CN107306247A - 资源访问控制方法及装置 - Google Patents
资源访问控制方法及装置 Download PDFInfo
- Publication number
- CN107306247A CN107306247A CN201610243763.8A CN201610243763A CN107306247A CN 107306247 A CN107306247 A CN 107306247A CN 201610243763 A CN201610243763 A CN 201610243763A CN 107306247 A CN107306247 A CN 107306247A
- Authority
- CN
- China
- Prior art keywords
- resource
- access control
- attribute
- request
- initiator
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 55
- 238000013475 authorization Methods 0.000 claims abstract description 107
- 239000003999 initiator Substances 0.000 claims description 194
- 230000004044 response Effects 0.000 claims description 83
- 238000001914 filtration Methods 0.000 claims description 81
- 230000008569 process Effects 0.000 claims description 21
- 230000005540 biological transmission Effects 0.000 claims description 14
- 238000011217 control strategy Methods 0.000 claims description 10
- 238000007596 consolidation process Methods 0.000 claims description 9
- 230000006870 function Effects 0.000 description 24
- 238000010586 diagram Methods 0.000 description 14
- 230000000875 corresponding effect Effects 0.000 description 8
- 238000012545 processing Methods 0.000 description 8
- 238000004590 computer program Methods 0.000 description 5
- 238000010276 construction Methods 0.000 description 5
- 230000003993 interaction Effects 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 102100029091 Exportin-2 Human genes 0.000 description 3
- 101000770958 Homo sapiens Exportin-2 Proteins 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000012854 evaluation process Methods 0.000 description 3
- 241000208340 Araliaceae Species 0.000 description 2
- 235000005035 Panax pseudoginseng ssp. pseudoginseng Nutrition 0.000 description 2
- 235000003140 Panax quinquefolius Nutrition 0.000 description 2
- 230000004913 activation Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000002596 correlated effect Effects 0.000 description 2
- 235000008434 ginseng Nutrition 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 239000013643 reference control Substances 0.000 description 2
- 101150119033 CSE2 gene Proteins 0.000 description 1
- 241001269238 Data Species 0.000 description 1
- 101100007792 Escherichia coli (strain K12) casB gene Proteins 0.000 description 1
- 101100273269 Thermus thermophilus (strain ATCC 27634 / DSM 579 / HB8) cse3 gene Proteins 0.000 description 1
- 230000003213 activating effect Effects 0.000 description 1
- 238000007630 basic procedure Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/40—Support for services or applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Multimedia (AREA)
- Storage Device Security (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了资源访问控制方法及装置。本发明中,授权实体根据新定义的资源,比如授权决策资源、授权策略资源或授权信息资源,生成资源访问控制过程中的请求消息,从而从其他授权实体获取需要的信息,在资源结构层面给出了资源访问控制方案。
Description
技术领域
本发明涉及通信技术领域,尤其涉及资源访问控制方法及装置。
背景技术
物联网标准化组织oneM2M致力于开发一系列用于构造公共的M2M(Machine-To-Machine,机器对机器通信)服务层的技术规范。oneM2M的核心是数据共享,具体是通过oneM2M CSE(Common Services Entity,公共服务实体)内定义的资源树上的数据项的共享实现的。
oneM2M通过对标准化的资源树进行操作来实现服务层资源的共享和交互,oneM2M资源树存在于oneM2M系统所定义的CSE中。根据oneM2M功能架构规范(oneM2M TS-0001:"Functional Architecture")中的定义,oneM2M资源树的形式如图1所示。对oneM2M资源可进行创建(Create)、查询(Retrieve)、修改(Update)和删除(Delete)等操作。
oneM2M所定义的资源中与授权相关的资源是访问控制策略资源<accessControlPolicy>,其中定义有ACP(Access Control Policy,访问控制策略)。<accessControlPolicy>资源由资源ID唯一标识,其他资源通过accessControlPolicyIDs属性指定所适用的访问控制策略。
目前,oneM2M系列规范中的安全规范(oneM2M TS-0003:"SecuritySolutions")给出了oneM2M授权架构的高层描述,具体给出了授权架构的主要组成部分和基本流程,但尚未在资源结构层面给出具体的实现方案。
发明内容
本发明实施例提供了一种资源访问控制方法及装置,在资源结构层面给出了资源访问控制方案。
本发明实施例提供的资源访问控制方法,包括:
PDP接收PEP发送的访问控制决策请求,所述访问控制决策请求由所述PEP根据授权决策资源生成;
所述PDP根据所述访问控制决策请求进行访问控制决策,得到访问控制决策信息;
所述PDP将所述访问控制决策信息携带于访问控制决策响应发送给所述PEP。
优选地,所述访问控制决策请求中包含:
返回结果指示信息,用于指示所述访问控制决策请求所请求返回的参数,所述返回结果指示信息根据所述授权决策资源的属性和/或子资源生成;和/或,
资源访问过滤条件,用于指示资源操作的过滤条件,所述资源访问过滤条件根据所述授权决策资源的属性和/或子资源生成。
其中,所述授权决策资源中用于生成返回结果指示信息的属性包括以下之一或任意组合:
决策属性,用于承载访问控制决策信息;
允许访问的属性,用于承载允许访问的目标资源的属性名称,所述目标资源为资源访问发起方请求访问的目标资源;
允许访问的资源类型,用于承载允许访问的目标资源的子资源类型标识,所述目标资源为资源访问发起方请求访问的目标资源;
状态属性,用于承载描述访问控制决策过程出现的错误。
其中,所述授权决策资源中用于生成资源访问过滤条件的属性包括以下之一或任意组合:
目标属性,用于承载资源访问发起方请求访问的目标资源的资源地址;
发起方属性,用于承载资源访问发起方的标识;
操作属性,用于承载资源访问发起方对请求访问的目标资源的操作标识;
内容属性,用于承载资源访问发起方请求访问的目标资源的具体内容;
过滤条件用途属性,用于承载资源访问发起方提供的资源访问过滤条件中表示过滤条件用途的参数;
角色标识属性,用于承载一组颁发给资源访问发起方的角色的标识;
令牌标识属性,用于承载一组颁发给资源访问发起方的携带有授权信息的令牌的标识;
令牌属性,用于承载一组颁发给资源访问发起方的携带有授权信息的令牌;
请求时间属性,用于承载所述PEP接收到资源访问发起方发送的资源访问请求的时间;
位置属性,用于承载资源访问发起方的位置;
请求方IP地址属性,用于承载资源访问发起方发送的资源访问请求中携带的IP地址。
优选地,所述PDP根据所述访问控制决策请求进行访问控制决策之前,还包括:
所述PDP根据所述访问控制决策请求,向策略获取点PRP发送访问控制策略请求,所述访问控制策略请求由所述PDP根据授权策略资源生成;
所述PDP接收所述PRP返回的访问控制策略响应,所述访问控制策略响应中包含所述PRP根据所述访问控制决策请求获取到的访问控制策略;
所述进行访问控制决策,包括:
根据获取到的访问控制策略进行访问控制决策。
其中,所述访问控制策略请求中包含:
返回结果指示信息,用于指示所述访问控制策略请求所请求返回的参数,所述返回结果指示信息根据所述授权策略资源的属性和/或子资源生成;和/或,
资源访问过滤条件,用于指示资源操作的过滤条件,所述资源访问过滤条件根据所述授权策略资源的属性和/或子资源生成。
其中,所述授权策略资源中用于生成返回结果指示信息的属性包括以下之一或任意组合:
策略属性,用于承载适用于资源访问发起方请求访问的目标资源的访问控制策略;
合并算法属性,用于承载合并策略属性中多个访问控制策略所使用的策略合并算法的标识。
其中,所述授权策略资源中用于生成资源访问过滤条件的属性包括以下之一或任意组合:
目标属性,用于承载资源访问发起方请求访问的目标资源的资源地址;
发起方属性,用于承载资源访问发起方的标识。
优选地,所述PDP根据所述访问控制决策请求进行访问控制决策之前,还包括:
所述PDP根据所述访问控制决策请求,向策略信息点PIP发送访问控制信息请求,所述访问控制信息请求由所述PDP根据授权信息资源生成;
所述PDP接收所述PIP返回的访问控制信息响应,所述访问控制信息响应中包含所述PIP根据所述访问控制信息请求获取到的访问控制信息;
所述进行访问控制决策,包括:
根据获取到的访问控制信息进行访问控制决策。
其中,所述访问控制信息请求中包含:
返回结果指示信息,用于指示所述访问控制信息请求所请求返回的参数,所述返回结果指示信息根据所述授权信息资源的属性和/或子资源生成;和/或,
资源访问过滤条件,用于指示资源操作的过滤条件,所述资源访问过滤条件根据所述授权信息资源的属性和/或子资源生成。
其中,所述授权信息资源中用于生成资源访问过滤条件的属性包括以下之一或任意组合:
发起方属性:用于承载资源访问发起方的标识;
角色标识属性:用于承载一组颁发给资源访问发起方的角色的标识;
令牌标识属性:用于承载一组颁发给资源访问发起方的携带有授权信息的令牌的标识。
其中,所述授权信息资源中用于生成返回结果指示信息的子资源包括以下之一或任意组合:
角色资源:用于承载一组颁发给资源访问发起方的角色资源;
令牌资源:用于承载一组颁发给资源访问发起方的令牌资源。
本发明另一实施例提供的资源访问控制方法,包括:
PDP接收PEP发送的访问控制决策请求;
所述PDP根据所述访问控制决策请求,向PRP发送访问控制策略请求,所述访问控制策略请求由所述PDP根据授权策略资源生成;
所述PDP接收所述PRP返回的访问控制策略响应,所述访问控制策略响应中包含所述PRP根据所述访问控制决策请求获取到的访问控制策略;
所述PDP根据获取到的访问控制策略进行访问控制决策,得到访问控制决策信息;
所述PDP将所述访问控制决策信息携带于访问控制决策响应发送给所述PEP。
优选地,所述访问控制策略请求中包含:
返回结果指示信息,用于指示所述访问控制策略请求所请求返回的参数,所述返回结果指示信息根据所述授权策略资源的属性和/或子资源生成;和/或,
资源访问过滤条件,用于指示资源操作的过滤条件,所述资源访问过滤条件根据所述授权策略资源的属性和/或子资源生成。
其中,所述授权策略资源中用于生成返回结果指示信息的属性包括以下之一或任意组合:
策略属性,用于承载适用于资源访问发起方请求访问的目标资源的访问控制策略;
合并算法属性,用于承载合并策略属性中多个访问控制策略所使用的策略合并算法的标识。
其中,所述授权策略资源中用于生成资源访问过滤条件的属性包括以下之一或任意组合:
目标属性,用于承载资源访问发起方请求访问的目标资源的资源地址;
发起方属性,用于承载资源访问发起方的标识。
本发明另一实施例提供的资源访问控制方法,包括:
PDP接收PEP发送的访问控制决策请求;
所述PDP根据所述访问控制决策请求,向策略信息点PIP发送访问控制信息请求,所述访问控制信息请求由所述PDP根据授权信息资源生成;
所述PDP接收所述PIP返回的访问控制信息响应,所述访问控制信息响应中包含所述PIP根据所述访问控制信息请求获取到的访问控制信息;
所述PDP根据获取到的访问控制信息进行访问控制决策,得到访问控制决策信息;
所述PDP将所述访问控制决策信息携带于访问控制决策响应发送给所述PEP。
优选地,所述访问控制信息请求中包含:
返回结果指示信息,用于指示所述访问控制信息请求所请求返回的参数,所述返回结果指示信息根据所述授权信息资源的属性和/或子资源生成;和/或,
资源访问过滤条件,用于指示资源操作的过滤条件,所述资源访问过滤条件根据所述授权信息资源的属性和/或子资源生成。
其中,所述授权信息资源中用于生成资源访问过滤条件的属性包括以下之一或任意组合:
发起方属性:用于承载资源访问发起方的标识;
角色标识属性:用于承载一组颁发给资源访问发起方的角色的标识;
令牌标识属性:用于承载一组颁发给资源访问发起方的携带有授权信息的令牌的标识。
其中,所述授权信息资源中用于生成返回结果指示信息的子资源包括以下之一或任意组合:
角色资源:用于承载一组颁发给资源访问发起方的角色资源;
令牌资源:用于承载一组颁发给资源访问发起方的令牌资源。
本发明实施例提供的PDP设备,包括:
接收模块,用于接收PEP发送的访问控制决策请求,所述访问控制决策请求由所述PEP根据授权决策资源生成;
决策模块,用于根据所述访问控制决策请求进行访问控制决策,得到访问控制决策信息;
发送模块,用于将所述访问控制决策信息携带于访问控制决策响应发送给所述PEP。
优选地,所述访问控制决策请求中包含:
返回结果指示信息,用于指示所述访问控制决策请求所请求返回的参数,所述返回结果指示信息根据所述授权决策资源的属性和/或子资源生成;和/或,
资源访问过滤条件,用于指示资源操作的过滤条件,所述资源访问过滤条件根据所述授权决策资源的属性和/或子资源生成。
其中,所述授权决策资源中用于生成返回结果指示信息的属性包括以下之一或任意组合:
决策属性,用于承载访问控制决策信息;
允许访问的属性,用于承载允许访问的目标资源的属性名称,所述目标资源为资源访问发起方请求访问的目标资源;
允许访问的资源类型,用于承载允许访问的目标资源的子资源类型标识,所述目标资源为资源访问发起方请求访问的目标资源;
状态属性,用于承载描述访问控制决策过程出现的错误;
所述授权决策资源中用于生成资源访问过滤条件的属性包括以下之一或任意组合:
目标属性,用于承载资源访问发起方请求访问的目标资源的资源地址;
发起方属性,用于承载资源访问发起方的标识;
操作属性,用于承载资源访问发起方对请求访问的目标资源的操作标识;
内容属性,用于承载资源访问发起方请求访问的目标资源的具体内容;
过滤条件用途属性,用于承载资源访问发起方提供的资源访问过滤条件中表示过滤条件用途的参数;
角色标识属性,用于承载一组颁发给资源访问发起方的角色的标识;
令牌标识属性,用于承载一组颁发给资源访问发起方的携带有授权信息的令牌的标识;
令牌属性,用于承载一组颁发给资源访问发起方的携带有授权信息的令牌;
请求时间属性,用于承载所述PEP接收到资源访问发起方发送的资源访问请求的时间;
位置属性,用于承载资源访问发起方的位置;
请求方IP地址属性,用于承载资源访问发起方发送的资源访问请求中携带的IP地址。
进一步地,还包括:第一获取模块,用于根据所述访问控制决策请求,向策略获取点PRP发送访问控制策略请求,所述访问控制策略请求由所述PDP根据授权策略资源生成;接收所述PRP返回的访问控制策略响应,所述访问控制策略响应中包含所述PRP根据所述访问控制决策请求获取到的访问控制策略;
所述决策模块具体用于:根据所述第一获取模块获取到的访问控制策略进行访问控制决策。
其中,所述访问控制策略请求中包含:
返回结果指示信息,用于指示所述访问控制策略请求所请求返回的参数,所述返回结果指示信息根据所述授权策略资源的属性和/或子资源生成;和/或,
资源访问过滤条件,用于指示资源操作的过滤条件,所述资源访问过滤条件根据所述授权策略资源的属性和/或子资源生成。
其中,所述授权策略资源中用于生成返回结果指示信息的属性包括以下之一或任意组合:
策略属性,用于承载适用于资源访问发起方请求访问的目标资源的访问控制策略;
合并算法属性,用于承载合并策略属性中多个访问控制策略所使用的策略合并算法的标识;
所述授权策略资源中用于生成资源访问过滤条件的属性包括以下之一或任意组合:
目标属性,用于承载资源访问发起方请求访问的目标资源的资源地址;
发起方属性,用于承载资源访问发起方的标识。
进一步地,还包括:第二获取模块,用于根据所述访问控制决策请求,向策略信息点PIP发送访问控制信息请求,所述访问控制信息请求由所述PDP根据授权信息资源生成;接收所述PIP返回的访问控制信息响应,所述访问控制信息响应中包含所述PIP根据所述访问控制信息请求获取到的访问控制信息;
所述决策模块具体用于:根据所述第二获取模块获取到的访问控制信息进行访问控制决策。
其中,所述访问控制信息请求中包含:
返回结果指示信息,用于指示所述访问控制信息请求所请求返回的参数,所述返回结果指示信息根据所述授权信息资源的属性和/或子资源生成;和/或,
资源访问过滤条件,用于指示资源操作的过滤条件,所述资源访问过滤条件根据所述授权信息资源的属性和/或子资源生成。
其中,所述授权信息资源中用于生成资源访问过滤条件的属性包括以下之一或任意组合:
发起方属性:用于承载资源访问发起方的标识;
角色标识属性:用于承载一组颁发给资源访问发起方的角色的标识;
令牌标识属性:用于承载一组颁发给资源访问发起方的携带有授权信息的令牌的标识;
所述授权信息资源中用于生成返回结果指示信息的子资源包括以下之一或任意组合:
角色资源:用于承载一组颁发给资源访问发起方的角色资源;
令牌资源:用于承载一组颁发给资源访问发起方的令牌资源。
本发明另一实施例提供的PDP设备,包括:
接收模块,用于接收PEP发送的访问控制决策请求;
获取模块,用于根据所述访问控制决策请求,向PRP发送访问控制策略请求,所述访问控制策略请求由所述PDP根据授权策略资源生成;接收所述PRP返回的访问控制策略响应,所述访问控制策略响应中包含所述PRP根据所述访问控制决策请求获取到的访问控制策略;
决策模块,用于根据获取到的访问控制策略进行访问控制决策,得到访问控制决策信息;
发送模块,用于将所述访问控制决策信息携带于访问控制决策响应发送给所述PEP。
优选地,所述访问控制策略请求中包含:
返回结果指示信息,用于指示所述访问控制策略请求所请求返回的参数,所述返回结果指示信息根据所述授权策略资源的属性和/或子资源生成;和/或,
资源访问过滤条件,用于指示资源操作的过滤条件,所述资源访问过滤条件根据所述授权策略资源的属性和/或子资源生成。
其中,所述授权策略资源中用于生成返回结果指示信息的属性包括以下之一或任意组合:
策略属性,用于承载适用于资源访问发起方请求访问的目标资源的访问控制策略;
合并算法属性,用于承载合并策略属性中多个访问控制策略所使用的策略合并算法的标识;
所述授权策略资源中用于生成资源访问过滤条件的属性包括以下之一或任意组合:
目标属性,用于承载资源访问发起方请求访问的目标资源的资源地址;
发起方属性,用于承载资源访问发起方的标识。
本发明另一实施例提供的PDP设备,包括:
接收模块,用于接收PEP发送的访问控制决策请求;
获取模块,用于根据所述访问控制决策请求,向PIP发送访问控制信息请求,所述访问控制信息请求由所述PDP根据授权信息资源生成;接收所述PIP返回的访问控制信息响应,所述访问控制信息响应中包含所述PIP根据所述访问控制信息请求获取到的访问控制信息;
决策模块,用于根据获取到的访问控制信息进行访问控制决策,得到访问控制决策信息;
发送模块,用于将所述访问控制决策信息携带于访问控制决策响应发送给所述PEP。
优选地,所述访问控制信息请求中包含:
返回结果指示信息,用于指示所述访问控制信息请求所请求返回的参数,所述返回结果指示信息根据所述授权信息资源的属性和/或子资源生成;和/或,
资源访问过滤条件,用于指示资源操作的过滤条件,所述资源访问过滤条件根据所述授权信息资源的属性和/或子资源生成。
其中,所述授权信息资源中用于生成资源访问过滤条件的属性包括以下之一或任意组合:
发起方属性:用于承载资源访问发起方的标识;
角色标识属性:用于承载一组颁发给资源访问发起方的角色的标识;
令牌标识属性:用于承载一组颁发给资源访问发起方的携带有授权信息的令牌的标识;
所述授权信息资源中用于生成返回结果指示信息的子资源包括以下之一或任意组合:
角色资源:用于承载一组颁发给资源访问发起方的角色资源;
令牌资源:用于承载一组颁发给资源访问发起方的令牌资源。
本发明的上述实施例中,授权实体根据新定义的资源(比如授权决策资源、授权策略资源或授权信息资源)生成资源访问控制过程中的请求消息,从而从其他授权实体获取需要的信息,在资源结构层面给出了资源访问控制方案。
附图说明
图1为现有技术中的oneM2M资源树示意图;
图2为现有技术中的oneM2M授权架构示意图;
图3为本发明实施例中基于oneM2M资源实现分布式授权的原理示意图;
图4为本发明实施例中授权资源与CSE根资源<CSEBase>的关系示意图;
图5为本发明实施例提供的<authorizationDecision>资源类型结构示意图;
图6为本发明实施例提供的<authorizationPolicy>资源类型结构示意图;
图7为本发明实施例提供的<authorizationInformation>资源类型结构示意图;
图8为本发明实施例提供的资源访问控制的通用流程示意图;
图9为本发明实施例提供的PEP与PDP之间的交互流程示意图;
图10为本发明实施例提供的PDP与PRP之间的交互流程示意图;
图11为本发明实施例提供的PDP与PIP之间的交互流程示意图;
图12为本发明实施例提供的PDP的结构示意图之一;
图13为本发明实施例提供的PDP的结构示意图之二;
图14为本发明实施例提供的PDP的结构示意图之三。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部份实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
oneM2M定义了两种基本实体:应用实体(Application Entity,AE)和公共服务实体(Common Services Entity,CSE)。
AE位于应用层,可实现一个M2M应用逻辑。一个应用逻辑既可以驻留在多个M2M节点中,也可以在单个节点中存在多个执行实例。应用逻辑的每个执行实例被称为一个AE,每个AE由唯一的AE-ID所标识。
CSE由一组M2M环境中的“公共服务功能(common service functions)”构成。每个CSE由唯一的CSE-ID所标识。oneM2M资源树存在于CSE中。
oneM2M定义了3种类型的资源:
普通资源(Normal Resource):具有具体的资源结构及资源属性。
虚拟资源(Virtual Resource):不具有具体的资源结构及资源属性,主要用于触发特定的处理过程。
公布资源(Announced Resource):具有具体的资源结构及属性,该资源为其他实体上普通资源某些内容的拷贝,主要目的是为资源发现提供便利。
oneM2M安全解决方案技术规范(oneM2M TS-0003:Security Solutions)中给出的授权架构如图2所示,该架构中可包括如下组件:
·策略执行点(Policy Enforcement Point,PEP):PEP与需要访问控制的应用系统共存,并由应用系统调用,PEP将根据资源访问发起方的资源访问请求生成访问控制决策请求,并发送给PDP,然后根据PDP返回的访问控制决策响应确定是否执行该资源访问请求。
·策略决策点(Policy Decision Point,PDP):PDP负责根据访问控制策略判决是否同意对由PEP发送来的访问控制决策请求所请求的目标资源进行访问,并将判决结果通过访问控制决策响应返回给PEP。
·策略获取点(Policy Retrieval Point,PRP):PRP根据PDP提供的访问控制策略请求获取适用的访问控制策略,并将获取的访问控制策略返回给PDP。
·策略信息点(Policy Information Point,PIP):PIP根据PDP的访问控制信息请求获取与用户、资源或环境相关的属性,例如访问用户的IP地址,资源的创建者,当前的时间等,然后将获得的属性返回给PDP。
oneM2M的基本资源访问控制流程可包括:
资源访问发起方向PEP发送资源访问请求(Access Request),PEP根据该资源访问请求向PDP发送访问控制决策请求(Decision Request)。
PDP根据PEP发送的访问控制决策请求向PRP发送访问控制策略请求(Policy Request),PRP向PDP返回访问控制策略响应(Policy Response),该访问控制策略响应中包含有访问控制策略。
PDP对访问控制决策请求和访问控制策略中包含的内容进行分析、判决;在进行分析、判决时,若需要其他属性,则向PIP发送访问控制信息请求(Attribute Request),PIP向PDP发送访问控制信息响应,该访问控制信息响应中包括根据访问控制信息请求获取到的与访问控制相关的属性。
PDP向PEP发送访问控制决策响应(Decision Response),该问控制决策响应中包括访问控制决策结果。PEP根据访问控制决策响应中的访问控制决策结果,决定是否执行资源访问发起方的资源访问请求。
本发明实施例针对资源访问控制,定义3种新的oneM2M资源,这3种资源属于普通资源(Normal Resource)类型,它们分别是:
授权决策资源,本发明实施例中表示为<authorizationDecision>资源;
授权策略资源,本发明实施例中表示为<authorizationPolicy>资源;
授权信息资源,本发明实施例中表示为<authorizationInformation>资源。
通过对这3种资源的操作可实现授权实体之间的数据交换,并可实现授权系统的分布式处理。对不同资源类型的访问决定了授权请求的类型,例如,访问控制决策请求访问<authorizationDecision>资源,访问控制策略请求访问<authorizationPolicy>资源,访问控制信息请求访问<authorizationInformation>资源。
上述这3种资源可设置在CSE根资源(<CSEBase>)下,即,这3种资源可作为CSEBase下的子资源,资源类型为普通资源(Normal Resource)。这3种资源可位于同一个CSE内(即为同一个<CSEBase>下的子资源,也可以位于不同的CSE内。比如,一种典型的例子中,<authorizationDecision>资源位于实现PDP功能的CSE内,<authorizationPolicy>资源位于实现PRP功能的CSE内,<authorizationInformation>资源位于实现PIP功能的CSE内。
一个CSE内可包括上述3种新的资源中的一种或多种。一个CSE内所包含的同一种资源(指上述3种新的资源中的一种资源),其资源数量可以是一个或多个,比如,一个CSE内可包含一个或多个<authorizationDecision>资源。
如果一个CSE内包含多种同类的资源,比如包含多个<authorizationDecision>资源,则可设置不同的<authorizationDecision>资源被不同的资源访问发起方进行访问,或者被不同组的资源访问发起方进行访问。
图3示例性地示出了一种基于资源的分布式授权架构和原理。
如图3所示,PEP(图中为Hosting CSE)通过对实现PDP功能的CSE(图中为CSE1)内的<authorizationDecision>资源的操作,实现PEP与PDP之间的信息交换,也即访问控制决策请求与访问控制决策响应的交互。
PDP(图中为CSE1)通过对实现PRP功能的CSE(图中为CSE2)中的<authorizationPolicy>资源的操作,实现PDP与PRP之间的信息交换,也即访问控制策略请求与访问控制策略响应的交互。
PDP(图中为CSE1)通过对实现PIP功能的CSE(图中为CSE3)中的<authorizationInformation>资源的操作,实现PDP与PRP之间的信息交换,也即访问控制信息请求与访问控制信息响应的交互。
需要说明的是,图3所示的例子中,<authorizationDecision>资源、<authorizationPolicy>资源和<authorizationInformation>资源分布在不同授权实体的CSE内,在其他一些例子中,上述3种资源中的多种可分布在同一CSE内,本发明实施例对此不做限制。
本发明实施例中,授权功能请求发起方(比如图3中的PDP、PRP或PIP)利用oneM2M资源读取操作(Retrieve)读取相应资源,利用读取请求(RetrieveRequest)中的Content参数描述期望获得的与授权相关的信息(即Content参数是用于指示所请求返回的参数),利用读取请求中的Filter Criteria参数提供相应的输入信息(即Filter Criteria参数是用于指示资源操作的过滤条件,比如指示资源读取操作的过滤条件)。授权功能接收方根据提供的输入信息执行相应的授权过程,并将执行结果以读取响应(Retrieve Response)的方式返回给授权功能发起方。
其中,读取请求(Retrieve Request)中的Content参数也可称为返回结果指示信息,可由上述本发明实施例定义的资源的属性和/或子资源生成,具体地,可由资源的属性名称或其他能够指示属性的信息构建得到;读取请求(Retrieve Request)中的Filter Criteria参数也可称为资源访问过滤条件,可由本发明实施例定义的资源的属性和/或子资源生成,具体地,可由资源的属性名称和属性值构建得到。
其中,基于图2所示的架构,读取请求(Retrieve Request)具体可包括:PEP发送给PDP的访问控制决策请求,PDP发送给PRP的访问控制策略请求,PDP发送给PIP的访问控制信息请求。
在oneM2M中,一个资源可包含一个或多个属性,资源的属性用来承载该资源的属性值。本发明实施例定义的上述3种资源中也可包括一个或多个属性。这些资源中的属性按其用途可分为两类:
用于生成返回结果指示信息的属性:资源访问发起方所请求获得的结果放在这些资源属性中,例如访问控制决策,访问控制策略,访问控制信息等;这些属性是Retrieve操作的目标资源中的属性。
用于生成资源访问过滤条件的属性:资源访问发起方提供的输入参数放在这些资源属性中,例如资源访问发起方的标识,目的资源地址,对资源的操作等;这些属性用于构建Retrieve操作的资源过滤条件,资源访问发起方通过此方式将输入参数传递给PDP、PRP或PIP。
进一步地,上述3种资源中还可以包含有子资源,这些子资源用于输出结果,所以又称为目的资源,例如查询角色或令牌时使用的<role>资源类型或<token>资源类型。
图4示例性地示出了一种授权资源与CSE根资源<CSEBase>的关系,其中,<CSEBase>下可包含oneM2M已定义的资源属性(请见图中所示的“其他资源属性”),oneM2M已定义子资源(请见图中所示的“其他子资源”),进一步地还包括本发明实施例定义的<authorizationDecision>资源、<authorizationPolicy>资源和<authorizationInformation>资源。进一步地,在一个<CSEBase>下,<authorizationDecision>资源的数量可以是一个或多个,也可以不包含<authorizationDecision>资源(图中用“0..n”表示可能的数量,n为大于等于1的整数);<authorizationPolicy>资源的数量可以是一个或多个,也可以不包含<authorizationPolicy>资源(图中用“0..n”表示可能的数量,n为大于等于1的整数);<authorizationInformation>资源的数量可以是一个或多个,也可以不包含<authorizationInformation>资源(图中用“0..n”表示可能的数量,n为大于等于1的整数)。
下面详细说明上述<authorizationDecision>资源、<authorizationPolicy>资源和<authorizationInformation>资源中的属性。
(1)<authorizationDecision>资源类型
<authorizationDecision>资源类型的结构如图5所示,图5中用“0..n”表示属性或子资源可能的数量,n为大于等于1的整数;用“L”表示属性值可以是列表(List)形式。
如图5所示,资源属性和子资源的定义如下:
决策属性:该属性用于承载访问控制决策信息;该属性的属性名称可表示为decision,属性值为访问控制决策;decision属性为可选属性;
允许访问的属性:用于承载允许访问的目标资源(即资源访问发起方请求访问的目标资源)的属性名称;该属性的属性名称可表示为permittedAttributes,属性值为允许访问的目标资源的属性名称列表;permittedAttributes属性为可选属性;进一步地,该属性的属性值可以采用列表形式;
允许访问的资源类型:用于承载允许访问的目标资源(即资源访问发起方请求访问的目标资源)的子资源类型标识;该属性的属性名称可表示为permittedResourceTypes,属性值为允许访问的目标资源的子资源类型标识列表;permittedResourceTypes属性为可选属性;进一步地,该属性的属性值可以采用列表形式;
状态属性:用于承载描述访问控制决策过程出现的错误;该属性的属性名称可表示为status,属性值为描述访问控制决策过程出现的错误;status属性为可选属性;
目标属性:用于承载资源访问发起方所请求访问的目标资源的资源地址;该属性的属性名称可表示为to,属性值为资源访问发起方(Originator)所访问的目标资源地址;to属性为可选属性;
发起方属性:用于承载资源访问发起方的标识;该属性的属性名称可表示为from,属性值为资源访问发起方的标识;from属性为可选属性;
操作属性:用于承载资源访问发起方对请求访问的目标资源的操作标识;该属性的属性名称可表示为operation,属性值为资源访问发起方对目标资源的操作标识;operation属性为可选属性;
内容属性:用于承载资源访问发起方所请求访问的目标资源的具体内容;该属性的属性名称为content,属性值为资源访问发起方想要访问的目标资源的具体内容;content属性为可选属性;
过滤条件用途属性:用于承载资源访问发起方提供的资源访问过滤条件中的表示过滤条件用途的参数;该属性的属性名称可表示为filterUsage,属性值为资源访问发起方提供的资源访问过滤条件filterCriteria中的表示过滤条件用途的filterUsage参数的值;filterUsage属性为可选属性;
角色标识属性:用于承载一组颁发给资源访问发起方的角色的标识;该属性的属性名称可表示为roleIDs,属性值为一组颁发给资源访问发起方的角色的标识;roleIDs属性为可选属性;进一步地,该属性的属性值可以采用列表形式;
令牌标识属性:用于承载一组颁发给资源访问发起方的携带有授权信息的令牌的标识;该属性的属性名称可表示为tokenIDs,属性值为一组颁发给资源访问发起方的携带有授权信息的令牌的标识;tokenIDs属性为可选属性;进一步地,该属性的属性值可以采用列表形式;
令牌属性:用于承载一组颁发给资源访问发起方的携带有授权信息的令牌;该属性的属性名称可表示为tokens,属性值为一组颁发给资源访问发起方的携带有授权信息的令牌;token属性为可选属性;进一步地,该属性的属性值可以采用列表形式;
请求时间属性:用于承载所述PEP接收到资源访问发起方发送的资源访问请求的时间;该属性的属性名称可表示为requestTime,属性值为宿主CSE(Hosting CSE)接收到资源访问发起方资源访问请求的时间;requestTime属性为可选属性;
位置属性:用于承载资源访问发起方的位置;该属性的属性名称可表示为requestLocation,属性值为资源访问发起方的位置信息;requestLocation属性为可选属性;
请求方IP地址属性:用于承载资源访问发起方发送的资源访问请求中携带的IP地址;该属性的属性名称可表示为requestIP,属性值为资源访问发起方资源访问请求数据包中携带的IP地址;requestIP属性为可选属性。
进一步地,<authorizationDecision>资源中还可包含子资源,表示为<subscription>。<authorizationDecision>资源中所包含的<subscription>资源的数量可以是一个或多个。<subscription>可以是oneM2M已定义的子资源。
上述<authorizationDecision>资源的属性中,decision属性、permittedAttributes属性、permittedResourceTypes属性以及status属性可用来生成资源控制决策请求中的“返回结果指示信息”(如前述的content参数),其他属性可用来生成资源控制决策请求中的“资源访问过滤条件”(如前述的Filter Criteria参数)。
需要说明的是,实际应用中可能不仅限于上述所定义的资源属性和子资源,通过对<authorizationDecision>资源的扩展,可以在访问控制决策请求中加入新的输入参数(如前述的Filter Criteria参数),在访问控制决策响应中加入新的输出参数(如前述的content参数)。
(2)<authorizationPolicy>资源类型
<authorizationPolicy>资源类型的结构如图6所示,图6中用“1”表示属性的数量为1;用“0..n”表示属性可能的数量,n为大于等于1的整数;用“L”表示属性值可以是列表(List)形式。
如图6所示,资源属性和子资源的定义如下:
策略属性:用于承载适用于资源访问发起方请求访问的目标资源的访问控制策略;该属性的属性名称可表示为policies,属性值为适用于目标资源的访问控制策略;policies属性为可选属性;进一步地,该属性的属性值可以采用列表形式;
合并算法属性:用于承载合并策略属性中多个访问控制策略所使用的策略合并算法的标识;该属性的属性名称为combiningAlgorithm,属性值为合并policies属性中多个访问控制策略所使用的策略合并算法的标识;combiningAlgorithm属性为可选属性;
目标属性:用于承载资源访问发起方请求访问的目标资源的资源地址;该属性的属性名称可表示为to,属性值为资源访问发起方访问的目标资源地址;to属性为可选属性;
发起方属性:用于承载资源访问发起方的标识;该属性的属性名称可表示为from,属性值为资源访问发起方的标识;from属性为可选属性。
进一步地,<authorizationPolicy>资源中还可以包含子资源,表示为<subscription>。<authorizationPolicy>资源中所包含的<subscription>资源的数量可以是一个或多个。<subscription>可以是oneM2M已定义的子资源。
上述<authorizationPolicy>资源的属性中,policies属性、combiningAlgorithm属性可用来生成资源控制策略请求中的“返回结果指示信息”(如前述的content参数),其他属性可用来生成资源控制策略请求中的“资源访问过滤条件”(如前述的Filter Criteria参数)。
需要说明的是,实际应用中可能不仅限于这里所定义的资源属性和子资源,通过对<authorizationPolicy>资源的扩展,可以在访问控制策略请求中加入新的输入参数(如前述的Filter Criteria参数),在访问控制策略响应中加入新的输出参数(如前述的content参数)。
(3)<authorizationInformation>资源类型
<authorizationInformation>资源类型的结构如图7所示,图7中用“1”表示属性的数量为1;用“0..n”表示属性可能的数量,n为大于等于1的整数;用“L”表示属性值可以是列表(List)形式。
如图7所示,资源属性和子资源的定义如下:
角色资源:该资源可表示为<role>,用于承载一组颁发给资源访问发起方的角色资源;该子资源为可选子资源;如果<authorizationInformation>资源中包含该子资源,则其数量可以是一个或多个;
令牌资源:该资源可表示为<token>,用于承载一组颁发给资源访问发起方的令牌资源;该子资源为可选子资源;
发起方属性:用于承载资源访问发起方的标识;该属性的属性名称可表示为from,属性值为资源访问发起方的标识;from属性为可选属性;
角色标识属性:用于承载一组颁发给资源访问发起方的角色的标识;该属性的属性名称可表示为roleIDs,属性值为一组颁发给资源访问发起方的角色的标识;roleIDs属性为可选属性;进一步地,该属性的属性值可以采用列表形式;
令牌标识属性:用于承载一组颁发给资源访问发起方的携带有授权信息的令牌的标识;该属性的属性名称可表示为tokenIDs,属性值为一组颁发给资源访问发起方的携带有授权信息的令牌的标识;tokenIDs属性为可选属性;进一步地,该属性的属性值可以采用列表形式;
进一步地,<authorizationInformation>资源中还可以包含其他子资源,表示为<subscription>。<authorizationInformation>资源中所包含的<subscription>资源的数量可以是一个或多个。<subscription>可以是oneM2M已定义的子资源。
上述<authorizationInformation>资源的属性和子资源中,<role>、<token>可用来生成资源控制信息请求中的“返回结果指示信息”(如前述的content参数),其他属性可用来生成资源控制信息请求中的“资源访问过滤条件”(如前述的Filter Criteria参数)。
需要说明的是,实际应用中可能不仅限于这里所定义的资源属性和子资源,通过对<authorizationPolicy>资源的扩展,可以在访问控制信息请求中加入新的输入参数(如前述的Filter Criteria参数),在访问控制信息响应中加入新的输出参数(如前述的content参数)。
基于本发明实施例所定义的上述资源,以及图2所提供的oneM2M授权架构,本发明实施例提供了以下资源访问控制(即资源授权流程)流程。
下面分别结合图8、图9、图10和图11,对本发明实施例提供的资源访问控制流程进行详细说明。
参见图8,为本发明实施例提供的资源访问控制的通用流程示意图,如图所示,该流程可包括:
步骤801:PEP根据资源访问发起方的资源访问请求,向PDP发送访问控制决策请求。
可选地,PEP发送的访问控制决策请求是根据<authorizationDecision>资源生成的。
具体地,访问控制决策请求中可包含有返回结果指示信息(比如前述的Content参数),该返回结果指示信息用于指示该访问控制决策请求所请求返回的参数,可根据<authorizationDecision>资源的属性和/或子资源生成,比如,Content参数可包括<authorizationDecision>资源的属性名称和/或该资源的子资源标识。
进一步地,访问控制决策请求中还包含有资源访问过滤条件(比如前述的FilterCriteria参数),资源访问过滤条件用于指示资源操作的过滤条件,可根据<authorizationDecision>资源的属性和/或子资源生成,比如,FilterCriteria参数可包括<authorizationDecision>资源的属性名称和属性值,和/或,子资源的标识和具体内容(比如子资源属性的属性值)。
步骤802:PDP根据访问控制决策请求进行访问控制决策。
可选地,PDP可从本地获得访问控制策略,也可从PRP获取访问控制策略。
PDP从PRP获取访问控制策略的过程可包括:PDP可根据该访问控制决策请求,向PRP发送访问控制策略请求,并接收PRP根据该访问控制策略请求返回的访问控制策略响应,访问控制策略响应中包含PRP根据该访问控制策略请求获取到的访问控制策略。其中,访问控制策略请求是PDP根据<authorizationPolicy>资源生成的。
具体地,访问控制策略请求中可包含有返回结果指示信息(比如前述的Content参数),该返回结果指示信息用于指示该访问控制策略请求所请求返回的参数,可根据<authorizationPolicy>资源属性和/或子资源生成,比如Content参数可包括<authorizationPolicy>资源的属性名称和/或该资源的子资源标识。
进一步地,访问控制策略请求中还包含有资源访问过滤条件(比如前述的FilterCriteria参数),资源访问过滤条件用于指示资源操作的过滤条件,可根据<authorizationPolicy>资源的属性和/或子资源构建,比如,FilterCriteria参数可包括<authorizationPolicy>资源的子资源标识和具体内容(比如子资源属性的属性值)。
相应地,PRP向PDP返回的访问控制策略响应中可包含根据上述返回结果指示信息和资源访问过滤条件获取到的,<authorizationPolicy>资源的属性值和/或该资源的子资源的内容。
进一步地,PDP还可从本地获取访问控制信息,也可从PIP获取访问控制信息。
PDP从PIP获取访问控制信息的过程可包括:PDP可根据该访问控制决策请求,向PIP发送访问控制信息请求,并接收PIP根据该访问控制信息请求返回的访问控制信息响应,访问控制信息响应中包含PIP根据该访问控制信息请求获取到的访问控制信息。其中,访问控制信息请求是PDP根据<authorizationInformation>资源生成的。
具体地,访问控制信息请求中可包含有返回结果指示信息(比如前述的Content参数),返回结果指示信息用于指示该访问控制信息请求所请求返回的参数,可根据<authorizationInformation>资源的属性和/或子资源生成,比如,Content参数可包括<authorizationInformation>资源的属性名称和/或该资源的子资源标识。
进一步地,访问控制信息请求中还包含有资源访问过滤条件(比如前述的FilterCriteria参数),资源访问过滤条件用于指示资源操作的过滤条件,可根据<authorizationInformation>资源的属性和/或子资源构建,比如,FilterCriteria参数可包括<authorizationInformation>资源的属性名称和属性值,和/或,子资源的标识和具体内容(比如子资源属性的属性值)。
相应地,PIP向PDP返回的访问控制信息响应中可包含根据上述返回结果指示信息和资源访问过滤条件获取到的,<authorizationInformation>资源的属性值和/或该资源的子资源的内容。
PDP根据获取到的访问控制策略,并可进一步结合获取到的访问控制信息进行访问控制决策,得到访问控制决策信息。
步骤803:PDP向PEP返回访问控制决策响应,所述访问控制决策响应中包含访问控制决策信息。
可选地,如果步骤801中,PEP发送的访问控制决策请求是PEP根据<authorizationDecision>资源按照上述方式生成的,则相应地,在步骤803中,PDP向PEP返回的访问控制决策响应中可包含根据访问控制决策请求中的上述返回结果指示信息和资源访问过滤条件获取到的,<authorizationDecision>资源的属性值和/或该资源的子资源的内容。
基于图8所示的流程,图9示例性地示出了一种PEP与PDP之间的交互流程。如图9所示,该流程可包括如下步骤:
步骤901:位于宿主CSE(Hosting CSE)中的PEP根据资源访问发起方(Originator)的资源访问请求生成访问控制决策请求(Access Control DecisionRequest),并发送给具有PDP功能的CSE。
访问控制决策请求可利用oneM2M的读操作实现,也即利用oneM2M的Retrieve操作读取具有PDP功能的CSE资源树中的<authorizationDecision>资源,并利用资源中的属性构建请求(Request)中的Content参数。
作为一个例子,构建Content参数时,<authorizationDecision>资源的decision属性为必选属性,表示PDP需要返回访问控制决策信息,其他为可选属性。
作为另一个例子,还可利用<authorizationDecision>资源的permittedAttributes属性构建Content参数,此种情况下,Content参数表示PDP还需要返回建议的可访问资源属性名称列表。
作为另一个例子,还可以利用<authorizationDecision>资源的permittedResourceTypes属性构建Content参数,此种情况下,Content参数表示PDP还需要返回建议的可访问的子资源类型标识列表。
作为另一个例子,还可以利用<authorizationDecision>资源的status属性构建Content参数,此种情况下,Content参数表示PDP还需要返回决策过程中的出错信息。
进一步地,还可利用<authorizationDecision>资源中的属性构建访问控制决策请求中Filter Criteria参数。作为一个例子,构建Filter Criteria参数时,<authorizationDecision>资源的to属性、from属性、operation属性为必选属性,其他属性为可选属性。
步骤902:具有PDP功能的CSE接收到来自于PEP的携带有访问控制决策请求(Access Control Decision Request)的资源访问请求后进行如下操作:
检查资源访问发起方是否具有访问<authorizationDecision>资源的权利,若有,则激活一个PDP处理过程,并将接收到参数传递给该过程。若不允许则跳转到步骤903。
PDP根据Filter Criteria参数中提供的数据获取访问控制策略。若访问控制策略不能在本地获得,相关过程参见PDP与PRP之间的交互过程。
PDP根据Filter Criteria参数中提供的数据获取访问控制信息。若访问控制信息不能在本地获得,相关过程参见PDP与PIP之间的交互过程。
PDP从Filter Criteria参数中获得访问控制决策评估过程所需的各种属性,例如,资源访问发起方标识,目标资源地址,对目标资源的操作,以及请求的时间、地点和IP地址等上下文信息,然后依据获取的访问控制策略和访问控制信息评估该资源访问请求,并产生相应的评估结果,具体的评估过程可参见oneM2M协议中的相关描述。若请求中包含有资源属性permittedAttributes和/或permittedResourceTypes,则PDP按访问控制策略中的描述生成相应的值,也即允许资源访问发起方所访问的资源属性名称列表或子资源类型标识列表;若请求中包含有资源属性status,则生成相应的值,以表示评估过程是否有错误产生,以及产生了什么错误,例如访问控制决策过程所需的属性缺失或语法错误等。
步骤903:PDP-CSE根据步骤902的评估结果生成携带有访问控制决策响应(Access Control Decision Response)的资源访问响应,其中包含有decision属性、permittedAttributes属性、permittedResourceTypes属性或status属性等属性的值,这些资源属性名称及其属性值放在响应的Content参数中。然后,PDP-CSE将生成的响应发送给PEP。
基于图8所示的流程,图10示例性地示出了一种PDP与PRP之间的交互流程。如图10所示,该流程可包括如下步骤:
步骤1001:位于CSE中的PDP根据PEP发送来的访问控制决策请求生成访问控制策略请求(Access Control Policy Request),并发送给具有PRP功能的CSE。
访问控制策略请求可利用oneM2M的读操作实现,也即利用oneM2M的Retrieve操作读取具有PRP功能的CSE资源树中的<authorizationPolicy>资源,并利用资源中的属性构建请求(Request)中的Content参数。作为一个例子,构建Content参数时,<authorizationPolicy>资源的policies属性为必选属性,表示PRP需要返回访问控制策略,其他为可选属性。
进一步地,还可利用<authorizationPolicy>资源中的属性构建请求中FilterCriteria参数。作为一个例子,构建Filter Criteria参数时,<authorizationPolicy>资源中的to属性为必选属性,其他属性为可选属性。
步骤1002:具有PRP功能的CSE接收到来自于PDP的携带有访问控制策略请求(Access Control Policy Request)的资源访问请求后进行如下操作:
检查资源访问发起方是否具有访问<authorizationPolicy>资源的权利,若有,则激活一个PRP处理过程,并将接收到参数传递给该过程。若不允许则跳转到步骤1003。
CSE-PRP根据Filter Criteria参数中提供的数据获取访问控制策略。PRP将获得的访问控制策略放到资源属性policies中;若请求中包含有资源属性combiningAlgorithm,则PRP还需提供相应的值。
步骤1003:PRP-CSE根据步骤1002的查询结果生成携带有访问控制策略响应(Access Control Policy Response)的访问控制策略响应,其中包含有policies属性或combiningAlgorithm属性等属性的值,这些资源属性名称及其属性值放在该响应的Content参数中。然后,PRP-CSE将生成的响应发送给PDP。
基于图8所示的流程,图11示例性地示出了一种PDP与PIP之间的交互流程。如图11所示,该流程可包括如下步骤:
步骤1101:位于CSE中的PDP根据PEP发送来的访问控制决策请求生成访问控制信息请求(Access Control Information Request),并发送给具有PIP功能的CSE。
访问控制信息请求可利用oneM2M的读操作实现,即利用oneM2M的Retrieve操作读取具有PIP功能的CSE资源树中的<authorizationInformation>资源,并利用资源中的属性构建请求(Request)中的Content参数,或要求PIP返回查询到的子资源。
作为一个例子,当要求PIP返回查询到的<role>子资源和/或<token>子资源时,访问控制信息请求中的Result Content参数的值设置为:“child-resources”。该设置要求PIP返回按Filter Criteria参数中提供的roleIDs和/或tokenIDs检索属于资源访问发起方的角色资源和/或令牌资源。
进一步地,可利用<authorizationInformation>资源中的属性构建请求中Filter Criteria参数。
作为一个例子,在构建Filter Criteria参数时,<authorizationInformation>资源的from属性为必选属性,其他为可选属性。
作为一个例子,当PDP接收到的访问控制决策请求中包含有roleIDs时(如该请求的Filter Criteria参数中包含roleIDs属性名称和属性值),则PDP在生成发送给PIP的访问控制信息请求时,可利用<authorizationInformation>资源的roleIDs属性构建Filter Criteria参数。
作为另一个例子,当PDP接收到的访问控制决策请求中包含有tokenIDs时(如该请求的Filter Criteria参数中包含tokenIDs属性名称和属性值),则PDP在生成发送给PIP的访问控制信息请求时,可利用<authorizationInformation>资源的tokenIDs属性构建Filter Criteria参数。
步骤1102:具有PIP功能的CSE接收到来自于PDP的携带有访问控制信息请求(Access Control Information Request)的资源访问请求后进行如下操作:
检查资源访问发起方是否具有访问<authorizationInformation>资源的权利,若有,则激活一个PIP处理过程,并将接收到参数传递给该过程。若不允许则跳转到步骤1103。
PIP根据Filter Criteria参数中提供的数据获取访问控制信息。PRP将获得的访问控制信息放到相应的资源属性或相应的目的子资源中,例如<role>资源和<token>资源。
步骤1103:PIP-CSE根据步骤1102的查询结果生成携带有访问控制信息响应(Access Control Information Response)的资源访问响应,其中包含有查询到的<role>资源和/或<token>资源等值。然后,PIP-CSE将生成的响应发送给PDP。
在本发明的另外的一些实施例中,也可以利用oneM2M的资源创建操作(Create)实现上述授权实体键的交互功能。此种情况下,请求的发起方通过Create操作中的Content参数携带需要输入的信息;接收方收到请求后将触发相应的授权过程,该授权过程利用Content参数中提供的输入信息执行相应的授权过程,并将授权过程产生的结果存储在资源属性中,然后利用Create响应中的Content参数将存储在资源属性中的值返回给发起方。
综上所述,现有的oneM2M只定义了授权系统的高层架构,并未提供具体的解决方案。本发明实施例提供了一种在oneM2M系统中实现分布式授权系统的方法。本发明实施例所定义的新资源及资源操作符合oneM2M所规定的普通资源类型,并且很好地满足了RESTful操作方式,无需对现有oneM2M技术进行过多的改动。
基于相同的技术构思,本发明实施例还提供了PDP,所提供的PDP可实习上述实施例描述的流程。
参见图12,为本发明实施例提供的一种PDP的结构示意图,该PDP可包括:接收模块1201、决策模块1202、发送模块1203,进一步地,还可包括第一获取模块1204,进一步地还可包括第二获取模块1205,其中:
接收模块1201,用于接收PEP发送的访问控制决策请求,所述访问控制决策请求由所述PEP根据授权决策资源生成;
决策模块1202,用于根据所述访问控制决策请求进行访问控制决策,得到访问控制决策信息;
发送模块1203,用于将所述访问控制决策信息携带于访问控制决策响应发送给所述PEP。
所述访问控制决策请求中包含的内容以及构建方法,可参见前述实施例的描述,在此不再重复。
所述授权决策资源中的属性和子资源,可参见前述实施例的描述,在此不再重复。
可选地,第一获取模块1204,用于根据所述访问控制决策请求,向PRP发送访问控制策略请求,所述访问控制策略请求由所述PDP根据授权策略资源生成;接收所述PRP返回的访问控制策略响应,所述访问控制策略响应中包含所述PRP根据所述访问控制决策请求获取到的访问控制策略。相应地,决策模块1202可根据第一获取模块1204获取到的访问控制策略进行访问控制决策。
所述访问控制决策请求中包含的内容以及构建方法,可参见前述实施例的描述,在此不再重复。
所述授权策略资源中包含的属性和子资源,可参见前述实施例的描述,在此不再重复。
可选地,第二获取模块1205,用于根据所述访问控制决策请求,向PIP发送访问控制信息请求,所述访问控制信息请求由所述PDP根据授权信息资源生成;接收所述PIP返回的访问控制信息响应,所述访问控制信息响应中包含所述PIP根据所述访问控制信息请求获取到的访问控制信息。相应地,决策模块1202可根据第二获取模块1205获取到的访问控制信息进行访问控制决策。
所述访问控制信息请求中包含的内容以及构建方法,可参见前述实施例的描述,在此不再重复。
所述访问控制信息请求中包含的属性和子资源,可参见前述实施例的描述,在此不再重复。
参见图13,为本发明另一实施例提供的PDP结构示意图。该PDP可包括:接收模块1301、获取模块1302、决策模块1303、发送模块1304,其中:
接收模块1301,用于接收PEP发送的访问控制决策请求;
获取模块1302,用于根据所述访问控制决策请求,向PRP发送访问控制策略请求,所述访问控制策略请求由所述PDP根据授权策略资源生成;接收所述PRP返回的访问控制策略响应,所述访问控制策略响应中包含所述PRP根据所述访问控制决策请求获取到的访问控制策略;
决策模块1303,用于根据获取到的访问控制策略进行访问控制决策,得到访问控制决策信息;
发送模块1304,用于将所述访问控制决策信息携带于访问控制决策响应发送给所述PEP。
所述访问控制策略请求中包含的内容以及构建方法,可参见前述实施例的描述,在此不再重复。
所述授权策略资源中的属性和子资源,可参见前述实施例的描述,在此不再重复。
参见图14,为本发明另一实施例提供的PDP结构示意图。该PDP可包括:接收模块1401、获取模块1402、决策模块1403、发送模块1404,其中:
接收模块1401,用于接收PEP发送的访问控制决策请求;
获取模块1402,用于根据所述访问控制决策请求,向PIP发送访问控制信息请求,所述访问控制信息请求由所述PDP根据授权信息资源生成;接收所述PIP返回的访问控制信息响应,所述访问控制信息响应中包含所述PIP根据所述访问控制信息请求获取到的访问控制信息;
决策模块1403,用于根据获取到的访问控制信息进行访问控制决策,得到访问控制决策信息;
发送模块1404,用于将所述访问控制决策信息携带于访问控制决策响应发送给所述PEP。
所述访问控制信息请求中包含的内容以及构建方法,可参见前述实施例的描述,在此不再重复。
所述授权信息资源中的属性和子资源,可参见前述实施例的描述,在此不再重复。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (35)
1.一种资源访问控制方法,其特征在于,包括:
策略决策点PDP接收策略执行点PEP发送的访问控制决策请求,所述访问控制决策请求由所述PEP根据授权决策资源生成;
所述PDP根据所述访问控制决策请求进行访问控制决策,得到访问控制决策信息;
所述PDP将所述访问控制决策信息携带于访问控制决策响应发送给所述PEP。
2.如权利要求1所述的方法,其特征在于,所述访问控制决策请求中包含:
返回结果指示信息,用于指示所述访问控制决策请求所请求返回的参数,所述返回结果指示信息根据所述授权决策资源的属性和/或子资源生成;和/或,
资源访问过滤条件,用于指示资源操作的过滤条件,所述资源访问过滤条件根据所述授权决策资源的属性和/或子资源生成。
3.如权利要求2所述的方法,其特征在于,所述授权决策资源中用于生成返回结果指示信息的属性包括以下之一或任意组合:
决策属性,用于承载访问控制决策信息;
允许访问的属性,用于承载允许访问的目标资源的属性名称,所述目标资源为资源访问发起方请求访问的目标资源;
允许访问的资源类型,用于承载允许访问的目标资源的子资源类型标识,所述目标资源为资源访问发起方请求访问的目标资源;
状态属性,用于承载描述访问控制决策过程出现的错误。
4.如权利要求2所述的方法,其特征在于,所述授权决策资源中用于生成资源访问过滤条件的属性包括以下之一或任意组合:
目标属性,用于承载资源访问发起方请求访问的目标资源的资源地址;
发起方属性,用于承载资源访问发起方的标识;
操作属性,用于承载资源访问发起方对请求访问的目标资源的操作标识;
内容属性,用于承载资源访问发起方请求访问的目标资源的具体内容;
过滤条件用途属性,用于承载资源访问发起方提供的资源访问过滤条件中表示过滤条件用途的参数;
角色标识属性,用于承载一组颁发给资源访问发起方的角色的标识;
令牌标识属性,用于承载一组颁发给资源访问发起方的携带有授权信息的令牌的标识;
令牌属性,用于承载一组颁发给资源访问发起方的携带有授权信息的令牌;
请求时间属性,用于承载所述PEP接收到资源访问发起方发送的资源访问请求的时间;
位置属性,用于承载资源访问发起方的位置;
请求方IP地址属性,用于承载资源访问发起方发送的资源访问请求中携带的IP地址。
5.如权利要求1所述的方法,其特征在于,所述PDP根据所述访问控制决策请求进行访问控制决策之前,还包括:
所述PDP根据所述访问控制决策请求,向策略获取点PRP发送访问控制策略请求,所述访问控制策略请求由所述PDP根据授权策略资源生成;
所述PDP接收所述PRP返回的访问控制策略响应,所述访问控制策略响应中包含所述PRP根据所述访问控制决策请求获取到的访问控制策略;
所述进行访问控制决策,包括:
根据获取到的访问控制策略进行访问控制决策。
6.如权利要求5所述的方法,其特征在于,所述访问控制策略请求中包含:
返回结果指示信息,用于指示所述访问控制策略请求所请求返回的参数,所述返回结果指示信息根据所述授权策略资源的属性和/或子资源生成;和/或,
资源访问过滤条件,用于指示资源操作的过滤条件,所述资源访问过滤条件根据所述授权策略资源的属性和/或子资源生成。
7.如权利要求6所述的方法,其特征在于,所述授权策略资源中用于生成返回结果指示信息的属性包括以下之一或任意组合:
策略属性,用于承载适用于资源访问发起方请求访问的目标资源的访问控制策略;
合并算法属性,用于承载合并策略属性中多个访问控制策略所使用的策略合并算法的标识。
8.如权利要求6所述的方法,其特征在于,所述授权策略资源中用于生成资源访问过滤条件的属性包括以下之一或任意组合:
目标属性,用于承载资源访问发起方请求访问的目标资源的资源地址;
发起方属性,用于承载资源访问发起方的标识。
9.如权利要求1所述的方法,其特征在于,所述PDP根据所述访问控制决策请求进行访问控制决策之前,还包括:
所述PDP根据所述访问控制决策请求,向策略信息点PIP发送访问控制信息请求,所述访问控制信息请求由所述PDP根据授权信息资源生成;
所述PDP接收所述PIP返回的访问控制信息响应,所述访问控制信息响应中包含所述PIP根据所述访问控制信息请求获取到的访问控制信息;
所述进行访问控制决策,包括:
根据获取到的访问控制信息进行访问控制决策。
10.如权利要求9所述的方法,其特征在于,所述访问控制信息请求中包含:
返回结果指示信息,用于指示所述访问控制信息请求所请求返回的参数,所述返回结果指示信息根据所述授权信息资源的属性和/或子资源生成;和/或,
资源访问过滤条件,用于指示资源操作的过滤条件,所述资源访问过滤条件根据所述授权信息资源的属性和/或子资源生成。
11.如权利要求10所述的方法,其特征在于,所述授权信息资源中用于生成资源访问过滤条件的属性包括以下之一或任意组合:
发起方属性:用于承载资源访问发起方的标识;
角色标识属性:用于承载一组颁发给资源访问发起方的角色的标识;
令牌标识属性:用于承载一组颁发给资源访问发起方的携带有授权信息的令牌的标识。
12.如权利要求10所述的方法,其特征在于,所述授权信息资源中用于生成返回结果指示信息的子资源包括以下之一或任意组合:
角色资源:用于承载一组颁发给资源访问发起方的角色资源;
令牌资源:用于承载一组颁发给资源访问发起方的令牌资源。
13.一种资源访问控制方法,其特征在于,包括:
策略决策点PDP接收策略执行点PEP发送的访问控制决策请求;
所述PDP根据所述访问控制决策请求,向策略获取点PRP发送访问控制策略请求,所述访问控制策略请求由所述PDP根据授权策略资源生成;
所述PDP接收所述PRP返回的访问控制策略响应,所述访问控制策略响应中包含所述PRP根据所述访问控制决策请求获取到的访问控制策略;
所述PDP根据获取到的访问控制策略进行访问控制决策,得到访问控制决策信息;
所述PDP将所述访问控制决策信息携带于访问控制决策响应发送给所述PEP。
14.如权利要求13所述的方法,其特征在于,所述访问控制策略请求中包含:
返回结果指示信息,用于指示所述访问控制策略请求所请求返回的参数,所述返回结果指示信息根据所述授权策略资源的属性和/或子资源生成;和/或,
资源访问过滤条件,用于指示资源操作的过滤条件,所述资源访问过滤条件根据所述授权策略资源的属性和/或子资源生成。
15.如权利要求14所述的方法,其特征在于,所述授权策略资源中用于生成返回结果指示信息的属性包括以下之一或任意组合:
策略属性,用于承载适用于资源访问发起方请求访问的目标资源的访问控制策略;
合并算法属性,用于承载合并策略属性中多个访问控制策略所使用的策略合并算法的标识。
16.如权利要求14所述的方法,其特征在于,所述授权策略资源中用于生成资源访问过滤条件的属性包括以下之一或任意组合:
目标属性,用于承载资源访问发起方请求访问的目标资源的资源地址;
发起方属性,用于承载资源访问发起方的标识。
17.一种资源访问控制方法,其特征在于,包括:
策略决策点PDP接收策略执行点PEP发送的访问控制决策请求;
所述PDP根据所述访问控制决策请求,向策略信息点PIP发送访问控制信息请求,所述访问控制信息请求由所述PDP根据授权信息资源生成;
所述PDP接收所述PIP返回的访问控制信息响应,所述访问控制信息响应中包含所述PIP根据所述访问控制信息请求获取到的访问控制信息;
所述PDP根据获取到的访问控制信息进行访问控制决策,得到访问控制决策信息;
所述PDP将所述访问控制决策信息携带于访问控制决策响应发送给所述PEP。
18.如权利要求17所述的方法,其特征在于,所述访问控制信息请求中包含:
返回结果指示信息,用于指示所述访问控制信息请求所请求返回的参数,所述返回结果指示信息根据所述授权信息资源的属性和/或子资源生成;和/或,
资源访问过滤条件,用于指示资源操作的过滤条件,所述资源访问过滤条件根据所述授权信息资源的属性和/或子资源生成。
19.如权利要求18所述的方法,其特征在于,所述授权信息资源中用于生成资源访问过滤条件的属性包括以下之一或任意组合:
发起方属性:用于承载资源访问发起方的标识;
角色标识属性:用于承载一组颁发给资源访问发起方的角色的标识;
令牌标识属性:用于承载一组颁发给资源访问发起方的携带有授权信息的令牌的标识。
20.如权利要求18所述的方法,其特征在于,所述授权信息资源中用于生成返回结果指示信息的子资源包括以下之一或任意组合:
角色资源:用于承载一组颁发给资源访问发起方的角色资源;
令牌资源:用于承载一组颁发给资源访问发起方的令牌资源。
21.一种策略决策点PDP设备,其特征在于,包括:
接收模块,用于接收策略执行点PEP发送的访问控制决策请求,所述访问控制决策请求由所述PEP根据授权决策资源生成;
决策模块,用于根据所述访问控制决策请求进行访问控制决策,得到访问控制决策信息;
发送模块,用于将所述访问控制决策信息携带于访问控制决策响应发送给所述PEP。
22.如权利要求21所述的设备,其特征在于,所述访问控制决策请求中包含:
返回结果指示信息,用于指示所述访问控制决策请求所请求返回的参数,所述返回结果指示信息根据所述授权决策资源的属性和/或子资源生成;和/或,
资源访问过滤条件,用于指示资源操作的过滤条件,所述资源访问过滤条件根据所述授权决策资源的属性和/或子资源生成。
23.如权利要求22所述的设备,其特征在于,所述授权决策资源中用于生成返回结果指示信息的属性包括以下之一或任意组合:
决策属性,用于承载访问控制决策信息;
允许访问的属性,用于承载允许访问的目标资源的属性名称,所述目标资源为资源访问发起方请求访问的目标资源;
允许访问的资源类型,用于承载允许访问的目标资源的子资源类型标识,所述目标资源为资源访问发起方请求访问的目标资源;
状态属性,用于承载描述访问控制决策过程出现的错误;
所述授权决策资源中用于生成资源访问过滤条件的属性包括以下之一或任意组合:
目标属性,用于承载资源访问发起方请求访问的目标资源的资源地址;
发起方属性,用于承载资源访问发起方的标识;
操作属性,用于承载资源访问发起方对请求访问的目标资源的操作标识;
内容属性,用于承载资源访问发起方请求访问的目标资源的具体内容;
过滤条件用途属性,用于承载资源访问发起方提供的资源访问过滤条件中表示过滤条件用途的参数;
角色标识属性,用于承载一组颁发给资源访问发起方的角色的标识;
令牌标识属性,用于承载一组颁发给资源访问发起方的携带有授权信息的令牌的标识;
令牌属性,用于承载一组颁发给资源访问发起方的携带有授权信息的令牌;
请求时间属性,用于承载所述PEP接收到资源访问发起方发送的资源访问请求的时间;
位置属性,用于承载资源访问发起方的位置;
请求方IP地址属性,用于承载资源访问发起方发送的资源访问请求中携带的IP地址。
24.如权利要求21所述的设备,其特征在于,还包括:
第一获取模块,用于根据所述访问控制决策请求,向策略获取点PRP发送访问控制策略请求,所述访问控制策略请求由所述PDP根据授权策略资源生成;接收所述PRP返回的访问控制策略响应,所述访问控制策略响应中包含所述PRP根据所述访问控制决策请求获取到的访问控制策略;
所述决策模块具体用于:根据所述第一获取模块获取到的访问控制策略进行访问控制决策。
25.如权利要求24所述的设备,其特征在于,所述访问控制策略请求中包含:
返回结果指示信息,用于指示所述访问控制策略请求所请求返回的参数,所述返回结果指示信息根据所述授权策略资源的属性和/或子资源生成;和/或,
资源访问过滤条件,用于指示资源操作的过滤条件,所述资源访问过滤条件根据所述授权策略资源的属性和/或子资源生成。
26.如权利要求25所述的设备,其特征在于,所述授权策略资源中用于生成返回结果指示信息的属性包括以下之一或任意组合:
策略属性,用于承载适用于资源访问发起方请求访问的目标资源的访问控制策略;
合并算法属性,用于承载合并策略属性中多个访问控制策略所使用的策略合并算法的标识;
所述授权策略资源中用于生成资源访问过滤条件的属性包括以下之一或任意组合:
目标属性,用于承载资源访问发起方请求访问的目标资源的资源地址;
发起方属性,用于承载资源访问发起方的标识。
27.如权利要求21所述的设备,其特征在于,还包括:
第二获取模块,用于根据所述访问控制决策请求,向策略信息点PIP发送访问控制信息请求,所述访问控制信息请求由所述PDP根据授权信息资源生成;接收所述PIP返回的访问控制信息响应,所述访问控制信息响应中包含所述PIP根据所述访问控制信息请求获取到的访问控制信息;
所述决策模块具体用于:根据所述第二获取模块获取到的访问控制信息进行访问控制决策。
28.如权利要求27所述的设备,其特征在于,所述访问控制信息请求中包含:
返回结果指示信息,用于指示所述访问控制信息请求所请求返回的参数,所述返回结果指示信息根据所述授权信息资源的属性和/或子资源生成;和/或,
资源访问过滤条件,用于指示资源操作的过滤条件,所述资源访问过滤条件根据所述授权信息资源的属性和/或子资源生成。
29.如权利要求28所述的设备,其特征在于,所述授权信息资源中用于生成资源访问过滤条件的属性包括以下之一或任意组合:
发起方属性:用于承载资源访问发起方的标识;
角色标识属性:用于承载一组颁发给资源访问发起方的角色的标识;
令牌标识属性:用于承载一组颁发给资源访问发起方的携带有授权信息的令牌的标识;
所述授权信息资源中用于生成返回结果指示信息的子资源包括以下之一或任意组合:
角色资源:用于承载一组颁发给资源访问发起方的角色资源;
令牌资源:用于承载一组颁发给资源访问发起方的令牌资源。
30.一种策略决策点PDP设备,其特征在于,包括:
接收模块,用于接收策略执行点PEP发送的访问控制决策请求;
获取模块,用于根据所述访问控制决策请求,向策略获取点PRP发送访问控制策略请求,所述访问控制策略请求由所述PDP根据授权策略资源生成;接收所述PRP返回的访问控制策略响应,所述访问控制策略响应中包含所述PRP根据所述访问控制决策请求获取到的访问控制策略;
决策模块,用于根据获取到的访问控制策略进行访问控制决策,得到访问控制决策信息;
发送模块,用于将所述访问控制决策信息携带于访问控制决策响应发送给所述PEP。
31.如权利要求30所述的设备,其特征在于,所述访问控制策略请求中包含:
返回结果指示信息,用于指示所述访问控制策略请求所请求返回的参数,所述返回结果指示信息根据所述授权策略资源的属性和/或子资源生成;和/或,
资源访问过滤条件,用于指示资源操作的过滤条件,所述资源访问过滤条件根据所述授权策略资源的属性和/或子资源生成。
32.如权利要求31所述的设备,其特征在于,所述授权策略资源中用于生成返回结果指示信息的属性包括以下之一或任意组合:
策略属性,用于承载适用于资源访问发起方请求访问的目标资源的访问控制策略;
合并算法属性,用于承载合并策略属性中多个访问控制策略所使用的策略合并算法的标识;
所述授权策略资源中用于生成资源访问过滤条件的属性包括以下之一或任意组合:
目标属性,用于承载资源访问发起方请求访问的目标资源的资源地址;
发起方属性,用于承载资源访问发起方的标识。
33.一种策略决策点PDP设备,其特征在于,包括:
接收模块,用于接收策略执行点PEP发送的访问控制决策请求;
获取模块,用于根据所述访问控制决策请求,向策略信息点PIP发送访问控制信息请求,所述访问控制信息请求由所述PDP根据授权信息资源生成;接收所述PIP返回的访问控制信息响应,所述访问控制信息响应中包含所述PIP根据所述访问控制信息请求获取到的访问控制信息;
决策模块,用于根据获取到的访问控制信息进行访问控制决策,得到访问控制决策信息;
发送模块,用于将所述访问控制决策信息携带于访问控制决策响应发送给所述PEP。
34.如权利要求33所述的设备,其特征在于,所述访问控制信息请求中包含:
返回结果指示信息,用于指示所述访问控制信息请求所请求返回的参数,所述返回结果指示信息根据所述授权信息资源的属性和/或子资源生成;和/或,
资源访问过滤条件,用于指示资源操作的过滤条件,所述资源访问过滤条件根据所述授权信息资源的属性和/或子资源生成。
35.如权利要求34所述的设备,其特征在于,所述授权信息资源中用于生成资源访问过滤条件的属性包括以下之一或任意组合:
发起方属性:用于承载资源访问发起方的标识;
角色标识属性:用于承载一组颁发给资源访问发起方的角色的标识;
令牌标识属性:用于承载一组颁发给资源访问发起方的携带有授权信息的令牌的标识;
所述授权信息资源中用于生成返回结果指示信息的子资源包括以下之一或任意组合:
角色资源:用于承载一组颁发给资源访问发起方的角色资源;
令牌资源:用于承载一组颁发给资源访问发起方的令牌资源。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610243763.8A CN107306247B (zh) | 2016-04-18 | 2016-04-18 | 资源访问控制方法及装置 |
PCT/CN2017/079937 WO2017181863A1 (zh) | 2016-04-18 | 2017-04-10 | 资源访问控制方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610243763.8A CN107306247B (zh) | 2016-04-18 | 2016-04-18 | 资源访问控制方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107306247A true CN107306247A (zh) | 2017-10-31 |
CN107306247B CN107306247B (zh) | 2020-09-01 |
Family
ID=60115568
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610243763.8A Active CN107306247B (zh) | 2016-04-18 | 2016-04-18 | 资源访问控制方法及装置 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN107306247B (zh) |
WO (1) | WO2017181863A1 (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109165516A (zh) * | 2018-08-14 | 2019-01-08 | 中国银联股份有限公司 | 一种访问控制方法和装置 |
WO2020156135A1 (zh) * | 2019-01-28 | 2020-08-06 | 电信科学技术研究院有限公司 | 一种访问控制策略的处理方法、装置及计算机可读存储介质 |
CN111669386A (zh) * | 2020-05-29 | 2020-09-15 | 武汉理工大学 | 一种基于令牌且支持客体属性的访问控制方法及装置 |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110197075B (zh) * | 2018-04-11 | 2023-03-17 | 腾讯科技(深圳)有限公司 | 资源访问方法、装置、计算设备以及存储介质 |
CN111241519B (zh) * | 2020-01-19 | 2022-07-26 | 北京工业大学 | 基于证书的访问控制系统和方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130227638A1 (en) * | 2012-02-27 | 2013-08-29 | Axiomatics Ab | Provisioning authorization claims using attribute-based access-control policies |
CN104811465A (zh) * | 2014-01-27 | 2015-07-29 | 电信科学技术研究院 | 一种访问控制的决策方法和设备 |
CN104955153A (zh) * | 2015-05-29 | 2015-09-30 | 青岛海尔智能家电科技有限公司 | 一种发现资源的方法、装置及设备 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102345346B1 (ko) * | 2013-12-01 | 2021-12-30 | 엘지전자 주식회사 | 무선 통신 시스템에서 특정 리소스의 관리를 위한 방법 및 장치 |
-
2016
- 2016-04-18 CN CN201610243763.8A patent/CN107306247B/zh active Active
-
2017
- 2017-04-10 WO PCT/CN2017/079937 patent/WO2017181863A1/zh active Application Filing
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130227638A1 (en) * | 2012-02-27 | 2013-08-29 | Axiomatics Ab | Provisioning authorization claims using attribute-based access-control policies |
CN104811465A (zh) * | 2014-01-27 | 2015-07-29 | 电信科学技术研究院 | 一种访问控制的决策方法和设备 |
CN104955153A (zh) * | 2015-05-29 | 2015-09-30 | 青岛海尔智能家电科技有限公司 | 一种发现资源的方法、装置及设备 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109165516A (zh) * | 2018-08-14 | 2019-01-08 | 中国银联股份有限公司 | 一种访问控制方法和装置 |
WO2020156135A1 (zh) * | 2019-01-28 | 2020-08-06 | 电信科学技术研究院有限公司 | 一种访问控制策略的处理方法、装置及计算机可读存储介质 |
CN111669386A (zh) * | 2020-05-29 | 2020-09-15 | 武汉理工大学 | 一种基于令牌且支持客体属性的访问控制方法及装置 |
CN111669386B (zh) * | 2020-05-29 | 2021-06-04 | 武汉理工大学 | 一种基于令牌且支持客体属性的访问控制方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
WO2017181863A1 (zh) | 2017-10-26 |
CN107306247B (zh) | 2020-09-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107306247A (zh) | 资源访问控制方法及装置 | |
Whaiduzzaman et al. | Cloud service selection using multicriteria decision analysis | |
CN105119966B (zh) | 一种公众号管理方法及装置 | |
CN106656937A (zh) | 一种访问控制方法和访问令牌颁发方法、设备 | |
CN108600175B (zh) | 系统操作权限的控制方法、装置及存储介质 | |
CN102378974B (zh) | 使用访问图来提供对数据项的访问 | |
CN104618312B (zh) | 一种m2m应用的远程注册方法、装置和系统 | |
CN109862018A (zh) | 基于用户访问行为的反爬虫方法及系统 | |
CN106034112B (zh) | 访问控制、策略获取、属性获取方法及相关装置 | |
CN110351111A (zh) | 一种订阅处理方法、网络节点及用户数据库 | |
CN105893138A (zh) | 基于配额的资源管理方法和装置 | |
CN104811465A (zh) | 一种访问控制的决策方法和设备 | |
CN110110509A (zh) | 权限管理方法及相关产品 | |
CN109697500A (zh) | 数据处理方法、装置、电子设备及存储介质 | |
CN103957255B (zh) | 一种轻量级应用开发云服务平台及其资源的访问方法 | |
CN106973031A (zh) | 一种资源访问控制方法、装置及系统 | |
CN107404512A (zh) | 资源订阅方法、资源订阅装置和资源订阅系統 | |
CN106656942A (zh) | 角色令牌颁发方法、访问控制方法及相关设备 | |
Huang et al. | BSNet: a network‐based framework for service‐oriented business ecosystem management | |
CN102316128A (zh) | 一种用于生成网络服务的方法及装置 | |
CN106612193A (zh) | 在虚拟化技术下的网络开局配置方法及装置 | |
CN106656936B (zh) | 一种访问控制方法、prp实体、pdp实体和pep实体 | |
CN110020525A (zh) | Kubernetes平台的权限配置方法、装置、计算机设备及存储介质 | |
CN105282099A (zh) | 防火墙命令的生成方法和装置 | |
US20230254320A1 (en) | Access Control Enforcement Architectures for Dynamic Manufacturing Systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |