中国科学院计算机网络信息中心 王艳峰 李晓东

    摘　要　作为现代网络管理技术的一大部分，网络信息管理的功能在国外已有了一些的研究和实现，而国内尚未有所关注和研究。本文立足于网络信息管理技术的研究,，并结合近年来国际上出现的CORBA、SSL、LDAP、X509、CA等技术、协议和标准，分析和设计了一个开放分布的基于软总线技术的网络信息管理系统。

    关键词　网络信息管理 CORBA LDAP SSL 

    现代的网络管理，可分为网络运营（NOC）管理和网络信息（NIC）管理，前者关注网络的FCAPS：即故障（Fault）、配置（Configuration）、记帐（Account）、性能（Performance）、安全 （Security），着重于网络的物理连通性；而Internet/Intranet已同应用密不可分地联系在一起，对于Internet/Intranet的管理应当更加注重三个面向：面向应用、面向信息、面向用户，这个领域在国内尚是一片空白。

    另一方面，有些网络服务器提供了相应的管理工具，如WWW服务器提供商Netscape的Enterprise Server带有Admin Server, Microsoft的Internet Information Server带有管理控制台；又如Oracle、Informix、Sybase等数据库服务器提供商也各自为服务器配备了相应的管理工具。但是注意到这些管理工具只对某一种特定的服务器进行管理，本身缺乏通用性和互操作性，同时随着服务种类的不断增加，这种对各种服务进行单独管理的方式有诸多不便。另外，许多普遍使用的网络服务器并没有相应的管理工具，如广受欢迎的Apache，Wu-Ftpd，Sendmail等，对他们的管理通常要求较高的专业水平才能胜任。而网络已经变成了一种大众工具，有越来越多的非计算机专业人员在操作和使用网络，因此迫切需要一个易于使用的网络信息管理系统。

    实现一个集多种服务管理于一体的服务管理平台，提供相应的管理工具，使信息服务管理由人工向智能化方向转化，减少人为的失误。这种管理工具可以为各种规模和性质的单位所利用，从而提高网络服务质量，更好地满足用户的需要。因此我们进行了网络信息管理系统的研究、设计和实现。

1、网络信息管理系统的定义

    网络信息管理系统以保障网络服务和网络应用为目标，从信息资源组织、信息平台协调、用户及其权限管理、安全防范策略等方面进行集成化协调管理。主要突出网络服务安全性、服务管理易操作性，为用户提供一个界面友好的基于Web的网络信息管理平台。

    系统的具体研究内容分为如下四个方面：

    基础运行环境信息管理：域名和IP地址是所有网络应用的基础，通过目录数据库实现对域名、IP的自动注册、分配和管理

    用户信息管理：对申请域名、IP地址的客户的管理。基于X.509标准的用户认证管理通过充分利用X.509、LDAP、RSA、SSL等标准和技术，实现用户身份认证、信息传输保密、信息完整、访问控制等功能。

    网络信息资源管理：对与基础环境资源相关的网络信息的管理，包括对服务、主机、单位以及维护基础运行环境资源的内部员工的管理。

    服务平台管理：对提供基础运行环境方面服务的平台的管理，服务平台管理对象为DNS服务、WWW服务、Email服务、LDAP服务和FTP服务等。主要的管理功能有：

1) 网络服务运行状态监控
2) 网络服务存取控制
3) 网络服务日志分析
4) 网络服务安全隐患扫描
5) 网络服务灾难报警与恢复

2、网络信息管理系统的功能设计和总体设计

    2.1 功能设计

    根据网络信息管理（NIC）系统的管理内容和定义，我们将它划分为注册服务、注册管理、员工管理、网络服务管理和安全管理五大功能模块。

    注册服务 是网络的基础服务。用户要获取网络资源，使用网络服务和应用，首先需要在相应的NIC注册域名、IP地址，由NIC审核并认可之后才能使用。注册服务模块就是为客户提供最基本的服务：域名注册和IP地址分配，当然在实际运做中要涉及到的相关信息，如客户信息、单位/部门信息、主机信息以及网络信息等，都需要进行注册。注册后会颁发相应的证书和唯一标识。这个这个证书和唯一标识将分别用于安全控制和注册辅助信息。

    注册管理 是提供给系统管理员的管理接口，主要包括域名注册管理、IP地址注册管理两部分内容。管理员审核、批准或拒绝客户提交的注册请求，以及其他管理功能，如收费和预处理等。

    员工管理 中的员工专指保证以上基础服务不间断地正常运行的NIC内部工作人员。员工管理的功能可从两方面来描述，从管理者方面来说包括员工权限设置、员工权限更改、员工的撤消等三部分功能；从员工自身方面来说包括：员工身份注册、员工信息修改。作为两方面的共用部分，应提供员工信息查询功能。

    网络服务管理 的目标有二：其一，实现一个集多种服务管理于一体的综合网络服务管理平台，提供相应的管理工具，使信息服务管理由人工向智能化方向转化，减少人为的失误；其二，采用集中加分布的管理策略，对各种服务提供统一的管理模式和机制，为网络服务管理用户提供一种方便、易用的中文化的网络服务管理平台。针对网络提供的服务（如域名服务、Email服务、Web服务、FTP服务、LDAP目录服务等），进行配置管理、状态监控、日志分析等。相应的网络服务管理模块的实现，主要是针对每种网络服务，提供配置管理、状态监控、日志分析等三种管理。

    安全管理 的目的是维护NIC网络系统及其网络服务和数据资源的安全，防止被非法使用或破坏，保证服务的正常运作。安全管理的保护对象分为服务保护对象和数据保护对象两大类。服务保护对象包括WEB服务、EMAIL、FTP、LDAP、DNS等网络服务。数据保护对象包括系统数据文件（如/etc/passwd）、用户注册的数据、各种网络服务的服务数据等。

    2.2 总体设计

    总体设计的示意图如图所示，系统的总体结构是这样的：图中的虚框内是我们的管理服务器和数据库服务器，虚框之下是运行各种网络服务的被监控服务器。管理用户通过Internet访问位于管理服务器的系统主页，根据用户的管理操作，系统五大功能模块的相应部分去进行身份权限验证，通过与LDAP数据库服务器交互信息后，启动相应的管理操作，通过软总线技术，最终激发位于被监控网络服务器上的代理实现模块，完成所要求的网络管理操作。

    3 网络信息管理系统的系统设计

    针对管理目标和总体结构，本系统的软件结构按分层结构实现。系统的核心从用户/管理员角度从外到内依次分为四层：管理层、控制层、软件总线层和实现层。如下图所示：

    以下分别加以说明：

    3.1. 管理层

    定义供客户/管理员使用的管理界面，提供Web方式的管理和操作控制台。管理层实际上是一个启用SSL的HTTP服务器，通过激活或关闭SSL，可根据访问者的类型提供不同功能的管理界面。

    3.2. 控制层

    实际上控制层就是中间层，位于Web服务器后面，用于将Web服务器接收到的请求传递给软件总线层。其作用是控制网络服务器上的功能实现模块的行为，故名控制层。可按CGI或Java Servlet概念来理解控制层。

    3.3. 软件总线层

    按CORBA模型引入的软件总线层，位于控制层和实现层之间，其作用是实现分布式对象调用，以适应网络监控和管理的需要。采用软件总线层的另一个目的是适应网络信息服务管理系统可扩展性方面的需要，当增加了新的网络服务时，可以轻松地将新的应用与原有系统集成起来。

    3.4. 实现层

    实现层位于网络服务器上，它能接收并解释从软件总线层传送的来自控制层的操作命令或数据请求，并将相应的结果通过软件总线层反馈回去。

    3.6. 系统分层模块设计

    根据系统总体结构和分层结构设计，我们设计了如下模块：
    HTTP-CORBA网关：实现Web到CORBA之间的集成
    软件总线模块：实现CORBA基础平台
    目录服务模块：实现目录服务器及目录数据的组织与定义
    目录访问模块：实现从管理服务器和受监控服务器上对目录服务的操作访问
    证书发放模块：实现数字证书的申请与签发
    密钥生成模块：实现公/私密钥对的产生
    安全传输模块：实现SSL与数字证书的集成，保证信息的安全发送

    下面的示意图显示了网络信息管理系统的技术构成，管理服务器端与被监控服务器进行通信的技术依据及其层次依赖关系在图中一目了然。管理者通过HTTPS协议进行管理操作，它的直接操作对象是管理服务器；管理服务器与被监控服务器及目录服务器间基本相同的协议进行通信。由于基于CORBA和SSL技术，使得该实现平台具有分布实现和安全两大特点。

    被监控服务器（DNS、WWW等）主要与管理服务器和目录服务器有控制和数据交换，这里我们需要作些说明：

    在示意图中，管理服务器端，管理人员通过WEB页面向被监控服务器发出管理命令，这些HTTP协议级的数据通过HTTP-CORBA网关的"翻译"，经过管理服务器端的ORB，借助IIOP/SSL协议能够通过TCP/IP网络进行传输；同样地，在被监控服务器端，TCP/IP网络来的数据报经IIOP/SSL协议的分析处理，变成ORB能理解的语言，通过被监控服务器上的CGI等技术，完成相应的管理操作。在另一方面，被监控服务器返回的反馈信息经过一个相反的传输和处理过程，最终达到管理服务器。

    被监控服务器有时需要知道自己的服务或系统的配置等信息，这些信息有的是存放在目录服务器中，这样被监控服务器与目录服务器之间就有数据或控制的交换。这两者之间的通信用到的协议与被监控服务器和管理服务器之间的通信用到的协议基本相同，只是在多了一个LDAP协议，用来与目录服务器交互的专用协议。

    4系统特点

    Web化管理

    本系统完全按照Web化设计，管理员无须直接手工操作网络服务，大大减少了出错和失误的可能，同时也克服了地域限制的不便，管理员即使在远程也可通过浏览器完成网络服务的管理任务。

    安全性好

    引入安全传输协议SSL和数字证书CA机制，用户信息和管理员操作信息在传输前经过了加密和防伪处理，最大限度地减小了信息被截获或假冒的可能，从而很好地保证了管理操作的安全。

    统一管理网络资源

    通过引入目录服务统一管理网络资源。全盘掌握网络资源。

    安全检测与故障恢复

    安全检测与故障恢复提供更深层次的安全保护，通过定时检测关键数据和服务，一旦发现破坏，可自动从备份中恢复。

    扩展性强

    本系统采用CORBA软总线技术，按面向对象方法和模块化设计，可轻松集成新的应用，或在出现新的管理要求时增加模块。

    员工的角色化管理

    按员工的职责将其划分成不同的角色，定义相应的管理操作权限，大大简化了员工管理的复杂性。

    可移植性好

    界面层用HTML实现, 后台采用C/C++语言实现，实现技术符合各种国际标准，移植性较好。

    通用性强

    本系统针对企业网络对网络服务管理的实际问题而开发，无论是系统设计方案还是实现时的数据结构都保证了系统具有较强的通用性。

    5 结语

    中国计算机网络在我国接入Internet以来得到了飞速发展，据2000年七月份CNNIC调查报告，我国上网计算机数650万台，我国上网用户人数达1690万。特别是近年来，以电子商务为目的的网络应用日益重要，对网络信息和网络服务的管理逐渐引起了人们的关注。许多单位都建立了自己的Intranet/Internet，向单位内部和外部用户提供各种服务，研究如何对这些服务和资源进行方便有效的管理，以及如何确保这些网络信息和网络服务的安全，对于提高网络信息服务管理的效率非常重要。

    一个实用的网络信息管理系统可较好地解决目前我国网络信息管理方面所面临的这些问题，使网络信息管理简单化。目前这种网络信息管理系统在市场上还没有，但需求已经出现，随着我国网络用户和上网单位的增加，需求会逐年扩大，可以预见网络信息管理系统具有良好的市场前景。

参考文献
[1] 863-306-ZD-08-02"计算机网络管理与安全系统"文档之《网络信息管理系统总体设计报告》
[2] http://www.corba.org/
[3] 《面向二十一世纪的软中线CORBA技术及其应用》汪芸著 东南大学出版社 1999
[4]“Advanced CORBA Programming with C++” Michi Henning Steve Vinoski, Addison Wesley Longman Inc 1999
[5] http://www.ooc.com/ob