标准规范下载简介
GB/Z 41384-2022 M2M业务平台技术要求.pdfICS 33.030 CCSM21
GB/Z413842022
M2M业务平台技术要求
TechnicalrequirementsforM2Mserviceplatform
GB50128-2014标准下载12.2设备管理 12.3群组管理 12.4资源管理
2 平台与M2M应用接口技术要求 20 平台与M2M终端业务层接口技术要或
2M业务平台与M2M 2M业务平台与M2M终端业务层接口技术要求
本文件接照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起章规则》的规定 起草。 本文件是M2M业务系列文件之一。该系列文件的结构和名称如下: GB/Z41385M2M业务总体技术要求; GB/Z41383M2M应用通信协议技术要求 GB/Z41384M2M业务平台技术要求; GB/T37294M2M终端设备业务能力技术要求。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中华人民共和国工业和信息化部提出。 本文件由工业和信息化部(通信)归口。 本文件起草单位:中国信息通信研究院、中国移动通信集团有限公司、中国联合网络通信集团有限 公司、华为技术有限公司、中兴通讯股份有限公司、大唐电信科技产业集团。 本文件主要起草人:刘荣朵、杜加懂、张勇、贾雪琴、毛峻岭、高盈、孙爱芳、杨坤、吴昊、徐晖。
GB/Z413842022
5M2M业务平台体系架构
M2M业务平台体系架构如图1所示
图1M2M业务平台体系架构图
公共能力,包括: 安全:支持鉴权、授权、密钥处理等安全机制; 计费:对使用M2M业务平台业务能力进行计费,生成计费话单; 标识管理和寻址:在业务层面、传输控制层面给M2M终端、M2M网关以及M2M应用分 配标识,保持标识的唯一性; 接人控制:实现对M2M终端、M2M网关以及M2M应用的注册、重注册、注销等功能; b)业务能力,包括: 访问控制:实现对M2M终端、M2M网关以及M2M应用的访问权限的设置、更新等 功能; 数据存储与转发:M2M业务平台能够汇聚和存储终端外设采集到的数据信息、注册信 息、设备管理信息等信息,在访问权限允许的情况下提供数据转发功能; 群组管理:实现对群组的创建、更新、删除等功能,支持对群组成员批量访问; 设备管理:支持一种或多种管理协议(如YD/T2398一2012),通过统一接口来管理M2M
公共能力,包括: 安全:支持鉴权、授权、密钥处理等安全机制; 计费:对使用M2M业务平台业务能力进行计费,生成计费话单; 标识管理和寻址:在业务层面、传输控制层面给M2M终端、M2M网关以及M2M应用分 配标识,保持标识的唯一性; 接人控制:实现对M2M终端、M2M网关以及M2M应用的注册、重注册、注销等功能; b)业务能力,包括: 访问控制:实现对M2M终端、M2M网关以及M2M应用的访问权限的设置、更新等 功能; 数据存储与转发:M2M业务平台能够汇聚和存储终端外设采集到的数据信息、注册信 息、设备管理信息等信息,在访问权限允许的情况下提供数据转发功能; 群组管理:实现对群组的创建、更新、删除等功能,支持对群组成员批量访问; 设备管理:支持一种或多种管理协议(如YD/T2398一2012),通过统一接口来管理M2M
2M业务平台业务能力亚
M2M业务平台遵循M2M系统内统一的规则以功能模块的形式提供给设备用户和M2M应用使 用,提供接入控制、访问间控制、数据存储与转发、群组管理、设备管理等功能;M2M业务平台作为承接核 心网络和上层具体应用的中间关键实体,应具备对核心网络能力进行抽象和管理的能力,提供安全隐私 保护、计费、标识管理和寻址、外部能力调用、资源管理的支撑功能。
M2M业务平台为不同用户设置不同的业务和终端设备的使用或管理权限,保证合法用户进行与 权限相匹配的操作。 M2M应用和M2M设备用户使用M2M业务平台时会受到访间控制,M2M业务平台基于签约信 息、本地策略及用户的配置对M2M应用和M2M设备用户进行访问控制。M2M业务平台根据签约信 息、本地策略和用户的配置创建和维护数据的多种访问权限。M2M应用或M2M设备用户访问M2M 业务平台数据时,M2M业务平台根据这些访问权限中设置的授权访问主体和授权业务类型(如获取」 修改等)允许其他M2M应用或M2M设备用户访问数据,
GB/Z413842022
立能力,也可通过M2M业务平台直接向该M2M终端查询终端位置信息。为保证用户位置 言息的隐私,M2M业务平台在收到M2M应用的访问请求后需要进行隐私保护;根据M2M 设备用户的配置,也可采用M2M终端及M2M网关进行隐私保护,确认能否访问M2M终端 及M2M网关自身的位置信息。
M2M业务平台需要维护设备管理对象资源数据与远程M2M终端或M2M网关中的管理对象信 息的映射关系,以及资源访问请求与各种具体设备管理协议中的管理命令之间的映射关系。M2M业 务平台接收M2M应用发来的针对设备管理对象资源的访问请求,根据预设的映射关系,将其适配转换 为目标M2M终端或M2M网关所支持的设备管理命令,并将所访问的管理对象资源数据适配转换为 对应设备管理命令所要操作的管理对象信息,然后将适配转换后的设备管理命令下发到目标M2M终 端或M2M网关,最后将从目标M2M终端或M2M网关接收到管理执行结果返回给M2M应用。
根据M2M应用和M2M设备用户需求创建相关的群组,通过统一接口管理群组。群组还可包括 子群组,子群组可由M2M应用或者M2M业务平台创建;根据M2M应用和M2M设备用户需求对群 组进行管理,对群组成员批量访问包括创建、查询、更新和删除;根据M2M应用需求对群组成员资源 批量访问请求(如批量获取传感数据、控制设备等)。群组管理模块还需负责避免群组成员的重复、循环 访问。为了避免拥塞,每个群组分配一定的流量,控制群组流量,根据用户签约信息在M2M业务平台 配置流量策略,在群组创建或更新的过程中限制群组成员规模。
M2M业务平台的资源管理功能主要是通过对不同类型的业务资源进行创建、获取、更新以及删除 等操作来实现M2M业务平台对外提供的功能,业务资源可包括终端设备资源、数据资源、网络资源、群 组资源和用户资源等,例如:通过对群组资源进行创建、获取、更新以及删除等操作,可以实现M2M业 务平台提供的群组管理功能。同时还应支持为资源提供统一描述及建模方法,能够支持各种异构设备 及服务资源的互发现及共享调用。除了管理各种类型的业务资源以外,资源管理还应包括对集合资源 的管理,集合资源用于存放一系列的同一类型的业务资源,如终端设备集合资源、群组集合资源等。对 集合资源的管理可以实现业务资源的分类存储和共享调用。业务资源存储在M2M业务平台、M2M网 关或M2M终端设备中,开放给M2M应用共享调用。资源管理向M2M应用开放API接口,用HTTP 或CoAP等协议承载对资源的操作
M2M应用在M2M业务平台中注册以便于其他M2M应用或M2M设备用户通过M2M业务平台
业务注册流程详细说明如下: 1)应用服务器向M2M业务平台提出注册请求并同时提交对终端的身份及能力要求; 2)响应应用服务器的业务注册请求,并获取业务对终端的身份及能力要求; 3)根据业务提取所授权终端信息并上传至相应的应用服务器; 应用服务器接收经M2M业务平台的终端业务访问请求并做出响应,应用服务器可直接传送 业务至终端。 终端注册流程如图3所示,
终端注册流程详细说明如下。 1)业务注册后,M2M终端提交终端注册请求。 2)M2M业务平台响应终端注册请求。 3)终端向M2M业务平台提交注册信息。 4)终端首次登录并发送接入认证请求。 终端登录并通过M2M业务平台下发的数字证书等接人认证上传终端能力信息,M2M业务平 台获取终端组中各终端的身份信息和能力信息并可通过将各终端的能力信息与业务对终端的 能力要求进行比对等方式建立指示终端及其能够访问的业务之间的映射关系的终端业务映射 表,该表根据业务可同时进行更新,同时对变更的终端重新进行业务授权。 所授权的终端信息上传至相应的应用服务器。 . M2M业务平台通知终端所获得的授权信息。 8) 终端向M2M业务平台提交业务访问请求。 9) M2M业务平台根据终端业务映射表判断终端是否具有访问权限,如果有,则将业务访问请求 发送给相应的应用服务器,为终端提供服务;如果没有,则阻止终端的访问。 M2M业务平台将拥有业务访问权限的终端的身份信息,或者身份和能力信息上传至相应的 应用服务器。 10)应用服务器直接发送业务请求响应至终端
8.2M2M应用标识符
8.3M2M应用实体标识符
8.4M2M业务提供商标识
8.5M2M业务签约标识符
GB/T 50308-2017标准下载8.6M2M节点标识符
8.7M2M业务标识符
在M2M终端/M2M网关和M2M业务提供者之间进行双向认证和密钥协商时使用Kmr。在
GB/Z413842022
9.1.2M2M连接密钥Km
在成功的双向认证后从Kmr派生出Kmc。在派生过程中,Kmc应从M2M认证服务器中得到(和 Kmr应在同一安全环境中)并传递给M2M业务平台(在M2M业务平台保存在本地的安全环境域中)。 在相关的M2M业务连接终止后,Kmc将期满。Kmc的生命周期应小于或等于Kmr。对于每个新的 M2M业务连接都将产生不同的Kmc。在M2M业务平台和M2M终端/M2M网关之间建立安全应用 数据会话过程中使用Kmc作为对称共享密钥。在建立安全关联中从Kmc派生的密钥可以用在mId 接口上进行安全数据传输。使用Kmc建立的安全传输会话总是终结在M2M业务平台和M2M终端/ M2M网关上空心砖砌体工程施工工艺,
安全环境域和逻辑实体是安全隔离的,可能是在不同的安全环境中或者在同一个安全环境中。敏 感功能(包括存储和处理信用和密钥等敏感数据)应在安全环境域中被保护,该安全环境域由它的所有 者控制。拥有M2M业务平台和M2M终端/M2M网关的业务提供者应控制他自已的安全环境域。 M2M应用的提供者可控制M2M终端/M2M网关上的独立的安全环境域。 M2M终端/M2M网关可包括一个由其他所有者(如接入网络运营商,例如3GPPUICC上的 USIM)拥有的安全环境域,如果所有者之间有相关的协议,那么在这种安全环境中存储的信用可被 使用。
M2M系统的安全架构如图4所示。其中M2M业务平台中的安全能力通过Em接口与M2 /M2M网关中的安全能力进行安全交互