移動(dòng)設(shè)備智能管理平臺(tái)設(shè)計(jì)實(shí)現(xiàn)

前言：想要寫(xiě)出一篇引人入勝的文章？我們特意為您整理了移動(dòng)設(shè)備智能管理平臺(tái)設(shè)計(jì)實(shí)現(xiàn)范文，希望能給你帶來(lái)靈感和參考，敬請(qǐng)閱讀。

摘要：針對(duì)移動(dòng)智能設(shè)備在移動(dòng)辦公等方面遇到的管控難題，基于移動(dòng)設(shè)備管理平臺(tái)和移動(dòng)安全門戶提出了一種多維一體化的管控方案，實(shí)現(xiàn)對(duì)智能終端進(jìn)行統(tǒng)一管理和安全管控。方案通過(guò)Openfire(即時(shí)通訊框架)傳輸管控命令，并結(jié)合token(令牌)動(dòng)態(tài)驗(yàn)證方式及Redis(遠(yuǎn)程字典服務(wù))消息隊(duì)列技術(shù)，在管理平臺(tái)和移動(dòng)門戶之間建立管控命令和安全策略的傳輸機(jī)制，并實(shí)現(xiàn)對(duì)移動(dòng)數(shù)據(jù)進(jìn)行區(qū)域隔離和分片加密存儲(chǔ)。方案不僅能精準(zhǔn)地發(fā)送管控信息，而且能根據(jù)管控策略靈活管理移動(dòng)設(shè)備的軟硬件能力，同時(shí)對(duì)移動(dòng)數(shù)據(jù)的加密處理也有效降低了移動(dòng)數(shù)據(jù)被竊取的風(fēng)險(xiǎn)。

關(guān)鍵詞：移動(dòng)管理；消息隊(duì)列；Openfire框架；分片加密

1引言(Introduction)

移動(dòng)網(wǎng)絡(luò)的全球覆蓋使得人們無(wú)論是在日常生活、內(nèi)部辦公、客戶服務(wù)中還是在外執(zhí)勤，都可以在任何時(shí)間、任何地點(diǎn)使用移動(dòng)設(shè)備處理工作。但是隨著工作區(qū)域的變動(dòng)和工作節(jié)奏的加快，移動(dòng)設(shè)備管理越來(lái)越多地陷入時(shí)間限制、地域限制、管理效率下降等困境。同時(shí)移動(dòng)設(shè)備和操作系統(tǒng)繁雜多樣、應(yīng)用種類層出不窮、軟件病毒快速傳播等狀況進(jìn)一步加劇了企業(yè)移動(dòng)管理的復(fù)雜性，使得信息越來(lái)越敏感，風(fēng)險(xiǎn)與日俱增，導(dǎo)致移動(dòng)化進(jìn)程面臨著諸多挑戰(zhàn)[1-3]。因此，針對(duì)在移動(dòng)管理過(guò)程中遇到的種種難題，本文提出了一整套移動(dòng)設(shè)備管理方案，以簡(jiǎn)化移動(dòng)管理并保障移動(dòng)安全，對(duì)接入信息系統(tǒng)的移動(dòng)資源進(jìn)行統(tǒng)一管理和安全管控。

2整體架構(gòu)及技術(shù)方案(Overallarchitectureandtechnicalsolutions)

本方案通過(guò)移動(dòng)管理平臺(tái)對(duì)移動(dòng)資源進(jìn)行統(tǒng)一管理和安全管控，如圖1所示。整體方案由移動(dòng)管理平臺(tái)和移動(dòng)安全門戶構(gòu)成，在移動(dòng)管理平臺(tái)和移動(dòng)安全門戶之間使用Redis消息服務(wù)器建立消息傳輸隊(duì)列[4]，移動(dòng)管理平臺(tái)能夠通過(guò)消息隊(duì)列向移動(dòng)門戶發(fā)送管控消息和安全策略。移動(dòng)管理平臺(tái)包括移動(dòng)設(shè)備管理、移動(dòng)應(yīng)用管理和移動(dòng)數(shù)據(jù)管理三個(gè)主要功能模塊：移動(dòng)設(shè)備管理能夠?qū)σ苿?dòng)設(shè)備進(jìn)行遠(yuǎn)程控制，如鎖屏、禁用攝像頭、設(shè)置時(shí)間地理圍欄等操作，并采集設(shè)備的使用情況和地理位置信息；移動(dòng)應(yīng)用管理對(duì)移動(dòng)應(yīng)用進(jìn)行授權(quán)管控；移動(dòng)數(shù)據(jù)管理保障數(shù)據(jù)安全傳輸。移動(dòng)安全門戶負(fù)責(zé)對(duì)移動(dòng)應(yīng)用進(jìn)行全生命周期的安全管理，如應(yīng)用黑白名單設(shè)置、應(yīng)用數(shù)據(jù)安全存儲(chǔ)等，并在策略管理、日志管理、告警管理等基礎(chǔ)服務(wù)之上完成對(duì)移動(dòng)設(shè)備的一體化安全管控。

3關(guān)鍵技術(shù)實(shí)現(xiàn)(Implementationofkeytechnologies)

本方案的移動(dòng)管理平臺(tái)包括前端頁(yè)面和后臺(tái)服務(wù)，如圖2所示。前端頁(yè)面主要是MobileClient(移動(dòng)客戶端)和WebConsole(Web控制臺(tái))。MobileClient是一個(gè)移動(dòng)客戶端，主要包括UI、與服務(wù)端交互的Service、安全容器以及持久化等；WebConsole是圖形化界面，通過(guò)調(diào)用服務(wù)端接口完成管控。管理平臺(tái)的后臺(tái)服務(wù)主要包含兩大服務(wù)：MessageProcessService(消息處理服務(wù))負(fù)責(zé)向移動(dòng)門戶發(fā)送管控命令和策略；BusinessProcessService(業(yè)務(wù)處理服務(wù))負(fù)責(zé)處理移動(dòng)設(shè)備管控的業(yè)務(wù)，包括策略服務(wù)、命令服務(wù)等業(yè)務(wù)組件，以及SocketIO、WebService等基礎(chǔ)組件。

3.1移動(dòng)管控技術(shù)

移動(dòng)管理平臺(tái)通過(guò)發(fā)送消息對(duì)移動(dòng)設(shè)備進(jìn)行管控，本方案使用高效的即時(shí)通信服務(wù)器Openfire完成管控消息的傳輸[5]。移動(dòng)管理平臺(tái)與移動(dòng)門戶間互相發(fā)送訪問(wèn)請(qǐng)求時(shí)，需要用Token進(jìn)行身份有效性認(rèn)證，只有在有效時(shí)間內(nèi)并且驗(yàn)證合法后，管理平臺(tái)才能與移動(dòng)設(shè)備進(jìn)行管控交互。在實(shí)際的管控過(guò)程中，移動(dòng)設(shè)備經(jīng)常不在線，導(dǎo)致管控消息無(wú)法發(fā)送，所以為了進(jìn)一步保障管控命令及策略能夠安全、及時(shí)精準(zhǔn)地發(fā)送到移動(dòng)設(shè)備，本文提出了一套消息防丟失機(jī)制，實(shí)現(xiàn)方案如圖3所示。具體的方案步驟如下：(1)建立一個(gè)消息隊(duì)列用于緩存所有管控消息，本方案所使用的系統(tǒng)是可作為消息隊(duì)列的Redis存儲(chǔ)系統(tǒng)。(2)WebConsole通過(guò)TokenService的有效性驗(yàn)證后，將管控消息發(fā)送到BusinessProcessService；BusinessProcessService在Redis消息隊(duì)列中插入此條管控消息，Openfire通過(guò)發(fā)送喚醒信號(hào)判斷移動(dòng)設(shè)備是否在線，當(dāng)設(shè)備在線時(shí)，MessageProcessService按順序讀取Redis中的消息。(3)MessageProcessService通過(guò)Openfire將讀取的消息發(fā)送給移動(dòng)門戶，并將已取走的消息從Redis消息隊(duì)列中刪除。(4)移動(dòng)門戶經(jīng)過(guò)TokenService的有效認(rèn)證后，通過(guò)Openfire將return消息返回給MessageProcessService。

3.2地理圍欄策略技術(shù)

地理圍欄服務(wù)劃分出的區(qū)域是被網(wǎng)格化的,本方案采用移動(dòng)定位技術(shù)LBS通過(guò)WIFI和GPS獲取設(shè)備的緯度和經(jīng)度[6]。地理圍欄采用“離線+在線”相結(jié)合的地理圍欄服務(wù)，基于位置的提醒和離在線結(jié)合的方式，實(shí)現(xiàn)了功耗的大幅降低。當(dāng)移動(dòng)設(shè)備離敏感區(qū)域較遠(yuǎn)時(shí)，會(huì)進(jìn)行距離判斷，在設(shè)備到達(dá)圍欄周圍時(shí)，再請(qǐng)求在線定位，根據(jù)配置的安全策略判斷是否觸發(fā)地理圍欄，具體的算法策略如下：(1)劃定一個(gè)圓形的區(qū)域，得到圓心的坐標(biāo)。(2)通過(guò)圓形區(qū)域獲得半徑，設(shè)有兩點(diǎn)赤道坐標(biāo)分別為和，則根據(jù)Haversine公式計(jì)算兩點(diǎn)之間的球面角距離[7]，如下面公式所示：(3)根據(jù)距離設(shè)定管控策略：當(dāng)時(shí)，即移動(dòng)設(shè)備進(jìn)入了地理圍欄，則可對(duì)移動(dòng)設(shè)備執(zhí)行鎖定、禁用網(wǎng)絡(luò)及移動(dòng)應(yīng)用等動(dòng)作；當(dāng)時(shí)，即移動(dòng)設(shè)備離開(kāi)地理圍欄，則可對(duì)移動(dòng)設(shè)備執(zhí)行解除鎖定、開(kāi)啟網(wǎng)絡(luò)及移動(dòng)應(yīng)用等動(dòng)作，具體的動(dòng)作可根據(jù)具體的業(yè)務(wù)邏輯設(shè)定。

3.3移動(dòng)應(yīng)用安全技術(shù)

移動(dòng)安全門戶提供了統(tǒng)一的應(yīng)用訪問(wèn)入口，個(gè)人應(yīng)用數(shù)據(jù)與隔離應(yīng)用數(shù)據(jù)保存在不同的區(qū)域以保護(hù)數(shù)據(jù)安全，個(gè)人應(yīng)用數(shù)據(jù)保存在普通存儲(chǔ)區(qū)，隔離應(yīng)用數(shù)據(jù)保存在隔離存儲(chǔ)區(qū)。為此，在移動(dòng)安全門戶采用了Hook技術(shù)進(jìn)行映射，Hook函數(shù)可以替換文件系統(tǒng)函數(shù)的行為，即把文件系統(tǒng)程序替換成要修改的代碼片段[8]，具體的步驟為：(1)對(duì)系統(tǒng)文件的操作函數(shù)進(jìn)行Hook操作，修改文件保存的路徑，即映射到隔離區(qū)，重新生成文件保存路徑；根據(jù)文件路徑創(chuàng)建數(shù)據(jù)文件，完成應(yīng)用數(shù)據(jù)文件的安全存儲(chǔ)。(2)為了進(jìn)一步地保證移動(dòng)數(shù)據(jù)的安全，本方案對(duì)移動(dòng)數(shù)據(jù)采用了分片加密存儲(chǔ)技術(shù)，在隔離存儲(chǔ)區(qū)域讀取移動(dòng)數(shù)據(jù)文件，判斷文件頭是否有加密標(biāo)志，若有加密標(biāo)志，則表示此數(shù)據(jù)文件已加密完成，若沒(méi)有則需要對(duì)此文件進(jìn)行加密處理。(3)將未加密的數(shù)據(jù)文件分片，每個(gè)小文件都對(duì)應(yīng)一個(gè)索引，每個(gè)索引進(jìn)一步組成索引文件,通過(guò)讀取索引文件即可反向獲得完成的移動(dòng)數(shù)據(jù)文件,對(duì)每個(gè)小文件和索引文件分別使用AES加密算法進(jìn)行加密[9]，建立一個(gè)雙保險(xiǎn)的機(jī)制以保證移動(dòng)數(shù)據(jù)的安全可靠。(4)采用復(fù)合混沌序列-AES加密算法對(duì)各個(gè)文件進(jìn)行加密[7]，主要算法思想是將混沌系統(tǒng)與AES算法框架相結(jié)合，構(gòu)建Logistic混沌系統(tǒng)映射產(chǎn)生的混沌序列組合成的復(fù)合混沌序列R1；再對(duì)混沌序列R1依次進(jìn)行字節(jié)替換、行移位和列混合，繼而形成混沌序列R2；最后將R2作為明文分組AES塊加密算法的初始動(dòng)態(tài)密鑰。算法的基本流程如圖4所示。

4實(shí)驗(yàn)結(jié)果與分析

(Experimentalresultsandanalysis)移動(dòng)管理平臺(tái)和移動(dòng)門戶均采用Java語(yǔ)言并以Eclipse為開(kāi)發(fā)工具。移動(dòng)設(shè)備的操作系統(tǒng)采用Android8.0版本，開(kāi)發(fā)平臺(tái)為Windows10。移動(dòng)設(shè)備管理平臺(tái)部署在Tomcat的Web服務(wù)器上，測(cè)試網(wǎng)絡(luò)為移動(dòng)網(wǎng)絡(luò)。Web服務(wù)啟動(dòng)后，移動(dòng)設(shè)備通過(guò)移動(dòng)門戶安全登錄，接入移動(dòng)管理平臺(tái)中，平臺(tái)顯示所有接入的設(shè)備信息，并對(duì)設(shè)備進(jìn)行安全管控，如圖5所示。移動(dòng)門戶管控兩種類型的應(yīng)用：管理平臺(tái)的移動(dòng)應(yīng)用和移動(dòng)設(shè)備通過(guò)其他途徑安裝的移動(dòng)應(yīng)用。為了進(jìn)一步保障系統(tǒng)的管控命令順利發(fā)送，本方案使用專用軟件模擬50,000個(gè)客戶端與服務(wù)器同時(shí)建立連接，選取其中2,500個(gè)客戶端進(jìn)行喚醒，通過(guò)觀察服務(wù)器控制臺(tái)確認(rèn)50,000個(gè)連接建立情況。表1為接收消息(模擬并發(fā))的情況，顯示了服務(wù)器消息推送效率和成功率。對(duì)性能測(cè)試的結(jié)果進(jìn)行分析可以得出：50,000個(gè)并發(fā)的響應(yīng)速度能夠滿足絕大多數(shù)場(chǎng)景的管控需求，在測(cè)試過(guò)程中沒(méi)有丟包的現(xiàn)象，能較好地保障系統(tǒng)的實(shí)時(shí)性和可靠性。

5結(jié)論(Conclusion)

采用本文的管理方案后，無(wú)論是企事業(yè)單位還是個(gè)人，都可以通過(guò)移動(dòng)設(shè)備管理平臺(tái)對(duì)設(shè)備進(jìn)行定期信息采集、實(shí)時(shí)遠(yuǎn)程控制等，實(shí)現(xiàn)對(duì)設(shè)備進(jìn)行全生命周期管理；通過(guò)配置不同安全策略，能夠?qū)υ诓煌瑫r(shí)間空間所發(fā)生的違規(guī)行為實(shí)現(xiàn)多維多角度的安全管理；通過(guò)企業(yè)應(yīng)用與個(gè)人應(yīng)用的完全隔離、安全接口的實(shí)現(xiàn)和非法訪問(wèn)的限制以實(shí)現(xiàn)移動(dòng)應(yīng)用的安全隔離；通過(guò)一站式移動(dòng)應(yīng)用部署、應(yīng)用升級(jí)與推送、圖表式統(tǒng)計(jì)分析等為移動(dòng)IT管理提供支持，真正做到了移動(dòng)可管可控。

參考文獻(xiàn)(References)

[1]李江華,邱晨.Android惡意軟件檢測(cè)方法研究綜述[J].計(jì)算機(jī)應(yīng)用研究,2019,36(01):1-7.

[2]卜同同,曹天杰.基于權(quán)限的Android應(yīng)用風(fēng)險(xiǎn)評(píng)估方法[J].計(jì)算機(jī)應(yīng)用,2019,39(01):131-135.

作者：劉歆寧 單位：大連東軟信息學(xué)院軟件工程系