CN107637043B - 用于约束环境中资源管理的业务提供方法、系统和装置 - Google Patents
用于约束环境中资源管理的业务提供方法、系统和装置 Download PDFInfo
- Publication number
- CN107637043B CN107637043B CN201680032034.6A CN201680032034A CN107637043B CN 107637043 B CN107637043 B CN 107637043B CN 201680032034 A CN201680032034 A CN 201680032034A CN 107637043 B CN107637043 B CN 107637043B
- Authority
- CN
- China
- Prior art keywords
- service
- resource
- control policy
- access
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0806—Configuration setting for initial configuration or provisioning, e.g. plug-and-play
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
- H04L41/5003—Managing SLA; Interaction between SLA and QoS
- H04L41/5006—Creating or negotiating SLA contracts, guarantees or penalties
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
- H04L41/5041—Network service management, e.g. ensuring proper service fulfilment according to agreements characterised by the time relationship between creation and deployment of a service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0246—Exchanging or transporting network management information using the Internet; Embedding network management web servers in network elements; Web-services-based protocols
- H04L41/0273—Exchanging or transporting network management information using the Internet; Embedding network management web servers in network elements; Web-services-based protocols using web services for network management, e.g. simple object access protocol [SOAP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Databases & Information Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种业务提供方法,从而通过调试程序来支持配置约束设备的准入控制和资源控制策略。在一实施方式中,所述装置包括:所述获取模块(808),用于从所述调试设备获取包括至少一个预注册业务的至少一个业务信息以及关联设备ID;所述创建模块(810),用于依据所接收到的业务信息创建至少一个业务ID,并且针对所述业务ID创建所述准入控制策略和/或所述资源控制策略;所述查找模块(812),用于在接收到来自所述客户端设备的至少一个访问所述业务的请求时,在所述发放设备中查找与所述业务相关联的业务ID;所述访问模块(814),用于准许/拒绝所述客户端设备基于所决定的策略来访问所述业务。
Description
技术领域
本发明大体涉及通信网络,更具体地,涉及用于约束环境中基于资源目录的资源管理的业务提供系统、方法和装置。
背景技术
关于约束RESTful环境(CoRE/CORE)的研究旨在实现(在RFC4944中讨论的)约束网络中的(如在RFC7228中明确讨论的)约束设备的RESTful架构。CORE工作组最近已经使(在RFC7252中讨论的)约束应用协议(Constrained Application Protocol,简称CoAP)标准化,以用于与如图1所示的其中通用HTTP并不节约内存和能量的约束资源进行交互。(在RFC6690中讨论的)CORE指定Web链接用于约束Web服务器托管的资源描述和发现。尽管CoAP允许约束设备进行直接的资源访问,但是在由于网络负载重以及存在睡眠节点的网络导致多播程序不可行的网络中进行直接的资源访问是不可取的。因此,如图2所示,CoRE工作组提出了一种称为资源目录(resource directory,简称RD)的方案来托管设备业务信息,并允许其他设备通过通往资源的已知/核心路径执行查找程序。
这些约束设备发布的业务需要被适当地调试和提供以允许其他设备访问。CoRERD方案是依赖于CoAP协议的基于目录的方案。CORE RD方案将注册/更新/删除/查找程序分别用于业务注册,业务更新,业务删除,业务查找。业务调试是一种使用专门的调试工具/代理来验证预注册业务的方法。这些工具可以是最初以安全的方式存储设备标识的平板电脑或专门的嵌入式设备。一旦业务被任何设备发布,需要使用调试器来验证这些业务。CORERD提供了与调试器进行交互的标准程序,其中调试器就像客户端设备一样查找和验证所发布的业务。一旦调试器验证预注册业务,调试器可以为设备托管的业务设置一些策略规则,以用于资源控制。这些规则定义了:(1)如何采用其他约束设备或客户端设备来访问业务;(2)操作指令。
如图3所示,定义架构,以使用例如客户端(client,简称C)、客户端授权管理器(client authorization manager,简称CAM)、服务器(server,简称S)以及服务器授权管理器(server authorization manager,简称SAM)[draft-gerdes-ace-actors]等逻辑实体来对服务器上的资源的客户端请求进行认证和授权。委托CoAP认证和授权框架(delegatedCoAP authentication and authorization framework,简称DCAF)的主要目标是在两个节点之间建立报文传输层安全通道,以安全地传输授权票据。CAM代表客户端通过在访问请求消息的客户端授权信息(client authorization information,简称CAI)字段中嵌入所请求的权限向SAM发送访问请求消息。通过在票据授权消息的服务器授权信息(serverauthorization information,SAI)字段中嵌入服务器授予的关于特定资源的权限,将票据授权消息从SAM发送到客户端。所述SAI、CAI采用了授权信息格式(authorizationinformation format,简称AIF),其描述了从票据请求中的访问请求所请求的权限,其中底层访问控制模型将是访问矩阵的模型,其给出了每个可能的主体和对象组合的一组权限。这种简单的信息模型也不允许条件访问(例如,只有当客户端属于组1而不属于组2时,才能访问resource/s/tempC)。最后,模型不提供任何动态功能,例如对某个主体特定的一组资源进行专门访问。但是,需要基于资源控制上的一些服务水平协议或预先配置的策略来有条件地授权和控制约束环境中的资源提供的业务。
尽管现有技术中存在不同的技术方案(包括以上描述的),但是在资源约束环境的情况下,资源管理与授权是至关重要的,其中基于客户端和资源之间的一些服务水平协商的业务提供起着至关重要的作用。此外,在特定时间允许之前需要将资源访问阈值提供给客户端,否则会导致网络带宽松动。进一步地,关于基于特定的已注册用户的约束环境内的客户端与资源之间的一些服务水平协商的条件访问业务提供的资源管理是必要的。
鉴于上述问题,一种采用访问控制列表进行资源控制的技术方案提供给本领域技术人员。访问控制通常通过两种主要方法实现:访问控制列表(access control list,简称ACL)和能力,其通常具有四个基本操作,例如允许访问、拒绝访问、限制访问和撤销访问等。ACL通常用于控制操作系统运行的文件系统中的访问。有两种类型的ACL:文件系统ACL和网络ACL。
文件系统ACL:大多数文件系统中的ACL通常使用三个权限:读、写和执行,分别允许访问文件或目录,写入文件或目录,以及执行文件的内容。例如在类UNIX操作系统中,会看到以用户、组的形式呈现的给定文件的单独访问控制列表。可以给予不同用户或组各种权限。通过使用这样的文件权限组,可以控制操作系统及其利用文件系统的应用。微软和类UNIX操作系统使用这种访问控制列表。这些ACL类型遵循例如Linux或Windows OS等各种文件或目录的简单访问权限(即读取,写入和执行)。然而,这些类型不适用于需要动态方式的ACL的场景,因为在网络中需要控制流量。
然而,上述方法(ACL)类型不适用于约束网络环境,因为约束环境在内存、设备功耗和可靠性方面受到限制。因此,总是需要一种用于访问控制的条件方法,其保护资源免受危险条件的影响,在操作中是稳健的,并且提高设备寿命。在准许业务访问之前,这种条件访问控制总是检查要满足业务访问的某些条件或标准。即使采用类似的方法进行TV系统和电信系统的内容广播,条件访问控制系统在约束环境中有很大差异,因为约束设备在节点、可扩展性、网络和消息大小方面的能力较差,总而言之,需要一个不同的架构来进行机器间通信。
鉴于上述情况,需要提供一种全新且有效的技术,其基于资源约束环境中的网络条件和设备能力来解决支持不同客户端上的动态方式的条件访问和资源控制策略的问题。
发明内容
提供本发明内容,以引入与用于约束环境中资源管理的业务提供方法、系统和装置相关的概念,所述概念在下面的详细描述中得到进一步描述。本发明内容不旨在识别所请求保护的主题的本质特征,也不旨在用于确定或限定所请求保护的主题的范围。
为了提供技术方案以基于资源约束环境中的网络条件和设备能力来支持不同客户端上的动态方式的条件访问和资源控制策略,本发明一方面提供一种系统、方法和装置,用于通过调试程序来允许各种客户端的条件访问,从而配置约束设备的动态准入和资源控制策略,所述调试程序带来诸多优点,例如安全性、最大化设备寿命、QoS改进、网络吞吐量改进、以及易于维护等。
本发明另一方面提供一种业务提供系统、方法和装置,用于在两种不同的使用情况下访问设备业务:
a第一,在非约束设备访问约束设备提供的业务时,提供所述业务。
b第二,在一个约束设备访问其他约束设备提供的业务时,提供所述业务。
本发明另一方面提供一种用于业务发放服务器的系统、方法和装置,所述业务发放服务器在基于客户端服务水平协议为每个资源提供条件准入和资源控制策略,从而授权和有效地管理资源方面发挥关键作用。
本发明又一方面提供一种系统、方法和装置,从而能够从约束环境外部访问提供技术。
本发明再一方面提供一种系统、方法和装置,从而能够提供约束设备的条件访问业务提供和动态资源控制。
因此,在一实施方式中,本发明提供一种用于向网络中的至少一个业务提供至少一个准入控制策略和/或至少一个资源控制策略的系统,所述网络具有:至少一个约束设备,其提供向至少一个资源发现设备注册的业务;以及访问所述业务的至少一个客户端设备。所述系统包括至少一个调试设备和至少一个发放设备。所述调试设备用于:在所述资源发现设备中进行域查找;获取特定域和所述业务所分类至的特定业务组;验证预先注册到所述资源发现设备的至少一个业务,以获得包括至少一个预注册业务的至少一个业务信息以及关联设备标识(identification,简称ID)。所述发放设备用于:从所述调试设备接收所述业务信息;依照所接收到的业务信息创建至少一个业务标识(identification,简称ID);向所述调试设备传输所述业务标识(identification,简称ID)。所述调试设备用于:在接收到所述业务ID时,针对所述业务ID创建所述准入控制策略和/或所述资源控制策略;在接收到来自所述客户端设备的至少一个访问所述业务的请求时,在所述发放设备中查找与所述业务相关联的业务ID。基于所述准入控制策略和/或所述资源控制策略准许/拒绝所述客户端设备访问所述业务。
在一实施方式中,本发明提供一种用于向网络中的至少一个业务提供至少一个准入控制策略和/或至少一个资源控制策略的系统,所述网络具有:至少一个约束设备,其提供向至少一个资源发现设备注册的业务;至少一个客户端设备,其访问在所述资源发现设备上注册的所述业务;以及至少一个调试设备,用于验证提供所述业务的所述约束设备。所述系统包括至少一个发放设备,用于从所述调试设备获取包括至少一个预注册业务的至少一个业务信息以及关联设备标识(identification,简称ID);依照所接收到的业务信息创建至少一个业务标识(identification,简称ID);针对所述业务ID创建所述准入控制策略和/或所述资源控制策略。在接收到来自所述客户端设备的至少一个访问所述业务的请求时,所述客户端设备在所述发放设备中查找与所述业务相关联的业务ID;从而基于所述准入控制策略和/或所述资源控制策略准许/拒绝所述客户端设备访问所述业务。
在一实施方式中,本发明提供一种用于向网络中的至少一个业务提供至少一个准入控制策略和/或至少一个资源控制策略的装置,所述网络具有:至少一个约束设备,其提供向至少一个资源发现设备注册的业务;至少一个客户端设备,其访问在所述资源发现设备上注册的所述业务;以及至少一个调试设备,用于验证提供所述业务的所述约束设备。所述装置包括获取模块、创建模块、查找模块和访问模块。获取模块用于从所述调试设备获取包括至少一个预注册业务的至少一个业务信息以及关联设备标识(identification,简称ID)。所述创建模块用于依照所接收到的业务信息创建至少一个业务标识(identification,简称ID);针对所述业务ID创建所述准入控制策略和/或所述资源控制策略。查找模块用于在接收到来自所述客户端设备的至少一个访问所述业务的请求时,在所述发放设备中查找与所述业务相关联的业务ID。访问模块用于基于所述准入控制策略和/或所述资源控制策略准许或拒绝所述客户端设备访问所述业务。
在一实施方式中,本发明提供一种用于向网络中的至少一个业务提供至少一个准入控制策略和/或至少一个资源控制策略的方法,所述网络具有:至少一个约束设备,其提供向至少一个资源发现设备注册的业务;以及访问所述业务的至少一个客户端设备。所述方法包括:
所述网络中的至少一个调试设备在所述资源发现设备中进行域查找;
所述调试设备获取特定域和所述业务所分类至的特定业务组;
所述调试设备验证预先注册到所述资源发现设备的至少一个业务,以获得包括至少一个预注册业务的至少一个业务信息以及关联设备标识(identification,简称ID);
所述网络中的至少一个发放设备从所述调试设备接收所述业务信息;
所述发放设备依照所接收到的业务信息创建至少一个业务标识(identification,简称ID);
所述调试设备用于:在接收到所述业务ID时,针对所述业务ID创建所述准入控制策略和/或所述资源控制策略;
在接收到来自所述客户端设备的至少一个访问所述业务的请求时,在所述发放设备中查找与所述业务相关联的业务ID,从而基于所述准入控制策略和/或所述资源控制策略准许/拒绝所述客户端设备访问所述业务。
在一实施方式中,本发明提供一种用于向网络中的至少一个业务提供至少一个准入控制策略和/或至少一个资源控制策略的方法,所述网络具有:至少一个约束设备,其提供向至少一个资源发现设备注册的业务;至少一个客户端设备,其访问在所述资源发现设备上注册的所述业务;以及至少一个调试设备,用于验证提供所述业务的所述约束设备。所述方法包括:
所述网络中的至少一个发放设备从所述调试设备获得包括至少一个预注册业务的至少一个业务信息以及关联设备标识(identification,简称ID);
所述发放设备依照所接收到的业务信息创建至少一个业务标识(identification,简称ID);
所述发放设备针对所述业务ID创建所述准入控制策略和/或所述资源控制策略;
在接收到来自所述客户端设备的至少一个访问所述业务的请求时,所述发放设备在所述发放设备中查找与所述业务相关联的业务ID,从而所述发放设备基于所述准入控制策略和/或所述资源控制策略准许/拒绝所述客户端设备访问所述业务。
在一实施方式中,本发明提供一种用于向网络中的至少一个业务提供至少一个准入控制策略和/或至少一个资源控制策略的方法,所述网络具有:至少一个约束设备,其提供向至少一个资源发现设备注册的业务;至少一个客户端设备,其访问在所述资源发现设备上注册的所述业务;以及至少一个调试设备,用于验证提供所述业务的所述约束设备。所述方法包括:
所述网络中的至少一个装置从所述调试设备获得包括至少一个预注册业务的至少一个业务信息以及关联设备标识(identification,简称ID);
所述发放设备依照所接收到的业务信息创建至少一个业务标识(identification,简称ID);
所述装置针对所述业务ID创建所述准入控制策略和/或所述资源控制策略;
在接收到来自所述客户端设备的至少一个访问所述业务的请求时,所述装置在所述装置中查找与所述业务相关联的业务ID,从而所述装置基于所述准入控制策略和/或所述资源控制策略准许/拒绝所述客户端设备访问所述业务。
在一实施方式中,公开了一种装置。所述装置包括:处理器;存储器,耦合到所述处理器,所述处理器用于执行所述存储器中存在的多个模块。所述多个模块包括:获取模块,用于获取与至少一个资源提供的至少一个预注册业务相关联的至少一个已验证业务信息;创建模块,用于创建保存所获得的已验证业务信息的至少一个业务注册表,依照所创建的业务注册表创建至少一个业务标识(identification,简称ID),为所创建的业务ID创建至少一个准入控制策略和/或至少一个资源控制策略;查找模块,用于在接收到来自至少一个客户端设备的至少一个访问所述业务的请求时,查找所述资源提供的业务;访问模块,用于基于所述客户端设备请求的业务的可用性并基于所述准入控制策略和/或所述资源控制策略,准许访问所述资源提供的业务。
与现有技术相比,本发明能够通过调试程序基于网络条件和设备能力实现对不同客户端的动态方式的条件访问和资源控制策略的支持。
附图说明
该详细描述是参考附图描述的。在附图中,参考编号最左边的数字表示所述参考编号在该附图中首次出现。所有附图使用相同数字指代相同特征的组件。
图1示出了现有技术中可用的CoAP应用协议;
图2示出了现有技术中可用的存储网络中可用的各种资源的路径的资源目录(resource directory,简称RD)的示例;
图3示出了现有技术中可用和已知的采用逻辑实体对服务器上的资源的客户端请求进行认证和授权而定义的架构;
图4示出了现有技术提供的用于采用逻辑实体对服务器上的资源的客户端请求进行认证和授权的IETF方案/架构;
图5示出了根据本发明一实施例的从约束设备(系统)访问业务的约束设备;
图6示出了根据本发明一实施例的从约束设备(系统)访问业务的客户端设备;
图7示出了根据本发明一实施例的网络拓扑;
图8示出了根据本发明一实施例的用于向网络中的至少一个业务提供至少一个准入控制策略和/或至少一个资源控制策略的装置;
图9示出了根据本发明一实施例的设备业务的授权、准入和资源控制的过程;
图10示出了根据本发明一实施例的用于向网络中的至少一个业务提供至少一个准入控制策略和/或至少一个资源控制策略的方法;
图11示出了根据本发明一实施例的业务注册过程;
图12示出了根据本发明一实施例的验证预注册业务的过程;
图13示出了根据本发明一实施例的定义资源控制策略的过程;
图14示出了根据本发明一实施例的方法/设备上的示例性权限;
图15示出了根据本发明一实施例的客户端的分组和QoS分类的过程;
图16示出了根据本发明一实施例的通过设备搜索业务的过程;
图17示出了根据本发明一实施例的约束环境内的请求/响应过程;
图18示出了根据本发明一实施例的来自约束环境外部的请求/响应过程;
图19示出了根据本发明一实施例的请求设备验证来自业务发放服务器的授权的同时从约束设备访问业务的约束设备;
图20示出了根据本发明一实施例的在图19中提供的场景3中的请求/响应过程;
图21示出了根据本发明一实施例的通过业务发放服务器从约束设备访问业务的约束设备;
图22示出了根据本发明一实施例的在图21中提供的场景4中的请求/响应过程;
图23示出了根据本发明一实施例的场景1:约束设备从客户端设备访问业务;场景2:约束设备从约束设备访问业务;
图24示出了根据本发明一实施例的场景3:约束设备通过业务发放服务器的预验证从约束设备访问业务;场景4:约束设备通过业务发放服务器从约束设备访问业务;
图25示出了根据本发明一实施例的一种用于授权至少一个客户端设备访问至少一个资源提供的至少一个业务,并且基于服务水平协议通过为所述资源提供的所述业务提供条件准入和/或资源控制来管理所述资源的访问的方法。
应当理解,附图是为了说明本发明的概念,不是成比例的。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述。显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本发明可以通过多种方式实现,包括作为过程、装置、系统、物质成分、例如计算机可读存储介质的计算机可读介质或计算机网络实现,其中程序指令通过光或电子通信链路发送。在本说明书中,这些实施方式或本发明可以采取的任何其他形式可以被称为技术。通常,所公开的过程的步骤的顺序可以在本发明的范围内改变。
下面提供了本发明的一个或多个实施例的详细描述以及说明本发明的原理的附图。结合这些实施例描述本发明,但是本发明不限于任何实施例。本发明的范围仅由权利要求限制,并且本发明包括许多替代,修改和等同物。在下面的描述中阐述了许多具体详情,以便提供对本发明的透彻理解。提供这些详情是出于示例目的,而没有这些具体详情中的一些或全部也可以根据权利要求实施本发明。出于清楚的目的,与本发明相关的技术领域中已知的技术领域尚未详细描述,因此不会对本发明造成不必要的模糊。
公开了业务提供系统,方法和设备,从而通过使用调试程序来支持配置约束设备的准入控制和资源控制策略。
虽然描述了通过使用调试程序来支持配置约束设备的准入控制和资源控制策略的方面,但是本发明可以在任意数量的不同的计算系统、环境和/或配置中实现。在以下示例性系统、装置和方法的上下文中描述了实施例。
在一实施方式中,本发明使得能够在非约束设备访问约束设备提供的业务时提供该业务。
在一实施方式中,本发明使得能够在一个约束设备访问其他约束设备提供的业务时提供该业务。
业务提供方法能够使得不同客户端基于服务水平协议进行条件资源访问。
在一实施方式中,集中式业务发放服务器提供动态功能,例如通过保持准入和资源控制策略来启用一组资源的特殊访问。
在一实施方式中,资源控制策略以条件表达式(也称为语句(statement,简称ST))来表示。
在一实施方式中,业务提供方法能够使得不同客户端基于服务水平协议进行条件资源访问。这种集中式业务发放服务器提供动态功能,例如通过保持准入和资源控制策略来启用一组资源的特殊访问。(注意:R—读取,W—写入,D—删除,C—客户端,g—组,P—优先级,Q—QoS等级,O—操作(例如IP相机的暂停、播放、倒带,重启等))。
在一实施方式中,约束设备访问其他约束设备发布的业务时的系统架构如图5所示。这里,例如空调等一个约束设备(502)可以访问其他约束设备(例如恒温器)发布的业务,例如当前室温。所发布业务将由调试器(508)进行调试,然后应将由业务发放服务器(510)为其设置一些准入和资源控制策略。最后允许从其他约束设备(506)发布该业务的业务访问。对所发布业务感兴趣的任何设备(506)需要从RD服务器(504)中进行业务查找。一旦获得通往所发布业务的路径,约束客户端设备(506)可以向托管业务的设备(502)请求业务。一旦收到来自约束客户端设备(506)的请求,托管业务的设备(502)必须授权并提供来自业务发放服务器(510)针对其业务的条件访问。可以从RD服务器(504)向调试代理发送关于已注册业务的通知。
在一实施方式中,当客户端设备访问约束设备发布的业务时的系统架构如图6所示,并且图9提供了根据本发明的提供方法的详情。例如,例如智能手机等客户端设备(506)可以访问其他约束设备(例如恒温器)(502)发布的业务(例如室温)。客户端(506)可以在家庭环境中或在家庭环境外部访问该业务。因此,在这种场景下,业务发放服务器(510)将该业务作为Web业务进行维护。所发布业务将由调试器(508)进行调试,然后将由业务发放服务器(510)为其设置一些准入和资源控制策略。最后允许从客户端设备(506)发布该业务的业务访问。希望访问该Web业务的任何客户端(506)寻找从业务发放服务器(510)提供的相应操作。
然而,该实施方式取决于如何为相应的Web业务提供WSDL文件。WSDL是针对约束环境中的端点进行的基于XML的业务描述。在业务发放服务器上公开业务之前,必须部署托管特定Web业务的每个设备的这些文件。实现访问该Web业务的任何客户端必须在业务发放服务器的URL处查找设备的这些文件,然后需要使用所托管业务提供的方法实现Web业务。一旦接收到来自客户端设备的请求,业务发放服务器就必须授权和提供条件资源访问。然后,业务发放服务器应当从托管设备获取业务,并且基于业务访问级别将响应中继给客户端。
在一实施方式中,约束设备在约束网络内相互通信的网络拓扑如图7所示。约束设备,例如但不限于恒温器、空调,可以使用小内存约束传感器/执行器来提供简单业务,例如冷却/加热房间或只是测量当前室温。这些内存约束嵌入式设备可以实现例如(由Contiki提供的)uIP等6LoWPAN堆栈,并且提供对来自例如典型地实现丰富堆栈TCP/IP的智能手机等客户端设备的其他外部查询的通信访问。尽管RD服务器(504)或业务发放服务器(510)在LAN中被示为分离的服务器,如图7所示,但是它们可以托管在运行两个不同进程的单个服务器上。另一方面,这些具体操作可以作为第三方单独实现,并且在调试代理处使用。较低级别的通信技术可以通过蓝牙(Bluetooth,简称BT)或近场通信(Near FieldCommunication,简称NFC)来实现,从而(例如使用MAC)验证设备唯一的ID。尽管本文档讨论了基于6LoWPAN的传感器网络,但是其可以容易地转移到任何其他技术,例如ZigBee/BLE/无线HART,而无需对架构或设计进行任何改变,因为本文档采用通信网络的边缘路由器使通信网络抽象化。
因此,在一实施方式中,本发明提供一种用于向网络中的至少一个业务提供至少一个准入控制策略和/或至少一个资源控制策略的系统,所述网络具有:至少一个约束设备(502),其提供向至少一个资源发现设备(504)注册的业务;以及访问所述业务的至少一个客户端设备(506)。所述系统包括至少一个调试设备(508)和至少一个发放设备(510)。所述调试设备(508)用于:在所述资源发现设备中进行域查找;获取特定域和所述业务所分类至的特定业务组;验证预先注册到所述资源发现设备的至少一个业务,以获得包括至少一个预注册业务的至少一个业务信息以及关联设备标识(identification,简称ID)。所述发放设备(510)用于:从所述调试设备接收所述业务信息;依照所接收到的业务信息创建至少一个业务标识(identification,简称ID);向所述调试设备传输所述业务标识(identification,简称ID)。所述调试设备(508)用于:在接收到所述业务ID时,针对所述业务ID创建所述准入控制策略和/或所述资源控制策略;在接收到来自所述客户端设备的至少一个访问所述业务的请求时,在所述发放设备中查找与所述业务相关联的业务ID。基于所述准入控制策略和/或所述资源控制策略,准许/拒绝客户端设备(506)访问所述业务。
在一实施方式中,本发明提供一种用于向网络中的至少一个业务提供至少一个准入控制策略和/或至少一个资源控制策略的系统,所述网络具有:至少一个约束设备(502),其提供向至少一个资源发现设备(504)注册的业务;至少一个客户端设备(506),其访问在所述资源发现设备(504)上注册的所述业务;以及至少一个调试设备(508),用于验证提供所述业务的所述约束设备(502)。所述系统包括至少一个发放设备(510),用于从所述调试设备(508)获取包括至少一个预注册业务的至少一个业务信息以及关联设备标识(identification,简称ID);依照所接收到的业务信息创建至少一个业务标识(identification,简称ID);针对所述业务ID创建所述准入控制策略和/或所述资源控制策略。在接收到来自所述客户端设备(506)的至少一个访问所述业务的请求时,所述客户端设备在所述发放设备中查找与所述业务相关联的业务ID;从而基于所述准入控制策略和/或所述资源控制策略,准许/拒绝所述客户端设备访问所述业务。
在一实施方式中,本发明提供一种用于向网络中的至少一个业务提供至少一个准入控制策略和/或至少一个资源控制策略的装置(800),所述网络具有:至少一个约束设备(502),其提供向至少一个资源发现设备(504)注册的业务;至少一个客户端设备(506),其访问在所述资源发现设备(504)上注册的所述业务;以及至少一个调试设备(508),用于验证提供所述业务的所述约束设备(502)。
虽然通过考虑用于向网络中的至少一个业务提供至少一个准入控制策略和/或至少一个资源控制策略的装置(800)来解释本发明,但是可以理解,该装置(800)也可以在各种计算系统中实现,例如膝上型电脑、台式电脑、笔记本电脑、工作站、大型计算机、服务器、网络服务器等。应当理解,可以由多个用户通过一个或多个用户设备(未示出)或驻留在用户设备上的应用来访问装置(800)。装置(800)的示例可以包括但不限于便携式计算机、个人数字助理、手持设备、工作站、路由器以及服务器。装置(800)通过网络(未示出)通信耦合到其他设备(502、506和508)。
在一实施方式中,网络可以是无线网络、有线网络或其组合。网络可以作为例如企业内部网、局域网(local area network,简称LAN)、广域网(wide area network,简称WAN)、因特网等不同类型的网络之一实现。网络可以是专用网络或共享网络。共享网络表示使用例如超文本传输协议(Hypertext Transfer Protocol,简称HTTP)、传输控制协议/因特网协议(Transmission Control Protocol/Internet Protocol,简称TCP/IP)、无线应用协议(Wireless Application Protocol,简称WAP)等各种协议进行相互通信的不同类型的网络的关联。此外,网络可以包括各种网络设备,包括路由器、网桥、服务器、计算设备、存储设备等。
在一实施方式中,装置(800)可以包括至少一个处理器(802)、输入/输出(input/output,简称I/O)接口(804)和存储器(806)。至少一个处理器(802)可以作为一个或多个微处理器、微计算机、微控制器、数字信号处理器、中央处理器、状态机、逻辑电路和/或基于操作指令来操纵信号的任何设备实现。在其他能力中,至少一个处理器(802)用于获取并执行存储器(806)中存储的计算机可读指令。
I/O接口(804)可以包括各种软件和硬件接口,例如Web接口、图形用户界面等。I/O接口(804)可以允许装置(800)直接或通过客户端设备(未示出)与用户交互。进一步地,I/O接口(804)可以使装置(800)能够与例如Web服务器和外部数据服务器(未示出)等其它计算设备进行通信。I/O接口(804)可以促进各种各样的网络和协议类型之间的多种通信,所述网络和协议类型包括例如LAN、电缆等有线网络,以及例如WLAN、蜂窝或卫星等无线网络。I/O接口(804)可以包括一个或多个端口,用于将多个设备相互连接或连接到另一个服务器。
存储器(806)可以包括本领域已知的任何计算机可读介质,例如包括易失性存储器,例如静态随机存取存储器(static random access memory,简称SRAM)和动态随机存取存储器(dynamic random access memory,简称DRAM)等;和/或非易失性存储器,例如只读存储器(read only memory,简称ROM)、可擦除可编程ROM、闪存、硬盘、光盘和磁带等。存储器(804)可以包括模块和数据库(816)。
模块包括例程、程序、对象、组件以及数据结构等,其执行特定任务或实现特定抽象数据类型。
在一种实现方式中,模块可以包括获取模块(808)、创建模块(810)、查找模块(812)和访问模块(814)。获取模块用于从所述调试设备获取包括至少一个预注册业务的至少一个业务信息以及关联设备标识(identification,简称ID)。所述创建模块用于依照所接收到的业务信息创建至少一个业务标识(identification,简称ID);针对所述业务ID创建所述准入控制策略和/或所述资源控制策略。查找模块用于在接收到来自所述客户端设备的至少一个访问所述业务的请求时,在所述发放设备中查找与所述业务相关联的业务ID。访问模块用于基于所述准入控制策略和/或所述资源控制策略,准许或拒绝所述客户端设备访问所述业务。
在一种实现方式中,模块可以包括获取模块(808)、创建模块(810)、查找模块(812)和访问模块(814)。获取模块可以用于获得与至少一个资源提供的至少一个预注册业务相关联的至少一个已验证业务信息。创建模块可以用于创建保存所获得的已验证业务信息的至少一个业务注册表;依照所创建的业务注册表创建至少一个业务标识(identification,简称ID);为所创建的业务ID创建至少一个准入控制策略和/或至少一个资源控制策略。查找模块可以用于在接收到来自至少一个客户端设备的至少一个访问所述业务的请求时,查找所述资源提供的业务。访问模块可以用于基于所述客户端设备请求的业务的可用性并基于所述准入控制策略和/或所述资源控制策略,准许访问所述资源提供的业务。
在一实施方式中,所述准入控制策略是针对资源的读取(read,简称R)、写入(write,简称W)、读取/写入(read/write,简称R/W)、删除(delete,简称D)和同时连接数中的至少一个或其任意组合。
在一实施方式中,所述资源控制策略是基于为所述客户端设备设置的优先级并且取决于所述客户端设备使用的至少一个应用的条件业务访问和/或业务质量协议/参数。
在一实施方式中,所述业务质量协议/参数是与所述网络相关联的可用性、可靠性、可服务性、数据准确性、聚合延迟、覆盖、容错性、网络寿命中的至少一个或其任意组合。
在一实施方式中,所述业务质量(quality of service,简称QoS)协议/参数按照至少一个组、至少一个优先级、至少一个类别和至少一个权限进行分类。
在一实施方式中,所述条件访问是选自如下的定义所述资源控制策略的至少一个条件语句:如果客户端属于G1,则允许其具有权限{R,R/W,U}、优先级{P1}、QoS{Q1}和操作{打开,读取};或者,如果客户端属于G2,则允许其具有权限{R,W,R/W}、优先级{P3}、QoS{Q2}和操作{打开,读取};或者,如果客户端属于G3,则允许其具有权限{D}、优先级{P2}、QoS{Q3}和操作{关闭};或者具有优先级{P1}、QoS{Q1}、操作{打开,关闭,读取}的客户端只允许具有G1中的权限{R}、G2中的权限{R,R/W,D}和G3中的权限{D};或者具有优先级{P1}、QoS{Q1}的客户端允许具有G1中的权限{R}、操作{读取},允许具有G2中的权限{R,R/W,D}、操作{打开,关闭,读取},并且允许具有G3中的权限{D}、操作{关闭};或其任意组合;其中,不同组的优先级为{组1(G1),组2(G2),组3(G3)}=>{优先级1(P1),优先级3(P3),优先级2(P2)}。
在一实施方式中,所述业务信息包括设备标识,所述设备进行分类的组,域详情,设备类型,设备IP中的至少一个或其任意组合。
在一实施方式中,在接收到来自所述客户端设备的访问所述业务的请求时,所述客户端设备用于:查找所述网络中的所有约束设备托管的所有业务信息;搜索特定业务的域、与所述特定业务相关联的业务信息、以及与所述特定业务相关联的路径。
在一实施方式中,所述装置用于以Web业务的形式将所述业务信息存储在至少一个数据库(816)中。
在一实施方式中,所述装置用于以Web业务描述语言(web services descriptionlanguage,简称WSDL)的格式的Web业务的形式将所述业务信息存储在至少一个数据库(816)中。
图10示出了根据本发明一实施例的用于向网络中的至少一个业务提供至少一个准入控制策略和/或至少一个资源控制策略的方法。所述方法可在计算机可执行指令的广义语境中进行描述。一般而言,计算机可执行指令可包括执行特定功能或实现特定抽象数据类型的例程、程序、对象、组件、数据结构、过程、模块和功能。该方法还可以在分布式计算环境中实现,其中功能由通过通信网络链接的远程处理设备执行。在分布式计算环境中,计算机可执行指令可以位于包括存储器存储设备的本地和远程计算机存储介质中。
不应将所述方法的描述顺序理解为一种限制,所描述的方法块的任何编号可以以任何顺序实现所述方法或者替代方法。此外,单个块可从所述方法中删除,而不脱离本文所描述的主题的保护范围。此外,所述方法可在任何合适的硬件、软件、固件或其组合中实现。然而,为了便于说明,在下面描述的实施例中,可以认为该方法是在上述系统和装置中实现的。
在一实施方式中,本发明涉及的主要步骤如下:
1注册业务
2验证预注册业务
3定义资源控制策略
4通过设备搜索业务
5业务请求和响应
注册业务:如图11所示,托管业务的约束设备必须使用其唯一标识(例如MAC ID,UDDI注册表等)和IP地址向RD服务器注册其业务。该设备必须发送用于注册其业务的POST请求。一旦该业务已经注册到RD服务器,RD服务器就可以将设备的注册信息(例如唯一标识和设备名称)通知给调试代理。
验证预注册业务:如图12所示,调试代理必须验证预先注册到RD服务器的任何业务。调试代理发送用于进行域查找的GET请求。一旦获得特定域,其必须查找该业务所属的组。一旦获得特定的域和组,其必须发送用于采用RD服务器查找注册业务的业务查找请求。一旦获得关于特定设备的业务信息,调试代理必须验证已注册业务。如以下部分所述,该业务信息稍后用于在业务发放服务器中创建业务注册表。示例业务信息(表示为SRV)如下所示:
定义资源控制策略:如图13所示,一旦所托管业务已经经过调试代理(commissioning agent,简称CA)验证,则CA必须采用所述业务发放服务器创建业务注册表。在创建业务条目后,业务发放服务器应将业务ID作为响应发送给所述调试代理。该业务ID可以稍后用于调试代理永久地DELETE业务条目(如果需要的话)。调试代理必须针对已注册业务创建一些准入控制策略,例如针对资源的读取(read,简称R)、写入(read,简称W)、读取/写入(read/write,简称R/W)、删除(delete,简称D)以及同时连接数等。一旦在特定设备上设置了准入控制策略,就可以在该已注册业务上设置资源控制策略,例如(基于为客户端设置的优先级的)条件业务访问,业务质量协议。这些条件业务访问可以采用如子部分资源控制中所解释的简单条件语句来实现(例如,“如果客户端(c)仅属于某个组(group,简称g),其只能访问仅具有读取(read,简称R)、写入(write,简称W)权限的业务)。示例准入控制和资源控制策略如下所示:
资源控制:约束设备的资源控制策略采用如上例子所解释的条件表达式表示。考虑一下根据组/级别定义(访问资源的)客户端的情况。例如,在典型的家庭建筑中,指定每个楼层为一组。假设对于三层建筑,例如手机/空调等客户端可以属于建筑物内的任何楼层。并且,如图14所指定的,根据客户端所属的组允许客户端具有各种权限。
在一实施方式中,假设指定不同组的优先级为C={G1,G2,G3}=>{P1,P3,P2}。此外,如果为客户端指定不同的QoS类别,则需要根据它们使用的应用控制资源控制中的QoS策略。QoS可以根据例如{可用性,可靠性,可服务性,数据准确度,聚合延迟,覆盖,容错,网络寿命}等无线传感器网络中的各种参数来定义。假设基于这些参数,QoS根据例如{Q1,Q2,Q3}等各种类别来定义,则需要一些客户端可以基于其所属的组或基于客户端请求的优先级(假设C={Q1,Q2,Q3})针对其应用的QoS要求制定一些预先级别协议。一旦定义了组,其优先级、QoS类别和权限,则定义资源控制策略的条件语句可以定义如下:
ST1:如果客户端属于G1,则允许其具有权限{R,R/W,U}、优先级{P1}、QoS{Q1}和操作{打开,读取};或者,如果客户端属于G2,则允许其具有权限{R,W,R/W}、优先级{P3}、QoS{Q2}和操作{打开,读取};或者,如果客户端属于G3,则允许其具有权限{D}、优先级{P2}、QoS{Q3}和操作{关闭}。
ST2:具有优先级{P1}、QoS{Q1}、操作{打开,关闭,读取}的客户端只允许具有G1中的权限{R}、G2中的权限{R,R/W,D}和G3中的权限{D}。
ST3:具有优先级{P1}、QoS{Q1}的客户端允许具有G1中的权限{R}、操作{读取},允许具有G2中的权限{R,R/W,D}、操作{打开,关闭,读取},并且允许具有G3中的权限{D}、操作{关闭};或其任意组合。
本领域技术人员可以理解,上述条件语句是关于如何定义条件语句的几个示例,可以基于想要实现的资源控制策略以任何方式来定义语句。
为了更好地理解上述语句,上述语句可以采用如下简单的语义符号(a)和以下解释的相应JSON表达式(b)进行更好的解释,以用于信息交互:
在一实施方式中,可以理解,无线传感器网络中的QoS参数可以根据应用领域而变化。因此,采用业务发放服务器的业务提供商可以决定要考虑什么样的QoS参数,并且推导出QoS类别和组。用于推导出例如{可用性(availability,简称A),可靠性(reliability,简称R),可服务性(serviceability,简称S),数据准确度(data accuracy,简称DA),延迟(delay,简称D),覆盖(coverage,简称C)),寿命(lifetime,简称L)}等样本QoS参数的QoS类别的简单方法定义为:
Qn=aA+rR+sS+pDA+dD+cC+lL
其中,{a,r,s,p,d,c,l}是在{0-1}之间的权重,其根据要定义的QoS类别而变化。假设业务提供商将权重定义为{低(0),中(0.5),高(1)},并且将QoS类别Q1定义为更加延迟容忍但需要更高可靠性,那么将Q1定义为:
Q1=0.5*A+1*R+0.5*S+0.5*DA+0*D+0.5*C+0.5*L
类似地,将QoS类别Q2定义为更加延迟敏感,那么将Q2定义为:
Q2=0.5*A+0.5*R+0.5*S+0.5*DA+1*D+0.5*C+0.5*L
上述QoS参数可以采用标准公知的程序来估计,例如,
Availability=Mean_Time_Between_Failure/(Mean_Time_Between_Failure+Mean_Time_T o_Repair);以及
Reliability=1-(t/Mean_Time_Between_Failure),t-time period
在一实施方式中,一旦业务提供商对QoS类别进行划分,则其可以采用QoS类别在组间使用不同的映射。假设组G1仅提供Q1,组G2提供{Q1,Q2}。并且将使用特定业务的客户端定义为组G1,则可以向客户端仅提供QoS Q1的保证以访问该特定业务。此外,在访问业务之前,采用(在IDF中已经提到的)专门为组设置的授权权限来检查客户端。客户端的组和QoS类别的逐步说明如图15所示。
在一实施方式中,条件语句可以用于设置资源控制策略。例如,如果第n个客户端属于第m个组,则条件表达式表示如下:
通过设备搜索业务:任何客户端设备(如在图6中解释的场景2所解释的)可以与业务发放服务器进行交互,并通过设备查找已部署业务。此外,业务发放服务器可以验证任何设备的业务的完整授权、准入和资源控制。然而,如图16所示,(如对于场景1所解释的)如果任何其他约束设备(例如空调)搜索由其他约束设备托管的业务,则其必须与RD服务器进行交互。这里,设备首先查询由其他设备托管的所有业务,然后在域内搜索特定业务、其SRV信息以及通往所托管业务的路径。
业务请求和响应:如图17所示,在场景1(如图5所示)中,业务请求和响应必须使用基于CoAP的通信来访问业务。假设约束客户端设备(例如空调)想要访问另一约束设备(例如恒温器)托管的业务,则客户端设备必须向恒温器发送基于CoAP的GET请求。然后,该设备(恒温器)应发送POST请求,以通过发送客户端<IP:port>采用业务发放服务器提供此业务请求。基于客户端<IP:port>,业务发放服务器必须找到客户端(例如空调)详情,如业务信息、组、域和类型详情。一旦客户端被识别,业务发放服务器必须检查(例如恒温器)所托管业务的授权,准入和资源控制策略。一旦业务请求被授权访问,则将所托管业务的URI路径以及该值作为CoAP响应发送给客户端设备(空调)。这里,请求是有条件的,即基于客户端(空调)的资源(例如恒温器)的资源控制策略,给予访问资源的权限。
如图18所示,(如图6所示的)场景2中的业务请求和响应采用简单的基于http的通信从PS访问业务。然后业务发放服务器将基于CoAP的GET请求发送到托管业务的最终设备。在将该业务请求发送到实际设备之前,PS授权该业务请求。一旦业务请求被授权进行访问,则将所托管业务的URI路径以及该值作为HTTP响应发送给客户端设备。
当客户端在家庭环境之外(例如使用移动互联网或使用云的办公室)时,有时需要提供因特网上的传感器业务。因此,为了在Web世界中提供传感器业务,有必要在Web业务模型中表示传感器业务。WSDL是一种基于XML的通信标准,用于通过使客户端独立于他们的平台和实现技术来表示互联网上的业务,由于其很好的工具支持而得到广泛使用。连接到Web业务的客户端可以读取WSDL,以确定关于因特网上的传感器业务可用的功能。任何特殊数据类型以XSD的形式嵌入在WSDL文件中。客户端可以使用SOAP来实际调用WSDL文件中列出的传感器设备提供的这些功能之一。
因此,在场景2中,对传感器业务的请求/响应遵循Web业务模型。该Web业务模型可以实现用于访问/公开Web业务的RESTful框架或基于SOAP的框架。约束环境内的网络链接以RESTful方式表达,作为在约束环境之外表示资源的一般方法,其基于SOAP。下面给出了这些框架的样本请求和响应代码。WSDL是针对约束环境中的端点的基于XML的业务描述,并且由SOAP协议在约束环境之外使用,其中该WSDL表现形式允许表示端点业务的抽象方式,而不管所使用的是哪种用于通信的消息格式或网络协议。
在场景3中,如图19所示,希望从其他约束设备访问业务的任何设备必须在向约束设备发送请求之前验证其来自业务发放服务器的可访问性,并且其呼叫流程如图20所示。因为例如在场景1(图5)中,多个请求从各种其他设备发送到恒温器,使得在处理能力方面变得更加过载。此外,对于每个请求,恒温器必须采用业务发放服务器来验证客户端的可访问性,这可能会增加向客户端发送响应的延迟。因此,通过使用这种场景3(图19),约束设备可以在处理能力、更快的响应时间和网络效率方面有效地进行操作。针对来自PS的业务可访问性,在请求设备验证准入和资源策略的同时约束设备从其他约束设备访问业务,如图19所示。
如图21所示,在场景4中,希望从其他约束设备访问业务的任何设备在向约束设备发送请求之前必须验证其来自业务发放服务器的可访问性,并且其呼叫流程如图22所示。此外,与场景3进行比较,所述业务发放服务器自身代表任何约束设备将该请求中继到托管业务的其他约束设备,并向所请求设备发送响应。这保护了约束设备免受危险条件的影响,提高了设备的安全性,以及具有场景3中提到的优点。通过PS从其他约束设备访问业务的约束设备如图21所示,而图22显示了呼叫流程。
在一实施方式中,图23和图24示出了在本发明中解释的作为示例性实施例的所有四种场景。
在一实施方式中,如图10所示,公开了一种用于向网络中的至少一个业务提供至少一个准入控制策略和/或至少一个资源控制策略的方法,所述网络具有:至少一个约束设备,其提供向至少一个资源发现设备注册的业务;至少一个客户端设备,其访问在所述资源发现设备上注册的所述业务;以及至少一个调试设备,用于验证提供所述业务的所述约束设备。
在框1002中,业务发放服务器或装置在资源发现设备上进行域查找。
在框1004中,业务发放服务器或装置从所述调试设备获取包括至少一个预注册业务的至少一个业务信息以及关联设备标识(identification,简称ID)。
在框1006中,获得特定域和所述业务所分类至的特定业务组。
在框1008中,验证预先注册到所述资源发现设备的至少一个业务,以获得(1008)包括至少一个预注册业务的至少一个业务信息以及关联设备标识(identification,简称ID)。
在框1010中,从所述调试设备接收业务信息。
在框1012中,依照所接收到的业务信息创建至少一个业务标识(identification,简称ID)。
在框1014中,针对所述业务ID创建所述准入控制策略和/或所述资源控制策略。
在框1016中,从所述客户端设备接收至少一个访问所述业务的请求。
在框1018中,在所述发放设备中查找与所述业务相关联的业务ID。
在框1020中,基于所述准入控制策略和/或所述资源控制策略,准许/拒绝所述客户端设备访问所述业务。
图25示出了根据本发明一实施例的一种用于授权至少一个客户端设备访问至少一个资源提供的至少一个业务,并且基于服务水平协议通过为所述资源提供的所述业务提供条件准入和/或资源控制来管理所述资源的访问的方法。
在步骤2502中,获取与至少一个资源提供的至少一个预注册业务相关联的至少一个已验证业务信息。
在步骤2504中,创建保存所获得的已验证业务信息的至少一个业务注册表。
在步骤2506中,依照所述业务注册表创建至少一个业务标识(identification,简称ID)。
在步骤2508中,针对所述业务ID创建至少一个准入控制策略和/或至少一个资源控制策略。
在步骤2510中,在接收到来自至少一个客户端设备的至少一个访问所述业务的请求时,查找所述资源提供的所述业务。
在步骤2512中,基于所述客户端设备请求的所述业务的可用性来访问所述资源提供的所述业务,其中,基于所述准入控制策略和/或所述资源控制策略来准许访问所述业务。
在一实施方式中,该方法可以依据存储在至少一个数据库中的网络中的所有资源提供的所有业务的详情,从至少一个设备中接收与所述资源提供的预注册业务相关联的业务信息,并且经过所述设备验证后得到已验的业务信息,从而从所述数据库获取域信息和所述资源被分类的至少一个组信息。
在一实施方式中,该方法可以将所述已验证业务信息以Web业务的形式存储到至少一个数据库中。
在一实施方式中,可以将所述已验证业务信息以Web业务描述语言(web servicesdescription language,简称WSDL)的格式存储到至少一个数据库中。
在一实施方式中,在接收到访问业务的请求时,该方法可以查找存储在装置中的所有业务注册表,网络中的每个资源包括保存有已验证业务信息的一个业务注册表;并且基于所述业务的域或业务注册表,或与所述业务相关联的路径,或其任何组合,搜索客户端设备请求的业务的可用性。
在一实施方式中,由于本发明可以在无线传感器网络中实现,本发明还可以用于提供业务,例如:
1家庭自动化
2楼宇自动化
3工业自动化
4防卫应用
5采矿应用
6加工控制系统
在一实施方式中,本发明可以作为软件产品实现,该软件产品实现用于配置条件访问和资源控制策略的业务提供方法,其可以被部署为称为业务发放服务器的特殊服务器,或者可以与如资源目录等任何其他集中式服务器集成在一起。
在一实施方式中,本发明可以作为用于约束设备的业务提供以及调试程序的完整软件方案实现。
在一实施方式中,本发明可以作为用于在约束环境中提供业务提供的方法和系统实现。
在一实施方式中,本发明可以作为一种用于提供约束设备的准入和资源控制的动态配置策略以及调试程序的方法实现。
在一实施方式中,本发明可以作为用于为服务水平协议/协商启用动态资源控制的方法实现。
在一实施方式中,本发明可以作为基于客户端请求来支持条件资源访问的方法实现。
在一实施方式中,本发明可以作为将业务调试与业务提供相结合以提供完整的端到端授权的方法实现。
除了上面解释的内容之外,本发明还包括以下提到的优点:
更稳定,更安全:非计划中的用户可能会访问业务并对传感器设备造成损坏。基于安全密钥的客户端设备的认证不足以准许访问关键传感器网络应用中的资源。所提出的方案基于服务水平协议/协商提供不同客户端进行资源的条件业务访问,并从危险条件中提供更好的资源使用。此外,将业务调试与业务提供无缝集成在一起提供了更多的安全性。
QoS提高:取决于应用程序本身的性质,传感器网络应用程序具有各种业务质量要求。例如:某些传感器应用具有需要紧急传输的数据,例如医院无线传感器网络(hospitalwireless sensor networks,简称HWSN),因此,需要一种权衡网络使用和QoS的方法。这里提供的方案允许基于客户端和资源之间的服务水平协议的动态资源控制机制,从而提高传感器网络应用的QoS。
最大化设备寿命:由于传感器设备在处理能力,内存方面受到限制,因此有必要基于其阈值和有限的访问能力来提供(要被客户端访问的)这些设备。因此,这里提供的方案允许基于其阈值限制和有限的访问能力来控制传感器设备。这最终增加了传感器设备寿命。
提高网络吞吐量:在网络拥塞的情况下,控制资源访问的接入提高了网络带宽利用率。动态接入和资源控制策略基于网络条件提高了网络带宽利用率。
易维护:动态准入和资源控制使得用户更加舒适的在大规模部署的传感器设备中访问业务(这消除了维护资源变化中的不必要开销)。这易于监控和观察业务的连通性统计。
本领域普通技术人员能够认识到,结合本说明书所公开的实施例中所描述的示例,可通过电子硬件或计算机软件与电子硬件的组合来实施单元和算法步骤。功能是由硬件还是由软件执行依赖于技术方案的特定应用和设计约束条件。本领域技术人员可使用不同方法实现每个特定应用的所描述功能,但是不应认为该实现超出本发明的范围。
本领域技术人员可清楚地理解,出于方便和简单描述的目的,对于前述系统、装置和单元的详细工作过程,可参考前述方法实施例中的对应过程,本文中不再描述详情。
在本应用中提供若干实施例中,应理解,所公开的系统、装置和方法可通过其它方式实现。例如,所描述的装置实施例仅仅是示例性的。例如,单元划分仅仅是逻辑功能划分且在实际实现中可以是其它划分。例如,可将多个单元或部件合并或集成到另一系统中,或可忽略或不执行部分特征。另外,可通过一些接口实现所显示或论述的互相耦合或直接耦合或通信连接。装置或单元之间的直接耦合或通信连接可通过电子、机械或其它形式实现。
当这些功能以软件功能单元的形式实现以及作为单独产品销售或使用时它们可存储在计算机可读存储介质中。基于这种理解本发明的技术方案基本上或构成现有技术的部分或技术方案的部分可通过软件产品的形式实现。计算机软件产品存储在存储介质中并包括若干指令,用于指示计算机设备(其可为个人计算机、服务器或网络设备)执行本发明实施例中所描述的方法的所有或部分步骤。上述存储介质包括:可以存储程序代码的任何媒体,例如USB盘、可移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁盘或光学光盘。
尽管已经以结构特征和/或方法特定的语言描述了在约束环境中用于资源管理的业务提供方法、系统和装置的实施方式,但是应当理解,所附权利要求不必限于所描述的具体特征或方法。相反,具体特征和方法作为在约束环境中用于资源管理的业务提供方法、系统和装置的实施方式的示例公开。
Claims (31)
1.一种业务提供的装置,其特征在于,包括:
处理器;
存储器,耦合到所述处理器,所述处理器用于执行所述存储器中存在的多个模块,所述多个模块包括:
获取模块,用于获取与至少一个资源提供的至少一个预注册业务相关联的至少一个已验证业务信息;
查找模块,用于在接收到来自至少一个客户端设备的至少一个访问所述预注册业务的请求时,查找所述资源提供的预注册业务;
创建模块,用于:
创建保存所获得的已验证业务信息的至少一个业务注册表;
依照所创建的业务注册表创建至少一个业务标识(identification,简称ID);
为所创建的业务ID创建至少一个准入控制策略和/或至少一个资源控制策略,所述资源控制策略是基于为所述客户端设备设置的优先级并且依赖于所述客户端设备使用的至少一个应用的条件业务访问和/或业务质量协议/参数;
访问模块,用于基于所述客户端设备请求的预注册业务的可用性并基于所述准入控制策略和/或所述资源控制策略准许访问所述资源提供的预注册业务;
所述已验证业务信息是从至少一个设备接收到的,所述至少一个设备用于依照存储在至少一个数据库中的网络中的所有资源提供的所有业务的详情来验证与所述资源提供的所述预注册业务相关联的业务信息,从而从所述数据库获取域信息和所述资源被分类的至少一个组信息。
2.根据权利要求1所述的装置,其特征在于,授权至少一个客户端设备访问至少一个资源提供的至少一个业务,并且基于服务水平协议通过为所述资源提供的业务提供条件准入和/或资源控制来动态进行所述资源的访问管理。
3.根据权利要求1所述的装置,其特征在于,所述已验证业务信息以Web业务的形式存储在至少一个数据库中。
4.根据权利要求1所述的装置,其特征在于,所述已验证业务信息以Web业务描述语言(web services description language,简称WSDL)的格式的Web业务的形式存储在至少一个数据库中。
5.根据权利要求1所述的装置,其特征在于,所述准入控制策略是针对资源的读取(read,简称R)、写入(write,简称W)、读取/写入(read/write,简称R/W)、删除(delete,简称D)和同时连接数中的至少一个或其任意组合。
6.根据权利要求1所述的装置,其特征在于,所述条件访问是选自如下的定义所述资源控制策略的至少一个条件语句:
如果客户端属于G1,则允许其具有权限{R,R/W,U}、优先级{P1}、QoS {Q1}和操作{打开,读取};或者,如果客户端属于G2,则允许其具有权限{R,W,R/W}、优先级{P3}、QoS {Q2}和操作{打开,读取};或者,如果客户端属于G3,则允许其具有权限{D}、优先级{P2}、QoS{Q3}和操作{关闭};或者
具有优先级{P1}、QoS {Q1}、操作{打开,关闭,读取}的客户端只允许具有G1中的权限{R}、G2中的权限{R,R/W,D}和G3中的权限{D};或者
具有优先级{P1}、QoS {Q1}的客户端允许具有G1中的权限{R}、操作{读取},允许具有G2中的权限{R,R/W,D}、操作{打开,关闭,读取},并且允许具有G3中的权限{D}、操作{关闭};或其任意组合;
其中,不同组的优先级为{组1(G1),组2(G2),组3(G3)} => {优先级1(P1),优先级3(P3),优先级2(P2)}。
7.根据权利要求1所述的装置,其特征在于,所述业务质量协议/参数是与所述网络相关联的可用性、可靠性、可服务性、数据准确性、聚合延迟、覆盖、容错性、网络寿命中的至少一个或其任意组合。
8.根据权利要求1所述的装置,其特征在于,所述业务质量(quality of service,简称QoS)协议/参数按照至少一个组、至少一个优先级、至少一个类别和至少一个权限进行分类。
9.根据权利要求1所述的装置,其特征在于,所述业务注册表包括资源标识、所述资源被分类的组、域详请、资源类型和资源IP中的至少一个或其任意组合。
10.根据权利要求1所述的装置,其特征在于,在接收到访问所述业务的请求时,所述查找模块用于:
查找存储在所述装置中的所有业务注册表,所述网络中的每个资源包括一个保存已验证业务信息的业务注册表;
基于所述业务的域或所述业务注册表,或与所述业务相关联的路径,或其任意组合来搜索所述客户端设备请求的业务的可用性。
11.一种业务提供的方法,其特征在于,用于授权至少一个客户端设备访问至少一个资源提供的至少一个业务,并且基于服务水平协议通过为所述资源提供的业务提供条件准入和/或资源控制来管理所述资源的访问,所述方法包括:
获取与至少一个资源提供的至少一个预注册业务相关联的至少一个已验证业务信息;
创建保存所获得的已验证业务信息的至少一个业务注册表;
依照所述业务注册表创建至少一个业务标识(identification,简称ID);
针对所述业务ID创建至少一个准入控制策略和/或至少一个资源控制策略,所述资源控制策略是基于为所述客户端设备设置的优先级并且依赖于所述客户端设备使用的至少一个应用的条件业务访问和/或业务质量协议/参数;
在接收到来自至少一个客户端设备的至少一个访问所述预注册业务的请求时,查找所述资源提供的预注册业务;
基于所述客户端设备请求的预注册业务的可用性并基于所述准入控制策略和/或所述资源控制策略准许访问所述资源提供的预注册业务。
12.根据权利要求11所述的方法,其特征在于,包括:
在至少一个设备依照存储在至少一个数据库中的网络中的所有资源提供的所有业务的详情来验证与所述资源提供的所述预注册业务相关联的所述业务信息之后,从所述设备中接收所述已验证业务信息;
从所述数据库获取域信息和所述资源被分类的至少一个组信息。
13.根据权利要求11所述的方法,其特征在于,包括:将所述已验证业务信息以Web业务的形式存储到至少一个数据库中。
14.根据权利要求11所述的方法,其特征在于,包括:将所述已验证业务信息以Web业务描述语言(web services description language,简称WSDL)的格式存储到至少一个数据库中。
15.根据权利要求11所述的方法,其特征在于,所述准入控制策略是针对资源的读取(read,简称R)、写入(write,简称W)、读取/写入(read/write,简称R/W)、删除(delete,简称D)和同时连接数中的至少一个或其任意组合。
16.根据权利要求11所述的方法,其特征在于,所述条件访问是选自如下的定义所述资源控制策略的至少一个条件语句:
如果客户端属于G1,则允许其具有权限{R,R/W,U}、优先级{P1}、QoS {Q1}和操作{打开,读取};或者,如果客户端属于G2,则允许其具有权限{R,W,R/W}、优先级{P3}、QoS {Q2}和操作{打开,读取};或者,如果客户端属于G3,则允许其具有权限{D}、优先级{P2}、QoS{Q3}和操作{关闭};或者
具有优先级{P1}、QoS {Q1}、操作{打开,关闭,读取}的客户端只允许具有G1中的权限{R}、G2中的权限{R,R/W,D}和G3中的权限{D};或者
具有优先级{P1}、QoS {Q1}的客户端允许具有G1中的权限{R}、操作{读取},允许具有G2中的权限{R,R/W,D}、操作{打开,关闭,读取},并且允许具有G3中的权限{D}、操作{关闭};或其任意组合;
其中,不同组的优先级为{组1(G1),组2(G2),组3(G3)} => {优先级1(P1),优先级3(P3),优先级2(P2)}。
17.根据权利要求12所述的方法,其特征在于,所述业务质量协议/参数是与所述网络相关联的可用性、可靠性、可服务性、数据准确性、聚合延迟、覆盖、容错性、网络寿命中的至少一个或其任意组合。
18.根据权利要求11所述的方法,其特征在于,所述业务质量(quality of service,简称QoS)协议/参数按照至少一个组、至少一个优先级、至少一个类别和至少一个权限进行分类。
19.根据权利要求11所述的方法,其特征在于,所述业务注册表包括资源标识、所述资源被分类的组、域详请、资源类型和资源IP中的至少一个或其任意组合。
20.根据权利要求12所述的方法,其特征在于,在接收到访问所述预注册业务的请求时,所述方法包括:
查找所述至少一个业务注册表,所述网络中的每个资源包括一个保存已验证业务信息的业务注册表;
基于所述业务的域或所述业务注册表,或与所述业务相关联的路径,或其任何组合来搜索所述客户端设备请求的业务的可用性。
21.一种用于向网络中的至少一个业务提供至少一个准入控制策略和/或至少一个资源控制策略的方法,其特征在于,所述网络具有:至少一个约束设备,其提供向至少一个资源发现设备注册的业务;至少一个客户端设备,其访问在所述资源发现设备上注册的所述业务;以及至少一个调试设备,用于验证提供所述业务的所述约束设备,所述方法包括:
所述网络中的发放设备从所述调试设备获得(1008/1010)包括至少一个预注册业务的至少一个业务信息以及关联设备标识(identification,简称ID);
所述发放设备依照所接收到的业务信息创建(1012)至少一个业务标识(identification,简称ID);
所述发放设备针对所述业务ID创建(1014)所述准入控制策略和/或所述资源控制策略,所述资源控制策略是基于为所述客户端设备设置的优先级并且依赖于所述客户端设备使用的至少一个应用的条件业务访问和/或业务质量协议/参数;
在接收到(1016)来自所述客户端设备的至少一个访问所述预注册业务的请求时,所述发放设备在所述发放设备中查找(1018)与所述预注册业务相关联的业务ID,从而所述发放设备基于所述准入控制策略和/或所述资源控制策略准许或拒绝(1020)所述客户端设备访问所述预注册业务。
22.根据权利要求21所述的方法,其特征在于,还包括:所述发放设备向所述调试设备传输所述业务标识(identification,简称ID),从而依据所述业务ID对已注册业务进行至少一个操作,优选地,删除操作。
23.根据权利要求21所述的方法,其特征在于,所述准入控制策略是针对资源的读取(read,简称R)、写入(write,简称W)、读取/写入(read/write,简称R/W)、删除(delete,简称D)和同时连接数中的至少一个或其任意组合。
24.根据权利要求21所述的方法,其特征在于,所述业务质量协议/参数是与所述网络相关联的可用性、可靠性、可服务性、数据准确性、聚合延迟、覆盖、容错性、网络寿命中的至少一个或其任意组合。
25.根据权利要求24所述的方法,其特征在于,所述业务质量(quality of service,简称QoS)协议/参数按照至少一个组、至少一个优先级、至少一个类别和至少一个权限进行分类。
26.根据权利要求21所述的方法,其特征在于,所述业务信息包括设备标识,所述设备被分类的组,域详情,设备类型,设备IP中的至少一个或其任意组合。
27.一种用于向网络中的至少一个业务提供至少一个准入控制策略和/或至少一个资源控制策略的装置(800),其特征在于,所述网络具有:至少一个约束设备,其提供向至少一个资源发现设备注册的业务;至少一个客户端设备,其访问在所述资源发现设备上注册的所述业务;以及至少一个调试设备,用于验证提供所述业务的所述约束设备,所述装置包括:
获取模块(808),用于从所述调试设备获取包括至少一个预注册业务的至少一个业务信息以及关联设备标识(identification,简称ID);
创建模块(810),用于:
依照所接收到的业务信息创建至少一个业务标识(identification,简称ID);
针对所述业务ID创建所述准入控制策略和/或所述资源控制策略,所述资源控制策略是基于为所述客户端设备设置的优先级并且依赖于所述客户端设备使用的至少一个应用的条件业务访问和/或业务质量协议/参数;
查找模块(812),用于在接收到来自所述客户端设备的至少一个访问所述预注册业务的请求时,在发放设备中查找与所述预注册业务相关联的业务ID;
访问模块(814),用于基于所述准入控制策略和/或所述资源控制策略准许或拒绝所述客户端设备访问所述预注册业务。
28.根据权利要求27所述的装置,其特征在于,所述准入控制策略是针对资源的读取(read,简称R)、写入(write,简称W)、读取/写入(read/write,简称R/W)、删除(delete,简称D)和同时连接数中的至少一个或其任意组合。
29.根据权利要求27所述的装置,其特征在于,所述业务质量协议/参数是与所述网络相关联的可用性、可靠性、可服务性、数据准确性、聚合延迟、覆盖、容错性、网络寿命中的至少一个或其任意组合。
30.一种用于向网络中的至少一个业务提供至少一个准入控制策略和/或至少一个资源控制策略的系统,其特征在于,所述网络具有:至少一个约束设备(502),其提供向至少一个资源发现设备(504)注册的业务;以及访问所述业务的至少一个客户端设备(506),所述系统包括:
至少一个调试设备(508),用于:
在所述资源发现设备中进行域查找;
获取特定域和所述业务所分类至的特定业务组;
验证预先注册到所述资源发现设备的至少一个业务,以获得包括至少一个预注册业务的至少一个业务信息以及关联设备标识(identification,简称ID);
至少一个发放设备(510),用于:
从所述调试设备接收所述业务信息;
依照所接收到的业务信息创建至少一个业务标识(identification,简称ID);
向所述调试设备传输所述业务标识(identification,简称ID);
其中:
所述调试设备(508 )用于:在接收到所述业务ID时,针对所述业务ID创建所述准入控制策略和/或所述资源控制策略;
在接收到来自所述客户端设备的至少一个访问所述业务的请求时,在所述发放设备(510 )中查找与所述业务相关联的业务ID;从而
基于所述准入控制策略和/或所述资源控制策略准许/拒绝所述客户端设备(506)访问所述业务。
31.根据权利要求30所述的系统,其特征在于,在接收到来自所述客户端设备的访问所述业务的请求时,所述客户端设备用于:
查找所述网络中的所有约束设备托管的所有业务信息;
搜索特定业务的域、与所述特定业务相关联的业务信息、以及与所述特定业务相关联的路径。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
IN5632/CHE/2015 | 2015-10-19 | ||
IN5632CH2015 | 2015-10-19 | ||
PCT/CN2016/101498 WO2017067385A1 (en) | 2015-10-19 | 2016-10-08 | Methods, systems, and apparatuses of service provisioning for resource management in a constrained environment |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107637043A CN107637043A (zh) | 2018-01-26 |
CN107637043B true CN107637043B (zh) | 2020-08-07 |
Family
ID=58556728
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201680032034.6A Active CN107637043B (zh) | 2015-10-19 | 2016-10-08 | 用于约束环境中资源管理的业务提供方法、系统和装置 |
Country Status (4)
Country | Link |
---|---|
US (1) | US20180115552A1 (zh) |
EP (1) | EP3295652B1 (zh) |
CN (1) | CN107637043B (zh) |
WO (1) | WO2017067385A1 (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10657472B2 (en) * | 2015-08-06 | 2020-05-19 | International Business Machines Corporation | IT services integrated work management |
US10389847B1 (en) * | 2015-12-23 | 2019-08-20 | Mitel Networks, Inc. | Provisioning resources in a communications system |
CN109391980B (zh) * | 2017-08-08 | 2021-07-23 | 北京亿阳信通科技有限公司 | 一种基于NB-IoT网络下行流量控制的方法及系统 |
CN107782670B (zh) * | 2017-09-27 | 2019-05-28 | 中国科学院长春光学精密机械与物理研究所 | 一种比色皿测试固定装置 |
US10848390B2 (en) * | 2018-04-16 | 2020-11-24 | Cisco Technology, Inc. | Prioritized rule set identification and on-demand constrained deployment in constrained network devices |
CN110968744B (zh) | 2018-09-30 | 2023-09-05 | 中国移动通信有限公司研究院 | 一种资源查询方法及装置、设备、存储介质 |
US11757891B1 (en) * | 2019-10-29 | 2023-09-12 | Meta Platforms, Inc. | Using a host application to authorize a user of a client device to perform an action within a guest application |
CN112600936B (zh) * | 2020-12-29 | 2023-01-31 | 山东省计算中心(国家超级计算济南中心) | 一种云计算系统服务的量化和评估方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101409710A (zh) * | 2007-09-27 | 2009-04-15 | 株式会社日立制作所 | 访问许可系统、访问控制服务器、和业务流程执行系统 |
CN104169930A (zh) * | 2012-07-02 | 2014-11-26 | 华为技术有限公司 | 资源访问方法及装置 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2005109822A1 (en) * | 2004-05-11 | 2005-11-17 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for providing access to an identity service |
US7681242B2 (en) * | 2004-08-26 | 2010-03-16 | Novell, Inc. | Allocation of network resources |
US7774826B1 (en) * | 2005-03-18 | 2010-08-10 | Novell, Inc. | System and method for determining effective policy profiles in a client-server architecture |
US20090089866A1 (en) * | 2007-09-27 | 2009-04-02 | Akifumi Yato | Access authorization system, access control server, and business process execution system |
US8706856B2 (en) * | 2010-11-10 | 2014-04-22 | Microsoft Corporation | Service directory |
-
2016
- 2016-10-08 EP EP16856818.6A patent/EP3295652B1/en active Active
- 2016-10-08 CN CN201680032034.6A patent/CN107637043B/zh active Active
- 2016-10-08 WO PCT/CN2016/101498 patent/WO2017067385A1/en active Application Filing
-
2017
- 2017-12-12 US US15/838,695 patent/US20180115552A1/en not_active Abandoned
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101409710A (zh) * | 2007-09-27 | 2009-04-15 | 株式会社日立制作所 | 访问许可系统、访问控制服务器、和业务流程执行系统 |
CN104169930A (zh) * | 2012-07-02 | 2014-11-26 | 华为技术有限公司 | 资源访问方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
EP3295652B1 (en) | 2020-02-05 |
EP3295652A1 (en) | 2018-03-21 |
US20180115552A1 (en) | 2018-04-26 |
EP3295652A4 (en) | 2018-05-23 |
CN107637043A (zh) | 2018-01-26 |
WO2017067385A1 (en) | 2017-04-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107637043B (zh) | 用于约束环境中资源管理的业务提供方法、系统和装置 | |
US9912704B2 (en) | System, apparatus and method for access control list processing in a constrained environment | |
US20160366183A1 (en) | System, Apparatus And Method For Access Control List Processing In A Constrained Environment | |
US10139789B2 (en) | System and method for access decision evaluation for building automation and control systems | |
CN113765715A (zh) | 用于iot装置的分散式数据存储和处理 | |
CN112956219A (zh) | 利用地理围栏认证的基于子网的设备分配 | |
KR20140009577A (ko) | 피어 투 피어 오버레이 네트워크들에서의 데이터 액세스 제어를 위한 방법 및 디바이스들 | |
JP7194736B2 (ja) | IoT/M2Mサービス層のデータまたはサービスに対するコンテキストアウェア認証 | |
JP6424820B2 (ja) | 機器管理システム、機器管理方法及びプログラム | |
Godha et al. | Home automation: Access control for IoT devices | |
KR101837289B1 (ko) | IoT 환경에서의 신뢰도 분석 방법 및 시스템 | |
Liu et al. | DACAS: integration of attribute-based access control for northbound interface security in SDN | |
US20160337456A1 (en) | Probabilistic federated agent discovery for pervasive device management system | |
Hao et al. | Dbac: Directory-based access control for geographically distributed iot systems | |
Gomba et al. | Architecture and security considerations for Internet of Things | |
KR102556976B1 (ko) | 토큰 기반 계층적 접속 제어 장치 및 방법 | |
KR20220121045A (ko) | 에지 컴퓨팅 시스템 그리고 이의 네트워크 접근 제어 방법 | |
WO2019067817A1 (en) | ENHANCED RESOURCE SHARING USING A RESERVATION | |
Shimahara et al. | Access Control Management System for Edge Computing Environment Using Tag‐Based Matching and Cache Injection | |
Gomba et al. | Overview Access and Control Considerations for Internet of Things | |
Han et al. | An SDN-based wireless authentication and access control security solution | |
Sukiasyan et al. | Towards a Secure Data Exchange in IIoT | |
CN116941221A (zh) | 创建基于网络的同意合约 | |
KR20150073784A (ko) | 사물간 웹 네트워크를 통한 자원 접근 제어 방법 | |
KR20220042099A (ko) | 원격지에서의 업무수행을 위해 보안기능을 개선한 라우터 및 라우팅 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |