技術(shù)領(lǐng)域

本發(fā)明涉及通信技術(shù)領(lǐng)域，尤其涉及分布式授權(quán)管理方法及裝置。

背景技術(shù)

物聯(lián)網(wǎng)標(biāo)準(zhǔn)化組織oneM2M致力于開發(fā)一系列用于構(gòu)造公共的M2M(Machine-To-Machine，機(jī)器對(duì)機(jī)器通信)服務(wù)層的技術(shù)規(guī)范。oneM2M的核心是數(shù)據(jù)共享，具體是通過oneM2M CSE(Common Services Entity，公共服務(wù)實(shí)體)內(nèi)定義的資源樹上的數(shù)據(jù)項(xiàng)的共享實(shí)現(xiàn)的。

oneM2M通過對(duì)標(biāo)準(zhǔn)化的資源樹進(jìn)行操作來實(shí)現(xiàn)服務(wù)層資源的共享和交互，oneM2M資源樹存在于oneM2M系統(tǒng)所定義的CSE中。根據(jù)oneM2M功能架構(gòu)規(guī)范(oneM2M TS-0001:"Functional Architecture")中的定義，oneM2M資源樹的形式如圖1所示。對(duì)oneM2M資源可進(jìn)行創(chuàng)建(Create)、查詢(Retrieve)、修改(Update)和刪除(Delete)等操作。

oneM2M所定義的資源中與授權(quán)相關(guān)的資源是訪問控制策略資源<accessControlPolicy>，其中定義有ACP(Access Control Policy，訪問控制策略)。<accessControlPolicy>資源由資源ID唯一標(biāo)識(shí)，其他資源通過accessControlPolicyIDs屬性指定所適用的訪問控制策略。

目前，oneM2M系列規(guī)范中的安全規(guī)范(oneM2M TS-0003:"Security Solutions")給出了oneM2M授權(quán)架構(gòu)的高層描述，具體給出了授權(quán)架構(gòu)的主要組成部分和基本流程，但尚未在資源結(jié)構(gòu)層面給出具體的分布式授權(quán)管理方案。

發(fā)明內(nèi)容

本發(fā)明實(shí)施例提供了一種分布式授權(quán)管理方法及裝置，在資源結(jié)構(gòu)層面給出了分布式授權(quán)管理方案。

本發(fā)明實(shí)施例提供的分布式授權(quán)管理方法，包括：

PEP根據(jù)接收到的資源訪問請(qǐng)求獲取包含有用于承載授權(quán)實(shí)體地址的屬性的資源；

所述PEP根據(jù)所述資源中用于承載授權(quán)實(shí)體地址的屬性獲取授權(quán)實(shí)體地址，所述授權(quán)實(shí)體包括PDP、PRP、PIP中的一種或多種；

所述PEP根據(jù)獲取到的授權(quán)實(shí)體地址，從對(duì)應(yīng)的授權(quán)實(shí)體獲取用于執(zhí)行訪問控制決策的信息；

所述PEP根據(jù)獲取到的用于執(zhí)行訪問控制決策的信息，針對(duì)所述資源訪問請(qǐng)求執(zhí)行訪問控制決策。

優(yōu)選地，所述包含有用于承載授權(quán)實(shí)體地址的屬性的資源，為包含有用于承載授權(quán)實(shí)體地址的屬性的訪問控制策略資源；

PEP根據(jù)所述資源中用于承載授權(quán)實(shí)體地址的屬性獲取PDP地址，包括：

若所述PEP未從所述包含有用于承載授權(quán)實(shí)體地址的屬性的訪問控制策略資源中獲取到訪問控制策略，則根據(jù)該資源中用于承載授權(quán)實(shí)體地址的屬性獲取PDP地址。

優(yōu)選地，PEP根據(jù)接收到的資源訪問請(qǐng)求獲取包含有用于承載授權(quán)實(shí)體地址的屬性的資源，包括：

所述PEP根據(jù)接收到的資源訪問請(qǐng)求，獲取所請(qǐng)求訪問的目標(biāo)資源適用的訪問控制策略資源；

若所述PEP未從所述訪問控制策略資源中獲取到訪問控制策略，則獲取所述包含有用于承載授權(quán)實(shí)體地址的屬性的資源。

優(yōu)選地，所述用于承載授權(quán)實(shí)體地址的屬性包括：PDP接入點(diǎn)屬性，所述PDP接入點(diǎn)屬性用于承載一個(gè)或多個(gè)PDP地址。

其中，若PDP接入點(diǎn)屬性中承載有多個(gè)PDP地址，則所述PEP根據(jù)所述 資源中用于承載授權(quán)實(shí)體地址的屬性獲取PDP地址，包括：所述PEP根據(jù)所述資源中的PDP接入點(diǎn)屬性獲取PDP地址，并從獲取到的PDP地址中選擇一個(gè)PDP地址。

本發(fā)明另一實(shí)施例提供的分布式授權(quán)管理方法，包括：

PDP根據(jù)接收到的訪問控制決策請(qǐng)求獲取包含有用于承載授權(quán)實(shí)體地址的屬性的資源；

所述PDP根據(jù)所述資源中用于承載授權(quán)實(shí)體地址的屬性獲取PRP地址；

所述PDP根據(jù)獲取到的PRP地址，從對(duì)應(yīng)的PRP獲取訪問控制策略；

所述PDP根據(jù)獲取到的訪問控制策略進(jìn)行訪問控制決策。

優(yōu)選地，所述包含有用于承載授權(quán)實(shí)體地址的屬性的資源，為包含有用于承載授權(quán)實(shí)體地址的屬性的訪問控制策略資源；

所述PDP根據(jù)所述資源中用于承載授權(quán)實(shí)體地址的屬性獲取PRP地址，包括：

若所述PDP未從所述包含有用于承載授權(quán)實(shí)體地址的屬性的訪問控制策略資源中獲取到訪問控制策略，則根據(jù)該資源中用于承載授權(quán)實(shí)體地址的屬性獲取PRP地址。