一种访问控制方法和设备技术领域
本发明涉及通信技术领域,特别涉及一种访问控制方法和设备。
背景技术
物联网标准化组织oneM2M致力于开发用于构造一个公共的机器对机器
通信(Machine-To-Machine,M2M)服务层(Service Layer)的技术规范。oneM2M
的功能架构如图1所示,定义了三种基本实体:
应用实体(Application Entity,AE):应用实体位于应用层,该实体可实现
一个M2M应用服务逻辑。
公共服务实体(Common Services Entity,CSE):一个公共服务实体由一
组M2M环境中的“公共服务功能(common service functions)”构成。
底层网络服务实体(Underlying Network Services Entity,NSE):一个网络
服务实体向CSEs提供底层网络服务。
oneM2M通过采用对标准的资源树的操作实现服务层资源共享和交互。根
据oneM2M TS-0001中关于功能架构的定义,oneM2M资源树的形式如图2所
示。其中,CSEBase1表示一个CSE根资源<CSEBase>,CSE1表示一个资源
<remoteCSE>,APP1表示一个资源<AE>,CONT1和CONT2分别代表一个资
源<container>,ACP1和ACP2分别代表一个资源<accessControlPolice>。对于
oneM2M资源可进行创建、查询、修改和删除等操作。oneM2M定义的资源中
与授权相关的资源为访问控制策略资源<accessControlPolicy>,其中定义有访问
控制策略(Access Control Policy),<accessControlPolicy>资源由资源身份标识
(ID)唯一标识。其他资源通过资源中的accessControlPolicyIDs属性指定适用
的访问控制策略。
oneM2M安全解决方案技术规范(oneM2M TS-0003:Security Solutions)
中给出了如图3所示的授权架构,该架构中各授权组件包括:
策略执行点(Policy Enforcement Point,PEP)实体,与需要访问控制的应
用系统共存,并由应用系统调用。PEP实体根据用户的资源访问请求生成相应
的访问控制决策请求,发送给策略决策点(Policy Decision Point,PDP)实体,
并根据PDP实体的访问控制决策响应确定是否允许用户的资源访问请求。
策略决策点(Policy Decision Point,PDP)实体,根据访问控制策略评估
是否允许由PEP实体发送来的访问控制决策请求,并将评估结果通过访问控制
决策响应返回给PEP实体。
策略获取点(Policy Retrieval Point,PRP)实体,根据PDP实体提供的策
略请求获取适用的访问控制策略,并将获取的访问控制策略返回给PDP实体。
策略信息点(Policy Information Point,PIP)实体,根据PDP实体的策略
请求获取与用户、资源或环境相关的属性,例如访问用户的互联网协议(IP)
地址、资源的创建者、当前的时间等,然后将获得的各种属性返回给PDP实
体。
oneM2M的基本授权流程如下:
1、PEP实体根据用户的访问请求生成访问控制决策请求(Access Control
Decision Request)发送给PDP实体;
2、PDP实体根据PEP实体的访问控制决策请求,向PRP实体发送访问控
制策略请求(Access Control Policy Request);
3、PRP实体根据访问控制策略请求,获取适用的访问控制策略并返回给
PDP。
4、PDP实体根据PRP实体返回的访问控制策略评估访问控制决策请求,
并将评估结果携带在访问控制决策响应中返回给PEP实体。在评估过程中,若
需要其他属性,则向PIP实体发送访问控制属性请求,否则执行步骤6。
5、PIP实体根据访问控制属性请求,获取与访问控制相关的属性并返回给
PDP实体。
6、PEP实体根据访问控制决策响应,确定是否执行用户的资源访问请求。
在访问控制过程中,有时需要过滤掉某些用户不想泄露的敏感信息,例如
服务提供商A可以获得用户的姓名,住址和电话,但不能获得用户的性别和年
龄等个人信息,而服务商B可以获得用户的年龄和性别,但不能获得用户的姓
名,电话和家庭住址等个人信息。由此可见,隐私控制是与应用密切相关的访
问控制。目前oneM2M对如何实现隐私控制还没有给出具体的实现方法。
发明内容
本发明实施例提供了一种访问控制方法和设备,用于解决目前oneM2M对
如何实现隐私控制还没有给出具体的实现方法的问题。
本发明实施例提供了一种访问控制方法,所述方法包括:
策略获取点PRP实体根据策略决策点PDP实体发送的访问控制策略请求
携带的目标资源地址,读取所述目标资源地址对应的目标资源中包含的访问控
制策略资源标识;
所述PRP实体根据所述访问控制策略资源标识对应的访问控制策略资源,
获取所述访问控制策略资源中的控制策略,其中,所述控制策略包括访问控制
策略和用于控制隐私信息访问的隐私控制策略;
所述PRP实体向所述PDP实体返回访问控制策略响应,其中,所述访问
控制策略响应中携带获取到的隐私控制策略和访问控制策略,以使PEP实体能
够根据所述隐私控制策略控制发起方的资源访问。
可选的,所述访问控制策略资源中包括:用于存储控制策略的特权
privileges属性、以及用于指示所述privileges属性中存储的控制策略的类型的
策略类型属性。
可选的,所述PRP实体根据所述访问控制策略资源标识对应的访问控制
策略资源,获取所述访问控制策略资源中的控制策略,包括:
所述PRP实体读取所述访问控制策略资源中的策略类型属性,确定出所述
访问控制策略资源中的控制策略的类型;
所述PRP实体读取所述访问控制策略资源中的privileges属性,确定出所
述访问控制策略资源中的控制策略。
基于上述任一实施例,可选的,所述方法还包括:
所述PRP实体分别生成用于存储访问控制策略的第一集合和用于存储隐
私控制策略的第二集合,将获取到的访问控制策略存储于所述第一集合,以及
将获取到的隐私控制策略存储于所述第二集合;
所述PRP实体向所述PDP实体返回访问控制策略响应,包括:所述PRP
实体将所述第一集合和所述第二集合携带在所述访问控制策略响应中,并向所
述PDP实体返回访问控制策略响应。
本发明实施例提供了另一种访问控制方法,所述方法包括:
PDP实体向PRP实体发送访问控制策略请求后,接收到所述PRP实体返
回的访问控制策略响应,其中,所述访问控制策略请求中携带发起方的目标资
源地址,所述访问控制策略响应中携带访问控制策略和用于控制隐私信息访问
的隐私控制策略;
所述PDP实体根据所述访问控制策略,评估所述访问控制决策请求得到
的评估结果为允许发起方的资源访问请求时,将所述评估结果和所述隐私控制
策略携带在访问控制决策响应中,并向策略执行点PEP实体返回所述访问控制
决策响应,以使所述PEP实体能够根据所述隐私控制策略控制发起方的资源访
问。
可选的,所述PDP实体接收到所述PRP实体返回的访问控制策略响应之
后,还包括:
所述PDP实体从所述访问控制策略响应中携带的用于存储访问控制策略
的第一集合中,获取所述访问控制策略,以及从所述访问控制策略响应中携带
的用于存储隐私控制策略的第二集合,获取所述隐私控制策略。
本发明实施例提供了再一种访问控制方法,所述方法包括:
PEP实体接收到PDP实体返回的访问控制决策响应,其中,所述访问控制
决策响应中携带隐私控制策略和评估结果;
所述PEP实体在确定所述评估结果为允许发起方的资源访问请求,根据所
述隐私控制策略,控制所述发起方的资源访问,其中,所述资源访问请求中携
带目标资源地址。
本发明实施例提供了一种策略获取点PRP实体,包括:
读取模块,用于根据PDP实体发送的访问控制策略请求携带的目标资源
地址,读取所述目标资源地址对应的目标资源中包含的访问控制策略资源标
识;
确定模块,用于根据所述访问控制策略资源标识对应的访问控制策略资
源,获取所述访问控制策略资源中的控制策略,其中,所述控制策略包括访问
控制策略和用于控制隐私信息访问的隐私控制策略;
发送模块,用于向所述PDP实体返回访问控制策略响应,其中,所述访
问控制策略响应中携带获取到的隐私控制策略和访问控制策略,以使策略执行
点PEP实体能够根据所述隐私控制策略控制发起方的资源访问。
可选的,所述访问控制策略资源中包括:用于存储控制策略的特权
privileges属性、以及用于指示所述privileges属性中存储的控制策略的类型的
策略类型属性。
可选的,所述确定模块具体用于:
读取所述访问控制策略资源中的策略类型属性,确定出所述访问控制策略
资源中的控制策略的类型;读取所述访问控制策略资源中的privileges属性,
确定出所述访问控制策略资源中的控制策略。
基于上述任一实施例,可选的,所述确定模块还用于:
分别生成用于存储访问控制策略的第一集合和用于存储隐私控制策略的
第二集合,将获取到的访问控制策略存储于所述第一集合,以及将获取到的隐
私控制策略存储于所述第二集合;将所述第一集合和所述第二集合携带在所述
访问控制策略响应中。
本发明实施例提供了一种策略决策点PDP实体,包括:
接收模块,用于接收所述PRP实体返回的访问控制策略响应,其中,所述
访问控制策略请求中携带发起方的目标资源地址,所述访问控制策略响应中携
带访问控制策略和用于控制隐私信息访问的隐私控制策略;
评估模块,用于根据所述访问控制策略,评估所述访问控制决策请求得到
的评估结果为允许发起方的资源访问请求时,将所述评估结果和所述隐私控制
策略携带在访问控制决策响应中;
发送模块,用于向所述PEP实体返回所述访问控制决策响应,以使所述
PEP实体能够根据所述隐私控制策略控制发起方的资源访问。
可选的,所述评估模块具体用于:
从所述访问控制策略响应中携带的用于存储访问控制策略的第一集合中,
获取所述访问控制策略,以及从所述访问控制策略响应中携带的用于存储隐私
控制策略的第二集合,获取所述隐私控制策略。
本发明实施例提供了一种策略执行点PEP实体,包括:
接收模块,用于接收PDP实体返回的访问控制决策响应,其中,所述访
问控制决策响应中携带隐私控制策略和评估结果;
处理模块,用于确定所述评估结果为允许发起方的资源访问请求,根据所
述隐私控制策略,控制所述发起方的资源访问,其中,所述资源访问请求中携
带目标资源地址。
本发明实施例提供了另一种PRP实体包括处理器、输入接口、输出接口、
存储器和系统总线;其中:
PRP实体在运行时,处理器,用于读取存储器中的程序,执行以下过程:
根据PDP实体发送的访问控制策略请求携带的目标资源地址,读取所述
目标资源地址对应的目标资源中包含的访问控制策略资源标识;根据所述访问
控制策略资源标识对应的访问控制策略资源,获取所述访问控制策略资源中的
控制策略,其中,所述控制策略包括访问控制策略和用于控制隐私信息访问的
隐私控制策略;
所述输出接口,用于在所述处理器的控制下,向所述PDP实体返回访问
控制策略响应,其中,所述访问控制策略响应中携带获取到的隐私控制策略和
访问控制策略,以使PEP实体能够根据所述隐私控制策略控制发起方的资源访
问。
可选的,所述访问控制策略资源中包括:用于存储控制策略的特权
privileges属性、以及用于指示所述privileges属性中存储的控制策略的类型的
策略类型属性。
可选的,所述处理器具体执行:读取所述访问控制策略资源中的策略类型
属性,确定出所述访问控制策略资源中的控制策略的类型;读取所述访问控制
策略资源中的privileges属性,确定出所述访问控制策略资源中的控制策略。
基于上述任一实施例,可选的,所述处理器还执行:分别生成用于存储访
问控制策略的第一集合和用于存储隐私控制策略的第二集合,将获取到的访问
控制策略存储于所述第一集合,以及将获取到的隐私控制策略存储于所述第二
集合;将所述第一集合和所述第二集合携带在所述访问控制策略响应中。
本发明实施例提供了另一种PDP实体,包括处理器、输入接口、输出接
口、存储器和系统总线;其中:
所述输入接口在所述处理器的控制下,接收所述PRP实体返回的访问控制
策略响应,其中,所述访问控制策略请求中携带发起方的目标资源地址,所述
访问控制策略响应中携带访问控制策略和用于控制隐私信息访问的隐私控制
策略;
所述处理器用于读取所述存储器中的程序,执行以下过程:根据所述访问
控制策略,评估所述访问控制决策请求得到的评估结果为允许发起方的资源访
问请求时,将所述评估结果和所述隐私控制策略携带在访问控制决策响应中;
所述输出接口在所述处理器的控制下,向所述PEP实体返回所述访问控制
决策响应,以使所述PEP实体能够根据所述隐私控制策略控制发起方的资源访
问。
可选的,所述处理器具体执行:从所述访问控制策略响应中携带的用于存
储访问控制策略的第一集合中,获取所述访问控制策略,及从所述访问控制策
略响应中携带的用于存储隐私控制策略的第二集合,获取所述隐私控制策略。
本发明实施例提供了另一种PEP实体,包括处理器、输入接口、输出接口、
存储器和系统总线;其中:
所述输入接口在所述处理器的控制下,接收PDP实体返回的访问控制决
策响应,其中,所述访问控制决策响应中携带隐私控制策略和评估结果;
所述处理器用于读取所述存储器中的程序,执行以下过程:确定所述评估
结果为允许发起方的资源访问请求,根据所述隐私控制策略,控制所述发起方
的资源访问,其中,所述资源访问请求中携带目标资源地址。
本发明实施例提供的方法和设备中,PRP实体根据所述访问控制策略资源
标识对应的访问控制策略资源,获取所述访问控制策略资源中的控制策略,并
将获取到的隐私控制策略和访问控制策略通过访问控制策略响应返回给PDP
实体,以使PDP实体在允许PEP实体发送的访问控制决策请求时,将隐私控
制策略返回给PEP实体,这样,PEP实体在访问控制过程中,能够根据所述
隐私控制策略控制发起方的资源访问,实现了oneM2M中的隐私保护,从而满
足了oneM2M中对隐私保护的特殊需求。
附图说明
图1为oneM2M的功能架构的示意图;
图2为oneM2M资源树的结构示意图;
图3为oneM2M的授权架构的示意图;
图4为本发明实施例中的访问控制策略的结构示意图;
图5为本发明实施例中的第一种访问控制方法的流程示意图;
图6为本发明实施例中的第二种访问控制方法的流程示意图;
图7为本发明实施例中的第三种访问控制方法的流程示意图;
图8为本发明实施例中的第四种访问控制方法的流程示意图;
图9为本发明实施例中的实施例一中涉及的各实体的连接关系示意图;
图10为本发明实施例中的实施例一中涉及的CSE1中的资源树的示意图;
图11为本发明实施例中的实施例一中涉及的与访问控制策略相关的资源
的示意图;
图12为本发明实施例中的一种PRP实体的示意图;
图13为本发明实施例中的一种PDP实体的示意图;
图14为本发明实施例中的一种PEP实体的示意图;
图15为本发明实施例中的另一种PRP实体的示意图;
图16为本发明实施例中的另一种PDP实体的示意图;
图17为本发明实施例中的另一种PEP实体的示意图。
具体实施方式
本发明实施例中,定义了隐私控制策略,以使在访问控制过程中,PEP根
据隐私控制策略控制发起方的资源访问,实现了oneM2M中的隐私保护,满足
了oneM2M中对隐私保护的特殊需求。
首先对本发明实施例中涉及到的策略和资源进行说明。
本发明实施例将用于资源访问控制的策略划分为至少两种:
访问控制策略(Access Control Policy,ACP),该访问控制策略由PDP实
体执行,用于确定是否允许发起方对目标资源的访问;
用于控制隐私信息访问的隐私控制策略,该隐私控制策略由PEP实体执
行,用于在确定允许发起方对目标资源的访问的基础上,进一步控制发起方对
目标资源中的隐私信息的访问,如允许发起方访问的隐私信息和/或不允许发起
方访问的隐私信息。本发明实施例不对隐私控制策略的格式进行限定,可根据
应用系统的需要自由设定。
本发明实施例中,发起方可以为AE实体、CSE实体等。
本发明实施例中重新定义了oneM2M中的访问控制策略
<accessControlPolicy>资源,以使该资源能够存储oneM2M已定义的访问控制
策略和本方面实施例新定义的隐私控制策略,重新定义的<accessControlPolicy>
资源结构如图4所示。
<accessControlPolicy>资源除其原来的privileges属性、selfPrivileges属性
和<subscription>子资源外,还新增加了policyType属性,并重新定义了
privileges属性,这些新定义或重新定义的属性的具体用途为:
privileges属性可存储任何类型的用于资源访问控制的策略,故其即可以存
储oneM2M已定义的访问控制策略,也可以存储本发明实施例中新定义的隐私
控制策略,具体存储的策略类型由新定义的policyType属性决定。
policyType属性用于描述一个<accessControlPolicy>资源实例是用于存储
访问控制策略还是用于存储隐私控制策略,或者是其他种类的用于资源访问控
制的策略。例如,policyType的值为“0”时,表示本资源实例存储的是访问控
制策略,则此时privileges属性中存储的是访问控制策略;policyType的值为“1”
时,表示本资源实例存储的是隐私控制策略,则此时privileges属性中存储的
是隐私控制策略。
下面结合说明书附图对本发明实施例作进一步详细描述。应当理解,此处
所描述的实施例仅用于说明和解释本发明,并不用于限定本发明。
本发明实施例提供了一种访问控制方法,所述方法从PRP实体侧描述了
访问控制过程,如图5所示,所述方法包括:
S51、PRP实体根据PDP实体发送的访问控制策略请求携带的目标资源地
址,读取所述目标资源地址对应的目标资源中包含的访问控制策略资源标识。
具体的,PRP实体根据PDP实体的访问控制策略请求中的目标资源地址,
读取该目标资源的accessControlPolicyIDs属性,从而获取到该属性中存储的访
问控制策略资源标识。
其中,访问控制策略请求(Access Control Policy Request)是PDP实体根
据接收到的PEP实体发送的访问控制决策请求(Access Control Decision
Request)生成的,其中,访问控制决策请求中携带发起方(Originator)进行
访问控制的目标资源地址。而访问控制决策请求是PEP实体根据接收到的发起
方(如AE,CSE等)发送的资源访问请求生成的,其中,资源访问请求用于
请求对目标资源进行访问控制,资源访问请求中携带目标资源地址。
S52、PRP实体根据所述访问控制策略资源标识对应的访问控制策略资源,
获取所述访问控制策略资源中的控制策略,其中,所述控制策略包括访问控制
策略和用于控制隐私信息访问的隐私控制策略。
S53、PRP实体向PDP实体返回访问控制策略响应,其中,所述访问控制
策略响应中携带获取到的隐私控制策略和访问控制策略。
本发明实施例中,PRP实体根据所述访问控制策略资源标识对应的访问控
制策略资源,获取所述访问控制策略资源中的控制策略,并将获取到的隐私控
制策略和访问控制策略通过访问控制策略响应返回给PDP实体,以使PDP实
体在允许PEP实体发送的访问控制决策请求时,将隐私控制策略返回给PEP
实体,这样,PEP实体在访问控制过程中,根据隐私控制策略控制发起方的
资源访问,实现了oneM2M中的隐私保护,从而满足了oneM2M中对隐私保
护的特殊需求。
本发明实施例中,所述访问控制策略资源中包括:用于存储控制策略的
privileges属性、以及用于指示所述privileges属性中存储的控制策略的类型的
策略类型属性。
可选的,S52中PRP实体根据所述访问控制策略资源标识对应的访问控制
策略资源,获取所述访问控制策略资源中的控制策略,包括:
PRP实体读取所述访问控制策略资源中的策略类型属性,确定出所述访问
控制策略资源中的控制策略的类型;
PRP实体读取所述访问控制策略资源中的privileges属性,确定出所述访
问控制策略资源中的控制策略。
具体的,PRP实体先依次检查accessControlPolicyIDs属性中包含的访问控
制策略资源标识,再根据访问控制资源标识查找到相应的<accessControlPolicy>
资源。然后,PRP实体读取查找到的<accessControlPolicy>资源的policyType
属性和privileges属性。若policyType属性的属性值表示该<accessControlPolicy>
资源中存储的策略类型为“访问控制策略”,则PRP实体从该
<accessControlPolicy>资源中的privileges属性,获取访问控制策略;policyType
属性的属性值表示该<accessControlPolicy>资源中存储的策略类型为“隐私控制
策略”,则PRP实体从该<accessControlPolicy>资源中的privileges属性,获取
隐私控制策略。
基于上述实施例,PRP实体在根据所述访问控制策略资源标识对应的访问
控制策略资源,获取所述访问控制策略资源中的控制策略时,还可以采用下述
可选的方式实施:
PRP实体分别生成用于存储访问控制策略的第一集合和用于存储隐私控
制策略的第二集合,将获取到的访问控制策略存储于所述第一集合,以及将获
取到的隐私控制策略存储于所述第二集合;
S53中PRP实体向PDP实体返回访问控制策略响应,包括:PRP实体将
所述第一集合和所述第二集合携带在所述访问控制策略响应中,并向PDP实
体返回访问控制策略响应。
本发明实施例提供了一种访问控制方法,所述方法从PDP实体侧描述了
访问控制过程,与PRP实体侧相同的部分请参见图5所示实施例的相关描述,
此处不再赘述,如图6所示,所述方法包括:
S61、PDP实体向PRP实体发送访问控制策略请求后,接收到PRP实体返
回的访问控制策略响应,其中,所述访问控制策略请求中携带发起方的目标资
源地址,所述访问控制策略响应中携带访问控制策略和用于控制隐私信息访问
的隐私控制策略。
S62、PDP实体根据所述访问控制策略,评估所述访问控制决策请求得到
的评估结果为允许发起方的资源访问请求时,将所述评估结果和所述隐私控制
策略携带在访问控制决策响应中,并向PEP实体返回所述访问控制决策响应。
本发明实施例中,PDP实体在根据所述访问控制策略,评估所述访问控制
决策请求得到的评估结果为允许发起方的资源访问请求时,将所述评估结果和
所述隐私控制策略携带在访问控制决策响应中,以使PEP实体根据所述访问控
制决策响应中携带的评估结果和所述隐私控制策略,控制发起方的资源访问。
这样,PEP实体在访问控制过程中,根据隐私控制策略控制发起方的资源访
问,实现了oneM2M中的隐私保护,从而满足了oneM2M中对隐私保护的特
殊需求。
可选的,PDP实体在根据所述访问控制策略,评估所述访问控制决策请求
得到的评估结果为拒绝发起方的资源访问请求时,PDP实体仅将所述评估结果
携带在所述访问控制决策响应,并向PEP实体返回所述访问控制决策响应。
可选的,PDP实体接收到PRP实体返回的访问控制策略响应后,还包括:
PDP实体从所述访问控制策略响应中携带的用于存储访问控制策略的第
一集合中,获取所述访问控制策略,以及从所述访问控制策略响应中携带的用
于存储隐私控制策略的第二集合,获取所述隐私控制策略。
本发明实施例提供了一种访问控制方法,所述方法从PEP实体侧描述了
访问控制过程,与PDP实体侧相同的部分请参见图6所示实施例的相关描述,
此处不再赘述,如图7所示,所述方法包括:
S71、PEP实体接收到PDP实体返回的访问控制决策响应,其中,所述访
问控制决策响应中携带隐私控制策略和评估结果;
S72、PEP实体在确定所述评估结果为允许发起方的资源访问请求,根据
所述隐私控制策略,控制所述发起方的资源访问,其中,所述资源访问请求中
携带目标资源地址。
本发明实施例中,PEP实体在确定所述评估结果为允许发起方的资源访问
请求,根据所述隐私控制策略,控制所述发起方的资源访问,从而通过隐私控
制策略,实现了oneM2M中的隐私保护,满足了oneM2M中对隐私保护的特
殊需求。
下面从PEP实体、PDP实体和PRP实体的交互过程,对本发明实施例提
供的访问控制方法进行详细说明。
本发明实施例提供的访问控制方法中,PEP实体、PDP实体和PRP实体
的交互过程如图8所示,包括:
步骤1:PEP实体根据访问发起方(Originator)的资源访问请求,生成访
问控制决策请求,并将该访问控制决策请求发送给PDP实体。
步骤2:PDP实体根据PEP实体的访问控制决策请求,生成访问控制策略
请求,并将该访问控制策略请求发送给PRP实体。
步骤3:PRP实体根据PDP实体的访问控制策略请求中的目标资源地址,
读取该资源的accessControlPolicyIDs属性,并做如下处理:
1)生成两个空集合,一个用于保存访问控制策略,并命名为访问控制策
略集合;另一个用于保存隐私控制策略,并命名为隐私控制策略集合。
2)依次检查accessControlPolicyIDs属性中包含的访问控制策略资源标识,
并对每个访问控制策略资源标识执行如下处理:
根据当前的访问控制资源标识查找到相应的<accessControlPolicy>资源;
读取该<accessControlPolicy>资源的policyType属性和privileges属性;
若policyType属性中的属性值指示的策略类型为“访问控制策略”,则将
privileges属性的属性值(即访问控制策略)存储在访问控制策略集合中;若
policyType属性中的属性值指示的策略类型为“隐私控制策略”,则将privileges
属性的属性值(即隐私控制策略)存储在隐私控制策略集合中。
步骤4:PRP实体生成访问控制策略响应,其中包含有访问控制策略集合
和隐私控制策略集合,并将该访问控制策略响应发送给PDP实体。
步骤5:PDP实体接收到访问控制策略响应后,首先从访问控制策略响应
中读取访问控制策略集合和隐私控制策略集合,然后利用访问控制策略集合中
的访问控制策略评估PEP实体发送的访问控制决策请求。
步骤6:PDP实体向PEP实体发送访问控制决策响应,其中:
若步骤5的评估结果为允许发起方的资源访问请求,则PDP实体通过访
问控制决策响应将肯定的评估结果连同隐私控制策略集合一并发送给PEP实
体;若步骤5的评估结果为拒绝发起方的资源访问请求,则PDP实体通过访
问控制决策响应仅将否定的评估结果发送给PEP实体。
步骤7:PEP实体接收到访问控制决策响应后,检查发起方的资源访问请
求是否被允许,若允许,则控制发起方的资源访问,并且在资源访问过程中应
用隐私控制策略集合中的隐私控制策略。本发明实施例不限制如何在资源访问
中执行隐私控制策略,由具体应用确定。
下面通过一个具体实施例,从PEP实体、PDP实体和PRP实体的交互过
程,对本发明实施例提供的访问控制方法进行详细说明。
实施例一、本实施例以oneM2M系统中个人用户通过隐私控制策略控制
oneM2M应用服务提供商(oneM2M Application Service Provider)对其隐私信
息的访问为例进行说明。参与本实施例的访问控制过程的实体,包括:CSE1、
CSE2、AE1、AE2、以及AE3,其中,CSE1为oneM2M服务提供商(oneM2M
Service Provider)的基础设施服务节点(Infrastructure Node)中的CSE(IN-CSE),
CSE2为个人用户家庭网关,AE1为管理员,AE2为oneM2M应用服务提供商,
AE3为个人用户,各实体之间的连接关系如图9所示。其中oneM2M服务提供
商的系统管理员通过AE1配置IN-CSE中的资源树,oneM2M应用服务提供商
通过AE2访问CSE2中的资源,oneM2M个人用户通过AE3配置隐私控制策
略。
(一)CSE1中的资源树如图10所示,
图中的CSEBase1表示CSE根资源<CSEBase>;CSE2表示个人用户家庭
网关在CSE1中的注册资源,资源类型为远程CSE<remoteCSE>资源;CONT1
表示CSE2注册资源(即上述CSE<remoteCSE>资源)下的容器<container>资
源,是AE2访问的目标资源;ACP1表示CSE1资源下的访问控制策略
<accessControlPolicy>资源,存储着针对CONT1的访问控制策略;ACP2表示
CSE1资源下的<accessControlPolicy>资源,存储着针对CONT1的隐私控制策
略;AE1,AE2和AE3分别为IN-CSE管理员、oneM2M应用服务提供商和个
人用户在CSE1中的注册资源,资源类型为<AE>资源。
(二)CSE1资源树中与访问控制策略相关的资源如图11所示,描述如下:
CONT1资源中存储有家庭网关上传的数据,其中含有个人用户的隐私信
息,例如姓名,生日,性别,联系电话和家庭住址等。CONT1资源的
accessControlPolicyIDs属性中存储有访问控制策略的标识ACP1-Id和隐私控制
策略的标识ACP2-Id。ACP1资源中的policyType属性的值为“0”,表示此资
源的privileges属性中存储有访问控制策略。ACP2资源中的policyType属性的
值为“1”,表示此资源的privileges属性中存储有隐私控制策略。
(三)本实施例的资源配置过程具体如下:
个人用户家庭网关将其数据上传至CSE1的资源树中的CSE2注册资源的
CONT1资源中,其中,上传的数据包括个人用户的姓名,生日,性别,联系
电话和家庭住址等信息。
oneM2M服务提供商的系统管理员通过AE1创建ACP1资源,该ACP1
资源的policyTyp属性为“0”,表示此资源用于存储访问控制策略,配置ACP1
资源的privileges属性,privileges属性中存储的访问控制策略允许AE2访问
CONT1资源中的数据。
oneM2M服务提供商的系统管理员通过AE1创建ACP2资源,该ACP2
资源的policyTyp属性为“1”,表示此资源用于存储隐私控制策略,配置ACP2
的selfPrivileges属性,以便AE3能够配置ACP2的privileges属性。
个人用户通过AE3配置ACP2的privileges属性,privileges属性中存储的
隐私控制策略允许AE2读取的隐私信息为姓名,联系电话和家庭住址,不允
许读取的隐私信息为生日和性别。
(四)授权过程中与隐私控制相关的过程具体如下:
1、AE2实体向CSE1相关联的资源中的CSE2注册资源的CONT1资源发
送读取请求。
2、CSE1中的PEP实体截取该请求,PEP实体根据该请求生成访问控制决
策请求,并发送给PDP实体。
3、PDP实体根据PEP实体的访问控制决策请求生成访问策略决策请求,
并发送给PRP实体。
4、PRP实体接收到PDP实体的访问策略决策请求后进行如下处理:
1)PRP实体根据访问策略决策请求中的目标资源地址读取CONT1资源
的accessControlPolicyIDs属性,该属性中包含有ACP1资源和ACP2资源的资
源标识,即ACP1-Id和ACP2-Id。
2)PRP实体生成2个空集合:SET1和SET2,其中SET1用于保存访
问控制策略,SET2用于保存隐私控制策略。
3)PRP实体根据ACP1-Id读取ACP1资源,因该资源policyType为“0”,
所以PRP实体从该ACP1资源的privileges属性中读取访问控制策略,并将其
存储在SET1中。PRP实体根据ACP2-Id读取ACP2资源,因该ACP2资源
policyType为“1”,所以PRP实体从该ACP2资源的privileges属性中读取隐
私控制策略,并将其存储在SET2中。
4)PRP实体将SET1和SET2封装在访问控制策略响应中,并发送给
PDP实体。
5、PDP实体接收到PRP实体的访问控制策略响应后进行如下处理:
1)PDP实体利用SET1中的访问控制策略评估PEP实体发送来的访问
控制决策请求,且评估结果为“允许访问”。
2)PDP实体将访问控制决策和SET2封装在访问控制决策响应中,并
发送给PEP实体。
6、PEP实体接收到PDP实体的访问控制决策响应后进行如下处理:
1)因AE2实体的资源访问被PDP实体允许,所以PEP实体执行对目
标资源CONT1的读取操作。
2)因SET2中的隐私控制策略不允许AE2实体获取个人用户的生日和
性别,所以PEP实体从上一步读取操作得到的信息中过滤到个人用户的生日和
性别信息。
2)PEP对应将过滤后的信息封装在访问响应中,并发送给AE2实体。
上述方法处理流程可以用软件程序实现,该软件程序可以存储在存储介质
中,当存储的软件程序被调用时,执行上述方法步骤。
基于同一发明构思,本发明实施例中还提供了一种PRP实体,由于该PRP
实体解决问题的原理与上述图5所示的访问控制方法相似,因此该PRP实体的
实施可以参见方法的实施,重复之处不再赘述。
本发明实施例提供的一种PRP实体,如图12所示,PRP实体包括:
读取模块121,用于根据PDP实体发送的访问控制策略请求携带的目标资
源地址,读取所述目标资源地址对应的目标资源中包含的访问控制策略资源标
识;
确定模块122,用于根据所述访问控制策略资源标识对应的访问控制策略
资源,获取所述访问控制策略资源中的控制策略,其中,所述控制策略包括访
问控制策略和用于控制隐私信息访问的隐私控制策略;
发送模块123,用于向所述PDP实体返回访问控制策略响应,其中,所述
访问控制策略响应中携带获取到的隐私控制策略和访问控制策略,以使PEP
实体能够根据所述隐私控制策略控制发起方的资源访问。
可选的,确定模块122具体用于:
读取所述访问控制策略资源中的策略类型属性,确定出所述访问控制策略
资源中的控制策略的类型;读取所述访问控制策略资源中的privileges属性,
确定出所述访问控制策略资源中的控制策略。
基于上述任一实施例,可选的,确定模块122还用于:
分别生成用于存储访问控制策略的第一集合和用于存储隐私控制策略的
第二集合,将获取到的访问控制策略存储于所述第一集合,以及将获取到的隐
私控制策略存储于所述第二集合;将所述第一集合和所述第二集合携带在所述
访问控制策略响应中。
基于同一发明构思,本发明实施例中还提供了一种PDP实体,由于该PDP
实体解决问题的原理与上述图6所示的访问控制方法相似,因此该PDP实体
的实施可以参见方法的实施,重复之处不再赘述。
本发明实施例提供的一种PDP实体,如图13所示,PDP实体包括:
接收模块131,用于接收所述PRP实体返回的访问控制策略响应,其中,
所述访问控制策略请求中携带发起方的目标资源地址,所述访问控制策略响应
中携带访问控制策略和用于控制隐私信息访问的隐私控制策略;
评估模块132,用于根据所述访问控制策略,评估所述访问控制决策请求
得到的评估结果为允许发起方的资源访问请求时,将所述评估结果和所述隐私
控制策略携带在访问控制决策响应中;
发送模块133,用于向所述PEP实体返回所述访问控制决策响应,以使PEP
实体能够根据所述隐私控制策略控制发起方的资源访问。
可选的,评估模块132具体用于:
从所述访问控制策略响应中携带的用于存储访问控制策略的第一集合中,
获取所述访问控制策略,以及从所述访问控制策略响应中携带的用于存储隐私
控制策略的第二集合,获取所述隐私控制策略。
基于同一发明构思,本发明实施例中还提供了一种PEP实体,由于该PEP
实体解决问题的原理与上述图7所示的访问控制方法相似,因此该PEP实体的
实施可以参见方法的实施,重复之处不再赘述。
本发明实施例提供的一种PEP实体,如图14所示,PEP实体包括:
接收模块141,用于接收PDP实体返回的访问控制决策响应,其中,所述
访问控制决策响应中携带隐私控制策略和评估结果;
处理模块142,用于确定所述评估结果为允许发起方的资源访问请求,根
据所述隐私控制策略,控制所述发起方的资源访问,其中,所述资源访问请求
中携带目标资源地址。
下面结合优选的硬件结构,以本发明实施例提供的各实体为服务器为例,
对各实体的结构、处理方式进行说明。
在图15的实施例中,PRP实体包括处理器151、输入接口152、输出接口
153、存储器154和系统总线155;其中:
处理器151负责逻辑运算和处理。存储器154包括内存和硬盘,可以存储
处理器151在执行操作时所使用的数据。输入接口152用于在处理器151的控
制下读入外部设备传输的数据,输出接口153在处理器151的控制下向外部设
备输出数据。
总线架构可以包括任意数量的互联的总线和桥,具体由处理器151代表的
一个或多个处理器和存储器154代表的内存和硬盘的各种电路链接在一起。总
线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路
链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。
本发明实施例中,PRP实体在运行时,处理器151,用于读取存储器154
中的程序,以完成图12所示的读取模块121和确定模块122的功能,具体请
参见图12所示的实施例中的相关描述。
输出接口153在处理器151的控制下,用以完成图12所示的发送模块123
的功能,具体请参见图12所示的实施例中的相关描述。
在图16的实施例中,PDP实体包括处理器161、输入接口162、输出接口
163、存储器164和系统总线165;其中:
处理器161负责逻辑运算和处理。存储器164包括内存和硬盘,可以存储
处理器161在执行操作时所使用的数据。输入接口162用于在处理器161的控
制下读入外部设备传输的数据,输出接口163在处理器161的控制下向外部设
备输出数据。
总线架构可以包括任意数量的互联的总线和桥,具体由处理器161代表的
一个或多个处理器和存储器164代表的内存和硬盘的各种电路链接在一起。总
线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路
链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。
本发明实施例中,PDP实体在运行时,处理器161用于读取存储器164中
的程序,以完成图13所示的评估模块132的功能,具体请参见图13所示的实
施例中的相关描述。
输入接口162在处理器161的控制下,用以完成图13所示的接收模块131
的功能,具体请参见图13所示的实施例中的相关描述。
输出接口163在处理器161的控制下,用以完成图13所示的发送模块133
的功能,具体请参见图13所示的实施例中的相关描述。
在图17的实施例中,PEP实体包括处理器171、输入接口172、输出接口
173、存储器174和系统总线175;其中:
处理器171负责逻辑运算和处理。存储器174包括内存和硬盘,可以存储
处理器171在执行操作时所使用的数据。输入接口172用于在处理器171的控
制下读入外部设备传输的数据,输出接口173在处理器171的控制下向外部设
备输出数据。
总线架构可以包括任意数量的互联的总线和桥,具体由处理器171代表的
一个或多个处理器和存储器174代表的内存和硬盘的各种电路链接在一起。总
线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路
链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。
本发明实施例中,PEP实体在运行时,处理器171,用于读取存储器174
中的程序,以完成图14所示的处理模块142的功能,具体请参见图14所示的
实施例中的相关描述。
输入接口172在处理器171的控制下,用以完成图14所示的接收模块141
的功能,具体请参见图14所示的实施例中的相关描述。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计
算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结
合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包
含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、
CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产
品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和
/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/
或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入
式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算
机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一
个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设
备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中
的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个
流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使
得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处
理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个
流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基
本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要
求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发
明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及
其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。