基于LDAP的分布式虚拟资源的命名与定位2

分布式虚拟资源的命名与定位1徐晓娟高建峰战守义吕宗健(北京理工大学计算机科学与工程系虚拟现实实验室，北京100081)E-mail:xxj_xx@sina.com摘要随着网络技术的发展，轻量目录访问协议（LDAP）成为网络资源命名和定位的有效实现技术。在大规模分布式虚拟环境中存在大量的仿真模型和动态数据，如何对它们进行有效的管理是构建分布式虚拟环境的关键技术之一。本文首先描述面向分布式虚拟环境的数据管理系统的体系结构，然后介绍如何使用LDAP实现仿真模型及动态数据的统一命名、定位、安全操作和数据一致性。关键词轻量目录访问协议（LDAP）分布式虚拟环境仿真资源库NamingandOrientationofDistributedVirtualResourceXuXiaojuanGaoJianfengZhanShouyiLvZongjian(VirtualRealityLaboratory，DepartmentofComputerScienceandEngineering,BeijingInstituteofTechnology，Beijing100081)E-mail:xxj_xx@sina.comAbstract：Withthedevelopmentofnetworktechnology,LightDirectoryAccessProtocol（LDAP）technologyhasbecomeaneffectiverealizationtechnologyofresourcenamingandorientationfornetwork.Inlarge-scaleDistributedVirtualEnvironment（DVE）,thereareagreatdealofsimulationmodelsanddynamicdatum,howtomanagethemisoneofcriticaltechnologiesforconstructingDVE.Inthispaper,systemstructureofdatamanagementsystemfacingDVEisfirstdescribed，andthenhowtouseLDAPtorealizenaming，orientation，safeoperationanddatumconsistencyforsimulationmodelsanddynamicdatumareintroduced。Keywords：LightDirectoryAccessProtocol（LDAP）.DistributedVirtualEnvironment.SimulationResourceLibrary1引言在面向军事应用的分布式虚拟环境[1]中，涵盖实体模型、环境模型、作战模型、评估模型、仿真管理模型等多种模型。由于受系统开发环境等因素的制约，数据存储方式多种多样，有关系型数据库、面向对象数据库，也有文件、目录以及基于网络的文件存储方式（、FTP等）。提供一个统一的数据资源命名、存储、调度、访问和安全控制机制，可以实现面向军事应用的分布式仿真中资源的共享和重用，为项目开发提供可重用的资源和应用工具。基于LDAP的分布式目录服务主要用于网络资源定位、网络管理和网络安全等方面，是管理与使用网络信息资源的成熟技术。项目将LDAP目录服务技术应用于分布式虚拟环境中，实现了仿真资源的统一命名、定位和安全服务。本文首先介绍系统的体系结构，然后简要介绍LDAP的概念、特点，最后阐述了LDAP在系统中的设计和实现过程。基金项目：“十五”国防预研项目资助(编号：413040402)作者简介：徐晓娟（1977-），女，北京理工大学，硕士研究生，研究方向为面向虚拟现实的数据管理。战守义，教授，博导，研究方向为分布式数据库，分布式交互仿真；2系统概述根据应用系统的实际需求，结合技术发展趋势,项目设计的体系结构[2]如下图1所示：·数据管理系统的结构模型和层次管理模型应当符合HLA标准。以RTI的数据服务功能为出发点，实现数据存储、交换、管理等功能。·轻量目录访问协议LDAP的分布式目录服务实现了仿真资源的统一命名、快速定位和数据的安全操作。·OMG的实时CORBA（RT-CORBA）解决了大型分布式虚拟环境中客户端对仿真数据的实时异构访问。同时，确保原有仿真节点的平稳移植，便于系统的整合。·使用开放源码的PostgreSQL数据库管理系统来支持事务、子查询、多版本并行控制、数据完整性检查等数据库管理功能；使用分布式文件系统AFS(AnderwFileSystem)来管理分布式文件系统，提供高效的文件系统资源的共享。图1系统体系结构图3目录服务协议LDAP为了实现Internet上的信息、资源的共享，减少网络管理和用户的负担，提供一种通用的格式和方式来实现网络资源定位、网络管理等功能成为急需解决的问题。1988年，CCITT(ITU–T)推出了X.500标准（ISO9594）,定义了通用目录服务的信息模型、通信协议和安全认证等内容。X.500基于OSI网络模型，不支持TCP/IP，限制了其在Internet上的使用。为了解决Internet上的应用问题，IETF的ASID小组制订了轻型目录访问协议LDAP（LightDirectoryAccessProtocol）[3]。最初，LDAP是作为X.500的终端，是X.500目录访问协议DAP的一个子集，提供访问X.500目录的简捷方法。经过LDAPV1(RFC1487)、LDAPV2(RFC1777)、LDAPV3(RFC2251)的不断完善，LDAP自身已脱离了X.500，成为可以独立提供分布式目录服务的整体结构。LDAP具备完善的信息、命名、功能、安全等模型，提供目录模式、访问协议、应用编程接口和数据交换格式等服务内容，其体系结构不依赖于具体的操作系统和硬件平台，用于实现网络资源定位、网管、网络安全管理等服务。1.LDAP的目录服务模式。LDAP采用客户/服务器模式，LDAP服务器支持并发服务，可以实现多目录服务。在LDAP中，目录采用树型结构，由目录项（Entry）构成。目录项是由具有区别名DN（DistinguishedName）的属性（Attribute）所构成的集合。其中的属性可以是由类型（Type）及多个值（Values）构成。在LDAP中，通常采用地理位置、组织关系等方式来设计目录。2．LDAP提供的几个重要服务[4]⑴目录分割。目录分割是把整个目录结构从逻辑上分割成若干部分，由不同的LDAP服务器来提供服务，通过目录推荐和目录链形成一个统一的逻辑视图。⑵目录复制。为了保证目录服务系统的安全性和可扩展性，LDAP提供了目录复制功能，使用SingleMaster/MultiSlave目录复制模式。当系统中目录用户数目增加或是为了提高系统性能时，只需要增添从LDAP服务器。⑶安全管理。LDAP制定了目录认证、目录授权服务来保证目录服务系统和目录信息的安全。LDAP的安全机制包括：匿名访问、基本认证和简单认证与安全层SASL(SimpleAuthenticationandSecurityLayer)认证，LDAPACLs(LDAPAccessControlLists)为用户提供各目录的访问权限。4分布式虚拟环境中的资源管理4.1在分布式虚拟环境资源管理中使用LDAP(1)对于一个分布式、异构的虚拟环境来说，如何高效的管理仿真模型等资源是构建逼真虚拟环境的核心问题。LDAP与操作系统平台、硬件平台的无关性适合于实现分布式虚拟环境仿真资源的统一管理。(2)LDAP提供了资源命名、资源管理、目录模式等技术。LDAP具有灵活的目录分割和推荐机制，便于目录系统的扩展；LDAP拥有便捷的编程接口，易于编程。在分布式虚拟环境的资源管理中，使用LDAP可以便捷地实现分散存放的仿真资源的统一命名、管理及维护，使分布式虚拟环境具有灵活的伸展性。(3)LDAP具有高性能的读、查询等操作响应能力。在分布式虚拟环境中，构建逼真的虚拟环境需要对仿真模型等资源进行实时地动态查询、定位、处理机制。使用LDAP可以极好地解决仿真节点对仿真数据的实时性需求。(4)LDAP提供了安全机制可以实现安全、有效的资源目录和资源系统的管理。在分布式虚拟环境中，保证仿真资源的安全性是资源管理的重要问题，需要性能良好的安全机制。在分布式虚拟环境中使用LDAP，可以从目录认证和目录授权等方面保证仿真资源目录系统和资源信息的安全。4.2LDAP目录结构的设计分布式虚拟环境中仿真数据种类繁杂、数据量大。SEDRIS[5]将环境数据分为四个部分：陆地、大气、海洋、空间。项目设计了新对象类:vrresource，包括属性：name：资源名；metadata：元数据说明；resourcetype：资源类型；username：用户名；password：密码；ip：数据库或文件所在机器的IP；port：数据库或文件所在机器的端口号；databasename：数据库名称；databasetype：数据库类型；databaseurl：数据库的统一资源定位字符串；tablename：表名称；key：主关键字；attribute：属性名；fileurl：文件的统一资源定位字符串。下面仅以环境数据中的大气数据为例，介绍在本课题中的LDAP的目录结构设计，其数据目录树层次结构图如下图2[3]所示：图2使用LDAP管理的自然环境层次结构图(1)使用虚拟现实表示目录树根节点，表明系统的应用领域。在描述节点的属性中，使用名称标识号来标识节点；使用版本号来标识目录树的版本号；使用最近修改时间标识最新修改时间，确保数据一致性及其它功能的实现；使用权限属性设定访问该节点的用户以及所拥有的访问权限。(2)仿真资源主要由仿真模型、仿真想定、仿真历程、仿真结果等组成，表明仿真资源的分类。其中的属性含义与上面⑴中所述相同。(3)仿真模型又由实体模型、作战模型、环境模型、评估模型和管理模型等多种模型组成。其中的属性含义与上面⑴中所述相同。(4)环境模型又被分成地面、大气、海洋、空间四类。其属性含义与上面⑴中所述相同。(5)以大气为例，仿真数据进一步划分成气温、气压、大气湿度、气流、风、云、烟、雨、雾、光、雪等。其中的属性含义与上面⑴中所述相同。(6)叶子节点的属性参照对象类vrresource。下图给出了系统开发的应用服务界面。图3应用服务界面图4.3用户管理和安全管理用户管理和安全管理是分布式虚拟环境中资源管理管理的重要内容，提供安全可靠的用户管理和认证机制，可以保证系统的安全，实现安全、合法的数据操作，增强系统的稳定性。在本系统中，涉及到数据库管理系统PostgreSQL、分布式文件系统AFS、目录管理系统LDAP，它们各自具有不同的用户管理模式和安全管理方式。用户管理涉及创建用户、删除用户、修改用户信息、赋予用户权限、显示用户信息等内容。PostgreSQL、AFS、LDAP采用不同的机制、方法来实现用户管理。AFS利用不同的服务进程对用户进行管理，由保护服务进程创建用户，由鉴权服务进程记录用户的密码。在PostgreSQL中，使用pg_class，pg_group，pg_database系统表来实现用户管理。AFS和LDAP使用访问控制列表ACLs（AccessControlLists）赋予用户对相应数据的操作权限，ACLs通过列出可以访问该目录的用户和用户组来保护目录的安全性，系统管理员可以使用ACLs来控制目录的信息访问，确保关键数据的完整性和安全性。PostgreSQL采用系统表实现相应的功能。针对用户数量庞大的系统，PostgreSQL、AFS及LDAP都提供了“用户组”机制。“用户组”机制是将用户组成用户组，赋予用户组相应的权限，用来减少用户管理的工作量，提高用户管理的灵活性。对于分布式虚拟环境来说，“用户组”机制可以极好地配合HLA联邦机制，实现仿真资源的管理。针对不同系统提供的不同服务，弥和不同系统的用户管理