根据2013年苹果为企业级MDM提供的文档 得出以下结论
一、苹果MDM可以提供的功能
1、概述:
a、基本工作流程
苹果企业级MDM方案通过提供一种叫做Configuration Profiles的文件来实现企业级MDM的安全验证;通过IOS MDM COMMAND来实现的各种功能。
这种Configuration Profiles文件实际上是一种XML文件,包含了使设备同企业级系统协作的权限。
这种文件是被签名和加密过的,所以无法改变,也无法分享给其他机器。
这种文件被安装在设备上,安装的途径如下:
a、使用苹果官方的「iPhone 配置实用工具.app」创建描述文件,将配置描述文件安装到通过 USB 端口与电脑连接的设备上;
b、通过电子邮件或网页分发配置描述文件;
上述两种方式是常规的配置文件安装方式
企业级MDM安装方式如下:
c、移动设备管理服务器,则可以分发仅包含服务器配置信息的初始描述文件,然后让设备以无线方式获取所有其他描述文件。
它的工作流程如下:
第一步:将包含了Third-Party MDM Server信息的Configuration Profile发送到设备。这将会给用户呈现哪些信息将会被第三方服务器管理和查询。
第二步:设备安装Configuration Profile。
第三步:设备接入,第三方服务器验证设备允许接入。
第四步:第三方服务器通过苹果推送服务器向设备发送推送通知,来通知设备执行管理和查询等操作。(这里涉及到苹果系统推送通知,后文会介绍)
第五步:设备执行完任务后,直接与第三方服务器通信,发送执行结果。
b、IOS MDM COMMAND
在第四步里,设备执行管理和查询操作是通过IOS MDM COMMAND来实现的,它实现了一种 MDM COMMAND的协议
所有的指令都是通过plist属性文件来完成的
比如 下面是一个请求UUID信息的command的plist。它定义了RequestType、具体的Command指令
请求的响应也是通过plist文件呈现的,如下
苹果企业级MDM并不是提供私有API接口,而是将私有API接口的调用包装起来,仅仅提供这个包装的接口。
企业级MDM通过这种方式来保护内部API的调用机制。
2、提供的功能
a、设备信息查询
b、设备管理
简单的说 就是提供了以下功能
保证设备安全:远程锁定设备、远程擦除设备数据等
获取设备信息:如IMEI、UDID等
应用分发:非越狱用户可以不通过AppStore下载应用程序、MDM拥有下载安装app的接口
设备配置:管理员可以通过远程向iOS设备推送配置文件,配置设备的网络连接、网络安全和应用程序设置等
备份和恢复:可以将设备上的数据远程备份到指定的服务器上
二、苹果MDM申请布置流程
1、基本流程
参考:http://www.jianshu.com/p/fef831dfe12c
基本步骤如下
a、申请企业开发者账号;(个人开发者账号不能申请MDM证书)(这一步据说需要至少一个月的时间)
b、申请MDM证书;
c、配置MDM服务器,生成Configuration Profile、MDM证书,并将它们安装在设备上
d、推送通知,执行MDM命令,获取结果
2、推送机制
这里顺便提一下IOS系统的推送机制(了解的同学可跳过)
苹果的推送有两种:本地推送、远程推送。这里企业级MDM推送指令是使用的远程推送。
a、申请推送证书。这个证书是用来验证开发者和对应的开发应用的,同时这个证书还用来生成每台设备的UDID。
b、app请求使用推送功能,苹果推送服务器会通过它的推送证书为这台设备生成一个UDID发送给设备。
c、设备拿到UDID后,保存起来,并发送给自己的服务器存储起来。
b、每当有远程推送需求的时候,自己的服务器将向苹果服务器发送一个指令,要给哪台设备(UDID)发送怎样的推送,然后由苹果服务器给设备发送推送通知。(当然,在注册使用推送的时候,用户要同意接收这个app的推送通知)
三、用与不用苹果MDM的区别
1、当前实现的demo中介绍
手机状态监控模块实现如下:
地理位置同步 模块实现如下:
应用列表管理模块实现如下:
2、用与不用MDM企业级的区别
由于MDM中涉及到的功能基本都是需要使用apple的私有API的。
而使用私有API的风险如下:
a、不清楚苹果内部调用这些特定私有API的机制。也不清楚这些机制会不会随着版本的变更而变动。
如,获取应用管理列表这个功能里,需要事先获取LSApplicationWorkspace的defaultworkspace,然后再在里面获取每一个应用的信息合集LSApplicationProxy。
如,短信监听里 需要在IMDaemon中_loadServices里去调用didReceiveMessage函数。直接调用didReceiveMessage是没用的。
b、API随着系统版本的提升不断的改变。
如,锁屏API 在IOS5、6、7中可以调用GraphicsServices.framework/GraphicsServices中的GSEventLockDevice()函数;在8、9中GraphicsServices.framework/GraphicsServices已经没有这个函数了
如,获取IMEI函数 在IOS5、6中可以通过[self coreTelephonyInfoForKey:@"kCTMobileEquipmentInfoIMEI"];在IOS7中可以通过getValue(@"device-imei");来实现 在IOS8、9中均失效
可以肯定的是,apple将会逐步完善保护私有API不被泄露使用,同时apple内部的API调用机制不被人知。
class-dump可以dump出OC函数,然而并不能dump出C函数,apple正是逐步将隐私API转换成C函数。
不用苹果MDM并不是不能够开发出企业级MDM的功能(如上面所述也开发出来了应用列表管理),只不过以上的风险使得开发的难度变得很大,难度主要在
a、不同IOS版本各种功能的适配
b、搞清楚这些API的调用机制、这些API的变动需要花费非常多的时间
c、目前系统内部并没有一套完善的解析IOS系统内部机制的方法(应该要使用逆向工程);以上开发出来的功能都是我在网上找的,网上有的就可以试试,没有的就没办法了
而使用苹果企业MDM 仍然无法了解其系统内部的机制 原因在IOS MDM COMMAND中有阐述过
使用苹果企业MDM 除了第一、二部分介绍的流程外,强调一点:
它不需要使用app,仅仅需要在手机上配置描述文件(Configuration Profile)、建立服务器即可。
参考资料:http://blog.csdn.net/zhaoxy_thu/article/details/10473193
2、描述文件安全概览
http://www.jianshu.com/p/fef831dfe12c