在最近一些年以來，因?yàn)闆]有對信息化建設(shè)進(jìn)行統(tǒng)一的規(guī)劃和管理，從而導(dǎo)致信息孤島成為企業(yè)信息化建設(shè)的瓶頸。為了實(shí)現(xiàn)信息孤島問題的有效解決，應(yīng)用集成的研究隨之出現(xiàn)。然而，傳統(tǒng)的應(yīng)用集成解決方案具有非常大的實(shí)施難度，并且僅僅能發(fā)揮非常有限的作用。后來，出現(xiàn)了面向服務(wù)的架構(gòu)（SOA，Service Oriented Architecture），這種嶄新的體系結(jié)構(gòu)能夠使異構(gòu)系統(tǒng)的應(yīng)用集成得到很好的實(shí)現(xiàn)。

面向服務(wù)的架構(gòu)是最近的幾年來國際基礎(chǔ)軟件產(chǎn)品和大型信息系統(tǒng)研發(fā)的一種非常重要的支撐技術(shù)，也是眾多企業(yè)進(jìn)行信息化建設(shè)、實(shí)現(xiàn)信息資源的有效開發(fā)利用的重要技術(shù)。然而，面向服務(wù)的架構(gòu)下的信息安全問題導(dǎo)致面向服務(wù)的架構(gòu)的實(shí)施進(jìn)程非常緩慢。由于面向服務(wù)的架構(gòu)環(huán)境的特殊性，其信息安全應(yīng)用研究變得非常重要。在面向服務(wù)的架構(gòu)的環(huán)境下，傳統(tǒng)的安全機(jī)制已經(jīng)不能滿足面向服務(wù)的架構(gòu)環(huán)境下的應(yīng)用系統(tǒng)的安全需求，這給面向服務(wù)的架構(gòu)下的信息安全應(yīng)用研究帶來了新的挑戰(zhàn)。所以，怎樣在不使面向服務(wù)的架構(gòu)的松耦合、高伸縮性優(yōu)勢受到影響的同時，研究出在面向服務(wù)的架構(gòu)下的信息安全實(shí)現(xiàn)模型，從而滿足面向服務(wù)的架構(gòu)下的應(yīng)用系統(tǒng)的安全需求，是當(dāng)前亟待解決的問題。

面向服務(wù)架構(gòu)下的信息安全問題的研究

在最近的幾年以來，面向服務(wù)的架構(gòu)得到了日益廣泛的使用，雖然現(xiàn)在仍然沒有大規(guī)模的采用面向服務(wù)的架構(gòu)，但是，受到國外中間件廠商的推動，面向服務(wù)的架構(gòu)正在受到越來越多的關(guān)注。這種嶄新的體系結(jié)構(gòu)的出現(xiàn)必然伴隨著許多各種形式的技術(shù)標(biāo)準(zhǔn)和規(guī)范的出現(xiàn)。在面向服務(wù)的架構(gòu)出現(xiàn)的幾年內(nèi)，在廠商、國內(nèi)外的專家學(xué)者和標(biāo)準(zhǔn)化組織的共同努力下，一大批面向服務(wù)的架構(gòu)標(biāo)準(zhǔn)和規(guī)范已經(jīng)制定出來，面向服務(wù)的架構(gòu)的發(fā)展得到了有力的推動。在面向服務(wù)的架構(gòu)標(biāo)準(zhǔn)和規(guī)范的不斷完善的進(jìn)程中，許多企業(yè)也相繼推出其自身的面向服務(wù)的架構(gòu)的平臺和技術(shù)，在面向服務(wù)的架構(gòu)這個未來的市場上爭取先機(jī)。

Gartner首次提出面向服務(wù)的架構(gòu)這一嶄新的體系結(jié)構(gòu)之后，IBM，BEA，SAP，Oracle等大量的主流廠商推動了它的發(fā)展和前進(jìn)。然而，在這些主流廠商中，有兩種不同的聲音存在：BEA，IBM和Oracle生產(chǎn)以中間件為導(dǎo)向的產(chǎn)品，例如，AquaLogic，WebLogic和Fusion等等；而SAP生產(chǎn)應(yīng)用層架構(gòu)的產(chǎn)品，通過應(yīng)用層架構(gòu)來實(shí)現(xiàn)面向服務(wù)的體系架構(gòu)，例如，SAP NetWeaver。

中國的中創(chuàng)軟件、東方通、中和威等中間件廠商，也推出了基于面向服務(wù)的架構(gòu)總線的中間件產(chǎn)品，同時具有面向服務(wù)的架構(gòu)的部署和運(yùn)用能力。東方通公司表示他們已經(jīng)具備大量的面向服務(wù)的架構(gòu)應(yīng)用的成功案例。而且，東方通能夠?qū)崿F(xiàn)傳統(tǒng)技術(shù)和面向服務(wù)的架構(gòu)這兩種解決方案。

然而，2008年的一篇研究報告指出，當(dāng)前面向服務(wù)的架構(gòu)下的信息安全漏洞是不可避免的。在面向服務(wù)的架構(gòu)解決方案中，某些設(shè)置可能會導(dǎo)致非常重要的安全漏洞。而且，一些對于Web攻擊一直很安全的應(yīng)用程序也是有可能通過面向服務(wù)的架構(gòu)受到攻擊的。其實(shí)，面向服務(wù)的架構(gòu)本身是安全的，但是，這些框架必須要進(jìn)行適當(dāng)?shù)脑O(shè)置和使用，從而防止各種嚴(yán)重的安全問題的出現(xiàn)。

隨著面向服務(wù)的架構(gòu)相關(guān)的標(biāo)準(zhǔn)和規(guī)范的不斷完善以及增強(qiáng)面向服務(wù)的架構(gòu)安全性的相關(guān)技術(shù)的不斷成熟，許多企業(yè)都在努力研發(fā)和應(yīng)用面向服務(wù)的架構(gòu)。可以預(yù)測，在不遠(yuǎn)的將來，不管是在中國還是外國，面向服務(wù)的架構(gòu)的應(yīng)用范圍將會更加廣泛，面向服務(wù)的架構(gòu)下的安全問題也會獲得順利的解決。

面向服務(wù)的架構(gòu)下的信息安全相關(guān)規(guī)范

（一）SOAP（Simple Object Access Protocol，簡單對象訪問協(xié)議）：通過SOAP，來進(jìn)行底層協(xié)議的實(shí)現(xiàn)，實(shí)現(xiàn)了服務(wù)請求者和服務(wù)提供者之間的消息傳輸規(guī)范的定義。通過XML來進(jìn)行SOAP消息的描述，通過HTTP來進(jìn)行SOAP消息的承載。

（二）WSDL（Web Services Description Language，Web服務(wù)描述語言）：WSDL是一種標(biāo)準(zhǔn)格式，在這種標(biāo)準(zhǔn)格式中，采用XML格式描述的服務(wù)由服務(wù)提供者提供，可以實(shí)現(xiàn)消息交換的通信端點(diǎn)的集合是對于網(wǎng)絡(luò)服務(wù)的描述，通過網(wǎng)絡(luò)服務(wù)的描述，能夠清晰的體現(xiàn)出一個Web服務(wù)所能夠完成的功能，以及這個Web服務(wù)所處于的位置，還有調(diào)用這個Web服務(wù)的方法等等。

（三）UDDI（Universal Discovery Description Integration，通用發(fā)現(xiàn)描述和集成）：UDDI是Web服務(wù)的信息注冊規(guī)范，它能夠由需要服務(wù)的用戶進(jìn)行發(fā)現(xiàn)和使用。借助于UDDI，信息的“一次注冊，多次訪問”就可以非常輕松的由Web服務(wù)實(shí)現(xiàn)。

結(jié)束語

本文只是粗淺的介紹了面向服務(wù)架構(gòu)下的信息安全應(yīng)用研究。由于時間和研究條件的限制，本文的研究仍然有待進(jìn)一步的深入。在今后的研究中，將在深入研究各項(xiàng)面向服務(wù)的架構(gòu)下的安全規(guī)范的基礎(chǔ)上，針對當(dāng)前面向服務(wù)的架構(gòu)下的應(yīng)用系統(tǒng)中存在的消息安全問題、單點(diǎn)登錄問題以及訪問控制問題，基于“安全即服務(wù)”的思想，設(shè)計和實(shí)現(xiàn)面向服務(wù)的架構(gòu)下的信息安全實(shí)現(xiàn)模型。