[发明专利]资源驱动的动态授权框架

说明书

实施例涉及一种动态授权框架。安全分类过程(SCP)是从安全值方面对原始数据、从原始数据中提取的信息、内容或者代码进行分类的过程。安全可实现性确定过程(SADP)是基于已经分配的SV/SC的过程，RHE可以确定安全要求和可以实现该安全要求的方式。在安全可实现性列表过程(SALP)期间，RHE将资源的URI、与资源相关联的SAM、以及可选地与资源相关联的数字证书上传到资源列表实体(RLE)。在SAM评估过程(SAMAP)过程期间，客户端对必须实施的安全机制进行评估以满足作为发现过程(DP)的一部分而提供的SAM。基于从RLE获得的SAM，客户端可以发起安全可实现性启用过程(SAEP)。客户端可能被要求发起认证、授权、支付，并且从安全可实现性启用器功能(SAEF)获取对安全行为的断言，安全可实现性启用器功能(SAEF)可以是可信的第三方功能或者实体。

相关申请的交叉引用

本申请要求2015年7月2日提交的序列号为62/188,157的美国临时专利申请的权益，其公开内容通过引用的方式并入本文，犹如本文对其全部内容进行了阐述。

背景技术

为了提供更加动态的授权，互联网工程任务组(IETF)开发了开放授权(OAuth)框架(OAuth 2.0授权框架，IETF-RFC 6749)。OAuth框架是已经被互联网中的一些著名的标识提供商(例如，Google、Facebook)广泛部署的基于令牌的框架。OAuth框架使客户端能够访问由实体托管的资源，即使客户端可能不具有与该实体相关联的凭证。利用在客户端的标识提供商与托管资源的实体之间的静态地预先配置的信任关系以对客户端进行授权。

已经基于来自基于互联网的用例的需求开发了OAuth，在该基于互联网的用例中，通常假设人的参与。另外，访问资源的装置可能不具有诸如计算、存储器或者电池等装置特定的约束。IETF对约束环境(ACE)的认证和授权(ACE)工作组一直试图通过利用OAuth的动态性但是同时将其定制为机器对机器(M2M)通信/物联网(IoT)系统来开发标准和解决方案。已经在参考文献“Comparison of different proposals for ACE(ACE的不同提议的比较)”、“Delegated Authentication Framework(委托认证框架)(DCAF)”、和“DelegatedCoAP Authentication and Authorization Framework(委托CoAp认证和验证框架)(DCAF)”中研究和比较了各种候选授权模型。下面讨论这种候选授权模型。

在信息安全中，访问控制是限制实体(人、应用或者硬件)访问一条数据或者信息的过程。简而言之，访问控制是控制“主体”访问“对象”的过程。通常，通过使用严格和静态的表(也称为访问控制列表(ACL))来执行访问控制，其中，主体是列表的成员，并且明确地声明主体可以对对象执行的操作。很少提供临时访问，并且如果提供临时访问，则不会访问属于其它管理域的资源/数据。主体和对象的类，诸如基于角色的访问机制，提供了一些灵活性，但是不提供动态网页环境所需的灵活性，在该动态网页环境中，来自属于域的各种实体的用户应用可以按照无缝方式来与来自其它域的应用进行交互。

基于令牌的访问机制提供了更灵活的授权机制，其中，资源所有者可以在某个持续时间内在不透露资源所有者的凭证的情况下向实体(主体)提供对象的临时访问权限。OAuth是一种这种广泛部署的授权框架。

OAuth框架描述了用于使客户端能够通过使用由可信的第三方提供的服务来间接地从资源所有者获取服务/资源的访问权限的机制。可以对客户端进行在有限的时间量内访问资源，或者可以在某个时间量之后撤销访问的授权。资源所有者不必向客户端提供自己的凭证，但是向客户端提供临时凭证以获取资源的访问权限。可信的第三方使客户端能够获取资源的访问权限。另外，可以限制客户端访问完整的资源，并且可以通过可信的第三方仅对客户端授权访问其子集。