一 引言

　　在最近一些年以來(lái)，因?yàn)闆](méi)有對(duì)信息化建設(shè)進(jìn)行統(tǒng)一的規(guī)劃和管理，從而導(dǎo)致信息孤島成為企業(yè)信息化建設(shè)的瓶頸。為了實(shí)現(xiàn)信息孤島問(wèn)題的有效解決，應(yīng)用集成的研究隨之出現(xiàn)。然而，傳統(tǒng)的應(yīng)用集成解決方案具有非常大的實(shí)施難度，并且僅僅能發(fā)揮非常有限的作用。后來(lái)，出現(xiàn)了面向服務(wù)的架構(gòu)(SOA，Service Oriented Architecture)，這種嶄新的體系結(jié)構(gòu)能夠使異構(gòu)系統(tǒng)的應(yīng)用集成得到很好的實(shí)現(xiàn)。

　　面向服務(wù)的架構(gòu)是最近的幾年來(lái)國(guó)際基礎(chǔ)軟件產(chǎn)品和大型信息系統(tǒng)研發(fā)的一種非常重要的支撐技術(shù)，也是眾多企業(yè)進(jìn)行信息化建設(shè)、實(shí)現(xiàn)信息資源的有效開(kāi)發(fā)利用的重要技術(shù)。然而，面向服務(wù)的架構(gòu)下的信息安全問(wèn)題導(dǎo)致面向服務(wù)的架構(gòu)的實(shí)施進(jìn)程非常緩慢。由于面向服務(wù)的架構(gòu)環(huán)境的特殊性，其信息安全應(yīng)用研究變得非常重要。在面向服務(wù)的架構(gòu)的環(huán)境下，傳統(tǒng)的安全機(jī)制已經(jīng)不能滿足面向服務(wù)的架構(gòu)環(huán)境下的應(yīng)用系統(tǒng)的安全需求，這給面向服務(wù)的架構(gòu)下的信息安全應(yīng)用研究帶來(lái)了新的挑戰(zhàn)。所以，怎樣在不使面向服務(wù)的架構(gòu)的松耦合、高伸縮性優(yōu)勢(shì)受到影響的同時(shí)，研究出在面向服務(wù)的架構(gòu)下的信息安全實(shí)現(xiàn)模型，從而滿足面向服務(wù)的架構(gòu)下的應(yīng)用系統(tǒng)的安全需求，是當(dāng)前亟待解決的問(wèn)題。

二 面向服務(wù)架構(gòu)下的信息安全問(wèn)題的研究

　　在最近的幾年以來(lái)，面向服務(wù)的架構(gòu)得到了日益廣泛的使用，雖然現(xiàn)在仍然沒(méi)有大規(guī)模的采用面向服務(wù)的架構(gòu)，但是，受到國(guó)外中間件廠商的推動(dòng)，面向服務(wù)的架構(gòu)正在受到越來(lái)越多的關(guān)注。這種嶄新的體系結(jié)構(gòu)的出現(xiàn)必然伴隨著許多各種形式的技術(shù)標(biāo)準(zhǔn)和規(guī)范的出現(xiàn)。在面向服務(wù)的架構(gòu)出現(xiàn)的幾年內(nèi)，在廠商、國(guó)內(nèi)外的專家學(xué)者和標(biāo)準(zhǔn)化組織的共同努力下，一大批面向服務(wù)的架構(gòu)標(biāo)準(zhǔn)和規(guī)范已經(jīng)制定出來(lái)，面向服務(wù)的架構(gòu)的發(fā)展得到了有力的推動(dòng)。在面向服務(wù)的架構(gòu)標(biāo)準(zhǔn)和規(guī)范的不斷完善的進(jìn)程中，許多企業(yè)也相繼推出其自身的面向服務(wù)的架構(gòu)的平臺(tái)和技術(shù)，在面向服務(wù)的架構(gòu)這個(gè)未來(lái)的市場(chǎng)上爭(zhēng)取先機(jī)。

　　Gartner首次提出面向服務(wù)的架構(gòu)這一嶄新的體系結(jié)構(gòu)之后，IBM，BEA，SAP，Oracle等大量的主流廠商推動(dòng)了它的發(fā)展和前進(jìn)。然而，在這些主流廠商中，有兩種不同的聲音存在：BEA，IBM和Oracle生產(chǎn)以中間件為導(dǎo)向的產(chǎn)品，例如，AquaLogic，WebLogic和Fusion等等；而SAP生產(chǎn)應(yīng)用層架構(gòu)的產(chǎn)品，通過(guò)應(yīng)用層架構(gòu)來(lái)實(shí)現(xiàn)面向服務(wù)的體系架構(gòu)，例如，SAP NetWeaver。

　　中國(guó)的中創(chuàng)軟件、東方通、中和威等中間件廠商，也推出了基于面向服務(wù)的架構(gòu)總線的中間件產(chǎn)品，同時(shí)具有面向服務(wù)的架構(gòu)的部署和運(yùn)用能力。東方通公司表示他們已經(jīng)具備大量的面向服務(wù)的架構(gòu)應(yīng)用的成功案例。而且，東方通能夠?qū)崿F(xiàn)傳統(tǒng)技術(shù)和面向服務(wù)的架構(gòu)這兩種解決方案。

　　然而，2008年的一篇研究報(bào)告指出，當(dāng)前面向服務(wù)的架構(gòu)下的信息安全漏洞是不可避免的。在面向服務(wù)的架構(gòu)解決方案中，某些設(shè)置可能會(huì)導(dǎo)致非常重要的安全漏洞。而且，一些對(duì)于Web攻擊一直很安全的應(yīng)用程序也是有可能通過(guò)面向服務(wù)的架構(gòu)受到攻擊的。其實(shí)，面向服務(wù)的架構(gòu)本身是安全的，但是，這些框架必須要進(jìn)行適當(dāng)?shù)脑O(shè)置和使用，從而防止各種嚴(yán)重的安全問(wèn)題的出現(xiàn)。

　　隨著面向服務(wù)的架構(gòu)相關(guān)的標(biāo)準(zhǔn)和規(guī)范的不斷完善以及增強(qiáng)面向服務(wù)的架構(gòu)安全性的相關(guān)技術(shù)的不斷成熟，許多企業(yè)都在努力研發(fā)和應(yīng)用面向服務(wù)的架構(gòu)。可以預(yù)測(cè)，在不遠(yuǎn)的將來(lái)，不管是在中國(guó)還是外國(guó)，面向服務(wù)的架構(gòu)的應(yīng)用范圍將會(huì)更加廣泛，面向服務(wù)的架構(gòu)下的安全問(wèn)題也會(huì)獲得順利的解決。

三 面向服務(wù)的架構(gòu)下的信息安全相關(guān)規(guī)范

　　(一)SOAP(Simple Object Access Protocol，簡(jiǎn)單對(duì)象訪問(wèn)協(xié)議)：通過(guò)SOAP，來(lái)進(jìn)行底層協(xié)議的實(shí)現(xiàn)，實(shí)現(xiàn)了服務(wù)請(qǐng)求者和服務(wù)提供者之間的消息傳輸規(guī)范的定義。通過(guò)XML來(lái)進(jìn)行SOAP消息的描述，通過(guò)HTTP來(lái)進(jìn)行SOAP消息的承載。

　　(二)WSDL(Web Services Description Language，Web服務(wù)描述語(yǔ)言)：WSDL是一種標(biāo)準(zhǔn)格式，在這種標(biāo)準(zhǔn)格式中，采用XML格式描述的服務(wù)由服務(wù)提供者提供，可以實(shí)現(xiàn)消息交換的通信端點(diǎn)的集合是對(duì)于網(wǎng)絡(luò)服務(wù)的描述，通過(guò)網(wǎng)絡(luò)服務(wù)的描述，能夠清晰的體現(xiàn)出一個(gè)Web服務(wù)所能夠完成的功能，以及這個(gè)Web服務(wù)所處于的位置，還有調(diào)用這個(gè)Web服務(wù)的方法等等。

　　(三)UDDI(Universal Discovery Description Integration，通用發(fā)現(xiàn)描述和集成)：UDDI是Web服務(wù)的信息注冊(cè)規(guī)范，它能夠由需要服務(wù)的用戶進(jìn)行發(fā)現(xiàn)和使用。借助于UDDI，信息的“一次注冊(cè)，多次訪問(wèn)”就可以非常輕松的由Web服務(wù)實(shí)現(xiàn)。

四 結(jié)束語(yǔ)

　　本文只是粗淺的介紹了面向服務(wù)架構(gòu)下的信息安全應(yīng)用研究。由于時(shí)間和研究條件的限制，本文的研究仍然有待進(jìn)一步的深入。在今后的研究中，將在深入研究各項(xiàng)面向服務(wù)的架構(gòu)下的安全規(guī)范的基礎(chǔ)上，針對(duì)當(dāng)前面向服務(wù)的架構(gòu)下的應(yīng)用系統(tǒng)中存在的消息安全問(wèn)題、單點(diǎn)登錄問(wèn)題以及訪問(wèn)控制問(wèn)題，基于“安全即服務(wù)”的思想，設(shè)計(jì)和實(shí)現(xiàn)面向服務(wù)的架構(gòu)下的信息安全實(shí)現(xiàn)模型。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標(biāo)題：面向服務(wù)架構(gòu)下的信息安全應(yīng)用研究

本文網(wǎng)址：http://www.guhuozai8.cn/html/support/1112185110.html