《面向新型智能手机的企业级移动应用平台(MES)体系研究与系统开发》由会员分享,可在线阅读,更多相关《面向新型智能手机的企业级移动应用平台(MES)体系研究与系统开发(81页珍藏版)》请在金锄头文库上搜索。
1、中国移动集团级重点研发项目中国移动集团级重点研发项目结题汇报报告结题汇报报告9/6/20249/6/2024项目名称:面向新型智能手机的企业级移动应用平台(MES)体系研究与系统开发一一一一. . . . 课题目标实现情况课题目标实现情况目目 录录二、主要研究成果(整合后)二、主要研究成果(整合后)1.1 1.1 研究背景及目标:移动终端的发展研究背景及目标:移动终端的发展移动终端的普及移动终端的普及:移动终端日益成为用户使用信息化应用/服务的重要载体。传统的移动通话设备快速过渡到了智能手机,当前呈现出智能手机、平板电脑和笔记本电脑的一体化融合趋势;移动终端平台的典型代表移动终端平台的典型代表
2、:Android,iOS(iPhone/iPad);移动终端的一体化融合移动终端的一体化融合:操作系统的一体化,即三类设备采用同一套操作系统;应用程序的一体化,即三类设备能够实现同一套应用程序的一次开发,多处部署与无缝迁移;用户体验的一体化,即三类设备的用户体验将逐步趋向一致,即各种触控和感应等先进的用户体验方式将逐步拓展这三种类型设备中去。1.1 1.1 研究背景及目标:平板电脑的发展研究背景及目标:平板电脑的发展平板电脑发展趋势平板电脑发展趋势:2010全球平板电脑销量2000万台(其中iPad iPad 占占60%60%);Gartner预测2011年全球平板电脑销量5500万台(iPa
3、d占45%);随着一体化趋势的逐步推进,企业级应用正开始能够向平板电脑端进行逐步延伸;平板电脑的市场分布平板电脑的市场分布:苹果4月3日发布的iPad是平板电脑的领头羊,具有优秀用户体验、领先应用生态体系等,与iPhone的操作系统同源为iOS,应用商店也同源为App Store;综合分析综合分析:平板电脑具有良好的便携性,杰出的用户界面,尤其是多点触摸电容技术下新颖的用户体验;基于平板电脑从事企业管理正在引起各方关注,如何发挥在企业信息化中的应用优势更是关注重点。1.1 1.1 研究背景及目标:企业移动应用的发展研究背景及目标:企业移动应用的发展移动应用市场移动应用市场:各操作系统平台的竞争
4、和用户需求的膨胀,使得移动应用与移动信息服务市场的规模急剧膨胀。特别是2010年以来,面向主流平台的移动应用急剧增加。以苹果为例:截止2010年底,App Store应用数量突破30万,下载次数远远超过了50亿次,销售额累计突破30亿美元;企业级移动应用企业级移动应用:从2008-09年开始,并在2010年持续增长,预计到2015年在所有移动应用中的市场份额会达到目前的两倍,集中于成长型企业SaaS应用、集成化移动管理平台、面向行业的垂直解决方案、移动协作等;企业移动应用的投资回报率日益清晰,大型企业应用软件供应商也逐渐成为企业移动应用市场增长的主要驱动力;定位于定位于“移动信息专家移动信息专
5、家”的中国移动,基于移动终端提供信息化应用的中国移动,基于移动终端提供信息化应用/ /服务是重要的服务是重要的ICTICT业业务方向之一,必须关注兴起的企业级移动应用市场。务方向之一,必须关注兴起的企业级移动应用市场。App Store应用情况企业级移动应用1.1 1.1 研究背景及目标:业务需求及现状研究背景及目标:业务需求及现状内部的业务需求内部的业务需求:从管理信息系统在实际工作中接触的内部用户来看,基于手机开展办公等相关业务的需求较为迫切,而这部分业务需求目前尚不能很好地得到满足;外部的业务需求和对外推广的市场机会外部的业务需求和对外推广的市场机会:从实际项目中接触到的外部客户的需求来
6、看,随着移动终端和应用的普及,基于手机的企业级业务应用,特别是管理信息系统的需求较为迫切,有很高的对外服务和推广价值;功能需求方面功能需求方面:在对业务应用的支撑性功能方面,从对内/外部客户的收集来看,主要具有PushPush(Email,Email,合同等)、合同等)、Online/Offline/SyncOnline/Offline/Sync(Email,OAEmail,OA等)、等)、SecuritySecurity(覆盖企业移动(覆盖企业移动应用体系)以及应用体系)以及ManagementManagement(设备、应用层面)(设备、应用层面)等方面的需求;现状现状:目前,前期建设的手
7、机综合服务平台以及开展的相关研究,重点主要集中于Online模式下的应用的适配、部署和展示等方面,难以满足用户在企业移动信息化的业务和功能层面的相关需求;为了满足当前内部的业务需求,同时为对外推广奠定基础,有必要对企业级移动应用进行为了满足当前内部的业务需求,同时为对外推广奠定基础,有必要对企业级移动应用进行体系化的研究,建设能够满足企业信息化需求的移动应用平台。体系化的研究,建设能够满足企业信息化需求的移动应用平台。首选移首选移动终端动终端方式方式36.5%只选移动终只选移动终端方式端方式35.4%laptop方式方式12.5%固定电话固定电话方式方式15.6%希望通过手机实时掌握信息的的企
8、业用户比例高达71.9%;如何以移动终端为载体,更好的支持办公管理和业务运营已经成为企业用户的迫切需求。1.1 1.1 研究背景及目标:本期课题研究目标研究背景及目标:本期课题研究目标研究目标一:研究目标一: 研究企业级移动应用平企业级移动应用平台相关发展情况台相关发展情况,结合智能手机、平板电脑快速发展和一体化融合的趋势,进行分析和研究; 研究企业级移动应用的企业级移动应用的需求需求,完成技术服务机制的提取和设计; 结合管理信息系统需求管理信息系统需求完成典型应用的选取、分析和规划; 制定企业移动信息化的企业移动信息化的发展路线发展路线。研究目标二:研究目标二: 基于Android操作系统的
9、智能手机对当前主流的企业级移动应用技术进行调研, 基于AndroidAndroid操操作作系系统统的智能手机的企企业业级级移移动动应应用用平平台台架架构构方方案案的的设设计计;重点针对体现移动应用特征的POSOPOSO四四维维功功能能以以及及企企业业级级移移动动应应用用安安全全机制机制进行重点设计; 完成基于AndroidAndroid操操作作系系统统的智能手机的企企业业级级应应用用平平台台开开发发;并对平台的功能特征以及安全方面的特性安全方面的特性进行验证。研究目标三:研究目标三: 基于iOS操作系统的iPad平板电脑对当前主流的企业级移动应用技术进行调研, 基于iOSiOS操操作作系系统统
10、的iPad平板电脑的企企业业级级移移动动应应用用平平台台架架构构方方案案的的设设计计;重点针对体现移动应用特征的POSOPOSO四四维维功功能能以以及及具具有有iPadiPad个个性性化化特特征征的用户体验的用户体验进行重点设计; 完成基于iOSiOS操操作作系系统统的iPad平板电脑的企企业业级级应应用用平平台台开开发发;并对平台的功能特征以及用户体验用户体验进行验证。 对企业移动应用进行调研,研究和分析针对中国移动的应用需求及使用场景,设计相应的技研究和分析针对中国移动的应用需求及使用场景,设计相应的技术体系,按照当前企业级移动应用开发中最为先进的术体系,按照当前企业级移动应用开发中最为先
11、进的POSOPOSO功能模式、应用安全方面的强认证和信功能模式、应用安全方面的强认证和信息加密等特性以及智能终端特殊的用户体验,针对当前应用广泛和市场占有率较高的息加密等特性以及智能终端特殊的用户体验,针对当前应用广泛和市场占有率较高的iPadiPad平板电平板电脑和基于脑和基于AndroidAndroid系统的智能手机,开发企业级移动应用平台系统的智能手机,开发企业级移动应用平台,在该平台之上,可以较好地承载不同的移动业务应用,满足内部和外部用户对移动办公等信息化服务的需求。1.2 1.2 主要研究内容主要研究内容: :总体研究框架总体研究框架围绕企业级移动应用平台的相关技术层面,基于设备形
12、态、操作系统、技术机制等方面的技术元基于设备形态、操作系统、技术机制等方面的技术元素,形成涵盖企业级移动应用完整体系的研究总体框架素,形成涵盖企业级移动应用完整体系的研究总体框架;框架分解:框架分解:1)鉴于EM发展的紧迫性,在开展总体设计和规划的同时,基于初步的3维矩阵分析先期找出一些迫切待研究的点,由相关省公司以协作方式进行前瞻研究,既有利于统一和标准化管理,又有利于在尽快的时间内取得良好的效益2)鉴于移动信息化所依赖的设备,操作系统以及技术服务机制存在并行交叉的关系,以不冲突和可复用为基本原则,选择合适的点交由相关省公司进行差异化细致研究,既可以做到成果复用,又可以加快进度技术机制技术机
13、制操作系统操作系统设备形态设备形态技术机制技术机制SecPOSOMgntUE操作系统操作系统iOSAndroidWP7oPhone设备形态设备形态智能手机 平板电脑1.2 1.2 主要研究内容主要研究内容: :总体研究点概述总体研究点概述ManagementPushOnlineSyncOfflineSecuritySecurity:通过移动设备作为企业信息化的承载体,其必需能够保障链路的安全性,存储企业数据的安全性,以及用户身份的准确性;以防手机失窃丢失损耗等情况对企业信息安全带来的额外冲击,被视为EM的必要基座,是必不可少的。Poso:支持企业重要信息和事务的及时推送(P),支持以BS或CS
14、方式直接在线进行信息化事务处理(O),支持两端双向的企业信息同步(S),支持离线方式进行企业信息化的阅读与处理(O);完整事务处理类型的支持是实现移动设备全方面服务企业信息化和支撑业务特点的主体内容。Management:支持针对移动设备的企业级策略发布、软件管理与状态监控,能够支持空口化管理模式。针对不同的终端设备(智能手机和平板电脑)以及操作系统(Android,iOS,WP7,OPhone等),重点开展企业级移动应用的重点开展企业级移动应用的SecuritySecurity、PosoPoso以及以及ManagementManagement三方面技术特征与服务机制的研究三方面技术特征与服务
15、机制的研究1.2 1.2 主要研究内容主要研究内容: :总体研究内容的开展计划总体研究内容的开展计划POSO时间时间研究研究内容内容层次层次形成成熟的POSO功能服务机制;方便接入和适配主流平台体系;SecurityManagement第二阶段(第二阶段(2012-2013)(基础平台的试点,改进基础平台的试点,改进POSO功能,完善功能,完善Security功能,补功能,补充充Management功能)功能) 基础服务平台试点;POSO功能改进,重点完成针对主流平台体系的适配器建设;形成覆盖整个企业级移动应用体系的安全服务体系;能够在企业和员工两个层面提供移动应用的安全服务;企业级移动应用框
16、架、技术机制研究和分析;企业级移动应用在管理功能层面的需求分析;面向新型平板设备的一体化用户体验研究POSO基础服务机制的研究和需求分析;POSO基础功能设计;基础服务平台的设计和研发;企业级移动应用中安全需求的调研和分析;企业级移动应用安全体系的梳理和设计;数据加密、强认证等基础安全服务的建设;本期项目(本期项目(2011-2012)(总部和两省联合研发基础总部和两省联合研发基础平台,包含平台,包含POSO,部分,部分Security机制及新型平板机制及新型平板设备用户体验)设备用户体验) 企业级移动设备层管理功能建设,初步提供移动终端管理服务;企业级移动应用层管理需求分析和初步设计;形成涵
17、盖设备、应用两层,覆盖设备管理全生命周期的管理机制和功能;完善企业级移动应用安全服务体系,涵盖:认证/授权,本地数据安全、链路数据安全,异常/突发情况的处理等;第三阶段(第三阶段(2013之后)之后)(完善完善Management机制,形成机制,形成包含三个层面功能的包含三个层面功能的完整的企业完整的企业级移动应用平台级移动应用平台,试点推广),试点推广) 1.2 1.2 主要研究内容主要研究内容: :本期项目研究点本期项目研究点1 POSO1 POSO基础服务机制基础服务机制POSO四维服务机制被Gartner和Google评价为Enterprise Mobile的最重要特征,是未来移动信息
18、化服务市场竞争的主体能力:适应移动办公多利用离散时间和非办公场所的服务场景,加强移动信息化设备端应用程序的研究,做好Offline离线处理以及数据信息双向Sync同步的技术研究,进一步提升办公效率和便捷性;满足待办和监控管理等方面的业务需求,进一步增强Push推送方面的技术研究,进一步提升业务响应的效率。为此迫切需要对移动信息化的设备端应用开发体系,以及Poso服务机制的研究。Poso服务是完整企业级移动信息化的典型体现1.2 1.2 主要研究内容主要研究内容: :本期项目研究点本期项目研究点2Security2Security安全服务安全服务机制机制随着移动信息化应用的深入和随着移动信息化应
19、用的深入和PosoPoso服务的健全,移动设备(包括手机与平板电脑)的便携性会服务的健全,移动设备(包括手机与平板电脑)的便携性会对其中的企业信息数据带来很大的安全隐患,安全问题急待研究对其中的企业信息数据带来很大的安全隐患,安全问题急待研究:需要实现移动设备的用户强认证认证,避免他人恶意访问和非法操作;需要实现对移动设备中企业应用程序的鉴权鉴权和防护,避免应用程序含有木马等恶意代码;需要实现对移动设备中企业数据存储的加密数据存储的加密,避免设备遗失时可能的泄密;需要实现应用访问过程中的数据传输和链路的管控数据传输和链路的管控,防止在传输和应用访问过程中泄密;需要实现对移动设备的异常处理异常处
20、理,实现被盗手机的自动数据清洗;安全是企业级移动信息化的必要保障与支撑,必不可少1.2 1.2 主要研究内容主要研究内容: :本期项目研究点本期项目研究点3333一体化用户体验一体化用户体验随着移动信息化应用的不断丰富,整个企业信息化的统一用户体验的要求和问题会愈发突出:随着移动信息化应用的不断丰富,整个企业信息化的统一用户体验的要求和问题会愈发突出:一方面如何让移动设备端(包括手机和平板电脑)用户体验与桌面端应用保持一致,共同符合“一个中国移动”的标准化战略,另一方面如何让移动设备端用户能够感受新型智能操作系统下自身良好的体验,做到物尽其用;为此迫切需要对移动信息化的标准化UI风格进行统一设
21、计,对其落地实现技术体系和模板进行约束,并对高端用户体验的方式方法进行研究。国外知名运营商和移动信息化开发厂商均有标准化的UI技术体系1.2 1.2 主要研究内容主要研究内容: :本期项目工作概述及分工本期项目工作概述及分工面向Android平台、提供POSO技术服务机制的基础服务平台研发;企业级移动应用体系中Security服务机制(通用通用)的设计和实现;【湖南湖南】面向面向AndroidAndroid操作系统的基操作系统的基础服务平台的研发及础服务平台的研发及SecuritySecurity设计设计【内蒙内蒙】面向面向iOSiOS操作系统的基础服操作系统的基础服务平台的研发及新型用户体验
22、设计务平台的研发及新型用户体验设计【总体总体】企业级移动应用体系研究企业级移动应用体系研究面向iOS平台(iPad设备) 、提供POSO技术服务机制的基础服务平台研发;面向平板设备(iPadiPad)的一体化用户体验研究设计企业级移动信息化发展趋势分析研究;企业级移动应用需求分析和技术体系设计;面向管理信息系统需求,典型应用的选取分析;中国移动企业移动信息化的发展路线。首先进行企业级移动应用体系的整体研究,包括发展趋势和应用需求的分析、技术体系和架构的设计、典型应用的选取以及发展路线的规划;湖南移动主要针对基于Android平台的智能手机,完成提供POSO功能的基础服务平台研发;同时对企业移动
23、应用体系下的通用安全机制进行研究,结合平台完成部分功能点的验证;内蒙古移动主要针对基于iOS的iPad平板设备,完成提供POSO功能的基础服务平台研发;同时对iPad上新型用户体验在企业级移动应用中的应用场景和原则进行研究、设计及验证;1.2 1.2 主要研究内容主要研究内容: :本期项目工作本期项目工作 总体总体 企业级移动应用体系企业级移动应用体系研究研究发展趋势研究发展趋势研究需求分析及体系设计需求分析及体系设计典型应用选取、典型应用选取、研究和规划研究和规划结合智能手机、平板电脑快速发展和一体化融合的趋势,对企业级移动信息化的发展趋势进行分析和研究;企业移动信息化企业移动信息化发展路线
24、规划发展路线规划结合企业移动信息化的发展趋势,基于移动设备、操作系统和技术服务机制建立研究矩阵,对企业级移动应用的需求进行分析和研究,完成技术服务机制的提取和设计,涵盖业务功能、安全、用户体验等方面;将技术服务机制与管理信息系统需求相结合,完成典型应用的选取、分析和规划,产生可以供集团和其他省公司推广和试点的参考;结合中国移动企业信息化发展情况,制定企业移动信息化的发展路线在企业级移动应用体系研究部分,将对企业级移动信息化的发展趋势进行分析和研究,在此基础上对企业级移动应用的需求进行分析和研究;进而,与管理信息系统需求相结合,完成典型应用的选取、分析和规划;最后,结合中国移动企业信息化发展情况
25、,制定企业移动信息化的发展路线。1.2 1.2 主要研究内容主要研究内容: :本期项目工作本期项目工作 湖南湖南 面向面向AndroidAndroid平台的平台的研发研发SecurityPushOnlineSynchronizationOfflinep企业重要信息和事务的及时推送p应用直接在线进行信息化事务处理p支持离线模式下进行起草、审阅以及业务处理等操作p支持后台/客户端两端双向的企业信息同步p数据存储安全p数据传输安全p用户认证授权p涵盖基于Android操作系统智能手机的移动应用平台研究、设计和开发,提供企业级移动应用平台的支撑性功能:重点完成重点完成POSOPOSO基础服务功能的研发
26、,基础服务功能的研发,以及以及企业级移动应用体系中基本安全企业级移动应用体系中基本安全(SecuritySecurity)服务功能的设计和实现)服务功能的设计和实现Android移动应用平台基本功能(移动应用平台基本功能(Security & POSO)技术体系的研究和分析技术体系的研究和分析AndroidAndroid基础服务平台的设计基础服务平台的设计开发开发重点针对当前应用广泛和市场占有率不断上升的基于Android操作系统的智能手机,按照移动应用的POSO功能模式调研当前主要的技术体系,确定平台的实现技术;针对企业级移动应用中需要重点考虑的安全问题,特别是应用系统的强认证和信息加密等方
27、面,进行解决方案的调研;确定基于Android智能手机的企业级移动应用平台的技术体系,完成平台架构方案的设计,重点针对体现移动应用特征的POSO四维功能机制;完成企业级移动应用基础服务平台开发;在其上实现移动办公(基于已有的OA引擎和系统)、邮件、通信录等典型功能,对平台的功能特征进行验证;安全机制的研究和验证安全机制的研究和验证完成企业级移动应用安全体系的设计,涵盖认证/鉴权、本地数据安全、链路数据安全、异常情况处理等环节;针对强认证、信息加密等基础性安全功能,在基础服务平台上进行设计实现,基于典型应用进行安全基础功能的验证;Android操作系统(智能手机)操作系统(智能手机)1.2 1.
28、2 主要研究内容主要研究内容: :本期项目工作本期项目工作 内蒙内蒙 面向面向iOSiOS平台的研发平台的研发User ExperiencePushOnlineSynchronizationOfflinep企业重要信息和事务的及时推送p应用直接在线进行信息化事务处理p支持离线模式下进行起草、审阅以及业务处理等操作p支持后台/客户端两端双向的企业信息同步p重力感应p多点触摸p色彩搭配p涵盖基于iOS操作系统平板电脑的移动应用平台研究、设计和开发,提供企业级移动应用平台的支撑性功能:重点完成重点完成POSOPOSO基础服务功能的研发,以及面向平板设备的一体化用户体验(基础服务功能的研发,以及面向平
29、板设备的一体化用户体验(UEUE)的研)的研究设计究设计iOS移动应用平台基本功能(移动应用平台基本功能(UE & POSO)技术体系的研究和分析技术体系的研究和分析iOSiOS基础服务平台的设计开发基础服务平台的设计开发重点针对代表未来发展趋势的基于IOS操作系统平板电脑,按照移动应用的POSO功能模式调研主要的技术体系,确定平台实现技术;针对新型平台电脑的用户体验,对其在企业级移动应用中的用户体验相关解决方案进行调研,给出新型用户体验在企业级移动应用中的场景分析;确定基于iOS操作系统平板电脑的企业级移动应用平台的技术体系,完成平台架构方案的设计;重点针对体现移动应用特征的POSO四维功能
30、机制;完成的企业级移动应用基础服务平台开发;在其上实现移动办公(基于已有的OA引擎和系统)、邮件、通信录等典型功能,对平台的功能特征进行验证;新型用户体验的研究和落地新型用户体验的研究和落地针对iPad等新型平板设备上的用户体验,分析其在企业级移动应用中的应用原则,完成应用场景和方案设计;在基础服务平台上,对新型用户体验的相关场景进行实现,完成新型用户体验在企业级移动应用中原则的验证;iOS操作系统(操作系统(iPad平板电脑)平板电脑)1.2 1.2 主要研究内容主要研究内容: :项目的难点及解决方案项目的难点及解决方案企业级移动应用平台的技术体系的研究和设计企业级移动应用中基础功能机制的设
31、计企业级移动应用安全方案的设计新型移动设备下,企业级移动应用中用户体验方案的设计覆盖多平台(Android/iOS)的企业级移动应用平台的设计和开发q 主要难点主要难点对于技术体系、功能机制等相关的研究方面的难点,将在对现有技术及发展趋势详尽分析和研究的基础上,开展相关工作;对于方案设计中的难点,在充分利用现有先进技术的基础上,将重点针对中国移动的现有业务需求和现状,采用“速赢”的策略,力争设计的方案能够最好地解决现有问题;对于平台开发相关的难点,将对平台的技术特征进行充分调研,在此基础上,深入挖掘平台的特征和技术要求,保证开发完成的系统在目标平台上的兼容性和稳定性;q 解决思路解决思路1.3
32、 1.3 目标完成情况总结目标完成情况总结企业级移动OA的推送功能企业级移动OA的离线功能企业级移动EMAIL的推送功能企业级移动EMAIL的离线功能q解决了四项公司在市场发展和生产运营中存在的关键问题解决了四项公司在市场发展和生产运营中存在的关键问题企业级移动应用安全体系企业级移动应用技术体系移动应用页面数据的实时推送/更新机制移动应用离线功能自动适配移动应用数据自动同步企业级移动应用普适化支撑q研究和提出了六项关键技术点的决策建议研究和提出了六项关键技术点的决策建议q挖掘了国内专利申请一项挖掘了国内专利申请一项企业级移动应用环境中按需进行数据推送的方法和系统 q初步估计对企业绩效贡献的经济
33、效益为初步估计对企业绩效贡献的经济效益为66.466.4万元万元一一. . 课题目标实现情况课题目标实现情况目目 录录二、主要研究成果(整合后)二、主要研究成果(整合后)子子 目目 录录2.1、企业级移动应用平台技术体系总体研究企业级移动应用平台技术体系总体研究2.2.1 企业级移动应用平台技术体系研究思路企业级移动应用平台技术体系研究思路2.2.2 企业级移动应用平台技术要素的细化企业级移动应用平台技术要素的细化2.2.3 企业级移动应用平台的对标分析企业级移动应用平台的对标分析2.2.4 企业级移动应用基础安全体系的研究和设计企业级移动应用基础安全体系的研究和设计2.2、面向新型智能终端的
34、企业级移动应用平台研发面向新型智能终端的企业级移动应用平台研发2.2.1 企业级移动应用平台需求分析及功能逻辑设计企业级移动应用平台需求分析及功能逻辑设计2.2.2 企业级移动应用平台支撑技术体系及架构方案设计企业级移动应用平台支撑技术体系及架构方案设计2.2.3 企业级移动应用平台安全相关机制的实现企业级移动应用平台安全相关机制的实现2.2.4 企业级移动应用平台的实现模块设计企业级移动应用平台的实现模块设计2.2.5 企业级移动应用平台的开发示例企业级移动应用平台的开发示例提纲提纲2.1、企业级移动应用平台技术体系总体研究企业级移动应用平台技术体系总体研究2.2.1 企业级移动应用平台技术
35、体系研究思路企业级移动应用平台技术体系研究思路2.2.2 企业级移动应用平台技术要素的细化企业级移动应用平台技术要素的细化2.2.3 企业级移动应用平台的对标分析企业级移动应用平台的对标分析2.2.4 企业级移动应用基础安全体系的研究和设计企业级移动应用基础安全体系的研究和设计企业级移动应用平台技术体系研究和设计思路企业级移动应用平台技术体系研究和设计思路结合内外部的业务需求以及企业级移动应用技术体系发展趋势的调研分析,完成POSO、Sec、Mgnt相关建设目标的确认和规划;将三部分的建设目标细化为三十五方面的建设目标,完成五类现有产品/平台的对标分析;借鉴现有产品的对标分析结果,考虑典型应用
36、场景、典型应用数据接口进行EMASP平台的设计和开发;技术体系的细化技术体系的细化POSO(9方面)Security(8方面)Mgnt.(15方面)内外内外业务业务需求需求技术技术体系体系发展发展五类产品五类产品/平台的平台的对标分析对标分析服务机制服务机制/应用场景应用场景/典型应用典型应用的调研的调研典型应用典型应用数据接口数据接口的调研的调研平台设计和开发现有移现有移动应用动应用建设情建设情况况基础安全体基础安全体系的研究和系的研究和设计设计提纲提纲2.1、企业级移动应用平台技术体系总体研究企业级移动应用平台技术体系总体研究2.2.1 企业级移动应用平台技术体系研究思路企业级移动应用平台
37、技术体系研究思路2.2.2 企业级移动应用平台技术要素的细化企业级移动应用平台技术要素的细化2.2.3 企业级移动应用平台的对标分析企业级移动应用平台的对标分析2.2.4 企业级移动应用基础安全体系的研究和设计企业级移动应用基础安全体系的研究和设计企业级移动应用平台体系框架概述企业级移动应用平台体系框架概述ManagementPushOnlineSyncOfflineSecuritySecurity:通过移动设备作为企业信息化的承载体,其必需能够保障链路的安全性,存储企业数据的安全性,以及用户身份的准确性;以防手机失窃丢失损耗等情况对企业信息安全带来的额外冲击,被视为EM的必要基座,是必不可少
38、的。Poso:支持企业重要信息和事务的及时推送(P),支持以BS或CS方式直接在线进行信息化事务处理(O),支持两端双向的企业信息同步(S),支持离线方式进行企业信息化的阅读与处理(O);完整事务处理类型的支持是实现移动设备全方面服务企业信息化和支撑业务特点的主体内容。Management:支持针对移动设备的企业级策略发布、软件管理与状态监控,能够支持空口化管理模式。针对不同的终端设备(智能手机和平板电脑)以及操作系统(Android,iOS,WP7,OPhone等),重点开展企业级移动应用的Security、Poso以及Management三方面技术特征与服务机制的研究技术要素的细化和分解技
39、术要素的细化和分解POSOPOSO功能服务机制功能服务机制对于POSO功能服务机制,按照企业重要信息和事务的及时推送、在线的企业信息化事务处理、设备/客户端和应用/服务器两级/双向的企业信息同步以及离线方式下企业信息阅读与事务处理四个部分,四个部分, 共分为九方面的建设目标共分为九方面的建设目标;POSO功能服务机制功能服务机制系统级的消息通知;应用级的事务/内容推送;PC应用到移动应用的无缝转换和适配;不改变原有操作模式和用户体验的应用接入和访问;系统应用功能/业务逻辑的离线访问和处理;本地数据的存储和访问;桌面等设备本地资源的访问;设备/客户端本地资源和应用/服务器端资源的同步;应用相关数
40、据在设备/服务器两端同步;企业重要信息和事务的及时推送(企业重要信息和事务的及时推送(P)在线的企业信息化事务处理(在线的企业信息化事务处理(O)离线方式下企业信息阅读离线方式下企业信息阅读/事务处理(事务处理(O)设备设备/客户端和应用客户端和应用/服务器两级、双向的服务器两级、双向的企业信息同步(企业信息同步(S)技术要素的细化和分解技术要素的细化和分解企业级移动应用安全基础体系企业级移动应用安全基础体系对于企业级移动应用安全基础体系,按照用户的强认证和授权、数据存储的安全和加密、异常情况下数据的安全处理、数据链路的加密和数据传输的安全四个部分,四个部分, 共分为八方面的共分为八方面的建设
41、目标建设目标;企业级移动应用企业级移动应用安全基础体系安全基础体系系统层的基于强密码的用户登录/接入;在企业级移动应用体系中的统一用户认证和权限管理;应用相关数据在客户端存储安全/加密;企业级移动应用体系元数据和配置数据的安全;企业级移动应用体系下发的IT策略的数 据安全;设备/客户端和应用/服务器两端,系统级数据链路的加密和数据传输安全;应用访问/接入相关数据的传输安全;.OTA模式下移动设备相关数据的远程擦除(包括应用数据及系统存储两个方面);用户的强认证和授权用户的强认证和授权数据存储的安全和加密数据存储的安全和加密数据链路的加密和数据传输的安全数据链路的加密和数据传输的安全异常情况下数
42、据的安全处理异常情况下数据的安全处理:a. ;技术要素的细化和分解技术要素的细化和分解企业级移动设备企业级移动设备/ /应用统一管理体应用统一管理体系系对于企业级移动设备/应用统一管理体系,按照移动设备/应用的统一初始化、移动设备/应用运行时的统一管理、异常情况下设备的管理以及移动应用桌面和内容的管理四个部分,四个部分, 共共分为十五方面的建设目标分为十五方面的建设目标;企业级移动设备企业级移动设备/应用应用统一管理体系统一管理体系企业级移动应用体系下用户组的分配以及IT策略管理;OTA模式下移动设备的初始化;OTA模式下应用软件的按需部署;OTA模式下杀毒软件等 外围系统的安装和配置OTA模
43、式的设备/应用相关数据的跟踪;OTA模式的设备/应用数据的备份和恢复OTA模式的应用系统的自动更新/修复;OTA模式的设备参数的调整和修改;OTA模式的设备的锁定和解锁;基于短信模式的设备的远程告警;移动应用用户体验(UE)和交互模式的统一管理;OTA模式下用户桌面及相关应用的统一管理和分发;移动设备移动设备/应用的统一初始化应用的统一初始化移动设备移动设备/应用运行时的统一管理应用运行时的统一管理异常情况下设备的管理异常情况下设备的管理移动应用桌面和内容的管理移动应用桌面和内容的管理OTA模式的设备控制OTA模式操作日志的记录;设备/平台远程通信/交互;提纲提纲2.1、企业级移动应用平台技术
44、体系总体研究企业级移动应用平台技术体系总体研究2.2.1 企业级移动应用平台技术体系研究思路企业级移动应用平台技术体系研究思路2.2.2 企业级移动应用平台技术要素的细化企业级移动应用平台技术要素的细化2.2.3 企业级移动应用平台的对标分析企业级移动应用平台的对标分析2.2.4 企业级移动应用基础安全体系的研究和设计企业级移动应用基础安全体系的研究和设计现有产品现有产品/ /平台对中国移动企业级移动应用平台支撑能力分析平台对中国移动企业级移动应用平台支撑能力分析的思路的思路针对三部分针对三部分/三十五方面三十五方面建设目标的对标分析建设目标的对标分析对每一部分支撑能力的对每一部分支撑能力的综
45、合分析综合分析CMCC企业级移动应用企业级移动应用平台整体支撑能力分析平台整体支撑能力分析按照CMCC企业级移动应用平台三部分/三十五方面建设目标,对相关的产品/平台进行针对性的交流、调研以及对标测试,分析每一种产品/平台对每一建设目标的支撑能力,给出详细的支撑能力说明对三部分建设目标分别进行针对性的量化分析,明确不同产品/平台的定位和侧重点,以及对每一部分建设性目标的支撑能力对于每一部分对于每一部分建设目标是否有能满足建设目标是否有能满足其支撑能力需求的针对其支撑能力需求的针对性产品性产品/平台平台对三部分建设目标的支撑能力进行汇总和量化分析,明确不同产品/平台对CMCC企业级移动应用平台整
46、体的支撑能力对于整个平台,是对于整个平台,是否有满足其完整支撑需否有满足其完整支撑需求的相关产品求的相关产品/平台平台现有相关产品的交流、现有相关产品的交流、产品资料的调研和分析、产品资料的调研和分析、产品产品/平台试用和测试平台试用和测试每部分建设目标的分别每部分建设目标的分别汇总汇总针对性支撑能力针对性支撑能力所有建设目标的整体汇所有建设目标的整体汇总总完整支撑能力完整支撑能力针对三部分/三十二方面的建设目标,对现有相关产品/平台进行支撑能力的对标分析;对于每一部分建设目标,分析是否有针对性的产品/平台能够支撑;对于整体平台的建设目标,分析是否有满足整体支撑需求的产品/平台;现有产品现有产
47、品/ /平台对平台对POSOPOSO基础服务机制的支撑能力基础服务机制的支撑能力接近接近40%的的POSO功能服务机制功能服务机制得不到支撑得不到支撑现有产品现有产品/ /平台对企业级移动应用安全基础体系的支撑能力平台对企业级移动应用安全基础体系的支撑能力60%以上的移动应用安全基础体系以上的移动应用安全基础体系得不到支撑得不到支撑现有产品现有产品/ /平台对企业级移动设备平台对企业级移动设备/ /应用统一管理体系的支撑应用统一管理体系的支撑能力能力40%以上的移动设备以上的移动设备/应用应用统一管理体系统一管理体系得不到支撑得不到支撑现有产品现有产品/ /平台对平台对CMCCCMCC企业级移
48、动应用平台支撑能力分析企业级移动应用平台支撑能力分析现有相关平台/产品对EMASP建设目标的支撑能力较弱、差距较大,进而难以满足内外部服务的实际需求以及“一网多包”集中化建设模式下手机类服务包的要求;中国移动企业级移动应用平台(EMASP)需要按照各建设目标/基线标准进行整体的设计和开发,从而能够产出支撑中国移动企业级移动应用体系的完整平台。从总体上分析:从总体上分析: 现有有平台现有有平台/产品支撑能力与产品支撑能力与EMASP整体建设目标支撑需求之间整体建设目标支撑需求之间的差距在的差距在56.25%93.75%以上;以上; 即:即:56.25%93.75%的的EMASP平台的建设目标难以
49、被现有各相关平台的建设目标难以被现有各相关平台平台/产品支撑和承载产品支撑和承载 提纲提纲2.1、企业级移动应用平台技术体系总体研究企业级移动应用平台技术体系总体研究2.2.1 企业级移动应用平台技术体系研究思路企业级移动应用平台技术体系研究思路2.2.2 企业级移动应用平台技术要素的细化企业级移动应用平台技术要素的细化2.2.3 企业级移动应用平台的对标分析企业级移动应用平台的对标分析2.2.4 企业级移动应用基础安全体系的研究和设计企业级移动应用基础安全体系的研究和设计企业级移动应用平台安全需求分析企业级移动应用平台安全需求分析 企业级移动应用安全需求场景如下图所示企业级移动应用安全需求场
50、景如下图所示分析重点分析重点针对智能终端面临的以上威胁,将针对以下重点内容进行分析:1、智能终端安全性2、保护与智能终端相关的连接3、加密EM Server与智能终端间传输的数据4、保护应用服务器与EM Server的安全连接5、管理EM Server的安全性6、保护存储在EM Server组织环境中的数据企业级移动应用平台安全体系建立的目标企业级移动应用平台安全体系建立的目标EM Server安全性安全性:安全连接:安全连接:智能终端安全性:智能终端安全性:n EM Server安全特性安全特性 uIT安全策略u访问允许列表u分段网络体系架构n 数据安全保护数据安全保护u应用服务器数据安全u
51、EM Server 配置安全uIT安全策略数据安全n 应用服务器与应用服务器与EM Server 安全连接安全连接 智能终端安全连接智能终端安全连接智能终端和EM Server之间直接连接智能终端和Internet、内部网、WAP网关的连接智能终端与应用服务器的HTTP连接智能终端高级连接安全 连接数据加密连接数据加密n 本地安全本地安全智能终端内存的安全操作保护智能终端上的数据保护丢失或被盗的智能终端n 第三方扩展第三方扩展保护第三方应用程序保护Bluetooth连接保护Wi-Fi连接安全n 激活与注册激活与注册安全激活智能终端智能终端证书注册智能终端安全性智能终端安全性 智能终端安全工作主
52、要考虑智能终端本地安全,基于第三方应用程序、蓝牙、WIFI技术的扩展安全以及激活与注册。智能终端智能终端本地安全本地安全第三方第三方扩展安全扩展安全智能终端存储空间的安全操作i. 内存数据分类保护ii. 删除终端存储空间中所有终端数据、同时清除相关内存保护智能终端上的数据i. 加密锁定的智能终端上的数据ii. 加密锁定的智能终端上的设备传输密钥iii. 重置智能终端密码iv. 保护智能终端上存储的密码v. 加密存储在媒体卡上的智能终端数据保护丢失或被盗的智能终端保护第三方应用程序保护智能终端的Bluetooth连接保护智能终端的Wi-Fi连接i. 保护采用Wi-Fi技术的智能终端和企业Wi-F
53、i网络的连接ii. 管理智能终端连接到Wi-Fi网络的方式iii. EM Server保护敏感的Wi-Fi信息iv. 使用RSA身份验证保护智能终端和Wi-Fi网络的连接激活与注册激活与注册通过无线网络安全激活智能终端智能终端证书注册智能终端本地安全智能终端本地安全-1-1智能终端智能终端存储空间存储空间媒体卡媒体卡是设置用户插入到终端以扩展存储量的microSD卡。用户可使用终端保存、访问和加密此媒体卡上的文件应用程序存储应用程序存储智能终端上存储应用程序数据和用户数据的内部文件系统,是终端唯一用于运行应用程序的位置。它可存储用户下载或保持到设备内存的文件,并加密应用程序存储内置媒体存储内置
54、媒体存储存储用户保存在终端上的文件,终端使用和遗弃内置媒体存储方式与媒体卡相同。永久删除所有终端数据时,终端将删除内置媒体存储的所有文件(System的文件系统分区除外,此分区包括示例图片和示例铃音)。可加密内置媒体存储NV NV 存储区存储区是应用程序存储中的永久性存储区,且只有终端的操作系统才能写入此存储区。 第三方应用程序代码不能写入NV存储区 安全场景安全场景:存储空间的操作安全直接关系到存储数据的安全,需要:存储空间的操作安全直接关系到存储数据的安全,需要考虑在手机被攻击或被盗时的本地安全。考虑在手机被攻击或被盗时的本地安全。l 解决思路解决思路:划分存储空间,控制智能终端上存储敏感
55、信息的部分的:划分存储空间,控制智能终端上存储敏感信息的部分的访问和写入,以实现数据擦除和分类保护。访问和写入,以实现数据擦除和分类保护。智能终端本地安全智能终端本地安全-2-2 解决方法解决方法:ITIT安全策略可对存储空间指定位置的数据进行远程操作安全策略可对存储空间指定位置的数据进行远程操作加密终端数据、设备传输密钥、设备存储密码、加密终端数据、设备传输密钥、设备存储密码、SDSD卡数据,重置密码卡数据,重置密码智能终端智能终端密钥类型密钥类型临时密钥:临时密钥:加密ECC公、私钥和智能终端的内容保护密钥。由设备密码生成。内容保护密钥:内容保护密钥:智能终端锁定时,加密终端上的用户数据消
56、息密钥:消息密钥:加密智能终端收发的数据设备传输密钥:设备传输密钥:加密消息密钥主体加密密钥:主体加密密钥:加密设备传输密钥和终端锁定时特定的PIN加密密钥PINPIN加密密钥:可产生加密密钥:可产生PINPIN消息消息ECCECC公钥:公钥:加密终端锁定时接收的已存储的数据ECCECC私钥:私钥:在用户解锁智能终端时解密数据智智能能终终端端密密钥钥示示例例安安全全策策略略示示例例第三方扩展安全第三方扩展安全 安全场景及解决方案安全场景及解决方案:来自第三方应用程序的安全问题来自第三方应用程序的安全问题BluetoothBluetooth连接连接Wi-FiWi-Fi连接连接使用应用程序控制策略
57、规则和代码签名来控制能否安装应用程序,并指定应用程序的权限。智能终端创建Bluetooth配置文件来指定终端和其他Bluetooth设备上的应用程序如何进行连接和通信。可使用IT安全策略来管理采用Bluetooth技术的智能终端,例如须在终端上请求与另一个Bluetooth设备的连接或配对,并键入密码(也称为共享密钥)来完成配对。保护采用Wi-Fi技术的智能终端和企业Wi-Fi网络的连接管理智能终端连接到Wi-Fi网络的方式EM Server保护敏感的Wi-Fi信息使用RSA身份验证保护智能终端和Wi-Fi网络的连接来自第三方应用程序的安全问题会导致终端来自第三方应用程序的安全问题会导致终端遭
58、受恶意软件的侵害遭受恶意软件的侵害A对对Bluetooth连接中的终端进行的操作关系连接中的终端进行的操作关系到连接的安全性到连接的安全性B智能终端打开智能终端打开Wi-Fi连接时,受到组织中各类连接时,受到组织中各类基于连接过程的攻击基于连接过程的攻击C激活与注册激活与注册智能终端证书注册智能终端证书注册通过无线网络安全激活智能终端通过无线网络安全激活智能终端 安全场景安全场景:当智能终端与桌:当智能终端与桌面计算机通过无线网络相连面计算机通过无线网络相连接,或智能终端与计算机连接,或智能终端与计算机连接且用户要登录到服务器端接且用户要登录到服务器端的服务时,需要激活智能终的服务时,需要激活
59、智能终端,并保证激活过程的安全端,并保证激活过程的安全性。性。 解决思路解决思路:使用系统创建的:使用系统创建的激活密码对智能终端进行激活密码对智能终端进行身身份验证份验证。 解决方法:使用解决方法:使用ITIT安全策略安全策略配置密码要求(如持续时间、配置密码要求(如持续时间、长度和强度),以指定密码长度和强度),以指定密码样式和阻止特定密码。样式和阻止特定密码。 安全场景安全场景:智能终端安装软:智能终端安装软件时易遭受病毒传播。件时易遭受病毒传播。 解决思路解决思路:要求智能终端安:要求智能终端安装软件时需预先进行证书注装软件时需预先进行证书注册,证书可有效控制病毒传册,证书可有效控制病
60、毒传播。播。 解决方法:可将解决方法:可将EM ServerEM Server配置为允许终端可用于任何配置为允许终端可用于任何启用启用PKIPKI的应用程序或进程的的应用程序或进程的证书注册。当将证书注册。当将EM ServerEM Server配配置为允许终端注册证书时,置为允许终端注册证书时,可控制用户请求证书的方式可控制用户请求证书的方式以及颁发证书的证书颁发机以及颁发证书的证书颁发机构。构。企业级移动应用安全平台的连接安全企业级移动应用安全平台的连接安全应用服务器与应用服务器与EM Server安全连接安全连接智能终端安全连接智能终端安全连接连接数据加密连接数据加密确保企业级移动应用安
61、全平台确保企业级移动应用安全平台连接过程安全和数据安全连接过程安全和数据安全 安全场景安全场景:在:在EM ServerEM Server与应用服务器与应用服务器的通信建立过程中,面临各种攻击威胁。的通信建立过程中,面临各种攻击威胁。 解决思路解决思路:端到端的加密方式。:端到端的加密方式。 TLS SSL S/MIMETLS SSL S/MIME Code Signing Code Signing等多种安全标准等多种安全标准 智能终端和智能终端和EM ServerEM Server间的直接连接间的直接连接 智能终端和智能终端和InternetInternet、内部网、内部网、WAPWAP网关
62、网关的连接的连接 智能终端与应用服务器的智能终端与应用服务器的HTTPHTTP连接连接 智能终端高级连接安全智能终端高级连接安全 安全场景安全场景:EM ServerEM Server与智能终端建立连接后开始传输数据,组织与智能终端建立连接后开始传输数据,组织环境中数据的传输面临各种安全威胁。环境中数据的传输面临各种安全威胁。 解决思路解决思路:EM ServerEM Server可对其与智能终端间传输数据使用传输层加可对其与智能终端间传输数据使用传输层加密。密。 解决方案:须在解决方案:须在EM ServerEM Server设置设置DispatcherDispatcher组件,完成组件,完
63、成inboundinbound数数据的解压缩和解密和据的解压缩和解密和outboundoutbound数据的加密和压缩,从而保证传输数数据的加密和压缩,从而保证传输数据的安全。据的安全。 连接安全指企业级移动应用安全平台体系中各部分之间的连接过程安全和数据安全。智能终端安全连接智能终端安全连接智能终端一般网络连接智能终端一般网络连接智能终端和智能终端和EM Server间的直接连接间的直接连接 安全场景安全场景:EM ServerEM Server与智能设备互发数据前,与智能设备互发数据前,须保证连接和后续数据传输的安全。须保证连接和后续数据传输的安全。 解决思路解决思路:在:在EM Serv
64、erEM Server和智能终端可互发数据和智能终端可互发数据前,终端须通过验证设备传输密钥来对前,终端须通过验证设备传输密钥来对EM ServerEM Server进行身份验证。进行身份验证。 示例:使用示例:使用NISTNIST推荐的推荐的521521位椭圆曲线组,验证位椭圆曲线组,验证通信过程中涉及的由各方提供的点是否为椭圆曲通信过程中涉及的由各方提供的点是否为椭圆曲线组的一部分。线组的一部分。 安全场景安全场景:智能终端与:智能终端与InternetInternet、内部网、内部网以及以及WAPWAP网关的连接安全网关的连接安全 解决思路解决思路:可使用一些专有协议保护其连:可使用一些
65、专有协议保护其连接的安全性。接的安全性。 示例:如终端支持示例:如终端支持WTLSWTLS,WTLSWTLS会对信息进会对信息进行加密和解密、验证用户身份并提供数据完行加密和解密、验证用户身份并提供数据完整性等。整性等。智能终端高级连接安全智能终端高级连接安全智能终端与应用服务器的智能终端与应用服务器的HTTP连接连接 安全场景安全场景:智能终端访问应用服务器过程中的连:智能终端访问应用服务器过程中的连接存在安全威胁。接存在安全威胁。 解决思路解决思路:智能终端可在代理模式下使用代服务:智能终端可在代理模式下使用代服务器或在直接模式下使用器或在直接模式下使用TLSTLS提供对提供对HTTPHT
66、TP的支持。如的支持。如使用使用TLSTLS配置配置HTTPHTTP,则终端内部连接组件将使用,则终端内部连接组件将使用Cryptographic APICryptographic API支持的支持的TLSTLS和和WTLSWTLS密钥建立算密钥建立算法、对称算法和哈希算法来打开智能终端的连接。法、对称算法和哈希算法来打开智能终端的连接。智能终端将使用智能终端将使用TLSTLS对应用程序发送至内容服务器对应用程序发送至内容服务器的数据进行加密。的数据进行加密。 安全场景安全场景:根据具体应用的安全需求,须:根据具体应用的安全需求,须对智能终端提升安全性。对智能终端提升安全性。 解决思路解决思路
67、:以应用邮件服务为例,如果组:以应用邮件服务为例,如果组织消息收发环境支持高安全性的消息收发技织消息收发环境支持高安全性的消息收发技术,如术,如PGPPGP加密或加密或S/MIMES/MIME加密,则可将企业加密,则可将企业移动应用方案配置为使用移动应用方案配置为使用PGPPGP加密或加密或S/MIMES/MIME加密方法对消息进行加密,以便在加密方法对消息进行加密,以便在EM EM ServerServer将消息转发至收件人的电子邮件应用将消息转发至收件人的电子邮件应用程序时保持加密状态。程序时保持加密状态。端到端加密端到端加密应用服务器2应用服务器1EMASP Server智能终端Inte
68、rnetEM Server EM Server 安全性安全性EM Server安全性主要是指EM Server端的安全特征和相关的数据安全保护。EM Server安全特征安全特征数据安全保护数据安全保护IT 安全策略访问允许列表分段网络体系架构应用服务器数据安全EM Server 配置安全IT安全策略数据安全EM Server EM Server 安全特征安全特征访问允许列表访问允许列表IT 安全策略安全策略 安全场景安全场景:抵制智能终端在移动:抵制智能终端在移动应用环境中面临的各种威胁。应用环境中面临的各种威胁。 解决思路解决思路:设置多重安全规则增:设置多重安全规则增强其安全性。强其安全
69、性。 解决方案解决方案:当智能终端激活后,:当智能终端激活后,EM ServerEM Server会自动将已分配至用户会自动将已分配至用户账户或组的账户或组的ITIT安全策略发送至智安全策略发送至智能终端。能终端。 注:注:ITIT安全策略可包括多种规则,安全策略可包括多种规则,如:如: 加密以及加密强度 使用密码或者通行短语 使用Bluetooth无线技术的连接 保护智能终端上的用户数据和设备传输密钥 控制智能终端资源(如相机或GPS),可用于第三方应用程序 安全场景安全场景:智能终端访问:智能终端访问EM ServerEM Server时,需保证时,需保证访问过程安全性。访问过程安全性。
70、解决思路解决思路:可为被访问的:可为被访问的EM ServerEM Server配置允许列配置允许列表来确定哪些智能终端可以访问表来确定哪些智能终端可以访问EM ServerEM Server,保,保证访问过程的安全可控。证访问过程的安全可控。 可定义以下类型的允许访问列表:可定义以下类型的允许访问列表: 特定的智能终端PIN 智能终端PIN 的范围 特定制造商 特定的智能终端型号分段网络体系架构分段网络体系架构 安全场景安全场景:在企业移动应用安全平台实施的网络:在企业移动应用安全平台实施的网络环境中存在恶意软件的传播威胁。环境中存在恶意软件的传播威胁。 解决思路解决思路:可使用防火墙将组织
71、的网络或局域网:可使用防火墙将组织的网络或局域网分段并创建分段的网络体系架构。分段并创建分段的网络体系架构。 解决方案解决方案:每段均可管理特定:每段均可管理特定EM ServerEM Server组件的组件的网络流量,通过滤出不流向此分段的数据,增强网络流量,通过滤出不流向此分段的数据,增强分段的安全性和性能。分段的安全性和性能。数据安全保护数据安全保护应用服务器数据安全应用服务器数据安全 安全场景安全场景:保护不同应用类型数据的存储安全性。:保护不同应用类型数据的存储安全性。 解决思路解决思路:根据应用的不同设置不同的数据安全级别,加以区别地进行存储以保证数据安全。:根据应用的不同设置不同
72、的数据安全级别,加以区别地进行存储以保证数据安全。EM Server 配置安全配置安全 安全场景安全场景:EM ServerEM Server存储的所有配置数据,面临以下两类安全问题:存储的所有配置数据,面临以下两类安全问题:1 1、配置数据的本地安全,、配置数据的本地安全,2 2、配置数据迁移、配置数据迁移后的安全。后的安全。 解决思路解决思路:在:在EM ServerEM Server设置专门的设置专门的Configuration DatabaseConfiguration Database组件来存储所有配置数据,并设定相应的保护方案,组件来存储所有配置数据,并设定相应的保护方案,对相关组
73、件进行备份,发生故障时迅速完成服务器切换并对原配置数据进行擦除以防泄露。对相关组件进行备份,发生故障时迅速完成服务器切换并对原配置数据进行擦除以防泄露。IT 安全策略数据安全安全策略数据安全 安全场景安全场景:ITIT安全策略安全策略本身也面临为威胁。本身也面临为威胁。 解决思路解决思路:可利用存储在:可利用存储在EM ServerEM Server的的Configuration databaseConfiguration database组件中的组件中的ITIT安全策略对的私钥向包括安全策略对的私钥向包括ITIT安全策略数安全策略数据的所有数据包提供数字签名。据的所有数据包提供数字签名。 该
74、部分重点考虑存储在EM Server上的数据安全,可分为以下三部分进行考虑。EM ServerEM Server和智能终端相关安全性的功能模块和智能终端相关安全性的功能模块EM ServerEM Server有关安全性的功能模块有关安全性的功能模块智能终端上有关安全性的功能模块智能终端上有关安全性的功能模块策略服务策略服务配置数据库配置数据库密钥产生器密钥产生器认证服务认证服务发送IT安全策略、服务器端对终端管理命令以及配置允许访问的列表等工作完成所有配置数据的安全存储用于EMASP Server组织环境中各种加密密钥的生成完成EMASP Server与终端之间与验证相关的工作分发器分发器完成
75、inbound数据的解压缩和解密和outbound数据的加密和压缩策略加强策略加强密钥管理密钥管理密钥产生器密钥产生器认证服务认证服务执行EMASP Server下发的IT安全策略、服务器端对终端管理命令和允许访问列表等安全存储智能终端访问应用程序和网站的所有密码智能终端用于加密的各种密钥由组件生成完成智能终端上与验证相关的各项工作分发器分发器完成智能终端接收和发送数据的加解密和压缩解压缩企业级移动应用平台安全体系框架企业级移动应用平台安全体系框架 基于安全场景分析以及企业级移动应用平台安全功能模块得出以下平台安全架构。提纲提纲2.2、面向新型智能终端的企业级移动应用平台研发面向新型智能终端的
76、企业级移动应用平台研发2.2.1 企业级移动应用平台需求分析及功能逻辑设计企业级移动应用平台需求分析及功能逻辑设计2.2.2 企业级移动应用平台支撑技术体系及架构方案设计企业级移动应用平台支撑技术体系及架构方案设计2.2.3 企业级移动应用平台安全相关机制的实现企业级移动应用平台安全相关机制的实现2.2.4 企业级移动应用平台的实现模块设计企业级移动应用平台的实现模块设计2.2.5 企业级移动应用平台的开发示例企业级移动应用平台的开发示例基本功能逻辑单元基本功能逻辑单元系统信息推送系统信息推送移动终端设备,较传统PC具有高度的便携性,天然地与用户关系非常密切。用户关心的信息和需要用户及时了解的
77、信息,能够通过移动终端实时地呈现。企业级应用中存在大量这类实时信息、需要及时送达用户并要求用户处理的信息,而用户可能此时并没有登录该应用,甚至没在使用移动设备,因此需要:平台推送机制平台推送机制。示例示例实时信息:实时信息:企业级应用中生成的高实时性,或者用户订阅的信息,及时推送到移动终端,通知用户;随时随地:随时随地:不管用户是否在使用某项应用,是否在使用设备,只要设备开启、平台运行,就能实现推送信息接收和用户提醒;无缝对接:无缝对接:应用平台与支撑应用实现无缝对接,当用户得到推送信息后,能够通过平台方便地登录到相应系统,处理事务;常规推送机制基本功能逻辑单元基本功能逻辑单元应用信息推送应用
78、信息推送对于某些企业级应用,其产生的数据或信息具有很高的高实时性,变化是非常随机和频繁的。可能在用户打开页面,正在使用该应用时,页面中的数据已经发生了变化,这种情况下,就需要移动应用平台在常规推送机制之外,支持另外一种推送:页面推送机制页面推送机制。Http协议是无状态的,因此传统的Web应用是无法真正实现页面信息的实时推送的,平台对基于Web的企业级应用提供统一的推送支持。LoginLogout示例示例在线推送机制无在线推送示例示例基本功能逻辑单元基本功能逻辑单元在线访问在线访问移动应用平台所支撑的企业级应用定位在Web应用范畴,在线访问机制在线访问机制指移动设备能够连接网络的情况下,用户直
79、接应用服务器交互,完成业务操作。在线访问机制是平台重要的基础服务,也是其它几项服务机制的关键支撑。 平台最大程度的与保持原有应用一致的用户体验和用户使用习惯,包括不改动页面的外形与布局,不改变应用的组织结构和页面间链接关系、不搭配定制浏览器,而是使用系统原生浏不搭配定制浏览器,而是使用系统原生浏览器等(览器等(iOS Safari); 同时,在线访问过程,平台还会根据配置策略进行多种复杂操作,包括推送服务、离线访问服务特性的添加,离线资源的组织、下载与更新等等。在“在线访问机制”的下,用户访问的已经不再是系统原有的基本功能页面,所以说:在线访问机制在线访问机制 传统页面直接访问传统页面直接访问
80、;基本功能逻辑单元基本功能逻辑单元离线访问离线访问企业级移动应用的另一个显著特征是其应用的离散性用户访问和操作的离散性,以及无线网络覆盖的特点,很多情况下用户需要在离线状态下进行应用页面的访问和事务处理。为解决离线情况下移动应用的可操作性问题,平台提供一种通用的能够支撑企业级移动应用进行离线离线访问机制访问机制,为现有的移动应用添加离线操作能力。示例示例用户离线:用户离线:用户主动离线用户主动离线信号丢失信号丢失离散操作离散操作两套体系:两套体系:针对离线访问的功能需求,专门实现一套离线页面,形成在线、离线两套页面体系;统一体验:统一体验:离线页面和在线页面应该提供统一的用户体验;本地存储:本
81、地存储:用户的离线操作和录入数据需要平台提供本地存储功能;本地资源访问:本地资源访问:离线访问过程中需要的设备本地资源访问支持;离散操作:离散操作:在整个离线访问过程中,支持用户断续地对应用离线页面进行访问和数据操作;基本功能逻辑单元基本功能逻辑单元数据同步数据同步当企业级移动应用具备了离线操作和本地资源访问能力之后,应用相关的数据会存在于端设备和服务器两个位置,两端的数据一致性数据一致性是必须要解决的问题。因此,移动应用平台的另一个重要机制就是数据同步机制数据同步机制,包括上行数据同步(设备端向服务器端同步),和下行数据同步(服务器端向设备端)。App ServersiPad Clients
82、DataOperation基本功能逻辑单元基本功能逻辑单元本地资源调用本地资源调用传统的Web应用中,采用“资源请求-服务应答”模式,应用的业务数据主要保存在服务器端,除缓存之外浏览器端不能持久保存数据,也不能操作设备本地资源。基于POSO四维服务机制的需求,需要提供本地资源调用和访问本地资源调用和访问功能。 功能需求:功能需求:离线访问中业务数据的记录,客户端与服务器端数据同步,获得信息推送后的用户提示和信息承载,都需要本地; 资源类型:资源类型:根据承载的数据对象不同,提供文件系统、数据库、Key-Value二元结构存储、系统桌面、浏览器缓存等本地存储资源类型; 作用范围:作用范围:根据操
83、作的时效性需求不同,提供会话级和永久级存储接口;根据操作的作用范围不同,提供浏览器内部和设备全局存储接口;POSO四维服务四维服务具体的业务应用场景具体的业务应用场景信息推送信息推送 Scenario1: 应用本身实现了Push功能,经过配置,EMASP平台采取直通的方式,保留原生功能; Scenario2: 应用本身未实现Push功能,也未实现EMASP平台的Push接口,平台添加系统Push的功能; Scenario3: 应用本身未实现Push功能,实现了EMASP平台的Push接口;应用开启,平台添加Push机制和相关内容区域的动态刷新功能;应用未开启,实现快捷方式的提醒;具体的业务应用
84、场景具体的业务应用场景离线访问离线访问 Scenario5/6: EMASP平台将应用适配为Html5标准,添加离线的相关页面内容;进行Online应用访问时,系统自动完成离线相关文件的下载;设备处于离线状态时,将访问切换到Offline状态,访问本地的离线文件;具体的业务应用场景具体的业务应用场景本地资源访问本地资源访问 Scenario8:EMASP平台基于JS脚本提供本地数据存储机制,应用在相关页面(特别是离线页面)中通过调用上述接口,实现本地数据的存取; Scenario12: EMASP平台提供本地桌面的访问能力,主要是桌面快捷方式的建立;应用在平台中进行注册时,或者应用的相关页面,
85、通过用户的确认,提供桌面快捷方式的创建;具体的业务应用场景具体的业务应用场景数据同步数据同步 Scenario14/17:设备从离线转为在线状态,应用的访问从Offline页面转为Online页面;应用提供数据同步的脚步UpSync/DownSync.JS;EMASP平台调用脚步,完成数据的同步;提纲提纲2.2、面向新型智能终端的企业级移动应用平台研发面向新型智能终端的企业级移动应用平台研发2.2.1 企业级移动应用平台需求分析及功能逻辑设计企业级移动应用平台需求分析及功能逻辑设计2.2.2 企业级移动应用平台支撑技术体系及架构方案设计企业级移动应用平台支撑技术体系及架构方案设计2.2.3 企
86、业级移动应用平台安全相关机制的实现企业级移动应用平台安全相关机制的实现2.2.4 企业级移动应用平台的实现模块设计企业级移动应用平台的实现模块设计2.2.5 企业级移动应用平台的开发示例企业级移动应用平台的开发示例企业级移动应用平台的整体技术架构设计企业级移动应用平台的整体技术架构设计EMASP包括服务器平台(EMASP Server)和移动设备上的客户端平台(EMASP Client);目前的架构主要承载POSO基础服务机制;采用松耦合架构设计,未来POSO、Sec.、Mgnt.基于不同的程序包,进行松耦合交互;p EMASP Client:提供移动设备平台本地的相关操作功能,包括通过对客户
87、端浏览器的相关操作、离线功能访问以及客户端本地数据/资源的接入等;p EMASP Server:提供对原有应用在功能层面的适配和补充,为应用添加离线访问、数据同步等特性的功能;VPN保证了Client和Server数据安全;在Online访问模式下,对注册应用的功能进行适配,补充针对应用的Offline功能操作模块(在客户端存储和重定向),添加应用级Push以及Sync的相关脚本,同时完成应用的安全访问接入;企业级移动应用平台技术架构企业级移动应用平台技术架构OnlineOnline系统接入系统接入& &页面功能页面功能适配和补充适配和补充系统级的消息Push:应用未开启的情况下,将消息推送到
88、EMASP平台的消息中心,远程通知;应用级的事务/消息Push:在应用页面和应用服务器间建立实时交互的双向通道;pClient:页面适配“局部刷新js文件”,这个“局部刷新js文件”做两部分工作,一是管理长连接;二是页面刷新;同时提供平台级长连接接口;pEServer:对应用服务器传过来的数据进行管理;同时对用户手机中应用/系统长连接请求的管理。pAServer:根据EMASP中数据存储的策略需要,将用户名同步到EServer中;有需要时候将消息/事务发送到EServer;企业级移动应用平台技术架构企业级移动应用平台技术架构PushPush功能功能【系统级系统级/ /应用级应用级】应用级的应用
89、级的事务事务/消息消息Push系统级的系统级的消息消息Push企业级移动应用平台技术架构企业级移动应用平台技术架构OfflineOffline功能操作模式功能操作模式基于Html5标准,与Online模式下页面功能的适配相结合,以应用页面Cache的方式,实现应用的离线访问;通过Cache页面的更新,实现离线应用逻辑与在线应用逻辑的一致性;p当离线页面发生变更时,需要同步变更Manifest文件。用户再次在在线的时候访问页面的时候,浏览器会下载新的Manifest文件,更新Manifest中的cache文件。企业级移动应用平台技术架构企业级移动应用平台技术架构SynchronizationSy
90、nchronization数据同步数据同步功能功能通过与原有业务应用相配合,与Online模式下页面功能的适配相结合为页面添加完成数据上下行的相关脚本(包括init/download/ updata.js),实现客户端和服务器端数据的双向同步pEMASP: 保存用于数据同步的init.js、download.js、updata.js等客户端脚本;p客户端脚本:其业务逻辑在EMASP平台相关接口的基础上完成,包括对本地数据的存取;脚本中的业务逻辑通过执行,与服务器进行交互,完成数据的双向同步工作。p服务器:设置专有的的接口来进行数据同步提纲提纲2.2、面向新型智能终端的企业级移动应用平台研发面向
91、新型智能终端的企业级移动应用平台研发2.2.1 企业级移动应用平台需求分析及功能逻辑设计企业级移动应用平台需求分析及功能逻辑设计2.2.2 企业级移动应用平台支撑技术体系及架构方案设计企业级移动应用平台支撑技术体系及架构方案设计2.2.3 企业级移动应用平台安全相关机制的实现企业级移动应用平台安全相关机制的实现2.2.4 企业级移动应用平台的实现模块设计企业级移动应用平台的实现模块设计2.2.5 企业级移动应用平台的开发示例企业级移动应用平台的开发示例系统级密码策略系统级密码策略用户强认证用户强认证 背景:手机丢失或黑客入侵时,若手机未设定认证机制或密码策略简单,则存在安全隐患。 解决思路:为
92、保证企业级移动应用平台的用户接入安全,可根据智能终端操作系统类型,进行系统级和应用级的用户的强认证。锁屏锁屏AB通过Widget Lock等方式自定义实现系统级和应用级锁屏使用IT安全策略配置密码要求,例如1、密码周期2、密码长度3、密码复杂度4、防止特定密码SD卡数据加密卡数据加密应用级信息加密应用级信息加密本地数据加密本地数据加密 背景:手机中的用户个人信息、应用信息、SD卡当中的数据存在丢失或被盗用的风险。 解决思路:采用不同的加密策略对不同级别的数据进行保护。系统级数据加密系统级数据加密ABC智能终端智能终端密钥类型密钥类型临时密钥:临时密钥:加密ECC公、私钥和智能终端的内容保护密钥
93、。由设备密码生成。内容保护密钥:内容保护密钥:智能终端锁定时,加密终端上的用户数据消息密钥:消息密钥:加密智能终端收发的数据设备传输密钥:设备传输密钥:加密消息密钥主体加密密钥:主体加密密钥:加密设备传输密钥和终端锁定时特定的PIN加密密钥PINPIN加密密钥:可产生加密密钥:可产生PINPIN消息消息ECCECC公钥:公钥:加密终端锁定时接收的已存储的数据ECCECC私钥:私钥:在用户解锁智能终端时解密数据MD5SHADSARSADESECC可定制的用户加密内容可定制的用户加密内容和加密方式和加密方式链路层加密链路层加密数据传输链路安全数据传输链路安全身份认证身份认证AB 背景:EM Ser
94、ver与智能终端之间的数据传输存在被攻击的风险 解决思路:身份认证及链路层加密。在EM Server和智能终端可互发数据前,终端须通过验证设备传输密钥来对EM Server进行身份验证。示例:使用NIST推荐的521位椭圆曲线组,验证通信过程中涉及的由各方提供的点是否为椭圆曲线组的一部分。建立安全的传输通道。当前已通过技术手段实现智能终端到EM Server的链路安全。示例:终端可在代理模式下使用代服务器或在直接模式下使用TLS提供对HTTP的支持。如使用TLS配置HTTP,则终端内部连接组件将使用Cryptographic API支持的TLS和WTLS密钥建立算法、对称算法和哈希算法来打开智
95、能终端的连接。智能终端将使用TLS对应用程序发送至内容服务器的数据进行加密。提纲提纲2.2、面向新型智能终端的企业级移动应用平台研发面向新型智能终端的企业级移动应用平台研发2.2.1 企业级移动应用平台需求分析及功能逻辑设计企业级移动应用平台需求分析及功能逻辑设计2.2.2 企业级移动应用平台支撑技术体系及架构方案设计企业级移动应用平台支撑技术体系及架构方案设计2.2.3 企业级移动应用平台安全相关机制的实现企业级移动应用平台安全相关机制的实现2.2.4 企业级移动应用平台的实现模块设计企业级移动应用平台的实现模块设计2.2.5 企业级移动应用平台的开发示例企业级移动应用平台的开发示例企业级移
96、动应用平台基本功能模块企业级移动应用平台基本功能模块移动设备端移动设备端浏览器:项目使用系统默认Safari浏览器。数据同步、页面信息推送和离线访问数据存储等功能,使用特定的html标记语法和JS实现本地数据存储模块,实现离线页面体系缓存、离线操作数据存储等;EM平台客户端主要负责EM平台服务机制的设置配置工作;配置管理可以分成平台管理(包括端平台的安装、设置、启动和关闭、用户登录等)和应用管理(包括应用的注册和删除、参数设置、服务机制使能和停用等);平台信息推送模块负责与推送服务器建立连接,接受推送信息并完成用户提示;其它外围功能设计独立模块实现,包括系统运行日志、关键数据存储等;企业级移动
97、应用平台基本功能模块企业级移动应用平台基本功能模块服务器端服务器端数据处理是EM平台服务器端的核心功能之一,实现数据包的抓取、过滤、修改等一系列的操作,为页面添加关键元素,使得应用能够具有POSO四维服务的特征;策略存储与执行,EM平台客户端会将用户的配置信息提交到服务器端,策略的统一存储和执行模块有数据梳理模块完成;为减少对原有应用的改造工作,对于特定的应用场景,EM平台需要为之准备特定的离线资源(包括离线页面、manifest、同步脚本等),维护和管理这些离线资源,也是数据处理模块的核心功能;Server模块是EM平台服务器端的另一个核心模块,包括数据推送管理和用户管理两大功能;数据推送模
98、块,负责接受应用服务发出的推送数据,将数据送达定制了推送服务的指定移动终端,同时连接管理服务器端与移动设备端的网络连接;管理模块包括登陆验证和用户配置管理等功能;企业级移动应用平台基于模块的工作机制企业级移动应用平台基于模块的工作机制Case1: Case1: 平台平台推送机制推送机制 平台推送服务机制平台推送服务机制能够让用户在浏览器关闭的情况下实时接收到App Server推送的数据,并按照不同的应用场景以预设的方式提示给用户。操作序列描述如下:1. EM平台客户端启动平台推送功能,平台客户端向服务器端发起连接请求,服务器端接收请求并维护此连接2. App Server 有数据需要推送到客
99、户端时,它会将待数据进行封装后以约定的方式推送到EM平台服务器端,EM平台 服务器解析此数据并将其发送给指定客户端3. EM平台客户端接受推送的数据,然后将其解析并提示给用户4. 当用户关闭平台信息推送功能后,系统会断开与服务器端的连接,至此,客户端也就接收不到App Server 推送过来的数据了企业级移动应用平台基于模块的工作机制企业级移动应用平台基于模块的工作机制Case2:Case2:页面页面推送机制推送机制页面推送服务机制页面推送服务机制当用户登录应用页面时,能够让用户在当前页面下实时接收到App Server推送的数据,并更新页面元素。操作序列描述如下:1.通过EM平台应用向原有页
100、面中添加标准JS代码,通过Network客户端向Network服务器端发送长连接请求;2.当App Server有数据需要推送给用户时,会将数据进行封装并通过约定接口发送到EM平台 服务器上,EM服务器解析此数据并将其发送到指定移动终端的页面上;3.推送数据客户端,负责页面局部更新的JS控制页面指定元素更新;4.数据处理时通过用户态与内核态通信模块查询EM平台存储的用户的配置信息。如果用户的页面Push选项没有开启,则对App Server的相应数据不做处理。企业级移动应用平台基于模块的工作机制企业级移动应用平台基于模块的工作机制Case3:Case3:在线在线访问机制访问机制在线访问服务机制
101、在线访问服务机制移动设备在线状态下,用户通过网络之间对应用页面发起访问,EM平台同时对交互的数据做分析和处理,提供POSO四维机制的支持,操作序列描述如下:1.用户通过原生浏览器对App Server发起访问请求;2.App Server接收到请求后进行响应,返回的数据包经由Network的服务器端模块,数据处理模块对数据进行抓取和过滤;3.数据根据来源以及请求时的路径,执行对应的处理策略。4.数据的处理主要包含以下几个方面:修改页面中的标签,添加关键字和处理JS代码,离线资源打包下发等;5.离线资源由数据处理模块组包,通过Network模块发送到移动终端的浏览器,并完成本地缓存,建立页面映射
102、关系以备离线时使用;企业级移动应用平台基于模块的工作机制企业级移动应用平台基于模块的工作机制Case4:Case4:离线离线访问机制访问机制离线访问服务机制离线访问服务机制提供设备离线是用户访问功能,该机制是通过在线访问机制和同步机制实现的,操作序列描述如下:1. 在线访问中,根据用户预设策略完成页面离线化处理;2. 当移动设备从在线状态转为离线状态时,触发离线访问机制;3. 当移动设备从离线状态转为在线状态时,触发数据同步机制;应用页面离线化处理流程应用页面离线化处理流程企业级移动应用平台基于模块的工作机制企业级移动应用平台基于模块的工作机制Case5: Case5: 数据数据同步机制同步机
103、制数据同步服务机制数据同步服务机制在离线页面访问的基础上,EM平台提供了移动终端本地数据与服务器端数据同步机制,操作序列描述如下:1.当EM平台客户端检测网络状态,由离线变成在线时,启动数据同步机制;2.上行同步JS脚本,负责向服务器提交离线状态下操作的数据,包括增加、修改、删除的数据;此过程中,js代码要将从本地存储的数据中获取数据增量,然后将其封装成特定的格式后发送到服务器端;3.下型同步JS脚本,负责从服务端下载当前的最新数据,解析后存到本地缓存中。以便离线状态下的浏览;4.EM平台服务器根据预设的同步接口,完成设备端数据与App Server端数据的上行同步和下行同步;提纲提纲2.2、
104、面向新型智能终端的企业级移动应用平台研发面向新型智能终端的企业级移动应用平台研发2.2.1 企业级移动应用平台需求分析及功能逻辑设计企业级移动应用平台需求分析及功能逻辑设计2.2.2 企业级移动应用平台支撑技术体系及架构方案设计企业级移动应用平台支撑技术体系及架构方案设计2.2.3 企业级移动应用平台安全相关机制的实现企业级移动应用平台安全相关机制的实现2.2.4 企业级移动应用平台的实现模块设计企业级移动应用平台的实现模块设计2.2.5 企业级移动应用平台的开发示例企业级移动应用平台的开发示例企业级移动应用平台的开发示例企业级移动应用平台的开发示例-Android -Android 平台平台系统登录应用注册平台配置系统默认界面系统图标系统级消息推送系统消息中心应用级事务推送离线操作(起草)离线操作(提交)数据同步81结束结束谢谢大家!
