企业移动应用安全超市技术架构研究

王嘉延，杨杰，戴浩良（中国南方电网广州供电局有限公司，广州　510620）

企业移动应用安全超市技术架构研究

王嘉延，杨杰，戴浩良
（中国南方电网广州供电局有限公司，广州510620）

0　引言

以智能手机、平板电脑的广泛应用为标志的移动互联网时代来临，已经对包括电力行业在内的企业信息化进程带来了深远的影响。已经习惯于使用智能移动终端来进行交流、沟通和信息获取的企业员工，提出了越来越多的企业业务移动化的要求。然而，企业移动化不是简单地将企业应用迁移或移植到智能移动终端上就可以了，由于智能移动应用具有多平台、开放性、小型化、碎片化、个人化和随时更新下载等新的特点，对企业信息化管理，尤其是关系到国家能源安全的电力行业带来了全新的挑战。

企业移动化对电力企业信息化建设和管理带来了全新的挑战：

（1）包括iOS、Android、Windows Phone在内的智能终端平台操作的多样性差异和海量的移动应用，为企业移动化管理带来巨大的挑战；

（2）用户已经习惯通过第三方公共应用市场，大量下载和更新移动应用，如何对企业移动应用进行统一安全发布管理，也是电力企业移动化建设面临的新问题；

（3）移动智能终端应用接入和使用的身份认证问题；

（4）由此带来的移动智能终端应用企业数据安全访问问题。

针对以上在企业移动化中面临的突出问题，结合电力企业信息化安全管理规范，南方电网广州电力局的王嘉延、杨杰和戴浩良三人共同创新规划和设计了面向未来电力企业移动应用管理的 “企业移动应用安全超市”的企业移动化应用管理平台框架，有效解决了上面企业移动应用管理的四个问题。

1　企业移动应用安全超市架构

目前，针对智能移动终端的移动应用分发，主要依赖于由苹果公司首创的移动应用电子市场（App Store）模式。但是，包括苹果公司在内的App Store，所分发和管理的移动应用，由于是对平台内所有终端用户都是开放的，更适合通用的移动应用的分发和管理。尤其是Android平台，由于没有对移动应用的来源做严格的审核和验证，大量非原厂的第三方App Store已经占据了Android平台的移动应用分发和管理的主要份额，例如有三星、华为这些手机厂商，也有91手机助手、运营商背景的各种电子市场，由此带来移动应用管理存在巨大的安全风险和隐患。

因此，对于面向企业移动化的企业移动应用管理，尤其是企业内部使用的移动应用，这些由第三方管理的App Store显然无法满足企业移动应用管理的要求，尤其是对信息安全要求比较高的电力行业企业，更有迫切的要求能够由一套安全和企业自主管理的App Store，用于对企业的移动应用进行统一管理，在保证安全的前提下，实现企业应用移动化提升企业信息化能力的目标。

基于以上考虑，笔者就建设符合电力企业移动化管理要求的“移动应用安全超市”的相关技术和架构进行了研究，并以这项研究为基础，最终研发出“移动接入办公平台系统”产品，完全实现了移动应用安全超市的技术目标。

（1）建立企业移动应用超市系统架构

在目前企业的主流的智能移动终端系统平台中，以苹果公司为代表的系统平台厂商，专门为需要自主主建设企业应用超市的企业，提供了一套完整的企业开发者计划（“Apple Developer Enterprise Program”），允许申请加入该计划的企业，除了在其提供的面向大众的App Store之外，建设符合自身移动应用管理要求的企业移动应用电子市场。对于包括Android这样的系统平台，则由于其本身就没有对第三方移动应用的发布做太多限制，允许企业建设自主管理的企业应用电子市场来自主进行移动应用的发布管理。

下图是以苹果公司的 “Apple Developer Enterprise Program”所提供的技术规范基础上，结合电力行业企业移动化管理规范和特征，梳理出完全能够满足电力企业移动应用管理要求的企业移动应用超市体系框架图如图1所示。

图1　企业移动应用超市体系框架

企业移动应用超市体系框架，主要包括两大部分组成：“企业应用超市客户端”和 “企业应用超市云平台”，构建成“云＋端”的企业移动应用管理体系。

（2）企业应用超市客户端（以下简称平台App）功能和体系架构

平台App是安装在企业用户的智能终端上，作为企业移动应用发布的门户和窗口。平台App作为企业移动应用超市的用户客户端，不仅支持Android、iOS、WP等不同操作系统平台，也同时能够支持多品牌厂商、多种分辨率的智能手机和智能平板电脑。

图2为平台App软件架构设计图。

图2　平台APP软件架构设计图

为了保证平台App具备的灵活性和可扩展能力，客户端软件划分为四层，分别是“UI交互层”、“UI适配层”、“业务逻辑层”和“系统能力适配层”，以降低层次系统的耦合性。例如：通常客户端变化比较多的部分集中在UI交互层（调整界面布局、风格定制、更换主题等），这样的划分可以将变动限制在一定范围内，减少变动引起的工作量，提高软件的可维护性。

（3）企业应用超市云平台功能和体系架构

企业应用管理云平台，是企业移动应用管理后台，为企业提供移动应用全生命周期的管理。企业应用超市云平台由“企业移动应用超市”、“企业移动应用超市控制台”、“企业移动应用超市门户网站”和“企业移动接入管理”四个模块组成。

●“企业移动应用超市”作为企业移动应用的管理核心，提供了包括“应用类别管理”、“应用来源管理”、“应用中心”、“应用分发管理”和“应用超市客户端”管理的职责，能够实现对应用签名认证用于验证应用的合法来源与完整性，确保应用安全，并与企业应用超市App客户端，实现了企业应用管理全生命周期管理。

●“企业移动应用超市控制台”是提供给企业移动移动应用管理人员对企业移动应用进行管理的门户平台。

●“企业移动应用超市门户网站”则是直接面向企业内部员工和企业合作伙伴，了解企业移动应用发布和更新情况，下载更新平台App，以获得最新的平台App版本更新。

●“企业移动接入管理”是整个企业移动应用超市的基础支撑模块，提供对智能终端设备、企业移动应用超市用户进行实名身份安全认证和数据安全传输的能力，保证只有获得企业授权的合法的用户才能对企业进行安全访问。

（3）企业移动应用超市平台逻辑架构

企业移动应用超市作为面向企业移动互联网信息化的创新型应用平台系统，要求系统自身应具备移动互联网平台特性。由本文作者共同研究和设计的面向电力行业“企业移动应用安全超市”，就是按照云计算架构进行规划和设计。如图3所示。

南方电网广州供电局已经在内部实施基于虚拟化技术的私有云计算基础架构，可以直接对内提供IaaS模式的云平台服务。“企业移动应用安全超市”在设计的时候，就已经考虑能够直接利用广州供电局基于IaaS的基础网络运算能力，直接运行在广州供电局的内部私有云平台上，通过私有云平台提供的强大的系统伸缩性和数据安全备份能力，保证“企业移动应用安全超市”持续稳定运行。

图3　企业移动应用超市平台逻辑架构

“企业移动应用安全超市云平台”，则是按照PaaS云计算架构进行规划和设计的。通过对企业移动应用超市的业务流程进行模块化分离，能够对外跨平台的企业移动应用管理能力。

而“企业应用超市客户端”则不仅仅只是设计作为执行移动应用分发单一功能的客户端App软件，而是在设计的时候，也充分考虑未来企业云计算应用前进，将客户端同时设计作为SaaS化的企业移动应用访问门户，例如企业通讯录，就是直接由平台客户端软件直接提供的服务化的移动应用功能，不需要终端用户另外安装客户端。除此之外，平台客户端内置基于HTML5应用支撑框架，作为未来基于SaaS的企业移动应用开发基础，为未来企业移动化应用提供无限扩展能力。

（3）企业移动应用安全超市关键技术

除了以上所述的系统框架之外，下面的几个关键技术问题，也是此次研究重点研究问题，以保证已经确定的系统框架，在电力行业具备实用性：

问题1：关于设备和用户认证的问题。

身份认证是企业移动应用超市管理的关键的支撑技术。针对移动应用的复杂性，本文所规划设计的“企业移动应用安全超市”按照目前比较成熟MDM安全管理技术，设计了一套结合智能终端设备自动设备、登录用户在线认证和移动电话在线认证等手段，实现基于终端设备及用户的实名认证机制，保证只有合法的和安全的设备和用户才能使用和访问企业移动应用超市。

问题2：数据安全共享问题

由于电力行业对数据安全性要求比较高，尤其是企业移动应用会需要直接访问电力企业的内部系统数据。未来保证数据传输的安全。“企业移动应用安全超市”内建基于SSL VPN的数据安全通道加密技术，所有移动应用都只能通过该安全通道，对企业进行系统访问和数据交换，保证数据传输和共享的安全。

问题3：移动终端数据安全保密的问题。

针对移动终端可能存在遗失的情况，“企业移动应用安全超市”的平台客户端内建动态数据安全区，保证数据在移动端的安全性。并结合MDM设备安全管理技术，实现远程安全擦出数据、锁定手机的机制，保证数据安全使用和存储。

2　结语

经过研究，确定以安全云计算基础架构参照，构建符合电力企业移动信息化建设要求的 “企业移动应用超市”，作为企业移动应用承担发布、更新和升级的管理平台，实现对企业移动应用全生命周期管理。结合实名制终端设备和用户管理技术、基于SSL VPN的数据安全通道技术和终端数据安全技术，保证“企业移动应用超市”完全符合电力企业信息安全合规管理要求，在企业移动信息化体系中发挥持久的效能。

［1］（美）林西克姆著.云计算与SOA［M］.马国耀译.北京：人民邮电出版社，2011.1.

［2］（美）德维威迪著，移动应用安全［M］.李祥军，罗熊等译.北京：电子工业出版社，2012.2.

［3］闵栋，刘东明.移动应用商店跟踪研究［J］.北京：电信网技术，2010.2.

Enterprise Mobility；App Store；Mobile Application Security Supermarket；Information Security；Cloud Computing Architecture

Research on the Technology Structure of Enterprise Mobile Application Security Supermarket

WANG Jia-yan，YANG Jie，DAI Hao-liang
（China Southern Power Grid Guangzhou Power Supply Bureau Co.，Ltd.，Guangzhou 510620）

1007-1423（2015）27-0054-04

10.3969/j.issn.1007-1423.2015.27.015

王嘉延（1980-），男，广东广州人，硕士，从事领域为广州供电局信息运行管理工作

杨杰 （1981-），男，广东广州人，硕士，从事领域为广州供电局信息运行维护管理工作

戴浩良（1980-），男，广东江门人，硕士，工程师，从事领域为网络及安全方面的运维管理

2015-07-14

2015-09-09

针对电力企业移动化建设过程中，如何实现大量的企业移动应用进行全生命周期的管理问题，提出企业移动应用安全超市的企业移动应用管理架构体系，并结合实名制终端设备和用户管理技术、基于SSL VPN的数据安全通道技术和终端数据安全技术，提出一套完全符合电力行业移动应用管理架构和技术方案，有效解决电力企业移动应用全生命周期管理的问题。

企业移动化；应用电子市场；企移动应用超市；信息安全；云计算

According to solve the problem of the mobile application lifecycle management in of the electric power industry，creates a new app store named Mobile Application Security Supermarket.Based on SSL VPN secure channel，cloud computing architecture and terminal data security technology，solves the problem of the mobile application lifecycle management perfectly.