Android移動設(shè)備管理系統(tǒng)的設(shè)計與實現(xiàn)
2016-04-08 01:50:16王亞東雷靈光周健向繼
軟件 2016年2期
王亞東++雷靈光++周健++向繼
摘要:為了確保移動終端在企業(yè)中的安全應用,企業(yè)移動管理系統(tǒng)(簡稱,EMMS)應運而生。然而,作為一個發(fā)展中的技術(shù),EMMS的相關(guān)功能仍在完善中。特別地,在主流的Android4.*系統(tǒng)上,開放的MDM設(shè)備管控接口非常有限,不能很好地滿足企業(yè)移動設(shè)備的安全管控需求。本文通過深入分析移動終端設(shè)備的管控需求以及Android平臺的移動設(shè)備管控技術(shù)(簡稱,MDM)、Android系統(tǒng)的Activity管理機制等,設(shè)計并實現(xiàn)了一個較為完備的Android移動設(shè)備管理系統(tǒng),實現(xiàn)了對相機、藍牙、WIFI、惡意應用等可能造成敏感數(shù)據(jù)泄露的設(shè)備功能的全面管控。對系統(tǒng)的性能評估結(jié)果表明,其在內(nèi)存、CPU、電池等方面的消耗均很小,不會對用戶造成影響。
關(guān)鍵詞:移動設(shè)備管控;Android;設(shè)備安全;信息安全;數(shù)據(jù)泄露
中圖分類號:TP311
文獻標識碼:A
DOI:10.3969/j.issn.1003-6970.2016.02.003
引言
隨著智能終端的成熟與普及,以手機、平板為代表的個人智能終端設(shè)備逐漸進入企業(yè)領(lǐng)域。據(jù)國際權(quán)威咨詢公司Gartner預測,2016年全球?qū)鄢龀^16億部智能移動設(shè)備,40%的工作人員將會使用移動辦公,商務辦公移動化進程即將進入高速發(fā)展階段。
在移動辦公為企業(yè)和員工帶來極大的便利和效益的同時,安全問題成為其發(fā)展的最大威脅。安全研究中心Ponemon Institute和安全管理服務商Lumension發(fā)布的最新數(shù)據(jù)顯示,有75%的IT行業(yè)專業(yè)人士認為在2014年,移動設(shè)備將會給企業(yè)安全帶來重大的安全威脅。新聞爆出的手機泄密事件也層出不窮:一方面,員工可以“主動”通過移動設(shè)備的拍照、錄音、網(wǎng)絡傳輸?shù)裙δ苡涗洸鞑ッ舾行畔ⅰA硪环矫妫瑔T工在終端設(shè)備遺失或被盜時未能及時清除企業(yè)數(shù)據(jù)導致“被動”泄密。比如Trustwave最新發(fā)布的《2014年度風險狀態(tài)報告》指出在安全泄露事故6個最有可能的來源中心懷不滿的員工和粗心大意或不知情的員工分列1、2位。
如何高效、完備地解決潛在的安全問題,確保企業(yè)放心地允許員工通過移動設(shè)備進行辦公,是移動辦公發(fā)展面臨的最大挑戰(zhàn)。為了解決移動辦公安全問題,企業(yè)移動管理系統(tǒng)(簡稱,EMMS)應運而生,EMMS為企業(yè)提供集移動設(shè)備管理(簡稱MDM)、移動應用管理(簡稱,MAM)、移動內(nèi)容管理(簡稱MCM)于一體的全方位解決方案,目標是提供移動設(shè)備的全生命周期安全管控、移動應用的安全下發(fā)及部署、移動終端內(nèi)容的安全存儲,查閱等全方位的移動辦公安全支撐。然而,從目前來看,EMMS仍然是一個正在發(fā)展中的產(chǎn)業(yè),相關(guān)的功能和技術(shù)仍然在不斷的探索和完善中。比如,Google從Android 2.2版本開始提供MDM管控功能,但是截至到Android 4.4版本,僅能夠支持相機禁用、企業(yè)數(shù)據(jù)擦除、設(shè)備鎖定等非常有限的管控,而對于MAM和MCM功能還未提供任何支持。目前市面上也存在數(shù)款MDM產(chǎn)品,其中起步較早的有IBM公司推出的MaasS360,該系統(tǒng)提供了較為完整的MDM管控,但是Maas360的平臺通用性較差,其中部分功能只適用于特定廠商的特定型號智能終端,另有部分功能需要Root權(quán)限才能完成。2013年12月,360發(fā)布了國內(nèi)首個企業(yè)移動終端安全管理解決方案-360天機[9]。其MDM模塊實現(xiàn)了一部分管控功能,如應用禁用、遠程擦除、設(shè)備鎖定、地理定位等。但在應用禁用的實現(xiàn)方式上用戶體檢較差,其通過強制安裝、卸載的方式對完成對應用的禁用,不能滿足上班禁用、下班開放這種需求。難以友好的實現(xiàn)對員工自帶設(shè)備(BYOD)的管控。
鑒于商用MDM產(chǎn)品在通用性或功能支持方面的不完善,本文通過深入分析Android平臺的移動設(shè)備管控技術(shù)以及移動終端設(shè)備的管控需求,設(shè)計并實現(xiàn)了一個較為完備的Android移動設(shè)備管理系統(tǒng),該系統(tǒng)在Android平臺本身對MDM支持的基礎(chǔ)上,結(jié)合自主設(shè)計的MDM守護程序,實現(xiàn)了對相機、藍牙、WIFI、惡意應用等可能造成敏感數(shù)據(jù)泄露的設(shè)備功能的全面管控。同時,所有的管控功能均在應用層實現(xiàn),用戶可以通過安裝APP的方式使用該系統(tǒng)功能,確保了較好的平臺兼容性和用戶友好性。對系統(tǒng)的性能評估結(jié)果表明,其在內(nèi)存、CPU、電池等方面的消耗均很小,不會對用戶造成影響。
本文余下部分的結(jié)構(gòu)如下:第1節(jié),介紹Android系統(tǒng)MDM的背景;第2節(jié),介紹系統(tǒng)的設(shè)計與實現(xiàn);第3節(jié),對系統(tǒng)的性能及有效性進行評估。第4節(jié),總結(jié)本文的工作。
1 背景介紹
Android從2.2版本開始提供MDM管控功能,并隨著新版本的發(fā)布,管控功能不斷豐富。比如Android2.2版本僅有十幾個管控API,Android 4.2版本增加到五十多個,而在最新公布的Android 5.0版本中已經(jīng)有接近100個管控API可供調(diào)用。由于截止到目前,Android 5.0及以上版本設(shè)備的市場占有率還十分有限,普適性不高,故我們將以Android 4.4及以前版本作為主要研究對象。
Android 4.4版本提供的MDM管控功能如表1所示,主要包括:設(shè)備管控、密碼策略、功能禁用、高級查詢四類,具體的API接口可以參考Android開發(fā)官網(wǎng)。
雖然Android在設(shè)備管控方面投入了很大力度,并隨著系統(tǒng)版本的升級不斷完善,但依舊有一些迫切需要的功能沒有相應接口或是提供了相應的接口,但只支持較高版本的系統(tǒng),并不適用于絕大多數(shù)設(shè)備。
我們對這些迫切需要的功能進行了總結(jié)和歸納,將其分為兩類:1)系統(tǒng)提供了開啟/關(guān)閉的功能,但并未提供禁用功能,所以這并不能阻止用戶再次開啟或關(guān)閉,如禁用/開啟wifi、藍牙等。2)系統(tǒng)未開放此方面的任何API,如應用黑白名單。詳情如表2所示:
2 系統(tǒng)設(shè)計及實現(xiàn)
本節(jié)介紹該系統(tǒng)的架構(gòu)設(shè)計,以及關(guān)鍵功能的實現(xiàn)。
2.1 系統(tǒng)架構(gòu)設(shè)計
如圖1所示,移動設(shè)備管理系統(tǒng)總體包含兩部分:服務器端和客戶端。企業(yè)管理員通過服務器端制定各種管控策略并下發(fā)至對應的客戶端設(shè)備(比如,禁用部門A所有員工設(shè)備的相機功能、藍牙功能;禁用部門B所有員工設(shè)備使用聊天軟件)。員工通過安裝的客戶端程序,接收服務器端的管控請求,并實施具體的管控。
服務器端無特殊要求,通過搭建一個通用的、支持通知下發(fā)功能的Web網(wǎng)站即可實現(xiàn)。本文重點關(guān)注客戶端的設(shè)計和實現(xiàn)。如圖1所示,客戶端主要包含三個模塊:1)指令策略解析器:用于解析來自于服務器端的最新策略,對策略分類并交由API管控模塊以及輪詢管控模塊進行后續(xù)處理;2)API管控模塊:主要通過調(diào)用Android系統(tǒng)提供的API實現(xiàn)相應管控功能;3)輪詢管控模塊:主要用于實現(xiàn)系統(tǒng)API不支持的管控功能。整個系統(tǒng)的工作流程為:
(1)企業(yè)管理者從服務器端向客戶端(移動設(shè)備)發(fā)送指令以及策略;
(2)客戶端通過MDM應用中的解析器對指令和策略進行解讀并分別交由系統(tǒng)API或輪詢管控模塊實施策略;
(3)系統(tǒng)API模塊通過對比策略和設(shè)備當前狀態(tài)判斷設(shè)備是否合規(guī),如有不合規(guī)項,調(diào)用相應API接口,將其修正;
(4)輪詢管控模塊通過每隔一段時間對設(shè)備狀態(tài)進行輪詢并修正的方式,保證其余策略的正確實施。
2.2 關(guān)鍵功能實現(xiàn)
企業(yè)移動管理系統(tǒng)的關(guān)鍵在于客戶端管控功能,本節(jié)對具體的實現(xiàn)過程進行闡述。實現(xiàn)平臺采用當前應用最為普及的Android 4.*版本(谷歌公布的Android系統(tǒng)各個版本的市場占有率統(tǒng)計結(jié)果顯示,截止到2015年4月,Android系統(tǒng)中4.*版本的使用比例達到83.4%)。客戶端為具有設(shè)備管控功能的Android應用程序(.apk文件)。
2.2.1 API管控模塊實現(xiàn)
通過Android系統(tǒng)本身提供的MDM管控API,開發(fā)者可以方便快速地實現(xiàn)MDM管控功能,并且具有較好的平臺兼容性。本系統(tǒng)的API管控模塊通過調(diào)用Android開放的MDM管控接口實現(xiàn),具體實現(xiàn)過程如下:
(1)客戶端應用程序首先實例化一個設(shè)備管理實體,在后續(xù)的管控操作中該實體會被作為管控的發(fā)起人。通過注冊一個廣播服務類(繼承自DeviceAdminReceiver)組件完成實例化操作,該組件為實現(xiàn)設(shè)備管控的基類,包含一系列特定事件發(fā)生時觸發(fā)的回調(diào)方法,如設(shè)備管理權(quán)限被激活、更換密碼等。開發(fā)者可以重寫這些回調(diào)方法來實現(xiàn)狀態(tài)改變時的通知或其它功能。
(2)為設(shè)備管理實體申請管控權(quán)限,具體步驟如下:
申請管控權(quán)限,即android.permission.BIND_DEVICE_ADMIN;
添加設(shè)備管理權(quán)限被激活時的事件監(jiān)聽,即在
聲明需要管控的項,圖2為一個示例,聲明該應用程序會進行密碼限制、強制鎖屏、擦除數(shù)據(jù)等管控操作。 android.com/apk/res/android ” > (3)激活該應用的設(shè)備管理權(quán)限。開發(fā)者選擇在合適的時刻提示用戶激活該應用的設(shè)備管理權(quán)限,該提示會明確聲明該應用的所能管控的功能,如圖3所示。只有在用戶選擇“激活”后,該應用才真正具有設(shè)備管理權(quán)限。 (4)實施管控。該應用獲取設(shè)備管理權(quán)限后,開發(fā)者可以通過使用系統(tǒng)提供的策略管理類(DevicePoIicyManager)實施管控。該類所具有的管理功能已在表中羅列。圖4所示為初始化DevicePolicyManager對象,以及基于該對象進行相機禁用和設(shè)備鎖定的實例代碼。需要注意的是,在調(diào)用管控API之前,首先應查看該應用是否具有設(shè)備管理權(quán)限,若無,則無法完成相應的管控操作,此時需要再次通知用戶激活設(shè)備管理權(quán)限。 DevicepolicyManager manager= (DevicepolicyManager)gerSystemService(DEVICEPOLICYSERVICE); ComponentName madminName-new componentName( getApplicationContext (),MyAdmin.class); //鎖定設(shè)備 if(manager.isAdminActive(mAdminName》 manager.lockNow () ; if (manager.isAdminActive ( mAdminName》 manager.setCameraDisabled(mAdminName,true);
2.2.2 輪詢管控模塊實現(xiàn)
對于表中這些不能通過調(diào)用系統(tǒng)API實現(xiàn)的管控功能,我們通過分析Android系統(tǒng)的相關(guān)機制,設(shè)計了一個專門用于實現(xiàn)以上功能的MDM守護程序,該程序能長時間駐留后臺,并且不會造成明顯的性能消耗。其工作流程如圖6所示。MDM守護程序作為后臺的監(jiān)控程序,不斷輪洵當前策略是否合規(guī),并在檢測到不合規(guī)項時及將其修正,輪詢的具體步驟如下:
(l)通過MDM守護程序從本地或服務器端獲取最新策略。
(2)通過相關(guān)的API接口,查詢wifi、藍牙、音量等設(shè)置的當前狀態(tài)是否符合策略要求,如不滿足,立即做出相應調(diào)整。
(3)通過捕捉前臺界面組件(Activity)錯誤!未找到引用源的方式判斷當前正在運行的應用程序并獲取其包名。首先,MDM守護程序會獲取當前運行棧棧頂Activity。Android系統(tǒng)用棧的形式管理Activity,當新的Activity被創(chuàng)建時,會被放置到棧頂,這個Activity會進入到運行狀態(tài),而前一個Activity則會被壓入棧,直到新的Activity退出,否則不會出現(xiàn)在前臺。需要注意的是,執(zhí)行此步操作,需要添加獲取棧頂界面組件權(quán)限,即android.permission.GET TASKS。其次,通過Activity名稱獲取前臺運行的應用的包名。
(4)查看包名對應的應用是否存在于應用黑名單中,如果存在,則彈出“該應用已被禁用!”的警告對話框,如圖5所示,瀏覽器應用被禁用。該對話框會覆蓋在用戶正在使用的應用上方,用戶無法繼續(xù)查看或使用該黑名單應用,當用戶點擊對話框中的“確定”按鈕時,會自動跳轉(zhuǎn)至桌面,從而實現(xiàn)禁用應用功能。
為了避免輪詢造成太大的性能損耗,我們引入輪詢頻率調(diào)整機制。根據(jù)本輪查詢結(jié)果對輪詢頻率做出相應調(diào)整,如果存在違規(guī)現(xiàn)象,則適當增加輪詢頻率,反之,則減少輪詢頻率。
通過上述流程,可以看出守護進程需要被放置在一個能長時間駐留系統(tǒng)的組件中運行,Android系統(tǒng)4大組件中的服務(Service)組件恰好為該守護程序提供了合適的運行環(huán)境。Service是一個沒有用戶界面、在后臺運行執(zhí)行耗時操作的應用組件。并且Service組件可以通過響應開機事件完成自啟動,這為全方位的設(shè)備管控提供了極大便利。我們利用Service的以上特性,將守護程序放入Service中執(zhí)行并為其添加對系統(tǒng)開機事件(即android.intent.action.BOOT COMPLETED廣播)的響應,使其能在開機時完成自啟動工作。
3 性能評估
本節(jié)將對該MDM系統(tǒng)有效性和能耗方面進行評估。我們選取了市面上5款主流Android手機,版本號從4.1到4.4.4不等,并且包含root的手機和非root的手機,具體如表3所示。
3.1 有效性
我們首先對MDM系統(tǒng)的有效性進行測試評估,以驗證該方案是否能在不同Android平臺上正確實施管控。具體測試評估過程如下:
(l)預先設(shè)計一套實施全面管控的策略并直接寫入程序;
(2)將MDM管控系統(tǒng)應用安裝在這5部手機中并分別激活其設(shè)備管理器;
(3)設(shè)置輪詢時間,并在程序中開啟MDM守護程序;
(4)查看手機中不符合策略項是否被糾正;
(5)在手機符合策略的前提下,反復進行違規(guī)操作,查看是否會修改或彈出違規(guī)提示框。
實驗結(jié)果如表4所示。可以看出,無論是通過系統(tǒng)API進行管控的功能還是通過MDM守護程序進行管控的功能,均能正常工作,并且手機root與否未對結(jié)果造成影響。
3.2 性能損耗
在各項功能均能有效執(zhí)行的前提下,我們從能耗、CPU/內(nèi)存開銷等方面對系統(tǒng)的性能進行評估。在程序中,我們假定當前所有的系統(tǒng)設(shè)置都處于不合規(guī)狀態(tài),并在每次輪詢中將其糾正,以此可以檢測出系統(tǒng)的最大消耗。在實驗中,我們分別選取了0.5秒、1秒、2秒作為輪詢的時間間隔。實驗數(shù)據(jù)如錯誤!未找到引用源。所示。
電池損耗方面,通過表5可以看出,隨著輪詢間隔的縮短,電能的消耗線性增加。在輪詢間隔為2秒時,各個手機中MDM應用的開銷分別相當于后臺運行的System進程的1.40%、2.34%、3.58%、6.28%、1.02%。可以看jH,大部分手機中該應用的電能消耗只占到System進程的5%以內(nèi),這不會對手機的使用時間造成明顯影響。
內(nèi)存使用方面,隨著輪詢間隔的縮短,相應的內(nèi)存開銷不會有明顯改變,并且在實驗中該應用使用的內(nèi)存均未超過15MB。目前絕大多數(shù)手機的內(nèi)存總量在IGB到3GB之間(IGB=1024MB),幾MB到十幾MB的內(nèi)存消耗,并不會增加手機負擔。
CPU使用方面,MDM應用在CPU的使用上最高時也只有不到1.5%,并且占用率和輪詢頻率保持線性關(guān)系。所以該應用也不會對CPU增加明顯負擔。
綜上所述,根據(jù)實際的安全要求將輪詢間隔設(shè)定在0.5秒到2秒之間是可行的,一方面,該輪詢間隔不會對設(shè)備性能增加明顯負擔,另一方面滿足安全管控的需求。
4 結(jié)束語
隨著移動設(shè)備的普及,移動辦公逐漸成為一種趨勢。本文關(guān)注于移動辦公面臨的安全問題,設(shè)計并實現(xiàn)了一套可靠性高、性能損耗小的Android移動設(shè)備管控系統(tǒng),該系統(tǒng)能夠?qū)τ糜谝苿愚k公的終端設(shè)備實施有效管控,使得企業(yè)管理員可以放心地允許員工通過移動設(shè)備進行辦公。
