在最近一些年以来,因为没有对信息化建设进行统一的规划和管理,从而导致信息孤岛成为企业信息化建设的瓶颈。为了实现信息孤岛问题的有效解决,应用集成的研究随之出现。然而,传统的应用集成解决方案具有非常大的实施难度,并且仅仅能发挥非常有限的作用。后来,出现了面向服务的架构(SOA,Service Oriented Architecture),这种崭新的体系结构能够使异构系统的应用集成得到很好的实现。
面向服务的架构是最近的几年来国际基础软件产品和大型信息系统研发的一种非常重要的支撑技术,也是众多企业进行信息化建设、实现信息资源的有效开发利用的重要技术。然而,面向服务的架构下的信息安全问题导致面向服务的架构的实施进程非常缓慢。由于面向服务的架构环境的特殊性,其信息安全应用研究变得非常重要。在面向服务的架构的环境下,传统的安全机制已经不能满足面向服务的架构环境下的应用系统的安全需求,这给面向服务的架构下的信息安全应用研究带来了新的挑战。所以,怎样在不使面向服务的架构的松耦合、高伸缩性优势受到影响的同时,研究出在面向服务的架构下的信息安全实现模型,从而满足面向服务的架构下的应用系统的安全需求,是当前亟待解决的问题。
面向服务架构下的信息安全问题的研究
在最近的几年以来,面向服务的架构得到了日益广泛的使用,虽然现在仍然没有大规模的采用面向服务的架构,但是,受到国外中间件厂商的推动,面向服务的架构正在受到越来越多的关注。这种崭新的体系结构的出现必然伴随着许多各种形式的技术标准和规范的出现。在面向服务的架构出现的几年内,在厂商、国内外的专家学者和标准化组织的共同努力下,一大批面向服务的架构标准和规范已经制定出来,面向服务的架构的发展得到了有力的推动。在面向服务的架构标准和规范的不断完善的进程中,许多企业也相继推出其自身的面向服务的架构的平台和技术,在面向服务的架构这个未来的市场上争取先机。
Gartner首次提出面向服务的架构这一崭新的体系结构之后,IBM,BEA,SAP,Oracle等大量的主流厂商推动了它的发展和前进。然而,在这些主流厂商中,有两种不同的声音存在:BEA,IBM和Oracle生产以中间件为导向的产品,例如,AquaLogic,WebLogic和Fusion等等;而SAP生产应用层架构的产品,通过应用层架构来实现面向服务的体系架构,例如,SAP NetWeaver。
中国的中创软件、东方通、中和威等中间件厂商,也推出了基于面向服务的架构总线的中间件产品,同时具有面向服务的架构的部署和运用能力。东方通公司表示他们已经具备大量的面向服务的架构应用的成功案例。而且,东方通能够实现传统技术和面向服务的架构这两种解决方案。
然而,2008年的一篇研究报告指出,当前面向服务的架构下的信息安全漏洞是不可避免的。在面向服务的架构解决方案中,某些设置可能会导致非常重要的安全漏洞。而且,一些对于Web攻击一直很安全的应用程序也是有可能通过面向服务的架构受到攻击的。其实,面向服务的架构本身是安全的,但是,这些框架必须要进行适当的设置和使用,从而防止各种严重的安全问题的出现。
随着面向服务的架构相关的标准和规范的不断完善以及增强面向服务的架构安全性的相关技术的不断成熟,许多企业都在努力研发和应用面向服务的架构。可以预测,在不远的将来,不管是在中国还是外国,面向服务的架构的应用范围将会更加广泛,面向服务的架构下的安全问题也会获得顺利的解决。
面向服务的架构下的信息安全相关规范
(一)SOAP(Simple Object Access Protocol,简单对象访问协议):通过SOAP,来进行底层协议的实现,实现了服务请求者和服务提供者之间的消息传输规范的定义。通过XML来进行SOAP消息的描述,通过HTTP来进行SOAP消息的承载。
(二)WSDL(Web Services Description Language,Web服务描述语言):WSDL是一种标准格式,在这种标准格式中,采用XML格式描述的服务由服务提供者提供,可以实现消息交换的通信端点的集合是对于网络服务的描述,通过网络服务的描述,能够清晰的体现出一个Web服务所能够完成的功能,以及这个Web服务所处于的位置,还有调用这个Web服务的方法等等。
(三)UDDI(Universal Discovery Description Integration,通用发现描述和集成):UDDI是Web服务的信息注册规范,它能够由需要服务的用户进行发现和使用。借助于UDDI,信息的“一次注册,多次访问”就可以非常轻松的由Web服务实现。
结束语
本文只是粗浅的介绍了面向服务架构下的信息安全应用研究。由于时间和研究条件的限制,本文的研究仍然有待进一步的深入。在今后的研究中,将在深入研究各项面向服务的架构下的安全规范的基础上,针对当前面向服务的架构下的应用系统中存在的消息安全问题、单点登录问题以及访问控制问题,基于“安全即服务”的思想,设计和实现面向服务的架构下的信息安全实现模型。