企業(yè)iOS移動(dòng)設備管理（MDM）的研究與實(shí)現

　　摘 要：近年，移動(dòng)智能終端在企業(yè)信息化進(jìn)程中得到迅速的普及和應用，提高了企業(yè)辦公效率，但也引發(fā)了一系列安全問(wèn)題。企業(yè)移動(dòng)設備及應用的管理已成為迫在解決的問(wèn)題。本文對該問(wèn)題所涉及的的兩大核心技術(shù)進(jìn)行了分析;對研究問(wèn)題進(jìn)行剖析，提出解決方案，并最終加以實(shí)現。

　　【關(guān)鍵詞】移動(dòng)互聯(lián) 企業(yè)信息化 iOS APNS MDM

　　1 前言

　　隨著(zhù)移動(dòng)互聯(lián)的快速發(fā)展，同時(shí)iOS操作系統的易操作、安全等特點(diǎn)，企業(yè)內部辦公系統也從原來(lái)傳統的PC臺式機走向各大iOS智能終端;使用戶(hù)可以隨時(shí)隨地進(jìn)行辦公。但安裝了企業(yè)內部應用的移動(dòng)設備會(huì )包含大量企業(yè)、商業(yè)及私人信息，設備的遺失或被盜將可能給企業(yè)和個(gè)人帶來(lái)災難性的損失，因此實(shí)現對移動(dòng)設備的管理顯的異常重要。

　　實(shí)現對移動(dòng)設備的管理，需要相應的后臺MDM(移動(dòng)設備管理)系統，負責移動(dòng)設備的信息采集和管理。此時(shí)研究和解決的難點(diǎn)包括：建立設備和服務(wù)器之間的長(cháng)連接，實(shí)現MDM消息的推送，設備的認證，抹去移動(dòng)設備上的數據等。

　　2 APNS及MDM技術(shù)

　　實(shí)現對iOS移動(dòng)設備的管理，需要APNS(蘋(píng)果消息推送)和MDM兩大核心技術(shù)，本節將對二者進(jìn)行扼要分析。

　　2.1 APNS技術(shù)

　　APNS是蘋(píng)果的一種消息推送機制，它能夠向指定的設備推送指定的消息，設備令牌與電話(huà)號碼類(lèi)似，通過(guò)設備令牌就可在A(yíng)PNS注冊的設備中找到對應的設備，然后向該設備推送消息。推送的消息是一個(gè)JSON格式的數據，其有規整的格式，各Key有著(zhù)不同的含義，設備在接受到消息后會(huì )相應響應一些操作。iOS消息推送的工作機制概括如圖1：

　　2.2 MDM技術(shù)

　　MDM使企業(yè)IT部門(mén)能完全控制和管理員工各類(lèi)的移動(dòng)設備群，通過(guò)它，企業(yè)可以安全、有效地管理所有iOS設備，并能確保所有移動(dòng)設備及其所安裝的應用和所保存信息的安全，同時(shí)可對數據進(jìn)行一系列操作，實(shí)現一個(gè)企業(yè)內部的AppStore。

　　iOS MDM架構需要移動(dòng)設備進(jìn)行通信，移動(dòng)設備管理服務(wù)器使用蘋(píng)果推送服務(wù)。它是一個(gè)輕量級的可擴展服務(wù)，提供了一種喚醒設備的方式，該服務(wù)可以登錄 MDM 服務(wù)器進(jìn)行查詢(xún)掛起的操作、未應答的詢(xún)問(wèn)等。同時(shí)借助蘋(píng)果推送通知服務(wù)，MDM服務(wù)器不但能與設備保持長(cháng)連接的通訊，而且不會(huì )影響設備性能和電池的使用時(shí)間。

　　3 企業(yè)iOS移動(dòng)設備管理研究問(wèn)題的分析

　　本節將會(huì )對本文研究問(wèn)題進(jìn)行分析，首先，介紹iOS MDM基本控制流程，對五大關(guān)鍵步驟進(jìn)行說(shuō)明;然后做進(jìn)一步分析，提煉出解決該研究問(wèn)題的核心點(diǎn)，得出基本解決思路和方法。

　　iOS MDM基本控制流程，分為五大步驟：

　　第一步：MDM服務(wù)器發(fā)送一個(gè)MDM推送信息給推送服務(wù)器，該信息需推送服務(wù)器中轉給設備，通知設備此時(shí)服務(wù)器需要該設備執行相關(guān)命令了，設備根據命令做出相應的判斷和反應。

　　第二步：推送服務(wù)器通知iOS移動(dòng)設備。

　　第三步：當設備空閑，且處于連網(wǎng)狀態(tài)時(shí)，會(huì )去連接MDM Server并告訴服務(wù)器移動(dòng)設備的狀態(tài)。

　　第四步：MDM Server根據設備狀態(tài)返回給設備需要執行命令。命令是xml格式的plist文件。

　　步驟五：設備實(shí)行了命令，并將執行情況連接MDM Serverf，反饋給MDM Server。

　　其中難點(diǎn)主要集中在如何搭建推薦服務(wù)器、MDM服務(wù)器以及終端的設備的認證。關(guān)鍵點(diǎn)包括MDM Server與終端的通信方式、SCEP(簡(jiǎn)單證書(shū)注冊協(xié)議)。實(shí)現MDM后臺對移動(dòng)終端或應用安全管控的前提條件，就是建立MDM平臺與終端之間的通信。

　　從消息的可靠性、經(jīng)濟性、及時(shí)性、設備資源開(kāi)銷(xiāo)等方面考慮。使用各手機平臺自帶的push服務(wù)是最方便、最可靠的方式。對于那些沒(méi)有提供push服務(wù)的移動(dòng)平臺，我們可搭建單獨的推送服務(wù)器來(lái)實(shí)現消息推送的功能。

　　同時(shí)，在一個(gè)MDM平臺整個(gè)設備管理過(guò)程中，都需要通過(guò)數字證書(shū)服務(wù)的方式，來(lái)實(shí)現對終端用戶(hù)的身份認證;通過(guò)鎖屏、恢復出廠(chǎng)設置等來(lái)實(shí)現終端的認證和管理。SCEP是PKI(公鑰加密技術(shù))協(xié)議體系的一部分，它能夠安全可靠地為網(wǎng)絡(luò )設備提供數字證書(shū)，通過(guò)它可以實(shí)現MDM平臺對移動(dòng)終端設備的身份認證。

　　綜上，我們將通過(guò)推送服務(wù)技術(shù)來(lái)實(shí)現MDM Server和iOS終端設備的通信，通過(guò)SCEP來(lái)實(shí)現移動(dòng)終端設備身份的認證。

　　4 企業(yè)iOS移動(dòng)設備管理的實(shí)現

　　本節主要在前文對本研究問(wèn)題分析的基礎上，首先介紹MDM移動(dòng)客戶(hù)端功能框架，如圖2所示，然后對iOS移動(dòng)設備管理給出具體解決方案，并加以實(shí)現。

　　iOS客戶(hù)端MDM的主要功能如下：

　　(1)收發(fā)消息：負責通過(guò)APNS服務(wù)器與終端建立的長(cháng)連接接收和發(fā)送消息。

　　(2)解析及封裝通信協(xié)議：確保MDM服務(wù)器和iOS客戶(hù)端可通過(guò)網(wǎng)絡(luò )進(jìn)行通訊，負責解析與封裝二者之間通信協(xié)議。

　　(3)終端控制管理：實(shí)現iOS移動(dòng)終端對移動(dòng)端指令的管理和相應操作，如，恢復出廠(chǎng)設置、刪除數據、密碼設置、加密存儲等。

　　(4)管理Certificate及策略文件。終端欲實(shí)現MDM功能，此時(shí)需要從MDM服務(wù)器下載和安裝相關(guān)證書(shū)及管理設備的策略文件，那么此時(shí)我們需要對它們進(jìn)行管理，該功能就可以實(shí)現這些。

　　(5)任務(wù)管理與分發(fā)。在iOS客戶(hù)端獲取了若干任務(wù)指令后，那么如何按照時(shí)間的先后順序對這些任務(wù)進(jìn)行管理和分發(fā)，讓各項任務(wù)在客戶(hù)端順序執行，任務(wù)的執行預示著(zhù)將執行相應命令完成相應的工作，同時(shí)每執行完一個(gè)任務(wù)需要進(jìn)行反饋，如此迭代直至客戶(hù)端收到的任務(wù)命令全部執行完畢。

　　iOS平臺可以通過(guò)在瀏覽器輸入MDM平臺下發(fā)的URL地址，進(jìn)行證書(shū)、預置描述文件和管理策略文件的下載，同時(shí)可以完成對證書(shū)與預置描述文件的安裝，最終實(shí)現了移動(dòng)客戶(hù)端MDM應有的功能，我們不需要額外開(kāi)發(fā)MDM終端。

　　4.1 iOS平臺實(shí)現MDM的前提工作

　　首先，我們注冊Apple企業(yè)者賬號(需花費299美元)，成功一位企業(yè)級開(kāi)發(fā)者，申請創(chuàng )建MDM證書(shū);然后，搭建MDM服務(wù)器https環(huán)境;最后，通過(guò)借助“鑰匙串工具”生成MDM推送 格式證書(shū)和描述文件(服務(wù)器要借助著(zhù)兩個(gè)文件完成對接APNS)。

　　4.2 搭建MDM服務(wù)器和推送服務(wù)

　　通過(guò)上文的分析，本文的MDM整體框架包括三部分：MDM Server、推送服務(wù)器和移動(dòng)終端。所以要想實(shí)現對iOS移動(dòng)設備的管理，在已經(jīng)實(shí)現移動(dòng)終端MDM功能的前提下，還需要搭建MDM服務(wù)器和推送服務(wù)器。

　　本文的MDM服務(wù)器是采用.Net語(yǔ)言開(kāi)發(fā)和實(shí)現的，實(shí)現了用戶(hù)的注冊和管理，實(shí)現對移動(dòng)設備的注冊，信息采集，移動(dòng)設備的管理，同時(shí)可以向移動(dòng)終端提供各種設備操作的指令，如：鎖定設備、抹去應用數據、注銷(xiāo)設備、強制退出;實(shí)現了對證書(shū)、設備管理決策文件、預置描述文件的管理等;實(shí)現了MDM服務(wù)器和推送服務(wù)器的對接，實(shí)現二者之間的通信。

　　本文的推送服務(wù)器是借助于蘋(píng)果的APNS加以實(shí)現，APNS也在前文進(jìn)行了解釋說(shuō)明，此處不再細述，通過(guò)這種方式來(lái)實(shí)現MDM服務(wù)器與設備的長(cháng)連接通信，此以保證終端接受平臺指令。

　　4.3 設備注冊和令牌Token的獲取及傳遞

　　實(shí)現MDM功能，iOS設備需要在我們自己的服務(wù)器和蘋(píng)果服務(wù)器上完成設備的注冊。iOS移動(dòng)端和 服務(wù)器以及APP應用服務(wù)器和 服務(wù)器都需要通過(guò)證書(shū)才能建立有效的連接，完成各自的功能等。證書(shū)的獲取和配置由于篇幅在此不作說(shuō)明。

　　當iOS程序配置了MDM證書(shū)(支持推送)，應用程序啟動(dòng)后，應用程序通過(guò)相關(guān)代碼讓APP攜帶設備序列號連接APNS服務(wù)器進(jìn)行注冊，一旦注冊成功，蘋(píng)果推送服務(wù)器會(huì )返給我們一個(gè)設備令牌Token，獲取到Token之后，程序通過(guò)接口將Token及設備的其他信息提交到我們的前MDM服務(wù)器，服務(wù)器收到信息后，首先查看信息與設備的有效性，一旦合法有效，則完成設備在我們應用的服務(wù)器上的注冊，其流程如圖3所示。

　　5 結束語(yǔ)

　　通過(guò)對理論的研究，本文最終實(shí)現了對iOS移動(dòng)設備的管理，經(jīng)過(guò)長(cháng)時(shí)間的測試與使用，該功能各項指標及性能均滿(mǎn)足需求和預期研究效果。但消息推送的穩定性還需要進(jìn)一步提高。

　　參考文獻

　　[1]王衛東.企業(yè)移動(dòng)設備安全管理方法與實(shí)踐[J].計算機安全，2011(11)：44-47.

　　[2]杭建.移動(dòng)終端設備管理技術(shù)的研究與實(shí)現[D].西安：西安電子科技大學(xué)，2013.

　　[3]許麗萍.MDM引領(lǐng)移動(dòng)信息化變革[J]. 上海信息化，2013(7)：59-61.

　　[4] Erica Sadun.The iPhone Develop Cookbook： Building Application with the iPhone SDK[M]，USA，2009.

　　[5]肖榮，富杰.基于push機制的MDM平臺研究[J].互聯(lián)網(wǎng)天地，2013(05)：49-54.

【企業(yè)iOS移動(dòng)設備管理MDM的研究與實(shí)現】相關(guān)文章：

移動(dòng)流媒體服務(wù)器實(shí)現VCR功能的研究03-07

試論建筑幕墻企業(yè)材料管理系統的研究與實(shí)現03-16

基于ＸＭＬ的企業(yè)信息集成技術(shù)的研究與實(shí)現03-24

企業(yè)人力資源資本化的增值實(shí)現研究03-22

企業(yè)移動(dòng)03-18

移動(dòng)網(wǎng)絡(luò )監控系統的設計與實(shí)現03-05

移動(dòng)業(yè)務(wù)運營(yíng)支撐系統的設計及實(shí)現03-05

FFT算法的研究與DSP實(shí)現03-07

實(shí)現企業(yè)高效生產(chǎn)03-22