- 相關(guān)推薦
企業(yè)iOS移動(dòng)設(shè)備管理(MDM)的研究與實(shí)現(xiàn)
摘 要:近年,移動(dòng)智能終端在企業(yè)信息化進(jìn)程中得到迅速的普及和應(yīng)用,提高了企業(yè)辦公效率,但也引發(fā)了一系列安全問題。企業(yè)移動(dòng)設(shè)備及應(yīng)用的管理已成為迫在解決的問題。本文對該問題所涉及的的兩大核心技術(shù)進(jìn)行了分析;對研究問題進(jìn)行剖析,提出解決方案,并最終加以實(shí)現(xiàn)。
【關(guān)鍵詞】移動(dòng)互聯(lián) 企業(yè)信息化 iOS APNS MDM
1 前言
隨著移動(dòng)互聯(lián)的快速發(fā)展,同時(shí)iOS操作系統(tǒng)的易操作、安全等特點(diǎn),企業(yè)內(nèi)部辦公系統(tǒng)也從原來傳統(tǒng)的PC臺式機(jī)走向各大iOS智能終端;使用戶可以隨時(shí)隨地進(jìn)行辦公。但安裝了企業(yè)內(nèi)部應(yīng)用的移動(dòng)設(shè)備會包含大量企業(yè)、商業(yè)及私人信息,設(shè)備的遺失或被盜將可能給企業(yè)和個(gè)人帶來災(zāi)難性的損失,因此實(shí)現(xiàn)對移動(dòng)設(shè)備的管理顯的異常重要。
實(shí)現(xiàn)對移動(dòng)設(shè)備的管理,需要相應(yīng)的后臺MDM(移動(dòng)設(shè)備管理)系統(tǒng),負(fù)責(zé)移動(dòng)設(shè)備的信息采集和管理。此時(shí)研究和解決的難點(diǎn)包括:建立設(shè)備和服務(wù)器之間的長連接,實(shí)現(xiàn)MDM消息的推送,設(shè)備的認(rèn)證,抹去移動(dòng)設(shè)備上的數(shù)據(jù)等。
2 APNS及MDM技術(shù)
實(shí)現(xiàn)對iOS移動(dòng)設(shè)備的管理,需要APNS(蘋果消息推送)和MDM兩大核心技術(shù),本節(jié)將對二者進(jìn)行扼要分析。
2.1 APNS技術(shù)
APNS是蘋果的一種消息推送機(jī)制,它能夠向指定的設(shè)備推送指定的消息,設(shè)備令牌與電話號碼類似,通過設(shè)備令牌就可在APNS注冊的設(shè)備中找到對應(yīng)的設(shè)備,然后向該設(shè)備推送消息。推送的消息是一個(gè)JSON格式的數(shù)據(jù),其有規(guī)整的格式,各Key有著不同的含義,設(shè)備在接受到消息后會相應(yīng)響應(yīng)一些操作。iOS消息推送的工作機(jī)制概括如圖1:
2.2 MDM技術(shù)
MDM使企業(yè)IT部門能完全控制和管理員工各類的移動(dòng)設(shè)備群,通過它,企業(yè)可以安全、有效地管理所有iOS設(shè)備,并能確保所有移動(dòng)設(shè)備及其所安裝的應(yīng)用和所保存信息的安全,同時(shí)可對數(shù)據(jù)進(jìn)行一系列操作,實(shí)現(xiàn)一個(gè)企業(yè)內(nèi)部的AppStore。
iOS MDM架構(gòu)需要移動(dòng)設(shè)備進(jìn)行通信,移動(dòng)設(shè)備管理服務(wù)器使用蘋果推送服務(wù)。它是一個(gè)輕量級的可擴(kuò)展服務(wù),提供了一種喚醒設(shè)備的方式,該服務(wù)可以登錄 MDM 服務(wù)器進(jìn)行查詢掛起的操作、未應(yīng)答的詢問等。同時(shí)借助蘋果推送通知服務(wù),MDM服務(wù)器不但能與設(shè)備保持長連接的通訊,而且不會影響設(shè)備性能和電池的使用時(shí)間。
3 企業(yè)iOS移動(dòng)設(shè)備管理研究問題的分析
本節(jié)將會對本文研究問題進(jìn)行分析,首先,介紹iOS MDM基本控制流程,對五大關(guān)鍵步驟進(jìn)行說明;然后做進(jìn)一步分析,提煉出解決該研究問題的核心點(diǎn),得出基本解決思路和方法。
iOS MDM基本控制流程,分為五大步驟:
第一步:MDM服務(wù)器發(fā)送一個(gè)MDM推送信息給推送服務(wù)器,該信息需推送服務(wù)器中轉(zhuǎn)給設(shè)備,通知設(shè)備此時(shí)服務(wù)器需要該設(shè)備執(zhí)行相關(guān)命令了,設(shè)備根據(jù)命令做出相應(yīng)的判斷和反應(yīng)。
第二步:推送服務(wù)器通知iOS移動(dòng)設(shè)備。
第三步:當(dāng)設(shè)備空閑,且處于連網(wǎng)狀態(tài)時(shí),會去連接MDM Server并告訴服務(wù)器移動(dòng)設(shè)備的狀態(tài)。
第四步:MDM Server根據(jù)設(shè)備狀態(tài)返回給設(shè)備需要執(zhí)行命令。命令是xml格式的plist文件。
步驟五:設(shè)備實(shí)行了命令,并將執(zhí)行情況連接MDM Serverf,反饋給MDM Server。
其中難點(diǎn)主要集中在如何搭建推薦服務(wù)器、MDM服務(wù)器以及終端的設(shè)備的認(rèn)證。關(guān)鍵點(diǎn)包括MDM Server與終端的通信方式、SCEP(簡單證書注冊協(xié)議)。實(shí)現(xiàn)MDM后臺對移動(dòng)終端或應(yīng)用安全管控的前提條件,就是建立MDM平臺與終端之間的通信。
從消息的可靠性、經(jīng)濟(jì)性、及時(shí)性、設(shè)備資源開銷等方面考慮。使用各手機(jī)平臺自帶的push服務(wù)是最方便、最可靠的方式。對于那些沒有提供push服務(wù)的移動(dòng)平臺,我們可搭建單獨(dú)的推送服務(wù)器來實(shí)現(xiàn)消息推送的功能。
同時(shí),在一個(gè)MDM平臺整個(gè)設(shè)備管理過程中,都需要通過數(shù)字證書服務(wù)的方式,來實(shí)現(xiàn)對終端用戶的身份認(rèn)證;通過鎖屏、恢復(fù)出廠設(shè)置等來實(shí)現(xiàn)終端的認(rèn)證和管理。SCEP是PKI(公鑰加密技術(shù))協(xié)議體系的一部分,它能夠安全可靠地為網(wǎng)絡(luò)設(shè)備提供數(shù)字證書,通過它可以實(shí)現(xiàn)MDM平臺對移動(dòng)終端設(shè)備的身份認(rèn)證。
綜上,我們將通過推送服務(wù)技術(shù)來實(shí)現(xiàn)MDM Server和iOS終端設(shè)備的通信,通過SCEP來實(shí)現(xiàn)移動(dòng)終端設(shè)備身份的認(rèn)證。
4 企業(yè)iOS移動(dòng)設(shè)備管理的實(shí)現(xiàn)
本節(jié)主要在前文對本研究問題分析的基礎(chǔ)上,首先介紹MDM移動(dòng)客戶端功能框架,如圖2所示,然后對iOS移動(dòng)設(shè)備管理給出具體解決方案,并加以實(shí)現(xiàn)。
iOS客戶端MDM的主要功能如下:
(1)收發(fā)消息:負(fù)責(zé)通過APNS服務(wù)器與終端建立的長連接接收和發(fā)送消息。
(2)解析及封裝通信協(xié)議:確保MDM服務(wù)器和iOS客戶端可通過網(wǎng)絡(luò)進(jìn)行通訊,負(fù)責(zé)解析與封裝二者之間通信協(xié)議。
(3)終端控制管理:實(shí)現(xiàn)iOS移動(dòng)終端對移動(dòng)端指令的管理和相應(yīng)操作,如,恢復(fù)出廠設(shè)置、刪除數(shù)據(jù)、密碼設(shè)置、加密存儲等。
(4)管理Certificate及策略文件。終端欲實(shí)現(xiàn)MDM功能,此時(shí)需要從MDM服務(wù)器下載和安裝相關(guān)證書及管理設(shè)備的策略文件,那么此時(shí)我們需要對它們進(jìn)行管理,該功能就可以實(shí)現(xiàn)這些。
(5)任務(wù)管理與分發(fā)。在iOS客戶端獲取了若干任務(wù)指令后,那么如何按照時(shí)間的先后順序?qū)@些任務(wù)進(jìn)行管理和分發(fā),讓各項(xiàng)任務(wù)在客戶端順序執(zhí)行,任務(wù)的執(zhí)行預(yù)示著將執(zhí)行相應(yīng)命令完成相應(yīng)的工作,同時(shí)每執(zhí)行完一個(gè)任務(wù)需要進(jìn)行反饋,如此迭代直至客戶端收到的任務(wù)命令全部執(zhí)行完畢。
iOS平臺可以通過在瀏覽器輸入MDM平臺下發(fā)的URL地址,進(jìn)行證書、預(yù)置描述文件和管理策略文件的下載,同時(shí)可以完成對證書與預(yù)置描述文件的安裝,最終實(shí)現(xiàn)了移動(dòng)客戶端MDM應(yīng)有的功能,我們不需要額外開發(fā)MDM終端。
4.1 iOS平臺實(shí)現(xiàn)MDM的前提工作
首先,我們注冊Apple企業(yè)者賬號(需花費(fèi)299美元),成功一位企業(yè)級開發(fā)者,申請創(chuàng)建MDM證書;然后,搭建MDM服務(wù)器https環(huán)境;最后,通過借助“鑰匙串工具”生成MDM推送 格式證書和描述文件(服務(wù)器要借助著兩個(gè)文件完成對接APNS)。
4.2 搭建MDM服務(wù)器和推送服務(wù)
通過上文的分析,本文的MDM整體框架包括三部分:MDM Server、推送服務(wù)器和移動(dòng)終端。所以要想實(shí)現(xiàn)對iOS移動(dòng)設(shè)備的管理,在已經(jīng)實(shí)現(xiàn)移動(dòng)終端MDM功能的前提下,還需要搭建MDM服務(wù)器和推送服務(wù)器。
本文的MDM服務(wù)器是采用.Net語言開發(fā)和實(shí)現(xiàn)的,實(shí)現(xiàn)了用戶的注冊和管理,實(shí)現(xiàn)對移動(dòng)設(shè)備的注冊,信息采集,移動(dòng)設(shè)備的管理,同時(shí)可以向移動(dòng)終端提供各種設(shè)備操作的指令,如:鎖定設(shè)備、抹去應(yīng)用數(shù)據(jù)、注銷設(shè)備、強(qiáng)制退出;實(shí)現(xiàn)了對證書、設(shè)備管理決策文件、預(yù)置描述文件的管理等;實(shí)現(xiàn)了MDM服務(wù)器和推送服務(wù)器的對接,實(shí)現(xiàn)二者之間的通信。
本文的推送服務(wù)器是借助于蘋果的APNS加以實(shí)現(xiàn),APNS也在前文進(jìn)行了解釋說明,此處不再細(xì)述,通過這種方式來實(shí)現(xiàn)MDM服務(wù)器與設(shè)備的長連接通信,此以保證終端接受平臺指令。
4.3 設(shè)備注冊和令牌Token的獲取及傳遞
實(shí)現(xiàn)MDM功能,iOS設(shè)備需要在我們自己的服務(wù)器和蘋果服務(wù)器上完成設(shè)備的注冊。iOS移動(dòng)端和 服務(wù)器以及APP應(yīng)用服務(wù)器和 服務(wù)器都需要通過證書才能建立有效的連接,完成各自的功能等。證書的獲取和配置由于篇幅在此不作說明。
當(dāng)iOS程序配置了MDM證書(支持推送),應(yīng)用程序啟動(dòng)后,應(yīng)用程序通過相關(guān)代碼讓APP攜帶設(shè)備序列號連接APNS服務(wù)器進(jìn)行注冊,一旦注冊成功,蘋果推送服務(wù)器會返給我們一個(gè)設(shè)備令牌Token,獲取到Token之后,程序通過接口將Token及設(shè)備的其他信息提交到我們的前MDM服務(wù)器,服務(wù)器收到信息后,首先查看信息與設(shè)備的有效性,一旦合法有效,則完成設(shè)備在我們應(yīng)用的服務(wù)器上的注冊,其流程如圖3所示。
5 結(jié)束語
通過對理論的研究,本文最終實(shí)現(xiàn)了對iOS移動(dòng)設(shè)備的管理,經(jīng)過長時(shí)間的測試與使用,該功能各項(xiàng)指標(biāo)及性能均滿足需求和預(yù)期研究效果。但消息推送的穩(wěn)定性還需要進(jìn)一步提高。
參考文獻(xiàn)
[1]王衛(wèi)東.企業(yè)移動(dòng)設(shè)備安全管理方法與實(shí)踐[J].計(jì)算機(jī)安全,2011(11):44-47.
[2]杭建.移動(dòng)終端設(shè)備管理技術(shù)的研究與實(shí)現(xiàn)[D].西安:西安電子科技大學(xué),2013.
[3]許麗萍.MDM引領(lǐng)移動(dòng)信息化變革[J]. 上海信息化,2013(7):59-61.
[4] Erica Sadun.The iPhone Develop Cookbook: Building Application with the iPhone SDK[M],USA,2009.
[5]肖榮,富杰.基于push機(jī)制的MDM平臺研究[J].互聯(lián)網(wǎng)天地,2013(05):49-54.
【企業(yè)iOS移動(dòng)設(shè)備管理MDM的研究與實(shí)現(xiàn)】相關(guān)文章:
移動(dòng)流媒體服務(wù)器實(shí)現(xiàn)VCR功能的研究03-07
試論建筑幕墻企業(yè)材料管理系統(tǒng)的研究與實(shí)現(xiàn)03-16
基于XML的企業(yè)信息集成技術(shù)的研究與實(shí)現(xiàn)03-24
企業(yè)人力資源資本化的增值實(shí)現(xiàn)研究03-22
企業(yè)移動(dòng)03-18
移動(dòng)網(wǎng)絡(luò)監(jiān)控系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)03-05
移動(dòng)業(yè)務(wù)運(yùn)營支撐系統(tǒng)的設(shè)計(jì)及實(shí)現(xiàn)03-05