本發(fā)明涉及通信技術(shù)領(lǐng)域，尤其涉及分布式授權(quán)管理方法及裝置。

背景技術(shù)：

物聯(lián)網(wǎng)標(biāo)準(zhǔn)化組織onem2m致力于開發(fā)一系列用于構(gòu)造公共的m2m(machine-to-machine，機(jī)器對(duì)機(jī)器通信)服務(wù)層的技術(shù)規(guī)范。onem2m的核心是數(shù)據(jù)共享，具體是通過onem2mcse(commonservicesentity，公共服務(wù)實(shí)體)內(nèi)定義的資源樹上的數(shù)據(jù)項(xiàng)的共享實(shí)現(xiàn)的。

onem2m通過對(duì)標(biāo)準(zhǔn)化的資源樹進(jìn)行操作來(lái)實(shí)現(xiàn)服務(wù)層資源的共享和交互，onem2m資源樹存在于onem2m系統(tǒng)所定義的cse中。根據(jù)onem2m功能架構(gòu)規(guī)范(onem2mts-0001:"functionalarchitecture")中的定義，onem2m資源樹的形式如圖1所示。對(duì)onem2m資源可進(jìn)行創(chuàng)建(create)、查詢(retrieve)、修改(update)和刪除(delete)等操作。

onem2m所定義的資源中與授權(quán)相關(guān)的資源是訪問控制策略資源<accesscontrolpolicy>，其中定義有acp(accesscontrolpolicy，訪問控制策略)。<accesscontrolpolicy>資源由資源id唯一標(biāo)識(shí)，其他資源通過accesscontrolpolicyids屬性指定所適用的訪問控制策略。

目前，onem2m系列規(guī)范中的安全規(guī)范(onem2mts-0003:"securitysolutions")給出了onem2m授權(quán)架構(gòu)的高層描述，具體給出了授權(quán)架構(gòu)的主要組成部分和基本流程，但尚未在資源結(jié)構(gòu)層面給出具體的分布式授權(quán)管理方案。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明實(shí)施例提供了一種分布式授權(quán)管理方法及裝置，在資源結(jié)構(gòu)層面給出了分布式授權(quán)管理方案。

本發(fā)明實(shí)施例提供的分布式授權(quán)管理方法，包括：

pep根據(jù)接收到的資源訪問請(qǐng)求獲取包含有用于承載授權(quán)實(shí)體地址的屬性的資源；

所述pep根據(jù)所述資源中用于承載授權(quán)實(shí)體地址的屬性獲取授權(quán)實(shí)體地址，所述授權(quán)實(shí)體包括pdp、prp、pip中的一種或多種；

所述pep根據(jù)獲取到的授權(quán)實(shí)體地址，從對(duì)應(yīng)的授權(quán)實(shí)體獲取用于執(zhí)行訪問控制決策的信息；

所述pep根據(jù)獲取到的用于執(zhí)行訪問控制決策的信息，針對(duì)所述資源訪問請(qǐng)求執(zhí)行訪問控制決策。

優(yōu)選地，所述包含有用于承載授權(quán)實(shí)體地址的屬性的資源，為包含有用于承載授權(quán)實(shí)體地址的屬性的訪問控制策略資源；

pep根據(jù)所述資源中用于承載授權(quán)實(shí)體地址的屬性獲取pdp地址，包括：

若所述pep未從所述包含有用于承載授權(quán)實(shí)體地址的屬性的訪問控制策略資源中獲取到訪問控制策略，則根據(jù)該資源中用于承載授權(quán)實(shí)體地址的屬性獲取pdp地址。

優(yōu)選地，pep根據(jù)接收到的資源訪問請(qǐng)求獲取包含有用于承載授權(quán)實(shí)體地址的屬性的資源，包括：

所述pep根據(jù)接收到的資源訪問請(qǐng)求，獲取所請(qǐng)求訪問的目標(biāo)資源適用的訪問控制策略資源；

若所述pep未從所述訪問控制策略資源中獲取到訪問控制策略，則獲取所述包含有用于承載授權(quán)實(shí)體地址的屬性的資源。

優(yōu)選地，所述用于承載授權(quán)實(shí)體地址的屬性包括：pdp接入點(diǎn)屬性，所述pdp接入點(diǎn)屬性用于承載一個(gè)或多個(gè)pdp地址。

其中，若pdp接入點(diǎn)屬性中承載有多個(gè)pdp地址，則所述pep根據(jù)所述 資源中用于承載授權(quán)實(shí)體地址的屬性獲取pdp地址，包括：所述pep根據(jù)所述資源中的pdp接入點(diǎn)屬性獲取pdp地址，并從獲取到的pdp地址中選擇一個(gè)pdp地址。

本發(fā)明另一實(shí)施例提供的分布式授權(quán)管理方法，包括：

pdp根據(jù)接收到的訪問控制決策請(qǐng)求獲取包含有用于承載授權(quán)實(shí)體地址的屬性的資源；

所述pdp根據(jù)所述資源中用于承載授權(quán)實(shí)體地址的屬性獲取prp地址；

所述pdp根據(jù)獲取到的prp地址，從對(duì)應(yīng)的prp獲取訪問控制策略；

所述pdp根據(jù)獲取到的訪問控制策略進(jìn)行訪問控制決策。

優(yōu)選地，所述包含有用于承載授權(quán)實(shí)體地址的屬性的資源，為包含有用于承載授權(quán)實(shí)體地址的屬性的訪問控制策略資源；

所述pdp根據(jù)所述資源中用于承載授權(quán)實(shí)體地址的屬性獲取prp地址，包括：

若所述pdp未從所述包含有用于承載授權(quán)實(shí)體地址的屬性的訪問控制策略資源中獲取到訪問控制策略，則根據(jù)該資源中用于承載授權(quán)實(shí)體地址的屬性獲取prp地址。

優(yōu)選地，所述pdp根據(jù)接收到的訪問控制決策請(qǐng)求獲取包含有用于承載授權(quán)實(shí)體地址的屬性的資源，包括：

所述pdp根據(jù)接收到的訪問控制決策請(qǐng)求，獲取所請(qǐng)求訪問的目標(biāo)資源適用的訪問控制策略資源；

若所述pep未從所述訪問控制策略資源中獲取到訪問控制策略，則獲取所述包含有用于承載授權(quán)實(shí)體地址的屬性的資源。

優(yōu)選地，所述用于承載授權(quán)實(shí)體地址的屬性包括：prp接入點(diǎn)屬性，所述prp接入點(diǎn)屬性用于承載一個(gè)或多個(gè)prp地址。

其中，若prp接入點(diǎn)屬性中承載有多個(gè)prp地址，則所述pdp根據(jù)所述資源中用于承載授權(quán)實(shí)體地址的屬性獲取prp地址，包括：所述pdp根據(jù)所 述資源中的prp接入點(diǎn)屬性獲取prp地址，并從獲取到的prp地址中選擇一個(gè)prp地址。

本發(fā)明另一實(shí)施例提供的分布式授權(quán)管理方法，包括：

pdp根據(jù)接收到的訪問控制決策請(qǐng)求獲取包含有用于承載授權(quán)實(shí)體地址的屬性的資源；

所述pdp根據(jù)所述資源中用于承載授權(quán)實(shí)體地址的屬性獲取pip地址；

所述pdp根據(jù)獲取到的pip地址，從對(duì)應(yīng)的pip獲取訪問控制信息；

所述pdp根據(jù)獲取到的訪問控制信息進(jìn)行訪問控制決策。

優(yōu)選地，所述pdp根據(jù)接收到的訪問控制決策請(qǐng)求獲取包含有用于承載授權(quán)實(shí)體地址的屬性的資源，包括：所述pdp根據(jù)接收到的訪問控制決策請(qǐng)求，在所述pdp本地未獲取到所需的訪問控制信息，則獲取所請(qǐng)求訪問的目標(biāo)資源適用的包含有用于承載授權(quán)實(shí)體地址的屬性的資源。

優(yōu)選地，所述用于承載授權(quán)實(shí)體地址的屬性包括：pip接入點(diǎn)屬性，所述pip接入點(diǎn)屬性用于承載一個(gè)或多個(gè)pip地址。

其中，若pip接入點(diǎn)屬性中承載有多個(gè)pip地址，則所述pdp根據(jù)所述資源中用于承載授權(quán)實(shí)體地址的屬性獲取pip地址，包括：所述pdp根據(jù)所述資源中的pip接入點(diǎn)屬性獲取pip地址，并從獲取到的pip地址中選擇一個(gè)pip地址。

本發(fā)明實(shí)施例提供的pep設(shè)備，包括：

第一獲取模塊，用于根據(jù)接收到的資源訪問請(qǐng)求獲取包含有用于承載授權(quán)實(shí)體地址的屬性的資源；

第二獲取模塊，用于根據(jù)所述資源中用于承載授權(quán)實(shí)體地址的屬性獲取授權(quán)實(shí)體地址，所述授權(quán)實(shí)體包括pdp、prp、pip中的一種或多種；

第三獲取模塊，用于根據(jù)獲取到的授權(quán)實(shí)體地址，從對(duì)應(yīng)的授權(quán)實(shí)體獲取用于執(zhí)行訪問控制決策的信息；

決策執(zhí)行模塊，用于根據(jù)獲取到的用于執(zhí)行訪問控制決策的信息，針對(duì)所 述資源訪問請(qǐng)求執(zhí)行訪問控制決策。

優(yōu)選地，所述包含有用于承載授權(quán)實(shí)體地址的屬性的資源，為包含有用于承載授權(quán)實(shí)體地址的屬性的訪問控制策略資源；所述第二獲取模塊具體用于：若未從所述包含有用于承載授權(quán)實(shí)體地址的屬性的訪問控制策略資源中獲取到訪問控制策略，則根據(jù)該資源中用于承載授權(quán)實(shí)體地址的屬性獲取pdp地址；或者，

所述第一獲取模塊具體用于：根據(jù)接收到的資源訪問請(qǐng)求，獲取所請(qǐng)求訪問的目標(biāo)資源適用的訪問控制策略資源，若未從該資源中獲取到訪問控制策略，則獲取所述包含有用于承載授權(quán)實(shí)體地址的屬性的資源。

優(yōu)選地，所述用于承載授權(quán)實(shí)體地址的屬性包括：pdp接入點(diǎn)屬性，所述pdp接入點(diǎn)屬性用于承載一個(gè)或多個(gè)pdp地址。

本發(fā)明實(shí)施例提供的pdp設(shè)備，包括：

第一獲取模塊，用于根據(jù)接收到的訪問控制決策請(qǐng)求獲取包含有用于承載授權(quán)實(shí)體地址的屬性的資源；

第二獲取模塊，用于根據(jù)所述資源中用于承載授權(quán)實(shí)體地址的屬性獲取prp地址；

第三獲取模塊，用于根據(jù)獲取到的prp地址，從對(duì)應(yīng)的prp獲取訪問控制策略；

決策模塊，用于根據(jù)獲取到的訪問控制策略進(jìn)行訪問控制決策。

優(yōu)選地，所述包含有用于承載授權(quán)實(shí)體地址的屬性的資源，為包含有用于承載授權(quán)實(shí)體地址的屬性的訪問控制策略資源；所述第二獲取模塊具體用于：若未從所述包含有用于承載授權(quán)實(shí)體地址的屬性的訪問控制策略資源中獲取到訪問控制策略，則根據(jù)該資源中用于承載授權(quán)實(shí)體地址的屬性獲取prp地址；或者，

所述第一獲取模塊具體用于：根據(jù)接收到的訪問控制決策請(qǐng)求，獲取所請(qǐng)求訪問的目標(biāo)資源適用的訪問控制策略資源，若未從該資源中獲取到訪問控制 策略，則獲取所述包含有用于承載授權(quán)實(shí)體地址的屬性的資源。

優(yōu)選地，所述用于承載授權(quán)實(shí)體地址的屬性包括：prp接入點(diǎn)屬性，所述prp接入點(diǎn)屬性用于承載一個(gè)或多個(gè)prp地址。

本發(fā)明另一實(shí)施例提供的pdp設(shè)備，包括：

第一獲取模塊，用于根據(jù)接收到的訪問控制決策請(qǐng)求獲取包含有用于承載授權(quán)實(shí)體地址的屬性的資源；

第二獲取模塊，用于根據(jù)所述第一資源中用于承載授權(quán)實(shí)體地址的屬性獲取pip地址；

所述第三獲取模塊，用于根據(jù)獲取到的pip地址，從對(duì)應(yīng)的pip獲取訪問控制信息；

決策模塊，用于根據(jù)獲取到的訪問控制信息進(jìn)行訪問控制決策。

優(yōu)選地，所述第一獲取模塊具體用于：根據(jù)接收到的訪問控制決策請(qǐng)求，在所述pdp本地未獲取到所需的訪問控制信息，則獲取所請(qǐng)求訪問的目標(biāo)資源適用的包含有用于承載授權(quán)實(shí)體地址的屬性的資源。

優(yōu)選地，所述用于承載授權(quán)實(shí)體地址的屬性包括：pip接入點(diǎn)屬性，所述pip接入點(diǎn)屬性用于承載一個(gè)或多個(gè)pip地址。

本發(fā)明的上述實(shí)施例中，授權(quán)實(shí)體根據(jù)包含有用于承載授權(quán)實(shí)體地址的屬性的資源中用于承載授權(quán)實(shí)體地址的屬性獲取其他授權(quán)實(shí)體的地址，從而基于該地址從其他授權(quán)實(shí)體獲取相應(yīng)信息，在資源結(jié)構(gòu)層面給出了分布式授權(quán)管理方案。

附圖說明

圖1為現(xiàn)有技術(shù)中的onem2m資源樹示意圖；

圖2為現(xiàn)有技術(shù)中的onem2m授權(quán)架構(gòu)示意圖；

圖3為本發(fā)明實(shí)施例中定義的<accesscontrolpolicy>資源的結(jié)構(gòu)示意圖；

圖4和圖5分別為本發(fā)明實(shí)施例提供的基于pdp-poas屬性實(shí)現(xiàn)的pep與 pdp之間的交互過程示意圖；

圖6和圖7分別為本發(fā)明實(shí)施例提供的基于prp-poas屬性實(shí)現(xiàn)的pdp與prp之間的交互過程示意圖；

圖8和圖9分別為本發(fā)明實(shí)施例提供的基于pip-poas屬性實(shí)現(xiàn)的pdp與pip之間的交互過程示意圖；

圖10為本發(fā)明實(shí)施例提供的具體應(yīng)用場(chǎng)景示意圖；

圖11為本發(fā)明實(shí)施例提供的pep結(jié)構(gòu)示意圖；

圖12為本發(fā)明實(shí)施例提供的pdp結(jié)構(gòu)示意圖之一；

圖13為本發(fā)明實(shí)施例提供的pdp結(jié)構(gòu)示意圖之二。

具體實(shí)施方式

為了使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚，下面將結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步地詳細(xì)描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部份實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其它實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

onem2m定義了兩種基本實(shí)體：應(yīng)用實(shí)體(applicationentity，ae)和公共服務(wù)實(shí)體(commonservicesentity，cse)。

ae位于應(yīng)用層，可實(shí)現(xiàn)一個(gè)m2m應(yīng)用邏輯。一個(gè)應(yīng)用邏輯既可以駐留在多個(gè)m2m節(jié)點(diǎn)中，也可以在單個(gè)節(jié)點(diǎn)中存在多個(gè)執(zhí)行實(shí)例。應(yīng)用邏輯的每個(gè)執(zhí)行實(shí)例被稱為一個(gè)ae，每個(gè)ae由唯一的ae-id所標(biāo)識(shí)。

cse由一組m2m環(huán)境中的“公共服務(wù)功能(commonservicefunctions)”構(gòu)成。每個(gè)cse由唯一的cse-id所標(biāo)識(shí)。onem2m資源樹存在于cse中。

onem2m定義了3種類型的資源：

普通資源(normalresource)：具有具體的資源結(jié)構(gòu)及資源屬性。

虛擬資源(virtualresource)：不具有具體的資源結(jié)構(gòu)及資源屬性，主要用于觸發(fā)特定的處理過程。

公布資源(announcedresource)：具有具體的資源結(jié)構(gòu)及屬性，該資源為其他實(shí)體上普通資源某些內(nèi)容的拷貝，主要目的是為資源發(fā)現(xiàn)提供便利。

onem2m安全解決方案技術(shù)規(guī)范(onem2mts-0003:securitysolutions)中給出的授權(quán)架構(gòu)如圖2所示，該架構(gòu)中可包括如下組件：

·策略執(zhí)行點(diǎn)(policyenforcementpoint，pep)：pep與需要訪問控制的應(yīng)用系統(tǒng)共存，并由應(yīng)用系統(tǒng)調(diào)用，pep將根據(jù)資源訪問發(fā)起方的資源訪問請(qǐng)求生成訪問控制決策請(qǐng)求，并發(fā)送給pdp，然后根據(jù)pdp返回的訪問控制決策響應(yīng)確定是否執(zhí)行該資源訪問請(qǐng)求。

·策略決策點(diǎn)(policydecisionpoint，pdp)：pdp負(fù)責(zé)根據(jù)訪問控制策略判決是否同意對(duì)由pep發(fā)送來(lái)的訪問控制決策請(qǐng)求所請(qǐng)求的目標(biāo)資源進(jìn)行訪問，并將判決結(jié)果通過訪問控制決策響應(yīng)返回給pep。

·策略獲取點(diǎn)(policyretrievalpoint，prp)：prp根據(jù)pdp提供的訪問控制策略請(qǐng)求獲取適用的訪問控制策略，并將獲取的訪問控制策略返回給pdp。

·策略信息點(diǎn)(policyinformationpoint，pip)：pip根據(jù)pdp的訪問控制信息請(qǐng)求獲取與用戶、資源或環(huán)境相關(guān)的屬性，例如訪問用戶的ip地址，資源的創(chuàng)建者，當(dāng)前的時(shí)間等，然后將獲得的屬性返回給pdp。

onem2m的基本資源訪問控制流程可包括：

資源訪問發(fā)起方向pep發(fā)送資源訪問請(qǐng)求(accessrequest)，pep根據(jù)該資源訪問請(qǐng)求向pdp發(fā)送訪問控制決策請(qǐng)求(decisionrequest)。

pdp根據(jù)pep發(fā)送的訪問控制決策請(qǐng)求向prp發(fā)送訪問控制策略請(qǐng)求(policyrequest)，prp向pdp返回訪問控制策略響應(yīng)(policyresponse)，該訪問控制策略響應(yīng)中包含有訪問控制策略。

pdp對(duì)訪問控制決策請(qǐng)求和訪問控制策略中包含的內(nèi)容進(jìn)行分析、判決；在進(jìn)行分析、判決時(shí)，若需要其他屬性，則向pip發(fā)送訪問控制信息請(qǐng)求(attributerequest)，pip向pdp發(fā)送訪問控制信息響應(yīng)，該訪問控制信息響 應(yīng)中包括根據(jù)訪問控制信息請(qǐng)求獲取到的與訪問控制相關(guān)的屬性。

pdp向pep發(fā)送訪問控制決策響應(yīng)(decisionresponse)，該問控制決策響應(yīng)中包括訪問控制決策結(jié)果。pep根據(jù)訪問控制決策響應(yīng)中的訪問控制決策結(jié)果，決定是否執(zhí)行資源訪問發(fā)起方的資源訪問請(qǐng)求。

為了在資源結(jié)構(gòu)層面給出分布式授權(quán)管理方案，本發(fā)明實(shí)施例中對(duì)onem2m中已定義的<accesscontrolpolicy>資源類型進(jìn)行了重新定義，以便其能為分布式授權(quán)系統(tǒng)提供授權(quán)實(shí)體的地址信息。新定義的<accesscontrolpolicy>資源除能完成原有的功能外，還能在分布式授權(quán)的情況下，根據(jù)新定義的<accesscontrolpolicy>資源確定應(yīng)該向哪個(gè)或哪些授權(quán)相關(guān)的實(shí)體發(fā)送相應(yīng)的與授權(quán)相關(guān)的請(qǐng)求，也即向訪問控制系統(tǒng)提供有關(guān)pdp、prp或pip的地址信息。

重新定義的<accesscontrolpolicy>資源的基本結(jié)構(gòu)如圖3所示。圖3中用“0..n”表示屬性或子資源可能的數(shù)量，n為大于等于1的整數(shù)；用“l(fā)”表示屬性值可以是列表(list)形式。

本發(fā)明實(shí)施例在<accesscontrolpolicy>資源中新增加了三個(gè)資源屬性：

pdp接入點(diǎn)屬性：用于承載一組(即一個(gè)或多個(gè))可實(shí)現(xiàn)pdp功能的實(shí)體的地址；該屬性的屬性名稱可表示為可表示為pdp-poas或pdpaddresses，屬性值為；一組可實(shí)現(xiàn)pdp功能的實(shí)體的地址，比如一個(gè)pdp地址列表；pdp-poas屬性為可選屬性。其中，poa為pointofaccess的縮略語(yǔ)，意為接入點(diǎn)；

prp接入點(diǎn)屬性：用于承載一組(即一個(gè)或多個(gè))可實(shí)現(xiàn)prp功能的實(shí)體的地址；該屬性的屬性名稱可表示為prp-poas或prpaddresses，屬性值為一組可實(shí)現(xiàn)prp功能的實(shí)體的地址，比如一個(gè)prp地址列表；prp-poas屬性為可選屬性；

pip接入點(diǎn)屬性：用于承載一組(即一個(gè)或多個(gè))可實(shí)現(xiàn)pip功能的實(shí)體的地址；該屬性的屬性名稱可表示為pip-poas或pipaddresses，屬性值為一組 可實(shí)現(xiàn)pip功能的實(shí)體的地址，比如一個(gè)pip地址列表；pip-poas屬性為可選屬性。

進(jìn)一步地，<accesscontrolpolicy>資源中還可包括以下已定義的屬性中的一種或多種：

privileges屬性：用于承載訪問控制策略；

selfprivileges屬性：用于承載訪問控制策略。

進(jìn)一步地，可將上述privileges屬性從原來(lái)的“必選”調(diào)整為“可選”。進(jìn)一步地，如果<accesscontrolpolicy>資源中包含privileges屬性，則其數(shù)量可以是一個(gè)或多個(gè)。

進(jìn)一步地，<accesscontrolpolicy>資源中還可包含子資源，表示為<subscription>。<accesscontrolpolicy>資源中所包含的<subscription>資源的數(shù)量可以是一個(gè)或多個(gè)。<subscription>可以是onem2m已定義的子資源。

上述實(shí)施例中，通過對(duì)<accesscontrolpolicy>資源重新定義，用新增加的資源屬性承載授權(quán)實(shí)體的地址，進(jìn)而可根據(jù)<accesscontrolpolicy>資源實(shí)現(xiàn)分布式授權(quán)管理。與此類似地，在其他一些實(shí)施例中，也可保持現(xiàn)有技術(shù)中已定義的<accesscontrolpolicy>資源不變，而將上述3種資源屬性(如pdp-poas屬性、prp-poas屬性和pip-poas屬性)中的一種或多種組織在一個(gè)單獨(dú)定義的新資源中，例如，該新定義的資源可命名為<authorizationentity>。與<accesscontrolpolicy>資源處理方式類似，對(duì)于不能直接擁有<authorizationentity>子資源類型的資源，可以通過公共資源屬性(commonattribute)<authorizationentityid>與某個(gè)<authorizationentity>資源相關(guān)聯(lián)。<authorizationentity>資源中的資源屬性的使用與其在<accesscontrolpolicy>資源類型中的方式相同。

可選地，現(xiàn)有技術(shù)中已定義的<accesscontrolpolicy>資源和本發(fā)明實(shí)施例定義的<authorizationentity>資源使用的優(yōu)先級(jí)順序可以是：<accesscontrolpolicy>資源的優(yōu)先級(jí)高于<authorizationentity>資源的優(yōu)先級(jí)。

下面以重新定義的<accesscontrolpolicy>資源為例，對(duì)本發(fā)明實(shí)施例提供的分布式授權(quán)管理流程進(jìn)行說明。上述原理和處理方式同樣適用于根據(jù)新定義的<authorizationentity>資源實(shí)現(xiàn)分布式授權(quán)管理的過程。

參見圖4，為本發(fā)明實(shí)施例提供的基于新定義的用于承載授權(quán)實(shí)體地址的屬性實(shí)現(xiàn)pep與pdp之間的交互的過程，如圖所示，該流程可包括如下步驟：

步驟401：pep根據(jù)接收到的資源訪問請(qǐng)求獲取包含有用于承載授權(quán)實(shí)體地址的屬性的資源(以下為描述方便將該資源稱為第一資源)。

步驟402：pep根據(jù)第一資源中用于承載授權(quán)實(shí)體地址的屬性獲取授權(quán)實(shí)體地址。所述授權(quán)實(shí)體包括可pdp、prp、pip中的一種或多種。具體地，pep可根據(jù)第一資源中的pdp-poas屬性獲取pdp地址，根據(jù)第一資源中的prp-poas屬性獲取prp地址，根據(jù)第一資源中的pip-poas屬性獲取pip地址。

步驟403：pep根據(jù)獲取到的授權(quán)實(shí)體地址，從對(duì)應(yīng)的授權(quán)實(shí)體獲取用于執(zhí)行訪問控制決策的信息。

該步驟中，pep根據(jù)獲取到的pdp地址，向?qū)?yīng)的pdp發(fā)送訪問控制決策請(qǐng)求；pdp接收到該訪問控制決策請(qǐng)求后，根據(jù)目標(biāo)資源采用相應(yīng)的訪問控制策略進(jìn)行訪問控制決策，并將訪問控制決策信息(即決策結(jié)果)攜帶于訪問控制決策響應(yīng)中發(fā)送給該pep。

pep可根據(jù)獲取到的prp地址，向?qū)?yīng)的prp發(fā)送訪問控制策略請(qǐng)求；prp接收到該訪問控制策略請(qǐng)求后，獲取訪問控制策略，并將訪問控制策略攜帶于訪問控制策略響應(yīng)中發(fā)送給該pep。

pep可根據(jù)獲取到的pip地址，向?qū)?yīng)的pip發(fā)送訪問控制信息請(qǐng)求；pip接收到該訪問控制信息請(qǐng)求后，獲取訪問控制信息，并將訪問控制信息攜帶于訪問控制信息響應(yīng)中發(fā)送給該pep。

步驟404：pep根據(jù)獲取到的用于執(zhí)行訪問控制決策的信息，針對(duì)所述資源訪問請(qǐng)求執(zhí)行訪問控制決策。

作為一個(gè)例子，上述流程中的第一資源為上述重新定義的 <accesscontrolpolicy>資源。步驟401中，pep根據(jù)接收到的資源訪問請(qǐng)求，獲取所請(qǐng)求訪問的目標(biāo)資源適用的<accesscontrolpolicy>資源；步驟402中，pep獲取<accesscontrolpolicy>資源的privileges屬性值，該屬性值即為訪問控制策略，若pep未從<accesscontrolpolicy>資源中獲取到訪問控制策略(比如在<accesscontrolpolicy>資源中未包含privileges屬性的情況下，或者在<accesscontrolpolicy>資源中包含privileges屬性但該屬性的值為空的情況下，pep無(wú)法從<accesscontrolpolicy>資源中獲取到訪問控制策略)，則根據(jù)<accesscontrolpolicy>資源中的pdp-poas屬性獲取pdp地址。

作為另一個(gè)例子，上述流程中的第一資源為上述重新定義的<authorizationentity>資源，第二資源為現(xiàn)有技術(shù)中的<accesscontrolpolicy>資源。步驟401中，pep根據(jù)接收到的資源訪問請(qǐng)求，獲取所請(qǐng)求訪問的目標(biāo)資源適用的<accesscontrolpolicy>資源，pep獲取<accesscontrolpolicy>資源的privileges屬性值，該屬性值即為訪問控制策略，若pep未從<accesscontrolpolicy>資源中獲取到訪問控制策略(比如在<accesscontrolpolicy>資源中未包含privileges屬性的情況下，或者在<accesscontrolpolicy>資源中包含privileges屬性但該屬性的值為空的情況下，pep無(wú)法從<accesscontrolpolicy>資源中獲取到訪問控制策略)，則獲取<authorizationentity>資源。如上所述，<authorizationentity>資源中可包含上述的pdp-poas屬性、prp-poas屬性和pip-poas屬性，這三種屬性均為可選屬性。

下面以基于新定義的<accesscontrolpolicy>資源為例，結(jié)合圖5描述圖4的一種具體實(shí)現(xiàn)過程。如圖5所述，該流程可包括如下步驟：

步驟501：位于宿主cse(hostingcse)中的pep截取到來(lái)自于資源訪問發(fā)起方(originator)的資源訪問請(qǐng)求后，按onem2m系統(tǒng)的規(guī)定檢索到目標(biāo)資源適用的<accesscontrolpolicy>資源。

步驟502：pep檢查<accesscontrolpolicy>資源中是否包含有privileges屬 性且屬性值不為空。若不包含有privileges屬性或?qū)傩灾禐榭?，則轉(zhuǎn)入步驟503；若包含有privileges屬性且屬性值不為空，則轉(zhuǎn)入步驟506；

步驟503：pep檢查<accesscontrolpolicy>資源中是否包含有pdp-poas屬性且屬性值不為空。若包含有pdp-poas屬性且屬性值不為空，則轉(zhuǎn)入步驟504；若不包含有pdp-poas屬性或?qū)傩灾禐榭?，則轉(zhuǎn)入步驟507；

步驟504：pep讀取pdp-poas屬性中的pdp地址列表，并獲得一個(gè)pdp地址(即poa)，然后轉(zhuǎn)入步驟505；

步驟505：pep生成訪問控制決策請(qǐng)求(accesscontroldecisionrequest)，并將其發(fā)送給該pdp地址對(duì)應(yīng)的pdp，從該pdp接收返回的訪問控制決策響應(yīng)(accesscontroldecisionresponse)，該訪問控制決策響應(yīng)中包含訪問控制決策信息，然后轉(zhuǎn)入步驟508；

步驟506：pep讀取privileges屬性中的訪問控制策略，并利用其評(píng)估發(fā)起方的資源訪問請(qǐng)求，進(jìn)而獲得訪問控制決策，然后轉(zhuǎn)入步驟508；

步驟507：pep進(jìn)行出錯(cuò)處理，然后轉(zhuǎn)入步驟508；

步驟508：pep執(zhí)行訪問控制決策，并結(jié)束本次訪問控制過程。其中，如果是從步驟507轉(zhuǎn)入到步驟508的，則由于步驟507中進(jìn)行了出錯(cuò)處理，則在步驟508中，pep可拒絕資源訪問發(fā)起方(originator)的資源訪問請(qǐng)求，或者按照預(yù)先約定進(jìn)行處理。

參見圖6，為本發(fā)明實(shí)施例提供的基于新定義的prp接入點(diǎn)屬性(以下稱為prp-poas屬性)實(shí)現(xiàn)pdp與prp之間的交互的過程，如圖所示，該流程可包括如下步驟：

步驟601：pdp根據(jù)接收到的訪問控制決策請(qǐng)求獲取包含有用于承載授權(quán)實(shí)體地址的屬性的資源(以下為描述方便將該資源稱為第一資源)；

步驟602：pdp根據(jù)第一資源中用于承載授權(quán)實(shí)體地址的屬性獲取prp地址。具體地，pep根據(jù)第一資源中的prp-poas屬性獲取prp地址。

步驟603：pdp根據(jù)獲取到的prp地址，從對(duì)應(yīng)的prp獲取訪問控制策 略。

該步驟中，pdp根據(jù)獲取到的prp地址，向?qū)?yīng)的prp發(fā)送訪問控制策略請(qǐng)求；prp接收到該訪問控制策略請(qǐng)求后，獲取訪問控制策略，并將訪問控制策略攜帶于訪問控制策略響應(yīng)中發(fā)送給該pdp。

步驟604：pdp根據(jù)獲取到的訪問控制策略進(jìn)行訪問控制決策。

作為一個(gè)例子，上述流程中的第一資源為上述重新定義的<accesscontrolpolicy>資源。步驟601中，pdp根據(jù)接收到的訪問控制策略請(qǐng)求，獲取所請(qǐng)求訪問的目標(biāo)資源適用的<accesscontrolpolicy>資源；步驟602中，pdp獲取<accesscontrolpolicy>資源的privileges屬性值，該屬性值即為訪問控制策略，若pdp未從<accesscontrolpolicy>資源中獲取到訪問控制策略(比如在<accesscontrolpolicy>資源中未包含privileges屬性的情況下，或者在<accesscontrolpolicy>資源中包含privileges屬性但該屬性的值為空的情況下，pdp無(wú)法從<accesscontrolpolicy>資源中獲取到訪問控制策略)，則根據(jù)<accesscontrolpolicy>資源中的prp-poas屬性獲取prp地址。

作為另一個(gè)例子，上述流程中的第一資源為上述重新定義的<authorizationentity>資源，第二資源為現(xiàn)有技術(shù)中的<accesscontrolpolicy>資源。步驟601中，pdp根據(jù)接收到的訪問控制策略請(qǐng)求，獲取所請(qǐng)求訪問的目標(biāo)資源適用的<accesscontrolpolicy>資源，pdp獲取<accesscontrolpolicy>資源的privileges屬性值，該屬性值即為訪問控制策略，若pdp未從<accesscontrolpolicy>資源中獲取到訪問控制策略(比如在<accesscontrolpolicy>資源中未包含privileges屬性的情況下，或者在<accesscontrolpolicy>資源中包含privileges屬性但該屬性的值為空的情況下，pdp無(wú)法從<accesscontrolpolicy>資源中獲取到訪問控制策略)，則獲取<authorizationentity>資源。如上所述，<authorizationentity>資源中可包含上述的pdp-poas屬性、prp-poas屬性和pip-poas屬性，這三種屬性均為可選屬性。

下面以基于新定義的<accesscontrolpolicy>資源為例，結(jié)合圖7描述圖6的一種具體實(shí)現(xiàn)過程。如圖7所述，該流程可包括如下步驟：

步驟701：pdp收到來(lái)自于pep的訪問控制決策請(qǐng)求后，利用訪問控制決策請(qǐng)求中的目標(biāo)資源地址檢索適用的<accesscontrolpolicy>資源。

步驟702：pdp檢查<accesscontrolpolicy>資源中是否包含有privileges屬性且屬性值不為空。若不包含有privileges屬性或?qū)傩灾禐榭眨瑒t轉(zhuǎn)入步驟703；若包含有privileges屬性且屬性值不為空，則轉(zhuǎn)入步驟706；

步驟703：pdp檢查<accesscontrolpolicy>資源中是否包含有prp-poas屬性且屬性值不為空。若包含prp-poas屬性且屬性值不為空，則轉(zhuǎn)入步驟704；若不包含有prp-poas屬性或?qū)傩灾禐榭眨瑒t轉(zhuǎn)入步驟707；

步驟704：pdp讀取prp-poas屬性中的prp地址列表，并獲得一個(gè)prp地址，然后轉(zhuǎn)入步驟705；

步驟705：pdp生成訪問控制策略請(qǐng)求(accesscontrolpolicyrequest)，并將其發(fā)送給該prp地址對(duì)應(yīng)的prp，從該prp接收返回的訪問控制策略響應(yīng)(accesscontrolpolicyresponse)，獲取響應(yīng)中的訪問控制策略，然后轉(zhuǎn)入步驟708；

步驟706：pdp讀取privileges屬性中的訪問控制策略，然后轉(zhuǎn)入步驟708；

步驟707：pdp進(jìn)行出錯(cuò)處理，然后轉(zhuǎn)入步驟708；

步驟708：pdp結(jié)束本次獲取訪問控制策略的過程。進(jìn)一步地，pdp可根據(jù)獲取到的訪問控制策略進(jìn)行訪問控制決策。

參見圖8，為本發(fā)明實(shí)施例提供的基于新定義的pip接入點(diǎn)屬性(以下稱為pip-poas屬性)實(shí)現(xiàn)pdp與pip之間的交互的過程，如圖所示，該流程可包括如下步驟：

步驟801：pdp根據(jù)接收到的訪問控制決策請(qǐng)求獲取包含有用于承載授權(quán)實(shí)體地址的屬性的資源(以下為描述方便將該資源稱為第一資源)；

步驟802：pdp根據(jù)第一資源中用于承載授權(quán)實(shí)體地址的屬性獲取pip地 址。具體地，pep根據(jù)第一資源中的pip-poas屬性獲取pip地址。

步驟803：pdp根據(jù)獲取到的pip地址，從對(duì)應(yīng)的pip獲取訪問控制信息。

該步驟中，pdp根據(jù)獲取到的pip地址，向?qū)?yīng)的pip發(fā)送訪問控制信息請(qǐng)求；pip接收到該訪問控制信息請(qǐng)求后，獲取訪問控制信息，并將訪問控制信息攜帶于訪問控制信息響應(yīng)中發(fā)送給該pdp。

步驟804：pdp根據(jù)獲取到的訪問控制信息進(jìn)行訪問控制決策。

作為一個(gè)例子，上述流程中的第一資源為上述重新定義的<accesscontrolpolicy>資源。步驟801中，pdp根據(jù)接收到的訪問控制策略請(qǐng)求，在所述pdp本地未獲取到所需的訪問控制信息，則獲取所請(qǐng)求訪問的目標(biāo)資源適用的<accesscontrolpolicy>資源。

作為另一個(gè)例子，上述流程中的第一資源為上述重新定義的<authorizationentity>資源，第二資源為現(xiàn)有技術(shù)中的<accesscontrolpolicy>資源。步驟801中，pdp根據(jù)接收到的訪問控制策略請(qǐng)求，在所述pdp本地未獲取到所需的訪問控制信息，則獲取所請(qǐng)求訪問的目標(biāo)資源適用的<authorizationentity>資源。如上所述，<authorizationentity>資源中可包含上述的pdp-poas屬性、prp-poas屬性和pip-poas屬性，這三種屬性均為可選屬性。

下面以基于新定義的<accesscontrolpolicy>資源為例，結(jié)合圖9描述圖8的一種具體實(shí)現(xiàn)過程。如圖9所述，該流程可包括如下步驟：

步驟901：pdp收到來(lái)自于pep的訪問控制決策請(qǐng)求后，檢查訪問控制決策請(qǐng)求中的參數(shù)，確定是否有本地不能提供的訪問控制信息，例如角色標(biāo)識(shí)或令牌標(biāo)識(shí)等。若有，則轉(zhuǎn)入步驟902；否則轉(zhuǎn)入步驟907；

步驟902：pdp利用訪問控制決策請(qǐng)求中的目標(biāo)資源地址檢索適用的<accesscontrolpolicy>資源。

步驟903：pdp檢查<accesscontrolpolicy>資源中是否包含有pip-poas屬性且屬性值不為空。若包含有pip-poas屬性且屬性值不為空，則轉(zhuǎn)入步驟904； 若不包含有pip-poas屬性或?qū)傩灾禐榭眨瑒t轉(zhuǎn)入步驟906；

步驟904：pdp讀取有pip-poas屬性中的pip地址列表，并獲得一個(gè)pip地址，然后轉(zhuǎn)入步驟905；

步驟905：pdp生成訪問控制信息請(qǐng)求(accesscontrolinformationrequest)，并將其發(fā)送給該pip，并從該pip接收返回的訪問控制信息響應(yīng)(accesscontrolinformationresponse)，獲取該響應(yīng)中的訪問控制信息，然后轉(zhuǎn)入步驟907；

步驟906：pdp進(jìn)行出錯(cuò)處理，然后執(zhí)行步驟907；

步驟907：pdp結(jié)束本次獲取訪問控制信息過程。進(jìn)一步地，pdp可根據(jù)獲取到的訪問控制信息進(jìn)行訪問控制決策。

為了更清楚地理解本發(fā)明實(shí)施例，下面以一個(gè)具體應(yīng)用場(chǎng)景為例對(duì)本發(fā)明實(shí)施例提供的分布式授權(quán)管理方案進(jìn)行說明。

該場(chǎng)景中，onem2m應(yīng)用服務(wù)提供商(onem2mapplicationserviceprovider)通過onem2m服務(wù)商(onem2mserviceprovider)提供的onem2m平臺(tái)讀取安裝在用戶家中的物聯(lián)網(wǎng)設(shè)備。具體場(chǎng)景如圖10所示。其中，cse0為onem2m服務(wù)商的基礎(chǔ)設(shè)施節(jié)點(diǎn)；cse1為用戶的家庭網(wǎng)關(guān)；cse2、cse3和cse4為用戶家中的物聯(lián)網(wǎng)設(shè)備；ae1為onem2m應(yīng)用服務(wù)提供商注冊(cè)至cse0的應(yīng)用服務(wù)實(shí)體；其中，cse2、cse3和cse4的訪問控制策略和訪問控制決策點(diǎn)均設(shè)置在cse1中；ae1通過角色訪問cse2、cse3和cse4中的資源。

系統(tǒng)資源及參數(shù)配置如下：

cse2、cse3和cse4中的訪問控制策略資源(<accesscontrolpolicy>資源)中的privileges屬性均為空，但pdp-poas屬性設(shè)置為指向cse1(即pdp-poas屬性的屬性值中包含cse1的地址)；

cse1中的訪問控制策略資源(<accesscontrolpolicy>資源)中的pip-poas屬性設(shè)置為指向cse0(即pdp-poas屬性的屬性值中包含cse0的地址)；

cse0中存儲(chǔ)有ae1的角色信息。

基于上述架構(gòu)以及系統(tǒng)配置，分布式授權(quán)訪問控制的過程可包括：

ae1向cse2資源樹發(fā)送數(shù)據(jù)讀取指令，其中包含有角色標(biāo)識(shí)；

cse2檢查本地的訪問控制策略，發(fā)現(xiàn)與該資源相關(guān)聯(lián)的訪問控制資源的privileges屬性為空，但pdp-poas不為空，且指向cse1，于是生成一個(gè)訪問控制決策請(qǐng)求，并發(fā)送給cse1；

cse1檢查存儲(chǔ)在本地的針對(duì)目標(biāo)資源的訪問控制策略資源，并獲得訪問控制策略；

cse1檢查cse2發(fā)送來(lái)的訪問控制決策請(qǐng)求，發(fā)現(xiàn)其中包含有角色標(biāo)識(shí)；其檢查存儲(chǔ)在本地的針對(duì)目標(biāo)資源的訪問控制策略資源，發(fā)現(xiàn)pip-poas不為空且指向cse0，于是生成一個(gè)訪問控制信息請(qǐng)求，并發(fā)送給cse0；

cse0根據(jù)cse1的訪問控制信息請(qǐng)求檢索到相關(guān)的角色信息，并將其通過訪問控制信息響應(yīng)返回給cse1；

cse1根據(jù)訪問控制策略和ae1的角色信息評(píng)估ae1的資源訪問請(qǐng)求，并將訪問控制決策通過訪問控制決策響應(yīng)返回給cse2；

cse2根據(jù)訪問控制決策決定是否執(zhí)行ae1的資源訪問請(qǐng)求。

通過以上描述可以看出，授權(quán)實(shí)體根據(jù)本發(fā)明實(shí)施例定義的資源(該資源中包含用于承載授權(quán)實(shí)體地址的資源屬性)中用于承載授權(quán)實(shí)體地址的屬性獲取其他授權(quán)實(shí)體的地址，從而基于該地址從其他授權(quán)實(shí)體獲取相應(yīng)信息，在資源結(jié)構(gòu)層面給出了分布式授權(quán)管理方案。

基于相同的技術(shù)構(gòu)思，本發(fā)明實(shí)施例還提供了一種pep。

參見圖11，為本發(fā)明實(shí)施例提供的pep的結(jié)構(gòu)示意圖，該pep可實(shí)現(xiàn)本發(fā)明上述實(shí)施例提供的相關(guān)流程。如圖所示，該pep可包括：第一獲取模塊1101、第二獲取模塊1102、第三獲取模塊1103、決策執(zhí)行模塊1104，其中：

第一獲取模塊1101，用于根據(jù)接收到的資源訪問請(qǐng)求獲取包含有用于承載授權(quán)實(shí)體地址的屬性的資源；

第二獲取模塊1102，用于根據(jù)所述資源中用于承載授權(quán)實(shí)體地址的屬性獲取授權(quán)實(shí)體地址，所述授權(quán)實(shí)體包括pdp、prp、pip中的一種或多種；

第三獲取模塊1103，用于根據(jù)獲取到的授權(quán)實(shí)體地址，從對(duì)應(yīng)的授權(quán)實(shí)體獲取用于執(zhí)行訪問控制決策的信息；

決策執(zhí)行模塊1104，用于根據(jù)獲取到的用于執(zhí)行訪問控制決策的信息，針對(duì)所述資源訪問請(qǐng)求執(zhí)行訪問控制決策。

優(yōu)選地，在一些實(shí)施例中，所述包含有用于承載授權(quán)實(shí)體地址的屬性的資源，為包含有用于承載授權(quán)實(shí)體地址的屬性的訪問控制策略資源；；第二獲取模塊1102可具體用于：若未從所述包含有用于承載授權(quán)實(shí)體地址的屬性的訪問控制策略資源中獲取到訪問控制策略，則根據(jù)該資源中用于承載授權(quán)實(shí)體地址的屬性獲取pdp地址。

優(yōu)選地，在另一些實(shí)施例中，第一獲取模塊1101可具體用于：根據(jù)接收到的資源訪問請(qǐng)求，獲取所請(qǐng)求訪問的目標(biāo)資源適用的訪問控制策略資源；若未從該資源中獲取到訪問控制策略，則獲取所述包含有用于承載授權(quán)實(shí)體地址的屬性的資源。

優(yōu)選地，所述用于承載授權(quán)實(shí)體地址的屬性包括：pdp接入點(diǎn)屬性，所述pdp接入點(diǎn)屬性用于承載一個(gè)或多個(gè)pdp地址。

基于相同的技術(shù)構(gòu)思，本發(fā)明實(shí)施例還提供了一種pdp。

參見圖12，為本發(fā)明實(shí)施例提供的pdp的結(jié)構(gòu)示意圖，該pdp可實(shí)現(xiàn)本發(fā)明上述實(shí)施例提供的相關(guān)流程。如圖所示，該pdp可包括：第一獲取模塊1201、第二獲取模塊1202、第三獲取模塊1203、決策模塊1204，其中：

第一獲取模塊1201，用于根據(jù)接收到的訪問控制決策請(qǐng)求獲取包含有用于承載授權(quán)實(shí)體地址的屬性的資源；

第二獲取模塊1202，用于根據(jù)所述資源中用于承載授權(quán)實(shí)體地址的屬性獲取prp地址；

第三獲取模塊1203，用于根據(jù)獲取到的prp地址，從對(duì)應(yīng)的prp獲取訪 問控制策略；

決策模塊1204，用于根據(jù)獲取到的訪問控制策略進(jìn)行訪問控制決策。

優(yōu)選地，在一些實(shí)施例中，所述包含有用于承載授權(quán)實(shí)體地址的屬性的資源，為包含有用于承載授權(quán)實(shí)體地址的屬性的訪問控制策略資源；第二獲取模塊1202具體用于：若未從所述包含有用于承載授權(quán)實(shí)體地址的屬性的訪問控制策略資源中獲取到訪問控制策略，則根據(jù)該資源中用于承載授權(quán)實(shí)體地址的屬性獲取prp地址.

優(yōu)選地，在另一些實(shí)施例中，第一獲取模塊1201具體用于：根據(jù)接收到的訪問控制決策請(qǐng)求，獲取所請(qǐng)求訪問的目標(biāo)資源適用的訪問控制策略資源；若所述pep未從該資源中獲取到訪問控制策略，則獲取所述包含有用于承載授權(quán)實(shí)體地址的屬性的資源。

優(yōu)選地，所述用于承載授權(quán)實(shí)體地址的屬性包括：prp接入點(diǎn)屬性，所述prp接入點(diǎn)屬性用于承載一個(gè)或多個(gè)prp地址。

基于相同的技術(shù)構(gòu)思，本發(fā)明實(shí)施例還提供了一種pdp。

參見圖13，為本發(fā)明實(shí)施例提供的pdp的結(jié)構(gòu)示意圖，該pdp可實(shí)現(xiàn)本發(fā)明上述實(shí)施例提供的相關(guān)流程。如圖所示，該pdp可包括：第一獲取模塊1301、第二獲取模塊1302、第三獲取模塊1303、決策模塊1304，其中：

第一獲取模塊1301，用于根據(jù)接收到的訪問控制決策請(qǐng)求獲取包含有用于承載授權(quán)實(shí)體地址的屬性的資源；

第二獲取模塊1302，用于根據(jù)所述資源中用于承載授權(quán)實(shí)體地址的屬性獲取策略信息點(diǎn)pip地址；

所述第三獲取模塊1303，用于根據(jù)獲取到的pip地址，從對(duì)應(yīng)的pip獲取訪問控制信息；

決策模塊1304，用于根據(jù)獲取到的訪問控制信息進(jìn)行訪問控制決策。

優(yōu)選地，第一獲取模塊1301具體用于：根據(jù)接收到的訪問控制決策請(qǐng)求，在所述pdp本地未獲取到所需的訪問控制信息，則獲取所請(qǐng)求訪問的目標(biāo)資 源適用的包含有用于承載授權(quán)實(shí)體地址的屬性的資源。

優(yōu)選地，所述用于承載授權(quán)實(shí)體地址的屬性包括：pip接入點(diǎn)屬性，所述pip接入點(diǎn)屬性用于承載一個(gè)或多個(gè)pip地址。

綜上所述，目前onem2m只定義了授權(quán)系統(tǒng)的高層架構(gòu)，并未提供具體的解決方案。本發(fā)明實(shí)施例提供了一種在onem2m系統(tǒng)中實(shí)現(xiàn)分布式授權(quán)系統(tǒng)管理的方案。本發(fā)明實(shí)施例通過重新定義onem2m<accesscontrolpolicy>資源類型，將所需的功能加入其中，避免新建資源類型以及對(duì)ts的大量修改。

本發(fā)明是參照根據(jù)本發(fā)明實(shí)施例的方法、設(shè)備(系統(tǒng))、和計(jì)算機(jī)程序產(chǎn)品的流程圖和/或方框圖來(lái)描述的。應(yīng)理解可由計(jì)算機(jī)程序指令實(shí)現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合?？商峁┻@些計(jì)算機(jī)程序指令到通用計(jì)算機(jī)、專用計(jì)算機(jī)、嵌入式處理機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生一個(gè)機(jī)器，使得通過計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的裝置。

這些計(jì)算機(jī)程序指令也可存儲(chǔ)在能引導(dǎo)計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備以特定方式工作的計(jì)算機(jī)可讀存儲(chǔ)器中，使得存儲(chǔ)在該計(jì)算機(jī)可讀存儲(chǔ)器中的指令產(chǎn)生包括指令裝置的制造品，該指令裝置實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能。

這些計(jì)算機(jī)程序指令也可裝載到計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備上，使得在計(jì)算機(jī)或其他可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計(jì)算機(jī)實(shí)現(xiàn)的處理，從而在計(jì)算機(jī)或其他可編程設(shè)備上執(zhí)行的指令提供用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的步驟。

盡管已描述了本發(fā)明的優(yōu)選實(shí)施例，但本領(lǐng)域內(nèi)的技術(shù)人員一旦得知了基本創(chuàng)造性概念，則可對(duì)這些實(shí)施例作出另外的變更和修改。所以，所附權(quán)利要求意欲解釋為包括優(yōu)選實(shí)施例以及落入本發(fā)明范圍的所有變更和修改。

顯然，本領(lǐng)域的技術(shù)人員可以對(duì)本發(fā)明進(jìn)行各種改動(dòng)和變型而不脫離本發(fā) 明的精神和范圍。這樣，倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi)，則本發(fā)明也意圖包含這些改動(dòng)和變型在內(nèi)。