基于OMA DM標準的移動終端管理系統的設計

（中國移動通信集團設計院有限公司，北京 100080）

基于OMA DM標準的移動終端管理系統的設計

胡萍，于紹晨

（中國移動通信集團設計院有限公司，北京 100080）

基于OMA DM標準的移動終端管理系統可以提供更方便、更有效、更快捷的終端管理方式，并可以為運營商決策、目標營銷、網絡優(yōu)化提供支持。本文結合中國移動增強售后服務平臺的建設，介紹了基于OMA DM標準的終端管理系統的設計，并結合現網中存在的實際問題給出了解決方案。

OMA DM；移動終端管理；固件更新

隨著4G網絡的投入使用，移動數據業(yè)務將日趨豐富和復雜，業(yè)務對移動終端的依賴性也越來越高。終端作為用戶使用移動業(yè)務的載體，成為移動運營服務體系中不可或缺的重要組成部分。然而，由于移動終端本身的復雜性和不穩(wěn)定性，移動數據業(yè)務的發(fā)展也給用戶帶來了許多麻煩：幾乎所有業(yè)務都需要在用戶終端上安裝客戶端才能使用；很多業(yè)務都需要對終端進行相應的設置才能使用；終端出現故障的可能性也越來越大；終端固件會慢慢落伍，以至于不能使用新的業(yè)務。因此為了更方便、更有效、更快捷地對終端設備進行遠程管理，移動終端管理系統的實現就顯得尤為重要。

1 OMA DM關鍵技術

OMA DM標準是OMA（開放移動聯盟）組織制訂的用于實現終端設備管理的標準，為運營商和終端廠商提供了一種低成本的手段來維護管理終端軟件和數據。它定義了一套服務器和終端之間進行信息交互的協議，該協議中服務器負責向客戶端下發(fā)管理命令，該命令基于SYNCML數據同步規(guī)范，采用XML編碼；客戶端植于移動終端內，解析并執(zhí)行服務器下發(fā)的管理命令。管理命令包括GET/ADD/REPLACE等，服務器通過這些命令讀取終端上現存的管理對象內容，增加新的管理對象到終端上或更新已有的管理對象。

1.1 OMA DM管理流程

OMA DM管理終端的流程包括如下。

階段1：終端初始化Bootstrap，主要是對終端設備進行配置，實現與服務器的連接，有3種方式實現。

(1) Customized Bootstrap，設備出廠之前由生產商給設備做Bootstrap，設備在出廠時已包含了網絡及管理服務器信息。

(2) Bootstrap From Smartcard，設備通過插入記憶卡進行Bootstrap。

(3) Server Initiated Bootstrap，通過服務器遠程通知設備進行Bootstrap，前提是服務器已經知道設備地址（URL或電話號碼）。

階段2：Provisioning and Management，由會話發(fā)起、會話建立和會話管理3步組成。

(1) 會話發(fā)起階段：由服務器下發(fā)Notificaiton Initiation Alert消息通知終端設備建立，或者也可以通過在終端設備上的用戶接口，由用戶操作設備與服務器建立連接，一些設備問題也會導致設備與服務器建立連接。

(2) 會話建立階段：終端設備發(fā)送其設備信息和認證信息，方便服務器識別設備并通知服務器啟動管理會話。

(3) 會話管理階段：服務器啟動會話并向設備發(fā)送管理消息。

1.2 安全性管理

OMA DM定義了完備的安全管理策略，以保證終端管理過程中敏感性信息的安全性，具體策略包括如下。

(1) 鑒權：通過鑒權驗證終端或服務器身份。終端和服務器可以彼此發(fā)送用戶ID和密碼作為鑒權信息。當SYNCML消息頭承載著鑒權信息時，鑒權發(fā)起方選擇將要使用的鑒權方案。

(2) 私密性：保護內容對于除了交換信息的雙方外的其他人是保密的。協議中規(guī)定了兩種類型的私密性，包括使用可以加密的傳輸協議，如傳輸安全層協議（TLS）或者HTTPS來加密管理對象；或利用介入控制表（ACLS）控制服務器訪問、更新、刪除終端樹中的信息。

2 基于OMA DM的移動終端管理系統設計

2.1 移動終端管理系統架構設計（如圖1所示）

基于移動終端管理系統分為操作及管理兩大需求，系統的體系架構采用Web Service分層、分模塊的設計思想，按照管理功能與操作實現物理分離的思想，分成管理域和操作域，兩者之間的數據同步、操作控制按照統一的協議進行。移動終端管理系統設置一個管理域，根據業(yè)務的開展情況，應可以設多個操作域，以滿足分省提供業(yè)務的能力。

管理域不直接面向終端設備，負責全網數據和后臺交互處理，執(zhí)行管理職能，包括功能管理、信息管理、門戶管理、測試管理和統計分析。

操作域完成所有與終端交互的工作，執(zhí)行生產職能，包括終端信息收集、終端參數配置、固件更新/軟件升級、應用軟件管理/升級、鎖定與重置、終端自注冊。

執(zhí)行接口層為管理域和操作域之間的內部接口，實現任務的下發(fā)、數據更新及信息同步。

基礎接口層用來連接其它業(yè)務系統。

圖1 移動終端管理系統體系架構圖

2.2 系統接口設計

與移動終端管理平臺接口的外部系統主要有WAP網關、短信網關ISMG、一級BOSS、網管系統以及DM管理域與操作域之間的接口等。移動終端管理平臺與相關網元的接口如圖2所示。

終端管理系統提供的接口如下。

（1）與終端的IOP接口。IOP接口主要實現終端與終端管理系統之間的終端信息采集、參數配置、固件升級等功能。該接口遵循OMA的DM相關協議標準，涉及的網元主要包括操作域、WAP網關和短信網關等。

圖2 終端管理系統接口圖

（2）管理域和操作域之間的內部接口。管理域要執(zhí)行的信息采集、參數配置、固件升級等任務，通過該內部接口，將任務通知下發(fā)給操作域；操作域執(zhí)行任務的狀態(tài)報告、以及從用戶終端采集到的機卡配對信息、終端動態(tài)信息等數據，通過該內部接口上傳到管理域。任務通知接口遵循HTTP1.0/1.1協議、SOAP1.1/1.2協議，狀態(tài)報告、信息同步接口遵循FTP協議。

（3）與短信網關ISMG的接口。終端管理系統與短信網關的接口主要實現終端開機短信自注冊、WAP Push通知、用戶配置請求短信等功能，遵循CMPP2.0協議。

（4）與BOSS的接口。終端管理系統與BOSS之間存在兩類方式接口：文件方式和實時接口。文件方式接口主要用于實現終端管理系統原始服務使用記錄的上傳等功能。BOSS從管理域采集原始服務使用記錄。實時接口用于通過BOSS對用戶狀態(tài)（停機銷號信息、GPRS開通信息）的實時查詢，管理域還將通過實時接口向BOSS提供客服支持功能。

（5）與WAP網關的HTTP1.0/1.1接口。該接口主要用于傳送用戶終端與終端管理系統之間的DM交互消息，涉及的網元有操作域和WAP網關。當分設多個操作域時，由WAP網關向ENUM DNS查詢用戶所屬的DM操作域，并將用戶請求重定向到相應的DM操作域。ENUM DNS與終端管理平臺并沒有直接的接口。

（6）與網管系統的接口。該接口主要用于網管系統從終端管理系統采集網管數據，遵循SNMP協議。涉及的網元有管理域、操作域和全國網管系統。

2.3 移動終端管理系統其它需要考慮的問題

2．3．1 其它協議存量終端的管理

對于目前市場上存在著大量存量終端，其并不支持OMA DM規(guī)范，無法通過OMA DM的方式對其進行管理。為了避免用戶及客服人員對該類存量終端進行繁瑣的參數配置操作，移動終端管理系統應提供基于CP配置的功能，以便終端用戶及運營商客服人員通過遠程的、自動的方式，對終端上的業(yè)務參數進行配置。CP配置功能應對普遍使用的OMA CP、OTASS和Nokia Smart Messaging協議進行支持，同時能兼容其它的終端配置協議，CP功能模塊獨立于DM移動終端管理系統，采用單獨的短信接入號碼。為了實現CP功能全網統一管理，保證最終用戶業(yè)務體驗一致性，最大限度降低建設、管理和運營成本，減少多個廠家?guī)淼闹貜徒K端適配問題，建議移動終端管理系統操作域和管理域采用一個廠家的CP產品。具體的集成方案如圖3所示。

圖3 CP集成方案

在移動終端管理系統管理域設置統一的全網CP終端能力信息庫進行集中管理，CP終端型號及能力信息在移動終端管理系統的管理域統一管理并下發(fā)，并由管理域向各操作域的CP 能力信息庫統一下發(fā)。管理域及其包含的CP 能力信息庫應提供用戶頁面用于終端的添加、刪除、修改、審批以及CP能力信息下發(fā)。

在各操作域設置CP終端能力信息庫，操作域的CP終端能力信息庫應支持從管理域的CP終端能力信息庫接收被批準下發(fā)的更新數據及更新后描述信息。CP能力信息機制應提供方法讓操作域實時獲知是否發(fā)生了新的CP信息更新，以及哪些信息發(fā)生了更新。操作域應允許本地的CP終端信息庫根據管理域下發(fā)的CP數據更新其原有信息。在更新流程中，操作域及其本地CP信息庫均無需重啟。

2．3．2 接入前置機的設置

由于移動終端管理系統分成DM管理域和DM操作域，且隨著終端數量的增加將會存在多套操作域系統的情況，而DM和CP業(yè)務的接入點均是唯一的，所以需要在操作域和短信網關/GGSN之間設置1個短信接入前置機/HTTP接入前置機。接入前置機連接操作域，將短信/HTTP請求路由到正確的操作域，并存儲所有未被DM操作域取走的請求信息。接入前置機獨立于移動終端管理系統的功能模塊，其放置在管理域和操作域均可，如圖4所示。

3 安全方案

圖4 前置機接入示意圖

(1) 組網安全。為了提高DM平臺的系統安全性，將DM平臺對外提供的服務進行分類，一類為面向全網開放的服務，如自服務門戶、測試門戶等；另一類為只向限定的IP地址集合開放的服務，如管理門戶、自注冊短信模塊等。組網上將把面向全網開放的服務部署到防火墻DMZ（非軍事化區(qū)）區(qū)域中，而把只向限定的IP地址集合開放的服務隔離到非DMZ區(qū)域中。DMZ區(qū)域中的設備與非DMZ區(qū)域中的設備之間處于網絡隔離狀態(tài)，僅通過防火墻互聯。DMZ區(qū)域中的設備只能通過防火墻設定的訪問權限，訪問非DMZ區(qū)域中的設備；非DMZ區(qū)域中的設備，可無限制訪問DMZ區(qū)域中的設備。

(2) 信息安全。所有用戶相關數據本地強加密保存，并且通過完善的鑒權機制保證安全。同時具備完善的日志審計功能。

Design of mobile terminal management system based on OMA DM

HU Ping, YU Shao-chen
(China Mobile Group Design Institute Co., Ltd., Beijing 100080, China)

Mobile terminal management system based on OMA DM can provide more convenient, more effective, faster way to manage mobile terminal, also can provide support to mobile operator for decision-making, target marketing, network optimization. This paper introduces the design of mobile terminal management system based on OMA DM considering the construction of CMCC enhancing after-sales service platform. Finally the paper gives solution of the problems exist in the network.

OMA DM; management of mobile terminal; update of f rmware

TN929.5

A

1008-5599（2014）08-0029-04

2014-05-28