KR20160091314A - 무선 통신 시스템에서 서비스 구독 리소스 기반 인증 방법 - Google Patents

무선 통신 시스템에서 서비스 구독 리소스 기반 인증 방법 Download PDF

Info

Publication number
KR20160091314A
KR20160091314A KR1020167010284A KR20167010284A KR20160091314A KR 20160091314 A KR20160091314 A KR 20160091314A KR 1020167010284 A KR1020167010284 A KR 1020167010284A KR 20167010284 A KR20167010284 A KR 20167010284A KR 20160091314 A KR20160091314 A KR 20160091314A
Authority
KR
South Korea
Prior art keywords
resource
service subscription
requesting
request
specific
Prior art date
Application number
KR1020167010284A
Other languages
English (en)
Inventor
김성윤
안홍범
정승명
최희동
Original Assignee
엘지전자 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘지전자 주식회사 filed Critical 엘지전자 주식회사
Publication of KR20160091314A publication Critical patent/KR20160091314A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W4/005
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명의 일 실시예에 따른 무선 통신 시스템에서 특정 리소스에 대한 특정 조작(operation) 요청을 인증하기 위한 방법으로서, 상기 방법은 M2M 장치에 의해 수행되며, 요청 M2M 장치로부터 특정 리소스에 대한 특정 조작을 위한 요청을 수신하는 단계, 상기 조작 요청은 상기 요청 M2M 장치의 식별자를 포함하고, 상기 식별자는 상기 요청 M2M 장치의 보안 연결 정보(credential)를 이용하여 도출된 M2M 서비스 구독 리소스와 연관됨; 상기 식별자를 이용하여 상기 M2M 서비스 구독 리소스를 검색하고, 상기 M2M 서비스 구독 리소스를 이용하여 상기 특정 리소스의 타입에 대하여 상기 요청 M2M 장치가 권한을 갖는지 여부를 판단하는 단계; 상기 특정 리소스의 타입에 대하여 상기 요청 M2M 장치가 권한을 갖는다고 판단되면, 상기 특정 리소스를 위한 접근 제어 정책 리소스를 이용하여 상기 요청 M2M 장치가 상기 특정 리소스에 대해 상기 특정 조작에 대한 권한을 갖는지 여부를 판단하는 단계; 및 상기 요청 M2M 장치가 상기 특정 리소스에 대해 상기 특정 조작에 대한 권한을 갖는다고 판단되면, 상기 특정 리소스에 대한 조작을 수행하는 단계를 포함할 수 있다.

Description

무선 통신 시스템에서 서비스 구독 리소스 기반 인증 방법{METHOD FOR SERVICE SUBSCRIPTION RESOURCE-BASED AUTHENTICATION IN WIRELESS COMMUNICATION SYSTEM}
본 발명은 무선 통신 시스템에서 서비스 구독 리소스 기반 인증을 위한 방법 및 이를 위한 장치에 관한 것이다.
유비쿼터스 시대에 접어들면서 M2M(Machine to Machine) 통신 기술이 각광받고 있다. M2M 통신 기술은 TIA, ATIS, ETSI, oneM2M 등 많은 표준화 개발 기구(SDO: Standard Development Organization)에서 연구 중에 있다. M2M 환경에서는 여러 M2M 관련 애플리케이션(Network Application/Gateway Application/Device Application)간의 통신이 발생하고, M2M 플랫폼 또는 프레임워크(예컨대, 공통 서비스 엔티티(Common Service Entity; CSE)과 네트워크 측 애플리케이션(예컨대, Network Application)를 운용하는 주체가 다를 수 있다.
또한, M2M 플랫폼 또는 프레임워크는 특정 M2M 서비스를 제공하기 위한 성능(Capability)을 가지며, 이러한 성능은 그와 연관된 리소스로 정의될 수 있다.
한편, 상기 리소스에 대한 접근은 권한이 있는 M2M 엔티티에게만 가능하다. 따라서, 해당 리소스에 대한 접근 권한 제어를 할 수 있는 M2M 엔티티(이하, 접근 권한 M2M 엔티티)는 특정 M2M 엔티티에게 해당 리소스에 대한 접근은 자유롭게 허용할 수 있다. 그러나, 현재 진행되고 있거나 앞으로 구현될 M2M 서비스 환경에서 M2M 서비스 제공자가 의도하지 않은 범위의 권한을 상기 접근 권한 M2M 엔티티가 특정 M2M 엔티티에게 제공이 가능하므로 이에 대한 보완이 필요하다.
이에 본 발명에서는 M2M 시스템에서 접근 제어에 대한 개선된 방안을 제안하고자 한다.
본 발명은 무선 통신 시스템에서 특정 요청의 인증을 위한 절차를 제안하고자 한다.
본 발명이 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 이하의 발명의 상세한 설명으로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 발명의 일 실시예에 따른 무선 통신 시스템에서 특정 리소스에 대한 특정 조작(operation) 요청을 인증하기 위한 방법으로서, 상기 방법은 M2M 장치에 의해 수행되며, 요청 M2M 장치로부터 특정 리소스에 대한 특정 조작을 위한 요청을 수신하는 단계, 상기 조작 요청은 상기 요청 M2M 장치의 식별자를 포함하고, 상기 식별자는 상기 요청 M2M 장치의 보안 연결 정보(credential)를 이용하여 도출된 M2M 서비스 구독 리소스와 연관됨; 상기 식별자를 이용하여 상기 M2M 서비스 구독 리소스를 검색하고, 상기 M2M 서비스 구독 리소스를 이용하여 상기 특정 리소스의 타입에 대하여 상기 요청 M2M 장치가 권한을 갖는지 여부를 판단하는 단계; 상기 특정 리소스의 타입에 대하여 상기 요청 M2M 장치가 권한을 갖는다고 판단되면, 상기 특정 리소스를 위한 접근 제어 정책 리소스를 이용하여 상기 요청 M2M 장치가 상기 특정 리소스에 대해 상기 특정 조작에 대한 권한을 갖는지 여부를 판단하는 단계; 및 상기 요청 M2M 장치가 상기 특정 리소스에 대해 상기 특정 조작에 대한 권한을 갖는다고 판단되면, 상기 특정 리소스에 대한 조작을 수행하는 단계를 포함할 수 있다.
추가적으로 또는 대안적으로, 상기 방법은 상기 요청 M2M 장치의 보안 연결 정보를 이용하여 상기 요청 M2M 장치의 M2M 서비스 구독 리소스를 식별하는 단계; 상기 요청 M2M 장치로부터 등록 요청을 수신하는 단계; 상기 등록 요청에 상기 요청 M2M 장치의 식별자가 없으면 상기 요청 M2M 장치의 식별자를 할당하는 단계; 및 상기 등록 요청에 포함된 상기 요청 M2M 장치의 식별자 또는 상기 할당된 요청 M2M 장치의 식별자를 상기 식별된 M2M 서비스 구독 리소스에 포함시키기 위한 요청을 M2M 서버에 전송하는 단계를 포함할 수 있다.
추가적으로 또는 대안적으로, 상기 특정 리소스의 타입에 대하여 상기 요청 M2M 장치가 권한을 갖는지 여부를 판단하는 단계는: 만약 검색된 M2M 서비스 구독 리소스가 복수인 경우, 그 중 하나의 M2M 서비스 구독 리소스를 이용하여 상기 요청 M2M 장치가 권한을 갖는 것으로 판단되면, 상기 특정 리소스의 타입에 대하여 상기 요청 M2M 장치가 권한을 갖는다고 판단하는 단계를 포함할 수 있다.
추가적으로 또는 대안적으로, 상기 특정 리소스를 위한 접근 제어 정책 리소스는 상기 특정 리소스의 특정 속성이 지시할 수 있다.
추가적으로 또는 대안적으로, 상기 M2M 서비스 구독 리소스는 상기 M2M 서비스 구독 리소스에 가입된 서비스 역할의 ID 들을 포함하고, 상기 M2M 서비스 구독 리소스가 적용될 노드 또는 장치의 식별자(들)를 저장하고 있는 자식 리소스를 가질 수 있다.
본 발명의 다른 일 실시예에 따른 무선 통신 시스템에서 특정 리소스에 대한 특정 조작(operation) 요청을 인증하도록 구성된 M2M 장치로서, 상기 M2M 장치는 무선 주파수(Radio Frequency; RF) 유닛; 및 상기 RF 유닛을 제어하도록 구성된 프로세서를 포함하고, 상기 프로세서는 요청 M2M 장치로부터 특정 리소스에 대한 특정 조작을 위한 요청을 수신하고, 상기 조작 요청은 상기 요청 M2M 장치의 식별자를 포함하고, 상기 식별자는 상기 요청 M2M 장치의 보안 연결 정보(credential)를 이용하여 도출된 M2M 서비스 구독 리소스와 연관됨; 상기 식별자를 이용하여 상기 M2M 서비스 구독 리소스를 검색하고, 상기 M2M 서비스 구독 리소스를 이용하여 상기 특정 리소스의 타입에 대하여 상기 요청 M2M 장치가 권한을 갖는지 여부를 판단하고, 상기 특정 리소스의 타입에 대하여 상기 요청 M2M 장치가 권한을 갖는다고 판단되면, 상기 특정 리소스를 위한 접근 제어 정책 리소스를 이용하여 상기 요청 M2M 장치가 상기 특정 리소스에 대해 상기 특정 조작에 대한 권한을 갖는지 여부를 판단하며, 그리고 상기 요청 M2M 장치가 상기 특정 리소스에 대해 상기 특정 조작에 대한 권한을 갖는다고 판단되면, 상기 특정 리소스에 대한 조작을 수행하도록 구성될 수 있다.
추가적으로 또는 대안적으로, 상기 프로세서는 상기 요청 M2M 장치의 보안 연결 정보를 이용하여 상기 요청 M2M 장치의 M2M 서비스 구독 리소스를 식별하고, 상기 요청 M2M 장치로부터 등록 요청을 수신하고, 상기 등록 요청에 상기 요청 M2M 장치의 식별자가 없으면 상기 요청 M2M 장치의 식별자를 할당하고, 그리고 상기 등록 요청에 포함된 상기 요청 M2M 장치의 식별자 또는 상기 할당된 요청 M2M 장치의 식별자를 상기 식별된 M2M 서비스 구독 리소스에 포함시키기 위한 요청을 M2M 서버에 전송하도록 구성될 수 있다.
추가적으로 또는 대안적으로, 상기 프로세서는 만약 검색된 M2M 서비스 구독 리소스가 복수인 경우, 그 중 하나의 M2M 서비스 구독 리소스를 이용하여 상기 요청 M2M 장치가 권한을 갖는 것으로 판단되면, 상기 특정 리소스의 타입에 대하여 상기 요청 M2M 장치가 권한을 갖는다고 판단하도록 구성될 수 있다.
추가적으로 또는 대안적으로, 상기 특정 리소스를 위한 접근 제어 정책 리소스는 상기 특정 리소스의 특정 속성이 지시할 수 있다.
추가적으로 또는 대안적으로, 상기 M2M 서비스 구독 리소스는 상기 M2M 서비스 구독 리소스에 가입된 서비스 역할의 ID 들을 포함하고, 상기 M2M 서비스 구독 리소스가 적용될 노드 또는 장치의 식별자(들)를 저장하고 있는 자식 리소스를 가질 수 있다.
상기 과제 해결방법들은 본 발명의 실시예들 중 일부에 불과하며, 본 발명의 기술적 특징들이 반영된 다양한 실시예들이 당해 기술분야의 통상적인 지식을 가진 자에 의해 이하 상술할 본 발명의 상세한 설명을 기반으로 도출되고 이해될 수 있다.
본 발명의 일 실시예에 따르면, 무선 통신 시스템에서 특정 요청의 인증의 효율성을 제고할 수 있다.
본 발명에 따른 효과는 이상에서 언급한 효과들로 제한되지 않으며, 언급되지 않은 또 다른 효과는 이하의 발명의 상세한 설명으로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 발명에 관한 이해를 돕기 위해 상세한 설명의 일부로 포함되는, 첨부 도면은 본 발명에 대한 실시예를 제공하고, 상세한 설명과 함께 본 발명의 기술적 사상을 설명한다.
도 1 은 M2M 통신 시스템에서의 기능 구조를 도시한다.
도 2 는 M2M 기능 구조에 기반하여 M2M 통신 시스템이 지원하는 구성을 도시한다.
도 3 은 M2M 통신 시스템에서 제공되는 공통 서비스 기능을 도시한다.
도 4 는 M2M 애플리케이션 서비스 노드와 M2M 인프라스트럭쳐 노드에 존재하는 리소스 구조를 도시한다.
도 5 는 M2M 애플리케이션 서비스 노드(예컨대, M2M 디바이스)와 M2M 인프라스트럭쳐 노드에 존재하는 리소스 구조를 도시한다.
도 6 은 M2M 통신 시스템에서 사용하는 요청 및 응답 메시지를 주고받는 절차를 도시한다.
도 7 은 접근 제어 정책 리소스의 구조를 도시한다.
도 8 은 본 발명의 일 실시예에 따른 특정 식별자와 서비스 구독 리소스의 연관 절차를 도시한다.
도 9 는 본 발명의 일 실시예에 따른 리소스 조작 요청의 인증 절차를 도시한다.
도 10 은 본 발명의 일 실시예에 따른 특정 리소스 타입에 대한 인증 절차를 도시한다.
도 11 은 본 발명의 일 실시예에 따른 특정 리소스 타입에 대한 인증 절차를 도시한다.
도 12 는 본 발명의 일 실시예에 따른 특정 리소스 타입에 대한 인증 절차를 도시한다.
도 13 은 본 발명의 일 실시예에 따른 특정 리소스 타입에 대한 인증 절차를 도시한다.
도 14 는 본 발명의 일 실시예에 따른 특정 리소스 타입에 대한 인증 절차를 도시한다.
도 15 는 본 발명의 일 실시예에 따른 특정 리소스에 대한 인증 절차를 도시한다.
도 16 은 본 발명의 일 실시예에 따른 특정 리소스에 대한 인증 절차를 도시한다.
도 17 은 본 발명의 일 실시예에 따른 접근 제어 정책 리소스와 서비스 구독 리소스간의 관계를 도시한다.
도 18 은 본 발명의 일 실시예에 따른 리소스 조작 요청의 인증 절차를 도시한다.
도 19 는 본 발명의 일 실시예에 따른 리소스 조작 요청의 인증 절차를 도시한다.
도 20 은 본 발명의 일 실시예에 따른 리소스 조작 요청의 인증 절차를 도시한다.
도 21 은 본 발명의 실시예(들)을 구현하기 위한 장치의 블록도를 도시한다.
이하, 본 발명에 따른 바람직한 실시 형태를 첨부된 도면을 참조하여 상세하게 설명한다. 첨부된 도면과 함께 이하에 개시될 상세한 설명은 본 발명의 예시적인 실시형태를 설명하고자 하는 것이며, 본 발명이 실시될 수 있는 유일한 실시 형태를 나타내고자 하는 것이 아니다. 이하의 상세한 설명은 본 발명의 완전한 이해를 제공하기 위해서 구체적 세부사항을 포함한다. 그러나, 당업자는 본 발명이 이러한 구체적 세부사항 없이도 실시될 수 있음을 안다.
몇몇 경우, 본 발명의 개념이 모호해지는 것을 피하기 위하여 공지의 구조 및 장치는 생략되거나, 각 구조 및 장치의 핵심기능을 중심으로 한 블록도 형식으로 도시될 수 있다. 또한, 본 명세서 전체에서 동일한 구성요소에 대해서는 동일한 도면 부호를 사용하여 설명한다.
본 발명에 있어서, 기기간 통신을 위한 디바이스 즉, M2M 디바이스는 고정되거나 이동성을 가질 수 있으며, 기기간 통신을 위한 서버 즉, M2M 서버와 통신하여 사용자데이터 및/또는 각종 제어정보를 송수신하는 각종 기기들이 이에 속한다. 상기 M2M 디바이스는 단말(Terminal Equipment), MS(Mobile Station), MT(Mobile Terminal), UT(User Terminal), SS(Subscribe Station), 무선기기(wireless device), PDA(Personal Digital Assistant), 무선 모뎀(wireless modem), 휴대기기(handheld device) 등으로 불릴 수 있다. 또한, 본 발명에 있어서, M2M 서버는 일반적으로 M2M 디바이스들 및/또는 다른 M2M 서버와 통신하는 고정된 지점(fixed station)을 말하며, M2M 디바이스들 및/또는 다른 M2M 서버와 통신하여 각종 데이터 및 제어정보를 교환한다.
이하에서는 본 발명과 관련된 기술에 대해 설명한다.
M2M 애플리케이션
서비스 로직을 실행하고 개방 인터페이스를 통해 접근 가능한(accessible) 공통 서비스 엔티티(Common Service Entity; CSE)를 사용하는 애플리케이션. M2M 애플리케이션은 M2M 디바이스, M2M 게이트웨이 또는 M2M 서버에 설치 또는 탑재될 수 있다.
M2M 서비스
표준화된 인터페이스들을 통해 M2M CSE 가 이용가능하게 하는 기능들의 집합
oneM2M 은 다양한 M2M 애플리케이션(또는 애플리케이션 엔티티(Application Entity; AE)) 들을 위한 공통 M2M 서비스 프레임워크(또는 서비스 플랫폼, 공통 서비스 엔티티(CSE) 등)를 정의한다. M2M 애플리케이션이라고 하면, e-Health, City Automation, Connected Consumer, Automotive 등의 서비스 로직을 구현한 소프트웨어라고 볼 수 있으며, 이러한 다양한 M2M 애플리케이션들을 구현하기 위해, 공통적으로 필요한 기능들을 oneM2M 서비스 프레임워크는 포함하고 있다. 따라서, oneM2M 서비스 프레임워크를 이용하면, 다양한 M2M 애플리케이션들마다 필요한 각각의 프레임워크를 구성할 필요 없이, 이들 M2M 애플리케이션들을 쉽게 구현할 수 있다. 이는 현재 Smart Building, Smart Grid, e-Health, Transportation, Security 등 여러 M2M 버티컬(Vertical)들로 분열되어 있는 M2M 시장을 공통 oneM2M 서비스 프레임워크를 중심으로 통합할 수 있으며, 이는 M2M 시장을 크게 촉진할 것으로 기대된다.
도 1 은 M2M 통신 시스템에서의 기능 구조를 도시한다. 각 엔티티를 설명하도록 한다.
애플리케이션 엔티티 (AE, 101): 애플리케이션 엔티티는 단대단 M2M 솔루션을 위한 애플리케이션 로직을 제공한다. AE 의 예로는 화물 추적, 원격 혈당 모니터링, 원격 전력 측정 및 제어 애플리케이션이 있다. (Application Entity provides Application logic for the end-to-end M2M solutions. Examples of the Application Entities can be fleet tracking application, remote blood sugar monitoring application, or remote power metering and controlling application.) 보다 쉬운 이해를 위해, AE 는 M2M 애플리케이션으로 지칭될 수 있다.
공통 서비스 엔티티 (CSE, 102): CSE 는 M2M 환경에 공통적인 oneM2M 에서 정의된 서비스 기능들로 이루어져 있다. 이러한 서비스 기능들은 레퍼런스 포인트 Mca, Mcc 를 통해 노출되어 등록된(연결된) AE 와 타 CSE 에 의해 사용될 수 있다. 레퍼런스 포인트 Mcn 는 언더라잉 네트워크의 서비스를 접근하는데 사용된다. (A Common Services Entity comprises the set of "service functions" that are common to the M2M environments and specified by oneM2M. Such service functions are exposed to other entities through Reference Points Mca and Mcc. Reference point Mcn is used for accessing Underlying Network Service Entities.)
CSE 에서 제공하는 서비스 기능들의 예로는 데이터 관리, 디바이스 관리, M2M 구독(subscription) 관리, 위치 서비스 등이 있다. 이러한 기능들은 논리적으로 CSF(Common Services Functions)로 나뉘어 질 수 있다. CSE 안의 몇몇 CSF 는 필수적으로 존재하여야 하고, 몇몇은 선택적으로 존재 가능하다. 또한 CSF 안의 몇몇 기능은 필수적으로 존재하여야 하고, 몇몇 기능은 선택적으로 존재 가능하다.(예, "디바이스 관리" CSF 안에, 애플리케이션 소프트웨어 설치, 펌웨어 업데이트, 로깅, 모니터링 중 몇몇은 필수 기능이며, 몇몇은 선택 기능이다.)
언더라잉 네트워크 서비스 엔티티 (NSE, 103): NSE 는 CSE 에 서비스를 제공하는데, 이러한 서비스의 예로는 디바이스 관리, 위치 서비스, 디바이스 트리거링 등이 있다. NSE 는 특정 기술로 한정하지 않으며, 네트워크가 기본적으로 제공해주는 트랜스포트(transport)의 경우 NSE 의 서비스로 생각하지 않는다.(An Underlying Network Services Entity provides services to the CSEs. Examples of such services include device management, location services and device triggering. No particular organization of the NSEs is assumed. Note: Underlying Networks provide data transport services between entities in the oneM2M system. Such data transport services are not included in the NSE.)
아울러, 도 1 에 도시된 각 레퍼런스 포인트에 대해 설명하도록 한다.
Mca 레퍼런스 포인트
Mca 레퍼런스 포인트는 AE 와 CSE 간의 레퍼런스 포인트이다. Mca 레퍼런스 포인트는 AE 가 CSE 가 제공하는 서비스를 사용할 수 있도록, AE 가 CSE 와 통신할 수 있도록 한다. (This is the reference point between an Application Entity and a CSE. The Mca reference point shall allow an Application Entity to use the services provided by the CSE, and for the CSE to communicate with the Application Entity.)
Mca 레퍼런스 포인트를 통해 제공되는 서비스들은 CSE 에서 제공하는 기능들에 의존한다. AE 와 CSE 는 같은 물리적 장치에 있을 수도 있으며, 다른 물리적 장치에 있을 수도 있다. (The services offered via the Mca reference point are thus dependent on the functionality supported by the CSE. The Application Entity and the CSE it invokes may or may not be co-located within the same physical entity.)
Mcc 레퍼런스 포인트
Mcc 레퍼런스 포인트는 두 CSE 간의 레퍼런스 포인트이다. Mcc 레퍼런스 포인트는 CSE 가 다른 CSE 의 필요한 기능의 서비스를 사용할 수 있도록 한다. Mcc 레퍼런스 포인트를 통해 제공되는 서비스들은 CSE 에서 제공하는 기능들에 의존한다. (This is the reference point between two CSEs. The Mcc reference point shall allow a CSE to use the services of another CSE in order to fulfill needed functionality. Accordingly, the Mcc reference point between two CSEs shall be supported over different M2M physical entities. The services offered via the Mcc reference point are dependent on the functionality supported by the CSEs)
Mcn 레퍼런스 포인트
Mcn 레퍼런스 포인트는 CSE 와 NSE 간의 레퍼런스 포인트이다. Mcn 레퍼런스 포인트는 CSE 가 NSE 가 제공하는 서비스들을 사용할 수 있도록 한다. (This is the reference point between a CSE and the Underlying Network Services Entity. The Mcn reference point shall allow a CSE to use the services (other than transport and connectivity services) provided by the Underlying Network Services Entity in order to fulfill the needed functionality. ) NSE 가 제공하는 서비스는 전송(transport)과 접속(connectivity) 서비스 같은 단순한 서비스 이외의 것을 뜻하며, 디바이스 트리거링(device triggering), 스몰 데이터 전송(small data transmission), 위치 결정(positioning)과 같은 서비스가 그 예이다.
Mcc' 레퍼런스 포인트
Mcc' 레퍼런스 포인트는 서로 다른 M2M 서비스 제공자에게 속하는 CSE 간의 통신을 위해 사용된다. Mcc' 레퍼런스 포인트는 Mcc 레퍼런스 포인트와 CSE 를 서로 연결한다는 점에서 비슷할 수 있으나, 기존 Mcc 레퍼런스 포인트가 단일 M2M 서비스 제공자 내의 통신으로 국한되어 있었다면 Mcc' 레퍼런스 포인트는 서로 다른 M2M 서비스 제공자로 Mcc 를 확장한다는 개념으로 볼 수 있다.
도 2 는 M2M 기능 구조에 기반하여 M2M 통신 시스템이 지원하는 구성을 도시한다. M2M 통신 시스템은 도시된 구성에 국한되지 않고 더 다양한 구성을 지원할 수 있다. 상기 도시된 구성을 이해하는데 중요한 노드(Node)라는 개념에 대해 먼저 설명하도록 한다.
애플리케이션 전용 노드(Application Dedicated Node; ADN): CSE 가 존재하지 않고, 적어도 하나의 AE 를 갖는 노드 (An Application Dedicated Node is a Node that contains at least one Application Entity and does not contain a Common Services Entity). Mca 레퍼런스 포인트를 통해 하나의 미들 노드 또는 하나의 인프라스트럭쳐 노드와 연결될 수 있다. ADN 은 M2M 디바이스에 존재할 수 있다.
애플리케이션 서비스 노드(Application Service Node; ASN): 하나의 CSE 가 존재해야 하고, 적어도 하나의 AE 를 갖는 노드(An Application Service Node is a Node that contains one Common Services Entity and contains at least one Application Entity). Mcc 레퍼런스 포인트를 통해 하나의 미들 노드 또는 하나의 인프라스트럭쳐 노드에 연결될 수 있다. ASN 은 M2M 디바이스에 존재할 수 있다.
미들 노드(Middle Node; MN): 하나의 CSE 가 존재해야 하고, AE 를 가질 수도 있는 노드(A Middle Node is a Node that contains one Common Services Entity and may contain Application Entities). Mcc 레퍼런스 포인트를 통해서 아래 다른 카테고리에 속하는 두 노드와 연결되어야 함 (A Middle Node communicates over a Mcc references point with at least two other Nodes among either (not exclusively)):
- 하나 이상의 애플리케이션 서비스 노드(ASN)들;
- 하나 이상의 미들 노드(MN)들;
- 하나 인프라스트럭쳐 노드(IN).
또한, MN 은 ADN 과 Mca 레퍼런스 포인트를 통해 연결될 수 있다. MN 은 M2M 게이트웨이에 존재할 수 있다.
인프라스트럭쳐 노드(Infrastructure Node; IN): 하나의 CSE 가 존재해야 하고, AE 를 가질 수도 있는 노드 (An Infrastructure Node is a Node that contains one Common Services Entity and may contain Application Entities). IN 은 M2M 서버에 존재할 수 있다.
인프라스트럭쳐 노드는 MN 또는 ASN 과 Mcc 레퍼런스 포인트를 통해 다음 노드들과 통신할 수 있다. (An Infrastructure Node communicates over a Y reference point with either:
- 하나 이상의 미들 노드(들);
- 및/또는 하나 이상의 애플리케이션 서비스 노드(들)
인프라스트럭쳐 노드는 ADN 과 Mca 레퍼런스 포인트를 통해 통신할 수 있다. (An Infrastructure Node may communicate with one or more Application Dedicated Nodes over one or more respective Mca reference points.)
도 3 은 M2M 통신 시스템에서 제공되는 공통 서비스 기능을 도시한다.
M2M 통신 시스템이 제공하는 M2M 서비스 기능(즉, 공통 서비스 기능)으로는 도 3 에 도시된 것처럼 'Communication Management and Delivery Handling' , 'Data Management and Repository' , 'Device Management' , 'Discovery' , 'Group Management' , 'Addressing and Identification' , 'Location' , 'Network Service Exposure, Service Execution and Triggering' , 'Registration' , 'Security' , 'Service Charging and Accounting' , 'Session Management' , 'Subscription and Notification' 이 있다.
아래는 각 기능의 간략한 소개이다.
Communication Management and Delivery Handling (CMDH): 타 CSE 들, AE 들, NSE 들과의 통신을 제공하고 어떻게 메시지를 전달할 지의 역할을 수행한다.
Data Management and Repository (DMR): M2M 애플리케이션이 데이터를 교환, 공유할 수 있도록 하는 역할을 수행한다.
Device Management (DMG): M2M 디바이스/게이트웨이를 관리하기 위한 역할을 수행한다. 세부 기능을 살펴보면, 애플리케이션 설치 및 세팅, 설정값 설정, 펌웨어(Firmware) 업데이트, 로깅(Logging), 모니터링(Monitoring), 진단(Diagnostics), 토폴로지(Topology) 관리 등이 있다.
Discovery (DIS): 조건에 기반한 리소스 및 정보를 찾을 수 있도록 하는 역할을 수행한다.
Group Management (GMG): 리소스, M2M 디바이스, 또는 게이트웨이를 묶어 그룹을 생성할 수 있는데, 그룹과 관련된 요청을 처리하는 역할을 수행한다.
Addressing and Identification (AID): 물리 또는 논리 리소스를 식별 및 어드레싱(addressing)하는 역할을 수행한다.
Location (LOC): M2M 애플리케이션들이 M2M 디바이스 또는 게이트웨이의 위치 정보를 획득하도록 하는 역할을 수행한다.
Network Service Exposure, Service Execution and Triggering (NSE): 언더라잉 네트워크의 통신을 가능하게 하고, 언더라잉 네트워크가 제공하는 기능을 사용할 수 있도록 한다.
Registration (REG): M2M 애플리케이션 또는 다른 CSE 가 특정 CSE 에 등록을 처리하는 역할을 수행한다. 등록은 특정 CSE 의 M2M 서비스 기능을 사용하기 위해 수행된다.
Security (SEC): 보안 키와 같은 민감한 데이터 핸들링, 보안 관계(Association) 설립, 인증(Authentication), 인가(Authorization), 식별(Identity) 보호 등의 역할을 수행한다.
Service Charging and Accounting (SCA): CSE 에 요금 부가 기능을 제공하는 역할을 수행한다.
Session Management (SM): 단대단(end-to-end) 통신을 위한 M2M 세션을 관리하는 역할을 수행한다.
Subscription and Notification (SUB): 특정 리소스에 대한 변경을 구독(Subscription)하면 해당 리소스가 변경되면 이를 알리는 역할을 수행한다.
이러한 M2M 공통 서비스 기능은 CSE 를 통해 제공되며, AE(혹은, M2M 애플리케이션들)이 Mca 레퍼런스 포인트를 통해, 또는 타 CSE 가 Mcc 레퍼런스 포인트를 통해 해당 공통 서비스 기능들을 이용할 수 있다. 또 이러한 M2M 공통 서비스 기능은 언더라잉 네트워크(Underlying Network)(또는 언더라잉 네트워크 엔티티(Underlying Network Service Entity; NSE), 예: 3GPP, 3GPP2, WiFi, Bluetooth)와 연동하여 동작할 수 있다.
모든 디바이스/게이트웨이/인프라스트럭쳐가 상위 기능을 다 가지는 것은 아니다. 해당 기능들 중 필수 기능들과 선택 기능들 몇몇을 가질 수 있다.
M2M 통신 시스템에서 리소스는 M2M 통신 시스템에서 정보를 구성 및 표현하기 위한 것으로 URI 로 식별될 수 있는 모든 것을 의미한다. 상기 리소스는 일반적인 리소스, 가상 리소스 및 어나운스된 리소스(announced resource)로 분류할 수 있다. 각 리소스에 대한 정의는 다음과 같다.
가상 리소스: 가상 리소스는 특정 프로세싱을 트리거하거나 그리고/또는 결과를 리트리브(retrieve)하는데 사용되나, CSE 에 영구적으로 존재하지 않는다.
어나운스된 리소스: 어나운스된 리소스는 어나운스된(또는 통지된) 원본 리소스에 연결된 원격 CSE 에 있는 리소스이다. 어나운스된 리소스는 원본 리소스의 특징 중 일부를 유지한다. 리소스 어나운스먼트는 리소스 탐색 또는 발견(discovery)를 원활하게 한다. 원격 CSE 에 있는 어나운스된 리소스는 상기 원격 CSE 에서 원본 리소스의 자식으로서 존재하지 않거나 원본 리소스의 어나운스된 자식이 아닌 자식 리소스들을 생성하기 위해 사용된다.
일반 리소스: "가상" 또는 "어나운스된" 중 하나로 명시되지 않으면, 해당 리소스는 일반 리소스이다.
도 4 는 M2M 애플리케이션 서비스 노드와 M2M 인프라스트럭쳐 노드에 존재하는 리소스 구조를 도시한다.
M2M 통신 시스템은 다양한 리소스(또는 자원)를 정의하는데, 이 리소스를 조작해서, 애플리케이션을 등록하고, 센서 값을 읽어 오는 등의 M2M 서비스를 수행할 수 있다. 상기 리소스는 하나의 트리 구조로 구성이 되며, CSE 과 논리적으로 연결 또는 CSE 에 저장되어 M2M 디바이스, M2M 게이트웨이, 네트워크 도메인 등에 저장될 수 있다. 이러한 측면에서, CSE 는 리소스를 관리하는 엔티티로 지칭될 수 있다. 상기 리소스는 <cseBase>를 트리 루트로 가지며, 대표적인 리소스는 아래와 같다.
<cseBase> 리소스: 트리로 구성된 M2M 리소스의 루트 리소스이며, 다른 모든 리소스를 포함한다.
<remoteCSE> 리소스: <cseBase> 하위에 존재하는 리소스로써 해당 CSE 에 등록(연결)된 타 CSE 의 정보가 포함된다.
<AE> 리소스: <cseBase> 나 <remoteCSE> 리소스 하위에 존재하는 리소스로써, <cseBase> 의 하위에 존재할 경우 해당 CSE 에 등록(연결)된 애플리케이션들의 정보가 저장되며, <remoteCSE> 하위에 존재할 경우 타 CSE(CSE 이름을 가진)에 등록된 애플리케이션들의 정보가 저장된다.
<accessControlPolicy> 리소스: 특정 리소스에 대한 접근 권한과 관련된 정보를 저장하는 리소스이다. 본 리소스에 포함된 접근 권한 정보를 이용하여, 인증(authorization)이 이루어지게 된다.
<container> 리소스: CSE 별, 또는 AE 마다 데이터를 저장하는 리소스이다.
<group> 리소스: 여러 리소스를 하나로 묶어 함께 처리할 수 있도록 하는 기능을 제공하는 리소스이다.
<subscription> 리소스: 리소스의 값 등의 상태가 변경되는 것을 통지(notification)을 통해 알려주는 기능을 수행하는 리소스이다.
도 5 는 M2M 애플리케이션 서비스 노드(예컨대, M2M 디바이스)와 M2M 인프라스트럭쳐 노드에 존재하는 리소스 구조를 도시한다.
예를 들어, M2M 인프라스트럭쳐 노드에 등록된 AE(application2)가 M2M 디바이스의 센서 값을 읽어오는 방법에 대해 설명한다. 상기 센서는 보통 물리적인 장치를 가리키며, M2M 디바이스 상에 존재하는 AE(application1)은 이 센서에서 값을 읽어 자신이 등록한 CSE(CSE1)에 container 리소스 형태로 읽은 값을 저장한다. 해당 M2M 디바이스 상에 존재하는 AE 는 이를 위해 M2M 디바이스에 존재하는 CSE 에 먼저 등록되어야 하며, 등록이 완료되면, 도 5 에서와 같이 cseBaseCSE1/application1 리소스의 형태로 등록된 M2M 애플리케이션 관련 정보가 저장된다.
cseBaseCSE1/application1 리소스 하위의 container 리소스에 센서 값이 M2M 디바이스상에 존재하는 AE 에 의해 저장되면, 인프라스트럭쳐 노드에 등록된 AE 가 해당 값에 접근이 가능할 수 있다. 접근이 가능하게 하기 위해서는 상기 인프라스트럭쳐 노드에 등록된 AE 도 역시 상기 인프라스트럭쳐 노드의 CSE(CSE2)에 등록이 되어있어야 하며, 이는 application1 가 CSE1 에 등록하는 방법과 같이 cseBaseCSE2/application2 리소스에 application2 에 대한 정보를 저장함으로써 이루어진다. 또, application1 는 application2 와 직접 통신하는 것이 아니라 중간의 CSE1 과 CSE2 을 통해 통신하게 되는데, 이를 위해 먼저 CSE1 는 CSE2 에 등록되어 있어야 한다. CSE1 이 CSE2 에 등록되게 되면, cseBaseCSE2 리소스 하위에 CSE1 관련 정보(예컨대, Link)가 <remoteCSE> 리소스 형태로 저장된다. 즉, <remoteCSE>는 등록된 CSE 에 대한 CSE 타입, 접근 주소(IP 주소 등), CSE ID, reachability 정보 등을 제공해 준다.
한편, 리소스 탐색(resource discovery)이란 원격의 CSE 에 있는 리소소를 탐색하는 과정을 말한다. 리소스 탐색은 리트리브(RETRIEVE) 요청을 통해 이루어지며 리소스 탐색을 위해 리트리브 요청은 아래의 내용을 포함한다.
<startURI>: URI 을 지시하며, 이 URI 는 리소스 탐색을 행할 리소스의 범위를 제한하는데 사용될 수 있다. 만약 <startURI>가 리소스의 루트인 <cseBase>를 가리킨다면, 본 리트리브 요청을 받은 수신자의 전 리소스를 대상으로 리소스 탐색을 수행하게 된다. 수신자는 <startURI>가 지칭하는 리소스와 그 하위 리소스를 대상으로만 리소스 탐색을 수행하게 된다.
filterCriteria: 이 정보에는 탐색할 리소스와 관련된 정보가 기술된다. 수신자는 <startURI>가 정의한 리소스 탐색 범위 안의 리소스 중에서 filterCriteria 를 만족시키는 리소스만을 검색하여 본 요청의 요청자에게 전송하게 된다.
한편, 다음의 표와 같은 다양한 리소스 타입이 존재한다.
[표 1]
Figure pct00001
Figure pct00002
Figure pct00003
각 리소스 타입은 해당 리소스 타입의 부모 리소스 타입(Parent Resource Type) 아래 위치할 수 있으며, 자식 리소스 타입(Child Resource Type)을 가질 수도 있다. 또한 각각의 리소스 타입은 속성(Attribute)들을 가지며, 속성에 실제 값들이 저장된다. 다음으로 아래 표 2 은 <container> 리소스 타입의 속성(Attribute)들을 정의한 것이다. 실제 값들이 저장되는 속성은 Multiplicity 를 통하여 반드시 설정( '1' )되거나, 선택적으로 설정( '0..1' )될 수 있다. 또한 해당 속성들은 생성시 특성에 따라 RO(Read Only), RW(Read and Write), WO(Write Only)와 같이 설정된다.
[표 2]
Figure pct00004
Figure pct00005
Figure pct00006
Figure pct00007
Figure pct00008
Figure pct00009
Figure pct00010
도 4 또는 도 5 에 도시된 것처럼 M2M 시스템에서는 리소스가 트리 구조로서 표현될 수 있으며, 루트 리소스의 타입은 <CSEBase>로 표현된다. 따라서, <CSEBase> 리소스 타입은 공통 서비스 엔티티(CSE)가 있는 경우에는 반드시 존재해야 한다.
도 6 은 Mca 및 Mcc 레퍼런스 포인트들 상의 일반적인 통신 플로우를 도시한다. M2M 시스템의 동작은 데이터 교환을 기반으로 수행된다. 예를 들어, 제 1 장치가 제 2 장치의 특정 동작을 멈추기 위한 명령을 전송 또는 수행하기 위해서 상기 제 1 장치는 해당 명령을 데이터 형태로 상기 제 2 장치에 전달해야한다. M2M 시스템에서는 어플리케이션(또는 CSE)와 CSE 간의 연결에서 요청 및 응답 메시지들로 데이터를 교환할 수 있다.
요청(Request) 메시지에는 다음과 같은 정보가 포함된다.
·op: 실행될 동작의 형태 (Create/Retrieve/Update/Delete/Notify 중 택일)
·to: 요청을 수신할 엔티티의 ID(즉, 수신자의 ID)
·fr: 요청을 생성한 발신자의 ID
·ri: 요청 메시지의 ID(요청 메시지를 구분하기 위해 사용되는 ID)
·mi: 해당 요청에 대한 추가 정보 (meta information)
·cn: 전달되는 리소스의 내용
응답(Response) 메시지에는 다음과 같은 정보가 포함된다. 우선 해당 요청 메시지가 성공적으로 처리된 경우에는, 상기 응답 메시지는
·to: 요청을 생성한 발신자의 ID
·fr: 요청을 수신한 수신자의 ID
·ri: 요청 메시지의 ID(요청 메시지를 구분하기 위해 사용되는 ID)
·mi: 해당 요청에 대한 추가 정보 (meta information)
·rs: 요청의 처리 결과 (예를 들어, Okay, Okay and Done, Okay and in progress)
·ai: 추가적인 정보
·cn: 전달되는 리소스의 내용 (결과값(rs)만 전달될 수 있음)
를 포함하고, 요청 메시지의 처리가 실패한 경우 상기 응답 메시지는
·to: 요청을 생성한 발신자의 ID
·fr: 요청을 수신한 수신자의 ID
·ri: 요청 메시지의 ID(요청 메시지를 구분하기 위해 사용되는 ID)
·mi: 해당 요청에 대한 추가 정보 (meta information)
·rs: 요청의 처리 결과 (예를 들어, Not Okay)
·ai: 추가적인 정보
를 포함할 수 있다.
리소스 접근 제어 정책
접근 제어 정책은 "화이트 리스트(white list)" 또는 권한(privileges)으로 정의되며, 각각의 권한은 특정 접근 모드들에 대한 "허용된" 엔티티들을 정의한다. 권한들의 집합들은 권한 그룹을 위한 권한들이 개별 권한들의 총합(sum)이 되도록 다루어지며, 즉, 상기 집합 내 몇몇/임의의 권한들에 의해 허용되면 그 동작(action)이 허용된다. selfPrivilege 속성은 리소스 <accessControlPolicy> 그 자체를 위한 읽기/갱신/삭제(Read/Update/Delete)에 대한 권리를 갖는 엔티티들을 열거한다.
또한, 접근 제어 정책에서 정의된 모든 권한들은 위치, 타임 윈도우 및 IP 어드레스와 또한 관련된다.
리소스 상의 accessControlPolicyID 속성을 설정함으로써, 해당 리소스에 접근하기 위한 권한들이 <accessControlPolicy> 리소스에서 정의되는 권한들에 의해 정의된다.
도 7 은 <accessControlPolicy> 리소스의 구조를 도시한다. 다음의 표는 <accessControlPolicy> 리소스의 속성을 나타낸다.
[표 3]
Figure pct00011
Figure pct00012
Figure pct00013
권한들은 동작들(접근을 승인하는 것일 수 있으나, 좀더 상세하게는 서브셋에 대한 접근을 승인, 즉 데이터의 부분을 필터링하는 것과 같은 것일 수 있음)에 일반화(generalize)될 수 있다. 권한들은 요청자(발신자, requestor)의 식별자, 특정된 식별자를 제외한 모두와 같은 것을 포함할 수 있는, 조건들로 일반화될 수 있으나, 시간 기반 조건들을 또한 포함할 수 있을 것이다.
접근 제어 정책에 기반한 접근 승인 메커니즘은 <accessControlPolicy> 리소스에 저장된 발신자와 발신자의 권한을 매칭함으로써 동작한다. 긍정적인 매치가 발견되면 요청된 동작(예컨대, RETRIEVE)이 매칭 권한 소유자와 연관된 허용된 동작들의 집합을 이용하여 체크되며; 만약 이 체크가 실패하면 상기 요청은 거절된다. 이러한 집합이 권한 플래그로 지칭된다.
셀프 권한들 및 권한들은 <accessControlPolicy> 리소스 그 자체 그리고 <accessControlPolicy> 리소스 및 accessControlPolicyID 공통 속성을 어드레싱(address)하는 모든 다른 리소스 타입들에 각각 적용되는 권한 플래그들과 연관되는 발신자 권한의 리스트들이다.
접근 제어 정책에서 정의된 모든 권한들은 또한 접근 승인 전에 위치, 시간 윈도우 및 IP 어드레스와 관련된다.
셀프 권한들 및 권한들 내 각각의 권한은 또한 하나의 역할로 구성될 수 있다. 이러한 역할은 역할 이름 및 그 역할이 정의된 M2M 서비스 구독 리소스를 어드레싱하는 URL 에 의해 식별된다. 발신자가 특정 역할로 그 자신을 나타내는 경우, 접근 제어 정책은 M2M 서비스 구독 리소스에서 명시된 특정 역할에 속하는 리스트들과 요청 발신자를 매칭함으로써 동작한다.
권한들 및 셀프 권한들 리스트에서 각각의 권한은 다음의 엘리먼트들로 구성된다.
[표 4]
Figure pct00014
상기 originatorPrivileges 는 아래의 표와 같은 정보를 포함한다.
[표 5]
Figure pct00015
표 4 의 contexts 는다음의 표와 같은 정보를 포함한다.
[표 6]
Figure pct00016
표 4 의 operationFlags 는 다음의 표와 같은 정보를 포함한다.
[표 7]
Figure pct00017
M2M 통신 시스템에서는 접근 제어 정책 리소스를 접근 제어 정책이 적용된 리소스와 분리하여 저장하도록 한다. 접근 제어 정책이 적용된 리소스는 접근 제어 정책 리소스의 AccessRightID(접근 제어 정책 리소스의 URI)만을 가지고 있다. 그러므로, M2M 엔티티가 특정 리소스의 접근 제어 정책을 확인하려면 AccessRightID 를 참조해야한다.
AE ID(Application Entity Identifier)와 App-ID(Application Identifier)
AE(Application Instance) ID 는 App-ID 를 포함한 채로 정의될 수 있다. App-ID 는 어플리케이션의 종류를 나타내는 것으로써, 예컨대 휴대폰 1 에 설치된 메신저 어플리케이션 A 과 휴대폰 1 에 설치된 동일한 메신저 어플리케이션 A 는 동일한 App-ID 를 가진다.
AE ID(예컨대, 0x12345678)는 App-ID(예컨대, 0x1234)와 AE ID 를 AE 마다 고유하게 할당하기 위해 설정되는 시퀀스 숫자(예컨대, 0x5678)로 구성된다. 이는 일 예일뿐 다른 형태로 AE ID 가 App-ID 를 포함하는 형태가 될 수 있고, AE ID 가 AE 마다 고유하게 설정되기 위해 시퀀스 숫자 파트가 존재할 수 있다(URI 도 한 예로써, App-ID/시퀀스 숫자 또는 App-ID_시퀀스 숫자 형태로 프리픽스 부분에 App-ID, 나머지 부분에 시퀀스 숫자가 존재하는 형태로 가능하다).
AE ID 는 AE 가 특정 CSE 에 등록될 때 결정될 수 있다. AE 등록 요청은 해당 CSE 에 해당 AE 를 위한 리소스를 생성하는 요청이 될 수 있고, AE 등록 응답은 상기 요청에 대한 응답일 수 있다.
그렇기에 AE 가 CSE 에 등록되기 이전에 사용자 또는 가입자와 M2M 서비스 제공자와의 서비스 동의를 통해 설정될 수 있는 서비스 구독 리소스에 AE ID 를 미리 설정하지 못할 수 있다. 또한, AE ID 마다 특정 노드에 대한 서비스를 설정하는 것은 공간 오버헤드가 발생하며, 해당 리소스를 타 CSE 에 전송하는데에 있어서도 네트워크 오버헤드가 발생한다. 이에 본 발명에서는 이 문제를 해결하고자, 서비스 구독 리소스에 AE ID 는 물론, App-ID 와 AE 속성에 기반하여 특정 노드에 대한 서비스를 저장하는 방식 및 이를 통한 접근 제어 방식을 제안한다.
종래에는 특정 M2M 엔티티(예컨대 AE, CSE)가 부모 리소스에 대해서 생성(Create) 권한이 있을 경우, 부모 리소스에 속하는 자식 리소스 타입의 리소스들에 대한 생성 권한을 제공하였다.
즉, 특정 M2M 엔티티가 부모 리소스에 대해서 생성 권한을 가지고 있을 경우(이는 특정 리소스에 속성으로 권한을 저장할 수도 있으며, 특정 리소스에 권한 관련 정보에 대한 링크(들)을 가지고 있어 권한 관련 정보를 통해 특정 M2M 엔티티에 대한 권한 존재 여부를 확인할 수 있다) 부모 리소스 타입에서 정의하는 자식 리소스 타입의 리소스 생성에 대해 권한을 가지는 것이다. 예컨대, <CSEBase> 리소스 타입의 정의가 표 1 과 같을 경우, 실체화된 CSEBase 리소스에 대해서 create 권한을 가지고 있을 경우, <CSEBase> 리소스 타입에서 정의하고 있는 자식 리소스 타입들(즉, <group>, <locationPolicy>, <remoteCSE>, <subscription>, <container>)을 따르는 리소스들을 생성할 수 있는 권한이 있다.
하지만 이렇게 부모 리소스에 대해 생성 권한이 있을 시 모든 자식 리소스 타입의 생성에 권한이 있기 때문에 세밀한 권한 부여가 불가능하게 된다. 즉, 어떤 M2M 엔티티에게는 실체화된 <CSEBase> 리소스에 <mgmtCmd>와 <mgmtObj> 리소스 타입들에 대해서만 생성 권한을 부여하고, 다른 어떤 M2M 엔티티에게는 동일한 <CSEBase> 리소스에 대해 <locationPolicy>와 <container> 리소스 타입들에 대해서만 생성 권한을 부여할 수가 없는 것이다. 이에 본 발명에서는 특정 리소스 타입에 대해 생성 권한이 있는지 여부에 따라 자식 리소스를 생성할 수 있는지 여부를 판단할 수 있는 접근 제어 기법을 기술한다.
이하 명시된 발명에서 주체 엔티티는 AE 또는 CSE(Framework, platform)을 말하며, 타깃 엔티티에 리소스 조작 동작(operation) 또는 동작 요청을 전송하는 엔티티이다. 타깃 엔티티는 주체 엔티티가 접근하려는 엔티티 또는 주체 엔티티에게 서비스를 제공하는 엔티티(즉, 리소스를 소유하고 있는 CSE(Resource hosting CSE), 목적 CSE, 타깃 CSE, 요청 메시지의 목적지 CSE)로써 CSE 를 지칭한다. 엔티티라 함은 AE 또는 CSE 를 말한다.
장치 AE 는 ASN-CSE 가 속한 노드에 존재하는 AE, ADN 에 존재하는 AE 를 의미한다. 게이트웨이 AE 는 MN-CSE 가 속한 노드에 존재하는 AE 를 의미한다. 서버 AE 는 IN-CSE 에 속한 노드에 존재하는 AE 를 의미한다.
ASN-CSE 가 속한 노드 안에 존재하는(노드에 설치된) AE, MN-CSE 가 속한 노드 안에 존재하는(노드에 설치된) AE, ADN 에 존재하는(설치된) AE 가 필드 도메인 AE 를 의미한다. 네트워크(Infrastructure) 도메인 AE 는 IN-CSE(M2M 서버에 속한 CSE)에 연결되어 있는 AE 이나 ADN 에 설치되지 않은 AE 를 의미한다.
장치 AE, 게이트웨이 AE, 서버 AE, 필드 도메인 AE, 네트워크(Infrastructure) 도메인 AE 의 구분은 해당 AE ID 를 통해 구별될 수 있다.
여기서 고려하는 조작 요청 주체 엔티티의 속성은 주체 엔티티가 CSE 인 경우 CSE ID, ASN-CSE, MN-CSE, IN-CSE 인지, 주체 엔티티가 AE 인 경우 어플리케이션 ID, AE ID(어플리케이션 인스턴스 ID), AE 도메인(특정 장치에 존재하는 지, 인프라스트럭쳐 도메인의 AE 인지, 필드 도메인의 AE 인지, 게이트웨이 AE 인지, 장치 AE 인지, 서버 AE 인지), 역할 등이 있다.
이렇게 도메인을 구분하는 이유는 동일한 AE 라 할지라도 네트워크 도메인에 있는 AE 는 필드 도메인에 있는 AE 에 비해 많은 서비스가 가능(많은 리소스 타입에 대해 많은 조작 권한이 부여될)할 것으로 예상되기 때문 또는 사용하는 서비스가 다를 것으로 예상되기 때문이다. 타 구분 또한 동일한 이유(장치 AE, 게이트웨이 AE, 서버 AE)이다.
접근 제어 정책(ACP) 엔트리(entry)는 권한일 수 있다.
여기서, 주체 엔티티의 속성은 요청에 포함된 정보만으로 제약할 수도 있다.
서비스 구독(service subscription) 정보 기반 접근 권한 인증
- M2M 서비스 구독 리소스 타입
M2M 서비스 구독(또는, 서비스 구독 프로파일(Profile)) 리소스는 M2M 서비스 제공자와 M2M 서비스 제공자가 제공하는 M2M 서비스(또는 M2M 서비스 역할)를 사용하는 M2M 가입자(M2M 어플리케이션 제공자, M2M 장치(노드/CSE) 사용자) 사이에서 M2M 가입자가 어떠한 M2M 서비스를 사용할지에 따라 결정된다.
M2M 서비스 역할은 M2M 서비스의 서브셋(subset) 개념으로 어떠한 리소스 타입들 각각에 대해 어떠한 동작들을 사용할 수 있는지가 명시될 수 있다. 또는 M2M 서비스 역할을 특정 리소스 타입에 대해 어떠한 동작들을 사용할 수 있는지가 명시될 수 있다. 이 경우에는 M2M 가입자가 어떠한 M2M 서비스 역할을 사용하는지가 명시된다.
M2M 서비스 구독(또는, 서비스 구독, 또는 서비스 구독 프로파일(M2M Service Subscription Profile)) 리소스에는 어떠한 주체 엔티티가 어떠한 타깃 엔티티에 대해 어떠한 리소스 타입 별로 어떠한 동작이 가능한지 명시되어 있다. 즉, 각 M2M 서비스 구독에는 M2M 서비스 구독 ID 가 부여되고, 해당 M2M 서비스 구독에는 주체 엔티티의 속성 정보(예컨대, AE ID, App-ID, AE 도메인(예컨대, 인프라스트럭쳐 도메인/필드 도메인 또는 게이트웨이 AE/장치 AE/서버 AE), 주체 엔티티가 속한(예컨대 설치되어 있는) 노드 또는 CSE ID)와 타깃 엔티티 정보(CSE ID 또는 CSE 가 속한 노드 또는 장치 정보(노드 ID 또는 장치 ID), 또는 M2M 서비스 제공자의 전체 CSE), 주체 엔티티가 가입한 M2M 서비스(또는 서비스 역할) 정보가 포함되어 있다. M2M 서비스 정보에는 어떠한 리소스 타입들 각각에 대해 어떠한 동작들을 사용할 수 있는지가 명시될 수 있다. 상기 M2M 서비스 구독에 포함된 정보 중 타깃 엔티티 정보는 생략 가능하며, 이 경우 전체 노드에 대해(즉, 모든 타깃 엔티티에 대해) 상기 주체 엔티티는 가입한 M2M 서비스가 가능하다.
아래 표는 M2M 서비스와 그에 맵핑되는 M2M 서비스 역할을 나타낸다.
[표 8]
Figure pct00018
M2M 서비스 제공자 도메인을 통한 M2M 서비스 구독의 사용은 M2M 서비스 제공자 합의하에 이루어진다. 아래 표는 M2M 서비스 역할과 그에 맵핑되는 리소스 타입/허용된 동작을 나타낸다. 아래의 표는 서비스 구독에 따른 요청들의 인증(validation)을 허용하기 위해 서비스 제공자에 의해 설정된다.
[표 9]
Figure pct00019
구체적으로 M2M 서비스 구독 리소스는 다음과 같은 속성을 포함할 수 있다.
[표 10]
Figure pct00020
상기 표에서 serverRoles 속성이 앞서 설명한 M2M 서비스 역할의 리스트에 대한 정보를 나타낸다. 또한, 상기 M2M 서비스 구독 리소스는 해당 M2M 서비스 구독 리소스가 적용되는 노드(authorizedNode)에 관한 정보를 자식 리소스로 갖는다. 상기 자식 리소스는 다음과 같은 속성을 가질 수 있다.
[표 11]
Figure pct00021
Figure pct00022
Figure pct00023
Figure pct00024
이러한 M2M 서비스 구독 리소스를 M2M 시스템의 특정 AE(예컨대, M2M 서비스 제공자가 운용하는 AE, 관리자 AE)가 Create(생성)/Retrieve(값 얻어오기)/Update(변경)/Delete(삭제)를 할 수 있을 수 있으며, 상기 M2M 서비스 구독 리소스가 M2M 서버(IN-CSE)에 자동적으로 생성될 수도 있다.
- M2M 서비스 구독과 AE ID 의 연결(association) (AE 등록 과정)
도 8 은 AE 등록 절차를 도시한다.
AE 등록 과정에서 AE 는 M2M 서비스 구독 ID 를 제공할 수 있다. M2M 서비스 구독 ID 는 자신이 속한 M2M 서비스 구독 리소스를 지시하는 URI 또는 이를 암시(infer), 또는 식별 할 수 있는 정보일 수 있다. 여기에, AE 는 미리 할당된 AE ID 또한 제공할 수 있다.
AE(810)는 CSE(820, AE Registrar CSE)에 AE 등록 요청을 전송할 수 있다(S810). 상기 AE 등록 요청에는 M2M 서비스 구독 ID 가 포함되며, 상기 CSE 에 대한 AE ID 가 미리 설정되어 있는 경우 상기 AE ID 가 포함된다. 상기 AE 등록 요청엔 다른 정보도 포함될 수 있다.
상기 CSE 는 상기 AE 등록 요청에 AE ID 가 포함되어 있지 않은 경우, AE ID 를 할당할 수 있다(S820). 상기 AE 등록 요청에 AE ID 가 포함되어 있을 경우, 상기 CSE 는 상기 AE 등록 요청에 포함된 AE ID 를 상기 AE 에게 할당할 것인지 여부를 판단한 후, 상기 AE ID 와 같은 또는 다른 AE ID 를 할당할 수 있다.
상기 CSE 는 할당된 AE ID 가 상기 AE 등록 요청에 포함된 M2M 서비스 구독 ID 가 지시하는 M2M 서비스 구독 리소스에 저장되도록 한다(S830). 한편, 상기 AE ID 가 상기 M2M 서비스 구독 리소스에 미리 저장되어 있는 경우 저장하지 않는다. 상기 CSE 가 IN-CSE(830)와 동일한 노드에 속한 경우 현 단계는 내부적으로 발생할 수 있다. AE ID 는 상기 AE 가 속한 (또는, 상기 AE 를 가지고 있는) 노드/CSE 정보와 연관되어 저장될 수 있다. 이러한 경우, 노드 정보가 요청에 포함될 수 있다.
상기 IN-CSE(830)는 상기 CSE 에 응답을 제공할 수 있다. 상기 CSE 가 IN-CSE 일 경우 현 단계는 내부적으로 발생할 수 있다.
상기 CSE 는 상기 할당한 AE ID 를 포함한 AE 등록 응답을 상기 AE 에게 전송할 수 있다(S850).
AE ID 를 M2M 서비스 구독 리소스에 저장하는데 있어, M2M 서비스 역할의 업데이트를 수행하는 엔티티와 AE ID 의 업데이트를 수행하는 엔티티간의 구별을 위해 AE ID 를 업데이트(추가/변경/삭제)하는 접근 제어 정책과 M2M 서비스 역할을 업데이트(추가/변경/삭제)하는 접근 제어 정책을 달리 할 수 있다. 하나의 방법은 개별적으로 속성을 할당하는 것이며, 다른 방법은 리소스의 레벨을 달리하여 적용하는 접근 제어 정책을 달리하는 것이다.
· M2M 서비스 구독 검증
AE 가 제공하는 M2M 서비스 구독 ID 가 실제 상기 AE 에게 할당된 M2M 서비스 구독 ID 인지 확인을 위하여, 상기 AE 가 사용하는 크리덴셜(credential)과 M2M 서비스 구독 ID (또는 추가적으로, AE 가 속한 노드의 ID)가 연관될 수 있다. 즉, AE 가 사용하는 인증서(certificate) 정보 또는 대칭키(symmetric key) 등의 보안 정보의 식별자와 M2M 서비스 구독 ID 를 연관시켜 AE 등록 이전의 보안 정보를 기반으로 보안 세션을 생성 시, 상기 보안 세션에서 사용된 보안 정보와 연관된 M2M 서비스 구독 ID(또는 추가적으로, AE 가 속한 노드의 ID)가 AE 등록 요청에 포함된 M2M 서비스 구독 ID(또는 추가적으로, AE 가 속한 노드의 ID)와 동일한지 Registrar CSE 또는 IN-CSE 는 검증할 수 있다. 상기 두 개의 M2M 서비스 구독 ID 가 같으면, 상기 AE 등록 절차에는 문제가 없으나; 상기 두 개의 M2M 서비스 구독 ID 가 다르면, Registrar CSE 또는 IN-CSE 는 적절한 에러 응답을 전송할 수 있다.
또는, AE ID 이외의 다른 AE 를 식별할 수 있는 식별자가 존재할 수 있다. AE ID 는 AE 등록 과정에서 설정될 수 있는데 반해, AE 를 식별할 수 있는 다른 식별자는 등록 이전부터 유효하여, 해당 식별자와 M2M 서비스 구독 ID 를 연관시킨다. AE 등록 과정에서 AE 등록 요청에 해당 식별자를 포함시키고, Registrar CSE 또는 IN-CSE 가 상기 식별자와 연관된 M2M 서비스 구독 ID 가 등록 요청의 M2M 서비스 구독 ID 와 동일한지 검증할 수 있다. 두 개의 M2M 서비스 구독 ID 가 같으면 AE 등록 과정에는 문제가 없으나; 두 개의 M2M 서비스 구독 ID 가 서로 다르면, 상기 Registrar CSE 또는 IN-CSE 는 적절한 에러 응답을 전송할 수 있다.
·등록 검증
M2M 서비스 구독에 AE ID 를 등록하기 전, M2M 서비스 구독의 M2M 서비스 역할을 통해 등록이 가능한지 여부를 확인할 수 있다. <AE> 리소스 타입(리소스 타입)에 생성 권한이 해당 M2M 서비스 구독의 어느 M2M 서비스 역할에 명시되어 있으면 등록이 가능하고, 아니면 등록이 불가능하다.
- M2M 서비스 구독과 크리덴셜 연관
AE 또는 AE 가 속한 노드는 보안을 위해 사용하는 크리덴셜을 가질 수 있는데, 해당 크리덴셜과 M2M 서비스 구독 ID(그리고 AE 가 속한 노드 ID)가 연관되어 있을 수 있다.
여기서, 상기 크리덴셜은 특정 엔티티 사이(주체 엔티티와 중간 엔티티 페어(pair) 간, 주체 엔티티와 타깃 엔티티 페어 간)에서 공유된 정보일 수 있으며, 또는 M2M 시스템 내(주체 엔티티와 중간 엔티티 또는 다른 중간 엔티티 또는 타깃 엔티티 간)에서 유효한 정보일 수 있다. 예컨대, 상기 크리덴셜 정보로써 대칭키를 사용할 경우 대칭키 ID(그리고 상기 대칭키를 공유한 페어 ID)가 M2M 서비스 구독 ID(또는 추가적으로, AE 가 속한 노드의 ID)와 연관되어 있을 수 있다. 만약 상기 크리덴셜 정보로써 인증서(certificate) 정보를 사용할 경우, 상기 인증서 정보의 이름(또는 상기 인증서 정보를 고유하게 식별할 수 있는 정보)가 M2M 서비스 구독 ID(또는 추가적으로, AE 가 속한 노드의 ID)와 연관되어 있을 수 있다. 한편, AE 와 크리덴셜은 1 대 1 관계 일 수 있으며, 또는 여러 AE 가 동일 크리덴셜을 가지는 다 대 1 관계 일 수 있다.
이 경우, 도 8 과 관련하여, CSE(820)는 AE(810)과의 보안 연결(security association)을 맺는데 사용한 상기 크리덴셜을 통해 M2M 서비스 구독 ID(또는 추가적으로, AE 가 속한 노드의 ID)를 도출할 수 있으며, 상기 CSE 는 이를 통해 주체 엔티티가 요청하는 조작에 대한 M2M 서비스 구독의 검증을 수행할 수 있다. 상기 보안 연결은 조작 요청/응답을 받기 이전 미리 맺어져 있다.
상기 크리덴셜은 M2M 서비스 제공자가 제공한 값일 수 있으며, AE 등록 요청에 크리덴셜 정보가 전달될 수도 있다.
- M2M 서비스 구독 리소스 획득 방법
M2M 서비스 구독 리소스 타입으로 실체화된 서비스 구독 리소스(들)은 IN-CSE(M2M 서버)에 저장될 수 있고, 다른 CSE 에는 저장되지 않을 수 있다. 이 경우, 주체 엔티티로부터의 접근(operation)이 ASN-CSE 또는 MN-CSE(접근 타깃 CSE, 접근 목적지 CSE, 리소스 소유 CSE)에서 발생할 때, 즉 상기 접근의 타깃 엔티티가 ASN-CSE 또는 MN-CSE 이거나, ASN-CSE 또는 MN-CSE 의 노드 (디바이스)일 때, 상기 ASN-CSE 또는 상기 MN-CSE 가 M2M 서비스 구독 리소스(들)를 IN-CSE 로부터 읽어와서 접근 제어를 수행할 수 있다. 또는 접근의 중간 엔티티가 IN-CSE 로부터 읽어와서 접근 제어를 수행할 수 있다.
이 경우, 상기 ASN-CSE 또는 상기 MN-CSE 는 읽어온 정보를 유지하여 사용할 수 있다. 이렇게 할 수 있는 이유는 한번 구독된 정보의 M2M 서비스 역할은 변경되지 않을 수 있기 때문에 이전의 읽어온 값을 사용할 수 있다.
또는, 전체 서비스 구독 리소스들은 IN-CSE 에 있으나 ASN-CSE 또는 MN-CSE 에 부분적인 서비스 구독 리소스들이 있을 수 있다. 여기서, 부분적인 서비스 구독 리소스는 서비스 구독 리소스에 명시된 타깃 또는 중간 엔티티의 ASN-CSE 또는 MN-CSE 자신에게 해당하는 서비스 구독 리소스들일 수 있다(예컨대, 상기 타깃 또는 중간 엔티티의 상기 ASN-CSE 또는 상기 MN-CSE 자신의 CSE ID 또는 노드 ID, 또는 전체 CSE/노드를 지칭하는 경우).
또는, MN-CSE 및 ASN-CSE 은 자신을 대상으로 하는 서비스 구독 리소스(들)(즉, 상기 MN-CSE 및 상기 ASN-CSE 의 CSE ID 또는 노드 ID 를 타깃 또는 중간 엔티티로 하거나, 전체 CSE/노드를 타깃으로 하는 서비스 구독 리소스(들))에 대해서 동기화(sync, synchronization)를 하고 있을 수 있다.
해당 서비스 구독 리소스(들)은 ASN-CSE 또는 MN-CSE 가 IN-CSE 로부터 읽어올 수도 있으며, IN-CSE 가 ASN-CSE 또는 MN-CSE 에 해당 리소스(들)을 생성/업데이트할 수 있다. 또는, ASN-CSE 또는 MN-CSE 가 해당 리소스(들) 중 자신을 타깃 또는 중간 엔티티로 하는 서비스 구독 리소스(들)을 구독(subscription)하여 자신에 해당하는 서비스 구독 리소스(들) 변경/생성 시 이를 통지를 받아 저장하고 있을 수 있다. 이 경우, ASN-CSE 또는 MN-CSE 에 있는 서비스 구독 리소스(들)과 IN-CSE 에 해당 CSE 의 노드에 해당하는 서비스 구독 리소스(들)간에 동기화가 이루어져 서로 동일한 값을 유지해야 한다.
여기서, 상기 ASN-CSE/MN-CSE 에 저장된 서비스 구독 리소스는 다른 엔티티에게 공유되지 않을 수 있다.
상기 저장된 서비스 구독 리소스는 노드 또는 해당 노드의 CSE 에 접근하는 AE 의 접근 제어에 사용될 수 있다.
- 접근 제어 메커니즘 #1
도 9 에 도시된 방식으로 리소스 조작(manipulation) 요청에 대한 접근 제어를 수행할 수 있다.
리소스 조작 요청의 주체 엔티티와 타깃 엔티티 사이에는 다른 엔티티(즉, 중간 엔티티)가 존재할 수 있다. 이 경우, 리소스 조작 타깃 엔티티의 <cseBase> 리소스 타입을 따르는(또는 갖는) 리소스에 해당하는 접근 제어 정책(ACP)에 모든 리소스 조작 요청의 주체 엔티티에 대해서 생성(create) 리소스 조작이 허용토록 할 수 있다.
여기서, 타깃 엔티티는 접근 제어 결정을 수행하는 다른 엔티티에게 타깃 엔티티에서 수행하는 하기 절차를 요청할 수도 있다. 즉, 상기 리소스 조작 요청의 정보를 전달(forwarding) 하여 상기 접근 제어 결정을 수행하는 따른 엔티티가 도 9 의 S920, S940 를 수행하여 결과를 타깃 엔티티에게 알리고, 타깃 엔티티는 S920, S940 의 결과에 기반하여 상기 리소스를 조작 및/또는 적절한 응답을 전송할 수 있다.
주체 엔티티(910)가 타깃 엔티티(920)에 특정 리소스 타입의 리소스에 조작(Create/Retrieve/Update/Delete/Notify)을 요청할 수 있다(S910). 상기 조작 요청은 상기 주체 엔티티의 AE/CSE ID 가 포함될 수 있을 수 있다. 상기 조작 요청은 접근 제어에 사용되는 토큰(token)을 포함할 수 있다. 상기 조작 요청은 M2M 서비스 구독 ID 를 포함할 수 있다. 상기 조작 요청에 의해 어떠한 리소스 타입에 접근하려 하는지는, 접근하는 주소(URI 또는 'to' 파라미터)를 통해서 해당 리소스 접근 또는 해당 리소스의 속성(또는 속성 안의 값)을 접근할 시 해당 리소스의 리소스 타입을 명시하는 부분(리소스 타입' 속성)을 통해 결정될 수 있다.
상기 타깃 엔티티는 자신의 M2M 서비스 구독 리소스(들) 중 해당 AE 에 해당하는 서비스 구독 리소스(들)을 검색하고, 상기 주체 엔티티가 S910 에서 요청된 리소스 타입에 대한 조작 권한이 있는지 확인한다(S920). 상세한 절차는 도 10 내지 도 14 를 참조하여 후술된다.
상기 주체 엔티티가 상기 리소스 타입에 대한 조작 권한이 없을 시, 상기 타깃 엔티티는 리소스 조작이 가능하지 않음을 상기 주체 엔티티에 알릴 수 있다(S930).
상기 주체 엔티티가 상기 리소스 타입에 대한 조작 권한이 있는 경우, 상기 타깃 엔티티는 S910 에서 요청된 리소스에 대해서 상기 주체 엔티티가 권한을 가지고 있는지 확인한다(S940). 상세한 절차는 도 15 내지 도 16 을 참조하여 후술된다.
상기 주체 엔티티가 상기 권한을 가지고 있지 않을 시, 상기 타깃 엔티티는 상기 리소스 조작이 가능하지 않음을 상기 주체 엔티티에게 알릴 수 있다(S950). 그리고나서, 상기 타깃 엔티티는 상기 S910 에서 요청된 리소스에 대한 조작을 수행할 수 있다(S960). 그 후, 상기 타깃 엔티티는 상기 주체 엔티티에게 리소스 조작 요청에 대한 응답을 전송할 수 있다(S970).
도 9 에서, S920 내지 S930 과 S940 내지 S950 는 서로 순서를 바꾸어 수행될 수도 있다.
이하, 도 9 에 도시된 S920( "조작 권한이 있는지 확인하는 단계" 또는 "M2M 서비스 구독 인증" )에 대해 좀더 상세히 설명하도록 한다.
S910 의 조작 요청에 어떠한 정보가 포함되어 있는지에 따라 아래와 같이 나눌 수 있다. 본 절차는 조작 요청의 타깃 엔티티 또는 접근 제어 결정을 수행하는 엔티티(이하, 타깃 엔티티 등)에서 발생한다.
IN-AE 에 대해서 디바이스/게이트웨이에 할당한 App-ID 를 사용하지 않을 경우 AE 가 어느 도메인/어디에 속해있는지 판단하는 과정이 생략되고 App-ID 만이 고려될 수 있다.
도 10 은 상기 조작 요청에 M2M 서비스 구독 ID 가 존재하는 경우의 "조작 권한이 있는지 확인하는 단계" 를 도시한다.
상기 타깃 엔티티 등은 상기 조작 요청에 M2M 서비스 구독 ID (또는 추가적으로, 주체 엔티티가 속한 노드의 ID)가 존재하는지 확인할 수 있다(S1010). 상기 M2M 서비스 구독 ID 가 상기 조작 요청에 존재하는 경우, 상기 타깃 엔티티 등은 상기 M2M 서비스 구독 ID(또는 추가적으로, 주체 엔티티가 속한 노드의 ID)에 해당하는 (또는 추가적으로, 타깃 엔티티에 적용되는) M2M 서비스 구독 리소스가 존재하는지 확인할 수 있다(S1020).
M2M 서비스 구독 리소스가 존재하면, 상기 타깃 엔티티 등은 상기 M2M 서비스 구독 리소스가 상기 조작 요청을 전송한 주체 엔티티의 속성 또는 속성들의 조합과 부합하는지 확인할 수 있다(S1030). 상기 주체 엔티티의 속성 또는 속성들의 조합으로 고려되는 내용 및 타깃 엔티티의 속성으로 고려되는 내용은 앞서 설명하였다. 한편, 상기 S1030 은 선택적으로 수행될 수 있으며, 따라서 생략될 수도 있다.
상기 M2M 서비스 구독 리소스를 통해 상기 조작 요청이 조작하려는 리소스의 리소스 타입에 대해 상기 조작을 수행할 수 있는지 확인할 수 있다(S1040). 상기 M2M 서비스 구독 리소스에는 특정 리소스 타입에 따른 조작(operation)이 명시되어 있으며, 이 경우 해당 리소스 타입에 해당하는 리소스에 대해 해당 조작이 가능함을 의미한다.
상기 S1040 의 동작은 표 8 및 9 를 참조하도록 한다. 상기 M2M 서비스 구독 리소스에는 특정 리소스 타입에 따른 조작(operation)이 명시되어 있으며, 이 경우 해당 리소스 타입에 해당하는 리소스에 대해 해당 조작이 가능함을 의미한다. 좀더 상세히는, 상기 타깃 엔티티 등은 M2M 서비스 구독 리소스의 M2M 서비스 역할(들) 중 상기 조작 요청이 조작하려는 리소스의 리소스 타입에 대해서 명시된 M2M 서비스 역할(들)을 찾고, 해당 M2M 서비스 역할에 명시된 조작 요청이 조작하려는 리소스의 리소스 타입에 대해 허용된 조작(들)이 상기 조작을 포함하는지 확인한다. M2M 서비스 역할 중 하나라도 허용되는 조작이 포함되어 있으면 상기 조작을 수행할 수 있음을 의미한다.
상기 S1020 내지 S1040 중 하나라도 부정적인 판단 결과를 가지면, 상기 조작 요청은 허용되지 않으며(S1050), 상기 S1020 내지 S1040 모두가 긍정적인 판단 결과를 가지면, 상기 조작 요청은 허용된다(S1060).
도 11 은 상기 조작 요청에 토큰이 존재하는 경우의 "조작 권한이 있는지 확인하는 단계" 를 도시한다.
상기 타깃 엔티티 등은 상기 조작 요청에 토큰이 존재하는지 확인할 수 있다(S1110).
상기 토큰이 상기 조작 요청에 존재하는 경우, 상기 타깃 엔티티 등은 상기 토큰에 해당하는 (또는 추가적으로, 상기 타깃 엔티티에 적용되는) M2M 서비스 구독 리소스가 존재하는지 확인할 수 있다(S1120).
상기 타깃 엔티티 등은 상기 M2M 서비스 구독 리소스를 통해 상기 조작 요청이 조작하려는 리소스의 리소스 타입에 대해 상기 조작을 수행할 수 있는지 확인할 수 있다(S1130).
상기 S1130 의 동작은 표 8 및 9 를 참조하도록 한다. 상기 M2M 서비스 구독 리소스에는 특정 리소스 타입에 따른 조작(operation)이 명시되어 있으며, 이 경우 해당 리소스 타입에 해당하는 리소스에 대해 해당 조작이 가능함을 의미한다. 좀더 상세히는, 상기 타깃 엔티티 등은 M2M 서비스 구독 리소스의 M2M 서비스 역할(들) 중 상기 조작 요청이 조작하려는 리소스의 리소스 타입에 대해서 명시된 M2M 서비스 역할(들)을 찾고, 해당 M2M 서비스 역할에 명시된 조작 요청이 조작하려는 리소스의 리소스 타입에 대해 허용된 조작(들)이 상기 조작을 포함하는지 확인한다. M2M 서비스 역할 중 하나라도 허용되는 조작이 포함되어 있으면 상기 조작을 수행할 수 있음을 의미한다.
상기 S1120 내지 S1130 중 하나라도 부정적인 판단 결과를 가지면, 상기 조작 요청은 허용되지 않으며(S1140), 상기 S1120 내지 S1130 모두가 긍정적인 판단 결과를 가지면, 상기 조작 요청은 허용된다(S1150). 한편, 상기 S1120 에서 하나 이상의 M2M 서비스 구독 리소스들이 검색될 경우, 그 중 하나의 M2M 서비스 구독 리소스에 대해서 S1130 을 통과하면 S1150 으로 이동한다.
도 12 는 상기 조작 요청에 토큰 및 M2M 서비스 구독 ID 가 존재하지 않는 경우의 "조작 권한이 있는지 확인하는 단계" 를 도시한다.
상기 타깃 엔티티 등은 조작 요청을 전송한 주체 엔티티의 속성 또는 속성들의 조합에 부합하는 (또는 추가적으로, 타깃 엔티티에 적용되는) M2M 서비스 구독 리소스를 찾을 수 있다(S1210).
상기 주체 엔티티의 속성에 부합하는 M2M 서비스 구독이 존재하면, 상기 타깃 엔티티 등은 상기 M2M 서비스 구독 리소스를 통해 상기 조작 요청이 조작하려는 리소스의 리소스 타입에 대해 상기 조작을 수행할 수 있는지 확인할 수 있다(S1220). 상기 주체 엔티티의 속성 또는 속성들의 조합으로 고려되는 내용 및 타깃 엔티티의 속성으로 고려되는 내용은 앞서 설명하였다.
상기 S1220 의 동작은 표 8 및 9 를 참조하도록 한다. 상기 M2M 서비스 구독 리소스에는 특정 리소스 타입에 따른 조작(operation)이 명시되어 있으며, 이 경우 해당 리소스 타입에 해당하는 리소스에 대해 해당 조작이 가능함을 의미한다. 좀더 상세히는, 상기 타깃 엔티티 등은 M2M 서비스 구독 리소스의 M2M 서비스 역할(들) 중 상기 조작 요청이 조작하려는 리소스의 리소스 타입에 대해서 명시된 M2M 서비스 역할(들)을 찾고, 해당 M2M 서비스 역할에 명시된 조작 요청이 조작하려는 리소스의 리소스 타입에 대해 허용된 조작(들)이 상기 조작을 포함하는지 확인한다. M2M 서비스 역할 중 하나라도 허용되는 조작이 포함되어 있으면 상기 조작을 수행할 수 있음을 의미한다.
상기 S1210 내지 S1220 중 하나라도 부정적인 판단 결과를 가지면, 상기 조작 요청은 허용되지 않으며(S1230), 상기 S1220 내지 S1220 모두가 긍정적인 판단 결과를 가지면, 상기 조작 요청은 허용된다(S1240). 한편, S1210 에서 하나 이상의 M2M 서비스 구독 리소스들이 검색될 경우, 그 중 하나의 M2M 서비스 구독 리소스에 대해서 S1220 을 통과하면 S1240 로 이동한다.
또한, 도 12 의 절차는 상기 조작 요청에 토큰이 있을 경우에도 사용할 수 있다. 즉, 이 경우 토큰은 실제 리소스 권한 인증에만 사용된다.
따라서, 상기 조작 요청에 토큰이 포함되어 있다면, 도 11 또는 도 12 의 절차 모두를 사용될 수 있고, 둘 중 어느 하나의 절차에서 조작이 허용되면 상기 M2M 서비스 구독 인증은 성공한다.
도 13 은 조작 요청에 AE ID 가 포함된 경우의 "조작 권한이 있는지 확인하는 단계" 를 도시한다.
상기 타깃 엔티티 등은 상기 조작 요청을 전송한 주체 엔티티의 AE ID 에 해당하는 M2M 서비스 구독 리소스를 찾을 수 있다(S1310). 상기 M2M 서비스 구독은 AE ID 정보를 포함할 수 있는데, AE ID 를 통해 특정 M2M 서비스 구독 리소스를 찾을 수 있다.
상기 타깃 엔티티 등은 상기 M2M 서비스 구독 리소스를 통해 상기 조작 요청이 조작하려는 리소스의 리소스 타입에 대해 상기 조작을 수행할 수 있는지 확인할 수 있다(S1320).
상기 S1320 의 동작은 표 8 및 9 를 참조하도록 한다. 상기 M2M 서비스 구독 리소스에는 특정 리소스 타입에 따른 조작(operation)이 명시되어 있으며, 이 경우 해당 리소스 타입에 해당하는 리소스에 대해 해당 조작이 가능함을 의미한다. 좀더 상세히는, 상기 타깃 엔티티 등은 M2M 서비스 구독 리소스의 M2M 서비스 역할(들) 중 상기 조작 요청이 조작하려는 리소스의 리소스 타입에 대해서 명시된 M2M 서비스 역할(들)을 찾고, 해당 M2M 서비스 역할에 명시된 조작 요청이 조작하려는 리소스의 리소스 타입에 대해 허용된 조작(들)이 상기 조작을 포함하는지 확인한다. M2M 서비스 역할 중 하나라도 허용되는 조작이 포함되어 있으면 상기 조작을 수행할 수 있음을 의미한다.
상기 S1310 내지 S1320 중 하나라도 부정적인 판단 결과를 가지면, 상기 조작 요청은 허용되지 않으며(S1330), 상기 S1310 내지 S1320 모두가 긍정적인 판단 결과를 가지면, 상기 조작 요청은 허용된다(S1340). 한편, S1310 에서 하나 이상의 M2M 서비스 구독 리소스들이 검색될 경우, 그 중 하나의 M2M 서비스 구독 리소스에 대해서 S1320 을 통과하면 S1340 로 이동한다.
도 14 는 크리덴셜을 이용한 "조작 권한이 있는지 확인하는 단계" 를 도시한다.
타깃 엔티티 등은 보안 연결에서 사용한 크리덴셜을 통해 M2M 서비스 구독 ID(또는 추가적으로, 주체 엔티티가 속한 노드의 ID)를 도출하고, 도출한 정보를 통해 M2M 서비스 구독을 찾을 수 있다(S1410).
상기 타깃 엔티티 등은 상기 M2M 서비스 구독 리소스를 통해 상기 조작 요청이 조작하려는 리소스의 리소스 타입에 대해 상기 조작을 수행할 수 있는지 확인할 수 있다(S1420).
상기 S1420 의 동작은 표 8 및 9 를 참조하도록 한다. 상기 M2M 서비스 구독 리소스에는 특정 리소스 타입에 따른 조작(operation)이 명시되어 있으며, 이 경우 해당 리소스 타입에 해당하는 리소스에 대해 해당 조작이 가능함을 의미한다. 좀더 상세히는, 상기 타깃 엔티티 등은 M2M 서비스 구독 리소스의 M2M 서비스 역할(들) 중 상기 조작 요청이 조작하려는 리소스의 리소스 타입에 대해서 명시된 M2M 서비스 역할(들)을 찾고, 해당 M2M 서비스 역할에 명시된 조작 요청이 조작하려는 리소스의 리소스 타입에 대해 허용된 조작(들)이 상기 조작을 포함하는지 확인한다. M2M 서비스 역할 중 하나라도 허용되는 조작이 포함되어 있으면 상기 조작을 수행할 수 있음을 의미한다.
상기 S1410 내지 S1420 중 하나라도 부정적인 판단 결과를 가지면, 상기 조작 요청은 허용되지 않으며(S1430), 상기 S1410 내지 S1420 모두가 긍정적인 판단 결과를 가지면, 상기 조작 요청은 허용된다(S1440). 한편, S1410 에서 하나 이상의 M2M 서비스 구독 리소스들이 검색될 경우, 그 중 하나의 M2M 서비스 구독 리소스에 대해서 S1420 을 통과하면 S1440 로 이동한다.
이하, 도 9 에 도시된 S940( "요청된 리소스에 대해 상기 주체 엔티티가 조작 권한이 있는지 확인하는 단계" 또는 "실제 리소스 권한 인증" )에 대해 좀 더 상세히 설명하도록 한다.
도 9 에 도시된 S920 의 경우에는 주체 엔티티가 조작하려는 리소스의 해당 리소스 타입에 대해서 해당 조작이 가능한지를 알아보는, 즉, 주체 엔티티가 해당 서비스를 M2M 서비스 제공자로부터 구독하였는지를 알아보는 것이었다면, 도 9 에 도시된 S940 에서는 실제로 해당 리소스에 대해서 상기 주체 엔티티가 권한을 갖는지를 알아보는 단계이다.
S910 의 조작 요청에 어떤 정보가 포함되어 있는지에 따라 절차가 달라진다.
도 15 는 상기 조작 요청에 토큰이 포함된 경우의 "요청된 리소스에 대해 상기 주체 엔티티가 조작 권한이 있는지 확인하는 단계" 를 위한 절차를 도시한다.
상기 타깃 엔티티 등은 상기 조작 요청에 토큰이 포함되는지를 확인할 수 있다(S1510).
상기 타깃 엔티티 등은 상기 조작 요청의 대상 리소스에 해당하는 ACP(Access Control Policy) 리소스(들)이 존재하는지 확인할 수 있다(S1520). 상기 조작 요청의 대상 리소스의 ACP 리소스는 상기 조작 요청의 대상 리소스의 특정 속성(들)이 가리키고 있을 수 있다.
상기 타깃 엔티티 등은 상기 조작 요청의 조작(예컨대, Create, Retrieve, Update, Delete, Notify)이 S1520 에서 검색된 ACP 에서 상기 토큰에 대해 허용된 조작들에 포함되는지 확인할 수 있다(S1530).
상기 S1520 내지 S1530 중 하나라도 부정적인 판단 결과를 가지면, 상기 조작 요청은 허용되지 않으며(S1540), 상기 S1520 내지 S1530 모두가 긍정적인 판단 결과를 가지면, 상기 조작 요청은 허용된다(S1550). 한편, S1520 에서 하나 이상의 ACP 리소스들이 검색될 경우, 그 중 하나의 ACP 리소스에 대해서 S1530 을 통과하면 S1550 으로 이동한다.
한편, 환경/콘텍스트(Environment/Context)(예컨대, 시간, 날짜, IP 어드레스 등)의 고려로 인해 상기 절차가 만족되더라도 상기 조작 요청이 허가되지 않을 수 있다.
또한, 상기 S1530 에서 후술될 "조작 요청에 Token 존재하지 않을 시" 의 S1620 또한 함께 수행하여 토큰과 주체 엔티티의 속성들을 모두 고려하여 조작이 허용될 수 있다.
도 16 은 상기 조작 요청에 토큰이 포함되지 않은 경우의 "요청된 리소스에 대해 상기 주체 엔티티가 조작 권한이 있는지 확인하는 단계" 를 위한 절차를 도시한다.
상기 타깃 엔티티 등은 상기 조작 요청의 대상 리소스에 해당하는 ACP(Access Control Policy) 리소스(들)이 존재하는지 확인할 수 있다(S1610). 상기 조작 요청의 대상 리소스의 ACP 리소스는 상기 조작 요청의 대상 리소스의 특정 속성(들)이 가리키고 있을 수 있다.
상기 타깃 엔티티 등은 해당 ACP 에서 주체 엔티티의 속성 또는 속성들의 조합을 만족하는 엔트리가 존재하고, 해당 엔트리가 명시한 조작(들)에 상기 조작 요청의 조작이 포함되는지 확인할 수 있다(S1620). 상기 주체 엔티티의 속성 또는 속성들의 조합으로 고려되는 내용은 앞서 설명하였다.
상기 S1610 내지 S1620 중 하나라도 부정적인 판단 결과를 가지면, 상기 조작 요청은 허용되지 않으며(S1630), 상기 S1610 내지 S1620 모두가 긍정적인 판단 결과를 가지면, 상기 조작 요청은 허용된다(S1640). 한편, S1610 에서 하나 이상의 ACP 리소스들이 검색될 경우, 그 중 하나의 ACP 리소스에 대해서 S1620 을 통과하면 S1640 으로 이동한다.
한편, 환경/콘텍스트(Environment/Context)(예컨대, 시간, 날짜, IP 어드레스 등)의 고려로 인해 상기 절차가 만족되더라도 상기 조작 요청이 허가되지 않을 수 있다.
- 접근 제어 메커니즘 #2
본 발명의 또다른 일실시예 해당하는 접근 제어 메커니즘은 M2M 서비스 구독의 정보를 ACP 에 적용하는데 있다. M2M 서비스 구독은 특정 주체 엔티티가 특정 타깃 엔티티에 대해 어떠한 리소스 타입에 대해서 어떠한 조작이 허용되는지가 명시되어 있는데, 상기 접근 제어 메커니즘은 상기 M2M 서비스 구독의 정보를 특정 타깃 엔티티의 해당 리소스 타입을 가진 리소스의 ACP 에 적용하는 것이다. 하지만, ACP 내 조작 권한은 M2M 서비스 구독에 명시된 것보다 많으면 안된다.
즉, 도 17 에 도시된 것처럼, 예컨대 AE1 의 App-ID 가 App1 일 경우, M2M 서비스 구독에 App1 이 특정 CSE1 의 <container> 리소스 타입에 대해서 RWD(Read, Write, Delete)가 가능하다고 할 경우, CSE1 의 <container> 리소스 타입을 따르는 모든 리소스들(container1, container2)의 ACP 를 확인하여 AE1 이 RWD 이상의 조작 권한을 가지지 못하도록 하는 것이다. 즉, ACP1, ACP2 는 AE1, AE2 에 대해 Create, Notify 에 대한 권한을 가진 것으로 명시하면 안된다.
특정 리소스 타입의 특정 리소스의 ACP 에 M2M 서비스 구독에서 명시한 것 이상의 권한의 설정이 요청(예컨대, RWDN-Read, Write, Delete, Notify)될 경우, CSE1 은 이를 거부할 수 있으며, 또는 CSE1 에서 자체적으로 그 이상의 권한 설정 요청이 올 경우 M2M 서비스 구독에서 허용한 조작 이외의 조작은 삭제하고 적용할 수 있다.
또한, M2M 서비스 구독이 변경될 시 변경된 M2M 서비스 구독 관련 리소스 타입을 가진 리소스의 ACP 에 모두 적용되어야 한다.
M2M 서비스 구독에 명시된 주체 엔티티의 속성에 맞는 엔티티에 대해서만 ACP 의 권한을 M2M 서비스 구독에 명시된 조작의 범위 이하로 규제할 수 있다.
도 18 은 본 발명의 일 실시예에 따른 리소스 조작 요청에 대한 접근 제어 동작을 도시한다.
주체 엔티티(1801)가 특정 리소스 소유 CSE, 즉 타깃 엔티티로 특정 리소스 타입의 리소스에 조작(Create/Retrieve/Update/Delete/Notify)을 요청(이하, "조작 요청" )할 수 있다(S1810). 상기 조작 요청은 상기 주체 엔티티의 AE/CSE ID 를 포함할 수 있다. 상기 조작 요청은 접근 제어에 사용되는 토큰을 포함할 수 있다. 또한, 상기 조작 요청은 M2M 서비스 구독 ID 를 포함할 수 있다.
상기 타깃 엔티티(1802)는 상기 조작 요청의 조작에 대한 권한이 존재하는지 여부를 확인할 수 있다(S1820).
좀더 상세히는, 상기 타깃 엔티티는 상기 주체 엔티티가 조작하려는 리소스의 ACP 를 찾고, 해당 ACP 에서 상기 주체 엔티티의 속성 또는 속성(들)의 조합을 만족하는 엔트리가 존재하고, 해당 엔트리가 명시한 조작(들)에 상기 조작 요청의 조작이 포함되는지 확인할 수 있다. 상기 주체 엔티티의 속성 또는 속성들의 조합으로 고려되는 내용은 앞서 설명하였다. 또는, 상기 타깃 엔티티는 상기 조작 요청에 토큰이 포함되어 있을 경우 해당 ACP 에서 상기 토큰에 해당하는 엔트리를 찾고, 상기 토큰에 해당하는 엔트리가 존재할 시 해당 엔트리가 명시한 조작(들)에 조작 요청의 조작이 포함되는지 확인할 수 있다. 상기 토큰이 사용될 시에는 상기 주체 엔티티의 속성을 통한 엔트리와 상기 토큰에 해당하는 엔트리 모두에 대해서 해당 엔트리가 명시한 조작(들)에 조작 요청의 조작이 포함되면 권한이 존재하는 것으로 간주 될 수 있다.
상기 조작 요청의 조작이 상기 엔트리가 명시하는 조작에 없다면, 상기 타깃 엔티티는 상기 주체 엔티티로 조작 권한이 없어 조작을 수행하지 못하였음을 알릴 수 있다(S1830).
상기 조작 요청의 조작이 상기 엔트리가 명시하는 조작에 있다면, 상기 타깃 엔티티는 상기 조작 요청의 대상 리소스에 대해서 요청된 조작을 수행할 수 있다(S1840). 그리고나서, 상기 타깃 엔티티는 상기 주체 엔티티에게 상기 조작 요청에 대한 응답을 전송할 수 있다(S1850).
한편, 상기 S1820 에서 하나 이상의 ACP 리소스들이 검색될 경우, 그 중 하나의 ACP 리소스에 대해서 S1820 을 통과하면 S1804 로 이동한다.
ACP 의 단점은 특정 리소스에 적용되는 ACP 가 상기 특정 리소스의 모든 하위 리소스(create 시 또는 delete 시) 및 속성에 동일한 조작에 대한 동일한 권한을 갖도록 제한한다는 것이다. 이는 M2M 서비스 구독을 ACP 에 적용하더라도 존재하는 리소스에 대해서는 적용할 수 있지만 아직 생성되지 않은/존재하지 않는 리소스에 대해서는 M2M 서비스 구독을 적용하지 못한다. 이에, 특정 리소스를 생성할 때에는, 타깃 엔티티는 ACP 를 확인하지 않고 M2M 서비스 구독을 통해 해당 리소스 타입에 대해서 생성 권한이 있는지 확인한다. 이 경우 M2M 서비스 구독은 특정 리소스 타입에 대해 생성이 가능한지 여부가 명시되어 있을 수 있다.
따라서, 생성 권한 인증과 관련하여서는 도 19 및 도 20 과 관련하여 설명하도록 한다.
도 19 는 본 발명의 일 실시예에 따른 생성 조작 요청에 대한 인증 절차를 도시한다.
주체 엔티티(1910)는 특정 리소스 소유 CSE, 즉 타깃 엔티티(1920)에 특정 리소스 타입의 리소스에 조작(Create/Retrieve/Update/Delete/Notify)을 요청(이하, 조작 요청)할 수 있다(S1910). 상기 조작 요청은 주체 엔티티의 AE ID 를 포함할 수 있다. 상기 조작 요청에는 접근 제어에 사용되는 토큰이 포함될 수 있다. 또한, 상기 조작 요청은 M2M 서비스 구독 ID 를 포함할 수 있다.
상기 타깃 엔티티는 상기 조작 요청이 리소스 생성을 위한 조작인지 여부를 확인할 수 있다(S1920).
상기 조작 요청이 리소스 생성을 위한 조작이면, 상기 타깃 엔티티는 M2M 서비스 구독 리소스(들) 중 해당 AE 에 해당하는 서비스 구독 리소스(들)를 검색하고, 상기 주체 엔티티가 상기 조작 요청의 대상 리소스 타입에 대해 조작 권한이 있는지 확인할 수 있다(S1930). S1930 에 대한 구체적은 내용은 앞서 설명한 도 10 내지 도 14 와 관련한 설명을 참조하도록 한다.
상기 조작 요청의 대상 리소스 타입에 대해 조작 권한이 없는 경우, 상기 타깃 엔티티는 리소스 생성이 가능하지 않음을 상기 주체 엔티티에 알릴 수 있다(S1940).
상기 주체 엔티티가 상기 조작 요청의 대상 리소스 타입에 대해 조작 권한을 갖거나 상기 조작 요청이 상기 리소스 생성 요청이 아닌 경우, 상기 조작 요청의 대상 리소스에 대해 상기 주체 엔티티가 권한을 가지고 있는지 확인할 수 있다(S1950). S1950 에 대한 구체적은 내용은 앞서 설명한 도 15 내지 도 16 과 관련한 설명을 참조하도록 한다.
상기 주체 엔티티가 상기 조작 요청의 리소스에 대한 권한을 가지고 있지 않을 시, 상기 조작이 가능하지 않음을 상기 주체 엔티티에 알릴 수 있다(S1960).
상기 주체 엔티티가 상기 조작 요청의 리소스에 대한 권한을 가지고 있으면, 상기 타깃 엔티티는 상기 조작 요청의 리소스에 대해서 요청된 조작을 수행할 수 있다(S1970). 그리고나서, 상기 타깃 엔티티는 상기 주체 엔티티에게 상기 조작 요청에 대한 응답을 전송할 수 있다.
한편, 삭제(Delete) 조작에 대해서도 상기 생성 조작과 동일하게 위 프로시저와 같이 동작할 수 있다. 또한, 특정 리소스 타입에 대한 생성 권한 정보가 M2M 서비스 구독 이외에 다른 리소스에 명시되어 있을 수 있으며, 이 경우 해당 리소스를 확인하여 주체 엔티티가 특정 리소스 타입에 대해서 생성 권한이 있는지 여부를 확인할 수 있다.
도 20 은 본 발명의 일 실시예에 따른 생성 조작 요청에 대한 인증 절차를 도시한다. 도 20 과 관련된 실시예는 중간 엔티티가 M2M 서비스 구독 리소스를 통해 조작 요청의 대상 리소스 타입의 권한을 인증한다.
주체 엔티티(2010)는 특정 리소스 소유 CSE, 즉 타깃 엔티티(2020)에 특정 리소스 타입의 리소스에 조작(Create/Retrieve/Update/Delete/Notify)을 요청(이하, 조작 요청)할 수 있다(S2010). 상기 조작 요청은 주체 엔티티의 AE ID 를 포함할 수 있다. 상기 조작 요청은 접근 제어에 사용되는 토큰을 포함할 수 있다. 또한, 상기 조작 요청은 M2M 서비스 구독 ID 를 포함할 수 있다.
상기 중간 엔티티(2020)는 상기 조작 요청이 리소스 생성을 위한 조작인지 확인할 수 있다(S2020).
상기 조작 요청이 리소스 생성을 위한 것이면, 상기 중간 엔티티는 M2M 서비스 구독 리소스(들) 중 해당 AE 에 해당하는 서비스 구독 리소스(들)을 검색하고, 상기 주체 엔티티가 상기 조작 요청의 대상 리소스 타입에 대해 조작 권한이 있는지를 확인할 수 있다(S2030). S2030 에 대한 구체적은 내용은 앞서 설명한 도 10 내지 도 14 와 관련한 설명을 참조하도록 한다.
상기 주체 엔티티가 상기 조작 요청의 대상 리소스 타입에 대해 조작 권한이 없는 경우, 상기 중간 엔티티는 상기 리소스 생성이 가능하지 않음을 상기 주체 엔티티에게 알릴 수 있다(S2040).
상기 주체 엔티티가 상기 조작 요청의 대상 리소스 타입에 대해 조작 권한을 갖거나 상기 조작 요청이 상기 리소스 생성 요청이 아닌 경우, 상기 중간 엔티티는 타깃 엔티티에게 상기 조작 요청을 전달할 수 있다(S2050).
상기 타깃 엔티티는 상기 조작 요청의 대상 리소스에 대해서 상기 주체 엔티가 권한을 가지고 있는지 확인할 수 있다(S2060). S2060 에 대한 구체적은 내용은 앞서 설명한 도 15 내지 도 16 과 관련한 설명을 참조하도록 한다.
상기 주체 엔티티가 상기 리소스에 대한 권한을 가지고 있지 않으면, 상기 타깃 엔티티는 상기 조작이 가능하지 않음을 상기 주체 엔티티에 알릴 수 있다(S2070).
상기 주체 엔티티가 상기 리소스에 대한 권한을 가지고 있으면, 상기 타깃 엔티티는 상기 요청된 조작을 수행할 수 있다(S2080). 그리고나서, 상기 타깃 엔티티는 상기 주체 엔티티에게 상기 조작 요청에 대한 응답을 전송할 수 있다(S2090).
여기서, 상기 중간 엔티티는 상기 주체 엔티티와 등록관계에 있을 수 있다. 또한, 상기 중간 엔티티와 상기 타깃 엔티티는 동일한 엔티티일 수 있다. 또한, 특정 리소스 타입에 대한 생성 권한 정보가 M2M 서비스 구독 이외에 다른 리소스에 명시되어 있을 수 있으며, 이 경우 해당 리소스를 확인하여 주체 엔티티가 특정 리소스 타입에 대해서 생성 권한이 있는지 여부를 확인할 수 있다.
한편, 어떤 특정 리소스 타입의 경우에는 리소스 타입에 권한을 부여한다고 해도 이를 통해서 적절한 접근 제어가 보장되지 않을 수 있다. 리소스 타입이 제공하는 기능이 여러 개가 될 수 있는 경우가 그 예인데, 이러한 경우 리소스 타입을 기능별로 나누어 해당 기능별로 권한을 부여할 필요가 있다. 이에 이러한 특정 리소스 타입(예컨대, mgmtObj, mgmtCmd)의 경우에는 리소스 타입과 기능 식별자(예컨대, mgmtDefinition) 조합에 권한을 부여한다. M2M 서비스 구독에도 해당 리소스 타입과 기능 식별자 조합에 대해서 가능한 조작 권한이 나열되어 있으며, 접근 제어 시에도 해당 리소스 타입 및 기능 식별자를 확인하여 접근 제어를 수행할 수 있다.
또한, M2M 서비스 구독을 사용하더라도, ACP 를 통해 실제 리소스에 대해서 권한이 존재하는지 여부가 판단되어야 한다. 이러한 매커니즘은 특정 리소스 타입인 리소스가 여러 개인 경우는 타당하나, 특정 리소스 타입인 리소스가 하나(multiplicity: 1) 또는 0(multiplicity: 0 내지 1)인 경우에는 M2M 서비스 구독과 ACP 모두에 설정을 해야 하는 번거로움이 발생한다. 이에 본 발명의 일 실시예에서는 M2M 서비스 구독을 통해 M2M 서비스 구독의 특정 리소스 타입을 가진 모든 리소스에 대해서 적용 가능한 M2M 서비스 역할을 제안한다.
한편, 이러한 제안은 리소스 타입의 정의의 multiplicity 를 통해 제한될 수 있다. 예컨대, multiplicity 가 1 보다 큰 리소스 타입의 경우 이러한 기법을 사용하지 못하도록 설정될 수 있다.
이러한 제안을 도 9 및 도 18 의 접근 제어 메커니즘에 적용하도록 한다.
도 9 의 S910 및 S920 사이에 아래의 단계를 추가한다.
상기 타깃 엔티티는 상기 조작 요청과 관련된 M2M 서비스 구독 리소스(들)를 찾고, 해당 M2M 서비스 구독 리소스(들)에 상기 조작 요청의 대상 리소스 타입을 따르는 전체 리소스에 대해 권한이 부여된 M2M 서비스 역할이 있는지 확인하고, 해당 M2M 서비스 역할에 상기 조작 요청의 조작이 포함되어 있는지 확인할 수 있다. 상기 M2M 서비스 역할에 상기 조작 요청의 조작이 포함되어 있으면, S960 으로 이동한다. 상기 M2M 서비스 역할에 상기 조작 요청의 조작이 포함되어 있지 않으면 S920 으로 이동한다.
도 18 의 접근 제어 메커니즘과 관련하여서는, 상기 타깃 엔티티는 자신에게 적용되는 M2M 서비스 구독(들) 중 전체 리소스에 대해 권한이 부여된 M2M 서비스 역할이 있는지 확인할 수 있다. 이러한 M2M 서비스 역할이 존재할 시 타깃 엔티티 내 해당 M2M 서비스 역할의 리소스 타입에 해당하는 모든 리소스(들)의 ACP(들)에 상기 M2M 서비스 역할이 속한 M2M 서비스 구독 리소스에 명시된 주체 엔티티 속성과 상기 M2M 서비스 역할에 허용된 조작(들)을 ACP(들)에 포함시킨다. 즉, M2M 서비스 구독에서 실제 리소스에 적용되는 M2M 서비스 역할의 경우 ACP 에 해당 내용을 적용 시킨다.
한편, 앞서 설명한 도 8 내지 도 20 에서 "AE" , "CSE" , "주체 엔티티" , "중간 엔티티" 또는 "타깃 엔티티" 와 이들과 관련된 동작은 실제로 그들이 각각 설치되거나 존재하는 노드(예컨대, ADN, ASN, MN 또는 IN)가 수행하는 동작으로 이해되거나 설명될 수 있다. 또한, 상기 노드들은 앞서 설명한대로 M2M 디바이스, M2M 게이트웨이 또는 M2M 서버로 지칭될 수 있다.
도 21 은 본 발명의 실시예(들)을 수행하도록 구성된 장치의 블록도를 도시한다. 전송장치(10) 및 수신장치(20)는 정보 및/또는 데이터, 신호, 메시지 등을 나르는 무선 신호를 전송 또는 수신할 수 있는 RF(Radio Frequency) 유닛(13, 23)과, 무선통신 시스템 내 통신과 관련된 각종 정보를 저장하는 메모리(12, 22), 상기 RF 유닛(13, 23) 및 메모리(12, 22)등의 구성요소와 동작적으로 연결되고, 상기 구성요소를 제어하여 해당 장치가 전술한 본 발명의 실시예들 중 적어도 하나를 수행하도록 메모리(12, 22) 및/또는 RF 유닛(13,23)을 제어하도록 구성된 프로세서(11, 21)를 각각 포함한다.
메모리(12, 22)는 프로세서(11, 21)의 처리 및 제어를 위한 프로그램을 저장할 수 있고, 입/출력되는 정보를 임시 저장할 수 있다. 메모리(12, 22)가 버퍼로서 활용될 수 있다.
프로세서(11, 21)는 통상적으로 전송장치 또는 수신장치 내 각종 모듈의 전반적인 동작을 제어한다. 특히, 프로세서(11, 21)는 본 발명을 수행하기 위한 각종 제어 기능을 수행할 수 있다. 프로세서(11, 21)는 컨트롤러(controller), 마이크로 컨트롤러(microcontroller), 마이크로 프로세서(microprocessor), 마이크로 컴퓨터(microcomputer) 등으로도 불릴 수 있다. 프로세서(11, 21)는 하드웨어(hardware) 또는 펌웨어(firmware), 소프트웨어, 또는 이들의 결합에 의해 구현될 수 있다. 하드웨어를 이용하여 본 발명을 구현하는 경우에는, 본 발명을 수행하도록 구성된 ASICs(application specific integrated circuits) 또는 DSPs(digital signal processors), DSPDs(digital signal processing devices), PLDs(programmable logic devices), FPGAs(field programmable gate arrays) 등이 프로세서(11, 21)에 구비될 수 있다. 한편, 펌웨어나 소프트웨어를 이용하여 본 발명을 구현하는 경우에는 본 발명의 기능 또는 동작들을 수행하는 모듈, 절차 또는 함수 등을 포함하도록 펌웨어나 소프트웨어가 구성될 수 있으며, 본 발명을 수행할 수 있도록 구성된 펌웨어 또는 소프트웨어는 프로세서(11, 21) 내에 구비되거나 메모리(12, 22)에 저장되어 프로세서(11, 21)에 의해 구동될 수 있다.
본 발명의 실시예들에 있어서, 애플리케이션 (엔티티) 또는 리소스 관린 엔티티 등은 각각 그들이 설치되어 있거나 탑재되어 있는 장치들, 즉 전송장치(10) 또는 수신장치(20)로 동작할 수 있다.
이와 같은, 수신장치 또는 전송장치로 애플리케이션 (엔티티) 또는 리소스 관린 엔티티 등의 구체적인 구성은, 도면과 관련하여 전술한 본 발명의 다양한 실시예에서 설명한 사항들이 독립적으로 적용되거나 또는 둘 이상의 실시예가 동시에 적용되도록 구현될 수 있다.
상술한 바와 같이 개시된 본 발명의 바람직한 실시예들에 대한 상세한 설명은 당업자가 본 발명을 구현하고 실시할 수 있도록 제공되었다. 상기에서는 본 발명의 바람직한 실시예들을 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다. 따라서, 본 발명은 여기에 나타난 실시형태들에 제한되려는 것이 아니라, 여기서 개시된 원리들 및 신규한 특징들과 일치하는 최광의 범위를 부여하려는 것이다.
본 발명은 무선 이동 통신 시스템의 단말기, 기지국, 서버 또는 기타 다른 장비에 사용될 수 있다.

Claims (10)

  1. 무선 통신 시스템에서 특정 리소스에 대한 특정 조작(operation) 요청을 인증하기 위한 방법으로서, 상기 방법은 M2M 장치에 의해 수행되며,
    요청 M2M 장치로부터 특정 리소스에 대한 특정 조작을 위한 요청을 수신하는 단계, 상기 조작 요청은 상기 요청 M2M 장치의 식별자를 포함하고, 상기 식별자는 상기 요청 M2M 장치의 보안 연결 정보(credential)를 이용하여 도출된 M2M 서비스 구독 리소스와 연관됨;
    상기 식별자를 이용하여 상기 M2M 서비스 구독 리소스를 검색하고, 상기 M2M 서비스 구독 리소스를 이용하여 상기 특정 리소스의 타입에 대하여 상기 요청 M2M 장치가 권한을 갖는지 여부를 판단하는 단계;
    상기 특정 리소스의 타입에 대하여 상기 요청 M2M 장치가 권한을 갖는다고 판단되면, 상기 특정 리소스를 위한 접근 제어 정책 리소스를 이용하여 상기 요청 M2M 장치가 상기 특정 리소스에 대해 상기 특정 조작에 대한 권한을 갖는지 여부를 판단하는 단계; 및
    상기 요청 M2M 장치가 상기 특정 리소스에 대해 상기 특정 조작에 대한 권한을 갖는다고 판단되면, 상기 특정 리소스에 대한 조작을 수행하는 단계를 포함하는 것을 특징으로 하는, 조작 요청 인증 방법.
  2. 제 1 항에 있어서,
    상기 요청 M2M 장치의 보안 연결 정보를 이용하여 상기 요청 M2M 장치의 M2M 서비스 구독 리소스를 식별하는 단계;
    상기 요청 M2M 장치로부터 등록 요청을 수신하는 단계;
    상기 등록 요청에 상기 요청 M2M 장치의 식별자가 없으면 상기 요청 M2M 장치의 식별자를 할당하는 단계; 및
    상기 등록 요청에 포함된 상기 요청 M2M 장치의 식별자 또는 상기 할당된 요청 M2M 장치의 식별자를 상기 식별된 M2M 서비스 구독 리소스에 포함시키기 위한 요청을 M2M 서버에 전송하는 단계를 포함하는 것을 특징으로 하는, 조작 요청 인증 방법.
  3. 제 1 항에 있어서, 상기 특정 리소스의 타입에 대하여 상기 요청 M2M 장치가 권한을 갖는지 여부를 판단하는 단계는:
    만약 검색된 M2M 서비스 구독 리소스가 복수인 경우, 그 중 하나의 M2M 서비스 구독 리소스를 이용하여 상기 요청 M2M 장치가 권한을 갖는 것으로 판단되면, 상기 특정 리소스의 타입에 대하여 상기 요청 M2M 장치가 권한을 갖는다고 판단하는 단계를 포함하는 것을 특징으로 하는, 조작 요청 인증 방법.
  4. 제 1 항에 있어서, 상기 특정 리소스를 위한 접근 제어 정책 리소스는 상기 특정 리소스의 특정 속성이 지시하는 것을 특징으로 하는, 조작 요청 인증 방법.
  5. 제 1 항에 있어서, 상기 M2M 서비스 구독 리소스는 상기 M2M 서비스 구독 리소스에 가입된 서비스 역할의 ID 들을 포함하고, 상기 M2M 서비스 구독 리소스가 적용될 노드 또는 장치의 식별자(들)를 저장하고 있는 자식 리소스를 갖는 것을 특징으로 하는, 조작 요청 인증 방법.
  6. 무선 통신 시스템에서 특정 리소스에 대한 특정 조작(operation) 요청을 인증하도록 구성된 M2M 장치로서, 상기 M2M 장치는:
    무선 주파수(Radio Frequency; RF) 유닛; 및
    상기 RF 유닛을 제어하도록 구성된 프로세서를 포함하고,
    상기 프로세서는 요청 M2M 장치로부터 특정 리소스에 대한 특정 조작을 위한 요청을 수신하고, 상기 조작 요청은 상기 요청 M2M 장치의 식별자를 포함하고, 상기 식별자는 상기 요청 M2M 장치의 보안 연결 정보(credential)를 이용하여 도출된 M2M 서비스 구독 리소스와 연관됨;
    상기 식별자를 이용하여 상기 M2M 서비스 구독 리소스를 검색하고, 상기 M2M 서비스 구독 리소스를 이용하여 상기 특정 리소스의 타입에 대하여 상기 요청 M2M 장치가 권한을 갖는지 여부를 판단하고,
    상기 특정 리소스의 타입에 대하여 상기 요청 M2M 장치가 권한을 갖는다고 판단되면, 상기 특정 리소스를 위한 접근 제어 정책 리소스를 이용하여 상기 요청 M2M 장치가 상기 특정 리소스에 대해 상기 특정 조작에 대한 권한을 갖는지 여부를 판단하며, 그리고
    상기 요청 M2M 장치가 상기 특정 리소스에 대해 상기 특정 조작에 대한 권한을 갖는다고 판단되면, 상기 특정 리소스에 대한 조작을 수행하도록 구성된 것을 특징으로 하는, M2M 장치.
  7. 제 6 항에 있어서, 상기 프로세서는:
    상기 요청 M2M 장치의 보안 연결 정보를 이용하여 상기 요청 M2M 장치의 M2M 서비스 구독 리소스를 식별하고, 상기 요청 M2M 장치로부터 등록 요청을 수신하고, 상기 등록 요청에 상기 요청 M2M 장치의 식별자가 없으면 상기 요청 M2M 장치의 식별자를 할당하고, 그리고 상기 등록 요청에 포함된 상기 요청 M2M 장치의 식별자 또는 상기 할당된 요청 M2M 장치의 식별자를 상기 식별된 M2M 서비스 구독 리소스에 포함시키기 위한 요청을 M2M 서버에 전송하도록 구성된 것을 특징으로 하는, M2M 장치.
  8. 제 6 항에 있어서, 상기 프로세서는:
    만약 검색된 M2M 서비스 구독 리소스가 복수인 경우, 그 중 하나의 M2M 서비스 구독 리소스를 이용하여 상기 요청 M2M 장치가 권한을 갖는 것으로 판단되면, 상기 특정 리소스의 타입에 대하여 상기 요청 M2M 장치가 권한을 갖는다고 판단하도록 구성된 것을 특징으로 하는, M2M 장치.
  9. 제 6 항에 있어서, 상기 특정 리소스를 위한 접근 제어 정책 리소스는 상기 특정 리소스의 특정 속성이 지시하는 것을 특징으로 하는, M2M 장치.
  10. 제 6 항에 있어서, 상기 M2M 서비스 구독 리소스는 상기 M2M 서비스 구독 리소스에 가입된 서비스 역할의 ID 들을 포함하고, 상기 M2M 서비스 구독 리소스가 적용될 노드 또는 장치의 식별자(들)를 저장하고 있는 자식 리소스를 갖는 것을 특징으로 하는, M2M 장치.
KR1020167010284A 2013-11-29 2014-11-28 무선 통신 시스템에서 서비스 구독 리소스 기반 인증 방법 KR20160091314A (ko)

Applications Claiming Priority (17)

Application Number Priority Date Filing Date Title
US201361910127P 2013-11-29 2013-11-29
US61/910,127 2013-11-29
US201361914395P 2013-12-11 2013-12-11
US61/914,395 2013-12-11
US201461928001P 2014-01-16 2014-01-16
US61/928,001 2014-01-16
US201461937627P 2014-02-10 2014-02-10
US61/937,627 2014-02-10
US201461940505P 2014-02-17 2014-02-17
US61/940,505 2014-02-17
US201461972431P 2014-03-31 2014-03-31
US61/972,431 2014-03-31
US201462030621P 2014-07-30 2014-07-30
US62/030,621 2014-07-30
US201462031166P 2014-07-31 2014-07-31
US62/031,166 2014-07-31
PCT/KR2014/011556 WO2015080515A1 (ko) 2013-11-29 2014-11-28 무선 통신 시스템에서 서비스 구독 리소스 기반 인증 방법

Publications (1)

Publication Number Publication Date
KR20160091314A true KR20160091314A (ko) 2016-08-02

Family

ID=53199392

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020167010284A KR20160091314A (ko) 2013-11-29 2014-11-28 무선 통신 시스템에서 서비스 구독 리소스 기반 인증 방법

Country Status (3)

Country Link
US (1) US10182351B2 (ko)
KR (1) KR20160091314A (ko)
WO (1) WO2015080515A1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200110841A (ko) * 2019-03-18 2020-09-28 주식회사 케이티 M2m 시스템에서 통지 메시지 전송 방법 및 그 장치
WO2022244987A1 (ko) * 2021-05-17 2022-11-24 현대자동차주식회사 M2m 시스템에서 데이터 라이선스를 관리하기 위한 방법 및 장치

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104581611A (zh) * 2013-10-25 2015-04-29 中兴通讯股份有限公司 一种基于m2m的信息处理方法和m2m业务平台
CN104811922A (zh) * 2014-01-29 2015-07-29 中兴通讯股份有限公司 一种相邻节点注册方法和装置、跨节点注册方法和***
CN105491507B (zh) * 2014-09-19 2020-10-27 中兴通讯股份有限公司 一种m2m中管理应用资源的方法和注册节点
US10271296B2 (en) * 2014-10-23 2019-04-23 Lg Electronics Inc. Method for changing schedule information in wireless communication system and device therefor
CN105592400A (zh) * 2014-10-24 2016-05-18 中兴通讯股份有限公司 一种应用专有节点的注册方法、通信方法和节点
CN105636241B (zh) * 2014-11-04 2020-11-17 中兴通讯股份有限公司 M2m节点的删除、注册方法及m2m节点
EP3219075B1 (en) 2014-11-14 2020-08-19 Convida Wireless, LLC Permission based resource and service discovery
KR102335645B1 (ko) * 2015-02-05 2021-12-06 한국전자통신연구원 디바이스 특성에 따른 통신 방법 및 이를 이용한 자원 할당 장치
KR102059257B1 (ko) * 2015-05-20 2019-12-24 콘비다 와이어리스, 엘엘씨 강화된 효율성을 위해 서비스 레이어 가입들 및 통지들을 분석하고 그룹화하는 방법들 및 장치들
KR102116399B1 (ko) * 2015-07-02 2020-05-29 콘비다 와이어리스, 엘엘씨 서비스 레이어에서의 콘텐츠 보안
WO2017014381A1 (ko) * 2015-07-17 2017-01-26 엘지전자 주식회사 무선 통신 시스템에서 자원의 동기를 유지하기 위한 방법 및 이를 위한 장치
CN106919550B (zh) * 2015-12-25 2021-09-07 华为技术有限公司 一种语义验证的方法和装置
CN107484211B (zh) 2016-06-08 2020-06-26 华为技术有限公司 切换接入点的方法及装置
DE112016006827T5 (de) 2016-07-01 2019-03-07 Intel Corporation Gruppenverwaltung in rekonfigurierbaren maschine-zu-maschine-systemen
JP7090603B2 (ja) * 2016-10-07 2022-06-24 コンヴィーダ ワイヤレス, エルエルシー 汎用インターワーキングおよび拡張性のためのサービス層リソース管理
KR102646526B1 (ko) 2017-09-08 2024-03-13 콘비다 와이어리스, 엘엘씨 기기간 통신 네트워크에서의 자동화된 서비스 등록
CN110858846A (zh) * 2018-08-22 2020-03-03 京东方科技集团股份有限公司 资源配置方法、装置和存储介质
US20220015096A1 (en) * 2018-11-27 2022-01-13 Hyundai Motor Company Method and device for repeatedly transmitting message in m2m system
EP4078895A4 (en) * 2019-12-19 2023-08-30 Telefonaktiebolaget LM Ericsson (publ) RESOURCE AUTHORIZATION

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7107610B2 (en) * 2001-05-11 2006-09-12 Intel Corporation Resource authorization
KR100791289B1 (ko) * 2006-01-31 2008-01-04 삼성전자주식회사 Drm 컨텐츠를 임시로 사용하는 방법 및 장치
KR101377352B1 (ko) * 2009-07-17 2014-03-25 알까뗄 루슨트 중소 기업 내의 디지털 저작권 관리 수행 방법 및 장치 및 디지털 저작권 관리 서비스를 제공하기 위한 방법
JP5799108B2 (ja) * 2010-11-19 2015-10-21 インターデイジタル パテント ホールディングス インコーポレイテッド リソースの公表および公表取消しのためのマシン間(m2m)インタフェース手順
EP2568765A1 (en) * 2011-09-09 2013-03-13 Buzzinbees Sas A module MLR for managing machine-to-machine type (M2M) mobile devices
KR101274966B1 (ko) * 2011-12-07 2013-07-30 모다정보통신 주식회사 M2m 통신에서 장치의 데이터 공유 방법 및 그 시스템
KR101533671B1 (ko) * 2012-05-10 2015-07-06 주식회사 케이티 사용자 식별 정보를 이용한 컨테이너 자원의 구성 방법, 기록 매체 및 그 장치
KR20140006200A (ko) * 2012-06-27 2014-01-16 한국전자통신연구원 사물통신 서비스를 위한 데이터 송수신 방법 및 이를 이용한 통신 장치
US9530020B2 (en) * 2013-01-22 2016-12-27 Amazon Technologies, Inc. Use of freeform metadata for access control

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200110841A (ko) * 2019-03-18 2020-09-28 주식회사 케이티 M2m 시스템에서 통지 메시지 전송 방법 및 그 장치
WO2022244987A1 (ko) * 2021-05-17 2022-11-24 현대자동차주식회사 M2m 시스템에서 데이터 라이선스를 관리하기 위한 방법 및 장치

Also Published As

Publication number Publication date
US10182351B2 (en) 2019-01-15
US20160302069A1 (en) 2016-10-13
WO2015080515A1 (ko) 2015-06-04

Similar Documents

Publication Publication Date Title
KR20160091314A (ko) 무선 통신 시스템에서 서비스 구독 리소스 기반 인증 방법
KR102145741B1 (ko) 무선 통신 시스템에서 접근 제어를 위한 방법 및 장치
US11489872B2 (en) Identity-based segmentation of applications and containers in a dynamic environment
CN111787033B (zh) 基于权限的资源和服务发现
US9955348B2 (en) Method and device for requesting for specific right acquisition on specific resource in wireless communication system
US10142805B2 (en) Method for managing child resource of group member in wireless communication system and device for same
US9883320B2 (en) Method for processing request message in wireless communication system and apparatus therefor
US10194417B2 (en) Method for processing notification message in wireless communication system and apparatus therefor
CN107667550B (zh) 无线通信***中通过轮询信道来处理请求的方法及其设备
KR102415664B1 (ko) 무선 통신 시스템에서 통지 수신 중단 요청을 처리하기 위한 방법 및 이를 위한 장치
KR20150088787A (ko) 무선 통신 시스템에서 특정 리소스에 대한 정보 갱신을 위한 방법 및 장치
WO2020024987A1 (zh) 一种认证方法、内容分发网络cdn和内容服务器
US10595320B2 (en) Delegating policy through manufacturer usage descriptions
CN108259413B (zh) 一种获取证书、鉴权的方法及网络设备
KR20150079491A (ko) 무선 통신 시스템에서 특정 리소스에 대한 접근 권한을 인증하기 위한 방법 및 장치
US9690925B1 (en) Consumption control of protected cloud resources by open authentication-based applications in end user devices
CN113169970B (zh) 一种访问控制方法、装置及存储介质
US11689629B2 (en) Binding a public cloud user account and a personal cloud user account for a hybrid cloud environment
WO2023065969A1 (zh) 访问控制方法、装置及***
US20180373772A1 (en) Method for maintaining synchronization of resources in wireless communication system, and apparatus therefor
KR20150014345A (ko) 요청 메시지의 신뢰성을 확보하는 방법 및 장치
CN107959584B (zh) 信息配置方法及装置
KR20170053130A (ko) 보안 개체에서 접근을 제어하는 방법 및 그 장치
TW202242634A (zh) 用於針對儲存在資料儲存器中之資料的存取進行控制之資料儲存系統及方法
KR20160090286A (ko) 무선 통신 시스템에서 ae id 할당 방법

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid