王 洪，陳旭毅

WANG Hong，CHEN Xu-yi

（中國移動貴州公司 信息技術(shù)部，貴陽 550004）

0 引言

SOA架構(gòu)已經(jīng)成為企業(yè)信息化的重要目標(biāo)，企業(yè)服務(wù)總線應(yīng)用越發(fā)廣泛，其帶來的優(yōu)點是：1）通過屏蔽物理服務(wù)的位置和開放細(xì)節(jié)，簡化系統(tǒng)間協(xié)作的成本，例如：當(dāng)某個系統(tǒng)進行升級或者替換時，其作為服務(wù)提供者提供的服務(wù)只需在企業(yè)服務(wù)總線（Enterprise Service Bus: ESB）上簡單的替換，而大量的服務(wù)消費者系統(tǒng)無需進行任何修改，可以有效節(jié)約維護成本。2）企業(yè)服務(wù)可以幫助大量的現(xiàn)有系統(tǒng)開放服務(wù)，企業(yè)服務(wù)總線可以通過中介流進行消息格式、通訊協(xié)議的轉(zhuǎn)換，可以對現(xiàn)有系統(tǒng)的改造要求減到最小，可以快速實現(xiàn)業(yè)務(wù)需求，適應(yīng)市場的變化[1]。

1 服務(wù)總線的安全管控方法

隨著SOA的大量應(yīng)用，服務(wù)的安全管控方法是每個使用企業(yè)服務(wù)總線的企業(yè)都會面臨的問題。在面向服務(wù)架構(gòu)（SOA，Service-Oriented Architecture）中，業(yè)務(wù)是最核心的抽象手段，業(yè)務(wù)被劃分（組件化）為一系列粗粒度的業(yè)務(wù)服務(wù)和業(yè)務(wù)流程。其中，業(yè)務(wù)服務(wù)通過一個或者多個分布的系統(tǒng)、基于對象（Object）機制實現(xiàn)，包含多個操作方法，業(yè)務(wù)流程由業(yè)務(wù)服務(wù)組裝而來[2]。

SOA服務(wù)協(xié)作過程中，為了實現(xiàn)標(biāo)準(zhǔn)化，一般會利用基于超文本傳輸協(xié)議（HTTP，Hyper Text Transfer Protocol）中的簡單對象訪問協(xié)議（SOAP，Simple Object Access Protocol）封裝消息，即業(yè)務(wù)信息，SOAP協(xié)議采用可擴展標(biāo)記語言（XML，Extensible Markup Language）描述。當(dāng)然，也可以利用其他傳輸協(xié)議封裝消息。

SOA服務(wù)協(xié)作模式一般采用請求-響應(yīng)的阻塞模式。業(yè)務(wù)及流程是服務(wù)的識別和定義的基礎(chǔ)，服務(wù)定義的原則是高內(nèi)聚、松耦合。服務(wù)采用基于對象的機制，包含多種業(yè)務(wù)操作。

隨著通信技術(shù)的發(fā)展以及企業(yè)間共享業(yè)務(wù)服務(wù)應(yīng)用需求的增強，企業(yè)之間通過建立企業(yè)服務(wù)總線，在企業(yè)服務(wù)總線上開放來源于包括信息服務(wù)、功能服務(wù)、流程服務(wù)等多個系統(tǒng)的大量的服務(wù)，作為SOA架構(gòu)的重要組成部分，以消除不同應(yīng)用之間的技術(shù)差異，使得不同的應(yīng)用服務(wù)器協(xié)調(diào)運作，從而實現(xiàn)不同服務(wù)之間的通信與整合。

企業(yè)服務(wù)總線是一種開放的、基于標(biāo)準(zhǔn)的分布式同步或異步信息傳遞中間件，基于事件驅(qū)動和文檔導(dǎo)向，并支持內(nèi)容的路由和過濾，通過將業(yè)務(wù)邏輯封裝到中間件中，支持更為靈活的面向消息和面向事件的交互模式。

現(xiàn)有企業(yè)服務(wù)總線支持的服務(wù)的訪問控制一般采用WS-SECURITY的協(xié)議機制，該WSSECURITY提供在Web服務(wù)上應(yīng)用安全方法的網(wǎng)絡(luò)傳輸協(xié)議，包含了關(guān)于如何在Web服務(wù)消息上保證完整性和機密性的規(guī)約。WS-SECURITY協(xié)議包括安全斷言標(biāo)記語言（SAML，Security Assertion Markup Language）、Kerberos和認(rèn)證證書格式（如X.509）使用的詳細(xì)信息。主要描述如何將簽名和加密頭加入SOAP消息頭以及如何在消息中加入安全令牌，包括二進制安全令牌，如X.509認(rèn)證證書和Kerberos門票（ticket）[3]。

由上述可見，WS-SECURITY協(xié)議主要涉及：1）服務(wù)驗證（authentication）、2）數(shù)據(jù)完整性（data integrity）和 3）數(shù)據(jù)機密性（data con fidentiality），通過建立業(yè)務(wù)系統(tǒng)（服務(wù)消費者系統(tǒng)）與企業(yè)服務(wù)總線間的認(rèn)證關(guān)系，由企業(yè)服務(wù)總線上的WEB容器（Container）實現(xiàn)基于證書的認(rèn)證，還不能提供完整的服務(wù)安全管控機制，例如，不能針對不同類型的服務(wù)消費者進行靈活的管理、審計，不能提供對具體服務(wù)的訪問控制和服務(wù)方法的訪問控制、以及認(rèn)證信息如何被使用。而隨著SOA的大量應(yīng)用，服務(wù)安全管控是每個使用企業(yè)服務(wù)總線的企業(yè)（服務(wù)消費者系統(tǒng)）都會面臨的問題，舉例來說，以人員信息服務(wù)為例：服務(wù)消費者系統(tǒng)可以在企業(yè)服務(wù)總線上通過對業(yè)務(wù)的梳理和分析，獲取人員的服務(wù)信息，包括：人員基本信息、人員的工作分配信息、員工用工形式信息、員工獎懲信息、員工的專業(yè)資格信息、員工的薪酬信息等，這樣，在SOA服務(wù)協(xié)作的企業(yè)服務(wù)總線模式下，如果服務(wù)消費者通過證書的認(rèn)證，則可以獲取人員的服務(wù)信息中的任何一種或多種信息，但實際應(yīng)用中，對于人員基本信息、人員的工作分配信息、員工用工形式信息等，可以開放給大多數(shù)內(nèi)部管理系統(tǒng)；而對于員工獎懲信息、員工的專業(yè)資格信息、員工的薪酬信息等，為較為敏感的信息，一般只能開放給少數(shù)指定的系統(tǒng)或服務(wù)消費者使用、查詢。因而，需要針對不同類型的服務(wù)消費者，提供不同的具體服務(wù)的訪問控制和服務(wù)方法的訪問控制，實現(xiàn)相應(yīng)的服務(wù)安全管控[4,5]。

2 通過服務(wù)中介實現(xiàn)的服務(wù)總線服務(wù)的安全管控機制

2.1 4A統(tǒng)一安全管控思想

1995年，國際網(wǎng)安界最早提出4A(認(rèn)證Authentication、賬號Account、授權(quán)Authorization、審計Audit)統(tǒng)一安全管理平臺解決方案概念，正式將身份認(rèn)證作為整個網(wǎng)絡(luò)安全的基礎(chǔ)及不可或缺的組成部分，即將身份認(rèn)證、授權(quán)、審計和賬號（即不可否認(rèn)性及數(shù)據(jù)完整性）定義為網(wǎng)絡(luò)安全的四大組成部分，從而確立了身份認(rèn)證在整個網(wǎng)絡(luò)安全系統(tǒng)中的地位與作用[6]。

將4A統(tǒng)一管控思想應(yīng)用到企業(yè)服務(wù)總線的服務(wù)安全管控方法中，按照4A所包含的內(nèi)容，通過服務(wù)中介實現(xiàn)企業(yè)服務(wù)總線服務(wù)的安全管控方法，在服務(wù)消費者管理、服務(wù)的訪問授權(quán)、服務(wù)調(diào)用者與服務(wù)的訪問管理和服務(wù)訪問審計等方面形成的服務(wù)統(tǒng)一安全管控方法，將有效地彌補WSSECURITY協(xié)議的不足。

2.2 服務(wù)中介

服務(wù)中介在服務(wù)請求者與已存在的服務(wù)之間起到中介和消息轉(zhuǎn)換的作用，服務(wù)中介使用包含中介流的服務(wù)中介模塊進行實現(xiàn)。如圖1所示。

圖1 以中介流實現(xiàn)的服務(wù)中介

在企業(yè)服務(wù)總線（ESB）上采用服務(wù)中介（Mediation）的方式對物理服務(wù)進行封裝。服務(wù)中介是一種代理機制，即服務(wù)消費者無法直接訪問服務(wù)提供者提供的服務(wù)（物理服務(wù)），而需要經(jīng)過企業(yè)服務(wù)總線訪問物理服務(wù)，屏蔽物理服務(wù)（服務(wù)提供者提供的服務(wù)）的細(xì)節(jié)。服務(wù)中介提供位置透明性的服務(wù)路由和定位服務(wù)，即服務(wù)消費者無需知道所調(diào)用的物理服務(wù)是哪個系統(tǒng)提供，無需知道對端IP和訪問URL地址，服務(wù)消費者只要知道服務(wù)總線上開放的服務(wù)既可，以上路由和定位都是由ESB實現(xiàn)；有多種消息傳遞形式（支持SOAP、XML、甚至二進制數(shù)據(jù)等）；支持廣泛使用的傳輸協(xié)議（web-service、http、https、FTP、JMS、plat file）。

2.3 通過服務(wù)中介實現(xiàn)服務(wù)的安全管控機制

在企業(yè)服務(wù)總線上建立服務(wù)安全管控中介，在每個業(yè)務(wù)服務(wù)中介中增加對安全管控中介的調(diào)用，對于每次服務(wù)消費者對服務(wù)的訪問請求，服務(wù)消費者把服務(wù)消費者ID、服務(wù)消費者密碼等安全認(rèn)證信息嵌入到SOAP協(xié)議頭中，把服務(wù)調(diào)用請求發(fā)送到企業(yè)服務(wù)總線。

服務(wù)的安全管控機制需要包含服務(wù)消費者賬號管理方法、服務(wù)訪問認(rèn)證方法、服務(wù)授權(quán)管理方法、服務(wù)訪問的安全審計方法等，以下對各個方法進行詳細(xì)介紹。

2.3.1 服務(wù)消費者賬號管理方法

在企業(yè)服務(wù)總線上建立服務(wù)賬號管理的信息源，采用數(shù)據(jù)庫或者LDAP或者文件或者其他的物理存儲形式，包含的信息項至少包括服務(wù)消費者（應(yīng)用或者系統(tǒng)）ID、服務(wù)消費者名稱、服務(wù)消費者訪問密碼（加密存儲）、密碼是否過期、密碼到期時間、服務(wù)消費者證書信息等信息。并提供維護該信息的功能。例如：對服務(wù)消費者賬號的增、刪、改、查操作。

2.3.2 通過建立服務(wù)授權(quán)項實現(xiàn)服務(wù)訪問的授權(quán)管理方法

在企業(yè)服務(wù)總線建立服務(wù)的授權(quán)項信息源，采用數(shù)據(jù)庫或者LDAP或者文件或者其他的物理存儲形式，包括的授權(quán)項至少包括：服務(wù)ID、服務(wù)名稱、服務(wù)端點地址、服務(wù)方法、服務(wù)消費者ID、是否允許訪問、訪問有效期等信息，并提供維護服務(wù)授權(quán)項信息的功能，例如：服務(wù)訪問授權(quán)、服務(wù)授權(quán)查詢、服務(wù)取消授權(quán)、服務(wù)授權(quán)設(shè)置有效期等功能。

2.3.3 通過服務(wù)安全管控中介實現(xiàn)對總線上的服務(wù)訪問認(rèn)證流程及方法

在企業(yè)服務(wù)總線上建立服務(wù)安全管控中介，在每個業(yè)務(wù)服務(wù)中介中增加對安全管控中介的調(diào)用，對于每次服務(wù)消費者對服務(wù)的訪問請求，服務(wù)消費者把服務(wù)消費者ID、服務(wù)消費者密碼等安全認(rèn)證信息嵌入到SOAP協(xié)議頭中，把服務(wù)調(diào)用請求發(fā)送到企業(yè)服務(wù)總線，業(yè)務(wù)服務(wù)中介（如圖2）在接收到訪問請求之后通過解析SOAP協(xié)議頭信息以及服務(wù)訪問信息，把訪問請求發(fā)送至安全管控中介（如圖2），安全管控中介使用服務(wù)消費者賬號信息、服務(wù)請求授權(quán)項信息進行認(rèn)證和授權(quán)驗證，驗證通過后記錄服務(wù)訪問安全審計日志，通知業(yè)務(wù)服務(wù)中介調(diào)用物理服務(wù)并把訪問結(jié)果返回給服務(wù)消費者。如圖2所示。

1)服務(wù)消費者向服務(wù)總線發(fā)起服務(wù)訪問請求，服務(wù)消費者ID、服務(wù)消費者密碼等安全認(rèn)證信息嵌入到SOAP協(xié)議頭中。以對HR的獲取人員信息服務(wù)的請求為例：

圖2 在企業(yè)服務(wù)總線上建立服務(wù)安全管控中介

圖3 HR的獲取人員信息服務(wù)的請求

該業(yè)務(wù)場景是通過服務(wù)獲取HR系統(tǒng)中員工編號為27007086的員工的信息，形象的描述：SOAP協(xié)議由SOAP信封、SOAP信息頭、SOAP信息體組成，SOAP信封主要描述的整個服務(wù)的命名空間“xmlns”以及調(diào)用的服務(wù)名稱：“EmployeeInfoService”，SOAP消息頭中增加了服務(wù)調(diào)用者的系統(tǒng)ID和服務(wù)調(diào)用者系統(tǒng)的密碼，見上圖紅色顯示的部分，其ID編號為“11”，密碼是明文加密后并使用Base64方式編碼的密碼。如果有必要，還可以根據(jù)信息增加驗證碼，用于校驗整個SOAP消息的校驗和，以避免有非法篡改消息體的信息攻擊；消息體中包含調(diào)用該服務(wù)的方法“getEmployeeInfoByEmployeeID”,以及員工編號輸入信息“員工編號是27007086”。采用在消息頭中而不在消息體中增加安全認(rèn)證信息的優(yōu)點是不破壞業(yè)務(wù)的可讀性和完整性，消息體偏重在業(yè)務(wù)數(shù)據(jù)，便于系統(tǒng)的業(yè)務(wù)整合。

2)企業(yè)服務(wù)總線的業(yè)務(wù)服務(wù)中介把服務(wù)請求的上下文信息傳遞到服務(wù)安全管控中介進行身份及訪問權(quán)限認(rèn)證。

3)服務(wù)安全管控中介在服務(wù)訪問的請求上下文獲得服務(wù)消費者的ID及密碼，通過服務(wù)消費者賬號信息源進行身份認(rèn)證，包括密碼是否正確，賬號在有效期內(nèi)等，在身份認(rèn)證通過后進行服務(wù)訪問權(quán)限認(rèn)證，從服務(wù)請求上下文獲得服務(wù)的端點地址和服務(wù)消費者調(diào)用服務(wù)方法（Method）。

4)服務(wù)安全管控中介在認(rèn)證通過后把認(rèn)證結(jié)果通知業(yè)務(wù)服務(wù)中介。

5)服務(wù)安全管控中介記錄本次服務(wù)訪問的訪問日志。

6)業(yè)務(wù)服務(wù)中介向服務(wù)提供者物理服務(wù)發(fā)起訪問請求，物理服務(wù)是現(xiàn)有系統(tǒng)開放出來的為其它的系統(tǒng)提供服務(wù)的業(yè)務(wù)功能，例如：人力資源中的員工信息服務(wù)（其method方法包括：獲取員工基本信息、獲取員工薪酬信息、獲取員工的聯(lián)系信息、獲取員工的獎懲信息等）、員工操作服務(wù)（其method方法包括：員工升遷任免、員工入職、員工離職、員工休假等）；合同管理中的合同信息服務(wù)（其method方法包括：獲取合同基本信息、獲取合同文本、獲取合同審判記錄等）、合同操作服務(wù)（其method方法包括：合同創(chuàng)建、合同修改、合同銷毀等）。在信息系統(tǒng)的建設(shè)中，物理服務(wù)由各專業(yè)系統(tǒng)提供，其如何識別和定義采用一定的方法論，包括業(yè)務(wù)流程拆解法、目標(biāo)系統(tǒng)定義法和現(xiàn)有資產(chǎn)接口分析法，因該分析方法非本發(fā)明探討的重點，不在本發(fā)明中做詳細(xì)描述。

7)服務(wù)訪問結(jié)果返回到企業(yè)服務(wù)總線。

8)服務(wù)訪問結(jié)果由企業(yè)服務(wù)總線返回到服務(wù)消費者。

3 通過服務(wù)中介日志方式實現(xiàn)服務(wù)總線上的服務(wù)訪問審計方法

服務(wù)安全管控中介在服務(wù)訪問過程中在企業(yè)服務(wù)總線生成服務(wù)訪問日志，采用數(shù)據(jù)庫表或者文件或者其他存儲的形式，至少包含服務(wù)消費者ID、服務(wù)訪問ID、訪問的服務(wù)方法（Method），服務(wù)訪問時間，服務(wù)認(rèn)證是否成功等信息，同時提供統(tǒng)計查詢報表。通過服務(wù)訪問的統(tǒng)計查詢報表來滿足企業(yè)的服務(wù)訪問的安全審計要求。

4 結(jié)論

通過服務(wù)中介實現(xiàn)的服務(wù)總線服務(wù)的安全管控方法，融合了統(tǒng)一用戶賬號管理、統(tǒng)一認(rèn)證管理、統(tǒng)一授權(quán)管理和統(tǒng)一安全審計等四要素，能夠為企業(yè)提供功能完善的、高安全級別的企業(yè)服務(wù)總線上的安全管理，消除了不同應(yīng)用之間的技術(shù)差異，在服務(wù)總線上開放了來源于多個系統(tǒng)大量的服務(wù)，包括信息服務(wù)、功能服務(wù)、流程服務(wù)等，使得不同的應(yīng)用服務(wù)器得以安全協(xié)調(diào)運作，實現(xiàn)了不同服務(wù)之間的通信與整合。

[1]毛新生.SOA原理方法實踐[M],北京:電子工業(yè)出版社,2007.

[2]曹中洪,廉東本. 面向SOA的企業(yè)服務(wù)總線研究與應(yīng)用[J].計算機系統(tǒng)應(yīng)用,2010,(10):63-67.

[3]楊海斌. 基于WS-Security框架的Web服務(wù)安全解決方案[J]. 電腦編程技巧與維護,2009,(18) :102-103,109.

[4]李瑞,陶明.基于WS-Security的Web服務(wù)安全的實現(xiàn)[J].計算機與現(xiàn)代化,2008,(12):131-137.

[5]石偉鵬,楊小虎.基于SOAP協(xié)議的Web Service安全基礎(chǔ)規(guī)范(Web Security)[J],計算機應(yīng)用研究，2003,20(2):100-102,105.

[6]李久洪.移動公司4A項目建設(shè)之我見[J].通信世界,2008,(23):24.