CN104811465B

CN104811465B - 一种访问控制的决策方法和设备

Info

Publication number: CN104811465B
Application number: CN201410040081.8A
Authority: CN
Inventors: 周巍; 徐晖
Original assignee: China Academy of Telecommunications Technology CATT
Current assignee: China Academy of Telecommunications Technology CATT
Priority date: 2014-01-27
Filing date: 2014-01-27
Publication date: 2018-06-01
Anticipated expiration: 2034-01-27
Also published as: CN104811465A

Abstract

本发明公开了一种访问控制的决策方法和设备，以满足oneM2M系统中对访问控制的需求的问题。方法包括：PDP接收PEP发送的第一请求，根据该第一请求携带的与用户设备的资源访问相关的信息生成第二请求，该第二请求用于请求PAP为用户设备所访问的资源确定出资源访问控制方案，并将该第二请求发送给PAP；PDP接收PAP返回的资源访问控制方案，根据该资源访问控制方案中携带的各策略，分别对第一请求进行评估；以及，PDP根据资源访问控制方案中携带的逻辑运算关系，对得到的评估结果进行运算，生成访问控制结果并发送给PEP。

Description

一种访问控制的决策方法和设备

技术领域

本发明涉及通信技术领域，特别涉及一种访问控制的决策方法和设备。

背景技术

物联网国际标准化组织（oneM2M；Machine to Machine，机器到机器）是针对物联网设备与系统互连的标准，其关注的标准化工作是针对服务层的设备互连协议。oneM2M定义了4种基本类型的节点，分别为应用专用节点（Application Dedicated Node）、应用服务节点（Application Service Node）、中间节点（Middle Node）、以及基础结构节点（Infrastructure Node）。

应用专用节点不具备服务功能，例如智能电表；应用服务节点具备服务功能，可向其他类型的节点提供某种服务功能，例如设备和数据管理，应用服务节点可位于物联网中的各设备中；中间节点用于提供数据中转服务，例如物联网中的各种网关；基础结构节点是oneM2M的服务平台，其他各种类型的节点直接或间接地与基础结构节点相连接，从而到达设备互连的目的。

各种oneM2M节点对访问控制的需求和复杂程度，会随着具体应用的不同而不同。根据目前的分析，访问控制列表（Access Control List，ACL），基于角色的访问控制（RoleBased Access Control，RBAC）和基于属性的访问控制（Attribute Based AccessControl，ABAC）将是oneM2M访问控制机制的候选方案。

访问控制列表（ACL）的基本原理是：每个访问控制对象（protected object），即资源，都有一个ACL与之相关联，该ACL中列举了所有有权访问该资源的用户及该用户所拥有的权限。基于角色的访问控制（RBAC）的基本原理是：访问控制权限赋予依据工作职责而设立的角色，用户根据自身工作职责而被赋予相应的角色，进而获得相应的权限。基于属性的访问控制（ABAC）的基本原理是：根据用户的属性，资源的属性，动态变化的环境变量以及使用这些属性的访问控制规则，决定是否同意访问控制请求。

一个oneM2M系统中，可能会有千千万万的设备连入该系统中，在这些设备中，对于有些设备来说，ACL可能是最合适的访问控制机制；对于有些设备来说，RBAC或ABAC可能是最适合的访问控制机制；对于有些设备来说，可能需要将几种访问控制机制结合起来使用才能达到满意的效果，例如将ACL、RBAC和ABAC结合起来使用。

综上所述，oneM2M系统所涉及的访问控制极其复杂，因此，oneM2M系统需要支持多种访问控制机制，以应对不同的访问控制需求。并且，oneM2M系统还应该支持将多种访问控制策略进行动态组合的能力，以获得最终的访问控制策略。然而，目前，如何将多种访问控制策略结合起来，以满足oneM2M系统中对访问控制的需求，尚未有解决方案。

发明内容

本发明实施例提供了一种访问控制的决策方法和设备，用于解决如何将多种访问控制策略结合起来，以满足oneM2M系统中对访问控制的需求的问题。

本发明实施例提供了一种访问控制的决策方法，该方法包括：

PDP接收PEP发送的第一请求，根据所述第一请求携带的与用户设备的资源访问相关的信息生成第二请求，所述第二请求用于请求PAP为所述用户设备所访问的资源确定出资源访问控制方案，并将所述第二请求发送给所述PAP；

所述PDP接收所述PAP返回的资源访问控制方案，根据所述资源访问控制方案中携带的各策略，分别对所述第一请求进行评估；

所述PDP根据所述资源访问控制方案中携带的逻辑运算关系，对得到的评估结果进行运算，生成访问控制结果并发送给所述PEP。

本发明实施例中，PDP接收PEP发送的第一请求，根据该第一请求携带的与用户设备的资源访问相关的信息生成第二请求，并将该第二请求发送给PAP；PDP接收PAP返回的资源访问控制方案，对该资源访问控制方案中携带的各策略进行评估，并根据评估结果，得到相应的访问控制结果；PDP将访问控制结果发送给PEP，从而满足了oneM2M系统中对各种访问控制的需求。

本发明实施例中，所述第一请求包含以下信息中的至少一种：

所述用户设备的标识、所述用户设备所访问的资源的标识、所述用户设备对所述资源执行的操作、以及与本次资源访问相关的上下文。

本发明实施例中，所述第二请求包含以下信息中的至少一种：

所述用户设备的标识、所述用户设备所访问的资源的标识、以及与本次资源访问相关的上下文。

本发明实施例中，所述资源访问控制方案中包含以下信息中的至少一种：

所述PAP为所述用户设备所访问的资源确定出的各策略；

所述PAP为所述用户设备所访问的资源确定出的各策略的地址信息；

所述PAP为所述用户设备所访问的资源确定出的各策略的标识信息；

所述PAP为所述用户设备所访问的资源确定出的各策略的类型信息；

以及，所述PAP为所述用户设备所访问的资源确定出的各策略之间的逻辑运算关系；

其中，所述PAP为所述用户设备所访问的资源确定出的各策略包括：与所述用户设备所访问的资源相关的全局访问控制策略、与所述用户设备相关的全局访问控制策略、与所述用户设备所访问的资源相关的资源访问控制策略、所述第二请求中与本次资源访问相关的上下文中所携带的与本次资源访问相关的访问控制策略中的至少一种策略；其中，每个所述全局访问控制策略适用于至少一个资源的访问控制或适用于至少一种类型的用户设备对资源的访问控制，每个所述资源访问控制策略与资源一一对应，且仅适用于与该资源访问控制策略绑定的资源的访问控制。

基于上述任一实施例，所述PDP根据所述资源访问控制方案中携带的各策略，分别对所述第一请求进行评估，包括：

所述PDP根据所述资源访问控制方案中携带的各策略的类型信息，确定所述各策略对应的评估方案；

所述PDP基于所述各策略，采用所述各策略对应的评估方案，分别对所述第一请求进行评估，得到评估结果。

进一步，所述PDP根据所述资源访问控制方案中携带的各策略，分别对所述第一请求进行评估，包括：

所述PDP从策略信息点PIP中，获取与所述资源访问控制方案中携带的各策略相关的属性信息；

所述PDP根据所述资源访问控制方案中携带的各策略以及所述各策略对应的属性信息，分别对所述第一请求进行评估。

在实施中，在所述PDP接收到所述PEP发送的第一请求之前，该方法还包括：

所述PEP获取所述用户设备向自身所访问的资源所在的服务器发送的资源访问请求；以及，

所述PEP根据所述资源访问请求中携带的信息，生成所述第一请求，并将所述第一请求发送给所述PDP。

本发明实施例提供了另一种访问控制的决策方法，该方法包括：

PAP接收PDP发送的第二请求，所述第二请求用于请求所述PAP为用户设备所访问的资源确定出资源访问控制方案；

所述PAP根据所述第二请求，为所述用户设备所访问的资源确定出相应的资源访问控制方案，并将所述资源访问控制方案返回给所述PDP。

本发明实施例中，PAP接收PDP发送的第二请求，该第二请求用于请求PAP为用户设备所访问的资源确定出资源访问控制方案；PAP根据接收到的第二请求，为用户设备所访问的资源确定出相应的资源访问控制方案，并将所确定的资源访问控制方案返回给PDP，从而满足了oneM2M系统中对各种访问控制的需求。

在实施中，所述PAP根据所述第二请求，为所述用户设备所访问的资源确定出相应的资源访问控制方案，包括：

所述PAP根据所述用户设备所访问的资源的标识确定与该资源相关的全局访问控制策略，或者，所述PAP根据所述用户设备的属性信息确定与所述用户设备相关的全局访问控制策略，每个所述全局访问控制策略适用于至少一个资源的访问控制或适用于至少一种类型的用户设备对资源的访问控制；所述PAP根据所述用户设备所访问的资源的标识，确定与该资源相关的资源访问控制策略，每个所述资源访问控制策略与资源一一对应，且仅适用于与该资源访问控制策略绑定的资源的访问控制；在所述第二请求中与本次资源访问相关的上下文中携带访问控制令牌时，所述PAP在确定所述访问控制令牌为合法令牌后，从所述访问控制令牌中，获取与本次资源访问相关的访问控制策略；

所述PAP按照设定的全局访问控制方案，根据确定出的全局访问控制策略、资源访问控制策略、和/或所述访问控制令牌中携带的与本次资源访问相关的访问控制策略，生成相应的资源访问控制方案。

进一步，所述PAP根据所述用户设备所访问的资源的标识，确定与该资源相关的资源访问控制策略，包括：

若所述PAP从已存储的资源访问控制策略中，确定出不存在与所述用户设备所访问的资源相关的资源访问控制策略，则所述PAP从已存储的资源访问控制策略中，确定是否存在与所述用户设备所访问的资源的上一级资源相关的资源访问控制策略。

在实施中，所述方法还包括：

所述PAP在确定所述访问控制令牌为不合法令牌后，直接向所述PDP返回用于指示所述PDP拒绝所述用户设备的资源访问的指示信息。

本发明实施例中，所述全局访问控制方案包括以下信息中的至少一种：

指示所述PAP描述所述全局访问控制策略的应用范围的方式；

指示所述PAP描述所述访问控制令牌中携带的访问控制策略的应用范围的方式；

指示所述PAP所述全局访问控制策略、所述资源访问控制策略和所述访问控制令牌中携带的访问控制策略之间的逻辑运算关系。

所述PAP为所述用户设备所访问的资源确定出的各策略；

其中，所述PAP为所述用户设备所访问的资源确定出的各策略包括：与所述用户设备所访问的资源相关的全局访问控制策略、与所述用户设备相关的全局访问控制策略、与所述用户设备所访问的资源相关的资源访问控制策略、所述第二请求中与本次资源访问相关的上下文中所携带的与本次资源访问相关的访问控制策略中的至少一种策略；其中，每个所述全局访问控制策略适用于至少一个资源的访问控制或适用于至少一种类型的用户设备对资源的访问控制；每个所述资源访问控制策略与资源一一对应，且仅适用于与该资源访问控制策略绑定的资源的访问控制。

本发明实施例提供了一种策略决策点PDP，该PDP包括：

接收模块，用于接收策略执行点PEP发送的第一请求；以及接收策略访问点PAP返回的资源访问控制方案；

处理模块，用于根据所述第一请求携带的与用户设备的资源访问相关的信息生成第二请求，所述第二请求用于请求PAP为所述用户设备所访问的资源确定出资源访问控制方案，并将所述第二请求发送给所述PAP；

策略评估模块，用于根据所述资源访问控制方案中携带的各策略，分别对所述第一请求进行评估；

策略合并模块，用于根据所述资源访问控制方案中携带的逻辑运算关系，对得到的评估结果进行运算，生成访问控制结果并发送给所述PEP。

所述PAP为所述用户设备所访问的资源确定出的各策略；

基于上述任一实施例，所述策略评估模块具体用于：

根据所述资源访问控制方案中携带的各策略的类型信息，确定所述各策略对应的评估方案；以及，基于所述各策略，采用所述各策略对应的评估方案，分别对所述第一请求进行评估，得到评估结果。

进一步，所述策略评估模块还用于：

从策略信息点PIP中，获取与所述资源访问控制方案中携带的各策略相关的属性信息；以及，根据所述资源访问控制方案中携带的各策略以及所述各策略对应的属性信息，分别对所述第一请求进行评估。

本发明实施例还提供了另一种PDP，该PDP包括PDP API、与该PDP API连接的PDP控制器、分别与该PDP控制器连接的策略评估组件和策略合并组件，其中：

PDP API用于接收PEP发送的第一请求，并将该第一请求传输至PDP控制器；以及，接收PAP返回的资源访问控制方案，并将该资源访问控制方案传输至PDP控制器；

PDP控制器用于根据该第一请求携带的与用户设备的资源访问相关的信息生成第二请求，该第二请求用于请求PAP为用户设备所访问的资源确定出资源访问控制方案，并通过PDP API将该第二请求发送给PAP；以及，

根据PAP返回的资源访问控制方案中携带的各策略，调用策略评估组件分别对第一请求进行评估；根据所述资源访问控制方案中携带的逻辑运算关系，调用策略合并组件对策略评估组件得到的评估结果进行运算，生成访问控制结果；通过PDP API将策略合并组件生成的访问控制结果发送给PEP，以完成对用户设备的资源访问的决策。

优选的，策略合并组件的功能可以集成于PDP控制器中，即由PDP控制器完成根据资源访问控制方案中携带的逻辑运算关系，对策略评估组件得到的评估结果进行运算，生成访问控制结果。

本发明实施例中，第一请求包括以下信息中的至少一种：

用户设备的标识、用户设备所访问的资源的标识、用户设备对所访问的资源执行的操作、以及与本次资源访问相关的上下文。

本发明实施例中，第二请求包括以下信息中的至少一种：

用户设备的标识、用户设备所访问的资源的标识、以及与本次资源访问相关的上下文。

本发明实施例中，资源访问控制方案中包含以下信息中的至少一种：

PAP为用户设备所访问的资源确定出的各策略；

PAP为用户设备所访问的资源确定出的各策略的地址信息；

PAP为用户设备所访问的资源确定出的各策略的标识信息；

PAP为用户设备所访问的资源确定出的各策略的类型信息；以及，

PAP为用户设备所访问的资源确定出的各策略之间的逻辑运算关系；

其中，PAP为用户设备所访问的资源确定出的各策略包括：与所述用户设备所访问的资源相关的全局访问控制策略、与所述用户设备相关的全局访问控制策略、与所述用户设备所访问的资源相关的资源访问控制策略、所述第二请求中与本次资源访问相关的上下文中所携带的与本次资源访问相关的访问控制策略中的至少一种策略；其中，每个所述全局访问控制策略适用于至少一个资源的访问控制或适用于至少一种类型的用户设备对资源的访问控制，每个所述资源访问控制策略与资源一一对应，且仅适用于与该资源访问控制策略绑定的资源的访问控制。

在实施中，PDP控制器调用策略评估组件分别对第一请求进行评估，包括：

根据资源访问控制方案中携带的各策略的类型信息，确定各策略对应的评估方案；以及基于各策略，调用策略评估组件中对应的策略评估模块，分别对第一请求进行评估。

通过PDP API，从PIP中获取与资源访问控制方案中携带的各策略相关的属性信息；以及根据资源访问控制方案中携带的各策略以及各策略对应的属性信息，调用策略评估组件分别对第一请求进行评估。

本发明实施例提供了一种策略访问点PAP，该PAP包括：

接收模块，用于接收策略决策点PDP发送的第二请求，所述第二请求用于请求所述PAP为用户设备所访问的资源确定出资源访问控制方案；

处理模块，用于根据所述第二请求，为所述用户设备所访问的资源确定出相应的资源访问控制方案，并将所述资源访问控制方案返回给所述PDP。

在实施中，所述处理模块具体用于：

根据所述用户设备所访问的资源的标识确定与该资源相关的全局访问控制策略，或者，根据所述用户设备的属性信息确定与所述用户设备相关的全局访问控制策略，每个所述全局访问控制策略适用于至少一个资源的访问控制或适用于至少一种类型的用户设备对资源的访问控制；根据所述用户设备所访问的资源的标识，确定与该资源相关的资源访问控制策略，每个所述资源访问控制策略与资源一一对应，且仅适用于与该资源访问控制策略绑定的资源的访问控制；在所述第二请求中与本次资源访问相关的上下文中携带访问控制令牌时，在确定所述访问控制令牌为合法令牌后，从所述访问控制令牌中，获取与本次资源访问相关的访问控制策略；以及，

按照设定的全局访问控制方案，根据确定出的全局访问控制策略、资源访问控制策略、和/或所述访问控制令牌中携带的与本次资源访问相关的访问控制策略，生成相应的资源访问控制方案。

进一步，所述处理模块根据所述用户设备所访问的资源的标识，确定与该资源相关的资源访问控制策略，包括：

若从已存储的资源访问控制策略中，确定出不存在与所述用户设备所访问的资源相关的资源访问控制策略，则从已存储的资源访问控制策略中，确定是否存在与所述用户设备所访问的资源的上一级资源相关的资源访问控制策略。

在实施中，所述处理模块还用于：

在确定所述访问控制令牌为不合法令牌后，直接向所述PDP返回用于指示所述PDP拒绝所述用户设备的资源访问的指示信息。

指示所述PAP描述所述全局访问控制策略的应用范围的方式；

为所述用户设备所访问的资源确定出的各策略；

为所述用户设备所访问的资源确定出的各策略的地址信息；

为所述用户设备所访问的资源确定出的各策略的标识信息；

为所述用户设备所访问的资源确定出的各策略的类型信息；以及，

为所述用户设备所访问的资源确定出的各策略之间的逻辑运算关系；

其中，为所述用户设备所访问的资源确定出的各策略包括：与所述用户设备所访问的资源相关的全局访问控制策略、与所述用户设备相关的全局访问控制策略、与所述用户设备所访问的资源相关的资源访问控制策略、所述第二请求中与本次资源访问相关的上下文中所携带的与本次资源访问相关的访问控制策略中的至少一种策略；其中，每个所述全局访问控制策略适用于至少一个资源的访问控制或适用于至少一种类型的用户设备对资源的访问控制；每个所述资源访问控制策略与资源一一对应，且仅适用于与该资源访问控制策略绑定的资源的访问控制。

本发明实施例还提供了另一种PAP，包括PAP API、与该PAP API连接的PAP控制器，其中：

PAP API，用于接收PDP发送的第二请求，并将该第二请求传输给PAP控制器，该第二请求用于请求PAP为用户设备所访问的资源确定出资源访问控制方案；

PAP控制器，用于根据所述第二请求，为所述用户设备所访问的资源确定出相应的资源访问控制方案，并通过PAP API将所述资源访问控制方案返回给所述PDP。

本发明实施例中，第二请求包含以下信息中的至少一种：

在实施中，PAP控制器具体用于：

进一步，PAP控制器根据所述用户设备所访问的资源的标识，确定与该资源相关的资源访问控制策略，包括：

在实施中，PAP控制器还用于：

在确定所述访问控制令牌为不合法令牌后，直接通过PAP API向所述PDP返回用于指示所述PDP拒绝所述用户设备的资源访问的指示信息。

指示所述PAP描述所述全局访问控制策略的应用范围的方式；

为所述用户设备所访问的资源确定出的各策略；

为所述用户设备所访问的资源确定出的各策略的地址信息；

为所述用户设备所访问的资源确定出的各策略的标识信息；

附图说明

图1为本发明提供的PDP侧的访问控制的决策方法的示意图；

图2为本发明提供的PAP侧的访问控制的决策方法的示意图；

图3为本发明提供的访问控制的决策方法中各实体的交互过程；

图4为本发明提供的一种PDP的示意图；

图5为本发明提供的另一种PDP的示意图；

图6为本发明提供的一种PAP的示意图；

图7为本发明提供的另一种PAP的示意图；

图8为本发明提供的访问控制系统的示意图。

具体实施方式

下面结合说明书附图对本发明实施例作进一步详细描述。应当理解，此处所描述的实施例仅用于说明和解释本发明，并不用于限定本发明。

本发明实施例提供的策略决策点（Policy Decision Ponit，PDP）侧的访问控制的决策方法，参见图1所示，该方法包括以下步骤：

步骤11、PDP接收PEP发送的第一请求，根据该第一请求携带的与用户设备的资源访问相关的信息生成第二请求，该第二请求用于请求PAP为该用户设备所访问的资源确定出资源访问控制方案，并将生成的第二请求发送给PAP。

本步骤中，PEP发送的第一请求是PEP根据获取到的用户设备向该用户设备所访问的资源所在的服务器发送的资源访问请求生成的，该资源访问请求中至少包含与该用户设备的资源访问相关的信息，如用户设备的标识、该用户设备所访问的资源的标识、用户设备对该资源的操作、以及与该用户设备的本次资源访问相关的上下文（有可能包含访问控制令牌）。其中，访问控制令牌（Access Token）中携带用户设备提供的访问控制策略，该访问控制令牌中携带的访问控制策略仅适用于用户设备的本次资源访问。

步骤12、PDP接收PAP返回的资源访问控制方案，根据该资源访问控制方案中携带的各策略，分别对第一请求进行评估。

本步骤中，PAP返回的资源访问控制方案中所携带的各策略可以是同构的（即各策略均采用相同的策略描述语言进行描述），也可以是异构的（即各策略均采用不同的策略描述语言进行描述、或部分策略采用不同的策略描述语言进行描述且部分策略采用相同的策略描述语言进行描述）。相应的，PDP可以根据资源访问控制方案中携带的各策略，分别对第一请求进行评估，以使本发明实施例能够支持异构策略的决策。

步骤13、PDP根据资源访问控制方案中携带的逻辑运算关系，对步骤12得到的评估结果进行运算，生成访问控制结果并发送给PEP。

本步骤中，优选的，PDP所得到的访问控制结果包括：用于指示可以将用户设备的访问请求转发给该用户设备所访问的资源所在的服务器进行处理的指示信息、或者用于指示拒绝用户设备的访问请求的指示信息。

进一步，PEP根据PDP返回的访问控制结果，对用户设备发送的资源访问请求进行处理，如将该用户设备的访问请求发送给该用户设备所访问的资源所在的服务器，或者，向该用户设备返回拒绝访问的回复信息。

本发明实施例中，第一请求包含以下信息中的至少一种：

用户设备的标识、该用户设备所访问的资源的标识、该用户设备对所访问的资源执行的操作、以及与本次资源访问相关的上下文。

举例说明，该第一请求的内容为：[S，O，A，C]，其中，S为访问控制主体（Subject，即用户设备），S中存储发起资源访问的用户设备的标识；O为访问控制客体（Object，即用户设备所需访问的资源），O中用户设备所访问的资源的标识；A为访问控制主体对访问控制客体的操作（Action），例如创建（Create），修改（Update），查询（Query），删除（Delete）；C为与本次访问控制相关的上下文（Context），若用户设备向该用户设备所访问的资源所在的服务器发送的资源访问请求中包含访问控制令牌（Access Token），则该访问控制令牌存储于C中。

在实施中，若PEP获取到的用户设备发送的资源访问请求中不携带访问控制令牌，则PEP向PDP发送的第一请求中可以不携带与本次资源访问相关的上下文。

在实施中，用户设备所访问的资源的标识可以是该资源的统一资源标识符（Uniform Resource Identifier，URI）、该资源的IP地址、或其他格式。

本发明实施例中，第二请求包含以下信息中的至少一种：

用户设备的标识、该用户设备所访问的资源的标识、以及与本次资源访问相关的上下文。

举例说明，该第二请求的内容为：[S，O，C]，其中，S、O、C的含义与其在第一请求中的含义相同，此处不再赘述。

本发明实施例中，资源访问控制方案（Resource Access Control Scheme）由PDP使用的，该资源访问控制方案中描述了与用户设备当前的资源访问请求相关的访问控制策略、以及该些访问控制策略之间的逻辑运算关系，其中，该些访问控制策略可以是同构的，也可以是异构的。

在实施中，若第一请求不携带与本次资源访问相关的上下文，则PDP向PAP发送的第二请求中也不携带与本次资源访问相关的上下文；

由于PAP可以根据用户设备所访问的资源的标识查询相应的全局访问控制策略及资源访问控制策略，因此，第二请求中可以不携带用户设备的标识。

在实施中，PAP返回的资源访问控制方案中包含以下信息中的至少一种：

PAP为用户设备所访问的资源确定出的各策略；

PAP为用户设备所访问的资源确定出的各策略的地址信息；

PAP为用户设备所访问的资源确定出的各策略的标识信息；

其中，PAP为用户设备所访问的资源确定出的各策略包括：与该用户设备所访问的资源相关的全局访问控制策略、与该用户设备相关的全局访问控制策略、与该用户设备所访问的资源相关的资源访问控制策略、该第二请求中与本次资源访问相关的上下文中所携带的与本次资源访问相关的访问控制策略中的至少一种策略。

进一步，全局访问控制策略（Global Access Control Policy）是由PAP统一管理的访问控制策略，每个全局访问控制策略适用于至少一个资源的访问控制或适用于至少一种类型的用户设备对资源的访问控制，每个全局访问控制策略可能适用于全部受保护资源，也可能只适用于部分受保护资源；资源访问控制策略（Resource Access ControlPolicy）是与资源一一对应的，每个资源访问控制策略仅适用于与该资源访问控制策略绑定的资源的访问控制；访问控制令牌中的访问控制策略也称为令牌访问控制策略（AccessToken Policy），是由用户设备提供的并存储在访问控制令牌（Access Token）中访问控制策略。

举例说明，资源访问控制方案（Resource Access Control Scheme）的内容为如下：

1）策略描述（Policy Description），该部分用于描述本资源访问控制方案都使用的访问控制策略，其主要内容包括：

策略标识（Policy Identifier），用于在资源访问控制方案中唯一标识所使用的访问控制策略；以及，

策略类型（Policy Type），用于确定该访问控制策略的评估方法，例如，若访问控制策略的类型为“XACML（eXtensible Access Control Markup Language，基于属性的访问控制策略描述语言）”，则PDP应使用XACML程序包评估该访问控制策略。

2）策略逻辑运算关系（Policy Combining Algorithm），该部分用于根据各策略的标识来描述各策略间的逻辑运算关系，例如，策略间的逻辑运算关系可以是与（and）、或（or）、非（not）等逻辑运算符，或其他种类的逻辑运算关系，例如“肯定优先”或“否定优先”等。

3）策略对象（Policy Object），该部分为资源访问控制方案中所使用的策略本身或策略地址，该部分的具体内容取决于各策略的评估需求，例如，若在评估该策略时需要提供一个具体的XACML策略，则该部分内容即为XACML策略本身，又如，若在评估该策略时需要提供一个ACL的地址，则该部分内容即为ACL策略的地址。

基于上述任一实施例，在实施中，步骤12中，PDP根据PAP返回的资源访问控制方案中携带的各策略，分别对第一请求进行评估，包括：

PDP根据该资源访问控制方案中携带的各策略的类型信息，确定资源访问控制方案中携带的各策略对应的评估方案；

PDP基于资源访问控制方案中携带的各策略，采用各策略对应的评估方案，分别对第一请求进行评估，得到评估结果。

由于资源访问控制方案中携带的PAP为用户设备所访问的资源确定出的各策略可能是同构的，也可能是异构的，因此，在实施中，PDP根据该资源访问控制方案中携带的PAP为用户设备所访问的资源确定出的各策略的类型信息，确定与各策略相应的策略评估方案，从而使本发明能够支持多种不同类型的访问控制策略（即异构的访问控制策略）的动态结合。

进一步，若对策略的评估过程中需要相应的属性信息，则步骤12中，PDP根据资源访问控制方案中携带的各策略，分别对第一请求进行评估，包括：

PDP从策略信息点（Policy Information Point，PIP）中，获取与PAP为用户设备所访问的资源确定出的各策略相关的属性信息；以及，

PDP根据资源访问控制方案中携带的各策略以及各策略对应的属性信息，分别对第一请求进行评估。

具体的，PDP在确定需要获取属性信息时，向PIP发送属性请求，以获取相应的属性信息；PIP根据接收到的属性请求，获取相应的属性信息，并将获取到的属性信息返回给PDP。

在实施中，属性信息可以是与访问控制主体（即用户设备）相关的属性信息，如用户设备的IP地址等；也可以是与访问控制客体（即用户设备所访问的资源）相关的属性信息，如用户设备所访问的资源的创建时间、创建者的信息等；还可以是环境变量的属性信息，如当前的时间信息等。

基于上述任一实施例，步骤11之前，该方法还包括：

PEP获取用户设备向自身所访问的资源所在的服务器发送的资源访问请求；以及，

PEP根据资源访问请求中携带的信息，生成第一请求，并将该第一请求发送给PDP。

本发明实施例中，PEP截获用户设备向该用户设备所访问的资源所在的服务器发送的资源访问请求，并根据该资源访问请求生成相应的第一请求发送给PDP；PEP接收PDP返回的访问控制结果，并根据访问控制结果，将用户设备的资源访问请求发送给相应的服务器，或者拒绝用户设备的资源访问请求。

基于同一发明构思，本发明实施例还提供了PAP侧的访问控制的决策方法，参见图2所示，该方法包括以下步骤：

步骤21、PAP接收PDP发送的第二请求，该第二请求用于请求PAP为用户设备所访问的资源确定出资源访问控制方案。

本步骤中，PDP发送的第二请求是基于用户设备向该用户设备所访问的资源所在的服务器发送的资源访问请求生成的。

进一步，该第二请求包括以下信息中的至少一种：

用户设备的标识、该用户设备所访问的资源的标识、以及与本次资源访问相关的上下文。具体参见PDP侧的描述，此处不再赘述。

步骤22、PAP根据接收到的第二请求，为用户设备所访问的资源确定出相应的资源访问控制方案，并将所确定的资源访问控制方案返回给PDP。

本步骤中，PAP为用户设备所访问的资源确定出相应的资源访问控制方案中所携带的各策略可以是同构的（即各策略均采用相同的策略描述语言进行描述），也可以是异构的（即各策略均采用不同的策略描述语言进行描述、或部分策略采用不同的策略描述语言进行描述且部分策略采用相同的策略描述语言进行描述）。

在实施中，步骤22中，PAP根据接收到的第二请求，为用户设备所访问的资源确定出相应的资源访问控制方案，包括：

PAP根据用户设备所访问的资源的标识（Resource ID）确定与该资源相关的全局访问控制策略，或者，PAP根据用户设备的属性信息确定与用户设备相关的全局访问控制策略；PAP根据用户设备所访问的资源的标识，确定与该资源相关的资源访问控制策略；在该第二请求中与本次资源访问相关的上下文中携带访问控制令牌时，PAP在确定该访问控制令牌为合法令牌后，从访问控制令牌中，获取与本次资源访问相关的访问控制策略；

PAP按照设定的全局访问控制方案（Global Access Control Scheme），根据确定出的全局访问控制策略、资源访问控制策略、和/或访问控制令牌中携带的与本次资源访问相关的访问控制策略，生成相应的资源访问控制方案。

上述过程中，本发明不对PAP确定全局访问控制策略、资源访问控制策略、以及验证访问控制令牌的合法性的先后顺序进行限定。

上述过程中，若PAP从已存储的资源访问控制策略中，确定出不存在与该用户设备所访问的资源相关的资源访问控制策略，则PAP从已存储的资源访问控制策略中，确定是否存在与该用户设备所访问的资源的上一级资源相关的资源访问控制策略。

本发明实施例中，全局访问控制策略是由PAP统一管理的访问控制策略，每个全局访问控制策略适用于至少一个资源的访问控制或适用于至少一种类型的用户设备对资源的访问控制，每个全局访问控制策略可能适用于全部受保护资源，也可能只适用于部分受保护资源；资源访问控制策略是与资源一一对应的，每个资源访问控制策略仅适用于与该资源访问控制策略绑定的资源的访问控制；访问控制令牌中的访问控制策略也称为令牌访问控制策略，是由用户设备提供的并存储在访问控制令牌中访问控制策略。

进一步，若PAP从已存储的资源访问控制策略中，确定出不存在与该用户设备所访问的资源对应的资源树的根资源相关的资源访问控制策略，则PAP确定不存在与该用户设备所访问的资源相关的资源访问控制策略。

上述过程中，访问控制令牌的验证（Access Token Verification，ATV）是指验证用户设备提供的存储有与本次资源访问相关的访问控制策略的访问控制令牌是否由可信的授权机构签发，若是，则确定该访问控制令牌为合法令牌；若否，则确定该访问控制令牌为不合法令牌。

进一步，PAP在确定用户设备提供的访问控制令牌为不合法令牌后，该方法还包括：

PAP直接向PDP返回用于指示PDP拒绝所述用户设备的资源访问的指示信息。

基于上述任一实施例，步骤22中，PAP生成资源访问控制方案所使用的全局访问控制方案包括以下信息中的至少一种：

指示PAP描述全局访问控制策略的应用范围的方式；

指示PAP描述访问控制令牌中携带的访问控制策略的应用范围的方式；

指示PAP全局访问控制策略、资源访问控制策略和访问控制令牌中携带的访问控制策略之间的逻辑运算关系。

本发明实施例中的全局访问控制方案由PAP使用，其描述如何根据第二请求生成针对用户设备的资源访问请求的资源访问控制方案。

举例说明，全局访问控制方案的主要内容为：

1）描述全局访问控制策略的应用范围。全局访问控制策略应用范围的描述可以采用多种不同的方式，例如采用该策略所适用资源的地址列表的方式描述，或采用适用于某个资源的所有全局访问控制策略的列表的方式描述。

2）描述访问控制令牌中携带的访问控制策略的应用范围，即受保护资源是否接受基于访问控制令牌的访问控制策略。

3）描述全局访问控制策略、资源访问控制策略和访问控制令牌中携带的访问控制策略在本次访问控制中的逻辑运算关系。

基于上述任一实施例，步骤22中，PAP所确定出的资源访问控制方案中包含以下信息中的至少一种：

PAP为用户设备所访问的资源确定出的各策略；

PAP为用户设备所访问的资源确定出的各策略的地址信息；

PAP为用户设备所访问的资源确定出的各策略的标识信息；

下面对本发明提供的访问控制的决策方法中各实体之间的交互进行详细说明。参见图3所示，包括以下过程：

第1步：用户设备向其所要访问的资源（Resource）所在的服务器发送资源访问请求（Access Request），该资源访问请求被执行访问控制功能的PEP所截取。

第2步：PEP向PDP发送访问控制请求（Decision Request，即第一请求），该访问控制请求的主要内容为：（S，O，A，C），其中S为访问控制主体（Subject），即用户设备；O为访问控制客体（Object），即该用户设备所要访问的资源；A为访问控制主体对客体的操作（Action），例如创建（Create），修改（Update），查询（Query），删除（Delete）；C为与本次访问控制相关的上下文（Context），若该请求中含有访问控制令牌（Access Token），则该令牌将存储在C中。

第3步：PDP向PAP发送资源访问控制方案请求（Resource Access Control SchemeRequest，即第二请求），该资源访问控制方案请求的主要内容为：（S，O，C），其中S，O，C所代表的内容分别与PEP提供给PDP的访问控制请求中的S，O，C内容相同。

第4步：PAP根据PDP发送的资源访问控制方案请求，生成相应的资源访问控制方案，具体工作流程可分为如下四步：

1）PAP根据资源的标识，检查是否有与该资源相关的全局访问控制策略，其中，资源标识可以采用URI或其他格式。PAP也可以根据用户设备的类型信息，确定适用于该用户设备的全局访问控制策略。

2）PAP根据资源的标识，检查是否有与该资源相关联的资源访问控制策略，若是，则获取该资源访问控制策略；若否，则检查是否有与该资源的上一级资源相关联的资源访问控制策略，若是，则获取该资源访问控制策略，该项检查可一直进行到该资源对应的资源树的根资源。

3）检查接收到的资源访问控制方案请求中的访问控制上下文C中是否携带有访问控制令牌。若是，则检查该访问控制令牌是否为合法令牌，若该访问控制令牌通过验证，则PAP提取出该访问控制令牌中所携带的访问控制策略；若该访问控制令牌不能通过该验证，则PAP向PDP返回本次资源访问被拒绝的指示信息。

4）按照设定的全局访问控制方案，将获取到的全局访问控制策略、资源访问控制策略、和/或访问控制令牌中携带的访问控制策略构造成一个资源访问控制方案。

本实施例中不对上述1）～3）的执行顺序进行限定。

第5步：PAP向PDP返回资源访问控制方案应答，并在该资源访问控制方案应答中携带所生成的资源访问控制方案。

第6步：PDP分析资源访问控制方案中的各策略，若这些策略中需要有关访问控制主体，访问控制客体或环境变量的属性信息，则PDP向PIP发送属性请求，以获取相关的属性信息。

第7步：PIP根据PDP的属性请求，获取相应的属性信息，例如获取Subject的IP地址，Object的创建时间，属于环境变量的当前时间。

第8步：PIP向PDP返回属性应答，并在该属性应答中携带所获取到的属性信息。

第9步：PDP根据资源访问控制方案中的各策略，分别对访问控制请求进行评估，然后根据资源访问控制方案中描述的各策略之间的逻辑运算关系及得到的评估结果，计算出最终的访问控制结果。

第10步：PDP向PEP返回访问控制应答，并在该访问控制应答中携带计算出的访问控制结果。

第11步：PEP根据PDP返回的访问控制结果，决定是将访问控制主体（Subject）的资源访问请求转发给访问客体（Object）所在的服务器，还是拒绝该资源访问请求。

下面结合一个具体实施例，对本发明提供的访问控制的决策方法进行详细说明。

实施例一、本实施例将覆盖实际应用中的三种策略获取方式：（1）获取由访问控制系统（即包含PEP、PDP、PAP、PIP等的系统，用于对用户设备的资源访问进行决策）集中管理的全局访问控制策略，（2）获取与访问者（即用户设备）所访问的资源直接关联的资源访问控制策略，（3）获取由访问者提供的访问控制令牌中携带的与本次资源访问相关的访问控制策略。

本实施例还将采用三种不同的策略描述方法分别描述三个不同的访问控制策略，并据此来介绍如何处理异构策略的评估与集成。

本实施例应用场景如下：

用户Alice要求访问的oneM2M系统中资源的地址为：/baseURI/CSE/group/members；对该资源执行的具体操作为：删除组成员Bob。

该资源的资源访问控制策略的存储地址为：/baseURI/CSE/group/accessRight；该资源访问控制策略为XACML策略，策略标识为P2；与本实施例相关的资源访问控制策略具体为：用户的IP地址要符合：256.256.128.*，以及允许的操作时间为：08:30-17:30。

由访问控制系统统一管理的全局访问控制策略中，适合该资源的全局访问控制策略为/baseURI/CSE/*；/baseURI/CSE/*表示该全局访问控制策略适用/baseURI/CSE的所有子资源；该全局访问控制策略为RBAC策略，策略标识为P1；与本实施例相关的全局访问控制策略具体为：角色为Administrator的用户可以执行Add，Update，Retrieve和Delete操作。

由用户提供的基于访问控制令牌的访问控制策略的策略标识为P3；该策略规定：Alice可以对/baseURI/CSE/group/members执行Update和Retrieve操作。

全局访问控制方案规定：全局访问控制策略，资源访问控制策略，访问控制令牌中携带的访问控制策略之间的逻辑运算关系为“否定优先”，即若这些策略中有任一策略的评估结果为“否定”，则访问控制结果即为“否定”。

具体过程如下：

1、在oneM2M系统中，用户Alice要求对资源地址为/baseURI/CSE/group/members中的成员Bob进行删除操作；所发指令为:（Resource=/baseURI/CSE/group/members:Member=Bob;Operation=DELETE;Context.Token=AccessToken）；PEP中途截取了该指令（即资源访问请求）。

2、PEP向PDP发送访问控制请求，所发的请求内容为:（User=Alice；Resource=/baseURI/CSE/group/members:Member=Bob；Operation=DELETE；Context.Token=AccessToken）。

3、PDP向PAP发送资源访问控制方案请求，所发的请求内容为:（User=Alice；Resource=/baseURI/CSE/group/members:Member=Bob；Context.Token=AccessToken）。

4、PAP根据PDP的资源访问控制方案请求，生成资源访问控制方案，基本工作流程可分为如下四步：

1）PAP利用资源标识（即资源地址/baseURI/CSE/group/members），确定在全局访问控制策略中是否有全局访问控制策略与该资源相关；因全局访问控制策略P1的适用范围为/baseURI/CSE/*，所以P1适用于本次资源访问；PAP读取P1。

2）PAP利用资源地址（即/baseURI/CSE/group/members），查询被访问的资源，因资源<members>不能与<accessRight>相关联，所以检查上一级资源<group>是否有与之相关联的<accessRight>，经检查/baseURI/CSE/group/accessRight中存储有策略P2；PAP读取P2。

3）PAP检查资源访问控制方案请求中的访问控制请求上下文，因有Context.Token=AccessToken，所以需要检查基于访问控制令牌的策略；PAP验证该访问控制令牌是否可用；经验证该访问控制令牌为合法的令牌；PAP提取出该访问控制令牌中的策略P3。

4）PAP按照全局访问控制方案的规定，P1，P2，P3的逻辑运算关系为“否定优先”，即P1，P2，P3中任一访问控制策略为“否定”，则最终访问控制结果为“否定”。

5、PAP将生成的资源访问控制方案返回给PDP，其中规定：本方案中使用了策略P1，P2，P3；P1的类型为RBAC，P2的类型为XACML，P3为令牌访问控制策略；P1，P2，P3的逻辑运算关系为“否定优先”。

6、PDP分析收到的资源访问控制方案中的各策略（即P1，P2，P3），并得知根据策略P1评估访问控制请求需要知道用户的角色（role），根据策略P2评估访问控制请求需要知道用户的IP地址和当前时间。为此PDP向PIP发送属性请求。

7、PIP根据PDP的属性请求，获取相应的属性：Alice.Role=Adminstrator;Computer.Address=256.256.128.125,CurrentTime=10:30。

8、PIP将获取的属性信息返回给PDP。

9、PDP基于策略P1，利用RBAC评估程序包评估访问控制请求，得到的评估结果为：P1为“肯定”；PDP基于策略P2，利用XACML评估程序包评估访问控制请求，得到的评估结果为：P2为“肯定”；PDP基于策略P3，利用令牌策略评估程序包评估访问控制请求，得到的评估结果为：P3为“否定”；

PDP根据P1，P2，P3的评估结果和逻辑运算关系得出本次访问控制的结果为“否定”。

10、PDP将访问控制结果返回给PEP。

11、因为PDP做出的访问控制结论为“否定”，所以PEP将拒绝本次访问。

上述方法处理流程可以用软件程序实现，该软件程序可以存储在存储介质中，当存储的软件程序被调用时，执行上述方法步骤。

基于同一发明构思，本发明还提供了一种策略决策点PDP，参见图4所示，该PDP包括：

接收模块41，用于接收PEP发送的第一请求；以及接收PAP返回的资源访问控制方案；

处理模块42，用于根据第一请求携带的与用户设备的资源访问相关的信息生成第二请求，该第二请求用于请求PAP为用户设备所访问的资源确定出资源访问控制方案，并将生成的第二请求发送给PAP；

策略评估模块43，用于根据PAP返回的资源访问控制方案中携带的各策略，分别对第一请求进行评估；

策略合并模块44，用于根据资源访问控制方案中携带的逻辑运算关系，对得到的评估结果进行运算，生成访问控制结果并发送给PEP。

本发明实施例中，第一请求包括以下信息中的至少一种：

本发明实施例中，第二请求包括以下信息中的至少一种：

PAP为用户设备所访问的资源确定出的各策略；

PAP为用户设备所访问的资源确定出的各策略的地址信息；

PAP为用户设备所访问的资源确定出的各策略的标识信息；

基于上述任一实施例，策略评估模块43具体用于：根据资源访问控制方案中携带的各策略的类型信息，确定所述各策略对应的评估方案；以及，基于所述各策略，采用所述各策略对应的评估方案，分别对第一请求进行评估，得到评估结果。

进一步，策略评估模块43还用于：从PIP中，获取与资源访问控制方案中携带的各策略相关的属性信息；以及，根据资源访问控制方案中携带的各策略以及各策略对应的属性信息，分别对第一请求进行评估。

下面结合优选的硬件结构，对本发明实施例提供的PDP的结构、处理方式进行说明。

参见图5所示，该PDP包括PDP应用程序接口（Application ProgrammingInterface，API）51、与该PDP API51连接的PDP控制器52、分别与该PDP控制器52连接的策略评估组件53和策略合并组件54。

其中，PDP API51用于实现PDP与访问控制系统的其他节点（如PAP、PEP及PIP）的交互，具体为：通过PDP API51接收外界节点发送的信息，以及向外界节点发送信息。在接收到外界节点发送的信息后，PDP API51将接收到的信息发送给PDP控制器52进行处理；策略评估组件53进一步包括各种不同类型的策略评估模块，如XACML策略评估模块、RBAC策略评估模块、令牌策略评估模块、以及其他策略评估模块，以使该PDP能够支持异构策略的决策；策略合并组件54用于根据资源访问控制方案中携带的逻辑运算关系，对策略评估组件得到的评估结果进行运算，生成访问控制结果。

优选的，策略合并组件54的功能可以集成于PDP控制器52中，即由PDP控制器52完成根据资源访问控制方案中携带的逻辑运算关系，对策略评估组件53得到的评估结果进行运算，生成访问控制结果。

在实施中，PDP API51用于接收PEP发送的第一请求，并将该第一请求传输至PDP控制器52；以及，接收PAP返回的资源访问控制方案，并将该资源访问控制方案传输至PDP控制器52；

PDP控制器52用于根据该第一请求携带的与用户设备的资源访问相关的信息生成第二请求，该第二请求用于请求PAP为用户设备所访问的资源确定出资源访问控制方案，并通过PDP API51将该第二请求发送给PAP；以及，

根据PAP返回的资源访问控制方案中携带的各策略，调用策略评估组件53分别对第一请求进行评估；根据所述资源访问控制方案中携带的逻辑运算关系，调用策略合并组件54对策略评估组件53得到的评估结果进行运算，生成访问控制结果；通过PDP API51将策略合并组件54生成的访问控制结果发送给PEP，以完成对用户设备的资源访问的决策。

本发明实施例中，第一请求包括以下信息中的至少一种：

本发明实施例中，第二请求包括以下信息中的至少一种：

PAP为用户设备所访问的资源确定出的各策略；

PAP为用户设备所访问的资源确定出的各策略的地址信息；

PAP为用户设备所访问的资源确定出的各策略的标识信息；

在实施中，PDP控制器52调用策略评估组件53分别对第一请求进行评估，包括：

根据资源访问控制方案中携带的各策略的类型信息，确定各策略对应的评估方案；以及基于各策略，调用策略评估组件53中对应的策略评估模块，分别对第一请求进行评估。

在实施中，PDP控制器52调用策略评估组件53分别对第一请求进行评估，还包括：

通过PDP API51，从PIP中获取与资源访问控制方案中携带的各策略相关的属性信息；以及，根据资源访问控制方案中携带的各策略以及各策略对应的属性信息，调用策略评估组件53分别对第一请求进行评估。

基于同一发明构思，本发明还提供了一种PAP，参见图6所示，该PAP包括：

接收模块61，用于接收PDP发送的第二请求，该第二请求用于请求所述PAP为用户设备所访问的资源确定出资源访问控制方案；

处理模块62，用于根据所述第二请求，为所述用户设备所访问的资源确定出相应的资源访问控制方案，并将所述资源访问控制方案返回给所述PDP。

本发明实施例中，第二请求包含以下信息中的至少一种：

本发明实施例中，处理模块62具体用于：

进一步，处理模块62根据所述用户设备所访问的资源的标识，确定与该资源相关的资源访问控制策略，包括：

在实施中，处理模块62还用于：

指示所述PAP描述所述全局访问控制策略的应用范围的方式；

为所述用户设备所访问的资源确定出的各策略；

为所述用户设备所访问的资源确定出的各策略的地址信息；

为所述用户设备所访问的资源确定出的各策略的标识信息；

下面结合优选的硬件结构，对本发明实施例提供的PAP的结构、处理方式进行说明。

参见图7所示，该PAP包括PAP API71、与该PAP API71连接的PAP控制器72，其中：

PAP API71，用于接收PDP发送的第二请求，并将该第二请求传输给PAP控制器72，该第二请求用于请求PAP为用户设备所访问的资源确定出资源访问控制方案；

PAP控制器72，用于根据所述第二请求，为所述用户设备所访问的资源确定出相应的资源访问控制方案，并通过PAP API71将所述资源访问控制方案返回给所述PDP。

本发明实施例中，第二请求包含以下信息中的至少一种：

在实施中，PAP控制器72具体用于：

进一步，PAP控制器72根据所述用户设备所访问的资源的标识，确定与该资源相关的资源访问控制策略，包括：

在实施中，PAP控制器72还用于：

在确定所述访问控制令牌为不合法令牌后，直接通过PAP API71向所述PDP返回用于指示所述PDP拒绝所述用户设备的资源访问的指示信息。

指示所述PAP描述所述全局访问控制策略的应用范围的方式；

为所述用户设备所访问的资源确定出的各策略；

为所述用户设备所访问的资源确定出的各策略的地址信息；

为所述用户设备所访问的资源确定出的各策略的标识信息；

下面对本发明实施例中的访问控制系统进行说明。参见图8所示，该访问控制系统包括以下节点：

PEP，用于获取用户设备向其所访问的资源所在的服务器发送的资源访问请求，并根据该资源访问请求中携带的信息，生成所述第一请求，并将所述第一请求发送给PDP；

PDP，用于接收PEP发送的第一请求，根据所述第一请求携带的与用户设备的资源访问相关的信息生成第二请求，该第二请求用于请求策略访问点PAP为所述用户设备所访问的资源确定出资源访问控制方案，并将所述第二请求发送给PAP；接收PAP返回的资源访问控制方案，根据所述资源访问控制方案中携带的各策略，分别对所述第一请求进行评估；以及，根据所述资源访问控制方案中携带的逻辑运算关系，对得到的评估结果进行运算，生成访问控制结果并发送给PEP；

PAP，用于接收PDP发送的第二请求；以及，根据所述第二请求，为所述用户设备所访问的资源确定出相应的资源访问控制方案，并将所述资源访问控制方案返回给所述PDP；

PIP，用于向PDP提供与用户、资源或环境相关的属性信息，例如，访问用户的IP地址，资源的创建者，当前的时间等。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质（包括但不限于磁盘存储器、CD-ROM、光学存储器等）上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备（系统）、和计算机程序产品的流程图和／或方框图来描述的。应理解可由计算机程序指令实现流程图和／或方框图中的每一流程和／或方框、以及流程图和／或方框图中的流程和／或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims

1.一种访问控制的决策方法，其特征在于，该方法包括：

策略决策点PDP接收策略执行点PEP发送的第一请求，根据所述第一请求携带的与用户设备的资源访问相关的信息生成第二请求，所述第二请求用于请求策略访问点PAP为所述用户设备所访问的资源确定出资源访问控制方案，并将所述第二请求发送给所述PAP；

所述PDP接收所述PAP返回的资源访问控制方案，根据所述资源访问控制方案中携带的不同类型的策略，分别对所述第一请求进行评估；

2.如权利要求1所述的方法，其特征在于，所述第一请求包含以下信息中的至少一种：

3.如权利要求1所述的方法，其特征在于，所述第二请求包含以下信息中的至少一种：

4.如权利要求1所述的方法，其特征在于，所述资源访问控制方案中包含以下信息中的至少一种：

所述PAP为所述用户设备所访问的资源确定出的各策略；

5.如权利要求1～4任一项所述的方法，其特征在于，所述PDP根据所述资源访问控制方案中携带的各策略，分别对所述第一请求进行评估，包括：

6.如权利要求5所述的方法，其特征在于，所述PDP根据所述资源访问控制方案中携带的各策略，分别对所述第一请求进行评估，包括：

7.如权利要求1所述的方法，其特征在于，在所述PDP接收到所述PEP发送的第一请求之前，该方法还包括：

8.一种访问控制的决策方法，其特征在于，该方法包括：

策略访问点PAP接收策略决策点PDP发送的第二请求，所述第二请求用于请求所述PAP为用户设备所访问的资源确定出资源访问控制方案；

所述PAP根据所述第二请求，为所述用户设备所访问的资源确定出相应的资源访问控制方案，并将所述资源访问控制方案返回给所述PDP；其中，所述资源访问控制方案包括不同类型的策略，以及指示不同策略之间的逻辑运算关系。

9.如权利要求8所述的方法，其特征在于，所述第二请求包含以下信息中的至少一种：

10.如权利要求9所述的方法，其特征在于，所述PAP根据所述第二请求，为所述用户设备所访问的资源确定出相应的资源访问控制方案，包括：

11.如权利要求10所述的方法，其特征在于，所述PAP根据所述用户设备所访问的资源的标识，确定与该资源相关的资源访问控制策略，包括：

12.如权利要求10所述的方法，其特征在于，所述方法还包括：

13.如权利要求10所述的方法，其特征在于，所述全局访问控制方案包括以下信息中的至少一种：

指示所述PAP描述所述全局访问控制策略的应用范围的方式；

指示所述PAP描述所述访问控制令牌中携带的访问控制策略的应用范围的方式。

14.如权利要求8～13任一项所述的方法，其特征在于，所述资源访问控制方案中包含以下信息中的至少一种：

所述PAP为所述用户设备所访问的资源确定出的各策略；

15.一种策略决策点PDP，其特征在于，该PDP包括：

策略评估模块，用于根据所述资源访问控制方案中携带的不同类型的策略，分别对所述第一请求进行评估；

16.如权利要求15所述的PDP，其特征在于，所述第一请求包含以下信息中的至少一种：

17.如权利要求15所述的PDP，其特征在于，所述第二请求包含以下信息中的至少一种：

18.如权利要求15所述的PDP，其特征在于，所述资源访问控制方案中包含以下信息中的至少一种：

所述PAP为所述用户设备所访问的资源确定出的各策略；

19.如权利要求15～18任一项所述的PDP，其特征在于，所述策略评估模块具体用于：

20.如权利要求19所述的PDP，其特征在于，所述策略评估模块还用于：

21.一种策略访问点PAP，其特征在于，该PAP包括：

处理模块，用于根据所述第二请求，为所述用户设备所访问的资源确定出相应的资源访问控制方案，并将所述资源访问控制方案返回给所述PDP；其中，所述资源访问控制方案包括不同类型的策略，以及指示不同策略之间的逻辑运算关系。

22.如权利要求21所述的PAP，其特征在于，所述第二请求包含以下信息中的至少一种：

23.如权利要求22所述的PAP，其特征在于，所述处理模块具体用于：

24.如权利要求23所述的PAP，其特征在于，所述处理模块根据所述用户设备所访问的资源的标识，确定与该资源相关的资源访问控制策略，包括：

25.如权利要求23所述的PAP，其特征在于，所述处理模块还用于：

26.如权利要求23所述的PAP，其特征在于，所述全局访问控制方案包括以下信息中的至少一种：

指示所述PAP描述所述全局访问控制策略的应用范围的方式；

27.如权利要求21～26任一项所述的PAP，其特征在于，所述资源访问控制方案中包含以下信息中的至少一种：

为所述用户设备所访问的资源确定出的各策略；

为所述用户设备所访问的资源确定出的各策略的地址信息；

为所述用户设备所访问的资源确定出的各策略的标识信息；