一种资源访问的方法和装置制造方法及图纸

本发明专利技术涉及通信领域，提供了一种机器通信中资源访问的方法及装置。该机器通信中资源访问的方法包括：接收请求者资源对被访问资源的访问请求，其中所述访问请求包括所述被访问资源的标识、请求者资源标识和对被访问资源请求的操作；根据所述被访问资源的标识确定所述被访问资源；获取所述被访问资源的访问控制策略资源；确定所述请求者资源为所述访问控制策略资源中具有所述请求的操作的操作权限的群组资源标识对应的群组资源的群组成员；对所述被访问资源执行所述请求的操作。本发明专利技术通过判断请求者资源是否是具有操作权限的群组资源的群组成员，从而对资源实现基于群组的访问控制。

【技术实现步骤摘要】

本专利技术涉及信息
，尤其涉及一种资源访问的方法及装置。
技术介绍
机器通信(Machine-to-MachineCommunications,M2M)是一种以机器智能交互为核心的、网络化的应用与服务。它通过在机器内部嵌入无线或有线通信模块以及应用处理逻辑，实现用户对监控、指挥调度、数据采集和测量等方面的信息化需求。M2M系统中，各种M2M设备，如各种传感器，直接经过M2M网关接入到M2M业务平台，从而实现各种M2M业务。例如电力抄表、智能家居等。通过M2M业务平台所提供的业务能力，可以获取M2M设备采集的数据，或对M2M设备进行控制和管理。在现有的M2M规范中，采用RESTful(RepresentationalStateTransfer)的架构，任何M2M设备、M2M网关或M2M业务平台以及它们所提供的业务能力，都可以被抽象为资源并且具有唯一的资源标识，即URI(UniformResourceIdentifier)。每个被访问资源都可以设置相应的访问权限，通过引用一个访问控制策略资源,如accessRight资源或accessControlPolicy资源等来实现系统中对被访问资源的访问控制功能。后续以accessControlPolicy资源为例说明进行说明。被访问资源所属的设备收到originator对资源的请求消息时，根据该被访问资源的访问控制策略标识accessControlPolicyID去获取相应的访问控制策略资源，访问控制策略资源中的每一条访问控制规则都可以看作一个三元组，<accessControlOriginators、accessControlContexts、accessControlOperations>，其中accessControlOriginator表示具有操作权限的请求者资源标识(可能是某个CSE-ID、AE-ID或者是serviceProviderdomain，也可能是All)；accessControlOperations表示该条规则所允许的操作权限(可能包括Retrieve、Create、Update、Delete、Discovery和Notify中的一个或者多个)；accessControlContexts是可选的，定义了accessControlOriginator具有accessControlOperations中规定的操作权限的条件，例如在某个时间范围内，每个地理区域内等等。作为一种可选方式，accessControlContexts的取值可以为空，即不对操作权限的条件进行限制和描述。被访问资源所属的设备根据获取到的访问控制策略资源中的accessControlOriginator属性中是否包含请求者originator标识，以及accessControlOperations属性中是否包含originator对被访问资源请求的操作来判断originator是否具有对被访问资源的访问权限。只有两个条件都满足时才表示originator通过了访问控制权限检查。现有技术中，<accessControlOriginators>只针对访问被访问资源的请求者资源而设定，因此，当多个请求者资源都需要访问被访问资源时，需要在访问控制策略资源中为该多个请求者资源分别设置相应的权限。也就是说，如果当一个群组的群组成员对同一个被访问资源具有相同的操作权限时，需要为每个群组成员单独配置相同的访问控制权限。从而使得访问控制策略资源包括的内容冗长，且所述访问控制策略资源所属的设备对所述访问控制策略资源的创建和更新过程非常复杂。此外，直接在所述访问控制策略资源中增加群组资源标识以及相应的权限，则由于访问所述被访问资源的请求设备并不是群组设备而无法确认请求设备具有的权限，从而无法确保请求设备对被访问资源进行访问的权限控制。
技术实现思路
本专利技术实施例提供了一种应用于M2M系统中的资源访问方法及装置，能够充分利用群组的集合功能，对被访问资源实现基于群组的访问控制。第一方面，本专利技术提供一种资源访问的方法，所述方法应用于机器通信M2M系统中，包括：接收请求者资源对被访问资源的访问请求，其中所述访问请求包括所述被访问资源的标识、请求者资源标识和对被访问资源请求的操作；根据所述被访问资源的标识确定所述被访问资源；获取所述被访问资源的访问控制策略资源；确定所述请求者资源为所述访问控制策略资源中具有所述请求的操作的操作权限的群组资源标识对应的群组资源的群组成员；对所述被访问资源执行所述请求的操作。结合第一方面，所述确定所述请求者资源为所述访问控制策略资源中具有所述请求的操作的操作权限的群组资源标识对应的群组资源的群组成员，具体为：确定所述访问控制策略资源中存在具有所述请求的操作的操作权限的群组资源标识，确定所述请求者资源为所述确定的群组资源标识对应的群组资源的群组成员；或者确定所述访问控制策略资源中存在群组资源标识，确定所述请求者资源为所述确定的群组资源标识对应的群组资源的群组成员，且所述确定的群组资源标识对应的操作权限为所述请求的操作。结合第一方面的上述所有可能实现方式，所述确定所述请求者资源为所述确定的群组资源标识对应的群组资源的群组成员，具体为：获取所述请求者资源的所属群组资源标识列表，确定所述所属群组资源标识列表包含所述具有所述请求的操作的操作权限的群组资源标识；或获取所述具有所述请求的操作的操作权限的群组资源标识对应的群组资源的成员列表，确定所述成员列表包含所述请求者资源标识。结合第一方面的上述所有可能实现方式，所述获取所述请求者资源的所属群组资源标识列表，具体为：根据所述请求者资源标识，向所述请求者资源发送获取请求者资源的所属群组资源标识列表的请求消息，接收所述请求者资源返回的所述所属群组资源标识列表；或者所述访问请求还包括所述请求者资源的所属群组资源标识列表，获取所述访问请求中的所述所属群组资源标识列表。结合第一方面的上述所有可能实现方式，在所述确定所述请求者资源为所述访问控制策略资源中具有所述请求的操作的操作权限的群组资源标识对应的群组资源的群组成员之前，所述方法还包括：确定所述访问控制策略资源中不存在所述请求者资源标识；或者确定所述访问控制策略资源中存在所述请求者资源标识，以及确定所述请求者资源标识对应的操作权限不包含所述请求的操作。第二方面，本专利技术提供一种配置资源所属群组资源标识列表的方法本文档来自技高网...

【技术保护点】
一种资源访问的方法，所述方法应用于机器通信M2M系统中，其特征在于，包括：接收请求者资源对被访问资源的访问请求，其中所述访问请求包括所述被访问资源的标识、请求者资源标识和对被访问资源请求的操作；根据所述被访问资源的标识确定所述被访问资源；获取所述被访问资源的访问控制策略资源；确定所述请求者资源为所述访问控制策略资源中具有所述请求的操作的操作权限的群组资源标识对应的群组资源的群组成员；对所述被访问资源执行所述请求的操作。

【技术特征摘要】
1.一种资源访问的方法，所述方法应用于机器通信M2M系统中，其特征
在于，包括：
接收请求者资源对被访问资源的访问请求，其中所述访问请求包括所述被
访问资源的标识、请求者资源标识和对被访问资源请求的操作；
根据所述被访问资源的标识确定所述被访问资源；
获取所述被访问资源的访问控制策略资源；
确定所述请求者资源为所述访问控制策略资源中具有所述请求的操作的操
作权限的群组资源标识对应的群组资源的群组成员；
对所述被访问资源执行所述请求的操作。
2.如权利要求1所述的方法，其特征在于，所述确定所述请求者资源为所
述访问控制策略资源中具有所述请求的操作的操作权限的群组资源标识对应的
群组资源的群组成员，具体为：
确定所述访问控制策略资源中存在具有所述请求的操作的操作权限的群组
资源标识，确定所述请求者资源为所述确定的群组资源标识对应的群组资源的
群组成员；或者
确定所述访问控制策略资源中存在群组资源标识，确定所述请求者资源为
所述确定的群组资源标识对应的群组资源的群组成员，且所述确定的群组资源
标识对应的操作权限为所述请求的操作。
3.如权利要求2所述的方法，其特征在于，所述确定所述请求者资源为所
述确定的群组资源标识对应的群组资源的群组成员，具体为：
获取所述请求者资源的所属群组资源标识列表，确定所述所属群组资源标
识列表包含所述具有所述请求的操作的操作权限的群组资源标识；或
获取所述具有所述请求的操作的操作权限的群组资源标识对应的群组资源
的成员列表，确定所述成员列表包含所述请求者资源标识。
4.如权利要求3所述的方法，其特征在于，所述获取所述请求者资源的所
属群组资源标识列表，具体为：
根据所述请求者资源标识，向所述请求者资源发送获取请求者资源的所属
群组资源标识列表的请求消息，接收所述请求者资源返回的所述所属群组资源
标识列表；或者
所述访问请求还包括所述请求者资源的所属群组资源标识列表，获取所述
访问请求中的所述所属群组资源标识列表。
5.如权利要求1-4任一所述的方法，其特征在于，在所述确定所述请求
者资源为所述访问控制策略资源中具有所述请求的操作的操作权限的群组资源
标识对应的群组资源的群组成员之前，所述方法还包括：
确定所述访问控制策略资源中不存在所述请求者资源标识；或者
确定所述访问控制策略资源中存在所述请求者资源标识，以及确定所述请
求者资源标识对应的操作权限不包含所述请求的操作。
6.一种配置资源所属群组资源标识列表的方法，所述方法应用于机器通信
M2M系统中，其特征在于，包括：
接收增加群组成员的操作请求，所述增加群组成员的操作请求包含群组资
源标识和新加入的群组成员的标识，其中所述群组资源标识指示所述新加入的
群组成员的标识对应的群组成员待加入的群组资源；
确定所述群组资源包含通知群组成员标识；
在所述群组资源的成员列表中增加所述新加入的群组成员的标识的过程
中，向所述新加入的群组成员的标识对应的群组成员发送更新所属群组资源标
识列表的第一请求消息；其中，所述第一请求消息包括所述群组资源标识和指
示新增所述群组资源标识的信息，所述第一请求消息指示所述新加入的群组成
员的标识对应的群组成员将所述群组资源标识增加到自身的所属群组资源标识
列表中。
7.如权利要求6所述的方法，其特征在于，在所述接收增加群组成员的操
作请求之前，所述方法还包括：
接收创建群组资源的操作请求，所述创建群组资源的操作请求中包括所述
通知群组成员标识和所述群组资源的成员列表；
根据所述创建群组资源的操作请求，创建所述群组资源，生成所述群组资
源标识；其中，所述群组资源包含所述通知群组成员标识以及所述群组资源的
成员列表；
向所述群组资源的成员列表中的各群组成员发送更新所属群组资源标识列
表的第一请求消息，其中，所述第一请求消息包括所述群组资源标识和指示新
增所述群组资源标识的信息，所述第一请求消息指示所述群组资源的成员列表
中的各群组成员将所述群组资源标识增加到自身的所属群组资源标识列表中。
8.如权利要求6-7任一所述的方法，其特征在于，该方法进一步包括：
接收删除群组成员的操作请求，所述删除群组成员的操作请求包含所述群
组资源标识和需删除的群组成员的标识；
确定所述群组资源包含所述通知群组成员标识；
在所述群组资源的成员列表中删除所述需删除的群组成员的标识的过程
中，向所述需删除的群组成员的标识对应的群组成员发送更新所属群组资源标
识列表的第二请求消息，其中，所述第二请求消息包括所述群组资源标识和指
示删除所述群组资源标识的信息，所述第二请求消息指示所述需删除的群组成
员的标识对应的群组成员将所述群组资源标识从自身的所属群组资源标识列表
中删除。
9.如权利要求6-8任一所述的方法，其特征在于，所述方法还包括
接收群组资源被引用的通知消息，所述群组资源被引用的通知消息包括所
述群组资源标识和引用所述群组资源的访问控制策略资源标识；
在所述群组资源中记录所述访问控制策略资源标识。
10.如权利要求9所述的方法，其特征在于，所述方法还包括：
接收删除群组资源的操作请求,所述删除群组资源的操作请求中携带所述
群组资源标识；
在删除所述群组资源的过程中，向所述群组资源的成员列表中的各群组成
员发送更新所属群组资源标识列表的第二请求消息，所述第二请求消息包括所
述群组资源标识和指示删除所述群组资源标识的信息，所述第二请求消息指示
所述群组资源的成员列表中的各群组成员将所述群组资源标识从自身的所属群
组资源标识列表中删除。
11.如权利要求10所述的方法，其特征在于，在所述删除所述群组资源之
前，所述方法还包括：
确定所述群组资源包含所述访问控制策略资源标识；
向所述访问控制策略资源标识对应的访问控制策略资源发送群组资源被删
除的通知消息，指示所述群组资源已经被删除。
12.一种对访问控制策略资源的操作方法，所述方法应用于机器通信M2M
系统中，其特征在于，包括：
接收访问控制策略资源的创建请求，所述创建请求中包括群组资源标识以
及与所述群组资源标识对应的操作权限；所述与所述群组资源标识对应的操作
权限具体为：所述群组资源标识对应的群组资源的群组成员的操作权限；
确定所述群组资源标识对应的群组资源包含通知群组成员标识，所述通知
群组成员标识指示所述群组资源的群组成员具有所属群组资源标识列表；
根据所述创建请求创建访问控制策略资源，生成访问控制策略资源标识；

\t其中，所述访问控制策略资源包括所述群组资源标识以及所述与所述群组资源
标识对应的操作权限。
13.如权利要求12所述的方法，其特征在于，在所述创建访问控制策略资
源之后，所述方法还包括：
接收访问控制策略资源的更新请求，所述访问控制策略资源的更新请求中
包括在所述访问控制策略资源中需增加的群组资源标识和与所述需增加的群资
源标识对应的操作权限；
确定所述需增加的群组资源标识对应的群组资源包含所述通知群组成员标
识；
将所述需增加的群组资源标识以及与所述需增加的群资源标识对应的操作
权限增加到所述访问控制策略资源中。
14.如权利要求12或13所述的方法，其特征在于，所述方法进一步还包
括：
向群组服务器发送群组资源被引用的通知消息，所述群组资源被引用的通
知消息包括所述访问控制策略资源标识以及在所述访问控制策略资源中被引用
的群组资源标识。
15.如利要求14所述的方法，其特征在于，所述方法还包括：
接收所述群组服务器发送的群组资源被删除的通知消息，所述群组资源被
删除的通知消息中包含被删除的群组资源标识以及所述访问控制策略资源标
识；
根据所述访问控制策略资源标识，在所述访问控制策略资源中删除所述被
删除的群组资源标识以及所述与所述被删除的群组资源标识对应的操作权限。
16.如权利要求12-15任一所述的方法，其特征在于，所述确定所述群组资
源标识对应的群组资源包含通知群组成员标识，具体为：
向所述群组服务器发送携带所述群组资源标识的获取所述群组资源的通知
群组成员标识的请求，接收所述群组服务器返回的响应消息，所述响应消息指
示所述群组资源标识对应的群组资源包含所述通知群组成员标识；根据所述响
应消息，确定所述所述群组资源标识对应的群组资源包含通知群组成员标识；或
者
在所述创建请求中携带指示所述群组资源标识对...

【专利技术属性】
技术研发人员：高莹，殷佳欣，张永靖，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44