賈洪高

（公安部邊防管理局 司令部信息化處，北京 100062）

基于虛擬化技術(shù)的公安邊防移動(dòng)應(yīng)用平臺(tái)建設(shè)

賈洪高

（公安部邊防管理局 司令部信息化處，北京 100062）

本文分析了傳統(tǒng)移動(dòng)應(yīng)用平臺(tái)建設(shè)的局限性，給出了基于虛擬化技術(shù)的移動(dòng)應(yīng)平臺(tái)設(shè)計(jì)方法，對(duì)公安行業(yè)的移動(dòng)應(yīng)用建設(shè)具有參考價(jià)值。

虛擬化；移動(dòng)應(yīng)用；平臺(tái)建設(shè)

“十一五”以來，公安邊防部隊(duì)緊緊圍繞中心工作和重大任務(wù)需要，堅(jiān)持以信息化保障服務(wù)中心工作、提升實(shí)戰(zhàn)能力為目標(biāo)，以一體化平臺(tái)和業(yè)務(wù)系統(tǒng)推廣應(yīng)用帶動(dòng)信息化發(fā)展，從而使信息應(yīng)用得到長(zhǎng)足進(jìn)展。目前各級(jí)邊防部隊(duì)先后建設(shè)應(yīng)用了7大類30個(gè)重大信息化項(xiàng)目，開發(fā)推廣了日常辦公、綜合指揮、邊防檢查、邊境管理、部隊(duì)管理等5大類50多套業(yè)務(wù)應(yīng)用系統(tǒng)，涉及公文數(shù)據(jù)流轉(zhuǎn)、業(yè)務(wù)信息數(shù)據(jù)采集、跨警種數(shù)據(jù)協(xié)同等多種類型系統(tǒng)集成，可以說信息化應(yīng)用已融入到公安邊防工作的方方面面。

在我國沿邊沿海地區(qū)設(shè)有邊防派出所，對(duì)外開放的機(jī)場(chǎng)、口岸均邊防檢查站，作為公安邊防執(zhí)法辦案的業(yè)務(wù)辦理單位，邊防派出所及邊防檢查站的信息采集應(yīng)用推廣也同步深入細(xì)化，為提高邊防業(yè)務(wù)處理的工作效率，邊防警員對(duì)信息安全、應(yīng)用系統(tǒng)的需求在增加，要求也在逐步提高。公安邊防派出所及邊檢站地處我國沿邊沿海地區(qū)，管轄范圍較大、業(yè)務(wù)分散。許多邊防警員外出工作時(shí)現(xiàn)場(chǎng)的采集信息，包括文字、視頻、圖片等信息，只能回到派出所或邊防檢查站登錄業(yè)務(wù)應(yīng)用系統(tǒng)才能進(jìn)行上傳、處理，降低了邊防警務(wù)處理的工作效率。因此，急需一系列移動(dòng)應(yīng)用，方便、快捷、實(shí)時(shí)地幫助邊防外勤人員開展工作、提高效率。特別在邊防執(zhí)法辦案過程中的信息采集需求，更是格外迫切。

1 現(xiàn)狀研究

傳統(tǒng)的移動(dòng)APP的二次定向開發(fā)模式限制了邊防移動(dòng)業(yè)務(wù)的正常開展。傳統(tǒng)的移動(dòng)辦公系統(tǒng)多采用移動(dòng)APP的開發(fā)模式，每一個(gè)業(yè)務(wù)均需要在已經(jīng)完成的公安網(wǎng)業(yè)務(wù)數(shù)據(jù)下進(jìn)行基于移動(dòng)端的二次開發(fā)，該模式存在較多局限性：

無法對(duì)所有業(yè)務(wù)進(jìn)行窮盡開發(fā)，無法覆蓋所有功能，即使完成，投入產(chǎn)出不成比例。由于移動(dòng)APP二次開發(fā)的定向性，只能面向每一個(gè)單獨(dú)的業(yè)務(wù)應(yīng)用資源的部分功能，無法像標(biāo)準(zhǔn)業(yè)務(wù)一樣覆蓋所有功能點(diǎn)；同時(shí)由于業(yè)務(wù)資源之間的不相似性，基本無法達(dá)成代碼共用，隨著應(yīng)用的增多只能一次又一次的進(jìn)行開發(fā)，成本代價(jià)大。

無法適應(yīng)應(yīng)用功能升級(jí)，變化后只能重新開發(fā)。由于二次開發(fā)是根據(jù)功能和數(shù)據(jù)進(jìn)行特定的界面開發(fā)，這樣當(dāng)后臺(tái)功能或者數(shù)據(jù)進(jìn)行升級(jí)或者調(diào)整時(shí)，移動(dòng)端程序?qū)o法適應(yīng)變化而消亡，需要重新安排項(xiàng)目進(jìn)行研發(fā)，移動(dòng)端應(yīng)用的生命周期隨著原始系統(tǒng)密切跟隨，耦合性過大。

移動(dòng)辦公網(wǎng)絡(luò)和公安網(wǎng)的信息安全要求差異性為移動(dòng)辦公應(yīng)用安全防護(hù)帶來了困難。公安網(wǎng)作為核心業(yè)務(wù)后臺(tái)的存儲(chǔ)和應(yīng)用網(wǎng)絡(luò)，在2005年開始對(duì)全網(wǎng)進(jìn)行信息安全規(guī)劃，并在2010年實(shí)現(xiàn)了對(duì)全網(wǎng)大多數(shù)核心業(yè)務(wù)實(shí)現(xiàn)基于PKI數(shù)字證書技術(shù)的核心業(yè)務(wù)保護(hù)，同時(shí)為防止非安全網(wǎng)絡(luò)對(duì)公安網(wǎng)資源的直接訪問，要求非安全網(wǎng)絡(luò)要采用獨(dú)立的PKI信任體系證書來完成外部認(rèn)證，而不能直接采用公安網(wǎng)PKI證書，這些要求為移動(dòng)移動(dòng)辦公業(yè)務(wù)的開展呆了一定困難：

移動(dòng)安全域與公安網(wǎng)安全域的PKI信任體系分離要求使移動(dòng)端將不能直接訪問業(yè)務(wù)應(yīng)用資源。由于移動(dòng)辦公網(wǎng)和公安專網(wǎng)采用兩個(gè)完全獨(dú)立的PKI證書信任體系，移動(dòng)辦公業(yè)務(wù)只能采用外部PKI證書打通移動(dòng)端到公安網(wǎng)的網(wǎng)絡(luò)鏈路，然后再采用公安網(wǎng)的PKI證書訪問內(nèi)部資源，而由于證書介質(zhì)的硬件化，以及兩張證書不能共存在同一介質(zhì)的安全要求影響，使移動(dòng)辦公對(duì)資源的訪問受限。

移動(dòng)辦公需要訪問公安網(wǎng)資源根據(jù)可被管理性主要分成兩類，一類是邊防體系直接管理的業(yè)務(wù)資源，如邊防檢查、邊境管理、部隊(duì)管理等；另一類是公安其他業(yè)務(wù)部門管理的資源如，人口數(shù)據(jù)采集、案件信息、旅店住宿等。第一類資源屬于移動(dòng)辦公場(chǎng)景的可控資源，其PKI證書的訪問改造由邊防自主直接完成；而第二類資源的安全改造歸口在地方公安相關(guān)部門，該類資源改造情況在全國各不相同，部機(jī)關(guān)和省廳基本按照PKI證書方式進(jìn)行改造，而在地市一級(jí)單位還有較多業(yè)務(wù)應(yīng)用采用用戶名/口令模式進(jìn)行，這就要求移動(dòng)辦公需要滿足不同安全層次應(yīng)用訪問要求。

2 需求分析

基于上述對(duì)邊防移動(dòng)辦公和公安網(wǎng)應(yīng)用資源及安全現(xiàn)狀的綜合研究，結(jié)合邊防移動(dòng)數(shù)據(jù)采集以及應(yīng)用訪問的實(shí)際要求，邊防移動(dòng)應(yīng)用平臺(tái)的總體需求歸納如下：

桌面虛擬化需求。傳統(tǒng)的移動(dòng)APP定向開發(fā)模式已經(jīng)不能滿足不斷增多的移動(dòng)辦公應(yīng)用的需求，為了解決定制化、無法升級(jí)、無法全面覆蓋功能點(diǎn)的問題，應(yīng)采用新的移動(dòng)辦公模式來解決問題。桌面虛擬化需求就是要將用戶在PC端的桌面系統(tǒng)進(jìn)行虛擬化轉(zhuǎn)移到移動(dòng)設(shè)備上實(shí)現(xiàn)，從而將移動(dòng)辦公的資源訪問與資源不再有直接的關(guān)系，在根本上解決問題。

這個(gè)環(huán)節(jié)還需要解決移動(dòng)終端本地目錄資料與虛擬桌面數(shù)據(jù)共享的解決，主要原因是移動(dòng)終端通過自身拍照、錄音、文字等本地程序采集的數(shù)據(jù)都是存儲(chǔ)在本地目錄的，但是為了實(shí)現(xiàn)“一次采集，多次復(fù)用”的效果，就需要在虛擬桌面上使用應(yīng)用系統(tǒng)能夠方便訪問移動(dòng)終端本地目錄，從而提高應(yīng)用的便捷性和實(shí)用性；由于采用虛擬桌面方式，為保證用戶體驗(yàn)效果，故移動(dòng)設(shè)備使用7寸及以上平板是最佳選擇。

信任域傳遞需求。由于移動(dòng)辦公的外部網(wǎng)絡(luò)和公安網(wǎng)采用兩個(gè)不同的PKI證書體系進(jìn)行用戶的身份認(rèn)證，而PKI信任域又屬于公安行業(yè)的特定要求，所以為了使移動(dòng)設(shè)備到最終資源的訪問請(qǐng)求可達(dá)，就需要對(duì)兩個(gè)不同的PKI證書信任體系之間進(jìn)行互信，從而解決信任體系之間差異性問題，保障移動(dòng)辦公業(yè)務(wù)訪問通道暢通。

代理訪問需求。對(duì)于公安網(wǎng)內(nèi)兩種不同類型的資源，邊防直接管理的應(yīng)用資源可以通過改造調(diào)整的方法完成對(duì)信任域傳遞的實(shí)現(xiàn)；而對(duì)于非直管應(yīng)用資源，或者采用用戶名、口令的其他公安網(wǎng)應(yīng)用資源，則采用代理訪問的模式實(shí)現(xiàn)移動(dòng)端設(shè)備的資源訪問，這種做法也符合公安移動(dòng)應(yīng)用安全接入規(guī)范。

3 方案設(shè)計(jì)

基于虛擬技術(shù)的公安邊防移動(dòng)應(yīng)用平臺(tái)方案主要著眼于三大需求的解決，一方面采用虛擬桌面技術(shù)將用戶日常訪問的終端界面推送到移動(dòng)端，推動(dòng)過程按照公安邊防對(duì)于移動(dòng)端接入的安全要求進(jìn)行，包括對(duì)移動(dòng)端數(shù)字證書等安全措施的支持等；另一方面采用身份轉(zhuǎn)換系統(tǒng)將移動(dòng)接入證書和公安網(wǎng)證書進(jìn)行信任體系融合，使移動(dòng)端的外部信任域能夠傳遞到公安網(wǎng)內(nèi)；第三方面采用證書安全管理系統(tǒng)實(shí)現(xiàn)對(duì)邊防非直管資源進(jìn)行代理訪問。其整體框架如圖1：

圖1

整個(gè)方案由三個(gè)安全區(qū)組成，一是邊防移動(dòng)接入?yún)^(qū)，移動(dòng)終端通過移動(dòng)網(wǎng)絡(luò)接入到邊防接入?yún)^(qū)，按照公安行業(yè)對(duì)移動(dòng)應(yīng)用接入的總體安全規(guī)范要求，包括鏈路安全、身份安全等多個(gè)層次進(jìn)行接入，目標(biāo)是網(wǎng)絡(luò)層接入，打通鏈路；二是安全虛擬區(qū)，本區(qū)域是整個(gè)方案的核心，包括桌面虛擬化的虛擬云桌面服務(wù)、云終端管理服務(wù)模塊，以及支撐內(nèi)外信任傳遞的身份裝換系統(tǒng)和支持代理訪問的證書安全管理系統(tǒng)；三是應(yīng)用區(qū)，該區(qū)域是應(yīng)用資源區(qū)，是移動(dòng)端接入的最終目標(biāo)，包含邊防直管資源和公安網(wǎng)其他應(yīng)用資源。

安全虛擬區(qū)是整個(gè)方案的核心，主要由四大部分組成：一是身份轉(zhuǎn)換系統(tǒng)，主要負(fù)責(zé)完成兩個(gè)PKI證書域的信息對(duì)接；二是云終端管理服務(wù)，負(fù)責(zé)為不同用戶提供不同桌面調(diào)度管理，并向其他系統(tǒng)包括移動(dòng)端、身份轉(zhuǎn)換系統(tǒng)等提供桌面接口服務(wù)；三是虛擬云桌面服務(wù)，該服務(wù)是整個(gè)方案的關(guān)鍵承載者，用以支撐不同的業(yè)務(wù)訪問行為；四是證書安全管理系統(tǒng)，該系統(tǒng)是代理訪問系統(tǒng)，為了滿足公安網(wǎng)內(nèi)應(yīng)用資源的差異化訪問方式，系統(tǒng)進(jìn)行了兼容性處理，同時(shí)兼容用戶名、口令方式，以及采用PKI證書進(jìn)行改造的應(yīng)用資源訪問。

基于虛擬化技術(shù)的公安邊防移動(dòng)應(yīng)用平臺(tái)方案的數(shù)據(jù)訪問流程如圖2:

首先，用戶持用移動(dòng)設(shè)備通過移動(dòng)網(wǎng)絡(luò)，采用移動(dòng)PKI證書進(jìn)行網(wǎng)絡(luò)層認(rèn)證，經(jīng)過認(rèn)證后移動(dòng)終端通過移動(dòng)支持平臺(tái)進(jìn)入虛擬桌面服務(wù)，用戶在移動(dòng)終端上將獲取其專屬桌面；

其次，網(wǎng)絡(luò)層認(rèn)證完成后，云終端管理服務(wù)將會(huì)根據(jù)用戶身份和權(quán)限不同，會(huì)將不同的應(yīng)用資源推送到移動(dòng)端的虛擬桌面上；

第三步，當(dāng)用戶訪問邊防直管應(yīng)用資源時(shí)，身份轉(zhuǎn)換系統(tǒng)將根據(jù)移動(dòng)端提供的PKI證書身份從公安網(wǎng)的證書庫中，提取其所對(duì)應(yīng)的公安網(wǎng)身份證書公鑰信息，并將該公鑰信息傳遞給移動(dòng)端所要訪問的應(yīng)用系統(tǒng)資源；

第四步，當(dāng)用戶需要訪問公安網(wǎng)非邊防直管資源時(shí)，需要通過證書安全管理系統(tǒng)提取對(duì)應(yīng)的角色證書，并通過該角色證書進(jìn)行代理訪問。

4 結(jié)語

基于移動(dòng)端和公安網(wǎng)的安全現(xiàn)狀，實(shí)現(xiàn)移動(dòng)端靈活、安全訪問各類應(yīng)用資源是移動(dòng)應(yīng)的迫切需要。本文通過對(duì)桌面虛擬化技術(shù)的引入，從模式上改變了移動(dòng)端業(yè)務(wù)接入的方式，是一種與傳統(tǒng)APP開發(fā)完全不同的新思路，同時(shí)由于虛擬桌面的引入，使得應(yīng)用資源的移動(dòng)訪問限制大大減少，從而使移動(dòng)端資源訪問云化、平臺(tái)化，為邊防的移動(dòng)辦公，以及公安網(wǎng)的應(yīng)用資源數(shù)據(jù)采集提供了較好的安全方案，對(duì)公安行業(yè)的移動(dòng)應(yīng)用平臺(tái)建設(shè)具有一定的參考價(jià)值。

Construction of Mobile Application Platform of Public Security Frontier Defence Based on Virtualization Technology

JIA Honggao
（Border Control Bureau Information Office,Beijing 100062，China）

The paper analyzes the limitations of the traditional mobile application platform construction and presents the design method of mobile application platform based on virtualization technology with reference value for the construction of mobile application in the public security sector.

virtuailzation;mobile application;platform

圖2

TP311.52

：A

：2095-2384（2016）02-0005-03

（責(zé)任編輯 儲(chǔ) 歡）

2016-05-11

賈洪高（1967-），男，浙江東陽人，工程碩士，公安部邊防管理局司令部信息化處高級(jí)工程師。