CN107306398A - 分布式授权管理方法及装置 - Google Patents
分布式授权管理方法及装置 Download PDFInfo
- Publication number
- CN107306398A CN107306398A CN201610242998.5A CN201610242998A CN107306398A CN 107306398 A CN107306398 A CN 107306398A CN 201610242998 A CN201610242998 A CN 201610242998A CN 107306398 A CN107306398 A CN 107306398A
- Authority
- CN
- China
- Prior art keywords
- resource
- attribute
- pdp
- access control
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了分布式授权管理方法及装置。本发明中,授权实体根据包含有用于承载授权实体地址的属性的资源中用于承载授权实体地址的属性获取其他授权实体的地址,从而基于该地址从其他授权实体获取相应信息,在资源结构层面给出了分布式授权管理方案。
Description
技术领域
本发明涉及通信技术领域,尤其涉及分布式授权管理方法及装置。
背景技术
物联网标准化组织oneM2M致力于开发一系列用于构造公共的M2M(Machine-To-Machine,机器对机器通信)服务层的技术规范。oneM2M的核心是数据共享,具体是通过oneM2M CSE(Common Services Entity,公共服务实体)内定义的资源树上的数据项的共享实现的。
oneM2M通过对标准化的资源树进行操作来实现服务层资源的共享和交互,oneM2M资源树存在于oneM2M系统所定义的CSE中。根据oneM2M功能架构规范(oneM2M TS-0001:"Functional Architecture")中的定义,oneM2M资源树的形式如图1所示。对oneM2M资源可进行创建(Create)、查询(Retrieve)、修改(Update)和删除(Delete)等操作。
oneM2M所定义的资源中与授权相关的资源是访问控制策略资源<accessControlPolicy>,其中定义有ACP(Access Control Policy,访问控制策略)。<accessControlPolicy>资源由资源ID唯一标识,其他资源通过accessControlPolicyIDs属性指定所适用的访问控制策略。
目前,oneM2M系列规范中的安全规范(oneM2M TS-0003:"SecuritySolutions")给出了oneM2M授权架构的高层描述,具体给出了授权架构的主要组成部分和基本流程,但尚未在资源结构层面给出具体的分布式授权管理方案。
发明内容
本发明实施例提供了一种分布式授权管理方法及装置,在资源结构层面给出了分布式授权管理方案。
本发明实施例提供的分布式授权管理方法,包括:
PEP根据接收到的资源访问请求获取包含有用于承载授权实体地址的属性的资源;
所述PEP根据所述资源中用于承载授权实体地址的属性获取授权实体地址,所述授权实体包括PDP、PRP、PIP中的一种或多种;
所述PEP根据获取到的授权实体地址,从对应的授权实体获取用于执行访问控制决策的信息;
所述PEP根据获取到的用于执行访问控制决策的信息,针对所述资源访问请求执行访问控制决策。
优选地,所述包含有用于承载授权实体地址的属性的资源,为包含有用于承载授权实体地址的属性的访问控制策略资源;
PEP根据所述资源中用于承载授权实体地址的属性获取PDP地址,包括:
若所述PEP未从所述包含有用于承载授权实体地址的属性的访问控制策略资源中获取到访问控制策略,则根据该资源中用于承载授权实体地址的属性获取PDP地址。
优选地,PEP根据接收到的资源访问请求获取包含有用于承载授权实体地址的属性的资源,包括:
所述PEP根据接收到的资源访问请求,获取所请求访问的目标资源适用的访问控制策略资源;
若所述PEP未从所述访问控制策略资源中获取到访问控制策略,则获取所述包含有用于承载授权实体地址的属性的资源。
优选地,所述用于承载授权实体地址的属性包括:PDP接入点属性,所述PDP接入点属性用于承载一个或多个PDP地址。
其中,若PDP接入点属性中承载有多个PDP地址,则所述PEP根据所述资源中用于承载授权实体地址的属性获取PDP地址,包括:所述PEP根据所述资源中的PDP接入点属性获取PDP地址,并从获取到的PDP地址中选择一个PDP地址。
本发明另一实施例提供的分布式授权管理方法,包括:
PDP根据接收到的访问控制决策请求获取包含有用于承载授权实体地址的属性的资源;
所述PDP根据所述资源中用于承载授权实体地址的属性获取PRP地址;
所述PDP根据获取到的PRP地址,从对应的PRP获取访问控制策略;
所述PDP根据获取到的访问控制策略进行访问控制决策。
优选地,所述包含有用于承载授权实体地址的属性的资源,为包含有用于承载授权实体地址的属性的访问控制策略资源;
所述PDP根据所述资源中用于承载授权实体地址的属性获取PRP地址,包括:
若所述PDP未从所述包含有用于承载授权实体地址的属性的访问控制策略资源中获取到访问控制策略,则根据该资源中用于承载授权实体地址的属性获取PRP地址。
优选地,所述PDP根据接收到的访问控制决策请求获取包含有用于承载授权实体地址的属性的资源,包括:
所述PDP根据接收到的访问控制决策请求,获取所请求访问的目标资源适用的访问控制策略资源;
若所述PEP未从所述访问控制策略资源中获取到访问控制策略,则获取所述包含有用于承载授权实体地址的属性的资源。
优选地,所述用于承载授权实体地址的属性包括:PRP接入点属性,所述PRP接入点属性用于承载一个或多个PRP地址。
其中,若PRP接入点属性中承载有多个PRP地址,则所述PDP根据所述资源中用于承载授权实体地址的属性获取PRP地址,包括:所述PDP根据所述资源中的PRP接入点属性获取PRP地址,并从获取到的PRP地址中选择一个PRP地址。
本发明另一实施例提供的分布式授权管理方法,包括:
PDP根据接收到的访问控制决策请求获取包含有用于承载授权实体地址的属性的资源;
所述PDP根据所述资源中用于承载授权实体地址的属性获取PIP地址;
所述PDP根据获取到的PIP地址,从对应的PIP获取访问控制信息;
所述PDP根据获取到的访问控制信息进行访问控制决策。
优选地,所述PDP根据接收到的访问控制决策请求获取包含有用于承载授权实体地址的属性的资源,包括:所述PDP根据接收到的访问控制决策请求,在所述PDP本地未获取到所需的访问控制信息,则获取所请求访问的目标资源适用的包含有用于承载授权实体地址的属性的资源。
优选地,所述用于承载授权实体地址的属性包括:PIP接入点属性,所述PIP接入点属性用于承载一个或多个PIP地址。
其中,若PIP接入点属性中承载有多个PIP地址,则所述PDP根据所述资源中用于承载授权实体地址的属性获取PIP地址,包括:所述PDP根据所述资源中的PIP接入点属性获取PIP地址,并从获取到的PIP地址中选择一个PIP地址。
本发明实施例提供的PEP设备,包括:
第一获取模块,用于根据接收到的资源访问请求获取包含有用于承载授权实体地址的属性的资源;
第二获取模块,用于根据所述资源中用于承载授权实体地址的属性获取授权实体地址,所述授权实体包括PDP、PRP、PIP中的一种或多种;
第三获取模块,用于根据获取到的授权实体地址,从对应的授权实体获取用于执行访问控制决策的信息;
决策执行模块,用于根据获取到的用于执行访问控制决策的信息,针对所述资源访问请求执行访问控制决策。
优选地,所述包含有用于承载授权实体地址的属性的资源,为包含有用于承载授权实体地址的属性的访问控制策略资源;所述第二获取模块具体用于:若未从所述包含有用于承载授权实体地址的属性的访问控制策略资源中获取到访问控制策略,则根据该资源中用于承载授权实体地址的属性获取PDP地址;或者,
所述第一获取模块具体用于:根据接收到的资源访问请求,获取所请求访问的目标资源适用的访问控制策略资源,若未从该资源中获取到访问控制策略,则获取所述包含有用于承载授权实体地址的属性的资源。
优选地,所述用于承载授权实体地址的属性包括:PDP接入点属性,所述PDP接入点属性用于承载一个或多个PDP地址。
本发明实施例提供的PDP设备,包括:
第一获取模块,用于根据接收到的访问控制决策请求获取包含有用于承载授权实体地址的属性的资源;
第二获取模块,用于根据所述资源中用于承载授权实体地址的属性获取PRP地址;
第三获取模块,用于根据获取到的PRP地址,从对应的PRP获取访问控制策略;
决策模块,用于根据获取到的访问控制策略进行访问控制决策。
优选地,所述包含有用于承载授权实体地址的属性的资源,为包含有用于承载授权实体地址的属性的访问控制策略资源;所述第二获取模块具体用于:若未从所述包含有用于承载授权实体地址的属性的访问控制策略资源中获取到访问控制策略,则根据该资源中用于承载授权实体地址的属性获取PRP地址;或者,
所述第一获取模块具体用于:根据接收到的访问控制决策请求,获取所请求访问的目标资源适用的访问控制策略资源,若未从该资源中获取到访问控制策略,则获取所述包含有用于承载授权实体地址的属性的资源。
优选地,所述用于承载授权实体地址的属性包括:PRP接入点属性,所述PRP接入点属性用于承载一个或多个PRP地址。
本发明另一实施例提供的PDP设备,包括:
第一获取模块,用于根据接收到的访问控制决策请求获取包含有用于承载授权实体地址的属性的资源;
第二获取模块,用于根据所述第一资源中用于承载授权实体地址的属性获取PIP地址;
所述第三获取模块,用于根据获取到的PIP地址,从对应的PIP获取访问控制信息;
决策模块,用于根据获取到的访问控制信息进行访问控制决策。
优选地,所述第一获取模块具体用于:根据接收到的访问控制决策请求,在所述PDP本地未获取到所需的访问控制信息,则获取所请求访问的目标资源适用的包含有用于承载授权实体地址的属性的资源。
优选地,所述用于承载授权实体地址的属性包括:PIP接入点属性,所述PIP接入点属性用于承载一个或多个PIP地址。
本发明的上述实施例中,授权实体根据包含有用于承载授权实体地址的属性的资源中用于承载授权实体地址的属性获取其他授权实体的地址,从而基于该地址从其他授权实体获取相应信息,在资源结构层面给出了分布式授权管理方案。
附图说明
图1为现有技术中的oneM2M资源树示意图;
图2为现有技术中的oneM2M授权架构示意图;
图3为本发明实施例中定义的<accessControlPolicy>资源的结构示意图;
图4和图5分别为本发明实施例提供的基于PDP-PoAs属性实现的PEP与PDP之间的交互过程示意图;
图6和图7分别为本发明实施例提供的基于PRP-PoAs属性实现的PDP与PRP之间的交互过程示意图;
图8和图9分别为本发明实施例提供的基于PIP-PoAs属性实现的PDP与PIP之间的交互过程示意图;
图10为本发明实施例提供的具体应用场景示意图;
图11为本发明实施例提供的PEP结构示意图;
图12为本发明实施例提供的PDP结构示意图之一;
图13为本发明实施例提供的PDP结构示意图之二。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部份实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
oneM2M定义了两种基本实体:应用实体(Application Entity,AE)和公共服务实体(Common Services Entity,CSE)。
AE位于应用层,可实现一个M2M应用逻辑。一个应用逻辑既可以驻留在多个M2M节点中,也可以在单个节点中存在多个执行实例。应用逻辑的每个执行实例被称为一个AE,每个AE由唯一的AE-ID所标识。
CSE由一组M2M环境中的“公共服务功能(common service functions)”构成。每个CSE由唯一的CSE-ID所标识。oneM2M资源树存在于CSE中。
oneM2M定义了3种类型的资源:
普通资源(Normal Resource):具有具体的资源结构及资源属性。
虚拟资源(Virtual Resource):不具有具体的资源结构及资源属性,主要用于触发特定的处理过程。
公布资源(Announced Resource):具有具体的资源结构及属性,该资源为其他实体上普通资源某些内容的拷贝,主要目的是为资源发现提供便利。
oneM2M安全解决方案技术规范(oneM2M TS-0003:Security Solutions)中给出的授权架构如图2所示,该架构中可包括如下组件:
·策略执行点(Policy Enforcement Point,PEP):PEP与需要访问控制的应用系统共存,并由应用系统调用,PEP将根据资源访问发起方的资源访问请求生成访问控制决策请求,并发送给PDP,然后根据PDP返回的访问控制决策响应确定是否执行该资源访问请求。
·策略决策点(Policy Decision Point,PDP):PDP负责根据访问控制策略判决是否同意对由PEP发送来的访问控制决策请求所请求的目标资源进行访问,并将判决结果通过访问控制决策响应返回给PEP。
·策略获取点(Policy Retrieval Point,PRP):PRP根据PDP提供的访问控制策略请求获取适用的访问控制策略,并将获取的访问控制策略返回给PDP。
·策略信息点(Policy Information Point,PIP):PIP根据PDP的访问控制信息请求获取与用户、资源或环境相关的属性,例如访问用户的IP地址,资源的创建者,当前的时间等,然后将获得的属性返回给PDP。
oneM2M的基本资源访问控制流程可包括:
资源访问发起方向PEP发送资源访问请求(Access Request),PEP根据该资源访问请求向PDP发送访问控制决策请求(Decision Request)。
PDP根据PEP发送的访问控制决策请求向PRP发送访问控制策略请求(Policy Request),PRP向PDP返回访问控制策略响应(Policy Response),该访问控制策略响应中包含有访问控制策略。
PDP对访问控制决策请求和访问控制策略中包含的内容进行分析、判决;在进行分析、判决时,若需要其他属性,则向PIP发送访问控制信息请求(Attribute Request),PIP向PDP发送访问控制信息响应,该访问控制信息响应中包括根据访问控制信息请求获取到的与访问控制相关的属性。
PDP向PEP发送访问控制决策响应(Decision Response),该问控制决策响应中包括访问控制决策结果。PEP根据访问控制决策响应中的访问控制决策结果,决定是否执行资源访问发起方的资源访问请求。
为了在资源结构层面给出分布式授权管理方案,本发明实施例中对oneM2M中已定义的<accessControlPolicy>资源类型进行了重新定义,以便其能为分布式授权系统提供授权实体的地址信息。新定义的<accessControlPolicy>资源除能完成原有的功能外,还能在分布式授权的情况下,根据新定义的<accessControlPolicy>资源确定应该向哪个或哪些授权相关的实体发送相应的与授权相关的请求,也即向访问控制系统提供有关PDP、PRP或PIP的地址信息。
重新定义的<accessControlPolicy>资源的基本结构如图3所示。图3中用“0..n”表示属性或子资源可能的数量,n为大于等于1的整数;用“L”表示属性值可以是列表(List)形式。
本发明实施例在<accessControlPolicy>资源中新增加了三个资源属性:
PDP接入点属性:用于承载一组(即一个或多个)可实现PDP功能的实体的地址;该属性的属性名称可表示为可表示为PDP-PoAs或pdpAddresses,属性值为;一组可实现PDP功能的实体的地址,比如一个PDP地址列表;PDP-PoAs属性为可选属性。其中,PoA为Point of Access的缩略语,意为接入点;
PRP接入点属性:用于承载一组(即一个或多个)可实现PRP功能的实体的地址;该属性的属性名称可表示为PRP-PoAs或prpAddresses,属性值为一组可实现PRP功能的实体的地址,比如一个PRP地址列表;PRP-PoAs属性为可选属性;
PIP接入点属性:用于承载一组(即一个或多个)可实现PIP功能的实体的地址;该属性的属性名称可表示为PIP-PoAs或pipAddresses,属性值为一组可实现PIP功能的实体的地址,比如一个PIP地址列表;PIP-PoAs属性为可选属性。
进一步地,<accessControlPolicy>资源中还可包括以下已定义的属性中的一种或多种:
privileges属性:用于承载访问控制策略;
selfPrivileges属性:用于承载访问控制策略。
进一步地,可将上述privileges属性从原来的“必选”调整为“可选”。进一步地,如果<accessControlPolicy>资源中包含privileges属性,则其数量可以是一个或多个。
进一步地,<accessControlPolicy>资源中还可包含子资源,表示为<subscription>。<accessControlPolicy>资源中所包含的<subscription>资源的数量可以是一个或多个。<subscription>可以是oneM2M已定义的子资源。
上述实施例中,通过对<accessControlPolicy>资源重新定义,用新增加的资源属性承载授权实体的地址,进而可根据<accessControlPolicy>资源实现分布式授权管理。与此类似地,在其他一些实施例中,也可保持现有技术中已定义的<accessControlPolicy>资源不变,而将上述3种资源属性(如PDP-PoAs属性、PRP-PoAs属性和PIP-PoAs属性)中的一种或多种组织在一个单独定义的新资源中,例如,该新定义的资源可命名为<authorizationEntity>。与<accessControlPolicy>资源处理方式类似,对于不能直接拥有<authorizationEntity>子资源类型的资源,可以通过公共资源属性(Commonattribute)<authorizationEntityID>与某个<authorizationEntity>资源相关联。<authorizationEntity>资源中的资源属性的使用与其在<accessControlPolicy>资源类型中的方式相同。
可选地,现有技术中已定义的<accessControlPolicy>资源和本发明实施例定义的<authorizationEntity>资源使用的优先级顺序可以是:<accessControlPolicy>资源的优先级高于<authorizationEntity>资源的优先级。
下面以重新定义的<accessControlPolicy>资源为例,对本发明实施例提供的分布式授权管理流程进行说明。上述原理和处理方式同样适用于根据新定义的<authorizationEntity>资源实现分布式授权管理的过程。
参见图4,为本发明实施例提供的基于新定义的用于承载授权实体地址的属性实现PEP与PDP之间的交互的过程,如图所示,该流程可包括如下步骤:
步骤401:PEP根据接收到的资源访问请求获取包含有用于承载授权实体地址的属性的资源(以下为描述方便将该资源称为第一资源)。
步骤402:PEP根据第一资源中用于承载授权实体地址的属性获取授权实体地址。所述授权实体包括可PDP、PRP、PIP中的一种或多种。具体地,PEP可根据第一资源中的PDP-PoAs属性获取PDP地址,根据第一资源中的PRP-PoAs属性获取PRP地址,根据第一资源中的PIP-PoAs属性获取PIP地址。
步骤403:PEP根据获取到的授权实体地址,从对应的授权实体获取用于执行访问控制决策的信息。
该步骤中,PEP根据获取到的PDP地址,向对应的PDP发送访问控制决策请求;PDP接收到该访问控制决策请求后,根据目标资源采用相应的访问控制策略进行访问控制决策,并将访问控制决策信息(即决策结果)携带于访问控制决策响应中发送给该PEP。
PEP可根据获取到的PRP地址,向对应的PRP发送访问控制策略请求;PRP接收到该访问控制策略请求后,获取访问控制策略,并将访问控制策略携带于访问控制策略响应中发送给该PEP。
PEP可根据获取到的PIP地址,向对应的PIP发送访问控制信息请求;PIP接收到该访问控制信息请求后,获取访问控制信息,并将访问控制信息携带于访问控制信息响应中发送给该PEP。
步骤404:PEP根据获取到的用于执行访问控制决策的信息,针对所述资源访问请求执行访问控制决策。
作为一个例子,上述流程中的第一资源为上述重新定义的<accessControlPolicy>资源。步骤401中,PEP根据接收到的资源访问请求,获取所请求访问的目标资源适用的<accessControlPolicy>资源;步骤402中,PEP获取<accessControlPolicy>资源的privileges属性值,该属性值即为访问控制策略,若PEP未从<accessControlPolicy>资源中获取到访问控制策略(比如在<accessControlPolicy>资源中未包含privileges属性的情况下,或者在<accessControlPolicy>资源中包含privileges属性但该属性的值为空的情况下,PEP无法从<accessControlPolicy>资源中获取到访问控制策略),则根据<accessControlPolicy>资源中的PDP-PoAs属性获取PDP地址。
作为另一个例子,上述流程中的第一资源为上述重新定义的<authorizationEntity>资源,第二资源为现有技术中的<accessControlPolicy>资源。步骤401中,PEP根据接收到的资源访问请求,获取所请求访问的目标资源适用的<accessControlPolicy>资源,PEP获取<accessControlPolicy>资源的privileges属性值,该属性值即为访问控制策略,若PEP未从<accessControlPolicy>资源中获取到访问控制策略(比如在<accessControlPolicy>资源中未包含privileges属性的情况下,或者在<accessControlPolicy>资源中包含privileges属性但该属性的值为空的情况下,PEP无法从<accessControlPolicy>资源中获取到访问控制策略),则获取<authorizationEntity>资源。如上所述,<authorizationEntity>资源中可包含上述的PDP-PoAs属性、PRP-PoAs属性和PIP-PoAs属性,这三种属性均为可选属性。
下面以基于新定义的<accessControlPolicy>资源为例,结合图5描述图4的一种具体实现过程。如图5所述,该流程可包括如下步骤:
步骤501:位于宿主CSE(Hosting CSE)中的PEP截取到来自于资源访问发起方(Originator)的资源访问请求后,按oneM2M系统的规定检索到目标资源适用的<accessControlPolicy>资源。
步骤502:PEP检查<accessControlPolicy>资源中是否包含有privileges属性且属性值不为空。若不包含有privileges属性或属性值为空,则转入步骤503;若包含有privileges属性且属性值不为空,则转入步骤506;
步骤503:PEP检查<accessControlPolicy>资源中是否包含有PDP-PoAs属性且属性值不为空。若包含有PDP-PoAs属性且属性值不为空,则转入步骤504;若不包含有PDP-PoAs属性或属性值为空,则转入步骤507;
步骤504:PEP读取PDP-PoAs属性中的PDP地址列表,并获得一个PDP地址(即PoA),然后转入步骤505;
步骤505:PEP生成访问控制决策请求(Access Control Decision Request),并将其发送给该PDP地址对应的PDP,从该PDP接收返回的访问控制决策响应(Access Control Decision Response),该访问控制决策响应中包含访问控制决策信息,然后转入步骤508;
步骤506:PEP读取privileges属性中的访问控制策略,并利用其评估发起方的资源访问请求,进而获得访问控制决策,然后转入步骤508;
步骤507:PEP进行出错处理,然后转入步骤508;
步骤508:PEP执行访问控制决策,并结束本次访问控制过程。其中,如果是从步骤507转入到步骤508的,则由于步骤507中进行了出错处理,则在步骤508中,PEP可拒绝资源访问发起方(Originator)的资源访问请求,或者按照预先约定进行处理。
参见图6,为本发明实施例提供的基于新定义的PRP接入点属性(以下称为PRP-PoAs属性)实现PDP与PRP之间的交互的过程,如图所示,该流程可包括如下步骤:
步骤601:PDP根据接收到的访问控制决策请求获取包含有用于承载授权实体地址的属性的资源(以下为描述方便将该资源称为第一资源);
步骤602:PDP根据第一资源中用于承载授权实体地址的属性获取PRP地址。具体地,PEP根据第一资源中的PRP-PoAs属性获取PRP地址。
步骤603:PDP根据获取到的PRP地址,从对应的PRP获取访问控制策略。
该步骤中,PDP根据获取到的PRP地址,向对应的PRP发送访问控制策略请求;PRP接收到该访问控制策略请求后,获取访问控制策略,并将访问控制策略携带于访问控制策略响应中发送给该PDP。
步骤604:PDP根据获取到的访问控制策略进行访问控制决策。
作为一个例子,上述流程中的第一资源为上述重新定义的<accessControlPolicy>资源。步骤601中,PDP根据接收到的访问控制策略请求,获取所请求访问的目标资源适用的<accessControlPolicy>资源;步骤602中,PDP获取<accessControlPolicy>资源的privileges属性值,该属性值即为访问控制策略,若PDP未从<accessControlPolicy>资源中获取到访问控制策略(比如在<accessControlPolicy>资源中未包含privileges属性的情况下,或者在<accessControlPolicy>资源中包含privileges属性但该属性的值为空的情况下,PDP无法从<accessControlPolicy>资源中获取到访问控制策略),则根据<accessControlPolicy>资源中的PRP-PoAs属性获取PRP地址。
作为另一个例子,上述流程中的第一资源为上述重新定义的<authorizationEntity>资源,第二资源为现有技术中的<accessControlPolicy>资源。步骤601中,PDP根据接收到的访问控制策略请求,获取所请求访问的目标资源适用的<accessControlPolicy>资源,PDP获取<accessControlPolicy>资源的privileges属性值,该属性值即为访问控制策略,若PDP未从<accessControlPolicy>资源中获取到访问控制策略(比如在<accessControlPolicy>资源中未包含privileges属性的情况下,或者在<accessControlPolicy>资源中包含privileges属性但该属性的值为空的情况下,PDP无法从<accessControlPolicy>资源中获取到访问控制策略),则获取<authorizationEntity>资源。如上所述,<authorizationEntity>资源中可包含上述的PDP-PoAs属性、PRP-PoAs属性和PIP-PoAs属性,这三种属性均为可选属性。
下面以基于新定义的<accessControlPolicy>资源为例,结合图7描述图6的一种具体实现过程。如图7所述,该流程可包括如下步骤:
步骤701:PDP收到来自于PEP的访问控制决策请求后,利用访问控制决策请求中的目标资源地址检索适用的<accessControlPolicy>资源。
步骤702:PDP检查<accessControlPolicy>资源中是否包含有privileges属性且属性值不为空。若不包含有privileges属性或属性值为空,则转入步骤703;若包含有privileges属性且属性值不为空,则转入步骤706;
步骤703:PDP检查<accessControlPolicy>资源中是否包含有PRP-PoAs属性且属性值不为空。若包含PRP-PoAs属性且属性值不为空,则转入步骤704;若不包含有PRP-PoAs属性或属性值为空,则转入步骤707;
步骤704:PDP读取PRP-PoAs属性中的PRP地址列表,并获得一个PRP地址,然后转入步骤705;
步骤705:PDP生成访问控制策略请求(Access Control Policy Request),并将其发送给该PRP地址对应的PRP,从该PRP接收返回的访问控制策略响应(Access Control Policy Response),获取响应中的访问控制策略,然后转入步骤708;
步骤706:PDP读取privileges属性中的访问控制策略,然后转入步骤708;
步骤707:PDP进行出错处理,然后转入步骤708;
步骤708:PDP结束本次获取访问控制策略的过程。进一步地,PDP可根据获取到的访问控制策略进行访问控制决策。
参见图8,为本发明实施例提供的基于新定义的PIP接入点属性(以下称为PIP-PoAs属性)实现PDP与PIP之间的交互的过程,如图所示,该流程可包括如下步骤:
步骤801:PDP根据接收到的访问控制决策请求获取包含有用于承载授权实体地址的属性的资源(以下为描述方便将该资源称为第一资源);
步骤802:PDP根据第一资源中用于承载授权实体地址的属性获取PIP地址。具体地,PEP根据第一资源中的PIP-PoAs属性获取PIP地址。
步骤803:PDP根据获取到的PIP地址,从对应的PIP获取访问控制信息。
该步骤中,PDP根据获取到的PIP地址,向对应的PIP发送访问控制信息请求;PIP接收到该访问控制信息请求后,获取访问控制信息,并将访问控制信息携带于访问控制信息响应中发送给该PDP。
步骤804:PDP根据获取到的访问控制信息进行访问控制决策。
作为一个例子,上述流程中的第一资源为上述重新定义的<accessControlPolicy>资源。步骤801中,PDP根据接收到的访问控制策略请求,在所述PDP本地未获取到所需的访问控制信息,则获取所请求访问的目标资源适用的<accessControlPolicy>资源。
作为另一个例子,上述流程中的第一资源为上述重新定义的<authorizationEntity>资源,第二资源为现有技术中的<accessControlPolicy>资源。步骤801中,PDP根据接收到的访问控制策略请求,在所述PDP本地未获取到所需的访问控制信息,则获取所请求访问的目标资源适用的<authorizationEntity>资源。如上所述,<authorizationEntity>资源中可包含上述的PDP-PoAs属性、PRP-PoAs属性和PIP-PoAs属性,这三种属性均为可选属性。
下面以基于新定义的<accessControlPolicy>资源为例,结合图9描述图8的一种具体实现过程。如图9所述,该流程可包括如下步骤:
步骤901:PDP收到来自于PEP的访问控制决策请求后,检查访问控制决策请求中的参数,确定是否有本地不能提供的访问控制信息,例如角色标识或令牌标识等。若有,则转入步骤902;否则转入步骤907;
步骤902:PDP利用访问控制决策请求中的目标资源地址检索适用的<accessControlPolicy>资源。
步骤903:PDP检查<accessControlPolicy>资源中是否包含有PIP-PoAs属性且属性值不为空。若包含有PIP-PoAs属性且属性值不为空,则转入步骤904;若不包含有PIP-PoAs属性或属性值为空,则转入步骤906;
步骤904:PDP读取有PIP-PoAs属性中的PIP地址列表,并获得一个PIP地址,然后转入步骤905;
步骤905:PDP生成访问控制信息请求(Access Control InformationRequest),并将其发送给该PIP,并从该PIP接收返回的访问控制信息响应(Access Control Information Response),获取该响应中的访问控制信息,然后转入步骤907;
步骤906:PDP进行出错处理,然后执行步骤907;
步骤907:PDP结束本次获取访问控制信息过程。进一步地,PDP可根据获取到的访问控制信息进行访问控制决策。
为了更清楚地理解本发明实施例,下面以一个具体应用场景为例对本发明实施例提供的分布式授权管理方案进行说明。
该场景中,oneM2M应用服务提供商(oneM2M Application ServiceProvider)通过oneM2M服务商(oneM2M Service Provider)提供的oneM2M平台读取安装在用户家中的物联网设备。具体场景如图10所示。其中,CSE0为oneM2M服务商的基础设施节点;CSE1为用户的家庭网关;CSE2、CSE3和CSE4为用户家中的物联网设备;AE1为oneM2M应用服务提供商注册至CSE0的应用服务实体;其中,CSE2、CSE3和CSE4的访问控制策略和访问控制决策点均设置在CSE1中;AE1通过角色访问CSE2、CSE3和CSE4中的资源。
系统资源及参数配置如下:
CSE2、CSE3和CSE4中的访问控制策略资源(<accessControlPolicy>资源)中的privileges属性均为空,但PDP-PoAs属性设置为指向CSE1(即PDP-PoAs属性的属性值中包含CSE1的地址);
CSE1中的访问控制策略资源(<accessControlPolicy>资源)中的PIP-PoAs属性设置为指向CSE0(即PDP-PoAs属性的属性值中包含CSE0的地址);
CSE0中存储有AE1的角色信息。
基于上述架构以及系统配置,分布式授权访问控制的过程可包括:
AE1向CSE2资源树发送数据读取指令,其中包含有角色标识;
CSE2检查本地的访问控制策略,发现与该资源相关联的访问控制资源的privileges属性为空,但PDP-PoAs不为空,且指向CSE1,于是生成一个访问控制决策请求,并发送给CSE1;
CSE1检查存储在本地的针对目标资源的访问控制策略资源,并获得访问控制策略;
CSE1检查CSE2发送来的访问控制决策请求,发现其中包含有角色标识;其检查存储在本地的针对目标资源的访问控制策略资源,发现PIP-PoAs不为空且指向CSE0,于是生成一个访问控制信息请求,并发送给CSE0;
CSE0根据CSE1的访问控制信息请求检索到相关的角色信息,并将其通过访问控制信息响应返回给CSE1;
CSE1根据访问控制策略和AE1的角色信息评估AE1的资源访问请求,并将访问控制决策通过访问控制决策响应返回给CSE2;
CSE2根据访问控制决策决定是否执行AE1的资源访问请求。
通过以上描述可以看出,授权实体根据本发明实施例定义的资源(该资源中包含用于承载授权实体地址的资源属性)中用于承载授权实体地址的属性获取其他授权实体的地址,从而基于该地址从其他授权实体获取相应信息,在资源结构层面给出了分布式授权管理方案。
基于相同的技术构思,本发明实施例还提供了一种PEP。
参见图11,为本发明实施例提供的PEP的结构示意图,该PEP可实现本发明上述实施例提供的相关流程。如图所示,该PEP可包括:第一获取模块1101、第二获取模块1102、第三获取模块1103、决策执行模块1104,其中:
第一获取模块1101,用于根据接收到的资源访问请求获取包含有用于承载授权实体地址的属性的资源;
第二获取模块1102,用于根据所述资源中用于承载授权实体地址的属性获取授权实体地址,所述授权实体包括PDP、PRP、PIP中的一种或多种;
第三获取模块1103,用于根据获取到的授权实体地址,从对应的授权实体获取用于执行访问控制决策的信息;
决策执行模块1104,用于根据获取到的用于执行访问控制决策的信息,针对所述资源访问请求执行访问控制决策。
优选地,在一些实施例中,所述包含有用于承载授权实体地址的属性的资源,为包含有用于承载授权实体地址的属性的访问控制策略资源;;第二获取模块1102可具体用于:若未从所述包含有用于承载授权实体地址的属性的访问控制策略资源中获取到访问控制策略,则根据该资源中用于承载授权实体地址的属性获取PDP地址。
优选地,在另一些实施例中,第一获取模块1101可具体用于:根据接收到的资源访问请求,获取所请求访问的目标资源适用的访问控制策略资源;若未从该资源中获取到访问控制策略,则获取所述包含有用于承载授权实体地址的属性的资源。
优选地,所述用于承载授权实体地址的属性包括:PDP接入点属性,所述PDP接入点属性用于承载一个或多个PDP地址。
基于相同的技术构思,本发明实施例还提供了一种PDP。
参见图12,为本发明实施例提供的PDP的结构示意图,该PDP可实现本发明上述实施例提供的相关流程。如图所示,该PDP可包括:第一获取模块1201、第二获取模块1202、第三获取模块1203、决策模块1204,其中:
第一获取模块1201,用于根据接收到的访问控制决策请求获取包含有用于承载授权实体地址的属性的资源;
第二获取模块1202,用于根据所述资源中用于承载授权实体地址的属性获取PRP地址;
第三获取模块1203,用于根据获取到的PRP地址,从对应的PRP获取访问控制策略;
决策模块1204,用于根据获取到的访问控制策略进行访问控制决策。
优选地,在一些实施例中,所述包含有用于承载授权实体地址的属性的资源,为包含有用于承载授权实体地址的属性的访问控制策略资源;第二获取模块1202具体用于:若未从所述包含有用于承载授权实体地址的属性的访问控制策略资源中获取到访问控制策略,则根据该资源中用于承载授权实体地址的属性获取PRP地址.
优选地,在另一些实施例中,第一获取模块1201具体用于:根据接收到的访问控制决策请求,获取所请求访问的目标资源适用的访问控制策略资源;若所述PEP未从该资源中获取到访问控制策略,则获取所述包含有用于承载授权实体地址的属性的资源。
优选地,所述用于承载授权实体地址的属性包括:PRP接入点属性,所述PRP接入点属性用于承载一个或多个PRP地址。
基于相同的技术构思,本发明实施例还提供了一种PDP。
参见图13,为本发明实施例提供的PDP的结构示意图,该PDP可实现本发明上述实施例提供的相关流程。如图所示,该PDP可包括:第一获取模块1301、第二获取模块1302、第三获取模块1303、决策模块1304,其中:
第一获取模块1301,用于根据接收到的访问控制决策请求获取包含有用于承载授权实体地址的属性的资源;
第二获取模块1302,用于根据所述资源中用于承载授权实体地址的属性获取策略信息点PIP地址;
所述第三获取模块1303,用于根据获取到的PIP地址,从对应的PIP获取访问控制信息;
决策模块1304,用于根据获取到的访问控制信息进行访问控制决策。
优选地,第一获取模块1301具体用于:根据接收到的访问控制决策请求,在所述PDP本地未获取到所需的访问控制信息,则获取所请求访问的目标资源适用的包含有用于承载授权实体地址的属性的资源。
优选地,所述用于承载授权实体地址的属性包括:PIP接入点属性,所述PIP接入点属性用于承载一个或多个PIP地址。
综上所述,目前oneM2M只定义了授权系统的高层架构,并未提供具体的解决方案。本发明实施例提供了一种在oneM2M系统中实现分布式授权系统管理的方案。本发明实施例通过重新定义oneM2M<accessControlPolicy>资源类型,将所需的功能加入其中,避免新建资源类型以及对TS的大量修改。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (23)
1.一种分布式授权管理方法,其特征在于,包括:
策略执行点PEP根据接收到的资源访问请求获取包含有用于承载授权实体地址的属性的资源;
所述PEP根据所述资源中用于承载授权实体地址的属性获取授权实体地址,所述授权实体包括策略决策点PDP、策略获取点PRP、策略信息点PIP中的一种或多种;
所述PEP根据获取到的授权实体地址,从对应的授权实体获取用于执行访问控制决策的信息;
所述PEP根据获取到的用于执行访问控制决策的信息,针对所述资源访问请求执行访问控制决策。
2.如权利要求1所述的方法,其特征在于,所述包含有用于承载授权实体地址的属性的资源,为包含有用于承载授权实体地址的属性的访问控制策略资源;
PEP根据所述资源中用于承载授权实体地址的属性获取PDP地址,包括:
若所述PEP未从所述包含有用于承载授权实体地址的属性的访问控制策略资源中获取到访问控制策略,则根据该资源中用于承载授权实体地址的属性获取PDP地址。
3.如权利要求1所述的方法,其特征在于,PEP根据接收到的资源访问请求获取包含有用于承载授权实体地址的属性的资源,包括:
所述PEP根据接收到的资源访问请求,获取所请求访问的目标资源适用的访问控制策略资源;
若所述PEP未从所述访问控制策略资源中获取到访问控制策略,则获取所述包含有用于承载授权实体地址的属性的资源。
4.如权利要求1至3中任一项所述的方法,其特征在于,所述用于承载授权实体地址的属性包括:PDP接入点属性,所述PDP接入点属性用于承载一个或多个PDP地址。
5.如权利要求4所述的方法,其特征在于,若PDP接入点属性中承载有多个PDP地址,则所述PEP根据所述资源中用于承载授权实体地址的属性获取PDP地址,包括:
所述PEP根据所述资源中的PDP接入点属性获取PDP地址,并从获取到的PDP地址中选择一个PDP地址。
6.一种分布式授权管理方法,其特征在于,包括:
策略决策点PDP根据接收到的访问控制决策请求获取包含有用于承载授权实体地址的属性的资源;
所述PDP根据所述资源中用于承载授权实体地址的属性获取策略获取点PRP地址;
所述PDP根据获取到的PRP地址,从对应的PRP获取访问控制策略;
所述PDP根据获取到的访问控制策略进行访问控制决策。
7.如权利要求6所述的方法,其特征在于,所述包含有用于承载授权实体地址的属性的资源,为包含有用于承载授权实体地址的属性的访问控制策略资源;
所述PDP根据所述资源中用于承载授权实体地址的属性获取PRP地址,包括:
若所述PDP未从所述包含有用于承载授权实体地址的属性的访问控制策略资源中获取到访问控制策略,则根据该资源中用于承载授权实体地址的属性获取PRP地址。
8.如权利要求6所述的方法,其特征在于,所述PDP根据接收到的访问控制决策请求获取包含有用于承载授权实体地址的属性的资源,包括:
所述PDP根据接收到的访问控制决策请求,获取所请求访问的目标资源适用的访问控制策略资源;
若所述PEP未从所述访问控制策略资源中获取到访问控制策略,则获取所述包含有用于承载授权实体地址的属性的资源。
9.如权利要求6至8中任一项所述的方法,其特征在于,所述用于承载授权实体地址的属性包括:PRP接入点属性,所述PRP接入点属性用于承载一个或多个PRP地址。
10.如权利要求9所述的方法,其特征在于,若PRP接入点属性中承载有多个PRP地址,则所述PDP根据所述资源中用于承载授权实体地址的属性获取PRP地址,包括:
所述PDP根据所述资源中的PRP接入点属性获取PRP地址,并从获取到的PRP地址中选择一个PRP地址。
11.一种分布式授权管理方法,其特征在于,包括:
策略决策点PDP根据接收到的访问控制决策请求获取包含有用于承载授权实体地址的属性的资源;
所述PDP根据所述资源中用于承载授权实体地址的属性获取策略信息点PIP地址;
所述PDP根据获取到的PIP地址,从对应的PIP获取访问控制信息;
所述PDP根据获取到的访问控制信息进行访问控制决策。
12.如权利要求11所述的方法,其特征在于,所述PDP根据接收到的访问控制决策请求获取包含有用于承载授权实体地址的属性的资源,包括:
所述PDP根据接收到的访问控制决策请求,在所述PDP本地未获取到所需的访问控制信息,则获取所请求访问的目标资源适用的包含有用于承载授权实体地址的属性的资源。
13.如权利要求11或12所述的方法,其特征在于,所述用于承载授权实体地址的属性包括:PIP接入点属性,所述PIP接入点属性用于承载一个或多个PIP地址。
14.如权利要求13所述的方法,其特征在于,若PIP接入点属性中承载有多个PIP地址,则所述PDP根据所述资源中用于承载授权实体地址的属性获取PIP地址,包括:
所述PDP根据所述资源中的PIP接入点属性获取PIP地址,并从获取到的PIP地址中选择一个PIP地址。
15.一种策略执行点PEP设备,其特征在于,包括:
第一获取模块,用于根据接收到的资源访问请求获取包含有用于承载授权实体地址的属性的资源;
第二获取模块,用于根据所述资源中用于承载授权实体地址的属性获取授权实体地址,所述授权实体包括策略决策点PDP、策略获取点PRP、策略信息点PIP中的一种或多种;
第三获取模块,用于根据获取到的授权实体地址,从对应的授权实体获取用于执行访问控制决策的信息;
决策执行模块,用于根据获取到的用于执行访问控制决策的信息,针对所述资源访问请求执行访问控制决策。
16.如权利要求15所述的设备,其特征在于,所述包含有用于承载授权实体地址的属性的资源,为包含有用于承载授权实体地址的属性的访问控制策略资源;所述第二获取模块具体用于:若未从所述包含有用于承载授权实体地址的属性的访问控制策略资源中获取到访问控制策略,则根据该资源中用于承载授权实体地址的属性获取PDP地址;或者,
所述第一获取模块具体用于:根据接收到的资源访问请求,获取所请求访问的目标资源适用的访问控制策略资源,若未从该资源中获取到访问控制策略,则获取所述包含有用于承载授权实体地址的属性的资源。
17.如权利要求15或16所述的设备,其特征在于,所述用于承载授权实体地址的属性包括:PDP接入点属性,所述PDP接入点属性用于承载一个或多个PDP地址。
18.一种策略决策点PDP设备,其特征在于,包括:
第一获取模块,用于根据接收到的访问控制决策请求获取包含有用于承载授权实体地址的属性的资源;
第二获取模块,用于根据所述资源中用于承载授权实体地址的属性获取策略获取点PRP地址;
第三获取模块,用于根据获取到的PRP地址,从对应的PRP获取访问控制策略;
决策模块,用于根据获取到的访问控制策略进行访问控制决策。
19.如权利要求18所述的设备,其特征在于,所述包含有用于承载授权实体地址的属性的资源,为包含有用于承载授权实体地址的属性的访问控制策略资源;所述第二获取模块具体用于:若未从所述包含有用于承载授权实体地址的属性的访问控制策略资源中获取到访问控制策略,则根据该资源中用于承载授权实体地址的属性获取PRP地址;或者,
所述第一获取模块具体用于:根据接收到的访问控制决策请求,获取所请求访问的目标资源适用的访问控制策略资源,若未从该资源中获取到访问控制策略,则获取所述包含有用于承载授权实体地址的属性的资源。
20.如权利要求18或19所述的设备,其特征在于,所述用于承载授权实体地址的属性包括:PRP接入点属性,所述PRP接入点属性用于承载一个或多个PRP地址。
21.一种策略决策点PDP设备,其特征在于,包括:
第一获取模块,用于根据接收到的访问控制决策请求获取包含有用于承载授权实体地址的属性的资源;
第二获取模块,用于根据所述第一资源中用于承载授权实体地址的属性获取策略信息点PIP地址;
所述第三获取模块,用于根据获取到的PIP地址,从对应的PIP获取访问控制信息;
决策模块,用于根据获取到的访问控制信息进行访问控制决策。
22.如权利要求21所述的设备,其特征在于,所述第一获取模块具体用于:根据接收到的访问控制决策请求,在所述PDP本地未获取到所需的访问控制信息,则获取所请求访问的目标资源适用的包含有用于承载授权实体地址的属性的资源。
23.如权利要求21或22所述的设备,其特征在于,所述用于承载授权实体地址的属性包括:PIP接入点属性,所述PIP接入点属性用于承载一个或多个PIP地址。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610242998.5A CN107306398A (zh) | 2016-04-18 | 2016-04-18 | 分布式授权管理方法及装置 |
PCT/CN2017/075429 WO2017181775A1 (zh) | 2016-04-18 | 2017-03-02 | 分布式授权管理方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610242998.5A CN107306398A (zh) | 2016-04-18 | 2016-04-18 | 分布式授权管理方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107306398A true CN107306398A (zh) | 2017-10-31 |
Family
ID=60116508
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610242998.5A Pending CN107306398A (zh) | 2016-04-18 | 2016-04-18 | 分布式授权管理方法及装置 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN107306398A (zh) |
WO (1) | WO2017181775A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111490966A (zh) * | 2019-01-28 | 2020-08-04 | 电信科学技术研究院有限公司 | 一种访问控制策略的处理方法、装置及计算机可读存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102006297A (zh) * | 2010-11-23 | 2011-04-06 | 中国科学院软件研究所 | 一种基于两级策略决策的访问控制方法及其系统 |
US20110231900A1 (en) * | 2010-03-18 | 2011-09-22 | Fujitsu Limited | Apparatus, method, and computer-readable medium for distributing access control information |
CN104735055A (zh) * | 2015-02-12 | 2015-06-24 | 河南理工大学 | 一种基于信任度的跨域安全访问控制方法 |
CN104811465A (zh) * | 2014-01-27 | 2015-07-29 | 电信科学技术研究院 | 一种访问控制的决策方法和设备 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1649668A1 (en) * | 2003-07-11 | 2006-04-26 | Computer Associates Think, Inc. | Distributed policy enforcement using a distributed directory |
US9054971B2 (en) * | 2012-04-24 | 2015-06-09 | International Business Machines Corporation | Policy management of multiple security domains |
US9253209B2 (en) * | 2012-04-26 | 2016-02-02 | International Business Machines Corporation | Policy-based dynamic information flow control on mobile devices |
-
2016
- 2016-04-18 CN CN201610242998.5A patent/CN107306398A/zh active Pending
-
2017
- 2017-03-02 WO PCT/CN2017/075429 patent/WO2017181775A1/zh active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110231900A1 (en) * | 2010-03-18 | 2011-09-22 | Fujitsu Limited | Apparatus, method, and computer-readable medium for distributing access control information |
CN102006297A (zh) * | 2010-11-23 | 2011-04-06 | 中国科学院软件研究所 | 一种基于两级策略决策的访问控制方法及其系统 |
CN104811465A (zh) * | 2014-01-27 | 2015-07-29 | 电信科学技术研究院 | 一种访问控制的决策方法和设备 |
CN104735055A (zh) * | 2015-02-12 | 2015-06-24 | 河南理工大学 | 一种基于信任度的跨域安全访问控制方法 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111490966A (zh) * | 2019-01-28 | 2020-08-04 | 电信科学技术研究院有限公司 | 一种访问控制策略的处理方法、装置及计算机可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
WO2017181775A1 (zh) | 2017-10-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11743699B2 (en) | Method of discovering services provided by a network repository function | |
CN104620632B (zh) | 用于在无线通信系统中请求有关特定资源的特定权利获得的方法和设备 | |
EP2641417B1 (en) | Conflict handling in self-organizing networks | |
JP7433294B2 (ja) | アクセスコントロールポリシーの配置方法、装置、システム及び記憶媒体 | |
CN106656937A (zh) | 一种访问控制方法和访问令牌颁发方法、设备 | |
CN104811465A (zh) | 一种访问控制的决策方法和设备 | |
CN104135378B (zh) | 对物联网网关进行管理控制的方法及物联网网关管控实体 | |
CN108141468A (zh) | 增强的restful操作 | |
CN109936571A (zh) | 一种海量数据共享方法、开放共享平台及电子设备 | |
CN107306247A (zh) | 资源访问控制方法及装置 | |
CN106034112A (zh) | 访问控制、策略获取、属性获取方法及相关装置 | |
CN110351111A (zh) | 一种订阅处理方法、网络节点及用户数据库 | |
CN108141466A (zh) | 用于在服务层处启用途中资源发现的方法 | |
CN106973031A (zh) | 一种资源访问控制方法、装置及系统 | |
CN106375442A (zh) | 一种跨平台管理设备信息的方法和装置 | |
CN110417777B (zh) | 一种优化的微服务间通信的方法及装置 | |
CN106656942A (zh) | 角色令牌颁发方法、访问控制方法及相关设备 | |
CN113194012B (zh) | 基于物联网的多智能体管理方法、装置、设备及存储介质 | |
WO2022088644A1 (zh) | 接入和移动性策略更新方法和系统 | |
CN106656936B (zh) | 一种访问控制方法、prp实体、pdp实体和pep实体 | |
CN107306398A (zh) | 分布式授权管理方法及装置 | |
CN101141307B (zh) | 一种应用于通信系统的基于策略管理的方法及系统 | |
CN106656935A (zh) | 角色颁发方法、访问控制方法及相关设备 | |
JP2009031831A (ja) | コミュニティ通信ネットワーク、通信制御方法、コミュニティ管理サーバ、コミュニティ管理方法、およびプログラム | |
CN106790323A (zh) | 一种资源发现的方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171031 |