标准规范下载简介:
内容预览由机器从pdf转换为word,准确率92%以上,供参考
GB/Z 41384-2022 M2M业务平台技术要求.pdf立能力,也可通过M2M业务平台直接向该M2M终端查询终端位置信息。为保证用户位置 言息的隐私,M2M业务平台在收到M2M应用的访问请求后需要进行隐私保护;根据M2M 设备用户的配置,也可采用M2M终端及M2M网关进行隐私保护,确认能否访问M2M终端 及M2M网关自身的位置信息。
M2M业务平台需要维护设备管理对象资源数据与远程M2M终端或M2M网关中的管理对象信 息的映射关系,以及资源访问请求与各种具体设备管理协议中的管理命令之间的映射关系。M2M业 务平台接收M2M应用发来的针对设备管理对象资源的访问请求,根据预设的映射关系,将其适配转换 为目标M2M终端或M2M网关所支持的设备管理命令,并将所访问的管理对象资源数据适配转换为 对应设备管理命令所要操作的管理对象信息,然后将适配转换后的设备管理命令下发到目标M2M终 端或M2M网关,最后将从目标M2M终端或M2M网关接收到管理执行结果返回给M2M应用。
根据M2M应用和M2M设备用户需求创建相关的群组,通过统一接口管理群组。群组还可包括 子群组,子群组可由M2M应用或者M2M业务平台创建;根据M2M应用和M2M设备用户需求对群 组进行管理,对群组成员批量访问包括创建、查询、更新和删除;根据M2M应用需求对群组成员资源 批量访问请求(如批量获取传感数据、控制设备等)。群组管理模块还需负责避免群组成员的重复、循环 访问。为了避免拥塞,每个群组分配一定的流量,控制群组流量,根据用户签约信息在M2M业务平台 配置流量策略,在群组创建或更新的过程中限制群组成员规模。
M2M业务平台的资源管理功能主要是通过对不同类型的业务资源进行创建、获取、更新以及删除 等操作来实现M2M业务平台对外提供的功能,业务资源可包括终端设备资源、数据资源、网络资源、群 组资源和用户资源等,例如:通过对群组资源进行创建、获取、更新以及删除等操作,可以实现M2M业 务平台提供的群组管理功能。同时还应支持为资源提供统一描述及建模方法,能够支持各种异构设备 及服务资源的互发现及共享调用。除了管理各种类型的业务资源以外QXHT 0001S-2015 广西小海屯食品有限公司 咸蛋制品 ,资源管理还应包括对集合资源 的管理,集合资源用于存放一系列的同一类型的业务资源,如终端设备集合资源、群组集合资源等。对 集合资源的管理可以实现业务资源的分类存储和共享调用。业务资源存储在M2M业务平台、M2M网 关或M2M终端设备中,开放给M2M应用共享调用。资源管理向M2M应用开放API接口,用HTTP 或CoAP等协议承载对资源的操作
M2M应用在M2M业务平台中注册以便于其他M2M应用或M2M设备用户通过M2M业务平台
业务注册流程详细说明如下: 1)应用服务器向M2M业务平台提出注册请求并同时提交对终端的身份及能力要求; 2)响应应用服务器的业务注册请求,并获取业务对终端的身份及能力要求; 3)根据业务提取所授权终端信息并上传至相应的应用服务器; 应用服务器接收经M2M业务平台的终端业务访问请求并做出响应,应用服务器可直接传送 业务至终端。 终端注册流程如图3所示,
终端注册流程详细说明如下。 1)业务注册后,M2M终端提交终端注册请求。 2)M2M业务平台响应终端注册请求。 3)终端向M2M业务平台提交注册信息。 4)终端首次登录并发送接入认证请求。 终端登录并通过M2M业务平台下发的数字证书等接人认证上传终端能力信息,M2M业务平 台获取终端组中各终端的身份信息和能力信息并可通过将各终端的能力信息与业务对终端的 能力要求进行比对等方式建立指示终端及其能够访问的业务之间的映射关系的终端业务映射 表,该表根据业务可同时进行更新,同时对变更的终端重新进行业务授权。 所授权的终端信息上传至相应的应用服务器。 . M2M业务平台通知终端所获得的授权信息。 8) 终端向M2M业务平台提交业务访问请求。 9) M2M业务平台根据终端业务映射表判断终端是否具有访问权限,如果有,则将业务访问请求 发送给相应的应用服务器,为终端提供服务;如果没有,则阻止终端的访问。 M2M业务平台将拥有业务访问权限的终端的身份信息,或者身份和能力信息上传至相应的 应用服务器。 10)应用服务器直接发送业务请求响应至终端
8.2M2M应用标识符
8.3M2M应用实体标识符
8.4M2M业务提供商标识
8.5M2M业务签约标识符
8.6M2M节点标识符
8.7M2M业务标识符
在M2M终端/M2M网关和M2M业务提供者之间进行双向认证和密钥协商时使用Kmr。在
GB/Z413842022
9.1.2M2M连接密钥Km
在成功的双向认证后从Kmr派生出Kmc。在派生过程中,Kmc应从M2M认证服务器中得到(和 Kmr应在同一安全环境中)并传递给M2M业务平台(在M2M业务平台保存在本地的安全环境域中)。 在相关的M2M业务连接终止后,Kmc将期满。Kmc的生命周期应小于或等于Kmr。对于每个新的 M2M业务连接都将产生不同的Kmc。在M2M业务平台和M2M终端/M2M网关之间建立安全应用 数据会话过程中使用Kmc作为对称共享密钥。在建立安全关联中从Kmc派生的密钥可以用在mId 接口上进行安全数据传输。使用Kmc建立的安全传输会话总是终结在M2M业务平台和M2M终端/ M2M网关上,
安全环境域和逻辑实体是安全隔离的,可能是在不同的安全环境中或者在同一个安全环境中。敏 感功能(包括存储和处理信用和密钥等敏感数据)应在安全环境域中被保护,该安全环境域由它的所有 者控制。拥有M2M业务平台和M2M终端/M2M网关的业务提供者应控制他自已的安全环境域。 M2M应用的提供者可控制M2M终端/M2M网关上的独立的安全环境域。 M2M终端/M2M网关可包括一个由其他所有者(如接入网络运营商,例如3GPPUICC上的 USIM)拥有的安全环境域,如果所有者之间有相关的协议,那么在这种安全环境中存储的信用可被 使用。
M2M系统的安全架构如图4所示。其中M2M业务平台中的安全能力通过Em接口与M2 /M2M网关中的安全能力进行安全交互
图4M2M业务平台的安全功能
M2M业务平台负责执行和M2M终端/M2M网关设备的双向认证功能,并负责派生用来和M2M /M2M网关建立安全传输会话的密钥。M2M业务平台可从M2M认证服务器得到M2M连接密 Kmc)。 在M2M业务连接过程中,M2M业务平台需要完成以下功能。 和M2M终端/M2M网关之间执行M2M业务连接过程,在该过程中应能够提供双向认证过 程和M2M连接密钥(Kmc)的协商过程。在双向认证过程中,在自启动过程中得到的或者是 预配置的M2M根密钥可作为M2M终端/M2M网关和M2M认证服务器之间的永久共享 密钥。 根据M2M认证服务器定义的策略,M2M业务平台负责控制M2M终端/M2M网关接人 M2M业务平台。 负责和M2M认证服务器进行交互,得到双向认证和密钥协商所需要的信息。 一建立Em接口上的安全传输数据会话。 对于M2M终端/M2M网关完整性验证功能,M2M业务平台应支持以下功能。 确认M2M终端/M2M网关是否支持完整性验证。 如果M2M终端/M2M网关支持完整性验证功能,M2M业务平台根据完整性验证状态和相关 的安全策略进行完整性验证,然后根据策略触发后续的动作: 接入控制(全部、部分或者不能接人); 升级、修补或者回退M2M终端/M2M网关中的固件或者软件。 使用预配置的密钥对策略信息相关的完整性验证进行签名。
具体流程如图5所示。
GB/Z41384—2022
5)M2M业务平台中的业务功能模块将响应发送至M2M应用以及M2M业务平台中的计费 模块; 6) 计费模块记录确认访问成功时,应确定并记录与访问响应相关的计费数据,计费数据可包括时 间戳、检索资源结果、时长、流量等; 7)“计费模块将计费数据传送到计费服务器,进行批价并生成计费账单; 7a1)计费模块将访问请求和访问响应相关的计费数据发送到计费服务器,计费数据中还应包 括消息序列号、结束符等信息用于区别不同的计费数据; 7a2)计费服务器返回响应,说明已成功发送。
5)M2M业务平台中的业务功能模块将响应发送至M2M应用以及M2M业务平台中的计费 模块; 计费模块记录确认访问成功时,应确定并记录与访问响应相关的计费数据,计费数据可包括时 间戳、检索资源结果、时长、流量等; 7)计费模块将计费数据传送到计费服务器,进行批价并生成计费账单; 7a1)计费模块将访问请求和访问响应相关的计费数据发送到计费服务器,计费数据中还应包 括消息序列号、结束符等信息用于区别不同的计费数据; 7a2)计费服务器返回响应.说明已成功发送,
M2M业务平台应能够提供面向网络管理系统的北向接口,以配合完成对设备的配置管理、性 、故障管理和安全管理等功能,
12M2M业务平台能力实现
12.1数据存储与转发
图6M2M业务平台转发流程
如图6所示,其中M2M网关1是终端外设在改变其服务网关之后为其服务的M2M网关,M2M 关2是终端外设在改变其服务网关之前为其服务的M2M网关。M2M网关2中保存有终端外设对 的数据,M2M网关1和M2M网关2都在M2M业务平台注册。M2M业务平台转发流程具体可 括: 1) 终端外设确定需要将其服务网关从M2M网关2改变为M2M网关1,获取终端外设对应的数 据在M2M网关2中的位置信息,如终端外设对应的数据在M2M网关2中的存储路径 或URI; 2)终端外设向M2M网关1注册; 3)在第2步中注册成功的情况下,终端外设向M2M网关1发送转移数据请求,请求中包含终端 外设迁移标识和终端外设对应的数据在M2M网关2中的位置信息,迁移标识用于指示终端 外设需要改变其服务网关业务能力层; 4) M2M网关1向M2M业务平台发送读取数据请求,请求中包括终端外设对应的数据在M2M 网关2中的位置信息; 5)M2M业务平台确定所需数据存储在M2M网关2,向M2M网关2转发数据读取请求; 6) M2M网关2根据位置信息读取相应的终端外设数据,并发送给M2M业务平台; 7)1 M2M业务平台向M2M网关1发送读取数据响应,响应中包含M2M网关2根据位置信息返 回的终端外设数据; 8) M2M网关1存储M2M业务平台返回的终端外设数据,并向终端外设发送数据转移成功的指 示信息,指示已将M2M网关2中终端外设对应的数据转移到M2M网关1。 M2M业务平台的数据分流功能具体包括: 针对转发且需要管理数据和业务数据实现分流管理的数据,可通过为M2M业务平台的终端侧接 与应用侧接口建立承载链路,对经承载链路进入M2M业务平台的数据流进行区分并标识,根据数据 的不同标识进行相应的转发。对经承载链路进人M2M业务平台的数据流中,由应用侧的应用服务 与终端侧的终端在应用服务业务的执行过程中生成的各种上行和下行的数据流标识为业务数据流, 封装相应的业务数据流对应的接口地址信息;其他的M2M业务平台的管理配置、故障报告、业务及
对应的M2M业务平台上 管理控制模块的地址信息。根据业务数据流的标识及相应的业务数据流对应的接口地址信息,将业务 数据流发送至应用侧接口或终端侧接口;根据管理控制数据流的标识及相应的管理控制数据流对应的
M2M业务平台具备对感知延伸层终端、网关以及终端外设的管理能力。设备管理功能包括: a)支持对M2M终端外设/终端/网关的远程配置管理、故障管理、性能管理、软件/固件升级; b)支持对M2M终端外设/终端/网关的远程唤醒触发及配置引导; C) 维护M2M终端外设/终端/网关的管理对象信息与管理对象资源数据间的映射关系; d)将各种设备管理命令功能适配为统一的资源访间API提供给M2M应用; e)维护平台与M2M终端外设/终端/网关之间的设备管理会话。 M2M业务平台需要维护设备管理对象资源数据与远程M2M终端或网关中的管理对象信息的映 射关系,以及资源访问请求与各种具体设备管理协议中的管理命令之间的映射关系。M2M业务平台 接收M2M应用发来的针对设备管理对象资源的访问请求,根据预设的映射关系,将其适配转换为目标 M2M终端或网关所支持的设备管理命令,并将所访问的管理对象资源数据适配转换为对应设备管理 命令所要操作的管理对象信息,然后将适配转换后的设备管理命令下发到目标终端或网关,最后将从目 标终端或网关接收到的管理执行结果返回给M2M应用。 M2M业务平台采用各种具体设备管理协议下发设备管理命令给M2M终端外设/终端/网关,进行 配置管理、故障管理、性能管理、软件/固件升级等操作。M2M业务平台下发设备管理命令给M2M网 关,设备管理命令中的设备范围信息可转换为目标M2M终端或终端外设所支持的具体设备管理命令, 使M2M网关附属的一组M2M终端或M2M终端外设(如zigbee节点)同时或各自独立地完成设备管 理。M2M业务平台还可通过M2M网关对M2M终端外设进行网络管理(如网络拓扑)。 M2M业务平台设备管理流程如图7所示,具体如下。 1)M2M终端外设、终端、网关在M2M业务平台注册,获取M2M终端外设、终端、网关的管理对 象信息,建立其与设备管理对象资源数据的映射关系,以及资源访问请求与各种具体设备管理 协议中的管理命令之间的映射关系。 2) 接收M2M应用对设备管理对象资源数据的访问请求,提供M2M应用URI和设备管理对象 的URI,根据M2M应用URI和访问请求类型进行相应的设备管理的访问权限检查。 3) 根据预先设定的映射关系,将接收到的对设备管理对象资源数据的访问请求转换为对应的设 备管理命令,并确定与被访问的管理对象资源数据URI对应的管理对象信息。 4 建立设备管理会话,将设备管理命令发送到相应的M2M终端外设、终端、网关,操作和管理对 应设备中的管理对象信息。 5)接收设备管理结果,并将设备管理结果映射为相应的资源访间响应,返回给M2M应用
图8群组操作的实现流程
群组操作的实现流程详细说明如下: 1)M2M业务平台/网关接收M2M应用或M2M设备对群组资源的操作请求,包括创建群组 取群组、更新群组和删除群组
2)调用群组管理功能进行本地处理; 3)发送响应消息给M2M应用或M2M设备。 群组管理功能支持对群组成员的批量访间,群组成员操作如图9所示,具体如下。 根据M2M应用或设备用户需求,请求发起者(M2M应用或设备)发起对成员的访问请求(创 建、查询、更新、删除命令),提供一个现有的群组中成员内容的URI参数,其中包含请求发起 者URI、群组URI。这样M2M群组管理功能就会在群组的成员中批量访问。 2)群组所在实体的群组管理功能会接收、解析和处理该访问请求。首先,根据获取的请求发起者 URI和访问请求类型去检查请求发起者对群组的权限。其次,获取该访问请求中的参数并验 证参数是合法的。然后继续进行业务处理。在成功完成验证后,群组所在实体的群组管理功 能根据群组URI获取群组信息,从而获得成员列表参数及其所有成员的URI,并将访问请求 分发给各个成员。在根据该群组成员URI判断出包含子群组时,群组所在实体的群组管理模 块接收群组成员批量访问请求后还可以生成请求标识,随成员访问请求发放给成员所在实体 并存储下来。如果成员所在实体的群组管理模块判断后续收到带有相同的请求标识的成员访 问请求就忽略收到的访问请求。群组所在实体的群组管理功能还可以在接收群组成员批量访 问请求后,根据从群组获取的群组成员URI信息确定群组中一系列位于同一M2M网关或者 同一终端的成员并由此创建子群组(参考群组创建流程),在分发批量访问请求时群组所在实 体可以发送一次接人请求去访问该子群组进而访问子群组中的成员(参考步骤1)。 3)群组所在实体的群组管理功能将批量访问请求分发给各个成员。 成员所在实体的群组管理功能处理针对成员的访问请求。首先,检查访问请求中是否携带请 求标识并与本地存储的请求标识进行比较,如果匹配则忽略当前的访问请求,如果不匹配则在 本地存储访问请求中的请求标识并继续进行验证和业务处理。 5)成员所在实体的群组管理功能将响应返回给群组业务能力层。 6)群组所在实体的群组管理功能把所有成员的响应汇聚为一条响应。 7)将这个响应返回给请求发起者
图9群组成员操作的实现流程
群组管理功能支持群组成员的批量操作失败时的处理,消息交互流程如图10所示,具体如下。 1)请求发起者(M2M应用或设备)向群组业务能力层发起对成员资源的操作请求消息L参考群 组成员操作流程步骤1)]。 2) 群组业务能力层将操作请求消息分发给各个成员资源[参考群组成员操作流程步骤2)、3]。 3) 成员资源执行操作请求消息所请求的操作,向群组业务能力层返回操作请求的响应消息,响应 消息表示操作执行成功或失败的结果[参考群组成员操作流程步骤4)、5)、6)]。 4)对于成员资源返回的操作执行失败响应,群组业务能力层根据响应消息生成并在本地保存成 员资源列表和操作请求消息的记录标识,其中成员资源列表记录对请求的操作执行失败的成 员资源,记录标识记录本次成员资源的操作请求。 5) 群组业务能力层向请求发起者发送群组成员操作请求响应[参考群组成员操作流程步骤7)]。 6)1 请求发起者向群组业务能力层重新发送操作请求,重新发送的操作请求包含请求消息的记录 标识。 7)群组业务能力层根据成员资源列表和操作请求消息的记录标识,向成员资源列表中记录的成 员资源分发请求发起者重新发送的操作请求。 8) 成员资源执行操作请求所请求的操作,向群组业务能力层返回操作请求的响应消息,响应消息 表示操作执行成功或失败的结果。 9) 群组业务能力层根据响应消息维护成员资源属性,成员资源属性包括成员资源列表和操作请
求消息的记录标识。 10群组业务能力层向
10)群组业务能力层向请求发起者返回群组成员批量操作请求响应。
GB/Z41384—2022
群组成员操作失败的处
资源管理通过对相关资源的管理实现数据存储与转发、设备管理、群组管理和访问控制功能,提供 资源访问请求和响应的流程用于实现上述M2M业务平台功能,其中包括创建资源、获取资源、更新资 源、删除资源,
GB/Z413842022
根据M2M应用或设备用户需求,请求发起者(M2M应用或设备)发起创建命令,其中提供请求发 起者URI、集合资源URI等参数。业务能力层接收该访问请求。首先,根据集合资源URI这个目的资 原标识判断该资源是否指向本地,如果指向本地继续处理,否则会将这个创建请求转发给相关的业务能 力层处理并在接收相应的响应后转发给请求发起者。其次,根据获取的请求发起者URI和访问请求类 型去检查请求发起者对集合资源的创建权限。然后,获取该访问请求中的参数并验证参数是合法的。 在成功完成验证后,将在该集合资源中创建新的资源。业务能力层会给请求发起者返回响应,响应中携 带新建的资源URI
根据M2M应用或设备用户需求,请求发起者(M2M应用或设备)发起查询命令,其中提供请求发 起者URI、目的资源URI参数。首先,业务能力层会根据目的资源URI这个目的资源标识判断该资源 是否指向本地,如果指向本地继续处理,否则会将这个获取请求转发给相关的业务能力层处理并在接收 相应的响应后转发给请求发起者。其次,业务能力层根据获取的请求发起者URI和访问请求类型去检 查请求发起者对目的资源的读权限,然后继续进行业务处理。在成功完成验证后,将在响应中携带目的 资源返回给请求发起者。资源管理应 合查询的功能
根据M2M应用或设备用户需求,请求发起者(M2M应用或设备)发起更新命令,其中提供请求发 起者URI、目的资源URI以及新的资源参数。首先,业务能力层会根据目的资源URI这个目的资源标 识判断该资源是否指向本地QFGC 0001S-2015 凤庆古村茶厂 辣木叶茶(代用茶),如果指向本地继续处理,否则会将这个更新请求转发给相关的业务能力层 处理并在接收相应的响应后转发给请求发起者。其次,业务能力层根据获取的请求发起者URI和访问 请求类型去检查请求发起者对目的资源的写权限。然后,获取该访问请求中的参数并验证参数是合法 的。在成功完成验证后,将更新资源。业务能力层会给请求发起者返回响应。
根据M2M应用或设备用户需求,请求发起者(M2M应用或设备)发起删除命令,其中提供请求发 起者URI、目的资源URI参数。首先,业务能力层会根据目的资源URI这个目的资源标识判断该资源 是否指向本地,如果指向本地继续处理,否则会将这个删除请求转发给相关的业务能力层处理并在接收 相应的响应后转发给请求发起者。其次,业务能力层管理功能根据获取的请求发起者URI和访问请求 类型去检查请求发起者对资源的删除权限,然后继续进行业务处理。在成功完成验证后,将删除资源。 业务能力层会给请求发起者返回响应。
3.1M2M业务平台与M2M应用接口技术要求
M2M业务平台与M2M应用接口应支持可由业务平台提供商提供,也可由业务 平台提供 使用用户协商提供。 M2M业务平台与M2M应用之间的接口要求及实现方式按照YD/T2398一2012及ETS 690V1.1.11的规定,针对M2M业务平台与M2M应用之间的接口还提供以下功能。 a 共性能力支撑:M2M业务平台应为M2M应用提供一些共性的能力和支撑,并提供 的接口。通过业务平台进行多个终端协同业务下载而实现的数据处理以及直接为用
使用用户协商提供。 M2M业务平台与M2M应用之间的接口要求及实现方式按照YD/T2398—2012及ETSITS102 690V1.1.11的规定,针对M2M业务平台与M2M应用之间的接口还提供以下功能。 a 共性能力支撑:M2M业务平台应为M2M应用提供一些共性的能力和支撑,并提供统一开放 的接口。通过业务平台进行多个终端协同业务下载而实现的数据处理以及直接为用户提供的
AQ/T 3033-2022 化工建设项目安全设计管理导则M2M业务平台与M2M终端业务层接口技术要