基于網(wǎng)閘隔離的雙機(jī)通訊底層及其在B/S架構(gòu)系統(tǒng)中的應(yīng)用

吳雅云，洪瑞安，莊紹燕

中國人民解放軍第一八零醫(yī)院信息科軟件研發(fā)室，福建 泉州 362000

基于網(wǎng)閘隔離的雙機(jī)通訊底層及其在B/S架構(gòu)系統(tǒng)中的應(yīng)用

吳雅云，洪瑞安，莊紹燕

中國人民解放軍第一八零醫(yī)院信息科軟件研發(fā)室，福建 泉州 362000

隨著信息網(wǎng)絡(luò)技術(shù)的應(yīng)用以及關(guān)鍵業(yè)務(wù)系統(tǒng)的擴(kuò)展，B/S架構(gòu)系統(tǒng)以“維護(hù)和升級(jí)方式簡單、成本降低、選擇更多”的優(yōu)勢，逐漸成為業(yè)務(wù)系統(tǒng)的主流[1]。網(wǎng)絡(luò)的開放性和自由性使得信息數(shù)據(jù)可能會(huì)被破壞或入侵，網(wǎng)絡(luò)數(shù)據(jù)安全特別是軍隊(duì)數(shù)據(jù)安全隨之成為關(guān)注的焦點(diǎn)[2]。隨著軍隊(duì)對(duì)信息安全重視程度的提升，網(wǎng)閘等物理隔離設(shè)備在軍隊(duì)醫(yī)院得到了引進(jìn)和推廣。我院合理地利用網(wǎng)閘文件擺渡功能，自主研發(fā)了一套采用JAVA語言開發(fā)的雙機(jī)（特指部署通訊服務(wù)的不可信端服務(wù)器和可信端服務(wù)器）通訊底層，并以此為基礎(chǔ)開發(fā)了一系列B/S架構(gòu)的醫(yī)療業(yè)務(wù)網(wǎng)站。本文主要闡述了網(wǎng)閘擺渡原理，雙機(jī)通訊底層的設(shè)計(jì)思想、實(shí)現(xiàn)過程及其在B/S架構(gòu)系統(tǒng)中的應(yīng)用，旨在為基于網(wǎng)閘的B/S架構(gòu)系統(tǒng)的開發(fā)提供一些經(jīng)驗(yàn)。

1 網(wǎng)閘概述

1.1 隔離功能

網(wǎng)閘能夠在兩個(gè)獨(dú)立網(wǎng)絡(luò)之間創(chuàng)建一個(gè)物理隔斷，網(wǎng)絡(luò)IP包、系統(tǒng)命令及網(wǎng)絡(luò)協(xié)議等不能從一個(gè)網(wǎng)絡(luò)自由流向另外一個(gè)網(wǎng)絡(luò)，從而在可信端和非可信端之間建立有效防護(hù)，可信網(wǎng)絡(luò)中的計(jì)算機(jī)和不可信網(wǎng)絡(luò)中的計(jì)算機(jī)不會(huì)有實(shí)際連接。在實(shí)現(xiàn)物理隔斷的同時(shí)，通過協(xié)議檢查、內(nèi)容審查、用戶審計(jì)等手段，可實(shí)現(xiàn)可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)之間的數(shù)據(jù)、資源和信息的安全交換[3]。

1.2 應(yīng)用模式

（1）代理模式。該模式可拆除數(shù)據(jù)包通過各種通訊協(xié)議添加的“包頭包尾”，將數(shù)據(jù)還原成原始部分，避免數(shù)據(jù)被攻擊、入侵[4]。

（2）擺渡模式。網(wǎng)閘本身的文件同步系統(tǒng)默認(rèn)任何程序都無法訪問文件同步目錄，不能向目錄寫入或讀取文件。以C盤為例，在不可信端服務(wù)器創(chuàng)建文件同步目錄C:wan_send和C:wan_rev，在可信端服務(wù)器創(chuàng)建文件同步目錄C:inter_send和C:inter_rev，文件擺渡功能指得是：在不可信端，當(dāng)文件同步系統(tǒng)允許程序在C:wan_send內(nèi)創(chuàng)建文件，網(wǎng)閘會(huì)自動(dòng)將C:wan_send內(nèi)的文件擺渡到可信端C:inter_rev，C:wan_send內(nèi)的文件則被刪除；當(dāng)文件同步系統(tǒng)允許程序在C:inter_send內(nèi)創(chuàng)建文件，網(wǎng)閘會(huì)自動(dòng)將C:inter_send內(nèi)的文件擺渡到可信端C:wan_rev，C:inter_send內(nèi)的文件則被刪除。

2 B/S架構(gòu)與JAVA語言

（1）B/S架構(gòu)。在B/S架構(gòu)下，軟件的業(yè)務(wù)邏輯可完全在應(yīng)用服務(wù)器端實(shí)現(xiàn)，用戶表現(xiàn)可完全在Web服務(wù)器端實(shí)現(xiàn)，客戶端只需瀏覽器即可進(jìn)行業(yè)務(wù)處理。B/S架構(gòu)在數(shù)據(jù)安全性、一致性、實(shí)時(shí)性、溯源性，服務(wù)響應(yīng)及時(shí)性和網(wǎng)絡(luò)應(yīng)用限制方面較C/S架構(gòu)系統(tǒng)有很大優(yōu)勢。

（2）JAVA語言。JAVA語言具有面向?qū)ο?、結(jié)構(gòu)中立、安全、可移植、性能高等特點(diǎn)[5]。我們主要考究其安全性，一方面在JAVA語言里，象指針和釋放內(nèi)存等C++功能被刪除，可避免指針操作中容易產(chǎn)生的錯(cuò)誤以及非法內(nèi)存操作，防止程序員使用“特洛伊”木馬等手段訪問對(duì)象的私有成員；另一方面，當(dāng)JAVA語言用于創(chuàng)建瀏覽器頁面時(shí)，能夠結(jié)合瀏覽器本身功能，安全性更高。JAVA語言在機(jī)器上執(zhí)行前，要經(jīng)過多次測試，代碼校驗(yàn)、代碼段格式檢查，指針操作檢測等。

3 雙機(jī)通訊底層的設(shè)計(jì)思想與實(shí)現(xiàn)過程

選擇用JAVA語言編寫雙機(jī)通訊底層。

3.1 設(shè)計(jì)思想

在可信端和非可信端各啟動(dòng)一個(gè)Tomcat程序，裝載通訊監(jiān)聽服務(wù)器InitServlet，利用網(wǎng)閘文件同步系統(tǒng)配置Tomcat.exe可訪問inter_send、inter_rev、wan_send、wan_ rev。InitServlet利用文件消息機(jī)制DirectoryWatcher對(duì)inter_ send、inter_rev、wan_send、wan_rev 4個(gè)文件夾進(jìn)行監(jiān)測，確定是否有新請(qǐng)求文件或響應(yīng)文件產(chǎn)生。

ServiceInvoker入口類具有類似Tomcat多線程[6]處理機(jī)制的特點(diǎn)，是不可信端網(wǎng)絡(luò)層對(duì)后端服務(wù)程序的調(diào)用接口，主要功能是判斷當(dāng)前發(fā)起請(qǐng)求的服務(wù)器是可信端還是不可信端：若是不可信端，以唯一進(jìn)程編碼打包請(qǐng)求文件，加密后發(fā)送到wan_send文件夾里；網(wǎng)閘的文件擺渡功能自動(dòng)把wan_send的請(qǐng)求文件擺渡到inter_rev中；InitServlet檢測到inter_rev的請(qǐng)求文件，啟動(dòng)可信端ServiceInvoker，解密解析請(qǐng)求文件，調(diào)用ServiceProvider可信端響應(yīng)前端服務(wù)來實(shí)例化類并調(diào)用指定方法，將方法返回的結(jié)果打包成響應(yīng)文件，加密后發(fā)送到inter_send文件夾里；網(wǎng)閘的文件擺渡功能自動(dòng)把inter_send的申請(qǐng)文件擺渡到wan_rev中；InitServlet檢測到inter_rev的響應(yīng)文件，啟動(dòng)不可信端ServiceInvoker，解密解析響應(yīng)文件，以常用類型轉(zhuǎn)換響應(yīng)結(jié)果返回給網(wǎng)絡(luò)層調(diào)用，完成一次不可信端發(fā)起的請(qǐng)求-響應(yīng)服務(wù)。若是可信端，可信端ServiceInvoker直接通過ServiceProvider實(shí)例化指定的類，調(diào)用方法后以常用類型返回結(jié)果，減少網(wǎng)閘文件擺渡的往返次數(shù)。

3.2 雙機(jī)通訊底層的實(shí)現(xiàn)

首先，雙機(jī)的Tomcat應(yīng)用服務(wù)器通過初始化類InitServlet，啟動(dòng)雙機(jī)通信監(jiān)聽服務(wù)，主要監(jiān)聽雙機(jī)通信文件，做請(qǐng)求業(yè)務(wù)與響應(yīng)業(yè)務(wù)的橋接，即利用網(wǎng)閘特性進(jìn)行文件監(jiān)聽擺渡，實(shí)現(xiàn)雙機(jī)的數(shù)據(jù)通信與業(yè)務(wù)往來。

不可信端通過請(qǐng)求類ServiceInvoker來進(jìn)行業(yè)務(wù)請(qǐng)求，業(yè)務(wù)請(qǐng)求的處理方法是多線程技術(shù)，這樣不可信端可以不斷地發(fā)送請(qǐng)求業(yè)務(wù)，不必等待某個(gè)申請(qǐng)響應(yīng)結(jié)束后再發(fā)送申請(qǐng)。加載請(qǐng)求類ServiceInvoker時(shí)創(chuàng)建哈希表定義的請(qǐng)求池，每調(diào)用一次ServiceInvoker就開辟新的請(qǐng)求線程，將請(qǐng)求業(yè)務(wù)需要的類名、方法名、參數(shù)以一定的協(xié)議打包；調(diào)用加密類把請(qǐng)求業(yè)務(wù)封裝成以唯一進(jìn)程編碼命名的XML加密流文件，將進(jìn)程編碼放入請(qǐng)求池記錄請(qǐng)求產(chǎn)生時(shí)間；然后通過調(diào)用雙機(jī)通信接口，自動(dòng)把加密流文件發(fā)送到可信端服務(wù)監(jiān)聽接口，完成一次請(qǐng)求線程。

可信端的InitServlet接收到不可信端的請(qǐng)求加密流文件，通過多線程技術(shù)處理這些請(qǐng)求業(yè)務(wù)。加載響應(yīng)服務(wù)類ServiceProvider時(shí)創(chuàng)建哈希表定義的響應(yīng)池，當(dāng)接收到請(qǐng)求文件時(shí)開辟新的響應(yīng)線程；通過解密類解密請(qǐng)求業(yè)務(wù)的XML加密流文件，得到需要的類名、方法名、參數(shù)，將請(qǐng)求文件的進(jìn)程編碼名放入響應(yīng)池并記錄響應(yīng)開始時(shí)間；然后應(yīng)用響應(yīng)服務(wù)類ServiceProvider調(diào)用已定制好的類和方法，經(jīng)過處理后的業(yè)務(wù)結(jié)果集以一定的協(xié)議打包；通過加密類將其自動(dòng)封裝成對(duì)應(yīng)請(qǐng)求進(jìn)程編碼命名的XML加密流文件，調(diào)用雙機(jī)通信接口，返回給不可信端的服務(wù)監(jiān)聽接口，刪除響應(yīng)池中對(duì)應(yīng)的進(jìn)程編碼記錄。

最后，可信端的InitServlet接收到可信端響應(yīng)回來的XML加密流文件，刪除請(qǐng)求池中對(duì)應(yīng)的進(jìn)程編碼記錄，開辟新線程調(diào)用解密類，解密后的數(shù)據(jù)存放到指定類型的變量中，方便不可信端做讀取展示的業(yè)務(wù)。

整個(gè)網(wǎng)閘隔離的雙機(jī)交互對(duì)調(diào)對(duì)于應(yīng)用雙機(jī)通訊底層的程序員來說是透明的，可信端與不可信端間的文件傳輸由網(wǎng)閘實(shí)現(xiàn)，監(jiān)聽服務(wù)等待處理網(wǎng)閘擺渡來的文件，而響應(yīng)業(yè)務(wù)只處理解密后認(rèn)定的類和方法，不需要握手認(rèn)證也比較安全。通過多線程處理技術(shù)，可有次序地執(zhí)行多個(gè)任務(wù)，避免死鎖和長時(shí)間等待；可信端和不可信端會(huì)分別定時(shí)掃描響應(yīng)池和請(qǐng)求池中是否存在一些超時(shí)業(yè)務(wù)，并對(duì)超時(shí)業(yè)務(wù)回復(fù)為空對(duì)象，表明通訊失敗或超時(shí)。

4 B/S架構(gòu)系統(tǒng)對(duì)雙機(jī)通訊底層的調(diào)用

在開發(fā)B/S架構(gòu)系統(tǒng)時(shí)，一般地，網(wǎng)絡(luò)層JSP頁面直接調(diào)用后臺(tái)類的語句示例如下：

為了實(shí)現(xiàn)網(wǎng)閘隔離環(huán)境下不可信端計(jì)算機(jī)對(duì)可信端數(shù)據(jù)庫進(jìn)行實(shí)時(shí)訪問，網(wǎng)絡(luò)層JSP頁面調(diào)用雙機(jī)通訊底層語句示例如下：

物理隔離網(wǎng)閘不存在依據(jù)協(xié)議轉(zhuǎn)發(fā)的信息包，數(shù)據(jù)文件只進(jìn)行無協(xié)議“擺渡”[7]。雙機(jī)通訊底層將數(shù)據(jù)文件打包封裝在底層，程序員在頂層調(diào)用極為方便。為提高安全系數(shù)，B/S架構(gòu)系統(tǒng)采用數(shù)據(jù)庫-控制層-網(wǎng)絡(luò)層的3層架構(gòu)，通過雙機(jī)通訊底層將網(wǎng)絡(luò)層與控制層隔斷，網(wǎng)絡(luò)層只能調(diào)用控制層中固有的類和方法，否則請(qǐng)求文件將被丟棄，返回為空的響應(yīng)文件，這樣可以防止黑客通過篡改網(wǎng)站頁面語句直接訪問數(shù)據(jù)庫。

5 B/S架構(gòu)系統(tǒng)部署示例

網(wǎng)閘與不可信端服務(wù)器（以軍綜網(wǎng)為例）、可信端服務(wù)器（以醫(yī)院網(wǎng)為例）的連接方法，見圖1。

圖1 B/S架構(gòu)系統(tǒng)部署圖

在不可信端和可信端服務(wù)器上各安裝網(wǎng)閘文件同步系統(tǒng)，創(chuàng)建文件同步目錄（inter_send、inter_rev、wan_send、wan_rev），配置允許訪問程序Tomcat.exe。

醫(yī)療業(yè)務(wù)系統(tǒng)ROOT所在的WEB.XML文件做如下配置：

另需在可信端和不可信端醫(yī)療業(yè)務(wù)系統(tǒng)ROOT所在的classes文件夾中增加transfer.properties文件。

可信端的transfer.properties文件做如下配置：

雙機(jī)通訊底層也適合單機(jī)運(yùn)行，即如果架設(shè)一般形式的網(wǎng)站，將醫(yī)療業(yè)務(wù)系統(tǒng)ROOT所在的transfer.properties文件做如下配置：

Web_type=10。

6 結(jié)語

基于網(wǎng)閘隔離雙機(jī)通訊底層開發(fā)的B/S架構(gòu)系統(tǒng)在滿足安全條件的同時(shí)，既保證了網(wǎng)絡(luò)間業(yè)務(wù)數(shù)據(jù)交換的順利進(jìn)行，又保證了網(wǎng)絡(luò)的可靠性和安全性[8]。我院在此基礎(chǔ)上已經(jīng)研發(fā)了全軍網(wǎng)絡(luò)醫(yī)療服務(wù)系統(tǒng)、全軍網(wǎng)絡(luò)醫(yī)療管理中心網(wǎng)站、互聯(lián)網(wǎng)醫(yī)藥檢驗(yàn)檢查信息查詢系統(tǒng)、互聯(lián)網(wǎng)體檢預(yù)約查詢系統(tǒng)等，為廣大官兵用戶提供了方便、快捷的醫(yī)療服務(wù)，建立了良好的網(wǎng)絡(luò)安全防護(hù)機(jī)制，有利于提升醫(yī)院數(shù)字化水平和數(shù)據(jù)庫安全系數(shù)[9]。

[1] 錢敬．B/S架構(gòu)中的數(shù)據(jù)推送設(shè)計(jì)與實(shí)現(xiàn)[J]．電腦知識(shí)與技術(shù), 2013,9(10):2356-2359．

[2] 吳雅云,陳雪紅,李秀美．軍隊(duì)醫(yī)院網(wǎng)絡(luò)安全隱患及防范[J]．軍事訓(xùn)練醫(yī)學(xué),2010,4(2):13-14．

[3] 趙妍,邵偉．淺談網(wǎng)閘在醫(yī)院中的應(yīng)用[J]．中國醫(yī)療設(shè)備,2013, 28(5):92-93．

[4] 孫利,徐亮,吳辭文．一種基于HTTP包識(shí)別的網(wǎng)絡(luò)安全設(shè)備聯(lián)動(dòng)的方法[J]．微電子學(xué)與計(jì)算機(jī),2013,30(1):114-122．

[5] 王純．JAVA與圖書館信息服務(wù)[J]．情報(bào)雜志,2001,(6):38-39．

[6] 宋玲玲,劉沖,喻金,等．基于C++ Builder環(huán)境的多線程技術(shù)在工業(yè)雙相機(jī)控制中的應(yīng)用[J]．工業(yè)控制計(jì)算機(jī),2013,26(2):91-95．

[7] 胡春．計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀及對(duì)策[J]．電腦知識(shí)與技術(shù),2010, 6(5):1079-1080．

[8] 周玉葉,周夏青．基于網(wǎng)閘的醫(yī)院網(wǎng)絡(luò)安全應(yīng)用[J]．臺(tái)州學(xué)院學(xué)報(bào),2013,35(3):12-16．

[9] 李成安．醫(yī)院信息網(wǎng)絡(luò)安全管理[J]．電腦知識(shí)與技術(shù),2013, 9(1):32-34．

Computer-to-Computer Communication Bottom with its Application in B/S Architecture System Based on Gap Isolation

WU Ya-yun, HONG Rui-an, ZHUANG Shao-yan

Software Research and Development Room, Department of Information, The 180thHospital of PLA, Quanzhou Fujian 362000, China

目的 在網(wǎng)閘隔離環(huán)境下開發(fā)B/S架構(gòu)系統(tǒng)，實(shí)現(xiàn)不可信端計(jì)算機(jī)對(duì)可信端數(shù)據(jù)庫的實(shí)時(shí)友好訪問。方法 結(jié)合網(wǎng)閘文件擺渡功能，應(yīng)用JAVA語言研發(fā)雙機(jī)通訊底層，繼而開發(fā)B/S架構(gòu)系統(tǒng)。結(jié)果 基于網(wǎng)閘隔離雙機(jī)通訊底層開發(fā)的B/S架構(gòu)系統(tǒng)，可以實(shí)現(xiàn)多臺(tái)不可信端計(jì)算機(jī)對(duì)可信端計(jì)算機(jī)的實(shí)時(shí)訪問，同時(shí)保證網(wǎng)絡(luò)數(shù)據(jù)的安全。結(jié)論 基于網(wǎng)閘隔離的雙機(jī)通訊底層在B/S架構(gòu)系統(tǒng)的構(gòu)建中發(fā)揮著重要作用。

網(wǎng)閘隔離；服務(wù)器；雙機(jī)通訊；B/S架構(gòu)；數(shù)據(jù)安全

Objective To develop the B/S architecture system to implement the real-time and friendly access from untrusted computers to trusted databases. Methods The B/S architecture system was developed with computer-to-computer communication bottom which was designed with JAVA language and the ferry function of gap fles. Results The real-time access from untrusted computers to trusted computers has been implemented with the B/S architecture system which was developed with the computer-to-computer communication bottom based on gap isolation and can ensure the security of network data. Conclusion The computer-to-computer communication bottom based on gap isolation plays an important role in the establishment of B/S architecture systems.

gap isolation; server; computer-to-computer communication; B/S architecture; data security

TP393.03

A

10.3969/j.issn.1674-1633.2014.06.011

1674-1633(2014)06-0031-03

2013-12-20

2014-05-15

作者郵箱：wuyayun@163．com