面向新型智能手机的企业级移动应用平台（MES）体系研究与系统开发

中国移动集团级重点研发项目 结题汇报报告 6/27/2015 项目名称：面向新型智能手机的企业级移动应用平台（ MES）体系研究与系统开发 一 . 课题目标实现情况 目 录 二、主要研究成果（整合后） 1.1 研究背景及目标：移动终端的发展 移动终端的普及 ：移动终端日益成为用户使用信息化应用 /服务的重要载体 。传统的移动通话设备快速过渡到了智能手机，当前呈现出智能手机、平板电脑和笔记本电脑的一体化融合趋势； 移动终端平台的典型代表 ： Android， iOS(iPhone/iPad); 移动终端的一体化融合 ： 操作系统的一体化，即三类设备采用同一套操作系统； 应用程序的一体化，即三类设备能够实现同一套应用程序的一次开发，多处部署与无缝迁移； 用户体验的一体化，即三类设备的用户体验将逐步趋向一致，即各种触控和感应等先进的用户体验方式将逐步拓展这三种类型设备中去。 1.1 研究背景及目标：平板电脑的发展 平板电脑发展趋势 ： 2010全球平板电脑销量 2000万台（其中 iPad 占 60%）； Gartner预测 2011年全球平板电脑销量 5500万台（ iPad占 45%）； 随着一体化趋势的逐步推进，企业级应用正开始能够向平板电脑端进行逐步延伸； 平板电脑的市场分布 ：苹果 4月 3日发布的 iPad是平板电脑的领头羊，具有优秀用户体验、领先应用生态体系等，与 iPhone的操作系统同源为 iOS，应用商店也同源为 App Store； 综合分析 ： 平板电脑具有良好的便携性，杰出的用户界面，尤其是多点触摸电容技术下新颖的用户体验； 基于平板电脑从事企业管理正在引起各方关注，如何发挥在企业信息化中的应用优势更是关注重点。 1.1 研究背景及目标：企业移动应用的发展 移动应用市场 ：各操作系统平台的竞争和用户需求的膨胀，使得移动应用与移动信息服务市场的规模急剧膨胀。特别是 2010年以来，面向主流平台的移动应用急剧增加。以苹果为例：截止 2010年底， App Store应用数量突破 30万，下载次数远远超过了 50亿次，销售额累计突破 30亿美元； 企业级移动应用 ：从 2008-09年开始，并在 2010年持续增长，预计到 2015年在所有移动应用中的市场份额会达到目前的两倍，集中于成长型企业 SaaS应用、集成化移动管理平台、面向行业的垂直解决方案、移动协作等；企业移动应用的投资回报率日益清晰，大型企业应用软件供应商也逐渐成为企业移动应用市场增长的主要驱动力； 定位于 “ 移动信息专家 ” 的中国移动，基于移动终端提供信息化应用 /服务是重要的 ICT业务方向之一，必须关注兴起的企业级移动应用市场。 App Store应用情况 企业级移动应用 1.1 研究背景及目标：业务需求及现状 内部的业务需求 ：从管理信息系统在实际工作中接触的内部用户来看，基于手机开展办公等相关业务的需求较为迫切，而这部分业务需求目前尚不能很好地得到满足； 外部的业务需求和对外推广的市场机会 ：从实际项目中接触到的外部客户的需求来看，随着移动终端和应用的普及，基于手机的企业级业务应用，特别是管理信息系统的需求较为迫切，有很高的对外服务和推广价值； 功能需求方面 ：在对业务应用的支撑性功能方面，从对内 /外部客户的收集来看，主要具有Push（ Email,合同等）、 Online/Offline/Sync（ Email,OA等）、 Security（覆盖企业移动应用体系）以及 Management（设备、应用层面） 等方面的需求； 现状 ：目前，前期建设的手机综合服务平台以及开展的相关研究，重点主要集中于 Online模式下的应用的适配、部署和展示等方面，难以满足用户在企业移动信息化的业务和功能层面的相关需求； 为了满足当前内部的业务需求，同时为对外推广奠定基础，有必要对企业级移动应用进行体系化的研究，建设能够满足企业信息化需求的移动应用平台。 首选移动终端方式36.5% 只选移动终端方式 35.4% laptop方式12.5% 固定电话方式15.6% 希望通过手机实时掌握信息的的企业用户比例高达 71.9%；如何 以 移动 终端 为载体 ，更好的支持办公管理和业务运营已经成为企业用户的迫切需求 。 1.1 研究背景及目标：本期课题研究目标 研究目标一： 研究 企业级移动应用平台相关发展情况 ，结合智能手机、平板电脑快速发展和一体化融合的趋势，进行分析和研究； 研究 企业级移动应用的需求 ，完成技术服务机制的提取和设计； 结合 管理信息系统需求 完成典型应用的选取、分析和规划； 制定 企业移动信息化的发展路线 。 研究目标二： 基于 Android操作系统的智能手机对当前主流的企业级移动应用技术进行调研 ， 基于 Android操作系统 的智能手机的 企业级移动应用平台架构方案的设计 ；重点针对体现移动应用特征的 POSO四维功能以及企业级移动应用安全机制 进行重点设计； 完成基于 Android操作系统的智能手机的 企业级应用平台开发 ；并对平台的功能特征以及 安全方面的特性 进行验证 。 研究目标三： 基于 iOS操作系统的 iPad平板电脑对当前主流的企业级移动应用技术进行调研 ， 基于 iOS操作系统 的 iPad平板电脑的 企业级移动应用平台架构方案的设计 ；重点针对体现移动应用特征的 POSO四维功能以及具有 iPad个性化特征的用户体验 进行重点设计； 完成基于 iOS操作系统 的iPad平板电脑的 企业级应用平台开发 ；并对平台的功能特征以及 用户体验 进行验证 。 对企业移动应用进行调研， 研究和分析针对中国移动的应用需求及使用场景，设计相应的技术体系，按照当前企业级移动应用开发中最为先进的 POSO功能模式、应用安全方面的强认证和信息加密等特性以及智能终端特殊的用户体验，针对当前应用广泛和市场占有率较高的 iPad平板电脑和基于 Android系统的智能手机，开发企业级移动应用平台 ，在该平台之上，可以较好地承载不同的移动业务应用，满足内部和外部用户对移动办公等信息化服务的需求。 1.2 主要研究内容 :总体研究框架 围绕企业级移动应用平台的相关技术层面， 基于设备形态、操作系统、技术机制等方面的技术元素，形成涵盖企业级移动应用完整体系的研究总体框架 ; 框架分解： 1) 鉴于 EM发展的紧迫性，在开展总体设计和规划的同时，基于初步的 3维矩阵分析先期找出一些迫切待研究的点，由相关省公司以协作方式进行前瞻研究，既有利于统一和标准化管理，又有利于在尽快的时间内取得良好的效益 2) 鉴于移动信息化所依赖的设备，操作系统以及技术服务机制存在并行交叉的关系，以不冲突和可复用为基本原则，选择合适的点交由相关省公司进行差异化细致研究，既可以做到成果复用，又可以加快进度 技术机制 操作系统 设备形态 技术机制 Sec POSO Mgnt UE 操作系统 iOS Android WP7 oPhone 设备形态 智能手机 平板电脑 1.2 主要研究内容 :总体研究点概述 Management Push Online Sync Offline Security Security： 通过移动设备作为企业信息化的承载体，其必需能够保障链路的安全性，存储企业数据的安全性，以及用户身份的准确性；以防手机失窃丢失损耗等情况对企业信息安全带来的额外冲击，被视为 EM的必要基座，是必不可少的。 Poso： 支持企业重要信息和事务的及时推送（ P），支持以 BS或 CS方式直接在线进行信息化事务处理（ O），支持两端双向的企业信息同步（ S），支持离线方式进行企业信息化的阅读与处理（ O）；完整事务处理类型的支持是实现移动设备全方面服务企业信息化和支撑业务特点的主体内容。 Management： 支持针对移动设备的企业级策略发布、软件管理与状态监控，能够支持空口化管理模式。 针对不同的终端设备（智能手机和平板电脑）以及操作系统（ Android,iOS， WP7， OPhone等），重点开展企业级移动应用的 Security、 Poso以及 Management三方面技术特征与服务机制的研究 1.2 主要研究内容 :总体研究内容的开展计划 POSO 时间 研究内容层次 形成成熟的 POSO功能服务机制； 方便接入和适配主流平台体系； Security Management 第二阶段（ 2012-2013） (基础平台的试点，改进 POSO功能，完善 Security功能，补充 Management功能） 基础服务平台试点； POSO功能改进，重点完成针对主流平台体系的适配器建设； 形成覆盖整个企业级移动应用体系的安全服务体系； 能够在企业和员工两个层面提供移动应用的安全服务； 企业级移动应用框架、技术机制研究和分析； 企业级移动应用在管理功能层面的需求分析； 面向新型平板设备的一体化用户体验研究 POSO基础服务机制的研究和需求分析； POSO基础功能设计； 基础服务平台的设计和研发； 企业级移动应用中安全需求的调研和分析； 企业级移动应用安全体系的梳理和设计； 数据加密、强认证等基础安全服务的建设； 本期项目（ 2011-2012） (总部和两省联合研发基础平台，包含 POSO，部分Security机制及新型平板设备用户体验） 企业级移动设备层管理功能建设，初步提供移动终端管理服务； 企业级移动应用层管理需求分析和初步设计； 形成涵盖设备、应用两层，覆盖设备管理全生命周期的管理机制和功能； 完善企业级移动应用安全服务体系，涵盖：认证 /授权，本地数据安全、链路数据安全，异常 /突发情况的处理等； 第三阶段（ 2013之后） (完善 Management机制，形成包含三个层面功能的 完整的企业级移动应用平台 ，试点推广） 1.2 主要研究内容 :本期项目研究点 1 POSO基础服务机制 POSO四维服务机制被 Gartner和 Google评价为 Enterprise Mobile的最重要特征，是未来移动信息化服务市场竞争的主体能力： 适应移动办公多利用离散时间和非办公场所的服务场景，加强移动信息化设备端应用程序的研究，做好 Offline离线处理以及数据信息双向 Sync同步的技术研究，进一步提升办公效率和便捷性； 满足待办和监控管理等方面的业务需求，进一步增强 Push推送方面的技术研究，进一步提升业务响应的效率。 为此迫切需要对移动信息化的设备端应用开发体系，以及 Poso服务机制的研究。 Poso服务是完整企业级移动信息化的典型体现 1.2 主要研究内容 :本期项目研究点 2Security安全服务机制 随着移动信息化应用的深入和 Poso服务的健全，移动设备（包括手机与平板电脑）的便携性会 对其中的企业信息数据带来很大的安全隐患，安全问题急待研究 ： 需要实现移动设备的用户强 认证 ，避免他人恶意访问和非法操作； 需要实现对移动设备中企业应用程序的 鉴权 和防护，避免应用程序含有木马等恶意代码； 需要实现对移动设备中企业 数据存储的加密 ，避免设备遗失时可能的泄密； 需要实现应用访问过程中的 数据传输和链路的管控 ，防止在传输和应用访问过程中泄密； 需要实现对移动设备的 异常处理 ，实现被盗手机的自动数据清洗； 安全是企业级移动信息化的必要保障与支撑，必不可少 1.2 主要研究内容 :本期项目研究点 3一体化用户体验 随着移动信息化应用的不断丰富，整个企业信息化的统一用户体验的要求和问题会愈发突出： 一方面如何让移动设备端（包括手机和平板电脑）用户体验与桌面端应用保持一致，共同符合 “ 一个中国移动 ” 的标准化战略， 另一方面如何让移动设备端用户能够感受新型智能操作系统下自身良好的体验，做到物尽其用； 为此迫切需要对移动信息化的标准化 UI风格进行统一设计，对其落地实现技术体系和模板进行 约束，并对高端用户体验的方式方法进行研究。 国外知名运营商和移动信息化开发厂商均有标准化的 UI技术体系 1.2 主要研究内容 :本期项目工作概述及分工 面向 Android平台、提供 POSO技术服务机制的基础服务平台研发； 企业级移动应用体系中 Security服务机制（ 通用 ）的设计和实现； 【 湖南 】 面向 Android操作系统的基础服务平台的研发及 Security设计 【 内蒙 】 面向 iOS操作系统的基础服务平台的研发及新型用户体验设计 【 总体 】 企业级移动应用体系研究 面向 iOS平台（ iPad设备） 、提供 POSO技术服务机制的基础服务平台研发； 面向平板设备（ iPad）的一体化用户体验研究设计 企业级移动信息化发展趋势分析研究； 企业级移动应用需求分析和技术体系设计； 面向管理信息系统需求，典型应用的选取分析； 中国移动企业移动信息化的发展路线。 首先进行企业级移动应用体系的整体研究，包括发展趋势和应用需求的分析、技术体系和架构的设计、典型应用的选取以及发展路线的规划； 湖南移动主要针对基于 Android平台的智能手机，完成提供 POSO功能的基础服务平台研发；同时对企业移动应用体系下的通用安全机制进行研究，结合平台完成部分功能点的验证； 内蒙古移动主要针对基于 iOS的 iPad平板设备，完成提供 POSO功能的基础服务平台研发；同时对 iPad上新型用户体验在企业级移动应用中的应用场景和原则进行研究、设计及验证； 1.2 主要研究内容 :本期项目工作 总体 企业级移动应用体系研究 发展趋势研究 需求分析及体系设计 典型应用选取、研究和规划 结合智能手机、平板电脑快速发展和一体化融合的趋势，对企业级移动信息化的发展趋势进行分析和研究； 企业移动信息化发展路线规划 结合企业移动信息化的发展趋势，基于移动设备、操作系统和技术服务机制建立研究矩阵，对企业级移动应用的需求进行分析和研究，完成技术服务机制的提取和设计，涵盖业务功能、安全、用户体验等方面； 将技术服务机制与管理信息系统需求相结合，完成典型应用的选取、分析和规划，产生可以供集团和其他省公司推广和试点的参考； 结合中国移动企业信息化发展情况，制定企业移动信息化的发展路线 在企业级移动应用体系研究部分，将对企业级移动信息化的发展趋势进行分析和研究，在此基础上对企业级移动应用的需求进行分析和研究；进而，与管理信息系统需求相结合，完成典型应用的选取、分析和规划；最后，结合中国移动企业信息化发展情况，制定企业移动信息化的发展路线。 1.2 主要研究内容 :本期项目工作 湖南 面向 Android平台的研发 Security Push Online Synchronization Offline 企业重要信息和事务的及时推送 应用直接在线进行信息化事务处理 支持离线模式下进行起草、审阅以及业务处理等操作 支持后台 /客户端两端双向的企业信息同步 数据存储安全 数据传输安全 用户认证授权 涵盖基于 Android操作系统智能手机的移动应用平台研究、设计和开发 ,提供企业级移动应用平台的支撑性功能： 重点完成 POSO基础服务功能的研发， 以及 企业级移动应用体系中基本安全（Security）服务功能的设计和实现 Android移动应用平台基本功能（ Security & POSO） 技术体系的研究和分析 Android基础服务平台的设计开发 重点针对当前应用广泛和市场占有率不断上升的 基于 Android操作系统的智能手机 ，按照移动应用的POSO功能模式调研当前主要的技术体系，确定平台的实现技术； 针对 企业级移动应用中需要重点考虑的安全问题 ，特别是应用系统的强认证和信息加密等方面，进行解决方案的调研； 确定基于 Android智能手机的企业级移动应用平台的技术体系， 完成平台架构方案的设计 ，重点针对体现移动应用特征的 POSO四维功能机制； 完成 企业级移动应用基础服务平台开发 ；在其上实现移动办公（基于已有的 OA引擎和系统）、邮件、通信录等典型功能，对平台的功能特征进行验证； 安全机制的研究和验证 完成 企业级移动应用安全体系的设计 ，涵盖认证 /鉴权、本地数据安全、链路数据安全、异常情况处理等环节； 针对 强认证、信息加密等基础性安全功能 ，在基础服务平台上进行设计实现，基于典型应用进行安全基础功能的验证； Android操作系统（智能手机） 1.2 主要研究内容 :本期项目工作 内蒙 面向 iOS平台的研发 User Experience Push Online Synchronization Offline 企业重要信息和事务的及时推送 应用直接在线进行信息化事务处理 支持离线模式下进行起草、审阅以及业务处理等操作 支持后台 /客户端两端双向的企业信息同步 重力感应 多点触摸 色彩搭配 涵盖基于 iOS操作系统平板电脑的移动应用平台研究、设计和开发 ,提供企业级移动应用平台的支撑性功能： 重点完成 POSO基础服务功能的研发，以及面向平板设备的一体化用户体验（ UE）的研究设计 iOS移动应用平台基本功能（ UE & POSO） 技术体系的研究和分析 iOS基础服务平台的设计开发 重点针对代表未来发展趋势的 基于IOS操作系统平板电脑 ，按照移动应用的 POSO功能模式调研主要的技术体系，确定平台实现技术； 针对新型平台电脑的用户体验，对其在 企业级移动应用中的用户体验相关解决方案进行调研 ，给出新型用户体验在企业级移动应用中的场景分析； 确定基于 iOS操作系统平板电脑的企业级移动应用平台的技术体系， 完成平台架构方案的设计 ；重点针对体现移动应用特征的 POSO四维功能机制； 完成的 企业级移动应用基础服务平台开发 ；在其上实现移动办公（基于已有的 OA引擎和系统）、邮件、通信录等典型功能，对平台的功能特征进行验证； 新型用户体验的研究和落地 针对 iPad等新型平板设备上的用户体验， 分析其在企业级移动应用中的应用原则，完成应用场景和方案设计 ； 在基础服务平台上，对新型用户体验的相关场景进行实现，完成 新型用户体验在企业级移动应用中原则的验证 ； iOS操作系统（ iPad平板电脑） 1.2 主要研究内容 :项目的难点及解决方案 企业级移动应用平台的技术体系的研究和设计 企业级移动应用中基础功能机制的设计 企业级移动应用安全方案的设计 新型移动设备下，企业级移动应用中用户体验方案的设计 覆盖多平台 (Android/iOS)的企业级移动应用平台的设计和开发 主要难点 对于技术体系、功能机制等相关的研究方面的难点，将在对现有技术及发展趋势详尽分析和研究的基础上，开展相关工作； 对于方案设计中的难点，在充分利用现有先进技术的基础上，将重点针对中国移动的现有业务需求和现状，采用 “ 速赢 ” 的策略，力争设计的方案能够最好地解决现有问题； 对于平台开发相关的难点，将对平台的技术特征进行充分调研，在此基础上，深入挖掘平台的特征和技术要求，保证开发完成的系统在目标平台上的兼容性和稳定性； 解决思路 1.3 目标完成情况总结 企业级移动 OA的推送功能 企业级移动 OA的离线功能 企业级移动 EMAIL的推送功能 企业级移动 EMAIL的离线功能 解决了四项公司在市场发展和生产运营中存在的关键问题 企业级移动应用安全体系 企业级移动应用技术体系 移动应用页面数据的实时推送 /更新机制 移动应用离线功能自动适配 移动应用数据自动同步 企业级移动应用普适化支撑 研究和提出了六项关键技术点的决策建议 挖掘了国内专利申请一项 企业级移动应用环境中按需进行数据推送的方法和系统 初步估计对企业绩效贡献的经济效益为 66.4万元 一 . 课题目标实现情况 目 录 二、主要研究成果（整合后） 子 目 录 2.1、 企业级移动应用平台技术体系总体研究 2.2.1 企业级移动应用平台技术体系研究思路 2.2.2 企业级移动应用平台技术要素的细化 2.2.3 企业级移动应用平台的对标分析 2.2.4 企业级移动应用基础安全体系的研究和设计 2.2、 面向新型智能终端的企业级移动应用平台研发 2.2.1 企业级移动应用平台需求分析及功能逻辑设计 2.2.2 企业级移动应用平台支撑技术体系及架构方案设计 2.2.3 企业级移动应用平台安全相关机制的实现 2.2.4 企业级移动应用平台的实现模块设计 2.2.5 企业级移动应用平台的开发示例 提纲 2.1、 企业级移动应用平台技术体系总体研究 2.2.1 企业级移动应用平台技术体系研究思路 2.2.2 企业级移动应用平台技术要素的细化 2.2.3 企业级移动应用平台的对标分析 2.2.4 企业级移动应用基础安全体系的研究和设计 企业级移动应用平台技术体系研究和设计思路 结合内外部的业务需求以及企业级移动应用技术体系发展趋势的调研分析，完成 POSO、 Sec、 Mgnt相关建设目标的确认和规划； 将三部分的建设目标细化为三十五方面的建设目标，完成五类现有产品 /平台的对标分析； 借鉴现有产品的对标分析结果，考虑典型应用场景、典型应用数据接口进行 EMASP平台的设计和开发； M ana ge mentPush Online S y nc Of f lineSe curit y技术体系的细化 POSO(9方面 ) Security(8方面 ) Mgnt.(15方面 ) 内外 业务 需求 技术 体系 发展 五类产品 /平台的 对标分析 服务机制 / 应用场景 / 典型应用的调研 典型应用 数据接口 的调研 平台设计和开发 现有移动应用建设情况 基础安全体系的研究和设计 提纲 2.1、 企业级移动应用平台技术体系总体研究 2.2.1 企业级移动应用平台技术体系研究思路 2.2.2 企业级移动应用平台技术要素的细化 2.2.3 企业级移动应用平台的对标分析 2.2.4 企业级移动应用基础安全体系的研究和设计 企业级移动应用平台体系框架概述 Management Push Online Sync Offline Security Security： 通过移动设备作为企业信息化的承载体，其必需能够保障链路的安全性，存储企业数据的安全性，以及用户身份的准确性；以防手机失窃丢失损耗等情况对企业信息安全带来的额外冲击，被视为 EM的必要基座，是必不可少的。 Poso： 支持企业重要信息和事务的及时推送（ P），支持以 BS或 CS方式直接在线进行信息化事务处理（ O），支持两端双向的企业信息同步（ S），支持离线方式进行企业信息化的阅读与处理（ O）；完整事务处理类型的支持是实现移动设备全方面服务企业信息化和支撑业务特点的主体内容。 Management： 支持针对移动设备的企业级策略发布、软件管理与状态监控，能够支持空口化管理模式。 针对不同的终端设备（智能手机和平板电脑）以及操作系统（ Android,iOS， WP7， OPhone等），重点开展企业级移动应用的 Security、 Poso以及 Management三方面技术特征与服务机制的研究 技术要素的细化和分解 POSO功能服务机制 对于 POSO功能服务机制，按照企业重要信息和事务的及时推送、在线的企业信息化事务处理、设备 /客户端和应用 /服务器两级 /双向的企业信息同步以及离线方式下企业信息阅读与事务处理 四个部分， 共分为九方面的建设目标 ； POSO功能服务机制 系统级的消息通知； 应用级的事务 /内容推送； PC应用到移动应用的无缝转换和适配； 不改变原有操作模式和用户体验的应用接入和访问； 系统应用功能 /业务逻辑的离线访问和处理； 本地数据的存储 和访问； 桌面等 设备本地资源的访问； 设备 /客户端本地资源和应用 /服务器端资源的同步； 应用相关数据在设备 /服务器两端同步； 企业重要信息和事务的及时推送（ P） 在线的企业信息化事务处理（ O） 离线方式下企业信息阅读 /事务处理（ O） 设备 /客户端和应用 /服务器两级、双向的企业信息同步（ S） 技术要素的细化和分解 企业级移动应用安全基础体系 对于企业级移动应用安全基础体系，按照用户的强认证和授权、数据存储的安全和加密、异常情况下数据的安全处理、数据链路的加密和数据传输的安全 四个部分， 共分为八方面的建设目标 ； 企业级移动应用 安全基础体系 系统层的基于强密码的用户登录 /接入； 在企业级移动应用体系中的统一用户认证和权限管理； 应用相关数据在客户端存储安全 /加密； 企业级移动应用体系元数据和配置数据的安全； 企业级移动应用体系下发的 IT策略的数 据安全； 设备 /客户端和应用 /服务器两端，系统级数据链路的加密和数据传输安全； 应用访问 /接入相关数据的传输安全； .OTA模式下移动设备相关数据的远程擦除（包括应用数据及系统存储两个方面） ； 用户的强认证和授权 数据存储的安全和加密 数据链路的加密和数据传输的安全 异常情况下数据的安全处理 ： a. ； 技术要素的细化和分解 企业级移动设备 /应用统一管理体系 对于 企业级移动设备 /应用统一管理体系 ，按照移动设备 /应用的统一初始化、移动设备 /应用运行时的统一管理、异常情况下设备的管理以及移动应用桌面和内容的管理 四个部分， 共分为十五方面的建设目标 ； 企业级移动设备 /应用 统一管理体系 企业级移动应用体系下用户组的分配以及 IT策略管理； OTA模式下移动设备的初始化 ； OTA模式下应用软件的按需部署； OTA模式下杀毒软件等 外围系统的安装和配置 OTA模式的设备 /应用相关数据的跟踪 ； OTA模式的设备 /应用数据的备份和恢复 OTA模式的应用系统的自动更新 /修复 ； OTA模式的设备参数的调整和修改 ; OTA模式的设备的锁定和解锁； 基于短信模式的设备的远程告警 ； 移动应用用户体验（ UE）和交互模式的统一管理； OTA模式下用户桌面及相关应用的统一管理和分发； 移动设备 /应用的统一初始化 移动设备 /应用运行时的统一管理 异常情况下设备的管理 移动应用桌面和内容的管理 OTA模式的设备控制 OTA模式操作日志的记录 ； 设备 /平台远程通信 /交互； 提纲 2.1、 企业级移动应用平台技术体系总体研究 2.2.1 企业级移动应用平台技术体系研究思路 2.2.2 企业级移动应用平台技术要素的细化 2.2.3 企业级移动应用平台的对标分析 2.2.4 企业级移动应用基础安全体系的研究和设计 现有产品 /平台对中国移动企业级移动应用平台支撑能力分析的思路 针对三部分 /三十五方面建设目标的对标分析 对每一部分支撑能力的综合分析 CMCC企业级移动应用平台整体支撑能力分析 按照 CMCC企业级移动应用平台三部分 /三十五方面建设目标，对相关的产品 /平台进行针对性的交流、调研以及对标测试，分析每一种产品 /平台对每一建设目标的支撑能力，给出详细的支撑能力说明 对三部分建设目标分别进行针对性的量化分析，明确不同产品 /平台的定位和侧重点，以及对每一部分建设性目标的支撑能力 对于每一部分建设目标是否有能满足其支撑能力需求的针对性产品 /平台 对三部分建设目标的支撑能力进行汇总和量化分析，明确不同产品 /平台对 CMCC企业级移动应用平台整体的支撑能力 对于整个平台，是否有满足其完整支撑需求的相关产品 /平台 现有相关产品的交流、产品资料的调研和分析、产品 /平台试用和测试 每部分建设目标的分别汇总 针对性支撑能力 所有建设目标的整体汇总 完整支撑能力 针对三部分 /三十二方面的建设目标，对现有相关产品 /平台进行支撑能力的对标分析； 对于每一部分建设目标，分析是否有针对性的产品 /平台能够支撑； 对于整体平台的建设目标，分析是否有满足整体支撑需求的产品 /平台； 现有产品 /平台对 POSO基础服务机制的支撑能力 接近 40%的 POSO功能服务机制 得不到支撑 产品 / 平台对 PO SO 功能服务机制的支撑能力0246810P O S O 功能服务机制EM A SP 建设目标 平台 / 产品 H平台 / 产品 I 平台 / 产品 S平台 / 产品 X 平台 / 产品 Y可以进行本地资源访问提供本地的资源访问能力可实现应用与内置功能集成桌面等本地资源访问提供本地的数据存储和同步功能本地数据的存储 / 访问提供离线的功能操作系统应用功能 / 业务逻辑的离线访问和处理应用相关的数据，难以实现同步提供本地的数据存储和同步功能可以实现应用与手机内置功能集成 , 但没有数据应用相关数据在设备 /服务器两端同步可以基于设备数据备份的方式进行资源同步提供本地资源访问能力，但没有同步功能设备 / 客户端本地资源和应用 / 服务器端资源的同步主要是将 B / S 形式的 PC 应用转换为 B / S 形式的移动应用，操作方式和用户体验不改变按照统一模式部署，均为客户端程序，改变了原有操作方式 / 用户体验不改变原有操作方式和用户体验定制浏览器方式，类似原有的浏览模式，稍有差异不改变原有操作模式和用户体验的应用接入和访问目前其主要功能是实现 PC 系统页面到移动设备页面的自动转换，基于预定义转模板的方式进行需要按照统一标签进行代码编写，可多平台适配；自动转换 / 适配功能较弱有集成标准，可多平台适配，但没有页面的自动转换 / 适配功能目前其主要功能是页面适配PC 访问应用到移动应用的无缝转换和适配可以针对转换后的各个应用进行应用级事务 / 内容推送支持 IP 、 W A P等模式W a p 或 J 2 M E P u s h系统级消息通知P O S O功能服务机制的提供 平台/ 产品 Y 平台/ 产品 X 平台/ 产品 S 平台/ 产品 I 平台/ 产品 H企业级移动应用平台（ E M A S P ）建设目标点 / 基线标准可以进行本地资源访问提供本地的资源访问能力可实现应用与内置功能集成桌面等本地资源访问提供本地的数据存储和同步功能本地数据的存储 访问提供离线的功能操作系统应用功能 业务逻辑的离线访问和处理应用相关的数据，难以实现同步提供本地的数据存储和同步功能可以实现应用与手机内置功能集成 但没有数据应用相关数据在设备服务器两端同步可以基于设备数据备份的方式进行资源同步提供本地资源访问能力，但没有同步功能设备 客户端本地资源和应用 服务器端资源的同步主要是将 形式的 应用转换为 形式的移动应用，操作方式和用户体验不改变按照统一模式部署，均为客户端程序，改变了原有操作方式 用户体验不改变原有操作方式和用户体验定制浏览器方式，类似原有的浏览模式，稍有差异不改变原有操作模式和用户体验的应用接入和访问目前其主要功能是实现 系统页面到移动设备页面的自动转换，基于预定义转模板的方式进行需要按照统一标签进行代码编写，可多平台适配；自动转换 适配功能较弱有集成标准，可多平台适配，但没有页面的自动转换 适配功能目前其主要功能是页面适配访问应用到移动应用的无缝转换和适配可以针对转换后的各个应用进行应用级事务 内容推送支持 、等模式或系统级消息通知功能服务机制的提供产品产品产品产品产品企业级移动应用平台（ ）建设目标点 基线标准现有产品 /平台对企业级移动应用安全基础体系的支撑能力 60%以上的移动应用安全基础体系 得不到支撑 产品 / 平台对移动应用安全基础体系的支撑能力0246810移动应用安全基础体系EM A SP 建设目标 平台 / 产品 H平台 / 产品 I 平台 / 产品 S平台 / 产品 X 平台 / 产品 Y提供远程数据删除功能O T A 模式下移动设备相关数据的远程擦除针对应用的访问难以提供自动的安全传输机制提供内容加密的支持应用访问 / 接入相关数据的传输安全基于 V P N 方式提供信道加密的支持提供内容加密和信道加密的支持设备 / 客户端和应用 / 服务器两端，系统级数据链路的加密和数据传输的安全企业级移动应用体系 IT策略的数据安全企业级移动应用体系元数据 / 配置数据安全提供用户密码安全和终端加密功能提供用户密码和持久存储安全应用相关数据在客户端的存储安全和加密合并用户群，实现统一用户管理基于客户已有认证系统完成移动应用体系中的统一用户认证 / 权限管理系统层的基于强密码的用户登录 / 接入企业级移动应用安全基础体系承载 平台/ 产品 Y 平台/ 产品 X 平台/ 产品 S 平台/ 产品 I 平台/ 产品 H企业级移动应用平台（ E M A S P）建设目标点 / 基线标准提供远程数据删除功能模式下移动设备相关数据的远程擦除针对应用的访问难以提供自动的安全传输机制提供内容加密的支持应用访问 接入相关数据的传输安全基于 方式提供信道加密的支持提供内容加密和信道加密的支持设备 客户端和应用 服务器两端，系统级数据链路的加密和数据传输的安全企业级移动应用体系策略的数据安全企业级移动应用体系元数据 配置数据安全提供用户密码安全和终端加密功能提供用户密码和持久存储安全应用相关数据在客户端的存储安全和加密合并用户群，实现统一用户管理基于客户已有认证系统完成移动应用体系中的统一用户认证 权限管理系统层的基于强密码的用户登录 接入企业级移动应用安全基础体系承载产品产品产品产品产品企业级移动应用平台（）建设目标点 基线标准现有产品 /平台对企业级移动设备 /应用统一管理体系的支撑能力 产品 / 平台对移动设备 / 应用管理体系支撑能力0246810121416移动设备 / 应用统一管理体系EM A SP 建设目标 平台 / 产品 H平台 / 产品 I 平台 / 产品 S平台 / 产品 X 平台 / 产品 Y40%以上的移动设备 /应用 统一管理体系 得不到支撑 移动应用用户体验和交互模式的统一管理具备对相关应用的统一管理，但不没有 O T A 模式下桌面的管理和分发对应用统一管理，但无桌面分发有统一应用管理，但无 O T A模式统一分发O T A 模式下用户桌面及相关应用的统一管理和分发提供异常情况下，本机和指定联系人的短信提示基于短信模式的设备的远程告警提供远程的锁定和删除O T A 模式的设备的锁定和解锁基于内部的实时推送网络进行基于设备底座平台交互基于托架客户端进行层交互移动设备 / 管理平台的远程通信和交互基于软件分发管理，提供相关数据备份和恢复功能O T A 模式的设备 / 应用相关数据的备份恢复O T A 模式的设备控制O T A 模式的设备参数的调整和修改基于软件分发管理，提供应用系统更新与修复功能基于 Pu s h 实现更新修复O T A 模式的应用系统的自动更新和修复提供行为数据的上传功能O T A 模式的设备操作日志的记录提供设备 / 应用相关数据O T A 模式的设备 / 应用相关数据的跟踪提供恶意软件查杀等功能，可结合软件统一管理O T A 模式下杀毒软件等外围系统的安装和配置提供软件的安装部署功能提供对设备上各种应用的管理统一应用管理，但不能实现O T A 部署O T A 模式下应用软件的按需部署O T A 模式下移动设备的初始化提供 IT 策略的制定分发功能有用户管理，无 IT 策略管理基于客户统一用户管理用户组的分配以及 IT策略管理企业级移动设备 / 应用统一管理体系的承载 平台/ 产品 Y 平台/ 产品 X 平台/ 产品 S 平台/ 产品 I 平台/ 产品 H企业级移动应用平台（ E M A S P）建设目标点 / 基线标准移动应用用户体验和交互模式的统一管理具备对相关应用的统一管理，但不没有 模式下桌面的管理和分发对应用统一管理，但无桌面分发有统一应用管理，但无模式统一分发模式下用户桌面及相关应用的统一管理和分发提供异常情况下，本机和指定联系人的短信提示基于短信模式的设备的远程告警提供远程的锁定和删除模式的设备的锁定和解锁基于内部的实时推送网络进行基于设备底座平台交互基于托架客户端进行层交互移动设备 管理平台的远程通信和交互基于软件分发管理，提供相关数据备份和恢复功能模式的设备 应用相关数据的备份恢复模式的设备控制模式的设备参数的调整和修改基于软件分发管理，提供应用系统更新与修复功能基于 实现更新修复模式的应用系统的自动更新和修复提供行为数据的上传功能模式的设备操作日志的记录提供设备 应用相关数据模式的设备 应用相关数据的跟踪提供恶意软件查杀等功能，可结合软件统一管理模式下杀毒软件等外围系统的安装和提供软件的安装部署功能提供对设备上各种应用的管理统一应用管理，但不能实现模式下应用软件的按需部署模式下移动设备的初始化提供 策略的制定分发功能有用户管理，无 策略管理基于客户统一用户管理用户组的分配以及策略管理企业级移动设备 应用统一管理体系的承载企业级移动应用平台（）建设目标点 基线标准现有产品 /平台对 CMCC企业级移动应用平台支撑能力分析 现有相关平台 /产品对 EMASP建设目标的支撑能力较弱、差距较大，进而难以满足内外部服务的实际需求以及“一网多包”集中化建设模式下手机类服务包的要求 ； 中国移动企业级移动应用平台（ EMASP）需要按照各建设目标 /基线标准进行整体的设计和开发，从而能够产出支撑中国移动企业级移动应用体系的完整平台。 相关产品 / 平台对 EM A SP 整体建设目标的支撑能力分析05101520253035整体建设目标 / 功能从总体上分析： 现有有平台 /产品支撑能力与EMASP整体建设目标支撑需求之间的差距在 56.25%93.75%以上； 即： 56.25%93.75%的 EMASP平台的建设目标难以被现有各相关平台 /产品支撑和承载 相关产品 / 平台对 EM A SP 各建设目标的支撑能力分析051015P O S O 功能服务机制 移动应用安全基础体系 移动设备 / 应用统一管理体系EM A SP 建设目标 平台 / 产品 H 平台 / 产品 I 平台 / 产品 S 平台 / 产品 X 平台 / 产品 Y提纲 2.1、 企业级移动应用平台技术体系总体研究 2.2.1 企业级移动应用平台技术体系研究思路 2.2.2 企业级移动应用平台技术要素的细化 2.2.3 企业级移动应用平台的对标分析 2.2.4 企业级移动应用基础安全体系的研究和设计 企业级移动应用平台安全需求分析 企业级移动应用安全需求场景如下图所示 分析重点 针对智能终端面临的以上威胁，将针对以下重点内容进行分析： 1、智能终端安全性 2、保护与智能终端相关的连接 3、加密 EM Server与智能终端间传输的数据 4、保护应用服务器与 EM Server的安全连接 5、管理 EM Server的安全性 6、保护存储在 EM Server组织环境中的数据 A P P S e r v e r 1A P P S e r v e r 2A P P S e r v e r N. . .E M A S P S e r v e rF i r e w a l lW i r e l e s sN e t w o r kM o b i l e D e v i c e5 ， 61423I n t e r n e t企业级移动应用平台安全体系建立的目标 EM Server安全性 ： 安全连接： 智能终端安全性： EM Server安全特性 IT安全策略 访问允许列表 分段网络体系架构 数据安全保护 应用服务器数据安全 EM Server 配置安全 IT安全策略数据安全 应用服务器与 EM Server 安全连接 智能终端安全连接 智能终端和 EM Server之间直接连接 智能终端和 Internet、内部网、 WAP网关的连接 智能终端与 应用服务器的HTTP连接 智能终端高级连接安全 连接数据加密 本地安全 智能终端内存的安全操作 保护智能终端上的数据 保护丢失或被盗的智能终端 第三方扩展 保护第三方应用程序 保护 Bluetooth连接 保护 Wi-Fi连接安全 激活与注册 安全激活智能终端 智能终端证书注册 智能终端安全性 智能终端安全工作主要考虑智能终端本地安全，基于第三方应用程序、蓝牙、 WIFI技术的扩展安全以及激活与注册。 智能终端 本地安全 第三方 扩展安全 智能终端存储空间的安全操作 i. 内存数据分类保护 ii. 删除终端存储空间中所有终端数据、同时清除相关内存 保护智能终端上的数据 i. 加密锁定的智能终端上的数据 ii. 加密锁定的智能终端上的设备传输密钥 iii. 重置智能终端密码 iv. 保护智能终端上存储的密码 v. 加密存储在媒体卡上的智能终端数据 保护丢失或被盗的智能终端 保护第三方应用程序 保护智能终端的Bluetooth连接 保护智能终端的 Wi-Fi连接 i. 保护采用 Wi-Fi技术的智能终端和企业 Wi-Fi网络的连接 ii. 管理智能终端连接到 Wi-Fi网络的方式 iii. EM Server保护敏感的 Wi-Fi信息 iv. 使用 RSA身份