一种访问控制方法和访问令牌颁发方法、设备技术

本发明专利技术公开了一种访问控制方法和访问令牌颁发方法、设备，用于解决目前oneM2M中如何基于发起方具有的特权进行访问控制，还没有给出具体的实现方法的问题。令牌颁发方法包括：发起方向令牌颁发实体发送访问令牌申请请求，其中，访问令牌申请请求用于请求令牌颁发实体为发起方在访问控制过程需要使用的特权颁发访问令牌；发起方接收令牌颁发实体返回的访问令牌申请响应，以确定访问令牌是否颁发成功。本发明专利技术实现了访问令牌的动态颁发，以使PDP实体能够基于访问控制策略和访问令牌，对发起方的资源访问请求进行评估，以确定是否允许发起方对目标资源的访问。

Access control method and access token issuing method and apparatus

The invention discloses an access control method and access token issuing method and equipment to solve the problem of present oneM2M how to privilege the initiator has based on access control, but also did not give the concrete realization method of the problem. The token issued methods include: the initiator entity sends the access token token issued by the application request, the access token request for request token issued by the entity for the initiator in the access control process requires the use of privileged access token issued; initiator access token issued by the entity receives the token returns the application response, to determine whether the access token issued successfully. The invention realizes dynamic access token issued, in order to enable the PDP entity to access control and access token based on the sponsor's request for access to a resource assessment, to determine whether to allow the sponsors of the target resource access.

【技术实现步骤摘要】

本专利技术涉及通信
，特别涉及一种访问控制方法和访问令牌颁发方法、设备。
技术介绍
物联网标准化组织oneM2M致力于开发用于构造一个公共的机器对机器通信(Machine-To-Machine，M2M)服务层(ServiceLayer)的技术规范。oneM2M的功能架构如图1所示，定义了三种基本实体：应用实体(ApplicationEntity，AE)：应用实体位于应用层，该实体可实现一个M2M应用服务逻辑。公共服务实体(CommonServicesEntity，CSE)：一个公共服务实体由一组M2M环境中的“公共服务功能(commonservicefunctions)”构成。底层网络服务实体(UnderlyingNetworkServicesEntity，NSE)：一个网络服务实体向CSEs提供底层网络服务。oneM2M通过采用对标准的资源树的操作实现服务层资源共享和交互。根据oneM2MTS-0001中关于功能架构的定义，oneM2M资源树的形式如图2所示。其中，CSEBase1表示一个CSE根资源<CSEBase>，CSE1表示一个远程CSE<remoteCSE>资源，APP1表示一个<AE>资源，CONT1和CONT2分别代表一个容器<container>资源，ACP1和ACP2分别代表一个访问控制策略<accessControlPolicy>资源。对于oneM2M资源可进行创建、查询、修改和删除等操作。oneM2M定义的资源中与授权相关的资源为访问控制策略<accessControlPolicy>资源，其中定义有访问控制策略(AccessControlPolicy)，<accessControlPolicy>资源由资源身份标识(ID)唯一标识。其他资源通过资源中的accessControlPolicyIDs属性指定适用的访问控制策略。oneM2M安全解决方案技术规范(oneM2MTS-0003:SecuritySolutions)中给出了如图3所示的授权架构，该架构中各授权实体包括：策略执行点(PolicyEnforcementPoint，PEP)实体，与需要访问控制的应用系统共存，并由应用系统调用。PEP实体根据用户的访问请求生成相应的访问控制决策请求(简称决策请求)，发送给策略决策点(PolicyDecisionPoint，PDP)实体，并根据PDP实体的访问控制决策响应确定是否执行用户的访问请求。策略决策点(PolicyDecisionPoint，PDP)实体，根据访问控制策略评估是否允许由PEP实体发送来的访问控制决策请求，并将评估结果通过访问控制决策响应返回给PEP实体。策略获取点(PolicyRetrievalPoint，PRP)实体，根据PDP实体提供的访问控制策略请求(简称策略请求)获取适用的访问控制策略，并将获取的访问控制策略通过访问控制策略响应返回给PDP实体。策略信息点(PolicyInformationPoint，PIP)实体，根据PDP实体的访问控制策略请求获取与用户、资源或环境相关的属性，例如访问用户的互联网协议(IP)地址、资源的创建者、当前的时间等，然后将获得的各种属性返回给PDP实体。oneM2M的基本授权流程如下：1、PEP实体根据用户的访问请求生成访问控制决策请求(AccessControlDecisionRequest)发送给PDP实体；2、PDP实体根据PEP实体的访问控制决策请求，向PRP实体发送访问控制策略请求(AccessControlPolicyRequest)；3、PRP实体根据访问控制策略请求，获取适用的访问控制策略并返回给PDP。4、PDP实体根据PRP实体返回的访问控制策略评估访问控制决策请求，并将评估结果携带在访问控制决策响应中返回给PEP实体。在评估过程中，若需要其他属性，则向PIP实体发送访问控制属性请求，否则执行步骤6。5、PIP实体根据访问控制属性请求，获取与访问控制相关的属性并返回给PDP实体。6、PEP实体根据访问控制决策响应，决定是否执行用户的访问请求。在访问控制过程中，发起方有时会具有特权，如发起方的角色信息等，这样，PDP实体在对发起方的资源访问请求进行评估时，不仅要基于相应的访问控制策略，还需要考虑该发起方具有的特权。目前oneM2M中如何基于发起方具有的特权进行访问控制，还没有给出具体的实现方法。
技术实现思路
本专利技术实施例提供了一种访问控制方法和访问令牌颁发方法、设备，用于解决目前oneM2M中如何基于发起方具有的特权进行访问控制，还没有给出具体的实现方法的问题。本专利技术实施例提供的一种访问令牌颁发方法，包括：发起方向令牌颁发实体发送访问令牌申请请求，其中，所述访问令牌申请请求用于请求所述令牌颁发实体为所述发起方在访问控制过程需要使用的特权颁发访问令牌；所述发起方接收所述令牌颁发实体返回的访问令牌申请响应，以确定访问令牌是否颁发成功。可选的，所述发起方接收所述令牌颁发实体返回的访问令牌申请响应之后，所述方法还包括：所述发起方从与所述发起方关联的令牌资源中，获取所述访问令牌或者所述访问令牌中的特权信息，其中，所述特权信息用于表示发起方在访问控制过程能够使用的特权。本专利技术实施例提供的另一种访问令牌颁发方法，包括：令牌颁发实体接收发起方发送的访问令牌申请请求，其中，所述访问令牌申请请求用于请求所述令牌颁发实体为所述发起方在访问控制过程需要使用的特权颁发访问令牌；所述令牌颁发实体根据所述访问令牌申请请求，生成访问令牌，并向公共服务实体CSE发送令牌资源创建请求，以请求所述CSE为所述访问令牌创建与所述发起方关联的令牌资源；所述令牌颁发实体接收所述CSE返回的令牌资源创建响应，以确定所述CSE是否已完成所述令牌资源的创建；所述令牌颁发实体向所述发起方返回访问令牌申请响应，以通知所述发起方所述访问令牌是否颁发成功。可选的，所述令牌颁发实体接收所述发起方发送的访问令牌申请请求之后，还包括：所述令牌颁发实体根据本地保存的授权策略，确定是否同意所述发起方发送的访问令牌申请请求；或者所述令牌颁发实体通过特权授权功能实体，确定是否同意所述发起方发送的访问令牌申请请求。可选的，所述令牌颁发实体接收所述CSE返回的令牌资源创建响应之后，所述方法还包括：所述令牌颁发实体向所述CSE发送令牌资源修改请求，其中，所述令牌资源修改请求中携带所述令牌颁发实体重新为所述发起方颁发的访问令牌；所述令牌颁发实体接收所述CSE发送的令牌资源修改响应，以确定所述CSE是否已完成令牌资源的修改。本专利技术实施例提供的再一种访问令牌颁发方法，包括：公共服务实体CSE接收令牌颁发实体发送的令牌资源创建请求，其中，所述令牌资源创建请求用于请求所述CSE为所述令牌颁发实体颁发的访问令牌创建令牌资源；所述CSE根据令牌资源创建请求，创建与发起方关联的令牌资源；所述CSE向所述令牌颁发实体返回令牌资源创建响应，以通知所述令牌颁发实体所述CSE是否已完成所述令牌资源的创建。可选的，所述CSE接收令牌颁发实体发送的令牌资源创建请求之后，所述CSE创建本文档来自技高网...

【技术保护点】
一种访问令牌颁发方法，其特征在于，所述方法包括：发起方向令牌颁发实体发送访问令牌申请请求，其中，所述访问令牌申请请求用于请求所述令牌颁发实体为所述发起方在访问控制过程需要使用的特权颁发访问令牌；所述发起方接收所述令牌颁发实体返回的访问令牌申请响应，以确定访问令牌是否颁发成功。

【技术特征摘要】
1.一种访问令牌颁发方法，其特征在于，所述方法包括：发起方向令牌颁发实体发送访问令牌申请请求，其中，所述访问令牌申请请求用于请求所述令牌颁发实体为所述发起方在访问控制过程需要使用的特权颁发访问令牌；所述发起方接收所述令牌颁发实体返回的访问令牌申请响应，以确定访问令牌是否颁发成功。2.如权利要求1所述的方法，其特征在于，所述发起方接收所述令牌颁发实体返回的访问令牌申请响应之后，所述方法还包括：所述发起方从与所述发起方关联的令牌资源中，获取所述访问令牌或者所述访问令牌中的特权信息，其中，所述特权信息用于表示发起方在访问控制过程能够使用的特权。3.如权利要求1所述的方法，其特征在于，所述令牌资源具有：令牌标识属性，用于存储访问令牌的标识信息；令牌颁发者属性，用于存储访问令牌颁发者的标识信息；起始时间属性，用于存储访问令牌的有效期的起始时间；结束时间属性，用于存储访问令牌的有效期的结束时间；令牌值属性，用于存储访问令牌或访问令牌中的特权信息。4.如权利要求3所述的方法，其特征在于，所述令牌资源还具有以下至少一个属性：令牌类型属性，用于存储访问令牌的类型信息；令牌名字属性，用于存储访问令牌的可阅读名字；应用类别属性，用于存储访问令牌适用的应用类别。5.如权利要求2～4任一项所述的方法，其特征在于，所述令牌资源为所述发起方的注册资源的子资源。6.如权利要求2～4任一项所述的方法，其特征在于，所述访问令牌包括
\t以下内容：所述访问令牌的标识信息、所述访问令牌颁发者的标识信息、所述访问令牌所有者的标识信息、所述访问令牌的有效期的起始时间、所述访问令牌的有效期的结束时间、以及所述特权信息。7.如权利要求6所述的方法，其特征在于，所述访问令牌还包括以下至少一项内容：所述访问令牌的类型信息、所述访问令牌的可阅读名字、所述访问令牌适用的应用类别、以及应用系统定义的所述访问令牌的内容。8.一种访问令牌颁发方法，其特征在于，所述方法包括：令牌颁发实体接收发起方发送的访问令牌申请请求，其中，所述访问令牌申请请求用于请求所述令牌颁发实体为所述发起方在访问控制过程需要使用的特权颁发访问令牌；所述令牌颁发实体根据所述访问令牌申请请求，生成访问令牌，并向公共服务实体CSE发送令牌资源创建请求，以请求所述CSE为所述访问令牌创建与所述发起方关联的令牌资源；所述令牌颁发实体接收所述CSE返回的令牌资源创建响应，以确定所述CSE是否已完成所述令牌资源的创建；所述令牌颁发实体向所述发起方返回访问令牌申请响应，以通知所述发起方所述访问令牌是否颁发成功。9.如权利要求8所述的方法，其特征在于，所述令牌颁发实体接收所述发起方发送的访问令牌申请请求之后，还包括：所述令牌颁发实体根据本地保存的授权策略，确定是否同意所述发起方发送的访问令牌申请请求；或者所述令牌颁发实体通过特权授权功能实体，确定是否同意所述发起方发送的访问令牌申请请求。10.如权利要求8所述的方法，其特征在于，所述令牌资源具有：令牌标识属性，用于存储访问令牌的标识信息；令牌颁发者标识属性，用于存储访问令牌颁发者的标识信息；起始时间属性，用于存储访问令牌的有效期的起始时间；结束时间属性，用于存储访问令牌的有效期的结束时间；令牌值属性，用于存储访问令牌、或者访问令牌中的用于表示发起方在访问控制过程能够使用的特权的特权信息。11.如权利要求10所述的方法，其特征在于，所述令牌资源还具有以下至少一个属性：令牌类型属性，用于存储访问令牌的类型信息；令牌名字属性，用于存储访问令牌的可阅读名字；应用类别属性，用于存储访问令牌适用的应用类别。12.如权利要求8所述的方法，其特征在于，所述访问令牌包括以下内容：所述访问令牌的标识信息、所述访问令牌颁发者的标识信息、所述访问令牌所有者的标识信息、所述访问令牌的有效期的起始时间、所述访问令牌的有效期的结束时间、以及用于表示发起方在访问控制过程需要使用的特权的特权信息。13.如权利要求12所述的方法，其特征在于，所述访问令牌包括以下至少一项内容：所述访问令牌的类型信息、所述访问令牌的可阅读名字、所述访问令牌适用的应用类别、以及应用系统定义的所述访问令牌的内容。14.如权利要求8～13任一项所述的方法，其特征在于，所述令牌颁发实体接收所述CSE返回的令牌资源创建响应之后，所述方法还包括：所述令牌颁发实体向所述CSE发送令牌资源修改请求，其中，所述令牌资源修改请求中携带所述令牌颁发实体重新为所述发起方颁发的访问令牌；所述令牌颁发实体接收所述CSE发送的令牌资源修改响应，以确定所述CSE是否已完成令牌资源的修改。15.如权利要求8～13任一项所述的方法，其特征在于，所述令牌资源为所述发起方的注册资源的子资源。16.一种访问令牌颁发方法，其特征在于，所述方法包括：公共服务实体CSE接收令牌颁发实体发送的令牌资源创建请求，其中，所述令牌资源创建请求用于请求所述CSE为所述令牌颁发实体颁发的访问令牌创建令牌资源；所述CSE根据令牌资源创建请求，创建与发起方关联的令牌资源；所述CSE向所述令牌颁发实体返回令牌资源创建响应，以通知所述令牌颁发实体所述CSE是否已完成所述令牌资源的创建。17.如权利要求16所述的方法，其特征在于，所述CSE接收令牌颁发实体发送的令牌资源创建请求之后，所述CSE创建令牌资源之前，还包括：所述CSE根据与所述令牌颁发实体关联的访问控制策略，确定所述令牌颁发实体是否有权创建令牌资源；所述CSE根据令牌资源创建请求，创建令牌资源，包括：所述CSE在确定所述令牌颁发实体有权创建令牌资源时，根据令牌资源创建请求，创建所述令牌资源。18.如权利要求16所述的方法，其特征在于，所述令牌资源具有：令牌标识属性，用于存储访问令牌的标识信息；令牌颁发者标识属性，用于存储访问令牌颁发者的标识信息；起始时间属性，用于存储访问令牌的有效期的起始时间；结束时间属性，用于存储访问令牌的有效期的结束时间；令牌值属性，用于存储访问令牌、或者访问令牌中的用于表示发起方在访问控制过程能够使用的特权的特权信息。19.如权利要求18所述的方法，其特征在于，所述令牌资源还具有以下至少一个属性：令牌类型属性，用于存储访问令牌的类型信息；令牌名字属性，用于存储访问令牌的可阅读名字；应用类别属性，用于存储访问令牌适用的应用类别。20.如权利要求16所述的方法，其特征在于，所述访问令牌包括以下内容：所述访问令牌的标识信息、所述访问令牌颁发者的标识信息、所述访问令牌所有者的标识信息、所述访问令牌的有效期的起始时间、所述访问令牌的有效期的结束时间、以及用于表示发起方在访问控制过程需要使用的特权的特权信息。21.如权利要求20所述的方法，其特征在于，所述访问令牌包括以下至少一项内容：所述访问令牌的类型信息、所述访问令牌的可阅读名字、所述访问令牌适用的应用类别、以及应用系统定义的所述访问令牌的内容。22.如权利要求16～21任一项所述的方法，其特征在于，所述令牌资源为所述发起方的注册资源的子资源。23.如权利要求16～21任一项所述的方法，其特征在于，所述CSE向所述令牌颁发实体返回令牌资源创建响应之后，所述方法还包括：所述CSE接收所述令牌颁发实体发送的令牌资源修改请求其中，其中，所述令牌资源修改请求中携带所述令牌颁发实体重新为所述发起方颁发的访问令牌；所述CSE根据所述令牌资源修改请求，对需要修改的令牌资源进行修改；所述CSE向所述令牌颁发实体发送令牌资源修改响应，以通知所述令牌颁发实体所述CSE是否已完成令牌资源的修改。24.如权利要求16～21任一项所述的方法，其特征在于，所述CSE接收所述令牌颁发实体发送的令牌资源创建请求之后，还包括：所述CSE确定出与所述发起方需要访问的目标资源相关联的访问控制策略，并根据所述访问控制策略确定所述发起方是否有权创建令牌资源；所述CSE根据令牌资源创建请求，创建与发起方关联的令牌资源，包括：所述CSE在确定出所述发起方有权创建令牌资源后，根据令牌资源创建请求，创建所述发起方关联的令牌资源。25.一种访问控制方法，其特征在于，所述方法包括：策略决策点PDP实体接收策略执行点PEP实体发送的访问控制决策请求；所述PDP实体根据所述访问控制决策请求携带的发起方的令牌信息，获取所述令牌信息对应的访问令牌中的特权信息，并根据所述访问控制决策请求携带的所述发起方需要访问的目标资源，获取所述目标资源相关联的访问控制策略，其中，所述特权信息用于表示所述发起方在访问控制过程能够使用的特权；所述PDP实体根据访问控制策略和所述特权信息，评估所述访问控制决策请求，并将评估结果携带在访问控制决策响应中返回给所...

【专利技术属性】
技术研发人员：周巍，
申请(专利权)人：电信科学技术研究院，
类型：发明
国别省市：北京;11