認(rèn)證對(duì)無(wú)線通信系統(tǒng)中的特定資源的訪問(wèn)授權(quán)的方法和裝置制造方法
【專利摘要】根據(jù)本發(fā)明的一個(gè)實(shí)施方式,提供一種認(rèn)證對(duì)無(wú)線通信系統(tǒng)中的特定資源的訪問(wèn)權(quán)限的方法。所述方法是通過(guò)終端執(zhí)行的并且包括以下步驟:從服務(wù)器接收對(duì)終端的特定對(duì)象、特定對(duì)象實(shí)例或?qū)儆谒鎏囟▽?duì)象實(shí)例的資源(下文中被稱為“操作目標(biāo)”)的操作;基于與所述操作目標(biāo)關(guān)聯(lián)的訪問(wèn)授權(quán)信息,檢驗(yàn)所述服務(wù)器是否被授予對(duì)所述操作目標(biāo)的訪問(wèn)授權(quán)。所述方法還包括以下步驟:當(dāng)被授予對(duì)所述操作目標(biāo)的訪問(wèn)授權(quán)時(shí),基于所述操作和所述操作目標(biāo)中的一者或兩者,確定屬于所述操作目標(biāo)的至少一個(gè)資源是否支持所述操作,可為一個(gè)或多個(gè)資源所屬的特定對(duì)象實(shí)例,指定與所述操作目標(biāo)關(guān)聯(lián)的訪問(wèn)授權(quán)信息。
【專利說(shuō)明】認(rèn)證對(duì)無(wú)線通信系統(tǒng)中的特定資源的訪問(wèn)授權(quán)的方法和裝 CP3
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及認(rèn)證對(duì)無(wú)線通信系統(tǒng)中的特定資源的訪問(wèn)權(quán)限的方法及其裝置。
【背景技術(shù)】
[0002] 隨著遍在信息時(shí)代(ubiquitous era)的來(lái)臨,M2M(機(jī)器對(duì)機(jī)器)通信技術(shù)已成為 焦點(diǎn)。M2M可用于諸如電子健康服務(wù)、智能電網(wǎng)、智能家庭等各種應(yīng)用。在這些應(yīng)用中,使用 具有各種硬件規(guī)格的M2M設(shè)備,因此需要可接受任何類型的M2M設(shè)備的協(xié)議。因此,必須開(kāi) 發(fā)適于資源受限M2M設(shè)備的應(yīng)用層協(xié)議。該協(xié)議可應(yīng)用于資源受限M2M設(shè)備,因此還可應(yīng) 用于具有不同規(guī)格的M2M設(shè)備。適于資源受限M2M設(shè)備的協(xié)議需要根據(jù)應(yīng)用訪問(wèn)并且傳遞 存儲(chǔ)在M2M設(shè)備中的個(gè)人信息。例如,個(gè)人健康信息被存儲(chǔ)在諸如心跳監(jiān)控裝置的M2M設(shè) 備中。因此,需要限制服務(wù)器能訪問(wèn)的M2M設(shè)備中的資源和操作的授權(quán)認(rèn)證技術(shù)。因此,本 發(fā)明提供了適于資源受限M2M設(shè)備的權(quán)限獲取方法和權(quán)限認(rèn)證方法。
[0003] 本發(fā)明提供了通過(guò)M2M客戶端認(rèn)證對(duì)M2M服務(wù)器的特定資源的操作的方法。
【發(fā)明內(nèi)容】
[0004] 技術(shù)問(wèn)題
[0005] 被設(shè)計(jì)用于解決問(wèn)題的本發(fā)明的目的在于認(rèn)證對(duì)M2M服務(wù)器或者來(lái)自M2M服務(wù)器 的特定操作的訪問(wèn)權(quán)限的方法。
[0006] 本發(fā)明的另一個(gè)目的是提供一種當(dāng)在M2M系統(tǒng)中單個(gè)M2M服務(wù)器環(huán)境變成多M2M 服務(wù)器環(huán)境時(shí)支持權(quán)限認(rèn)證過(guò)程的方法。
[0007] 本發(fā)明解決的技術(shù)問(wèn)題不限于以上技術(shù)問(wèn)題并且本領(lǐng)域的技術(shù)人員會(huì)根據(jù)下面 的描述理解其它技術(shù)問(wèn)題。
[0008] 技術(shù)解決方案
[0009] 本發(fā)明的目的可通過(guò)提供一種由終端認(rèn)證對(duì)無(wú)線通信系統(tǒng)中的資源的訪問(wèn)權(quán)限 的方法,所述方法包括:從服務(wù)器接收對(duì)終端的特定對(duì)象、特定對(duì)象實(shí)例或?qū)儆谒鎏囟▽?duì) 象實(shí)例的資源(下文中被稱為"操作目標(biāo)")的操作;基于與所述操作目標(biāo)關(guān)聯(lián)的訪問(wèn)權(quán)限 信息,檢驗(yàn)所述服務(wù)器是否被授予對(duì)所述操作目標(biāo)的訪問(wèn)權(quán)限;當(dāng)被授予對(duì)所述操作目標(biāo) 的訪問(wèn)權(quán)限時(shí),基于所述操作和所述操作目標(biāo)中的至少一個(gè),確定屬于所述操作目標(biāo)的至 少一個(gè)資源是否支持所述操作,其中針對(duì)所述至少一個(gè)資源所屬的特定對(duì)象實(shí)例指定與所 述操作目標(biāo)關(guān)聯(lián)的訪問(wèn)權(quán)限信息。
[0010] 另外地或另選地,只有當(dāng)所述操作和/或所述操作目標(biāo)對(duì)應(yīng)于預(yù)定操作和/或預(yù) 定操作目標(biāo)時(shí)才執(zhí)行確定。
[0011] 另外地或另選地,可根據(jù)所述操作目標(biāo)定義可支持操作。
[0012] 另外地或另選地,所述方法還包括:當(dāng)不支持對(duì)所述操作目標(biāo)進(jìn)行接收到的操作 時(shí),向所述服務(wù)器發(fā)送用于將不支持所述操作通知所述服務(wù)器的響應(yīng)。
[0013] 另外地或另選地,當(dāng)所述終端只具有單個(gè)服務(wù)器賬戶時(shí),在所述服務(wù)器對(duì)應(yīng)于所 述單個(gè)服務(wù)器賬戶時(shí),可確定授予所述服務(wù)器對(duì)所述操作的訪問(wèn)權(quán)限。
[0014] 另外地或另選地,所述服務(wù)器可具有對(duì)所有操作的訪問(wèn)權(quán)限。
[0015] 另外地或另選地,所述方法還包括:當(dāng)不授予對(duì)所述操作目標(biāo)的訪問(wèn)權(quán)限時(shí),向所 述服務(wù)器發(fā)送用于將訪問(wèn)被拒絕通知所述服務(wù)器的響應(yīng)。
[0016] 另外地或另選地,所述方法還包括:當(dāng)對(duì)所述操作目標(biāo)的訪問(wèn)權(quán)限被授予、所述操 作是預(yù)定操作并且所述操作目標(biāo)是針對(duì)特定對(duì)象實(shí)例時(shí),對(duì)所述特定對(duì)象實(shí)例執(zhí)行所述操 作,無(wú)需檢驗(yàn)屬于所述操作目標(biāo)的所述至少一個(gè)資源是否支持所述操作。
[0017] 另外地或另選地,可從與所述特定對(duì)象、所述特定對(duì)象實(shí)例或?qū)儆谒鎏囟▽?duì)象 實(shí)例的資源關(guān)聯(lián)的訪問(wèn)控制對(duì)象實(shí)例獲得針對(duì)所述服務(wù)器的與所述操作目標(biāo)關(guān)聯(lián)的訪問(wèn) 權(quán)限信息。
[0018] 另外地或另選地,所述響應(yīng)的發(fā)送可包括將造成訪問(wèn)拒絕的操作目標(biāo)通知所述服 務(wù)器。
[0019] 在本發(fā)明的另一個(gè)方面,本文提供了一種由終端產(chǎn)生對(duì)無(wú)線通信系統(tǒng)中的資源的 訪問(wèn)權(quán)限的方法,所述方法包括:從服務(wù)器接收用于添加特定服務(wù)器的賬戶的操作;添加 所述特定服務(wù)器的賬戶;當(dāng)所述終端具有僅一個(gè)服務(wù)器賬戶時(shí),如果添加了所述特定服務(wù) 器的賬戶,則針對(duì)存儲(chǔ)在所述終端中的對(duì)象實(shí)例之中的沒(méi)有訪問(wèn)控制對(duì)象實(shí)例的對(duì)象創(chuàng)建 訪問(wèn)控制對(duì)象實(shí)例,其中產(chǎn)生的所述訪問(wèn)控制對(duì)象實(shí)例的訪問(wèn)控制擁有者是對(duì)應(yīng)于所述僅 一個(gè)服務(wù)器賬戶的服務(wù)器。
[0020] 另外地或另選地,所述特定服務(wù)器的賬戶可由具有特定值的服務(wù)器安全對(duì)象實(shí)例 和與之關(guān)聯(lián)的服務(wù)器對(duì)象實(shí)例組成。
[0021] 另外地或另選地,所述特定值可以是指示所述特定服務(wù)器不是引導(dǎo)程序服務(wù)器的 信息。
[0022] 另外地或另選地,可通過(guò)引導(dǎo)程序接口添加所述特定服務(wù)器的賬戶。
[0023] 另外地或另選地,對(duì)應(yīng)于所述僅一個(gè)服務(wù)器賬戶的服務(wù)器可具有對(duì)所有對(duì)象實(shí)例 的訪問(wèn)權(quán)限。
[0024] 另外地或另選地,所述訪問(wèn)控制擁有者能夠修改所述訪問(wèn)控制對(duì)象實(shí)例。
[0025] 上述技術(shù)方案只是本發(fā)明的實(shí)施方式的部分并且本領(lǐng)域的技術(shù)人員可基于下面 對(duì)本發(fā)明的詳細(xì)描述來(lái)推導(dǎo)和理解反映本發(fā)明的技術(shù)特征的各種實(shí)施方式。
[0026] 有益效果
[0027] 根據(jù)本發(fā)明的實(shí)施方式,可以有效率地認(rèn)證針對(duì)M2M服務(wù)器或來(lái)自M2M服務(wù)器的 特定操作的訪問(wèn)權(quán)限。另外,可通過(guò)執(zhí)行訪問(wèn)權(quán)限認(rèn)證來(lái)提高訪問(wèn)權(quán)限認(rèn)證過(guò)程的可靠性。
[0028] 根據(jù)本發(fā)明的另一個(gè)實(shí)施方式,當(dāng)在M2M系統(tǒng)中單個(gè)M2M服務(wù)器環(huán)境變成多M2M 服務(wù)器環(huán)境時(shí),可以通過(guò)針對(duì)未產(chǎn)生訪問(wèn)控制對(duì)象實(shí)例的對(duì)象實(shí)例產(chǎn)生訪問(wèn)控制對(duì)象實(shí)例 來(lái)支持訪問(wèn)權(quán)限認(rèn)證過(guò)程。
[0029] 本發(fā)明的效果不限于上述效果并且根據(jù)下面的描述,對(duì)于本領(lǐng)域的技術(shù)人員而言 本文中沒(méi)有描述的其它效果將變得清楚。
【專利附圖】
【附圖說(shuō)明】
[0030] 附圖被包括以提供對(duì)本發(fā)明的進(jìn)一步理解,示出本發(fā)明的實(shí)施方式并且與描述一 起用于說(shuō)明本發(fā)明的原理。在附圖中:
[0031] 圖1示出存儲(chǔ)在M2M客戶端中的數(shù)據(jù)的結(jié)構(gòu)。
[0032] 圖2示出根據(jù)本發(fā)明的實(shí)施方式的資源模型。
[0033] 圖3示出根據(jù)本發(fā)明的實(shí)施方式的接口模型。
[0034] 圖4是示出根據(jù)本發(fā)明的實(shí)施方式的獲取訪問(wèn)權(quán)限的方法的流程圖。
[0035] 圖5是示出根據(jù)本發(fā)明的另一個(gè)實(shí)施方式的在相對(duì)于資源進(jìn)行操作的情況下的 認(rèn)證過(guò)程的流程圖。
[0036] 圖6是示出根據(jù)本發(fā)明的另一個(gè)實(shí)施方式的相對(duì)于對(duì)象實(shí)例進(jìn)行操作的認(rèn)證過(guò) 程的流程圖。
[0037] 圖7是用于實(shí)現(xiàn)本發(fā)明的實(shí)施方式的裝置的框圖。
【具體實(shí)施方式】
[0038] 現(xiàn)在,將參照附圖詳細(xì)參照本發(fā)明的示例性實(shí)施方式。以下將參照附圖提供的詳 細(xì)描述旨在說(shuō)明本發(fā)明的示例性實(shí)施方式,而非只表示根據(jù)本發(fā)明可實(shí)現(xiàn)的實(shí)施方式。下 面的詳細(xì)描述包括特定細(xì)節(jié),以提供對(duì)本發(fā)明的徹底理解。然而,本領(lǐng)域的技術(shù)人員將應(yīng)該 清楚,可在沒(méi)有這種特定細(xì)節(jié)的情況下實(shí)踐本發(fā)明。
[0039] 在一些情況下,為了防止本發(fā)明的構(gòu)思被模糊,已知技術(shù)的結(jié)構(gòu)和裝置將被省略, 或者將基于各結(jié)構(gòu)和裝置的主要功能以框圖形式示出。另外,在任何可能的地方,相同的參 考標(biāo)號(hào)將在整個(gè)附圖和說(shuō)明書(shū)中始終用于表示相同或類似的部件。
[0040] 在本發(fā)明中,用于M2M通信的設(shè)備(也就是說(shuō),M2M客戶端或終端)可以是固定或 移動(dòng)的并且包括用于M2M通信的服務(wù)器(也就是說(shuō),M2M服務(wù)器或與服務(wù)器通信以發(fā)送/接 收用戶數(shù)據(jù)和/或控制信息的設(shè)備)。M2M客戶端可以指終端設(shè)備、MS (移動(dòng)站)、MT (移動(dòng) 終端)、UT (用戶終端)、SS(用戶站)、無(wú)線設(shè)備、PDA(個(gè)人數(shù)字助理)、無(wú)線調(diào)制解調(diào)器、手 持設(shè)備等。另外,M2M服務(wù)器是指與M2M終端和/或其它M2M服務(wù)器通信的固定站并且通 過(guò)與M2M終端和/或其它M2M服務(wù)器通信來(lái)與M2M終端和/或其它M2M服務(wù)器交換數(shù)據(jù)和 控制信息。
[0041] 將描述相關(guān)技術(shù)。
[0042] 設(shè)各管理
[0043] 設(shè)備管理是指從各種管理機(jī)構(gòu)的角度看的對(duì)設(shè)備構(gòu)造和設(shè)備的其它受管理對(duì)象 的管理。設(shè)備管理包括但不限于設(shè)置設(shè)備中的初始構(gòu)造信息、設(shè)備中的持久信息的后續(xù)更 新、從設(shè)備檢索管理信息以及處理設(shè)備產(chǎn)生的事件和警報(bào)。
[0044] 管理樹(shù)
[0045] 管理樹(shù)是指管理服務(wù)器與客戶端交互所借助的接口,例如,所述交互是通過(guò)將值 存儲(chǔ)在管理樹(shù)中或者從管理樹(shù)檢索值并且通過(guò)操縱管理樹(shù)的性質(zhì)(例如,訪問(wèn)控制列表) 進(jìn)行的。在說(shuō)明書(shū)中,術(shù)語(yǔ)"管理樹(shù)"可與術(shù)語(yǔ)"設(shè)備管理樹(shù)"或"DM樹(shù)"可互換地使用。
[0046] 管理對(duì)象(M0)
[0047] 管理對(duì)象是管理樹(shù)的子樹(shù),旨在作為以某種方式相關(guān)的節(jié)點(diǎn)的(可能單個(gè)的)集 合。例如,./Devlnfo節(jié)點(diǎn)形成管理對(duì)象。簡(jiǎn)單的管理對(duì)象可由單個(gè)節(jié)點(diǎn)組成。
[0048] 設(shè)各管理(DM)服備器
[0049] DM服務(wù)器可以是符合為DM服務(wù)器指定的0ΜΑ設(shè)備管理使能器靜態(tài)一致性要求的 部署設(shè)備管理架構(gòu)中的抽象軟件組件。DM服務(wù)器用作DM客戶端-服務(wù)器協(xié)議的端點(diǎn)和DM 服務(wù)器-服務(wù)器接口。
[0050] 在該說(shuō)明書(shū)中,DM服務(wù)器可被安裝在包括通信模塊、處理器模塊等的設(shè)備、計(jì)算機(jī) 等中。
[0051] 設(shè)各管理(DM)客戶端
[0052] DM客戶端可以是符合為DM客戶端指定的0ΜΑ設(shè)備管理使能器靜態(tài)一致性要求的 設(shè)備實(shí)現(xiàn)中的抽象軟件組件。DM客戶端用作DM客戶端-服務(wù)器協(xié)議的端點(diǎn)。
[0053] 在該說(shuō)明書(shū)中,DM客戶端可被安裝在作為DM的對(duì)象的包括通信模塊、處理器模塊 等的設(shè)備中。DM客戶端可被實(shí)現(xiàn)為單個(gè)設(shè)備。
[0054] 訪問(wèn)控制列表(ACL)
[0055] ACL是指關(guān)于管理樹(shù)中的特定節(jié)點(diǎn)的DM服務(wù)器標(biāo)識(shí)符和與各標(biāo)識(shí)符關(guān)聯(lián)的訪問(wèn) 權(quán)限的列表。
[0056] 節(jié)點(diǎn)
[0057] 節(jié)點(diǎn)是管理樹(shù)中的單個(gè)元素。在管理樹(shù)中可存在兩種節(jié)點(diǎn):內(nèi)部節(jié)點(diǎn)和葉節(jié)點(diǎn)。 節(jié)點(diǎn)的格式性質(zhì)提供關(guān)于節(jié)點(diǎn)是葉節(jié)點(diǎn)還是內(nèi)部節(jié)點(diǎn)的信息。
[0058] 內(nèi)部節(jié)點(diǎn)
[0059] 內(nèi)部節(jié)點(diǎn)是可具有子節(jié)點(diǎn)的節(jié)點(diǎn),但不可存儲(chǔ)被分配到節(jié)點(diǎn)的任何值,也就是說(shuō), 節(jié)點(diǎn)值。內(nèi)部節(jié)點(diǎn)的格式性質(zhì)是"節(jié)點(diǎn)"。
[0060] 葉節(jié)點(diǎn)
[0061] 葉節(jié)點(diǎn)可存儲(chǔ)節(jié)點(diǎn)值,但不可具有子節(jié)點(diǎn)。葉節(jié)點(diǎn)的格式性質(zhì)不是"節(jié)點(diǎn)"。
[0062] 因此,所有的父節(jié)點(diǎn)都必須是內(nèi)部節(jié)點(diǎn)。
[0063] 永久節(jié)點(diǎn)
[0064] 如果DDF性質(zhì)范圍被設(shè)置成是永久的,則永久節(jié)點(diǎn)是永久的。如果節(jié)點(diǎn)不是永久 的,則節(jié)點(diǎn)對(duì)應(yīng)于動(dòng)態(tài)節(jié)點(diǎn)。服務(wù)器不能動(dòng)態(tài)地產(chǎn)生或刪除永久節(jié)點(diǎn)。
[0065] 動(dòng)杰節(jié)點(diǎn)
[0066] 如果DDF性質(zhì)范圍被設(shè)置成是動(dòng)態(tài)的或者如果范圍性質(zhì)是未指定的,則動(dòng)態(tài)節(jié)點(diǎn) 是動(dòng)態(tài)的。
[0067] 服備器標(biāo)識(shí)符
[0068] 服務(wù)器標(biāo)識(shí)符是指DM服務(wù)器的OMA DM內(nèi)部名稱。DM服務(wù)器通過(guò)OMA DM賬戶與 設(shè)備中的現(xiàn)有服務(wù)器標(biāo)識(shí)符關(guān)聯(lián)。
[0069] ACL件質(zhì)和ACL倌
[0070] 由DM協(xié)議管理的所有終端具有開(kāi)始于根節(jié)點(diǎn)的單個(gè)DM樹(shù)并且DM協(xié)議通過(guò)操縱 DM樹(shù)的各節(jié)點(diǎn)對(duì)終端執(zhí)行管理。例如,為了將下載的軟件安裝在終端中,可通過(guò)執(zhí)行與軟件 匹配的節(jié)點(diǎn)"安裝"來(lái)安裝軟件。各節(jié)點(diǎn)可指示諸如數(shù)字的簡(jiǎn)單信息和諸如圖形數(shù)據(jù)或日 志數(shù)據(jù)的復(fù)雜數(shù)據(jù)。另外,節(jié)點(diǎn)可指示諸如"執(zhí)行"、"下載"等命令。
[0071] 各節(jié)點(diǎn)具有提供與之相關(guān)的元數(shù)據(jù)的性質(zhì)。這些性質(zhì)包括運(yùn)行時(shí)間,所述運(yùn)行時(shí) 間是指從產(chǎn)生DM樹(shù)中的節(jié)點(diǎn)到節(jié)點(diǎn)消失的節(jié)點(diǎn)持續(xù)時(shí)間。運(yùn)行時(shí)間性質(zhì)包括ACL、格式、名 稱、大小、標(biāo)題、TStamp (時(shí)戳)、類型和VerNo (版本號(hào))。
[0072] ACL是強(qiáng)制的,使得在DM 1. 3協(xié)議中終端和服務(wù)器都需要實(shí)現(xiàn)ACL。ACL指定特定 DM服務(wù)器可在特定節(jié)點(diǎn)上執(zhí)行的DM命令。不能執(zhí)行未指定命令。換句話講,ACL是指針對(duì) 特定節(jié)點(diǎn)被授予特定DM服務(wù)器的權(quán)限。在DM協(xié)議中,ACL被賦予DM服務(wù)器的服務(wù)器標(biāo)識(shí) 符并且不被分派給URI、IP地址和DM服務(wù)器證書(shū)。在DM協(xié)議中,服務(wù)器標(biāo)識(shí)符被用作認(rèn)證 DM服務(wù)器的標(biāo)識(shí)符。此外,ACL可被作為ACL性質(zhì)和被提供給ACL性質(zhì)的ACL值提供。在 該說(shuō)明書(shū)中,ACL值還可被稱為ACL信息或關(guān)于ACL的信息。在DM 1. 3協(xié)議中,所有節(jié)點(diǎn) 被定義成具有ACL性質(zhì)。具有ACL性質(zhì)的所有節(jié)點(diǎn)被定義為具有空ACL值或非空ACL值。
[0073] ACL具有不同于運(yùn)行時(shí)間性質(zhì)的特有性質(zhì)。這些特有性質(zhì)包括ACL繼承。ACL繼 承是指從包括在DM樹(shù)中并且不具有ACL值的節(jié)點(diǎn)的父節(jié)點(diǎn)的ACL值得到該節(jié)點(diǎn)的ACL值 的構(gòu)思。如果父節(jié)點(diǎn)也不具有ACL值,則從該父節(jié)點(diǎn)的父節(jié)點(diǎn)的ACL值得到該父節(jié)點(diǎn)的ACL 值。由于在DM協(xié)議中與DM樹(shù)的最高節(jié)點(diǎn)對(duì)應(yīng)的根節(jié)點(diǎn)必須具有ACL值,因此ACL值必須 被繼承。針對(duì)所有ACL值執(zhí)行ACL繼承,而非每DM命令執(zhí)行ACL繼承。因此,只有當(dāng)節(jié)點(diǎn) 具有空ACL值時(shí)才執(zhí)行從節(jié)點(diǎn)的父節(jié)點(diǎn)的ACL繼承。也就是說(shuō),如果節(jié)點(diǎn)的ACL值只指定 "Add"(添加),則未指定的"Get"(取得)不被繼承。
[0074] 在DM協(xié)議中,根節(jié)點(diǎn)以"Add = *&Get = *"作為ACL的基礎(chǔ)值。這里表示通 配符并且意指任意DM服務(wù)器。為了取得ACL值,DM服務(wù)器使用"Get"命令。關(guān)于./NodeA/ Node 1的"Get "命令取得· /NodeA/Node 1的ACL值。為了改變ACL值,使用"R印lace "(取代) 命令。當(dāng)對(duì) "· /NodeA/Nodel ? prop = ACL" 執(zhí)行 "R印lace" 以設(shè)置 "Add = DMSl&Delete =DMSl&Get = DMS1"時(shí),改變ACL值。在DM協(xié)議中,單獨(dú)ACL條目不可改變并且所有ACL 值可改變?;贏CL定義取得并且改變ACL值的權(quán)限。不同地定義內(nèi)部節(jié)點(diǎn)的權(quán)限和葉節(jié) 點(diǎn)的權(quán)限。
[0075] -內(nèi)部節(jié)點(diǎn):如果對(duì)應(yīng)節(jié)點(diǎn)具有"Get"和"R印lace"權(quán)限,則可以取得和取代對(duì)應(yīng) 節(jié)點(diǎn)的ACL值。"Replace"是指取代所有子節(jié)點(diǎn)的ACL值的權(quán)限。
[0076] -葉節(jié)點(diǎn):如果對(duì)應(yīng)節(jié)點(diǎn)的父節(jié)點(diǎn)具有" Rep 1 ace "權(quán)限,則可取代對(duì)應(yīng)節(jié)點(diǎn)的 ACL值。父節(jié)點(diǎn)需要具有"Get"權(quán)限,以取得對(duì)應(yīng)節(jié)點(diǎn)的ACL。類似地,如果對(duì)應(yīng)節(jié)點(diǎn)具有 "Replace"權(quán)限,則可取代節(jié)點(diǎn)的ACL值。為了取代ACL值,對(duì)應(yīng)節(jié)點(diǎn)的父節(jié)點(diǎn)需要具有 "R印lace"權(quán)限。
[0077] 可通過(guò)節(jié)點(diǎn)的父節(jié)點(diǎn)的ACL值控制取代對(duì)應(yīng)節(jié)點(diǎn)的ACL值的權(quán)限,而不管節(jié)點(diǎn)是 內(nèi)部節(jié)點(diǎn)還是葉節(jié)點(diǎn)。如果內(nèi)部節(jié)點(diǎn)具有"Replace"權(quán)限,則可取代所有子節(jié)點(diǎn)的ACL值 以及內(nèi)部節(jié)點(diǎn)的ACL值。因此,如果根節(jié)點(diǎn)具有"R印lace "權(quán)限,則可以具有針對(duì)DM樹(shù)中 的所有節(jié)點(diǎn)的任何權(quán)限。然而,即使當(dāng)父節(jié)點(diǎn)具有"Replace"權(quán)限時(shí),也不針對(duì)子節(jié)點(diǎn)提供 諸如"Get"的特定權(quán)限并且需要針對(duì)子節(jié)點(diǎn)直接指定諸如"Get"的權(quán)限。因此,在執(zhí)行命 令之前需要校正子節(jié)點(diǎn)的ACL值,通過(guò)校正位于對(duì)應(yīng)子節(jié)點(diǎn)之前的所有節(jié)點(diǎn)的ACL值來(lái)校 正子節(jié)點(diǎn)的ACL值。這是不方便的,因此DM協(xié)議允許當(dāng)父節(jié)點(diǎn)或祖先節(jié)點(diǎn)具有"R印lace" 權(quán)限時(shí)在不改變中間節(jié)點(diǎn)的ACL值的情況下直接校正對(duì)應(yīng)節(jié)點(diǎn)的ACL值。
[0078] 當(dāng)DM服務(wù)器通過(guò)命令"Add"產(chǎn)生新節(jié)點(diǎn)時(shí),產(chǎn)生的節(jié)點(diǎn)一般沒(méi)有ACL值并因此從 其父節(jié)點(diǎn)取得ACL值。然而,當(dāng)產(chǎn)生的節(jié)點(diǎn)是內(nèi)部節(jié)點(diǎn)并且其父節(jié)點(diǎn)沒(méi)有" Iteplace "權(quán)限 時(shí),必須在產(chǎn)生節(jié)點(diǎn)的同時(shí)設(shè)置產(chǎn)生的節(jié)點(diǎn)的ACL值,以提供管理節(jié)點(diǎn)的權(quán)限。
[0079] 在[DM-TND]中定義用于表示ACL值的語(yǔ)法。示例性的ACL值是"Get = DMS1&R印lace = DMSl&Delete = DMS2"。這里,DMS1 和 DMS2 是DM服務(wù)器標(biāo)識(shí)符并且"Get"、 "R印lace "和"De 1 ete "是DM命令。因此,DM服務(wù)器DMS1可對(duì)對(duì)應(yīng)節(jié)點(diǎn)執(zhí)行"Get "和 "R印lace"并且DM服務(wù)器DMS2可對(duì)對(duì)應(yīng)節(jié)點(diǎn)執(zhí)行"Delete"。這里,Get = DMS1、R印lace =DMS 1和Delete = DMS2是ACL條目并且表示DM服務(wù)器的各個(gè)命令權(quán)限。換句話講,ACL 值是各個(gè)ACL條目的集合并且各節(jié)點(diǎn)的ACL值可包括至少一個(gè)ACL條目。
[0080] DDF (設(shè)各描沭框架)
[0081] DDF是如何描述特定設(shè)備類型的管理語(yǔ)法和語(yǔ)義的規(guī)范。DDF提供關(guān)于M0、管理功 能和終端的DM樹(shù)結(jié)構(gòu)的信息。
[0082] DM 1. 3 認(rèn)證
[0083] DM 1. 3基于ACL執(zhí)行認(rèn)證。每DM命令執(zhí)行DM認(rèn)證。如果DM服務(wù)器已發(fā)送了多 個(gè)DM命令,則DM客戶端(下文中,被稱為DMC)在執(zhí)行命令之前執(zhí)行認(rèn)證并且只執(zhí)行作為 認(rèn)證結(jié)果而被授權(quán)的DM命令。
[0084] DM 樹(shù)
[0085] DM樹(shù)是指DMC暴露的M0實(shí)例的集合。DM樹(shù)用作管理服務(wù)器與客戶端交互的接口。 例如,管理服務(wù)器可存儲(chǔ)特定值并且從DM樹(shù)檢索特定值并且操縱DM樹(shù)的性質(zhì)。
[0086] 圖1示出M2M客戶端中存儲(chǔ)的數(shù)據(jù)結(jié)構(gòu)。M2M客戶端(或終端)可具有與被稱為 "對(duì)象"(對(duì)應(yīng)于M2M客戶端可實(shí)現(xiàn)的功能)的資源組對(duì)應(yīng)的實(shí)體??稍趯?duì)象規(guī)范中定義對(duì) 象標(biāo)識(shí)符并且可由使用M2M系統(tǒng)的運(yùn)營(yíng)商或制造商設(shè)置在對(duì)象規(guī)范中沒(méi)定義的標(biāo)識(shí)符。資 源是存儲(chǔ)數(shù)據(jù)的實(shí)體并且可具有多個(gè)資源實(shí)例。通過(guò)特定操作產(chǎn)生各對(duì)象并且將各對(duì)象實(shí) 例化為對(duì)象實(shí)例并且M2M客戶端可通過(guò)對(duì)象實(shí)例訪問(wèn)對(duì)應(yīng)資源。
[0087] 另外,指示資源所支持的操作的信息被包括在資源中或者添加到資源。存在操作 "讀"、"寫(xiě)"、"執(zhí)行"、"寫(xiě)屬性"、"發(fā)現(xiàn)"、"觀察"等。
[0088] 圖2示出根據(jù)本發(fā)明的實(shí)施方式的資源模型。ACL(訪問(wèn)控制列表)和AT(訪問(wèn)類 型)被分派以控制根據(jù)本發(fā)明的實(shí)施方式將用在M2M系統(tǒng)中的資源的訪問(wèn)權(quán)限。
[0089] 根據(jù)對(duì)應(yīng)于特定功能的資源,也就是說(shuō),根據(jù)對(duì)象實(shí)例,分派ACL。考慮各對(duì)象實(shí)例 的較低資源將被分配相同的ACL。也就是說(shuō),由于根據(jù)對(duì)象實(shí)例分派ACL,因此各對(duì)象實(shí)例 的較低資源具有相同ACL。
[0090] 由于對(duì)象實(shí)例是對(duì)應(yīng)于資源組的實(shí)體并且是用于執(zhí)行特定功能的組,因此當(dāng)為特 定服務(wù)器授予特定功能的權(quán)限時(shí),應(yīng)該針對(duì)組中的所有資源授予相同的權(quán)限。當(dāng)沒(méi)有授予 相同的權(quán)限時(shí),可針對(duì)功能部分地執(zhí)行操作。在這種情況下,服務(wù)器的功能變得不明確并且 授予權(quán)限的含義不清楚。因此,在本發(fā)明的實(shí)施方式中,如上所述,根據(jù)對(duì)象實(shí)例分派ACL, 以相比于根據(jù)資源進(jìn)行存儲(chǔ),減少了開(kāi)銷,并且通過(guò)使用相同機(jī)制尋找ACL來(lái)簡(jiǎn)化訪問(wèn)權(quán) 限認(rèn)證過(guò)程。
[0091] 作為參考,各對(duì)象可被實(shí)例化為多個(gè)對(duì)象實(shí)例。
[0092] AT可根據(jù)資源進(jìn)行分派并且定義由各資源支持的訪問(wèn)方案。例如,當(dāng)訪問(wèn)方案被 定義為操作時(shí),AT可被定義為特定操作,例如,"讀"、"寫(xiě)"和"執(zhí)行"。
[0093] ACL和AT可用不同術(shù)語(yǔ)來(lái)表示。例如,ACL可被表示為訪問(wèn)權(quán)限并且AT可被表示 為可支持操作。
[0094] 接口
[0095] 在描述本發(fā)明的實(shí)施方式之前,將描述在服務(wù)器和客戶端(終端)之間發(fā)送特定 操作所通過(guò)的接口。
[0096] 存在與本發(fā)明相關(guān)的四個(gè)接口 :1)引導(dǎo)程序(Bootstrap)、2)設(shè)備(客戶端)注 冊(cè)、3)設(shè)備管理和業(yè)務(wù)能力和4)信息報(bào)告。四個(gè)接口的操作可被分為上行操作和下行操 作。在下面的表中示出接口的操作。
[0097] [表 1]
[0098]
【權(quán)利要求】
1. 一種由終端認(rèn)證對(duì)無(wú)線通信系統(tǒng)中的資源的訪問(wèn)權(quán)限的方法,所述方法包括: 從服務(wù)器接收對(duì)特定對(duì)象、特定對(duì)象實(shí)例或?qū)儆谒鎏囟▽?duì)象實(shí)例的資源(下文中被 稱為"操作目標(biāo)")的操作; 基于與所述操作目標(biāo)關(guān)聯(lián)的訪問(wèn)權(quán)限信息,檢驗(yàn)所述服務(wù)器是否被授予對(duì)所述操作目 標(biāo)的訪問(wèn)權(quán)限; 當(dāng)被授予對(duì)所述操作目標(biāo)的訪問(wèn)權(quán)限時(shí),基于所述操作和所述操作目標(biāo)中的至少一 個(gè),確定屬于所述操作目標(biāo)的至少一個(gè)資源是否支持所述操作, 其中針對(duì)所述至少一個(gè)資源所屬的特定對(duì)象實(shí)例指定與所述操作目標(biāo)關(guān)聯(lián)的訪問(wèn)權(quán) 限信息。
2. 根據(jù)權(quán)利要求1所述的方法,其中只有當(dāng)所述操作和/或所述操作目標(biāo)對(duì)應(yīng)于預(yù)定 操作和/或預(yù)定操作目標(biāo)時(shí)才執(zhí)行確定。
3. 根據(jù)權(quán)利要求1所述的方法,其中根據(jù)所述操作目標(biāo)定義可支持操作。
4. 根據(jù)權(quán)利要求3所述的方法,其中所述方法還包括: 當(dāng)不支持對(duì)所述操作目標(biāo)進(jìn)行接收到的操作時(shí),向所述服務(wù)器發(fā)送用于將不支持所述 操作通知所述服務(wù)器的響應(yīng)。
5. 根據(jù)權(quán)利要求1所述的方法,其中當(dāng)所述終端只具有單個(gè)服務(wù)器賬戶時(shí),如果所述 服務(wù)器對(duì)應(yīng)于所述單個(gè)服務(wù)器賬戶,則確定授予所述服務(wù)器對(duì)所述操作的訪問(wèn)權(quán)限。
6. 根據(jù)權(quán)利要求5所述的方法,其中所述服務(wù)器具有對(duì)所有操作的訪問(wèn)權(quán)限。
7. 根據(jù)權(quán)利要求1所述的方法,其中所述方法還包括: 當(dāng)不授予對(duì)所述操作目標(biāo)的訪問(wèn)權(quán)限時(shí),向所述服務(wù)器發(fā)送用于將訪問(wèn)被拒絕通知所 述服務(wù)器的響應(yīng)。
8. 根據(jù)權(quán)利要求1所述的方法,其中所述方法還包括: 當(dāng)對(duì)所述操作目標(biāo)的訪問(wèn)權(quán)限被授予、所述操作是預(yù)定操作并且所述操作目標(biāo)是針對(duì) 特定對(duì)象實(shí)例時(shí),對(duì)所述特定對(duì)象實(shí)例執(zhí)行所述操作,而無(wú)需檢驗(yàn)屬于所述操作目標(biāo)的所 述至少一個(gè)資源是否支持所述操作。
9. 根據(jù)權(quán)利要求1所述的方法,其中從與所述特定對(duì)象、所述特定對(duì)象實(shí)例或?qū)儆谒?述特定對(duì)象實(shí)例的資源關(guān)聯(lián)的訪問(wèn)控制對(duì)象實(shí)例獲得針對(duì)所述服務(wù)器的與所述操作目標(biāo) 關(guān)聯(lián)的訪問(wèn)權(quán)限信息。
10. 根據(jù)權(quán)利要求7所述的方法,其中所述響應(yīng)的發(fā)送包括將造成訪問(wèn)拒絕的操作目 標(biāo)通知所述服務(wù)器。
11. 一種由終端產(chǎn)生對(duì)無(wú)線通信系統(tǒng)中的資源的訪問(wèn)權(quán)限的方法,所述方法包括: 從服務(wù)器接收用于添加特定服務(wù)器的賬戶的操作; 添加所述特定服務(wù)器的賬戶; 當(dāng)所述終端具有僅一個(gè)服務(wù)器賬戶時(shí),如果添加了所述特定服務(wù)器的賬戶,則針對(duì)存 儲(chǔ)在所述終端中的對(duì)象實(shí)例之中的沒(méi)有訪問(wèn)控制對(duì)象實(shí)例的對(duì)象創(chuàng)建訪問(wèn)控制對(duì)象實(shí)例, 其中產(chǎn)生的所述訪問(wèn)控制對(duì)象實(shí)例的訪問(wèn)控制擁有者是對(duì)應(yīng)于所述僅一個(gè)服務(wù)器賬 戶的服務(wù)器。
12. 根據(jù)權(quán)利要求11所述的方法,其中所述特定服務(wù)器的賬戶由具有特定值的服務(wù)器 安全對(duì)象實(shí)例和與之關(guān)聯(lián)的服務(wù)器對(duì)象實(shí)例組成。
13. 根據(jù)權(quán)利要求12所述的方法,其中所述特定值是指示所述特定服務(wù)器不是引導(dǎo)程 序服務(wù)器的信息。
14. 根據(jù)權(quán)利要求11所述的方法,其中通過(guò)引導(dǎo)程序接口添加所述特定服務(wù)器的賬 戶。
15. 根據(jù)權(quán)利要求11所述的方法,其中對(duì)應(yīng)于所述僅一個(gè)服務(wù)器賬戶的服務(wù)器具有對(duì) 所有對(duì)象實(shí)例的訪問(wèn)權(quán)限。
16. 根據(jù)權(quán)利要求11所述的方法,其中所述訪問(wèn)控制擁有者能夠修改所述訪問(wèn)控制對(duì) 象實(shí)例。
【文檔編號(hào)】H04L9/32GK104303454SQ201380023135
【公開(kāi)日】2015年1月21日 申請(qǐng)日期:2013年10月30日 優(yōu)先權(quán)日:2012年10月30日
【發(fā)明者】金成閏, 樸承奎 申請(qǐng)人:Lg電子株式會(huì)社