电力经济软件中建构安全web服务

电力经济软件中建构安全web服务厂网分开、竞价上网后,发电公司的生产经营形式有了很大的变化,生产由原来的指令性计划变为市场抉择。在剧烈的竞争中,发电公司需努力降低成本,分析生产经营活动中的每一个环节的潜力;在对量、本、利分析和成本预测的基础上制定竞价曲线。这一切工作都是在对发电企业经济活动分析的基础上开展的。电厂、发电公司等电力企业,经太多年的信息化建设已经建成了诸如生产管理系统、财务系统、办公系统等多个企业应用系统。这些应用系统各自独立,各系统之间,运行在不同的部门,有着不同的系统平台,由不同的编程语言开发,数据构造也不尽一样,互相之间有防火墙阻隔。这些事实,使得在Web服务出现以前,想要开发集成企业的现有系统的应用几乎不可能。电力经济活动分析系统是利用基于XML的WebService技术,集成企业的现有系统。通过利用Web服务,获取电力企业的财务系统和生产系统中的已有数据进行分析,完成情况分析、生产分析、经营分析和综合效益评价等项功能,进而为发电公司的生产经营决策提供智力支持。通过提供Web服务,支持用户其他系统使用电力经济活动分析系统的分析结果和数据,例如,为企业网站提供发电量、营业额等统计信息。Web服务在电力经济活动分析软件中起到关键性的作用,生产系统和财务系统所提供的Web服务,涉及生产、财务系统里的重要数据,关系到企业的安全生产和运营。所以怎样在电力经济活动分析软件中构建安全的Web服务,使施行该项目需要重点考虑的问题。下面将从Web服务和其安全规范出发,来介绍在电力经济活动分析系统项目施行中,实现安全的Web服务。1.Web服务和其安全性规范(1)什么是Web服务Web服务是一种完全建立在现有互联网标准之上、松懈耦合的、跨语言和平台的应用程序之间通信的标准方法。XMLWebService体系构造的主要优点之一是:允许在不同平台上、以不同语言编写的各种程序以基于标准的方式互相通信。固然Web服务一经出现,便为各厂商接受和支持,但并没有一个关于Web服务的统一的定义。广泛接受的一个XMLWebService定义是:通过SOAP在Web上提供的软件服务,使用WSDL文件进行讲明,并通过UDDI进行注册。要实现一个完好的Web服务体系需要一系列的协议规范来支撑,如图1所示:其中,第1、2层是已经定义好的并且被广泛使用的传输层和网络层的标准:IP、IITTP、SMTP等。而第3、4、5层是目前开发的Web服务的相关标准协议。SOAP(SimpleObjectAc-cessProtocol)是一个协议规范,定义了传递XML-encoded的数据时的统一方式,它还定义了使用HTTP作为底层通信协议时执行远程调用(RPC)的方法。UDDI为客户提供了动态查找其它Web服务的机制。WSDL为服务提供了描绘构建在不同协议或编码方式之上的Web服务请求基本格式的方法。(2)Web服务的调用经过利用Web服务能够建立面向服务的集成系统。即不用改变现有的各种应用,也不关心它们技术的不同(比方是Java,还是.NET),利用Web服务的消息驱动机制,让它们协同工作和交互。Web服务体系最基础的支柱是XML消息传递。XM消息传递的标准是SOAP,服务的请求者通过在传输层协议之上绑定SOAP消息来发送Web服务的请求。假设SOAP绑定在之上,那么它就会利用的请求/响应消息模型,将SOAP请求放在请求里面,服务的提供者将SOAP响应的结果放在响应里面返回给Web服务的请求着。(3)Web-Security规范Web的基础是简单对象访问协议(SOAP),它是在分布式环境中交换信息的简单的XML文本协议,本身不涉及安全范畴。随着各种基于Web服务应用的发展,如电子商务、网上银行等等,引出了人们对Web服务安全性的关注。WS-Security规范是构建安全的Web服务应用的基础。该规范主要提供了三种机制:安全性令牌传输、消息完好性和消息机密性。通过提供安全性令牌来实现Web服务的受权访问,安全性令牌包括普通的用户名/密码令牌以及X.509等证书令牌。后两者是通过引入XML数字签名和XML加密协议实现的。这些机制能够单独使用,可以以组合使用,以实现不同强度的安全性。2.Web服务关键安全手段(1)加密技术任何Web服务考虑其安全性,首先需要的一项重要安全技术,就是在敏感数据通过开放网络传输时提供保护。加密技术能够加密消息,进而保护敏感数据免遭暴露。加密技术还能保障消息的完好性。加密技术分为两种:①机密密钥加密。又称为“对称密钥加密〞,通信双方使用同一个加密密钥来加密和解密消息。②公钥加密。使用两种不同但是在数学上相关的密钥。使用公钥加密技术时,用公钥来加密数据,私钥来解密数据,也成为“不对称加密〞。公钥密码技术可以以用来创立以用户的私钥为基础的不可伪造的数字签名。正确标示公钥是公钥证书的推动因素。(2)验证模型Web服务安全性首先在于对用户合法性的验证,也是Web服务受权和访问控制的基础。Web安全模型并没有指明任何验证协议。用户可采用任何以为适宜的方法来验证用户。就目前的技术而言,验证主要可分为三类:①直接验证客户端在使用Web服务时,直接提交凭据,例如用户名和密码,用作验证。②X.509证书验证用户身份时,另一个选择足发送X.509证书。X.509证书确切地告诉web服务提供者用户的身份。您能够使用PKI将此证书映射到应用程序中的现有用户。③Kerberos验证Kerberos验证包含客户端向服务证实身份以及服务向客户端证实身份的机制。要使用Kerberos,用户需要提供一组凭据(例如用户名/密码或X.509证书)。假如所有内容检验合格,安全系统将授予用户一个TGT(TicketGrantingTicket)。TGT是一个隐藏的数据,用户无法读取,但必须提供它才能访问其他资源。(3)保护连接安全保护XMLWebService安全的最简单的一种方法就是确保XMLWebService客户端与服务器之间的连接安全。根据网络的范围和交互操作的活动配置文件,能够通太多种技术来到达这一目的。最流行也最广泛使用的三种技术为:基于防火墙的规则、安全套接字层(SSL)和虚拟专用网络(VPN)。3.电力经济活动分析系统Web服务安全功能的分析(1)系统介绍在给某发电企业施行的电力经济活动分析系统中,该系统使用已有生产系统、财务系统的Web服务获取基础数据,为用户提供生产指标统计分析、财务指标统计分析、成本分析、利润分析、历史比拟分析等功能。用户即可通过阅读器、可以通过Web服务开发其它的用户应用来访问这些功能。该系统功能构造如图2所示:对于使用Internet阅读器访问的用户,电力经济活动分析软件通过WebForm网页作为用户接口。用户其他应用程序获取电力经济活动分析系统的各种分析数据,电力经济活动分析系统获取生产系统、财务系统的基础数据也都是通过访问生产系统、财务系统的Web服务实现的。(2)消息流分析电力经济活动分析、生产系统、财务系统所有Web服务都是基于XML,提供WSDL(WebServiceDescriptionLanguage)定义的接口。用户应用使用这些Web服务是通过建立在HTTP协议之上的SOAP(SimpleObjectAccessProtocol)消息来访问。图3为电力经济活动分析软件中消息流图。①用户应用通过向电力经济活动分析软件发送一个SOAP请求。这个SOAP请求的header元素里包含用户的用户名和密码。②电力经济活动分析软件成为了Web服务的请求方,发送SOAP消息给生产系统或财务系统。SOAP消息的header元素包含有自定义的二进制令牌(一个X.509证书)。使用了X.509证书的公钥来加密和签名SOAP消息。③生产系统(财务系统)给电力经济活动分析软件返回消息。SOAP的消息体使用了X.509证书的公钥加密。④电力经济活动分析软件返回用户的消息。在用户和电力经济活动分析软件之间的SOAP消息交换,考虑到用户都为企业内员工,通过局域网访问应用,并结合响应速度效率的因素,并没有使用签名和加密技术。我们对传输层使用SSL方式,来保证消息的一致性和完好性。利用SOAP消息的header元素包含用户名和密码来对用户验证。由于生产系统、财务系统的安全对企业生产经营至关重要,它们采用更严格的安全策略来对Web服务验证、保护。这两个系统的Web服务都采用了X.509证书验证,数字签名和加密技术保证Web服务的安全性。我们通过在生产系统和财务系统Web服务器的配置文件中,