一种访问控制方法和访问令牌颁发方法、设备

本发明涉及通信技术领域，特别涉及一种访问控制方法和访问令牌颁发方 法、设备。

物联网标准化组织oneM2M致力于开发用于构造一个公共的机器对机器 通信(Machine-To-Machine，M2M)服务层(Service Layer)的技术规范。oneM2M 的功能架构如图1所示，定义了三种基本实体：

应用实体(Application Entity，AE)：应用实体位于应用层，该实体可实现 一个M2M应用服务逻辑。

公共服务实体(Common Services Entity，CSE)：一个公共服务实体由一 组M2M环境中的“公共服务功能(common service functions)”构成。

底层网络服务实体(Underlying Network Services Entity，NSE)：一个网络 服务实体向CSEs提供底层网络服务。

oneM2M通过采用对标准的资源树的操作实现服务层资源共享和交互。根 据oneM2M TS-0001中关于功能架构的定义，oneM2M资源树的形式如图2所 示。其中，CSEBase1表示一个CSE根资源，CSE1表示一个远程 CSE资源，APP1表示一个资源，CONT1和CONT2分别代 表一个容器资源，ACP1和ACP2分别代表一个访问控制策略 资源。对于oneM2M资源可进行创建、查询、修改和删 除等操作。oneM2M定义的资源中与授权相关的资源为访问控制策略 资源，其中定义有访问控制策略(Access Control Policy)， 资源由资源身份标识(ID)唯一标识。其他资源通过资 源中的accessControlPolicyIDs属性指定适用的访问控制策略。

oneM2M安全解决方案技术规范(oneM2M TS-0003:Security Solutions) 中给出了如图3所示的授权架构，该架构中各授权实体包括：

策略执行点(Policy Enforcement Point，PEP)实体，与需要访问控制的应 用系统共存，并由应用系统调用。PEP实体根据用户的访问请求生成相应的访 问控制决策请求(简称决策请求)，发送给策略决策点(Policy Decision Point， PDP)实体，并根据PDP实体的访问控制决策响应确定是否执行用户的访问请 求。

策略决策点(Policy Decision Point，PDP)实体，根据访问控制策略评估 是否允许由PEP实体发送来的访问控制决策请求，并将评估结果通过访问控制 决策响应返回给PEP实体。

策略获取点(Policy Retrieval Point，PRP)实体，根据PDP实体提供的访 问控制策略请求(简称策略请求)获取适用的访问控制策略，并将获取的访问 控制策略通过访问控制策略响应返回给PDP实体。

策略信息点(Policy Information Point，PIP)实体，根据PDP实体的访问 控制策略请求获取与用户、资源或环境相关的属性，例如访问用户的互联网协 议(IP)地址、资源的创建者、当前的时间等，然后将获得的各种属性返回给 PDP实体。

oneM2M的基本授权流程如下：

1、PEP实体根据用户的访问请求生成访问控制决策请求(Access Control Decision Request)发送给PDP实体；

2、PDP实体根据PEP实体的访问控制决策请求，向PRP实体发送访问控 制策略请求(Access Control Policy Request)；

3、PRP实体根据访问控制策略请求，获取适用的访问控制策略并返回给 PDP。

4、PDP实体根据PRP实体返回的访问控制策略评估访问控制决策请求， 并将评估结果携带在访问控制决策响应中返回给PEP实体。在评估过程中，若 需要其他属性，则向PIP实体发送访问控制属性请求，否则执行步骤6。

5、PIP实体根据访问控制属性请求，获取与访问控制相关的属性并返回给 PDP实体。

6、PEP实体根据访问控制决策响应，决定是否执行用户的访问请求。

在访问控制过程中，发起方有时会具有特权，如发起方的角信息等，这 样，PDP实体在对发起方的资源访问请求进行评估时，不仅要基于相应的访问 控制策略，还需要考虑该发起方具有的特权。目前oneM2M中如何基于发起方 具有的特权进行访问控制，还没有给出具体的实现方法。

本发明实施例提供了一种访问控制方法和访问令牌颁发方法、设备，用于 解决目前oneM2M中如何基于发起方具有的特权进行访问控制，还没有给出具 体的实现方法的问题。

本发明实施例提供的一种访问令牌颁发方法，包括：

发起方向令牌颁发实体发送访问令牌申请请求，其中，所述访问令牌申请 请求用于请求所述令牌颁发实体为所述发起方在访问控制过程需要使用的特 权颁发访问令牌；

所述发起方接收所述令牌颁发实体返回的访问令牌申请响应，以确定访问 令牌是否颁发成功。

可选的，所述发起方接收所述令牌颁发实体返回的访问令牌申请响应之 后，所述方法还包括：

所述发起方从与所述发起方关联的令牌资源中，获取所述访问令牌或者所 述访问令牌中的特权信息，其中，所述特权信息用于表示发起方在访问控制过 程能够使用的特权。

本发明实施例提供的另一种访问令牌颁发方法，包括：

令牌颁发实体接收发起方发送的访问令牌申请请求，其中，所述访问令牌 申请请求用于请求所述令牌颁发实体为所述发起方在访问控制过程需要使用 的特权颁发访问令牌；

所述令牌颁发实体根据所述访问令牌申请请求，生成访问令牌，并向公共 服务实体CSE发送令牌资源创建请求，以请求所述CSE为所述访问令牌创建 与所述发起方关联的令牌资源；

所述令牌颁发实体接收所述CSE返回的令牌资源创建响应，以确定所述 CSE是否已完成所述令牌资源的创建；

所述令牌颁发实体向所述发起方返回访问令牌申请响应，以通知所述发起 方所述访问令牌是否颁发成功。

可选的，所述令牌颁发实体接收所述发起方发送的访问令牌申请请求之 后，还包括：

所述令牌颁发实体根据本地保存的授权策略，确定是否同意所述发起方发 送的访问令牌申请请求；或者

所述令牌颁发实体通过特权授权功能实体，确定是否同意所述发起方发送 的访问令牌申请请求。

可选的，所述令牌颁发实体接收所述CSE返回的令牌资源创建响应之后， 所述方法还包括：

所述令牌颁发实体向所述CSE发送令牌资源修改请求，其中，所述令牌 资源修改请求中携带所述令牌颁发实体重新为所述发起方颁发的访问令牌；

所述令牌颁发实体接收所述CSE发送的令牌资源修改响应，以确定所述 CSE是否已完成令牌资源的修改。

本发明实施例提供的再一种访问令牌颁发方法，包括：

公共服务实体CSE接收令牌颁发实体发送的令牌资源创建请求，其中， 所述令牌资源创建请求用于请求所述CSE为所述令牌颁发实体颁发的访问令 牌创建令牌资源；

所述CSE根据令牌资源创建请求，创建与发起方关联的令牌资源；

所述CSE向所述令牌颁发实体返回令牌资源创建响应，以通知所述令牌 颁发实体所述CSE是否已完成所述令牌资源的创建。

可选的，所述CSE接收令牌颁发实体发送的令牌资源创建请求之后，所 述CSE创建令牌资源之前，还包括：

所述CSE根据与所述令牌颁发实体关联的访问控制策略，确定所述令牌 颁发实体是否有权创建令牌资源；

所述CSE根据令牌资源创建请求，创建令牌资源，包括：所述CSE在确 定所述令牌颁发实体有权创建令牌资源时，根据令牌资源创建请求，创建所述 令牌资源。

可选的，所述CSE向所述令牌颁发实体返回令牌资源创建响应之后，所 述方法还包括：

所述CSE接收所述令牌颁发实体发送的令牌资源修改请求其中，其中， 所述令牌资源修改请求中携带所述令牌颁发实体重新为所述发起方颁发的访 问令牌；

所述CSE根据所述令牌资源修改请求，对需要修改的令牌资源进行修改；

所述CSE向所述令牌颁发实体发送令牌资源修改响应，以通知所述令牌 颁发实体所述CSE是否已完成令牌资源的修改。

可选的，所述CSE接收所述令牌颁发实体发送的令牌资源创建请求之后， 还包括：所述CSE确定出与所述发起方需要访问的目标资源相关联的访问控 制策略，并根据所述访问控制策略确定所述发起方是否有权创建令牌资源；

所述CSE根据令牌资源创建请求，创建与发起方关联的令牌资源，包括： 所述CSE在确定出所述发起方有权创建令牌资源后，根据令牌资源创建请求， 创建所述发起方关联的令牌资源。

本发明实施例提供的一种访问控制方法，所述方法包括：

策略决策点PDP实体接收策略执行点PEP实体发送的访问控制决策请求；

所述PDP实体根据所述访问控制决策请求携带的发起方的令牌信息，获 取所述令牌信息对应的访问令牌中的特权信息，并根据所述访问控制决策请求 携带的所述发起方需要访问的目标资源，获取所述目标资源相关联的访问控制 策略，其中，所述特权信息用于表示所述发起方在访问控制过程能够使用的特 权；

所述PDP实体根据访问控制策略和所述特权信息，评估所述访问控制决 策请求，并将评估结果携带在访问控制决策响应中返回给所述PEP实体，以使 所述PEP实体根据所述评估结果执行资源访问。

可选的，所述PDP实体根据访问控制策略和所述特权信息，评估所述访 问控制决策请求之前，还包括：所述PDP实体验证所述令牌信息对应的访问 令牌的有效性；

所述PDP实体根据访问控制策略和所述特权信息，评估所述访问控制决 策请求，包括：所述PDP实体在确定所述令牌信息对应的访问令牌有效后， 根据访问控制策略和所述特权信息，评估所述访问控制决策请求。

可选的，所述令牌信息为：访问令牌、或者访问令牌的标识信息。

可选的，若所述令牌信息为所述标识信息，PDP实体接收PEP实体发送的 访问控制决策请求之后，还包括：

所述PDP实体从所述发起方关联的令牌资源中，获取所述访问令牌或所 述特权信息；或者

所述PDP实体通过策略信息点PIP实体，从令牌资源中获取所述访问令牌 或所述特权信息。

本发明实施例提供的另一种访问控制方法，包括：

策略执行点PEP实体向策略决策点PDP实体发送访问控制决策请求，其 中，所述访问控制决策请求是根据发起方的资源访问请求生成的，所述访问控 制决策请求包含所述资源访问请求中携带的发起方的令牌信息；

所述PEP实体接收所述PDP实体返回的访问控制决策响应，并根据所述 访问控制决策响应中携带的评估结果执行资源访问。

本发明实施例提供的一种发起方，包括：

发送模块，用于向令牌颁发实体发送访问令牌申请请求，其中，所述访问 令牌申请请求用于请求所述令牌颁发实体为所述发起方在访问控制过程需要 使用的特权颁发访问令牌；

接收模块，用于接收所述令牌颁发实体返回的访问令牌申请响应，以确定 访问令牌是否颁发成功。

可选的，所述发起方还包括：令牌获取模块，用于从与所述发起方关联的 令牌资源中，获取所述访问令牌或者所述访问令牌中的特权信息，其中，所述 特权信息用于表示发起方在访问控制过程能够使用的特权。

本发明实施例提供的一种令牌颁发实体，所述令牌颁发实体包括：

第一接收模块，用于接收发起方发送的访问令牌申请请求，其中，所述访 问令牌申请请求用于请求所述令牌颁发实体为所述发起方在访问控制过程需 要使用的特权颁发访问令牌；

令牌颁发模块，用于根据所述访问令牌申请请求，生成访问令牌；

第一发送模块，用于向公共服务实体CSE发送令牌资源创建请求，以请 求所述CSE为所述访问令牌创建与所述发起方关联的令牌资源；

第二接收模块，用于接收所述CSE返回的令牌资源创建响应，以确定所 述CSE是否已完成所述令牌资源的创建；

第二发送模块，用于向所述发起方返回访问令牌申请响应，以通知所述发 起方所述访问令牌是否颁发成功。

可选的，所述令牌颁发模块还用于：根据本地保存的授权策略，确定是否 同意所述发起方发送的访问令牌申请请求；或者通过特权授权功能实体，确定 是否同意所述发起方发送的访问令牌申请请求。

可选的，所述第一发送模块还用于：向所述CSE发送令牌资源修改请求， 其中，所述令牌资源修改请求中携带所述令牌颁发实体重新为所述发起方颁发 的访问令牌；

所述第二接收模块还用于：接收所述CSE发送的令牌资源修改响应，以 确定所述CSE是否已完成令牌资源的修改。

本发明实施例提供的一种公共服务实体CSE，包括：

接收模块，用于接收令牌颁发实体发送的令牌资源创建请求，其中，所述 令牌资源创建请求用于请求所述CSE为所述令牌颁发实体颁发的访问令牌创 建令牌资源；

资源创建模块，用于根据令牌资源创建请求，创建与发起方关联的令牌资 源；

发送模块，用于向所述令牌颁发实体返回令牌资源创建响应，以通知所述 令牌颁发实体所述CSE是否已完成所述令牌资源的创建。

可选的，所述资源创建模块具体用于：根据与所述令牌颁发实体关联的访 问控制策略，确定所述令牌颁发实体是否有权创建令牌资源；在确定所述令牌 颁发实体有权创建令牌资源时，根据令牌资源创建请求，创建所述令牌资源。

可选的，所述接收模块还用于：接收所述令牌颁发实体发送的令牌资源修 改请求其中，其中，所述令牌资源修改请求中携带所述令牌颁发实体重新为所 述发起方颁发的访问令牌；

所述资源创建模块还用于：根据所述令牌资源修改请求，对需要修改的令 牌资源进行修改；

所述发送模块还用于：向所述令牌颁发实体发送令牌资源修改响应，以通 知所述令牌颁发实体所述CSE是否已完成令牌资源的修改。

可选的，所述资源创建模块具体用于：确定出与所述发起方需要访问的目 标资源相关联的访问控制策略，并根据所述访问控制策略确定所述发起方是否 有权创建令牌资源；在确定出所述发起方有权创建令牌资源后，根据令牌资源 创建请求，创建所述发起方关联的令牌资源。

本发明实施例提供的一种策略决策点PDP实体，包括：

接收模块，用于接收策略执行点PEP实体发送的访问控制决策请求；

获取模块，用于根据所述访问控制决策请求携带的发起方的令牌信息，获 取所述令牌信息对应的访问令牌中的特权信息，并根据所述访问控制决策请求 携带的所述发起方需要访问的目标资源，获取所述目标资源相关联的访问控制 策略，其中，所述特权信息用于表示所述发起方在访问控制过程能够使用的特 权；

评估模块，用于根据访问控制策略和所述特权信息，评估所述访问控制决 策请求，并将评估结果携带在访问控制决策响应中返回给所述PEP实体，以使 所述PEP实体根据所述评估结果执行资源访问。

可选的，所述评估模块具体用于：验证所述令牌信息对应的访问令牌的有 效性；在确定所述令牌信息对应的访问令牌有效后，根据访问控制策略和所述 特权信息，评估所述访问控制决策请求。

可选的，若所述令牌信息为所述标识信息，所述获取模块还用于：从所述 发起方关联的令牌资源中，获取所述访问令牌或所述特权信息；或者通过策略 信息点PIP实体，从令牌资源中获取所述访问令牌或所述特权信息。

本发明实施例提供的一种策略执行点PEP实体，包括：

发送模块，用于向策略决策点PDP实体发送访问控制决策请求，其中， 所述访问控制决策请求是根据发起方的资源访问请求生成的，所述访问控制决 策请求包含所述资源访问请求中携带的发起方的令牌信息；

接收模块，用于接收所述PDP实体返回的访问控制决策响应；

访问控制模块，用于根据所述访问控制决策响应中携带的评估结果，执行 资源访问。

本发明实施例提供的另一种发起方包括处理器、输入接口、输出接口、存 储器和系统总线；其中：

所述输出接口在所述处理器的控制下，向令牌颁发实体发送访问令牌申请 请求，其中，所述访问令牌申请请求用于请求所述令牌颁发实体为所述发起方 在访问控制过程需要使用的特权颁发访问令牌；

所述输入接口在所述处理器的控制下，接收所述令牌颁发实体返回的访问 令牌申请响应，以确定访问令牌是否颁发成功。

可选的，所述处理器读取存储器中的程序，用于执行：从与所述发起方关 联的令牌资源中，获取所述访问令牌或者所述访问令牌中的特权信息，其中， 所述特权信息用于表示发起方在访问控制过程能够使用的特权。

本发明实施例提供的另一种令牌颁发实体包括：处理器、输入接口、输出 接口、存储器和系统总线；其中：

所述输入接口在处理器的控制下，接收发起方发送的访问令牌申请请求， 其中，所述访问令牌申请请求用于请求所述令牌颁发实体为所述发起方在访问 控制过程需要使用的特权颁发访问令牌；

所述处理器读取存储器中的程序，用于执行：根据所述访问令牌申请请求， 生成访问令牌；并控制所述输出接口向公共服务实体CSE发送令牌资源创建 请求，以请求所述CSE为所述访问令牌创建与所述发起方关联的令牌资源；

所述输入接口在所述处理器的控制下，接收所述CSE返回的令牌资源创 建响应，以确定所述CSE是否已完成所述令牌资源的创建；

所述输出接口在所述处理器的控制下，向所述发起方返回访问令牌申请响 应，以通知所述发起方所述访问令牌是否颁发成功。

可选的，所述处理器还执行：根据本地保存的授权策略，确定是否同意所 述发起方发送的访问令牌申请请求；或者通过特权授权功能实体，确定是否同 意所述发起方发送的访问令牌申请请求。

可选的，所述输出接口在所述处理器的控制下，还向所述CSE发送令牌 资源修改请求，其中，所述令牌资源修改请求中携带所述令牌颁发实体重新为 所述发起方颁发的访问令牌；

所述输入接口在所述处理器的控制下，还接收所述CSE发送的令牌资源 修改响应，以确定所述CSE是否已完成令牌资源的修改。

本发明实施例提供的另一种CSE，包括：处理器、输入接口、输出接口、 存储器和系统总线；其中：

所述输入接口在处理器的控制下，接收令牌颁发实体发送的令牌资源创建 请求，其中，所述令牌资源创建请求用于请求所述CSE为所述令牌颁发实体 颁发的访问令牌创建令牌资源；

所述处理器读取存储器中的程序，用于执行：根据令牌资源创建请求，创 建与发起方关联的令牌资源；并控制所述输出接口向所述令牌颁发实体返回令 牌资源创建响应，以通知所述令牌颁发实体所述CSE是否已完成所述令牌资 源的创建。

可选的，所述处理器具体执行：根据与所述令牌颁发实体关联的访问控制 策略，确定所述令牌颁发实体是否有权创建令牌资源；在确定所述令牌颁发实 体有权创建令牌资源时，根据令牌资源创建请求，创建所述令牌资源。

可选的，所述输入接口在处理器的控制下，还接收所述令牌颁发实体发送 的令牌资源修改请求其中，其中，所述令牌资源修改请求中携带所述令牌颁发 实体重新为所述发起方颁发的访问令牌；

所述处理器还执行：根据所述令牌资源修改请求，对需要修改的令牌资源 进行修改；并控制所述输出接口向所述令牌颁发实体发送令牌资源修改响应， 以通知所述令牌颁发实体所述CSE是否已完成令牌资源的修改。

可选的，所述处理器具体执行：确定出与所述发起方需要访问的目标资源 相关联的访问控制策略，并根据所述访问控制策略确定所述发起方是否有权创 建令牌资源；在确定出所述发起方有权创建令牌资源后，根据令牌资源创建请 求，创建所述发起方关联的令牌资源。

本发明实施例提供另一种PDP实体，包括：处理器、输入接口、输出接 口、存储器和系统总线；其中：

所述输入接口在处理器的控制下，接收策略执行点PEP实体发送的访问控 制决策请求；

所述处理器读取存储器中的程序，用于执行：根据所述访问控制决策请求 携带的发起方的令牌信息，获取所述令牌信息对应的访问令牌中的特权信息， 并根据所述访问控制决策请求携带的所述发起方需要访问的目标资源，获取所 述目标资源相关联的访问控制策略，其中，所述特权信息用于表示所述发起方 在访问控制过程能够使用的特权；根据访问控制策略和所述特权信息，评估所 述访问控制决策请求，并将评估结果携带在访问控制决策响应中，通过所述输 出接口返回给所述PEP实体，以使所述PEP实体根据所述评估结果执行资源 访问。

可选的，所述处理器具体执行：验证所述令牌信息对应的访问令牌的有效 性；在确定所述令牌信息对应的访问令牌有效后，根据访问控制策略和所述特 权信息，评估所述访问控制决策请求。

可选的，若所述令牌信息为所述标识信息，所述处理器还执行：从所述发 起方关联的令牌资源中，获取所述访问令牌或所述特权信息；或者通过策略信 息点PIP实体，从令牌资源中获取所述访问令牌或所述特权信息。

本发明实施例提供另一种PEP实体，包括：处理器、输入接口、输出接口、 存储器和系统总线；其中：

所述输出接口在处理器的控制下，向PDP实体发送访问控制决策请求， 其中，所述访问控制决策请求是根据发起方的资源访问请求生成的，所述访问 控制决策请求包含所述资源访问请求中携带的发起方的令牌信息；

所述输入接口在处理器的控制下，接收所述PDP实体返回的访问控制决 策响应；

所述处理器读取存储器中的程序，用于执行：根据所述访问控制决策响应 中携带的评估结果，执行资源访问。

基于上述任一实施例，本发明实施例中，所述令牌资源具有：

令牌标识属性，用于存储访问令牌的标识信息；

令牌颁发者属性，用于存储访问令牌颁发者的标识信息；

起始时间属性，用于存储访问令牌的有效期的起始时间；

结束时间属性，用于存储访问令牌的有效期的结束时间；

令牌值属性，用于存储访问令牌或访问令牌中的特权信息。

可选的，所述令牌资源还具有以下至少一个属性：

令牌类型属性，用于存储访问令牌的类型信息；

令牌名字属性，用于存储访问令牌的可阅读名字；

应用类别属性，用于存储访问令牌适用的应用类别。

可选的，所述令牌资源为所述发起方的注册资源的子资源。

基于上述任一实施例，本发明实施例中，所述访问令牌包括以下内容：

所述访问令牌的标识信息、所述访问令牌颁发者的标识信息、所述访问令 牌所有者的标识信息、所述访问令牌的有效期的起始时间、所述访问令牌的有 效期的结束时间、以及所述特权信息。

可选的，所述访问令牌还包括以下至少一项内容：

所述访问令牌的类型信息、所述访问令牌的可阅读名字、所述访问令牌适 用的应用类别、以及应用系统定义的所述访问令牌的内容。

本发明实施例提供的令牌颁发方法和设备中，发起方向令牌颁发实体发送 访问令牌申请请求，以请求令牌颁发实体为所述发起方在访问控制过程需要使 用的特权颁发访问令牌；令牌颁发实体根据所述访问令牌申请请求，生成访问 令牌，并向公共服务实体CSE发送令牌资源创建请求，以请求所述CSE为所 述访问令牌创建与所述发起方关联的令牌资源；CSE根据令牌资源创建请求， 创建与发起方关联的令牌资源，从而已完成访问令牌的颁发过程，实现了访问 令牌的动态颁发，以使PDP实体能够基于访问控制策略和访问令牌，对发起 方的资源访问请求进行评估，以确定是否允许发起方对目标资源的访问。

本发明实施例提供的访问控制方法和设备中，PDP实体接收到PEP实体发 送的访问控制决策请求后，根据所述令牌信息，获取所述令牌信息对应的访问 令牌中的特权信息，并根据所述访问控制决策请求携带的所述发起方需要访问 的目标资源，获取所述目标资源相关联的访问控制策略；PDP实体根据访问控 制策略和所述特权信息，评估所述访问控制决策请求，并将评估结果携带在访 问控制决策响应中返回给所述PEP实体，以使所述PEP实体根据所述评估结 果执行资源访问。由于PDP实体基于访问控制策略和特权信息，对访问控制 决策请求进行评估，以确定是否允许发起方对目标资源的访问，从而实现了基 于访问令牌的访问控制过程。

图1为oneM2M的功能架构的示意图；

图2为oneM2M资源树的结构示意图；

图3为oneM2M的授权架构的示意图；

图4为本发明实施例中的访问令牌的结构示意图；

图5为本发明实施例中的令牌资源的结构示意图；

图6为本发明实施例中的资源的结构示意图；

图7为本发明实施例中一种访问令牌颁发方法的流程示意图；

图8为本发明实施例中另一种访问令牌颁发方法的流程示意图；

图9为本发明实施例中再一种访问令牌颁发方法的流程示意图；

图10为本发明实施例中一种访问控制方法的流程示意图；

图11为本发明实施例中另一种访问控制方法的流程示意图；

图12为本发明实施例中各实体之间的连接关系示意图；

图13为本发明实施例中各实体之间的交互过程的示意图；

图14为本发明实施例中的实施例一中各实体之间的连接关系示意图；

图15为本发明实施例中的实施例一中的资源树的示意图；

图16为本发明实施例中的实施例一中访问令牌的颁发和使用过程的示意 图；

图17为本发明实施例中的一种发起方的示意图；

图18为本发明实施例中的一种令牌颁发实体的示意图；

图19为本发明实施例中的一种CSE的示意图；

图20为本发明实施例中的一种PDP实体的示意图；

图21为本发明实施例中的一种PEP实体的示意图；

图22为本发明实施例中的另一种发起方的示意图；

图23为本发明实施例中的另一种令牌颁发实体的示意图；

图24为本发明实施例中的另一种CSE的示意图；

图25为本发明实施例中的另一种PDP实体的示意图；

图26为本发明实施例中的另一种PEP实体的示意图。

本发明实施例中，通过定义访问令牌，以使在访问控制过程中，PDP实体 基于访问控制策略和访问令牌，对发起方的资源访问请求进行评估，以确定是 否允许发起方对目标资源的访问，实现了动态授权访问令牌，也实现了基于访 问令牌的访问控制方案。

首先对本发明实施例中涉及到的访问令牌和令牌资源进行说明。

一、访问令牌，即与访问控制相关的令牌，该访问令牌的结构以及内部存 储的信息如图4所示，访问令牌内存储的主要信息包括：

令牌标识(tokenID)，即访问令牌的标识信息，用于唯一标识该访问令牌；

所有者标识(holderID)，即访问令牌所有者的标识信息；

颁发者(issuer)，即访问令牌颁发者的标识信息；

起始时间(startTime)，即访问令牌的有效期的起始时间；

结束时间(expiryTime)，即访问令牌的有效期的结束时间；以及

特权(privileges)，用于表示发起方在访问控制过程能够使用的特权信息， 例如角列表，访问控制列表等。其中，发起方为发起资源访问的实体，发起 方可以为AE或CSE等实体。

可选的，访问令牌内还存储如下信息中的至少一种：

令牌类型(tokenType)，即访问令牌的类型信息，该信息根据应用系统设 计的令牌种类，例如携带角的角令牌、携带针对某个发起方所拥有的特权 的令牌、oneM2M服务提供商(M2M Service Provider)定义的服务签约角 (Service Subscription Role)令牌、由oneM2M应用服务提供商(M2M Application Service Provider)定义的与某具体应用相关的应用令牌等。

令牌可阅读名字(tokenName)，即该访问令牌的可阅读名字；

访问令牌适用的应用类别(appCategory)，即该访问令牌适用的应用类别， 可以是该访问令牌适用的应用类别，例如设备管理应用，智能家居应用，智能 交通应用等。发起方可根据该内容，选择与当前资源访问所属的应用类别匹配 的访问令牌，以用于对目标资源的访问控制过程；

扩展(extensions)，即应用系统自定义的该访问令牌的内容，应用系统可 根据实际需要自行定义的令牌内容。

二、令牌资源，本发明实施例定义了新的oneM2M资源——令牌资源(即 资源)，用以在CSE资源树中存储用于访问控制的访问令牌(或该访问 令牌中的用于表示发起方在访问控制过程能够使用的特权的特权信息)，以及 及其相关的描述信息，并重新定义了资源，占用和 资源等三个资源，以便它们能够使用新定义的资源存储颁发给它 们的访问令牌。

新定义的资源的基本结构如图5所示，其资源类型为oneM2M普 通资源(Normal Resource)。资源除了包含oneM2M普通资源所共有的 通用属性(Universal Attribute)外，还包含有公共属性(Common Attribute)有 效时间(expirationTime)和子资源资源(也称为签约资源)。每 个资源实例用于描述一个访问令牌，以方便资源管理和令牌使用。 资源新定义的资源具有如下属性：

令牌标识(tokenID)属性，用于存储访问令牌的标识信息，该标识信息用 于唯一标识一个访问令牌；

颁发者(issuer)属性，用于存储访问令牌的颁发者的标识信息；

起始时间(startTime)属性，用于存储访问令牌的有效起始时间；

结束时间(expiryTime)属性，用于存储访问令牌的有效结束时间；

令牌值(tokenValue)属性：用于存储访问令牌或访问令牌中的特权信息。

可选的，令牌资源还具有以下至少一个属性：

令牌类型(tokenType)属性，用于存储访问令牌的类型信息，该信息根据 应用系统设计的令牌种类，例如携带角的角令牌、携带针对某个发起方所 拥有的特权的令牌、oneM2M服务提供商定义的服务签约角令牌、由oneM2M 应用服务提供商定义的与某具体应用相关的应用令牌等；

令牌名字(tokenName)属性，用于存储访问令牌的可阅读名字；

应用类别(appCategory)属性，用于存储访问令牌适用的应用类别，例如 设备管理应用，智能家居应用，智能交通应用等。可选的，发起方可根据该内 容确定应该选用相应的令牌用于具体的资源访问。

举例说明，重新定义的资源的结构如图6所示，只是增加了 资源作为其子资源，资源下子资源的数量可以为0或n个(n为 大于或等于1的整数)，用于表示那些特权privileges已经赋给了该AE。

资源和资源的重定义情况与的重定义 类似，也即仅是在他们的资源树下增加了资源作为其子资源，且子资 源的数量可以为0或n个(n为大于或等于1的整数)。

本发明实施例中，令牌资源是与发起方相关联的资源，可以创建在CSE 中发起方的注册资源中，作为该发起方的注册资源的子资源；也可以创建在 CSE中的发起方的非注册资源，作为该发起方的非注册资源的子资源。

需要说明的是，若令牌资源创建在发起方的非注册资源中，创建该令牌资 源的CSE或令牌颁发实体还需要执行：

将该令牌资源的创建地址通知给发起方，以使发起方能够根据创建地址， 读取到该令牌资源中的访问令牌和/或该访问令牌的相关的信息；以及

将该令牌资源的创建地址通知给PDP实体或PIP实体，以使PDP实体或 PIP实体能够根据创建地址，读取到该令牌资源中的访问令牌和/或该访问令牌 的相关的信息。

下面结合说明书附图对本发明实施例作进一步详细描述。应当理解，此处 所描述的实施例仅用于说明和解释本发明，并不用于限定本发明。

本发明实施例提供的一种发起方侧的访问令牌颁发方法，如图7所示，所 述方法包括：

S71、发起方向令牌颁发实体发送访问令牌申请请求，其中，所述访问令 牌申请请求用于请求令牌颁发实体为发起方在访问控制过程需要使用的特权 颁发访问令牌；

其中，令牌颁发实体为发起方所颁发的访问令牌用于该发起方的访问控制 过程中。

本发明实施例中，令牌颁发(Token Authority)实体负责向发起方(AE或 CSE等)颁发访问令牌。

S72、发起方接收令牌颁发实体返回的访问令牌申请响应，以确定访问令 牌是否颁发成功。

本发明实施例中，发起方向令牌颁发实体发送访问令牌申请请求，以请求 令牌颁发实体为所述发起方在访问控制过程需要使用的特权颁发访问令牌，实 现了访问令牌的动态颁发，以使PDP实体能够基于访问控制策略和访问令牌， 对发起方的资源访问请求进行评估，以确定是否允许发起方对目标资源的访 问。

本发明实施例中，在访问令牌成功颁发之后，所述发起方还可以从与该发 起方关联的令牌资源中，获取所述访问令牌、或者所述访问令牌中的特权信息， 以及所述访问令牌的相关信息(如有效起始时间等)。

基于同一发明构思，本发明实施例提供了一种令牌颁发实体侧的访问令牌 颁发方法，与发起方侧相同的部分，具体参见如7所示实施例中的相关描述， 此处不再赘述。如图8所示，该方法包括：

S81、令牌颁发实体接收发起方发送的访问令牌申请请求，其中，所述访 问令牌申请请求用于请求令牌颁发实体为发起方在访问控制过程需要使用的 特权颁发访问令牌。

S82、令牌颁发实体根据所述访问令牌申请请求，生成访问令牌，并向CSE 发送令牌资源创建请求，以请求CSE为所述访问令牌创建与发起方关联的令 牌资源。

本发明实施例中所涉及的CSE为任意一个保存有发起方相关联的资源且 能够在该发起方的资源下创建令牌资源的CSE。举例说明，令牌颁发实体可以 向注册响应CSE(Registrar CSE)发起令牌资源创建请求，以请求注册响应CSE 在该发起方的注册资源下创建令牌资源。

S83、令牌颁发实体接收CSE返回的令牌资源创建响应，以确定CSE是否 已完成所述令牌资源的创建。

S84、令牌颁发实体向发起方返回访问令牌申请响应，以通知发起方所述 访问令牌是否颁发成功。

本发明实施例中，令牌颁发实体在接收到发起方发送的访问令牌申请请求 后，生成访问令牌，并请求CSE为所述访问令牌创建与发起方关联的令牌资 源，实现了访问令牌的动态颁发，以使PDP实体能够基于访问控制策略和访 问令牌，对发起方的资源访问请求进行评估，以确定是否允许发起方对目标资 源的访问。

可选的，令牌颁发实体接收发起方发送的访问令牌申请请求之后，还包括：

令牌颁发实体根据本地保存的授权策略，确定是否同意发起方发送的访问 令牌申请请求；或者

令牌颁发实体通过特权授权功能实体，确定是否同意发起方发送的访问令 牌申请请求。

其中，特权授权功能(Privilege Authorization Function)可提供确认是否同 意发起方所申请的用于访问控制的特权的能力，实现该能力的具体方式可由应 用系统确定，例如仅提供相关的授权策略，然后由令牌颁发实体执行具体的特 权授权检查，或者根据授权策略评估发起方的访问令牌申请请求，然后将评估 结果返回给令牌颁发实体，或者是一个有人参加的评估过程等。

基于上述任一实施例，令牌颁发实体接收CSE返回的令牌资源创建响应 之后，该方法还包括：

令牌颁发实体向CSE发送令牌资源修改请求，其中，令牌资源修改请求 中携带令牌颁发实体重新为发起方颁发的访问令牌；

令牌颁发实体接收CSE发送的令牌资源修改响应，以确定CSE是否已完 成令牌资源的修改。

基于同一发明构思，本发明实施例提供了一种CSE侧的访问令牌颁发方 法，与令牌颁发实体侧相同的部分，具体参见如8所示实施例中的相关描述， 此处不再赘述。如图9所示，该方法包括：

S91、CSE接收令牌颁发实体发送的令牌资源创建请求，其中，所述令牌 资源创建请求用于请求CSE为令牌颁发实体颁发的访问令牌创建令牌资源；

S92、CSE根据令牌资源创建请求，创建与发起方关联的令牌资源；

S93、CSE向令牌颁发实体返回令牌资源创建响应，以通知令牌颁发实体 CSE是否已完成所述令牌资源的创建。

本发明实施例中，CSE在接收到令牌颁发实体发送的令牌资源创建请求 后，为令牌颁发实体颁发的访问令牌创建与发起方关联的令牌资源，实现了访 问令牌的动态颁发，以使PDP实体能够基于访问控制策略和访问令牌，对发 起方的资源访问请求进行评估，以确定是否允许发起方对目标资源的访问。

本发明实施例中，令牌资源创建请求中携带创建令牌资源所需的信息，具 体包括：访问令牌的标识信息、访问令牌颁发者的标识信息、访问令牌所有者 的标识信息、访问令牌的有效期的起始时间、访问令牌的有效期的结束时间、 以及特权信息。

可选的，令牌资源创建请求中还携带以下至少一种信息：访问令牌的类型 信息、访问令牌的可阅读名字、访问令牌适用的应用类别、以及应用系统定义 的访问令牌的内容。

基于上述任一实施例，本发明实施例中，S91中CSE接收令牌颁发实体发 送的令牌资源创建请求之后，还包括：

CSE确定出与发起方需要访问的目标资源相关联的访问控制策略，并根据 确定出的访问控制策略确定发起方是否有权创建令牌资源。

相应的，S92具体包括：CSE在确定出发起方有权创建令牌资源后，根据 令牌资源创建请求中携带的创建令牌资源所需的信息，创建与发起方关联的令 牌资源。

本发明实施例中，在访问令牌颁发之后，可将所颁发的访问令牌用于发起 方对目标资源的访问控制过程中，下面对本发明实施例提供的基于访问令牌的 访问控制过程进行说明。

基于同一发明构思，本发明实施例提供的一种PDP实体侧的访问控制方 法，如图10所示，所述方法包括：

S101、PDP实体接收PEP实体发送的访问控制决策请求；

S102、PDP实体根据访问控制决策请求携带的发起方的令牌信息，获取该 令牌信息对应的访问令牌中的特权信息，并根据访问控制决策请求携带的所述 发起方需要访问的目标资源，获取目标资源相关联的访问控制策略，其中，特 权信息用于表示发起方在访问控制过程能够使用的特权；

S103、PDP实体根据访问控制策略和所述特权信息，评估访问控制决策请 求，并将评估结果携带访问控制决策响应中返回给PEP实体，以使PEP实体 根据所述评估结果执行资源访问。

本发明实施例中，PDP实体接收PEP实体发送的访问控制决策请求后，根 据访问控制决策请求携带的令牌信息获取该令牌信息对应的访问令牌中的特 权信息，根据访问控制决策请求携带的发起方需要访问的目标资源获取目标资 源相关联的访问控制策略，之后根据访问控制策略和特权信息，对访问控制决 策请求进行评估，以确定是否允许发起方对目标资源的访问，从而实现了基于 访问令牌的访问控制过程。

可选的，PDP实体根据访问控制策略和所述特权信息，评估所述访问控制 决策请求之前，还包括：PDP实体验证所述令牌信息对应的访问令牌的有效性；

PDP实体根据访问控制策略和所述特权信息，评估所述访问控制决策请 求，包括：PDP实体在确定所述令牌信息对应的访问令牌有效后，根据访问控 制策略和所述特权信息，评估所述访问控制决策请求。

在实施中，PDP实体验证访问令牌的有效性包括：该访问令牌是否是由合 法的令牌颁发实体颁发的，该访问令牌是否仍在有效期内，该访问令牌的所有 者标识是否与资源访问请求中的发起方标识相同，该访问令牌中携带的特权是 否适用于所访问的目标资源等。若通过这些验证，则根据访问控制策略和所述 特权信息评估所述访问控制决策请求。

本发明实施例中，访问控制决策请求携带的令牌信息可以为访问令牌本 身，还可以是访问令牌的标识信息。

可选的，若令牌信息为访问令牌的标识信息，PDP实体接收PEP实体发送 的访问控制决策请求之后，还包括：

PDP实体从发起方关联的令牌资源中，获取访问令牌或特权信息；或者

PDP实体通过PIP实体，从令牌资源中获取访问令牌或特权信息。

具体的，若令牌信息为访问令牌的标识信息，则PDP实体可以直接利用 该标识信息从发起方相关联的资源中的资源中获取令牌值 (tokenValue)属性中的访问令牌或特权信息。PDP实体也可以通过PIP实体 获取令牌值(tokenValue)中的访问令牌或特权信息，即由PIP实体查询发起 方相关联的资源中的资源，并从资源的tokenValue属性中获取 所需的访问令牌或特权信息，然后由PIP实体将获取到的访问令牌或特权信息 发送给PDP实体。

基于同一发明构思，本发明实施例提供的一种PEP实体侧的访问控制方 法，与PDP实体侧相同的部分具体参见图10所示实施例中的相关描述，此处 不再赘述，如图11所示，所述方法包括：

S111、PEP实体向PDP实体发送访问控制决策请求，其中，所述访问控制 决策请求是根据发起方的资源访问请求生成的，所述访问控制决策请求包含所 述资源访问请求中携带的发起方的令牌信息；

S112、PEP实体接收PDP实体返回的访问控制决策响应，并根据访问控 制决策响应中携带的评估结果执行资源访问，其中，评估结果是PDP实体基 于发起方需要访问的目标资源相关联的访问控制策略和令牌信息对应的访问 令牌中的特权信息得到的。

本发明实施例中，PEP实体向PDP实体发送访问控制决策请求时，携带发 起方的令牌信息，以使PDP实体根据访问控制决策请求携带的令牌信息获取 该令牌信息对应的访问令牌中的特权信息，根据访问控制决策请求携带的发起 方需要访问的目标资源获取目标资源相关联的访问控制策略，之后根据访问控 制策略和特权信息，对PEP实体的访问控制决策请求进行评估，以确定是否允 许发起方对目标资源的访问，从而实现了基于访问令牌的访问控制过程。

下面从各实体之间的交互过程，对本发明实施例提供的访问令牌的颁发方 法和访问控制方法进行详细说明。各实体之间的连接关系如图12所示，其交 互过程如图13所示，包括：

步骤1：作为访问控制发起方(Originator)的AE或CSE向令牌颁发实体 发送访问令牌申请请求，其中，该请求中包含有令牌特权的描述信息，例如发 起方想要进行的资源访问或期望申请的角等。

步骤2：若令牌颁发实体不能根据本地授权策略确定是否同意发起方的访 问令牌申请，则需要向某个外部特权授权功能(Privilege Authorization Function) 实体进行查询，以确定发起方是否可以拥有其所申请的特权。

步骤3：特权授权功能实体返回令牌颁发实体所需的授权策略或授权决策。

步骤4：若同意发起方的令牌申请，则令牌颁发实体颁发相应的访问令牌， 其中包含有tokenID，holderID，issuer，startTime，expiryTime，tokenType， tokenName，appCategory，privileges等令牌属性信息。

步骤5：令牌颁发实体向注册响应CSE(Registrar CSE)发送令牌资源创 建请求，以请求Registrar CSE在发起方(Originator)的注册资源中创建令牌 资源，该请求中包含有创建资源所需的tokenID，holderID，issuer， startTime，expiryTime，tokenType，tokenName，appCategory和accessToken等 属性的值。

其中，Registrar CSE，即注册响应CSE，发起方(Originator)注册至该 CSE，也即Originator的注册资源创建于该CSE中。在Registrar CSE中，AE 的注册资源为资源，CSE的注册资源为资源，基础设施节点 CSE(IN-CSE)的令牌资源存储在其资源下。

步骤6：Registrar CSE接收到令牌颁发实体发送的令牌资源创建请求后做 如下处理：

检查与目标AE/CSE资源相关联的访问控制策略，确定Originator是否有 权创建资源。若允许，则根据令牌资源创建请求所提供的属性值创建 所请求的资源。

步骤7：Registrar CSE将操作结果发送给令牌颁发实体。

步骤8：令牌颁发实体将访问令牌的颁发结果发送给Originator。

步骤9：Originator(AE/CSE)向Registrar CSE中其注册资源发送 资源读取请求，以便获取已颁发给该Originator的令牌信息。

步骤10：Registrar CSE将Originator所拥有的令牌以令牌信息列表的方式 发送给Originator。

步骤11：Originator利用当前资源访问所属的应用类别与令牌的应用类别 进行比较，选择适用的访问令牌，然后向Hosting CSE中的目标资源发送资源 操作请求，并将所选择的访问令牌的令牌信息附着在该请求中。

其中，Hosting CSE，即宿主CSE，Originator想要访问的目标资源存在该 Hosting CSE的资源树中。在实际应用中Registrar CSE和Hosting CSE既可以 为同一个CSE，也可以是不同的CSE。

步骤12：Hosting CSE中的PEP实体根据Originator发送的资源访问请求 生成访问控制决策请求，其中包含有Originator提供的令牌信息，然后将该请 求发送给PDP实体。

步骤13：若发起方提供了访问令牌本身，则直接执行步骤15；若发起方 仅提供了令牌标识(tokenID)，则PDP实体需要利用令牌标识从Originator的 注册资源中的资源中获取访问令牌(tokenValue)。

具体的，该访问令牌获取过程既可以通过PIP实体，然后由PIP实体查询 该Originator的注册资源中的资源，获取所需的访问令牌，并反馈给 PDP实体，也可以由PDP实体直接进行相关的操作。

步骤14：Registrar CSE将查询到的访问令牌发送给PIP实体，然后由PIP 实体发送给PDP实体，或者直接发送给PDP实体。

步骤15：PDP实体验证访问令牌的有效性，包括：访问令牌是否是由合 法的令牌颁发机构实体的，是否仍在有效期内，令牌所有者标识是否与资源访 问请求中的发起方标识相同，访问令牌中携带的特权是否适用于所访问的资源 等。若通过这些检查，则进下一步。

步骤16：利用访问控制策略和发起方的特权信息评估PEP实体发送的访 问控制决策请求。

步骤17：PDP实体将评估结果通过访问控制决策响应发送PEP实体。

步骤18：PEP实体接收到访问控制决策响应后，检查发起方的资源访问请 求是否被允许，若允许，则执行发起方的资源访问请求。

步骤19：PEP实体将执行结果发送给Originator。

下面通过一个具体实施例，从各实体的交互过程，对本发明实施例提供的 访问令牌的颁发方法和访问控制方法进行详细说明。

实施例一、本实施例描述的是oneM2M应用服务提供商(oneM2M Application Service Provider)通过oneM2M服务商(oneM2M Service Provider) 提供的平台读取存储在家庭网关(Home Gateway)中的数据。本实施例采用了 基于访问令牌的访问控制机制，访问令牌中存储的特权信息为有访问目标资源 所需的角。参与本实施例的各实体之间的连接关系如图14所示，其中：

CSE1为oneM2M服务提供商基础设施节点(Infrastructure Node)中的CSE (IN-CSE)；CSE2为一个oneM2M应用服务节点(Application Service Node) 中的CSE(ASN-CSE)，令牌颁发实体可通过CSE2向AE或CSE颁发访问令 牌，且CSE2具有在CSE1中创建资源的特权；CSE3为存在于一个家 庭网关(Home Gateway)中的oneM2M应用服务节点中的CSE(ASN-CSE)。 其中存储有智能电表数据(Smart Meter Data)，读取Smart Meter Data需要具 有数据采集角(Data Collection Role)，该角的标识为roleID＝ROLE1234； 该应用类别为12，也即appCategory＝12；AE1为注册至CSE1的AE，oneM2M 应用服务提供商可通过AE1访问CSE3中的资源。

CSE1中与本实施例相关的资源树如图15所示，包括：资源， CSE1资源树的根节点；资源，AE1成功注册至CSE1后的注册资源； 资源，CSE2在中创建的子资源，表示一个赋给AE1的访问令牌， 其中描述了tokenID，issuer，startTime，expiryTime，tokenType，tokenName， appCategory和tokenValue等资源属性信息。

访问令牌的颁发和使用过程包括：预配置过程、颁发和使用过程，具体描 述如下：

访问令牌预配置过程包括：

步骤0.1：oneM2M应用服务提供商AE1注册至oneM2M服务提供商的 IN-CSE(CSE1)中。

步骤0.2：令牌颁发实体通过CSE2向PDP实体提供用于验证其所颁发的 访问令牌的安全凭证，也即用于验证其所签发的访问令牌的公钥证书。

访问令牌的颁发和使用过程，如图16所示，具体如下：

步骤1：访问发起方AE1向令牌颁发实体(即CSE2)发送访问令牌申请 请求，该请求中包含有令牌特权描述信息，本实施例为智能电表数据采集 (Smart Meter Data Collection)。

步骤2：因令牌授权实体不能根据本地存储的授权策略确定是否同意该访 问令牌申请请求，因此其将AE1发送的令牌特权描述信息转发给可以处理此 项任务的某个特权授权功能。

步骤3：这里假设特权授权功能是一个由房屋所有人参与的特权授权过程， 此时特权授权功能将AE1的请求呈现给房屋所有人，并由房屋所有人确定是 否同意该请求。这里假设房屋所有人给出的决策是“同意”，因此特权授权功 能向令牌颁发实体发出同意该项授权的响应。

步骤4：若同意发起方的访问令牌申请请求，则令牌颁发实体颁发相应的 访问令牌，其中包含有tokenID＝TOKEN1234，holderID＝AE1，issuer＝CSE2， startTime＝2015.10.01，expiryTime＝2016.10.10，tokenType＝10，tokenName＝ 智能电表数据采集令牌(Smart Meter Data Collection Token)，appCategory＝12， privileges＝{roleID＝ROLE1234}等令牌属性信息。这里假设tokenType＝10表 示privileges属性中存储有角信息。

步骤5：CSE2向注册响应CSE(即CSE1)请求在CSE1中发起方(Originator) AE1的注册资源(即资源)创建资源，该请求中包含有tokenID ＝TOKEN1234，holderID＝AE1，Issuer＝CSE2，startTime＝2015.10.01， expiryTime＝2016.10.10，tokenType＝10，tokenName＝Smart Home Data Collection Token，appCategory＝12，tokenValue＝E8F852AE5B...等创建该令 牌资源所需的资源属性的值。

步骤6：CSE1接收到CSE2发送的资源操作请求后，首先检查并确认CSE2 具有在资源下创建资源的特权，然后利用CSE2提供的资源属性 创建所请求的资源。

步骤7：CSE1将资源创建成功的操作结果发送给CSE2。

步骤8：CSE2将访问令牌颁发成功的操作结果发送给AE1。

步骤9：AE1读取CSE1中该AE1的注册资源，以便获取已颁发给它的令 牌信息。

步骤10：CSE1将AE1所拥有的访问令牌以令牌信息列表的方式发送给 AE1，其中，令牌信息包括tokenID，holderID，issuer，startTime，expiryTime， tokenType，tokenName，appCategory和tokenValue等令牌属性的值。

步骤11：AE1当前资源访问所属的应用类别为“12”，据此AE1选择tokenID ＝TOKEN1234的访问令牌，因为该访问令牌的appCategory＝12。AE1向CSE3 中的目标资源发送资源访问请求，并将所选择的访问令牌的令牌信息附着在该 请求中。

步骤12：CSE3中的PEP实体根据AE1发送的资源访问请求生成访问控 制决策请求，其中该请求中包含有AE1提供的令牌信息，然后将该请求发送 给PDP实体。

步骤13：PDP实体验证访问令牌的有效性，包括：访问令牌是否是由合 法的令牌颁发实体颁发的，是否仍在有效期内，令牌所有者标识是否与资源访 问请求中的发起方标识相同，访问令牌中携带的特权是否适用于所访问的资源 等。若通过这些检查，则进下一步。

步骤13：PDP实体接收到PEP实体发送的访问控制决策请求后，首先利 用CSE2提供的安全凭证(公钥证书)验证收到访问令牌确实为CSE2所颁发， 通过验证后，继续通过holderID属性验证该访问令牌属于AE1，通过startTime 和expiryTime验证该访问令牌仍在有效期内，通过appCategory验证访问令牌 中所携带的特权信息适用于其所访问的目标资源，通过这些验证后，CSE3根 据tokenType＝10知道访问令牌携带的特权信息是角信息，然后其从访问令 牌的privileges属性中提取出roleID＝ROLE1234的角信息。

步骤14：PDP实体从PRP实体获取适用的访问控制策略，并利用访问控 制策略和请求发起方提供的角信息评估发起方的资源访问请求，其中，访问 控制策略描述roleID＝ROLE1234的数据采集角(Data Collection Role)具有 Smart Meter Data数据读取权限，所以基于访问控制策略和角信息的评估结 果是“同意AE1的资源访问”。

步骤15：PDP实体将评估结果通过访问控制决策响应发送PEP实体。

步骤16：因AE1的资源访问请求被允许，所以PEP实体执行AE1所请求 的Smart Meter Data数据读取功能。

步骤17：PEP实体将执行结果发送AE1。

上述方法处理流程可以用软件程序实现，该软件程序可以存储在存储介质 中，当存储的软件程序被调用时，执行上述方法步骤。

基于同一发明构思，本发明实施例中还提供了一种发起方，由于该发起方 解决问题的原理与上述图7所示的一种访问令牌颁发方法相似，因此该发起方 的实施可以参见方法的实施，重复之处不再赘述。

本发明实施例提供的一种发起方，如图17所示，包括：

发送模块171，用于向令牌颁发实体发送访问令牌申请请求，其中，所述 访问令牌申请请求用于请求所述令牌颁发实体为所述发起方在访问控制过程 需要使用的特权颁发访问令牌；

接收模块172，用于接收所述令牌颁发实体返回的访问令牌申请响应，以 确定访问令牌是否颁发成功。

可选的，所述发起方还包括：令牌获取模块173，用于从与所述发起方关 联的令牌资源中，获取所述访问令牌或者所述访问令牌中的特权信息，其中， 所述特权信息用于表示发起方在访问控制过程能够使用的特权。

基于同一发明构思，本发明实施例中还提供了一种令牌颁发实体，由于该 令牌颁发实体解决问题的原理与上述图8所示的一种访问令牌颁发方法相似， 因此该令牌颁发实体的实施可以参见方法的实施，重复之处不再赘述。

本发明实施例提供的一种令牌颁发实体，如图18所示，包括：

第一接收模块181，用于接收发起方发送的访问令牌申请请求，其中，所 述访问令牌申请请求用于请求所述令牌颁发实体为所述发起方在访问控制过 程需要使用的特权颁发访问令牌；

令牌颁发模块182，用于根据所述访问令牌申请请求，生成访问令牌；

第一发送模块183，用于向公共服务实体CSE发送令牌资源创建请求，以 请求所述CSE为所述访问令牌创建与所述发起方关联的令牌资源；

第二接收模块184，用于接收所述CSE返回的令牌资源创建响应，以确定 所述CSE是否已完成所述令牌资源的创建；

第二发送模块185，用于向所述发起方返回访问令牌申请响应，以通知所 述发起方所述访问令牌是否颁发成功。

可选的，令牌颁发模块182还用于：根据本地保存的授权策略，确定是否 同意所述发起方发送的访问令牌申请请求；或者通过特权授权功能实体，确定 是否同意所述发起方发送的访问令牌申请请求。

可选的，第一发送模块183还用于：向所述CSE发送令牌资源修改请求， 其中，所述令牌资源修改请求中携带所述令牌颁发实体重新为所述发起方颁发 的访问令牌；

第二接收模块184还用于：接收所述CSE发送的令牌资源修改响应，以 确定所述CSE是否已完成令牌资源的修改。

基于同一发明构思，本发明实施例中还提供了一种令牌颁发实体，由于该 令牌颁发实体解决问题的原理与上述图9所示的一种访问令牌颁发方法相似， 因此该令牌颁发实体的实施可以参见方法的实施，重复之处不再赘述。

本发明实施例提供的一种公共服务实体CSE，如图19所示，包括：

接收模块191，用于接收令牌颁发实体发送的令牌资源创建请求，其中， 所述令牌资源创建请求用于请求所述CSE为所述令牌颁发实体颁发的访问令 牌创建令牌资源；

资源创建模块192，用于根据令牌资源创建请求，创建与发起方关联的令 牌资源；

发送模块193，用于向所述令牌颁发实体返回令牌资源创建响应，以通知 所述令牌颁发实体所述CSE是否已完成所述令牌资源的创建。

可选的，所述资源创建模块192具体用于：

根据与所述令牌颁发实体关联的访问控制策略，确定所述令牌颁发实体是 否有权创建令牌资源；在确定所述令牌颁发实体有权创建令牌资源时，根据令 牌资源创建请求，创建所述令牌资源。

可选的，接收模块191还用于：接收所述令牌颁发实体发送的令牌资源修 改请求其中，其中，所述令牌资源修改请求中携带所述令牌颁发实体重新为所 述发起方颁发的访问令牌；

资源创建模块192还用于：根据所述令牌资源修改请求，对需要修改的令 牌资源进行修改；

发送模块193还用于：向所述令牌颁发实体发送令牌资源修改响应，以通 知所述令牌颁发实体所述CSE是否已完成令牌资源的修改。

基于上述任一实施例，资源创建模块192具体用于：

确定出与所述发起方需要访问的目标资源相关联的访问控制策略，并根据 所述访问控制策略确定所述发起方是否有权创建令牌资源；在确定出所述发起 方有权创建令牌资源后，根据令牌资源创建请求，创建所述发起方关联的令牌 资源。

基于同一发明构思，本发明实施例中还提供了一种PDP实体，由于该PDP 实体解决问题的原理与上述图10所示的一种访问控制方法相似，因此该PDP 实体的实施可以参见方法的实施，重复之处不再赘述。

本发明实施例提供的一种PDP实体，如图20所示，PDP实体包括：

接收模块201，用于接收策略执行点PEP实体发送的访问控制决策请求；

获取模块202，用于根据所述访问控制决策请求携带的发起方的令牌信息， 获取所述令牌信息对应的访问令牌中的特权信息，并根据所述访问控制决策请 求携带的所述发起方需要访问的目标资源，获取所述目标资源相关联的访问控 制策略，其中，所述特权信息用于表示所述发起方在访问控制过程能够使用的 特权；

评估模块203，用于根据访问控制策略和所述特权信息，评估所述访问控 制决策请求，并将评估结果携带在访问控制决策响应中返回给所述PEP实体， 以使所述PEP实体根据所述评估结果执行资源访问。

可选的，所述评估模块203具体用于：验证所述令牌信息对应的访问令牌 的有效性；在确定所述令牌信息对应的访问令牌有效后，根据访问控制策略和 所述特权信息，评估所述访问控制决策请求。

可选的，若所述令牌信息为所述标识信息，获取模块202还用于：从所述 发起方关联的令牌资源中，获取所述访问令牌或所述特权信息；或者通过策略 信息点PIP实体，从令牌资源中获取所述访问令牌或所述特权信息。

基于同一发明构思，本发明实施例中还提供了一种PEP实体，由于该PEP 实体解决问题的原理与上述图11所示的一种访问控制方法相似，因此该PEP 实体的实施可以参见方法的实施，重复之处不再赘述。

本发明实施例提供的一种PEP实体，如图21所示，PEP实体包括：

发送模块211，用于向策略决策点PDP实体发送访问控制决策请求，其中， 所述访问控制决策请求是根据发起方的资源访问请求生成的，所述访问控制决 策请求包含所述资源访问请求中携带的发起方的令牌信息；

接收模块212，用于接收所述PDP实体返回的访问控制决策响应；

访问控制模块213，用于根据所述访问控制决策响应中携带的评估结果， 执行资源访问。

下面结合优选的硬件结构，以本发明实施例提供的各实体为服务器为例， 对各实体的结构、处理方式进行说明。

在图22的实施例中，发起方包括处理器221、输入接口222、输出接口223、 存储器224和系统总线225；其中：

处理器221负责逻辑运算和处理。存储器224包括内存和硬盘，可以存储 处理器221在执行操作时所使用的数据。输入接口222用于在处理器221的控 制下读入外部设备传输的数据，输出接口223在处理器221的控制下向外部设 备输出数据。

总线架构可以包括任意数量的互联的总线和桥，具体由处理器221代表的 一个或多个处理器和存储器224代表的内存和硬盘的各种电路链接在一起。总 线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路 链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。

本发明实施例中，处理器221读取存储器224中的程序，以完成图17所 示的令牌获取模块173的功能，具体请参见图17所示的实施例中的相关描述。

输入接口222在处理器221的控制下，用以完成图17所示的接收模块172 的功能，具体请参见图17所示的实施例中的相关描述。

输出接口223在处理器221的控制下，用以完成图17所示的发送模块171 的功能，具体请参见图17所示的实施例中的相关描述。

在图23的实施例中，令牌颁发实体包括处理器231、输入接口232、输出 接口233、存储器234和系统总线235；其中：

处理器231负责逻辑运算和处理。存储器234包括内存和硬盘，可以存储 处理器231在执行操作时所使用的数据。输入接口232用于在处理器231的控 制下读入外部设备传输的数据，输出接口233在处理器231的控制下向外部设 备输出数据。

总线架构可以包括任意数量的互联的总线和桥，具体由处理器231代表的 一个或多个处理器和存储器234代表的内存和硬盘的各种电路链接在一起。总 线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路 链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。

本发明实施例中，处理器231读取存储器234中的程序，以完成图18所 示的令牌颁发模块182的功能，具体请参见图18所示的实施例中的相关描述。

输入接口232在处理器231的控制下，用以完成图18所示的第一接收模 块181和第二接收模块184的功能，具体请参见图18所示的实施例中的相关 描述。

输出接口233在处理器231的控制下，用以完成图18所示的第一发送模 块183和第二发送模块185的功能，具体请参见图18所示的实施例中的相关 描述。

在图24的实施例中，CSE包括处理器241、输入接口242、输出接口243、 存储器244和系统总线245；其中：

处理器241负责逻辑运算和处理。存储器244包括内存和硬盘，可以存储 处理器241在执行操作时所使用的数据。输入接口242用于在处理器241的控 制下读入外部设备传输的数据，输出接口243在处理器241的控制下向外部设 备输出数据。

总线架构可以包括任意数量的互联的总线和桥，具体由处理器241代表的 一个或多个处理器和存储器244代表的内存和硬盘的各种电路链接在一起。总 线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路 链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。

本发明实施例中，处理器241读取存储器244中的程序，以完成图19所 示的资源创建模块192的功能，具体请参见图19所示的实施例中的相关描述。

输入接口242在处理器241的控制下，用以完成图19所示的接收模块191 的功能，具体请参见图19所示的实施例中的相关描述。

输出接口243在处理器241的控制下，用以完成图19所示的发送模块193 的功能，具体请参见图19所示的实施例中的相关描述。

在图25的实施例中，PDF实体包括处理器251、输入接口252、输出接口 253、存储器254和系统总线255；其中：

处理器251负责逻辑运算和处理。存储器254包括内存和硬盘，可以存储 处理器251在执行操作时所使用的数据。输入接口252用于在处理器251的控 制下读入外部设备传输的数据，输出接口253在处理器251的控制下向外部设 备输出数据。

总线架构可以包括任意数量的互联的总线和桥，具体由处理器251代表的 一个或多个处理器和存储器254代表的内存和硬盘的各种电路链接在一起。总 线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路 链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。

本发明实施例中，处理器251读取存储器254中的程序，以完成图20所 示的获取模块202和评估模块203的功能，具体请参见图20所示的实施例中 的相关描述。

输入接口252在处理器251的控制下，用以完成图20所示的接收模块201 的功能，具体请参见图20所示的实施例中的相关描述。

在图26的实施例中，PEP实体包括处理器261、输入接口262、输出接口 263、存储器264和系统总线265；其中：

处理器261负责逻辑运算和处理。存储器264包括内存和硬盘，可以存储 处理器261在执行操作时所使用的数据。输入接口262用于在处理器261的控 制下读入外部设备传输的数据，输出接口263在处理器261的控制下向外部设 备输出数据。

总线架构可以包括任意数量的互联的总线和桥，具体由处理器261代表的 一个或多个处理器和存储器264代表的内存和硬盘的各种电路链接在一起。总 线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路 链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。

本发明实施例中，处理器261读取存储器264中的程序，以完成图21所 示的访问控制模块213的功能，具体请参见图21所示的实施例中的相关描述。

输入接口262在处理器261的控制下，用以完成图21所示的接收模块212 的功能，具体请参见图21所示的实施例中的相关描述。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计 算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结 合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包 含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、 CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产 品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和 /或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/ 或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入 式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算 机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一 个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设 备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中 的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个 流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使 得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处 理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个 流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基 本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要 求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发 明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及 其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。