廠網(wǎng)分開、競(jìng)價(jià)上網(wǎng)后,發(fā)電公司的生產(chǎn)經(jīng)營模式有了很大的變化,生產(chǎn)由原來的指令性計(jì)劃變?yōu)槭袌?chǎng)抉擇。在激烈的競(jìng)爭(zhēng)中,發(fā)電公司需努力降低成本,分析生產(chǎn)經(jīng)營活動(dòng)中的每一個(gè)環(huán)節(jié)的潛力;在對(duì)量、本、利分析和成本預(yù)測(cè)的基礎(chǔ)上制定競(jìng)價(jià)曲線。這一切工作都是在對(duì)發(fā)電企業(yè)經(jīng)濟(jì)活動(dòng)分析的基礎(chǔ)上開展的。電廠、發(fā)電公司等電力企業(yè),經(jīng)過多年的信息化建設(shè)已經(jīng)建成了諸如生產(chǎn)管理系統(tǒng)、財(cái)務(wù)系統(tǒng)、辦公系統(tǒng)等多個(gè)企業(yè)應(yīng)用系統(tǒng)。這些應(yīng)用系統(tǒng)各自獨(dú)立,各系統(tǒng)之間,運(yùn)行在不同的部門,有著不同的系統(tǒng)平臺(tái),由不同的編程語言開發(fā),數(shù)據(jù)結(jié)構(gòu)也不盡相同,相互之間有防火墻阻隔。這些事實(shí),使得在Web服務(wù)出現(xiàn)以前,想要開發(fā)集成企業(yè)的現(xiàn)有系統(tǒng)的應(yīng)用幾乎不可能。

電力經(jīng)濟(jì)活動(dòng)分析系統(tǒng)是利用基于XML的WebService技術(shù),集成企業(yè)的現(xiàn)有系統(tǒng)。通過利用Web服務(wù),獲取電力企業(yè)的財(cái)務(wù)系統(tǒng)和生產(chǎn)系統(tǒng)中的已有數(shù)據(jù)進(jìn)行分析,完成情況分析、生產(chǎn)分析、經(jīng)營分析和綜合效益評(píng)價(jià)等項(xiàng)功能,從而為發(fā)電公司的生產(chǎn)經(jīng)營決策提供智力支持。通過提供Web服務(wù),支持用戶其他系統(tǒng)使用電力經(jīng)濟(jì)活動(dòng)分析系統(tǒng)的分析結(jié)果和數(shù)據(jù),例如,為企業(yè)網(wǎng)站提供發(fā)電量、營業(yè)額等統(tǒng)計(jì)信息。Web服務(wù)在電力經(jīng)濟(jì)活動(dòng)分析軟件中起到關(guān)鍵性的作用,生產(chǎn)系統(tǒng)和財(cái)務(wù)系統(tǒng)所提供的Web服務(wù),涉及生產(chǎn)、財(cái)務(wù)系統(tǒng)里的重要數(shù)據(jù),關(guān)系到企業(yè)的安全生產(chǎn)和運(yùn)營。所以如何在電力經(jīng)濟(jì)活動(dòng)分析軟件中構(gòu)建安全的Web服務(wù),使實(shí)施該項(xiàng)目需要重點(diǎn)考慮的問題。下面將從Web服務(wù)和其安全規(guī)范出發(fā),來介紹在電力經(jīng)濟(jì)活動(dòng)分析系統(tǒng)項(xiàng)目實(shí)施中,實(shí)現(xiàn)安全的Web服務(wù)。

1.Web服務(wù)和其安全性規(guī)范

(1)什么是Web服務(wù)

Web服務(wù)是一種完全建立在現(xiàn)有互聯(lián)網(wǎng)標(biāo)準(zhǔn)之上、松散耦合的、跨語言和平臺(tái)的應(yīng)用程序之間通信的標(biāo)準(zhǔn)方法。XMLWebService體系結(jié)構(gòu)的主要優(yōu)點(diǎn)之一是:允許在不同平臺(tái)上、以不同語言編寫的各種程序以基于標(biāo)準(zhǔn)的方式相互通信。雖然Web服務(wù)一經(jīng)出現(xiàn),便為各廠商接受和支持,但并沒有一個(gè)關(guān)于Web服務(wù)的統(tǒng)一的定義。

廣泛接受的一個(gè)XMLWebService定義是:通過SOAP在Web上提供的軟件服務(wù),使用WSDL文件進(jìn)行說明,并通過UDDI進(jìn)行注冊(cè)。要實(shí)現(xiàn)一個(gè)完整的Web服務(wù)體系需要一系列的協(xié)議規(guī)范來支撐,如圖1所示:其中,第1、2層是已經(jīng)定義好的并且被廣泛使用的傳輸層和網(wǎng)絡(luò)層的標(biāo)準(zhǔn):IP、IITTP、SMTP等。

而第3、4、5層是目前開發(fā)的Web服務(wù)的相關(guān)標(biāo)準(zhǔn)協(xié)議。SOAP(SimpleObjectAc-cessProtocol)是一個(gè)協(xié)議規(guī)范,定義了傳遞XML-encoded的數(shù)據(jù)時(shí)的統(tǒng)一方式,它還定義了使用HTTP作為底層通信協(xié)議時(shí)執(zhí)行遠(yuǎn)程調(diào)用(RPC)的方法。UDDI為客戶提供了動(dòng)態(tài)查找其它Web服務(wù)的機(jī)制。WSDL為服務(wù)提供了描述構(gòu)建在不同協(xié)議或編碼方式之上的Web服務(wù)請(qǐng)求基本格式的方法。

(2)Web服務(wù)的調(diào)用過程

利用Web服務(wù)可以建立面向服務(wù)的集成系統(tǒng)。即不用改變現(xiàn)有的各種應(yīng)用,也不關(guān)心它們技術(shù)的不同(比如是Java,還是.NET),利用Web服務(wù)的消息驅(qū)動(dòng)機(jī)制,讓它們協(xié)同工作和交互。Web服務(wù)體系最基礎(chǔ)的支柱是XML消息傳遞。XM消息傳遞的標(biāo)準(zhǔn)是SOAP,服務(wù)的請(qǐng)求者通過在傳輸層協(xié)議之上綁定SOAP消息來發(fā)送Web服務(wù)的請(qǐng)求。假設(shè)SOAP綁定在http之上,那么它就會(huì)利用http的請(qǐng)求/響應(yīng)消息模型,將SOAP請(qǐng)求放在http請(qǐng)求里面,服務(wù)的提供者將SOAP響應(yīng)的結(jié)果放在http響應(yīng)里面返回給Web服務(wù)的請(qǐng)求著。

(3)Web-Security規(guī)范

Web的基礎(chǔ)是簡(jiǎn)單對(duì)象訪問協(xié)議(SOAP),它是在分布式環(huán)境中交換信息的簡(jiǎn)單的XML文本協(xié)議,本身不涉及安全范疇。隨著各種基于Web服務(wù)應(yīng)用的發(fā)展,如電子商務(wù)、網(wǎng)上銀行等等,引出了人們對(duì)Web服務(wù)安全性的關(guān)注。WS-Security規(guī)范是構(gòu)建安全的Web服務(wù)應(yīng)用的基礎(chǔ)。該規(guī)范主要提供了三種機(jī)制:安全性令牌傳輸、消息完整性和消息機(jī)密性。通過提供安全性令牌來實(shí)現(xiàn)Web服務(wù)的授權(quán)訪問,安全性令牌包括普通的用戶名/密碼令牌以及X.509等證書令牌。后兩者是通過引入XML數(shù)字簽名和XML加密協(xié)議實(shí)現(xiàn)的。這些機(jī)制可以單獨(dú)使用,也可以組合使用,以實(shí)現(xiàn)不同強(qiáng)度的安全性。

2.Web服務(wù)關(guān)鍵安全手段

(1)加密技術(shù)

任何Web服務(wù)考慮其安全性,首先需要的一項(xiàng)重要安全技術(shù),就是在敏感數(shù)據(jù)通過開放網(wǎng)絡(luò)傳輸時(shí)提供保護(hù)。加密技術(shù)可以加密消息,從而保護(hù)敏感數(shù)據(jù)免遭暴露。加密技術(shù)還能保障消息的完整性。加密技術(shù)分為兩種:

①秘密密鑰加密。又稱為“對(duì)稱密鑰加密”,通信雙方使用同一個(gè)加密密鑰來加密和解密消息。

②公鑰加密。使用兩種不同但是在數(shù)學(xué)上相關(guān)的密鑰。使用公鑰加密技術(shù)時(shí),用公鑰來加密數(shù)據(jù),私鑰來解密數(shù)據(jù),也成為“不對(duì)稱加密”。公鑰密碼技術(shù)也可以用來創(chuàng)建以用戶的私鑰為基礎(chǔ)的不可偽造的數(shù)字簽名。正確標(biāo)示公鑰是公鑰證書的推動(dòng)因素。

(2)驗(yàn)證模型

Web服務(wù)安全性首先在于對(duì)用戶合法性的驗(yàn)證,也是Web服務(wù)授權(quán)和訪問控制的基礎(chǔ)。Web安全模型并沒有指明任何驗(yàn)證協(xié)議。用戶可采用任何認(rèn)為合適的方法來驗(yàn)證用戶。就目前的技術(shù)而言,驗(yàn)證主要可分為三類:

①直接驗(yàn)證客戶端在使用Web服務(wù)時(shí),直接提交憑據(jù),例如用戶名和密碼,用作驗(yàn)證。

②X.509證書驗(yàn)證用戶身份時(shí),另一個(gè)選擇足發(fā)送X.509證書。X.509證書確切地告訴web服務(wù)提供者用戶的身份。您可以使用PKI將此證書映射到應(yīng)用程序中的現(xiàn)有用戶。

③Kerberos驗(yàn)證Kerberos驗(yàn)證包含客戶端向服務(wù)證明身份以及服務(wù)向客戶端證明身份的機(jī)制。要使用Kerberos,用戶需要提供一組憑據(jù)(例如用戶名/密碼或X.509證書)。如果所有內(nèi)容檢驗(yàn)合格,安全系統(tǒng)將授予用戶一個(gè)TGT(TicketGrantingTicket)。TGT是一個(gè)隱藏的數(shù)據(jù),用戶無法讀取,但必須提供它才能訪問其他資源。

(3)保護(hù)連接安全

保護(hù)XMLWebService安全的最簡(jiǎn)單的一種方法就是確保XMLWebService客戶端與服務(wù)器之間的連接安全。根據(jù)網(wǎng)絡(luò)的范圍和交互操作的活動(dòng)配置文件,可以通過多種技術(shù)來達(dá)到這一目的。最流行也最廣泛使用的三種技術(shù)為:基于防火墻的規(guī)則、安全套接字層(SSL)和虛擬專用網(wǎng)絡(luò)(VPN)。