产品白皮书
5.3. XML和XSD
可扩展的标记语言XML?是Web Service平台中表示数据的基本格式。除了易于建立和易于分析外,XML主要的优点在于它既与平台无关,又与厂商无关。XML是由万维网协会(W3C)创建,W3C制定的XML SchemaXSD?定义了一套标准的数据类型,并给出了一种语言来扩展这套数据类型。
Web Service平台是用XSD来作为数据类型系统的。当你用某种语言如java来构造一个Web Service时,为了符合Web Service标准,所有你使用的数据类型都必须被转换为XSD类型。如想让它使用在不同平台和不同软件的不同组织间传递,还需要用某种东西将它包装起来。这种东西就是一种协议,如 SOAP。 5.4. SOAP
SOAP即简单对象访问协议(Simple Object Access Protocol),它是用于交换XML编码信息的轻量级协议。它有三个主要方面:XML-envelope为描述信息内容和如何处理内容定义了框架,将程序对象编码成为XML对象的规则,执行远程过程调用(RPC)的约定。SOAP可以运行在任何其他传输协议上。如可以使用 SMTP,即因特网电子邮件协议来传递SOAP消息,。在传输层之间的头是不同的,但XML有效负载保持相同。
Web Service 希望实现不同的系统之间能够用“软件-软件对话”的方式相互调用,打破了软件应用、网站和各种设备之间的格格不入的状态,实现“基于Web无缝集成”的目标。 5.5. WSDL
Web Service描述语言WSDL?就是用机器能阅读的方式提供的一个正式描述文档而基于XML的语言,用于描述Web Service及其函数、参数和返回值。因为是基于XML的,所以WSDL既是机器可阅读的,又是人可阅读的。
- 11 -
产品白皮书
5.6. UDDI
UDDI 的目的是为电子商务建立标准;UDDI是一套基于Web的、分布式的、为Web Service提供的、信息注册中心的实现标准规范,同时也包含一组使企业能将自身提供的Web Service注册,以使别的企业能够发现的访问协议的实现标准。
5.7. WS-Security技术
WS-Security 定义了一个用于携带安全性相关数据的 SOAP 标头元素。如果使用 XML 签名,标头可以包含由 XML 签名定义的信息,其中包括消息的签名方法、使用的密钥以及得出的签名值。同样,如果消息中的某个元素被加密,则 WS-Security 标头中还可以包含加密信息(例如由 XML 加密定义的加密信息)。WS-Security 并不指定签名或加密的格式,而是指定如何在 SOAP 消息中嵌入由其他规范定义的安全性信息。WS-Security 主要是一个用于基于 XML 的安全性元数据容器的规范。 5.8. 非对称加密技术
1976年,美国学者Dime和Henman为解决信息公开传送和密钥管理问题,提出一种新的密钥交换协议,允许在不安全的媒体上的通讯双方交换信息,安全地达成一致的密钥,这就是“公开密钥系统”。相对于“对称加密算法”这种方法也叫做“非对称加密算法”。
与对称加密算法不同,非对称加密算法需要两个密钥:公开密钥(publickey)和私有密钥(privatekey)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。
贸易方利用该非对称加密算法实现机密信息交换的基本过程是:贸易方甲生成一对密钥并将其中的一把作为公用密钥向其他贸易方公开;得到该公用密钥的
- 12 -
产品白皮书
贸易方乙使用该密钥对机密信息进行加密后再发送给贸易方甲;贸易方甲再用自己保存的另一把专用密钥对加密后的信息进行解密。贸易方甲只能用其专用密钥解密由其公用密钥加密后的任何信息。
非对称加密算法的保密性比较好,它消除了最终用户交换密钥的需要,但加密和解密花费时间长、速度慢,它不适合于对文件加密而只适用于对少量数据进行加密。
在微软的Window NT的安全性体系结构中,公开密钥系统主要用于对私有密钥的加密过程。每个用户如果想要对数据进行加密,都需要生成一对自己的密钥对(keypair)。密钥对中的公开密钥和非对称加密解密算法是公开的,但私有密钥则应该由密钥的主人妥善保管。
使用公开密钥对文件进行加密传输的实际过程包括四步:
(1)发送方生成一个自己的私有密钥并用接收方的公开密钥对自己的私有密钥进行加密,然后通过网络传输到接收方;
(2)发送方对需要传输的文件用自己的私有密钥进行加密,然后通过网络把加密后的文件传输到接收方;
(3)接收方用自己的公开密钥进行解密后得到发送方的私有密钥; (4)接受方用发送方的私有密钥对文件进行解密得到文件的明文形式。 因为只有接收方才拥有自己的公开密钥,所以即使其他人得到了经过加密的发送方的私有密钥,也因为无法进行解密而保证了私有密钥的安全性,从而也保证了传输文件的安全性。实际上,上述在文件传输过程中实现了两个加密解密过程:文件本身的加密和解密与私有密钥的加密解密,这分别通过私有密钥和公开密钥来实现。
- 13 -
产品白皮书
6. 产品特点和优势
6.1. 易用性
采用B/S模式设计,实现了集中管理灵活配置,用户不用进行大量的配置,只需通过简单的操作,就可完成数据共享交换。 6.2. 易扩展
系统采用SOA框架,很好适应未来的扩展需要。可以方便的扩展节点数量,在服务器上部署新的数据交换应用和更新数据交换原有应用。对传统的消息中间件进行了改进,实现节点的热部署,热配置。能实现节点的一次性添加。 6.3. 安全性
采用了WS-Security安全标准。数据传输采用安全性较高的SSL协议。采用前置机模式,实现了对源业务系统的隔离,保证了不对业务系统造成破坏和压力的增加。
6.4. 灵活的策略配置
为用户提供丰富的定时方式,周期可以是小时,周,月以及各种组合。支持定时,定次执行。支持某时间段内的执行等。支持策略交换和手动交换;支持一到一和一到多的数据交换;支持前置机到前置机/前置机到中心的数据交换。 6.5. 可靠传输
数据传输采用商用成熟的消息中间件,保证了数据不丢失,不会出现信息重发现象。传输过程因意外中断,当系统恢复时,数据会重新传输,实现断点续传。
6.6. 高效的数据传输性能
? 对传输的数据进行压缩处理,提高系统在网络上的传输性能。 ? 优化了数据传输的xml格式,最大限度的减少数据冗余。 ? 采用分段传输的方式,提高传输的效率。
- 14 -
产品白皮书
6.7. 完善的日志系统
提供共享交换的监控管理服务,以便对共享交换过程的有关情况进行记录,包括发起方、接受方、采用的共享/交换规则,策略的运行情况等 。能对发送日志和接收日志进行分析,验证发送和接收的一致性。对平台处理的同步交易进行记录。平台将记录交易的处理时间、处理状态、报文内容等信息,为交易跟踪和分析统计提供数据依据 6.8. 实时的节点监控系统
能通过中心对前置机的适配器和消息中间件的状态进行监控。及时了解各节点的运行状态。
6.9. 统一的安全权限认证服务
数据查询和交换必须经过中心认证服务器的认证。和传统的简单通过数据库的用户名和密码的方式相比,更可靠的保证了数据的安全性。 6.10. 良好的移植性
整个平台基于J2EE架构,支持系统与平台无关性,支持常见的操作系统: Windows XP/WindowsServer 2003/WindowsServer 2008/linux。支持Oracle、DB2、SQLServer等多种常见流数据库系统。支持多种常见Web应用服务器如:Tomact,Weblogic,Websphere
7. 产品运行环境
7.1. 中心节点服务器
? 操作系统软件Windows XP/WindowsServer 2003/WindowsServer 2008/linux(AIX)
? 数据库系统oracle10,DB2 ? 交换平台中心软件
? Web服务器 WebSphere6.0, WebLogic10 ,Tomact ? 硬件配置要求:2路CPU,主频2GHz以上;4GB 内存;
- 15 -
产品白皮书
7.2. 交换节点服务器
? 系统软件:Windows XP/WindowsServer 2003 ? 交换平台客户端软件 ? Web服务器 Tomact ? 数据库:mysql5.0
? 硬件配置要求:主频2GHz以上;1GB 内存; 硬盘 20G
8. 成功案例
? 数字乌海城市数字化应用一级平台
数据共享交换平台为乌海市建立起了政府内部的协同机制,提高政府工作效率,提升公共服务能力打下坚实的基础。 ? 贵阳市城市应急指挥资源共享平台
通过数据共享交换平建立了有效的跨部门应用服务模式,建立跨部门交换与共享的长效机制,以及制定信息资源共享交换管理和维护机制。
- 16 -