JP7194736B2 - IoT/M2Mサービス層のデータまたはサービスに対するコンテキストアウェア認証 - Google Patents

IoT/M2Mサービス層のデータまたはサービスに対するコンテキストアウェア認証 Download PDF

Info

Publication number
JP7194736B2
JP7194736B2 JP2020531711A JP2020531711A JP7194736B2 JP 7194736 B2 JP7194736 B2 JP 7194736B2 JP 2020531711 A JP2020531711 A JP 2020531711A JP 2020531711 A JP2020531711 A JP 2020531711A JP 7194736 B2 JP7194736 B2 JP 7194736B2
Authority
JP
Japan
Prior art keywords
service layer
context
data
access
services provided
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020531711A
Other languages
English (en)
Other versions
JP2021507577A (ja
Inventor
4世,ウィリアム,ロバート フリン
シード,デイル,エヌ.
チェン,チュオ
リ,クァン
ムラディン,カタリナ,ミハエラ
ディジローラモ,ロッコ
Original Assignee
コンヴィーダ ワイヤレス, エルエルシー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by コンヴィーダ ワイヤレス, エルエルシー filed Critical コンヴィーダ ワイヤレス, エルエルシー
Publication of JP2021507577A publication Critical patent/JP2021507577A/ja
Application granted granted Critical
Publication of JP7194736B2 publication Critical patent/JP7194736B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/37Managing security policies for mobile devices or for controlling mobile applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Description

関連出願の相互参照
本出願は、2017年12月18日に出願の米国特許仮出願番号第62/607,006号の利益を請求し、その全体が参照として本明細書に組み込まれる。
M2M/IoTサービス層は、特に、M2M/IoTデバイスおよびM2M/IoTアプリケーション向けに付加価値サービスを提供することを目的とする技術である。近年、いくつかの業界規格団体(例えば、oneM2M、ETSI、OCFおよびLWM2M)は、インターネット/ウェブ、セルラー、企業ネットワーク、およびホームネットワークを伴う展開へのM2M/IoTデバイスおよびアプリケーションの統合に関連する課題に対処するM2M/IoTサービス層を開発している。
M2M/IoTサービス層により、アプリケーションおよびデバイスは、M2M/IoT指向能力の集合体へアクセスできる。いくつかの例としては、セキュリティ、課金、データ管理、デバイス管理、発見、プロビジョニングおよび接続管理が挙げられる。これらの能力は、APIを介して、アプリケーションに提供される場合があり、このAPIは、M2M/IoTサービス層によってサポートされるメッセージフォーマット、リソース構造、およびリソース表現を利用する。
動的コンテキストアウェア認証のために、IoT/M2Mサービス層がサービス層の登録者に提供することができる認証検証サービス(Authorization Verification Service:AVS)について開示する。AVSは、サービスまたはデータへのアクセスを認可する場合の動的な制限を、IoT/M2Mサービス層エンティティが定義できるようにすることができる。制限は、例えば、許可されるアクセス数を基準にして設定されてよい。IoT/M2M登録者が、動的コンテキストアウェア認可をそれらに対して有しているデータまたはサービスをリクエストした場合、AVSは、残りの利用可能なアクセスの記録を保持していてもよい。要求元は、任意のIoT/M2Mサービス層登録者またはIoT/M2Mサービス層登録者向けのプロキシであってもよい。
例示的機能性、すなわち、既存の認証ポリシーの範囲内にある新しいデータおよびサービスに対する認証ポリシーを動的に適用することと、IoT/M2Mサービス層登録者がIoT/M2Mサービス層に動的コンテキストアウェア認可期限を組み込むことを可能にすることと、これらの動的コンテキストアウェア認可期限に基づいてデータおよびサービスへのアクセスをIoT/M2Mサービス層によって管理することと、動的コンテキストアウェア認可期限の状態をIoT/M2Mサービス層によって更新することと、動的コンテキストアウェア認可期限の制限または条件が使い果たされると、アクセス権を無効にすることとが、提案されるAVSによってサポートされ得る。しかし、AVSは、上述のこれらの機能性に限定されないものと理解される。
本明細書で記載される方法およびシステムを使用することによって、IoT/M2Mセンサまたはアプリケーションが、IoT/M2Mサービス層のデータおよびサービスにアクセスする認可を出す動的コンテキストアウェア認証ポリシーに、追加の特徴および能力を組み込むことが可能である。ポリシーを他のデータおよびサービスにどう適用することができるか、特定の操作を認可するときに、追加のシステムコンテキストをどのように考慮に入れることができるか、ならびに、デバイスまたはエンティティの考えられる動作および特性が、IoT/M2Mサービス層によってどのように表現でき、かつ施行できるかを記述している規則が存在する場合がある。これらの発想により、より簡単な展開、より効果的な操作、よりセキュアな操作、およびより信頼性のある操作をもたらすことが可能である。
本願のより確固たる理解を促進するために、参照番号が添付の図面に記載されるが、この各図面において、同じ要素は同じ番号を用いて参照される。これらの図面は、本願を限定するものと解釈されるべきではなく、単に例証を意図したものである。
図1は、サービス層をサポートしている例示的プロトコルスタックを示す図である。 図2は、様々なタイプのネットワークノードに展開される例示的M2M/IoTサービス層を示す図である。 図3は、例示的oneM2Mアーキテクチャを示す図である。 図4は、例示的oneM2M共通サービス機能を示す図である。 図5は、oneM2Mアーキテクチャによってサポートされる例示的構成を示す図である。 図6は、oneM2M動的認証の例示的フロー図である。 図7は、oneM2M分散型認証プロシージャの例示的フロー図である。 図8は、例示的ユースケースの現在のソリューションを示す図である。 図9は、認証検証サービスの一例を示す図である。 図10は、認可範囲の例示的フロー図である。 図11は、認可状態管理の例示的フロー図である。 図12Aは、1つまたは複数の開示する実施形態がその中で実装される可能性のある、例示的マシンツーマシン(Machine-To-Machine:M2M)またはモノのインターネット(Internet of Things:IoT)通信システムの系統図である。 図12Bは、図12Aに示されているM2M/IoT通信システム内で使用される可能性のある、例示的アーキテクチャの例示的系統図である。 図12Cは、図12Aに示されている通信システム内で使用される可能性がある、例示的M2M/IoT端末またはゲートウェイデバイスの例示的系統図である。 図12Dは、図12Aの通信システムの態様がその中で具現化される可能性のある、例示的コンピュータシステムの例示的ブロック図である。
IoT/M2Mサービス層アーキテクチャは、通信ネットワーク上のセンサまたは他のアプリケーションからのデータにアプリケーションがアクセスできるようにする付加価値的な特徴およびソリューションに焦点が当てられたものである。既存のサービス層は、例えば、要求元の位置が固定位置の10メートル圏内の中にあることを必要とするコンテキストベースの認証を提供する場合がある。本明細書で記載される方法およびシステムは、システムの条件に基づいて認証コンテキストが動的に変更されることに対処できる。
プロトコルスタックの観点から、サービス層は典型的には、アプリケーションプロトコル層の上位に位置し、かつサポートしているアプリケーションに付加価値サービスを提供する。それゆえサービス層は、「ミドルウェア」サービスとして分類されることが多い。図1は、アプリケーションプロトコルとアプリケーションとの間に位置する例示的サービス層を示す。展開の観点から、M2M/IoTサービス層は、図2に示すようなサーバ、ゲートウェイ、およびデバイスなどの様々なタイプのネットワークノードで展開される場合がある。
oneM2M規格は、M2M/IoTサービス層を規定している(oneM2Mの、TS-0001 oneM2M Functional Architecture-V-3.6.0参照)。サービス層の目的は、e-ヘルス、フリート管理、およびスマートホームなどの様々な「バーティカル」M2Mシステムおよびアプリケーションが利用することができる「ホリゾンタル」サービスを提供することである。oneM2Mサービス層のアーキテクチャは、図3に示すように、4つの参照点をサポートする共通サービスエンティティ(Common Service Entity:CSE)を画定する。Mca参照点は、アプリケーションエンティティ(Application Entity:AE)とのインターフェースをとる場合があり、Mcc参照点は、同じサービスプロバイダドメイン内の別のCSEとのインターフェースをとる場合があり、Mcc’参照点は、異なるサービスプロバイダドメイン内の別のCSEとのインターフェースをとる場合があり、およびMcn参照点は、下位ネットワークサービスエンティティ(Network Service Entity:NSE)とのインターフェースをとる場合がある。NSEは、デバイス管理、位置サービス、およびデバイストリガなどの下位ネットワークサービスをCSEに提供する。CSEは、「発見」、および「データ管理およびリポジトリ」などの共通サービス機能(Common Service Functions:CSF)、と呼ばれる複数の論理機能を含む。図4は、oneM2MによってサポートされるCSFの例を示す。
oneM2Mアーキテクチャは、分散型アーキテクチャであり、以下の例示的なタイプのノード全体にわたって分散して展開するM2M/IoTサービスをサポートする。
アプリケーションサービスノード(Application Service Node:ASN)は、1つのCSEを含み、かつ少なくとも1つのアプリケーションエンティティ(AE)を含むノードである。一例では、ASNは、M2Mデバイス内に常駐する場合がある。
アプリケーション専用ノード(Application Dedicated Node:ADN)は、少なくとも1つのAEを含むが、CSEは含まないノードである。一例では、アプリケーション専用ノードは、制限のあるM2Mデバイス内に常駐する場合がある。
中間ノード(Middle Node:MN)は、1つのCSEを含み、かつゼロ以上のAEを含むノードである。例えば、MNは、M2Mゲートウェイに常駐する場合がある。
インフラストラクチャノード(Infrastructure Node:IN)は、1つのCSEを含み、かつゼロ以上のAEを含むノードである。IN内のCSEは、他のノードタイプには適用されないCSE機能を含む場合がある。一例では、INは、M2Mサービスインフラストラクチャ内に常駐する場合がある。
非oneM2Mノード(Non-one M2M Node:NoDN)は、oneM2Mエンティティを(AEもCSEもどちらも)含まないノードである。このようなノードは、管理を含む相互動作目的のために、oneM2Mシステムに接続されたデバイスを意味する。
oneM2Mシステム内でサポートされている種々のエンティティを相互接続した例示的構成を図5に示す。
oneM2M動的認証モデルは、リソースオーナーに代わって、リソースに対する動的認証を提供する能力をサポートする。これは、図6に示すように、動的認証に対するポリシーを用いて構成され、かつ認可を出すトークンを発行するための証明書が提供される、動的認証システムサーバを含む場合がある。
oneM2Mエンティティが、アクセスのための既存の権限を有していないリソースへのアクセスを試みると、動的認証プロシージャは、リクエストされた権限をDASサーバから取得することを試みるように構成される場合がある。
oneM2M分散型認証プロシージャは、oneM2Mエンティティがリソースへのアクセスを許されるべきかどうかを決定するための基本的ステップを定義する。図7に示し、かつ以下に記載するような、分散型認証プロシージャの構成要素(PEP、PRP、PDPおよびPIP)は、異なるノードにわたって分散されるか、単一のノード上ですべて一緒にされる場合がある。
ポリシー施行点(Policy Enforcement Point:PEP)について、この構成要素は、リソースアクセスリクエストをインターセプトし、アクセス制御定義リクエストを行い、かつアクセス制御定義を施行することができる。PEPは、認証サービスを必要とするエンティティと共に存在する場合がある。
ポリシー定義点(Policy Decision Point:PDP)について、この構成要素は、PRPおよびPIPと相互に連絡をとり、各認証ポリシーをそれぞれ評価するために必要とされる適用可能な認証ポリシーおよび属性を得て、アクセス制御定義を行うために、認証ポリシーを使用して、アクセスリクエストを評価してもよい。
ポリシー検索点(Policy Retrieval Point:PRP)について、この構成要素は、アクセス制御定義リクエストに応じて、適用可能な認証ポリシーを取得することができる。これらの適用可能なポリシーは、最終アクセス制御定義を得るために、組み合わされてもよい。
ポリシー情報点(Policy Information Point:PIP)について、この構成要素は、認証ポリシーを評価するために必要とされる属性、例えば、要求元のIPアドレス、リソースの作成の時間、および現在の時間または位置などを提供することができる。
3つの例示的ユースケースについて、本明細書に記載する。
コンテキストアウェアアクセスユースケース#1。新しいデバイス認証-IoT/M2Mサービス層の標準化は、より簡単なアプリケーション開発を促進し、既存のシステムへの開発、展開および組み込みの費用効果をもたらすことを目的としたものである。センサまたはアクチュエータなどの新しいデバイスを追加するときに、それらのデバイスが属するシステムを管理するアプリケーションにそれらのデバイスを組み込むことは容易である必要がある。例えば、新しいスマート電球の追加は、各家族が住居の中でデバイスを管理するために用いるスマートホームアプリケーションに組み込みやすくする必要がある。電球が、居間にある場合、家族すべてが、スマート電球を制御できる必要がある。しかし、電球が親の主寝室にある場合、子供は、そのスマート電球にアクセスすることを認可されない場合がある。これらの異なる認証は、スマート電球の構成のコンテキストを考慮に入れて簡単に設定される必要がある。
コンテキストアウェアアクセスユースケース#2。発信元以外のコンテキスト-一部のIoT/M2Mサービス層は、要求元/発信元のコンテキストによって決まるアクセスポリシーをサポートする。例えば、発信元からリクエストがきて、その発信元の位置が家から近い場合に、ドアロックにアクセスする認可を出す場合がある。発信元以外のエンティティのコンテキストを用いて、一部の対象のシナリオが展開される場合もある。例えば、ドアロックにアクセスする認可は、家のオーナーが家にいない場合にのみ、出されてもよい。
コンテキストアウェアアクセスユースケース#3。誤動作デバイス-IoT/M2Mデバイスは、IoT/M2Mサービス層からデータを送信および検索する自律的センサまたはアプリケーションである場合がある。多数のセンサおよびアプリケーション販売業者による一般的な標準または専売IoT/M2Mソリューションの使用により、誤作動または作為的設計によってデバイスが適切に動作しないといったことになり、結果としてシステム性能の低下につながる可能性がある。例えば、通過する車両をカウントする交差点のセンサは、1秒ごとに最大レートで、通過車両を示すメッセージを送信することが考えられる。しかし、メッセージを非常に高レートで送信するこのデバイスが何らかの理由で誤動作する場合、IoT/M2Mサービス層全体に影響を与える可能性がある。例えば、これにより、IoT/M2Mサービス層において停止問題が発生する可能性があり、センサ「オーナー」の予想外のデータ格納費用が生じる可能性があり、かつこのセンサを監視するアプリケーションで高データ使用を引き起こす可能性がある。
上述した異なるユースケースは、IoT/M2Mサービス層での、改良されたコンテキストベースの認証方法の必要性を強調するものである。図8は、これらのユースケースがどのように実装される可能性があるかの一部の例を示す。
ユースケース#1のような、新しいデバイスを既存のシステムに追加する場合、デバイスまたはアプリケーションを組み込むために、様々な方法がある。例えば、oneM2Mでは、スマート電球を使用する認可を出すプロシージャは、家の中のどのユーザが権限を有しているかを示す新しいアクセス制御ポリシーを追加することによって行われる場合がある。これにより、システム内のデバイスまたはアプリケーションごとにポリシーを有するように導くことができる。変形例は、複数のデバイスまたはアプリケーションに適用できるポリシーを作成することである場合がある。実際に起こり得ることとしては、認証が非常に制約的であり、単一のエンティティしか制御を行うことを許されていないか、または反対に、認証ポリシーに対してごくわずかな制約しか実装されないことである。
ユースケース#2のような、データにアクセスする認可を出すための定義プロセスに発信元以外のエンティティに関連するコンテキストを追加することは、プライバシー問題、より多くのアプリケーション複雑性、およびポリシー制御の分散化につながる可能性がある。これらのアプローチは、信頼性に欠け、また場合によってはセキュリティリスクが増す可能性がある。
ユースケース#3で記載したような、誤作動デバイスの場合、サービス層は、特定のデバイスまたはアプリケーションの考えられる操作特性を定義して、実際の操作特性をキャプチャし、かつ異常動作を検出/防止する方法を決定する必要がある場合がある。このことは、IoT/M2Mサービス層を用いるすべてのデバイスおよびアプリケーションに対して行われる必要がある場合がある。現在、このことを行うためのメカニズムは規定されていない。
IoT/M2Mサービス層アーキテクチャは、センサまたは他のアプリケーションからのデータにアプリケーションがアクセスできるようにする付加価値的な特徴およびソリューションに焦点が当てられたものである。既存のサービス層は、例えば、位置または要求元が固定位置の10メートル圏内の中にあることを必要とする、コンテキストベースの認可を与える場合がある。本明細書で記載される方法およびシステムは、システムの条件に基づいて認証コンテキストが動的に変更されることに対処できる。
動的コンテキストアウェア認証のために、IoT/M2Mサービス層がサービス層の登録者に提供することができる認証検証サービス(AVS)について開示する。AVSは、サービスまたはデータへのアクセスを認可する場合の動的な制限を、IoT/M2Mサービス層エンティティが定義できるようにすることができる。制限は、例えば、許可されるアクセス数を基準にして設定されてよい。IoT/M2M登録者が、動的コンテキストアウェア認可をそれらに対して有しているデータまたはサービスをリクエストした場合、AVSは、残りの利用可能なアクセスの記録を保持していてもよい。要求元は、任意のIoT/M2Mサービス層登録者またはIoT/M2Mサービス層登録者向けのプロキシであってもよい。
例示的機能性、すなわち、既存の認証ポリシーの範囲内にある新しいデータおよびサービスに対する認証ポリシーを動的に適用することと、IoT/M2Mサービス層登録者がIoT/M2Mサービス層に動的コンテキストアウェア認可期限を組み込むことを可能にすることと、これらの動的コンテキストアウェア認可期限に基づいてデータおよびサービスへのアクセスをIoT/M2Mサービス層によって管理することと、動的コンテキストアウェア認可期限の状態をIoT/M2Mサービス層によって更新することと、動的コンテキストアウェア認可期限の制限または条件が使い果たされると、アクセス権を無効にすることとが、提案されるAVSによってサポートされる場合がある。しかし、AVSは、上述のこれらの機能性に限定されないものと理解される。
本明細書で記載される方法およびシステムを使用することによって、IoT/M2Mセンサまたはアプリケーションが、IoT/M2Mサービス層のデータおよびサービスにアクセスする認可を出す動的コンテキストアウェア認証ポリシーに追加の特徴および能力を組み込むことが可能である。ポリシーを他のデータおよびサービスにどう適用することができるか、特定の操作を認可するときに、追加のシステムコンテキストをどのように考慮に入れることができるか、ならびに、デバイスまたはエンティティの考えられる動作および特性が、IoT/M2Mサービス層によってどのように表現され、かつ施行されるかを記述している規則が適用されてもよい。これらの特徴により、より簡単な展開、より効果的な操作、よりセキュアな操作、およびより信頼性のある操作をもたらすことが可能である。
一実施形態では、サービス層の認証検証サービスは、サービス層によって提供されるデータまたはサービスのうち少なくとも一方にアクセスするリクエストをデバイスから受信することと、サービス層によって提供されるデータまたはサービスのうち少なくとも一方に関連付けられた認証ポリシーを決定することと、認証ポリシーに関連付けられた1つまたは複数のコンテキストアウェア状態を決定することであって、ここで、該1つまたは複数のコンテキストアウェア状態は、サービス層によって提供されるデータまたはサービスのうち少なくとも一方にアクセスする場合の1つまたは複数の条件の標示を含み、かつ該1つまたは複数の条件は、サービス層によって提供されるデータまたはサービスのうち少なくとも一方への許可されるアクセス数を含むことと、1つまたは複数のコンテキストアウェア状態に関連付けられた1つまたは複数の条件が有効かどうかを判断することと、1つまたは複数のコンテキストアウェア状態に関連付けられた1つまたは複数の条件が有効であるという判断に基づいて、サービス層によって提供されるデータまたはサービスのうち少なくとも一方へのアクセスをデバイスに許可することと、を含む操作を実施するように構成されてもよい。
1つまたは複数のコンテキストアウェア状態に関連付けられた1つまたは複数の条件は、サービス層によって提供されるデータまたはサービスのうち少なくとも一方にアクセスする場合の時間長をさらに含んでもよい。1つまたは複数のコンテキストアウェア状態に関連付けられた1つまたは複数の条件は、サービス層によって提供されるデータまたはサービスのうち少なくとも一方へのアクセスを許可されるデバイスのタイプをさらに含んでもよい。1つまたは複数のコンテキストアウェア状態に関連付けられた1つまたは複数の条件は、デバイスおよびサービス層によって提供されるデータまたはサービスのうち少なくとも一方にアクセスするリクエストから独立していてもよい。認証検証サービスは、サービス層によって格納されている1つまたは複数のデータ、またはサービス層によって実施される操作に基づいてコンテキストアウェア状態を決定することができる。1つまたは複数のコンテキストアウェア状態は、認証ポリシーに書き込まれていてもよい。操作は、サービス層によって提供されるデータまたはサービスのうち少なくとも一方へのアクセスを許可することに基づいて、認証ポリシーに関連付けられた1つまたは複数のコンテキストアウェア状態を更新することをさらに含んでもよい。
別の実施形態では、サービス層の認証検証サービスは、サービス層のコアサービス機能から、サービス層によって提供されるデータまたはサービスのうち少なくとも一方にアクセスするリクエストを受信することと、リクエストに対応する認証ポリシーを決定することと、認証ポリシーに関連付けられた1つまたは複数のコンテキストアウェア状態を決定することと、1つまたは複数のコンテキストアウェア状態に基づいて、サービス層によって提供されるデータまたはサービスへのアクセスをサービス層エンティティに許可するかどうかを決定することと、を含む操作を実施するように構成されてもよい。
コンテキストアウェア状態は、対応する認証ポリシーに書き込まれていてもよい。一例では、認証ポリシーに関連付けられたコンテキストアウェア状態は、ポリシーの時間長またはポリシーへの許可されるアクセス数を含んでよい。認証検証サービスは、サービス層によって格納されているデータまたは、サービス層によって実施される操作に基づいてコンテキストアウェア状態を決定することができる。認証検証サービスは、コンテキストアウェア状態の1つまたは複数の条件が満たされたという判断に応じて、サービス層によって提供されるデータまたはサービスへのアクセスを許可してもよい。一例では、認証検証サービスは、認証ポリシーに関連付けられた1つまたは複数のコンテキストアウェア状態を更新してもよい。認証ポリシーは、認可範囲プロシージャを使用して作成されてもよい。一例では、認証検証サービスは、コンテキストアウェア状態の1つまたは複数の条件が満たされていないという判断に応じて、サービス層によって提供されるデータまたはサービスへのアクセスを拒否してもよい。さらに、認証検証サービスは、認証ポリシーを削除するか、または1つまたは複数の動的認証プロシージャをトリガしてもよい。
IoT/M2Mサービス層は、特定の認証に対する制限を、IoT/M2Mサービス層でホストされるデータを作成または制御するIoT/M2Mサービス層登録者が定義することを可能にすることができる。例えば、認証は、10アクセス、100アクセスまたは無制限アクセスに対処できる。IoT/M2Mサービス層のAVSは、認証ポリシーのコンテキストを確認し、アクセスが認可されているかを検証してもよく、またポリシーに関連付けられた状態(コンテキストアウェア状態)を確認および更新し、特定の認証範囲を超えていないかを確かめてもよい。新しいサービスまたはデータが提供される場合、既存の認証ポリシーの自動適用のサポートが提供されてもよい。
リクエストが、IoT/M2Mサービス層のサービスまたはリソースに対して行われるときに、リクエストは、それが、要求元に対して「認可される」べきか、「拒否される」べきかどうかについて定義する権限のセットと照合されてよい。既存の認証ポリシーが、そのリクエストは「認可される」と示す場合、IoT/M2Mサービス層は、リソースまたはサービスへのアクセスを提供してもよい。一実施形態では、図9に示すように、「認証検証サービス」は、2つの構成要素を有する場合がある。第1に、リクエストが、リクエストされたデータまたはサービスに関連するポリシーによって「認可されなかった」場合、AVSは、検索し、認可を出す定義済み認可範囲(リクエストに先だって予め構成されているか、または予め準備されている)が存在するかどうかを確認してもよい。これは、前もって認可範囲が存在しない場合に、認可を出すプロセスではなく、このリクエストがその「認可範囲」に含まれる既存のポリシーを検索するプロセスである、という点に留意すべきである。第2に、リクエストを「認可した」ポリシーは、リクエストされた操作を認可するために満たされる必要がある可能性のある「動的コンテキスト」があるかどうかを確認するためにさらに検査されてもよい。
ポリシーは、リクエストが認可されるかどうかを決定するソフトウェアアルゴリズムによって処理され得る文書またはデータ構造として定義されてよい。リクエストが、IoT/M2Mサービス層によってホストされているデータまたはサービスにアクセスするために行われる場合、リクエストの発信元に認可を出すポリシーがあるかどうかを認識するために確認が行われてよい。RESTfulシステムでは、各データ要素またはサービスは、この決定を行うために使用される既存のポリシーと見なされる場合がある。場合によっては、リクエストされているデータまたはサービスは、データまたはサービスの階層構造に基づいて既存のポリシーの参照を引き継ぐことが可能である。例えば、IoT/M2Mエンティティは、ルート位置からの直系子孫として識別されるすべてのデータまたはサービスに対する認可が与えられてもよい。一実施形態では、ポリシーは、サービス層で格納されてもよい。例えば、ポリシーは、XMLまたはJSON文書として、またはサービス層で格納されているテーブルに格納されてよい。
データまたはサービスのグループへのアクセスの自動適用の方法は、「認可範囲」を定義することによって拡張されてもよい。認可範囲は、ポリシーで定義されるIoT/M2Mエンティティによってアクセスされる場合があるデータまたはサービスのセットを規定してもよい。一実施形態では、データおよびサービスの規定は、データおよびサービスの明確なリストであるか、またはデータまたはサービスに関連付けられたメタデータの値に基づくものである場合がある。認可範囲は、既存のポリシー定義の拡張であるか、あるいは、別個の、または新しいポリシータイプであってもよい。一実施形態では、認可範囲は、このポリシーが適用されるデータまたはサービスの識別情報、このポリシーが適用されるデータまたはサービスのメタデータの値、このポリシーが適用されるIoT/M2Mエンティティの識別情報、およびデータまたはサービスにアクセスするエンティティに付与される特定の権限、のうち1つまたは複数の構成要素を有していてもよい。このポリシーは、XMLまたはJSON文書として、またはサービス層で格納されているテーブルに格納されてよい。
例えば、IoT/M2Mサービス層でホストされるデータのプロバイダ1は、プロバイダ1によって作成/所有され、かつデータがカテゴリーAであると示すメタデータを有する全データに、ユーザ1がアクセスできると規定するポリシーを作成することができる。認可範囲を使用して、新しいデータがメタデータで規定されているカテゴリーAを用いてプロバイダ1によって作成される場合、ユーザ1は、データの階層位置に関係なく新しいデータにアクセスすることを(望まれない限り)動的に認可されてよい。IoT/M2Mアプリケーションでは、これにより、センサごとにSL認証ポリシーを設定する必要なく、配備される新しいセンサからのデータへのアクセスを許可するプロセスを単純化できる。図10は、「認可範囲」を実装するために必要とされるステップの例示的実施形態を示す。
ステップ1では、新しいリクエストが届くと、IoT/M2Mサービス層は、リクエストされている特定のサービスまたはデータに適用する認証ポリシーを検索する。ポリシーが識別されると、発信IoT/M2Mエンティティがリクエストした操作を実施することを認可されているかどうかを認識するために、それらポリシーは確認されてよい。そのリクエストが「許可される」と決定される場合、IoT/M2Mサービス層は、データまたはサービスへのアクセスを提供してもよい。認可されない場合、プロシージャは、AVSにリクエストを発行することで、ステップ2に進む。「認可範囲リクエスト」メッセージ(2a)は、リクエストされたデータまたはサービスの識別子、要求元の識別子、およびリクエストされた操作の識別子のうち1つまたは複数を含んでもよい。
ステップ2では、AVSは、規定されている「認可範囲」を有するポリシーを検索する。リクエストされたデータまたはサービス、リクエストを行ったIoT/M2Mエンティティ、およびリクエストされた操作に適用する、定義されている「認可範囲」を有するポリシーが見つかる場合、リクエストは、「認可される」ことが決定される。リクエストされたデータまたはサービスの(記述的、構造的および管理上の)メタデータは、この「認可範囲」評価が行われるときに考慮され得る。例えば、ポリシーは、リクエストされたデータまたはサービスのタグまたはラベルが、特定の値またはトークンを含むことを必要とする場合がある。
ステップ3では、「認可範囲」は、リクエストされたサービス/データに対して新しいポリシーが作成される(3a)べきかどうか、もしくは現在のポリシーまたは別の既存のポリシーをサービス/データに割り当てられる(3b)べきかどうかを定義し得る。IoT/M2Mサービス層は、ステップ2で見つかったポリシーを反映する、またはこのステップで後のリクエスト向けに考慮されて作成されたリクエストされたデータまたはサービスに関連付けられたメタデータを更新してもよい。例えば、データまたはサービスに付属するメタデータまたは属性は、新しいポリシーへの指示子を用いて更新される場合がある。
ステップ1から3は、実装形態では、統合されてもよいものと理解される。
これらの新しいポリシーの態様を使用して、IoT/M2Mサービス層が簡単な呼出フローを伴う先進の能力を提供することを可能にする認証ポリシーの有効期間を管理してもよい。例えば、最大10個の認可を許すポリシーの定義を有効にするように新しい特徴が拡張されて、認可が使い果たされた後に、自動的にポリシーを削除することができる。あるいは、ポリシーは、日ごとに、日々の制限を規定する能力を提供することをリセットすることができる。新しいポリシーの例示的情報は、表1に一覧で記載され、かつ「サービス/データ更新」メッセージに含まれてもよい。
Figure 0007194736000001
表1に記載したコンテキストのいくつかを使用するための追加の説明またはプロシージャについて以下に説明する。
timeDuration態様を使用して、ポリシーがどれくらいの間、効力を持続できるかを規定してもよい。これは、認可範囲プロシージャが新しいポリシーを作成するときに、新しいポリシーが作成される場合に使用されてよい。timeDuration値は、新しいポリシーの満了時間を規定するために、現在の時間(新しいポリシーの作成時間)に追加されてもよい。
resetCondition態様を使用して、現在の動的状態がゼロなどの初期値にリセットされるときの時間または条件を規定してもよい。resetCondition態様の使用の一例では、IoT/M2Mサービス層は、毎時間12のアップロードをIoT/M2Mエンティティが実施することを認可するように要求してもよい。IoT/M2Mサービス層は、各アップロード後に、count動的コンテキストを更新して、countLimitよりもcountが小さい場合、リクエストを認可してもよい。毎時間、IoT/M2Mサービス層は、ゼロにcount動的コンテキストをリセットしてもよい。
deleteWhenExhausted動的コンテキストは、アプリケーションおよびIoT/M2Mサービス層向けの動的コンテキストアウェア認証の管理を容易にするために使用される。これにより、無効となり有用ではなくなったポリシーを削除するメカニズムが可能になる。この値が、「真」として規定されて、動的コンテキスト確認が認可を出さず、かつリセット条件が規定されない場合、ポリシーは、IoT/M2Mサービス層によって削除されてよい。
認証ポリシーが、ユーザがリソースにアクセスするために存在する場合、動的コンテキストアウェア認証は、ポリシーに関連付けられた条件付きのコンテキストがあるかどうか評価してもよい。認証ポリシーは、プロビジョニングを通してユーザ向けに存在するか、または本明細書に記載された「認可範囲」プロシージャによって作成されてもよい。動的コンテキストアウェア認証が適用されると決定される場合、AVSは、特定のコンテキストに対応する状態を修正してもよい。
図11は、コンテキストアウェア認証状態に関連付けられた状態を管理するAVSの呼出フローを示す。
ステップ1では、コンテキストアウェア状態が認証ポリシーで規定されている場合に、AVSは、それらを受け取る。コンテキストを確認するために必要な情報が、認証ポリシーに記述されている場合がある。動的状態は、ポリシーに書き込まれる場合があるか、もしくは状態およびコンテキストを決定するために、他のIoT/M2Mサービス層のデータまたは操作の確認が必要である場合がある。
ステップ2では、現在のコンテキストアウェア状態が、ポリシーによって規定されているすべての条件を満たす場合、認可が出されてもよい。条件を満たさない場合、認可は出されない。認可判断は、サービス層に返されてもよい。これによりまた、認可範囲プロシージャをトリガできる。
ステップ3では、コンテキストアウェア状態が規定されている場合、AVSは、それらを調整する。これは、カウンタ属性に加算すること、またはカウントダウン属性から減算することを含んでもよい。動的コンテキストアウェア状態が、ペイロードサイズを基準にしている場合、応答がユーザに送信された後に、この調整が行われてもよい。例えば、ペイロードの後に、応答で送信されるmaxDownload状態が使用される場合、情報は、「ダウンロードカウンタ」を更新するために利用されてもよい。
コンテキストアウェア状態が、アクセスを許可する条件を満たさない場合、AVSは、動的認証プロシージャをトリガするか、コンテキストアウェア認証ポリシーを削除または無効にすることができる。
認証は、概して、CRUD(CREATE、RETRIEVE、UPDATEおよびDELETE)の基本的操作に適用される。認証はまた、例えば、NOTIFYおよびDISCOVERY(oneM2Mによる例のような)のCRUDから派生する操作に適用することができる。IoT/M2Mエンティティは、特定のサービスまたはデータに対するRETRIEVE認可を与えられてもよい。これは、概して、静的認可、またはめったに変更されない認可である。本明細書で記載される情報要素は、認可が出されるかどうかを決定するときに、動的条件が考慮されることを可能にする。例えば、IoT/M2Mエンティティは、「オーナー」が家にいない場合のみ、一度だけ家のドアの「開錠」を許可されてもよい。コンテキストアウェア認証情報の欠如は、無制限のアクセスを意味する。表2にコンテキストウェア認証フィールドの説明を示す。
Figure 0007194736000002
uploadCount動的コンテキストの使用例は、IoT/M2Mエンティティによって、どれくらいのデータがIoT/M2Mサービス層に作成または格納できるかの定義として規定される値を使用することである。IoT/M2Mサービス層は、操作を認可するために、このポリシーを使用するたびにuploadCountを更新してもよい。uploadCountがmaxUpload値を上回る場合、CREATEまたはUPDATE操作は、認可されない場合がある。IoT/M2Mエンティティによってリクエストされる操作が、RETRIEVEまたはDELETEである場合、maxUpload確認は、却下される場合があるが、依然として適用される可能性もある。RETRIEVEまたはDELETE操作の場合は、uploadCountは、更新されない場合がある。
accessTechnology動的コンテキストを使用して、IoT/M2Mサービス層と通信するために用いられるアクセスのタイプに基づいて認可を制約してもよい。例示的ユースケースでは、IoT/M2Mエンティティは、IoT/M2Mサービス層へのリクエストを送信する複数の方法を用いる場合がある。しかし、リクエストが、そのリクエストのためにブルートゥース(登録商標)技術を用いる場合、IoT/M2Mは、IoT/M2Mエンティティが特定のデバイスのみで操作を実施することを認可することがある。
outOfVicinityおよびinVicinity動的コンテキストを使用して、IoT/M2Mエンティティが配置されている場所に基づいて認可を制約してもよい。この値は、リクエストを行っているIoT/M2Mエンティティに適用することができる。加えて、この値は、本明細書で記載される方法およびシステムを使用して、任意のIoT/M2Mエンティティに適用されてよい。これにより、IoTアクチュエータおよびアプリケーションの開発を簡単にできる可能性がある。例えば、遠隔で大規模な機械に電源を入れる能力を備える製造工場では、機械の周囲の安全区域内に、人がいない、または物体がないことを確認する実装形態がある場合がある。アプリケーションは、まず安全区域を確認し、かつ安全区域がクリアな場合のみ、機械に電源を入れる信号を送信してもよい。この安全区域確認を認証ポリシーに組み込むことは、アプリケーションを簡略化し、かつアプリケーションでのエラーが信号を送ることを許し、安全区域の確認なしに機械に電源を入れる可能性を減らすことでセキュリティを強化する。
ポリシーが適用される特定のデータまたはサービスにリクエストするのとはまったく異なり、requestorCriteria動的コンテキストを使用して、IoT/M2Mサービス層の全体にわたって実施されたことのあるIoT/M2Mサービス層操作に基づいて認可を制約してもよい。例えば、oneM2Mでは、要求元が、特定のリソースで100のcontentInstanceをまだ作成していない場合に、contentInstance作成操作が認可される場合がある。
oneM2Mサービス層認証システムは、以下の例示的論理機能で構成されていてもよい。
認可範囲管理(Authorization Scope Management:ASM)について、この機能は、ターゲットリソースおよびリクエストの発信元を含むauthenticationScope属性を有する既存の<accessControlPolicy>があるかどうかを判断する。見つかる場合、既存の<accessControlPolicy>を含むためにacpiは更新されてよい。oneM2Mの分散型認証が実装されている場合、ASMの機能性はPRPに含まれる場合がある。
認証コンテキスト機能(Authorization Context Function:ACF)について、この機能は、<accessControlPolicy>によって定義される任意のコンテキスト情報を収集するが、この情報は、発信元によって送信されるリクエストプリミティブからは導出できないものである。例えば、<accessControlPolicy>は、このリクエストが認可されるかどうかを評価するために、AEHomeOwnerの位置が必要とされることを規定してもよい。ACFは、AEHomeOwnerの位置を取得してもよい。ACFは、oneM2MのPIPに実装される場合がある。
調整認可状態(Adjust Authorization State:AAS)について、この機能は、リクエストされた/認可された操作に関連する状態を含む<accessControlPolicy>属性を更新する。<accessControlPolicy>の更新の後に発生するいずれの警告または他のアクションも、AASによって実施されてよい。例えば、alertThresholdCountが達する場合、AASは、通知を開始することができる。AASは、oneM2MのPIPまたはPDPに実装される場合がある。
コンテキストアウェア認証状態の本実装形態は、oneM2Mの、TS-0001 oneM2M Functional Architecture-V-3.6.0で規定されている既存のoneM2M<accessControlPolicy>に、新しい属性を追加する。以下に一覧で記載されるリソース定義は、概して、本明細書で提示される着想に関連する属性および子リソースのみを示す。本明細書に示されていない他の属性および子リソースも、実際の実施形態に、存在する場合がある。
oneM2Mは、どのoneM2Mエンティティが、<accessControlPolicy>に関連するリソースにアクセスできるかを規定する<accessControlPolicy>リソースを定義している。例えば、privileges属性が、アクセス制御規則のセットによって規定されてもよい。アクセス制御規則は、本明細書にて開示されるような属性およびプロシージャを用いて拡張される、サブ属性、accessControlContexts、およびaccessControlObjectDetailsを有していていもよい。
以下の新しいaccessControlContextsが、CSEによって確認されるアクセス制御ポリシーに関して考慮されてよい。表3にaccessControlContexts内のパラメータの新しいタイプを示す。
Figure 0007194736000003
accessControlLocationRegionは、国コードまたは、緯度、経度、および半径範囲を表す3つの値のセットとして規定されてよい。本開示では、操作を認可することを決定するときに、エンティティが定義された領域の内側にあるか、または定義された領域の外側にあることを示す指定子を追加する。一例では、エンティティのリストを規定して、発信元以外のエンティティが、位置条件を満たす必要があることを示すことができる。いずれのエンティティも提示されない場合、デフォルト動作は、位置比較を発信元の位置に適用することであってもよい。複数の領域がエンティティに対して定義された場合、1つの領域に対してのみ、条件を真にする必要がある場合がある。複数のエンティティが定義される場合、全エンティティに対して、条件を真にする必要がある場合がある。
accessControlLimitまたはaccessControlDataLimitが規定されている場合、この<accessControlPolicy>リソースが、使用された回数が、構成されたaccessControlLimitを超えるか、または伝送されたデータの量がaccessControlDataLimitを超える場合、操作を実施する認可が与えられない場合がある。アクセス数のカウントは、accessControlLimitに書き込まれてもよく、また伝送されるデータ量は、accessControlDataLimitに書き込まれてもよい。リクエストが、この特定の認証ポリシーに基づいて許可されるときに、これらのカウントは、リソースの読み取り専用属性として書き込まれてよく、かつこれらの値は、ホストCSEによって更新される。
oneM2Mは、アクセス制御規則の任意選択のパラメータとして、accessControlObjectDetailsを定義する。それは、アクセス制御規則が適用されるターゲットリソースの子リソースタイプのサブセットを規定する。
本開示中に記載された着想の実施形態は、以下の新しい属性を含むために、accessControlObjectDetailsの定義を拡張することができる。表4にaccessControlObjectDetails内のパラメータの新しいタイプを示す。
Figure 0007194736000004
発信元が、ターゲットリソースでの操作を実施することが認可されていない場合、ホストCSEは、ターゲットリソースの先祖リソースをCSEBaseまで確認し、propagateACP属性が規定されている<accessControlPolicy>を探してもよい。<accessControlPolicy>が、リクエストされた操作の認可を見つける場合、ホストCSEは、<accessControlPolicy>のリソース識別子を用いてターゲットリソースのaccessControlPolicyIDs属性をUPDATEするか、または、見つけた<accessControlPolicy>の属性に基づいて、新しい<accessControlPolicy>をCREATEしてもよい。新しい<accessControlPolicy>作成時、expirationTimeが、timeLimitで規定された値に従って設定されてよく、またpropagateACPが、nullに設定されてよい。ホストCSEが、ターゲットリソースのaccessControlPolicyIDs属性を更新するときに、リストの中の任意の他のリソース識別子に<accessControlPolicy>リソース識別子を追加するか、この<accessControlPolicy>を、このリスト内の唯一のものとして設定してもよい。
図9から11に示されているステップを実施する、AVS、AE、CSE、その他のSLエンティティなどのエンティティのいずれかは、論理エンティティであってもよく、そのエンティティは、図12Cまたは図12Dに示されるような無線および/またはネットワーク通信またはコンピュータシステム向けに構成された装置のメモリ内に記憶され、かつその装置のプロセッサで実行するソフトウェア(すなわち、コンピュータ実行可能命令)の形態で実装される場合がある。すなわち、図9から11に示される方法は、図12Cまたは図12Dに示される装置またはコンピュータシステムなどの装置のメモリに記憶されたソフトウェア(すなわち、コンピュータ実行可能命令)の形態で実装される場合があり、このコンピュータ実行可能命令は、装置のプロセッサによって実行されると、図9から11に示されるステップを実施するものである。また、図9から11に示される任意の伝送および受信ステップは、装置のプロセッサの制御および該プロセッサが実行するコンピュータ実行可能命令(例えば、ソフトウェア)下で、装置/エンティティの通信回路によって実施されてよいことも理解される。
図12Aは、1つまたは複数の開示する実施形態がその中で実装される可能性のある、マシンツーマシン(M2M)、モノのインターネット(IoT)、またはモノのウェブ(Web of Things:WoT)通信システム10の例の図である。概して、M2M技術は、IoT/WoTのための構築ブロックを提供し、かつ任意のM2Mデバイス、M2Mゲートウェイ、M2Mサーバ、またはM2Mサービスプラットフォームは、IoT/WoTのコンポーネントまたは装置、ならびにIoT/WoTサービス層などであってよい。図2から7および図9から11に示されるエンティティのいずれかは、図12Aから12Dに示されるような通信システムのネットワーク装置を含んでもよい。
サービス層は、ネットワークサービスアーキテクチャ内の機能層であってよい。サービス層は、典型的には、HTTP、CoAPまたはMQTTなどのアプリケーションプロトコル層の上位に位置し、かつクライアントアプリケーションに付加価値サービスを提供する。サービス層は、例えば、コントロール層およびトランスポート層/アクセス層などの下位リソース層のコアネットワークにインターフェースも提供する。サービス層は、サービス定義、サービス実行時有効化、ポリシー管理、アクセス制御、およびサービスクラスタ化を含む(サービス)能力または機能性の複数のカテゴリーをサポートする。近年、いくつかの業界規格団体、例えば、oneM2Mが、インターネット/ウェブ、セルラー、企業、およびホームネットワークなどの展開へのM2Mタイプのデバイスおよびアプリケーションの統合に関連する課題に対処するM2Mサービス層を開発している。M2Mサービス層は、CSEまたはSCLと呼ばれることもあるサービス層によってサポートされる上述の能力または機能性の集合またはセットへのアクセスをアプリケーションおよび/または種々のデバイスに提供することができる。いくつかの例としては、種々のアプリケーションによって一般に使用される場合のある、セキュリティ、課金、データ管理、デバイス管理、発見、プロビジョニング、および接続性管理が挙げられるが、これらに限定されない。これらの能力または機能性は、M2Mサービス層によって定義されるメッセージフォーマット、リソース構造、およびリソース表現を利用するAPIを介して、そのような種々のアプリケーションに提供されるものである。CSEまたはSCLは、ハードウェアおよび/またはソフトウェアによって実装される場合がある機能エンティティであり、該ハードウェアおよび/またはソフトウェアは、具現化される(サービス)能力または機能を種々のアプリケーションおよび/またはデバイス(すなわち、このような機能エンティティ間の機能インターフェース)に提供し、該アプリケーションおよび/またはデバイスは、このような能力または機能を使用する。
図12Aに示すように、M2M/IoT/WoT通信システム10は、通信ネットワーク12を含む。通信ネットワーク12は、固定ネットワーク(例えば、Ethernet(登録商標)、Fiber、ISDN、PLCなど)または無線ネットワーク(例えば、WLAN、セルラーなど)、もしくは異種ネットワークのネットワークであってよい。例えば、通信ネットワーク12は、音声、データ、ビデオ、メッセージング、ブロードキャストなどのコンテンツを複数のユーザに提供する複数のアクセスネットワークで構成されてよい。例えば、通信ネットワーク12は、符号分割多重アクセス(Code Division Multiple Access:CDMA)、時分割多重アクセス(Time Division Multiple Access:TDMA)、周波数分割多重アクセス(Frequency Division Multiple Access:FDMA)、直交FDMA(Orthogonal FDMA:OFDMA)、単一キャリアFDMA(Single-Carrier FDMA:SC-FDMA)などの1つまたは複数のチャネルアクセス方法を採用してもよい。さらに、通信ネットワーク12は、例えば、コアネットワーク、インターネット、センサネットワーク、産業制御ネットワーク、パーソナルエリアネットワーク、融合個人ネットワーク、衛星ネットワーク、ホームネットワーク、または企業ネットワークなどの他のネットワークを含んでよい。
図12Aに示すように、M2M/IoT/WoT通信システム10は、インフラストラクチャドメインおよびフィールドドメインを含んでもよい。インフラストラクチャドメインとは、エンドツーエンドM2M展開のネットワーク側を指し、またフィールドドメインとは、通常は、M2Mゲートウェイの背後にあるエリアネットワークを指す。フィールドドメインとインフラストラクチャドメインの両方は、ネットワークの種々の異なるネットワーク装置(例えば、サーバ、ゲートウェイ、デバイスなど)を含んでよい。例えば、フィールドドメインは、M2Mゲートウェイ14およびデバイス18を含んでもよい。任意の数のM2Mゲートウェイデバイス14およびM2Mデバイス18が、所望に応じてM2M/IoT/WoT通信システム10に含まれてもよいことが理解されよう。M2Mゲートウェイデバイス14およびM2Mデバイス18のそれぞれは、通信ネットワーク12または直接無線リンクを介して、通信回路を使用して信号を伝送および受信するように構成される。
M2Mゲートウェイデバイス14は、通信ネットワーク12などのオペレータネットワーク、または直接無線リンクのいずれかを通して、無線M2Mデバイス(例えば、セルラーおよび非セルラー)ならびに固定ネットワークM2Mデバイス(例えば、PLC)が通信できるようにする。例えば、M2Mデバイス18は、通信ネットワーク12または直接無線リンクを介して、データを収集し、かつデータをM2Mアプリケーション20または別のM2Mデバイス18に送信してもよい。M2Mデバイス18はまた、M2Mアプリケーション20またはM2Mデバイス18からデータを受信してもよい。さらに、以下で説明されるように、M2Mサービス層22を介して、データおよび信号はM2Mアプリケーション20に送信され、かつそこから受信されてもよい。M2Mデバイス18およびゲートウェイ14は、例えば、セルラー、WLAN、WPAN(例えば、Zigbee(登録商標)、6LoWPAN、Bluetooth(登録商標))、直接無線リンク、および有線を含む、種々のネットワークを介して通信してもよい。M2Mデバイスの例としては、タブレット、スマートフォン、メディカルデバイス、気温・天候モニター、コネクテッドカー、スマートメーター、ゲームコンソール、携帯情報端末、健康・フィットネスモニター、照明、サーモスタット、機器、ガレージドアおよびその他のアクチュエータ式デバイス、セキュリティデバイスおよびスマートコンセントなどが挙げられるが、これらに限定されない。
図12Bを参照すると、図示されているフィールドドメイン内のM2Mサービス層22は、M2Mアプリケーション20、M2Mゲートウェイ14およびM2Mデバイス18、ならびに通信ネットワーク12にサービスを提供する。M2Mサービス層22は、所望により、任意の数のM2Mアプリケーション、M2Mゲートウェイ14、M2Mデバイス18、および通信ネットワーク12と通信してよいことが理解されよう。M2Mサービス層22は、サーバ、コンピュータ、デバイスなどを含むことがある、ネットワークの1つまたは複数のネットワーク装置によって実装される場合がある。M2Mサービス層22は、M2Mデバイス18、M2Mゲートウェイ14およびM2Mアプリケーション20に適用するサービス能力を提供する。M2Mサービス層22の機能は、例えば、ウェブサーバとして、セルラーコアネットワークで、クラウドでなど、様々な方法で実装されてよい。
図示されているM2Mサービス層22に類似したM2Mサービス層22’が、インフラストラクチャドメイン内に存在する。M2Mサービス層22’は、インフラストラクチャドメイン内のM2Mアプリケーション20’および下位通信ネットワーク12にサービスを提供する。M2Mサービス層22’はまた、フィールドドメイン内のM2Mゲートウェイ14およびM2Mデバイス18にもサービスを提供する。M2Mサービス層22’は、任意の数のM2Mアプリケーション、M2MゲートウェイおよびM2Mデバイスと通信してよいことが理解されよう。M2Mサービス層22’は、異なるサービスプロバイダによるサービス層と相互に連絡をとってもよい。M2Mサービス層22’は、サーバ、コンピュータ、デバイス、仮想マシン(例えば、クラウドコンピューティング/ストレージファームなど)を含むネットワークの1つまたは複数のネットワーク装置によって実装されてよい。
図12Bをさらに参照すると、M2Mサービス層22および22’は、多様なアプリケーションおよびバーティカルなシステムが活用することができるサービス配信能力のコアセットを提供する。これらのサービス能力は、M2Mアプリケーション20および20’がデバイスと相互に連絡をとり、かつデータ収集、データ分析、デバイス管理、セキュリティ、請求、サービス/デバイス発見などの機能を実施することを可能にする。本質的に、これらのサービス能力は、これらの機能性を実装する負担をアプリケーションから取り除くので、アプリケーション開発を単純化し、かつ市場に出す費用および時間を削減する。サービス層22および22’はまた、M2Mアプリケーション20および20’が、サービス層22および22’が提供するサービスと連携して、ネットワーク12などの種々のネットワークを通して通信することも可能にする。
M2Mアプリケーション20および20’は、限定ではないが、輸送、保健および健康、コネクテッドホーム、エネルギー管理、資産追跡、ならびにセキュリティおよび監視などの種々の業界でのアプリケーションを含んでもよい。前述のように、システムのデバイス、ゲートウェイ、サーバおよび他のネットワーク装置にわたって動作するM2Mサービス層は、例えば、データ収集、デバイス管理、セキュリティ、請求、位置追跡/ジオフェンシング、デバイス/サービス発見、およびレガシーシステム統合などの機能をサポートし、かつサービスとしてこれらの機能をM2Mアプリケーション20および20’に提供する。
概して、図12Bに示されるサービス層22および22’などのサービス層は、アプリケーションプログラミングインターフェース(Application Programming Interfaces:API)と下位ネットワークインターフェースとのセットを通して付加価値サービス能力をサポートするソフトウェアミドルウェア層を画定する。ETSI M2MおよびoneM2Mアーキテクチャの両方は、サービス層を規定している。ETSI M2Mのサービス層は、サービス能力層(Service Capability Layer:SCL)と称される。SCLは、ETSI M2Mアーキテクチャの種々の異なるノードで実装される場合がある。例えば、サービス層のインスタンスは、M2Mデバイス(この場合、デバイスSCL(Device SCL:DSCL)と称される)、ゲートウェイ(この場合、ゲートウェイSCL(Gateway SCL:GSCL)と称される)、および/またはネットワークノード(この場合、ネットワークSCL(Network SCL:NSCL)と称される)内に実装される場合がある。oneM2Mサービス層は、共通サービス機能(CSF)(すなわち、サービス能力)のセットをサポートする。1つまたは複数の特定のタイプのCSFのセットのインスタンス化は、種々のタイプのネットワークノード(例えば、インフラストラクチャノード、ミドルノード、アプリケーション固有ノード)でホストされる可能性のある共通サービスエンティティ(CSE)と称される。第3世代パートナーシッププロジェクト(Third Generation Partnership Project:3GPP)は、マシンタイプコミュニケーション(Machine-Type Communication:MTC)向けのアーキテクチャも規定している。そのアーキテクチャでは、サービス層およびサービス層が提供するサービス能力は、サービス能力サーバ(Service Capability Server:SCS)の一部として実装される。ESTI M2MアーキテクチャのDSCL、GSCLまたはNSCLで、3GPP MTCアーキテクチャのサービス能力サーバ(SCS)で、oneM2MアーキテクチャのCSFまたはCSEで、もしくはネットワークの他のいくつかのノードで具現化される、サービス層のインスタンスは、サーバ、コンピュータおよび他のコンピューティングデバイスまたはノードを含むネットワーク内の1つまたは複数のスタンドアロンノードか、または1つまたは複数の既存のノードの一部としてのどちらかで実行する論理的エンティティ(例えば、ソフトウェア、コンピュータ実行可能命令など)として実装される場合がある。一例として、サービス層のインスタンスまたはそのコンポーネントは、図12Cまたは12Dに図示され、以下で説明される基本的なアーキテクチャを有するネットワーク装置(例えば、サーバ、コンピュータ、ゲートウェイ、デバイスなど)で動作するソフトウェアの形態で実装される場合がある。
さらに、本明細書で記載される方法および機能性は、サービス指向アーキテクチャ(Service Oriented Architecture:SOA)および/またはリソース指向アーキテクチャ(Resource-Oriented Architecture:ROA)を使用して、サービスにアクセスするM2Mネットワークの一部として実装される場合がある。
図12Cは、図2から7および図9から11に示されるエンティティの1つなどの、ネットワークの装置の例示的ハードウェア/ソフトウェアアーキテクチャのブロック図であり、そのような装置は、図12Aおよび12Bに示されるような、M2Mネットワーク内のM2Mサーバ、ゲートウェイ、デバイスまたは他のネットワーク装置として、作動する場合がある。図12Dに示すように、ネットワーク装置30は、プロセッサ32と、非取り外し可能メモリ44と、取り外し可能メモリ46と、スピーカ/マイクロホン38と、キーパッド40と、ディスプレイ/タッチパッド/インジケータ42と、電源48と、全地球測位システム(Global Positioning System:GPS)チップセット50と、他の周辺機器52とを含んでもよい。ネットワーク装置30は、送受信機34および伝送/受信要素36などの通信回路も含んでもよい。ネットワーク装置30は、実施形態と一致したままで、上述の要素の任意の副次的組み合わせを含んでよいことを理解されたい。このネットワーク装置は、図2から7および図9から11に関連して示され、かつ記載される操作方法のような、本明細書に記載されるコンテキストアウェア認証方法を実装する装置であってもよい。
プロセッサ32は、汎用プロセッサ、特殊目的プロセッサ、従来のプロセッサ、デジタル信号プロセッサ(Digital Signal Processor:DSP)、複数のマイクロプロセッサ、DSPコアに関連付けられた1つまたは複数のマイクロプロセッサ、コントローラ、マイクロコントローラ、特定用途向け集積回路(Application Specific Integrated Circuits:ASIC)、フィールドプログラマブルゲートアレイ(Field Programmable Gate Array :FPGA)回路、任意の他のタイプの集積回路(Integrated Circuit:IC)、状態マシンなどであってよい。概して、プロセッサ32は、ネットワーク装置のメモリ(例えば、メモリ44および/またはメモリ46)に記憶されたコンピュータ実行可能命令を実行して、ネットワーク装置の種々の必要とされる機能を実施してもよい。例えば、プロセッサ32は、信号コーディング、データ処理、電力制御、入力/出力処理、および/またはネットワーク装置30が無線または有線環境で動作することを可能にする任意の他の機能性を実施してもよい。プロセッサ32は、アプリケーション層プログラム(例えば、ブラウザ)および/または無線アクセス層(Radio Access-Layer:RAN)プログラムおよび/または他の通信プログラムを実施してもよい。プロセッサ32は、例えば、アクセス層および/またはアプリケーション層などで、許可、セキュリティキー一致および/または暗号化操作などのセキュリティ操作も実施してよい。
図12Cに示すように、プロセッサ32は、その通信回路(例えば、送受信機34および伝送/受信要素36)と連結している。プロセッサ32は、コンピュータ実行可能命令の実行により、通信回路を制御して、ネットワーク装置30に接続されているネットワークを通して、ネットワーク装置30を他のネットワーク装置と通信させてもよい。特に、プロセッサ32は、通信回路を制御して、本明細書(例えば、図6、7および9から11で)および特許請求の範囲で記載される伝送および受信ステップを実施してもよい。図12Cは、別個のコンポーネントとしてプロセッサ32と送受信機34とを示しているが、プロセッサ32と送受信機34とが、電子パッケージまたはチップ内に一緒に統合されてもよいことを理解されよう。
伝送/受信要素36は、M2Mサーバ、ゲートウェイ、デバイスなどを含む他のネットワーク装置に信号を伝送する、またはそこから信号を受信するように構成されてよい。例えば、一実施形態では、伝送/受信要素36は、RF信号を伝送および/または受信するように構成されたアンテナであってもよい。伝送/受信要素36は、WLAN、WPAN、セルラーなどの種々のネットワークおよびエアインターフェースをサポートしてよい。一実施形態では、伝送/受信要素36は、例えば、IR、UV、もしくは可視光信号を伝送および/または受信するように構成されるエミッタ/検出器であってもよい。さらに別の一実施形態では、伝送/受信要素36は、RFおよび光信号の両方を伝送および受信するように構成されてよい。伝送/受信要素36は、無線または有線信号の任意の組み合わせを伝送および/または受信するように構成されてもよいことを理解されよう。
加えて、伝送/受信要素36は、図12Cでは、単一の要素として描写されているが、ネットワーク装置30は、任意の数の伝送/受信要素36を含んでもよい。より具体的には、ネットワーク装置30は、MIMO技術を採用してもよい。したがって、一実施形態では、ネットワーク装置30は、無線信号の伝送および受信向けに、2つ以上の伝送/受信要素36(例えば、複数のアンテナ)を含んでもよい。
送受信機34は、伝送/受信要素36によって伝送されることになる信号を変調し、かつ伝送/受信要素36によって受信される信号を復調するように構成されてよい。上記のように、ネットワーク装置30は、マルチモード能力を有してもよい。したがって、例えば、UTRAおよびIEEE802.11などの複数のRATを介してネットワーク装置30が通信することを可能にするために、送受信機34は複数の送受信機を含んでもよい。
プロセッサ32は、非取り外し可能メモリ44および/または取り外し可能メモリ46などの任意のタイプの好適なメモリからの情報にアクセスし、かつそこにデータを記憶してもよい。例えば、プロセッサ32は、前述したように、そのメモリ内にセッションコンテキストを記憶してもよい。非取り外し可能メモリ44としては、ランダムアクセスメモリ(Random-Access Memory:RAM)、読み取り専用メモリ(Read-Only Memory:ROM)、ハードディスク、または任意の他のタイプのメモリ記憶デバイスを挙げてもよい。取り外し可能メモリ46としては、加入者識別モジュール(Subscriber Identity Module:SIM)カード、メモリスティック、セキュアデジタル(Secure Digital:SD)メモリカードなどを挙げてもよい。別の実施形態では、プロセッサ32は、サーバまたは家庭用コンピュータなどのネットワーク装置30上に物理的に位置しないメモリからの情報にアクセスし、かつそこにデータを記憶してもよい。プロセッサ32は、ディスプレイまたはインジケータ42上の点灯パターン、画像または色を制御して、装置の状態を反映させるか、または装置、および、特に、下位ネットワーク、アプリケーション、またはネットワーク装置と通信する他のサービスを構成するように構成されてよい。一実施形態では、ディスプレイ/インジケータ42は、図12Dに示され、かつ本明細書に記載されるグラフィカルユーザインターフェースを示してもよい。
プロセッサ32は、電源48から電力を得てもよく、かつネットワーク装置30内のその他のコンポーネントへの電力を分配および/または制御するように構成されてよい。電源48は、ネットワーク装置30に給電するための任意の好適なデバイスであってよい。例えば、電源48としては、1つまたは複数の乾電池(例えば、ニッケルカドミウム(NiCd)、ニッケル亜鉛(NiZn)、ニッケル水素(NiMH)、リチウムイオン(Li-ion)など)、太陽電池、燃料電池などを挙げてもよい。
プロセッサ32はまた、ネットワーク装置30の現在位置に関する位置情報(例えば、経度および緯度)を提供するように構成される、GPSチップセット50に連結されてよい。ネットワーク装置30は、実施形態と一致したままで任意の好適な位置決定方法を介して位置情報を取得してもよいことを理解されるであろう。
プロセッサ32はさらに、追加の機構、機能性、および/または有線もしくは無線コネクティビティを提供する、1つまたは複数のソフトウェアおよび/またはハードウェアモジュールを含むことがある他の周辺機器52に連結されてよい。例えば、周辺機器52としては、加速度計、バイオメトリック(例えば、指紋)センサなどの種々のセンサ、e-コンパス、衛星送受信機、センサ、デジタルカメラ(写真またはビデオ用)、ユニバーサルシリアルバス(Universal Serial Bus:USB)ポートまたは他の相互接続インターフェース、振動デバイス、テレビ送受信機、ハンズフリーヘッドセット、Bluetooth(登録商標)モジュール、周波数変調(Frequency Modulated :FM)無線ユニット、デジタル音楽プレーヤ、メディアプレーヤ、ビデオゲームプレーヤモジュール、インターネットブラウザなどを挙げてもよい。
ネットワーク装置30は、センサ、大衆消費電子製品、スマートウォッチまたはスマート衣類などのウェアラブルデバイス、医療またはe健康デバイス、ロボット、産業機器、ドローン、車、トラック、電車または飛行機などの乗物などの他の装置もしくはデバイス内で具現化されてもよい。ネットワーク装置30は、周辺機器52のうちの1つを含むことがある相互接続インターフェースなどの1つまたは複数の相互接続インターフェースを介して、そのような装置もしくはデバイスの他のコンポーネント、モジュール、またはシステムに接続してもよい。
図12Cは、図2から7、および図9から11に示され、かつ本明細書に記載されるエンティティなどのネットワークの1つまたは複数のネットワーク装置を実装するのに使用される場合がある、例示的コンピューティングシステム90のブロック図である。このような装置は、図12Aおよび12Bに示されるような、M2Mネットワーク内のM2Mサーバ、ゲートウェイ、デバイスまたは他のネットワーク装置として、作動する場合がある。
コンピューティングシステム90は、コンピュータまたはサーバを含んでもよく、かつコンピュータ可読命令によって主に制御されてよく、この命令は、ソフトウェアの形態であってもよく、このようなソフトウェアは、記憶されるまたはアクセスされる場所がどこであっても、または手段がいかなるものであってもよい。かかるコンピュータ可読命令は、コンピューティングシステム90を稼働させるように、中央演算処理装置(Central Processing Unit:CPU)91などのプロセッサ内で実行されてよい。多くの既知のワークステーション、サーバ、およびパーソナルコンピュータでは、中央演算処理装置91は、マイクロプロセッサと呼ばれる単一チップCPUによって実装される。他のマシンでは、中央演算処理装置91は、複数のプロセッサを含むことがある。コプロセッサ81は、主要CPU91とは異なる、追加の機能を実施するか、またはCPU91を支援する任意選択のプロセッサである。CPU91および/またはコプロセッサ81は、セッション証明書を受信またはセッション証明書に基づく許可など、E2E M2Mサービス層セッションのために、開示されるシステムおよび方法に関連するデータを受信、生成、ならびに処理してよい。
動作時、CPU91は、命令をフェッチ、復号、および実行し、またコンピュータの主要データ転送パスであるシステムバス80を介して、情報を他のリソースへ転送し、かつ他のリソースから転送する。このようなシステムバスは、コンピューティングシステム90内のコンポーネント同士を接続し、かつデータ交換のための媒体を定義する。システムバス80は、典型的には、データを送信するためのデータライン、アドレスを送信するためのアドレスライン、および割り込みを送信し、かつシステムバスを操作するための制御ラインを含む。このようなシステムバス80の一例は、PCI(周辺コンポーネント相互接続)バスである。
システムバス80に連結されるメモリは、ランダムアクセスメモリ(RAM)82および読み取り専用メモリ(ROM)93を含む。このようなメモリは、情報の記憶および取得を可能にする回路を含む。ROM93は、概して、容易に修正することができない記憶されたデータを含む。RAM82内に記憶されたデータは、CPU91または他のハードウェアデバイスによって読み取られてよく、または変更されてもよい。RAM82および/またはROM93へのアクセスは、メモリコントローラ92によって制御されてよい。メモリコントローラ92は、命令が実行されると、仮想アドレスを物理的アドレスに変換する、アドレス変換機能を提供してよい。メモリコントローラ92はまた、システム内のプロセスを隔離し、かつユーザプロセスからシステムプロセスを隔離するメモリ保護機能を提供してよい。したがって、第1のモードで起動するプログラムは、それ自体のプロセス仮想アドレス空間によってマップされているメモリのみにアクセスすることができ、プロセス間のメモリ共有が設定されていない限り、別のプロセスの仮想アドレス空間内のメモリにアクセスすることができない。
加えて、コンピューティングシステム90は、CPU91からプリンタ94、キーボード84、マウス95、およびディスクドライブ85などの周辺機器に命令を伝達する役割を担う、周辺機器コントローラ83を含んでもよい。
ディスプレイコントローラ96によって制御されるディスプレイ86は、コンピューティングシステム90によって生成される視覚出力を表示するために使用される。このような視覚出力は、テキスト、グラフィックス、動画グラフィックス、およびビデオを含んでよい。ディスプレイ86は、CRTベースのビデオディスプレイ、LCDベースのフラットパネルディスプレイ、ガスプラズマベースのフラットパネルディスプレイ、またはタッチパネルを用いて実装される場合がある。ディスプレイコントローラ96は、ディスプレイ86に送信されるビデオ信号を生成するために必要とされる電子コンポーネントを含む。ディスプレイ86は、CPU91によって実行されるコンピュータ実行可能命令と組み合わされて、図12Dおよびそれに伴って本明細書で示され、かつ記載されるグラフィカルユーザインターフェースを生成および操作してもよい。
さらに、コンピューティングシステム90は、例えば、ネットワークアダプタ97などの通信回路を含んでよく、このネットワークアダプタ97を使用して、図12Aから12Dのネットワーク12などの外部の通信ネットワークに、コンピューティングシステム90を接続して、コンピューティングシステム90がネットワークの他の装置と通信できるようにしてもよい。通信回路を、単独で、またはCPU91との組み合わせで使用して、本明細書(例えば、図2から7および9から11)および特許請求の範囲で記載される伝送および受信ステップを実施してもよい。
本明細書に記載されるシステム、方法およびプロセスのうちのいずれかまたはすべては、コンピュータ読み取り可能な記憶媒体上に記憶されたコンピュータ実行可能命令(すなわち、プログラムコード)の形態で具現化されてよく、その命令は、例えば、M2Mサーバ、ゲートウェイ、デバイスなどを含むM2Mネットワークの装置などのマシンによって実行されると、本明細書に記載されるシステム、方法、およびプロセスを実施および/または実装することを理解されたい。具体的には、前述のいずれのステップ、動作、または機能も、このようなコンピュータ実行可能命令の形態で実装される場合がある。コンピュータ可読記憶媒体は、情報を記憶するための任意の非一時的(すなわち、有形または物理的)方法もしくは技術で、実装される揮発性および不揮発性媒体、取り外し可能および非取り外し可能媒体の両方を含むが、そのようなコンピュータ可読記憶媒体は信号を含まない。コンピュータ可読記憶媒体としては、所望の情報を記憶するために使用され、かつコンピュータによってアクセスされる場合がある、RAM、ROM、EEPROM、フラッシュメモリまたは他のメモリ技術、CD-ROM、デジタル多用途ディスク(Digital Versatile Disks:DVD)または他の光学ディスク記憶装置、磁気カセット、磁気テープ、磁気ディスク記憶デバイスまたは他の磁気記憶デバイス、もしくは任意の他の有形もしくは物理的媒体が挙げられるが、これらに限定されない。
以下に掲げるものは、上記の説明に出現する場合があるサービス層技術に関連する頭字語のリストである。特に指示がない限り、本明細書で使用される頭字語は、以下の表5に記載された対応する用語を指す。
Figure 0007194736000005
以下に掲げるものは、上記の説明に出現する場合があるサービス層技術に関連する用語および定義のリストである。特に指示がない限り、本明細書で使用される用語および定義は、以下の表6に記載された対応する用語を指す。
Figure 0007194736000006
本明細書は、最良の方式を含む本発明を開示するために、また当業者が任意のデバイスまたはシステムを作製かつ使用し、任意の組み込まれた方法を行うことを含む本発明を実践することを可能にするために、各例を使用する。本発明の特許性のある範囲は、特許請求の範囲によって定義され、かつ当業者に想起される他の実施例を含み得る。そのような他の実施例は、特許請求の範囲の文字通りの言葉とは異ならない構造要素を有する場合に、または特許請求の範囲の文字通りの言葉とのごくわずかな差異を伴う同等の構造要素を含む場合に、特許請求の範囲の範囲内であることを意図している。

Claims (20)

  1. サービス層の認証検証サービスによって実装される方法であって、
    前記サービス層によって提供されるデータまたはサービスのうち少なくとも一方にアクセスするリクエストをデバイスから受信することと、
    前記サービス層によって提供される前記データまたはサービスのうち少なくとも一方に関連付けられた認証ポリシーを決定することと、
    前記認証ポリシーに関連付けられた1つまたは複数のコンテキストアウェア状態を決定することであって、ここで、前記1つまたは複数のコンテキストアウェア状態は、前記サービス層によって提供される前記データまたはサービスのうち少なくとも一方にアクセスする場合の1つまたは複数の条件の標示を含み、かつ前記1つまたは複数の条件は、前記サービス層によって提供される前記データまたはサービスのうち少なくとも一方への許可されるアクセス数を含むことと、
    前記1つまたは複数のコンテキストアウェア状態に関連付けられた前記1つまたは複数の条件が有効かどうかを判断することと、
    前記1つまたは複数のコンテキストアウェア状態に関連付けられた前記1つまたは複数の条件が有効であるという判断に基づいて、前記サービス層によって提供される前記データまたはサービスのうち少なくとも一方へのアクセスを前記デバイスに許可することと、
    を含む方法。
  2. 前記1つまたは複数のコンテキストアウェア状態に関連付けられた前記1つまたは複数の条件は、前記サービス層によって提供される前記データまたはサービスのうち少なくとも一方にアクセスする場合の時間長をさらに含む、請求項1に記載の方法。
  3. 前記1つまたは複数のコンテキストアウェア状態に関連付けられた前記1つまたは複数の条件は、前記サービス層によって提供される前記データまたはサービスのうち少なくとも一方へのアクセスが許可されるデバイスのタイプをさらに含む、請求項1に記載の方法。
  4. 前記1つまたは複数のコンテキストアウェア状態に関連付けられた前記1つまたは複数の条件は、前記デバイス、および前記サービス層によって提供される前記データまたはサービスのうち少なくとも一方にアクセスする前記リクエストから独立している、請求項1に記載の方法。
  5. 前記認証検証サービスは、前記サービス層によって格納されている1つまたは複数のデータ、または前記サービス層によって実施される操作に基づいて前記コンテキストアウェア状態を決定する、請求項1に記載の方法。
  6. 前記1つまたは複数のコンテキストアウェア状態は、前記認証ポリシーに書き込まれる、請求項1に記載の方法。
  7. 前記サービス層によって提供される前記データまたはサービスのうち少なくとも一方へのアクセスを許可することに基づいて、前記認証ポリシーに関連付けられた前記1つまたは複数のコンテキストアウェア状態を更新することをさらに含む、請求項1に記載の方法。
  8. プロセッサおよびメモリを備える装置であって、前記メモリは、コンピュータ実行可能命令を記憶しており、前記コンピュータ実行可能命令は、前記プロセッサによって実行されると、通信ネットワークのサービス層を実装し、
    前記サービス層によって提供されるデータまたはサービスのうち少なくとも一方にアクセスするリクエストをデバイスから受信することと、
    前記サービス層によって提供される前記データまたはサービスのうち少なくとも一方に関連付けられた認証ポリシーを決定することと、
    前記認証ポリシーに関連付けられた1つまたは複数のコンテキストアウェア状態を決定することであって、ここで、前記1つまたは複数のコンテキストアウェア状態は、前記サービス層によって提供される前記データまたはサービスのうち少なくとも一方にアクセスする場合の1つまたは複数の条件の標示を含み、かつ前記1つまたは複数の条件は、前記サービス層によって提供される前記データまたはサービスのうち少なくとも一方への許可されるアクセス数を含むことと、
    前記1つまたは複数のコンテキストアウェア状態に関連付けられた前記1つまたは複数の条件が有効かどうかを判断することと、
    前記1つまたは複数のコンテキストアウェア状態に関連付けられた前記1つまたは複数の条件が有効であるという判断に基づいて、前記サービス層によって提供される前記データまたはサービスのうち少なくとも一方へのアクセスを前記デバイスに許可することと、
    を含む操作を前記サービス層の認証検証サービスに実施させる、装置。
  9. 前記1つまたは複数のコンテキストアウェア状態に関連付けられた前記1つまたは複数の条件は、前記サービス層によって提供される前記データまたはサービスのうち少なくとも一方にアクセスする場合の時間長をさらに含む、請求項8に記載の装置。
  10. 前記1つまたは複数のコンテキストアウェア状態に関連付けられた前記1つまたは複数の条件は、前記サービス層によって提供される前記データまたはサービスのうち少なくとも一方へのアクセスが許可されるデバイスのタイプをさらに含む、請求項8に記載の装置。
  11. 前記1つまたは複数のコンテキストアウェア状態に関連付けられた前記1つまたは複数の条件は、前記デバイス、および前記サービス層によって提供される前記データまたはサービスのうち少なくとも一方にアクセスする前記リクエストから独立している、請求項8に記載の装置。
  12. 前記認証検証サービスは、前記サービス層によって格納されている1つまたは複数のデータ、または前記サービス層によって実施される操作に基づいて前記コンテキストアウェア状態を決定する、請求項8に記載の装置。
  13. 前記1つまたは複数のコンテキストアウェア状態は、前記認証ポリシーに書き込まれる、請求項8に記載の装置。
  14. 前記命令は、実行されると、前記サービス層の前記認証検証サービスに、前記サービス層によって提供される前記データまたはサービスのうち少なくとも一方へのアクセスを許可することに基づいて、前記認証ポリシーに関連付けられた前記1つまたは複数のコンテキストアウェア状態を更新することを含む操作をさらに実施させる、請求項8に記載の装置。
  15. コンピュータ実行可能命令を記憶しているコンピュータ可読記憶媒体であって、前記コンピュータ実行可能命令は、プロセッサによって実行されると、サービス層の認証検証サービスに、
    前記サービス層によって提供されるデータまたはサービスのうち少なくとも一方にアクセスするリクエストをデバイスから受信することと、
    前記サービス層によって提供される前記データまたはサービスのうち少なくとも一方に関連付けられた認証ポリシーを決定することと、
    前記認証ポリシーに関連付けられた1つまたは複数のコンテキストアウェア状態を決定することであって、ここで、前記1つまたは複数のコンテキストアウェア状態は、前記サービス層によって提供される前記データまたはサービスのうち少なくとも一方にアクセスする場合の1つまたは複数の条件の標示を含み、かつ前記1つまたは複数の条件は、前記サービス層によって提供される前記データまたはサービスのうち少なくとも一方への許可されるアクセス数を含むことと、
    前記1つまたは複数のコンテキストアウェア状態に関連付けられた前記1つまたは複数の条件が有効かどうかを判断することと、
    前記1つまたは複数のコンテキストアウェア状態に関連付けられた前記1つまたは複数の条件が有効であるという判断に基づいて、前記サービス層によって提供される前記データまたはサービスのうち少なくとも一方へのアクセスを前記デバイスに許可することと、を含む操作を実施させる、コンピュータ可読記憶媒体。
  16. 前記1つまたは複数のコンテキストアウェア状態に関連付けられた前記1つまたは複数の条件は、前記サービス層によって提供される前記データまたはサービスのうち少なくとも一方にアクセスする場合の時間長をさらに含む、請求項15に記載のコンピュータ可読記憶媒体。
  17. 前記1つまたは複数のコンテキストアウェア状態に関連付けられた前記1つまたは複数の条件は、前記サービス層によって提供される前記データまたはサービスのうち少なくとも一方へのアクセスが許可されるデバイスのタイプをさらに含む、請求項15に記載のコンピュータ可読記憶媒体。
  18. 前記1つまたは複数のコンテキストアウェア状態に関連付けられた前記1つまたは複数の条件は、前記デバイス、および前記サービス層によって提供される前記データまたはサービスのうち少なくとも一方にアクセスする前記リクエストから独立している、請求項15に記載のコンピュータ可読記憶媒体。
  19. 前記認証検証サービスは、前記サービス層によって格納されている1つまたは複数のデータ、または前記サービス層によって実施される操作に基づいて前記コンテキストアウェア状態を決定する、請求項15に記載のコンピュータ可読記憶媒体。
  20. 前記1つまたは複数のコンテキストアウェア状態は、前記認証ポリシーに書き込まれる、請求項15に記載のコンピュータ可読記憶媒体。
JP2020531711A 2017-12-18 2018-12-18 IoT/M2Mサービス層のデータまたはサービスに対するコンテキストアウェア認証 Active JP7194736B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201762607006P 2017-12-18 2017-12-18
US62/607,006 2017-12-18
PCT/US2018/066254 WO2019126185A1 (en) 2017-12-18 2018-12-18 Methods to enable context aware authorization for data or services in the iot/m2m service layer

Publications (2)

Publication Number Publication Date
JP2021507577A JP2021507577A (ja) 2021-02-22
JP7194736B2 true JP7194736B2 (ja) 2022-12-22

Family

ID=65033655

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020531711A Active JP7194736B2 (ja) 2017-12-18 2018-12-18 IoT/M2Mサービス層のデータまたはサービスに対するコンテキストアウェア認証

Country Status (6)

Country Link
US (2) US11765586B2 (ja)
EP (1) EP3729848B1 (ja)
JP (1) JP7194736B2 (ja)
KR (1) KR102627115B1 (ja)
CN (1) CN111345052A (ja)
WO (1) WO2019126185A1 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110598085B (zh) * 2018-05-24 2023-11-10 华为技术有限公司 一种用于终端的信息查询方法及终端
US20220277061A1 (en) * 2019-10-30 2022-09-01 Carrier Corporation Method for providing iot devices access to restricted access information
CN111917724B (zh) * 2020-06-29 2021-05-04 普瑞达建设有限公司 一种物联网应用安全控制方法及***
CN116325829A (zh) * 2020-10-09 2023-06-23 上海诺基亚贝尔股份有限公司 用于动态授权的机制
US11614934B1 (en) 2021-11-24 2023-03-28 International Business Machines Corporation Monolithic computer application refactoring

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150031335A1 (en) 2013-07-25 2015-01-29 Convida Wireless, Llc Service Layer Device Location Management and Privacy Control
WO2015116681A1 (en) 2014-01-28 2015-08-06 Convida Wireless, Llc Context-aware and proximity-aware service layer connectivity management
US20170063931A1 (en) 2015-08-28 2017-03-02 Convida Wireless, Llc Service Layer Dynamic Authorization
WO2017040749A1 (en) 2015-09-01 2017-03-09 Convida Wireless, Llc Service layer registration

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SE0101295D0 (sv) * 2001-04-10 2001-04-10 Ericsson Telefon Ab L M A method and network for delivering streaming data
KR101037006B1 (ko) * 2003-11-28 2011-05-25 파나소닉 주식회사 데이터 처리장치
US20080229100A1 (en) * 2007-03-12 2008-09-18 Thomas Trodden Secure data management using non-volatile memory
ES2310123B1 (es) * 2007-05-07 2009-11-05 Vodafone España, S.A. Acceso remoto desde una extension de un navegador web a la informacion de un terminal movil.
US8207815B2 (en) * 2008-12-19 2012-06-26 Bank Of America Corporation Facility access integrated with other security systems
CN101616416B (zh) * 2009-07-24 2012-08-29 中兴通讯股份有限公司 通信终端的智能卡验证方法和设备
US9264413B2 (en) * 2012-12-06 2016-02-16 Qualcomm Incorporated Management of network devices utilizing an authorization token

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150031335A1 (en) 2013-07-25 2015-01-29 Convida Wireless, Llc Service Layer Device Location Management and Privacy Control
JP2016534437A (ja) 2013-07-25 2016-11-04 コンヴィーダ ワイヤレス, エルエルシー サービス層デバイス場所管理およびプライバシー制御
WO2015116681A1 (en) 2014-01-28 2015-08-06 Convida Wireless, Llc Context-aware and proximity-aware service layer connectivity management
US20170063931A1 (en) 2015-08-28 2017-03-02 Convida Wireless, Llc Service Layer Dynamic Authorization
JP2018533857A (ja) 2015-08-28 2018-11-15 コンヴィーダ ワイヤレス, エルエルシー サービス層動的承認
WO2017040749A1 (en) 2015-09-01 2017-03-09 Convida Wireless, Llc Service layer registration
JP2018529161A (ja) 2015-09-01 2018-10-04 コンヴィーダ ワイヤレス, エルエルシー サービス層登録

Also Published As

Publication number Publication date
KR20200097724A (ko) 2020-08-19
CN111345052A (zh) 2020-06-26
WO2019126185A1 (en) 2019-06-27
US20230370843A1 (en) 2023-11-16
EP3729848B1 (en) 2022-02-09
KR102627115B1 (ko) 2024-01-23
EP3729848A1 (en) 2020-10-28
JP2021507577A (ja) 2021-02-22
US20210176637A1 (en) 2021-06-10
US11765586B2 (en) 2023-09-19

Similar Documents

Publication Publication Date Title
JP7194736B2 (ja) IoT/M2Mサービス層のデータまたはサービスに対するコンテキストアウェア認証
KR102112106B1 (ko) 서비스 계층 동적 권한부여
US11102213B2 (en) Permission based resource and service discovery
US11683353B2 (en) Automated service enrollment in a machine-to-machine communications network
WO2019067817A1 (en) ENHANCED RESOURCE SHARING USING A RESERVATION
US12041097B2 (en) Automated service enrollment in a machine-to-machine communications network

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200702

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20211210

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20221108

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20221122

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20221212

R150 Certificate of patent or registration of utility model

Ref document number: 7194736

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150