廠網(wǎng)分開、競價上網(wǎng)后,發(fā)電公司的生產(chǎn)經(jīng)營模式有了很大的變化,生產(chǎn)由原來的指令性計劃變?yōu)槭袌鼍駬?。在激烈的競爭?發(fā)電公司需努力降低成本,分析生產(chǎn)經(jīng)營活動中的每一個環(huán)節(jié)的潛力;在對量、本、利分析和成本預(yù)測的基礎(chǔ)上制定競價曲線。這一切工作都是在對發(fā)電企業(yè)經(jīng)濟活動分析的基礎(chǔ)上開展的。電廠、發(fā)電公司等電力企業(yè),經(jīng)過多年的信息化建設(shè)已經(jīng)建成了諸如生產(chǎn)管理系統(tǒng)、財務(wù)系統(tǒng)、辦公系統(tǒng)等多個企業(yè)應(yīng)用系統(tǒng)。這些應(yīng)用系統(tǒng)各自獨立,各系統(tǒng)之間,運行在不同的部門,有著不同的系統(tǒng)平臺,由不同的編程語言開發(fā),數(shù)據(jù)結(jié)構(gòu)也不盡相同,相互之間有防火墻阻隔。這些事實,使得在Web服務(wù)出現(xiàn)以前,想要開發(fā)集成企業(yè)的現(xiàn)有系統(tǒng)的應(yīng)用幾乎不可能。

電力經(jīng)濟活動分析系統(tǒng)是利用基于XML的WebService技術(shù),集成企業(yè)的現(xiàn)有系統(tǒng)。通過利用Web服務(wù),獲取電力企業(yè)的財務(wù)系統(tǒng)和生產(chǎn)系統(tǒng)中的已有數(shù)據(jù)進行分析,完成情況分析、生產(chǎn)分析、經(jīng)營分析和綜合效益評價等項功能,從而為發(fā)電公司的生產(chǎn)經(jīng)營決策提供智力支持。通過提供Web服務(wù),支持用戶其他系統(tǒng)使用電力經(jīng)濟活動分析系統(tǒng)的分析結(jié)果和數(shù)據(jù),例如,為企業(yè)網(wǎng)站提供發(fā)電量、營業(yè)額等統(tǒng)計信息。Web服務(wù)在電力經(jīng)濟活動分析軟件中起到關(guān)鍵性的作用,生產(chǎn)系統(tǒng)和財務(wù)系統(tǒng)所提供的Web服務(wù),涉及生產(chǎn)、財務(wù)系統(tǒng)里的重要數(shù)據(jù),關(guān)系到企業(yè)的安全生產(chǎn)和運營。所以如何在電力經(jīng)濟活動分析軟件中構(gòu)建安全的Web服務(wù),使實施該項目需要重點考慮的問題。下面將從Web服務(wù)和其安全規(guī)范出發(fā),來介紹在電力經(jīng)濟活動分析系統(tǒng)項目實施中,實現(xiàn)安全的Web服務(wù)。

1.Web服務(wù)和其安全性規(guī)范

(1)什么是Web服務(wù)

Web服務(wù)是一種完全建立在現(xiàn)有互聯(lián)網(wǎng)標(biāo)準(zhǔn)之上、松散耦合的、跨語言和平臺的應(yīng)用程序之間通信的標(biāo)準(zhǔn)方法。XMLWebService體系結(jié)構(gòu)的主要優(yōu)點之一是:允許在不同平臺上、以不同語言編寫的各種程序以基于標(biāo)準(zhǔn)的方式相互通信。雖然Web服務(wù)一經(jīng)出現(xiàn),便為各廠商接受和支持,但并沒有一個關(guān)于Web服務(wù)的統(tǒng)一的定義。

廣泛接受的一個XMLWebService定義是:通過SOAP在Web上提供的軟件服務(wù),使用WSDL文件進行說明,并通過UDDI進行注冊。要實現(xiàn)一個完整的Web服務(wù)體系需要一系列的協(xié)議規(guī)范來支撐,如圖1所示:其中,第1、2層是已經(jīng)定義好的并且被廣泛使用的傳輸層和網(wǎng)絡(luò)層的標(biāo)準(zhǔn):IP、IITTP、SMTP等。

而第3、4、5層是目前開發(fā)的Web服務(wù)的相關(guān)標(biāo)準(zhǔn)協(xié)議。SOAP(SimpleObjectAc-cessProtocol)是一個協(xié)議規(guī)范,定義了傳遞XML-encoded的數(shù)據(jù)時的統(tǒng)一方式,它還定義了使用HTTP作為底層通信協(xié)議時執(zhí)行遠程調(diào)用(RPC)的方法。UDDI為客戶提供了動態(tài)查找其它Web服務(wù)的機制。WSDL為服務(wù)提供了描述構(gòu)建在不同協(xié)議或編碼方式之上的Web服務(wù)請求基本格式的方法。

(2)Web服務(wù)的調(diào)用過程

利用Web服務(wù)可以建立面向服務(wù)的集成系統(tǒng)。即不用改變現(xiàn)有的各種應(yīng)用,也不關(guān)心它們技術(shù)的不同(比如是Java,還是.NET),利用Web服務(wù)的消息驅(qū)動機制,讓它們協(xié)同工作和交互。Web服務(wù)體系最基礎(chǔ)的支柱是XML消息傳遞。XM消息傳遞的標(biāo)準(zhǔn)是SOAP,服務(wù)的請求者通過在傳輸層協(xié)議之上綁定SOAP消息來發(fā)送Web服務(wù)的請求。假設(shè)SOAP綁定在http之上,那么它就會利用http的請求/響應(yīng)消息模型,將SOAP請求放在http請求里面,服務(wù)的提供者將SOAP響應(yīng)的結(jié)果放在http響應(yīng)里面返回給Web服務(wù)的請求著。

(3)Web-Security規(guī)范

Web的基礎(chǔ)是簡單對象訪問協(xié)議(SOAP),它是在分布式環(huán)境中交換信息的簡單的XML文本協(xié)議,本身不涉及安全范疇。隨著各種基于Web服務(wù)應(yīng)用的發(fā)展,如電子商務(wù)、網(wǎng)上銀行等等,引出了人們對Web服務(wù)安全性的關(guān)注。WS-Security規(guī)范是構(gòu)建安全的Web服務(wù)應(yīng)用的基礎(chǔ)。該規(guī)范主要提供了三種機制:安全性令牌傳輸、消息完整性和消息機密性。通過提供安全性令牌來實現(xiàn)Web服務(wù)的授權(quán)訪問,安全性令牌包括普通的用戶名/密碼令牌以及X.509等證書令牌。后兩者是通過引入XML數(shù)字簽名和XML加密協(xié)議實現(xiàn)的。這些機制可以單獨使用,也可以組合使用,以實現(xiàn)不同強度的安全性。

2.Web服務(wù)關(guān)鍵安全手段

(1)加密技術(shù)

任何Web服務(wù)考慮其安全性,首先需要的一項重要安全技術(shù),就是在敏感數(shù)據(jù)通過開放網(wǎng)絡(luò)傳輸時提供保護。加密技術(shù)可以加密消息,從而保護敏感數(shù)據(jù)免遭暴露。加密技術(shù)還能保障消息的完整性。加密技術(shù)分為兩種:

①秘密密鑰加密。又稱為“對稱密鑰加密”,通信雙方使用同一個加密密鑰來加密和解密消息。

②公鑰加密。使用兩種不同但是在數(shù)學(xué)上相關(guān)的密鑰。使用公鑰加密技術(shù)時,用公鑰來加密數(shù)據(jù),私鑰來解密數(shù)據(jù),也成為“不對稱加密”。公鑰密碼技術(shù)也可以用來創(chuàng)建以用戶的私鑰為基礎(chǔ)的不可偽造的數(shù)字簽名。正確標(biāo)示公鑰是公鑰證書的推動因素。

(2)驗證模型

Web服務(wù)安全性首先在于對用戶合法性的驗證,也是Web服務(wù)授權(quán)和訪問控制的基礎(chǔ)。Web安全模型并沒有指明任何驗證協(xié)議。用戶可采用任何認(rèn)為合適的方法來驗證用戶。就目前的技術(shù)而言,驗證主要可分為三類:

①直接驗證客戶端在使用Web服務(wù)時,直接提交憑據(jù),例如用戶名和密碼,用作驗證。

②X.509證書驗證用戶身份時,另一個選擇足發(fā)送X.509證書。X.509證書確切地告訴web服務(wù)提供者用戶的身份。您可以使用PKI將此證書映射到應(yīng)用程序中的現(xiàn)有用戶。

③Kerberos驗證Kerberos驗證包含客戶端向服務(wù)證明身份以及服務(wù)向客戶端證明身份的機制。要使用Kerberos,用戶需要提供一組憑據(jù)(例如用戶名/密碼或X.509證書)。如果所有內(nèi)容檢驗合格,安全系統(tǒng)將授予用戶一個TGT(TicketGrantingTicket)。TGT是一個隱藏的數(shù)據(jù),用戶無法讀取,但必須提供它才能訪問其他資源。

(3)保護連接安全

保護XMLWebService安全的最簡單的一種方法就是確保XMLWebService客戶端與服務(wù)器之間的連接安全。根據(jù)網(wǎng)絡(luò)的范圍和交互操作的活動配置文件,可以通過多種技術(shù)來達到這一目的。最流行也最廣泛使用的三種技術(shù)為:基于防火墻的規(guī)則、安全套接字層(SSL)和虛擬專用網(wǎng)絡(luò)(VPN)。