电力经济软件中建构安全web服务

厂网分开、竞价上网后,发电公司的生产经营模式有了很大的变化,生产由原来的指令性计划变为市场抉择。在激烈的竞争中,发电公司需努力降低成本,分析生产经营活动中的每一个环节的潜力;在对量、本、利分析和成本预测的基础上制定竞价曲线。这一切工作都是在对发电企业经济活动分析的基础上开展的。电厂、发电公司等电力企业,经过多年的信息化建设已经建成了诸如生产管理系统、财务系统、办公系统等多个企业应用系统。这些应用系统各自独立,各系统之间,运行在不同的部门,有着不同的系统平台,由不同的编程语言开发,数据结构也不尽相同,相互之间有防火墙阻隔。这些事实,使得在Web服务出现以前,想要开发集成企业的现有系统的应用几乎不可能。

电力经济活动分析系统是利用基于XML的WebService技术,集成企业的现有系统。通过利用Web服务,获取电力企业的财务系统和生产系统中的已有数据进行分析,完成情况分析、生产分析、经营分析和综合效益评价等项功能,从而为发电公司的生产经营决策提供智力支持。通过提供Web服务,支持用户其他系统使用电力经济活动分析系统的分析结果和数据,例如,为企业网站提供发电量、营业额等统计信息。Web服务在电力经济活动分析软件中起到关键性的作用,生产系统和财务系统所提供的Web服务,涉及生产、财务系统里的重要数据,关系到企业的安全生产和运营。所以如何在电力经济活动分析软件中构建安全的Web服务,使实施该项目需要重点考虑的问题。下面将从Web服务和其安全规范出发,来介绍在电力经济活动分析系统项目实施中,实现安全的Web服务。

1.Web服务和其安全性规范

(1)什么是Web服务

Web服务是一种完全建立在现有互联网标准之上、松散耦合的、跨语言和平台的应用程序之间通信的标准方法。XMLWebService体系结构的主要优点之一是:允许在不同平台上、以不同语言编写的各种程序以基于标准的方式相互通信。虽然Web服务一经出现,便为各厂商接受和支持,但并没有一个关于Web服务的统一的定义。

广泛接受的一个XMLWebService定义是:通过SOAP在Web上提供的软件服务,使用WSDL文件进行说明,并通过UDDI进行注册。要实现一个完整的Web服务体系需要一系列的协议规范来支撑,如图1所示:其中,第1、2层是已经定义好的并且被广泛使用的传输层和网络层的标准:IP、IITTP、SMTP等。

而第3、4、5层是目前开发的Web服务的相关标准协议。SOAP(SimpleObjectAc-cessProtocol)是一个协议规范,定义了传递XML-encoded的数据时的统一方式,它还定义了使用HTTP作为底层通信协议时执行远程调用(RPC)的方法。UDDI为客户提供了动态查找其它Web服务的机制。WSDL为服务提供了描述构建在不同协议或编码方式之上的Web服务请求基本格式的方法。

(2)Web服务的调用过程

利用Web服务可以建立面向服务的集成系统。即不用改变现有的各种应用,也不关心它们技术的不同(比如是Java,还是.NET),利用Web服务的消息驱动机制,让它们协同工作和交互。Web服务体系最基础的支柱是XML消息传递。XM消息传递的标准是SOAP,服务的请求者通过在传输层协议之上绑定SOAP消息来发送Web服务的请求。假设SOAP绑定在http之上,那么它就会利用http的请求/响应消息模型,将SOAP请求放在http请求里面,服务的提供者将SOAP响应的结果放在http响应里面返回给Web服务的请求着。

(3)Web-Security规范

Web的基础是简单对象访问协议(SOAP),它是在分布式环境中交换信息的简单的XML文本协议,本身不涉及安全范畴。随着各种基于Web服务应用的发展,如电子商务、网上银行等等,引出了人们对Web服务安全性的关注。WS-Security规范是构建安全的Web服务应用的基础。该规范主要提供了三种机制:安全性令牌传输、消息完整性和消息机密性。通过提供安全性令牌来实现Web服务的授权访问,安全性令牌包括普通的用户名/密码令牌以及X.509等证书令牌。后两者是通过引入XML数字签名和XML加密协议实现的。这些机制可以单独使用,也可以组合使用,以实现不同强度的安全性。

2.Web服务关键安全手段

(1)加密技术

任何Web服务考虑其安全性,首先需要的一项重要安全技术,就是在敏感数据通过开放网络传输时提供保护。加密技术可以加密消息,从而保护敏感数据免遭暴露。加密技术还能保障消息的完整性。加密技术分为两种:

①秘密密钥加密。又称为“对称密钥加密”,通信双方使用同一个加密密钥来加密和解密消息。

②公钥加密。使用两种不同但是在数学上相关的密钥。使用公钥加密技术时,用公钥来加密数据,私钥来解密数据,也成为“不对称加密”。公钥密码技术也可以用来创建以用户的私钥为基础的不可伪造的数字签名。正确标示公钥是公钥证书的推动因素。

(2)验证模型

Web服务安全性首先在于对用户合法性的验证,也是Web服务授权和访问控制的基础。Web安全模型并没有指明任何验证协议。用户可采用任何认为合适的方法来验证用户。就目前的技术而言,验证主要可分为三类:

①直接验证客户端在使用Web服务时,直接提交凭据,例如用户名和密码,用作验证。

②X.509证书验证用户身份时,另一个选择足发送X.509证书。X.509证书确切地告诉web服务提供者用户的身份。您可以使用PKI将此证书映射到应用程序中的现有用户。

③Kerberos验证Kerberos验证包含客户端向服务证明身份以及服务向客户端证明身份的机制。要使用Kerberos,用户需要提供一组凭据(例如用户名/密码或X.509证书)。如果所有内容检验合格,安全系统将授予用户一个TGT(TicketGrantingTicket)。TGT是一个隐藏的数据,用户无法读取,但必须提供它才能访问其他资源。

(3)保护连接安全

保护XMLWebService安全的最简单的一种方法就是确保XMLWebService客户端与服务器之间的连接安全。根据网络的范围和交互操作的活动配置文件,可以通过多种技术来达到这一目的。最流行也最广泛使用的三种技术为:基于防火墙的规则、安全套接字层(SSL)和虚拟专用网络(VPN)。