资源访问方法及装置与流程

本发明涉及通信领域，特别涉及一种资源访问方法及装置。

背景技术：
机器通信(Machine-to-MachineCommunications，M2M)是一种以机器智能交互为核心的、网络化的应用与服务。它通过在机器内部嵌入无线或有线通信模块以及应用处理逻辑，实现无需人工干预的数据通信，以满足用户对监控、指挥调度、数据采集和测量等方面的信息化需求。在M2M中，访问控制机制是用于防止M2M终端，网关和业务平台中数据被未授权的应用非法访问，从而保障各类数据的私密性，安全性。一般的，一次访问涉及的要素包括请求者(访问主体)，访问操作(如“读”、“写”等)和访问对象(访问客体)。访问控制机制的作用方式为：当访问主体发起对访问客体的某些访问操作的访问请求时，依据与该访问客体相关各访问规则即访问规则集，允许或禁止该次访问请求。目前欧洲电信标准组织(EuropeanTelecommunicationStandardizationInstitute，ETSI)所制定的M2M规范中，在访问权限资源中配置访问规则集，各类资源(访问对象)通过访问权限资源标识符引用访问权限资源完成访问权限的配置。由于ETSI所制定的M2M规范规定访问权限资源标识符仅可引用零个或一个访问权限资源，当引用零个资源时，系统默认引用该资源的父资源的访问权限资源，因此实质上仍是引用一个访问权限资源。这种情况下，在配置资源的访问权限资源标识符时，依据不同的需求有二种方法：方法一，待配置资源与其他资源在访问权限上没有任何关系，则新建一个满足要求的访问权限资源并引用该资源；方法二，待配置资源与其他资源在访问权限上相关，比如具备父子关系的资源具有继承关系，则直接引用其他资源的访问权限资源。由于M2M是以资源树的结构进行组织和管理，资源间具有层次关系，并且资源存在较多关系，因此往往使用方法二(即直接引用其他资源的访问权限资源)配置资源的访问权限。然而当一个资源被多个应用访问，且各应用具有不同的访问权限。或当资源的访问权限部分引用其他资源，但却与被引用资源具有不相同的权限时，现有技术就只能采用针对该资源重新进行权限配置的方法，而不能通过访问权限引用的方式实现。从而导致资源的访问权限管理与维护十分不便。

技术实现要素：
本发明提供一种资源访问方法及装置，实现资源之间的访问权限继承，提高资源访问权限的管理效率。一方面，提供一种资源访问方法，包括接收访问设备的资源访问请求，所述资源访问请求包括访问设备标识、访问资源标识以及资源访问操作指示；根据所述访问资源标识获取与所述访问资源标识对应的资源的至少二个访问权限资源标识，根据所述至少二个访问权限资源标识读取各访问权限资源标识指示的访问权限资源；根据针对所述资源的解析规则与所述访问权限资源，确定针对所述资源的访问规则集；根据所述访问规则集以及所述设备标识和所述资源访问操作指示响应所述访问设备的资源访问请求。可选的，还包括：接收对所述资源的访问权限的设置请求，所述设置请求中包括至少二个访问权限资源标识，根据所述至少二个访问权限资源标识设置针对所述资源访问权限。可选的，所述设置请求中还包括规则解析标识，所述根据针对所述资源的解析规则与所述访问权限资源，确定针对所述资源的访问规则集，包括：根据与所述规则解析标识对应的解析规则对所述访问权限资源进行解析，获取针对所述资源的访问规则集。可选的，所述设置请求中还包括访问权限资源优先级规则，所述根据针对所述资源的解析规则与所述访问权限资源，确定针对所述资源的访问规则集，包括：根据所述访问权限资源优先级规则和与所述规则解析标识对应的解析规则对所述访问权限资源进行解析，获取针对所述资源的访问规则集。可选的，所述设置请求中还包括访问权限资源优先级规则，所述根据针对所述资源的解析规则与所述访问权限资源，确定针对所述资源的访问规则集，包括：根据所述访问权限资源优先级规则和与所述规则解析标识对应的解析规则对所述访问权限资源进行解析，获取针对所述资源的访问规则集。可选的，所述设置请求中还包括对多种访问权限资源进行分块，使所述多种访问权限资源包括访问权限资源父块和与该父块对应的多个子块，所述父块和与该父块对应的多个子块均包括对应的规则解析标识，所述根据针对所述资源的解析规则与所述访问权限资源，确定针对所述资源的访问规则集，包括：先根据与所述父块规则解析标识对应的解析规则对所述访问权限资源进行解析，然后依据与所述多个子块对应的规则解析标识对所述子块对应的访问权限资源进行解析，获取针对所述资源的访问规则集。可选的，所述设置请求中还包括父块和子块的优先级规则，所述根据针对所述资源的解析规则与所述访问权限资源，确定针对所述资源的访问规则集，包括：先根据与所述父块规则解析标识对应的解析规则和优先级规则对所述访问权限资源进行解析，然后依据与所述多个子块规则解析标识对应的解析规则和优先级规则对所述子块对应的访问权限资源进行解析，获取针对所述资源的资源访问规则集。可选的，所述设置请求中包括至少两个间接访问权限资源标识，所述根据针对所述资源的解析规则与所述访问权限资源，确定针对所述资源的访问规则集，包括：依据所述间接访问权限资源标识获取访问权限资源地址，根据所述访问权限资源地址读取访问权限资源；根据与所述规则解析标识对应的解析规则对所述访问权限资源进行解析，获取针对所述资源的访问规则集。可选的，所述访问规则集包括访问主体集和与访问主体对应的访问操作集，所述根据所述访问规则集以及所述设备标识和所述资源访问操作指示响应所述访问设备的资源访问请求，包括：若所述访问设备与所述访问主体集匹配，且所述资源访问操作指示所指示的访问操作与所述访问操作集匹配，则允许所述访问设备访问所述资源；若所述访问设备与所述访问主体集不匹配，或者所述访问设备与所述访问主体集匹配，但所述资源访问操作指示所指示的访问操作与所述访问设备的访问操作集不匹配，则拒绝所述访问设备访问所述资源；若所述访问设备与所述访问主体集匹配，但所述访问设备的访问操作集为“无”，则拒绝该访问设备的各类访问操作请求。另一方面，提供一种资源访问装置，包括：接收单元，用于接收访问设备的资源访问请求，所述资源访问请求包括访问设备标识、访问资源标识以及资源访问操作指示；获取单元，用于根据所述访问资源标识获取与所述访问资源标识对应的资源的至少二个访问权限资源标识，根据所述至少二个访问权限资源标识读取各访问权限资源标识指示的访问权限资源；还用于根据针对所述资源的解析规则与所述访问权限资源，确定针对所述资源的访问规则集；响应单元，用于根据所述访问规则集以及所述设备标识和所述资源访问操作指示响应所述访问设备的资源访问请求。可选的，该资源访问装置还包括：设置单元，用于对所述资源的访问权限进行设置，所述设置单元包括：接收子单元，用于接收对所述资源的访问权限的设置请求，所述设置请求中包括至少二个访问权限资源标识；设置子单元，用于根据接收子单元接收的所述设置请求对所述资源的访问权限资源标识符进行设置，使所述资源的访问权限资源标识符包括所述至少二个访问权限资源标识。可选的，所述接收子单元具体用于：接收对所述资源的访问权限的设置请求，所述所述设置请求中还包括规则解析标识，所述获取单元包括：第一获取单元，用于获取所述资源的访问权限标识符中的至少二个访问权限资源标识，根据所述访问权限资源标识分别读取访问权限资源；第二获取单元，根据与所述规则解析标识对应的解析规则对所述访问权限资源进行解析，获取针对所述资源的访问规则集。可选的，所述接收子单元还具体用于：接收对所述资源的访问权限设置请求，所述设置请求中还包括访问权限资源优先级规则，所述获取单元还包括：第三获取单元，用于根据所述访问权限资源优先级规则和与所述规则解析标识对应的解析规则对所述访问权限资源进行解析，获取针对所述资源的访问规则集。可选的，所述接收子单元还具体用于：接收对所述资源的访问权限的设置请求，所述设置请求中还包括对多种访问权限资源进行分块，使所述多种访问权限资源包括访问权限资源父块和与该父块对应的多个子块，所述父块和与该父块对应的多个子块均包括对应的规则解析标识，所述获取单元还包括：第四获取单元，用于先根据与所述父块规则解析标识对应的解析规则对所述访问权限资源进行解析，然后依据与所述多个子块对应的规则解析标识对所述子块对应的访问权限资源进行解析，获取针对所述资源的访问规则集。可选的，所述接收子单元还具体用于：接收对所述资源的访问权限的设置请求，所述设置请求中还包括父块和子块各自的优先级规则，所述获取单元还包括第五获取单元，用于先根据与所述父块规则解析标识对应的解析规则和优先级规则对所述访问权限资源进行解析，然后依据与所述多个子块对应的规则解析标识和优先级规则对所述子块对应的访问权限资源进行解析，获取针对所述资源的访问规则集。可选的，所述接收子单元还具体用于：接收对资源的访问权限的设置请求，所述设置请求中包括至少两个间接访问权限资源标识，所述获取单元还包括第六获取单元，用于依据所述间接访问权限资源标识获取访问权限资源地址，根据所述访问权限资源地址读取访问权限资源；根据与所述规则解析标识对应的解析规则对所述访问权限资源进行解析，获取针对所述资源的访问规则集。可选的，所述响应单元具体用于：若所述访问设备与所述访问主体集匹配，且所述资源访问操作指示所指示的访问操作与所述访问设备的访问操作集匹配，则允许所述访问设备访问所述资源；若所述访问设备与所述访问主体集不匹配，或者所述访问设备与所述访问主体集匹配但所述资源访问操作与所述访问操作集不匹配，则拒绝所述访问设备访问所述资源；若所述访问设备与所述访问主体集匹配，但所述访问设备的访问操作集为“无”，则拒绝该访问设备的各类访问操作请求。可选的，所述装置包括：M2M终端、M2M平台和M2M网关。本发明实施例的资源访问方法及资源访问装置，由拥有资源配置权限的主体对资源访问装置中的资源的访问权限资源标识符进行设置，将其他资源的访问权限资源标识添加到访问权限资源标识符中，使得资源访问装置可根据该访问权限资源标识获取相关访问权限资源，并根据自身设置的解析规则对该访问权限资源进行解析，从而实现各资源间的访问权限资源的相互继承，使得资源的访问权限可以随着被继承的资源的访问权限的修改而自行调整，提高资源访问权限的管理效率，同时，可以提高访问权限资源存储空间的利用率，节省存储空间。附图说明图1为典型的M2M系统架构图；图2为本发明一实施例的资源访问方法流程图；图3A为本发明一实施例的资源访问方法中资源的访问权限标识符设置信令交互图；图3B为本发明一实施例的资源的表述性状态转移资源树；图4为一实施例的资源访问方法信令交互图；图5为本发明另一实施例的资源访问方法中资源的访问权限资源标识符配置信令交互图；图6为本实施例的资源访问方法；图7为本发明另一实施例的资源访问方法的访问权限资源标识符设置信令交互图；图8为另一实施例的资源访问方法信令交互图；图9A为本发明又一实施例的资源访问方法中资源的访问权限资源标识符设置信令交互图；图9B为本发明一实施例的具有多个访问权限资源块的访问权限资源标识符结构图；图10为本发明又一实施例的资源访问方法信令交互图；图11为本发明一实施例的资源访问装置示意图；图12为本发明一实施例的资源访问装置中设置单元示意图；图13为本发明一实施例的资源访问装置中获取单元示意图；图14为本发明另一实施例的资源访问装置示意图。具体实施方式下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。图1为典型的M2M系统架构图，包括：M2M网络应用NA101，用于注册到M2M业务平台102，通过mId接口接入M2M设备采集的数据，还用于对M2M设备进行远程设备管理；M2M设备D’104，通过M2M网关G103连接到M2M业务平台102；M2M设备d105，通过M2M网关G103连接到M2M业务平台102；M2M设备d105′，通过M2M设备D106连接M2M业务平台102。其中，M2M设备d105，和M2M设备d105′为不符合ETSIM2M规范的传统设备；M2M设备D和M2M设备D’为符合ETSIM2M规范的设备，其中M2M设备D具有ETSIM2M标准定义的业务能力层(SCL，ServiceCapabilityLayer)，M2M设备D’不具有ETSIM2M标准定义的业务能力层(SCL，ServiceCapabilityLayer)。M2M网关G103使用网关互联代理功能(GIP，GatewayInterworkingProxy)通过无线或有线通信方式(例如，Zigbee、Bluetooth、DLMS/COSEM、Zwave、BACnet、ANSIC12、mBus等)与M2M传统设备d和M2M设备D’互联。而M2M网关或M2M设备D与M2M平台之间的mId接口一般采用有线或无线的广域局域网通信(如：Xdsl，HFC，satellite，GERAN，UTRAN，eUTRAN，W-LANandWiMAX等)。下面整体介绍本发明一实施例的技术方案，如图2所示为本发明一实施例的资源访问方法流程图，包括：201、接收访问设备的资源访问请求，所述资源访问请求包括访问设备标识、访问资源标识以及资源访问操作指示；具体的，中间件接收来自访问设备的资源访问请求，请求对资源进行相关操作，如：读、写等操作。其中中间件为设置于M2M终端或者M2M网关或M2M平台中的逻辑实体。该资源访问请求中包括访问设备标识、访问资源标识和对该资源的具体访问操作指示。需要注意的是，访问设备可以是M2M终端、M2M平台或者M2M网关。另外，中间件事先对资源的访问权限进行了相关设置，具体的，中间件根据请求设备对该资源的访问权限设置请求，对该资源的访问权限资源标识符进行设置，使得该资源的访问权限资源标识符包括至少两个被引入的访问权限资源标识，该访问权限资源标识指向访问权限资源。其中该访问权限资源包括访问规则集，每个访问规则至少包括访问主体集和访问操作集。该访问主体集包括允许访问该资源的多个访问主体，该访问主体可采用URI，全局标识符或者特定含义的标识符进行描述。访问操作集包括与允许访问主体对应的可允许的访问操作，如“读”、“写”等，同样地，访问操作也可采用URI，全局标识符或者特定含义的标识符进行描述。202、根据所述访问资源标识获取与所述访问资源标识对应的资源的至少二个访问权限资源标识，根据所述至少二个访问权限资源标识读取各访问权限资源标识指示的访问权限资源。具体的，中间件可根据访问请求中指定的资源标识查看与该资源标识对应的资源的访问权限资源标识符，并从该访问权限资源标识符中获取其对应的访问权限资源标识，根据该访问权限资源标识读取其指向的访问权限资源。一般的，访问权限资源标识包括访问权限资源的URI，中间件可根据该URI获取其对应的访问权限资源。203、根据针对所述资源的解析规则与所述访问权限资源，确定针对所述资源的访问规则集。具体的，中间件可以预设访问权限资源的规则解析标识，该规则解析标识指明中间件缺省配置默认的解析规则。通过该解析规则可对访问权限资源进行解析，获取资源的访问规则集。204、根据所述访问规则集以及所述设备标识和所述资源访问操作指示响应所述访问设备的资源访问请求。具体的，中间件判断访问设备标识是否与访问规则集中的访问主体集匹配，即是否为访问主体集中的访问主体，然后判断该访问设备的访问操作是否与该主体访问操作集匹配，即该主体的访问操作是否为访问操作集中允许的访问操作。当访问设备同时满足上述两个条件时，中间件允许访问设备对其指定的资源进行访问操作，否则，当访问设备不满足上述任何一个条件，中间件拒绝访问设备对其指定的资源进行访问操作。如上所述的本发明一实施例的资源访问方法，由拥有资源配置权限的主体对资源的访问权限进行设置，将其他资源的访问权限资源标识添加到访问权限资源标识符中，使得中间件可根据该访问权限资源标识获取相关访问权限资源，从而实现各资源间的访问权限资源的相互继承，使得资源的访问权限可以随着被继承的资源的访问权限的修改而自行调整，提高资源访问权限的管理效率，同时，可以提高访问权限资源存储空间的利用率，节省存储空间。下面从访问权限资源标识符设置角度，对本发明一实施例的资源访问方法进行描述。如图3A所示为本发明一实施例的资源访问方法中资源的访问权限标识符设置信令交互图，包括：301、资源设置请求设备向接收设备，如M2M终端、M2M网关或M2M平台发送对资源的访问权限的设置请求，所述设置请求中包括至少二个资源访问权限标识和资源的标识，以请求对与资源的标识对应的资源的访问权限进行设置。其中，资源设置请求设备的包括具有访问权限资源设置权限的设备，可以是M2M平台。具体的，M2M中的资源采用如图3B所述，描述一种资源的表述性状转移(RepresentationalStateTransfer，RESTful)。其中，字段containers包含一个或多个容器<container>。其中容器<container>为现有技术的容器资源表述，主要包含用于描述应用或M2M终端，平台、网关的数据信息资源。容器<container>存在accessRightID属性，accessRightID为访问权限资源标识符，根据ETSIM2M规范，accessRightID属性可设置为AnyURI[0...1]，其含义为0至1个URI，该URI指向访问权限资源accessRight。如将accessRightID属性设置为“http://m2m.op.com/accessRights/<ar5>”，表示该资源的访问规则由访问权限资源<ar5>描述。步骤302、根据所述设置请求对资源的访问权限进行设置。具体的，接收设备可以将设置accessRightID属性AnyURI[0...1]修改为AnyURI[0...unbounded](也即AnyURIList)，且其中每个URI需指向访问权限资源<accessRight>，即被引入的为资源访问权限标识。以此实现对至少两个访问权限资源的组合引用。在本发明实施例中，请求设备可以是M2M平台或M2M2网关，而接收设备可以是M2M终端，M2M平台或M2M2网关。M2M平台或M2M2网关可以通过对资源的访问权限的设置请求对位于其它的装置如M2M终端，M2M平台或M2M2网关的资源进行访问权限的设置，也可以通过对资源的访问权限的设置请求对位于请求设备本地的资源进行访问权限的设置。也就是说，请求设备和接收设备可以是同一设备，也可以是不同的设备。本发明实施例在此不做限定。如图4所示为本实施例的资源访问方法信令交互图，包括：401、访问设备向接收设备发送资源访问请求，该资源访问请求中包括访问标识、资源标识以及对该资源的资源访问操作指示。402、接收设备根据资源标识查看该资源的访问权限资源标识符，获取至少二个访问权限资源标识，并根据至少二个访问权限资源标识读取相应的访问权限资源，根据预设的规则解析标识所指明的解析规则对至少二个访问权限资源进行解析，获取针对该资源的资源访问规则集。403、接收设备根据该资源的访问规则集、访问设备标识和访问设备操作指示向该访问设备返回资源访问响应。规则解析标识由字符串描述，预设的规则解析标识为“overlay”，该规则解析标识所指明的解析规则为“依序覆盖”。具体的，由后之前依序获取资源的访问权限资源标识符中包括的至少两个被引入的访问权限资源标识，进而读取至少两个被引入的访问权限资源标识各自的访问权限资源。依序分析各访问权限资源中的访问规则。对于在多个访问规则的访问主体集中都出现的访问主体，其允许的访问操作集由包含该访问主体的第一个访问规则决定。若访问设备与该访问规则集中的访问主体集匹配，则判断访问设备的访问操作是否属于访问操作集，如是则允许该访问设备对资源进行访问和操作。若访问设备不属于该访问规则集中的访问主体集，或者若访问设备属于该访问规则集中的访问主体集，但其访问操作与其允许的访问操作集不吻合，或者访问操作集为“无”，则拒绝该访问设备的资源访问请求。例如：accessRightID属性设置为“http://m2m.op.com/accessRights/<ar3>；http://m2m.op.com/accessRights/<ar4>”，表示该资源的访问权限由访问权限资源<ar3>与<ar4>共同描述，当访问设备对该资源进行读操作时，接收设备依据预设的规则解析标识(本实施例假设为“overlay”，默认的访问解析规则“依序覆盖”)，首先获取访问权限资源<ar4>，比如<ar4>中设置规则集为访问主体集“App1”和“App2”允许访问操作“Read”，进而获取访问权限资源<ar3>，比如<ar3>中设置规则集为访问主体集“App1”和“App3”允许访问操作“Write”，则解析后的规则集为访问主体“App1”允许访问操作“Read”，访问主体主体“App2”允许访问操作“Read”，主体“App3”允许访问操作“Write”。下面从规则解析标识作配置的角度，对本发明另一实施例作详细说明，如图5所示为本发明另一实施例的资源访问方法中资源的访问权限资源标识符配置信令交互图，包括：501、请求者向接收设备发送资源的访问权限资源标识符设置请求，该设置请求中包括资源标识，访问权限资源标识以及规则解析标识。具体的，资源标识指向需要设置权限资源标识符的资源，访问权限资源标识为引入的访问权限资源的标识，规则解析标识为需设置的解析规则对应的标识，由字符或字符串描述，比如可设置为“overlay”，“union”等，分别表示采用“依序覆盖”，“取合集”的方式对访问权限资源进行解析。需要注意的是，此处仅是示例，规则解析标识可以设置为任何本领域技术人员能够理解的其他形式。如没有规则解析标识或对规则解析标识的值未进行设置，则采用默认的解析规则，如：从后至前逐一对访问权限资源进行解析。502、根据所述设置请求对资源的访问权限资源标识符进行设置。具体的，接收设备如M2M终端、M2M网关或M2M平台根据该设置请求，将引入的权限资源标识符和规则解析标识添加到与资源标识对应资源的访问权限标识符中。可选的，如下图所示为表述访问权限资源标识符的一种数据结构，accessRightID包含一个imports元素，该元素包括一个或多个import元素和至少一个resolveMode元素，每个import元素用于引入访问权限资源，resolveMode用以描述规则解析标识，以表示某种解析规则，例如该规则解析标识可设置为“RFC4745或“RFC3530”等，以表示依据RFC4745或RFC3530规范对访问权限资源进行解析。RFC4745或RFC3530规则解析标识所指明的解析规则请参考相关规范。下面是以XML可扩展标记语描述访问权限标识符的例子。该示例中，表示该资源的访问权限由访问权限资源<ar3>，<ar4>共同描述。如图6所示为本实施例的资源访问方法，包括：601、访问设备向接收设备发送访问请求，该访问请求中携带资源标识、访问设备标识和对资源的访问操作；602、接收设备根据该资源的访问权限标识符查看访问权限标识和规则解析标识，并根据该访问权限资源标识读取该资源的访问权限资源，然后根据与规则解析标识对应的解析方式对该访问权限资源进行解析，获得针对该资源的访问规则集。603、根据该访问规则集与访问设备标识及访问操作指示响应所述访问请求。具体的，若访问设备标识属于访问规则集中的访问主体集，且访问操作属于访问规则集的允许访问操作集，则允许访问设备的资源访问请求，否则给出拒绝响应。例如，当访问设备对该资源进行读操作时，中间件首先获取resolveMode的值，即“RFC4745”，然后依据该规则解析标识表示的RFC4745规范解析针对该资源的访问规则集。依据解析后的访问规则集判断访问设备是否可以对该资源进行读操作，若是则允许读，若否则给出拒绝响应。值得提及的是，若某些resolveMode所指示的解析方式对引入的权限资源有优先级要求，则按照优先级要求对访问权限资源进行解析。下面从访问权限资源标识符指向多个访问权限资源，访问权限资源具有优先级设定，且对规则解析标识做配置为例，说明本发明另一实施例的资源访问方法，如图7所示，为本发明另一实施例的资源访问方法的访问权限资源标识符设置信令交互图，包括：701、请求设备向接收设备，如M2M终端、M2M网关或M2M平台发送对特定资源的访问权限标识符的设置请求，该设置请求中包括资源标识、引入的访问权限资源标识、规则解析标识以及访问权限资源优先级规则。702、接收设备根据该设置请求对所指定的资源的访问权限资源标识符进行设置。具体的，对每个引入的访问权限资源根据访问权限资源优先级规则定义优先级值。如：对访问权限资源标识符的每个import元素设置Priority属性，该属性的取值可以为数值或字符，用以描述引入的访问权限资源的优先级关系。比如在访问权限资源标识符中由前之后依序的三个import元素的Priority属性分别设置为：“Priority＝1”，“Priority＝2”，“Priority＝3”，说明具备“Priority＝3”的import元素的优先级高于具备“Priority＝2”的import元素的优先级，具备“Priority＝2”的import元素的优先级高于具备“Priority＝1”的import元素的优先级。若三个import元素的Priority属性取值相同，则采用默认的优先级顺序，即由后至前的import元素的优先级逐级降低。如图8所示为本实施例的资源访问方法信令交互图，包括：801、访问设备向接收设备发送资源访问请求，该资源访问请求中包括资源标识、访问设备标识和对该资源的访问操作。其中，接收设备可以为M2M终端、M2M网关或者M2M平台，访问设备也可以为M2M终端、M2M网关或者M2M平台。802、接收设备根据该资源访问请求中的资源标识查看与该资源标识对应的资源下的访问权限资源标识符，根据该访问权限资源标识符下的访问权限标识读取访问权限资源，并根据该访问权限资源标识符下的规则解析标识，采用与所述规则解析标识对应的解析规则对访问权限资源进行解析，获取针对该资源的访问规则集。803、接收设备根据访问设备标识、访问操作以及访问规则集向访问设备返回资源访问响应。具体的，若访问设备属于该访问规则集中的访问主体集，且判断访问请求中携带的访问操作指示对应的访问操作是否属于该访问主体允许的访问操作集，如是则允许该访问设备对资源进行访问和操作；若访问设备与该访问规则集中的访问主体集不吻合，或者其访问操作与其允许的访问操作集不吻合，则拒绝该访问设备的资源访问和操作。例如，引入优先级属性后，一种用XML语言访问权限资源标识符accessRightID的例子如下图所示：如上图所示的例子表示该资源的访问权限由访问权限资源<ar3>与<ar4>共同描述，且引入的访问权限资源间存在优先级关系，<ar3>的优先级高于<ar4>的优先级，此外通过resolveMode指示解析规则依据“依序覆盖”的方法进行。首先获取访问权限资源<ar3>，比如<ar3>中设置规则集为访问主体集“App1”和“App3”允许访问操作“Write”，进而获取访问权限资源<ar4>，比如<ar4>中设置规则集为访问主体集“App1”和“App2”允许访问操作“Read”，则解析后的规则集为访问主体“App1”允许访问操作“Write”，访问主体主体“App2”允许访问操作“Read”，主体“App3”允许访问操作“Write”。若resolveMode设置为“union”，即“取合集”的解析方式，由于该方式对优先级没有要求，因此忽略“priority”的取值。获取访问权限资源<ar4>和<ar3>，解析后的规则集为：解析后的规则集为访问主体“App1”允许访问操作“Write”和“Read”，访问主体主体“App2”允许访问操作“Read”，主体“App3”允许访问操作“Write”。此外，resolveMode还可以设置为“RFC4745”，“RFC3530”等，分别表示依据“RFC4745”规范，“RFC3530”规范进行规则解析，具体方式请参考相应规范内容。下面从访问权限标识符指向多个访问权限资源，访问权限资源分块引入，包括父块及与父块对应的多个子块为例，对本发明另一实施例的资源访问方法进行说明。如图9A所示，为本发明另一实施例的资源访问方法中资源的访问权限资源标识符设置信令交互图，包括：901、请求者向接收设备，如M2M终端、M2M网关或M2M平台发送对资源的访问权限标识符的设置请求，该设置请求中包括资源标识、访问权限资源标识、对访问权限资源进行父块、子块划分的规则，以及与父块、各子块分别对应的规则解析标识。具体的，通过设置访问权限标识符的“引入”(即“imports”)元素指明父块，通过设置访问权限标识符的“引用”(即“import”)元素指明子块。902、接收设备根据该设置请求对所指定的资源的访问权限进行设置。具体的，接收设备根据设置请求中所指定的资源标识，获得该资源，并更新该资源的访问权限标识符为请求中携带的访问权限标识符。即设置对访问权限资源进行分块，即设置父块和与父块对应的多个子块访问权限资源。每个子块包括至少一个访问权限资源标识。对每个子块和每个父块均可设置各自的规则解析标识。同时每个子块和每个父块均也可设置优先级规则。例如，分块引入访问权限资源的访问权限资源标识符可描述为如图9B所示的数据结构。如图9B所示的具有多个imports的访问权限资源标识符accessRightID结构图，accessRightID包含一个permissionsRef元素，该元素又包括一至多个imports元素，每个imports元素包括一个或多个import元素，每个import元素包括一个或多个访问权限资源标识。如图10所示为本实施例的资源访问方法信令交互图，包括：1001、访问设备向接收设备发送资源访问请求，该资源访问请求中包括资源标识、访问设备标识和对该资源的访问操作。其中，接收设备可以为M2M终端、M2M网关或者M2M平台，访问设备也可以为M2M终端、M2M网关或者M2M平台。1002、接收设备根据该资源访问请求中的资源标识查看与该资源标识对应的资源下的访问权限资源标识符，先根据与所述父块规则解析标识对应的解析规则和优先级规则对父块对应的访问权限资源进行解析，然后依据与该多个子块对应的规则解析标识和优先级规则对所述子块对应的访问权限资源进行解析，获取针对所述资源的资源访问规则集。1003、接收设备根据访问设备标识、访问操作指示以及访问规则集向访问设备返回资源访问响应。如下所示为用XML语言描述如上图所示访问权限资accessRightID的例子。如上所示例子中，该资源的访问权限由访问权限资源<ar1>，<ar2>，<ar3>，<ar4>，<ar5>，<ar6>与<ar7>共同描述，当访问设备对该资源发送访问操作请求欲进行读操作时，接收设备首先获取“权限引用”(即permissionsRef)元素的子元素规则解释resolveMode的值“RFC3530”(即规则解析标识为RFC3530)。然后依据该规则解析标识指示的RFC3530规范解析针对该资源的访问规则集。RFC3530规范解析方式对访问权限资源具有优先级要求，因此接收设备读取imports元素的优先级priority属性，依据该属性值大小进行优先级排序，此处最后一个imports的优先级priority属性值为3，因此首先对该imports元素中的访问权限资源进行解析，然后是对第一个imports元素进行解析，因为该imports元素的priority属性值为2，最后是对中间的imports元素进行解析，因为该imports元素的priority属性值为1，对imports元素的解析方式则依据子元素resolveMode的值所指示的解析方式进行。最后，依据解析后的访问规则集判断请求者是否可以对该资源进行读操作，并作出响应。需要注意的是，中间件作出拒绝或者允许响应并非总是在所有规则解析完毕后触发，而是当判断出该访问设备的资源访问请求不符合访问规则时立即被触发。下面以访问权限资源标识直接或间接指向多个访问权限资源为例对本发明另一实施例的资源访问方法作进一步说明。本实施例，和资源的访问权限资源标识符由多个直接或间接指向访问权限资源标识构成，间接的含义是指访问权限资源标识并非指向访问权限资源本身。例如，和资源关联的访问权限由零个或多个直接或间接指向访问权限资源标识构成。例如设置资源Resource的accessRightID属性为“http://m2m.op.com/containers/<container1>；http://m2m.op.com/containers/<container2>/accessRightID；http://m2m.op.com/accessRights/<ar5>”，表示该资源的访问权限由资源http://m2m.op.com/containers/<container1>的访问权限资源，资源http://m2m.op.com/containers/<container2>的accessRightID所指示访问权限资源以及访问权限资源http://m2m.op.com/accessRights/<ar5>共同描述。当访问设备对资源Resource进行读操作时，接收设备依据默认的访问权限资源解析规则，首先解析<ar5>后的访问规则集的访问主体集是否包含请求者，若存在且其允许的访问操作集包含读操作，则允许请求者对该资源进行读操作，若其允许的访问操作集中不包含读操作，则不允许请求者对该资源进行读操作。若解析<ar5>后的访问规则集的访问主体集是不否包含请求者，则继续解析资源<container2>的accessRightID所指示访问权限资源，直至所有的访问权限资源都解析完毕。值得注意的是，在解析“http://m2m.op.com/containers/<container2>/accessRightID”时，接收设备还需要依据http://m2m.op.com/containers/<container2>/accessRightID这个访问权限资源标识符进行解析。在解析http://m2m.op.com/containers/<container1>时，中间件需读取http://m2m.op.com/containers/<container1>所指资源的accessRightID这个访问权限资源标识符进行解析。此外，针对<container2>的accessRightID所指示访问权限资源与<container1>的访问权限资源，由于在本示例中未设置resolveMode，故采用默认的访问权限解析规则。下面介绍本发明一实施例的资源访问装置，如图11所示，该资源访问装置包括：设置单元1101，用于对资源的访问权限资源标识符进行设置，使所述资源的访问权限资源标识符包括至少二个资源访问权限标识，所述资源访问权限标识指向访问权限资源；1102接收单元，用于接收访问设备的资源访问请求，所述资源访问请求包括访问设备标识和资源访问操作；1103获取单元，用于获取所述资源的访问权限标识符中的访问权限资源标识，根据所述访问权限资源标识读取访问权限资源；根据预设的解析规则对所述访问权限资源进行解析，获取针对所述资源的资源访问规则集；1104响应单元，用于依据所述资源访问规则集和所述访问设备标识响应所述访问设备资源访问请求。其中，设置单元1101如图12所示包括：接收子单元11011，用于接收对资源的访问权限资源标识符的设置请求，所述设置请求中包括至少两个被引入的资源访问权限标识；设置子单元11012，用于根据接收子单元接收的所述设置请求对所述资源的访问权限资源标识符进行设置，使所述资源的访问权限资源标识符包括所述至少二个被引入的资源访问权限标识。获取单元如图13所示所示，包括：第一获取单元，11031用于获取所述资源的访问权限标识符中的访问权限资源标识，根据所述访问权限资源标识读取访问权限资源；第二获取单元11032，根据与所述规则解析标识对应的解析规则对所述访问权限资源进行解析，获取针对所述资源的资源访问规则集。第三获取单元11033，用于根据所述访问权限资源优先级规则和与所述规则解析标识对应的解析规则对所述访问权限资源进行解析，获取针对所述资源的资源访问规则集。第四获取单元11034，用于先根据与所述父块规则解析标识对应的解析规则对所述访问权限资源进行解析，然后依据与所述多个子块对应的规则解析标识对所述子块对应的访问权限资源进行解析，获取针对所述资源的资源访问规则集。第五获取单元11035，用于先根据与所述父块规则解析标识对应的解析规则和优先级规则对所述访问权限资源进行解析，然后依据与所述多个子块对应的规则解析标识和优先级规则对所述子块对应的访问权限资源进行解析，获取针对所述资源的资源访问规则集。第六获取单元11036，用于依据所述间接访问权限资源标识获取访问权限资源地址，根据所述访问权限资源地址读取访问权限资源。需要注意的是，本发明实施例的资源访问装置可以是M2M终端，M2M平台或者M2M网关。如上所示的本发明实施例的资源访问装置，由拥有资源配置权限的主体对资源访问装置中的资源的访问权限资源标识符进行设置，将其他资源的访问权限资源标识添加到访问权限资源标识符中，使得资源访问装置可根据该访问权限资源标识获取相关访问权限资源，从而实现各资源间的访问权限资源的相互继承，使得资源的访问权限可以随着被继承的资源的访问权限的修改而自行调整，提高资源访问权限的管理效率，同时，可以提高访问权限资源存储空间的利用率，节省存储空间。图14为本发明实施例提供的又一资源访问装置的结构示意图，包括存储器1401，和处理器1402。其中存储器1401用于存储图11-13中所述的各单元，处理器1402与存储器1401连接，运行存储器1401中的各单元执行存储器1401中各单元的相应功能。图14中存储器1401中各单元的功能与图11-13中的各单元的功能相同，本发明实施例在此不再详述。上述针对资源访问的装置中包含的各单元的处理功能的实施方式在之前的方法实施例中已经描述，在此不再重复描述。此外，在M2M网络中，M2M平台可以是各计算机，具有处理器的设备。M2M网关和M2M终端在设备上没有严格的区分，比如做网关的设备也可以作为终端，此外各种终端设备，如手机，计算机，PDA，笔记本电脑，远程控制器，家用电器，各种仪器仪表、传感器等都可以作为M2M网络的网关或终端。在上述单元实施例中，所包括的各个单元只是按照功能逻辑进行划分的，但并不局限于上述的划分，只要能够实现相应的功能即可；另外，各功能单元的具体名称也只是为了便于相互区分，并不用于限制本发明的保护范围。上述实现对计费的方法及计费的装置的各功能单元的功能均可以由M2M网关或M2M平台的处理器运行各单元完成。本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，上述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，上述的存储介质可为磁碟、光盘、只读存储记忆体(ROM：Read-OnlyMemory)或随机存储记忆体(RAM：RandomAccessMemory)等。综上所述，以上仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。