1.一种角色颁发方法,其特征在于,包括:
公共服务实体CSE接收角色颁发实体发送的角色资源创建请求,所述角色资源创建请求中携带颁发给发起方实体的角色信息,所述角色信息至少包括角色标识;
所述CSE根据所述角色信息在所述发起方实体对应的资源下创建角色资源,所述角色资源为普通资源且存储有所述角色信息。
2.如权利要求1所述的方法,其特征在于,所述CSE根据所述角色信息在所述发起方实体对应的资源下创建角色资源后,还包括:
所述CSE接收所述角色颁发实体发送的角色资源修改请求,所述角色资源修改请求中携带重新颁发给所述发起方实体的角色信息;
根据重新颁发的所述角色信息修改所述角色资源中保存的角色信息。
3.如权利要求1或2所述的方法,其特征在于,所述方法还包括:
所述CSE接收所述发起方实体对所述角色资源的资源读取请求;
所述CSE向所述发起方实体返回资源读取响应,所述资源读取响应中携带所述角色信息。
4.如权利要求1或2所述的方法,其特征在于,所述CSE根据所述角色信息在所述发起方实体对应的资源下创建角色资源之前,还包括:
所述CSE根据所述发起方实体对应的资源的访问控制策略,确定允许所述角色颁发实体创建所述角色资源。
5.如权利要求2所述的方法,其特征在于,所述CSE根据重新颁发的所述角色信息修改所述角色资源中保存的角色信息之前,还包括:
所述CSE根据所述发起方实体对应的资源的访问控制策略,确定允许所述角色颁发实体修改所述角色资源。
6.如权利要求1或2所述的方法,其特征在于,所述角色资源具有普通资源的通用属性,还具有指定失效时间的公共属性以及签约子资源。
7.如权利要求6所述的方法,其特征在于,所述角色资源具有角色标识属性、角色颁发者标识属性、角色有效起始时间属性以及角色有效结束时间属性,所述角色标识属性用于保存角色标识,所述角色颁发者标识属性用于保存角色颁发者标识,所述角色有效起始时间属性用于保存角色有效起始时间,所述角色有效结束时间属性用于保存角色有效结束时间。
8.如权利要求7所述的方法,其特征在于,所述角色资源还具有角色类型属性、角色名字属性以及应用类别属性中的任意一种或多种,所述角色类型属性用于保存角色类型,所述角色名字属性用于保存角色可阅读名字,所述应用类别属性用于保存角色所属的应用类别。
9.一种角色颁发方法,其特征在于,包括:
角色颁发实体生成角色资源创建请求,所述角色资源创建请求中携带颁发给发起方实体的角色信息,所述角色信息至少包括角色标识;
所述角色颁发实体向公共服务实体CSE发送所述角色资源创建请求,由所述CSE根据所述角色信息在所述发起方实体对应的资源下创建角色资源,所述角色资源为普通资源且存储有所述发起方实体的角色信息。
10.如权利要求9所述的方法,其特征在于,所述CSE根据所述角色信息在所述发起方实体对应的资源下创建角色资源之后,还包括:
所述角色颁发实体将所述角色资源的地址信息的指示信息发送给所述发起方实体,以及将所述角色资源的地址信息的指示信息发送给所述策略决策点PDP实体和/或策略信息点PIP实体。
11.如权利要求9或10所述的方法,其特征在于,所述角色颁发实体向所述CSE发送所述角色资源创建请求之后,还包括:
所述角色颁发实体生成角色资源修改请求,所述角色资源修改请求中携带重新颁发给所述发起方实体的角色信息;
所述角色颁发实体向所述CSE发送所述角色资源修改请求。
12.如权利要求9所述的方法,其特征在于,所述角色资源具有普通资源 的通用属性,还具有指定失效时间的公共属性以及签约子资源。
13.如权利要求12所述的方法,其特征在于,所述角色资源具有角色标识属性、角色颁发者标识属性、角色有效起始时间属性以及角色有效结束时间属性,所述角色标识属性用于保存角色标识,所述角色颁发者标识属性用于保存角色颁发者标识,所述角色有效起始时间属性用于保存角色有效起始时间,所述角色有效结束时间属性用于保存角色有效结束时间。
14.如权利要求13所述的方法,其特征在于,所述角色资源还具有角色类型属性、角色名字属性以及应用类别属性中的任意一种或多种,所述角色类型属性用于保存角色类型,所述角色名字属性用于保存角色可阅读名字,所述应用类别属性用于保存角色所属的应用类别。
15.一种角色颁发方法,其特征在于,包括:
发起方实体向公共服务实体CSE发送对发起方实体对应的资源下的角色资源的资源读取请求,所述角色资源为普通资源且存储有所述发起方实体的角色信息;
所述发起方实体接收所述CSE返回的资源读取响应,所述资源读取响应中携带所述角色资源中保存的角色信息,所述角色信息至少包括角色标识。
16.如权利要求15所述的方法,其特征在于,所述角色资源具有普通资源的通用属性,还具有指定失效时间的公共属性以及签约子资源。
17.如权利要求16所述的方法,其特征在于,所述角色资源具有角色标识属性、角色颁发者标识属性、角色有效起始时间属性以及角色有效结束时间属性,所述角色标识属性用于保存角色标识,所述角色颁发者标识属性用于保存角色颁发者标识,所述角色有效起始时间属性用于保存角色有效起始时间,所述角色有效结束时间属性用于保存角色有效结束时间。
18.如权利要求17所述的方法,其特征在于,所述角色资源还具有角色类型属性、角色名字属性以及应用类别属性中的任意一种或多种,所述角色类型属性用于保存角色类型,所述角色名字属性用于保存角色可阅读名字,所述 应用类别属性用于保存角色所属的应用类别。
19.一种访问控制方法,其特征在于,包括:
策略执行点PEP实体获取发起方实体发送的资源访问请求,所述资源访问请求中携带所述发起方实体的角色信息,所述角色信息至少包括角色标识;
所述PEP实体根据所述资源访问请求生成访问控制决策请求,所述访问控制决策请求中携带所述发起方实体的角色信息;
所述PEP实体将所述访问控制决策请求发送给策略决策点PDP实体,由所述PDP实体根据所述角色信息查询所述发起方实体对应的角色资源获得查询结果,并由所述PDP实体根据所述查询结果以及访问控制策略确定决策结果,所述角色资源为普通资源且存储有所述发起方实体的角色信息;
所述PEP实体获取所述PDP实体返回的访问控制决策应答,所述访问控制决策应答中携带所述决策结果;
所述PEP根据所述决策结果对所述发起方实体的资源访问请求进行访问控制。
20.如权利要求19所述的方法,其特征在于,所述角色资源具有普通资源的通用属性,还具有指定失效时间的公共属性以及签约子资源。
21.如权利要求20所述的方法,其特征在于,所述角色资源具有角色标识属性、角色颁发者标识属性、角色有效起始时间属性以及角色有效结束时间属性,所述角色标识属性用于保存角色标识,所述角色颁发者标识属性用于保存角色颁发者标识,所述角色有效起始时间属性用于保存角色有效起始时间,所述角色有效结束时间属性用于保存角色有效结束时间。
22.如权利要求21所述的方法,其特征在于,所述角色资源还具有角色类型属性、角色名字属性以及应用类别属性中的任意一种或多种,所述角色类型属性用于保存角色类型,所述角色名字属性用于保存角色可阅读名字,所述应用类别属性用于保存角色所属的应用类别。
23.一种访问控制方法,其特征在于,包括:
策略决策点PDP实体接收策略执行点PEP实体发送的访问控制决策请求,所述访问控制决策请求中携带发起资源访问请求的发起方实体的角色信息,所述角色信息至少包括角色标识;
所述PDP实体根据所述角色标识查询所述发起方实体对应的角色资源获得查询结果,根据所述查询结果以及访问控制策略确定决策结果,所述角色资源为普通资源且存储有所述发起方实体的角色信息;
所述PDP实体向所述PEP实体返回访问控制决策应答,所述访问控制决策应答中携带所述决策结果。
24.如权利要求23所述的方法,其特征在于,所述PDP实体根据所述角色标识查询所述发起方实体对应的角色资源获得查询结果,包括:
所述PDP实体向公共服务实体CSE发送对所述发起方实体的角色资源的查询请求,并获得所述CSE返回的查询结果,所述查询请求中携带所述角色标识;
或者,
所述PDP实体向策略信息点PIP实体发送访问控制属性请求,所述访问控制属性请求中携带所述发起方实体的角色标识,并接收所述PIP实体返回的访问控制属性响应,所述访问控制属性响应中携带所述PIP实体根据所述角色标识查询所述发起方实体对应的角色资源获得的查询结果。
25.如权利要求24所述的方法,其特征在于,所述PDP实体根据所述查询结果以及访问控制策略确定决策结果,包括:
所述PDP实体若确定所述查询结果中携带所述角色资源中保存的角色信息,且根据所述角色信息确定所述角色标识有效,根据所述访问控制策略以及所述角色标识确定决策结果;
所述PDP实体若确定所述查询结果为空,根据所述访问控制策略确定决策结果为不允许所述发起方实体的资源访问请求;或者,若确定所述查询结果中携带所述角色资源中保存的角色信息,且根据所述角色信息确定所述角色标 识无效,根据所述访问控制策略确定决策结果为不允许所述发起方实体的资源访问请求。
26.如权利要求23-25任一项所述的方法,其特征在于,所述角色资源具有普通资源的通用属性,还具有指定失效时间的公共属性以及签约子资源。
27.如权利要求26所述的方法,其特征在于,所述角色资源具有角色标识属性、角色颁发者标识属性、角色有效起始时间属性以及角色有效结束时间属性,所述角色标识属性用于保存角色标识,所述角色颁发者标识属性用于保存角色颁发者标识,所述角色有效起始时间属性用于保存角色有效起始时间,所述角色有效结束时间属性用于保存角色有效结束时间。
28.如权利要求27所述的方法,其特征在于,所述角色资源还具有角色类型属性、角色名字属性以及应用类别属性中的任意一种或多种,所述角色类型属性用于保存角色类型,所述角色名字属性用于保存角色可阅读名字,所述应用类别属性用于保存角色所属的应用类别。
29.一种访问控制方法,其特征在于,包括:
策略信息点PIP实体接收策略决策点PDP实体发送的访问控制属性请求,所述访问控制属性请求中携带发起资源访问请求的发起方实体的角色信息,所述角色信息至少包括角色标识;
所述PIP实体根据所述角色标识向公共服务实体CSE查询所述发起方实体对应的角色资源并获取查询结果,所述角色资源为普通资源且存储有所述发起方实体的角色信息;
所述PIP实体向所述PDP实体返回访问控制属性响应,所述访问控制属性响应中携带所述查询结果。
30.如权利要求29所述的方法,其特征在于,所述角色资源具有普通资源的通用属性,还具有指定失效时间的公共属性以及签约子资源。
31.如权利要求30所述的方法,其特征在于,所述角色资源具有角色标识属性、角色颁发者标识属性、角色有效起始时间属性以及角色有效结束时间 属性,所述角色标识属性用于保存角色标识,所述角色颁发者标识属性用于保存角色颁发者标识,所述角色有效起始时间属性用于保存角色有效起始时间,所述角色有效结束时间属性用于保存角色有效结束时间。
32.如权利要求31所述的方法,其特征在于,所述角色资源还具有角色类型属性、角色名字属性以及应用类别属性中的任意一种或多种,所述角色类型属性用于保存角色类型,所述角色名字属性用于保存角色可阅读名字,所述应用类别属性用于保存角色所属的应用类别。
33.一种公共服务实体CSE,其特征在于,包括:
接收模块,用于接收角色颁发实体发送的角色资源创建请求,所述角色资源创建请求中携带颁发给发起方实体的角色信息,所述角色信息至少包括角色标识;
处理模块,用于根据所述角色信息在所述发起方实体对应的资源下创建角色资源,所述角色资源为普通资源且存储有所述角色信息。
34.如权利要求33所述的CSE,其特征在于,所述接收模块还用于:
在所述处理模块根据所述角色信息在所述发起方实体对应的资源下创建角色资源后,接收所述角色颁发实体发送的角色资源修改请求,所述角色资源修改请求中携带重新颁发给所述发起方实体的角色信息;
所述处理模块还用于:
根据重新颁发的所述角色信息修改所述角色资源中保存的角色信息。
35.如权利要求33或34所述的CSE,其特征在于,所述接收模块还用于:
接收所述发起方实体对所述角色资源的资源读取请求;
还包括第一发送模块,用于:
向所述发起方实体返回资源读取响应,所述资源读取响应中携带所述角色信息。
36.如权利要求33或34所述的CSE,其特征在于,所述处理模块还用于:
根据所述角色信息在所述发起方实体对应的资源下创建角色资源之前,根 据所述发起方实体对应的资源的访问控制策略,确定允许所述角色颁发实体创建所述角色资源。
37.如权利要求34所述的CSE,其特征在于,所述处理模块还用于:
根据重新颁发的所述角色信息修改所述角色资源中保存的角色信息之前,根据所述发起方实体对应的资源的访问控制策略,确定允许所述角色颁发实体修改所述角色资源。
38.一种角色颁发实体,其特征在于,包括:
处理模块,用于生成角色资源创建请求,所述角色资源创建请求中携带颁发给发起方实体的角色信息,所述角色信息至少包括角色标识;
发送模块,用于向公共服务实体CSE发送所述角色资源创建请求,由所述CSE根据所述角色信息在所述发起方实体对应的资源下创建角色资源,所述角色资源为普通资源且存储有所述发起方实体的角色信息。
39.如权利要求38所述的实体,其特征在于,所述发送模块还用于:
将所述角色资源的地址信息的指示信息发送给所述发起方实体,以及将所述角色资源的地址信息的指示信息发送给所述策略决策点PDP实体和/或策略信息点PIP实体。
40.如权利要求38或39所述的实体,其特征在于,所述处理模块还用于:
生成角色资源修改请求,所述角色资源修改请求中携带重新颁发给所述发起方实体的角色信息;
所述发送模块还用于:
向所述CSE发送所述角色资源修改请求。
41.一种发起方实体,其特征在于,包括:
发送模块,用于向公共服务实体CSE发送对发起方实体对应的资源下的角色资源的资源读取请求,所述角色资源为普通资源且存储有所述发起方实体的角色信息;
接收模块,用于接收所述CSE返回的资源读取响应,所述资源读取响应 中携带所述角色资源中保存的角色信息,所述角色信息至少包括角色标识。
42.一种策略执行点PEP实体,其特征在于,包括:
第一获取模块,用于获取发起方实体发送的资源访问请求,所述资源访问请求中携带所述发起方实体的角色信息,所述角色信息至少包括角色标识;
生成模块,用于根据所述获取模块获取的所述资源访问请求生成访问控制决策请求,所述访问控制决策请求中携带所述发起方实体的角色信息;
发送模块,用于将所述访问控制决策请求发送给策略决策点PDP实体,由所述PDP实体根据所述角色信息查询所述发起方实体对应的角色资源获得查询结果,并由所述PDP实体根据所述查询结果以及访问控制策略确定决策结果,所述角色资源为普通资源且存储有所述发起方实体的角色信息;
第二获取模块,用于获取所述PDP实体返回的访问控制决策应答,所述访问控制决策应答中携带所述决策结果;
访问控制模块,用于根据所述决策结果对所述发起方实体的资源访问请求进行访问控制。
43.一种策略决策点PDP实体,其特征在于,包括:
接收模块,用于接收策略执行点PEP实体发送的访问控制决策请求,所述访问控制决策请求中携带发起资源访问请求的发起方实体的角色信息,所述角色信息至少包括角色标识;
处理模块,用于根据所述角色标识查询所述发起方实体对应的角色资源获得查询结果,根据所述查询结果以及访问控制策略确定决策结果,所述角色资源为普通资源且存储有所述发起方实体的角色信息;
发送模块,用于向所述PEP实体返回访问控制决策应答,所述访问控制决策应答中携带所述决策结果。
44.如权利要求43所述的实体,其特征在于,所述处理模块具体用于:
通过所述发送模块向公共服务实体CSE发送对所述发起方实体的角色资源的查询请求,并通过所述接收模块获得所述CSE返回的查询结果,所述查 询请求中携带所述角色标识;
或者,
通过所述发送模块向策略信息点PIP实体发送访问控制属性请求,所述访问控制属性请求中携带所述发起方实体的角色标识,并通过所述接收模块接收所述PIP实体返回的访问控制属性响应,所述访问控制属性响应中携带所述PIP实体根据所述角色标识查询所述发起方实体对应的角色资源获得的查询结果。
45.如权利要求44所述的实体,其特征在于,所述处理模块具体用于:
若确定所述查询结果中携带所述角色资源中保存的角色信息,且根据所述角色信息确定所述角色标识有效,根据所述访问控制策略以及所述角色标识确定决策结果;
若确定所述查询结果为空,根据所述访问控制策略确定决策结果为不允许所述发起方实体的资源访问请求;或者,若确定所述查询结果中携带所述角色资源中保存的角色信息,且根据所述角色信息确定所述角色标识无效,根据所述访问控制策略确定决策结果为不允许所述发起方实体的资源访问请求。
46.一种策略信息点PIP实体,其特征在于,包括:
接收模块,用于接收策略决策点PDP实体发送的访问控制属性请求,所述访问控制属性请求中携带发起资源访问请求的发起方实体的角色信息,所述角色信息至少包括角色标识;
处理模块,用于根据所述角色标识向公共服务实体CSE查询所述发起方实体对应的角色资源并获取查询结果,所述角色资源为普通资源且存储有所述发起方实体的角色信息;
发送模块,用于向所述PDP实体返回访问控制属性响应,所述访问控制属性响应中携带所述查询结果。