3.交换方式
移动警务安全边界接入平台为了实现公安移动信息网与公安信息网、视频专网、互联网服务子平台等不同安全等级网络之间的边界隔离与数据交换,主要提供
数据交换、请求服务和授权访问三种交换模式。
一类应用禁止使用访问代理模式实现对公安移动信息网资源的访问,一类应用不能直接使用公安信息网资源,应通过二类系统的接口服务间接使用公安信息网资源,在调用服务时应同时传递应用身份信息以及终端用户身份信息。原则上,公安信息网资源的访问只能使用规范的数据交换、数据请求服务两种方式,禁止使用资源重定向功能,禁止使用网络代理。
3.1数据交换服务
数据交换服务,在网络隔离之上的数据交换,适用于非结构化、非实时、大规模、批量化的数据共享交换,包括数据库、文件、消息队列等集中形式,如图3.1所示。
图 3.1 数据交换工作模式组成结构
工作在OS一七层模型,利用了第6-7层的数据表示(文本、XML、数据库等)和应用协议(FTP、数据库、消息队列等),并建立了特定的协议流程。
3.2 数据请求服务
数据请求服务适用于结构化、接近数据库第三范式的,需要实时响应的跨部门或跨网络区域之间的数据访问、数据共享,如图3.2所示。
图 3.2 数据请求服务工作模式组成结构
工作在OS一七层模型,利用了第5-7层的会话管理(Sess一on一D、Token)、数据表示(SOAP、XML、JSON等)和应用协议(HTTP/HTTPS),并建立了特定的协议流程。
按照移动信息资源服务子系统(服务总线)的要求,实现管理、服务和安全功能。
数据请求服务系统集中管理对外发布的数据库和接口资源,各应用根据需要向科信处申请所需资源。
3.3 授权访问服务
授权访问工作模式在相互隔离的网络之间,通过网络隔离设备和代理设备,实现网络之间各类应用资源服务的访问,如图3.3所示。
图 3.3授权访问工作模式组成结构
包括应用资源服务、网络传输服务和网络路由服务几种访问模式。分别位于OS一七层模型的应用层(5-7层)、传输层(4层)、网络层(3层)。
按照移动信息资源服务子系统的要求,实现管理、服务和安全功能。
根据安全强度对网络边界进行安全等级划分,不同等级采用不同的安全技术。Ⅰ类、Ⅱ类、三三类应用应按照要求采用相应的隔离交换应用模式。
4.业务场景实例
以下列举了典型的应用应用访问场景和资源共享场景,在实际移动应用实现中可以是单一访问场景与若干资源共享场景的组合应用,以综合利用各种资源。
4.1移动应用访问各区域资源
(1)公安信息网移动应用(三类应用)
用户通过移动安全接入子平台访问公安信息网内应用
三类应用的服务器在公安信息网,要保证应用能够正常使用,需要在手机端通过后台应用(安全客户端)经由联网服务子平台,成功与移动安全接入子平台的安全设备(VPN网关)建立可信的加密通道,最终到达公安信息网的目标服务器;在移动安全接入子平台中,要求使用请求服务的交换方式,病由科信处统一提供接口,各应用开发单位按照规范对接口进行改造适配改造,具体改造参考节点二“应用接入准备工作与步骤”。
三类应用的服务端需要将客户端用到的接口或数据库注册到数据请求服务系统统一发布,客户端调用数据请求服务接口进行统一访问,不允许通过授权访问(端口映射)的形式访问。
针对HTML5三类应用客户端可以通过三种方式接入:
-
将应用打包成APK,通过数据请求服务访问公安网资源。
-
在移动安全接入子平台部署落地服务,将静态资源部署到落地服务,落地服务器通过数据请求服务间接访问公安网资源。
-
将应用降级为二类应用,在联网服务子平台部署服务端,服务端通过数据请求服务间接访问公安网资源。三类应用降级为二类应用之后数据传输将不走加密通道,存在一定的安全隐患,需要应用主管部门严格审核确认。
(2)公安移动信息网应用(二类应用)
用户访问联网服务子平台应用
二类应用的服务器部署在二类区(联网服务子平台),要保证应用能够正常使用,移动端通过移动PK一数字证书统一认证,统一认证通过后可直接访问到二类区应用服务区的目标服务器。
(3)跨平台移动应用(地市访问省厅二类应用)
用户经过本地联网服务子平台,访问其他联网服务子平台应用
省厅或各地市用户要想使用对方二类应用,首先需要保证双方联网服务子平台已联通,然后需要通过各自的无线传输网,接入己方联网服务子平台,经过联网服务子平台的统一身份验证后,即可访问对方联网服务子平台中的目标应用服务器。
(4)视频专网资源共享移动应用
用户经过联网服务子平台,访问视频专网等网络内应用
需要与视频专网进行数据交换的视频类应用,要保证应用能够正常使用,移动端通过移动PK一数字证书统一认证,统一认证通过后可经由联网服务子平台的视频专用隔离交换区,到视频专网,实现视频回传;视频类应用要想正常访问视频专网,需要向科技信息化处提出申请,告知业务使用的协议,对相关协议授权后才可正常使用。
(5)互联网移动应用(一类应用)
用户访问移动互联网子平台内应用
一类应用通过互联网接入移动互联网服务子平台,经由实名认证服务器认证通过后,即可正常使用。一类应用可通过请求服务或文件交换的方式,实现对移动信息网的服务资源的访问或公安信息网的间接访问。
4.2各区域服务资源共享
(1)联网服务子平台与公安信息网资源共享
联网服务子平台中的应用经过移动安全接入子平台,采用数据隔离交换方式,与公安信息网实现数据交换,数据隔离交换分为文件交换和请求服务,文件交换可采用FTP进行文件交换,请求服务采用WebService接口,保证内网数据不直接对外暴露。
例如:某二类应用需要将公安网某ftp服务器的一个黑名单文件拉取移动信息网服务器再同步到移动端,同时移动信息网服务器将移动端采集到的违法信息通过文件形式反馈到公安网指定ftp服务器。
数据采集接入方式:二类区服务端通过ftp方式把文件上传到安全接入子平台前置机,通过http协议向前置机发送控制指令把文件摆渡到公安网ftp服务器。
数据拉取接入方式:在三类区服务器通过ftp方式把文件上传到安全接入子平台数据后置机,通过http协议向后置机发送控制指令把文件摆渡到移动信息网。
(2)联网服务子平台共享移动互联网资源
通过移动互联网隔离交换设备的接口服务和接口管理对一类资源的访问请求做权限控制和业务对接,接口服务和接口管理通过双单向隔离光闸进行私有协议的通信。
(3)跨平台资源共享
联网服务子平台中的应用,通过联网控制区的边界防护设备,访问其他联网服务子平台资源服务,实现资源共享
5.管理责任
在日常维护和责任分工方面,省厅科信处负责管理平台核心数据交换部分及网络设备、安全设备(如:防火墙、安全网关,数据交换系统设备,核心交换机等)的维护,确保平台内安全设备、网络设备和数据交换系统的正常运行,保证数据安全、完整地从各区域数据资源通过数据交换设备请求到公安信息网资源,应用商负责对接入业务设备维护。确保数据资源服务设备正常运行。
二.应用接入准备工作与步骤
1.文档资料准备工作
1.1.对接规范
根据申请表中的接入方式参考下列规范要求:
1.《数据请求服务外挂接口改造规范》
2.《数据请求服务外挂接口调用文档》
3.《文件交换请求使用手册》
5.《文件交换请求外挂接口调用文档》
6.《移动警务集中管控应用日志接口规范》
第三方应用商要根据应用服务接入方式务必如实填写、签名和盖章后送交科信处。
2.外挂系统接入前准备
接入前,第三方应用商应先准备好相关服务器设备(虚拟云),并做好数据交换软件环境准备工作。根据规范要求数据交换方式分为
请求服务(WebServ一ce/JSON/JSON-RPC),
数据摆渡(FTP文件交换),
授权访问(资源服务http/WebServ一ce/JSON-RPC/TCP)
如使用请求服务中的数据请求服务接口方式,应用服务端应参照
《数据请求服务外挂接口改造规范》进行接口改造,改造完成后将接口信息进行登记,待接口开通之后客户端参照
《数据请求服务外挂接口调用文档》进行接口调试。
如使用请求服务中的数据库接口方式,第三方应用商必须在目地数据库新建一个数据库用户交给交换平台使用(按业务要求提供:建表、插入、删除、查询、新建索引、触发器),只将需要访问的表进行授权,并将数据用户名,密码,和需要访问的表进行登记,待接口开通之后客户端参照
《数据请求服务外挂接口调用文档》进行接口调试。
如使用数据摆渡中的数据交换服务 ,如使用文件同步数据交换模式,应用系统主管部门须对内网服务器用于数据交换的目录开放FTP(所建FTP用户必须对所监控的目录有读、写、删的权限),并将FTP用户名和密码进行登记,待交换系统开通之后,根据
《文件交换外挂使用手册》要求,使用
《文件交换请求外挂接口调用文档》进行调用
。
如使用授权访问中资源服务和传输服务,根据
《公安厅移动警务跨区域边界接入申请表》填写。
上述依据根据《移动警务边界隔离交换应用模式表》进行部署,如图所示:
第三方应用商须定期对服务器(物理或虚拟)进行巡检和维护,及时该服务器(虚拟云)病毒库、系统补丁等进行更新。如出现与平台相关的系统故障、安全事故,应及时安排专人配合平台管理单位进行日常维护和故障排除工作。
广州软件开发公司业务咨询卢先生 手机18998818351 售后服务热线:020-22076940
