--- title: Part 2-1 10.4 設備授權存取介面要求事項 tags: 5G 智慧杆系統技術規範 image: --- # 10.4 設備授權存取介面要求事項 ## 10.4.1 存取介面 組態伺服器及應用伺服器雙方皆應提供 HTTPS 伺服器端及 HTTPS 客戶端功能。設備授權存取介面之執行過程包含 2 步驟，如圖 8 所示: * (1) 執行設備授權時，應用伺服器為 HTTPS 伺服器端，組態伺服器為 HTTPS 客戶端。組態伺服器應向應用伺服器發送 HTTPS 請求,請求封包內包含設備授權申請資訊。 * (2) 應用伺服器應依申請內容進行評估，完成評估後，應發送設備授權確認至組態伺服器。發送時組態伺服器為 HTTPS 伺服器端，應用伺服器為 HTTPS 客戶端。應用伺服器應向組態伺服器發送 HTTPS 請求，請求封包內包含設備授權確認資訊。  組態伺服器之設備授權存取介面應支援 IPv6 及 IPv4，IP 位址應使用網際網路公開位址。存取介面之 URI 應與設備授權申請資訊封包內容一致 (參照 B.1)，域名應使用經公開域名管理機構登錄之完整域名 (FQDN)。 **備考:** 若需變更設備授權存取介面 URI，則應重新發送設備授權申請，不宜使用狀態碼 ==**308**== ( **permanent redirect** ) 導向。 ## 10.4.2 發送設備授權申請 組態伺服器發送設備授權申請之 HTTPS 請求時，應依 6.3.2 及以下規定處理: * (a) 方法應為 **POST**。 * (b) URI 應符合設備登錄請求封包之 **authorizer** 參數內容 (參照 A.3)。 * (c) 應包含 **Authorization** 標頭欄位，型式應為 **Bearer**，鑑別資訊應使用設備登錄請求封包之 **credAuthReq** 參數內容。 * (d) 請求主體應包含 JSON 物件,內容格式應參照 B.1,編碼格式應依 6.2 規定。 **備考:** 組態伺服器可選項的指定防火牆管理政策，包含可設定之防火牆規則數量上限，以及是否允許設定 IPsec[10]。 ## 10.4.3 接收設備授權申請之回應 組態伺服器發送 HTTPS 請求後，應等候應用伺服器發送回應。處理回應時,應依 6.3.3 及以下規定執行: * (a) 若回應狀態碼為 308 ( **permanent redirect** )，則應依 **Location** 標頭欄位指示，更新應用伺服器之設備授權存取介面 URI，並向更新後之 URI 重新發送請求。 * (b) 除回應狀態碼 ==**308**== 及 6.3.3 列舉之回應狀態碼外，其他狀態碼皆不做任何處理，物聯網設備之防火牆規則應維持不變。 ## 10.4.4 接收設備授權確認 組態伺服器於發送設備授權申請後，應準備接收應用伺服器發送之設備授權確認 HTTPS 請求。 接收 HTTPS 請求時,應依 6.3.1 及以下規定處理: * (a) 若請求方法不為 **POST**，則應回應狀態碼 ==**405**== ( **method not allowed** )。 * (b) 請求標頭應包含 **Authorization** 欄位，型式應為 **Bearer**，格式應符合 IETF/REF 7519。鑑別資訊應包含有效之數位簽章， **exp** 欄位內容應在有效期限內，**iss** 欄位內容應符合上述 HTTPS 伺服器端URI，**jti** 欄位內容應與請求主體之 **id** 參數一致。若不符以上規定,則應回應狀態碼 ==**401**== ( **unauthorized** )。 * (c) 請求主體應包含 JSON 物件，內容格式應參照 B.4，編碼格式應依 6.2 規定。若不符合上述規定，則應回應狀態碼 ==**400**== ( **bad request** )。 * (d) 請求主體之 **id** 應包含有效物聯網設備識別符，該物聯網設備應已完成設備登錄且尚未完成設備授權。若不符合以上規定，則應回應狀態碼 ==**409**== ( **Conflict** )。 * (e) 若未發生上述錯誤狀況，則回應狀態碼 ==**202**== ( **accepted** )，並進行設備授權後續處理。 ## 10.4.5 後續處理 組態伺服器進行設備授權後續處理時，應依以下規定執行: * (a) 若設備授權結果為 **DENY** (拒絕)，則應拒絕此物聯網設備發出之設備登錄及狀態回報請求，與此物聯網設備相關之防火牆規則應視為失效。後續管理方式依實作而定 (例: 取消該設備接入區域網路之權限、將該設備識別符列入黑名單或拆除該設備)。 * (b) 若設備授權結果為 **GRANT** (允許)，則應檢視設備授權確認封包之防火牆規則，並調整此物聯網設備所在智慧杆迴路之入向及出向規則。 **備考:** 變更防火牆設定時，可使用人工或自動方式處理。系統或操作人員宜保留相關紀錄。