利用镜像技术实现的移动应用发布平台emass移动办公方案书(编辑修改稿)

利用镜像技术实现的移动应用发布平台emass移动办公方案书(编辑修改稿)内容摘要：

 被发布的应用系统需要满足多个手机终端对平台的并发访问，因此，EMASS 平台的软件系统具有支持多用户的能力；  平台服务器的硬件架构和操作系统，也是可以支持多用户的系统。 目前主流服务器和操作系统都可以做到。 由于应用客户端一般运行在Windows 操作系统之上，因此， EMASS 平台服务器通常使用 X86 架构的 PC Server，操作系统通常选择 Windows 20xx/20xx 的服务器版本；  对于不常见的 Unix 客户端， EMASS 平台软件系统也可以运行在小型机和 Unix 操作系统之上，可以发布 Unix 为客户端的应用系统；  目前，大多数应用系统的客户端都可以支持多用户，可以正常运行在EMASS 平台上。 对于一些不支持多用户的客户端，或相互冲突的客户端， EMASS 平台可以使用“隔离技术”，对此客户端的每个 instance分配一个完全封闭的运行环境，使其可以在同一台服务器上运行并发的多 instance。 EMASS 移动办公解决方案 北京华夏未来信息技术 有限公司 14 屏幕图像处理技术 EMASS 移动应用发布平台上运行了应用系统的客户端，平台必须能够将应用客户端运行中产生屏幕输出进行采集和处理。 EMASS 平台采用了“输出重定向”技术，将应用客户端产生的屏幕输出，重定向到系统中预先分配好的一块“伪显示内存”中。 这块伪显示内存对每个并发用户单独分配一份，互不干涉。 平台以不大于 50 毫秒的周期，轮询每个并发用户的伪显示内存。 EMASS 一旦发现伪显示内存的内容发生变化，说明应用客户端产生了屏幕变化。 平台立即调用屏显处理进程，分析出变化的部分，对其进行结构化 处理，使手机终端能够正确解析，然后进行压缩处理，最后将结果数据发送给虚拟通道守护进程，向手机终端发送。 由于 EMASS 发布平台采用了屏幕刷新技术，使对无线网络带宽需求大大减少，而且对于大多数应用，带宽需求都相差很小。 因此，手机用户的体验比其他技术好的多。 同时，在无线网络条件恶劣的情况下，用户还可以降低屏幕显示的图像质量，使网络带宽需求进一步降低。 根据经验， 在 一般情况下，不同的带宽条件下 手机 用户体验如下： 带宽（ kbps） 用户体验 不可用 速度极慢，勉强可用 13 速度很慢 38 速度较慢 815 速度尚可 1535 宽带体验 35以上 局域网体验 测试对比数据 打开数据库 EMASS 移动办公解决方案 北京华夏未来信息技术 有限公司 15 EMASS 移动办公解决方案 北京华夏未来信息技术 有限公司 16 文档处理 虚拟通道技术 虚拟通道建立在手机终端和 EMASS 发布平台之间，是个点到点的逻辑通道，是手机终端与 EMASS 平台进行信息传输的唯一通道。 虚拟通道是个表示层通道，它支持 TCP/IP 和 IPX 网络层协议。 一般情况下使用 TCP/IP 协议。 EMASS 移动办公解决方案 北京华夏未来信息技术 有限公司 17 虚拟通道内部又划分为多个相互隔离的“子隧道”，每个子隧道中传输不同的内容，例如：  屏幕刷新  管理信令  音频  视频  打印数 据  外围设备数据  文件下载  …… 在手机终端用户通过了 EMASS 移动应用发布平台的认证和授权之后，手机终端上的虚拟代理和 EMASS 平台上的虚拟通道守护进程，建立和维护虚拟通道，并通过虚拟通道传送数据。 在数据被送入虚拟通道之前，虚拟代理和虚拟通道守护进程还要根据安全设置，对数据进行加密。 EMASS 发布平台最高可支持 128 位密钥的 RC5 常规加密。 手机屏幕适配的技术实现 通常，大多数应用系统都以 PC 作为默认的客户端设备，而且都默认 PC 显示器能够支持 800 600 以上的分辨率。 但是，当这样的应用系统通过 EMASS 移动应用发布平台发布到手机终端上时，情况就不同了：手机终端的屏幕很小，针对 PC 设计的应用界面，在手机终端上难以完整显示，只能显示一小部分。 EMASS 移动办公解决方案 北京华夏未来信息技术 有限公司 18 EMASS 平台对于这个问题，采用两个方案来进行手机屏幕适配：  滑动块技术。 手机屏幕仍然只能显示整个应用显示界面的一部分。 在手机屏幕上设置一个滑动块，用户可以前后左右拖动滑动块来显示应用界面的各个部分。  内容适配技术。 EMASS 发布平台可以根据手机的屏幕情况，在一定的人工干预下，对所发布的内容进行版面调整，使页面适合于手机终端显示。 效果如下图： 手机 用户的集中 认证和单点登录 EMASS 平台是手机终端访问应用系统的唯一访问点，这 给实现 用户的集中EMASS 移动办公解决方案 北京华夏未来信息技术 有限公司 19 认证提供了可能。 集中认证不仅能够支持常见的用户名＋静态口令的弱认证，还能支持多因素的强认证 ，如智能卡认证， SIM 卡认证，数字令牌、短信令牌认证等。 同时，为了加强口令的安全管理，并使 手机 用户不必再管理多个应用系统的口令和令牌，本发布平台支持单点登录 （需另外购买设备）。 手机 用户只需一次登录，即可访问多个应用。 集中认证、单点登录从根本上改变了传统的多口令管理方式。 手机用户可简单接入 Windows、 Web 和基于主机的应用程序 ，且口令得到了更高的安全保障。 为了加强 IT 安全， EMASS 平台对口令采取了集中化管理，具体事宜由 IT管理员统一负责。 这增强了手机终端用户的使用安全性及对外部攻击的防御能力。 当某位员工离开企业后，管理员可以仅关闭唯一的一道门终止他的应用接入权利（取消他的主网络登录密码），因为平台控制了所有的用户口令。 同时，单点登录加强了对信息接入的内部控制，它能够执行强认证策略，自动化口令变更，实时抓取用户接入数据以供审查。 另外，手机终端用户将不再知晓企业应用系统的真实口令，提高了安全性。 EMASS 移动办公解决方案 北京华夏未来信息技术 有限公司 20 用户行为的监控和审计 对于手机 用户在 EMASS 平台上、在每个应用中的所有操作， EMASS 都可以进行原始场景的记录、监视和录像 （需另外购买设备）。 并提供丰富的审计手段。 EMASS 平台提供对员工 IT 活动的完整记录和审计。 不仅是在平台上的活动，而且包括在每个应用中的操作，都被纳入到记录和审计的范围中。 通过记录和审计，管理员可以搞明白每个用户每时每刻都在做什么。 而丰富的审计报表使管理员能够及时发现系统瓶颈、员工操作习惯、以及员工的不当行为。 用户帐户的集中 手机 用户的帐号不再分散在各个应用中，而在 EMASS 平台上进行 集中 统一的 授权和 管理。 账号管理集中化 IT 管理员能够从 EMASS 平台这个集中点上，控制 所有远程用户对 对所有企业应用系统的访问。 用户 的授权 和帐号集中管理、集中认证一样，手机用户帐户的授权也可以在 EMASS 平台上集成完成。 集中授权，主要是指在一点，即 EMASS 平台上，集中对手机用户使用企业应用系统资源的具体权限进行合理分配，实现不同手机用户对应用系统不同部分资源的访问控制。 具体来说，就是集中实现对各企业员工能够以什么样的方式访问哪些资源的管理。 本地附接外设 实现了手机终端附接外设与 应用 系统的互动。 本地外设仍然可以为本地 手机用户 服务，为手机终端用户创造了一个完整的 应用 环境。 打印 EMASS 平台提供了 通用打印驱动 ， 解除了对特定驱动的依赖，使手机用户EMASS 移动办公解决方案 北京华夏未来信息技术 有限公司 21 能利用本地打印机进行打印。 平台 性能管理 整个 EMASS 平台插入到手机终端和应用系统之间，所有的手机终端 的应用访问都要经过 EMASS 平台，所以，平台的性能是一个关键的环节。 EMASS 平台具有性能检测、负载均衡、性能告警、性能评估、性能预测等功能。 部署方式 基于 镜像 技术， EMASS 发布平台的部署方式如下图：  EMASS 移动应用发布平台软件安装在 数据中心的 服务器设备上，部署在 IT 应用 系统和手机终端之间。 手机终端只能 通过平台来间接访问应用系统，而不能直接访问应用系统。 也就是说， EMASS 平台是手机终端访问应用系统的唯一门户；  在手机终端上，一次性安装一个“虚拟代理”软件。 手机终端将通过虚拟代理与平台通信。 这个虚拟代理 是通用的，而且与具体的应用无关。 除此之外，手机终端上不需安装任何应用的客户端或代理； EMASS 移动办公解决方案 北京华夏未来信息技术 有限公司 22  所有被发布的应用系统的客户端全部安装在 EMASS 平台上；  在 EMASS 平台上，集中管理每个手机用户的帐号、口令、强认证策略、用户对应用的访问权限、用户审计策略等；  在应用发布平台上，可以对用户和应用的各种参数进行配置，也可以使用默认参数。 4 安全设计 安全理念 EMASS 平台 系统的设计思想以安全为本。 在系统的每个环节，无不体现了安全控制的理念。 企业的 IT 系统往往具有很高的安全要求。 按照规范，某些行业和某些应用的 IT 系统甚至不能与外网互联互通。 而在移动应用的环境下，移动终端可能漫游到世界上的任何一个角落，增加了系统的安全风险。 因此，需要通过对系统的有效安全控制，来规避因此带来的安全风险。 提高安全性的有效的方式是安全控制。 良好的安全控制手段能够保证正常业务运行，又能隔离 无关因素的介入。 物理隔离是最可靠的安全控制手段，但也是最无奈的手段，因为它彻底否定了网络的最基本功能：互联互通。 我们对 EMASS 平台 系统的设计也着重于安全控制，但并不是物理隔离，而是在保证正常业务能够互联互通基础上的安全控制措施。 这些措施包括：  网络控制。 对于非正常业务的通信，在网络上予以阻止；  用户和终端控制。 禁止非合法用户访问系统；禁止用户访问授权外的资源；对用户的行为进行审计；  数据和代码控制。 严格控制业务数据的流动方式和流动范围和应用代码的部署范围，禁止数据和代码流入不安全的区域；防止数据和代码被 他人接触到。  业务控制。 根据业务的安全性要求，决定什么样的业务可以在移动终端上使用。 EMASS 移动办公解决方案 北京华夏未来信息技术 有限公司 23 系统架构设计 局 域 网应 用 1创 胜发 布 平 台企 业 数 据 中 心移 动 终 端VPDN或 INTERNET网 闸应 用 2应 用 nO A防 火 墙3 12456内 部 域接 入 域移 动 域 按照目前世界上公认的安全域理论，我们将 企业 移动办公系统分为 3 个安全域： 1. 内部域。 内部域是企业 IT 系统的局域网及其中的 IT 设备， 包括路由器、交换机、服务器、存储设备、应用软件和数据等。 由于企业的核心系统和数据全部存在于内部域中，是企业最重要的 IT 资产，因此它的安全级别是最高的，是我们需要重点防护的区域。 内部域中的设备不能与其它域进行直接通信，以防止 其它域中的恶意攻击入侵内部域。 2. 接入域。 任何在企业办公区域之外的终端和系统需要访问内部域中的应用系统，都不能与内部域建立直接通信，只能与接入域建立通信，再由接入域代理通信。 EMASS 平台 平台就部署在接入域中，它能够终止移动终端的访问请求，并代理移动终端与内部域中的应用系统进行通信。 接入域是移动域和内部域之间的过渡区，其中都是资产价值较低的IT 系统。 它直接与安全性最低的移动域通信，为内部域抵挡安全风险。 一旦发生恶意攻击，攻击也只能威胁到接入域中的设备，造成的损失也很小。 从这方面讲，它是内部域中高价值 IT 资产 的替身。 EMASS 移动办公解决方案 北京华夏未来信息技术 有限公司 24 3. 移动域。 移动域处于企业办公区域之外，移动终端（手机）就处于移动域。 由于企业对移动域中的设备不能完全控制（比如无法完全控制手机的工作地点和使用方式），因此，此域中的设备具有被病毒、木马、黑客入侵的可能性，安全性较低，资产价值也最低。 为了实现以上设计目标，整个系统中，部署有 6 个安全控制点： 1. 网闸 2. 发布平台 3. 防火墙 4. VPDN 5. 移动终端 6. 应用 服务器 每个安全控制点都实现 1 个或多个安全控制功能。 网络控制 网络控制是在网络的关键位置，通常是安全域的接口处，对网络通信进行控制，决定什么样的通信被允许，什么 样的通信被禁止。 网络控制的常见设备是防火墙和网闸。 防火墙可以针对网络通信的地址和端口甚至应用层协议进行控制；而网闸不仅具有防火墙的功能，还能阻断内外网之间的直接通信，所有通信数据都由网闸进行“摆渡”，有效地阻止了针对内网的攻击行为。 网闸是政府部门实现通信安全的最常用产品。 在本设计中，实现网络控制的控制点有如下几个：。