一 引言

　　信息安全的范圍很大。大到國(guó)家軍事政治等機(jī)密安全，小到防范商業(yè)企業(yè)機(jī)密泄露、防范青少年對(duì)不良信息的瀏覽、個(gè)人信息的泄露等�；���SOA的商業(yè)系統(tǒng)的信息安全技術(shù)是保證其信息安全的關(guān)鍵，包括各種安全協(xié)議、安全機(jī)制(數(shù)字簽名、信息認(rèn)證、數(shù)據(jù)加密等)，其中任何一個(gè)安全漏洞便可以威脅全局安全。信息安全服務(wù)至少應(yīng)該包括支持信息網(wǎng)絡(luò)安全服務(wù)的基本理論，以及基于新一代信息網(wǎng)絡(luò)體系結(jié)構(gòu)的網(wǎng)絡(luò)安全服務(wù)體系結(jié)構(gòu)。

　　信息是社會(huì)發(fā)展的重要戰(zhàn)略資源。國(guó)際上圍繞信息的獲取、使用和控制的斗爭(zhēng)愈演愈烈，信息安傘成為維護(hù)國(guó)家安全和社會(huì)穩(wěn)定的一個(gè)焦點(diǎn)，各國(guó)都對(duì)信息安全給以極大的關(guān)注和投入。信息安全已成為亟待解決、影響國(guó)家大局和長(zhǎng)遠(yuǎn)利益的重大關(guān)鍵問(wèn)題，它不但是發(fā)揮信息革命帶來(lái)的高效率、高效益的有力保證，而且是抵御信息侵略的重要屏障，信息安全保障能力是2l世紀(jì)綜合國(guó)力、經(jīng)濟(jì)競(jìng)爭(zhēng)實(shí)力和生存能力的重要組成部分，是世紀(jì)之交世界各國(guó)都在奮力攀登的至高點(diǎn)。我國(guó)的政治、軍事、經(jīng)濟(jì)、文化、社會(huì)生活的各個(gè)方面受到信息安全問(wèn)題的影響，如果解決不好將使國(guó)家處于信息戰(zhàn)和高度經(jīng)濟(jì)金融風(fēng)險(xiǎn)的威脅之中。在網(wǎng)絡(luò)信息技術(shù)高速發(fā)展的今天，信息安全已變得至關(guān)重要，信息安全已成為信息科學(xué)的熱點(diǎn)課題。

二 SOA架構(gòu)是商業(yè)系統(tǒng)的趨勢(shì)

　　2.1 SOA的概念

　　SOA即Service-Oriented Architecture的縮寫(xiě)，也就是面向服務(wù)的架構(gòu)，它是一個(gè)組件模型，是一種流行的軟件設(shè)計(jì)架構(gòu)，它將應(yīng)用程序的不同單元通過(guò)這些它們之間定義良好的接口和契約聯(lián)系起來(lái)，這些單元稱為服務(wù)。服務(wù)之間通過(guò)簡(jiǎn)單并且精確定義的接口來(lái)進(jìn)行通信。SOA體系架構(gòu)中包含服務(wù)提供者、服務(wù)注冊(cè)中心和服務(wù)使用者以及三種關(guān)于服務(wù)的動(dòng)作：發(fā)布、查找和綁定。其中，服務(wù)提供者進(jìn)行發(fā)布和響應(yīng)服務(wù)，服務(wù)注冊(cè)中心注冊(cè)、分類和搜索服務(wù)提供者，服務(wù)使用者查找和使用服務(wù)提供者提供的服務(wù)。

　　2.2 商業(yè)系統(tǒng)采用SOA架構(gòu)的必然性

　　商業(yè)系統(tǒng)的各個(gè)子模塊也可以作為一種服務(wù)來(lái)看待，它可以為用戶提供各種商業(yè)系統(tǒng)的各種服務(wù)功能，因此，商業(yè)系統(tǒng)與SOA架構(gòu)結(jié)合是非�？尚械�。在基于SOA的某某商業(yè)系統(tǒng)的體系結(jié)構(gòu)中，對(duì)商業(yè)系統(tǒng)服務(wù)構(gòu)件，進(jìn)行詳細(xì)設(shè)計(jì)和開(kāi)發(fā)，可以重復(fù)使用和共享已經(jīng)實(shí)現(xiàn)的商業(yè)系統(tǒng)服務(wù)構(gòu)件，這為其他具有類似功能模塊的煙草商業(yè)系統(tǒng)的構(gòu)建提供了便利條件，能夠節(jié)省大量的時(shí)間，提高系統(tǒng)開(kāi)發(fā)效率，為眾多復(fù)雜的煙草商業(yè)系統(tǒng)的構(gòu)建提供了可行的解決方案。因此，采用SOA架構(gòu)是商業(yè)系統(tǒng)的必然趨勢(shì)。

　　2.3 SOA對(duì)信息安全技術(shù)的要求

　　面向服務(wù)的體系結(jié)構(gòu)(SOA)跨越了計(jì)算機(jī)系統(tǒng)和企業(yè)邊界，一個(gè)應(yīng)用軟件的組件可以非常容易地跟屬于不同域的其他組件進(jìn)行通信。但是，SOA尚未能達(dá)到事務(wù)的不可否認(rèn)性、事務(wù)撤回機(jī)制等最高可靠性，所以保證相互連接的系統(tǒng)之間的安全性是比較復(fù)雜的。

　　SOA作為一個(gè)具有發(fā)展前景的應(yīng)用系統(tǒng)架構(gòu)，仍然正在不斷地發(fā)展，其安全性問(wèn)題至關(guān)重要，對(duì)信息安全技術(shù)的研究也提出了新的要求。與傳統(tǒng)系統(tǒng)相比，在基于SOA的商業(yè)系統(tǒng)中，提出請(qǐng)求的主體和提供服務(wù)資源的客體都具有較高的動(dòng)態(tài)特性。由于主體操作方式的多樣性和用戶的計(jì)算環(huán)境的異構(gòu)性造成了主體動(dòng)態(tài)特性。服務(wù)本身的動(dòng)態(tài)性主要表現(xiàn)在以下兩個(gè)方面：可能擴(kuò)充或修改服務(wù)提供的功能，服務(wù)的組成也具有動(dòng)態(tài)的變動(dòng)性。這就要求信息安全技術(shù)應(yīng)該能夠?qū)�這種變化動(dòng)態(tài)地適應(yīng)，能夠根據(jù)安全相關(guān)地環(huán)境采取合適的信息安全技術(shù)。

三 基于SOA的商業(yè)系統(tǒng)的信息安全技術(shù)

　　3.1 訪問(wèn)控制

　　在基于SOA的商業(yè)系統(tǒng)的信息安全技術(shù)中，訪問(wèn)控制技術(shù)是最重要的安全技術(shù)之一，也是可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)中的評(píng)價(jià)系統(tǒng)安全的主要指標(biāo)之一。訪問(wèn)控制就是主體依據(jù)某些控制策略或權(quán)限，進(jìn)行客體本身或是其資源的不同的授權(quán)訪問(wèn)。訪問(wèn)控制主要由以下三個(gè)要素組成：主體、客體和訪問(wèn)控制策略。

　　(1)主體：是提出請(qǐng)求或要求的實(shí)體，是動(dòng)作的發(fā)起者，但是它不一定是動(dòng)作的執(zhí)行者。主體可以是用戶或者進(jìn)程、作業(yè)和程序等任何代理用戶行為的實(shí)體。實(shí)體可以是一個(gè)物理設(shè)備、數(shù)據(jù)文件、內(nèi)存或進(jìn)程等計(jì)算機(jī)資源或者是一個(gè)合法用戶。

　　(2)客體：是接受其他實(shí)體訪問(wèn)的被動(dòng)實(shí)體。客體可以是能夠被操作的信息、資源、對(duì)象。在信息社會(huì)中，信息、文件、記錄等的集合體，網(wǎng)路上的硬件設(shè)施，無(wú)線通信中的終端，都可以看作是客體，甚至客體之間可以互相包含。

　　(3)訪問(wèn)控制策略：是主體對(duì)客體的操作行為集和約束條件集，也就是主體對(duì)客體的訪問(wèn)規(guī)則集。在這個(gè)規(guī)則集中，對(duì)主體的作用行為和客體對(duì)主體的條件約束進(jìn)行了直接的定義。訪問(wèn)控制策略體現(xiàn)了不超越規(guī)則集的客體對(duì)主體的權(quán)限允許這樣一種授權(quán)行為。

　　由于基于SOA的商業(yè)系統(tǒng)的訪問(wèn)用戶往往種類繁多、數(shù)量巨大、并且動(dòng)態(tài)變化，增大了授權(quán)管理的負(fù)擔(dān)。為了防止直接將訪問(wèn)權(quán)限授予主體，從而方便管理，系統(tǒng)采用了基于角色的訪問(wèn)控制模型RBAC。

　　基于角色的訪問(wèn)控制模型RBAC如圖I所示。

　　3.2 數(shù)字簽名

　　在基于SOA的某商業(yè)系統(tǒng)中，使用了數(shù)字簽名技術(shù)。數(shù)字簽名是實(shí)現(xiàn)認(rèn)證和非否認(rèn)的一種方法。認(rèn)證允許一個(gè)人進(jìn)行數(shù)據(jù)和身份的確認(rèn)，而非否認(rèn)防止—個(gè)人對(duì)其行為進(jìn)行否認(rèn)。

　　數(shù)字簽名技術(shù)是不對(duì)稱加密算法的典型應(yīng)用。數(shù)字簽名的應(yīng)用過(guò)程是，數(shù)據(jù)源發(fā)送方使用自己的私鑰對(duì)數(shù)據(jù)校驗(yàn)和或其他與數(shù)據(jù)內(nèi)容有關(guān)的變量進(jìn)行加密處理，完成對(duì)數(shù)據(jù)的合法“簽名”，數(shù)據(jù)接收方則利用對(duì)方的公鑰來(lái)解讀收到的“數(shù)字簽名”，并將解讀結(jié)果用于對(duì)數(shù)據(jù)完整性的檢驗(yàn)。從而對(duì)簽名的合法性進(jìn)行確認(rèn)。在網(wǎng)絡(luò)系統(tǒng)虛擬環(huán)境中，數(shù)字簽名技術(shù)是進(jìn)行身份確認(rèn)的一種重要技術(shù)，可以將現(xiàn)實(shí)過(guò)程中的“親筆簽字”完全代替，在技術(shù)和法律上有保證。在數(shù)字簽名應(yīng)用中，可以很方便地得到發(fā)送者的公鑰，但是需要嚴(yán)格保密發(fā)送者的私鑰。

　　3.3 身份認(rèn)證

　　身份認(rèn)證是計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)這樣一個(gè)虛擬的數(shù)字世界確認(rèn)操作者身份的過(guò)程。由于在計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)中，是用一組特定的數(shù)據(jù)來(lái)表示包括用戶的身份信息在內(nèi)的一切信息的，因此，計(jì)算機(jī)只能識(shí)別用戶的數(shù)字身份，也是針對(duì)用戶數(shù)字身份的授權(quán)進(jìn)行所有對(duì)用戶的身份認(rèn)證�，F(xiàn)實(shí)世界中，每個(gè)人都擁有獨(dú)一無(wú)二的物理身份。如何保證操作者的物理身份與數(shù)字身份相對(duì)應(yīng)，是一個(gè)非常重要的問(wèn)題。身份認(rèn)證技術(shù)解決了這個(gè)問(wèn)題。主要包括以下幾種常用的用戶身份認(rèn)證技術(shù)：傳統(tǒng)的基于口令的身份認(rèn)證、基于隨機(jī)口令的雙因素認(rèn)證技術(shù)、基于PKI體制的數(shù)字證書(shū)認(rèn)證技術(shù)等。

　　基于口令的身份認(rèn)證技術(shù)是指當(dāng)被認(rèn)證對(duì)象要求訪問(wèn)認(rèn)證方的服務(wù)時(shí)，提供服務(wù)的認(rèn)證方要求被認(rèn)證對(duì)象提交口令，認(rèn)證方將收到的口令與系統(tǒng)中存儲(chǔ)的口令進(jìn)行比較，從而對(duì)于被認(rèn)證對(duì)象是否為合法訪問(wèn)者進(jìn)行確認(rèn)。具有構(gòu)建方便、使用靈活、投入小的優(yōu)點(diǎn)，適合一些封閉的小型系統(tǒng)和安全性要求不是很高的系統(tǒng)。

　　PKI是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施，是信息安全技術(shù)的核心。對(duì)于信息系統(tǒng)中的機(jī)密性、真實(shí)性、完整性、不可否認(rèn)性和存取控制等安全問(wèn)題，PKI能夠有效地解決�；�于PKI體制的數(shù)字證書(shū)認(rèn)證技術(shù)適合大型系統(tǒng)和安全性要求很高的系統(tǒng)。

　　結(jié)合基于SOA的商業(yè)系統(tǒng)的實(shí)際需要，本系統(tǒng)采用了基于PKI體制的數(shù)字證書(shū)技術(shù)。

　　3.4 分布式入侵檢測(cè)

　　在分布式入侵檢測(cè)技術(shù)方面，基于SOA的商業(yè)系統(tǒng)使用了基于規(guī)則分析的策略�；�于��(guī)則分析的策略的入侵檢測(cè)的決策依據(jù)，是一些預(yù)先定義好的規(guī)則，通常情況下，由管理員進(jìn)行輸入或者是系統(tǒng)自動(dòng)創(chuàng)建這些規(guī)則。基于規(guī)則分析的入侵檢測(cè)系統(tǒng)在實(shí)現(xiàn)中最常見(jiàn)的兩種形式分別是專家系統(tǒng)和神經(jīng)網(wǎng)絡(luò)。在異常入侵檢測(cè)中，已經(jīng)應(yīng)用了SOM神經(jīng)網(wǎng)絡(luò)。研究表明，由于神經(jīng)網(wǎng)絡(luò)具有高效、并行、有學(xué)習(xí)能力等多種優(yōu)勢(shì)，非常適用于建立復(fù)雜多變的基于SOA的商業(yè)系統(tǒng)。

四 結(jié)語(yǔ)

　　隨著SOA的發(fā)展，傳統(tǒng)的信息安全技術(shù)很難滿足應(yīng)用系統(tǒng)的動(dòng)態(tài)性和開(kāi)發(fā)性的要求。采用面向服務(wù)的架構(gòu)進(jìn)行應(yīng)用系統(tǒng)的開(kāi)發(fā)，已經(jīng)成為一種必然的趨勢(shì)。但是，安全性和管理的復(fù)雜性已經(jīng)成為阻礙其發(fā)展的重要原因。在基于SOA的商業(yè)系統(tǒng)中，提出請(qǐng)求的主體和提供服務(wù)資源的客體都具有較高的動(dòng)態(tài)特性，要求信息安全技術(shù)應(yīng)該能夠動(dòng)態(tài)地適應(yīng)這種動(dòng)態(tài)特性，信息安全技術(shù)面臨著嚴(yán)峻的挑戰(zhàn)。隨著面向服務(wù)的架構(gòu)技術(shù)的成熟，SOA的體系架構(gòu)將被更廣泛地應(yīng)用，對(duì)于信息安全技術(shù)的要求會(huì)越來(lái)越高。安全性問(wèn)題是基于SOA的系統(tǒng)的一個(gè)永恒話題，信息安全技術(shù)的研究和發(fā)展應(yīng)該受到重視。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標(biāo)題：基于SOA的商業(yè)系統(tǒng)的信息安全技術(shù)探討

本文網(wǎng)址：http://www.guhuozai8.cn/html/consultation/1083954513.html