1.1. 系统描述

公安信息移动接入及应用系统我们通常称为移动警务系统，是公安信息综合业务系统的无线延伸，依托公用移动通信网络（GSM/GPRS/CDMA/3G）为通道，以便于携带的手机、PDA、笔记本电脑为终端，通过多媒体（包括文本、图片、语音、视频等数据）形式，在保障安全的前提下，实现公安综合业务信息的无线沟通和无线传递,使公安信息能够覆盖凡是移动通信网络通达的任何地方，达到公安部“三A”要求，即：任何地点，任何时间及任何方式都能够保障信息畅通，是金盾工程的重要建设内容之一。

公安信息移动接入及应用系统是科技强警的具体体现。系统投资经济、应用广泛，既可以通过支持GPRS/CDMA/3G无线传输功能的智能手机、PDA和笔记本电脑，实现实时在线的综合查询和业务处理；也可以利用现有装备更换一枚安全手机卡,为每个公安干警提供移动警务信息服务。系统可使公安干警如虎添翼，大大提升工作效率，在维护治安、震慑犯罪、服务百姓等方面发挥巨大的作用。

整个体系可分为移动接入安全平台、移动警务应用平台（即移动接入应用平台）以及移动警务信息管理平台三部分。 

1.2. 系统应用形式

1、应用方式：

GPRS/CDMA/3G实时在线应用

无线笔记本实时在线应用

2、安全接入方式

GPRS/CDMA/3G安全接入

IP 安全接入

3、支持终端类型

智能手机、PDA

无线笔记本

2. 系统总体架构

2.1. 系统组成

公安移动接入及应用系统由移动终端、移动通信网络、移动接入网、网络安全隔离层、公安信息网等五大部分组成。

图1 公安信息移动接入及应用系统组成示意图

2.2. 系统总体架构

图2 公安信息无线接入及应用系统总体架构

第一层是终端接入层：包括公安信息移动应用所使用的普通手机、智能手机、PDA、车载移动设备、便携电脑等各种移动终端设备。

第二层是移动通信网络：指运营商的GSM、GPRS、WCDMA等无线通信网络。

第三层是移动应用接入平台，负责警务移动终端的安全接入，同时将移动终端的各种业务请求传递到接入网的应用服务平台，并转换成网络安全隔离设备要求的数据格式，提交给网络安全隔离设备，进入公安内网的应用服务平台实现直接访问服务，同时还提供身份验证、安全审计、防病毒、入侵检测等网络安全服务。

第四层是放在移动接入网内的移动应用服务平台，位于网络安全隔离层外，由网络安全隔离数据接口、移动接入服务平台数据接口、统一移动终端验证、用户身份认证代理、数据包封装/解析、会话管理、安全审计、数据接口、服务接口、系统管理等功能模块构成，负责处理来自移动接入平台的移动应用请求的转递和应答。

第五层是网络安全隔离层，它使得公安信息网与移动接入网在任何一个时刻都不会直接相互连接。它在实现公安信息网和移动接入网的隔离的同时，还负责公安信息网和移动接入网之间的数据传递和转发。

第六层是放在公安信息网内的移动应用服务平台和移动数据同步模块。位于网络安全隔离层内，移动应用服务平台响应并处理来自移动接入网的移动应用请求，移动数据同步模块向外网应用数据库提供数据。移动应用服务平台依托各类公安信息应用系统，共同完成各种移动业务的处理。公安信息移动接入及应用系统也可通过请求服务或者数据接口的方式获得公安信息网内已有应用系统的服务支持。

第七层是应用支撑平台，它是面向应用程序的，是为应用系统提供运行环境。应用支撑平台中的认证系统对用户提供统一认证，实现一点登录全网漫游。

第八层是系统运行环境：包括计算机网络、主机、数据库、应用中间件环境，它为公安公网移动接入及应用系统提供了物理上的保证。

图中左、右、中三部分分别为安全保障体系、运行管理体系和标准规范体系，它们始终贯穿于该图的各个层面。对各层面的访问操作、运行管理、开发设计进行有效的控制和规范，保证和维护各个层次正常有序地工作。

2.3. 系统接入模式

A模式：移动应用所需的数据放在移动接入网内，移动终端只能访问移动接入网内的数据，移动接入网数据通过数据同步更新机制完成数据更新；该模式有较好的系统响应性能。

图3 A模式应用示意图

{$PAGE$}

B模式：移动应用所需的数据放在公安信息网内，移动终端通过访问移动接入网内的应用代理服务器，获得数据服务；应用代理服务器通过网络隔离设备访问公安信息网；该模式提供信息的新鲜度比较高，应用范围大，它实时获取公安信息网内的数据，通过移动终端采集到的业务数据也能够及时提交到公安信息网内数据库。

图4 B模式应用示意图

　　2.4. 系统网络拓扑

公安移动警务安全接入及应用系统的网络拓扑结构如下图所示：

图5移动警务系统网络拓扑图

移动警务安全接入和应用设备包括移动终端与安全组件（安全智能TF卡、USB安全存储加密卡）、防火墙、接入网关群组、B/S应用管理系统、B/S应用代理系统、设备证书管理中心、鉴别评估管理系统、隔离网闸、监控管理探针、监控管理与级联系统、移动应用服务器和数据应用代理系统。上述设备分为移动警务安全接入设备和移动警务应用设备（主要指移动应用服务器等设备），其中安全接入设备又分为专用安全设备和通用安全设备。

专用安全设备包括终端安全组件、接入网关、B/S应用管理系统、B/S应用代理系统、鉴别评估管理系统、监控管理探针、监控管理与级联系统等。其中，终端安全组件、接入网关、鉴别评估管理系统等所有专用安全设备必须遵循公安部科技信息化局的相关技术规范，并通过公安部科技信息化局的认可和备案。

通用安全设备包括防火墙、设备证书管理中心、隔离网闸等，这些设备必须获得计算机信息系统安全专用产品销售许可证或相关认证。

2.5. 系统应用示意

图6移动警务系统应用示意

首先，配置了安全加密卡和安装了安全客户端的各类移动终端通过移动通信网络以不同的通信方式（GPRS/CDMA/3G）通过终端发送链接请求；

安全接入网关在收到终端的连接请求后，在安全认证管理服务器的配合下对移动终端进行身份认证；

终端身份认证通过后，安全接入网关与移动终端协商会话密钥（即本次通信采用何种加密算法，通常采用国密算法SM1。）；

密钥协商完成后，安全接入网关建立了一条移动终端到应用服务器之间的加密安全通道；

通过部署在应用服务器的各类应用服务模块，移动终端和应用服务器之间实现了数据的安全通信和传输。

3. 系统功能描述

整个系统分为移动警务安全接入平台、移动警务系统应用平台、移动警务信息管理平台三部分。

3.1. 移动警务安全接入平台

移动警务作为公安这一特殊行业信息的移动应用，保障其信息传输的安全是系统建设的首要条件。公安部公金盾［2004］240号《关于做好公安信息移动接入及应用系统安全建设的通知》明确指出：“公安信息化和公安工作的特点决定了公安机关建设公安信息移动接入及应用系统的必要性，要建设移动接入及应用系统就必须解决好安全和加密问题。”

图7公安信息公网移动接入安全体系架构

3.2. 移动警务应用平台

移动警务系统的终端应用系统由智能手机/PDA GPRS/CDMA/3G在线应用子系统和笔记本终端在线应用子系统组成。智能手机/PDA GPRS/CDMA/3G在线应用子系统主要包含综合查询、交通违法录入与处理、社区警务、GPS定位、系统功能等模块。

3.3. 移动警务信息管理平台

移动警务后台管理主要通过移动警务信息平台来实现对移动警务系统的统一管理和日常维护，是移动警务平台的重要组成部分。主要包括警员管理、警务通卡管理、权限管理、统计报表、日志查看、系统配置、报表统计、密码管理及扩展功能管理等。