电力经济软件中建构安全web服务

3.电力经济活动分析系统Web服务安全功能的分析

(1)系统介绍

在给某发电企业实施的电力经济活动分析系统中,该系统使用已有生产系统、财务系统的Web服务获取基础数据,为用户提供生产指标统计分析、财务指标统计分析、成本分析、利润分析、历史比较分析等功能。用户即可通过浏览器、也可通过Web服务开发其它的用户应用来访问这些功能。该系统功能结构如图2所示:对于使用Internet浏览器访问的用户,电力经济活动分析软件通过WebForm网页作为用户接口。用户其他应用程序获取电力经济活动分析系统的各种分析数据,电力经济活动分析系统获取生产系统、财务系统的基础数据也都是通过访问生产系统、财务系统发布的Web服务实现的。

(2)消息流分析

电力经济活动分析、生产系统、财务系统所有Web服务都是基于XML,提供WSDL(WebServiceDescriptionLanguage)定义的接口。用户应用使用这些Web服务是通过建立在HTTP协议之上的SOAP(SimpleObjectAccessProtocol)消息来访问。图3为电力经济活动分析软件中消息流图。

①用户应用通过HTTPS向电力经济活动分析软件发送一个SOAP请求。这个SOAP请求的header元素里包含用户的用户名和密码。

②电力经济活动分析软件成为了Web服务的请求方,发送SOAP消息给生产系统或财务系统。SOAP消息的header元素包含有自定义的二进制令牌(一个X.509证书)。使用了X.509证书的公钥来加密和签名SOAP消息。

③生产系统(财务系统)给电力经济活动分析软件返回消息。SOAP的消息体使用了X.509证书的公钥加密。

④电力经济活动分析软件返回用户的消息。在用户和电力经济活动分析软件之间的SOAP消息交换,考虑到用户都为企业内员工,通过局域网访问应用,并结合响应速度效率的因素,并没有使用签名和加密技术。我们对传输层使用SSL方式,来保证消息的一致性和完整性。

利用SOAP消息的header元素包含用户名和密码来对用户验证。由于生产系统、财务系统的安全对企业生产经营至关重要,它们采用更严格的安全策略来对Web服务验证、保护。这两个系统的Web服务都采用了X.509证书验证,数字签名和加密技术保证Web服务的安全性。我们通过在生产系统和财务系统Web服务器的配置文件中,设置电力经济活动分析软件的证书和公钥,便可实现电力经济活动分析系统对生产和财务两个系统的Web服务安全访问。

4.结论

在电力经济活动分析系统中,Web服务是集成其他系统的关键技术。它既用到了其他系统的Web服务,也提供Web服务给其他用户。在XMLWeb服务安全性规范和方法的指导下我们可以实现安全的Web服务应用,增强电力企业信息化程度,提高电力企业经营、决策的管理水平。