能够对IOT/M2M服务层中的数据或服务进行上下文感知授权的方法与流程

对相关申请的交叉引用

本申请要求2017年12月18日提交的美国临时申请no.62/607,006的权益，其全部内容通过引用合并于此。

背景技术：

m2m/iot服务层是一种专门针对为m2m/iot设备和应用提供增值服务的技术。最近，若干工业标准机构(例如，onem2m、etsi、ocf和lwm2m)已经开发了m2m/iot服务层，以解决与将m2m/iot设备和应用集成到因特网/web、蜂窝、企业和家庭网络的部署中相关联的挑战。

m2m/iot服务层可向应用和设备提供对面向m2m/iot的能力的集合的访问。一些示例包括安全、计费、数据管理、设备管理、发现、供应和连接管理。这些能力可经由api对应用可用，api利用m2m/iot服务层所支持的消息格式、资源结构和资源表示。

技术实现要素：

公开了一种授权验证服务(avs)，其可以由iot/m2m服务层提供给服务层的注册者以用于动态上下文感知授权。avs可以允许iot/m2m服务层实体定义用于授权对服务或数据的访问的动态限制。例如，可以根据允许的访问次数来设置限制。当iot/m2m注册者对其具有动态上下文感知授权的数据或服务作出请求时，avs可保留剩余可用访问的记录。请求者可以是任何iot/m2m服务层注册者或iot/m2m服务层注册者的代理。

所提出的avs可以支持以下示例功能：向现有授权策略的范围内的新数据和服务动态地传播授权策略，允许iot/m2m服务层注册者将动态上下文感知授权条款嵌入iot/m2m服务层，由iot/m2m服务层基于这些动态上下文感知授权条款来管理对所述数据和服务的访问，由iot/m2m服务层更新动态上下文感知授权条款的状态，以及在所述动态上下文感知授权条款的限制或条件被耗尽时撤消访问特权。然而，应当理解，avs不限于这些上述功能。

通过使用本文所述的方法和系统，iot/m2m传感器或应用可将附加特征和能力嵌入动态上下文感知授权策略中，该动态上下文感知授权策略准许对访问iot/m2m服务层中的数据和服务的授权。可以存在描述策略如何被传播到其他数据和服务、当授权特定操作时如何考虑附加系统上下文、以及iot/m2m服务层如何描述和实施设备或实体的预期行为和特性的规则。这些思想可以导致更容易的部署、更有效的操作、更安全的操作以及更可靠的操作。

附图说明

为了促进对本申请的更鲁棒的理解，现在参考附图，在附图中，相同的元件用相同的附图标记表示。这些附图不应被解释为限制本申请，而仅是示例性的。

图1示出了支持服务层的示例协议栈；

图2示出了部署在各种类型的网络节点上的示例m2m/iot服务层；

图3示出了示例onem2m架构；

图4示出了示例onem2m公共服务功能；

图5示出了onem2m架构所支持的示例配置；

图6示出了onem2m动态授权的示例流程图；

图7示出了onem2m分布式授权过程的示例流程图；

图8示出了示例用例的当前解决方案；

图9示出了示例授权验证服务；

图10示出了授权范围的示例流程图；

图11示出了用于授权状态管理的示例流程图；

图12a示出了其中可以实现一个或多个所公开的实施例的示例性机器对机器(m2m)或物联网(iot)通信系统的示例性系统图；

图12b示出了可以在图12a所示的m2m/iot通信系统内使用的示例架构的示例系统图；

图12c示出了可以在图12a所示的通信系统内使用的示例性m2m/iot终端或网关设备的示例性系统图；和

图12d示出了其中可以体现图12a的通信系统的各方面的示例计算系统的示例框图。

具体实施方式

iot/m2m服务层架构集中于使得应用能够访问来自通信网络上的传感器或其他应用的数据的增值特征和解决方案。现有服务层可以提供基于上下文的授权，例如要求请求者的位置在固定位置的十米半径内。本文描述的方法和系统可以允许基于系统的条件动态地改变授权上下文。

从协议栈的角度来看，服务层通常位于应用协议层之上，并向它们所支持的应用提供增值服务。因此，服务层通常被分类为“中间件”服务。图1示出了位于应用协议和应用之间的示例服务层。从部署的角度来看，m2m/iot服务层可被部署在各种类型的网络节点上，包括服务器、网关和设备，如图2所示。

onem2m标准定义了m2m/iot服务层(参见onem2mts-0001onem2m功能架构-v-3.6.0)。服务层的目的是提供"水平"服务，其可由不同的"垂直"m2m系统和应用使用，例如电子健康、车队管理和智能家庭。如图3所示，onem2m服务层的架构定义了支持四个参考点的公共服务实体(cse)。mca参考点可以与应用实体(ae)接口，mcc参考点可以与相同服务提供者域中的另一个cse接口，mcc'参考点可以与不同服务提供者域中的另一个cse接口，以及mcn参考点可以与底层网络服务实体(nse)接口。nse向cse提供底层网络服务，诸如设备管理、位置服务和设备触发。cse包含多个称为公共服务功能(csf)的逻辑功能，例如"发现"和"数据管理&储存库"。图4示出了由onem2m支持的示例csf。

onem2m架构是支持跨以下示例类型的节点以分布式方式部署m2m/iot服务的分布式架构：

应用服务节点(asn)：asn是包含一个cse并包含至少一个应用实体(ae)的节点。在一个示例中，asn可以驻留在m2m设备中；

应用专用节点(adn)：adn是包含至少一个ae并且不包含cse的节点。在一个实例中，应用专用节点可驻留在受限m2m设备中；

中间节点(mn)：mn是包含一个cse并包含零个或多个ae的节点。在一个示例中，mn可以位于m2m网关中；

基础设施节点(in)：in是包含一个cse并包含零个或多个ae的节点。in中的cse可以包含不适用于其他节点类型的cse功能。在一个示例中，in可以驻留在m2m服务基础设施中；以及

非onem2m节点(nodn)：非onem2m节点是不包含onem2m实体(既非ae也非cse)的节点。这样的节点表示为了包括管理的互通目的而附接到onem2m系统的设备。

在图5中示出了互连onem2m系统内支持的各种实体的示例配置。

onem2m动态授权模型支持代表资源所有者为资源提供动态授权的功能。这可以包括动态授权系统服务器，其被配置有用于动态授权的策略并且被提供有用于发行准许授权的令牌的证书，如图6所示。

当onem2m实体尝试访问没有现有访问权限的资源时，可以将动态授权过程配置为尝试从das服务器获取请求的权限。

onem2m分布式授权过程定义了确定是否应授权onem2m实体访问资源的基本步骤。如图7所示和以下所述，分布式授权过程的组件(pep、prp、pdp和pip)可以分布在不同的节点上，也可以分布在单个节点上：

策略执行点(pep)：此组件可以拦截资源访问请求，做出访问控制决策请求并执行访问控制决策。pep可以与需要授权服务的实体共存；

策略决策点(pdp)：该组件可以与prp和pip交互以分别获取适用的授权策略和评估授权策略所需的属性，并且可以使用授权策略来评估访问请求以做出访问控制决策；

策略检索点(prp)：此组件可以根据访问控制决策请求获得适用的授权策略。可以将这些适用的策略进行组合，以获得最终的访问控制决策；和

策略信息点(pip)：此组件可以提供评估授权策略所需的属性，例如请求者的ip地址，资源的创建时间以及当前时间或位置。

这里描述了三个示例用例：

上下文感知访问用例#1：新设备授权–标准化的iot/m2m服务层旨在促进更轻松的应用开发，从而为开发、部署和集成到现有系统中带来成本效益。当添加新的设备(例如传感器或致动器)时，应该不难将这些设备集成到管理那些设备正在成为其一部分的系统的应用中。例如，添加新的智能灯泡应该很容易集成到每个家庭成员用来管理家庭设备的智能家庭应用中。如果灯泡位于家庭活动室中，则所有家庭成员都应能够控制智能灯泡，但是，如果灯泡位于父母的主卧室中，则可能未授权孩子使用智能灯泡。通过考虑智能灯泡配置的上下文，这些不同的授权应该易于配置。

上下文感知访问用例#2：除了发起者上下文之外-一些iot/m2m服务层支持依赖于请求者/发起者的上下文的访问策略。例如，如果发出请求的人是靠近房屋的发起者，则可能准许访问门锁的权限。可以使用发起者以外的实体的上下文来开发一些有趣的场景。例如，只有房主不在家里时，才可以准许访问门锁的权限。

上下文感知访问用例#3：设备故障–iot/m2m设备很可能是自主传感器或从iot/m2m服务层发送和检索数据的应用。许多传感器和应用供应商使用流行的标准化或专有iot/m2m解决方案，可能会导致某些设备由于故障或故意设计而无法正常运行，从而导致系统性能下降。例如，可以期望交叉路口处的车辆通过时对车辆进行计数的传感器以每秒最大的速率发送指示经过的车辆的消息。但是，如果设备因某种原因发生故障，从而以更高的速率发送消息，则可能会影响整个iot/m2m服务层。例如，这可能会导致iot/m2m服务层出现中断问题，这可能会导致传感器“所有者”的意外数据存储成本，并且可能导致监视此传感器的应用中的数据使用率很高。

上面描述的不同用例强调了对iot/m2m服务层中基于上下文的改进授权方法的需求。图8示出了如何实现这些用例的一些示例。

如在用例#1中那样，将新设备添加到现有系统中时，有多种方法可以集成该设备或应用。例如，在onem2m中，可以通过添加新的访问控制策略来完成授权使用智能灯泡的过程，该策略指示家庭中的哪些用户应该具有权限。这可能导致对系统中的每个设备或应用都有策略。另一种选择可以是创建可应用于多个设备或应用的策略。在实践中似乎发生的事情是，授权要么过于严格，仅允许单个实体控制，要么相反，授权策略实施的限制很少。

如在用例#2中那样，将与发起者以外的实体相关的上下文添加到授权访问数据的决策过程中，可能导致隐私问题，更多的应用复杂性和分散的策略控制。这些方法可能不可靠，并可能增加安全风险。

在用例#3中描述的设备故障的情况下，服务层可能需要确定定义特定设备或应用的预期运行特征的方式，然后捕获实际运行特征并检测/防止异常运行。对于使用iot/m2m服务层的每个设备和应用，都可能需要这样做。当前没有定义的机制执行此操作。

iot/m2m服务层架构专注于增值特征和解决方案，使应用能够访问传感器或其他应用中的数据。现有的服务层可以提供基于上下文的授权，例如要求位置或请求者在固定位置的十米半径内。本文描述的方法和系统可以允许基于系统的条件动态地改变授权上下文。

公开了可以由iot/m2m服务层提供给服务层的注册者以进行动态上下文感知授权的授权验证服务(avs)。avs可以允许iot/m2m服务层实体定义用于授权访问服务或数据的动态限制。可以例如根据所允许的访问次数来设置限制。当iot/m2m注册者请求其具有动态上下文感知授权的数据或服务时，avs可保留剩余可用访问的记录。请求者可以是任何iot/m2m服务层注册者，也可以是iot/m2m服务层注册者的代理。

提议的avs可以支持以下示例功能：将授权策略动态传播到现有授权策略范围内的新数据和服务，允许iot/m2m服务层注册者将动态上下文感知授权条款嵌入iot/m2m服务层，由iot/m2m服务层基于这些动态上下文感知授权条款管理对数据和服务的访问，由iot/m2m服务层更新动态上下文感知授权条款的状态，并在动态上下文感知授权条款的限制或条件已用尽时撤销访问特权。然而，应当理解，avs不限于这些上述功能。

通过使用本文所述的方法和系统，iot/m2m传感器或应用可以将其他特征和性能嵌入到动态上下文感知授权策略中，该策略可以准许对iot/m2m服务层中的数据和服务的访问权限。可以提供规则来描述如何将策略传播到其他数据和服务，在授权特定操作时如何考虑其他系统上下文以及iot/m2m服务层如何描述和实施设备或实体的预期行为和特征。这些功能可以导致更轻松的部署，更有效的操作，更安全的操作以及更可靠的操作。

在一个实施例中，服务层的授权验证服务可以被配置为执行以下操作：从设备接收访问服务层提供的数据或服务中的至少一个的请求；确定与服务层提供的至少一个数据或服务相关的授权策略；确定与授权策略相关联的一个或多个上下文感知状态，其中一个或多个上下文感知状态包括对用于访问由服务层提供的数据或服务中的至少一个的一个或多个条件的指示，并且其中一个或多个条件包括对服务层提供的至少一种数据或服务的允许访问次数；确定与一个或多个上下文感知状态相关的一个或多个条件是否有效；并基于确定与一个或多个上下文感知状态相关联的一个或多个条件有效来授权该设备访问由服务层提供的数据或服务中的至少一个。

与一个或多个上下文感知状态相关联的一个或多个条件可以进一步包括用于访问由服务层提供的数据或服务中的至少一个的持续时间。与一个或多个上下文感知状态相关联的一个或多个条件可以进一步包括被允许访问由服务层提供的数据或服务中的至少一个的设备类型。与一个或多个上下文感知状态相关联的一个或多个条件可以独立于设备以及访问服务层所提供的数据或服务中的至少一个的请求。授权验证服务可以基于服务层存储的数据或服务层执行的操作中的一个或多个来确定上下文感知状态。一个或多个上下文感知状态可以被存储在授权策略中。所述操作还可包括基于授权访问由服务层提供的数据或服务中的至少一个来更新与授权策略相关联的一个或多个上下文感知状态。

在另一实施例中，服务层的授权验证服务可以被配置为执行以下操作：从服务层的核心服务功能接收访问服务层提供的数据或服务中的至少一个的请求；确定该请求对应的授权策略；确定与授权策略相关联的一个或多个上下文感知状态；以及基于一个或多个上下文感知状态，确定是否向服务层实体准许对服务层提供的数据或服务的访问权限。

上下文感知状态可以存储在相应的授权策略中。在一个示例中，与授权策略相关联的上下文感知状态可以包括策略的持续时间或对策略的允许访问的数量。授权验证服务可以基于由服务层存储的数据或由服务层执行的操作来确定上下文感知状态。响应于确定已满足上下文感知状态的一个或多个条件，授权验证服务可以授权访问由服务层提供的数据或服务。在一示例中，授权验证服务可以更新与授权策略相关联的一个或多个上下文感知状态。可以使用授权范围过程来创建授权策略。在一个示例中，响应于确定尚未满足上下文感知状态的一个或多个条件，授权验证服务可以拒绝对由服务层提供的数据或服务的访问。此外，授权验证服务可以删除授权策略，或者可以触发一个或多个动态授权过程。

iot/m2m服务层可以允许创建或控制iot/m2m服务层上托管的数据的iot/m2m服务层注册者定义对指定授权的限制。例如，授权可以允许十次访问，一百次访问或无限制访问。iot/m2m服务层中的avs可以检查授权策略的上下文以验证访问是否被授权，并且可以检查和更新与该策略关联的状态(例如，上下文感知状态)，以确保不超过指定授权的限制。当新服务或数据可用时，可以提供对现有授权策略的自动传播的支持。

当对iot/m2m服务层中的服务或资源提出请求时，可以对照定义该请求应被“授权”还是“拒绝”请求者的一组权限来检查该请求。如果现有授权策略指示该请求已被“授权”，则iot/m2m服务层可以授权访问资源或服务。在一个实施例中，“授权验证服务”可以具有两个组件，如图9所示。首先，如果请求没有被链接到所请求的数据或服务的策略“授权”，则avs可以搜索以查看是否存在准许授权的已定义(在请求之前预先配置或预配置)的授权范围。应当注意，这不是获得以前不存在的授权的过程，而是搜索存在的在其“授权范围”中包含该请求的策略。其次，可以进一步检查“授权”请求的策略，以查看是否需要满足“动态上下文”才能授权所请求的操作。

可以将策略定义为可以由软件算法处理以确定请求是否得到授权的文档或数据结构。当请求访问由iot/m2m服务层托管的数据或服务时，可以进行检查以查看是否存在向请求发起者给出授权的策略。在restful系统中，每个数据元素或服务都可以引用用于进行此确定的现有策略。在某些情况下，所请求的数据或服务可以基于数据或服务的层次结构继承对现有策略的引用。例如，可以向iot/m2m实体准许对被标识为根位置的直接后代的所有数据或服务的授权。在一个实施例中，策略可以存储在服务层。例如，策略可以存储为xml或json文档，也可以存储在服务层处存储的表中。

通过定义“授权范围”，可以扩展自动传播对数据或服务组的访问的方法。授权范围可以指定策略中定义的iot/m2m实体可以访问的数据或服务集。在一个实施例中，数据和服务的规范可以是数据和服务的明确列表，或者可以基于与数据或服务相关联的元数据的值。授权范围可以是对现有策略定义的增强，也可以是单独或新的策略类型。在一个实施例中，授权范围可以具有以下组件中的一个或多个：该策略适用的数据或服务的身份，该策略适用的数据或服务的元数据值，该策略适用的iot/m2m实体的身份，以及被准许访问数据或服务的实体的特定权限。该策略可以存储为xml或json文档，也可以存储在服务层处存储的表中。

例如，iot/m2m服务层中托管的数据的provider1可以创建指定user1可以访问provider1创建/拥有的所有数据并具有指示该数据为categorya的元数据的策略。使用授权范围，当provider1使用元数据中指定的categorya创建新数据时，可以动态授权user1访问新数据，而无需考虑数据的分层位置(除非需要)。在iot/m2m应用中，这可以简化准许从已部署的新传感器访问数据的过程，而无需为每个传感器配置sl授权策略。图10示出了实现“授权范围”所需的步骤的示例实施例。

在步骤1中，当新请求到达时，iot/m2m服务层搜索适用于所请求的特定服务或数据的授权策略。当策略被标识时，可检查它们以查看始发iot/m2m实体是否具有执行所请求的操作的授权。如果确定该请求是"授权的"，则iot/m2m服务层可给予对该数据或服务的访问。如果未经授权，那么程序可通过向avs发出请求而继续到步骤2。"请求授权范围"消息(2a)可以包含所请求的数据或服务的标识符、请求者的标识符和所请求的操作的标识符中的一个或多个。

在步骤2中，avs搜索具有指定的"授权范围"的策略。如果发现策略具有应用于所请求的数据或服务以及作出该请求的iot/m2m实体和所请求的操作的所定义的"授权范围"，则该请求被确定为"已授权"。当进行该"授权范围"评估时，可以考虑所请求的数据或服务的元数据(描述性的、结构性的和管理性的)。例如，策略可以要求所请求的数据或服务的标签或标志包含特定值或令牌。

在步骤3中，"授权范围"可以定义是否应当为所请求的服务/数据创建(3a)新策略，或者是否应当向服务/数据分配当前策略或另一现有策略(3b)。iot/m2m服务层可更新与所请求的数据或服务相关联的元数据，以反映在步骤2中找到的或在该步骤中创建的策略应被考虑用于将来的请求。例如，可以用指向新策略的指针来更新附属于数据或服务的属性或元数据。

应当理解，步骤1-3可以在实现中合并。

这些新的策略方面可用于管理允许iot/m2m服务层以更容易的呼叫流来提供高级能力的授权策略的生存期。例如，能够定义允许最多十次授权的策略的新特征可以被增强，以在授权耗尽之后自动删除该策略。或者，策略可以在每天重新设置，提供指定每日限制的能力。表1中列出了新策略中的示例信息，并且可以将其包括在"更新服务/数据"消息中。

表1–上下文感知授权方面

下面提供使用表1中描述的一些上下文的附加解释或过程。

timeduration方面可用于指定策略可保持有效多长时间。这可以在创建新策略时，在授权范围过程创建新策略时使用。可将timeduration值添加到当前时间(创建新策略的时间)以指定新策略的期满时间。

resetcondition方面可用于指定当前动态状态被复位到初始值(例如零)时的时间或条件。在resetcondition方面的示例使用中，iot/m2m服务层可能想要授权iot/m2m实体每小时执行12次上传。iot/m2m服务层可在每次上传之后更新计数动态上下文，如果计数小于countlimit则授权请求。每小时，iot/m2m服务层可将计数动态上下文重置回零。

deletewhenexhausted动态上下文用于使动态上下文感知授权的管理对于应用和iot/m2m服务层更容易。这允许用于移除不再有效或有用的策略的机制。如果该值被指定为"真"，则如果动态上下文检查不准许授权，并且如果未指定重置条件，则策略可由iot/m2m服务层删除。

如果存在授权策略以供用户访问资源，则动态上下文感知授权可以评估是否存在与该策略相关联的条件上下文。注意，授权策略可通过供应而为用户存在，或者可通过本文所述的"授权范围"过程来创建。如果确定动态上下文感知授权适用，那么avs可修改对应于指定上下文的状态。

图11示出了avs管理与上下文感知授权状态相关联的状态的调用流程。

在步骤1中，如果在授权策略中指定了上下文感知状态，avs获得上下文感知状态。检查上下文所需的信息可在授权策略中描述。动态状态可被存储在策略中，或者它们可要求检查其它iot/m2m服务层数据或操作以确定状态和上下文。

在步骤2中，如果当前上下文感知状态满足策略指定的所有条件，则授权可以被准许。如果不满足条件，则不准许授权。授权决策可以被提供回服务层。这也可以触发授权范围过程。

在步骤3中，avs调整上下文感知状态，如果它们被指定的话。这可以包括添加到计数器属性或从倒计数属性中减去。如果动态上下文感知状态基于有效载荷大小，则该调整可以在响应被发送给用户之后发生。例如，如果使用maxdownload状态，则在响应中发送有效载荷之后，该信息可以用于更新"下载计数器"。

如果上下文感知状态不满足允许访问的条件，则avs可触发动态授权过程，或者它可移除或撤销上下文感知授权策略。

授权通常应用于crud的基本操作，其为create、retrieve、update和delete。授权也可应用于从crud导出的操作，例如notify和discovery(作为示例，从onem2m导出)。iot/m2m实体可被给予对指定服务或数据的retrieve授权。这通常是静态授权或不频繁地改变的授权。本文描述的信息元素使得在确定授权是否被准许时能够考虑动态条件。例如，iot/m2m实体可被允许仅在"所有者"不在家时"解锁"到房屋的门一次。上下文感知授权信息的缺乏意味着无限制的访问。

表2–上下文感知授权字段

uploadcount动态上下文的示例使用是使用被指定为iot/m2m实体可在iot/m2m服务层中创建或存储多少数据的定义的值。iot/m2m服务层可在每次使用该策略之后更新uploadcount以授权操作。如果uploadcount超过maxupload值，则create或update操作可能不被授权。如果iot/m2m实体请求的操作是retrieve或delete，则可忽略maxupload检查，但它也可仍被应用。在retrieve或delete操作的情况下，可以不更新uploadcount。

accesstechnology动态上下文可以用于基于用于与iot/m2m服务层通信的访问类型来限制授权。在示例用例中，iot/m2m实体可具有向iot/m2m服务层发送请求的多种方式。然而，iot/m2m可授权iot/m2m实体仅在该请求使用蓝牙技术用于该请求时才在特定设备上执行操作。

outofvicinity和invicinity动态上下文可以用于基于iot/m2m实体所处的位置来限制授权。该值可应用于作出请求的iot/m2m实体。此外，该值可应用于使用本文所述方法和系统的任何iot/m2m实体。这可以允许iot致动器和应用的更容易的开发。例如，在具有远程开启大型机器的能力的制造工厂中，可能存在检查没有人或物体在机器周围的安全区域内的实现。应用可首先检查安全区域，并仅在安全区域被清空之后发送信号以开启机器。将该安全区检查嵌入到授权策略中，通过降低允许信号开启机器的应用中的错误的可能性而不检查安全区，既简化了应用，又提供了更大的安全性。

与对策略所应用于的特定数据或服务的请求相反，requestorcriteria动态上下文可被用于基于已在整个iot/m2m服务层中执行的iot/m2m服务层操作来限制授权。例如，在onem2m中，如果请求者在特定资源下创建了少于100个contentinstance，则创建contentinstance操作可被授权。

onem2m服务层授权系统可以包括以下示例逻辑功能：

授权范围管理(asm)：该功能确定是否存在具有包括目标资源和请求的发起者的authenticationscope属性的现有<accesscontrolpolicy>。如果找到一个，则可以更新acpi以包括现有的<accesscontrolpolicy>。如果实现onem2m的分布式授权，则asm的功能性可以包括在prp中；

授权上下文功能(acf)：该功能收集由<accesscontrolpolicy>定义的任何上下文信息，该上下文信息不能从发起者发送的请求原语中导出。例如，<accesscontrolpolicy>可指定需要aehomeowner的位置来评估该请求是否被授权。acf可以得到aehomeowner的位置。acf可以在onem2m的pip中实现；以及

调整授权状态(aas)：该函数更新包含与所请求/授权的操作相关的状态的<accesscontrolpolicy>属性。在<accesscontrolpolicy>被更新之后发生的任何警告或其它动作可由aas执行。例如，如果到达了alertthresholdcount，则aas可以启动通知。aas可以在onem2m的pip或pdp中实现。

上下文感知授权状态的这个实施例将新属性添加到onem2mts-0001onem2m功能架构-v-3.6.0中定义的现有onem2m<accesscontrolpolicy>。下面列出的资源定义通常仅示出与这里提出的想法相关的属性和子资源。在实际实施例中可以存在这里未示出的其它属性和子资源。

onem2m定义了<accesscontrolpolicy>资源来指定哪些onem2m实体可以访问链接到<accesscontrolpolicy>的资源。例如，privileges属性可以由一组访问控制规则指定。访问控制规则可以具有子属性，accesscontrolcontexts和accesscontrolobjectdetails，它们用诸如在此公开的属性和过程来增强。

可以考虑使用以下新的accesscontrolcontexts进行cse的访问控制策略检查。

表3：accesscontrolcontexts中的新参数类型

accesscontrollocationregion可被指定为国家代码或表示纬度、经度和半径的三个值的集合。本公开添加了说明符，以指示在作出授权操作的决策时实体应当在所定义的区域内或在所定义的区域外。在一个示例中，可以指定实体列表以指示除了发起者之外的实体必须满足位置条件。如果没有提供实体，则默认行为可以是将位置比较应用于发起者的位置。如果为实体定义了多于一个的区域，则条件可能需要仅对这些区域中的一个为真。如果定义了多于一个实体，则可能所有实体的条件都需要为真。

如果指定了accesscontrollimit或accesscontroldatalimit，则如果使用此<accesscontrolpolicy>资源的次数超过了配置的accesscontrollimit，或者如果传输的数据量超过了accesscontroldatalimit，则可能不允许授权执行该操作。访问次数的计数可以存储在accesscontrollimit中，传输的数据量可以存储在accesscontroldatalimit中。这些计数可以存储为资源的只读属性，并且当基于此特定授权策略允许请求时，由托管cse更新这些值。

onem2m将accesscontrolobjectdetails定义为访问控制规则的可选参数。它指定访问控制规则适用的目标资源的子资源类型的子集。

在本公开中描述的思想的实施例可以扩展accesscontrolobjectdetails的定义以包括以下新属性。

表4：accesscontrolobjectdetails中的新参数类型

如果未授权发起者对目标资源执行操作，则托管cse可能会检查目标资源的祖先资源(直至csebase)，以查找具有指定的propagateacp属性的<accesscontrolpolicy>。如果找到的<accesscontrolpolicy>授权了所请求的操作，则托管cse可以使用<accesscontrolpolicy>的资源标识符更新目标资源的accesscontrolpolicyids属性，或者可以根据找到的<accesscontrolpolicy>的属性创建新的<accesscontrolpolicy>。当创建新的<accesscontrolpolicy>时，可以根据timelimit中指定的值设置expirationtime，并且propagateacp可以设置为null。在托管cse更新了目标资源的accesscontrolpolicyids属性时，可以将<accesscontrolpolicy>资源标识符添加到列表中的任何其他资源标识符，或者将此<accesscontrolpolicy>设置为该列表中的唯一。

执行图9-11中所示步骤的任何实体，例如avs、ae、cse、另一sl实体等，可以是可以以存储在配置用于无线和/或网络通信的装置或诸如图12c或图12d中所示的计算机系统的存储器中并在其处理器上执行的软件(即计算机可执行指令)形式实现的逻辑实体。即，可以以存储在诸如图12c或图12d所示的装置或计算机系统之类的装置的存储器中的软件(即，计算机可执行指令)的形式来实现图9-11所示的方法，该计算机可执行指令当由装置的处理器执行时，执行图9-11所示的步骤。还应该理解，图9-11所示的任何发送和接收步骤都可以在装置的处理器及其执行的计算机可执行指令(例如，软件)的控制下，由装置/实体的通信电路来执行。

图12a是其中可以实现一个或多个所公开的实施例的示例性机器对机器(m2m)、物联网(iot)或物联网(wot)通信系统10的图。通常，m2m技术为iot/wot提供了构建块，并且任何m2m设备、m2m网关、m2m服务器或m2m服务平台都可以是iot/wot以及iot/wot服务层等的组件或装置。在图2-7和9-11中的任何一个中示出的任何实体可以包括通信系统的网络装置，诸如图12a-12d中所示的那些。

服务层可以是网络服务架构内的功能层。服务层通常位于应用协议层(例如http、coap或mqtt)之上，并为客户端应用提供增值服务。服务层还提供到较低资源层(例如，控制层和传输/访问层)上的核心网络的接口。服务层支持(服务)能力或功能的多个类别，包括服务定义，服务运行时启用，策略管理，访问控制和服务群集。最近，一些行业标准机构，例如onem2m，已经在开发m2m服务层，以解决与将m2m类型的设备和应用集成到诸如internet/web，蜂窝，企业和家庭网络的部署中相关的挑战。m2m服务层可以向应用和/或各种设备提供对由服务层支持的上述能力或功能的集合的访问，其可以被称为cse或scl。一些示例包括但不限于各种应用可能常用的安全性、计费、数据管理、设备管理、发现、供应和连接性管理。通过使用m2m服务层定义的消息格式、资源结构和资源表示的api使得这些能力或功能可用于此类各种应用。cse或scl是可以由硬件和/或软件实现的功能实体，并且提供暴露给各种应用和/或设备(即，这些功能实体之间的功能接口)的(服务)能力或功能，以使它们能够使用此类能力或功能。

如图12a所示，m2m/iot/wot通信系统10包括通信网络12。通信网络12可以是固定网络(例如，以太网、光纤、isdn、plc等)或无线网络(例如wlan、蜂窝网络等)或异构网络的网络。例如，通信网络12可以包括向多个用户提供诸如语音、数据、视频、消息传递、广播等的内容的多个接入网络。例如，通信网络12可以采用一种或多种信道接入方法，例如码分多址(cdma)、时分多址(tdma)、频分多址(fdma)、正交fdma(ofdma)、单载波fdma(sc-fdma)等。此外，例如，通信网络12可以包括其他网络，诸如核心网络、互联网、传感器网络、工业控制网络、个人局域网、融合个人网络、卫星网络、家庭网络或企业网络。

如图12a所示，m2m/iot/wot通信系统10可以包括基础设施域和场域。基础结构域是指端到端m2m部署的网络侧，而场域是指通常在m2m网关后面的区域网络。场域和基础设施域可以都包括网络的各种不同的网络装置(例如，服务器、网关、设备等)。例如，场域可以包括m2m网关14和设备18。应当理解，根据需要，任何数量的m2m网关设备14和m2m设备18可以被包括在m2m/iot/wot通信系统10中。m2m网关设备14和m2m设备18中的每一个被配置为使用通信电路经由通信网络12或直接无线电链路来发送和接收信号。

m2m网关14允许无线m2m设备(例如，蜂窝和非蜂窝)以及固定网络m2m设备(例如，plc)通过诸如通信网络12的运营商网络或直接无线电链路进行通信。例如，m2m设备18可以收集数据并且经由通信网络12或直接无线电链路将数据发送到m2m应用20或其他m2m设备18。m2m设备18还可以从m2m应用20或m2m设备18接收数据。如下所述，还可以通过m2m服务层22向m2m应用20发送和从其接收数据和信号。m2m设备18和网关14可以经由各种网络进行通信，这些网络包括例如蜂窝、wlan、wpan(例如，zigbee，6lowpan，蓝牙)、直接无线电链路和有线。示例m2m设备包括但不限于平板电脑、智能手机、医疗设备、温度和天气监控器、联网的汽车、智能仪表、游戏机、个人数字助理、健康和健身监控器、灯、恒温器、电器、车库门以及其他基于致动器的设备、安全设备和智能插座。

参照图12b，示出的场域中的m2m服务层22为m2m应用20、m2m网关14、m2m设备18和通信网络12提供服务。将理解，根据需要，m2m服务层22可以与任意数量的m2m应用、m2m网关14、m2m设备18和通信网络12进行通信。m2m服务层22可以由网络的一个或多个网络装置来实现，该网络装置可以包括服务器、计算机、设备等。m2m服务层22提供适用于m2m设备18、m2m网关14和m2m应用20的服务能力。m2m服务层22的功能可以以多种方式实现，例如作为网络服务器，在蜂窝核心网络中，在云中等。

类似于所示的m2m服务层22，在基础设施域中存在m2m服务层22'。m2m服务层22'为基础设施域中的m2m应用20'和底层通信网络12提供服务。m2m服务层22'还为场域中的m2m网关14和m2m设备18提供服务。将理解的是，m2m服务层22'可以与任何数量的m2m应用、m2m网关和m2m设备通信。m2m服务层22'可以与不同的服务提供者的服务层交互。m2m服务层22'可以由网络的一个或多个网络装置来实现，所述网络装置可以包括服务器、计算机、设备、虚拟机(例如，云计算/存储场等)等。

还参考图12b，m2m服务层22和22'提供不同应用和行业(vertical)可以充分利用的核心服务递送能力集。这些服务功能使m2m应用20和20'能够与设备交互并执行诸如数据收集、数据分析、设备管理、安全性、计费、服务/设备发现等功能。基本上，这些服务能力免除了应用实现这些功能的负担，从而简化了应用开发并减少了成本和上市时间。服务层22和22'还使m2m应用20和20'能够通过各种网络(诸如网络12)与服务层22和22'提供的服务相关联地进行通信。

m2m应用20和20'可以包括各种行业中的应用，诸如但不限于运输、健康和保健、联网家庭、能源管理、资产跟踪以及安全性和监控。如上面所提到的，在系统的设备、网关、服务器和其它网络装置之间运行的m2m服务层支持诸如例如数据收集、设备管理、安全性、计费、位置跟踪/地理围栏、设备/服务发现以及传统系统集成之类的功能，并将这些功能作为服务提供给m2m应用20和20'。

一般而言，诸如图12b中所示的服务层22和22'之类的服务层定义软件中间件层，该软件中间件层通过应用编程接口(api)和底层联网接口的集合来支持增值服务能力。etsim2m和onem2m体系架构都定义了服务层。etsim2m的服务层被称为服务能力层(scl)。scl可以在etsim2m体系架构的各种不同节点中实现。例如，服务层的实例可以在m2m设备中实现(其中它被称为设备scl(dscl))、在网关中实现(其中它被称为网关scl(gscl))和/或在网络节点中实现(其中它被称为网络scl(nscl))。onem2m服务层支持公共服务功能(csf)的集合(即，服务能力)。一个或多个特定类型的csf的集合的实例化被称为公共服务实体(cse)，其可以托管在不同类型的网络节点(例如，基础设施节点、中间节点、特定于应用的节点)上。第三代合作伙伴计划(3gpp)还已经定义了用于机器类型通信(mtc)的体系架构。在那种体系架构中，服务层及其提供的服务能力是作为服务能力服务器(scs)的一部分实现的。无论是在etsim2m体系架构的dscl、gscl或nscl中实施，在3gppmtc体系架构的服务能力服务器(scs)中实施，在onem2m体系架构的csf或cse中实施，还是在网络的某个其它节点中实施，服务层的实例都可以被实现为或者在网络中的一个或多个独立节点(包括服务器、计算机以及其它计算设备或节点)上执行的逻辑实体(例如，软件、计算机可执行指令等)，或者被实现为一个或多个现有节点的一部分。作为示例，服务层或其部件的实例可以以在具有下述图12c或图12d中所示的一般体系架构的网络装置(例如，服务器、计算机、网关、设备等)上运行的软件的形式实现。

另外，本文描述的方法和功能可以被实现为使用面向服务的体系架构(soa)和/或面向资源的体系架构(roa)来访问服务的m2m网络的一部分。

图12c是诸如图2-7和9-11中所示的实体之一之类的网络的装置的示例硬件/软件体系架构的框图，该装置可以作为诸如图12a和12b中所示之类的m2m网络中的m2m服务器、网关、设备或其它网络装置进行操作。如图12d中所示，网络装置30可以包括处理器32、不可移动存储器44、可移动存储器46、扬声器/麦克风38、小键盘40、显示器、触摸板和/或指示器42、电源48、全球定位系统(gps)芯片组50和其它外围设备52。网络装置30还可以包括通信电路系统，诸如收发器34和传输/接收元件36。将认识到的是，网络装置30可以包括前述元素的任何子组合，同时保持与实施例一致。这个网络装置可以是实现本文描述的上下文感知授权方法的装置，诸如关于图2-7和9-11图示和描述的方法操作。

处理器32可以是通用处理器、专用处理器、常规处理器、数字信号处理器(dsp)、多个微处理器、与dsp核相关联的一个或多个微处理器、控制器、微控制器、专用集成电路(asic)、现场可编程门阵列(fpga)电路、任何其它类型的集成电路(ic)、状态机等。一般而言，处理器32可以执行存储在网络装置的存储器(例如，存储器44和/或存储器46)中的计算机可执行指令，以便执行网络装置的各种所需功能。例如，处理器32可以执行信号编码、数据处理、功率控制、输入/输出处理和/或使网络装置30能够在无线或有线环境中操作的任何其它功能。处理器32可以运行应用层程序(例如，浏览器)和/或无线电接入层(ran)程序和/或其它通信程序。例如，处理器32还可以执行安全操作，诸如认证、安全密钥协商和/或加密操作之类，诸如在接入层和/或应用层处。

如图12c中所示，处理器32耦合到其通信电路系统(例如，收发器34和传输/接收元件36)。通过执行计算机可执行指令，处理器32可以控制通信电路系统，以便使网络装置30经由与其连接的网络与其它网络装置通信。特别地，处理器32可以控制通信电路系统，以便执行本文和权利要求中描述的传输和接收步骤(例如，在图6、7和9-11中)。虽然图12c将处理器32和收发器34描绘为分开的部件，但是将认识到的是，处理器32和收发器34可以一起集成在电子包或芯片中。

传输/接收元件36可以被配置为向其它网络装置传输信号或从其它节点接收信号，所述节点包括m2m服务器、网关、设备等。例如，在实施例中，传输/接收元件36可以是被配置为传输和/或接收rf信号的天线。传输/接收元件36可以支持各种网络和空中接口，诸如wlan、wpan、蜂窝等。在实施例中，传输/接收元件36可以是被配置为例如传输和/或接收ir、uv或可见光信号的发射器/检测器。在又一个实施例中，传输/接收元件36可以被配置为传输和接收rf和光信号两者。将认识到的是，传输/接收元件36可以被配置为传输和/或接收无线或有线信号的任意组合。

此外，虽然传输/接收元件36在图12c中被描绘为单个元件，但是网络装置30可以包括任何数量的传输/接收元件36。更具体而言，网络装置30可以采用mimo技术。因此，在实施例中，网络装置30可以包括用于传输和接收无线信号的两个或更多个传输/接收元件36(例如，多个天线)。

收发器34可以被配置为调制将由传输/接收元件36传输的信号并且解调由传输/接收元件36接收的信号。如上所述，网络装置30可以具有多模式能力。因此，例如，收发器34可以包括多个收发器，用于使网络装置30能够经由多个rat(诸如utra和ieee802.11)进行通信。

处理器32可以从任何类型的合适存储器(诸如不可移除存储器44和/或可移除存储器46)访问信息，并将数据存储在其中。例如，处理器32可以在其存储器中存储会话上下文，如上所述。不可移除存储器44可以包括随机存取存储器(ram)、只读存储器(rom)、硬盘，或任何其它类型的存储器存储设备。可移除存储器46可以包括订户身份模块(sim)卡、记忆棒、安全数字(sd)存储卡等。在其它实施例中，处理器32可以从物理地位于网络装置30上(诸如在服务器或家用计算机上)的存储器访问信息，并将数据存储在其中。处理器32可以被配置为控制显示器或指示器42上的照明图案、图像或颜色以反映装置的状态或配置装置，并且特别是底层网络、应用或与网络装置通信的其它服务。在一个实施例中，显示器/指示器42可以呈现图12d中所示并在本文描述的图形用户接口。

处理器32可以从电源48接收电力，并且可以被配置为向网络装置30中的其它部件分配和/或控制电力。电源48可以是用于为网络装置30供电的任何合适的设备。例如，电源48可以包括一个或多个干电池(例如，镍镉(nicd)、镍-锌(nizn)、镍金属氢化物(nimh)、锂离子(li离子)等)、太阳能电池、燃料电池等。

处理器32还可以耦合到gps芯片组50，gps芯片组50被配置为提供关于网络装置30的当前位置的位置信息(例如，经度和纬度)。将认识到的是，网络装置30可以通过任何合适的位置确定方法获取位置信息，同时保持与实施例一致。

处理器32还可以耦合到其它外围设备52，外围设备52可以包括提供附加特征、功能和/或有线或无线连接性的一个或多个软件和/或硬件模块。例如，外围设备52可以包括各种传感器，诸如加速度计、生物测定(例如，指纹)传感器、电子罗盘、卫星收发器、传感器、数码相机(用于照片或视频)、通用串行总线(usb)端口或其它互连接口、振动设备、电视收发器、免提耳机、模块、调频(fm)无线电单元、数字音乐播放器、媒体播放器、视频游戏播放器模块、互联网浏览器等等。

网络装置30可以在其它装置或设备中实施，诸如传感器、消费电子产品、可穿戴设备(诸如智能手表或智能服装)、医疗或电子卫生设备、机器人、工业装备、无人机、车辆(诸如小汽车、卡车、火车或飞机)之类。网络装置30可以经由一个或多个互连接口(诸如可以包括外围设备52之一的互连接口)连接到这种装置或设备的其它部件、模块或系统。

图12c是示例计算系统90的框图，该示例计算系统90还可以被用于实现网络的一个或多个网络装置，诸如图2-7和9-11中所示并在本文进行描述的实体，其可以作为诸如图12a和12b中所示之类的m2m服务器、网关、设备或m2m网络中的其它网络装置进行操作。

计算系统90可以包括计算机或服务器，并且可以主要由计算机可读指令控制，计算机可读指令可以是软件的形式，无论在何处，或者通过任何方式存储或访问这样的软件。这种计算机可读指令可以在诸如中央处理单元(cpu)91之类的处理器内执行，以使计算系统90工作。在许多已知的工作站、服务器和个人计算机中，中央处理单元91由称为微处理器的单芯片cpu实现。在其它机器中，中央处理单元91可以包括多个处理器。协处理器81是与主cpu91不同的可选处理器，其执行附加功能或辅助cpu91。cpu91和/或协处理器81可以接收、生成和处理与所公开的用于e2em2m服务层会话的系统和方法相关的数据，诸如接收会话凭证或基于会话凭证进行认证。

在操作中，cpu91提取、解码并执行指令，并经由计算机的主数据传输路径，系统总线80，向其它资源传送信息和从其它资源传送信息。这种系统总线连接计算系统90中的部件并定义用于数据交换的介质。系统总线80通常包括用于发送数据的数据线、用于发送地址的地址线，以及用于发送中断和用于操作系统总线的控制线。这种系统总线80的示例是pci(外围部件互连)总线。

耦合到系统总线80的存储器包括随机存取存储器(ram)82和只读存储器(rom)93。这种存储器包括允许存储和检索信息的电路系统。rom93一般包含不能被容易地修改的存储数据。存储在ram82中的数据可以由cpu91或其它硬件设备读取或改变。对ram82和/或rom93的访问可以由存储器控制器92控制。存储器控制器92可以提供地址翻译功能，该地址翻译功能在执行指令时将虚拟地址翻译成物理地址。存储器控制器92还可以提供存储器保护功能，该存储器保护功能隔离系统内的进程并将系统进程与用户进程隔离。因此，以第一模式运行的程序只可以访问由其自己的进程虚拟地址空间映射的存储器；除非已设置进程之间的存储器共享，否则它无法访问另一个进程的虚拟地址空间内的存储器。

此外，计算系统90可以包含外围设备控制器83，其负责将来自cpu91的指令传送到外围设备，诸如打印机94、键盘84、鼠标95和磁盘驱动器85。

由显示控制器96控制的显示器86用于显示由计算系统90生成的视觉输出。这种视觉输出可以包括文本、图形、动画图形和视频。显示器86可以用基于crt的视频显示器、基于lcd的平板显示器、基于气体等离子体的平板显示器或触摸面板来实现。显示控制器96包括生成发送到显示器86的视频信号所需的电子部件。结合由cpu91执行的计算机可执行指令，显示器86可以生成并操作图12d及其随附的描述中所示并描述的图形用户接口。

另外，计算系统90可以包含通信电路系统，诸如例如网络适配器97，其可以用于将计算系统90连接到外部通信网络，诸如图12a-12d的网络12，以使计算系统90能够与网络的其它装置通信。单独或与cpu91组合，通信电路系统可以用于执行本文(例如，在图2-7和9-11中)和权利要求中描述的传输和接收步骤。

应该理解的是，本文描述的任何或所有系统、方法和处理都可以以存储在计算机可读存储介质上的计算机可执行指令(即，程序代码)的形式实施，所述指令在由机器(诸如m2m网络的装置，包括例如m2m服务器、网关、设备等)执行时执行和/或实现本文描述的系统、方法和处理。具体而言，上述任何步骤、操作或功能可以以这种计算机可执行指令的形式实现。计算机可读存储介质包括以用于存储信息的任何非瞬态(即，有形或物理)方法或技术实现的易失性和非易失性、可移除和不可移除介质，但是这种计算机可读存储介质不包括信号。计算机可读存储介质包括但不限于ram、rom、eeprom、闪存或其它存储器技术，cd-rom、数字通用盘(dvd)或其它光盘存储装置，磁带盒、磁带、磁盘存储装置或其它磁存储设备，或者可以用于存储期望信息并且可由计算机访问的任何其它有形或物理介质。

以下是与可能在以上描述中出现的服务级别技术相关的首字母缩写词列表。除非另有说明，否则本文中使用的首字母缩写词是指下面列出的相应术语：

acpionem2m资源的公共属性，用于将资源链接到<accesscontrolpolicy>资源，该资源给予注册者授权以对该资源执行操作。

and应用专用节点

ae应用实体

api应用编程接口

asn应用服务节点

avs授权验证服务

caa上下文感知授权

cse公共服务实体

csf公共服务功能

in基础设施网络

iot物联网

ip互联网协议

m2m机器对机器

mn中间节点

nodn非onem2m节点

poa接入点

roa面向资源的架构

uri统一资源标识符

以下是可能在以上描述中出现的与服务层技术有关的术语和定义的列表。除非另有说明，否则此处使用的术语和定义是指下面列出的相应术语：

本书面描述使用示例来公开本发明，包括最佳模式，并且还使任何本领域技术人员能够实践本发明，包括制造和使用任何设备或系统以及执行任何结合的方法。本发明的可专利范围由权利要求限定，并且可以包括本领域技术人员想到的其它示例。如果这些其它示例具有与权利要求的字面语言没有不同的元素，或者如果它们包括与权利要求的字面语言无实质差别的等效元素，那么这些其它示例意图在权利要求的范围内。