WAP渗入企业应用
WAP应用的接入方式
企业应用系统要支持WAP应用必须与中国移动和中国联通的移动网络建立连接。根据应用的安全性要求和数据流量,有以下两种接入方案可供选择。
1.基于互联网的接入方案
如图2所示,本方案适用于已经有基于互联网架构Web应用部署的中小型企业,企业只需在安装Web服务器的位置再设置一台WAP服务器即可(为了节约成本,WAP服务器甚至可以直接部署在Web服务器上),并不需要改变现有网络的拓扑结构,也不用关心用户的连接方式,企业并不参与中国移动(中国联通)内部数据网络与互联网的网络联接,具有投资省、部署快、易维护的特点。网络安全性依赖于与互联网相连的防火墙的可靠性,安全性能中等。
在这种方式中,企业员工无论使用GSM还是CDMA制式手机均可以访问WAP服务器,即使国际漫游状态也可以通过当地的2.5G(或2G)网络登录Internet访问企业的信息,WAP手机设置采用运营商提供的标准设置,具有较强的技术通用性。
GPRS与CDMA 1X配置相比,增加了APN (Access Point Name)接入点的设置。中国移动GPRS APN接入点有三种,分别为CMNET、CMWAP和企业专用APN。CMNET用于互联网接入(对应业务品牌是“随e行”),CMWAP用于手机上网(对应品牌有“MO手机上网”、百宝箱、彩信等),企业专用APN根据行业客户需求予以定制。而中国联通的CDMA 1X通过登录用户名来识别业务类型,WAP账号对应手机上网(业务品牌为互动视界,类似移动的“MO手机上网”),CARD对应互联网接入(业务品牌为掌中宽带,类似移动的“随e行”)、Mail对应MMS多媒体信息(业务品牌为彩e,类似移动的彩信)、Java对应游戏下载(业务品牌为神奇宝典,类似移动的百宝箱)等。由此可见,由于GPRS认证方式采用APN+用户名+密码,与CDMA 1X用户名+密码的认证方式相比具有更大的灵活性,能够有效地避免不同行业之间需要使用相同账号登录的问题,也使得业务流程更加清晰。
2.基于专线方式的接入方案
为便于描述,这里移动通信运营商以中国移动为例,如果采用中国联通专线接入方式需做适当调整。这里还可以分成两类:
(1)基于中国移动CMWAP方式的专线接入方案
如图3所示,本方案适用于对安全性能、访问质量要求较高的企业,企业通过数据专线与移动网络直接相连,WAP服务器的位置既可以安装在Web服务器一侧,也可以采取主机托管的方式部署在中国移动一侧。如果是后者,移动侧需要增加独立的WAP网关,企业现有网络需做相应调整。该技术方案具有安全性能高、访问速度快的优点,缺点是需要投资购买相关的网络连接设备以及承担专线电路租金,对于已经与移动网络相连的企业(如银行、邮政等)具有较强的可操作性。
企业内部Intranet网络
由于WAP网关直接与企业内部网络连接,而非公共IP地址,因此WAP手机需要根据具体的应用调整相应设置。用户通过CMWAP APN接入点登录GPRS网络,便可以快速访问企业内部WAP资源,但由于在移动侧未设置WAP手机登录限制,非企业内部用户也可访问企业内部网络。
(2)基于中国移动专用APN接入点方式的专线接入方案
如图4所示,移动公司为企业分配专用的APN,在关口GPRS支持节点(GGSN)网元上为用户设置一个专用的APN接入点,从而在用户使用的移动设备和企业内部网络之间构成一条无线虚拟专网(VPN)通道,解决了企业内部网络安全性及数据私密性的要求。移动运营商RADIUS服务器对移动用户提供的公司名(APN)认证; 企业RADIUS服务器对移动用户身份进行认证、授权。移动GGSN至WAP网关、企业接入路由器之间全程采用 GRE Tunnel(通用选路封装隧道),大大提升了系统整体的安全性和稳定性。此外根据企业的需求还可以在移动HLR (归属位置寄存器)上给手机号码和APN做绑定,只允许用户企业的部分手机号码能访问该企业的APN。
企业内部Intranet网络
本方案适用于对安全性能、访问质量要求非常高的大型企业,企业通过数据专线与移动网络相连,WAP服务器的位置一般部署在Web服务器一侧,企业现有网络与移动网络要做较大调整,需要有较高的技术维护和协同处理能力,系统具有安全性能高、访问速度快、业务扩充能力强等优点,缺点是需要投资购买相关网络连接设备、RADIUS认证服务器、承担专线电路租金、APN使用费(省域APN月租费1000~2000元/月,全国性APN根据企业网络规模和业务特点另行结算)和专业技术维护人员,对于有移动办公(OA、MIS等)、移动数据服务(移动ATM、无线POS、电力数据采集等)、集团专网接入需求的企事业单位(例如政府、工商、税务、公安、环保、银行、电力、烟草等)有较强的操作性。由于通过专用的APN,可以申请专用的GPRS套餐,享受较为低廉的资费标准,通过GPRS清单很容易区分员工上网类型(用于工作还是休闲娱乐),对于员工工作产生的GPRS费用采取集团付费的方式统一支付。手机用户登录GPRS网路,需要经过特定的系统设置之后方可访问WAP服务器。用户侧设置较以上两种方案繁琐复杂,但完全杜绝了普通用户对企业内部网络的访问,在网络接入层就实现了对手机用户的认证,而前两种方案只有在业务应用层才对用户予以认证。同时由于与互联网物理上完全隔离,企业内部网络杜绝了来自互联网的病毒入侵和黑客攻击,不受互联网的影响。
