亿道信息EMM解决方案

EMM 4.1系统维护手册撰写单位：北京国信灵通网络科技有限公司日期： 2016/12/1文档编号:软件版本号: EMM 4.1密级级别：修订历史记录备注：产生本文档首次入库时，该表开始填写，说明本次为新建。

产品开发过程中或以后产品升级过程中，每次修改都要在该表中登记主要内容，修改内容直接在文档中体现，并在本文档后面依次添加详细修订明细。

“文档版本号”填写修订后的文档版本号。

目录第一章引言 (4)1.1 编写目的 (4)1.2 开发单位 (4)1.3 定义 (4)1.4 参考资料 (4)第二章系统说明 (5)2.1 系统总体说明 (5)2.2 系统架构图 (5)第三章操作环境 (7)3.1 设备 (7)3.2 支持软件 (7)3.3 网络环境 (7)第四章技术操作说明 (10)4.1 给出操作步骤 (10)4.2 程序说明 (11)4.3 监控方式及内容 (13)4.4 数据备份和清理 (13)第五章维护过程 (16)5.1 约定 (16)5.2 出错及纠正方法 (16)5.3 定期维护过程 (16)5.4 安全保密 (16)附录A：详细修改说明 (17)第一章引言定位：属于产品文档，技术人员日常维护产品正常运行时使用。

1.1 编写目的阐明编写手册的目的并指明读者对象。

1.2 开发单位说明项目的提出者，开发者，用户和使用场所1.3 定义列出手册中用到的专门术语的定义和缩写词的原意。

1.4 参考资料第二章系统说明2.1 系统总体说明说明系统的总体功能，对系统、作业做出综合性的介绍。

2.2 系统架构图1、系统整体架构图体现本系统与各相关系统的关联关系图，并通过文字简要说明2、物理架构图说明：1、client通过vpn接入，进行激活，设备管理，应用推送等工作。

3、内部应用逻辑架构图第三章操作环境3.1 设备3.2 支持软件3.3 网络环境1、网络架构图2、网络连接表描述该系统在目标最大业务交易量情况下的带宽配置情况。

中⽂版EMM3GPP TS 24.301 NAS协议(中⽂版)1EMM概述EMM (EPS mobility management)EPS移动性管理，管理UE在⽆线资源环境中的位置移动，包括以下⼏个主要功能：1)注册向核⼼⽹注册UE信息。

只有注册成功后，才可发起业务、发起呼叫和响应寻呼。

2) 位置更新在UE的位置发⽣改变时，将最新的位置信息通知核⼼⽹。

另外，UE能⼒信息，⽐如⽀持的算法、DRX寻呼周期长度等发⽣改变时，也通过位置更新通知核⼼⽹。

EMM在⽹络侧的对等端为MME，如果服务的MME过载，MME将通知UE，通过位置更新，重新选择服务MME，实现负责均衡(load balance)。

3) 业务请求注册成功后，UE需要发起业务时，⾸先通过ServiceReqeust，建⽴连接，并恢复承载。

4) 鉴权UE和⽹络侧之间进⾏双向鉴权。

5）安全机制为UE和⽹络侧之间的信令交互提供加密和完整性保护。

包括双⽅的算法协商、密钥的⽣成、加解密和完整性检查等。

EMM的功能通过发起EMM规程实现，EMM规程可以分为3类：1) 通⽤规程(EMM common procedures)只有在NAS信令连接已经建⽴时，才可发起通⽤规程。

通⽤规程都是由⽹络侧发起：- GUTI reallocation; 为UE分配标识符GUTI。

- authentication; 鉴权- security mode control; 安全模式控制- identification; 鉴别- EMM information. 通知2) 专⽤规程（EMM specific procedures）由UE发起，同⼀时间只能发起⼀个专⽤规程。

- attach and combined attach.向⽹络侧注册EPS和non-EPS服务。

- detach and combined detach. 向⽹络侧detach EPS和non-EPS服务。

- tracking area updating : normal , periodic and combined3) 连接管理规程(EMM connection management procedures)- service request. 当有上⾏⽤户数据或信令要发送时，建⽴和⽹络侧的安全连接。

LTE NAS-EMM过程学习总结1.1、GUTI 重分配过程1.1 综述GUTI(全球唯一临时标识)重分配过程目的是分配一个GUTI 和选择性给一个新的TAI 列表提供给特定的UE。

重分配过程只能被处于EMM-REGISTERED 状态的MME 初始化。

GUTI 也可能在附着或者跟踪区域更新过程被隐式重分配。

GUTI 中的PLMN identity 指示当前注册的PLMN。

NOTE 1: GUTI 重分配过程通常在加密模式下执行。

NOTE 2: 一般地，GUTI 重分配会和另一个移动性管理过程同时发生，比如：作为跟踪区域更新的一部分。

1.2 网络侧发起GUTIMME 通过发送GUTI REALLOCATION COMMAND 消息给UE 并启动定时器T3450 来初始化GUTI 重分配过程。

GUTI REALLOCATION COMMAND 消息中将包含GUTI，并可能包含TAI 列表。

1.3 GUTI 重分配的UE 端实现根据收到的GUTI REALLOCATION COMMAND 消息，UE 将存储GUTI 和TAI 列表，并发送一条GUTI REALLOCATION COMPLETE 消息给MME。

UE 认为新的GUTI 有效，旧的GUTI 无效。

如果UE 接收到一个新的TAI 列表，UE 认为旧的TAI 列表无效，新的TAI 列表有效，否则，UE 将认为旧的TAI 列表继续有效。

1.4 GUTI 重分配的网络实现根据收到的GUTI REALLOCATION COMPLETE 消息后，MME 将停止定时器T3450，并认为新的GUTI 有效，旧的GUTI 无效。

如果GUTI REALLOCATIONCOMMAND 消息中提供了一个新的TAI 列表，MME 将认为新的TAI 列表有效，旧的TAI 列表无效。

1.5 UE端的异常情况UE有一下异常情况a) 来自低层的包含TAI变化信息的GUTI REALLOCATION COMPLETE消息的传输错误指示如果当前的TAI不在TAI列表中，GUTI重分配过程将被放弃，并且跟踪区域更新过程被触发。

EMM测试方案目录一、测试项目 (4)二、测试环境和准备 (4)二、测试内容 (5)1移动设备管理（MDM） (5)1.1设备注册 (5)1)移动设备注册和消息推送 (5)2)设备详细信息查看 (5)3)标记设备丢失和找回 (6)4)查看异常终端设备 (6)5)设备删除 (6)6)设备多维度查询 (7)7)设置密码策略 (7)8)ROOT/越狱设备管理 (7)9)移动设备远程锁定 (7)10)Android设备远程解锁 (8)11)远程数据擦除 (8)12)设备操作日志查看 (8)2移动用户管理（MUM） (9)2.1用户认证 (9)1)本地认证 (9)2)数字证书认证 (9)3)短信认证 (9)4)动态令牌认证 (10)5)外部服务器认证 (10)2.2用户管理 (10)1)用户管理基本功能 (10)2)多级组织架构管理功能 (11)3移动应用管理（MAM） (11)3.1应用自动封装 (11)1)增加认证方式 (11)2)手势密码解锁 (12)3)应用黑白名单 (12)4)已加固应用显示安全标识 (12)5)定制认证界面 (13)6)定制版本SDK (13)7)用户名密码暴破登录 (14)8)安全应用会话共享 (14)9)封装应用超时注销 (15)3.2企业自建应用商店 (15)1)从EMM客户端应用商店发布应用 (15)2)从WEB应用商店发布应用 (15)3)从应用封装界面发布应用 (16)4)指定分发范围 (16)5)指定适用平台 (17)6)应用上下架 (17)7)编辑应用 (17)8)删除应用 (18)9)应用更新 (18)10)终端下载次数统计 (19)4移动内容管理 (19)1)所有文件加密 (19)2)常用文件加密 (19)3)同签名应用文件共享 (20)4)文件加密排除规则 (20)5)【单点登录】 (12)一、测试项目二、测试环境和准备测试环境：测试设备：1 Android平板、Android手机、iphone、ipad各一部3 EMM设备1台二、测试内容1移动设备管理（MDM）1.1设备注册1)移动设备注册和消息推送2)设备详细信息查看3)标记设备丢失和找回4)查看异常终端设备5)设备删除6)设备多维度查询7)设置密码策略8)ROOT/越狱设备管理9)移动设备远程锁定10)Android设备远程解锁11)远程数据擦除12)设备操作日志查看2移动用户管理（MUM）2.1用户认证1)本地认证2)数字证书认证3)短信认证4)动态令牌认证5)外部服务器认证2.2用户管理1)用户管理基本功能2)多级组织架构管理功能3移动应用管理（MAM）3.1应用自动封装1)增加认证方式2)手势密码解锁3)应用黑白名单4)移动APP单点登录5)已加固应用显示安全标识6)定制认证界面7)定制版本SDK8)用户名密码暴破登录9)安全应用会话共享10)封装应用超时注销3.2企业自建应用商店1)从EMM客户端应用商店发布应用2)从WEB应用商店发布应用3)从应用封装界面发布应用4)指定分发范围5)指定适用平台6)应用上下架7)编辑应用8)删除应用9)应用更新10)终端下载次数统计4移动内容管理1)所有文件加密2)常用文件加密3)同签名应用文件共享4)文件加密排除规则。

ECM的包格式EMM的格式每2个字节为1组用户,每个EMM包中有84个用户.EMM包总计为184 字节K1为加密CW的密钥.CW为控制字.也就是加密电视节目流用的数据共64位(8个字节)K2为加密K1用的密钥K3为加密K2的密钥<K3放在CPU卡内>程序流程图注意奇偶密钥K1的版本号需要判断或者K1的密钥使用后做一个标志位0或1只要是用过的就把标志置0.1.发用户分组号的命令和命令格式,用户分组号存放在E2PROM 中的地址.2.ECM 和EMM 包格式和包中的内容.3.回送CW 的命令和格式.4.向机顶盒请求向EMM 包的命令和格式.用户分组 命令 0000 0001用户分组命令11CW 命令格式 0000 011110CW 命令格式 0000 0100请求EMM 命令格式 0000 0101当前播放视频 PID 命令 00000110答张工的譺问 1. 正确.2. 我也不懂.一般用3DES 加密.3. 授权标志位必须保存,因为在数字电视前端发的授权号,只有状态改变时才会发EMM 用户寻址.4. K1就是DES 加密后的控制字CW, K2在EMM 包中取得一个数和K3运算求得.5. ECM 包是数字电视13818协议中的私有数据包格式.长度是188个字节,去掉4个字节的 帧头就等于184个字节,这184个字节有3个字节的表头,可用于对ECM 的各种判断,其于181字节由每个条件接收系统厂家自己定义.6.在EMM包中,有163个字节可用于用户授权,每个用户2个字节,所以163个字节除2等于84个用户,剩下一个字节不用.用户没有大小之分.7.奇偶密钥是在传输电视信号时,因改换密钥不能有信号中断而设计的,当使用奇密钥解密时,CPU卡有时间计算偶密钥,当奇密钥失效后,偶密钥也计算好了,这时启动偶密钥,CPU卡可计算下一个奇密钥,因为在数字电视中.奇密钥和偶密钥是每秒都在交替变化,而且每次的值都是随机的,最长30秒中改变一次密钥, 在ECM包的表头中通过,表ID可判断是奇密钥<10密钥>.表ID为80, 还是偶密钥,也称为11密钥,表ID81.8.卡片处理的数据不用返回,因为机顶盒收不到卡片回传的CW值(也就是K1),就显示(卡片无效就可以了).9.是取EMM中的4字节到11字节.共8个字节.K2用K3进行解密,用解密后的新密钥和K1进行DES运算求出CW(奇密窑.)2.7816—3设置为1时,是不是可以自己定义通讯部分.3.CPU卡能不能主动发命令.4.我们可以把命令格式和数据讨论好以后,由张工协助开发,在调试时把代码发过来,我们这边测试,有什么问题电话或.Email联系.只要把系统跑通,小问题我们自己慢慢改.5.如果7816—3设置为1时,可否采用如下命令结构:CPU卡发用户分组命令0 1 H ××用户分组号用2个字节×表示1个字节.机顶盒反回一个应答CPU卡发11CW命令0 2 H ××××××××CW8个字节×表示 1个字节.机顶盒反回一个应答CPU卡发10CW命令0 3 H ××××××××CW8个字节×表示1个字节.机顶盒反回一个应答CPU卡发请求EMM命0 4 H 只有命令没有数据机顶盒反回EMM作应答机顶盒发当前视频PID命令0 5 H YYYYYYYYYYYYY视频PID用13位Y表示1个数据位.CPU反回一个应答机顶盒发ECM EMM包命令:机顶盒反回一个应答ECM包8 0 H 数据183字节.8 1 H 数据183字节.EMM包8 2 H 数据183字节.8 F H 数据183字节.因为发卡时要用初始化命令，即在EEPROM中写入用户分组号、用户号码、初始密钥，而发初始化命令只能在一般读卡机或发卡机上进行，这时必须用ISO7816-3 T=0协议，所以在程序中很难做到既支持T=0协议，又支持用户自定义协议，所以我认为必须统一采用T=0协议，即机顶盒的读卡协议也必须采用T=0协议T=0协议的简要说明CLA INS P1 P2 Lc （D1…Dn）读卡机先发送5个字节的命令头，如果还有数据字节要发送，则CPU卡必须先返回一个应答字节，即命令头的第二个字节（INS），读卡机收到应答字节后，再继续发送剩余的数据字节。

emm安全发展历程随着信息技术的飞速发展，网络安全问题日益突出，企业与个人在享受信息化带来的便捷的同时，也面临着越来越多的安全威胁。

EMM（Enterprise Mobile Management）安全作为企业移动管理的重要组成部分，关乎企业与个人的信息安全、数据安全和隐私保护。

本文将概述EMM安全的发展历程、现状及未来趋势，并探讨我国在EMM安全领域的政策法规以及企业与个人如何应对安全挑战。

一、EMM安全发展的背景随着移动设备的普及，企业员工越来越多地使用移动设备进行工作，导致企业移动业务不断增长。

与此同时，移动设备的安全隐患也逐渐暴露出来。

诸如设备丢失、数据泄露、恶意软件攻击等问题，给企业信息安全管理带来了严峻挑战。

在这种背景下，EMM安全应运而生，成为企业确保移动业务安全的关键。

二、EMM安全的定义与重要性EMM安全，即企业移动管理安全，是指通过采取一系列技术手段和管理措施，对企业移动设备、应用和数据进行全方位保护，确保企业移动业务的安全、稳定、高效运行。

EMM安全的重要性体现在以下几点：1.保护企业数据资产：EMM安全能够有效防止数据泄露、篡改和丢失，确保企业数据资产安全。

2.维护企业业务稳定：通过统一管理和控制移动设备，降低移动设备引发的安全风险，确保企业业务的稳定运行。

3.提升员工工作效率：EMM安全为企业提供便捷的移动办公环境，提高员工工作效率。

4.符合法规要求：遵循我国相关法律法规，确保企业移动业务合规合法。

三、EMM安全的发展历程1.传统安全管理阶段：以设备管理为主，侧重于对企业移动设备的物理保护。

2.信息系统安全阶段：以数据安全为核心，关注对企业移动设备中的信息系统的保护。

3.网络安全阶段：强调对企业移动设备所连接的网络进行安全防护，防止外部攻击者入侵。

4.数据安全与隐私保护阶段：在以上三个阶段的基础上，进一步关注用户数据和隐私的保护。

四、我国EMM安全政策与法规我国政府高度重视网络安全和信息安全，制定了一系列EMM安全相关的政策法规，如《网络安全法》、《个人信息保护法》等。

NE处理方案随着计算机技术的不断进步和应用场景的拓展，网络设备（Network Equipment，简称NE）在日常生活和工作中扮演着越来越重要的角色。

然而，由于各种原因，NE可能会遇到故障或者需要进行维护和升级。

为了更好地应对这些问题，制定一个有效的NE处理方案显得尤为重要。

本文将探讨NE处理方案的要点和步骤。

一、问题诊断NE处理方案的第一个关键步骤是问题诊断。

当NE出现问题时，我们需要迅速准确地确定问题所在，并采取相应的措施进行解决。

在问题诊断过程中，可以考虑以下几个方面：1.1 收集信息收集有关NE的详细信息，包括设备型号、版本、运行状态等。

可以通过查看设备日志、检测设备状态等方式获得这些信息。

1.2 分析问题根据收集到的信息，分析问题的原因。

可以使用一些网络工具和命令来检测设备的连通性、性能等方面的问题。

同时，结合设备运行日志进行排查，发现潜在故障原因。

1.3 确定解决方案根据问题的具体原因，制定相应的解决方案。

可以尝试一些常见的故障排除方法，比如重启设备、升级软件等。

如果问题复杂或无法解决，可以寻求专业技术支持。

二、问题解决在诊断出问题的原因后，就可以着手解决NE的问题了。

以下是一些常见的问题解决方法：2.1 软件升级如果NE的问题与软件版本有关，可以考虑进行软件升级。

升级软件可以修复一些已知的bug，并提供更好的性能和功能。

在进行软件升级之前，需要备份现有的配置文件，以免数据丢失。

2.2 设备重启有时候，NE可能出现运行故障，导致功能异常或性能下降。

在此情况下，可以尝试重新启动设备。

重启设备可以清除部分内存中的临时数据，恢复设备的正常运行状态。

2.3 硬件更换当NE的问题与硬件故障有关时，可能需要更换损坏的硬件组件。

在更换硬件之前，需要确保备份所有数据，并选购适配的硬件设备。

三、问题预防除了快速解决NE的问题外，制定一个有效的NE处理方案还需要考虑问题的预防措施，以降低问题发生的概率。

emm安全发展历程emm（Enterprise Mobility Management）的安全发展历程可以追溯到移动设备管理（MDM）的起源。

以下是emm安全发展的主要阶段：1. 基本设备管理：早期的移动设备管理主要集中在管理设备的基本功能，例如远程锁定、远程擦除和密码策略等。

这一阶段的主要目标是确保设备的安全性和数据的保护。

2. 应用管理：随着移动应用的快速发展，emm开始关注应用的安全管理。

企业可以通过emm平台远程分发、更新和删除应用程序。

此外，emm还提供应用黑名单和白名单功能，以确保仅安装和使用授权的应用程序。

3. 数据容器化：为了进一步保护企业数据，emm引入了数据容器化的概念。

通过将企业数据和个人数据分开存储，并实现数据的加密和访问控制，emm可以有效保护企业数据的安全。

4. 身份验证和访问控制：emm逐渐开始关注身份验证和访问控制的问题。

通过引入双因素身份验证、单点登录和统一访问控制等功能，emm可以加强对企业资源的保护，减少未经授权的访问。

5. 高级威胁防护：随着移动威胁的不断增加，emm开始整合高级威胁防护功能。

这包括实时监测设备和应用程序的安全性，检测恶意软件和网络攻击，并采取相应的防护措施。

6. 预防数据泄漏：emm还逐渐引入了预防数据泄漏的功能。

企业可以通过emm平台实施数据传输和存储的安全策略，防止敏感数据被泄漏或滥用。

总之，emm的安全发展历程可以总结为从基本设备管理到综合安全管理的过程。

随着移动技术的进一步发展和威胁的不断增加，emm将继续提供更多先进的安全功能，以保护企业的移动设备和数据。

深信服企业移动管理（EMM）解决方案方案简介企业移动管理EMM（Enterprise Mobility Management）是指通过移动信息化管理手段，针对企业移动信息化建设过程中涉及到的企业移动设备、应用、信息等内容提供信息化管理及安全保障的解决方案。

深信服企业移动管理解决方案，是一种为企业用户打造的、解决客户移动信息化过程中的安全及管理问题的解决方案。

用户通过简单的操作，对智能终端进行注册、同时配置深信服EMM管理网关即可实现移动设备管理（MDM）、移动用户管理（MUM）、移动应用管理（MAM）、移动内容管理（MCM）四项子管理方案功能，为用户提供从用户、设备到应用、内容的全面管理。

深信服移动设备管理（MDM），帮助用户批量管理移动办公设备移动设备管理解决方案支持对移动设备进行管理，包括设备注册、设备擦除、用户关联、策略关联、状态监测等功能，帮助管理员管理轻松管理海量设备，降低运维成本。

深信服移动用户管理（MUM），帮助用户轻松管理企业用户移动用户管理解决方案支持对移动用户的全面管理，包括16级用户认证鉴权、用户权限与移动设备关联等功能，轻松实现多部门用户管理以及细粒度权限管控，减轻管理员运维压力。

深信服移动应用管理（MAM），帮助用户便捷管理移动应用、保障业务安全支持手动/自动方式的APP安全加固、企业应用商店、移动应用单点登录等功能，简化应用加固、分发和用户登陆使用过程，为用户提供更加易用的企业应用使用环境。

深信服移动内容管理（MCM），帮助用户防止企业数据外泄的风险支持对下载至移动终端的企业数据进行管理，包括落地数据加密、控制企业数据分享、远程数据擦除等，为企业提供安全的业务环境，避免企业数据泄露。

需求及挑战移动信息化的发展给企业带来了更高的业务效率及更好的员工满意度，但企事业单位在移动信息化建设过程中也会遇到各种困难及阻碍，包括以下几类典型问题：业务系统向智能终端迁移，业务风险提升业务系统向智能终端迁移后，不但内部用户可以访问到，外部用户也可以访问。

由于目前市场上的无线模块其主控芯片和RF芯片的性能不高，稳定性不强，只能实现小数据的传输，而面对大数据时，需要分包处理，这对数据的完整性会产生影响以及一定程度上加大了数据处理的难度。

现有模块对电源方面的处理很差，使得电源对射频电路的影响很高，大大降低了模块的传输能力。

针对现有技术中存在的问题，提供一种高速连续无线传输装置，功耗低，灵敏度高，性能稳定，并且使用窄带传输，传输距离长，传输速度快。

E61-TTL-1W是一款高速型433M无线数传模块，内置高性能单片机和高速无线RF芯片，UART串口透明传输，发射功率1W。

在“连续传输方式”下不限数据包的长度，完美实现57600/38400/19200/9600……等串口波特率的连续不间断传输；“定长传输方式”下可灵活配置参数，将数据包在当前配置的空中速率下以最高效的方式传输到对方，实现低延迟/高响应。

此模块包括主控芯片、无线RF芯片和天线接口，主控芯片通过UART串口模块与上位机连接，主控芯片通过SPI总线与无线RF芯片连接，无线RF芯片的收发通路连接有第一射频开关，第一射频开关分别连接有位于发射通路上的功率放大器、位于接收通路上的低噪声放大器，功率放大器和低噪声放大器还同时连接第二射频开关，第二射频开关与天线连接，并在第二射频开关与天线连接通路上设置有五阶π型滤波器、ESD防静电保护路和隔直电容。

主控芯片和无线RF芯片分别连接有第一LDO线性电源模块，功率放大器连接有DC-DC开关电源模块，低噪声放大器连接有第二LDO线性电源模块，第一LDO线性电源模块中设置有π型滤波器。

优选地，所述的主控芯片采用STM8L151G6U6。

优选地，所述的无线RF芯片采用AX5043。

优选地，所述的π型滤波器包括电容和电感。

由于采用了上述技术方案，本实用新型的有益效果是：本实用新型的高速连续无线传输装置可集成与一个模块上，体积小，使用方便；尤其是主控芯片和无线RF芯片稳定、高性能，搭配使用，处理数据量大；射频电路经过处理后，使模块大为优化，其谐波、驻波比、接收灵敏度等都得到大幅度改善，提高了通信能力。