本發(fā)明涉及通信領(lǐng)域，尤其涉及一種資源控制訪問方法、裝置及系統(tǒng)。

背景技術(shù)：

物聯(lián)網(wǎng)標(biāo)準(zhǔn)化組織onem2m致力于開發(fā)一系列用于構(gòu)造一個公共的m2m(machine-to-machine，機器對機器通信)服務(wù)層的技術(shù)規(guī)范。onem2m的核心是數(shù)據(jù)共享，具體是通過對onem2mcse(commonservicesentity，公共服務(wù)實體)內(nèi)定義的資源樹上的數(shù)據(jù)項的共享而實現(xiàn)的。

onem2m通過對標(biāo)準(zhǔn)化的資源樹進行操作來實現(xiàn)服務(wù)層資源的共享和交互，onem2m資源樹存在于onem2m系統(tǒng)所定義的公共服務(wù)實體(cse)中。根據(jù)onem2m功能架構(gòu)規(guī)范(onem2mts-0001:"functionalarchitecture")中的定義，onem2m資源樹的形式如圖1所示。對onem2m資源可進行創(chuàng)建(create)、查詢(retrieve)、修改(update)和刪除(delete)等操作。

onem2m所定義的資源中與授權(quán)相關(guān)的資源是訪問控制策略資源<accesscontrolpolicy>，用于存儲acp(accesscontrolpolicy，訪問控制策略)。<accesscontrolpolicy>資源由資源id唯一標(biāo)識，其他資源通過資源中的accesscontrolpolicyids屬性指定適用于該資源的訪問控制策略。<accesscontrolpolicy>資源中的privileges屬性用于存儲具體的訪問控制策略，selfprivileges屬性用于存儲維護<accesscontrolpolicy>資源的訪問控制策略。privileges或selfprivileges屬性中所存儲的訪問控制策略由一系列的訪問控制規(guī)則構(gòu)成。

訪問控制策略的結(jié)構(gòu)為3元組，分別為accesscontroloriginators，accesscontrolcontexts和accesscontroloperations。其中，accesscontroloriginators 為訪問的發(fā)起方，可為應(yīng)用實體標(biāo)識(ae-id)，公共服務(wù)實體標(biāo)識(cse-id)或群組的資源標(biāo)識；accesscontrolcontexts為上下文條件，例如時間、位置或ip地址等；accesscontroloperations為發(fā)起方請求作用于目標(biāo)資源上的操作，例如創(chuàng)建、查詢、更新、刪除等。

訪問控制策略資源<accesscontrolpolicy>可直接或通過accesscontrolpolicyids屬性間接地賦給目標(biāo)資源，onem2m訪問控制系統(tǒng)據(jù)此確定適用于該目標(biāo)資源的訪問控制策略。

目前onem2m定義有20多種可擁有<accesscontrolpolicy>資源或accesscontrolpolicyids屬性的資源。然而對于那些具有較復(fù)雜結(jié)構(gòu)的資源來說，針對目標(biāo)資源的訪問控制過于粗糙，不能滿足實際需要。

技術(shù)實現(xiàn)要素：

本發(fā)明實施例提供了一種資源訪問控制方法、裝置及系統(tǒng)，以實現(xiàn)更細粒度地對目標(biāo)資源的訪問進行控制。

本發(fā)明實施例提供的資源訪問控制方法包括：

接收策略執(zhí)行點pep發(fā)送的訪問控制決策請求，所述訪問控制決策請求中包括請求訪問的目標(biāo)對象，所述目標(biāo)對象包括資源屬性和/或子資源；

獲取用于對所述訪問控制決策請求進行訪問權(quán)限判決的訪問控制策略；其中，所述訪問控制策略中包括用于對所述目標(biāo)對象進行訪問權(quán)限判決的規(guī)則；

根據(jù)獲取到的訪問控制策略對所述訪問控制決策請求進行訪問權(quán)限判決，并向所述pep返回訪問權(quán)限判決結(jié)果。

具體地，所述根據(jù)獲取到的訪問控制策略對所述訪問控制決策請求進行訪問權(quán)限判決，包括：

若所述請求訪問的資源屬性不在用于對目標(biāo)資源的資源屬性進行訪問權(quán)限判決的規(guī)則所允許訪問的資源屬性中，則判決為拒絕對目標(biāo)資源進行訪問， 所述目標(biāo)資源為所述訪問控制決策請求所請求訪問的目標(biāo)資源；或者，

若所述請求訪問的子資源不在用于對目標(biāo)資源的子資源進行訪問權(quán)限判決的規(guī)則所允許訪問的子資源中，則判決為拒絕對目標(biāo)資源進行訪問，所述目標(biāo)資源為所述訪問控制決策請求所請求訪問的目標(biāo)資源。

具體地，用于對資源屬性進行訪問權(quán)限判決的規(guī)則中包含允許訪問的資源屬性列表，所述允許訪問的資源屬性列表中包括以下內(nèi)容之一：

一個或多個允許訪問的資源屬性或者資源屬性的指示信息；

用于表示所有資源屬性均被允許訪問的指示信息；

用于表示所有資源屬性均不允許訪問的指示信息。

具體地，所述用于對資源屬性進行訪問權(quán)限判決的規(guī)則中若不包含允許訪問的資源屬性列表，則該規(guī)則表明所有資源屬性均不允許訪問。

具體地，用于對子資源進行訪問權(quán)限判決的規(guī)則中包含子資源列表，所述子資源列表中包括以下內(nèi)容之一：

一個或多個允許訪問的子資源或者子資源的指示信息；

用于表示所有子資源均被允許訪問的指示信息；

用于表示所有子資源均不允許訪問的指示信息。

具體地，所述用于對子資源進行訪問權(quán)限判決的規(guī)則中若不包子資源列表，則該規(guī)則表明所有子資源均不允許訪問。

可選地，所述訪問控制決策請求中還包括請求訪問的目標(biāo)資源的指示信息；

所述用于對所述訪問控制決策請求進行訪問權(quán)限判決的訪問控制策略中還包括允許訪問的目標(biāo)資源列表；

所述根據(jù)獲取到的訪問控制策略對所述訪問控制決策請求進行權(quán)限判決，包括：

若所述訪問控制決策請求中的目標(biāo)資源的指示信息不在所述允許訪問的目標(biāo)資源列表中，則判決為拒絕對所述訪問控制決策請求所請求的目標(biāo)資源 進行訪問。

可選地，所述訪問控制決策請求中，還包括提供建議指示；

所述方法還包括：

若判決為拒絕對所述訪問控制決策請求所請求的目標(biāo)資源進行訪問，則根據(jù)所述提供建議指示，獲取建議請求訪問的目標(biāo)對象列表，該列表中包含的資源屬性和/或子資源能夠被所述訪問控制決策請求的發(fā)起方訪問；

將所述建議請求訪問的目標(biāo)對象列表發(fā)送給所述pep。

優(yōu)選地，所述訪問控制決策請求中還包括：發(fā)起方標(biāo)識、操作類型指示信息，所述操作類型指示信息用于指示請求作用于目標(biāo)資源的操作類型；

所述用于對所述訪問控制決策請求進行訪問權(quán)限判決的訪問控制策略中還包括：允許的訪問發(fā)起方列表、允許作用于目標(biāo)資源的操作列表和上下文條件列表；

所述根據(jù)獲取到的訪問控制策略對所述訪問控制決策請求進行訪問權(quán)限判決，包括：

若滿足以下幾種條件之一，則判決為拒絕對所述訪問控制決策請求所請求的目標(biāo)資源進行訪問：

所述發(fā)起方標(biāo)識不在所述允許的訪問發(fā)起方列表中；

所述操作類型指示信息所指示的操作類型不在所述允許作用于目標(biāo)資源的操作列表中；

所述訪問控制決策請求不滿足所述上下文條件列表中的上下文條件。

本發(fā)明實施例提供的策略決策點裝置，包括：

接收模塊，用于接收策略執(zhí)行點pep發(fā)送的訪問控制決策請求，所述訪問控制決策請求中包括請求訪問的目標(biāo)對象，所述目標(biāo)對象包括資源屬性和/或子資源；

獲取模塊，用于獲取用于對所述訪問控制決策請求進行訪問權(quán)限判決的訪問控制策略；其中，所述訪問控制策略中包括用于對所述目標(biāo)對象進行訪 問權(quán)限判決的規(guī)則；

判決模塊，用于根據(jù)獲取到的訪問控制策略對所述訪問控制決策請求進行訪問權(quán)限判決，并向所述pep返回訪問權(quán)限判決結(jié)果。

具體地，所述判決模塊具體用于：

若所述請求訪問的資源屬性不在用于對目標(biāo)資源的資源屬性進行訪問權(quán)限判決的規(guī)則所允許訪問的資源屬性中，則判決為拒絕對目標(biāo)資源進行訪問，所述目標(biāo)資源為所述訪問控制決策請求所請求訪問的目標(biāo)資源；或者，

若所述請求訪問的子資源不在用于對目標(biāo)資源的子資源進行訪問權(quán)限判決的規(guī)則所允許訪問的子資源中，則判決為拒絕對目標(biāo)資源進行訪問，所述目標(biāo)資源為所述訪問控制決策請求所請求訪問的目標(biāo)資源。

具體地，用于對資源屬性進行訪問權(quán)限判決的規(guī)則中包含允許訪問的資源屬性列表，所述允許訪問的資源屬性列表中包括以下內(nèi)容之一：

一個或多個允許訪問的資源屬性或者資源屬性的指示信息；

用于表示所有資源屬性均被允許訪問的指示信息；

用于表示所有資源屬性均不允許訪問的指示信息。

具體地，所述用于對資源屬性進行訪問權(quán)限判決的規(guī)則中若不包含允許訪問的資源屬性列表，則該規(guī)則表明所有資源屬性均不允許訪問。

具體地，用于對子資源進行訪問權(quán)限判決的規(guī)則中包含子資源列表，所述子資源列表中包括以下內(nèi)容之一：

一個或多個允許訪問的子資源或者子資源的指示信息；

用于表示所有子資源均被允許訪問的指示信息；

用于表示所有子資源均不允許訪問的指示信息。

具體地，所述用于對子資源進行訪問權(quán)限判決的規(guī)則中若不包子資源列表，則該規(guī)則表明所有子資源均不允許訪問。

可選地，所述訪問控制決策請求中還包括請求訪問的目標(biāo)資源的指示信息；

所述用于對所述訪問控制決策請求進行訪問權(quán)限判決的訪問控制策略中還包括允許訪問的目標(biāo)資源列表；

所述判斷模塊具體用于：

若所述訪問控制決策請求中的目標(biāo)資源的指示信息不在所述允許訪問的目標(biāo)資源列表中，則判決為拒絕對所述訪問控制決策請求所請求的目標(biāo)資源進行訪問。

可選地，所述訪問控制決策請求中，還包括提供建議指示；

所述裝置還包括建議模塊，用于：

若判決為拒絕對所述訪問控制決策請求所請求的目標(biāo)資源進行訪問，則根據(jù)所述提供建議指示，獲取建議請求訪問的目標(biāo)對象列表，該列表中包含的資源屬性和/或子資源能夠被所述訪問控制決策請求的發(fā)起方訪問；

將所述建議請求訪問的目標(biāo)對象列表發(fā)送給所述pep。

本發(fā)明實施例提供的資源訪問控制系統(tǒng)，包括：策略執(zhí)行點pep和策略決策點pdp；

所述pep，用于接收資源訪問請求，并根據(jù)所述資源訪問請求向所述pdp發(fā)送訪問控制決策請求，所述訪問控制決策請求中包括請求訪問的目標(biāo)對象，所述目標(biāo)對象包括資源屬性和/或子資源；

所述pdp，用于獲取用于對所述訪問控制決策請求進行訪問權(quán)限判決的訪問控制策略，其中，所述訪問控制策略中包括用于對所述目標(biāo)對象進行訪問權(quán)限判決的規(guī)則；以及，根據(jù)獲取到的訪問控制策略對所述訪問控制決策請求進行訪問權(quán)限判決，并向所述pep返回訪問權(quán)限判決結(jié)果。

具體地，所述pdp具體用于：

若所述請求訪問的資源屬性不在用于目標(biāo)資源的對資源屬性進行訪問權(quán)限判決的規(guī)則所允許訪問的資源屬性中，則判決為拒絕對目標(biāo)資源進行訪問，所述目標(biāo)資源為所述訪問控制決策請求所請求訪問的目標(biāo)資源；或者，

若所述請求訪問的子資源不在用于目標(biāo)資源的對子資源進行訪問權(quán)限判 決的規(guī)則所允許訪問的子資源中，則判決為拒絕對目標(biāo)資源進行訪問，所述目標(biāo)資源為所述訪問控制決策請求所請求訪問的目標(biāo)資源。

具體地，用于對資源屬性進行訪問權(quán)限判決的規(guī)則中包含允許訪問的資源屬性列表，所述允許訪問的資源屬性列表中包括以下內(nèi)容之一：

一個或多個允許訪問的資源屬性或者資源屬性的指示信息；

用于表示所有資源屬性均被允許訪問的指示信息；

用于表示所有資源屬性均不允許訪問的標(biāo)指示信息。

具體地，所述用于對資源屬性進行訪問權(quán)限判決的規(guī)則中若不包含允許訪問的資源屬性列表，則該規(guī)則表明所有資源屬性均不允許訪問。

具體地，用于對子資源進行訪問權(quán)限判決的規(guī)則中包含子資源列表，所述子資源列表中包括以下內(nèi)容之一：

一個或多個允許訪問的子資源或者子資源的指示信息；

用于表示所有子資源均被允許訪問的指示信息；

用于表示所有子資源均不允許訪問的標(biāo)指示信息。

具體地，所述用于對子資源進行訪問權(quán)限判決的規(guī)則中若不包子資源列表，則該規(guī)則表明所有子資源均不允許訪問。

可選地，所述訪問控制決策請求還包括請求訪問的目標(biāo)資源的指示信息；

所述用于對所述訪問控制決策請求進行訪問權(quán)限判決的訪問控制策略中還包括允許訪問的目標(biāo)資源列表；

所述pdp具體用于：

若所述訪問控制決策請求中的目標(biāo)資源的指示信息不在所述允許訪問的目標(biāo)資源列表中，則判決為拒絕對所述訪問控制決策請求所請求的目標(biāo)資源進行訪問。

本發(fā)明的上述實施例中，一方面，訪問控制決策請求中包括請求訪問的目標(biāo)資源的目標(biāo)對象，其中目標(biāo)對象包括目標(biāo)資源的資源屬性和/或子資源，另 一方面，用于對訪問控制決策請求進行訪問權(quán)限判決的訪問控制策略中包括用于對所述目標(biāo)資源的目標(biāo)對象進行訪問權(quán)限判決的規(guī)則，因此在根據(jù)上述規(guī)則對訪問控制決策請求進行判決時，可以實現(xiàn)對目標(biāo)資源的訪問進行更為細致的控制，即可以控制訪問目標(biāo)資源的具體屬性和具體子資源。

附圖說明

為了更清楚地說明本發(fā)明實施例中的技術(shù)方案，下面將對實施例描述中所需要使用的附圖作簡要介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領(lǐng)域的普通技術(shù)人員來講，在不付出創(chuàng)造性勞動性的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為現(xiàn)有技術(shù)中的onem2m資源樹；

圖2為現(xiàn)有技術(shù)中資源訪問控制架構(gòu)示意圖；

圖3為本發(fā)明實施例提供的一種資源訪問控制方法的流程示意圖；

圖4為本發(fā)明實施例提供的一種資源訪問控制裝置的結(jié)構(gòu)示意圖；

圖5為本發(fā)明實施例提供的另一種資源訪問控制裝置的結(jié)構(gòu)示意圖。

具體實施方式

為了使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚，下面將結(jié)合附圖對本發(fā)明作進一步地詳細描述，顯然，所描述的實施例僅僅是本發(fā)明一部份實施例，而不是全部的實施例?；诒景l(fā)明中的實施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其它實施例，都屬于本發(fā)明保護的范圍。

onem2m安全解決方案技術(shù)規(guī)范(onem2mts-0003:securitysolutions)中給出的資源訪問控制架構(gòu)，如圖2所示，該架構(gòu)中各需要的組件包括：

·策略執(zhí)行點(policyenforcementpoint，pep)：pep與需要訪問控制的應(yīng)用系統(tǒng)共存，并由應(yīng)用系統(tǒng)調(diào)用，pep將根據(jù)發(fā)起方的訪問請求生成相應(yīng)的訪問控制請求，并發(fā)送給策略決策點，然后根據(jù)策略決策點的訪問控制應(yīng) 答確定是否執(zhí)行該訪問請求。

·策略決策點(policydecisionpoint，pdp)：pdp負(fù)責(zé)根據(jù)訪問控制策略判決是否同意對由pep發(fā)送來的訪問控制請求所請求的目標(biāo)資源進行訪問，并將判決結(jié)果通過訪問控制應(yīng)答返回給pep。

·策略獲取點(policyretrievalpoint，prp)：prp根據(jù)pdp提供的策略請求獲取適用的訪問控制策略，并將獲取的訪問控制策略返回給pdp。

·策略信息點(policyinformationpoint，pip)：pip根據(jù)pdp的請求獲取與用戶、資源或環(huán)境相關(guān)的屬性，例如訪問用戶的ip地址，資源的創(chuàng)建者，當(dāng)前的時間等，然后將獲得的各種屬性返回給pdp。

onem2m的基本資源訪問控制流程為：

1)發(fā)起方向pep發(fā)送資源訪問請求(accessrequest)。

2)pep根據(jù)用戶的資源訪問請求向pdp發(fā)送訪問控制決策請求(decisionrequest)。

3)pdp根據(jù)pep的訪問控制決策請求向prp發(fā)送訪問控制策略請求(policyrequest)。

4)prp向pdp返回訪問控制策略響應(yīng)(policyresponse)，該訪問控制策略響應(yīng)中包含有訪問控制策略。

5)pdp對訪問控制決策請求和訪問控制策略中包含的內(nèi)容進行分析、判決；在進行分析、判決時，若需要其他屬性，則向pip發(fā)送訪問控制屬性請求(attributerequest)，否則執(zhí)行步驟7。

6)pip向pdp發(fā)送訪問控制屬性應(yīng)答，該訪問控制屬性應(yīng)答包括根據(jù)訪問控制屬性請求獲取到的與訪問控制相關(guān)的屬性。

7)pdp向pep發(fā)送訪問控制決策應(yīng)答(decisionresponse)，該問控制決策應(yīng)答中包括判決結(jié)果。

8)pep根據(jù)訪問控制決策應(yīng)答中的判決結(jié)果，決定是否執(zhí)行發(fā)起方的訪問。

本發(fā)明實施例對上述流程中的訪問控制決策請求所包含的內(nèi)容和訪問控制策略所包含的規(guī)則進行了擴展，并針對上述擴展的內(nèi)容，對pdp的分析、判決過程進行了改進，從而實現(xiàn)了更細粒度地對目標(biāo)資源的訪問進行控制，進而實現(xiàn)對目標(biāo)資源的訪問進行更為細致的控制。

其中，在訪問控制決策請求中，增加以下兩種信息之一或組合：

(1)資源屬性訪問列表(accessattributelist，atl)：該列表中包含請求訪問的資源屬性相關(guān)信息，比如屬性名稱。

(2)子資源訪問列表(accesssubresourcelist，asl)：該列表中包含請求訪問的子資源相關(guān)信息，比如子資源名稱。

可選地，在此基礎(chǔ)上，在訪問控制決策請求中，還可以增加：

(3)提供建議指示(advicerequirement，ar)：用于指示pdp是否提供其建議的資源屬性訪問列表和/或子資源訪問列表。所建議的資源屬性訪問列表中包含的資源屬性能夠被訪問控制決策請求的發(fā)起方訪問，所建議的子資源訪問列表中包含的子資源能夠被訪問控制決策請求的發(fā)起方訪問。該提供建議指示可以采用一個二進制數(shù)值來表示，例如：0表示不需要提供建議，1表示請求提供建議。

優(yōu)選地，可將上述三種信息全部添加到訪問控制決策請求中，這樣結(jié)合訪問控制決策請求中已有的三種信息，構(gòu)成了訪問控制決策請求中的六元組信息。其中，訪問控制決策請求中已有的三種信息包括：

(1)目標(biāo)資源的指示信息：即“to”參數(shù)，用于指示所請求訪問的目標(biāo)資源；

(2)發(fā)起方標(biāo)識：即“fr”參數(shù)，用于指示訪問控制決策請求的發(fā)起方；

(3)操作類型指示信息：即“op”參數(shù)，用于指示請求作用于目標(biāo)資源的操作類型，可以是創(chuàng)建、查詢、更新、刪除中的一種。

在訪問控制策略中，增加以下兩種規(guī)則之一或組合：

(1)允許訪問的資源屬性列表(permittedattributes)：根據(jù)該列表可以獲 得允許訪問的資源屬性。該允許訪問的資源屬性列表中包括以下內(nèi)容之一：

-一個或多個允許訪問的資源屬性或者資源屬性的指示信息，其中，資源屬性的指示信息具體可以是資源屬性名稱；

-用于表示所有資源屬性均被允許訪問的指示信息，例如，用“all”表示允許對所有資源屬性進行訪問；

-用于表示所有資源屬性均不允許訪問的指示信息，例如，用“null”表示不允許對所有資源屬性進行訪問。

在一些實施例中，訪問控制策略中也可以不包含“允許訪問的資源屬性列表”，這種情況下，該訪問控制策略表明所有資源屬性均不允許訪問。

(2)允許訪問的子資源列表(permittedsubresources)：根據(jù)該列表可以獲得允許訪問的子資源。該允許訪問的子資源列表中包括以下內(nèi)容之一：

-一個或多個允許訪問的子資源或者子資源的指示信息，其中，子資源的指示信息具體可以是子資源名稱；

-用于表示所有子資源均被允許訪問的指示信息，例如，用“all”表示允許對所有子資源進行訪問；

-用于表示所有子資源均不允許訪問的指示信息，例如，用“null”表示不允許對所有子資源進行訪問。

在一些實施例中，訪問控制策略中也可以不包含“允許訪問的子資源列表”，這種情況下，該訪問控制策略表明所有子資源均不允許訪問。。

可選地，在訪問控制策略中，還可以增加：

(3)允許訪問的目標(biāo)資源列表(accesscontrolresources)：該列表中可包含允許訪問的目標(biāo)資源的地址或標(biāo)識。

優(yōu)選地，可將上述三種規(guī)則全部添加到訪問控制策略中，加上訪問控制策略中已有的三種規(guī)則，構(gòu)成了6元組的訪問控制策略。其中，訪問控制決策中已有的三種規(guī)則包括：

(1)允許的訪問發(fā)起方列表(accesscontroloriginators)：該列表中包含 允許發(fā)起對目標(biāo)資源進行訪問的發(fā)起方的相關(guān)信息，比如，可以是ae-id、cse-id或組群的資源id；

(2)允許作用于目標(biāo)資源的操作列表(accesscontroloperations)：該列表中包含允許作用于目標(biāo)資源的操作類型指示信息，例如操作類型可以是創(chuàng)建、獲取、更新、刪除、通知中的一種；

(3)上下文條件列表(accesscontrolcontexts)：該列表中包含限制規(guī)則適用范圍的上下文條件，例如訪問的時間，發(fā)起方的位置和ip地址等。

根據(jù)上述六元組規(guī)則，當(dāng)滿足accesscontrolcontexts中描述的上下文限制條件的情況下，accesscontroloriginators中描述的允許的訪問發(fā)起方，可以對accesscontrolresources中描述的資源中的由permittedattributes所描述的資源屬性和/或由permittedsubresources所描述的子資源進行accesscontroloperations中所描述的操作。

本申請實施例中，一條訪問控制策略中包含一個“允許訪問的資源屬性列表”和/或一個“允許訪問的子資源列表”。一條訪問控制策略中的“允許訪問的資源屬性列表”適用于針對具有相同屬性且針對每個屬性所能夠進行的操作類型均相同的目標(biāo)資源的訪問權(quán)限判決，一條訪問控制策略中的“允許訪問的子資源列表”適用于針對具有相同子資源且針對每個子資源所能夠進行的操作類型均相同的目標(biāo)資源的訪問權(quán)限判決。

基于上述圖2所示的資源訪問控制架構(gòu)，以及上述對訪問控制決策請求以及訪問控制策略所包含的規(guī)則進行的擴展，圖3示出了本發(fā)明實施例提供的一種資源訪問控制方法。

參見圖3，為本發(fā)明實施例提供的一種資源訪問控制方法的流程示意圖，如圖所示，該方法包括：

步驟301：發(fā)起方向pep發(fā)送資源訪問請求。

其中，所述資源訪問請求中可包括：目標(biāo)資源的指示信息(如目標(biāo)資源的地址或標(biāo)識)、發(fā)起方標(biāo)識、操作類型指示信息等。該資源訪問請求中還可包 括content(內(nèi)容)參數(shù)，該參數(shù)中可包含資源屬性和/或子資源的名稱或標(biāo)識。

步驟302：pep接收到發(fā)起方發(fā)送的資源訪問請求后，向pdp發(fā)送訪問控制決策請求。

其中，該訪問控制決策請求中包括請求訪問的目標(biāo)資源的目標(biāo)對象。該目標(biāo)對象包括目標(biāo)資源的資源屬性，或包括目標(biāo)資源的子資源，或包括目標(biāo)資源的資源屬性和子資源。

其中，pep可根據(jù)發(fā)起方發(fā)送的資源訪問請求確定目標(biāo)資源的目標(biāo)對象。具體地，可以通過以下兩種方式確定目標(biāo)資源的目標(biāo)對象：

方式1：pep根據(jù)發(fā)起方發(fā)送的資源訪問請求中的content(內(nèi)容)參數(shù)確定目標(biāo)資源的目標(biāo)對象。其中，content參數(shù)中可包含資源屬性和/或子資源的名稱或標(biāo)識，pep可根據(jù)content參數(shù)所包含的資源屬性和/或子資源的名稱或標(biāo)識，將對應(yīng)的資源屬性和/或子資源確定為目標(biāo)對象。

方式2：pep根據(jù)發(fā)起方發(fā)送的資源訪問請求中的目標(biāo)資源自行確定應(yīng)將哪些資源屬性和/或子資源確定為目標(biāo)對象。例如，如果資源訪問請求用于請求在目標(biāo)資源中創(chuàng)建子資源，則可以將欲創(chuàng)建的子資源確定為目標(biāo)對象；再例如，如果資源訪問請求用于請求查詢目標(biāo)資源，則可以將欲查詢的目標(biāo)資源的資源屬性和/或子資源確定為目標(biāo)對象。

上述訪問控制決策請求中還可以包括請求訪問的目標(biāo)資源的指示信息(比如目標(biāo)資源的地址或標(biāo)識)，請求訪問的發(fā)起方的標(biāo)識，請求作用于目標(biāo)資源的操作類型等信息。

步驟303：pdp接收pep發(fā)送的訪問控制決策請求后，獲取用于對該訪問控制決策請求進行訪問權(quán)限判決的訪問控制策略；其中，該訪問控制策略中包括用于對目標(biāo)資源的目標(biāo)對象進行訪問權(quán)限判決的規(guī)則。

在上述步驟中，pdp可以根據(jù)該訪問控制決策請求，向prp發(fā)送訪問控制策略請求，進而從prp處獲取對應(yīng)的訪問控制策略；也可以根據(jù)該訪問控制決策請求，從pdp的緩存區(qū)域中獲取對應(yīng)的訪問控制策略。

在上述過程中，在pdp獲取訪問控制策略時，可以根據(jù)該訪問控制決策請求中的目標(biāo)資源，獲取對應(yīng)的訪問控制策略，也可以根據(jù)該訪問控制決策請求中的目標(biāo)資源和發(fā)起方，獲取對應(yīng)的訪問控制策略。

進一步地，上述用于對訪問控制決策請求進行訪問權(quán)限判決的訪問控制策略中還可以包括允許訪問的目標(biāo)資源的列表。

更進一步地，上述用于對訪問控制決策請求進行訪問權(quán)限判決的訪問控制策略中還可以包括：允許的訪問發(fā)起方列表、允許作用于目標(biāo)資源的操作列表和上下文條件列表。

步驟304：pdp根據(jù)獲取到的訪問控制策略對訪問控制決策請求進行訪問權(quán)限判決，并向pep返回訪問權(quán)限判決結(jié)果。

在上述步驟304中，對該訪問控制決策請求進行訪問權(quán)限判決時，針對訪問控制策略中的每個規(guī)則均進行判決，具體可包括以下幾種情況：

情況1：訪問控制決策請求中包括“資源屬性訪問列表”

針對這種情況，若訪問控制決策請求中的“資源屬性訪問列表”所列出的請求訪問的目標(biāo)資源的資源屬性不在訪問控制策略中的“允許訪問的資源屬性列表”中，則判決為拒絕對該訪問控制決策請求所請求的目標(biāo)資源進行訪問。若訪問控制決策請求中的“資源屬性訪問列表”所列出的請求訪問的目標(biāo)資源的資源屬性在訪問控制策略中的“允許訪問的資源屬性列表”中，則可進一步結(jié)合該訪問控制策略中的其他規(guī)則進行判決。

情況2：訪問控制決策請求中包括“子資源訪問列表”

針對這種情況，若訪問控制決策請求中的“子資源訪問列表”所列出的請求訪問的目標(biāo)資源的子資源不在訪問控制策略中的“允許訪問的子資源列表”中，則判決為拒絕對該訪問控制決策請求所請求的目標(biāo)資源進行訪問。若訪問控制決策請求中的“子資源訪問列表”所列出的請求訪問的目標(biāo)資源的子資源在訪問控制策略中的“允許訪問的子資源列表”中，則可進一步結(jié)合該訪問控制策略中的其他規(guī)則進行判決。

情況3：訪問控制決策請求中包括“目標(biāo)資源的指示信息”

針對這種情況，若訪問控制決策請求中的“目標(biāo)資源的指示信息”所指示的請求訪問的目標(biāo)資源不在訪問控制策略中的“允許訪問的目標(biāo)資源列表”中，則判決為拒絕對該訪問控制決策請求所請求的目標(biāo)資源進行訪問。若訪問控制決策請求中的“目標(biāo)資源的指示信息”所指示的請求訪問的目標(biāo)資源在訪問控制策略中的“允許訪問的目標(biāo)資源列表”中，則可進一步結(jié)合該訪問控制策略中的其他規(guī)則進行判決。

情況4：訪問控制決策請求中包括“發(fā)起方標(biāo)識”

針對這種情況，若訪問控制決策請求中的“發(fā)起方標(biāo)識”所指示的請求訪問的發(fā)起方不在訪問控制策略中的“允許的訪問發(fā)起方列表”中，則判決為拒絕對該訪問控制決策請求所請求的目標(biāo)資源進行訪問。若訪問控制決策請求中的“發(fā)起方標(biāo)識”所指示的請求訪問的發(fā)起方在訪問控制策略中的“允許的訪問發(fā)起方列表”中，則可進一步結(jié)合該訪問控制策略中的其他規(guī)則進行判決。

情況5：訪問控制決策請求中包括“操作類型指示信息”

針對這種情況，若訪問控制決策請求中的“操作類型指示信息”所指示的請求作用于目標(biāo)資源的操作類型不在訪問控制策略中的“允許作用于目標(biāo)資源的操作列表”中，則判決為拒絕對該訪問控制決策請求所請求的目標(biāo)資源進行訪問。若訪問控制決策請求中的“操作類型指示信息”所指示的請求作用于目標(biāo)資源的操作類型在訪問控制策略中的“允許作用于目標(biāo)資源的操作列表”中，則可進一步結(jié)合該訪問控制策略中的其他規(guī)則進行判決。

情況6：訪問控制策略中包括“上下文條件列表”

針對這種情況，若訪問控制決策請求不滿足訪問控制策略中的“上下文條件列表”所包含的上下文條件，則判決為拒絕對該訪問控制決策請求所請求的目標(biāo)資源進行訪問。若訪問控制決策請求滿足訪問控制策略中的“上下文條件列表”所包含的上下文條件，則可進一步結(jié)合該訪問控制策略中的其他規(guī)則進行判決。

在一些實施例中，步驟301中，pep發(fā)送的訪問控制決策請求中可包含“提供建議指示”；相應(yīng)地，在步驟304中，pdp獲取建議請求訪問的目標(biāo)對象列表，該建議請求訪問的目標(biāo)對象列表中包含的資源屬性和/或子資源能夠被訪問控制決策請求的發(fā)起方訪問，并將該建議請求訪問的目標(biāo)對象列表發(fā)送給pep。其中，建議請求訪問的資源屬性列表中的資源屬性可以是允許訪問的資源屬性，也可以是允許訪問的資源屬性與請求訪問的資源屬性的交集；建議請求訪問的子資源性列表中的子資源可以是允許訪問的子資源，也可以是允許訪問的子資源與請求訪問的子資源的交集。上述建議請求訪問的目標(biāo)資源的資源屬性和/或子資源可以包含在判決結(jié)果中發(fā)送給pep，也可以單獨發(fā)送給pep，本發(fā)明對此不做限制。

即請求提供建議請求訪問的目標(biāo)資源的資源屬性和/或子資源，以更改訪問控制決策請求，使得更改后的訪問控制決策請求被允許對請求的目標(biāo)資源進行訪問

本發(fā)明的上述實施例中，一方面，訪問控制決策請求中包括請求訪問的目標(biāo)資源的目標(biāo)對象，其中目標(biāo)對象包括目標(biāo)資源的資源屬性和/或子資源，另一方面，用于對訪問控制決策請求進行訪問權(quán)限判決的訪問控制策略中包括用于對所述目標(biāo)資源的目標(biāo)對象進行訪問權(quán)限判決的規(guī)則，因此在根據(jù)上述規(guī)則對訪問控制決策請求進行判決時，可以實現(xiàn)對目標(biāo)資源的訪問進行更為細致的控制，即可以控制訪問目標(biāo)資源的具體屬性和具體子資源。

為了更清楚地理解本發(fā)明的上述實施例，下面以具體應(yīng)用場景為例，對本發(fā)明上述實施例的具體實現(xiàn)過程進行描述。

實施例一：在不需要提供建議指示的情況下

cse1表示onem2m系統(tǒng)中的一個公共服務(wù)實體，ae1、ae2、ae3分別表示onem2m系統(tǒng)中的三個應(yīng)用實體。

ae1在cse1上進行注冊后，cse1為ae1分配的資源用<ae1>表示。

<acp1>表示訪問控制策略資源。<acp1>中包含有訪問控制策略集acp1。 acp1中包含兩條策略，分別為rule1和rule2。每條策略中依次包含有：允許訪問的目標(biāo)資源列表、允許訪問的資源屬性列表、允許訪問的子資源列表、允許的訪問發(fā)起方列表、允許作用于目標(biāo)資源的操作列表和上下文條件列表，每個列表中間用分號間隔。

rule1的內(nèi)容為：

[(<ae1>)；(pointofaccess，ontologyref)；(all)；(ae1)；(create，retrieve，update，delete)；()]

其中，(<ae1>)表示允許訪問的目標(biāo)資源僅包含<ae1>；(pointofaccess，ontologyref)表示允許訪問的資源屬性包含pointofaccess屬性和ontologyref屬性；(all)表示允許訪問目標(biāo)資源的所有子資源；(ae1)表示允許ae1發(fā)起訪問；(create，retrieve，update，delete)表示允許作用于目標(biāo)資源的操作包括創(chuàng)建、查詢、修改和刪除；()表示沒有上下文條件的限制。

rule2的內(nèi)容為：

[(<ae1>)；(appname，app-id，ae-id，nodelink)；(<container>，<group>)；(ae1，ae2，ae3)；(retrieve)；()]

其中，(<ae1>)表示允許訪問的目標(biāo)資源僅包含<ae1>；(appname，app-id，ae-id，nodelink)表示允許訪問的資源屬性包含appname屬性、app-id屬性、ae-id屬性以及nodelink屬性；(<container>，<group>)表示允許訪問目標(biāo)資源中類型為container和group的子資源；(ae1，ae2，ae3)表示允許ae1、ae2和ae3發(fā)起訪問；(retrieve)表示允許作用于目標(biāo)資源的操作僅包括查詢；()表示沒有上下文條件的限制。

訪問請求1的資源訪問流程可包括：

發(fā)起方ae1向pep發(fā)起資源訪問請求，該資源訪問請求的內(nèi)容為：

(to＝“<ae1>”；fr＝“ae1”；op＝“create”；“resourcetype＝“container”；content＝“resourcename＝“container1”；maxbytesize＝“1024””)

其中，to＝“<ae1>”表示請求訪問的目標(biāo)資源為<ae1>，fr＝“ae1”表示此次請求的發(fā)起方為ae1，op＝“create”表示此次請求作用于目標(biāo)資源的操作類型為建立子資源，“resourcetype＝“container”表示請求建立子資源的類型為container，content＝“resourcename＝“container1”maxbytesize＝“1024””表示請求建立子資源的名稱為container1，且該子資源占據(jù)1024個比特位。

pep接收到ae1發(fā)送的資源訪問請求后，根據(jù)該資源訪問請求，向pdp發(fā)送訪問控制決策請求。該訪問控制策略請求的內(nèi)容為：

(to＝“<ae1>”；fr＝“ae1”；op＝“create”；asl＝“container””)

其中，to＝“<ae1>”請求訪問的目標(biāo)資源為<ae1>，fr＝“ae1”表示此次請求的發(fā)起方為ae1，op＝“create”表示此次請求作用于目標(biāo)資源的操作類型為建立子資源，asl＝“container”表示訪問<ae1>的子資源中類型為container的子資源。

pdp接收到pep發(fā)送的訪問控制決策請求后，向prp發(fā)送訪問控制策略請求，prp根據(jù)該請求向pdp返回acp1，pdp根據(jù)acp1按照如下步驟對該訪問控制決策請求進行判決：

首先根據(jù)訪問控制決策請求中的to參數(shù)和fr參數(shù)判斷acp1中的策略是否適用于該訪問控制決策請求。因為訪問控制決策請求中的to參數(shù)表示請求訪問<ae1>，fr參數(shù)表示發(fā)起方為ae1；而acp1中的rule1和rule2均允許訪問<ae1>，且允許的訪問發(fā)起方均包括ae1，故判斷結(jié)果為rule1和rule2均適用。

其次，判斷訪問控制決策請求是否滿足rule1和rule2中的上下文條件。因為rule1和rule2中均沒有上下文條件的限制，故判斷結(jié)果為訪問控制決策請求滿足rule1和rule2中的上下文條件。

然后，根據(jù)rule1和rule2中允許作用于目標(biāo)資源的操作列表，判斷訪問控制決策請求中請求作用于目標(biāo)資源的操作類型是否被允許。因為訪問控制決策請求中請求作用于目標(biāo)資源的操作類型是創(chuàng)建，而rule1允許對目標(biāo) 資源進行創(chuàng)建操作，但rule2不允許對目標(biāo)資源進行創(chuàng)建操作，故僅根據(jù)rule1對訪問控制決策請求繼續(xù)進行判斷。

最后，判斷rule1中的允許訪問的子資源列表中是否包含全部的請求訪問的子資源。因為rule1中的允許發(fā)起方訪問的子資源為全部的子資源，故判斷結(jié)果為rule1中的允許發(fā)起方訪問的子資源列表中的內(nèi)容包含全部的請求訪問子資源。

經(jīng)過上述判斷步驟，pdp對該訪問控制決策請求的判決結(jié)果為允許執(zhí)行該訪問控制決策請求。因此，pdp向pep發(fā)送的訪問控制決策應(yīng)答，該訪問控制決策應(yīng)答的內(nèi)容為(decision＝“permit”)。

訪問請求2的資源訪問流程可包括：

發(fā)起方ae2向pep發(fā)起資源訪問請求，該資源訪問請求的內(nèi)容為：

(to＝“<ae1>”；fr＝“ae2”；op＝“create”；“resourcetype＝“container”；content＝“resourcename＝“container1”；maxbytesize＝“1024””)

其中，to＝“<ae1>”表示請求訪問的目標(biāo)資源為<ae1>，fr＝“ae2”表示此次請求的發(fā)起方為ae2，op＝“create”表示此次請求作用于目標(biāo)資源的操作類型為建立子資源，“resourcetype＝“container”表示請求建立子資源的類型為container，content＝“resourcename＝“container1”maxbytesize＝“1024””表示請求建立子資源的名稱為container1，且該子資源占據(jù)1024個比特位。

pep接收到ae2發(fā)送的資源訪問請求后，根據(jù)該資源訪問請求，向pdp發(fā)送訪問控制決策請求。該訪問控制策略請求的內(nèi)容為：

(to＝“<ae1>”；fr＝“ae2”；op＝“create”；asl＝“container””)

其中，to＝“<ae1>”請求訪問的目標(biāo)資源為<ae1>，fr＝“ae2”表示此次請求的發(fā)起方為ae2，op＝“create”表示此次請求作用于目標(biāo)資源的操作類型為建立子資源，asl＝“container”表示訪問<ae1>的子資源中類型為container的子資源。

pdp接收到pep發(fā)送的訪問控制決策請求后，向prp發(fā)送訪問控制策略 請求，prp根據(jù)該請求向pdp返回acp1，pdp根據(jù)acp1按照如下步驟對該訪問控制決策請求進行判決：

首先，根據(jù)訪問控制決策請求中的to參數(shù)和fr參數(shù)判斷acp1中的策略是否適用于該訪問控制決策請求。因為訪問控制決策請求中的to參數(shù)表示請求訪問<ae1>，fr參數(shù)表示發(fā)起方為ae2；而acp1中的rule1和rule2均允許訪問<ae1>，但僅有rule2允許的訪問發(fā)起方包括ae2，故判斷結(jié)果為僅rule2適用。

其次，判斷訪問控制決策請求是否滿足rule2中的上下文條件。因為rule2中沒有上下文條件的限制，故判斷結(jié)果為該訪問控制決策請求滿足rule2中的上下文條件。

然后，根據(jù)rule2中允許作用于目標(biāo)資源的操作列表，判斷該訪問控制決策請求中求作用于目標(biāo)資源的操作類型是否被允許。因為訪問控制決策請求中求作用于目標(biāo)資源的操作類型是創(chuàng)建，但rule2不允許對目標(biāo)資源進行創(chuàng)建操作。

經(jīng)過上述判斷步驟，pdp對該訪問控制決策請求的判決結(jié)果為不允許執(zhí)行該訪問控制決策請求。因此，pdp向pep發(fā)送的訪問控制決策應(yīng)答，該訪問控制決策應(yīng)答的內(nèi)容為(decision＝“notpermit”)。

實施例二：在需要提供建議指示的情況下

cse1表示onem2m系統(tǒng)中的一個公共服務(wù)實體，ae1、ae2、ae3分別表示onem2m系統(tǒng)中的三個應(yīng)用實體。

ae1在cse1上進行注冊后，cse1為ae1分配的資源用<ae1>表示。

<acp2>表示訪問控制策略資源。<acp2>中包含有訪問控制策略集acp2。acp2中包含策略rule3。該策略中依次包含有：允許訪問的目標(biāo)資源列表、允許訪問的資源屬性列表、允許訪問的子資源列表、允許的訪問發(fā)起方列表、允許作用于目標(biāo)資源的操作列表和上下文條件列表，每個列表中間用分號間隔。

<node1>表示<ae1>與通過<ae1>資源的nodelink屬性相關(guān)聯(lián)的<node>資源。

rule3的內(nèi)容為：

[(<node1>)；(all)；(memory；battery；firmware；software；deviceinfo)；(ae2，ae3)；(retrieve)；()]

其中，(<node1>)表示允許訪問的目標(biāo)資源僅包含<node1>；(all)表示允許訪問所有的資源屬性；(memory；battery；firmware；software；deviceinfo)表示允許訪問memory子資源、battery子資源、firmware子資源、software子資源和deviceinfo子資源；(ae2，ae3)表示允許ae2、ae3發(fā)起訪問；(retrieve)表示僅允許作用于目標(biāo)資源的操作為查詢操作；()表示沒有上下文條件的限制。

訪問請求3的資源訪問流程可包括：

發(fā)起方ae2向pep發(fā)起資源訪問請求，該資源訪問請求的內(nèi)容為：

(to＝“<node1>”；fr＝“ae2”；op＝“retrieve”)

其中，to＝“<node1>”表示請求訪問的目標(biāo)資源為<node1>，fr＝“ae2”表示此次請求的發(fā)起方為ae2，op＝“retrieve”表示此次請求作用于目標(biāo)資源的操作為查詢。

pep接收到ae2發(fā)送的資源訪問請求后，根據(jù)該資源訪問請求，向pdp發(fā)送訪問控制決策請求。該訪問控制策略請求的內(nèi)容為：

(to＝“<node1>”；fr＝“ae2”；op＝“retrieve”；ar＝“yes”)

其中，to＝“<node1>”請求訪問的目標(biāo)資源為<node1>，fr＝“ae2”表示此次請求的發(fā)起方為ae2，op＝“retrieve”表示此次請求作用于目標(biāo)資源的操作為查詢，ar＝“yes”表示請求提供建議指示。

pdp接收到pep發(fā)送的訪問控制決策請求后，向prp發(fā)送訪問控制策略請求，prp根據(jù)該請求向pdp返回acp2，pdp根據(jù)acp2按照如下步驟對該訪問控制決策請求進行判決：

首先，根據(jù)訪問控制決策請求中的to參數(shù)和fr參數(shù)判斷acp2中的策略是否適用于該訪問控制決策請求。因為訪問控制決策請求中的to參數(shù)表示請求訪問<node1>，fr參數(shù)表示發(fā)起方為ae2；而acp2中的rule3均允許訪問<node1>，且允許的訪問發(fā)起方包括ae2，故判斷結(jié)果為rule3適用。

其次，判斷訪問控制決策請求是否滿足rule3中的上下文條件。因為rule3中沒有上下文條件的限制，故判斷結(jié)果為訪問控制決策請求滿足rule3中的上下文條件。

然后，根據(jù)rule3中允許作用于目標(biāo)資源的操作列表，判斷訪問控制決策請求中請求作用于目標(biāo)資源的操作是否被允許。因為訪問控制決策請求中的請求作用于目標(biāo)資源的操作是查詢，而rule3允許對目標(biāo)資源進行查詢操作，故判斷結(jié)果為訪問控制決策請求中的操作被允許。

最后，根據(jù)訪問控制決策請求中請求提供建議指示，獲取建議請求訪問的目標(biāo)資源的目標(biāo)對象列表。因為rule3中的允許發(fā)起方訪問所有資源屬性，允許訪問目標(biāo)資源的memory子資源、battery子資源、firmware子資源、software子資源和deviceinfo子資源，故列表中是否包含全部的請求訪問的目標(biāo)資源的container類型的子資源。因為rule1中的允許發(fā)起方訪問的目標(biāo)資源的子資源為全部的子資源，所以建議請求訪問的目標(biāo)對象列表包括所有資源屬性和memory子資源、battery子資源、firmware子資源、software子資、deviceinfo子資源。

經(jīng)過上述步驟，pdp發(fā)送給pep的判決結(jié)果的內(nèi)容為(decision＝“permitwithlimitation”；pal＝“all”；psl＝“memory；battery；firmware；software；deviceinfo”)。其中decision＝“permitwithlimitation”表示該訪問控制決策請求可以對該訪問控制決策請求所請求的目標(biāo)資源進行訪問，但該訪問有限制條件；pal＝“all”表示訪問控制決策請求可以對該訪問控制決策請求所請求的目標(biāo)資源的所有資源屬性進行訪問；psl＝“memory；battery；firmware；software；deviceinfo”表示訪問控制決策請求可以對該訪問控制決策請求所請求的目標(biāo)資 源的memory子資源、battery子資源、firmware子資源、software子資、deviceinfo子資源進行訪問。

根據(jù)相同的技術(shù)構(gòu)思，本發(fā)明實施例還提供了一種策略決策點裝置，如圖4所示，該裝置包括接收模塊401、獲取模塊402和判決模塊403，進一步地，該裝置還可以包括建議模塊304。

接收模塊401，用于接收pep發(fā)送的訪問控制決策請求，該訪問控制決策請求中包括請求訪問的目標(biāo)對象，目標(biāo)對象包括資源屬性，子資源，或者資源屬性和子資源。

獲取模塊402，用于獲取用于對訪問控制決策請求進行訪問權(quán)限判決的訪問控制策略；其中，該訪問控制策略中包括用于目標(biāo)對象進行訪問權(quán)限判決的規(guī)則；

判決模塊403，用于根據(jù)獲取到的訪問控制策略對上述訪問控制決策請求進行訪問權(quán)限判決，并向pep返回訪問權(quán)限判決結(jié)果。

具體地，判決模塊對訪問控制決策請求進行訪問權(quán)限判決時包括以下6種情況：

情況1：訪問控制決策請求中包括“資源屬性訪問列表”

針對這種情況，若訪問控制決策請求中的“資源屬性訪問列表”所列出的請求訪問的目標(biāo)資源的資源屬性不在訪問控制策略中的“允許訪問的資源屬性列表”中，則判決為拒絕對該訪問控制決策請求所請求的目標(biāo)資源進行訪問。若訪問控制決策請求中的“資源屬性訪問列表”所列出的請求訪問的目標(biāo)資源的資源屬性在訪問控制策略中的“允許訪問的資源屬性列表”中，則可進一步結(jié)合該訪問控制策略中的其他規(guī)則進行判決。

情況2：訪問控制決策請求中包括“子資源訪問列表”

針對這種情況，若訪問控制決策請求中的“子資源訪問列表”所列出的請求訪問的目標(biāo)資源的子資源不在訪問控制策略中的“允許訪問的子資源列表”中，則判決為拒絕對該訪問控制決策請求所請求的目標(biāo)資源進行訪問。若訪問 控制決策請求中的“子資源訪問列表”所列出的請求訪問的目標(biāo)資源的子資源在訪問控制策略中的“允許訪問的子資源列表”中，則可進一步結(jié)合該訪問控制策略中的其他規(guī)則進行判決。

情況3：訪問控制決策請求中包括“目標(biāo)資源的指示信息”

針對這種情況，若訪問控制決策請求中的“目標(biāo)資源的指示信息”所指示的請求訪問的目標(biāo)資源不在訪問控制策略中的“允許訪問的目標(biāo)資源列表”中，則判決為拒絕對該訪問控制決策請求所請求的目標(biāo)資源進行訪問。若訪問控制決策請求中的“目標(biāo)資源的指示信息”所指示的請求訪問的目標(biāo)資源在訪問控制策略中的“允許訪問的目標(biāo)資源列表”中，則可進一步結(jié)合該訪問控制策略中的其他規(guī)則進行判決。

情況4：訪問控制決策請求中包括“發(fā)起方標(biāo)識”

針對這種情況，若訪問控制決策請求中的“發(fā)起方標(biāo)識”所指示的請求訪問的發(fā)起方不在訪問控制策略中的“允許的訪問發(fā)起方列表”中，則判決為拒絕對該訪問控制決策請求所請求的目標(biāo)資源進行訪問。若訪問控制決策請求中的“發(fā)起方標(biāo)識”所指示的請求訪問的發(fā)起方在訪問控制策略中的“允許的訪問發(fā)起方列表”中，則可進一步結(jié)合該訪問控制策略中的其他規(guī)則進行判決。

情況5：訪問控制決策請求中包括“操作類型指示信息”

針對這種情況，若訪問控制決策請求中的“操作類型指示信息”所指示的請求作用于目標(biāo)資源的操作類型不在訪問控制策略中的“允許作用于目標(biāo)資源的操作列表”中，則判決為拒絕對該訪問控制決策請求所請求的目標(biāo)資源進行訪問。若訪問控制決策請求中的“操作類型指示信息”所指示的請求作用于目標(biāo)資源的操作類型在訪問控制策略中的“允許作用于目標(biāo)資源的操作列表”中，則可進一步結(jié)合該訪問控制策略中的其他規(guī)則進行判決。

情況6：訪問控制策略中包括“上下文條件列表”

針對這種情況，若訪問控制決策請求不滿足訪問控制策略中的“上下文條件列表”所包含的上下文條件，則判決為拒絕對該訪問控制決策請求所請求的 目標(biāo)資源進行訪問。若訪問控制決策請求滿足訪問控制策略中的“上下文條件列表”所包含的上下文條件，則可進一步結(jié)合該訪問控制策略中的其他規(guī)則進行判決。

具體地，用于資源屬性進行訪問權(quán)限判決的規(guī)則中包含資源屬性列表，該資源屬性列表中包括以下內(nèi)容之一：

-一個或多個允許訪問的資源屬性或者資源屬性的指示信息

-用于表示所有資源屬性均被允許訪問的指示信息

-用于表示所有資源屬性均不允許訪問的指示信息

若上述用于對資源屬性進行訪問權(quán)限判決的規(guī)則中若不包含資源屬性列表，則該規(guī)則表明所有資源屬性均不允許訪問。

具體地，用于對子資源進行訪問權(quán)限判決的規(guī)則中包含子資源列表，該子資源列表中包括以下內(nèi)容之一：

-一個或多個允許訪問的子資源或者子資源的指示信息

-用于表示所有子資源均被允許訪問的指示信息

-用于表示所有子資源均不允許訪問的指示信息

若上述用于對子資源進行訪問權(quán)限判決的規(guī)則中若不包子資源列表，則該規(guī)則表明所有子資源均不允許訪問。

進一步地，上述訪問控制決策請求中，還可以包括提供建議指示，則該裝置還包括建議模塊，用于在判決模塊303做出的判決為拒絕對訪問控制決策請求所請求的目標(biāo)資源進行訪問時，根據(jù)提供建議指示，獲取建議請求訪問的目標(biāo)對象列表，該列表中包含的資源屬性和/或子資源能夠被訪問控制決策請求的發(fā)起方訪問；并將建議請求訪問的目標(biāo)資源的目標(biāo)對象列表發(fā)送給pep。

基于相同的技術(shù)構(gòu)思，本發(fā)明實施例還提供了一種策略決策點裝置，該裝置可以實現(xiàn)本發(fā)明實施例資源訪問控制的流程。

參見圖5，為本發(fā)明實施例提供的策略決策點裝置的結(jié)構(gòu)示意圖，該裝置 可包括：處理器501、存儲器502、收發(fā)機503以及總線接口。

處理器501負(fù)責(zé)管理總線架構(gòu)和通常的處理，存儲器502可以存儲處理器501在執(zhí)行操作時所使用的數(shù)據(jù)。收發(fā)機503用于在處理器501的控制下接收和發(fā)送數(shù)據(jù)。

總線架構(gòu)可以包括任意數(shù)量的互聯(lián)的總線和橋，具體由處理器501代表的一個或多個處理器和存儲器502代表的存儲器的各種電路鏈接在一起。總線架構(gòu)還可以將諸如外圍設(shè)備、穩(wěn)壓器和功率管理電路等之類的各種其他電路鏈接在一起，這些都是本領(lǐng)域所公知的，因此，本文不再對其進行進一步描述?？偩€接口提供接口。收發(fā)機503可以是多個元件，即包括發(fā)送機和收發(fā)機，提供用于在傳輸介質(zhì)上與各種其他裝置通信的單元。處理器501負(fù)責(zé)管理總線架構(gòu)和通常的處理，存儲器502可以存儲處理器501在執(zhí)行操作時所使用的數(shù)據(jù)。

本發(fā)明實施例揭示的資源訪問控制的流程，可以應(yīng)用于處理器501中，或者由處理器501實現(xiàn)。在實現(xiàn)過程中，資源訪問控制的流程的各步驟可以通過處理器501中的硬件的集成邏輯電路或者軟件形式的指令完成。處理器501可以是通用處理器、數(shù)字信號處理器、專用集成電路、現(xiàn)場可編程門陣列或者其他可編程邏輯器件、分立門或者晶體管邏輯器件、分立硬件組件，可以實現(xiàn)或者執(zhí)行本發(fā)明實施例中的公開的各方法、步驟及邏輯框圖。通用處理器可以是微處理器或者任何常規(guī)的處理器等。結(jié)合本發(fā)明實施例所公開的方法的步驟可以直接體現(xiàn)為硬件處理器執(zhí)行完成，或者用處理器中的硬件及軟件模塊組合執(zhí)行完成。軟件模塊可以位于隨機存儲器，閃存、只讀存儲器，可編程只讀存儲器或者電可擦寫可編程存儲器、寄存器等本領(lǐng)域成熟的存儲介質(zhì)中。該存儲介質(zhì)位于存儲器502，處理器501讀取存儲器502中的信息，結(jié)合其硬件完成資源訪問控制流程的步驟。

具體地，處理器501，用于讀取存儲器502中的程序，執(zhí)行下列過程：

接收pep發(fā)送的訪問控制決策請求，該訪問控制決策請求中包括請求訪問的目標(biāo)對象，目標(biāo)對象包括的資源屬性、子資源、或者資源屬性和子資源。

獲取用于對訪問控制決策請求進行訪問權(quán)限判決的訪問控制策略；其中，該訪問控制策略中包括用于目標(biāo)對象進行訪問權(quán)限判決的規(guī)則；

根據(jù)獲取到的訪問控制策略對上述訪問控制決策請求進行訪問權(quán)限判決，并向pep返回訪問權(quán)限判決結(jié)果。

具體地，對訪問控制決策請求進行訪問權(quán)限判決時包括以下6種情況：

情況1：訪問控制決策請求中包括“資源屬性訪問列表”

針對這種情況，若訪問控制決策請求中的“資源屬性訪問列表”所列出的請求訪問的目標(biāo)資源的資源屬性不在訪問控制策略中的“允許訪問的資源屬性列表”中，則判決為拒絕對該訪問控制決策請求所請求的目標(biāo)資源進行訪問。若訪問控制決策請求中的“資源屬性訪問列表”所列出的請求訪問的目標(biāo)資源的資源屬性在訪問控制策略中的“允許訪問的資源屬性列表”中，則可進一步結(jié)合該訪問控制策略中的其他規(guī)則進行判決。

情況2：訪問控制決策請求中包括“子資源訪問列表”

針對這種情況，若訪問控制決策請求中的“子資源訪問列表”所列出的請求訪問的目標(biāo)資源的子資源不在訪問控制策略中的“允許訪問的子資源列表”中，則判決為拒絕對該訪問控制決策請求所請求的目標(biāo)資源進行訪問。若訪問控制決策請求中的“子資源訪問列表”所列出的請求訪問的目標(biāo)資源的子資源在訪問控制策略中的“允許訪問的子資源列表”中，則可進一步結(jié)合該訪問控制策略中的其他規(guī)則進行判決。

情況3：訪問控制決策請求中包括“目標(biāo)資源的指示信息”

針對這種情況，若訪問控制決策請求中的“目標(biāo)資源的指示信息”所指示的請求訪問的目標(biāo)資源不在訪問控制策略中的“允許訪問的目標(biāo)資源列表”中，則判決為拒絕對該訪問控制決策請求所請求的目標(biāo)資源進行訪問。若訪問控制決策請求中的“目標(biāo)資源的指示信息”所指示的請求訪問的目標(biāo)資源在訪問控制策略中的“允許訪問的目標(biāo)資源列表”中，則可進一步結(jié)合該訪問控制策略中的其他規(guī)則進行判決。

情況4：訪問控制決策請求中包括“發(fā)起方標(biāo)識”

針對這種情況，若訪問控制決策請求中的“發(fā)起方標(biāo)識”所指示的請求訪問的發(fā)起方不在訪問控制策略中的“允許的訪問發(fā)起方列表”中，則判決為拒絕對該訪問控制決策請求所請求的目標(biāo)資源進行訪問。若訪問控制決策請求中的“發(fā)起方標(biāo)識”所指示的請求訪問的發(fā)起方在訪問控制策略中的“允許的訪問發(fā)起方列表”中，則可進一步結(jié)合該訪問控制策略中的其他規(guī)則進行判決。

情況5：訪問控制決策請求中包括“操作類型指示信息”

針對這種情況，若訪問控制決策請求中的“操作類型指示信息”所指示的請求作用于目標(biāo)資源的操作類型不在訪問控制策略中的“允許作用于目標(biāo)資源的操作列表”中，則判決為拒絕對該訪問控制決策請求所請求的目標(biāo)資源進行訪問。若訪問控制決策請求中的“操作類型指示信息”所指示的請求作用于目標(biāo)資源的操作類型在訪問控制策略中的“允許作用于目標(biāo)資源的操作列表”中，則可進一步結(jié)合該訪問控制策略中的其他規(guī)則進行判決。

情況6：訪問控制策略中包括“上下文條件列表”

針對這種情況，若訪問控制決策請求不滿足訪問控制策略中的“上下文條件列表”所包含的上下文條件，則判決為拒絕對該訪問控制決策請求所請求的目標(biāo)資源進行訪問。若訪問控制決策請求滿足訪問控制策略中的“上下文條件列表”所包含的上下文條件，則可進一步結(jié)合該訪問控制策略中的其他規(guī)則進行判決。

具體地，用于資源屬性進行訪問權(quán)限判決的規(guī)則中包含資源屬性列表，該屬性列表中包括以下內(nèi)容之一：

-一個或多個允許訪問的資源屬性或者資源屬性的指示信息

-用于表示所有資源屬性均被允許訪問的指示信息

-用于表示所有資源屬性均不允許訪問的指示信息

若上述用于對資源屬性進行訪問權(quán)限判決的規(guī)則中若不包含資源屬性列表，則該規(guī)則表明所有資源屬性均不允許訪問。

具體地，用于對子資源進行訪問權(quán)限判決的規(guī)則中包含子資源列表，該子資源列表中包括以下內(nèi)容之一：

-一個或多個允許訪問的子資源或者子資源的指示信息

-用于表示所有子資源均被允許訪問的指示信息

-用于表示所有子資源均不允許訪問的指示信息

若上述用于對子資源進行訪問權(quán)限判決的規(guī)則中若不包子資源列表，則該規(guī)則表明所有子資源均不允許訪問。

進一步地，上述訪問控制決策請求中，還可以包括提供建議指示，則判決為拒絕對訪問控制決策請求所請求的目標(biāo)資源進行訪問時，根據(jù)提供建議指示，獲取建議請求訪問的目標(biāo)對象列表，該列表中包含的資源屬性和/或子資源能夠被訪問控制決策請求的發(fā)起方訪問；并將建議請求訪問的目標(biāo)資源的目標(biāo)對象列表發(fā)送給pep。

根據(jù)相同的技術(shù)構(gòu)思，本發(fā)明實施例還提供了一種資源訪問控制系統(tǒng)，可如圖2所示，該系統(tǒng)包括pep、pdp。

pep用于接收資源訪問請求，并根據(jù)資源訪問請求向pdp發(fā)送訪問控制決策請求。

pdp用于接收pep發(fā)送的訪問控制決策請求，該訪問控制決策請求中包括請求訪問的目標(biāo)資源的目標(biāo)對象，該目標(biāo)對象包括目標(biāo)資源的資源屬性、子資源、或者資源屬性和子資源。獲取用于對訪問控制決策請求進行訪問權(quán)限判決的訪問控制策略；其中，該訪問控制策略中包括用于對目標(biāo)資源的目標(biāo)對象進行訪問權(quán)限判決的規(guī)則；根據(jù)獲取到的訪問控制策略對該訪問控制決策請求進行訪問權(quán)限判決，并向pep返回訪問權(quán)限判決結(jié)果。

具體地，pdp對該訪問控制決策請求進行訪問權(quán)限判決時，針對訪問控制策略中的每個規(guī)則均進行判決，可包括以下幾種情況：

情況1：訪問控制決策請求中包括“資源屬性訪問列表”

針對這種情況，若訪問控制決策請求中的“資源屬性訪問列表”所列出的 請求訪問的目標(biāo)資源的資源屬性不在訪問控制策略中的“允許訪問的資源屬性列表”中，則判決為拒絕對該訪問控制決策請求所請求的目標(biāo)資源進行訪問。若訪問控制決策請求中的“資源屬性訪問列表”所列出的請求訪問的目標(biāo)資源的資源屬性在訪問控制策略中的“允許訪問的資源屬性列表”中，則可進一步結(jié)合該訪問控制策略中的其他規(guī)則進行判決。

情況2：訪問控制決策請求中包括“子資源訪問列表”

針對這種情況，若訪問控制決策請求中的“子資源訪問列表”所列出的請求訪問的目標(biāo)資源的子資源不在訪問控制策略中的“允許訪問的子資源列表”中，則判決為拒絕對該訪問控制決策請求所請求的目標(biāo)資源進行訪問。若訪問控制決策請求中的“子資源訪問列表”所列出的請求訪問的目標(biāo)資源的子資源在訪問控制策略中的“允許訪問的子資源列表”中，則可進一步結(jié)合該訪問控制策略中的其他規(guī)則進行判決。

情況3：訪問控制決策請求中包括“目標(biāo)資源的指示信息”

針對這種情況，若訪問控制決策請求中的“目標(biāo)資源的指示信息”所指示的請求訪問的目標(biāo)資源不在訪問控制策略中的“允許訪問的目標(biāo)資源列表”中，則判決為拒絕對該訪問控制決策請求所請求的目標(biāo)資源進行訪問。若訪問控制決策請求中的“目標(biāo)資源的指示信息”所指示的請求訪問的目標(biāo)資源在訪問控制策略中的“允許訪問的目標(biāo)資源列表”中，則可進一步結(jié)合該訪問控制策略中的其他規(guī)則進行判決。

情況4：訪問控制決策請求中包括“發(fā)起方標(biāo)識”

針對這種情況，若訪問控制決策請求中的“發(fā)起方標(biāo)識”所指示的請求訪問的發(fā)起方不在訪問控制策略中的“允許的訪問發(fā)起方列表”中，則判決為拒絕對該訪問控制決策請求所請求的目標(biāo)資源進行訪問。若訪問控制決策請求中的“發(fā)起方標(biāo)識”所指示的請求訪問的發(fā)起方在訪問控制策略中的“允許的訪問發(fā)起方列表”中，則可進一步結(jié)合該訪問控制策略中的其他規(guī)則進行判決。

情況5：訪問控制決策請求中包括“操作類型指示信息”

針對這種情況，若訪問控制決策請求中的“操作類型指示信息”所指示的請求作用于目標(biāo)資源的操作類型不在訪問控制策略中的“允許作用于目標(biāo)資源的操作列表”中，則判決為拒絕對該訪問控制決策請求所請求的目標(biāo)資源進行訪問。若訪問控制決策請求中的“操作類型指示信息”所指示的請求作用于目標(biāo)資源的操作類型在訪問控制策略中的“允許作用于目標(biāo)資源的操作列表”中，則可進一步結(jié)合該訪問控制策略中的其他規(guī)則進行判決。

情況6：訪問控制策略中包括“上下文條件列表”

針對這種情況，若訪問控制決策請求不滿足訪問控制策略中的“上下文條件列表”所包含的上下文條件，則判決為拒絕對該訪問控制決策請求所請求的目標(biāo)資源進行訪問。若訪問控制決策請求滿足訪問控制策略中的“上下文條件列表”所包含的上下文條件，則可進一步結(jié)合該訪問控制策略中的其他規(guī)則進行判決。

具體地，用于對目標(biāo)資源的資源屬性進行訪問權(quán)限判決的規(guī)則中包含資源屬性列表，該資源屬性列表中包括以下內(nèi)容之一：

-一個或多個允許訪問的資源屬性或者資源屬性的指示信息；

-用于表示所有資源屬性均被允許訪問的指示信息；

-用于表示所有資源屬性均不允許訪問的指示信息。

若上述用于對目標(biāo)資源的資源屬性進行訪問權(quán)限判決的規(guī)則中若不包含資源屬性列表，則該規(guī)則表明所有資源屬性均不允許訪問。

具體地，用于對目標(biāo)資源的子資源進行訪問權(quán)限判決的規(guī)則中包含子資源列表，該子資源列表中包括以下內(nèi)容之一：

-一個或多個允許訪問的子資源或者子資源的指示信息；

-用于表示所有子資源均被允許訪問的指示信息；

-用于表示所有子資源均不允許訪問的指示信息。

若上述用于對目標(biāo)資源的子資源進行訪問權(quán)限判決的規(guī)則中若不包子資源列表，則該規(guī)則表明所有子資源均不允許訪問。

進一步地，上述訪問控制決策請求中，還可以包括提供建議指示，則pdp還用于：若判決為拒絕對訪問控制決策請求所請求的目標(biāo)資源進行訪問，則根據(jù)該提供建議指示，獲取建議請求訪問的目標(biāo)資源的目標(biāo)對象列表，該列表中包含的目標(biāo)資源的目標(biāo)對象能夠被訪問控制決策請求的發(fā)起方訪問；將該建議請求訪問的目標(biāo)資源的目標(biāo)對象列表發(fā)送給pep。

具體地，pep根據(jù)資源訪問請求中的內(nèi)容參數(shù)確定目標(biāo)對象，所述內(nèi)容參數(shù)包括請求訪問的資源屬性和/或子資源；或者，根據(jù)資源訪問請求中的目標(biāo)資源和請求作用于目標(biāo)資源的操作確定目標(biāo)對象。

該系統(tǒng)還可以包括prp，其中，prp用于存儲用于對訪問控制決策請求進行訪問權(quán)限判決的訪問控制策略。

pdp可以根據(jù)訪問控制決策請求從prp處獲取用于對訪問控制決策請求進行訪問權(quán)限判決的訪問控制策略。

本發(fā)明是參照根據(jù)本發(fā)明實施例的方法、設(shè)備(系統(tǒng))、和計算機程序產(chǎn)品的流程圖和/或方框圖來描述的。應(yīng)理解可由計算機程序指令實現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合?？商峁┻@些計算機程序指令到通用計算機、專用計算機、嵌入式處理機或其他可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生一個機器，使得通過計算機或其他可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。

這些計算機程序指令也可存儲在能引導(dǎo)計算機或其他可編程數(shù)據(jù)處理設(shè)備以特定方式工作的計算機可讀存儲器中，使得存儲在該計算機可讀存儲器中的指令產(chǎn)生包括指令裝置的制造品，該指令裝置實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能。

這些計算機程序指令也可裝載到計算機或其他可編程數(shù)據(jù)處理設(shè)備上，使得在計算機或其他可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計算機實現(xiàn)的處理，從而在計算機或其他可編程設(shè)備上執(zhí)行的指令提供用于實現(xiàn)在流程圖一個 流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。

盡管已描述了本發(fā)明的優(yōu)選實施例，但本領(lǐng)域內(nèi)的技術(shù)人員一旦得知了基本創(chuàng)造性概念，則可對這些實施例作出另外的變更和修改。所以，所附權(quán)利要求意欲解釋為包括優(yōu)選實施例以及落入本發(fā)明范圍的所有變更和修改。

顯然，本領(lǐng)域的技術(shù)人員可以對本發(fā)明進行各種改動和變型而不脫離本發(fā)明的精神和范圍。這樣，倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi)，則本發(fā)明也意圖包含這些改動和變型在內(nèi)。