《商务应用虚拟化系统建设毕业设计.doc》由会员分享,可在线阅读,更多相关《商务应用虚拟化系统建设毕业设计.doc(33页珍藏版)》请在三一办公上搜索。
1、重庆信息技术职业学院毕业设计 题目 商务应用虚拟化系统建设 选题性质:设计报告其他 院 系 软件与艺术学院 专 业 计算机信息管理 班 级 2011级信管2班 学 号 1110060153 学生姓名 X X 指导教师 X X 教务处制 2013年 10 月 20 日 2014 届 软件与艺术 学院毕业设计选题审批单年级2011级 专业 计算机信息管理 班级 (2) 学生姓名XXX 学 号11100601XX 选题商务应用虚拟化系统建设选题性质设计报告其他选题论证:随着全球IT互联网行业的发展,绝大部分趋势性产品都是从企业级应用扩展至消费领域,典型的莫过于PC。然而,移动APP却首先在消费者领域
2、取得了不俗的表现,在企业级应用的领域则稍显迟缓。作为信息化能力最强的单元,企业必然不能拒绝APP-虚拟化应用系统。指导教师初审意见:签 名:年 月 日毕业设计工作领导小组审批意见:签 名:年 月 日 2014 届 软件与艺术 学院毕业设计开题报告及进度要求年级 2011 班级 计算机信息管理(2)班 学生姓名 XXX学 号1110060153 指导教师 XXX选题性质设计报告其他选题商务应用虚拟化系统建设选题的目的和意义: 目的:通过选题企业移动商务的建设、实施和解决方案来提升自己专业水平与行业的一次实践,对于虚拟系统的建设给予自己一个探索、挑战、接触的机遇不,并丰富自己的专业知识,拓展专业领
3、域,从中发现自己的不足,从而加强自己的弱项短板,做到体现我校“人无全才人人有才”的教学培养理念。 意义:通过选题发挥自己的优势 提升自我综合素质,训练自己的设计能力,为自己今后的职业选择与走进社会大家庭打好扎实的专业基础,做到完美应战每一面,去不断的追求和超越自我、挑战自我、是证明自己的能力的一种体现并让专业知识有了一个新的起点和敢于面对挑战自我超越自我的一个里程碑。选题研究的主要内容和技术方案: 内容:企业在互联网时代的潮流中不可缺失的经营平台和客服终端;营造一个企业必然不能拒绝的虚拟系统平台,并接近生活,嵌入生活,大众需要的项目,才是真正意义的需要和需求市场。 技术方案:通过专业知识与相关
4、专业文献资料,拟出一套可塑性技术方案-天翼虚拟化应用系统。毕业设计工作时间2013年6月20日至2013年10月26日毕业设计工作日程安排时间段工作内容6月20日6月30日选题、制定任务、开题7月1日-7月30日阅读参考文献、集资料8月1日-8月30日拟定标题、出设计框架结构10月1日-10月15日初稿完成、导老师讲解意见10月16日-10月20日定稿、予指导老师详阅11月26日完成毕业设计指导教师意见: 成果要求: 签字: 年 月 日重庆信息技术职业学院毕业设计小组任务分配表序号姓名班级毕业设计工作任务分配11100601XXXXX计算机信息管理(2)班在指导老师的帮助下完成信息收集,设计框
5、架,拟定标题定稿等,最终完成个人毕业设计。 商务应用虚拟化系统建设 你的姓名 (重庆信息技术职业学院软件与艺术学院 重庆万州 404000)摘要:商务应用虚拟化系统是国内具有非常大前景的应用虚拟化平台,是基于服务器计算的应用虚拟化平台。它将用户所有应用软件集中部署在系统服务器(群)上,客户端通过WEB即可快速安全的访问经服务器上授权的应用软件,实现集中应用、远程接入、协同办公等,从而为用户打造集中、便捷、安全、高效的虚拟化支撑平台。操作终端无需再安装应用程序,通过商务应用独特的RAP 协议,即可让用户快速访问服务器上的各类应用软件;天翼RAP 协议只传输鼠标、键盘及屏幕变化的矢量数据,访问仅需
6、3KB/s的带宽,用户不再受客户端和连接性能要求的限制,在任何时间、任何地点,利用任何设备、任何网络连接方式,即可高效安全地访问服务器(群)上的应用程序和关键资源。关键词:GWT,互联网,商务虚拟化应用目 录1 绪论12 商务应用虚拟化系统简述22.1系统项目建设22.1.1多系统支撑221.2安全性高天翼32.2管理建设32.2.1单点登录(Single Sign On),简称SSO322.2授权不区分终端33商务效益与建设价值43.1虚拟系统建设运维价值43.2虚拟系统投资价值43.3虚拟系统经营管理43.4使用虚拟系统44商务应用虚拟化系统部署方式54.1网络拓扑图54.2客户端应用示意
7、图64.3商务应用虚拟化系统部署要点说明:65功能建设介绍85.1对多域名支持85.1.1功能说明85.1.2价值体现85.2功能建设详细介绍96虚拟化建设中遇到的困惑126.1虚拟系统建设126.2解决方案126.3虚拟化应用模式136.4.1无须修改C/S程序,就可以自动转化为B/S方式访问136.4.2应用门户平台,集中式管理,减少工作量146.4.3可以节约IT总投入成本146.4.5虚拟建设安全接入146.4.6服务器集群负载均衡技术146.4.7资源共享 无缝连接146.4.8IKey登陆认证156.4.9超低带宽需求 实现快速访问156.4.10移动办公,随时随地应用156.4.
8、11一次配置 一劳永逸157连接网关功能建设187.1功能建设说明187.2性能体现187.3网关端口187.4接入架构187.5接入虚拟系统架构197.6网络数据传输服务建设207.7虚拟远程访问及身份认证208服务器系统安全248.1运行环境248.2网络环境249结论25致谢26参考文献271 绪论随着全球IT互联网行业的发展,绝大部分趋势性产品都是从企业级应用扩展至消费领域,典型的莫过于PC。然而,移动APP却首先在消费者领域取得了不俗的表现,在企业级虚拟应用的领域则稍显迟缓。作为信息化能力最强的单元,企业必然不能拒绝虚拟应用平台企业级虚拟应用为企业移动信息化必须考虑的重点。首先,中高
9、端商务人士的移动商务应用需求,将促进企业级虚拟平台的发展。随着移动设备的普及,智能手机和平板电脑几乎已成商务人士的标配。据研究机构数据显示,智能手机和平板电脑的拥有人群主要是中高端收入人群,这个群体对移动设备的需求远远超出了通讯工具、上网本的范畴,而对移动商务应用提出了更多的需求,如对销售报表的实时浏览查询、对公司财务状况的实时追踪、对合作伙伴的动态管理等等,所有这些都要通过企业级虚拟平台来实现。当越来越多的商务人士都通过移动设备来处理商务的时候,企业级虚拟平台将逐步成为移动商务的主流。对于企业来说,当下最重要的是要认真思考如何利用企业级虚拟应用平台改造传统的管理和业务流程,就像企业这么多年来
10、在信息化领域所做的一样。2 商务应用虚拟化系统简述商务应用虚拟化系统(GWT System)是基于服务器计算(Server-based Computing)的应用虚拟化平台。它将用户所有应用软件(ERP、OA、CRM、PDM、CAD)集中部署在应用服务器(群)上,客户端通过WEB即可快速安全的访问经服务器上授权的应用软件,实现集中应用、远程接入、协同办公等,从而为用户打造集中、便捷、安全、高效的虚拟化支撑平台。操作终端无需再安装应用程序,通过应用独特的RAP 协议(Remote Application Protocol),即可让用户快速访问服务器上的各类应用软件;系统RAP 协议只传输鼠标、键
11、盘及屏幕变化的矢量数据,访问仅需3KB/s(20kbps)的带宽,用户不再受客户端和连接性能要求的限制,在任何时间、任何地点,利用任何设备、任何网络连接方式,即可高效安全地访问服务器(群)上的应用程序和关键资源。图2-1系统集中服务器(群)图2.1系统项目建设2.1.1多系统支撑系统服务端建设将全面支持32位、64位Windows Server系列 (Win2003/Win2008),通过应用可以对OS操作系统进行全面而缜密的管理,保障服务器系统高效、安全的运行。21.2安全性高天翼提供客户端ID特征码认证、对连接过程加密、提供多种用户认证模式(用户密码、密钥等)、强化WEB服务安全、提供应用
12、软件访问安全策略、操作系统安全策略、细致的事件审计、数据不落地等安全功能,形成全方位、立体的信息安全防护体系。2.2管理建设虚拟系统的建设将具备系统参数备份与恢复功能;CPU、内存等资源消耗的监控及策略管理功能;各种事件的记录和报警系统功能;数据中心服务器和应用软件用户绑定等一系列便捷功能。2.2.1单点登录(Single Sign On),简称SSOSSO实现了在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。22.2授权不区分终端设备虚拟系统的建设将全面支持各种PC、iOS/Android智能终端设备,不再限制用户选择终端设备的权利,以达到在有网络的情况下随时随地进行办
13、公,节约了企业中移动办公人员的人力、财力、时间。修改了集群环境,授权手动分配后,重启主服务器,授权许可会自动平均分配的BUG。3商务效益与建设价值3.1虚拟系统建设运维价值简化IT资源运维手段,根据业务策略灵活按需交付应用,即可让终端用户可以安全、便捷、即时的访问应用。3.2虚拟系统投资价值集中化管理虚拟化可运行资源,实现IT资源投资准确评估,最大限度地利用服务器计算性能,避免IT投资浪费;降低了客户端性能要求,延长操作端旧设备的使用寿命;访问带宽需求最低仅需3KB/s(20kbps),最大限度地利用网络带宽的负载能力,节约网络带宽投资成本;集中及简化的运维模型,降低IT运维成本;集中的应用控
14、制和审计,强化安全,并降低了安全的成本和复杂性。3.3虚拟系统经营管理所有数据保存在数据中心,规避信息孤岛,加快了数据整合速度,为经营提供全面、及时的决策依据,将信息应用价值最大化;可灵活扩展虚拟系统的基础架构,快速支持用户信息系统扩展,更好的适应业务扩张及业务流程变化要求,为业务协作、信息共享、提快速、简便、有效的支撑。3.4使用虚拟系统使用虚拟系统将使终端用户的体验变得简单,无论电信、移动、联通、PU,在出差过程中还是在家庭办公,都可以随时随地接入企业虚拟化系统,降低了出差成本,提高工作效率;4商务应用虚拟化系统部署方式4.1网络拓扑图图4-1网络拓扑图图4-2网络拓扑图4.2客户端应用示
15、意图图4-3客户端应用示意图4.3商务应用虚拟化系统部署要点说明: 不受网络及客户端设备的影响,保障用户各种关键资源的不间断运作。 实现用户应用的门户大集中,我们可以看到天翼将各种应用(ERP、CRM、DRP、OA、Mail 系统等等)集中到一个统一的企业门户中。 可以有效管理并安全的共享应用服务器(群)与客户机上的信息资源。 让用户在线一对一或一对多的协同工作与交流。5功能建设介绍应用虚拟化系统建设遵循和继承windows系统操作风格习惯设计,操作界面简约明了,全中文界面,注重易用性,简单易操作,其主要功能有:全面开发C/S程序、B/S程序、内容、系统桌面、文件夹、文档等六种应用资源提供WE
16、B、桌面快捷登陆两种访问方式高效的共享服务器与本地的文件夹资源支持各种远程的打印机、本地的打印机、磁盘、声音、USB接口、COM口等外接设备应用提供并支持多种远程访问安全及身份认证,控制指定的计算机接入,全面保障安全服务器安全提供细致的应用访问过滤措施,确保用户只能访问授权使用的应用强大的接入服务器集群功能全面的接入安全防护措施与操作事件审计管理5.1对多域名支持5.1.1功能说明在系统服务器端输入域名相关登录信息,客户端软件自动寻找,实现域名解析,后台同步更新IP地址,同时提供域名容错功能,在某个域名故障时,客户端选择可以正常使用的备用域名进行登录。注:使用动态域名策略,集群转换模式目标地址
17、必须是“自动获取”。5.1.2价值体现使多个域名各为互备,其中某个域名提供商对域名不做解析服务时,天翼客户端还能够通过其他域名连接到服务器,使得用户减少对某个域名的依赖,保证连接的可靠性。图5-1系统功能示意图5.2功能建设详细介绍功能建设介绍表5-1分类功能功能描述管理功能公告设置可以通过快捷的窗体设置,直接进行WEB公告发布配置信息导入导出可以将控制台设置好的各种信息导出形成专门的文件,重新部署时可以快捷导入应用集中发布管理可对C/S 、B/S 等应用程序,“ 桌面”、“ 内容” 进行集中发布与管理。用户日志提供对安全事件、审计事件、报警日志、会话日志和应用程序的实时管理与维护服务器管理以
18、图形化方式对服务器的内存、CPU、网络、会话、系统IO等信息进行监控, 实现对服务器的有效维护和访问管理。接入安全策略管理通过对客户端计算机特征码的识别,限定指定的机器访问服务器系统安全策略管理通过对服务器操作系统的关键项(磁盘、注册表等)进行限制,限定访问内容,保障服务器系统安全用户管理通过用户权限分配,让不同的用户访问不同的程序,同时提高配套的NT系统帐户自动生成,简化用户操作密码策略管理定期提醒修改控制台密码,保障服务器密码安全用户服务器绑定策略管理让重要客户优先登陆优质的服务器文件夹管理通过分布式文件夹功能,围绕服务器,实现客户端和服务器、客户端和客户端文件资源的灵活传递管理等,通过公
19、共区、私人区和已接收区来管理各自权限下的文件集群管理集群和负载访问管理基础接入功能WEB 化访问将应用程序的显示界面与计算逻辑分离, 从而实现较低带宽的接入(最低3Kb/s), 流畅访问大型应用软件。客户端灵活登陆可以在客户端窗体内实现快捷的登陆域名配套安装包中的域名,自动解析IP,实现方便登陆,适用于没有固定IP,适用ADSL接入的企业Pin码密钥动态密码接入分别使用pin码、密钥、动态密码锁方式接入快捷登陆可以将相关文件、二维码、以桌面快捷方式、开始菜单文件等方式进行接入访问其它电子硬件设备接入通过端口映射技术,让一些利用Windows自带驱动的设备达到客户端和服务端一体化使用,非匹配于W
20、indows自带驱动,需要专门的在服务端软件里面加载驱动安全建设接入策略接合硬件指纹码和软件指纹码,让满足既定接入条件的客户端访问服务器系统策略通过产品化的系统策略设置,保障服务器操作系统安全数据传输过程加密传输过程以128位SSL加密,保障数据传输过程安全Pin码密钥动态密码辅助登陆通过Ikey、密钥、动态密码锁三种外部设备,保障在移动过程中登陆的安全普通登陆以普通用户命名密码方式登陆客户端本地打印标准版和增强版都支持本地打印,无需在服务器上安装相应打印机驱动, 直接调用本地打印机进行打印, 实现本地化打印或者本地局域网内打印, 同时具备打印格式 不依赖于用户软件本身页面设置的微调功能。打印
21、机检测通过通过客户端物理打印机检测功能,检查物理打印机是否支持自定义打印格式本地输入法标准版 和 增强版可直接使用本地计算机输入法支持主流操作系统服务器端开始全面支持Windows Server 2008系统,客户端支持Windows 全系列系统支持各种浏览器支持IE 、Netscape 、遨游等多种浏览器客户端登陆可客户端内嵌的窗体里面,可以直接实现快捷登陆无缝窗体接入客户端实现无缝方式直接接入服务器应用,犹如本地运行的应用程序同样的体验多语言版本服务器和客户端均支持繁体、简体、英文三种系统,在各自的系统环境下选择对应的语言包进行安装单点登录SSO实现了在多个应用系统中,用户只需要登录一次就
22、可以访问所有相互信任的应用系统。高级功能OEM可以根据各厂家要求,制作OEM专版;互嵌Login,实现单点登陆;以WEBService方式,实现各种功能互嵌或者调用,保障双方软件的无缝结合6虚拟化建设中遇到的困惑6.1虚拟系统建设虚拟化建设中投入的成本不断增加,企业信息化建设的成本分硬成本和软成本,硬成本包括硬件设备、网络建设、应用软件;软成本包括实施信息化的软件实施、应用、培训、维护,所投入的人力成本和其他费用。软件技术架构是虚拟化的障碍:现在的软件架构有基于C/S和B/S两大类,两种架构各自有自身的优点和缺点。而企业又是不同阶段购置不同的应用软件,形成信息孤岛,企业内外网用户无法协同工作、
23、共享信息,无实现集中管理和远程管理维护。移动办公没有真正实现无论是电话、传真、短信、电子邮件,还是借助于互联网上的其他手段,用户移动设备无法全面系统使用企业内部虚拟系统,导致虽有移动办公工具,却无法真正实现移动办公。虚拟化系统的安全隐患难以防范,网络安全分传输安全、登陆身份认证安全、边界安全和服务器安全四方面,传统的方式在这几方面没有系统和彻底的解决,安全问题使得企业虚拟化发展顾虑重重。无法将各种应用系统集中整合到一个平台上,不能随时、随地以任何方式访问到企业的各种应用系统。6.2解决方案面对虚拟化建设遇到这样的困惑,开始了文献翻阅的探索与研究。最终以虚拟技术资讯文献为代表开发的一种基于A/S
24、架构全新应用模式-天翼应用虚拟化系统平台,完美地解决了虚拟化建设中所遇到的困惑。图6-1解决方案示意图 C/S软件无需修改程序即可转化成B/S架构 C/S架构应用实现基于互联网运行 各类应用软件在10KB/S带宽上实现应用接入 快速交付应用,大大缩短企业应用部署周期 企业应用真正实现集中管理 应用软件部署、维护成本降低90% 用户方便快捷的实现移动办公 对用户关键应用资源的安全管理,提供高强度的系统安全防护 提高用户协同、实时商务能力,提升市场竞争力6.3虚拟化应用模式1. 远程接入应用2. 集中式应用3. 混合式应用4. 电子商务B2B交易平台5. 软件的租赁服务基于互联网SAAS/ASP6
25、.4虚拟系统优势6.4.1无须修改C/S程序,就可以自动转化为B/S方式访问如果C/S程序要B/S化应用,开发难度大,要用.net、java、jsp等开发工具,而且开发周期长,直接使用瑞友天翼系统,就直接可以把C/S程序WEB化。6.4.2应用门户平台,集中式管理,减少工作量将用户各种应用软件(ERP、OA、CRM)集中部署在天翼服务器(群)上,通过天翼独有的RAP协议(Remote Application Protocol),即可让客户端快速安全的操作使用服务器上的应用软件;客户端上无需安装任何应用软件,各种应用管理软件的升级、打补丁、维护都集中在天翼服务器上完成,大大减少了IT部门的工作量
26、,提高了支持的响应速度。6.4.3可以节约IT总投入成本很多ERP软件都是基于服务器和客户端这种应用模式,如果基于互联网应用,传统的应用方式只能通过VPN来解决,但VPN的成本高,而且维护难度大,这种分布式的应用已经无法满足,虚拟化发展的步伐。6.4.5虚拟建设安全接入多维立体安全防护措施,用户可通过WEB方式远程访问C/S程序,网络通讯过程采用基于证书的SSL 128 位端到端的传输加密,四种身份认证方式安全、边界安全、数据传输安全、访问安全策略、远程登录安全、服务器应用安全、强制密码周期性更改等安全体系,确保企业网络应用的虚拟安全。6.4.6服务器集群负载均衡技术为了增强系统应用服务器集群
27、的容错性,群中的每一台服务器都可以成为负载均衡服务器(DC),其负责收集所有服务器的负载信息,并根据负载均衡策略作出“最空闲服务器”的裁断,由于天翼应用接入系统采用了DC漂浮技术,所以任何时候一个活动的DC失效时,都会由集群中所有活动的服务器选举出一个最为强壮的服务器作为当前的 负载均衡服务器,这样就不会出现由于DC失效而导致整个集群失去负载均衡功能,而且天翼系统具备分时负载均衡能力,可按访问应用的起止日期和具体的时间及自定义时间,进行负载。6.4.7资源共享 无缝连接根据需要集中分配共享资源,用户不再受客户端和连接性能的限制,任何时间、任何地点、任何设备、任何网络连接方式,都能高效安全的访问
28、服务器(群)上的应用程序和关键资源。独有的会话共享技术,应用速度更快,承载的用户数更多。支持多线路智能接入,降低网络配置的复杂性。支持多语言,用户可自定义语言版本。全称无缝窗口及输入法的本地化,让您的操作更加方便。6.4.8IKey登陆认证客户的登陆认证过程需要使用USB-key+用户名密码方式才能登陆,只有拥有Ikey的用户才能登陆交易系统,同时通过系统设置有效的管理用户,即使Ikey丢失也能及时补救还可用PIN码,密钥等。6.4.9超低带宽需求 实现快速访问天翼应用接入系统采用系统独有的RAP协议(Remote Application Protocol简称RAP协议),是国内独家自主研发的
29、服务器通讯的终端协议,它能动态的将应用程序输入输出逻辑与计算逻辑分离,客户端和服务器之间传递的都是键盘的指令和鼠标变化的矢量信息,中间没有真实数据传输,实现超低带宽下(20kbps)快速的远程访问。6.4.10移动办公,随时随地应用使用应用系统,不管是员工出差还是在家里都可以完成工作,只要有网络接入的情况下,随时随地不受地域和时间的限制。全面支持各种PC、iOS/Android智能终端设备,不再限制用户选择终端设备的权利,以达到在有网络的情况下随时随地进行办公,节约了企业中移动办公人员的人力、财力、时间。6.4.11一次配置 一劳永逸系统控制台可实现配置信息导入导出,将集群属性、应用程序发布、
30、集群帐户管理及策略配置、管理等配置内容导出到服务器,在重新部署天翼时,只需一键导入即可方便、快捷、准确的完成原配置信息配置。性能特点a、集群稳定性架构特点1)采用三级cache2)许可建设Licence Services虚拟应用虚拟化的许可建设(Licence Services)主要完成许可分配、负载均衡等功能,新的许可服务系统资源占用极低,但性能极高,可以支持大用户量的并发及稳定性,同时修改了原来负载轮询讯方式,由原来的个成员服务器超时汇报方式变为由主服务器发问轮询的方式,同时对各成员服务器采用裁决机制和看门狗机制,保证成员机和主服务器负载的准确和稳定。3)Balance ServicesB
31、alance Services和Licence Services是一对服务,基于以上原理balance services也相应重构。4)可生长的数据结构系统应用虚拟化在架构上采用灵活的、可自由迁移的数据库结构,小用户可以不用数据库或使用任何小型数据库保存数据,大用户可以将数据结构迁移到自己的数据服务器上,从而保证数据在大型数据库上的稳定性、统一管理、数据安全和自由迁移及发现不足之地可以灵活的将数据结构移动完善。5)开放式可管理的接口系统应用虚拟化由应用接入将实现过渡到面向用户个性化设置、面向应用个性化定制、提升兼容性等内容的“应用管理”方式,最终实现“开放式的管理接口”用户可以自由客制化自己软
32、件的管理内容。6)系统网关系统应用虚拟化系统网关可以实现单端口穿透,用户只需要映射一个端口即可实现全部访问,它会根据访问的数据包是HTTP或RAP访问不同的服务,同时采用这种方式才可以真正实现服务器动态漂移。7)安防措施在应用服务器架构(A/S架构)中,尤其是广域网远程应用时,安全是应用的前提,天翼在网络边缘防护、传输过程加密、身份认证、访问控制、操作系统安全等方面有着全面的防护设计与保护措施,可确保远程应用的网络安全及访问安全。下面我们全面阐述天翼在安全方面的防护处理措施图6-2虚拟应用项目建设安全架构图7连接网关功能建设7.1功能建设说明选择建设“集群设置”、“服务器地址设置”、“安全认证
33、网关模式”,设计该功能。该功能将使客户端和服务器之间增加一道网关,用于简化网络配置,隔离服务器真实IP地址、端口,网关内部屏蔽非法连接减少企业内部外部有意无意的对服务器进行攻击。7.2性能体现简化实施和维护:多台天翼服务器共享一个网关端口,不需要在连接外网的路由器上对每台天翼服务器配置一个映射端口,只需要在路由器上做网关端口的映射即可。该网关端口甚至容许做为天翼Web端口使用(做Web端口使用时,浏览器打开Web页面速度略有降低),那么对外网将只需要开放一个端口,直接简化实施和维护时工作内容。7.3网关端口由于对外界只暴露一个端口,并且该端口是网关的端口,将真正地服务器地址和端口隐藏在后台,使
34、得受攻击的机会减少到最低。网关内部屏蔽了各种非法连接,提高了攻击者检测网关端口信息的难度。7.4接入架构虚拟系统是基于应用服务器架构的应用虚拟化平台,在这种应用架构下,所有的计算功能都是在服务器上完成的,服务器与客户机之间的网络中只传输键盘、鼠标移动变化指令和图像矢量信息,这些信息包即使被侦听和截获,也是一堆无用的信息,所以系统接入架构的安全性是有保障的。图7-1接入架构示意图7.5接入虚拟系统架构系统采用一体化产品设计架构,无需依赖Microsoft IIS服务、Microsoft SQL数据库等第三方产品,这种经过严格安全处理的独立产品架构,能有效的杜绝第三方产品存在的安全漏洞而给用户带来
35、安全隐患,同时也不会出现因第三方软件升级带来的产品兼容性问题,从而有效保障应用的安全。1)WEB服务使用标准浏览器(IE)访问应用系统,WEB服务的安全处理至关重要,所以天翼系统WEB服务没有选择通用的第三方WEB服务产品来作为天翼的WEB服务,而是投入巨大的财力,针对远程应用的WEB安全特点,进行了专项开发,并通过了高强度的安全攻击测试,可完全让用户摒弃对WEB安全隐患的担忧。2)数据库服务由于通用数据库的安全漏洞难以有效防范,所以天翼也没有选用第三方通用的数据库,而是针对网络应用的安全特性,进行专项开发,采用了内置安全数据库设计,并进行了高强度的加密处理,让用户无需担心数据库安全漏洞,放心
36、使用。3)边缘网关长期专注于网络应用及网络问题的研究,可为用户提供网络的整体问题解决方案,如企业还没有防火墙设备,网络安全加速服务器(RSA Server)可承担这一重任,它是集深度防护型防火墙、快速VPN部署工具、网络访问管理系统、WEB缓存服务器的综合应用系统,完全能满足用户网络安全的防护需求。RSA Server可以对网络进行多层安全检查和深入应用层的安全防护,具有可靠的防攻击、防欺骗以及防网络病毒能力;其强大的安全访问控制能力和网络在线监控和信息分析功能,帮助企业及时了解网络运行中的虚拟安全状况并进行管理;RSA Server中的WEB网关缓存以及分布式缓存功能,可以加速对常用的WEB
37、网站的访问,节约访问时间和节省带宽成本;RSA Server还可以轻松快速的部署VPN系统,实现总部与异地分支机构的虚拟互联。RSA Server通过了国家公安部计算机信息系统安全质量监督检验中心的检验,取得了计算机信息系统安全专用产品销售许可证,在2005年的中国计算机报“一年一等待”网络产品评选活动中,RSA Server以其先进的防护设计、细粒度的防护措施以及优良的性能,获得广大用户及专家的一致好评,并获得年度优秀产品奖项。7.6网络数据传输服务建设虽然在虚拟系统应用服务器架构下,客户机与服务器之间通讯不传输真实数据,只传输鼠标、键盘的点击动作及图像的矢量信息,但天翼应用虚拟化系统的RA
38、P协议仍然在对传输在客户端和服务器之间的数据包加密,且可由用户自行设置SSL(Secure Sockets Layer)和TLS的加密强度,加密强度可高达到128位,最大限度的保障了传输过程的安全性,服务质量高级性。SSL/TLS是基于PKI(Public Key Infrastructure)信息安全技术,是目前Internet上广泛采用的安全服务。可以提供通讯中的数据保密性、完整性保护;通过强制客户端证书认证的TLS服务,同时可以实现对客户端身份和服务器端身份的双向验证。7.7虚拟远程访问及身份认证1)图形验证码设计使用图形附加码也是一种双因子认证技术手段,每次用户登录时,系统都会产生一个
39、包含随机数字的图片,这个图片显示在用户的登录页面上,用户输入了用户名、密码之外还需要输入附加码以保证认证信息的新鲜性,从而为系统提供了更全面的认证手段,这种认证措施提供了双因素认证的手段,同时也不需要用户购买任何的硬件令牌,节省了用户的开支。2)用户访问身份认证商务应用虚拟系统除了自带用户名密码认证控制外,还提供用户名密码令牌、用户名密码USBKey以及用户名密码手机短信、密钥二维码等多种三方身份认证接口,为用户提供高效率的访问渠道。图7-2用户认证图在选择采用IKey模式后的登陆界面图7-3登录界面图3)策略控制商务应用虚拟系统可将每个应用连接做到细粒度访问控制,可以设置到某一个应用程序的访
40、问策略,包括允许访问的客户端是采用什么网络协议连接、客户端的IP地址或硬件ID、在哪一天的什么时间段可以访问等综合策略,为天翼系统所发布的应用程序提供访问保障,防止被恶意用户不正当的访问。图7-4细略控制图4)应用系统授权访问天翼虚拟系统可针对发布的某一个应用系统或关键资源进行用户(组)权限授权,完全满足用户细致的访问权限管理,如您可以设置到哪一个用户能访问哪一个应用程序。图7-5管理权限图图7-6用户访问程序图如上图所示,可设定6个天翼用户中的user01、user02、user03等三个用户有权限操作发布的word2003程序。5)虚拟系统安全事件管理虚拟系统可为用户提供所有用户及网络访问
41、活动监控,可记录所有用户的全部访问与操作信息,可通过安全事件、审计事件、报警日志、会话日志等多角度去监控与管理整个应用安全状态,做到可记录、可追溯、动态报警的安全管理,从而帮助系统管理员及时发现及解决安全应用问题。如下图图7-7安全管理图8服务器系统安全商务应用虚拟系统全面兼容Windwos系统的安全策略,它包括3项内容:用户策略、AD策略、NTFS设置(个别文件的设置、非系统盘的设置、系统盘的设置),这些安全策略可与天翼系统紧密结合起来,用户可根据自身情况,限制用户的各种行为,如隐匿硬盘、限制打印、存储等操作行为,并可通过天翼5的安全策略,实现对接入客户端电脑的各种USB、硬盘、串口、并口资
42、源的使用限制,保障系统的安全、可靠、持续运行,将Windows操作系统B2级的安全管理完完全全的发挥出来。且天翼系统提供常见的安全策略模板,让用户快速实现系统安全策略配置。8.1运行环境服务器设备:各种X86/X64系列服务器,CPU在PIII800以上,内存512MB以上;服务器系统:Windows 2003 Server、Windows 2003 Server 64Bit、Windows 2008 Server、Windows 2008 Server 64Bit、Windows 2008 Server R2(SP1/SP2)64Bit;终端设备:各种486以上PC机、iOS/Android
43、系统智能设备;终端系统:Windows 98以上,iOS4.3以上,Android2.1以上系统版本及各种标准浏览器。8.2网络环境通讯协议:TCP/IP、SSL、HTTP/HTTPS通讯端口:80、5872(可自定义端口号)接入方式:拨号、DSL、Cable Modem、LAN、GPRS、Wi-Fi等服务器端带宽要求:20kbps*并发用户个数以上客户端带宽要求:每一个客户端最低20kbps以上。9结论随着毕业日子的到来,毕业设计也接近了尾声。经过几周的奋战我的毕业设计终于完成了。在没有做毕业设计以前觉得毕业设计只是对这几年来所学知识的单纯总结,但是通过这次做毕业设计发现自己的看法有点太片面
44、。毕业设计不仅是对前面所学知识的一种检验,而且也是对自己能力的一种提高。通过这次毕业设计使我明白了自己原来知识还比较欠缺。自己要学习的东西还太多,以前老是觉得自己什么东西都会,什么东西都懂,有点眼高手低。通过这次毕业设计,我才明白学习是一个长期积累的过程,在以后的工作、生活中都应该不断的学习,努力提高自己知识和综合素质。在这次毕业设计中也使我们的同学关系更进一步了,同学之间互相帮助,有什么不懂的大家在一起商量,听听不同的看法对我们更好的理解知识,所以在这里非常感谢帮助我的同学。我的心得也就这么多了,总之,不管学会的还是学不会的的确觉得困难比较多,真是万事开头难,不知道如何入手。最后终于做完了有种如释重负的感觉。此外,还得出一个结论:知识必须通过应用才能实现其价值!有些东西以为学会了,但真正到用的时候才发现是两回事,所以我认为只有到真正会用的时候才是真的学会了。在此要感谢我的指导老师杨灿对我悉心的指导,感谢杨灿老师给我的帮助。在设计过程中,我通过查阅大
