一种远程设备集中管控系统和方法与流程

本发明涉及远程控制技术领域，尤其涉及一种远程设备集中管控系统和方法。

背景技术：

移动办公是当今高速发展的通信业与it业交融的产物，它将通信业在沟通上的便捷、在用户上的规模，与it业在软件应用上的成熟、在业务内容上的丰富，完美结合到了一起，使之成为了继电脑无纸化办公、互联网远程化办公之后的新一代办公模式。这种最新潮的办公模式，通过在手机、平板上安装企业信息化软件，使得手机也具备了和电脑一样的办公功能，而且它还摆脱了必须在固定场所固定设备上进行办公的限制，对企业管理者和商务人士提供了极大便利，为企业和政府的信息化建设提供了全新的思路和方向。它不仅使得办公变得随心、轻松，而且借助手机通信的便利性，使得使用者无论身处何种紧急情况下，都能高效迅捷地开展工作，对于突发性事件的处理、应急性事件的部署有极为重要的意义。如今，移动办公灵活性、便捷性受到各个行业的青睐，企业、政府部门、特殊单位也不例外，在享受移动办公带来便捷的同时也面临一些新的问题。如移动办公设备数据安全性、数据泄密、设备丢失无法管控问题，移动办公设备被用于个人娱乐等。

同时，对于企业而言，也希望能够做到上班时间与下班时间对移动办公设备分别管控、办公区域与非办公区域对移动办公设备进行不同级别的限制等。然而，当前仍没有形成一种合理、有效的管控方法。

技术实现要素：

为了解决上述问题，有必要提供一种远程设备集中管控系统和方法。

本发明第一方面提出一种远程设备集中管控系统，所述系统包括服务器和至少一个终端设备；

所述服务器用于生成管控指令和/或管控策略，所述服务器包括第一通信模块，所述第一通信模块用于将所述管控指令和/或管控策略发送给至少一个终端设备；

每个终端设备包括第二通信模块和执行模块，所述第二通信模块与所述服务器的第一通信模块进行通信连接，所述第二通信模块用于接收所述管控指令和/或管控策略并传送给所述执行模块，所述执行模块根据管控指令和/或管控策略对相应的终端设备实施管控。

进一步的，所述管控策略包括wlan管控策略、蓝牙管控策略、移动数据管控策略、nfc管控策略、红外管控策略、usb工作模式管控策略、扩展存储访问管控策略、恢复出厂设置管控策略、系统升级功能管控策略、扬声器管控策略、麦克风管控策略、摄像头管控策略、闪光灯管控策略、截屏管控策略、gps管控策略、生物特征识别管控策略、通话管控策略、短信管控策略、接入点管控策略、应用安装源管控策略、应用安装黑白名单管控策略、应用运行黑白名单管控策略、网络黑白名单管控策略、设备状态监测管控策略中的任意一种或几种。

进一步的，所述管控指令包括关机指令、重启指令、恢复出厂设置指令、数据擦除指令、定位指令、前置摄像头拍照指令、后置摄像头拍照指令、截屏指令、锁定设备指令、解锁设备指令、设置通话指令、设置网络黑白名单指令中的任意一种或几种。

进一步的，所述服务器还用于生成管控围栏，所述第一通信模块将所述管控围栏发送给至少一个终端设备，至少一个终端设备结合所述管控围栏和所述管控策略对相应的终端设备实施管控。

进一步的，所述管控围栏包括时间围栏、地理围栏、wlan围栏、门禁围栏中的任意一种或几种；

所述时间围栏表征为：按照不同时间段实施不同的管控；

所述地理围栏表征为：按照不同地理位置实施不同的管控；

所述wlan围栏表征为：根据所述终端设备是否可扫描到或连接到特定的wlan来实施不同的管控；

所述门禁围栏表征为：根据所述终端设备是否进入特定的区域来实施不同的管控。

进一步的，所述终端设备为多个，多个终端设备基于用户的不同身份分为m种，每一种终端设备至少包括一个；不同种类的终端设备之间适配的管控指令和/或管控策略不同，同一种类的终端设备适配的管控指令和/或管控策略相同。

进一步的，所述用户的不同身份按照管理级别、岗位、年龄、性别、国籍中的任意一种或几种进行划分。

进一步的，每个终端设备还包括采集模块，所述采集模块用于采集所述执行模块的执行状态、以及所述终端设备的异常数据，并通过所述第二通信模块上报至所述服务器，由所述服务器根据所述执行状态和所述异常数据作出后续管控对策。

本发明第二方面还提出一种远程设备集中管控方法，应用于上述的远程设备集中管控系统，所述方法包括：

服务器生成管控指令和/或管控策略；

所述服务器的第一通信模块将所述管控指令和/或管控策略发送给至少一个终端设备；

每个终端设备的第二通信模块接收所述管控指令和/或管控策略并传送给执行模块；

所述执行模块根据管控指令和/或管控策略对相应的终端设备实施管控。

进一步的，在所述执行模块根据管控指令和/或管控策略对相应的终端设备实施管控之后，所述方法还包括：

所述终端设备的采集模块采集所述执行模块的执行状态、以及所述终端设备的异常数据；

通过所述第二通信模块将所述执行状态和所述异常数据上报至所述服务器；

由所述服务器根据所述执行状态和所述异常数据作出后续管控对策。

本发明的服务器对终端设备具有绝对的控制权，即使终端设备丢失，用户可以上报管理员，并通过服务器向丢失的终端设备下发管控指令（如锁定设备指令），从而保障终端设备数据的安全性，有效解决终端设备丢失而导致数据泄密的风险。本发明通过多种管控围栏与管控策略灵活组合，能够满足不同场景下对终端设备的管控需求。同时，本发明实现一个终端设备兼顾办公和私人使用，降低了企业成本。

本发明的附加方面和优点将在下面的描述部分中变得明显，或通过本发明的实践了解到。

附图说明

本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解，其中：

图1示出了本发明一种远程设备集中管控系统的框图；

图2示出了本发明一种远程设备集中管控方法的流程图。

具体实施方式

为了能够更清楚地理解本发明的上述目的、特征和优点，下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是，在不冲突的情况下，本申请的实施例及实施例中的特征可以相互组合。

在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是，本发明还可以采用其他不同于在此描述的其他方式来实施，因此，本发明的保护范围并不受下面公开的具体实施例的限制。

图1示出了本发明一种远程设备集中管控系统的框图。

如图1所示，本发明第一方面提出一种远程设备集中管控系统，所述系统包括服务器和至少一个终端设备；

所述服务器用于生成管控指令和/或管控策略，所述服务器包括第一通信模块，所述第一通信模块用于将所述管控指令和/或管控策略发送给至少一个终端设备；

每个终端设备包括第二通信模块和执行模块，所述第二通信模块与所述服务器的第一通信模块进行通信连接，所述第二通信模块用于接收所述管控指令和/或管控策略并传送给所述执行模块，所述执行模块根据管控指令和/或管控策略对相应的终端设备实施管控。

优选的，所述终端设备可以为手机、ipad、笔记本电脑等，所述第一通信模块与所述第二通信模块之间采用4g或5g通信方式。但不限于此。

根据本发明的实施例，所述管控策略可以包括wlan管控策略、蓝牙管控策略、移动数据管控策略、nfc管控策略、红外管控策略、usb工作模式管控策略、扩展存储访问管控策略、恢复出厂设置管控策略、系统升级功能管控策略、扬声器管控策略、麦克风管控策略、摄像头管控策略、闪光灯管控策略、截屏管控策略、gps管控策略、生物特征识别管控策略、通话管控策略、短信管控策略、接入点管控策略、应用安装源管控策略、应用安装黑白名单管控策略、应用运行黑白名单管控策略、网络黑白名单管控策略、设备状态监测管控策略中的任意一种或几种。但不限于此。

具体的，所述蓝牙管控策略可以表征为：当所述终端设备落在预设的时间段内时，所述执行模块根据所述蓝牙管控策略锁定所述终端设备的蓝牙模块，且无法进行正常启用，当所述终端设备落在预设的时间段外时，所述执行模块根据所述蓝牙管控策略解锁所述终端设备的蓝牙模块，并可以正常启用；

所述摄像头管控策略可以表征为：当所述终端设备落在预设的区域（如机密场合）内时，所述执行模块根据所述蓝牙管控策略锁定所述终端设备的摄像头模块，并使其无法正常摄像，当所述终端设备落在预设的区域外时，所述执行模块根据所述蓝牙管控策略解锁所述终端设备的摄像头模块，并可以正常摄像；

其它管控策略与上述蓝牙管控策略、摄像头管控策略相似，为节省篇幅，在此不再一一赘述。

根据本发明的实施例，所述管控指令包括关机指令、重启指令、恢复出厂设置指令、数据擦除指令、定位指令、前置摄像头拍照指令、后置摄像头拍照指令、截屏指令、锁定设备指令、解锁设备指令、设置通话指令、设置网络黑白名单指令中的任意一种或几种。但不限于此。

需要说明的是，所述管控指令可以作为管控策略的补充，通常管控策略并非服务器对终端设备采用的即时性管控方式，当服务器监测到某终端设备出现异常时（如操作违规、数据异常、应用被root等），所述服务器可以根据终端设备的异常状况及时形成管控指令，并下发给对应的终端设备执行，进而可以实现服务器对终端设备单次即时性的管控，便于应对紧急异常情况。

进一步的，所述服务器还用于生成管控围栏，所述第一通信模块将所述管控围栏发送给至少一个终端设备，至少一个终端设备结合所述管控围栏和所述管控策略对相应的终端设备实施管控。

优选的，所述管控围栏包括时间围栏、地理围栏、wlan围栏、门禁围栏中的任意一种或几种；但不限于此。

具体的，所述时间围栏表征为：按照不同时间段实施不同的管控；例如：可以基于时间区间（8:00至20:00且周一至周五）形成时间围栏，在该时间围栏内，终端设备受限于相应的管控策略。

所述地理围栏表征为：按照不同地理位置实施不同的管控；例如：可以基于地理位置（公司办公区域）形成地理围栏，在该地理位置上，终端设备受限于相应的管控策略。

所述wlan围栏表征为：根据所述终端设备是否可扫描到或连接到特定的wlan来实施不同的管控；所述wlan围栏通常以ssid+mac地址进行确定，通常用于辅助地理围栏识别所处地域或确认当前网络环境的安全。

所述门禁围栏表征为：根据所述终端设备是否进入特定的区域来实施不同的管控；例如：可以基于门禁状态，当进入某个区域后实施某种特定的管控，离开某个区域后，解除某种特定管控。

根据本发明的实施例，所述管控围栏和对应的管控策略可以进行关联，当所述管控围栏有效时就会使关联的管控策略生效；当所述管控围栏失效时，关联的管控策略自动解除。

例如：预设地理围栏为公司办公区域，与所述地理围栏关联的管控策略为摄像头管控策略。当用户持终端设备进入公司办公区域内时，所述终端设备定位当前位置已落入预设地理围栏内，则所述终端设备的执行模块将按照与所述地理围栏关联的摄像头管控策略进行实施管控，并锁定终端设备的摄像头，且无法启用，从而有效防止用户通过终端设备对公司办公区域拍照的现象。

具体的，各个管控围栏可以进行搭配组合，例如：地理围栏&&时间围栏组合，即表示同时满足地理围栏和时间围栏时执行相关联的管控策略；地理围栏||时间围栏组合，即表示满足地理围栏和时间围栏中的任何一个时执行相关联的管控策略。

可以理解，服务器可以向终端设备下发多组管控围栏和管控策略，且多组管控围栏和管控策略可以进行灵活组合关联，以满足不同场景下的管控需求。

根据本发明的实施例，所述终端设备为多个，多个终端设备基于用户的不同身份分为m种，每一种终端设备至少包括一个；不同种类的终端设备之间适配的管控指令和/或管控策略不同，同一种类的终端设备适配的管控指令和/或管控策略相同。

优选的，所述用户的不同身份按照管理级别、岗位、年龄、性别、国籍中的任意一种或几种进行划分。但不限于此。

在实际应用中，由于企业包括不同管理级别的用户，根据工作业务的需求，高级别用户相较于低级别用户需要享有更多的权限，因此，服务器针对高级别用户的终端设备下发的管控策略和管控围栏要少于对低级别用户的终端设备下发的管控策略和管控围栏，从而满足对企业不同身份的终端设备的管控需求。

进一步的，每个终端设备还包括采集模块，所述采集模块用于采集所述执行模块的执行状态、以及所述终端设备的异常数据，并通过所述第二通信模块上报至所述服务器，由所述服务器根据所述执行状态和所述异常数据作出后续管控对策。优选的，所述异常数据可以包括终端设备root数据、违规操作数据、应用运行异常数据等。具体的，如果执行状态为不成功，或出现异常数据，则服务器可以及时作出后续管控对策并下发管控指令，使终端设备的执行模块根据管控指令实施管控。

在具体实施例中，服务器可以由企业管理员操作，负责对企业的人员管理、设备管理、策略管理、围栏管理等。管理员可灵活配置围栏、策略信息。并按照不同的组织维度下发给至少一个终端设备。每个终端设备上预装有客户端，接收来自服务器的管控信息，对终端设备实施管控。可以理解，本发明的执行模块和采集模块可以分别作为客户端的功能模块，并随客户端预装在终端设备上。

图2示出了本发明一种远程设备集中管控方法的流程图。

如图2所示，本发明第二方面还提出一种远程设备集中管控方法，应用于上述的远程设备集中管控系统，所述方法包括：

s201，服务器生成管控指令和/或管控策略；

s202，所述服务器的第一通信模块将所述管控指令和/或管控策略发送给至少一个终端设备；

s203，每个终端设备的第二通信模块接收所述管控指令和/或管控策略并传送给执行模块；

s204，所述执行模块根据管控指令和/或管控策略对相应的终端设备实施管控。

根据本发明的实施例，在所述执行模块根据管控指令和/或管控策略对相应的终端设备实施管控之后，所述方法还包括：

所述终端设备的采集模块采集所述执行模块的执行状态、以及所述终端设备的异常数据；

通过所述第二通信模块将所述执行状态和所述异常数据上报至所述服务器；

由所述服务器根据所述执行状态和所述异常数据作出后续管控对策。

优选的，所述管控策略包括wlan管控策略、蓝牙管控策略、移动数据管控策略、nfc管控策略、红外管控策略、usb工作模式管控策略、扩展存储访问管控策略、恢复出厂设置管控策略、系统升级功能管控策略、扬声器管控策略、麦克风管控策略、摄像头管控策略、闪光灯管控策略、截屏管控策略、gps管控策略、生物特征识别管控策略、通话管控策略、短信管控策略、接入点管控策略、应用安装源管控策略、应用安装黑白名单管控策略、应用运行黑白名单管控策略、网络黑白名单管控策略、设备状态监测管控策略中的任意一种或几种。但不限于此。

优选的，所述管控指令包括关机指令、重启指令、恢复出厂设置指令、数据擦除指令、定位指令、前置摄像头拍照指令、后置摄像头拍照指令、截屏指令、锁定设备指令、解锁设备指令、设置通话指令、设置网络黑白名单指令中的任意一种或几种。但不限于此。

进一步的，所述服务器还用于生成管控围栏，所述第一通信模块将所述管控围栏发送给至少一个终端设备，至少一个终端设备结合所述管控围栏和所述管控策略对相应的终端设备实施管控。

优选的，所述管控围栏包括时间围栏、地理围栏、wlan围栏、门禁围栏中的任意一种或几种；但不限于此。所述时间围栏表征为：按照不同时间段实施不同的管控；所述地理围栏表征为：按照不同地理位置实施不同的管控；所述wlan围栏表征为：根据所述终端设备是否可扫描到或连接到特定的wlan来实施不同的管控；所述门禁围栏表征为：根据所述终端设备是否进入特定的区域来实施不同的管控。

进一步的，所述终端设备为多个，多个终端设备基于用户的不同身份分为m种，每一种终端设备至少包括一个；不同种类的终端设备之间适配的管控指令和/或管控策略不同，同一种类的终端设备适配的管控指令和/或管控策略相同。

优选的，所述用户的不同身份按照管理级别、岗位、年龄、性别、国籍中的任意一种或几种进行划分。但不限于此。

本发明的服务器对终端设备具有绝对的控制权，即使终端设备丢失，用户可以上报管理员，并通过服务器向丢失的终端设备下发管控指令（如锁定设备指令），从而保障终端设备数据的安全性，有效解决终端设备丢失而导致数据泄密的风险。本发明通过多种管控围栏与管控策略灵活组合，能够满足不同场景下对终端设备的管控需求。

本发明实现一个终端设备兼顾办公和私人使用，降低了企业成本。在企业办公区域内，服务器可以通过管控策略、管控围栏、管控指令形成对终端设备功能的管控，营造安全的办公环境；在企业办公区域外，服务器可以解除终端设备的局部或全部功能的管控，满足终端设备为私人所用。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。