移動服務(wù)總線技術(shù)探索與實踐

夏元松，葉顯文，李 洲，陸俊宏

（廣西壯族自治區(qū)公安廳，南寧 530021）

1 引言

隨著新一代移動警務(wù)建設(shè)方案的發(fā)布，全國公安系統(tǒng)移動警務(wù)業(yè)務(wù)進入新一輪的建設(shè)周期。按照新的建設(shè)要求，實現(xiàn)了公安信息網(wǎng)、互聯(lián)網(wǎng)、視頻網(wǎng)、物聯(lián)網(wǎng)及政府其他專網(wǎng)數(shù)據(jù)的互聯(lián)互通，為移動警務(wù)應(yīng)用融合發(fā)展、提升基層民警應(yīng)用體驗奠定了基礎(chǔ)。但可用資源的增加，尤其是跨平臺資源整合，使得應(yīng)用建設(shè)、服務(wù)管理工作變得空前復(fù)雜。

在廣西新一代公安移動警務(wù)建設(shè)實踐中，根據(jù)移動警務(wù)技術(shù)架構(gòu)和管理需求，結(jié)合廣西移動警務(wù)業(yè)務(wù)開展特點，在構(gòu)建移動警務(wù)應(yīng)用支撐環(huán)境過程中，遵循總體技術(shù)方案的指導(dǎo)精神在建設(shè)理念、管理模式、功能機制等方面進行了一系列的創(chuàng)新嘗試，攻克了建設(shè)過程中的一系列關(guān)鍵技術(shù)難題，創(chuàng)新實踐了應(yīng)用跨區(qū)域的服務(wù)總線技術(shù)整合各個平臺資源，為移動警務(wù)應(yīng)用開發(fā)、部署、使用、運維提供便捷、易用、可管理的可行途徑。

2 創(chuàng)新平臺理念

以服務(wù)總線為承載基礎(chǔ)，以微服務(wù)為核心思想，構(gòu)建了廣西新一代的跨區(qū)域統(tǒng)一應(yīng)用支撐服務(wù)的集成平臺—移動服務(wù)總線（MSB）。管理支撐、運行支撐及基礎(chǔ)共性應(yīng)用均作為微服務(wù)注冊在MSB上，面向不同類別移動應(yīng)用提供統(tǒng)一的支撐服務(wù)。MSB具有以下的特點：

首先，MSB跨公安信息網(wǎng)服務(wù)子平臺、聯(lián)網(wǎng)服務(wù)子平臺和移動互聯(lián)網(wǎng)服務(wù)子平臺多個區(qū)域部署，形成跨區(qū)域的統(tǒng)一支撐服務(wù)平臺，服務(wù)平臺在公安信息網(wǎng)內(nèi)實現(xiàn)了統(tǒng)一管理、策略下發(fā)，在各區(qū)分別執(zhí)行，形成“集中管理、分布執(zhí)行”的統(tǒng)一管理框架；

其次，MSB以總線機制為服務(wù)提供了統(tǒng)一的注冊訪問機制，對復(fù)雜的支撐環(huán)境進行解耦，以松耦合方式構(gòu)建了基礎(chǔ)應(yīng)用支撐環(huán)境，為未來擴充支撐服務(wù)提供了開放的技術(shù)架構(gòu)體系；

圖1 移動服務(wù)總線（MSB）

第三，MSB以標準服務(wù)的形式，封裝了平臺內(nèi)部各項安全、管理等服務(wù)的復(fù)雜技術(shù)實現(xiàn)，面向應(yīng)用開發(fā)者提供統(tǒng)一的支撐服務(wù)界面，降低了應(yīng)用開發(fā)的技術(shù)門檻。

3 創(chuàng)新功能機制

MSB中除了按照總體技術(shù)方案的要求提供管理支撐服務(wù)（應(yīng)用開發(fā)資源、移動應(yīng)用發(fā)布等）和運行支撐服務(wù)（統(tǒng)一認證授權(quán)、信息資源服務(wù)、應(yīng)用監(jiān)測評估等）之外，還提供了一系列在移動警務(wù)應(yīng)用運行過程中必要的基礎(chǔ)共性服務(wù)，豐富了移動警務(wù)支撐服務(wù)體系。

一是跨區(qū)數(shù)據(jù)交換服務(wù)。實現(xiàn)了跨區(qū)域數(shù)據(jù)指令、數(shù)據(jù)文件的交換路由及傳輸服務(wù)，為所有應(yīng)用數(shù)據(jù)的傳遞提供數(shù)據(jù)交換路由服務(wù)。通過此服務(wù)，一方面有效地隔離了跨區(qū)域直接訪問的渠道，形成了應(yīng)用信息資源跨區(qū)安全傳輸?shù)幕究刂瓶蚣?；另一方面屏蔽了跨區(qū)域數(shù)據(jù)交換的復(fù)雜技術(shù)實現(xiàn)，以Https標準服務(wù)形式，向移動應(yīng)用和支撐環(huán)境中的各項服務(wù)提供了標準化的跨區(qū)域數(shù)據(jù)交換接口，從而有效降低了應(yīng)用跨區(qū)域數(shù)據(jù)交換的開發(fā)復(fù)雜度。

數(shù)據(jù)安全交換的邏輯架構(gòu)包括三層：接口層、組件層、消息層，具體如圖2所示：

圖2 數(shù)據(jù)安全交換的邏輯架構(gòu)

接口層是交換平臺與其他系統(tǒng)交互的門戶，包括應(yīng)用服務(wù)接口、應(yīng)用服務(wù)信息同步接口、訪問策略同步接口、文件傳輸指令接口。通過此層，大量提供了面向應(yīng)用服務(wù)的能力，實現(xiàn)了簡化應(yīng)用適配工作，提高應(yīng)用上線速度的效果。

應(yīng)用服務(wù)接口用來代理轉(zhuǎn)發(fā)各種應(yīng)用服務(wù)請求，可適配常見的https、webservice等多種接口協(xié)議，并且可以根據(jù)應(yīng)用的需求進行非標準協(xié)議適配。以此來實現(xiàn)數(shù)據(jù)交換能夠獲取到業(yè)務(wù)的請求，為后續(xù)的路由轉(zhuǎn)發(fā)、安全審計、服務(wù)控制提供行為依據(jù)。

應(yīng)用服務(wù)信息同步接口用來同步應(yīng)用服務(wù)的基本信息，此信息可以從應(yīng)用系統(tǒng)或應(yīng)用支撐信息獲取。當(dāng)信息發(fā)生變化需調(diào)用此接口，應(yīng)用信息包含應(yīng)用服務(wù)的ID、IP、端口、所屬區(qū)域等信息。

策略信息同步接口功能是同步策略信息，觸發(fā)條件與應(yīng)用信息相同，控制策略為訪問權(quán)限控制，同時支持動態(tài)擴展。

文件傳輸指令接口主要針對有文件傳輸?shù)恼埱?，及?dāng)有應(yīng)用服務(wù)有文件要上傳下載時，可先通過此接口將要上傳下載的文件搬運到指定位置，再通過應(yīng)用服務(wù)接口獲取要上傳、下載的文件。此接口主要是避免通過https協(xié)議傳輸大文件，而采用文件專用的sFTP協(xié)議來傳輸文件，保證文件傳輸?shù)姆€(wěn)定性、高效性、安全性。

組件層是交換平臺業(yè)務(wù)處理的核心層，接口層與消息層的業(yè)務(wù)實現(xiàn)都需要依賴該層的組件，其核心價值是高度關(guān)聯(lián)業(yè)務(wù)，基于數(shù)據(jù)路由能力，實現(xiàn)了整個數(shù)據(jù)傳輸?shù)钠脚_化，提高傳輸效率；基于消息隊列機制，實現(xiàn)了業(yè)務(wù)請求與回復(fù)的確認，保證了業(yè)務(wù)的連續(xù)性和傳輸?shù)姆€(wěn)定性。

協(xié)議轉(zhuǎn)換組件主要用接口接到數(shù)據(jù)后的拆包與封包工作，為上層接口層提供下層消息層的內(nèi)部溝通協(xié)議，以私有協(xié)議的機制保證安全性。

身份認證組件是對每個訪問數(shù)據(jù)交換平臺進行身份確認（白名單方式），身份不合法的，拒絕請求服務(wù)。

訪問控制組件根據(jù)解析的策略信息，對應(yīng)用之間的訪問方式做出控制，如果有不符合策略的訪問行為，則終止服務(wù)。

文件傳輸組件包含了sFTP服務(wù)，配合文件指令傳輸接口使用，使文件可通過專用的協(xié)議快速傳輸，文件操作組件功能是可以快速實現(xiàn)文件的新建、修改、刪除、拷貝等操作。

路由轉(zhuǎn)發(fā)組件主要為接口層與消息層服務(wù)，分析接口層獲取到的應(yīng)用信息與請求參數(shù)信綜合分析，確定消息的種類與方向。消息服務(wù)總線根據(jù)消息的種類與方向，對數(shù)據(jù)進行具體的傳遞動作。

協(xié)議代理組件根據(jù)協(xié)議類型，實例化出不同的協(xié)議引擎，向目標應(yīng)用服務(wù)發(fā)送請求，并帶回返回值。

資源初始化組件是交換平臺的基礎(chǔ)，比如應(yīng)用信息、策略信息、參數(shù)信息等資源在平臺啟動時就已經(jīng)加載自內(nèi)存，當(dāng)資源信息發(fā)生變化時，也會實時更新內(nèi)存。

消息層主要是邊界系統(tǒng)對接，借助邊界系統(tǒng)打通兩個區(qū)域交換平臺的消息通訊，消息按種類分為外部應(yīng)用服務(wù)請求消息和內(nèi)部資源信息同步消息兩類，按動作分又可分為收消息和發(fā)消息兩個動作，消息層支持常用的FILE、JMS傳輸方式，也可以根據(jù)業(yè)務(wù)的特點靈活的切換不同的協(xié)議，來滿足業(yè)務(wù)需求。

二是移動互聯(lián)網(wǎng)定位服務(wù)。該服務(wù)部署于聯(lián)網(wǎng)服務(wù)子平臺，通過移動互聯(lián)網(wǎng)資源安全代理，使Ⅱ 類應(yīng)用的后臺服務(wù)器可以獲取互聯(lián)網(wǎng)資源；目前在受控條件下已實現(xiàn)了II類系統(tǒng)服務(wù)調(diào)用高德地圖資源實現(xiàn)相應(yīng)的系統(tǒng)功能。

三是跨區(qū)消息推送服務(wù)。該服務(wù)部署于聯(lián)網(wǎng)服務(wù)子平臺和公安信息網(wǎng)服務(wù)子平臺，向全網(wǎng)移動警務(wù)應(yīng)用提供統(tǒng)一的消息推送服務(wù)，實現(xiàn)了公安移動專網(wǎng)（VPDN/APN）條件下的消息推送和應(yīng)用喚醒。通過消息推送服務(wù)，解決了由于由安卓系統(tǒng)殺滅移動應(yīng)用引發(fā)的消息無法及時送達問題，為提升公安移動應(yīng)用交互體驗打下了良好基礎(chǔ)。

四是具備全業(yè)務(wù)流程審計能力。所有應(yīng)用向后端發(fā)出的請求及返回接收的數(shù)據(jù)，全部要通過MSB進行流轉(zhuǎn)，同時通過管理規(guī)定要求應(yīng)用在使用MSB請求服務(wù)時必須攜帶由用戶、終端、應(yīng)用等信息組成的令牌（token）。用戶的每一個交互操作都會在MSB中生成一條包含時間戳、token、請求內(nèi)容、返回數(shù)據(jù)的日志記錄，實現(xiàn)全業(yè)務(wù)流程審計。另，由MSB審計日志中記錄了返回數(shù)據(jù)，通過MSB的基于內(nèi)容的檢索功能，能夠?qū)崿F(xiàn)根據(jù)泄漏數(shù)據(jù)精準倒查泄漏源頭。

4 探索應(yīng)用新模式

基于新的移動警務(wù)應(yīng)用支撐環(huán)境，遷移或新建了部分典型應(yīng)用。在遷移（建設(shè)）過程中，不斷完善了支撐服務(wù)，使平臺中各項服務(wù)在實踐中得到了檢驗；另一方面，也通過這些典型應(yīng)用對遷移已有應(yīng)用和新建應(yīng)用的應(yīng)用建設(shè)模式進行了探索，積累了寶貴經(jīng)驗。

一是建設(shè)綜合性的“八桂警信”應(yīng)用，滿足民警迫切需要的業(yè)務(wù)協(xié)作和信息交流的需求。該應(yīng)用為覆蓋Ⅰ、Ⅱ、Ⅲ類應(yīng)用的即時通訊平臺，同時為民、輔警及協(xié)防人員提供安全、即時、可靠的交流平臺。解決了當(dāng)前基層單位大量使用微信、釘釘?shù)然ヂ?lián)網(wǎng)工具進行行政管理、業(yè)務(wù)協(xié)作、消息通訊等可能造成的泄露警務(wù)秘密的重大問題。此系統(tǒng)使用支撐環(huán)境中的統(tǒng)一認證、數(shù)據(jù)交換等基礎(chǔ)服務(wù)，在保證安全的前提下，快速完成了系統(tǒng)改造和部署，目前已經(jīng)進入試用階段。

二是基于新一代移動警務(wù)Ⅱ類應(yīng)用改造指揮調(diào)度系統(tǒng)。原移動警務(wù)建設(shè)的指揮調(diào)度系統(tǒng)，因網(wǎng)絡(luò)架構(gòu)限制，在實際使用過程中，頻現(xiàn)定位慢、精度低、地圖質(zhì)量差、不能很好地利用視頻資源、穩(wěn)定性差等問題，在實戰(zhàn)應(yīng)用中作用有限。按照Ⅱ類應(yīng)用系統(tǒng)改造后，利用支撐環(huán)境提供的移動定位、消息推送、數(shù)據(jù)交換等基礎(chǔ)服務(wù)，解決了地圖定位、交互及時性、穩(wěn)定性等問題，極大地提高了系統(tǒng)服務(wù)能力，及易用性，能夠更好的服務(wù)于公安實戰(zhàn)。

通過廣西新一代公安移動警務(wù)平臺一期的建設(shè)落地和典型應(yīng)用的建設(shè)，初步構(gòu)建了多區(qū)域融合的基礎(chǔ)平臺框架和統(tǒng)一的應(yīng)用支撐服務(wù)框架，構(gòu)建了廣西新一代移動警務(wù)應(yīng)用支撐體系，為各類移動應(yīng)用提供了統(tǒng)一的支撐管理服務(wù)，驗證了新一代移動警務(wù)建設(shè)方案的可行性，為下一步移動警務(wù)發(fā)展和移動應(yīng)用推廣建設(shè)打下了良好基礎(chǔ)。■