系統(tǒng)對(duì)接方案

1、系統(tǒng)對(duì)接設(shè)計(jì)1.1.1 對(duì)接方式系統(tǒng)與外部系統(tǒng)的對(duì)接方式以web service方式進(jìn)行。系統(tǒng)接口標(biāo)準(zhǔn)：本系統(tǒng)采用SOA體系架構(gòu)，通過(guò)服務(wù)總線(xiàn)技術(shù)實(shí)現(xiàn)數(shù)據(jù)交換以及實(shí)現(xiàn)各業(yè)務(wù)子系統(tǒng)間、外部業(yè)務(wù)系統(tǒng)之間的信息共享和集成，因此SOA體系標(biāo)準(zhǔn)就是我們采用的接口核心標(biāo)準(zhǔn)。主要包括：服務(wù)目錄標(biāo)準(zhǔn)：服務(wù)目錄API接口格式參考國(guó)家以及關(guān)于服務(wù)目錄的元數(shù)據(jù)指導(dǎo)規(guī)范，對(duì)于W3C UDDI v2 API結(jié)構(gòu)規(guī)范，采取UDDI v2的API的模型，定義UDDI的查詢(xún)和發(fā)布服務(wù)接口，定制基于Java和SOAP的訪(fǎng)問(wèn)接口。除了基于SOAP1.2的Web Service接口方式，對(duì)于基于消息的接口采用JMS或者M(jìn)Q的方式。

2、交換標(biāo)準(zhǔn)：基于服務(wù)的交換，采用HTTP/HTTPS作為傳輸協(xié)議，而其消息體存放基于SOAP1.2協(xié)議的SOAP消息格式。SOAP的消息體包括服務(wù)數(shù)據(jù)以及服務(wù)操作，服務(wù)數(shù)據(jù)和服務(wù)操作采用WSDL進(jìn)行描述。Web服務(wù)標(biāo)準(zhǔn)：用WSDL描述業(yè)務(wù)服務(wù)，將WSDL發(fā)布到UDDI用以設(shè)計(jì)/創(chuàng)建服務(wù)，SOAP/HTTP服務(wù)遵循WS-I Basic Profile 1.0，利用J2EE Session EJBs實(shí)現(xiàn)新的業(yè)務(wù)服務(wù)，根據(jù)需求提供SOAP/HTTP or JMS and RMI/IIOP接口。業(yè)務(wù)流程標(biāo)準(zhǔn)：使用沒(méi)有擴(kuò)展的標(biāo)準(zhǔn)的BPEL4WS，對(duì)于業(yè)務(wù)流程以SOAP服務(wù)形式進(jìn)行訪(fǎng)問(wèn)，業(yè)務(wù)流程之間的調(diào)用通

3、過(guò)SOAP。數(shù)據(jù)交換安全：與外部系統(tǒng)對(duì)接需考慮外部訪(fǎng)問(wèn)的安全性，通過(guò)IP白名單、SSL認(rèn)證等方式保證集成互訪(fǎng)的合法性與安全性。數(shù)據(jù)交換標(biāo)準(zhǔn)：制定適合雙方系統(tǒng)統(tǒng)一的數(shù)據(jù)交換數(shù)據(jù)標(biāo)準(zhǔn)，支持對(duì)增量的數(shù)據(jù)自動(dòng)進(jìn)行數(shù)據(jù)同步，避免人工重復(fù)錄入的工作。1.1.2 接口規(guī)范性設(shè)計(jì)系統(tǒng)平臺(tái)中的接口眾多，依賴(lài)關(guān)系復(fù)雜，通過(guò)接口交換的數(shù)據(jù)與接口調(diào)用必須遵循統(tǒng)一的接口模型進(jìn)行設(shè)計(jì)。接口模型除了遵循工程統(tǒng)一的數(shù)據(jù)標(biāo)準(zhǔn)和接口規(guī)范標(biāo)準(zhǔn)，實(shí)現(xiàn)接口規(guī)范定義的功能外，需要從數(shù)據(jù)管理、完整性管理、接口安全、接口的訪(fǎng)問(wèn)效率、性能以及可擴(kuò)展性多個(gè)方面設(shè)計(jì)接口規(guī)格。 接口定義約定客戶(hù)端與系統(tǒng)平臺(tái)以及系統(tǒng)平臺(tái)間的接口消息協(xié)議

4、采用基于HTTP協(xié)議的REST風(fēng)格接口實(shí)現(xiàn)，協(xié)議棧如圖4-2所示。圖表Error! No text of specified style in document.2接口消息協(xié)議棧示意圖系統(tǒng)在http協(xié)議中傳輸?shù)膽?yīng)用數(shù)據(jù)采用具有自解釋、自包含特征的JSON數(shù)據(jù)格式，通過(guò)配置數(shù)據(jù)對(duì)象的序列化和反序列化的實(shí)現(xiàn)組件來(lái)實(shí)現(xiàn)通信數(shù)據(jù)包的編碼和解碼。在接口協(xié)議中，包含接口的版本信息，通過(guò)協(xié)議版本約束服務(wù)功能規(guī)范，支持服務(wù)平臺(tái)間接口協(xié)作的升級(jí)和擴(kuò)展。一個(gè)服務(wù)提供者可通過(guò)版本區(qū)別同時(shí)支持多個(gè)版本的客戶(hù)端，從而使得組件服務(wù)的提供者和使用者根據(jù)實(shí)際的需要，獨(dú)立演進(jìn)，降低系統(tǒng)升級(jí)的復(fù)雜度，保證系統(tǒng)具備靈活的擴(kuò)展和持續(xù)

5、演進(jìn)的能力。 業(yè)務(wù)消息約定請(qǐng)求消息URI中的參數(shù)采用UTF-8編碼并經(jīng)過(guò)URLEncode編碼。請(qǐng)求接口URL格式：http|https:/host:port/app name/business component name/action；其中： 協(xié)議：HTTP REST形式接口 host：應(yīng)用支撐平臺(tái)交互通信服務(wù)的IP地址或域名 port：應(yīng)用支撐平臺(tái)交互通信服務(wù)的端口 app name：應(yīng)用支撐平臺(tái)交互通信服務(wù)部署的應(yīng)用名稱(chēng) business component name：業(yè)務(wù)組件名稱(chēng) action：業(yè)務(wù)操作請(qǐng)求的接口名稱(chēng)，接口名字可配置應(yīng)答的消息體采用JSON數(shù)據(jù)格式編碼，

6、字符編碼采用UTF-8。應(yīng)答消息根節(jié)點(diǎn)為“response”，每個(gè)響應(yīng)包含固定的兩個(gè)屬性節(jié)點(diǎn)：“status”和“message”。它們分別表示操作的返回值和返回消息描述，其他的同級(jí)子節(jié)點(diǎn)為業(yè)務(wù)返回對(duì)象屬性，根據(jù)業(yè)務(wù)類(lèi)型的不同，有不同的屬性名稱(chēng)。當(dāng)客戶(hù)端支持?jǐn)?shù)據(jù)壓縮傳輸時(shí)，需要在請(qǐng)求的消息頭的“Accept-Encoding”字段中指定壓縮方式(gzip)，如消息可以被壓縮傳輸則平臺(tái)將應(yīng)答的數(shù)據(jù)報(bào)文進(jìn)行壓縮作為應(yīng)答數(shù)據(jù)返回，Content-Length為壓縮后的數(shù)據(jù)長(zhǎng)度。詳細(xì)參見(jiàn)HTTP/1.1 RFC2616。 響應(yīng)碼規(guī)則約定響應(yīng)結(jié)果碼在響應(yīng)消息的“status”屬性中，相應(yīng)的

7、解釋信息在響應(yīng)消息的“message”屬性中。解釋消息為終端用戶(hù)可讀的消息，終端應(yīng)用不需要解析可直接呈現(xiàn)給最終用戶(hù)。響應(yīng)結(jié)果碼為6位數(shù)字串。根據(jù)響應(yīng)類(lèi)型，包括以下幾類(lèi)響應(yīng)碼。如表4-1中的定義。表4-1響應(yīng)碼對(duì)應(yīng)表響應(yīng)碼描述0成功1XXXXX系統(tǒng)錯(cuò)誤2XXXXX輸入?yún)?shù)不合法錯(cuò)誤3XXXXX應(yīng)用級(jí)返回碼，定義應(yīng)用級(jí)的異常返回。4XXXXX正常的應(yīng)用級(jí)返回碼，定義特定場(chǎng)景的應(yīng)用級(jí)返回說(shuō)明。 數(shù)據(jù)管理.1 業(yè)務(wù)數(shù)據(jù)檢查接口應(yīng)提供業(yè)務(wù)數(shù)據(jù)檢查功能，即對(duì)接收的數(shù)據(jù)進(jìn)行合法性檢查，對(duì)非法數(shù)據(jù)和錯(cuò)誤數(shù)據(jù)則拒絕接收，以防止外來(lái)數(shù)據(jù)非法入侵，減輕應(yīng)用支撐平臺(tái)系統(tǒng)主機(jī)處理負(fù)荷。對(duì)于接

8、口，其業(yè)務(wù)數(shù)據(jù)檢查的主要內(nèi)容有以下幾個(gè)方面：數(shù)據(jù)格式的合法性：如接收到非預(yù)期格式的數(shù)據(jù)。包括接收的數(shù)據(jù)長(zhǎng)度，類(lèi)型，開(kāi)始結(jié)束標(biāo)志等。數(shù)據(jù)來(lái)源的合法性：如接收到非授權(quán)接口的數(shù)據(jù)。業(yè)務(wù)類(lèi)型的合法性：如接收到接口指定業(yè)務(wù)類(lèi)型外的接入請(qǐng)求。對(duì)于業(yè)務(wù)數(shù)據(jù)檢查中解析出非法數(shù)據(jù)應(yīng)提供以下幾種處理方式：事件報(bào)警：在出現(xiàn)異常情況時(shí)自動(dòng)報(bào)警，以便系統(tǒng)管理員及時(shí)進(jìn)行處理。分析原因：在出現(xiàn)異常情況時(shí)，可自動(dòng)分析其出錯(cuò)原因。如是數(shù)據(jù)來(lái)源非法和業(yè)務(wù)類(lèi)型非法，本地記錄并做后續(xù)管理，如是數(shù)據(jù)格式非法，分析網(wǎng)絡(luò)傳輸原因或?qū)Χ藬?shù)據(jù)處理原因，并做相應(yīng)處理。統(tǒng)計(jì)分析：定期對(duì)所有的非法記錄做統(tǒng)計(jì)分析，分析非法數(shù)據(jù)的各種來(lái)源是否具有惡意，

9、并做相應(yīng)處理。.2 數(shù)據(jù)壓縮/解壓接口根據(jù)具體的需求應(yīng)提供數(shù)據(jù)壓縮/解壓功能，以減輕網(wǎng)絡(luò)傳輸壓力，提高傳輸效率，從而使整個(gè)系統(tǒng)能夠快速響應(yīng)并發(fā)請(qǐng)求，高效率運(yùn)行。在使用數(shù)據(jù)壓縮/解壓功能時(shí)，應(yīng)具體分析每一類(lèi)業(yè)務(wù)的傳輸過(guò)程、處理過(guò)程、傳輸?shù)木W(wǎng)絡(luò)介質(zhì)、處理的主機(jī)系統(tǒng)和該類(lèi)業(yè)務(wù)的并發(fā)量、峰值及對(duì)于所有業(yè)務(wù)的比例關(guān)系等，從而確定該類(lèi)業(yè)務(wù)是否需要壓縮/解壓處理。對(duì)于傳輸文件的業(yè)務(wù)，必須壓縮后傳輸，以減輕網(wǎng)絡(luò)壓力，提高傳輸速度。在接口中所使用的壓縮工具必須基于通用無(wú)損壓縮技術(shù)，壓縮算法的模型和編碼必須符合標(biāo)準(zhǔn)且高效，壓縮算法的工具函數(shù)必須是面向流的函數(shù)，并且提供校驗(yàn)檢查功能。 完

10、整性管理根據(jù)業(yè)務(wù)處理和接口服務(wù)的特點(diǎn)，應(yīng)用系統(tǒng)的業(yè)務(wù)主要為實(shí)時(shí)請(qǐng)求業(yè)務(wù)和批量傳輸業(yè)務(wù)。兩類(lèi)業(yè)務(wù)的特點(diǎn)分別如下：1.實(shí)時(shí)請(qǐng)求業(yè)務(wù)：(1)采用基于事務(wù)處理機(jī)制實(shí)現(xiàn)(2)業(yè)務(wù)傳輸以數(shù)據(jù)包的方式進(jìn)行(3)對(duì)傳輸和處理的實(shí)時(shí)性要求很高(4)對(duì)數(shù)據(jù)的一致性和完整性有很高的要求(5)應(yīng)保證高效地處理大量并發(fā)的請(qǐng)求2.批量傳輸業(yè)務(wù)：(1)業(yè)務(wù)傳輸主要是數(shù)據(jù)文件的形式(2)業(yè)務(wù)接收點(diǎn)可并發(fā)處理大量傳輸，可適應(yīng)高峰期的傳輸和處理(3)要求傳輸?shù)目煽啃愿吒鶕?jù)上述特點(diǎn)，完整性管理對(duì)于實(shí)時(shí)交易業(yè)務(wù)，要保證交易的完整性；對(duì)于批量傳輸業(yè)務(wù)，要保證數(shù)據(jù)傳輸?shù)耐暾浴?.1.3 接口雙方責(zé)任 消息發(fā)送方遵循本接口

11、規(guī)范中規(guī)定的驗(yàn)證規(guī)則，對(duì)接口數(shù)據(jù)提供相關(guān)的驗(yàn)證功能，保證數(shù)據(jù)的完整性、準(zhǔn)確性；消息發(fā)起的平臺(tái)支持超時(shí)重發(fā)機(jī)制，重發(fā)次數(shù)和重發(fā)間隔可配置。提供接口元數(shù)據(jù)信息，包括接口數(shù)據(jù)結(jié)構(gòu)、實(shí)體間依賴(lài)關(guān)系、計(jì)算關(guān)系、關(guān)聯(lián)關(guān)系及接口數(shù)據(jù)傳輸過(guò)程中的各類(lèi)管理規(guī)則等信息；提供對(duì)敏感數(shù)據(jù)的加密功能；及時(shí)解決接口數(shù)據(jù)提供過(guò)程中數(shù)據(jù)提供方一側(cè)出現(xiàn)的問(wèn)題； 消息響應(yīng)方遵循本接口規(guī)范中規(guī)定的驗(yàn)證規(guī)則，對(duì)接收的數(shù)據(jù)進(jìn)行驗(yàn)證，保證數(shù)據(jù)的完整性、準(zhǔn)確性。及時(shí)按照消息發(fā)送方提供的變更說(shuō)明進(jìn)行本系統(tǒng)的相關(guān)改造。及時(shí)響應(yīng)并解決接口數(shù)據(jù)接收過(guò)程中出現(xiàn)的問(wèn)題。 異常處理對(duì)接口流程調(diào)用過(guò)程中發(fā)生的異常情況，如流程異

12、常、數(shù)據(jù)異常、會(huì)話(huà)傳輸異常、重發(fā)異常等，進(jìn)行相應(yīng)的異常處理，包括： 對(duì)產(chǎn)生異常的記錄生成異常記錄文件。 針對(duì)可以回收處理的異常記錄，進(jìn)行自動(dòng)或者人工的回收處理。 記錄有關(guān)異常事件的日志，包含異常類(lèi)別、發(fā)生時(shí)間、異常描述等信息。 當(dāng)接口調(diào)用異常時(shí)，根據(jù)預(yù)先配置的規(guī)則進(jìn)行相關(guān)異常處理，并進(jìn)行自動(dòng)告警。1.1.4 接口的可擴(kuò)展性規(guī)劃與設(shè)計(jì)各個(gè)系統(tǒng)間的通信接口版本信息限定了各個(gè)系統(tǒng)平臺(tái)間交互的數(shù)據(jù)協(xié)議類(lèi)型、特定版本發(fā)布的系統(tǒng)接口功能特征、特定功能的訪(fǎng)問(wèn)參數(shù)等接口規(guī)格。通過(guò)接口協(xié)議的版本劃分，為客戶(hù)端升級(jí)、其他被集成系統(tǒng)的升級(jí)、以及系統(tǒng)的部署提供了較高的自由度和靈活性。系統(tǒng)可根據(jù)接口請(qǐng)求中包含的接口協(xié)議

13、版本實(shí)現(xiàn)對(duì)接口的向下兼容。系統(tǒng)平臺(tái)可根據(jù)系統(tǒng)的集群策略，按協(xié)議版本分別部署，也可多版本并存部署。由于系統(tǒng)平臺(tái)可同時(shí)支持多版本的外部系統(tǒng)及客戶(hù)端應(yīng)用訪(fǎng)問(wèn)系統(tǒng)，特別是新版本客戶(hù)端發(fā)布時(shí)，不要求用戶(hù)強(qiáng)制升級(jí)，也可降低強(qiáng)制升級(jí)安裝包發(fā)布的幾率。從而支持系統(tǒng)的客戶(hù)端與系統(tǒng)平臺(tái)分離的持續(xù)演進(jìn)。1.1.5 接口安全性設(shè)計(jì)為了保證系統(tǒng)平臺(tái)的安全運(yùn)行，各種集成的外部系統(tǒng)都應(yīng)該保證其接入的安全性。接口的安全是平臺(tái)系統(tǒng)安全的一個(gè)重要組成部分。保證接口的自身安全，通過(guò)接口實(shí)現(xiàn)技術(shù)上的安全控制，做到對(duì)安全事件的“可知、可控、可預(yù)測(cè)”，是實(shí)現(xiàn)系統(tǒng)安全的一個(gè)重要基礎(chǔ)。根據(jù)接口連接特點(diǎn)與業(yè)務(wù)特色，制定專(zhuān)門(mén)的安全技術(shù)實(shí)施策略，

14、保證接口的數(shù)據(jù)傳輸和數(shù)據(jù)處理的安全性。系統(tǒng)應(yīng)在接口的接入點(diǎn)的網(wǎng)絡(luò)邊界實(shí)施接口安全控制。接口的安全控制在邏輯上包括：安全評(píng)估、訪(fǎng)問(wèn)控制、入侵檢測(cè)、口令認(rèn)證、安全審計(jì)、防(毒)惡意代碼、加密等內(nèi)容。 安全評(píng)估安全管理人員利用網(wǎng)絡(luò)掃描器定期(每周)/不定期(當(dāng)發(fā)現(xiàn)新的安全漏洞時(shí))地進(jìn)行接口的漏洞掃描與風(fēng)險(xiǎn)評(píng)估。掃描對(duì)象包括接口通信服務(wù)器本身以及與之關(guān)聯(lián)的交換機(jī)、防火墻等，要求通過(guò)掃描器的掃描和評(píng)估，發(fā)現(xiàn)能被入侵者利用的網(wǎng)絡(luò)漏洞，并給出檢測(cè)到漏洞的全面信息，包括位置、詳細(xì)描述和建議改進(jìn)方案，以便及時(shí)完善安全策略，降低安全風(fēng)險(xiǎn)。安全管理人員利用系統(tǒng)掃描器對(duì)接口通信服務(wù)器操作系統(tǒng)定期(每周)

15、/不定期(當(dāng)發(fā)現(xiàn)新的安全漏洞時(shí))地進(jìn)行安全漏洞掃描和風(fēng)險(xiǎn)評(píng)估。在接口通信服務(wù)器操作系統(tǒng)上，通過(guò)依附于服務(wù)器上的掃描器代理偵測(cè)服務(wù)器內(nèi)部的漏洞，包括缺少安全補(bǔ)丁、詞典中可猜中的口令、不適當(dāng)?shù)挠脩?hù)權(quán)限、不正確的系統(tǒng)登錄權(quán)限、操作系統(tǒng)內(nèi)部是否有黑客程序駐留，安全服務(wù)配置等。系統(tǒng)掃描器的應(yīng)用除了實(shí)現(xiàn)操作系統(tǒng)級(jí)的安全掃描和風(fēng)險(xiǎn)評(píng)估之外還需要實(shí)現(xiàn)文件基線(xiàn)控制。接口的配置文件包括接口服務(wù)間相互協(xié)調(diào)作業(yè)的配置文件、系統(tǒng)平臺(tái)與接口對(duì)端系統(tǒng)之間協(xié)調(diào)作業(yè)的配置文件，對(duì)接口服務(wù)應(yīng)用的配置文件進(jìn)行嚴(yán)格控制，并且配置文件中不應(yīng)出現(xiàn)口令明文，對(duì)系統(tǒng)權(quán)限配置限制到能滿(mǎn)足要求的最小權(quán)限，關(guān)鍵配置文件加密保存。為了防止對(duì)配置文件

16、的非法修改或刪除，要求對(duì)配置文件進(jìn)行文件級(jí)的基線(xiàn)控制。 訪(fǎng)問(wèn)控制訪(fǎng)問(wèn)控制主要通過(guò)防火墻控制接口對(duì)端系統(tǒng)與應(yīng)用支撐平臺(tái)之間的相互訪(fǎng)問(wèn)，避免系統(tǒng)間非正常訪(fǎng)問(wèn)，保證接口交互信息的可用性、完整性和保密性。訪(fǎng)問(wèn)控制除了保證接口本身的安全之外，還進(jìn)一步保證應(yīng)用支撐平臺(tái)的安全。為了有效抵御威脅，應(yīng)采用異構(gòu)的雙防火墻結(jié)構(gòu)，提高對(duì)防火墻安全訪(fǎng)問(wèn)控制機(jī)制的破壞難度。雙防火墻在選型上采用異構(gòu)方式，即采用不同生產(chǎn)廠(chǎng)家不同品牌的完全異構(gòu)防火墻。同時(shí)，雙防火墻中的至少一個(gè)應(yīng)具有與實(shí)時(shí)入侵檢測(cè)系統(tǒng)可進(jìn)行互動(dòng)的能力。當(dāng)發(fā)生攻擊事件或不正當(dāng)訪(fǎng)問(wèn)時(shí)，實(shí)時(shí)入侵檢測(cè)系統(tǒng)檢測(cè)到相關(guān)信息，及時(shí)通知防火墻，防火墻能夠自動(dòng)進(jìn)行

17、動(dòng)態(tài)配置，在定義的時(shí)間段內(nèi)自動(dòng)阻斷源地址的正常訪(fǎng)問(wèn)。系統(tǒng)對(duì)接口被集成系統(tǒng)只開(kāi)放應(yīng)用定義的特定端口。采用防火墻的地址翻譯功能，隱藏系統(tǒng)內(nèi)部網(wǎng)絡(luò)，向代理系統(tǒng)提供翻譯后的接口通信服務(wù)器地址及端口，禁止接口對(duì)端系統(tǒng)對(duì)其它地址及端口的訪(fǎng)問(wèn)。對(duì)通過(guò)/未通過(guò)防火墻的所有訪(fǎng)問(wèn)記錄日志。 入侵檢測(cè)接口安全機(jī)制應(yīng)具有入侵檢測(cè)(IDS)功能，實(shí)時(shí)監(jiān)控可疑連接和非法訪(fǎng)問(wèn)等安全事件。一旦發(fā)現(xiàn)對(duì)網(wǎng)絡(luò)或主機(jī)的入侵行為，應(yīng)報(bào)警并采取相應(yīng)安全措施，包括自動(dòng)阻斷通信連接或者執(zhí)行用戶(hù)自定義的安全策略。實(shí)施基于網(wǎng)絡(luò)和主機(jī)的入侵檢測(cè)。檢測(cè)攻擊行為和非法訪(fǎng)問(wèn)行為，自動(dòng)中斷其連接，并通知防火墻在指定時(shí)間段內(nèi)阻斷源地址的訪(fǎng)問(wèn)，記錄日志并按不同級(jí)別報(bào)警，對(duì)重要系統(tǒng)文件實(shí)施自動(dòng)恢復(fù)策略。 口令認(rèn)證對(duì)于需經(jīng)接口安全控制系統(tǒng)對(duì)相關(guān)集成系統(tǒng)進(jìn)行業(yè)務(wù)操作的請(qǐng)求，實(shí)行一次性口令認(rèn)證。為保證接口的自身安全，對(duì)接口通信服務(wù)器和其它設(shè)備的操作和管理要求采用強(qiáng)口令的認(rèn)證機(jī)制，即采用動(dòng)態(tài)的口令認(rèn)證機(jī)制。 安全審計(jì)為了保證接口的安全，要求對(duì)接口通信服務(wù)器的