[发明专利]分布式授权管理方法及装置

说明书

技术领域

本发明涉及通信技术领域，尤其涉及分布式授权管理方法及装置。

背景技术

物联网标准化组织oneM2M致力于开发一系列用于构造公共的M2M(Machine-To-Machine，机器对机器通信)服务层的技术规范。oneM2M的核心是数据共享，具体是通过oneM2M CSE(Common Services Entity，公共服务实体)内定义的资源树上的数据项的共享实现的。

oneM2M通过对标准化的资源树进行操作来实现服务层资源的共享和交互，oneM2M资源树存在于oneM2M系统所定义的CSE中。根据oneM2M功能架构规范(oneM2M TS-0001:"Functional Architecture")中的定义，oneM2M资源树的形式如图1所示。对oneM2M资源可进行创建(Create)、查询(Retrieve)、修改(Update)和删除(Delete)等操作。

oneM2M所定义的资源中与授权相关的资源是访问控制策略资源<accessControlPolicy>，其中定义有ACP(Access Control Policy，访问控制策略)。<accessControlPolicy>资源由资源ID唯一标识，其他资源通过accessControlPolicyIDs属性指定所适用的访问控制策略。

目前，oneM2M系列规范中的安全规范(oneM2M TS-0003:"Security Solutions")给出了oneM2M授权架构的高层描述，具体给出了授权架构的主要组成部分和基本流程，但尚未在资源结构层面给出具体的分布式授权管理方案。

发明内容

本发明实施例提供了一种分布式授权管理方法及装置，在资源结构层面给出了分布式授权管理方案。

本发明实施例提供的分布式授权管理方法，包括：

PEP根据接收到的资源访问请求获取包含有用于承载授权实体地址的属性的资源；

所述PEP根据所述资源中用于承载授权实体地址的属性获取授权实体地址，所述授权实体包括PDP、PRP、PIP中的一种或多种；

所述PEP根据获取到的授权实体地址，从对应的授权实体获取用于执行访问控制决策的信息；

所述PEP根据获取到的用于执行访问控制决策的信息，针对所述资源访问请求执行访问控制决策。

优选地，所述包含有用于承载授权实体地址的属性的资源，为包含有用于承载授权实体地址的属性的访问控制策略资源；

PEP根据所述资源中用于承载授权实体地址的属性获取PDP地址，包括：

若所述PEP未从所述包含有用于承载授权实体地址的属性的访问控制策略资源中获取到访问控制策略，则根据该资源中用于承载授权实体地址的属性获取PDP地址。

优选地，PEP根据接收到的资源访问请求获取包含有用于承载授权实体地址的属性的资源，包括：

所述PEP根据接收到的资源访问请求，获取所请求访问的目标资源适用的访问控制策略资源；

若所述PEP未从所述访问控制策略资源中获取到访问控制策略，则获取所述包含有用于承载授权实体地址的属性的资源。

优选地，所述用于承载授权实体地址的属性包括：PDP接入点属性，所述PDP接入点属性用于承载一个或多个PDP地址。

其中，若PDP接入点属性中承载有多个PDP地址，则所述PEP根据所述 资源中用于承载授权实体地址的属性获取PDP地址，包括：所述PEP根据所述资源中的PDP接入点属性获取PDP地址，并从获取到的PDP地址中选择一个PDP地址。

本发明另一实施例提供的分布式授权管理方法，包括：

PDP根据接收到的访问控制决策请求获取包含有用于承载授权实体地址的属性的资源；

所述PDP根据所述资源中用于承载授权实体地址的属性获取PRP地址；

所述PDP根据获取到的PRP地址，从对应的PRP获取访问控制策略；

所述PDP根据获取到的访问控制策略进行访问控制决策。

优选地，所述包含有用于承载授权实体地址的属性的资源，为包含有用于承载授权实体地址的属性的访问控制策略资源；

所述PDP根据所述资源中用于承载授权实体地址的属性获取PRP地址，包括：

若所述PDP未从所述包含有用于承载授权实体地址的属性的访问控制策略资源中获取到访问控制策略，则根据该资源中用于承载授权实体地址的属性获取PRP地址。