一种基于云端服务器的终端设备管理系统及管理方法

摘要

本发明涉及一种基于云端服务器的终端设备管理系统及管理方法，所述系统包括设于云端服务器的指令下达模块，设于终端设备的指令执行模块和桌面定制模块，所述桌面定制模块利用定制桌面替换终端设备操作系统原有的桌面，所述定制桌面与原有的桌面相近；所述指令下达模块用于通过无线网络向一个以上指定的终端设备下达指令，所述终端设备的指令执行模块通过定制桌面执行所述指令。本发明能够针对不同的终端设备，进行批量设备的统一安全策略管控，方便管理员查看和统计各个终端设备的状态。

说明书

技术领域

本发明涉及通信技术领域，尤其是涉及一种基于云端服务器的终端设备管理系统 和管理方法。

背景技术

终端设备或者叫移动通信终端是指可以在移动中使用的计算机设备，广义的讲包 括手机、笔记本、平板电脑、POS机甚至包括车载电脑。但是大部分情况下是指手机或者具有 多种应用功能的智能手机以及平板电脑。随着网络和技术朝着越来越宽带化的方向的发展， 移动通信产业将走向真正的移动信息时代。

随着集成电路技术的飞速发展，终端设备已经拥有了强大的处理能力，终端设备 已经从简单的通话工具变为一个综合信息处理平台。现代的终端设备已经拥有极为强大的处 理能力(CPU主频已经接近2G)、内存、固化存储介质以及像电脑一样的操作系统，是一个完 整的超小型计算机系统，可以完成复杂的处理任务。终端设备也拥有非常丰富的通信方式， 即可以通过GSM，CDMA，WCDMA，EDGE，3G等无线运营网络通讯；也可以通过无线局域网，蓝 牙和红外进行通信。目前终端设备不仅可以通话，拍照、听音乐、玩游戏，而且可以实现包 括定位、信息处理、指纹扫描、身份证扫描、条码扫描、RFID扫描、IC卡扫描以及酒精含量 检测等丰富的功能，成为移动执法、移动办公和移动商务的重要工具。

通常现有的针对终端设备及设备安全管理的软件，均为基于终端设备开发的针对 消费者的应用。通过在设备上安装移动设备管理软件，对设备及设备安全进行管控。目前市 面上常用的手机安全软件通过专业杀毒引擎，保障终端设备免受病毒侵扰。

申请号为201310125590.6，发明名称为：终端的远程锁定方法、系统、云端服务 器和终端的中国专利申请公开了一种终端的远程锁定方法，该方法可以避免第一终端被重新 刷机重置密码，保证第一终端不被非法利用。该方法可以从云端控制第一终端，避免第一终 端被重新刷机重置密码，但不能对终端进行其他的统一控制,仅能有针对性地管控。

申请号为201310690101.1，发明名称为：手机远程安全保护的方法的中国专利申 请公开了一种远程安全保护的方法，可以远程锁定用户手机终端和远程销毁用户数据，解决 远程保护问题，实施彻底的有效的安全防护。该方法通过远程锁定手机终端和销毁数据，但 不能控制手机终端，不能对手机终端进行集中式的管理。

发明内容

本发明的目的，就是克服现有技术的不足，提供一种终端设备使用定制桌面替换 原系统桌面并由服务器下发指令，由定制桌面可以对终端设备实现远程方式对设备进行集中 安全管控，配置统一安全策略的控制方法及系统。

为了达到上述目的，采用如下技术方案：

一种基于云端服务器的终端设备管理系统，包括设于云端服务器的指令下达模 块，设于终端设备的指令执行模块和桌面定制模块，所述桌面定制模块利用定制桌面替换终 端设备操作系统原有的桌面，所述定制桌面与原有的桌面相近；所述指令下达模块用于通过 无线网络向一个以上指定的终端设备下达指令，所述终端设备的指令执行模块通过定制桌面 执行所述指令。通过终端设备无法退出的定制桌面实现桌面定制模块的不可卸载，令云端服 务器完成控制终端设备，进而实现管控功能。

进一步地，所述指令下达模块用于配置统一的安全策略、网络连接、应用程序白 名单或应用程序设置方式中的一种或多种指令，所述终端设备的指令执行模块根据指令执行 修改终端设备安全策略、修改网络连接、更新应用程序白名单或设置应用程序的操作。在云 端服务器中，管理员将配置好的指令下发至终端设备执行，实现远程批量安全策略管控。

进一步地，所述云端服务器包括应用程序检测控制模块，其用于通过反编译源码 或根据应用程序黑白名单判断上传至云端服务器的应用程序为恶意应用程序或安全应用程序 或未知安全性应用程序，阻止恶意应用程序存储至云端服务器；所述终端设备设有云端应用 程序下载模块，所述终端设备仅能通过云端应用程序下载模块从云端服务器下载应用程序。 在云端服务器杜绝恶意应用程序，仅能从云端服务器下载应用程序，确保终端设备的使用安 全。

进一步地，所述终端设备还包括信息收集模块，其用于记录其网络连接状态、使 用人、电量、应用程序数量、应用程序名称、网络流量、漫游状态或硬件信息中的一种或多 种信息，并上传至云端服务器；所述云端服务器设有资产管理模块，其将信息收集模块收集 的信息生成对应终端设备的信息报表。通过记录终端设备的各种信息，可以区分不同的硬件 设备，实现云端服务器的特定管理功能。

所述终端设备还包括流量报警模块，其用于判断其流量使用量是否大于预设的阈 值流量，若大于，报警。流量报警模块持续监测终端设备信息报表，每隔一段时间就作一次 判断，有效防止超流量造成用户经济损失。

进一步地，所述云端服务器设有关键数据库，其用于存储终端设备的关键数据； 所述终端设备设有关键数据上传模块，其用于上传终端设备的关键数据至云端服务器的关键 数据库；所述终端设备设有关键数据下载模块，其用于从所述关键数据库下载关键数据。关 键数据自动存储和回复可以有效地保证数据的安全性，防止终端设备的数据损毁和丢失的现 象。

进一步地，所述指令下达模块下达的指令还包括文档下发、消息或应用程序更新 指令，所述终端设备的指令执行模块根据指令执行文档下载、阅读消息或更新应用程序的操 作。对于企业应用更新、消息传递、特定文档都能一键下载到终端设备，并可设置文档的下 载、阅读权限等。

一种基于云端服务器的终端设备管理方法，包括以下步骤：

设于终端设备的桌面定制模块利用定制桌面替换终端设备操作系统原有的桌面， 所述定制桌面与原有的桌面相近；设于云端服务器的指令下达模块通过无线网络向一个以上 终端设备下达指令；设于终端设备的指令执行模块通过定制桌面执行所述指令。

进一步地，所述指令下达模块通过无线网络向一个以上终端设备下达安全策略、 网络连接、应用程序白名单、应用程序设置方式、文档下发、消息或应用程序更新中的一种 或多种指令，所述终端设备的指令执行模块根据指令执行修改终端设备安全策略、修改网络 连接、更新应用程序白名单、设置应用程序、执行文档下载、阅读消息或更新应用程序的操 作。

进一步地，所述云端服务器通过反编译源码或根据应用程序黑白名单判断上传至 云端服务器的应用程序为恶意应用程序或安全应用程序或未知安全性应用程序，阻止恶意应 用程序存储至云端服务器；所述终端设备记录其网络连接状态、使用人、电量、应用程序数 量、应用程序名称、网络流量、漫游状态或硬件信息中的一种或多种信息，并生成终端设备 信息报表，所述终端设备信息报表上传至云端服务器；所述终端设备根据终端设备信息报表 判断其流量使用量是否大于预设的阈值流量，若大于，报警。

与现有技术相比，本发明的有益效果在于：

现有的终端设备及设备安全管理软件只能在终端设备上对移动设备及设备安全 进行管控，无法实现远程方式对设备进行集中安全管控。本发明能够针对不同的终端设备， 进行批量设备的统一安全策略管控，方便管理员查看和统计各个终端设备的状态。

附图说明

图1是本发明所述基于云端服务器的终端设备管理系统的结构框图；

图2是本发明所述基于云端服务器的终端设备管理系统的另一实施例结构框图。

图3是本发明所述基于云端服务器的终端设备管理方法的步骤流程图。

具体实施方式

下面将结合附图以及具体实施方法来详细说明本发明，在本发明的示意性实施及 说明用来解释本发明，但并不作为对本发明的限定。

本发明主要是基于云端服务器对终端设备的安全进行有效的管控，对终端设备进 行集中管理。终端设备可以不限制其使用的操作系统，采用安卓操作系统或IOS操作系统或 Windows Phone操作系统均不会影响到实际的操作和应用。通过在终端设备安装客户端软件 和云端服务器控制完成对终端设备的安全管控。

由图1可以看出，本发明所述系统包括终端设备和云端服务器两大主体硬件。在 终端设备有指令执行模块和桌面定制模块。指令执行模块和桌面定制模块均可以通过软件客 户端的形式实现，可以为一体软件的两个功能模块，也可以为分离的软件模块。桌面定制模 块令终端设备在开机后自动进入定制桌面。定制桌面在正常的使用过程中无法退出。定制桌 面将替换系统原有桌面可使用的应用及工具栏等。在定制桌面中有多个分屏,可拖动分屏，拖 动卸载软件等功能，实际功能和框架与原桌面功能框架相近。定制桌面生效后，用户操作终 端设备，通过点击home键，返回键等操作，均进入定制桌面主界面，不返回到系统原生桌面。

且定制桌面只显示云端服务器配置的应用程序白名单中的应用程序。例如：云端 服务器存在一个白名单关联该设备，白名单内容为：QQ应用，浏览器应用，日历应用，电子 邮件应用，则定制桌面只显示这四个应用，其他系统中已安装的应用不显示到白名单中，在 定制桌面也不显示。定制桌面将非白名单中的应用程序隐藏起来，用户也无法通过其它方式 调出使用。

当用户通过一些其他手段，使用非白名单的应用程序，则会被定制桌面拦截。例 如：终端设备通过A客户端连接电脑时，终端设备中安装的A客户端会自动启动。定制桌面 判断A客户端为非白名单应用，不允许启动，定制桌面启动应用拦截机制，弹出提示不允许 使用非白名单应用，并强制关闭A客户端，从而保证用户只能使用定制桌面上应用的效果。

由于定制桌面已经覆盖了替换系统的桌面，其具有原系统桌面的功能。在实际应 用中，多个终端设备对应一个云端服务器。当云端服务器的指令下达模块对若干个终端设备 下达各种指令时，指令执行模块通过定制桌面执行下达的指令。实现了云端服务器下发指令， 下发安全配置方式对终端设备进行统一管控。尤其是针对企业的终端设备管理，可实现对企 业内部所有或者指定终端设备的统一安全管控。

在云服务器中，指令下达模块相当于管理软件的一部分。管理员可以通过指令下 达模块对与其联网的终端设备下达各种指令。其中包括配置统一的安全策略、网络连接、应 用程序白名单或应用程序设置方式中的一种或多种指令。安全策略是指用于所有与安全相关 活动的一套规则，每一个操作系统中均有不同的安全策略。在云服务器中配置统一的安全策 略后，将安全策略下达至终端设备，由终端设备的指令执行模块通过定制桌面执行所述安全 策略指令，可以实现对所有的终端设备进行统一的安全管控，不用每一台终端设备手动配置， 提高生产效率，降低人工成本。配置安全策略包括指令执行模块可通过操作系统提供的接口 强制终端设备设置密码，同时能在终端设备越狱后第一时间将终端设备越狱信息上传至云端 服务器，通过发送邮件至云端服务器的方式提醒管理员。同理，网络连接也可以下达。例如 指定连接某个WIFI，当无法连接时，说明超出了该范围，此时不允许超出其网络覆盖范围使 用终端设备，可以进一步控制终端设备的使用地点。在云端服务器设置好应用程序白名单后， 通过联网统一下达到各个终端设备，可以有效地更新各个终端设备的应用程序白名单，进一 步加强安全。在某些应用程序中根据不同的权限使用不同的功能。通过在云端服务器将这些 应用程序的通过在云端服务器设置好相应的权限并通过网络下发到指定或者各个终端设备， 就可以实现所有终端设备或者部分终端设备的同步性。例如，在某些应用程序中暂时开启更 高权限，通过在云端服务器设置好开启更高权限所需要的密匙，通过统一下发至终端设备， 可以避免密匙直接交给终端设备使用者带来的密匙泄漏的安全问题。

指令下达模块可以实现更多的功能。指令下达模块将下达的指令发送至终端设备 时，终端设备接收到下达的指令，并执行包括文档下载、阅读消息、更新应用程序、修改终 端设备安全策略、修改网络连接、更新应用程序白名单或设置应用程序的操作。例如，在云 端服务器上传多个文档，与云端服务器连接的终端设备均有唯一的识别码，通过识别码可以 区分不同的终端设备。在云端服务器中直接向指定的若干个终端设备执行文档下发，终端设 备接收到文档下发指令后，终端设备的指令执行模块下周指定的下发的文档。阅读消息、更 新应用程序、修改终端设备安全策略、修改网络连接、更新应用程序白名单或设置应用程序 的操作均和文档下发的原理相同，此处不赘述。

如图2所示，为了进一步保证终端设备的安全，云端服务器还包括应用程序检测 控制模块。应用程序检测控制模块可以通过反编译源码判断上传到云端服务器的应用程序为 何种应用程序。根据现有的反编译源码可以判断出应用程序为安全应用程序或恶意应用程序 或未知应用程序。应用程序检测控制模块也可以根据应用程序黑白名单判断上传至云端服务 器的应用程序为恶意应用程序或安全应用程序或未知安全性应用程序。在有了判断结果后， 应用程序检测控制模块删除上传至云端服务器的恶意应用程序存储，防止该恶意应用程序散 播。为了从企业角度进一步保证终端设备的安全性，终端设备不允许下载外部的未知来源的 应用程序。通过在终端设备设置云端应用程序下载模块并限制其下载源，令终端设备仅能通 过云端应用程序下载模块从云端服务器下载应用程序即可进一步保证终端设备的安全性。另 外，应用程序黑白名单根据现有技术在云端服务器上制作或外部制作后上传至云端服务器。 当终端设备连接至云端服务器后，终端设备自动下载该黑白名单。只有在白名单中的应用程 序，终端设备才可以使用，并显示到定制桌面上。如果在终端设备访问非白名单的应用程序， 定制桌面会自动拦截并提醒用户无法使用非白名单应用程序，并退出非白名单应用程序。

终端设备还包括信息收集模块，其用于记录其网络连接状态、使用人、电量、应 用程序数量、应用程序名称、网络流量、漫游状态或硬件信息中的一种或多种信息，并上传 至云端服务器，方便管理员进行设备资产查看及统计。记录终端设备的网络连接状态，包括 记录连接的网络为GPRS或WIFI，连接的WIFI名称是哪个等信息。通过记录终端设备当前的 位置确定其是否处于漫游状态。当该终端设备的电话卡为某个城市或省份或国家时，该终端 设备被携带至另一个城市或省份或者国家时，通过GPS上的坐标即可知道其是否处于漫游状 态。硬件信息包括硬件配置、手机串号、型号等信息。其中，终端设备还包括流量报警模块， 其用于判断其流量使用量是否大于预设的阈值流量，若大于，报警。流量报警模块可统计用 户流量情况并告警，统计用户漫游与否状态并告警，有效保证企业的终端设备的管理。

所述云端服务器设有关键数据库，其用于存储终端设备的关键数据。终端设备设 有关键数据上传模块，其用于上传终端设备的关键数据至云端服务器的关键数据库。所述终 端设备设有关键数据下载模块，其用于从所述关键数据库下载关键数据。对于需要确保最少 停机时间和最大生产力的企业来说，业务连续性至关重要，关键数据的备份和恢复起着不可 或缺的作用。上传模块和下载模块根据实际的需求自动或人工触发。

终端设备支持违规拷贝的保护。指令执行模块包括加密单元，其用于对外置存储 介质和内置存储介质的数据加密功能。通过加密单元对外置存储介质或者内置存储介质的加 密，可以防止终端设备的数据泄密。

通过终端设备内置的各个模块，在开机后自动运行，连接云端服务器并注册设备 信息，并按照云端服务端设定的安全策略对其指数进行安全管控。通过信息收集模块实时收 集设备相关信息，如位置信息、流量信息等。当移动设备的网络不通畅时，将读取的信息保 存在终端设备的内置或外置的存储介质上。连接到网络后，将全部记录通过无线的方式传到 云端服务器。云端服务器可远程下发指令，包含控制指令及策略指令等。如果终端设备不在 线，指令将离线缓存到云端服务器，直到终端设备连接云端服务器，立即下发指令。终端设 备收到指令后，按指令对应的操作进行设备安全管控。

图3基于云端服务器的终端设备管理方法的步骤流程图，主要包括以下步骤：

S10：终端设备的桌面定制模块利用定制桌面替换终端设备操作系统原有的桌面。

桌面定制模块令终端设备在开机后自动进入定制桌面。定制桌面在正常的使用过 程中无法退出。定制桌面将替换系统原有桌面可使用的应用及工具栏等。在定制桌面中有多 个分屏,可拖动分屏，拖动卸载软件等功能(实际功能与原桌面功能类似)。定制桌面生效后， 用户操作终端设备，通过点击home键，返回键等操作，均进入定制桌面主界面，不返回到系 统原生桌面，保证了终端设备的安全性。

进一步，为了保证安全，定制桌面只显示云端服务器配置的应用程序白名单中的 应用程序。例如：云端服务器存在一个白名单关联该设备，白名单内容为：QQ应用，浏览器 应用，日历应用，电子邮件应用，则定制桌面只显示这四个应用，其他系统中已安装的应用 不显示到白名单中，在定制桌面也不显示。定制桌面将非白名单中的应用程序隐藏起来，用 户也无法通过其它方式调出使用。

S20：云端服务器的指令下达模块通过无线网络向一个以上终端设备下达指令。

所述指令下达模块通过无线网络，包括GPRS和WIFI等网络向一个以上终端设 备下达安全策略、网络连接、应用程序白名单、应用程序设置方式、文档下发、消息或应用 程序更新中的一种或多种指令。所述云端服务器通过反编译源码或根据应用程序黑白名单判 断上传至云端服务器的应用程序为恶意应用程序或安全应用程序或未知安全性应用程序，阻 止恶意应用程序存储至云端服务器，防止该恶意应用程序散播。所述终端设备记录其网络连 接状态、使用人、电量、应用程序数量、应用程序名称、网络流量、漫游状态或硬件信息中 的一种或多种信息，并上传至云端服务器。所述终端设备根据其流量使用量是否大于预设的 阈值流量，若大于，报警。流量报警模块可统计用户流量情况并告警，统计用户漫游与否状 态并告警，有效保证企业的终端设备的管理。

S30：终端设备的指令执行模块通过定制桌面执行所述指令。

终端设备的指令执行模块根据指令执行修改终端设备安全策略、修改网络连接、 更新应用程序白名单、设置应用程序、执行文档下载、阅读消息或更新应用程序的操作。由 于定制桌面始终都替代了系统的原桌面，所有的指令执行操作都是基于定制桌面而执行。例 如，需要关闭WIFI，则在云端服务器中下达关闭WIFI的指令，终端设备接收到该指令后， 自动在定制桌面下关闭WIFI。

以上对本发明实施例所提供的技术方案进行了详细介绍，本文中应用了具体个例 对本发明实施例的原理以及实施方式进行了阐述，以上实施例的说明只适用于帮助理解本发 明实施例的原理；同时，对于本领域的一般技术人员，依据本发明实施例，在具体实施方式 以及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。