The invention discloses an access control method and access token issuing method and equipment to solve the problem of present oneM2M how to privilege the initiator has based on access control, but also did not give the concrete realization method of the problem. The token issued methods include: the initiator entity sends the access token token issued by the application request, the access token request for request token issued by the entity for the initiator in the access control process requires the use of privileged access token issued; initiator access token issued by the entity receives the token returns the application response, to determine whether the access token issued successfully. The invention realizes dynamic access token issued, in order to enable the PDP entity to access control and access token based on the sponsor's request for access to a resource assessment, to determine whether to allow the sponsors of the target resource access.
【技术实现步骤摘要】
本专利技术涉及通信
,特别涉及一种访问控制方法和访问令牌颁发方法、设备。
技术介绍
物联网标准化组织oneM2M致力于开发用于构造一个公共的机器对机器通信(Machine-To-Machine,M2M)服务层(ServiceLayer)的技术规范。oneM2M的功能架构如图1所示,定义了三种基本实体:应用实体(ApplicationEntity,AE):应用实体位于应用层,该实体可实现一个M2M应用服务逻辑。公共服务实体(CommonServicesEntity,CSE):一个公共服务实体由一组M2M环境中的“公共服务功能(commonservicefunctions)”构成。底层网络服务实体(UnderlyingNetworkServicesEntity,NSE):一个网络服务实体向CSEs提供底层网络服务。oneM2M通过采用对标准的资源树的操作实现服务层资源共享和交互。根据oneM2MTS-0001中关于功能架构的定义,oneM2M资源树的形式如图2所示。其中,CSEBase1表示一个CSE根资源<CSEBase>,CSE1表示一个远程CSE<remoteCSE>资源,APP1表示一个<AE>资源,CONT1和CONT2分别代表一个容器<container>资源,ACP1和ACP2分别代表一个访问控制策略<accessControlPolicy>资源。对于oneM2M资源可进行创建、查询、修改和删除等操作。oneM2M定义的资源中与授权相关的资源为访问控制策略<accessCo ...
【技术保护点】
一种访问令牌颁发方法,其特征在于,所述方法包括:发起方向令牌颁发实体发送访问令牌申请请求,其中,所述访问令牌申请请求用于请求所述令牌颁发实体为所述发起方在访问控制过程需要使用的特权颁发访问令牌;所述发起方接收所述令牌颁发实体返回的访问令牌申请响应,以确定访问令牌是否颁发成功。
【技术特征摘要】
1.一种访问令牌颁发方法,其特征在于,所述方法包括:发起方向令牌颁发实体发送访问令牌申请请求,其中,所述访问令牌申请请求用于请求所述令牌颁发实体为所述发起方在访问控制过程需要使用的特权颁发访问令牌;所述发起方接收所述令牌颁发实体返回的访问令牌申请响应,以确定访问令牌是否颁发成功。2.如权利要求1所述的方法,其特征在于,所述发起方接收所述令牌颁发实体返回的访问令牌申请响应之后,所述方法还包括:所述发起方从与所述发起方关联的令牌资源中,获取所述访问令牌或者所述访问令牌中的特权信息,其中,所述特权信息用于表示发起方在访问控制过程能够使用的特权。3.如权利要求1所述的方法,其特征在于,所述令牌资源具有:令牌标识属性,用于存储访问令牌的标识信息;令牌颁发者属性,用于存储访问令牌颁发者的标识信息;起始时间属性,用于存储访问令牌的有效期的起始时间;结束时间属性,用于存储访问令牌的有效期的结束时间;令牌值属性,用于存储访问令牌或访问令牌中的特权信息。4.如权利要求3所述的方法,其特征在于,所述令牌资源还具有以下至少一个属性:令牌类型属性,用于存储访问令牌的类型信息;令牌名字属性,用于存储访问令牌的可阅读名字;应用类别属性,用于存储访问令牌适用的应用类别。5.如权利要求2~4任一项所述的方法,其特征在于,所述令牌资源为所述发起方的注册资源的子资源。6.如权利要求2~4任一项所述的方法,其特征在于,所述访问令牌包括
\t以下内容:所述访问令牌的标识信息、所述访问令牌颁发者的标识信息、所述访问令牌所有者的标识信息、所述访问令牌的有效期的起始时间、所述访问令牌的有效期的结束时间、以及所述特权信息。7.如权利要求6所述的方法,其特征在于,所述访问令牌还包括以下至少一项内容:所述访问令牌的类型信息、所述访问令牌的可阅读名字、所述访问令牌适用的应用类别、以及应用系统定义的所述访问令牌的内容。8.一种访问令牌颁发方法,其特征在于,所述方法包括:令牌颁发实体接收发起方发送的访问令牌申请请求,其中,所述访问令牌申请请求用于请求所述令牌颁发实体为所述发起方在访问控制过程需要使用的特权颁发访问令牌;所述令牌颁发实体根据所述访问令牌申请请求,生成访问令牌,并向公共服务实体CSE发送令牌资源创建请求,以请求所述CSE为所述访问令牌创建与所述发起方关联的令牌资源;所述令牌颁发实体接收所述CSE返回的令牌资源创建响应,以确定所述CSE是否已完成所述令牌资源的创建;所述令牌颁发实体向所述发起方返回访问令牌申请响应,以通知所述发起方所述访问令牌是否颁发成功。9.如权利要求8所述的方法,其特征在于,所述令牌颁发实体接收所述发起方发送的访问令牌申请请求之后,还包括:所述令牌颁发实体根据本地保存的授权策略,确定是否同意所述发起方发送的访问令牌申请请求;或者所述令牌颁发实体通过特权授权功能实体,确定是否同意所述发起方发送的访问令牌申请请求。10.如权利要求8所述的方法,其特征在于,所述令牌资源具有:令牌标识属性,用于存储访问令牌的标识信息;令牌颁发者标识属性,用于存储访问令牌颁发者的标识信息;起始时间属性,用于存储访问令牌的有效期的起始时间;结束时间属性,用于存储访问令牌的有效期的结束时间;令牌值属性,用于存储访问令牌、或者访问令牌中的用于表示发起方在访问控制过程能够使用的特权的特权信息。11.如权利要求10所述的方法,其特征在于,所述令牌资源还具有以下至少一个属性:令牌类型属性,用于存储访问令牌的类型信息;令牌名字属性,用于存储访问令牌的可阅读名字;应用类别属性,用于存储访问令牌适用的应用类别。12.如权利要求8所述的方法,其特征在于,所述访问令牌包括以下内容:所述访问令牌的标识信息、所述访问令牌颁发者的标识信息、所述访问令牌所有者的标识信息、所述访问令牌的有效期的起始时间、所述访问令牌的有效期的结束时间、以及用于表示发起方在访问控制过程需要使用的特权的特权信息。13.如权利要求12所述的方法,其特征在于,所述访问令牌包括以下至少一项内容:所述访问令牌的类型信息、所述访问令牌的可阅读名字、所述访问令牌适用的应用类别、以及应用系统定义的所述访问令牌的内容。14.如权利要求8~13任一项所述的方法,其特征在于,所述令牌颁发实体接收所述CSE返回的令牌资源创建响应之后,所述方法还包括:所述令牌颁发实体向所述CSE发送令牌资源修改请求,其中,所述令牌资源修改请求中携带所述令牌颁发实体重新为所述发起方颁发的访问令牌;所述令牌颁发实体接收所述CSE发送的令牌资源修改响应,以确定所述CSE是否已完成令牌资源的修改。15.如权利要求8~13任一项所述的方法,其特征在于,所述令牌资源为所述发起方的注册资源的子资源。16.一种访问令牌颁发方法,其特征在于,所述方法包括:公共服务实体CSE接收令牌颁发实体发送的令牌资源创建请求,其中,所述令牌资源创建请求用于请求所述CSE为所述令牌颁发实体颁发的访问令牌创建令牌资源;所述CSE根据令牌资源创建请求,创建与发起方关联的令牌资源;所述CSE向所述令牌颁发实体返回令牌资源创建响应,以通知所述令牌颁发实体所述CSE是否已完成所述令牌资源的创建。17.如权利要求16所述的方法,其特征在于,所述CSE接收令牌颁发实体发送的令牌资源创建请求之后,所述CSE创建令牌资源之前,还包括:所述CSE根据与所述令牌颁发实体关联的访问控制策略,确定所述令牌颁发实体是否有权创建令牌资源;所述CSE根据令牌资源创建请求,创建令牌资源,包括:所述CSE在确定所述令牌颁发实体有权创建令牌资源时,根据令牌资源创建请求,创建所述令牌资源。18.如权利要求16所述的方法,其特征在于,所述令牌资源具有:令牌标识属性,用于存储访问令牌的标识信息;令牌颁发者标识属性,用于存储访问令牌颁发者的标识信息;起始时间属性,用于存储访问令牌的有效期的起始时间;结束时间属性,用于存储访问令牌的有效期的结束时间;令牌值属性,用于存储访问令牌、或者访问令牌中的用于表示发起方在访问控制过程能够使用的特权的特权信息。19.如权利要求18所述的方法,其特征在于,所述令牌资源还具有以下至少一个属性:令牌类型属性,用于存储访问令牌的类型信息;令牌名字属性,用于存储访问令牌的可阅读名字;应用类别属性,用于存储访问令牌适用的应用类别。20.如权利要求16所述的方法,其特征在于,所述访问令牌包括以下内容:所述访问令牌的标识信息、所述访问令牌颁发者的标识信息、所述访问令牌所有者的标识信息、所述访问令牌的有效期的起始时间、所述访问令牌的有效期的结束时间、以及用于表示发起方在访问控制过程需要使用的特权的特权信息。21.如权利要求20所述的方法,其特征在于,所述访问令牌包括以下至少一项内容:所述访问令牌的类型信息、所述访问令牌的可阅读名字、所述访问令牌适用的应用类别、以及应用系统定义的所述访问令牌的内容。22.如权利要求16~21任一项所述的方法,其特征在于,所述令牌资源为所述发起方的注册资源的子资源。23.如权利要求16~21任一项所述的方法,其特征在于,所述CSE向所述令牌颁发实体返回令牌资源创建响应之后,所述方法还包括:所述CSE接收所述令牌颁发实体发送的令牌资源修改请求其中,其中,所述令牌资源修改请求中携带所述令牌颁发实体重新为所述发起方颁发的访问令牌;所述CSE根据所述令牌资源修改请求,对需要修改的令牌资源进行修改;所述CSE向所述令牌颁发实体发送令牌资源修改响应,以通知所述令牌颁发实体所述CSE是否已完成令牌资源的修改。24.如权利要求16~21任一项所述的方法,其特征在于,所述CSE接收所述令牌颁发实体发送的令牌资源创建请求之后,还包括:所述CSE确定出与所述发起方需要访问的目标资源相关联的访问控制策略,并根据所述访问控制策略确定所述发起方是否有权创建令牌资源;所述CSE根据令牌资源创建请求,创建与发起方关联的令牌资源,包括:所述CSE在确定出所述发起方有权创建令牌资源后,根据令牌资源创建请求,创建所述发起方关联的令牌资源。25.一种访问控制方法,其特征在于,所述方法包括:策略决策点PDP实体接收策略执行点PEP实体发送的访问控制决策请求;所述PDP实体根据所述访问控制决策请求携带的发起方的令牌信息,获取所述令牌信息对应的访问令牌中的特权信息,并根据所述访问控制决策请求携带的所述发起方需要访问的目标资源,获取所述目标资源相关联的访问控制策略,其中,所述特权信息用于表示所述发起方在访问控制过程能够使用的特权;所述PDP实体根据访问控制策略和所述特权信息,评估所述访问控制决策请求,并将评估结果携带在访问控制决策响应中返回给所...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。