一种资源访问的方法和装置的制造方法
【技术领域】
[0001] 本发明涉及信息技术领域,尤其涉及一种资源访问的方法及装置。
【背景技术】
[0002] 机器通信(Machine-t〇-Machine Communications, M2M)是一种 W机器智能交互为 核必的、网络化的应用与服务。它通过在机器内部嵌入无线或有线通信模块W及应用处理 逻辑,实现用户对监控、指挥调度、数据采集和测量等方面的信息化需求。M2M系统中,各种 M2M设备,如各种传感器,直接经过M2M网关接入到M2M业务平台,从而实现各种M2M业务。 例如电力抄表、智能家居等。通过M2M业务平台所提供的业务能力,可W获取M2M设备采集 的数据,或对M2M设备进行控制和管理。
[0003] 在现有的 M2M 规范中,采用 RESTful (Representational State Transfer)的架 构,任何M2M设备、M2M网关或M2M业务平台W及它们所提供的业务能力,都可W被抽象 为资源并且具有唯一的资源标识,即URlOJniform Resource Identifier)。每个被访问 资源都可W设置相应的访问权限,通过引用一个访问控制策略资源,如access化曲t资 源或accessControlPolicy资源等来实现系统中对被访问资源的访问控制功能。后续W accessControl化Iixy资源为例说明进行说明。
[0004] 被访问资源所属的设备收到originator对资源的请求消息时,根据该被访问资源 的访问控制策略标识accessControlPolicyID去获取相应的访问控制策略资源,访问控制 策略资源中的每一条访问控制规则都可W看作一个H元组,〈accessControlOriginators、 曰ccessControlContexts、曰ccessControlOper曰tions〉,其中曰ccessControlOrigin曰tor 表 示具有操作权限的请求者资源标识(可能是某个CSE-ID、AE-ID或者是serviceProvider domain,也可能是All) ;accessCont;rolOperations表示该条规则所允许的操作权 限(可能包括 Retrieve、Create、Update、Delete、DiscoveiT 和 Notify 中的一个或 者多个);accessControlContexts 是可选的,定义了 accessControlOriginator 具 有accessControl化erations中规定的操作权限的条件,例如在某个时间范围内,每个 地理区域内等等。作为一种可选方式,accessControlContexts的取值可W为空,即不 对操作权限的条件进行限制和描述。被访问资源所属的设备根据获取到的访问控制策 略资源中的accessControlOriginator属性中是否包含请求者originator标识,W 及accessControlOperations属性中是否包含originator对被访问资源请求的操作来 判断originator是否具有对被访问资源的访问权限。只有两个条件都满足时才表示 originator通过了访问控制权限检查。
[0005] 现有技术中,〈accessControl化iginators〉只针对访问被访问资源的请求者资源 而设定,因此,当多个请求者资源都需要访问被访问资源时,需要在访问控制策略资源中为 该多个请求者资源分别设置相应的权限。也就是说,如果当一个群组的群组成员对同一个 被访问资源具有相同的操作权限时,需要为每个群组成员单独配置相同的访问控制权限。 从而使得访问控制策略资源包括的内容兀长,且所述访问控制策略资源所属的设备对所述 访问控制策略资源的创建和更新过程非常复杂。此外,直接在所述访问控制策略资源中增 加群组资源标识W及相应的权限,则由于访问所述被访问资源的请求设备并不是群组设备 而无法确认请求设备具有的权限,从而无法确保请求设备对被访问资源进行访问的权限控 制。
【发明内容】
[0006] 本发明实施例提供了一种应用于M2M系统中的资源访问方法及装置,能够充分利 用群组的集合功能,对被访问资源实现基于群组的访问控制。
[0007] 第一方面,本发明提供一种资源访问的方法,所述方法应用于机器通信M2M系统 中,包括:
[0008] 接收请求者资源对被访问资源的访问请求,其中所述访问请求包括所述被访问资 源的标识、请求者资源标识和对被访问资源请求的操作;
[0009] 根据所述被访问资源的标识确定所述被访问资源;
[0010] 获取所述被访问资源的访问控制策略资源;
[0011] 确定所述请求者资源为所述访问控制策略资源中具有所述请求的操作的操作权 限的群组资源标识对应的群组资源的群组成员;
[0012] 对所述被访问资源执行所述请求的操作。
[0013] 结合第一方面,所述确定所述请求者资源为所述访问控制策略资源中具有所述请 求的操作的操作权限的群组资源标识对应的群组资源的群组成员,具体为;确定所述访问 控制策略资源中存在具有所述请求的操作的操作权限的群组资源标识,确定所述请求者资 源为所述确定的群组资源标识对应的群组资源的群组成员;或者
[0014] 确定所述访问控制策略资源中存在群组资源标识,确定所述请求者资源为所述确 定的群组资源标识对应的群组资源的群组成员,且所述确定的群组资源标识对应的操作权 限为所述请求的操作。
[0015] 结合第一方面的上述所有可能实现方式,所述确定所述请求者资源为所述确定的 群组资源标识对应的群组资源的群组成员,具体为:
[0016] 获取所述请求者资源的所属群组资源标识列表,确定所述所属群组资源标识列表 包含所述具有所述请求的操作的操作权限的群组资源标识;或
[0017] 获取所述具有所述请求的操作的操作权限的群组资源标识对应的群组资源的成 员列表,确定所述成员列表包含所述请求者资源标识。
[0018] 结合第一方面的上述所有可能实现方式,所述获取所述请求者资源的所属群组资 源标识列表,具体为:
[0019] 根据所述请求者资源标识,向所述请求者资源发送获取请求者资源的所属群组资 源标识列表的请求消息,接收所述请求者资源返回的所述所属群组资源标识列表;或者
[0020] 所述访问请求还包括所述请求者资源的所属群组资源标识列表,获取所述访问请 求中的所述所属群组资源标识列表。
[0021] 结合第一方面的上述所有可能实现方式,在所述确定所述请求者资源为所述访问 控制策略资源中具有所述请求的操作的操作权限的群组资源标识对应的群组资源的群组 成员之前,所述方法还包括:
[0022] 确定所述访问控制策略资源中不存在所述请求者资源标识;或者
[0023] 确定所述访问控制策略资源中存在所述请求者资源标识,W及确定所述请求者资 源标识对应的操作权限不包含所述请求的操作。
[0024] 第二方面,本发明提供一种配置资源所属群组资源标识列表的方法,包括:
[0025] 接收增加群组成员的操作请求,所述增加群组成员的操作请求包含群组资源标识 和新加入的群组成员的标识,其中所述群组资源标识指示所述新加入的群组成员的标识对 应的群组成员待加入的群组资源;
[0026] 确定所述群组资源包含通知群组成员标识;
[0027] 在所述群组资源的成员列表中增加所述新加入的群组成员的标识的过程中,向所 述新加入的群组成员的标识对应的群组成员发送更新所属群组资源标识列表的第一请求 消息;其中,所述第一请求消息包括所述群组资源标识和指示新增所述群组资源标识的信 息,所述第一请求消息指示所述新加入的群组成员的标识对应的群组成员将所述群组资源 标识增加到自身的所属群组资源标识列表中。
[0028] 结合第二方面,在所述接收增加群组成员的操作请求之前,所述方法还包括:
[0029] 接收创建群组资源的操作请求,所述创建群组资源的操作请求中包括所述通知群 组成员标识和所述群组资源的成员列表;
[0030] 根据所述创建群组资源的操作请求,创建所述群组资源,生成所述群组资源标识; 其中,所述群组资源包含所述通知群组成员标识W及所述群组资源的成员列表;
[0031] 向所述群组资源的成员列表中的各群组成员发送更新所属群组资源标识列表的 第一请求消息,其中,所述第一请求消息包括所述群组资源标识和指示新增所述群组资源 标识的信息,所述第一请求消息指示所述群组资源的成员列表中的各群组成员将所述群组 资源标识增加到自身的所属群组资源标识列表中。
[0032] 结合第二方面的上述所有可能实现方式,该方法进一步包括:接收删除群组成员 的操作请求,所述删除群组成员的操作请求包含所述群组资源标识和需删除的群组成员的 标识;
[0033] 确定所述群组资源包含所述通知群组成员标识;
[0034] 在所述群组资源的成员列表中删除所述需删除的群组成员的标识的过程中,向所 述需删除的群组成员的标识对应的群组成员发送更新所属群组资源标识列表的第二请求 消息,其中,所述第二请求消息包括所述群组资源标识和指示删除所述群组资源标识的信 息,所述第二请求消息指示所述需删除的群组成员的标识对应的群组成员将所述群组资源 标识从自身的所属群组资源标识列表中删除。
[0035] 结合第二方面的上述所有可能实现方式,所述方法还包括
[0036] 接收群组资源被引用的通知消息,所述群组资源被引用的通知消息包括所述群组 资源标识和引用所述群组资源的访问控制策略资源标识;
[0037] 在所述群组资源中记录所述访问控制策略资源标识。
[0038] 结合第二方面的上述所有可能实现方式,所述方法还包括;接收删除群组资源的 操作请求,所述删除群组资源的操作请求中携带所述群组资源标识;
[0039] 在删除所述群组资源的过程中,向所述群组资源的成员列表中的各群组成员发送 更新所属群组资源标识列表的第二请求消息,所述第二请求消息包括所述群组资源标识和 指示删除所述群组资源标识的信息,所述第二请求消息指示所述群组资源的成员列表中的 各群组成员将所述群组资源标识从自身的所属群组资源标识列表中删除。
[0040] 结合第二方面的上述所有可能实现方式,在所述删除所述群组资源之前,所述方 法还包括:
[0041] 确定所述群组资源包含所述访问控制策略资源标识;
[0042] 向所述访问控制策略资源标识对应的访问控制策略资源发送群组资源被删除的 通知消息,指示所述群组资源已经被删除。
[0043] 第H方面,本发明提供一种对访问控制策略资源的操作方法,包括:
[0044] 接收访问控制策略资源的创建请求,所述创建请求中包括群组资源标识W及与所 述群组资源标识对应的操作权限;所述与所述群组资源标识对应的操作权限具体为:所述 群组资源标识对应的群组资源的群组成员的操作权限;
[0045] 确定所述群组资源标识对应的群组资源包含通知群组成员标识,所述通知群组成 员标识指示所述群组资源的群组成员具有所属群组资源标识列表;
[0046] 根据所述创建请求创建访问控制策略资源,生成访问控制策略资源标识;其中,所 述访问控制策略资源包括所述群组资源标识W及所述与所述群组资源标识对应的操作权 限。
[0047] 结合第H方面,在所述创建访问控制策略资源之后,所述方法还包括:
[0048] 接收访问控制策略资源的更新请求,所述访问控制策略资源的更新请求中包括在 所述访问控制策略资源中需增加的群组资源标识和与所述需增加的群资源标识对应的操 作权限;
[0049] 确定所述需增加的群组资源标识对应的群组资源包含所述通知群组成员标识;
[0050] 将所述需增加的群组资源标识W及与所述需增加的群资源标识对应的操作权限 增加到所述访问控制策略资源中。
[0051] 结合第H方面的上述所有可能实现方式,所述方法进一步还包括;向群组服务器 发送群组资源被引用的通知消息,所述群组资源被引用的通知消息包括所述访问控制策略 资源标识W及在所述访问控制策略资源中被引用的群组资源标识。
[0052] 结合第H方面的上述所有可能实现方式,所述方法还包括;接收所述群组服务器 发送的群组资源被删除的通知消息,所述群组资源被删除的通知消息中包含被删除的群组 资源标识W及所述访问控制策略资源标识;
[0053] 根据所述访问控制策略资源标识,在所述访问控制策略资源中删除所述被删除的 群组资源标识W及所述与所述被删除的群组资源标识对应的操作权限。
[0054] 结合第H方面的上述所有可能实现方式,所述确定所述群组资源标识对应的群组 资源包含通知群组成员标识,具体为:
[0055] 向所述群组服务器发送携带所述群组资源标识的获取所述群组资源的通知群组 成员标识的请求,接收所述群组服务器返回的响应消息,所述响应消息指示所述群组资源 标识对应的群组资源包含所述通知群组成员标识;根据所述响应消息,确定所述所述群组 资源标识对应的群组资源包含通知群组成员标识;或者在所述创建请求中携带指示所述群 组资源标识对应的群组资源包含所述通知群组成员标识的信息,根据所述创建请求,确定 所述群组资源标识对应的群组资源包含通知群组成员标识。
[0056] 第四方面,本发明提供一种资源访问的装置,所述装置应用于机器通信M2M系统 中,包括:接收模块,用于接收请求者资源对被访问资源的访问请求,其中所述访问请求包 括所述被访问资源的标识、请求者资源标识和对被访问资源请求的操作;
[0057] 确定模块,用于根据所述被访问资源的标识确定所述被访问资源;
[0058] 获取模块,用于根获取所述被访问资源的访问控制策略资源;
[0059] 所述确定模块,还用于确定所述请求者资源为所述访问控制策略资源中具有所述 请求的操作的操作权限的群组资源标识对应的群组资源的群组