本发明涉及通信技术领域,尤其涉及一种基于emm生成管控策略的方法、终端设备、服务端及系统。
背景技术:
随着移动互联网时代的到来,使企业移动管理面临新的问题。相比pc时代,移动互联网时代更加分散化、设备化、场景化。为顺应时代潮流,企业在移动化方面的需求也在不断增加,企业进行数字化转型或成发展趋势,即企业移动管理(enterprisemobilitymanagement,emm)),是企业在信息化运营中使用的新型解决方案。emm是一套实现企业员工安全的使用手机、平板等移动终端进行移动化工作的技术平台与管理方法。emm通过移动信息化技术和管理手段,针对企业移动信息化建设过程中涉及到的企业移动设备、应用、信息等内容提供信息化管理的解决方案与服务。对企业各式各样、纷繁杂乱的移动智能终端及应用进行系统化、规范化的管理,以解决企业移动智能终端的安全、应用管理、统一配置、文档分发等各种问题,以让企业始终走在移动安全的正轨上。
而现有的对移动终端设备的管理主要基于策略实现,emm的三个组成部分(mdm、mam、mcm)从多角度对移动设备进行管理,每个核心包含多项管理内容,每一项的具体实现则依赖策略提供支持。在企业中,使用emm进行管理的移动设备往往数量庞大,因此需要进行集中化管理。目前,emm一般采用c/s模式,部署一台服务器,负责存储和下发各项设备的管控策略。在传统模式下,emm管理员以组为单位,为各个部门的设备统一配置管控策略。同一分组下的不同员工,因个人之间存在差异,所用设备的管控力度需求可能不同,而且这种需求会随公司组织调整而发生变化。传统的集中化管理模式下,依赖管理员人工制定策略,存在效率有限、准确性无法确定等问题,难以解决如此细粒度的需求差异,使用者的体验度会大打折扣。
技术实现要素:
针对现有的基于emm(企业移动管理)存在的上述问题,现提供一种旨在实现根据不同的情景信息动态的生成对应的管控策略的基于emm生成管控策略的方法、终端设备、服务端及系统。
具体技术方案如下:
一种基于emm生成管控策略的方法,其中,包括以下步骤:
获取终端设备的情景信息,其中,所述情景信息包括终端设备所处的环境信息;
将所述情景信息作为输入通过机器学习模型生成对应的管控策略,所述终端设备根据所述管控策略执行相应的权限管理。
优选的,所述终端设备的环境信息的获取包括:
所述终端设备获取的网络状态信息、地理位置信息以及生物认证信息。
优选的,所述情景信息还包括态势感知信息,所述态势感知信息为所有所述终端设备在同一时间发生的安全事件。
优选的,采用机器学习模型生成所述管控策略的方法还包括:
判断所述机器学习模型生成的所述管控策略是否满足预期所需的管控策略;
当不满足时,将所述预期的管控策略作为训练数据对所述机器学习模型进行训练,以形成优化后的所述机器学习模型。
还包括一种终端设备,其中,包括:
获取模块,用以获取情景信息,其中,所述情景信息包括终端设备的环境信息;
收发模块,用以将所述情景信息发送至服务端,所述服务端将所述情景信息作为输入通过机器学习模型生成对应的管控策略,并响应所述终端设备的请求将所述管控策略发送至对应的所述终端设备。;
权限管理模块,用以根据所述管控策略执行相应的权限管理。
还包括一种服务端,其中,包括:
接收模块,用以接收终端设备发送的情景信息,其中,所述情景信息包括终端设备的环境信息;
策略生成模块,用以将所述情景信息作为输入通过机器学习模型生成对应的管控策略,并响应所述终端设备的请求将所述管控策略发送至对应的所述终端设备。。
优选的,所述模型优化模块包括:
判断模块,用以判断所述机器学习模型生成的所述管控策略是否满足预期所需的管控策略;
数据训练模块,当不满足时,将所述预期的管控策略作为训练数据对所述机器学习模型进行训练,以形成优化后的所述机器学习模型。
还包括一种基于emm生成管控策略的系统,其中,包括上述的终端设备和上述的服务端组成。上述技术方案的有益效果是:
基于终端设备的情景信息采用机器学习模型可动态的生成对应的管控策略,克服了现有的管控策略为静态的无法适应终端设备变换环境的问题;
根据情景信息的变化,可生成与情景信息更为匹配的管控策略,克服了现有的管控策略为固定的不可随情景信息变化而变化的问题;
可实时的对机器学习模型进行优化,以满足针对情景信息的变化生成更准确的管控策略。
附图说明
图1为本发明的一种基于emm生成管控策略的方法的实施例的流程示意图;
图2为本发明的一种基于emm生成管控策略的方法的实施例中,关于机器学习模型训练的流程示意图;
图3为本发明的一种终端设备的实施例的结构示意图;
图4为本发明的一种服务端的实施例的结构示意图;
图5为本发明的一种服务端的另一实施例中的结构示意图;
图6为本发明的一种基于emm生成管控策略的系统实施例的结构示意图。
上述附图标记表示:
1、终端设备;2、服务端;
11、获取模块;12、收发模块;13、权限管理模块。
21、接收模块;22、策略生成模块;23、判断模块;24、数据训练模块。
具体实施方式
下面结合附图和具体实施例对本发明作进一步说明,但不作为本发明的限定。
需要说明的是,在不冲突的前提下,以下描述的实施例以及实施例中的技术特征可以相互组合。
本发明的技术方案中提供一种基于emm生成管控策略的方法。
如图1所示,一种基于emm生成管控策略的方法的实施例,其中,包括以下步骤:
获取终端设备的情景信息,其中,所述情景信息包括终端设备所处的环境信息;
将所述情景信息作为输入通过机器学习模型生成对应的管控策略,所述终端设备根据所述管控策略执行相应的权限管理。
针对现有的终端设备具有的移动性,在企业外部办公时,设备处在一种开放环境下。针对一些典型场景,还可以通过预置静态策略切换来满足需求,但开放环境下的场景复杂多变,难以预测,难免与典型场景存在偏差,传统的静态策略模式无法满足更细粒度的环境适应需求的问题。
上述技术方案中,通过机器学习模型将终端设备获取的情景信息作为输入,生成对应的管控策略,管控策略用以供终端设备执行相应的权限管控操作;
其中,管控策略按被管理对象其权限管理操作可以分为3类:设备管理(手机的硬件)、内容管理(手机上存储的资料)、应用管理(手机上的应用)。
以下以一种具体实施例进行说明:
场景一、我们假设小亮是公司业务人员,他平时的工作就是到其他公司介绍公司产品。这次,他和公司b的负责人谈一项业务,地点选在公司b附近的咖啡厅。小亮通过公司的终端设备(办公手机)向对方介绍产品,而所展示的内容是通过网络从公司本部的服务器获取的。小亮也需要将本次谈话的结果记录到公司办公系统,所以需要将手机联网。恰好,咖啡厅提供免费wifi。小亮的手机在这次商务事务中所处的情景信息(环境信息)是不安全的。
首先,小亮向对方展示的内容涉及公司机密,一旦被人窥视,或者手机不小心丢失,会造成数据的直接泄露。
其次,咖啡厅的网络是不安全的,因为免费wifi是公开的,别有用心的人能够有概率窃取到在网络中传输的数据。
针对当前的终端设备所处的环境,将生成高防护能力的策略,专门应对类似不安全的外部环境。
在一种较优的实施方式,终端设备的环境信息的获取包括:
终端设备获取的网络状态信息、地理位置信息以及生物认证信息。
上述技术方案中,情景信息的获取需要终端设备的传感器支持,即通过蜂窝、wifi、红外线、摄像头、麦克风、gps等传感器,获取终端的网络状态、地理位置、物理环境等信息。
上述的生物认证信息包括,指纹识别、步态识别、无感知认证等。当用户操作手机时,传感器会收集到生物信息,客户端获取模块将从传感器接口获取对应数据。生物认证信息隐含用户的可信度,能间接反映终端的安全环境。这几项信息的获取都依赖手机硬件和硬件接口的支持,其中终端设备可包括具有上述硬件接口支持的智能手机,平板等设备。
在一种较优的实施方式,态势感知信息为所有终端设备在同一时间发生的安全事件。
上述技术方案中,态势感知信息的对象是所有终端设备。举例,当有50%设备在同一时间发生安全事件时,说明整体的网络状态不稳定,其余的50%也面临风险。
对某台设备来说,终端环境信息来自于本终端设备采集,态势感知信息来自于本终端设备之外的其他设备采集、综合分析。
在一种较优的实施方式中,如图2所示,采用机器学习模型生成所述管控策略的方法还包括:
策略生成方法可用简化的表达式表示,y=f(x)中,机器学习模型就是f,x是环境信,y是策略,y2是修正策略(即不满足时,简单处理得到的策略)。
判断所述机器学习模型生成的所述管控策略是否满足预期所需的管控策略;(其中,判断策略是否满足要求,依赖于终端第三方安全软件在策略应用阶段所产生的日志。安全系统产生的日志,可简单分为3个等级:普通、警告、报警。例如,当检测到病毒或者远程入侵时,会产生报警日志。服务端将定期收集和分析客户端安全系统日志,将报警日志的产生时的设备、策略、环境相关联,得到不满足安全要求的策略y。)
当不满足时,将所述预期的管控策略作为训练数据对所述机器学习模型进行训练,以形成优化后的所述机器学习模型(其中,将不满足安全的策略y进行修正(增强策略安全等级)得到y2,与当时的环境信息x组合形成反馈数据。多个反馈数据组成反馈数据集,用于模型优化。)。
上述技术方案中,机器学习模型可以采用的模型包括:神经网络、线性回归、逻辑回归、支持向量机、贝叶斯分类等。其中优选为神经网络。
在机器学习模型的训练中,终端设备的环境信息、管控策略的格式都已经确定(一维向量),不随模型变化。
本发明的技术方案中还包括一种终端设备。
如图3所示,一种终端设备的实施例,其中,包括:
获取模块,用以获取情景信息,其中,所述情景信息包括终端设备的环境信息;
收发模块,用以将所述情景信息发送至服务端,所述服务端将所述情景信息作为输入通过机器学习模型生成对应的管控策略,并响应终端设备的请求将管控策略发送至对应的终端设备。;
权限管理模块,用以根据所述管控策略执行相应的权限管理。
上述技术方案中,终端设备通过硬件获取终端设备的环境信息如通过蜂窝、wifi、红外线、摄像头、麦克风、gps等传感器,获取终端的网络状态、地理位置、物理环境等信息;
态势感知信息的对象是所有终端设备。举例,当有50%设备在同一时间发生安全事件时,说明整体的网络状态不稳定,其余的50%也面临风险。
需要说明的是,输出的情景信息是一个一维向量,向量的每个数值的意义是,设备采集的各项环境信息的离散化的值。
情景信息并不是整个方案的最终输出,而是一个中间结果,是“情景信息获取”部分的输出,情景信息输入机器学习模型最终生成管控策略,其中,终端设备的环境信息、管控策略的格式都已经确定(一维向量),不随模型变化。
本发明的技术方案中还包括一种服务端。
如图4所示,一种服务端的实施例,其中,包括:
接收模块,用以接收终端设备发送的情景信息,其中,所述情景信息包括终端设备的环境信息;
策略生成模块,用以将所述情景信息作为输入通过机器学习模型生成对应的管控策略,并响应终端设备的请求将管控策略发送至对应的终端设备。。
上述技术方案中,当终端设备检测到环境变化后,终端设备向管控服务端发送新的情景信息。服务端的机器学习模型输入情景信息,输出相应的管控策略,返回给终端设备。
在一种较优的实施方式中,如图5所示,还包括:
判断模块,用以判断所述机器学习模型生成的所述管控策略是否满足预期所需的管控策略;
数据训练模块,当不满足时,将所述预期的管控策略作为训练数据对所述机器学习模型进行训练,以形成优化后的所述机器学习模型。
上述技术方案中,利用终端设备接触的新情景和制定的新策略,组成新的训练数据,进一步对模型优化。模型在面对新的情景时,依赖旧数据提供的客观规律预测新的策略,策略能够适应大部分情景,但存在部分情景之间差异不明显,策略存在偏差。
模型优化以提高两项性能指数为目标,即可用性(使用者使用体验)、安全性(策略管控能力)。
为进行模型优化,需采集两类数据,第一类数据依赖额外的安全系统(如入侵检测、防火墙等)反馈的安全事件,这些事件能有效反映当前环境下策略的防护能力是否到位、能否满足安全性;第二类数据依赖人工反馈,终端使用者能直观感受到策略对正常工作的影响,当出现策略造成可用性、安全性不佳的情况时,终端使用者能够即时地进行反馈。最终,将两类评估、反馈数据进行整理筛选,用于模型再训练的数据集,实现模型的自我优化。
上述技术方案中,其训练过程与上述的方法相同,此处不再赘述。
本发明的技术方案中还包括一种基于emm生成管控策略的系统。
如图6所示,一种基于emm生成管控策略的系统的实施例,其中,包括上述的多个终端设备1和上述的服务端2组成。
上述技术方案中,以下一种具体实施方式进行说明:
场景二、我们假设小亮是公司业务人员,通过公司的办公手机向其他公司介绍产品。小亮的手机半小时前不小心遗失,但他到目前还没发现。
如果小亮能够及时发现,报告公司,那么移动办公系统能够锁住手机,避免公司外部人员使用。但是,短时间内被外部人员获取到敏感信息的可能性也不是没有。手机除了能获取到网络、地理等信息,还可以通过使用者的操作获得隐式鉴别信息,这个过程对使用者是透明的。一旦手机所有者以外的人使用手机,说明所处的环境是非常不安全的,将生成比场景1更严格的管控策略。
以上所述仅为本发明较佳的实施例,并非因此限制本发明的实施方式及保护范围,对于本领域技术人员而言,应当能够意识到凡运用本发明说明书及图示内容所作出的等同替换和显而易见的变化所得到的方案,均应当包含在本发明的保护范围内。
1.一种基于emm生成管控策略的方法,其特征在于,包括以下步骤:
获取终端设备的情景信息,其中,所述情景信息包括终端设备所处的环境信息;
将所述情景信息作为输入通过机器学习模型生成对应的管控策略,所述终端设备根据所述管控策略执行相应的权限管理。
2.根据权利要求1所述的基于emm生成管控策略的方法,其特征在于,所述终端设备的环境信息的获取包括:
所述终端设备获取的网络状态信息、地理位置信息以及生物认证信息。
3.根据权利要求1所述的基于emm生成管控策略的方法,其特征在于,所述情景信息还包括态势感知信息,所述态势感知信息为所有所述终端设备在同一时间发生的安全事件。
4.根据权利要求1所述的基于emm生成管控策略的方法,其特征在于,采用机器学习模型生成所述管控策略的方法还包括:
判断所述机器学习模型生成的所述管控策略是否满足预期所需的管控策略;
当不满足时,将所述预期的管控策略作为训练数据对所述机器学习模型进行训练,以形成优化后的所述机器学习模型。
5.一种终端设备,其特征在于,包括:
获取模块,用以获取情景信息,其中,所述情景信息包括终端设备的环境信息;
收发模块,用以将所述情景信息发送至服务端,所述服务端将所述情景信息作为输入通过机器学习模型生成对应的管控策略,并响应所述终端设备的请求将所述管控策略发送至对应的所述终端设备。权限管理模块,用以根据所述管控策略执行相应的权限管理。
6.一种服务端,其特征在于,包括:
接收模块,用以接收终端设备发送的情景信息,其中,所述情景信息包括终端设备的环境信息;
策略生成模块,用以将所述情景信息作为输入通过机器学习模型生成对应的管控策略,并响应所述终端设备的请求将所述管控策略发送至对应的所述终端设备。
7.根据权利要求6所述的服务端,其特征在于,还包括:
判断模块,用以判断所述机器学习模型生成的所述管控策略是否满足预期所需的管控策略;
数据训练模块,当不满足时,将所述预期的管控策略作为训练数据对所述机器学习模型进行训练,以形成优化后的所述机器学习模型。
8.一种基于emm生成管控策略的系统,其特征在于,包括权利要求5所述的终端设备,和权利要求7所述的服务端组成。
技术总结