一种基于二维码的涉密内网安全短信网关

◆王 敏



一种基于二维码的涉密内网安全短信网关

◆王 敏

(湖北三峡职业技术学院 湖北 443000)

本文基于二维码生成和解码技术，将涉密内网需要发送的手机短信生成二维码图片，非涉密外网使用摄像头解码二维码图片还原原始信息，借助运营商短信平台进行短信发送，实现内外网物理隔离环境下内网系统向手机用户发送涉密业务系统生成的文件签收、公文办理等短信提醒功能，构建了一种安全短信网关系统。该网关有效解决了过去通过U盘或光盘拷贝内网短信信息到外网，或者通过GAP摆渡短信信息到外网的效率低下或不能满足内外网完全物理隔离要求的问题。

二维码；短信网关；物理隔离

0 引言

电子政务内网是涉密的党政机关办公业务网络，依据国家重要信息系统安全等级保护标准和法规要求，电子政务内网和外网必须实现物理隔离，以有效杜绝机密信息泄露和窃取事件发生。电子政务内网的业务系统如公务员办公系统、电子监察系统等，在业务处理过程中，需要向公务员手机发送文件签收、公文办理等提醒短信。此时，需要将涉密内网的短信信息传递到外网，再借助外网运营商的短信平台向手机用户发送短信。这类问题的研究解决办法过去主要有三种途径。一是借助于满足单向传输要求的U盘接口装置，将需要发送的短信拷贝到保密U盘上，然后将U盘中短信拷贝到外网短信平台发送。该方式实现了内外网的物理隔离，但是需要人工参与操作，不能实现自动化，效率也非常低下。二是将内网需要发送的短信信息刻录到光盘中，将光盘中短信拷贝到外网短信平台发送。该方式较第一种方式效率更为低下。三是采用隔离网闸(GAP)技术。内外网通过GAP连接，通过GAP摆渡需要交换的信息，如同一个高速开关在内外网间来回切换，同一时刻内外网间没有连接。但根据国家重要信息系统安全等级保护标准，GAP没有达到内外网完全物理隔离要求，所以现在也不能采用。因此本系统的设计目的是在满足内外网物理隔离条件下，实现将内网的短信信息传递到外网，再通过外网短信平台完成短信发送功能。

1 QR码构成

QR码属于矩阵式二维码中的一种，由DENSO(日本电装)公司开发，由JIS和ISO将其标准化。其具有存储信息量大、小空间内打印、有效表现各种字母、变脏和破损的适应能力强、任意方向读取、支持数据合并功能等优点，是近几年来移动设备上超流行的一种编码方式，它比传统的Bar Code条形码能存更多的信息，也能表示更多的数据类型。QR码符号由正方形模块构成，组成正方形阵列，由编码区域及寻象图形、分隔符、定位图形和矫正图形在内的功能图形构成，功能图形不能用于数据编码。符号的四周由空白区包围[1]。如图1。

图1 QR码基本结构图

（1）位置探测图形、位置探测图形分隔符和定位图形：用于对二维码的定位，对每个QR码来说，位置都是固定存在的，只是大小规格会有所差异；这些黑白间隔的矩形块易进行图像处理检测[2]。

（2）校正图形：根据尺寸的不同，矫正图形的个数也不同。矫正图形主要用于QR码形状的矫正，尤其当QR码印刷在不平坦的面上，或拍照时候发生变形等。

（3）格式信息：表示二维码纠错级别，分为L、M、Q、H。

（4）数据区域和纠错码字：数据区域使用黑白二进制网格编码内容，8个格子可以编码一个字节，是实际保存的二维码信息。纠错码字用于修正二维码损坏带来的错误。

（5）版本信息：即二维码规格，QR码符号共有40种规格的矩阵（一般为黑白色），从21x21（版本1），到177x177（版本40），每一版本符号比前一版本每边增加4个模块。

2 系统架构

安全短信网关系统架构如图2所示。

内网业务系统生成需要发送的短信内容，通过数据交换接口模块，将数据传递给安全短信平台内网端，进入传递队列，数据加密模块取出队首元素进行加密，短信二维码图像生成模块将加密后的数据根据GB/T18284-2000编码规范生成QR二维码图片，并在显示器上输出。在安全短信平台外网端，短信二维码图像识别模块记录摄像机上拍摄的二维码图片，并进行二维码识别，数据解密模块解密图像识别模块识别出的二维码承载的信息，确认二维码图像生成模块负责生成图像传递成功与否的二维码图片，确认二维码图像识别模块负责识别由确认二维码图像生成模块生成的二维码图像。短信发送模块负责将正确解密后的短信内容发送后手机用户。

图2 基于二维码的涉密内网安全短信网关系统架构

3 系统设计

3.1 本系统的基本构成

（1）采用2台主机，主机的地域位置没有限制，内网传递主机连接在涉密内网，外网识别主机连接在非涉密外网。内外网各配置1台网络摄像机，内网摄像机用于抓取外网主机显示器上输出的二维码，外网摄像机用于抓取内网主机显示器上输出的二维码。

（2）采用Java程序设计技术，设计基于GB/T18284-2000编码规范的QR二维码图片生成和识别软件。

（3）设计短信接受、传递和发送软件系统。

3.2 系统功能结构

（1）数据交换接口模块

内网业务系统如公务员办公平台、大督查平台在公文办理、文件送达、事项通知等业务处理过程中，需要以短信形式送达用户通知情形时，将短信内容及其用户手机号码列表组成短信报文，基于Web Service技术[5]，通过数据交换接口模块将短信报文推送给安全短信平台内网端系统，进入内网传递等待队列。

（2）数据加密模块

依次取出队列中队首元素，采用AES加密算法对传递数据进行加密，这样后面生成的二维码如果不经过解密，其内容也不可用。

（3）短信二维码图像生成模块

数据加密模块输出数据采用GB/T 18284-2000编码规范生成QR二维码图片，打印到显示器上指定位置，并启动定时器。

（4）短信二维码图像识别模块

显示器前的外网网络摄像机对准二维码图像进行摄像，以定时间隔不间断抓拍成图片，然后对抓拍的二维码图片进行识别和存储，本次二维码与上次传递的二维码进行比对，若相同则丢弃，表示该二维码已经传递过，不同则是新的二维码，输出给数据解密模块。

（5）数据解密模块

对短信二维码图像识别模块的输出数据进行解密，还原原始短信报文。若二维码图像能够正确识别和解密，则将短信内容及其手机号码输出给短信发送模块，进入外网短信发送等待队列并向确认二维码图像生成模块输出传递成功信号；若二维码图像能够未能正确识别和解密，则向确认二维码图像生成模块输出传递失败信号。

（6）确认二维码图像生成模块

根据数据解密模块的输出，生成传递成功或传递失败二维码图像，并打印到显示器上指定位置。

（7）确认二维码图像识别模块

显示器前的内网网络摄像机对准二维码图像进行摄像，并抓拍成图片，然后对抓拍的二维码图片进行识别。若为传递成功信号，则保存相关记录，取出下一个内网传递等待队列队首元素，进入下一条短信报文的传递流程；若为传递失败信号，则将本次未传递成功信息生成2次二维码图像并打印到显示器上；若再次接受为传递失败信号，则将本次未传递成功信息生成3次二维码图像并打印到显示器上；3次不成功则放弃本次传递，保存相关记录并取出下一个内网传递等待队列队首元素，进入下一条短信报文的传递流程；若已到定时时间也转入下一条短信报文的传递流程[6]。

（8）短信发送模块

对进入外网短信发送等待队列中的元素进行处理，推送给运营商短信平台发送到用户手机，并保存发送记录。

（9）辅助模块

①系统管理

系统设置，如显示器节能设置、摄像抓拍间隔设置、二维码图像规格设置等；数据备份。

②用户管理

用户、角色、权限管理。

③手机管理

手机机主基本信息、手机号码等的管理。

④历史记录管理

短信报文传递记录、短信发送记录等的历史查询和报表输出。

⑤二次传递管理

对已到定时时间未成功传递的短信报文或三次都未能成功传递的短信报文进行二次传递；对未能成功发送的短信进行二次发送。

4 实现及应用

本文的安全短信网关系统基于java、spring、mybatis技术实现，数据库采用mysql。内网业务系统调用平台基于Web Service的服务接口向平台推送需要传递到外网进行发送的短信，待发送短信组成FIFO队列，网关的调度系统负责取出队列元素，进行数据加密、二维码生成、二维码识别、错误重传和同步。内、外网的调度系统独立并行工作，通过握手响应机制实现同步，当不同步时，调度系统采用二进制指数后退算法通知二维码生成和识别模块当前工作时刻。

实际短信发送具有很高的时效性要求，短信发送时延主要由数据接收、加密、二维码生成、二维码识别、数据解密、错误重传和运营商短信发送时延组成。一个关键问题是群发短信的效率问题，往往业务系统需要一次群发1000多条短信，如果一个手机号的短信就进行一次二维码的发送、识别的话，将产生很大的发送时延（这需要1小时以上）。为此，通过群发用户手机号共用相同短信内容，所有手机号组装成一个接受短信用户号码字段，该字段进行二维码转换和识别时采用分片发送、组装方式进行模式转换，这样基本可以线性提高短信转换和发送的效率。

目前，该系统在宜昌市电子政务内网进行了实际应用，系统稳定可靠运行了1年多时间，年安全发送短信500余万条。

5 结束语

本系统的设计针对过去通过U盘或光盘拷贝内网短信信息到外网，或者通过GAP摆渡短信信息到外网的效率低下或不能满足内外网完全物理隔离的问题，设计了一种基于二维码图像生成和识别技术的内网安全短信网关系统，在有效实现内外网物理隔离条件下，将内网的短信信息传递到外网，再通过外网短信平台完成短信发送功能。

[1]梁柯，李秉毅，陈柯.二维码在通信标识资源管理系统中的应用[J].土木建筑与环境工程，2016.

[2]梁荣，汪玉凯，李心池.分级安全的二维码识别系统及关键算法设计[J].计算机工程与设计，2017.

[3]安进，张丹.基于RFID和图像识别的食品追溯信息查询算法[J].科技通报，2017.

[4]张丹，王晶，蔡宗琰.基于二维码使用的搬运车设计及其路径优化[J].制造自动化，2017.

[5]凌康杰，岳学军，刘永鑫，王健，王林惠，甘海明.基于移动互联的农产品二维码溯源系统设计[J].华南农业大学学报，2017.

[6]徐仲勋，刘建新，王亚威，曾嫱.一种基于标记码的AGV小车导航修正方法[J].机床与液压，2018.

国家自然科学基金（41172298）。