[发明专利]一种资源访问控制方法、装置及系统

说明书

本发明公开了一种资源访问控制方法、装置及系统。该方法中，接收PEP发送的访问控制决策请求，所述访问控制决策请求中包括请求访问的目标对象，所述目标对象包括资源属性和/或子资源；获取用于对所述访问控制决策请求进行访问权限判决的访问控制策略；其中，所述访问控制策略中包括用于对所述目标对象进行访问权限判决的规则；根据获取到的访问控制策略对所述访问控制决策请求进行访问权限判决，并向所述PEP返回访问权限判决结果。通过上述方法不仅可以实现控制发起方对目标资源的访问，还可以实现对目标资源的访问进行更为细致的控制，即可以控制访问目标资源的具体属性和具体子资源。

技术领域

本发明涉及通信领域，尤其涉及一种资源控制访问方法、装置及系统。

背景技术

物联网标准化组织oneM2M致力于开发一系列用于构造一个公共的M2M (Machine-To-Machine，机器对机器通信)服务层的技术规范。oneM2M的核心是数据共享，具体是通过对oneM2M CSE(Common Services Entity，公共服务实体)内定义的资源树上的数据项的共享而实现的。

oneM2M通过对标准化的资源树进行操作来实现服务层资源的共享和交互，oneM2M资源树存在于oneM2M系统所定义的公共服务实体(CSE)中。根据oneM2M功能架构规范(oneM2M TS-0001:Functional Architecture)中的定义，oneM2M资源树的形式如图1所示。对oneM2M资源可进行创建(Create)、查询(Retrieve)、修改(Update)和删除(Delete)等操作。

oneM2M所定义的资源中与授权相关的资源是访问控制策略资源accessControlPolicy，用于存储ACP(Access Control Policy，访问控制策略)。 accessControlPolicy资源由资源ID唯一标识，其他资源通过资源中的accessControlPolicyIDs属性指定适用于该资源的访问控制策略。 accessControlPolicy资源中的privileges属性用于存储具体的访问控制策略，selfPrivileges属性用于存储维护accessControlPolicy资源的访问控制策略。privileges或selfPrivileges属性中所存储的访问控制策略由一系列的访问控制规则构成。

访问控制策略的结构为3元组，分别为accessControlOriginators，accessControlContexts和accessControlOperations。其中，accessControlOriginators为访问的发起方，可为应用实体标识(AE-ID)，公共服务实体标识(CSE-ID) 或群组的资源标识；accessControlContexts为上下文条件，例如时间、位置或 IP地址等；accessControlOperations为发起方请求作用于目标资源上的操作，例如创建、查询、更新、删除等。

访问控制策略资源accessControlPolicy可直接或通过accessControlPolicyIDs属性间接地赋给目标资源，oneM2M访问控制系统据此确定适用于该目标资源的访问控制策略。

目前oneM2M定义有20多种可拥有accessControlPolicy资源或accessControlPolicyIDs属性的资源。然而对于那些具有较复杂结构的资源来说，针对目标资源的访问控制过于粗糙，不能满足实际需要。

发明内容

本发明实施例提供了一种资源访问控制方法、装置及系统，以实现更细粒度地对目标资源的访问进行控制。

本发明实施例提供的资源访问控制方法包括：

接收策略执行点PEP发送的访问控制决策请求，所述访问控制决策请求中包括请求访问的目标对象，所述目标对象包括资源属性和/或子资源；