支持虚拟化环境中多个容器的移动设备管理的系统、设备和进程的制作方法

本申请案主张2016年6月30日提交的、发明名称为“虚拟化环境中支持多个容器的移动设备管理的系统、设备和进程(systems，devicesandprocessestosupportmobiledevicemanagementofmultiplecontainersinvirtualizationenvironment)”的美国专利申请案第15/199,826号的优先权，其全部内容以引用的方式并入本文中。

本发明一般涉及移动设备管理以及移动设备上的数据和进程分离领域。

背景技术：

组织可准许员工及其承包方使用移动设备等个人拥有的技术来进行工作以及获取信息和应用。组织可准许员工及其承包方将公司拥有的技术用于个人用途。组织可实施不同的策略以管控工作场所中移动设备的用途，如自带设备办公(bringyourowndevice，byod)策略和企业所有，个人使用(corporateownedpersonallyenabled，cope)策略。移动设备配置容器，以将用户的移动设备的用于工作的部分与用户的移动设备的用于个人的另一部分分离。移动设备管理(mobiledevicemanagement，mdm)系统管理如智能手机、平板电脑、膝上型计算机和其它计算设备等移动设备的用途和资源。实例mdm系统由管理移动设备的第三方移动应用实施。第三方移动应用可以限制用户与设备资源交互的能力。

技术实现要素：

一方面，提供一种用于移动设备管理的进程。所述移动设备具有多个容器，所述多个容器中的每个容器将所述移动设备上的数据和进程与所述多个容器中的其它容器分离，所述多个容器包括第一虚拟容器。所述进程包括：所述移动设备接收第一设备级别命令，以及所述移动设备接收第一容器级别命令。所述进程包括：位于所述多个容器中的第一虚拟容器内的第一代理执行所述第一容器级别命令，以仅控制所述第一虚拟容器访问所述移动设备的资源。所述进程还包括：位于所述移动设备上的控制器执行所述第一设备级别命令，以控制所述多个容器中的至少两个容器访问所述移动设备的所述资源。

在前述实施例的任一项中，所述控制器位于所述移动设备的所述多个容器中的主机容器内。

在前述实施例的任一项中，所述进程包括：所述移动设备接收第二容器级别命令，以及所述控制器执行所述第二容器级别命令，以仅控制所述第一虚拟容器访问所述移动设备的资源。

在前述实施例的任一项中，所述进程包括：所述第一代理接收所述第一设备级别命令，并向所述控制器转发所述第一设备级别命令。

在前述实施例的任一项中，所述进程包括：所述控制器接收所述第一虚拟容器级别命令，并向所述第一代理转发所述第一容器级别命令。

在前述实施例的任一项中，所述进程包括：所述控制器将所述第一设备级别命令转换成第二容器级别命令，并向所述第一代理转发所述第二容器级别命令，其中所述第一代理执行所述第二容器级别命令以仅控制所述第一虚拟容器访问所述移动设备的资源。

在前述实施例的任一项中，所述第一容器级别命令通过从以下动作组成的群组中选择的一个或多个动作仅控制所述第一虚拟容器访问所述移动设备的资源：仅控制所述第一虚拟容器访问所述移动设备的一个或多个物理资源，仅控制所述第一容器的配置，仅控制管理用于所述第一容器的应用，仅控制向所述第一虚拟容器发放证书和凭证，以及仅检索关于所述第一虚拟容器的信息。

在前述实施例的任一项中，所述进程包括：接收用于检索来自所述移动设备的信息的第二设备级别命令，以及接收用于检索来自所述第一虚拟容器的信息的第二容器级别命令。

在前述实施例的任一项中，所述进程包括：所述控制器管理所述移动设备上的所述多个容器，其中管理是指对所述移动设备上的所述多个容器进行创建、移除、禁用、启用、恢复、保存和修复中的至少一种。

在前述实施例的任一项中，所述多个容器具有第二虚拟容器，所述进程还包括：接收第二容器级别命令，以及第二代理执行所述第二容器级别命令，以控制所述第二虚拟容器访问所述移动设备的所述资源。

在前述实施例的任一项中，所述进程包括：接收来自第一服务器的所述第一容器级别命令，以及接收来自第二服务器的所述第一设备级别命令。

在前述实施例的任一项中，所述第一服务器和所述第二服务器与不同组织相关联。这使得不同组织在移动设备上使用容器级别命令和设备级别命令实施mdm策略。

在前述实施例的任一项中，所述进程包括：确定所述第一容器级别命令和所述第一设备级别命令的执行状态，并发送指示所述执行状态的反馈响应。

在前述实施例的任一项中，所述多个容器包括个人容器，所述进程还包括：所述控制器禁用或启用所述个人容器。

在前述实施例的任一项中，所述进程包括确定所述个人容器的状态，发送所述状态，以及接收基于所述状态禁用或启用所述个人容器的命令。

在前述实施例的任一项中，所述进程包括：发送所述移动设备的设备标识和所述第一虚拟容器的容器标识，其中所述设备标识和所述容器标识用于接收所述第一设备级别命令和所述第一容器级别命令。

另一方面，提供一种用于移动设备管理的进程。所述进程包括：服务器向移动设备发送激活消息，所述移动设备具有多个容器，所述多个容器中的每个容器将所述移动设备上的数据和进程与所述多个容器中的其它容器分离，所述激活消息激活所述多个虚拟容器中的第一虚拟容器。所述进程包括：所述服务器发送第一容器级别命令，其中所述第一容器级别命令由位于所述第一虚拟容器内的第一代理执行，以仅控制所述第一虚拟容器访问所述移动设备的资源。所述进程包括：所述服务器发送第一设备级别命令，其中所述第一设备级别命令由位于所述移动设备上的控制器执行，以控制全部所述多个容器访问所述移动设备的资源。

在前述实施例的任一项中，所述进程包括：所述服务器接收反馈响应，所述反馈响应指示所述第一容器级别命令和所述第一设备级别命令的执行状态；以及所述服务器基于所述反馈响应发送第二容器级别命令和第二设备级别命令。

在前述实施例的任一项中，所述进程包括：使用唯一标识发送所述第一容器级别命令，所述唯一标识包括所述第一虚拟容器的容器标识和所述移动设备的设备标识。

在前述实施例的任一项中，所述进程包括：接收来自所述移动设备的所述容器标识和所述设备标识。

在前述实施例的任一项中，所述进程包括：向所述第一虚拟容器分配所述容器标识，以及向所述移动设备分配所述设备标识。

在前述实施例的任一项中，所述进程包括：使用所述容器标识和所述设备标识建立与所述第一虚拟容器之间的安全连接，用于发送所述第一容器级别命令。

在前述实施例的任一项中，所述进程包括：使用所述容器标识和所述设备标识建立与位于所述第一虚拟容器内的所述第一代理之间的安全连接，用于发送所述第一容器级别命令。

在前述实施例的任一项中，所述进程包括：使用所述设备标识建立与所述移动设备之间的安全连接，用于发送所述第一设备级别命令。

在前述实施例的任一项中，所述进程包括：注册用户帐户，认证所述移动设备和所述第一虚拟容器，以及将所述移动设备和所述第一虚拟容器与所述用户账户连接。

另一方面，提供一种移动设备，所述移动设备具有多个容器，其中所述多个容器中的每个容器将所述移动设备上的数据和进程与所述多个容器中的其它容器分离，所述多个容器具有第一虚拟容器。所述移动设备具有物理通信接口，用于接收第一设备级别命令和第一容器级别命令。所述移动设备具有至少一个处理器，用于：使得位于所述第一虚拟容器内的第一代理执行所述第一容器级别命令，以仅控制所述第一虚拟容器访问所述移动设备的资源；以及使得位于所述移动设备上的控制器执行所述第一设备级别命令，以控制全部所述多个容器访问所述移动设备的所述资源。

在前述实施例的任一项中，所述控制器位于所述移动设备的所述多个容器中的主机容器内。

在前述实施例的任一项中，所述控制器不位于所述多个容器中的任一个内。

另一方面，提供一种用于移动设备管理的系统。所述系统具有第一代理，位于移动设备上的多个容器中的第一虚拟容器内，所述多个容器中的每个容器将数据和进程与所述多个容器中的其它容器分离。所述系统具有位于所述移动设备上的控制器。所述系统具有至少一个与所述移动设备进行安全通信的服务器，用于发送命令，所述命令包括第一设备级别命令和第一容器级别命令，所述第一设备级别命令由所述控制器执行，以控制全部所述多个容器访问所述移动设备的资源，所述第一容器级别命令仅控制所述第一虚拟虚容器访问所述移动设备的资源。

在阅读本公开内容后，所属领域的技术人员将了解有关本文所述实施例的许多其它特征及其组合。

附图说明

现将参考附图，举例描述具体实施例，其中：

图1是根据一些实施例的实例mdm系统的示意图；

图2是根据一些实施例的另一实例mdm系统的示意图；

图3a是根据一些实施例的第一实例移动设备的示意图；

图3b是根据一些实施例的第二实例移动设备的示意图；

图4是根据一些实施例的另一实例移动设备的示意图；

图5是根据一些实施例的又一实例移动设备的示意图；

图6是根据一些实施例的实例mdm服务器的示意图；

图7是根据一些实施例的用于实施各方面移动设备或mdm服务器的实例计算设备的示意图；

图8是根据一些实施例的用于移动设备的实例进程的示意图；

图9是根据一些实施例的用于mdm服务器的实例进程的示意图；

图10是根据一些实施例的用于mdm策略的实例进程的示意图；

图11a和11b是根据一些实施例的注册移动设备的实例进程的示意图；

图12是根据一些实施例的应用mdm策略的实例进程的示意图；

图13是根据一些实施例的移动设备和mdm服务器的实例组件的示意图；

图14是根据一些实施例的移动设备和mdm服务器的另一实例组件的示意图；

图15是根据一些实施例的移动设备和mdm服务器的又一实例组件的示意图；以及

图16a和16b是根据一些实施例的用于移动设备的控制流的示意图。

具体实施方式

图1是根据一些实施例的实例mdm系统的示意图。mdm系统支持移动设备104上的多个容器。多个容器是指一个移动设备104上的多个分离和独立的虚拟环境。例如，一个环境可以用于个人，另一个环境可以用于工作。容器将移动设备104的一部分与另一容器的移动设备104的另一部分分离。这种分离例如可以是为了私密性和安全性。

mdm服务器102向移动设备104发布命令，以实施mdm策略。特别是，mdm服务器102向位于移动设备104上的容器内的mdm代理发布容器级别命令。例如，容器可以是工作容器。

it管理员设备106耦合至mdm服务器102，以配置mdm策略。mdm策略可以应用于移动设备104或多个容器中的一个或多个。也就是说，it管理员设备106可以在设备级别和容器级别配置范围内的mdm控制。mdm服务器102可以与多个移动设备104连接。mdm服务器102可以耦合至多个移动设备104中的每一个，以实施mdm策略。mdm服务器102可以对所有移动设备104实施相同的mdm策略。在其它实施例中，mdm服务器102可以对移动设备104实施不同的mdm策略。

网络108(或多个网络)以不同方式直接或间接地连接系统的组件。网络108能够承载数据，因此系统的各组件可以交互数据。网络108可以包括有线连接、无线连接或其组合。网络108可以包括不同的网络通信技术，例如包括全球移动通信系统(globalsystemformobilecommunications，gsm)、码分多址接入(codedivisionmultipleaccess，cdma)、无线本地环路、wimax、wi-fi、蓝牙、长期演进(longtermevolution，lte)等。

各实施例提供支持mdm机制的系统和方法，mdm机制用于移动设备104的一个或多个管理的容器或虚拟移动设备。所述系统和方法支持在移动设备104的内核上运行的异构操作系统。所述系统和方法通过提供松耦合的mdm容器化架构增加额外安全强度。这允许it管理员设备106根据it管理员(未示出)的决策，在设备级别和容器级别同时进行范围内的mdm控制。

本文所述实施例通过在移动设备104上平衡企业安全控制和个人私密性，提供较强安全性和控制。同一管理的移动设备104上存在多个容器，包括工作容器和个人容器。工作容器可以属于同一工作相关组织或不同组织。

本文所述实施例提供mdm容器化框架，所述框架提供松耦合的mdm组件的封装和分离。容器化mdm框架提供新型架构以支持在移动设备104上的容器内运行的现有mdm产品。容器框架提供mdm能力。各实施例提供应用编程接口(applicationprogramminginterface，api)，用于管理容器。这可以重用传统osmdmapi并与现有it基础设施结合。

本文所述实施例提供安全性和私密性增强的mdm容器化框架和mdm策略，以提高员工生产力。

本文所述实施例提供一致性和生产力同一级别的一致用户体验，不管用户在移动设备104上使用个人容器还是工作容器。

本文所述实施例使用容器架构提供内置式mdm能力，以支持设备级别和容器级别的范围内的mdm策略。应理解，设备级别范围的策略或命令可以包括适用于特定设备的一个以上但非全部容器的策略或命令，即，适用于多于一个容器的策略或命令。

图2是根据一些实施例的另一实例mdm系统的示意图。如图所示，可以存在多个mdm服务器102，实施用于指定移动设备104的多个独立的mdm策略。例如，一个mdm服务器102a耦合至移动设备104以实施用于第一容器的第一mdm策略，另一mdm服务器102b耦合至移动设备104以实施用于第二容器的第二mdm策略。图中只示出一个移动设备104，但可以存在多个移动设备104。每个mdm服务器102a、102b(也称为mdm服务器102)可以耦合至多个移动设备104以实施mdm策略。

图3a是根据一些实施例的实例移动设备104的示意图。移动设备104具有管理容器202a的mdm代理204。mdm代理204通过执行从mdm服务器102接收的容器级别命令实施mdm策略。在一些实施例中，容器202a是工作容器，mdm服务器102实施用于移动设备104的工作相关用途的mdm策略。移动设备104具有另一容器202b，容器202b可以是管理移动设备的个人用途的个人容器。结合mdm策略在设备级别和独立容器级别增加了额外安全性和管理能力。移动设备104在主机容器208内具有mdm控制器206。mdm控制器206从mdm服务器102接收设备级别命令。

容器化框架支持应用于整个设备或只应用于容器202a和202c的mdm策略。例如，mdm代理204执行容器级别命令以管理容器202a。移动设备104的主机容器208内的mdm控制器206执行设备级别命令，为所有容器202a、202b控制移动设备104的组件。

以下实例是内核上的框架，用于支持分离的移动容器。每个容器202a、202b可以看作独立的虚拟设备。这可以准许用户更好地利用管理的移动设备104的硬件和软件资源。容器框架支持异构操作系统，以构建多个容器202a、202b。

容器202a、202b可以与组织已经具有的或计划引进的mdm方案结合，以管理移动设备104。组织可以拥有移动设备104，和/或与组织接合的用户可以运行移动设备104。组织可以使用mdm服务器102实施byod和cope策略。

在根据组织it或mdm策略共享移动设备104的资源时，每个容器202a、202b分离进程和数据。每个容器202a、202b是独立配置和管理的，而任何其它容器并不察觉。mdm服务器102可以与mdm代理204和mdm控制器206交互，通过容器级别和设备级别命令提供范围内的策略。

mdm代理204是在容器202a内部运行的计算应用。mdm控制器206是在移动设备104上的主机容器208内部运行的计算应用。可以通过使用mdm服务器102生成并发送至容器202a内的mdm代理204的命令将mdm策略应用于容器204a内部。在一些实施例中，mdm服务器102只与mdm代理204通信。mdm控制器206管理设备级别命令。容器202a中的mdm代理204或主机容器208中的mdm控制器206可以确定命令的范围(例如，容器级别或设备级别)。容器202a可以是工作容器。mdm服务器102向mdm代理204a发布命令，以根据企业it策略控制工作容器202a的操作。移动设备104通过mdm代理204和mdm控制器206实施范围内的策略。另一容器202b可称为个人容器。mdm控制器206可以启用/禁用个人容器202b。个人容器202b中不安装mdm代理204。可以使用适用于所有容器202a、202b的设备级别命令控制个人容器202b。例如，主机容器208内的mdm控制器206执行设备级别命令，以控制用于所有容器202a、202b的设备资源。

在一些实施例中，移动设备104接收设备级别命令和容器级别命令。位于容器202a中的mdm代理204执行容器级别命令只控制容器202a。也就是说，mdm代理204a将策略应用于容器202a内而不影响其它容器。例如，容器级别命令可以为容器202a停止移动设备104上的摄像机的操作。

mdm代理204和mdm控制器206可以确定命令的范围，并发送命令至移动设备104的适用容器。在一些实施例中，位于主机容器208上的mdm控制器206接收容器级别命令，并向mdm代理204转发容器级别命令以供执行。在其它实施例中，位于容器202a内的mdm代理204a接收设备级别命令，并向mdm控制器206转发设备级别命令。

mdm控制器206可以确定容器级别命令的适用容器202。例如，如果容器级别命令适用于容器202a，则mdm控制器206可以向位于容器202a内的mdm代理204a转发容器级别命令以供执行。mdm代理204和mdm控制器206都可以路由命令，为it管理员提供灵活性。

作为示意性实例，容器级别命令通过仅控制容器202a访问移动设备104的一个或多个设备资源来控制容器202a。作为另一实例，容器级别命令通过仅控制容器202a的配置来控制容器202a。其它实例包括控制管理用于容器202a的应用，控制向容器202a发放证书和凭证，以及检索关于容器202a的信息。作为另一实例，容器级别命令检索来自容器202a的信息。

位于主机容器208内的mdm控制器206执行设备级别命令，为所有容器202或容器202的适用子集控制移动设备104的操作。例如，设备级别命令可以为移动设备104上的所有容器202停止移动设备104上的摄像机的操作。

在其它实施例中，位于容器202a内的mdm代理204接收设备级别命令，并向主机容器208中的mdm控制器206转发设备级别命令以供执行。在一些实施例中，mdm控制器206将设备级别命令转换成多个容器级别命令，所述多个容器级别命令用于设备级别命令适用的容器中的每一个，在一些实例中设备级别命令适用的容器可以为所有容器。然后mdm控制器206向其目标容器转发每个容器级别命令。例如，mdm控制器206向位于容器202a内的mdm代理204a转发其中一个容器级别命令，以供执行。

在一些实施例中，移动设备104接收额外容器级别命令。位于主机容器208内的mdm控制器206可以执行容器级别命令，以控制容器202b访问移动设备104的资源。

在一些实施例中，mdm控制器206激活容器202b。例如，mdm控制器206通过移除、禁用、启用、恢复、保存或修复容器202b来管理移动设备104上的容器202b。

在一些实施例中，mdm服务器102在容器202a内部署mdm代理204。mdm控制器206是嵌入移动设备104的组件或业务。

在一些实施例中，mdm代理204a确定容器级别命令或设备级别命令的执行状态。mdm代理204a向mdm服务器102发送反馈响应。反馈响应指示命令的执行状态。

在一些实施例中，mdm代理204确定容器202的状态，并将状态发送给mdm服务器102。作为响应，mdm代理204接收基于容器202的状态控制容器202的命令。

在一些实施例中，mdm代理204a向mdm服务器102发送移动设备104的设备标识和容器202a的容器标识。容器标识可用于接收容器级别命令。

在一些实施例中，位于主机容器208内的mdm控制器206启用和禁用不被mdm代理204管理的容器202b。在一些实施例中，容器202a、202b、202c运行异构操作系统。

图3b是根据一替代实施例的实例移动设备105的示意图。图3b的移动设备104与图3a的移动设备104类似，不同之处在于移动设备105中的mdm控制器206不位于主机容器中。图3b的其余特征与图3a的对应特征类似，不再具体描述。本公开中，所有参考移动设备104应理解为同样参考移动设备105。

图4是根据一些实施例的另一实例移动设备104的示意图。mdm代理204a控制移动设备104上的容器202a。mdm代理204c使用容器级别命令控制分离的容器202c。mdm控制器206，可选地位于主机容器208内，执行均适用于容器202a、202c的设备级别命令。在一些实施例中，mdm代理204c执行适用于一个容器202c的容器级别命令。容器202c可以为工作容器。mdm服务器102向mdm代理204c发布命令，以根据企业it策略控制容器202c的操作。mdm服务器102也可以向mdm代理204a发布相同或不同的命令，以根据企业it策略控制其它容器202a的操作。

在一些实施例中，mdm服务器102在容器202a内部署mdm代理204a。mdm服务器102在另外的容器202c内部署另外的mdm代理204c。本实例中只示出两个mdm代理204a、204c，但可以存在更多代理204a、204c。主机容器208内的mdm控制器206是移动设备104上的内置组件或业务。

图5是根据一些实施例的另一实例移动设备104的示意图。在此实例实施例中，第一mdm服务器102a向mdm代理204a发布命令，以根据企业it策略控制容器202a的操作。第二mdm服务器102b向mdm代理204c发布命令，以根据另一企业it策略控制另一容器202c的操作。这使得移动设备104遵循不同企业或组织的it策略。因此，mdm代理204a、204c可以实施不同组织的不同策略。每个容器202a、202c将移动设备104上的数据和进程与其它容器202c、202a分离。mdm控制器206，可选地位于主机容器208内，执行设备级别命令，为所有容器202c、202a控制移动设备104的操作。

在一些实施例中，mdm服务器102a在容器202a内部署mdm代理204a。mdm服务器102b在另外的容器202c内部署另外的mdm代理204c。

主机容器208内的mdm控制器206执行容器级别命令，以控制所有容器202访问移动设备104的资源。

图6是根据一些实施例的实例mdm服务器102的示意图。mdm服务器102具有注册服务602、推送通知服务604和互动策略管理单元606。

注册服务602通过向移动设备104发送激活消息以激活移动设备104内的一个或多个容器202。注册服务602使用对应于移动设备104的设备标识生成并发送激活消息。在一些实施例中，注册服务602建立与容器202之间的安全连接，用于发送第一容器级别命令和第一设备级别命令。

在一些实施例中，注册服务602为与移动设备104连接的用户注册用户账户。注册服务602认证移动设备104和一个或多个容器202。注册服务602将移动设备104和一个或多个容器202与用户账户连接。

互动策略管理单元606存储并管理一个或多个范围内的mdm策略。mdm策略定义设备级别命令和容器级别命令。一个或多个mdm策略可以适用于移动设备104。一个或多个mdm策略可以适用于位于移动设备104上的容器202。互动策略管理单元606生成并发送设备级别命令和容器级别命令。互动策略管理单元606使用设备标识和容器标识来生成设备级别命令和容器级别命令。在一些实施例中，互动策略管理单元606接收并处理含有容器202的容器标识和移动设备104的设备标识的唯一标识，以生成并发送容器级别命令。互动策略管理单元606接收来自移动设备104(包括来自位于移动设备104上的一个或多个mdm代理204a、204c)的容器标识和设备标识。

在一些实施例中，推送通知服务604建立与容器202之间的安全连接，用于发送容器级别命令。在一些实施例中，推送通知服务604建立与mdm代理204a、204c之间的安全连接，用于发送容器级别命令或设备级别命令。在一些实施例中，策略单元604建立与移动设备104之间的安全连接，用于发送容器级别命令或设备级别命令。

互动策略管理单元606从移动设备104接收指示设备级别命令和容器级别命令的通知或消息。

图7是根据一些实施例的实例移动设备104的示意图。如图所示，移动设备104包括至少一个处理器702、至少一个存储器704、至少一个i/o接口706和至少一个网络接口708。

每个处理器702可以是，例如任何类型的通用微处理器或微控制器、数字信号处理(digitalsignalprocessing，dsp)处理器、集成电路、现场可编程门阵列(fieldprogrammablegatearray，fpga)、可配置处理器或其任何组合。

存储器704可以包括内部或外部的任何类型的计算机存储器的合适组合，例如随机存取存储器(random-accessmemory，ram)、只读存储器(read-onlymemory，rom)、只读光盘(compactdiscread-onlymemory，cdrom)、电光存储器、磁光存储器、可擦除可编程只读存储器(erasableprogrammableread-onlymemory，eprom)和电可擦可编程只读存储器(electrically-erasableprogrammableread-onlymemory，eeprom)、铁电ram(ferroelectricram，fram)等。

每个i/o接口706使得计算设备与一或多个输入设备互联，例如键盘、鼠标、摄像机、触摸屏和麦克风等，或与一或多个输出设备互联，例如显示屏和扬声器等。

每个网络接口708使得计算设备与其它组件通信，与其它组件交互数据，接入和连接网络资源，服务应用，以及通过连接能够承载数据的网络(或多个网络)执行其它计算应用。

可以在提供对应用、本地网络、网络资源、其它网络和网络安全设备的访问之前操作移动设备104对用户进行注册和认证(例如通过登录、唯一标识和密码等)。移动设备104可以服务一个用户或多个用户。

图8是根据一些实施例的用于移动设备104的实例进程800的示意图。

802：移动设备104在mdm代理204(图3a)接收容器级别命令。mdm服务器102通过向mdm代理204发送容器级别命令实施范围内的策略。移动设备104具有一个或多个容器。每个容器将移动设备104上的数据和进程与其它容器分离。

804：mdm代理204(图3)执行容器级别命令，以仅控制mdm代理204a所在的容器202a访问移动设备104的硬件或软件资源。在其它实施例中，位于主机容器208或移动设备104内的mdm控制器执行容器级别命令以控制容器202b。

806：移动设备104在mdm代理204接收来自mdm服务器102的设备级别命令。808：mdm控制器206执行设备级别命令，以控制所有容器202访问移动设备104上的硬件或软件资源。

以下提供移动设备104、mdm代理204和容器202操作的其它相关细节。

图8的进程示出执行命令的实例顺序。但是，容器级别命令和设备级别命令之间不存在从属性，且顺序可以改变。例如，移动设备104可以在执行或接收容器级别命令(804)之前执行设备级别命令(808)。作为另一实例，移动设备104可以在执行容器级别命令(804)之前执行第一设备级别命令(808)和第二设备级别命令(返回808)。作为另一个实例，移动设备104可以在执行设备级别命令(808)之前执行第一容器级别命令(804)和第二容器级别命令(返回804)。

图9是根据一些实施例的用于mdm服务器102的实例进程的示意图。

902：可选地，mdm服务器102可以向移动设备104发送激活消息，以激活移动设备104上的容器202，或激活容器202a、202c内的一个或多个mdm代理204a、204c。这可以是响应mdm服务器102接收激活请求而进行的。

904：mdm服务器102发送用于移动设备104的容器202a(图3)的容器级别命令。906：mdm服务器102向移动设备104发送设备级别命令。应理解，mdm服务器可以发送多于一个的容器级别命令或多于一个的设备级别命令，这些命令可以按任何顺序发送。

908：mdm服务器102从移动设备104接收含有反馈响应的通知或消息。反馈响应指示容器级别命令或设备级别命令的执行状态。

图10是根据一些实施例的用于创建mdm策略的实例进程1000的示意图。

1002：it管理员设备106通过提供认证信息登录mdm服务器102。mdm服务器102在授予创建或更新mdm策略的许可之前验证认证信息。

1004：it管理员设备106创建或更新容器级别mdm策略。移动设备104或容器202与mdm策略可以分配的特定用户或用户组相关联。容器级别策略包括一个或多个容器级别命令，每个容器级别命令控制移动设备104上的独立容器202访问移动设备104的硬件或软件资源。

1006：it管理员设备106创建或更新设备策略。设备策略包括一个或多个设备级别命令，每个设备级别命令控制设备整体特征并影响移动设备104上的所有容器202访问设备资源。

1008：mdm服务器102使用容器策略和设备策略定义范围内的策略集合。策略集合是应用于用户或管理的移动设备104的公共规则集合。mdm服务器102基于策略集合的范围生成并发送命令。mdm策略应用于已经在mdm服务器102注册的所有移动设备104中。

it管理员设备106使用基于策略的范围对管理的移动设备104进行范围内的控制。范围内的策略具有不同范围的命令(例如容器级别、设备级别)。

命令或策略可以具有定义其范围(例如容器级别、设备级别)的范围属性。如果命令或策略不具有范围属性，默认范围可以是基于一个或多个预定义范围规则的容器级别范围或设备级别范围。

1010：it管理员设备106向用户和用户组分配一个或多个范围内的策略集合。用户和用户组可以与一或多个移动设备104相关联。策略可以与移动设备104上的一个或多个容器202a、202b、202c相关联。相应地，范围内的策略集合可以与移动设备104或一个或多个容器202a、202b、202c相关联。

1016：mdm服务器102基于相关联的用户和用户组为移动设备104或容器202a、202b、202c部署范围内的策略集合。在一些实施例中，mdm代理204(图3)预先安装在移动设备104的容器202a内。在其它实施例中，mdm服务器102可以为容器202a、202b、202c部署一个或多个mdm代理204a、204c。mdm服务器102可以触发激活移动设备104和容器202a、202b、202c。mdm服务器102可以建立与移动设备104、一个或多个mdm代理204a、204c以及一个或多个容器202a、202b、202c之间的安全连接。

图11a和11b是根据一些实施例的用于注册移动设备104或容器202a、202b、202c的实例进程1100a、1100b的示意图。例如，如果移动设备104上存在两个容器202a、202c(图4)，每个容器202a、202c可以独立注册。

1102：it管理员设备106通过提供认证信息登录mdm服务器102。mdm服务器102在授予移动设备104和容器202a、202b、202c的实例注册许可之前验证认证信息。it管理员设备登录mdm控制台，mdm控制台是mdm服务器102提供的显示在it管理员设备106上的接口。

1104：it管理员设备106通过使用mdm控制台创建用户账户来添加或注册与移动设备104相关联的用户。it管理员设备106可以使用从组织目录(例如轻型目录访问协议)检索到的账户信息为用户或移动设备104创建账户。mdm服务器102为用户创建账户并存储帐户记录，例如存储在mdm数据库中。帐户记录包括用户标识和用户名。帐户记录还可以包括其它字段，例如组织、分组等。用户账户可以用于创建用户和移动设备104之间的连接。用户账户可以用于创建用户和mdm策略之间的连接。用户账户可以用于创建用户和用户组之间的连接。

1106：mdm服务器102向用户或与用户相关联的移动设备104分配注册配置文件。1108：mdm服务器102向用户或与用户相关联的移动设备104提供注册细节。

1110：移动设备104在容器202a内安装mdm代理204(图3)。在一些实施例中，mdm代理204预先安装作为设备图像的一部分。

1112：移动设备104运行mdm注册应用，开始激活进程。mdm注册应用可以是mdm代理204的一部分，或者是独立应用。mdm注册应用可以安装在移动设备104上，或安装在容器202a内。mdm注册应用开始激活移动设备104或容器202a、202c。1114：mdm注册应用向mdm服务器102提交注册请求。

1116：mdm服务器102认证移动设备104，建立与移动设备104之间的安全连接，然后验证来自移动设备104的注册请求。mdm服务器102验证用户是mdm数据库中的有效注册用户。1118：mdm服务器102将设备/容器实例与mdm数据库中的指定用户账户相关联。mdm服务器102向移动设备104发送成功激活消息。

一旦激活移动设备104，mdm服务器102通过用于基于范围的mdm策略管理的mdm代理收集设备/容器信息，包括：唯一设备id(uniquedeviceid，udid)和唯一容器id(uniquecontainerid，ucid)。mdm服务器102将udid和ucid存储在mdm数据库中。

图12是根据一些实施例的用于应用mdm策略的实例进程的示意图。该示意图示出mdm系统的不同部件之间的交互。mdm服务器102向mdm代理应用1204发布策略1202。mdm代理应用1204位于移动设备104上，例如位于移动设备104的容器202a、202c内。

mdm代理应用1204使用本地mdm解析器(localmdmparser，lmp)1206支持mdm容器化。lmp1206接收并验证mdm策略的命令。命令可以称为mdm消息。lmp1206确定mdm消息的范围(例如容器级别、设备级别)。lmp1206本地执行mdm策略集合的命令。在一些实施例中，在步骤1208中，lmp1206向主机容器208转发设备级别命令。主机容器208内的mdm控制器206执行设备级别命令。

本地mdm解析器适配器(localmdmparseradapter，lmpa)1212是主机容器208的组件，用于将设备级别命令从lmp1206路由至全局设备管理器(globaldevicemanager，gdm)1218。在步骤1210中，lmpa1212确认接收命令。lmpa1212使用消息路由器1214发送命令(在步骤1216中)。

gdm1218维护设备级别mdm策略列表。gdm1218检查mdm策略列表的更新。在步骤1224中，gdm1218请求容器管理器1220应用设备级别命令。全局策略控制器(globalpolicycontroller，gpc)1222是容器管理器1220的组件，专用于响应来自gdm1218的mdm请求以应用设备级别命令。

移动设备104应用从mdm服务器102接收的mdm策略。

mdm代理1204(通过lmp1206和消息路由器1214)向gdm1218转发设备级别命令。gdm1218应用设备整体mdm策略。在步骤1226中，gdm1218向mdm代理1204返回响应，所述响应含有状态消息，例如mdm策略处理和应用结果。

图13是根据一些实施例的实例mdm系统的示意图。mdm服务器102向移动设备104发布基于范围的mdm消息或命令1302。

所示实例具有工作容器1304和个人容器1306。mdm代理1308位于工作容器1304内。在此实例中，个人容器1306内不存在mdm代理。mdm服务器102(例如，由it管理员运行)控制工作容器1304，所有应用、数据和活动都受到组织的mdm控制。在一些实施例中，it管理员设备106控制工作容器1304。终端用户控制个人容器1306(vp2)，所有应用、数据和活动对都mdm服务器102不可见。mdm策略和命令基于mdm服务器102发送的含有范围属性的容器级别和设备级别命令应用于预定义范围内。移动设备104执行访问控制规则，增强安全性。虚拟容器mdmapi1312配置工作容器1304，虚拟容器mdmapi1314配置个人容器1306。lmp1310使用消息路由器1316向gdm1318转发设备级别命令。容器管理器1220的gpc1322响应来自gdm1218的mdm请求，执行设备级别命令。gpc1322可以在主机容器208内。设备级别命令通过库、内核1326和设备资源控制移动设备104的操作，设备资源例如为全球定位系统(globalpositioningsystem，gps)组件1328、wifi组件1330、蓝牙组件1332和摄像机1334等。

移动设备104可以禁用或启用个人容器1306。例如，移动设备104可以执行来自mdm策略的命令，以禁用和启用所有个人容器1306。mdm服务器102(由it管理员运行)可以基于mdm策略向移动设备104发送命令，以在某些情况下(例如，移动设备104的位置相对于虚拟边界时)启用和禁用所有个人容器1306。mdm代理1308通过lmp1310和消息路由器1316向gdm1318转发命令。gdm1318解释命令，然后向cm1320中的gpc1322发送禁用或启用个人容器1306的请求。cm1320对个人容器1306执行启用和禁用动作，并向mdm代理1308返回指示已执行启用和禁用动作的响应。mdm服务器102从mdm代理1308获取个人容器状态的更新。

图14是根据一些实施例的另一实例mdm系统的示意图。

所示实例包括异构操作系统上由一个mdm服务器102控制的工作容器1406、1414。不同类型的操作系统使用虚拟容器mdmapi1412、1420与工作容器1406、1414交互。mdm代理1408、1416位于每个工作容器1406、1414内。lpm1410、1418使用消息路由器1422将消息路由至gdm1424。容器管理器1428的gpc1426执行命令，以控制访问设备资源，例如内核1432、gps组件1434、wifi组件1436、蓝牙组件1438和摄像机1440。

mdm服务器102控制工作容器1406、1414，所有应用、数据和活动都受到企业的mdm控制。工作容器1406、1414可以由同一企业管理。mdm策略和命令基于mdm服务器102发送的含有范围属性的mdm策略/命令应用于预定义范围内。

图15是根据一些实施例的又一实例mdm系统的示意图。所示实例包括异构操作系统上由不同mdm服务器102a、102b控制的工作容器1506、1514。

每个工作容器1506、1514由不同mdm服务器102a、102b管理。每个mdm服务器102a、102b可以与不同企业相关联。每个工作容器1506、1514与任何其它容器1506、1514完全分离。工作容器1506、1514由不同企业使用范围内的命令或mdm消息1502、1504管理。

图16a和16b是根据一些实施例的用于移动设备104的控制流的示意图。移动设备具有工作容器1602和主机容器208。移动设备104和mdm服务器102交互反馈数据。反馈包括与命令执行的状态相关的执行状态消息。命令执行指示是否成功执行命令。

存在下游控制流1600a部分和上游控制流1600b部分。工作容器1602在mdm代理1604接收命令，并在下游1600a部分使用lmp1606和消息路由器1612向gdm1616转发设备级别命令。工作容器1602和主机容器208使用服务器套接字1608、1610连接。消息路由器1612和gdm1616使用客户端套接字1614连接。gdm1616在上游控制流1600b部分向mdm代理1604转发执行状态消息或容器级别命令。

本文所述实施例启用和禁用个人容器，例如图3的容器202b。个人容器是非工作容器，且其中不安装mdm代理。容器化移动设备104中可以存在一个或多个个人容器。

本文所述实施例提供松耦合的api驱动mdm架构，为跨平台兼容性和移植性支持异构操作系统。mdm容器化是提供mdm组件封装和分离的框架。mdm系统基于mdm策略和范围内的命令(设备级别、容器级别)支持虚拟设备用途限制。对移动设备104的范围内的管理，除了在独立容器级别，mdm服务器102也在设备级别增强了安全性和管理能力。mdm系统跨多个设备和容器应用mdm策略或动作。

本文所述实施例提供松耦合的mdm架构。具体行业客户需要在同一移动设备104上进行移动设备管理以及需要多个异构操作系统。一些组织需要支持将移动设备104与企业网络结合的安全能力，用于企业拥有设备(cope)和用户拥有设备(byod)系统。

本文所述实施例实施访问控制，从而对容器内数据的访问以及设备上容器之间的通信增强mdm安全控制。mdm容器化提供了对移动设备104上的工作和个人数据不同程度的控制，从完全控制所有数据到只具体控制工作数据。

在一些实例实施例中，当mdm服务器102向mdm代理204a、204c发送命令(设备级别或容器级别)时，mdm服务器102可以使用id对(device_id，container_id)关联或参考容器实例。这样做的目的是确保移动设备104上的一个容器实例id与其它移动设备104上的其它容器实例id不同。mdm服务器102通过id对参考容器202a、202b、202c。

可以存在不同类型的容器级别命令。实例命令包括授予对物理资源(例如摄像机、wifi、数据/语音、gps、麦克风、音频等)的访问权和应用管理(例如，允许在容器中安装哪些应用)。另一实例命令用于发放证书和凭证，包括推送信任证书、网络证书、wifi证书、密码等。另一实例命令请求关于容器或移动设备104的信息。信息可以包括{containerid，deviceid}对。信息可以包括定义为[containerid|deviceid]的managed_container_id或串连id。信息可以指示存在任何个人容器或任何其它与企业相关的安全性相关信息。

mdm框架能够使用多个mdm代理管理多个容器。企业可以使用mdm服务器102和命令控制移动设备104。

本文所述的设备、系统和方法的实施例可以实施于中硬件和软件的组合中。程序代码应用于输入数据以执行本文描述的功能，并生成输出信息。输出信息应用于一个或多个输出设备。在一些实施例中，通信接口可以是网络通信接口。在元件可以组合的实施例中，通信接口可以是软件通信接口，例如用于进程间通信的软件通信接口。在其它实施例中，可存在实施为硬件、软件和其组合的通信接口的组合。

以上论述中，大量参考了服务器、业务、接口、端口、平台或计算设备形成的其它系统。应了解，使用这种术语视为表示一个或多个计算设备，所述计算设备具有至少一个处理器，用于执行存储在计算机可读实体、非瞬时性介质上的软件指令。例如，服务器可以包括一或多个计算机，所述计算机以完成所描述作用、职责或功能的方式运行为网页服务器、数据库服务器或其它类型的计算机服务器。

本文描述各种实例实施例。每个实施例表示发明元件的一种组合，但是公开元件的所有可能组合包括本发明主题。因此，如果一个实施例包括元件a、b和c，第二个实施例包括元件b和d，则即使没有明确公开，发明主题也视为包含a、b、c或d的其它组合。

术语“连接”或“耦合”可以包括直接耦合(两个耦合的元件相互接触)和间接耦合(两个耦合的元件之间至少存在一个额外元件)。

实施例的技术方案可以呈软件产品的形式。软件产品可以存储在非易失性或非瞬时性存储介质中，所述非易失性或非瞬时性存储介质可以是光盘只读存储器(compactdiskread-onlymemory，cd-rom)、usb闪存盘或移动硬盘。软件产品包括多个指令，所述指令使得计算机设备(个人计算机、服务器或网络设备)执行实施例提供的方法。

本文所述实施例通过物理计算机硬件实施，包括计算设备、服务器、接收器、发射器、处理器、存储器、显示器和网络等。本文所述实施例提供有效的物理机器，尤其是配置的计算机硬件布置。本文所述实施例针对电子机器和电子机器实施的方法，用于处理和转换表示各种类型信息的电磁信号。

虽然已详细地描述了实施例，但是应理解，可以在不脱离如所附权利要求书所界定的范围的情况下对本发明做出各种改变、替代和更改。

此外，本发明的范围并不局限于说明书中所述的过程、机器、制造、物质组分、构件、方法和步骤的具体实施例。所属领域的一般技术人员可从本发明的公开中轻易地了解，可根据本发明使用现有的或即将开发出的，具有与本文所描述的相应实施例实质相同的功能，或能够取得与所述实施例实质相同的结果的过程、机器、制造、物质组分、构件、方法或步骤。相应地，所附权利要求范围包括这些流程，机器，制造，物质组分，构件，方法，及步骤。