基于策略的面向服務(wù)計(jì)算

1、策略2策略系統(tǒng)34面向服務(wù)的策略架構(gòu)模型驅(qū)動(dòng)的策略計(jì)算1策略是關(guān)于計(jì)算機(jī)系統(tǒng)的約束、規(guī)則或者聲明。策略，指計(jì)策；謀略。一般是指：1. 可以實(shí)現(xiàn)目標(biāo)的方案集合；2. 根據(jù)形勢(shì)發(fā)展而制定的行動(dòng)方針和斗爭(zhēng)方法；3. 有斗爭(zhēng)藝術(shù)，能注意方式方法。（1）最低工資的策略：工人時(shí)薪不得低于每小時(shí)5元（2）交通規(guī)則的策略：如果紅燈亮，則停下來如果綠燈亮并且前方無人，則可以通過。規(guī)則的特點(diǎn)專門性 規(guī)則所適用的范圍一般比較小，是專門就某一項(xiàng)工作或活動(dòng)而制定的，超出這一范圍便沒有什么意義了。1具體性 規(guī)則的內(nèi)容比較具體、細(xì)致、周密，往往對(duì)具體工作的方方面面、可行性 規(guī)則講究可行性，條款均可直接付諸實(shí)施，不需要再制定

2、細(xì)則來作解釋、補(bǔ)充。23總結(jié)：策略是解決某一問題提出的方案，而規(guī)則更具有制約性。 策略主要用于系統(tǒng)的實(shí)時(shí)驗(yàn)證方面。對(duì)系統(tǒng)進(jìn)行驗(yàn)證的方法有很多，如測(cè)試和靜態(tài)分析都對(duì)系統(tǒng)進(jìn)行驗(yàn)證。然而，這幾種驗(yàn)證方法分別適用于系統(tǒng)生命周期的不同階段。靜態(tài)的分析、測(cè)試和策略實(shí)施分別應(yīng)用于系統(tǒng)設(shè)計(jì)、實(shí)現(xiàn)和執(zhí)行的不同階段。 其中靜態(tài)分析在計(jì)算機(jī)科學(xué)領(lǐng)域指的是一種在不執(zhí)行程序的情況下對(duì)程序行為進(jìn)行分析的理論、技術(shù)。 靜態(tài)分析通常采用形式化方法（比如模型檢測(cè)），可以支持比較嚴(yán)格的驗(yàn)證。但問題在于靜態(tài)分析方法往往是重量級(jí)的，不適合在系統(tǒng)執(zhí)行時(shí)應(yīng)用，并且擴(kuò)展性差，難以支持分布式應(yīng)用。 測(cè)試的方法有很多，可以支持多種類型的、全方

3、位的系統(tǒng)檢測(cè)。但測(cè)試通常采用的是非形式化方法，難以保證驗(yàn)證的完備性，并且也不適于在系統(tǒng)運(yùn)行時(shí)做驗(yàn)證。 相對(duì)于測(cè)試和靜態(tài)分析，策略主要具有兩個(gè)優(yōu)點(diǎn)，一個(gè)是它采用形式化方法，另一個(gè)優(yōu)點(diǎn)是策略是輕量級(jí)的驗(yàn)證方法，可以在系統(tǒng)運(yùn)行時(shí)修改，卻無需停機(jī)和重新編譯。 策略在系統(tǒng)運(yùn)行時(shí)的執(zhí)行過程如下: 首先，系統(tǒng)的行為會(huì)引發(fā)一系列事件（對(duì)數(shù)據(jù)的讀寫訪問、對(duì)方法的操作、與時(shí)間有關(guān)的操作），其中某些事件會(huì)出發(fā)策略的執(zhí)行。當(dāng)策略執(zhí)行時(shí)，會(huì)先去策略庫中把與該事件相關(guān)的策略都搜索出來，然后一一驗(yàn)證這些策略的執(zhí)行條件是否滿足，最后，策略執(zhí)行模塊會(huì)把驗(yàn)證結(jié)果返回給主程序，主程序根據(jù)策略驗(yàn)證結(jié)果，執(zhí)行相應(yīng)的策略。 在安全核心中

4、，策略可以與程序代碼一體，也可以與程序分開。在傳統(tǒng)的計(jì)算系統(tǒng)中，策略與系統(tǒng)是緊密耦合的。換句話說，策略是編寫在程序里面的。比如在法定最低小時(shí)工資的例子中，5元這個(gè)數(shù)字，就是編寫在程序里面的。策略與程序代碼混在一起的好處是運(yùn)行效率較高。同時(shí)，策略和代碼一體化通常也會(huì)產(chǎn)生以下幾個(gè)方面的問題：（1）策略難以改變。比如說，當(dāng)收入普遍提高以后，如果政府想將法定最低小時(shí)工資提高到8元，那就要把以前系統(tǒng)的源代碼全部找出，然后把有關(guān)5元的判斷語句全部改成8元。這樣就增加了工作量。并且很容易出錯(cuò)和漏改。（2）當(dāng)策略改變之后，還需要重新編譯、鏈接源代碼（3）還需要將新的可執(zhí)行文件重新部署到各個(gè)計(jì)算機(jī)上。因此，這種

5、一體化方法通常只適用于少數(shù)不會(huì)經(jīng)常改變的策略上。 應(yīng)用程序安全核心策略與策略執(zhí)行數(shù)據(jù)當(dāng)計(jì)算從靜態(tài)結(jié)構(gòu)向著隨請(qǐng)求變化而動(dòng)態(tài)改變的商業(yè)事務(wù)結(jié)構(gòu)轉(zhuǎn)變時(shí)，策略和代碼緊密綁定的方法就不能滿足需求了。原因主要有三個(gè)方面（1）有更多的策略需要被執(zhí)行（2）策略會(huì)經(jīng)常改變，甚至在運(yùn)行時(shí)發(fā)生改變（3）底層硬件已經(jīng)得到了很大的提高，所以系統(tǒng)的靈活性開始顯得比執(zhí)行速度更加重要。因?yàn)?，我們需要一種新的策略機(jī)制，將策略定義從策略執(zhí)行中分離出來，以支持更加靈活的策略定義及改變。如圖，策略定義獨(dú)立于安全核心，由策略庫統(tǒng)一管理，人們可以在不影響程序執(zhí)行情況下，定義和修改策略庫。安全核心在策略執(zhí)行的過程中，每次都通過訪問策略庫，

6、獲取并解釋執(zhí)行的最新的策略。 應(yīng)用程序安全核心策略與策略執(zhí)行數(shù)據(jù)策略庫另外，現(xiàn)存的大多數(shù)策略系統(tǒng)與原系統(tǒng)沒有交互。策略的執(zhí)行與系統(tǒng)的執(zhí)行是兩個(gè)獨(dú)立的過程。這些系統(tǒng)并不解決策略如何被系統(tǒng)的行為觸發(fā)，也不解決策略執(zhí)行的結(jié)果會(huì)對(duì)系統(tǒng)有什么反作用的問題。我們認(rèn)為，這種方式不是最好的，真正的基于策略的系統(tǒng)應(yīng)該實(shí)現(xiàn)策略與系統(tǒng)的交互。策略的執(zhí)行應(yīng)該是事件驅(qū)動(dòng)的，即系統(tǒng)中的事件可觸發(fā)策略的執(zhí)行，并且策略執(zhí)行的結(jié)果能夠影響系統(tǒng)的行為。為了實(shí)現(xiàn)策略系統(tǒng)與原系統(tǒng)的交互，書中提出一種新的策略和系統(tǒng)協(xié)調(diào)的機(jī)制。核心思想是：（1）在系統(tǒng)分析階段，把策略從系統(tǒng)中分離出來（2）在系統(tǒng)執(zhí)行階段，把策略與系統(tǒng)結(jié)合起來執(zhí)行 在集中

7、式計(jì)算系統(tǒng)中，策略是集中存在的；在分布式系統(tǒng)中，策略需要分布于各個(gè)不同的物理位置。應(yīng)用程序安全核心策略與策略執(zhí)行數(shù)據(jù)應(yīng)用程序安全核心策略與策略執(zhí)行數(shù)據(jù)策略庫策略庫 在分布式系統(tǒng)中，策略的執(zhí)行要復(fù)雜得多。另外，我們發(fā)現(xiàn)了下列研究問題：（1）不同的安全核心要建立互信機(jī)制（2）在分布式程序的不同模塊中，策略可能有時(shí)是不一樣的，甚至可能會(huì)是完全沖突的。如何解決這種沖突是一個(gè)問題。（3）在分布式系統(tǒng)中，每個(gè)構(gòu)建都可能會(huì)有自己的局部策略庫，除此之外，整個(gè)系統(tǒng)也會(huì)有一個(gè)全局策略庫。在部署策略的過程中，如何辨別局部策略與全局策略是一個(gè)問題。（4）在策略執(zhí)行的過程中，有可能要訪問外部數(shù)據(jù)以確定策略是否成立。以何

8、種方式把這些數(shù)據(jù)實(shí)時(shí)地暴露給所需的策略執(zhí)行部件也同樣是一個(gè)問題。 最底層是各個(gè)自治的服務(wù)。 第二層是服務(wù)規(guī)約。因?yàn)槊恳粋€(gè)規(guī)約均可能有多種具體實(shí)現(xiàn)方法，所以每一個(gè)規(guī)約可以對(duì)應(yīng)多個(gè)服務(wù)。 第三層是協(xié)同模板，主要負(fù)責(zé)服務(wù)間的協(xié)同。 第四層是協(xié)同規(guī)約層。每一個(gè)協(xié)同模板都有一個(gè)規(guī)約文件，用來說明該模板是如何組織的?，F(xiàn)在有兩個(gè)面向SOA的策略架構(gòu)。一個(gè)是由IBM、微軟等公司聯(lián)合推出的Web Services Policy Framework(WS-Policy)，它已經(jīng)提交W3C組織（ w3c 即 萬維網(wǎng)聯(lián)盟 。創(chuàng)建于1994年，是Web技術(shù)領(lǐng)域最具權(quán)威和影響力的國際中立性技術(shù)標(biāo)準(zhǔn)機(jī)構(gòu)。 W3C 最重要的

9、工作是發(fā)展 Web 規(guī)范，這些規(guī)范描述了 Web 的通信協(xié)議），準(zhǔn)備成為一個(gè)SOA中的標(biāo)準(zhǔn)。另一個(gè)是基于XACML的架構(gòu)，是由Sun公司提出，并提交給OASIS（ OASIS是一個(gè)推進(jìn)電子商務(wù)標(biāo)準(zhǔn)的發(fā)展、融合與采納的非盈利性國際化組織。 ）組織，也申請(qǐng)成為標(biāo)準(zhǔn)。 左圖顯示的WS-Policy的是三層架構(gòu)。最底層是模型層，包括三個(gè)元素，分別是WSDL、外部模型以及UDDI中的tModel，然而該架構(gòu)并沒有提供自己的模型描述語言；在第二層，也就是策略語言層，策略可以用一些聲明來表示；最高一層，也就是策略執(zhí)行層，WS-Policy在此也沒有提供策略執(zhí)行的方法。 右圖顯示了基于XACML的三層策略架構(gòu)

10、。在模型層，采用了訪問控制語言XACML；在策略語言層次，因此XACML不是通用語言，所以策略只能描述與訪問控制相關(guān)的屬性和屬性值。在策略執(zhí)行層上，這一架構(gòu)提供了一個(gè)概念的策略決策模板與策略執(zhí)行模塊。面向服務(wù)的策略架構(gòu)有3個(gè)方面的問題：（1）WS-Policy和基于XACML的策略架構(gòu)只是看門人。因?yàn)槊總€(gè)服務(wù)對(duì)于外部相當(dāng)于一個(gè)黑盒，所以策略的執(zhí)行只能起到看門人的作用，并不能在服務(wù)執(zhí)行時(shí)全程進(jìn)行跟蹤并對(duì)策略進(jìn)行驗(yàn)證。（2）只要外部服務(wù)請(qǐng)求能夠滿足看門程序的要求，那么在進(jìn)入服務(wù)之后，任何惡意的行為都不能受到策略的約束。（3）由于策略是由服務(wù)擁有者制定的，所以作為服務(wù)的看門人，策略所制定的訪問門檻會(huì)

11、很低。這樣雖然不一定會(huì)破壞服務(wù)本身，但卻可能對(duì)使用服務(wù)的用戶造成無法挽回的損失。1策略規(guī)約2策略分析3策略驗(yàn)證4策略執(zhí)行5策略補(bǔ)償6策略運(yùn)行數(shù)據(jù)收集 策略規(guī)約是用半形式化的方法規(guī)定了系統(tǒng)運(yùn)行時(shí)所需要的策略有兩種策略規(guī)約生成方法。 第一種是手工地將系統(tǒng)需求分成兩部分：系統(tǒng)行為和系統(tǒng)策略，然后再把系統(tǒng)策略寫成規(guī)約形式。也就是說系統(tǒng)模型與策略的模型是完全分開的。第二種方法是生成系統(tǒng)模型后，按模型驅(qū)動(dòng)的方式來生成策略。在這種方式下，策略是自動(dòng)生成的，并自動(dòng)建立與系統(tǒng)的依賴關(guān)系。 另外，今后的系統(tǒng)越來越大，依賴關(guān)系也越來越多，所以第一種方法是不適用的，第二種方法會(huì)越來越被使用。 策略分析是用于解決策略中

12、的依賴關(guān)系 因?yàn)椴呗缘纳墒悄Ｐ万?qū)動(dòng)的，所以當(dāng)系統(tǒng)模型改變之后，策略也要相應(yīng)地改變，從而使策略與系統(tǒng)一致。否則，策略的執(zhí)行將會(huì)對(duì)系統(tǒng)的運(yùn)行發(fā)出錯(cuò)誤指令！舉個(gè)例子:原來的系統(tǒng)規(guī)定法定最低時(shí)薪為5元，且有一條相應(yīng)的策略實(shí)現(xiàn)了改需求，同時(shí)還規(guī)定，違反該策略的補(bǔ)償行為是對(duì)雇主罰款1萬元。更新系統(tǒng)之后，法定最低時(shí)薪上升到10元。假如策略沒有更新的話，那很多在新政策下不合法的雇主就不能得到相應(yīng)的觸發(fā)。1、策略規(guī)約2、策略分析 策略驗(yàn)證是用于解決策略中可能存在的不一致關(guān)系。舉一個(gè)策略不一致的例子：假如一條策略規(guī)定了法定最高時(shí)薪為10元，而加入的另一條策略又規(guī)定了公務(wù)員的最低時(shí)薪不得低于12元，可見這兩條策略

13、是不相容的。策略的驗(yàn)證方法可以檢測(cè)出這種不一致關(guān)系 策略的執(zhí)行是由系統(tǒng)運(yùn)行時(shí)產(chǎn)生的事件觸發(fā)的。當(dāng)策略被觸發(fā)后，根據(jù)系統(tǒng)中其他變量的狀態(tài)，推斷系統(tǒng)的下一步行為是否符合策略，如果符合，就允許系統(tǒng)進(jìn)入下一步，如果不符合，就交給策略補(bǔ)償模塊去處理。3、策略驗(yàn)證4、策略執(zhí)行策略補(bǔ)償就是對(duì)系統(tǒng)執(zhí)行中的錯(cuò)誤進(jìn)行補(bǔ)償?shù)男袨?。補(bǔ)償?shù)姆椒ㄓ泻芏喾N，根據(jù)不同的系統(tǒng)，不同的錯(cuò)誤，可以采取不同的方法。通常在模擬仿真中，我們只能把策略執(zhí)行所檢測(cè)到的錯(cuò)誤記錄到日志文件中，并讓系統(tǒng)繼續(xù)運(yùn)行。然而，在與人的生命相關(guān)的系統(tǒng)中，我們必須預(yù)先規(guī)定一系列補(bǔ)償措施。當(dāng)錯(cuò)誤發(fā)生后，由這些補(bǔ)償措施接手系統(tǒng)的執(zhí)行權(quán)。比如說在飛行員試飛系統(tǒng)中，如果發(fā)生的錯(cuò)誤是致命的，那么補(bǔ)償策略可以是先把飛行員彈出機(jī)艙，然后自動(dòng)打開降落傘。策略在運(yùn)行時(shí)會(huì)產(chǎn)生大量數(shù)據(jù)，需要收集這些數(shù)據(jù)。策略運(yùn)行數(shù)據(jù)的收集并不是一個(gè)必需模塊，但卻