一种移动互联网环境下的企业信息系统架构

技术领域

本发明涉及移动通信技术领域，具体地说是一种移动互联网环境下的企业信息系统架构。

背景技术

互联网、3G移动通信技术、移动终端快速发展，使企业信息系统的移动应用变得现实。移动企业应用可以推动企业扁平化管理和业务流程优化，从而显著提高企业管理效率，并促进企业商业模式、运营模式和管理模式创新，提高我国企业国际竞争力。业务的需求拉动和技术发展推动共同引发了企业部署能够运行在移动互联网环境下的企业信息系统的迫切需求。但是，移动办公需求对于企业信息系统提出了新的挑战：移动互联网要求企业信息系统部署在公网，但是企业主要信息系统出于安全考虑都是部署在内网，导致了可访问性和安全性的矛盾；传统面向PC的企业信息系统不适合移动终端的交互方式，面向移动终端的应用无法满足业务用户功能性需求，这导致了易用性和功能性的矛盾；传统的企业信息系统面向移动互联网改造成本较高导致了提高IT投资回报率与技术先进性的矛盾。

另外云计算的蓬勃发展也使得企业信息系统的部署环境更加复杂，越来越多的企业同时拥有部署在传统IT环境下的遗留应用、部署在私有化环境下的SaaS应用、部署在公有云环境的SaaS应用和通过专有集成通道的第三方系统集成应用。

针对移动户互联网和混合云计算的IT环境，都迫切需要一种能够满足企业信息安全性，信息可访问性，功能性，易用性和经济性的系统架构方法，从而使得企业能够以最小的成本应对IT环境的变化。

目前这方面的研究主要集中在IT基础设施构建（浪潮，华为，IBM，HP和Dell等硬件厂商为主导）、中间件平台研发（VmWare，Redhat, IBM等平台软件公司）和硬件设备的虚拟化（VMWare，EMC）上，而面向企业信息系统架构方面的研究还没有提出相对成熟的研究成果。刘海莲发表在《通信世界》上的研究“企业云环境搭建技术应用实践”重点是研究机房的云计算环境升级和网络质量的提升。中云网的研究“企业如何构建开放式混合云“提出了软件组件层面的层次结构，并没有涉及企业如何在这个通用的层次结构基础上架构适合混合云环境和移动互联网环境的企业信息系统。IBM在中国云计算大会上从方法论的角度探讨了如何搭建混合云应用系统，但并没有涉及具体的系统架构和功能组件方面的研究。

发明内容

本发明的技术任务是针对上述现有技术的不足，提供一种移动互联网环境下的企业信息系统架构。该方法使得企业能够保护遗留IT系统投资，平衡企业IT系统的安全性与系统可访问性需求，解决业务用户和管理用户在功能性和易用性上的矛盾，帮助企业以较低的成本实现信息系统在技术和信息消费方式上的升级换代。

本发明的技术任务是按以下方式实现的：一种移动互联网环境下的企业信息系统架构，其特点是：

在公网部署有服务网关,所述服务网关用于在硬件和软件层面实现公网环境系统和内网环境的企业信息系统的隔离；

通过适配器组件实现遗留系统的业务逻辑复用以及混合部署环境下的技术和业务适配；

分离移动终端界面和面向业务操作的PC终端界面，并通过面向移动终端界面配置字段默认值和根据业务逻辑自动计算的方式提高移动终端访问信息系统的易用性，并保持业务操作用户的功能性需求；

在服务网关通过安全配置策略进行服务网关转接内网遗留系统的安全性控制，在保证信息安全的同时使得移动终端能够通过服务网关访问部署在内网业务信息。

所述服务网关包括HTTP访问请求接入层、服务访问控制与调度适配模块及通信适配器框架：

HTTP访问请求接入层用于接受http请求，并把请求数据转换为下层能够识别的数据；

服务访问控制与调度适配模块用于请求的访问控制和安全管理，并把有权访问的请求进行服务调度和数据适配；

通信适配器框架用于在技术层面和通信层面进行适配。

作为优选，服务访问控制与调度适配模块包括：

1）会话与访问控制组件：用于验证客户请求是否由一个授权的用户发起，并处理可能的会话数据缓存，授权验证通过后会根据安全配置策略检查是否符合额外的访问控制策略，完全通过的请求继续后续处理；

2）服务路由组件：用于根据注册的系统信息和注册的业务服务找到应该调用的内部管理信息系统的API；

3）数据适配组件：进行实际调用内部的管理信息系统的业务API之前的数据适配，包括默认值补充，计算字段的逻辑运算和API调用的输入输出参数匹配。

所述会话与访问控制组件包括访问控制扩展插件。如果安全配置策略不能满足灵活安全控制的需求，还可以通过访问控制扩展插件进行进一步的检查。

作为优选，数据适配组件通过在数据层和API调用层提供面向不同技术的适配器的方式实现针对不同系统的技术调用。

与现有技术相比，本发明的移动互联网环境下的企业信息系统架构通过服务网关解决了移动互联网环境下企业信息系统数据安全性和可访问性的矛盾，并为混合云环境下的复杂企业信息系统架构也提供了指导作用；通过移动终端和面向业务用户的展现层分离，利用字段默认值和字段计算逻辑简化移动终端操作，并复用后台业务逻辑解决了移动应用的易用性和面向业务用户应用的功能性的矛盾；通过部署在服务网关上的软件层面的安全配置策略和访问控制扩展逻辑强化了网关对与请求转发接入内部服务器的安全控制，提高了内部系统的安全性，为企业移动应用奠定了基础。

具体来说，具有以下突出的有益效果：

（一）提出了通过部署在公网的服务网关实现内网敏感信息隔离和移动终端通过公网访问企业信息系统的方法，并设计了服务网关的功能组件，即：通过引入服务网关作为移动互联网环境下的移动终端访问企业信息系统的统一入口。通过服务网关访问部署在内网的遗留系统和私有云环境的SaaS服务、部署在公有云的SaaS服务和其他第三方服务。通过服务网关实现内外网隔离、访问控制、服务适配、服务调度、服务组装，并解决了移动应用和遗留应用在技术和消费模式上的差异。

（二）提出了通过在服务网关服务器上部署适配器访问遗留系统，从而降低遗留系统技术的改造成本，实现移动终端也能够通过服务网关转接访问遗留信息的业务信息，即：通过部署在服务网关上的面向不同技术和集成方式的适配器将复杂部署环境的企业信息系统统一以Web服务的方式面向移动终端或者其他终端提供业务信息和业务服务，降低了遗留系统的改造成本和复杂系统的基础成本，延续了遗留系统的服务期限，并从消费模式和访问技术上实现了系统升级改造。

（三）针对移动终端人机交互能力弱和界面展现能力有限的特征，考虑到移动应用一般以简单信息录入、简单系统操作（如审批）和综合信息查询为主，而企业信息系统主要满足大量业务用户日常业务处理，简单的交互无法满足业务用户对于系统的功能性要求，提出了分别提供面向管理层和一般用户的移动终端界面和面向业务操作的PC终端界面，以PC终端界面为基础并通过配置字段默认值和根据业务逻辑自动计算的方式配置移动终端界面，从而保证PC界面的功能性需求，同时简化移动终端的交互，即：移动应用复用已有信息系统的业务逻辑代码，移动应用只需要提供有限的功能按钮和输入字段，其他业务信息通过业务规则计算或者配置默认值的方式提供，从而解决了面向业务用户和面向移动终端应用在功能性和易用性上的矛盾。

（四）提出了在服务网关通过安全配置策略进行服务网关转接内网遗留系统的安全性控制，在保证信息安全的同时使得移动终端能够通过服务网关访问部署在内网业务信息，即：在服务网关本身的身份验证和内外网通过双网卡进行隔离的安全措施基础上，在服务网关转接部署在内网的信息系统的业务逻辑时，通过安全配置策略或者访问控制插件还可以实现更加严格和灵活的安全控制，从而保障在混合部署环境下企业信息系统的安全性，有效平衡系统可访问性和系统安全性的矛盾。

附图说明

附图1是本发明方法中移动互联网环境下的企业信息系统架构图；

附图2是本发明方法中服务网关的功能组件和逻辑架构图。

具体实施方式

参照说明书附图以具体实施例对本发明的移动互联网环境下的企业信息系统架构作以下详细地说明。

实施例：

本发明的移动互联网环境下的企业信息系统架构如附图1所示，其具体内容包括：

针对移动互联网的环境，移动应用为了适应移动设备的交互能力和界面展现能力的要求，提供简化的功能和简单的信息输入。用户的操作和输入通过移动通信网络发送给服务网关，通信接入层提取面向应用层的数据，在进行必要的身份验证后，检查是否符合额外的安全配置策略或者是否符合额外的安全控制逻辑检查，并通过配置的字段默认值或者挂接的计算逻辑插件对于后台系统需要的额外信息进行补充，然后基于服务配置和路由确定应该把请求发送给部署在内网环境的哪个服务器以及调用哪个应用。如果后台系统不是以Web服务的形式对外提供服务接口，则通过适配器框架进行编程技术层面的适配，使得服务请求能够正确的被处理。服务网关根据IP地址通过连接内网的网卡和部署在局域网内的私有云系统或者遗留系统进行服务或者应用程序调用，返回结果经过适配器进行反向适配后返回给终端进行显示。

如果移动终端需要访问的系统是部署在公有云环境的SaaS应用，则服务网关使用连接公众网络的网卡与公有云服务进行服务调用并返回结果给终端。通过服务网关实现了额外的安全控制、统一的服务路由和调度，以及面向移动应用的额外信息补充。在本发明的系统架构下，移动终端能够以统一的方式访问混合云部署环境的各种企业信息系统，满足用户对于企业业务信息随时随地访问的需求，同时已有系统技术改造或者适配集成的成本较低，能够有效保护遗留系统的IT投资。

针对混合云环境，部署在公有云上的SaaS应用需要和部署在公司内部局域网的私有云应用或者遗留传统IT系统进行业务集成时，同样把服务请求发送给服务网关。服务网关在进行额外的访问控制检查后，根据服务路由将请求转发给内部的信息系统，当内部系统只提供API或者数据接入时，适配器进行技术适配，最后的调用结果返回给公有云的SaaS应用。通过被发明的企业信息系统架构，能够在不对传统系统进行大的技术改造的情况下，实现混合云部署环境的各种业务系统集成和信息融合，满足企业全面的信息集成和部署环境多样性的需求。

在上述架构的基础上，对于服务网关的功能组件进行了设计。服务网关的功能组件和逻辑架构如附图2所示。

一、HTTP访问请求接入层：考虑到服务网关接入各种终端的需求，服务网关统一使用HTTP协议对外进行服务调用。该组件的主要功能就是接受http请求，并把请求数据转换为下层能够识别的数据。

二、服务访问控制与调度适配：该部分主要进行请求的访问控制和安全管理，并把有权访问的请求进行服务调度和数据适配。该部门有三个主要功能构成：

1)  会话与访问控制：该组件验证客户请求是否由一个授权的用户发起，并处理可能的会话数据缓存。授权验证通过后会根据安全配置策略检查是否符合额外的访问控制策略。如果安全配置策略还不满足灵活安全控制的需求，还可以通过访问控制扩展插件进行进一步的检查。完全通过的请求继续后续处理。

2)  服务路由：该组件根据注册的系统信息和注册的业务服务找到应该调用的内部管理信息系统的API。

3)  数据适配：该组件进行实际调用内部的管理信息系统的业务API之前的数据适配。这些适配包括默认值补充，计算字段的逻辑运算和API调用的输入输出参数匹配。

三、通信适配器框架：该组件主要在技术层面和通信层面进行适配。部署在私有云环境或者传统IT系统的应用在技术实现方式上可能存在差异，提供的集成调用方式也存在差异。本组件通过在数据层和API调用层提供面向不同技术的适配器的方式实现针对不同系统的技术调用。

上述服务网关，其硬件是一台能够处理http请求的Web服务器，服务器的硬件指标取决于企业介入的终端数量，并发数目和数据量。在数据访问量大的情况下，可以通过服务器集群加上前置负责均衡设备的方式提供横向扩展能力。