CN104303454B - 认证对无线通信系统中的特定资源的访问授权的方法 - Google Patents
认证对无线通信系统中的特定资源的访问授权的方法 Download PDFInfo
- Publication number
- CN104303454B CN104303454B CN201380023135.3A CN201380023135A CN104303454B CN 104303454 B CN104303454 B CN 104303454B CN 201380023135 A CN201380023135 A CN 201380023135A CN 104303454 B CN104303454 B CN 104303454B
- Authority
- CN
- China
- Prior art keywords
- server
- resource
- clients
- servers
- object instance
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/084—Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/06—Selective distribution of broadcast services, e.g. multimedia broadcast multicast service [MBMS]; Services to user groups; One-way selective calling services
- H04W4/08—User group management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Multimedia (AREA)
- Storage Device Security (AREA)
Abstract
根据本发明的一个实施方式,提供一种认证对无线通信系统中的特定资源的访问权限的方法。所述方法是通过终端执行的并且包括以下步骤:从服务器接收对终端的特定对象、特定对象实例或属于所述特定对象实例的资源(下文中被称为“操作目标”)的操作;基于与所述操作目标关联的访问授权信息,检验所述服务器是否被授予对所述操作目标的访问授权。所述方法还包括以下步骤:当被授予对所述操作目标的访问授权时,基于所述操作和所述操作目标中的一者或两者,确定属于所述操作目标的至少一个资源是否支持所述操作,可为一个或多个资源所属的特定对象实例,指定与所述操作目标关联的访问授权信息。
Description
技术领域
本发明涉及认证对无线通信系统中的特定资源的访问权限的方法及其装置。
背景技术
随着遍在信息时代(ubiquitous era)的来临,M2M(机器对机器)通信技术已成为焦点。M2M可用于诸如电子健康服务、智能电网、智能家庭等各种应用。在这些应用中,使用具有各种硬件规格的M2M设备,因此需要可接受任何类型的M2M设备的协议。因此,必须开发适于资源受限M2M设备的应用层协议。该协议可应用于资源受限M2M设备,因此还可应用于具有不同规格的M2M设备。适于资源受限M2M设备的协议需要根据应用访问并且传递存储在M2M设备中的个人信息。例如,个人健康信息被存储在诸如心跳监控装置的M2M设备中。因此,需要限制服务器能访问的M2M设备中的资源和操作的授权认证技术。因此,本发明提供了适于资源受限M2M设备的权限获取方法和权限认证方法。
本发明提供了通过M2M客户端认证对M2M服务器的特定资源的操作的方法。
发明内容
技术问题
被设计用于解决问题的本发明的目的在于认证对M2M服务器或者来自M2M服务器的特定操作的访问权限的方法。
本发明的另一个目的是提供一种当在M2M系统中单个M2M服务器环境变成多M2M服务器环境时支持权限认证过程的方法。
本发明解决的技术问题不限于以上技术问题并且本领域的技术人员会根据下面的描述理解其它技术问题。
技术解决方案
本发明的目的可通过提供一种由终端认证对无线通信系统中的资源的访问权限的方法,所述方法包括:从服务器接收对终端的特定对象、特定对象实例或属于所述特定对象实例的资源(下文中被称为“操作目标”)的操作;基于与所述操作目标关联的访问权限信息,检验所述服务器是否被授予对所述操作目标的访问权限;当被授予对所述操作目标的访问权限时,基于所述操作和所述操作目标中的至少一个,确定属于所述操作目标的至少一个资源是否支持所述操作,其中针对所述至少一个资源所属的特定对象实例指定与所述操作目标关联的访问权限信息。
另外地或另选地,只有当所述操作和/或所述操作目标对应于预定操作和/或预定操作目标时才执行确定。
另外地或另选地,可根据所述操作目标定义可支持操作。
另外地或另选地,所述方法还包括:当不支持对所述操作目标进行接收到的操作时,向所述服务器发送用于将不支持所述操作通知所述服务器的响应。
另外地或另选地,当所述终端只具有单个服务器账户时,在所述服务器对应于所述单个服务器账户时,可确定授予所述服务器对所述操作的访问权限。
另外地或另选地,所述服务器可具有对所有操作的访问权限。
另外地或另选地,所述方法还包括:当不授予对所述操作目标的访问权限时,向所述服务器发送用于将访问被拒绝通知所述服务器的响应。
另外地或另选地,所述方法还包括:当对所述操作目标的访问权限被授予、所述操作是预定操作并且所述操作目标是针对特定对象实例时,对所述特定对象实例执行所述操作,无需检验属于所述操作目标的所述至少一个资源是否支持所述操作。
另外地或另选地,可从与所述特定对象、所述特定对象实例或属于所述特定对象实例的资源关联的访问控制对象实例获得针对所述服务器的与所述操作目标关联的访问权限信息。
另外地或另选地,所述响应的发送可包括将造成访问拒绝的操作目标通知所述服务器。
在本发明的另一个方面,本文提供了一种由终端产生对无线通信系统中的资源的访问权限的方法,所述方法包括:从服务器接收用于添加特定服务器的账户的操作;添加所述特定服务器的账户;当所述终端具有仅一个服务器账户时,如果添加了所述特定服务器的账户,则针对存储在所述终端中的对象实例之中的没有访问控制对象实例的对象创建访问控制对象实例,其中产生的所述访问控制对象实例的访问控制拥有者是对应于所述仅一个服务器账户的服务器。
另外地或另选地,所述特定服务器的账户可由具有特定值的服务器安全对象实例和与之关联的服务器对象实例组成。
另外地或另选地,所述特定值可以是指示所述特定服务器不是引导程序服务器的信息。
另外地或另选地,可通过引导程序接口添加所述特定服务器的账户。
另外地或另选地,对应于所述仅一个服务器账户的服务器可具有对所有对象实例的访问权限。
另外地或另选地,所述访问控制拥有者能够修改所述访问控制对象实例。
上述技术方案只是本发明的实施方式的部分并且本领域的技术人员可基于下面对本发明的详细描述来推导和理解反映本发明的技术特征的各种实施方式。
有益效果
根据本发明的实施方式,可以有效率地认证针对M2M服务器或来自M2M服务器的特定操作的访问权限。另外,可通过执行访问权限认证来提高访问权限认证过程的可靠性。
根据本发明的另一个实施方式,当在M2M系统中单个M2M服务器环境变成多M2M服务器环境时,可以通过针对未产生访问控制对象实例的对象实例产生访问控制对象实例来支持访问权限认证过程。
本发明的效果不限于上述效果并且根据下面的描述,对于本领域的技术人员而言本文中没有描述的其它效果将变得清楚。
附图说明
附图被包括以提供对本发明的进一步理解,示出本发明的实施方式并且与描述一起用于说明本发明的原理。在附图中:
图1示出存储在M2M客户端中的数据的结构。
图2示出根据本发明的实施方式的资源模型。
图3示出根据本发明的实施方式的接口模型。
图4是示出根据本发明的实施方式的获取访问权限的方法的流程图。
图5是示出根据本发明的另一个实施方式的在相对于资源进行操作的情况下的认证过程的流程图。
图6是示出根据本发明的另一个实施方式的相对于对象实例进行操作的认证过程的流程图。
图7是用于实现本发明的实施方式的装置的框图。
具体实施方式
现在,将参照附图详细参照本发明的示例性实施方式。以下将参照附图提供的详细描述旨在说明本发明的示例性实施方式,而非只表示根据本发明可实现的实施方式。下面的详细描述包括特定细节,以提供对本发明的彻底理解。然而,本领域的技术人员将应该清楚,可在没有这种特定细节的情况下实践本发明。
在一些情况下,为了防止本发明的构思被模糊,已知技术的结构和装置将被省略,或者将基于各结构和装置的主要功能以框图形式示出。另外,在任何可能的地方,相同的参考标号将在整个附图和说明书中始终用于表示相同或类似的部件。
在本发明中,用于M2M通信的设备(也就是说,M2M客户端或终端)可以是固定或移动的并且包括用于M2M通信的服务器(也就是说,M2M服务器或与服务器通信以发送/接收用户数据和/或控制信息的设备)。M2M客户端可以指终端设备、MS(移动站)、MT(移动终端)、UT(用户终端)、SS(用户站)、无线设备、PDA(个人数字助理)、无线调制解调器、手持设备等。另外,M2M服务器是指与M2M终端和/或其它M2M服务器通信的固定站并且通过与M2M终端和/或其它M2M服务器通信来与M2M终端和/或其它M2M服务器交换数据和控制信息。
将描述相关技术。
设备管理
设备管理是指从各种管理机构的角度看的对设备构造和设备的其它受管理对象的管理。设备管理包括但不限于设置设备中的初始构造信息、设备中的持久信息的后续更新、从设备检索管理信息以及处理设备产生的事件和警报。
管理树
管理树是指管理服务器与客户端交互所借助的接口,例如,所述交互是通过将值存储在管理树中或者从管理树检索值并且通过操纵管理树的性质(例如,访问控制列表)进行的。在说明书中,术语“管理树”可与术语“设备管理树”或“DM树”可互换地使用。
管理对象(MO)
管理对象是管理树的子树,旨在作为以某种方式相关的节点的(可能单个的)集合。例如,./DevInfo节点形成管理对象。简单的管理对象可由单个节点组成。
设备管理(DM)服务器
DM服务器可以是符合为DM服务器指定的OMA设备管理使能器静态一致性要求的部署设备管理架构中的抽象软件组件。DM服务器用作DM客户端-服务器协议的端点和DM服务器-服务器接口。
在该说明书中,DM服务器可被安装在包括通信模块、处理器模块等的设备、计算机等中。
设备管理(DM)客户端
DM客户端可以是符合为DM客户端指定的OMA设备管理使能器静态一致性要求的设备实现中的抽象软件组件。DM客户端用作DM客户端-服务器协议的端点。
在该说明书中,DM客户端可被安装在作为DM的对象的包括通信模块、处理器模块等的设备中。DM客户端可被实现为单个设备。
访问控制列表(ACL)
ACL是指关于管理树中的特定节点的DM服务器标识符和与各标识符关联的访问权限的列表。
节点
节点是管理树中的单个元素。在管理树中可存在两种节点:内部节点和叶节点。节点的格式性质提供关于节点是叶节点还是内部节点的信息。
内部节点
内部节点是可具有子节点的节点,但不可存储被分配到节点的任何值,也就是说,节点值。内部节点的格式性质是“节点”。
叶节点
叶节点可存储节点值,但不可具有子节点。叶节点的格式性质不是“节点”。
因此,所有的父节点都必须是内部节点。
永久节点
如果DDF性质范围被设置成是永久的,则永久节点是永久的。如果节点不是永久的,则节点对应于动态节点。服务器不能动态地产生或删除永久节点。
动态节点
如果DDF性质范围被设置成是动态的或者如果范围性质是未指定的,则动态节点是动态的。
服务器标识符
服务器标识符是指DM服务器的OMA DM内部名称。DM服务器通过OMA DM账户与设备中的现有服务器标识符关联。
ACL性质和ACL值
由DM协议管理的所有终端具有开始于根节点的单个DM树并且DM协议通过操纵DM树的各节点对终端执行管理。例如,为了将下载的软件安装在终端中,可通过执行与软件匹配的节点“安装”来安装软件。各节点可指示诸如数字的简单信息和诸如图形数据或日志数据的复杂数据。另外,节点可指示诸如“执行”、“下载”等命令。
各节点具有提供与之相关的元数据的性质。这些性质包括运行时间,所述运行时间是指从产生DM树中的节点到节点消失的节点持续时间。运行时间性质包括ACL、格式、名称、大小、标题、TStamp(时戳)、类型和VerNo(版本号)。
ACL是强制的,使得在DM 1.3协议中终端和服务器都需要实现ACL。ACL指定特定DM服务器可在特定节点上执行的DM命令。不能执行未指定命令。换句话讲,ACL是指针对特定节点被授予特定DM服务器的权限。在DM协议中,ACL被赋予DM服务器的服务器标识符并且不被分派给URI、IP地址和DM服务器证书。在DM协议中,服务器标识符被用作认证DM服务器的标识符。此外,ACL可被作为ACL性质和被提供给ACL性质的ACL值提供。在该说明书中,ACL值还可被称为ACL信息或关于ACL的信息。在DM 1.3协议中,所有节点被定义成具有ACL性质。具有ACL性质的所有节点被定义为具有空ACL值或非空ACL值。
ACL具有不同于运行时间性质的特有性质。这些特有性质包括ACL继承。ACL继承是指从包括在DM树中并且不具有ACL值的节点的父节点的ACL值得到该节点的ACL值的构思。如果父节点也不具有ACL值,则从该父节点的父节点的ACL值得到该父节点的ACL值。由于在DM协议中与DM树的最高节点对应的根节点必须具有ACL值,因此ACL值必须被继承。针对所有ACL值执行ACL继承,而非每DM命令执行ACL继承。因此,只有当节点具有空ACL值时才执行从节点的父节点的ACL继承。也就是说,如果节点的ACL值只指定“Add”(添加),则未指定的“Get”(取得)不被继承。
在DM协议中,根节点以“Add=*&Get=*”作为ACL的基础值。这里“*”表示通配符并且意指任意DM服务器。为了取得ACL值,DM服务器使用“Get”命令。关于./NodeA/Node1的“Get”命令取得./NodeA/Node1的ACL值。为了改变ACL值,使用“Replace”(取代)命令。当对“./NodeA/Node1?prop=ACL”执行“Replace”以设置“Add=DMS1&Delete=DMS1&Get=DMS1”时,改变ACL值。在DM协议中,单独ACL条目不可改变并且所有ACL值可改变。基于ACL定义取得并且改变ACL值的权限。不同地定义内部节点的权限和叶节点的权限。
-内部节点:如果对应节点具有“Get”和“Replace”权限,则可以取得和取代对应节点的ACL值。“Replace”是指取代所有子节点的ACL值的权限。
-叶节点:如果对应节点的父节点具有“Replace”权限,则可取代对应节点的ACL值。父节点需要具有“Get”权限,以取得对应节点的ACL。类似地,如果对应节点具有“Replace”权限,则可取代节点的ACL值。为了取代ACL值,对应节点的父节点需要具有“Replace”权限。
可通过节点的父节点的ACL值控制取代对应节点的ACL值的权限,而不管节点是内部节点还是叶节点。如果内部节点具有“Replace”权限,则可取代所有子节点的ACL值以及内部节点的ACL值。因此,如果根节点具有“Replace”权限,则可以具有针对DM树中的所有节点的任何权限。然而,即使当父节点具有“Replace”权限时,也不针对子节点提供诸如“Get”的特定权限并且需要针对子节点直接指定诸如“Get”的权限。因此,在执行命令之前需要校正子节点的ACL值,通过校正位于对应子节点之前的所有节点的ACL值来校正子节点的ACL值。这是不方便的,因此DM协议允许当父节点或祖先节点具有“Replace”权限时在不改变中间节点的ACL值的情况下直接校正对应节点的ACL值。
当DM服务器通过命令“Add”产生新节点时,产生的节点一般没有ACL值并因此从其父节点取得ACL值。然而,当产生的节点是内部节点并且其父节点没有“Replace”权限时,必须在产生节点的同时设置产生的节点的ACL值,以提供管理节点的权限。
在[DM-TND]中定义用于表示ACL值的语法。示例性的ACL值是“Get=DMS1&Replace=DMS1&Delete=DMS2”。这里,DMS1和DMS2是DM服务器标识符并且“Get”、“Replace”和“Delete”是DM命令。因此,DM服务器DMS1可对对应节点执行“Get”和“Replace”并且DM服务器DMS2可对对应节点执行“Delete”。这里,Get=DMS1、Replace=DMS1和Delete=DMS2是ACL条目并且表示DM服务器的各个命令权限。换句话讲,ACL值是各个ACL条目的集合并且各节点的ACL值可包括至少一个ACL条目。
DDF(设备描述框架)
DDF是如何描述特定设备类型的管理语法和语义的规范。DDF提供关于MO、管理功能和终端的DM树结构的信息。
DM 1.3认证
DM 1.3基于ACL执行认证。每DM命令执行DM认证。如果DM服务器已发送了多个DM命令,则DM客户端(下文中,被称为DMC)在执行命令之前执行认证并且只执行作为认证结果而被授权的DM命令。
DM树
DM树是指DMC暴露的MO实例的集合。DM树用作管理服务器与客户端交互的接口。例如,管理服务器可存储特定值并且从DM树检索特定值并且操纵DM树的性质。
图1示出M2M客户端中存储的数据结构。M2M客户端(或终端)可具有与被称为“对象”(对应于M2M客户端可实现的功能)的资源组对应的实体。可在对象规范中定义对象标识符并且可由使用M2M系统的运营商或制造商设置在对象规范中没定义的标识符。资源是存储数据的实体并且可具有多个资源实例。通过特定操作产生各对象并且将各对象实例化为对象实例并且M2M客户端可通过对象实例访问对应资源。
另外,指示资源所支持的操作的信息被包括在资源中或者添加到资源。存在操作“读”、“写”、“执行”、“写属性”、“发现”、“观察”等。
图2示出根据本发明的实施方式的资源模型。ACL(访问控制列表)和AT(访问类型)被分派以控制根据本发明的实施方式将用在M2M系统中的资源的访问权限。
根据对应于特定功能的资源,也就是说,根据对象实例,分派ACL。考虑各对象实例的较低资源将被分配相同的ACL。也就是说,由于根据对象实例分派ACL,因此各对象实例的较低资源具有相同ACL。
由于对象实例是对应于资源组的实体并且是用于执行特定功能的组,因此当为特定服务器授予特定功能的权限时,应该针对组中的所有资源授予相同的权限。当没有授予相同的权限时,可针对功能部分地执行操作。在这种情况下,服务器的功能变得不明确并且授予权限的含义不清楚。因此,在本发明的实施方式中,如上所述,根据对象实例分派ACL,以相比于根据资源进行存储,减少了开销,并且通过使用相同机制寻找ACL来简化访问权限认证过程。
作为参考,各对象可被实例化为多个对象实例。
AT可根据资源进行分派并且定义由各资源支持的访问方案。例如,当访问方案被定义为操作时,AT可被定义为特定操作,例如,“读”、“写”和“执行”。
ACL和AT可用不同术语来表示。例如,ACL可被表示为访问权限并且AT可被表示为可支持操作。
接口
在描述本发明的实施方式之前,将描述在服务器和客户端(终端)之间发送特定操作所通过的接口。
存在与本发明相关的四个接口:1)引导程序(Bootstrap)、2)设备(客户端)注册、3)设备管理和业务能力和4)信息报告。四个接口的操作可被分为上行操作和下行操作。在下面的表中示出接口的操作。
[表1]
| 接口 | 方向 | 逻辑操作 |
| 引导程序 | 上行 | 请求引导程序 |
| 引导程序 | 下行 | 写、删除 |
| 设备(客户端)注册 | 上行 | 注册、更新、撤销注册 |
| 设备管理和业务能力 | 下行 | 读、创建、删除、写、执行、写属性、发现 |
| 信息报告 | 下行 | 观察、取消观察 |
| 信息报告 | 上行 | 通知 |
图3示出四个接口。图3的(a)示出引导程序接口的操作模型。对于引导程序接口,操作包括被称为“请求引导程序”的上行操作(即,客户端发起的引导程序)和被称为“写”和“删除”的下行操作(即,服务器发起的引导程序)。这些操作用于发起客户端向一个或多个服务器注册所必须的对象。使用工厂引导程序(例如,存储在闪存存储器中)或来自智能卡的引导程序(存储在智能卡中)定义引导程序。
图3的(b)示出“设备(客户端)注册”接口的操作模型。对于设备注册接口,存在称为“注册、“更新”和“撤销注册”的上行操作。“注册”用于将客户端的信息注册在服务器中并且“更新”用于周期性地或根据客户端中产生的事件更新注册在服务器中的客户端的信息或状态。“撤销注册”是取消客户端向服务器的注册的操作并且服务器可根据“撤销注册”删除客户端的信息。
图3的(c)示出“设备管理和业务能力”接口的操作模型。对于“设备管理和业务能力”接口,存在称为“读”、“创建”、“写”、“执行”、“写属性”和“发现”的下行操作。这些操作用于与客户端的资源、资源实例、对象和对象实例交互。“读”操作用于读取一个或多个资源的当前值,“写”操作用于更新一个或多个资源的值并且“执行”操作用于发起由资源定义的操作。“创建”和“删除”操作用于创建和删除对象实例。“写属性”用于设置与“观察”操作相关的属性并且“发现”用于发现对应的属性。
图3的(d)示出“信息报告”接口的操作模型。对于信息报告接口,存在称为“观察”和“取消观察”的下行操作和称为“通知”的上行操作。信息报告接口用于将与客户端上的资源相关的新值发送到服务器。“观察”用于当服务器对资源变化感兴趣时让服务器观察特定资源并且当不再执行对应的观察时(当服务器不再想要知道资源变化时)使用“取消观察”。“通知”用于当满足通过“写属性”设置的观察条件属性时将观察条件属性通知服务器。
将更详细地描述根据本发明的实施方式的引导程序接口。
引导程序接口用于向M2M客户端提供强制信息,使得M2M客户端可执行向一个或多个M2M服务器的“注册”操作。M2M使能器支持四种引导程序模式。
-工厂引导程序:在M2M客户端中预设引导程序信息。
-来自智能卡的引导程序:M2M客户端从智能卡取得引导程序信息。
-客户端发起的引导程序:M2M客户端向M2M引导程序服务器请求引导程序并且M2M引导程序服务器添加/删除/更新M2M客户端的引导程序信息。
-服务器发起的引导程序:M2M引导程序服务器添加/删除/更新M2M客户端的引导程序信息。
M2M客户端可支持在引导程序接口中指定的至少一种引导程序模式。M2M引导程序服务器可支持在引导程序接口中指定的所有引导程序模式。
引导程序信息是指需要被M2M客户端设置用于访问M2M服务器或M2M引导程序服务器的信息。引导程序信息可在引导程序序列之前使用或者可作为引导程序序列的结果而得到。引导程序信息可被分为两种类型,也就是说,M2M服务器的引导程序信息和M2M引导程序服务器的引导程序信息。
M2M客户端可具有引导程序序列之后的用于至少一个M2M服务器的引导程序信息。另外,M2M客户端可具有M2M引导程序服务器的引导程序信息。M2M服务器的引导程序信息用于让M2M客户端向M2M服务器注册并且访问M2M服务器。
M2M服务器的引导程序信息由作为强制信息的M2M服务器账户和可选择性存在的对象实例(例如,权限控制、网络连接对象实例)的信息组成。M2M服务器账户可至少包括针对其将“引导程序服务器”资源设置为“假”的M2M服务器安全对象实例和M2M服务器对象。
M2M客户端可被构造成使用包括M2M服务器的引导程序信息集合的两个或更多个M2M服务器。M2M引导程序服务器的引导程序信息对应于M2M引导程序服务器账户并且可用于让M2M客户端访问M2M引导程序服务器,以获取M2M服务器的引导程序信息。M2M引导程序服务器的引导程序信息可以是针对其将“引导程序服务器”资源设置成“真”的M2M服务器安全对象实例。
用于访问控制的数据模型
为了减少M2M设备的解析处理开销和空间开销,将适于M2M环境的服务器标识符(ID)、ACL(或访问权限)和AT(或可支持操作)建模。
-短服务器ID
需要被包括在ACL中的信息必须包括关于服务器的信息和服务器可指导的操作。服务器ID可相当长,因为一般用URI表示服务器ID。由于需要每对象实例表示ACL并且长服务器ID被重复用于对象实例,因此取决于对象实例的数量,服务器ID可造成相当大的空间开销。因此,本发明提出针对ACL使用具有固定长度(例如,2字节)的短服务器ID。M2M客户端存储短服务器ID和服务器ID之间的映射关系,针对从对应于服务器ID的服务器接收的操作,可找到对应于该服务器ID的短服务器ID,并且使用该短服务器ID通过对应的ACL执行认证。
[表2]
访问控制列表(ACL)或访问权限
ACL是根据对象实例分配的并且对应于指定M2M服务器的访问权限的ACL条目的列表。可用短服务器ID和对应服务器的访问权限表示ACL条目。短服务器ID和访问权限值被设置成固定的短长度以在认证过程期间提高空间开销和处理效率。至于访问权限,每个M2M操作被分配单个位值,使得通过只读取单个位值来认证特定操作,从而提高处理效率。可设置除了ACL上的服务器外的服务器的默认ACL条目,M2M客户端当接收到相对于不在ACL上的所有服务器的操作时可找到特定短服务器ID(例如,0x0000)并且使用对应的访问权限认证这些操作。
[表3]
表3中示出的ACL条目是示例性的并且可被设置成不同值。
访问类型(AT)或可支持操作
AT可指定资源所支持的操作。以与ACL条目的访问权限相同的方式,一位映射到一个操作。
[表4]
表4中示出的访问类型是示例性的并且可被设置成不同值。
获取访问权限的方法
图4是示出根据本发明的实施方式的获取访问权限的方法的流程图。
M2M客户端可获取ACL(S301)。M2M客户端可得到M2M服务器尝试访问的实体(对象实例或资源)所属的对象实例的ACL。
M2M客户端可找到M2M服务器的服务器ID所映射至的短服务器ID(S302)。M2M客户端可从存储有映射信息的地点(例如,账户)检测对应于M2M服务器ID的短服务器ID。
步骤S301和S302的次序可改变。
M2M客户端可确定ACL是否包括具有短服务器ID的ACL条目(S303)。
M2M客户端可从步骤S301中获取的ACL找到包括短服务器ID的ACL条目。M2M客户端可通过ACL条目得到对应于短服务器ID的访问权限。
M2M客户端可从ACL条目获取M2M服务器尝试访问的实体的访问权限(S304)。当在步骤S303中M2M客户端找到了访问权限时,M2M客户端可得到对应的访问权限。
检验M2M客户端是否具有默认ACL条目(S305)。当在步骤S303中M2M客户端无法找到ACL条目时,M2M客户端可检验是否存在默认ACL条目。
当存在默认ACL条目时,M2M客户端可从默认ACL条目获取访问权限(S306)。
当不存在默认ACL条目时,M2M客户端无法获取M2M服务器尝试访问的实体的访问权限(S307)。也就是说,M2M服务器无权访问实体。
认证
根据对应操作的目标(也就是说,资源、对象实例或对象)描述根据本发明的另一个实施方式的认证访问权限的方法。如下所述,可根据操作的目标(也就是说,资源、对象实例或对象)定义可支持的操作。
-对资源的操作
图5是示出根据本发明的另一个实施方式的在针对资源进行操作的情况下的认证过程的流程图。
M2M服务器可发送相对于资源的操作(S401)。M2M服务器可向M2M客户端发送指向特定资源的操作。
M2M客户端可获取M2M服务器访问特定资源的访问权限(S402)。M2M客户端可通过上述的访问权限获取方法获取特定资源的访问权限。
M2M客户端可通过获取的访问权限确定是否授权进行操作(S403)。M2M客户端可使用步骤S402中得到的访问权限来检验M2M服务器是否被授权进行操作。如果M2M客户端无法在步骤S402中得到访问权限,则不可执行对应的操作。
M2M客户端可获取资源的访问类型(S404)。
M2M客户端可通过获取的访问类型确定是否授权进行操作(S405)。M2M客户端检验步骤S404中得到的访问类型是否支持该操作。
当得到的访问类型支持操作时,成功地结束对操作的认证(S406)。在成功认证后,M2M客户端可执行操作并且如果需要响应则发送对操作的响应。
当访问类型不支持操作时,对操作的认证失败(S407)。在这种情况下,M2M客户端可发送认证失败消息。这里,M2M客户端可通过认证失败消息表示是因访问权限错误还是因资源访问类型错误造成认证失败。
-对对象实例的操作
图6是示出根据本发明的另一个实施方式的相对于对象实例进行操作的认证过程的流程图。
M2M服务器可向M2M客户端发送相对于对象实例的操作(S501)。
M2M客户端可获取M2M服务器访问对象实例的访问权限(S502)。M2M客户端可通过上述访问权限获取方法得到访问权限。
M2M客户端可通过获取的访问权限确定是否授权进行操作(S503)。M2M客户端可使用步骤S502中得到的访问权限来检验是否可支持操作。如果M2M客户端无法在步骤S502中获取访问权限,则不可执行操作。
M2M客户端可获取对象实例中包括的资源之中与操作的目标对应的资源的访问类型(S504)。
M2M客户端可通过获取的访问类型确定是否授权进行操作(S505)。M2M客户端可基于获取的访问类型,检验包括在对象实例中的与操作的目标对应的资源是否支持操作。
当与操作的目标对应的资源支持操作时,成功地结束认证过程(S506)。在成功认证后,M2M客户端可执行相对于资源的操作并且如果需要响应则向M2M服务器发送对操作的响应。
然而,当与操作的目标对应的资源不支持操作时,认证过程失败地结束(S507)。在这种情况下,M2M客户端可向M2M服务器发送认证失败消息。这里,M2M客户端可通过认证失败消息表示是因访问权限错误还是因访问类型错误造成认证失败。
可对包括在对象实例中的所有资源执行步骤S504至S507。也就是说,可对经认证资源执行操作和/或对操作的响应可被发送到M2M服务器。对无法经认证的资源不执行操作并且可报告失败消息。
在另一个实施方式中,当包括在对象资源中的任意资源不支持操作时,可不执行操作。在这种情况下,对包括在对象实例中的所有资源的认证失败地结束并且失败消息可被发送到M2M服务器。这里,失败消息可指示认证失败是因访问权限错误还是访问类型错误造成的并且指示关于具有错误的资源的信息。
访问控制操纵
在进行访问控制的情况下,当在M2M系统中只存在一个M2M服务器或者存在M2M客户端向其注册的单个M2M服务器时(简言之,当存在单个服务器时),正确的是,服务器应该具有访问所有操作的权限。这里,即使服务器具有访问权限,M2M客户端也可具有访问控制对象实例或者可不存在访问控制对象实例。
-当存在访问控制对象实例时
当存在单个服务器时,M2M客户端将访问控制对象实例设置成具有针对从服务器发送的操作“创建”或者通过引导程序提供的对象实例的访问权限。这里,M2M客户端可将服务器设置为访问控制的拥有者(能够设置访问控制的实体)。
-当不存在访问控制对象实例时
当存在单个服务器时,服务器没有访问控制对象实例。然而,如果添加了新服务器(即,当添加服务器账户相关对象实例时),则M2M客户端可自动地产生现有服务器的访问控制对象实例。这里,ACL信息可被设置成,使得对应服务器具有现有资源的权限。也就是说,M2M客户端可将现有服务器设置成访问控制对象实例的控制访问权限的拥有者。
-访问控制选项
不管是否存在多个服务器,允许访问所有M2M服务器。也就是说,M2M客户端可不经受访问权限认证。
访问控制方法
将描述根据本发明的另一个实施方式的访问控制方法。
-访问权限获取
当M2M客户端具有M2M服务器对象实例时,在不经受对应单个M2M服务器的访问控制的情况下,也就是说,在无需检验访问控制对象实例的情况下,M2M客户端有访问对应资源的权限。
如果M2M客户端具有两个或更多个M2M服务器对象实例,则M2M客户端相对于访问控制对象实例中将访问的对象实例或包括将访问的资源的对象实例找到对应服务器的ACL。如果ACL包括与对应M2M服务器ID对应的访问权限,则对应M2M服务器具有访问权限。如果不存在对应M2M服务器ID的ACL条目,则M2M客户端检验ACL是否包括被分配到默认服务器ID的访问权限。当存在默认服务器ID时,对应M2M服务器具有默认服务器ID的访问权限。当不存在对应于M2M服务器ID的访问权限和默认服务器ID的访问权限时,对应M2M服务器没有访问对应对象实例或资源的权限。
-访问控制对象
访问控制对象被用于检验M2M服务器是否有执行操作的访问权限。各访问控制对象实例包括M2M客户端中特定对象实例的ACL。
[表5]
-认证过程
为了通过从M2M服务器发送的操作的认证过程,需要满足以下条件。首先,M2M服务器需要具有执行为对应资源(例如,对象实例或资源)发送的操作的权限(即,访问权限)。其次,对应资源需要支持被发送的操作。通过两个步骤,也就是说,以层级结构,执行根据本发明的实施方式的访问权限认证过程。
M2M客户端通过当不存在访问对应资源的权限时向M2M服务器发送错误消息并且通过当对应资源不支持操作时向M2M服务器发送关于对应资源的信息,通知M2M服务器由于某个资源而不执行被发送的操作。针对三个级别(也就是说,资源、对象实例和对象)不同地执行认证过程。
-对资源的操作
如果M2M服务器访问单独资源,也就是说,如果M2M服务器向M2M客户端发送相对于单独资源的操作,则M2M客户端可根据上述访问权限获取方法来获取M2M服务器对包括该单独资源的对象实例的访问权限并且检验是否被授予访问权限执行操作。
当不授权进行操作时,M2M客户端需要向M2M服务器发送指示“拒绝授予访问权限”的错误代码。
当授权进行操作时,M2M客户端验证该单独资源是否支持操作。
如果该单独资源不支持操作,则M2M客户端需要向M2M服务器发送指示“不支持操作”的错误代码。
当该单独资源支持操作时,M2M客户端可执行操作。
-对对象实例的操作
当M2M服务器访问对象实例时,也就是说,如果M2M服务器向M2M客户端发送相对于对象实例的操作,则M2M客户端可根据上述访问权限获取方法来获取M2M服务器对对象实例的访问权限并且检验是否被授予访问权限执行操作。
当不授权进行操作时,M2M客户端需要向M2M服务器发送指示“拒绝授予访问权限”的错误代码。
当授权进行操作时,M2M客户端可基于操作执行以下处理。
对于“写”操作,只有当相对于发送的操作的所有资源支持“写”操作时,M2M客户端才可相对于对象实例执行操作。如果任意资源(相对于发送的操作)不支持“写”操作,则M2M客户端可通过向M2M服务器发送指示“不支持操作”的错误代码,将不支持操作的资源通知M2M服务器。
对于“读”操作,M2M客户端可检索除了不支持“读”操作的资源外的所有资源并且向M2M服务器发送关于检索到的资源的信息。
对于“创建”操作,只有当相对于发送的操作的所有资源支持“写”操作并且指定所有强制资源时,M2M客户端才可相对于对象实例执行操作。如果任意资源(相对于发送的操作)不支持“写”操作,则M2M客户端可向M2M服务器发送指示“不支持操作”的错误代码,以将不支持操作的资源通知M2M服务器。当不指定所有强制资源时,M2M客户端可向M2M服务器发送错误代码“坏请求”。
对于“删除”、“观察”、“写属性”或“发现”操作,M2M客户端需要执行操作。也就是说,M2M客户端需要在不检验相对于对象实例的操作是否被属于对象实例的所有资源支持的情况下执行“删除”、“观察”、“写属性”或“发现”操作。
对于除了上述操作外的操作,M2M客户端不需要执行操作并且需要向M2M服务器发送“不支持操作”的错误代码。
通过上述访问权限获取方法确定M2M服务器是否有对对象实例的访问权限。然后,检验属于对象实例的各个资源是否支持操作。根据操作类型执行这个过程。
-对对象的操作
根据操作类型定义对对象的操作。
当M2M服务器通过对象发送“读”操作时,也就是说,当M2M服务器向M2M客户端发送相对于对象的“读”操作时,M2M客户端可从属于对象的(较低)对象实例之中收集关于M2M服务器具有访问权限的对象实例的信息并且将收集到的信息发送到M2M服务器。根据上述访问权限获取方法确定M2M服务器是否具有访问权限。
关于M2M服务器具有访问权限的对象实例的信息是指关于M2M客户端搜索的资源(除了不支持“读”操作的资源之外)的信息。
当M2M服务器通过对象发送“创建”操作时,也就是说,当M2M服务器向M2M客户端发送相对于对象的“创建”操作时,M2M客户端可根据上述访问权限获取方法检验M2M服务器是否有对象的访问权限。
当M2M服务器具有对象的访问权限时,只有当根据操作发送的所有资源支持“写”操作并且指定所有强制资源时,M2M客户端才可执行操作。如果任意资源(相对于发送的操作)不支持“写”操作,则M2M客户端可通过向M2M服务器发送“不支持操作”的错误代码,将不支持操作的资源通知M2M服务器。如果不指定所有强制资源,则M2M客户端可向M2M服务器发送错误代码“坏请求”。也就是说,M2M客户端通知M2M服务器根据M2M服务器的操作是不正确的。
在“发现”操作的情况下,M2M客户端需要执行操作。也就是说,M2M客户端不检验M2M服务器是否具有对对应对象的所有较低对象实例的访问权限并且不检验属于对象实例的所有资源是否支持“发现”操作。
在“观察”或“写属性”操作的情况下,M2M客户端需要执行操作。也就是说,对于“观察”或“写属性”操作,M2M客户端不检验M2M服务器是否具有对对象的所有较低对象实例的访问权限以及属于对象实例的所有资源是否支持“观察”或“写属性”操作。
对于除了上述操作外的操作,M2M客户端不应该执行操作并且可向M2M服务器发送“不支持操作”的错误代码。
根据对对象的特定操作,通过上述访问权限获取方法确定M2M服务器是否具有对对象的访问权限。然后,检验属于对象的对象实例的各个资源是否支持操作。根据操作类型执行这个过程。对于相对于对象的特定操作,可不检验M2M服务器是否具有访问权限以及是否支持特定操作。
-通知考虑
当M2M客户端需要向M2M服务器发送包括对象实例或资源的“通知”时,M2M客户端应该检验M2M服务器是否被授权进行“读”操作。当M2M服务器没有被授权时,M2M客户端不应该发送“通知”并且可执行“取消观察”操作。当“观察”操作指向对象时,M2M客户端不应该执行“取消观察”操作。当“观察”操作指向对象实例或资源时,M2M客户端可执行“取消观察”。
-支持的操作(访问类型)考虑
即使对应M2M服务器具有对特定操作(命令或逻辑操作)的访问权限,M2M服务器也不可执行对对应资源的特定操作。针对资源定义资源所支持的操作。M2M客户端在考虑到资源所支持的操作的情况下,确定M2M服务器是否可对资源执行对应操作。
-自动构造
如果M2M客户端具有单个M2M服务器对象实例,则M2M客户端不经受访问权限获取过程,也就是说,M2M客户端不检验访问控制对象实例并且M2M服务器具有对对应资源的访问权限。
根据M2M服务器账户的添加的访问控制相关操作
将描述根据本发明的另一个实施方式当在M2M客户端中存在的M2M服务器账户中添加M2M服务器账户时M2M客户端的操作。
产生针对在M2M客户端中存在的对象实例的访问控制对象实例或者当访问控制对象实例已经存在时校正访问控制对象实例。存在的对象实例的对象ID被设置成访问控制对象实例中的对象ID资源值并且存在的对象实例的对象实例ID被设置成对象实例ID资源值。访问控制对象实例中的ACL资源被设置成,使得现有的M2M服务器(指示M2M服务器的标识符)具有对对应对象实例的访问权限。现有的M2M服务器(指示M2M服务器的标识符)被设置成访问控制对象实例中的访问控制拥有者。
更具体地,如果当M2M客户端只具有一个M2M服务器账户时添加新的M2M服务器账户,则M2M客户端可产生或校正针对其中的所有对象实例(更优选地,除了服务器安全对象实例和访问控制对象实例外的对象实例)的访问控制对象实例。在这种情况下,根据下面的规则产生或校正访问控制对象实例。
·访问控制拥有者被设置成现有的M2M服务器。
·现有的M2M服务被设置成具有所有访问权限。
将描述根据本发明的另一个实施方式的当在M2M客户端中存在的两个或更多个M2M服务器账户中添加新的M2M服务器账户时M2M客户端的操作。
当存在两个M2M服务器账户时,当特定M2M服务器产生对象实例时,自动地产生与对象实例相关的访问控制对象实例。如下地设置访问控制对象实例。
对象ID和对象实例ID资源具有根据“创建”操作产生的对象实例的对象ID和对象实例ID。
ACL资源被设置成,使得执行“创建”操作的M2M服务器(指示M2M服务器的标识符)具有所有访问权限。
访问控制拥有者被设置成M2M服务器(指示M2M服务器的标识符)。
当向两个M2M服务器账户添加M2M服务器账户时,不存在另外的过程。
更具体地,当M2M客户端具有两个或更多个M2M服务器账户并且M2M服务器中的一个针对特定对象实例发送“创建”时,M2M客户端可产生针对产生的对象实例的访问控制对象实例。在这种情况下,根据下面的规则产生或校正访问控制对象实例。
·访问控制拥有者被设置成发送“创建”的M2M服务器。
·M2M服务器被设置成具有访问权限。
M2M服务器账户添加
M2M服务器账户由M2M服务器安全对象实例(针对其的引导程序服务器资源被设置成“假”)及其相关的M2M服务器对象实例组成。作为参考,M2M引导程序服务器账户由针对其的引导程序服务器资源被设置成“真”的M2M服务器安全对象实例组成。
M2M服务器账户被包括在M2M服务器引导程序信息中,使用该信息让M2M客户端向M2M服务器注册或者访问M2M服务器。
通过引导程序接口将M2M服务器引导程序信息设置于M2M客户端。引导程序可被分成工厂引导程序、根据智能卡的引导程序、客户端发起的引导程序和服务器发起的引导程序。
将描述服务器安全对象(LWM2M安全对象)和服务器对象(LWMWM服务器对象)实例。
M2M服务器安全对象(或对象实例)提供适于访问指定M2M服务器的M2M客户端的关键材料。一个对象实例被推荐用于对M2M引导程序服务器进行寻址。虽然可通过M2M引导程序服务器或来自智能卡的引导程序改变M2M服务器安全对象的资源,但任何其它M2M服务器无法访问资源。
[表6]
| 对象 | 对象ID | 对象URN | 多个实例? | 强制? |
| LWM2M安全 | 0 | 多个 | 强制 |
[表7]
将描述M2M服务器对象(或对象实例)。M2M服务器对象提供与M2M服务器相关的数据。引导程序服务器没有与其相关的对象实例。
[表8]
| 对象 | 对象ID | 对象URN | 多个实例? | 强制? |
| LWM2M服务器 | 1 | 多个 | 强制 |
[表9]
选择性资源发现
将描述根据本发明的另一个实施方式的发现功能。
当M2M服务器和M2M客户端共享关于特定资源组(例如,M2M中的对象)的信息(例如,M2M对象规范或与其对应的信息)时,需要检验是否实现了对应资源的方法,因为不需要实现资源组的所有资源。这些资源包括强制资源和可选资源并且M2M服务器需要知道可选资源之中的在M2M客户端中实际实现的资源。
因此,M2M服务器需要确认在M2M客户端的特定资源组中实际实现的资源。为此,M2M服务器可询问M2M客户端关于特定资源组中实际实现的可选资源并且M2M客户端可将关于可选资源的信息作为对询问的回应发送到M2M服务器。
-可选资源实现询问的目标
·由M2M客户端支持的特定资源组或所有资源组
-对可选资源实现询问的回应
·当目标是特定资源组时特定资源组的实现资源或者当目标是所有资源组时M2M客户端所支持的所有资源组之中的实现资源组,或者
·关于当目标是特定资源组时特定资源组的实现资源或M2M客户端所支持的所有资源组之中的实现资源组的信息
这个功能的效果在于,在无需发送关于所有资源组的格式的信息的情况下,通过预先共享的信息和通过发现得到的部分信息共享M2M客户端所支持的所有资源组的格式。
将简要描述上述实施方式中描述的并且在说明书中使用的操作和对象(实例)。
·读
“读”操作用于访问(读取)各个资源的值、阵列的资源实例、对象的对象实例或所有对象实例并且具有以下参数。
[表10]
·发现
“发现”操作用于发现各个资源、为对象设置的对象实例和属性(参数)。“发现”操作可用于发现在对象中实现的资源。返回的值对应于包括资源属性的资源列表,并且符合RFC6690的应用/链接格式CoRE链路格式。“发现”操作具有以下参数。
[表11]
| 参数 | 需要 | 默认值 | 注释 |
| 对象ID | 是 | - | 指示对象。 |
| 对象实例ID | 否 | - | 指示对象实例。 |
| 资源ID | 否 | - | 指示资源。 |
作为“发现”操作的特定功能,当只指定上述参数之中的对象ID时,返回关于实现哪个资源的信息,当指定参数之中的对象ID和对象实例ID时,可返回为特定对象实例设置的观察参数,当指定参数之中的对象ID、对象实例ID和资源ID时,可返回为特定资源设置的观察参数。
·写
“写”操作用于改变(写入)资源中的多个资源值、阵列的资源实例或对象实例。“写”操作允许根据一个命令改变同一对象实例中的多个资源。也就是说,“写”操作可访问对象实例(以及各个资源)。“写”操作具有以下参数。
[表12]
·写属性
“写属性”操作用于改变(写入)资源或对象实例的属性。“写属性”操作具有以下参数。
[表13]
参数“最小时段”、“最大时段”、“大于”、“小于”和“步进”连同“观察”操作一起使用。参数“最大时段”和/或“最小时段”用于控制M2M客户端针对观察的对象实例或资源多久发送一次“通知”操作。只有当指示资源ID时,才需要指定参数“大于”、“小于”和“步进”。只有当资源类型是数字(例如,整数、小数)时,才需要支持参数“大于”、“小于”和“步进”。
·执行
“执行”操作被M2M服务器用于发起操作并且可仅被针对各个资源执行。当针对对象实例或资源实例接收“执行”操作时,M2M客户端返回错误。“执行”操作具有以下参数。
[表14]
| 参数 | 需要 | 默认值 | 注释 |
| 对象ID | 是 | - | 指示对象。 |
| 对象实例ID | 是 | - | 指示对象实例。 |
| 资源ID | 是 | - | 指示要执行的资源。 |
·创建
“创建”操作被M2M服务器用于生成M2M客户端中的对象实例。“创建”操作需要指向对象实例或未实例化的对象中的一个。
M2M服务器在M2M客户端中生成的对象实例应该具有M2M客户端所支持的对象类型并且使用设备注册接口的“注册”和“更新”操作将对象实例通知M2M服务器。
当生成对象实例时,支持至多一个对象实例的对象应该被分配对象实例ID 0。“创建”操作具有以下参数。
[表15]
·删除
“删除”操作被M2M服务器用于删除M2M客户端中的对象实例。M2M服务器从M2M客户端中删除的对象实例应该是M2M客户端使用设备注册接口的“注册”和“更新”操作通知M2M服务器的对象实例。“删除”操作具有以下参数。
[表16]
| 参数 | 需要 | 默认值 | 注释 |
| 对象ID | 是 | - | 指示对象。 |
| 对象实例ID | 是 | - | 指示要删除的对象实例。 |
·观察
M2M服务器可发起改变M2M客户端中的特定资源、对象的对象实例或所有对象实例中的资源的观察请求。通过“写属性”操作设置“观察”操作的相关参数并且通过“写属性”操作设置上述参数。“观察”操作包括以下的参数。
[表17]
·取消观察
“取消观察”操作被从M2M服务器发送到M2M客户端,以取消对对象实例或资源的观察。“取消观察”操作具有以下的参数。
[表18]
图7是用于实现本发明的实施方式的装置的框图。发送器10和接收器20分别包括:射频(RF)单元13和23,其用于发送和接收携带信息和/或数据、信号、消息等的RF信号;存储器12和22,其存储与无线通信系统中的通信相关的信息;处理器11和21,其可操作地连接到RF单元13和23及存储器12和22并且控制RF单元13和23及存储器12和22使得发送器和接收器执行本发明的实施方式中的至少一个。
存储器12和22可存储用于处理和控制处理器11和21的程序并且暂时存储输入/输出信息。存储器12和22可用作缓冲器。
处理器11和21控制发送器和接收器中的模块的整体操作。特别地,处理器11和21可执行用于实现本发明的各种控制功能。处理器可以是指控制器、微控制器、微处理器、微计算机等。可通过各种手段(例如,硬件、固件、软件或它们的组合)实现处理器11和21。当使用硬件实现本发明时,可在处理器11和21中包括被构造成实现本发明的ASIC(专用集成电路)、DSP(数字信号处理器)、DSDP(数字信号处理设备)、PLD(可编程逻辑器件)、FPGA(现场可编程门阵列)等。当使用固件或软件实现本发明时,固件或软件可被构造成用于执行本发明的功能或操作的模块、程序、功能等。被构造成实现本发明的固件或软件可被包括在处理器11和21中或者存储在存储器12和22中并且由处理器11和21执行。
在本发明的实施方式中,M2M服务器、M2M客户端、服务器或终端可操作为其中安装或安置有M2M服务器、M2M客户端、服务器或终端的装置,也就是说,发送器10或接收器20。
作为发送器和接收器的M2M服务器、M2M客户端、服务器或终端可被构造成,使得本发明的上述实施方式被独立地应用或者其中两个或更多个被同时应用。
本领域的技术人员应该清楚,可在不脱离本发明的精神和本质特性的情况下以与本文阐述的方式不同的其它特定方式执行本发明。以上实施方式因此在所有方面被理解为是示例性和非限制性的。本发明的范围应该由附随的权利要求书及其法律等同物限定,而不由以上描述确定,落入附随权利要求书的含义和等同范围内的所有变化旨在被涵盖在内。
工业实用性
本发明可用于UE、eNB、服务器或无线移动通信系统的其它装置。
Claims (10)
1.一种由终端认证对无线通信系统中的资源的访问权限的方法,所述方法包括:
从服务器接收对操作目标的操作,所述操作目标是以下中的一项:对象实例和属于所述对象实例的资源;
基于与所述操作目标关联的访问权限信息,检验所述服务器是否被授予对所述操作目标的访问权限;
当被授予对所述操作目标的访问权限时,确定所述操作目标是否支持所接收到的操作,
其中,当所述操作目标是所述资源时,针对所述资源所属的所述对象实例指定与所述操作目标关联的访问权限信息。
2.根据权利要求1所述的方法,其中只有当所述操作对应于预定操作和/或所述操作目标对应于预定操作目标时,才执行确定所述操作目标是否支持所接收到的操作的步骤。
3.根据权利要求1所述的方法,其中根据所述操作目标定义可支持操作。
4.根据权利要求3所述的方法,其中所述方法还包括:
当不支持对所述操作目标进行接收到的操作时,向所述服务器发送用于将不支持所述操作通知所述服务器的响应。
5.根据权利要求1所述的方法,其中当所述终端只具有单个服务器账户时,如果所述服务器对应于所述单个服务器账户,则确定授予所述服务器对所述操作的访问权限。
6.根据权利要求5所述的方法,其中所述服务器具有对所有操作的访问权限。
7.根据权利要求1所述的方法,其中所述方法还包括:
当不授予对所述操作目标的访问权限时,向所述服务器发送用于将访问被拒绝通知所述服务器的响应。
8.根据权利要求1所述的方法,其中所述方法还包括:
当对所述操作目标的访问权限被授予、所述操作是预定操作并且所述操作目标是针对特定对象实例时,对所述特定对象实例执行所述操作,而无需检验属于所述操作目标的至少一个资源是否支持所述操作。
9.根据权利要求1所述的方法,其中从与所述操作目标关联的访问控制对象实例获得针对所述服务器的与所述操作目标关联的访问权限信息。
10.根据权利要求7所述的方法,其中所述响应的发送包括将造成访问拒绝的操作目标通知所述服务器。
Applications Claiming Priority (13)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201261719964P | 2012-10-30 | 2012-10-30 | |
| US61/719,964 | 2012-10-30 | ||
| US201261730054P | 2012-11-27 | 2012-11-27 | |
| US61/730,054 | 2012-11-27 | ||
| US201361752997P | 2013-01-16 | 2013-01-16 | |
| US61/752,997 | 2013-01-16 | ||
| US201361809403P | 2013-04-07 | 2013-04-07 | |
| US61/809,403 | 2013-04-07 | ||
| US201361829264P | 2013-05-31 | 2013-05-31 | |
| US61/829,264 | 2013-05-31 | ||
| US201361859791P | 2013-07-30 | 2013-07-30 | |
| US61/859,791 | 2013-07-30 | ||
| PCT/KR2013/009742 WO2014069898A1 (ko) | 2012-10-30 | 2013-10-30 | 무선 통신 시스템에서 특정 리소스에 대한 접근 권한을 인증하기 위한 방법 및 장치 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104303454A CN104303454A (zh) | 2015-01-21 |
| CN104303454B true CN104303454B (zh) | 2018-07-20 |
Family
ID=50627723
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380023135.3A Expired - Fee Related CN104303454B (zh) | 2012-10-30 | 2013-10-30 | 认证对无线通信系统中的特定资源的访问授权的方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US9654971B2 (zh) |
| EP (2) | EP3185469B1 (zh) |
| KR (1) | KR102245367B1 (zh) |
| CN (1) | CN104303454B (zh) |
| WO (1) | WO2014069898A1 (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102145741B1 (ko) * | 2013-01-18 | 2020-08-19 | 엘지전자 주식회사 | 무선 통신 시스템에서 접근 제어를 위한 방법 및 장치 |
| US9792323B2 (en) * | 2013-07-02 | 2017-10-17 | Convida Wireless, Llc | Mechanisms for semantics publishing and discovery |
| GB2518257A (en) * | 2013-09-13 | 2015-03-18 | Vodafone Ip Licensing Ltd | Methods and systems for operating a secure mobile device |
| DE102014206006A1 (de) * | 2014-03-31 | 2015-10-01 | Siemens Aktiengesellschaft | Verfahren und Vorrichtung zum Manipulationsschutz einer Recheneinrichtung |
| US10085211B2 (en) * | 2014-09-02 | 2018-09-25 | Apple Inc. | Communication of processor state information |
| KR20210131436A (ko) * | 2014-11-14 | 2021-11-02 | 콘비다 와이어리스, 엘엘씨 | 허가 기반 리소스 및 서비스 발견 |
| PL3032448T3 (pl) | 2014-12-08 | 2020-07-13 | Ipcom Gmbh & Co. Kg | Sposób autoryzacji dostępu do informacji w systemie telekomunikacyjnym |
| WO2016113593A1 (en) * | 2015-01-13 | 2016-07-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Application protocol query for securing gba usage |
| CN106034112B (zh) * | 2015-03-12 | 2019-05-10 | 电信科学技术研究院 | 访问控制、策略获取、属性获取方法及相关装置 |
| US20180373772A1 (en) * | 2015-07-17 | 2018-12-27 | Lg Electronics Inc. | Method for maintaining synchronization of resources in wireless communication system, and apparatus therefor |
| WO2017095283A1 (en) | 2015-12-03 | 2017-06-08 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and devices for managing constrained devices |
| GB2558205B (en) * | 2016-12-15 | 2019-07-03 | Arm Ip Ltd | Enabling communications between devices |
| WO2018129956A1 (zh) * | 2017-01-13 | 2018-07-19 | 京东方科技集团股份有限公司 | 操作实例资源的方法和装置 |
| CN110392012B (zh) * | 2018-04-17 | 2021-09-14 | 华为技术有限公司 | 轻量级机器到机器系统中重新引导的方法和装置 |
| GB2579574B (en) * | 2018-12-03 | 2021-08-11 | Advanced Risc Mach Ltd | Bootstrapping with common credential data |
| WO2024076271A1 (en) * | 2022-10-03 | 2024-04-11 | Telefonaktiebolaget Lm Ericsson (Publ) | Compact composite resources |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101194464A (zh) * | 2005-06-23 | 2008-06-04 | 微软公司 | 不同类应用程序的统一授权 |
| EP2184887A1 (en) * | 2007-07-31 | 2010-05-12 | Huawei Technologies Co., Ltd. | Method, system and terminal for right control in device management |
| KR20110040767A (ko) * | 2008-06-27 | 2011-04-20 | 마이크로소프트 코포레이션 | 컴퓨팅 프로세스의 최소 특권의 액세스 허가 |
| CN101505550B (zh) * | 2008-02-04 | 2012-08-22 | 华为技术有限公司 | 设备管理的方法和终端、装置、系统 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7533420B2 (en) * | 2004-12-09 | 2009-05-12 | Microsoft Corporation | System and method for restricting user access to a network document |
| US8365254B2 (en) | 2005-06-23 | 2013-01-29 | Microsoft Corporation | Unified authorization for heterogeneous applications |
| US20070250933A1 (en) * | 2006-04-20 | 2007-10-25 | Nokia Corporation | Apparatus, method, and computer program product for managing access rights in a dynamic node |
| KR100868037B1 (ko) | 2006-10-18 | 2008-11-10 | 주식회사 케이티프리텔 | 데이터베이스 접속 통제 방법 및 시스템 |
| KR100969470B1 (ko) | 2008-07-24 | 2010-07-14 | 에스케이 텔레콤주식회사 | 리소스 보안 시스템 및 리소스 보안 방법 |
| CN101686458B (zh) * | 2008-09-28 | 2013-06-12 | 华为技术有限公司 | 一种终端配置和管理方法及终端装置 |
-
2013
- 2013-10-30 EP EP17152315.2A patent/EP3185469B1/en not_active Not-in-force
- 2013-10-30 KR KR1020147022096A patent/KR102245367B1/ko active IP Right Grant
- 2013-10-30 US US14/377,997 patent/US9654971B2/en active Active
- 2013-10-30 CN CN201380023135.3A patent/CN104303454B/zh not_active Expired - Fee Related
- 2013-10-30 EP EP13852247.9A patent/EP2819342B1/en not_active Not-in-force
- 2013-10-30 WO PCT/KR2013/009742 patent/WO2014069898A1/ko active Application Filing
-
2017
- 2017-04-07 US US15/481,577 patent/US10506432B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101194464A (zh) * | 2005-06-23 | 2008-06-04 | 微软公司 | 不同类应用程序的统一授权 |
| EP2184887A1 (en) * | 2007-07-31 | 2010-05-12 | Huawei Technologies Co., Ltd. | Method, system and terminal for right control in device management |
| CN101505550B (zh) * | 2008-02-04 | 2012-08-22 | 华为技术有限公司 | 设备管理的方法和终端、装置、系统 |
| KR20110040767A (ko) * | 2008-06-27 | 2011-04-20 | 마이크로소프트 코포레이션 | 컴퓨팅 프로세스의 최소 특권의 액세스 허가 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3185469A1 (en) | 2017-06-28 |
| US20170215072A1 (en) | 2017-07-27 |
| US10506432B2 (en) | 2019-12-10 |
| WO2014069898A1 (ko) | 2014-05-08 |
| EP2819342A1 (en) | 2014-12-31 |
| EP2819342A4 (en) | 2015-10-21 |
| KR102245367B1 (ko) | 2021-04-28 |
| CN104303454A (zh) | 2015-01-21 |
| KR20150079491A (ko) | 2015-07-08 |
| US20150038115A1 (en) | 2015-02-05 |
| EP2819342B1 (en) | 2017-03-01 |
| EP3185469B1 (en) | 2018-10-17 |
| US9654971B2 (en) | 2017-05-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104303454B (zh) | 认证对无线通信系统中的特定资源的访问授权的方法 | |
| CN104838618B (zh) | 在无线通信系统中验证访问授权的方法和设备 | |
| CN104937895B (zh) | 在无线通信系统中控制访问的方法和设备 | |
| CN109997114B (zh) | 用于通用互通和可扩展性的服务层资源管理 | |
| US9319412B2 (en) | Method for establishing resource access authorization in M2M communication | |
| US11522865B2 (en) | Automated IoT device configuration using user profile | |
| US9319413B2 (en) | Method for establishing resource access authorization in M2M communication | |
| US20210256159A1 (en) | Data anonymization for service subscriber's privacy | |
| US9769801B2 (en) | Method and apparatus for updating information regarding specific resource in wireless communication system | |
| US11206534B2 (en) | Method and apparatus for managing bundles of smart secure platform | |
| US9438603B2 (en) | Method for managing access right of terminal to resource by server in wireless communication system, and device for same | |
| JP6276380B2 (ja) | 無線通信システムにおけるサーバーの端末のリソース要請又は端末のリソース提供のための方法及びこのための装置 | |
| KR20210102063A (ko) | M2m 시스템에서 확인 기반 동작을 수행하기 위한 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180720 Termination date: 20191030 |