WO2016070604A1

WO2016070604A1 - 一种资源访问的方法和装置

Info

Publication number: WO2016070604A1
Application number: PCT/CN2015/078920
Authority: WO
Inventors: 高莹; 殷佳欣; 张永靖
Original assignee: 华为技术有限公司
Priority date: 2014-11-04
Filing date: 2015-05-14
Publication date: 2016-05-12
Also published as: CN105635931A; CN105635931B; CN110460978A; CN110460978B

Abstract

本发明涉及通信领域，提供了一种机器通信中资源访问的方法及装置。该机器通信中资源访问的方法包括：接收请求者资源对被访问资源的访问请求，其中所述访问请求包括所述被访问资源的标识、请求者资源标识和对被访问资源请求的操作；根据所述被访问资源的标识确定所述被访问资源；获取所述被访问资源的访问控制策略资源；确定所述请求者资源为所述访问控制策略资源中具有所述请求的操作的操作权限的群组资源标识对应的群组资源的群组成员；对所述被访问资源执行所述请求的操作。本发明通过判断请求者资源是否是具有操作权限的群组资源的群组成员，从而对资源实现基于群组的访问控制。

Description

一种资源访问的方法和装置

技术领域

本发明涉及信息技术领域，尤其涉及一种资源访问的方法及装置。

背景技术

机器通信(Machine-to-Machine Communications,M2M)是一种以机器智能交互为核心的、网络化的应用与服务。它通过在机器内部嵌入无线或有线通信模块以及应用处理逻辑，实现用户对监控、指挥调度、数据采集和测量等方面的信息化需求。M2M系统中，各种M2M设备，如各种传感器，直接经过M2M网关接入到M2M业务平台，从而实现各种M2M业务。例如电力抄表、智能家居等。通过M2M业务平台所提供的业务能力，可以获取M2M设备采集的数据，或对M2M设备进行控制和管理。

在现有的M2M规范中，采用RESTful(Representational State Transfer)的架构，任何M2M设备、M2M网关或M2M业务平台以及它们所提供的业务能力，都可以被抽象为资源并且具有唯一的资源标识，即URI(Uniform Resource Identifier)。每个被访问资源都可以设置相应的访问权限，通过引用一个访问控制策略资源,如accessRight资源或accessControlPolicy资源等来实现系统中对被访问资源的访问控制功能。后续以accessControlPolicy资源为例说明进行说明。

被访问资源所属的设备收到originator对资源的请求消息时，根据该被访问资源的访问控制策略标识accessControlPolicyID去获取相应的访问控制策略资源，访问控制策略资源中的每一条访问控制规则都可以看作一个三元组，<accessControlOriginators、accessControlContexts、accessControlOperations>，其中accessControlOriginator表示具有操作权限的请求者资源标识(可能是某个CSE-ID、AE-ID或者是serviceProvider domain，也可能是All)；accessControlOperations表示该条规则所允许的操作权限(可能包括Retrieve、Create、Update、Delete、Discovery和Notify中的一个或者多个)；accessControlContexts是可选的，定义了accessControlOriginator具有accessControlOperations中规定的操作权限的条件，例如在某个时间范围内，每个地理区域内等等。作为一种可选方式，accessControlContexts的取值可以为空，即不对操作权限的条件进行限制和描述。被访问资源所属的设备根据获取到的访问控制策略资源中的accessControlOriginator属性中是否包含请求者originator标识，以及accessControlOperations属性中是否包含originator对被访问资源请求的操作来判断originator是否具有对被访问资源的访问权限。只有两个条件都满足时才表示originator通过了访问控制权限检查。

现有技术中，<accessControlOriginators>只针对访问被访问资源的请求者资源而设定，因此，当多个请求者资源都需要访问被访问资源时，需要在访问控制策略资源中为该多个请求者资源分别设置相应的权限。也就是说，如果当一个群组的群组成员对同一个被访问资源具有相同的操作权限时，需要为每个群组成员单独配置相同的访问控制权限。从而使得访问控制策略资源包括的内容冗长，且所述访问控制策略资源所属的设备对所述访问控制策略资源的创建和更新过程非常复杂。此外，直接在所述访问控制策略资源中增加群组资源标识以及相应的权限，则由于访问所述被访问资源的请求设备并不是群组设备而无法确认请求设备具有的权限，从而无法确保请求设备对被访问资源进行访问的权限控制。

发明内容

本发明实施例提供了一种应用于M2M系统中的资源访问方法及装置，能够充分利用群组的集合功能，对被访问资源实现基于群组的访问控制。

第一方面，本发明提供一种资源访问的方法，所述方法应用于机器通信M2M系统中，包括：

接收请求者资源对被访问资源的访问请求，其中所述访问请求包括所述被访问资源的标识、请求者资源标识和对被访问资源请求的操作；

根据所述被访问资源的标识确定所述被访问资源；

获取所述被访问资源的访问控制策略资源；

确定所述请求者资源为所述访问控制策略资源中具有所述请求的操作的操作权限的群组资源标识对应的群组资源的群组成员；

对所述被访问资源执行所述请求的操作。

结合第一方面，所述确定所述请求者资源为所述访问控制策略资源中具有所述请求的操作的操作权限的群组资源标识对应的群组资源的群组成员，具体为：确定所述访问控制策略资源中存在具有所述请求的操作的操作权限的群组资源标识，确定所述请求者资源为所述确定的群组资源标识对应的群组资源的群组成员；或者

确定所述访问控制策略资源中存在群组资源标识，确定所述请求者资源为所述确定的群组资源标识对应的群组资源的群组成员，且所述确定的群组资源标识对应的操作权限为所述请求的操作。

结合第一方面的上述所有可能实现方式，所述确定所述请求者资源为所述确定的群组资源标识对应的群组资源的群组成员，具体为：

获取所述请求者资源的所属群组资源标识列表，确定所述所属群组资源标识列表包含所述具有所述请求的操作的操作权限的群组资源标识；或

获取所述具有所述请求的操作的操作权限的群组资源标识对应的群组资源的成员列表，确定所述成员列表包含所述请求者资源标识。

结合第一方面的上述所有可能实现方式，所述获取所述请求者资源的所属群组资源标识列表，具体为：

根据所述请求者资源标识，向所述请求者资源发送获取请求者资源的所属群组资源标识列表的请求消息，接收所述请求者资源返回的所述所属群组资源标识列表；或者

所述访问请求还包括所述请求者资源的所属群组资源标识列表，获取所述访问请求中的所述所属群组资源标识列表。

结合第一方面的上述所有可能实现方式，在所述确定所述请求者资源为所述访问控制策略资源中具有所述请求的操作的操作权限的群组资源标识对应的群组资源的群组成员之前，所述方法还包括：

确定所述访问控制策略资源中不存在所述请求者资源标识；或者

确定所述访问控制策略资源中存在所述请求者资源标识，以及确定所述请求者资源标识对应的操作权限不包含所述请求的操作。

第二方面，本发明提供一种配置资源所属群组资源标识列表的方法，包括：

接收增加群组成员的操作请求，所述增加群组成员的操作请求包含群组资源标识和新加入的群组成员的标识，其中所述群组资源标识指示所述新加入的群组成员的标识对应的群组成员待加入的群组资源；

确定所述群组资源包含通知群组成员标识；

在所述群组资源的成员列表中增加所述新加入的群组成员的标识的过程中，向所述新加入的群组成员的标识对应的群组成员发送更新所属群组资源标识列表的第一请求消息；其中，所述第一请求消息包括所述群组资源标识和指示新增所述群组资源标识的信息，所述第一请求消息指示所述新加入的群组成员的标识对应的群组成员将所述群组资源标识增加到自身的所属群组资源标识列表中。

结合第二方面，在所述接收增加群组成员的操作请求之前，所述方法还包括：

接收创建群组资源的操作请求，所述创建群组资源的操作请求中包括所述通知群组成员标识和所述群组资源的成员列表；

根据所述创建群组资源的操作请求，创建所述群组资源，生成所述群组资源标识；其中，所述群组资源包含所述通知群组成员标识以及所述群组资源的成员列表；

向所述群组资源的成员列表中的各群组成员发送更新所属群组资源标识列表的第一请求消息，其中，所述第一请求消息包括所述群组资源标识和指示新增所述群组资源标识的信息，所述第一请求消息指示所述群组资源的成员列表中的各群组成员将所述群组资源标识增加到自身的所属群组资源标识列表中。

结合第二方面的上述所有可能实现方式，该方法进一步包括：接收删除群组成员的操作请求，所述删除群组成员的操作请求包含所述群组资源标识和需删除的群组成员的标识；

确定所述群组资源包含所述通知群组成员标识；

在所述群组资源的成员列表中删除所述需删除的群组成员的标识的过程中，向所述需删除的群组成员的标识对应的群组成员发送更新所属群组资源标识列表的第二请求消息，其中，所述第二请求消息包括所述群组资源标识和指示删除所述群组资源标识的信息，所述第二请求消息指示所述需删除的群组成员的标识对应的群组成员将所述群组资源标识从自身的所属群组资源标识列表中删除。

结合第二方面的上述所有可能实现方式，所述方法还包括

接收群组资源被引用的通知消息，所述群组资源被引用的通知消息包括所述群组资源标识和引用所述群组资源的访问控制策略资源标识；

在所述群组资源中记录所述访问控制策略资源标识。

结合第二方面的上述所有可能实现方式，所述方法还包括：接收删除群组资源的操作请求,所述删除群组资源的操作请求中携带所述群组资源标识；

在删除所述群组资源的过程中，向所述群组资源的成员列表中的各群组成员发送更新所属群组资源标识列表的第二请求消息，所述第二请求消息包括所述群组资源标识和指示删除所述群组资源标识的信息，所述第二请求消息指示所述群组资源的成员列表中的各群组成员将所述群组资源标识从自身的所属群组资源标识列表中删除。

结合第二方面的上述所有可能实现方式，在所述删除所述群组资源之前，所述方法还包括：

确定所述群组资源包含所述访问控制策略资源标识；

向所述访问控制策略资源标识对应的访问控制策略资源发送群组资源被删除的通知消息，指示所述群组资源已经被删除。

第三方面，本发明提供一种对访问控制策略资源的操作方法，包括：

接收访问控制策略资源的创建请求，所述创建请求中包括群组资源标识以及与所述群组资源标识对应的操作权限；所述与所述群组资源标识对应的操作权限具体为：所述群组资源标识对应的群组资源的群组成员的操作权限；

确定所述群组资源标识对应的群组资源包含通知群组成员标识，所述通知群组成员标识指示所述群组资源的群组成员具有所属群组资源标识列表；

根据所述创建请求创建访问控制策略资源，生成访问控制策略资源标识；其中，所述访问控制策略资源包括所述群组资源标识以及所述与所述群组资源标识对应的操作权限。

结合第三方面，在所述创建访问控制策略资源之后，所述方法还包括：

接收访问控制策略资源的更新请求，所述访问控制策略资源的更新请求中包括在所述访问控制策略资源中需增加的群组资源标识和与所述需增加的群资源标识对应的操作权限；

确定所述需增加的群组资源标识对应的群组资源包含所述通知群组成员标识；

将所述需增加的群组资源标识以及与所述需增加的群资源标识对应的操作权限增加到所述访问控制策略资源中。

结合第三方面的上述所有可能实现方式，所述方法进一步还包括：向群组服务器发送群组资源被引用的通知消息，所述群组资源被引用的通知消息包括所述访问控制策略资源标识以及在所述访问控制策略资源中被引用的群组资源标识。

结合第三方面的上述所有可能实现方式，所述方法还包括：接收所述群组服务器发送的群组资源被删除的通知消息，所述群组资源被删除的通知消息中包含被删除的群组资源标识以及所述访问控制策略资源标识；

根据所述访问控制策略资源标识，在所述访问控制策略资源中删除所述被删除的群组资源标识以及所述与所述被删除的群组资源标识对应的操作权限。

结合第三方面的上述所有可能实现方式，所述确定所述群组资源标识对应的群组资源包含通知群组成员标识，具体为：

向所述群组服务器发送携带所述群组资源标识的获取所述群组资源的通知群组成员标识的请求，接收所述群组服务器返回的响应消息，所述响应消息指示所述群组资源标识对应的群组资源包含所述通知群组成员标识；根据所述响应消息，确定所述所述群组资源标识对应的群组资源包含通知群组成员标识；或者在所述创建请求中携带指示所述群组资源标识对应的群组资源包含所述通知群组成员标识的信息，根据所述创建请求，确定所述群组资源标识对应的群组资源包含通知群组成员标识。

第四方面，本发明提供一种资源访问的装置，所述装置应用于机器通信M2M系统中，包括：接收模块，用于接收请求者资源对被访问资源的访问请求，其中所述访问请求包括所述被访问资源的标识、请求者资源标识和对被访问资源请求的操作；

确定模块，用于根据所述被访问资源的标识确定所述被访问资源；

获取模块，用于根获取所述被访问资源的访问控制策略资源；

所述确定模块，还用于确定所述请求者资源为所述访问控制策略资源中具有所述请求的操作的操作权限的群组资源标识对应的群组资源的群组成员；

执行模块，用于对所述被访问资源执行所述请求的操作。

结合第四方面，所述确定模块具体用于：

确定所述访问控制策略资源中存在具有所述请求的操作的操作权限的群组资源标识，确定所述请求者资源为所述确定的群组资源标识对应的群组资源的群组成员；或者

结合第四方面的上述所有可能实现方式，所述确定所述请求者资源为所述确定的群组资源标识对应的群组资源的群组成员，具体包括：

获取所述请求者资源的所属群组资源标识列表，确定所述所属群组资源标识列表包含所述具有所述请求的操作的操作权限的群组资源标识；或者

结合第四方面的上述所有可能实现方式，所述获取所述请求者资源的所属群组资源标识列表，具体为：

第五方面，本发明提供一种配置资源所属群组资源标识列表的装置，包括：

接收模块，用于接收增加群组成员的操作请求，所述增加群组成员的操作请求包含群组资源标识和新加入的群组成员的标识，其中所述群组资源标识指示所述新加入的群组成员的标识对应的群组成员待加入的群组资源；

确定模块，用于确定所述群组资源包含通知群组成员标识；

发送模块，用于在所述群组资源的成员列表中增加所述新加入的群组成员的标识的过程中，向所述新加入的群组成员的标识对应的群组成员发送更新所属群组资源标识列表的第一请求消息；其中，所述第一请求消息包括所述群组资源标识和指示新增所述群组资源标识的信息，所述第一请求消息指示所述新加入的群组成员的标识对应的群组成员将所述群组资源标识增加到自身的所属群组资源标识列表中。

结合第五方面，所述装置还包括：

所述接收模块，还用于接收创建群组资源的操作请求，所述创建群组资源的操作请求中包括所述通知群组成员标识和所述群组资源的成员列表；

创建模块，用于根据所述创建群组资源的操作请求，创建所述群组资源，生成所述群组资源标识；其中，所述群组资源包含所述通知群组成员标识以及所述群组资源的成员列表；

所述发送模块，向所述群组资源的成员列表中的各群组成员发送更新所属群组资源标识列表的第一请求消息，其中，所述第一请求消息包括所述群组资源标识和指示新增所述群组资源标识的信息，所述第一请求消息指示所述群组资源的成员列表中的各群组成员将所述群组资源标识增加到自身的所属群组资源标识列表中。

结合第五方面的上述所有可能实现方式，所述装置还包括：

所述接收模块，还用于接收群组资源被引用的通知消息，所述群组资源被引用的通知消息包括所述群组资源标识和引用所述群组资源的访问控制策略资源标识；

记录模块，用于在所述群组资源中记录所述访问控制策略资源标识。

结合第五方面的上述所有可能实现方式，所述装置还包括：

所述接收模块，还用于接收删除群组资源的操作请求,所述删除群组资源的操作请求中携带所述群组资源标识；

所述发送模块，还用于在删除所述群组资源的过程中，向所述群组资源的成员列表中的各群组成员发送更新所属群组资源标识列表的第二请求消息，所述第二请求消息包括所述群组资源标识和指示删除所述群组资源标识的信息，所述第二请求消息指示所述群组资源的成员列表中的各群组成员将所述群组资源标识从自身的所属群组资源标识列表中删除。

结合第五方面的上述所有可能实现方式，所述装置在所述删除所述群组资源之前，还包括：

所述确定模块，还用于确定所述群组资源包含所述访问控制策略资源标识；

所述发送模块，还用于向所述访问控制策略资源标识对应的访问控制策略资源发送群组资源被删除的通知消息，指示所述群组资源已经被删除。

第六方面，本发明提供一种对访问控制策略资源的操作装置，包括：接收模块，用于接收访问控制策略资源的创建请求，所述创建请求中包括群组资源标识以及与所述群组资源标识对应的操作权限；所述与所述群组资源标识对应的操作权限具体为：所述群组资源标识对应的群组资源的群组成员的操作权限；

确定模块，用于确定所述群组资源标识对应的群组资源包含通知群组成员标识，所述通知群组成员标识指示所述群组资源的群组成员具有所属群组资源标识列表；

创建模块，用于根据所述创建请求创建访问控制策略资源，生成访问控制策略资源标识；其中，所述访问控制策略资源包括所述群组资源标识以及所述与所述群组资源标识对应的操作权限。

结合第六方面，所述装置还包括：

所述接收模块，还用于接收访问控制策略资源的更新请求，所述访问控制策略资源的更新请求中包括在所述访问控制策略资源中需增加的群组资源标识和与所述需增加的群资源标识对应的操作权限；

所述确定模块，还用于确定所述需增加的群组资源标识对应的群组资源包含所述通知群组成员标识；

增加模块，用于将所述需增加的群组资源标识以及与所述需增加的群资源标识对应的操作权限增加到所述访问控制策略资源中。

结合第六方面的上述所有可能实现方式，所述装置还包括：

发送模块，用于向群组服务器发送群组资源被引用的通知消息，所述群组资源被引用的通知消息包括所述访问控制策略资源标识以及在所述访问控制策略资源中被引用的群组资源标识。

结合第六方面的上述所有可能实现方式，所述装置还包括：

所述接收模块，还用于接收所述群组服务器发送的群组资源被删除的通知消息，所述群组资源被删除的通知消息中包含被删除的群组资源标识以及所述访问控制策略资源标识；

删除模块，用于根据所述访问控制策略资源标识，在所述访问控制策略资源中删除所述被删除的群组资源标识以及所述与所述被删除的群组资源标识对应的操作权限。

本发明提供的资源访问的方法，通过判断请求者资源是否是具有操作权限的群组资源的群组成员，从而可以对资源实现基于群组的访问控制。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种资源访问的方法流程图；

图2为本发明实施例提供的一种端到端的基于群组的访问控制的资源访问方法的流程图；

图3为本发明实施例提供的对资源的所属群组资源标识列表进行配置的方法的流程图；

图4为本发明实施例提供的一种创建访问控制策略资源的方法的流程图；

图5为本发明实施例提供的一种机器通信系统中资源访问装置的结构示意图；

图6为本发明实施例提供的一种机器通信系统中配置资源所属群组资源标识列表的装置的结构示意图；

图7为本发明实施例提供的一种机器通信系统中对访问控制策略资源的操作装置的结构示意图；

图8为本发明实施例提供的一种机器通信系统中资源访问装置的另一种结构示意图；

图9为本发明实施例提供的一种机器通信系统中配置资源所属群组资源标识列表的装置的另一种结构示意图；

图10为本发明实施例提供的一种机器通信系统中对访问控制策略资源的操作装置的另一种结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明的一部分实施例，而不是全部实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下获取的所有其他实施例，都属于本发明保护的范围。

本发明实施例提供一种资源访问的方法，所述方法应用于机器通信M2M系统中，本方法实施例描述的是被访问资源所属设备的处理流程。如图1所示，包括下面的步骤：

步骤102、接收请求者资源对被访问资源的访问请求，其中所述访问请求包括所述被访问资源的标识、请求者资源标识和对被访问资源请求的操作；

具体的，被访问资源所属的设备接收请求者资源通过所属的设备对被访问资源的访问请求，其中所述访问请求包括所述被访问资源的标识、请求者资源标识和对被访问的资源请求的操作。在现有的M2M规范中，任何M2M设备、M2M网关或M2M业务平台以及注册在它们上面的应用，都可以被抽象为资源并且具有唯一的资源标识，即URI(Uniform Resource Identifier)，根据资源标识可以唯一定位资源。对被访问资源请求的操作包括获取Retrieve、创建Create、更新Update和删除Delete等。需要说明的是，被访问资源所属的设备上可能同时存在多个资源，所述被访问资源所属的设备可以根据被访问资源的标识确定请求者资源希望访问的资源。

作为一个例子，本发明实施例中所述访问请求中对被访问资源请求的操作为Update，请求者资源标识为AE1＝http://m2m.example.com/xxx/ApplicationEntity1。

步骤104、根据所述被访问资源的标识确定所述被访问资源；

如步骤102所述，M2M系统中每个资源都具有唯一的资源标识，所以根据所述被访问资源的标识可以确定所述被访问资源。

步骤106、获取所述被访问资源的访问控制策略资源；

具体的，在M2M系统中，被访问资源的访问控制功能可以通过访问控制策略(accessControlPolicy)来实现。每个被访问资源都有一个对应的访问控制策略资源标识accessControlPolicyID(如果被访问资源本身没有accessControlPolicyID属性，则自动继承该资源的父资源的accessControlPolicyID属性或者采用其他默认的accessControlPolicyID属性)。被访问资源所属的设备可以根据accessControlPolicyID去获取相应的访问控制策略资源。所述访问控制策略资源可以位于被访问资源所属的设备，也可以位于其它的设备上。

步骤108：确定所述请求者资源为所述访问控制策略资源中具有所述请求的操作的操作权限的群组资源标识对应的群组资源的群组成员；

其中，确定所述请求者资源为所述访问控制策略资源中具有所述请求的操作的操作权限的群组资源标识对应的群组资源的群组成员，具体为：确定所述访问控制策略资源中存在具有所述请求的操作的操作权限的群组资源标识，且所述请求者资源为所述确定的群组资源标识对应的群组资源的群组成员；或者确定所述访问控制策略资源中存在群组资源标识，确定所述请求者资源为所述确定的群组资源标识对应的群组资源的群组成员，且所述确定的群组资源标识对应的操作权限为所述请求的操作。这两种方法本质是一致的，都需要判断所述访问控制策略中是否存在群组资源标识、群组资源标识对应的操作权限是否为所述请求的操作以及所述请求者资源是否为群组资源标识对应的群组资源的群组成员，只是判断的先后顺序不一样。下面以第一种方法进行详细的说明：

具体的，访问控制策略资源中的每一条访问控制规则中至少包括<accessControlOriginators、accessControlOperations>。需要说明的是，本发明实施例中accessControlContexs为空,表示不对操作权限的条件进行限制和描述，由于和本发明无关，后续说明中不再强调。

被访问资源所属的设备确定所述访问控制策略资源中存在具有所述请求的操作的操作权限的群组资源标识，具体为：确定accessControlOperations中是否包含请求者资源通过所属的设备对被访问资源请求的操作；当确定accessControlOperations中包含请求者资源通过所属的设备对被访问资源请求的操作后，再判断这条访问控制规则中的accessControlOriginators中是否是一个群组资源标识。假设表1所示为步骤106中获取到的访问控制策略资源。表1访问控制策略资源中第三行的访问控制规则中accessControlOperations中包含请求者资源通过所属的设备对被访问资源请求的操作Update，并且这条访问控制规则中的accessControlOriginators是一个群组资源标识Group1，所以可以确定所述访问控制策略资源中存在具有所述请求的操作的操作权限的群组资源标识。

表1 访问控制策略

accessControlOriginators	accessControlContexs	accessControlOperation
accessControlOriginators	accessControlContexs	accessControlOperation	AE1	/	Retrieve/Create
CSE1	/	Update/Create/Delete	AE1	/	Retrieve/Create
CSE1	/	Update/Create/Delete	Group1	/	Update/Create
Group2	/	Retrieve/Create	Group1	/	Update/Create

可选的，在确定所述请求者资源为所述访问控制策略资源中具有所述请求的操作的操作权限的群组资源标识的群组成员之前，被访问资源所属的设备根据所述访问控制策略，确定所述访问控制策略资源中不存在所述请求者资源标识；或者确定所述访问控制策略资源中存在所述请求者资源标识，以及确定所述请求者资源标识对应的操作权限不包含所述请求的操作。这种情况下，依据现有技术，请求者资源对被访问资源的访问将被拒绝。对资源的访问，引入基于群组的访问控制之后，需要进一步确定所述请求者资源是否为具有所述请求的操作的群组资源的群组成员。

从表1所述的访问控制策略资源中，可以看到存在具有Update操作权限的群组标识Group1，如果请求者资源AE1是群组Group1的群组成员的话，那么AE1将也具有Update的操作权限。所以为了判断AE1是否具有对所述被访问资源的Upadate操作权限，需要判断AE1是否为Group1的群组成员。

具体的，确定所述请求者资源是否为所述确定的群组资源标识对应的群组资源的群组成员具体有两种实现方式：

实现方式一：获取所述请求者资源的所属群组资源标识列表，如果所述群组资源标识列表中包含所述群组资源标识，则确定请求者资源是所述群组资源标识对应的群组资源的群组成员；如果所述群组资源标识列表中不包含所述群组资源标识，则确定请求者资源不是所述群组资源标识对应的群组资源的群组成员，其中，所述所属群组资源标识列表中包括所述请求者资源所属的群组资源的群组资源标识；或者，

实现方式二：获取所述具有所述请求的操作的操作权限的群组资源标识对应的群组资源的成员列表，查看所述群组资源的成员列表中是否包含所述请求者资源标识，如果群组资源的成员列表中包含所述请求者资源标识，则确定请求者资源为所述确定的群组资源标识对应的群组资源的群组成员；如果群组资源的成员列表中不包含所述请求者资源标识，则确定请求者资源不是所述确定的群组资源标识对应的群组资源的群组成员。

具体的，对于实现方式一，被访问资源所属的设备可以根据步骤102中所述访问请求中的请求者资源标识，向所述请求者资源所属的设备发送获取请求者资源的所属群组资源标识列表的请求消息。在本发明实施例中，所述获取请求者资源的所属群组资源标识列表的请求消息的目的地址可以是http://m2m.example.com/xxx/ApplicationEntity1，以获取整个AE1资源，然后再进一步获取AE1资源的所属群组资源标识列表；目的地址也可以是http://m2m.example.com/xxx/ApplicationEntity1/memberOf，从而只获取AE1的所属群组资源标识列表。其中资源AE1的memberOf属性中存储的就是AE1的所属群组资源标识列表。所述所属群组资源标识列表中包括所述请求者资源所属的群组资源的群组资源标识。

可选的，步骤102中所述访问请求中进一步还包括请求者资源的所属群组资源标识列表，则步骤108中，被访问资源所属的设备可以直接根据所述访问请求获取请求者资源的所属群组资源标识列表。

步骤110：对所述被访问资源执行所述请求的操作。

具体的，被访问资源所属的设备按照所述访问请求，执行对被访问资源请求的操作，并且可选的，向请求者资源所属的设备返回成功响应消息。

需要说明的是，被访问资源所属的设备除了需要对请求者资源的访问权限进行检查外，可能还包括其他检查步骤，在这些检查步骤中也可能会因为其他的一些原因导致对所述被访问资源请求的操作无法成功执行，返回失败响应消息，所述失败响应消息中包括请求被拒绝的原因。本发明实施例假设不存在其他检查步骤或者其他检查步骤都是通过的。

本发明实施例提供的资源访问的方法，通过判断请求者资源是否是具有操作权限的群组资源的群组成员，从而对资源实现基于群组的访问控制。

图2为本发明提供的一种应用于机器通信M2M系统的端到端的基于群组的访问控制的资源访问方法的流程图。如图2所述，该方法包括如下步骤：

步骤202：请求者资源所属的设备向被访问资源所属的设备发送资源访问请求，所述访问请求中携带被访问资源的标识、请求者资源标识和对被访问资源请求的操作；

具体的，步骤202与图1所述的实施例中的步骤102相同，具体内容请参阅步骤102的相关内容，这里不再赘述。

步骤204：所述被访问资源所属的设备接收到所述访问请求后，获取所述被访问资源的访问控制策略资源标识；

具体的，oneM2M标准中的访问控制功能是通过访问控制策略(accessControlPolicy)来实现的。被访问资源可以包含对应的访问控制策略资源标识accessControlPolicyID。如果该资源本身不包含accessControlPolicyID属性，则自动继承父资源的accessControlPolicyID属性或者其他默认的accessControlPolicyID属性。被访问资源所属的设备根据被访问资源的accessControlPolicyID去获取相应的访问控制策略资源。所述访问控制策略资源可以位于被访问资源所属的设备，也可以位于其他设备上。

步骤206：根据所述访问控制策略资源标识，所述被访问资源所属的设备向访问控制策略资源所属的设备发送获取访问控制策略资源的请求；

需要说明的是，本发明实施例中访问控制策略资源与被访问资源不在同一个设备上，实际上该访问控制策略资源也可能位于被访问资源所属的设备上。当该访问控制策略资源位于被访问资源所属的设备上时，被访问资源所属的设备和访问控制策略资源所属的设备之间的信令交互将为被访问资源所属的设备内部的信令交互。

步骤208：所述访问控制策略资源所属的设备根据所述获取访问控制策略资源的请求，向所述被访问资源所属的设备发送成功获取访问控制策略资源的响应消息，所述成功获取访问控制策略资源的响应消息中包含所述被访问资源的访问控制策略资源；

步骤210：根据所述访问控制策略资源，被访问资源所属的设备确定所述访问控制策略资源中存在具有所述请求的操作的操作权限的群组资源标识；

其中，确定所述访问控制策略资源中存在具有所述请求的操作的操作权限的群组资源标识，具体为：确定accessControlOperations中是否包含请求者资源通过所属的设备对被访问资源请求的操作；当确定accessControlOperations中包含请求者资源通过所属的设备对被访问资源请求的操作后，再判断这条访问控制规则中的accessControlOriginators中是否是一个群组资源标识。

步骤212：所述被访问资源所属的设备向请求者资源所属的设备发送获取请求者资源的所属群组资源标识列表的请求消息；

具体的，被访问资源所属设备可以根据步骤202中所述访问请求中的请求者资源标识，向请求者资源所属的设备发送请求消息去获取请求者资源的所属群组资源标识列表。

步骤214：请求者资源所属的设备向所述被访问资源所属的设备发送成功获取所属群组资源标识列表的响应消息，其中，所述成功获取所属群组资源标识列表的响应消息中包含请求者资源的所属群组资源标识列表。

需要说明的是，如果步骤202中的访问请求中进一步还包括请求者资源的所属群组资源标识列表，那么步骤212和步骤214则不是必需的，被访问资源所属的设备可以直接根据所述访问请求获取请求者资源的所属群组资源标识列表。

步骤216：根据所述所属群组资源标识列表，所述被访问资源所属的设备确定所述请求者资源属于所述具有所述请求的操作的操作权限的群组资源标识对应的群组资源的群组成员；

具体的，所述被访问资源所属的设备将获取到的所属群组资源标识列表与所述具有所述请求的操作的操作权限的群组资源标识进行对比，当所属群组资源标识列表中存在所述具有所述请求的操作的操作权限的群组资源标识时，则确定所述请求者资源属于所述具有所述请求的操作的操作权限的群组资源标识对应群组资源的群组成员。当确定所述请求者资源属于所述具有所述请求的操作的操作权限的群组资源标识对应群组资源的群组成员时，表明所述请求者资源具有对被访问资源的所述请求的操作的操作权限。

步骤218：所述被访问资源所属的设备执行所述请求的操作；

具体的，所述被访问资源所属的设备按照所述访问请求，执行对被访问资源请求的操作，并且可选的，向请求者资源所属的设备返回成功响应消息。

图3为本发明提供的一种应用于机器通信M2M系统中，对资源的所属群组资源标识列表进行配置的方法的流程图。本方法实施例描述的是群组资源所属的设备的处理流程，其中群组资源所属的设备简称群组服务器。在M2M系统中，所述群组服务器可以是存储和维护群组资源的业务平台、M2M网关、 M2M设备等。如图3所述，该方法包括如下步骤：

步骤302：接收增加群组成员的操作请求，所述增加群组成员的操作请求包含群组资源标识和新加入的群组成员的标识，其中所述群组资源标识指示所述新加入的群组成员的标识对应的群组成员待加入的群组资源；

具体的，群组服务器接收到增加群组成员的操作请求，所述增加群组成员的操作请求包含所述群组资源标识和新加入的群组成员的标识。

步骤304：确定所述群组资源包含通知群组成员标识；

具体的，所述通知群组成员标识可以有多种表现形式，例如：所述群组资源的群组类型或群组用途为访问控制、所述群组资源包含通知群组成员标识或所述群组资源的名称中包含访问控制标记等等。本发明方案对所述通知群组成员标识的具体形式不作限定。为了便于表述，本发明实施例后续步骤中以所述群组资源包含通知群组成员标识为例进行说明。

当所述群组资源包含通知群组成员标识时，表明所述群组资源的在更新群组成员的时候，需要更新所述群组资源中发生变化的群组成员的所属群组资源标识列表。

步骤306：在所述群组资源的成员列表中增加所述新加入的群组成员的标识的过程中，向所述新加入的群组成员的标识对应的群组成员发送更新所属群组资源标识列表的第一请求消息；其中，所述第一请求消息包括所述群组资源标识和指示新增所述群组资源标识的信息，所述第一请求消息指示所述新加入的群组成员的标识对应的群组成员将所述群组资源标识增加到自身的所属群组资源标识列表中。

具体的，当所述新加入的群组成员被加入所述群组资源中作为所述群组资源的群组成员时，需要更新所述新加入的群组成员的所属群组资源标识列表，即在所述新加入的群组成员的所属群组资源标识列表中加入所述群组资源标识。

具体的，群组服务器在接收到增加群组成员的操作请求，确定所述群组资源包含通知群组成员标识后，根据所述增加群组成员的操作请求，在所述群组资源的成员列表中增加所述新加入的群组成员的标识，并且向所述新加入的群组成员的标识对应的群组成员发送更新所属群组资源标识列表的第一请求消息；其中，所述第一请求消息包括所述群组资源标识和指示新增所述群组资源标识的信息，所述第一请求消息指示所述新加入的群组成员的标识对应的群组成员将所述群组资源标识增加到自身的所属群组资源标识列表中。需要说明的是，本发明对群组服务器在所述群组资源的成员列表中增加所述新加入的群组成员的标识和发送第一请求消息的顺序不做限定。

可选的，群组服务器接收所述新加入的群组成员返回的成功更新所属群组资源标识列表的通知消息，成功更新所属群组资源标识列表的通知消息指示所述新加入的群组成员已经成功将所述群组资源标识加入到自身所属的群组资源标识列表中。

进一步的，在步骤302之前，所述方法还包括群组服务器接收创建群组资源的操作请求，所述创建群组资源的操作请求中包括所述通知群组成员标识和所述群组资源的成员列表。根据所述创建群组资源的操作请求，群组服务器创建所述群组资源，生成所述群组资源标识，其中，所述群组资源包含所述通知群组成员标识以及所述群组资源的成员列表。群组服务器向所述群组资源的成员列表中的各群组成员发送更新所属群组资源标识列表的第一请求消息，其中，所述第一请求消息包括所述群组资源标识和指示新增所述群组资源标识的信息，所述第一请求消息指示所述群组资源的成员列表中的各群组成员将所述群组资源标识增加到自身的所属群组资源标识列表中。可选的，群组服务器接收所述所述群组资源的成员列表中的各群组成员返回的成功更新所属群组资源标识列表的通知消息，成功更新所属群组资源标识列表的通知消息指示所述群组资源的成员列表中的各群组成员已经成功将所述群组资源标识加入到自身所属的群组资源标识列表中。

进一步的，所述群组服务器接收删除群组成员的操作请求，所述删除群组成员的操作请求包含所述群组资源标识和需删除的群组成员的标识。群组服务器确定所述群组资源包含所述通知群组成员标识后，向所述需删除的群组成员的标识对应的群组成员发送更新所属群组资源标识列表的第二请求消息，其中，所述第二请求消息包括所述群组资源标识和指示删除所述群组资源标识的信息，所述第二请求消息指示所述需删除的群组成员的标识对应的群组成员将所述群组资源标识从自身的所属群组资源标识列表中删除。群组服务器在所述群组资源的成员列表中删除所述需删除的群组成员的标识。需要说明的是，本发明对群组服务器在所述群组资源的成员列表中删除所述需删除的群组成员的标识和发送第二请求消息的顺序不做限定。可选的，群组服务器接收所述需删除的群组成员返回的成功更新所属群组资源标识列表的通知消息，成功更新所属群组资源标识列表的通知消息指示所述需删除的群组成员已经成功将所述群组资源标识从自身所属的群组资源标识列表中删除。

进一步的，所述群组服务器接收访问控制策略资源所属的设备发送的群组资源被引用的通知消息，所述群组资源被引用的通知消息包括所述群组资源标识和引用所述群组资源的访问控制策略资源标识。群组服务器在所述群组资源中记录所述访问控制策略资源标识，其中，记录所述访问控制策略资源标识具体实现还可以是创建所述访问控制策略资源对所述群组资源的订阅。当所述群组资源被删除的时候，群组服务器向引用所述群组资源的访问控制策略资源所属的设备发送群组资源被删除的通知消息，指示所述群组资源已经被删除，以便于访问控制策略资源所属的设备将引用了所述群组资源标识的访问控制规则删除。可选的，群组服务器接收删除群组资源的操作请求,所述删除群组资源的操作请求中携带所述群组资源标识。群组服务器根据所述删除群组资源的操作请求，删除所述群组资源，并且向所述群组资源的成员列表中的各群组成员发送更新所属群组资源标识列表的第二请求消息，所述第二请求消息包括所述群组资源标识和指示删除所述群组资源标识的信息，所述第二请求消息指示所述群组资源的成员列表中的各群组成员将所述群组资源标识从自身的所属群组资源标识列表中删除。可选的，群组服务器接收所述群组资源的成员列表中的各群组成员返回的成功更新所属群组资源标识列表的通知消息，成功更新所属群组资源标识列表的通知消息指示所述群组资源的成员列表中的各群组成员已经成功将所述群组资源标识从自身所属的群组资源标识列表中删除。

所述群组资源被删除后，引用该群组资源的访问控制策略资源中的访问控制规则也就失去引用的基础。可选的，在删除所述群组资源之前，所述群组资服务器根据所述群组资源标识，确定所述群组资源包含访问控制策略资源标识。根据所述访问控制策略资源标识，群组服务器向所述访问控制策略资源所属的设备发送群组资源被删除的通知消息，指示所述群组资源已经被删除，以便于所述访问控制策略资源所属的设备删除访问控制策略资源中引用了所述群组资源的访问控制规则。

如图4所示，本实施例给出一种置应用于机器通信M2M系统中创建访问控制策略资源的方法的流程图，具体步骤如下：

步骤402：接收访问控制策略资源的创建请求，所述创建请求中包括群组资源标识以及与所述群组资源标识对应的操作权限；所述与所述群组资源标识对应的操作权限具体为：所述群组资源标识指示的群组资源对应的群组成员的操作权限；

具体的，访问控制策略资源所属的设备接收访问控制策略资源的创建请求，其中所述访问控制策略资源的创建请求中包括群组资源标识以及与所述群组资源标识对应的操作权限；所述与所述具有操作权限的群组资源标识对应的操作权限具体为：所述群组资源标识指示的群组资源对应的群组成员的操作权限。所述访问控制策略资源所属的设备可以是M2M系统中的M2M网关、M2M设备或者是M2M平台所属的设备。

所述访问控制策略资源的创建请求指示所述访问控制策略资源所属的设备建立一个访问控制策略资源，该访问控制策略资源包括一个基于群组的访问控制规则。

步骤404：确定所述群组资源标识对应的群组资源包含通知群组成员标识，所述通知群组成员标识指示所述群组资源的群组成员具有所属群组资源标识列表；

具体的，所述通知群组成员标识可以有多种表现形式，例如：所述群组资源的群组类型或群组用途为访问控制、所述群组资源包含通知群组成员的标识或所述群组资源的名称中包含访问控制标记等等，所述通知群组成员标识指示所述群组资源的群组成员具有所属群组资源标识列表，本发明方案对所述通知群组成员标识的具体形式不作限定。为了便于表述，本发明实施例后续步骤中以所述群组资源包含通知群组成员标识为例进行说明。

具体的，确定所述群组资源标识对应的群组资源包含通知群组成员标识，具体为：

根据所述群组资源标识，访问控制策略资源所属的设备向所述群组资源标识对应的群组资源所属的设备发送获取所述群组资源的通知群组成员标识的请求，接收所述群组资源标识指示的群组资源所属的设备返回的获取通知群组成员标识的响应消息，所述获取通知群组成员标识的响应消息中指示所述群组资源标识对应的群组资源包含所述通知群组成员标识；根据所述获取通知群组成员标识的响应消息，访问控制策略资源所属的设备确定所述群组资源标识对应的群组资源包含通知群组成员标识；需要说明的是，访问控制策略资源所属的设备和群组资源所属的设备也相同的设备，当访问控制策略资源所属的设备和群组资源所属的设备是相同的设备时，两者之间的信息交互在设备内部进行。或者，

在步骤402中所述创建请求中携带指示所述群组资源标识对应的群组资源包含所述通知群组成员标识的信息，根据所述创建请求，访问控制策略资源所属的设备确定所述群组资源标识对应的群组资源包含通知群组成员标识。

步骤406：根据所述创建请求创建访问控制策略资源，生成访问控制策略资源标识；其中，所述访问控制策略资源包括所述群组资源标识以及所述与所述群组资源标识对应的操作权限。

具体的，访问控制策略资源所属的设备根据所述访问控制策略资源的创建请求，创建访问控制策略资源，生成访问控制策略资源标识。所述访问控制策略资源包括所述群组资源标识以及所述与所述群组资源标识对应的操作权限。可选的，所述访问控制策略资源所属的设备向所述群组资源所属的设备发送群组资源被引用的通知消息，所述群组资源被引用的通知消息包括所述访问控制策略资源标识以及在所述访问控制策略资源中被引用的群组资源标识。

进一步的，当成功创建所述访问控制策略资源后，访问控制策略资源所属的设备接收访问控制策略资源的更新请求，所述访问控制策略资源的更新请求中包括在所述访问控制策略资源中需增加的群组资源标识和与所述需增加的群资源标识对应的操作权限。访问控制策略资源所属的设备确定所述需增加的群组资源标识对应的群组资源包含所述通知群组成员标识后，将所述需增加的群组资源标识以及与所述需增加的群资源标识对应的操作权限增加到所述访问控制策略资源中。可选的，所述访问控制策略资源所属的设备向所述需增加的群组资源所属的设备发送群组资源被引用的通知消息，所述群组资源被引用的通知消息包括所述访问控制策略资源标识以及在所述访问控制策略资源中被引用的群组资源标识。需要说明的是，本发明实施例中将访问控制策略资源中accessControlOriginators中的群组资源标识统称为被引用的群组资源标识。

可选的，当所述被引用的群组资源被删除后，访问控制策略资源所属的设备接收被删除的群组资源所属的设备发送的群组资源被删除的通知消息，所述群组资源被删除的通知消息中包含被删除的群组资源标识以及所述访问控制策略资源标识。根据所述访问控制策略资源标识，访问控制策略资源所属的设备在所述访问控制策略资源中删除所述被删除的群组资源标识以及所述与所述被删除的群组资源标识对应的操作权限。显然，这里所述的被删除的群组资源属于所述被引用的群组资源。

可选的，当根据步骤402中接收的访问控制策略资源的创建请求中不包括群组资源标识时，则表明所述访问控制策略资源的创建请求，请求创建的访问控制策略资源没有针对群组的访问控制规则。按照所述访问控制策略的创建请求，建立相应的访问控制策略资源。进一步的，当根据步骤402中接收的访问控制策略资源的创建请求中包括群组资源标识时，则表明所述访问控制策略资源的创建请求，请求创建的访问控制策略资源包括一个针对群组的访问控制规则。如果在步骤404中，确定所述群组资源不包含通知群组成员标识，则访问控制策略资源所属的设备拒绝访问控制策略资源的创建请求，并向请求设备发送失败响应消息，所述失败响应消息中携带拒绝请求的原因为所述访问控制策略资源信息中包含不符合条件的群组资源标识。

本发明实施例中，提供了一种对资源的所属群组资源标识列表进行配置的方法，当需要对群组资源进行操作而导致群组资源的群组成员所属的群组发生变化时，更新群组成员的所属群组资源标识列表，从而为基于群组的访问控制提供了可能。

图5所示为本发明实施例提供的一种机器通信系统中资源访问装置的示意图，包括：

接收模块501，用于接收请求者资源对被访问资源的访问请求，其中所述访问请求包括所述被访问资源的标识、请求者资源标识和对被访问资源请求的操作；

确定模块502，用于根据所述被访问资源的标识确定所述被访问资源；

获取模块503，用于根获取所述被访问资源的访问控制策略资源；

所述确定模块502，还用于确定所述请求者资源为所述访问控制策略资源中具有所述请求的操作的操作权限的群组资源标识对应的群组资源的群组成员；

执行模块504，用于对所述被访问资源执行所述请求的操作。

具体的，所述确定模块502具体用于：确定所述访问控制策略资源中存在具有所述请求的操作的操作权限的群组资源标识，确定所述请求者资源为所述确定的群组资源标识对应的群组资源的群组成员；或者确定所述访问控制策略资源中存在群组资源标识，确定所述请求者资源为所述确定的群组资源标识对应的群组资源的群组成员，且所述确定的群组资源标识对应的操作权限为所述请求的操作。

其中，所述确定所述请求者资源为所述确定的群组资源标识对应的群组资源的群组成员，具体包括：获取所述请求者资源的所属群组资源标识列表，确定所述所属群组资源标识列表包含所述具有所述请求的操作的操作权限的群组资源标识；或者获取所述具有所述请求的操作的操作权限的群组资源标识对应的群组资源的成员列表，确定所述成员列表包含所述请求者资源标识。

其中，所述获取所述请求者资源的所属群组资源标识列表，具体为：根据所述请求者资源标识，向所述请求者资源发送获取请求者资源的所属群组资源标识列表的请求消息，接收所述请求者资源返回的所述所属群组资源标识列表；或者所述访问请求还包括所述请求者资源的所属群组资源标识列表，获取所述访问请求中的所述所属群组资源标识列表。

可选的，在所述确定所述请求者资源为所述具有所述请求的操作的操作权限的群组资源标识对应的群组资源的群组成员之前，所述确定模块502，还用于确定所述访问控制策略资源中不存在所述请求者资源标识；或者确定所述访问控制策略资源中存在所述请求者资源标识，以及确定所述请求者资源标识对应的操作权限不包含所述请求的操作。

图6所示为本发明实施例提供的一种机器通信系统中配置资源所属群组资源标识列表的装置的示意图，包括：

接收模块601，用于接收增加群组成员的操作请求，所述增加群组成员的操作请求包含群组资源标识和新加入的群组成员的标识，其中所述群组资源标识指示所述新加入的群组成员的标识对应的群组成员待加入的群组资源；

确定模块602，用于确定所述群组资源包含通知群组成员标识；

发送模块603，用于在所述群组资源的成员列表中增加所述新加入的群组成员的标识的过程中，向所述新加入的群组成员的标识对应的群组成员发送更新所属群组资源标识列表的第一请求消息；其中，所述第一请求消息包括所述群组资源标识和指示新增所述群组资源标识的信息，所述第一请求消息指示所述新加入的群组成员的标识对应的群组成员将所述群组资源标识增加到自身的所属群组资源标识列表中。

可选的，所述接收模块601，还用于接收创建群组资源的操作请求，所述创建群组资源的操作请求中包括所述通知群组成员标识和所述群组资源的成员列表；所述装置还包括创建模块604，用于根据所述创建群组资源的操作请求，创建所述群组资源，生成所述群组资源标识；其中，所述群组资源包含所述通知群组成员标识以及所述群组资源的成员列表；所述发送模块603，还用于向所述群组资源的成员列表中的各群组成员发送更新所属群组资源标识列表的第一请求消息，其中，所述第一请求消息包括所述群组资源标识和指示新增所述群组资源标识的信息，所述第一请求消息指示所述群组资源的成员列表中的各群组成员将所述群组资源标识增加到自身的所属群组资源标识列表中。

可选的，所述接收模块601，还用于接收删除群组成员的操作请求，所述删除群组成员的操作请求包含所述群组资源标识和需删除的群组成员的标识；所述确定模块602，还用于确定所述群组资源包含所述通知群组成员标识；所述发送模块603，还用于在所述群组资源的成员列表中删除所述需删除的群组成员的标识的过程中，向所述需删除的群组成员的标识对应的群组成员发送更新所属群组资源标识列表的第二请求消息，其中，所述第二请求消息包括所述群组资源标识和指示删除所述群组资源标识的信息，所述第二请求消息指示所述需删除的群组成员的标识对应的群组成员将所述群组资源标识从自身的所属群组资源标识列表中删除。

可选的，所述接收模块601，还用于接收群组资源被引用的通知消息，所述群组资源被引用的通知消息包括所述群组资源标识和引用所述群组资源的访问控制策略资源标识；所述装置还包括记录模块605，用于在所述群组资源中记录所述访问控制策略资源标识。

可选的，所述接收模块601，还用于接收删除群组资源的操作请求,所述删除群组资源的操作请求中携带所述群组资源标识；所述发送模块，还用于在删除所述群组资源的过程中，向所述群组资源的成员列表中的各群组成员发送更新所属群组资源标识列表的第二请求消息，所述第二请求消息包括所述群组资源标识和指示删除所述群组资源标识的信息，所述第二请求消息指示所述群组资源的成员列表中的各群组成员将所述群组资源标识从自身的所属群组资源标识列表中删除。

可选的，所述装置在所述删除所述群组资源之前，所述确定模块602，还用于确定所述群组资源包含所述访问控制策略资源标识；所述发送模块603，还用于向所述访问控制策略资源标识对应的访问控制策略资源发送群组资源被删除的通知消息，指示所述群组资源已经被删除。

图7所示为本发明实施例提供的一种机器通信系统中对访问控制策略资源的操作装置的示意图，包括：

接收模块701，用于接收访问控制策略资源的创建请求，所述创建请求中包括群组资源标识以及与所述群组资源标识对应的操作权限；所述与所述群组资源标识对应的操作权限具体为：所述群组资源标识对应的群组资源的群组成员的操作权限；

确定模块702，用于确定所述群组资源标识对应的群组资源包含通知群组成员标识，所述通知群组成员标识指示所述群组资源的群组成员具有所属群组资源标识列表；

创建模块703，用于根据所述创建请求创建访问控制策略资源，生成访问控制策略资源标识；其中，所述访问控制策略资源包括所述群组资源标识以及所述与所述群组资源标识对应的操作权限。

可选的，所述接收模块701，还用于接收访问控制策略资源的更新请求，所述访问控制策略资源的更新请求中包括在所述访问控制策略资源中需增加的群组资源标识和与所述需增加的群资源标识对应的操作权限；所述确定模块702，还用于确定所述需增加的群组资源标识对应的群组资源包含所述通知群组成员标识；所述装置进一步还包括：增加模块704，用于将所述需增加的群组资源标识以及与所述需增加的群资源标识对应的操作权限增加到所述访问控制策略资源中。

可选的，所述装置还包括：发送模块705，用于向群组服务器发送群组资源被引用的通知消息，所述群组资源被引用的通知消息包括所述访问控制策略资源标识以及在所述访问控制策略资源中被引用的群组资源标识。需要说明的是，本发明实施例中将访问控制策略资源中accessControlOriginators中的群组资源标识统称为被引用的群组资源标识。

可选的，所述接收模块701，还用于接收所述群组服务器发送的群组资源被删除的通知消息，所述群组资源被删除的通知消息中包含被删除的群组资源标识以及所述访问控制策略资源标识；所述装置进一步还包括：删除模块706，用于根据所述访问控制策略资源标识，在所述访问控制策略资源中删除所述被删除的群组资源标识以及所述与所述被删除的群组资源标识对应的操作权限。

图8所示的是本发明实施例提供的一种机器通信系统中资源访问装置的另一种结构示意图，采用通用计算机系统结构，执行本发明方案的程序代码保存在存储器中，并由处理器来控制执行。资源访问装置包括总线，处理器(801)，存储器(802)，通信接口(803)。

总线可包括一通路，在计算机各个部件之间传送信息。

处理器801可以是一个通用中央处理器(CPU)，微处理器，特定应用集成电路application-specific integrated circuit(ASIC)，或一个或多个用于控制本发明方案程序执行的集成电路。计算机系统中包括的一个或多个存储器，可以是只读存储器read-only memory(ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器random access memory(RAM)或者可存储信息和指令的其他类型的动态存储设备，也可以是磁盘存储器。这些存储器通过总线与处理器相连接。

通信接口803，可以使用任何收发器一类的装置，以便与其他设备或通信网络通信，如以太网、无线接入网(RAN)、无线局域网(WLAN)等.

存储器802，如RAM，保存有操作系统和执行本发明方案的程序。操作系统是用于控制其他程序运行，管理系统资源的程序。执行本发明方案的程序代码保存在存储器中，并由处理器来控制执行。

存储器802中存储的程序用于指令处理器执行一种机器通信中资源访问的方法，包括：接收请求者资源对被访问资源的访问请求，其中所述访问请求包括所述被访问资源的标识、请求者资源标识和对被访问资源请求的操作；根据所述被访问资源的标识确定所述被访问资源；获取所述被访问资源的访问控制策略资源；确定所述请求者资源为所述访问控制策略资源中具有所述请求的操作的操作权限的群组资源标识对应的群组资源的群组成员；对所述被访问资源执行所述请求的操作。

可以理解的是，本实施例的一种机器通信系统中资源访问装置可用于实现图1和图2所述方法实施例中的所有功能，其具体实现过程可以参照上述方法实施例的相关描述，此处不再赘述。

图9所示的是本发明实施例提供的一种机器通信系统中配置资源所属群组资源标识列表的装置的另一种结构示意图，采用通用计算机系统结构，执行本发明方案的程序代码保存在存储器中，并由处理器来控制执行。配置资源所属群组资源标识列表的装置包括总线，处理器(901)，存储器(902)，通信接口(903)。

总线可包括一通路，在计算机各个部件之间传送信息。

处理器901可以是一个通用中央处理器(CPU)，微处理器，特定应用集成电路application-specific integrated circuit(ASIC)，或一个或多个用于控制本发明方案程序执行的集成电路。计算机系统中包括的一个或多个存储器，可以是只读存储器read-only memory(ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器random access memory(RAM)或者可存储信息和指令的其他类型的动态存储设备，也可以是磁盘存储器。这些存储器通过总线与处理器相连接。

通信接口903，可以使用任何收发器一类的装置，以便与其他设备或通信网络通信，如以太网，无线接入网(RAN)，无线局域网(WLAN)等.

存储器902，如RAM，保存有操作系统和执行本发明方案的程序。操作系统是用于控制其他程序运行，管理系统资源的程序。执行本发明方案的程序代码保存在存储器中，并由处理器来控制执行。

存储器中存储的程序用于指令处理器执行一种机器通信中配置资源所属群组资源标识列表的方法，包括：接收增加群组成员的操作请求，所述增加群组成员的操作请求包含群组资源标识和新加入的群组成员的标识，其中所述群组资源标识指示所述新加入的群组成员的标识对应的群组成员待加入的群组资源；确定所述群组资源包含通知群组成员标识；在所述群组资源的成员列表中增加所述新加入的群组成员的标识的过程中，向所述新加入的群组成员的标识对应的群组成员发送更新所属群组资源标识列表的第一请求消息；其中，所述第一请求消息包括所述群组资源标识和指示新增所述群组资源标识的信息，所述第一请求消息指示所述新加入的群组成员的标识对应的群组成员将所述群组资源标识增加到自身的所属群组资源标识列表中。

可以理解的是，本实施例的一种机器通信系统中配置资源所属群组资源标识列表的装置可用于实现图3所述方法实施例中的所有功能，其具体实现过程可以参照上述方法实施例的相关描述，此处不再赘述。

图10所示的是本发明实施例提供的对访问控制策略资源的操作装置的另一种结构示意图，采用通用计算机系统结构，执行本发明方案的程序代码保存在存储器中，并由处理器来控制执行。对访问控制策略资源的操作装置包括总线，处理器(1001)，存储器(1002)，通信接口(1003)。

总线可包括一通路，在计算机各个部件之间传送信息。

处理器1001可以是一个通用中央处理器(CPU)，微处理器，特定应用集成电路application-specific integrated circuit(ASIC)，或一个或多个用于控制本发明方案程序执行的集成电路。计算机系统中包括的一个或多个存储器，可以是只读存储器read-only memory(ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器random access memory(RAM)或者可存储信息和指令的其他类型的动态存储设备，也可以是磁盘存储器。这些存储器通过总线与处理器相连接。

通信接口1003，可以使用任何收发器一类的装置，以便与其他设备或通信网络通信，如以太网，无线接入网(RAN)，无线局域网(WLAN)等.

存储器1002，如RAM，保存有操作系统和执行本发明方案的程序。操作系统是用于控制其他程序运行，管理系统资源的程序。执行本发明方案的程序代码保存在存储器中，并由处理器来控制执行。

存储器1002中存储的程序用于指令处理器执行一种机器通信中对访问控制策略资源的操作方法，包括：接收访问控制策略资源的创建请求，所述创建请求中包括群组资源标识以及与所述群组资源标识对应的操作权限；所述与所述群组资源标识对应的操作权限具体为：所述群组资源标识对应的群组资源的群组成员的操作权限；确定所述群组资源标识对应的群组资源包含通知群组成员标识，所述通知群组成员标识指示所述群组资源的群组成员具有所属群组资源标识列表；根据所述创建请求创建访问控制策略资源，生成访问控制策略资源标识；其中，所述访问控制策略资源包括所述群组资源标识以及所述与所述群组资源标识对应的操作权限。

可以理解的是，本实施例的一种机器通信系统中对访问控制策略资源的操作装置可用于实现图4所述方法实施例中的所有功能，其具体实现过程可以参照上述方法实施例的相关描述，此处不再赘述。

需要说明的是，本说明书中的各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，各单元具体功能的执行过程参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

总之，以上所述仅为本发明技术方案的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

一种资源访问的方法，所述方法应用于机器通信M2M系统中，其特征在于，包括：

接收请求者资源对被访问资源的访问请求，其中所述访问请求包括所述被访问资源的标识、请求者资源标识和对被访问资源请求的操作；

根据所述被访问资源的标识确定所述被访问资源；

获取所述被访问资源的访问控制策略资源；

确定所述请求者资源为所述访问控制策略资源中具有所述请求的操作的操作权限的群组资源标识对应的群组资源的群组成员；

对所述被访问资源执行所述请求的操作。
如权利要求1所述的方法，其特征在于，所述确定所述请求者资源为所述访问控制策略资源中具有所述请求的操作的操作权限的群组资源标识对应的群组资源的群组成员，具体为：

确定所述访问控制策略资源中存在具有所述请求的操作的操作权限的群组资源标识，确定所述请求者资源为所述确定的群组资源标识对应的群组资源的群组成员；或者

确定所述访问控制策略资源中存在群组资源标识，确定所述请求者资源为所述确定的群组资源标识对应的群组资源的群组成员，且所述确定的群组资源标识对应的操作权限为所述请求的操作。
如权利要求2所述的方法，其特征在于，所述确定所述请求者资源为所述确定的群组资源标识对应的群组资源的群组成员，具体为：

获取所述请求者资源的所属群组资源标识列表，确定所述所属群组资源标识列表包含所述具有所述请求的操作的操作权限的群组资源标识；或

获取所述具有所述请求的操作的操作权限的群组资源标识对应的群组资源的成员列表，确定所述成员列表包含所述请求者资源标识。
如权利要求3所述的方法，其特征在于，所述获取所述请求者资源的所属群组资源标识列表，具体为：

根据所述请求者资源标识，向所述请求者资源发送获取请求者资源的所属群组资源标识列表的请求消息，接收所述请求者资源返回的所述所属群组资源标识列表；或者

所述访问请求还包括所述请求者资源的所属群组资源标识列表，获取所述访问请求中的所述所属群组资源标识列表。
如权利要求1-4任一所述的方法，其特征在于，在所述确定所述请求者资源为所述访问控制策略资源中具有所述请求的操作的操作权限的群组资源标识对应的群组资源的群组成员之前，所述方法还包括：

确定所述访问控制策略资源中不存在所述请求者资源标识；或者

确定所述访问控制策略资源中存在所述请求者资源标识，以及确定所述请求者资源标识对应的操作权限不包含所述请求的操作。
一种配置资源所属群组资源标识列表的方法，所述方法应用于机器通信M2M系统中，其特征在于，包括：

接收增加群组成员的操作请求，所述增加群组成员的操作请求包含群组资源标识和新加入的群组成员的标识，其中所述群组资源标识指示所述新加入的群组成员的标识对应的群组成员待加入的群组资源；

确定所述群组资源包含通知群组成员标识；

在所述群组资源的成员列表中增加所述新加入的群组成员的标识的过程中，向所述新加入的群组成员的标识对应的群组成员发送更新所属群组资源标识列表的第一请求消息；其中，所述第一请求消息包括所述群组资源标识和指示新增所述群组资源标识的信息，所述第一请求消息指示所述新加入的群组成员的标识对应的群组成员将所述群组资源标识增加到自身的所属群组资源标识列表中。
如权利要求6所述的方法，其特征在于，在所述接收增加群组成员的操作请求之前，所述方法还包括：

接收创建群组资源的操作请求，所述创建群组资源的操作请求中包括所述通知群组成员标识和所述群组资源的成员列表；

根据所述创建群组资源的操作请求，创建所述群组资源，生成所述群组资源标识；其中，所述群组资源包含所述通知群组成员标识以及所述群组资源的成员列表；

向所述群组资源的成员列表中的各群组成员发送更新所属群组资源标识列表的第一请求消息，其中，所述第一请求消息包括所述群组资源标识和指示新增所述群组资源标识的信息，所述第一请求消息指示所述群组资源的成员列表中的各群组成员将所述群组资源标识增加到自身的所属群组资源标识列表中。
如权利要求6-7任一所述的方法，其特征在于，该方法进一步包括：

接收删除群组成员的操作请求，所述删除群组成员的操作请求包含所述群组资源标识和需删除的群组成员的标识；

确定所述群组资源包含所述通知群组成员标识；

在所述群组资源的成员列表中删除所述需删除的群组成员的标识的过程中，向所述需删除的群组成员的标识对应的群组成员发送更新所属群组资源标识列表的第二请求消息，其中，所述第二请求消息包括所述群组资源标识和指示删除所述群组资源标识的信息，所述第二请求消息指示所述需删除的群组成员的标识对应的群组成员将所述群组资源标识从自身的所属群组资源标识列表中删除。
如权利要求6-8任一所述的方法，其特征在于，所述方法还包括

接收群组资源被引用的通知消息，所述群组资源被引用的通知消息包括所述群组资源标识和引用所述群组资源的访问控制策略资源标识；

在所述群组资源中记录所述访问控制策略资源标识。
如权利要求9所述的方法，其特征在于，所述方法还包括：

接收删除群组资源的操作请求,所述删除群组资源的操作请求中携带所述群组资源标识；

在删除所述群组资源的过程中，向所述群组资源的成员列表中的各群组成员发送更新所属群组资源标识列表的第二请求消息，所述第二请求消息包括所述群组资源标识和指示删除所述群组资源标识的信息，所述第二请求消息指示所述群组资源的成员列表中的各群组成员将所述群组资源标识从自身的所属群组资源标识列表中删除。
如权利要求10所述的方法，其特征在于，在所述删除所述群组资源之前，所述方法还包括：

确定所述群组资源包含所述访问控制策略资源标识；

向所述访问控制策略资源标识对应的访问控制策略资源发送群组资源被删除的通知消息，指示所述群组资源已经被删除。
一种对访问控制策略资源的操作方法，所述方法应用于机器通信M2M 系统中，其特征在于，包括：

接收访问控制策略资源的创建请求，所述创建请求中包括群组资源标识以及与所述群组资源标识对应的操作权限；所述与所述群组资源标识对应的操作权限具体为：所述群组资源标识对应的群组资源的群组成员的操作权限；

确定所述群组资源标识对应的群组资源包含通知群组成员标识，所述通知群组成员标识指示所述群组资源的群组成员具有所属群组资源标识列表；

根据所述创建请求创建访问控制策略资源，生成访问控制策略资源标识；其中，所述访问控制策略资源包括所述群组资源标识以及所述与所述群组资源标识对应的操作权限。
如权利要求12所述的方法，其特征在于，在所述创建访问控制策略资源之后，所述方法还包括：

接收访问控制策略资源的更新请求，所述访问控制策略资源的更新请求中包括在所述访问控制策略资源中需增加的群组资源标识和与所述需增加的群资源标识对应的操作权限；

确定所述需增加的群组资源标识对应的群组资源包含所述通知群组成员标识；

将所述需增加的群组资源标识以及与所述需增加的群资源标识对应的操作权限增加到所述访问控制策略资源中。
如权利要求12或13所述的方法，其特征在于，所述方法进一步还包括：

向群组服务器发送群组资源被引用的通知消息，所述群组资源被引用的通知消息包括所述访问控制策略资源标识以及在所述访问控制策略资源中被引用的群组资源标识。
如利要求14所述的方法，其特征在于，所述方法还包括：

接收所述群组服务器发送的群组资源被删除的通知消息，所述群组资源被删除的通知消息中包含被删除的群组资源标识以及所述访问控制策略资源标识；

根据所述访问控制策略资源标识，在所述访问控制策略资源中删除所述被删除的群组资源标识以及所述与所述被删除的群组资源标识对应的操作权限。
如权利要求12-15任一所述的方法，其特征在于，所述确定所述群组资源标识对应的群组资源包含通知群组成员标识，具体为：

向所述群组服务器发送携带所述群组资源标识的获取所述群组资源的通知群组成员标识的请求，接收所述群组服务器返回的响应消息，所述响应消息指示所述群组资源标识对应的群组资源包含所述通知群组成员标识；根据所述响应消息，确定所述所述群组资源标识对应的群组资源包含通知群组成员标识；或者

在所述创建请求中携带指示所述群组资源标识对应的群组资源包含所述通知群组成员标识的信息，根据所述创建请求，确定所述群组资源标识对应的群组资源包含通知群组成员标识。
一种资源访问的装置，所述装置应用于机器通信M2M系统中，其特征在于，包括：

接收模块，用于接收请求者资源对被访问资源的访问请求，其中所述访问请求包括所述被访问资源的标识、请求者资源标识和对被访问资源请求的操作；

确定模块，用于根据所述被访问资源的标识确定所述被访问资源；

获取模块，用于根获取所述被访问资源的访问控制策略资源；

所述确定模块，还用于确定所述请求者资源为所述访问控制策略资源中具有所述请求的操作的操作权限的群组资源标识对应的群组资源的群组成员；

执行模块，用于对所述被访问资源执行所述请求的操作。
如权利要求17所述的装置，其特征在于，所述确定模块具体用于：

确定所述访问控制策略资源中存在具有所述请求的操作的操作权限的群组资源标识，确定所述请求者资源为所述确定的群组资源标识对应的群组资源的群组成员；或者

确定所述访问控制策略资源中存在群组资源标识，确定所述请求者资源为所述确定的群组资源标识对应的群组资源的群组成员，且所述确定的群组资源标识对应的操作权限为所述请求的操作。
如权利要求18所述的装置，其特征在于，所述确定所述请求者资源为所述确定的群组资源标识对应的群组资源的群组成员，具体包括：

获取所述请求者资源的所属群组资源标识列表，确定所述所属群组资源标识列表包含所述具有所述请求的操作的操作权限的群组资源标识；或者

获取所述具有所述请求的操作的操作权限的群组资源标识对应的群组资源的成员列表，确定所述成员列表包含所述请求者资源标识。
如权利要求19所述的装置，其特征在于，所述获取所述请求者资源的所属群组资源标识列表，具体为：

根据所述请求者资源标识，向所述请求者资源发送获取请求者资源的所属群组资源标识列表的请求消息，接收所述请求者资源返回的所述所属群组资源标识列表；或者

所述访问请求还包括所述请求者资源的所属群组资源标识列表，获取所述访问请求中的所述所属群组资源标识列表。
如权利要求17-20任一所述的装置，其特征在于，在所述确定所述请求者资源为所述具有所述请求的操作的操作权限的群组资源标识对应的群组资源的群组成员之前，所述确定模块，还用于

确定所述访问控制策略资源中不存在所述请求者资源标识；或者

确定所述访问控制策略资源中存在所述请求者资源标识，以及确定所述请求者资源标识对应的操作权限不包含所述请求的操作。
一种配置资源所属群组资源标识列表的装置，所述装置应用于机器通信M2M系统中，其特征在于，包括：

接收模块，用于接收增加群组成员的操作请求，所述增加群组成员的操作请求包含群组资源标识和新加入的群组成员的标识，其中所述群组资源标识指示所述新加入的群组成员的标识对应的群组成员待加入的群组资源；

确定模块，用于确定所述群组资源包含通知群组成员标识；

发送模块，用于在所述群组资源的成员列表中增加所述新加入的群组成员的标识的过程中，向所述新加入的群组成员的标识对应的群组成员发送更新所属群组资源标识列表的第一请求消息；其中，所述第一请求消息包括所述群组资源标识和指示新增所述群组资源标识的信息，所述第一请求消息指示所述新加入的群组成员的标识对应的群组成员将所述群组资源标识增加到自身的所属群组资源标识列表中。
如权利要求21所述的装置，其特征在于，所述装置还包括：

所述接收模块，还用于接收创建群组资源的操作请求，所述创建群组资源的操作请求中包括所述通知群组成员标识和所述群组资源的成员列表；

创建模块，用于根据所述创建群组资源的操作请求，创建所述群组资源，生成所述群组资源标识；其中，所述群组资源包含所述通知群组成员标识以及所述群组资源的成员列表；

所述发送模块，向所述群组资源的成员列表中的各群组成员发送更新所属群组资源标识列表的第一请求消息，其中，所述第一请求消息包括所述群组资源标识和指示新增所述群组资源标识的信息，所述第一请求消息指示所述群组资源的成员列表中的各群组成员将所述群组资源标识增加到自身的所属群组资源标识列表中。
如权利要求22或23所述的装置，其特征在于，所述装置还包括：

所述接收模块，还用于接收删除群组成员的操作请求，所述删除群组成员的操作请求包含所述群组资源标识和需删除的群组成员的标识；

所述确定模块，还用于确定所述群组资源包含所述通知群组成员标识；

所述发送模块，还用于在所述群组资源的成员列表中删除所述需删除的群组成员的标识的过程中，向所述需删除的群组成员的标识对应的群组成员发送更新所属群组资源标识列表的第二请求消息，其中，所述第二请求消息包括所述群组资源标识和指示删除所述群组资源标识的信息，所述第二请求消息指示所述需删除的群组成员的标识对应的群组成员将所述群组资源标识从自身的所属群组资源标识列表中删除。
如权利要求22-24任一所述的装置，其特征在于，所述装置还包括：

所述接收模块，还用于接收群组资源被引用的通知消息，所述群组资源被引用的通知消息包括所述群组资源标识和引用所述群组资源的访问控制策略资源标识；

记录模块，用于在所述群组资源中记录所述访问控制策略资源标识。
如权利要求25所述的装置，其特征在于，所述装置还包括：

所述接收模块，还用于接收删除群组资源的操作请求,所述删除群组资源的操作请求中携带所述群组资源标识；

所述发送模块，还用于在删除所述群组资源的过程中，向所述群组资源的成员列表中的各群组成员发送更新所属群组资源标识列表的第二请求消息，所述第二请求消息包括所述群组资源标识和指示删除所述群组资源标识的信息，所述第二请求消息指示所述群组资源的成员列表中的各群组成员将所述群组资源标识从自身的所属群组资源标识列表中删除。
如权利要求26所述的装置，其特征在于，所述装置在所述删除所述群组资源之前，还包括：

所述确定模块，还用于确定所述群组资源包含所述访问控制策略资源标识；

所述发送模块，还用于向所述访问控制策略资源标识对应的访问控制策略资源发送群组资源被删除的通知消息，指示所述群组资源已经被删除。
一种对访问控制策略资源的操作装置，所述装置应用于机器通信M2M系统中，其特征在于，包括：

接收模块，用于接收访问控制策略资源的创建请求，所述创建请求中包括群组资源标识以及与所述群组资源标识对应的操作权限；所述与所述群组资源标识对应的操作权限具体为：所述群组资源标识对应的群组资源的群组成员的操作权限；

确定模块，用于确定所述群组资源标识对应的群组资源包含通知群组成员标识，所述通知群组成员标识指示所述群组资源的群组成员具有所属群组资源标识列表；

创建模块，用于根据所述创建请求创建访问控制策略资源，生成访问控制策略资源标识；其中，所述访问控制策略资源包括所述群组资源标识以及所述与所述群组资源标识对应的操作权限。
如权利要求28所述的装置，其特征在于，所述装置还包括：

所述接收模块，还用于接收访问控制策略资源的更新请求，所述访问控制策略资源的更新请求中包括在所述访问控制策略资源中需增加的群组资源标识和与所述需增加的群资源标识对应的操作权限；

所述确定模块，还用于确定所述需增加的群组资源标识对应的群组资源包含所述通知群组成员标识；

增加模块，用于将所述需增加的群组资源标识以及与所述需增加的群资源标识对应的操作权限增加到所述访问控制策略资源中。
如权利要求28或29所述的装置，其特征在于，所述装置还包括：

发送模块，用于向群组服务器发送群组资源被引用的通知消息，所述群组资源被引用的通知消息包括所述访问控制策略资源标识以及在所述访问控制策略资源中被引用的群组资源标识。
如权利要求30所述的装置，其特征在于，所述装置还包括：

所述接收模块，还用于接收所述群组服务器发送的群组资源被删除的通知消息，所述群组资源被删除的通知消息中包含被删除的群组资源标识以及所述访问控制策略资源标识；

删除模块，用于根据所述访问控制策略资源标识，在所述访问控制策略资源中删除所述被删除的群组资源标识以及所述与所述被删除的群组资源标识对应的操作权限。