向Web開(kāi)放內(nèi)部服務(wù) SOA飾演勇敢者游戲

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

Web服務(wù)通常被視為組織間共享數(shù)據(jù)的途徑：企業(yè)可以有選擇地向客戶、合作伙伴以及供應(yīng)商開(kāi)放內(nèi)部系統(tǒng)，從而將原來(lái)需要人工處理的交易自動(dòng)化。雖然迄今為止多數(shù)企業(yè)依然盡力避免走這條路，而將Web服務(wù)置于防火墻的保護(hù)之下，但是隨著服務(wù)導(dǎo)向架構(gòu)(SOA)的發(fā)展和Web 2.0的出現(xiàn)，這一切都有可能改變。

向Web開(kāi)放內(nèi)部服務(wù)是否過(guò)于冒險(xiǎn)?雖然SOA安全標(biāo)準(zhǔn)不成熟加劇了互操作性的負(fù)面影響，但這并不能成為決策依據(jù)。欲對(duì)有多個(gè)企業(yè)參與的大型Web服務(wù)網(wǎng)絡(luò)進(jìn)行配置，以確保其安全，所有參與者必須就所采用的技術(shù)和安全策略達(dá)成共識(shí)。否則，就會(huì)出現(xiàn)不合理的局面：一方面，你要求自身的雇員使用生物測(cè)定技術(shù)或者身份標(biāo)志來(lái)驗(yàn)明正身，另一方面，合作伙伴的員工只需要通過(guò)弱口令認(rèn)證就可以訪問(wèn)你公司的系統(tǒng)，這樣的安全防護(hù)，毫無(wú)意義。

在采購(gòu)任何SOA安全部件之前，需要先對(duì)SOA安全進(jìn)行深入研究，因?yàn)槭袌?chǎng)始終在變。無(wú)論如何，眼下如火如荼的SOA運(yùn)動(dòng)對(duì)IT部門而言，終究是好事，因?yàn)檫@樣一來(lái)他們手中會(huì)有更多的選擇，需要打交道的廠商也少了。與此同時(shí)，采購(gòu)決策的過(guò)程也變得更為簡(jiǎn)單。

例如, 將Web服務(wù)暴露于互聯(lián)網(wǎng)，需要基于可擴(kuò)展標(biāo)記語(yǔ)言(XML)的防火墻，也稱為SOA安全網(wǎng)關(guān)。然而，隨著SOA技術(shù)的不斷整合，這一產(chǎn)品類型已開(kāi)始銷聲匿跡。

現(xiàn)在，從管理平臺(tái)到核心交換機(jī)在內(nèi)的所有產(chǎn)品都添加了XML防火墻功能。選用何種產(chǎn)品、到底是用硬件還是用軟件，取決于每個(gè)企業(yè)Web服務(wù)的規(guī)模、預(yù)期增長(zhǎng)、以及現(xiàn)有的SOA基礎(chǔ)設(shè)施等因素。此外，虛擬化技術(shù)還進(jìn)一步加大了系統(tǒng)選擇的難度。

加密和認(rèn)證的決策更為艱難。因?yàn)槟遣⒎侵蝗Q于某一個(gè)組織，而是接觸Web服務(wù)的所有組織都必須使用同樣的技術(shù)。然而，現(xiàn)在這一領(lǐng)域存在著好幾個(gè)相互競(jìng)爭(zhēng)的標(biāo)準(zhǔn)，加深了問(wèn)題的復(fù)雜性。

這些標(biāo)準(zhǔn)之間最大的沖突在于身份管理。這個(gè)復(fù)雜過(guò)程的目的是確保登錄用戶已被授權(quán)使用該公司合作伙伴的系統(tǒng)。目前有兩個(gè)互不兼容但功能相近的標(biāo)準(zhǔn)。一個(gè)是安全性斷言標(biāo)記語(yǔ)言 (SAML)，這一標(biāo)準(zhǔn)已經(jīng)得到幾乎所有公司的支持，唯一的例外是微軟公司(Microsoft，下稱微軟);微軟更喜歡較新的WS-Federation標(biāo)準(zhǔn)。后者與其他Web服務(wù)標(biāo)準(zhǔn)的關(guān)系也更為密切。雖然二者都用XML，但是彼此并不兼容，因此那些推行公共Web服務(wù)的企業(yè)要么同時(shí)支持這兩種標(biāo)準(zhǔn)，要么需要確認(rèn)其所有采用安全Web服務(wù)的商業(yè)合作伙伴選擇的是同一個(gè)標(biāo)準(zhǔn)。

看來(lái)，得有未卜先知的本事，才能在兩者間做出合理的決策。

各種相關(guān)信息

所有Web服務(wù)安全技術(shù)均建立在XML加密(XML Encryption)和XML簽名(XML Signature)的基礎(chǔ)之上，W3C標(biāo)準(zhǔn)用于在XML文檔和信息內(nèi)嵌的加密數(shù)據(jù)和數(shù)字簽名。由于XML加密技術(shù)無(wú)需對(duì)全部信息進(jìn)行加密，因此IT部門可自由選擇：可對(duì)信用卡號(hào)碼等個(gè)人數(shù)據(jù)進(jìn)行加密，而敏感度不高的信息和SOA元數(shù)據(jù)無(wú)需加密即可傳送。也可給文檔的不同部分分配不同的密鑰，以使其只能被指定的接收者讀取。

但這也有不利的一面：由于參與者必須首先就加密數(shù)據(jù)的位置、加密元素和如何交換密鑰等問(wèn)題達(dá)成一致，因此散布于XML信息中的加密數(shù)據(jù)會(huì)導(dǎo)致互操作問(wèn)題。為解決上述問(wèn)題，結(jié)構(gòu)信息標(biāo)準(zhǔn)化促進(jìn)組織 (OASIS)建立了WS-Security標(biāo)準(zhǔn)，以在Web服務(wù)中應(yīng)用XML安全(XML Security)和XML加密。

WS-Security標(biāo)準(zhǔn)是WS-*系列標(biāo)準(zhǔn)中最成熟的一個(gè)，幾乎所有Web服務(wù)和SOA廠商都支持這一標(biāo)準(zhǔn)。其主要缺點(diǎn)是：與所有的WS-*系列標(biāo)準(zhǔn)一樣，也采用簡(jiǎn)單對(duì)象訪問(wèn)協(xié)議(SOAP)，因此凡業(yè)務(wù)依賴于REST Web服務(wù)的公司，都不適用此標(biāo)準(zhǔn)。 REST(Representational State Transfer)意為具象狀態(tài)傳輸，采用這種模式，可對(duì)不用SOAP的XML Web服務(wù)進(jìn)行描述。

選擇REST而非SOAP的主要原因在于它的簡(jiǎn)捷，多數(shù)REST用戶仍然使用SSL協(xié)議。這是由于REST采用HTTP協(xié)議，而且往往被用于點(diǎn)對(duì)點(diǎn)連接，故而SSL隧道通常已能滿足其需求。在應(yīng)用了REST以后，企業(yè)如果希望對(duì)消息層進(jìn)行加密，就需要建立其自己的協(xié)議和數(shù)據(jù)格式。

對(duì)于多數(shù)企業(yè)而言，將所有商業(yè)合作伙伴組織起來(lái)，并為REST設(shè)計(jì)定制的、安全的XML格式，實(shí)屬不易，WS-Security標(biāo)準(zhǔn)因此而成為采用SOAP的最強(qiáng)有力依據(jù)。盡管如此，亞馬遜公司(Amazon.com)和谷歌公司(Google)等大型Web服務(wù)提供商紛紛各顯神通，使用安全身份標(biāo)識(shí)(Security Token)，成功地應(yīng)用了REST模式。這樣做雖然有淪為專有技術(shù)的顧慮，但仍然受到了用戶的歡迎：亞馬遜也提供遵從WS-Security的SOAP接口，但發(fā)現(xiàn)客戶更青睞REST，使用二者的用戶比例為5:1，因?yàn)槎鄶?shù)亞馬遜用戶僅僅是訪問(wèn)亞馬遜服務(wù)，而不是用之建立完整的SOA，所以也就用不著SOAP的復(fù)雜功能。

統(tǒng)一身份

盡管WS-Security標(biāo)準(zhǔn)有助于SOAP信息的加密和簽名，但該標(biāo)準(zhǔn)并未涉及任何有關(guān)認(rèn)證、授權(quán)和計(jì)費(fèi)(AAA)或者安全策略的內(nèi)容。這些問(wèn)題由安全領(lǐng)域的其他標(biāo)準(zhǔn)解決，并且所有這些標(biāo)準(zhǔn)都以WS-Security為基礎(chǔ)。

雖然目前這些標(biāo)準(zhǔn)由于太新而無(wú)法對(duì)用戶產(chǎn)生足夠的影響，但是其中多數(shù)最終將得到企業(yè)服務(wù)總線(ESB)和Web服務(wù)管理領(lǐng)域所有廠商的支持。

唯一的例外是統(tǒng)一身份的問(wèn)題，也恰是在這一領(lǐng)域，安全標(biāo)準(zhǔn)新秀WS-Federation和WS-Trust對(duì)OASIS組織發(fā)布的另一成熟標(biāo)準(zhǔn)SAML 2.0發(fā)起了挑戰(zhàn)。采用統(tǒng)一身份的目的在于：將認(rèn)證與被訪問(wèn)的資源分隔開(kāi)來(lái)，以實(shí)現(xiàn)單點(diǎn)登錄。用戶登錄到某身份提供者的系統(tǒng)，后者為之提供憑證，該用戶即可使用此憑證訪問(wèn)多個(gè)不同資源。憑證與數(shù)字證書(shū)近似，在SAML中稱之為“斷言”，在WS-Trust中喚作“標(biāo)識(shí)”;一般用憑證來(lái)?yè)?dān)保用戶身份，并在認(rèn)證時(shí)添加一些信息，例如用戶在何時(shí)以什么方式登錄。SAML作用于整個(gè)單點(diǎn)登錄過(guò)程，而對(duì)于WS-*來(lái)說(shuō)，這一過(guò)程由兩個(gè)標(biāo)準(zhǔn)共同完成：WS-Trust負(fù)責(zé)處理內(nèi)部認(rèn)證和標(biāo)識(shí)的發(fā)放，WS-Federation負(fù)責(zé)管理用這些標(biāo)識(shí)訪問(wèn)其他資源的操作。

實(shí)際上，二者的主要差別在于：SAML直接使用XML加密和XML簽名，這意味著它與REST兼容;而WS-Federation則采用SOAP。SAML擁有龐大的客戶群，但是這實(shí)際上意義不大，因?yàn)槲④浺恢痹谌ν七M(jìn)WS-Federation，并表示不會(huì)支持SAML。