鈕 卿

(神華國能集團(tuán)有限公司,北京 100033)

隨著4G和無線網(wǎng)絡(luò)的普及,移動應(yīng)用技術(shù)得到了長足發(fā)展和廣泛應(yīng)用,智能移動終端也日趨普及,互聯(lián)網(wǎng)與實體經(jīng)濟(jì)融合不斷加深,各行各業(yè)的辦公模式也在發(fā)生深刻的變化[1-4].雙網(wǎng)隔離環(huán)境下的傳統(tǒng)發(fā)電企業(yè)管理信息系統(tǒng)由于受限于辦公地點和信息內(nèi)網(wǎng),只能通過內(nèi)網(wǎng)辦公電腦進(jìn)行訪問,這使得員工一旦出差或離開工位就無法方便地處理日常工作.通過建設(shè)移動應(yīng)用系統(tǒng),使公司員工可以通過移動終端隨時隨地開展業(yè)務(wù),可以有效提高企業(yè)日常事務(wù)和生產(chǎn)運(yùn)營管理的方便性及工作效率[5-7].

近年,某發(fā)電集團(tuán)在雙網(wǎng)隔離環(huán)境下建成了模塊化的統(tǒng)一移動平臺,標(biāo)準(zhǔn)功能以集團(tuán)總部應(yīng)用為主,部分通用功能基層單位也可以使用.隨著基層單位本地個性化業(yè)務(wù)需求的不斷涌現(xiàn),部分單位可將本地應(yīng)用模塊發(fā)布至集團(tuán)公司移動平臺,但是存在以下問題: 由于系統(tǒng)沒有專門針對兩級應(yīng)用進(jìn)行優(yōu)化,因此無法較完整地支持兩級應(yīng)用,影響系統(tǒng)使用體驗,增加新模塊建設(shè)難度和系統(tǒng)運(yùn)維難度.

為充分發(fā)揮基層單位積極性,有必要建立統(tǒng)一標(biāo)準(zhǔn)并能夠柔性適應(yīng)各單位本地業(yè)務(wù)需求的集團(tuán)級移動平臺.目前相關(guān)研究報道尚少,本文針對以上問題,基于4G和Wi-Fi無線網(wǎng)絡(luò)、Hybrid移動開發(fā)技術(shù)、Nginx反向代理技術(shù)、SSL VPN、安全隔離網(wǎng)閘等相關(guān)技術(shù)的應(yīng)用,對移動平臺整體架構(gòu)的完善、身份認(rèn)證、接口服務(wù)和網(wǎng)絡(luò)環(huán)境無縫切換等方面關(guān)鍵機(jī)制的設(shè)計與優(yōu)化進(jìn)行了探討.

1 移動平臺架構(gòu)設(shè)計與優(yōu)化

1.1 技術(shù)路線

為支持兩級應(yīng)用,按照移動門戶模式建設(shè)移動平臺,主要包括以下幾個主要部分: 移動應(yīng)用(Application,APP)、移動代理服務(wù)平臺(Mobile Agent Server,MAS)、企業(yè)移動管理平臺(Enterprise Mobile Management,EMM).

與傳統(tǒng)的移動應(yīng)用部署方式相比,移動門戶可以為用戶提供統(tǒng)一的企業(yè)移動應(yīng)用安全入口.移動門戶內(nèi)部采用模塊化的業(yè)務(wù)應(yīng)用管理模式,所有業(yè)務(wù)功能作為移動門戶的子模塊,根據(jù)權(quán)限和用戶需求下載使用,避免安裝多個移動應(yīng)用.對于雙網(wǎng)隔離下兩級應(yīng)用的移動平臺,移動門戶模式更能夠提高用戶體驗,降低維護(hù)難度.

同時,移動門戶將技術(shù)類需求和業(yè)務(wù)類需求的實現(xiàn)分離,有利于移動應(yīng)用建設(shè)管理.移動應(yīng)用的整體框架和通用功能在建設(shè)移動門戶時統(tǒng)一設(shè)計,并向各業(yè)務(wù)模塊提供通用的技術(shù)類服務(wù).新開發(fā)業(yè)務(wù)應(yīng)用模塊時只需要將重心放在業(yè)務(wù)功能的實現(xiàn)上.

1.1.1 移動門戶APP

移動應(yīng)用采用Hybrid模式構(gòu)建,能夠較大程度兼容不同品牌移動終端設(shè)備和操作系統(tǒng),開發(fā)人員不需要精通多種移動操作系統(tǒng)的復(fù)雜開發(fā)技術(shù),遇到無法統(tǒng)一的技術(shù)差異時也只需分別開發(fā)不同平臺的插件作為補(bǔ)充,從而使得主要精力專注于功能和業(yè)務(wù)實現(xiàn).通過Hybrid模式構(gòu)建企業(yè)移動門戶,已經(jīng)成為企業(yè)移動信息化的一種主流選擇[3,4].Hybrid開發(fā)模型如圖1所示.

Hybrid開發(fā)模型綜合了Web App和Native App兩種移動開發(fā)模式的優(yōu)點,使用HTML5技術(shù)構(gòu)建用戶界面,并具有訪問設(shè)備的原生功能.

圖1 Hybrid App開發(fā)模型示意圖

本文使用成熟的Hybrid移動應(yīng)用開發(fā)和打包引擎,開發(fā)時前端以Html5+javascript為主,基本實現(xiàn)一次開發(fā),多平臺版本APP打包.

采用VPN(Virtual Private Network,虛擬專用網(wǎng)絡(luò))和SDK(Software Development Kit,軟件開發(fā)工具包)提供的接口方式,在開發(fā)過程中實現(xiàn)VPN客戶端與移動門戶APP的一體化集成,為移動門戶APP提供專屬的SSL(Security Socket Layer,安全套接層)VPN通道[5].

1.1.2 移動代理服務(wù)平臺(MAS)

采用Node.js技術(shù)構(gòu)建移動代理服務(wù)平臺,為移動端使用企業(yè)內(nèi)部應(yīng)用系統(tǒng)、數(shù)據(jù)庫等資源提供包含數(shù)據(jù)處理邏輯的代理接口,優(yōu)化任務(wù)并行處理,避免阻塞操作,同時可以使得MAS接口的開發(fā)語言與移動應(yīng)用前端保持一致,降低系統(tǒng)建設(shè)與維護(hù)難度[3,4].

對于新開發(fā)系統(tǒng),要求在建設(shè)時預(yù)留移動化業(yè)務(wù)接口.對于現(xiàn)有業(yè)務(wù)系統(tǒng),為了在盡可能不修改系統(tǒng)的情況下實現(xiàn)移動化,在對接時一般采用Web適配技術(shù).

移動平臺與業(yè)務(wù)應(yīng)用系統(tǒng)集成關(guān)系如圖2所示.App調(diào)用MAS接口時,后者會相應(yīng)調(diào)用業(yè)務(wù)應(yīng)用系統(tǒng)的業(yè)務(wù)接口,MAS將返回的數(shù)據(jù)解析后,交由移動門戶App進(jìn)行展現(xiàn).

1.1.3 企業(yè)移動管理平臺(EMM)

使用支持集團(tuán)級應(yīng)用的成熟企業(yè)移動管理平臺,為企業(yè)提供對用戶、設(shè)備、應(yīng)用的準(zhǔn)入與綜合管理服務(wù),并在此基礎(chǔ)上實現(xiàn)企業(yè)應(yīng)用商店、移動接入控制、移動運(yùn)行監(jiān)控等關(guān)鍵功能.移動管理平臺應(yīng)具備二次開發(fā)、集成業(yè)務(wù)管理后臺、擴(kuò)展服務(wù)的能力,保障移動管理體系的完善和全面.

圖2 系統(tǒng)集成示意圖

為支持兩級應(yīng)用,應(yīng)支持建立多級組織機(jī)構(gòu)、多級管理權(quán)限、用戶多組織機(jī)構(gòu)授權(quán).集團(tuán)公司管理員可以管理集團(tuán)總部及各單位的用戶、設(shè)備與應(yīng)用模塊,基層單位管理員可以管理本單位的用戶、設(shè)備與應(yīng)用模塊.

1.2 系統(tǒng)物理架構(gòu)的升級

系統(tǒng)主要由MAS服務(wù)器、EMM服務(wù)器、文檔轉(zhuǎn)換服務(wù)器、反向代理服務(wù)器、安全隔離網(wǎng)閘、SSL VPN、移動終端等關(guān)鍵節(jié)點組成[5-17],網(wǎng)絡(luò)接入方式主要包括移動網(wǎng)絡(luò)接入和Wi-Fi接入,如圖3.

在集團(tuán)側(cè),MAS服務(wù)器部署在集團(tuán)內(nèi)網(wǎng)核心業(yè)務(wù)區(qū),對內(nèi)與集團(tuán)業(yè)務(wù)服務(wù)器對接,對外與移動終端、EMM服務(wù)器對接;EMM服務(wù)器部署在集團(tuán)外網(wǎng)DMZ區(qū),對內(nèi)與MAS服務(wù)器對接,對外與移動終端對接.通過DMZ區(qū)的反向代理服務(wù)器發(fā)布對外服務(wù).

圖3 網(wǎng)絡(luò)架構(gòu)示意圖

為解決基層單位無法在本地使用的問題,各基層單位通過廠內(nèi)局域網(wǎng)為移動平臺提供新的接入通道.在雙網(wǎng)隔離環(huán)境下,應(yīng)部署安全隔離網(wǎng)閘和廠級MAS服務(wù)器.MAS服務(wù)器部署在內(nèi)網(wǎng)核心業(yè)務(wù)區(qū),對內(nèi)與本地業(yè)務(wù)服務(wù)器對接,對外與移動終端對接.在集團(tuán)和基層單位,通過對安全隔離網(wǎng)閘、SSL VPN等進(jìn)行設(shè)置,確保只能訪問到內(nèi)網(wǎng)的反向代理服務(wù)器.

網(wǎng)絡(luò)線路升級后,共有2+N條入口線路:

集團(tuán)線路1: 移動終端通過集團(tuán)辦公Wi-Fi接入,可直接訪問集團(tuán)和各單位的MAS服務(wù)在集團(tuán)側(cè)反向代理服務(wù)器映射到安全隔離網(wǎng)閘DMZ區(qū)的地址.

集團(tuán)線路2: 移動終端通過移動網(wǎng)絡(luò)或其他Wi-Fi的互聯(lián)網(wǎng)接入集團(tuán)側(cè).

(1)EMM服務(wù)器均通過反向代理服務(wù)器代理.

(2)接入VPN后,訪問集團(tuán)和各單位MAS的反向代理服務(wù)器映射到安全隔離網(wǎng)閘DMZ區(qū)的地址.

各基層單位線路N: 移動終端通過廠內(nèi)LTE或Wi-Fi接入,可直接訪問集團(tuán)和各單位MAS的反向代理服務(wù)器映射到安全隔離網(wǎng)閘廠內(nèi)局域網(wǎng)側(cè)的地址.

1.3 系統(tǒng)應(yīng)用架構(gòu)

系統(tǒng)應(yīng)用架構(gòu)包括提供基礎(chǔ)服務(wù)的通用功能模塊和業(yè)務(wù)功能模塊[5-10],如圖4.

圖4 應(yīng)用架構(gòu)示意圖

基礎(chǔ)功能模塊包括: 移動門戶、VPN連接、身份認(rèn)證、智能診斷、推送服務(wù)、應(yīng)用商店等.

業(yè)務(wù)功能模塊包括: 集團(tuán)統(tǒng)一建設(shè)模塊例如生產(chǎn)經(jīng)營、環(huán)保監(jiān)督、協(xié)同辦公、統(tǒng)一待辦、通知公告、生產(chǎn)管理、通訊錄等.基層單位包括例如移動點巡檢、到崗到位、生產(chǎn)監(jiān)控信息等.

1.4 系統(tǒng)安全架構(gòu)

系統(tǒng)安全架構(gòu)應(yīng)從網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)、終端等多方面進(jìn)行設(shè)計,形成完整的安全防護(hù)體系[11-16].

(1)網(wǎng)絡(luò)安全: 通過SSL VPN建立安全網(wǎng)絡(luò)接入通道,采用WPA2-PSK(AES)加密算法管理設(shè)備接入辦公Wi-Fi,并做設(shè)備準(zhǔn)入控制.通過安全隔離網(wǎng)閘、VPN等設(shè)置最小訪問范圍.

(2)應(yīng)用安全: 通過反向代理設(shè)置最小服務(wù)訪問范圍.采用多重身份認(rèn)證機(jī)制,設(shè)置設(shè)備白名單并進(jìn)行綁定.采用應(yīng)用級SSL加密.密碼設(shè)置防窮舉攻擊機(jī)制.采用系統(tǒng)用戶停用機(jī)制.可根據(jù)需要將用戶鎖定.對用戶操作進(jìn)行詳細(xì)的記錄.

(3)數(shù)據(jù)安全: 按照最小緩存策略設(shè)計,內(nèi)部文件以加密圖片形式傳輸并自動清理緩存.用戶名、密碼均加密存儲.應(yīng)用傳輸時數(shù)據(jù)使用高強(qiáng)度算法加密.

(4)終端安全: 移動終端設(shè)置例如開機(jī)密碼、鎖定屏幕等機(jī)制,防止手機(jī)終端被盜用帶來的隱患.安裝安全防護(hù)軟件,減少病毒威脅,阻止越權(quán)訪問,并實現(xiàn)重要數(shù)據(jù)的遠(yuǎn)程擦除功能.

2 移動平臺兩級應(yīng)用優(yōu)化研討

為了滿足對基層單位個性化業(yè)務(wù)的完整支持,既統(tǒng)一標(biāo)準(zhǔn)又能夠柔性適應(yīng)各單位本地業(yè)務(wù)需求,保證廣域網(wǎng)中斷的情況下還能夠部分使用業(yè)務(wù),移動平臺升級為多網(wǎng)絡(luò)入口,也相應(yīng)增加了技術(shù)復(fù)雜性.為實現(xiàn)不同網(wǎng)絡(luò)環(huán)境下的無縫切換,移動平臺的兩級應(yīng)用按照以下原則進(jìn)行優(yōu)化:

(1)用戶無論屬于集團(tuán)總部還是基層單位,都可以使用具有權(quán)限的業(yè)務(wù)功能.

(2)移動端無論處于集團(tuán)總部、基層單位還是其他網(wǎng)絡(luò)位置,都能夠以最佳方式正確訪問具有權(quán)限的業(yè)務(wù)功能.

(3)自動判斷當(dāng)前網(wǎng)絡(luò)環(huán)境,采用適用的方式保證系統(tǒng)的持續(xù)訪問.

本文從身份認(rèn)證、接口服務(wù)、網(wǎng)絡(luò)環(huán)境無縫切換等方面對兩級應(yīng)用優(yōu)化進(jìn)行討論.

2.1 身份認(rèn)證的優(yōu)化

身份認(rèn)證主要包括以下兩類: 集團(tuán)公司業(yè)務(wù)和部分基層業(yè)務(wù)接入的集團(tuán)的統(tǒng)一身份認(rèn)證,其他基層單位業(yè)務(wù)采用的本地認(rèn)證.按照以上原則,身份認(rèn)證需要做以下優(yōu)化:

(1)初始化身份認(rèn)證: 在首次使用移動門戶APP時,應(yīng)通過集團(tuán)入口進(jìn)行認(rèn)證.建立VPN通道后,使用集團(tuán)統(tǒng)一身份認(rèn)證帳號進(jìn)行認(rèn)證,由集團(tuán)MAS提供身份認(rèn)證接口.如果認(rèn)證成功,則在EMM中將此移動設(shè)備加入白名單,并綁定身份,以后啟動移動門戶APP時只需定期更新集團(tuán)統(tǒng)一身份認(rèn)證信息,但不需要頻繁輸入.移動端相應(yīng)增加保護(hù)密碼,例如文本密碼、手勢密碼或指紋密碼等.

(2)日常身份認(rèn)證: 無論用戶的網(wǎng)絡(luò)狀態(tài)如何,客戶端都會在后臺向集團(tuán)MAS接口發(fā)起統(tǒng)一身份認(rèn)證.如果通過認(rèn)證,則可使用全部集成到集團(tuán)的業(yè)務(wù)模塊.對于基層單位本地在線業(yè)務(wù)模塊,則另行通過本地MAS進(jìn)行身份認(rèn)證.對于需要離線使用的模塊,在該模塊每次認(rèn)證成功后,允許免登錄使用,待下次聯(lián)網(wǎng)使用時,再次進(jìn)行身份認(rèn)證,通過認(rèn)證后同步業(yè)務(wù)數(shù)據(jù).如移動門戶APP啟動時由于網(wǎng)絡(luò)原因未完成某類型的身份認(rèn)證,則對應(yīng)的模塊不可用,當(dāng)網(wǎng)絡(luò)狀態(tài)發(fā)生改變時,移動門戶APP會再次發(fā)起身份認(rèn)證,通過認(rèn)證后自動點亮相關(guān)模塊.

2.2 接口服務(wù)的優(yōu)化

為實現(xiàn)不同網(wǎng)絡(luò)環(huán)境下移動接口服務(wù)的最大可用性,方便使用和維護(hù),按照以下思路優(yōu)化部署移動接口服務(wù):

(1)分別通過各單位MAS服務(wù)處理本單位側(cè)業(yè)務(wù),即: 集團(tuán)MAS為接入集團(tuán)統(tǒng)一身份認(rèn)證的所有系統(tǒng)提供業(yè)務(wù)處理接口;基層單位MAS為其他本地業(yè)務(wù)系統(tǒng)提供業(yè)務(wù)處理接口.這樣,若發(fā)生例如廣域網(wǎng)中斷的情況,基層單位用戶可以通過本地線路使用本地業(yè)務(wù)功能,通過集團(tuán)線路2使用已接入集團(tuán)的業(yè)務(wù)功能.

(2)每個網(wǎng)絡(luò)線路上內(nèi)網(wǎng)的反向代理服務(wù)器均發(fā)布集團(tuán)和基層單位MAS的服務(wù),即: 集團(tuán)反向側(cè)代理服務(wù)器將集團(tuán)MAS和各基層單位MAS的業(yè)務(wù)接口全部進(jìn)行代理,各單位反向代理服務(wù)器將集團(tuán)MAS和本單位MAS的業(yè)務(wù)接口進(jìn)行代理.這樣,只要基層用戶的移動終端能夠接入本單位線路或集團(tuán)線路中的任何一條,都可以使用該用戶具有權(quán)限的全部業(yè)務(wù)功能.

反向代理技術(shù)是由代理服務(wù)器作為應(yīng)用服務(wù)的前置機(jī),接收用戶的訪問請求并轉(zhuǎn)發(fā)到相應(yīng)的應(yīng)用服務(wù)器,再將應(yīng)用服務(wù)器的響應(yīng)結(jié)果返回給用戶,反向代理過程對于用戶是無感知的.相比較于其他常用的反向代理服務(wù)軟件,Nginx是一款輕量級的產(chǎn)品,其內(nèi)存占用少,業(yè)務(wù)擴(kuò)展性強(qiáng),并發(fā)能力強(qiáng),具有很高的可靠性和穩(wěn)定性,可支持企業(yè)移動平臺所使用的HTTP和HTTPS協(xié)議,適用于企業(yè)級中小型應(yīng)用,在同類型的反向代理服務(wù)軟件中表現(xiàn)較好[17].

本文中集團(tuán)側(cè)將Nginx反向代理服務(wù)器分別部署在DMZ區(qū)(NginxG1)、內(nèi)網(wǎng)區(qū)(NginxG2).每個基層單位在本單位內(nèi)網(wǎng)區(qū)部署一臺Nginx反向代理服務(wù)器(用NginxN代表).通過配置MAS服務(wù)代理,并提供統(tǒng)一的域名HOSTmas,無論用戶處于集團(tuán)網(wǎng)絡(luò)還是廠級網(wǎng)絡(luò),都可根據(jù)移動端不同的業(yè)務(wù)請求轉(zhuǎn)發(fā)至不同的MAS服務(wù)端,便于系統(tǒng)開發(fā)和維護(hù).

2.2.1 集團(tuán)接口服務(wù)的代理

集團(tuán)接口服務(wù)的代理如圖5所示.

(1)集團(tuán)MAS服務(wù)器MasG內(nèi)網(wǎng)地址為IPmG,對外提供業(yè)務(wù)接口、推送消息接口、管理后臺三項服務(wù).

(2)集團(tuán)反向代理NginxG2地址為IPnG2,在NginxG2上配置MasG的代理訪問至IPmG.對MAS管理后臺URL進(jìn)行過濾,只對外提供業(yè)務(wù)接口、推送消息接口兩項服務(wù).

(3)廠級反向代理NginxN地址為IPnN,在NginxN上配置NginxG2的代理訪問至IPnG2,將集團(tuán)業(yè)務(wù)接口發(fā)布至NginxN.

(4)安全隔離網(wǎng)閘GapG的DMZ端地址為IPgG,在GapG上配置將內(nèi)網(wǎng)NginxG2地址映射為DMZ端地址IPgG和端口PORTmas,將MAS提供的對外服務(wù)發(fā)布至外網(wǎng)DMZ區(qū).

(5)在外網(wǎng)DMZ區(qū)域名服務(wù)器和VPN移動應(yīng)用環(huán)境配置中,將域名HOSTmas指向GapG的DMZ端地址IPgG.確保通過辦公Wi-Fi或VPN接入的終端使用統(tǒng)一的域名訪問MAS服務(wù).

(6)反向代理NginxG1地址IPnG1,在NginxG1上配置MAS代理訪問至IPgG,代理推送接口.

(7)將互聯(lián)網(wǎng)域名HOSTapp指向外網(wǎng)防火墻FWG的互聯(lián)網(wǎng)地址IPfG,在FWG中配置將NginxG1綁定域名HOSTapp.

(8)配置NginxG1,對MAS業(yè)務(wù)接口URL進(jìn)行過濾,只允許通過域名HOSTapp訪問MAS服務(wù)接口,只對外推送消息接口一項服務(wù).

(9)EMM的配置同理,將自動升級、設(shè)備管理接口發(fā)布至互聯(lián)網(wǎng).

圖5 集團(tuán)接口服務(wù)代理示意圖

2.2.2 廠級接口服務(wù)的代理

廠級接口服務(wù)的代理如圖6所示.

(1)廠級MAS服務(wù)器MasN內(nèi)網(wǎng)地址為IPmN,對外提供業(yè)務(wù)接口、管理后臺兩項服務(wù).

(2)廠級反向代理NginxN地址為IPnN.在NginxN上配置MasN的代理訪問至IPmN,代理廠級業(yè)務(wù)接口.

(3)在NginxG2上配置NginxN的代理訪問至IPnN,代理來自于NginxN的廠級業(yè)務(wù)接口.對于多家基層單位,以此方法分別配置廠級業(yè)務(wù)接口的代理.

(4)廠級安全隔離網(wǎng)閘GapN的DMZ端地址為IPgN,在GapN上配置將內(nèi)網(wǎng)NginxN地址映射為外部地址IPgN和端口PORTmas.將MAS服務(wù)DMZ區(qū)域名HOSTmas指向GapN的DMZ端地址IPgN.

2.3 網(wǎng)絡(luò)環(huán)境無縫切換的優(yōu)化

用戶無論處于移動網(wǎng)絡(luò)、外部Wi-Fi還是辦公Wi-Fi,在改變所處網(wǎng)絡(luò)環(huán)境后,系統(tǒng)都能夠在新環(huán)境中自動連接,實現(xiàn)用戶基本無感知的無縫切換.

(1)配置辦公Wi-Fi列表: 在EMM服務(wù)上維護(hù)各單位適用的辦公Wi-Fi列表.移動門戶APP完成用戶綁定后,根據(jù)用戶所在單位下載相應(yīng)的辦公Wi-Fi列表,每次接入EMM服務(wù)認(rèn)證時,檢測是否有新版本的辦公Wi-Fi列表,如有則進(jìn)行更新,確保辦公Wi-Fi列表處于最新狀態(tài).

(2)網(wǎng)絡(luò)狀態(tài)切換時的處理策略: 當(dāng)移動端接入網(wǎng)絡(luò)狀態(tài)切換后,若未處于辦公Wi-Fi下,則自動嘗試通過互聯(lián)網(wǎng)(集團(tuán)線路1)建立至集團(tuán)VPN的安全通道;若處于辦公Wi-Fi列表所包含名稱的網(wǎng)絡(luò)中,則訪問域名為HOSTmas的服務(wù)端,判斷是否為辦公Wi-Fi.若能夠訪問域名為HOSTmas的服務(wù)端,則處于辦公Wi-Fi,可正常開展業(yè)務(wù);若不能訪問,則在下次網(wǎng)絡(luò)狀態(tài)切換之前,都認(rèn)為移動端處于非辦公Wi-Fi下,標(biāo)記該狀態(tài)并自動嘗試通過互聯(lián)網(wǎng)建立集團(tuán)VPN安全通道.此時,只要移動端能夠訪問互聯(lián)網(wǎng),或處于企業(yè)內(nèi)部辦公Wi-Fi網(wǎng)絡(luò)中,都能夠訪問域名為HOSTmas的服務(wù)端,并通過當(dāng)前線路的代理服務(wù)與MAS對接;由于不同的MAS服務(wù)各司其職,反向代理服務(wù)只是轉(zhuǎn)發(fā)數(shù)據(jù),不另外生成會話,所以網(wǎng)絡(luò)切換后,即使切換了代理服務(wù)也不會影響MAS的會話狀態(tài),從而實現(xiàn)業(yè)務(wù)的無縫切換.

圖6 兩級接口服務(wù)代理示意圖

3 結(jié)語

本文在某發(fā)電集團(tuán)企業(yè)的移動平臺現(xiàn)狀基礎(chǔ)上進(jìn)一步研究,設(shè)計了雙網(wǎng)隔離環(huán)境下支持兩級應(yīng)用的集團(tuán)級移動平臺,通過網(wǎng)絡(luò)架構(gòu)升級,以及對身份認(rèn)證、接口服務(wù)和網(wǎng)絡(luò)環(huán)境無縫切換的優(yōu)化,解決了系統(tǒng)兩級應(yīng)用的問題,并進(jìn)行了部分應(yīng)用實踐,方案具有可行性,為雙網(wǎng)隔離環(huán)境的集團(tuán)企業(yè)建設(shè)移動平臺提供了一定的參考.