吳雅云，洪瑞安，莊紹燕

中國人民解放軍第一八零醫(yī)院信息科軟件研發(fā)室，福建 泉州 362000

基于網(wǎng)閘隔離的雙機通訊底層及其在B/S架構(gòu)系統(tǒng)中的應(yīng)用

吳雅云，洪瑞安，莊紹燕

中國人民解放軍第一八零醫(yī)院信息科軟件研發(fā)室，福建 泉州 362000

隨著信息網(wǎng)絡(luò)技術(shù)的應(yīng)用以及關(guān)鍵業(yè)務(wù)系統(tǒng)的擴展，B/S架構(gòu)系統(tǒng)以“維護和升級方式簡單、成本降低、選擇更多”的優(yōu)勢，逐漸成為業(yè)務(wù)系統(tǒng)的主流[1]。網(wǎng)絡(luò)的開放性和自由性使得信息數(shù)據(jù)可能會被破壞或入侵，網(wǎng)絡(luò)數(shù)據(jù)安全特別是軍隊數(shù)據(jù)安全隨之成為關(guān)注的焦點[2]。隨著軍隊對信息安全重視程度的提升，網(wǎng)閘等物理隔離設(shè)備在軍隊醫(yī)院得到了引進和推廣。我院合理地利用網(wǎng)閘文件擺渡功能，自主研發(fā)了一套采用JAVA語言開發(fā)的雙機（特指部署通訊服務(wù)的不可信端服務(wù)器和可信端服務(wù)器）通訊底層，并以此為基礎(chǔ)開發(fā)了一系列B/S架構(gòu)的醫(yī)療業(yè)務(wù)網(wǎng)站。本文主要闡述了網(wǎng)閘擺渡原理，雙機通訊底層的設(shè)計思想、實現(xiàn)過程及其在B/S架構(gòu)系統(tǒng)中的應(yīng)用，旨在為基于網(wǎng)閘的B/S架構(gòu)系統(tǒng)的開發(fā)提供一些經(jīng)驗。

1 網(wǎng)閘概述

1.1 隔離功能

網(wǎng)閘能夠在兩個獨立網(wǎng)絡(luò)之間創(chuàng)建一個物理隔斷，網(wǎng)絡(luò)IP包、系統(tǒng)命令及網(wǎng)絡(luò)協(xié)議等不能從一個網(wǎng)絡(luò)自由流向另外一個網(wǎng)絡(luò)，從而在可信端和非可信端之間建立有效防護，可信網(wǎng)絡(luò)中的計算機和不可信網(wǎng)絡(luò)中的計算機不會有實際連接。在實現(xiàn)物理隔斷的同時，通過協(xié)議檢查、內(nèi)容審查、用戶審計等手段，可實現(xiàn)可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)之間的數(shù)據(jù)、資源和信息的安全交換[3]。

1.2 應(yīng)用模式

（1）代理模式。該模式可拆除數(shù)據(jù)包通過各種通訊協(xié)議添加的“包頭包尾”，將數(shù)據(jù)還原成原始部分，避免數(shù)據(jù)被攻擊、入侵[4]。

（2）擺渡模式。網(wǎng)閘本身的文件同步系統(tǒng)默認任何程序都無法訪問文件同步目錄，不能向目錄寫入或讀取文件。以C盤為例，在不可信端服務(wù)器創(chuàng)建文件同步目錄C:wan_send和C:wan_rev，在可信端服務(wù)器創(chuàng)建文件同步目錄C:inter_send和C:inter_rev，文件擺渡功能指得是：在不可信端，當文件同步系統(tǒng)允許程序在C:wan_send內(nèi)創(chuàng)建文件，網(wǎng)閘會自動將C:wan_send內(nèi)的文件擺渡到可信端C:inter_rev，C:wan_send內(nèi)的文件則被刪除；當文件同步系統(tǒng)允許程序在C:inter_send內(nèi)創(chuàng)建文件，網(wǎng)閘會自動將C:inter_send內(nèi)的文件擺渡到可信端C:wan_rev，C:inter_send內(nèi)的文件則被刪除。

2 B/S架構(gòu)與JAVA語言

（1）B/S架構(gòu)。在B/S架構(gòu)下，軟件的業(yè)務(wù)邏輯可完全在應(yīng)用服務(wù)器端實現(xiàn)，用戶表現(xiàn)可完全在Web服務(wù)器端實現(xiàn)，客戶端只需瀏覽器即可進行業(yè)務(wù)處理。B/S架構(gòu)在數(shù)據(jù)安全性、一致性、實時性、溯源性，服務(wù)響應(yīng)及時性和網(wǎng)絡(luò)應(yīng)用限制方面較C/S架構(gòu)系統(tǒng)有很大優(yōu)勢。

（2）JAVA語言。JAVA語言具有面向?qū)ο?、結(jié)構(gòu)中立、安全、可移植、性能高等特點[5]。我們主要考究其安全性，一方面在JAVA語言里，象指針和釋放內(nèi)存等C++功能被刪除，可避免指針操作中容易產(chǎn)生的錯誤以及非法內(nèi)存操作，防止程序員使用“特洛伊”木馬等手段訪問對象的私有成員；另一方面，當JAVA語言用于創(chuàng)建瀏覽器頁面時，能夠結(jié)合瀏覽器本身功能，安全性更高。JAVA語言在機器上執(zhí)行前，要經(jīng)過多次測試，代碼校驗、代碼段格式檢查，指針操作檢測等。

3 雙機通訊底層的設(shè)計思想與實現(xiàn)過程

選擇用JAVA語言編寫雙機通訊底層。

3.1 設(shè)計思想

在可信端和非可信端各啟動一個Tomcat程序，裝載通訊監(jiān)聽服務(wù)器InitServlet，利用網(wǎng)閘文件同步系統(tǒng)配置Tomcat.exe可訪問inter_send、inter_rev、wan_send、wan_ rev。InitServlet利用文件消息機制DirectoryWatcher對inter_ send、inter_rev、wan_send、wan_rev 4個文件夾進行監(jiān)測，確定是否有新請求文件或響應(yīng)文件產(chǎn)生。

ServiceInvoker入口類具有類似Tomcat多線程[6]處理機制的特點，是不可信端網(wǎng)絡(luò)層對后端服務(wù)程序的調(diào)用接口，主要功能是判斷當前發(fā)起請求的服務(wù)器是可信端還是不可信端：若是不可信端，以唯一進程編碼打包請求文件，加密后發(fā)送到wan_send文件夾里；網(wǎng)閘的文件擺渡功能自動把wan_send的請求文件擺渡到inter_rev中；InitServlet檢測到inter_rev的請求文件，啟動可信端ServiceInvoker，解密解析請求文件，調(diào)用ServiceProvider可信端響應(yīng)前端服務(wù)來實例化類并調(diào)用指定方法，將方法返回的結(jié)果打包成響應(yīng)文件，加密后發(fā)送到inter_send文件夾里；網(wǎng)閘的文件擺渡功能自動把inter_send的申請文件擺渡到wan_rev中；InitServlet檢測到inter_rev的響應(yīng)文件，啟動不可信端ServiceInvoker，解密解析響應(yīng)文件，以常用類型轉(zhuǎn)換響應(yīng)結(jié)果返回給網(wǎng)絡(luò)層調(diào)用，完成一次不可信端發(fā)起的請求-響應(yīng)服務(wù)。若是可信端，可信端ServiceInvoker直接通過ServiceProvider實例化指定的類，調(diào)用方法后以常用類型返回結(jié)果，減少網(wǎng)閘文件擺渡的往返次數(shù)。

3.2 雙機通訊底層的實現(xiàn)

首先，雙機的Tomcat應(yīng)用服務(wù)器通過初始化類InitServlet，啟動雙機通信監(jiān)聽服務(wù)，主要監(jiān)聽雙機通信文件，做請求業(yè)務(wù)與響應(yīng)業(yè)務(wù)的橋接，即利用網(wǎng)閘特性進行文件監(jiān)聽擺渡，實現(xiàn)雙機的數(shù)據(jù)通信與業(yè)務(wù)往來。

不可信端通過請求類ServiceInvoker來進行業(yè)務(wù)請求，業(yè)務(wù)請求的處理方法是多線程技術(shù)，這樣不可信端可以不斷地發(fā)送請求業(yè)務(wù)，不必等待某個申請響應(yīng)結(jié)束后再發(fā)送申請。加載請求類ServiceInvoker時創(chuàng)建哈希表定義的請求池，每調(diào)用一次ServiceInvoker就開辟新的請求線程，將請求業(yè)務(wù)需要的類名、方法名、參數(shù)以一定的協(xié)議打包；調(diào)用加密類把請求業(yè)務(wù)封裝成以唯一進程編碼命名的XML加密流文件，將進程編碼放入請求池記錄請求產(chǎn)生時間；然后通過調(diào)用雙機通信接口，自動把加密流文件發(fā)送到可信端服務(wù)監(jiān)聽接口，完成一次請求線程。

可信端的InitServlet接收到不可信端的請求加密流文件，通過多線程技術(shù)處理這些請求業(yè)務(wù)。加載響應(yīng)服務(wù)類ServiceProvider時創(chuàng)建哈希表定義的響應(yīng)池，當接收到請求文件時開辟新的響應(yīng)線程；通過解密類解密請求業(yè)務(wù)的XML加密流文件，得到需要的類名、方法名、參數(shù)，將請求文件的進程編碼名放入響應(yīng)池并記錄響應(yīng)開始時間；然后應(yīng)用響應(yīng)服務(wù)類ServiceProvider調(diào)用已定制好的類和方法，經(jīng)過處理后的業(yè)務(wù)結(jié)果集以一定的協(xié)議打包；通過加密類將其自動封裝成對應(yīng)請求進程編碼命名的XML加密流文件，調(diào)用雙機通信接口，返回給不可信端的服務(wù)監(jiān)聽接口，刪除響應(yīng)池中對應(yīng)的進程編碼記錄。

最后，可信端的InitServlet接收到可信端響應(yīng)回來的XML加密流文件，刪除請求池中對應(yīng)的進程編碼記錄，開辟新線程調(diào)用解密類，解密后的數(shù)據(jù)存放到指定類型的變量中，方便不可信端做讀取展示的業(yè)務(wù)。

整個網(wǎng)閘隔離的雙機交互對調(diào)對于應(yīng)用雙機通訊底層的程序員來說是透明的，可信端與不可信端間的文件傳輸由網(wǎng)閘實現(xiàn)，監(jiān)聽服務(wù)等待處理網(wǎng)閘擺渡來的文件，而響應(yīng)業(yè)務(wù)只處理解密后認定的類和方法，不需要握手認證也比較安全。通過多線程處理技術(shù)，可有次序地執(zhí)行多個任務(wù)，避免死鎖和長時間等待；可信端和不可信端會分別定時掃描響應(yīng)池和請求池中是否存在一些超時業(yè)務(wù)，并對超時業(yè)務(wù)回復(fù)為空對象，表明通訊失敗或超時。

4 B/S架構(gòu)系統(tǒng)對雙機通訊底層的調(diào)用

在開發(fā)B/S架構(gòu)系統(tǒng)時，一般地，網(wǎng)絡(luò)層JSP頁面直接調(diào)用后臺類的語句示例如下：

為了實現(xiàn)網(wǎng)閘隔離環(huán)境下不可信端計算機對可信端數(shù)據(jù)庫進行實時訪問，網(wǎng)絡(luò)層JSP頁面調(diào)用雙機通訊底層語句示例如下：

物理隔離網(wǎng)閘不存在依據(jù)協(xié)議轉(zhuǎn)發(fā)的信息包，數(shù)據(jù)文件只進行無協(xié)議“擺渡”[7]。雙機通訊底層將數(shù)據(jù)文件打包封裝在底層，程序員在頂層調(diào)用極為方便。為提高安全系數(shù)，B/S架構(gòu)系統(tǒng)采用數(shù)據(jù)庫-控制層-網(wǎng)絡(luò)層的3層架構(gòu)，通過雙機通訊底層將網(wǎng)絡(luò)層與控制層隔斷，網(wǎng)絡(luò)層只能調(diào)用控制層中固有的類和方法，否則請求文件將被丟棄，返回為空的響應(yīng)文件，這樣可以防止黑客通過篡改網(wǎng)站頁面語句直接訪問數(shù)據(jù)庫。

5 B/S架構(gòu)系統(tǒng)部署示例

網(wǎng)閘與不可信端服務(wù)器（以軍綜網(wǎng)為例）、可信端服務(wù)器（以醫(yī)院網(wǎng)為例）的連接方法，見圖1。

圖1 B/S架構(gòu)系統(tǒng)部署圖

在不可信端和可信端服務(wù)器上各安裝網(wǎng)閘文件同步系統(tǒng)，創(chuàng)建文件同步目錄（inter_send、inter_rev、wan_send、wan_rev），配置允許訪問程序Tomcat.exe。

醫(yī)療業(yè)務(wù)系統(tǒng)ROOT所在的WEB.XML文件做如下配置：

另需在可信端和不可信端醫(yī)療業(yè)務(wù)系統(tǒng)ROOT所在的classes文件夾中增加transfer.properties文件。

可信端的transfer.properties文件做如下配置：

雙機通訊底層也適合單機運行，即如果架設(shè)一般形式的網(wǎng)站，將醫(yī)療業(yè)務(wù)系統(tǒng)ROOT所在的transfer.properties文件做如下配置：

Web_type=10。

6 結(jié)語

基于網(wǎng)閘隔離雙機通訊底層開發(fā)的B/S架構(gòu)系統(tǒng)在滿足安全條件的同時，既保證了網(wǎng)絡(luò)間業(yè)務(wù)數(shù)據(jù)交換的順利進行，又保證了網(wǎng)絡(luò)的可靠性和安全性[8]。我院在此基礎(chǔ)上已經(jīng)研發(fā)了全軍網(wǎng)絡(luò)醫(yī)療服務(wù)系統(tǒng)、全軍網(wǎng)絡(luò)醫(yī)療管理中心網(wǎng)站、互聯(lián)網(wǎng)醫(yī)藥檢驗檢查信息查詢系統(tǒng)、互聯(lián)網(wǎng)體檢預(yù)約查詢系統(tǒng)等，為廣大官兵用戶提供了方便、快捷的醫(yī)療服務(wù)，建立了良好的網(wǎng)絡(luò)安全防護機制，有利于提升醫(yī)院數(shù)字化水平和數(shù)據(jù)庫安全系數(shù)[9]。

[1] 錢敬．B/S架構(gòu)中的數(shù)據(jù)推送設(shè)計與實現(xiàn)[J]．電腦知識與技術(shù), 2013,9(10):2356-2359．

[2] 吳雅云,陳雪紅,李秀美．軍隊醫(yī)院網(wǎng)絡(luò)安全隱患及防范[J]．軍事訓練醫(yī)學,2010,4(2):13-14．

[3] 趙妍,邵偉．淺談網(wǎng)閘在醫(yī)院中的應(yīng)用[J]．中國醫(yī)療設(shè)備,2013, 28(5):92-93．

[4] 孫利,徐亮,吳辭文．一種基于HTTP包識別的網(wǎng)絡(luò)安全設(shè)備聯(lián)動的方法[J]．微電子學與計算機,2013,30(1):114-122．

[5] 王純．JAVA與圖書館信息服務(wù)[J]．情報雜志,2001,(6):38-39．

[6] 宋玲玲,劉沖,喻金,等．基于C++ Builder環(huán)境的多線程技術(shù)在工業(yè)雙相機控制中的應(yīng)用[J]．工業(yè)控制計算機,2013,26(2):91-95．

[7] 胡春．計算機網(wǎng)絡(luò)安全現(xiàn)狀及對策[J]．電腦知識與技術(shù),2010, 6(5):1079-1080．

[8] 周玉葉,周夏青．基于網(wǎng)閘的醫(yī)院網(wǎng)絡(luò)安全應(yīng)用[J]．臺州學院學報,2013,35(3):12-16．

[9] 李成安．醫(yī)院信息網(wǎng)絡(luò)安全管理[J]．電腦知識與技術(shù),2013, 9(1):32-34．

Computer-to-Computer Communication Bottom with its Application in B/S Architecture System Based on Gap Isolation

WU Ya-yun, HONG Rui-an, ZHUANG Shao-yan

Software Research and Development Room, Department of Information, The 180thHospital of PLA, Quanzhou Fujian 362000, China

目的 在網(wǎng)閘隔離環(huán)境下開發(fā)B/S架構(gòu)系統(tǒng)，實現(xiàn)不可信端計算機對可信端數(shù)據(jù)庫的實時友好訪問。方法 結(jié)合網(wǎng)閘文件擺渡功能，應(yīng)用JAVA語言研發(fā)雙機通訊底層，繼而開發(fā)B/S架構(gòu)系統(tǒng)。結(jié)果 基于網(wǎng)閘隔離雙機通訊底層開發(fā)的B/S架構(gòu)系統(tǒng)，可以實現(xiàn)多臺不可信端計算機對可信端計算機的實時訪問，同時保證網(wǎng)絡(luò)數(shù)據(jù)的安全。結(jié)論 基于網(wǎng)閘隔離的雙機通訊底層在B/S架構(gòu)系統(tǒng)的構(gòu)建中發(fā)揮著重要作用。

網(wǎng)閘隔離；服務(wù)器；雙機通訊；B/S架構(gòu)；數(shù)據(jù)安全

Objective To develop the B/S architecture system to implement the real-time and friendly access from untrusted computers to trusted databases. Methods The B/S architecture system was developed with computer-to-computer communication bottom which was designed with JAVA language and the ferry function of gap fles. Results The real-time access from untrusted computers to trusted computers has been implemented with the B/S architecture system which was developed with the computer-to-computer communication bottom based on gap isolation and can ensure the security of network data. Conclusion The computer-to-computer communication bottom based on gap isolation plays an important role in the establishment of B/S architecture systems.

gap isolation; server; computer-to-computer communication; B/S architecture; data security

TP393.03

A

10.3969/j.issn.1674-1633.2014.06.011

1674-1633(2014)06-0031-03

2013-12-20

2014-05-15

作者郵箱：wuyayun@163．com