在最近一些年以來，因為沒有對信息化建設進行統一的規劃和管理，從而導致信息孤島成為企業信息化建設的瓶頸。為了實現信息孤島問題的有效解決，應用集成的研究隨之出現。然而，傳統的應用集成解決方案具有非常大的實施難度，并且僅僅能發揮非常有限的作用。后來，出現了面向服務的架構（SOA，Service Oriented Architecture），這種嶄新的體系結構能夠使異構系統的應用集成得到很好的實現。

面向服務的架構是最近的幾年來國際基礎軟件產品和大型信息系統研發的一種非常重要的支撐技術，也是眾多企業進行信息化建設、實現信息資源的有效開發利用的重要技術。然而，面向服務的架構下的信息安全問題導致面向服務的架構的實施進程非常緩慢。由于面向服務的架構環境的特殊性，其信息安全應用研究變得非常重要。在面向服務的架構的環境下，傳統的安全機制已經不能滿足面向服務的架構環境下的應用系統的安全需求，這給面向服務的架構下的信息安全應用研究帶來了新的挑戰。所以，怎樣在不使面向服務的架構的松耦合、高伸縮性優勢受到影響的同時，研究出在面向服務的架構下的信息安全實現模型，從而滿足面向服務的架構下的應用系統的安全需求，是當前亟待解決的問題。

面向服務架構下的信息安全問題的研究

在最近的幾年以來，面向服務的架構得到了日益廣泛的使用，雖然現在仍然沒有大規模的采用面向服務的架構，但是，受到國外中間件廠商的推動，面向服務的架構正在受到越來越多的關注。這種嶄新的體系結構的出現必然伴隨著許多各種形式的技術標準和規范的出現。在面向服務的架構出現的幾年內，在廠商、國內外的專家學者和標準化組織的共同努力下，一大批面向服務的架構標準和規范已經制定出來，面向服務的架構的發展得到了有力的推動。在面向服務的架構標準和規范的不斷完善的進程中，許多企業也相繼推出其自身的面向服務的架構的平臺和技術，在面向服務的架構這個未來的市場上爭取先機。

Gartner首次提出面向服務的架構這一嶄新的體系結構之后，IBM，BEA，SAP，Oracle等大量的主流廠商推動了它的發展和前進。然而，在這些主流廠商中，有兩種不同的聲音存在：BEA，IBM和Oracle生產以中間件為導向的產品，例如，AquaLogic，WebLogic和Fusion等等；而SAP生產應用層架構的產品，通過應用層架構來實現面向服務的體系架構，例如，SAP NetWeaver。

中國的中創軟件、東方通、中和威等中間件廠商，也推出了基于面向服務的架構總線的中間件產品，同時具有面向服務的架構的部署和運用能力。東方通公司表示他們已經具備大量的面向服務的架構應用的成功案例。而且，東方通能夠實現傳統技術和面向服務的架構這兩種解決方案。

然而，2008年的一篇研究報告指出，當前面向服務的架構下的信息安全漏洞是不可避免的。在面向服務的架構解決方案中，某些設置可能會導致非常重要的安全漏洞。而且，一些對于Web攻擊一直很安全的應用程序也是有可能通過面向服務的架構受到攻擊的。其實，面向服務的架構本身是安全的，但是，這些框架必須要進行適當的設置和使用，從而防止各種嚴重的安全問題的出現。

隨著面向服務的架構相關的標準和規范的不斷完善以及增強面向服務的架構安全性的相關技術的不斷成熟，許多企業都在努力研發和應用面向服務的架構。可以預測，在不遠的將來，不管是在中國還是外國，面向服務的架構的應用范圍將會更加廣泛，面向服務的架構下的安全問題也會獲得順利的解決。

面向服務的架構下的信息安全相關規范

（一）SOAP（Simple Object Access Protocol，簡單對象訪問協議）：通過SOAP，來進行底層協議的實現，實現了服務請求者和服務提供者之間的消息傳輸規范的定義。通過XML來進行SOAP消息的描述，通過HTTP來進行SOAP消息的承載。

（二）WSDL（Web Services Description Language，Web服務描述語言）：WSDL是一種標準格式，在這種標準格式中，采用XML格式描述的服務由服務提供者提供，可以實現消息交換的通信端點的集合是對于網絡服務的描述，通過網絡服務的描述，能夠清晰的體現出一個Web服務所能夠完成的功能，以及這個Web服務所處于的位置，還有調用這個Web服務的方法等等。

（三）UDDI（Universal Discovery Description Integration，通用發現描述和集成）：UDDI是Web服務的信息注冊規范，它能夠由需要服務的用戶進行發現和使用。借助于UDDI，信息的“一次注冊，多次訪問”就可以非常輕松的由Web服務實現。

結束語

本文只是粗淺的介紹了面向服務架構下的信息安全應用研究。由于時間和研究條件的限制，本文的研究仍然有待進一步的深入。在今后的研究中，將在深入研究各項面向服務的架構下的安全規范的基礎上，針對當前面向服務的架構下的應用系統中存在的消息安全問題、單點登錄問題以及訪問控制問題，基于“安全即服務”的思想，設計和實現面向服務的架構下的信息安全實現模型。