《EMASS产品白皮书1.0.doc》由会员分享,可在线阅读,更多相关《EMASS产品白皮书1.0.doc(24页珍藏版)》请在三一办公上搜索。
1、“EMASS”产品白皮书Version:1.0目录1移动应用发展状况32EMASS移动应用发布平台32.1EMASS概述32.2功能结构42.2.1IT资源向手机终端发布42.2.2架构安全弥补手机终端的安全风险52.2.3融入中国移动MAS体系52.3技术实现62.3.1镜像技术62.3.2屏幕图像处理技术82.3.3镜像通道技术102.3.4手机屏幕终端优化的技术实现112.3.5手机用户的集中认证和单点登录142.3.6用户行为的监控和审计142.3.7用户帐户的集中152.3.8用户的授权152.3.9本地附接外设152.3.10打印152.3.11平台性能管理152.3.12与MAS
2、对接152.4部署方式162.5简要工作流程173EMASS优势分析184与企业的业务共同成长204.1业务系统的移动化204.2软件类应用系统的移动化214.3电气化应用系统的移动化224.4与业务系统共同成长241 移动应用发展状况移动通信技术是信息技术领域的一颗璀璨的明星。它使人们可以在任何时间、任何地点方便地与他人进行交流。由于它给人们的工作和生活带来了极大的便利,人们对移动性的需求日益增长,全球的移动通信业正在突飞猛进地向前发展。随着时代的进步,人们对通信的移动性和信息的需求性急剧上升,越来越多的人希望在移动的过程中高速地接入互联网,获取急需的信息,完成想做的事情。于是,互联网技术与
3、移动通信技术相结合的“移动互联网”技术应运而生。移动互联网的出现使不仅可以使人们可以随时随地建立联系,还能随时随地获取信息。它的出现必将再次深刻地改变人们的工作和生活方式,成为人们生活中不可或缺的一部分。然而,由于移动通信网络和互联网络的差异性,目前要实现手机终端随时随地获取信息,就必须使用一定的技术手段,将目前固网上的IT应用系统进行“移动化”改造或移植,使之成为“移动应用”,并通过网络发布到手机终端上。只有这样,手机终端才能够从这些移动应用中获取信息。目前已经出现了短信、彩信、WAP、PUSH Mail等技术,可以实现IT应用的移动化,向手机终端发布数据或应用系统。但由于当前手机终端和移动
4、通信网络的功能和性能等方面限制,这些技术在实现过程中还存在着明显的缺陷,IT应用系统还难以方便、高效、完整地移植成为移动应用。2 EMASS移动应用发布平台2.1 EMASS概述EMASS是一个移动应用发布平台。它能够将各类IT应用系统,方便地发布到手机终端上。EMASS是在IT应用系统和手机终端之间增加的一个“中间层”。EMASS利用镜像技术,将应用系统的客户端和数据,完全部署在EMASS平台上运行和处理,仅把应用运行的界面,以屏幕刷新的方式,传送给手机终端,而手机终端也仅向平台发送键盘鼠标信息。利用EMASS平台,绝大多数IT应用系统可以无损、零开发地移植成为移动应用并发布到手机上,并在低
5、带宽、低硬件能力的手机环境上高效运行,同时加强了安全性。EMASS移动应用发布平台适用于全部IT应用系统的发布,无论是C/S架构、B/S架构、甚至是单机版的应用系统。2.2 功能结构2.2.1 IT资源向手机终端发布这里的IT资源指IT应用系统和在IT环境中存储的数据。EMASS是一个移动应用发布平台,同时它也能发布IT数据。它能够将各类IT资源,方便地发布到手机终端上。而且,由于EMASS基于镜像技术,可以解决目前WAP技术所不能解决的功能和性能问题: 利用镜像技术,将比较繁重的应用客户端计算任务安排在EMASS移动应用发布平台上,手机终端只负责执行屏幕显示和键盘输入等轻微任务,以适应目前手
6、机终端性能较低、功能较少的现实; 利用镜像技术,手机终端和EMASS平台之间只有屏幕刷新和键盘鼠标信息在传输,带宽需求非常小,网络延时和稳定性要求很低,适应了目前GSM、GPRS、CDMA等移动通信网络质量不高的现实; 由于应用界面是原封不动地传送给手机终端的,应用的功能不会损失; 利用镜像技术,决定了EMASS可以适用于绝大多数IT应用,可以对现有应用系统进行无损的、零开发的手机移植。2.2.2 架构安全弥补手机终端的安全风险手机终端是一种难以管理控制的终端,其使用环境复杂多样,因此,许多比较敏感的应用,在向手机终端发布的时候,都有一些顾虑。而EMASS提供了一个集中可控的、以安全为出发点的
7、移动应用发布平台,透明化了相关制度的制定过程,使IT管理人员能更有效地控制应用程序向手机终端的部署和安全,同时还降低了总的法规遵循成本。EMASS是以安全为出发点进行设计的,这表示全面的安全性已经内置其中,无需另外增加。EMASS使应用和数据保留在防火墙后面的服务器上,而不是暴露在手机终端上,即没有真正的业务数据会传送到手机上,这极大地加强了整个体系的安全性。EMASS平台和手机终端之间的小数据量传输也进行了加密。并且,IT人员能够基于用户角色集中控制接入。EMASS使企业的IT管理员能够基于职务、位置和其它因素对应用使用、数据接入、文件传输以及其它行为进行策略驱动的集中化控制。进一步增强了手
8、机应用的安全性。EMASS平台自身的这些安全特性,可以弥补手机这种低安全性终端接入给应用系统和数据带来的安全风险。2.2.3 融入中国移动MAS体系MAS(mobile agent server,即“移动代理服务器”)是针对企事业单位,嵌入IT系统满足企事业单位短信、彩信、WAP、USSD等信息化应用进行设计开发的产品。“移动代理服务器”进行了软、硬件一体化封装,内置网络防火墙和病毒防火墙保障安全性。“移动代理服务器”部署在企业内网、通过专线/Internet与运营商网关连接,只需要机房提供稳定的电源和内网环境,不需要额外的鼠标键盘显示器等终端外设,就可以通过内网中任何一台PC机的IE界面访问
9、“移动代理服务器”进行手工选择实现各类应用。通过“移动代理服务器”可以为企业提供一揽子解决方案和服务支撑,实现节约成本、提高效率、增加收入等目的。MAS可方便与原有的OA,企业数据库,投诉系统等集成,无需编程便可以设置好短信上行查询业务(例如:通讯录查询)、下行通知业务(例如:公文信息下发)、订阅业务,业务可以自动执行,无需人工干预,并且可以灵活修改应用业务(例如:修改短信自动下发时间)。MAS体系如下图所示:EMASS产品(EMASS)以MAS应用接入终端优化插件的形式融入中国移动MAS体系,实现了MAS规范中要求的各项插件管理接口,可与MAS服务器交互并接受MAS服务器的管理。因此,使用E
10、MASS产品的客户数、业务收入以及终端用户数都符合中国移动MAS业务考核指标要求,可以计入KPI。2.3 技术实现2.3.1 镜像技术当前IT基础架构的迅猛增长,而硬件部署模式又进一步加剧了基础架构的复杂程度。应用业越来越多,也越来越复杂,更加难以管理、更新和维护。而用户希望能采用各种桌面设备、笔记本电脑、家用PC和移动设备在任何环境下进行工作。EMASS移动应用发布平台,是利用镜像技术,将IT应用系统发布到手机终端上,从而实现移动应用,的一个IT应用系统发布平台。其核心思想是,将应用系统尽可能完整地从手机终端中分离出来。首先,要实现手机终端与应用系统的互动,但不用将应用系统真正地安装在用户的
11、手机终端上。换句话说,就是界面抽象化,不在本地设备上安装和使用软件,而在EMASS平台上部署软件。然后,再通过网络连接方式,EMASS平台可让手机终端用户接入单个应用“会话”。该“会话”仅将应用界面变化部分经网络返回给手机终端设备,然后手机终端设备又会将鼠标控制和键盘敲击数据传输到“会话”中。无缝的应用界面传递可带给用户更直观的感受。在EMASS平台上,它的具体技术实现如下: 被发布的应用系统的客户端只安装在EMASS平台上,所有应用计算都在EMASS平台上进行。手机终端上只安装一个通用的镜像代理。因此,解决了手机终端性能低下的问题; 被发布的应用系统需要满足多个手机终端对平台的并发访问,因此
12、,EMASS平台的软件系统具有支持多用户的能力; 平台服务器的硬件架构和操作系统,也是可以支持多用户的系统。目前主流服务器和操作系统都可以做到。由于应用客户端一般运行在Windows操作系统之上,因此,EMASS平台服务器通常使用X86架构的PC Server,操作系统通常选择Windows 2000/2003的服务器版本; 对于不常见的Unix客户端,EMASS平台软件系统也可以运行在小型机和Unix操作系统之上,可以发布Unix为客户端的应用系统; 目前,大多数应用系统的客户端都可以支持多用户,可以正常运行在EMASS平台上。对于一些不支持多用户的客户端,或相互冲突的客户端,EMASS平台
13、可以使用“隔离技术”,对此客户端的每个instance分配一个完全封闭的运行环境,使其可以在同一台服务器上运行并发的多instance。2.3.2 屏幕图像处理技术EMASS移动应用发布平台上运行了应用系统的客户端,平台必须能够将应用客户端运行中产生屏幕输出进行采集和处理。EMASS平台采用了“输出重定向”技术,将应用客户端产生的屏幕输出,重定向到系统中预先分配好的一块“伪显示内存”中。这块伪显示内存对每个并发用户单独分配一份,互不干涉。平台以不大于50毫秒的周期,轮询每个并发用户的伪显示内存。EMASS一旦发现伪显示内存的内容发生变化,说明应用客户端产生了屏幕变化。平台立即调用屏显处理进程,
14、分析出变化的部分,对其进行结构化处理,使手机终端能够正确解析,然后进行压缩处理,最后将结果数据发送给镜像通道守护进程,向手机终端发送。由于发布平台采用了屏幕刷新技术,使对无线网络带宽需求大大减少,而且对于大多数应用,带宽需求都相差很小。因此,手机用户的体验比其他技术好的多。同时,在无线网络条件恶劣的情况下,用户还可以降低屏幕显示的图像质量,使网络带宽需求进一步降低。根据经验,在一般情况下,不同的带宽条件下手机用户体验如下:带宽(kbps)用户体验0.6不可用0.6-1速度极慢,勉强可用1-3速度很慢3-8速度较慢8-15速度尚可15-35宽带体验35以上局域网体验测试对比数据打开数据库文档处理
15、2.3.3 镜像通道技术镜像通道建立在手机终端和EMASS发布平台之间,是个点到点的逻辑通道,是手机终端与EMASS平台进行信息传输的唯一通道。镜像通道是个表示层通道,它支持TCP/IP和IPX网络层协议。一般情况下使用TCP/IP协议。镜像通道内部又划分为多个相互隔离的“子隧道”,每个子隧道中传输不同的内容,例如: 屏幕刷新 管理信令 音频 视频 打印数据 外围设备数据 文件下载 在手机终端用户通过了EMASS移动应用发布平台的认证和授权之后,手机终端上的镜像代理和EMASS平台上的镜像通道守护进程,建立和维护镜像通道,并通过镜像通道传送数据。在数据被送入镜像通道之前,镜像代理和镜像通道守护
16、进程还要根据安全设置,对数据进行加密。EMASS发布平台最高可支持128位密钥的常规加密。2.3.4 手机屏幕终端优化的技术实现通常,大多数应用系统都以PC作为默认的客户端设备,而且都默认PC显示器能够支持800600以上的分辨率。但是,当这样的应用系统通过EMASS移动应用发布平台发布到手机终端上时,情况就不同了:手机终端的屏幕很小,针对PC设计的应用界面,在手机终端上难以完整显示,只能显示一小部分。EMASS平台对于这个问题,采用两个方案来进行手机屏幕终端优化: 滑动块技术。手机屏幕仍然只能显示整个应用显示界面的一部分。在手机屏幕上设置一个滑动块,用户可以前后左右拖动滑动块来显示应用界面的
17、各个部分。如下图所示: 内容终端优化技术。EMASS发布平台可以根据手机的屏幕情况,在一定的人工干预下,对所发布的内容进行版面调整,使页面适合于手机终端显示。效果如下图:2.3.5 手机用户的集中认证和单点登录EMASS平台是手机终端访问应用系统的唯一访问点,这给实现用户的集中认证提供了可能。集中认证不仅能够支持常见的用户名静态口令的弱认证,还能支持多因素的强认证。同时,为了加强口令的安全管理,并使手机用户不必再管理多个应用系统的口令和令牌,本发布平台支持单点登录(需另外购买设备)。手机用户只需一次登录,即可访问多个应用。集中认证、单点登录从根本上改变了传统的多口令管理方式。手机用户可简单接入
18、Windows、Web和基于主机的应用程序,且口令得到了更高的安全保障。为了加强IT安全,EMASS平台对口令采取了集中化管理,具体事宜由IT管理员统一负责。这增强了手机终端用户的使用安全性及对外部攻击的防御能力。当某位员工离开企业后,管理员可以仅关闭唯一的一道门终止他的应用接入权利(取消他的主网络登录密码),因为平台控制了所有的用户口令。同时,单点登录加强了对信息接入的内部控制,它能够执行强认证策略,自动化口令变更,实时抓取用户接入数据以供审查。另外,手机终端用户将不再知晓企业应用系统的真实口令,提高了安全性。2.3.6 用户行为的监控和审计对于手机用户在EMASS平台上、在每个应用中的所有
19、操作,EMASS都可以进行原始场景的记录、监视和录像(需另外购买设备)。并提供丰富的审计手段。EMASS平台提供对员工IT活动的完整记录和审计。不仅是在平台上的活动,而且包括在每个应用中的操作,都被纳入到记录和审计的范围中。通过记录和审计,管理员可以搞明白每个用户每时每刻都在做什么。而丰富的审计报表使管理员能够及时发现系统瓶颈、员工操作习惯、以及员工的不当行为。2.3.7 用户帐户的集中手机用户的帐号不再分散在各个应用中,而在EMASS平台上进行集中统一的授权和管理。账号管理集中化IT管理员能够从EMASS平台这个集中点上,控制用户对所有企业应用系统的访问。2.3.8 用户的授权和帐号集中管理
20、、集中认证一样,手机用户帐户的授权也可以在EMASS平台上集成完成。集中授权,主要是指在一点,即EMASS平台上,集中对手机用户使用企业应用系统资源的具体权限进行合理分配,实现不同手机用户对应用系统不同部分资源的访问控制。具体来说,就是集中实现对各企业员工能够以什么样的方式访问哪些资源的管理。2.3.9 本地附接外设实现了手机终端附接外设与应用系统的互动。本地外设仍然可以为本地手机用户服务,为手机终端用户创造了一个完整的应用环境。2.3.10 打印EMASS平台提供了通用打印驱动,解除了对特定驱动的依赖,使手机用户能利用本地打印机进行打印。2.3.11 平台性能管理整个EMASS平台插入到手机
21、终端和应用系统之间,所有的手机终端的应用访问都要经过EMASS平台,所以,平台的性能是一个关键的环节。EMASS平台具有性能检测、负载均衡、性能告警、性能评估、性能预测等功能。2.3.12 与MAS对接EMASS产品的技术特点天然适合接入不同的应用,在于MAS对接时已无需再对此做过多改动,仅需按照中国移动MAS接口规范实现各个对接接口,在保留EMASS产品原有应用发布平台技术架构的基础上新增对MAS接口的支持。以接入OA系统为例,与MAS对接的软件架构如下图所示:基本的交互过程如下:系统运行过程中EMASS产品的MAS接口组件按照MAS服务器发送的指令采集并上报插件状态、业务性能数据等信息,完
22、成启动、暂停、恢复插件服务等动作。2.4 部署方式基于镜像技术,EMASS移动应用发布平台在与MAS服务器一同应用时的部署方式如下图: EMASS移动应用发布平台软件安装在数据中心的服务器设备上,部署在IT应用系统和手机终端之间。手机终端只能通过平台来间接访问应用系统,而不能直接访问应用系统。也就是说,EMASS平台是手机终端访问应用系统的唯一门户; 在手机终端上,一次性安装一个“镜像代理”软件。手机终端将通过镜像代理与平台通信。这个镜像代理是通用的,而且与具体的应用无关。除此之外,手机终端上不需安装任何应用的客户端或代理; 所有被发布的应用系统的客户端全部安装在EMASS平台上; 在EMAS
23、S平台上,集中管理每个手机用户的帐号、口令、强认证策略、用户对应用的访问权限、用户审计策略等; 在应用发布平台上,可以对用户和应用的各种参数进行配置,也可以使用默认参数。2.5 简要工作流程1. 当手机用户需要访问应用系统时,首先在浏览器中输入EMASS平台的URL;2. EMASS平台接受手机用户的接入请求,经过用户认证和授权等流程,手机用户可以看到他有权访问的应用系统列表。3. 手机用户点击需要访问的应用系统,这时,应用系统的客户端就在EMASS平台上开始运行。同时,手机终端上的镜像代理,与EMASS平台建立起一条镜像通道;4. EMASS平台采集应用系统客户端运行过程中所产生的屏幕刷新,
24、对其经过加密和压缩处理后,通过镜像通道发送给手机终端。手机终端上的镜像代理接收并处理这些屏幕刷新信息,然后显示在手机屏幕上;5. 手机用户看到应用屏幕显示后,进行鼠标、键盘等操作。镜像代理将这些操作,通过镜像通道,发送给EMASS平台;6. EMASS平台接收到用户的鼠标键盘信息后,作为输入信息发送给正在运行的应用系统客户端,客户端做出相应的处理,并可能产生屏幕变化。返回第4步;7. 以上过程循环往复,实现了手机用户通过EMASS平台与应用系统的交互过程,直到用户退出应用系统。3 EMASS优势分析EMASS平台是一个利用镜像技术,将各类IT应用发布到智能手机上的“移动应用发布平台”,比起传统
25、的WAP技术,它具有如下优势: 网络带宽占用极小,运行速度快。应用运行对网络的要求比其他技术实现方案有了显著降低,一般的GSM拨号、质量不高的GPRS和CDMA网络,都能满足应用需求,因此应用运行速度很快; 终端性能稳定。无论应用的架构(C/S或B/S)、应用系统客户端的资源消耗水平、应用的复杂度、应用的数据通信量如何,手机终端上仅仅需要运行一个很小的镜像代理,数据处理量十分平稳,这样就规避了手机性能低下的问题,用户体验平滑流畅; 通用性。平台一经建成,可将适用于绝大多数B/S、C/S架构的网络应用系统移植到手机上。在手机终端上,只需一次性安装一个镜像代理软件,即可对所有应用系统生效; 零开发
26、快速移植。绝大部分基于PC的网络应用系统,不需做任何更改,可直接移植到EMASS平台上向手机进行发布。典型应用系统的移植可在2小时内实施完毕; 无损移植。绝大部分移植到EMASS平台上的应用,功能不受任何损失,用户界面与PC机上的运行效果完全相同; 手机屏幕终端优化。基于PC的应用发布到手机上之后,由于手机屏幕较小,部分应用界面可能不能正常显示。本发布平台提供了两种手机屏幕的终端优化方案,可供用户选择; 数据安全保证。手机是一种使用环境极为复杂多样的终端,安全性很低。EMASS平台实现了数据与终端的隔离,应用数据(包括页面数据)不会下载到手机终端上,任何通信链路监听、木马病毒都难以危及应用数据
27、,从而保证了应用数据的安全; 应用系统安全保证。手机终端可能是攻击的发起端。本平台隔离了手机终端和应用系统,使攻击无法作用到应用系统; 用户安全保证。手机终端的用户具有极大的不确定性。平台可实现各种强度的用户认证、授权、审计、帐户集中审计功能,并可作为企业的应用门户,实现单点登录和应用口令管理,保证了用户的安全性。 附件类型全支持。因为附件是在EMASS服务器上处理,所以可以支持任何类型的附件。4 与企业的业务共同成长4.1 业务系统的移动化EMASS,绝不仅仅是移动办公!EMASS平台是个通用的应用发布平台。它不仅可以将OA、EMAIL等日常办公系统发布到手机和其他移动终端上,而且还可以实现
28、企业业务系统的移动化。对一个企业而言,将办公系统发布到手机,只是IT移动化进程的第一步。随着管理和技术的进步以及市场环境的发展,业务系统的移动化需求必将会凸现。EMASS平台可实现两种业务系统的移动化改造: 软件类应用系统的移动化 电气化应用系统的移动化4.2 软件类应用系统的移动化EMASS平台是个通用的平台,它不区分现有应用系统是办公系统还是业务系统,也不区分是B/S应用架构还是C/S应用架构,都能够发布到手机等移动终端上。下图是使用EMASS平台在某市公司局实现的移动警务系统:4.3 电气化应用系统的移动化同时,EMASS与行业中的电气化系统相结合,可产生更加显著的效果。例如,在钢铁行业
29、,我们推出了生产基础信息无线采集监控系统,系统由基础信息采集监测管理中心、通信平台、前端测量控制设备三部分组成。主要涵盖的分系统有生产信息采集管理、能源调度管理、公众信息发布管理。系统组成结构示意图如图所示。该系统可实现以下功能:1、 能源调度管理,通过对厂区各种变送器和仪表配备无线通信终端,组成一套能源调度管理子系统,实现了对企业水、电、气等能源的科学管理,合理应用。2、 日常办公信息发布管理,通过增添和改造现有信息发布系统,采用无线技术实现信息的统一更新和控制。3、 生产信息采集监控,在原有有线监控系统的基础上增加无线监控方式,与原有系统互为备份,保证系统的运行可靠。4、 系统对所采集信息
30、进行统一格式的处理上报,使决策者得到全面完整的一手资料,为辅助决策和指挥控制提供参考;5、 对监测到的关键参数进行分析判断,一旦发生重大变化和超标等情况时,系统将根据参数按权限对相关管理部门领导及负责人进行告警,管理人员在系统注册过的手机将接收到其管理范围内的运行情况的超标报警信息和安全生产信息,在第一时间督促相关人员采取措施保证生产的安全运行。6、 通过电子地图对各部分信息进行综合态势显示,使管理者可通过网络直观的选取浏览、监测。生产基础信息采集监控管理系统利用移动通信技术的优势,结合镜像技术为核心的EMASS系统,建立一个安全可靠,能提供各种高级服务,并为应用程序的执行和实施提供较强功能的
31、开放式信息采集、监控、处理、分析、辅助决策的智能平台,成为一个符合现代钢铁企业现代化管理要求的、分布式、开放式、组件化、可扩充的基础信息运行管理系统。4.4 与业务系统共同成长因此,EMASS平台对今后企业IT移动化进程来说,是个可持续发展的平台。今天付出的投资和劳动在以后完全是可以利用的。例如,如果企业今后需要将ERP系统、CRM系统、工艺流程管理等业务系统发布到手机上,就可以利用本次建设的EMASS平台进行发布。如果由于用户数的增加造成现有平台性能不足,可以使用横向扩容的方式增加平台的服务器数量,各服务器之间可以实现冗余备份和负载均衡,前期的投资和劳动得到了完全保护。下图是EMASS平台的发展和企业移动应用发展的关系图:从上图可看出EMASS平台随企业业务的演进方式: EMASS平台与企业的移动业务系统数量和架构无关;今后企业的业务系统移动化(如移动ERP、移动BI、移动工艺管理、移动监测等)完全可以利用第一次建设的EMASS平台; EMASS平台的扩容主要是服务器数量的增加,即横向扩容; EMASS平台的服务器数量仅与企业的移动应用用户数量相关。
