JP2016507823A - 無線通信システムにおいて接近制御のための方法及び装置 - Google Patents
無線通信システムにおいて接近制御のための方法及び装置 Download PDFInfo
- Publication number
- JP2016507823A JP2016507823A JP2015551628A JP2015551628A JP2016507823A JP 2016507823 A JP2016507823 A JP 2016507823A JP 2015551628 A JP2015551628 A JP 2015551628A JP 2015551628 A JP2015551628 A JP 2015551628A JP 2016507823 A JP2016507823 A JP 2016507823A
- Authority
- JP
- Japan
- Prior art keywords
- server
- specific
- object instance
- client
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 59
- 238000004891 communication Methods 0.000 title claims abstract description 21
- 238000012545 processing Methods 0.000 claims abstract description 13
- 230000008859 change Effects 0.000 claims description 28
- 238000012217 deletion Methods 0.000 claims description 15
- 230000037430 deletion Effects 0.000 claims description 15
- 230000008569 process Effects 0.000 claims description 7
- 238000003672 processing method Methods 0.000 claims description 3
- 238000007726 management method Methods 0.000 description 45
- 230000009471 action Effects 0.000 description 34
- 230000006870 function Effects 0.000 description 21
- 230000004044 response Effects 0.000 description 12
- 101000927330 Pithecopus azureus Dermaseptin-H6 Proteins 0.000 description 9
- 230000015654 memory Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 101000968091 Pithecopus azureus Dermaseptin-H2 Proteins 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000000737 periodic effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000013499 data model Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000001151 other effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/082—Access security using revocation of authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/50—Service provisioning or reconfiguring
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Description
以下、本発明に係る好適な実施の形態を、添付の図面を参照して詳しく説明する。添付の図面と共に以下に開示される詳細な説明は、本発明の例示的な実施の形態を説明するためのもので、本発明を実施し得る唯一の実施の形態を示すためのものではない。以下の詳細な説明は、本発明の完全な理解を提供するために具体的な細部事項を含む。しかし、当業者にとってはこのような具体的な細部事項無しにも本発明を実施することができる。
装置管理(DM:Device Management)は、様々な管理当局(Management Authorities)の観点から、装置構成、及び装置の他の管理されたオブジェクトを管理することをいう。装置管理は、装置において連続する情報の順次的アップデート、装置から管理情報の検索、及び装置によって生成されたイベントとアラームの処理を含むが、装置における初期構成情報を設定することに限定されない。
管理ツリーは、管理サーバーがDMクライアントと相互作用するためのインターフェースであり、例えば、管理ツリーに値を記憶したり、管理ツリーから値を検索することによって、そして管理ツリーの属性を操作することによって相互作用することができる。例えば、管理ツリーの一属性としてACL(access control list)がある。本明細書では、管理ツリーは、装置管理ツリー又はDMツリーと同じ意味で使うことができる。
管理オブジェクトは、互いにいくつかの方式で関連しているノードの集合(単独のノードも可能)になると予想される管理ツリーのサブツリーである。例えば、./DevInfoノードとその子ノードが管理オブジェクトを形成することができる。簡単な管理オブジェクトは、1つの単一(single)ノードで構成されてもよい。
DMサーバー(DM Server)は、DMサーバーに特定のOMA装置管理イネーブラ静的適合性要件に従う装置管理インフラストラクチャーにおける概念的なソフトウェアコンポーネントであってよい。このDMサーバーは、DMクライアント−サーバープロトコル及びDMサーバー−サーバーインターフェースのエンド−ポイントとして働くことができる。
DMクライアント(DM Client)は、該DMクライアントに特定のOMA装置管理イネーブラ静的適合性要件に従う装置具現(implementation)における概念的ソフトウェアコンポーネントであってよい。このDMクライアントは、DMクライアント−サーバープロトコルのエンド−ポイントとして働くことができる。
ACLは、管理ツリー内の特定ノードに対するDMサーバー識別子、及びそれぞれのDMサーバー識別子と関連付けたアクセス権限(access right)のリストを意味する。
ノードは、管理ツリーにおける単一エレメントである。管理ツリーにおいてノードは2種類、すなわち、インテリアーノードとリーフノードがある。ノードのフォーマット属性は、ノードがリーフノードかインテリアーノードであるかに関する情報を提供する。
インテリアーノードは、子ノードを有することができるが、ノードに割り当てられた値すなわち、ノード値(node value)を有することはできない。インテリアーノードのフォーマット属性は”node”である。
リーフノードは、子ノードを有することはできないが、ノード値を有することができる。リーフノードのフォーマット属性は”node”ではない。
永久ノードは、DDF属性スコープがパーマネント(Permanent)に設定されたノードである。ノードは、永久ノード以外は動的ノードに該当する。永久ノードは、サーバーによって動的に生成したり、削除したりすることができない。
動的ノードは、DDF属性スコープ(Scope)がダイナミック(Dynamic)に設定されているか、又は、DDF属性スコープが特定されていないノードである。
サーバー識別子は、DMサーバーに対するOMA DM内部名称を表す。DMサーバーは、OMA DMアカウントを通じて装置に存在するサーバー識別子と関連付けられる。
DM(device management)プロトコルで管理される全ての端末は、ルートノード(root node)から始まる一つのDMツリー(tree)を有し、DMプロトコルはDMツリーの各ノードを操作することによって端末に管理命令を実行する。例えば、端末にダウンロードされたソフトウェアを設置するためには、該ソフトウェアとマッチしているインストール(install)というノードを実行(Exec)し、これで、当該ソフトウェアを設置することができる。それぞれのノードは、数字のような単純な情報を表すこともでき、絵データやログデータのように複雑なデータを表すこともできる。また、ノードは、実行、ダウンロードなどのような一つの命令を表すこともできる。
当該ノードにGetとReplace権限を有していると、当該ノードのACL値をそれぞれゲットし取替えできる権限がある。また、Replace権限は、全子ノードのACL値を取り替えることができる権限を意味する。
当該ノードの親ノードにReplace権限を有していると、そのノードのACL値を取り替えることができる権限がある。当該ノードのACLをゲットするためには、親ノードにGet権限を有していなければならない。同様に、当該ノードにReplace権限を有していると、該ノードの値を取り替えることができる権限を有することを意味し、ACLを取り替えるためには親ノードにReplace権限を有していなければならない。
DDFは、特定デバイスタイプに対する管理シンタックスとセマンティックスを記述する方法に関する説明である。DDFは、端末のMO、管理機能及びDMツリー構造に関する情報を提供する。
DM 1.3ではACLに基づいて認証を行う。DM認証は、それぞれのDM命令に対して個別に行われる。仮にDMサーバーが複数のDM命令を送信すると、DMクライアントは、個別命令を行う前に認証を行い、その結果として許可されたDM命令のみを行う。
DMツリーは、DMクライアントによって露出されたMOインスタンスの集合を意味する。DMツリーは、クライアントと相互作用する管理サーバーによるインターフェースとして働き、例えば、管理サーバーは、DMツリーから特定値を記憶し、検索(retrieve)し、当該DMツリーの属性を操作することができる。
本発明の具体的な実施例を説明するに前に、まず、特定動作命令がサーバーとクライアント(端末)間に伝達されるインターフェースについて説明する。
M2Mデバイスのパーシング(parsing)プロセスオーバーヘッドを減らし、空間オーバーヘッド(space overhead)を減らすために、M2M環境に適したサーバー識別子(Identifier;ID)、ACL(又は、アクセス権限)、AT(又は、支援可能な動作命令)にモデリングする。
ACLに含まれなければならない情報としては、いかなるサーバーがいかなる動作命令(operation)を命令できるかを含まなければならない。サーバーIDは、一般にURIで表現されるため、環境によってはURIがだいぶ長くなることもある。オブジェクトインスタンス別にACLが表現されなければならず、オブジェクトインスタンスごとに長いサーバーIDが重なって用いられるため、サーバーIDによってオブジェクトインスタンス数に依存して相当な空間オーバーヘッドを招きうる。そこで、短くて固定された長さ(例えば、2バイト)の短いサーバーIDをACLで使用することを提案する。M2Mクライアントは、短いサーバーIDとサーバーID間のマッピング関係を記憶しており、サーバーIDから受信される動作命令に対して短いサーバーIDを探し、これを用いてACLを通じて認証を行うことができる。
ACLは、各オブジェクトインスタンスに割り当てられ、それぞれのM2Mサーバーに対するアクセス権限を指定するACLエントリー(entry)のリストで構成される。ACLエントリーは、短いサーバーIDと当該サーバーのアクセス権限で表現することができる。短いサーバーIDとアクセス権限値はいずれも固定された短い長さに設定し、認証手順時の空間オーバーヘッド及び処理効率性を高める。アクセス権限ではM2Mの各動作命令に対して一つのビット値を割り当て、特定動作命令に対する認証手順を行う際、一つのビットのみを読むだけで済むようにすることで処理効率性を高めた。ACLで明示されているサーバー以外のサーバーに対するデフォルト(default)ACLエントリーを設定することができ、ACLに明示されていない全てのサーバーに対する動作命令を受信すると、M2Mクライアントは、特定の短いサーバーID(例えば、0x0000)を探し、該当のアクセス権限を用いて該当の動作命令を認証することができる。
ATは、リソースがいなかる動作命令を支援するかを指定することができる。ACLエントリーのアクセス権限と同様の形態とし、一つのビットごとに一つの動作命令をマップした。
− 登録(Register)
登録は、M2Mクライアントが「登録」動作命令をM2Mサーバーに送信する場合に行われる。M2M装置がオン(turned on)になり、ブートストラップ手順が完了すると、M2Mクライアントは、自身が有しているサーバーオブジェクトインスタンスに該当するM2Mサーバーのそれぞれ(すなわち、該M2Mクライアントが登録された各サーバー)に「登録」動作命令を行わなければならない。下記の表に、「登録」動作命令のために用いられるパラメータを説明する。
周期的に、又はM2Mクライアント内特定イベントに基づいて、又はM2Mサーバーによって開始されて、M2MクライアントはM2Mサーバーに「アップデート」動作命令を送信することによって、M2Mサーバーと自身の登録情報をアップデートすることができる。「アップデート」動作命令は、M2Mサーバーに送信された最後の登録パラメータと比較して変更された、下記の表に列挙されたパラメータのみを含むことができる。
M2MクライアントがM2Mサーバーにそれ以上利用可能でないと判断すると(例えば、M2M装置工場リセット(factory reset))、M2Mクライアントは、M2Mサーバーに「登録−解除」動作命令を送信しなければならない。この動作命令を受信すると、M2Mサーバーは、該M2Mサーバーから上記M2Mクライアントに関する登録情報を除去しなければならない。
「読み取り」動作命令は、個別リソース、アレイ(array)のリソースインスタンス、オブジェクトインスタンス又はオブジェクトの全てのオブジェクトインスタンスの値にアクセス(読み取り)するために用いられ、次のようなパラメータを有する。
「探索」動作命令は、個別リソース、オブジェクトインスタンス、オブジェクトに設定された属性(attribute、parameter)を探索するために用いられる。探索動作命令はまた、特定オブジェクト内でいかなるリソースが具現(implement)されたかを探索するために用いられる。リターンされる値は、リソースの属性を含む各リソースに対するアプリケーション/リンク−フォーマットCoREリンク(RFC6690のapplication/link−format CoRE形式に従うリンク)のリストである。この探索動作命令は、次のようなパラメータを有する。
「書き込み」動作命令は、リソース、アレイ(array)のリソースインスタンス、又はオブジェクトインスタンスに、複数のリソースの値を変更(書き込み)するために用いられる。書き込み動作命令は、一つの命令によって同一のオブジェクトインスタンス内で複数のリソースが変更されることを許容する。すなわち、書き込み動作命令は、(個別リソースだけでなく)一つのオブジェクトインスタンスにもアクセス可能である。書き込み動作命令は、次のようなパラメータを有する。
「書き込み属性」動作命令は、リソース又はオブジェクトインスタンス、オブジェクトの属性を変更(書き込み)するために用いられる。書き込み属性動作命令は、次のようなパラメータを有する。
「実行」動作命令は、ある動作を開始するためにM2Mサーバーで使用し、個別リソースに対してのみ行うことができる。M2Mクライアントは、「実行」動作命令がオブジェクトインスタンス又はリソースインスタンスに対して受信された場合、エラーをリターンする。実行動作命令は次のようなパラメータを有する。
「生成」動作命令は、M2Mクライアント内にオブジェクトインスタンスを生成するためにM2Mサーバーで用いる。「生成」動作命令は、オブジェクト又はまだインスタンス化(又は、実体化(instantiate))されていないオブジェクトインスタンスの一つをターゲット(target)としなければならない。
「削除」動作命令は、M2Mクライアント内オブジェクトインスタンスを削除するためにM2Mサーバーのために用いられる。M2MサーバーによってM2Mクライアントから削除されたオブジェクトインスタンスは、デバイス登録インターフェースの「登録」及び「更新」動作命令を用いてM2Mサーバーに、M2Mクライアントによって通知されたオブジェクトインスタンスでなければならない。削除動作命令は、次のようなパラメータを有する。
− 観察(Observe)
M2Mサーバーは、M2Mクライアント内特定リソース、オブジェクトインスタンス内のリソース、又はオブジェクトの全オブジェクトインスタンスの変更に対する観察要求を開始することができる。「観察」動作命令のための関連パラメータは、「書き込み属性」動作命令で設定される。観察動作命令は、次のパラメータを有する。
「通知」動作命令は、M2MクライアントからM2Mサーバーに、オブジェクトインスタンス又はリソースに対する有効な観察の間に送信される。この動作命令は、上記オブジェクトインスタンス又はリソースの新しい値を含む。上記「通知」動作命令は、「観察」動作命令のための「書き込み属性(Write Attribute)」動作命令によって設定される全ての条件(すなわち、Minimum Period、Maximum Period、Greater Than、Less Than、Step)を満たすと送信される。上記通知動作命令は、次のパラメータを含む。
「取消観察」動作命令は、M2MサーバーからM2Mクライアントにオブジェクトインスタンス又はリソースに対する観察関係を終了するために送信される。取消観察動作命令は、次のパラメータを有する。
以下、M2Mで用いられるアクセス制御方法を説明する。
M2Mクライアントが一つのM2Mサーバーオブジェクトインスタンスを有すると、M2Mクライアントは、上記一つのM2Mサーバーに対するアクセス制御を行わず、すなわち、アクセス制御オブジェクトインスタンスを確認せず、上記M2Mサーバーは当該リソースに対する全ての権限を有する。
アクセス制御オブジェクトは、M2Mサーバーが動作命令を行うためのアクセス権限を有しているか否かをチェックするために用いられる。それぞれのアクセス制御オブジェクトインスタンスは、特定オブジェクトインスタンスに対するACL(Access Control List)を含む。
M2Mサーバーから伝達された動作命令に対して認証手順を通過するためには、次の2つを満たさなければならない。第一に、M2Mサーバーが該当のリソース(例えば、オブジェクトインスタンス、リソース)に対して上記伝達された動作命令を行う権限(すなわち、アクセス権限)があるか、第二に、該当のリソースが上記伝達された動作命令を支援するか、を満たさなければならない。このように、本発明の一実施例によるアクセス権限認証手順は、2ステップ、すなわち、階層的な構造で行われる。
仮にM2Mサーバーが個別リソースにアクセスすると、すなわち、M2Mサーバーが個別リソースに対する動作命令をM2Mクライアントに送信すると、該M2Mクライアントは、上述したアクセス権限を取得する方法によって上記個別リソースの属するオブジェクトインスタンスに対するM2Mサーバーのアクセス権限を取得し、このアクセス権限が上記動作命令を行うように承認されているか否かをチェックすることができる。
仮にM2Mサーバーがオブジェクトインスタンスにアクセスすると、すなわち、上記M2Mサーバーがオブジェクトインスタンスに対する動作命令をM2Mクライアントに送信すると、上記M2Mクライアントは、上述したアクセス権限取得方法によってオブジェクトインスタンスに対するM2Mサーバーのアクセス権限を取得し、上記アクセス権限が上記動作命令を行うように承認されているか否かチェックすることができる。
オブジェクトに対する動作命令も、動作命令の種類によって定義される。
アクセス権限所有者は、特定リソースのACLを変更し得るエンティティである。このアクセス権限所有者は、特定アクセス権限を有していてもよく(例えば、delegation access right)、特定フィールドに別に記憶(例えば、Access Control Owner field、self−permission field)されて、該当のACLを管理することができる。表17に示したように、アクセス権限所有者は一つであってもよく、複数個であってもよい。
M2Mクライアントは、M2M機器をブートストラップしようとするとき、次のブートストラップシーケンス(段階)に従わなければならない。
M2MサーバーアカウントがM2Mクライアント内に設定されていないか(存在していないか)、M2Mサーバーとの「登録」動作命令を行うことに失敗する場合がある。このような場合、M2Mクライアントは、M2Mブートストラップサーバーからブートストラップ情報を取り込む(retrieve)ために、クライアント−開始ブートストラップモードを用いることができる。クライアント−開始ブートストラップモードは、M2Mブートストラップサーバーを示す(参照する)M2M保安サーバーオブジェクトインスタンスがM2Mクライアントに設定されている(存在する)ことを要求することができる。
サーバー−開始ブートストラップは、M2MクライアントがM2Mブートストラップサーバーにブートストラップ要求を送信することなく、M2MブートストラップサーバーがM2Mクライアントにブートストラップ情報を設定することができる。上記M2Mクライアントが上記M2Mブートストラップサーバーに「ブートストラップ要求」動作命令を開始しないことから、上記M2Mブートストラップサーバーは、上記M2Mクライアントが上記M2Mブートストラップサーバーによって設定される前に、M2M装置又はM2Mクライアントがブートストラップする準備ができているか否かを知る必要がある。上記M2Mブートストラップサーバーがこのような知識を取得するためのメカニズムは、本発明では取り扱われない。一例として、M2M装置がネットワークプロバイダのネットワークに接続する場合、ネットワークプロバイダのネットワークがM2Mブートストラップサーバーに、M2M装置のブートストラップ準備ができているか否かを知らせるシナリオが可能である。
ブートストラップ情報は、M2Mブートストラップサーバーを介して伝達される情報であり、M2MクライアントがM2Mサーバー又はM2Mブートストラップサーバーと接続/通信する上で必要な情報を意味する。ブートストラップ情報は、ブートストラップインターフェースを介して伝達することができ、ブートストラップシーケンス以前に用いたり、ブートストラップシーケンスの結果として取得することができる。
M2MクライアントとM2Mサーバーとが通信をするには、M2Mサーバーと通信するための基本的な情報と付加的な情報(ブートストラップを用いて伝達される情報)がM2Mブートストラップサーバーを介して提供されなければならない。このような情報の例には、サーバーID、サーバーアドレス(例えば、IP、URI)、保安資格(security credential)、ネットワークベアラー情報(network bearer information)、好まれるネットワークベアラー情報(preferred network bearer information)、M2Mサーバーが生成可能なリソース(例えば、管理オブジェクト、オブジェクト)などがある。特定M2Mサーバー(関連)ブートストラップ情報は、上記サーバー情報を意味することができる。
M2MサーバーがM2Mクライアントの特定リソースにアクセスするには、当該リソースへのアクセス権限を有しなければならない。ブートストラップを用いてこのようなアクセス制御に関連した情報(すなわち、ACL(Access Control List)又はACLを含むリソース)も変更可能である。当該情報はブートストラップを通じて提供されても提供されなくてもよい。
M2Mサーバーアカウントが削除される場合、該当のM2MクライアントのACLから当該M2Mサーバーのアクセス権限も削除されなければならない。このとき、当該M2Mサーバーが特定リソース(例えば、オブジェクト)の唯一のアクセス権限所有者である場合、前述したようにいくつかの問題点がある。このため、上記M2MクライアントのACLに、削除されるM2Mサーバーだけでなく、他のM2Mサーバーに対するアクセス権限が存在する場合、次のようなプロシージャが可能である。
M2Mサーバーアカウントが削除されるとき、当該削除要求がされないように防ぐことができる。そのために、上記削除要求を受信したM2Mクライアントは、当該削除要求をしたM2Mサーバーが唯一のアクセス権限所有者であるというメッセージと併せてエラー応答を送ることができる。この場合、削除を要求したM2Mサーバー(すなわち、ブートストラップM2Mサーバー)は、アクセス権限所有者を他のM2Mサーバーに変更したり又は当該アクセス権限(ACL)を削除した後に再び上記M2Mサーバーのアカウント削除を要求し、上記M2Mクライアントは当該M2Mサーバーアカウントを削除することができる。
M2Mサーバーアカウントが削除される際、M2Mクライアントは独自でアクセス権限所有者を変更することができる。変更する方法は、
B−1)一般に、ACLにおいて最高のアクセス権限を有するM2Mサーバーを新しいアクセス権限所有者として設定する。「最高」のアクセス権限とは、各種のアクセス権限のうち、当該リソース又はこれと関連した他のリソースに影響を及ぼす範囲が最も広いアクセス権限を意味し、例えば、「読み取り」に対するアクセス権限よりは「書き込み」に対するアクセス権限が、高いアクセス権限である。
アクセス権限所有者であるM2Mサーバーのアカウントが削除される際、上記M2Mサーバーがアクセス権限所有者として指定されているリソース(例えば、特定アクセス制御オブジェクトインスタンス)を削除することができる。すなわち、リソースの主人の役割をするM2Mサーバーが削除されることから、当該リソースも削除をする。このとき、上記リソースと関連した特定リソースと該特定リソースのアクセス権限値も削除する。
削除されるM2Mサーバーが、自身がアクセス権限所有者であるリソースに対して権限委任を頼む命令を送信することができる。すなわち、サーバーアカウント削除のための動作命令が入る前に、特定M2Mサーバー(当該アクセス権限を委任してもらうM2Mサーバー)が設定されており、削除されたM2Mサーバーがアクセス権限所有者であったリソースのアクセス権限所有者として、上記特定M2Mサーバーを追加する。
特定M2Mサーバーのアカウントが削除される際、上記特定M2MサーバーをACLから削除するが、特定リソース(例えば、オブジェクト)に対して上記削除されるM2Mサーバーがアクセス権限所有者であり、ACLに存在する唯一のサーバーである場合には、ACLを含んでいるアクセス制御オブジェクトインスタンスだけでなく、当該アクセス制御オブジェクトインスタンスと関連付けられた特定オブジェクトインスタンスも削除することができる。
M2Mサーバーは、M2Mクライアントから特定リソース又はリソースグループ(例えば、オブジェクトインスタンス)の変化について報告を受けることを希望してもよい。このような報告のために、前述した「観察」機能を用いて該当のリソース又はリソースグループの変化を確認することができる。しかし、「観察」機能を登録するにあって何ら制約がなく、当該リソースに対して読み取った(「読み取り」動作命令による)場合と同一の効果を出すことがあり、このため、上記「読み取り」動作命令に対するアクセス権限のないM2Mサーバーが、当該リソースの値を読むことができる。
図6は、本発明の一実施例に係る観察登録を示すフローチャートである。
図7は、本発明の一実施例に係る観察報告を示すフローチャートである。
このオプションの制限は、M2Mサーバーがそれ以上関心のない「通知」動作を受信するということであり、M2Mサーバーはそれ以上関心のない「通知」動作を受信すると、この「通知」動作に応答して「観察取消」を送信することができる。
このオプションは制限がない。M2MサーバーがM2Mクライアント内の特定URIに、取消パラメータを含んでいる「書き込み属性」動作命令を送信すると、上記M2Mクライアントは、特定のURIのための観察を独自で取消すことができる。
M2Mサーバーは接続モードを設定することができる。このような設定は、デバイスのスリープ(Sleep)を長くさせてバッテリーの電力消耗を減らすためのものであり、設定によってより安定した通信を維持する目的で用いることができる。
M2Mサーバーは、設定によってM2Mクライアントの状態をオンラインに維持することができる。この状態では、M2Mサーバーが必要時にはいつでも命令(管理又は動作命令)をM2Mクライアントに送信することができる。
M2Mサーバーは、設定によって、イベントを用いてM2Mクライアントをオンライン状態にすることができる。この場合、イベント発生時にM2Mクライアントは、自身がオンラインであることを知らせるメッセージを送信し、M2Mサーバーの命令(管理又は動作命令)を特定時間待ったり、又は命令を待つ間にM2Mサーバーから特定命令を持続して送信する場合、最後の命令を基点に特定時間を待つことができる。
M2Mサーバーは、設定によって、M2Mクライアントを周期的にオンライン状態に維持させることができる。M2Mサーバーによって又はあらかじめ設定された周期が設定されており、該当の周期になると、M2MクライアントはM2Mサーバーに、自身がオンライン状態であることを知らせるメッセージを送信し、M2Mサーバーの命令(管理又は動作命令)を特定時間待ったり、又は命令を待つ間に上記M2Mサーバーから特定命令を持続して送信する場合は、最後の命令を基点に特定時間を待つことができる。当該周期は、M2Mクライアントに発生するイベントとは別個として発生し、当該周期になると、オフライン時に蓄えておいた報告情報をM2Mサーバーに送信することができる。
イベント基盤オンライン又は周期的オンラインの場合、M2MサーバーはM2Mクライアントとの安定した通信がし難い。持続した通信が必要な場合(例えば、ファームウェアアップデートなど)、M2Mサーバーは、当該M2Mクライアントが臨時的にオンライン状態の時に、オンラインモードへの変更命令を送信し、持続した通信が終了すると、再びモード変更によって、既存のモードに変更又は他のモードに変更させることができる。又は、常時オンラインモードが持続するようにしてもよい。
イベントにはレベルが存在してもよいが、レベルは、スリープモード(又は、接続解除状態)からオンラインモードに変更する必要かあるか否かによって、2つに分類することができる。
Claims (14)
- 無線通信システムでサーバーのアカウント削除による、前記サーバーと関連した特定オブジェクトインスタンスの処理方法において、前記方法は、端末によって行われ、
第1サーバーから特定サーバーのアカウントを削除するための動作命令を受信するステップと、
前記特定オブジェクトインスタンスが、前記特定サーバーのみがアクセス可能なオブジェクトインスタンスであれば、前記特定オブジェクトインスタンス及びそれと関連したアクセス制御オブジェクトインスタンスを削除するステップと、
前記特定オブジェクトインスタンスが、前記特定サーバーを含めた複数のサーバーがアクセス可能なオブジェクトインスタンスであれば、前記特定オブジェクトインスタンスと関連したアクセス制御オブジェクトインスタンスにおいて前記特定サーバーのアクセス権限情報を削除するステップと、
前記特定サーバーが前記アクセス制御オブジェクトインスタンスの唯一のアクセス制御所有者であれば、前記特定サーバー以外の前記複数のサーバーのそれぞれが有するアクセス権限に与えられた値の和が最も大きいサーバーを前記アクセス制御所有者に変更するステップと、
を有する、特定オブジェクトインスタンスの処理方法。 - 前記変更するステップは、
前記値の和が最も大きいサーバーが2つ以上であれば、前記2つ以上のサーバーから一つを選択し、前記選択されたサーバーを前記アクセス制御所有者に変更するステップを有する、請求項1に記載の特定オブジェクトインスタンスの処理方法。 - 前記特定サーバーのアカウントを削除するための動作命令は、ブートストラップインターフェースを介して受信される、請求項1に記載の特定オブジェクトインスタンスの処理方法。
- 前記第1サーバーは、ブートストラップサーバーである、請求項1に記載の特定オブジェクトインスタンスの処理方法。
- 第2サーバーによる前記アクセス制御オブジェクトインスタンスのアクセス制御所有者に対して観察動作が設定されていると、前記アクセス制御所有者の変更時に、前記第2サーバーに前記変更に対する通知を送信するステップをさらに有する、請求項1に記載の特定オブジェクトインスタンスの処理方法。
- 前記特定サーバーが送信した観察動作命令によって記憶した観察動作命令関連設定情報を削除するステップをさらに有する、請求項1に記載の特定オブジェクトインスタンスの処理方法。
- 前記特定サーバーのアカウントは、前記特定サーバーの短いサーバーID及び前記特定サーバーとの通信のための保安キーを含む、請求項1に記載の特定オブジェクトインスタンスの処理方法。
- 無線通信システムでサーバーのアカウント削除による、前記サーバーと関連した特定オブジェクトインスタンスを処理するように構成された端末であって、
無線周波数(radio frequency:RF)ユニットと、
前記RFユニットを制御するように構成されたプロセッサと、
を備え、
前記プロセッサは、第1サーバーから特定サーバーのアカウントを削除するための動作命令を受信し、
前記特定オブジェクトインスタンスが、前記特定サーバーのみがアクセス可能なオブジェクトインスタンスであれば、前記特定オブジェクトインスタンス及びそれと関連したアクセス制御オブジェクトインスタンスを削除し、
前記特定オブジェクトインスタンスが、前記特定サーバーを含めた複数のサーバーがアクセス可能なオブジェクトインスタンスであれば、前記特定オブジェクトインスタンスと関連したアクセス制御オブジェクトインスタンスにおいて前記特定サーバーのアクセス権限情報を削除し、
前記特定サーバーが前記アクセス制御オブジェクトインスタンスの唯一のアクセス制御所有者であれば、前記特定サーバー以外の前記複数のサーバーのそれぞれが有するアクセス権限に与えられた値の和が最も大きいサーバーを前記アクセス制御所有者に変更するように構成された、端末。 - 前記プロセッサは、
前記値の和が最も大きいサーバーが2つ以上であれば、前記2つ以上のサーバーから一つを選択し、前記選択されたサーバーを前記アクセス制御所有者に変更するように構成された、請求項8に記載の端末。 - 前記特定サーバーのアカウントを削除するための動作命令は、ブートストラップインターフェースを介して受信される、請求項8に記載の端末。
- 前記第1サーバーは、ブートストラップサーバーである、請求項8に記載の端末。
- 第2サーバーによる前記アクセス制御オブジェクトインスタンスのアクセス制御所有者に対して観察動作が設定されていると、前記プロセッサは、前記アクセス制御所有者の変更時に、前記第2サーバーに前記変更に対する通知を送信するように構成された、請求項8に記載の端末。
- 前記プロセッサは、前記特定サーバーが送信した観察動作命令によって記憶した観察動作命令関連設定情報を削除するように構成された、請求項8に記載の端末。
- 前記特定サーバーのアカウントは、前記特定サーバーの短いサーバーID及び前記特定サーバーとの通信のための保安キーを含む、請求項8に記載の端末。
Applications Claiming Priority (11)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201361753932P | 2013-01-18 | 2013-01-18 | |
US61/753,932 | 2013-01-18 | ||
US201361786625P | 2013-03-15 | 2013-03-15 | |
US61/786,625 | 2013-03-15 | ||
US201361818918P | 2013-05-03 | 2013-05-03 | |
US61/818,918 | 2013-05-03 | ||
US201361823411P | 2013-05-15 | 2013-05-15 | |
US61/823,411 | 2013-05-15 | ||
US201361827730P | 2013-05-27 | 2013-05-27 | |
US61/827,730 | 2013-05-27 | ||
PCT/KR2014/000425 WO2014112781A1 (ko) | 2013-01-18 | 2014-01-15 | 무선 통신 시스템에서 접근 제어를 위한 방법 및 장치 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016507823A true JP2016507823A (ja) | 2016-03-10 |
JP6055111B2 JP6055111B2 (ja) | 2016-12-27 |
Family
ID=51209827
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015551628A Active JP6055111B2 (ja) | 2013-01-18 | 2014-01-15 | 無線通信システムにおいて接近制御のための方法及び装置 |
Country Status (6)
Country | Link |
---|---|
US (1) | US9900727B2 (ja) |
EP (1) | EP2950497B1 (ja) |
JP (1) | JP6055111B2 (ja) |
KR (1) | KR102145741B1 (ja) |
CN (1) | CN104937895B (ja) |
WO (1) | WO2014112781A1 (ja) |
Families Citing this family (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20150031225A (ko) * | 2012-06-22 | 2015-03-23 | 엘지전자 주식회사 | 무선 통신 시스템에서 서버를 활성화 또는 비활성화하기 위한 방법 및 장치 |
KR101999039B1 (ko) | 2013-05-06 | 2019-07-10 | 콘비다 와이어리스, 엘엘씨 | 디바이스 트리거링 |
US9792323B2 (en) * | 2013-07-02 | 2017-10-17 | Convida Wireless, Llc | Mechanisms for semantics publishing and discovery |
GB2518257A (en) * | 2013-09-13 | 2015-03-18 | Vodafone Ip Licensing Ltd | Methods and systems for operating a secure mobile device |
WO2015110494A1 (en) * | 2014-01-23 | 2015-07-30 | Koninklijke Kpn N.V. | Crash recovery for smart objects |
US10652936B2 (en) * | 2014-03-21 | 2020-05-12 | Nokia Technologies Oy | Short identifiers for device-to-device (D2D) broadcast communications |
US10349248B2 (en) * | 2014-06-02 | 2019-07-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Merging proxy |
US10085211B2 (en) * | 2014-09-02 | 2018-09-25 | Apple Inc. | Communication of processor state information |
GB2529838B (en) * | 2014-09-03 | 2021-06-30 | Advanced Risc Mach Ltd | Bootstrap Mechanism For Endpoint Devices |
KR20210131436A (ko) | 2014-11-14 | 2021-11-02 | 콘비다 와이어리스, 엘엘씨 | 허가 기반 리소스 및 서비스 발견 |
GB2540989B (en) | 2015-08-03 | 2018-05-30 | Advanced Risc Mach Ltd | Server initiated remote device registration |
GB2540987B (en) | 2015-08-03 | 2020-05-13 | Advanced Risc Mach Ltd | Bootstrapping without transferring private key |
CN110392012B (zh) * | 2018-04-17 | 2021-09-14 | 华为技术有限公司 | 轻量级机器到机器系统中重新引导的方法和装置 |
JP6724950B2 (ja) * | 2018-07-24 | 2020-07-15 | 横河電機株式会社 | 装置、方法、プログラムおよび記録媒体 |
JP6724951B2 (ja) * | 2018-07-24 | 2020-07-15 | 横河電機株式会社 | 装置、方法、プログラムおよび記録媒体 |
GB2579571B (en) | 2018-12-03 | 2021-05-12 | Advanced Risc Mach Ltd | Device bootstrapping |
GB2580973B (en) * | 2019-02-01 | 2021-12-22 | Advanced Risc Mach Ltd | Message exchange between client and server |
GB2582735B (en) | 2019-02-01 | 2022-11-30 | Arm Ip Ltd | Template-based registration |
US11475134B2 (en) | 2019-04-10 | 2022-10-18 | Arm Limited | Bootstrapping a device |
KR20210141188A (ko) * | 2020-05-15 | 2021-11-23 | 삼성에스디에스 주식회사 | 분산형 키 관리 시스템 및 방법 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006270353A (ja) * | 2005-03-23 | 2006-10-05 | Konica Minolta Business Technologies Inc | 画像処理装置、データ管理方法、およびコンピュータプログラム |
JP2007193826A (ja) * | 2007-02-19 | 2007-08-02 | Ricoh Co Ltd | データ管理装置、データ管理処理方法およびその方法をコンピュータに実行させるプログラムを記録したコンピュータ読み取り可能な記録媒体 |
JP2012505484A (ja) * | 2008-10-14 | 2012-03-01 | 華為技術有限公司 | 権限管理に基づく端末装置管理のための方法および装置 |
JP2013500683A (ja) * | 2009-07-29 | 2013-01-07 | インテル・コーポレーション | モバイル仮想ネットワークオペレータを起動するための仮想ネットワークサービスプロバイダ |
Family Cites Families (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7082553B1 (en) * | 1997-08-25 | 2006-07-25 | At&T Corp. | Method and system for providing reliability and availability in a distributed component object model (DCOM) object oriented system |
US6823338B1 (en) * | 1998-11-19 | 2004-11-23 | International Business Machines Corporation | Method, mechanism and computer program product for processing sparse hierarchical ACL data in a relational database |
CN1553380A (zh) * | 2003-05-27 | 2004-12-08 | 鸿富锦精密工业(深圳)有限公司 | 数据库使用权限控制系统及方法 |
US8245280B2 (en) * | 2005-02-11 | 2012-08-14 | Samsung Electronics Co., Ltd. | System and method for user access control to content in a network |
CN101080077B (zh) * | 2006-05-23 | 2011-07-13 | 华为技术有限公司 | 设备管理树的维护方法及终端设备 |
US20080046433A1 (en) * | 2006-08-16 | 2008-02-21 | Microsoft Corporation | Role template objects for network account lifecycle management |
JP4131871B2 (ja) | 2007-02-23 | 2008-08-13 | 富士通株式会社 | 論理回路遅延最適化システム、論理回路遅延最適化方法、及びプログラム |
CN101282330B (zh) | 2007-04-04 | 2013-08-28 | 华为技术有限公司 | 网络存储访问权限管理方法及装置、网络存储访问控制方法 |
CN101505550B (zh) * | 2008-02-04 | 2012-08-22 | 华为技术有限公司 | 设备管理的方法和终端、装置、系统 |
CN101316273B (zh) | 2008-05-12 | 2012-08-22 | 华中科技大学 | 一种分布式安全存储系统 |
CN102100095B (zh) * | 2008-07-14 | 2014-11-05 | 诺基亚通信公司 | 用于订户数据库的方法和设备 |
US8578153B2 (en) * | 2008-10-28 | 2013-11-05 | Telefonaktiebolaget L M Ericsson (Publ) | Method and arrangement for provisioning and managing a device |
US9590961B2 (en) * | 2009-07-14 | 2017-03-07 | Alcatel Lucent | Automated security provisioning protocol for wide area network communication devices in open device environment |
US8924544B2 (en) * | 2010-12-07 | 2014-12-30 | Samsung Electronics Co., Ltd. | Techniques for sessionless reporting by device management client |
US20140012939A1 (en) | 2011-03-17 | 2014-01-09 | Lg Electronics Inc. | Method for providing resources by a terminal, and method for acquiring resources by a server |
US8516607B2 (en) | 2011-05-23 | 2013-08-20 | Qualcomm Incorporated | Facilitating data access control in peer-to-peer overlay networks |
EP3761683A1 (en) * | 2012-01-13 | 2021-01-06 | IOT Holdings, Inc. | Method and apparatus for supporting machine-to-machine communications |
KR20150031225A (ko) * | 2012-06-22 | 2015-03-23 | 엘지전자 주식회사 | 무선 통신 시스템에서 서버를 활성화 또는 비활성화하기 위한 방법 및 장치 |
US9571502B2 (en) * | 2012-09-14 | 2017-02-14 | International Business Machines Corporation | Priority resolution for access control list policies in a networking device |
EP3185469B1 (en) * | 2012-10-30 | 2018-10-17 | LG Electronics Inc. | Method and apparatus for authenticating access authority for specific resource in wireless communication system |
US9769801B2 (en) * | 2012-11-05 | 2017-09-19 | Lg Electronics Inc. | Method and apparatus for updating information regarding specific resource in wireless communication system |
EP2930879B1 (en) * | 2012-12-05 | 2021-02-24 | LG Electronics Inc. | Method and apparatus for authenticating access authorization in wireless communication system |
-
2014
- 2014-01-15 KR KR1020157015601A patent/KR102145741B1/ko active IP Right Grant
- 2014-01-15 EP EP14740172.3A patent/EP2950497B1/en active Active
- 2014-01-15 JP JP2015551628A patent/JP6055111B2/ja active Active
- 2014-01-15 US US14/760,105 patent/US9900727B2/en active Active
- 2014-01-15 WO PCT/KR2014/000425 patent/WO2014112781A1/ko active Application Filing
- 2014-01-15 CN CN201480005392.9A patent/CN104937895B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006270353A (ja) * | 2005-03-23 | 2006-10-05 | Konica Minolta Business Technologies Inc | 画像処理装置、データ管理方法、およびコンピュータプログラム |
JP2007193826A (ja) * | 2007-02-19 | 2007-08-02 | Ricoh Co Ltd | データ管理装置、データ管理処理方法およびその方法をコンピュータに実行させるプログラムを記録したコンピュータ読み取り可能な記録媒体 |
JP2012505484A (ja) * | 2008-10-14 | 2012-03-01 | 華為技術有限公司 | 権限管理に基づく端末装置管理のための方法および装置 |
JP2013500683A (ja) * | 2009-07-29 | 2013-01-07 | インテル・コーポレーション | モバイル仮想ネットワークオペレータを起動するための仮想ネットワークサービスプロバイダ |
Non-Patent Citations (1)
Title |
---|
JPN6016026726; 福田 輝光、他: 'ビッグデータ時代の新世代M2M' 日経コミュニケーション 第584号, 20120901, p.79-81, 日経BP社 * |
Also Published As
Publication number | Publication date |
---|---|
EP2950497A1 (en) | 2015-12-02 |
US20150358824A1 (en) | 2015-12-10 |
WO2014112781A1 (ko) | 2014-07-24 |
KR20150107720A (ko) | 2015-09-23 |
EP2950497B1 (en) | 2018-03-07 |
EP2950497A4 (en) | 2016-10-12 |
KR102145741B1 (ko) | 2020-08-19 |
CN104937895B (zh) | 2018-04-24 |
US9900727B2 (en) | 2018-02-20 |
JP6055111B2 (ja) | 2016-12-27 |
CN104937895A (zh) | 2015-09-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6055111B2 (ja) | 無線通信システムにおいて接近制御のための方法及び装置 | |
JP5981662B2 (ja) | 無線通信システムにおいて接近権限認証のための方法及び装置 | |
KR102245367B1 (ko) | 무선 통신 시스템에서 특정 리소스에 대한 접근 권한을 인증하기 위한 방법 및 장치 | |
US20230319534A1 (en) | Cross-resource subscription for m2m service layer | |
US9769801B2 (en) | Method and apparatus for updating information regarding specific resource in wireless communication system | |
US10142805B2 (en) | Method for managing child resource of group member in wireless communication system and device for same | |
KR102500594B1 (ko) | 통신 네트워크에서의 서비스 계층 메시지 템플릿들 | |
US9438603B2 (en) | Method for managing access right of terminal to resource by server in wireless communication system, and device for same | |
US20230421663A1 (en) | Efficient resource representation exchange between service layers | |
CN118140497A (zh) | 订阅权限信息处理方法、装置、计算机设备及存储介质 | |
JP2015031989A (ja) | ソフトウェアモジュール実行機器およびソフトウェアモジュール実行プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160616 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160712 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20161012 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20161101 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20161201 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6055111 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |