CN106034112B - 访问控制、策略获取、属性获取方法及相关装置 - Google Patents
访问控制、策略获取、属性获取方法及相关装置 Download PDFInfo
- Publication number
- CN106034112B CN106034112B CN201510109267.9A CN201510109267A CN106034112B CN 106034112 B CN106034112 B CN 106034112B CN 201510109267 A CN201510109267 A CN 201510109267A CN 106034112 B CN106034112 B CN 106034112B
- Authority
- CN
- China
- Prior art keywords
- resource
- access control
- policy
- cse
- point
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 73
- 238000011217 control strategy Methods 0.000 claims description 57
- 239000003999 initiator Substances 0.000 claims description 47
- 238000012545 processing Methods 0.000 claims description 39
- 230000007246 mechanism Effects 0.000 abstract description 4
- 239000013643 reference control Substances 0.000 abstract 1
- 230000006870 function Effects 0.000 description 48
- 102100029091 Exportin-2 Human genes 0.000 description 41
- 101000770958 Homo sapiens Exportin-2 Proteins 0.000 description 41
- 230000004044 response Effects 0.000 description 29
- 230000008569 process Effects 0.000 description 23
- 238000010586 diagram Methods 0.000 description 22
- 101150119033 CSE2 gene Proteins 0.000 description 15
- 101100007792 Escherichia coli (strain K12) casB gene Proteins 0.000 description 15
- 101100273269 Thermus thermophilus (strain ATCC 27634 / DSM 579 / HB8) cse3 gene Proteins 0.000 description 14
- 238000013475 authorization Methods 0.000 description 8
- 238000004325 capillary sieving electrophoresis Methods 0.000 description 7
- 238000004590 computer program Methods 0.000 description 7
- 230000003993 interaction Effects 0.000 description 6
- 230000009471 action Effects 0.000 description 4
- 238000011156 evaluation Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000001960 triggered effect Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 101150053844 APP1 gene Proteins 0.000 description 1
- 102100022734 Acyl carrier protein, mitochondrial Human genes 0.000 description 1
- WQZGKKKJIJFFOK-GASJEMHNSA-N Glucose Natural products OC[C@H]1OC(O)[C@H](O)[C@@H](O)[C@@H]1O WQZGKKKJIJFFOK-GASJEMHNSA-N 0.000 description 1
- 101000678845 Homo sapiens Acyl carrier protein, mitochondrial Proteins 0.000 description 1
- 101000611240 Homo sapiens Low molecular weight phosphotyrosine protein phosphatase Proteins 0.000 description 1
- 101001001294 Homo sapiens Lysosomal acid phosphatase Proteins 0.000 description 1
- 101100189105 Homo sapiens PABPC4 gene Proteins 0.000 description 1
- 102100035699 Lysosomal acid phosphatase Human genes 0.000 description 1
- 102100039424 Polyadenylate-binding protein 4 Human genes 0.000 description 1
- 239000008280 blood Substances 0.000 description 1
- 210000004369 blood Anatomy 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000008103 glucose Substances 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种访问控制、策略获取、属性获取方法及相关装置,用以为oneM2M提供具体的访问控制机制。访问控制方法为:获取CSE对访问控制资源下的策略决策点资源的第一资源读取请求,第一资源读取请求中携带有发起者对CSE中的目标资源的访问控制决策的请求信息;根据第一资源读取请求发送对绑定的策略获取点资源的第二资源读取请求,获取目标资源对应的访问控制策略,第二资源读取请求中携带对目标资源的访问控制策略的请求信息;根据获取的访问控制策略确定发起者对目标资源的访问控制决策,并向CSE返回访问控制决策。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种访问控制、策略获取、属性获取方法及相关装置。
背景技术
物联网标准化组织oneM2M致力于开发用于构造一个公共的机器对机器通信(Machine-To-Machine,M2M)服务层(Service Layer)的技术规范。
oneM2M通过采用对标准的资源树的操作实现服务层资源共享和交互。
根据oneM2M TS-0001中关于功能架构的定义,oneM2M资源树的形式如图1所示。其中,CSEBase1表示一个CSE根资源<CSEBase>,CSE1表示一个资源<remoteCSE>,APP1表示一个资源<AE>,CONT1和CONT2分别代表一个资源<container>,ACP1和ACP2分别代表一个资源<accessControlPolice>。
对于oneM2M资源可进行创建、查询、修改和删除等操作。
oneM2M定义的资源中与授权相关的资源为访问控制策略资源<accessControlPolicy>,其中定义有访问控制策略(Access Control Policy),<accessControlPolicy>资源由资源身份标识(ID)唯一标识。
其他资源通过资源中的accessControlPolicyIDs属性指定适用的访问控制策略。
oneM2M定义有两种基本实体:
一,应用实体(Application Entity,AE),位于应用层,该实体可实现一个M2M应用服务逻辑。一个应用服务逻辑既可以驻留在多个M2M节点中,也可以在单个节点中存在多个执行实例。应用服务逻辑的每个执行实例被称为一个应用实体,每个应用实体由唯一的AE身份标识(AE-ID)标识。
例如,车队跟踪应用实例、远程血糖监测应用实例、远程电力计量实例或控制应用实例等都属于应用实体。
二,公共服务实体(Common Services Entity,CSE),一个公共服务实体由一组M2M环境中的公共服务功能(common service functions)构成。公共服务功能通过参考点Mca和参考点Mcc公开给其他实体。
参考点Mcn用于访问底层网络服务实体。
每个公共服务实体由唯一的CSE-ID标识。
资源树存在于oneM2M系统定义的CSE中。
oneM2M定义有三种资源类型:
普通资源(Normal Resource),具有具体的资源结构以及资源属性;
虚拟资源(Virtual Resource),不具有具体的资源结构以及资源属性,主要用于触发特定的处理过程;
公布资源(Announced Resource),具有具体的资源结构及资源属性,该资源为其他实体上普通资源中某些内容的复制,主要目的是为资源发现提供便利。
oneM2M TS-0001中仅定义了<accessControlPolicy>资源的资源结构及访问控制策略的结构,授权架构和访问控制策略的评估在oneM2M TS-0003中提供。
如图2所示的授权架构中,各授权组件的功能为:
策略执行点(Policy Enforcement Point,PEP),与需要访问控制的应用系统共存,并由应用系统调用。PEP根据用户的访问请求生成相应的访问控制决策请求,发送给策略决策点(Policy Decision Point,PDP),并根据PDP的访问控制决策应答确定是否执行用户的访问请求。
策略决策点(Policy Decision Point,PDP),负责根据访问控制策略评估是否同意由PEP发送来的访问控制决策请求,并将评估结果通过访问控制决策应答返回给PEP。
策略获取点(Policy Retrieval Point,PRP),根据PDP提供的策略请求获取适用的访问控制策略,并将获取的访问控制策略返回给PDP。
策略信息点(Policy Information Point,PIP),根据PDP的请求获取与用户、资源或环境相关的属性,例如访问用户的互联网协议(IP)地址、资源的创建者、当前的时间等,然后将获得的各种属性返回给PDP。
oneM2M的基本授权流程如下:
1、PEP根据用户的访问请求生成访问控制决策请求(Access Control DecisionRequest)发送给PDP;
2、PDP根据PEP的访问控制决策请求向PRP发送访问控制策略请求(AccessControl Policy Request);
3、PDP分析由PRP返回的访问控制策略和PEP的访问控制决策请求中提供的内容,若需要其他属性,则向PIP发送访问控制属性请求(Access Control Attribute Request),否则执行步骤5。
4、PIP根据PDP的访问控制属性请求获取相应的与访问控制相关的属性,并返回给PDP。
5、PDP根据确定适用的访问控制策略,并通过该访问控制决策应答(AccessControl Attribute Response)返回给PEP。
6、PEP根据访问控制决策应答中的访问控制策略决定是否执行用户的访问请求。
oneM2M TS-0003中仅给出了授权架构的高层描述和基本授权流程,没有给出具体的访问控制机制、实现原理或方法。
发明内容
本发明实施例提供一种访问控制、策略获取、属性获取方法及相关装置,用以为oneM2M提供具体的访问控制机制。
本发明实施例提供的具体技术方案如下:
第一方面,提供了一种访问控制方法,包括:
获取公共服务实体CSE对访问控制资源下的策略决策点资源的第一资源读取请求,所述第一资源读取请求中携带有发起者对所述CSE中的目标资源的访问控制决策的请求信息;
根据第一资源读取请求发送对绑定的策略获取点资源的第二资源读取请求,获取所述目标资源对应的访问控制策略,所述第二资源读取请求中携带对所述目标资源的访问控制策略的请求信息;
根据获取的所述访问控制策略确定所述发起者对所述目标资源的访问控制决策,并向所述CSE返回所述访问控制决策;
其中,所述访问控制资源为所属的CSE根资源下的普通资源,所述策略决策点资源以及所述策略获取点资源分别为对应的访问控制资源下的虚拟资源。
可选地,所述访问控制资源具有普通资源的通用属性,还具有指定访问控制策略的公共属性。
可选地,获取所述目标资源对应的访问控制策略后,确定所述发起者对所述目标资源的访问控制决策之前,所述方法还包括:
对绑定的策略信息点资源发送第三资源读取请求,获取所述访问控制策略对应的属性信息,所述第三资源读取请求中携带对所述访问控制策略的访问控制属性的请求信息;
其中,所述策略信息点资源为对应的访问控制资源下的虚拟资源。
可选地,获取公共服务实体CSE对访问控制资源下的策略决策点资源的第一资源读取请求之后,根据第一资源读取请求发送对绑定的策略获取点资源的第二资源读取请求之前,所述方法还包括:
根据所述策略决策点资源所属的访问控制资源指定的访问控制策略,确定允许所述CSE访问所述策略决策点资源。
可选地,根据第一资源读取请求发送对绑定的策略获取点资源的第二资源读取请求之后,获取所述目标资源对应的访问控制策略之前,所述方法还包括:
根据所述策略获取点资源所属的访问控制资源指定的访问控制策略,确定允许所述CSE访问所述策略获取点资源。
可选地,对绑定的策略信息点资源发送第三资源读取请求之后,获取所述访问控制策略对应的属性信息之前,所述方法还包括:
根据所述策略信息点资源所属的访问控制资源指定的访问控制策略,确定允许所述CSE访问所述策略信息点资源。
具体地,确定所述发起者对所述目标资源的访问控制决策,包括:
根据所述访问控制策略以及所述访问控制策略对应的属性信息,确定所述发起者对所述目标资源的访问控制决策。
其中,所述策略决策点资源、所述策略获取点资源以及所述策略信息点资源分别位于不同CSE根节点下的访问控制资源下;
或者,
所述策略决策点资源、所述策略获取点资源以及所述策略信息点资源中的至少两个位于同一CSE根节点下的不同访问控制资源下;
或者,
所述策略决策点资源、所述策略获取点资源以及所述策略信息点资源属于同一CSE根节点下的同一访问控制资源下。
第二方面,提供了一种获取访问控制策略的方法,包括:
获取公共服务实体CSE对访问控制资源下的策略获取点资源的资源读取请求,所述资源读取请求中携带对发起者请求访问的目标资源的访问控制策略的请求信息;
获取所述目标资源对应的访问控制策略,并返回给所述CSE;
其中,所述访问控制资源为所属的CSE根资源下的普通资源,所述策略获取点资源为对应的访问控制资源下的虚拟资源。
可选地,所述访问控制资源具有普通资源的通用属性,还具有指定访问控制策略的公共属性。
可选地,获取公共服务实体CSE对访问控制资源下的策略获取点资源的资源读取请求之后,获取所述目标资源对应的访问控制策略之前,所述方法还包括:
根据所述策略获取点资源所属的访问控制资源指定的访问控制策略,确定允许所述CSE访问所述策略获取点资源。
第三方面,提供了一种获取访问控制属性的方法,包括:
获取公共服务实体CSE对访问控制资源下的策略信息点资源的资源读取请求,所述资源读取请求中携带对访问控制策略的访问控制属性的请求信息;
获取所述访问控制策略对应的属性信息,并返回给所述CSE;
其中,所述访问控制资源为所属的CSE根资源下的普通资源,所述策略信息点资源为对应的访问控制资源下的虚拟资源。
可选地,所述访问控制资源具有普通资源的通用属性,还具有指定访问控制策略的公共属性。
可选地,获取公共服务实体CSE对访问控制资源下的策略信息点资源的资源读取请求之后,获取所述访问控制策略对应的属性信息之前,所述方法还包括:
根据所述策略信息点资源所属的访问控制资源指定的访问控制策略,确定允许所述CSE访问所述策略信息点资源。
第四方面,提供了一种公共服务实体CSE,包括:
第一获取模块,用于获取公共服务实体CSE对访问控制资源下的策略决策点资源的第一资源读取请求,所述第一资源读取请求中携带有发起者对所述CSE中的目标资源的访问控制决策的请求信息;
第二获取模块,用于根据第一资源读取请求发送对绑定的策略获取点资源的第二资源读取请求,获取所述目标资源对应的访问控制策略,所述第二资源读取请求中携带对所述目标资源的访问控制策略的请求信息;
处理模块,用于根据获取的所述访问控制策略确定所述发起者对所述目标资源的访问控制决策,并向所述CSE返回所述访问控制决策;
其中,所述访问控制资源为所属的CSE根资源下的普通资源,所述策略决策点资源以及所述策略获取点资源分别为对应的访问控制资源下的虚拟资源。
可选地,所述访问控制资源具有普通资源的通用属性,还具有指定访问控制策略的公共属性。
可选地,还包括第三获取模块,用于所述第二获取模块获取所述目标资源对应的访问控制策略后,所述处理模块确定所述发起者对所述目标资源的访问控制决策之前,对绑定的策略信息点资源发送第三资源读取请求,获取所述访问控制策略对应的属性信息,所述第三资源读取请求中携带对所述访问控制策略的访问控制属性的请求信息;
其中,所述策略信息点资源为对应的访问控制资源下的虚拟资源。
可选地,所述处理模块还用于:
在所述第一获取模块获取公共服务实体CSE对访问控制资源下的策略决策点资源的第一资源读取请求之后,在所述第二获取模块根据第一资源读取请求发送对绑定的策略获取点资源的第二资源读取请求之前,
根据所述策略决策点资源所属的访问控制资源指定的访问控制策略,确定允许所述CSE访问所述策略决策点资源。
可选地,所述第二获取模块还用于:
根据第一资源读取请求发送对绑定的策略获取点资源的第二资源读取请求之后,获取所述目标资源对应的访问控制策略之前,
根据所述策略获取点资源所属的访问控制资源指定的访问控制策略,确定允许所述CSE访问所述策略获取点资源。
可选地,所述第三获取模块还用于:
对绑定的策略信息点资源发送第三资源读取请求之后,获取所述访问控制策略对应的属性信息之前,
根据所述策略信息点资源所属的访问控制资源指定的访问控制策略,确定允许所述CSE访问所述策略信息点资源。
具体地,所述处理模块具体用于:
根据所述访问控制策略以及所述访问控制策略对应的属性信息,确定所述发起者对所述目标资源的访问控制决策。
其中,所述策略决策点资源、所述策略获取点资源以及所述策略信息点资源分别位于不同CSE根节点下的访问控制资源下;
或者,
所述策略决策点资源、所述策略获取点资源以及所述策略信息点资源中的至少两个位于同一CSE根节点下的不同访问控制资源下;
或者,
所述策略决策点资源、所述策略获取点资源以及所述策略信息点资源属于同一CSE根节点下的同一访问控制资源下。
第五方面,提供了一种公共服务实体CSE,包括:
获取模块,用于获取公共服务实体CSE对访问控制资源下的策略获取点资源的资源读取请求,所述资源读取请求中携带对发起者请求访问的目标资源的访问控制策略的请求信息;
处理模块,用于获取所述目标资源对应的访问控制策略,并返回给所述CSE;
其中,所述访问控制资源为所属的CSE根资源下的普通资源,所述策略获取点资源为对应的访问控制资源下的虚拟资源。
可选地,所述访问控制资源具有普通资源的通用属性,还具有指定访问控制策略的公共属性。
可选地,所述处理模块还用于:
在所述获取模块获取公共服务实体CSE对访问控制资源下的策略获取点资源的资源读取请求之后,获取所述目标资源对应的访问控制策略之前,
根据所述策略获取点资源所属的访问控制资源指定的访问控制策略,确定允许所述CSE访问所述策略获取点资源。
第六方面,提供了一种公共服务实体CSE,包括:
获取模块,用于获取公共服务实体CSE对访问控制资源下的策略信息点资源的资源读取请求,所述资源读取请求中携带对访问控制策略的访问控制属性的请求信息;
处理模块,用于获取所述访问控制策略对应的属性信息,并返回给所述CSE;
其中,所述访问控制资源为所属的CSE根资源下的普通资源,所述策略信息点资源为对应的访问控制资源下的虚拟资源。
可选地,所述访问控制资源具有普通资源的通用属性,还具有指定访问控制策略的公共属性。
可选地,所述处理模块还用于:
在所述获取模块获取公共服务实体CSE对访问控制资源下的策略信息点资源的资源读取请求之后,获取所述访问控制策略对应的属性信息之前,
根据所述策略信息点资源所属的访问控制资源指定的访问控制策略,确定允许所述CSE访问所述策略信息点资源。
基于上述技术方案,本发明实施例中,通过在CSE根资源下定义普通资源访问控制资源,在访问控制资源下定义策略决策点资源和/或策略获取点资源,并且定义策略决策点资源为触发PDP处理过程的虚拟资源,定义策略获取点资源为触发PRP处理过程的虚拟资源,从而通过对访问控制资源下的策略决策点资源的资源读取请求,触发具备PDP功能的CSE通过读取绑定的策略获取点资源获取目标资源的访问控制策略,根据获取的访问控制策略对目标资源的访问请求进行访问控制决策。
附图说明
图1为oneM2M资源树结构示意图;
图2为oneM2M授权架构示意图;
图3为本发明实施例中访问控制资源结构示意图;
图4a为本发明实施例中具有PEP功能的CSE与具有PDP功能的CSE1交互示意图;
图4b为本发明实施例中具有PDP功能的CSE1进行访问控制的过程示意图;
图5a为本发明实施例中具有PDP功能的CSE1对具有PRP功能的CSE2交互示意图;
图5b为本发明实施例中具有PRP的功能CSE2获取访问控制策略的过程示意图;
图6a为本发明实施例中具有PDP功能的CSE1与具有PIP功能的CSE3交互示意图;
图6b为本发明实施例中具有PIP功能的CSE3获取访问控制属性的过程示意图;
图7为本发明实施例中CSE结构示意图;
图8为本发明实施例中另一CSE结构示意图;
图9为本发明实施例中另一CSE结构示意图;
图10为本发明实施例中另一CSE结构示意图;
图11为本发明实施例中另一CSE结构示意图;
图12为本发明实施例中另一CSE结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本发明实施例中,定义了四种oneM2M资源以实现具体的访问控制机制。
定义的四种oneM2M资源分别为:访问控制资源<accessControl>、策略决策点资源<policyDecisionPoint>、策略获取点资源<policyRetrievalPoint>以及策略信息点资源<policyInformationPoint>。
其中,访问控制资源<accessControl>定义为位于CSE根资源<CSEBase>下的普通资源,至少具有oneM2M普通资源的通用属性。
策略决策点资源<policyDecisionPoint>、策略获取点资源<policyRetrievalPoint>以及策略信息点资源<policyInformationPoint>定义为位于访问控制资源<accessControl>下的虚拟资源。
具体地,对策略决策点资源<policyDecisionPoint>的读取操作,将触发一个PDP处理过程;
对策略获取点资源<policyRetrievalPoint>的读取操作,将触发一个PRP处理过程;
对策略信息点资源<policyInformationPoint>的读取操作,将触发一个PIP处理过程。
一个CSE根节点下可以有1个或多个访问控制资源<accessControl>,一个CSE根节点下也可以不包含访问控制资源。
其中,访问控制资源<accessControl>与定义的虚拟资源之间的关系如图3所示,即一个访问控制资源<accessControl>下可以有策略决策点资源<policyDecisionPoint>、策略获取点资源<policyRetrievalPoint>以及策略信息点资源<policyInformationPoint>中任意一个或多个的组合,也可以不包含任意一个定义的虚拟资源。
可选地,访问控制资源<accessControl>还具有指定访问控制策略的公共属性,该公共属性用于指定适用于该访问控制资源<accessControl>的访问控制策略,对该访问控制资源<accessControl>下的虚拟资源的访问控制由该公共属性确定,即该公共属性所指定的访问控制策略中定义了允许访问该访问控制资源<accessControl>及其下的虚拟资源的CSE。
虚拟资源不具有资源属性,也没有子资源,针对虚拟资源的访问控制由该虚拟资源所属的父资源的指定访问控制策略负责。
基于以上定义的资源,如图4a所示,具有PEP功能的CSE截获发起者对自身的目标资源的访问请求,与具有PDP功能的CSE1交互的过程如下:
CSE发送对CSE1根资源下的访问控制资源下的策略决策点资源的第一资源读取请求,该第一资源读取请求中携带发起者对CSE中的目标资源的访问控制决策的请求信息;
CSE1根据对访问控制资源下的策略决策点资源的第一资源读取请求,触发策略决策点资源对应的PDP处理过程:获取目标资源对应的访问控制策略,可选地,获取该访问控制策略对应的属性信息,根据该访问控制策略或者根据该访问控制策略及其对应的属性信息进行访问控制决策,通过访问控制决策应答将访问控制决策返回给CSE。
具体地,在第一资源读取请求中的内容(Content)参数携带:发起者对CSE中的目标资源的访问控制决策的请求信息,该资源读取请求即为符合oneM2M标准的请求。
具体地,在访问控制决策应答中的Content参数携带访问控制决策,该访问控制决策应答为符合oneM2M标准的应答。
其中,CSE与CSE1可以为同一CSE,该CSE集成PEP和PDP的功能,也可以为两个独立的CSE。
基于以上定义的资源,本发明实施例中,CSE1的根资源下包含有访问控制资源,该访问控制资源下至少有一个策略决策点资源,如图4b所示,该CSE1实现访问控制的详细方法流程如下:
步骤401:获取CSE对访问控制资源下的策略决策点资源的第一资源读取请求,该第一资源读取请求中携带有发起者对该CSE中的目标资源的访问控制决策的请求信息。
其中,发起者为AE或CSE。
其中,发出对策略决策点资源的第一资源读取请求的CSE具有PEP的功能;具有访问控制功能的CSE1的根资源下包含访问控制资源,且该访问控制资源具有策略决策点资源,即具有访问控制功能的CSE1具有PDP的功能。
其中,具有PEP功能的CSE与具有PDP功能的CSE1,可以为同一CSE,也可以是两个独立的CSE。
可选地,策略决策点资源所属的访问控制资源还具有指定访问控制策略的公共属性。
相应地,CSE1在获取CSE对访问控制资源下的策略决策点资源的第一资源读取请求之后,根据第一资源读取请求发送对绑定的策略获取点资源的第二资源读取请求之前,根据该策略决策点资源所属的访问控制资源指定的访问控制策略,确定允许该CSE访问该策略决策点资源。
步骤402:根据第一资源读取请求发送对绑定的策略获取点资源的第二资源读取请求,获取目标资源对应的访问控制策略,该第二资源读取请求中携带对该目标资源的访问控制策略的请求信息。
可选地,若策略获取点资源所属的访问控制资源还具有指定访问控制策略的公共属性。
相应地,若策略获取点资源所属的访问控制资源位于CSE1的根资源下,则CSE1根据第一资源读取请求发送对绑定的策略获取点资源的第二资源读取请求之后,获取目标资源对应的访问控制策略之前,根据该策略获取点资源所属的访问控制资源指定的访问控制策略,确定允许CSE访问该策略获取点资源。
步骤403:根据获取的访问控制策略确定发起者对目标资源的访问控制决策,并向该CSE返回访问控制决策。
可选地,CSE1若根据获取的访问控制策略确定发起者对目标资源的访问控制决策的过程中,还需要获取该访问控制策略对应的属性信息,则对绑定的策略信息点资源发送第三资源读取请求,获取该访问控制策略对应的属性信息,该第三资源读取请求中携带对该访问控制策略的访问控制属性的请求信息。
其中,CSE1在获取访问控制策略对应的属性信息后,根据该访问控制策略以及该访问控制策略对应的属性信息,确定该发起者对目标资源的访问控制决策。
可选地,若策略信息点资源所属的访问控制资源还具有指定访问控制策略的公共属性。
相应地,若策略信息点资源所属的访问控制资源位于CSE1的根资源下,则CSE1对绑定的策略信息点资源发送第三资源读取请求之后,获取访问控制策略对应的属性信息之前,根据策略信息点资源所属的访问控制资源指定的访问控制策略,确定允许CSE访问该策略信息点资源。
该实施例中,策略决策点资源、策略获取点资源以及策略信息点资源分别位于不同CSE根节点下的访问控制资源下;
或者,
策略决策点资源、策略获取点资源以及策略信息点资源中的至少两个位于同一CSE根节点下的不同访问控制资源下;
或者,
策略决策点资源、策略获取点资源以及策略信息点资源属于同一CSE根节点下的同一访问控制资源下。
基于以上定义,如图5a所示,具有PDP功能的CSE1对具有PRP功能的CSE2之间的交互过程如下:
CSE1对CSE2的访问控制资源下的策略获取点资源发送第二资源读取请求,该第二资源读取请求中携带对目标资源的访问控制策略的请求信息;
CSE2根据对访问控制资源下的策略获取点资源的第二资源读取请求,触发PRP的处理过程:获取目标资源的访问控制策略,通过访问控制策略应答将该访问控制策略返回给CSE1。
具体地,在第二资源读取请求中的内容(Content)参数携带:对目标资源的访问控制策略的请求信息,该资源读取请求为符合oneM2M标准的请求。
具体地,在访问控制策略应答中的Content参数携带访问控制策略,该访问控制策略应答为符合oneM2M标准的应答。
其中,CSE1和CSE2可以是同一CSE,该CSE集成PDP和PRP的功能,也可以是两个独立的CSE。
一个具体实施例中,CSE1若确定第二资源读取请求中携带的对目标资源的访问控制策略的请求信息中,携带有访问控制令牌,则CSE1还可以从该访问控制令牌中获取访问控制策略。
CSE1按照预设的策略将从CSE2获取的访问控制策略与从访问控制令牌中获取的访问控制策略合并,基于合并后的访问控制策略评估发起者对目标资源的访问控制。
基于以上定义的资源,本发明实施例中,CSE2的根资源下包含有访问控制资源,该访问控制资源下至少有策略获取点资源,即该CSE2具有PRP的功能,如图5b所示,该CSE2获取访问控制策略的过程如下:
步骤501:获取CSE1对访问控制资源下的策略获取点资源的第二资源读取请求,该第二资源读取请求中携带对发起者请求访问的目标资源的访问控制策略的请求信息。
步骤502:获取目标资源对应的访问控制策略,并返回给该CSE1。
可选地,策略获取点资源所属的访问控制资源还具有指定访问控制策略的公共属性。
相应地,CSE2获取CSE1对访问控制资源下的策略获取点资源的第二资源读取请求之后,获取目标资源对应的访问控制策略之前,根据该策略获取点资源所属的访问控制资源指定的访问控制策略,确定允许CSE1访问该策略获取点资源。
其中,具有PRP功能的CSE2,与发出资源读取请求的CSE1,可以同一CSE,也可以是两个独立的CSE。
基于以上定义,如图6a所示,若具有PDP功能的CSE1根据获取的访问控制策略,确定发起者对目标资源的访问控制决策的过程中,还需要获取该访问控制策略对应的属性信息,则需要该具有PDP功能的CSE1与具有PIP功能的CSE3交互,以获得该属性信息,交互过程如下:
CSE1对CSE3的访问控制资源下的策略信息点资源发送第三资源读取请求,该第三资源读取请求中携带对该访问控制策略的访问控制属性的请求信息;
CSE3根据对访问控制资源下的策略信息点资源的第三资源读取请求,触发PIP的处理过程:获取访问控制策略对应的属性信息,通过访问控制属性应答将该属性信息返回给CSE1。
具体地,在第三资源读取请求中的内容(Content)参数携带:对访问控制策略的访问控制属性的请求信息,该资源读取请求为符合oneM2M标准的请求。
具体地,在访问控制属性应答中的Content参数携带该属性信息,该访问控制属性应答为符合oneM2M标准的应答。
其中,CSE1和CSE3可以是同一CSE,该CSE集成PDP和PIP的功能,也可以是两个独立的CSE。
具体地,访问控制策略的属性信息可以是访问控制策略的创建时间、创建者、访问控制策略的访问者、访问者的签约信息、访问者在访问控制策略中的角色(Role)等。
基于以上定义的资源,本发明实施例中,CSE3的根资源下包含有访问控制资源,该访问控制资源下至少有策略信息点资源,如图6b所示,即该CSE3具有PIP功能,该CSE3获取访问控制属性的过程如下:
步骤601:获取CSE1对访问控制资源下的策略信息点资源的第三资源读取请求,该第三资源读取请求中携带对访问控制策略的访问控制属性的请求信息。
步骤602:获取访问控制策略对应的属性信息,并返回给该CSE1。
可选地,策略信息点资源所属的访问控制资源还具有指定访问控制策略的公共属性。
相应地,CSE3获取CSE1对访问控制资源下的策略信息点资源的第三资源读取请求之后,获取访问控制策略对应的属性信息之前,根据该策略信息点资源所属的访问控制资源指定的访问控制策略,确定允许该CSE1访问该策略信息点资源。
其中,具有PIP功能的CSE3,与发出资源读取请求的CSE1,可以同一CSE,也可以是两个独立的CSE。
以下通过一个具体实施例对本发明实施例中提供的访问控制过程进行举例说明。
该具体实施例中进行如下假设:
PEP、PDP、PRP和PIP的功能分别集成于不同的CSE中,其中PEP位于CSE-0中,PDP位于CSE-1中,PRP位于CSE-2中,PIP位于CSE-3中;
资源访问的发起者为:AE-1,访问的目标资源为CSE-1上的:CSE-1\Group-1\memberIDs;
CSE-3上存储有适用于CSE-1\Group-1\memberIDs资源的访问控制策略:RBAC-Policy;
AE-1的角色存储在CSE-4上的CSE-4\m2mServiceSubscriptionProfile-1\serviceRoles资源中,AE-1的角色为:管理员(Administrator);
CSE-2上触发PDP功能的虚拟资源为:CSE-2\AccessControl-2\policyDecisionPoint;
CSE-3上触发PRP功能的虚拟资源为:CSE-3\AccessControl-3\policyRetrievalPoint;
CSE-4上触发PIP功能的虚拟资源为:CSE-4\AccessControl-4\policyInformationPoint;
在CSE-2上,CSE-2\AccessControl-2的访问控制策略允许来自于CSE-1的资源读取请求;
在CSE-3上,CSE-3\AccessControl-3的访问控制策略允许来自于CSE-2的资源读取请求;
在CSE-4上,CSE-4\AccessControl-4的访问控制策略允许来自于CSE-2的资源读取请求。
第一步,AE-1向CSE-1中的目标资源发送读取请求,具体为:发起者为AE-1,目标资源为CSE-1\Group-1\memberIDs,动作为读取(Retrieve)。
第二步,CSE-1中的PEP截取到该请求,并向预先配置的PDP发送访问控制决策请求,具体为:
发起者为CSE-1,目标资源为CSE-2\AccessControl-2\policyDecisionPoint,动作为读取,参数Content的内容为访问控制决策请求的内容:
{发起者=AE-1,目标资源=CSE-1\Group-1\memberIDs,动作=读取}。
第三步,CSE-2接收到CSE-1的访问控制决策请求。
首先检查CSE-2\AccessControl-2指定的访问控制策略,确定该指定的访问控制策略允许来自CSE-1的访问,然后向预先配置的PRP发送访问控制策略请求,具体为:
发起者为CSE-2,目标资源为CSE-3\AccessControl-3\policyRetrievalPoint,动作为读取,参数Content的内容为访问控制决策请求的内容:
{To=CSE-1\Group-1\memberIDs}。
第四步,CSE-3接收到CSE-2的访问控制策略请求。
首先检查CSE-3\AccessControl-3指定的访问控制策略,确定该指定的访问控制策略允许来自CSE-2的访问请求,然后根据AE-1访问的目标资源获取适用的访问控制策略。
第五步,CSE-3将获取的访问控制策略通过oneM2M响应返回给CSE-2,该oneM2M响应即为访问控制策略响应,具体为:响应代码(Response Code)为成功获取,参数Content的内容为获取的访问控制策略:
{访问控制策略=RBAC-Policy}。
第六步,CSE-2接收到CSE-3的访问控制策略响应,分析获得的基于角色的访问控制策略:RBAC-Policy,得知需要获取AE-1的角色(Role)才能进行策略评估,则CSE-2向预先配置的PIP发送访问控制属性请求,具体为:
发起者为CSE-2,目标资源为CSE-4\AccessControl-4\policyInformationPoint,动作为读取,参数Content的内容为:{用户=AE-1,请求的属性信息=Role}。
第七步,CSE-4接收到CSE-2的访问控制属性请求。首先检查CSE-4\AccessControl-4指定的访问控制策略,确定该指定的访问控制策略允许来自CSE-2的访问请求,然后根据用户信息从该用户的签约信息中获取该用户的角色为:管理员(Administrator)。
第八步,CSE-4将获取的属性信息通过oneM2M响应返回给CSE-2,该oneM2M响应即为访问控制属性响应,具体为:响应代码为成功获取,参数Content的内容为获取的属性信息:
{角色=Administrator}。
第九步,CSE-2接收到CSE-4的访问控制属性响应,获取AE-1的角色,然后利用获得的基于角色的访问控制策略和AE-1的角色评估用户AE-1的资源访问请求,确定评估结果,即访问控制决策为:允许AE-1的资源访问请求。
第十步,CSE-2将访问控制决策通过oneM2M响应返回给CSE-1,该oneM2M响应即为访问控制决策响应,具体为:
响应代码为成功获取,参数Content的内容为访问控制决策:
{访问控制决策=允许}。
基于同一发明构思,本发明实施例还提供了一种CSE,该CSE的具体实施可参见上述关于具有PDP功能的CSE1的描述,重复之处不再赘述,如图7所示,该CSE主要包括:
第一获取模块701,用于获取公共服务实体CSE对访问控制资源下的策略决策点资源的第一资源读取请求,所述第一资源读取请求中携带有发起者对所述CSE中的目标资源的访问控制决策的请求信息;
第二获取模块702,用于根据第一资源读取请求发送对绑定的策略获取点资源的第二资源读取请求,获取所述目标资源对应的访问控制策略,所述第二资源读取请求中携带对所述目标资源的访问控制策略的请求信息;
处理模块703,用于根据获取的所述访问控制策略确定所述发起者对所述目标资源的访问控制决策,并向所述CSE返回所述访问控制决策;
其中,所述访问控制资源为所属的CSE根资源下的普通资源,所述策略决策点资源以及所述策略获取点资源分别为对应的访问控制资源下的虚拟资源。
可选地,所述访问控制资源具有普通资源的通用属性,还具有指定访问控制策略的公共属性。
可选地,还包括第三获取模块704,用于所述第二获取模块702获取所述目标资源对应的访问控制策略后,所述处理模块703确定所述发起者对所述目标资源的访问控制决策之前,对绑定的策略信息点资源发送第三资源读取请求,获取所述访问控制策略对应的属性信息,所述第三资源读取请求中携带对所述访问控制策略的访问控制属性的请求信息;
其中,所述策略信息点资源为对应的访问控制资源下的虚拟资源。
具体地,所述处理模块703还用于:
在所述第一获取模块获取公共服务实体CSE对访问控制资源下的策略决策点资源的第一资源读取请求之后,在所述第二获取模块根据第一资源读取请求发送对绑定的策略获取点资源的第二资源读取请求之前,
根据所述策略决策点资源所属的访问控制资源指定的访问控制策略,确定允许所述CSE访问所述策略决策点资源。
具体地,所述第二获取模块还用于:
根据第一资源读取请求发送对绑定的策略获取点资源的第二资源读取请求之后,获取所述目标资源对应的访问控制策略之前,
根据所述策略获取点资源所属的访问控制资源指定的访问控制策略,确定允许所述CSE访问所述策略获取点资源。
具体地,所述第三获取模块还用于:
对绑定的策略信息点资源发送第三资源读取请求之后,获取所述访问控制策略对应的属性信息之前,
根据所述策略信息点资源所属的访问控制资源指定的访问控制策略,确定允许所述CSE访问所述策略信息点资源。
具体地,若获取到访问控制策略对应的属性信息,则所述处理模块具体用于:
根据所述访问控制策略以及所述访问控制策略对应的属性信息,确定所述发起者对所述目标资源的访问控制决策。
具体地,所述策略决策点资源、所述策略获取点资源以及所述策略信息点资源分别位于不同CSE根节点下的访问控制资源下;
或者,
所述策略决策点资源、所述策略获取点资源以及所述策略信息点资源中的至少两个位于同一CSE根节点下的不同访问控制资源下;
或者,
所述策略决策点资源、所述策略获取点资源以及所述策略信息点资源属于同一CSE根节点下的同一访问控制资源下。
基于同一发明构思,本发明实施例还提供了一种CSE,该CSE的具体实施可参见上述关于具有PDP功能的CSE1的描述,重复之处不再赘述,如图8所示,该CSE主要包括处理器801和存储器802,其中,存储器802中保存有预设程序,处理器801用于读取存储器802中的预设程序,按照该程序执行以下过程:
获取公共服务实体CSE对访问控制资源下的策略决策点资源的第一资源读取请求,所述第一资源读取请求中携带有发起者对所述CSE中的目标资源的访问控制决策的请求信息;
根据第一资源读取请求发送对绑定的策略获取点资源的第二资源读取请求,获取所述目标资源对应的访问控制策略,所述第二资源读取请求中携带对所述目标资源的访问控制策略的请求信息;
根据获取的所述访问控制策略确定所述发起者对所述目标资源的访问控制决策,并向所述CSE返回所述访问控制决策;
其中,所述访问控制资源为所属的CSE根资源下的普通资源,所述策略决策点资源以及所述策略获取点资源分别为对应的访问控制资源下的虚拟资源。
可选地,处理器801获取所述目标资源对应的访问控制策略后,确定所述发起者对所述目标资源的访问控制决策之前,对绑定的策略信息点资源发送第三资源读取请求,获取所述访问控制策略对应的属性信息,所述第三资源读取请求中携带对所述访问控制策略的访问控制属性的请求信息;
其中,所述策略信息点资源为对应的访问控制资源下的虚拟资源。
可选地,访问控制资源具有普通资源的通用属性,还具有指定访问控制策略的公共属性。
具体地,处理器801在获取公共服务实体CSE对访问控制资源下的策略决策点资源的第一资源读取请求之后,根据第一资源读取请求发送对绑定的策略获取点资源的第二资源读取请求之前,
根据所述策略决策点资源所属的访问控制资源指定的访问控制策略,确定允许所述CSE访问所述策略决策点资源。
具体地,处理器801根据第一资源读取请求发送对绑定的策略获取点资源的第二资源读取请求之后,获取所述目标资源对应的访问控制策略之前,
根据所述策略获取点资源所属的访问控制资源指定的访问控制策略,确定允许所述CSE访问所述策略获取点资源。
具体地,处理器801对绑定的策略信息点资源发送第三资源读取请求之后,获取所述访问控制策略对应的属性信息之前,
根据所述策略信息点资源所属的访问控制资源指定的访问控制策略,确定允许所述CSE访问所述策略信息点资源。
具体地,处理器801若获取访问控制策略对应的属性信息,则根据所述访问控制策略以及所述访问控制策略对应的属性信息,确定所述发起者对所述目标资源的访问控制决策。
其中,所述策略决策点资源、所述策略获取点资源以及所述策略信息点资源分别位于不同CSE根节点下的访问控制资源下;
或者,
所述策略决策点资源、所述策略获取点资源以及所述策略信息点资源中的至少两个位于同一CSE根节点下的不同访问控制资源下;
或者,
所述策略决策点资源、所述策略获取点资源以及所述策略信息点资源属于同一CSE根节点下的同一访问控制资源下。
基于同一发明构思,本发明实施例还提供了一种CSE,该CSE的具体实施可参见上述关于具有PRP功能的CSE2的描述,重复之处不再赘述,如图9所示,该CSE2主要包括:
获取模块901,用于获取公共服务实体CSE对访问控制资源下的策略获取点资源的资源读取请求,所述资源读取请求中携带对发起者请求访问的目标资源的访问控制策略的请求信息;
处理模块902,用于获取所述目标资源对应的访问控制策略,并返回给所述CSE;
其中,所述访问控制资源为所属的CSE根资源下的普通资源,所述策略获取点资源为对应的访问控制资源下的虚拟资源。
其中,所述访问控制资源具有普通资源的通用属性,还具有指定访问控制策略的公共属性。
可选地,所述处理模块902还用于:
在所述获取模块获取公共服务实体CSE对访问控制资源下的策略获取点资源的资源读取请求之后,获取所述目标资源对应的访问控制策略之前,
根据所述策略获取点资源所属的访问控制资源指定的访问控制策略,确定允许所述CSE访问所述策略获取点资源。
基于同一发明构思,本发明实施例还提供了一种CSE,该CSE的具体实施可参见上述关于具有PRP功能的CSE2的描述,重复之处不再赘述,如图10所示,该CSE主要包括处理器1001和存储器1002,其中,存储器1002中保存有预设程序,处理器1001用于读取存储器1002中的预设程序,按照该程序执行以下过程:
获取公共服务实体CSE对访问控制资源下的策略获取点资源的资源读取请求,所述资源读取请求中携带对发起者请求访问的目标资源的访问控制策略的请求信息;
获取所述目标资源对应的访问控制策略,并返回给所述CSE;
其中,所述访问控制资源为所属的CSE根资源下的普通资源,所述策略获取点资源为对应的访问控制资源下的虚拟资源。
可选地,所述访问控制资源具有普通资源的通用属性,还具有指定访问控制策略的公共属性。
具体地,处理器1001在获取公共服务实体CSE对访问控制资源下的策略获取点资源的资源读取请求之后,获取所述目标资源对应的访问控制策略之前,
根据所述策略获取点资源所属的访问控制资源指定的访问控制策略,确定允许所述CSE访问所述策略获取点资源。
基于同一发明构思,本发明实施例还提供了一种CSE,该CSE的具体实施可参见上述关于具有PIP功能的CSE3的描述,重复之处不再赘述,如图11所示,该CSE3主要包括:
获取模块1101,用于获取公共服务实体CSE对访问控制资源下的策略信息点资源的资源读取请求,所述资源读取请求中携带对访问控制策略的访问控制属性的请求信息;
处理模块1102,用于获取所述访问控制策略对应的属性信息,并返回给所述CSE;
其中,所述访问控制资源为所属的CSE根资源下的普通资源,所述策略信息点资源为对应的访问控制资源下的虚拟资源。
可选地,所述访问控制资源具有普通资源的通用属性,还具有指定访问控制策略的公共属性。
具体地,所述处理模块还用于:
在所述获取模块获取公共服务实体CSE对访问控制资源下的策略信息点资源的资源读取请求之后,获取所述访问控制策略对应的属性信息之前,
根据所述策略信息点资源所属的访问控制资源指定的访问控制策略,确定允许所述CSE访问所述策略信息点资源。
基于同一发明构思,本发明实施例还提供了一种CSE,该CSE的具体实施可参见上述关于具有PIP功能的CSE3的描述,重复之处不再赘述,如图12所示,该CSE主要包括处理器1201和存储器1202,其中,存储器1202中保存有预设程序,处理器1201用于读取存储器1202中的预设程序,按照该程序执行以下过程:
获取公共服务实体CSE对访问控制资源下的策略信息点资源的资源读取请求,所述资源读取请求中携带对访问控制策略的访问控制属性的请求信息;
获取所述访问控制策略对应的属性信息,并返回给所述CSE;
其中,所述访问控制资源为所属的CSE根资源下的普通资源,所述策略信息点资源为对应的访问控制资源下的虚拟资源。
可选地,所述访问控制资源具有普通资源的通用属性,还具有指定访问控制策略的公共属性。
具体地,处理器1201在获取公共服务实体CSE对访问控制资源下的策略信息点资源的资源读取请求之后,获取所述访问控制策略对应的属性信息之前,
根据所述策略信息点资源所属的访问控制资源指定的访问控制策略,确定允许所述CSE访问所述策略信息点资源。
基于上述技术方案,本发明实施例中,通过在CSE根资源下定义普通资源访问控制资源,在访问控制资源下定义策略决策点资源和/或策略获取点资源,并且定义策略决策点资源为触发PDP处理过程的虚拟资源,定义策略获取点资源为触发PRP处理过程的虚拟资源,从而通过对访问控制资源下的策略决策点资源的资源读取请求,触发具备PDP功能的CSE通过读取绑定的策略获取点资源获取目标资源的访问控制策略,根据获取的访问控制策略对目标资源的访问请求进行访问控制决策。
进一步地,在访问控制资源下定义策略信息点资源,并定义策略信息点资源为触发PIP处理过程的虚拟资源,具备PDP功能的CSE通过对绑定的策略信息点资源的读取请求,触发访问控制策略的属性信息的获取过程,使得能够结合访问控制策略及其属性信息进行访问控制决策。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (28)
1.一种访问控制方法,其特征在于,包括:
获取公共服务实体CSE对访问控制资源下的策略决策点资源的第一资源读取请求,所述第一资源读取请求中携带有发起者对所述CSE中的目标资源的访问控制决策的请求信息;
根据第一资源读取请求发送对绑定的策略获取点资源的第二资源读取请求,获取所述目标资源对应的访问控制策略,所述第二资源读取请求中携带对所述目标资源的访问控制策略的请求信息;
根据获取的所述访问控制策略确定所述发起者对所述目标资源的访问控制决策,并向所述CSE返回所述访问控制决策;
其中,所述访问控制资源为所属的CSE根资源下的普通资源,所述策略决策点资源以及所述策略获取点资源分别为对应的访问控制资源下的虚拟资源;所述普通资源为具有具体的资源结构以及资源属性的资源;所述虚拟资源为不具有具体的资源结构以及资源属性的资源。
2.如权利要求1所述的方法,其特征在于,所述访问控制资源具有普通资源的通用属性,还具有指定访问控制策略的公共属性。
3.如权利要求2所述的访问控制方法,其特征在于,获取所述目标资源对应的访问控制策略后,确定所述发起者对所述目标资源的访问控制决策之前,所述方法还包括:
对绑定的策略信息点资源发送第三资源读取请求,获取所述访问控制策略对应的属性信息,所述第三资源读取请求中携带对所述访问控制策略的访问控制属性的请求信息;
其中,所述策略信息点资源为对应的访问控制资源下的虚拟资源。
4.如权利要求2所述的方法,其特征在于,获取公共服务实体CSE对访问控制资源下的策略决策点资源的第一资源读取请求之后,根据第一资源读取请求发送对绑定的策略获取点资源的第二资源读取请求之前,所述方法还包括:
根据所述策略决策点资源所属的访问控制资源指定的访问控制策略,确定允许所述CSE访问所述策略决策点资源。
5.如权利要求2所述的方法,其特征在于,根据第一资源读取请求发送对绑定的策略获取点资源的第二资源读取请求之后,获取所述目标资源对应的访问控制策略之前,所述方法还包括:
根据所述策略获取点资源所属的访问控制资源指定的访问控制策略,确定允许所述CSE访问所述策略获取点资源。
6.如权利要求3所述的方法,其特征在于,对绑定的策略信息点资源发送第三资源读取请求之后,获取所述访问控制策略对应的属性信息之前,所述方法还包括:
根据所述策略信息点资源所属的访问控制资源指定的访问控制策略,确定允许所述CSE访问所述策略信息点资源。
7.如权利要求3所述的方法,其特征在于,确定所述发起者对所述目标资源的访问控制决策,包括:
根据所述访问控制策略以及所述访问控制策略对应的属性信息,确定所述发起者对所述目标资源的访问控制决策。
8.如权利要求3所述的方法,其特征在于,所述策略决策点资源、所述策略获取点资源以及所述策略信息点资源分别位于不同CSE根节点下的访问控制资源下;
或者,
所述策略决策点资源、所述策略获取点资源以及所述策略信息点资源中的至少两个位于同一CSE根节点下的不同访问控制资源下;
或者,
所述策略决策点资源、所述策略获取点资源以及所述策略信息点资源属于同一CSE根节点下的同一访问控制资源下。
9.一种获取访问控制策略的方法,其特征在于,包括:
获取公共服务实体CSE对访问控制资源下的策略获取点资源的资源读取请求,所述资源读取请求中携带对发起者请求访问的目标资源的访问控制策略的请求信息;
获取所述目标资源对应的访问控制策略,并返回给所述CSE;
其中,所述访问控制资源为所属的CSE根资源下的普通资源,所述策略获取点资源为对应的访问控制资源下的虚拟资源;所述普通资源为具有具体的资源结构以及资源属性的资源;所述虚拟资源为不具有具体的资源结构以及资源属性的资源。
10.如权利要求9所述的方法,其特征在于,所述访问控制资源具有普通资源的通用属性,还具有指定访问控制策略的公共属性。
11.如权利要求10所述的方法,其特征在于,获取公共服务实体CSE对访问控制资源下的策略获取点资源的资源读取请求之后,获取所述目标资源对应的访问控制策略之前,所述方法还包括:
根据所述策略获取点资源所属的访问控制资源指定的访问控制策略,确定允许所述CSE访问所述策略获取点资源。
12.一种获取访问控制属性的方法,其特征在于,包括:
获取公共服务实体CSE对访问控制资源下的策略信息点资源的资源读取请求,所述资源读取请求中携带对访问控制策略的访问控制属性的请求信息;
获取所述访问控制策略对应的属性信息,并返回给所述CSE;
其中,所述访问控制资源为所属的CSE根资源下的普通资源,所述策略信息点资源为对应的访问控制资源下的虚拟资源;所述普通资源为具有具体的资源结构以及资源属性的资源;所述虚拟资源为不具有具体的资源结构以及资源属性的资源。
13.如权利要求12所述的方法,其特征在于,所述访问控制资源具有普通资源的通用属性,还具有指定访问控制策略的公共属性。
14.如权利要求13所述的方法,其特征在于,获取公共服务实体CSE对访问控制资源下的策略信息点资源的资源读取请求之后,获取所述访问控制策略对应的属性信息之前,所述方法还包括:
根据所述策略信息点资源所属的访问控制资源指定的访问控制策略,确定允许所述CSE访问所述策略信息点资源。
15.一种公共服务实体CSE,其特征在于,包括:
第一获取模块,用于获取公共服务实体CSE对访问控制资源下的策略决策点资源的第一资源读取请求,所述第一资源读取请求中携带有发起者对所述CSE中的目标资源的访问控制决策的请求信息;
第二获取模块,用于根据第一资源读取请求发送对绑定的策略获取点资源的第二资源读取请求,获取所述目标资源对应的访问控制策略,所述第二资源读取请求中携带对所述目标资源的访问控制策略的请求信息;
处理模块,用于根据获取的所述访问控制策略确定所述发起者对所述目标资源的访问控制决策,并向所述CSE返回所述访问控制决策;
其中,所述访问控制资源为所属的CSE根资源下的普通资源,所述策略决策点资源以及所述策略获取点资源分别为对应的访问控制资源下的虚拟资源;所述普通资源为具有具体的资源结构以及资源属性的资源;所述虚拟资源为不具有具体的资源结构以及资源属性的资源。
16.如权利要求15所述的CSE,其特征在于,所述访问控制资源具有普通资源的通用属性,还具有指定访问控制策略的公共属性。
17.如权利要求16所述的CSE,其特征在于,还包括第三获取模块,用于所述第二获取模块获取所述目标资源对应的访问控制策略后,所述处理模块确定所述发起者对所述目标资源的访问控制决策之前,对绑定的策略信息点资源发送第三资源读取请求,获取所述访问控制策略对应的属性信息,所述第三资源读取请求中携带对所述访问控制策略的访问控制属性的请求信息;
其中,所述策略信息点资源为对应的访问控制资源下的虚拟资源。
18.如权利要求16所述的CSE,其特征在于,所述处理模块还用于:
在所述第一获取模块获取公共服务实体CSE对访问控制资源下的策略决策点资源的第一资源读取请求之后,在所述第二获取模块根据第一资源读取请求发送对绑定的策略获取点资源的第二资源读取请求之前,
根据所述策略决策点资源所属的访问控制资源指定的访问控制策略,确定允许所述CSE访问所述策略决策点资源。
19.如权利要求16所述的CSE,其特征在于,所述第二获取模块还用于:
根据第一资源读取请求发送对绑定的策略获取点资源的第二资源读取请求之后,获取所述目标资源对应的访问控制策略之前,
根据所述策略获取点资源所属的访问控制资源指定的访问控制策略,确定允许所述CSE访问所述策略获取点资源。
20.如权利要求17所述的CSE,其特征在于,所述第三获取模块还用于:
对绑定的策略信息点资源发送第三资源读取请求之后,获取所述访问控制策略对应的属性信息之前,
根据所述策略信息点资源所属的访问控制资源指定的访问控制策略,确定允许所述CSE访问所述策略信息点资源。
21.如权利要求17所述的CSE,其特征在于,所述处理模块具体用于:
根据所述访问控制策略以及所述访问控制策略对应的属性信息,确定所述发起者对所述目标资源的访问控制决策。
22.如权利要求17所述的CSE,其特征在于,所述策略决策点资源、所述策略获取点资源以及所述策略信息点资源分别位于不同CSE根节点下的访问控制资源下;
或者,
所述策略决策点资源、所述策略获取点资源以及所述策略信息点资源中的至少两个位于同一CSE根节点下的不同访问控制资源下;
或者,
所述策略决策点资源、所述策略获取点资源以及所述策略信息点资源属于同一CSE根节点下的同一访问控制资源下。
23.一种公共服务实体CSE,其特征在于,包括:
获取模块,用于获取公共服务实体CSE对访问控制资源下的策略获取点资源的资源读取请求,所述资源读取请求中携带对发起者请求访问的目标资源的访问控制策略的请求信息;
处理模块,用于获取所述目标资源对应的访问控制策略,并返回给所述CSE;
其中,所述访问控制资源为所属的CSE根资源下的普通资源,所述策略获取点资源为对应的访问控制资源下的虚拟资源;所述普通资源为具有具体的资源结构以及资源属性的资源;所述虚拟资源为不具有具体的资源结构以及资源属性的资源。
24.如权利要求23所述的CSE,其特征在于,所述访问控制资源具有普通资源的通用属性,还具有指定访问控制策略的公共属性。
25.如权利要求24所述的CSE,其特征在于,所述处理模块还用于:
在所述获取模块获取公共服务实体CSE对访问控制资源下的策略获取点资源的资源读取请求之后,获取所述目标资源对应的访问控制策略之前,
根据所述策略获取点资源所属的访问控制资源指定的访问控制策略,确定允许所述CSE访问所述策略获取点资源。
26.一种公共服务实体CSE,其特征在于,包括:
获取模块,用于获取公共服务实体CSE对访问控制资源下的策略信息点资源的资源读取请求,所述资源读取请求中携带对访问控制策略的访问控制属性的请求信息;
处理模块,用于获取所述访问控制策略对应的属性信息,并返回给所述CSE;
其中,所述访问控制资源为所属的CSE根资源下的普通资源,所述策略信息点资源为对应的访问控制资源下的虚拟资源;所述普通资源为具有具体的资源结构以及资源属性的资源;所述虚拟资源为不具有具体的资源结构以及资源属性的资源。
27.如权利要求26所述的CSE,其特征在于,所述访问控制资源具有普通资源的通用属性,还具有指定访问控制策略的公共属性。
28.如权利要求27所述的CSE,其特征在于,所述处理模块还用于:
在所述获取模块获取公共服务实体CSE对访问控制资源下的策略信息点资源的资源读取请求之后,获取所述访问控制策略对应的属性信息之前,根据所述策略信息点资源所属的访问控制资源指定的访问控制策略,确定允许所述CSE访问所述策略信息点资源。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510109267.9A CN106034112B (zh) | 2015-03-12 | 2015-03-12 | 访问控制、策略获取、属性获取方法及相关装置 |
PCT/CN2016/072206 WO2016141783A1 (zh) | 2015-03-12 | 2016-01-26 | 访问控制、策略获取、属性获取方法及相关装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510109267.9A CN106034112B (zh) | 2015-03-12 | 2015-03-12 | 访问控制、策略获取、属性获取方法及相关装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106034112A CN106034112A (zh) | 2016-10-19 |
CN106034112B true CN106034112B (zh) | 2019-05-10 |
Family
ID=56879826
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510109267.9A Active CN106034112B (zh) | 2015-03-12 | 2015-03-12 | 访问控制、策略获取、属性获取方法及相关装置 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN106034112B (zh) |
WO (1) | WO2016141783A1 (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110249642B (zh) * | 2017-01-13 | 2022-02-25 | 京东方科技集团股份有限公司 | 操作实例资源的方法和装置 |
CN108021362B (zh) * | 2017-12-21 | 2019-09-20 | 南京大学 | 基于XACML访问控制机制的Android应用访问控制代码生成方法 |
CN109165516A (zh) * | 2018-08-14 | 2019-01-08 | 中国银联股份有限公司 | 一种访问控制方法和装置 |
CN111131176B (zh) * | 2019-12-04 | 2022-07-01 | 北京北信源软件股份有限公司 | 资源访问控制方法、装置、设备及存储介质 |
CN111563529A (zh) * | 2020-03-31 | 2020-08-21 | 中国科学院信息工程研究所 | 一种数据类别属性表示方法及访问控制方法 |
CN114726547A (zh) * | 2022-05-16 | 2022-07-08 | 中国信息通信研究院 | 基于数据交换中间件工业互联网访问控制方法和可读介质 |
CN116112264B (zh) * | 2023-01-31 | 2024-04-02 | 深圳市艾莉诗科技有限公司 | 一种基于区块链的策略隐藏大数据访问控制方法和装置 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101257377A (zh) * | 2008-03-11 | 2008-09-03 | 南京邮电大学 | 一种基于社区授权服务的动态访问控制方法 |
CN102006297A (zh) * | 2010-11-23 | 2011-04-06 | 中国科学院软件研究所 | 一种基于两级策略决策的访问控制方法及其系统 |
CN102143186A (zh) * | 2011-04-01 | 2011-08-03 | 华为技术有限公司 | 访问控制方法、装置及系统 |
US8745224B2 (en) * | 2005-12-28 | 2014-06-03 | Intel Corporation | Method and apparatus for dynamic provisioning of an access control policy in a controller hub |
CN104050220A (zh) * | 2013-03-15 | 2014-09-17 | 国际商业机器公司 | 动态的基于策略的来自外部数据仓库的权利的方法和装置 |
CN104303454A (zh) * | 2012-10-30 | 2015-01-21 | Lg电子株式会社 | 认证对无线通信系统中的特定资源的访问授权的方法和装置 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8880682B2 (en) * | 2009-10-06 | 2014-11-04 | Emc Corporation | Integrated forensics platform for analyzing IT resources consumed to derive operational and architectural recommendations |
KR102084104B1 (ko) * | 2013-07-25 | 2020-03-03 | 콘비다 와이어리스, 엘엘씨 | 종단간 m2m 서비스 계층 세션 |
-
2015
- 2015-03-12 CN CN201510109267.9A patent/CN106034112B/zh active Active
-
2016
- 2016-01-26 WO PCT/CN2016/072206 patent/WO2016141783A1/zh active Application Filing
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8745224B2 (en) * | 2005-12-28 | 2014-06-03 | Intel Corporation | Method and apparatus for dynamic provisioning of an access control policy in a controller hub |
CN101257377A (zh) * | 2008-03-11 | 2008-09-03 | 南京邮电大学 | 一种基于社区授权服务的动态访问控制方法 |
CN102006297A (zh) * | 2010-11-23 | 2011-04-06 | 中国科学院软件研究所 | 一种基于两级策略决策的访问控制方法及其系统 |
CN102143186A (zh) * | 2011-04-01 | 2011-08-03 | 华为技术有限公司 | 访问控制方法、装置及系统 |
CN104303454A (zh) * | 2012-10-30 | 2015-01-21 | Lg电子株式会社 | 认证对无线通信系统中的特定资源的访问授权的方法和装置 |
CN104050220A (zh) * | 2013-03-15 | 2014-09-17 | 国际商业机器公司 | 动态的基于策略的来自外部数据仓库的权利的方法和装置 |
Non-Patent Citations (2)
Title |
---|
基于属性的安全增强云存储访问控制方案;牛德华,马建峰,马卓,李辰楠,王蕾;《通信学报》;20130831;第34卷(第Z1期);第276-284页 |
基于属性的访问控制模型;李晓峰,冯登国,陈朝武,房子河;《通信学报》;20080430;第29卷(第4期);第90-98页 |
Also Published As
Publication number | Publication date |
---|---|
WO2016141783A1 (zh) | 2016-09-15 |
CN106034112A (zh) | 2016-10-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106034112B (zh) | 访问控制、策略获取、属性获取方法及相关装置 | |
WO2018171587A1 (zh) | 一种网络切片模板生成、网络切片模板应用方法和装置 | |
US10129264B2 (en) | Method and apparatus for implementing document sharing between user groups | |
US9330161B2 (en) | Creating global aggregated namespaces for storage management | |
US10630556B2 (en) | Discovering and publishing device changes in a cloud environment | |
US11687354B2 (en) | Virtual machine management using onboarding operations and openstack control | |
CN106059825A (zh) | 一种分布式系统及配置方法 | |
CN105704188B (zh) | 应用与服务的部署方法和装置 | |
EP3843353B1 (en) | Access control policy configuration method, device and storage medium | |
CN113037794B (zh) | 计算资源配置调度方法、装置及系统 | |
EP3493472B1 (en) | Network function (nf) management method and nf management device | |
CN107111510B (zh) | 一种针对vnf包进行操作的方法及装置 | |
WO2017185251A1 (zh) | Vnfm的确定方法和网络功能虚拟化编排器 | |
CN110352401A (zh) | 具有按需代码执行能力的本地装置协调器 | |
US20180242177A1 (en) | Monitoring management method and apparatus | |
CN107306247B (zh) | 资源访问控制方法及装置 | |
CN109964507A (zh) | 网络功能的管理方法、管理单元及系统 | |
KR20210008525A (ko) | 가입 서버, 가입 단말기, 정보 가입 방법, 및 시스템 | |
EP3128715B1 (en) | Resource creation method and apparatus | |
US8224933B2 (en) | Method and apparatus for case-based service composition | |
US11540139B2 (en) | Adaptive network slicing via overlaying decomposition and inheritance | |
CN112583740B (zh) | 网络通信方法及装置 | |
US10567507B2 (en) | Message processing method and apparatus, and message processing system | |
WO2017181775A1 (zh) | 分布式授权管理方法及装置 | |
US11665167B2 (en) | Dynamically deployed limited access interface to computational resources |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |