本发明专利技术公开了一种访问控制的决策方法和设备,以满足oneM2M系统中对访问控制的需求的问题。方法包括:PDP接收PEP发送的第一请求,根据该第一请求携带的与用户设备的资源访问相关的信息生成第二请求,该第二请求用于请求PAP为用户设备所访问的资源确定出资源访问控制方案,并将该第二请求发送给PAP;PDP接收PAP返回的资源访问控制方案,根据该资源访问控制方案中携带的各策略,分别对第一请求进行评估;以及,PDP根据资源访问控制方案中携带的逻辑运算关系,对得到的评估结果进行运算,生成访问控制结果并发送给PEP。
【技术实现步骤摘要】
本专利技术涉及通信
,特别涉及一种访问控制的决策方法和设备。
技术介绍
物联网国际标准化组织(oneM2M !Machine to Machine,机器到机器)是针对物联网设备与系统互连的标准,其关注的标准化工作是针对服务层的设备互连协议。oneM2M定义了 4种基本类型的节点,分别为应用专用节点(Applicat1n Dedicated Node)、应用服务节点(Applicat1n Service Node)、中间节点(Middle Node)、以及基础结构节点(Infrastructure Node)。应用专用节点不具备服务功能,例如智能电表;应用服务节点具备服务功能,可向其他类型的节点提供某种服务功能,例如设备和数据管理,应用服务节点可位于物联网中的各设备中;中间节点用于提供数据中转服务,例如物联网中的各种网关;基础结构节点是oneM2M的服务平台,其他各种类型的节点直接或间接地与基础结构节点相连接,从而到达设备互连的目的。各种oneM2M节点对访问控制的需求和复杂程度,会随着具体应用的不同而不同。根据目前的分析,访问控制列表(Access Control List, ACL),基于角色的访问控制(RoleBased Access Control,RBAC)和基于属性的访问控制(Attribute Based Access Control,ABAC)将是oneM2M访问控制机制的候选方案。访问控制列表(ACL)的基本原理是:每个访问控制对象(protected object),即资源,都有一个ACL与之相关联,该ACL中列举了所有有权访问该资源的用户及该用户所拥有的权限。基于角色的访问控制(RBAC)的基本原理是:访问控制权限赋予依据工作职责而设立的角色,用户根据自身工作职责而被赋予相应的角色,进而获得相应的权限。基于属性的访问控制(ABAC)的基本原理是:根据用户的属性,资源的属性,动态变化的环境变量以及使用这些属性的访问控制规则,决定是否同意访问控制请求。一个oneM2M系统中,可能会有千千万万的设备连入该系统中,在这些设备中,对于有些设备来说,ACL可能是最合适的访问控制机制;对于有些设备来说,RBAC或ABAC可能是最适合的访问控制机制;对于有些设备来说,可能需要将几种访问控制机制结合起来使用才能达到满意的效果,例如将ACL、RBAC和ABAC结合起来使用。综上所述,oneM2M系统所涉及的访问控制极其复杂,因此,oneM2M系统需要支持多种访问控制机制,以应对不同的访问控制需求。并且,oneM2M系统还应该支持将多种访问控制策略进行动态组合的能力,以获得最终的访问控制策略。然而,目前,如何将多种访问控制策略结合起来,以满足oneM2M系统中对访问控制的需求,尚未有解决方案。
技术实现思路
本专利技术实施例提供了一种访问控制的决策方法和设备,用于解决如何将多种访问控制策略结合起来,以满足oneM2M系统中对访问控制的需求的问题。本专利技术实施例提供了一种访问控制的决策方法,该方法包括:PDP接收PEP发送的第一请求,根据所述第一请求携带的与用户设备的资源访问相关的信息生成第二请求,所述第二请求用于请求PAP为所述用户设备所访问的资源确定出资源访问控制方案,并将所述第二请求发送给所述PAP ;所述PDP接收所述PAP返回的资源访问控制方案,根据所述资源访问控制方案中携带的各策略,分别对所述第一请求进行评估;所述PDP根据所述资源访问控制方案中携带的逻辑运算关系,对得到的评估结果进行运算,生成访问控制结果并发送给所述PEP。本专利技术实施例中,PDP接收PEP发送的第一请求,根据该第一请求携带的与用户设备的资源访问相关的信息生成第二请求,并将该第二请求发送给PAP ;PDP接收PAP返回的资源访问控制方案,对该资源访问控制方案中携带的各策略进行评估,并根据评估结果,得到相应的访问控制结果;PDP将访问控制结果发送给PEP,从而满足了 oneM2M系统中对各种访问控制的需求。本专利技术实施例中,所述第一请求包含以下信息中的至少一种:所述用户设备的标识、所述用户设备所访问的资源的标识、所述用户设备对所述资源执行的操作、以及与本次资源访问相关的上下文。本专利技术实施例中,所述第二请求包含以下信息中的至少一种:所述用户设备的标识、所述用户设备所访问的资源的标识、以及与本次资源访问相关的上下文。本专利技术实施例中,所述资源访问控制方案中包含以下信息中的至少一种:所述PAP为所述用户设备所访问的资源确定出的各策略;所述PAP为所述用户设备所访问的资源确定出的各策略的地址信息;所述PAP为所述用户设备所访问的资源确定出的各策略的标识信息;所述PAP为所述用户设备所访问的资源确定出的各策略的类型信息;以及,所述PAP为所述用户设备所访问的资源确定出的各策略之间的逻辑运算关系;其中,所述PAP为所述用户设备所访问的资源确定出的各策略包括:与所述用户设备所访问的资源相关的全局访问控制策略、与所述用户设备相关的全局访问控制策略、与所述用户设备所访问的资源相关的资源访问控制策略、所述第二请求中与本次资源访问相关的上下文中所携带的与本次资源访问相关的访问控制策略中的至少一种策略;其中,每个所述全局访问控制策略适用于至少一个资源的访问控制或适用于至少一种类型的用户设备对资源的访问控制,每个所述资源访问控制策略与资源一一对应,且仅适用于与该资源访问控制策略绑定的资源的访问控制。基于上述任一实施例,所述PDP根据所述资源访问控制方案中携带的各策略,分别对所述第一请求进行评估,包括:所述PDP根据所述资源访问控制方案中携带的各策略的类型信息,确定所述各策略对应的评估方案;所述PDP基于所述各策略,采用所述各策略对应的评估方案,分别对所述第一请求进行评估,得到评估结果。进一步,所述PDP根据所述资源访问控制方案中携带的各策略,分别对所述第一请求进行评估,包括:所述PDP从策略信息点PIP中,获取与所述资源访问控制方案中携带的各策略相关的属性信息;所述PDP根据所述资源访问控制方案中携带的各策略以及所述各策略对应的属性信息,分别对所述第一请求进行评估。 在实施中,在所述PDP接收到所述PEP发送的第一请求之前,该方法还包括:所述PEP获取所述用户设备向自身所访问的资源所在的服务器发送的资源访问请求;以及,所述PEP根据所述资源访问请求中携带的信息,生成所述第一请求,并将所述第一请求发送给所述F1DP。本专利技术实施例提供了另一种访问控制的决策方法,该方法包括:PAP接收PDP发送的第二请求,所述第二请求用于请求所述PAP为用户设备所访问的资源确定出资源访问控制方案;所述PAP根据所述第二请求,为所述用户设备所访问的资源确定出相应的资源访问控制方案,并将所述资源访问控制方案返回给所述rop。本专利技术实施例中,PAP接收PDP发送的第二请求,该第二请求用于请求PAP为用户设备所访问的资源确定出资源访问控制方案;PAP根据接收到的第二请求,为用户设备所访问的资源确定出相应的资源访问控制方案,并将所确定的资源访问控制方案返回给rop,从而满足了 oneM2M系统中对各种访问控制的需求。本专利技术实施例中,所述第二请求包含以下信息中的至少一种:本文档来自技高网...
【技术保护点】
一种访问控制的决策方法,其特征在于,该方法包括:策略决策点PDP接收策略执行点PEP发送的第一请求,根据所述第一请求携带的与用户设备的资源访问相关的信息生成第二请求,所述第二请求用于请求策略访问点PAP为所述用户设备所访问的资源确定出资源访问控制方案,并将所述第二请求发送给所述PAP;所述PDP接收所述PAP返回的资源访问控制方案,根据所述资源访问控制方案中携带的各策略,分别对所述第一请求进行评估;所述PDP根据所述资源访问控制方案中携带的逻辑运算关系,对得到的评估结果进行运算,生成访问控制结果并发送给所述PEP。
【技术特征摘要】
【专利技术属性】
技术研发人员:周巍,徐晖,
申请(专利权)人:电信科学技术研究院,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。