WO2017076165A1

WO2017076165A1 - 一种访问控制方法和访问令牌颁发方法、设备

Info

Publication number: WO2017076165A1
Application number: PCT/CN2016/102457
Authority: WO
Inventors: 周巍
Original assignee: 电信科学技术研究院
Priority date: 2015-11-03
Filing date: 2016-10-18
Publication date: 2017-05-11
Also published as: CN106656937A

Abstract

本申请公开了一种访问控制方法和访问令牌颁发方法、设备，用于解决目前oneM2M中如何基于发起方具有的特权进行访问控制，还没有给出具体的实现方法的问题。令牌颁发方法包括：发起方向令牌颁发实体发送访问令牌申请请求，其中，访问令牌申请请求用于请求令牌颁发实体为发起方在访问控制过程需要使用的特权颁发访问令牌；发起方接收令牌颁发实体返回的访问令牌申请响应，以确定访问令牌是否颁发成功。本申请实现了访问令牌的动态颁发，以使PDP实体能够基于访问控制策略和访问令牌，对发起方的资源访问请求进行评估，以确定是否允许发起方对目标资源的访问。

Description

一种访问控制方法和访问令牌颁发方法、设备

本申请要求在2015年11月03日提交中国专利局、申请号为201510737821.8、申请名称为“一种访问控制方法和访问令牌颁发方法、设备”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信技术领域，特别涉及一种访问控制方法和访问令牌颁发方法、设备。

背景技术

物联网标准化组织oneM2M致力于开发用于构造一个公共的M2M(Machine-To-Machine，机器对机器通信)服务层(Service Layer)的技术规范。oneM2M的功能架构如图1所示，定义了三种基本实体：

AE(Application Entity，应用实体)：应用实体位于应用层，该实体可实现一个M2M应用服务逻辑。

CSE(Common Services Entity，公共服务实体)：一个公共服务实体由一组M2M环境中的“公共服务功能(common service functions)”构成。

NSE(Underlying Network Services Entity，底层网络服务实体)：一个网络服务实体向CSEs提供底层网络服务。

oneM2M通过采用对标准的资源树的操作实现服务层资源共享和交互。根据oneM2M TS-0001中关于功能架构的定义，oneM2M资源树的形式如图2所示。其中，CSEBase1表示一个CSE根资源<CSEBase>，CSE1表示一个远程CSE<remoteCSE>资源，APP1表示一个<AE>资源，CONT1和CONT2分别代表一个容器<container>资源，ACP1和ACP2分别代表一个访问控制策略<accessControlPolicy>资源。对于oneM2M资源可进行创建、查询、修改和删除等操作。oneM2M定义的资源中与授权相关的资源为访问控制策略<accessControlPolicy>资源，其中定义有访问控制策略(Access Control Policy)，<accessControlPolicy>资源由资源身份标识(ID)唯一标识。其他资源通过资源中的accessControlPolicyIDs属性指定适用的访问控制策略。

oneM2M安全解决方案技术规范(oneM2M TS-0003:Security Solutions)中给出了如图3所示的授权架构，该架构中各授权实体包括：

PEP(Policy Enforcement Point，策略执行点)实体，与需要访问控制的应用系统共存，并由应用系统调用。PEP实体根据用户的访问请求生成相应的访问控制决策请求(简称决策请求)，发送给PDP(Policy Decision Point，策略决策点)实体，并根据PDP实体的访问控制决策响应确定是否执行用户的访问请求。

PDP实体，根据访问控制策略评估是否允许由PEP实体发送来的访问控制决策请求，并将评估结果通过访问控制决策响应返回给PEP实体。

PRP(Policy Retrieval Point，策略获取点)实体，根据PDP实体提供的访问控制策略请求(简称策略请求)获取适用的访问控制策略，并将获取的访问控制策略通过访问控制策略响应返回给PDP实体。

PIP(Policy Information Point，策略信息点)实体，根据PDP实体的访问控制策略请求获取与用户、资源或环境相关的属性，例如访问用户的互联网协议(IP)地址、资源的创建者、当前的时间等，然后将获得的各种属性返回给PDP实体。

oneM2M的基本授权流程如下：

1、PEP实体根据用户的访问请求生成访问控制决策请求(Access Control Decision Request)发送给PDP实体；

2、PDP实体根据PEP实体的访问控制决策请求，向PRP实体发送访问控制策略请求(Access Control Policy Request)；

3、PRP实体根据访问控制策略请求，获取适用的访问控制策略并返回给PDP。

4、PDP实体根据PRP实体返回的访问控制策略评估访问控制决策请求，并将评估结果携带在访问控制决策响应中返回给PEP实体。在评估过程中，若需要其他属性，则向PIP实体发送访问控制属性请求，否则执行步骤6。

5、PIP实体根据访问控制属性请求，获取与访问控制相关的属性并返回给PDP实体。

6、PEP实体根据访问控制决策响应，决定是否执行用户的访问请求。

在访问控制过程中，发起方有时会具有特权，如发起方的角色信息等，这样，PDP实体在对发起方的资源访问请求进行评估时，不仅要基于相应的访问控制策略，还需要考虑该发起方具有的特权。目前oneM2M中如何基于发起方具有的特权进行访问控制，还没有给出具体的实现方法。

发明内容

本申请实施例提供了一种访问控制方法和访问令牌颁发方法、设备，用于解决目前oneM2M中如何基于发起方具有的特权进行访问控制，还没有给出具体的实现方法的问题。

本申请实施例提供的一种访问令牌颁发方法，包括：

发起方向令牌颁发实体发送访问令牌申请请求，其中，所述访问令牌申请请求用于请求所述令牌颁发实体为所述发起方在访问控制过程需要使用的特权颁发访问令牌；

所述发起方接收所述令牌颁发实体返回的访问令牌申请响应，以确定访问令牌是否颁发成功。

可选的，所述发起方接收所述令牌颁发实体返回的访问令牌申请响应之后，所述方法还包括：

所述发起方从与所述发起方关联的令牌资源中，获取所述访问令牌或者所述访问令牌中的特权信息，其中，所述特权信息用于表示发起方在访问控制过程能够使用的特权。

本申请实施例提供的另一种访问令牌颁发方法，包括：

令牌颁发实体接收发起方发送的访问令牌申请请求，其中，所述访问令牌申请请求用于请求所述令牌颁发实体为所述发起方在访问控制过程需要使用的特权颁发访问令牌；

所述令牌颁发实体根据所述访问令牌申请请求，生成访问令牌，并向公共服务实体CSE发送令牌资源创建请求，以请求所述CSE为所述访问令牌创建与所述发起方关联的令牌资源；

所述令牌颁发实体接收所述CSE返回的令牌资源创建响应，以确定所述CSE是否已完成所述令牌资源的创建；

所述令牌颁发实体向所述发起方返回访问令牌申请响应，以通知所述发起方所述访问令牌是否颁发成功。

可选的，所述令牌颁发实体接收所述发起方发送的访问令牌申请请求之后，还包括：

所述令牌颁发实体根据本地保存的授权策略，确定是否同意所述发起方发送的访问令牌申请请求；或者

所述令牌颁发实体通过特权授权功能实体，确定是否同意所述发起方发送的访问令牌申请请求。

可选的，所述令牌颁发实体接收所述CSE返回的令牌资源创建响应之后，所述方法还包括：

所述令牌颁发实体向所述CSE发送令牌资源修改请求，其中，所述令牌资源修改请求中携带所述令牌颁发实体重新为所述发起方颁发的访问令牌；

所述令牌颁发实体接收所述CSE发送的令牌资源修改响应，以确定所述CSE是否已完成令牌资源的修改。

本申请实施例提供的再一种访问令牌颁发方法，包括：

公共服务实体CSE接收令牌颁发实体发送的令牌资源创建请求，其中，所述令牌资源创建请求用于请求所述CSE为所述令牌颁发实体颁发的访问令牌创建令牌资源；

所述CSE根据令牌资源创建请求，创建与发起方关联的令牌资源；

所述CSE向所述令牌颁发实体返回令牌资源创建响应，以通知所述令牌颁发实体所述CSE是否已完成所述令牌资源的创建。

可选的，所述CSE接收令牌颁发实体发送的令牌资源创建请求之后，所述CSE创建令牌资源之前，还包括：

所述CSE根据与所述令牌颁发实体关联的访问控制策略，确定所述令牌颁发实体是否有权创建令牌资源；

所述CSE根据令牌资源创建请求，创建令牌资源，包括：所述CSE在确定所述令牌颁发实体有权创建令牌资源时，根据令牌资源创建请求，创建所述令牌资源。

可选的，所述CSE向所述令牌颁发实体返回令牌资源创建响应之后，所述方法还包括：

所述CSE接收所述令牌颁发实体发送的令牌资源修改请求其中，其中，所述令牌资源修改请求中携带所述令牌颁发实体重新为所述发起方颁发的访问令牌；

所述CSE根据所述令牌资源修改请求，对需要修改的令牌资源进行修改；

所述CSE向所述令牌颁发实体发送令牌资源修改响应，以通知所述令牌颁发实体所述CSE是否已完成令牌资源的修改。

可选的，所述CSE接收所述令牌颁发实体发送的令牌资源创建请求之后，还包括：所述CSE确定出与所述发起方需要访问的目标资源相关联的访问控制策略，并根据所述访问控制策略确定所述发起方是否有权创建令牌资源；

所述CSE根据令牌资源创建请求，创建与发起方关联的令牌资源，包括：所述CSE在确定出所述发起方有权创建令牌资源后，根据令牌资源创建请求，创建所述发起方关联的令牌资源。

本申请实施例提供的一种访问控制方法，所述方法包括：

策略决策点PDP实体接收策略执行点PEP实体发送的访问控制决策请求；

所述PDP实体根据所述访问控制决策请求携带的发起方的令牌信息，获取所述令牌信息对应的访问令牌中的特权信息，并根据所述访问控制决策请求携带的所述发起方需要访问的目标资源，获取所述目标资源相关联的访问控制策略，其中，所述特权信息用于表示所述发起方在访问控制过程能够使用的特权；

所述PDP实体根据访问控制策略和所述特权信息，评估所述访问控制决策请求，并将评估结果携带在访问控制决策响应中返回给所述PEP实体，以使所述PEP实体根据所述评估结果执行资源访问。

可选的，所述PDP实体根据访问控制策略和所述特权信息，评估所述访问控制决策请求之前，还包括：所述PDP实体验证所述令牌信息对应的访问令牌的有效性；

所述PDP实体根据访问控制策略和所述特权信息，评估所述访问控制决策请求，包括：所述PDP实体在确定所述令牌信息对应的访问令牌有效后，根据访问控制策略和所述特权信息，评估所述访问控制决策请求。

可选的，所述令牌信息为：访问令牌、或者访问令牌的标识信息。

可选的，若所述令牌信息为所述标识信息，PDP实体接收PEP实体发送的访问控制决策请求之后，还包括：

所述PDP实体从所述发起方关联的令牌资源中，获取所述访问令牌或所述特权信息；或者

所述PDP实体通过策略信息点PIP实体，从令牌资源中获取所述访问令牌或所述特权信息。

本申请实施例提供的另一种访问控制方法，包括：

策略执行点PEP实体向策略决策点PDP实体发送访问控制决策请求，其中，所述访问控制决策请求是根据发起方的资源访问请求生成的，所述访问控制决策请求包含所述资源访问请求中携带的发起方的令牌信息；

所述PEP实体接收所述PDP实体返回的访问控制决策响应，并根据所述访问控制决策响应中携带的评估结果执行资源访问。

本申请实施例提供的一种发起方，包括：

发送模块，用于向令牌颁发实体发送访问令牌申请请求，其中，所述访问令牌申请请求用于请求所述令牌颁发实体为所述发起方在访问控制过程需要使用的特权颁发访问令牌；

接收模块，用于接收所述令牌颁发实体返回的访问令牌申请响应，以确定访问令牌是否颁发成功。

可选的，所述发起方还包括：令牌获取模块，用于从与所述发起方关联的令牌资源中，获取所述访问令牌或者所述访问令牌中的特权信息，其中，所述特权信息用于表示发起方在访问控制过程能够使用的特权。

本申请实施例提供的一种令牌颁发实体，所述令牌颁发实体包括：

第一接收模块，用于接收发起方发送的访问令牌申请请求，其中，所述访问令牌申请请求用于请求所述令牌颁发实体为所述发起方在访问控制过程需要使用的特权颁发访问令牌；

令牌颁发模块，用于根据所述访问令牌申请请求，生成访问令牌；

第一发送模块，用于向公共服务实体CSE发送令牌资源创建请求，以请求所述CSE为所述访问令牌创建与所述发起方关联的令牌资源；

第二接收模块，用于接收所述CSE返回的令牌资源创建响应，以确定所述CSE是否已完成所述令牌资源的创建；

第二发送模块，用于向所述发起方返回访问令牌申请响应，以通知所述发起方所述访问令牌是否颁发成功。

可选的，所述令牌颁发模块还用于：根据本地保存的授权策略，确定是否同意所述发起方发送的访问令牌申请请求；或者通过特权授权功能实体，确定是否同意所述发起方发送的访问令牌申请请求。

可选的，所述第一发送模块还用于：向所述CSE发送令牌资源修改请求，其中，所述令牌资源修改请求中携带所述令牌颁发实体重新为所述发起方颁发的访问令牌；

所述第二接收模块还用于：接收所述CSE发送的令牌资源修改响应，以确定所述CSE是否已完成令牌资源的修改。

本申请实施例提供的一种公共服务实体CSE，包括：

接收模块，用于接收令牌颁发实体发送的令牌资源创建请求，其中，所述令牌资源创建请求用于请求所述CSE为所述令牌颁发实体颁发的访问令牌创建令牌资源；

资源创建模块，用于根据令牌资源创建请求，创建与发起方关联的令牌资源；

发送模块，用于向所述令牌颁发实体返回令牌资源创建响应，以通知所述令牌颁发实体所述CSE是否已完成所述令牌资源的创建。

可选的，所述资源创建模块具体用于：根据与所述令牌颁发实体关联的访问控制策略，确定所述令牌颁发实体是否有权创建令牌资源；在确定所述令牌颁发实体有权创建令牌资源时，根据令牌资源创建请求，创建所述令牌资源。

可选的，所述接收模块还用于：接收所述令牌颁发实体发送的令牌资源修改请求其中，其中，所述令牌资源修改请求中携带所述令牌颁发实体重新为所述发起方颁发的访问令牌；

所述资源创建模块还用于：根据所述令牌资源修改请求，对需要修改的令牌资源进行修改；

所述发送模块还用于：向所述令牌颁发实体发送令牌资源修改响应，以通知所述令牌颁发实体所述CSE是否已完成令牌资源的修改。

可选的，所述资源创建模块具体用于：确定出与所述发起方需要访问的目标资源相关联的访问控制策略，并根据所述访问控制策略确定所述发起方是否有权创建令牌资源；在确定出所述发起方有权创建令牌资源后，根据令牌资源创建请求，创建所述发起方关联的令牌资源。

本申请实施例提供的一种策略决策点PDP实体，包括：

接收模块，用于接收策略执行点PEP实体发送的访问控制决策请求；

获取模块，用于根据所述访问控制决策请求携带的发起方的令牌信息，获取所述令牌信息对应的访问令牌中的特权信息，并根据所述访问控制决策请求携带的所述发起方需要访问的目标资源，获取所述目标资源相关联的访问控制策略，其中，所述特权信息用于表示所述发起方在访问控制过程能够使用的特权；

评估模块，用于根据访问控制策略和所述特权信息，评估所述访问控制决策请求，并将评估结果携带在访问控制决策响应中返回给所述PEP实体，以使所述PEP实体根据所述评估结果执行资源访问。

可选的，所述评估模块具体用于：验证所述令牌信息对应的访问令牌的有效性；在确定所述令牌信息对应的访问令牌有效后，根据访问控制策略和所述特权信息，评估所述访问控制决策请求。

可选的，若所述令牌信息为所述标识信息，所述获取模块还用于：从所述发起方关联的令牌资源中，获取所述访问令牌或所述特权信息；或者通过策略信息点PIP实体，从令牌资源中获取所述访问令牌或所述特权信息。

本申请实施例提供的一种策略执行点PEP实体，包括：

发送模块，用于向策略决策点PDP实体发送访问控制决策请求，其中，所述访问控制决策请求是根据发起方的资源访问请求生成的，所述访问控制决策请求包含所述资源访问请求中携带的发起方的令牌信息；

接收模块，用于接收所述PDP实体返回的访问控制决策响应；

访问控制模块，用于根据所述访问控制决策响应中携带的评估结果，执行资源访问。

本申请实施例提供的另一种发起方包括处理器、输入接口、输出接口、存储器和系统总线；其中：

所述输出接口在所述处理器的控制下，向令牌颁发实体发送访问令牌申请请求，其中，所述访问令牌申请请求用于请求所述令牌颁发实体为所述发起方在访问控制过程需要使用的特权颁发访问令牌；

所述输入接口在所述处理器的控制下，接收所述令牌颁发实体返回的访问令牌申请响应，以确定访问令牌是否颁发成功。

可选的，所述处理器读取存储器中的程序，用于执行：从与所述发起方关联的令牌资源中，获取所述访问令牌或者所述访问令牌中的特权信息，其中，所述特权信息用于表示发起方在访问控制过程能够使用的特权。

本申请实施例提供的另一种令牌颁发实体包括：处理器、输入接口、输出接口、存储器和系统总线；其中：

所述输入接口在处理器的控制下，接收发起方发送的访问令牌申请请求，其中，所述访问令牌申请请求用于请求所述令牌颁发实体为所述发起方在访问控制过程需要使用的特权颁发访问令牌；

所述处理器读取存储器中的程序，用于执行：根据所述访问令牌申请请求，生成访问令牌；并控制所述输出接口向公共服务实体CSE发送令牌资源创建请求，以请求所述CSE为所述访问令牌创建与所述发起方关联的令牌资源；

所述输入接口在所述处理器的控制下，接收所述CSE返回的令牌资源创建响应，以确定所述CSE是否已完成所述令牌资源的创建；

所述输出接口在所述处理器的控制下，向所述发起方返回访问令牌申请响应，以通知所述发起方所述访问令牌是否颁发成功。

可选的，所述处理器还执行：根据本地保存的授权策略，确定是否同意所述发起方发送的访问令牌申请请求；或者通过特权授权功能实体，确定是否同意所述发起方发送的访问令牌申请请求。

可选的，所述输出接口在所述处理器的控制下，还向所述CSE发送令牌资源修改请求，其中，所述令牌资源修改请求中携带所述令牌颁发实体重新为所述发起方颁发的访问令牌；

所述输入接口在所述处理器的控制下，还接收所述CSE发送的令牌资源修改响应，以确定所述CSE是否已完成令牌资源的修改。

本申请实施例提供的另一种CSE，包括：处理器、输入接口、输出接口、存储器和系统总线；其中：

所述输入接口在处理器的控制下，接收令牌颁发实体发送的令牌资源创建请求，其中，所述令牌资源创建请求用于请求所述CSE为所述令牌颁发实体颁发的访问令牌创建令牌资源；

所述处理器读取存储器中的程序，用于执行：根据令牌资源创建请求，创建与发起方关联的令牌资源；并控制所述输出接口向所述令牌颁发实体返回令牌资源创建响应，以通知所述令牌颁发实体所述CSE是否已完成所述令牌资源的创建。

可选的，所述处理器具体执行：根据与所述令牌颁发实体关联的访问控制策略，确定所述令牌颁发实体是否有权创建令牌资源；在确定所述令牌颁发实体有权创建令牌资源时，根据令牌资源创建请求，创建所述令牌资源。

可选的，所述输入接口在处理器的控制下，还接收所述令牌颁发实体发送的令牌资源修改请求其中，其中，所述令牌资源修改请求中携带所述令牌颁发实体重新为所述发起方颁发的访问令牌；

所述处理器还执行：根据所述令牌资源修改请求，对需要修改的令牌资源进行修改；并控制所述输出接口向所述令牌颁发实体发送令牌资源修改响应，以通知所述令牌颁发实体所述CSE是否已完成令牌资源的修改。

可选的，所述处理器具体执行：确定出与所述发起方需要访问的目标资源相关联的访问控制策略，并根据所述访问控制策略确定所述发起方是否有权创建令牌资源；在确定出所述发起方有权创建令牌资源后，根据令牌资源创建请求，创建所述发起方关联的令牌资源。

本申请实施例提供另一种PDP实体，包括：处理器、输入接口、输出接口、存储器和系统总线；其中：

所述输入接口在处理器的控制下，接收策略执行点PEP实体发送的访问控制决策请求；

所述处理器读取存储器中的程序，用于执行：根据所述访问控制决策请求携带的发起方的令牌信息，获取所述令牌信息对应的访问令牌中的特权信息，并根据所述访问控制决策请求携带的所述发起方需要访问的目标资源，获取所述目标资源相关联的访问控制策略，其中，所述特权信息用于表示所述发起方在访问控制过程能够使用的特权；根据访问控制策略和所述特权信息，评估所述访问控制决策请求，并将评估结果携带在访问控制决策响应中，通过所述输出接口返回给所述PEP实体，以使所述PEP实体根据所述评估结果执行资源访问。

可选的，所述处理器具体执行：验证所述令牌信息对应的访问令牌的有效性；在确定所述令牌信息对应的访问令牌有效后，根据访问控制策略和所述特权信息，评估所述访问控制决策请求。

可选的，若所述令牌信息为所述标识信息，所述处理器还执行：从所述发起方关联的令牌资源中，获取所述访问令牌或所述特权信息；或者通过策略信息点PIP实体，从令牌资源中获取所述访问令牌或所述特权信息。

本申请实施例提供另一种PEP实体，包括：处理器、输入接口、输出接口、存储器和系统总线；其中：

所述输出接口在处理器的控制下，向PDP实体发送访问控制决策请求，其中，所述访问控制决策请求是根据发起方的资源访问请求生成的，所述访问控制决策请求包含所述资源访问请求中携带的发起方的令牌信息；

所述输入接口在处理器的控制下，接收所述PDP实体返回的访问控制决策响应；

所述处理器读取存储器中的程序，用于执行：根据所述访问控制决策响应中携带的评估结果，执行资源访问。

基于上述任一实施例，本申请实施例中，所述令牌资源具有：

令牌标识属性，用于存储访问令牌的标识信息；

令牌颁发者属性，用于存储访问令牌颁发者的标识信息；

起始时间属性，用于存储访问令牌的有效期的起始时间；

结束时间属性，用于存储访问令牌的有效期的结束时间；

令牌值属性，用于存储访问令牌或访问令牌中的特权信息。

可选的，所述令牌资源还具有以下至少一个属性：

令牌类型属性，用于存储访问令牌的类型信息；

令牌名字属性，用于存储访问令牌的可阅读名字；

应用类别属性，用于存储访问令牌适用的应用类别。

可选的，所述令牌资源为所述发起方的注册资源的子资源。

基于上述任一实施例，本申请实施例中，所述访问令牌包括以下内容：

所述访问令牌的标识信息、所述访问令牌颁发者的标识信息、所述访问令牌所有者的标识信息、所述访问令牌的有效期的起始时间、所述访问令牌的有效期的结束时间、以及所述特权信息。

可选的，所述访问令牌还包括以下至少一项内容：

所述访问令牌的类型信息、所述访问令牌的可阅读名字、所述访问令牌适用的应用类别、以及应用系统定义的所述访问令牌的内容。

本申请实施例提供的令牌颁发方法和设备中，发起方向令牌颁发实体发送访问令牌申请请求，以请求令牌颁发实体为所述发起方在访问控制过程需要使用的特权颁发访问令牌；令牌颁发实体根据所述访问令牌申请请求，生成访问令牌，并向公共服务实体CSE发送令牌资源创建请求，以请求所述CSE为所述访问令牌创建与所述发起方关联的令牌资源；CSE根据令牌资源创建请求，创建与发起方关联的令牌资源，从而已完成访问令牌的颁发过程，实现了访问令牌的动态颁发，以使PDP实体能够基于访问控制策略和访问令牌，对发起方的资源访问请求进行评估，以确定是否允许发起方对目标资源的访问。

本申请实施例提供的访问控制方法和设备中，PDP实体接收到PEP实体发送的访问控制决策请求后，根据所述令牌信息，获取所述令牌信息对应的访问令牌中的特权信息，并根据所述访问控制决策请求携带的所述发起方需要访问的目标资源，获取所述目标资源相关联的访问控制策略；PDP实体根据访问控制策略和所述特权信息，评估所述访问控制决策请求，并将评估结果携带在访问控制决策响应中返回给所述PEP实体，以使所述PEP实体根据所述评估结果执行资源访问。由于PDP实体基于访问控制策略和特权信息，对访问控制决策请求进行评估，以确定是否允许发起方对目标资源的访问，从而实现了基于访问令牌的访问控制过程。

附图说明

图1为oneM2M的功能架构的示意图；

图2为oneM2M资源树的结构示意图；

图3为oneM2M的授权架构的示意图；

图4为本申请实施例中的访问令牌的结构示意图；

图5为本申请实施例中的令牌资源的结构示意图；

图6为本申请实施例中的<AE>资源的结构示意图；

图7为本申请实施例中一种访问令牌颁发方法的流程示意图；

图8为本申请实施例中另一种访问令牌颁发方法的流程示意图；

图9为本申请实施例中再一种访问令牌颁发方法的流程示意图；

图10为本申请实施例中一种访问控制方法的流程示意图；

图11为本申请实施例中另一种访问控制方法的流程示意图；

图12为本申请实施例中各实体之间的连接关系示意图；

图13为本申请实施例中各实体之间的交互过程的示意图；

图14为本申请实施例中的实施例一中各实体之间的连接关系示意图；

图15为本申请实施例中的实施例一中的资源树的示意图；

图16为本申请实施例中的实施例一中访问令牌的颁发和使用过程的示意图；

图17为本申请实施例中的一种发起方的示意图；

图18为本申请实施例中的一种令牌颁发实体的示意图；

图19为本申请实施例中的一种CSE的示意图；

图20为本申请实施例中的一种PDP实体的示意图；

图21为本申请实施例中的一种PEP实体的示意图；

图22为本申请实施例中的另一种发起方的示意图；

图23为本申请实施例中的另一种令牌颁发实体的示意图；

图24为本申请实施例中的另一种CSE的示意图；

图25为本申请实施例中的另一种PDP实体的示意图；

图26为本申请实施例中的另一种PEP实体的示意图。

具体实施方式

本申请实施例中，通过定义访问令牌，以使在访问控制过程中，PDP实体基于访问控制策略和访问令牌，对发起方的资源访问请求进行评估，以确定是否允许发起方对目标资源的访问，实现了动态授权访问令牌，也实现了基于访问令牌的访问控制方案。

首先对本申请实施例中涉及到的访问令牌和令牌资源进行说明。

一、访问令牌，即与访问控制相关的令牌，该访问令牌的结构以及内部存储的信息如图4所示，访问令牌内存储的主要信息包括：

令牌标识(tokenID)，即访问令牌的标识信息，用于唯一标识该访问令牌；

所有者标识(holderID)，即访问令牌所有者的标识信息；

颁发者(issuer)，即访问令牌颁发者的标识信息；

起始时间(startTime)，即访问令牌的有效期的起始时间；

结束时间(expiryTime)，即访问令牌的有效期的结束时间；以及

特权(privileges)，用于表示发起方在访问控制过程能够使用的特权信息，例如角色列表，访问控制列表等。其中，发起方为发起资源访问的实体，发起方可以为AE或CSE等实体。

可选的，访问令牌内还存储如下信息中的至少一种：

令牌类型(tokenType)，即访问令牌的类型信息，该信息根据应用系统设计的令牌种类，例如携带角色的角色令牌、携带针对某个发起方所拥有的特权的令牌、oneM2M服务提供商(M2M Service Provider)定义的服务签约角色(Service Subscription Role)令牌、由oneM2M应用服务提供商(M2M Application Service Provider)定义的与某具体应用相关的应用令牌等。

令牌可阅读名字(tokenName)，即该访问令牌的可阅读名字；

访问令牌适用的应用类别(appCategory)，即该访问令牌适用的应用类别，可以是该访问令牌适用的应用类别，例如设备管理应用，智能家居应用，智能交通应用等。发起方可根据该内容，选择与当前资源访问所属的应用类别匹配的访问令牌，以用于对目标资源的访问控制过程；

扩展(extensions)，即应用系统自定义的该访问令牌的内容，应用系统可根据实际需要自行定义的令牌内容。

二、令牌资源，本申请实施例定义了新的oneM2M资源——令牌资源(即<token>资源)，用以在CSE资源树中存储用于访问控制的访问令牌(或该访问令牌中的用于表示发起方在访问控制过程能够使用的特权的特权信息)，以及及其相关的描述信息，并重新定义了<CSEBase>资源，<remoteCSE>占用和<AE>资源等三个资源，以便它们能够使用新定义的<token>资源存储颁发给它们的访问令牌。

新定义的<token>资源的基本结构如图5所示，其资源类型为oneM2M普通资源(Normal Resource)。<token>资源除了包含oneM2M普通资源所共有的通用属性(Universal Attribute)外，还包含有公共属性(Common Attribute)有效时间(expirationTime)和子资源<subscription>资源(也称为签约资源)。每个<token>资源实例用于描述一个访问令牌，以方便资源管理和令牌使用。<token>资源新定义的资源具有如下属性：

令牌标识(tokenID)属性，用于存储访问令牌的标识信息，该标识信息用于唯一标识一个访问令牌；

颁发者(issuer)属性，用于存储访问令牌的颁发者的标识信息；

起始时间(startTime)属性，用于存储访问令牌的有效起始时间；

结束时间(expiryTime)属性，用于存储访问令牌的有效结束时间；

令牌值(tokenValue)属性：用于存储访问令牌或访问令牌中的特权信息。

可选的，令牌资源还具有以下至少一个属性：

令牌类型(tokenType)属性，用于存储访问令牌的类型信息，该信息根据应用系统设计的令牌种类，例如携带角色的角色令牌、携带针对某个发起方所拥有的特权的令牌、oneM2M服务提供商定义的服务签约角色令牌、由oneM2M应用服务提供商定义的与某具体应用相关的应用令牌等；

令牌名字(tokenName)属性，用于存储访问令牌的可阅读名字；

应用类别(appCategory)属性，用于存储访问令牌适用的应用类别，例如设备管理应用，智能家居应用，智能交通应用等。可选的，发起方可根据该内容确定应该选用相应的令牌用于具体的资源访问。

举例说明，重新定义的<AE>资源的结构如图6所示，只是增加了<token>资源作为其子资源，<AE>资源下<token>子资源的数量可以为0或n个(n为大于或等于1的整数)，用于表示那些特权privileges已经赋给了该AE。

<CSEBase>资源和<remoteCSEBase>资源的重定义情况与<AE>的重定义类似，也即仅是在他们的资源树下增加了<token>资源作为其子资源，且子资源的数量可以为0或n个(n为大于或等于1的整数)。

本申请实施例中，令牌资源是与发起方相关联的资源，可以创建在CSE中发起方的注册资源中，作为该发起方的注册资源的子资源；也可以创建在CSE中的发起方的非注册资源，作为该发起方的非注册资源的子资源。

需要说明的是，若令牌资源创建在发起方的非注册资源中，创建该令牌资源的CSE或令牌颁发实体还需要执行：

将该令牌资源的创建地址通知给发起方，以使发起方能够根据创建地址，读取到该令牌资源中的访问令牌和/或该访问令牌的相关的信息；以及

将该令牌资源的创建地址通知给PDP实体或PIP实体，以使PDP实体或PIP实体能够根据创建地址，读取到该令牌资源中的访问令牌和/或该访问令牌的相关的信息。

下面结合说明书附图对本申请实施例作进一步详细描述。应当理解，此处所描述的实施例仅用于说明和解释本申请，并不用于限定本申请。

本申请实施例提供的一种发起方侧的访问令牌颁发方法，如图7所示，所述方法包括：

S71、发起方向令牌颁发实体发送访问令牌申请请求，其中，所述访问令牌申请请求用于请求令牌颁发实体为发起方在访问控制过程需要使用的特权颁发访问令牌；

其中，令牌颁发实体为发起方所颁发的访问令牌用于该发起方的访问控制过程中。

本申请实施例中，令牌颁发(Token Authority)实体负责向发起方(AE或CSE等)颁发访问令牌。

S72、发起方接收令牌颁发实体返回的访问令牌申请响应，以确定访问令牌是否颁发成功。

本申请实施例中，发起方向令牌颁发实体发送访问令牌申请请求，以请求令牌颁发实体为所述发起方在访问控制过程需要使用的特权颁发访问令牌，实现了访问令牌的动态颁发，以使PDP实体能够基于访问控制策略和访问令牌，对发起方的资源访问请求进行评估，以确定是否允许发起方对目标资源的访问。

本申请实施例中，在访问令牌成功颁发之后，所述发起方还可以从与该发起方关联的令牌资源中，获取所述访问令牌、或者所述访问令牌中的特权信息，以及所述访问令牌的相关信息(如有效起始时间等)。

基于同一发明构思，本申请实施例提供了一种令牌颁发实体侧的访问令牌颁发方法，与发起方侧相同的部分，具体参见如7所示实施例中的相关描述，此处不再赘述。如图8 所示，该方法包括：

S81、令牌颁发实体接收发起方发送的访问令牌申请请求，其中，所述访问令牌申请请求用于请求令牌颁发实体为发起方在访问控制过程需要使用的特权颁发访问令牌。

S82、令牌颁发实体根据所述访问令牌申请请求，生成访问令牌，并向CSE发送令牌资源创建请求，以请求CSE为所述访问令牌创建与发起方关联的令牌资源。

本申请实施例中所涉及的CSE为任意一个保存有发起方相关联的资源且能够在该发起方的资源下创建令牌资源的CSE。举例说明，令牌颁发实体可以向注册响应CSE(Registrar CSE)发起令牌资源创建请求，以请求注册响应CSE在该发起方的注册资源下创建令牌资源。

S83、令牌颁发实体接收CSE返回的令牌资源创建响应，以确定CSE是否已完成所述令牌资源的创建。

S84、令牌颁发实体向发起方返回访问令牌申请响应，以通知发起方所述访问令牌是否颁发成功。

本申请实施例中，令牌颁发实体在接收到发起方发送的访问令牌申请请求后，生成访问令牌，并请求CSE为所述访问令牌创建与发起方关联的令牌资源，实现了访问令牌的动态颁发，以使PDP实体能够基于访问控制策略和访问令牌，对发起方的资源访问请求进行评估，以确定是否允许发起方对目标资源的访问。

可选的，令牌颁发实体接收发起方发送的访问令牌申请请求之后，还包括：

令牌颁发实体根据本地保存的授权策略，确定是否同意发起方发送的访问令牌申请请求；或者

令牌颁发实体通过特权授权功能实体，确定是否同意发起方发送的访问令牌申请请求。

其中，特权授权功能(Privilege Authorization Function)可提供确认是否同意发起方所申请的用于访问控制的特权的能力，实现该能力的具体方式可由应用系统确定，例如仅提供相关的授权策略，然后由令牌颁发实体执行具体的特权授权检查，或者根据授权策略评估发起方的访问令牌申请请求，然后将评估结果返回给令牌颁发实体，或者是一个有人参加的评估过程等。

基于上述任一实施例，令牌颁发实体接收CSE返回的令牌资源创建响应之后，该方法还包括：

令牌颁发实体向CSE发送令牌资源修改请求，其中，令牌资源修改请求中携带令牌颁发实体重新为发起方颁发的访问令牌；

令牌颁发实体接收CSE发送的令牌资源修改响应，以确定CSE是否已完成令牌资源的修改。

基于同一发明构思，本申请实施例提供了一种CSE侧的访问令牌颁发方法，与令牌颁发实体侧相同的部分，具体参见如8所示实施例中的相关描述，此处不再赘述。如图9所示，该方法包括：

S91、CSE接收令牌颁发实体发送的令牌资源创建请求，其中，所述令牌资源创建请求用于请求CSE为令牌颁发实体颁发的访问令牌创建令牌资源；

S92、CSE根据令牌资源创建请求，创建与发起方关联的令牌资源；

S93、CSE向令牌颁发实体返回令牌资源创建响应，以通知令牌颁发实体CSE是否已完成所述令牌资源的创建。

本申请实施例中，CSE在接收到令牌颁发实体发送的令牌资源创建请求后，为令牌颁发实体颁发的访问令牌创建与发起方关联的令牌资源，实现了访问令牌的动态颁发，以使PDP实体能够基于访问控制策略和访问令牌，对发起方的资源访问请求进行评估，以确定是否允许发起方对目标资源的访问。

本申请实施例中，令牌资源创建请求中携带创建令牌资源所需的信息，具体包括：访问令牌的标识信息、访问令牌颁发者的标识信息、访问令牌所有者的标识信息、访问令牌的有效期的起始时间、访问令牌的有效期的结束时间、以及特权信息。

可选的，令牌资源创建请求中还携带以下至少一种信息：访问令牌的类型信息、访问令牌的可阅读名字、访问令牌适用的应用类别、以及应用系统定义的访问令牌的内容。

基于上述任一实施例，本申请实施例中，S91中CSE接收令牌颁发实体发送的令牌资源创建请求之后，还包括：

CSE确定出与发起方需要访问的目标资源相关联的访问控制策略，并根据确定出的访问控制策略确定发起方是否有权创建令牌资源。

相应的，S92具体包括：CSE在确定出发起方有权创建令牌资源后，根据令牌资源创建请求中携带的创建令牌资源所需的信息，创建与发起方关联的令牌资源。

本申请实施例中，在访问令牌颁发之后，可将所颁发的访问令牌用于发起方对目标资源的访问控制过程中，下面对本申请实施例提供的基于访问令牌的访问控制过程进行说明。

基于同一发明构思，本申请实施例提供的一种PDP实体侧的访问控制方法，如图10所示，所述方法包括：

S101、PDP实体接收PEP实体发送的访问控制决策请求；

S102、PDP实体根据访问控制决策请求携带的发起方的令牌信息，获取该令牌信息对应的访问令牌中的特权信息，并根据访问控制决策请求携带的所述发起方需要访问的目标资源，获取目标资源相关联的访问控制策略，其中，特权信息用于表示发起方在访问控制过程能够使用的特权；

S103、PDP实体根据访问控制策略和所述特权信息，评估访问控制决策请求，并将评估结果携带访问控制决策响应中返回给PEP实体，以使PEP实体根据所述评估结果执行资源访问。

本申请实施例中，PDP实体接收PEP实体发送的访问控制决策请求后，根据访问控制决策请求携带的令牌信息获取该令牌信息对应的访问令牌中的特权信息，根据访问控制决策请求携带的发起方需要访问的目标资源获取目标资源相关联的访问控制策略，之后根据访问控制策略和特权信息，对访问控制决策请求进行评估，以确定是否允许发起方对目标资源的访问，从而实现了基于访问令牌的访问控制过程。

可选的，PDP实体根据访问控制策略和所述特权信息，评估所述访问控制决策请求之前，还包括：PDP实体验证所述令牌信息对应的访问令牌的有效性；

PDP实体根据访问控制策略和所述特权信息，评估所述访问控制决策请求，包括：PDP实体在确定所述令牌信息对应的访问令牌有效后，根据访问控制策略和所述特权信息，评估所述访问控制决策请求。

在实施中，PDP实体验证访问令牌的有效性包括：该访问令牌是否是由合法的令牌颁发实体颁发的，该访问令牌是否仍在有效期内，该访问令牌的所有者标识是否与资源访问请求中的发起方标识相同，该访问令牌中携带的特权是否适用于所访问的目标资源等。若通过这些验证，则根据访问控制策略和所述特权信息评估所述访问控制决策请求。

本申请实施例中，访问控制决策请求携带的令牌信息可以为访问令牌本身，还可以是访问令牌的标识信息。

可选的，若令牌信息为访问令牌的标识信息，PDP实体接收PEP实体发送的访问控制决策请求之后，还包括：

PDP实体从发起方关联的令牌资源中，获取访问令牌或特权信息；或者

PDP实体通过PIP实体，从令牌资源中获取访问令牌或特权信息。

具体的，若令牌信息为访问令牌的标识信息，则PDP实体可以直接利用该标识信息从发起方相关联的资源中的<token>资源中获取令牌值(tokenValue)属性中的访问令牌或特权信息。PDP实体也可以通过PIP实体获取令牌值(tokenValue)中的访问令牌或特权信息，即由PIP实体查询发起方相关联的资源中的<token>资源，并从<token>资源的 tokenValue属性中获取所需的访问令牌或特权信息，然后由PIP实体将获取到的访问令牌或特权信息发送给PDP实体。

基于同一发明构思，本申请实施例提供的一种PEP实体侧的访问控制方法，与PDP实体侧相同的部分具体参见图10所示实施例中的相关描述，此处不再赘述，如图11所示，所述方法包括：

S111、PEP实体向PDP实体发送访问控制决策请求，其中，所述访问控制决策请求是根据发起方的资源访问请求生成的，所述访问控制决策请求包含所述资源访问请求中携带的发起方的令牌信息；

S112、PEP实体接收PDP实体返回的访问控制决策响应，并根据访问控制决策响应中携带的评估结果执行资源访问，其中，评估结果是PDP实体基于发起方需要访问的目标资源相关联的访问控制策略和令牌信息对应的访问令牌中的特权信息得到的。

本申请实施例中，PEP实体向PDP实体发送访问控制决策请求时，携带发起方的令牌信息，以使PDP实体根据访问控制决策请求携带的令牌信息获取该令牌信息对应的访问令牌中的特权信息，根据访问控制决策请求携带的发起方需要访问的目标资源获取目标资源相关联的访问控制策略，之后根据访问控制策略和特权信息，对PEP实体的访问控制决策请求进行评估，以确定是否允许发起方对目标资源的访问，从而实现了基于访问令牌的访问控制过程。

下面从各实体之间的交互过程，对本申请实施例提供的访问令牌的颁发方法和访问控制方法进行详细说明。各实体之间的连接关系如图12所示，其交互过程如图13所示，包括：

步骤1：作为访问控制发起方(Originator)的AE或CSE向令牌颁发实体发送访问令牌申请请求，其中，该请求中包含有令牌特权的描述信息，例如发起方想要进行的资源访问或期望申请的角色等。

步骤2：若令牌颁发实体不能根据本地授权策略确定是否同意发起方的访问令牌申请，则需要向某个外部特权授权功能(Privilege Authorization Function)实体进行查询，以确定发起方是否可以拥有其所申请的特权。

步骤3：特权授权功能实体返回令牌颁发实体所需的授权策略或授权决策。

步骤4：若同意发起方的令牌申请，则令牌颁发实体颁发相应的访问令牌，其中包含有tokenID，holderID，issuer，startTime，expiryTime，tokenType，tokenName，appCategory，privileges等令牌属性信息。

步骤5：令牌颁发实体向注册响应CSE(Registrar CSE)发送令牌资源创建请求，以请求Registrar CSE在发起方(Originator)的注册资源中创建令牌资源，该请求中包含有创建<token>资源所需的tokenID，holderID，issuer，startTime，expiryTime，tokenType，tokenName，appCategory和accessToken等属性的值。

其中，Registrar CSE，即注册响应CSE，发起方(Originator)注册至该CSE，也即Originator的注册资源创建于该CSE中。在Registrar CSE中，AE的注册资源为<AE>资源，CSE的注册资源为<remoteCSE>资源，基础设施节点CSE(IN-CSE)的令牌资源存储在其<CSEBase>资源下。

步骤6：Registrar CSE接收到令牌颁发实体发送的令牌资源创建请求后做如下处理：

检查与目标AE/CSE资源相关联的访问控制策略，确定Originator是否有权创建<token>资源。若允许，则根据令牌资源创建请求所提供的属性值创建所请求的<token>资源。

步骤7：Registrar CSE将操作结果发送给令牌颁发实体。

步骤8：令牌颁发实体将访问令牌的颁发结果发送给Originator。

步骤9：Originator(AE/CSE)向Registrar CSE中其注册资源发送<token>资源读取请求，以便获取已颁发给该Originator的令牌信息。

步骤10：Registrar CSE将Originator所拥有的令牌以令牌信息列表的方式发送给Originator。

步骤11：Originator利用当前资源访问所属的应用类别与令牌的应用类别进行比较，选择适用的访问令牌，然后向Hosting CSE中的目标资源发送资源操作请求，并将所选择的访问令牌的令牌信息附着在该请求中。

其中，Hosting CSE，即宿主CSE，Originator想要访问的目标资源存在该Hosting CSE的资源树中。在实际应用中Registrar CSE和Hosting CSE既可以为同一个CSE，也可以是不同的CSE。

步骤12：Hosting CSE中的PEP实体根据Originator发送的资源访问请求生成访问控制决策请求，其中包含有Originator提供的令牌信息，然后将该请求发送给PDP实体。

步骤13：若发起方提供了访问令牌本身，则直接执行步骤15；若发起方仅提供了令牌标识(tokenID)，则PDP实体需要利用令牌标识从Originator的注册资源中的<token>资源中获取访问令牌(tokenValue)。

具体的，该访问令牌获取过程既可以通过PIP实体，然后由PIP实体查询该Originator的注册资源中的<token>资源，获取所需的访问令牌，并反馈给PDP实体，也可以由PDP实体直接进行相关的操作。

步骤14：Registrar CSE将查询到的访问令牌发送给PIP实体，然后由PIP实体发送给 PDP实体，或者直接发送给PDP实体。

步骤15：PDP实体验证访问令牌的有效性，包括：访问令牌是否是由合法的令牌颁发机构实体的，是否仍在有效期内，令牌所有者标识是否与资源访问请求中的发起方标识相同，访问令牌中携带的特权是否适用于所访问的资源等。若通过这些检查，则进下一步。

步骤16：利用访问控制策略和发起方的特权信息评估PEP实体发送的访问控制决策请求。

步骤17：PDP实体将评估结果通过访问控制决策响应发送PEP实体。

步骤18：PEP实体接收到访问控制决策响应后，检查发起方的资源访问请求是否被允许，若允许，则执行发起方的资源访问请求。

步骤19：PEP实体将执行结果发送给Originator。

下面通过一个具体实施例，从各实体的交互过程，对本申请实施例提供的访问令牌的颁发方法和访问控制方法进行详细说明。

实施例一、本实施例描述的是oneM2M应用服务提供商(oneM2M Application Service Provider)通过oneM2M服务商(oneM2M Service Provider)提供的平台读取存储在家庭网关(Home Gateway)中的数据。本实施例采用了基于访问令牌的访问控制机制，访问令牌中存储的特权信息为有访问目标资源所需的角色。参与本实施例的各实体之间的连接关系如图14所示，其中：

CSE1为oneM2M服务提供商基础设施节点(Infrastructure Node)中的CSE(IN-CSE)；CSE2为一个oneM2M应用服务节点(Application Service Node)中的CSE(ASN-CSE)，令牌颁发实体可通过CSE2向AE或CSE颁发访问令牌，且CSE2具有在CSE1中创建<token>资源的特权；CSE3为存在于一个家庭网关(Home Gateway)中的oneM2M应用服务节点中的CSE(ASN-CSE)。其中存储有智能电表数据(Smart Meter Data)，读取Smart Meter Data需要具有数据采集角色(Data Collection Role)，该角色的标识为roleID＝ROLE1234；该应用类别为12，也即appCategory＝12；AE1为注册至CSE1的AE，oneM2M应用服务提供商可通过AE1访问CSE3中的资源。

CSE1中与本实施例相关的资源树如图15所示，包括：<CSEBase>资源，CSE1资源树的根节点；<AE1>资源，AE1成功注册至CSE1后的注册资源；<token>资源，CSE2在<AE1>中创建的子资源，表示一个赋给AE1的访问令牌，其中描述了tokenID，issuer，startTime，expiryTime，tokenType，tokenName，appCategory和tokenValue等资源属性信息。

访问令牌的颁发和使用过程包括：预配置过程、颁发和使用过程，具体描述如下：

访问令牌预配置过程包括：

步骤0.1：oneM2M应用服务提供商AE1注册至oneM2M服务提供商的IN-CSE(CSE1)中。

步骤0.2：令牌颁发实体通过CSE2向PDP实体提供用于验证其所颁发的访问令牌的安全凭证，也即用于验证其所签发的访问令牌的公钥证书。

访问令牌的颁发和使用过程，如图16所示，具体如下：

步骤1：访问发起方AE1向令牌颁发实体(即CSE2)发送访问令牌申请请求，该请求中包含有令牌特权描述信息，本实施例为智能电表数据采集(Smart Meter Data Collection)。

步骤2：因令牌授权实体不能根据本地存储的授权策略确定是否同意该访问令牌申请请求，因此其将AE1发送的令牌特权描述信息转发给可以处理此项任务的某个特权授权功能。

步骤3：这里假设特权授权功能是一个由房屋所有人参与的特权授权过程，此时特权授权功能将AE1的请求呈现给房屋所有人，并由房屋所有人确定是否同意该请求。这里假设房屋所有人给出的决策是“同意”，因此特权授权功能向令牌颁发实体发出同意该项授权的响应。

步骤4：若同意发起方的访问令牌申请请求，则令牌颁发实体颁发相应的访问令牌，其中包含有tokenID＝TOKEN1234，holderID＝AE1，issuer＝CSE2，startTime＝2015.10.01，expiryTime＝2016.10.10，tokenType＝10，tokenName＝智能电表数据采集令牌(Smart Meter Data Collection Token)，appCategory＝12，privileges＝{roleID＝ROLE1234}等令牌属性信息。这里假设tokenType＝10表示privileges属性中存储有角色信息。

步骤5：CSE2向注册响应CSE(即CSE1)请求在CSE1中发起方(Originator)AE1的注册资源(即<AE1>资源)创建<token>资源，该请求中包含有tokenID＝TOKEN1234，holderID＝AE1，Issuer＝CSE2，startTime＝2015.10.01，expiryTime＝2016.10.10，tokenType＝10，tokenName＝Smart Home Data Collection Token，appCategory＝12，tokenValue＝E8F852AE5B...等创建该令牌资源所需的资源属性的值。

步骤6：CSE1接收到CSE2发送的资源操作请求后，首先检查并确认CSE2具有在<AE1>资源下创建<token>资源的特权，然后利用CSE2提供的资源属性创建所请求的<token>资源。

步骤7：CSE1将资源创建成功的操作结果发送给CSE2。

步骤8：CSE2将访问令牌颁发成功的操作结果发送给AE1。

步骤9：AE1读取CSE1中该AE1的注册资源，以便获取已颁发给它的令牌信息。

步骤10：CSE1将AE1所拥有的访问令牌以令牌信息列表的方式发送给AE1，其中，令牌信息包括tokenID，holderID，issuer，startTime，expiryTime，tokenType，tokenName，appCategory和tokenValue等令牌属性的值。

步骤11：AE1当前资源访问所属的应用类别为“12”，据此AE1选择tokenID＝TOKEN1234的访问令牌，因为该访问令牌的appCategory＝12。AE1向CSE3中的目标资源发送资源访问请求，并将所选择的访问令牌的令牌信息附着在该请求中。

步骤12：CSE3中的PEP实体根据AE1发送的资源访问请求生成访问控制决策请求，其中该请求中包含有AE1提供的令牌信息，然后将该请求发送给PDP实体。

步骤13：PDP实体验证访问令牌的有效性，包括：访问令牌是否是由合法的令牌颁发实体颁发的，是否仍在有效期内，令牌所有者标识是否与资源访问请求中的发起方标识相同，访问令牌中携带的特权是否适用于所访问的资源等。若通过这些检查，则进下一步。

步骤13：PDP实体接收到PEP实体发送的访问控制决策请求后，首先利用CSE2提供的安全凭证(公钥证书)验证收到访问令牌确实为CSE2所颁发，通过验证后，继续通过holderID属性验证该访问令牌属于AE1，通过startTime和expiryTime验证该访问令牌仍在有效期内，通过appCategory验证访问令牌中所携带的特权信息适用于其所访问的目标资源，通过这些验证后，CSE3根据tokenType＝10知道访问令牌携带的特权信息是角色信息，然后其从访问令牌的privileges属性中提取出roleID＝ROLE1234的角色信息。

步骤14：PDP实体从PRP实体获取适用的访问控制策略，并利用访问控制策略和请求发起方提供的角色信息评估发起方的资源访问请求，其中，访问控制策略描述roleID＝ROLE1234的数据采集角色(Data Collection Role)具有Smart Meter Data数据读取权限，所以基于访问控制策略和角色信息的评估结果是“同意AE1的资源访问”。

步骤15：PDP实体将评估结果通过访问控制决策响应发送PEP实体。

步骤16：因AE1的资源访问请求被允许，所以PEP实体执行AE1所请求的Smart Meter Data数据读取功能。

步骤17：PEP实体将执行结果发送AE1。

上述方法处理流程可以用软件程序实现，该软件程序可以存储在存储介质中，当存储的软件程序被调用时，执行上述方法步骤。

基于同一发明构思，本申请实施例中还提供了一种发起方，由于该发起方解决问题的原理与上述图7所示的一种访问令牌颁发方法相似，因此该发起方的实施可以参见方法的实施，重复之处不再赘述。

本申请实施例提供的一种发起方，如图17所示，包括：

发送模块171，用于向令牌颁发实体发送访问令牌申请请求，其中，所述访问令牌申请请求用于请求所述令牌颁发实体为所述发起方在访问控制过程需要使用的特权颁发访问令牌；

接收模块172，用于接收所述令牌颁发实体返回的访问令牌申请响应，以确定访问令牌是否颁发成功。

可选的，所述发起方还包括：令牌获取模块173，用于从与所述发起方关联的令牌资源中，获取所述访问令牌或者所述访问令牌中的特权信息，其中，所述特权信息用于表示发起方在访问控制过程能够使用的特权。

基于同一发明构思，本申请实施例中还提供了一种令牌颁发实体，由于该令牌颁发实体解决问题的原理与上述图8所示的一种访问令牌颁发方法相似，因此该令牌颁发实体的实施可以参见方法的实施，重复之处不再赘述。

本申请实施例提供的一种令牌颁发实体，如图18所示，包括：

第一接收模块181，用于接收发起方发送的访问令牌申请请求，其中，所述访问令牌申请请求用于请求所述令牌颁发实体为所述发起方在访问控制过程需要使用的特权颁发访问令牌；

令牌颁发模块182，用于根据所述访问令牌申请请求，生成访问令牌；

第一发送模块183，用于向公共服务实体CSE发送令牌资源创建请求，以请求所述CSE为所述访问令牌创建与所述发起方关联的令牌资源；

第二接收模块184，用于接收所述CSE返回的令牌资源创建响应，以确定所述CSE是否已完成所述令牌资源的创建；

第二发送模块185，用于向所述发起方返回访问令牌申请响应，以通知所述发起方所述访问令牌是否颁发成功。

可选的，令牌颁发模块182还用于：根据本地保存的授权策略，确定是否同意所述发起方发送的访问令牌申请请求；或者通过特权授权功能实体，确定是否同意所述发起方发送的访问令牌申请请求。

可选的，第一发送模块183还用于：向所述CSE发送令牌资源修改请求，其中，所述令牌资源修改请求中携带所述令牌颁发实体重新为所述发起方颁发的访问令牌；

第二接收模块184还用于：接收所述CSE发送的令牌资源修改响应，以确定所述CSE是否已完成令牌资源的修改。

基于同一发明构思，本申请实施例中还提供了一种令牌颁发实体，由于该令牌颁发实体解决问题的原理与上述图9所示的一种访问令牌颁发方法相似，因此该令牌颁发实体的实施可以参见方法的实施，重复之处不再赘述。

本申请实施例提供的一种公共服务实体CSE，如图19所示，包括：

接收模块191，用于接收令牌颁发实体发送的令牌资源创建请求，其中，所述令牌资源创建请求用于请求所述CSE为所述令牌颁发实体颁发的访问令牌创建令牌资源；

资源创建模块192，用于根据令牌资源创建请求，创建与发起方关联的令牌资源；

发送模块193，用于向所述令牌颁发实体返回令牌资源创建响应，以通知所述令牌颁发实体所述CSE是否已完成所述令牌资源的创建。

可选的，所述资源创建模块192具体用于：

根据与所述令牌颁发实体关联的访问控制策略，确定所述令牌颁发实体是否有权创建令牌资源；在确定所述令牌颁发实体有权创建令牌资源时，根据令牌资源创建请求，创建所述令牌资源。

可选的，接收模块191还用于：接收所述令牌颁发实体发送的令牌资源修改请求其中，其中，所述令牌资源修改请求中携带所述令牌颁发实体重新为所述发起方颁发的访问令牌；

资源创建模块192还用于：根据所述令牌资源修改请求，对需要修改的令牌资源进行修改；

发送模块193还用于：向所述令牌颁发实体发送令牌资源修改响应，以通知所述令牌颁发实体所述CSE是否已完成令牌资源的修改。

基于上述任一实施例，资源创建模块192具体用于：

确定出与所述发起方需要访问的目标资源相关联的访问控制策略，并根据所述访问控制策略确定所述发起方是否有权创建令牌资源；在确定出所述发起方有权创建令牌资源后，根据令牌资源创建请求，创建所述发起方关联的令牌资源。

基于同一发明构思，本申请实施例中还提供了一种PDP实体，由于该PDP实体解决问题的原理与上述图10所示的一种访问控制方法相似，因此该PDP实体的实施可以参见方法的实施，重复之处不再赘述。

本申请实施例提供的一种PDP实体，如图20所示，PDP实体包括：

接收模块201，用于接收策略执行点PEP实体发送的访问控制决策请求；

获取模块202，用于根据所述访问控制决策请求携带的发起方的令牌信息，获取所述令牌信息对应的访问令牌中的特权信息，并根据所述访问控制决策请求携带的所述发起方需要访问的目标资源，获取所述目标资源相关联的访问控制策略，其中，所述特权信息用于表示所述发起方在访问控制过程能够使用的特权；

评估模块203，用于根据访问控制策略和所述特权信息，评估所述访问控制决策请求，并将评估结果携带在访问控制决策响应中返回给所述PEP实体，以使所述PEP实体根据所述评估结果执行资源访问。

可选的，所述评估模块203具体用于：验证所述令牌信息对应的访问令牌的有效性；在确定所述令牌信息对应的访问令牌有效后，根据访问控制策略和所述特权信息，评估所述访问控制决策请求。

可选的，若所述令牌信息为所述标识信息，获取模块202还用于：从所述发起方关联的令牌资源中，获取所述访问令牌或所述特权信息；或者通过策略信息点PIP实体，从令牌资源中获取所述访问令牌或所述特权信息。

基于同一发明构思，本申请实施例中还提供了一种PEP实体，由于该PEP实体解决问题的原理与上述图11所示的一种访问控制方法相似，因此该PEP实体的实施可以参见方法的实施，重复之处不再赘述。

本申请实施例提供的一种PEP实体，如图21所示，PEP实体包括：

发送模块211，用于向策略决策点PDP实体发送访问控制决策请求，其中，所述访问控制决策请求是根据发起方的资源访问请求生成的，所述访问控制决策请求包含所述资源访问请求中携带的发起方的令牌信息；

接收模块212，用于接收所述PDP实体返回的访问控制决策响应；

访问控制模块213，用于根据所述访问控制决策响应中携带的评估结果，执行资源访问。

下面结合优选的硬件结构，以本申请实施例提供的各实体为服务器为例，对各实体的结构、处理方式进行说明。

在图22的实施例中，发起方包括处理器221、输入接口222、输出接口223、存储器224和系统总线225；其中：

处理器221负责逻辑运算和处理。存储器224包括内存和硬盘，可以存储处理器221在执行操作时所使用的数据。输入接口222用于在处理器221的控制下读入外部设备传输的数据，输出接口223在处理器221的控制下向外部设备输出数据。

总线架构可以包括任意数量的互联的总线和桥，具体由处理器221代表的一个或多个处理器和存储器224代表的内存和硬盘的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。

本申请实施例中，处理器221读取存储器224中的程序，以完成图17所示的令牌获取模块173的功能，具体请参见图17所示的实施例中的相关描述。

输入接口222在处理器221的控制下，用以完成图17所示的接收模块172的功能，具体请参见图17所示的实施例中的相关描述。

输出接口223在处理器221的控制下，用以完成图17所示的发送模块171的功能，具体请参见图17所示的实施例中的相关描述。

在图23的实施例中，令牌颁发实体包括处理器231、输入接口232、输出接口233、存储器234和系统总线235；其中：

处理器231负责逻辑运算和处理。存储器234包括内存和硬盘，可以存储处理器231在执行操作时所使用的数据。输入接口232用于在处理器231的控制下读入外部设备传输的数据，输出接口233在处理器231的控制下向外部设备输出数据。

总线架构可以包括任意数量的互联的总线和桥，具体由处理器231代表的一个或多个处理器和存储器234代表的内存和硬盘的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。

本申请实施例中，处理器231读取存储器234中的程序，以完成图18所示的令牌颁发模块182的功能，具体请参见图18所示的实施例中的相关描述。

输入接口232在处理器231的控制下，用以完成图18所示的第一接收模块181和第二接收模块184的功能，具体请参见图18所示的实施例中的相关描述。

输出接口233在处理器231的控制下，用以完成图18所示的第一发送模块183和第二发送模块185的功能，具体请参见图18所示的实施例中的相关描述。

在图24的实施例中，CSE包括处理器241、输入接口242、输出接口243、存储器244和系统总线245；其中：

处理器241负责逻辑运算和处理。存储器244包括内存和硬盘，可以存储处理器241在执行操作时所使用的数据。输入接口242用于在处理器241的控制下读入外部设备传输的数据，输出接口243在处理器241的控制下向外部设备输出数据。

总线架构可以包括任意数量的互联的总线和桥，具体由处理器241代表的一个或多个处理器和存储器244代表的内存和硬盘的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。

本申请实施例中，处理器241读取存储器244中的程序，以完成图19所示的资源创建模块192的功能，具体请参见图19所示的实施例中的相关描述。

输入接口242在处理器241的控制下，用以完成图19所示的接收模块191的功能，具体请参见图19所示的实施例中的相关描述。

输出接口243在处理器241的控制下，用以完成图19所示的发送模块193的功能，具体请参见图19所示的实施例中的相关描述。

在图25的实施例中，PDF实体包括处理器251、输入接口252、输出接口253、存储器254和系统总线255；其中：

处理器251负责逻辑运算和处理。存储器254包括内存和硬盘，可以存储处理器251在执行操作时所使用的数据。输入接口252用于在处理器251的控制下读入外部设备传输的数据，输出接口253在处理器251的控制下向外部设备输出数据。

总线架构可以包括任意数量的互联的总线和桥，具体由处理器251代表的一个或多个处理器和存储器254代表的内存和硬盘的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。

本申请实施例中，处理器251读取存储器254中的程序，以完成图20所示的获取模块202和评估模块203的功能，具体请参见图20所示的实施例中的相关描述。

输入接口252在处理器251的控制下，用以完成图20所示的接收模块201的功能，具体请参见图20所示的实施例中的相关描述。

在图26的实施例中，PEP实体包括处理器261、输入接口262、输出接口263、存储器264和系统总线265；其中：

处理器261负责逻辑运算和处理。存储器264包括内存和硬盘，可以存储处理器261在执行操作时所使用的数据。输入接口262用于在处理器261的控制下读入外部设备传输的数据，输出接口263在处理器261的控制下向外部设备输出数据。

总线架构可以包括任意数量的互联的总线和桥，具体由处理器261代表的一个或多个处理器和存储器264代表的内存和硬盘的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。

本申请实施例中，处理器261读取存储器264中的程序，以完成图21所示的访问控制模块213的功能，具体请参见图21所示的实施例中的相关描述。

输入接口262在处理器261的控制下，用以完成图21所示的接收模块212的功能，具体请参见图21所示的实施例中的相关描述。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本申请的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims

一种访问令牌颁发方法，其特征在于，所述方法包括：

发起方向令牌颁发实体发送访问令牌申请请求，其中，所述访问令牌申请请求用于请求所述令牌颁发实体为所述发起方在访问控制过程需要使用的特权颁发访问令牌；

所述发起方接收所述令牌颁发实体返回的访问令牌申请响应，以确定访问令牌是否颁发成功。
如权利要求1所述的方法，其特征在于，所述发起方接收所述令牌颁发实体返回的访问令牌申请响应之后，所述方法还包括：

所述发起方从与所述发起方关联的令牌资源中，获取所述访问令牌或者所述访问令牌中的特权信息，其中，所述特权信息用于表示发起方在访问控制过程能够使用的特权。
如权利要求1所述的方法，其特征在于，所述令牌资源具有：

令牌标识属性，用于存储访问令牌的标识信息；

令牌颁发者属性，用于存储访问令牌颁发者的标识信息；

起始时间属性，用于存储访问令牌的有效期的起始时间；

结束时间属性，用于存储访问令牌的有效期的结束时间；

令牌值属性，用于存储访问令牌或访问令牌中的特权信息。
如权利要求3所述的方法，其特征在于，所述令牌资源还具有以下至少一个属性：

令牌类型属性，用于存储访问令牌的类型信息；

令牌名字属性，用于存储访问令牌的可阅读名字；

应用类别属性，用于存储访问令牌适用的应用类别。
如权利要求2～4任一项所述的方法，其特征在于，所述令牌资源为所述发起方的注册资源的子资源。
如权利要求2～4任一项所述的方法，其特征在于，所述访问令牌包括以下内容：

所述访问令牌的标识信息、所述访问令牌颁发者的标识信息、所述访问令牌所有者的标识信息、所述访问令牌的有效期的起始时间、所述访问令牌的有效期的结束时间、以及所述特权信息。
如权利要求6所述的方法，其特征在于，所述访问令牌还包括以下至少一项内容：

所述访问令牌的类型信息、所述访问令牌的可阅读名字、所述访问令牌适用的应用类别、以及应用系统定义的所述访问令牌的内容。
一种访问令牌颁发方法，其特征在于，所述方法包括：

令牌颁发实体接收发起方发送的访问令牌申请请求，其中，所述访问令牌申请请求用于请求所述令牌颁发实体为所述发起方在访问控制过程需要使用的特权颁发访问令牌；

所述令牌颁发实体根据所述访问令牌申请请求，生成访问令牌，并向公共服务实体CSE发送令牌资源创建请求，以请求所述CSE为所述访问令牌创建与所述发起方关联的令牌资源；

所述令牌颁发实体接收所述CSE返回的令牌资源创建响应，以确定所述CSE是否已完成所述令牌资源的创建；

所述令牌颁发实体向所述发起方返回访问令牌申请响应，以通知所述发起方所述访问令牌是否颁发成功。
如权利要求8所述的方法，其特征在于，所述令牌颁发实体接收所述发起方发送的访问令牌申请请求之后，还包括：

所述令牌颁发实体根据本地保存的授权策略，确定是否同意所述发起方发送的访问令牌申请请求；或者

所述令牌颁发实体通过特权授权功能实体，确定是否同意所述发起方发送的访问令牌申请请求。
如权利要求8所述的方法，其特征在于，所述令牌资源具有：

令牌标识属性，用于存储访问令牌的标识信息；

令牌颁发者标识属性，用于存储访问令牌颁发者的标识信息；

起始时间属性，用于存储访问令牌的有效期的起始时间；

结束时间属性，用于存储访问令牌的有效期的结束时间；

令牌值属性，用于存储访问令牌、或者访问令牌中的用于表示发起方在访问控制过程能够使用的特权的特权信息。
如权利要求10所述的方法，其特征在于，所述令牌资源还具有以下至少一个属性：

令牌类型属性，用于存储访问令牌的类型信息；

令牌名字属性，用于存储访问令牌的可阅读名字；

应用类别属性，用于存储访问令牌适用的应用类别。
如权利要求8所述的方法，其特征在于，所述访问令牌包括以下内容：

所述访问令牌的标识信息、所述访问令牌颁发者的标识信息、所述访问令牌所有者的标识信息、所述访问令牌的有效期的起始时间、所述访问令牌的有效期的结束时间、以及用于表示发起方在访问控制过程需要使用的特权的特权信息。
如权利要求12所述的方法，其特征在于，所述访问令牌包括以下至少一项内容：

所述访问令牌的类型信息、所述访问令牌的可阅读名字、所述访问令牌适用的应用类别、以及应用系统定义的所述访问令牌的内容。
如权利要求8～13任一项所述的方法，其特征在于，所述令牌颁发实体接收所述CSE返回的令牌资源创建响应之后，所述方法还包括：

所述令牌颁发实体向所述CSE发送令牌资源修改请求，其中，所述令牌资源修改请求中携带所述令牌颁发实体重新为所述发起方颁发的访问令牌；

所述令牌颁发实体接收所述CSE发送的令牌资源修改响应，以确定所述CSE是否已完成令牌资源的修改。
如权利要求8～13任一项所述的方法，其特征在于，所述令牌资源为所述发起方的注册资源的子资源。
一种访问令牌颁发方法，其特征在于，所述方法包括：

公共服务实体CSE接收令牌颁发实体发送的令牌资源创建请求，其中，所述令牌资源创建请求用于请求所述CSE为所述令牌颁发实体颁发的访问令牌创建令牌资源；

所述CSE根据令牌资源创建请求，创建与发起方关联的令牌资源；

所述CSE向所述令牌颁发实体返回令牌资源创建响应，以通知所述令牌颁发实体所述CSE是否已完成所述令牌资源的创建。
如权利要求16所述的方法，其特征在于，所述CSE接收令牌颁发实体发送的令牌资源创建请求之后，所述CSE创建令牌资源之前，还包括：

所述CSE根据与所述令牌颁发实体关联的访问控制策略，确定所述令牌颁发实体是否有权创建令牌资源；

所述CSE根据令牌资源创建请求，创建令牌资源，包括：所述CSE在确定所述令牌颁发实体有权创建令牌资源时，根据令牌资源创建请求，创建所述令牌资源。
如权利要求16所述的方法，其特征在于，所述令牌资源具有：

令牌标识属性，用于存储访问令牌的标识信息；

令牌颁发者标识属性，用于存储访问令牌颁发者的标识信息；

起始时间属性，用于存储访问令牌的有效期的起始时间；

结束时间属性，用于存储访问令牌的有效期的结束时间；

令牌值属性，用于存储访问令牌、或者访问令牌中的用于表示发起方在访问控制过程能够使用的特权的特权信息。
如权利要求18所述的方法，其特征在于，所述令牌资源还具有以下至少一个属性：

令牌类型属性，用于存储访问令牌的类型信息；

令牌名字属性，用于存储访问令牌的可阅读名字；

应用类别属性，用于存储访问令牌适用的应用类别。
如权利要求16所述的方法，其特征在于，所述访问令牌包括以下内容：

所述访问令牌的标识信息、所述访问令牌颁发者的标识信息、所述访问令牌所有者的标识信息、所述访问令牌的有效期的起始时间、所述访问令牌的有效期的结束时间、以及用于表示发起方在访问控制过程需要使用的特权的特权信息。
如权利要求20所述的方法，其特征在于，所述访问令牌包括以下至少一项内容：

所述访问令牌的类型信息、所述访问令牌的可阅读名字、所述访问令牌适用的应用类别、以及应用系统定义的所述访问令牌的内容。
如权利要求16～21任一项所述的方法，其特征在于，所述令牌资源为所述发起方的注册资源的子资源。
如权利要求16～21任一项所述的方法，其特征在于，所述CSE向所述令牌颁发实体返回令牌资源创建响应之后，所述方法还包括：

所述CSE接收所述令牌颁发实体发送的令牌资源修改请求其中，其中，所述令牌资源修改请求中携带所述令牌颁发实体重新为所述发起方颁发的访问令牌；

所述CSE根据所述令牌资源修改请求，对需要修改的令牌资源进行修改；

所述CSE向所述令牌颁发实体发送令牌资源修改响应，以通知所述令牌颁发实体所述CSE是否已完成令牌资源的修改。
如权利要求16～21任一项所述的方法，其特征在于，所述CSE接收所述令牌颁发实体发送的令牌资源创建请求之后，还包括：所述CSE确定出与所述发起方需要访问的目标资源相关联的访问控制策略，并根据所述访问控制策略确定所述发起方是否有权创建令牌资源；

所述CSE根据令牌资源创建请求，创建与发起方关联的令牌资源，包括：所述CSE在确定出所述发起方有权创建令牌资源后，根据令牌资源创建请求，创建所述发起方关联的令牌资源。
一种访问控制方法，其特征在于，所述方法包括：

策略决策点PDP实体接收策略执行点PEP实体发送的访问控制决策请求；

所述PDP实体根据所述访问控制决策请求携带的发起方的令牌信息，获取所述令牌信息对应的访问令牌中的特权信息，并根据所述访问控制决策请求携带的所述发起方需要访问的目标资源，获取所述目标资源相关联的访问控制策略，其中，所述特权信息用于表示所述发起方在访问控制过程能够使用的特权；

所述PDP实体根据访问控制策略和所述特权信息，评估所述访问控制决策请求，并将评估结果携带在访问控制决策响应中返回给所述PEP实体，以使所述PEP实体根据所述评估结果执行资源访问。
如权利要求25所述的方法，其特征在于，所述PDP实体根据访问控制策略和所述特权信息，评估所述访问控制决策请求之前，还包括：所述PDP实体验证所述令牌信息对应的访问令牌的有效性；

所述PDP实体根据访问控制策略和所述特权信息，评估所述访问控制决策请求，包括：所述PDP实体在确定所述令牌信息对应的访问令牌有效后，根据访问控制策略和所述特权信息，评估所述访问控制决策请求。
如权利要求26所述的方法，其特征在于，所述令牌信息为：

访问令牌、或者访问令牌的标识信息。
如权利要求27所述的方法，其特征在于，若所述令牌信息为所述标识信息，PDP实体接收PEP实体发送的访问控制决策请求之后，还包括：

所述PDP实体从所述发起方关联的令牌资源中，获取所述访问令牌或所述特权信息；或者

所述PDP实体通过策略信息点PIP实体，从令牌资源中获取所述访问令牌或所述特权信息。
如权利要求28所述的方法，其特征在于，所述令牌资源具有：

令牌标识属性，用于存储访问令牌的标识信息；

令牌颁发者标识属性，用于存储访问令牌颁发者的标识信息；

起始时间属性，用于存储访问令牌的有效期的起始时间；

结束时间属性，用于存储访问令牌的有效期的结束时间；

令牌值属性，用于存储访问令牌或所述特权信息。
如权利要求29所述的方法，其特征在于，所述令牌资源还具有以下至少一个属性：

令牌类型属性，用于存储访问令牌的类型信息；

令牌名字属性，用于存储访问令牌的可阅读名字；

应用类别属性，用于存储访问令牌适用的应用类别。
如权利要求25～30任一项所述的方法，其特征在于，所述令牌资源为所述发起方的注册资源的子资源。
如权利要求25～30任一项所述的方法，其特征在于，所述访问令牌包括以下内容：

所述访问令牌的标识信息、所述访问令牌颁发者的标识信息、所述访问令牌所有者的标识信息、所述访问令牌的有效期的起始时间、所述访问令牌的有效期的结束时间、以及所述特权信息。
如权利要求32所述的方法，其特征在于，所述访问令牌还包括以下至少一项内容：

所述访问令牌的类型信息、所述访问令牌的可阅读名字、所述访问令牌适用的应用类别、以及应用系统定义的所述访问令牌的内容。
一种访问控制方法，其特征在于，所述方法包括：

策略执行点PEP实体向策略决策点PDP实体发送访问控制决策请求，其中，所述访问控制决策请求是根据发起方的资源访问请求生成的，所述访问控制决策请求包含所述资源访问请求中携带的发起方的令牌信息；

所述PEP实体接收所述PDP实体返回的访问控制决策响应，并根据所述访问控制决策响应中携带的评估结果执行资源访问。
如权利要求34所述的方法，其特征在于，所述令牌信息为：

访问令牌、或者访问令牌的标识信息。
如权利要求34或35所述的方法，其特征在于，所述访问令牌包括以下内容：

所述访问令牌的标识信息、所述访问令牌颁发者的标识信息、所述访问令牌所有者的标识信息、所述访问令牌的有效期的起始时间、访问令牌的有效期的结束时间、以及用于表示发起方在访问控制过程能够使用的特权的特权信息。
如权利要求36所述的方法，其特征在于，所述访问令牌包括以下至少一项内容：

所述访问令牌的类型信息、所述访问令牌的可阅读名字、所述访问令牌适用的应用类别、以及应用系统定义的所述访问令牌的内容。
一种发起方，其特征在于，所述发起方包括：

发送模块，用于向令牌颁发实体发送访问令牌申请请求，其中，所述访问令牌申请请求用于请求所述令牌颁发实体为所述发起方在访问控制过程需要使用的特权颁发访问令牌；

接收模块，用于接收所述令牌颁发实体返回的访问令牌申请响应，以确定访问令牌是否颁发成功。
如权利要求38所述的发起方，其特征在于，所述发起方还包括：

令牌获取模块，用于从与所述发起方关联的令牌资源中，获取所述访问令牌或者所述访问令牌中的特权信息，其中，所述特权信息用于表示发起方在访问控制过程能够使用的特权。
一种令牌颁发实体，其特征在于，所述令牌颁发实体包括：

第一接收模块，用于接收发起方发送的访问令牌申请请求，其中，所述访问令牌申请请求用于请求所述令牌颁发实体为所述发起方在访问控制过程需要使用的特权颁发访问令牌；

令牌颁发模块，用于根据所述访问令牌申请请求，生成访问令牌；

第一发送模块，用于向公共服务实体CSE发送令牌资源创建请求，以请求所述CSE为所述访问令牌创建与所述发起方关联的令牌资源；

第二接收模块，用于接收所述CSE返回的令牌资源创建响应，以确定所述CSE是否已完成所述令牌资源的创建；

第二发送模块，用于向所述发起方返回访问令牌申请响应，以通知所述发起方所述访问令牌是否颁发成功。
如权利要求40所述的令牌颁发实体，其特征在于，所述令牌颁发模块还用于：

根据本地保存的授权策略，确定是否同意所述发起方发送的访问令牌申请请求；或者通过特权授权功能实体，确定是否同意所述发起方发送的访问令牌申请请求。
如权利要求40或41所述的令牌颁发实体，其特征在于，

所述第一发送模块还用于：向所述CSE发送令牌资源修改请求，其中，所述令牌资源修改请求中携带所述令牌颁发实体重新为所述发起方颁发的访问令牌；

所述第二接收模块还用于：接收所述CSE发送的令牌资源修改响应，以确定所述CSE是否已完成令牌资源的修改。
一种公共服务实体CSE，其特征在于，所述CSE包括：

接收模块，用于接收令牌颁发实体发送的令牌资源创建请求，其中，所述令牌资源创建请求用于请求所述CSE为所述令牌颁发实体颁发的访问令牌创建令牌资源；

资源创建模块，用于根据令牌资源创建请求，创建与发起方关联的令牌资源；

发送模块，用于向所述令牌颁发实体返回令牌资源创建响应，以通知所述令牌颁发实体所述CSE是否已完成所述令牌资源的创建。
如权利要求43所述的CSE，其特征在于，所述资源创建模块具体用于：

根据与所述令牌颁发实体关联的访问控制策略，确定所述令牌颁发实体是否有权创建令牌资源；在确定所述令牌颁发实体有权创建令牌资源时，根据令牌资源创建请求，创建所述令牌资源。
如权利要求43或44所述的CSE，其特征在于，

所述接收模块还用于：接收所述令牌颁发实体发送的令牌资源修改请求其中，其中，所述令牌资源修改请求中携带所述令牌颁发实体重新为所述发起方颁发的访问令牌；

所述资源创建模块还用于：根据所述令牌资源修改请求，对需要修改的令牌资源进行修改；

所述发送模块还用于：向所述令牌颁发实体发送令牌资源修改响应，以通知所述令牌颁发实体所述CSE是否已完成令牌资源的修改。
如权利要求43或44所述的CSE，其特征在于，所述资源创建模块具体用于：

确定出与所述发起方需要访问的目标资源相关联的访问控制策略，并根据所述访问控制策略确定所述发起方是否有权创建令牌资源；在确定出所述发起方有权创建令牌资源后，根据令牌资源创建请求，创建所述发起方关联的令牌资源。
一种策略决策点PDP实体，其特征在于，PDP实体包括：

接收模块，用于接收策略执行点PEP实体发送的访问控制决策请求；

获取模块，用于根据所述访问控制决策请求携带的发起方的令牌信息，获取所述令牌信息对应的访问令牌中的特权信息，并根据所述访问控制决策请求携带的所述发起方需要访问的目标资源，获取所述目标资源相关联的访问控制策略，其中，所述特权信息用于表示所述发起方在访问控制过程能够使用的特权；

评估模块，用于根据访问控制策略和所述特权信息，评估所述访问控制决策请求，并将评估结果携带在访问控制决策响应中返回给所述PEP实体，以使所述PEP实体根据所述评估结果执行资源访问。
如权利要求47所述的PDP实体，其特征在于，所述评估模块具体用于：

验证所述令牌信息对应的访问令牌的有效性；在确定所述令牌信息对应的访问令牌有效后，根据访问控制策略和所述特权信息，评估所述访问控制决策请求。
如权利要求47所述的PDP实体，其特征在于，若所述令牌信息为所述标识信息，所述获取模块还用于：

从所述发起方关联的令牌资源中，获取所述访问令牌或所述特权信息；或者通过策略信息点PIP实体，从令牌资源中获取所述访问令牌或所述特权信息。
一种策略执行点PEP实体，其特征在于，PEP实体包括：

发送模块，用于向策略决策点PDP实体发送访问控制决策请求，其中，所述访问控制决策请求是根据发起方的资源访问请求生成的，所述访问控制决策请求包含所述资源访问请求中携带的发起方的令牌信息；

接收模块，用于接收所述PDP实体返回的访问控制决策响应；

访问控制模块，用于根据所述访问控制决策响应中携带的评估结果，执行资源访问。