服务：SOA安全的祸根还是解决方案

开放群组(The Open Group)的SOA工作组负责人Chris Harding博士说，他本星期在多伦多参加开放群组SOA工作组的会议。SOA工作组最近一直忙于完成其治理框架，帮助完成开放群组的服务集成成熟模型，并且与OASIS和OMG等组织的成员一起完成一份共同编写的论文“Navigating the SOA Open Standards Landscape Around Architecture”(围绕架构的SOA开放标准环境导航)。这篇论文将解释这些机构的以架构为中心的SOA标准之间的相互关系。

　　Harding博士说，我们上个周末有许多事情要做。我们进行了讨论并且在“使用用于SOA的TOGAF实用指南”和“SOA参考架构”这两项工作方面取得了很好的进展。我们本周二开始讨论SOA和安全这个棘手的问题。我们与开放群组的安全论坛一起讨论了这个问题。

　　安全经常被看作是SOA的一个主要问题。这是我们本周二讨论的主题。这样看待这个问题也许是错误的。肯定会存在一些与服务链有关的安全问题。在这个服务链中，某些服务也许不在用户的控制之下，甚至用户都不知道这些服务。这个服务链中的所有的服务可能都不知道这个用户的身份。

　　但是，这些问题不是因为使用服务产生的，而是因为使用具有多个用户的分布式软件模块产生的。例如，无论这些基础设施是作为服务提供的还是以其它方式提供的，由于目标方式能够远程调用，安全问题都会出现。安全问题变得与SOA有关，因为那是目前跨域分布式计算经常采用的方式。

　　事实上，SOA为我们提供了解决这些安全问题的方法。安全是与评估和环境风险有关的事情。这个服务原则提供了做这个事情的极好的基础。

　　消费者可以提供一些问题以帮助建立这个风险水平。这些问题包括：我在使用什么服务?谁提供这些服务?他们按照合同将提供什么水平的安全?我在多大程度上认为他们能够并且将满足合同规定的义务?这些问题的答案有助于消费者决定部署什么安全机制。

　　在消费者接下来把服务提供给其他人的地方，这个分析能够帮助确定为这些服务提供的合同规定的合理的安全水平。

　　这并不是说SOA解决了跨域分布式计算的安全问题。这些问题是很难解决的。有许多访问的问题SOA都没有解决，如缺少一个普遍接受的标准的身份框架。不过，以正确的方式看待这个问题，这是积极的，而不是消极的因素。