对称加密算法 对称加密算法是应用较早的加密算法，技术成熟。在对称加密算法中，数据发信方将明文（原始数据）和加密密钥一起经过特殊加密算法处理后，使其变成复杂的加密密文发送出去。收信方收到密文后，若想解读原文，则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密，才能使其恢复成可读明文。在对称加密算法中，使用的密钥只有一个，发收信双方都使用这个密钥对数据进行加密和解密，这就要求解密方事先必须知道加密密钥。对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。不足之处是，交易双方都使用同样钥匙，安全性得不到保证。此外，每对用户每次使用对称加密算法时，都需要使用其他人不知道的惟一钥匙，这会使得发收信双方所拥有的钥匙数量成几何级数增长，密钥管理成为用户的负担。对称加密算法在分布式网络系统上使用较为困难，主要是因为密钥管理困难，使用成本较高。在计算机专网系统中广泛使用的对称加密算法有DES和IDEA等。美国国家标准局倡导的AES即将作为新标准取代DES。

DES

3DES

3DES是DES加密算法的一种模式，它使用3条64位的密钥对数据进行三次加密。数据加密标准（DES）是美国的一种由来已久的加密标准，它使用对称密钥加密法，并于1981年被ANSI组织规范为ANSI X.3.92。DES使用56位密钥和密码块的方法，而在密码块的方法中，文本被分成64位大小的文本块然后再进行加密。比起最初的DES，3DES更为安全。
3DES（即Triple DES）是DES向AES过渡的加密算法（1999年，NIST将3-DES指定为过渡的加密标准），是DES的一个更安全的变形。它以DES为基本模块，通过组合分组方法设计出分组加密算法，其具体实现如下：设Ek()和Dk()代表DES算法的加密和解密过程，K代表DES算法使用的密钥，P代表明文，C代表密表，这样，
3DES加密过程为：C=Ek3(Dk2(Ek1(P)))
3DES解密过程为：P=Dk1((EK2(Dk3(C)))

AES——对称密码新标准

对称密码体制的发展趋势将以分组密码为重点。分组密码算法通常由密钥扩展算法和加密（解密）算法两部分组成。密钥扩展算法将b字节用户主密钥扩展成r个子密钥。加密算法由一个密码学上的弱函数f与r个子密钥迭代r次组成。混乱和密钥扩散是分组密码算法设计的基本原则。抵御已知明文的差分和线性攻击，可变长密钥和分组是该体制的设计要点。  

AES是美国国家标准技术研究所NIST旨在取代DES的21世纪的加密标准。   

AES的基本要求是，采用对称分组密码体制，密钥长度的最少支持为128、192、256，分组长度128位，算法应易于各种硬件和软件实现。1998年 NIST开始AES第一轮分析、测试和征集，共产生了15个候选算法。1999年3月完成了第二轮AES2的分析、测试。预计在2000年8月AES的最终结果将公布。   
   
在应用方面，尽管DES在安全上是脆弱的，但由于快速DES芯片的大量生产，使得DES仍能暂时继续使用，为提高安全强度，通常使用独立密钥的三级DES。但是DES迟早要被AES代替。流密码体制较之分组密码在理论上成熟且安全，但未被列入下一代加密标准。  

非对称加密算法

asymmetric encoding algorithm
非对称加密算法需要两个密钥：公开密钥（publickey）和私有密钥（privatekey）。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。 非对称加密算法实现机密信息交换的基本过程是：甲方生成一对密钥并将其中的一把作为公用密钥向其它方公开；得到该公用密钥的乙方使用该密钥对机密信息进行加密后再发送给甲方；甲方再用自己保存的另一把专用密钥对加密后的信息进行解密。甲方只能用其专用密钥解密由其公用密钥加密后的任何信息。 非对称加密算法的保密性比较好，它消除了最终用户交换密钥的需要。

RSA算法演示

对称和非对称加密算法案例

SIM卡在GSM系统中的应用，使得卡和手机分离，一张SIM卡唯一标识一个客户。一张SIM卡可以插入任何一部GSM手机中使用，而使用手机所产生的通信费用则自动记录在该SIM卡所唯一标识的客户的帐户上.

我们在使用手机时，会接触到5种密码 ：SIM卡的PIN、PIN2、PUK、PUK2和手机密码。前四种初始密码都是SIM卡供应商移动、联通提供的，手机密码是手机生产商提供的。它们之间的关系如下：

1、PIN码(即PIN1码)就是SIM卡的个人识别密码 ，一般在修改前原始密码是1234，如果不是就不要再试了，打1860/1001咨询。打开开机PIN码，刚每次开机后就要输入PIN码！如果输入三次错误，需要用PUK码 解锁，PUK码 由移动、联通提供，如果输入十次错误会导致SIM卡烧毁，所以有问题不要自己随便猜测密码 ，马上找移动、联通。

  2、PIN2码是设定手机计费时使用的，如果输入三次错误需要用 PUK 2码解锁。目前移动、联通都不提供此项功能支持，即使PIN2密码锁死也不会影响手机正常使用。

  3、PIN码连续输入10次都是错误的话就会锁卡要求用PUK码 来解开，而PUK码的输入机会只有3次，3次都输错的话，SIM卡将会给永久锁死，即报废了。

  4、PUK码，不管你使用的是全球通还是神州行，网络服务商那里都有资料保存，一旦需要输入时，可以致电相应的服务热线来查询，先核对用户资料就行了。这些密码设定及更改都在菜单－其他设定－安全设定中。

   忘记PIN码可以用PUK码来解密，PUK密码一般不向用户提供，但某些SIM卡除外，比如神州行的用户就随卡提供PUK。如果你的SIM卡的PUK没有随卡提供，你可以到当地的网络运营商营业厅要求解锁，一般是免费的。

SIM外观
在实际使用中有两种功能相同而形式不同的SIM卡：卡片式（俗称大卡）SIM卡，这种形式的SIM卡符合有关IC卡的ISO7816标准，类似IC卡；嵌入式（俗称小卡）SIM卡，其大小只有25mm×15mm，是半永久性地装入到移动台设备中的卡。

“大卡”上真正起作用的是它上面的那张“小卡”，而“小卡”上起作用的部分则是卡面上的铜制接口及其内部胶封的卡内逻辑电路。目前国内流行样式是“小卡”，小卡也可以换成“大卡”（需加装一卡托）。“大卡”和“小卡”分别适用于不同类型的GSM移动电话，早期机型如摩托罗拉GC87C、308C等手机用的是“大卡”，而目前新出的机型基本上都使用“小卡”.

在SIM卡的背面有以五个一排，被排成四排的一组数字，在这组数字最前面的六位数字所代表的是中国的代号，就像从国外打电话到国内都需要先拨打86一样。第七位数字则代表的是接入号码，如果是5的话，那么这张SIM卡的电话号码前三位就是135的，而如果是6的话，则代表其前三位数字为136，其它的也都以此类推。第八位数字代表的是该SIM卡的功能位，一般情况下显示的数字为0。第九和第十位数字代表了该SIM卡所处的省份。至于第十一和第十二位数字则代表的是该SIM卡的年号，而第十三位数字则是SIM卡供应商的代码。从第十四位开始至第十九位数字则代表了该SIM卡的用户识别码。最后一个数字是校验位。

什么是Ki、IMEI、IMSI
国际移动设备识别码（IMEI：International Mobile Equipment Identification Number）是区别移动设备的标志，储存在移动设备中，可用于监控被窃或无效的移动设备。IMEI组成如下图所示，移动终端设备通过键入“*#06#”即可查得。其总长为15位，每位数字仅使用0～9的数字。其中TAC代表型号装配码，由欧洲型号标准中心分配；FAC代表装配厂家号码；SNR为产品序号，用于区别同一个TAC和FAC中的每台移动设备；SP是备用编码。

国际移动用户识别码（IMSI：International Mobile Subscriber Identification Number）是区别移动用户的标志，储存在SIM卡中，可用于区别移动用户的有效信息。IMSI组成如下图所示，其总长度不超过15位，同样使用0～9的数字。 其中MCC是移动用户所属国家代号，占3位数字，中国的MCC规定为460；MNC是移动网号码，最多由两位数字组成，用于识别移动用户所归属的移动通信网；MSIN是移动用户识别码，用以识别某一移动通信网中的移动用户。

Ki (Key identifier)是SIM卡与运营商之间加密数据传递的密钥。GSM的加密方式是一种称为comp-128的数字加密运算，当系统进行验证时会同时使用Ki及IMSI，经过一连串系统安全认证讯息后产生随机变量，并以A3算法进行加密运算与手机内存资料进行比对，当身份确认无误后始可入网。目前GSM使用的Ki长度是16 bytes，相当于128bits，若非经过特殊译码程序，使用者无法读取Ki，安全性极高，使用者无须担心有被盗打电话的顾虑。

由此看来，只要知道SIM卡的Ki、IMSI值，我们就可以通过软件仿真出SIM卡的功能，甚至可以利用多组Ki、IMSI值，用一张微处理器卡片来同时仿真本来需要多张SIM所完成的功能，这就是“一卡多号”技术。
SIM卡的软件特性
SIM卡采用新式单片机及存储器管理结构，因此处理功能大大增强。其智能特性的逻辑结构是树型结构。全部特性参数信息都是用数据字段方式表达，SIM卡中存有3类数据信息：

1. 与持卡者相关的信息以及SIM卡将来准备提供的所有业务信息，这种类型的数据存储在根目录下；
2. GSM应用中特有的信息，这种类型的数据存储在GSM目录下；
3.   GSM应用所使用的信息，此信息可与其他电信应用或业务共享，位于电信目录下。

在SIM卡根目录下有3个应用目录，一个属于行政主管部门应用目录，另外两个属于技术管理的应用目录，分别是GSM应用目录和电信应用目录。所有的目录下均为数据字段，有二进制的和格式化的数据字段。数据字段中的信息有的是永存性的即不能更新的，有的是暂存的需要更新的。每个数据字段都要表达出它的用途、更新程度、数据字段的特性。

SIM卡内部的数据
了解完SIM卡的大概之后，我们再来看看SIM卡具体都能存储哪些类型的数据。以目前的情况来看，SIM卡能够存储的数据类型主要被分为以下四种：
1. 由SIM卡生产厂商存入的系统原始数据
2. 存储手机的固定信息，手机在出售之前都会被SIM卡中心记录到SIM卡当中，主要包括鉴权和加密信息、国际移动用户识别码（IMSI）、IMSI认证算法、加密密匙生成算法、密匙生成前，用户密匙的生成算法（这三种算法均为128位）
3. 用户自己存入的数据，如短消息、固定拨号、缩位拨号、性能参数、话费记数等；能够存储有关的电话号码，也就是具备电话簿功能。
4. 有关于网络方面的数据，用户在用卡过程中自动存入和更新的网络接续和用户信息类数据，包括最近一次位置登记时手机所在位置识别号、设置的周期性位置更新间隔时间、临时移动用户号等。不过这种数据的存放是暂时性的，也就是说它并不是永久的存放于SIM卡之中。

 5.相关的业务代码，这一点相信也是大家很熟悉的，那就是非常重要的个人识别码(也就使我们平常所说的PIN码)，还有就  是解开锁定用的解锁码(PUK)等等。
　　
以上四种类型的数据都是存储在SIM卡当中的，而我们通常也是可以利用这些数据来进行手机的设置，每张SIM卡个人密码(PIN)都是可以由用户设置，利用加密的功能可以实现防止手机被其它人所盗用甚至被窃听，由此看来SIM卡不仅仅可以为我们提供打电话的功能，而且还为我们保护自己的隐私而提供了安全的保障。

SIM卡内部的数据都存放在各自的目录项内，第一类数据放在根目录，当电源开启后首先进入根目录，再根据指令进入相关的子目录，每种目录及其内部的数据域均有各自的识别码保护，只有经过核对判别以后才能对数据域中的数据进行查询、读出和更新。上面第一类数据通常属于永久性数据，由SIM卡生产厂商注入以后无法更改，第二类数据只有网络运行部门的专门机构才允许查阅和更新，第三、四类数据中的大部分允许用户利用手机对其进行读写操作。

SIM卡的类型
SIM卡的存储容量有3kB、8kB、16kB、32kB、64kB等。STK卡(SIM application Tool Kit)是SIM卡的一种，它能为手机提供增值服务，如移动梦网业务等。SIM卡能够储存多少电话号码和短信取决于卡内数据存储器EEPROM的容量（有2KB、3KB、8KB容量），假设一张EEPROM容量为8KB的SIM卡，可储存以下容量的数据：100组电话号码及其对应姓名、15组短信息、25组最近拨出的号码、4位SIM卡密码（PIN）。目前中国移动/中国联通实际对普通用户提供的多数是普通8K的SIM卡。

SIM卡的接口
    SIM卡是通过卡面上铜制接口来连接卡内逻辑电路与移动终端的，SIM卡芯片有8个触点，通常与移动设备连接需要6个触点。

SIM卡是一个装有微处理器（CPU）的芯片卡，它的内部有5个模块，并且每个模块都对应一个功能：微处理器CPU（8位）、程序存储器ROM（3～8kbit）、工作存储器RAM（6～16kbit）数据存储器EEPROM（16～256kbit）和串行通信单元。这5个模块被胶封在SIM卡铜制接口后与普通IC卡封装方式相同。这5个模块必须集成在一块集成电路中，否则其安全性会受到威胁，因为芯片间的连线可能成为非法存取和盗用SIM卡的重要线索。

SIM卡的供电分为5V（1998年前发行）、5V与3V兼容、3V、1.8V等，当然这些卡必须与相应的手机配合使用，即手机产生的SIM卡供电电压与该SIM卡所需的电压相匹配。SIM卡插入手机后，电源端口提供电源给SIM卡内各模块。

　　STK卡同原来的SIM卡一样，可以在普通GSM手机上使用。不同的是，STK卡是新一代的智能卡，具有很高的存储量。用户在GSM网点换上STK卡后，每月只需交纳20元左右的一笔固定费用（各省不同）。

• SOAP 封装：它定义了一个框架，该框架描述了消息中的内容是什么，谁应当处理它以及它是可选的还是必须的。
• SOAP 编码规则：它定义了一种序列化的机制，用于交换应用程序所定义的数据类型的实例。
• SOAP RPC 表示：它定义了用于表示远程过程调用和应答的协定。

　 　SOAP 消息基本上是从发送端到接收端的单向传输，但它们常常结合起来执行类似于请求 / 应答的模式。所有的 SOAP 消息都使用 XML 编码。一条 SOAP 消息就是一个包含有一个必需的 SOAP 的封装包，一个可选的 SOAP 标头和一个必需的 SOAP 体块的 XML 文档。

　 　把 SOAP 绑定到 HTTP 提供了同时利用 SOAP 的样式和分散的灵活性的特点以及 HTTP 的丰富的特征库的优点。在 HTTP 上传送 SOAP 并不是说 SOAP 会覆盖现有的 HTTP 语义，而是 HTTP 上的 SOAP 语义会自然的映射到 HTTP 语义。在使用 HTTP 作为协议绑定的场合中， RPC 请求映射到 HTTP 请求上，而 RPC 应答映射到 HTTP 应答。然而，在 RPC 上使用 SOAP 并不仅限于 HTTP 协议绑定。

协议结构

1.结构

SSL工作原理

    SSL协议使用不对称加密技术实现会话双方之间信息的安全传递。可以实现信息传递的保密性、完整性，并且会话双方能鉴别对方身份。不同于常用的http协议，我们在与网站建立SSL安全连接时使用https协议，即采用https://ip:port/的方式来访问。

当我们与一个网站建立https连接时，我们的浏览器与Web Server之间要经过一个握手的过程来完成身份鉴定与密钥交换，从而建立安全连接。具体过程如下：

1. 用户浏览器将其SSL版本号、加密设置参数、与session有关的数据以及其它一些必要信息发送到服务器。
2. 服务器将其SSL版本号、加密设置参数、与session有关的数据以及其它一些必要信息发送给浏览器，同时发给浏览器的还有服务器的证书。如果配置服务器的SSL需要验证用户身份，还要发出请求要求浏览器提供用户证书。
3. 客户端检查服务器证书，如果检查失败，提示不能建立SSL连接。如果成功，那么继续。
4. 客户端浏览器为本次会话生成pre-master secret，并将其用服务器公钥加密后发送给服务器。
5. 如果服务器要求鉴别客户身份，客户端还要再对另外一些数据签名后并将其与客户端证书一起发送给服务器。
6. 如果服务器要求鉴别客户身份，则检查签署客户证书的CA是否可信。如果不在信任列表中，结束本次会话。如果检查通过，服务器用自己的私钥解密收到的pre-master secret，并用它通过某些算法生成本次会话的master secret。
7. 客户端与服务器均使用此master secret生成本次会话的会话密钥(对称密钥)。在双方SSL握手结束后传递任何消息均使用此会话密钥。这样做的主要原因是对称加密比非对称加密的运算量低一个数量级以上，能够显著提高双方会话时的运算速度。
8. 客户端通知服务器此后发送的消息都使用这个会话密钥进行加密。并通知服务器客户端已经完成本次SSL握手。
9. 服务器通知客户端此后发送的消息都使用这个会话密钥进行加密。并通知客户端服务器已经完成本次SSL握手。
10. 本次握手过程结束，会话已经建立。双方使用同一个会话密钥分别对发送以及接受的信息进行加、解密。

运营商分析：

　　·CDN的国内领航者：从2000年起, 北京蓝汛通信技术有限公司（http://www.chinacache.com/）在中国首家引入内容分发网络（CDN——Content Delivery Network）的概念和技术，投资构建了节点遍布全国的ChinaCache CDN系统，成为中国第一家独立的专业CDN服务提供商。ChinaCache也是目前国内唯一获得信息产业部批准从事CDN业务的公司。

　 　目前，ChinaCache CDN的服务节点已在中国近30个主要城市开通运行，可服务的互联网用户超过全国总数的95%，总带宽资源超过8G， 很好地实现了不同地区用户访问量的负载均衡，优化了网络性能，提高了用户上网的访问效率。强大的技术力量和丰富的网络资源将使得ChinaCache可以 为各ISP、ICP、企业网站和互联网最终用户提供包括静态内容、动态内容、流媒体内容以及数据库等多种网络内容分发与应用服务。

　　ChinaCache 提供的CDN产品与服务包括：ChinaCache HTTP静态内容CDN服务、ChinaCache MDN流媒体内容发布与加速以及增值CDN服务。

　　·北京快网(http://www.fastweb.com.cn/)开发出了七大类产品。

　　北京快网在全国30多个骨干网络节点部署了加速节点（FastNode），组建成了一张覆盖范围广、性能稳定的CDN网络 – FastWeb CDN。FastWeb CDN在全国迅速而广泛的部署，为北京快网提供优质的CDN网站加速服务提供了强有力的保障。北京快网掌握有全国100多个城市或地区的骨干网络资源，随 时应对FastWeb CDN的扩充。

　　·网宿科技已经成为除电信运营商之外最大的专业IDC服 务商。2004年初，在电信运营商进行整合后，互联网出现了南北互访缓慢的问题，这时网宿科技及时地推出了解决南北互通提高网站访问速度的CDN网站加速 服务产品，如今CDN业务如火如荼的开展着，迅速得到了众多国内大型网站的认可，目前CDN服务已成为网宿科技的最新主推产品。

　　目前网宿科技(http://www.51cdn.com/)在全国八大区域部署有32个节点，遍布华东、华南、华中、西南、西北、华北、东北等地区，计划年底增加节点55个，整个CDN网络将覆盖全中国大陆地区。

　　网宿CDN提供：网页加速、动态内容加速、下载加速、流媒体点播加速、流媒体直播加速、CDN智能DNS服务、CDN地区广告服务、CDN快速传输服务。

    由于构建CDN系统需要大量的硬件资源和较高的技术实力，因此一般的运营商是无法自行建设CDN系统的，不少运营商都是与蓝汛合作以引入CDN业务。

    ·CDN＋虚拟主机：由于虚拟主机是IDC业 务中非常热门和非常基础的一项服务，因此虚拟主机在不断的更新换代中也融入了CDN技术，国内不少大型的虚机服务商也都为自己的虚机系统加入了CDN技 术，例如世纪东方（http://www.51web.cn/）和百优科技（http://www.100u.com/），这些运营商的虚机业务也深受广 大站长欢迎。

    另外还有一些在本地区范围内具备一定影响力的公司也可以为用户提供 CDN 服务，如下：

    数字证书采用公钥密码体制，即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私有密钥（私钥），用它进行解密和签名；同时拥有一把公共密钥（公钥）并可以对外公开，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样，信息就可以安全无误地到达目的地了，即使被第三方截获，由于没有相应的私钥，也无法进行解密。通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。在公开密钥密码体制中，常用的一种是RSA体制。

    用户也可以采用自己的私钥对信息加以处理，由于密钥仅为本人所有，这样就产生了别人无法生成的文件，也就形成了数字签名。采用数字签名，能够确认以下两点：
（1）保证信息是由签名者自己签名发送的，签名者不能否认或难以否认；
（2）保证信息自签发后到收到为止未曾作过任何修改，签发的文件是真实文件。

    数字证书可用于：发送安全电子邮件、访问安全站点、网上证券、网上招标采购、网上签约、网上办公、网上缴费、网上税务等网上安全电子事务处理和安全电子交易活动。

    数字证书的格式一般采用X.509国际标准。目前，数字证书认证中心主要签发安全电子邮件证书、个人和企业身份证书、服务器证书以及代码签名证书等几种类型证书。

X.509数字证书结构 （第三版）

版本号..................证书的版本标识符（例如，版本3）
序列号 .................标识证书的唯一整数
签名....................用于签证书的算法标识
颁发者 .................证书颁发者的唯一识别名
有效期 .................证书有效时间段
主体....................证书拥有者的唯一识别名
主体公钥信息 ...........证书拥有者的公钥（和算法标识符）
颁发者唯一标识符........颁发者的可选唯一标识符
主体唯一标识符 .........主体的唯一识别符
扩展部分 ...............可选的扩展

字段说明：
  ①版本号—标识证书的版本（版本1、版本2或是版本3）。
  ②序列号—由证书颁发者分配的本证书的唯一标识符。
  ③签名 —签名算法标识符，由对象标识符加上相关的参数组成，用于说明本证书所用的数字签名算法。例如，SHA-1和RSA的对象标识符 就用来说明该数字签名是利用RSA对SHA-1杂凑加密。
  ④颁发者—证书颁发者的可识别名（DN），这是必须说明。
  ⑤有效期—证书有效期的时间段。本字段由”Not Before”和”Not After”两项组成，它们分别由UTC时间或一般的时间表示（在RFC2459中有详细的时间表示规则）。
  ⑥主体 —证书拥有者的可识别名，这个字段必须是非空的，除非你在证书扩展中有别名。
  ⑦主体公钥信息—主体的公钥（以及算法标识符），这一项必须说明。
  ⑧颁发者唯一标识符—证书颁发者的唯一标识符，仅在版本2和版本3中有要求，属于可选项。
  ⑨主体唯 一标识符—证书拥有者的唯一标识符，仅在版本2和版本3中有要求，属于可选项。
  ⑩扩展 —可选的标准和专用的扩展（仅在版本2和版本3中使用），它们包括：
   ◆Authority密钥标识符—证书所含密钥的唯一标识符，用来区分同一证书拥有者的多对密钥。
   ◆密钥使用—一个比特串，指明（限定）证书的公钥可以完成的功能或服务，如：证书签名、数据加密等。
   ◆扩展密钥使用—由一个或多个对象标识符（OIDs）组成，可以说明证书密钥的特殊用途。有Internet策略限定，存取描述符限定[3]等，请参见RFC2459。
   ◆CRL分布点—指明CRL的分布地点。
   ◆私钥的使用期—指明证书中与公钥相联系的私钥的使用期限，它也有Not Before和Not After组成。若此项不存在时，公私钥的使用期是一样的。
   ◆证书策略—由对象标识符和限定符组成，这些对象标识符说明证书的颁发和使用策略有关。
   ◆策略映射—表明两个CA域之间的一个或多个策略对象标识符的等价关系，仅在CA证书里存在。
   ◆主体别名—指出证书拥有者的别名，如电子邮件地址、IP地址等，别名是和DN绑定在一起的。
   ◆颁发者别名--指出证书颁发者的别名，如电子邮件地址、IP地址等，但颁发者的DN必须出现在证书的颁发者字段。
   ◆主体目录属性—指出证书拥有者的一系列属性。可以使用这一项来传递访问控制信息。s

最近半年以来，在企业级应用开发领域，谈论最多的一个词，恐怕非SOA(Service-Oriented Architecture，面向服务架构)莫属。那么SOA究竟拥有什么样的魔力，能够让众多的软件厂商对他趋之若骛，掀起新的一轮企业架构浪潮。让我们在本文中一探SOA的究竟。
那么什么是SOA，让我们先从基本概念开始讲起。

什么是SOA?

SOA是一种架构模型，它可以根据需求通过网络对松散耦合的粗粒度应用组件进行分布式部署、组合和使用。服务层是SOA的基础，可以直接被应用调用，从而有效控制系统中与软件代理交互的人为依赖性。

SOA的关键是“服务”的概念，W3C将服务定义为：“服务提供者完成一组工作，为服务使用者交付所需的最终结果。最终结果通常会使使用者的状态发生变化，但也可能使提供者的状态改变，或者双方都产生变化”。

Service-architecture.com将SOA定义为：“本质上是服务的集合。服务间彼此通信，这种通信可能是简单的数据传送，也可能是两个或更多的服务协调进行某些活动。服务间需要某些方法进行连接。所谓服务就是精确定义、封装完善、独立于其他服务所处环境和状态的函数。”
Looselycoupled.com将SOA定义为：“按需连接资源的系统。在SOA中，资源被作为可通过标准方式访问的独立服务，提供给网络中的其他成员。与传统的系统结构相比，SOA规定了资源间更为灵活的松散耦合关系。”

Gartner则将SOA描述为：“客户端/服务器的软件设计方法，一项应用由软件服务和软件服务使用者组成……SOA与大多数通用的客户端/服务器模型的不同之处，在于它着重强调软件组件的松散耦合，并使用独立的标准接口。”

Gartner相信BPM和SOA的结合对所有类型的应用集成都大有助益??“SOA极大的得益于BPM技术和方法论，但是SOA面临的真正问题是确立正确的企业意识，即：强化战略化的SOA计划（针对供应和使用）并鼓励重用。”

虽然不同厂商或个人对SOA有着不同的理解，但是我们仍然可以从上述的定义中看到SOA的几个关键特性：一种粗粒度、松耦合服务架构，服务之间通过简单、精确定义接口进行通讯，不涉及底层编程接口和通讯模型。

需着重注意的是，SOA并不是新生事物??大型IT组织成功构建和部署SOA应用已有多年的历史??这要比现有的XML和Web服务长很多。IBM CICS和BEA TUXEDO就是过去被用于构建SOA应用的两种技术范例。

重点说明的是SOA并不是一种现成的技术，而是一种架构和组织IT基础结构及业务功能的方法。SOA是一种在计算环境中设计、开发、部署和管理离散逻辑单元（服务）的模型。这一定义阐明了SOA的范围。

SOA要求开发人员将应用设计为服务的集合。SOA要求开发人员跳出应用本身进行思考，考虑现有服务的重用，或思索他们的服务如何能够被其他项目重用。“单独的”、“独立的”、“封装完善的”服务所具有的一个关键的好处是，可以采用多种不同方法将它们组合成较大型的服务，由此来实现重用。

但是，SOA并不仅仅是一种开发方法??它还具有管理上的优点。例如，现在管理员可直接管理开发人员所构建的相同服务，这远胜于以往管理单个应用的方式。通过分析服务间的交互，SOA可以帮助企业了解何时以及为什么业务逻辑被切实执行了，这使管理员或分析师能够有针对性的优化业务流程。

SOA的基本特征

SOA的实施具有几个鲜明的基本特征。实施SOA的关键目标是实现企业IT资产的最大化重用。要实现这一目标，就要在实施SOA的过程中牢记以下特征：

q 可从企业外部访问
q 随时可用
q 粗粒度的服务接口
q 分级
q 松散耦合
q 可重用的服务
q 服务接口设计管理
q 标准化的服务接口
q 支持各种消息模式
q 精确定义的服务契约
我们现在开始依次讨论以上概念。

1  可从企业外部访问

通常被称为业务伙伴的外部用户也能像企业内部用户一样访问相同的服务。业务伙伴采用先进的B2B协议（ebXML或RosettaNet）相互合作。当业务伙伴基于业务目的交换业务信息时，他们就参与了一次会话。会话是业务伙伴间一系列的一条或多条业务信息的交换。会话类型（会话复杂或简单、长或短等）取决于业务目的。

除了B2B协议外，外部用户还可以访问以Web服务方式提供的企业服务。

2 随时可用

当有服务使用者请求服务时，SOA要求必须有服务提供者能够响应。大多数SOA都能够为门户应用之类的同步应用和B2B之类的异步应用提供服务。同步应用对于其所使用的服务具有很强的依赖性。
许多同步应用通常部署在前台，其最终用户很容易受到服务提供者短缺的影响。很多情况下，同步应用利用分布式服务提供者，这样可以响应更多的用户请求。但是，随着提供特定服务功能的服务器数量的增长，出现短缺的可能性也呈指数级上升。
相比之下，异步应用要更为稳健，因为其采用队列请求设计，因此可以容许出现服务提供者短缺或迟滞的情况。异步应用大多数情况下部署在后台，用户通常不会觉察到短暂的短缺。大部分情况下异步应用能够稳健应对短时间短缺，但是长时间短缺则会引发严重问题。在服务短缺解决、队列引擎将罕见的大量工作推到共享的应用资源中时，可能会出现队列溢出甚至服务死锁。
服务使用者要求提供同步服务时，通常是基于其自身理解或使用习惯。在多数情况下，采用异步模型可以达到同样的效果，但更能够体现SOA的最佳特性。
当然，并不是所有情况下都应当采用异步设计模式。但大多数情况下，异步消息可以确保系统在不同负荷下的伸缩性，在接口响应时间不是很短时尤其如此。

3  粗粒度服务接口

粗粒度服务提供一项特定的业务功能，而细粒度服务代表了技术组件方法。举个例说明最为清楚??向计费系统中添加一个客户是典型的粗粒度服务，而你可以使用几个细粒度服务实现同一功能，如：将客户名加入到计费系统中，添加详细的客户联系方式、添加计费信息等等。
采用粗粒度服务接口的优点在于使用者和服务层之间不必再进行多次的往复，一次往复就足够。Internet环境中有保障的TCP/IP会话已不再占据主导、建立连接的成本也过高，因此在该环境中进行应用开发时粗粒度服务接口的优点更为明显。
除去基本的往复效率，事务稳定性问题也很重要。在一个单独事务中包含的多段细粒度请求可能使事务处理时间过长、导致后台服务超时，从而中止。与此相反，从事务的角度来看，向后台服务请求大块数据可能是获取反馈的唯一途径。

4 分级

一个关于粗粒度服务的争论是此类服务比细粒度服务的重用性差，因为粗粒度服务倾向于解决专门的业务问题，因此通用性差、重用性设计困难。解决该争论的方法之一就是允许采用不同的粗粒度等级来创建服务。这种服务分级包含了粒度较细、重用性较高的服务，也包含粒度较粗、重用性较差的服务。
在服务分级方面，须注意服务层的公开服务通常由后台系统（BES's）或SOA平台中现有的本地服务组成。因此允许在服务层创建私有服务是非常重要的。正确的文档、配置管理和私有服务的重用对于IT部门在SOA服务层快速开发新的公开服务的能力具有重要影响。

5  松散耦合

SOA具有“松散耦合”组件服务，这一点区别于大多数其他的组件架构。该方法旨在将服务使用者和服务提供者在服务实现和客户如何使用服务方面隔离开来。
服务提供者和服务使用者间松散耦合背后的关键点是服务接口作为与服务实现分离的实体而存在。这是服务实现能够在完全不影响服务使用者的情况下进行修改。
大多数松散耦合方法都依靠基于服务接口的消息。基于消息的接口能够兼容多种传输方式（如HTTP、JMS、TCP/IP、MOM等）。基于消息的接口可以采用同步和异步协议实现，Web服务对于SOA服务接口来讲是一个重要的标准。
当使用者调用一个Web服务时，被调用的对象可以是CICS事务、DCOM或CORBA对象、J2EE EJB或TUXEDO服务等，但这与服务使用者无关。底层实现并不重要。
消息类Web服务通常是松散耦合和文档驱动的，这要优于与服务特定接口的连接。当客户调用消息类Web服务时，客户通常会发送的是一个完整的文档（如采购订单），而非一组离散的参数。Web服务接收整个文档、进行处理、而后可能或者不会返回结果信息。由于客户和Web服务间不存在紧密耦合请求响应，消息类Web服务在客户和服务器间提供了更为松散的耦合。

6  可重用的服务及服务接口设计管理

如果完全按照可重用的原则设计服务，SOA将可以使应用变得更为灵活。可重用服务采用通用格式提供重要的业务功能，为开发人员节约了大量时间。设计可重用服务是与数据库设计或通用数据建模类似的最有价值的工作。由于服务设计是成功的关键因此，因此SOA实施者应当寻找一种适当的方法进行服务设计过程管理。
服务设计管理根本上讲是服务设计问题，服务设计需要在两点间折衷??走捷径的项目战术与企业构建可重用通用服务的长期目标。
超越项目短期目标进行服务接口的开发和评估是迈向精确定义服务接口的重要一步，同时还需要为接口文档、服务实现文档及所有重要的非功能性特征设立标准。
在大型组织中实现重用的一个先决条件是建立通用（设计阶段）服务库和开发流程，以保证重用的正确性和通用性。此外，对记述服务设计和开发的服务文档进行评估也是成功利用服务库的关键。
简言之，不按规则编写服务将无法保证可提供重用性的SOA的成功实施。在执行规则的过程中会产生财务费用，需要在制定SOA实施计划时加以考虑。

7  标准化的接口

近年来出现的两个重要标准XML和Web服务增加了全新的重要功能，将SOA推向更高的层面，并大大提升了SOA的价值。尽管以往的SOA产品都是专有的、并且要求IT部门在其特定环境中开发所有应用，但XML和Web服务标准化的开放性使企业能够在所部署的所有技术和应用中采用SOA。这具有巨大的意义！
Web服务使应用功能得以通过标准化接口（WSDL）提供，并可基于标准化传输方式（HTTP和JMS）、采用标准化协议（SOAP）进行调用。例如，开发人员可以采用最适于门户开发的工具轻松创建一个新的门户应用，并可以重用ERP系统和定制化J2EE应用中的现有服务，而完全无须了解这些应用的内部工作原理。采用XML，门户开发人员无须了解特定的数据表示格式，便能够在这些应用间轻松地交换数据。
你也可以不采用Web服务或XML来创建SOA应用，但是这两种标准的重要性日益增加、应用日趋普遍。尽管目前只有几种服务使用者支持该标准，但未来大多数的服务使用者都会将其作为企业的服务访问方法。

8  支持各种消息模式

SOA中可能存在以下消息模式。在一个SOA实现中，常会出现混合采用不同消息模式的服务。
q 无状态的消息。使用者向提供者发送的每条消息都必须包含提供者处理该消息所需的全部信息。这一限定使服务提供者无须存储使用者的状态信息，从而更易扩展。
q 有状态的消息。使用者与提供者共享使用者的特定环境信息，此信息包含在提供者和使用者交换的消息中。这一限定使提供者与使用者间的通信更加灵活，但由于服务提供者必须存储每个使用者的共享环境信息，因此其整体可扩展性明显减弱。该限定增强了服务提供者和使用者的耦合关系，提高了交换服务提供者的服务难度。
q 等幂消息。向软件代理发送多次重复消息的效果和发送单条消息相同。这一限定使提供者和消费者能够在出现故障时简单的复制消息，从而改进服务可靠性。

9  精确定义的服务接口

服务是由提供者和使用者间的契约定义的。契约规定了服务使用方法及使用者期望的最终结果。此外，还可以在其中规定服务质量。此处需要注意的关键点是，服务契约必须进行精确定义。
META将SOA定义为：“一种以通用为目的、可扩展、具有联合协作性的架构，所有流程都被定义为服务，服务通过基于类封装的服务接口委托给服务提供者，服务接口根据可扩展标识符、格式和协议单独描述。”该定义的最后部分表明在服务接口和其实现之间有明确的分界。

SOA的优点

了解了SOA的定义和基本特征，最后我们再来看看SOA潜在的优点：

编码灵活性

可基于模块化的低层服务、采用不同组合方式创建高层服务，从而实现重用，这些都体现了编码的灵活性。此外，由于服务使用者不直接访问服务提供者，这种服务实现方式本身也可以灵活使用。

明确开发人员角色

例如，熟悉BES的开发人员可以集中精力在重用访问层，协调层开发人员则无须特别了解BES的实现，而将精力放在解决高价值的业务问题上。

支持多种客户类型

借助精确定义的服务接口和对XML、Web服务标准的支持，可以支持多种客户类型，包括PDA、手机等新型访问渠道。

更易维护

服务提供者和服务使用者的松散耦合关系及对开放标准的采用确保了该特性的实现。

更好的伸缩性

依靠服务设计、开发和部署所采用的架构模型实现伸缩性。服务提供者可以彼此独立调整，以满足服务需求。

更高的可用性

该特性在服务提供者和服务使用者的松散耦合关系上得以体现。使用者无须了解提供者的实现细节，这样服务提供者就可以在WebLogic集群环境中灵活部署，使用者可以被转接到可用的例程上。

SOA可以看作是B/S模型、XML/Web Service技术之后的自然延伸。SOA将能够帮助我们站在一个新的高度理解企业级架构中的各种组件的开发、部署形式，它将帮助企业系统架构者以更迅速、更可靠、更具重用性架构整个业务系统。较之以往，以SOA架构的系统能够更加从容地面对业务的急剧变化。