《利用镜像技术实现的移动应用发布平台EMASS移动办公方案书.doc》由会员分享,可在线阅读,更多相关《利用镜像技术实现的移动应用发布平台EMASS移动办公方案书.doc(49页珍藏版)》请在三一办公上搜索。
1、利用镜像技术实现的移动应用发布平台EMASS移动办公解决方案北京华夏未来信息技术有限公司2008年11月目 录1项目概述32移动应用发展状况43系统技术实现53.1EMASS移动应用发布平台概述53.2功能结构63.2.1IT资源向手机终端发布63.2.2架构安全弥补手机终端的安全风险73.3技术实现83.3.1系统架构83.3.2镜像技术123.3.3屏幕图像处理技术143.3.4虚拟通道技术163.3.5手机屏幕适配的技术实现173.3.6手机用户的集中认证和单点登录183.3.7用户行为的监控和审计193.3.8用户帐户的集中203.3.9用户的授权203.3.10本地附接外设203.3
2、.11打印203.3.12平台性能管理213.4部署方式214安全设计224.1安全理念224.2系统架构设计234.3网络控制244.4用户和终端控制254.5数据和代码控制264.6业务控制274.7精简设计274.8系统物理拓扑图284.9应用软件的部署294.10系统配置说明305与企业的业务共同成长305.1业务系统的移动化305.2软件类应用系统的移动化315.3电气化应用系统的移动化325.4与业务系统共同成长346技术背景356.1当前主流技术介绍356.2WAP技术分析366.2.1通过WAP技术向手机终端发布应用系统376.2.2WAP的组成396.2.3WAP的层次结构组
3、成406.3WAP缺陷分析427EMASS优势分析448工程进度479手机终端技术要求471 项目概述为进一步提高办公事务处理的效率,提供一套可以随时、随地、随手使用的信息系统,越来越多的企业拟将OA办公平台及其他企业业务系统,与移动终端进行整合,把办公系统移植到移动终端平台,实现移动办公。使得职员不管置身何地,都能随时和企业内部系统关联。移动办公自动化系统即移动OA,是以“简单、实用、使用不受地点限制”为设计理念开发的办公自动化系统。移动办公自动化系统网络部署方案是利用电信运营商提供的移动通信网络。在移动状态下,通过智能移动终端实现查询、审批、回复、确认等OA办公操作,使办公信息可以随时随地
4、地进行交互流动,整体运作更加协调。使得办公自动化系统除了传统的通过电脑办公的方式,用户还可通过手机进行办公系统的各种操作。涵盖办理待办、在办、待阅信息,浏览公告、查看附件、电子邮件等多种功能,并无缝衔接了电子邮件、短信等多种移动办公形式。通过专用移动终端的客户端程序, 为用户实现随时随地的移动办公。除传统的通过电脑办公的方式,还可通过智能移动终端登录办公系统进行操作,带来更多样化的办公渠道,发挥办公系统更大的自身价值。产品在安装、设置、学习、使用、维护等环节直观简便,使用户可以将精力集中在办公本身,而非复杂的概念与操作,大大降低了用户的应用难度和应用成本。移动办公自动化系统具有以下特点: 高效
5、:跨越了时间与空间的限制,将办公室的概念从一间屋子衍生到整个世界。随时随地,只要需要就可以办公; 便捷:点击手机上的几个按键,迅速进入办公新世界; 强大:基于镜像技术的移动办公自动化系统直接与中间服务器通信,指令都在中间服务器端执行,能够突破传统手机应用的种种限制,轻松实现各种复杂应用; 易用:清晰而且逻辑合理的导航设计保证用户容易上手,不会再有面对电脑屏幕上一堆按钮拿着鼠标而不知往哪点的尴尬; 先进:移动OA属于新兴的ICT技术,它结合了通信技术和信息技术的最新成果,具有强大的生命力和无限的发展空间; 灵活:我们可以根据需求以及现有办公自动化系统的特点,通过定制,使原有办公自动化系统的数据和
6、业务处理模式可以完整的体现到手机上; 持续发展和投资保护:使用基于镜像技术的移动办公系统,可以在用户数量急剧扩容时,简单地通过增加中间服务器数量来扩大系统容量;而且,其他业务系统进行移动化改造时,可以利用相同的中间服务器而无需再单独购买服务器。这样,系统可以自始至终地支持企业移动应用的发展进程,永远不会落伍淘汰; 安全:中间服务器部署在企业的内网,而企业应用的数据只在中间服务器和应用服务器之间传输,即实现了应用数据不出内网,极大地保证了应用的安全性。而中间服务器与移动终端之间,只传递OSI表示层信息,已经失去了敏感性,但也经过系统的加密后,在VPDN专网中传输。因此,整个系统在各个环节上都具有
7、完善的保护措施。 目前大部分企业使用的办公自动化系统,实现公文处理、政务信息、归档查询等主要功能,该系统平台运行于企业内网上,受线路和设备的限制,这就要求人员必须在办公室、电脑前才能实现对文件的办公操作,为了实现能够在任何时间、地点均能提供各种工作办理及信息通信的服务,脱离线缆与办公场地的束缚,拥有自由的移动办公空间,使得无论身处何地都能随时与办公系统保持密切联系,这就需要一套具有高安全性的移动自动化办公系统。华夏未来信息技术有限公司针对广大企业的IT应用移动化需求,精心设计了先进的EMASS企业移动应用安全接入系统,为企业提供移动应用业务。2 移动应用发展状况移动通信技术是信息技术领域的一颗
8、璀璨的明星。它使人们可以在任何时间、任何地点方便地与他人进行交流。由于它给人们的工作和生活带来了极大的便利,人们对移动性的需求日益增长,全球的移动通信业正在突飞猛进地向前发展。随着时代的进步,人们对通信的移动性和信息的需求性急剧上升,越来越多的人希望在移动的过程中高速地接入互联网,获取急需的信息,完成想做的事情。于是,互联网技术与移动通信技术相结合的“移动互联网”技术应运而生。移动互联网的出现使不仅可以使人们可以随时随地建立联系,还能随时随地获取信息。它的出现必将再次深刻地改变人们的工作和生活方式,成为人们生活中不可或缺的一部分。然而,由于移动通信网络和互联网络的差异性,目前要实现手机终端随时
9、随地获取信息,就必须使用一定的技术手段,将目前固网上的IT应用系统进行“移动化”改造或移植,使之成为“移动应用”,并通过网络发布到手机终端上。只有这样,手机终端才能够从这些移动应用中获取信息。目前已经出现了短信、彩信、WAP、PUSH Mail等技术,可以实现IT应用的移动化,向手机终端发布数据或应用系统。但由于当前手机终端和移动通信网络的功能和性能等方面限制,这些技术在实现过程中还存在着明显的缺陷,IT应用系统还难以方便、高效、完整地移植成为移动应用。3 系统技术实现3.1 EMASS移动应用发布平台概述EMASS是一个移动应用发布平台。它能够将各类IT应用系统,方便地发布到手机终端上。EM
10、ASS是在IT应用系统和手机终端之间增加的一个“中间层”。EMASS利用镜像技术,将应用系统的客户端和数据,完全部署在EMASS平台上运行和处理,仅把应用运行的界面,以屏幕刷新的方式,传送给手机终端,而手机终端也仅向平台发送键盘鼠标信息。利用EMASS平台,绝大多数IT应用系统可以无损、零开发地移植成为移动应用并发布到手机上,并在低带宽、低硬件能力的手机环境上高效运行,同时加强了安全性。EMASS移动应用发布平台适用于全部IT应用系统的发布,无论是C/S架构、B/S架构、甚至是单机版的应用系统。3.2 功能结构3.2.1 IT资源向手机终端发布这里的IT资源指IT应用系统和在IT环境中存储的数
11、据。EMASS是一个移动应用发布平台,同时它也能发布IT数据。它能够将各类IT资源,方便地发布到手机终端上。而且,由于EMASS基于镜像技术,可以解决目前WAP技术所不能解决的功能和性能问题: 利用镜像技术,将比较繁重的应用客户端计算任务安排在EMASS移动应用发布平台上,手机终端只负责执行屏幕显示和键盘输入等轻微任务,以适应目前手机终端性能较低、功能较少的现实; 利用镜像技术,手机终端和EMASS平台之间只有屏幕刷新和键盘鼠标信息在传输,带宽需求非常小,网络延时和稳定性要求很低,适应了目前CDMA、GSM、GPRS等移动通信网络质量不高的现实; 由于应用界面是原封不动地传送给手机终端的,应用
12、的功能不会损失; 利用镜像技术,决定了EMASS可以适用于绝大多数IT应用,可以对现有应用系统进行无损的、零开发的手机移植。3.2.2 架构安全弥补手机终端的安全风险手机终端是一种难以管理控制的终端,其使用环境复杂多样,因此,许多比较敏感的应用,在向手机终端发布的时候,都有一些顾虑。而EMASS提供了一个集中可控的、以安全为出发点的移动应用发布平台,透明化了相关制度的制定过程,使IT管理人员能更有效地控制应用程序向手机终端的部署和安全,同时还降低了总的法规遵循成本。EMASS是以安全为出发点进行设计的,这表示全面的安全性已经内置其中,无需另外增加。EMASS使应用和数据保留在防火墙后面的服务器
13、上,而不是暴露在手机终端上,即没有真正的业务数据会传送到手机上,这极大地加强了整个体系的安全性。EMASS平台和手机终端之间的小数据量传输也进行了加密。并且,IT人员能够基于用户角色集中控制接入。EMASS使企业的IT管理员能够基于职务、位置和其它因素对应用使用、数据接入、文件传输以及其它行为进行策略驱动的集中化控制。进一步增强了手机应用的安全性。EMASS平台自身的这些安全特性,可以弥补手机这种低安全性终端接入给应用系统和数据带来的安全风险。3.3 技术实现3.3.1 系统架构移动通信技术日益成熟,人们对移动性的需求日益增长,人们希望在移动的过程中高速地接入互联网,获取急需的信息,完成想做的
14、事情。于是,互联网技术与移动通信技术相结合的“移动互联网”技术应运而生。移动互联网的出现使不仅可以使人们可以随时随地建立联系,还能随时随地获取信息。然而,由于移动通信网络和互联网络的差异性,目前要实现手机终端随时随地获取信息,就必须将目前固网上的IT应用系统“移动化”,改造成为“移动应用”。虽然目前已经出现了短信、多媒体信息、WAP、PUSH Mail等技术,实现了部分IT应用系统的移动化,但由于当前手机终端的能力和移动通信网络的性能等方面限制,IT应用系统还难以方便、高效、完整、全面地移植成为移动应用。EMASS系统是一个移动应用发布平台。它能够将各类IT应用系统,通过网络方便地发布到智能手
15、机上,以实现IT应用系统的“移动化”。它是在IT应用系统和手机终端之间增加的一个“中间层”。利用镜像技术,应用系统的客户端和数据,完全在EMASS平台上运行和处理,仅把运行的界面,以屏幕刷新的方式,传送给手机终端,而手机终端也仅向平台发送键盘鼠标信息。利用这个平台,绝大多数IT应用可以无损、零开发地移植到手机上,并在低带宽、低硬件能力的手机环境上高效运行,同时加强了安全性。以下是EMASS系统的结构简图:上图是EMASS系统的结构示意图。EMASS系统包括移动终端10、应用发布平台20和应用系统30,移动终端包括虚拟代理模块11,应用发布平台包括虚拟通道模块21、输出处理模块23、输入处理模块
16、24、门户服务器25和人机交互模块22。应用发布平台由一组门户服务器和一组发布服务器组成。这些服务器均为Windows2000或2003服务器。 EMASS平台的服务器上,安装了每个需要发布的应用系统30的人机交互模块22。此模块可以是C/S架构应用系统中的客户端,也可以是B/S架构应用系统中的浏览器,对于单机版应用系统,它则是应用系统自身,对于其他类型的应用系统,它是应用系统中负责人机交互的部分。 EMASS平台的服务器上,安装了EMASS系统软件。EMASS软件主要由门户服务器软件25、虚拟通道模块21、输出处理模块23、输入处理模块24等功能模块组成。另外,平台软件还包括管理模块(图上未
17、示),用来实现EMASS平台的管理。 门户服务器是一组WEB服务器,其上安装了平台的门户服务器软件25。 EMASS平台的数据存储中,保存了所有用户的用户名、口令、权限,平台的参数设置,人机交互模块参数设置,以及其他信息。移动终端一般为安装有支持HTTP协议的WEB浏览器(如IE、Netscape、Opera等)的终端设备。用户通过在浏览器上输入门户服务器的IP地址,登录门户服务器。门户服务器接到用户的登录请求后,显示用户认证页面。认证页面至少包括用户名和静态密码,还可以结合令牌系统、数字证书系统、生物特征等技术实现进行多因素强认证。门户服务器接收到用户终端的登录认证信息后,查询平台的数据库以
18、验证用户认证信息,对用户的登录请求做出拒绝或接受。门户服务器接受用户的登录请求后,查询平台的数据库服务器,找出此用户有权访问的应用系统。并向用户终端返回应用列表。应用列表是一个WEB页面,此页面中列出了用户有权访问的应用系统,每个应用系统以一个超级链接的形式来表示。用户终端收到应用列表页面后,在页面上选择所要访问的应用系统,并点击。门户服务器根据事先设置的应用服务器选择策略(如最小负载、最小应答时间、轮询等等),选择一台发布服务器来接受用户的访问,并将选择的发布服务器地址发送给用户终端。用户终端接收到应用服务器的地址后,终端上的虚拟代理模块与此发布服务器建立虚拟通道。虚拟通道建立完成后,发布服
19、务器上的应用系统人机交互模块开始运行。在信息的输入方面,用户在移动终端上的操作,即用户输入,如击键、鼠标移动和点击拖动等,被终端上的虚拟代理模块所采集,并通过虚拟通道,发送给EMASS平台;EMASS平台的虚拟通道模块,通过虚拟通道接收到这些输入信息,并交给输入处理模块;输入处理模块将这些信息,模拟为对本地的用户键盘鼠标输入,提供给人机交互模块;人机交互模块根据这些输入信息,进行运算处理。在信息的输出方面,人机交互模块根据输入信息、后台应用系统的数据和运算逻辑,进行运算,并产生输出信息,主要是屏幕显示图像;平台的输出处理模块,通过屏幕输出重定向,将屏幕显示图像重定向到预先分配好的内存中,这块内
20、存对每个并发用户单独分配一份,互不干涉;应用发布平台在预先设定的时间间隔,比如50毫秒,轮询内存,查看内存内容是否发生变化;当发现内存的内容发生变化,输出处理模块分析出变化的部分,对其进行结构化处理,然后进行压缩处理,并发送给虚拟通道模块;虚拟通道模块将这些数据,通过虚拟通道,发送给移动终端;移动终端的虚拟代理模块,将这些数据进行解压缩,并合成为屏幕显示图像,显示在移动终端的屏幕上。EMASS平台可以对移动终端的接入请求进行用户认证和授权,并将移动终端有权访问的应用系统列表发送给移动终端。虚拟代理模块和虚拟通道模块之间建立虚拟通道,用于传送移动终端发送的输入信息和人机交互模块的屏幕显示图像数据
21、。输出处理模块分别和虚拟通道模块、人机交互模块连接,用于获取人机交互模块的屏幕显示图像数据并发给虚拟通道模块。输入处理模块分别和虚拟通道模块、人机交互模块连接,用于处理从虚拟通道模块获取的输入信息并转发给人机交互模块。人机交互模块是应用系统用来实现操作人与应用系统之间信息交互功能的模块。它可以是C/S架构应用系统中的客户端,也可以是B/S架构应用系统中的浏览器。对于单机版应用系统,它则是应用系统自身。人机交互模块与应用系统连接,用于根据输入信息操作所述应用系统并产生输出信息。移动终端侧还可以连接本地设备,如打印机等,通过人机交互模块控制该本地设备。EMASS发布系统各部分的通信关系如下图所示:
22、3.3.2 镜像技术当前IT基础架构的迅猛增长,而硬件部署模式又进一步加剧了基础架构的复杂程度。应用业越来越多,也越来越复杂,更加难以管理、更新和维护。而用户希望能采用各种桌面设备、笔记本电脑、家用PC和移动设备在任何环境下进行工作。EMASS移动应用发布平台,是利用镜像技术,将IT应用系统发布到手机终端上,从而实现移动应用,的一个IT应用系统发布平台。其核心思想是,将应用系统尽可能完整地从手机终端中分离出来。首先,要实现手机终端与应用系统的互动,但不用将应用系统真正地安装在用户的手机终端上。换句话说,就是界面抽象化,不在本地设备上安装和使用软件,而在EMASS平台上部署软件。然后,再通过网络
23、连接方式,EMASS平台可让手机终端用户接入单个应用“会话”。该“会话”仅将应用界面变化部分经网络返回给手机终端设备,然后手机终端设备又会将鼠标控制和键盘敲击数据传输到“会话”中。无缝的应用界面传递可带给用户更直观的感受。在EMASS平台上,它的具体技术实现如下: 被发布的应用系统的客户端只安装在EMASS平台上,所有应用计算都在EMASS平台上进行。手机终端上只安装一个通用的虚拟代理。因此,解决了手机终端性能低下的问题; 被发布的应用系统需要满足多个手机终端对平台的并发访问,因此,EMASS平台的软件系统具有支持多用户的能力; 平台服务器的硬件架构和操作系统,也是可以支持多用户的系统。目前主
24、流服务器和操作系统都可以做到。由于应用客户端一般运行在Windows操作系统之上,因此,EMASS平台服务器通常使用X86架构的PC Server,操作系统通常选择Windows 2000/2003的服务器版本; 对于不常见的Unix客户端,EMASS平台软件系统也可以运行在小型机和Unix操作系统之上,可以发布Unix为客户端的应用系统; 目前,大多数应用系统的客户端都可以支持多用户,可以正常运行在EMASS平台上。对于一些不支持多用户的客户端,或相互冲突的客户端,EMASS平台可以使用“隔离技术”,对此客户端的每个instance分配一个完全封闭的运行环境,使其可以在同一台服务器上运行并发
25、的多instance。3.3.3 屏幕图像处理技术EMASS移动应用发布平台上运行了应用系统的客户端,平台必须能够将应用客户端运行中产生屏幕输出进行采集和处理。EMASS平台采用了“输出重定向”技术,将应用客户端产生的屏幕输出,重定向到系统中预先分配好的一块“伪显示内存”中。这块伪显示内存对每个并发用户单独分配一份,互不干涉。平台以不大于50毫秒的周期,轮询每个并发用户的伪显示内存。EMASS一旦发现伪显示内存的内容发生变化,说明应用客户端产生了屏幕变化。平台立即调用屏显处理进程,分析出变化的部分,对其进行结构化处理,使手机终端能够正确解析,然后进行压缩处理,最后将结果数据发送给虚拟通道守护进
26、程,向手机终端发送。由于EMASS发布平台采用了屏幕刷新技术,使对无线网络带宽需求大大减少,而且对于大多数应用,带宽需求都相差很小。因此,手机用户的体验比其他技术好的多。同时,在无线网络条件恶劣的情况下,用户还可以降低屏幕显示的图像质量,使网络带宽需求进一步降低。根据经验,在一般情况下,不同的带宽条件下手机用户体验如下:带宽(kbps)用户体验0.6不可用0.6-1速度极慢,勉强可用1-3速度很慢3-8速度较慢8-15速度尚可15-35宽带体验35以上局域网体验测试对比数据打开数据库文档处理3.3.4 虚拟通道技术虚拟通道建立在手机终端和EMASS发布平台之间,是个点到点的逻辑通道,是手机终端
27、与EMASS平台进行信息传输的唯一通道。虚拟通道是个表示层通道,它支持TCP/IP和IPX网络层协议。一般情况下使用TCP/IP协议。虚拟通道内部又划分为多个相互隔离的“子隧道”,每个子隧道中传输不同的内容,例如: 屏幕刷新 管理信令 音频 视频 打印数据 外围设备数据 文件下载 在手机终端用户通过了EMASS移动应用发布平台的认证和授权之后,手机终端上的虚拟代理和EMASS平台上的虚拟通道守护进程,建立和维护虚拟通道,并通过虚拟通道传送数据。在数据被送入虚拟通道之前,虚拟代理和虚拟通道守护进程还要根据安全设置,对数据进行加密。EMASS发布平台最高可支持128位密钥的RC5常规加密。3.3.
28、5 手机屏幕适配的技术实现通常,大多数应用系统都以PC作为默认的客户端设备,而且都默认PC显示器能够支持800600以上的分辨率。但是,当这样的应用系统通过EMASS移动应用发布平台发布到手机终端上时,情况就不同了:手机终端的屏幕很小,针对PC设计的应用界面,在手机终端上难以完整显示,只能显示一小部分。EMASS平台对于这个问题,采用两个方案来进行手机屏幕适配: 滑动块技术。手机屏幕仍然只能显示整个应用显示界面的一部分。在手机屏幕上设置一个滑动块,用户可以前后左右拖动滑动块来显示应用界面的各个部分。 内容适配技术。EMASS发布平台可以根据手机的屏幕情况,在一定的人工干预下,对所发布的内容进行
29、版面调整,使页面适合于手机终端显示。效果如下图:3.3.6 手机用户的集中认证和单点登录EMASS平台是手机终端访问应用系统的唯一访问点,这给实现用户的集中认证提供了可能。集中认证不仅能够支持常见的用户名静态口令的弱认证,还能支持多因素的强认证,如智能卡认证,SIM卡认证,数字令牌、短信令牌认证等。同时,为了加强口令的安全管理,并使手机用户不必再管理多个应用系统的口令和令牌,本发布平台支持单点登录(需另外购买设备)。手机用户只需一次登录,即可访问多个应用。集中认证、单点登录从根本上改变了传统的多口令管理方式。手机用户可简单接入Windows、Web和基于主机的应用程序,且口令得到了更高的安全保
30、障。为了加强IT安全,EMASS平台对口令采取了集中化管理,具体事宜由IT管理员统一负责。这增强了手机终端用户的使用安全性及对外部攻击的防御能力。当某位员工离开企业后,管理员可以仅关闭唯一的一道门终止他的应用接入权利(取消他的主网络登录密码),因为平台控制了所有的用户口令。同时,单点登录加强了对信息接入的内部控制,它能够执行强认证策略,自动化口令变更,实时抓取用户接入数据以供审查。另外,手机终端用户将不再知晓企业应用系统的真实口令,提高了安全性。3.3.7 用户行为的监控和审计对于手机用户在EMASS平台上、在每个应用中的所有操作,EMASS都可以进行原始场景的记录、监视和录像(需另外购买设备
31、)。并提供丰富的审计手段。EMASS平台提供对员工IT活动的完整记录和审计。不仅是在平台上的活动,而且包括在每个应用中的操作,都被纳入到记录和审计的范围中。通过记录和审计,管理员可以搞明白每个用户每时每刻都在做什么。而丰富的审计报表使管理员能够及时发现系统瓶颈、员工操作习惯、以及员工的不当行为。3.3.8 用户帐户的集中手机用户的帐号不再分散在各个应用中,而在EMASS平台上进行集中统一的授权和管理。账号管理集中化IT管理员能够从EMASS平台这个集中点上,控制所有远程用户对对所有企业应用系统的访问。3.3.9 用户的授权和帐号集中管理、集中认证一样,手机用户帐户的授权也可以在EMASS平台上
32、集成完成。集中授权,主要是指在一点,即EMASS平台上,集中对手机用户使用企业应用系统资源的具体权限进行合理分配,实现不同手机用户对应用系统不同部分资源的访问控制。具体来说,就是集中实现对各企业员工能够以什么样的方式访问哪些资源的管理。3.3.10 本地附接外设实现了手机终端附接外设与应用系统的互动。本地外设仍然可以为本地手机用户服务,为手机终端用户创造了一个完整的应用环境。3.3.11 打印EMASS平台提供了通用打印驱动,解除了对特定驱动的依赖,使手机用户能利用本地打印机进行打印。3.3.12 平台性能管理整个EMASS平台插入到手机终端和应用系统之间,所有的手机终端的应用访问都要经过EM
33、ASS平台,所以,平台的性能是一个关键的环节。EMASS平台具有性能检测、负载均衡、性能告警、性能评估、性能预测等功能。3.4 部署方式基于镜像技术,EMASS发布平台的部署方式如下图: EMASS移动应用发布平台软件安装在数据中心的服务器设备上,部署在IT应用系统和手机终端之间。手机终端只能通过平台来间接访问应用系统,而不能直接访问应用系统。也就是说,EMASS平台是手机终端访问应用系统的唯一门户; 在手机终端上,一次性安装一个“虚拟代理”软件。手机终端将通过虚拟代理与平台通信。这个虚拟代理是通用的,而且与具体的应用无关。除此之外,手机终端上不需安装任何应用的客户端或代理; 所有被发布的应用
34、系统的客户端全部安装在EMASS平台上; 在EMASS平台上,集中管理每个手机用户的帐号、口令、强认证策略、用户对应用的访问权限、用户审计策略等; 在应用发布平台上,可以对用户和应用的各种参数进行配置,也可以使用默认参数。4 安全设计4.1 安全理念EMASS平台系统的设计思想以安全为本。在系统的每个环节,无不体现了安全控制的理念。企业的IT系统往往具有很高的安全要求。按照规范,某些行业和某些应用的IT系统甚至不能与外网互联互通。而在移动应用的环境下,移动终端可能漫游到世界上的任何一个角落,增加了系统的安全风险。因此,需要通过对系统的有效安全控制,来规避因此带来的安全风险。提高安全性的有效的方
35、式是安全控制。良好的安全控制手段能够保证正常业务运行,又能隔离无关因素的介入。物理隔离是最可靠的安全控制手段,但也是最无奈的手段,因为它彻底否定了网络的最基本功能:互联互通。我们对EMASS平台系统的设计也着重于安全控制,但并不是物理隔离,而是在保证正常业务能够互联互通基础上的安全控制措施。这些措施包括:l 网络控制。对于非正常业务的通信,在网络上予以阻止;l 用户和终端控制。禁止非合法用户访问系统;禁止用户访问授权外的资源;对用户的行为进行审计;l 数据和代码控制。严格控制业务数据的流动方式和流动范围和应用代码的部署范围,禁止数据和代码流入不安全的区域;防止数据和代码被他人接触到。l 业务控
36、制。根据业务的安全性要求,决定什么样的业务可以在移动终端上使用。4.2 系统架构设计按照目前世界上公认的安全域理论,我们将企业移动办公系统分为3个安全域:1. 内部域。内部域是企业IT系统的局域网及其中的IT设备, 包括路由器、交换机、服务器、存储设备、应用软件和数据等。由于企业的核心系统和数据全部存在于内部域中,是企业最重要的IT资产,因此它的安全级别是最高的,是我们需要重点防护的区域。内部域中的设备不能与其它域进行直接通信,以防止其它域中的恶意攻击入侵内部域。2. 接入域。任何在企业办公区域之外的终端和系统需要访问内部域中的应用系统,都不能与内部域建立直接通信,只能与接入域建立通信,再由接
37、入域代理通信。EMASS平台平台就部署在接入域中,它能够终止移动终端的访问请求,并代理移动终端与内部域中的应用系统进行通信。接入域是移动域和内部域之间的过渡区,其中都是资产价值较低的IT系统。它直接与安全性最低的移动域通信,为内部域抵挡安全风险。一旦发生恶意攻击,攻击也只能威胁到接入域中的设备,造成的损失也很小。从这方面讲,它是内部域中高价值IT资产的替身。3. 移动域。移动域处于企业办公区域之外,移动终端(手机)就处于移动域。由于企业对移动域中的设备不能完全控制(比如无法完全控制手机的工作地点和使用方式),因此,此域中的设备具有被病毒、木马、黑客入侵的可能性,安全性较低,资产价值也最低。为了
38、实现以上设计目标,整个系统中,部署有6个安全控制点:1. 网闸2. 发布平台3. 防火墙4. VPDN5. 移动终端6. 应用服务器每个安全控制点都实现1个或多个安全控制功能。4.3 网络控制网络控制是在网络的关键位置,通常是安全域的接口处,对网络通信进行控制,决定什么样的通信被允许,什么样的通信被禁止。网络控制的常见设备是防火墙和网闸。防火墙可以针对网络通信的地址和端口甚至应用层协议进行控制;而网闸不仅具有防火墙的功能,还能阻断内外网之间的直接通信,所有通信数据都由网闸进行“摆渡”,有效地阻止了针对内网的攻击行为。网闸是政府部门实现通信安全的最常用产品。在本设计中,实现网络控制的控制点有如下
39、几个:l 防火墙(控制点3)。防火墙控制移动域与接入域之间的网络通信。在防火墙上的控制策略如下: 允许手机终端主动对EMASS平台服务器工作端口发起的网络通信; 其它网络通信一律禁止。l 网闸(控制点1)。网闸控制内部域与接入域之间的网络通信。在网闸上,部署以下控制策略: 允许EMASS平台服务器主动发起的对应用服务器http业务的网络通信; EMASS平台服务器不能直接与应用服务器通信。EMASS平台服务器首先与网闸建立连接,将数据发送给网闸,然后网闸断开连接;网闸再与应用服务器建立连接,将EMASS平台服务器的数据发送给应用服务器。应用服务器对EMASS平台服务器的应答通信也使用此机制;
40、其它网络通信一律禁止。l EMASS平台服务器(控制点2)。EMASS平台服务器上,可实现以下控制策略: 中止移动终端的访问请求。移动终端对应用的访问请求被中止在EMASS平台服务器上,由EMASS平台服务器代替移动终端向应用服务器发出请求。 协议转换。移动终端与EMASS平台服务器之间的通信协议采用私有协议,而EMASS平台服务器与应用服务器之间的通信才使用http、pop3等应用层协议。EMASS平台服务器相当于协议转换器,可以防止网络通信中的恶意行为被传播到应用服务器。4.4 用户和终端控制由于移动用户和移动终端的不确定性,因此,对每个试图使用应用系统的用户和终端,必须进行严格的鉴别。只
41、有那些合法的、被授权的用户和终端,才能够使用应用系统。控制点有:l VPDN(控制点3)。它的控制策略有: 移动终端认证。VPDN上可以设置以手机号码为特征的终端准入。当一个移动终端请求接入VPDN时,VPDN会获取此终端的号码,并从数据库中查找此号码是否存在于数据库中。如果是,则允许接入,否则拒绝接入。它能够有效控制终端接入的合法性。l EMASS平台服务器(控制点2)。它的控制策略有: 用户认证。EMASS平台服务器的数据库中存储了每个用户的用户名和密码。当用户访问应用系统之前,必须先登录EMASS平台服务器。EMASS平台服务器要求用户提供用户名和密码,并与数据库中的数据进行比对。只有提
42、供了正确的用户名和密码才被认为是合法用户,才能登录服务器。 双因素认证。可支持SIM卡、短信令牌、数字令牌作为第二认证因素。 用户应用级授权。当用户登录EMASS平台服务器后,服务器查询授权数据库,对此用户进行授权。只有有权的用户才能够启动此应用系统,否则此应用系统对此用户是不可见的。 用户操作级授权。EMASS平台可以根据不同的用户,授予不同的操作权限。例如,是否允许本地打印、是否允许上传下载附件、是否允许复制粘贴、是否允许编辑等。 用户审计。EMASS平台服务器可以对用户的行为进行记录和审计。记录的信息包括:登录时间、启动了那个应用及时间、何时退出应用、登出时间等。4.5 数据和代码控制应
43、用的数据和代码都是安全保护的对象,最好的安全保护是将他们部署在安全和环境中,而不是风险高的环境中。同时,对恶意代码进行控制和查杀。在本设计中,多个控制点保证了应用系统的数据和代码的安全:l EMASS平台服务器(控制点2)。根据EMASS平台系统的工作原理,应用系统的客户端只部署在EMASS平台服务器上,应用系统的数据只会被传送到EMASS平台服务器上,而不会被发送到安全性较低的移动终端上。这样,应用系统的客户端和数据都仅在企业内部部署和通信,极大地保证应用系统的安全性。同时,在EMASS平台服务器上,安装防病毒系统和主机防护系统,以防止病毒、木马和黑客的入侵。l VPDN专线(控制点4)。根
44、据EMASS平台原理,EMASS平台服务器和手机终端之间只传送应用界面图象和用户的键盘鼠标信息。这部分信息是在移动域中传送的。虽然这些信息对窃听者已经没有什么价值了,但为了安全起见,我们仍在设计中使用了VPDN专线,防止信息被窃取和篡改。使用了VPDN专线,使移动域的安全性与企业内网相当接近。l 移动终端(控制点5)。移动终端的不确定性较大,企业也难以对其进行有效的管理和控制,因此,移动终端的安全性较低,有可能被病毒、木马、黑客等入侵,因此,应用数据和应用代码不适合部署在移动终端上。根据EMASS平台原理,移动终端上不会有应用代码和应用数据存在,只有价值很低的应用屏幕图象和用户输入信息会存在于
45、移动终端上,即使被窃取和破坏,也不会造成什么损失。另外,移动终端与EMASS平台服务器之间主要通过私有协议通信,移动终端上的病毒和黑客也无法通过正常通信入侵接入域。4.6 业务控制业务控制是指,对于安全性较低的移动终端,只允许其使用部分业务功能,而不是全部业务功能。业务控制在应用服务器(控制点6)上实现。应用服务器将发布2套页面:一套是原始的页面,一套是针对移动终端定制的页面。原始页面还是提供给企业办公区内的用户使用,而定制页面对现有业务进行精简,把不适合移动终端的业务删除或限制,以防止敏感信息发布到移动终端上。4.7 精简设计以上方案按照严格的安全域理论而设计。但在企业的实际情况中,有些部分
46、可以适当精简,即不会影响系统的安全性,又能提高系统效率,节省建设投资。我们注意到,如果使用了VPDN作为移动域的通信线路。VPDN既能对接入的手机终端进行基于号码的认证,又能将系统的通信数据与外部隔离,形成封闭的网络环境。因此,移动域的安全性是相当高的,在通信安全性上甚至高于以intranet互联的内部单位(内部单位经常使用穿越互联网的VPN相互通信,其通信安全性不如VPDN专线)。再加上EMASS平台是个功能强大的安全控制点,能够对手机进行严格的访问控制、访问代理和协议级的隔离,因此,接入域的设计完全可以简化,去掉网闸控制点。精简后的设计如下:另外,对于安全性要求不高的行业和应用,也不必使用
47、VPDN专线来传输数据,使用internet即可,可节省部分系统运行成本。目前绝大部分企业对外开放的IT应用都是通过互联网来传输数据的。4.8 系统物理拓扑图一个典型的EMASS系统物理拓扑图如下:4.9 应用软件的部署使用了EMASS平台后,应用软件的部署就极为简单,一般只需要以下步骤: 应用软件客户端安装。在EMASS平台的服务器上,安装OA、Email等应用软件的客户端。对于B/S架构的应用,只需在EMASS平台上安装浏览器即可。 配置用户信息。在EMASS平台上增加有权访问应用系统的用户,以及这些用户的权限等参数。 手机代理安装。在手机上,一次性安装一个EMASS平台的代理软件。 页面优化。如果用户需要,我们将对现有应用系统的页面进行优化,以适应手机屏幕的显示。优化后的页面一般可存储在现有的应用
