利用SyncML DM,行動系統業者或者系統供應商能透過網際網路更新用戶行動電話的軟體,處理問題,並且安裝應用軟體。因此,用戶不必返回客服中心或者更換檢修行動裝置的硬體。規定一種設備管理的制度,表示這間公司將有更好的效率控管和公司機密安全。
SyncML DM設備管理的緣起
在SyncML DM設備管理的領域內,一些主要公司像Mobilethink、SmartTrust、Bitfone公司、Innopath、 mFormation以及像是IBM和惠普那樣的系統整合者全都有規劃設備管理整體解決方案。開放行動標準聯盟OMA底下有一個設備管理工作小組(OMA-DM)專門致力於建立設備管理的標準,而在國內,資訊工業策進會也在運用此領域技術,針對企業用戶著眼開發眾多設備管理的整體應用方案。
SyncML DM(Device Management設備管理)的設計團隊是在2001年開始發展,而在2002年1月在阿姆斯特丹舉行公開的即時應用示範。那時,SyncML DM立即展現經由5個不同的伺服器連接到5個不同的手持式裝置,並改變其中相關的喜好設定參數。設計團隊在2002年2月釋出了SyncML DM 1.1版本。 而SyncML DM設備管理1.1.1是當今現行的版本。
為什麼需要設備管理?
IBM 主席曾說過一句話「... 10億人正在使用1萬億台智慧型設備連接100萬套電子商務系統並相互作用 ...」
在今天快速行動計算設備的世界裡,充斥著無所不在的資訊網站入口。市場不久將充滿不同類型的設備。這些利用網路查找資訊包括個人數位助理(PDA),以及更多興起的消費者導向服務應用的設備,例如車內的資訊系統、家庭服務閘道器、數位機上盒(set-top boxes)。而那些設備會變得更受歡迎並且設計得更錯綜複雜:安裝和重新配置設備,更新軟體的任務,自動註冊新服務等等對使用者來說,這樣的操作過程將變得更困難。因此,我們需要允許服務提供商,設備製造商和共同的訊息管理部門可以達到遠端進行下列任務的標準規範︰
■設定新設備
■更新設備上相關軟體
■上載新應用
■執行備份和恢復資料
■追蹤硬體模組清單
■從設備收集資料
■遠端裝置控制
■實現服務的探索和部署
而在寫這邊文章的同時,SyncML DM設備管理協議 -- 已經在主要的工商業成員中獲得廣泛的支援和有效率的解決辦法。
為什麼設備管理需要使用SyncML?
現在有幾套不同於OMA SyncML DM設備管理協議,但是一直沒有統一的標準設備管理協議。如果使用了其他專門的協議來管理設備,則非互通性的問題將會發生。除非業界提出一份標準設備管理協議,而一份標準設備管理協議將滿足全部工業部門,就如同OMA SyncML DM小組推動的設備管理協議。SyncML初步推廣是透過超過640家公司,包括諾基亞和摩托羅拉、IBM、易利信,設計一份能共同使用的DM設備管理協議,才成功建立起一個工業標準的資料同步協議。
而分別在客戶端和伺服器部分裡的業界領導公司在設計和促進SyncML 設備管理協議過程中,也懷著使它成為將來標準的理想。SyncML剛開始是開放行動聯盟(OMA)的一部分,由無線應用協議論壇,位置互通性論壇以及MMS互通性組織一樣的組織組成。現在已經被廣泛的工業組織接受並成為設備管理標準。
OMA SyncML DM的設計方式
SyncML DM是Client-server的架構,伺服器管理客戶端設備上的軟體。而當初協議的設計者考慮了以下兩個論點來建立它︰
■行動設備─處理器運算能力與記憶體資源受限
■無線網路─有較低的頻寬和較高的網路延遲
DM協議是一般性並且重新使用SyncML DataSync的資料類型定義(DTD)。圖1是典型的SyncML方案,實現client能與server溝通存取server上的任何ㄧ種設備管理服務。
圖1:透過SyncML DM的無縫式設備管理
SyncML由下列部分組成︰
■資料模型︰對於遠端資料的操作(例如,瀏覽器和郵件設置)。
■協議︰此協議使用在管理伺服器和行動設備之間。
■方針︰決定誰能操作一個特別的參數或者在設備裡不斷更新一個特別的韌體
物件。
■安全︰在客戶和伺服器,訊息交換的完整,以及訊息交換的機密性之間的驗
証機制。
■引導︰規定伺服器管理要如何使它能夠啟動會議管理的新客戶。
■通知︰伺服器通知客戶開始一個管理會議的模式。
資料模型
在SyncML的資料模型裡有兩種元素︰一是設備管理樹(DM Tree),包含可以操作的物件,二是設備描述框架,由設備管理樹的meta訊息所組成。
設備管理樹︰可以用來被管理,一個用戶設備必須把它的內部資料揭露在管理伺服器中。管理樹的功用是在用戶設備裡組織全部的管理對象成為一個階層式樹形架構,而在那裡URI是唯一能處理管理的物件。SyncML DM對下列三項事件情的標準化規範︰增加,刪除,修改,恢復各節點內容的規則。
■用戶可指定增加,修改,刪除,存取節點的存取控制權利的方法
■在管理樹和他們的屬性裡有不同類型的節點
設備描述框架︰如果伺服器想要管理用戶設備,它需要知道用戶設備的樹形架構。因為有許多功能性不同的設備在市場上,所以樹形架構還不能標準化。因此,管理伺服器必須要能夠知道用戶設備的樹形架構和它的屬性。因此,當新設備發佈到市場時,客戶端設備供應商會提供新設備的樹形架構。而SyncML DM描述框架為市場上所有的新設備建立ㄧ種普遍的樹形架構,因此管理伺服器能藉此設備描述框架而容易理解設備。
協議
SyncML規範了在client和Server之間的訊息交換的語法和語義。Representation Protocol規範描述語法;Device Management Protocol規範語義。
Representation Protocol︰SyncML Representation Protocol定義了信息交換的語法。SyncML DM對於一個或多個SyncML DM訊息操作用了一個概念性框架的SyncML封包來達成。而這些SyncML訊息則用良好格式的XML文件來表示。每個訊息由一個SyncHdr和一個SyncBody組成。SyncHdr定義了路由、版本和會議資訊,而SyncBody則扮演容器用來存放操作管理樹的命令(如Copy、Delete、Replace以及使用Get命令擷取特殊節點的內容)。 命令是描述命令的細節的其他要素類型的貨櫃。那些伺服器可以藉由SyncBody送命令來增加,複製,刪除,替換操作那些樹管理。而客戶透過Result命令傳回內容,並且Status命令傳送另一個命令的執行結果。
Representation Protocol定義了兩種DTD︰
■SyncML DTD,規定基本的SyncML訊息格式。SyncML規定各種各樣的命
令;這些命令的元素被規定在這DTD裡。
■Meta-Information DTD,它包含資料的形式。不同的SyncML命令用不同
的資料形式送資料。有關於這些資料的訊息根據此DTD被設定成meta-
element格式。
Device Management Protocol︰SyncML Device Management Protocol規範了handshake(交越)的機制,對於一個成功的management session規則如下,包括︰
■對於客戶端(client)和伺服端(server)的狀態機
■client和server能傳送命令
■client和server能彼此互相認證的方法
■傳送的objects要大於傳輸message size的機制
安裝階段︰
■packet 0是來自伺服器,是一個可選擇的packet,伺服器使用額外的訊號
機制通知客戶去連結伺服器並與伺服器建立一個management session。
■packet 1是來自客戶端,包含session information,credentials,
alert通知(假如客戶端自願連結或者伺服器要它連結),以及設備訊息。
■packet 2是來自伺服器那裡,包含這packet 1的狀態碼。如果被客戶和管
理命令要求,它包含證書訊息。假如client端或管理的命令要求,也會包
含認證資訊。假如伺服器沒有傳送任何管理命令在packet內,則此次
session就會結束。如果認證訊息是錯誤或者不被指定的,安裝階段也許會
重新認證幾次。
管理階段︰
■packet 3中包含client回應在packet 2中server管理命令的回應。如果
server要求任何訊息,則packet 3中的回應會包括管理操作的狀態和結
果。如果server沒在packet 2中包含任何命令或是沒要求client送下一
條訊息,則client將不傳送packet 3,此時management session結
束。
■packet 4則是來自server,其中會包含管理命令。
管理階段可以經歷多次迭代,在這期間server會送命令並且client對它們
作出回應。
Device management的管理策略
為了管理不同的物件,一個設備能連接不同的伺服器。例如,為了管理服務操作的設定,它能連接一台服務提供商的管理伺服器,或者能連接一台設備製造商的管理伺服器來管理一些應用。因此,為了能讓樹節點上有特別規範的操作方法和伺服器,SyncML DM規範了存取控制列表(Access Control Lists, ACL)這個政策。SyncML DM除了規範了ACL語法,也規定了參數設定規則、繼承屬性和其他等等。
Device management的安全性
安全性在設備管理中扮演重要的角色,因為從伺服器到客戶端的訊息傳輸是很敏感的。如果你不保證它的安全,則一台存心不良的管理伺服器能完整的控制客戶端。SyncML DM有下列部署去實現安全的解決方案︰
■驗証︰檢驗用戶設備或管理伺服器的身份。你透過一個機制取得驗證,在
這個機制裡,客戶設備和伺服器能為彼此詢問驗證的資訊,例如用戶帳戶
名稱和密碼。你能使用一個經過B64編碼的用戶帳戶名稱和密碼傳送證
明,或者更安全的Message Digest Algorithm演算法(MD5),其中包含
了nonce。這些驗證資訊全部放在SyncML message header中。
■完整性︰可以確認它的內容是否已經被修改。當客戶使用不安全的傳輸時,
你將需要完整性的支援。透過計算一個具有shared secret訊息的雜湊訊
息認證碼(Hashing for Message Authentication, HMAC)並且在傳輸
的標頭上嵌入它,將可以取得在客戶和伺服器之間的訊息交換的完整性。訊
息接受後基於接受的訊息與shared secret重算HMAC。如果雜湊配對通
過,它暗示訊息沒被竄改;否則雜湊配對失敗,則訊息被丟掉。
■機密性︰從兩個實體交換訊息時保持訊息內容的機密。它雖不限制訊息的能
見度,但是它能確實防止第3人解譯被傳送的資料。除了發送與接收訊息
者,有效的阻止任何人解譯消息的內容。
SyncML DM有兩類型的機密性︰
■在transport protocol上資訊傳輸的機密性。SyncML DM沒有規範如何
維護這類型的機密性。不過,你能在以下兩種模式下取得它︰一是使用一個
傳送協議,它必須支援加密,如Transport Layer Security(TLS);二
是HTTPS或是管理元件的加密,它們是可以被客戶端或者伺服器端解密。
■在設備管理伺服器之間資訊的機密性。你能使用SyncML DM規範存取控制列
表(Access Control Lists, ACL)控制伺服器管理客戶端的設備管理樹
(如存取、更新、刪除資訊的權力)。
使用SyncML DM的優勢
利用SyncML DM,行動系統業者或者系統供應商能透過網際網路更新用戶行動電話的軟體,處理問題,並且安裝應用軟體。因此,用戶不必返回客服中心或者更換檢修行動裝置的硬體。規定一種設備管理的制度表示這間公司將有更好的效率控管和公司機密安全。今天當新設備的數量在很多公司增加時,會產生一相對應的韌體設備需求管理,需要以有效的模式去控制和不斷改進這些韌體設備。而為了做關於這種韌體設備設計的更新,通常一個僱員需要透過IT或電信系統業者。若是公司使用設備管理的制度,則上述事件不再是個問題;更新能容易地在OTA(Over-The-Air)被進行。而公司機密資料在僱員遺失設備後,也能夠透過OTA的方式,將硬體設備上的資料即時抹除,以防止公司機密資料的外洩。