WO2014187393A1 - 维护byod安全的客户端及方法 - Google Patents

Abstract

本发明公开了一种维护BYOD安全的客户端及方法。其中，该客户端包括：设备与用户身份认证模块，配置为在确定接入的移动设备是合法设备的情况下，根据使用移动设备的用户从预置认证方式中选择的认证方式，对用户进行身份认证；移动设备管理系统，配置为给移动设备的全生命周期提供管理操作，其中，管理操作包括：永远在线的推送消息服务。

Description

维护 BYOD安全的客户端及方法 技术领域

本发明涉及通信领域，具体而言， 涉及一种维护 BYOD安全的客户端及 方法。 背景技术

BYOD ( Bring Your Own Device )指携带自己的设备办公。 BYOD实现 了 5A智能办公 (任何经过企业授权的员工（ Anyone ), 可以通过任何智能设 备 ( Any device ), 在任意时间 ( Anytime )、 任意地点 ( Anywhere ), 访问公 司的任何办公资源 （Anything ) ), 并创新性地增强了办公方案的安全性。

智能终端的普及、 3G/4G移动通信技术的发展， 促使了 5A智能办公方 案的诞生， 开启了智能办公的新时代。 移动办公使办公随时发生， 提升了 效率。 传统办公方案存在的问题也迎刃而解： 过去， 员工不在公司时， 无 法获取公司的网络资源和相关信息， 导致维护人员无法立即处理紧急故障、 管理人 不能及时处理审批、 在外销售人 不能获取最新库存信息等， 进 而对公司带来经济上的损失。 BYOD办公方案，允许员工用自己的设备接入 公司网络办公， 及时处理各种问题。

移动办公在给我们带来便利的同时， 也给我们带来了另外一个不容忽 视的问题和挑战： 信息安全。 由于是员工的个人终端， 这就涉及到两个方 面的安全： 一是企业信息安全， 二是 工个人信息安全。 对于企业信息安 全， 需要考虑对移动设备的安全管理， 对接入系统的设备进行安全认证和 管理， 对企业资源访问者进行身份认证， 同时企业还要保障企业网络不被 攻击、 企业数据不被拷贝窃取等。

企业信息安全固然重要，但 BYOD办公所涉及到的终端是私人设备， 需 要顾及员工的个人隐私， 过度监控会触及员工隐私红线， 最终导致 BYOD 办公的夭折。如何平衡企业信息安全与员工信息安全，是 BYOD急需有效解 决的问题。 只有解决了这个问题， 企业和员工才能获得双贏， 既提升员工 满意度和工作效率， 又不对公司信息安全造成影响， 同时还能促进 BYOD 的发展。

针对如何平衡企业信息安全与员工信息安全的问题，现有的 BYOD安全 解决方案通常使用智能移动接入客户端的软件， 但是该软件只对用户的用 户名和密码作认证， 并没有采取备用认证方式。 当用户忘记认证用户名或 密码时， 就无法进入企业系统处理紧急事务， 需要等待重新审批和认证完 成才能重新进入系统， 这期间可能会耽误宝贵的时间， 甚至失去商机。

针对相关技术中 BYOD安全解决方案无法有效平衡企业信息安全与员 工信息安全的问题， 目前尚未提出有效的解决方案。 发明内容

本发明提供了一种维护 BYOD安全的客户端及方法，以至少解决上述问 题。

本发明实施例提供了一种维护 BYOD安全的客户端， 包括：设备与用户 身份认证模块， 配置为在确定接入的移动设备是合法设备的情况下， 根据 使用移动设备的用户从预置认证方式中选择的认证方式， 对用户进行身份 认证； 移动设备管理系统， 配置为给移动设备的全生命周期提供管理操作， 其中， 管理操作包括： 永远在线的推送消息服务。

优选地， 设备与用户身份认证模块包括：

设备检测单元， 配置为将移动设备的用户标识 ID上传至服务端进行合 法性判断， 接收服务端对移动设备的合法性判断结果， 确定移动设备是否 属于合法设备；

用户身份认证单元， 配置为在用户选择用户名和密码的认证方式的情 况下， 将用户输入的用户名和密码加密上传至服务端进行验证； 在用户选 择基于人脸图像识别的认证方式的情况下， 提示用户进行拍照以获取用户 的人脸头像， 将人脸头像加密上传至服务端与标准数据进行对比以得到验 证结果。

优选地， 所述管理操作还包括： 设备资源管理、 移动安全管理、 移动 应用管理中的任意一种管理操作；

所述预置认证方式包括： 基于用户名和密码的认证方式、 基于人脸图 像识别的认证方式中的任意一种认证方式。

优选地， 设备资源管理包括： 终端信息采集和管理、 参数配置统计、 告警维护、 位置跟踪中的至少一种管理方式；

移动安全管理包括： 用户身份认证、 访问控制、 策略设置、 数据擦除、 证书管理、 密钥管理中的至少一种管理方式；

移动应用管理包括： 应用发布、 安装与升级管理、 运行控制中的至少 一种管理方式；

所述管理操作还包括： 备份管理、 测试管理、 日志和报告、 应用行为 统计中的任意一种管理操作。

优选地， 全生命周期包括以下阶段： 注册阶段， 包括： 对设备和用户 进行注册、 设定初始密码， 以及存储用户图像信息： 接入控制阶段， 包括： 对设备和用户进行认证、 下发安全策略， 以及对用户进行分权限和分组操 作； 运行监管阶段， 包括： 当设备运行于企业场景时对设备进行监控、 发 布企业应用 APP, 以及下发公告信息； 回收期阶段， 包括： 对丧失权限用户 进行账号注销、 设备注销， 以及清除相应企业数据操作， 对清除丢失设备 的企业数据， 以及对账号进行再分配。

优选地， 移动设备管理模块包括： 永远在线的推送消息平台， 其中， 永远在线的推送消息平台包括： 永远在线引擎， 配置为给用户提供永远在 线的和实时的 IP消息推送 务。

优选地， 永远在线的推送消息平台还包括：

业务处理子单元， 配置为提供无线侧各接入点的汇聚功能， 接纳并维 护接入终端的长连接；

鉴权子单元， 配置为对用户和业务提供商的接入进行鉴权， 和对互联 网业务和企业业务进行鉴权；

支撑子单元， 配置为对在线业务数据进行统计分析、 进行系统监控。 优选地， 移动设备管理单元包括： 开放设备平台客户端 ODP-C和开放 设备平台服务端 ODP-S , 其中，

ODP-C， 配置为调用预先定义的与终端功能特性对应的管理对象和移 动设备管理单元的应用程序编程接口 API对终端的硬件进行控制， 并通过移 动设备管理单元的 framework控制上层应用的安装和运行；

ODP-S ,配置为集中了用以管理设备的业务逻辑，其中，业务逻辑包括： 业务表现层、 业务逻辑层、 业务支撑平台和^出服务层。

优选地， 业务表现层， 配置为提供业务接入的接口、 用户操作的使用 门户， 以及应用的发布；

业务逻辑层， 配置为实现设备信息采集、 参数配置、 备份与恢复、 固 件更新， 以及应用管理；

业务支撑平台包括： SyncML/XML协议解析器、 OM A DM的协议族、 证书发布管理， 以及密钥生成管理；

基础服务层包括： HTTP、 FTP以及 SNMP及应用层协议， 数据库访问 管理， SSL链接管理， 消息服务。

本发明实施例提供了一种维护 BYOD安全的方法， 包括：

在确定接入的移动设备是合法设备的情况下， 根据使用所述移动设备 的用户从预置认证方式中选择的认证方式， 对用户进行身份认证； 给所述移动设备的全生命周期提供管理操作， 其中， 所述管理操作包 括： 永远在线的推送消息服务。

优选地， 所述在确定接入的移动设备是合法设备的情况下， 根据使用 所述移动设备的用户从预置认证方式中选择的认证方式， 对用户进行身份 认证， 包括：

将移动设备的用户标识 ID上传至服务端进行合法性判断， 接收服务端 对移动设备的合法性判断结果， 确定移动设备是否属于合法设备， 在确定 接入的移动设备是合法设备的情况下， 根据使用移动设备的用户从预置认 证方式中选择的认证方式， 对用户进行身份认证。

优选地， 所述根据使用所述移动设备的用户从预置认证方式中选择的 认证方式， 对用户进行身份认证， 包括：

将用户输入的用户名和密码加密上传至所述服务端进行验证； 或者，

提示用户进行拍照以获取用户的人脸头像， 将所述人脸头像加密上传 至所述服务端与标准数据进行对比以得到验证结果。

优选地， 所述管理操作还包括： 设备资源管理、 移动安全管理、 移动 应用管理中的任意一种管理操作；

所述预置认证方式包括： 基于用户名和密码的认证方式、 基于人脸图 像识别的认证方式中的任意一种认证方式。

优选地， 所述设备资源管理包括： 终端信息采集和管理、 参数配置统 计、 告警维护、 位置跟踪中的至少一种管理方式；

所述移动安全管理包括： 用户身份认证、 访问控制、 策略设置、 数据 擦除、 证书管理、 密钥管理中的至少一种管理方式；

所述移动应用管理包括： 应用发布、 安装与升级管理、 运行控制中的 至少一种管理方式； 所述管理操作还包括： 备份管理、 测试管理、 日志和报告、 应用行为 统计中的任意一种管理操作。

由于本发明实施例采用在确定接入的移动设备是合法设备的情况下， 根据使用所述移动设备的用户从预置认证方式中选择的认证方式， 对用户 进行身份认证； 给所述移动设备的全生命周期提供管理操作， 其中， 所述 管理操作包括： 永远在线的推送消息服务， 因此， 采用本发明实施例， 解 决了相关技术中 BYOD安全解决方案无法有效平衡企业信息安全与员工信 息安全的问题， 可以保证被授权人员可以顺利进入企业系统进行办公， 进 而达到了避免员工无法进入内网处理紧急问题的情况的发生的效果。 附图说明

图 1是根据本发明实施例的维护 BYOD安全的客户端的结构框图； 图 2是根据本发明实施例的优选维护 BYOD安全的客户端的结构框图； 图 3是根据本发明实施例的维护 BYOD安全的方法流程图；

图 4是根据本发明优选实施例的 BYOD系统的安全结构示意图； 图 5是根据本发明优选实施例的 BYOD用户身份认证流程图； 图 6是根据本发明优选实施例的 BYOD生命周期的示意图；

图 7是根据本发明优选实施例的消息推送平台的结构示意图； 图 8是根据本发明优选实施例的 MDM系统的逻辑示意图；

图 9是根据本发明优选实施例的数据交互过程的示意图。 具体实施方式

下文中将参考附图并结合实施例来详细说明本发明。 需要说明的是， 在不冲突的情况下， 本申请中的实施例及实施例中的特征可以相互组合。

在 BYOD应用场景中，针对如何有效平衡企业信息安全与 工信息安全 的问题， 现有技术并没有给出有效的解决方案， 本发明实施例将提供一种 新型的安全解决方案， 以解决上述技术问题。 本发明实施例的主要思想是 融合一种基于人脸图像别的用户身份认证方式， 当员工忘记用户名或密码， 可以采用这种基于人脸图像别的用户身份认证方式进行身份鉴权以， 以保 证被授权人员可以顺利进入企业系统进行办公， 避免员工无法进入内网处 理紧急问题的情况的发生。 同时，还提供一个安全的移动设备管理（MDM ) 系统（或模块集成）， 提供 BYOD全生命周期的安全保障。

本发明实施例提供了一种维护 BYOD安全的客户端。 图 1是根据本发明 实施例的维护 BYOD安全的客户端的结构框图，如图 1所示，该客户端包括： 设备与用户身份认证模块 10和移动设备管理单元 20。 其中：

设备与用户身份认证模块 10, 配置为在确定接入的移动设备是合法设 备的情况下， 根据使用移动设备的用户从预置认证方式中选择的认证方式， 对用户进行身份认证； 移动设备管理单元 20, 配置为给移动设备的全生命 周期提供管理操作， 其中， 管理操作包括： 永远在线的推送消息服务。

图 2是根据本发明实施例的优选维护 BYOD安全的客户端的结构框图， 如图 2所示， 在优选维护 BYOD安全的客户端中， 设备与用户身份认证模块 10包括： 设备检测单元 12, 配置为将移动设备的用户标识 ID上传至服务端 进行合法性判断， 接收服务端对移动设备的合法性判断结果， 确定移动设 备是否属于合法设备； 用户身份认证单元 14, 配置为在用户选择用户名和 密码的认证方式的情况下， 将用户输入的用户名和密码信息加密上传至服 务端进行验证， 在用户选择基于人脸图像识别的认证方式的情况下， 提示 用户进行拍照以获取用户的人脸头像， 将人脸头像加密上传至服务端与标 准数据进行对比以得到验证结果。

需要说明的是，在图 1所示的维护 BYOD安全的客户端和图 2所示的优选 维护 BYOD安全的客户端的实现过程中：

管理操作还可以包括： 设备资源管理、 移动安全管理、 移动应用管理 以及其它管理； 预置认证方式可以包括： 用户名和密码的认证方式和基于 人脸图像识别的认证方式。 当然， 在实际应用中， 该维护 BYOD安全的客户 端中也可以预置其它的认证方式， 例如目前比较常用的指纹识别技术。

设备资源管理可以包括： 终端信息采集和管理、 参数配置统计、 告警 维护， 以及位置跟踪； 移动安全管理包括： 用户身份认证， 访问控制， 策 略设置， 数据擦除， 证书管理， 以及密钥管理； 移动应用管理包括： 应用 发布， 安装与升级管理， 以及运行控制； 其它管理包括： 备份管理， 测试 管理， 日志和 ^艮告， 以及应用行为统计。

全生命周期可以包括以下阶段： 注册阶段， 包括： 对设备和用户进行 注册、 设定初始密码， 以及存储用户图像信息： 接入控制阶段， 包括： 对 设备和用户进行认证、 下发安全策略， 以及对用户进行分权限和分组操作； 运行监管阶段， 包括： 当设备运行于企业场景时对设备进行监控、 发布企 业应用 APP, 以及下发公告信息； 回收期阶段， 包括： 对丧失权限用户进行 账号注销、 设备注销， 以及清除相应企业数据操作， 对清除丢失设备的企 业数据， 以及对账号进行再分配。

移动设备管理单元可以包括： 永远在线的推送消息平台， 其中， 永远 在线的推送消息平台包括： 永远在线引擎， 配置为给用户提供永远在线的 和实时的 IP消息推送服务。

永远在线的推送消息平台还可以包括：

业务处理子单元， 配置为提供无线侧各接入点的汇聚功能， 接纳并维 护接入终端的长连接；

鉴权子单元， 配置为对用户和业务提供商的接入进行鉴权， 和对互联 网业务和企业业务进行鉴权；

支撑子单元， 配置为对在线业务数据进行统计分析、 进行系统监控。 移动设备管理单元还可以包括： 开放设备平台客户端 ODP-C和开放设 备平台服务端 ODP-S , 其中， ODP-C, 配置为调用预先定义的与终端功能特 性对应的管理对象和移动设备管理单元的应用程序编程接口 API对终端的 硬件进行控制， 并通过移动设备管理单元的 framework控制上层应用的安装 和运行； ODP-S中集中了用于管理设备的业务逻辑， 其中， 业务逻辑包括： 业务表现层、 业务逻辑层、 业务支撑平台和^出服务层。

其中， 业务表现层， 配置为提供业务接入的接口、 用户操作的使用门 户， 以及应用的发布； 业务逻辑层， 配置为实现设备信息采集、 参数配置、 备份与恢复、 固件更新， 以及应用管理； 业务支撑平台包括： SyncML/XML 协议解析器、 OMA DM的协议族、 证书发布管理， 以及密钥生成管理； 基 础服务层包括： HTTP、 FTP以及 SNMP及应用层协议， 数据库访问管理， SSL链接管理， 消息服务。

本发明实施例还提供了一种维护 BYOD安全的方法。 图 3是根据本发明 实施例的维护 BYOD安全的方法流程图， 如图 3所示， 该方法主要包括以下 步骤（步骤 S302-步骤 S304 ):

步骤 S302, 将移动设备的用户标识 ID上传至服务端进行合法性判断， 接收服务端对移动设备的合法性判断结果， 确定移动设备是否属于合法设 步骤 S304 , 在确定接入的移动设备是合法设备的情况下， 根据使用移 动设备的用户从预置认证方式中选择的认证方式， 对用户进行身份认证， 其中， 移动设备的全生命周期的管理操作由移动设备管理系统提供， 管理 操作包括： 永远在线的推送消息服务。

在本实施例中， 管理操作还可以包括： 设备资源管理、 移动安全管理、 移动应用管理以及其它管理； 预置认证方式可以包括： 用户名和密码的认 证方式和基于人脸图像识别的认证方式。

在实际应用中， 为了保证 BYOD的安全性，可以设置安全沙箱隔离企业 数据与用户数据， 以保证企业数据就不能拷贝到用户数据中， 用户数据也 不能拷贝到企业数据中。 通过这样的方式， 可以防止用户数据中存在的木 马等非法程序进入企业数据， 污染企业数据环境， 同时保证了个人数据不 会流入企业环境， 危及个人隐私。

当用户由个人应用场景切换至企业应用场景时， 需要先对终端进行认 证， 将终端 ID上传至服务端， 服务端在确认是合法接入的终端后， 再使用 上述两种认证方式（用户名和密码认证、 基于人脸图像识别的认证方式） 之一对终端用户身份进行认证： ( 1 )若用户选择用户名和密码的认证方式， 客户端的软件可以携带加密的用户名和密码至服务端， 由服务端进行比对 确认身份正确后， 再登录文档安全管理系统和安全邮箱， 至此， 用户可访 问公司内部的资源。 （2 )若用户选择基于人脸图像识别的认证方式， 终端 可以提示用户即将进行拍照需要正脸对准摄像头， 再自动开启拍照功能抓 取照片后将照片 （即上述人脸头像）上传至服务端与标准数据进行比对， 以确认用户身份。

在实际应用中，移动设备管理系统可以支持对 BYOD设备全生命周期的 管理， 其主要提供设备注册、 安全策略配置、 企业移动应用发布和升级、 GPS定位、 数据擦除、 远程锁定与解锁等功能。 另外， 永远在线推送服务平 台的引入， 可以减少服务端网络开销， 保障设备管理模块对设备的监管。

采用上述实施例提供的维护 BYOD安全的客户端及方法，可以保证被授 权人员可以顺利进入企业系统进行办公， 进而达到了避免员工无法进入内 网处理紧急问题的情况的发生的效果。

下面结合图 4至图 9以及优选实施例对上述实施例提供的维护 BYOD安 全的客户端及方法进行更加详细的描述和说明。

图 4是根据本发明优选实施例的 BYOD系统的安全结构示意图， 如图 4 所示， BYOD系统的安全结构主要包括三大方面： 数据安全管理、 移动设备 管理、 设备与用户身份认证。

本优选实施例为用户提供一个统一的客户端， 该客户端即图 4中所示的 智能终端包含：移动设备管理（ MDM )、虚拟专用网络（ VPN, Virtual Private Network ) 的网络安全及网络监控、 安全邮箱、 文档安全工具、 安全沙箱、 传输安全及防病毒等一系列保障安全的应用， 用户可以通过该客户端与服 务端之间的交互获取认证和企业信息。 通过该客户端， 员工通过设备合法 性检测及用户身份识别可以方便、 快捷的接入企业环境， 进行工作， 对个 人数据和企业级的数据进行安全保护。

在本优选实施例中， 企业会预先为员工注册设备和个人账号。 注册需 要的信息包括： 设备唯一标识、 员工登录账号和密码、 员工人脸图像数据、 员工权限分组信息、 账号和设备的有效期等信息。 注册后将这些信息存入 服务器， 以待后续认证操作和设备管理使用。

为了保证企业数据安全和个人隐私， 本优选实施例采用安全沙箱技术， 这样可以成功隔离企业数据和个人数据， 企业不用担心企业数据进入个人 数据， 被员工泄露， 员工也不再担心私人信息被企业获取， 个人应用和企 业应用不能互相访问， 即， 可以阻止企业与个人数据之间的传输。 而且， 企业数据不仅有隔离保护， 还有加密保护， 所有数据都由安全工具加密保 存， 用户需要通过身份人证， 根据用户自身的权限， 访问企业资源。 例如， A项目组成员无法访问 B项目组的资源， 普通员工不能访问只为部长级以上 员工开放的资源。

另外， 客户端还提供防病毒安全防护工具， 保证企业数据免受病毒的 攻击。 网络安全管理对网络进行监控， 对企业无关或会对企业安全带来安 全隐患的网站进行屏蔽， 防止黑客的恶意攻击和企业数据通过网络泄露。 在数据传输安全方面， 可以通过网关和数据加密， 防止数据被截取和恶意 篡改。 在员工由个人应用场景切换至企业应用场景时， 需要通过双重身份 认证（设备合法性检测、 用户身份认证）。

需要说明的是， 图 1所示的 BYOD系统的安全结构的另一个重要部分就 是 MDM (即移动设备管理） 系统， 正如前面所描述， 其可以提供完整的设 备生命周期管理， 例如， 当设备遗失时， MDM可以执行远程锁定、 GPS定 位、 数据擦除、 数据备份等操作， 以保证数据的安全， 还可以帮助找回设 具体地， MDM担任着 BYOD全生命周期管理的重要任务， 包括以下子 功能： 1、设备资源管理： 终端信息采集和管理， 参数配置统计， 告警维护， 位置跟踪； 2、 移动安全管理： 身份鉴别， 访问控制， 策略设置， 数据擦除， 证书管理， 密钥管理； 3、 移动应用管理： 应用发布， 安装与升级管理， 运 行控制； 4、 其它管理功能： 备份管理， 测试管理， 日志和 4艮告， 应用行为 统计， 信息推送。

通过本优选实施例提供的两种身份认证方式， 可以避免员工在用户忘 记密码时， 无法进入企业网而不能处理紧急任务的情况。

根据本发明优选实施例的 BYOD用户身份认证， 包括以下内容： 默认情况下采用用户名和密码方式认证， 用户名和密码信息被加密上 传至服务端进行验证。 同时， 用户也可以选择更换认证方式， 采用人脸图 像识别的方式认证。 在用户选择人脸图像识别方式后， 客户端会提示用户 即将拍照抓取图像， 请脸部正面对准摄像头。 客户端会自动打开摄像机拍 照， 抓取照片后做灰度处理， 再加密上传至服务器与标准数据作对比， 最 终得出认证结果， 具体的步骤如图 5所示。

图 5是根据本发明优选实施例的 BYOD用户身份认证流程图， 包括以下 步骤：

步骤 401、 对用户身份进行识别。

步骤 402、 判断是否采用人脸识别方式， 如果是， 则执行步骤 403; 否 则， 执行步骤 410, 步骤 410是采用用户名 +密码的方式进行用户身份识别， 执行完步骤 410后， 执行步骤 409。

步骤 403、 采用人脸图像识别方式进行用户身份识别。

步骤 404、 提示用户拍照。

步骤 405、 自动开启摄像头拍照。

步骤 406、 对照片做灰度处理。

步骤 407、 加密上传至服务器。

步骤 409、 与标准数据比对。

步骤 409、 获得识别结果。

图 6是根据本发明优选实施例的 BYOD生命周期的示意图， 如图 6所示， BYOD生命周期示意图主要包括四个阶段： 注册、接入控制、 运行监管、 以 及回收。 其中， （1 ) 注册阶段， 对设备和用户进行注册， 设定初始密码， 存储用户图像信息； （2 )接入控制阶段， 对设备和用户身份进行认证、 下 发安全策略、 对用户分权限和分组； （3 )运行监管阶段， 在设备运行于企 业场景中， 对设备进行监控、 发布企业 app、 下发公告信息等； （4 ) 回收期 阶段， 指对离职员工的设备进行账号和设备注销， 清除企业数据等操作， 对丢失的设备清除企业数据等。 并对账号进行再分配。

为了缓解服务端的网络压力， 并同时保证设备不脱离 MDM的监管， 本 优选实施例引入了永远在线的消息推送平台， 该平台包括两个部分： 平台 服务端， 和终端侧的永远在线引擎（可以称之为终端中间件）。 该平台负责 接入移动互联网的永远在线业务， 为用户提供永远在线的及时的 IP推送业 务， 终端上应用通过永远在线引擎实现与平台侧的消息交互， 实现链路的 共享， 降低网络侧的压力。 其中， 永远在线引擎是内置在终端上的服务进 程， 负责终端应用与平台之间的消息转发。

图 7是才 据本发明优选实施例的消息推送平台的结构示意图， 如图 7所 示， 消息推送平台的结构主要包括：

业务处理子单元 406, 配置为提供无线侧各接入点的汇聚功能， 接纳并 维护终端的长连接。 同时负责长连接的唤醒， 与长连接方式的 Push相配合 提供高效、 稳定、 及时的 Push功能。

鉴权子单元 407, 配置为负责终端用户和业务提供商接入的鉴权以及互 联网应用 412和企业应用 411的鉴权。

支撑子单元 408, 配置为负责在线业务数据的统计分析、 系统监控、 中 间件的升级等功能。

消息推送平台如图 7中的企业网关 405所示， 企业网关 405由业务处理子 单元 406、 鉴权子单元 407和支撑子单元 408构成。

企业网关 405通过与 DNS的接口完成用户身份的查询。

企业网关 405通过与短信息网关 401间的接口下发短信实现移动终端 403的程序唤醒功能。 当企业网关 405和移动终端 403存在网络连接时， 可直 接下发 socket消息唤醒。

企业网关 405通过与业务运营支撑子单元 409间的接口完成计费数据的 传送以及用户开销户数据的同步。

企业网关 405通过与网管 410的接口实现移动网管的接入。 企业网关 405 与企业应用 411和互联网应用 412存在交互， 将交互结果处理后返回移动终 端 403。

企业网关 405的服务端部署在特定的服务器上， 终端侧永远在线引擎以 客户端组件的形式引入 BYOD客户端。 当客户端第一次启动时，会先启动该 组件， 并向永远在线引擎发起注册。 由于该组件是一个通用的模块， 终端 上的其他应用有可能已经引入，在 BYOD客户端启动之前，终端如果有已经 启动的永远在线弓 I擎组件，则会比较 BYOD客户端所带的引擎组件的版本和 已经启动的引擎的版本， 如果前者版本较高， 则启动 BYOD中的引擎组件， 替换现已启动的，反之， BYOD客户端直接向已启动的引擎注册。 永远在线 引擎会携带设备的注册信息至平台侧， 完成注册过程。

BYOD完成注册后， BYOD的服务端也需要完成到平台侧的注册。 整个 注册过程完成后， 链接建立， BYOD服务端就可以通过推送平台下发 NOTIFY消息至客户端， 发起对客户端的管理， 也可以下发公告信息至客户 端。

图 8是才 据本发明优选实施例的 MDM系统的逻辑示意图， 如图 8所示， MDM系统 于移动互联网开发的平台， 该平台是一种基于底层的分布式 缓存等服务组件， 并向上层产品提供统一开放的开发平台。 各种服务组件 包括： 开放设备平台客户端 502、 开放设备平台框架 503。 开放设备平台服 务端包括： 业务表现层 504、 业务逻辑层 505、 业务支撑平台 506、 基础服务 层 507、 数据库 508、 用户中心 509、 搜索平台 510、 精分平台 511。 上层的产 品层 501包括： 机顶盒、 云终端、 手机及平板。 图 8中还包括分布式缓存等 服务组件 512。

开放设备平台客户端（ ODP-C ) 502是移动终端开发平台中的组件之一， 其定义了一套与终端功能特性相对应的管理对象， 负责调用系统 API来对终 端硬件进行控制； 另外， 其可以通过操作系统的 framework控制上层应用的 安装运行。 开放设备平台服务端（ ODP-S )运行在移动互联网开发平台的服 务平台侧， 其主要负责与 ODP-C进行信息同步， 以完成服务平台对移动终 端的管理的指令下达和处理 ODP-C的状态上报消息更改终端状态信息。 需 要说明的是， ODP-S集中了移动设备管理的主要业务逻辑，该业务逻辑又具 体分为： 业务表现层 504, 业务逻辑层 505 , 业务支撑平台 506和^^服务层 507四个部分。 其中，

( 1 ) 业务表现层 504, 提供业务接入的接口和用户操作使用门户， 另 外， 应用的发布也在这一层实现的； ( 2 ) 业务逻辑层 505 , 包含了完成业务流程的功能单元（支可扩展性 配置）， 在开始阶段， 这里主要实现了设备信息采集， 参数配置， 备份与恢 复， 固件更新， 应用管理等功能单元；

( 3 ) 业务支撑平台 507 , 包含了 SyncML/XML协议解析器， OMA DM 的协议族， 证书发布管理和密钥生成管理功能。

( 4 ) ^出服务层 507, 包含了通用应用服务的协议支撑， 例如 HTTP, FTP, SNMP及其它应用层协议， 数据库访问管理， SSL链接管理， 消息服 务等等， 这些都是业务支撑层的服务基础。

图 9是根据本发明优选实施例的数据交互过程的示意图， 如图 9所示， 该数据交互过程示包含两个阶段：

准备阶段： 传递通知和鉴权信息， 包含 PACKAGE 0 (仅 NOTIFY消息需 要)、 PACKAGE 1、 PACKAGE 2;

管理阶段： 管理阶段为指令下发， 指令响应过程的信息交互， 包含 PACKAGE 3和 PACKAGE 4, 这两个 PACKAGE在一次交互过程中可以有多 个。

对图 9中各个 PACKAGE代表的含义说明如下：

PACKAGE 0:

通过推送平台， 下发服务器的 NOTIFY消息至客户端， 通知设备与服务 器建立连接。 终端已预先在推送平台注册， 平台可根据终端唯一标识找到 终端， 下发消息。

PACKAGE 1 :

设备在收到平台推送的 NOTIFY消息后，携带设^言息和认证信息至服 务端进行认证， 开启一次新的会话。

PACKAGE 2:

服务器启动会话， 向客户端发送管理指令 Commands。 PACKAGE 3:

回复 PACKAGE 2中的 Commands命令执行结果。

PACKAGE 4:

继续下发管理指令或者结束对话。

PACKAGE 4之后仍有管理指令待下发时， 重复多次下发 PACKAGE 3 和 PACKAGE 3 , 直到所有指令下发完成。

通过上述优选实施例的实施， 可以从设备合法性和用户身份认证、 数 据安全防护、设备管理三个方面保证了 BYOD的应用安全， 促进 BYOD智能 移动办公的推广， 通过这样的方式， 可以保证被授权人员可以顺利进入企 业系统进行办公， 避免员工无法进入内网处理紧急问题的情况的发生。

需要说明的是， 上述各个模块是可以通过硬件来实现的。 例如： 一种 处理器， 包括上述各个模块， 或者， 上述各个模块分别位于一个处理器中。

在另外一个实施例中， 还提供了一种软件， 该软件用于执行上述实施 例及优选实施方式中描述的技术方案。

在另外一个实施例中， 还提供了一种存储介质， 该存储介质中存储有 上述软件， 该存储介质包括但不限于： 光盘、 软盘、 硬盘、 可擦写存储器 等。

从以上的描述中， 可以看出， 本发明实现了如下技术效果： 从设备合 法性和用户身份认证、数据安全防护、设备管理三个方面保证了 BYOD的应 用安全，促进 BYOD智能移动办公的推广，提供两种用户身份认证方式来保 证 BYOD的安全和效率，从而实现了用户名加密码的认证方式和基于人脸图 像识别的认证方式可以融合使用， 尤其是对于基于人脸图像识别的认证方 式， 其可以在用户忘记密码时发挥重要作用， 此时用户只需选择人脸识别 认证方式， 再用摄像头拍取照片， 即可继续认证流程。 通过这样的方式， 可以保证被授权人员可以顺利进入企业系统进行办公， 避免员工无法进入 内网处理紧急问题的情况的发生。

以上所述， 仅为本发明的较佳实施例而已， 并非用于限定本发明的保 护范围。 工业实用性

由于本发明实施例采用在确定接入的移动设备是合法设备的情况下， 根据使用所述移动设备的用户从预置认证方式中选择的认证方式， 对用户 进行身份认证； 给所述移动设备的全生命周期提供管理操作， 其中， 所述 管理操作包括： 永远在线的推送消息服务， 因此， 采用本发明实施例， 解 决了相关技术中 BYOD安全解决方案无法有效平衡企业信息安全与员工信 息安全的问题， 可以保证被授权人员可以顺利进入企业系统进行办公， 进 而达到了避免员工无法进入内网处理紧急问题的情况的发生的效果。

Claims

权利要求书

1.一种维护 BYOD安全的客户端， 包括：

设备与用户身份认证模块， 配置为在确定接入的移动设备是合法设备 的情况下， 根据使用所述移动设备的用户从预置认证方式中选择的认证方 式， 对用户进行身份认证；

移动设备管理模块， 配置为给所述移动设备的全生命周期提供管理操 作， 其中， 所述管理操作包括： 永远在线的推送消息服务。

2.根据权利要求 1所述的客户端， 其中， 所述设备与用户身份认证模块 包括：

设备检测单元， 配置为将所述移动设备的用户标识 ID上传至服务端进 行合法性判断， 接收所述服务端对所述移动设备的合法性判断结果， 确定 所述移动设备是否属于合法设备；

用户身份认证单元， 配置为在用户选择用户名和密码的认证方式的情 况下， 将用户输入的用户名和密码加密上传至所述服务端进行验证； 在用 户选择基于人脸图像识别的认证方式的情况下， 提示用户进行拍照以获取 用户的人脸头像， 将所述人脸头像加密上传至所述服务端与标准数据进行 对比以得到验证结果。

3.根据权利要求 1所述的客户端， 其中，

所述管理操作还包括： 设备资源管理、 移动安全管理、 移动应用管理 中的任意一种管理操作；

所述预置认证方式包括： 基于用户名和密码的认证方式、 基于人脸图 像识别的认证方式中的任意一种认证方式。

4.根据权利要求 3所述的客户端， 其中，

所述设备资源管理包括： 终端信息采集和管理、 参数配置统计、 告警 维护、 位置跟踪中的至少一种管理方式； 所述移动安全管理包括： 用户身份认证、 访问控制、 策略设置、 数据 擦除、 证书管理、 密钥管理中的至少一种管理方式；

所述移动应用管理包括： 应用发布、 安装与升级管理、 运行控制中的 至少一种管理方式；

所述管理操作还包括： 备份管理、 测试管理、 日志和报告、 应用行为 统计中的任意一种管理操作。

5.根据权利要求 1所述的客户端，其中，所述全生命周期包括以下阶段： 注册阶段， 包括： 对设备和用户进行注册、 设定初始密码， 以及存储 用户图像信息：

接入控制阶段， 包括： 对设备和用户进行认证、 下发安全策略， 以及 对用户进行分权限和分组操作；

运行监管阶段， 包括： 当设备运行于企业场景时对设备进行监控、 发 布企业应用 APP , 以及下发公告信息；

回收期阶段， 包括： 对丧失权限用户进行账号注销、 设备注销， 以及 清除相应企业数据操作， 对清除丢失设备的企业数据， 以及对账号进行再 分配。

6.根据权利要求 1所述的客户端， 其中， 所述移动设备管理模块包括： 永远在线的推送消息平台， 其中， 所述永远在线的推送消息平台包括： 永远在线引擎， 配置为给用户提供永远在线的和实时的 IP消息推送服

7.根据权利要求 6所述的客户端， 其中， 所述永远在线的推送消息平台 还包括：

业务处理子单元， 配置为提供无线侧各接入点的汇聚功能， 接纳并维 护接入终端的长连接；

鉴权子单元， 配置为对用户和业务提供商的接入进行鉴权， 和对互联 网业务和企业业务进行鉴权；

支撑子单元， 配置为对在线业务数据进行统计分析、 进行系统监控。

8.根据权利要求 1至 7中任一项所述的客户端， 其中， 所述移动设备管 理单元包括：开放设备平台客户端 ODP-C和开放设备平台服务端 ODP-S ,其 中，

所述 ODP-C, 配置为调用预先定义的与终端功能特性对应的管理对象 和移动设备管理单元的应用程序编程接口 API对终端的硬件进行控制 , 并通 过移动设备管理单元的 framework控制上层应用的安装和运行；

所述 ODP-S , 配置为集中了用以管理设备的业务逻辑， 其中， 所述业务 逻辑包括： 业务表现层、 业务逻辑层、 业务支撑平台和^出服务层。

9.根据权利要求 8所述的客户端， 其中，

所述业务表现层， 配置为提供业务接入的接口、 用户操作的使用门户， 以及应用的发布；

所述业务逻辑层， 配置为实现设备信息采集、 参数配置、 备份与恢复、 固件更新， 以及应用管理；

所述业务支撑平台包括： SyncML/XML协议解析器、 OM A DM的协议 族、 证书发布管理， 以及密钥生成管理；

所述基础服务层包括： HTTP、 FTP以及 SNMP及应用层协议， 数据库 访问管理， SSL链接管理， 消息服务。

10.—种维护 BYOD安全的方法， 包括：

在确定接入的移动设备是合法设备的情况下， 根据使用所述移动设备 的用户从预置认证方式中选择的认证方式， 对用户进行身份认证；

给所述移动设备的全生命周期提供管理操作， 其中， 所述管理操作包 括： 永远在线的推送消息服务。

11.根据权利要求 10所述的方法， 其中， 所述在确定接入的移动设备是 合法设备的情况下， 根据使用所述移动设备的用户从预置认证方式中选择 的认证方式， 对用户进行身份认证， 包括：

将移动设备的用户标识 ID上传至服务端进行合法性判断， 接收所述服 务端对所述移动设备的合法性判断结果， 确定所述移动设备是否属于合法 设备， 在确定接入的移动设备是合法设备的情况下， 根据使用所述移动设 备的用户从预置认证方式中选择的认证方式， 对用户进行身份认证。

12. 根据权利要求 11所述的方法， 其中， 所述根据使用所述移动设备 的用户从预置认证方式中选择的认证方式， 对用户进行身份认证， 包括： 将用户输入的用户名和密码加密上传至所述服务端进行验证； 或者，

提示用户进行拍照以获取用户的人脸头像， 将所述人脸头像加密上传 至所述服务端与标准数据进行对比以得到验证结果。

13.根据权利要求 10所述的方法， 其中，

所述管理操作还包括： 设备资源管理、 移动安全管理、 移动应用管理 中的任意一种管理操作；

所述预置认证方式包括： 基于用户名和密码的认证方式、 基于人脸图 像识别的认证方式中的任意一种认证方式。

14.根据权利要求 13所述的方法， 其中， 所述设备资源管理包括： 终端 信息采集和管理、 参数配置统计、 告警维护、 位置跟踪中的至少一种管理 方式；

所述移动安全管理包括： 用户身份认证、 访问控制、 策略设置、 数据 擦除、 证书管理、 密钥管理中的至少一种管理方式；

所述移动应用管理包括： 应用发布、 安装与升级管理、 运行控制中的 至少一种管理方式；

所述管理操作还包括： 备份管理、 测试管理、 日志和报告、 应用行为 统计中的任意一种管理操作。