（计算机软件与理论专业论文）web服务在动态电子商务中的应用.pdf

摘要 “软件即服务”已经成为软件发展的潮流。w e b 服务下的动态电子商务正是这 一思想的结果，它的出现标志着人类已经迈入应用程序开发技术的新纪元，代表 着i n t e r n e t 技术和商业结合的重大发展，为我们的生活和经济活动带来了巨大的 利益，我们将可以门不出户享受完美服务。这一切，都是通过将紧密耦合的、高 效的n 层计算技术与面向消息的、松散耦合的w e b 概念相结合柬实现的。它强调 了程序对程序的交互作用，提倡从传统的由程序员主导的由星向外的开发模式过 渡到出用户主导的山外向早的丌发模式。通过它，企业可以将自身的商务组件化， 然后根据商业流程对其进行动态的组合和集成。 本文详尽研究了w e b 服务存动念电予商务应用中的理论基础及其三大核心技 术：s o a 体系结构、动态电子商务下w e b 服务描述语言w s d l 、动态电子商务下w e b 服务注册中心u d d i 和动态电子商务下简单对象访问技术s o a p 的构建。w e b 服务下 的动态电子商务系统构架于s o a 结构体系之上，它的w s d l 、u d d j 以及s o a p 分别 代表着s o a 中的商业服务提供者、服务代理方以及服务请求方的行为。同时本文 还涉及了与动态电予商务中w e b 服务有重大关系的w e b 服务安全性问题，这涉及 用户身份验证与访问授权、消息完整性与数字签名以及消息机密性与加密技术等。 本文不仅从理论上阐述了w e b 服务在动念电子商务中的应用，还详细的对它们的 体系模型进行了设计，并最终实现了系统核心构架。从而验证了作者对动态电子 商务在w e b 服务下所作的研究。 关键词：w e b 服务动态电子商务面向服务架构服务安全性 a b s t r a c t i th a sb e e nat e n d e n c yo fs o f t w a r et h a ts o f t w a r ei sn a m e l ys e r v i c e s d y n a m i c e b u s i n e s so nt h eb a s eo fw e bs e r v i c e si sa st h er e s u l to ft h i si d e a i t sa p p e a r a n c e i n d i c a t e st h a th u m a nb e i n g sh a sp u ti nt h en e we r ai nt h ea p p l i c a t i o n p r o g r a m t e c h n o l o g y , i tr e p r e s e n t st h eg r a n dd e v e l o p m e n to ft h ec o m b i n a t i o no fi n t e r n e ta n d b u s i n e s s ，a n da tt h es a m et i m ei tb r i n g sm u c hb e n e f i tt oo u rl i f ea n de c o n o m i c a l a c t i v i t i e s w ew i l le n j o yp e r f e c ts e r v i c e sw i t h o u to u t a b o v ea l lc o m e st r u eo nt h eb a s e o ft h ec o m b i n a t i o nb e t w e e nt i g h tc o u p l i n ga n de f f i c i e n tnf l o o r sc o m p u t e rt e c h n o l o g y a n dm e s s a g eo r i e n t e da n dl o o s ec o u p l i n gw e bc o n c e p t i te m p h a s i z e st h ei n t e r a c t i o n a m o n gp r o g r a m sa n dt h en e e d t o r e p l a c et r a d i t i o n a l “i n s i d e - o u t d e v e l o p m e n tb y p r o g r a m m e r sw i t h “o u t s i d e i n ”d e v e l o p m e n tb yu s e r s b yi t ，c o m p a n i e sc a np a c kt h e i r b u s i n e s sa sc o m p o n e n t sa n dt h e ni n t e g r a t et h e s ec o m p o n e n t sd y n a m i c a l l ya c c o r d i n gt o t h eb u s i n e s sp r o c e s s t h i sp a p e rr e s e a r c h e sa tl a r g et h et h e o r yf o u n d a t i o na b o u tw e bs e r v i c et ot h e a p p l i c a t i o no fd y n a m i c a le - b u s i n e s sa n di t st h r e ek e r n e lt e c h n o l o g i e s ：s o a ，t h em o d e l r e a l i z e do fw s d l ，u d d ia n ds o a pu n d e rd y n a m i c a le - b u s i n e s s d y n a m i c a le - b u s i n e s so n w e bs e r v i c ei sb a s e do nt h es o a ，a n di t sw s d l ，u d d ia n ds o a pi n c a m a t eb u s i n e s ss e r v i c e p r o v i d e r , b u s i n e s ss e r v i c eb r o k e ra n db u s i n e s ss e r v i c er e q u e s t e r a n dt h i sp a p e ri n v o l v e s s e c u r i t yp r o b l e m sr e l a t e dm o m e n t o u s l yw i t hw e bs e r v i c eo nd y n a m i c a le b u s i n e s s t h e yi n c l u d ea u t h e n t i c a t i o na n da u t h o r i z a t i o n ，m e s s a g ei n t e g r a l i t ya n ds i g n a t u r ea n d m e s s a g ec o n f i d e n t i a l i t ya n de n c r y p t i o n t h ep a p e rn o to n l yi n v o l v e st h ea p p l i c a t i o n w e bs e r v i c e so fd y n a m i c a le b u s i n e s si nt h e o r nb u ta l s od e s i g n st h e i rs y s t e mm o d e l i n - d e p t ha n di n - - w i d t hf r o mw h i c ht h ea u t h o rv a l i d a t e st h er e s e a r c ho fd y n a m i c a l e b u s i n e s so nw e bs e r v i c e s k e y w o r d s ：w e bs e r v i c ed y n a m i c a le b u s i n e s ss e r v i c eo r i e n t e da r c h i t e c t u r e s e r v i c es e e u r i t y 创新性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特另0 加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过f 7 , j t i j f 究成粜：也不包含为软得西安电予科技大学或 其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做 的任何贡献均已在论文中做了明确的说明并表示了谢意。 申请学位论文与资利若有刁；贫之处，本人承担一切相天责任。 本人签名： 立凌 f l 期： 山i ，上文 关于论文使用授权的说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：研究q i 在校攻读学位期问论文工作的知识产权单位属西安电子科技大学。本人保证毕业 离校后，发表论文或使用论文工作成果( 寸署名单位仍然为硒安电子科技大学。学 校有权保留送交论文的复印件，允许查阅和借阅论文；学校可以公布论文的全部 或部分内容，可以允许采用影印、缩印或其它复制手段保存论文。( 保密的论文在 解密后遵守此规定) 本学位论文属于保密，在一年解密后适用本授权书。 f t 期： 趋蔓! ! 厶 r 期：垃：! ：! ! 第一章绪论 第一章绪论 1 1 课题研究背景和意义 随着世界经济与科技的进步，全球经济一体化已成为2 i 世纪的大趋势，电子 商务就是这一趋势的产物。电子商务尤其是动态电子商务的出现从根本上改变了 人们的生产生活方式，极大的推动了社会的发展。 务实和追求经济利益是当今电子商务的需求，然而目前广泛应用的电子商务 体系架构使得对应用系统的需求很难实现。电子商务应用一旦被部署之后，由于 商务环境和商务需求的不断改进和不断变化，其应用不可避免的需要修订、更新， 以符合新的电子商务流程。而到最后，企业的管理人员甚至会想为企业以及合作 伙伴分别定制具体应用以获得应用系统的最大使用效率。经常的应用更新是当今 电子商务应用部署所面临的主要问题之一。 早先出现的电子商务技术都无法解决经常性的应用更新问题，因为这些技术 都是基于复杂应用的连接的、不具备良好集成能力的- 丌发模式，他们都是通过程 序代码实现复杂应用的集成来连接用户与电子商务应用，以及用户与其他信息系 统的。因此传统的由程序员主导的由里向外的开发模式应当被由用户主导的由外 向里的开发模式取代。冗长的串行的丌发循环应当被及时地、快速的应用装配所 取代。同时这样的应用应当具备可定制性。如果探究其本质，这是来自被广泛接 受的商业技术概念：“即时制造”以及“规模可伸缩”等概念，我们需要做的就是 将传统的商业概念延伸到动态电子商务的开发和使用中去，达到电子商务的实现 模式与商业本质的一致。 基于x m l 技术的w e b 服务正是解决这一问题的最佳手段。w e b 服务的使用将改 变目前的丌发模式和应用部署的投资规模。各种w e b 服务分别实现了一定的动态 电子商务功能，通过将各种电子商务的w e b 服务进行组合和集成以创建动态电子 商务应用。另外w e b 服务能够统一的封装信息、行为、数据表现以及商务流程， 无需考虑应用所在的环境是使用何种系统和设备。通过使用w e b 服务，企业能够 以前所未有的方式通过抽象和混台将自己的电子商务组件化。当一个企业的核心 竞争力被组件化之后，那么这些核心竞争力就能够很方便的在不同的企业之间共 享，同时构架跨企业的动态电子商务应用，形成动态商务w e b 服务。 通过在商务w e b 中采用w e b 服务，首先不需要再为使用一个商务功能而购买 相应的电子商务软件：其次，开发的代价显著降低了；最后，部署和集成的费用 大大降低。这就是本文的研究背景和意义：即现实的商业利益及其对技术的需求。 w e b 服务在动态电子商务中的应_ h j 1 2 目前国内外发展动态 近年来，随着商务需求的不断发展，w e b 服务框架下的动态电子商务已经得到 了国内外众多研究机构、组织和公司的支持。它们参与制定和开发了w e b 服务的 相关技术标准和工具，并致力于将它应用于动态电子商务系统之中，目前已经取 得了不少的研究成果。 根据全球权威研究评论机构对w e b 服务与动态电子商务结合状况所作的预则， w e b 服务的构架开发工具目前已经被各大开放商开发完毕，开发人员能够购买到这 些面向服务的开发工具，同时他们将会丌始构建实际使用的w e b 服务：现在越来 越多的各类企业普遍接受了基于w e b 服务的商务应用模式，而服务集中的计算机 模式也已经进入了青年期；4 0 的金融财务服务事务使用了w e b 服务模式，3 5 的 在线政府服务以w e b 服务的形式被提供；随着w e b 服务搭建的动态电子商务的规 模化，公共的u d d i 注册中心作为公共商务信息的交换机制将获得大量的使用，动 态服务同样将大量投入使用。而据i d c 公司的调查，w e b 服务将带动软件、硬件和 服务等各方面的发展，到2 0 0 7 年营业额会达到3 4 0 亿美元。 同时各大技术提供商都按照g a r t n e rg r o u p 的预测陆续的推出w e b 服务的构 建工具：m i c r o s o f t 的v i s u a ls t u d i o n e t ，i b m 的w e bs e r v i c et o o l k i t ，s u n 的 s u no n e 等等。基于w e bs e r v i c e 的公共技术标准s o a p w s d l u d d i w s f l 或是已经 成为事实行业标准，或是f 在制定的进程中，各大技术提供商和传统商业企业都 投入到了标准的制定和应用的构架中去。作为w e b 服务的体系构架的领导者i b m 和m i c r o s o f t 也开始在全球推广w e b 服务技术，有理出相信w e b 服务将成为未来 动态电子商务的主流技术。 1 3 论文的研究内容与目标 动态电子商务是伴随着商业需求而兴起的一种新的商务运营形式，它以自身 灵活多变的业务模式推动着企业的运营；同时，基于s o a 体系结构的w e b 服务新 技术正好满足了动念电子商务“实时变更”的特点，它们的结合必将推动企业竞 争力的提升和利益的高度发展。 本文正是看到了w e b 服务技术与动态电子商务结合的优势，加之虽然国外对 此问题已经有了相当程度的研究但国内仍尚为鲜见，同时作为对陕西邮政系统的 预研，作者将该课题作为研究方向。本文首先介绍了与w e b 服务技术相关的核心 问题以及动态电子商务的相关概念模型，以便为后续章节进行必要的铺垫；随后 在此基础上对w e b 服务下的动态电子商务进行了详细的模型设计，这样就为系统 第一章绪论 地成功搭建打下了基础；最后本文详尽的阐明了动态电子商务的w e b 服务系统实 现方式，从而验证了w e b 服务技术和动态电子商务结合的可行性。 全文通过对w e b 服务中的动态电子商务的建模和实现，研究了w e b 服务核心 而必要的三大技术w s d l 、s o a p 和u d d i 以及w e b 服务安全性保障；同时也研究了 动态电子商务平台的各种性能和组建方法，为它们在邮政业务系统中的应用打下 了基础。 1 4 本文章节安排 论文共分五章，第一章阐述对课题研究概况的描述，第二章涵盖了w e b 服务 以及动态电子商务所涉及的关键问题，第三章是w e b 服务下动态电子商务的模型 设计，第四章是动态电子商务在w e b 服务下的具体实现方式，第五章为论文的结 束语。具体结构和组织为： 第一章绪论 本章提出了课题的研究背景和意义，并就目前国内外w e b 服务以及动态 电子商务的发展状况进行了说明，最后指出了论文的研究内容、目标以及章 节安排等。 第二章w e b 服务与动态电子商务 本章就w e b 服务和动念电子商务的情况进行了综述，其中包括w e b 服务 的体系结构、w e b 服务的三大核心技术以及w e b 服务的安全性保证，同时包括 动态电子商务的基本概念、模型构架及其分类等。 第三章模型设计 本章详细设计了w e b 服务构架下的动态电子商务模型，内容涵盖动态电 子商务系统的需求分析、w e b 服务下的e 商务模型、s o a 中商务提供方系统设 计、商务请求方系统设计以及商务注册中心系统设计。其中包括w e b 服务和 动念电子商务的各个关键方面，如安全性保障等。 第四章系统实现 本章对动念电子商务系统在w e b 服务体系中的实现方式进行了详细描述， 包括三个方面：服务p r o v i d e re 商务的实现、服务r e q u e s t e re 商务的实现 以及服务注册、发现机制u d d i 注册中心的实现等。 第五章结束语 本章总结了论文的主要研究成果。并对下一步的工作进行了阐述。 4 w e b 服务在动态电子商务中的应用 第二章w e b 服务与动态电子商务 企业把自己所专长的服务通过网络介质提供给他们的客户去用，比如银行的 支付服务、物流公司的供应链服务等，针对这些问题，推出了一个新的标准规范 w e bs e r v i c e s 。根据标准，很多i t 公司开始努力丌发相关技术，从而使所有的开发 软件都兼容。应用w e bs e r v i c e s 企业可以很容易的把它们的服务发布到网上，供 所有客户或商业伙伴使用，也可以很容易的集成新的应用系统，连接各种各样的 商务流程来达到商务目的。 2 1w e b 服务综述 软件业最终会接受这样的事实：跨多个操作系统、编程语言和硬件平台集成 软件应用程序不可能由任何一种专门的环境来解决。传统上，这个问题一直是一 个紧耦合问题，调用远程网络的应用程序通过自己发出的函数调用和请求的参数 与远程网络紧密地联系在一起。在w e b 服务出现之前，在大多数系统上，采用的 是固定的接口，但对于环境或需要的改变，这种方式缺乏灵活性或适用性。 w e b 服务是使应用程序可以以与平台和编程语言无关的方式进行相互通信的 一项技术。它是一个软件接口，描述了一组可以在网络上通过标准化的x m l 消息 传递访问的操作，并使用基于x m l 语言的协议来描述要执行的操作或者要与另一 个w e b 服务交换的数据。一组以这种方式交互的w e b 服务在面向服务的体系结 构( s e r v i c e o r i e n t e da r c h i t e c t u r e ，s o a ) 中定义了特殊的w e b 服务应用程序。 w e b 服务所使用的x m l 可以用真正与平台无关的方式来描述任何( 所有) 数 据，以跨系统交换数据，因此转向了松耦合应用程序。而且，w e b 服务还可以在较 抽象的层面上工作，较抽象层面可以按照需要动态地重新评估、修改或处理数据 类型。所以，从技术层面上讲，这利，服务方式可以更方便地处理数据，同时允许 软件更自由地进行通信。 从更高的概念层面上讲，我们可以将w e b 服务视为一些工作单元，每个单元 处理特定的功能任务。再往上步，可以将这些任务组合成面向业务的任务，以 处理特定的业务操作任务，从而使非技术人员去考虑一些应用程序，这些应用程 序可以在w e b 服务应用程序工作流中一起处理业务问题。因此，一旦由技术人员 设计并构建好w e b 服务之后，业务流程架构设计师就可以聚集这些w e b 服务来 解决业务层面上的问题。 第二章w e b 服务与动态屯子商务 最后一个方面是，w e b 服务可以有助于在组织内的业务人员和技术人员之间 架起一座桥梁。w e b 服务使业务人员能更容易理解些技术上的操作。业务人员 可以描述出一些事件和活动，然后技术人员可以将这些事件和活动与相应的服务 相关联。 有了通用定义的接口和设计良好的任务，重用这些任务就变得更容易了，因 而重用这些任务所代表的应用程序也就变得容易了。应用程序软件的可重用性意 味着在软件上的投资有了更好的回报，因为可以从同一资源产生更多收益。可重 用性使业务人员可以考虑以一种新的方式来使用现有的应用程序，或者以一种新 的方式将应用程序提供给合作伙伴，因此可能增加台作伙伴闻的业务交易。 所以，w e b 服务试图解决的主要问题是数据和应用程序集成的问题，是将技 术性的功能转换成面向业务的计算任务的问题。这两个方面使业务人员可以就流 程或应用程序层面与他们的合作伙伴进行交流，同时为适应新形势或按照需要与 不同合作伙伴进行合作留有动态的余地。 2 1 1w e b 服务体系结构 w e b 服务分为三个参与者和三个基本操作，其中： 三个参与者：服务提供者( s e r v i c ep r o v i d e r ) 、服务请求者( s e r v i c er e q u e s t e r ) 、 服务代理( s e r v i c eb r o k e r ) ： 三个基本操作：发布( p u b l i s h ) 、查找( f i n d ) 、绑定调用( b i n d i n v o k e ) 。 图2 1 描述了w e b 服务体系构架的元素组成及其相互关系。 幽2 1w e b 服务体系构架 w e b 服务的工作过程和关键标准分别如下： 服务提供者将所提供的服务发稚到服务代理的一个目录上 服务请求者首先到服务代理提供的目录上搜索服务，得到如何调用该服务 的信息 根据得到的信息调用服务提供者提供的服务 关键标准： 6 w e b 服务在动态电子商务中的应用 w s d l ( w e bs e r v i c ed e s c r i p t i o nl a n g u a g e ) ：用来描述服务 u d d i ( u n i v e r s a ld e s c r i p t i o n ，d i s c o v e r ya n di n t e g r a t i o n ) ：用来发布、查找服 务 s o a p ( s i m p l eo b j e c ta c c e s sp r o t o c 0 1 ) ：用来执行服务调用 w s f l ( w e bs e r v i c ef l o wl a n g u a g e ) ：将分散的、功能单一的w e b 服务组织 成一个复杂的有机应用 w e b 服务采用一系列的相关协议来描述、传递服务和与服务交互。根据其通 常的功能和使用，可以将这一系列协议再进一步划分为组。第一组处理消息传递、 接口描述、寻址和提供的问题。最有名的是消息传递协议，称为简单对象访问协 议( s i m p l eo b j e c ia c c e s sp r o t o c o l ，s o a p ) 。此协议对消息进行了编码，这样就 可以通过传输协议( 如h t t p 、i i o p 、s m t p 或其他协议) 在网络上传递它们。 w e b 服务描述语言( w e bs e r v i c e sd e s c r i p t i o nl a n g u a g e ，w s d l ) 表示为一系 列x m l 语句，这些语句组成了每个服务的接口的定义。另一个正在制订的服务是 w e b 服务寻址，它定义了如何在分布式体系结构中唯一地进行w e b 服务寻址和标 识w e b 服务。还有一个流行的规范是w e b 服务调用框架( w e bs e r v i c e si n v o c a t i o n f r a m e w o r k ) ，在这种框架中，您可以定义任何类型的组件的w s d l 接口，即使它 们没有使用相同的消息传递协议。 下一组协议和规范定义了服务如何公丌它们自己以及如何在网络上相互发 现。对于要相互查找的服务，统一描述、发现和集成( u n i v e r s a ld e s c r i p t i o n ，d i s c o v e r y a n di n t e g r a t i o n ，u d d i ) 为查找和访问服务定义了注册中心和相关的协议。w e b 服 务检查语言( w e bs e r v i c e si n s p e c t i o nl a n g u a g e ) 是u d d i 在不使用注册中心的情 况下采用的一种可选的机制。 用于w e b 服务的安全性协议是从w e b 服务安全性( w s s e c u r i t y ) 规范开始 的，该规范为安全通信定义了基于令牌的体系结构。以此为基础，有六个主要的 组成规范：w e b 服务策略( w s p o l i c y ) 和相关的规范、w e b 服务信任( w s t r u s t ) 、 y j e b 服务隐私( w s p 6 v a c y ) 、w e b 服务安全会话( w s s e c u r ec o n v e r s a t i o n ) 、 w e b 服务联盟( w s f e d e r a t i o n ) 以及w e b 服务授权( w s a u t h o r i z a t i o n ) 等。 在安全性模型之外的是特定于应用程序的规范，其中包括w e b 服务的业务流 程执行语言( b u s i n e s sp r o c e s se x e c u t i o nl a n g u a g ef o rw e bs e r v i c e s ，b p e l 4 w s ) ， 它定义了一起进行分布式事务处理的工作流操作、w e b 服务事务 ( w s t r a n s a c t i o n ) 、w e b 服务协调( w s c o o r d i n a t i o n ) 。 目前计划制订的规范是w e b 服务分布式管理( w e bs e r v i c e sd i s t r i b u t e d m a n a g e m e m ) ，用于对所有的服务和面向服务的体系结构进行软件管理。最后， 还有一些用于用户界面( w e b 服务交互应用程序w s i n t e r a c t i v e a p p l i c a t i o n s ) 和w e b 服务的远程访问( w e b 服务远程门户w s r e m o t e p o r t a l s ) 的规范。 第二章w e b 服务与动态电子商务 到目前为止，用于w e b 服务的规范还处在不断地制订和修正过程中，而且它 们仅仅是开始解释服务之间应该如何交互。然而，它们无法包括每一种方案和这 些方案的可能组合。因此，w e b 服务互操作性组( w e bs e r v i c e si n t e r o p e r a b i l i t y g r o u p ，w s i ) 的组成成员几乎来自所有从事w e b 服务丌发的大大小小的厂商， 它已经肩负起丌发用研究、样本应用程序、实现方案和测试工具的重任，目的是 确保这些标准和规范能够真f 地协同工作，而不考虑厂商的产品实现。 2 1 2w e b 服务三个核心技术 w s d l ”1 是用来描述网络( n e t w o r k ) 服务或终端( e n d p o i n t ) 的一种x m l 语言， 它用于定义w e bs e r v i c e 以及如何调用它们，包括描述w e b 服务的属性，例如它做 什么，它位于哪里和怎样调用它等。w s d l 文档可用于动态发布w e b 服务、查找己 发布的w e b 服务以及绑定w e b 服务。 w s d l 文件用于说明消息格式的表示法以x m l 架构标准为基础，这意味着它 与编程语言无关，而且以标准为基础，因此适用于说明可从不同平台、以不同编 程语言访问的x m lw e bs e r v i c e 接口。除说明消息内容外，w s d l 还定义了服务 的位置，以及使用什么通信协议与服务进行通信。也就是说，w s d l 文件定义了编 写使用x m l w e bs e r v i c e 的程序所需的全部内容。 w s d l 文档将服务定义为网络端点或端口的集合。在f f s d l 中，由于端点和消 息的抽象定义已从具体的网络部署或数据格式绑定中分离出来，因此可以对抽象 定义进行再次使用，w s d l 文档在网络服务的定义中使用下列元素： t y p e s 一数据类型定义的容器，它使用某种类型系统( 如x s d ) ： m e s s a g e 一通信数据的抽象类型化定义； o p e r a t i o b 一对服务所支持的操作的抽象描述； p o r t t y p e 一操作的抽象集合，这些操作由一个或多个端点支持； b i n d i n g 一特定端口类型的具体协议和数据格式规范： p o r t 一定义为绑定和网络地址组合的单个端点； s e r v i c e 一相关端点的集合。 应该注意的是，w s d l 并没有引入新的类型定义语言，而是通过扩展来完成这 一工作。此外，w s d l 还定义了通用的绑定机制，通过该机制可使特定的协议、数 据格式或结构与抽象的消息、操作或端点相关联。该机制还允许对抽象定义进行 再次使用。 图2 2 描述了w s d l 对象结构。 w e b 服务在动态电子商务中的应_ l j 幽2 2 对象结构幽 统一描述、发现和集成协议( u d d l ，u n i v e r s a ld e s c r i p t i o n ，d i s c o v e r ya n d i n t e g r a t i o n ) 标准定义了w e b 服务的发布与发现的方法。它的目录条目是介绍所提供 的业务和服务的x m l 文件，提供了在w e b 上描述并发现商业服务的框架。u d d i 通 过服务注册，以及使用s o a p 访问这些注册信息的约定来实现上述目标。 u d d i “2 1 提供了一种基于分布式的商业注册中心的方法，该商业注册中心维护 了一个企业和企业提供的w e b 服务的全球目录，而且其中的信息描述格式是基于 通用的x m l 格式的。这也正是u d d i 商业注册的核心组件，它使用一个x m l 文档来 描述企业及其提供的w e b 服务。从概念上来说，u d d i 商业注册所提供的信息包含 三个部分：”白页( w h i t e p a g e ) ”包括了地址，联系方法，和已知的企业标识；”黄 页( y e l l o wp a g e ) ”包括了基于标准分类法的行业类别：”绿页( g r e e np a g e ) ”则包括 了关于该企业所提供的w e b 服务的技术信息，其形式可能是一些指向文件或是u r l 的指针，而这些文件或u r l 是为服务发现机制服务的。所有的u d d i 商业注册信息 存储在u d d i 商业注册中心中。 一般来说，程序或程序员通过u d d i 商业注册中心来获得w e b 服务的位置及其 技术信息。其中对于程序员来说，是对自己的系统实现进行准备，以使自己的系 统能和那些w e b 服务实现访问兼容，或是描述自己的w e b 服务从而能让别人使用。 从商业层次上来说，u d d i 商业注册中心可以被用于核查某个合作伙伴是否搠j 有特 定的w e b 服务的调用界面，或是去找出在某一个行业中能提供某种类型服务的公 司，并确定某一个合作伙伴或是潜在的合作伙伴的w e b 服务的技术描述以了解要 与该w e b 服务进行交互所必须的技术细节。 图2 3 描述了u d d i 信息结构关系。 第二章w e b 服务与动态电子商务 9 幽2 3u d d i 信息结构芙系| 垫| s o a p ”1 是x m lw e bs e r v i c e 的通信执议，用来定义消息的传递的x m l 格式， 包含在一对s o a p 元素中的、结构正确的x m l 段就是s o a p 消息。它为在一个松 散的、分布的环境中使用x m l 对等地交换结构化的和类型化的信息提供了一个简 单的轻量级机制。s o a p 本身并不定义任何应用语义，如编程模型或特定语义实现， 它只是定义了一种简单的机制，通过一个模块化的包装模型和对模块中特定格式 编码的数据重编码机制来表示应用语义。s o a p 的这项能力使得它可被很多类型的 系统用于从消息系统到r p c ( r e m o t ep r o c e d u r ec a l l ) 的延伸。 图2 4 描述了s o a p 的通信模型 ( r p c 计求) 一一 一 l 一竺堂姑- ”i 。近? 姜：燃：的 f | - _ i 溺毓序州化 l 翼银蔓趔化 | | 匮露面鼙丽 _ ( 0 二、)( 孔他n 理) 划2 4s o a p 通讯模型 悱泌连接莹皇 一 fiilllllj|jilllll【 1 0 w e b 服务在动态电子商务中的应用 s o a p 规范主要由三部分组成： s o a p 信封( e n v e l o p ) ，它构造定义了一个整体的s o a p 消息表示框架，可用于 表示消息中的内容是什么，是谁发送的，谁应当接受并处理它，以及这些处 理操作是可选的还是必须的等； s o a p 编码规则( e n c o d i n gr u l e s ) ，定义了一个数据的编码机制，通过这样一个 编码机制来定义应用程序中需要使用的数据类型，并可用于交换由这些应用 程序定义的数据类型所衍生的实例。例如可能应订单服务的需要，使用s o a p 编码规则定义了订单的数据类型，并可以在订单生成的客户端与订单服务之 间交换订单实例： s o a pr p c 表示( r p cr e p r e s e n t a t i o n ) ，定义了一个用于表示远端过程调用和响 应的约定，例如如何使用h t t p 或s m t p 协议与s o a p 绑定，如何传输过程调用， 在具体传输协议的哪个部分传输过程响应，如我们可以在h t t p 的响应的时候 传递过程响应。 虽然这三部分是作为6 0 a p 的不同部分而整体定义的，但他们在功能上是正交 的、彼此独立的。 2 1 3w e b 服务安全性保证 对于基于消息的体系结构，业界已经有一套现成的而且广泛接受的传输层安 全机制，比如，安全套接字层( s e c u r es o c k e t sl a y e r ，s s l ) 和网际协议安全( i n t e m e t p r o t o c o ls e c u r i t y ，i p s e c ) ，但只依靠现有的几类传输层安全机制并不能在w e b 服 务模型内提供足够的安全性。 通常，w e b 服务安全层必须提供以下四个基本的安全性要求： 授权( a u t h o r i z a t i o n ) 是指权限的授予，包括根据访问权限授予访问权和 保证发送方被授权发送消息； 机密性( c o n f i d e n t i a l i t y ) 是指信息对没有经过授权的个人、实体或进程不 可用性或不公丌性，并保证消息内容不对没有经过授权的个人公丌； 数据完整性( d a t ai n t e g r i t y ) 是指数据没有以未经授权的方式或被未经授 权的用户不可察觉的改变或者破坏的性质，从而确保消息在传送的过程中 不会被偶然或故意修改： 原始性证明( p r o o f o f o r i g i n ) 是对消息或数据的发送者进行标识的证据。 断言消息由正确标识的发送者传送，并且不会重新发送以前传送过的消 息。这一要求隐含了数据完整性的要求。 由于需要在基于x m l 消息和工作流的动态w e b 服务世界中管理不同风格的 资源访问，所以必须重新评估策略、信任和风险评估这三者相互之间的关系。现 第二章w e b 服务与动态电子商务 有的基于个人身份的访问控制模型正在发展成为基于角色的信任域关系，在该种 关系中，可信任的权威机构将执行某项任务的权限授予个人，其行为受该权限限 制。i b mw e b 服务体系结构定义了需要信息的代理( 服务请求者) 、提供信息的 代理( 服务提供者) ，有时还有提供关于信息的代理( 服务中介者、元信息提供 者或服务注册中心) 。服务中介者经常会收到大量信息请求，这样就需要它能够 决定谁想要哪些信息以及请求者是不是已经被授予访问权。基础设施和关系变化 迅速，因此有关的策略需要能灵活的允许或拒绝访问。 此外，尽管x m l 要为这样的服务提供通用接口，但】( m l 不会提供实现这一梦 想所需要的整个基础设施。而且，x m l 可能不适合构建整个w e b 服务安全层。目标 是要确定在哪些场合用l 格式提供信息以顾及通用数据交换较为重要，以及在 哪些场合利用目前己存在于平台之上的现有安全性机制较为重要。 w e b 服务引发安全危机的一个原因是：基于w e b 服务的软件开发太简单、太方 便了，而信息获取手段的发展必将使得信息的泄漏更加难以控制。另外，在基于 w e b 服务的架构之中，信息出自多个来源，同时又提供给多个目的地，数据必须在 运行过程中随时打包。在以往的信息系统之中，信息处理的节奏从来没有像w e b 服务这样快。这样的环境将会使传统的信息安全技术人员束手无策、不寒而栗。 如果企业员工随手就能开发出几个w e b 服务部件，那么企业w e b 服务的整体安全 性可能会受到影响。引入w e b 服务后，企业的信息安全管理政策与安全技术一样， 还大有文章可作。w e b 服务的不当使用还可能给企业信息安全带来极大的隐患。为 了解决以上问题，w s s e c u r i t y 应运而生。 w e b 服务安全性蓝图由一套完整的规范组成，这套规范涵盖了安全性的各个 方面( 消息传递、策略、信任和隐私等) 。这些规范构建在彼此的基础上，并以 个定义了消息安全性模型的单一规范w s s e c u r i t y 作为共同的基础。由于 w s s e c u f i t y 概述了安全消息传递模型的轮廓，而消息传递在w e b 服务中处于 个相当核心的地位，这个全面的安全性模型和相应的蓝图常被简称为 “w s s e c u r i t y ”。 图2 5 描述了w e b 服务安全性规范构架“。 图2 5w e b 服务安全性规范 1 2 w e b 服务在动态电子商务中的应用 w s s e c u r i t y 消息传递层 w s s e c u r i t y 描述了用于提供安全的消息传递一特别是确保消息完整性和 消息机密性一的s o a p 协议的扩展，最后，w s s e c u r i t y 规范定义了用于编码二 进制的安全性标记( x 5 0 9 证书、k e r b e r o s 票据和不透明加密密钥) 并用s o a p 消 息加以传输的机制。 w s s e c u r i t y 策略层 w s - s e c u r i t y 蓝图的策略层由三个规范组成，这些规范使发送方和接收方能够 指定他们的需求和能力( w s p o l i c y ) ，基于认证和权限目的建立新的和利用已有 的信任关系( w s p o l i c y 和w s t r u s t ) ，并最终使发送方和接收方能够指定隐私 策略的需求和一致性( w s ：p o i i c y 、w s t r u s t 和w s p r i v a c y ) 。 w s s e o u r i t y 联合安全层 w s s e c u r i t y 蓝图的联合安全层由三个规范组成，支持完全的消息、服务以及 安全性上下文的w e b 服务认证( w s - s e c u r e c o n v e r s a t i o n 、w s - s e c u r i t y 和 w s t r u s t ) 、联合信任方案( w s f e d e r a t i o n 、w s s e c u r i t y 、w s - p o l i c y 、w s t r u s t 和 w s s e c u r e c o n v e r s a t i o n ) 以及w e b 服务权限( w s - a u t h o r i z a t i o n ) 。 2 2 动态电子商务综述 随着计算机网络的蓬勃发展及其应用领域的更加广泛，网络经济已经成为信 息时代的主要经济模式。电子商务作为网络经济的重要组成部分使传统的商务模 式发生了巨大的变革。但是起初的电子商务是极其不完善的，企业对企业的应用 集成主要是把单块的企业软件进行改装而取得所需要的解决方案。但是，这种紧 密结合解决方案的灵活性很差。当商务需求改变时，很难改装这种集成配置去解 决新的问题。现在，企业无需在企业内部网、外部网和因特网应用集成时为这种 情况而担忧，原因是动态电子商务为企业提供了商务流程、客户和厂商系统动态 延伸和连接的功能。w e b 服务技术是动态电子商务的基础。应用w e b 服务，企业可 以很容易地集成新的应用程序，连接各种各样的商务流程和增值销售商来达到其 商务目的。 动态电子商务使商业实体能在其自身的域内以及在贸易伙伴之间有步骤地管 理交互作用，从发现新的合作伙伴到与另一商务实体的集成，它着重程序对程序 的交互作用，而不是早期电子商务阶段占主导地位的客户对程序的交互作用。 2 2 1 动态电子商务的基本概念 互联网络的飞速发展带给企业新的发展商机，企业无论大小类型都丌始进入 第二章w e b 服务与动态电子商务 1 3 电子商务领域，因此作为当前r r 热