楊金剛，劉 軍，高效松，施卉磊

（哈爾濱鐵路局 信息技術(shù)所，哈爾濱 150006）

通過互聯(lián)網(wǎng)訪問鐵路內(nèi)網(wǎng)Web Service技術(shù)的研究與實現(xiàn)

楊金剛，劉 軍，高效松，施卉磊

（哈爾濱鐵路局 信息技術(shù)所，哈爾濱 150006）

文章通過互聯(lián)網(wǎng)訪問鐵路內(nèi)網(wǎng)Web Service技術(shù)的研究探索，分析了鐵路安全平臺的原理和結(jié)構(gòu)，提出了穿越鐵路安全平臺的一般實現(xiàn)方法，并指出了該方法的不足之處。文章結(jié)合哈爾濱鐵路局的實際項目，給出了互聯(lián)網(wǎng)訪問內(nèi)部資源代理程序的實現(xiàn)方法，該代理程序?qū)崿F(xiàn)了互聯(lián)網(wǎng)訪問路網(wǎng)資源的可配置性及零編程。

安全平臺；Web Service；數(shù)字證書；令牌；代理程序

近幾年，為了提升鐵路運輸服務(wù)質(zhì)量，鐵路總公司相繼建立了12306互聯(lián)網(wǎng)售票、95306貨運電子商務(wù)平臺等，為旅客出行和貨主貨運提供了極大的便利，今后借助互聯(lián)網(wǎng)來方便公眾、提升服務(wù)質(zhì)量的信息系統(tǒng)項目將會越來越多。本文結(jié)合哈爾濱鐵路局網(wǎng)絡(luò)電報手機App、職工互動交流平臺及微信平臺等項目，對通過互聯(lián)網(wǎng)訪問鐵路內(nèi)部資源的技術(shù)進行深入研究，就通過互聯(lián)網(wǎng)穿越網(wǎng)絡(luò)安全平臺調(diào)用鐵路內(nèi)部網(wǎng)Web Service的方法進行了詳細闡述，指出了一般實現(xiàn)方法的不足，并給出了互聯(lián)網(wǎng)訪問鐵路內(nèi)部資源代理程序的實現(xiàn)方法。

1 鐵路計算機網(wǎng)絡(luò)安全平臺概述

鐵路計算機網(wǎng)絡(luò)安全平臺（簡稱：安全平臺）是鐵路總公司計算機網(wǎng)絡(luò)安全工程的重要組成部分，是鐵路綜合計算機內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)（互聯(lián)網(wǎng)）之間的唯一安全連接通道，其設(shè)計目標(biāo)是建設(shè)一個先進的網(wǎng)絡(luò)安全體系架構(gòu)，為鐵路內(nèi)部和外部用戶提供安全可靠的網(wǎng)絡(luò)計算和通信環(huán)境，規(guī)范鐵路網(wǎng)絡(luò)基礎(chǔ)設(shè)置，形成縱深防御體系，提高網(wǎng)絡(luò)自身防御攻擊能力和網(wǎng)絡(luò)整體性能，滿足日益發(fā)展的內(nèi)外網(wǎng)間應(yīng)用系統(tǒng)數(shù)據(jù)傳輸和安全互訪的需求。

安全平臺主要由網(wǎng)絡(luò)系統(tǒng)、訪問控制系統(tǒng)、證書管理系統(tǒng)及日志審計系統(tǒng)等組成。其中，訪問控制系統(tǒng)是劃分鐵路內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的重要邊界，是實現(xiàn)應(yīng)用系統(tǒng)安全訪問的基礎(chǔ)，它在物理隔離的內(nèi)、外網(wǎng)絡(luò)之間建立安全的數(shù)據(jù)傳輸通道，對訪問者的身份和權(quán)限進行查驗，確保只有符合條件的授權(quán)用戶才能訪問到受保護的系統(tǒng)資源，同時對訪問數(shù)據(jù)格式的有效性進行校驗，它由訪問通道子系統(tǒng)、訪問控制子系統(tǒng)和配置管理子系統(tǒng)組成，訪問控制系統(tǒng)結(jié)構(gòu)如圖1所示。

圖1 安全平臺訪問控制系統(tǒng)結(jié)構(gòu)圖

1.1 訪問控制子系統(tǒng)

主要負責(zé)對用戶的身份信息及訪問權(quán)限進行管理，同時進行用戶認證及鑒權(quán)工作。它提供的服務(wù)包括：用戶身份認證服務(wù)、訪問控制服務(wù)和單點登錄服務(wù)。

1.2 訪問通道子系統(tǒng)

在物理隔離的鐵路內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間建立一條安全的數(shù)據(jù)傳輸通道，并進一步檢查進出數(shù)據(jù)格式的有效性。它提供的服務(wù)包括：正向代理服務(wù)和反向代理服務(wù)。

1.3 配置管理子系統(tǒng)

對安全代理系統(tǒng)的配置項進行管理，以及對證書庫中的證書進行查詢。它提供的服務(wù)包括：安全代理系統(tǒng)的配置服務(wù)和證書庫證書的查詢服務(wù)。

2 互聯(lián)網(wǎng)訪問內(nèi)網(wǎng)Web Service方法研究

2.1 安全平臺訪問控制流程

互聯(lián)網(wǎng)用戶通過鐵路安全平臺訪問內(nèi)部網(wǎng)應(yīng)用系統(tǒng)的過程如圖2所示，過程說明見表1。

2.2 通過互聯(lián)網(wǎng)訪問內(nèi)部Web Service一般實現(xiàn)方法

2.2.1 物理架構(gòu)

通過互聯(lián)網(wǎng)訪問內(nèi)部Web Service一般需要3類服務(wù)器：第1類是在互聯(lián)網(wǎng)或鐵路外部服務(wù)網(wǎng)隔離區(qū)（DMZ）區(qū)部署的Web應(yīng)用服務(wù)器，用于為互聯(lián)網(wǎng)用戶提供Web 服務(wù)；第2類是在鐵路外部服務(wù)網(wǎng)DMZ區(qū)部署的外網(wǎng)訪問接口服務(wù)器，用于部署安全平臺客戶端數(shù)字證書、獲取安全平臺訪問令牌（Token）以及為Web 應(yīng)用服務(wù)器提供內(nèi)部網(wǎng)Web Service的代理方法接口；第3類是在鐵路內(nèi)部網(wǎng)部署的Web Service接口服務(wù)器，用于訪問鐵路內(nèi)部網(wǎng)絡(luò)的業(yè)務(wù)數(shù)據(jù)。物理架構(gòu)如圖3所示。

圖2 安全平臺訪問控制流程圖

表1 安全平臺訪問過程控制說明

圖3 通過互聯(lián)網(wǎng)訪問內(nèi)部Web Service物理架構(gòu)圖

2.2.2 外網(wǎng)訪問接口一般實現(xiàn)方法

本節(jié)所闡述的實現(xiàn)方法以Java語言為例。

2.2.2.1 創(chuàng)建客戶端密鑰倉庫（KeyStore）

互聯(lián)網(wǎng)訪問內(nèi)網(wǎng)資源時，安全平臺外網(wǎng)認證服務(wù)器需要驗證客戶端數(shù)字證書。編寫外網(wǎng)訪問接口使用Java KeyStore密鑰倉庫，用Java JDK提供的keytool工具生成密鑰倉庫并導(dǎo)入證書。導(dǎo)入的4個證書分別是：鐵路認證中心（CA）根證書、外網(wǎng)訪問控制證書、內(nèi)網(wǎng)訪問控制證書以及安全平臺配置生成的PKCS#12格式客戶端證書。

2.2.2.2 獲取安全平臺訪問令牌

安全平臺的外網(wǎng)訪問控制服務(wù)采用的是基于SSL協(xié)議的HTTPS雙向認證方式，認證成功后安全平臺會為客戶端返回具有一定生存時間的訪問令牌，持有合法令牌的訪問請求可以通過安全平臺。

取得安全平臺訪問令牌的方法是：（1）進行SSLSocket握手，初始化SSLSocket；（2）加載2.2.2.1生成的KeyStore格式的JKS文件和口令，返回SSL上下文的SSLSocketFactory對象；（3）向HttpsURLConnection對象注入SSLSocketFactory，利用HttpsURLConnection對象請求外網(wǎng)認證服務(wù)器URL，解析認證服務(wù)器返回內(nèi)容，獲取訪問令牌。

2.2.2.3 生成內(nèi)網(wǎng)Web Service相應(yīng)的客戶端代碼

Java JDK提供了一個工具wsimport，可以根據(jù)WSDL生成相應(yīng)的客戶端文件，在項目中使用這些客戶端類文件，就可以像調(diào)用本地類方法一樣調(diào)用遠程Web Service方法。wsimport工具可以生成由不同語言編寫的Web Service的Java客戶端，生成的內(nèi)網(wǎng)Web Service的Java客戶端類文件和代碼文件，導(dǎo)入到項目中即可使用。

2.2.2.4 為Web Service客戶端類添加訪問令牌

通過2.2.2.3生成的客戶端在訪問內(nèi)網(wǎng)Web Service時，必須在SOAP頭部插入采用2.2.2.2獲取的令牌信息，否則將不能通過安全平臺驗證。

2.2.3 上述實現(xiàn)方法的不足

利用上述方法實現(xiàn)通過互聯(lián)網(wǎng)訪問內(nèi)網(wǎng)Web Service有兩方面不足：（1）編程工作量大，靈活性差。當(dāng)內(nèi)網(wǎng)Web Service改動時，如新增接口方法、接口參數(shù)更改及調(diào)用方式改變，都必須修改外網(wǎng)訪問接口程序，重新生成內(nèi)網(wǎng)Web Service代理類，重新發(fā)布程序；（2）可擴展性差，這種方法僅能用于標(biāo)準(zhǔn)的Web Service，對于用戶自己實現(xiàn)的通信協(xié)議接口不支持。鑒于以上方法的不足，我們開發(fā)了互聯(lián)網(wǎng)訪問內(nèi)部資源代理程序，實現(xiàn)了僅通過配置項目及內(nèi)部資源的映射，無需編程即可實現(xiàn)通過互聯(lián)網(wǎng)對內(nèi)部資源的訪問，并且支持標(biāo)準(zhǔn)的Web Service、Web API及用戶自定義的通信協(xié)議接口。

3 代理程序的設(shè)計實現(xiàn)

3.1 代理程序總體架構(gòu)

代理程序由配置、認證、路由及日志4部分組成。配置部分用于配置項目的數(shù)字證書、虛擬地址及內(nèi)部資源映射，以及生成供互聯(lián)網(wǎng)調(diào)用的接口URL。配置部分采用Flask框架用Python語言編寫，配置項的存儲采用MongoDB數(shù)據(jù)庫；認證部分用于從配置庫中讀取數(shù)字證書文件及密碼，提交安全平臺外網(wǎng)認證服務(wù)器，獲取訪問令牌。認證部分用Java語言編寫；路由部分用于解析互聯(lián)網(wǎng)請求的URL，根據(jù)項目配置信息，轉(zhuǎn)換成內(nèi)部資源訪問地址，并在內(nèi)部資源訪問請求頭部附加令牌信息，然后轉(zhuǎn)發(fā)至內(nèi)部Web Service接口服務(wù)器，獲取業(yè)務(wù)數(shù)據(jù)后響應(yīng)互聯(lián)網(wǎng)請求。路由部分還負責(zé)根據(jù)配置庫中令牌生存時間來對認證部分獲取的令牌進行緩存。路由部分采用Flask框架用Python語言編寫，與認證部分的通信采用Thrift協(xié)議進行RPC調(diào)用；日志部分用于搜集代理程序的調(diào)試信息及性能信息，以便于系統(tǒng)排錯和性能瓶頸的確定。代理程序總體架構(gòu)如圖4所示。

3.2 配置項設(shè)計

代理程序有兩類配置項：（1）項目配置項；（2）內(nèi)部資源映射配置項。兩者是One-To-Many 關(guān)系，一個項目可包含多個內(nèi)部資源映射，配置項存儲在MongoDB數(shù)據(jù)庫中，項目配置完成后，系統(tǒng)自動形成互聯(lián)網(wǎng)調(diào)用的接口URL。下面以哈爾濱鐵路局網(wǎng)絡(luò)電報手機APP項目為例闡述配置項設(shè)計。

3.2.1 項目配置項

下面是項目配置項的一個實例，JSON格式，各數(shù)據(jù)域含義見表2。

表2 項目配置項各數(shù)據(jù)域含義

3.2.2 內(nèi)部資源映射配置項

下面是內(nèi)部資源映射配置項的一個實例，JSON格式，各數(shù)據(jù)域含義見表3。

表3 內(nèi)部資源映射配置項各數(shù)據(jù)域含義

3.2.3 外部接口URL格式

代理程序的配置部分根據(jù)項目及內(nèi)部資源映射配置，自動為每個內(nèi)部資源生成互聯(lián)網(wǎng)訪問接口URL，外部系統(tǒng)通過調(diào)用接口URL，實現(xiàn)內(nèi)部資源的訪問。接口URL格式：

http://[agent_ip]:[port]/[project]/[inner_url]。

［agent_ip］：運行代理程序服務(wù)器IP地址；

［port］：運行代理程序服務(wù)端口；

［project］：項目名稱；

[inner_url]：內(nèi)部資源的相對訪問地址。

3.3 路由時序設(shè)計

路由部分由路由解析、路由轉(zhuǎn)發(fā)、配置讀取以及認證部分Thrift客戶端4個模塊組成，具體路由時序設(shè)計如圖5所示。

圖5 代理程序路由時序圖

3.4 認證設(shè)計

為了提高性能，認證與路由之間內(nèi)部通信沒有使用HTTP協(xié)議，而是使用了基于Thrift的RPC協(xié)議。Thrift是一個跨語言的服務(wù)部署框架，2007年由Facebook開發(fā)，2008年成為Apache開源項目。認證部分Thrift服務(wù)端采用Java語言編寫，路由部分使用Python語言編寫Thrift客戶端。Thrift服務(wù)端代碼略。

3.5 日志設(shè)計

代理程序有兩類日志：（1）錯誤日志，記錄程序運行中出現(xiàn)的錯誤信息，便于分析產(chǎn)生錯誤原因及定位出錯位置；（2）性能日志，記錄認證及路由過程消耗的時間，便于確定程序性能瓶頸。認證部分日志工具采用了開源日志組件Log4j ，路由部分日志工具使用Python自帶的Logging日志模塊。代理程序日志分析統(tǒng)一使用了Python語言自行編寫的分析工具。

4 結(jié)束語

本文主要研究了通過互聯(lián)網(wǎng)訪問鐵路內(nèi)部資源的原理及一般實現(xiàn)方法，并詳細闡述了穿越安全平臺代理程序的設(shè)計思路。隨著互聯(lián)網(wǎng)訪問鐵路內(nèi)部網(wǎng)資源項目的逐漸增多，代理程序?qū)崿F(xiàn)的無需編程及靈活配置的優(yōu)勢將日益顯現(xiàn)，如今代理程序已經(jīng)作為哈爾濱鐵路局網(wǎng)絡(luò)電報手機APP及數(shù)字哈局等項目的基礎(chǔ)設(shè)施，發(fā)揮著重要的作用。

[1]Deepak Vohra .Java 7 JAX-WS Web Services[M].Birmingham:Packt Publishing,2012.

[2]Kristina Chodorow.MongoDB權(quán)威指南[M].2版.北京：人民郵電出版社，2014.

[3]李 亮,尹遜政,孟 軍.基于安全平臺裁決的ATO系統(tǒng)冗余設(shè)計與實現(xiàn)[J].鐵路計算機應(yīng)用，2014，23 （2）： 32-35.

[4]Miguel Grinberg .Flask Web開發(fā)：基于Python的Web應(yīng)用開發(fā)實戰(zhàn)[M].北京：人民郵電出版社，2015.

[5]廖天成，王 博，何化石.運輸全過程管理系統(tǒng)中列車運行圖數(shù)據(jù)接口的設(shè)計與實現(xiàn)[J].鐵路計算機應(yīng)用，2013， 22（2）：24-26.

責(zé)任編輯 王 浩

Web Service technology applied to access railway Intranet through Internet

YANG Jingang,LIU Jun,GAO Xiaosong,SHI Huilei
( Institute of Information Technology,Harbin Railway Administration,Harbin 150006,China)

This article made a research and exploration on Web Service technology to access railway Intranet through Internet,proposed a general method of crossing the railway safety platform through the analysis of the principle and structure of the railway safety platform,pointed out some shortcomings of the method.Based on the actual project of Harbin Railway Administration,an implementation method was given to access the internal resources agent program through Internet.The agent program achieved the confguration and zero programming to access resources of railway Intranet through Internet.

security platform;Web Service;digital certifcate;token;proxy

U29∶TP393

A

1005-8451（2016）10-0059-05

2016-05-06

哈爾濱鐵路局科研項目課題（KWH2015063）。

楊金剛，高級工程師；劉 軍，高級工程師。