WO2010034257A1 - 一种终端配置和管理方法及终端装置 - Google Patents

Description

一种终端配置和管理方法及终端装置 本申请要求于 2008 年 09 月 28 日提交中国专利局、 申请号为 200810169526.7、 发明名称为"一种终端配置和管理方法及终端装置"的中国 专利申请的优先权， 其全部内容通过引用结合在本申请中。 技术领域

本发明涉及通信技术领域， 具体涉及终端配置和管理方法及终端装置。 背景技术

随着移动通信业务的增多， 移动终端的复杂度也在不断增加， 对移动终 端进行空中（OTA, Over The Air )管理和配置需求越来越强烈， 为了能够安 全地对移动终端进行 OTA方式的管理， 开放移动联盟（ OMA, Open Mobile Alliance )开发了设备管理（DM, Device Management )协议， 主要是提供了 一套管理服务器和被管理终端间基于会话的通信机制，包括：管理会话机制、 管理会话安全、 管理会话中管理消息格式及约束、 数据模型——管理对象 ( MO, Management Object )。 为了实现对终端的具体管理功能， 在 DM协 议的基础上开发了应用数据模型——管理对象， 如： 固件升级管理对象 ( FUMO , Firmware Update Management Object )、 软件组件管理对象 ( SCOMO, Software Component Management Object )等。

支持 OMA DM功能的终端设备必须有一个 DM客户端（软件 ),负责 OMA DM协议解析、 会话管理及会话安全。 支持 OMA DM功能的设备还必须包含 一个数据结构——设备管理树，设备管理树将设备中所有可用的管理对象组 织在一起， 在设备管理树中的所有节点都有唯一的统一资源标识 （URI , Unified Resource Identity )来定位。

OMA DM通过两个过程完成管理， 一是初始配置 （Bootstrap ), 将一个 设备从不可管理状态配置到可管理状态， 主要配置服务器的账号， 也可以配 置连接参数等信息； 二是管理过程， 完成后续的管理。

在实现本发明的过程中， 发明人发现现有技术至少存在技术缺陷： 现有 技术中终端在配置过程中无法判断该配置是否适合该终端， 终端不能有效的 进行配置。 同时， 终端需要进行协商或尝试以确定使用哪个版本的协议发起 会话， 使得会话更为复杂； 另外， 在后续管理过程中， 终端可能存在多个认 证信息时， 服务器和终端很难确定对会话触发消息使用同一认证信息， 增加 了终端认证会话触发消息的难度； 另外， 终端只能认证和处理单个参数配置 消息， 使得效率非常低， 而且信道和服务器的负荷较大。 发明内容

本发明实施例提供的终端配置和管理方法及终端装置， 可按照正确的协 议版本进行配置， 从而提高了操作的效率。

本发明实施例提供的一种终端配置和管理方法， 包括：

获取配置文件， 该配置文件包含服务器帐号信息以及服务器账号对应服 务器所支持或选定的会话协议版本信息；

提取所述会话协议版本信息， 并根据所述会话协议版本信息判断所述服 务器账号是否适合所述终端；

若所述服务器账号适合所述终端， 则将所获取的配置文件中的服务器账 号信息配置到终端的设备管理树上；

基于所配置服务器帐号与所述服务器建立管理会话对终端进行管理和 后续配置。

本发明实施例提供的另一种终端配置和管理方法， 包括：

在终端的设备管理树上配置服务器的帐号信息， 所述服务器账号信息包 含一个或多个认证信息；

接收所述服务器下发的携带服务器身份认证信息和服务器标识的会话 触发消息；

使用所述服务器标识对应的所述设备管理树上的服务器账号信息所包 含的认证信息生成 MD5摘要认证所述会话触发消息；

在认证通过后，基于所述会话触发消息建立所述终端和所述服务器之间 的管理会话， 并在所述会话中对所述终端进行管理和后续配置。

本发明实施例提供的又一种终端配置和管理方法， 包括：

配置设备管理服务器账号，所述设备管理服务器账号中包括设备管理服 务器标识和认证信息；

接收所述设备管理服务器基于设备管理协议生成的配置消息，所述配置 消息中携带设备管理服务器标识、所使用协议版本和设备管理服务器身份认 证信息， 所述配置消息用于配置参数或管理；

根据所述设备管理服务器标识从所述设备管理服务器账号中提取所述 认证信息， 并使用所述认证信息认证所述配置消息；

若认证通过， 则根据所述设备管理服务器的标识确定所述设备管理服务 器对终端设备管理树上目标管理节点的访问控制权限， 并基于所述访问控制 权限执行所述配置消息中所携带的管理命令。

本发明实施例提供的一种终端， 包括：

配置文件获取单元， 用于获取配置文件， 该配置文件包含服务器帐号和 对应服务器所支持的会话协议版本信息和 /或设备管理服务器的标识和认证 信息；

服务器帐号确定单元， 用于提取所述会话协议版本信息， 基于所述会话 协议版本信息与终端所支持的协议版本确定所述服务器帐号是否适合所述 终端；

配置单元， 将所述服务器账号配置到终端的设备管理树上。

本发明实施例提供的另一种终端， 包括：

配置文件获取单元， 用于获取配置文件， 该配置文件包含服务器帐号和 认证信息；

配置单元， 将所述服务器账号配置到终端的设备管理树上；

触发消息认证单元，根据所述配置文件获取单元获得的设备管理服务器 的标识和认证信息，使用在触发消息中携带的认证类型或认证名称或认证类 型的标识对应的认证信息， 对接收的会话触发消息进行认证， 所述认证信息 包含在所述服务器账号中。

本发明实施例还提供一种终端配置和管理***， 包括：

设备管理服务器， 生成基于设备管理协议的配置消息， 所述配置消息中 携带设备管理服务器的标识和认证信息；

设备管理客户端，根据所述配置消息中携带的设备管理服务器标识和认 证类型认证所述设备管理服务器， 并根据所述设备管理服务器的标识确定所 述设备管理服务器对终端设备管理树上目标管理节点的访问控制权限， 并基 于所述访问控制权限执行所述配置消息中所携带的管理命令。

综上所述， 本发明实施例提供的技术方案中， 终端在进行初始配置时， 通过配置文件中携带对应服务器所支持或对应的协议版本信息， 可以识别该 配置文件对应的协议版本， 使得终端可以判断该包是否适合本终端， 以进行 正确的配置。 当终端能够支持多个协议版本时， 终端通过配置包中携带对应 服务器所支持或对应的协议版本信息可以确定和服务器通信所应使用的协 议， 减少了因协议版本不同导致的通信量加大的问题。

另外， 通过批量的参数配置方法， 使得可以有效的完成大批量通用管理 操作的安全下发， 如参数配置， 提高了操作的效率， 降低了信道占用以及服 务器的负荷。 附图说明

图 1为本发明实施例中的终端配置流程示意图；

图 2为本发明实施例中的终端配置流程示意图；

图 3为本发明另一实施例提供的终端配置流程示意图；

图 4为本发明实施例采用广播方式的终端配置流程示意图；

图 5为本发明实施例中提供的终端结构示意图；

图 6为本发明实施例中提供的参数配置***结构示意图。 具体实施方式

本发明实施例中提供一种终端配置和管理的方法， 下面结合实施例进行 说明。

在 OMA DM中， 终端的设备管理树（ DMT, Device Management Tree )是 设备管理服务器（以下称为服务器 )和终端间的接口。 为了能够在服务器和 终端间建立管理会话， 以及完成应用层认证， 在进行后续管理之前， 需要将 一个设备从不可管理状态迁移到可管理状态，在 OMA DM中该过程称为初始 配置（Bootstrap ) , 主要完成将服务器账号信息配置到终端。

参照图 1 , 本发明实施例一提供的一种终端配置和管理方法， 包括： S01 , 获取配置文件， 该配置文件携带有服务器帐号信息以及服务器账 号对应服务器所支持或选定的会话协议版本信息；

具体地， 可以通过 PULL (拉）方式获取， 在获取之前首先获取配置文 件的地址， 后 ^据该地址获取配置文件。 其中， 所述地址可以为请求地址， 则向该请求地址发送获取配置文件的请求消息， 该请求消息中还携带有终端 的标识、 业务订阅者信息、 订阅者身份验证码、 设备信息、 所支持 DM版本 等信息中的一个或多个， 服务器根据所携带信息选择配置文件并下发给终 端。

该配置文件包含对应服务器所支持的会话协议版本信息；

502, 将所获取的配置文件中的服务器账号信息配置到终端的设备管理 树 DMT上。

配置方法为： 在管理树 DMT上确定一个位置， 将所确定的服务器账号 信息映射为该位置上的一个 DMAcc ( Device Management Account Management Object, 设备管理账号管理对象）管理对象实例。

若所获取配置文件中包含对应服务器所支持的会话协议版本信息， 则提 取所述会话协议版本信息， 并根据所述会话协议版本信息判断该服务器账号 是否适合该终端， 并在该账号适合该终端时配置该账号， 其中， 所述会话协 议版本信息映射为 DMAcc管理对象实例的叶子节点的值或字段。

503 , 基于所配置服务器帐号与所述服务器建立管理会话对终端进行管 理和后续配置。

在完成配置之后， 终端即可以和服务器建立管理会话。 该管理会话可以 由终端或服务器触发。 若会话是由服务器触发， 则在所配置的账号信息中必 须包含会话触发消息使用的认证信息，使用该认证信息对该会话触发消息进 行认证， 为了完成认证， 需预定一个认证类型， 或在触发消息中携带认证类 型或认证名称，或预定一个认证类型确定规则，并根据该规则确定认证类型， 终端根据该认证类型对触发消息进行认证。

在配置完成后， 终端在发起管理会话时， 可以根据映射到 DMT 上的 DMAcc 上的会话协议版本信息和终端所支持的协议版本， 确定适合终端和 服务器的会话协议版本， 并依该会话协议版本发起会话请求消息。

本实施例中， 通过配置文件中携带对应服务器所支持或对应的协议版本 信息， 可以识别该配置文件对应的协议版本， 使得终端可确定和服务器通信 所应使用的协议， 以进行正确的配置， 减少了因协议版本不同导致的通信量 加大的问题。

参照图 2, 本发明实施例二所描述配置和管理方法如下：

S11,获取配置文件， 所述配置文件携带一个或多个服务器账号信息， 同 时携带每个账号信息对应服务器所支持或优选使用的会话协议版本信息。 进 一步地， 该会话协议版本信息携带在对应的服务器账号信息中， 该会话协议 版本信息为一个或多个协议版本值。

获取方法包括： 终端设备读取内置在 SIM/USIM卡中的配置文件， 或者 终端设备通过其本地接口 （如蓝牙、 红外、 USB等）从外部实体获取配置文 件， 或者网络侧通过 Push方式推送配置文件到终端设备， 或者终端设备向网 络侧通过 PULL方式请求配置文件。

其中， 通过 PULL方式请求的具体方法如下：

1 )终端获取配置文件的地址。该地址信息可以预先由 SIM/USIM发卡机 构存储在 SIM/USIM卡中 （并不限定于该方式） ， 在获取该地址的同时还可 以获取安全加密信息， 安全加密信息用于后续终端对所接收配置文件进行內 容的完整性和保密性验证， 可以采用服务器的证书；

2 )终端根据该地址获取配置文件， 具体为：

若该地址是配置文件的统一资源定位 （ URL , Universal Resource Locator ) , 则终端直接下载该配置文件， 下载的方法可以使用 HTTP完成。

若该地址是一个请求地址（即服务器的访问地址，通过该访问地址向该 服务器请求以获取配置文件）， 则终端向该请求地址发送获取配置文件的请 求消息， 该请求消息可以是 HTTP消息， 在该请求消息中可以携带有下述信 息中的一个或多个： 终端的标识（如 IMEI、 ESN等） 、 业务订阅者信息（如 用户公有标识） 、 订阅者身份验证码（网络侧分配给该订阅者， 以标识其身 份的信息， 如用户通过公有标识请求后， 网络侧通过 SMS等其它途径下发到 终端的身份验证码）、设备信息（如设备类型、操作***版本、 固件版本等）、 所支持 DM版本等。 服务器接收到该请求消息后， 根据其携带的信息识别终 端身份和选择适合该终端的配置文件， 该配置文件以客户端配置 （Client Provisioning Profile )格式组织或者以管理对象（ Management Object Profile ) 格式组织， 在对该配置文件进行完整性和保密性处理之后， 下发给终端。 在上述方法中，服务器通过订阅者身份识别码及业务订阅者信息识别终 端身份； 服务器根据终端的标识、 设备信息、 业务订阅者信息或所支持 DM 版本等选择适合该终端的配置文件。 该 PULL方法， 可以使得服务器在升级后或发现配置信息有误后直接更 新服务器上相应的配置文件， 下发给终端的配置文件始终是当时最新的， 从 而减小了服务器事前配置配置文件到终端， 而后发现账号信息有误或进行服 务器升级后通知终端并重新下发新配置文件的代价。

512,提取该配置文件中所携带的该服务器所支持或优选使用的会话协议 版本信息。

513,基于所提取的会话协议版本信息和终端本身所支持的协议版本， 判 断该服务器账号是否适合该终端， 并在适合时配置该服务器账号信息。

进一步地， 判断该服务器账号是否适合该终端的步骤如下：

确定终端所支持的协议版本和该提取的会话协议版本是否对应（若双方 都支持多个版本， 则判断所支持版本集是否存在交集） ， 若不对应， 则确定 该账号不适合该终端， 若有其它账号信息则继续寻找适合的服务器账号， 否 则配置过程中止， 若对应， 则确定该元素对应的服务器账号为适合该终端的 服务器账号。 若同一配置文件中同一服务器有多个适合该终端的服务器账 号， 则选择支持协议版本最高的服务器账号进行配置。

具体地， 配置步骤可以包括：

在 DMT上确定一个位置，将配置文件中的该账号信息映射为该位置上的 一个 DMAcc管理对象实例，该账号信息中携带的一个或多个协议版本值映射 为 DMAcc管理对象实例的一个或多个叶子节点的值或值的一个字段，若有其 它相关管理对象（如连接参数管理对象）， 则同时也映射到 DMT上， 上述映 射的管理对象节点的 Get、 Replace, Delete权限授予该服务器账号对应的服务 哭

514,在配置成功后， 在需要建立管理会话时， 终端根据映射到 DMT上的 DM Acc上的会话协议版本信息和终端所支持的协议版本 ,确定适合终端和服 务器的会话协议版本， 并依该会话协议版本发起会话请求消息。 其中确定适合终端和服务器的会话协议版本的步骤可以为： 确定终端所 支持的协议版本集和 DMAcc上的会话协议版本集的交集，若交集仅包含一个 协议版本， 则确定以该协议版本发起会话， 若交集包含多个协议版本， 则选 取最高版本发起会话。 服务器使用同样的协议版本进行应答， 并在后续使用 该协议进行交互， 若服务器希望使用另外一版本的协议进行会话， 也可以在 后续会话中进行协商。

通过采用本发明实施例提供的在服务器账号信息中携带服务器所支持 或优选使用的会话协议版本信息的方法， 可使得终端可以在配置服务器账号 到终端之前， 事先判断该服务器是否适合该终端， 从而避免配置一个不适合 该终端的服务器账号， 降低后续处理的代价， 同时， 通过该服务器所支持的 协议版本也可以使得终端发起会话前确定一个合适的会话协议版本， 减少了 后续进行会话协议版本协商的代价。

在配置完服务器的账号信息后， 即可以建立服务器和终端间的管理会 话。 该管理会话的发起可以由终端主动触发， 也可以由服务器触发。 如果终 端主动触发， 则终端直接连接服务器并发送请求消息请求会话， 该请求消息 可以基于 HTTP、 WSP、 OBEX, SIP等协议实现； 如果服务器触发， 则由于 服务器很难直接连接终端， 通常采用的方法是服务器通过短消息 （ SMS )、 无线应用协议推送（WAP Push ), 会话发起协议推送（SIP Push )等方式向 终端下发发送会话触发消息， 该触发消息携带服务器身份认证信息、 服务器 标识、 会话标识、 会话发起方等信息， 终端根据该触发消息发起会话请求和 服务器建立管理会话。 在所配置的服务器账号信息中， 可能会存在多个认证 信息， 其对应不同的认证类型， 认证类型如： syncml:auth-basic、 syncml:auth-md5等，终端采用其中一种生成认证信息，所采用的认证类型可 以是在所配置账号中指定的优选认证类型， 若所配置服务器账号中未指定优 选认证类型， 则可以使用上次会话所协商的认证类型， 服务器若认为终端所 采用的认证类型不合适则可以向终端发送 Challenge (挑战）指定新的认证类 型。

服务器发送的会话触发消息包括 digest (摘要）和 trigger (触发消息）， 其中 digest为 MD5摘要， 生成方法为： Digest = H(B64 (H(server- identifier :pas sword))： nonce： B64 (H(trigger))) 其中， H为 MD5 Hash哈希函数， server-identifier为服务器标识， nonce 为防重放攻击随机数， B64为 Base64编码函数， password为认证密码。

由于终端可能会存在多个认证信息， 而服务器和终端没有协商机制， 使 得服务器和终端在对接时很难使用相同认证信息的 password和 nonce处理触 发消息， 增加了终端处理的难度， 同时， 由于在触发消息中为了防止重放攻 击必须使用随机数， 所以需要为触发消息维护一个具有 nonce的认证信息。 在配置参数后可采用如下方法进行触发消息的处理：

方法一、 预先指定（包括标准化的）一个确定的用于触发消息的认证信 息 （对应某一认证类型）， 该认证信息必须具有密码和随机数， 可以不具有 用户名， 可以使用 syncml:auth-md5或 syncml:auth-MAC认证类型对应的认 证信息， 若终端和服务器支持触发消息以触发管理会话， 则该认证信息必须 存在于终端所配置的该服务器的账号信息中， 即在 DMT上该服务器账号对 应的 DM Acc实例的 App Auth节点下必须具有 AAuthType值为该认证类型的 认证信息。

基于该预定的认证信息，服务器生成触发消息并通过非设备管理会话的 其它通道下发到终端， 终端提取触发消息中的服务器标识， 后读取 DMT上 所配置的该服务器标识对应的 DMAcc管理对象实例中的该确定的认证信息 的密码和随机数， 使用该服务器标识、 密码和随机数生成 MD5摘要认证该 触发消息的合法性和完整性（生成算法同前述 DIGEST生成算法）， 并在认 证通过后向该服务器发起会话请求， 若需要使用应用层认证， 则在该会话请 求中使用该服务器账号信息中的优选认证类型生成认证信息， 若在其账号信 息中无优选认证类型， 则使用上次会话成功使用的会话类型进行认证。

方法二、 扩展触发消息格式， 增加认证类型或认证名称字段， 该认证类 型字段值对应 DMAcc管理对象上 AppAuth节点下的 AAuthType节点值，该 认证名称字段值对应 DMAcc管理对象上 AppAuth节点下 AAuthName节点 值。 该字段可以扩展在触发消息的消息头 （ trigger-hdr ) 或消息体 ( trigger-body ), 由于认证类型值较长， 可以为其进行编码， 触发消息所扩 展的字段仅携带该编码， 也可以直接携带认证类型值。 基于此扩展， 服务器 在下发给终端的触发消息中携带其所使用的认证类型或认证名称。 为了支撑 该扩展，在终端所配置的该服务器账号信息中必须存在触发消息所使用的认 证类型或认证名称对应认证信息。

基于该触发消息携带的认证类型或认证名称字段， 终端在接收到服务器 通过非设备管理会话的其它通道发送的触发消息后，提取触发消息中的服务 器标识和认证类型或认证名称信息， 后读取 DMT上所配置的该服务器标识 对应的 DMAcc管理对象实例中的该认证类型或认证名称对应认证信息的密 码和随机数， 使用该服务器标识、 密码和随机数生成 MD5摘要认证该触发 消息的合法性和完整性（生成算法同前述 DIGEST生成算法， 也可以使用认 证名称代替前述 DIGEST生成算法中的服务器标识，算法中其它元素不变）， 并在认证通过后向该服务器发起会话请求， 若需要使用应用层认证， 则在该 会话请求中使用该服务器账号信息中的优选认证类型生成认证信息， 若在其 账号信息中无优选认证类型， 则使用上次会话成功使用的会话类型进行认 证。

方法三、 不限定服务器和终端具体使用哪种类型的认证信息， 但在终端 所配置的服务器账号信息中， 必须至少包含一个具有 nonce的认证类型， 同 时， 预先指定（包括标准化的）一个确定规则， 终端和服务器根据该确定规 则为会话触发消息选择认证类型。 由于服务器和终端均知道服务器账号信息 中包含的认证类型， 所以基于该认证类型确定规则， 即可以实现两者选择相 同的认证类型。 该认证类型确定规则可以是： 将包含 nonce的认证类型排序 (如以优先级排序）， 按此排序选择。

基于该预定的确定规则，服务器从配置到该终端的该服务器账号信息的 认证类型中确定一个合适的认证类型生成触发消息， 并通过非设备管理会话 的其它通道将其下发。 例如， 若确定规则为 "顺序选择 syncml:auth-md5 , syncml:auth-MAC", 贝' J服务器账号中必须包含上述两种认证类型中一种， 服 务器使用时判断： 若服务器账号信息中包含认证类型为 syncml:auth-md5 的 认证信息， 则确定该认证类型为会话触发消息认证类型， 否则确定 syncml:auth-MAC为会话触发消息认证类型。

终端提取触发消息中的服务器标识， 后基于同一确定规则从 DMT上所 配置的该服务器标识对应的 DMAcc管理对象实例中确定认证类型， 并读取 该认证类型的密码和随机数， 使用该服务器标识、 密码和随机数生成 MD5 摘要认证该触发消息的合法性和完整性（生成算法同前述 DIGEST 生成算 法）。 在认证通过后向该服务器发起会话请求， 若需要使用应用层认证， 则 在该会话请求中使用该服务器账号信息中的优选认证类型生成认证信息， 若 在其账号信息中无优选认证类型， 则使用上次会话成功使用的会话类型进行 认证。

方法四、 不限定服务器和终端使用哪种类型的认证信息， 但在终端所配 置的服务器账号信息中， 必须至少包含一个具有 nonce的认证类型。

基于该非限定的认证信息， 服务器选择其中一种包含 nonce的认证类型 生成触发消息， 并通过非设备管理会话的其它通道下发到终端。

终端提取触发消息中的服务器标识， 后读取 DMT上所配置的该服务器 标识对应的 DMAcc管理对象实例中包含 nonce的某一认证类型的密码和随 机数， 使用该服务器标识、 密码和随机数生成 MD5摘要认证该触发消息的 合法性和完整性（生成算法同前述 DIGEST生成算法）， 若认证失败则选择 另一包含 nonce的认证类型重新认证该触发消息， 直到认证通过或尝试完所 有包含 nonce的认证类型。 在认证通过后向该服务器发起会话请求， 若需要 使用应用层认证， 则在该会话请求中使用该服务器账号信息中的优选认证类 型生成认证信息， 若在其账号信息中无优选认证类型， 则使用上次会话成功 使用的会话类型进行认证。

该触发消息的处理的方法中，在所配置的服务器账号信息中可以携带服 务器所支持或优选使用的会话协议版本信息， 也可以不携带。 该方法也可以 用于 OMA DS ( Data Synchronization ) 的服务器账号配置后的触发消息的处 理中。

通过该触发消息处理方法， 可以使得服务器和终端在对接时使用相同认 证信息处理触发消息， 降低了终端处理的难度， 同时， 可以保证在支持触发 消息的客户端和服务器， 始终可以选择具有随机数的认证信息， 使触发消息 的重放攻击机制能够发挥作用。

本实施例三提供的一种终端配置方法， 用于实现基于配置账号的批量配 置和管理， 如图 3所示， 包括：

531 , 在终端上配置设备管理服务器账号， 该设备管理服务器账号中包 括服务器的标识和对所有终端均相同的服务器的认证信息；

532, 从广播通道接收使用 DM协议生成的配置消息 （用于配置参数或 管理）， 该配置消息的消息头中携带服务器标识、 所使用协议版本和对所有 终端均一致的服务器身份认证信息；

533 , 判断终端是否支持该配置消息所使用协议版本， 若支持则根据所 述服务器标识和服务器身份认证信息认证该配置消息；

534, 若认证通过， 则根据配置消息中的管理对象的虚拟路径信息 （即 在终端设备管理树上的虚拟路径信息）确定基础路径（即在终端设备管理树 上的基础路径）， 所确定的路径必须满足： 所携带的服务器标识对应服务器 拥有在终端设备管理树的该节点下执行该配置消息中管理命令的权限， 并在 该基础路径下执行配置消息中所携带的管理命令。

对于服务器而言， 有些配置任务或管理任务是无需区分终端的， 如连接 参数的配置， 对所有终端参数值均相同， 这些连接参数的配置可以多个终端 同时进行， 而且交互需求不强， 对于这类任务， 为了减少信道占用和服务器 负荷， 可以使用广播 /组播方式进行。

下面结合图 4所示实施例四详述基于广播方式的配置方法（组播方式类 似， 其它批量管理任务的下发类似）。

S41 , 在终端 DMT上配置用于广播通道实现管理的设备管理服务器的账 号， 该设备管理服务器负责生成用于广播通道进行配置的 DM消息 （即基于 DM协议的配置消息） 。 该账号中包括服务器的标识、 服务器的认证信息， 该认证信息对所有终端均相同， 可以使用该设备管理服务器的证书完成单向 认证（即终端认证设备管理服务器）。 该账号中还可以包括广播通道下发的 管理消息的上报地址或上报服务器标识， 用于终端上报通过广播通道接收的 DM消息的处理结果。该设备管理服务器账号的配置可以通过如下方式完成： S41a )在初始配置过程中完成， 则其账号信息携带在终端获取的初始配 置文件中， 并在配置过程中映射到终端 DMT上。

S41b )通过其它 DM服务器和终端建立 DM会话， 在该会话中向 DMT添 加该服务器的账号。

S42, 配置完成后， 所配置服务器生成用于广播的基于 DM协议的配置消 息， 该配置消息携带该服务器标识、 所使用协议版本、 该服务器身份认证信 息、 DM管理命令、 目标配置值等。 其中， 服务器标识携带在消息头的 <80111^>/<1^^&11^>元素中，该标识用于终端对该服务器进行认证， 同时还 用于终端判断该服务器对 DMT上目标管理节点的访问控制权限（即 ACL, Access Control List, 访问控制列表） ； 目标配置值可以为一个管理对象（由 一个或多个管理节点组成） ， 该配置消息携带目标配置值的具体方法为： 将 该管理对象进行序列化， 为序列化的管理对象赋予一个虚拟路径. /Inbox, 该 相对路径对应终端 DMT上标识为 urn:oma:mo:oma-dm-inbox: 1.0的管理对象， 该虚拟路径指示终端根据自身的 DMT情况确定一个具有实际意义的基础路 径（即在 DMT上的基础路径）， 并基于该基础路径和其 ACL对该配置值执行 所述 DM管理命令。 这里的 DM管理命令为 Add或 Replace命令。如下为一消息 实例：

<SyncML xmlns='SYNCML:SYNCMLl .2'>

<SyncHdr>

<VerDTD> 1.2</VerDTD>

<VerProto>DM/l .2</VerProto>

<TargetxLocURI>IMEI:493005100592800</LocURIx/Target>

<Source>

<LocURI>http：〃 www.syncml.org/mgmt-serveix/LocURI>

<LocName><!- 服务器标识， 用于终端识别服务器以进行认证， 同时用于判断 ACL权限 ></LocName>

</Source>

<Cred>

<Meta><Type xmlns="syncml:metinf"><！— 认证类型 ~></Type> <Format xmlns='syncml:metinf >< !~ 认证信息格式

~></Formatx/Meta>

<Data><!~ 认证信息值 ~></Data>

</SyncML>

该服务器将生成的配置消息和该消息的类型 （DM消息类型为： application/vnd.syncml.dm+xml )发送给广播业务应用实体 （BSA, BCAST Service Application ) 或广播业务分发适配模块 （BSD/A , BCAST Service Distribution/Adaptation )或广播分发网络业务分发适配模块 ( BDS SD/A, Broadcast Distribution System Service Distribution/ Adaptation ) 。

543 , BSA或 BSD/A或 BDS SD/A模块进行内容加密处理后， 将该配置消 息和其类型通过广播网络发送到广播客户端；

544, 广播客户端接收配置消息后， 对其进行内容解密处理， 之后根据 该配置消息类型确定所需转发客户端， 并将其转发给 DM客户端；

DM客户端对配置消息进行处理， 具体处理方法如下：

S44 a )判断终端是否支持该配置消息所使用协议版本，若支持则继续下 步；

S44 b )提取消息中的服务器标识和认证类型，后使用终端所配置的该服 务器标识对应账号中的该认证类型的认证信息认证该配置消息， 具体为： 终 端根据该服务器标识和该认证类型从终端 DMT上提取其对应 DM Acc管理对 象上的认证信息， 并使用该认证信息生成认证数据与该配置消息所携带的服 务器身份认证信息进行比较， 若相同则通过认证， 否则认证失败。 认证通过 后继续下步；

S44 c )终端根据配置消息中的. /Inbox获知需要终端确定一个在 DMT上 的基础路径， 则在 DMT上确定一个合适的基础路径， 该基础路径必须满足： 该 DM服务器具有在该基础路径下执行该配置消息中管理命令的权限， 判断 该 DM服务器是否拥有在该基础路径下执行该配置消息中管理命令的权限的 方法是： 根据该配置消息所携带的服务器标识、 该配置消息所携带的管理命 令以及所确定基础路径对应的 DMT管理节点的 ACL ( Access Control List, 访 问控制列表）进行确定， 若该 ACL包含该管理命令项且该项中包含该服务器 标识， 则说明具有权限。

S44 d )在该基础路径下执行该配置消息中的管理命令。

该执行过程具体为： 该配置消息中， 如果所携带的管理命令为 Add, 则 在 DMT的所确定的基础路径下增加该序列化的管理对象（用以配置新 ) , 如 果该完整路径下已有管理节点， 则判断是否是同一参数， 若是则 Add操作失 败， 若不是则对欲配管理对象根节点更名， 并在更名后在添加该管理对象。 如果所携带的管理命令为 Replace,则用配置消息所携带的序列化的管理对象 更新 DMT所确定的基础路径下已有的管理对象（对已有参数值进行更新） ， 如果该基础路径下无管理节点， 则 Replace操作失败。

进行上述配置之后， 还包括激活该配置的参数的步骤。

S45 , (可选的）在执行配置消息中的管理命令后 （成功或失败） ， 客 户端获取所配置服务器账号包含的上报地址或上报服务器标识， 若为上报地 址， 则生成 HTTP消息或其它对应消息发送到所述上报地址， 若为上报服务 器标识， 则终端和该服务器标识对应服务器建立 DM管理会话， 并在 DM管理 会话中上报执行结果， 所上报执行结果包括： 无权限、 版本不兼容、 执行成 功等。

在该配置过程中， 对于无需区分终端的配置需求， 可以有效的使用 DM 机制完成， 既可以保证安全性（服务器身份的认证和访问权限的控制）， 还 可以满足不同设备管理树 DMT结构的管理对象定位、 配置结果上报， 使得 基于 DM的大批量参数配置得以安全高效的完成， 提高了操作的效率， 降低 了信道占用以及服务器的压力。

参照图 5 , 本发明实施例提供一种终端 500, 包括：

配置文件获取单元 510,用于获取配置文件，该获取单元包括通过 PULL 方式获取配置文件的 PULL单元， 该 PULL单元在获取配置文件时向获取服 务器发送携带终端信息的获取请求。该配置文件还可以携带有服务器帐号信 息， 该服务器帐号信息包含对应服务器所支持的会话协议版本信息；

服务器帐号确定单元 520, 用于提取所述会话协议版本信息， 基于所述 会话协议版本信息与终端所支持的协议版本确定该服务器帐号是否适合该 终端；

配置单元 530, 在确定该服务器账号适合该终端时， 将所确定的服务器 帐号信息配置到终端的设备管理树 DMT上。

处理单元 540, 基于所配置服务器帐号建立终端和所述服务器之间的管 理会话， 并在所述会话中对终端进行后续配置和管理。

会话版本确定单元 550 , 在发起管理会话时， 根据映射到设备管理树 DMT上的 DMAcc上的会话协议版本信息和终端所支持的协议版本，确定适 合终端和服务器的会话协议版本； 所述处理单元 540根据该会话协议版本发 起会话请求消息。

触发消息认证单元 560, 该触发消息认证单元可以使用预先确定的认证 类型或在触发消息中携带认证类型或认证名称或根据预定规则确定的认证 类型对触发消息进行认证， 所述认证类型或认证名称对应的认证信息包含在 所配置的账号信息中。

综上所述， 本发明实施例提供的技术方案中， 终端在进行初始配置时， 通过配置包中携带对应服务器所支持或对应的协议版本信息，可以识别该包 对应的协议版本， 使得终端可以判断该包是否适合本终端， 以进行正确的配 置。 当终端能够支持多个协议版本时， 终端通过配置包中携带对应服务器所 支持或对应的协议版本信息可以确定和服务器通信所应使用的协议， 减少了 因协议版本不同导致的通信量加大的问题。

参照图 6, 本发明实施例提供一种批量配置***， 包括：

设备管理 DM服务器，生成用于广播通道进行下发的基于 DM协议的配 置消息， 所述配置消息中携带设备管理服务器的标识和认证信息。 其和广播 业务应用实体 BSA或广播业务分发适配模块 BSD/A或广播分发网络业务分 发适配模块 BDS SD/A连接以下发该配置消息， 下发通道为广播通道；

广播客户端，接受广播通道下发的消息，根据该消息的类型识别该消息， 并转发给 DM客户端；

设备管理 DM客户端，根据配置消息中携带的服务器标识和认证类型完 成生成该配置消息的 DM服务器身份认证，根据所述设备管理服务器的标识 确定所述设备管理服务器对终端设备管理树上目标管理节点的访问控制权 限， 并基于所述访问控制权限在 DMT上确定一个合适的基础路径， 所确定 的路径必须满足： 所携带的服务器标识对应服务器拥有在该节点下执行该配 置消息中管理命令的权限， 并在该基础路径下执行配置消息中所携带的管理 命令。 通过批量的配置方法，使得可以有效的完成大批量通用管理操作的安全 下发，如参数配置，提高了操作的效率， 降低了信道占用以及服务器的负荷。

显然， 本领域的技术人员应该明白， 上述的本发明的各单元或各步骤可 以用通用的计算装置来实现， 它们可以集中在单个的计算装置上， 或者分布 在多个计算装置所组成的网络上， 可选地， 它们可以用计算装置可执行的程 序代码来实现， 从而， 可以将它们存储在存储装置中由计算装置来执行， 或 者将它们分别制作成各个集成电路模块，或者将它们中的多个单元或步骤制 作成单个集成电路模块来实现。 这样， 本发明不限制于任何特定的硬件和软 件结合。 非对其限制； 尽管参照前述实施例对本发明实施例进行了详细的说明， 本领 域的普通技术人员应当理解： 其依然可以对前述各实施例所记载的技术方案 进行修改， 或者对其中部分技术特征进行等同替换； 而这些修改或者替换， 并不使相应技术方案的本质脱离本发明实施例各实施例技术方案的精神和 范围。

Claims

权 利 要 求

1、 一种终端配置和管理方法， 其特征在于， 包括：

获取配置文件， 该配置文件包含服务器帐号信息以及服务器账号对应服 务器所支持或选定的会话协议版本信息；

提取所述会话协议版本信息， 并根据所述会话协议版本信息判断所述服 务器账号是否适合所述终端；

若所述服务器账号适合所述终端， 则将所获取的配置文件中的服务器账 号信息配置到终端的设备管理树上；

基于所配置服务器帐号与所述服务器建立管理会话对终端进行管理和 后续配置。

2、 如权利要求 1所述的方法， 其特征在于， 所述获取配置文件， 具体 包括：

获取配置文件的地址；

向所述地址发送获取配置文件的请求消息， 所述请求消息中携带有下述 信息至少之一： 终端的标识、 业务订阅者信息、 订阅者身份验证码、 设备信 息、 所支持设备管理协议版本；

根据所述请求消息所携带信息选择配置文件并下发给终端。

3、 如权利要求 1所述的终端配置方法， 其特征在于， 所述对终端进行 管理和后续配置具体包括：

基于所述服务器帐号信息包括的所述会话协议版本信息建立所述终端 和所述服务器之间的管理会话， 并在所述会话中对所述终端进行管理和后续 配置。

4、 一种终端配置和管理方法， 其特征在于， 包括：

在终端的设备管理树上配置服务器的帐号信息， 所述服务器账号信息包 含一个或多个认证信息；

接收所述服务器下发的携带服务器身份认证信息和服务器标识的会话 触发消息；

使用所述服务器标识对应的所述设备管理树上的服务器账号信息所包 含的认证信息生成 MD5摘要认证所述会话触发消息； 在认证通过后，基于所述会话触发消息建立所述终端和所述服务器之间 的管理会话， 并在所述会话中对所述终端进行管理和后续配置。

5、 如权利要求 4所述的方法， 其特征在于， 所述使用所述服务器标识 对应的所述设备管理树上的服务器账号信息所包含的认证信息生成 MD5摘 要认证所述会话触发消息具体包括：

所述会话触发消息携带认证类型或认证名称或认证类型的编码，使用所 述服务器标识对应的所述设备管理树上的服务器账号信息所包含的所述认 证类型或认证名称或认证类型的编码对应的认证信息认证所述会话触发消 息； 或，

在所述设备管理树上配置的所述服务器标识所对应的服务器账号信息 中， 逐一获取认证信息认证所述会话触发消息。

6、 如权利要求 4所述的方法， 其特征在于，

所述认证信息包含认证类型、 密码和随机数。

7、 一种终端配置和管理方法， 其特征在于， 包括：

配置设备管理服务器账号，所述设备管理服务器账号中包括设备管理服 务器标识和认证信息；

接收所述设备管理服务器基于设备管理协议生成的配置消息，所述配置 消息中携带设备管理服务器标识、所使用协议版本和设备管理服务器身份认 证信息， 所述配置消息用于配置参数或管理；

根据所述设备管理服务器标识从所述设备管理服务器账号中提取所述 认证信息， 并使用所述认证信息认证所述配置消息；

若认证通过， 则根据所述设备管理服务器的标识确定所述设备管理服务 器对终端设备管理树上目标管理节点的访问控制权限， 并基于所述访问控制 权限执行所述配置消息中所携带的管理命令。

8、 如权利要求 7所述的方法， 其特征在于， 所述配置消息是通过广播 通道接收。

9、 如权利要求 7所述的方法， 其特征在于， 还包括：

根据所述配置消息携带的所使用协议版本信息判断终端是否支持所述 配置消息， 若支持， 则认证所述配置消息。

10、 如权利要求 7所述的方法， 其特征在于， 所述认证信息用于单向认 证所述服务器。

11、 一种终端， 其特征在于， 包括：

配置文件获取单元， 用于获取配置文件， 该配置文件包含服务器帐号和 对应服务器所支持的会话协议版本信息和 /或设备管理服务器的标识和认证 信息；

服务器帐号确定单元， 用于提取所述会话协议版本信息， 基于所述会话 协议版本信息与终端所支持的协议版本确定所述服务器帐号是否适合所述 终端；

配置单元， 将所述服务器账号配置到终端的设备管理树上。

12、 如权利要求 11所述的终端， 其特征在于， 还包括：

处理单元，基于所述服务器帐号及所述会话协议版本信息建立所述终端 和所述服务器之间的管理会话， 并在所述管理会话中对所述终端进行管理和 后续配置。

13、 一种终端， 其特征在于， 包括：

配置文件获取单元， 用于获取配置文件， 该配置文件包含服务器帐号和 认证信息；

配置单元， 将所述服务器账号配置到终端的设备管理树上；

触发消息认证单元，根据所述配置文件获取单元获得的设备管理服务器 的标识和认证信息，使用在触发消息中携带的认证类型或认证名称或认证类 型的标识对应的认证信息， 对接收的会话触发消息进行认证， 所述认证信息 包含在所述服务器账号中。

14、 一种终端配置和管理***， 其特征在于， 包括：

设备管理服务器， 生成基于设备管理协议的配置消息， 所述配置消息中 携带设备管理服务器的标识和认证信息；

设备管理客户端，根据所述配置消息中携带的设备管理服务器标识和认 证类型认证所述设备管理服务器， 并根据所述设备管理服务器的标识确定所 述设备管理服务器对终端设备管理树上目标管理节点的访问控制权限， 并基 于所述访问控制权限执行所述配置消息中所携带的管理命令。

15、 如权利要求 14所述***， 其特征在于， 还包括：

广播客户端， 接受广播通道下发的配置消息， 根据配置消息类型识别消 息， 并转发给设备管理客户端。