一种实现移动办公的方法、终端设备及MDM设备与流程

本发明涉及计算机技术领域，尤其涉及一种实现移动办公的方法、终端设备及mdm设备。

背景技术：

随着科学技术的不断发展，人们办公也越来越便利。利用手机的移动信息化软件，可以建立手机与电脑互联互通的企业软件应用系统，使得办公人员可以在任何时间、任何地点处理与业务相关的任何事情，进而随时可以进行随身化的公司管理和沟通，实现移动办公。

现有技术中，通常是在移动终端上面安装虚拟专用网络(virtualprivatenetwork，vpn)客户端以及企业办公自动化(officeautomation，oa)客户端。当需要登录企业oa客户端时，需要先打开vpn客户端，通过用户名和密码的方式，登录vpn客户端，验证通过后，即可以成功连接到vpn服务器；然后，打开企业oa客户端，通过用户名和密码的方式登录后，可以访问oa客户端的内容，实现移动办公的功能。

而现有技术中的上述方案存在如下缺陷：

一、电子办公的移动化发展，政府系统数据呈现于移动智能终端上。相较于数据中心安全防护水平，移动终端普遍安全防御水平较低。移动智能终端易于携带、容易丢失，会导致敏感信息的泄漏，对数据安全构成极大威胁。此外,移动终端易被他人非授权使用，产生拷贝、下载或打印内部敏感资料的风险。此外，除配发专用设备，有些接入单位的用户使用自由设备接入外网，由于办公和个人应用混合，极大地降低系统的可靠性，引入了安全风险，造成数据丢失或设备功能失效。当用户通过远程接入的方式访问到外网业务系统时，容易导致重要数据人为或是无意的泄漏，存在重大的信息安全隐患。

二、外网接入用户通过无线保真(wireless-fidelity，wifi)、3g/4g、接入点(accesspointname，apn)网络，从互联网环境访问政务外网的业务系统，传输信道为公共网络安全性低，存在数据被截获、攻击和篡改，造成接入信道安全风险。设备和应用作为业务展示载体，如果设备和应用携带病毒或者木马等，在设备和应用接入过程中，可能将病毒或木马自动传播至外网网络，对外网网络安全构成极大威胁，也可能会造成数据泄露风险。

三、目前的移动办公客户端，大多通过安装单独的vpn客户端，通过用户名和密码的方式开启vpn连接，一旦用户名和密码泄露或被窃取，存在非授权用户恶意访问的问题。而且用户可以在任意安装了vpn客户端的终端上面通过该用户名和密码进行远程vpn访问，对整个移动办公系统造成极大的安全隐患。

综上可知，现有技术中存在实现移动办公时的安全性较低的技术问题。

技术实现要素：

本发明实施例提供一种实现移动办公的方法、终端设备及mdm设备，用以解决现有技术中存在实现移动办公时的安全性较低的技术问题。

第一方面

本发明实施例提供一种实现移动办公的方法，应用于终端设备，所述终端设备包括移动终端管理mdm模块和用户身份识别sim模块，所述mdm模块集成有虚拟专用网络vpn单元，所述终端设备通过所述mdm模块与mdm设备通信连接，所述方法包括：

当检测到终端用户针对所述mdm模块进行登录操作的登录信息时，向所述mdm设备发送所述登录信息及所述终端设备的硬件识别信息，所述登录信息由所述终端用户的用户身份信息确定；

接收所述mdm设备基于所述登录信息及所述硬件识别信息对所述终端用户进行身份校验后的校验结果；

若所述校验结果表明所述终端用户的身份校验通过，则完成登录并基于所述sim模块启动所述vpn单元以实现移动办公。

在一种可能的实现方式中，在向所述mdm设备发送所述登录信息及所述终端设备的硬件识别信息之前，所述方法还包括：

获取终端用户申请的数字证书，所述数字证书用于建立所述vpn单元与vpn平台之间的vpn通道；

将所述数字证书写入所述sim模块中。

在一种可能的实现方式中，所述基于所述sim模块启动所述vpn单元包括：

通过所述vpn单元从所述vpn平台获取数据包；

基于所述数据包从所述sim模块中确定认证数据，并向所述vpn平台发送所述认证数据，所述认证数据包括所述数字证书；

接收所述vpn平台对所述认证数据进行校验的响应结果；

基于所述响应结果启动所述vpn单元。

在一种可能的实现方式中，所述在完成登录并启动vpn单元以实现移动办公之后，所述方法还包括：

确定所述mdm模块的操作日志，其中，所述操作日志包括所述终端用户针对所述mdm模块的多条业务操作记录，每条业务操作记录包括所述终端设备的出厂标识、所述终端用户的用户名和操作时间中的一种或者任意组合；

基于预设周期，向所述mdm设备发送所述操作日志。

第二方面

本发明实施例提供另一种实现移动办公的方法，应用于mdm设备，所述mdm设备与终端设备通信连接，所述方法包括：

接收所述终端设备发送的登录信息及所述终端设备的硬件识别信息，所述登录信息由终端用户的用户身份信息确定；

基于预设对应关系对所述登录信息及所述硬件识别信息进行校验，确定所述终端用户身份，并获得校验结果，其中，所述预设对应关系用于指示所述登录信息与硬件识别信息之间的一一对应关系；

向所述终端设备发送所述校验结果，以使所述终端设备基于所述校验结果完成登录并启动vpn实现移动办公。

在一种可能的实现方式中，在基于预设对应关系对所述登录信息及所述硬件识别信息进行校验，确定所述终端用户身份之前，所述方法还包括：

获取所述终端用户录入的用户身份信息；

基于所述用户身份信息生成并存储所述登录信息，并将所述登录信息与所述终端用户的终端设备的硬件识别信息进行绑定，以确定所述预设对应关系。

在一种可能的实现方式中，所述基于预设对应关系对所述登录信息及所述硬件识别信息进行校验，确定所述终端用户身份，并获得校验结果，包括：

基于预设对应关系，确定所述登录信息与所述硬件标识信息是否匹配，获得校验结果，所述校验结果用于指示所述终端用户的身份校验通过或者失败。

在一种可能的实现方式中，若所述身份校验失败的失败次数大于预设校验次数，所述方法还包括：

向所述终端设备发送锁定指令，以使所述终端设备在接收到所述锁定指令后执行所述锁定指令对所述终端设备进行锁定。

在一种可能的实现方式中，在向所述终端设备发送所述校验结果之后，所述方法还包括：

获取并存储所述终端设备发送的操作日志，其中，所述操作日志包括所述终端用户针对所述mdm模块的多条业务操作记录，每条业务操作记录包括所述终端设备的出厂标识、所述终端用户的用户名和操作时间中的一种或者任意组合；

在检测到用于指示查询目标业务记录的查询操作时，基于所述查询操作从所述操作日志中确定与所述查询操作对应的业务操作记录，并进行反馈。

第三方面

本发明实施例提供一种终端设备，所述终端设备与mdm设备通信连接，所述终端设备包括：

mdm模块，集成有虚拟专用网络vpn单元，用于当检测到终端用户针对所述mdm模块进行登录操作的登录信息时，向所述mdm设备发送所述登录信息及所述终端设备的硬件识别信息，所述登录信息由所述终端用户的用户身份信息确定；

接收模块，用于接收所述mdm设备基于所述登录信息及所述硬件识别信息对所述终端用户进行身份校验后的校验结果；

处理模块，用于若所述校验结果表明所述终端用户的身份校验通过，则完成登录并基于sim模块启动所述vpn单元以实现移动办公。

在一种可能的实现方式中，所述mdm模块还用于：

在向所述mdm设备发送所述登录信息及所述终端设备的硬件识别信息之前，获取终端用户申请的数字证书，所述数字证书用于建立所述vpn单元与vpn平台之间的vpn通道；

将所述数字证书写入所述sim模块中。

在一种可能的实现方式中，所述处理模块用于：

通过所述vpn单元从所述vpn平台获取数据包；

基于所述数据包从所述sim模块中确定认证数据，并向所述vpn平台发送所述认证数据，所述认证数据包括所述数字证书；

接收所述vpn平台对所述认证数据进行校验的响应结果；

基于所述响应结果启动所述vpn单元。

在一种可能的实现方式中，所述处理模块还用于：

在完成登录并启动vpn单元以实现移动办公之后，确定所述mdm模块的操作日志，其中，所述操作日志包括所述终端用户针对所述mdm模块的多条业务操作记录，每条业务操作记录包括所述终端设备的出厂标识、所述终端用户的用户名和操作时间中的一种或者任意组合；

基于预设周期，向所述mdm设备发送所述操作日志。

第四方面

本发明实施例提供一种mdm设备，所述mdm设备与终端设备通信连接，所述mdm设备包括：

接收模块，用于接收所述终端设备发送的登录信息及所述终端设备的硬件识别信息，所述登录信息由终端用户的用户身份信息确定；

处理模块，用于基于预设对应关系对所述登录信息及所述硬件识别信息进行校验，确定所述终端用户身份，并获得校验结果，其中，所述预设对应关系用于指示所述登录信息与硬件识别信息之间的一一对应关系；

发送模块，用于向所述终端设备发送所述校验结果，以使所述终端设备基于所述校验结果完成登录并启动vpn实现移动办公。

在一种可能的实现方式中，所述处理模块还用于：

在基于预设对应关系对所述登录信息及所述硬件识别信息进行校验，确定所述终端用户身份之前，获取所述终端用户录入的用户身份信息；

基于所述用户身份信息生成并存储所述登录信息，并将所述登录信息与所述终端用户的终端设备的硬件识别信息进行绑定，以确定所述预设对应关系。

在一种可能的实现方式中，所述处理模块还用于：

基于预设对应关系，确定所述登录信息与所述硬件标识信息是否匹配，获得校验结果，所述校验结果用于指示所述终端用户的身份校验通过或者失败。

在一种可能的实现方式中，所述发送模块还用于：

若所述身份校验失败的失败次数大于预设校验次数，向所述终端设备发送锁定指令，以使所述终端设备在接收到所述锁定指令后执行所述锁定指令对所述终端设备进行锁定。

在一种可能的实现方式中，所述接收模块还用于：

在向所述终端设备发送所述校验结果之后，获取并存储所述终端设备发送的操作日志，其中，所述操作日志包括所述终端用户针对所述mdm模块的多条业务操作记录，每条业务操作记录包括所述终端设备的出厂标识、所述终端用户的用户名和操作时间中的一种或者任意组合；

在检测到用于指示查询目标业务记录的查询操作时，基于所述查询操作从所述操作日志中确定与所述查询操作对应的业务操作记录，并进行反馈。

第五方面

本发明实施例提供一种计算机装置，所述计算机装置包括：

至少一个处理器，以及

与所述至少一个处理器通信连接的存储器、通信接口；

其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述至少一个处理器通过执行所述存储器存储的指令，利用所述通信接口执行如第一方面或第二方面所述的方法。

第六方面

本发明实施例中提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，当所述计算机指令在计算机上运行时，使得计算机执行如第一方面或第二方面所述的方法。

上述技术方案中的一个或多个技术方案，至少具有如下技术效果或优点：

第一、本发明实施例的实现移动办公的方法，应用于终端设备，该方法中当检测到终端用户针对mdm模块进行登录操作的登录信息时，向mdm设备发送登录信息及终端设备的硬件识别信息，然后接收mdm设备基于登录信息及硬件识别信息对终端用户进行身份校验后的校验结果，若校验结果表明终端用户的身份校验通过，则完成登录并基于sim模块启动vpn单元实现移动办公，解决了现有技术中存在的实现移动办公时的安全性较低的技术问题，提高了终端设备进行移动办公时的安全性。

第二、由于本发明实施例中，mdm设备在接收到终端设备发送的登录信息及终端设备的硬件标识信息时，会基于预设对应关系对登录信息及硬件识别信息进行校验，以确定终端用户身份获得校验结果，然后向终端设备发送校验结果，以使终端设备基于校验结果完成登录并启动vpn实现移动办公，提高了终端设备登录的安全性。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例中所需要使用的附图作简单地介绍，显而易见地，下面所介绍的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例中设计方案的总体技术框架图；

图2为本发明实施例中一种实现移动办公的方法的流程示意图；

图3为本发明实施例中基于sim模块启动vpn单元的流程示意图；

图4为本发明实施例中另一种实现移动办公的方法的流程示意图；

图5为本发明实施例中终端设备的模块示意图；

图6为本发明实施例中mdm设备的模块示意图；

图7为本发明实施例中计算机装置的模块示意图。

具体实施方式

为了使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。

本发明实施例中可以通过移动终端管理(mobiledevicemanagement，mdm)模块集成vpn单元的方式，oa办公应用可以安全管理平台下发的方式推送安装，提供了安全、可靠的移动办公平台。

下面，首先对本发明实施例中的部分术语进行介绍，以便本领域技术人员理解。

移动办公：电子移动办公系统(mobilee-governmentsystem)，利用终端设备可以随时随地通过无线网络访问办公系统进行网上办公的应用系统。

mdm设备：可以针对终端设备提供从注册、激活、使用到废弃等全生命周期的管理，如终端设备的配置管理、安全管理和资产管理等。

vpn：虚拟专用网，可以通过特殊加密的通讯协议在位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路。本发明实施例中的vpn可以为安全带接层(securesocketslayer，ssl)vpn等。

然后，对本发明实施例中的设计方案的总体技术框架进行简单的介绍如下。

请参见图1，为本发明实施例中的设计方案的总体技术框架图。图1中，终端设备可以通过vpn通道与政务网络进行通信连接，其中，终端设备可以包括mdm模块和sim模块，而mdm模块可以集成vpn单元、移动应用管理(mobileapplicationmanagement，mam)单元、移动内容管理(mobilecontentmanagement，mam)单元等于一体，可以实现身份鉴别、数据存储、安全防护及运行环境隔离等功能。

而政务网络可以包括mdm设备，mdm设备可以集成mam平台和mcm平台的功能于一体，可以实现接入认证网关、应用前置等功能。

终端设备可以是手机、笔记本电脑、平板等设备；vpn通道的通信网络可以是蜂窝网络、互联网或者专用网络、局域网、wifi和无线局域网鉴别和保密基础结构(wirelesslanauthenticationandprivacyinfrastructure，wapi)等；政务网络下可以包括防火墙、接入认证、应用前置等模块，以及移动应用系统和政务办公系统等。

基于上述总体框架，本发明实施例提供了一种实现移动办公的方法，当检测到终端用户针对mdm模块进行登录操作的登录信息时，向mdm设备发送登录信息及终端设备的硬件识别信息，然后接收mdm设备基于登录信息及硬件识别信息对终端用户进行身份校验后的校验结果，若校验结果表明终端用户的身份校验通过，则完成登录并基于sim模块启动vpn单元实现移动办公，解决了现有技术中存在的实现移动办公时的安全性较低的技术问题，提高了终端设备进行移动办公时的安全性。

下面结合附图对本发明优选的实施例作详细的介绍。

实施例一

请参见图2，本发明实施例提供一种实现移动办公的方法，可以应用于终端设备，其中，方法的实现过程可以描述如下：

s201：当检测到终端用户针对mdm模块进行登录操作的登录信息时，向mdm设备发送登录信息及终端设备的硬件识别信息，登录信息由终端用户的用户身份信息确定；

s202：接收mdm设备基于登录信息及硬件识别信息对终端用户进行身份校验后的校验结果；

s203：若校验结果表明终端用户的身份校验通过，则完成登录并基于sim模块启动vpn单元以实现移动办公。

本发明实施例中，终端设备可以获取终端用户申请的数字证书并将其存入终端设备的指定目录，指令目录可以由终端用户进行自定义设置。然后，终端设备可以通过mdm模块的证书写入功能，将数字证书写入到终端设备的sim模块中。

具体地，采用基于sim盾存储的数字证书技术，sim盾应用加载在sim/usim(以下简称sim)模块上，向外提供安全的存储能力和运算处理能力，可保存用户私钥和用户证书信息，可执行公私钥生成、rsa加解密运算、签名/验签、哈希运算等操作。政务用户需要通过首先下载证书到本地存储；当政务终端启动时，可以调用sim盾应用写入证书到本地sim模块中，实现了证书的保密存储。

由于采用了mdm模块，使得终端设备具备了移动终端设备管理功能，在mdm设备侧可远程控制终端设备，实现如定位终端设备、应用、消息、文件下发功能以及远程数据擦除、设备与用户绑定等功能。

终端用户可以在mdm设备侧进行开户，录入用户身份信息，如身份证号码、电话号码及个人相关资料等。mdm设备可以根据用户身份信息创建在终端设备侧可以用于登录mdm模块的登录信息，如用户名和密码等信息。然后，mdm设备可以通过短信、邮件等方式将登录信息下发至终端设备。

进而，可以进入s201，即当终端设备检测到终端用户针对mdm模块进行登录操作的登录信息时，可以向mdm设备发送登录信息及终端设备的硬件识别信息，其中，硬件识别信息可以为包括国际移动设备身份(internationalmobileequipmentidentity，imei)码、国际移动用户识别(internationalmobilesubscriberidentification，imsi)码等。

imei：由15位数字组成的“电子串号”，它与每台终端设备一一对应，而且该码是全世界唯一的。每台终端设备在组装完成后都将被赋予全球唯一的一组号码，这个号码从生产到交付使用都将被制造生产的厂商所记录。

imsi：区别终端用户的标志，储存在sim模块中，可以用于区别终端用户的有效信息。

在向mdm设备发送登录信息及硬件识别信息之后，进入s302，接收mdm设备发送的基于登录信息及硬件识别信息对终端用户进行校验后的校验结果，即mdm设备可以根据终端设备上报的登录信息和硬件识别信息来校验终端用户的合法性，并且同时可以绑定终端设备的硬件识别信息和终端用户的关系。

在s203中，若终端设备接收到的校验结果表明终端用户的身份校验通过，则可以完成对mdm模块的登录，并基于sim模块启动vpn单元，以实现移动办公。

在一种可能的实现方式中，请参见图3，基于sim模块启动vpn单元的过程可以描述如下：

s301：通过vpn单元从vpn平台获取数据包，其中，数据包可以包括请求连接认证的交互数据；然后，进入s302；

s302：基于数据包从sim模块中确定认证数据，并向vpn平台发送认证数据，认证数据包括数字证书；

s303：接收vpn平台对认证数据进行校验的响应结果；

s304：基于响应结果建立vpn通道以启动vpn单元。

由于本发明实施例中，mdm模块集成了vpn单元，采用基于sim模块的方式来存储数字证书，且vpn模块采用证书认证的方式与远程的服务器建立安全连接，确保了金融级别的认证安全性，安全级别大大高于传统的基于用户名和密码的身份认证方式。并且基于sim模块的vpn单元启动方案简化了终端用户建立vpn的操作，提升了vpn的易用性和安全性。

在一种可能的实现方式中，在完成登录并启动vpn单元以实现移动办公之后，终端设备可以确定mdm模块的操作日志，其中，操作日志包括终端用户针对mdm模块的多条业务操作记录，每条业务操作记录包括终端设备的出厂标识、终端用户的用户名和操作时间中的一种或者任意组合；

基于预设周期，向mdm设备发送操作日志。

即终端设备侧的所有业务操作记录都会被完整的记录并可以周期性的发送给mdm设备进行存储，企业管理人员可以根据操作日志随时跟踪终端设备侧的访问情况，防范风险。

综上所述，本发明实施例的一个或者多个技术方案，至少具有如下技术效果或者优点：

第一、本发明实施例的实现移动办公的方法，应用于终端设备，该方法中当检测到终端用户针对mdm模块进行登录操作的登录信息时，向mdm设备发送登录信息及终端设备的硬件识别信息，然后接收mdm设备基于登录信息及硬件识别信息对终端用户进行身份校验后的校验结果，若校验结果表明终端用户的身份校验通过，则完成登录并基于sim模块启动vpn单元实现移动办公，解决了现有技术中存在的实现移动办公时的安全性较低的技术问题，提高了终端设备进行移动办公时的安全性。

第二、由于终端设备包括mdm模块，使得终端设备具备了移动终端设备管理功能，在mdm设备侧可远程控制终端设备，实现如定位终端设备、应用、消息、文件下发功能以及远程数据擦除、设备与用户绑定等功能。

第三、vpn的安全接入是基于sim模块存储的数字证书构建的vpn通道进行的，确保了终端设备从公共无线网接入政务网络的传输安全。

第四、由于终端设备侧在检测到终端用户的登录信息时，会将登录信息及终端设备的硬件识别信息发送至mdm设备进行用户身份认证，待验证通过后才允许登录，即只允许指定的终端用户在当前激活的终端设备上进行mdm模块的登录，禁止了异地登录或者多终端设备同时登录，提高了登录的安全性。

实施例二

请参见图4，本发明实施例的另一种实现移动办公的方法，可以应用于mdm设备，其中，mdm设备与终端设备可以通信连接。由于终端设备可以通过mdm模块与mdm设备进行通信连接的，因此，mdm设备可以对终端设备进行远程控制，并可以远程操控终端设备执行设备锁定、解锁、设备定位、设备振铃、擦除数据、恢复出厂设置、解除终端设备的sim模块绑定等功能。

其中，方法的实现过程可以描述如下：

s401：接收终端设备发送的登录信息及终端设备的硬件识别信息，登录信息由终端用户的用户身份信息确定；

s402：基于预设对应关系对登录信息及硬件识别信息进行校验，确定终端用户身份，并获得校验结果，其中，预设对应关系用于指示登录信息与硬件识别信息之间的一一对应关系；

s403：向终端设备发送校验结果，以使终端设备基于校验结果完成登录并启动vpn实现移动办公。

mdm设备可以获取终端用户进行开户时入路的用户身份信息，如身份证号码、电话号码及个人相关资料等。mdm设备可以根据用户身份信息创建在终端设备侧可以用于登录mdm模块的登录信息，如用户名和密码等信息。然后，mdm设备可以通过短信、邮件等方式将登录信息下发至终端设备。

同时，mdm设备可以对登录信息进行存储，并将终端用户的登录信息及终端设备的硬件识别信息进行绑定，以确定预设对应关系。

在s401中，mdm设备可以接收终端设备发送的登录信息及终端设备的硬件识别信息，然后进入s402。

mdm设备可以根据预设对应关系对登录信息及硬件识别信息进行校验，确定终端用户身份，并获得校验结果，其中，预设对应关系用于指示登录信息与硬件识别信息之间的一一对应关系。

在一种可能的实现方式中，mdm设备可以根据预设对应关系，确定登录信息与硬件标识信息是否匹配，获得校验结果，校验结果用于指示终端用户的身份校验通过或者失败。

然后，进入s403，即mdm设备可以将校验结果反馈给终端设备，以使得终端设备可以根据校验结果完成mdm模块的登录并基于sim模块启动vpn单元实现移动办公。

在一种可能的实现方式中，为避免终端设备丢失导致的数据丢失的问题，mdm设备若确定终端用户的身份校验失败的失败次数大于预设校验次数，则可以向终端设备发送锁定指令，以使终端设备在接收到所述锁定指令后执行锁定指令对终端设备进行锁定。

在一种可能的实现方式中，在向终端设备发送校验结果之后，方法还可以包括：获取并存储终端设备发送的操作日志，其中，操作日志包括终端用户针对mdm模块的多条业务操作记录，每条业务操作记录包括终端设备的出厂标识、终端用户的用户名和操作时间中的一种或者任意组合；

在检测到用于指示查询目标业务记录的查询操作时，基于查询操作从操作日志中确定与查询操作对应的业务操作记录，并进行反馈。

在实际应用中，mdm设备可以周期或者定期的获取由终端设备发送的操作日志，然后对这些操作日志进行保存。

当mdm设备检测到查询操作时，比如企业管理人员在mdm设备上输入终端用户的终端设备id或者终端用户的用户名等，mdm设备就可以根据这些查询操作从存储的操作日志中确定相应的业务操作记录，然后可以通过mdm设备的显示单元进行显示，以便用户查看，或者也可以通过短信或者邮件的方式发送给查询操作对应的终端设备上。

mdm设备可以通过推送oa应用的方式，通过建立的vpn通道下发安装包到终端设备中，并且mdm设备可以强制安装或者卸载指定oa应用，进而避免了oa应用通过其他渠道进行分发或者下载时的泄露风险。

综上所述，本发明实施例的一个或者多个技术方案，至少具有如下技术效果或者优点：

第一、由于本发明实施例中，mdm设备在接收到终端设备发送的登录信息及终端设备的硬件标识信息时，会基于预设对应关系对登录信息及硬件识别信息进行校验，以确定终端用户身份获得校验结果，然后向终端设备发送校验结果，以使终端设备基于校验结果完成登录并启动vpn实现移动办公，提高了终端设备登录的安全性。

第二、为避免终端设备丢失导致的数据丢失的问题，mdm设备若确定终端用户的身份校验失败的失败次数大于预设校验次数，则可以向终端设备发送锁定指令，以使终端设备在接收到所述锁定指令后执行锁定指令对终端设备进行锁定。

需要说明的是，在实际应用中，可以单独采用实施例一或者实施例二提供的实现移动办公的方法进行移动办公，或者也可以结合实施例一和实施例二的技术方案实现移动办公，本发明实施例不作具体限制。

实施例三

请参见图5，基于同一发明构思，本发明实施例提供一种终端设备，所述终端设备与mdm设备通信连接，所述终端设备包括：

mdm模块51，集成有虚拟专用网络vpn单元，用于当检测到终端用户针对所述mdm模块51进行登录操作的登录信息时，向所述mdm设备发送所述登录信息及所述终端设备的硬件识别信息，所述登录信息由所述终端用户的用户身份信息确定；

接收模块52，用于接收所述mdm设备基于所述登录信息及所述硬件识别信息对所述终端用户进行身份校验后的校验结果；

处理模块53，用于若所述校验结果表明所述终端用户的身份校验通过，则完成登录并基于sim模块启动所述vpn单元以实现移动办公。

在一种可能的实现方式中，所述mdm模块51还用于：

在向所述mdm设备发送所述登录信息及所述终端设备的硬件识别信息之前，获取终端用户申请的数字证书，所述数字证书用于建立所述vpn单元与vpn平台之间的vpn通道；

将所述数字证书写入所述sim模块中。

在一种可能的实现方式中，所述处理模块53用于：

通过所述vpn单元从所述vpn平台获取数据包；

基于所述数据包从所述sim模块中确定认证数据，并向所述vpn平台发送所述认证数据，所述认证数据包括所述数字证书；

接收所述vpn平台对所述认证数据进行校验的响应结果；

基于所述响应结果启动所述vpn单元。

在一种可能的实现方式中，所述处理模块53还用于：

在完成登录并启动vpn单元以实现移动办公之后，确定所述mdm模块的操作日志，其中，所述操作日志包括所述终端用户针对所述mdm模块的多条业务操作记录，每条业务操作记录包括所述终端设备的出厂标识、所述终端用户的用户名和操作时间中的一种或者任意组合；

基于预设周期，向所述mdm设备发送所述操作日志。

实施例四

请参见图6，基于同一发明构思，本发明实施例提供一种mdm设备，所述mdm设备与终端设备通信连接，所述mdm设备包括：

接收模块61，用于接收所述终端设备发送的登录信息及所述终端设备的硬件识别信息，所述登录信息由终端用户的用户身份信息确定；

处理模块62，用于基于预设对应关系对所述登录信息及所述硬件识别信息进行校验，确定所述终端用户身份，并获得校验结果，其中，所述预设对应关系用于指示所述登录信息与硬件识别信息之间的一一对应关系；

发送模块63，用于向所述终端设备发送所述校验结果，以使所述终端设备基于所述校验结果完成登录并启动vpn实现移动办公。

在一种可能的实现方式中，所述处理模块62还用于：

在基于预设对应关系对所述登录信息及所述硬件识别信息进行校验，确定所述终端用户身份之前，获取所述终端用户录入的用户身份信息；

基于所述用户身份信息生成并存储所述登录信息，并将所述登录信息与所述终端用户的终端设备的硬件识别信息进行绑定，以确定所述预设对应关系。

在一种可能的实现方式中，所述处理模块62还用于：

基于预设对应关系，确定所述登录信息与所述硬件标识信息是否匹配，获得校验结果，所述校验结果用于指示所述终端用户的身份校验通过或者失败。

在一种可能的实现方式中，所述发送模块63还用于：

若所述身份校验失败的失败次数大于预设校验次数，向所述终端设备发送锁定指令，以使所述终端设备在接收到所述锁定指令后执行所述锁定指令对所述终端设备进行锁定。

在一种可能的实现方式中，所述接收模块61还用于：

在向所述终端设备发送所述校验结果之后，获取并存储所述终端设备发送的操作日志，其中，所述操作日志包括所述终端用户针对所述mdm模块的多条业务操作记录，每条业务操作记录包括所述终端设备的出厂标识、所述终端用户的用户名和操作时间中的一种或者任意组合；

在检测到用于指示查询目标业务记录的查询操作时，基于所述查询操作从所述操作日志中确定与所述查询操作对应的业务操作记录，并进行反馈。

实施例五

请参见图7，基于同一发明构思，本发明实施例中提供一种计算机装置，包括至少一个处理器71，以及与所述至少一个处理器71通信连接的存储器72和通信接口73，图7中以示出一个处理器71为例。

其中，所述存储器72存储有可被所述至少一个处理器71执行的指令，所述至少一个处理器71通过执行所述存储器72存储的指令，利用所述通信接口73执行如实施例一或实施例二中所述的方法。

实施例六

基于同一发明构思，本发明实施例提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，当所述计算机指令在计算机上运行时，使得计算机执行如实施例一或实施例二所述的方法。

在具体的实施过程中，计算机可读存储介质包括：通用串行总线闪存盘(universalserialbusflashdrive，usb)、移动硬盘、只读存储器(read-onlymemory，rom)、随机存取存储器(randomaccessmemory，ram)、磁碟或者光盘等各种可以存储程序代码的存储介质。

以上所描述的装置实施例仅仅是示意性的，其中作为分离部件说明的单元/模块可以是或者也可以不是物理上分开的，作为单元/模块显示的部件可以是或者也可以不是物理单元/模块，即可以位于一个地方，或者也可以分布到多个网络单元/模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。