移動辦公平臺架構設計

■ 青島 于延菊

信息技術的進步和智能終端的普及為人們利用碎片化時間進行移動辦公提供了良好的基礎條件。越來越多的企業IT應用建設正在向移動辦公設備遷移，將現有IT系統延伸到移動終端上。因此，搭建企業移動辦公平臺，為員工提供便捷的辦公渠道，創新工作方式，拓展工作空間，具有重要的現實意義。

結合企業業務實際和信息平臺建設的一般規律，現從兼容性、可擴展性、便捷性、安全性及經濟性5個方面提出移動平臺的建設需求如下：

1.移動辦公平臺需要具有兼容性。

2.移動辦公平臺需要具有可擴展性。

3.移動辦公平臺需要具有統一用戶認證功能，在移動智能終端一次登錄，即可訪問移動辦公平臺集成的各應用系統。

4.移動辦公平臺需要具有較高的安全性。

5.移動辦公平臺主要為企業員工在非內網辦公環境時，利用碎片化時間辦理業務流程審批流轉及文件瀏覽提供便利，系統建設經濟適用即可。

設計思路

一般的業務應用系統核心關注點在于通過信息系統來實現某一類業務線條流程和業務過程的管理，如合同系統主要是完成從合同準備到合同歸檔的全生命周期管理，公文系統主要用于各類公文的線上審批流轉。而移動辦公平臺與一般的業務應用系統截然不同，它是各類業務系統在智能終端的延伸。這些業務系統采用的技術框架、軟硬件平臺、數據結構和交互模式各不相同。移動辦公平臺的設計思路要圍繞與這些異構系統的集成展開。

業界中解決異構系統集成的主流方案是企業應用集成（Enterprise Application Integration，EAI）。具體實現方法比較多，目前應用比較廣泛和成熟的是面向服務架構（Service-Oriented Architecture，SOA）。SOA是一種面向服務的一種分布式軟件架構，是將軟件設計成一組可互操作的服務的一套原則或方法論。通過特定的數據格式集成一些服務完成系統構建，相比面向過程和面向對象而言，面向服務架構是粒度最大的。SOA體系架構是一種粗粒度、開放式、松耦合的服務結構，強調服務共享和重用，要求軟件產品在開發過程中，按照相關的標準或協議，進行分層開發。

Web Service技術，不僅是SOA模式的主要實現技術，而且是建立在獨立平臺的協議和開放標準基礎上的企業應用集成技術，它對操作系統、開發框架、服務器與數據庫等沒有任何限制，可動態查詢、發現并調用的所需的服務。因此在本文中選用Web Service來實現移動辦公平臺與第三方應用系統的集成，一方面解決軟件上跨框架、跨平臺的難題，另一方面滿足了可擴展性和靈活性的需求。服務器虛擬化技術實現了硬件的可擴展性及可配置性，虛擬機可以方便地遷移、備份、資源優化調整，選擇在虛擬機環境中構建移動辦公平臺，規避了物理服務器的種種弊端。

為此，移動辦公平臺整體架構按照SOA體系構建，與第三方應用系統的集成采用Web Service技術，操作系統運行環境基于虛擬機搭建，確保了移動辦公平臺的可擴展性和靈活性，并降低了系統的建設成本和運維成本。

關鍵技術

1.Web Service技術

Web Service是一個平臺獨立的、低耦合的、自包含的、基于可編程的Web的應用程序，可使用開放的XML（標準通用標記語言下的一個子集）標準來描述、發布、發現、協調和配置這些應用程序，用于開發分布式的互操作的應用程序。

當客戶端調用一個Web Service的方法時，首先將方法名稱和需要傳遞的參數包裝成XML，也就是SOAP包，通過HTTP協議傳遞到服務器端，然后服務器端解析這段XML，得到被調用的方法名稱和傳遞過來的參數，進而調用Web Service相應的方法，方法執行完畢后，將返回結果再次包裝為XML，也就是SOAP響應，發送到客戶端，最后客戶端解析這段XML，最終得到返回結果。

Web Service具有以下幾個顯著特征：

（1）跨平臺和跨語言；

（2）松耦合；

（3）基于開放標準。

2.服務器虛擬化技術

服務器虛擬化是將服務器物理資源抽象成邏輯資源，使物理服務器虛擬化成諸多相互隔離虛擬服務器，使物理上的CPU、內存、磁盤、I/O等硬件變成可以動態管理的“資源池”，從而提高資源利用率，簡化系統管理，實現服務器整合。

目前市場上主流的虛擬化產品有：VMware vSphere、Microsoft Hyper-V、Citrix XenServer。從國際市場占有率來看，VMware在服務器虛擬化方面占有主導地位。

vSphere是VMware推出的基于云計算的新一代數據中心虛擬化平臺，提供了虛擬化基礎架構、高可用性、集中管理、監控等一整套解決方案。VMware vSphere虛擬化打破了物理硬件與操作系統及其在其上運行的應用程序直接的硬性連接。操作系統和應用程序在vSphere虛擬機中實現虛擬化之后，便不再因資源位于單臺物理服務器中而受到種種束縛。

支持虛擬機的基礎架構至少包含兩個軟件層：虛擬化層和管理層。在vSphere中，對應的是兩個核心組件：ESXi和vCenter Server。

ESXi提供虛擬化功能，用于將主機硬件作為一組標準化資源進行聚合并將其提供給虛擬機，創建和運行虛擬機、虛擬設備。

vCenter Server服務用于管理網絡和資源池中連接的多個主機。vCenter Server可用于將多個主機的資源加入池中并管理這些資源，可以有效監控和管理物理及虛擬基礎架構，管理虛擬機的資源，配置虛擬機，調度任務，收集統計信息日志，創建模板等。

vCenter Server還提供了vSphere vMotion（虛擬機主機遷移）、vSphere Storage vMotion（虛 擬機存儲遷移）、vSphere Distributed Resource Scheduler (DRS動態資源分配)、vSphere High Availability（HA高可用）和vSphere Fault Toleranc e（容錯）。

本文中采用VMware vSphere虛擬機作為企業移動辦公平臺的服務器，主要是要利用上述服務，實現移動辦公平臺的高效自動化資源管理及高可用性。

圖1 移動辦公平臺功能架構示意圖

圖2 移動辦公平臺技術架構邏輯圖

架構設計

1.業務功能架構

移動辦公平臺功能建設分三個部分：終端訪問、業務功能、后臺管理。終端訪問的類型包括iOS、Android智能終端及PC端。業務功能主要是實現第三方業務系統，如合同、公文、BPM等業務系統的移動審批。后臺管理包括設備管理、用戶管理、應用管理及相關接口配置。三部分功能相輔相成，完成移動辦公平臺數據的全過程管理。移動辦公平臺功能架構如圖1所示。

2.移動辦公平臺技術架構

基于VMware vSphere 6.0虛擬機環境安裝Windows Server 2012 R2，搭建基礎的系統層面。利用SQL Server 2012構建管理數據存儲層，基于IIS和Visual Studio的開發平臺構建管理平臺，應用管理員利用PC端瀏覽器來進行管理。

為保證應用體驗移動辦公平臺前端采用原生態的開發模式。采用Native APP的開發模式，需要針對Android、iOS不同的移動終端操作系統采用不同的開發語言和框架進行開發。iOS的前端利用Object C進行開發，Android利用Java技術進行開發。

圖2為移動辦公平臺技術架構邏輯圖。移動辦公平臺后端借鑒SOA的架構，采用四層結構，將數據管理層、業務邏輯層、服務管理層、用戶交互層分開進行設計，并將用戶、權限等安全管理、系統管理、操作記錄與消息通信過程等貫穿始終。

數據管理層實現對數據庫服務器的讀寫操作；

業務邏輯層處理業務邏輯，提供工作流引擎、業務組件、業務實體等業務邏輯處理的基本服務；

服務管理層在業務邏輯層的基礎上，提供服務組合與發布，服務接受和服務代理等功能，服務組合與發布是在現有的基礎服務，通過組合和排列形成新的服務對外提供；

服務提取通過將系統中的細粒度的接口邏輯以服務的方式提取出來，如針對某項業務的讀寫服務等；服務代理則將外部的數據或服務請求轉交給為內部的服務，調用相關的服務參數，實現對外的服務訪問。

在用戶交互層中對功能的方便快捷訪問，提供了多種展現方式，如瀏覽器用戶、移動終端、以及各種UI組件等。

3.移動辦公平臺集成架構

圖3為移動辦公平臺集成架構。該架構特點主要體現在：

圖3 移動辦公平臺集成架構

（1）統一身份認證

移動辦公平臺用戶認證方式采用統一身份認證，在平臺中只存儲用戶賬號信息，不存儲密碼，用戶在終端輸入賬號、密碼后提交到企業AD域服務器做身份認證，認證成功后，生成認證標志（Ticket），返回給平臺。移動辦公平臺賬號作為主賬號，通過服務器端的應用賬號自動映射，實現集成在移動平臺上的多個應用只需在移動設備上登錄一次即可實現單點登錄,無縫切換。

（2）數據交換采用XML格式

移動辦公平臺與第三方應用系統業務數據集成主要包括：待（已）辦列表、待（已）辦詳細信息展示，審批意見提交等，集成方式采用Web Service接口。

XML是Web服務中數據傳輸的基本格式，它使用Unicode編碼，采用自描述的數據結構，能夠以簡單的文本文檔格式儲存、傳輸、讀取數據。通過使用XML解決了跨不同平臺使用不同應用程序中不同數據格式的問題。在移動客戶端與移動應用服務器之間、移動應用服務器與第三方應用系統之間的數據傳遞采用XML格式，易于技術人員理解和溝通，可提高接口編寫工作的效率。

（3）頁面適配

第三方應用系統的業務數據通過Web Service接口以XML格式傳遞到移動辦公平臺，數據經過轉換后發送到移動終端，移動終端對XML進行解析，展現頁面。

（4）保障數據傳輸安全

移動用戶每次在請求數據時提供身份憑據，移動辦公平臺服務器檢查該身份后，再向第三方應用系統請求數據時同樣也要驗證核實身份憑據。該技術可保障應用系統準確獲得用戶身份，而確保數據不被匿名用戶獲取。

4.移動辦公平臺安全架構

企業辦公平臺服務器部署一般有兩種選擇，一種是部署在企業內網環境中，一種是部署在企業DMZ區。綜合考慮網絡安全防護成本投入、業務數據交互情況，移動辦公平臺選擇部署在企業內網服務器區內。

如圖4移動辦公平臺安全架構所示，移動辦公平臺的系統安全、應用安全、數據安全及傳輸安全設計如下：

（1）系統安全：移動辦公平臺操作系統部署在VMware vSphere虛擬機中，利用VMware的動態遷移、快照、克隆功能，同時通過殺毒軟件安裝、安全基線配置與服務器主機安全加固相結合，保障了移動辦公平臺運行環境的安全。服務器運維人員通過AD認證后，登錄堡壘機進行移動辦公平臺服務器運維，整個系統運維過程可追溯審計。

圖4 移動辦公平臺安全架構

（2）應用安全：移動辦公平臺采用統一身份認證，與第三方應用系統做單點登錄集成；用戶授權基于角色設計；移動用戶賬號與智能終端設備號綁定，智能終端設備若丟失，可以解除移動用戶與設備的綁定。

（3）數據安全：利用SQL Server 2012的透明數據加密技術，對數據庫文件、數據庫備份文件進行加密，即使數據庫文件被拷貝或者備份文件被移走恢復，都無法打開或查看文件里的數據,數據加密SQL命令如下：

use master;

go

create master key encryption by password='******'

--創建數據庫服務器master key，key使用密碼加密

create certificate tsqlcert with subject='tsqlcert_TDE'

--創建服務器證書tsqlcert

（4）傳輸安全：VPN 虛擬專用網絡是一種遠程訪問技術，目的是解決用戶通過互聯網訪問企業內網環境資源，為了保證數據安全，VPN服務器和客戶機之間的通訊數據都進行了加密處理。

智能終端在互聯網環境中，通過VPN接入企業內網，訪問企業移動辦公平臺及第三方應用系統，數據經過加密處理，保障了數據傳輸過程的安全。

總結

本文從兼容性、可擴展性、便捷性、安全性及經濟性五個方面提出企業移動辦公平臺的建設需求，借鑒SOA體系架構，采用Web Service技術集成現有的異構應用系統，基于服務器虛擬化環境構建移動辦公平臺，給出了移動辦公平臺的架構設計，該移動辦公平臺是一種松耦合架構，具有良好的可擴展性。