面向新型智能手機的企業(yè)級移動應用平臺（MES）體系研究與系統(tǒng)開發(fā)

中國移動集團級重點研發(fā)項目 結題匯報報告 6/27/2015 項目名稱：面向新型智能手機的企業(yè)級移動應用平臺（ MES）體系研究與系統(tǒng)開發(fā) 一 . 課題目標實現情況 目 錄 二、主要研究成果（整合后） 1.1 研究背景及目標：移動終端的發(fā)展 移動終端的普及 ：移動終端日益成為用戶使用信息化應用 /服務的重要載體 。傳統(tǒng)的移動通話設備快速過渡到了智能手機，當前呈現出智能手機、平板電腦和筆記本電腦的一體化融合趨勢； 移動終端平臺的典型代表 ： Android， iOS(iPhone/iPad); 移動終端的一體化融合 ： 操作系統(tǒng)的一體化，即三類設備采用同一套操作系統(tǒng)； 應用程序的一體化，即三類設備能夠實現同一套應用程序的一次開發(fā)，多處部署與無縫遷移； 用戶體驗的一體化，即三類設備的用戶體驗將逐步趨向一致，即各種觸控和感應等先進的用戶體驗方式將逐步拓展這三種類型設備中去。 1.1 研究背景及目標：平板電腦的發(fā)展 平板電腦發(fā)展趨勢 ： 2010全球平板電腦銷量 2000萬臺（其中 iPad 占 60%）； Gartner預測 2011年全球平板電腦銷量 5500萬臺（ iPad占 45%）； 隨著一體化趨勢的逐步推進，企業(yè)級應用正開始能夠向平板電腦端進行逐步延伸； 平板電腦的市場分布 ：蘋果 4月 3日發(fā)布的 iPad是平板電腦的領頭羊，具有優(yōu)秀用戶體驗、領先應用生態(tài)體系等，與 iPhone的操作系統(tǒng)同源為 iOS，應用商店也同源為 App Store； 綜合分析 ： 平板電腦具有良好的便攜性，杰出的用戶界面，尤其是多點觸摸電容技術下新穎的用戶體驗； 基于平板電腦從事企業(yè)管理正在引起各方關注，如何發(fā)揮在企業(yè)信息化中的應用優(yōu)勢更是關注重點。 1.1 研究背景及目標：企業(yè)移動應用的發(fā)展 移動應用市場 ：各操作系統(tǒng)平臺的競爭和用戶需求的膨脹，使得移動應用與移動信息服務市場的規(guī)模急劇膨脹。特別是 2010年以來，面向主流平臺的移動應用急劇增加。以蘋果為例：截止 2010年底， App Store應用數量突破 30萬，下載次數遠遠超過了 50億次，銷售額累計突破 30億美元； 企業(yè)級移動應用 ：從 2008-09年開始，并在 2010年持續(xù)增長，預計到 2015年在所有移動應用中的市場份額會達到目前的兩倍，集中于成長型企業(yè) SaaS應用、集成化移動管理平臺、面向行業(yè)的垂直解決方案、移動協作等；企業(yè)移動應用的投資回報率日益清晰，大型企業(yè)應用軟件供應商也逐漸成為企業(yè)移動應用市場增長的主要驅動力； 定位于 “ 移動信息專家 ” 的中國移動，基于移動終端提供信息化應用 /服務是重要的 ICT業(yè)務方向之一，必須關注興起的企業(yè)級移動應用市場。 App Store應用情況 企業(yè)級移動應用 1.1 研究背景及目標：業(yè)務需求及現狀 內部的業(yè)務需求 ：從管理信息系統(tǒng)在實際工作中接觸的內部用戶來看，基于手機開展辦公等相關業(yè)務的需求較為迫切，而這部分業(yè)務需求目前尚不能很好地得到滿足； 外部的業(yè)務需求和對外推廣的市場機會 ：從實際項目中接觸到的外部客戶的需求來看，隨著移動終端和應用的普及，基于手機的企業(yè)級業(yè)務應用，特別是管理信息系統(tǒng)的需求較為迫切，有很高的對外服務和推廣價值； 功能需求方面 ：在對業(yè)務應用的支撐性功能方面，從對內 /外部客戶的收集來看，主要具有Push（ Email,合同等）、 Online/Offline/Sync（ Email,OA等）、 Security（覆蓋企業(yè)移動應用體系）以及 Management（設備、應用層面） 等方面的需求； 現狀 ：目前，前期建設的手機綜合服務平臺以及開展的相關研究，重點主要集中于 Online模式下的應用的適配、部署和展示等方面，難以滿足用戶在企業(yè)移動信息化的業(yè)務和功能層面的相關需求； 為了滿足當前內部的業(yè)務需求，同時為對外推廣奠定基礎，有必要對企業(yè)級移動應用進行體系化的研究，建設能夠滿足企業(yè)信息化需求的移動應用平臺。 首選移動終端方式36.5% 只選移動終端方式 35.4% laptop方式12.5% 固定電話方式15.6% 希望通過手機實時掌握信息的的企業(yè)用戶比例高達 71.9%；如何 以 移動 終端 為載體 ，更好的支持辦公管理和業(yè)務運營已經成為企業(yè)用戶的迫切需求 。 1.1 研究背景及目標：本期課題研究目標 研究目標一： 研究 企業(yè)級移動應用平臺相關發(fā)展情況 ，結合智能手機、平板電腦快速發(fā)展和一體化融合的趨勢，進行分析和研究； 研究 企業(yè)級移動應用的需求 ，完成技術服務機制的提取和設計； 結合 管理信息系統(tǒng)需求 完成典型應用的選取、分析和規(guī)劃； 制定 企業(yè)移動信息化的發(fā)展路線 。 研究目標二： 基于 Android操作系統(tǒng)的智能手機對當前主流的企業(yè)級移動應用技術進行調研 ， 基于 Android操作系統(tǒng) 的智能手機的 企業(yè)級移動應用平臺架構方案的設計 ；重點針對體現移動應用特征的 POSO四維功能以及企業(yè)級移動應用安全機制 進行重點設計； 完成基于 Android操作系統(tǒng)的智能手機的 企業(yè)級應用平臺開發(fā) ；并對平臺的功能特征以及 安全方面的特性 進行驗證 。 研究目標三： 基于 iOS操作系統(tǒng)的 iPad平板電腦對當前主流的企業(yè)級移動應用技術進行調研 ， 基于 iOS操作系統(tǒng) 的 iPad平板電腦的 企業(yè)級移動應用平臺架構方案的設計 ；重點針對體現移動應用特征的 POSO四維功能以及具有 iPad個性化特征的用戶體驗 進行重點設計； 完成基于 iOS操作系統(tǒng) 的iPad平板電腦的 企業(yè)級應用平臺開發(fā) ；并對平臺的功能特征以及 用戶體驗 進行驗證 。 對企業(yè)移動應用進行調研， 研究和分析針對中國移動的應用需求及使用場景，設計相應的技術體系，按照當前企業(yè)級移動應用開發(fā)中最為先進的 POSO功能模式、應用安全方面的強認證和信息加密等特性以及智能終端特殊的用戶體驗，針對當前應用廣泛和市場占有率較高的 iPad平板電腦和基于 Android系統(tǒng)的智能手機，開發(fā)企業(yè)級移動應用平臺 ，在該平臺之上，可以較好地承載不同的移動業(yè)務應用，滿足內部和外部用戶對移動辦公等信息化服務的需求。 1.2 主要研究內容 :總體研究框架 圍繞企業(yè)級移動應用平臺的相關技術層面， 基于設備形態(tài)、操作系統(tǒng)、技術機制等方面的技術元素，形成涵蓋企業(yè)級移動應用完整體系的研究總體框架 ; 框架分解： 1) 鑒于 EM發(fā)展的緊迫性，在開展總體設計和規(guī)劃的同時，基于初步的 3維矩陣分析先期找出一些迫切待研究的點，由相關省公司以協作方式進行前瞻研究，既有利于統(tǒng)一和標準化管理，又有利于在盡快的時間內取得良好的效益 2) 鑒于移動信息化所依賴的設備，操作系統(tǒng)以及技術服務機制存在并行交叉的關系，以不沖突和可復用為基本原則，選擇合適的點交由相關省公司進行差異化細致研究，既可以做到成果復用，又可以加快進度 技術機制 操作系統(tǒng) 設備形態(tài) 技術機制 Sec POSO Mgnt UE 操作系統(tǒng) iOS Android WP7 oPhone 設備形態(tài) 智能手機 平板電腦 1.2 主要研究內容 :總體研究點概述 Management Push Online Sync Offline Security Security： 通過移動設備作為企業(yè)信息化的承載體，其必需能夠保障鏈路的安全性，存儲企業(yè)數據的安全性，以及用戶身份的準確性；以防手機失竊丟失損耗等情況對企業(yè)信息安全帶來的額外沖擊，被視為 EM的必要基座，是必不可少的。 Poso： 支持企業(yè)重要信息和事務的及時推送（ P），支持以 BS或 CS方式直接在線進行信息化事務處理（ O），支持兩端雙向的企業(yè)信息同步（ S），支持離線方式進行企業(yè)信息化的閱讀與處理（ O）；完整事務處理類型的支持是實現移動設備全方面服務企業(yè)信息化和支撐業(yè)務特點的主體內容。 Management： 支持針對移動設備的企業(yè)級策略發(fā)布、軟件管理與狀態(tài)監(jiān)控，能夠支持空口化管理模式。 針對不同的終端設備（智能手機和平板電腦）以及操作系統(tǒng)（ Android,iOS， WP7， OPhone等），重點開展企業(yè)級移動應用的 Security、 Poso以及 Management三方面技術特征與服務機制的研究 1.2 主要研究內容 :總體研究內容的開展計劃 POSO 時間 研究內容層次 形成成熟的 POSO功能服務機制； 方便接入和適配主流平臺體系； Security Management 第二階段（ 2012-2013） (基礎平臺的試點，改進 POSO功能，完善 Security功能，補充 Management功能） 基礎服務平臺試點； POSO功能改進，重點完成針對主流平臺體系的適配器建設； 形成覆蓋整個企業(yè)級移動應用體系的安全服務體系； 能夠在企業(yè)和員工兩個層面提供移動應用的安全服務； 企業(yè)級移動應用框架、技術機制研究和分析； 企業(yè)級移動應用在管理功能層面的需求分析； 面向新型平板設備的一體化用戶體驗研究 POSO基礎服務機制的研究和需求分析； POSO基礎功能設計； 基礎服務平臺的設計和研發(fā)； 企業(yè)級移動應用中安全需求的調研和分析； 企業(yè)級移動應用安全體系的梳理和設計； 數據加密、強認證等基礎安全服務的建設； 本期項目（ 2011-2012） (總部和兩省聯合研發(fā)基礎平臺，包含 POSO，部分Security機制及新型平板設備用戶體驗） 企業(yè)級移動設備層管理功能建設，初步提供移動終端管理服務； 企業(yè)級移動應用層管理需求分析和初步設計； 形成涵蓋設備、應用兩層，覆蓋設備管理全生命周期的管理機制和功能； 完善企業(yè)級移動應用安全服務體系，涵蓋：認證 /授權，本地數據安全、鏈路數據安全，異常 /突發(fā)情況的處理等； 第三階段（ 2013之后） (完善 Management機制，形成包含三個層面功能的 完整的企業(yè)級移動應用平臺 ，試點推廣） 1.2 主要研究內容 :本期項目研究點 1 POSO基礎服務機制 POSO四維服務機制被 Gartner和 Google評價為 Enterprise Mobile的最重要特征，是未來移動信息化服務市場競爭的主體能力： 適應移動辦公多利用離散時間和非辦公場所的服務場景，加強移動信息化設備端應用程序的研究，做好 Offline離線處理以及數據信息雙向 Sync同步的技術研究，進一步提升辦公效率和便捷性； 滿足待辦和監(jiān)控管理等方面的業(yè)務需求，進一步增強 Push推送方面的技術研究，進一步提升業(yè)務響應的效率。 為此迫切需要對移動信息化的設備端應用開發(fā)體系，以及 Poso服務機制的研究。 Poso服務是完整企業(yè)級移動信息化的典型體現 1.2 主要研究內容 :本期項目研究點 2Security安全服務機制 隨著移動信息化應用的深入和 Poso服務的健全，移動設備（包括手機與平板電腦）的便攜性會 對其中的企業(yè)信息數據帶來很大的安全隱患，安全問題急待研究 ： 需要實現移動設備的用戶強 認證 ，避免他人惡意訪問和非法操作； 需要實現對移動設備中企業(yè)應用程序的 鑒權 和防護，避免應用程序含有木馬等惡意代碼； 需要實現對移動設備中企業(yè) 數據存儲的加密 ，避免設備遺失時可能的泄密； 需要實現應用訪問過程中的 數據傳輸和鏈路的管控 ，防止在傳輸和應用訪問過程中泄密； 需要實現對移動設備的 異常處理 ，實現被盜手機的自動數據清洗； 安全是企業(yè)級移動信息化的必要保障與支撐，必不可少 1.2 主要研究內容 :本期項目研究點 3一體化用戶體驗 隨著移動信息化應用的不斷豐富，整個企業(yè)信息化的統(tǒng)一用戶體驗的要求和問題會愈發(fā)突出： 一方面如何讓移動設備端（包括手機和平板電腦）用戶體驗與桌面端應用保持一致，共同符合 “ 一個中國移動 ” 的標準化戰(zhàn)略， 另一方面如何讓移動設備端用戶能夠感受新型智能操作系統(tǒng)下自身良好的體驗，做到物盡其用； 為此迫切需要對移動信息化的標準化 UI風格進行統(tǒng)一設計，對其落地實現技術體系和模板進行 約束，并對高端用戶體驗的方式方法進行研究。 國外知名運營商和移動信息化開發(fā)廠商均有標準化的 UI技術體系 1.2 主要研究內容 :本期項目工作概述及分工 面向 Android平臺、提供 POSO技術服務機制的基礎服務平臺研發(fā)； 企業(yè)級移動應用體系中 Security服務機制（ 通用 ）的設計和實現； 【 湖南 】 面向 Android操作系統(tǒng)的基礎服務平臺的研發(fā)及 Security設計 【 內蒙 】 面向 iOS操作系統(tǒng)的基礎服務平臺的研發(fā)及新型用戶體驗設計 【 總體 】 企業(yè)級移動應用體系研究 面向 iOS平臺（ iPad設備） 、提供 POSO技術服務機制的基礎服務平臺研發(fā)； 面向平板設備（ iPad）的一體化用戶體驗研究設計 企業(yè)級移動信息化發(fā)展趨勢分析研究； 企業(yè)級移動應用需求分析和技術體系設計； 面向管理信息系統(tǒng)需求，典型應用的選取分析； 中國移動企業(yè)移動信息化的發(fā)展路線。 首先進行企業(yè)級移動應用體系的整體研究，包括發(fā)展趨勢和應用需求的分析、技術體系和架構的設計、典型應用的選取以及發(fā)展路線的規(guī)劃； 湖南移動主要針對基于 Android平臺的智能手機，完成提供 POSO功能的基礎服務平臺研發(fā)；同時對企業(yè)移動應用體系下的通用安全機制進行研究，結合平臺完成部分功能點的驗證； 內蒙古移動主要針對基于 iOS的 iPad平板設備，完成提供 POSO功能的基礎服務平臺研發(fā)；同時對 iPad上新型用戶體驗在企業(yè)級移動應用中的應用場景和原則進行研究、設計及驗證； 1.2 主要研究內容 :本期項目工作 總體 企業(yè)級移動應用體系研究 發(fā)展趨勢研究 需求分析及體系設計 典型應用選取、研究和規(guī)劃 結合智能手機、平板電腦快速發(fā)展和一體化融合的趨勢，對企業(yè)級移動信息化的發(fā)展趨勢進行分析和研究； 企業(yè)移動信息化發(fā)展路線規(guī)劃 結合企業(yè)移動信息化的發(fā)展趨勢，基于移動設備、操作系統(tǒng)和技術服務機制建立研究矩陣，對企業(yè)級移動應用的需求進行分析和研究，完成技術服務機制的提取和設計，涵蓋業(yè)務功能、安全、用戶體驗等方面； 將技術服務機制與管理信息系統(tǒng)需求相結合，完成典型應用的選取、分析和規(guī)劃，產生可以供集團和其他省公司推廣和試點的參考； 結合中國移動企業(yè)信息化發(fā)展情況，制定企業(yè)移動信息化的發(fā)展路線 在企業(yè)級移動應用體系研究部分，將對企業(yè)級移動信息化的發(fā)展趨勢進行分析和研究，在此基礎上對企業(yè)級移動應用的需求進行分析和研究；進而，與管理信息系統(tǒng)需求相結合，完成典型應用的選取、分析和規(guī)劃；最后，結合中國移動企業(yè)信息化發(fā)展情況，制定企業(yè)移動信息化的發(fā)展路線。 1.2 主要研究內容 :本期項目工作 湖南 面向 Android平臺的研發(fā) Security Push Online Synchronization Offline 企業(yè)重要信息和事務的及時推送 應用直接在線進行信息化事務處理 支持離線模式下進行起草、審閱以及業(yè)務處理等操作 支持后臺 /客戶端兩端雙向的企業(yè)信息同步 數據存儲安全 數據傳輸安全 用戶認證授權 涵蓋基于 Android操作系統(tǒng)智能手機的移動應用平臺研究、設計和開發(fā) ,提供企業(yè)級移動應用平臺的支撐性功能： 重點完成 POSO基礎服務功能的研發(fā)， 以及 企業(yè)級移動應用體系中基本安全（Security）服務功能的設計和實現 Android移動應用平臺基本功能（ Security & POSO） 技術體系的研究和分析 Android基礎服務平臺的設計開發(fā) 重點針對當前應用廣泛和市場占有率不斷上升的 基于 Android操作系統(tǒng)的智能手機 ，按照移動應用的POSO功能模式調研當前主要的技術體系，確定平臺的實現技術； 針對 企業(yè)級移動應用中需要重點考慮的安全問題 ，特別是應用系統(tǒng)的強認證和信息加密等方面，進行解決方案的調研； 確定基于 Android智能手機的企業(yè)級移動應用平臺的技術體系， 完成平臺架構方案的設計 ，重點針對體現移動應用特征的 POSO四維功能機制； 完成 企業(yè)級移動應用基礎服務平臺開發(fā) ；在其上實現移動辦公（基于已有的 OA引擎和系統(tǒng)）、郵件、通信錄等典型功能，對平臺的功能特征進行驗證； 安全機制的研究和驗證 完成 企業(yè)級移動應用安全體系的設計 ，涵蓋認證 /鑒權、本地數據安全、鏈路數據安全、異常情況處理等環(huán)節(jié)； 針對 強認證、信息加密等基礎性安全功能 ，在基礎服務平臺上進行設計實現，基于典型應用進行安全基礎功能的驗證； Android操作系統(tǒng)（智能手機） 1.2 主要研究內容 :本期項目工作 內蒙 面向 iOS平臺的研發(fā) User Experience Push Online Synchronization Offline 企業(yè)重要信息和事務的及時推送 應用直接在線進行信息化事務處理 支持離線模式下進行起草、審閱以及業(yè)務處理等操作 支持后臺 /客戶端兩端雙向的企業(yè)信息同步 重力感應 多點觸摸 色彩搭配 涵蓋基于 iOS操作系統(tǒng)平板電腦的移動應用平臺研究、設計和開發(fā) ,提供企業(yè)級移動應用平臺的支撐性功能： 重點完成 POSO基礎服務功能的研發(fā)，以及面向平板設備的一體化用戶體驗（ UE）的研究設計 iOS移動應用平臺基本功能（ UE & POSO） 技術體系的研究和分析 iOS基礎服務平臺的設計開發(fā) 重點針對代表未來發(fā)展趨勢的 基于IOS操作系統(tǒng)平板電腦 ，按照移動應用的 POSO功能模式調研主要的技術體系，確定平臺實現技術； 針對新型平臺電腦的用戶體驗，對其在 企業(yè)級移動應用中的用戶體驗相關解決方案進行調研 ，給出新型用戶體驗在企業(yè)級移動應用中的場景分析； 確定基于 iOS操作系統(tǒng)平板電腦的企業(yè)級移動應用平臺的技術體系， 完成平臺架構方案的設計 ；重點針對體現移動應用特征的 POSO四維功能機制； 完成的 企業(yè)級移動應用基礎服務平臺開發(fā) ；在其上實現移動辦公（基于已有的 OA引擎和系統(tǒng)）、郵件、通信錄等典型功能，對平臺的功能特征進行驗證； 新型用戶體驗的研究和落地 針對 iPad等新型平板設備上的用戶體驗， 分析其在企業(yè)級移動應用中的應用原則，完成應用場景和方案設計 ； 在基礎服務平臺上，對新型用戶體驗的相關場景進行實現，完成 新型用戶體驗在企業(yè)級移動應用中原則的驗證 ； iOS操作系統(tǒng)（ iPad平板電腦） 1.2 主要研究內容 :項目的難點及解決方案 企業(yè)級移動應用平臺的技術體系的研究和設計 企業(yè)級移動應用中基礎功能機制的設計 企業(yè)級移動應用安全方案的設計 新型移動設備下，企業(yè)級移動應用中用戶體驗方案的設計 覆蓋多平臺 (Android/iOS)的企業(yè)級移動應用平臺的設計和開發(fā) 主要難點 對于技術體系、功能機制等相關的研究方面的難點，將在對現有技術及發(fā)展趨勢詳盡分析和研究的基礎上，開展相關工作； 對于方案設計中的難點，在充分利用現有先進技術的基礎上，將重點針對中國移動的現有業(yè)務需求和現狀，采用 “ 速贏 ” 的策略，力爭設計的方案能夠最好地解決現有問題； 對于平臺開發(fā)相關的難點，將對平臺的技術特征進行充分調研，在此基礎上，深入挖掘平臺的特征和技術要求，保證開發(fā)完成的系統(tǒng)在目標平臺上的兼容性和穩(wěn)定性； 解決思路 1.3 目標完成情況總結 企業(yè)級移動 OA的推送功能 企業(yè)級移動 OA的離線功能 企業(yè)級移動 EMAIL的推送功能 企業(yè)級移動 EMAIL的離線功能 解決了四項公司在市場發(fā)展和生產運營中存在的關鍵問題 企業(yè)級移動應用安全體系 企業(yè)級移動應用技術體系 移動應用頁面數據的實時推送 /更新機制 移動應用離線功能自動適配 移動應用數據自動同步 企業(yè)級移動應用普適化支撐 研究和提出了六項關鍵技術點的決策建議 挖掘了國內專利申請一項 企業(yè)級移動應用環(huán)境中按需進行數據推送的方法和系統(tǒng) 初步估計對企業(yè)績效貢獻的經濟效益為 66.4萬元 一 . 課題目標實現情況 目 錄 二、主要研究成果（整合后） 子 目 錄 2.1、 企業(yè)級移動應用平臺技術體系總體研究 2.2.1 企業(yè)級移動應用平臺技術體系研究思路 2.2.2 企業(yè)級移動應用平臺技術要素的細化 2.2.3 企業(yè)級移動應用平臺的對標分析 2.2.4 企業(yè)級移動應用基礎安全體系的研究和設計 2.2、 面向新型智能終端的企業(yè)級移動應用平臺研發(fā) 2.2.1 企業(yè)級移動應用平臺需求分析及功能邏輯設計 2.2.2 企業(yè)級移動應用平臺支撐技術體系及架構方案設計 2.2.3 企業(yè)級移動應用平臺安全相關機制的實現 2.2.4 企業(yè)級移動應用平臺的實現模塊設計 2.2.5 企業(yè)級移動應用平臺的開發(fā)示例 提綱 2.1、 企業(yè)級移動應用平臺技術體系總體研究 2.2.1 企業(yè)級移動應用平臺技術體系研究思路 2.2.2 企業(yè)級移動應用平臺技術要素的細化 2.2.3 企業(yè)級移動應用平臺的對標分析 2.2.4 企業(yè)級移動應用基礎安全體系的研究和設計 企業(yè)級移動應用平臺技術體系研究和設計思路 結合內外部的業(yè)務需求以及企業(yè)級移動應用技術體系發(fā)展趨勢的調研分析，完成 POSO、 Sec、 Mgnt相關建設目標的確認和規(guī)劃； 將三部分的建設目標細化為三十五方面的建設目標，完成五類現有產品 /平臺的對標分析； 借鑒現有產品的對標分析結果，考慮典型應用場景、典型應用數據接口進行 EMASP平臺的設計和開發(fā)； M ana ge mentPush Online S y nc Of f lineSe curit y技術體系的細化 POSO(9方面 ) Security(8方面 ) Mgnt.(15方面 ) 內外 業(yè)務 需求 技術 體系 發(fā)展 五類產品 /平臺的 對標分析 服務機制 / 應用場景 / 典型應用的調研 典型應用 數據接口 的調研 平臺設計和開發(fā) 現有移動應用建設情況 基礎安全體系的研究和設計 提綱 2.1、 企業(yè)級移動應用平臺技術體系總體研究 2.2.1 企業(yè)級移動應用平臺技術體系研究思路 2.2.2 企業(yè)級移動應用平臺技術要素的細化 2.2.3 企業(yè)級移動應用平臺的對標分析 2.2.4 企業(yè)級移動應用基礎安全體系的研究和設計 企業(yè)級移動應用平臺體系框架概述 Management Push Online Sync Offline Security Security： 通過移動設備作為企業(yè)信息化的承載體，其必需能夠保障鏈路的安全性，存儲企業(yè)數據的安全性，以及用戶身份的準確性；以防手機失竊丟失損耗等情況對企業(yè)信息安全帶來的額外沖擊，被視為 EM的必要基座，是必不可少的。 Poso： 支持企業(yè)重要信息和事務的及時推送（ P），支持以 BS或 CS方式直接在線進行信息化事務處理（ O），支持兩端雙向的企業(yè)信息同步（ S），支持離線方式進行企業(yè)信息化的閱讀與處理（ O）；完整事務處理類型的支持是實現移動設備全方面服務企業(yè)信息化和支撐業(yè)務特點的主體內容。 Management： 支持針對移動設備的企業(yè)級策略發(fā)布、軟件管理與狀態(tài)監(jiān)控，能夠支持空口化管理模式。 針對不同的終端設備（智能手機和平板電腦）以及操作系統(tǒng)（ Android,iOS， WP7， OPhone等），重點開展企業(yè)級移動應用的 Security、 Poso以及 Management三方面技術特征與服務機制的研究 技術要素的細化和分解 POSO功能服務機制 對于 POSO功能服務機制，按照企業(yè)重要信息和事務的及時推送、在線的企業(yè)信息化事務處理、設備 /客戶端和應用 /服務器兩級 /雙向的企業(yè)信息同步以及離線方式下企業(yè)信息閱讀與事務處理 四個部分， 共分為九方面的建設目標 ； POSO功能服務機制 系統(tǒng)級的消息通知； 應用級的事務 /內容推送； PC應用到移動應用的無縫轉換和適配； 不改變原有操作模式和用戶體驗的應用接入和訪問； 系統(tǒng)應用功能 /業(yè)務邏輯的離線訪問和處理； 本地數據的存儲 和訪問； 桌面等 設備本地資源的訪問； 設備 /客戶端本地資源和應用 /服務器端資源的同步； 應用相關數據在設備 /服務器兩端同步； 企業(yè)重要信息和事務的及時推送（ P） 在線的企業(yè)信息化事務處理（ O） 離線方式下企業(yè)信息閱讀 /事務處理（ O） 設備 /客戶端和應用 /服務器兩級、雙向的企業(yè)信息同步（ S） 技術要素的細化和分解 企業(yè)級移動應用安全基礎體系 對于企業(yè)級移動應用安全基礎體系，按照用戶的強認證和授權、數據存儲的安全和加密、異常情況下數據的安全處理、數據鏈路的加密和數據傳輸的安全 四個部分， 共分為八方面的建設目標 ； 企業(yè)級移動應用 安全基礎體系 系統(tǒng)層的基于強密碼的用戶登錄 /接入； 在企業(yè)級移動應用體系中的統(tǒng)一用戶認證和權限管理； 應用相關數據在客戶端存儲安全 /加密； 企業(yè)級移動應用體系元數據和配置數據的安全； 企業(yè)級移動應用體系下發(fā)的 IT策略的數 據安全； 設備 /客戶端和應用 /服務器兩端，系統(tǒng)級數據鏈路的加密和數據傳輸安全； 應用訪問 /接入相關數據的傳輸安全； .OTA模式下移動設備相關數據的遠程擦除（包括應用數據及系統(tǒng)存儲兩個方面） ； 用戶的強認證和授權 數據存儲的安全和加密 數據鏈路的加密和數據傳輸的安全 異常情況下數據的安全處理 ： a. ； 技術要素的細化和分解 企業(yè)級移動設備 /應用統(tǒng)一管理體系 對于 企業(yè)級移動設備 /應用統(tǒng)一管理體系 ，按照移動設備 /應用的統(tǒng)一初始化、移動設備 /應用運行時的統(tǒng)一管理、異常情況下設備的管理以及移動應用桌面和內容的管理 四個部分， 共分為十五方面的建設目標 ； 企業(yè)級移動設備 /應用 統(tǒng)一管理體系 企業(yè)級移動應用體系下用戶組的分配以及 IT策略管理； OTA模式下移動設備的初始化 ； OTA模式下應用軟件的按需部署； OTA模式下殺毒軟件等 外圍系統(tǒng)的安裝和配置 OTA模式的設備 /應用相關數據的跟蹤 ； OTA模式的設備 /應用數據的備份和恢復 OTA模式的應用系統(tǒng)的自動更新 /修復 ； OTA模式的設備參數的調整和修改 ; OTA模式的設備的鎖定和解鎖； 基于短信模式的設備的遠程告警 ； 移動應用用戶體驗（ UE）和交互模式的統(tǒng)一管理； OTA模式下用戶桌面及相關應用的統(tǒng)一管理和分發(fā)； 移動設備 /應用的統(tǒng)一初始化 移動設備 /應用運行時的統(tǒng)一管理 異常情況下設備的管理 移動應用桌面和內容的管理 OTA模式的設備控制 OTA模式操作日志的記錄 ； 設備 /平臺遠程通信 /交互； 提綱 2.1、 企業(yè)級移動應用平臺技術體系總體研究 2.2.1 企業(yè)級移動應用平臺技術體系研究思路 2.2.2 企業(yè)級移動應用平臺技術要素的細化 2.2.3 企業(yè)級移動應用平臺的對標分析 2.2.4 企業(yè)級移動應用基礎安全體系的研究和設計 現有產品 /平臺對中國移動企業(yè)級移動應用平臺支撐能力分析的思路 針對三部分 /三十五方面建設目標的對標分析 對每一部分支撐能力的綜合分析 CMCC企業(yè)級移動應用平臺整體支撐能力分析 按照 CMCC企業(yè)級移動應用平臺三部分 /三十五方面建設目標，對相關的產品 /平臺進行針對性的交流、調研以及對標測試，分析每一種產品 /平臺對每一建設目標的支撐能力，給出詳細的支撐能力說明 對三部分建設目標分別進行針對性的量化分析，明確不同產品 /平臺的定位和側重點，以及對每一部分建設性目標的支撐能力 對于每一部分建設目標是否有能滿足其支撐能力需求的針對性產品 /平臺 對三部分建設目標的支撐能力進行匯總和量化分析，明確不同產品 /平臺對 CMCC企業(yè)級移動應用平臺整體的支撐能力 對于整個平臺，是否有滿足其完整支撐需求的相關產品 /平臺 現有相關產品的交流、產品資料的調研和分析、產品 /平臺試用和測試 每部分建設目標的分別匯總 針對性支撐能力 所有建設目標的整體匯總 完整支撐能力 針對三部分 /三十二方面的建設目標，對現有相關產品 /平臺進行支撐能力的對標分析； 對于每一部分建設目標，分析是否有針對性的產品 /平臺能夠支撐； 對于整體平臺的建設目標，分析是否有滿足整體支撐需求的產品 /平臺； 現有產品 /平臺對 POSO基礎服務機制的支撐能力 接近 40%的 POSO功能服務機制 得不到支撐 產品 / 平臺對 PO SO 功能服務機制的支撐能力0246810P O S O 功能服務機制EM A SP 建設目標 平臺 / 產品 H平臺 / 產品 I 平臺 / 產品 S平臺 / 產品 X 平臺 / 產品 Y可以進行本地資源訪問提供本地的資源訪問能力可實現應用與內置功能集成桌面等本地資源訪問提供本地的數據存儲和同步功能本地數據的存儲 / 訪問提供離線的功能操作系統(tǒng)應用功能 / 業(yè)務邏輯的離線訪問和處理應用相關的數據，難以實現同步提供本地的數據存儲和同步功能可以實現應用與手機內置功能集成 , 但沒有數據應用相關數據在設備 /服務器兩端同步可以基于設備數據備份的方式進行資源同步提供本地資源訪問能力，但沒有同步功能設備 / 客戶端本地資源和應用 / 服務器端資源的同步主要是將 B / S 形式的 PC 應用轉換為 B / S 形式的移動應用，操作方式和用戶體驗不改變按照統(tǒng)一模式部署，均為客戶端程序，改變了原有操作方式 / 用戶體驗不改變原有操作方式和用戶體驗定制瀏覽器方式，類似原有的瀏覽模式，稍有差異不改變原有操作模式和用戶體驗的應用接入和訪問目前其主要功能是實現 PC 系統(tǒng)頁面到移動設備頁面的自動轉換，基于預定義轉模板的方式進行需要按照統(tǒng)一標簽進行代碼編寫，可多平臺適配；自動轉換 / 適配功能較弱有集成標準，可多平臺適配，但沒有頁面的自動轉換 / 適配功能目前其主要功能是頁面適配PC 訪問應用到移動應用的無縫轉換和適配可以針對轉換后的各個應用進行應用級事務 / 內容推送支持 IP 、 W A P等模式W a p 或 J 2 M E P u s h系統(tǒng)級消息通知P O S O功能服務機制的提供 平臺/ 產品 Y 平臺/ 產品 X 平臺/ 產品 S 平臺/ 產品 I 平臺/ 產品 H企業(yè)級移動應用平臺（ E M A S P ）建設目標點 / 基線標準可以進行本地資源訪問提供本地的資源訪問能力可實現應用與內置功能集成桌面等本地資源訪問提供本地的數據存儲和同步功能本地數據的存儲 訪問提供離線的功能操作系統(tǒng)應用功能 業(yè)務邏輯的離線訪問和處理應用相關的數據，難以實現同步提供本地的數據存儲和同步功能可以實現應用與手機內置功能集成 但沒有數據應用相關數據在設備服務器兩端同步可以基于設備數據備份的方式進行資源同步提供本地資源訪問能力，但沒有同步功能設備 客戶端本地資源和應用 服務器端資源的同步主要是將 形式的 應用轉換為 形式的移動應用，操作方式和用戶體驗不改變按照統(tǒng)一模式部署，均為客戶端程序，改變了原有操作方式 用戶體驗不改變原有操作方式和用戶體驗定制瀏覽器方式，類似原有的瀏覽模式，稍有差異不改變原有操作模式和用戶體驗的應用接入和訪問目前其主要功能是實現 系統(tǒng)頁面到移動設備頁面的自動轉換，基于預定義轉模板的方式進行需要按照統(tǒng)一標簽進行代碼編寫，可多平臺適配；自動轉換 適配功能較弱有集成標準，可多平臺適配，但沒有頁面的自動轉換 適配功能目前其主要功能是頁面適配訪問應用到移動應用的無縫轉換和適配可以針對轉換后的各個應用進行應用級事務 內容推送支持 、等模式或系統(tǒng)級消息通知功能服務機制的提供產品產品產品產品產品企業(yè)級移動應用平臺（ ）建設目標點 基線標準現有產品 /平臺對企業(yè)級移動應用安全基礎體系的支撐能力 60%以上的移動應用安全基礎體系 得不到支撐 產品 / 平臺對移動應用安全基礎體系的支撐能力0246810移動應用安全基礎體系EM A SP 建設目標 平臺 / 產品 H平臺 / 產品 I 平臺 / 產品 S平臺 / 產品 X 平臺 / 產品 Y提供遠程數據刪除功能O T A 模式下移動設備相關數據的遠程擦除針對應用的訪問難以提供自動的安全傳輸機制提供內容加密的支持應用訪問 / 接入相關數據的傳輸安全基于 V P N 方式提供信道加密的支持提供內容加密和信道加密的支持設備 / 客戶端和應用 / 服務器兩端，系統(tǒng)級數據鏈路的加密和數據傳輸的安全企業(yè)級移動應用體系 IT策略的數據安全企業(yè)級移動應用體系元數據 / 配置數據安全提供用戶密碼安全和終端加密功能提供用戶密碼和持久存儲安全應用相關數據在客戶端的存儲安全和加密合并用戶群，實現統(tǒng)一用戶管理基于客戶已有認證系統(tǒng)完成移動應用體系中的統(tǒng)一用戶認證 / 權限管理系統(tǒng)層的基于強密碼的用戶登錄 / 接入企業(yè)級移動應用安全基礎體系承載 平臺/ 產品 Y 平臺/ 產品 X 平臺/ 產品 S 平臺/ 產品 I 平臺/ 產品 H企業(yè)級移動應用平臺（ E M A S P）建設目標點 / 基線標準提供遠程數據刪除功能模式下移動設備相關數據的遠程擦除針對應用的訪問難以提供自動的安全傳輸機制提供內容加密的支持應用訪問 接入相關數據的傳輸安全基于 方式提供信道加密的支持提供內容加密和信道加密的支持設備 客戶端和應用 服務器兩端，系統(tǒng)級數據鏈路的加密和數據傳輸的安全企業(yè)級移動應用體系策略的數據安全企業(yè)級移動應用體系元數據 配置數據安全提供用戶密碼安全和終端加密功能提供用戶密碼和持久存儲安全應用相關數據在客戶端的存儲安全和加密合并用戶群，實現統(tǒng)一用戶管理基于客戶已有認證系統(tǒng)完成移動應用體系中的統(tǒng)一用戶認證 權限管理系統(tǒng)層的基于強密碼的用戶登錄 接入企業(yè)級移動應用安全基礎體系承載產品產品產品產品產品企業(yè)級移動應用平臺（）建設目標點 基線標準現有產品 /平臺對企業(yè)級移動設備 /應用統(tǒng)一管理體系的支撐能力 產品 / 平臺對移動設備 / 應用管理體系支撐能力0246810121416移動設備 / 應用統(tǒng)一管理體系EM A SP 建設目標 平臺 / 產品 H平臺 / 產品 I 平臺 / 產品 S平臺 / 產品 X 平臺 / 產品 Y40%以上的移動設備 /應用 統(tǒng)一管理體系 得不到支撐 移動應用用戶體驗和交互模式的統(tǒng)一管理具備對相關應用的統(tǒng)一管理，但不沒有 O T A 模式下桌面的管理和分發(fā)對應用統(tǒng)一管理，但無桌面分發(fā)有統(tǒng)一應用管理，但無 O T A模式統(tǒng)一分發(fā)O T A 模式下用戶桌面及相關應用的統(tǒng)一管理和分發(fā)提供異常情況下，本機和指定聯系人的短信提示基于短信模式的設備的遠程告警提供遠程的鎖定和刪除O T A 模式的設備的鎖定和解鎖基于內部的實時推送網絡進行基于設備底座平臺交互基于托架客戶端進行層交互移動設備 / 管理平臺的遠程通信和交互基于軟件分發(fā)管理，提供相關數據備份和恢復功能O T A 模式的設備 / 應用相關數據的備份恢復O T A 模式的設備控制O T A 模式的設備參數的調整和修改基于軟件分發(fā)管理，提供應用系統(tǒng)更新與修復功能基于 Pu s h 實現更新修復O T A 模式的應用系統(tǒng)的自動更新和修復提供行為數據的上傳功能O T A 模式的設備操作日志的記錄提供設備 / 應用相關數據O T A 模式的設備 / 應用相關數據的跟蹤提供惡意軟件查殺等功能，可結合軟件統(tǒng)一管理O T A 模式下殺毒軟件等外圍系統(tǒng)的安裝和配置提供軟件的安裝部署功能提供對設備上各種應用的管理統(tǒng)一應用管理，但不能實現O T A 部署O T A 模式下應用軟件的按需部署O T A 模式下移動設備的初始化提供 IT 策略的制定分發(fā)功能有用戶管理，無 IT 策略管理基于客戶統(tǒng)一用戶管理用戶組的分配以及 IT策略管理企業(yè)級移動設備 / 應用統(tǒng)一管理體系的承載 平臺/ 產品 Y 平臺/ 產品 X 平臺/ 產品 S 平臺/ 產品 I 平臺/ 產品 H企業(yè)級移動應用平臺（ E M A S P）建設目標點 / 基線標準移動應用用戶體驗和交互模式的統(tǒng)一管理具備對相關應用的統(tǒng)一管理，但不沒有 模式下桌面的管理和分發(fā)對應用統(tǒng)一管理，但無桌面分發(fā)有統(tǒng)一應用管理，但無模式統(tǒng)一分發(fā)模式下用戶桌面及相關應用的統(tǒng)一管理和分發(fā)提供異常情況下，本機和指定聯系人的短信提示基于短信模式的設備的遠程告警提供遠程的鎖定和刪除模式的設備的鎖定和解鎖基于內部的實時推送網絡進行基于設備底座平臺交互基于托架客戶端進行層交互移動設備 管理平臺的遠程通信和交互基于軟件分發(fā)管理，提供相關數據備份和恢復功能模式的設備 應用相關數據的備份恢復模式的設備控制模式的設備參數的調整和修改基于軟件分發(fā)管理，提供應用系統(tǒng)更新與修復功能基于 實現更新修復模式的應用系統(tǒng)的自動更新和修復提供行為數據的上傳功能模式的設備操作日志的記錄提供設備 應用相關數據模式的設備 應用相關數據的跟蹤提供惡意軟件查殺等功能，可結合軟件統(tǒng)一管理模式下殺毒軟件等外圍系統(tǒng)的安裝和提供軟件的安裝部署功能提供對設備上各種應用的管理統(tǒng)一應用管理，但不能實現模式下應用軟件的按需部署模式下移動設備的初始化提供 策略的制定分發(fā)功能有用戶管理，無 策略管理基于客戶統(tǒng)一用戶管理用戶組的分配以及策略管理企業(yè)級移動設備 應用統(tǒng)一管理體系的承載企業(yè)級移動應用平臺（）建設目標點 基線標準現有產品 /平臺對 CMCC企業(yè)級移動應用平臺支撐能力分析 現有相關平臺 /產品對 EMASP建設目標的支撐能力較弱、差距較大，進而難以滿足內外部服務的實際需求以及“一網多包”集中化建設模式下手機類服務包的要求 ； 中國移動企業(yè)級移動應用平臺（ EMASP）需要按照各建設目標 /基線標準進行整體的設計和開發(fā)，從而能夠產出支撐中國移動企業(yè)級移動應用體系的完整平臺。 相關產品 / 平臺對 EM A SP 整體建設目標的支撐能力分析05101520253035整體建設目標 / 功能從總體上分析： 現有有平臺 /產品支撐能力與EMASP整體建設目標支撐需求之間的差距在 56.25%93.75%以上； 即： 56.25%93.75%的 EMASP平臺的建設目標難以被現有各相關平臺 /產品支撐和承載 相關產品 / 平臺對 EM A SP 各建設目標的支撐能力分析051015P O S O 功能服務機制 移動應用安全基礎體系 移動設備 / 應用統(tǒng)一管理體系EM A SP 建設目標 平臺 / 產品 H 平臺 / 產品 I 平臺 / 產品 S 平臺 / 產品 X 平臺 / 產品 Y提綱 2.1、 企業(yè)級移動應用平臺技術體系總體研究 2.2.1 企業(yè)級移動應用平臺技術體系研究思路 2.2.2 企業(yè)級移動應用平臺技術要素的細化 2.2.3 企業(yè)級移動應用平臺的對標分析 2.2.4 企業(yè)級移動應用基礎安全體系的研究和設計 企業(yè)級移動應用平臺安全需求分析 企業(yè)級移動應用安全需求場景如下圖所示 分析重點 針對智能終端面臨的以上威脅，將針對以下重點內容進行分析： 1、智能終端安全性 2、保護與智能終端相關的連接 3、加密 EM Server與智能終端間傳輸的數據 4、保護應用服務器與 EM Server的安全連接 5、管理 EM Server的安全性 6、保護存儲在 EM Server組織環(huán)境中的數據 A P P S e r v e r 1A P P S e r v e r 2A P P S e r v e r N. . .E M A S P S e r v e rF i r e w a l lW i r e l e s sN e t w o r kM o b i l e D e v i c e5 ， 61423I n t e r n e t企業(yè)級移動應用平臺安全體系建立的目標 EM Server安全性 ： 安全連接： 智能終端安全性： EM Server安全特性 IT安全策略 訪問允許列表 分段網絡體系架構 數據安全保護 應用服務器數據安全 EM Server 配置安全 IT安全策略數據安全 應用服務器與 EM Server 安全連接 智能終端安全連接 智能終端和 EM Server之間直接連接 智能終端和 Internet、內部網、 WAP網關的連接 智能終端與 應用服務器的HTTP連接 智能終端高級連接安全 連接數據加密 本地安全 智能終端內存的安全操作 保護智能終端上的數據 保護丟失或被盜的智能終端 第三方擴展 保護第三方應用程序 保護 Bluetooth連接 保護 Wi-Fi連接安全 激活與注冊 安全激活智能終端 智能終端證書注冊 智能終端安全性 智能終端安全工作主要考慮智能終端本地安全，基于第三方應用程序、藍牙、 WIFI技術的擴展安全以及激活與注冊。 智能終端 本地安全 第三方 擴展安全 智能終端存儲空間的安全操作 i. 內存數據分類保護 ii. 刪除終端存儲空間中所有終端數據、同時清除相關內存 保護智能終端上的數據 i. 加密鎖定的智能終端上的數據 ii. 加密鎖定的智能終端上的設備傳輸密鑰 iii. 重置智能終端密碼 iv. 保護智能終端上存儲的密碼 v. 加密存儲在媒體卡上的智能終端數據 保護丟失或被盜的智能終端 保護第三方應用程序 保護智能終端的Bluetooth連接 保護智能終端的 Wi-Fi連接 i. 保護采用 Wi-Fi技術的智能終端和企業(yè) Wi-Fi網絡的連接 ii. 管理智能終端連接到 Wi-Fi網絡的方式 iii. EM Server保護敏感的 Wi-Fi信息 iv. 使用 RSA身份