與配置解析子模塊相連��,用于對(duì)接收到的消息進(jìn)行安全處理��,并轉(zhuǎn)發(fā)經(jīng)過(guò)安全處理的消息���。
4.根據(jù)權(quán)利要求3所述的服務(wù)網(wǎng)關(guān),其特征在于所述的定位構(gòu)造子模塊具體包括安全配置文件�,所述的安全配置文件中存有預(yù)設(shè)的安全配置信息。
5.根據(jù)權(quán)利要求3所述的服務(wù)網(wǎng)關(guān)�,其特征在于所述的解析對(duì)象為用于處理用戶請(qǐng)求消息的安全處理鏈和/或處理服務(wù)應(yīng)答消息的安全處理鏈。
6.根據(jù)權(quán)利要求5所述的服務(wù)網(wǎng)關(guān)�����,其特征在于所述的安全處理鏈具體包括認(rèn)證鏈接點(diǎn)����、加密/簽字鏈接點(diǎn)、解密/驗(yàn)證鏈接點(diǎn)��、CredMan鏈接點(diǎn)、CredFed鏈接點(diǎn)�����。
7.根據(jù)權(quán)利要求1所述的服務(wù)網(wǎng)關(guān)�����,其特征在于所述的消息轉(zhuǎn)發(fā)模塊包括SOAP報(bào)文解析子模塊�,用于解析接收的SOAP報(bào)文消息;目標(biāo)服務(wù)器選擇子模塊����,與SOAP報(bào)文解析子模塊連接,用于選擇目標(biāo)網(wǎng)格服務(wù)器�����;地址改寫(xiě)子模塊����,與目標(biāo)服務(wù)器選擇子模塊連接,用于改寫(xiě)服務(wù)網(wǎng)關(guān)地址���;轉(zhuǎn)發(fā)子模塊��,與地址改寫(xiě)予模塊連接����,用于消息的轉(zhuǎn)發(fā);服務(wù)注冊(cè)表���,與目標(biāo)服務(wù)器選擇子模塊連接�,用于存儲(chǔ)網(wǎng)格服務(wù)器地址�����;服務(wù)注冊(cè)更新子模塊�����,與服務(wù)注冊(cè)表連接����,用于更新服務(wù)注冊(cè)表�����;資源映射表,與目標(biāo)服務(wù)器選擇子模塊連接���,用于對(duì)應(yīng)資源實(shí)例ID和實(shí)例所在的網(wǎng)格服務(wù)器����;資源映射更新子模塊�,與資源映射表連接,用于更新資源映射表��;偵聽(tīng)子模塊����,與SOAP報(bào)文解析子模塊、地址改寫(xiě)子模塊連接��,用于獲取網(wǎng)關(guān)的偵聽(tīng)地址���。
8.根據(jù)權(quán)利要求7所述的服務(wù)網(wǎng)關(guān)���,其特征在于所述的SOAP報(bào)文解析子模塊具體包括SOAP報(bào)文解析器。
9.根據(jù)權(quán)利要求1至8中所述任一服務(wù)網(wǎng)關(guān)�,其特征在于還包括配置文件管理模塊,與安全處理模塊連接�,用于提供可視化界面。
10.一種的消息安全處理方法,其特征在于包括攔截消息�����,并將所述消息封裝在消息上下文中的步驟���;對(duì)所述消息安全處理的步驟���;對(duì)所述消息進(jìn)行轉(zhuǎn)發(fā)的步驟。
11.根據(jù)權(quán)利要求10所述的消息處理方法��,其特征在于所述的消息安全處理的步驟具體包括根據(jù)消息上下文中的信息定位服務(wù)所用的安全配置文件�����,并根據(jù)所述的安全配置文件構(gòu)造配置解析對(duì)象的步驟�����;解析安全配置文件���,初始化安全處理鏈的步驟;根據(jù)安全處理鏈中的安全處理器對(duì)消息進(jìn)行安全處理并轉(zhuǎn)發(fā)給消息攔截器的步驟����。
12.根據(jù)權(quán)利要求10所述的消息處理方法�,其特征在于所述的消息轉(zhuǎn)發(fā)的步驟為轉(zhuǎn)發(fā)普通SOAP報(bào)文的步驟��,具體包括經(jīng)SOAP報(bào)文解析子模塊判斷為普通SOAP報(bào)文后���,根據(jù)轉(zhuǎn)發(fā)策略從服務(wù)注冊(cè)表中選擇目標(biāo)網(wǎng)格服務(wù)器的步驟�;將服務(wù)網(wǎng)關(guān)地址改寫(xiě)為目標(biāo)網(wǎng)格服務(wù)器地址����,并將消息轉(zhuǎn)發(fā)給目標(biāo)網(wǎng)格服務(wù)器的步驟;目標(biāo)網(wǎng)格服務(wù)器返回結(jié)果給服務(wù)網(wǎng)關(guān)�����,服務(wù)網(wǎng)關(guān)將其地址改回為初始服務(wù)網(wǎng)關(guān)地址的步驟�����;服務(wù)網(wǎng)關(guān)將結(jié)果返回給客戶端的步驟����。
13.根據(jù)權(quán)利要求10所述的消息處理方法,其特征在于所述的消息轉(zhuǎn)發(fā)的步驟為轉(zhuǎn)發(fā)具有狀態(tài)的網(wǎng)格服務(wù)的步驟�,具體包括解析SOAP報(bào)文�����,得到請(qǐng)求消息需要的資源實(shí)例ID的步驟����;資源列表中存在資源實(shí)例ID則在資源列表中查找資源實(shí)例ID對(duì)應(yīng)的目標(biāo)服務(wù)器的地址的步驟�;資源列表中不存在資源實(shí)例ID則根據(jù)轉(zhuǎn)發(fā)策略從服務(wù)注冊(cè)表中選擇目標(biāo)服務(wù)器地址的步驟;將服務(wù)網(wǎng)關(guān)地址改寫(xiě)為目標(biāo)服務(wù)器地址���,并將消息轉(zhuǎn)發(fā)給目標(biāo)網(wǎng)格服務(wù)器的步驟�����;目標(biāo)網(wǎng)格服務(wù)器返回結(jié)果給服務(wù)網(wǎng)關(guān)����,服務(wù)網(wǎng)關(guān)將其地址改回為初始服務(wù)網(wǎng)關(guān)地址的步驟����;服務(wù)網(wǎng)關(guān)將結(jié)果返回給客戶端的步驟��。
14.根據(jù)權(quán)利要求10所述的消息處理方法��,其特征在于所述的消息轉(zhuǎn)發(fā)的步驟為轉(zhuǎn)發(fā)訂閱報(bào)文的步驟,具體包括經(jīng)SOAP報(bào)文解析子模塊判斷為訂閱報(bào)文后�,在資源列表中查找資源實(shí)例ID對(duì)應(yīng)的目標(biāo)服務(wù)器的地址的步驟;啟動(dòng)偵聽(tīng)子模塊獲取服務(wù)網(wǎng)關(guān)的偵聽(tīng)地址的步驟��;把訂閱報(bào)文中的回調(diào)地址修改為服務(wù)網(wǎng)關(guān)的偵聽(tīng)地址的步驟����;把訂閱報(bào)文轉(zhuǎn)發(fā)給目標(biāo)網(wǎng)格服務(wù)器的步驟;當(dāng)網(wǎng)格資源狀態(tài)發(fā)生變化時(shí)�,目標(biāo)網(wǎng)格服務(wù)器返回結(jié)果給服務(wù)網(wǎng)關(guān)的步驟;服務(wù)網(wǎng)關(guān)將結(jié)果返回給客戶端的步驟���。
15.根據(jù)權(quán)利要求10至14所述的任一消息處理方法����,其特征在于還包括配置文件管理的步驟���。
全文摘要
本發(fā)明涉及一種服務(wù)網(wǎng)關(guān)��,包括消息攔截器����,用于將截獲到的用戶請(qǐng)求消息和/或服務(wù)應(yīng)答消息轉(zhuǎn)發(fā)給安全處理模塊����,并將安全處理模塊返回的經(jīng)過(guò)安全處理的消息發(fā)送給消息轉(zhuǎn)發(fā)模塊���;安全處理模塊,與消息攔截器連接���,用于對(duì)消息攔截器轉(zhuǎn)發(fā)的消息進(jìn)行安全處理�����,并向消息攔截器返回經(jīng)過(guò)安全處理的消息����;消息轉(zhuǎn)發(fā)模塊���,與消息攔截器連接��,用于向網(wǎng)格服務(wù)器轉(zhuǎn)發(fā)經(jīng)過(guò)安全處理的消息�。本發(fā)明還涉及一種基于所述網(wǎng)關(guān)的消息處理方法��,包括攔截消息�����,并將消息封裝在消息上下文中的步驟�����;消息安全處理的步驟�����;消息轉(zhuǎn)發(fā)的步驟�����。本發(fā)明能夠完成消息端到端的安全性傳送��,實(shí)現(xiàn)移動(dòng)終端無(wú)縫訪問(wèn)網(wǎng)格中的服務(wù)資源���。
文檔編號(hào)H04L12/58GK101043478SQ20071009858
公開(kāi)日2007年9月26日 申請(qǐng)日期2007年4月20日 優(yōu)先權(quán)日2007年4月20日
發(fā)明者李先賢, 劉小佩, 李沁 申請(qǐng)人:北京航空航天大學(xué)