资源访问控制方法及装置与流程
本发明涉及通信技术领域,尤其涉及资源访问控制方法及装置。
背景技术:
物联网标准化组织onem2m致力于开发一系列用于构造公共的m2m(machine-to-machine,机器对机器通信)服务层的技术规范。onem2m的核心是数据共享,具体是通过onem2mcse(commonservicesentity,公共服务实体)内定义的资源树上的数据项的共享实现的。
onem2m通过对标准化的资源树进行操作来实现服务层资源的共享和交互,onem2m资源树存在于onem2m系统所定义的cse中。根据onem2m功能架构规范(onem2mts-0001:"functionalarchitecture")中的定义,onem2m资源树的形式如图1所示。对onem2m资源可进行创建(create)、查询(retrieve)、修改(update)和删除(delete)等操作。
onem2m所定义的资源中与授权相关的资源是访问控制策略资源<accesscontrolpolicy>,其中定义有acp(accesscontrolpolicy,访问控制策略)。<accesscontrolpolicy>资源由资源id唯一标识,其他资源通过accesscontrolpolicyids属性指定所适用的访问控制策略。
目前,onem2m系列规范中的安全规范(onem2mts-0003:"securitysolutions")给出了onem2m授权架构的高层描述,具体给出了授权架构的主要组成部分和基本流程,但尚未在资源结构层面给出具体的实现方案。
技术实现要素:
本发明实施例提供了一种资源访问控制方法及装置,在资源结构层面给出 了资源访问控制方案。
本发明实施例提供的资源访问控制方法,包括:
pdp接收pep发送的访问控制决策请求,所述访问控制决策请求由所述pep根据授权决策资源生成;
所述pdp根据所述访问控制决策请求进行访问控制决策,得到访问控制决策信息;
所述pdp将所述访问控制决策信息携带于访问控制决策响应发送给所述pep。
优选地,所述访问控制决策请求中包含:
返回结果指示信息,用于指示所述访问控制决策请求所请求返回的参数,所述返回结果指示信息根据所述授权决策资源的属性和/或子资源生成;和/或,
资源访问过滤条件,用于指示资源操作的过滤条件,所述资源访问过滤条件根据所述授权决策资源的属性和/或子资源生成。
其中,所述授权决策资源中用于生成返回结果指示信息的属性包括以下之一或任意组合:
决策属性,用于承载访问控制决策信息;
允许访问的属性,用于承载允许访问的目标资源的属性名称,所述目标资源为资源访问发起方请求访问的目标资源;
允许访问的资源类型,用于承载允许访问的目标资源的子资源类型标识,所述目标资源为资源访问发起方请求访问的目标资源;
状态属性,用于承载描述访问控制决策过程出现的错误。
其中,所述授权决策资源中用于生成资源访问过滤条件的属性包括以下之一或任意组合:
目标属性,用于承载资源访问发起方请求访问的目标资源的资源地址;
发起方属性,用于承载资源访问发起方的标识;
操作属性,用于承载资源访问发起方对请求访问的目标资源的操作标识;
内容属性,用于承载资源访问发起方请求访问的目标资源的具体内容;
过滤条件用途属性,用于承载资源访问发起方提供的资源访问过滤条件中表示过滤条件用途的参数;
角色标识属性,用于承载一组颁发给资源访问发起方的角色的标识;
令牌标识属性,用于承载一组颁发给资源访问发起方的携带有授权信息的令牌的标识;
令牌属性,用于承载一组颁发给资源访问发起方的携带有授权信息的令牌;
请求时间属性,用于承载所述pep接收到资源访问发起方发送的资源访问请求的时间;
位置属性,用于承载资源访问发起方的位置;
请求方ip地址属性,用于承载资源访问发起方发送的资源访问请求中携带的ip地址。
优选地,所述pdp根据所述访问控制决策请求进行访问控制决策之前,还包括:
所述pdp根据所述访问控制决策请求,向策略获取点prp发送访问控制策略请求,所述访问控制策略请求由所述pdp根据授权策略资源生成;
所述pdp接收所述prp返回的访问控制策略响应,所述访问控制策略响应中包含所述prp根据所述访问控制决策请求获取到的访问控制策略;
所述进行访问控制决策,包括:
根据获取到的访问控制策略进行访问控制决策。
其中,所述访问控制策略请求中包含:
返回结果指示信息,用于指示所述访问控制策略请求所请求返回的参数,所述返回结果指示信息根据所述授权策略资源的属性和/或子资源生成;和/或,
资源访问过滤条件,用于指示资源操作的过滤条件,所述资源访问过滤条件根据所述授权策略资源的属性和/或子资源生成。
其中,所述授权策略资源中用于生成返回结果指示信息的属性包括以下之一或任意组合:
策略属性,用于承载适用于资源访问发起方请求访问的目标资源的访问控制策略;
合并算法属性,用于承载合并策略属性中多个访问控制策略所使用的策略合并算法的标识。
其中,所述授权策略资源中用于生成资源访问过滤条件的属性包括以下之一或任意组合:
目标属性,用于承载资源访问发起方请求访问的目标资源的资源地址;
发起方属性,用于承载资源访问发起方的标识。
优选地,所述pdp根据所述访问控制决策请求进行访问控制决策之前,还包括:
所述pdp根据所述访问控制决策请求,向策略信息点pip发送访问控制信息请求,所述访问控制信息请求由所述pdp根据授权信息资源生成;
所述pdp接收所述pip返回的访问控制信息响应,所述访问控制信息响应中包含所述pip根据所述访问控制信息请求获取到的访问控制信息;
所述进行访问控制决策,包括:
根据获取到的访问控制信息进行访问控制决策。
其中,所述访问控制信息请求中包含:
返回结果指示信息,用于指示所述访问控制信息请求所请求返回的参数,所述返回结果指示信息根据所述授权信息资源的属性和/或子资源生成;和/或,
资源访问过滤条件,用于指示资源操作的过滤条件,所述资源访问过滤条件根据所述授权信息资源的属性和/或子资源生成。
其中,所述授权信息资源中用于生成资源访问过滤条件的属性包括以下之一或任意组合:
发起方属性:用于承载资源访问发起方的标识;
角色标识属性:用于承载一组颁发给资源访问发起方的角色的标识;
令牌标识属性:用于承载一组颁发给资源访问发起方的携带有授权信息的令牌的标识。
其中,所述授权信息资源中用于生成返回结果指示信息的子资源包括以下之一或任意组合:
角色资源:用于承载一组颁发给资源访问发起方的角色资源;
令牌资源:用于承载一组颁发给资源访问发起方的令牌资源。
本发明另一实施例提供的资源访问控制方法,包括:
pdp接收pep发送的访问控制决策请求;
所述pdp根据所述访问控制决策请求,向prp发送访问控制策略请求,所述访问控制策略请求由所述pdp根据授权策略资源生成;
所述pdp接收所述prp返回的访问控制策略响应,所述访问控制策略响应中包含所述prp根据所述访问控制决策请求获取到的访问控制策略;
所述pdp根据获取到的访问控制策略进行访问控制决策,得到访问控制决策信息;
所述pdp将所述访问控制决策信息携带于访问控制决策响应发送给所述pep。
优选地,所述访问控制策略请求中包含:
返回结果指示信息,用于指示所述访问控制策略请求所请求返回的参数,所述返回结果指示信息根据所述授权策略资源的属性和/或子资源生成;和/或,
资源访问过滤条件,用于指示资源操作的过滤条件,所述资源访问过滤条件根据所述授权策略资源的属性和/或子资源生成。
其中,所述授权策略资源中用于生成返回结果指示信息的属性包括以下之一或任意组合:
策略属性,用于承载适用于资源访问发起方请求访问的目标资源的访问控制策略;
合并算法属性,用于承载合并策略属性中多个访问控制策略所使用的策略合并算法的标识。
其中,所述授权策略资源中用于生成资源访问过滤条件的属性包括以下之一或任意组合:
目标属性,用于承载资源访问发起方请求访问的目标资源的资源地址;
发起方属性,用于承载资源访问发起方的标识。
本发明另一实施例提供的资源访问控制方法,包括:
pdp接收pep发送的访问控制决策请求;
所述pdp根据所述访问控制决策请求,向策略信息点pip发送访问控制信息请求,所述访问控制信息请求由所述pdp根据授权信息资源生成;
所述pdp接收所述pip返回的访问控制信息响应,所述访问控制信息响应中包含所述pip根据所述访问控制信息请求获取到的访问控制信息;
所述pdp根据获取到的访问控制信息进行访问控制决策,得到访问控制决策信息;
所述pdp将所述访问控制决策信息携带于访问控制决策响应发送给所述pep。
优选地,所述访问控制信息请求中包含:
返回结果指示信息,用于指示所述访问控制信息请求所请求返回的参数,所述返回结果指示信息根据所述授权信息资源的属性和/或子资源生成;和/或,
资源访问过滤条件,用于指示资源操作的过滤条件,所述资源访问过滤条件根据所述授权信息资源的属性和/或子资源生成。
其中,所述授权信息资源中用于生成资源访问过滤条件的属性包括以下之一或任意组合:
发起方属性:用于承载资源访问发起方的标识;
角色标识属性:用于承载一组颁发给资源访问发起方的角色的标识;
令牌标识属性:用于承载一组颁发给资源访问发起方的携带有授权信息 的令牌的标识。
其中,所述授权信息资源中用于生成返回结果指示信息的子资源包括以下之一或任意组合:
角色资源:用于承载一组颁发给资源访问发起方的角色资源;
令牌资源:用于承载一组颁发给资源访问发起方的令牌资源。
本发明实施例提供的pdp设备,包括:
接收模块,用于接收pep发送的访问控制决策请求,所述访问控制决策请求由所述pep根据授权决策资源生成;
决策模块,用于根据所述访问控制决策请求进行访问控制决策,得到访问控制决策信息;
发送模块,用于将所述访问控制决策信息携带于访问控制决策响应发送给所述pep。
优选地,所述访问控制决策请求中包含:
返回结果指示信息,用于指示所述访问控制决策请求所请求返回的参数,所述返回结果指示信息根据所述授权决策资源的属性和/或子资源生成;和/或,
资源访问过滤条件,用于指示资源操作的过滤条件,所述资源访问过滤条件根据所述授权决策资源的属性和/或子资源生成。
其中,所述授权决策资源中用于生成返回结果指示信息的属性包括以下之一或任意组合:
决策属性,用于承载访问控制决策信息;
允许访问的属性,用于承载允许访问的目标资源的属性名称,所述目标资源为资源访问发起方请求访问的目标资源;
允许访问的资源类型,用于承载允许访问的目标资源的子资源类型标识,所述目标资源为资源访问发起方请求访问的目标资源;
状态属性,用于承载描述访问控制决策过程出现的错误;
所述授权决策资源中用于生成资源访问过滤条件的属性包括以下之一或 任意组合:
目标属性,用于承载资源访问发起方请求访问的目标资源的资源地址;
发起方属性,用于承载资源访问发起方的标识;
操作属性,用于承载资源访问发起方对请求访问的目标资源的操作标识;
内容属性,用于承载资源访问发起方请求访问的目标资源的具体内容;
过滤条件用途属性,用于承载资源访问发起方提供的资源访问过滤条件中表示过滤条件用途的参数;
角色标识属性,用于承载一组颁发给资源访问发起方的角色的标识;
令牌标识属性,用于承载一组颁发给资源访问发起方的携带有授权信息的令牌的标识;
令牌属性,用于承载一组颁发给资源访问发起方的携带有授权信息的令牌;
请求时间属性,用于承载所述pep接收到资源访问发起方发送的资源访问请求的时间;
位置属性,用于承载资源访问发起方的位置;
请求方ip地址属性,用于承载资源访问发起方发送的资源访问请求中携带的ip地址。
进一步地,还包括:第一获取模块,用于根据所述访问控制决策请求,向策略获取点prp发送访问控制策略请求,所述访问控制策略请求由所述pdp根据授权策略资源生成;接收所述prp返回的访问控制策略响应,所述访问控制策略响应中包含所述prp根据所述访问控制决策请求获取到的访问控制策略;
所述决策模块具体用于:根据所述第一获取模块获取到的访问控制策略进行访问控制决策。
其中,所述访问控制策略请求中包含:
返回结果指示信息,用于指示所述访问控制策略请求所请求返回的参数, 所述返回结果指示信息根据所述授权策略资源的属性和/或子资源生成;和/或,
资源访问过滤条件,用于指示资源操作的过滤条件,所述资源访问过滤条件根据所述授权策略资源的属性和/或子资源生成。
其中,所述授权策略资源中用于生成返回结果指示信息的属性包括以下之一或任意组合:
策略属性,用于承载适用于资源访问发起方请求访问的目标资源的访问控制策略;
合并算法属性,用于承载合并策略属性中多个访问控制策略所使用的策略合并算法的标识;
所述授权策略资源中用于生成资源访问过滤条件的属性包括以下之一或任意组合:
目标属性,用于承载资源访问发起方请求访问的目标资源的资源地址;
发起方属性,用于承载资源访问发起方的标识。
进一步地,还包括:第二获取模块,用于根据所述访问控制决策请求,向策略信息点pip发送访问控制信息请求,所述访问控制信息请求由所述pdp根据授权信息资源生成;接收所述pip返回的访问控制信息响应,所述访问控制信息响应中包含所述pip根据所述访问控制信息请求获取到的访问控制信息;
所述决策模块具体用于:根据所述第二获取模块获取到的访问控制信息进行访问控制决策。
其中,所述访问控制信息请求中包含:
返回结果指示信息,用于指示所述访问控制信息请求所请求返回的参数,所述返回结果指示信息根据所述授权信息资源的属性和/或子资源生成;和/或,
资源访问过滤条件,用于指示资源操作的过滤条件,所述资源访问过滤条件根据所述授权信息资源的属性和/或子资源生成。
其中,所述授权信息资源中用于生成资源访问过滤条件的属性包括以下之 一或任意组合:
发起方属性:用于承载资源访问发起方的标识;
角色标识属性:用于承载一组颁发给资源访问发起方的角色的标识;
令牌标识属性:用于承载一组颁发给资源访问发起方的携带有授权信息的令牌的标识;
所述授权信息资源中用于生成返回结果指示信息的子资源包括以下之一或任意组合:
角色资源:用于承载一组颁发给资源访问发起方的角色资源;
令牌资源:用于承载一组颁发给资源访问发起方的令牌资源。
本发明另一实施例提供的pdp设备,包括:
接收模块,用于接收pep发送的访问控制决策请求;
获取模块,用于根据所述访问控制决策请求,向prp发送访问控制策略请求,所述访问控制策略请求由所述pdp根据授权策略资源生成;接收所述prp返回的访问控制策略响应,所述访问控制策略响应中包含所述prp根据所述访问控制决策请求获取到的访问控制策略;
决策模块,用于根据获取到的访问控制策略进行访问控制决策,得到访问控制决策信息;
发送模块,用于将所述访问控制决策信息携带于访问控制决策响应发送给所述pep。
优选地,所述访问控制策略请求中包含:
返回结果指示信息,用于指示所述访问控制策略请求所请求返回的参数,所述返回结果指示信息根据所述授权策略资源的属性和/或子资源生成;和/或,
资源访问过滤条件,用于指示资源操作的过滤条件,所述资源访问过滤条件根据所述授权策略资源的属性和/或子资源生成。
其中,所述授权策略资源中用于生成返回结果指示信息的属性包括以下之一或任意组合:
策略属性,用于承载适用于资源访问发起方请求访问的目标资源的访问控制策略;
合并算法属性,用于承载合并策略属性中多个访问控制策略所使用的策略合并算法的标识;
所述授权策略资源中用于生成资源访问过滤条件的属性包括以下之一或任意组合:
目标属性,用于承载资源访问发起方请求访问的目标资源的资源地址;
发起方属性,用于承载资源访问发起方的标识。
本发明另一实施例提供的pdp设备,包括:
接收模块,用于接收pep发送的访问控制决策请求;
获取模块,用于根据所述访问控制决策请求,向pip发送访问控制信息请求,所述访问控制信息请求由所述pdp根据授权信息资源生成;接收所述pip返回的访问控制信息响应,所述访问控制信息响应中包含所述pip根据所述访问控制信息请求获取到的访问控制信息;
决策模块,用于根据获取到的访问控制信息进行访问控制决策,得到访问控制决策信息;
发送模块,用于将所述访问控制决策信息携带于访问控制决策响应发送给所述pep。
优选地,所述访问控制信息请求中包含:
返回结果指示信息,用于指示所述访问控制信息请求所请求返回的参数,所述返回结果指示信息根据所述授权信息资源的属性和/或子资源生成;和/或,
资源访问过滤条件,用于指示资源操作的过滤条件,所述资源访问过滤条件根据所述授权信息资源的属性和/或子资源生成。
其中,所述授权信息资源中用于生成资源访问过滤条件的属性包括以下之一或任意组合:
发起方属性:用于承载资源访问发起方的标识;
角色标识属性:用于承载一组颁发给资源访问发起方的角色的标识;
令牌标识属性:用于承载一组颁发给资源访问发起方的携带有授权信息的令牌的标识;
所述授权信息资源中用于生成返回结果指示信息的子资源包括以下之一或任意组合:
角色资源:用于承载一组颁发给资源访问发起方的角色资源;
令牌资源:用于承载一组颁发给资源访问发起方的令牌资源。
本发明的上述实施例中,授权实体根据新定义的资源(比如授权决策资源、授权策略资源或授权信息资源)生成资源访问控制过程中的请求消息,从而从其他授权实体获取需要的信息,在资源结构层面给出了资源访问控制方案。
附图说明
图1为现有技术中的onem2m资源树示意图;
图2为现有技术中的onem2m授权架构示意图;
图3为本发明实施例中基于onem2m资源实现分布式授权的原理示意图;
图4为本发明实施例中授权资源与cse根资源<csebase>的关系示意图;
图5为本发明实施例提供的<authorizationdecision>资源类型结构示意图;
图6为本发明实施例提供的<authorizationpolicy>资源类型结构示意图;
图7为本发明实施例提供的<authorizationinformation>资源类型结构示意图;
图8为本发明实施例提供的资源访问控制的通用流程示意图;
图9为本发明实施例提供的pep与pdp之间的交互流程示意图;
图10为本发明实施例提供的pdp与prp之间的交互流程示意图;
图11为本发明实施例提供的pdp与pip之间的交互流程示意图;
图12为本发明实施例提供的pdp的结构示意图之一;
图13为本发明实施例提供的pdp的结构示意图之二;
图14为本发明实施例提供的pdp的结构示意图之三。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部份实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
onem2m定义了两种基本实体:应用实体(applicationentity,ae)和公共服务实体(commonservicesentity,cse)。
ae位于应用层,可实现一个m2m应用逻辑。一个应用逻辑既可以驻留在多个m2m节点中,也可以在单个节点中存在多个执行实例。应用逻辑的每个执行实例被称为一个ae,每个ae由唯一的ae-id所标识。
cse由一组m2m环境中的“公共服务功能(commonservicefunctions)”构成。每个cse由唯一的cse-id所标识。onem2m资源树存在于cse中。
onem2m定义了3种类型的资源:
普通资源(normalresource):具有具体的资源结构及资源属性。
虚拟资源(virtualresource):不具有具体的资源结构及资源属性,主要用于触发特定的处理过程。
公布资源(announcedresource):具有具体的资源结构及属性,该资源为其他实体上普通资源某些内容的拷贝,主要目的是为资源发现提供便利。
onem2m安全解决方案技术规范(onem2mts-0003:securitysolutions)中给出的授权架构如图2所示,该架构中可包括如下组件:
·策略执行点(policyenforcementpoint,pep):pep与需要访问控制的应用系统共存,并由应用系统调用,pep将根据资源访问发起方的资源访问请求生成访问控制决策请求,并发送给pdp,然后根据pdp返回的访问控制决策响应确定是否执行该资源访问请求。
·策略决策点(policydecisionpoint,pdp):pdp负责根据访问控制策略判决是否同意对由pep发送来的访问控制决策请求所请求的目标资源进行访问,并将判决结果通过访问控制决策响应返回给pep。
·策略获取点(policyretrievalpoint,prp):prp根据pdp提供的访问控制策略请求获取适用的访问控制策略,并将获取的访问控制策略返回给pdp。
·策略信息点(policyinformationpoint,pip):pip根据pdp的访问控制信息请求获取与用户、资源或环境相关的属性,例如访问用户的ip地址,资源的创建者,当前的时间等,然后将获得的属性返回给pdp。
onem2m的基本资源访问控制流程可包括:
资源访问发起方向pep发送资源访问请求(accessrequest),pep根据该资源访问请求向pdp发送访问控制决策请求(decisionrequest)。
pdp根据pep发送的访问控制决策请求向prp发送访问控制策略请求(policyrequest),prp向pdp返回访问控制策略响应(policyresponse),该访问控制策略响应中包含有访问控制策略。
pdp对访问控制决策请求和访问控制策略中包含的内容进行分析、判决;在进行分析、判决时,若需要其他属性,则向pip发送访问控制信息请求(attributerequest),pip向pdp发送访问控制信息响应,该访问控制信息响应中包括根据访问控制信息请求获取到的与访问控制相关的属性。
pdp向pep发送访问控制决策响应(decisionresponse),该问控制决策响应中包括访问控制决策结果。pep根据访问控制决策响应中的访问控制决策结果,决定是否执行资源访问发起方的资源访问请求。
本发明实施例针对资源访问控制,定义3种新的onem2m资源,这3种资源属于普通资源(normalresource)类型,它们分别是:
授权决策资源,本发明实施例中表示为<authorizationdecision>资源;
授权策略资源,本发明实施例中表示为<authorizationpolicy>资源;
授权信息资源,本发明实施例中表示为<authorizationinformation>资源。
通过对这3种资源的操作可实现授权实体之间的数据交换,并可实现授权系统的分布式处理。对不同资源类型的访问决定了授权请求的类型,例如,访问控制决策请求访问<authorizationdecision>资源,访问控制策略请求访问<authorizationpolicy>资源,访问控制信息请求访问<authorizationinformation>资源。
上述这3种资源可设置在cse根资源(<csebase>)下,即,这3种资源可作为csebase下的子资源,资源类型为普通资源(normalresource)。这3种资源可位于同一个cse内(即为同一个<csebase>下的子资源,也可以位于不同的cse内。比如,一种典型的例子中,<authorizationdecision>资源位于实现pdp功能的cse内,<authorizationpolicy>资源位于实现prp功能的cse内,<authorizationinformation>资源位于实现pip功能的cse内。
一个cse内可包括上述3种新的资源中的一种或多种。一个cse内所包含的同一种资源(指上述3种新的资源中的一种资源),其资源数量可以是一个或多个,比如,一个cse内可包含一个或多个<authorizationdecision>资源。
如果一个cse内包含多种同类的资源,比如包含多个<authorizationdecision>资源,则可设置不同的<authorizationdecision>资源被不同的资源访问发起方进行访问,或者被不同组的资源访问发起方进行访问。
图3示例性地示出了一种基于资源的分布式授权架构和原理。
如图3所示,pep(图中为hostingcse)通过对实现pdp功能的cse(图中为cse1)内的<authorizationdecision>资源的操作,实现pep与pdp之间的信息交换,也即访问控制决策请求与访问控制决策响应的交互。
pdp(图中为cse1)通过对实现prp功能的cse(图中为cse2)中的<authorizationpolicy>资源的操作,实现pdp与prp之间的信息交换,也即访 问控制策略请求与访问控制策略响应的交互。
pdp(图中为cse1)通过对实现pip功能的cse(图中为cse3)中的<authorizationinformation>资源的操作,实现pdp与prp之间的信息交换,也即访问控制信息请求与访问控制信息响应的交互。
需要说明的是,图3所示的例子中,<authorizationdecision>资源、<authorizationpolicy>资源和<authorizationinformation>资源分布在不同授权实体的cse内,在其他一些例子中,上述3种资源中的多种可分布在同一cse内,本发明实施例对此不做限制。
本发明实施例中,授权功能请求发起方(比如图3中的pdp、prp或pip)利用onem2m资源读取操作(retrieve)读取相应资源,利用读取请求(retrieverequest)中的content参数描述期望获得的与授权相关的信息(即content参数是用于指示所请求返回的参数),利用读取请求中的filtercriteria参数提供相应的输入信息(即filtercriteria参数是用于指示资源操作的过滤条件,比如指示资源读取操作的过滤条件)。授权功能接收方根据提供的输入信息执行相应的授权过程,并将执行结果以读取响应(retrieveresponse)的方式返回给授权功能发起方。
其中,读取请求(retrieverequest)中的content参数也可称为返回结果指示信息,可由上述本发明实施例定义的资源的属性和/或子资源生成,具体地,可由资源的属性名称或其他能够指示属性的信息构建得到;读取请求(retrieverequest)中的filtercriteria参数也可称为资源访问过滤条件,可由本发明实施例定义的资源的属性和/或子资源生成,具体地,可由资源的属性名称和属性值构建得到。
其中,基于图2所示的架构,读取请求(retrieverequest)具体可包括:pep发送给pdp的访问控制决策请求,pdp发送给prp的访问控制策略请求,pdp发送给pip的访问控制信息请求。
在onem2m中,一个资源可包含一个或多个属性,资源的属性用来承载 该资源的属性值。本发明实施例定义的上述3种资源中也可包括一个或多个属性。这些资源中的属性按其用途可分为两类:
用于生成返回结果指示信息的属性:资源访问发起方所请求获得的结果放在这些资源属性中,例如访问控制决策,访问控制策略,访问控制信息等;这些属性是retrieve操作的目标资源中的属性。
用于生成资源访问过滤条件的属性:资源访问发起方提供的输入参数放在这些资源属性中,例如资源访问发起方的标识,目的资源地址,对资源的操作等;这些属性用于构建retrieve操作的资源过滤条件,资源访问发起方通过此方式将输入参数传递给pdp、prp或pip。
进一步地,上述3种资源中还可以包含有子资源,这些子资源用于输出结果,所以又称为目的资源,例如查询角色或令牌时使用的<role>资源类型或<token>资源类型。
图4示例性地示出了一种授权资源与cse根资源<csebase>的关系,其中,<csebase>下可包含onem2m已定义的资源属性(请见图中所示的“其他资源属性”),onem2m已定义子资源(请见图中所示的“其他子资源”),进一步地还包括本发明实施例定义的<authorizationdecision>资源、<authorizationpolicy>资源和<authorizationinformation>资源。进一步地,在一个<csebase>下,<authorizationdecision>资源的数量可以是一个或多个,也可以不包含<authorizationdecision>资源(图中用“0..n”表示可能的数量,n为大于等于1的整数);<authorizationpolicy>资源的数量可以是一个或多个,也可以不包含<authorizationpolicy>资源(图中用“0..n”表示可能的数量,n为大于等于1的整数);<authorizationinformation>资源的数量可以是一个或多个,也可以不包含<authorizationinformation>资源(图中用“0..n”表示可能的数量,n为大于等于1的整数)。
下面详细说明上述<authorizationdecision>资源、<authorizationpolicy>资源和<authorizationinformation>资源中的属性。
(1)<authorizationdecision>资源类型
<authorizationdecision>资源类型的结构如图5所示,图5中用“0..n”表示属性或子资源可能的数量,n为大于等于1的整数;用“l”表示属性值可以是列表(list)形式。
如图5所示,资源属性和子资源的定义如下:
决策属性:该属性用于承载访问控制决策信息;该属性的属性名称可表示为decision,属性值为访问控制决策;decision属性为可选属性;
允许访问的属性:用于承载允许访问的目标资源(即资源访问发起方请求访问的目标资源)的属性名称;该属性的属性名称可表示为permittedattributes,属性值为允许访问的目标资源的属性名称列表;permittedattributes属性为可选属性;进一步地,该属性的属性值可以采用列表形式;
允许访问的资源类型:用于承载允许访问的目标资源(即资源访问发起方请求访问的目标资源)的子资源类型标识;该属性的属性名称可表示为permittedresourcetypes,属性值为允许访问的目标资源的子资源类型标识列表;permittedresourcetypes属性为可选属性;进一步地,该属性的属性值可以采用列表形式;
状态属性:用于承载描述访问控制决策过程出现的错误;该属性的属性名称可表示为status,属性值为描述访问控制决策过程出现的错误;status属性为可选属性;
目标属性:用于承载资源访问发起方所请求访问的目标资源的资源地址;该属性的属性名称可表示为to,属性值为资源访问发起方(originator)所访问的目标资源地址;to属性为可选属性;
发起方属性:用于承载资源访问发起方的标识;该属性的属性名称可表示为from,属性值为资源访问发起方的标识;from属性为可选属性;
操作属性:用于承载资源访问发起方对请求访问的目标资源的操作标识; 该属性的属性名称可表示为operation,属性值为资源访问发起方对目标资源的操作标识;operation属性为可选属性;
内容属性:用于承载资源访问发起方所请求访问的目标资源的具体内容;该属性的属性名称为content,属性值为资源访问发起方想要访问的目标资源的具体内容;content属性为可选属性;
过滤条件用途属性:用于承载资源访问发起方提供的资源访问过滤条件中的表示过滤条件用途的参数;该属性的属性名称可表示为filterusage,属性值为资源访问发起方提供的资源访问过滤条件filtercriteria中的表示过滤条件用途的filterusage参数的值;filterusage属性为可选属性;
角色标识属性:用于承载一组颁发给资源访问发起方的角色的标识;该属性的属性名称可表示为roleids,属性值为一组颁发给资源访问发起方的角色的标识;roleids属性为可选属性;进一步地,该属性的属性值可以采用列表形式;
令牌标识属性:用于承载一组颁发给资源访问发起方的携带有授权信息的令牌的标识;该属性的属性名称可表示为tokenids,属性值为一组颁发给资源访问发起方的携带有授权信息的令牌的标识;tokenids属性为可选属性;进一步地,该属性的属性值可以采用列表形式;
令牌属性:用于承载一组颁发给资源访问发起方的携带有授权信息的令牌;该属性的属性名称可表示为tokens,属性值为一组颁发给资源访问发起方的携带有授权信息的令牌;token属性为可选属性;进一步地,该属性的属性值可以采用列表形式;
请求时间属性:用于承载所述pep接收到资源访问发起方发送的资源访问请求的时间;该属性的属性名称可表示为requesttime,属性值为宿主cse(hostingcse)接收到资源访问发起方资源访问请求的时间;requesttime属性为可选属性;
位置属性:用于承载资源访问发起方的位置;该属性的属性名称可表示为 requestlocation,属性值为资源访问发起方的位置信息;requestlocation属性为可选属性;
请求方ip地址属性:用于承载资源访问发起方发送的资源访问请求中携带的ip地址;该属性的属性名称可表示为requestip,属性值为资源访问发起方资源访问请求数据包中携带的ip地址;requestip属性为可选属性。
进一步地,<authorizationdecision>资源中还可包含子资源,表示为<subscription>。<authorizationdecision>资源中所包含的<subscription>资源的数量可以是一个或多个。<subscription>可以是onem2m已定义的子资源。
上述<authorizationdecision>资源的属性中,decision属性、permittedattributes属性、permittedresourcetypes属性以及status属性可用来生成资源控制决策请求中的“返回结果指示信息”(如前述的content参数),其他属性可用来生成资源控制决策请求中的“资源访问过滤条件”(如前述的filtercriteria参数)。
需要说明的是,实际应用中可能不仅限于上述所定义的资源属性和子资源,通过对<authorizationdecision>资源的扩展,可以在访问控制决策请求中加入新的输入参数(如前述的filtercriteria参数),在访问控制决策响应中加入新的输出参数(如前述的content参数)。
(2)<authorizationpolicy>资源类型
<authorizationpolicy>资源类型的结构如图6所示,图6中用“1”表示属性的数量为1;用“0..n”表示属性可能的数量,n为大于等于1的整数;用“l”表示属性值可以是列表(list)形式。
如图6所示,资源属性和子资源的定义如下:
策略属性:用于承载适用于资源访问发起方请求访问的目标资源的访问控制策略;该属性的属性名称可表示为policies,属性值为适用于目标资源的访问控制策略;policies属性为可选属性;进一步地,该属性的属性值可以采用列表形式;
合并算法属性:用于承载合并策略属性中多个访问控制策略所使用的策略合并算法的标识;该属性的属性名称为combiningalgorithm,属性值为合并policies属性中多个访问控制策略所使用的策略合并算法的标识;combiningalgorithm属性为可选属性;
目标属性:用于承载资源访问发起方请求访问的目标资源的资源地址;该属性的属性名称可表示为to,属性值为资源访问发起方访问的目标资源地址;to属性为可选属性;
发起方属性:用于承载资源访问发起方的标识;该属性的属性名称可表示为from,属性值为资源访问发起方的标识;from属性为可选属性。
进一步地,<authorizationpolicy>资源中还可以包含子资源,表示为<subscription>。<authorizationpolicy>资源中所包含的<subscription>资源的数量可以是一个或多个。<subscription>可以是onem2m已定义的子资源。
上述<authorizationpolicy>资源的属性中,policies属性、combiningalgorithm属性可用来生成资源控制策略请求中的“返回结果指示信息”(如前述的content参数),其他属性可用来生成资源控制策略请求中的“资源访问过滤条件”(如前述的filtercriteria参数)。
需要说明的是,实际应用中可能不仅限于这里所定义的资源属性和子资源,通过对<authorizationpolicy>资源的扩展,可以在访问控制策略请求中加入新的输入参数(如前述的filtercriteria参数),在访问控制策略响应中加入新的输出参数(如前述的content参数)。
(3)<authorizationinformation>资源类型
<authorizationinformation>资源类型的结构如图7所示,图7中用“1”表示属性的数量为1;用“0..n”表示属性可能的数量,n为大于等于1的整数;用“l”表示属性值可以是列表(list)形式。
如图7所示,资源属性和子资源的定义如下:
角色资源:该资源可表示为<role>,用于承载一组颁发给资源访问发起方 的角色资源;该子资源为可选子资源;如果<authorizationinformation>资源中包含该子资源,则其数量可以是一个或多个;
令牌资源:该资源可表示为<token>,用于承载一组颁发给资源访问发起方的令牌资源;该子资源为可选子资源;
发起方属性:用于承载资源访问发起方的标识;该属性的属性名称可表示为from,属性值为资源访问发起方的标识;from属性为可选属性;
角色标识属性:用于承载一组颁发给资源访问发起方的角色的标识;该属性的属性名称可表示为roleids,属性值为一组颁发给资源访问发起方的角色的标识;roleids属性为可选属性;进一步地,该属性的属性值可以采用列表形式;
令牌标识属性:用于承载一组颁发给资源访问发起方的携带有授权信息的令牌的标识;该属性的属性名称可表示为tokenids,属性值为一组颁发给资源访问发起方的携带有授权信息的令牌的标识;tokenids属性为可选属性;进一步地,该属性的属性值可以采用列表形式;
进一步地,<authorizationinformation>资源中还可以包含其他子资源,表示为<subscription>。<authorizationinformation>资源中所包含的<subscription>资源的数量可以是一个或多个。<subscription>可以是onem2m已定义的子资源。
上述<authorizationinformation>资源的属性和子资源中,<role>、<token>可用来生成资源控制信息请求中的“返回结果指示信息”(如前述的content参数),其他属性可用来生成资源控制信息请求中的“资源访问过滤条件”(如前述的filtercriteria参数)。
需要说明的是,实际应用中可能不仅限于这里所定义的资源属性和子资源,通过对<authorizationpolicy>资源的扩展,可以在访问控制信息请求中加入新的输入参数(如前述的filtercriteria参数),在访问控制信息响应中加入新的输出参数(如前述的content参数)。
基于本发明实施例所定义的上述资源,以及图2所提供的onem2m授权架构,本发明实施例提供了以下资源访问控制(即资源授权流程)流程。
下面分别结合图8、图9、图10和图11,对本发明实施例提供的资源访问控制流程进行详细说明。
参见图8,为本发明实施例提供的资源访问控制的通用流程示意图,如图所示,该流程可包括:
步骤801:pep根据资源访问发起方的资源访问请求,向pdp发送访问控制决策请求。
可选地,pep发送的访问控制决策请求是根据<authorizationdecision>资源生成的。
具体地,访问控制决策请求中可包含有返回结果指示信息(比如前述的content参数),该返回结果指示信息用于指示该访问控制决策请求所请求返回的参数,可根据<authorizationdecision>资源的属性和/或子资源生成,比如,content参数可包括<authorizationdecision>资源的属性名称和/或该资源的子资源标识。
进一步地,访问控制决策请求中还包含有资源访问过滤条件(比如前述的filtercriteria参数),资源访问过滤条件用于指示资源操作的过滤条件,可根据<authorizationdecision>资源的属性和/或子资源生成,比如,filtercriteria参数可包括<authorizationdecision>资源的属性名称和属性值,和/或,子资源的标识和具体内容(比如子资源属性的属性值)。
步骤802:pdp根据访问控制决策请求进行访问控制决策。
可选地,pdp可从本地获得访问控制策略,也可从prp获取访问控制策略。
pdp从prp获取访问控制策略的过程可包括:pdp可根据该访问控制决策请求,向prp发送访问控制策略请求,并接收prp根据该访问控制策略请求返回的访问控制策略响应,访问控制策略响应中包含prp根据该访问控制 策略请求获取到的访问控制策略。其中,访问控制策略请求是pdp根据<authorizationpolicy>资源生成的。
具体地,访问控制策略请求中可包含有返回结果指示信息(比如前述的content参数),该返回结果指示信息用于指示该访问控制策略请求所请求返回的参数,可根据<authorizationpolicy>资源属性和/或子资源生成,比如content参数可包括<authorizationpolicy>资源的属性名称和/或该资源的子资源标识。
进一步地,访问控制策略请求中还包含有资源访问过滤条件(比如前述的filtercriteria参数),资源访问过滤条件用于指示资源操作的过滤条件,可根据<authorizationpolicy>资源的属性和/或子资源构建,比如,filtercriteria参数可包括<authorizationpolicy>资源的子资源标识和具体内容(比如子资源属性的属性值)。
相应地,prp向pdp返回的访问控制策略响应中可包含根据上述返回结果指示信息和资源访问过滤条件获取到的,<authorizationpolicy>资源的属性值和/或该资源的子资源的内容。
进一步地,pdp还可从本地获取访问控制信息,也可从pip获取访问控制信息。
pdp从pip获取访问控制信息的过程可包括:pdp可根据该访问控制决策请求,向pip发送访问控制信息请求,并接收pip根据该访问控制信息请求返回的访问控制信息响应,访问控制信息响应中包含pip根据该访问控制信息请求获取到的访问控制信息。其中,访问控制信息请求是pdp根据<authorizationinformation>资源生成的。
具体地,访问控制信息请求中可包含有返回结果指示信息(比如前述的content参数),返回结果指示信息用于指示该访问控制信息请求所请求返回的参数,可根据<authorizationinformation>资源的属性和/或子资源生成,比如,content参数可包括<authorizationinformation>资源的属性名称和/或该资源 的子资源标识。
进一步地,访问控制信息请求中还包含有资源访问过滤条件(比如前述的filtercriteria参数),资源访问过滤条件用于指示资源操作的过滤条件,可根据<authorizationinformation>资源的属性和/或子资源构建,比如,filtercriteria参数可包括<authorizationinformation>资源的属性名称和属性值,和/或,子资源的标识和具体内容(比如子资源属性的属性值)。
相应地,pip向pdp返回的访问控制信息响应中可包含根据上述返回结果指示信息和资源访问过滤条件获取到的,<authorizationinformation>资源的属性值和/或该资源的子资源的内容。
pdp根据获取到的访问控制策略,并可进一步结合获取到的访问控制信息进行访问控制决策,得到访问控制决策信息。
步骤803:pdp向pep返回访问控制决策响应,所述访问控制决策响应中包含访问控制决策信息。
可选地,如果步骤801中,pep发送的访问控制决策请求是pep根据<authorizationdecision>资源按照上述方式生成的,则相应地,在步骤803中,pdp向pep返回的访问控制决策响应中可包含根据访问控制决策请求中的上述返回结果指示信息和资源访问过滤条件获取到的,<authorizationdecision>资源的属性值和/或该资源的子资源的内容。
基于图8所示的流程,图9示例性地示出了一种pep与pdp之间的交互流程。如图9所示,该流程可包括如下步骤:
步骤901:位于宿主cse(hostingcse)中的pep根据资源访问发起方(originator)的资源访问请求生成访问控制决策请求(accesscontroldecisionrequest),并发送给具有pdp功能的cse。
访问控制决策请求可利用onem2m的读操作实现,也即利用onem2m的retrieve操作读取具有pdp功能的cse资源树中的<authorizationdecision>资源,并利用资源中的属性构建请求(request)中的content参数。
作为一个例子,构建content参数时,<authorizationdecision>资源的decision属性为必选属性,表示pdp需要返回访问控制决策信息,其他为可选属性。
作为另一个例子,还可利用<authorizationdecision>资源的permittedattributes属性构建content参数,此种情况下,content参数表示pdp还需要返回建议的可访问资源属性名称列表。
作为另一个例子,还可以利用<authorizationdecision>资源的permittedresourcetypes属性构建content参数,此种情况下,content参数表示pdp还需要返回建议的可访问的子资源类型标识列表。
作为另一个例子,还可以利用<authorizationdecision>资源的status属性构建content参数,此种情况下,content参数表示pdp还需要返回决策过程中的出错信息。
进一步地,还可利用<authorizationdecision>资源中的属性构建访问控制决策请求中filtercriteria参数。作为一个例子,构建filtercriteria参数时,<authorizationdecision>资源的to属性、from属性、operation属性为必选属性,其他属性为可选属性。
步骤902:具有pdp功能的cse接收到来自于pep的携带有访问控制决策请求(accesscontroldecisionrequest)的资源访问请求后进行如下操作:
检查资源访问发起方是否具有访问<authorizationdecision>资源的权利,若有,则激活一个pdp处理过程,并将接收到参数传递给该过程。若不允许则跳转到步骤903。
pdp根据filtercriteria参数中提供的数据获取访问控制策略。若访问控制策略不能在本地获得,相关过程参见pdp与prp之间的交互过程。
pdp根据filtercriteria参数中提供的数据获取访问控制信息。若访问控制信息不能在本地获得,相关过程参见pdp与pip之间的交互过程。
pdp从filtercriteria参数中获得访问控制决策评估过程所需的各种属性, 例如,资源访问发起方标识,目标资源地址,对目标资源的操作,以及请求的时间、地点和ip地址等上下文信息,然后依据获取的访问控制策略和访问控制信息评估该资源访问请求,并产生相应的评估结果,具体的评估过程可参见onem2m协议中的相关描述。若请求中包含有资源属性permittedattributes和/或permittedresourcetypes,则pdp按访问控制策略中的描述生成相应的值,也即允许资源访问发起方所访问的资源属性名称列表或子资源类型标识列表;若请求中包含有资源属性status,则生成相应的值,以表示评估过程是否有错误产生,以及产生了什么错误,例如访问控制决策过程所需的属性缺失或语法错误等。
步骤903:pdp-cse根据步骤902的评估结果生成携带有访问控制决策响应(accesscontroldecisionresponse)的资源访问响应,其中包含有decision属性、permittedattributes属性、permittedresourcetypes属性或status属性等属性的值,这些资源属性名称及其属性值放在响应的content参数中。然后,pdp-cse将生成的响应发送给pep。
基于图8所示的流程,图10示例性地示出了一种pdp与prp之间的交互流程。如图10所示,该流程可包括如下步骤:
步骤1001:位于cse中的pdp根据pep发送来的访问控制决策请求生成访问控制策略请求(accesscontrolpolicyrequest),并发送给具有prp功能的cse。
访问控制策略请求可利用onem2m的读操作实现,也即利用onem2m的retrieve操作读取具有prp功能的cse资源树中的<authorizationpolicy>资源,并利用资源中的属性构建请求(request)中的content参数。作为一个例子,构建content参数时,<authorizationpolicy>资源的policies属性为必选属性,表示prp需要返回访问控制策略,其他为可选属性。
进一步地,还可利用<authorizationpolicy>资源中的属性构建请求中filtercriteria参数。作为一个例子,构建filtercriteria参数时,<authorizationpolicy> 资源中的to属性为必选属性,其他属性为可选属性。
步骤1002:具有prp功能的cse接收到来自于pdp的携带有访问控制策略请求(accesscontrolpolicyrequest)的资源访问请求后进行如下操作:
检查资源访问发起方是否具有访问<authorizationpolicy>资源的权利,若有,则激活一个prp处理过程,并将接收到参数传递给该过程。若不允许则跳转到步骤1003。
cse-prp根据filtercriteria参数中提供的数据获取访问控制策略。prp将获得的访问控制策略放到资源属性policies中;若请求中包含有资源属性combiningalgorithm,则prp还需提供相应的值。
步骤1003:prp-cse根据步骤1002的查询结果生成携带有访问控制策略响应(accesscontrolpolicyresponse)的访问控制策略响应,其中包含有policies属性或combiningalgorithm属性等属性的值,这些资源属性名称及其属性值放在该响应的content参数中。然后,prp-cse将生成的响应发送给pdp。
基于图8所示的流程,图11示例性地示出了一种pdp与pip之间的交互流程。如图11所示,该流程可包括如下步骤:
步骤1101:位于cse中的pdp根据pep发送来的访问控制决策请求生成访问控制信息请求(accesscontrolinformationrequest),并发送给具有pip功能的cse。
访问控制信息请求可利用onem2m的读操作实现,即利用onem2m的retrieve操作读取具有pip功能的cse资源树中的<authorizationinformation>资源,并利用资源中的属性构建请求(request)中的content参数,或要求pip返回查询到的子资源。
作为一个例子,当要求pip返回查询到的<role>子资源和/或<token>子资源时,访问控制信息请求中的resultcontent参数的值设置为:“child-resources”。该设置要求pip返回按filtercriteria参数中提供的roleids 和/或tokenids检索属于资源访问发起方的角色资源和/或令牌资源。
进一步地,可利用<authorizationinformation>资源中的属性构建请求中filtercriteria参数。
作为一个例子,在构建filtercriteria参数时,<authorizationinformation>资源的from属性为必选属性,其他为可选属性。
作为一个例子,当pdp接收到的访问控制决策请求中包含有roleids时(如该请求的filtercriteria参数中包含roleids属性名称和属性值),则pdp在生成发送给pip的访问控制信息请求时,可利用<authorizationinformation>资源的roleids属性构建filtercriteria参数。
作为另一个例子,当pdp接收到的访问控制决策请求中包含有tokenids时(如该请求的filtercriteria参数中包含tokenids属性名称和属性值),则pdp在生成发送给pip的访问控制信息请求时,可利用<authorizationinformation>资源的tokenids属性构建filtercriteria参数。
步骤1102:具有pip功能的cse接收到来自于pdp的携带有访问控制信息请求(accesscontrolinformationrequest)的资源访问请求后进行如下操作:
检查资源访问发起方是否具有访问<authorizationinformation>资源的权利,若有,则激活一个pip处理过程,并将接收到参数传递给该过程。若不允许则跳转到步骤1103。
pip根据filtercriteria参数中提供的数据获取访问控制信息。prp将获得的访问控制信息放到相应的资源属性或相应的目的子资源中,例如<role>资源和<token>资源。
步骤1103:pip-cse根据步骤1102的查询结果生成携带有访问控制信息响应(accesscontrolinformationresponse)的资源访问响应,其中包含有查询到的<role>资源和/或<token>资源等值。然后,pip-cse将生成的响应发送给pdp。
在本发明的另外的一些实施例中,也可以利用onem2m的资源创建操作 (create)实现上述授权实体键的交互功能。此种情况下,请求的发起方通过create操作中的content参数携带需要输入的信息;接收方收到请求后将触发相应的授权过程,该授权过程利用content参数中提供的输入信息执行相应的授权过程,并将授权过程产生的结果存储在资源属性中,然后利用create响应中的content参数将存储在资源属性中的值返回给发起方。
综上所述,现有的onem2m只定义了授权系统的高层架构,并未提供具体的解决方案。本发明实施例提供了一种在onem2m系统中实现分布式授权系统的方法。本发明实施例所定义的新资源及资源操作符合onem2m所规定的普通资源类型,并且很好地满足了restful操作方式,无需对现有onem2m技术进行过多的改动。
基于相同的技术构思,本发明实施例还提供了pdp,所提供的pdp可实习上述实施例描述的流程。
参见图12,为本发明实施例提供的一种pdp的结构示意图,该pdp可包括:接收模块1201、决策模块1202、发送模块1203,进一步地,还可包括第一获取模块1204,进一步地还可包括第二获取模块1205,其中:
接收模块1201,用于接收pep发送的访问控制决策请求,所述访问控制决策请求由所述pep根据授权决策资源生成;
决策模块1202,用于根据所述访问控制决策请求进行访问控制决策,得到访问控制决策信息;
发送模块1203,用于将所述访问控制决策信息携带于访问控制决策响应发送给所述pep。
所述访问控制决策请求中包含的内容以及构建方法,可参见前述实施例的描述,在此不再重复。
所述授权决策资源中的属性和子资源,可参见前述实施例的描述,在此不再重复。
可选地,第一获取模块1204,用于根据所述访问控制决策请求,向prp 发送访问控制策略请求,所述访问控制策略请求由所述pdp根据授权策略资源生成;接收所述prp返回的访问控制策略响应,所述访问控制策略响应中包含所述prp根据所述访问控制决策请求获取到的访问控制策略。相应地,决策模块1202可根据第一获取模块1204获取到的访问控制策略进行访问控制决策。
所述访问控制决策请求中包含的内容以及构建方法,可参见前述实施例的描述,在此不再重复。
所述授权策略资源中包含的属性和子资源,可参见前述实施例的描述,在此不再重复。
可选地,第二获取模块1205,用于根据所述访问控制决策请求,向pip发送访问控制信息请求,所述访问控制信息请求由所述pdp根据授权信息资源生成;接收所述pip返回的访问控制信息响应,所述访问控制信息响应中包含所述pip根据所述访问控制信息请求获取到的访问控制信息。相应地,决策模块1202可根据第二获取模块1205获取到的访问控制信息进行访问控制决策。
所述访问控制信息请求中包含的内容以及构建方法,可参见前述实施例的描述,在此不再重复。
所述访问控制信息请求中包含的属性和子资源,可参见前述实施例的描述,在此不再重复。
参见图13,为本发明另一实施例提供的pdp结构示意图。该pdp可包括:接收模块1301、获取模块1302、决策模块1303、发送模块1304,其中:
接收模块1301,用于接收pep发送的访问控制决策请求;
获取模块1302,用于根据所述访问控制决策请求,向prp发送访问控制策略请求,所述访问控制策略请求由所述pdp根据授权策略资源生成;接收所述prp返回的访问控制策略响应,所述访问控制策略响应中包含所述prp根据所述访问控制决策请求获取到的访问控制策略;
决策模块1303,用于根据获取到的访问控制策略进行访问控制决策,得到 访问控制决策信息;
发送模块1304,用于将所述访问控制决策信息携带于访问控制决策响应发送给所述pep。
所述访问控制策略请求中包含的内容以及构建方法,可参见前述实施例的描述,在此不再重复。
所述授权策略资源中的属性和子资源,可参见前述实施例的描述,在此不再重复。
参见图14,为本发明另一实施例提供的pdp结构示意图。该pdp可包括:接收模块1401、获取模块1402、决策模块1403、发送模块1404,其中:
接收模块1401,用于接收pep发送的访问控制决策请求;
获取模块1402,用于根据所述访问控制决策请求,向pip发送访问控制信息请求,所述访问控制信息请求由所述pdp根据授权信息资源生成;接收所述pip返回的访问控制信息响应,所述访问控制信息响应中包含所述pip根据所述访问控制信息请求获取到的访问控制信息;
决策模块1403,用于根据获取到的访问控制信息进行访问控制决策,得到访问控制决策信息;
发送模块1404,用于将所述访问控制决策信息携带于访问控制决策响应发送给所述pep。
所述访问控制信息请求中包含的内容以及构建方法,可参见前述实施例的描述,在此不再重复。
所述授权信息资源中的属性和子资源,可参见前述实施例的描述,在此不再重复。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入 式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
- 还没有人留言评论。精彩留言会获得点赞!