專利名稱:一種基于元數(shù)據(jù)的移動(dòng)終端安全中間件系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動(dòng)通信技術(shù)��,尤其涉及一種面向移動(dòng)終端的安全中間件系統(tǒng)���,以減少移動(dòng)終端安全服務(wù)開發(fā)過程的復(fù)雜度���。
背景技術(shù):
安全中間件,英文為kcurity Middleware�。它是以特定的安全服務(wù)資源為中心, 將信息安全技術(shù)同中間件技術(shù)相結(jié)合��,提取應(yīng)用系統(tǒng)中共同的安全服務(wù)需求����,通過對(duì)外提供簡(jiǎn)單統(tǒng)一的安全服務(wù)接口�����,從而屏蔽各種安全算法實(shí)現(xiàn)的差異���,能夠有效地解決目前信息安全領(lǐng)域軟件的交互能力差、開發(fā)難度大���、擴(kuò)展能力弱等問題���。傳統(tǒng)安全中間件的基本體系結(jié)構(gòu)如
圖1所示,包括六大部分應(yīng)用程序�、組件服務(wù)層、安全服務(wù)層�����、通用安全管理器��、安全服務(wù)提供者和資源信息服務(wù)器���。其中應(yīng)用層由具體的應(yīng)用開發(fā)廠商負(fù)責(zé)�,主要是基于下層資源開發(fā)的安全應(yīng)用。組件安全服務(wù)層由組件提供商負(fù)責(zé)���,并以組件級(jí)接口方式提供服務(wù)����,安全服務(wù)層由體系結(jié)構(gòu)或安全服務(wù)提供商負(fù)責(zé)�,服務(wù)包括常用的傳輸層安全TLS、安全套接字SSL等安全服務(wù)���,它提供了分布式環(huán)境下安全模塊之間的互操作����,通用安全管理器是安全中間件核心部分����,它利用模塊配置文件�����、模塊信息表���,根據(jù)用戶進(jìn)程的請(qǐng)求���,調(diào)用各種安全服務(wù)提供者模塊的相應(yīng)服務(wù)函數(shù)并對(duì)用戶進(jìn)程做出響應(yīng)����,安全服務(wù)提供者實(shí)現(xiàn)了引擎和算法兩個(gè)部分�����,提供一定安全服務(wù)能力的動(dòng)態(tài)鏈接庫及相關(guān)資料信息����。在需要時(shí)被通用服務(wù)安全管理器加載到內(nèi)存中,在收到用戶的服務(wù)請(qǐng)求時(shí)�����,返回用戶的請(qǐng)求調(diào)用所指定的安全服務(wù)提供者模塊的運(yùn)行任務(wù)函數(shù)���,完成對(duì)用戶的請(qǐng)求并將結(jié)果返回給用戶��;當(dāng)不需要時(shí)由通用服務(wù)安全管理器從內(nèi)存中卸載��。資源信息服務(wù)器是一個(gè)為安全中間件提供保存各模塊信息的接口����,主要是提供安全中間件系統(tǒng)的各種能力描述表以及模塊注冊(cè)信息。然而當(dāng)傳統(tǒng)安全中間件系統(tǒng)應(yīng)用于移動(dòng)終端時(shí)�����,存在以下幾個(gè)方面的缺點(diǎn)����,這嚴(yán)重制約了終端性能的提高。1.開發(fā)安全中間件系統(tǒng)難度大���、周期長(zhǎng)�����,安全服務(wù)接口具有緊耦合性��。安全中間件系統(tǒng)主要包括兩部分功能安全服務(wù)提供功能,提供各種安全服務(wù)實(shí)現(xiàn)如加密��、解密����、證書服務(wù)等組件和工具。安全中間件系統(tǒng)功能����,提供安全服務(wù)調(diào)用�、注冊(cè)����、發(fā)布框架和服務(wù)的執(zhí)行,包含日志���、審計(jì)����、安全�、調(diào)度等模塊。現(xiàn)有的安全中間件系統(tǒng)所提供的安全服務(wù)接口實(shí)現(xiàn)與具體編程語言和操作系統(tǒng)類型有關(guān)��,安全服務(wù)接口具有緊耦合性的特點(diǎn)��,因此難以適合異構(gòu)移動(dòng)終端的需求�。另外這些安全服務(wù)的開發(fā)集成難度大、耗時(shí)長(zhǎng)���、質(zhì)量難以保證�����,因此使得安全服務(wù)開發(fā)者不能把關(guān)注點(diǎn)集中在業(yè)務(wù)開發(fā)上�����。2.無法根據(jù)用戶安全需求而靈活快速地搭建安全服務(wù)�,對(duì)可定制性、可擴(kuò)展性支持不夠�����。不同用戶有不同的安全服務(wù)需求�,同一用戶的安全服務(wù)需求也在不斷變化。現(xiàn)有的安全中間件系統(tǒng)難以針對(duì)用戶靈活多變的需求�,快速地定制及擴(kuò)展,因此無法應(yīng)對(duì)用戶需求而靈活快速地搭建安全服務(wù)����。用戶新的需求,新的業(yè)務(wù)能力��,會(huì)導(dǎo)致新的安全服務(wù)開發(fā)要求���。因此在開發(fā)安全中間件系統(tǒng)就要考慮如何針對(duì)這種需求的不確定性,提供對(duì)未知的
4新的安全服務(wù)能力的靈活集成和支持�,保持系統(tǒng)軟件的可擴(kuò)展性����,同時(shí)系統(tǒng)需要支持軟件可擴(kuò)展性和硬件可擴(kuò)展性�����,所有的這些在傳統(tǒng)安全中間件中沒有得到足夠的支持��。3.傳統(tǒng)安全中間件產(chǎn)品安裝部署操作過程復(fù)雜���,對(duì)硬件設(shè)施的要求高�����,成本高��。由于移動(dòng)終端本身資源受限�,加之移動(dòng)終端平臺(tái)的多樣性和開放性����,決定了與之適應(yīng)的輕量級(jí)安全中間件。因此減少軟件開發(fā)過程的復(fù)雜性和擺脫終端資源受限的影響����,對(duì)傳統(tǒng)安全中間件系統(tǒng)而言仍是亟待解決的問題����。目前國(guó)外典型的安全中間件有Intel公司的CDSA (Common Data Security Architecture)架構(gòu)和Entrust的Entrust/PKI產(chǎn)品���。其中CDSA包括安全應(yīng)用層�����、安全模塊層和內(nèi)核層��,它為開發(fā)人員提供了一個(gè)通用性很強(qiáng)的安全開發(fā)模式�。但是由于其對(duì)資源的要求較高�����,在嵌入式設(shè)備或無線網(wǎng)絡(luò)環(huán)境等資源有限的條件下難以運(yùn)行�����。國(guó)內(nèi)典型的安全中間件產(chǎn)品主要有東方通的TongSEC����、清華紫光的UnisMMW��、上海華騰的TopSecure。但在這些框架結(jié) 構(gòu)中����,安全中間件作為函數(shù)庫與應(yīng)用程序部署在一起或者通過遠(yuǎn)程調(diào)用方式或者以分布式計(jì)算的方式與應(yīng)用程序交互,應(yīng)用程序與安全服務(wù)之間具有較強(qiáng)的緊耦合性�, 因而整個(gè)系統(tǒng)過于復(fù)雜不好維護(hù)。
與本發(fā)明最接近的中間件平臺(tái)技術(shù)是中國(guó)專利申請(qǐng)(公開號(hào)CN101980152 A), 涉及的中間件系統(tǒng)包括可視化移動(dòng)應(yīng)用管理子系統(tǒng)�����、移動(dòng)應(yīng)用開發(fā)子系統(tǒng)和終端應(yīng)用子系統(tǒng)�����。上述專利申請(qǐng)依靠移動(dòng)應(yīng)用開發(fā)子系統(tǒng)根據(jù)用戶操作系統(tǒng)類型提供復(fù)雜的應(yīng)用程序格式轉(zhuǎn)換�,從而生成適合于不同網(wǎng)絡(luò)、平臺(tái)和終端的移動(dòng)應(yīng)用��。該中間件系統(tǒng)工作流程復(fù)雜�����, 安全服務(wù)重復(fù)度高�����,加之用戶需要將應(yīng)用程序下載并運(yùn)行于終端才能獲得服務(wù),因此該專利設(shè)計(jì)的方案并不適合資源受限的移動(dòng)終端�����。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是針對(duì)資源受限的移動(dòng)終端��,提供一種擴(kuò)展性高��、移植性強(qiáng)的面向移動(dòng)終端的安全中間件系統(tǒng)(Security Middleware System Oriented to Mobile Terminal Application���,SMS-0MTA)�,解決目前移動(dòng)終端安全服務(wù)開發(fā)中存在的跨平臺(tái)應(yīng)用交互不便����、平臺(tái)依賴性強(qiáng)、軟件重復(fù)度高����、開發(fā)周期長(zhǎng)等缺陷,提供了移動(dòng)終端安全服務(wù)開發(fā)的便捷性�����。本發(fā)明解決上述技術(shù)問題的方案是以可擴(kuò)展的基礎(chǔ)資源為依托,利用3G技術(shù)帶來的高帶寬優(yōu)勢(shì)����,結(jié)合面向服務(wù)體系SOA技術(shù)��,在傳統(tǒng)安全中間件系統(tǒng)基礎(chǔ)上提供一種面向移動(dòng)終端的中間件系統(tǒng)SMS-0MTA����。本發(fā)明利用SMS-OMTA所提供的高效處理能力以及異構(gòu)終端差異屏蔽能力,提取軟件開發(fā)過程中共同的安全服務(wù)需求并以具有松耦合性的Web 服務(wù)(Web Service)形式發(fā)布����,從而形成中間件系統(tǒng)的基礎(chǔ)能力,同時(shí)將耗資源的安全服務(wù)遷移到系統(tǒng)基礎(chǔ)資源層上并采用元數(shù)據(jù)驅(qū)動(dòng)形式進(jìn)行管理���,降低了模塊間的耦合性��,有效地解決了上述問題����。一種基于中間件技術(shù)的移動(dòng)終端安全服務(wù)系統(tǒng)�,該系統(tǒng)自上而下包括角色層、安全服務(wù)管理層�、基礎(chǔ)資源層�。所述角色層包括面向移動(dòng)終端的中間件系統(tǒng)SMS-OMTA與用戶和開發(fā)者交互的接口�����,通過服務(wù)需求發(fā)布和查詢接口獲取安全服務(wù)信息元數(shù)據(jù)以及安全需求信息元數(shù)據(jù)���,其中安全服務(wù)信息元數(shù)據(jù)用于描述安全服務(wù)的各種功能�����,安全需求信息元數(shù)據(jù)用于描述用戶所需安全服務(wù)的功能信息����;平臺(tái)服務(wù)信息查詢和調(diào)用接口模塊作為系統(tǒng)與終端安全服務(wù)開發(fā)者 交互的接口��,以Web Service形式發(fā)布文檔描述SMS-OMTA提供的服務(wù)名稱�����、操作類型����、服務(wù)功能。安全服務(wù)管理層提供跨平臺(tái)安全服務(wù)以及異構(gòu)終端訪問平臺(tái)��,提供安全服務(wù)元數(shù)據(jù)和安全服務(wù)需求元數(shù)據(jù)信息查詢,根據(jù)安全服務(wù)信息元數(shù)據(jù)調(diào)用與之對(duì)應(yīng)的安全應(yīng)用服務(wù)并部署運(yùn)行在基礎(chǔ)資源層以供調(diào)用���;安全服務(wù)管理層中消息引擎模塊提取異構(gòu)終端請(qǐng)求的安全服務(wù)類型�、安全服務(wù)請(qǐng)求參數(shù)并進(jìn)行封裝��,或?qū)⑵脚_(tái)返回的安全服務(wù)運(yùn)行結(jié)果依照標(biāo)準(zhǔn)格式進(jìn)行封裝����;服務(wù)信息中心包括服務(wù)配置信息�����、服務(wù)初始化信息����、服務(wù)注冊(cè)信息以及用戶需求信息;開發(fā)工具集成類庫并提供上傳��、下載����、查詢應(yīng)用安全服務(wù)功能,進(jìn)行離線安全服務(wù)開發(fā)��。基礎(chǔ)資源層根據(jù)安全服務(wù)管理層提供的安全服務(wù)信息元數(shù)據(jù)加載并運(yùn)行對(duì)應(yīng)的安全服務(wù)��?����;A(chǔ)資源層進(jìn)一步包括安全服務(wù)接口層模塊����、安全資源提供層模塊和運(yùn)行環(huán)境, 提供密碼服務(wù)接口��、證書服務(wù)接口��,運(yùn)行環(huán)境通過虛擬化技術(shù)和分布式文件系統(tǒng)形成資源池供安全服務(wù)管理層調(diào)用�����。本發(fā)明還提供一種基于中間件技術(shù)的移動(dòng)終端安全服務(wù)方法�����,包括以下步驟�����,角色層中服務(wù)需求發(fā)布和查詢接口用于用戶獲取安全服務(wù)信息元數(shù)據(jù)以及安全需求信息元數(shù)據(jù),平臺(tái)服務(wù)信息查詢和調(diào)用接口模塊作為系統(tǒng)與終端安全服務(wù)開發(fā)者交互的接口��,以 Web Service (Web服務(wù))形式發(fā)布文檔描述SMS-OMTA提供的服務(wù)名稱���、操作類型�����、服務(wù)功能���;安全服務(wù)管理層提供跨平臺(tái)安全服務(wù)以及異構(gòu)終端訪問平臺(tái),提供安全服務(wù)元數(shù)據(jù)和安全服務(wù)需求元數(shù)據(jù)信息查詢并根據(jù)安全服務(wù)信息元數(shù)據(jù)調(diào)用與之對(duì)應(yīng)的安全應(yīng)用服務(wù)并部署運(yùn)行在基礎(chǔ)資源層以供調(diào)用�����;基礎(chǔ)資源層根據(jù)安全服務(wù)管理層提供的安全服務(wù)信息元數(shù)據(jù)加載并運(yùn)行對(duì)應(yīng)的安全服務(wù)���。采用本發(fā)明終端用戶按需訂購安全服務(wù)或者發(fā)布安全服務(wù)需求,開發(fā)者針對(duì)用戶需求調(diào)用現(xiàn)有的服務(wù)或開發(fā)的新型安全服務(wù)并部署到SMS-OMTA上�,終端安全服務(wù)開發(fā)過程具有可擴(kuò)展性、可重用性�。另外以Web Service形式發(fā)布的應(yīng)用程序編程接口使得開發(fā)者開發(fā)安全服務(wù)時(shí)無需考慮異構(gòu)終端問題,從而解決了開發(fā)者的軟件普適性較弱問題�,并且采用基于XML文檔的元數(shù)據(jù)形式進(jìn)行管理���,降低了模塊間的耦合性。因此本發(fā)明提供的終端應(yīng)用開發(fā)技術(shù)方案具有良好的發(fā)展空間�����。以下通過具體方式并結(jié)合附圖對(duì)本發(fā)明做進(jìn)一步的詳細(xì)說明�。說明書附圖
圖1安全中間件體系結(jié)構(gòu); 圖2安全服務(wù)控制涉及的模塊圖����; 圖3面向移動(dòng)終端的安全中間件系統(tǒng)SMS-OMTA ; 圖4基于SMS-OMTA安全開發(fā)方案具體流程圖�����。
具體實(shí)施例方式本發(fā)明基于面向服務(wù)體系結(jié)構(gòu)(SOA)思想�����,結(jié)合傳統(tǒng)安全中間件技術(shù)��,設(shè)計(jì)一種面向移動(dòng)終端的安全中間件系統(tǒng)�����,通過該系統(tǒng)完成對(duì)通用耗資源的安全服務(wù)發(fā)布以及部署運(yùn)行,使得移動(dòng)終端對(duì)安全服務(wù)開發(fā)的資源限制和開發(fā)周期大大降低�����、同時(shí)為終端安全服務(wù)的可移植性提供了技術(shù)支持�����。以下結(jié)合附圖和具體實(shí)例對(duì)本發(fā)明所涉及的系統(tǒng)及開發(fā)方法的實(shí)施作進(jìn)一步詳細(xì)描述�����。如圖2所示��,面向移動(dòng)終端的安全中間件系統(tǒng)SMS-OMTA中將系統(tǒng)中任何基礎(chǔ)硬件和基礎(chǔ)軟件資源視為能力�����,利用各種能力通過組裝����、再加工的方式生產(chǎn)的產(chǎn)品視為服務(wù)����, 采用元數(shù)據(jù)驅(qū)動(dòng)管理安全中間件系統(tǒng)�,利用基于XML的元數(shù)據(jù)將系統(tǒng)模塊間的功能型強(qiáng)耦合關(guān)系轉(zhuǎn)化為數(shù)據(jù)型弱耦合關(guān)系�。其中元數(shù)據(jù)是關(guān)于數(shù)據(jù)的描述性信息,具體來說是關(guān)于數(shù)據(jù)模型的基本概念�、基本關(guān)系、基本約束的語義���。SMS-OMTA元數(shù)據(jù)包括以下兩種資源描述元數(shù)據(jù)���、管理描述元數(shù)據(jù)。資源描述元數(shù)據(jù)是對(duì)模型能力和服務(wù)的匯總列表����,描述整個(gè)模型可用資源;管理性元數(shù)據(jù)具體又包括能力管理元數(shù)據(jù)����,服務(wù)管理元數(shù)據(jù)和控制性元數(shù)據(jù)。 元數(shù)據(jù)管理引擎通過管理性元數(shù)據(jù)完成對(duì)能力和服務(wù)的管控功能�。鑒于可擴(kuò)展標(biāo)記語言 (extensible Markup Language,XML)提供了元數(shù)據(jù)信息交換的標(biāo)準(zhǔn)方法,平臺(tái)采用了基于 XML的元數(shù)據(jù)文件格式�����。SMS-OMTA中能力、服務(wù)可類比于計(jì)算機(jī)硬件設(shè)備中的外設(shè)�����;元數(shù)據(jù)實(shí)體等同于存儲(chǔ)器���,是外設(shè)的驅(qū)動(dòng)程序�����;元數(shù)據(jù)管理引擎則屬于中央控制器(CPU)����。能力、 服務(wù)以外設(shè)的形式通過元數(shù)據(jù)實(shí)體驅(qū)動(dòng)掛載到相應(yīng)的總線上,完成與元數(shù)據(jù)管理引擎的交互���,由元數(shù)據(jù)管理引擎管理與控制。中央控制器最終將服務(wù)和能力向用戶接口注冊(cè)并以標(biāo)準(zhǔn)化Web Service形式發(fā)布,供客戶端調(diào)用���,實(shí)現(xiàn)客戶端對(duì)平臺(tái)資源的透明訪問。如圖3所示面向移動(dòng)終端的安全中間件系統(tǒng)SMS-OMTA分為三層角色層��、安全服務(wù)管理層���、基礎(chǔ)資源層��。角色層提供基于終端用戶和開發(fā)者兩種角色的功能模塊����,終端用戶按需訂購安全服務(wù)���,開發(fā)者根據(jù)安全服務(wù)需求信息開發(fā)安全服務(wù)����。主要涉及注冊(cè)�����、登錄���、訂閱服務(wù)���、服務(wù)需求發(fā)布和查詢接口、平臺(tái)服務(wù)信息查詢和調(diào)用接口模塊�����。角色層提供包括服務(wù)需求發(fā)布和查詢接口、平臺(tái)服務(wù)信息查詢和調(diào)用接口等作為SMS-OMTA與用戶和開發(fā)者交互的接口�����。 其中服務(wù)查詢和需求發(fā)布接口用于用戶獲取平臺(tái)安全服務(wù)元數(shù)據(jù)信息securityresourd meta以及發(fā)布安全服務(wù)需求信息serViceneed_description_meta �����;安全服務(wù)元數(shù)據(jù)信息 securityresource_meta描述SMS-0MTA安全服務(wù)對(duì)應(yīng)功能���,格式如下�,
<安全服務(wù)元數(shù)據(jù)> <能力列表> 〈能力〉
<能力標(biāo)識(shí)符>***</能力標(biāo)識(shí)符> 〈能力名字>***</能力名字〉
<能力描述元數(shù)據(jù)加載位置>***</能力描述元數(shù)據(jù)加載位置> </能力> </能力列表> <服務(wù)列表> 〈服務(wù)〉
<服務(wù)標(biāo)識(shí)符>***</服務(wù)標(biāo)識(shí)符> 〈服務(wù)名字>***</服務(wù)名字〉
<服務(wù)描述元數(shù)據(jù)加載位置>***</服務(wù)描述元數(shù)據(jù)加載位置>
</服務(wù)> </服務(wù)列表></安全服務(wù)元數(shù)據(jù)>
每個(gè)能力或服務(wù)都有系統(tǒng)唯一能力/服務(wù)標(biāo)識(shí)符�,這是在該能力或服務(wù)進(jìn)入系統(tǒng)后向元數(shù)據(jù)引擎注冊(cè)時(shí)由系統(tǒng)分配。能力/服務(wù)描述元數(shù)據(jù)加載位置標(biāo)簽下存放了單個(gè)能力或服務(wù)的元數(shù)據(jù)描述文件和元數(shù)據(jù)管理文件的路徑��。安全服務(wù)需求元數(shù)serviceneed_description_meta據(jù)用于描述用戶不同的安全服務(wù)需求信息(格式如下)�。<安全服務(wù)需求元數(shù)據(jù)>
<屬性>
<需求標(biāo)識(shí)符>***</需求標(biāo)識(shí)符> <安全需求名稱>***</安全需求名稱> <作者>***</作者>
<安全需求功能描述>***</安全需求功能描述> </屬性> </安全服務(wù)需求元數(shù)據(jù)>
其中安全需求功能描述標(biāo)簽用以說明用戶具體的安全服務(wù)需求。平臺(tái)服務(wù)信息查詢和調(diào)用接口模塊作為系統(tǒng)與終端安全服務(wù)開發(fā)者交互的接口��, 主要提供給開發(fā)者查詢安全服務(wù)需求信息表和平臺(tái)安全服務(wù)配置表以便獲取安全服務(wù)需求fe息���。用戶通過查詢安全服務(wù)元數(shù)據(jù)定制安全服務(wù)或者通過上傳安全服務(wù)需求元數(shù)據(jù)發(fā)布安全需求信息����。開發(fā)者根據(jù)安全服務(wù)需求元數(shù)據(jù),利用平臺(tái)提供的開發(fā)工具調(diào)用平臺(tái)已有安全服務(wù)進(jìn)行組合開發(fā)或者二次開發(fā)�,然后將所開發(fā)的安全服務(wù)和用以描述的安全服務(wù)能力元數(shù)據(jù)上傳至平臺(tái)����。安全服務(wù)能力描述元數(shù)據(jù)sercurity_capacity_description_meta (格式見下)文件用于開發(fā)者向平臺(tái)描述所開發(fā)的安全服務(wù),除包含安全服務(wù)能力標(biāo)識(shí)符等基本信息外�����, 還包含了版本號(hào)標(biāo)簽用于控制能力版本信息��、加載位置標(biāo)簽指示該能力產(chǎn)品在能力池中的實(shí)際位置�、所需加載類庫標(biāo)簽指示能力部分入口類、其他能力部件標(biāo)簽指示與其他能力部件的依賴關(guān)系�����。<安全服務(wù)能力描述元數(shù)據(jù)> <屬性>
<安全服務(wù)能力標(biāo)識(shí)符>***</安全服務(wù)能力標(biāo)識(shí)符> <安全服務(wù)能力名稱>***</安全服務(wù)能力名稱> <作者>***</作者> <版本號(hào)>***</版本號(hào)> <加載位置>***</加載位置> <描述信息>***</描述信息> <所需加載類庫>***</所需加載類庫> <其他能力部件>**</其他能力部件> </屬性> </安全服務(wù)能力描述元數(shù)據(jù)〉安全服務(wù)管理層是本平臺(tái)框架的核心部分���,它提供了跨平臺(tái)安全服務(wù)以及異構(gòu)終端訪問平臺(tái)的能力���。參照?qǐng)D3為安全中間件平臺(tái)提供安全服務(wù)所涉及的模塊圖。 包括201消息引擎模塊��、202開發(fā)工具模塊、203應(yīng)用安全服務(wù)編程接口模塊����、204 安全服務(wù)信息中心模塊、205安全服務(wù)控制中心模塊���、206安全服務(wù)接口以及207安全服務(wù)資源模塊�����。其中消息引擎模塊接受從異構(gòu)終端發(fā)出的請(qǐng)求����,然后從消息中提取用戶請(qǐng)求的安全服務(wù)類型�、安全服務(wù)請(qǐng)求參數(shù)并進(jìn)行封裝,或者將平臺(tái)運(yùn)行的安全服務(wù)結(jié)果依照標(biāo)準(zhǔn)格式簡(jiǎn)單對(duì)象訪問協(xié)議SOAP進(jìn)行封裝����。開發(fā)工具模塊集成一套可供開發(fā)者開發(fā)跨平臺(tái)的應(yīng)用的類庫并提供上傳、下載�����、查詢應(yīng)用安全服務(wù)功能,開發(fā)者利用開發(fā)工具可以離線進(jìn)行安全服務(wù)開發(fā)��。安全服務(wù)編程接口模塊提供給用戶或者開發(fā)者調(diào)用平臺(tái)安全服務(wù)的接口�,該接口為Web Service形式發(fā)布,一般為Web服務(wù)描述語言WSDL文件�����。該WSDL文檔主要描述了平臺(tái)提供的服務(wù)名稱�����、操作類型��、服務(wù)功能等�����。安全服務(wù)信息中心主要提供服務(wù)配置信息��、服務(wù)初始化信息����、服務(wù)注冊(cè)信息以及用戶需求信息供用戶或開發(fā)者增刪改查����,一般為數(shù)據(jù)庫����。安全服務(wù)控制中心是SMS-OMTA平臺(tái)的控制和調(diào)度機(jī)構(gòu)���,完成對(duì)能力和服務(wù)等各種資源的統(tǒng)一監(jiān)控�����、管理和協(xié)調(diào)工作����。安全服務(wù)控制中心根據(jù)消息引擎模塊獲得的消息類型進(jìn)行處理如果是查詢消息����,則將消息參數(shù)發(fā)送到查詢子模塊以獲取安全服務(wù)元數(shù)據(jù);如果是注冊(cè)消息��,則調(diào)用注冊(cè)子模塊向安全服務(wù)中心寫入安全服務(wù)能力描述元數(shù)據(jù)且將元數(shù)據(jù)對(duì)應(yīng)的安全服務(wù)(用安全服務(wù)能力描述元數(shù)據(jù)xml文檔中的名稱項(xiàng)描述)部署在基礎(chǔ)資源層�����;如果是調(diào)用消息�����,則先通過查詢子模塊找依照消息提供的參數(shù)找到該安全服務(wù)對(duì)應(yīng)的安全服務(wù)元數(shù)據(jù),再根據(jù)元數(shù)據(jù)向下層請(qǐng)求名稱項(xiàng)對(duì)應(yīng)的安全服務(wù)����。在能力(或服務(wù))通過元數(shù)據(jù)生成器進(jìn)入平臺(tái)后,元數(shù)據(jù)生成器將以中斷形式請(qǐng)求安全服務(wù)控制中心處理����,安全服務(wù)中心通過元數(shù)據(jù)實(shí)體將相應(yīng)的資源掛載到模型總線,完成服務(wù)和能力的注冊(cè)工作�,通知SMS-OMTA平臺(tái)該能力(或服務(wù))已處于準(zhǔn)備狀態(tài)����。然后通過能力(或服務(wù))部署完成對(duì)資源的進(jìn)一步組裝和配置工作,協(xié)調(diào)其他相關(guān)設(shè)備和部件�����,使得資源處于可運(yùn)行狀態(tài)�。通過能力(或服務(wù))監(jiān)控實(shí)現(xiàn)對(duì)模型資源的管理和控制。對(duì)于能力(或服務(wù))的任何更新��, 元數(shù)據(jù)生成器將同樣地使用中斷機(jī)制請(qǐng)求安全服務(wù)控制中心處理�����。基礎(chǔ)資源層按照功能分為安全服務(wù)接口層模塊����、安全服務(wù)資源模塊以及安全服務(wù)的運(yùn)行環(huán)境。安全服務(wù)接口層模塊主要包括密碼服務(wù)接口����、證書服務(wù)接口,證書服務(wù)接口向上提供與證書服務(wù)一致的操作集合如證書生成�����、證書編碼等��,密碼服務(wù)接口向上提供與密碼服務(wù)一致的操作結(jié)合如加解密�、數(shù)字簽名等。安全服務(wù)資源模塊�,它是對(duì)應(yīng)安全服務(wù)接口功能的具體實(shí)現(xiàn),一般是各種開發(fā)平臺(tái)直接實(shí)現(xiàn)服務(wù)或者是現(xiàn)有平臺(tái)安全服務(wù)的整合�。運(yùn)行環(huán)境是平臺(tái)安全服務(wù)的運(yùn)行容器,主要由多個(gè)集群組構(gòu)成����,本專利給每臺(tái)計(jì)算機(jī)配置開源軟件分布式文件系統(tǒng)HDFS����,將多個(gè)計(jì)算機(jī)封裝為分布式系統(tǒng)從而形成資源池�����,對(duì)外提供兩部分功能分布式文件系統(tǒng)�����,用于提供分布式數(shù)據(jù)文件存儲(chǔ)功能���,提供具備高可靠性�、高穩(wěn)定性的存儲(chǔ)平臺(tái)����;分布式計(jì)算環(huán)境�����,用于提供基于Map-Reduce的編程模型���。如圖4所示為基于SMS-OMTA安全服務(wù)流程圖����,具體處理步驟如下
Si.安全中間件系統(tǒng)SMS-OMTA通過消息引擎模塊接受終端用戶服務(wù)請(qǐng)求查詢, 通過服務(wù)管理元數(shù)據(jù)引擎查找服務(wù)元數(shù)據(jù)并返回SMS-OMTA現(xiàn)有的安全服務(wù)能力描述元數(shù)據(jù)securityresource_meta��,同時(shí)接受終端用戶安全服務(wù)需求信息serviceneed_descriptionjiieta��,通過安全服務(wù)中心管理服務(wù)元數(shù)據(jù)寫入到服務(wù)信息中心模塊�。S2. SMS-OMTA開發(fā)工具模塊將安全服務(wù)需求信息通過應(yīng)用接口形式返回給終端服務(wù)開發(fā)者,同時(shí)提供給開發(fā)者相應(yīng)的發(fā)布接口���,并且將SMS-OMTA現(xiàn)有的安全服務(wù)以Web Service方式提供給開發(fā)者調(diào)用以便進(jìn)行組合式開發(fā)�����,然后接受開發(fā)工具模塊上傳的安全月艮務(wù)禾口對(duì)應(yīng)的安全月艮務(wù)描述元數(shù)據(jù)sercurity_capacity_desc:ription_meta��。SMS-OMTA采用基礎(chǔ)資源層的安全服務(wù)接口層模塊描述文件來公開系統(tǒng)提供的安全基礎(chǔ)服務(wù)�����。該接口描述文件采用標(biāo)準(zhǔn)的Web服務(wù)描述語言WSDL文件將安全服務(wù)的業(yè)務(wù)信息��、Web服務(wù)的特征信息��、安全服務(wù)的實(shí)現(xiàn)細(xì)節(jié)及調(diào)用方法的信息都進(jìn)行仔細(xì)說明���。由于 WSDL文件是一種可擴(kuò)展性標(biāo)記語言XML文件����,它所具有平臺(tái)無關(guān)性����,任何類型的終端只需要安裝一個(gè)XML解析器就可以獲取安全中間件系統(tǒng)所提供的安全服務(wù)的詳細(xì)信息,從而使得安全服務(wù)開發(fā)人員無需考慮安全服務(wù)的平臺(tái)型限制��。SMS-OMTA提供的開發(fā)工具提供開發(fā)者開發(fā)跨平臺(tái)的應(yīng)用的類庫并提供上傳���、下載��、查詢應(yīng)用安全服務(wù)功能���,開發(fā)者利用開發(fā)工具可以離線進(jìn)行安全服務(wù)開發(fā)。服務(wù)信息查詢和調(diào)用接口模塊將開發(fā)者提供的Web服務(wù)搜索條件如服務(wù)類型��、相關(guān)的約束條件�����、服務(wù)質(zhì)量Qos等信息傳遞給安全服務(wù)中心��,安全服務(wù)中心將滿足條件的服務(wù)配置信息形成一個(gè) Web服務(wù)集返回��,以供開發(fā)者選擇調(diào)用哪一個(gè)具體的安全服務(wù)����。S3. SMS-OMTA服務(wù)控制中心根據(jù)開發(fā)者提供的安全服務(wù)描述元數(shù)據(jù),將其寫入到安全服務(wù)信息中心并更新安全服務(wù)目錄中的安全服務(wù)元數(shù)據(jù)信息列表以供查詢���。安全服務(wù)中心在驗(yàn)證開發(fā)者進(jìn)行二次開發(fā)后的產(chǎn)品合法性后將自動(dòng)分配資源池將其部署到基礎(chǔ)資源層并且自動(dòng)生成WSDL接口����,同時(shí)更新安全服務(wù)信息列表���。S4. SMS-OMTA服務(wù)控制中心根據(jù)終端用戶的訂購信息提取安全服務(wù)描述元數(shù)據(jù)����, 安全服務(wù)控制中心根據(jù)安全服務(wù)描述元數(shù)據(jù)找到對(duì)應(yīng)安全服務(wù)并部署運(yùn)行在基礎(chǔ)資源層���, 同時(shí)生成系統(tǒng)日志文件��?;A(chǔ)資源層采用目前開源分布式系統(tǒng)Hadoop提供動(dòng)態(tài)的計(jì)算和存儲(chǔ)能力構(gòu)建基礎(chǔ)資源層����。在系統(tǒng)完成初始化后將利用基礎(chǔ)資源層中的不同類型的安全服務(wù)接口動(dòng)態(tài)加載和卸載與之相聯(lián)系的安全基礎(chǔ)服務(wù)模塊����,該安全服務(wù)接口與安全基礎(chǔ)服務(wù)模塊一一對(duì)應(yīng)����。SMS-OMTA安全服務(wù)中心通過消息引擎模塊接收到開發(fā)者請(qǐng)求的安全服務(wù)類型,然后找到與之對(duì)應(yīng)的安全服務(wù)元數(shù)據(jù)��,根據(jù)安全服務(wù)元數(shù)據(jù)提供的信息確定基礎(chǔ)資源層的相關(guān)安全服務(wù)接口�,同時(shí)分配運(yùn)行環(huán)境,將與安全服務(wù)接口對(duì)應(yīng)的安全服務(wù)模塊動(dòng)態(tài)地加載到內(nèi)存�����,最后返回綁定成功消息���,所有這些信息都是以通用的SOAP協(xié)議進(jìn)行通信����。安全基礎(chǔ)服務(wù)模塊接受來自運(yùn)行在用戶終端的代理程序所提供的服務(wù)參數(shù)��,最后將運(yùn)行結(jié)果返回給用戶��。本發(fā)明的中間件平臺(tái)及應(yīng)用開發(fā)方法����,與傳統(tǒng)的移動(dòng)中間件比較,具有以下優(yōu)點(diǎn)����。
該平臺(tái)屏蔽了不同移動(dòng)終端系統(tǒng)之間的差異性,為其提供統(tǒng)一的接口��,以Web Service形式發(fā)布的應(yīng)用程序編程接口使得開發(fā)者開發(fā)安全服務(wù)時(shí)無需考慮異構(gòu)終端問題�����,從而解決了開發(fā)者的軟件普適性較弱問題���,并且采用基于XML文檔的元數(shù)據(jù)形式進(jìn)行管理�,降低了模塊間的耦合性����。從而實(shí)現(xiàn)了對(duì)平臺(tái)能力資源的透明訪問,無障礙地在不同移動(dòng)終端上使用各種應(yīng)用����。
平臺(tái)為移動(dòng)設(shè)備提供強(qiáng)大的基礎(chǔ)能力���,有效解決終端設(shè)備能力受限的應(yīng)用瓶頸。 終端設(shè)備將資源消耗度高的應(yīng)用遷移到中間件平臺(tái)上����,這在很大程度上降低了終端應(yīng)用的設(shè)備需求?!ねㄟ^虛擬化技術(shù)抽象平臺(tái)基礎(chǔ)資源,按需分配�,提高平臺(tái)資源利用率和復(fù)用性。 平臺(tái)利用網(wǎng)絡(luò)將大量的資源進(jìn)行整合形成資源池��,進(jìn)行統(tǒng)一管理和調(diào)度以便用戶隨時(shí)獲取��、按需使用和彈性擴(kuò)展���,使得終端安全應(yīng)用的部署更為輕松便捷�����,安全應(yīng)用的遷移更加靈活�����。
權(quán)利要求
1.一種基于元數(shù)據(jù)的移動(dòng)終端安全中間件系統(tǒng)��,該系統(tǒng)包括角色層���、安全服務(wù)管理層、 基礎(chǔ)資源層��,其特征在于���,所述角色層包括安全中間件系統(tǒng)SMS-OMTA與用戶和開發(fā)者交互的接口���,其中服務(wù)查詢和需求發(fā)布接口用于用戶獲取安全服務(wù)信息元數(shù)據(jù)以及安全需求信息元數(shù)據(jù),平臺(tái)服務(wù)信息查詢和調(diào)用接口模塊作為系統(tǒng)與終端安全服務(wù)開發(fā)者交互的接口����,以Web服務(wù)ffeb Service形式發(fā)布文檔描述SMS-OMTA提供的服務(wù)名稱、操作類型���、服務(wù)功能����,采用標(biāo)準(zhǔn)的Web服務(wù)描述語言WSDL文件說明安全服務(wù)的業(yè)務(wù)信息����、Web服務(wù)的特征信息���、安全服務(wù)的實(shí)現(xiàn)及調(diào)用信息;安全服務(wù)管理層提供跨平臺(tái)安全服務(wù)以及異構(gòu)終端訪問平臺(tái)�����,提供安全服務(wù)元數(shù)據(jù)和安全服務(wù)需求元數(shù)據(jù)信息查詢����,并根據(jù)安全服務(wù)元數(shù)據(jù)調(diào)用與之對(duì)應(yīng)的安全應(yīng)用服務(wù)并部署運(yùn)行在基礎(chǔ)資源層以供調(diào)用;基礎(chǔ)資源層根據(jù)安全服務(wù)管理層提供的安全服務(wù)信息元數(shù)據(jù)加載并運(yùn)行對(duì)應(yīng)的安全服務(wù)�����。
2.根據(jù)權(quán)利要求1所述移動(dòng)終端安全服務(wù)系統(tǒng)�����,其特征在于�,利用基于可擴(kuò)展標(biāo)記語言XML的元數(shù)據(jù)將系統(tǒng)模塊間的功能型強(qiáng)耦合關(guān)系轉(zhuǎn)化為數(shù)據(jù)型弱耦合關(guān)系,安全服務(wù)信息元數(shù)據(jù)用于描述安全服務(wù)的各種功能�,安全需求信息元數(shù)據(jù)用于描述用戶所需安全服務(wù)的功能信息。
3.根據(jù)權(quán)利要求1所述移動(dòng)終端安全服務(wù)系統(tǒng)�,其特征在于�����,所述安全服務(wù)管理層具體包括應(yīng)用程序編程接口��、消息引擎模塊���、服務(wù)控制中心��、服務(wù)信息中心�、開發(fā)工具模塊, 消息引擎模塊提取異構(gòu)終端請(qǐng)求的安全服務(wù)類型�����、安全服務(wù)請(qǐng)求參數(shù)并進(jìn)行封裝����,或?qū)⑵脚_(tái)返回的安全服務(wù)運(yùn)行結(jié)果依照標(biāo)準(zhǔn)格式進(jìn)行封裝;服務(wù)信息中心包括服務(wù)配置信息���、服務(wù)初始化信息����、服務(wù)注冊(cè)信息以及用戶需求信息;開發(fā)工具集成類庫并提供上傳�、下載、查詢應(yīng)用安全服務(wù)��,進(jìn)行離線安全服務(wù)開發(fā)�;服務(wù)控制中心根據(jù)安全服務(wù)描述元數(shù)據(jù)找到對(duì)應(yīng)的安全服務(wù)并部署運(yùn)行在基礎(chǔ)資源層,同時(shí)生成系統(tǒng)日志文件��。
4.根據(jù)權(quán)利要求1所述移動(dòng)終端安全服務(wù)系統(tǒng)�,其特征在于,基礎(chǔ)資源層進(jìn)一步包括安全服務(wù)接口層模塊��、安全資源提供層模塊和運(yùn)行環(huán)境�����,提供密碼服務(wù)接口��、證書服務(wù)接口�����,運(yùn)行環(huán)境通過虛擬化和分布式文件系統(tǒng)形成資源池供安全服務(wù)管理層調(diào)用�����。
5.一種基于元數(shù)據(jù)的移動(dòng)終端安全方法,其特征在于���,包括以下步驟���,角色層中服務(wù)需求發(fā)布和查詢接口用于用戶獲取安全服務(wù)信息元數(shù)據(jù)以及安全需求信息元數(shù)據(jù),平臺(tái)服務(wù)信息查詢和調(diào)用接口模塊作為系統(tǒng)與終端安全服務(wù)開發(fā)者交互的接口����,以Web Service形式發(fā)布文檔描述SMS-OMTA提供的服務(wù)名稱、操作類型���、服務(wù)功能,采用標(biāo)準(zhǔn)的WSDL文件說明安全服務(wù)的業(yè)務(wù)信息�、Web服務(wù)的特征信息、安全服務(wù)的實(shí)現(xiàn)及調(diào)用信息����;安全服務(wù)管理層提供跨平臺(tái)安全服務(wù)以及異構(gòu)終端訪問平臺(tái),提供安全服務(wù)元數(shù)據(jù)和安全服務(wù)需求元數(shù)據(jù)信息查詢��,并根據(jù)安全服務(wù)信息元數(shù)據(jù)調(diào)用與之對(duì)應(yīng)的安全應(yīng)用服務(wù)并部署運(yùn)行在基礎(chǔ)資源層以供調(diào)用����;基礎(chǔ)資源層根據(jù)安全服務(wù)管理層提供的安全服務(wù)信息元數(shù)據(jù)加載并運(yùn)行對(duì)應(yīng)的安全服務(wù)��。
6.根據(jù)權(quán)利要求5所述移動(dòng)終端安全服務(wù)方法���,其特征在于,安全服務(wù)信息元數(shù)據(jù)用于描述安全服務(wù)的各種功能����,安全需求信息元數(shù)據(jù)用于描述用戶所需安全服務(wù)的功能信肩、ο
7.根據(jù)權(quán)利要求5所述移動(dòng)終端安全服務(wù)方法��,其特征在于����,所述安全服務(wù)管理層具體包括應(yīng)用程序編程接口、消息引擎模塊���、服務(wù)控制中心���、服務(wù)信息中心、開發(fā)工具模塊�, 消息引擎模塊提取異構(gòu)終端請(qǐng)求的安全服務(wù)類型、安全服務(wù)請(qǐng)求參數(shù)并進(jìn)行封裝���,或?qū)⑵脚_(tái)返回的安全服務(wù)運(yùn)行結(jié)果依照標(biāo)準(zhǔn)格式進(jìn)行封裝�����;服務(wù)信息中心包括服務(wù)配置信息����、服務(wù)初始化信息、服務(wù)注冊(cè)信息以及用戶需求信息����;開發(fā)工具集成類庫并提供上傳、下載��、查詢應(yīng)用安全服務(wù)功能���,進(jìn)行離線安全服務(wù)開發(fā)����。
8.根據(jù)權(quán)利要求5所述移動(dòng)終端安全服務(wù)方法���,其特征在于,基礎(chǔ)資源層進(jìn)一步包括安全服務(wù)接口層模塊����、安全資源提供層模塊和運(yùn)行環(huán)境�,提供密碼服務(wù)接口��、證書服務(wù)接口���,運(yùn)行環(huán)境通過虛擬化和分布式文件系統(tǒng)形成資源池供安全服務(wù)管理層調(diào)用��。
全文摘要
本發(fā)明公開了一種基于元數(shù)據(jù)的移動(dòng)終端安全中間件系統(tǒng)�,涉及通信技術(shù)領(lǐng)域���。該系統(tǒng)包括角色層���、安全資源管理層和基礎(chǔ)資源層,采用元數(shù)據(jù)驅(qū)動(dòng)形式進(jìn)行管理�,降低了模塊間的耦合性,角色層提供用戶和開發(fā)者兩種角色��,安全資源管理層由應(yīng)用程序編程接口��、消息引擎�、服務(wù)控制中心、服務(wù)信息中心����、開發(fā)工具模塊組成�,基礎(chǔ)資源層提供應(yīng)用服務(wù)運(yùn)行環(huán)境和安全服務(wù)具體實(shí)現(xiàn)����,包括資源提供層和資源接口層模塊。終端用戶按需訂購安全服務(wù)或者發(fā)布安全服務(wù)需求���,開發(fā)者針對(duì)用戶需求調(diào)用現(xiàn)有的服務(wù)或開發(fā)的新型安全服務(wù)并部署到平臺(tái)�,因此終端安全服務(wù)開發(fā)過程具有良好的擴(kuò)展性����、高效性和共享性。
文檔編號(hào)G06F9/44GK102346669SQ201110281538
公開日2012年2月8日 申請(qǐng)日期2011年9月21日 優(yōu)先權(quán)日2011年9月21日
發(fā)明者劉宴兵, 徐光俠, 杜江, 肖云鵬, 胡文平 申請(qǐng)人:重慶郵電大學(xué), 重慶重郵信科通信技術(shù)有限公司