[发明专利]资源访问控制方法及装置

说明书

本发明公开了资源访问控制方法及装置。本发明中，授权实体根据新定义的资源，比如授权决策资源、授权策略资源或授权信息资源，生成资源访问控制过程中的请求消息，从而从其他授权实体获取需要的信息，在资源结构层面给出了资源访问控制方案。

技术领域

本发明涉及通信技术领域，尤其涉及资源访问控制方法及装置。

背景技术

物联网标准化组织oneM2M致力于开发一系列用于构造公共的M2M(Machine-To-Machine，机器对机器通信)服务层的技术规范。oneM2M的核心是数据共享，具体是通过oneM2M CSE(Common Services Entity，公共服务实体)内定义的资源树上的数据项的共享实现的。

oneM2M通过对标准化的资源树进行操作来实现服务层资源的共享和交互，oneM2M资源树存在于oneM2M系统所定义的CSE中。根据oneM2M功能架构规范(oneM2M TS-0001:Functional Architecture)中的定义，oneM2M资源树的形式如图1所示。对oneM2M资源可进行创建(Create)、查询(Retrieve)、修改(Update)和删除(Delete)等操作。

oneM2M所定义的资源中与授权相关的资源是访问控制策略资源accessControlPolicy，其中定义有ACP(Access Control Policy，访问控制策略)。accessControlPolicy资源由资源ID唯一标识，其他资源通过accessControlPolicyIDs属性指定所适用的访问控制策略。

目前，oneM2M系列规范中的安全规范(oneM2M TS-0003:Security Solutions)给出了oneM2M授权架构的高层描述，具体给出了授权架构的主要组成部分和基本流程，但尚未在资源结构层面给出具体的实现方案。

发明内容

本发明实施例提供了一种资源访问控制方法及装置，在资源结构层面给出了资源访问控制方案。

本发明实施例提供的资源访问控制方法，包括：

PDP接收PEP发送的访问控制决策请求，所述访问控制决策请求由所述PEP根据授权决策资源生成；

所述PDP根据所述访问控制决策请求进行访问控制决策，得到访问控制决策信息；

所述PDP将所述访问控制决策信息携带于访问控制决策响应发送给所述PEP。

优选地，所述访问控制决策请求中包含：

返回结果指示信息，用于指示所述访问控制决策请求所请求返回的参数，所述返回结果指示信息根据所述授权决策资源的属性和/或子资源生成；和/或，

资源访问过滤条件，用于指示资源操作的过滤条件，所述资源访问过滤条件根据所述授权决策资源的属性和/或子资源生成。

其中，所述授权决策资源中用于生成返回结果指示信息的属性包括以下之一或任意组合：

决策属性，用于承载访问控制决策信息；

允许访问的属性，用于承载允许访问的目标资源的属性名称，所述目标资源为资源访问发起方请求访问的目标资源；

允许访问的资源类型，用于承载允许访问的目标资源的子资源类型标识，所述目标资源为资源访问发起方请求访问的目标资源；

状态属性，用于承载描述访问控制决策过程出现的错误。

其中，所述授权决策资源中用于生成资源访问过滤条件的属性包括以下之一或任意组合：

目标属性，用于承载资源访问发起方请求访问的目标资源的资源地址；