摘 要:近年,移動智能終端在企業資訊化進程中得到迅速的普及和應用,提高了企業辦公效率,但也引發了一系列安全問題。企業移動設備及應用的管理已成爲迫在解決的問題。本文對該問題所涉及的的兩大核心技術進行了分析;對研究問題進行剖析,提出解決方案,並最終加以實現。
【關鍵詞】移動互聯 企業資訊化 iOS APNS MDM
1 前言
隨着移動互聯的快速發展,同時iOS操作系統的易操作、安全等特點,企業內部辦公系統也從原來傳統的PC臺式機走向各大iOS智能終端;使用戶可以隨時隨地進行辦公。但安裝了企業內部應用的移動設備會包含大量企業、商業及私人資訊,設備的遺失或被盜將可能給企業和個人帶來災難性的損失,因此實現對移動設備的管理顯的異常重要。
實現對移動設備的管理,需要相應的後臺MDM(移動設備管理)系統,負責移動設備的資訊採集和管理。此時研究和解決的難點包括:建立設備和服務器之間的長連接,實現MDM消息的推送,設備的認證,抹去移動設備上的數據等。
2 APNS及MDM技術
實現對iOS移動設備的管理,需要APNS(蘋果消息推送)和MDM兩大核心技術,本節將對二者進行扼要分析。
2.1 APNS技術
APNS是蘋果的一種消息推送機制,它能夠向指定的設備推送指定的消息,設備令牌與電話號碼類似,透過設備令牌就可在APNS註冊的設備中找到對應的設備,然後向該設備推送消息。推送的消息是一個JSON格式的數據,其有規整的格式,各Key有着不同的含義,設備在接受到消息後會相應響應一些操作。iOS消息推送的工作機制概括如圖1:
2.2 MDM技術
MDM使企業IT部門能完全控制和管理員工各類的移動設備羣,透過它,企業可以安全、有效地管理所有iOS設備,並能確保所有移動設備及其所安裝的應用和所儲存資訊的安全,同時可對數據進行一系列操作,實現一個企業內部的AppStore。
iOS MDM架構需要移動設備進行通信,移動設備管理服務器使用蘋果推送服務。它是一個輕量級的可擴展服務,提供了一種喚醒設備的方式,該服務可以登入 MDM 服務器進行查詢掛起的操作、未應答的詢問等。同時藉助蘋果推送通知服務,MDM服務器不但能與設備保持長連接的通訊,而且不會影響設備性能和電池的使用時間。
3 企業iOS移動設備管理研究問題的分析
本節將會對本文研究問題進行分析,首先,介紹iOS MDM基本控制流程,對五大關鍵步驟進行說明;然後做進一步分析,提煉出解決該研究問題的核心點,得出基本解決思路和方法。
iOS MDM基本控制流程,分爲五大步驟:
第一步:MDM服務器發送一個MDM推送資訊給推送服務器,該資訊需推送服務器中轉給設備,通知設備此時服務器需要該設備執行相關命令了,設備根據命令做出相應的判斷和反應。
第二步:推送服務器通知iOS移動設備。
第三步:當設備空閒,且處於連網狀態時,會去連接MDM Server並告訴服務器移動設備的狀態。
第四步:MDM Server根據設備狀態返回給設備需要執行命令。命令是xml格式的plist檔案。
步驟五:設備實行了命令,並將執行情況連接MDM Serverf,反饋給MDM Server。
其中難點主要集中在如何搭建推薦服務器、MDM服務器以及終端的設備的認證。關鍵點包括MDM Server與終端的通信方式、SCEP(簡單證書註冊協議)。實現MDM後臺對移動終端或應用安全管控的前提條件,就是建立MDM平臺與終端之間的通信。
從消息的可靠性、經濟性、及時性、設備資源開銷等方面考慮。使用各手機平臺自帶的push服務是最方便、最可靠的方式。對於那些沒有提供push服務的移動平臺,我們可搭建單獨的推送服務器來實現消息推送的功能。
同時,在一個MDM平臺整個設備管理過程中,都需要透過數字證書服務的方式,來實現對終端用戶的身份認證;透過鎖屏、恢復出廠設定等來實現終端的認證和管理。SCEP是PKI(公鑰加密技術)協議體系的一部分,它能夠安全可靠地爲網絡設備提供數字證書,透過它可以實現MDM平臺對移動終端設備的身份認證。
綜上,我們將透過推送服務技術來實現MDM Server和iOS終端設備的通信,透過SCEP來實現移動終端設備身份的認證。
4 企業iOS移動設備管理的實現
本節主要在前文對本研究問題分析的基礎上,首先介紹MDM移動客戶端功能框架,如圖2所示,然後對iOS移動設備管理給出具體解決方案,並加以實現。
iOS客戶端MDM的主要功能如下:
(1)收發消息:負責透過APNS服務器與終端建立的長連接接收和發送消息。
(2)解析及封裝通信協議:確保MDM服務器和iOS客戶端可透過網絡進行通訊,負責解析與封裝二者之間通信協議。
(3)終端控制管理:實現iOS移動終端對移動端指令的管理和相應操作,如,恢復出廠設定、刪除數據、密碼設定、加密存儲等。
(4)管理Certificate及策略檔案。終端欲實現MDM功能,此時需要從MDM服務器下載和安裝相關證書及管理設備的策略檔案,那麼此時我們需要對它們進行管理,該功能就可以實現這些。
(5)任務管理與分發。在iOS客戶端獲取了若干任務指令後,那麼如何按照時間的先後順序對這些任務進行管理和分發,讓各項任務在客戶端順序執行,任務的執行預示着將執行相應命令完成相應的工作,同時每執行完一個任務需要進行反饋,如此迭代直至客戶端收到的任務命令全部執行完畢。
iOS平臺可以透過在瀏覽器輸入MDM平臺下發的URL地址,進行證書、預置描述檔案和管理策略檔案的下載,同時可以完成對證書與預置描述檔案的安裝,最終實現了移動客戶端MDM應有的功能,我們不需要額外開發MDM終端。
4.1 iOS平臺實現MDM的前提工作
首先,我們註冊Apple企業者賬號(需花費299美元),成功一位企業級開發者,申請創建MDM證書;然後,搭建MDM服務器https環境;最後,透過藉助“鑰匙串工具”生成MDM推送 格式證書和描述檔案(服務器要藉助着兩個檔案完成對接APNS)。