基于Web服務EAMS的性能及安全研究

冉崇善，郭貴禮

（陜西科技大學 電氣與信息工程學院，陜西 西安710021）

0 引 言

目前大部分企業的EAMS是采用面向組件的設計方法實現的，組件內部通信大多依賴調用系統應用程序接口（API）實現，組件間處于一種緊耦合狀態，系統后期維護及功能擴充困難重重［1］。采用Web服務構建企業EAMS可以使企業最大限度的利用現有信息系統，更易于集成和管理，更快的響應和部署，更能重用和減少成本，更易于用戶使用。

基于Web服務的系統在大數據量交互情況下有實時性能差，系統資源利用率低，網絡延遲大等固有缺陷。同時由于Web服務通信采用的SOAP協議只是一個輕量級簡單的通信協議，對數據的安全性沒有做任何處理，Web服務通信數據的安全得不到有效的保障。因此，在基于Web服務的EAMS中如何有效保障實時交互性能和數據通信安全等關鍵問題亟待解決。本文采用基于.NET框架的RemotingFormat將Web服務傳遞的數據集序列化為Binary格式，并對序列化后的字節數組進行壓縮傳輸，解決了Web服務的實時性交互問題。通過擴展SOAP消息頭，對數據及SOAP消息本身進行簽名、加密以及添加SAML控制令牌等操作有效保障了Web服務通信的端到端的消息級安全［2－7］。

1 Web服務

Web服務的目的是將信息和服務在Internet上實現提供和訪問，實現跨平臺的互操作性。在Web服務中，主要有4個關鍵技術：XML、SOAP、WSDL、UDDI［8］。

Web服務的體系架構如圖1所示，服務提供者開發Web服務并定義服務描述，使用Publish操作將服務描述發布到服務注冊中心；服務請求者使用Find操作在本地或服務注冊中心檢索服務描述；根據服務描述Bind服務提供者調用所需的服務［9－12］。

圖1 Web服務體系架構

2 基于Web服務的EAMS

基于Web服務的EAMS將業務流程邏輯從具體實現的程序代碼中分離出來 （以業務和服務的方式區分開，業務決定做什么，服務決定怎么做），將具體的功能封裝為不同粒度的服務，根據業務流程邏輯對不同的服務進行調用。此外，Web服務的標準接口使企業對遺留系統的集成更加簡單，將遺留系統封裝成具有標準接口的Web服務，就可以即時地集成到 EAMS中來［13－15］。

基于Web服務的開發技術已經將傳統的軟件開發三層架構拋棄，取而代之的是新的三層架構即應用層、服務層以及數據源 （DB）。用戶和表現層屬于應用層，可以是Web頁面、WinForm窗體或者移動客戶端也可以是外部或接口用戶等。業務邏輯層BLL和數據訪問層DAL被封裝在服務層Services中，并以標準接口的形式發布。所有的服務都可以采用不同語言，不同平臺進行開發，內部的業務處理邏輯可以使用面向對象的編程方法實現，系統在這一層次上實現跨平臺的無縫通信以及遺留系統的快速集成。數據源可以是常用關系型數據庫也可以是平臺無關的XML文件或者其它存儲有數據信息的源文件。系統安全、權限管理、用戶管理、系統日志、統計以及備份等系統功能則貫穿整個EAMS的所有層次。基于Web服務的企業EAMS基本框架如圖2所示。

圖2 基于Web服務的企業EAMS基本框架

3 關鍵問題

3.1 Web服務的實時性交互

Web服務的實時性交互問題一直困擾著眾多服務使用者，使用Web服務構建的系統實時交互性能往往較差。這是因為Web服務采用基于XML消息的信息傳輸機制。目前，大部分XML的實現都使用純文本的格式，導致數據復雜性和數據量增大。當通過Web服務傳遞較大數據量時，信息的交互和調用會產生延遲，導致系統在實時性交互以及系統性能等方面存在不足。

在基于Web服務的EAMS中，使用.NET 2.0提供的RemotingFormat將數據集序列化為SerializationFormat.Binary格式，并對序列化后的字節數組進行壓縮，從而解決Web服務的實時性交互問題。

在Web服務端，.NET 2.0將數據集序列化為Binary數據序列并返回壓縮后的字節數組。主要涉及兩個操作：首先將DataSet數據序列化為SerializationFormat.Binary格式字節數組，然后要對序列化后的字節數組進行壓縮并返回壓縮后的字節數組。

將DataSet數據序列化為SerializationFormat.Binary格式字節數組的主要代碼如下：

MemoryStream memStream＝new MemoryStream （）；

IFormatter brFormatter＝new BinaryFormatter （）；

dsOriginal.RemotingFormat ＝ SerializationFormat.Binary；//為遠程處理期間使用的DataSet設置序列化格式為Binary

brFormatter.Serialize （memStream，dsOriginal）；//將dsOriginal對象序列化為提供的流memStream

binaryDataResult＝ memStream.ToArray （）；//將流內容寫入字節數組binaryDataResult

字節數組的壓縮操作主要代碼如下：

MemoryStream ms＝new MemoryStream （）；//定義一個內存流實例

Stream ZipStream＝null；//聲明一個空字節流

ZipStream＝new GZipStream （ms，CompressionMode.Compress，true）；//使用指定的內存流 ms和壓縮模式CompressionMode實例化一個GZipStream類壓縮流

ZipStream.Write（buffer，0，buffer.Length）；//向當前的壓縮流寫入字節序列buffer

ZipStream.Close（）；//關閉流

ms.Position＝0；

byte［］compress＿buffer＝new byte ［ms.Length］；//實例化一個指定長度的字節序列

ms.Read （compress＿buffer，0，int.Parse （ms.Length.ToString （）））；//從 ms中讀取字節塊并寫入compress＿buffer中

在客戶端或服務調用端調用該服務時，對數據進行與服務器端相反的處理即首先要對得到的字節流進行解壓，之后再反序列化為DataSet數據集，然后再在客戶程序中進行綁定等操作。

除上述方式之外，減少使用較長元素名和屬性名以及使用存儲過程操作數據庫也能在一定程度上提高系統交互性能。

3.2 Web服務的消息安全

在基于Web服務的開發中，Web服務通信安全是一個很重要的問題。由于Web服務是基于Internet的，傳遞的是SOAP消息，在消息安全性方面沒有提供有效保障，因此SOAP消息的安全性傳輸是基于Web服務的系統開發中亟待解決的關鍵問題。

如圖3所示，在EAMS中，通過擴展SOAP消息頭，對消息進行簽名、加密以及添加控制令牌等方式來實現Web服務通信的端到端的消息級安全。

圖3 SOAP消息安全處理機制

發送端SOAP消息安全處理流程：

（1）創建SOAP消息，用對稱密鑰加密SOAP中的Web服務信息，用接收端公鑰加密該對稱密鑰，并將其加到SOAP消息的＜Header＞中。

（2）登錄SAML服務器獲取斷言，并將取得的SAML Token原封不動的添加到SOAP消息的＜Header＞中作為安全令牌。

（3）在SOAP消息的＜Header＞中加入時間戳、發送者、接收者等，可對其進行擴展，加入更多的安全屬性。

（4）利用自己的私鑰對SOAP消息進行簽名，保證信息的完整性。

（5）將自己的認證證書加到SOAP消息中發送給接收方。

接收端SOAP消息處理流程：

（1）接收到SOAP消息后，定位消息中的認證證書，向XKMS服務器驗證證書的有效性。

（2）從XKMS服務器中獲取發送端公鑰信息，驗證SOAP消息的有效性。

（3）檢查安全屬性，判斷該消息是否被重放，是否被篡改，是否為相應的發送者和接受者。

（4）從SOAP＜Header＞中提取Token進行處理，提取SAML的認證證書，向XKMS服務器驗證證書的有效性；獲取SAML公鑰信息，驗證Token簽名判斷是否由信任的SAML簽發；使用自己的密鑰解密出Token信息，采用SAML中提供的主體確定方法判斷Token所斷言的主體是否就是消息的發送方。

（5）用自己的私鑰解密出加密用的對稱密鑰，進而解密出SOAP消息中的XACML格式的請求或者響應。

在消息處理過程中，發送端先對消息進行加密，再對消息進行簽名，接收端會先驗證簽名，再進行解密操作，從而提高接收端的處理效率。當簽名驗證失敗后，接收端直接返回錯誤信息，不必再進行復雜的解密操作。

經過安全處理后攜帶Web服務請求或響應信息的SOAP消息實例。

＜？xml version＝"1.0"encoding＝"UTF－8"？＞

＜soap：Envelope xmlns：soap＝"http：//www.w3.org/2001/12/soap－envelope"xmlns：saml＝”…”

xmlns：xacml＝”…”xmlns：ds＝”…”xmlns：wsse＝”…”xmlns：xenc＝”…”＞

＜soap：Header＞

＜wsse：Security＞

＜！—SAML Token－－＞

＜saml：Assertion＞

＜！－－由SAML簽名并且用接收端公鑰加密的身份驗證斷言信息－－＞

.......

＜/saml：Assertion＞

＜！－－加密－－＞

＜xenc：ReferenceList＞

＜xenc：Refernce URI＝”＃ EncryptedData”＞

＜/xenc：ReferenceList＞

＜！－－數字簽名－－＞

＜ds：Signature＞

…..

＜ds：Reference URI＝”＃Body”＞

…..

＜/ds：Signature＞

＜！－－其它安全屬性－－＞

＜wsu：Timestamp wsu：Id＝”tst”＞

＜wsu：Created＞2011－05－15T10：09：43：00Z＜/wsu：Created＞

＜/wsu：Timestamp＞

……

＜/wsse：Security＞

＜/soap：Header＞

＜soap：Body＞

＜xenc：EncryptedData＞

＜！－－密文的Web服務請求或響應數據－－＞

………

＜/xenc：EncryptedData＞

＜/soap：Body

＜/soap：Envelope＞

4 實時性能測試及分析

為了驗證上述數據傳輸方式在Web服務實時數據交互中的有效性。本文分別對1000條數據 （131129Byte）、10000 條 數 據 （1309130Byte）、100000 條 數 據（14629132Byte）、500000 條 數 據 （68139152Byte）、1000000條數據 （135320569Byte）5種情況的4種傳輸方案進行數據的傳輸性能測試。其中傳輸方案1表示返回Data－Set序列化后的字節數組，文中以傳輸方案1的耗時和數據量作為基準點，傳輸方案2表示返回DataSetSurrogate序列化后的字節數組，傳輸方案3表示返回DataSetSurrogate序列化并壓縮后的字節數組，傳輸方案4表示返回.NET 2.0序列化并壓縮后的字節數組即本系統采用的傳輸方案。

由于條件限制，只在本地計算機上進行了性能測試，所以數據的網絡傳輸時間基本可以忽略不計。測試結果見表1和表2。

從表1中可以看出，隨著傳輸數據量的增大，4種方案傳輸耗時也都隨著增長。但是方案2和方案3在數據量較大時傳輸耗時百分比急劇增長，說明在大數據量傳輸時，只序列化未壓縮的方案2的數據傳輸時間急劇增長，而方案3中對數據的壓縮處理耗時急劇增長，兩種方案都不符合系統的實時性要求。而方案4隨著數據量的增大，傳輸耗時也隨之增加，但是當數據量很大時，傳輸耗時又開始保持穩定甚至減少。說明方案4采用的壓縮算法更合理，在數據量急劇增長時，對數據的壓縮處理耗時能夠保持在一個較穩定范圍。在傳輸50萬條數據時，方案2的耗時比方案3和方案4少，主要原因是由于本地計算機處理性能差，在對數據進行壓縮和解壓操作時耗費了大量時間。

表1 不同數據量在4種方案下傳輸的耗時百分比/%

表2 不同數據量在4種方案下傳輸的壓縮百分比/%

從表2中可以看出，方案3對數據的壓縮性能要與方案4不相上下，但是方案3犧牲了壓縮處理時間來換取壓縮百分比上的微弱優勢，不符合系統的實時性要求。而方案4在數據壓縮耗時和壓縮百分比之間獲得了很好的平衡。方案4即本系統采用的數據傳輸方案是最優的，不管是在數據量較小時還是數據量很大時，該方案都有一個較為理想的耗時百分比和壓縮百分比。

上述分析結果是在本地計算機上進行測試的，忽略了數據在網絡上傳輸的時間。然而在一般情況下，大量數據在網絡上的傳輸時間在占數據傳輸過程的主要部分，因此如果在真實的Internet網絡上進行傳輸性能測試，方案4的效果將會更加明顯。

通過以上分析表明，本系統采用的數據傳輸方案4，在實際應用中能夠節省數據傳輸時間30%以上，減少網絡上傳輸的數據量90%以上。不管是在高性能網絡中還是在性能較差的網絡中都能有較好的實時性能，為Web服務在實時性要求比較高的系統中的應用提供了一個較好的解決方案。

5 結束語

基于Web服務的EAMS克服了面向組件設計的內部耦合度高，難以維護和擴充等缺點，實現了一種高復用、易集成管理、快速響應部署、松耦合、跨平臺無縫通信的資產管理模式。本文重點探討了Web服務在構建EAMS中的實時交互性能和服務通信安全兩大關鍵問題，并提出了合理的解決方案。測試結果表明，系統的實時交互性能和服務通信安全得到了有效保障。

在基于Web服務的系統建設中，除了實時交互性能和服務安全之外，服務粒度的劃分、服務的組合編排等都是需要重點研究的對象，在之后的研究中將對其進行更加深入的探究。

［1］WU Rongwei.Research and implementation of power enterprise integration EAM system based on SOA ［D］.Shanghai：Fudan University，2009：18 （in Chinese）. ［吳榮煒.基于SOA的電網企業集成EAM系統的設計與實現 ［D］.上海：復旦大學，2009：18.］

［2］Juhan Kim，Soohyung Kim，Kiyoung Moon.Design of integration security system using XML security ［C］.World Academy of Science Engineering and Technology，2005：136－140.

［3］MENG Wei，ZHANG Jing，LI Junhuai，et al.Research and implementation of a web services security model［J］.Computer Engineering and Application，2006，42 （26）：134－136 （in Chinese）.［孟偉，張璟，李軍懷，等.Web服務安全模型研究與實現［J］.計算機工程與應用，2006，42 （26）：134－136.］

［4］CHENG Zhan，XIE Li.Web services security mechanism and security technology ［J］.Computer Application and Software，2008，25（10）：16－18 （in Chinese）.［程瞻，謝立.Web服務安全機制和安全技術 ［J］.計算機應用與軟件，2008，25 （10）：16－18.］

［5］LIU Zhidu，JIA Songhao，ZHAN Shihua.Research and application of SOAP security ［J］.Computer Engineering，2008，34 （5）：142－144 （in Chinese）. ［劉志都，賈松浩，詹仕華.SOAP協議安全性的研究與應用 ［J］.計算機工程，2008，34（5）：142－144.］

［6］HAN Tao，GUO Heqing.Research and implementation of a web services secure model［J］.Computer Engineering，2006，32 （10）：130－134（in Chinese）.［韓濤，郭荷清.Web服務安全模型的研究與實現 ［J］.計算機工程，2006，32 （10）：130－134.］

［7］IBM.Introduction to security assertion markup language（SAML）and SAML support in IBM web sphere application server version 7.0Fix Pack 7 ［S］.IBM WebSphere Web Services Security Development Software Group，2009.

［8］TU Xiaoyun.Design and implementation of data exchanging based on web service ［D］.Beijing：Beijing University of Chemical Technology，2007：6－15 （in Chinese）.［屠曉云.基于 Web Service的數據交換設計與實現 ［D］.北京：北京化工大學，2007：6－15.］

［9］XIE Hui，QIU Jinlun，SUN Fei.Research and design of Web Service with concurrency technology ［J］.Computer Engineering and Design，2008，29 （21）：5483－5486 （in Chinese）. ［謝輝，邱錦倫，孫斐.基于并發技術的 Web Service的設計與研究 ［J］.計算機工程與設計，2008，29 （21）：5483－5486.］

［10］CHEN Liguo，WANG Yanping.Research of service oriented architecture［J］.Computer Knowledge and Technology，2009，5 （3）：549－551 （in Chinese）.［陳利國，王艷萍.面向服務體系架構的研究 ［J］.電腦知識與技術，2009，5 （3）：549－551.］

［11］ WANG Yuanfan.Research on SOA of web services center［J］.Journal of Ningde Teachers College，2010，22 （1）：6－8（in Chinese）. ［王遠帆.以 Web服務為中心的SOA研究［J］.寧德師專學報，2010，22 （1）：6－8.］

［12］LV Hong－wei.Discussion of the web service technology in the SOA ［J］.Network and Communication，2010，22 （4）：75－78 （in Chinese）.［呂宏偉.SOA體系結構中的 Web Service技術 ［J］.電腦編程技巧與維護，2010，22 （4）：75－78.］

［13］RAN Chongshan，WANG Rui.Design and research of middlewarebased power industry asset management system ［J］.Computer Technology and Development，2008，18 （2）：194－196 （in Chinese）.［冉崇善，王瑞.電力企業EAM中間件系統的研究與設計 ［J］.計算機技術與發展，2008，18 （2）：194－196.］

［14］TANG Li. Design and development of enterprise asset management system ［J］.Power System Engineering，2009，25 （5）：59－62 （in Chinese）.［唐麗.電力企業資產管理系統（EAM）設計及開發 ［J］.電站系統工程，2009，25 （5）：59－62.］

［15］YANG Lin，HE Xixu，WU Gaofeng，et al.Research and design of EAM system based on workflow technology ［J］.Micro－Computer Information，2009，25 （7－3）：6－8 （in Chinese）. ［楊林，赫熙煦，吳高峰，等.基于工作流技術的EAM系統的研究與設計 ［J］.微計算機信息，2009，25 （7－3）：6－8.］