雙網隔離環境兩級應用移動平臺的設計與優化①

鈕 卿

(神華國能集團有限公司,北京 100033)

隨著4G和無線網絡的普及,移動應用技術得到了長足發展和廣泛應用,智能移動終端也日趨普及,互聯網與實體經濟融合不斷加深,各行各業的辦公模式也在發生深刻的變化[1-4].雙網隔離環境下的傳統發電企業管理信息系統由于受限于辦公地點和信息內網,只能通過內網辦公電腦進行訪問,這使得員工一旦出差或離開工位就無法方便地處理日常工作.通過建設移動應用系統,使公司員工可以通過移動終端隨時隨地開展業務,可以有效提高企業日常事務和生產運營管理的方便性及工作效率[5-7].

近年,某發電集團在雙網隔離環境下建成了模塊化的統一移動平臺,標準功能以集團總部應用為主,部分通用功能基層單位也可以使用.隨著基層單位本地個性化業務需求的不斷涌現,部分單位可將本地應用模塊發布至集團公司移動平臺,但是存在以下問題: 由于系統沒有專門針對兩級應用進行優化,因此無法較完整地支持兩級應用,影響系統使用體驗,增加新模塊建設難度和系統運維難度.

為充分發揮基層單位積極性,有必要建立統一標準并能夠柔性適應各單位本地業務需求的集團級移動平臺.目前相關研究報道尚少,本文針對以上問題,基于4G和Wi-Fi無線網絡、Hybrid移動開發技術、Nginx反向代理技術、SSL VPN、安全隔離網閘等相關技術的應用,對移動平臺整體架構的完善、身份認證、接口服務和網絡環境無縫切換等方面關鍵機制的設計與優化進行了探討.

1 移動平臺架構設計與優化

1.1 技術路線

為支持兩級應用,按照移動門戶模式建設移動平臺,主要包括以下幾個主要部分: 移動應用(Application,APP)、移動代理服務平臺(Mobile Agent Server,MAS)、企業移動管理平臺(Enterprise Mobile Management,EMM).

與傳統的移動應用部署方式相比,移動門戶可以為用戶提供統一的企業移動應用安全入口.移動門戶內部采用模塊化的業務應用管理模式,所有業務功能作為移動門戶的子模塊,根據權限和用戶需求下載使用,避免安裝多個移動應用.對于雙網隔離下兩級應用的移動平臺,移動門戶模式更能夠提高用戶體驗,降低維護難度.

同時,移動門戶將技術類需求和業務類需求的實現分離,有利于移動應用建設管理.移動應用的整體框架和通用功能在建設移動門戶時統一設計,并向各業務模塊提供通用的技術類服務.新開發業務應用模塊時只需要將重心放在業務功能的實現上.

1.1.1 移動門戶APP

移動應用采用Hybrid模式構建,能夠較大程度兼容不同品牌移動終端設備和操作系統,開發人員不需要精通多種移動操作系統的復雜開發技術,遇到無法統一的技術差異時也只需分別開發不同平臺的插件作為補充,從而使得主要精力專注于功能和業務實現.通過Hybrid模式構建企業移動門戶,已經成為企業移動信息化的一種主流選擇[3,4].Hybrid開發模型如圖1所示.

Hybrid開發模型綜合了Web App和Native App兩種移動開發模式的優點,使用HTML5技術構建用戶界面,并具有訪問設備的原生功能.

圖1 Hybrid App開發模型示意圖

本文使用成熟的Hybrid移動應用開發和打包引擎,開發時前端以Html5+javascript為主,基本實現一次開發,多平臺版本APP打包.

采用VPN(Virtual Private Network,虛擬專用網絡)和SDK(Software Development Kit,軟件開發工具包)提供的接口方式,在開發過程中實現VPN客戶端與移動門戶APP的一體化集成,為移動門戶APP提供專屬的SSL(Security Socket Layer,安全套接層)VPN通道[5].

1.1.2 移動代理服務平臺(MAS)

采用Node.js技術構建移動代理服務平臺,為移動端使用企業內部應用系統、數據庫等資源提供包含數據處理邏輯的代理接口,優化任務并行處理,避免阻塞操作,同時可以使得MAS接口的開發語言與移動應用前端保持一致,降低系統建設與維護難度[3,4].

對于新開發系統,要求在建設時預留移動化業務接口.對于現有業務系統,為了在盡可能不修改系統的情況下實現移動化,在對接時一般采用Web適配技術.

移動平臺與業務應用系統集成關系如圖2所示.App調用MAS接口時,后者會相應調用業務應用系統的業務接口,MAS將返回的數據解析后,交由移動門戶App進行展現.

1.1.3 企業移動管理平臺(EMM)

使用支持集團級應用的成熟企業移動管理平臺,為企業提供對用戶、設備、應用的準入與綜合管理服務,并在此基礎上實現企業應用商店、移動接入控制、移動運行監控等關鍵功能.移動管理平臺應具備二次開發、集成業務管理后臺、擴展服務的能力,保障移動管理體系的完善和全面.

圖2 系統集成示意圖

為支持兩級應用,應支持建立多級組織機構、多級管理權限、用戶多組織機構授權.集團公司管理員可以管理集團總部及各單位的用戶、設備與應用模塊,基層單位管理員可以管理本單位的用戶、設備與應用模塊.

1.2 系統物理架構的升級

系統主要由MAS服務器、EMM服務器、文檔轉換服務器、反向代理服務器、安全隔離網閘、SSL VPN、移動終端等關鍵節點組成[5-17],網絡接入方式主要包括移動網絡接入和Wi-Fi接入,如圖3.

在集團側,MAS服務器部署在集團內網核心業務區,對內與集團業務服務器對接,對外與移動終端、EMM服務器對接;EMM服務器部署在集團外網DMZ區,對內與MAS服務器對接,對外與移動終端對接.通過DMZ區的反向代理服務器發布對外服務.

圖3 網絡架構示意圖

為解決基層單位無法在本地使用的問題,各基層單位通過廠內局域網為移動平臺提供新的接入通道.在雙網隔離環境下,應部署安全隔離網閘和廠級MAS服務器.MAS服務器部署在內網核心業務區,對內與本地業務服務器對接,對外與移動終端對接.在集團和基層單位,通過對安全隔離網閘、SSL VPN等進行設置,確保只能訪問到內網的反向代理服務器.

網絡線路升級后,共有2+N條入口線路:

集團線路1: 移動終端通過集團辦公Wi-Fi接入,可直接訪問集團和各單位的MAS服務在集團側反向代理服務器映射到安全隔離網閘DMZ區的地址.

集團線路2: 移動終端通過移動網絡或其他Wi-Fi的互聯網接入集團側.

(1)EMM服務器均通過反向代理服務器代理.

(2)接入VPN后,訪問集團和各單位MAS的反向代理服務器映射到安全隔離網閘DMZ區的地址.

各基層單位線路N: 移動終端通過廠內LTE或Wi-Fi接入,可直接訪問集團和各單位MAS的反向代理服務器映射到安全隔離網閘廠內局域網側的地址.

1.3 系統應用架構

系統應用架構包括提供基礎服務的通用功能模塊和業務功能模塊[5-10],如圖4.

圖4 應用架構示意圖

基礎功能模塊包括: 移動門戶、VPN連接、身份認證、智能診斷、推送服務、應用商店等.

業務功能模塊包括: 集團統一建設模塊例如生產經營、環保監督、協同辦公、統一待辦、通知公告、生產管理、通訊錄等.基層單位包括例如移動點巡檢、到崗到位、生產監控信息等.

1.4 系統安全架構

系統安全架構應從網絡、應用、數據、終端等多方面進行設計,形成完整的安全防護體系[11-16].

(1)網絡安全: 通過SSL VPN建立安全網絡接入通道,采用WPA2-PSK(AES)加密算法管理設備接入辦公Wi-Fi,并做設備準入控制.通過安全隔離網閘、VPN等設置最小訪問范圍.

(2)應用安全: 通過反向代理設置最小服務訪問范圍.采用多重身份認證機制,設置設備白名單并進行綁定.采用應用級SSL加密.密碼設置防窮舉攻擊機制.采用系統用戶停用機制.可根據需要將用戶鎖定.對用戶操作進行詳細的記錄.

(3)數據安全: 按照最小緩存策略設計,內部文件以加密圖片形式傳輸并自動清理緩存.用戶名、密碼均加密存儲.應用傳輸時數據使用高強度算法加密.

(4)終端安全: 移動終端設置例如開機密碼、鎖定屏幕等機制,防止手機終端被盜用帶來的隱患.安裝安全防護軟件,減少病毒威脅,阻止越權訪問,并實現重要數據的遠程擦除功能.

2 移動平臺兩級應用優化研討

為了滿足對基層單位個性化業務的完整支持,既統一標準又能夠柔性適應各單位本地業務需求,保證廣域網中斷的情況下還能夠部分使用業務,移動平臺升級為多網絡入口,也相應增加了技術復雜性.為實現不同網絡環境下的無縫切換,移動平臺的兩級應用按照以下原則進行優化:

(1)用戶無論屬于集團總部還是基層單位,都可以使用具有權限的業務功能.

(2)移動端無論處于集團總部、基層單位還是其他網絡位置,都能夠以最佳方式正確訪問具有權限的業務功能.

(3)自動判斷當前網絡環境,采用適用的方式保證系統的持續訪問.

本文從身份認證、接口服務、網絡環境無縫切換等方面對兩級應用優化進行討論.

2.1 身份認證的優化

身份認證主要包括以下兩類: 集團公司業務和部分基層業務接入的集團的統一身份認證,其他基層單位業務采用的本地認證.按照以上原則,身份認證需要做以下優化:

(1)初始化身份認證: 在首次使用移動門戶APP時,應通過集團入口進行認證.建立VPN通道后,使用集團統一身份認證帳號進行認證,由集團MAS提供身份認證接口.如果認證成功,則在EMM中將此移動設備加入白名單,并綁定身份,以后啟動移動門戶APP時只需定期更新集團統一身份認證信息,但不需要頻繁輸入.移動端相應增加保護密碼,例如文本密碼、手勢密碼或指紋密碼等.

(2)日常身份認證: 無論用戶的網絡狀態如何,客戶端都會在后臺向集團MAS接口發起統一身份認證.如果通過認證,則可使用全部集成到集團的業務模塊.對于基層單位本地在線業務模塊,則另行通過本地MAS進行身份認證.對于需要離線使用的模塊,在該模塊每次認證成功后,允許免登錄使用,待下次聯網使用時,再次進行身份認證,通過認證后同步業務數據.如移動門戶APP啟動時由于網絡原因未完成某類型的身份認證,則對應的模塊不可用,當網絡狀態發生改變時,移動門戶APP會再次發起身份認證,通過認證后自動點亮相關模塊.

2.2 接口服務的優化

為實現不同網絡環境下移動接口服務的最大可用性,方便使用和維護,按照以下思路優化部署移動接口服務:

(1)分別通過各單位MAS服務處理本單位側業務,即: 集團MAS為接入集團統一身份認證的所有系統提供業務處理接口;基層單位MAS為其他本地業務系統提供業務處理接口.這樣,若發生例如廣域網中斷的情況,基層單位用戶可以通過本地線路使用本地業務功能,通過集團線路2使用已接入集團的業務功能.

(2)每個網絡線路上內網的反向代理服務器均發布集團和基層單位MAS的服務,即: 集團反向側代理服務器將集團MAS和各基層單位MAS的業務接口全部進行代理,各單位反向代理服務器將集團MAS和本單位MAS的業務接口進行代理.這樣,只要基層用戶的移動終端能夠接入本單位線路或集團線路中的任何一條,都可以使用該用戶具有權限的全部業務功能.

反向代理技術是由代理服務器作為應用服務的前置機,接收用戶的訪問請求并轉發到相應的應用服務器,再將應用服務器的響應結果返回給用戶,反向代理過程對于用戶是無感知的.相比較于其他常用的反向代理服務軟件,Nginx是一款輕量級的產品,其內存占用少,業務擴展性強,并發能力強,具有很高的可靠性和穩定性,可支持企業移動平臺所使用的HTTP和HTTPS協議,適用于企業級中小型應用,在同類型的反向代理服務軟件中表現較好[17].

本文中集團側將Nginx反向代理服務器分別部署在DMZ區(NginxG1)、內網區(NginxG2).每個基層單位在本單位內網區部署一臺Nginx反向代理服務器(用NginxN代表).通過配置MAS服務代理,并提供統一的域名HOSTmas,無論用戶處于集團網絡還是廠級網絡,都可根據移動端不同的業務請求轉發至不同的MAS服務端,便于系統開發和維護.

2.2.1 集團接口服務的代理

集團接口服務的代理如圖5所示.

(1)集團MAS服務器MasG內網地址為IPmG,對外提供業務接口、推送消息接口、管理后臺三項服務.

(2)集團反向代理NginxG2地址為IPnG2,在NginxG2上配置MasG的代理訪問至IPmG.對MAS管理后臺URL進行過濾,只對外提供業務接口、推送消息接口兩項服務.

(3)廠級反向代理NginxN地址為IPnN,在NginxN上配置NginxG2的代理訪問至IPnG2,將集團業務接口發布至NginxN.

(4)安全隔離網閘GapG的DMZ端地址為IPgG,在GapG上配置將內網NginxG2地址映射為DMZ端地址IPgG和端口PORTmas,將MAS提供的對外服務發布至外網DMZ區.

(5)在外網DMZ區域名服務器和VPN移動應用環境配置中,將域名HOSTmas指向GapG的DMZ端地址IPgG.確保通過辦公Wi-Fi或VPN接入的終端使用統一的域名訪問MAS服務.

(6)反向代理NginxG1地址IPnG1,在NginxG1上配置MAS代理訪問至IPgG,代理推送接口.

(7)將互聯網域名HOSTapp指向外網防火墻FWG的互聯網地址IPfG,在FWG中配置將NginxG1綁定域名HOSTapp.

(8)配置NginxG1,對MAS業務接口URL進行過濾,只允許通過域名HOSTapp訪問MAS服務接口,只對外推送消息接口一項服務.

(9)EMM的配置同理,將自動升級、設備管理接口發布至互聯網.

圖5 集團接口服務代理示意圖

2.2.2 廠級接口服務的代理

廠級接口服務的代理如圖6所示.

(1)廠級MAS服務器MasN內網地址為IPmN,對外提供業務接口、管理后臺兩項服務.

(2)廠級反向代理NginxN地址為IPnN.在NginxN上配置MasN的代理訪問至IPmN,代理廠級業務接口.

(3)在NginxG2上配置NginxN的代理訪問至IPnN,代理來自于NginxN的廠級業務接口.對于多家基層單位,以此方法分別配置廠級業務接口的代理.

(4)廠級安全隔離網閘GapN的DMZ端地址為IPgN,在GapN上配置將內網NginxN地址映射為外部地址IPgN和端口PORTmas.將MAS服務DMZ區域名HOSTmas指向GapN的DMZ端地址IPgN.

2.3 網絡環境無縫切換的優化

用戶無論處于移動網絡、外部Wi-Fi還是辦公Wi-Fi,在改變所處網絡環境后,系統都能夠在新環境中自動連接,實現用戶基本無感知的無縫切換.

(1)配置辦公Wi-Fi列表: 在EMM服務上維護各單位適用的辦公Wi-Fi列表.移動門戶APP完成用戶綁定后,根據用戶所在單位下載相應的辦公Wi-Fi列表,每次接入EMM服務認證時,檢測是否有新版本的辦公Wi-Fi列表,如有則進行更新,確保辦公Wi-Fi列表處于最新狀態.

(2)網絡狀態切換時的處理策略: 當移動端接入網絡狀態切換后,若未處于辦公Wi-Fi下,則自動嘗試通過互聯網(集團線路1)建立至集團VPN的安全通道;若處于辦公Wi-Fi列表所包含名稱的網絡中,則訪問域名為HOSTmas的服務端,判斷是否為辦公Wi-Fi.若能夠訪問域名為HOSTmas的服務端,則處于辦公Wi-Fi,可正常開展業務;若不能訪問,則在下次網絡狀態切換之前,都認為移動端處于非辦公Wi-Fi下,標記該狀態并自動嘗試通過互聯網建立集團VPN安全通道.此時,只要移動端能夠訪問互聯網,或處于企業內部辦公Wi-Fi網絡中,都能夠訪問域名為HOSTmas的服務端,并通過當前線路的代理服務與MAS對接;由于不同的MAS服務各司其職,反向代理服務只是轉發數據,不另外生成會話,所以網絡切換后,即使切換了代理服務也不會影響MAS的會話狀態,從而實現業務的無縫切換.

圖6 兩級接口服務代理示意圖

3 結語

本文在某發電集團企業的移動平臺現狀基礎上進一步研究,設計了雙網隔離環境下支持兩級應用的集團級移動平臺,通過網絡架構升級,以及對身份認證、接口服務和網絡環境無縫切換的優化,解決了系統兩級應用的問題,并進行了部分應用實踐,方案具有可行性,為雙網隔離環境的集團企業建設移動平臺提供了一定的參考.