移動服務總線技術探索與實踐

夏元松，葉顯文，李 洲，陸俊宏

（廣西壯族自治區公安廳，南寧 530021）

1 引言

隨著新一代移動警務建設方案的發布，全國公安系統移動警務業務進入新一輪的建設周期。按照新的建設要求，實現了公安信息網、互聯網、視頻網、物聯網及政府其他專網數據的互聯互通，為移動警務應用融合發展、提升基層民警應用體驗奠定了基礎。但可用資源的增加，尤其是跨平臺資源整合，使得應用建設、服務管理工作變得空前復雜。

在廣西新一代公安移動警務建設實踐中，根據移動警務技術架構和管理需求，結合廣西移動警務業務開展特點，在構建移動警務應用支撐環境過程中，遵循總體技術方案的指導精神在建設理念、管理模式、功能機制等方面進行了一系列的創新嘗試，攻克了建設過程中的一系列關鍵技術難題，創新實踐了應用跨區域的服務總線技術整合各個平臺資源，為移動警務應用開發、部署、使用、運維提供便捷、易用、可管理的可行途徑。

2 創新平臺理念

以服務總線為承載基礎，以微服務為核心思想，構建了廣西新一代的跨區域統一應用支撐服務的集成平臺—移動服務總線（MSB）。管理支撐、運行支撐及基礎共性應用均作為微服務注冊在MSB上，面向不同類別移動應用提供統一的支撐服務。MSB具有以下的特點：

首先，MSB跨公安信息網服務子平臺、聯網服務子平臺和移動互聯網服務子平臺多個區域部署，形成跨區域的統一支撐服務平臺，服務平臺在公安信息網內實現了統一管理、策略下發，在各區分別執行，形成“集中管理、分布執行”的統一管理框架；

其次，MSB以總線機制為服務提供了統一的注冊訪問機制，對復雜的支撐環境進行解耦，以松耦合方式構建了基礎應用支撐環境，為未來擴充支撐服務提供了開放的技術架構體系；

圖1 移動服務總線（MSB）

第三，MSB以標準服務的形式，封裝了平臺內部各項安全、管理等服務的復雜技術實現，面向應用開發者提供統一的支撐服務界面，降低了應用開發的技術門檻。

3 創新功能機制

MSB中除了按照總體技術方案的要求提供管理支撐服務（應用開發資源、移動應用發布等）和運行支撐服務（統一認證授權、信息資源服務、應用監測評估等）之外，還提供了一系列在移動警務應用運行過程中必要的基礎共性服務，豐富了移動警務支撐服務體系。

一是跨區數據交換服務。實現了跨區域數據指令、數據文件的交換路由及傳輸服務，為所有應用數據的傳遞提供數據交換路由服務。通過此服務，一方面有效地隔離了跨區域直接訪問的渠道，形成了應用信息資源跨區安全傳輸的基本控制框架；另一方面屏蔽了跨區域數據交換的復雜技術實現，以Https標準服務形式，向移動應用和支撐環境中的各項服務提供了標準化的跨區域數據交換接口，從而有效降低了應用跨區域數據交換的開發復雜度。

數據安全交換的邏輯架構包括三層：接口層、組件層、消息層，具體如圖2所示：

圖2 數據安全交換的邏輯架構

接口層是交換平臺與其他系統交互的門戶，包括應用服務接口、應用服務信息同步接口、訪問策略同步接口、文件傳輸指令接口。通過此層，大量提供了面向應用服務的能力，實現了簡化應用適配工作，提高應用上線速度的效果。

應用服務接口用來代理轉發各種應用服務請求，可適配常見的https、webservice等多種接口協議，并且可以根據應用的需求進行非標準協議適配。以此來實現數據交換能夠獲取到業務的請求，為后續的路由轉發、安全審計、服務控制提供行為依據。

應用服務信息同步接口用來同步應用服務的基本信息，此信息可以從應用系統或應用支撐信息獲取。當信息發生變化需調用此接口，應用信息包含應用服務的ID、IP、端口、所屬區域等信息。

策略信息同步接口功能是同步策略信息，觸發條件與應用信息相同，控制策略為訪問權限控制，同時支持動態擴展。

文件傳輸指令接口主要針對有文件傳輸的請求，及當有應用服務有文件要上傳下載時，可先通過此接口將要上傳下載的文件搬運到指定位置，再通過應用服務接口獲取要上傳、下載的文件。此接口主要是避免通過https協議傳輸大文件，而采用文件專用的sFTP協議來傳輸文件，保證文件傳輸的穩定性、高效性、安全性。

組件層是交換平臺業務處理的核心層，接口層與消息層的業務實現都需要依賴該層的組件，其核心價值是高度關聯業務，基于數據路由能力，實現了整個數據傳輸的平臺化，提高傳輸效率；基于消息隊列機制，實現了業務請求與回復的確認，保證了業務的連續性和傳輸的穩定性。

協議轉換組件主要用接口接到數據后的拆包與封包工作，為上層接口層提供下層消息層的內部溝通協議，以私有協議的機制保證安全性。

身份認證組件是對每個訪問數據交換平臺進行身份確認（白名單方式），身份不合法的，拒絕請求服務。

訪問控制組件根據解析的策略信息，對應用之間的訪問方式做出控制，如果有不符合策略的訪問行為，則終止服務。

文件傳輸組件包含了sFTP服務，配合文件指令傳輸接口使用，使文件可通過專用的協議快速傳輸，文件操作組件功能是可以快速實現文件的新建、修改、刪除、拷貝等操作。

路由轉發組件主要為接口層與消息層服務，分析接口層獲取到的應用信息與請求參數信綜合分析，確定消息的種類與方向。消息服務總線根據消息的種類與方向，對數據進行具體的傳遞動作。

協議代理組件根據協議類型，實例化出不同的協議引擎，向目標應用服務發送請求，并帶回返回值。

資源初始化組件是交換平臺的基礎，比如應用信息、策略信息、參數信息等資源在平臺啟動時就已經加載自內存，當資源信息發生變化時，也會實時更新內存。

消息層主要是邊界系統對接，借助邊界系統打通兩個區域交換平臺的消息通訊，消息按種類分為外部應用服務請求消息和內部資源信息同步消息兩類，按動作分又可分為收消息和發消息兩個動作，消息層支持常用的FILE、JMS傳輸方式，也可以根據業務的特點靈活的切換不同的協議，來滿足業務需求。

二是移動互聯網定位服務。該服務部署于聯網服務子平臺，通過移動互聯網資源安全代理，使Ⅱ 類應用的后臺服務器可以獲取互聯網資源；目前在受控條件下已實現了II類系統服務調用高德地圖資源實現相應的系統功能。

三是跨區消息推送服務。該服務部署于聯網服務子平臺和公安信息網服務子平臺，向全網移動警務應用提供統一的消息推送服務，實現了公安移動專網（VPDN/APN）條件下的消息推送和應用喚醒。通過消息推送服務，解決了由于由安卓系統殺滅移動應用引發的消息無法及時送達問題，為提升公安移動應用交互體驗打下了良好基礎。

四是具備全業務流程審計能力。所有應用向后端發出的請求及返回接收的數據，全部要通過MSB進行流轉，同時通過管理規定要求應用在使用MSB請求服務時必須攜帶由用戶、終端、應用等信息組成的令牌（token）。用戶的每一個交互操作都會在MSB中生成一條包含時間戳、token、請求內容、返回數據的日志記錄，實現全業務流程審計。另，由MSB審計日志中記錄了返回數據，通過MSB的基于內容的檢索功能，能夠實現根據泄漏數據精準倒查泄漏源頭。

4 探索應用新模式

基于新的移動警務應用支撐環境，遷移或新建了部分典型應用。在遷移（建設）過程中，不斷完善了支撐服務，使平臺中各項服務在實踐中得到了檢驗；另一方面，也通過這些典型應用對遷移已有應用和新建應用的應用建設模式進行了探索，積累了寶貴經驗。

一是建設綜合性的“八桂警信”應用，滿足民警迫切需要的業務協作和信息交流的需求。該應用為覆蓋Ⅰ、Ⅱ、Ⅲ類應用的即時通訊平臺，同時為民、輔警及協防人員提供安全、即時、可靠的交流平臺。解決了當前基層單位大量使用微信、釘釘等互聯網工具進行行政管理、業務協作、消息通訊等可能造成的泄露警務秘密的重大問題。此系統使用支撐環境中的統一認證、數據交換等基礎服務，在保證安全的前提下，快速完成了系統改造和部署，目前已經進入試用階段。

二是基于新一代移動警務Ⅱ類應用改造指揮調度系統。原移動警務建設的指揮調度系統，因網絡架構限制，在實際使用過程中，頻現定位慢、精度低、地圖質量差、不能很好地利用視頻資源、穩定性差等問題，在實戰應用中作用有限。按照Ⅱ類應用系統改造后，利用支撐環境提供的移動定位、消息推送、數據交換等基礎服務，解決了地圖定位、交互及時性、穩定性等問題，極大地提高了系統服務能力，及易用性，能夠更好的服務于公安實戰。

通過廣西新一代公安移動警務平臺一期的建設落地和典型應用的建設，初步構建了多區域融合的基礎平臺框架和統一的應用支撐服務框架，構建了廣西新一代移動警務應用支撐體系，為各類移動應用提供了統一的支撐管理服務，驗證了新一代移動警務建設方案的可行性，為下一步移動警務發展和移動應用推廣建設打下了良好基礎?！?/p>