技術領域

本發明涉及權限管理技術領域，特別涉及一種物聯網資源訪問權限控制方法及系統。

背景技術

權限管理，一般指根據系統設置的安全規則或者安全策略，用戶可以訪問而且只能訪問自己被授權的資源。目前，權限管理領域較成熟的模型主要有DAC和RBAC。

自主訪問控制(Discretionary Access Control，DAC)建立在用戶與權限控制客體資源的一張多對多關系的訪問控制列表(Access Control List，ACL)上，這個列表記錄了用戶對哪些資源有權限，對哪些資源無權限；資源對哪些用戶開放，對哪些用戶不開放。系統中的權限由主體自主控制，權限的主體可以自主地將其擁有的權限部分或者全部授予其他主體。

基于角色的訪問控制(Role-Based Access Control,RBAC)認為權限問題實際上是權限主體(用戶、用戶組、角色等)對權限客體(權限訪問的目標、資源等)進行一定操作的問題。權限主體、操作、目標構成了權限三元組。RBAC在用戶和權限之間添加了一個角色概念：特定的角色具有對某些資源進行某些操作的權限；具有某種角色的用戶就擁有了這種角色所規定的的權限；用戶可以靜態地具有某些角色，也可以在某次動態會話中獲得某些角色(會話結束后失去權限)。這種做法使得用戶和權限之間進一步解耦，當角色的權限指派需要變更的時候，不用更改用戶與角色之間的對應關系，當用戶指派角色需要更改時，不用更改具體角色與權限的對應關系。

本發明著力于物聯網資源的權限管理。目前已存在一些主流物聯網平臺，比如Xively、Yeelink等等，他們或者不提供，或者僅提供了對物聯網資源較粗粒度的權限訪問控制與分享機制，而物聯網資源(這里主要指各種 類型的傳感器設備、虛擬數據流等)具有各種各樣復雜的屬性，多樣的功能，用戶對物聯網資源也有多樣化的使用場景、差異化的需求，現存粗粒度的權限管理方法較為低效，不能夠滿足物聯網類型數據權限管理的要求。

發明內容

本發明所要解決的技術問題是提供一種基于用戶的、細粒度、支持資源所有者將所持資源批量分配給單個用戶或者一組用戶、實現資源分享的物聯網資源訪問權限控制方法及系統。

本發明解決上述技術問題的技術方案如下：一種物聯網資源訪問權限控制方法，包括以下步驟：

步驟1：分別將每個物聯網資源中表示所有資源屬性的訪問權限的集合定義為對應的物聯網資源的權限集；

步驟2：當任一物聯網資源首次接入系統時，為資源所有者初始化一個所有者權限集，所述所有者權限集用于表示資源所有者對其擁有的每個物聯網資源的訪問權限；

步驟3：當系統接收到資源所有者發送的創建權限集請求時，在資源所有者所擁有的資源范圍內查找是否有其它的所有者權限集存在，如果存在，執行步驟4，否則，執行步驟5；

步驟4：獲取用戶輸入的輸入信息，并根據輸入信息判斷是否對查找到的所有者權限集中的權限集進行復用，如果是，將查找到的所有者權限集中的權限集進行復用，否則，執行步驟5；

步驟5：在為資源所有者初始化的所有者權限集中創建新的權限集。

本發明的有益效果是：本發明這種將用戶和資源分組的做法解耦了用戶-權限-資源的關系，將可能合并的權限管理進行批量操作，提高了用戶對自身的資源進行管理的便利度。假設用戶有一大批相同的設備，并且對這些設 備進行權限管理的需求也大致相同，則可以利用這種模型減少很多工作量。從系統資源占用的角度來講，對資源權限的批量管理也減少了數據庫中權限存儲的數據量。

在上述技術方案的基礎上，本發明還可以做如下改進。

進一步，所述物聯網資源包括各類傳感器、虛擬數據流，每個物聯網資源的資源屬性的類型標識符具有唯一標識。

進一步，所述步驟3中還包括，系統中的每個所有者權限集均對應一個哈希編碼。

進一步，所述所有者權限集的哈希編碼根據每個資源屬性的權限項計算得出，所述資源屬性的權限項包括類型標識符、讀權限標識符和寫權限標識符。

進一步，所述步驟3具體為，系統根據步驟2中初始化的所有者權限集的哈希編碼，先在同個資源所有者所擁有的資源范圍內查找是否有與初始化的所有者權限集的哈希編碼相同的所有者權限集存在，如果有，判斷該所有者權限集的結構定義與初始化的所有者權限集的結構定義是否相同，如果相同，則執行步驟4，如果不相同或者沒有哈希編碼相同的所有者權限集存在，則保存初始化的所有者權限集的哈希編碼，執行步驟5。