專利名稱:安全的企業(yè)移動辦公應(yīng)用交付方法
技術(shù)領(lǐng)域:
本發(fā)明涉及辦公自動化系統(tǒng),特別是涉及利用無線網(wǎng)絡(luò)的移動辦公自動
化系統(tǒng),尤其涉及支持手持智能終端設(shè)備的安全的企業(yè)移動辦公應(yīng)用交付方法。
技術(shù)背景隨著全球化和社會信息化的發(fā)展,企業(yè)傳統(tǒng)的固定式辦公模式已經(jīng)不能 適應(yīng)企業(yè)隨需應(yīng)變的需要,動態(tài)、分布、扁平、高效是現(xiàn)代企業(yè)運作架構(gòu)的典型特點,IT成為 不可或缺的技術(shù)支撐,高效的IT造就高效的企業(yè)。 移動辦公打破企業(yè)辦公的物理邊界,借助移動通信技術(shù)形成一個動態(tài)的企業(yè)辦公 網(wǎng)絡(luò),能夠滿足隨時隨地辦公的需要,大大提升企業(yè)運營的效率。 無線通信技術(shù)的發(fā)展,為移動應(yīng)用的發(fā)展提供了前所未有的機會,無線互聯(lián)網(wǎng)的 發(fā)展風(fēng)生水起,成為互聯(lián)網(wǎng)新一輪發(fā)展的主要推力。3G移動通信的普及給企業(yè)移動辦公奠 定了堅實的技術(shù)基礎(chǔ),移動通信的網(wǎng)絡(luò)帶寬已經(jīng)不是主要的障礙,在企業(yè)應(yīng)用領(lǐng)域,隨時隨 地的移動辦公已經(jīng)開始變成現(xiàn)實。 企業(yè)現(xiàn)有的許多應(yīng)用系統(tǒng)開發(fā)時基本沒有考慮移動終端的因素,導(dǎo)致現(xiàn)在實現(xiàn)移 動辦公具有很大的障礙,主要是安全和移植成本兩大問題,安全可能導(dǎo)致企業(yè)領(lǐng)導(dǎo)望而卻 步,有的企業(yè)甚至寧要安全不要移動,在IT成本精打細算的情況下,把現(xiàn)有應(yīng)用移植到移 動終端的開發(fā)和時間成本有時也是考慮的重要因素。 目前的移動辦公解決方案主要分為兩種類型一種是對現(xiàn)有應(yīng)用系統(tǒng)進行表現(xiàn)層 變換,以一種適應(yīng)移動終端的新界面展示給移動終端用戶,在服務(wù)端自動映射到原系統(tǒng)對 應(yīng)的頁面或功能模塊;另一種是安全的解決方案,提供一個安全的傳輸通道,讓移動客戶端 直接通過安全通道訪問應(yīng)用系統(tǒng),類似互聯(lián)網(wǎng)上的VPN方案。第一類方案解決了應(yīng)用的終 端適應(yīng)性問題,但是沒有整體性的安全保證,對一些安全要求較高的組織,并不滿足要求, 可以說安全不是該類方案的主要選項;第二類方案主要是一些安全接入廠商提供,從安全 角度入手,但是沒有考慮移動終端應(yīng)用的特點,手持移動客戶端應(yīng)用體驗很差,而且應(yīng)用在 無線移動通信條件下受帶寬和網(wǎng)絡(luò)穩(wěn)定性的影響,有時并不能順暢地訪問。
現(xiàn)有技術(shù)存在以下不足 1、對現(xiàn)有應(yīng)用系統(tǒng)進行表現(xiàn)層變換的方案,沒有整體性的安全保證,不能滿足安 全要求較高的組織; 2、安全的解決方案沒有考慮移動終端應(yīng)用的特點,應(yīng)用在無線移動通信條件下受 帶寬和網(wǎng)絡(luò)穩(wěn)定性的影響,并不能保證順暢地訪問。 發(fā)明內(nèi)容本發(fā)明要解決的技術(shù)問題在于避免上述現(xiàn)有技術(shù)的不足之處而提出一 種安全的企業(yè)移動辦公應(yīng)用交付方法。 本發(fā)明提出一種安全的企業(yè)移動辦公應(yīng)用交付方法,在不改變現(xiàn)有企業(yè)應(yīng)用的情 況下,可以快速、安全地把現(xiàn)有應(yīng)用延伸到智能手機等移動終端,該方法兼顧安全和應(yīng)用體 驗兩方面需求,提出一種移動應(yīng)用安全模型解決安全問題,通過應(yīng)用表現(xiàn)層的移動終端自 適應(yīng)變換提升應(yīng)用體驗。 本發(fā)明解決所述技術(shù)問題可以通過采用以下技術(shù)方案來實現(xiàn)提出一種安全的企 業(yè)移動辦公應(yīng)用交付方法,利用在移動終端上運行的軟件模塊和在企業(yè)移動辦公服務(wù)器上
5的運行的軟件模塊,實現(xiàn)移動終端與辦公服務(wù)器的應(yīng)用交互,所述交付方法依次包括以下 步驟 A、設(shè)計在移動終端運行的軟件模塊,所述軟件模塊包括終端安全模塊和應(yīng)用訪問 模塊; B、所述終端安全模塊向企業(yè)移動辦公服務(wù)器發(fā)送移動終端的身份驗證信息;
C、上述步驟B中,移動終端的身份驗證信息經(jīng)企業(yè)移動辦公服務(wù)器驗證通過后, 所述應(yīng)用訪問模塊開始與企業(yè)移動辦公服務(wù)器進行應(yīng)用交互。 在所述企業(yè)移動辦公服務(wù)器上運行的軟件模塊包括虛擬應(yīng)用訪問模塊、移動應(yīng)用 自適應(yīng)變換模塊和應(yīng)用程序模塊;所述應(yīng)用程序模塊為企業(yè)提供多種辦公系統(tǒng)應(yīng)用;虛擬 應(yīng)用訪問模塊為移動終端提供統(tǒng)一的安全應(yīng)用訪問入口,統(tǒng)一管理移動終端接入和應(yīng)用訪 問的安全策略,把應(yīng)用程序資源授權(quán)給移動終端用戶,控制應(yīng)用訪問,記錄移動終端用戶訪 問行為,進行安全審計;所述移動應(yīng)用自適應(yīng)變換模塊是將企業(yè)辦公系統(tǒng)應(yīng)用程序模塊的 表現(xiàn)層自適應(yīng)地轉(zhuǎn)換到移動終端上,使應(yīng)用程序模塊的應(yīng)用程序能在移動終端中應(yīng)用。
所述虛擬應(yīng)用訪問模塊包括安全接入模塊、應(yīng)用接入模塊、用戶管理模塊、授權(quán)管 理模塊、單點登錄模塊和安全審計模塊;所述安全接入模塊、用戶管理模塊、授權(quán)管理模塊
和安全審計模塊構(gòu)成系統(tǒng)的安全體系;所述安全審計模塊對移動終端用戶的操作過程進行 記錄和回放,實現(xiàn)安全審計; 步驟B在進行移動終端的身份驗證時還包括以下子步驟
Bl、終端安全模塊對移動終端進行配置和安全狀態(tài)檢測;
B2、終端安全模塊把安全狀態(tài)檢測信息發(fā)送到安全接入模塊; B3、安全接入模塊對所接收到的安全狀態(tài)檢測信息進行分析,根據(jù)內(nèi)在安全策略 評估該移動終端是否達到系統(tǒng)的安全級別,如果判斷結(jié)果為該移動終端達不到安全級別, 則安全接入模塊拒絕該移動終端接入系統(tǒng); B4、上述步驟B3中,如果判斷結(jié)果為該移動終端已達到安全級別,則安全接入模 塊允許該移動終端接入系統(tǒng)。 所述安全接入模塊包括安全驗證模塊、安全策略管理模塊和安全漏洞管理模塊; 安全驗證模塊用于對移動終端安全狀態(tài)進行驗證,驗證結(jié)果作為準入控制的依據(jù);安全策 略管理模塊是策略設(shè)置管理中心;安全漏洞管理模塊實現(xiàn)安全漏洞管理,管理移動終端安 全補丁,支持移動終端安全漏洞修復(fù);所述安全驗證模塊用于對移動終端安全狀態(tài)進行驗 證,并將驗證結(jié)果作為移動終端接入企業(yè)移動辦公服務(wù)器的依據(jù);所述安全策略管理模塊 是策略設(shè)置管理中心,管理員利用該模塊根據(jù)業(yè)務(wù)安全需設(shè)置移動終端的接入控制策略, 這些策略是安全驗證模塊判定移動終端安全級別的安全準則;所述安全漏洞管理模塊管理 移動終端的安全補丁,支持移動終端安全漏洞修復(fù)。 所述終端安全模塊在實施所述步驟Bl之前主動與安全接入模塊連接,向安全漏
洞管理模塊申請下載安全補丁,升級所述移動終端以提升安全防護級別。 所述移動應(yīng)用自適應(yīng)變換模塊包括訪問代理模塊和自適應(yīng)變換模塊; 在所述步驟C中,所述移動終端與企業(yè)移動辦公服務(wù)器進行應(yīng)用交互時包括以下
子步驟 Cl、所述應(yīng)用訪問模塊向應(yīng)用接入模塊發(fā)送訪問請求,應(yīng)用接入模塊根據(jù)移動終
6端用戶身份信息,把授權(quán)該用戶可訪問的應(yīng)用列表信息返回給移動終端,顯示在移動終端 的界面上; C2、移動終端用戶從應(yīng)用列表中選擇一個應(yīng)用項目,啟動應(yīng)用訪問,將訪問請求發(fā) 送到應(yīng)用接入模塊; C3、應(yīng)用接入模塊把移動終端的應(yīng)用請求連同移動終端的交付特征參數(shù)轉(zhuǎn)發(fā)到訪 問代理模塊; C4、訪問代理模塊接收從應(yīng)用訪問模塊發(fā)送來的應(yīng)用訪問請求,將其轉(zhuǎn)發(fā)到應(yīng)用 程序模塊中對應(yīng)的應(yīng)用程序; C5、應(yīng)用程序模塊中對應(yīng)的應(yīng)用程序響應(yīng)訪問請求,并返回處理結(jié)果給訪問代理 模塊; C6、訪問代理模塊調(diào)用自適應(yīng)變換模塊,把應(yīng)用系統(tǒng)返回結(jié)果按照移動終端交付 特征參數(shù)進行變換處理,然后把變換后的結(jié)果返回給應(yīng)用接入模塊; C7、應(yīng)用接入模塊將接收到的經(jīng)自適應(yīng)變換模塊變換后的結(jié)果返回給應(yīng)用訪問模 塊,完成一個交互過程。 所述應(yīng)用訪問模塊向用戶展示授權(quán)可訪問的應(yīng)用,根據(jù)用戶的選擇向后面的應(yīng)用 程序模塊發(fā)出應(yīng)用請求,并把應(yīng)用程序模塊返回的信息展示給用戶;終端安全模塊檢測和 管理移動終端的安全狀態(tài),根據(jù)移動終端的安全狀態(tài),進一步控制移動終端是否可以訪問 企業(yè)移動辦公服務(wù)器上的應(yīng)用。 所述單點登錄模塊用于控制移動終端用戶的訪問策略;單點登錄模塊在虛擬應(yīng)用 訪問模塊和應(yīng)用程序模塊的應(yīng)用程序之間建立用戶身份信任鏈,實現(xiàn)移動終端用戶輸入一 次登錄密碼,就可以訪問授權(quán)的所有應(yīng)用程序,而不需要用戶打開每個應(yīng)用都要輸入用戶 驗證信息。 應(yīng)用系統(tǒng)一般都有用戶登錄驗證功能,如果用戶尚未與應(yīng)用建立交互會話,需要 首先通過應(yīng)用的登錄驗證。如果沒有啟用單點登錄,應(yīng)用接入模塊直接把應(yīng)用連接登錄請 求轉(zhuǎn)發(fā),用戶將會看到應(yīng)用登錄界面展現(xiàn)出來;如果啟用了單點登錄功能,則應(yīng)用接入模塊 會把應(yīng)用登錄請求轉(zhuǎn)給單點登錄模塊處理,由單點登錄模塊通過訪問代理模塊與應(yīng)用系統(tǒng) 交互完成登錄驗證,登錄驗證過程結(jié)束后,單點登錄模塊把應(yīng)用會話連接轉(zhuǎn)給應(yīng)用接入模 塊,這個應(yīng)用會話的后續(xù)交互過程都由應(yīng)用接入模塊直接通過訪問代理模塊實現(xiàn)。單點登 錄使得移動終端用戶只要登錄了移動辦公服務(wù)器,就可以訪問任何授權(quán)的應(yīng)用系統(tǒng),而所 有應(yīng)用的登錄過程都由單點登錄模塊屏蔽,在后臺自動完成。 移動終端采用虛擬化方式實現(xiàn)與辦公服務(wù)器中應(yīng)用程序模塊的交付,通過一個邏 輯的應(yīng)用訪問隔離層訪問應(yīng)用程序模塊中的應(yīng)用程序,只是看到應(yīng)用表示層的一個映像, 并沒有應(yīng)用程序的真實業(yè)務(wù)數(shù)據(jù)傳到移動終端。 所述自適應(yīng)變換模塊根據(jù)移動終端特征參數(shù)和變換策略進行動態(tài)自適應(yīng)表現(xiàn)層 轉(zhuǎn)換,使之適合當前訪問的移動終端;所述移動終端交付特征參數(shù)包括設(shè)備能力參數(shù)、網(wǎng)絡(luò) 特性參數(shù)和用戶偏好參數(shù)。 本發(fā)明提出的安全的企業(yè)移動應(yīng)用交付方法,解決了企業(yè)應(yīng)用快速安全地延伸到 手持移動辦公終端的問題;不僅實現(xiàn)企業(yè)現(xiàn)有應(yīng)用在不移植改造的情況快速交付給移動辦 公用戶,而且具有高度的安全性和卓越的應(yīng)用體驗;在移動客戶端不安裝任何應(yīng)用客戶端
7程序,移動客戶端采用虛擬化方式實現(xiàn)應(yīng)用交互,移動終端只是看到應(yīng)用表示層的一個映 像,并沒有真實的應(yīng)用數(shù)據(jù)傳到客戶端。
同現(xiàn)有技術(shù)相比較,本發(fā)明技術(shù)方案的有益效果在于 1.移動終端安全模塊實現(xiàn)對移動終端安全狀態(tài)的檢查和管理,保證系統(tǒng)安全;采 用虛擬化應(yīng)用交付技術(shù),增加一個邏輯的應(yīng)用訪問隔離層,使真實應(yīng)用服務(wù)器交付的數(shù)據(jù) 不會流到移動終端; 2.自適應(yīng)的移動終端表現(xiàn)層變換,使得現(xiàn)有應(yīng)用不做任何移植改造就能夠適應(yīng)移
動終端,并可以針對不同終端的類型進行體驗的優(yōu)化,達到最佳的終端體驗; 3.因為有端點安全、用戶管理、應(yīng)用安全策略、應(yīng)用訪問控制,所以可以做到從終
端設(shè)備、用戶、應(yīng)用、訪問行為多視角綜合的安全審計; 4.集中對終端、用戶、應(yīng)用進行統(tǒng)一的一站式管理,及時了解移動終端的安全狀 態(tài),不需要在移動終端部署應(yīng)用,可以大大提高IT管理效率、降低運行維護成本。
圖1是本發(fā)明安全的企業(yè)移動辦公應(yīng)用交付方法系統(tǒng)結(jié)構(gòu)示意圖; 圖2是終端安全模塊與安全接入模塊通信過程示意圖; 圖3是移動終端訪問企業(yè)移動辦公服務(wù)器各模塊結(jié)構(gòu)示意圖; 圖4是虛擬應(yīng)用訪問模塊與應(yīng)用自適應(yīng)變換模塊集中的單一服務(wù)器部署圖; 圖5是虛擬應(yīng)用訪問模塊與應(yīng)用自適應(yīng)變換模塊分離的雙服務(wù)器部署圖; 圖6是虛擬應(yīng)用訪問模塊把安全接入模塊分離的雙服務(wù)器部署圖; 圖7是應(yīng)用接入模塊并發(fā)集群部署圖; 圖8是移動應(yīng)用自適應(yīng)變換模塊并發(fā)集群部署圖。
具體實施方式
以下結(jié)合各附圖所示之優(yōu)選實施例作進一步詳述。 本發(fā)明之一種安全的企業(yè)移動辦公應(yīng)用交付方法,如圖1所示,利用在移動終端
10上運行的軟件模塊和在企業(yè)移動辦公服務(wù)器20上的運行的軟件模塊,實現(xiàn)移動終端與
辦公服務(wù)器20的應(yīng)用交互,所述交付方法依次包括以下步驟 A、如圖1所示,設(shè)計在移動終端IO運行的軟件模塊,所述軟件模塊包括終端安全 模塊101和應(yīng)用訪問模塊102 ; B、所述終端安全模塊101向企業(yè)移動辦公服務(wù)器20發(fā)送移動終端10的身份驗證 信息; C、上述步驟B中,移動終端10的身份驗證信息經(jīng)企業(yè)移動辦公服務(wù)器20驗證通 過后,所述應(yīng)用訪問模塊102開始與企業(yè)移動辦公服務(wù)器20進行應(yīng)用交互。
如圖1所示,所述企業(yè)移動辦公服務(wù)器20上運行的軟件模塊包括虛擬應(yīng)用訪問模 塊201、移動應(yīng)用自適應(yīng)變換模塊202和應(yīng)用程序模塊203 ;所述應(yīng)用程序模塊203為企業(yè) 提供多種辦公系統(tǒng)應(yīng)用;虛擬應(yīng)用訪問模塊201為移動終端IO提供統(tǒng)一的安全應(yīng)用訪問入 口,統(tǒng)一管理移動終端10接入和應(yīng)用訪問的安全策略,把應(yīng)用程序資源授權(quán)給移動終端10 用戶,控制應(yīng)用訪問,記錄移動終端IO用戶訪問行為,進行安全審計;所述移動應(yīng)用自適應(yīng) 變換模塊202是將企業(yè)辦公系統(tǒng)應(yīng)用程序模塊203的表現(xiàn)層自適應(yīng)地轉(zhuǎn)換到移動終端10 上,使應(yīng)用程序模塊203的應(yīng)用程序能在移動終端10中應(yīng)用。
8
如圖1所示,所述虛擬應(yīng)用訪問模塊201包括安全接入模塊2011、應(yīng)用接入模塊 2012、用戶管理模塊2013、授權(quán)管理模塊2014、單點登錄模塊2015和安全審計模塊2016 ; 所述安全接入模塊2011、用戶管理模塊2013、授權(quán)管理模塊2014和安全審計模塊2016構(gòu) 成系統(tǒng)的安全體系;所述安全審計模塊2016對移動終端10用戶的操作過程進行記錄和回 放,實現(xiàn)安全審計; 步驟B在進行移動終端10的身份驗證時還包括以下子步驟 Bl、終端安全模塊101對移動終端10進行配置和安全狀態(tài)檢測; B2、終端安全模塊101把安全狀態(tài)檢測信息發(fā)送到安全接入模塊2011 ; B3、安全接入模塊2011對所接收到的安全狀態(tài)檢測信息進行分析,根據(jù)內(nèi)在安全
策略評估該移動終端10是否達到系統(tǒng)的準入的安全級別,如果判斷結(jié)果為該移動終端10
達不到準入的安全級別,則安全接入模塊2011拒絕該移動終端10接入系統(tǒng); B4、上述步驟B3中,如果判斷結(jié)果為該移動終端10已達到安全級別,則安全接入
模塊2011允許該移動終端10接入系統(tǒng)。 如圖2所示,所述安全接入模塊2011包括安全驗證模塊20111、安全策略管理模塊 20112和安全漏洞管理模塊20113 ;安全驗證模塊20111用于對移動終端10安全狀態(tài)進行 驗證,驗證結(jié)果作為準入控制的依據(jù);安全策略管理模塊20112是策略設(shè)置管理中心;安全 漏洞管理模塊20113實現(xiàn)安全漏洞管理,管理移動終端IO安全補丁,支持移動終端IO安全 漏洞修復(fù);所述安全驗證模塊20111用于對移動終端10安全狀態(tài)進行驗證,并將驗證結(jié)果 作為移動終端10接入企業(yè)移動辦公服務(wù)器20的依據(jù);所述安全策略管理模塊20112是策 略設(shè)置管理中心,管理員利用該模塊根據(jù)業(yè)務(wù)安全需設(shè)置移動終端10的接入控制策略,這 些策略是安全驗證模塊20111判定移動終端IO安全級別的安全準則;所述安全漏洞管理模 塊20113管理移動終端10的安全補丁,支持移動終端10安全漏洞的修復(fù)。
如圖2所示,所述終端安全模塊101在實施所述步驟B1之前主動與安全接入模塊 2011連接,向安全漏洞管理模塊20113申請下載安全補丁,升級所述移動終端10以提升安 全防護級別。 如圖1所示,所述移動應(yīng)用自適應(yīng)變換模塊202包括訪問代理模塊2021和自適應(yīng) 變換模塊2022 ; 如圖3所示,在所述步驟C中,所述移動終端10與企業(yè)移動辦公服務(wù)器20進行數(shù) 據(jù)交付時包括以下子步驟 Cl、所述應(yīng)用訪問模塊102向應(yīng)用接入模塊2012發(fā)送訪問請求,應(yīng)用接入模塊 2012根據(jù)移動終端10用戶身份信息,把授權(quán)該用戶可訪問的應(yīng)用列表信息返回給移動終 端IO,顯示在移動終端10的界面上; C2、移動終端IO用戶從應(yīng)用列表中選擇一個應(yīng)用項目,啟動應(yīng)用訪問,將訪問請 求發(fā)送到應(yīng)用接入模塊2012 ; C3、應(yīng)用接入模塊2012把移動終端10的應(yīng)用請求連同移動終端10的交付特征參 數(shù)轉(zhuǎn)發(fā)到訪問代理模塊2021 ; C4、訪問代理模塊2021接收從應(yīng)用訪問模塊102發(fā)送過的應(yīng)用訪問請求,將其轉(zhuǎn) 發(fā)到應(yīng)用程序模塊203中對應(yīng)的應(yīng)用程序; C5、應(yīng)用程序模塊203中對應(yīng)的應(yīng)用程序響應(yīng)訪問請求,并返回處理結(jié)果給訪問代理模塊2021 ; C6、訪問代理模塊2021調(diào)用自適應(yīng)變換模塊2022,把應(yīng)用系統(tǒng)返回結(jié)果按照移動 終端交付特征參數(shù)進行變換處理,然后把變換后的結(jié)果返回給交付到應(yīng)用接入模塊2012 ;
C7、應(yīng)用接入模塊2012將接收到經(jīng)自適應(yīng)變換模塊2022變換后的結(jié)果返回給應(yīng) 用訪問模塊102,完成一個交付過程。 所述應(yīng)用訪問模塊向用戶展示授權(quán)可訪問的應(yīng)用,根據(jù)用戶的選擇向后面的應(yīng)用 程序模塊發(fā)出應(yīng)用請求,并把應(yīng)用程序模塊返回的信息展示給用戶;終端安全模塊檢測和 管理移動終端的安全狀態(tài),根據(jù)移動終端的安全狀態(tài),進一步控制移動終端是否可以訪問 企業(yè)移動辦公服務(wù)器上的應(yīng)用。 所述單點登錄模塊2015用于控制移動終端IO用戶的訪問策略;單點登錄模塊 2015在虛擬應(yīng)用訪問模塊201和應(yīng)用程序模塊203的應(yīng)用程序之間建立用戶身份信任鏈, 實現(xiàn)移動終端10用戶輸入一次登錄密碼,就可以訪問授權(quán)的所有應(yīng)用程序,而不需要用戶 打開每個應(yīng)用都要輸入用戶驗證信息。 應(yīng)用系統(tǒng)一般都有用戶登錄驗證功能,如果用戶尚未與應(yīng)用建立交互會話,需要 首先通過應(yīng)用的登錄驗證。如果沒有啟用單點登錄,應(yīng)用接入模塊2015直接把應(yīng)用連接登 錄請求轉(zhuǎn)發(fā),用戶將會看到應(yīng)用登錄界面展現(xiàn)出來;如果啟用了單點登錄功能,則應(yīng)用接入 模塊2012會把應(yīng)用登錄請求轉(zhuǎn)給單點登錄模塊2015處理,由單點登錄模塊2015通過訪 問代理模塊2021與應(yīng)用系統(tǒng)交互完成登錄驗證,登錄驗證過程結(jié)束后,單點登錄模塊2015 把應(yīng)用會話連接轉(zhuǎn)給應(yīng)用接入模塊2012,這個應(yīng)用會話的后續(xù)交互過程都由應(yīng)用接入模塊 直接通過訪問代理模塊2021實現(xiàn)。單點登錄使得移動終端用戶只要登錄了移動辦公服務(wù) 器20,就可以訪問任何授權(quán)的應(yīng)用系統(tǒng),而所有應(yīng)用的登錄過程都由單點登錄模塊2015屏 蔽,在后臺自動完成。 移動終端10采用虛擬化方式實現(xiàn)與辦公服務(wù)器20中應(yīng)用程序模塊203的交互, 通過一個邏輯的應(yīng)用訪問隔離層訪問應(yīng)用程序模塊203中的應(yīng)用程序,只是看到應(yīng)用表示 層的一個映像,并沒有業(yè)務(wù)應(yīng)用服務(wù)器直接交付的真實業(yè)務(wù)數(shù)據(jù)傳到移動終端10。
所述自適應(yīng)變換模塊2022根據(jù)移動終端10特征參數(shù)和變換策略進行動態(tài)自適應(yīng) 表現(xiàn)層轉(zhuǎn)換,使之適合當前訪問的移動終端10 ;所述移動終端10交付特征參數(shù)包括設(shè)備能 力參數(shù)、網(wǎng)絡(luò)特性參數(shù)和用戶偏好參數(shù)。 所述虛擬應(yīng)用訪問模塊201和移動應(yīng)用自適應(yīng)變換模塊202能夠根據(jù)應(yīng)用程序和
移動終端10的數(shù)量以及訪問負載進行動態(tài)擴展和支持集群部署。 下面結(jié)合圖4-圖8具體說明本發(fā)明主要的幾種部署實現(xiàn)方式。 如圖1所示,所述虛擬應(yīng)用訪問模塊201、移動應(yīng)用自適應(yīng)模塊202和應(yīng)用程序模
塊203都是運行在企業(yè)移動辦公服務(wù)器20上的,應(yīng)用程序模塊203為企業(yè)提供各種應(yīng)用,
本發(fā)明中不對現(xiàn)有的應(yīng)用程序模塊203中的各類應(yīng)用系統(tǒng)做改動,所以在應(yīng)用層保持企業(yè)
原有的部署方式,下面只給出除應(yīng)用層之外的其他各層部署實現(xiàn)說明。 移動終端10的各個模塊,如終端安全模塊101和應(yīng)用訪問模塊102部署在移動終
端10設(shè)備上,每個終端10都需要單獨部署這些模塊。 虛擬應(yīng)用訪問模塊201和移動應(yīng)用自適應(yīng)變換模塊202部署在企業(yè)內(nèi)部的服務(wù)器 20上,根據(jù)移動終端用戶規(guī)模和應(yīng)用程序規(guī)模,可以對中心服務(wù)器20進行規(guī)劃。
下面舉例說明幾種典型的服務(wù)器部署規(guī)劃方式,在這里不考慮虛擬機的情況,一 臺虛擬機在部署的邏輯關(guān)系上等同于一臺物理的服務(wù)器。 如圖4所示,在用戶和應(yīng)用規(guī)模不是很大的時候,如果單臺服務(wù)器性能能夠承擔(dān) 所有負載,則可以使用單服務(wù)器部署方式,把虛擬應(yīng)用訪問模塊201和移動應(yīng)用自適應(yīng)變 換模塊202的所有軟件模塊部署在同一臺服務(wù)器上。 如圖5所示,在負載較重的情況下,可以采用把虛擬應(yīng)用訪問模塊201和移動應(yīng)用 自適應(yīng)變換模塊分離的部署方案,將虛擬應(yīng)用訪問模塊201單獨布署在服務(wù)器A上,將移動 應(yīng)用自適應(yīng)變換模塊布署在服務(wù)器B上。 在移動終端10數(shù)量較多的時候,接入驗證可能成為影響接入響應(yīng)的一個重要因 素,這時可以采用圖6的部署方式,把安全接入模塊2011獨立出來,形成一個獨立的安全接 入控制服務(wù)器C,把虛擬應(yīng)用訪問模塊201其它功能模塊布署在另一臺服務(wù)器D上,讓安全 驗證和應(yīng)用接入以流水線的方式并行工作。 在對應(yīng)用訪問負載要求能夠動態(tài)適應(yīng)大容量擴展性的情況下,可以采用圖7和圖 8結(jié)合的集群部署方式,圖7是應(yīng)用接入模塊2012的集群部署,圖8是移動應(yīng)用自適應(yīng)變換 模塊202的集群部署。 上述為本發(fā)明的優(yōu)選實現(xiàn)過程,本領(lǐng)域的技術(shù)人員在本發(fā)明的基礎(chǔ)上進行的通常 變化和替換包含在本發(fā)明的保護范圍之內(nèi)。
權(quán)利要求
一種安全的企業(yè)移動辦公應(yīng)用交付方法,利用在移動終端(10)上運行的軟件模塊和在企業(yè)移動辦公服務(wù)器(20)上運行的軟件模塊,實現(xiàn)移動終端(10)與辦公服務(wù)器(20)的應(yīng)用交互,其特征在于所述交付方法依次包括以下步驟A、設(shè)計在移動終端(10)運行的軟件模塊,所述軟件模塊包括終端安全模塊(101)和應(yīng)用訪問模塊(102);B、所述終端安全模塊(101)向企業(yè)移動辦公服務(wù)器(20)發(fā)送移動終端(10)的身份驗證信息;C、上述步驟B中,移動終端(10)的身份驗證信息經(jīng)企業(yè)移動辦公服務(wù)器(20)驗證通過后,所述應(yīng)用訪問模塊(102)開始與企業(yè)移動辦公服務(wù)器(20)進行應(yīng)用交互。
2. 如權(quán)利要求1所述的安全的企業(yè)移動辦公應(yīng)用交付方法,其特征在于 在所述企業(yè)移動辦公服務(wù)器(20)上運行的軟件模塊包括虛擬應(yīng)用訪問模塊(201)、移動應(yīng)用自適應(yīng)變換模塊(202)和應(yīng)用程序模塊(203);所述應(yīng)用程序模塊(203)為企業(yè)提供多種辦公系統(tǒng)應(yīng)用;虛擬應(yīng)用訪問模塊(201)為移動終端(10)提供統(tǒng)一的安全應(yīng)用訪問入口,統(tǒng)一管理移 動終端(10)接入和應(yīng)用訪問的安全策略,把應(yīng)用程序資源授權(quán)給移動終端(10)用戶,控制 應(yīng)用訪問,記錄移動終端(10)用戶訪問行為,進行安全審計;所述移動應(yīng)用自適應(yīng)變換模塊(202)是將企業(yè)辦公系統(tǒng)應(yīng)用程序模塊(203)的表現(xiàn)層 自適應(yīng)地轉(zhuǎn)換到移動終端(10)上,使應(yīng)用程序模塊(203)的應(yīng)用程序能在移動終端(10) 中應(yīng)用。
3. 如權(quán)利要求2所述的安全的企業(yè)移動辦公應(yīng)用交付方法,其特征在于 所述虛擬應(yīng)用訪問模塊(201)包括安全接入模塊(2011)、應(yīng)用接入模塊(2012)、用戶管理模塊(2013)、授權(quán)管理模塊(2014)、單點登錄模塊(2015)和安全審計模塊(2016); 所述安全接入模塊(2011)、用戶管理模塊(2013)、授權(quán)管理模塊(2014)和安全審計模塊 (2016)構(gòu)成系統(tǒng)的安全體系;所述安全審計模塊(2016)對移動終端(10)用戶的操作過程進行記錄和回放,實現(xiàn)安 全審計;步驟B在進行移動終端(10)的身份驗證時還包括以下子步驟 Bl、終端安全模塊(101)對移動終端(10)進行配置和安全狀態(tài)檢測; B2、終端安全模塊(101)把安全狀態(tài)檢測信息發(fā)送到安全接入模塊(2011); B3、安全接入模塊(2011)對所接收到的安全狀態(tài)檢測信息進行分析,根據(jù)內(nèi)在安全策 略評估該移動終端(10)是否達到準入的安全級別,如果判斷結(jié)果為該移動終端(10)達不 到準入的安全級別,則安全接入模塊(2011)拒絕該移動終端(10)接入系統(tǒng);B4、上述步驟B3中,如果判斷結(jié)果為該移動終端(10)已達到安全級別,則安全接入模 塊(2011)允許該移動終端(10)接入系統(tǒng)。
4. 如權(quán)利要求3所述的安全的企業(yè)移動辦公應(yīng)用交付方法,其特征在于 所述安全接入模塊(2011)包括安全驗證模塊(20111)、安全策略管理模塊(20112)和安全漏洞管理模塊(20113);安全驗證模塊(20111)用于對移動終端(10)安全狀態(tài)進行 驗證,驗證結(jié)果作為準入控制的依據(jù);安全策略管理模塊(20112)是策略設(shè)置管理中心;安 全漏洞管理模塊(20113)實現(xiàn)安全漏洞管理,管理移動終端(10)安全補丁,支持移動終端(10)安全漏洞修復(fù);所述安全驗證模塊(20111)用于對移動終端(10)安全狀態(tài)進行驗證,并將驗證結(jié)果作 為移動終端(10)接入企業(yè)移動辦公服務(wù)器(20)的依據(jù);所述安全策略管理模塊(20112)是策略設(shè)置管理中心,管理員利用該模塊根據(jù)業(yè)務(wù)安 全需要設(shè)置移動終端(10)的接入控制策略,這些策略是安全驗證模塊(20111)判定移動終 端(10)安全級別的安全準則。
5. 如權(quán)利要求3所述的安全的企業(yè)移動辦公應(yīng)用交付方法,其特征在于 所述終端安全模塊(101)在實施所述步驟B1之前主動與安全接入模塊(2011)連接,向安全漏洞管理模塊(20113)申請下載安全補丁,升級所述移動終端(10)以提升安全防護 級別。
6. 如權(quán)利要求3所述的安全的企業(yè)移動辦公應(yīng)用交付方法,其特征在于 所述移動應(yīng)用自適應(yīng)變換模塊(202)包括訪問代理模塊(2021)和自適應(yīng)變換模塊(2022);在所述步驟C中,所述移動終端(10)與企業(yè)移動辦公服務(wù)器(20)進行應(yīng)用交互時包 括以下子步驟Cl、所述應(yīng)用訪問模塊(102)向應(yīng)用接入模塊(2012)發(fā)送訪問請求,應(yīng)用接入模塊 (2012)根據(jù)移動終端(10)用戶身份信息,把授權(quán)該用戶可訪問的應(yīng)用列表信息返回給移 動終端(IO),顯示在移動終端(10)的界面上;C2、移動終端(10)用戶從應(yīng)用列表中選擇一個應(yīng)用項目,啟動應(yīng)用訪問,將訪問請求 發(fā)送到應(yīng)用接入模塊(2012);C3、應(yīng)用接入模塊(2012)把移動終端(10)的應(yīng)用請求連同移動終端(10)的交付特征 參數(shù)轉(zhuǎn)發(fā)到訪問代理模塊(2021);C4、訪問代理模塊(2021)接收從應(yīng)用訪問模塊(102)發(fā)送來的應(yīng)用訪問請求,將其轉(zhuǎn) 發(fā)到應(yīng)用程序模塊(203)中對應(yīng)的應(yīng)用程序;C5、應(yīng)用程序模塊(203)中對應(yīng)的應(yīng)用程序響應(yīng)訪問請求,并返回處理結(jié)果給訪問代 理模塊(2021);C6、訪問代理模塊(2021)調(diào)用自適應(yīng)變換模塊(2022),把應(yīng)用系統(tǒng)返回結(jié)果按照移動 終端交付特征參數(shù)進行變換處理,然后把變換后的結(jié)果返回給應(yīng)用接入模塊(2012);C7、應(yīng)用接入模塊(2012)將接收到的經(jīng)自適應(yīng)變換模塊(2022)變換后的結(jié)果返回給 應(yīng)用訪問模塊(102),完成一個交互過程。
7. 如權(quán)利要求1所述的安全的企業(yè)移動辦公應(yīng)用交付方法,其特征在于 所述應(yīng)用訪問模塊(102)向用戶展示授權(quán)可訪問的應(yīng)用,根據(jù)用戶的選擇向后面的應(yīng)用程序模塊(203)發(fā)出應(yīng)用請求,并把應(yīng)用程序模塊(203)返回的信息展示給用戶。
8. 如權(quán)利要求3所述的安全的企業(yè)移動辦公應(yīng)用交付方法,其特征在于 所述單點登錄模塊(2015)用于控制移動終端(10)用戶的訪問策略; 單點登錄模塊(2015)在虛擬應(yīng)用訪問模塊(201)和應(yīng)用程序模塊(203)的應(yīng)用程序之間建立用戶身份信任鏈,實現(xiàn)移動終端(10)用戶輸入一次登錄密碼,就可以訪問授權(quán)的 所有應(yīng)用程序,而不需要用戶打開每個應(yīng)用都要輸入用戶驗證信息。
9. 如權(quán)利要求2所述的安全的企業(yè)移動辦公應(yīng)用交付方法,其特征在于移動終端(10)采用虛擬化方式實現(xiàn)與所述辦公服務(wù)器(20)中應(yīng)用程序模塊(203)的 交互,通過邏輯的應(yīng)用訪問隔離層訪問應(yīng)用程序模塊(203)中的應(yīng)用程序。
10.如權(quán)利要求6所述的安全的企業(yè)移動辦公應(yīng)用交付方法,其特征在于 所述自適應(yīng)變換模塊(2022)根據(jù)移動終端(10)特征參數(shù)和變換策略進行動態(tài)自適應(yīng) 表現(xiàn)層轉(zhuǎn)換,使之適合當前訪問的移動終端(10);所述移動終端(10)交付特征參數(shù)包括設(shè)備能力參數(shù)、網(wǎng)絡(luò)特性參數(shù)和用戶偏好參數(shù)。 所述虛擬應(yīng)用訪問模塊(201)和移動應(yīng)用自適應(yīng)變換模塊(202)根據(jù)應(yīng)用程序和移動 終端(10)的數(shù)量以及訪問負載進行動態(tài)擴展和支持集群部署。
全文摘要
一種安全的企業(yè)移動辦公應(yīng)用交付方法,利用移動終端(10)上運行的軟件模塊和企業(yè)移動辦公服務(wù)器(20)上的運行的軟件模塊,實現(xiàn)移動終端(10)與辦公服務(wù)器(20)的應(yīng)用交互,所述交付方法依次包括以下步驟設(shè)計在移動終端(10)運行的軟件模塊,所述軟件模塊包括終端安全模塊(101)和應(yīng)用訪問模塊(102);所述終端安全模塊(101)向企業(yè)移動辦公服務(wù)器(20)發(fā)送移動終端(10)的身份驗證信息;移動終端(10)的身份驗證信息經(jīng)企業(yè)移動辦公服務(wù)器(20)驗證通過后,所述應(yīng)用訪問模塊(102)開始與企業(yè)移動辦公服務(wù)器(20)進行數(shù)據(jù)交互。所述交付方法保證系統(tǒng)安全,可達到最佳的終端體驗,并大大提高IT管理效率。
文檔編號G06Q10/00GK101789968SQ20101004268
公開日2010年7月28日 申請日期2010年1月8日 優(yōu)先權(quán)日2010年1月8日
發(fā)明者孫其民 申請人:深圳市溝通科技有限公司