- 相關推薦
企業iOS移動設備管理(MDM)的研究與實現
摘 要:近年,移動智能終端在企業信息化進程中得到迅速的普及和應用,提高了企業辦公效率,但也引發了一系列安全問題。企業移動設備及應用的管理已成為迫在解決的問題。本文對該問題所涉及的的兩大核心技術進行了分析;對研究問題進行剖析,提出解決方案,并最終加以實現。
【關鍵詞】移動互聯 企業信息化 iOS APNS MDM
1 前言
隨著移動互聯的快速發展,同時iOS操作系統的易操作、安全等特點,企業內部辦公系統也從原來傳統的PC臺式機走向各大iOS智能終端;使用戶可以隨時隨地進行辦公。但安裝了企業內部應用的移動設備會包含大量企業、商業及私人信息,設備的遺失或被盜將可能給企業和個人帶來災難性的損失,因此實現對移動設備的管理顯的異常重要。
實現對移動設備的管理,需要相應的后臺MDM(移動設備管理)系統,負責移動設備的信息采集和管理。此時研究和解決的難點包括:建立設備和服務器之間的長連接,實現MDM消息的推送,設備的認證,抹去移動設備上的數據等。
2 APNS及MDM技術
實現對iOS移動設備的管理,需要APNS(蘋果消息推送)和MDM兩大核心技術,本節將對二者進行扼要分析。
2.1 APNS技術
APNS是蘋果的一種消息推送機制,它能夠向指定的設備推送指定的消息,設備令牌與電話號碼類似,通過設備令牌就可在APNS注冊的設備中找到對應的設備,然后向該設備推送消息。推送的消息是一個JSON格式的數據,其有規整的格式,各Key有著不同的含義,設備在接受到消息后會相應響應一些操作。iOS消息推送的工作機制概括如圖1:
2.2 MDM技術
MDM使企業IT部門能完全控制和管理員工各類的移動設備群,通過它,企業可以安全、有效地管理所有iOS設備,并能確保所有移動設備及其所安裝的應用和所保存信息的安全,同時可對數據進行一系列操作,實現一個企業內部的AppStore。
iOS MDM架構需要移動設備進行通信,移動設備管理服務器使用蘋果推送服務。它是一個輕量級的可擴展服務,提供了一種喚醒設備的方式,該服務可以登錄 MDM 服務器進行查詢掛起的操作、未應答的詢問等。同時借助蘋果推送通知服務,MDM服務器不但能與設備保持長連接的通訊,而且不會影響設備性能和電池的使用時間。
3 企業iOS移動設備管理研究問題的分析
本節將會對本文研究問題進行分析,首先,介紹iOS MDM基本控制流程,對五大關鍵步驟進行說明;然后做進一步分析,提煉出解決該研究問題的核心點,得出基本解決思路和方法。
iOS MDM基本控制流程,分為五大步驟:
第一步:MDM服務器發送一個MDM推送信息給推送服務器,該信息需推送服務器中轉給設備,通知設備此時服務器需要該設備執行相關命令了,設備根據命令做出相應的判斷和反應。
第二步:推送服務器通知iOS移動設備。
第三步:當設備空閑,且處于連網狀態時,會去連接MDM Server并告訴服務器移動設備的狀態。
第四步:MDM Server根據設備狀態返回給設備需要執行命令。命令是xml格式的plist文件。
步驟五:設備實行了命令,并將執行情況連接MDM Serverf,反饋給MDM Server。
其中難點主要集中在如何搭建推薦服務器、MDM服務器以及終端的設備的認證。關鍵點包括MDM Server與終端的通信方式、SCEP(簡單證書注冊協議)。實現MDM后臺對移動終端或應用安全管控的前提條件,就是建立MDM平臺與終端之間的通信。
從消息的可靠性、經濟性、及時性、設備資源開銷等方面考慮。使用各手機平臺自帶的push服務是最方便、最可靠的方式。對于那些沒有提供push服務的移動平臺,我們可搭建單獨的推送服務器來實現消息推送的功能。
同時,在一個MDM平臺整個設備管理過程中,都需要通過數字證書服務的方式,來實現對終端用戶的身份認證;通過鎖屏、恢復出廠設置等來實現終端的認證和管理。SCEP是PKI(公鑰加密技術)協議體系的一部分,它能夠安全可靠地為網絡設備提供數字證書,通過它可以實現MDM平臺對移動終端設備的身份認證。
綜上,我們將通過推送服務技術來實現MDM Server和iOS終端設備的通信,通過SCEP來實現移動終端設備身份的認證。
4 企業iOS移動設備管理的實現
本節主要在前文對本研究問題分析的基礎上,首先介紹MDM移動客戶端功能框架,如圖2所示,然后對iOS移動設備管理給出具體解決方案,并加以實現。
iOS客戶端MDM的主要功能如下:
(1)收發消息:負責通過APNS服務器與終端建立的長連接接收和發送消息。
(2)解析及封裝通信協議:確保MDM服務器和iOS客戶端可通過網絡進行通訊,負責解析與封裝二者之間通信協議。
(3)終端控制管理:實現iOS移動終端對移動端指令的管理和相應操作,如,恢復出廠設置、刪除數據、密碼設置、加密存儲等。
(4)管理Certificate及策略文件。終端欲實現MDM功能,此時需要從MDM服務器下載和安裝相關證書及管理設備的策略文件,那么此時我們需要對它們進行管理,該功能就可以實現這些。
(5)任務管理與分發。在iOS客戶端獲取了若干任務指令后,那么如何按照時間的先后順序對這些任務進行管理和分發,讓各項任務在客戶端順序執行,任務的執行預示著將執行相應命令完成相應的工作,同時每執行完一個任務需要進行反饋,如此迭代直至客戶端收到的任務命令全部執行完畢。
iOS平臺可以通過在瀏覽器輸入MDM平臺下發的URL地址,進行證書、預置描述文件和管理策略文件的下載,同時可以完成對證書與預置描述文件的安裝,最終實現了移動客戶端MDM應有的功能,我們不需要額外開發MDM終端。
4.1 iOS平臺實現MDM的前提工作
首先,我們注冊Apple企業者賬號(需花費299美元),成功一位企業級開發者,申請創建MDM證書;然后,搭建MDM服務器https環境;最后,通過借助“鑰匙串工具”生成MDM推送 格式證書和描述文件(服務器要借助著兩個文件完成對接APNS)。
4.2 搭建MDM服務器和推送服務
通過上文的分析,本文的MDM整體框架包括三部分:MDM Server、推送服務器和移動終端。所以要想實現對iOS移動設備的管理,在已經實現移動終端MDM功能的前提下,還需要搭建MDM服務器和推送服務器。
本文的MDM服務器是采用.Net語言開發和實現的,實現了用戶的注冊和管理,實現對移動設備的注冊,信息采集,移動設備的管理,同時可以向移動終端提供各種設備操作的指令,如:鎖定設備、抹去應用數據、注銷設備、強制退出;實現了對證書、設備管理決策文件、預置描述文件的管理等;實現了MDM服務器和推送服務器的對接,實現二者之間的通信。
本文的推送服務器是借助于蘋果的APNS加以實現,APNS也在前文進行了解釋說明,此處不再細述,通過這種方式來實現MDM服務器與設備的長連接通信,此以保證終端接受平臺指令。
4.3 設備注冊和令牌Token的獲取及傳遞
實現MDM功能,iOS設備需要在我們自己的服務器和蘋果服務器上完成設備的注冊。iOS移動端和 服務器以及APP應用服務器和 服務器都需要通過證書才能建立有效的連接,完成各自的功能等。證書的獲取和配置由于篇幅在此不作說明。
當iOS程序配置了MDM證書(支持推送),應用程序啟動后,應用程序通過相關代碼讓APP攜帶設備序列號連接APNS服務器進行注冊,一旦注冊成功,蘋果推送服務器會返給我們一個設備令牌Token,獲取到Token之后,程序通過接口將Token及設備的其他信息提交到我們的前MDM服務器,服務器收到信息后,首先查看信息與設備的有效性,一旦合法有效,則完成設備在我們應用的服務器上的注冊,其流程如圖3所示。
5 結束語
通過對理論的研究,本文最終實現了對iOS移動設備的管理,經過長時間的測試與使用,該功能各項指標及性能均滿足需求和預期研究效果。但消息推送的穩定性還需要進一步提高。
參考文獻
[1]王衛東.企業移動設備安全管理方法與實踐[J].計算機安全,2011(11):44-47.
[2]杭建.移動終端設備管理技術的研究與實現[D].西安:西安電子科技大學,2013.
[3]許麗萍.MDM引領移動信息化變革[J]. 上海信息化,2013(7):59-61.
[4] Erica Sadun.The iPhone Develop Cookbook: Building Application with the iPhone SDK[M],USA,2009.
[5]肖榮,富杰.基于push機制的MDM平臺研究[J].互聯網天地,2013(05):49-54.
【企業iOS移動設備管理MDM的研究與實現】相關文章:
移動流媒體服務器實現VCR功能的研究03-07
試論建筑幕墻企業材料管理系統的研究與實現03-16
基于XML的企業信息集成技術的研究與實現03-24
企業人力資源資本化的增值實現研究03-22
企業移動03-18
移動網絡監控系統的設計與實現03-05
移動業務運營支撐系統的設計及實現03-05
FFT算法的研究與DSP實現03-07
實現企業高效生產03-22