[发明专利]资源访问控制方法及装置

权利要求书

1.一种资源访问控制方法，其特征在于，包括：

策略决策点PDP接收策略执行点PEP发送的访问控制决策请求，所述访问控制决策请求由所述PEP根据授权决策资源生成，所述授权决策资源用于定义所述访问控制决策请求中包含的需要请求的访问控制决策信息，其中，所述授权决策资源中包括一个或多个属性，和/或包括一个或多个子资源，所述一个或多个属性至少包括用于生成返回结果指示信息的属性，以及用于生成资源访问过滤条件的属性中的一个；

所述PDP根据所述访问控制决策请求进行访问控制决策，得到访问控制决策信息；

所述PDP将所述访问控制决策信息携带于访问控制决策响应发送给所述PEP。

2.如权利要求1所述的方法，其特征在于，所述访问控制决策请求中包含：

返回结果指示信息，用于指示所述访问控制决策请求所请求返回的参数，所述返回结果指示信息根据所述授权决策资源的属性和/或子资源生成；和/或，

资源访问过滤条件，用于指示资源操作的过滤条件，所述资源访问过滤条件根据所述授权决策资源的属性和/或子资源生成。

3.如权利要求2所述的方法，其特征在于，所述授权决策资源中用于生成返回结果指示信息的属性包括以下之一或任意组合：

决策属性，用于承载访问控制决策信息；

允许访问的属性，用于承载允许访问的目标资源的属性名称，所述目标资源为资源访问发起方请求访问的目标资源；

允许访问的资源类型，用于承载允许访问的目标资源的子资源类型标识，所述目标资源为资源访问发起方请求访问的目标资源；

状态属性，用于承载描述访问控制决策过程出现的错误。

4.如权利要求2所述的方法，其特征在于，所述授权决策资源中用于生成资源访问过滤条件的属性包括以下之一或任意组合：

目标属性，用于承载资源访问发起方请求访问的目标资源的资源地址；

发起方属性，用于承载资源访问发起方的标识；

操作属性，用于承载资源访问发起方对请求访问的目标资源的操作标识；

内容属性，用于承载资源访问发起方请求访问的目标资源的具体内容；

过滤条件用途属性，用于承载资源访问发起方提供的资源访问过滤条件中表示过滤条件用途的参数；

角色标识属性，用于承载一组颁发给资源访问发起方的角色的标识；

令牌标识属性，用于承载一组颁发给资源访问发起方的携带有授权信息的令牌的标识；

令牌属性，用于承载一组颁发给资源访问发起方的携带有授权信息的令牌；

请求时间属性，用于承载所述PEP接收到资源访问发起方发送的资源访问请求的时间；

位置属性，用于承载资源访问发起方的位置；

请求方IP地址属性，用于承载资源访问发起方发送的资源访问请求中携带的IP地址。

5.如权利要求1所述的方法，其特征在于，所述PDP根据所述访问控制决策请求进行访问控制决策之前，还包括：

所述PDP根据所述访问控制决策请求，向策略获取点PRP发送访问控制策略请求，所述访问控制策略请求由所述PDP根据授权策略资源生成；其中，所述授权策略资源用于定义所述访问控制策略请求中包含的需要请求的访问控制策略信息，所述授权策略资源中包括一个或多个属性，和/或包括一个或多个子资源，所述一个或多个属性至少包括用于生成返回结果指示信息的属性，以及用于生成资源访问过滤条件的属性中的一个；

所述PDP接收所述PRP返回的访问控制策略响应，所述访问控制策略响应中包含所述PRP根据所述访问控制决策请求获取到的访问控制策略；

所述进行访问控制决策，包括：

根据获取到的访问控制策略进行访问控制决策。

6.如权利要求5所述的方法，其特征在于，所述访问控制策略请求中包含：

返回结果指示信息，用于指示所述访问控制策略请求所请求返回的参数，所述返回结果指示信息根据所述授权策略资源的属性和/或子资源生成；和/或，

资源访问过滤条件，用于指示资源操作的过滤条件，所述资源访问过滤条件根据所述授权策略资源的属性和/或子资源生成。