最近，Nucleus研究公司(Nucleus Research)的調查顯示，服務導向架構(SOA)有被市場的大玩家們夸大其詞的跡象。“SOA被宣傳得非常棒，但物極必反。”Nucleus公司高級分析師戴維·奧康尼爾(David O'Connell)認為。

　　該公司通過調查發現，企業部署SOA的實際比例沒有宣傳的那么高，因為SOA通常部署于單個項目或少數項目。“現在SOA都是部署在最好的部門，至少是限制在標準化的特殊的項目上。”因為如此，SOA的投資回報率也由于部署范圍有限而受到了限制，調查發現，通常用戶沒有因為投資SOA而獲得很大的回報，只有少數部署SOA的參與調查企業聲稱取得了回報。

　　預期與現實的差距正是SOA成長的煩惱，隨著SOA逐漸成為一項主流技術，供應商需要幫助企業用戶更好地評估他們的SOA架構部署。要做的事情還有很多。

　　制訂標準

　　軟件廠商們將SOA描繪成幫助企業提高開發效率，縮短開發周期，在異構環境下促進系統整合，以及通過使用標準化的可重用的組件優化商業流程的工具。目前尚沒有充分的理由懷疑這些目標用途。但企業用戶仍然充滿疑慮：在沒有統一標準的情況下，如何界定SOA呢？

　　事實上，供應商之間對SOA標準的認定還存在著分歧，目前尚不存在統一的SOA標準，各家都有不同的技術規范。對此，賽迪顧問股份有限公司軟件產業研究中心總經理牟淑慧認為，SOA標準制定進程比較緩慢，在標準沒有統一之前，對于中國企業而言，很難持開放的心態部署SOA。“在采納SOA技術時，具體用松耦合還是緊耦合，顆粒度粗細要多大，這些目前都沒有很好的標準，因此客戶相對會比較謹慎。”易觀國際有限公司建議，企業用戶在技術選型時，應當對IT廠商在SOA國際標準或規范的遵從方面加以考察。如果不遵從SOA標準規范，將使其整合異構系統的功能大打折扣。

　　從這個意義上說，誰主導了SOA標準的制訂，誰就將成為SOA市場的領導者。國際商業機器公司(IBM)正試圖成為該領域的標準制訂者，其在推動建立SOA標準方面表現的尤為積極。他與甲骨文公司(Oracle)、畢益輝系統有限公司(BEA Systems)以及中國的普元軟件技術(上海)有限公司等18家廠商共同向結構化信息標準促進組織(OASIS)遞交了旨在簡化SOA應用開發的服務組件架構(SCA)/服務數據對象(SDO)規范，通過開放式標準過程進行推動。但目前為止，這僅僅是一個規范而非“標準”，微軟公司(Microsoft)就獨立于該規范的制定進程之外。有分析認為，SOA國際標準的制定和通過可能需要數年的時間。

　　“企業用戶往往會有短視的行為，根據眼前利益上一些系統，結果要花很大的成本去整合這些系統。” 牟淑慧建議，在SOA早期應用階段，企業用戶盡量不要和一家廠商合作，而是要和供應商、咨詢服務公司、集成商等多方合作，以免將來由于標準問題出現SOA“孤島”。

　　培養人才

　　在推廣SOA概念的同時，供應商也發現，企業用戶普遍缺乏相關的SOA技能。《信息周刊》的SOA應用調查數據顯示，四分之三的參與調查企業希望在部署SOA過程中借助外部資源。“只有客戶也具備足夠的IT能力，才能帶來SOA真正的發展。”IBM 大中華區軟件集團總經理拜特·德米克(Bete Demeke)表示。

　　供應商正采取行動加快SOA人才的培養。前不久，IBM與用友軟件股份有限公司(下稱用友)聯合成立了“用友SOA創新中心”，加強雙方在SOA領域的深層次合作，這也是IBM與合作伙伴在全球成立的第六家SOA創新中心。此前，IBM還和浪潮集團成立了SOA創新中心。

　　作為IBM培養SOA人才及技術合作計劃的一部分，IBM希望通過這些合作，未來3年內幫助其他企業培養100個SOA高級架構師，1,000個SOA設計師，一萬個SOA開發者。 “技術提供商、服務提供商、獨立軟件開發商(ISV)、集成商(SI)，還有用戶，大家需要一起應對挑戰。”德米克認為。

　　SOA早期部署者通常積累了成功或失敗的經驗，對后來者也有啟發意義。如同中國企業早期部署企業資源計劃(ERP)，較為成功的企業曾經培養出一批優秀的ERP人才，這些人才后來成為各個企業的搶手貨。現在SOA的部署也在經歷這樣一個階段。中遠集裝箱運輸有限公司自2004年開始采用SOA搭建了新的EDI平臺，其內部IT人員經過幾年實踐，積累了豐富的SOA應用經驗，現在他們開始向其他企業提供相關的咨詢服務。

　　降低成本

　　除了技術和人才因素，部署SOA的成本高昂也讓企業用戶躑躅不前。企業如果應用SOA需要支付不菲的軟件費用和居高難下的咨詢服務費。

　　“SOA提供給客戶一個現代的、靈活的應用軟件基礎架構。但是用戶需要不斷地增加額外支出才可以最終實現目標。”紅帽軟件(北京)有限公司(RedHat，下稱紅帽)在接受《信息周刊》采訪時稱。紅帽相關人士表示，如今IT企業的主管人員都面臨著花更少的錢辦更多的事情的挑戰。

　　這就意味著他們需要一個靈活高效的應用軟件基礎架構去面對不斷變化的商業需求。并且這些又不會花費大量的資金。為此，紅帽把其開源體系結構整合成一套虛擬化操作系統平臺，其中有一整套組件和展開基于SOA的解決方案。紅帽希望這種符合開源標準的低成本部署模式能夠吸引到更多的用戶。

　　研究機構高德納公司(Gartner)曾經預測到2010年將有80%的新關鍵業務應用會采用SOA技術，這顯然也是SOA技術供應商所期望的。如果預言成真，屆時SOA將成為一個巨大的市場。但在SOA技術成長曲線進入快速攀升期之前，供應商們必須先解決掉標準、人才、價格等攔路虎。唯有如此，SOA才能“飛入尋常百姓家”。

　　SOA部署的障礙

　　文化：SOA要求開發者重用其他人開發的代碼，但開發者有時只想是代碼的“創造者”，而不是“修改者”。

　　培訓：開發者需要取得新的與SOA服務相關的技能，但通常缺乏培訓基金。

　　成本：軟件許可證和咨詢顧問價格不菲，公司或分支機構往往不愿支付這些費用。

　　技術：供應商需要發現一種技術方式，幫助企業降低部署難度和部署成本。

　　內部擁護者的缺少：管理者自身沒有SOA經驗，也缺乏部署SOA的動力。

　　與大多數新興技術一樣，SOA在中國的早期部署用戶大多集中于電信、金融、航運等大型企業和政府機構。畢竟，只有這些具備較為成熟、完善、領先IT系統的用戶，才有主動了解新技術與新趨勢的強烈動力；同時，由于這些企業所處的市場環境變化快，存在建立更具靈活性IT基礎架構的迫切之需，因此更容易率先采用SOA。

　　但較為審慎的觀點認為，SOA在“試金石”企業發揮的價值尚不能就此蓋棺定論。通常，新技術的早期部署都存在一定的風險性，對于新生事物SOA，企業用戶通常不會一開始就全盤接受，而是采取逐步測試策略，需要較長的時間來衡量SOA價值。

　　過于強調SOA價值與趨勢，而風險提示不足，這不能不令人聯想起當年ERP早期應用階段遭遇到的大規模部署失敗經歷。

　　因此，在技術廠商的積極推動與誘惑下，如何保持適合自身的應用平衡，正成為企業用戶的一大考驗。

　　部署前的準備

　　在ERP的第一波應用浪潮時期，中國企業內部治理結構與流程化軟件之間的沖突釀就了ERP的多起失敗案例。今天，類似的疑問同樣落在了SOA身上。在現實的中國企業治理環境下，SOA需要正視市場需求，而不是試圖構建理想中的“烏托邦”模式。

　　江蘇省南京市玄武區政府基于SOA架構，搭建了統一的電子政務基礎平臺。不僅如此，作為該區“陽光政務”工程的組成部分，在電子政務平臺之上，玄武區還成功地整合了財務、計生、民政、發改、衛生、市容等政務應用系統，建立了一個能夠在線自動化處理行政審批業務的網上虛擬電子政務大廳。

　　不過，盡管玄武區政府信息中心主任呂明高度評價該項目的技術實現和技術構架，但是政府機構自身的行政劃分，卻使系統的許多功能未能有效發揮。呂明坦承，不管是基于國際商業機器公司(IBM)的架構系統，抑或是來自其他廠商的系統，還是玄武區自身開發的系統，都可以在SOA的架構里面得到重用，并通過基于標準卻又具備靈活性的架構得到集成。項目同時也基本達到了政務公開的目標，大幅提高了政府辦事效率。但是，這并不能真正實現信息的完全整合，比如工商、稅務等市屬垂直管理部門的數據目前依然很難整合到統一平臺上，原因是目前行政管理劃分上存在障礙。

　　一些國外的SOA應用案例顯示，即便是歐洲企業，它們與美國企業在SOA的部署方式上也不盡相同。IBM軟件集團WebSphere全球副總裁桑蒂·卡特(Sandy Carter)透露，歐洲企業采納SOA比美國企業更快，這是因為SOA比較面向流程，而歐洲企業普遍對流程非常注重。英國的標準人壽保險公司(Standard Life)定義了300多個可重用的網絡服務(Web Service)措施，并以這些網絡服務搭建新的服務產品。該項目純粹從技術入手，卻通過SOA提升了客戶關系管理和客戶服務的能力。而作為典型的美國用戶，美洲銀行(Bank of America)采取了另一種模式。美洲銀行部署SOA時，首先選擇了企業服務總線(ESB)，把原來的IT系統從點到點的連接轉變為用ESB連接。

　　顯然，不同的公司治理環境決定了不同的SOA部署方式。因此，卡特建議中國的企業用戶，SOA部署可以從一個小項目開始，從而避免可能的風險。卡特特別提醒中國用戶，需要多注意SOA的治理模型，以及流程管控，以保證項目順利進行。

　　《信息周刊》2006年所做的SOA應用調查也發現，雖然大多數被調查企業都認可SOA的業務價值，但如何與公司管理層溝通該業務價值仍然是一個不小的障礙。對此，IBM表示，為了縮小IT團隊與企業管理者之間對SOA的認識差距，該公司已經開發出了名為Innov8的互動SOA游戲，可以進行交互式的模擬業務流程管理(BPM)三維學習，幫助用戶預見部署SOA過程中可能出現的各種問題。

　　復雜的中國市場

　　中國企業部署SOA的復雜之處并非全在于治理難題，還在于劇烈變化的市場環境。作為新興市場，一些本土企業的商業創新甚至領先于跨國企業，因此也面臨更多未知的問題。不過，這恰恰也意味著，為了洞察商業未來，中國企業需要建立更具靈活性、適應性、擴展性的IT基礎架構，因此，SOA存在巨大的發揮機會和應用空間。

　　蘇寧電器股份有限公司(下稱蘇寧)的目標是成為世界級的家電零售巨頭，用他們的話說就是成為“行業標準的制訂者”，但現實的市場形勢并不容樂觀。競爭對手國美電器控股有限公司收購了另一家重量級家電零售商永樂(中國)電器銷售有限公司，擴充了門店規模及實力。蘇寧的應對策略是，保持前臺門店高速擴張，同時加強后臺管理，包括建立高度靈活又能實現高度管控的系統架構，通過IT提升運營能力。“蘇寧能夠實現高速穩健的增長，在于前臺、后臺的投入是比較均衡的。”蘇寧執行總裁孫為民稱。

　　去年4月，蘇寧上線了新的SAP零售業解決方案，如今跨地區跨平臺管理，異地遠程實時監控、業務托管等都已不在話下。目前，IBM公司又在幫助蘇寧用SOA重新構架其IT系統，建立適合未來業務發展的流程，以實現更快的業務擴張。

　　但是，由于中國市場變化迅速，對于未來業務的發展以及流程的變化，多數企業不像蘇寧擁有清晰的戰略以及詳細的規劃。“部署SOA最好應該有一張明晰的路線圖，”賽迪顧問股份有限公司軟件產業研究中心總經理牟淑慧提醒道，部署SOA之前，企業用戶最好做好IT規劃，不然要么沒完沒了地修修補補，要么付出很大的成本去替換和整合系統，代價很大。

　　牟淑慧進一步建議，在實施SOA時，企業的原有系統如果利用率比較高，可以充分發揮原有系統的價值，通過對系統代碼進行劃分、打包、封裝，實現可重用。在上線新系統的時候，則要注意與原有系統的接口，要用基于SOA的思想去設計規劃新的信息系統。

　　業務驅動

　　經歷過早年趕時髦盲目上馬ERP的慘痛教訓，中國企業對部署新技術的態度正變得越來越現實與客觀。部署SOA應由業務需求驅動，正成為企業的共識。中國移動集團公司山西有限公司(下稱山西移動)當時采納SOA，正是出于應對移動通信產業劇烈變化帶來的業務轉型壓力之舉。

　　近幾年以來，隨著電信與IT工業的融合，三網在IP上的融合，使電信、媒體和互聯網的界限越來越模糊，谷歌公司(Google)、雅虎公司(Yahoo)等給移動通信產業帶來了觀念和現實的沖擊。“一般5年就會有一次大的技術變動，而電信行業每過7年就會有大的變動。因此，再過3年電信行業就會非常困難非常艱苦。”山西移動IT規劃研究室主任陳鋼認為。

　　互聯網創新技術的挑戰使移動通信公司不僅對新技術非常敏感，而且更加強調服務模式的創新，并通過細分市場服務不同客戶。“通信已經不是‘業務’而是一項‘網絡服務’，”陳鋼說。業務流程已成為移動通信企業的制勝關鍵，山西移動也必須通過流程改進，將后臺系統前移，從而適應市場的變化。

　　作為中國移動通信集團公司的全資子公司，山西移動成立之時，中國的移動通信正處于飛速發展時期，在短短的6年里，山西移動迅速成長為年收入達68億元，服務網點覆蓋山西全省上百個縣(市)，用戶愈750萬的大企業。

　　經過近6年的努力，山西移動在業務快速增長的同時，建成了以支撐網絡、網管中心和基于辦公自動化的企業業務管理網三大分支為主體的IT基礎架構體系。而在每一個分支下面，又包含若干個應用系統，比如支撐網就是由計費系統、數據倉庫系統和客戶服務系統等應用系統構成的復雜體系。然而，這樣的IT應用結構，真正面對不斷變化的客戶服務需求時，往往因為業務流程間缺乏統一的規劃，致使服務于不同業務的流程彼此相互分割。

　　于是，山西移動痛下決心改造IT架構，而改造的核心是SOA。“SOA可以實現內外部的協同，可以做到隨處可用、良好信用、簡單易用。”陳鋼認為。

　　山西移動的業務流程改造目標是從網絡為中心轉變為以服務為中心，成為實現“信息專家”的戰略定位。這一目標驅動了IT架構向SOA的轉變。“只有快速應變的架構才能在今后的5年內成為幸存者。”陳鋼說道。

　　目前，山西移動通過基于SOA架構搭建“企業創新業務平臺”，構建了流程清晰、響應及時的業務服務體系，幫助企業快速應對市場需求和變化，實現創新；同時，靈活的、可擴展的企業IT基礎架構平臺可以有效提升企業運營效率、IT系統靈活性以及客戶服務水平。至今，山西移動的客戶投訴響應時間已經從數天降為5分鐘；客戶綜合信息查詢時間從15分鐘降為實時。

　　“SOA能夠幫助中國企業提供快速的產品和快速的服務，從而應對全球化的壓力。”IBM大中華區軟件集團總經理拜特·德米克(Bete Demeke)表示。他認為，SOA主要面臨技能的挑戰，包括業務的驅動以及企業IT的能力。

　　“首先要看這個企業有沒有業務驅動力來做，比如提高客戶需求、進入新市場、提供好的服務等，要找出他們的業務驅動力。”德米克透露，IBM會根據企業的業務驅動力排優先級；既可以提供端到端的解決方案，又可以從SOA的5個切入點單個切入；或者先進行人員、流程、信息整合；再或者從IT角度進行系統的整合。

　　毋庸置疑，新興技術總是機遇與風險并存。與ERP的早期應用類似，SOA可能會改造出全新的企業運營模式，也可能釀成一場IT災難。在欣欣向榮的SOA浪潮中，保持足夠的清醒以及對業務趨勢的深入認識，對企業用戶與SOA的共舞有百利而無一弊。

　　華電集團的SOA實踐

　　SOA在中國華電集團公司(下稱華電集團)不僅意味著整合，而且意味著新應用平臺的建設。該集團信息中心主任唐義良分析道，國內發電企業IT面臨諸多挑戰，包括IT治理如何促進業務部門和IT部門的協作；IT架構如何適應業務的流程變化；以及如何集成異構系統的數據等。

　　為此，華電集團希望建立新的架構平臺，支持靈活的企業目標和業務模型，適應快速變化的電力市場；實現各地電廠信息資源的共享；將現有系統功能模塊改造成可重用的獨立服務；培植并構建新的服務和新的流程。

　　在實際操作中，華電集團采用了兩條產品線，一條包括IBMDB2 V9數據庫，IIG系統，Websphere中間件以及Netapp存儲和Juniper網絡系統。另一條則采用了Oracle數據庫和畢益輝系統公司(BEA Systems)的Weblogic中間件。

　　華電集團在新的平臺上全面采用J2EE的架構。“我們的SOA策略是：采用面向服務的集成策略，在SOA環境下應用WEB服務進行集成，并逐步過渡到SOA架構的實施技術路線。”唐義良說道。

　　唐義良強調，華電集團新建的系統一定要在SOA平臺上建設；而不是新建一個系統，再在SOA平臺上整合。此外，項目團隊的組成也十分關鍵。華電集團的SOA項目管理由決策層、領導層、業務需求管理團隊、項目建設運維團隊組成，同時由數據庫管理員、流程管理員、門戶管理員以及存儲管理員等提供技術支持。

　　讓CEO接受SOA的10條建議

　　一、談業務，而不是先提SOA。在進入技術層面的討論前，要用業務的語言，說明SOA帶來的價值和好處。這些價值和好處，要和企業的目標掛鉤，比如成本降低、提高生產效率、增強競爭優勢等。

　　二、展示前景，而不是具體描述。概括出SOA策略的長期和短期結果，避免討論具體的描述性數據。

　　三、在整個公司建立共識。在公司招募志愿部門先參與小型試驗項目。通過這些小型項目來證明SOA的價值。記得，要讓那些以后你需要的部門領導們參與進來。

　　四、從小事做起，但要有宏觀視野。在選擇小型測試項目時，要選擇那些在整個公司都廣泛使用、具有全公司積極影響的業務流程先進行整合和自動化。

　　五、不要再說SOA這三個字母。雖然這個技術術語非常容易被記住，大家也很容易理解，但記住，當你想向CEO證明這是一個重要的策略性項目時，他們可能并不理解這三個簡寫字母背后的深刻含義。

　　六、單刀直入討論最重要的要點。不要用復雜的PPT演示文檔，這可能會讓會議達不到真正的目的。

　　七、信心和預測。清晰明白地說明實施SOA的每一步目標，公開宣傳企業基于SOA后可以實現的目標。比如提高多少生產效率，或者降低多少百分比的成本，這樣就能比較容易地樹立起對整個項目和戰略的信心。

　　八、引用第三方研究數據來驗證。引用分析師的數據來說明SOA的部署和增長，闡述SOA在同行業中的成功故事(特別是競爭對手的)。

　　九、談話結尾：SOA會帶來什么？闡述采用SOA前后對企業的具體影響，消除敵意，贏得CEO的支持。

　　十、定性與定量。在實施SOA過程中，每一步都要制定目標，追蹤表現結果，并優化方法。定期與利益相關方分享結果，證明公司SOA部署的成功之處。

　　—摘自IBM軟件集團WebSphere全球副總裁桑蒂·卡特(Sandy Carter)的網絡日志

　　向Web開放內部服務是否過于冒險？雖然SOA安全標準不成熟加劇了互操作性的負面影響，但這并不能成為決策依據。欲對有多個企業參與的大型Web服務網絡進行配置，以確保其安全，所有參與者必須就所采用的技術和安全策略達成共識。否則，就會出現不合理的局面：一方面，你要求自身的雇員使用生物測定技術或者身份標志來驗明正身，另一方面，合作伙伴的員工只需要通過弱口令認證就可以訪問你公司的系統，這樣的安全防護，毫無意義。

　　在采購任何SOA安全部件之前，需要先對SOA安全進行深入研究，因為市場始終在變。無論如何，眼下如火如荼的SOA運動對IT部門而言，終究是好事，因為這樣一來他們手中會有更多的選擇，需要打交道的廠商也少了。與此同時，采購決策的過程也變得更為簡單。

　　例如, 將Web服務暴露于互聯網，需要基于可擴展標記語言(XML)的防火墻，也稱為SOA安全網關。然而，隨著SOA技術的不斷整合，這一產品類型已開始銷聲匿跡。

　　現在，從管理平臺到核心交換機在內的所有產品都添加了XML防火墻功能。選用何種產品、到底是用硬件還是用軟件，取決于每個企業Web服務的規模、預期增長、以及現有的SOA基礎設施等因素。此外，虛擬化技術還進一步加大了系統選擇的難度。

　　加密和認證的決策更為艱難。因為那并非只取決于某一個組織，而是接觸Web服務的所有組織都必須使用同樣的技術。然而，現在這一領域存在著好幾個相互競爭的標準，加深了問題的復雜性。

　　這些標準之間最大的沖突在于身份管理。這個復雜過程的目的是確保登陸用戶已被授權使用該公司合作伙伴的系統。目前有兩個互不兼容但功能相近的標準。一個是安全性斷言標記語言(SAML)，這一標準已經得到幾乎所有公司的支持，唯一的例外是微軟公司(Microsoft，下稱微軟)；微軟更喜歡較新的WS-Federation標準。后者與其他Web服務標準的關系也更為密切。雖然二者都用XML，但是彼此并不兼容，因此那些推行公共Web服務的企業要么同時支持這兩種標準，要么需要確認其所有采用安全Web服務的商業合作伙伴選擇的是同一個標準。

　　看來，得有未卜先知的本事，才能在兩者間做出合理的決策。

　　各種相關信息

　　所有Web服務安全技術均建立在XML加密(XML Encryption)和XML簽名(XML Signature)的基礎之上，W3C標準用于在XML文檔和信息內嵌的加密數據和數字簽名。由于XML加密技術無需對全部信息進行加密，因此IT部門可自由選擇：可對 信用卡號碼等個人數據進行加密，而敏感度不高的信息和SOA元數據無需加密即可傳送。也可給文檔的不同部分分配不同的密鑰，以使其只能被指定的接收者讀取。

　　但這也有不利的一面：由于參與者必須首先就加密數據的位置、加密元素和如何交換密鑰等問題達成一致，因此散布于XML信息中的加密數據會導致互操作問題。為解決上述問題，結構信息標準化促進組織 (OASIS)建立了WS-Security標準，以在Web服務中應用XML安全(XML Security)和XML加密。

　　WS-Security標準是WS-*系列標準中最成熟的一個，幾乎所有Web服務和SOA廠商都支持這一標準。其主要缺點是：與所有的WS-*系列標準一樣，也采用簡單對象訪問協議(SOAP)，因此凡業務依賴于REST Web服務的公司，都不適用此標準。 REST(Representational State Transfer)意為具象狀態傳輸，采用這種模式，可對不用SOAP的XML Web服務進行描述。

　　選擇REST而非SOAP的主要原因在于它的簡捷，多數REST用戶仍然使用SSL協議。這是由于REST采用HTTP協議，而且往往被用于點對點連接，故而SSL隧道通常已能滿足其需求。在應用了REST以后，企業如果希望對消息層進行加密，就需要建立其自己的協議和數據格式。

　　對于多數企業而言，將所有商業合作伙伴組織起來，并為REST設計定制的、安全的XML格式，實屬不易，WS-Security標準因此而成為采用SOAP的最強有力依據。盡管如此，亞馬遜公司(Amazon.com)和谷歌公司(Google)等大型Web服務提供商紛紛各顯神通，使用安全身份標識(Security Token)，成功地應用了REST模式。這樣做雖然有淪為專有技術的顧慮，但仍然受到了用戶的歡迎：亞馬遜也提供遵從WS-Security的SOAP接口，但發現客戶更青睞REST，使用二者的用戶比例為5:1，因為多數亞馬遜用戶僅僅是訪問亞馬遜服務，而不是用之建立完整的SOA，所以也就用不著SOAP的復雜功能。

　　統一身份

　　盡管WS-Security標準有助于SOAP信息的加密和簽名，但該標準并未涉及任何有關認證、授權和計費(AAA)或者安全策略的內容。這些問題由安全領域的其他標準解決，并且所有這些標準都以WS-Security為基礎。(參見邊欄《安全標準，過猶不及？》)。

　　雖然目前這些標準由于太新而無法對用戶產生足夠的影響，但是其中多數最終將得到企業服務總線(ESB)和Web服務管理領域所有廠商的支持。

　　唯一的例外是統一身份的問題，也恰是在這一領域，安全標準新秀WS-Federation和WS-Trust對OASIS組織發布的另一成熟標準SAML 2.0發起了挑戰。采用統一身份的目的在于：將認證與被訪問的資源分隔開來，以實現單點登錄。用戶登錄到某身份提供者的系統，后者為之提供憑證，該用戶即可使用此憑證訪問多個不同資源。憑證與數字證書近似，在SAML中稱之為“斷言”，在WS-Trust中喚作“標識”；一般用憑證來擔保用戶身份，并在認證時添加一些信息，例如用戶在何時以什么方式登陸。SAML作用于整個單點登錄過程，而對于WS-*來說，這一過程由兩個標準共同完成：WS-Trust負責處理內部認證和標識的發放，WS-Federation負責管理用這些標識訪問其他資源的操作。

　　實際上，二者的主要差別在于：SAML直接使用XML加密和XML簽名，這意味著它與REST兼容；而WS-Federation則采用SOAP。SAML擁有龐大的客戶群，但是這實際上意義不大，因為微軟一直在全力推進WS-Federation，并表示不會支持SAML。

　　與其他的標準之爭不同，在這一案例中，并非是微軟與其他所有公司的簡單對抗。一方面，微軟與國際商業機器公司(IBM)共同開發了WS-Federation標準，而后者同時也是SAML的擁躉；另一方面，SAML陣營中其他所有廠商均已承諾，如果WS-Federation存在市場需求，他們都會支持這一標準。從長遠來看，二者將會并存：微軟和SOAP環境會選擇WS-Federation，而REST Web服務則是SAML的天下。

　　防火墻置于何處

　　在互聯網的發展過程中，防火墻是最早推動Web服務普及的因素。雖然不同的組織采取不同的安全策略，但是幾乎所有組織都需要開放80端口(編者注：Web服務端口)，所以廠商和標準組織紛紛傾向于采用運行在HTTP之上、基于文本的協議。

　　當然，攻擊者和惡意軟件也持同樣的態度。

　　因此，在互聯網上發布Web服務的公司傳統上往往使用應用安全網關，這些設備可以讀取并理解應用層文檔，從而能過濾潛在的攻擊。雖然好產品的功能不僅限于XML領域，通常仍稱這類設備為“XML防火墻”。盡管基于瀏覽器的富互聯網應用(RIA)開發人員往往認為XML過于龐雜，而喜歡用JavaScript對象表示法(JSON)或純文本格式，但REST Web服務仍可在HTTP或URL中對某些信息進行編碼。

　　安全網關不僅僅是防火墻，它具備SOA管理套件的所有功能，可以處理認證、授權和計費。當Web服務作為企業SOA的一個接口存在時，安全網關通常需要在Java信息服務(JMS)和HTTP之間進行轉換，原因在于多數SOA在其內部并不使用真正的Web服務。

　　除非連接到外部世界，否則能穿越防火墻反而成為一大不利因素。

　　此外，網關需要先對文檔進行解碼，然后才能對之進行有效審查，因此不管采用SSL、WS-Security或SAML格式，多數網關同時也負責加密和認證。由于識別攻擊要用到深度包檢測技術并能理解XML，因此XML轉換和路由也要用到安全網關，而且由于采用了專業化的SSL或XML加速硬件，安全網關在此方面往往優于管理軟件。

　　現在，絕大多數安全網關仍是獨立機箱，安裝方式與傳統防火墻相近，由專業廠商銷售(參見圖表《網絡中的安全網關》)。

　　安全網關廠商的先行者中，有4家已成為他人的囊中之物：Sarvega公司為英特爾公司(Intel)所購；NetScaler公司被思杰公司(Citrix)收至麾下；IBM和思科公司(Cisco Systems)分別買下了DataPower公司和Reactivity公司。除了英特爾之外，其他幾家現在仍然銷售網關產品。英特爾則利用Sarvega技術幫助其他廠商，圍繞標準CPU而不是定制ASIC芯片開發XML軟件或設備。

　　思杰的NetScaler設備集成了XML防火墻與應用前端(AFE)。思科也計劃將Reactivity集成到其應用控制引擎(ACE)產品線中，以達到同樣的集成目標。

　　由于AFE位于網絡邊緣，而且用于加速SSL，因此，無論對于客戶還是期望挺進新市場的AFE廠商而言，AFE與XML防火墻的集成都可謂意義重大。F5網絡公司(F5 Networks)也宣布將會銷售自主研發的XML防火墻，而且其競爭對手很可能會步其后塵。

　　利基網絡公司(Layer 7 Networks)、 Vordel公司和Xtradyne公司等其他獨立安全網關廠商則與之背道而馳，以軟件和虛擬化為發展方向。

　　其中，Vordel公司和Xtradyne公司始終將其網關產品作為軟件來銷售，運行于專用刀片服務器環境。而且這幾家公司都極推崇虛擬設備，利基網絡公司和Vordel公司已開始銷售運行于VMware系統環境下的軟件。

　　虛擬化的機會

　　盡管如此，虛擬設備還無法與專用服務器相提并論，這也是為什么Vordel公司現在更關注對其虛擬軟件進行測試和集成，而非產品化。利基網絡公司成立伊始，就將自身定位于采用專用XML和SSL硅技術的定制設備廠商。在他們眼中，對于那些尚無法確認是否該采用專業硬件設備的小公司而言，虛擬化技術不失為一個切入點。盡管“純軟件”迄今聽起來仍像是出于預算考慮的折衷之策，但很可能虛擬設備很快會應用在各種規模的企業之中。

　　虛擬機的性能在迅速提升，而且虛擬化帶來的靈活性在SOA應用中有著特別的意義。由于要大量部署并再利用新服務，SOA架構需要進行調整，而借助虛擬化技術，可以迅速地將硬件設備在不同任務之間進行再分配。但是，只有其他服務器也實現虛擬化，才能共享硬件資源，而這會導致安全性問題。盡管很少見到有關VMware安全漏洞的報告，但管理多個虛擬機的工作異常復雜，因此很可能會有數據流偶爾繞過防火墻。

　　鑒于安全網關與Web服務管理軟件之間存在太多的重復功能，二者目前已開始融合。DataPower公司和Reactivity公司在被收購之前均已進入管理軟件市場，而且至少還有另外一家防火墻廠商也計劃效仿。迄今為止，管理軟件廠商尚未在其軟件中添加完整的XML防火墻功能以進行反擊，原因在于，其軟件均運行于整個SOA平臺之上，而非邊緣部分。

　　由于SSL的盛行，安全網關普遍具備SSL加速功能：甚至虛擬設備廠商也支持搭載SSL加速卡的硬件。相形之下，XML加速要罕見得多，只有利基網絡公司、思科和IBM的設備采用專用XML芯片；IBM是自行研發，思科和利基網絡公司用的是Tarari公司的技術。形成這種局面的部分原因在于，英特爾利用Sarvega技術幫助其他公司開發XML產品，但主要還是由于應用層加速的市場需求不足；而且，利基網絡公司相信，硬件市場會逐漸過度到軟件。

　　對于那些負責傳輸SOAP或SAML信息等較長XML文檔的Web服務來說，XML加速的價值難以言喻；而在定位于支持基于瀏覽器應用的Web服務中，這一技術用得不多，原因在于這類服務在每個會話中傳輸的數據都很少(可能只有一個XML元素或者JSON對象)，而且置于TCP/IP和HTTP包頭中。由于JavaScript和Flash客戶端無需為用戶的每次操作刷新整個頁面，因此多數Web 2.0應用中涉及的應用層數據傳輸，要少于用靜態可擴展超文本置標語言(XHTML)開發的同類應用。

　　盡管如此，Web服務器在RIA中還占有一席之地。盡管RIA可能會減少XML傳輸，但他們也會極大地增加服務器需要處理的HTTP連接的數量。多數RIA并不等待用戶點擊鏈接，而是實時運行，每隔幾秒鐘就需要建立新連接。而采用SSL加速和其他AFE技術，包括負載平衡和HTTP壓縮在內，往往可以減輕因此而