1 引言
随着新一代移动警务建设方案的发布,全国公安系统移动警务业务进入新一轮的建设周期。按照新的建设要求,实现了公安信息网、互联网、视频网、物联网及政府其他专网数据的互联互通,为移动警务应用融合发展、提升基层民警应用体验奠定了基础。但可用资源的增加,尤其是跨平台资源整合,使得应用建设、服务管理工作变得空前复杂。
在广西新一代公安移动警务建设实践中,根据移动警务技术架构和管理需求,结合广西移动警务业务开展特点,在构建移动警务应用支撑环境过程中,遵循总体技术方案的指导精神在建设理念、管理模式、功能机制等方面进行了一系列的创新尝试,攻克了建设过程中的一系列关键技术难题,创新实践了应用跨区域的服务总线技术整合各个平台资源,为移动警务应用开发、部署、使用、运维提供便捷、易用、可管理的可行途径。
2 创新平台理念
以服务总线为承载基础,以微服务为核心思想,构建了广西新一代的跨区域统一应用支撑服务的集成平台——移动服务总线(MSB)。管理支撑、运行支撑及基础共性应用均作为微服务注册在MSB上,面向不同类别移动应用提供统一的支撑服务。MSB具有以下的特点:
图1移动服务总线(MSB)
首先,MSB跨公安信息网服务子平台、联网服务子平台和移动互联网服务子平台多个区域部署,形成跨区域的统一支撑服务平台,服务平台在公安信息网内实现了统一管理、策略下发,在各区分别执行,形成“集中管理、分布执行”的统一管理框架;
其次,MSB以总线机制为服务提供了统一的注册访问机制,对复杂的支撑环境进行解耦,以松耦合方式构建了基础应用支撑环境,为未来扩充支撑服务提供了开放的技术架构体系;
第三,MSB以标准服务的形式,封装了平台内部各项安全、管理等服务的复杂技术实现,面向应用开发者提供统一的支撑服务界面,降低了应用开发的技术门槛。
3 创新功能机制
MSB中除了按照总体技术方案的要求提供管理支撑服务(应用开发资源、移动应用发布等)和运行支撑服务(统一认证授权、信息资源服务、应用监测评估等)之外,还提供了一系列在移动警务应用运行过程中必要的基础共性服务,丰富了移动警务支撑服务体系。
一是跨区数据交换服务。实现了跨区域数据指令、数据文件的交换路由及传输服务,为所有应用数据的传递提供数据交换路由服务。通过此服务,一方面有效的隔离了跨区域直接访问的渠道,形成了应用信息资源跨区安全传输的基本控制框架;另一方面屏蔽了跨区域数据交换的复杂技术实现,以Https标准服务形式,向移动应用和支撑环境中的各项服务提供了标准化的跨区域数据交换接口,从而有效降低了应用跨区域数据交换的开发复杂度。
数据安全交换的逻辑架构包括三层:接口层、组件层、消息层,具体如图2所示:
图2 数据安全交换的逻辑架构
接口层是交换平台与其他系统交互的门户,包括应用服务接口、应用服务信息同步接口、访问策略同步接口、文件传输指令接口。通过此层,大量提供了面向应用服务的能力,实现了简化应用适配工作,提高应用上线速度的效果。
应用服务接口用来代理转发各种应用服务请求,可适配常见的https、webservice等多种接口协议,并且可以根据应用的需求进行非标准协议适配。以此来实现数据交换能够获取到业务的请求,为后续的路由转发、安全审计、服务控制提供行为依据。
应用服务信息同步接口用来同步应用服务的基本信息,此信息可以从应用系统或应用支撑信息获取。当信息发生变化需调用此接口,应用信息包含应用服务的ID、IP、端口、所属区域等信息。
策略信息同步接口功能是同步策略信息,触发条件与应用信息相同,控制策略为访问权限控制,同时支持动态扩展。
文件传输指令接口主要针对有文件传输的请求,及当有应用服务有文件要上传下载时,可先通过此接口将要上传下载的文件搬运到指定位置,再通过应用服务接口获取要上传、下载的文件。此接口主要是避免通过https协议传输大文件,而采用文件专用的sFTP协议来传输文件,保证文件传输的稳定性、高效性、安全性。
组件层是交换平台业务处理的核心层,接口层与消息层的业务实现都需要依赖该层的组件,其核心价值是高度关联业务,基于数据路由能力,实现了整个数据传输的平台化,提高传输效率;基于消息队列机制,实现了业务请求与回复的确认,保证了业务的连续性和传输的稳定性。
协议转换组件主要用接口接到数据后的拆包与封包工作,为上层接口层提供下层消息层的内部沟通协议,以私有协议的机制保证安全性。
身份认证组件是对每个访问数据交换平台进行身份确认(白名单方式),身份不合法的,拒绝请求服务。
访问控制组件根据解析的策略信息,对应用之间的访问方式做出控制,如果有不符合策略的访问行为,则终止服务。
文件传输组件包含了sFTP服务,配合文件指令传输接口使用,使文件可通过专用的协议快速传输,文件操作组件功能是可以快速实现文件的新建、修改、删除、拷贝等操作。
路由转发组件主要为接口层与消息层服务,分析接口层获取到的应用信息与请求参数信综合分析,确定消息的种类与方向。消息服务总线根据消息的种类与方向,对数据进行具体的传递动作。
协议代理组件根据协议类型,实例化出不同的协议引擎,向目标应用服务发送请求,并带回返回值。
资源初始化组件是交换平台的基础,比如应用信息、策略信息、参数信息等资源在平台启动时就已经加载自内存,当资源信息发生变化时,也会实时更新内存。
消息层主要是边界系统对接,借助边界系统打通两个区域交换平台的消息通讯,消息按种类分为外部应用服务请求消息和内部资源信息同步消息两类,按动作分又可分为收消息和发消息两个动作,消息层支持常用的FILE、JMS传输方式,也可以根据业务的特点灵活的切换不同的协议,来满足业务需求。
二是移动互联网定位服务。该服务部署于联网服务子平台,通过移动互联网资源安全代理,使Ⅱ类应用的后台服务器可以获取互联网资源;目前在受控条件下已实现了II类系统服务调用高德地图资源实现相应的系统功能。
三是跨区消息推送服务。该服务部署于联网服务子平台和公安信息网服务子平台,向全网移动警务应用提供统一的消息推送服务,实现了公安移动专网(VPDN/APN)条件下的消息推送和应用唤醒。通过消息推送服务,解决了由于由安卓系统杀灭移动应用引发的消息无法及时送达问题,为提升公安移动应用交互体验打下了良好基础。
四是具备全业务流程审计能力。所有应用向后端发出的请求及返回接收的数据,全部要通过MSB进行流转,同时通过管理规定要求应用在使用MSB请求服务时必须携带由用户、终端、应用等信息组成的令牌(token)。用户的每一个交互操作都会在MSB中生成一条包含时间戳、token、请求内容、返回数据的日志记录,实现全业务流程审计。另,由MSB审计日志中记录了返回数据,通过MSB的基于内容的检索功能,能够实现根据泄漏数据精准倒查泄漏源头。
4 探索应用新模式
基于新的移动警务应用支撑环境,迁移或新建了部分典型应用。在迁移(建设)过程中,不断完善了支撑服务,使平台中各项服务在实践中得到了检验;另一方面,也通过这些典型应用对迁移已有应用和新建应用的应用建设模式进行了探索,积累了宝贵经验。
一是建设综合性的“八桂警信”应用,满足民警迫切需要的业务协作和信息交流的需求。该应用为覆盖Ⅰ、Ⅱ、Ⅲ类应用的即时通讯平台,同时为民、辅警及协防人员提供安全、即时、可靠的交流平台。解决了当前基层单位大量使用微信、钉钉等互联网工具进行行政管理、业务协作、消息通讯等可能造成的泄露警务秘密的重大问题。此系统使用支撑环境中的统一认证、数据交换等基础服务,在保证安全的前提下,快速完成了系统改造和部署,目前已经进入试用阶段。
二是基于新一代移动警务Ⅱ类应用改造指挥调度系统。原移动警务建设的指挥调度系统,因网络架构限制,在实际使用过程中,频现定位慢、精度低、地图质量差、不能很好的利用视频资源、稳定性差等问题,在实战应用中作用有限。按照Ⅱ类应用系统改造后,利用支撑环境提供的移动定位、消息推送、数据交换等基础服务,解决了地图定位、交互及时性、稳定性等问题,极大的提高了系统服务能力,及易用性,能够更好的服务于公安实战。
通过广西新一代公安移动警务平台一期的建设落地和典型应用的建设,初步构建了多区域融合的基础平台框架和统一的应用支撑服务框架,构建了广西新一代移动警务应用支撑体系,为各类移动应用提供了统一的支撑管理服务,验证了新一代移动警务建设方案的可行性,为下一步移动警务发展和移动应用推广建设打下了良好基础。
参考文献
[1]喻波,何晋昊,蒲鹏飞.新一代移动警务平台建设经验分享[J].警察技术,2018(1):41-44.
[2] GA/T 1375.1-2017资源服务总线 第1部分:体系架构.
[3] GA/T 1375.2-2017资源服务总线 第2部分:技术要求.
[4] 黄小锋,张晶.微服务框架介绍与实现[W].电脑与信息技术,2016-12.
[5] 龙新征,彭一明,李若淼.基于微服务框架的信息服务平台[W].东南大学学报(自然科学版),2017-11.
[6]王紫瑶等.SOA核心技术及应用.北京:电子工业出版社,2008.
环球新时空
斗室智库