一种资源访问的方法和装置制造方法及图纸

本发明专利技术涉及通信领域，提供了一种机器通信中资源访问的方法及装置。该机器通信中资源访问的方法包括：接收请求者资源对被访问资源的访问请求，其中所述访问请求包括所述被访问资源的标识、请求者资源标识和对被访问资源请求的操作；根据所述被访问资源的标识确定所述被访问资源；获取所述被访问资源的访问控制策略资源；确定所述请求者资源为所述访问控制策略资源中具有所述请求的操作的操作权限的群组资源标识对应的群组资源的群组成员；对所述被访问资源执行所述请求的操作。本发明专利技术通过判断请求者资源是否是具有操作权限的群组资源的群组成员，从而对资源实现基于群组的访问控制。

A method and device of resource access

The invention relates to the field of communication, and provides a method and device for accessing resources in machine communication. The method of resource access in the machine communication includes: receiving the access request of the requester resource to the accessed resource, wherein the access request includes the identification of the accessed resource, the identification of the requester resource and the operation of the accessed resource request; determining the accessed resource according to the identification of the accessed resource; obtaining the access control policy resource of the accessed resource ; determining that the requester resource is the group member of the group resource corresponding to the group resource identification of the group resource with the operation permission of the requested operation in the access control policy resource; performing the requested operation on the accessed resource. The invention realizes group based access control for resources by judging whether the requester resource is a group member of a group resource with operation authority.

【技术实现步骤摘要】
一种资源访问的方法和装置
本专利技术涉及信息
，尤其涉及一种资源访问的方法及装置。
技术介绍
机器通信(Machine-to-MachineCommunications,M2M)是一种以机器智能交互为核心的、网络化的应用与服务。它通过在机器内部嵌入无线或有线通信模块以及应用处理逻辑，实现用户对监控、指挥调度、数据采集和测量等方面的信息化需求。M2M系统中，各种M2M设备，如各种传感器，直接经过M2M网关接入到M2M业务平台，从而实现各种M2M业务。例如电力抄表、智能家居等。通过M2M业务平台所提供的业务能力，可以获取M2M设备采集的数据，或对M2M设备进行控制和管理。在现有的M2M规范中，采用RESTful(RepresentationalStateTransfer)的架构，任何M2M设备、M2M网关或M2M业务平台以及它们所提供的业务能力，都可以被抽象为资源并且具有唯一的资源标识，即URI(UniformResourceIdentifier)。每个被访问资源都可以设置相应的访问权限，通过引用一个访问控制策略资源,如accessRight资源或accessControlPolicy资源等来实现系统中对被访问资源的访问控制功能。后续以accessControlPolicy资源为例说明进行说明。被访问资源所属的设备收到originator对资源的请求消息时，根据该被访问资源的访问控制策略标识accessControlPolicyID去获取相应的访问控制策略资源，访问控制策略资源中的每一条访问控制规则都可以看作一个三元组，<accessControlOriginators、accessControlContexts、accessControlOperations>，其中accessControlOriginator表示具有操作权限的请求者资源标识(可能是某个CSE-ID、AE-ID或者是serviceProviderdomain，也可能是All)；accessControlOperations表示该条规则所允许的操作权限(可能包括Retrieve、Create、Update、Delete、Discovery和Notify中的一个或者多个)；accessControlContexts是可选的，定义了accessControlOriginator具有accessControlOperations中规定的操作权限的条件，例如在某个时间范围内，每个地理区域内等等。作为一种可选方式，accessControlContexts的取值可以为空，即不对操作权限的条件进行限制和描述。被访问资源所属的设备根据获取到的访问控制策略资源中的accessControlOriginator属性中是否包含请求者originator标识，以及accessControlOperations属性中是否包含originator对被访问资源请求的操作来判断originator是否具有对被访问资源的访问权限。只有两个条件都满足时才表示originator通过了访问控制权限检查。现有技术中，<accessControlOriginators>只针对访问被访问资源的请求者资源而设定，因此，当多个请求者资源都需要访问被访问资源时，需要在访问控制策略资源中为该多个请求者资源分别设置相应的权限。也就是说，如果当一个群组的群组成员对同一个被访问资源具有相同的操作权限时，需要为每个群组成员单独配置相同的访问控制权限。从而使得访问控制策略资源包括的内容冗长，且所述访问控制策略资源所属的设备对所述访问控制策略资源的创建和更新过程非常复杂。此外，直接在所述访问控制策略资源中增加群组资源标识以及相应的权限，则由于访问所述被访问资源的请求设备并不是群组设备而无法确认请求设备具有的权限，从而无法确保请求设备对被访问资源进行访问的权限控制。
技术实现思路
本专利技术实施例提供了一种应用于M2M系统中的资源访问方法及装置，能够充分利用群组的集合功能，对被访问资源实现基于群组的访问控制。第一方面，本专利技术提供一种资源访问的方法，所述方法应用于机器通信M2M系统中，包括：接收请求者资源对被访问资源的访问请求，其中所述访问请求包括所述被访问资源的标识、请求者资源标识和对被访问资源请求的操作；根据所述被访问资源的标识确定所述被访问资源；获取所述被访问资源的访问控制策略资源；确定所述请求者资源为所述访问控制策略资源中具有所述请求的操作的操作权限的群组资源标识对应的群组资源的群组成员；对所述被访问资源执行所述请求的操作。结合第一方面，所述确定所述请求者资源为所述访问控制策略资源中具有所述请求的操作的操作权限的群组资源标识对应的群组资源的群组成员，具体为：确定所述访问控制策略资源中存在具有所述请求的操作的操作权限的群组资源标识，确定所述请求者资源为所述确定的群组资源标识对应的群组资源的群组成员；或者确定所述访问控制策略资源中存在群组资源标识，确定所述请求者资源为所述确定的群组资源标识对应的群组资源的群组成员，且所述确定的群组资源标识对应的操作权限为所述请求的操作。结合第一方面的上述所有可能实现方式，所述确定所述请求者资源为所述确定的群组资源标识对应的群组资源的群组成员，具体为：获取所述请求者资源的所属群组资源标识列表，确定所述所属群组资源标识列表包含所述具有所述请求的操作的操作权限的群组资源标识；或获取所述具有所述请求的操作的操作权限的群组资源标识对应的群组资源的成员列表，确定所述成员列表包含所述请求者资源标识。结合第一方面的上述所有可能实现方式，所述获取所述请求者资源的所属群组资源标识列表，具体为：根据所述请求者资源标识，向所述请求者资源发送获取请求者资源的所属群组资源标识列表的请求消息，接收所述请求者资源返回的所述所属群组资源标识列表；或者所述访问请求还包括所述请求者资源的所属群组资源标识列表，获取所述访问请求中的所述所属群组资源标识列表。结合第一方面的上述所有可能实现方式，在所述确定所述请求者资源为所述访问控制策略资源中具有所述请求的操作的操作权限的群组资源标识对应的群组资源的群组成员之前，所述方法还包括：确定所述访问控制策略资源中不存在所述请求者资源标识；或者确定所述访问控制策略资源中存在所述请求者资源标识，以及确定所述请求者资源标识对应的操作权限不包含所述请求的操作。第二方面，本专利技术提供一种配置资源所属群组资源标识列表的方法，包括：接收增加群组成员的操作请求，所述增加群组成员的操作请求包含群组资源标识和新加入的群组成员的标识，其中所述群组资源标识指示所述新加入的群组成员的标识对应的群组成员待加入的群组资源；确定所述群组资源包含通知群组成员标识；在所述群组资源的成员列表中增加所述新加入的群组成员的标识的过程中，向所述新加入的群组成员的标识对应的群组成员发送更新所属群组资源标识列表的第一请求消息；本文档来自技高网...

【技术保护点】
1.一种资源访问的方法，所述方法应用于机器通信M2M系统中，其特征在于，包括：/n接收请求者资源对被访问资源的访问请求，其中所述访问请求包括所述被访问资源的标识、请求者资源标识和对被访问资源请求的操作；/n根据所述被访问资源的标识确定所述被访问资源；/n获取所述被访问资源的访问控制策略资源，所述访问控制策略资源包括群组资源标识和所述群组资源标识对应的操作权限；/n确定所述请求者资源为所述群组资源标识对应的群组资源的群组成员，且所述群组资源标识对应的操作权限包括所述请求的操作；/n对所述被访问资源执行所述请求的操作。/n

【技术特征摘要】
1.一种资源访问的方法，所述方法应用于机器通信M2M系统中，其特征在于，包括：
接收请求者资源对被访问资源的访问请求，其中所述访问请求包括所述被访问资源的标识、请求者资源标识和对被访问资源请求的操作；
根据所述被访问资源的标识确定所述被访问资源；
获取所述被访问资源的访问控制策略资源，所述访问控制策略资源包括群组资源标识和所述群组资源标识对应的操作权限；
确定所述请求者资源为所述群组资源标识对应的群组资源的群组成员，且所述群组资源标识对应的操作权限包括所述请求的操作；
对所述被访问资源执行所述请求的操作。


2.如权利要求1所述的方法，其特征在于，确定所述请求者资源为所述群组资源标识对应的群组资源的群组成员，且所述群组资源标识对应的操作权限包括所述请求的操作，具体为：
确定所述访问控制策略资源中存在具有所述请求的操作的操作权限的群组资源标识，确定所述请求者资源为所述确定的群组资源标识对应的群组资源的群组成员；或者
确定所述访问控制策略资源中存在群组资源标识，确定所述请求者资源为所述确定的群组资源标识对应的群组资源的群组成员，且所述确定的群组资源标识对应的操作权限为所述请求的操作。


3.如权利要求2所述的方法，其特征在于，所述确定所述请求者资源为所述确定的群组资源标识对应的群组资源的群组成员，具体为：
获取所述请求者资源的所属群组资源标识列表，确定所述所属群组资源标识列表包含所述具有所述请求的操作的操作权限的群组资源标识；或
获取所述具有所述请求的操作的操作权限的群组资源标识对应的群组资源的成员列表，确定所述成员列表包含所述请求者资源标识。


4.如权利要求3所述的方法，其特征在于，所述获取所述请求者资源的所属群组资源标识列表，具体为：
根据所述请求者资源标识，向所述请求者资源发送获取请求者资源的所属群组资源标识列表的请求消息，接收所述请求者资源返回的所述所属群组资源标识列表；或者
所述访问请求还包括所述请求者资源的所属群组资源标识列表，获取所述访问请求中的所述所属群组资源标识列表。


5.如权利要求1-4任一所述的方法，其特征在于，在所述确定所述请求者资源为所述访问控制策略资源中具有所述请求的操作的操作权限的群组资源标识对应的群组资源的群组成员之前，所述方法还包括：
确定所述访问控制策略资源中不存在所述请求者资源标识；或者
确定所述访问控制策略资源中存在所述请求者资源标识，以及确定所述请求者资源标识对应的操作权限不包含所述请求的操作。


6.一种配置资源所属群组资源标识列表的方法，所述方法应用于机器通信M2M系统中，其特征在于，包括：
接收增加群组成员的操作请求，所述增加群组成员的操作请求包含群组资源标识和新加入的群组成员的标识，其中所述群组资源标识指示所述新加入的群组成员的标识对应的群组成员待加入的群组资源；
确定所述群组资源包含通知群组成员标识；
在所述群组资源的成员列表中增加所述新加入的群组成员的标识的过程中，向所述新加入的群组成员的标识对应的群组成员发送更新所属群组资源标识列表的第一请求消息；其中，所述第一请求消息包括所述群组资源标识和指示新增所述群组资源标识的信息，所述第一请求消息指示所述新加入的群组成员的标识对应的群组成员将所述群组资源标识增加到自身的所属群组资源标识列表中。


7.如权利要求6所述的方法，其特征在于，在所述接收增加群组成员的操作请求之前，所述方法还包括：
接收创建群组资源的操作请求，所述创建群组资源的操作请求中包括所述通知群组成员标识和所述群组资源的成员列表；
根据所述创建群组资源的操作请求，创建所述群组资源，生成所述群组资源标识；其中，所述群组资源包含所述通知群组成员标识以及所述群组资源的成员列表；
向所述群组资源的成员列表中的各群组成员发送更新所属群组资源标识列表的第一请求消息，其中，所述第一请求消息包括所述群组资源标识和指示新增所述群组资源标识的信息，所述第一请求消息指示所述群组资源的成员列表中的各群组成员将所述群组资源标识增加到自身的所属群组资源标识列表中。


8.如权利要求6-7任一所述的方法，其特征在于，该方法进一步包括：
接收删除群组成员的操作请求，所述删除群组成员的操作请求包含所述群组资源标识和需删除的群组成员的标识；
确定所述群组资源包含所述通知群组成员标识；
在所述群组资源的成员列表中删除所述需删除的群组成员的标识的过程中，向所述需删除的群组成员的标识对应的群组成员发送更新所属群组资源标识列表的第二请求消息，其中，所述第二请求消息包括所述群组资源标识和指示删除所述群组资源标识的信息，所述第二请求消息指示所述需删除的群组成员的标识对应的群组成员将所述群组资源标识从自身的所属群组资源标识列表中删除。


9.如权利要求6-8任一所述的方法，其特征在于，所述方法还包括
接收群组资源被引用的通知消息，所述群组资源被引用的通知消息包括所述群组资源标识和引用所述群组资源的访问控制策略资源标识；
在所述群组资源中记录所述访问控制策略资源标识。

【专利技术属性】
技术研发人员：高莹，殷佳欣，张永靖，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44