角色頒發(fā)方法、訪問控制方法及相關設備與流程

文檔序號：11156485閱讀：628來源：國知局

本發(fā)明涉及通信技術領域，尤其涉及一種角色頒發(fā)方法、訪問控制方法及相關設備。

背景技術：

物聯(lián)網標準化組織oneM2M致力于開發(fā)用于構造一個公共的機器對機器通信(Machine-To-Machine，M2M)服務層(Service Layer)的技術規(guī)范。

oneM2M功能架構如圖1所示，定義了三種基本實體：

一，應用實體(Application Entity，AE)，位于應用層，該實體可實現(xiàn)一個M2M應用服務邏輯。一個應用服務邏輯既可以駐留在多個M2M節(jié)點中，也可以在單個節(jié)點中存在多個執(zhí)行實例。應用服務邏輯的每個執(zhí)行實例被稱為一個應用實體，每個應用實體由唯一的AE身份標識(AE-ID)標識。

例如，車隊跟蹤應用實例、遠程血糖監(jiān)測應用實例、遠程電力計量實例或控制應用實例等都屬于應用實體。

二，公共服務實體(Common Services Entity，CSE)，一個公共服務實體由一組M2M環(huán)境中的公共服務功能(common service functions)構成。公共服務功能通過參考點Mca和參考點Mcc公開給其他實體。參考點Mcn用于訪問底層網絡服務實體。每個公共服務實體由唯一的CSE-ID標識。

三，底層網絡服務實體(Underlying Network Services Entity，NSE)，一個底層網絡服務實體向多個CSE提供底層網絡服務，例如提供設備管理、位置服務和設備觸發(fā)服務。

oneM2M通過對標準化的資源樹的操作實現(xiàn)服務層資源共享和交互。oneM2M資源樹存在于oneM2M系統(tǒng)定義的CSE中。

根據oneM2M TS-0001中關于功能架構的定義，oneM2M資源樹的形式如圖2所示。其中，CSEBase1表示一個CSE根資源<CSEBase>，CSE1表示一個資源<remoteCSE>，APP1表示一個資源<AE>，CONT1和CONT2分別代表一個資源<container>，ACP1和ACP2分別代表一個資源<accessControlPolicy>。對于oneM2M資源可進行創(chuàng)建(Create，簡稱C)、查詢(Retrieve，簡稱R)、修改(Update，簡稱U)和刪除(Delete，簡稱D)等操作。

oneM2M定義的資源中與授權相關的資源為訪問控制策略資源<accessControlPolicy>，其中定義有訪問控制策略(Access Control Policy，ACP)，<accessControlPolicy>資源由資源身份標識(ID)唯一標識。其他資源通過資源中的accessControlPolicyIDs屬性指定適用的訪問控制策略。<accessControlPolicy>資源中的特權(privileges)屬性用于存儲具體的訪問控制規(guī)則，自我管理特權(selfPrivileges)屬性用于存儲維護<accessControlPolicy>資源的訪問控制規(guī)則。

oneM2M安全解決技術規(guī)范oneM2M TS-0003中給出了授權架構和訪問控制策略的評估。如圖3所示的授權架構中，各授權組件的功能為：

策略執(zhí)行點(Policy Enforcement Point，PEP)，與需要訪問控制的應用系統(tǒng)共存，并由應用系統(tǒng)調用。PEP根據用戶的訪問請求生成相應的訪問控制決策請求，發(fā)送給策略決策點(Policy Decision Point，PDP)，并根據PDP的訪問控制決策應答確定是否執(zhí)行用戶的訪問請求。

策略決策點(Policy Decision Point，PDP)，負責根據訪問控制策略評估是否同意由PEP發(fā)送來的訪問控制決策請求，并將評估結果通過訪問控制決策應答返回給PEP。

策略獲取點(Policy Retrieval Point，PRP)，根據PDP提供的策略請求獲取適用的訪問控制策略，并將獲取的訪問控制策略返回給PDP。

策略信息點(Policy Information Point，PIP)，根據PDP的請求獲取與用戶、資源或環(huán)境相關的屬性，例如訪問用戶的互聯(lián)網協(xié)議(IP)地址、資源的創(chuàng)建者、當前的時間等，然后將獲得的各種屬性返回給PDP。

oneM2M的基本授權流程如下：

1、PEP根據用戶的訪問請求生成訪問控制決策請求(Access Control Decision Request)發(fā)送給PDP；

2、PDP根據PEP的訪問控制決策請求向PRP發(fā)送訪問控制策略請求(Access Control Policy Request)；

3、PDP分析由PRP返回的訪問控制策略和PEP的訪問控制決策請求中提供的內容，若需要其他屬性，則向PIP發(fā)送訪問控制屬性請求(Access Control Attribute Request)，否則執(zhí)行步驟5。

4、PIP根據PDP的訪問控制屬性請求獲取相應的與訪問控制相關的屬性，并返回給PDP。

5、PDP根據確定適用的訪問控制策略，并通過該訪問控制決策應答(Access Control Attribute Response)返回給PEP。

6、PEP根據訪問控制決策應答中的訪問控制策略決定是否執(zhí)行用戶的訪問請求。

oneM2M第二階段(Release 2)將研究和制定授權架構各組成部分之間的接口，并將支持更多種類的訪問控制策略，例如基于角色的訪問控制，基于屬性的訪問控制等。目前已經明確了Release 2中將支持基于角色的訪問控制這一新特性，但是如何實現(xiàn)基于角色的訪問控制，尚沒有解決方案。

技術實現(xiàn)要素：

本發(fā)明實施例提供一種角色頒發(fā)方法、訪問控制方法及相關設備，用以為oneM2M提供基于角色的訪問控制。

本發(fā)明實施例提供的具體技術方案如下：

第一方面，提供了一種角色頒發(fā)方法，包括：

公共服務實體CSE接收角色頒發(fā)實體發(fā)送的角色資源創(chuàng)建請求，所述角色資源創(chuàng)建請求中攜帶頒發(fā)給發(fā)起方實體的角色信息，所述角色信息至少包括角色標識；

所述CSE根據所述角色信息在所述發(fā)起方實體對應的資源下創(chuàng)建角色資源，所述角色資源為普通資源且存儲有所述角色信息。

較佳地，所述CSE根據所述角色信息在所述發(fā)起方實體對應的資源下創(chuàng)建角色資源后，還包括：

所述CSE向所述角色頒發(fā)實體返回角色資源創(chuàng)建響應。

較佳地，所述CSE根據所述角色信息在所述發(fā)起方實體對應的資源下創(chuàng)建角色資源后，還包括：

所述CSE接收所述角色頒發(fā)實體發(fā)送的角色資源修改請求，所述角色資源修改請求中攜帶重新頒發(fā)給所述發(fā)起方實體的角色信息；

根據重新頒發(fā)的所述角色信息修改所述角色資源中保存的角色信息。

較佳地，所述CSE根據重新頒發(fā)的所述角色信息修改所述角色資源中保存的角色信息后，還包括：

所述CSE向所述角色頒發(fā)實體返回角色資源修改響應。

較佳地，所述方法還包括：

所述CSE接收所述發(fā)起方實體對所述角色資源的資源讀取請求；

所述CSE向所述發(fā)起方實體返回資源讀取響應，所述資源讀取響應中攜帶所述角色信息。

較佳地，所述CSE根據所述角色信息在所述發(fā)起方實體對應的資源下創(chuàng)建角色資源之前，還包括：

所述CSE根據所述發(fā)起方實體對應的資源的訪問控制策略，確定允許所述角色頒發(fā)實體創(chuàng)建所述角色資源。

較佳地，所述CSE根據重新頒發(fā)的所述角色信息修改所述角色資源中保存的角色信息之前，還包括：

所述CSE根據所述發(fā)起方實體對應的資源的訪問控制策略，確定允許所述角色頒發(fā)實體修改所述角色資源。

較佳地，所述角色資源具有普通資源的通用屬性，還具有指定失效時間的公共屬性以及簽約子資源。

較佳地，所述角色資源具有角色標識屬性、角色頒發(fā)者標識屬性、角色有效起始時間屬性以及角色有效結束時間屬性，所述角色標識屬性用于保存角色標識，所述角色頒發(fā)者標識屬性用于保存角色頒發(fā)者標識，所述角色有效起始時間屬性用于保存角色有效起始時間，所述角色有效結束時間屬性用于保存角色有效結束時間。

較佳地，所述角色資源還具有角色類型屬性、角色名字屬性以及應用類別屬性中的任意一種或多種，所述角色類型屬性用于保存角色類型，所述角色名字屬性用于保存角色可閱讀名字，所述應用類別屬性用于保存角色所屬的應用類別。

第二方面，提供了一種角色頒發(fā)方法，包括：

角色頒發(fā)實體生成角色資源創(chuàng)建請求，所述角色資源創(chuàng)建請求中攜帶頒發(fā)給發(fā)起方實體的角色信息，所述角色信息至少包括角色標識；

所述角色頒發(fā)實體向公共服務實體CSE發(fā)送所述角色資源創(chuàng)建請求，由所述CSE根據所述角色信息在所述發(fā)起方實體對應的資源下創(chuàng)建角色資源，所述角色資源為普通資源且存儲有所述發(fā)起方實體的角色信息。

較佳地，所述角色頒發(fā)實體向所述CSE發(fā)送所述角色資源創(chuàng)建請求之后，還包括：

所述角色頒發(fā)實體接收所述CSE返回的角色資源創(chuàng)建響應。

較佳地，所述CSE根據所述角色信息在所述發(fā)起方實體對應的資源下創(chuàng)建角色資源之后，還包括：

所述角色頒發(fā)實體將所述角色資源的地址信息的指示信息發(fā)送給所述發(fā)起方實體，以及將所述角色資源的地址信息的指示信息發(fā)送給所述策略決策點PDP實體和/或策略信息點PIP實體。

較佳地，所述角色頒發(fā)實體向所述CSE發(fā)送所述角色資源創(chuàng)建請求之后，還包括：

所述角色頒發(fā)實體生成角色資源修改請求，所述角色資源修改請求中攜帶重新頒發(fā)給所述發(fā)起方實體的角色信息；

所述角色頒發(fā)實體向所述CSE發(fā)送所述角色資源修改請求。

較佳地，所述角色頒發(fā)實體向所述CSE發(fā)送所述角色資源修改請求之后，還包括：

所述角色頒發(fā)實體接收所述CSE返回的角色資源修改響應。

較佳地，所述角色資源具有普通資源的通用屬性，還具有指定失效時間的公共屬性以及簽約子資源。

第三方面，提供了一種角色頒發(fā)方法，包括：

發(fā)起方實體向公共服務實體CSE發(fā)送對發(fā)起方實體對應的資源下的角色資源的資源讀取請求，所述角色資源為普通資源且存儲有所述發(fā)起方實體的角色信息；

所述發(fā)起方實體接收所述CSE返回的資源讀取響應，所述資源讀取響應中攜帶所述角色資源中保存的角色信息，所述角色信息至少包括角色標識。

較佳地，所述角色資源具有普通資源的通用屬性，還具有指定失效時間的公共屬性以及簽約子資源。

第四方面，提供了一種訪問控制方法，包括：

策略執(zhí)行點PEP實體獲取發(fā)起方實體發(fā)送的資源訪問請求，所述資源訪問請求中攜帶所述發(fā)起方實體的角色信息，所述角色信息至少包括角色標識；

所述PEP實體根據所述資源訪問請求生成訪問控制決策請求，所述訪問控制決策請求中攜帶所述發(fā)起方實體的角色信息；

所述PEP實體將所述訪問控制決策請求發(fā)送給策略決策點PDP實體，由所述PDP實體根據所述角色信息查詢所述發(fā)起方實體對應的角色資源獲得查詢結果，并由所述PDP實體根據所述查詢結果以及訪問控制策略確定決策結果，所述角色資源為普通資源且存儲有所述發(fā)起方實體的角色信息；

所述PEP實體獲取所述PDP實體返回的訪問控制決策應答，所述訪問控制決策應答中攜帶所述決策結果；

所述PEP根據所述決策結果對所述發(fā)起方實體的資源訪問請求進行訪問控制。

較佳地，所述角色資源具有普通資源的通用屬性，還具有指定失效時間的公共屬性以及簽約子資源。

較佳地，所述資源訪問請求中攜帶的所述發(fā)起方實體的角色標識，為根據本次資源訪問所屬的應用類別以及所述角色所屬的應用類別確定。

第五方面，提供了一種訪問控制方法，包括：

策略決策點PDP實體接收策略執(zhí)行點PEP實體發(fā)送的訪問控制決策請求，所述訪問控制決策請求中攜帶發(fā)起資源訪問請求的發(fā)起方實體的角色信息，所述角色信息至少包括角色標識；

所述PDP實體根據所述角色標識查詢所述發(fā)起方實體對應的角色資源獲得查詢結果，根據所述查詢結果以及訪問控制策略確定決策結果，所述角色資源為普通資源且存儲有所述發(fā)起方實體的角色信息；

所述PDP實體向所述PEP實體返回訪問控制決策應答，所述訪問控制決策應答中攜帶所述決策結果。

較佳地，所述PDP實體根據所述角色標識查詢所述發(fā)起方實體對應的角色資源獲得查詢結果，包括：

所述PDP實體向公共服務實體CSE發(fā)送對所述發(fā)起方實體的角色資源的查詢請求，并獲得所述CSE返回的查詢結果，所述查詢請求中攜帶所述角色標識；

或者，

所述PDP實體向策略信息點PIP實體發(fā)送訪問控制屬性請求，所述訪問控制屬性請求中攜帶所述發(fā)起方實體的角色標識，并接收所述PIP實體返回的訪問控制屬性響應，所述訪問控制屬性響應中攜帶所述PIP實體根據所述角色標識查詢所述發(fā)起方實體對應的角色資源獲得的查詢結果。

較佳地，所述PDP實體根據所述查詢結果以及訪問控制策略確定決策結果，包括：

所述PDP實體若確定所述查詢結果中攜帶所述角色資源中保存的角色信息，且根據所述角色信息確定所述角色標識有效，根據所述訪問控制策略以及所述角色標識確定決策結果；

所述PDP實體若確定所述查詢結果為空，根據所述訪問控制策略確定決策結果為不允許所述發(fā)起方實體的資源訪問請求；或者，若確定所述查詢結果中攜帶所述角色資源中保存的角色信息，且根據所述角色信息確定所述角色標識無效，根據所述訪問控制策略確定決策結果為不允許所述發(fā)起方實體的資源訪問請求。

較佳地，所述角色資源具有普通資源的通用屬性，還具有指定失效時間的公共屬性以及簽約子資源。

第六方面，提供了一種訪問控制方法，包括：

策略信息點PIP實體接收策略決策點PDP實體發(fā)送的訪問控制屬性請求，所述訪問控制屬性請求中攜帶發(fā)起資源訪問請求的發(fā)起方實體的角色信息，所述角色信息至少包括角色標識；

所述PIP實體根據所述角色標識向公共服務實體CSE查詢所述發(fā)起方實體對應的角色資源并獲取查詢結果，所述角色資源為普通資源且存儲有所述發(fā)起方實體的角色信息；

所述PIP實體向所述PDP實體返回訪問控制屬性響應，所述訪問控制屬性響應中攜帶所述查詢結果。

較佳地，所述角色資源具有普通資源的通用屬性，還具有指定失效時間的公共屬性以及簽約子資源。

第七方面，提供了一種公共服務實體CSE，包括：

接收模塊，用于接收角色頒發(fā)實體發(fā)送的角色資源創(chuàng)建請求，所述角色資源創(chuàng)建請求中攜帶頒發(fā)給發(fā)起方實體的角色信息，所述角色信息至少包括角色標識；

處理模塊，用于根據所述角色信息在所述發(fā)起方實體對應的資源下創(chuàng)建角色資源，所述角色資源為普通資源且存儲有所述角色信息。

較佳地，所述接收模塊還用于：

在所述處理模塊根據所述角色信息在所述發(fā)起方實體對應的資源下創(chuàng)建角色資源后，接收所述角色頒發(fā)實體發(fā)送的角色資源修改請求，所述角色資源修改請求中攜帶重新頒發(fā)給所述發(fā)起方實體的角色信息；

所述處理模塊還用于：

根據重新頒發(fā)的所述角色信息修改所述角色資源中保存的角色信息。

還包括第一發(fā)送模塊，用于：

向所述發(fā)起方實體返回資源讀取響應，所述資源讀取響應中攜帶所述角色信息。

較佳地，還包括第二發(fā)送模塊，用于：

在所述處理模塊根據所述角色信息在所述發(fā)起方實體對應的資源下創(chuàng)建角色資源后，向所述角色頒發(fā)實體返回角色資源創(chuàng)建響應。

較佳地，還包括第三發(fā)送模塊，用于：

在所述處理模塊根據重新頒發(fā)的所述角色信息修改所述角色資源中保存的角色信息后，向所述角色頒發(fā)實體返回角色資源修改響應。

較佳地，所述接收模塊還用于：

接收所述發(fā)起方實體對所述角色資源的資源讀取請求；

較佳地，所述處理模塊還用于：

根據所述角色信息在所述發(fā)起方實體對應的資源下創(chuàng)建角色資源之前，根據所述發(fā)起方實體對應的資源的訪問控制策略，確定允許所述角色頒發(fā)實體創(chuàng)建所述角色資源。

較佳地，所述處理模塊還用于：

根據重新頒發(fā)的所述角色信息修改所述角色資源中保存的角色信息之前，根據所述發(fā)起方實體對應的資源的訪問控制策略，確定允許所述角色頒發(fā)實體修改所述角色資源。

第八方面，提供了一種角色頒發(fā)實體，包括：

處理模塊，用于生成角色資源創(chuàng)建請求，所述角色資源創(chuàng)建請求中攜帶頒發(fā)給發(fā)起方實體的角色信息，所述角色信息至少包括角色標識；

發(fā)送模塊，用于向公共服務實體CSE發(fā)送所述角色資源創(chuàng)建請求，由所述CSE根據所述角色信息在所述發(fā)起方實體對應的資源下創(chuàng)建角色資源，所述角色資源為普通資源且存儲有所述發(fā)起方實體的角色信息。

較佳地，還包括第一接收模塊，用于：

接收所述CSE返回的角色資源創(chuàng)建響應。

較佳地，所述發(fā)送模塊還用于：

將所述角色資源的地址信息的指示信息發(fā)送給所述發(fā)起方實體，以及將所述角色資源的地址信息的指示信息發(fā)送給所述策略決策點PDP實體和/或策略信息點PIP實體。

較佳地，所述處理模塊還用于：

生成角色資源修改請求，所述角色資源修改請求中攜帶重新頒發(fā)給所述發(fā)起方實體的角色信息；

所述發(fā)送模塊還用于：

向所述CSE發(fā)送所述角色資源修改請求。

較佳地，還包括第二接收模塊，用于：

接收所述CSE返回的角色資源修改響應。

第九方面，提供了一種發(fā)起方實體，包括：

發(fā)送模塊，用于向公共服務實體CSE發(fā)送對發(fā)起方實體對應的資源下的角色資源的資源讀取請求，所述角色資源為普通資源且存儲有所述發(fā)起方實體的角色信息；

接收模塊，用于接收所述CSE返回的資源讀取響應，所述資源讀取響應中攜帶所述角色資源中保存的角色信息，所述角色信息至少包括角色標識。

較佳地，所述發(fā)起方實體為應用實體或公共服務實體。

第十方面，提供了一種策略執(zhí)行點PEP實體，包括：

第一獲取模塊，用于獲取發(fā)起方實體發(fā)送的資源訪問請求，所述資源訪問請求中攜帶所述發(fā)起方實體的角色信息，所述角色信息至少包括角色標識；

生成模塊，用于根據所述獲取模塊獲取的所述資源訪問請求生成訪問控制決策請求，所述訪問控制決策請求中攜帶所述發(fā)起方實體的角色信息；

發(fā)送模塊，用于將所述訪問控制決策請求發(fā)送給策略決策點PDP實體，由所述PDP實體根據所述角色信息查詢所述發(fā)起方實體對應的角色資源獲得查詢結果，并由所述PDP實體根據所述查詢結果以及訪問控制策略確定決策結果，所述角色資源為普通資源且存儲有所述發(fā)起方實體的角色信息；

第二獲取模塊，用于獲取所述PDP實體返回的訪問控制決策應答，所述訪問控制決策應答中攜帶所述決策結果；

訪問控制模塊，用于根據所述決策結果對所述發(fā)起方實體的資源訪問請求進行訪問控制。

第十一方面，提供了一種策略決策點PDP實體，包括：

接收模塊，用于接收策略執(zhí)行點PEP實體發(fā)送的訪問控制決策請求，所述訪問控制決策請求中攜帶發(fā)起資源訪問請求的發(fā)起方實體的角色信息，所述角色信息至少包括角色標識；

處理模塊，用于根據所述角色標識查詢所述發(fā)起方實體對應的角色資源獲得查詢結果，根據所述查詢結果以及訪問控制策略確定決策結果，所述角色資源為普通資源且存儲有所述發(fā)起方實體的角色信息；

發(fā)送模塊，用于向所述PEP實體返回訪問控制決策應答，所述訪問控制決策應答中攜帶所述決策結果。

較佳地，所述處理模塊具體用于：

通過所述發(fā)送模塊向公共服務實體CSE發(fā)送對所述發(fā)起方實體的角色資源的查詢請求，并通過所述接收模塊獲得所述CSE返回的查詢結果，所述查詢請求中攜帶所述角色標識；

或者，

通過所述發(fā)送模塊向策略信息點PIP實體發(fā)送訪問控制屬性請求，所述訪問控制屬性請求中攜帶所述發(fā)起方實體的角色標識，并通過所述接收模塊接收所述PIP實體返回的訪問控制屬性響應，所述訪問控制屬性響應中攜帶所述PIP實體根據所述角色標識查詢所述發(fā)起方實體對應的角色資源獲得的查詢結果。

較佳地，所述處理模塊具體用于：

若確定所述查詢結果中攜帶所述角色資源中保存的角色信息，且根據所述角色信息確定所述角色標識有效，根據所述訪問控制策略以及所述角色標識確定決策結果；

若確定所述查詢結果為空，根據所述訪問控制策略確定決策結果為不允許所述發(fā)起方實體的資源訪問請求；或者，若確定所述查詢結果中攜帶所述角色資源中保存的角色信息，且根據所述角色信息確定所述角色標識無效，根據所述訪問控制策略確定決策結果為不允許所述發(fā)起方實體的資源訪問請求。

第十二方面，提供了一種策略信息點PIP實體，包括：

接收模塊，用于接收策略決策點PDP實體發(fā)送的訪問控制屬性請求，所述訪問控制屬性請求中攜帶發(fā)起資源訪問請求的發(fā)起方實體的角色信息，所述角色信息至少包括角色標識；

處理模塊，用于根據所述角色標識向公共服務實體CSE查詢所述發(fā)起方實體對應的角色資源并獲取查詢結果，所述角色資源為普通資源且存儲有所述發(fā)起方實體的角色信息；

發(fā)送模塊，用于向所述PDP實體返回訪問控制屬性響應，所述訪問控制屬性響應中攜帶所述查詢結果。

第十三方面，提供了一種公共服務實體CSE，包括處理器、存儲器和收發(fā)機，其中，收發(fā)機用于在處理器的控制下接收和發(fā)送數(shù)據，存儲器中保存有預設的程序，處理器讀取存儲器中保存的程序，按照該程序執(zhí)行以下過程：

通過收發(fā)機接收角色頒發(fā)實體發(fā)送的角色資源創(chuàng)建請求，所述角色資源創(chuàng)建請求中攜帶頒發(fā)給發(fā)起方實體的角色信息，所述角色信息至少包括角色標識；

根據所述角色信息在所述發(fā)起方實體對應的資源下創(chuàng)建角色資源，所述角色資源為普通資源且存儲有所述角色信息。

較佳地，處理器根據所述角色信息在所述發(fā)起方實體對應的資源下創(chuàng)建角色資源后，通過收發(fā)機向所述角色頒發(fā)實體返回角色資源創(chuàng)建響應。

較佳地，處理器根據所述角色信息在所述發(fā)起方實體對應的資源下創(chuàng)建角色資源后，通過收發(fā)機接收所述角色頒發(fā)實體發(fā)送的角色資源修改請求，所述角色資源修改請求中攜帶重新頒發(fā)給所述發(fā)起方實體的角色信息；

根據重新頒發(fā)的所述角色信息修改所述角色資源中保存的角色信息。

較佳地，處理器根據重新頒發(fā)的所述角色信息修改所述角色資源中保存的角色信息后，通過收發(fā)機向所述角色頒發(fā)實體返回角色資源修改響應。

較佳地，處理器通過收發(fā)機接收所述發(fā)起方實體對所述角色資源的資源讀取請求；

以及通過收發(fā)機向所述發(fā)起方實體返回資源讀取響應，所述資源讀取響應中攜帶所述角色信息。

較佳地，處理器根據所述角色信息在所述發(fā)起方實體對應的資源下創(chuàng)建角色資源之前，根據所述發(fā)起方實體對應的資源的訪問控制策略，確定允許所述角色頒發(fā)實體創(chuàng)建所述角色資源。

較佳地，處理器根據重新頒發(fā)的所述角色信息修改所述角色資源中保存的角色信息之前，根據所述發(fā)起方實體對應的資源的訪問控制策略，確定允許所述角色頒發(fā)實體修改所述角色資源。

第十四方面，提供了一種角色頒發(fā)實體，包括處理器、存儲器和收發(fā)機，其中收發(fā)機用于在處理器的控制下接收和發(fā)送數(shù)據，存儲器中保存有預設的程序，處理器讀取存儲器中保存的程序，按照該程序執(zhí)行以下過程：

生成角色資源創(chuàng)建請求，所述角色資源創(chuàng)建請求中攜帶頒發(fā)給發(fā)起方實體的角色信息，所述角色信息至少包括角色標識；

通過收發(fā)機向公共服務實體CSE發(fā)送所述角色資源創(chuàng)建請求，由所述CSE根據所述角色信息在所述發(fā)起方實體對應的資源下創(chuàng)建角色資源，所述角色資源為普通資源且存儲有所述發(fā)起方實體的角色信息。

較佳地，處理器通過收發(fā)機接收所述CSE返回的角色資源創(chuàng)建響應。

較佳地，處理器通過收發(fā)機將所述角色資源的地址信息的指示信息發(fā)送給所述發(fā)起方實體，以及將所述角色資源的地址信息的指示信息發(fā)送給所述策略決策點PDP實體和/或策略信息點PIP實體。

較佳地，處理器生成角色資源修改請求，所述角色資源修改請求中攜帶重新頒發(fā)給所述發(fā)起方實體的角色信息；

通過收發(fā)機向所述CSE發(fā)送所述角色資源修改請求。

較佳地，處理器通過收發(fā)機接收所述CSE返回的角色資源修改響應。

第十五方面，提供了一種發(fā)起方實體，包括處理器、存儲器和收發(fā)機，其中收發(fā)機在處理器的控制下接收和發(fā)送數(shù)據，存儲器中保存有預設的程序，處理器讀取存儲器中保存的程序，按照該程序執(zhí)行以下過程：

通過收發(fā)機向公共服務實體CSE發(fā)送對發(fā)起方實體對應的資源下的角色資源的資源讀取請求，所述角色資源為普通資源且存儲有所述發(fā)起方實體的角色信息；

通過收發(fā)機接收所述CSE返回的資源讀取響應，所述資源讀取響應中攜帶所述角色資源中保存的角色信息，所述角色信息至少包括角色標識。

較佳地，所述發(fā)起方實體為應用實體或公共服務實體。

第十六方面，提供了一種策略執(zhí)行點PEP實體，包括處理器、存儲器和收發(fā)機，其中收發(fā)機在處理器的控制下接收和發(fā)送數(shù)據，存儲器中保存有預設的程序，處理器讀取存儲器中保存的程序，按照該程序執(zhí)行以下過程：

通過收發(fā)機獲取發(fā)起方實體發(fā)送的資源訪問請求，所述資源訪問請求中攜帶所述發(fā)起方實體的角色信息，所述角色信息至少包括角色標識；

根據所述獲取模塊獲取的所述資源訪問請求生成訪問控制決策請求，所述訪問控制決策請求中攜帶所述發(fā)起方實體的角色信息；

通過收發(fā)機將所述訪問控制決策請求發(fā)送給策略決策點PDP實體，由所述PDP實體根據所述角色信息查詢所述發(fā)起方實體對應的角色資源獲得查詢結果，并由所述PDP實體根據所述查詢結果以及訪問控制策略確定決策結果，所述角色資源為普通資源且存儲有所述發(fā)起方實體的角色信息；

通過收發(fā)機獲取所述PDP實體返回的訪問控制決策應答，所述訪問控制決策應答中攜帶所述決策結果；

根據所述決策結果對所述發(fā)起方實體的資源訪問請求進行訪問控制。

第十七方面，提供了一種策略決策點PDP實體，包括處理器、存儲器和收發(fā)機，其中收發(fā)機在處理器的控制下接收和發(fā)送數(shù)據，存儲器中保存有預設的程序，處理器讀取存儲器中保存的程序，按照該程序執(zhí)行以下過程：

通過收發(fā)機接收策略執(zhí)行點PEP實體發(fā)送的訪問控制決策請求，所述訪問控制決策請求中攜帶發(fā)起資源訪問請求的發(fā)起方實體的角色信息，所述角色信息至少包括角色標識；

根據所述角色標識查詢所述發(fā)起方實體對應的角色資源獲得查詢結果，根據所述查詢結果以及訪問控制策略確定決策結果，所述角色資源為普通資源且存儲有所述發(fā)起方實體的角色信息；

通過收發(fā)機向所述PEP實體返回訪問控制決策應答，所述訪問控制決策應答中攜帶所述決策結果。

較佳地，處理器通過收發(fā)機向公共服務實體CSE發(fā)送對所述發(fā)起方實體的角色資源的查詢請求，并通過收發(fā)機獲得所述CSE返回的查詢結果，所述查詢請求中攜帶所述角色標識；

或者，

通過收發(fā)機向策略信息點PIP實體發(fā)送訪問控制屬性請求，所述訪問控制屬性請求中攜帶所述發(fā)起方實體的角色標識，并通過收發(fā)機接收所述PIP實體返回的訪問控制屬性響應，所述訪問控制屬性響應中攜帶所述PIP實體根據所述角色標識查詢所述發(fā)起方實體對應的角色資源獲得的查詢結果。

較佳地，處理器若確定所述查詢結果中攜帶所述角色資源中保存的角色信息，且根據所述角色信息確定所述角色標識有效，根據所述訪問控制策略以及所述角色標識確定決策結果；

第十八方面，提供了一種策略信息點PIP實體，包括處理器、存儲器和收發(fā)機，其中收發(fā)機在處理器的控制下接收和發(fā)送數(shù)據，存儲器中保存有預設的程序，處理器讀取存儲器中保存的程序，按照該程序執(zhí)行以下過程：

通過收發(fā)機接收策略決策點PDP實體發(fā)送的訪問控制屬性請求，所述訪問控制屬性請求中攜帶發(fā)起資源訪問請求的發(fā)起方實體的角色信息，所述角色信息至少包括角色標識；

根據所述角色標識向公共服務實體CSE查詢所述發(fā)起方實體對應的角色資源并獲取查詢結果，所述角色資源為普通資源且存儲有所述發(fā)起方實體的角色信息；

通過收發(fā)機向所述PDP實體返回訪問控制屬性響應，所述訪問控制屬性響應中攜帶所述查詢結果。

基于上述技術方案，本發(fā)明實施例中，通過在發(fā)起方實體對應的資源下創(chuàng)建角色資源，該角色資源為普通資源且用于保存角色信息，該角色信息至少包括角色標識，從而能夠通過對該角色資源的操作獲取該角色資源中保存的角色信息，基于獲取的角色信息在oneM2M中實現(xiàn)基于角色的訪問控制。

附圖說明

圖1為oneM2M功能架構示意圖；

圖2為oneM2M資源樹的結構示意圖；

圖3為oneM2M授權架構示意圖；

圖4為本發(fā)明實施例中角色資源的基本結構示意圖；

圖5為本發(fā)明實施例中<AE>資源結構示意圖；

圖6為本發(fā)明實施例中CSE執(zhí)行角色頒發(fā)的方法流程示意圖；

圖7為本發(fā)明實施例中角色頒發(fā)實體執(zhí)行角色頒發(fā)的方法流程示意圖；

圖8為本發(fā)明實施例中發(fā)起方實體執(zhí)行角色頒發(fā)的方法流程示意圖；

圖9為本發(fā)明實施例中PEP實體進行訪問控制的方法流程示意圖；

圖10為本發(fā)明實施例中PDP實體進行訪問控制的方法流程示意圖；

圖11為本發(fā)明實施例中PIP實體進行訪問控制的方法流程示意圖；

圖12為本發(fā)明實施例中角色頒發(fā)及使用的過程示意圖；

圖13為本發(fā)明實施例中實體關系示意圖；

圖14為本發(fā)明實施例中CSE1中相關的資源樹的結構示意圖；

圖15為本發(fā)明實施例中另一角色頒發(fā)及使用的過程示意圖；

圖16為本發(fā)明實施例中CSE的結構示意圖；

圖17為本發(fā)明實施例中角色頒發(fā)實體的結構示意圖；

圖18為本發(fā)明實施例中發(fā)起方實體的結構示意圖；

圖19為本發(fā)明實施例中PEP實體的結構示意圖；

圖20為本發(fā)明實施例中PDP實體的結構示意圖；

圖21為本發(fā)明實施例中PIP實體的結構示意圖；

圖22為本發(fā)明實施例中另一CSE的結構示意圖；

圖23為本發(fā)明實施例中另一角色頒發(fā)實體的結構示意圖；

圖24為本發(fā)明實施例中另一發(fā)起方實體的結構示意圖；

圖25為本發(fā)明實施例中另一PEP實體的結構示意圖；

圖26為本發(fā)明實施例中另一PDP實體的結構示意圖；

圖27為本發(fā)明實施例中另一PIP實體的結構示意圖。

具體實施方式

為了使本發(fā)明的目的、技術方案和優(yōu)點更加清楚，下面將結合附圖對本發(fā)明作進一步地詳細描述，顯然，所描述的實施例僅僅是本發(fā)明一部分實施例，而不是全部的實施例?；诒景l(fā)明中的實施例，本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其它實施例，都屬于本發(fā)明保護的范圍。

本發(fā)明實施例中定義了一種oneM2M資源用以實現(xiàn)基于角色的訪問控制。

定義的資源為角色資源<role>，用于在CSE資源樹中存儲角色信息。具體地，<role>資源可以位于oneM2M基礎設施節(jié)點IN-CSE中的<CSEBase>、<remoteCSE>、<AE>等資源下，即角色資源創(chuàng)建在發(fā)起方實體相關聯(lián)的資源中，以便這些資源能夠使用自身對應的<role>資源存儲賦給自身的角色信息。一個IN-CSE中的<CSEBase>、<remoteCSE>或<AE>資源下，可以有一個或多個角色資源實例，一個角色資源實例表示一個角色。角色資源中存儲的角色為分配給該角色資源對應的實體的角色。一個角色資源中至少存儲有角色的角色標識。

定義<role>資源的基本結構如圖4所示，其資源類型為oneM2M普通資源(Normal Resource)，oneM2M普通資源具有具體的資源結構以及資源屬性。<role>資源除包含oneM2M普通資源的通用屬性(Univesal Attribute)外，還包含用于指定失效時間(expirationTime)的公共屬性(Common Attribute)和oneM2M已經定義的簽約<subscription>子資源。定義每個<role>資源實例用于描述一個角色。圖4中的數(shù)字表示對應的資源屬性的個數(shù)或者對應的子資源的個數(shù)。

<role>資源的資源屬性的具體用途定義為：

角色標識(roleID)屬性：用戶保存角色標識；

角色頒發(fā)者標識(issuer)屬性：用于保存角色頒發(fā)者標識；

角色有效起始時間(startTime)屬性：用于保存角色有效起始時間；

角色有效結束時間(expiryTime)屬性：用于保存角色有效結束時間；

角色類型(roleType)屬性：用于區(qū)分該角色是由oneM2M服務提供商(M2M Service Provider)定義的服務簽約角色(Service Subscription Role)，還是由oneM2M應用服務提供商(M2M Application Service Provider)定義的與某具體應用相關的角色；

角色名字(roleName)屬性：用于保存角色的可閱讀名字；

應用類別(appCategory)屬性：用于保存角色所屬的應用類別，也即該角色的應用范圍，例如設備管理應用，智能家居應用，智能交通應用等。

其中，<role>資源至少具有roleID屬性，還可能具有issuer、startTime、expiryTime屬性。除此之外，roleType屬性、roleName屬性和appCategory屬性為可選的資源屬性，即一個角色資源可以具有roleType屬性、roleName屬性和appCategory屬性中的任意一種或多種。

定義<AE>資源的結構如圖5所示，僅是在現(xiàn)有<AE>資源中增加了<role>資源為子資源，<AE>資源下<role>子資源的數(shù)量可以為零或n個，n大于等于1，用于表示賦給AE的角色。同理，<CSEBase>資源和<remoteCSE>資源的定義與<AE>資源的定義相似，在<CSEBase>資源下增加了<role>資源為子資源，在<remoteCSE>資源增加了<role>資源為子資源，<CSEBase>資源或<remoteCSE>資源下<role>子資源的數(shù)量可以為零或n個，n大于等于1。

與基于角色的訪問控制相關的實體定義如下：

角色頒發(fā)(Role Authority)實體：負責向AE或CSE頒發(fā)角色，且具有在發(fā)起方實體對應的資源(如發(fā)起方的注冊資源)下創(chuàng)建<role>子資源的能力；

發(fā)起方(Originator)實體：為AE或CSE，是角色頒發(fā)的對象，用于使用角色進行資源訪問；

注冊響應CSE(Registrar CSE)：Originator注冊至該CSE，也即Originator的注冊資源創(chuàng)建于該CSE中；

宿主CSE(Hosting CSE)：Originator想要訪問的資源存在于該CSE的資源樹中，在實際應用中Registrar CSE和Hosting CSE可以為同一個CSE，也可以是不同的CSE；

策略執(zhí)行點(PEP)實體：負責根據訪問控制決策執(zhí)行用戶的訪問請求，PEP存在于Host CSE中；

策略決策點(PDP)實體：負責利用訪問控制策略評估用戶的訪問請求，并做出訪問控制決策；

策略信息點(PIP)實體：負責獲取與訪問控制相關的屬性。

在實際應用中，PDP可以通過PIP獲取所需要的屬性，也可以直接從發(fā)起方對應的資源中獲取所需的信息。發(fā)起方實體對應的資源是指發(fā)起方實體相關聯(lián)的資源。本發(fā)明各實施例中，發(fā)起方對應的資源下創(chuàng)建有角色資源，或者需要在發(fā)起方對應的資源下創(chuàng)建或修改角色資源。

基于以上定義，本發(fā)明實施例中，如圖6所示，以存儲有發(fā)起方實體對應的資源的CSE為執(zhí)行主體，該CSE可以是存儲有發(fā)起方實體的注冊資源的實體，也可以是存儲有發(fā)起方的非注冊資源的實體，角色頒發(fā)的詳細方法流程如下：

步驟601：CSE接收角色頒發(fā)實體發(fā)送的角色資源創(chuàng)建請求，該角色資源創(chuàng)建請求中攜帶頒發(fā)給發(fā)起方實體的角色信息，該角色信息至少包括角色標識。

步驟602：CSE根據該角色信息在該發(fā)起方實體對應的資源下創(chuàng)建角色資源，該角色資源為普通資源且存儲有該角色信息。

較佳地，CSE根據角色信息在發(fā)起方實體對應的資源下創(chuàng)建角色資源后，向角色頒發(fā)實體返回角色資源創(chuàng)建響應，該角色資源創(chuàng)建響應用于通知角色頒發(fā)實體該角色資源是否創(chuàng)建成功。

較佳地，CSE在創(chuàng)建角色資源后還可以對角色資源進行修改，具體為：

CSE根據角色信息在發(fā)起方實體對應的資源下創(chuàng)建角色資源后，接收角色頒發(fā)實體發(fā)送的角色資源修改請求，該角色資源修改請求中攜帶重新頒發(fā)給該發(fā)起方實體的角色信息；根據重新頒發(fā)的該角色信息修改角色資源中保存的角色信息。

較佳地，CSE根據重新頒發(fā)的角色信息修改角色資源中保存的角色信息后，向角色頒發(fā)實體返回角色資源修改響應，該角色資源修改響應用于通知角色頒發(fā)實體該角色資源是否修改成功。

較佳地，CSE接收發(fā)起方實體對角色資源的資源讀取請求；向該發(fā)起方實體返回資源讀取響應，該資源讀取響應中攜帶角色信息。

實施中，若發(fā)起方實體對應的資源為該發(fā)起方實體的注冊資源，則保存有該注冊資源的CSE為注冊響應CSE。

較佳地，CSE根據與發(fā)起方實體對應的資源相關聯(lián)的訪問控制策略對與該資源相關的操作進行訪問控制。具體地，CSE根據角色信息在發(fā)起方實體對應的資源下創(chuàng)建角色資源之前，根據發(fā)起方實體對應的資源的訪問控制策略，確定允許該角色頒發(fā)實體創(chuàng)建角色資源。具體地，CSE根據重新頒發(fā)的角色信息修改角色資源中保存的角色信息之前，根據發(fā)起方實體對應的資源的訪問控制策略，確定允許角色頒發(fā)實體修改該角色資源。實施中，與發(fā)起方實體對應的資源相關聯(lián)的訪問控制策略指定了允許訪問該資源的實體。

基于以上定義，本發(fā)明實施例中，如圖7所示，角色頒發(fā)實體進行角色頒發(fā)的詳細方法流程如下：

步驟701：角色頒發(fā)實體生成角色資源創(chuàng)建請求，該角色資源創(chuàng)建請求中攜帶頒發(fā)給發(fā)起方實體的角色信息，該角色信息至少包括角色標識。

具體地，角色資源創(chuàng)建請求中攜帶的角色信息中除了包括角色標識外，還可能包括角色頒發(fā)者標識、角色有效起始時間、角色有效結束時間，可選地，還可能包括角色類型、角色可閱讀名字以及角色所屬的應用類別中的一種或多種。

步驟702：角色頒發(fā)實體向CSE發(fā)送角色資源創(chuàng)建請求，由該CSE根據該角色信息在該發(fā)起方實體對應的資源下創(chuàng)建角色資源，該角色資源為普通資源且存儲有該發(fā)起方實體的角色信息。

其中，CSE保存有發(fā)起方實體對應的資源，若發(fā)起方實體對應的資源為注冊資源，則該CSE為注冊響應CSE，若發(fā)起方實體對應的資源不是注冊資源，則該CSE為任意一個保存有發(fā)起方實體對應的資源且能夠在該資源下創(chuàng)建角色資源的實體。

較佳地，角色頒發(fā)實體向CSE發(fā)送角色資源創(chuàng)建請求之后，接收該CSE返回的角色資源創(chuàng)建響應，該角色資源創(chuàng)建響應用于指示是否成功創(chuàng)建角色資源。

實施中，若發(fā)起方實體對應的資源不是發(fā)起方實體的注冊資源，則角色頒發(fā)實體將創(chuàng)建的角色資源的地址信息的指示信息發(fā)送給該發(fā)起方實體；以及將該發(fā)起方實體創(chuàng)建的角色資源的地址信息的指示信息發(fā)送給PDP實體和/或PIP實體。具體地，角色資源的地址信息的指示信息可以是角色資源的地址信息，或者是該角色資源的上一級資源的地址信息等，其中角色資源的上一級資源為發(fā)起方實體相關聯(lián)的資源。

較佳地，角色頒發(fā)實體在CSE中發(fā)起方實體對應的資源下成功創(chuàng)建角色資源后，還可以對該角色資源進行修改，具體地，角色頒發(fā)實體生成角色資源修改請求，該角色資源修改請求中攜帶重新頒發(fā)給所述發(fā)起方實體的角色信息，向CSE發(fā)送該角色資源修改請求。

較佳地，角色頒發(fā)實體向CSE發(fā)送角色資源修改請求之后，接收CSE返回的角色資源修改響應，該角色資源修改響應用于指示是否成功修改角色資源。

以上實施例中，通過在發(fā)起方實體對應的資源下創(chuàng)建角色資源，并在角色資源中保存角色信息，使得PEP實體獲取發(fā)起方實體的攜帶角色信息的資源訪問請求后，通過PDP實體從該發(fā)起方實體對應的角色資源中查詢角色信息，獲得查詢結果，PDP實體根據該查詢結果以及資源訪問請求中攜帶的角色信息，確定資源訪問請求中攜帶的角色信息是否確實頒發(fā)給了該發(fā)起方實體，若確定頒發(fā)給了該發(fā)起方實體，則根據訪問控制策略確定對該資源訪問請求的決策結果，從而實現(xiàn)基于角色的訪問控制。

基于以上技術方案，本發(fā)明實施例中，如圖8所示，發(fā)起方實體獲取頒發(fā)的角色信息的過程如下：

步驟801：發(fā)起方實體向CSE發(fā)送對發(fā)起方實體對應的資源下的角色資源的資源讀取請求，該角色資源為普通資源且存儲有所述發(fā)起方實體的角色信息。

步驟802：發(fā)起方實體接收CSE返回的資源讀取響應，該資源讀取響應中攜帶該角色資源中保存的角色信息，該角色信息至少包括角色標識。

具體地，資源讀取響應中攜帶的角色信息中除了包括角色標識外，還可能包括角色頒發(fā)者標識、角色有效起始時間、角色有效結束時間，可選地，還可能包括角色類型、角色可閱讀名字以及角色所屬的應用類別中的一種或多種。

該實施例中，發(fā)起方實體通過讀取角色資源中保存的角色信息，獲知頒發(fā)給自身的角色，從而能夠在發(fā)起資源訪問請求時攜帶頒發(fā)給自身的角色信息，使得PEP實體能夠根據發(fā)起方實體對應的角色資源中保存的角色信息、該資源訪問請求中攜帶的角色信息以及訪問控制策略，實現(xiàn)基于基于角色的訪問控制。

基于同一發(fā)明構思，本發(fā)明實施例中，如圖9所示，PEP進行訪問控制的詳細方法流程如下：

步驟901：PEP實體獲取發(fā)起方實體發(fā)送的資源訪問請求，該資源訪問請求中攜帶發(fā)起方實體的角色信息，該角色信息至少包括角色標識。

具體地，發(fā)起方實體的資源訪問請求中攜帶需要訪問的目標資源的地址信息。

較佳地，資源訪問請求中攜帶的發(fā)起方實體的角色標識，為根據本次資源訪問所屬的應用類別以及角色所屬的應用類別確定。例如，若發(fā)起方實體本次資源訪問所屬的應用類別為智能交通應用，則該發(fā)起方實體從角色列表中查找與智能交通應用相對應的角色，在資源訪問請求中攜帶該角色的角色標識。

步驟902：PEP實體根據該資源訪問請求生成訪問控制決策請求，該訪問控制決策請求中攜帶該發(fā)起方實體的角色信息。

步驟903：PEP實體將該訪問控制決策請求發(fā)送給PDP實體，由PDP實體根據角色信息查詢發(fā)起方實體對應的角色資源獲得查詢結果，并由PDP實體根據該查詢結果以及訪問控制策略確定決策結果，該角色資源為普通資源且存儲有發(fā)起方實體的角色信息，其中，訪問控制策略與發(fā)起方實體需要訪問的目標資源相關聯(lián)。

步驟904：PEP實體獲取PDP實體返回的訪問控制決策應答，該訪問控制決策應答中攜帶該決策結果。

步驟905：PEP實體根據該決策結果對發(fā)起方實體的資源訪問請求進行訪問控制。

基于同一發(fā)明構思，本發(fā)明實施例中，如圖10所示，PDP進行訪問控制的詳細方法流程如下：

步驟1001：PDP實體接收PEP實體發(fā)送的訪問控制決策請求，該訪問控制決策請求中攜帶發(fā)起資源訪問請求的發(fā)起方實體的角色信息，該角色信息至少包括角色標識；

步驟1002：PDP實體根據角色標識查詢發(fā)起方實體對應的角色資源獲得查詢結果，根據查詢結果以及訪問控制策略確定決策結果，角色資源為普通資源且存儲有所述發(fā)起方實體的角色信息。

在一個具體實施方式中，PDP實體向CSE發(fā)送對發(fā)起方實體的角色資源的查詢請求，并獲得該CSE返回的查詢結果，查詢請求中攜帶角色標識。其中，CSE保存有發(fā)起方實體對應的資源。

在另一個具體實施方式中，PDP實體向PIP實體發(fā)送訪問控制屬性請求，該訪問控制屬性請求中攜帶發(fā)起方實體的角色標識，并接收PIP實體返回的訪問控制屬性響應，該訪問控制屬性響應中攜帶PIP實體根據該角色標識查詢發(fā)起方實體對應的角色資源獲得的查詢結果。

具體地，PDP實體若確定查詢結果中攜帶角色資源中保存的角色信息，且根據該角色信息確定該角色標識有效，根據訪問控制策略以及角色標識確定決策結果。也就是說，若訪問控制策略為允許發(fā)起發(fā)實體以該角色標識所指示的角色進行資源訪問，確定決策結果為允許該發(fā)起方實體本次的資源訪問；若訪問控制策略為不允許發(fā)起發(fā)實體以該角色標識指示的角色進行資源訪問，確定決策結果為不允許為發(fā)起方實體本次的資源訪問。

具體地，PDP實體若確定查詢結果為空，根據訪問控制策略確定決策結果為不允許發(fā)起方實體的資源訪問請求；或者，若確定查詢結果中攜帶角色資源中保存的角色信息，且根據角色信息確定角色標識無效，根據訪問控制策略確定決策結果為不允許發(fā)起方實體的資源訪問請求。

其中，訪問控制策略可以是PDP通過向PRP發(fā)送訪問控制策略請求，獲取PRP返回的訪問控制策略響應，該訪問控制策略響應中攜帶基于角色進行訪問控制的訪問控制策略。

步驟1003：PDP實體向PEP實體返回訪問控制決策應答，該訪問控制決策應答中攜帶決策結果。

基于同一發(fā)明構思，本發(fā)明實施例中，如圖11所示，PIP進行訪問控制的詳細方法流程如下：

步驟1101：PIP接收PDP實體發(fā)送的訪問控制屬性請求，該訪問控制屬性請求中攜帶發(fā)起資源訪問請求的發(fā)起方實體的角色信息，該角色信息至少包括角色標識。

步驟1102：PIP實體根據角色標識向CSE查詢發(fā)起方實體對應的角色資源并獲取查詢結果，該角色資源為普通資源且存儲有發(fā)起方實體的角色信息。

具體地，若CSE中的發(fā)起方實體對應的角色資源中保存有該角色標識對應的角色信息，則將該角色信息作為查詢結果返回給PIP；若CSE中的發(fā)起方實體對應的角色資源中未保存有該角色標識對應的角色信息，則向PIP返回的查詢結果為空。其中，發(fā)起方實體對應的角色資源可以有多個，CSE根據角色標識分別查詢發(fā)起方實體對應的每個角色資源，確定該角色標識對應的角色資源，將該角色資源中保存的角色信息以列表的形式返回給PIP。

步驟1103：PIP實體向PDP實體返回訪問控制屬性響應，該訪問控制屬性響應中攜帶查詢結果。

以下通過兩個具體實施例對本發(fā)明實施例所提供的角色頒發(fā)以及使用過程進行說明。

第一具體實施例，如圖12所示，角色頒發(fā)及使用的詳細過程為：

步驟1201：角色頒發(fā)實體向Registrar CSE中Originator的注冊資源發(fā)送角色資源創(chuàng)建或維護請求，該請求中包含有創(chuàng)建或修改的roleID，issuer，startTime，expiryTime，roleType，roleName和appCategory等角色屬性的值。

步驟1202：Registrar CSE接收到Role Authority發(fā)送的角色資源創(chuàng)建或維護請求后，檢查與Originator的注冊資源相關聯(lián)的訪問控制策略，判斷Role Authority是否有權創(chuàng)建或維護<role>資源，若有權，根據角色資源創(chuàng)建或維護請求所提供的<role>資源屬性值創(chuàng)建或維護所請求的<role>資源。

步驟1203：Registrar CSE向Role Authority返回角色資源創(chuàng)建或維護響應，以通知Role Authority是否創(chuàng)建或維護成功。

步驟1204：Originator向Registrar CSE中的Originator的注冊資源發(fā)送對角色資源的資源讀取請求，以便獲取已頒發(fā)給該Originator的角色信息。

步驟1205：Registrar CSE向Originator返回資源讀取響應，通過該資源讀取響應將Originator所擁有的角色以角色信息列表的方式發(fā)送給Originator，角色信息包括roleID，issuer，startTime，expiryTime，roleType，roleName和appCategory等角色屬性的值。

步驟1206：Originator利用當前資源訪問所屬的應用類別與角色所屬的應用類別進行比較，選擇適用的角色，然后向Hosting CSE中的目標資源發(fā)送資源訪問請求，該資源訪問請求用于請求訪問該目標資源，并將所選擇的角色的角色信息附著在該請求中，所附著的角色信息至少應包含角色標識。

步驟1207：Hosting CSE中的PEP根據Originator發(fā)送的資源訪問請求生成訪問控制決策請求，訪問控制決策請求中包含有Originator提供的角色信息，將該訪問控制決策請求發(fā)送給PDP。

步驟1208：PDP接收到PEP發(fā)送的訪問控制決策請求后，需要檢查該訪問控制決策請求中攜帶的角色標識所指示的角色是否確實頒發(fā)給了Originator。一個具體實現(xiàn)中，PDP可以通過PIP進行該檢查，即由PIP向Registrar CSE發(fā)送角色資源查詢請求，該角色資源查詢請求中攜帶角色標識，以查詢該Originator的注冊資源中的<role>資源。另一個具體實現(xiàn)中，PDP直接向Registrar CSE發(fā)送角色資源查詢請求，該角色資源查詢請求中攜帶角色標識，以查詢該Originator的注冊資源中的<role>資源，進行該檢查。以上兩個具體實現(xiàn)中，查詢請求中應至少包含角色標識，查詢返回的查詢結果可以是該<role>資源的全部信息，也可以是該<role>資源的部分信息，但返回的查詢結果應使PDP能夠判斷該角色是否已經頒發(fā)給Originator且仍在有效期內。

步驟1209：Registrar CSE根據角色資源查詢請求查詢Originator的注冊資源下的角色資源，通過角色資源查詢響應將查詢結果發(fā)送給PIP，由PIP發(fā)送給PDP；或者，Registrar CSE根據角色資源查詢請求查詢Originator的注冊資源下的角色資源，通過角色資源查詢響應將查詢結果直接發(fā)送給PDP。

步驟1210：PDP接收到角色資源查詢響應后，首先根據查詢結果判斷該角色是否確實頒發(fā)給該Originator且仍在有效期內，然后利用訪問控制策略和Originator的角色信息評估PEP發(fā)送的訪問控制決策請求。

步驟1211：PDP將評估結果通過訪問控制決策應答發(fā)送PEP，該訪問控制決策應答中攜帶評估結果。

步驟1212：PEP接收到訪問控制決策應答后，根據評估結果確定是否允許 Originator的資源訪問請求，若允許，則執(zhí)行Originator的資源訪問請求。

步驟1213：PEP向Originator返回資源訪問響應，該資源訪問響應中攜帶執(zhí)行結果。

第二具體實施例，oneM2M應用服務提供商(oneM2M Application Service Provider)通過oneM2M服務商(oneM2M Service Provider)提供的平臺讀取存儲在家庭網關(Home Gateway)中的數(shù)據。如圖13所示為該具體實施所涉及的實體關系示意圖，對所涉及的各實體描述如下：

CSE1：為oneM2M服務提供商(oneM2M Service Provider)基礎設施節(jié)點(Infrastructure Node)中的CSE(稱為IN-CSE)。

CSE2：為存在于一個家庭網關(Home Gateway)中的oneM2M應用服務節(jié)點(Application Service Node)中的CSE(稱為ASN-CSE)。讀取CSE2中的數(shù)據需要具有相應的數(shù)據收集角色(Data Collection Role)，該角色的角色標識為roleID＝ROLE1234；該假設讀取CSE2中的數(shù)據所屬的應用類別的應用類別編號為12，也即appCategory＝12。

AE1：為注冊至CSE1的AE，角色頒發(fā)實體通過AE1訪問CSE1中的資源且具有在CSE1中創(chuàng)建<role>資源的特權。

AE2：為注冊至CSE1的AE，oneM2M應用服務提供商(oneM2M Application Service Provider)通過AE2訪問CSE2中的資源。

該具體實施例中，CSE1中相關的資源樹如圖14所示，其中：

<CSEBase>：為CSE1資源樹的根節(jié)點。

<AE2>：為AE2成功注冊至CSE1后的注冊資源。

<role>：為AE1在<AE2>中創(chuàng)建的子資源，一個<role>子資源表示一個賦給AE2的角色，<role>子資源中描述了roleID，issuer，startTime，expiryTime，roleType，roleName和roleAppCategory等角色屬性信息。

該具體實施例中，角色頒發(fā)及使用的預配置過程為：oneM2M應用服務提供商AE2注冊至oneM2M服務提供商的IN-CSE(CSE1)中，并創(chuàng)建了<AE2> 資源。

該具體實施例中，如圖15所示，角色頒發(fā)及使用的詳細過程為：

步驟1501：角色頒發(fā)實體通過AE1向CSE1中的<AE2>資源發(fā)送角色資源創(chuàng)建請求，該角色資源創(chuàng)建請求中攜帶角色資源所需的屬性信息，例如roleID＝ROLE1234，issuer＝AE1，startTime＝2015.10.01，expiryTime＝2016.10.01，roleType＝0，roleName＝數(shù)據收集角色(Data Collection Role)，appCategory＝12等。

步驟1502：CSE1驗證AE1的訪問權限，確定允許AE1創(chuàng)建<role>資源后，根據AE1提供的角色資源的屬性信息在<AE2>資源下創(chuàng)建相關的<role>資源。

步驟1503：CSE1將向AE1返回角色資源創(chuàng)建響應，該角色資源創(chuàng)建響應用于告知AE1是否創(chuàng)建成功。

步驟1504：AE2向CSE1發(fā)送對<AE2>資源的<role>資源的資源讀取請求。

步驟1505：CSE1向AE2返回資源讀取響應，通過該資源讀取響應將<AE2>資源下的角色資源中保存的角色信息以列表形式發(fā)送給AE2，其中角色信息中包含有roleID＝ROLE1234的角色信息。

步驟1506：AE2向CSE2發(fā)送資源訪問請求，該資源訪問請求中攜帶有roleID＝ROLE1234的角色信息。

步驟1507：CSE2中的PEP根據AE2發(fā)送的資源訪問請求生成訪問控制決策請求，其中包含有AE2提供的角色信息，將該訪問控制決策請求發(fā)送給PDP。

步驟1508：PDP接收到PEP發(fā)送的訪問控制決策請求后，從PRP獲取到與該訪問控制決策請求相關聯(lián)的訪問控制策略，并利用roleID＝ROLE1234作為查詢條件向CSE1發(fā)送對<AE2>的角色資源查詢請求，以從CSE1中的<AE2>讀取AE2的角色信息。

步驟1509：CSE1利用roleID＝RBAC1234作為查詢條件在<AE2>資源下檢索到該roleID對應的角色資源，并向PDP返回角色資源查詢響應，該角色資源查詢響應中攜帶檢索到的角色資源中保存的角色信息。

步驟1510：PDP根據查詢到的角色信息，利用該角色信息中的角色標識和角色有效起始/終止時間等判斷該角色是否頒發(fā)給AE2且仍在有效期內，若是，則利用訪問控制策略和AE2的角色信息評估PEP發(fā)送的訪問控制決策請求。因為roleID＝ROLE1234具有數(shù)據的讀取權限，所以訪問控制策略的評估結果是“同意AE2的資源訪問”或“不同意AE2的資源訪問”，該具體實施例中假設評估結果為同意AE2的資源訪問。

步驟1511：PDP將評估結果通過訪問控制決策響應發(fā)送給PEP。

步驟1512：PEP根據評估結果確定AE2的資源訪問請求被允許，則執(zhí)行AE2的資源訪問請求，讀取請求訪問的目標資源。

步驟1513：PEP將執(zhí)行結果通過資源訪問響應發(fā)送給AE2。

基于同一發(fā)明構思，本發(fā)明實施例中提供了一種CSE，該CSE可以是保存有發(fā)起方實體對應的資源的任意一個CSE，例如，可以是保存有發(fā)起方實體的注冊資源的注冊響應CSE，該CSE的具體實施可參見上述方法實施例部分的描述，重復之處不再贅述，如圖16所示，該CSE主要包括：

接收模塊1601，用于接收角色頒發(fā)實體發(fā)送的角色資源創(chuàng)建請求，所述角色資源創(chuàng)建請求中攜帶頒發(fā)給發(fā)起方實體的角色信息，所述角色信息至少包括角色標識；

處理模塊1602，用于根據所述角色信息在所述發(fā)起方實體對應的資源下創(chuàng)建角色資源，所述角色資源為普通資源且存儲有所述角色信息。

較佳地，所述接收模塊1601還用于：

所述處理模塊還用于：

根據重新頒發(fā)的所述角色信息修改所述角色資源中保存的角色信息。

較佳地，所述接收模塊還用于：

接收所述發(fā)起方實體對所述角色資源的資源讀取請求；

還包括第一發(fā)送模塊1603，用于：

向所述發(fā)起方實體返回資源讀取響應，所述資源讀取響應中攜帶所述角色信息。

較佳地，還包括第二發(fā)送模塊1604，用于：

在所述處理模塊根據所述角色信息在所述發(fā)起方實體對應的資源下創(chuàng)建角色資源后，向所述角色頒發(fā)實體返回角色資源創(chuàng)建響應。

較佳地，還包括第三發(fā)送模塊1605，用于：

在所述處理模塊根據重新頒發(fā)的所述角色信息修改所述角色資源中保存的角色信息后，向所述角色頒發(fā)實體返回角色資源修改響應。

較佳地，所述處理模塊還用于：

基于同一發(fā)明構思，本發(fā)明實施例中還提供了一種角色頒發(fā)實體，該角色頒發(fā)實體的具體實施可參見上述方法實施例部分的描述，重復之處不再贅述，如圖17所示，該實體主要包括：

處理模塊1701，用于生成角色資源創(chuàng)建請求，所述角色資源創(chuàng)建請求中攜帶頒發(fā)給發(fā)起方實體的角色信息，所述角色信息至少包括角色標識；

發(fā)送模塊1702，用于向公共服務實體CSE發(fā)送所述角色資源創(chuàng)建請求，由所述CSE根據所述角色信息在所述發(fā)起方實體對應的資源下創(chuàng)建角色資源，所述角色資源為普通資源且存儲有所述發(fā)起方實體的角色信息。

較佳地，還包括第一接收模塊1703，用于：

接收所述CSE返回的角色資源創(chuàng)建響應。

較佳地，所述發(fā)送模塊還用于：

較佳地，所述處理模塊還用于：

生成角色資源修改請求，所述角色資源修改請求中攜帶重新頒發(fā)給所述發(fā)起方實體的角色信息；

所述發(fā)送模塊還用于：

向所述CSE發(fā)送所述角色資源修改請求。

較佳地，還包括第二接收模塊1704，用于：

接收所述CSE返回的角色資源修改響應。

基于同一發(fā)明構思，本發(fā)明實施例中還提供了一種發(fā)起方實體，該發(fā)起方實體的具體實施可參見上述方法實施例部分的描述，重復之處不再贅述，如圖18所示，該發(fā)起方實體主要包括：

發(fā)送模塊1801，用于向公共服務實體CSE發(fā)送對發(fā)起方實體對應的資源下的角色資源的資源讀取請求，所述角色資源為普通資源且存儲有所述發(fā)起方實體的角色信息；

接收模塊1802，用于接收所述CSE返回的資源讀取響應，所述資源讀取響應中攜帶所述角色資源中保存的角色信息，所述角色信息至少包括角色標識。

實施中，所述發(fā)起方實體為應用實體或公共服務實體。

基于同一發(fā)明構思，本發(fā)明實施例中還提供了一種PEP實體，該PEP實體的具體實施可參見上述方法實施例部分的描述，重復之處不再贅述，如圖19 所示，該PEP實體主要包括：

第一獲取模塊1901，用于獲取發(fā)起方實體發(fā)送的資源訪問請求，所述資源訪問請求中攜帶所述發(fā)起方實體的角色信息，所述角色信息至少包括角色標識；

生成模塊1902，用于根據所述獲取模塊獲取的所述資源訪問請求生成訪問控制決策請求，所述訪問控制決策請求中攜帶所述發(fā)起方實體的角色信息；

發(fā)送模塊1903，用于將所述訪問控制決策請求發(fā)送給策略決策點PDP實體，由所述PDP實體根據所述角色信息查詢所述發(fā)起方實體對應的角色資源獲得查詢結果，并由所述PDP實體根據所述查詢結果以及訪問控制策略確定決策結果，所述角色資源為普通資源且存儲有所述發(fā)起方實體的角色信息；

第二獲取模塊1904，用于獲取所述PDP實體返回的訪問控制決策應答，所述訪問控制決策應答中攜帶所述決策結果；

訪問控制模塊1905，用于根據所述決策結果對所述發(fā)起方實體的資源訪問請求進行訪問控制。

實施中，PEP實體位于資源訪問請求所請求訪問的目標資源所在的CSE中。

基于同一發(fā)明構思，本發(fā)明實施例中還提供了一種PDP實體，該PDP實體的具體實施可參見上述方法實施例部分的描述，重復之處不再贅述，如圖20所示，該PDP實體主要包括：

接收模塊2001，用于接收策略執(zhí)行點PEP實體發(fā)送的訪問控制決策請求，所述訪問控制決策請求中攜帶發(fā)起資源訪問請求的發(fā)起方實體的角色信息，所述角色信息至少包括角色標識；

處理模塊2002，用于根據所述角色標識查詢所述發(fā)起方實體對應的角色資源獲得查詢結果，根據所述查詢結果以及訪問控制策略確定決策結果，所述角色資源為普通資源且存儲有所述發(fā)起方實體的角色信息；

發(fā)送模塊2003，用于向所述PEP實體返回訪問控制決策應答，所述訪問控制決策應答中攜帶所述決策結果。

較佳地，所述處理模塊具體用于：

或者，

較佳地，所述處理模塊具體用于：

基于同一發(fā)明構思，本發(fā)明實施例中還提供了一種PIP實體，該PIP實體的具體實施可參見上述方法實施例部分的描述，如圖21所示，該PIP實體主要包括：

接收模塊2101，用于接收策略決策點PDP實體發(fā)送的訪問控制屬性請求，所述訪問控制屬性請求中攜帶發(fā)起資源訪問請求的發(fā)起方實體的角色信息，所述角色信息至少包括角色標識；

處理模塊2102，用于根據所述角色標識向公共服務實體CSE查詢所述發(fā)起方實體對應的角色資源并獲取查詢結果，所述角色資源為普通資源且存儲有所述發(fā)起方實體的角色信息；

發(fā)送模塊2103，用于向所述PDP實體返回訪問控制屬性響應，所述訪問控制屬性響應中攜帶所述查詢結果。

基于同一發(fā)明構思，本發(fā)明實施例中提供了一種CSE，該CSE可以是保存有發(fā)起方實體對應的資源的任意一個CSE，也可以是保存有發(fā)起方實體的注冊資源的注冊響應CSE，該CSE的具體實施可參見上述方法實施例部分的描述，重復之處不再贅述，如圖22所示，該CSE主要包括處理器2201、存儲器2202和收發(fā)機2203，其中，收發(fā)機2203用于在處理器2201的控制下接收和發(fā)送數(shù)據，存儲器2202中保存有預設的程序，處理器2201讀取存儲器2202中保存的程序，按照該程序執(zhí)行以下過程：

通過收發(fā)機2203接收角色頒發(fā)實體發(fā)送的角色資源創(chuàng)建請求，所述角色資源創(chuàng)建請求中攜帶頒發(fā)給發(fā)起方實體的角色信息，所述角色信息至少包括角色標識；

根據所述角色信息在所述發(fā)起方實體對應的資源下創(chuàng)建角色資源，所述角色資源為普通資源且存儲有所述角色信息。

較佳地，處理器2201根據所述角色信息在所述發(fā)起方實體對應的資源下創(chuàng)建角色資源后，通過收發(fā)機2203向所述角色頒發(fā)實體返回角色資源創(chuàng)建響應。

較佳地，處理器2201根據所述角色信息在所述發(fā)起方實體對應的資源下創(chuàng)建角色資源后，通過收發(fā)機2203接收所述角色頒發(fā)實體發(fā)送的角色資源修改請求，所述角色資源修改請求中攜帶重新頒發(fā)給所述發(fā)起方實體的角色信息；

處理器2201根據重新頒發(fā)的所述角色信息修改所述角色資源中保存的角色信息。

較佳地，處理器2201在根據重新頒發(fā)的所述角色信息修改所述角色資源中保存的角色信息后，通過收發(fā)機2203向所述角色頒發(fā)實體返回角色資源修改響應。

較佳地，處理器2201通過收發(fā)機2203接收所述發(fā)起方實體對所述角色資源的資源讀取請求；通過收發(fā)機2203向所述發(fā)起方實體返回資源讀取響應，所述資源讀取響應中攜帶所述角色信息。

較佳地，處理器2201根據所述角色信息在所述發(fā)起方實體對應的資源下創(chuàng)建角色資源之前，根據所述發(fā)起方實體對應的資源的訪問控制策略，確定允許所述角色頒發(fā)實體創(chuàng)建所述角色資源。

較佳地，處理器2201根據重新頒發(fā)的所述角色信息修改所述角色資源中保存的角色信息之前，根據所述發(fā)起方實體對應的資源的訪問控制策略，確定允許所述角色頒發(fā)實體修改所述角色資源。

基于同一發(fā)明構思，本發(fā)明實施例中還提供了一種角色頒發(fā)實體，該角色頒發(fā)實體的具體實施可參見上述方法實施例部分的描述，重復之處不再贅述，如圖23所示，該角色頒發(fā)實體主要包括處理器2301、存儲器2302和收發(fā)機2303，其中，收發(fā)機2303用于在處理器2301的控制下接收和發(fā)送數(shù)據，存儲器2302中保存有預設的程序，處理器2301讀取存儲器2302中保存的程序，按照該程序執(zhí)行以下過程：

生成角色資源創(chuàng)建請求，所述角色資源創(chuàng)建請求中攜帶頒發(fā)給發(fā)起方實體的角色信息，所述角色信息至少包括角色標識；

通過收發(fā)機2303向公共服務實體CSE發(fā)送所述角色資源創(chuàng)建請求，由所述CSE根據所述角色信息在所述發(fā)起方實體對應的資源下創(chuàng)建角色資源，所述角色資源為普通資源且存儲有所述發(fā)起方實體的角色信息。

較佳地，處理器2301通過收發(fā)機2303接收所述CSE返回的角色資源創(chuàng)建響應。

較佳地，處理器2301通過收發(fā)機2303將所述角色資源的地址信息的指示信息發(fā)送給所述發(fā)起方實體，以及將所述角色資源的地址信息的指示信息發(fā)送給所述策略決策點PDP實體和/或策略信息點PIP實體。

較佳地，處理器2301生成角色資源修改請求，所述角色資源修改請求中攜帶重新頒發(fā)給所述發(fā)起方實體的角色信息；通過收發(fā)機2303向所述CSE發(fā)送所述角色資源修改請求。

較佳地，處理器2301通過收發(fā)機2303接收所述CSE返回的角色資源修改響應。

基于同一發(fā)明構思，本發(fā)明實施例中還提供了一種發(fā)起方實體，該發(fā)起方實體的具體實施可參見上述方法實施例部分的描述，重復之處不再贅述，如圖24所示，該發(fā)起方實體主要包括處理器2401、存儲器2402和收發(fā)機2403，其中，收發(fā)機2403用于在處理器2401的控制下接收和發(fā)送數(shù)據，存儲器2402中保存有預設的程序，處理器2401讀取存儲器2402中保存的程序，按照該程序執(zhí)行以下過程：

通過收發(fā)機2403向公共服務實體CSE發(fā)送對發(fā)起方實體對應的資源下的角色資源的資源讀取請求，所述角色資源為普通資源且存儲有所述發(fā)起方實體的角色信息；

通過收發(fā)機2403接收所述CSE返回的資源讀取響應，所述資源讀取響應中攜帶所述角色資源中保存的角色信息，所述角色信息至少包括角色標識。

實施中，所述發(fā)起方實體為應用實體或公共服務實體。

基于同一發(fā)明構思，本發(fā)明實施例中還提供了一種PEP實體，該PEP實體的具體實施可參見上述方法實施例部分的描述，重復之處不再贅述，如圖25所示，該PEP實體主要包括處理器2501、存儲器2502和收發(fā)機2503，其中，收發(fā)機2503用于在處理器2501的控制下接收和發(fā)送數(shù)據，存儲器2502中保存有預設的程序，處理器2501讀取存儲器2502中保存的程序，按照該程序執(zhí)行以下過程：

通過收發(fā)機2503獲取發(fā)起方實體發(fā)送的資源訪問請求，所述資源訪問請求中攜帶所述發(fā)起方實體的角色信息，所述角色信息至少包括角色標識；

根據所述資源訪問請求生成訪問控制決策請求，所述訪問控制決策請求中攜帶所述發(fā)起方實體的角色信息；

通過收發(fā)機2503將所述訪問控制決策請求發(fā)送給策略決策點PDP實體，由所述PDP實體根據所述角色信息查詢所述發(fā)起方實體對應的角色資源獲得查詢結果，并由所述PDP實體根據所述查詢結果以及訪問控制策略確定決策結果，所述角色資源為普通資源且存儲有所述發(fā)起方實體的角色信息；

通過收發(fā)機2503獲取所述PDP實體返回的訪問控制決策應答，所述訪問控制決策應答中攜帶所述決策結果；

根據所述決策結果對所述發(fā)起方實體的資源訪問請求進行訪問控制。

實施中，PEP實體位于資源訪問請求所請求訪問的目標資源所在的CSE中。

基于同一發(fā)明構思，本發(fā)明實施例中還提供了一種PDP實體，該PDP實體的具體實施可參見上述方法實施例部分的描述，重復之處不再贅述，如圖26所示，該PDP實體主要包括處理器2601、存儲器2602和收發(fā)機2603，其中，收發(fā)機2603用于在處理器2601的控制下接收和發(fā)送數(shù)據，存儲器2602中保存有預設的程序，處理器2601讀取存儲器2602中保存的程序，按照該程序執(zhí)行以下過程：

通過收發(fā)機2603接收策略執(zhí)行點PEP實體發(fā)送的訪問控制決策請求，所述訪問控制決策請求中攜帶發(fā)起資源訪問請求的發(fā)起方實體的角色信息，所述角色信息至少包括角色標識；

通過收發(fā)機2603向所述PEP實體返回訪問控制決策應答，所述訪問控制決策應答中攜帶所述決策結果。

較佳地，處理器2601通過收發(fā)機2603向公共服務實體CSE發(fā)送對所述發(fā)起方實體的角色資源的查詢請求，并通過收發(fā)機2603獲得所述CSE返回的查詢結果，所述查詢請求中攜帶所述角色標識；

或者，

通過收發(fā)機2603向策略信息點PIP實體發(fā)送訪問控制屬性請求，所述訪問控制屬性請求中攜帶所述發(fā)起方實體的角色標識，并通過收發(fā)機2603接收所述PIP實體返回的訪問控制屬性響應，所述訪問控制屬性響應中攜帶所述PIP實體根據所述角色標識查詢所述發(fā)起方實體對應的角色資源獲得的查詢結果。

較佳地，處理器2601若確定所述查詢結果中攜帶所述角色資源中保存的角色信息，且根據所述角色信息確定所述角色標識有效，根據所述訪問控制策略以及所述角色標識確定決策結果；

基于同一發(fā)明構思，本發(fā)明實施例中還提供了一種PIP實體，該PIP實體的具體實施可參見上述方法實施例部分的描述，如圖27所示，該PIP實體主要包括處理器2701、存儲器2702和收發(fā)機2703，其中，收發(fā)機2703用于在處理器2701的控制下接收和發(fā)送數(shù)據，存儲器2702中保存有預設的程序，處理器2701讀取存儲器2702中保存的程序，按照該程序執(zhí)行以下過程：

通過收發(fā)機2703接收策略決策點PDP實體發(fā)送的訪問控制屬性請求，所述訪問控制屬性請求中攜帶發(fā)起資源訪問請求的發(fā)起方實體的角色信息，所述角色信息至少包括角色標識；

通過收發(fā)機2703向所述PDP實體返回訪問控制屬性響應，所述訪問控制屬性響應中攜帶所述查詢結果。

其中，圖22至圖27所對應的實施例中，總線架構可以包括任意數(shù)量的互聯(lián)的總線和橋，具體由處理器代表的一個或多個處理器和存儲器代表的存儲器的各種電路鏈接在一起?？偩€架構還可以將諸如外圍設備、穩(wěn)壓器和功率管理電路等之類的各種其他電路鏈接在一起，這些都是本領域所公知的，因此，本文不再對其進行進一步描述。總線接口提供接口。收發(fā)機可以是多個元件，即包括發(fā)送機和收發(fā)機，提供用于在傳輸介質上與各種其他裝置通信的單元。處理器負責管理總線架構和通常的處理，存儲器可以存儲處理器在執(zhí)行操作時所使用的數(shù)據。

本領域內的技術人員應明白，本發(fā)明的實施例可提供為方法、系統(tǒng)、或計算機程序產品。因此，本發(fā)明可采用完全硬件實施例、完全軟件實施例、或結合軟件和硬件方面的實施例的形式。而且，本發(fā)明可采用在一個或多個其中包含有計算機可用程序代碼的計算機可用存儲介質(包括但不限于磁盤存儲器和光學存儲器等)上實施的計算機程序產品的形式。

本發(fā)明是參照根據本發(fā)明實施例的方法、設備(系統(tǒng))、和計算機程序產品的流程圖和/或方框圖來描述的。應理解可由計算機程序指令實現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結合?？商峁┻@些計算機程序指令到通用計算機、專用計算機、嵌入式處理機或其他可編程數(shù)據處理設備的處理器以產生一個機器，使得通過計算機或其他可編程數(shù)據處理設備的處理器執(zhí)行的指令產生用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。

這些計算機程序指令也可存儲在能引導計算機或其他可編程數(shù)據處理設備以特定方式工作的計算機可讀存儲器中，使得存儲在該計算機可讀存儲器中的指令產生包括指令裝置的制造品，該指令裝置實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能。

這些計算機程序指令也可裝載到計算機或其他可編程數(shù)據處理設備上，使得在計算機或其他可編程設備上執(zhí)行一系列操作步驟以產生計算機實現(xiàn)的處理，從而在計算機或其他可編程設備上執(zhí)行的指令提供用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。

顯然，本領域的技術人員可以對本發(fā)明進行各種改動和變型而不脫離本發(fā)明的精神和范圍。這樣，倘若本發(fā)明的這些修改和變型屬于本發(fā)明權利要求及其等同技術的范圍之內，則本發(fā)明也意圖包含這些改動和變型在內。

完整全部詳細技術資料下載

當前第1頁1 2 3