移动云应用解决方案

***
移动云办公应用解决方案
移动办公应用解决方案
目录
1. 项目背景 (1)
2.某集团项目介绍 (2)
3.移动办公移动云接入方案 (3)
4.移动办公移动云应用接入特点 (5)
4.1 虚拟化应用 (5)
4.2 应用可视化管理 (5)
4.3 应用加速 (6)
4.4 保护企业核心资源 (6)
4.5 降低企业管理成本 (6)
5.安全性保证 (7)
5.1多样化接入认证方式 (7)
5.1.1 AD域认证 (7)
5.1.2 动态令牌认证 (7)
5.1.3 手机令牌认证 (7)
5.1.4 手机SIM卡绑定 (8)
5.1.5 手机硬件特征码绑定 (8)
5.1.6 证书认证 (8)
5.1.7 短信认证 (8)
5.2 VPDN/APN接入支持 (8)
5.3 硬件终端绑定 (9)
5.5 服务器端保护 (9)
5.6 前置机隔离安全 (9)
5.7 数据链路加密 (9)
6.易用性 (9)
6.1 操作简单 (9)
6.2 速度优化 (9)
6.3 个性定制 (9)
附录移动办公云平台技术指标 (10)
1. 项目背景
随着企业信息化建设的发展，企业信息化应用的越来越多，如企业局域网、邮件系统、ERP、OA办公系统、共享文件、远程桌面等；同时，2009年以来，3G 业务正式商用，各大运营商积极布局，广大的用户可以享受到手机上网、手机搜索、手机音乐、手机电视、可视电话、手机报、手机邮箱、手机导航、手机支付、手机在线游戏等精彩纷呈的3G业务。

3G手机的广泛使用，特别是平板电脑的兴起，带来了用户对移动远程接入企业资源的新型需求，如何利用手机的方便性优势，平板电脑的良好操控性，使企业用户获得高效、快捷和安全的信息化应用环境，成为亟待解决的一个问题。

2.某集团项目介绍（按实际补充）
随着信息化办公的建设发展，电子化、数据化的办公方式已进入越来越多的企业和政府单位，信息化的办公系统在单位内部编织起一套高效、畅通的信息互联体系，极大推动了生产力的发展。

但与此同时，由于需要依赖固定的办公场所和固定的办公配套设备，信息化的极盛发展又开始凸显一些新办公模式的问题：如何才能打破这些时空上的信息束缚限制，跳出固化的信息化建设窠臼，建立一套可以随时、随地、随手使用的信息系统，使得管理者、下属不管置身何地，都能随心所欲地和单位内部系统关联？移动办公已成为我们的一种必然选择。

由于网络条件的优化，终端平台访问的不断升级，网络和硬件技术已完全达到应用需求，配套的软件开发技术也已成熟。

目前移动虚拟化办公主要有两个发展方向：一是在不同类型的手机和平板上开发适配版本，此方案难度在于要针对不同的手机开发适配版本，且在软件开发周期上基于客户各应用单元需求，在手机上为每个软件开发定制版本，方案在手机上应用操控性较好，但是应用开发周期长，费用较高；二是虚拟化方案，将桌面软件镜像到手机和平板上进行应用，虽然在手机上的操控性较弱，但是项目实施快，适应性强，不管是B/S还是C/S 架构系统能一次性部署，且扩展性很强，在平板电脑上的应用十分接近PC操作。

某集团已建设好联合办公系统，为了满足各部门随时随地便携办公的需求，在原有笔记本移动办公基础上进一步扩展移动办公方式，实现手机移动办公，并将适用范围扩展到每一个移动办公员工，让大家体验到科技带来的便利与效率，因此亟需安全快捷的移动虚拟化接入方案。

但在建设用户移动虚拟化方案时，遇到以下问题：
1、如何快速推广并部署手机移动虚拟化方案。

2、如何实现移动虚拟化方案的统一管理
3、如何保障移动办公中的接入身份安全，数据通讯安全。

3.移动云接入方案
移动办公应用采用虚拟化技术，提供最佳的应用性能和灵活的应用虚拟化。

某集团通过部署移动办公移动云办公平台（双机热备，保证业务实时在线）实现移动接入的中心管控，通过其将各种应用软件发布到手机界面中，员工无需在手机上安装任何业务软件，即可随时随地安全地访问服务器上的各种应用软件。

该系统为员工移动办公带来了质的变革，它开创了国内远程接入及应用虚拟化应用的先河，在PC、笔记本的基础上率先实现了手机客户端的接入功能，确保用户随时随地通过手机客户端远程登录、执行应用程序。

系统支持Ios、Android （平板&手机）、Windows等各种智能平台。

解决方案的网络拓扑结构如下图所示：
1、平台：在某集团的数据中心机房部署移动办公移动云平台，实现：应用虚拟化办公发布、用户权限管理、用户统一身份认证管理、日志审计等功能。

移动云平台设备放在客户数据机房，防火墙对外开放其TCP443端口（移动用户通过3G专线访问内网，则无须开放），对内能够访问到iserver前置机的TCP3389和TCP1234（默认设置，可更改）端口。

移动用户可结合3G专线在内部加密线路下，使用移动办公移动云应用方
案，实现更高安全级别的链接接入。

视接入用户多少配置接入带宽，保守估计按每用户接入须100K预留带宽，并发10用户建议2M光纤，并发100用户建议10M光纤，并发1000用户建议100M光纤。

2、Iserver服务器（应用承载服务器）：为了保护某集团后台应用服务器的安全及更好的实现应用负载，要在数据中心机房里部署至少一台应用服务器做前置应用服务器（server2003或server2008系统），为手机移动用户提供应用承载平台，结合组策略或域安全策略，实现前置机更大程度的安全。

如果云客户端很多的情况下，可以部署多台应用服务器，移动办公的云平台支持应用的负载均衡，可以让移动用户接入应用更加快速。

该系统是在微软RDP基础上进行开发，所以Iserver服务器需要安装终端服务，对外开放TCP3389端口，此外，为了更好实现接入应用，Iserver服务器上还需开放iserver模块的TCP1234（默认设置，可更改）端口，实现虚拟键盘、手机分辨率、3G连接优化、输入法（手写）支持、位图定位、单点登录、RDP负载均衡、IE浏览器安全控制等功能。

3、移动办公用户（移动云客户端ICAB）：云接入平台，允许用户使用手机或平板电脑（苹果、安卓）以3G、WIFI或3G专线方式接入，在移动云客户端上安装移动办公云客户端的软件，通过云客户端认证后，客户即可以安全的使用办公应用。

目前支持的移动云客户端平台有苹果的IPHONE,IPAD,ITOUCH，谷歌的Android和微软的Mobile及Phone7系统。

4.移动办公应用接入特点
4.1 虚拟化应用
用户可以利用3G智能手机进行安全接入，通过手机客户端，用户可以很方便的进行远程资源访问，用户可以任意的使用WINDOWS服务器上所有资源，而资源原本在手机上是无法使用的，你可以打开ERP或OA办公系统，就像你在电脑上使用一样。

4.2 应用可视化管理
3G应用虚拟化系统能方便快捷的为客户提供各种应用虚拟化：无论是B/S、C/S应用，还是局域网络共享文件，服务器的远程管理，管理员都可以通过手机随时随地为企业客户提供服务。

企业用户可以通过统一界面看到各自权限内的应用资源，直观的进行办公操作。

提高资源使用效率。

应用资源统一虚拟化页面示例
如图所示。

4.3 应用加速
系统通过独特的HTTPS(SSL VPN)压缩、位图加速（虚拟化压缩技术）、应用缓存加速、它可以加速所有3G业务应用，并使所有跨无线广域网的3G应用性能得到显著提高，为用户创造最佳的网络体验与服务。

4.4 保护企业核心资源
系统能够很好的保护企业核心资源，防止各种网络应用层攻击，阻止黑客等不法分子刺探企业的客户资料和机密文件。

移动办公移动云系统基于SSL 的数据加密技术，通过严格完善的用户权限管理，应用多种登录验证手段，确保合法用户安全访问应用。

4.5 降低企业管理成本
只须升级服务器端程序版本，客户端即可享受应用更新，无须对客户端做额外维护。

管理员可以轻松设定远程用户的访问时间策略和权限，并可指定某个用户使用指定的计算机登录。

此外，管理员可以通过清晰的表格，查看企业用户的
使用情况和历史记录，提高IT管理效率。

5.安全性保证
5.1多样化接入认证方式
所有的智能手机或平板终端都要经过认证，才可以接入云平台，终端的认证方式有本地认证（用户名，密码）、第三方认证（LDAP/RADIUS/AD）、动态令牌（一次性密码认证令牌），手机SIM卡绑定、SD证书认证（云设备CA/第三方CA）、短信认证等方式。

5.1.1 AD域认证
该平台可与用户AD域（或RADIUS）进行结合。

用户无需在移动办公设备上建立另外一套账号密码，即可用原有的AD域账号进行登录，并访问其权限内的应用。

5.1.2 动态令牌认证
可增配动态口令RSA令牌（类似网络银行的U盾，即在静态用户名和密码外增加一重安全性保障），实现更高级别的接入安全。

GA平台内置了动态令牌服务端，基于时间周期与客户端动态令牌进行同步，每隔60秒产生一个新的口令，口令根据特定算法生成不可预测的随机数字组合，且每个口令只能使用一次。

5.1.3 手机令牌认证
手机令牌认证原理类似动态令牌认证。

移动办公SGA平台内置了手机动态令牌服务端，在手机上安装移动办公手机令牌客户端软件，基于事件触发方式，与SGA服务器保持密码同步。

由于其高安全性和易携带性，手机令牌认证将成为3G 时代的主流认证方式。

5.1.4 手机SIM卡绑定
支持Android系统SIM卡绑定，通过移动办公ICAB软件读取SIM卡特定信息，生成唯一特征码，在SGA后台设定用户SIM绑定后，用户第一次登录前台，会自动上传唯一特征码，完成SIM卡绑定。

5.1.5 手机硬件特征码绑定
支持Android、IOS系统硬件特征码绑定，通过移动办公ICAB软件读取手机硬件信息，生成唯一特征码，在SGA后台设定用户手机硬件特征码绑定后，用户第一次登录前台，会自动上传唯一特征码，完成手机硬件信息绑定。

5.1.6 证书认证
支持SD卡证书认证。

移动办公SGA设备可做证书签发，或结合第三方证书认证平台，数字证书中含有密钥对（公钥和私钥）所有者的识别信息，通过验证识别信息的真伪实现对证书持有者身份的认证。

手机用户第一次以静态用户名密码方式登录，进行证书下载，下载证书安装后，即可由启用证书认证。

如果是证书和静态用户名密码绑定用户，用户卸载终端或者更换设备后，须通知管理员清除其证书下载状态，才能再次下载证书进行认证。

5.1.7 短信认证
支持和短信猫或短信平台结合认证。

管理员在后台设置手机短信认证功能，为每个用户绑定手机号码，用户在进行移动办公登录时，首先会收到系统发送的短信验证码，才能在移动平台上进行相应的登录操作。

5.2 VPDN/APN接入支持
移动办公云平台客户端,支持运营商的APN专线域接入方式,可以保证用户的无线安全性(不上互联网)特殊安全要求。

5.3 硬件终端绑定
可以对手机做硬件绑定，绑定后，用户只能通过此绑定的手机或者平板电脑登录云平台。

5.5 服务器端保护
有云平台设备作接入，可以最大限度的保护服务器，可以避免服务器直接开放到互联网，另外，移动办公云平台是基于代理的方式访问的，所以可以不要求服务器上网，可以做到服务器和互联网的隔离，可以避免服务器受互联网的攻击和威胁。

5.6 前置机隔离安全
在客户服务器区域部署前置机做堡垒机，既可以保护服务器的安全，又可以提高手机远程应用的速度，并且实现虚拟键盘、单点登录、3G网络优化等多项功能提升。

5.7 数据链路加密
手机终端在接入到云平台后，应用数据传输是经过国际标准算法SSL加密的，真正保证数据的传输安全。

6.易用性
6.1 操作简单
云客户端支持滚动，重力感应，屏幕缩放，支持触摸板、触摸屏方式，对触摸和手势进行了优化，让操作更加简单快捷。

6.2 速度优化
云客户端由于采用了高压缩缩放，每个客户端接入带宽只有30KB，最大限度提升了使用的性价比。

6.3 个性定制
支持个性化服务，定制登录LOGO，给客户定制自己的个性体验。

附录移动办公云平台技术指标技术指标：。