廠網分開、競價上網后,發電公司的生產經營模式有了很大的變化,生產由原來的指令性計劃變為市場抉擇。在激烈的競爭中,發電公司需努力降低成本,分析生產經營活動中的每一個環節的潛力;在對量、本、利分析和成本預測的基礎上制定競價曲線。這一切工作都是在對發電企業經濟活動分析的基礎上開展的。電廠、發電公司等電力企業,經過多年的信息化建設已經建成了諸如生產管理系統、財務系統、辦公系統等多個企業應用系統。這些應用系統各自獨立,各系統之間,運行在不同的部門,有著不同的系統平臺,由不同的編程語言開發,數據結構也不盡相同,相互之間有防火墻阻隔。這些事實,使得在Web服務出現以前,想要開發集成企業的現有系統的應用幾乎不可能。

電力經濟活動分析系統是利用基于XML的WebService技術,集成企業的現有系統。通過利用Web服務,獲取電力企業的財務系統和生產系統中的已有數據進行分析,完成情況分析、生產分析、經營分析和綜合效益評價等項功能,從而為發電公司的生產經營決策提供智力支持。通過提供Web服務,支持用戶其他系統使用電力經濟活動分析系統的分析結果和數據,例如,為企業網站提供發電量、營業額等統計信息。Web服務在電力經濟活動分析軟件中起到關鍵性的作用,生產系統和財務系統所提供的Web服務,涉及生產、財務系統里的重要數據,關系到企業的安全生產和運營。所以如何在電力經濟活動分析軟件中構建安全的Web服務,使實施該項目需要重點考慮的問題。下面將從Web服務和其安全規范出發,來介紹在電力經濟活動分析系統項目實施中,實現安全的Web服務。

1.Web服務和其安全性規范

(1)什么是Web服務

Web服務是一種完全建立在現有互聯網標準之上、松散耦合的、跨語言和平臺的應用程序之間通信的標準方法。XMLWebService體系結構的主要優點之一是:允許在不同平臺上、以不同語言編寫的各種程序以基于標準的方式相互通信。雖然Web服務一經出現,便為各廠商接受和支持,但并沒有一個關于Web服務的統一的定義。

廣泛接受的一個XMLWebService定義是:通過SOAP在Web上提供的軟件服務,使用WSDL文件進行說明,并通過UDDI進行注冊。要實現一個完整的Web服務體系需要一系列的協議規范來支撐,如圖1所示:其中,第1、2層是已經定義好的并且被廣泛使用的傳輸層和網絡層的標準:IP、IITTP、SMTP等。

而第3、4、5層是目前開發的Web服務的相關標準協議。SOAP(SimpleObjectAc-cessProtocol)是一個協議規范,定義了傳遞XML-encoded的數據時的統一方式,它還定義了使用HTTP作為底層通信協議時執行遠程調用(RPC)的方法。UDDI為客戶提供了動態查找其它Web服務的機制。WSDL為服務提供了描述構建在不同協議或編碼方式之上的Web服務請求基本格式的方法。

(2)Web服務的調用過程

利用Web服務可以建立面向服務的集成系統。即不用改變現有的各種應用,也不關心它們技術的不同(比如是Java,還是.NET),利用Web服務的消息驅動機制,讓它們協同工作和交互。Web服務體系最基礎的支柱是XML消息傳遞。XM消息傳遞的標準是SOAP,服務的請求者通過在傳輸層協議之上綁定SOAP消息來發送Web服務的請求。假設SOAP綁定在http之上,那么它就會利用http的請求/響應消息模型,將SOAP請求放在http請求里面,服務的提供者將SOAP響應的結果放在http響應里面返回給Web服務的請求著。

(3)Web-Security規范

Web的基礎是簡單對象訪問協議(SOAP),它是在分布式環境中交換信息的簡單的XML文本協議,本身不涉及安全范疇。隨著各種基于Web服務應用的發展,如電子商務、網上銀行等等,引出了人們對Web服務安全性的關注。WS-Security規范是構建安全的Web服務應用的基礎。該規范主要提供了三種機制:安全性令牌傳輸、消息完整性和消息機密性。通過提供安全性令牌來實現Web服務的授權訪問,安全性令牌包括普通的用戶名/密碼令牌以及X.509等證書令牌。后兩者是通過引入XML數字簽名和XML加密協議實現的。這些機制可以單獨使用,也可以組合使用,以實現不同強度的安全性。

2.Web服務關鍵安全手段

(1)加密技術

任何Web服務考慮其安全性,首先需要的一項重要安全技術,就是在敏感數據通過開放網絡傳輸時提供保護。加密技術可以加密消息,從而保護敏感數據免遭暴露。加密技術還能保障消息的完整性。加密技術分為兩種:

①秘密密鑰加密。又稱為“對稱密鑰加密”,通信雙方使用同一個加密密鑰來加密和解密消息。

②公鑰加密。使用兩種不同但是在數學上相關的密鑰。使用公鑰加密技術時,用公鑰來加密數據,私鑰來解密數據,也成為“不對稱加密”。公鑰密碼技術也可以用來創建以用戶的私鑰為基礎的不可偽造的數字簽名。正確標示公鑰是公鑰證書的推動因素。

(2)驗證模型

Web服務安全性首先在于對用戶合法性的驗證,也是Web服務授權和訪問控制的基礎。Web安全模型并沒有指明任何驗證協議。用戶可采用任何認為合適的方法來驗證用戶。就目前的技術而言,驗證主要可分為三類:

①直接驗證客戶端在使用Web服務時,直接提交憑據,例如用戶名和密碼,用作驗證。

②X.509證書驗證用戶身份時,另一個選擇足發送X.509證書。X.509證書確切地告訴web服務提供者用戶的身份。您可以使用PKI將此證書映射到應用程序中的現有用戶。

③Kerberos驗證Kerberos驗證包含客戶端向服務證明身份以及服務向客戶端證明身份的機制。要使用Kerberos,用戶需要提供一組憑據(例如用戶名/密碼或X.509證書)。如果所有內容檢驗合格,安全系統將授予用戶一個TGT(TicketGrantingTicket)。TGT是一個隱藏的數據,用戶無法讀取,但必須提供它才能訪問其他資源。

(3)保護連接安全

保護XMLWebService安全的最簡單的一種方法就是確保XMLWebService客戶端與服務器之間的連接安全。根據網絡的范圍和交互操作的活動配置文件,可以通過多種技術來達到這一目的。最流行也最廣泛使用的三種技術為:基于防火墻的規則、安全套接字層(SSL)和虛擬專用網絡(VPN)。