1、中华人民共和国国家标准信息技术开放系统互连分布式事务处理第部分模型发布实施国家技术监督局发布前言本标准等同采用国际标准信息技术开放系统互连分布式事务处理第部分模型为适应信息处理的需要本标准依据参考模型规定了应用层事务处理的模型本标准无论在技术内容上还是在编排格式上均与国际标准保持一致在信息技术开放系统互连分布式事务处理总标题下目前包括以下个部分第部分模型第部分服务第部分协议规范本标准的附录是标准的附录附录和附录是提示的附录本标准由中华人民共和国电子工业部提出本标准由电子工业部标准化研究所归口本标准起草单位西安交通大学电子工业部标准化研究所本标准主要起草人邓良松冯惠常明邓勇前言国际标准化组织和国
2、际电工委员会是世界性的标准化专门机构国家成员体它们都是或的成员国通过国际组织建立的各个技术委员会参与制定针对特定技术范围的国际标准和的各技术委员会在共同感兴趣的领域内进行合作与和有联系的其他官方和非官方国际组织也可参与国际标准的制定工作对于信息技术领域和建立了一个联合技术委员会即由联合技术委员会提出的国际标准草案需分发给国家成员体进行表决发布一个国际标准至少需要的参与表决的国家成员体投票赞成国际标准是信息技术联合委员会制定的在信息技术开放系统互连分布式事务处理总标题下包括下述部分第部分模型第部分服务第部分协议规范第部分协议实现一致性声明形式第部分应用上下文形式第部分非结构化数据传送附录是的组成
3、部分附录和附录仅提供参考信息引言是为了便于计算机系统互连而制定出的系列标准之一本系列标准与按照开放系统互连参考模型所规定的网络标准相关联参考模型把互连标准的范围划分为一系列有具体说明的层每层的大小都是可管理的开放系统互连的目标是允许使用除互连标准以外最少的技术约定而达到下列计算机系统的互连来自不同的制造商在不同的管理机制之下使用不同复杂程度的不同技术的定义了模型服务并规定了在参考模型的应用层可用的协议服务是应用层服务它涉及联系为事务的可识别信息事务则可以涉及两个或更多的开放系统提供了足够的功能来支持事务处理并且建立了一个框架来协调各开放系统中所有众多的资源既没有说明本地资源间的接口也没有指定在
4、本地系统中应用程序设计的接口不过将来标准的扩充也许可以解决这些问题中华人民共和国国家标准信息技术开放系统互连分布式事务处理第部分模型国家技术监督局批准实施范围本标准对在中定义的概念和机制给出概况介绍定义了一个事务处理模型定义了服务需要满足的要求考虑了与其他应用服务元素例如远程数据库访问远程操作服务元素和非应用共同存在的需要本标准允许对事务模式通信服务和协议进行说明并且它们满足在中定义的原子性一致性独立性和持久性性质本标准没有说明单个的具体实现和产品也不限制实体的实现或计算机系统内的接口引用标准下列标准所包含的条文通过在本标准中引用而构成为本标准的条文本标准出版时所示版本均为有效所有标准都会被修
5、订使用本标准的各方应探讨使用下列标准最新版本的可能性信息处理系统开放系统互连基本参考模型信息处理系统开放系统互连基本参考模型第部分安全体系结构信息处理系统开放系统互连基本参考模型第部分命名与编址信息处理系统开放系统互连面向连接的基本会话服务定义信息处理系统开放系统互连服务约定信息处理系统开放系统互连面向连接的表示服务定义信息技术开放系统互连抽象语法记法一规范信息技术开放系统互连抽象语法记法一的基本编码规则规范信息技术开放系统互连目录第部分模型信息技术开放系统互连目录第部分选择属性类型信息处理系统开放系统互连联系控制服务元素的协议规范信息处理系统开放系统互连联系控制服务元素的服务定义信息技术开放
6、系统互连应用层结构信息技术开放系统互连一致性测试方法和框架第部分基本概念信息技术开放系统互连面向连接的基本会话服务定义修改单其他同步化功能信息技术开放系统互连面向连接的表示服务定义修改单对表示服务用户的其他会话同步化功能信息处理系统文本通信远程操作第部分模型记法和服务定义信息处理系统文本通信远程操作第部分协议规范信息技术开放系统互连远程数据库访问第部分类属模型服务和协议信息技术开放系统互连远程数据库访问第部分专门化信息技术开放系统互连托付并发和恢复服务元素的服务定义信息技术开放系统互连托付并发和恢复服务元素的服务定义修改单会话映射变换信息技术开放系统互连托付并发和恢复服务元素的协议规范信息技术
7、开放系统互连托付并发和恢复服务元素的协议规范修改单会话映射变换定义本系列标准采用下列定义其他标准中定义的术语中定义的术语应用实体应用进程应用协议数据单元拼接开放系统表示服务表示服务访问点表示服务数据单元开放实系统分割在中定义的术语访问控制审计鉴别机密性完整性抗抵赖在中定义的术语应用进程调用标识符应用进程标题应用实体调用标识符应用实体限定符应用实体标题在中定义的术语服务质量在中定义的术语请求指示响应证实服务原语原语服务提供者服务用户在中定义的术语应用联系联系应用上下文应用上下文名应用服务元素联系控制服务元素多联系控制功能在中定义的术语目录信息树目录项项可辨别名客体类相关可辨别名在中定义的术语原子
8、动作数据原子性边界数据一致性持久性最终状态启发式判定初始状态独立性本系列标准中定义的术语支持应用分布式事务服务的用户对维护性质负责的事务链式序列同一对话中相关的相邻支持提供者事务分支的序列这些事务分支的目标是相同的信道协议机在中涉及的那部分其中建立和终止信道托付协调者在分布式事务以及仲裁此事务的最终结果的事务处理协议机中涉及的一个调用控制权在特定的对话上对与它的伙伴通信的许可协调级两个之间的关于将使用哪种机制来保证事务的四个性质的协定对话两个之间互相通信的关系对话恢复一次故障后为恢复对话的使用而采取的动作分布式事务这样的事务它的部分可以在多个开放系统中被执行启发式冒险作为与下级通信故障的结果这
9、个下级的子树的边界数据处于未知状态此时产生的情况启发式混合作为做出一个或多个启发式判定后的结果这个事务的边界数据处于不一致状态此时产生的情况本地资源一种资源它与资源的请求者常驻在同一开放实系统中或是一种实体管理的资源此实体与资源请求者常驻于同一开放实系统中托付日志记录写在恢复日志上的记录它反映事务对托付的判定损坏日志记录写在恢复日志上的记录它反映在子树中当前边界数据的不一致状态启发式日志记录写在恢复日志上的记录它反映结点的启发式判定就绪日志记录写在恢复日志上的记录它反映子树可以托付或回退事务结点一个或一个或加上它的何时适用哪种情形由术语使用处的上下文决定独享控制方式一种通过对话通信的方式在同一
10、时刻仅允许在对话中涉及的一个拥有控制权协议机一个通用的术语用来表示一个事务处理协议机或一个信道协议机支持提供者分布式事务一个事务在该事务中服务的提供者对性质的维护负责就绪托付状态一种边界数据的状态在这个状态中直到这个事务由于托付或回退而被终止这个边界数据才能够以初始状态或最终状态而被释放恢复在一次故障后为了除去故障产生的不希望出现的结果而采取的动作恢复日志一个安全存储的储存库用来为重启动和恢复而记录数据和状态信息远地资源处于一个与发出资源请求的开放实系统不同的开放实系统中的资源资源对一个来说执行事务中它所负责的那一部分所必需的数据和处理能力安全存储可靠的非易失的存储信息的地方在其中保存开放实系
11、统中任何可恢复故障后的幸存信息共享控制方式一种通过对话通信的方式在该方式下这次对话中涉及的两个都拥有控制权下级子树一个下级结点的子树子树一棵树的子集一个特定结点的子树包含结点自身它被称作这个子树的根结点以及子树根结点的每个下级结点的子树递归地向下一个叶子结点是它自己的子树事务一组由原子性一致性持久性独立性性质为特征的相关操作事务标识符唯一地标识一个事务注为了简略从以后术语事务作为支持提供者分布式事务的同义词事务分支共享对话的一对执行的分布式事务的部分注为了简略从以后术语事务分支作为支持提供者分布式事务分支的同义词事务分支标识符特定事务的特定分支的无歧义的标识符事务托付托付与定义在中的术语托付和
12、回退有不同的范围关心整个事务的托付和回退而指的是单个原子动作分支的托付和回退以最终状态释放边界数据的事务的完成事务标识符特定事务的全局无歧义的标识符事务日志登记在恢复日志中对结点状态信息和数据的记录事务处理应用服务元素在单应用联系上处理协议的事务处理协议机的部分事务处理信道信道为便利事务处理服务提供者恢复活动的两个之间联系上的关系信道对是不可见的事务处理协议机仅对于一个的服务的提供者处理已用于它的活动的所有联系上的协议事务处理服务提供者服务的提供者对所有在特定对话树中涉及的提供服务跨越若干应用进程调用并且是把服务作为一个整体的概念观点事务处理服务用户服务的用户它指一个应用进程中具体的一组处理能
13、力调用在具体的信息处理时执行功能的具体实例事务恢复在一次故障后为了将事务的所有边界数据达到一致的状态而采取的动作事务回退回退与定义在中的术语托付和回退有不同的范围关心整个事务的托付和回退而指的是单个原子动作分支的托付和回退以初始状态释放边界数据的事务的完成标题一个名字在包含此的应用进程范围内无歧义并表示一具体的标题隐含了此的处理能力的类型树一个无环图图中结点以一种层次结构排列非链式序列同一对话中不相邻支持提供者事务分支的一个序列这些事务分支的目标是相同的用户一个应用指定的缩略语本系列标准采用下列缩略语原子性一致性独立性持久性联系控制服务元素应用实体应用实体调用应用层结构应用进程应用协议数据单元
14、应用进程调用应用服务元素托付并发和恢复信道协议机目录信息树多联系控制功能开放系统互连开放系统互连环境协议机一个或一个协议实现一致性声明表示服务访问点表示服务数据单元远程数据库访问远程操作服务元素单联系控制功能单联系客体事务处理事务处理应用服务元素事务处理协议机事务处理服务提供者事务处理服务用户事务处理服务用户调用用户应用服务元素约定是以中讨论的约定为指导用作服务要求概述本章概括了对的要求它包括在中提出的要求也包括未提出的和进一步研究的要求这些附加的要求有待将来标准化用户要求为了满足用户要求定义了支持分布式事务的过程在中讨论这些过程允许把一个分布式事务组织成一个事务树提供多方协调其中之一为多方托
15、付包括本地资源故障后允许重新恢复到分布式事务和边界数据的状态上下文一致状态允许对分布式事务故障进行检测以达到性质允许分布式事务在成功状态恢复后重新开始指出一个事务完成状态提供逻辑相关事务序列的分界在一个应用进程中允许的分组允许一个或多个下列安全性要求注关于安全性的规定有待将来标准化访问控制必须可以支持多重访问控制策略至少应包括加强管理和动态可选择基于规则和基于标识中描述的类型访问控制粒度为了简化访问控制规范和允许授权数据库的分布性应可以把客体分成组这种分类应该是为了优化而不是一个简单审计的替换鉴别对应的和不过这被认为是本地事情非否认防止对加入具体事务或对话的否定机密性防止对一个对话树中部分或所
16、有交换信息的未授权的接受完整性检查对话树中部分或所有交换信息的未授权的修改审计记录在对话树中发生的显著的安全性事件允许对由中定义的协议进行一致性测试和清楚地描述静态一致性要求在整个中注形式将在中标准化建模要求模型提供了一个事务处理的模型及支持它的通信机制此模型与在和中定义的体系结构相一致并且提出了下列要求把两个或多个开放系统应用进程之间的交互划分成事务的机制进行定义尤其为下列需求提供机制事务完成状态的指示对事务的支持这些事务不需要完全的分布式托付机制保证性质应用对保证性质负责为了使数据传送方法的选择匹配事务的语义而应有的灵活性使用表示层服务机制的规范有可接受的执行和效率的过程覆盖多种需要的过程
17、长或短简单或复杂的事务注这些过程有待于将来标准化服务和协议要求服务和协议提供处理变化的加载条件的灵活性对在高低或突发条件下的操作的有效支持对短的有效处理用户可接受的响应时间故障后系统的恢复能力它包括在故障已被改正或排除后恢复和重新启动处理的方式对资源的优化使用本地资源控制对通信的依赖性最小为了满足这些要求协议优化表示层服务的使用最小化每个事务所需的通信开销尤其是协议限制的通信协议所需的往返数不超过由应用语义所必需的往返数优化大容量事务处理需要的操作优化通常情况而不是例外情况所需要的操作分布式的概念事务事务是一组相关的操作这些操作具有四种性质原子性一致性独立性和持久性分布式事务可以跨越多个开放系
18、统的事务称为分布式事务一个分布式事务至少应包括和这个分布式事务中涉及的开放系统个数一样多的部分在每个开放系统里分布式事务的一个部分与一个叫作服务用户的实体相关是服务的用户它指在应用进程里处理能力的特定集合在任何一个给定的应用进程中可以有零个一个或多个注在应用进程中一个可以反过来被分布不排除这样的改进但是不讨论它由于在一个开放系统中分布超出了的范围从角度看在应用进程调用中一个调用模型化了的具体实例它执行信息处理具体情况下所需的功能为了维护事务的四个性质需要在执行一个分布式事务的之中进行协调这种协调需要在中进行通信对话在它们自己之间以同等的关系进行通信这种在两个之间地位同等的关系称为对话在对话中可
19、用于下列目的的通信数据传送差错通知事务的启动托付或回退正常地或突然地终止它们的对话握手活动可用两种模式控制对话独享控制在同一时刻只有一个拥有对话的控制权共享控制当两个都同时拥有对话控制权在独享控制模式中一个必须拥有对话控制权以启动除下列以外的请求差错通知事务的回退对话的突然终止请求控制对话树对话树是一棵树它以作为结点而以对话作为结点间的弧在对话树中建立对话的作为与之建立对话的那个的直接上级这个与其建立对话的作为相邻的上级的直接下级在对话树中没有上级的被称为根没有下级的被称为叶既有一个上级又至少有一个下级的被称为中间事务分支当被请求时为提供在给定对话中使用的托付服务协调级的值决定这个托付服务是否
20、在该对话中被使用当这个服务被使用时值为否则值为由共享一个对话的两个执行的分布式事务的部分被称为事务分支按和的责任划分有两种事务分支的基本类型支持应用的事务分支协调级为的对话上操作的事务分支对于支持应用的事务分支负责维护性质以及恢复和描述事务分支注为支持应用的事务分支维护性质而必需的机制如果有的话也是超出的范围仅仅提供对数据传送差错通知和对话控制服务的访问并不知道支持应用的事务分支的开始或完成支持提供者的事务分支协调级的值为的对话上操作的事务分支对于支持提供者的事务分支负责协调对性质的维护因此使用全局无歧义的事务标识符托付等等恢复和描述事务分支也提供对其余服务的访问从此以后为简略的缘故术语支持提
21、供者的事务分支用短术语事务分支替代当需要时术语支持应用的事务分支将明确写出事务树事务树是一棵树作为结点事务分支作为结点间的弧在一棵事务树中启动事务分支的被认为是与之建立事务分支的的直接上级这个与其建立事务分支的被认为是相邻上级的直接下级在一棵事务树中没有上级的称为根没有下级的称为叶有一个上级和至少一个下级的称为中间根和它的形成了这个事务的托付协调者信道在恢复期间需要之间相互直接通信而不涉及任何这个要求由信道来实现在两个之间存在一个信道信道协议机建立和终止信道在两个同等的系统里为了达到恢复可以在它们之间建立一个或多个信道信道具有下列的性质它不能直接为可见因此在服务中没有涉及信道的原语为达到恢复由
22、指定一个信道给为了达到恢复信道被模型化为每次用于恢复一个事务分支握手为了到达共同约定的处理点也许不得不同步它们的活动这样一个处理点的语义是依赖应用的当被请求时提供给一个握手服务而且在对话持续过程中都可获得它作为应用结构化的工具并与控制对话的方式无关服务模型服务性质术语服务是关于由提供而被使用的服务下列的功能是与服务相联系的建立维护和终止两个之间的对话服务提供从一组中选择一个标题适用于这个目的确保启动请求的属性与接收的属性是一致的如果是这样在对所请求的新调用和启动之间建立对话注从的角度看一个新调用意味着当前不在中的调用至于在一个开放实系统中这个新调用是否被映射成的一个新的实例或者是被重用的旧的实
23、例是一个本地事情提供两个交互访问远地资源并可能把它们包含进一个事务的方法根据所选择的协调级以一种可靠的方式协调所有的资源用以成功地或者不成功地终止一个事务除作出启发式判定外这样就达到了所有资源的一致状态性质适用于整个事务尤其是对远地和本地资源为了让或这两者都能控制和管理本地资源所有资源的协调可以被完全局限于中或者可以由和共同进行在后一种情况下从部分或全部其本地资源中收集相关的信息并根据的判定控制后来的本地资源的托付或回退服务包括协调所有远地资源所必需的条文目的是为了保证具有性质的应用在事务终止时负责协调正确的托付或整个远地资源集的回退提供在事务终止中包含本地资源的能力依赖和之间的共享把本地资源
24、和远地资源包含进事务终止中或者提供所有需要的信息用以正确包含其他本地资源使规则能适用于所有资源通过执行适当的协议保证了所有的资源服从性质尤其是当可能的话包括适当的恢复机制以便在故障后重新建立所有资源的一致的状态和在重建所有资源的一致的状态后恢复事务处理对话树的规则对话树的生长为了执行一个分布式事务的部分可以激活远程的这是通过让远程开放系统调用新的并且接着与它建立一个对话见和来做的就是用这种方法加入对话树的弧注从角度看一个新调用意味着当前不在中的调用至于在一个开放实系统中这个新调用是否被映射成的一个新实例或者是重用的旧的实例是一个本地事情指示出被执行的事务处理类型的对话属性是在对话建立时指定的这
25、些属性决定在对话中被选择的通信功能子集这些可包括独享控制模式或共享控制模式握手服务托付服务初始协调级为的对话可以在任何时刻被加到对话树中协调级为的对话只可在允许开始事务时或者把事务分支加在当前事务时才被加入可以和一个或多个下级建立对话然而两个至多共享单个对话通信可能同时在一个的某些或所有对话中发生的所有对话属于同一棵对话树对话树的删改两个不再需要相互通信的终止它们的对话它们可以在任何时候这么做只要它们确信仍保持性质当且仅当在没有事务分支在对话上进行时一个对话可以被正常终止只当有下列情况时对话才能终止协调级为或者当前事务分支被终止而下一个还没有开始在通信故障或结点失效时对话终止也可能发生在这种情
26、况下相应的事务分支随着对话一起被终止当两个之间的对话终止时在下级的子树中对话不必终止因此可以建立一个新的对话树即先前已经建立的对话树的一部分这个新的对话树独立于原先生成它的那个对话树和上级的对话已被终止的中间结点成为新的对话树的根随着对话的建立和终止对话树发生改变对话树的支持两个之间的对话每次都由单应用联系支持当对话与应用联系相关时在任一给定时刻在它们之间存在一一对应关系然而对话的生命期和应用联系的生命期可以在下列方面相区别应用联系生命期可以跨越一个或多个对话的生命期对话的生命期可以跨越一个或多个应用联系的生命期这意味着对话对应用联系的故障是有弹性的注对话恢复的规定有待将来标准化服务不限制应用
27、联系的建立和存在尤其是不把它们限制在之间的树或别的拓扑结构中因而它们被认为是形成了互联的开放系统的一个图为了能支持对话必须要建立一个应用联系在支持与所请求对话相关的通信要求的之间有一个支持与所请求对话相关的的通信要求的应用上下文有与所请求对话的要求相容的表示和会话服务支持并且有与所请求对话的要求相容的服务质量事务树的规则事务树的生长新事务分支只可以在事务终止过程开始之前加入到事务树中见有两个途径来使事务树生长像所看到的通过建立一个协调级为新对话把新事务分支加入到事务树中在允许动态改变协调级的地方见当协调级从改变到时把新事务分支加到事务树中只允许对话树上级结点改变协调级事务树的生命期事务树仅仅持
28、续整个单事务时期那样长当允许动态改变协调级时仅仅在事务分支完成时协调级才能变成只允许对话树的上级结点改变协调级事务树的生长和终止不是瞬间的这两个动作都需要多次基本的交换这些交换必须被传播到整个事务树中事务树的支持两个之间对话的存在是两个之间存在事务分支的先决条件在任一给定时刻在协调级是的地方对话和事务分支之间存在一一对应关系知道对话树中对话和相应事务树中分支的关系并且协调它们的联合操作例如为了实现在事务中涉及的所有开放系统的一致的托付语义事务树的根不必放在对话树的根部在事务树的边界内关于上级和下级的关系在事务树的结点和支持它的对话树的结点之间存在一一对应的关系事务树和支持它的对话树有相同的方向
29、协调级为的对话不支持事务树的事务分支可以用同样一个对话树支持一系列不同的事务对话树中对话之间的关系保持在所有这些不同的事务中在对话的边界内可以出现由一个或多个事务分支组成的序列允许两种类型的序列链式序列在同一协调级上操作的同一对话中事务分支组成的序列每个事务分支由上级直接启动非链式序列它们是这样的序列由同一对话中的事务分支组成而在每个事务分支之间有一个对话协调级变成的过渡在对话建立时刻和对话终止时刻协调级可以是或是每个事务分支由上级启动如果对话树的一部分没有事务在进行中例如对话的协调级是那么对话树的这一部分中的可以启动一个新的事务这可导致同一时刻在单对话树中有零个一个或多个事务树在任一给定时刻
30、事务树之间是不相连的在两个事务树之间不相连至少由一个协调级是的对话所保证说明活动部件的是事务分支注事务分支的开始或者发生在对话的开始或者发生在对话过程中对话的结束隐含着当前事务分支的结束事务分支的结束或者发生在对话过程中或者发生在对话的结束在相同的应用联系边界内一个对话可以跟着另一个对话当对话终止时另一个能使用应用联系对话可以在联系故障后幸存然而中没有涉及必要的恢复机制图事务分支对话和联系在中间结点和它的止级之间的对话终止后中间结点成为一个新对话树的根并且可以成为事务树的根图显示了在事务分支对话和联系之间的时间上的对应关系这组对应关系在两个相邻的开放系统之间描述命名除了在中已为建立的命名功能外
31、要求有标题事务和事务分支有标识符这些名字和标识符的定义在第章中给出标题对话建立期间使用标题用来在指定的应用进程中选择一个就是要和这个建立对话在启动和由标题指定的的接收方之间建立该对话在两个支持各自的应用实体调用之间的应用联系以前存在的或新建立的之上建立该对话通过为对话建立表示出目标标题指出此的处理能力在没有先前存在的联系可利用的情况下标题可用于获得使能够建立所要求联系的必要信息标题在一个应用进程的范围内是无歧义的事务标识符在中一个事务是由事务标识符无歧义地表示的这个事务标识符由下列组成支持事务根结点的应用实体的应用实体标题事务下标这个值在支持事务根结点的应用实体的范围内是无歧义的例如事务下标可
32、以是整数对每个实例化的新事务整数就递增注一涉及到恢复和事务审计要求事务标识符在时间上应是全局无歧义的事务分支标识符在一个事务的范围内事务分支由事务分支标识符无歧义地表示事务分支标识符由下列组成支持启动事务分支结点的应用实体的应用实体标题事务分支下标它的值在支持启动事务分支结点的应用实体范围内是无歧义的数据传送要求和目标为了满足在交换数据的分布式事务中涉及的的要求服务允许数据传送满足下列目标服务允许根据它自己的语义来运送数据数据传送总是与单个对话有关系能通过使用一个或多个具体用户自由组织语义变换的风格尤其是它的语义变换可以基于不同规范不管用户是否与工作用户的定义可以是相同的数据传送的协调用户产生
33、数据传送被映射到下面的服务上由协调处理对话管理的协议它自己不直接产生数据传送决定事务处理应用联系使用的时序排序因此在中数据传送可以只在一个对话边界内发生受制于控制模式尤其是在独享控制方式中如果有对话的控制权数据只可以送出控制模式的选择取决于用户表达的具体要求受制于的状态在事务终止期间保证数据传送与托付阶段相协调资源协调托付分布式事务的终止阶段是从事务树的根的请求进入的在事务树中在中协调终止阶段以确保事务边界数据以一致的状态释放终止阶段的协调有两个步骤托付阶段托付阶段在完成这两步后完成托付新的事务可以开始也可以不开始托付阶段由其上级通知每个结点已进入终止阶段尤其是不再有数据从上级结点接收并且边界
34、数据将在初始状态或最终状态释放如果结点同意继续进行它尝试在它的子树中把边界数据置为就绪托付状态如果直到事务已经被托付或回退所终止边界数据在它们初始或最终状态下能够被释放边界数据则一直处于就绪托付状态这个结点尝试把本地边界数据置为就绪托付状态对于远地的资源它通知它的下级依次递归在这个结点的子树中只要当它的所有边界数据都处于就绪托付状态时它就通知它的上级并等待这个事务的最终结果依次递归如果结点不能把这些边界数据置为就绪托付状态它启动这个事务的回退托付阶段在事务树中可以托付事务只要所有的边界数据处于就绪托付状态没有正在进行改变事务树的操作例如新事务分支的建立或结点之间可产生影响的通信每个结点由它的上
35、级命令释放它的子树中的边界数据进入到最终状态这个结点托付它的本地边界数据对于远地资源它命令它的下级托付依次递归只要当这个结点的子树中所有的边界数据在最终状态被释放结点就通知它的上级依次递归这个事务完成回退事务的回退可以由事务树中任一结点启动回退把事务的边界数据返回到它们的初始状态发出的回退不是亲自使下面的对话终止如果希望终止这个对话则可以夭折它如果对话在事务终止过程开始前夭折这个事务被回退完成回退后可以启动新事务但不是必须启发式判定当下级结点已经进入托付阶段后它可以决定在最终状态或初始状态释放它的部分或全部边界数据即使它的上级还未宣布事务的最终结果这样的判定称为启发式判定个别结点可以作出启发式
36、判定以作为通信故障的结果或作为系统具体的本地条件的结果是否作出一个或多个启发式判定和将作出什么样的判定是一个本地事情在范围内无论何时结点作出的启发式判定这个判定不会传播给其他结点要求已经作出启发式判定的结点用安全存储器上的启发式日志记录来记录这个判定如果证明结点边界数据的状态和事务的结果是一致的则删除启发式日志记录并且着手事务的正常终止启发式不一致性检测已经作启发式判定的结点如果它的本地边界数据与事务的结果不一致那么就确定存在启发式不一致性只要当这个结点被它的直接上级报告为事务的最终结果时它就可以做出这个判定如果结点的边界数据的状态与事务最终结果是不一致的则违反了性质这就是启发式混合情况当结点
37、不能判定子树内的下级结点的边界数据的确切状态时则存在启发式冒险情况这是它与一个或多个下级结点通信的故障导致的如果事务的最终结果是要回退子树的边界数据状态不能报告给它的直接上级这是由于假定回退造成的见和附录由于在子树中边界数据的状态可能是一个潜在的启发式混合这是启发式冒险情况如果不能判定本地边界数据的状态是否与事务的最终结果相一致也存在启发式冒险情况这是出现本地通信失败的结果导致的报告每个结点在它的子树中获得边界数据状态的知识尤其是根结点在整个事务树中获得边界数据状态的知识在中每个在它的子树中收集关于边界数据状态的报告作为下列的结果与事务的最终结果比较过的结点的本地边界数据状态来自每个下级关于在
38、下级的子树中边界数据状态的报告如果结点确定在它的子树中边界数据的状态与事务的最终结果相一致向它的上级报告子树的所有边界数据处在一致状态如果结点确定在它的子树中边界数据的状态与事务的最终结果不一致且它不能弥补这一不一致性那么当收集报告时通过损坏日志记录保留关于在这个结点的子树内边界数据不一致性的知识参照表查出相对于所报告不一致性的损坏日志记录的结果值向它的报告不一致性每当可得到完全的子树中的边界数据的报告时如果有就向它的上级结点报告向某一本地实体报告不一致性例如系统操作员在事务的最终结果传播后损坏日志记录就一直被保留到能证实它的上级已经收到正确的报告为止注不意味着关于不一致性信息可以不保留到损坏
39、被修好下级结点证实上级知道启发式损坏的机制是在范围之外的达到更全面的报告设计为目的的规定有待将来标准化表损坏日志记录的修改损坏日志记录先前的状态所报告的不一致性无不一致性启发式冒险启发式混合无损坏日志记录无报告启发式冒险启发式混合启发式冒险启发式冒险启发式冒险启发式混合启发式混合启发式混合启发式混合启发式混合表故障的类型可能的原因故障类型的动作应用差错本地可恢复无事务夭折或对话夭折结点就绪托付前是可恢复的回退对话夭折结点就绪托付后是可恢复的恢复过程结点失效或故障或故障原子动作数据不可获得原子动作数据恢复对话夭折可能地联系夭折和恢复过程存储媒体故障原子动作数据破坏超出的范围恢复故障的类型概述表标
40、识了故障的潜在的原因在事务期间可能产生的故障的类型和为了把事务返回到可管理状态而应采取的动作本地可恢复的故障如果发生一个故障可用它特有的方法来恢复以使事务能继续托付如果或这样做那么没有事故的外部表现除了可能的延迟该情况是本地事情结点就绪托付前可恢复的故障任一个在结点就绪托付前发生的故障引起一次回退这些故障可能来源于下列两者之一事务夭折由于对目前的事务无能力操作因此明确地请求回退一个分布式死锁其中一个事务是另一事务等待循环的一部分存储媒体故障其中边界数据在当前值不再可访问但可得到初始状态的边界数据存储媒体故障其中边界数据破坏但已知事务状态并且要求本地干预来重新构造边界数据对话夭折由于支持对话的应
41、用联系中的故障这可能是作为中表示服务或支持服务例如会话服务故障的结果而发生的对话中下列任一协议中的应用协议差错用户用户故障和或故障以致它们不能在对话中继续通信例如结点失效结点就绪托付之后可恢复的故障结点就绪托付后发生的可恢复的故障是引起对话夭折的那些故障对于此故障启动恢复过程来完成此事务对话夭折的可能原因见原子动作数据的无效性在开放系统中发生的故障导致当前事务的原子动作数据工作拷贝不可获得原子动作数据的工作拷贝由于故障可能已不能获得了即丢失例如故障故障或结点失效必须读出恢复日志重新恢复原子动作数据的工作拷贝所有的对话和或属于当前事务的潜在联系被夭折原子动作数据破坏可能由于存储媒体故障使原子动作
42、数据已经丢失这种类型故障的恢复是超出范围的对恢复的支持包含通信故障和结点失效后的恢复功能对恢复的支持是双重的事务恢复故障发生后事务恢复意味着在这个事务中涉及的所有边界数据将被重新设置到它们的最终状态或初始状态的职责是确保所有资源被重新设置到一致的状态即最终或初始状态在事务树边界内由实现事务恢复在事务树以外的恢复是的职责事务恢复的规定要求在事务分支原子动作数据进行过程中的关键步骤要正确地记录在事务树中涉及的每个开放系统使用假定回退两阶段托付协议不能丢失下列的信息因此必须保存在恢复日志中原子动作数据这些数据不受制于托付回退过程但用于恢复过程边界数据事务操作上客体的数据这些数据受制于托付回退过程在事
43、务执行过程中从事务外部不可见并且只在事务已经被终止后它才能由其他任何一个事务获得对话恢复一个对话的恢复意味着能启动下一个事务就像没有发生过故障一样对话恢复适用于对话树中任何一个对话注对话恢复的规定有待将来标准化结点状态当故障发生时事务或许是活动的或在终止过程中在后一种情况下定时在恢复机制中是一个重要的因素事务的终止不是瞬间的因为在整个事务树中从要求终止到通知它请求完成之间需要若干步骤和交换见图图事务终止当事务终止过程中发生故障事务分支可能处在不同的状态因此在事务树中根据不同的结点状态恢复需要不同类型的动作结点的恢复动作取决于在事务终止中结点扮演的角色或者是托付协调者或者不是托付协调者事务的结点
44、的状态对于恢复来说如果结点是托付协调者托付协调者总是事务树的根它的状态可能是下列之一事务的处理正在进行结点可以选择命令事务的回退并且以初始状态释放在它负责下的边界数据而不损害其一致性根据假定回退方法结点不需在恢复日志中记录任何事务分支的建立结点在与其下级协商后已经决定在事务完成时边界数据以何状态离开如果判定要托付结点传播判定给它的任一下级前必须在恢复日志中写一个托付日志记录这个托付日志记录包括事务标识符托付判定和下级的列表在写了托付日志记录之后结点处于状态如果判定要回退则不要求进行日志登记结点已经收到关于事务树中边界数据状态的完全报告后这个结点可以把关于这个事务的所有信息从恢复日志移走如果结点
45、不是托付协调者那么它的状态是下列之一事务处理正在继续结点可以选择命令事务回退并释放它负责下的边界数据而不损害其一致性根据假定回退方法结点不需要在恢复日志中记录任何事务分支的建立当结点已被托付协调者邀请进入托付阶段后它可以决定启发式托付或回退它的边界数据作出启发式判定的结点在恢复日志上写下启发式日志记录启发式日志记录包括事务标识符和判定托付或回退尽管结点做了启发式判定它依然保持在状态结点已经被托付协调者邀请来指出它的整个子树的边界数据即它自己负责下的和它的下级负责下的边界数据是能置为最终状态被托付还是能置为它们的初始状态被回退在指出能托付完整子树前结点应在恢复日志中写入就绪日志记录这个就绪日志记
46、录包括事务标识符就绪表决上级的标识和下级的列表在写完就绪日志记录后这个结点就处在状态处在状态的结点可以决定启发式托付或回退它的边界数据尽管结点作了一个启发式判定它依然处在状态结点已经由它的上级命令使它的边界数据置为它们的初始状态或最终状态如果判定要托付结点可选择地在恢复日志中写入托付日志记录这个托付日志记录包括事务标识符托付判定和下级的列表注在恢复日志中不必为中间结点和叶结点记录此判定然而如果这样做了它也许能在恢复过程中得到较好的执行表现结点接着传播判定给它的下级在所有的下级已经报告了它们的子树中的边界数据的状态后结点可以将所有涉及这个事务的信息从恢复日志移去但除了损坏日志记录然后结点向它的上
47、级报告它的子树的边界数据状态恢复阶段概述在中的恢复可以被分成称为恢复阶段的三个明确的步骤故障检测和抑制事务恢复对话恢复每个阶段的目标是独立于结点状态的但是在每个恢复阶段中采用的恢复动作的类型是依赖于结点状态的恢复阶段的顺序由图说明图恢复阶段由故障检测而进入阶段启动恢复从角度来看在事务树的某些分支上的通信是不可能的此阶段试图限制故障的代价即无效益地占用珍贵的时间资源进入阶段是为了恢复或重新开始事务中有故障的部件一旦故障的部件重新开始就启动活动来确定边界数据是否处在一致状态如果不是把它们恢复到一致的状态启动的恢复活动的类型取决于结点的状态在下列情况之一发生后才能进入阶段恢复阶段已经成功地完成结点处
48、于状态时发生通信故障假定回退保证边界数据的状态是一致的在故障时间存在的对话由重新建立只要依然存在阶段的目标是允许正常操作再继续注对话恢复的规定有待将来标准化表和表概括了在恢复阶段和恢复阶段期间由上级结点或下级结点采用的恢复动作阶段故障检测和抑制本阶段是作为故障的结果而进入的故障的类型在表中列出除了原子动作数据不可得到外对所有的故障类型如果有恢复动作的话结点当前状态决定应执行的恢复动作如果原子动作数据成为不可得到的结点的状态从日志记录中恢复然后如果有恢复动作的话那么结点的状态决定应执行的恢复动作失效结点的状态按下列情况恢复如果就绪日志记录对该事务是可用的或如果托付日志记录对该事务是可用的在这种情
49、况下事务的结果将托付或事务被遗忘如果没有找到日志记录表概括了在原子动作数据已不可获得后结点状态的恢复注启发式日志记录的出现不影响结点状态的恢复恢复动作状态结点使它的边界数据处于初始状态如果有其他结点向与它通信的其他所有结点传播回退当回退完成时结点遗忘该事务并且恢复阶段结束接着或者是恢复结束或是进入恢复阶段状态在故障发生前结点可能已经作出启发式判定在这种情况下没有采取特定的动作已经写了启发式日志记录另一种情况结点可以做出启发式判定在这种情况下结点写启发式日志记录进入恢复阶段状态对事务树中没有被故障影响的那部分结点正常运转如中讨论的那样事务树中已受故障影响的那部分恢复阶段终止进入恢复阶段阶段事务恢复终止恢复阶段后进入本阶段当与相邻结点的通信被中断并且事务的最终结果需要与之通信时进入恢复阶段只有两种情况会引起结点为恢复目的而重建下列通信如果结点处于状态与上级结点的通信如果结点处于状态事务结果将被托付并且报告下级结点子树中边界数据的状态完成之前与下级结点的通信被中断时与下级结点的通信借助于信道重建通信如果有恢复动作结点的当前状态决定将采用什么恢复动作恢复动作状态当
