■ 青岛 于延菊

信息技术的进步和智能终端的普及为人们利用碎片化时间进行移动办公提供了良好的基础条件。越来越多的企业IT应用建设正在向移动办公设备迁移，将现有IT系统延伸到移动终端上。因此，搭建企业移动办公平台，为员工提供便捷的办公渠道，创新工作方式，拓展工作空间，具有重要的现实意义。

结合企业业务实际和信息平台建设的一般规律，现从兼容性、可扩展性、便捷性、安全性及经济性5个方面提出移动平台的建设需求如下：

1.移动办公平台需要具有兼容性。

2.移动办公平台需要具有可扩展性。

3.移动办公平台需要具有统一用户认证功能，在移动智能终端一次登录，即可访问移动办公平台集成的各应用系统。

4.移动办公平台需要具有较高的安全性。

5.移动办公平台主要为企业员工在非内网办公环境时，利用碎片化时间办理业务流程审批流转及文件浏览提供便利，系统建设经济适用即可。

设计思路

一般的业务应用系统核心关注点在于通过信息系统来实现某一类业务线条流程和业务过程的管理，如合同系统主要是完成从合同准备到合同归档的全生命周期管理，公文系统主要用于各类公文的线上审批流转。而移动办公平台与一般的业务应用系统截然不同，它是各类业务系统在智能终端的延伸。这些业务系统采用的技术框架、软硬件平台、数据结构和交互模式各不相同。移动办公平台的设计思路要围绕与这些异构系统的集成展开。

业界中解决异构系统集成的主流方案是企业应用集成（Enterprise Application Integration，EAI）。具体实现方法比较多，目前应用比较广泛和成熟的是面向服务架构（Service-Oriented Architecture，SOA）。SOA是一种面向服务的一种分布式软件架构，是将软件设计成一组可互操作的服务的一套原则或方法论。通过特定的数据格式集成一些服务完成系统构建，相比面向过程和面向对象而言，面向服务架构是粒度最大的。SOA体系架构是一种粗粒度、开放式、松耦合的服务结构，强调服务共享和重用，要求软件产品在开发过程中，按照相关的标准或协议，进行分层开发。

Web Service技术，不仅是SOA模式的主要实现技术，而且是建立在独立平台的协议和开放标准基础上的企业应用集成技术，它对操作系统、开发框架、服务器与数据库等没有任何限制，可动态查询、发现并调用的所需的服务。因此在本文中选用Web Service来实现移动办公平台与第三方应用系统的集成，一方面解决软件上跨框架、跨平台的难题，另一方面满足了可扩展性和灵活性的需求。服务器虚拟化技术实现了硬件的可扩展性及可配置性，虚拟机可以方便地迁移、备份、资源优化调整，选择在虚拟机环境中构建移动办公平台，规避了物理服务器的种种弊端。

为此，移动办公平台整体架构按照SOA体系构建，与第三方应用系统的集成采用Web Service技术，操作系统运行环境基于虚拟机搭建，确保了移动办公平台的可扩展性和灵活性，并降低了系统的建设成本和运维成本。

关键技术

1.Web Service技术

Web Service是一个平台独立的、低耦合的、自包含的、基于可编程的Web的应用程序，可使用开放的XML（标准通用标记语言下的一个子集）标准来描述、发布、发现、协调和配置这些应用程序，用于开发分布式的互操作的应用程序。

当客户端调用一个Web Service的方法时，首先将方法名称和需要传递的参数包装成XML，也就是SOAP包，通过HTTP协议传递到服务器端，然后服务器端解析这段XML，得到被调用的方法名称和传递过来的参数，进而调用Web Service相应的方法，方法执行完毕后，将返回结果再次包装为XML，也就是SOAP响应，发送到客户端，最后客户端解析这段XML，最终得到返回结果。

Web Service具有以下几个显著特征：

（1）跨平台和跨语言；

（2）松耦合；

（3）基于开放标准。

2.服务器虚拟化技术

服务器虚拟化是将服务器物理资源抽象成逻辑资源，使物理服务器虚拟化成诸多相互隔离虚拟服务器，使物理上的CPU、内存、磁盘、I/O等硬件变成可以动态管理的“资源池”，从而提高资源利用率，简化系统管理，实现服务器整合。

目前市场上主流的虚拟化产品有：VMware vSphere、Microsoft Hyper-V、Citrix XenServer。从国际市场占有率来看，VMware在服务器虚拟化方面占有主导地位。

vSphere是VMware推出的基于云计算的新一代数据中心虚拟化平台，提供了虚拟化基础架构、高可用性、集中管理、监控等一整套解决方案。VMware vSphere虚拟化打破了物理硬件与操作系统及其在其上运行的应用程序直接的硬性连接。操作系统和应用程序在vSphere虚拟机中实现虚拟化之后，便不再因资源位于单台物理服务器中而受到种种束缚。

支持虚拟机的基础架构至少包含两个软件层：虚拟化层和管理层。在vSphere中，对应的是两个核心组件：ESXi和vCenter Server。

ESXi提供虚拟化功能，用于将主机硬件作为一组标准化资源进行聚合并将其提供给虚拟机，创建和运行虚拟机、虚拟设备。

vCenter Server服务用于管理网络和资源池中连接的多个主机。vCenter Server可用于将多个主机的资源加入池中并管理这些资源，可以有效监控和管理物理及虚拟基础架构，管理虚拟机的资源，配置虚拟机，调度任务，收集统计信息日志，创建模板等。

vCenter Server还提供了vSphere vMotion（虚拟机主机迁移）、vSphere Storage vMotion（虚 拟机存储迁移）、vSphere Distributed Resource Scheduler (DRS动态资源分配)、vSphere High Availability（HA高可用）和vSphere Fault Toleranc e（容错）。

本文中采用VMware vSphere虚拟机作为企业移动办公平台的服务器，主要是要利用上述服务，实现移动办公平台的高效自动化资源管理及高可用性。

图1 移动办公平台功能架构示意图

图2 移动办公平台技术架构逻辑图

架构设计

1.业务功能架构

移动办公平台功能建设分三个部分：终端访问、业务功能、后台管理。终端访问的类型包括iOS、Android智能终端及PC端。业务功能主要是实现第三方业务系统，如合同、公文、BPM等业务系统的移动审批。后台管理包括设备管理、用户管理、应用管理及相关接口配置。三部分功能相辅相成，完成移动办公平台数据的全过程管理。移动办公平台功能架构如图1所示。

2.移动办公平台技术架构

基于VMware vSphere 6.0虚拟机环境安装Windows Server 2012 R2，搭建基础的系统层面。利用SQL Server 2012构建管理数据存储层，基于IIS和Visual Studio的开发平台构建管理平台，应用管理员利用PC端浏览器来进行管理。

为保证应用体验移动办公平台前端采用原生态的开发模式。采用Native APP的开发模式，需要针对Android、iOS不同的移动终端操作系统采用不同的开发语言和框架进行开发。iOS的前端利用Object C进行开发，Android利用Java技术进行开发。

图2为移动办公平台技术架构逻辑图。移动办公平台后端借鉴SOA的架构，采用四层结构，将数据管理层、业务逻辑层、服务管理层、用户交互层分开进行设计，并将用户、权限等安全管理、系统管理、操作记录与消息通信过程等贯穿始终。

数据管理层实现对数据库服务器的读写操作；

业务逻辑层处理业务逻辑，提供工作流引擎、业务组件、业务实体等业务逻辑处理的基本服务；

服务管理层在业务逻辑层的基础上，提供服务组合与发布，服务接受和服务代理等功能，服务组合与发布是在现有的基础服务，通过组合和排列形成新的服务对外提供；

服务提取通过将系统中的细粒度的接口逻辑以服务的方式提取出来，如针对某项业务的读写服务等；服务代理则将外部的数据或服务请求转交给为内部的服务，调用相关的服务参数，实现对外的服务访问。

在用户交互层中对功能的方便快捷访问，提供了多种展现方式，如浏览器用户、移动终端、以及各种UI组件等。

3.移动办公平台集成架构

图3为移动办公平台集成架构。该架构特点主要体现在：

图3 移动办公平台集成架构

（1）统一身份认证

移动办公平台用户认证方式采用统一身份认证，在平台中只存储用户账号信息，不存储密码，用户在终端输入账号、密码后提交到企业AD域服务器做身份认证，认证成功后，生成认证标志（Ticket），返回给平台。移动办公平台账号作为主账号，通过服务器端的应用账号自动映射，实现集成在移动平台上的多个应用只需在移动设备上登录一次即可实现单点登录,无缝切换。

（2）数据交换采用XML格式

移动办公平台与第三方应用系统业务数据集成主要包括：待（已）办列表、待（已）办详细信息展示，审批意见提交等，集成方式采用Web Service接口。

XML是Web服务中数据传输的基本格式，它使用Unicode编码，采用自描述的数据结构，能够以简单的文本文档格式储存、传输、读取数据。通过使用XML解决了跨不同平台使用不同应用程序中不同数据格式的问题。在移动客户端与移动应用服务器之间、移动应用服务器与第三方应用系统之间的数据传递采用XML格式，易于技术人员理解和沟通，可提高接口编写工作的效率。

（3）页面适配

第三方应用系统的业务数据通过Web Service接口以XML格式传递到移动办公平台，数据经过转换后发送到移动终端，移动终端对XML进行解析，展现页面。

（4）保障数据传输安全

移动用户每次在请求数据时提供身份凭据，移动办公平台服务器检查该身份后，再向第三方应用系统请求数据时同样也要验证核实身份凭据。该技术可保障应用系统准确获得用户身份，而确保数据不被匿名用户获取。

4.移动办公平台安全架构

企业办公平台服务器部署一般有两种选择，一种是部署在企业内网环境中，一种是部署在企业DMZ区。综合考虑网络安全防护成本投入、业务数据交互情况，移动办公平台选择部署在企业内网服务器区内。

如图4移动办公平台安全架构所示，移动办公平台的系统安全、应用安全、数据安全及传输安全设计如下：

（1）系统安全：移动办公平台操作系统部署在VMware vSphere虚拟机中，利用VMware的动态迁移、快照、克隆功能，同时通过杀毒软件安装、安全基线配置与服务器主机安全加固相结合，保障了移动办公平台运行环境的安全。服务器运维人员通过AD认证后，登录堡垒机进行移动办公平台服务器运维，整个系统运维过程可追溯审计。

图4 移动办公平台安全架构

（2）应用安全：移动办公平台采用统一身份认证，与第三方应用系统做单点登录集成；用户授权基于角色设计；移动用户账号与智能终端设备号绑定，智能终端设备若丢失，可以解除移动用户与设备的绑定。

（3）数据安全：利用SQL Server 2012的透明数据加密技术，对数据库文件、数据库备份文件进行加密，即使数据库文件被拷贝或者备份文件被移走恢复，都无法打开或查看文件里的数据,数据加密SQL命令如下：

use master;

go

create master key encryption by password='******'

--创建数据库服务器master key，key使用密码加密

create certificate tsqlcert with subject='tsqlcert_TDE'

--创建服务器证书tsqlcert

（4）传输安全：VPN 虚拟专用网络是一种远程访问技术，目的是解决用户通过互联网访问企业内网环境资源，为了保证数据安全，VPN服务器和客户机之间的通讯数据都进行了加密处理。

智能终端在互联网环境中，通过VPN接入企业内网，访问企业移动办公平台及第三方应用系统，数据经过加密处理，保障了数据传输过程的安全。

总结

本文从兼容性、可扩展性、便捷性、安全性及经济性五个方面提出企业移动办公平台的建设需求，借鉴SOA体系架构，采用Web Service技术集成现有的异构应用系统，基于服务器虚拟化环境构建移动办公平台，给出了移动办公平台的架构设计，该移动办公平台是一种松耦合架构，具有良好的可扩展性。