企業(yè)移動(dòng)應(yīng)用安全超市技術(shù)架構(gòu)研究

王嘉延，楊杰，戴浩良（中國(guó)南方電網(wǎng)廣州供電局有限公司，廣州　510620）

企業(yè)移動(dòng)應(yīng)用安全超市技術(shù)架構(gòu)研究

王嘉延，楊杰，戴浩良
（中國(guó)南方電網(wǎng)廣州供電局有限公司，廣州510620）

0　引言

以智能手機(jī)、平板電腦的廣泛應(yīng)用為標(biāo)志的移動(dòng)互聯(lián)網(wǎng)時(shí)代來(lái)臨，已經(jīng)對(duì)包括電力行業(yè)在內(nèi)的企業(yè)信息化進(jìn)程帶來(lái)了深遠(yuǎn)的影響。已經(jīng)習(xí)慣于使用智能移動(dòng)終端來(lái)進(jìn)行交流、溝通和信息獲取的企業(yè)員工，提出了越來(lái)越多的企業(yè)業(yè)務(wù)移動(dòng)化的要求。然而，企業(yè)移動(dòng)化不是簡(jiǎn)單地將企業(yè)應(yīng)用遷移或移植到智能移動(dòng)終端上就可以了，由于智能移動(dòng)應(yīng)用具有多平臺(tái)、開(kāi)放性、小型化、碎片化、個(gè)人化和隨時(shí)更新下載等新的特點(diǎn)，對(duì)企業(yè)信息化管理，尤其是關(guān)系到國(guó)家能源安全的電力行業(yè)帶來(lái)了全新的挑戰(zhàn)。

企業(yè)移動(dòng)化對(duì)電力企業(yè)信息化建設(shè)和管理帶來(lái)了全新的挑戰(zhàn)：

（1）包括iOS、Android、Windows Phone在內(nèi)的智能終端平臺(tái)操作的多樣性差異和海量的移動(dòng)應(yīng)用，為企業(yè)移動(dòng)化管理帶來(lái)巨大的挑戰(zhàn)；

（2）用戶已經(jīng)習(xí)慣通過(guò)第三方公共應(yīng)用市場(chǎng)，大量下載和更新移動(dòng)應(yīng)用，如何對(duì)企業(yè)移動(dòng)應(yīng)用進(jìn)行統(tǒng)一安全發(fā)布管理，也是電力企業(yè)移動(dòng)化建設(shè)面臨的新問(wèn)題；

（3）移動(dòng)智能終端應(yīng)用接入和使用的身份認(rèn)證問(wèn)題；

（4）由此帶來(lái)的移動(dòng)智能終端應(yīng)用企業(yè)數(shù)據(jù)安全訪問(wèn)問(wèn)題。

針對(duì)以上在企業(yè)移動(dòng)化中面臨的突出問(wèn)題，結(jié)合電力企業(yè)信息化安全管理規(guī)范，南方電網(wǎng)廣州電力局的王嘉延、楊杰和戴浩良三人共同創(chuàng)新規(guī)劃和設(shè)計(jì)了面向未來(lái)電力企業(yè)移動(dòng)應(yīng)用管理的 “企業(yè)移動(dòng)應(yīng)用安全超市”的企業(yè)移動(dòng)化應(yīng)用管理平臺(tái)框架，有效解決了上面企業(yè)移動(dòng)應(yīng)用管理的四個(gè)問(wèn)題。

1　企業(yè)移動(dòng)應(yīng)用安全超市架構(gòu)

目前，針對(duì)智能移動(dòng)終端的移動(dòng)應(yīng)用分發(fā)，主要依賴于由蘋(píng)果公司首創(chuàng)的移動(dòng)應(yīng)用電子市場(chǎng)（App Store）模式。但是，包括蘋(píng)果公司在內(nèi)的App Store，所分發(fā)和管理的移動(dòng)應(yīng)用，由于是對(duì)平臺(tái)內(nèi)所有終端用戶都是開(kāi)放的，更適合通用的移動(dòng)應(yīng)用的分發(fā)和管理。尤其是Android平臺(tái)，由于沒(méi)有對(duì)移動(dòng)應(yīng)用的來(lái)源做嚴(yán)格的審核和驗(yàn)證，大量非原廠的第三方App Store已經(jīng)占據(jù)了Android平臺(tái)的移動(dòng)應(yīng)用分發(fā)和管理的主要份額，例如有三星、華為這些手機(jī)廠商，也有91手機(jī)助手、運(yùn)營(yíng)商背景的各種電子市場(chǎng)，由此帶來(lái)移動(dòng)應(yīng)用管理存在巨大的安全風(fēng)險(xiǎn)和隱患。

因此，對(duì)于面向企業(yè)移動(dòng)化的企業(yè)移動(dòng)應(yīng)用管理，尤其是企業(yè)內(nèi)部使用的移動(dòng)應(yīng)用，這些由第三方管理的App Store顯然無(wú)法滿足企業(yè)移動(dòng)應(yīng)用管理的要求，尤其是對(duì)信息安全要求比較高的電力行業(yè)企業(yè)，更有迫切的要求能夠由一套安全和企業(yè)自主管理的App Store，用于對(duì)企業(yè)的移動(dòng)應(yīng)用進(jìn)行統(tǒng)一管理，在保證安全的前提下，實(shí)現(xiàn)企業(yè)應(yīng)用移動(dòng)化提升企業(yè)信息化能力的目標(biāo)。

基于以上考慮，筆者就建設(shè)符合電力企業(yè)移動(dòng)化管理要求的“移動(dòng)應(yīng)用安全超市”的相關(guān)技術(shù)和架構(gòu)進(jìn)行了研究，并以這項(xiàng)研究為基礎(chǔ)，最終研發(fā)出“移動(dòng)接入辦公平臺(tái)系統(tǒng)”產(chǎn)品，完全實(shí)現(xiàn)了移動(dòng)應(yīng)用安全超市的技術(shù)目標(biāo)。

（1）建立企業(yè)移動(dòng)應(yīng)用超市系統(tǒng)架構(gòu)

在目前企業(yè)的主流的智能移動(dòng)終端系統(tǒng)平臺(tái)中，以蘋(píng)果公司為代表的系統(tǒng)平臺(tái)廠商，專門(mén)為需要自主主建設(shè)企業(yè)應(yīng)用超市的企業(yè)，提供了一套完整的企業(yè)開(kāi)發(fā)者計(jì)劃（“Apple Developer Enterprise Program”），允許申請(qǐng)加入該計(jì)劃的企業(yè)，除了在其提供的面向大眾的App Store之外，建設(shè)符合自身移動(dòng)應(yīng)用管理要求的企業(yè)移動(dòng)應(yīng)用電子市場(chǎng)。對(duì)于包括Android這樣的系統(tǒng)平臺(tái)，則由于其本身就沒(méi)有對(duì)第三方移動(dòng)應(yīng)用的發(fā)布做太多限制，允許企業(yè)建設(shè)自主管理的企業(yè)應(yīng)用電子市場(chǎng)來(lái)自主進(jìn)行移動(dòng)應(yīng)用的發(fā)布管理。

下圖是以蘋(píng)果公司的 “Apple Developer Enterprise Program”所提供的技術(shù)規(guī)范基礎(chǔ)上，結(jié)合電力行業(yè)企業(yè)移動(dòng)化管理規(guī)范和特征，梳理出完全能夠滿足電力企業(yè)移動(dòng)應(yīng)用管理要求的企業(yè)移動(dòng)應(yīng)用超市體系框架圖如圖1所示。

圖1　企業(yè)移動(dòng)應(yīng)用超市體系框架

企業(yè)移動(dòng)應(yīng)用超市體系框架，主要包括兩大部分組成：“企業(yè)應(yīng)用超市客戶端”和 “企業(yè)應(yīng)用超市云平臺(tái)”，構(gòu)建成“云＋端”的企業(yè)移動(dòng)應(yīng)用管理體系。

（2）企業(yè)應(yīng)用超市客戶端（以下簡(jiǎn)稱平臺(tái)App）功能和體系架構(gòu)

平臺(tái)App是安裝在企業(yè)用戶的智能終端上，作為企業(yè)移動(dòng)應(yīng)用發(fā)布的門(mén)戶和窗口。平臺(tái)App作為企業(yè)移動(dòng)應(yīng)用超市的用戶客戶端，不僅支持Android、iOS、WP等不同操作系統(tǒng)平臺(tái)，也同時(shí)能夠支持多品牌廠商、多種分辨率的智能手機(jī)和智能平板電腦。

圖2為平臺(tái)App軟件架構(gòu)設(shè)計(jì)圖。

圖2　平臺(tái)APP軟件架構(gòu)設(shè)計(jì)圖

為了保證平臺(tái)App具備的靈活性和可擴(kuò)展能力，客戶端軟件劃分為四層，分別是“UI交互層”、“UI適配層”、“業(yè)務(wù)邏輯層”和“系統(tǒng)能力適配層”，以降低層次系統(tǒng)的耦合性。例如：通?？蛻舳俗兓容^多的部分集中在UI交互層（調(diào)整界面布局、風(fēng)格定制、更換主題等），這樣的劃分可以將變動(dòng)限制在一定范圍內(nèi)，減少變動(dòng)引起的工作量，提高軟件的可維護(hù)性。

（3）企業(yè)應(yīng)用超市云平臺(tái)功能和體系架構(gòu)

企業(yè)應(yīng)用管理云平臺(tái)，是企業(yè)移動(dòng)應(yīng)用管理后臺(tái)，為企業(yè)提供移動(dòng)應(yīng)用全生命周期的管理。企業(yè)應(yīng)用超市云平臺(tái)由“企業(yè)移動(dòng)應(yīng)用超市”、“企業(yè)移動(dòng)應(yīng)用超市控制臺(tái)”、“企業(yè)移動(dòng)應(yīng)用超市門(mén)戶網(wǎng)站”和“企業(yè)移動(dòng)接入管理”四個(gè)模塊組成。

●“企業(yè)移動(dòng)應(yīng)用超市”作為企業(yè)移動(dòng)應(yīng)用的管理核心，提供了包括“應(yīng)用類別管理”、“應(yīng)用來(lái)源管理”、“應(yīng)用中心”、“應(yīng)用分發(fā)管理”和“應(yīng)用超市客戶端”管理的職責(zé)，能夠?qū)崿F(xiàn)對(duì)應(yīng)用簽名認(rèn)證用于驗(yàn)證應(yīng)用的合法來(lái)源與完整性，確保應(yīng)用安全，并與企業(yè)應(yīng)用超市App客戶端，實(shí)現(xiàn)了企業(yè)應(yīng)用管理全生命周期管理。

●“企業(yè)移動(dòng)應(yīng)用超市控制臺(tái)”是提供給企業(yè)移動(dòng)移動(dòng)應(yīng)用管理人員對(duì)企業(yè)移動(dòng)應(yīng)用進(jìn)行管理的門(mén)戶平臺(tái)。

●“企業(yè)移動(dòng)應(yīng)用超市門(mén)戶網(wǎng)站”則是直接面向企業(yè)內(nèi)部員工和企業(yè)合作伙伴，了解企業(yè)移動(dòng)應(yīng)用發(fā)布和更新情況，下載更新平臺(tái)App，以獲得最新的平臺(tái)App版本更新。

●“企業(yè)移動(dòng)接入管理”是整個(gè)企業(yè)移動(dòng)應(yīng)用超市的基礎(chǔ)支撐模塊，提供對(duì)智能終端設(shè)備、企業(yè)移動(dòng)應(yīng)用超市用戶進(jìn)行實(shí)名身份安全認(rèn)證和數(shù)據(jù)安全傳輸?shù)哪芰ΓＷC只有獲得企業(yè)授權(quán)的合法的用戶才能對(duì)企業(yè)進(jìn)行安全訪問(wèn)。

（3）企業(yè)移動(dòng)應(yīng)用超市平臺(tái)邏輯架構(gòu)

企業(yè)移動(dòng)應(yīng)用超市作為面向企業(yè)移動(dòng)互聯(lián)網(wǎng)信息化的創(chuàng)新型應(yīng)用平臺(tái)系統(tǒng)，要求系統(tǒng)自身應(yīng)具備移動(dòng)互聯(lián)網(wǎng)平臺(tái)特性。由本文作者共同研究和設(shè)計(jì)的面向電力行業(yè)“企業(yè)移動(dòng)應(yīng)用安全超市”，就是按照云計(jì)算架構(gòu)進(jìn)行規(guī)劃和設(shè)計(jì)。如圖3所示。

南方電網(wǎng)廣州供電局已經(jīng)在內(nèi)部實(shí)施基于虛擬化技術(shù)的私有云計(jì)算基礎(chǔ)架構(gòu)，可以直接對(duì)內(nèi)提供IaaS模式的云平臺(tái)服務(wù)。“企業(yè)移動(dòng)應(yīng)用安全超市”在設(shè)計(jì)的時(shí)候，就已經(jīng)考慮能夠直接利用廣州供電局基于IaaS的基礎(chǔ)網(wǎng)絡(luò)運(yùn)算能力，直接運(yùn)行在廣州供電局的內(nèi)部私有云平臺(tái)上，通過(guò)私有云平臺(tái)提供的強(qiáng)大的系統(tǒng)伸縮性和數(shù)據(jù)安全備份能力，保證“企業(yè)移動(dòng)應(yīng)用安全超市”持續(xù)穩(wěn)定運(yùn)行。

圖3　企業(yè)移動(dòng)應(yīng)用超市平臺(tái)邏輯架構(gòu)

“企業(yè)移動(dòng)應(yīng)用安全超市云平臺(tái)”，則是按照PaaS云計(jì)算架構(gòu)進(jìn)行規(guī)劃和設(shè)計(jì)的。通過(guò)對(duì)企業(yè)移動(dòng)應(yīng)用超市的業(yè)務(wù)流程進(jìn)行模塊化分離，能夠?qū)ν饪缙脚_(tái)的企業(yè)移動(dòng)應(yīng)用管理能力。

而“企業(yè)應(yīng)用超市客戶端”則不僅僅只是設(shè)計(jì)作為執(zhí)行移動(dòng)應(yīng)用分發(fā)單一功能的客戶端App軟件，而是在設(shè)計(jì)的時(shí)候，也充分考慮未來(lái)企業(yè)云計(jì)算應(yīng)用前進(jìn)，將客戶端同時(shí)設(shè)計(jì)作為SaaS化的企業(yè)移動(dòng)應(yīng)用訪問(wèn)門(mén)戶，例如企業(yè)通訊錄，就是直接由平臺(tái)客戶端軟件直接提供的服務(wù)化的移動(dòng)應(yīng)用功能，不需要終端用戶另外安裝客戶端。除此之外，平臺(tái)客戶端內(nèi)置基于HTML5應(yīng)用支撐框架，作為未來(lái)基于SaaS的企業(yè)移動(dòng)應(yīng)用開(kāi)發(fā)基礎(chǔ)，為未來(lái)企業(yè)移動(dòng)化應(yīng)用提供無(wú)限擴(kuò)展能力。

（3）企業(yè)移動(dòng)應(yīng)用安全超市關(guān)鍵技術(shù)

除了以上所述的系統(tǒng)框架之外，下面的幾個(gè)關(guān)鍵技術(shù)問(wèn)題，也是此次研究重點(diǎn)研究問(wèn)題，以保證已經(jīng)確定的系統(tǒng)框架，在電力行業(yè)具備實(shí)用性：

問(wèn)題1：關(guān)于設(shè)備和用戶認(rèn)證的問(wèn)題。

身份認(rèn)證是企業(yè)移動(dòng)應(yīng)用超市管理的關(guān)鍵的支撐技術(shù)。針對(duì)移動(dòng)應(yīng)用的復(fù)雜性，本文所規(guī)劃設(shè)計(jì)的“企業(yè)移動(dòng)應(yīng)用安全超市”按照目前比較成熟MDM安全管理技術(shù)，設(shè)計(jì)了一套結(jié)合智能終端設(shè)備自動(dòng)設(shè)備、登錄用戶在線認(rèn)證和移動(dòng)電話在線認(rèn)證等手段，實(shí)現(xiàn)基于終端設(shè)備及用戶的實(shí)名認(rèn)證機(jī)制，保證只有合法的和安全的設(shè)備和用戶才能使用和訪問(wèn)企業(yè)移動(dòng)應(yīng)用超市。

問(wèn)題2：數(shù)據(jù)安全共享問(wèn)題

由于電力行業(yè)對(duì)數(shù)據(jù)安全性要求比較高，尤其是企業(yè)移動(dòng)應(yīng)用會(huì)需要直接訪問(wèn)電力企業(yè)的內(nèi)部系統(tǒng)數(shù)據(jù)。未來(lái)保證數(shù)據(jù)傳輸?shù)陌踩??！捌髽I(yè)移動(dòng)應(yīng)用安全超市”內(nèi)建基于SSL VPN的數(shù)據(jù)安全通道加密技術(shù)，所有移動(dòng)應(yīng)用都只能通過(guò)該安全通道，對(duì)企業(yè)進(jìn)行系統(tǒng)訪問(wèn)和數(shù)據(jù)交換，保證數(shù)據(jù)傳輸和共享的安全。

問(wèn)題3：移動(dòng)終端數(shù)據(jù)安全保密的問(wèn)題。

針對(duì)移動(dòng)終端可能存在遺失的情況，“企業(yè)移動(dòng)應(yīng)用安全超市”的平臺(tái)客戶端內(nèi)建動(dòng)態(tài)數(shù)據(jù)安全區(qū)，保證數(shù)據(jù)在移動(dòng)端的安全性。并結(jié)合MDM設(shè)備安全管理技術(shù)，實(shí)現(xiàn)遠(yuǎn)程安全擦出數(shù)據(jù)、鎖定手機(jī)的機(jī)制，保證數(shù)據(jù)安全使用和存儲(chǔ)。

2　結(jié)語(yǔ)

經(jīng)過(guò)研究，確定以安全云計(jì)算基礎(chǔ)架構(gòu)參照，構(gòu)建符合電力企業(yè)移動(dòng)信息化建設(shè)要求的 “企業(yè)移動(dòng)應(yīng)用超市”，作為企業(yè)移動(dòng)應(yīng)用承擔(dān)發(fā)布、更新和升級(jí)的管理平臺(tái)，實(shí)現(xiàn)對(duì)企業(yè)移動(dòng)應(yīng)用全生命周期管理。結(jié)合實(shí)名制終端設(shè)備和用戶管理技術(shù)、基于SSL VPN的數(shù)據(jù)安全通道技術(shù)和終端數(shù)據(jù)安全技術(shù)，保證“企業(yè)移動(dòng)應(yīng)用超市”完全符合電力企業(yè)信息安全合規(guī)管理要求，在企業(yè)移動(dòng)信息化體系中發(fā)揮持久的效能。

［1］（美）林西克姆著.云計(jì)算與SOA［M］.馬國(guó)耀譯.北京：人民郵電出版社，2011.1.

［2］（美）德維威迪著，移動(dòng)應(yīng)用安全［M］.李祥軍，羅熊等譯.北京：電子工業(yè)出版社，2012.2.

［3］閔棟，劉東明.移動(dòng)應(yīng)用商店跟蹤研究［J］.北京：電信網(wǎng)技術(shù)，2010.2.

Enterprise Mobility；App Store；Mobile Application Security Supermarket；Information Security；Cloud Computing Architecture

Research on the Technology Structure of Enterprise Mobile Application Security Supermarket

WANG Jia-yan，YANG Jie，DAI Hao-liang
（China Southern Power Grid Guangzhou Power Supply Bureau Co.，Ltd.，Guangzhou 510620）

1007-1423（2015）27-0054-04

10.3969/j.issn.1007-1423.2015.27.015

王嘉延（1980-），男，廣東廣州人，碩士，從事領(lǐng)域?yàn)閺V州供電局信息運(yùn)行管理工作

楊杰 （1981-），男，廣東廣州人，碩士，從事領(lǐng)域?yàn)閺V州供電局信息運(yùn)行維護(hù)管理工作

戴浩良（1980-），男，廣東江門(mén)人，碩士，工程師，從事領(lǐng)域?yàn)榫W(wǎng)絡(luò)及安全方面的運(yùn)維管理

2015-07-14

2015-09-09

針對(duì)電力企業(yè)移動(dòng)化建設(shè)過(guò)程中，如何實(shí)現(xiàn)大量的企業(yè)移動(dòng)應(yīng)用進(jìn)行全生命周期的管理問(wèn)題，提出企業(yè)移動(dòng)應(yīng)用安全超市的企業(yè)移動(dòng)應(yīng)用管理架構(gòu)體系，并結(jié)合實(shí)名制終端設(shè)備和用戶管理技術(shù)、基于SSL VPN的數(shù)據(jù)安全通道技術(shù)和終端數(shù)據(jù)安全技術(shù)，提出一套完全符合電力行業(yè)移動(dòng)應(yīng)用管理架構(gòu)和技術(shù)方案，有效解決電力企業(yè)移動(dòng)應(yīng)用全生命周期管理的問(wèn)題。

企業(yè)移動(dòng)化；應(yīng)用電子市場(chǎng)；企移動(dòng)應(yīng)用超市；信息安全；云計(jì)算

According to solve the problem of the mobile application lifecycle management in of the electric power industry，creates a new app store named Mobile Application Security Supermarket.Based on SSL VPN secure channel，cloud computing architecture and terminal data security technology，solves the problem of the mobile application lifecycle management perfectly.