（中國(guó)移動(dòng)通信集團(tuán)設(shè)計(jì)院有限公司，北京 100080）

基于OMA DM標(biāo)準(zhǔn)的移動(dòng)終端管理系統(tǒng)的設(shè)計(jì)

胡萍，于紹晨

（中國(guó)移動(dòng)通信集團(tuán)設(shè)計(jì)院有限公司，北京 100080）

基于OMA DM標(biāo)準(zhǔn)的移動(dòng)終端管理系統(tǒng)可以提供更方便、更有效、更快捷的終端管理方式，并可以為運(yùn)營(yíng)商決策、目標(biāo)營(yíng)銷、網(wǎng)絡(luò)優(yōu)化提供支持。本文結(jié)合中國(guó)移動(dòng)增強(qiáng)售后服務(wù)平臺(tái)的建設(shè)，介紹了基于OMA DM標(biāo)準(zhǔn)的終端管理系統(tǒng)的設(shè)計(jì)，并結(jié)合現(xiàn)網(wǎng)中存在的實(shí)際問(wèn)題給出了解決方案。

OMA DM；移動(dòng)終端管理；固件更新

隨著4G網(wǎng)絡(luò)的投入使用，移動(dòng)數(shù)據(jù)業(yè)務(wù)將日趨豐富和復(fù)雜，業(yè)務(wù)對(duì)移動(dòng)終端的依賴性也越來(lái)越高。終端作為用戶使用移動(dòng)業(yè)務(wù)的載體，成為移動(dòng)運(yùn)營(yíng)服務(wù)體系中不可或缺的重要組成部分。然而，由于移動(dòng)終端本身的復(fù)雜性和不穩(wěn)定性，移動(dòng)數(shù)據(jù)業(yè)務(wù)的發(fā)展也給用戶帶來(lái)了許多麻煩：幾乎所有業(yè)務(wù)都需要在用戶終端上安裝客戶端才能使用；很多業(yè)務(wù)都需要對(duì)終端進(jìn)行相應(yīng)的設(shè)置才能使用；終端出現(xiàn)故障的可能性也越來(lái)越大；終端固件會(huì)慢慢落伍，以至于不能使用新的業(yè)務(wù)。因此為了更方便、更有效、更快捷地對(duì)終端設(shè)備進(jìn)行遠(yuǎn)程管理，移動(dòng)終端管理系統(tǒng)的實(shí)現(xiàn)就顯得尤為重要。

1 OMA DM關(guān)鍵技術(shù)

OMA DM標(biāo)準(zhǔn)是OMA（開放移動(dòng)聯(lián)盟）組織制訂的用于實(shí)現(xiàn)終端設(shè)備管理的標(biāo)準(zhǔn)，為運(yùn)營(yíng)商和終端廠商提供了一種低成本的手段來(lái)維護(hù)管理終端軟件和數(shù)據(jù)。它定義了一套服務(wù)器和終端之間進(jìn)行信息交互的協(xié)議，該協(xié)議中服務(wù)器負(fù)責(zé)向客戶端下發(fā)管理命令，該命令基于SYNCML數(shù)據(jù)同步規(guī)范，采用XML編碼；客戶端植于移動(dòng)終端內(nèi)，解析并執(zhí)行服務(wù)器下發(fā)的管理命令。管理命令包括GET/ADD/REPLACE等，服務(wù)器通過(guò)這些命令讀取終端上現(xiàn)存的管理對(duì)象內(nèi)容，增加新的管理對(duì)象到終端上或更新已有的管理對(duì)象。

1.1 OMA DM管理流程

OMA DM管理終端的流程包括如下。

階段1：終端初始化Bootstrap，主要是對(duì)終端設(shè)備進(jìn)行配置，實(shí)現(xiàn)與服務(wù)器的連接，有3種方式實(shí)現(xiàn)。

(1) Customized Bootstrap，設(shè)備出廠之前由生產(chǎn)商給設(shè)備做Bootstrap，設(shè)備在出廠時(shí)已包含了網(wǎng)絡(luò)及管理服務(wù)器信息。

(2) Bootstrap From Smartcard，設(shè)備通過(guò)插入記憶卡進(jìn)行Bootstrap。

(3) Server Initiated Bootstrap，通過(guò)服務(wù)器遠(yuǎn)程通知設(shè)備進(jìn)行Bootstrap，前提是服務(wù)器已經(jīng)知道設(shè)備地址（URL或電話號(hào)碼）。

階段2：Provisioning and Management，由會(huì)話發(fā)起、會(huì)話建立和會(huì)話管理3步組成。

(1) 會(huì)話發(fā)起階段：由服務(wù)器下發(fā)Notificaiton Initiation Alert消息通知終端設(shè)備建立，或者也可以通過(guò)在終端設(shè)備上的用戶接口，由用戶操作設(shè)備與服務(wù)器建立連接，一些設(shè)備問(wèn)題也會(huì)導(dǎo)致設(shè)備與服務(wù)器建立連接。

(2) 會(huì)話建立階段：終端設(shè)備發(fā)送其設(shè)備信息和認(rèn)證信息，方便服務(wù)器識(shí)別設(shè)備并通知服務(wù)器啟動(dòng)管理會(huì)話。

(3) 會(huì)話管理階段：服務(wù)器啟動(dòng)會(huì)話并向設(shè)備發(fā)送管理消息。

1.2 安全性管理

OMA DM定義了完備的安全管理策略，以保證終端管理過(guò)程中敏感性信息的安全性，具體策略包括如下。

(1) 鑒權(quán)：通過(guò)鑒權(quán)驗(yàn)證終端或服務(wù)器身份。終端和服務(wù)器可以彼此發(fā)送用戶ID和密碼作為鑒權(quán)信息。當(dāng)SYNCML消息頭承載著鑒權(quán)信息時(shí)，鑒權(quán)發(fā)起方選擇將要使用的鑒權(quán)方案。

(2) 私密性：保護(hù)內(nèi)容對(duì)于除了交換信息的雙方外的其他人是保密的。協(xié)議中規(guī)定了兩種類型的私密性，包括使用可以加密的傳輸協(xié)議，如傳輸安全層協(xié)議（TLS）或者HTTPS來(lái)加密管理對(duì)象；或利用介入控制表（ACLS）控制服務(wù)器訪問(wèn)、更新、刪除終端樹中的信息。

2 基于OMA DM的移動(dòng)終端管理系統(tǒng)設(shè)計(jì)

2.1 移動(dòng)終端管理系統(tǒng)架構(gòu)設(shè)計(jì)（如圖1所示）

基于移動(dòng)終端管理系統(tǒng)分為操作及管理兩大需求，系統(tǒng)的體系架構(gòu)采用Web Service分層、分模塊的設(shè)計(jì)思想，按照管理功能與操作實(shí)現(xiàn)物理分離的思想，分成管理域和操作域，兩者之間的數(shù)據(jù)同步、操作控制按照統(tǒng)一的協(xié)議進(jìn)行。移動(dòng)終端管理系統(tǒng)設(shè)置一個(gè)管理域，根據(jù)業(yè)務(wù)的開展情況，應(yīng)可以設(shè)多個(gè)操作域，以滿足分省提供業(yè)務(wù)的能力。

管理域不直接面向終端設(shè)備，負(fù)責(zé)全網(wǎng)數(shù)據(jù)和后臺(tái)交互處理，執(zhí)行管理職能，包括功能管理、信息管理、門戶管理、測(cè)試管理和統(tǒng)計(jì)分析。

操作域完成所有與終端交互的工作，執(zhí)行生產(chǎn)職能，包括終端信息收集、終端參數(shù)配置、固件更新/軟件升級(jí)、應(yīng)用軟件管理/升級(jí)、鎖定與重置、終端自注冊(cè)。

執(zhí)行接口層為管理域和操作域之間的內(nèi)部接口，實(shí)現(xiàn)任務(wù)的下發(fā)、數(shù)據(jù)更新及信息同步。

基礎(chǔ)接口層用來(lái)連接其它業(yè)務(wù)系統(tǒng)。

圖1 移動(dòng)終端管理系統(tǒng)體系架構(gòu)圖

2.2 系統(tǒng)接口設(shè)計(jì)

與移動(dòng)終端管理平臺(tái)接口的外部系統(tǒng)主要有WAP網(wǎng)關(guān)、短信網(wǎng)關(guān)ISMG、一級(jí)BOSS、網(wǎng)管系統(tǒng)以及DM管理域與操作域之間的接口等。移動(dòng)終端管理平臺(tái)與相關(guān)網(wǎng)元的接口如圖2所示。

終端管理系統(tǒng)提供的接口如下。

（1）與終端的IOP接口。IOP接口主要實(shí)現(xiàn)終端與終端管理系統(tǒng)之間的終端信息采集、參數(shù)配置、固件升級(jí)等功能。該接口遵循OMA的DM相關(guān)協(xié)議標(biāo)準(zhǔn)，涉及的網(wǎng)元主要包括操作域、WAP網(wǎng)關(guān)和短信網(wǎng)關(guān)等。

圖2 終端管理系統(tǒng)接口圖

（2）管理域和操作域之間的內(nèi)部接口。管理域要執(zhí)行的信息采集、參數(shù)配置、固件升級(jí)等任務(wù)，通過(guò)該內(nèi)部接口，將任務(wù)通知下發(fā)給操作域；操作域執(zhí)行任務(wù)的狀態(tài)報(bào)告、以及從用戶終端采集到的機(jī)卡配對(duì)信息、終端動(dòng)態(tài)信息等數(shù)據(jù)，通過(guò)該內(nèi)部接口上傳到管理域。任務(wù)通知接口遵循HTTP1.0/1.1協(xié)議、SOAP1.1/1.2協(xié)議，狀態(tài)報(bào)告、信息同步接口遵循FTP協(xié)議。

（3）與短信網(wǎng)關(guān)ISMG的接口。終端管理系統(tǒng)與短信網(wǎng)關(guān)的接口主要實(shí)現(xiàn)終端開機(jī)短信自注冊(cè)、WAP Push通知、用戶配置請(qǐng)求短信等功能，遵循CMPP2.0協(xié)議。

（4）與BOSS的接口。終端管理系統(tǒng)與BOSS之間存在兩類方式接口：文件方式和實(shí)時(shí)接口。文件方式接口主要用于實(shí)現(xiàn)終端管理系統(tǒng)原始服務(wù)使用記錄的上傳等功能。BOSS從管理域采集原始服務(wù)使用記錄。實(shí)時(shí)接口用于通過(guò)BOSS對(duì)用戶狀態(tài)（停機(jī)銷號(hào)信息、GPRS開通信息）的實(shí)時(shí)查詢，管理域還將通過(guò)實(shí)時(shí)接口向BOSS提供客服支持功能。

（5）與WAP網(wǎng)關(guān)的HTTP1.0/1.1接口。該接口主要用于傳送用戶終端與終端管理系統(tǒng)之間的DM交互消息，涉及的網(wǎng)元有操作域和WAP網(wǎng)關(guān)。當(dāng)分設(shè)多個(gè)操作域時(shí)，由WAP網(wǎng)關(guān)向ENUM DNS查詢用戶所屬的DM操作域，并將用戶請(qǐng)求重定向到相應(yīng)的DM操作域。ENUM DNS與終端管理平臺(tái)并沒(méi)有直接的接口。

（6）與網(wǎng)管系統(tǒng)的接口。該接口主要用于網(wǎng)管系統(tǒng)從終端管理系統(tǒng)采集網(wǎng)管數(shù)據(jù)，遵循SNMP協(xié)議。涉及的網(wǎng)元有管理域、操作域和全國(guó)網(wǎng)管系統(tǒng)。

2.3 移動(dòng)終端管理系統(tǒng)其它需要考慮的問(wèn)題

2．3．1 其它協(xié)議存量終端的管理

對(duì)于目前市場(chǎng)上存在著大量存量終端，其并不支持OMA DM規(guī)范，無(wú)法通過(guò)OMA DM的方式對(duì)其進(jìn)行管理。為了避免用戶及客服人員對(duì)該類存量終端進(jìn)行繁瑣的參數(shù)配置操作，移動(dòng)終端管理系統(tǒng)應(yīng)提供基于CP配置的功能，以便終端用戶及運(yùn)營(yíng)商客服人員通過(guò)遠(yuǎn)程的、自動(dòng)的方式，對(duì)終端上的業(yè)務(wù)參數(shù)進(jìn)行配置。CP配置功能應(yīng)對(duì)普遍使用的OMA CP、OTASS和Nokia Smart Messaging協(xié)議進(jìn)行支持，同時(shí)能兼容其它的終端配置協(xié)議，CP功能模塊獨(dú)立于DM移動(dòng)終端管理系統(tǒng)，采用單獨(dú)的短信接入號(hào)碼。為了實(shí)現(xiàn)CP功能全網(wǎng)統(tǒng)一管理，保證最終用戶業(yè)務(wù)體驗(yàn)一致性，最大限度降低建設(shè)、管理和運(yùn)營(yíng)成本，減少多個(gè)廠家?guī)?lái)的重復(fù)終端適配問(wèn)題，建議移動(dòng)終端管理系統(tǒng)操作域和管理域采用一個(gè)廠家的CP產(chǎn)品。具體的集成方案如圖3所示。

圖3 CP集成方案

在移動(dòng)終端管理系統(tǒng)管理域設(shè)置統(tǒng)一的全網(wǎng)CP終端能力信息庫(kù)進(jìn)行集中管理，CP終端型號(hào)及能力信息在移動(dòng)終端管理系統(tǒng)的管理域統(tǒng)一管理并下發(fā)，并由管理域向各操作域的CP 能力信息庫(kù)統(tǒng)一下發(fā)。管理域及其包含的CP 能力信息庫(kù)應(yīng)提供用戶頁(yè)面用于終端的添加、刪除、修改、審批以及CP能力信息下發(fā)。

在各操作域設(shè)置CP終端能力信息庫(kù)，操作域的CP終端能力信息庫(kù)應(yīng)支持從管理域的CP終端能力信息庫(kù)接收被批準(zhǔn)下發(fā)的更新數(shù)據(jù)及更新后描述信息。CP能力信息機(jī)制應(yīng)提供方法讓操作域?qū)崟r(shí)獲知是否發(fā)生了新的CP信息更新，以及哪些信息發(fā)生了更新。操作域應(yīng)允許本地的CP終端信息庫(kù)根據(jù)管理域下發(fā)的CP數(shù)據(jù)更新其原有信息。在更新流程中，操作域及其本地CP信息庫(kù)均無(wú)需重啟。

2．3．2 接入前置機(jī)的設(shè)置

由于移動(dòng)終端管理系統(tǒng)分成DM管理域和DM操作域，且隨著終端數(shù)量的增加將會(huì)存在多套操作域系統(tǒng)的情況，而DM和CP業(yè)務(wù)的接入點(diǎn)均是唯一的，所以需要在操作域和短信網(wǎng)關(guān)/GGSN之間設(shè)置1個(gè)短信接入前置機(jī)/HTTP接入前置機(jī)。接入前置機(jī)連接操作域，將短信/HTTP請(qǐng)求路由到正確的操作域，并存儲(chǔ)所有未被DM操作域取走的請(qǐng)求信息。接入前置機(jī)獨(dú)立于移動(dòng)終端管理系統(tǒng)的功能模塊，其放置在管理域和操作域均可，如圖4所示。

3 安全方案

圖4 前置機(jī)接入示意圖

(1) 組網(wǎng)安全。為了提高DM平臺(tái)的系統(tǒng)安全性，將DM平臺(tái)對(duì)外提供的服務(wù)進(jìn)行分類，一類為面向全網(wǎng)開放的服務(wù)，如自服務(wù)門戶、測(cè)試門戶等；另一類為只向限定的IP地址集合開放的服務(wù)，如管理門戶、自注冊(cè)短信模塊等。組網(wǎng)上將把面向全網(wǎng)開放的服務(wù)部署到防火墻DMZ（非軍事化區(qū)）區(qū)域中，而把只向限定的IP地址集合開放的服務(wù)隔離到非DMZ區(qū)域中。DMZ區(qū)域中的設(shè)備與非DMZ區(qū)域中的設(shè)備之間處于網(wǎng)絡(luò)隔離狀態(tài)，僅通過(guò)防火墻互聯(lián)。DMZ區(qū)域中的設(shè)備只能通過(guò)防火墻設(shè)定的訪問(wèn)權(quán)限，訪問(wèn)非DMZ區(qū)域中的設(shè)備；非DMZ區(qū)域中的設(shè)備，可無(wú)限制訪問(wèn)DMZ區(qū)域中的設(shè)備。

(2) 信息安全。所有用戶相關(guān)數(shù)據(jù)本地強(qiáng)加密保存，并且通過(guò)完善的鑒權(quán)機(jī)制保證安全。同時(shí)具備完善的日志審計(jì)功能。

Design of mobile terminal management system based on OMA DM

HU Ping, YU Shao-chen
(China Mobile Group Design Institute Co., Ltd., Beijing 100080, China)

Mobile terminal management system based on OMA DM can provide more convenient, more effective, faster way to manage mobile terminal, also can provide support to mobile operator for decision-making, target marketing, network optimization. This paper introduces the design of mobile terminal management system based on OMA DM considering the construction of CMCC enhancing after-sales service platform. Finally the paper gives solution of the problems exist in the network.

OMA DM; management of mobile terminal; update of f rmware

TN929.5

A

1008-5599（2014）08-0029-04

2014-05-28