【文章內(nèi)容簡介】 ? 被發(fā)布的應(yīng)用系統(tǒng)需要滿足多個(gè)手機(jī)終端對平臺的并發(fā)訪問，因此，EMASS 平臺的軟件系統(tǒng)具有支持多用戶的能力； ? 平臺服務(wù)器的硬件架構(gòu)和操作系統(tǒng)，也是可以支持多用戶的系統(tǒng)。目前主流服務(wù)器和操作系統(tǒng)都可以做到。由于應(yīng)用客戶端一般運(yùn)行在Windows 操作系統(tǒng)之上，因此， EMASS 平臺服務(wù)器通常使用 X86 架構(gòu)的 PC Server，操作系統(tǒng)通常選擇 Windows 20xx/20xx 的服務(wù)器版本； ? 對于不常見的 Unix 客戶端， EMASS 平臺軟件系統(tǒng)也可以運(yùn)行在小型機(jī)和 Unix 操作系統(tǒng)之上，可以發(fā)布 Unix 為客戶端的應(yīng)用系統(tǒng)； ? 目前，大多數(shù)應(yīng)用系統(tǒng)的客戶端都可以支持多用戶，可以正常運(yùn)行在EMASS 平臺上。對于一些不支持多用戶的客戶端，或相互沖突的客戶端， EMASS 平臺可以使用“隔離技術(shù)”，對此客戶端的每個(gè) instance分配一個(gè)完全封閉的運(yùn)行環(huán)境，使其可以在同一臺服務(wù)器上運(yùn)行并發(fā)的多 instance。 EMASS 移動辦公解決方案 北京華夏未來信息技術(shù) 有限公司 14 屏幕圖像處理技術(shù) EMASS 移動應(yīng)用發(fā)布平臺上運(yùn)行了應(yīng)用系統(tǒng)的客戶端，平臺必須能夠?qū)?yīng)用客戶端運(yùn)行中產(chǎn)生屏幕輸出進(jìn)行采集和處理。 EMASS 平臺采用了“輸出重定向”技術(shù)，將應(yīng)用客戶端產(chǎn)生的屏幕輸出，重定向到系統(tǒng)中預(yù)先分配好的一塊“偽顯示內(nèi)存”中。這塊偽顯示內(nèi)存對每個(gè)并發(fā)用戶單獨(dú)分配一份，互不干涉。平臺以不大于 50 毫秒的周期，輪詢每個(gè)并發(fā)用戶的偽顯示內(nèi)存。 EMASS 一旦發(fā)現(xiàn)偽顯示內(nèi)存的內(nèi)容發(fā)生變化，說明應(yīng)用客戶端產(chǎn)生了屏幕變化。平臺立即調(diào)用屏顯處理進(jìn)程，分析出變化的部分，對其進(jìn)行結(jié)構(gòu)化 處理，使手機(jī)終端能夠正確解析，然后進(jìn)行壓縮處理，最后將結(jié)果數(shù)據(jù)發(fā)送給虛擬通道守護(hù)進(jìn)程，向手機(jī)終端發(fā)送。 由于 EMASS 發(fā)布平臺采用了屏幕刷新技術(shù)，使對無線網(wǎng)絡(luò)帶寬需求大大減少，而且對于大多數(shù)應(yīng)用，帶寬需求都相差很小。因此，手機(jī)用戶的體驗(yàn)比其他技術(shù)好的多。 同時(shí)，在無線網(wǎng)絡(luò)條件惡劣的情況下，用戶還可以降低屏幕顯示的圖像質(zhì)量，使網(wǎng)絡(luò)帶寬需求進(jìn)一步降低。 根據(jù)經(jīng)驗(yàn)， 在 一般情況下，不同的帶寬條件下 手機(jī) 用戶體驗(yàn)如下： 帶寬（ kbps） 用戶體驗(yàn) 不可用 速度極慢，勉強(qiáng)可用 13 速度很慢 38 速度較慢 815 速度尚可 1535 寬帶體驗(yàn) 35以上 局域網(wǎng)體驗(yàn) 測試對比數(shù)據(jù) 打開數(shù)據(jù)庫 EMASS 移動辦公解決方案 北京華夏未來信息技術(shù) 有限公司 15 EMASS 移動辦公解決方案 北京華夏未來信息技術(shù) 有限公司 16 文檔處理 虛擬通道技術(shù) 虛擬通道建立在手機(jī)終端和 EMASS 發(fā)布平臺之間，是個(gè)點(diǎn)到點(diǎn)的邏輯通道，是手機(jī)終端與 EMASS 平臺進(jìn)行信息傳輸?shù)奈ㄒ煌ǖ馈? 虛擬通道是個(gè)表示層通道，它支持 TCP/IP 和 IPX 網(wǎng)絡(luò)層協(xié)議。一般情況下使用 TCP/IP 協(xié)議。 EMASS 移動辦公解決方案 北京華夏未來信息技術(shù) 有限公司 17 虛擬通道內(nèi)部又劃分為多個(gè)相互隔離的“子隧道”，每個(gè)子隧道中傳輸不同的內(nèi)容，例如： ? 屏幕刷新 ? 管理信令 ? 音頻 ? 視頻 ? 打印數(shù) 據(jù) ? 外圍設(shè)備數(shù)據(jù) ? 文件下載 ? …… 在手機(jī)終端用戶通過了 EMASS 移動應(yīng)用發(fā)布平臺的認(rèn)證和授權(quán)之后，手機(jī)終端上的虛擬代理和 EMASS 平臺上的虛擬通道守護(hù)進(jìn)程，建立和維護(hù)虛擬通道，并通過虛擬通道傳送數(shù)據(jù)。 在數(shù)據(jù)被送入虛擬通道之前，虛擬代理和虛擬通道守護(hù)進(jìn)程還要根據(jù)安全設(shè)置，對數(shù)據(jù)進(jìn)行加密。 EMASS 發(fā)布平臺最高可支持 128 位密鑰的 RC5 常規(guī)加密。 手機(jī)屏幕適配的技術(shù)實(shí)現(xiàn) 通常，大多數(shù)應(yīng)用系統(tǒng)都以 PC 作為默認(rèn)的客戶端設(shè)備，而且都默認(rèn) PC 顯示器能夠支持 800 600 以上的分辨率。 但是，當(dāng)這樣的應(yīng)用系統(tǒng)通過 EMASS 移動應(yīng)用發(fā)布平臺發(fā)布到手機(jī)終端上時(shí)，情況就不同了：手機(jī)終端的屏幕很小，針對 PC 設(shè)計(jì)的應(yīng)用界面，在手機(jī)終端上難以完整顯示，只能顯示一小部分。 EMASS 移動辦公解決方案 北京華夏未來信息技術(shù) 有限公司 18 EMASS 平臺對于這個(gè)問題，采用兩個(gè)方案來進(jìn)行手機(jī)屏幕適配： ? 滑動塊技術(shù)。手機(jī)屏幕仍然只能顯示整個(gè)應(yīng)用顯示界面的一部分。在手機(jī)屏幕上設(shè)置一個(gè)滑動塊，用戶可以前后左右拖動滑動塊來顯示應(yīng)用界面的各個(gè)部分。 ? 內(nèi)容適配技術(shù)。 EMASS 發(fā)布平臺可以根據(jù)手機(jī)的屏幕情況，在一定的人工干預(yù)下，對所發(fā)布的內(nèi)容進(jìn)行版面調(diào)整，使頁面適合于手機(jī)終端顯示。效果如下圖： 手機(jī) 用戶的集中 認(rèn)證和單點(diǎn)登錄 EMASS 平臺是手機(jī)終端訪問應(yīng)用系統(tǒng)的唯一訪問點(diǎn)，這 給實(shí)現(xiàn) 用戶的集中EMASS 移動辦公解決方案 北京華夏未來信息技術(shù) 有限公司 19 認(rèn)證提供了可能。集中認(rèn)證不僅能夠支持常見的用戶名＋靜態(tài)口令的弱認(rèn)證，還能支持多因素的強(qiáng)認(rèn)證 ，如智能卡認(rèn)證， SIM 卡認(rèn)證，數(shù)字令牌、短信令牌認(rèn)證等 。 同時(shí)，為了加強(qiáng)口令的安全管理，并使 手機(jī) 用戶不必再管理多個(gè)應(yīng)用系統(tǒng)的口令和令牌，本發(fā)布平臺支持單點(diǎn)登錄 （需另外購買設(shè)備） 。 手機(jī) 用戶只需一次登錄，即可訪問多個(gè)應(yīng)用。 集中認(rèn)證、單點(diǎn)登錄從根本上改變了傳統(tǒng)的多口令管理方式。手機(jī)用戶可簡單接入 Windows、 Web 和基于主機(jī)的應(yīng)用程序 ，且口令得到了更高的安全保障。 為了加強(qiáng) IT 安全， EMASS 平臺對口令采取了集中化管理，具體事宜由 IT管理員統(tǒng)一負(fù)責(zé)。這增強(qiáng)了手機(jī)終端用戶的使用安全性及對外部攻擊的防御能力。當(dāng)某位員工離開企業(yè)后，管理員可以僅關(guān)閉唯一的一道門終止他的應(yīng)用接入權(quán)利（取消他的主網(wǎng)絡(luò)登錄密碼），因?yàn)槠脚_控制了所有的用戶口令。 同時(shí)，單點(diǎn)登錄加強(qiáng)了對信息接入的內(nèi)部控制，它能夠執(zhí)行強(qiáng)認(rèn)證策略，自動化口令變更，實(shí)時(shí)抓取用戶接入數(shù)據(jù)以供審查。另外，手機(jī)終端用戶將不再知曉企業(yè)應(yīng)用系統(tǒng)的真實(shí)口令，提高了安全性。 EMASS 移動辦公解決方案 北京華夏未來信息技術(shù) 有限公司 20 用戶行為的監(jiān)控和審計(jì) 對于手機(jī) 用戶在 EMASS 平臺上、在每個(gè)應(yīng)用中的所有操作， EMASS 都可以進(jìn)行原始場景的記錄、監(jiān)視和錄像 （需另外購買設(shè)備） 。并提供豐富的審計(jì)手段。 EMASS 平臺提供對員工 IT 活動的完整記錄和審計(jì)。不僅是在平臺上的活動，而且包括在每個(gè)應(yīng)用中的操作，都被納入到記錄和審計(jì)的范圍中。 通過記錄和審計(jì)，管理員可以搞明白每個(gè)用戶每時(shí)每刻都在做什么。而豐富的審計(jì)報(bào)表使管理員能夠及時(shí)發(fā)現(xiàn)系統(tǒng)瓶頸、員工操作習(xí)慣、以及員工的不當(dāng)行為。 用戶帳戶的集中 手機(jī) 用戶的帳號不再分散在各個(gè)應(yīng)用中，而在 EMASS 平臺上進(jìn)行 集中 統(tǒng)一的 授權(quán)和 管理。 賬號管理集中化 IT 管理員能夠從 EMASS 平臺這個(gè)集中點(diǎn)上，控制 所有遠(yuǎn)程用戶對 對所有企業(yè)應(yīng)用系統(tǒng)的訪問。 用戶 的授權(quán) 和帳號集中管理、集中認(rèn)證一樣，手機(jī)用戶帳戶的授權(quán)也可以在 EMASS 平臺上集成完成。 集中授權(quán)，主要是指在一點(diǎn)，即 EMASS 平臺上，集中對手機(jī)用戶使用企業(yè)應(yīng)用系統(tǒng)資源的具體權(quán)限進(jìn)行合理分配，實(shí)現(xiàn)不同手機(jī)用戶對應(yīng)用系統(tǒng)不同部分資源的訪問控制。具體來說，就是集中實(shí)現(xiàn)對各企業(yè)員工能夠以什么樣的方式訪問哪些資源的管理。 本地附接外設(shè) 實(shí)現(xiàn)了手機(jī)終端附接外設(shè)與 應(yīng)用 系統(tǒng)的互動。 本地外設(shè)仍然可以為本地 手機(jī)用戶 服務(wù)，為手機(jī)終端用戶創(chuàng)造了一個(gè)完整的 應(yīng)用 環(huán)境。 打印 EMASS 平臺提供了 通用打印驅(qū)動 ， 解除了對特定驅(qū)動的依賴，使手機(jī)用戶EMASS 移動辦公解決方案 北京華夏未來信息技術(shù) 有限公司 21 能利用本地打印機(jī)進(jìn)行打印。 平臺 性能管理 整個(gè) EMASS 平臺插入到手機(jī)終端和應(yīng)用系統(tǒng)之間，所有的手機(jī)終端 的應(yīng)用訪問都要經(jīng)過 EMASS 平臺，所以，平臺的性能是一個(gè)關(guān)鍵的環(huán)節(jié)。 EMASS 平臺具有性能檢測、負(fù)載均衡、性能告警、性能評估、性能預(yù)測等功能。 部署方式 基于 鏡像 技術(shù)， EMASS 發(fā)布平臺的部署方式如下圖： ? EMASS 移動應(yīng)用發(fā)布平臺軟件安裝在 數(shù)據(jù)中心的 服務(wù)器設(shè)備上，部署在 IT 應(yīng)用 系統(tǒng)和手機(jī)終端之間。手機(jī)終端只能 通過平臺來間接訪問應(yīng)用系統(tǒng)，而不能直接訪問應(yīng)用系統(tǒng)。也就是說， EMASS 平臺是手機(jī)終端訪問應(yīng)用系統(tǒng)的唯一門戶； ? 在手機(jī)終端上，一次性安裝一個(gè)“虛擬代理”軟件。手機(jī)終端將通過虛擬代理與平臺通信。這個(gè)虛擬代理 是通用的，而且與具體的應(yīng)用無關(guān)。除此之外，手機(jī)終端上不需安裝任何應(yīng)用的客戶端或代理； EMASS 移動辦公解決方案 北京華夏未來信息技術(shù) 有限公司 22 ? 所有被發(fā)布的應(yīng)用系統(tǒng)的客戶端全部安裝在 EMASS 平臺上； ? 在 EMASS 平臺上，集中管理每個(gè)手機(jī)用戶的帳號、口令、強(qiáng)認(rèn)證策略、用戶對應(yīng)用的訪問權(quán)限、用戶審計(jì)策略等； ? 在應(yīng)用發(fā)布平臺上，可以對用戶和應(yīng)用的各種參數(shù)進(jìn)行配置，也可以使用默認(rèn)參數(shù)。 4 安全設(shè)計(jì) 安全理念 EMASS 平臺 系統(tǒng)的設(shè)計(jì)思想以安全為本。在系統(tǒng)的每個(gè)環(huán)節(jié)，無不體現(xiàn)了安全控制的理念。 企業(yè)的 IT 系統(tǒng)往往具有很高的安全要求。按照規(guī)范，某些行業(yè)和某些應(yīng)用的 IT 系統(tǒng)甚至不能與外網(wǎng)互聯(lián)互通。而在移動應(yīng)用的環(huán)境下，移動終端可能漫游到世界上的任何一個(gè)角落，增加了系統(tǒng)的安全風(fēng)險(xiǎn)。因此，需要通過對系統(tǒng)的有效安全控制，來規(guī)避因此帶來的安全風(fēng)險(xiǎn)。 提高安全性的有效的方式是安全控制。良好的安全控制手段能夠保證正常業(yè)務(wù)運(yùn)行，又能隔離 無關(guān)因素的介入。物理隔離是最可靠的安全控制手段，但也是最無奈的手段，因?yàn)樗鼜氐追穸司W(wǎng)絡(luò)的最基本功能：互聯(lián)互通。 我們對 EMASS 平臺 系統(tǒng)的設(shè)計(jì)也著重于安全控制，但并不是物理隔離，而是在保證正常業(yè)務(wù)能夠互聯(lián)互通基礎(chǔ)上的安全控制措施。這些措施包括： ? 網(wǎng)絡(luò)控制。對于非正常業(yè)務(wù)的通信，在網(wǎng)絡(luò)上予以阻止； ? 用戶和終端控制。禁止非合法用戶訪問系統(tǒng)；禁止用戶訪問授權(quán)外的資源；對用戶的行為進(jìn)行審計(jì)； ? 數(shù)據(jù)和代碼控制。嚴(yán)格控制業(yè)務(wù)數(shù)據(jù)的流動方式和流動范圍和應(yīng)用代碼的部署范圍，禁止數(shù)據(jù)和代碼流入不安全的區(qū)域；防止數(shù)據(jù)和代碼被 他人接觸到。 ? 業(yè)務(wù)控制。根據(jù)業(yè)務(wù)的安全性要求，決定什么樣的業(yè)務(wù)可以在移動終端上使用。 EMASS 移動辦公解決方案 北京華夏未來信息技術(shù) 有限公司 23 系統(tǒng)架構(gòu)設(shè)計(jì) 局 域 網(wǎng)應(yīng) 用 1創(chuàng) 勝發(fā) 布 平 臺企 業(yè) 數(shù) 據(jù) 中 心移 動 終 端VPDN或 INTERNET網(wǎng) 閘應(yīng) 用 2應(yīng) 用 nO A防 火 墻3 12456內(nèi) 部 域接 入 域移 動 域 按照目前世界上公認(rèn)的安全域理論，我們將 企業(yè) 移動辦公系統(tǒng)分為 3 個(gè)安全域： 1. 內(nèi)部域。內(nèi)部域是企業(yè) IT 系統(tǒng)的局域網(wǎng)及其中的 IT 設(shè)備， 包括路由器、交換機(jī)、服務(wù)器、存儲設(shè)備、應(yīng)用軟件和數(shù)據(jù)等。由于企業(yè)的核心系統(tǒng)和數(shù)據(jù)全部存在于內(nèi)部域中，是企業(yè)最重要的 IT 資產(chǎn)，因此它的安全級別是最高的，是我們需要重點(diǎn)防護(hù)的區(qū)域。 內(nèi)部域中的設(shè)備不能與其它域進(jìn)行直接通信，以防止 其它域中的惡意攻擊入侵內(nèi)部域。 2. 接入域。任何在企業(yè)辦公區(qū)域之外的終端和系統(tǒng)需要訪問內(nèi)部域中的應(yīng)用系統(tǒng)，都不能與內(nèi)部域建立直接通信，只能與接入域建立通信，再由接入域代理通信。 EMASS 平臺 平臺就部署在接入域中，它能夠終止移動終端的訪問請求，并代理移動終端與內(nèi)部域中的應(yīng)用系統(tǒng)進(jìn)行通信。 接入域是移動域和內(nèi)部域之間的過渡區(qū)，其中都是資產(chǎn)價(jià)值較低的IT 系統(tǒng)。它直接與安全性最低的移動域通信，為內(nèi)部域抵擋安全風(fēng)險(xiǎn)。一旦發(fā)生惡意攻擊，攻擊也只能威脅到接入域中的設(shè)備，造成的損失也很小。從這方面講，它是內(nèi)部域中高價(jià)值 IT 資產(chǎn) 的替身。 EMASS 移動辦公解決方案 北京華夏未來信息技術(shù) 有限公司 24 3. 移動域。移動域處于企業(yè)辦公區(qū)域之外，移動終端（手機(jī)）就處于移動域。由于企業(yè)對移動域中的設(shè)備不能完全控制（比如無法完全控制手機(jī)的工作地點(diǎn)和使用方式），因此，此域中的設(shè)備具有被病毒、木馬、黑客入侵的可能性，安全性較低，資產(chǎn)價(jià)值也最低。 為了實(shí)現(xiàn)以上設(shè)計(jì)目標(biāo)，整個(gè)系統(tǒng)中，部署有 6 個(gè)安全控制點(diǎn)： 1. 網(wǎng)閘 2. 發(fā)布平臺 3. 防火墻 4. VPDN 5. 移動終端 6. 應(yīng)用 服務(wù)器 每個(gè)安全控制點(diǎn)都實(shí)現(xiàn) 1 個(gè)或多個(gè)安全控制功能。 網(wǎng)絡(luò)控制 網(wǎng)絡(luò)控制是在網(wǎng)絡(luò)的關(guān)鍵位置，通常是安全域的接口處，對網(wǎng)絡(luò)通信進(jìn)行控制，決定什么樣的通信被允許，什么 樣的通信被禁止。 網(wǎng)絡(luò)控制的常見設(shè)備是防火墻和網(wǎng)閘。防火墻可以針對網(wǎng)絡(luò)通信的地址和端口甚至應(yīng)用層協(xié)議進(jìn)行控制；而網(wǎng)閘不僅具有防火墻的功能，還能阻斷內(nèi)外網(wǎng)之間的直接通信，所有通信數(shù)據(jù)都由網(wǎng)閘進(jìn)行“擺渡”，有效地阻止了針對內(nèi)網(wǎng)的攻擊行為。網(wǎng)閘是政府部門實(shí)現(xiàn)通信安全的最常用產(chǎn)品。 在本設(shè)計(jì)中，實(shí)現(xiàn)網(wǎng)絡(luò)控制的控制點(diǎn)有如下幾個(gè)：