(移动OA)EMASS白皮书V3 - 图文

更新时间：2024-03-22 17:08:01 阅读量：综合文库文档下载

说明：文章内容仅供预览，部分内容可能不全。下载后的文档，内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的，是否完整无缺。

(移动联通电信)三星w2019推荐度：
相关推荐

利用镜像技术实现的移动应用发布平台

EMASS移动应用安全发布系统

掌上办公平台

福州星讯移动通信有限公司

2009年12月

移动应用发展状况 ............................................................................. 3

2 EMASS系统技术实现 ......................................................................... 3

2.1 EMASS概述 .............................................................................. 3 2.2

功能结构 ................................................................................. 4 2.2.1 IT资源向手机终端发布 ...................................................... 4 2.2.2 架构安全弥补手机终端的安全风险 .................................... 5 2.3

技术实现 ................................................................................. 6 2.3.1 镜像技术 ........................................................................... 6 2.3.2 屏幕图像处理技术 ............................................................. 8 2.3.3 虚拟通道技术 .................................................................. 11 2.3.4 手机屏幕适配的技术实现 ................................................ 12 2.3.5 用户行为的监控和审计 ................................................... 14 2.3.6 用户帐户的集中 .............................................................. 14 2.3.7 用户的授权 ..................................................................... 14 2.3.8 本地附接外设 .................................................................. 14 2.3.9 打印 ................................................................................ 14 2.3.10 平台性能管理 ................................................................ 15 2.4 3

部署方式 ............................................................................... 15

安全设计 ......................................................................................... 16 3.1 3.2 3.3 3.4 3.5 3.6 3.7

安全理念 ............................................................................... 16 系统架构设计 ........................................................................ 16 网络控制 ............................................................................... 18 用户和终端控制 ..................................................................... 19 数据和代码控制 ..................................................................... 20 业务控制 ............................................................................... 21 精简设计 ............................................................................... 21

3.8 3.9 3.10

系统物理拓扑图 ..................................................................... 22 应用软件的部署 ..................................................................... 23 系统配置说明 ........................................................................ 24

4 EMASS系统的应用 ........................................................................... 24 5

与企业的业务共同成长 ................................................................... 26 5.1

业务系统的移动化 ................................................................. 26

5.2 M2P应用系统的移动化 ............................................................ 27 5.3 5.4 6

与M2M应用系统的结合 ....................................................... 28 与业务系统共同成长 .............................................................. 30

技术背景 ......................................................................................... 31 6.1

当前主流技术介绍 ................................................................. 31

6.2 WAP技术分析 .......................................................................... 32

6.2.1 通过WAP技术向手机终端发布应用系统 ........................ 33 6.2.2 WAP的组成 .................................................................... 35 6.2.3 WAP的层次结构组成 ...................................................... 36 6.3 WAP缺陷分析 .......................................................................... 38 7 EMASS优势分析 ............................................................................... 40 8 9 10

手机终端技术要求 ........................................................................... 43 部署说明 ......................................................................................... 44 厦门海洋与渔业局移动OA ............................................................. 44

1 移动应用发展状况

移动通信技术是信息技术领域的一颗璀璨的明星。它使人们可以在任何时间、任何地点方便地与他人进行交流。由于它给人们的工作和生活带来了极大的便利，人们对移动性的需求日益增长，全球的移动通信业正在突飞猛进地向前发展。

随着时代的进步，人们对通信的移动性和信息的需求性急剧上升，越来越多的人希望在移动的过程中高速地接入互联网，获取急需的信息，完成想做的事情。于是，互联网技术与移动通信技术相结合的“移动互联网”技术应运而生。移动互联网的出现使不仅可以使人们可以随时随地建立联系，还能随时随地获取信息。它的出现必将再次深刻地改变人们的工作和生活方式，成为人们生活中不可或缺的一部分。

然而，由于移动通信网络和互联网络的差异性，目前要实现手机终端随时随地获取信息，就必须使用一定的技术手段，将目前固网上的IT应用系统进行“移动化”改造或移植，使之成为“移动应用”，并通过网络发布到手机终端上。只有这样，手机终端才能够从这些移动应用中获取信息。

目前已经出现了短信、彩信、WAP、PUSH Mail等技术，可以实现IT应用的移动化，向手机终端发布数据或应用系统。但由于当前手机终端和移动通信网络的功能和性能等方面限制，这些技术在实现过程中还存在着明显的缺陷，IT应用系统还难以方便、高效、完整地移植成为移动应用。

2 EMASS系统技术实现

2.1 EMASS概述

EMASS是一个移动应用发布平台，中文名称为“迅安”。它能够将各类IT应用系统，方便地发布到手机终端上。

EMASS是在IT应用系统和手机终端之间增加的一个“中间层”。 EMASS利用镜像技术，将应用系统的客户端和数据，完全部署在EMASS平台上运行和处理，仅把应用运行的界面，以屏幕刷新的方式，传送给手机终端，

而手机终端也仅向平台发送键盘鼠标信息。

利用EMASS平台，绝大多数IT应用系统可以无损、零开发地移植成为移动应用并发布到手机上，并在低带宽、低硬件能力的手机环境上高效运行，同时加强了安全性。

EMASS移动应用发布平台适用于全部IT应用系统的发布，无论是C/S架构、B/S架构、甚至是单机版的应用系统。

2.2 功能结构

2.2.1 IT资源向手机终端发布

这里的IT资源指IT应用系统和在IT环境中存储的数据。

EMASS是一个移动应用发布平台，同时它也能发布IT数据。它能够将各类IT资源，方便地发布到手机终端上。而且，由于EMASS基于镜像技术，可以解决目前WAP技术所不能解决的功能和性能问题：

? 利用镜像技术，将比较繁重的应用客户端计算任务安排在EMASS移动

应用发布平台上，手机终端只负责执行屏幕显示和键盘输入等轻微任务，以适应目前手机终端性能较低、功能较少的现实；

? 利用镜像技术，手机终端和EMASS平台之间只有屏幕刷新和键盘鼠标

信息在传输，带宽需求非常小，网络延时和稳定性要求很低，适应了目

前GSM、GPRS、CDMA等移动通信网络质量不高的现实；

? 由于应用界面是原封不动地传送给手机终端的，应用的功能不会损失； ? 利用镜像技术，决定了EMASS可以适用于绝大多数IT应用，可以对

现有应用系统进行无损的、零开发的手机移植。

2.2.2 架构安全弥补手机终端的安全风险

手机终端是一种难以管理控制的终端，其使用环境复杂多样，因此，许多比较敏感的应用，在向手机终端发布的时候，都有一些顾虑。

而EMASS提供了一个集中可控的、以安全为出发点的移动应用发布平台，透明化了相关制度的制定过程，使IT管理人员能更有效地控制应用程序向手机终端的部署和安全，同时还降低了总的法规遵循成本。

EMASS是以安全为出发点进行设计的，这表示全面的安全性已经内置其中，无需另外增加。EMASS使应用和数据保留在防火墙后面的服务器上，而不是暴露在手机终端上，即没有真正的业务数据会传送到手机上，这极大地加强了整个体系的安全性。EMASS平台和手机终端之间的小数据量传输也进行了加密。并且，IT人员能够基于用户角色集中控制接入。

EMASS使企业的IT管理员能够基于职务、位置和其它因素对应用使用、数据接入、文件传输以及其它行为进行策略驱动的集中化控制。进一步增强了手

机应用的安全性。

EMASS平台自身的这些安全特性，可以弥补手机这种低安全性终端接入给应用系统和数据带来的安全风险。

2.3 技术实现

2.3.1 镜像技术

当前IT基础架构的迅猛增长，而硬件部署模式又进一步加剧了基础架构的复杂程度。应用业越来越多，也越来越复杂，更加难以管理、更新和维护。而用户希望能采用各种桌面设备、笔记本电脑、家用PC和移动设备在任何环境下进行工作。

EMASS移动应用发布平台，是利用镜像技术，将IT应用系统发布到手机终端上，从而实现移动应用，的一个IT应用系统发布平台。其核心思想是，将应用系统尽可能完整地从手机终端中分离出来。

首先，要实现手机终端与应用系统的互动，但不用将应用系统真正地安装在用户的手机终端上。换句话说，就是界面抽象化，不在本地设备上安装和使用软件，而在EMASS平台上部署软件。

然后，再通过网络连接方式，EMASS平台可让手机终端用户接入单个应用“会话”。该“会话”仅将应用界面变化部分经网络返回给手机终端设备，然后手机终端设备又会将鼠标控制和键盘敲击数据传输到“会话”中。无缝的应用界面传递可带给用户更直观的感受。

在EMASS平台上，它的具体技术实现如下：

? 被发布的应用系统的客户端只安装在EMASS平台上，所有应用计算都

在EMASS平台上进行。手机终端上只安装一个通用的虚拟代理。因此，解决了手机终端性能低下的问题；

? 被发布的应用系统需要满足多个手机终端对平台的并发访问，因此，

EMASS平台的软件系统具有支持多用户的能力；

? 平台服务器的硬件架构和操作系统，也是可以支持多用户的系统。目前

主流服务器和操作系统都可以做到。由于应用客户端一般运行在Windows操作系统之上，因此，EMASS平台服务器通常使用X86架构的PC Server，操作系统通常选择Windows 2000/2003的服务器版本； ? 对于不常见的Unix客户端，EMASS平台软件系统也可以运行在小型机

和Unix操作系统之上，可以发布Unix为客户端的应用系统； ? 目前，大多数应用系统的客户端都可以支持多用户，可以正常运行在

EMASS平台上。对于一些不支持多用户的客户端，或相互冲突的客户端，EMASS平台可以使用“隔离技术”，对此客户端的每个instance分配一个完全封闭的运行环境，使其可以在同一台服务器上运行并发的多instance。

2.3.2 屏幕图像处理技术

EMASS移动应用发布平台上运行了应用系统的客户端，平台必须能够将应用客户端运行中产生屏幕输出进行采集和处理。

EMASS平台采用了“输出重定向”技术，将应用客户端产生的屏幕输出，重定向到系统中预先分配好的一块“伪显示内存”中。这块伪显示内存对每个并发用户单独分配一份，互不干涉。平台以不大于50毫秒的周期，轮询每个并发用户的伪显示内存。

EMASS一旦发现伪显示内存的内容发生变化，说明应用客户端产生了屏幕变化。平台立即调用屏显处理进程，分析出变化的部分，对其进行结构化处理，使手机终端能够正确解析，然后进行压缩处理，最后将结果数据发送给虚拟通道守护进程，向手机终端发送。

由于发布平台采用了屏幕刷新技术，使对无线网络带宽需求大大减少，而且对于大多数应用，带宽需求都相差很小。因此，手机用户的体验比其他技术好的多。

同时，在无线网络条件恶劣的情况下，用户还可以降低屏幕显示的图像质量，使网络带宽需求进一步降低。

根据经验，在一般情况下，不同的带宽条件下手机用户体验如下：

带宽（kbps）

用户体验 8

带宽（kbps）用户体验 <0.6 不可用 0.6-1 速度极慢，勉强可用 1-3 速度很慢 3-8 速度较慢 8-15 速度尚可 15-30 宽带体验 30以上局域网体验

测试对比数据打开数据库

文档处理

2.3.3 虚拟通道技术

虚拟通道建立在手机终端和EMASS发布平台之间，是个点到点的逻辑通道，是手机终端与EMASS平台进行信息传输的唯一通道。

虚拟通道是个表示层通道，它支持TCP/IP和IPX网络层协议。一般情况下使用TCP/IP协议。

虚拟通道内部又划分为多个相互隔离的“子隧道”，每个子隧道中传输不同的内容，例如：

? 屏幕刷新 ? 管理信令 ? 音频 ? 视频 ? 打印数据 ? 外围设备数据 ? 文件下载 ? ……

在手机终端用户通过了EMASS移动应用发布平台的认证和授权之后，手机终端上的虚拟代理和EMASS平台上的虚拟通道守护进程，建立和维护虚拟通道，并通过虚拟通道传送数据。

在数据被送入虚拟通道之前，虚拟代理和虚拟通道守护进程还要根据安全设置，对数据进行加密。EMASS发布平台最高可支持128位密钥的常规加密。

2.3.4 手机屏幕适配的技术实现

通常，大多数应用系统都以PC作为默认的客户端设备，而且都默认PC显示器能够支持800×600以上的分辨率。

但是，当这样的应用系统通过EMASS移动应用发布平台发布到手机终端上时，情况就不同了：手机终端的屏幕很小，针对PC设计的应用界面，在手机终端上难以完整显示，只能显示一小部分。

EMASS平台对于这个问题，采用两个方案来进行手机屏幕适配：

? 滑动块技术。手机屏幕仍然只能显示整个应用显示界面的一部分。在手

机屏幕上设置一个滑动块，用户可以前后左右拖动滑动块来显示应用界面的各个部分。如下图所示：

滑动块

? 内容适配技术。EMASS发布平台可以根据手机的屏幕情况，在一定的

人工干预下，对所发布的内容进行版面调整，使页面适合于手机终端显示。效果如下图：

2.3.5 用户行为的监控和审计

对于手机用户在EMASS平台上、在每个应用中的所有操作，EMASS都可以进行原始场景的记录、监视和录像（需另外购买设备）。并提供丰富的审计手段。

EMASS平台提供对员工IT活动的完整记录和审计。不仅是在平台上的活动，而且包括在每个应用中的操作，都被纳入到记录和审计的范围中。

通过记录和审计，管理员可以搞明白每个用户每时每刻都在做什么。而丰富的审计报表使管理员能够及时发现系统瓶颈、员工操作习惯、以及员工的不当行为。

2.3.6 用户帐户的集中

手机用户的帐号不再分散在各个应用中，而在EMASS平台上进行集中统一的授权和管理。

账号管理集中化IT管理员能够从EMASS平台这个集中点上，控制所有远程用户对对所有企业应用系统的访问。

2.3.7 用户的授权

和帐号集中管理、集中认证一样，手机用户帐户的授权也可以在EMASS平台上集成完成。

集中授权，主要是指在一点，即EMASS平台上，集中对手机用户使用企业应用系统资源的具体权限进行合理分配，实现不同手机用户对应用系统不同部分资源的访问控制。具体来说，就是集中实现对各企业员工能够以什么样的方式访问哪些资源的管理。

2.3.8 本地附接外设

实现了手机终端附接外设与应用系统的互动。本地外设仍然可以为本地手机用户服务，为手机终端用户创造了一个完整的应用环境。

2.3.9 打印

EMASS平台提供了通用打印驱动，解除了对特定驱动的依赖，使手机用户

能利用本地打印机进行打印。

2.3.10 平台性能管理

整个EMASS平台插入到手机终端和应用系统之间，所有的手机终端的应用访问都要经过EMASS平台，所以，平台的性能是一个关键的环节。EMASS平台具有性能检测、负载均衡、性能告警、性能评估、性能预测等功能。

2.4 部署方式

基于镜像技术，EMASS移动应用发布平台典型的部署方式如下图：

企业内网OA服务器移动终端专网/因特网防火墙EMASS发布平台交换机/路由器邮件服务器ERP服务器移动终端XX服务器企业各应用服务器

? EMASS移动应用发布平台软件安装在数据中心的服务器设备上，部署

在IT应用系统和手机终端之间。手机终端只能通过平台来间接访问应用系统，而不能直接访问应用系统。也就是说，EMASS平台是手机终端访问应用系统的唯一门户；

? 在手机终端上，一次性安装一个“虚拟代理”软件。手机终端将通过虚

拟代理与平台通信。这个虚拟代理是通用的，而且与具体的应用无关。除此之外，手机终端上不需安装任何应用的客户端或代理； ? 所有被发布的应用系统的客户端全部安装在EMASS平台上；

? 在EMASS平台上，集中管理每个手机用户的帐号、口令、强认证策略、

用户对应用的访问权限、用户审计策略等；

? 在应用发布平台上，可以对用户和应用的各种参数进行配置，也可以使

用默认参数。

3 安全设计

3.1 安全理念

EMASS系统的设计思想以安全为本。在系统的每个环节，无不体现了安全控制的理念。

企业的IT系统往往具有很高的安全要求。按照规范，某些行业和某些应用的IT系统甚至不能与外网互联互通。而在移动应用的环境下，移动终端可能漫游到世界上的任何一个角落，增加了系统的安全风险。因此，需要通过对系统的有效安全控制，来规避因此带来的安全风险。

提高安全性的有效的方式是安全控制。良好的安全控制手段能够保证正常业务运行，又能隔离无关因素的介入。物理隔离是最可靠的安全控制手段，但也是最无奈的手段，因为它彻底否定了网络的最基本功能：互联互通。

我们对EMASS系统的设计也着重于安全控制，但并不是物理隔离，而是在保证正常业务能够互联互通基础上的安全控制措施。这些措施包括：

? 网络控制。对于非正常业务的通信，在网络上予以阻止；

? 用户和终端控制。禁止非合法用户访问系统；禁止用户访问授权外的资

源；对用户的行为进行审计；

? 数据和代码控制。严格控制业务数据的流动方式和流动范围和应用代码

的部署范围，禁止数据和代码流入不安全的区域；防止数据和代码被他人接触到。

? 业务控制。根据业务的安全性要求，决定什么样的业务可以在移动终端

上使用。

3.2 系统架构设计

注：以下设计方案为一般情况下的典型设计方案。EMASS可以根据用户的实际需求和环境灵活部署。

543216企业数据中心OA应用1APN或 CMNET移动终端防火墙EMASS发布平台网闸局域网应用n应用2移动域接入域内部域

按照目前世界上公认的安全域理论，我们将企业移动办公系统分为3个安全域：

1. 内部域。内部域是企业IT系统的局域网及其中的IT设备，包括路

由器、交换机、服务器、存储设备、应用软件和数据等。由于企业的核心系统和数据全部存在于内部域中，是企业最重要的IT资产，因此它的安全级别是最高的，是我们需要重点防护的区域。内部域中的设备不能与其它域进行直接通信，以防止其它域中的恶意攻击入侵内部域。

2. 接入域。任何在企业办公区域之外的终端和系统需要访问内部域中

的应用系统，都不能与内部域建立直接通信，只能与接入域建立通信，再由接入域代理通信。EMASS发布平台就部署在接入域中，它能够终止移动终端的访问请求，并代理移动终端与内部域中的应用系统进行通信。

接入域是移动域和内部域之间的过渡区，其中都是资产价值较低的IT系统。它直接与安全性最低的移动域通信，为内部域抵挡安全风险。一旦发生恶意攻击，攻击也只能威胁到接入域中的设备，造成的损失也很小。从这方面讲，它是内部域中高价值IT资产的替身。 3. 移动域。移动域处于企业办公区域之外，移动终端（手机）就处于

移动域。由于企业对移动域中的设备不能完全控制（比如无法完全控制手机的工作地点和使用方式），因此，此域中的设备具有被病毒、木马、黑客入侵的可能性，安全性较低，资产价值也最低。

为了实现以上设计目标，整个系统中，部署有6个安全控制点： 1. 网闸 2. 发布平台 3. 防火墙 4. APN 5. 移动终端 6. 应用服务器

每个安全控制点都实现1个或多个安全控制功能。

3.3 网络控制

网络控制是在网络的关键位置，通常是安全域的接口处，对网络通信进行控制，决定什么样的通信被允许，什么样的通信被禁止。

网络控制的常见设备是防火墙和网闸。防火墙可以针对网络通信的地址和端口甚至应用层协议进行控制；而网闸不仅具有防火墙的功能，还能阻断内外网之间的直接通信，所有通信数据都由网闸进行“摆渡”，有效地阻止了针对内网的攻击行为。网闸是政府部门实现通信安全的最常用产品。

在本设计中，实现网络控制的控制点有如下几个：

? 防火墙（控制点3）。防火墙控制移动域与接入域之间的网络通信。在防

火墙上的控制策略如下：

? 允许手机终端主动对EMASS服务器工作端口发起的网络通信； ? 其它网络通信一律禁止。

? 网闸（控制点1）。网闸控制内部域与接入域之间的网络通信。在网闸上，

部署以下控制策略：

? 允许EMASS服务器主动发起的对应用服务器http业务的网络

通信；

? EMASS服务器不能直接与应用服务器通信。EMASS服务器首

先与网闸建立连接，将数据发送给网闸，然后网闸断开连接；网闸再与应用服务器建立连接，将EMASS服务器的数据发送给应用服务器。应用服务器对EMASS服务器的应答通信也使用此机制；

? 其它网络通信一律禁止。

? EMASS服务器（控制点2）。EMASS服务器上，可实现以下控制策略：

? 中止移动终端的访问请求。移动终端对应用的访问请求被中止

在EMASS服务器上，由EMASS服务器代替移动终端向应用服务器发出请求。

? 协议转换。移动终端与EMASS服务器之间的通信协议采用私

有协议，而EMASS服务器与应用服务器之间的通信才使用http协议。EMASS服务器相当于协议转换器，可以防止网络通信中的恶意行为被传播到应用服务器。

3.4 用户和终端控制

由于移动用户和移动终端的不确定性，因此，对每个试图使用应用系统的用户和终端，必须进行严格的鉴别。只有那些合法的、被授权的用户和终端，才能够使用应用系统。控制点有：

? APN（控制点3）。它的控制策略有：

? 移动终端认证。APN上可以设置以手机号码为特征的终端准入。

当一个移动终端请求接入APN时，APN会获取此终端的号码，并从数据库中查找此号码是否存在于数据库中。如果是，则允许接入，否则拒绝接入。它能够有效控制终端接入的合法性。

? EMASS服务器（控制点2）。它的控制策略有：

? 用户认证。EMASS服务器的数据库中存储了每个用户的用户名

和密码。当用户访问应用系统之前，必须先登录EMASS服务器。EMASS服务器要求用户提供用户名和密码，并与数据库中的数据进行比对。只有提供了正确的用户名和密码才被认为是合法用户，才能登录服务器。

? 双因素认证。可支持SIM卡、短信令牌、数字令牌作为第二认

证因素。

? 用户应用级授权。当用户登录EMASS服务器后，服务器查询

授权数据库，对此用户进行授权。只有有权的用户才能够启动此应用系统，否则此应用系统对此用户是不可见的。

? 用户操作级授权。EMASS平台可以根据不同的用户，授予不同

的操作权限。例如，是否允许本地打印、是否允许上传下载附件、是否允许复制粘贴、是否允许编辑等。

? 用户审计。EMASS服务器可以对用户的行为进行记录和审计。

记录的信息包括：登录时间、启动了那个应用及时间、何时退出应用、登出时间等。

3.5 数据和代码控制

应用的数据和代码都是安全保护的对象，最好的安全保护是将他们部署在安全和环境中，而不是风险高的环境中。同时，对恶意代码进行控制和查杀。

在本设计中，多个控制点保证了应用系统的数据和代码的安全：

? EMASS服务器（控制点2）。根据EMASS系统的工作原理，应用系统

的客户端只部署在EMASS服务器上，应用系统的数据只会被传送到EMASS服务器上，而不会被发送到安全性较低的移动终端上。这样，应用系统的客户端和数据都仅在企业内部部署和通信，极大地保证应用系统的安全性。同时，在EMASS服务器上，安装防病毒系统和主机防护系统，以防止病毒、木马和黑客的入侵。

? APN专线（控制点4）。根据EMASS原理，EMASS服务器和手机终端

之间只传送应用界面图象和用户的键盘鼠标信息。这部分信息是在移动域中传送的。虽然这些信息对窃听者已经没有什么价值了，但为了安全起见，我们仍在设计中使用了APN专线，防止信息被窃取和篡改。使用了APN专线，使移动域的安全性与企业内网相当接近。

? 移动终端（控制点5）。移动终端的不确定性较大，企业也难以对其进行

有效的管理和控制，因此，移动终端的安全性较低，有可能被病毒、木马、黑客等入侵，因此，应用数据和应用代码不适合部署在移动终端上。根据EMASS原理，移动终端上不会有应用代码和应用数据存在，只有

价值很低的应用屏幕图象和用户输入信息会存在于移动终端上，即使被窃取和破坏，也不会造成什么损失。另外，移动终端与EMASS服务器之间主要通过私有协议通信，移动终端上的病毒和黑客也无法通过正常通信入侵接入域。

3.6 业务控制

业务控制是指，对于安全性较低的移动终端，只允许其使用部分业务功能，而不是全部业务功能。

业务控制在应用服务器（控制点6）上实现。应用服务器将发布2套页面：一套是原始的页面，一套是针对移动终端定制的页面。原始页面还是提供给企业办公区内的用户使用，而定制页面对现有业务进行精简，把不适合移动终端的业务删除或限制，以防止敏感信息发布到移动终端上。

3.7 精简设计

以上方案按照严格的安全域理论而设计。但在企业的实际情况中，有些部分可以适当精简，即不会影响系统的安全性，又能提高系统效率，节省建设投资。

我们注意到，如果使用了APN作为移动域的通信线路。APN既能对接入的手机终端进行基于号码的认证，又能将系统的通信数据与外部隔离，形成封闭的网络环境。因此，移动域的安全性是相当高的，在通信安全性上甚至高于以intranet互联的内部单位（内部单位经常使用穿越互联网的VPN相互通信，其通信安全性不如APN专线）。再加上EMASS平台是个功能强大的安全控制点，能够对手机进行严格的访问控制、访问代理和协议级的隔离，因此，接入域的设计完全可以简化，去掉网闸控制点。精简后的设计如下：

企业数据中心OAERPAPCMN或NET局域网防火墙移动终端EMASS发布平台● ● ● ● ● ●工艺流程管理环境监测移动域接入域内部域

另外，对于安全性要求不高的行业和应用，也不必使用APN专线来传输数据，使用cmnet即可，可节省部分系统运行成本。目前绝大部分企业对外开放的IT应用都是通过互联网（cmnet是互联网的一部分，属于公网）来传输数据的。

3.8 系统物理拓扑图

一个典型的EMASS系统物理拓扑图如下：

OA服务器EMAIL服务器核心交换机APN移动终端接入交换机防火墙域控制器EMASS服务器2EMASS服务器1

3.9 应用软件的部署

使用了EMASS平台后，应用软件的部署就极为简单，一般只需要以下步骤： ? 应用软件客户端安装。在EMASS平台的服务器上，安装OA、Email

等应用软件的客户端。对于B/S架构的应用，只需在EMASS平台上安装浏览器即可。

? 配置用户信息。在EMASS平台上增加有权访问应用系统的用户，以及

这些用户的权限等参数。

? 手机代理安装。在手机上，一次性安装一个EMASS平台的代理软件。 ? 页面优化。如果用户需要，我们将对现有应用系统的页面进行优化，以

适应手机屏幕的显示。优化后的页面一般可存储在现有的应用服务器上。

3.10 系统配置说明

项目 PC服务器说明 EMASS平台运行的硬件平台。每台发布服务器最低配置为（每台支持300用户，根据应用不同有所变化）：2颗双核3.0G CPU，8G内存，160G高速硬盘（7200rpm以上），2个百兆网卡。Win2003中文标准版如服务器数量超过2台，则需要配置域控制器。最低配置为：1颗2.0G CPU，1G内存，160G高速硬盘（7200rpm以上），2个百兆网卡。Win2003中文标准版每台服务器需按企业自身的IT规范，安装防病毒软件和主机防护软件。手机终端要求配置Windows Mobile V5或V6操作系统。注意不支持标准版和smartphone版。 EMASS软件 EMASS V4.0软件，含永久许可证。每服务器1套。 APN或互联网出运营商提供口网络环境移动网络带宽交换机端口、防火墙等。一般根据企业的具体情况而定对于每个手机用户，移动网络实际带宽达到25K以上时用户体验非常理想；实际带宽4K－6K认为是用户可接受的下限。

4 EMASS系统的应用

EMASS是个通用的应用发布平台，所有企业应用系统中的人机交互的部分，都可以通过EMASS发布到手机上。

EMASS支持如下常见的应用类型和各种类型的组合，例如：

? 信息查询类。通过手机输入查询条件或统计条件和指令，并从手机上显

示查询或统计分析结果。这类应用包括如：事件查询、人口查询、图表

查询、通知通报、数据分析统计等等。以下是被盗手机查询和人口查询页面。

? 数据采集类。在现场获得的数据，通过手机录入应用系统，使其实时生

效。这类应用包括如：水电抄表、现场执法、地质勘测、盘查录入、出库入库等等。以下是人员盘查和情报采集页面

? 流程审批类。通过手机参与流程的各个环节，可查看和输入相关信息，

发出指令。这类应用包括如：协同办公、公文流转、电子邮件、各类审批等等。以下是电子邮件和协同办公页面

? 实时监控类。通过手机实时查看现场情况和数据，并可发出适当指令。

这类应用包括如：雷达监控、证券交易、现场监控、安全生产监控、地质水文大气监控等等。以下是气象雷达监控、卫星云图和股票交易页面。

5 与企业的业务共同成长

5.1 业务系统的移动化

EMASS，绝不仅仅是移动办公！

EMASS平台是个通用的应用发布平台。它不仅可以将OA、EMAIL等日常

办公系统发布到手机和其他移动终端上，而且还可以实现企业业务系统的移动化。

对一个企业而言，将办公系统发布到手机，只是IT移动化进程的第一步。随着管理和技术的进步以及市场环境的发展，业务系统的移动化需求必将会凸现。

EMASS平台可实现两种业务系统的移动化改造： ? M2P应用系统的移动化 ? 与M2M应用系统的结合

5.2 M2P应用系统的移动化

EMASS平台是个通用的平台，其主要功能集中在对应用系统的人机交互界面的处理和发布。因此，对于人机交互频繁的应用系统，即M2P（Machine to Person），特别适用。它不区分现有应用系统是办公系统还是业务系统，也不区分是B/S应用架构还是C/S应用架构，都能够发布到手机等移动终端上。下图是使用EMASS平台在某市公司局实现的移动警务系统：

5.3 与M2M应用系统的结合

同时，EMASS与行业中的M2M系统相结合，可产生更加显著的效果。例如，在钢铁行业，我们推出了《生产基础信息无线采集监控系统》，系统由基础信息采集监测管理中心、通信平台、前端测量控制设备三部分组成。主要涵盖的分系统有生产信息采集管理、能源调度管理、公众信息发布管理。系统组成结构示意图如图所示。

管理人员管理人员以太网管理人员管理人员防火墙PLCCDMA/GPRS485透传终端服务器智能仪表CDMA/GPRS485透传终端基站专线路由器CDMA/GPRS LED控制终端CDMA/GPRS LED控制终端智能仪表CDMA/GPRS485透传终端车间生产信息显示屏传感器CDMA/GPRS采集终端基站基站厂区日常信息显示屏公众信息发布管理生产信息采集管理CDMA/GPRS485透传终端CDMA/GPRS采集终端CDMA/GPRS485透传终端电表水表能源调度管理智能仪表

该系统可实现以下功能：

1、能源调度管理，通过对厂区各种变送器和仪表配备无线通信终端，组

成一套能源调度管理子系统，实现了对企业水、电、气等能源的科学管理，合理应用。

2、日常办公信息发布管理，通过增添和改造现有信息发布系统，采用无

线技术实现信息的统一更新和控制。

3、生产信息采集监控，在原有有线监控系统的基础上增加无线监控方式，

与原有系统互为备份，保证系统的运行可靠。

4、系统对所采集信息进行统一格式的处理上报，使决策者得到全面完整

的一手资料，为辅助决策和指挥控制提供参考；

5、对监测到的关键参数进行分析判断，一旦发生重大变化和超标等情况

时，系统将根据参数按权限对相关管理部门领导及负责人进行告警，管理人员在系统注册过的手机将接收到其管理范围内的运行情况的超

标报警信息和安全生产信息，在第一时间督促相关人员采取措施保证生产的安全运行。

6、通过电子地图对各部分信息进行综合态势显示，使管理者可通过网络

直观的选取浏览、监测。

《生产基础信息采集监控管理系统》利用移动通信技术的优势，结合镜像技术为核心的EMASS系统，建立一个安全可靠，能提供各种高级服务，并为应用程序的执行和实施提供较强功能的开放式信息采集、监控、处理、分析、辅助决策的智能平台，成为一个符合现代钢铁企业现代化管理要求的、分布式、开放式、组件化、可扩充的基础信息运行管理系统。

5.4 与业务系统共同成长

因此，EMASS平台对今后企业IT移动化进程来说，是个可持续发展的平台。今天付出的投资和劳动在以后完全是可以利用的。例如，如果企业今后需要将ERP系统、CRM系统、工艺流程管理等业务系统发布到手机上，就可以利用本次建设的EMASS平台进行发布。如果由于用户数的增加造成现有平台性能不足，可以使用横向扩容的方式增加平台的服务器数量，各服务器之间可以实现冗余备份和负载均衡，前期的投资和劳动得到了完全保护。

下图是EMASS平台的规模扩展和企业移动应用发展的关系图：

企业用户数EMASS服务器数量

从上图可看出EMASS平台随企业业务的演进方式：

? EMASS平台与企业的移动业务系统数量和架构无关；今后企业的业务

系统移动化（如移动ERP、移动BI、移动工艺管理、移动监测等）完全可以利用第一次建设的EMASS平台；

? EMASS平台的扩容主要是服务器数量的增加，即横向扩容； ? EMASS平台的服务器数量仅与企业的移动应用用户数量相关。

6 技术背景

6.1 当前主流技术介绍

目前，向手机等移动终端发布IT应用系统，主要使用以下技术： ? 短信。利用手机的SMS信道传送简短的文本。目前十分普及，但由于

SMS信道带宽极小，只能支持纯文本，因此适用范围受到极大的限制； ? WAP。WAP是一种无线应用协议，是一个全球性的开放协议。WAP定

义可通用的平台，把目前Internet网上HTML语言的信息转换成用WML描述的信息，显示在移动电话或者其他手持设备的显示屏上。多种网络，也就是说，它不依赖某种网络而存在，今天的WAP服务在3G到来后

仍然可能继续存在，不过传输速率更快，协议标准也会随之升级。WAP业务可以利用GPRS/CDMA网络来传输，也可以用原有的电路交换（CSD）方式来传输。

? iMode。类似于WAP，是在日本使用的一种封闭技术。在其他地区没有

应用。

? 彩信。彩信的英文名是MMS，它是Multimedia Messaging Service的

缩写，意为多媒体信息服务。它最大的特色就是支持多媒体功能，能够传递功能全面的内容和信息，这些信息包括文字、图像、声音等各种多媒体格式的信息。彩信业务可实现即时的手机端到端、手机终端到互联网或互联网到手机终端的多媒体信息传送。彩信是以无线应用协议（WAP）为载体的一种WAP业务，可用来传送图像、声音和文字等信息。

? Push Mail。是一项利用Push技术将Mail直接推送到终端（手机）上

的服务。简单而言，Push Mail系统能够将电子邮箱中刚刚收到的新邮件在第一时间，快速地推送到用户手中。Push Mail打破传统电子邮件收发物理平台的限制，即使脱离Internet及电脑，同样也可以通过手机及时地处理Email。Push Mail是利用WAP技术的一种典型应用。 ? 黑莓。“黑莓”(Black berry)移动邮件设备基于双向寻呼技术。该设备与

专用服务器相结合，依赖于特定的服务器软件和终端，兼容现有的无线数据链路，实现了随时随地收发电子邮件。黑莓是由加拿大RIM（Research in Motion）公司所推出，包含服务器（邮件设定）、软件（操作接口）以及终端（手机）三大类别的Push Mail实时电子邮件服务。RIM公司所提供的BlackBerry服务，本质上是一套从设定到接收都能完整提供服务的Push Mail机制。它支持多种邮件服务器，包括企业使用的Microsoft Exchange Server、IBM Lotus Note及GroupWise，甚至一般Yahoo、PChome等网站提供的POP3及IMAP，都是BlackBerry黑莓服务支持的对象。

6.2 WAP技术分析

在当前的移动应用发布技术中，WAP技术占据了举足轻重的地位：它是第

一个能够将固网IT应用系统移植成为移动应用并发布到手机终端上的技术，彩信、PUSH Mail、黑莓等技术和应用，都是基于WAP技术的。

6.2.1 通过WAP技术向手机终端发布应用系统

WAP协议是一个开放且全球统一的标准，支持移动用户使用手机终端接入网络访问应用系统。WAP论坛是由Ericsson、Nokia、Motorola和UnwiredPlanet于1997年6月发起的一个工业组织，一些大运营商和设备制造商均是其成员。目前论坛成员已有100多个。

大多数网络应用系统的开发都基于桌面机或大型机，通常使用可靠的数字网络，带宽在中等以上。而手机则在许多方面具有局限：如CPU处理能力较低、无线数字网带宽较小等不足。

针对以上无线通信和手机终端的特点，WAP对WWW架构进行了一系列改造，满足了以下特点：

? 定义一个分层的可升级及可扩展的结构； ? 支持尽可能多的无线网络； ? 针对高时延的窄带承载进行优化；

? 针对设备资源的限制（低内存/CPU处理能力低/低能耗）进行优化； ? 提供对安全应用和通信的支持；

? 对人机接口及供应商控制提供最大的灵活性； ? 提供手机的本地控制；

? 促进网络供应商和第三方服务的提供； ? 通过定义相关规范，支持多厂商的互用性； ? 提供电话业务和综合业务的编程模式。下图展示了WWW与WAP的区别：

WWW架构

WAP架构

可见，对比WWW架构，WAP在终端和内容之间，增加了一层WAP网关。WAP网关把内容转换成适合于无线网络和手机终端的形式。

当用户从WAP手机键入想要访问的WAP内容服务器的URL后，信号经过无线网络，以WAP协议方式发送请求至WAP网关，然后WAP网关经过“翻译”处理，再以HTTP协议方式与WAP内容服务器交互，最后WAP网关将服务器返回的内容压缩、处理成二进制流，并返回到客户的WAP手机屏幕上。

6.2.2 WAP的组成

WAP规范是一种无线应用程序的编程模型和语言，它第一次定义了一个开放的标准结构和一套用来实现无线Internet访问的规范。

WAP规范主要定义了以下几种组件：

? WAP编程模型：这个模型在很大程度上利用了现有的WWW编程模型，

这样可以给应用开发人员带来许多好处，可以最大限度地利用他们原来掌握的经验和各种开发工具。WAP编程模型还针对无线环境的通信特点对原有的WWW编程模型进行了优化和扩展。

? 无线标记语言（WML）：遵守XML标准的WML特别适合于在性能方面

严重受限的手持设备。WML和WML Script并不要求用户使用传统的PC机键盘或鼠标进行输入，而且它设计时就考虑到了手机的屏幕尺寸限制。WML将页面文件分割成一套用户交互操作单元，一个交互操作单元被称为一个卡，用户在进行Internet访问时需要在一个或多个WML文件产生的各个卡之间来回导航。使用WAP网关，所有的WML内容都可以通过Internet使用HTTP 1.1请求进行访问，因此传统的Web服务器、工具和技术可以继续使用。

? 微浏览器规范：这个规范与标准的Web浏览器规范类似，它定义了一

个适合于手持设备的功能强大的用户接口模型。这个规范定义手机如何解释WML和WMLScript并且显示给用户。

? 轻量级协议栈：这个协议栈将无线手机访问Internet的带宽需求降到最

低，保证了各种无线网络都可以使用WAP规范。通过使用WAP协议栈可以节省大量的无线带宽。要完成同样一个访问操作，使用WAP协议栈涉及到的包数量不到使用全标准的HTTP/TCP/IP协议栈的一半，这对于带宽严重受限的无线网络来讲无疑是十分有用的。见下表：无线传输网络：带宽较小尚未开发完成稳定性和可靠性较差

手机及其它手持移动设备： cpu处理能力较低内存较小电力供应受限制 35

时延较大

存储空间较小显示器较小输入设备不同（如：手机键盘） ? 无线电话应用（WTA）框架：它允许无线手机访问各种电话功能如呼叫

控制和来自WML Script applet中的信息。这允许商家开发各种电话应用并且将其集成到WML/WML Script服务中。

? WAP网关：WAP规范使用标准的Web代理技术来将无线网络与Web

连接起来。通过将处理功能集中在WAP网关中，WAP结构大大减少了手机上的操作负载，因此为手机实现价廉物美提供了基础。如WAP网关一般可以使用所有的DNS服务来解析URL中使用的域名，因此就不再需要手机来完成这个任务。还可以利用WAP网关来为用户提供各种服务,并且可以帮助网络服务商防止诈骗和服务利用。一个WAP网关一般包括以下功能：

? 协议网关：协议网关将来自WAP协议栈的请求翻译到WWW协议

栈（HTTP和TCP/IP）中；

? 内容编码器和解码器：内容编码器将Web内容翻译成紧密编码的格

式，以减少通过无线数据网络传输的数据包的大小和数量。

6.2.3 WAP的层次结构组成

WAP结构为移动通信设备的应用开发提供了一个可扩展可升级的环境。这是通过整个协议栈的层次化设计达到的。该结构的每一层都可被上层及其他的业务和应用访问。

WAP分层结构使其他的业务和应用可以通过一系列定义好的接口使用协议栈。外部的应用可以直接地访问会话层、事务层、安全层和传输层。

? 无线应用环境（WAE）。无线应用环境（WAE）是基于WWW和移动电

话技术的通用应用环境。WAE可以使得服务提供商开发出能被绝大多数不同的无线平台所访问的应用和服务。WAE包括一个微浏览环境。 ? 无线会话协议（WSP）。无线会话协议（WSP）为WAP应用层提供了

两种会话服务接口。第一种是在事务层协议（WTP）之上的面向连接的服务；另一种是在安全或无安全的数据报服务（WDP）之上的无连接的服务。WSP由适合浏览应用的服务（WSP/B）组成。

? 无线事务处理协议（WTP）。无线事务处理协议（WTP）在数据报服务

之上，是适用于“瘦”客户（移动台）的轻量级面向事务的协议。 ? 无线传输安全机制（WTLS）。WTLS是基于传输层安全协议（TLS）的

安全协议，即从前的加密套接字层（SSL）。WTLS为窄带的无线信道作了优化。

? 无线数据报协议（WDP）。WAP结构中的传输层协议是无线数据报协议

(WDP)。WDP在被各种网络类型所支持的数据承载服务之上。作为通用的传输服务，WDP为WAP上层协议提供了统一的服务，而且在承载业务上透明传输。既然WDP协议为上层协议提供了统一的接口，加密、会话、应用层与下层网络无关。这是通过承载层到传输层的转换来实现。

? 承载层协议。WAP协议可以在不同的网络承载上实现，包括短消息、

电路交换型数据业务和分组型数据业务。承载层根据数据吞吐量、错误率、延时来提供不同的服务质量。WAP可以适应这些不同的服务级别。既然WDP提供了承载层与WAP协议栈其余层的转化，WDP列出了可以使用的承载层。随着无线技术的发展，该承载名单可能会增加新成员。

6.3 WAP缺陷分析

? 速度慢。受到移动通信链路带宽较低的影响，虽然WAP进行了一定的

带宽适应，但网络应用运行速度仍然较慢，一些通信量较大的业务难以移植到手机上；

? 终端性能不稳定。虽然比起WWW架构，WAP架构对手机终端的工作

量做了很大削减，但手机终端仍然要承担一部分应用计算任务，对于不同的应用，计算任务不同，造成手机终端性能不稳定；

? 功能缺失。由于WAP对WWW架构进行了精简，许多功能被裁剪，使

WAP应用比WWW应用的功能有很大损失；

? 界面简陋。由于通信速度和手机性能的影响，手机界面十分简陋，极大

地影响了易用性；以下是几个典型的WAP页面，比HTTP页面逊色不少：

? 移植困难。现有基于PC的应用几乎都无法直接移植到手机上，必需经

过复杂的WAP开发改造工作，周期也比较长，一般需3个月以上； ? 通用性差。对于每个应用必须单独移植，没有任何通用性。一个企业如

果要把所有应用都移植到WAP手机上，代价将十分巨大； ? 不支持C/S架构应用系统的移植； ? 对附件的支持有限；

? 数据和应用的安全风险增加。手机是一个应用环境十分复杂多样的终

端，应用和数据发布到手机上，增加了安全风险；

? 用户安全风险增加。手机终端的用户具有极大的不确定性。WAP的用

户认证、授权、审计功能完全依赖于应用自身的功能，对手机接入这种高风险的接入方式和终端无法启用更强大的安全手段。

7 EMASS优势分析

EMASS平台是一个利用镜像技术，将各类IT应用发布到智能手机上的“移动应用发布平台”，比起传统的WAP技术，它具有如下优势：

? 网络带宽占用极小，运行速度快。应用运行对网络的要求比其他技术实

现方案有了显著降低，一般的GSM拨号、质量不高的GPRS和CDMA网络，都能满足应用需求，因此应用运行速度很快；

? 终端性能稳定。无论应用的架构（C/S或B/S）、应用系统客户端的资源

消耗水平、应用的复杂度、应用的数据通信量如何，手机终端上仅仅需要运行一个很小的虚拟代理，数据处理量十分平稳，这样就规避了手机性能低下的问题，用户体验平滑流畅；

? 通用性。平台一经建成，可将适用于绝大多数B/S、C/S架构的网络应

用系统移植到手机上。在手机终端上，只需一次性安装一个虚拟代理软件，即可对所有应用系统生效；

? 零开发快速移植。绝大部分基于PC的网络应用系统，不需做任何更改，

可直接移植到EMASS平台上向手机进行发布。典型应用系统的移植可在2小时内实施完毕；

? 无损移植。绝大部分移植到EMASS平台上的应用，功能不受任何损失，

用户界面与PC机上的运行效果完全相同；

? 手机屏幕适配。基于PC的应用发布到手机上之后，由于手机屏幕较小，

部分应用界面可能不能正常显示。本发布平台提供了两种手机屏幕的适配方案，可供用户选择；

? 数据安全保证。手机是一种使用环境极为复杂多样的终端，安全性很低。

EMASS平台实现了数据与终端的隔离，应用数据（包括页面数据）不会下载到手机终端上，任何通信链路监听、木马病毒都难以危及应用数据，从而保证了应用数据的安全；

? 应用系统安全保证。手机终端可能是攻击的发起端。本平台隔离了手机

终端和应用系统，使攻击无法作用到应用系统；

? 用户安全保证。手机终端的用户具有极大的不确定性。平台可实现各种

强度的用户认证、授权、审计、帐户集中审计功能，并可作为企业的应用门户，实现单点登录和应用口令管理，保证了用户的安全性。

Black Berry EMASS 支持流行的3款邮件服务器邮件系统支持所有邮件服务器不支持POP3邮件服务器只支持B-S架构且通过支持各种应用，包括B-S/C-S架构和其他应用系JAVA/.Net语言开发的IT系单机版应用。可作为企业的统一移动统统对接。接入平台。支持OFFICE系列和其他主邮件附件支持所有邮件附件的查看和编辑。流邮件附件打开，编辑。邮件系统无需优化。如果用户有需求，可以界面优化，只终端页面优其他系统需按指定接口开发需对展现层面进行修改，工作量和难化适配度都较小。需要对BES服务维护后续维护基本上只需要维护EMASS服务器需要对手机终端维护 Black Berry 专有终端 WindownsMobile 终端方案 WindownsMobile Symbian（部分） Symbian，Palm 流转数据出国，存在安全隐数据和代码只在企业内网，安全可靠。安全性患通信加密。支持3A 运营费用很高较低需要专门开发接口，费用较开发费用只需要做应用界面的调整，费用较低高 EMASS 数据和应用代码不安全性出内网，外网加密传输，内置3A 速度界面快短信/彩信明文传播，需额外的安全措施快，但不稳定 WAP 数据和代码出内网，在公网上传递，需额外的安全措施慢差，字符界面，交互性好,与PC完全相同较好，能支持图形差

附件支持所有无很有限短:无需改变应用实施工作量长：重新涉及应用逻辑，需要开发，几个月逻辑，1－20天投入成本低：开发量很低，高：系统、开发费用高，随应用变化需要不断投甚至免开发好：只需要调整应用界面入差：针对每一个应用都需要单独开发终端适配通用性好：平台完全通用差：针对每一个应用都需要单独开发适应几乎所有手机适应绝大部分手机终端适应性目前仅支持WM

8 手机终端技术要求

? 网络带宽：有效带宽大于8Kbps，支持TCP/IP ? 最低内存容量：

? 程序内存：64M ? 存储内存：128M ? 多媒体卡扩展：支持 ? WWW浏览器：支持 ? 数据线接口：支持 ? 屏幕尺寸：不小于2.8英寸 ? 屏幕分辨率：不小于320×240 ? 屏幕颜色：不小于65535 ? 触摸屏：支持

? 操作系统：（目前在开发适用于其他手机操作系统的发布平台）

? Windows Mobile 5：Pocket PC版，Pocket PC Phone版 ? Windows Mobile 6：专业版

9 部署说明

1．硬件环境要求

（1）一台性能较好的PC机

建议：PC服务器1台，基本配置：双至强2.0CPU，4GB内存，72GB*2 SAS硬盘，RAID1

（2） Microsoft Windows Server 2003 SP2标准版 2．网络环境

（1） PC服务器位于企业内网如下图：

（2）提供内网至外网的映射（要求网管在场）