本申請(qǐng)公開了一種資源訪問控制方法及裝置。該方法中，接收到用于請(qǐng)求對(duì)發(fā)起方發(fā)起的資源訪問請(qǐng)求進(jìn)行訪問控制策略判決的訪問控制決策請(qǐng)求后，根據(jù)訪問控制策略對(duì)所述資源訪問請(qǐng)求進(jìn)行訪問控制策略判決，并返回訪問控制決策響應(yīng)。其中，所述訪問控制策略包括一個(gè)或多個(gè)訪問控制規(guī)則，所述一個(gè)或多個(gè)訪問控制規(guī)則用于描述在滿足目標(biāo)資源規(guī)則以及發(fā)起方規(guī)則的情況下應(yīng)滿足的規(guī)則，每個(gè)訪問控制規(guī)則使用至少一個(gè)訪問控制規(guī)則原語集合進(jìn)行描述，所述訪問控制規(guī)則原語集合中包括一個(gè)或多個(gè)規(guī)則原語，所述訪問控制規(guī)則原語集合中的一個(gè)規(guī)則原語用于描述訪問控制規(guī)則中的一個(gè)判決條件。

技術(shù)領(lǐng)域

本發(fā)明涉及通信技術(shù)領(lǐng)域，尤其涉及一種資源訪問控制方法及裝置。

背景技術(shù)

物聯(lián)網(wǎng)標(biāo)準(zhǔn)化組織oneM2M致力于開發(fā)一系列用于構(gòu)造公共的機(jī)器對(duì)機(jī)器通信(Machine-To-Machine，M2M)服務(wù)層的技術(shù)規(guī)范。oneM2M的核心是數(shù)據(jù)共享，具體是通過oneM2M公共服務(wù)實(shí)體(Common Services Entity，CSE)內(nèi)定義的資源樹上的數(shù)據(jù)項(xiàng)的共享實(shí)現(xiàn)的。

oneM2M通過對(duì)標(biāo)準(zhǔn)化的資源樹進(jìn)行操作來實(shí)現(xiàn)服務(wù)層資源的共享和交互，oneM2M資源樹存在于oneM2M系統(tǒng)所定義的CSE中。根據(jù)oneM2M功能架構(gòu)規(guī)范(oneM2M TS-0001:Functional Architecture)中的定義，oneM2M資源樹的形式如圖1所示。對(duì)oneM2M資源可進(jìn)行創(chuàng)建(Create)、查詢(Retrieve)、修改(Update)和刪除(Delete)等操作。

oneM2M所定義的資源中與授權(quán)相關(guān)的資源是訪問控制策略資源accessControlPolicy，其中定義有訪問控制策略(Access Control Policy，ACP)。accessControlPolicy資源由資源ID唯一標(biāo)識(shí)。

accessControlPolicy資源可以直接賦給oneM2M的某些資源類型，或者通過目標(biāo)資源的accessControlPolicyID屬性間接賦給目標(biāo)資源(即，其他資源通過資源中的accessControlPolicyIDs屬性指定適用于該資源的訪問控制策略)。存儲(chǔ)在accessControlPolicy資源中的訪問控制策略，以目標(biāo)資源為單位描述訪問控制。針對(duì)目標(biāo)資源的各種策略規(guī)則將適用于目標(biāo)資源的所有屬性和子資源。

目前，oneM2M系列規(guī)范中的安全規(guī)范(oneM2M TS-0003:Security Solutions)給出了oneM2M授權(quán)架構(gòu)的高層描述，具體給出了授權(quán)架構(gòu)的主要組成部分和基本流程，但如何描述訪問控制策略的相關(guān)規(guī)則，尚未給出具體的實(shí)現(xiàn)方案。

發(fā)明內(nèi)容

本申請(qǐng)實(shí)施例提供一種資源訪問控制方法及裝置。

第一方面，提供一種資源訪問控制方法，該方法包括：接收訪問控制決策請(qǐng)求，所述訪問控制決策請(qǐng)求用于請(qǐng)求對(duì)發(fā)起方發(fā)起的資源訪問請(qǐng)求進(jìn)行訪問控制策略判決；獲取訪問控制策略；根據(jù)所述訪問控制策略，對(duì)所述資源訪問請(qǐng)求進(jìn)行訪問控制策略判決；返回訪問控制決策響應(yīng)，所述訪問控制決策響應(yīng)攜帶對(duì)所述資源訪問請(qǐng)求的訪問控制策略判決結(jié)果。其中，所述訪問控制策略包括一個(gè)或多個(gè)訪問控制規(guī)則，所述一個(gè)或多個(gè)訪問控制規(guī)則用于描述在滿足目標(biāo)資源規(guī)則以及發(fā)起方規(guī)則的情況下應(yīng)滿足的規(guī)則，每個(gè)訪問控制規(guī)則使用至少一個(gè)訪問控制規(guī)則原語集合進(jìn)行描述，所述訪問控制規(guī)則原語集合中包括一個(gè)或多個(gè)規(guī)則原語，所述訪問控制規(guī)則原語集合中的一個(gè)規(guī)則原語用于描述訪問控制規(guī)則中的一個(gè)判決條件。

在一種可能的實(shí)現(xiàn)方式中，所述訪問控制規(guī)則還使用上下文限制規(guī)則原語集合進(jìn)行描述，所述上下文限制規(guī)則原語集合中包括一個(gè)或多個(gè)規(guī)則原語，用于描述所述上下文限制規(guī)則原語集合所屬的訪問控制規(guī)則是否可用。

在一種可能的實(shí)現(xiàn)方式中，所述訪問控制策略，還包括：目標(biāo)資源規(guī)則，用于描述適用于所述訪問控制策略的目標(biāo)資源，所述目標(biāo)資源規(guī)則使用一個(gè)或多個(gè)規(guī)則原語進(jìn)行描述。