宋晓宇

摘要：随着信息技术的不断发展，信息化建设复杂程度越高，为了增强软件系统快速构建能力与业务变化能力，进而实现用户原有IT资源与跨平台数据共享，面向服务架构（SOA）孕育而生。SOA作为信息技术转型而成的一种集成方式，具有重用性、互操作性，同时在粗粒度、松散耦合等方面亦存在一定优势，已成为当前企业应用集成的关键方式。SOA模式能促使跨越企业实现边界业务信息共享与系统自动化，但基于Web服务调用与开放数据访问形势下，易给商业运作带来的安全风险。该文主要从SOA模式特征角度出发，基于WS-security面向服务安全框架前提下，提出了SOA安全框架模型，以期实现服务层、网络层安全。

关键词：面向服务架构；信息安全；应用

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2014）15-3652-02

面向服务架构（SOA）属于一种软件体系架构服务概念。自二十世纪90年代初，Sun公司对SOA进行了严格定义，其特点表现在两个方面：一是服务的实现，二是接口分离。服务提供者将服务公布于第三方注册中心，消费者请求服务，注册中心返回给消费者其需要的服务契约与服务端点，最后进行服务绑定，并完成请求的任务。在一定条件下，促使紧密祸合方式得到了有效改变，达到了资源共享，实现了程序互操作性。Web服务作为SOA模式的有效技术集合，经由分布式服务器上的应用程序，将现有模块与新的应用模块进行匹配混用，集合企业客户与合作伙伴，最终以达互联网上不同服务器接口间应用程序的调用，挖掘软件商业价值。但当SOA应用未受保护时，Web服务易在未授权状况下出现自动运行状况，而未授权用户可访问Web服务。笔者综合自身多年来实践经验，深入探究基于面向服务架构下的安全问题，旨在实现其信息的安全应用。

1 面向服务架构概述

“服务”观念贯穿于面向服务的体系架构始终，目前万维网联盟对其进行了严格定义，主要是指服务提供者以完成某一组工作为导向，进而为服务使用者交付所需服务结果。SOA主要涉及到三种角色：一是服务提供者，二是服务注册中心，三是服务请求者。基于三方相互作用下，经由发布、查找、绑定操作来实现最终交互。通常状况下，服务提供者需定性描述服务，并将其公布于服务注册中心。服务请求者以服务注册中心为导向，经由查找操作描述检索服务，并利用服务提供者完成绑定，实现服务调用或交互。

SOA基于应用服务描述规范下，提高其标准水平化，促使其能在操作系统、软件开发语言、网络平台等上实现调用，最终以一种通用、统一方式完成交互。在这个过程中，松耦合系统灵活性较大，能确保客户系统使用最佳服务，当某个服务出现失败现象时，可在运行不中断状况下进行服务替换。当应用程序服务内部结构出现变化时，其可维持存在状态，在服务请求模块无法感知状况下，利用不同数据源可满足相关服务请求。此外，新的数据源可对服务请求者发布的相似请求进行响应。从本质上来讲，总之，SOA具有粗粒度、松散耦合等方面的优势，经由定义接口可实现服务通讯，系统协作性与可连接性、伸缩性较高。

2 面向服务架构信息安全模型及其实现

面向服务技术作为一种新型系统设计模式，亦为一种特殊的分布式服务模型，实现了Web上数据集成与信息共享。SOA属于IT系统构建的一种全新架构模式，基于重复利用现有IT资产的基础上可建立全新的业务应用，具有较高的灵活改变能力，可促使未来业务的可持续发展。在现阶段，面向服务安全技术以网络传输加密为主导，经由XML相关技术，并结合相关安全规范的前提下可提高数据通信的可靠性与安全性。但在SOA中，针对异构平台松耦合性与服务间跨域操作性而言，WS-security安全與基本安全规范难以保证。为了构建系统、全面的SOA信息安全应用方案，必须要将各种安全技术进行有效集合，经由服务层、网络层安全来提高Web服务的可靠性与安全性。在SAML断言语句块中，将安全语句封闭置入其中，构建SAML认证声明，完成SAML授权，经由一系列的服务来响应模块，进而明确安全断言，并借助Web服务安全策略证实用户联邦身份，以达用户单点登录。

2.1 网络层安全

网络层主要包括两个方面：一是传输层，二是物理层。针对传输层安全而言，经由TLS（传输层安全）协议、SSL（安全套接字层）协议，综合IPSec安全协议来共同实现。在这个过程中，SSL主要功能为确保传输文件协议的安全，主要基于RSA私钥密码、强公钥加密及公开密钥体制下，并结合X.509数字证书技术，保障信息传输的完整性与机密性。针对其提供的安全服务而言，主要表现在三个方面：一是用户合法性认证，二是服务合法性认证，三是确保隐藏传输数据、加密数据的完整性。而TLS主要表现在通信应用程序间的应用上，属于提供数据完整性、保密性的一种安全传输协议。TLS具有独立性，一般可将高层协议公布在TLS协议上。从本质上来讲，TLS记录协议属于分层协议，组成部分包括两个方面：第一，TLS记录协议，对信息传输具有支持作用，可将数据进行分段处理，促使其形成压缩数据、可处理块、MAC、传输结果等；第二，TLS握手协议。在记录层安全参数上，协议双方进行一致性自我认证，主要在报警、管理密钥交换、密码修改等方面应用较广。

在底层IP、TCP分层结构中，针对物理层安全而言，经由Web链路加密、硬件加密，并利用加密算法，以期确保数据传输的机密性，可避免未授权用户出现非法访问现象。就网络层安全来讲，主要经由一系列的保障技术来实现。经由IPSec安全协议，利用AH、ESP通信安全协议，可提供高质量的安全性服务。在这个过程中，AH可进行数据发起验证，确保无连接完整性，达到重放保护效果，并在综合发送者数字签名的基础上发布身份验证，可避免第三方出现攻击现象。而ESP通过对IP负载作加密处理，确保数据报中的数据得到充分加密，可避免出现网络监听等现象，从而提高机密信息的可靠性与安全性。

2.2 服务层安全

针对服务层安全而言，主要实现途径包括五个方面：一是SOAP消息控制，二是用户身份验证，三是SAML安全断言，四是安全审计系统，五是相关Web服务模型安全技术。就SOA安全模型而言，在利用服务授权用户数据库，对用户证书进行检查时，用户身份验证与授权产生。具体来讲，经对SOAP消息进行侦听，在安全性基础架构中，将用户信息与消息标题头中的用户信息进行综合比照，可达到用户身份的验证与授权。一般而言，当用户身份进行认证与授权后，可对资源进行系统访问。通常状况下，就企业级SOA身份认证而言，往往不存在单一安全控制域限制，以控制域认证活动为导向，参照安全断言标记语言标准，可实现不同域间的认证交互。需要注意的是，在认证过程中，多方可实现一致，采用一组给定标准，对其指定用户进行验证，而安全域可形成一个身份联邦。从联邦身份认证结果角度出发，以断言形式为导向，在SOAP消息中进行封闭，从而保证不同安全域都证实认证结果的安全性与合法性，故安全断言亦可达单点登录目的，导致在身份联邦中SOAP消息获取的安全断言具有有效性，无需再次認证。

3 面向服务架构安全断言模块的实现

基于构建SAML安全断言的基础上可实现身份验证。SAML作为XML安全性信息交换框架，以实现用户单点登录、提高Web服务安全性为最终目标，其标准主要涵盖SAML断言描述使用方法。在SOA信息安全模型框架中，经对联合身份验证数据库与SOAP消息标题头的用户身份进行有效匹配，再借助身份认证模块，构建唯一断言凭证，而服务提供者可得到SAML身份验证断言。就SAML身份验证断言而言，与主体传输不具同步性，当用户对联邦安全域内的Web服务进行访问时，仅需一次登录，可获取安全断言信息，以达互操作性。服务响应模块获取安全断言主要从SAML授权决策声明、SAML认证声明、属性声明构建角度出发，包括断言ID、时间戳、断言主题，如<[saml：Condition]>元素表示断言生效时间，<[saml：Subject]>元素表示认证对象信息；<[saml：AuthnContext]>则表示授权权限。就SAML安全信息而言，主要组成部分包括三种：一是验证断言，二是授权决策，三是主体属性组成。经对交换断言协议进行定义，基于明确使用方案的基础上，在SOAP消息中将SAML安全断言信息作封装处理并置入其中，属于WS-security规范的补充说明。

4 结束语

综上所述，伴随着SOA应用的不断推广，要想提高SOA的安全性，必须要从联邦身份验证、SOAP消息控制、SAML安全断言、契约管理等角度出发，构建TCP、IP模型，基于确保底层数据传输安全前提下建立SOA信息安全框架模型，可确保网络层、服务层安全，推动软件业的可持续发展。

参考文献：

[1] 向伟，蒲国林，杨清平.面向服务架构的异构系统集成模型[J].计算机系统应用，2011（1）：22-26.

[2] 钱小红.基于校园网的面向服务架构平台的设计与实现[J].数字技术与应用，2013（9）：137-138.

[3] 谢玉开，周莉.基于SAML面向服务架构安全模型研究[J].浙江理工大学学报，2011（4）：631-637.

[4] 王兴志，严正，沈沉，等.基于面向服务架构的调度计划安全校核网格计算[J].电力系统保护与控制，2011（24）：90-95.

[5] 洪志远，李成名.面向服务架构下的WebGIS开发模式探索及实践[J].遥感信息，2012（5）：115-118.

[6] 徐国虎，孙凌，潘曼.面向服务架构的服务供应链运作框架研究[J].物流工程与管理，2012（8）：61-63.

[7] 栾咏红，吴俊.面向服务架构的设计信息管理平台研究[J].计算机与现代化，2012（12）：157-160.

[8] 丛秋实，黄作明，柳巧玲.面向服务架构的计算机审计系统研究[J].审计与经济研究，2013（2）：35-41.

[9] 沈志刚，汪思敏，姜新功.基于面向服务架构的企业信息安全体系设计[J].科技资讯，2013（3）：22-23.