访问控制、策略获取、属性获取方法及相关装置制造方法及图纸

本发明专利技术公开了一种访问控制、策略获取、属性获取方法及相关装置，用以为oneM2M提供具体的访问控制机制。访问控制方法为：获取CSE对访问控制资源下的策略决策点资源的第一资源读取请求，第一资源读取请求中携带有发起者对CSE中的目标资源的访问控制决策的请求信息；根据第一资源读取请求发送对绑定的策略获取点资源的第二资源读取请求，获取目标资源对应的访问控制策略，第二资源读取请求中携带对目标资源的访问控制策略的请求信息；根据获取的访问控制策略确定发起者对目标资源的访问控制决策，并向CSE返回访问控制决策。

【技术实现步骤摘要】

本专利技术涉及通信
，尤其涉及一种访问控制、策略获取、属性获取方法及相关装置。
技术介绍
物联网标准化组织oneM2M致力于开发用于构造一个公共的机器对机器通信(Machine-To-Machine，M2M)服务层(Service Layer)的技术规范。oneM2M通过采用对标准的资源树的操作实现服务层资源共享和交互。根据oneM2M TS-0001中关于功能架构的定义，oneM2M资源树的形式如图1所示。其中，CSEBase1表示一个CSE根资源<CSEBase>，CSE1表示一个资源<remoteCSE>，APP1表示一个资源<AE>，CONT1和CONT2分别代表一个资源<container>，ACP1和ACP2分别代表一个资源<accessControlPolice>。对于oneM2M资源可进行创建、查询、修改和删除等操作。oneM2M定义的资源中与授权相关的资源为访问控制策略资源<accessControlPolicy>，其中定义有访问控制策略(Access Control Policy)，<accessControlPolicy>资源由资源身份标识(ID)唯一标识。其他资源通过资源中的accessControlPolicyIDs属性指定适用的访问控制策略。oneM2M定义有两种基本实体：一，应用实体(Application Entity，AE)，位于应用层，该实体可实现一个M2M应用服务逻辑。一个应用服务逻辑既可以驻留在多个M2M节点中，也可以在单个节点中存在多个执行实例。应用服务逻辑的每个执行实例被称为一个应用实体，每个应用实体由唯一的AE身份标识(AE-ID)标识。例如，车队跟踪应用实例、远程血糖监测应用实例、远程电力计量实例或控制应用实例等都属于应用实体。二，公共服务实体(Common Services Entity，CSE)，一个公共服务实体由一组M2M环境中的公共服务功能(common service functions)构成。公共服务功能通过参考点Mca和参考点Mcc公开给其他实体。参考点Mcn用于访问底层网络服务实体。每个公共服务实体由唯一的CSE-ID标识。资源树存在于oneM2M系统定义的CSE中。oneM2M定义有三种资源类型：普通资源(Normal Resource)，具有具体的资源结构以及资源属性；虚拟资源(Virtual Resource)，不具有具体的资源结构以及资源属性，主要用于触发特定的处理过程；公布资源(Announced Resource)，具有具体的资源结构及资源属性，该资源为其他实体上普通资源中某些内容的复制，主要目的是为资源发现提供便利。oneM2M TS-0001中仅定义了<accessControlPolicy>资源的资源结构及访问控制策略的结构，授权架构和访问控制策略的评估在oneM2M TS-0003中提供。如图2所示的授权架构中，各授权组件的功能为：策略执行点(Policy Enforcement Point，PEP)，与需要访问控制的应用系统共存，并由应用系统调用。PEP根据用户的访问请求生成相应的访问控制决策请求，发送给策略决策点(Policy Decision Point，PDP)，并根据PDP的访问控制决策应答确定是否执行用户的访问请求。策略决策点(Policy Decision Point，PDP)，负责根据访问控制策略评估是否同意由PEP发送来的访问控制决策请求，并将评估结果通过访问控制决策应答返回给PEP。策略获取点(Policy Retrieval Point，PRP)，根据PDP提供的策略请求获取适用的访问控制策略，并将获取的访问控制策略返回给PDP。策略信息点(Policy Information Point，PIP)，根据PDP的请求获取与用户、资源或环境相关的属性，例如访问用户的互联网协议(IP)地址、资源的创建者、当前的时间等，然后将获得的各种属性返回给PDP。oneM2M的基本授权流程如下：1、PEP根据用户的访问请求生成访问控制决策请求(Access Control Decision Request)发送给PDP；2、PDP根据PEP的访问控制决策请求向PRP发送访问控制策略请求(Access Control Policy Request)；3、PDP分析由PRP返回的访问控制策略和PEP的访问控制决策请求中提供的内容，若需要其他属性，则向PIP发送访问控制属性请求(Access Control Attribute Request)，否则执行步骤5。4、PIP根据PDP的访问控制属性请求获取相应的与访问控制相关的属性，并返回给PDP。5、PDP根据确定适用的访问控制策略，并通过该访问控制决策应答(Access Control Attribute Response)返回给PEP。6、PEP根据访问控制决策应答中的访问控制策略决定是否执行用户的访问请求。oneM2M TS-0003中仅给出了授权架构的高层描述和基本授权流程，没有给出具体的访问控制机制、实现原理或方法。
技术实现思路
本专利技术实施例提供一种访问控制、策略获取、属性获取方法及相关装置，用以为oneM2M提供具体的访问控制机制。本专利技术实施例提供的具体技术方案如下：第一方面，提供了一种访问控制方法，包括：获取公共服务实体CSE对访问控制资源下的策略决策点资源的第一资源读取请求，所述第一资源读取请求中携带有发起者对所述CSE中的目标资源的访问控制决策的请求信息；根据第一资源读取请求发送对绑定的策略获取点资源的第二资源读取请求，获取所述目标资源对应的访问控制策略，所述第二资源读取请求中携带对所述目标资源的访问控制策略的请求信息；根据获取的所述访问控制策略确定所述发起者对所述目标资源的访问控制决策，并向所述CSE返回所述访问控制决策；其中，所述访问控制资源为所属的CSE根资源下的普通资源，所述策略决策点资源以及所述策略获取点资源分别为对应的访问控制资源下的虚拟资源。可选地，所述访问控制资源具有普通资源的通用属性，还具有指定访问控制策略的公共属性。可选地，获取所述目标资源对应的访问控制策略后，确定所述发起者对所述目标资源的访问控制决策之前，所述方法还包括：对绑定的策略信息点资源发送第三资源读取请求，获取所述访问控制策略对应的属性信息，所述第三资源读取请求中携带对所述访问控制策略的访问控制属性的请求信息；其中，所述策略信息点资源为对应的访问控制资源下的虚拟资源。可选地，获取公共服务实体CSE对访问控制资源下的策略决策点资源的第一资源读取请求之后，根据第一资源读取请求发送对绑定的策略获取点资源的第二资源读取请求之前，所述方法还包括：根据所述策略决策点资源所属的访问控制资源指定的访问控制策略，确定允许所述CSE访问所述策略决策点资源。可选地，根据第一资源读取请求发送对绑定的策略获取点资源的第二资源
读取请求之后，获取所述目标资源对应的访问控制策略之前，所述方法还包括：根据所述策略获取点资源所属的访问控制资源指定的访问控制策略，确定允许所述CSE访问所本文档来自技高网...

【技术保护点】
一种访问控制方法，其特征在于，包括：获取公共服务实体CSE对访问控制资源下的策略决策点资源的第一资源读取请求，所述第一资源读取请求中携带有发起者对所述CSE中的目标资源的访问控制决策的请求信息；根据第一资源读取请求发送对绑定的策略获取点资源的第二资源读取请求，获取所述目标资源对应的访问控制策略，所述第二资源读取请求中携带对所述目标资源的访问控制策略的请求信息；根据获取的所述访问控制策略确定所述发起者对所述目标资源的访问控制决策，并向所述CSE返回所述访问控制决策；其中，所述访问控制资源为所属的CSE根资源下的普通资源，所述策略决策点资源以及所述策略获取点资源分别为对应的访问控制资源下的虚拟资源。

【技术特征摘要】
1.一种访问控制方法，其特征在于，包括：获取公共服务实体CSE对访问控制资源下的策略决策点资源的第一资源读取请求，所述第一资源读取请求中携带有发起者对所述CSE中的目标资源的访问控制决策的请求信息；根据第一资源读取请求发送对绑定的策略获取点资源的第二资源读取请求，获取所述目标资源对应的访问控制策略，所述第二资源读取请求中携带对所述目标资源的访问控制策略的请求信息；根据获取的所述访问控制策略确定所述发起者对所述目标资源的访问控制决策，并向所述CSE返回所述访问控制决策；其中，所述访问控制资源为所属的CSE根资源下的普通资源，所述策略决策点资源以及所述策略获取点资源分别为对应的访问控制资源下的虚拟资源。2.如权利要求1所述的方法，其特征在于，所述访问控制资源具有普通资源的通用属性，还具有指定访问控制策略的公共属性。3.如权利要求2所述的访问控制方法，其特征在于，获取所述目标资源对应的访问控制策略后，确定所述发起者对所述目标资源的访问控制决策之前，所述方法还包括：对绑定的策略信息点资源发送第三资源读取请求，获取所述访问控制策略对应的属性信息，所述第三资源读取请求中携带对所述访问控制策略的访问控制属性的请求信息；其中，所述策略信息点资源为对应的访问控制资源下的虚拟资源。4.如权利要求2所述的方法，其特征在于，获取公共服务实体CSE对访问控制资源下的策略决策点资源的第一资源读取请求之后，根据第一资源读取请求发送对绑定的策略获取点资源的第二资源读取请求之前，所述方法还包括：根据所述策略决策点资源所属的访问控制资源指定的访问控制策略，确定允许所述CSE访问所述策略决策点资源。5.如权利要求2所述的方法，其特征在于，根据第一资源读取请求发送对绑定的策略获取点资源的第二资源读取请求之后，获取所述目标资源对应的访问控制策略之前，所述方法还包括：根据所述策略获取点资源所属的访问控制资源指定的访问控制策略，确定允许所述CSE访问所述策略获取点资源。6.如权利要求3所述的方法，其特征在于，对绑定的策略信息点资源发送第三资源读取请求之后，获取所述访问控制策略对应的属性信息之前，所述方法还包括：根据所述策略信息点资源所属的访问控制资源指定的访问控制策略，确定允许所述CSE访问所述策略信息点资源。7.如权利要求3所述的方法，其特征在于，确定所述发起者对所述目标资源的访问控制决策，包括：根据所述访问控制策略以及所述访问控制策略对应的属性信息，确定所述发起者对所述目标资源的访问控制决策。8.如权利要求3所述的方法，其特征在于，所述策略决策点资源、所述策略获取点资源以及所述策略信息点资源分别位于不同CSE根节点下的访问控制资源下；或者，所述策略决策点资源、所述策略获取点资源以及所述策略信息点资源中的至少两个位于同一CSE根节点下的不同访问控制资源下；或者，所述策略决策点资源、所述策略获取点资源以及所述策略信息点资源属于同一CSE根节点下的同一访问控制资源下。9.一种获取访问控制策略的方法，其特征在于，包括：获取公共服务实体CSE对访问控制资源下的策略获取点资源的资源读取请求，所述资源读取请求中携带对发起者请求访问的目标资源的访问控制策略的请求信息；获取所述目标资源对应的访问控制策略，并返回给所述CSE；其中，所述访问控制资源为所属的CSE根资源下的普通资源，所述策略获取点资源为对应的访问控制资源下的虚拟资源。10.如权利要求9所述的方法，其特征在于，所述访问控制资源具有普通资源的通用属性，还具有指定访问控制策略的公共属性。11.如权利要求10所述的方法，其特征在于，获取公共服务实体CSE对访问控制资源下的策略获取点资源的资源读取请求之后，获取所述目标资源对应的访问控制策略之前，所述方法还包括：根据所述策略获取点资源所属的访问控制资源指定的访问控制策略，确定允许所述CSE访问所述策略获取点资源。12.一种获取访问控制属性的方法，其特征在于，包括：获取公共服务实体CSE对访问控制资源下的策略信息点资源的资源读取请求，所述资源读取请求中携带对访问控制策略的访问控制属性的请求信息；获取所述访问控制策略对应的属性信息，并返回给所述CSE；其中，所述访问控制资源为所属的CSE根资源下的普通资源，所述策略信息点资源为对应的访问控制资源下的虚拟资源。13.如权利要求12所述的方法，其特征在于，所述访问控制资源具有普通资源的通用属性，还具有指定访问控制策略的公共属性。14.如权利要求13所述的方法，其特征在于，获取公共服务实体CSE对访问控制资源下的策略信息点资源的资源读取请求之后，获取所述访问控制策略对应的属性信息之前，所述方法还包括：根据所述策略信息点资源所属的访问控制资源指定的访问控制策略，确定允许所述CSE访问所述策略信息点资源。15.一种公共服务实体CSE，其特征在于，包括：第一获取模块，用于获取公共服务实体CSE对访问控制资源下的策略决策点资源的第一...

【专利技术属性】
技术研发人员：周巍，
申请(专利权)人：电信科学技术研究院，
类型：发明
国别省市：北京;11