WO2012113329A1

WO2012113329A1 - 一种设备管理方法及装置

Info

Publication number: WO2012113329A1
Application number: PCT/CN2012/071438
Authority: WO
Inventors: 刘海涛
Original assignee: 华为终端有限公司
Priority date: 2011-02-24
Filing date: 2012-02-22
Publication date: 2012-08-30
Also published as: EP2654242B1; EP2654242A4; CN102651860B; EP2654242A1; US20130346610A1; CN102651860A

Description

一种设备管理方法及装置本申请要求于 2011年 2月 24日提交中国专利局、申请号为 201110045418.α 发明名称为"一种设备管理方法及装置"的中国专利申请的优先权其全部内容通过引用结合在本申请中。

技术领域

本发明涉及移动通信技术领域，具体来说是关于一种设备管理方法及装置。背景技术

设备管理（ DM, Device Management )系统用于第三方管理和设置终端设备中的环境和配置信息，解决这些设备在使用过程中遇到的问题例如通过无线网络（OTA, over the air )方式进行软件和固件的安装、升级等操作，并提供更加人性化和个性化的服务，提高用户体验。第三方可以是运营商，业务提供商或者合作方的信息管理部门。

终端设备上的设备客户端（ DM Client )用于解译和执行 DM服务器（ DM Server )下发的管理命令。终端设备上存储的设备管理数据模型可以被认为是一个 DM服务器对终端设备进行管理的接口， DM服务器通过 DM协议与终端设备中的 DM客户端进行通信来实现对终端设备的管理。设备管理数据模型中包括管理对象（MO, Management Object ), 管理对象由节点组成， DM服务器通过对管理对象或者节点的操作达到管理终端设备的目的，操作命令有 Add (添加）、 Get (获取）、 Replace (替换）、 Exec (执行）、 Copy (复制）、 Delete (删除）等。

目前开放移动联盟 ( OMA , Open Mobile Alliance ) -DM协议中， DM Client 对于 DM server的访问控制权限使用访问控制列表 ( ACL, Access Control List ) 机制来保障， ACL访问控制权限授权给 DM server的 ID标识，而不是 DM server 的 URI, IP地址或者证书。如果 DM Client能够直接访问 DM Server, 那么 DM Client在 DM会话中会接收到 DM Server的标识， DM Client会把标识与欲访问的节点 ACL属性值进行比对，从而控制 DM Server的访问控制权限。对于不能直接访问 DM Server的 DM Client, 通常是配置在防火墙后面，或者是设备本身不支持 OMA DM协议 , 这些 DM Client都位于网关 ( Gateway )之后。

对于代理模式 Gateway下终端设备的管理，由 Gateway代替 DM Server管理 DM Client, 在 Gateway发送给 DM Client的管理消息或管理会话中仅包括 Gateway的 ID标识，终端设备上的 DM Client根据 Gateway的 ID标识不能判断是否应该发起会话，从而拒绝 DM Server的访问，无法完成终端设备的管理工作。

发明内容

为克服现有技术中存在的问题，本发明提供一种设备管理方法及装置，以解决在 Gateway存在情况下，设备管理服务器管理设备管理客户端时访问权限控制的问题。

本发明实施例提供一种设备管理方法，所述方法包括：接收设备管理服务器发送的第一设备管理消息；根据接收到的第一设备管理消息生成第二设备管理消息，所述第二设备管理消息包括所述设备管理服务器的标识信息；将所述第二设备管理消息发送至终端设备。

本发明实施例还提供一种设备管理方法，所述方法包括：接收设备管理服务器发送的添加管理对象或节点的消息；根据所述添加管理对象或节点的消息在终端设备上添加管理对象或节点同时在本地存储所述管理对象或节点。

本发明实施例还提供一种设备管理装置，所述装置包括：管理消息接收单元，用于接收设备管理服务器发送的第一设备管理消息；管理消息生成单元，用于根据接收到的第一设备管理消息生成第二设备管理消息，所述第二设备管理消息中包括所述设备管理服务器的标识信息；管理消息发送单元，用于将所述第二设备管理消息发送至终端设备。

本发明实施例还提供一种设备管理装置，所述装置包括：管理消息接收单元，用于接收设备管理服务器发送的第一设备管理消息；标识信息获取单元，用于获取第一设备管理消息中包含的所述设备管理服务器的标识信息和管理对象或节点的信息；控制权限获取单元，用于根据所述管理对象或节点的信息获取所述管理对象根节点或所述节点的访问控制权限；管理消息发送单元，用于在所述访问控制权限允许所述设备管理服务器的操作时，生成第二设备管理消息，将所述第二设备管理消息发送至终端设备。

本发明实施例还提供一种设备管理装置，所述装置包括：管理消息接收单元，用于接收设备管理服务器发送的添加管理对象或节点的消息；管理对象或节点建立单元，用于根据所述添加管理对象或节点的消息在终端设备上添加管理对象或节点；管理对象或节点存储单元，用于在本地存储所述管理对象或节点。

本发明提供的设备管理方法及装置，解决了在 Gateway存在情况下， DM Server管理 DM Client时 ACL权限控制的问题，使得在 Gateway存在情况下，可以正常的使用 DM的 ACL机制进行权限控制。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，并不构成对本发明的限定。在附图中：

图 1是本发明实施例提供的一种设备管理方法信令图；

图 2是本发明实施例提供的一种设备管理方法信令图；图 3是本发明实施例提供的一种设备管理方法信令图；

图 4是本发明实施例提供的一种设备管理方法信令图；

图 5是本发明实施例提供的一种设备管理方法信令图；

图 6是本发明实施例提供的一种设备管理方法信令图；

图 7是本发明实施例提供的一种设备管理方法信令图；

图 8是本发明实施例提供的一种设备管理方法信令图；

图 9是本发明实施例提供的一种设备管理装置框图；

图 10是本发明实施例提供的一种设备管理装置框图；

图 11是本发明实施例提供的一种设备管理装置框图；

图 12是本发明实施例提供的一种设备管理装置框图；

图 13是本发明实施例提供的一种设备管理装置框图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，下面结合实施方式和附图，对本发明做进一步详细说明。在此，本发明的示意性实施方式及其说明用于解释本发明，但并不作为对本发明的限定。

实施例一

图 1是本发明实施例提供的一种设备管理方法信令图，如图 1所示，本发明实施例提供的设备管理方法包括以下步骤：

S101 , 接收设备管理服务器发送的第一设备管理消息。

在本发明实施例中，终端设备 ( Device )既被 Gateway初始化（Bootstrap ) 过，也被 DM Sever Bootstra 过，也尤是说 Device上面既有 Gateway的 DMAcc (设备管理账户 )管理对象，也有 DM Server的管理对象。

在本发明实施例中， Gateway接收 DM Sever发送的设备管理消息，设备管理消息是通知或触发消息（Notification ) 、设备管理消息包 2 ( PK2 )或设备管理消息包 4 ( PK4 ) 。

S102, 根据接收到的第一设备管理消息生成第二设备管理消息，所述第二设备管理消息中包括所述设备管理服务器的标识信息。

在本发明实施例中，由于 Gateway从设备管理服务器接收和发送至终端设备的均为设备管理消息，为区分接收和发送的设备管理消息，现将接收到的设备管理消息称为第一设备管理消息，将发送的设备管理消息称为第二设备管理消息， Gateway根据接收到的第一设备管理消息生成第二设备管理消息，并在第二设备管理消息中给出 DM Server的 ID标识。

S103 , 将所述第二设备管理消息发送至终端设备。

在本发明实施例中， Gateway将生成的第二设备管理消息发送至 Device。 Device接收到第二设备管理消息后，进行 ACL比对：如果访问权限许可，则执行相应管理操作；如果访问权限不许可，则不执行管理操作，并返回失败代码和消息。

本发明实施例提供的设备管理方法通过 Device进行 ACL权限控制，其关键是 Gateway把 DM Server的 ID标识发送给 Device, 而不仅仅是发送 Gateway的 ID标识。

通过本发明实施例提供的设备管理方法，使得 Device虽然接收的是 Gateway 发送的设备管理消息，仍能够获知真正发送设备管理消息的 DM Server的 ID标识，从而正常的进行 ACL权限控制。

图 2是本发明实施例提供的一种设备管理方法信令图，如图 2所示，本发明实施例提供的设备管理方法包括以下步骤：

S201 , Gateway接收 DM Server发送的 Notification消息。在本发明实施例中， DM Server发起对 Device的管理，下发 Notification消息给 Gateway, Gateway接收 DM Server发送的 Notification消息，得知其预管理 Gateway下的 Device„

在本发明实施例中， Device既被 Gateway Bootstrap过，也被 DM Sever

Server的管理对象。

S202, Gateway生成针对 Device的 Notification消息，并在 Notification消息中给出 DM Server的 ID标识。

在本发明实施例中，在 Notification消息中给出 DM Server的 ID标识可以通过以下三种方式实现：

方式 A: 重新使用 Notification消息中的 transport和 ServerlD字段，其中 transport字段扩充定义： Proxy=l l , 用以指示为代理模式，而在 ServerlD中给出 DM Server的 ID信息。

方式 B: 扩充 Gateway发送的 Notification消息，给出 Proxy字段，指示是否为代理模式，同时重用 ServerlD字段。

方式 G 扩充 Gateway发送的 Notification消息，添加第二个 ServerlD字段，用以给出 DM Server的 ID。

对于方案 A和方案 B , 这时仅仅给出的为 DM Server的 ID标识，由于 Notification中 Digest字段需要根据该 DM server在 Device上相应 DMAcc管理对象中的鉴权密钥来生成，因此代理网关 Gateway收到 DM Server发送的 Notification消息后，在生成 Notification之前，必须先发起到 Device的管理会话，从 Device上获得该 DM Server的鉴权密钥信息，然后利用该鉴权密钥信息对 Notification包的 Trigger (触发信息）部分进行哈希计算，生成摘要数据。 S203 , Gateway将生成的 Notification消息发送至 Device。

在本发明实施例中， Gateway将生成的 Notification消息发送至 Device ,

Device收到 Gateway下发的 Notification消息，解析该消息，得到 DM Server的

ID标识 , 同时根据 Notification消息给出的 MO ID , 来获取相应 MO的 ACL属性值，接着进行 ACL权限控制，如果权限许可，则 Device发起管理会话，如果不许可，则拒绝发起管理会话。

通过本实施例，使得 Device虽然接收的是 Gateway发送的 Notification消息，仍能够获知真正发送 Notification消息的 DM Server的 ID标识，从而正常的进行 ACL权限控制。

图 3是本发明实施例提供的一种设备管理方法信令图，如图 3所示，本发明实施例提供的设备管理方法包括以下步骤：

S301 , Gateway接收 DM Server发送的 Pkg2或者 Pkg4的管理指令消息。在本发明实施例中， DM Server对 Gateway后的 Device进行管理， DM Server 针对 Device的管理指令会通过 Pkg2或者 Pkg4首先发送给 Gateway。

在本发明实施例中， Device既被 Gateway Bootstrap过，也被 DM Sever Bootstra 过，也就是说 Device上面既有 Gateway的 DMAcc管理对象，也有 DM Server的管理对象。

S302 Gateway生成针对 Device的 Pkg2或者 Pkg4管理指令消息并在 Pkg2 或者 Pkg4消息中给出 DM Server的 ID标识。

在本发明实施例中，在 Pkg2或者 Pkg4消息中给出 DM Server的 ID标识可以通过以下三种方案实现：

方案 A: 扩充一个字段，用以给出 DM Server的 ID标识，该标识符的定义可如下所示： SourceSer

用法：用来给出发起管理会话的 DM服务器的标识；

父元素： SyncHdr;

子元素： LocURI; 其它：该元素是可选的。

对于 DM Server标识为： LocURI>http：〃 www.syncml.org/mgmt-server, 代理网关 Gateway的标识为： GatewayUrl, 这时 Gateway发送的 Pkg2或者 Pkg4消息，对于源地址的指定如下所示：

<LocURI>GatewayUrl</LocURI>

</Source>

<LocURI>http： //www. syncml. org/mgmt- server</LocURI>

</SourceSer>

方案 B: 使用一个已有的标识字来给出 DM Server的 ID标识，标识字： SourceParent, 该字段在 DM中的使用可以重新定义如下：

SourceParent

用法：用来给出发起管理会话的 DM服务器的标识；

父元素： SyncHdr;

子元素： LocURI; 其它：该元素是可选的。对于 DM Server标识为： LocURI>http：〃 www.syncml.org/mgmt-server, 代理网关 Gateway的标识为： GatewayUrl, 这时 Gateway发送的 Pkg2或者 Pkg4, 对于源地址的指定如下所示：

<LocURI>GatewayUrl</LocURI>

</Source>

<LocURI>http://www.syncml.org/mgmt-server</LocURI>

</SourceParent>

方案 C 扩充 DM协议中使用的通知编码（ Alert Code ),用以给出 DM Server 的 ID, 该 Alert Code的定义如下：

对于 DM Server标识为： LocURI>http：〃 www.syncml.org/mgmt-server, 这时 Gateway发送的 Pkg2或者 Pkg4, 对于服务器地址的指定如下所示：

<Alert>

<Item>

<Data>http ://www. syncml. org/mgmt-server</Data>

</Item>

</Alert> S303 , Gateway将生成的 Pkg2或者 Pkg4发送至 Device。

在本发明实施例中， Gateway将生成的 Pkg2或者 Pkg4发送至 Device , Device收到 Gateway下发的 Pkg2或者 Pkg4, 解析该消息包，得到 DM Server 的 ID标识，同时根据消息包给出的操作节点标识，来获取相应节点的 ACL属性值，接着进行 ACL权限控制，如果权限许可，则 Device执行相应操作，否则拒绝执行操作。

通过本实施例，使得 Device虽然接收的是 Gateway发送的管理指令，仍能够获知对其真正进行管理的 DM Server的 ID标识，从而正常的进行 ACL权限控制。实施例二

图 4是本发明实施例提供的一种设备管理方法信令图，如图 4所示，本发明实施例提供的设备管理方法包括以下步骤：

5401 , 接收设备管理服务器发送的第一设备管理消息，获取第一设备管理消息中包含的设备管理服务器的标识信息和管理对象或节点的信息。

在本发明实施例中， Gateway接收 DM Sever发送的设备管理消息，设备管理消息是 Notification, PK2或 PK4。

在本发明实施例中， Gateway解析接收到的设备管理消息，获取设备管理消息中包含的设备管理服务器的标识信息和管理对象或节点的信息。当设备管理消息是 Notification消息时，管理对象的信息可以是 DM Server需要管理的 MOID；当设备管理消息是 PK2或 PK4时，管理对象的信息可以是具体管理对象中节点的标识。

5402 , 根据管理对象或节点的信息获取所述管理对象根节点或节点的访问控制权限。

在本发明实施例中， Gateway根据获取的管理对象和节点的信息获得管理对象根节点或者节点的 ACL Gateway可以根据获得的 MOID或者操作节点标识，发起到 Device 的管理会话，获得相应节点或者 MO根节点的 ACL, 也可以在本地查找相应节点或者 MO的 ACL。

S404, 如果所述访问控制权限允许所述设备管理服务器的操作，则生成第二设备管理消息，并将所述第二设备管理消息发送至终端设备。

在本发明实施例中，如果访问控制列表中允许所述设备管理服务器的操作，则 Gateway将生成的设备管理消息发送至终端设备。如果访问控制列表不允许所述设备管理服务器的操作，则 Gateway不发送设备管理消息至终端设备。

在本发明的另一实施例中，在步骤 S402和步骤 S404之间，还可以包括步骤 S403 , 根据所述设备管理服务器的标识信息和所述访问控制权限判断是否允许所述设备管理服务器的操作。

在本发明实施例中， Gateway根据获取的 ACL和设备管理服务器的标识信息判断发起会话的 Server是否满足访问许可条件。

本发明实施例提供的设备管理方法通过 Gateway进行 ACL权限控制，其关键是 Gateway得到 DM Server预管理的设备上相应 MO根节点或者节点的 ACL 属性值。

本实施例由 Gateway代替 Device进行 ACL权限控制管理，避免了对现有设备管理流程和命令的改变，并减少了 Device的处理资源消耗。

图 5是本发明实施例提供的一种设备管理方法信令图，如图 5所示，本发明实施例提供的设备管理方法包括以下步骤：

S501 , 接收设备管理服务器发送的设备管理消息。在本发明实施例中， Device既被 Gateway Bootstrap过，也被 DM Sever Bootstra 过，也就是说 Device上面既有 Gateway的 DMAcc管理对象，也有 DM Server的管理对象。

在本发明实施例中， DM Server发送 Notification消息或者正常管理会话 PK2、 ΡΚ4给 Gateway, 其中 Notification消息给出了 DM Server需要管理的 MOID, 比如给出 SCOMO管理对象的 MOID为： urn:oma:mo:oma-scomo: 1.0, Pk2或 Pk4中给出操作节点的标识，比如：

<LocURI>Jsettings/wap_settings/CNN</LocURI>, Gateway接收 DM Sever发送的设备管理消息。

S502, 解析接收到的设备管理消息，获取设备管理消息中包含的设备管理服务器的标识信息和需管理的管理对象或节点的信息。

在本发明实施例中， Gateway接收到 Notification消息或者正常管理会话 PK2、 ΡΚ4等消息后，对消息进行解析，获得需要管理的 MOID或者操作节点的标识以及设备管理服务器的标识信息。当设备管理消息是 Notification消息时，管理对象的信息可以是 DM Server需要管理的 MOID, 比如 SCOMO管理对象的 MOID为： urn:oma:mo:oma-scomo: 1.0; 当设备管理消息是 PK2或 PK4 时，管理对象的信息可以是操作节点的标识，比如：

<LocURI>Jsettings/wap— settings/CNN</LocURI>。

S503 , 根据获取的管理对象或节点的信息从终端设备获取所述管理对象或节点的访问控制权限。

在本发明实施例中， Gateway根据获得的 MOID或者操作节点标识，发起到 Device 的管理会话，获得相应节点或者 MO的 ACL, 可以分为：

对于操作节点 <LocURI>Jsettings/wap— settings/CNN</LocURI>, 如果该节点有对应的 ACL, 那么就会直接返回该节点的 ACL属性值，如果没有，那么需要返回其继承的 ACL属性值；

对于 MO, 可以返回该 MO的根节点的 ACL属性值，或者返回该 MO所有节点 ACL属性值的集合。

S504, 根据所述设备管理服务器的标识信息和所述访问控制权限判断是否允许所述设备管理服务器的操作。

在本发明实施例中， Gateway根据获取的 ACL和设备管理服务器的标识信息判断是否允许所述设备管理服务器的操作。

S505 , 如果允许所述设备管理服务器的操作，则将所述设备管理消息发送至终端设备。

在本发明实施例中，如果 Gateway获取的 ACL中允许设备管理服务器的操作，则 Gateway将设备管理消息发送至终端设备；如果 Gateway获取的 ACL中不允许设备管理服务器的操作，则 Gateway不将设备管理消息发送至终端设备。

图 6是本发明实施例提供的一种设备管理方法信令图，如图 6所示，本发明实施例提供的设备管理方法包括以下步骤：

S601 , 接收设备管理服务器发送的设备管理消息。

在本发明实施例中， Device仅被 Gateway Bootstra 过，而未被 DM Sever Bootstra 过，也就是说 Device上面只有 Gateway的 DMAcc管理对象，没有 DM Server的管理对象。

在本发明实施例中， DM Server发送 Notification消息或者正常管理会话 PK2、 ΡΚ4给 Gateway, 其中 Notification消息给出了 DM Server需要管理的 MOID, 比如给出 SCOMO管理对象的 MOID为： urn:oma:mo:oma-scomo:1.0, Pk2或 Pk4中给出操作节点的标识，比如：

S602, 解析接收到的设备管理消息，获取设备管理消息中包含的设备管理服务器的标识信息和需管理的管理对象或节点的信息。

<LocURI>Jsettings/wap— settings/CNN</LocURI>。

S603 , 根据获取的管理对象或节点的信息在本地查找所述管理对象或节点的访问控制权限。

在本发明实施例中， Gateway根据获得的 MOID或者操作节点标识，查找自身保存的 MO或者节点的 ACL属性信息，获得对应节点的 ACL属性值，获得对应节点的 ACL属性值。

S604，根据所述设备管理服务器的标识信息和所述访问控制权限判断是否允许所述设备管理服务器的操作。

S605, 如果允许所述设备管理服务器的操作，则将所述设备管理消息发送至终端设备。

在本发明实施例中，由于 Device未被 DM Server Boostra , 因此 Device上 MO或者节点的 ACL属性值中不会包括相应的 DM Server的 ID标识所以这里对 ACL权限的控制只能通过 Gateway来进行关键是 Gateway上需要保存 Device 上相应 MO根节点或者节点的 ACL属性值。

图 7是本发明实施例提供的一种设备管理方法信令图，如图 7所示，本发明实施例提供的设备管理方法包括以下步骤：

5701 , 接收设备管理服务器发送的添加管理对象或节点的设备管理消息。在本发明实施例中， Device仅被 Gateway Bootstra 过，而未被 DM Sever Bootstra 过，也就是说 Device上面只有 Gateway的 DMAcc管理对象，没有 DM Server的管理对象。

在本发明实施例中， Gateway接收 DM Server发起的 MO或者节点建立命令

5702, 根据所述添加管理对象或节点的设备管理消息在终端设备上添加管理对象或节点，同时在本地存储所述管理对象或节点。

在本发明实施例中， Gateway根据相应命令在 Device上建立相应 MO或者节点，同时在 Gateway中保存 MO或者节点的 ACL值，该 ACL属性值中包括进行管理 DM Server的 ID, 具体可以通过以下两种方式实现：

Gateway根据 DM Server命令在 Device建立相应节点或者 MO的同时，也在 Gateway自身上建立相应节点或者 MO, 包括对应的参数取值和属性取值，而且在 Gateway上设立的相应节点或者 MO的 ACL属性值中包括进行管理 DM Server的 ID标识；

Gateway根据 DM Server命令在 Device建立相应节点或者 MO的同时，也在 Gateway自身上存储相应节点或者 MO的 ACL属性值 ACL属性值中包括进行管理 DM Server的 ID标识。

S703，接收设备管理服务器发送的设备管理消息。

S704，解析接收到的设备管理消息，获取设备管理消息中包含的设备管理服务器的标识信息和需管理的管理对象或节点的信息。

<LocURI>Jsettings/wap— settings/CNN</LocURI>。

S705 , 根据获取的管理对象或节点的信息在本地查找所述管理对象或节点的访问控制权限。

S706, 根据所述设备管理服务器的标识信息和所述访问控制权限判断是否允许所述设备管理服务器的操作。

S707, 如果允许所述设备管理服务器的操作，则将所述设备管理消息发送至终端设备。

在本发明实施例中，如果 DM Server通过 Gateway下发的针对 Device的是关于 ACL属性值的操作，那么 Gateway上保存的相应节点或者 MO的 ACL属性值也会发生相应的变化。

本实施例由 Gateway代替 Device进行 ACL权限控制管理，避免了对现有设备管理流程和命令的改变，并减少了 Device的处理资源消耗。实施例三

图 8是本发明实施例提供的一种设备管理方法信令图，如图 8所示，本发明实施例提供的设备管理方法包括以下步骤：

S801 , 接收设备管理服务器发送的添加管理对象或节点的消息。在本发明实施例中， Device仅被 Gateway Bootstra 过，而未被 DM Sever Bootstra 过，也就是说 Device上面只有 Gateway的 DMAcc管理对象，没有 DM Server的管理对象。

在本发明实施例中， Gateway接收 DM Server发起的 MO或者节点建立命令 S802, 根据所述添加管理对象或节点的消息在终端设备上添加管理对象或节点，同时在本地存储所述管理对象或节点。

在本发明的另一实施例中，设备管理方法还可以包括图 7所示的步骤 S703 至 S707, 具体步骤与图 7相同，故在此不再贅述。

在本实施例中，在 Device未被 DM Sever Bootstra 的情况下，由 Gateway 在 Device和本地建立 ACL, 使得在 Gateway存在情况下，仍能正常的使用 DM 的 ACL机制进行权限控制，并且无论 Device是否被 DM Server所 Bootstrap, 都能进行正确的 ACL权限控制。实施例四

图 9是本发明实施例提供的一种设备管理装置框图，如图 9所示，本发明实施例提供的设备管理装置 900包括：管理消息接收单元 901、管理消息生成单元 902和管理消息发送单元 903 , 其中：

管理消息接收单元 901 , 用于接收设备管理服务器发送的第一设备管理消息；

在本发明实施例中，终端设备 ( Device )既被 Gateway初始化（Bootstrap ) 过，也被 DM Sever Bootstra 过，也尤是说 Device上面既有 Gateway的 DMAcc 管理对象，也有 DM Server的管理对象。

在本发明实施例中，管理消息接收单元 901接收 DM Sever发送的第一设备管理消息，其中第一设备管理消息包括 Notification、 PK2或 PK4。

管理消息生成单元 902, 用于根据接收到的第一设备管理消息生成第二设备管理消息，所述第二设备管理消息中包括所述设备管理服务器的标识信息；

在本发明实施例中，管理消息生成单元 902根据管理消息接收单元 901接收到的第一设备管理消息生成第二设备管理消息，并在第二设备管理消息中给出 DM Server的 ID标识。

管理消息发送单元 903 , 用于将所述第二设备管理消息发送至终端设备。在本发明实施例中，管理消息发送单元 903将生成的第二设备管理消息发送至 Device。 Device接收到第二设备管理消息后，进行 ACL比对：如果访问权限许可，则执行相应管理操作；如果访问权限不许可，则不执行管理操作，并返回失败代码和消息。

本发明实施例提供的设备管理装置通过 Device进行 ACL权限控制，其关键是 Gateway把 DM Server的 ID标识发送给 Device, 而不仅仅是发送 Gateway的 ID标识。

通过本发明实施例提供的设备管理装置使得 Device虽然接收的是 Gateway 发送的设备管理消息，仍能够获知真正发送设备管理消息的 DM Server的 ID标识，从而正常的进行 ACL权限控制。在本发明的另一实施例中， DM Server发起对 Device的管理，下发

Notification消息给 Gateway, 管理消息接收单元 901接收 DM Server发送的 Notification消息，得知其预管理 Gateway下的 Device。管理消息生成单元 902 生成针对 Device的 Notification消息，并在 Notification消息中给出 DM Server 的 ID标识，可以通过以下三种方式实现：

对于方案 A和方案 B , 这时仅仅给出的为 DM Server的 ID标识，由于 Notification中 Digest字段需要根据该 DM server在 Device上相应 DMAcc管理对象中的鉴权密钥来生成，因此代理网关 Gateway收到 DM Server发送的 Notification消息后，在生成 Notification之前，必须先发起到 Device的管理会话，从 Device上获得该 DM Server的鉴权密钥信息，然后利用该鉴权密钥信息对 Notification包的 Trigger (触发信息）部分进行哈希计算，生成摘要数据。管理消息发送单元 903将生成的 Notification消息发送至 Device , Device收到 Gateway下发的 Notification消息，解析该消息，得到 DM Server的 ID标识，同时根据 Notification消息给出的 MO ID, 来获取相应 MO的 ACL属性值，接着进行 ACL权限控制，如果权限许可，则 Device发起管理会话，如果不许可，则拒绝发起管理会话。

通过本实施例，使得 Device虽然接收的是 Gateway发送的 Notification消息，仍能够获知真正发送 Notification消息的 DM Server的 ID标识，从而正常的进行 ACL权限控制。在本发明的另一实施例中， DM Server对 Gateway后的 Device进行管理， DM Server针对 Device的管理指令会通过 Pkg2或者 Pkg4首先发送给

Gateway , 管理消息接收单元 901接收 DM Server发送的 Pkg2或者 Pkg4。管理消息生成单元 902生成针对 Device的 Pkg2或者 Pkg4, 并在 Pkg2或者 Pkg4中给出 DM Server的 ID标识，可以通过以下三种方案实现：

方案 A: 扩充一个字段，用以给出 DM Server的 ID标识，该标识符的定义可如下所示：

SourceSer

用法：用来给出发起管理会话的 DM服务器的标识；

父元素： SyncHdr;

子元素： LocURI; 其它：该元素是可选的。

对于 DM Server标识为： LocURI>http：〃 www.syncml.org/mgmt-server, 代理网关 Gateway的标识为： GatewayUrl, 这时 Gateway发送的 Pkg2或者 Pkg4包，对于源地址的指定如下所示：

<LocURI>GatewayUrl</LocURI>

</Source>

<LocURI>http： //www. syncml. org/mgmt- server</LocURI>

</SourceSer>

SourceParent

用法：用来给出发起管理会话的 DM服务器的标识；

父元素： SyncHdr;

子元素： LocURI; 其它：该元素是可选的。

对于 DM Server标识为： LocURI>http：〃 www.syncml.org/mgmt-server, 代理网关 Gateway的标识为： GatewayUrl, 这时 Gateway发送的 Pkg2或者 Pkg4, 对于源地址的指定如下所示：

<LocURI>GatewayUrl</LocURI>

</Source>

<SourceParent> <LocURI>http： //www. syncml.org/mgmt- server</LocURI>

</SourceParent>

方案 C: 扩充 DM协议中使用的 Alert Code , 用以给出 DM Server的 ID , 该 Alert Code的定义如下：

对于 DM Server标识为： LocURI>http：〃 www.syncml.org/mgmt-server, 这时 Gateway发送的 Pkg2或者 Pkg4 , 对于服务器地址的指定如下所示：

<Alert>

<Item>

<Data>http ://www. syncml. org/mgmt-server</Data>

</Item>

</Alert>

管理消息发送单元 903将生成的 Pkg2或者 Pkg4发送至 Device , Device 收到 Gateway下发的 Pkg2或者 Pkg4 , 解析该消息包，得到 DM Server的 ID标识，同时根据消息包给出的操作节点标识，来获取相应节点的 ACL属性值，接着进行 ACL权限控制，如果权限许可，则 Device执行相应操作，否则拒绝执行操作。

通过本实施例，使得 Device虽然接收的是 Gateway发送的管理指令，仍能够获知对其真正进行管理的 DM Server的 ID标识，从而正常的进行 ACL权限控制。实施例五

图 10是本发明实施例提供的一种设备管理装置框图，如图 10所示，本发明实施例提供的设备管理装置 1000包括：管理消息接收单元 1001、标识信息获取单元 1002、控制权限获取单元 1003和管理消息发送单元 1005, 其中：

管理消息接收单元 1001 , 用于接收设备管理服务器发送的第一设备管理消息。

在本发明实施例中，管理消息接收单元 1001接收 DM Sever发送的设备管理消息，设备管理消息可以是 Notification, PK2或 PK4。

标识信息获取单元 1002, 用于获取第一设备管理消息中包含的所述设备管理服务器的标识信息和管理对象或节点的信息。

在本发明实施例中，标识信息获取单元 1002解析接收到的设备管理消息，获取设备管理消息中包含的设备管理服务器的标识信息和管理对象的信息。当设备管理消息是 Notification消息时，管理对象的信息可以是 DM Server需要管理的 MOID; 当设备管理消息是 PK2或 PK4时，管理对象的信息可以是操作节点的标识。

控制权限获取单元 1003 , 用于根据管理对象或节点的信息获取所述管理对象根节点或节点的访问控制权限。

在本发明实施例中，控制权限获取单元 1003根据获取的管理对象的信息获得相应节点或者 MO的 ACL。 Gateway可以根据获得的 MOID或者操作节点标识，发起到 Device 的管理会话，获得相应节点或者 MO的 ACL, 也可以在本地查找相应节点或者 MO的 ACL。在本发明实施例中，控制权限获取单元 1003可以包括终端访问权限获取模块和 /或本地访问权限获取模块，其中：

终端访问权限获取模块，用于根据获取的管理对象的信息从终端设备获取所述管理对象的访问控制权限。

本地访问权限获取模块，用于根据获取的管理对象的信息从本地获取所述管理对象的访问控制权限。

管理消息发送单元 1005 , 用于在所述访问控制权限允许所述设备管理服务器的操作时，生成第二设备管理消息，并将所述第二设备管理消息发送至终端设备。

在本发明实施例中，如果访问控制列表中允许所述设备管理服务器的操作，则管理消息发送单元 1005将设备管理消息发送至终端设备。如果访问控制列表中不允许所述设备管理服务器的操作，则管理消息发送单元 1005不将设备管理消息发送至终端设备。

在本发明的另一实施例中，设备管理装置 1000还可以包括访问控制判断单元 1004, 用于根据所述设备管理服务器的标识信息和所述访问控制权限判断是否允许所述设备管理服务器的操作。

在本发明实施例中，访问控制判断单元 1004判断访问控制列表中是否包含设备管理服务器的标识信息，根据获取的 ACL和设备管理服务器的标识信息判断发起会话的 Server是否满足条件。

本发明实施例提供的设备管理方法通过 Gateway进行 ACL权限控制，其关键是 Gateway得到 DM Server预管理的设备上相应 MO或者节点的 ACL属性值本实施例由 Gateway代替 Device进行 ACL权限控制管理，避免了对现有设备管理流程和命令的改变，并减少了 Device的处理资源消耗。图 11是本发明实施例提供的一种设备管理装置框图，如图 11所示，本发明实施例提供的设备管理装置 1100包括：管理消息接收单元 1101、管理消息解析单元 1102、终端访问权限获取单元 1103、访问控制判断单元 1104和管理消息发送单元 1105 , 其中：

管理消息接收单元 1101接收设备管理服务器发送的设备管理消息。

<LocURI>Jsettings/wap_settings/CNN</LocURI> , 管理消息接收单元 1101接收 DM Sever发送的设备管理消息。

管理消息解析单元 1102解析接收到的设备管理消息，获取设备管理消息中包含的设备管理服务器的标识信息和需管理的管理对象或节点的信息。

在本发明实施例中，管理消息接收单元 1101接收到 Notification消息或者正常管理会话 PK2、 ΡΚ4等消息后，管理消息解析单元 1102对消息进行解析，获得需要管理的 MOID或者操作节点的标识以及设备管理服务器的标识信息。当设备管理消息是 Notification消息时，管理对象的信息可以是 DM Server需要管理的 MOID, 比如 SCOMO管理对象的 MOID为： urn:oma:mo:oma-scomo: 1.0; 当设备管理消息是 PK2或 PK4时，管理对象的信息可以是操作节点的标识，比如： <LocURI>Jsettings/wap— settings/CNN</LocURI>。

终端访问权限获取单元 1103根据获取的管理对象或节点的信息从终端设备获取所述管理对象或节点的访问控制权限。

在本发明实施例中，终端访问权限获取单元 1103根据获得的 MOID或者操作节点标识，发起到 Device 的管理会话，获得相应节点或者 MO的 ACL, 可以分为：

访问控制判断单元 1104根据所述设备管理服务器的标识信息和所述访问控制权限判断是否允许所述设备管理服务器的操作。

在本发明实施例中，访问控制判断单元 1104根据终端访问权限获取单元 1103获取的 ACL和设备管理服务器的标识信息判断发起会话的 Server是否满足条件。

管理消息发送单元 1105在允许所述设备管理服务器的操作时，将所述设备管理消息发送至终端设备。

在本发明实施例中，如果终端访问权限获取单元 1103获取的 ACL中允许所述设备管理服务器的操作，则管理消息发送单元 1105将设备管理消息发送至终端设备；如果终端访问权限获取单元 1103获取的 ACL中不允许所述设备管理服务器的操作，则管理消息发送单元 1105不将设备管理消息发送至终端设备本实施例由 Gateway代替 Device进行 ACL权限控制管理，避免了对现有设备管理流程和命令的改变，并减少了 Device的处理资源消耗。图 12是本发明实施例提供的一种设备管理装置框图，如图 12所示，本发明实施例提供的设备管理装置 1200包括：管理消息接收单元 1201、管理消息解析单元 1202、本地访问权限获取单元 1203、访问控制判断单元 1204和管理消息发送单元 1205 , 其中：

管理消息接收单元 1201接收设备管理服务器发送的设备管理消息。

<LocURI>Jsettings/wap_settings/CNN</LocURI>, 管理消息接收单元 1201接收 DM Sever发送的设备管理消息。

管理消息解析单元 1202解析接收到的设备管理消息，获取设备管理消息中包含的设备管理服务器的标识信息和需管理的管理对象或节点的信息。

在本发明实施例中，管理消息接收单元 1201接收到 Notification消息或者正常管理会话 PK2、 ΡΚ4等消息后，管理消息解析单元 1202对消息进行解析，获得需要管理的 MOID或者操作节点的标识以及设备管理服务器的标识信息。当设备管理消息是 Notification消息时，管理对象的信息可以是 DM Server需要管理的 MOID, 比如 SCOMO管理对象的 MOID为： urn:oma:mo:oma-scomo: 1.0; 当设备管理消息是 PK2或 PK4时，管理对象的信息可以是操作节点的标识，比如： <LocURI>Jsettings/wap— settings/CNN</LocURI>。

本地访问权限获取单元 1203根据获取的管理对象或节点的信息在本地查找所述管理对象或节点的访问控制权限。

在本发明实施例中，本地访问权限获取单元 1203根据获得的 MOID或者操作节点标识，查找自身保存的 MO或者节点的 ACL属性信息，获得对应节点的 ACL属性值，获得对应节点的 ACL属性值。

访问控制判断单元 1204根据所述设备管理服务器的标识信息和所述访问控制权限判断是否允许所述设备管理服务器的操作。

在本发明实施例中，访问控制判断单元 1204根据获取的 ACL和设备管理服务器的标识信息判断发起会话的 Server是否满足条件。

管理消息发送单元 1205在允许所述设备管理服务器的操作时，将所述设备管理消息发送至终端设备。

在本发明实施例中，如果本地访问权限获取单元 1203获取的 ACL中允许所述设备管理服务器的操作，则管理消息发送单元 1205将设备管理消息发送至终端设备；如果本地访问权限获取单元 1203获取的 ACL中不允许所述设备管理服务器的操作，则管理消息发送单元 1205不将设备管理消息发送至终端设备在本发明的另一实施例中，设备管理装置 1200还可以包括管理对象或节点建立单元 1206和管理对象或节点存储单元 1207。

管理消息接收单元 1201接收设备管理服务器发送的添加管理对象或节点的设备管理消息。

在本发明实施例中，管理消息接收单元 1201还用于接收 DM Server发起的 MO或者节点建立命令。管理对象或节点建立单元 1206根据所述添加设备管理建立消息在终端设备上添加管理对象或节点，同时管理对象或节点存储单元 1207在本地存储所述管理对象或节点。

在本发明实施例中，管理对象或节点建立单元 1206根据相应命令在 Device 上建立相应 MO或者节点，同时管理对象或节点存储单元 1207在 Gateway中保存 MO或者节点的 ACL值，该 ACL属性值中包括进行管理 DM Server的 ID, 具体可以通过以下两种方式实现：

管理对象或节点建立单元 1206根据 DM Server命令在 Device建立相应节点或者 MO的同时，管理对象或节点存储单元 1207也在 Gateway自身上建立相应节点或者 MO, 包括对应的参数取值和属性取值，而且在 Gateway上设立的相应节点或者 MO的 ACL属性值中包括进行管理 DM Server的 ID标识；

管理对象或节点建立单元 1206根据 DM Server命令在 Device建立相应节点或者 MO的同时，管理对象或节点存储单元 1207也在 Gateway自身上存储相应节点或者 MO的 ACL属性值， ACL属性值中包括进行管理 DM Server的 ID标识。

本实施例由 Gateway代替 Device进行 ACL权限控制管理，避免了对现有设备管理流程和命令的改变，并减少了 Device的处理资源消耗。实施例六

图 13是本发明实施例提供的一种设备管理装置框图，如图 13所示，本发明实施例提供的设备管理装置 1300包括：管理消息接收单元 1301、管理对象或节点建立单元 1302和管理对象或节点存储单元 1303 , 其中：

管理消息接收单元 1301接收设备管理服务器发送的添加管理对象或节点的消息。

在本发明实施例中，管理消息接收单元 1301接收 DM Server发起的 MO或者节点建立命令。

管理对象或节点建立单元 1302根据所述添加管理对象或节点的消息在终端设备上建立管理对象或节点，同时管理对象或节点存储单元 1303在本地存储所述管理对象或节点。

在本发明实施例中，管理对象或节点建立单元 1302根据相应命令在 Device 上建立相应 MO或者节点，同时管理对象或节点存储单元 1303在 Gateway中保存 MO或者节点的 ACL值，该 ACL属性值中包括进行管理 DM Server的 ID, 具体可以通过以下两种方式实现：

管理对象或节点建立单元 1302根据 DM Server命令在 Device建立相应节点或者 MO的同时，管理对象或节点存储单元 1303也在 Gateway自身上建立相应节点或者 MO, 包括对应的参数取值和属性取值，而且在 Gateway上设立的相应节点或者 MO的 ACL属性值中包括进行管理 DM Server的 ID标识；

管理对象或节点建立单元 1302根据 DM Server命令在 Device建立相应节点或者 MO的同时，管理对象或节点存储单元 1303也在 Gateway自身上存储相应节点或者 MO的 ACL属性值， ACL属性值中包括进行管理 DM Server的 ID标识。

在本发明的另一实施例中，图 13所示的设备管理装置 1300还可以包括管理消息接收单元、管理消息解析单元、本地访问权限获取单元、访问控制判断单元和管理消息发送单元，以上单元的功能与图 12相同，故在此不再贅述。

在本实施例中，在 Device未被 DM Sever Bootstra 的情况下，由 Gateway 在 Device和本地建立 ACL, 使得在 Gateway存在情况下，仍能正常的使用 DM 的 ACL机制进行权限控制，并且无论 Device是否被 DM Server所 Bootstrap, 都能进行正确的 ACL权限控制。以上所述具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

权利要求书

1. 一种设备管理方法，其特征在于，所述方法包括：

接收设备管理服务器发送的第一设备管理消息；

根据所述第一设备管理消息生成第二设备管理消息，所述第二设备管理消息包括所述设备管理服务器的标识信息；

将所述第二设备管理消息发送至终端设备。

2. 根据权利要求 1所述的设备管理方法，其特征在于，所述第一设备管理消息是通知消息、设备管理消息包 PK2或者设备管理消息包 PK4;

所述第一设备管理消息是通知消息时，在所述第二设备管理消息中指示所述第二设备管理消息为代理模式，并重用所述第一设备管理消息中的所述设备管理服务器的标识信息；

所述第一设备管理消息是设备管理消息包 PK2或者设备管理消息包 PK4 时，扩充设备管理协议中的通知编码，所述通知编码用于给出所述设备管理服务器的标识信息。

3. 根据权利要求 1所述的设备管理方法，其特征在于，所述根据接收到的第一设备管理消息生成第二设备管理消息包括：

在所述第二设备管理消息中扩充一个字段，所述字段用于给出所述设备管理服务器的标识信息；或者

在所述第二设备管理消息中重新定义一个字段，所述字段用于给出所述设备管理服务器的标识信息。

4. 根据权利要求 1所述的设备管理方法，其特征在于，在接收设备管理服务器发送的第一设备管理消息之后，所述方法还包括：

获取所述第一设备管理消息中包含的所述设备管理服务器的标识信息，以及管理对象或节点的信息；

根据所述管理对象或节点的信息获取所述管理对象根节点或所述节点的访问控制权限；

所述根据所述第一设备管理消息生成第二设备关系消息具体为，在所述访问控制权限允许所述设备管理服务器的操作时，根据所述第一设备管理消息生成所述第二设备管理消息。

5. 根据权利要求 4所述的设备管理方法，其特征在于，所述根据管理对象或节点的信息获取所述管理对象根节点或所述节点的访问控制权限包括：

根据所述管理对象或节点的信息从终端设备获取所述管理对象根节点或所述节点的访问控制权限；或者

根据所述管理对象或节点的信息从本地获取所述管理对象根节点或节点的访问控制权限。

6. 根据权利要求 4所述的设备管理方法，其特征在于，所述方法还包括：接收设备管理服务器发送的添加管理对象或节点的设备管理消息；根据所述添加管理对象或节点的设备管理消息在终端设备上添加所述管理对象或所述节点，同时在本地保存所述管理对象或所述节点。

7. 一种设备管理方法，其特征在于，所述方法包括：

接收设备管理服务器发送的添加管理对象或节点的消息；

根据所述添加管理对象或节点的消息在终端设备上添加管理对象或节点，同时在本地存储所述管理对象或节点。

8. 根据权利要求 7所述设备管理方法，其特征在于，所述方法还包括：接收所述设备管理服务器发送的第一设备管理消息，获取所述第一设备管理消息中包含的所述设备管理服务器的标识信息，以及管理对象或节点的信息；根据获取的管理对象或节点的信息从本地获取所述管理对象根节点或节点的访问控制权限；

如果所述访问控制权限允许所述设备管理服务器的操作，则生成第二设备管理消息，并将所述第二设备管理消息发送至终端设备。

9. 一种设备管理装置，其特征在于，所述装置包括：

管理消息接收单元，用于接收设备管理服务器发送的第一设备管理消息；管理消息生成单元，用于根据所述第一设备管理消息生成第二设备管理消息，所述第二设备管理消息中包括所述设备管理服务器的标识信息；

管理消息发送单元，用于将所述第二设备管理消息发送至终端设备。

10. 根据权利要求 9所述的设备管理装置，其特征在于，所述第一设备管理消息是通知消息、设备管理消息包 PK2或者设备管理消息包 PK4;

在所述第一设备管理消息是通知消息时，所述管理消息生成单元在所述第二设备管理消息中指示所述第二设备管理消息为代理模式，并重用所述第一设备管理消息中的设备管理服务器的标识信息；

在所述第一设备管理消息是设备管理消息包 PK2或者设备管理消息包 PK4 时，所述管理消息生成单元扩充设备管理协议中的通知编码，所述通知编码用于给出所述设备管理服务器的标识信息。

11. 根据权利要求 10所述的设备管理装置，其特征在于，所述管理消息生成单元在所述第二设备管理消息中扩充一个字段，所述字段用于给出所述设备管理服务器的标识信息；或者所述管理消息生成单元在所述第二设备管理消息中重新定义一个字段，所述字段用于给出所述设备管理服务器的标识信息。

12. 根据权利要求 9所述设备管理装置，其特征在于，所述装置还包括：标识信息获取单元，用于获取所述第一设备管理消息中包含的所述设备管理服务器的标识信息，以及管理对象或节点的信息；

控制权限获取单元，用于根据所述管理对象或节点的信息获取所述管理对象根节点或所述节点的访问控制权限；

所述管理消息生成单元还用于在所述访问控制权限允许所述设备管理服务器的操作时，根据所述第一设备管理消息生成第二设备管理消息。

13. 根据权利要求 12所述设备管理装置，其特征在于，所述控制权限获取单元包括：

终端访问权限获取模块，用于根据所述管理对象或节点的信息从终端设备获取所述管理对象根节点或节点的访问控制权限；和 /或

本地访问权限获取模块，用于根据所述管理对象或节点的信息从本地获取所述管理对象根节点或节点的访问控制权限。

14. 根据权利要求 12所述设备管理装置，其特征在于，所述管理消息接收单元还用于接收设备管理服务器发送的添加管理对象或节点的设备管理消息；所述设备管理装置还包括：

管理对象或节点建立单元，用于根据所述添加管理对象或节点的设备管理消息在终端设备上添加管理对象或节点；

管理对象或节点存储单元，用于在本地保存所述管理对象或节点。

15. 一种设备管理装置，其特征在于，所述装置包括：

管理消息接收单元，用于接收设备管理服务器发送的添加管理对象或节点的消息；

管理对象或节点建立单元，用于根据所述添加管理对象或节点的消息在终端设备上添加管理对象或节点；

管理对象或节点存储单元，用于在本地存储所述管理对象或节点。

16. 根据权利要求 15所述设备管理装置，其特征在于，所述管理消息接收单元还用于接收设备管理服务器发送的第一设备管理消息；

所述设备管理装置还包括：

标识信息获取单元，用于获取所述第一设备管理消息中包含的所述设备管理服务器的标识信息，以及管理对象或节点的信息；

控制权限获取单元，用于根据获取的管理对象或节点的信息从本地获取所述管理对象根节点或节点的访问控制权限；

管理消息发送单元，用于在所述访问控制权限允许所述设备管理服务器的操作时，生成第二设备管理消息，并将所述第二设备管理消息发送至终端设备。