服务层动态授权制造技术

一种可扩展的基于策略的服务层动态授权框架能够允许服务层确定许可还是拒绝注册者访问注册者当前缺少适当特权来访问的由服务层托管的资源或服务。这种方法还能够使得服务层能够动态更新其静态配置的授权特权(通过利用其动态授权结果)，使得来自相同注册者并且去往相同资源和服务的将来请求不需要执行动态授权。

【技术实现步骤摘要】
【国外来华专利技术】服务层动态授权相关申请的交叉参考本申请主张2015年8月28日提交的第62/211,471号美国临时专利申请的权益，该临时专利申请的公开内容特此以引用的方式并入本文中就好像全文陈述那样。
技术介绍
从协议栈角度来看，中间件服务层通常放置在现有网络协议栈之上并且向客户端应用以及其它服务提供增值服务。因此，服务层经常被分类为“中间件”服务层。例如，图1示出位于IP网络栈与应用之间的服务层102。请注意，另一个实例可涉及将服务层102直接放置在诸如TCP或UDP等传送协议上方或诸如SOAP(图1中未示出)等非RESTful协议上方。图2中示出网络内的中间件服务层实例的示例性部署场景。在这个实例中，服务层实例部署在各种网络节点(网关和服务器)上并且正向网络应用、装置应用和网络节点本身提供增值服务。M2M/IoT服务层102是专门针对于为M2M/IoT型装置和应用提供增值服务的一类中间件服务层的实例。最近，若干行业标准组织中所描述的ETSIM2M(例如，oneM2M功能架构中所描述的oneM2M、oneM2M功能架构-V-1.10.0中所描述的oneM2M-TS-0001、机器对机器通信(M2M)功能架构草案ETSITS1026901.1.1(2011-10)，以及OMA轻量M2M(LWM2M)技术规范草案版本1.0-2013年3月14日中所描述的OMALWM2M)一直在开发M2M/IoT服务层以解决与将M2M/IoT类型的装置和应用集成到诸如互联网/Web、蜂窝式、企业和家庭网络等部署中相关联的挑战。M2M服务层102可向应用和装置提供对服务层102所支持的M2M中心能力集合的访问。一些实例包括安全性、计费、数据管理、装置管理、发现、提供和连接性管理。经由利用M2M服务层102所支持的消息格式、资源结构和资源表示形式的API将这些能力提供给应用。oneM2M的目的和目标是开发解决对能够容易嵌入在各种硬件和软件平台内并且能够被依赖以用于将现场多种多样的装置与世界范围的M2M应用服务器连接的公共M2M服务层102的需要的技术规范。oneM2M服务层支持一组公共服务功能(CSF)(即，服务能力)。一组一个或多个特定类型CSF的实例化被称为公共服务实体(CSE)(即，服务层)，其能够被托管在不同类型的网络节点(例如，基础设施节点、中间节点、专用节点)上。这些公共功能经由Mca、Mcc和Mcn参考点来暴露，如图3所示。Mca参考点指定应用实体(AE)与CSE之间的通信流，而Mcc参考点指定相同M2M服务提供商域中的两个CSE之间的通信流。跨Mca和Mcc的通信经由配对的请求/响应消息发生，其中每个请求对托管在目标CSE上的资源执行特定RESTful操作(例如，创建、检索、更新和删除)。在位于不同M2MSP的基础设施域中的CSE之间使用Mcc’。在CSE与底层网络服务实体(NSE)之间针对除了传送和连接性之外的服务使用Mcn。CSE被托管在称为“节点”的架构实体上。节点是包含a)一个CSE和零个或多个AE，或者b)一个或多个AE的功能实体。oneM2M架构支持各种类型的节点配置，如图4所示。图5中示出oneM2M所支持的公共服务功能(CSF)的初始集合。特定CSE具体实施可能不支持每个功能，但完整具体实施将包括图示中的所有功能。按照oneM2MRESTful架构，CSF被表示为一组“资源”。资源是架构中的能够唯一寻址的实体，其具有能够经由诸如创建、检索、更新和删除等RESTful方法操纵的表示形式。使得这些资源能够使用统一资源标识符(URI)来寻址。资源可包含子资源和属性。子资源是与父资源具有包含关系的资源。父资源表示形式包含对其子资源的引用。子资源的寿命由父资源的寿命限制。每个资源支持存储关于所述资源的信息的一组“属性”。认证是验证服务层注册者的身份与可信凭证相关联的过程。如何执行认证过程将取决于所使用的认证机制。例如，在基于证书的认证的情况下，认证通常涉及核实数字签名。在对称密钥认证的情况下，认证通常涉及核实消息认证码(MAC)。相互认证是在注册者与其正在注册的服务层之间发生的双向认证。因此，相互认证是服务层验证注册者的身份以及注册者验证服务层的身份的过程。服务层授权机制用以控制对托管在服务层中的资源和/或服务的访问。授权通常涉及基于静态提供的授权策略和指配角色来允许经过认证的注册者访问托管在服务层中的资源和服务。授权策略是定义给定服务层注册者是否被准许访问托管在服务层中的受保护资源或服务的一组规则。这些策略可基于不同机制。三种常见类型的授权策略是授权列表(ACL)、基于角色的授权(RBAC)和基于订阅的授权(SBAC)。服务层ACL定义哪些服务层注册者被准许访问哪些资源和服务以及其被允许对给定资源或服务执行哪些操作。例如，注册者123被允许读取(而不是写入)资源ABC。服务层RBAC基于指配给注册者的特定角色来定义对资源或服务执行特定操作的特权。例如，注册者123可具有作为“管理员”的角色，而注册者456可具有作为“用户”的角色。RBAC可定义“管理员”具有对特定资源的读取和写入访问两者，而“用户”仅具有读取访问。服务层SBAC基于注册者的订阅级别来定义对资源或服务执行特定操作的特权。例如，注册者123可具有基于订阅的成本来使其有资格访问某些类型的服务而不能访问其它服务的订阅。ACL、RBAC和SBAC特权可基于服务层订阅模型来预先提供(即，带外配置)。例如，基于注册者已经在其本身与服务层提供商之间预先确立的服务层订阅的类型，订阅可确定在注册者尝试访问服务层资源和服务时许可其的特权的类型。M2M服务层(例如，oneM2M、ETSIM2M、OMALWM2M)是支持诸如上述授权机制等授权机制的服务层的实例。请注意，本公开的焦点是增强与服务层授权(不是识别和认证)相关联的授权功能性。oneM2M定义支持所配置的特权集合的现有<accessControlPolicy>资源，如图6A所示。特权可配置有一组授权规则(即，策略)，其定义哪些经过认证的服务层注册者具有访问与<accessControlPolicy>资源相关联的资源的特权。一旦配置，从服务层的角度来看，这些特权便通常为静态的。服务层在运行中不会动态创建、更新或删除特权。至今，oneM2M已经基于ACL策略来定义特权。oneM2M将这个ACL策略定义为能够存储在特权属性内的一组访问控制规则元组，其中每个元组由三个分量组成：AccessControlOriginators、accessControlOperations、accessControlContext。accessControlOriginators–被授权访问与这个授权策略相关联的资源的服务层注册者的集合(例如，CSE-ID或AE-ID的列表)。accessControlOperations–每个被授权服务层注册者被授权执行的操作的集合(例如，创建、检索、更新和删除)。accessControlContext–oneM2M当前定义以下三种类型的授权上下文：○accessControlTimeWindows-允许请求的时间窗口。在这个时间之外对本文档来自技高网...

【技术保护点】
一种包括处理器和存储器的设备，所述设备还包括存储在所述设备的所述存储器中的计算机可执行指令，所述计算机可执行指令在由所述设备的所述处理器执行时使得所述设备：在所述设备处的服务层处接收请求；在所述服务层处，确定所述请求的发起者是否具有适当的静态特权来访问目标资源；以及如果所述请求的所述发起者不具有适当的静态特权来访问所述目标资源，则使用动态授权评定所述请求并且基于所述动态授权来允许或拒绝所述请求。

【技术特征摘要】
【国外来华专利技术】2015.08.28 US 62/211,4711.一种包括处理器和存储器的设备，所述设备还包括存储在所述设备的所述存储器中的计算机可执行指令，所述计算机可执行指令在由所述设备的所述处理器执行时使得所述设备：在所述设备处的服务层处接收请求；在所述服务层处，确定所述请求的发起者是否具有适当的静态特权来访问目标资源；以及如果所述请求的所述发起者不具有适当的静态特权来访问所述目标资源，则使用动态授权评定所述请求并且基于所述动态授权来允许或拒绝所述请求。2.根据权利要求1所述的设备，其中，所述设备向咨询实体咨询以使用动态授权评定所述请求。3.根据权利要求2所述的设备，其中，所述服务层被配置有包括用于所述咨询实体的联系人信息的策略。4.根据权利要求2所述的设备，其中，所述咨询实体在响应中向所述服务层发送许可的特权的列表和与所述许可的特权相关联的寿命。5.根据权利要求4所述的设备，其中，所述设备通过添加如所述许可的特权的列表中指定的请求者来更新静态策略。6.根据权利要求5所述的设备，其中，所述请求者被临时添加到所述静态策略。7.根据权利要求1所述的设备，其中，所述设备接收动态授权策略。8.根据权利要求1所述的设备，其中，所述设备在接收到请求者已经做出支付的指示之后进行所述动态授权。9.根据权利要求1所述的设备，其中，所述设备在接收到请求者已经满足互换条件的指示之后进行所述动态授权。10.根据权利要求1所述的设备，其中，在所述动态授权中的使用声誉信息的认证中，所述设备使用关于请求者...

【专利技术属性】
技术研发人员：黛尔·N·希德，维诺德·库马尔·乔伊，威廉·罗伯特·弗林，李庆光，唐纳得·A·弗莱克，理查德·P·戈尔曼，尼古拉斯·波迪亚斯，迈克尔·F·斯塔西尼克，李鸿堃，陈卓，约根德拉·C·沙阿，沙米姆·阿克巴尔·拉赫曼，
申请(专利权)人：康维达无线有限责任公司，
类型：发明
国别省市：美国,US