Traitement en cours

Veuillez attendre...

PATENTSCOPE sera indisponible durant quelques heures pour des raisons de maintenance le mardi 26.10.2021 à 12:00 PM CEST
Paramétrages

Paramétrages

Aller à Demande

1. WO2020156135 - PROCÉDÉ ET DISPOSITIF DE TRAITEMENT D'UNE POLITIQUE DE CONTRÔLE D'ACCÈS, ET SUPPORT DE STOCKAGE LISIBLE PAR ORDINATEUR

Document

说明书

发明名称 0001   0002   0003   0004   0005   0006   0007   0008   0009   0010   0011   0012   0013   0014   0015   0016   0017   0018   0019   0020   0021   0022   0023   0024   0025   0026   0027   0028   0029   0030   0031   0032   0033   0034   0035   0036   0037   0038   0039   0040   0041   0042   0043   0044   0045   0046   0047   0048   0049   0050   0051   0052   0053   0054   0055   0056   0057   0058   0059   0060   0061   0062   0063   0064   0065   0066   0067   0068   0069   0070   0071   0072   0073   0074   0075   0076   0077   0078   0079   0080   0081   0082   0083   0084   0085   0086   0087   0088   0089   0090   0091   0092   0093   0094   0095   0096   0097   0098   0099   0100   0101   0102   0103   0104   0105   0106   0107   0108   0109   0110   0111   0112   0113   0114   0115   0116   0117   0118   0119   0120   0121   0122   0123   0124   0125   0126   0127   0128   0129   0130   0131   0132   0133   0134   0135   0136   0137   0138   0139   0140   0141   0142   0143   0144   0145   0146   0147   0148   0149   0150   0151   0152   0153   0154   0155   0156   0157   0158   0159   0160   0161   0162   0163   0164   0165   0166   0167   0168   0169   0170   0171   0172   0173   0174   0175   0176   0177   0178   0179   0180   0181   0182   0183   0184   0185   0186   0187   0188   0189   0190   0191   0192   0193   0194   0195   0196   0197   0198   0199   0200   0201   0202   0203   0204   0205   0206   0207   0208   0209   0210   0211   0212   0213   0214   0215   0216   0217   0218   0219   0220   0221   0222   0223   0224   0225   0226   0227   0228   0229   0230   0231   0232   0233   0234   0235   0236   0237   0238   0239   0240   0241   0242   0243   0244   0245   0246   0247   0248   0249   0250   0251   0252   0253   0254   0255   0256   0257   0258   0259   0260   0261   0262   0263   0264   0265   0266   0267   0268   0269   0270   0271   0272   0273   0274   0275   0276   0277   0278   0279   0280   0281   0282   0283   0284   0285   0286   0287   0288   0289   0290   0291   0292   0293   0294   0295   0296   0297   0298   0299   0300   0301   0302   0303   0304   0305   0306   0307   0308   0309   0310   0311   0312   0313   0314   0315   0316   0317   0318   0319   0320   0321   0322   0323   0324   0325   0326   0327   0328   0329   0330   0331   0332   0333   0334   0335   0336   0337   0338   0339   0340   0341   0342   0343   0344   0345   0346   0347   0348   0349   0350   0351   0352   0353   0354   0355   0356   0357   0358   0359   0360   0361   0362   0363   0364   0365   0366   0367   0368   0369   0370   0371   0372   0373   0374   0375   0376   0377   0378   0379   0380   0381   0382   0383   0384   0385   0386   0387   0388   0389   0390   0391   0392   0393   0394   0395   0396   0397   0398   0399   0400   0401   0402   0403   0404   0405   0406   0407   0408   0409   0410   0411  

权利要求书

1   2   3   4   5   6   7   8   9   10   11   12   13   14   15   16   17   18   19   20   21   22   23   24   25   26   27  

附图

1   2   3  

说明书

发明名称 : 一种访问控制策略的处理方法、装置及计算机可读存储介质

[0001]
相关申请的交叉引用
[0002]
本申请主张在2019年1月28日在中国提交的中国专利申请号No.201910079440.3的优先权,其全部内容通过引用包含于此。

技术领域

[0003]
本公开涉及通信技术领域,尤其涉及一种访问控制策略的处理方法、装置及计算机可读存储介质。

背景技术

[0004]
oneM2M(物联网领域国际标准化组织)采用基于访问控制列表(Access Control List,ACL)的访问控制机制。访问控制列表与oneM2M资源树中的资源绑定。访问控制策略可以存储在本地,也可以通过令牌(token)提供。oneM2M当前的规定是:在本地策略为空的情况下,如果有令牌策略,则使用令牌策略。另外,预计oneM2M将会支持新种类的访问控制策略,例如基于属性的访问控制策略。但是,oneM2M尚不支持本地策略与令牌策略合并考虑的情况。
[0005]
因此,需要解决不同种类的访问控制策略在访问控制过程中的协同工作问题。
[0006]
发明内容
[0007]
本公开实施例提供一种访问控制策略的处理方法、装置及计算机可读存储介质,以解决不同种类的访问控制策略在访问控制过程中的协同工作问题。
[0008]
为了解决上述技术问题,本公开是这样实现的:
[0009]
第一方面,本公开实施例提供了一种访问控制策略的处理方法,包括:
[0010]
接收资源访问发起方对目标资源的资源访问请求;
[0011]
根据所述资源访问请求,确定所述目标资源的目标访问控制策略,其中,所述目标访问控制策略为具有调度能力的访问控制策略;
[0012]
根据所述目标访问控制策略,获取对所述目标资源的策略评估结果;
[0013]
根据所述策略评估结果,执行访问控制决策;
[0014]
其中,所述目标访问控制策略用于对所述目标资源关联的访问控制策略进行调度,所述目标资源关联的访问控制策略包括同一种类的一个或者多个访问控制策略,或者包括不同种类的一个或者多个访问控制策略。
[0015]
其中,所述目标访问控制策略的资源属性或子资源包括以下至少一项:
[0016]
资源标识,用于唯一标识所述目标访问控制策略;
[0017]
策略管理权限,用于描述针对所述目标访问控制策略的访问控制策略;
[0018]
策略适用范围,用于描述适用于所述目标访问控制策略的资源访问发起方和/或适用于所述目标访问控制策略的资源;
[0019]
策略合并算法,用于描述对多个访问控制策略的评估结果的合并方式;
[0020]
令牌策略应用规则,用于描述令牌策略的使用方式;
[0021]
隐私策略,用于描述需从返回给资源访问发起方的结果中滤除的信息;
[0022]
访问控制策略列表,用于描述一个或多个访问控制策略,所述一个或者多个访问控制策略为同一种类的访问控制策略或者为不同种类的访问控制策略;
[0023]
PDP(Policy Decision Point,策略决策点)-CSE(Common Services entity,公共服务实体)地址列表,用于描述为作为策略执行点PEP的宿主CSE提供访问控制决策的CSE;
[0024]
PRP(Policy Retrieval Point,策略获取点)-CSE地址列表,用于描述为作为PDP的宿主CSE提供访问控制策略的CSE;
[0025]
PIP(Policy Information Point,策略信息点)-CSE地址列表,用于描述为作为PDP的宿主CSE提供访问控制信息的CSE。
[0026]
其中,所述目标资源关联的访问控制策略包括:本地访问控制策略,令牌策略,分布式存储的访问控制策略中的一项或者多项;
[0027]
所述本地访问控制策略包括第一本地访问控制策略和/或第二本地访问控制策略;
[0028]
其中,所述第一本地访问控制策略存储在所述目标访问控制策略的访问控制策略列表中,所述第二本地访问控制策略通过资源引用的方式存储在其 他访问控制策略的资源中。
[0029]
其中,所述根据所述目标访问控制策略,获取对所述目标资源的策略评估结果,包括:
[0030]
根据所述策略适用范围,确定所述资源访问发起方和/或所述目标资源是否适用于所述目标访问控制策略;
[0031]
若所述资源访问发起方和/或所述目标资源适用于所述目标访问控制策略,获取所述目标资源关联的访问控制策略;
[0032]
对所述目标资源关联的访问控制策略进行评估,获得策略评估结果。
[0033]
其中,若所述资源访问请求中包括访问控制令牌,在所述令牌策略应用规则表示需使用令牌策略的情况下,所述对所述目标资源关联的访问控制策略进行评估,获得策略评估结果,包括:
[0034]
对所述令牌策略进行评估,获得令牌策略评估结果。
[0035]
其中,当所述策略评估结果为多个时,所述方法还包括:
[0036]
根据策略合并算法对多个策略评估结果进行合并。
[0037]
其中,所述方法还包括:
[0038]
获取隐私策略;
[0039]
所述根据所述策略评估结果,执行访问控制决策,包括:
[0040]
在策略评估结果表示允许访问的情况下,允许对所述目标资源的访问,并滤除所述目标资源中所述隐私策略对应的资源属性和/或子资源。
[0041]
其中,在所述令牌策略应用规则表示需使用令牌策略时,若所述资源访问请求中未包括访问控制令牌,所述方法还包括:
[0042]
向所述资源访问发起方发送令牌授权实体的地址。
[0043]
其中,所述接收资源访问发起方对目标资源的资源访问请求,包括:
[0044]
作为策略执行点的宿主CSE(Hosting CSE)PEP-CSE接收所述资源访问请求,并根据所述PDP-CSE地址列表将所述资源访问请求发送给策略决策点PDP-CSE;
[0045]
所述根据所述资源访问请求,确定所述目标资源的目标访问控制策略,包括:
[0046]
作为PDP-CSE的宿主CSE根据所述资源访问请求确定所述目标访问控制 策略,并根据所述PRP-CSE地址列表,从策略获取点PRP-CSE获取所述目标资源关联的访问控制策略;
[0047]
所述根据所述目标访问控制策略,获取对所述目标资源的策略评估结果,包括:
[0048]
作为PDP-CSE的宿主CSE对所述目标资源关联的访问控制策略进行评估,获取对所述目标资源的策略评估结果,并向所述PEP-CSE发送所述策略评估结果;
[0049]
所述根据所述策略评估结果,执行访问控制决策,包括:
[0050]
所述PEP-CSE根据所述策略评估结果,执行访问控制决策。
[0051]
其中,所述方法还包括:
[0052]
作为PDP-CSE的宿主CSE根据所述PIP-CSE地址列表从策略信息点PIP-CSE获取访问控制信息。
[0053]
其中,所述方法还包括:
[0054]
作为PDP-CSE的宿主CSE根据策略合并算法对多个策略评估结果进行合并。
[0055]
其中,所述方法还包括:
[0056]
作为PDP-CSE的宿主CSE获取隐私策略,根据所述隐私策略确定需过滤的资源属性和/或子资源,并向所述PEP-CSE发送所述资源属性和/或子资源;
[0057]
所述PEP-CSE根据所述策略评估结果,执行访问控制决策,包括:
[0058]
在所述策略评估结果表示允许访问所述目标资源的情况下,所述PEP-CSE根据所述资源属性和/或子资源,滤除所述目标资源中所述隐私策略对应的资源属性和/或子资源。
[0059]
第二方面,本公开实施例提供一种访问控制策略的处理装置,包括:
[0060]
接收模块,用于接收资源访问发起方对目标资源的资源访问请求;
[0061]
确定模块,用于根据所述资源访问请求,确定所述目标资源的目标访问控制策略,其中,所述目标访问控制策略为具有调度能力的访问控制策略;
[0062]
获取模块,用于根据所述目标访问控制策略,获取对所述目标资源的策略评估结果;
[0063]
执行模块,用于根据所述策略评估结果,执行访问控制决策;
[0064]
其中,所述目标访问控制策略用于对所述目标资源关联的访问控制策略进行调度,所述目标资源关联的访问控制策略包括同一种类的一个或者多个访问控制策略,或者包括不同种类的一个或者多个访问控制策略。
[0065]
其中,所述目标访问控制策略的资源属性或子资源包括以下至少一项:
[0066]
资源标识,用于唯一标识所述目标访问控制策略;
[0067]
策略管理权限,用于描述针对所述目标访问控制策略的访问控制策略;
[0068]
策略适用范围,用于描述适用于所述目标访问控制策略的资源访问发起方和/或适用于所述目标访问控制策略的资源;
[0069]
策略合并算法,用于描述对多个访问控制策略的评估结果的合并方式;
[0070]
令牌策略应用规则,用于描述令牌策略的使用方式;
[0071]
隐私策略,用于描述需从返回给资源访问发起方的结果中滤除的信息;
[0072]
访问控制策略列表,用于描述一个或多个访问控制策略,所述一个或者多个访问控制策略为同一种类的访问控制策略或者为不同种类的访问控制策略;
[0073]
PDP-CSE地址列表,用于描述为作为策略执行点PEP的宿主CSE提供访问控制决策的CSE;
[0074]
PRP-CSE地址列表,用于描述为作为PDP的宿主CSE提供访问控制策略的CSE;
[0075]
PIP-CSE地址列表,用于描述为作为PDP的宿主CSE提供访问控制信息的CSE。
[0076]
第三方面,本公开实施例提供一种通信设备,包括:收发机、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序;
[0077]
所述收发机,用于接收资源访问发起方对目标资源的资源访问请求;
[0078]
所述处理器,用于读取存储器中的程序,执行下列过程:
[0079]
根据所述资源访问请求,确定所述目标资源的目标访问控制策略,其中,所述目标访问控制策略为具有调度能力的访问控制策略;
[0080]
根据所述目标访问控制策略,获取对所述目标资源的策略评估结果;
[0081]
根据所述策略评估结果,执行访问控制决策;
[0082]
其中,所述目标访问控制策略用于对所述目标资源关联的访问控制策略 进行调度,所述目标资源关联的访问控制策略包括同一种类的一个或者多个访问控制策略,或者包括不同种类的一个或者多个访问控制策略。
[0083]
其中,所述目标访问控制策略的资源属性或子资源包括以下至少一项:
[0084]
资源标识,用于唯一标识所述目标访问控制策略;
[0085]
策略管理权限,用于描述针对所述目标访问控制策略的访问控制策略;
[0086]
策略适用范围,用于描述适用于所述目标访问控制策略的资源访问发起方和/或适用于所述目标访问控制策略的资源;
[0087]
策略合并算法,用于描述对多个访问控制策略的评估结果的合并方式;
[0088]
令牌策略应用规则,用于描述令牌策略的使用方式;
[0089]
隐私策略,用于描述需从返回给资源访问发起方的结果中滤除的信息;
[0090]
访问控制策略列表,用于描述一个或多个访问控制策略,所述一个或者多个访问控制策略为同一种类的访问控制策略或者为不同种类的访问控制策略;
[0091]
PDP-CSE地址列表,用于描述为作为策略执行点PEP的宿主CSE提供访问控制决策的CSE;
[0092]
PRP-CSE地址列表,用于描述为作为PDP的宿主CSE提供访问控制策略的CSE;
[0093]
PIP-CSE地址列表,用于描述为作为PDP的宿主CSE提供访问控制信息的CSE。
[0094]
其中,所述目标资源关联的访问控制策略包括:本地访问控制策略,令牌策略,分布式存储的访问控制策略中的一项或者多项;
[0095]
所述本地访问控制策略包括第一本地访问控制策略和/或第二本地访问控制策略;
[0096]
其中,所述第一本地访问控制策略存储在所述目标访问控制策略的访问控制策略列表中,所述第二本地访问控制策略通过资源引用的方式存储在其他访问控制策略的资源中。
[0097]
其中,所述处理器还用于读取存储器中的程序,执行下列过程:
[0098]
根据所述策略适用范围,确定所述资源访问发起方和/或所述目标资源是否适用于所述目标访问控制策略;
[0099]
若所述资源访问发起方和/或所述目标资源适用于所述目标访问控制策略,获取所述目标资源关联的访问控制策略;
[0100]
对所述目标资源关联的访问控制策略进行评估,获得策略评估结果。
[0101]
其中,所述处理器还用于读取存储器中的程序,执行下列过程:
[0102]
若所述资源访问请求中包括访问控制令牌,在所述令牌策略应用规则表示需使用令牌策略的情况下,对所述令牌策略进行评估,获得令牌策略评估结果。
[0103]
其中,所述处理器还用于读取存储器中的程序,执行下列过程:
[0104]
根据策略合并算法对多个策略评估结果进行合并。
[0105]
其中,所述处理器还用于读取存储器中的程序,执行下列过程:
[0106]
获取隐私策略;
[0107]
在策略评估结果表示允许访问的情况下,允许对所述目标资源的访问,并滤除所述目标资源中所述隐私策略对应的资源属性和/或子资源。
[0108]
其中,所述处理器还用于读取存储器中的程序,执行下列过程:
[0109]
在所述令牌策略应用规则表示需使用令牌策略时,若所述资源访问请求中未包括访问控制令牌,向所述资源访问发起方发送令牌授权实体的地址。
[0110]
其中,所述处理器还用于读取存储器中的程序,执行下列过程:
[0111]
为作为策略执行点的宿主CSE PEP-CSE接收所述资源访问请求,并根据所述PDP-CSE地址列表将所述资源访问请求发送给策略决策点PDP-CSE;
[0112]
为作为PDP-CSE的宿主CSE根据所述资源访问请求确定所述目标访问控制策略,并根据所述PRP-CSE地址列表,从策略获取点PRP-CSE获取所述目标资源关联的访问控制策略;
[0113]
为作为PDP-CSE的宿主CSE对所述目标资源关联的访问控制策略进行评估,获取对所述目标资源的策略评估结果,并向所述PEP-CSE发送所述策略评估结果;
[0114]
为所述PEP-CSE根据所述策略评估结果,执行访问控制决策。
[0115]
其中,所述处理器还用于读取存储器中的程序,执行下列过程:
[0116]
为作为PDP-CSE的宿主CSE根据所述PIP-CSE地址列表从策略信息点PIP-CSE获取访问控制信息。
[0117]
其中,所述处理器还用于读取存储器中的程序,执行下列过程:
[0118]
为作为PDP-CSE的宿主CSE根据策略合并算法对多个策略评估结果进行合并。
[0119]
其中,所述处理器还用于读取存储器中的程序,执行下列过程:
[0120]
为作为PDP-CSE的宿主CSE获取隐私策略,根据所述隐私策略确定需过滤的资源属性和/或子资源,并向所述PEP-CSE发送所述资源属性和/或子资源;
[0121]
在所述策略评估结果表示允许访问所述目标资源的情况下,为所述PEP-CSE根据所述资源属性和/或子资源,滤除所述目标资源中所述隐私策略对应的资源属性和/或子资源。
[0122]
第四方面,本公开实施例提供一种计算机可读存储介质,用于存储计算机程序,所述计算机程序被处理器执行时实现如第一方面所述的方法中的步骤。
[0123]
在本公开实施例中,由于目标访问控制策略为具有调度能力的访问控制策略,因此,可通过该策略对目标资源关联的相同种类或者不同种类的访问控制策略进行调度,从而,利用本公开实施例可解决不同种类的访问控制策略在访问控制过程中的协同工作问题。

附图说明

[0124]
为了更清楚地说明本公开实施例的技术方案,下面将对本公开实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0125]
图1是本公开实施例提供的访问控制策略的处理方法的流程图;
[0126]
图2是本公开实施例提供的访问控制策略的处理装置的结构图;
[0127]
图3是本公开实施例提供的通信设备的结构图。

具体实施方式

[0128]
下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行 清楚、完整地描述,显然,所描述的实施例是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
[0129]
参见图1,图1是本公开实施例提供的访问控制策略的处理方法的流程图,如图1所示,包括以下步骤:
[0130]
步骤101、接收资源访问发起方对目标资源的资源访问请求。
[0131]
其中,所述目标资源可以指的是任一资源。
[0132]
步骤102、根据所述资源访问请求,确定所述目标资源的目标访问控制策略,其中,所述目标访问控制策略为具有调度能力的访问控制策略。
[0133]
其中,所述目标访问控制策略用于对所述目标资源关联的访问控制策略进行调度,所述目标资源关联的访问控制策略包括同一种类的一个或者多个访问控制策略,或者包括不同种类的一个或者多个访问控制策略。
[0134]
在实际应用中,所述目标访问控制策略的资源属性或子资源可包括以下至少一项:
[0135]
资源标识,用于唯一标识所述目标访问控制策略;
[0136]
策略管理权限,用于描述针对所述目标访问控制策略的访问控制策略;
[0137]
策略适用范围,用于描述适用于所述目标访问控制策略的资源访问发起方和/或适用于所述目标访问控制策略的资源;
[0138]
策略合并算法,用于描述对多个访问控制策略的评估结果的合并方式;
[0139]
令牌策略应用规则,用于描述令牌策略的使用方式;
[0140]
隐私策略,用于描述需从返回给资源访问发起方的结果中滤除的信息;
[0141]
访问控制策略列表,用于描述一个或多个访问控制策略,所述一个或者多个访问控制策略为同一种类的访问控制策略或者为不同种类的访问控制策略;
[0142]
PDP-CSE地址列表,用于描述为作为策略执行点PEP的宿主CSE提供访问控制决策的CSE;
[0143]
PRP-CSE地址列表,用于描述为作为PDP的宿主CSE提供访问控制策略的CSE;
[0144]
PIP-CSE地址列表,用于描述为作为PDP的宿主CSE提供访问控制信息 的CSE。
[0145]
因此,在此步骤中,可根据目标资源的资源标识,确定目标资源对应的目标访问控制策略。
[0146]
步骤103、根据所述目标访问控制策略,获取对所述目标资源的策略评估结果。
[0147]
在本公开实施例中,为使得确定的策略评估结果更为全面,所述目标资源关联的访问控制策略可包括以下任意一项或者多项:
[0148]
本地访问控制策略,令牌策略,分布式存储的访问控制策略中的一项或者多项。其中,所述本地访问控制策略包括第一本地访问控制策略和/或第二本地访问控制策略。所述第一本地访问控制策略存储在所述目标访问控制策略的访问控制策略列表中,所述第二本地访问控制策略通过资源引用的方式存储在其他访问控制策略的资源中。其中,所述其他访问控制策略指的是除目标访问控制策略之外的访问控制策略。
[0149]
根据目标访问控制策略所包括的资源属性不同,在本公开实施例中可有不同的处理方式。
[0150]
具体的,可根据所述策略适用范围,确定所述资源访问发起方和/或所述目标资源是否适用于所述目标访问控制策略。若所述资源访问发起方和/或所述目标资源适用于所述目标访问控制策略,获取所述目标资源关联的访问控制策略。例如,若策略适用范围为空,那么表示资源访问发起方和目标资源都适用于该目标访问控制策略,则获取目标资源关联的访问控制策略,如本地访问控制策略,令牌策略,分布式存储的访问控制策略等。之后,对所述目标资源关联的访问控制策略进行评估,获得策略评估结果。
[0151]
若所述资源访问请求中包括访问控制令牌,在所述令牌策略应用规则表示需使用令牌策略的情况下,需要对所述令牌策略进行评估,获得令牌策略评估结果。若所述资源访问请求中未包括访问控制令牌,需向所述资源访问发起方发送令牌授权实体的地址。
[0152]
当所述策略评估结果为多个时,还可根据策略合并算法对多个策略评估结果进行合并。
[0153]
步骤104、根据所述策略评估结果,执行访问控制决策。
[0154]
若资源属性包括隐私策略,那么,还可获取隐私策略。在策略评估结果表示允许访问的情况下,允许对所述目标资源的访问,并滤除所述目标资源中所述隐私策略对应的资源属性和/或子资源。从而,利用这种方式可更好的保护隐私。
[0155]
在本公开实施例中,由于目标访问控制策略为具有调度能力的访问控制策略,因此,可通过该策略对目标资源关联的相同种类或者不同种类的访问控制策略进行调度,从而,利用本公开实施例可解决不同种类的访问控制策略在访问控制过程中的协同工作问题。
[0156]
对于分布式授权架构,那么,在以上的过程中,步骤101具体为:作为策略执行点的宿主CSE PEP-CSE接收所述资源访问请求,并根据所述PDP-CSE地址列表将所述资源访问请求发送给策略决策点PDP-CSE;
[0157]
步骤102具体为:作为PDP-CSE的宿主CSE根据所述资源访问请求确定所述目标访问控制策略,并根据所述PRP-CSE地址列表,从策略获取点PRP-CSE获取所述目标资源关联的访问控制策略;
[0158]
步骤103具体为:作为PDP-CSE的宿主CSE对所述目标资源关联的访问控制策略进行评估,获取对所述目标资源的策略评估结果,并向所述PEP-CSE发送所述策略评估结果;
[0159]
步骤104具体为:所述PEP-CSE根据所述策略评估结果,执行访问控制决策。
[0160]
若在评估的过程中需要获取访问控制信息,那么,作为PDP-CSE的宿主CSE根据所述PIP-CSE地址列表从策略信息点PIP-CSE获取访问控制信息。若需要合并多个策略评估结果,则作为PDP-CSE的宿主CSE根据策略合并算法对多个策略评估结果进行合并。若资源属性还包括隐私策略,那么,作为PDP-CSE的宿主CSE获取隐私策略,根据所述隐私策略确定需过滤的资源属性和/或子资源,并向所述PEP-CSE发送所述资源属性和/或子资源;在所述策略评估结果表示允许访问所述目标资源的情况下,所述PEP-CSE根据所述资源属性和/或子资源,滤除所述目标资源中所述隐私策略对应的资源属性和/或子资源。
[0161]
经研究,针对相关技术的oneM2M架构,其可能存在以下问题:
[0162]
(1)不支持新种类的访问控制策略。例如,预计oneM2M将支持基于属性的访问控制策略,这将出现新旧策略共存的情况,当前的oneM2M访问控制系统没有相关的解决方案。
[0163]
(2)不支持存储在本地的访问策略和令牌策略同时存在时的处理方法。例如发起方提供了令牌策略,但本地同时有适用策略时的处理方法。
[0164]
(3)不支持隐私策略。隐私策略的特点通常是禁止将某些与个人相关的信息提供给资源访问方,而不是禁止对全部数据的访问。
[0165]
(4)不支持复杂的策略应用方法。例如,在一个访问控制策略内对另一个访问控制策略的调用,多种多样的策略合并算法。
[0166]
为解决上述问题,本公开实施例提出了一种针对oneM2M系统的可集成不同种类访问控制策略、不同来源访问控制策略和隐私策略的访问控制系统。此访问控制系统的核心是“具有调度能力的访问控制策略”,简称“调度策略”。在oneM2M系统中访问控制策略存储在oneM2M资源中。在本公开实施例中,将调度策略存储在命名为<accessControlSchedulingPolicy>的oneM2M资源中。
[0167]
具有调度能力的访问控制策略包含两个方面的内容:
[0168]
描述资源访问权限的访问控制策略以及描述如何使用这些访问控制策略的访问控制配置信息。这些访问控制策略和访问控制配置信息存储在<accessControlSchedulingPolicy>资源的资源属性或子资源中。本公开实施例不对是否使用资源属性或子资源来存储访问控制策略或配置信息进行具体的规定。
[0169]
<accessControlSchedulingPolicy>资源可包含如下主要的资源属性或子资源:
[0170]
资源标识:为oneM2M资源的通用属性(resourceID),在CSE资源树中唯一标识该资源。资源访问发起方访问的目标资源通过该资源标识与对应的调度策略相关联,具体是使用目标资源的accessControlPolicyIDs属性存储该资源标识。
[0171]
策略管理权限:描述针对此调度策略的访问控制策略,例如对此调度策略的修改、读取和删除等。策略管理权限既可以直接存储在 <accessControlSchedulingPolicy>资源中,也可以存储在单独定义的<策略管理权限>资源中,然后通过资源引用的方式指向该实际存储有策略管理权限的资源。
[0172]
策略适用范围:描述适用于本调度策略的资源访问发起方和/或适用于本调度策略的目标资源。若该域为空,则不做该项检查,默认适用于所关联的目标资源。
[0173]
策略合并算法:描述当调度策略中包含有多个策略时,应如何对这些策略的评估结果进行合并,以便获得一个最终的评估结果。例如“许可优先”或“否定优先”等。
[0174]
令牌策略应用规则:描述是否允许使用令牌策略,令牌策略与本地策略的关系,以及如何获得令牌策略等。例如仅使用令牌策略,仅使用本地策略,令牌策略优先(如果存在令牌策略,则不使用本地策略),本地策略优先(如果存在本地策略,则不使用令牌策略),令牌策略与本地策略等同处理等。
[0175]
隐私策略:针对资源访问发起方的资源访问请求,隐私策略描述哪些信息(资源属性和/或子资源)需要从返回给资源访问发起方的结果中过滤掉,以实现对用户隐私信息的保护。
[0176]
访问控制策略列表:描述一个或多个访问控制策略。这些访问控制策略可以是同一种类的,也可以是不同种类的。这些策略也可以通过资源引用的方式描述,该引用指向另一个实际存储有访问控制策略的资源。存储这些访问控制策略的资源可以是专门用来存储某类访问控制策略而定义的。
[0177]
PDP-CSE地址列表:描述宿主CSE可以向哪些CSE发送访问控制决策请求,以便获得相应的访问控制决策。宿主CSE利用策略合并算法将从PDP-CSE获得的访问控制决策和本地获得的访问控制决策进行合并。可以对列表中的PDP-CSE之间的关系单独规定策略合并算法。
[0178]
PRP-CSE地址列表:描述宿主CSE可以向哪些CSE发送访问控制策略请求,以便获得适用的访问控制策略。可以对列表中的PRP-CSE之间的关系单独规定策略合并算法。
[0179]
PIP-CSE地址列表:描述宿主CSE可以向哪些CSE发送访问控制信息请求,例如策略评估过程中需要的角色信息,以便获得适用的访问控制信息。
[0180]
根据以上内容,在实际应用中,具有调度能力的访问控制策略执行的一般过程为:
[0181]
(1)资源访问发起方向宿主CSE中的目标资源发送资源访问请求。
[0182]
(2)宿主CSE根据目标资源属性accessControlPolicyIDs获得所关联的访问控制策略。
[0183]
accessControlPolicyIDs中存储的可以是oneM2M原有的访问控制策略资源<accessControlPolicy>的资源ID,也可以是本实施例中新定义的访问控制策略资源<accessControlSchedulingPolicy>的资源ID,还可以是其他类型访问控制策略资源的ID。在此,以本实施例中新定义的调度策略<accessControlSchedulingPolicy>的资源ID为例。
[0184]
(3)宿主CSE检查<accessControlSchedulingPolicy>资源的策略适用范围,以便确定资源访问控制策略是否适用于本次访问涉及的资源访问发起方和目标资源。若策略适用范围为空,则默认访问控制策略适用于当前的资源访问请求。若策略适用范围不为空,则检查当前的资源访问请求是否适用于访问控制策略。
[0185]
(4)获取用于合并多个访问控制策略的策略合并算法。
[0186]
(5)获取令牌策略应用规则,用于确定如何处理令牌策略。
[0187]
若需要发起方提供令牌策略,但访问请求中没有令牌,则拒绝发起方的资源访问请求,并要求其提供所需的访问控制令牌。若需要发起方提供令牌,且令牌策略应用规则中还描述了如何获取令牌策略,则响应中还应提供如何获取令牌的信息,例如令牌授权实体的地址。
[0188]
(6)获取并评估适用的访问控制策略,可能包括:
[0189]
获取并评估存储在访问控制策略资源中的访问控制策略,和/或
[0190]
获取并评估通过策略引用指定的访问控制策略,和/或
[0191]
获取并评估存储在访问控制令牌中的访问控制策略。
[0192]
(7)当有多个适用的访问控制策略时,使用策略合并算法合并这些策略的评估结果。
[0193]
(8)若合并后的策略评估结果是允许访问,且隐私策略不为空时,则获取隐私策略。
[0194]
(9)将策略评估结果返回给决策请求方。若评估结果为允许访问,且隐私策略不为空,则其中还应包含有隐私策略。
[0195]
(10)宿主CSE执行访问控制决策。例如拒绝发起方的本次资源访问,或允许发起方的本次资源访问并执行隐私策略。
[0196]
以下为一种可实现本公开实施例所述调度策略<accessControlSchedulingPolicy>的可能定义。具体为:
[0197]
-resourceID:为oneM2M通用属性(universal attribute),其他资源通过其资源属性accessControlPolicyIDs引用此新定义的资源。
[0198]
-adminPrivileges:存储针对本策略资源访问权限,例如对资源的修改,删除,或读取等。本公开实施例不规定描述策略的具体格式。
[0199]
-adminPrivilegesReferences:指向另一个存储有针对本策略资源访问权限的策略资源。
[0200]
-applicableSubjects:适用于本访问控制策略的资源访问发起方。
[0201]
-applicableResources:适用于本访问控制策略的目标资源。
[0202]
-policyCombiningAlgorithm:用来合并多个访问控制策略的算法标识:
[0203]
opermit-overrides:访问许可优先,或
[0204]
odeny-overrides:访问否定优先。
[0205]
-privileges:等同于oneM2M<accessControlPolicy>资源中的privileges属性,用于存储oneM2M目前已经定义的访问控制策略。
[0206]
-newPrivileges:用于存储新定义的oneM2M问控制策略,例如基于属性的访问控制策略。本公开实施例不规定描述策略的具体格式。
[0207]
-newPrivilegesReference:指向另一个存储有新定义的oneM2M访问控制策略的策略资源。
[0208]
-tokenPolicyPriority:描述应如何使用令牌策略,其值可为:
[0209]
onot-permit:不允许使用令牌策略,或
[0210]
ooverride-local-policy:令牌策略的评估结果优先,或
[0211]
ooverride-token-policy:本地策略的评估结果优先,或
[0212]
ocombining-with-local-policy:令牌策略与本地策略的评估结果按policyCombiningAlgorithm指定的算法进行合并。
[0213]
-tokenAuthorityURI:某个可以颁发策略令牌的授权实体的地址。宿主CSE可将该地址提供给资源访问发起方,以便后者可以向其申请访问控制令牌。
[0214]
-privacyPolicy:隐私策略,描述需要从返回给资源访问发起方结果中过滤掉的资源属性列表或子资源列表:
[0215]
ofiltered-attributes:需要过滤掉的属性名称列表
[0216]
ofiltered-resources:需要过滤掉的子资源名称列表
[0217]
-PDPs:适用的PDP-CSE列表,其值可为:
[0218]
opolicyCombiningAlgorithm:策略合并算法;
[0219]
oPDP-CSEs:CSE地址列表。
[0220]
-PRPs:适用的PRP-CSE列表,其值可为:
[0221]
opolicyCombiningAlgorithm:策略合并算法;
[0222]
oPRP-CSEs:CSE地址列表。
[0223]
-PIPs:适用的PIP-CSE列表,其值可为CSE地址列表。
[0224]
以下,基于以上定义,描述在不同场景下的具体处理过程。
[0225]
一、基于以上定义,本实施例描述令牌策略与本地策略进行合并的应用场景。
[0226]
具体的,<accessControlSchedulingPolicy>策略资源中相关内容的值为:
[0227]
<accessControlSchedulingPolicy>策略资源中相关内容的值为:
[0228]
-resourceID:目标资源通过其属性accessControlPolicyIDs引用此访问控制策略资源的ID,以便关联到此访问控制策略资源。
[0229]
-policyCombiningAlgorithm:值为permit-overrides,表示当有多个访问控制策略时,其中任何一个的评估结果为permit(允许),则合并后的策略评估结果为permit。
[0230]
-abacPrivileges:其中存储新定义的针对oneM2M的基于属性的访问控制策略(Attribute Based Access Control Policy,ABAC policy)。本专利不对此ABAC策略的格式进行规定。
[0231]
-tokenPolicyPriority:值为combining-with-local-policy,描述令牌策略与本地策略合并使用。
[0232]
这种情况下,具体的访问控制过程为:
[0233]
(1)资源访问发起方向宿主CSE发送资源访问请求,且请求中包含有访问控制令牌。令牌中存储访问控制策略,例如使用oneM2M已有访问控制策略格式描述的资源访问权限。
[0234]
(2)宿主CSE根据目标资源accessControlPolicyIDs属性的值关联至适用的调度策略资源<accessControlSchedulingPolicy>。
[0235]
(3)获取策略合并算法。
[0236]
因为<accessControlSchedulingPolicy>资源中资源属性tokenPolicyPriority的值为combining-with-local-policy,所以需要将存储在本地的访问控制策略和存储在访问控制令牌中的访问控制策略合并使用。
[0237]
(4)宿主CSE:
[0238]
从abacPrivileges中获取本地的ABAC策略,评估该策略是否允许发起方的本次资源访问;
[0239]
验证令牌的有效性,获取存储在令牌中的访问控制策略,评估该策略是否允许发起方的本次资源访问。
[0240]
(5)宿主CSE利用policyCombiningAlgorithm提供的策略合并算法permit-overrides对第(4)步的策略评估结果进行合并,并获得最终的策略评估结果。
[0241]
二、基于以上定义,本实施例描述实现动态授权的应用场景。
[0242]
<accessControlSchedulingPolicy>策略资源中相关内容的值为:
[0243]
-resourceID:目标资源通过其属性accessControlPolicyIDs引用此访问控制策略资源的ID,以便关联到此访问控制策略资源。
[0244]
-policyCombiningAlgorithm:值为permit-overrides,表示当有多个访问控制策略时,其中任何一个的评估结果为permit(允许),则最后的策略评估结果为permit。
[0245]
-privileges:值为null,表示本地没有oneM2M已有格式的访问控制策略。
[0246]
-newPrivileges:值为null,表示本地没有oneM2M ABAC格式的访问控制策略。
[0247]
-tokenPolicyPriority:值为override-local-policy,描述需要优先使用令牌策略。
[0248]
-tokenAuthorityURI:值为https://oneM2M.authorization.com,为某个可以颁发策略令牌的授权实体的地址。
[0249]
这种情况下,具体的访问控制过程为:
[0250]
(1)资源访问发起方向宿主CSE发送资源访问请求,且请求中不包含有访问控制令牌。
[0251]
(2)宿主CSE根据目标资源accessControlPolicyIDs属性的值关联至适用的调度策略资源<accessControlSchedulingPolicy>。
[0252]
(3)因策略中tokenPolicyPriority的值为override-local-policy,意味着可以使用令牌策略或本地策略评估资源访问发起方的资源访问请求,但需要优先使用令牌策略。
[0253]
(4)宿主CSE发现资源访问请求中没有提供策略令牌,而且本地的访问控制策略资源也没有存储任何访问控制策略,因此宿主CSE将拒绝本次资源访问请求。因tokenAuthorityURI不为空,因此在发送给资源访问发起方的响应中将提供令牌授权实体的地址。
[0254]
(5)资源访问发起方将使用宿主CSE提供的URI(Uniform Resource Identifier,统一资源标识符)令牌授权实体请求策略令牌。
[0255]
(6)令牌授权实体根据本地授权策略决定是否向发起方颁发令牌,然后将颁发的令牌发送给发起方。
[0256]
三、基于以上定义,在本公开实施例中描述在分布式授权应用场景中实现隐私策略的应用。
[0257]
<accessControlSchedulingPolicy>策略资源中相关内容的值为:
[0258]
-resourceID:目标资源通过其属性accessControlPolicyIDs引用此访问控制策略资源的ID,以便关联到此访问控制策略资源。
[0259]
-policyCombiningAlgorithm:值为permit-overrides,表示当有多个访问控制策略时,其中任何一个的评估结果为permit(允许),则最后的策略评估结果为permit。
[0260]
-privileges:存储有使用oneM2M已有格式描述的访问控制策略。
[0261]
-abacPrivileges:存储有使用oneM2M ABAC格式描述的访问控制策略。
[0262]
-privacyPolicy:存储的隐私策略描述需要从返回给资源访问发起方的结果中过滤掉的资源属性列表或子资源列表:
[0263]
-filtered-attributes:值为resourceID,resourceName,parentID,labels,表示需要从返回给发起方的响应中过滤掉这些资源属性。
[0264]
-filtered-resources:值为nul,表示没有需要过滤的子资源。
[0265]
-PDPs:PDP-CSE列表,其值为:
[0266]
-policyCombiningAlgorithm:值为permit-overrides
[0267]
-PDP-CSEs:CSE地址列表。
[0268]
这种情况下,具体的访问控制过程为:
[0269]
(1)资源访问发起方向宿主CSE发送资源访问请求,且请求中不包含有访问控制令牌。
[0270]
(2)作为PEP的宿主CSE(PEP-CSE)根据PDPs中描述的信息将该资源请求发送给另一个作为PDP的CSE(PDP-CSE)。
[0271]
(3)PDP-CSE获取到适用的<accessControlSchedulingPolicy>策略资源。
[0272]
(4)PDP-CSE利用存储在privileges和abacPrivileges中访问控制策略评估发起方的资源访问请求,并使用policyCombiningAlgorithm给出的策略合并算法对策略评估结果进行合并。这里假设合并的最终结果是permit,也即允许发起方的资源访问请求。
[0273]
(5)PDP-CSE发现<accessControlSchedulingPolicy>中隐私策略不为空,因此读取隐私策略,并获得需要过滤的资源属性列表。
[0274]
(6)PDP-CSE将允许访问的决策请求和隐私策略返回给PEP-CSE。
[0275]
(7)PEP-CSE获取发起方期望访问的目标资源,并从获取的结果中按隐私策略的规定过滤掉指定的资源属性。
[0276]
(8)宿主CSE将资源访问结果返回给发起方。
[0277]
参见图2,图2是本公开实施例提供的访问控制策略的处理装置的结构图,如图2所示,访问控制策略的处理装置包括:
[0278]
接收模块201,用于接收资源访问发起方对目标资源的资源访问请求;
[0279]
确定模块202,用于根据所述资源访问请求,确定所述目标资源的目标访问控制策略,其中,所述目标访问控制策略为具有调度能力的访问控制策略;
[0280]
获取模块203,用于根据所述目标访问控制策略,获取对所述目标资源的策略评估结果;
[0281]
执行模块204,用于根据所述策略评估结果,执行访问控制决策;
[0282]
其中,所述目标访问控制策略用于对所述目标资源关联的访问控制策略进行调度,所述目标资源关联的访问控制策略包括同一种类的一个或者多个访问控制策略,或者包括不同种类的一个或者多个访问控制策略。
[0283]
其中,所述目标访问控制策略的资源属性或子资源包括以下至少一项:
[0284]
资源标识,用于唯一标识所述目标访问控制策略;
[0285]
策略管理权限,用于描述针对所述目标访问控制策略的访问控制策略;
[0286]
策略适用范围,用于描述适用于所述目标访问控制策略的资源访问发起方和/或适用于所述目标访问控制策略的资源;
[0287]
策略合并算法,用于描述对多个访问控制策略的评估结果的合并方式;
[0288]
令牌策略应用规则,用于描述令牌策略的使用方式;
[0289]
隐私策略,用于描述需从返回给资源访问发起方的结果中滤除的信息;
[0290]
访问控制策略列表,用于描述一个或多个访问控制策略,所述一个或者多个访问控制策略为同一种类的访问控制策略或者为不同种类的访问控制策略;
[0291]
PDP-CSE地址列表,用于描述为作为策略执行点PEP的宿主CSE提供访问控制决策的CSE;
[0292]
PRP-CSE地址列表,用于描述为作为PDP的宿主CSE提供访问控制策略的CSE;
[0293]
PIP-CSE地址列表,用于描述为作为PDP的宿主CSE提供访问控制信息的CSE。
[0294]
其中,所述目标资源关联的访问控制策略包括:本地访问控制策略,令牌策略,分布式存储的访问控制策略中的一项或者多项;
[0295]
所述本地访问控制策略包括第一本地访问控制策略和/或第二本地访问 控制策略;
[0296]
其中,所述第一本地访问控制策略存储在所述目标访问控制策略的访问控制策略列表中,所述第二本地访问控制策略通过资源引用的方式存储在其他访问控制策略的资源中。
[0297]
可选的,获取模块203包括:
[0298]
确定子模块,用于根据所述策略适用范围,确定所述资源访问发起方和/或所述目标资源是否适用于所述目标访问控制策略;
[0299]
第一获取子模块,用于若所述资源访问发起方和/或所述目标资源适用于所述目标访问控制策略,获取所述目标资源关联的访问控制策略;
[0300]
第二获取子模块,用于对所述目标资源关联的访问控制策略进行评估,获得策略评估结果。
[0301]
可选的,若所述资源访问请求中包括访问控制令牌,在所述令牌策略应用规则表示需使用令牌策略的情况下,所述获取模块203具体用于,对所述令牌策略进行评估,获得令牌策略评估结果。
[0302]
可选的,所述装置还可包括:第一合并模块205,用于根据策略合并算法对多个策略评估结果进行合并。
[0303]
可选的,所述装置还可包括:第二获取模块206,用于获取隐私策略;所述执行模块204具体用于,在策略评估结果表示允许访问的情况下,允许对所述目标资源的访问,并滤除所述目标资源中所述隐私策略对应的资源属性和/或子资源。
[0304]
可选的,所述装置还可包括:发送模块207,用于在所述令牌策略应用规则表示需使用令牌策略时,若所述资源访问请求中未包括访问控制令牌,向所述资源访问发起方发送令牌授权实体的地址。
[0305]
在分布式授权架构下,所述接收模块201,具体用于为作为策略执行点的宿主CSE PEP-CSE接收所述资源访问请求,并根据所述PDP-CSE地址列表将所述资源访问请求发送给策略决策点PDP-CSE;
[0306]
所述确定模块202,具体用于为作为PDP-CSE的宿主CSE根据所述资源访问请求确定所述目标访问控制策略,并根据所述PRP-CSE地址列表,从策略获取点PRP-CSE获取所述目标资源关联的访问控制策略;
[0307]
所述获取模块203,具体用于作为PDP-CSE的宿主CSE对所述目标资源关联的访问控制策略进行评估,获取对所述目标资源的策略评估结果,并向所述PEP-CSE发送所述策略评估结果;
[0308]
所述执行模块204,具体用于为所述PEP-CSE根据所述策略评估结果,执行访问控制决策。
[0309]
在这种架构下,所述装置还可包括:信息获取模块207,用于为作为PDP-CSE的宿主CSE根据所述PIP-CSE地址列表从策略信息点PIP-CSE获取访问控制信息。合并模块208,用于为作为PDP-CSE的宿主CSE根据策略合并算法对多个策略评估结果进行合并。隐私策略获取模块209,用于为作为PDP-CSE的宿主CSE获取隐私策略,根据所述隐私策略确定需过滤的资源属性和/或子资源,并向所述PEP-CSE发送所述资源属性和/或子资源;此时,所述执行模块204具体用于,在所述策略评估结果表示允许访问所述目标资源的情况下,为所述PEP-CSE根据所述资源属性和/或子资源,滤除所述目标资源中所述隐私策略对应的资源属性和/或子资源。
[0310]
在本公开实施例中,由于目标访问控制策略为具有调度能力的访问控制策略,因此,可通过该策略对目标资源关联的相同种类或者不同种类的访问控制策略进行调度,从而,利用本公开实施例可解决不同种类的访问控制策略在访问控制过程中的协同工作问题。
[0311]
如图3所示,本公开实施例的通信设备,包括:
[0312]
收发机310,用于接收资源访问发起方对目标资源的资源访问请求;
[0313]
处理器300,用于读取存储器320中的程序,执行下列过程:
[0314]
读取存储器中的程序,执行下列过程:
[0315]
根据所述资源访问请求,确定所述目标资源的目标访问控制策略,其中,所述目标访问控制策略为具有调度能力的访问控制策略;
[0316]
根据所述目标访问控制策略,获取对所述目标资源的策略评估结果;
[0317]
根据所述策略评估结果,执行访问控制决策;
[0318]
其中,所述目标访问控制策略用于对所述目标资源关联的访问控制策略进行调度,所述目标资源关联的访问控制策略包括同一种类的一个或者多个访问控制策略,或者包括不同种类的一个或者多个访问控制策略。
[0319]
其中,在图3中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器300代表的一个或多个处理器和存储器320代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机310可以是多个元件,即包括发送机和收发机,提供用于在传输介质上与各种其他装置通信的单元。处理器300负责管理总线架构和通常的处理,存储器320可以存储处理器300在执行操作时所使用的数据。
[0320]
处理器300负责管理总线架构和通常的处理,存储器320可以存储处理器300在执行操作时所使用的数据。
[0321]
其中,所述目标访问控制策略的资源属性或子资源包括以下至少一项:
[0322]
资源标识,用于唯一标识所述目标访问控制策略;
[0323]
策略管理权限,用于描述针对所述目标访问控制策略的访问控制策略;
[0324]
策略适用范围,用于描述适用于所述目标访问控制策略的资源访问发起方和/或适用于所述目标访问控制策略的资源;
[0325]
策略合并算法,用于描述对多个访问控制策略的评估结果的合并方式;
[0326]
令牌策略应用规则,用于描述令牌策略的使用方式;
[0327]
隐私策略,用于描述需从返回给资源访问发起方的结果中滤除的信息;
[0328]
访问控制策略列表,用于描述一个或多个访问控制策略,所述一个或者多个访问控制策略为同一种类的访问控制策略或者为不同种类的访问控制策略;
[0329]
PDP-CSE地址列表,用于描述为作为策略执行点PEP的宿主CSE提供访问控制决策的CSE;
[0330]
PRP-CSE地址列表,用于描述为作为PDP的宿主CSE提供访问控制策略的CSE;
[0331]
PIP-CSE地址列表,用于描述为作为PDP的宿主CSE提供访问控制信息的CSE。
[0332]
其中,所述目标资源关联的访问控制策略包括:本地访问控制策略,令牌策略,分布式存储的访问控制策略中的一项或者多项;
[0333]
所述本地访问控制策略包括第一本地访问控制策略和/或第二本地访问控制策略;
[0334]
其中,所述第一本地访问控制策略存储在所述目标访问控制策略的访问控制策略列表中,所述第二本地访问控制策略通过资源引用的方式存储在其他访问控制策略的资源中。
[0335]
处理器300还用于读取所述计算机程序,执行如下步骤:
[0336]
根据所述策略适用范围,确定所述资源访问发起方和/或所述目标资源是否适用于所述目标访问控制策略;
[0337]
若所述资源访问发起方和/或所述目标资源适用于所述目标访问控制策略,获取所述目标资源关联的访问控制策略;
[0338]
对所述目标资源关联的访问控制策略进行评估,获得策略评估结果。
[0339]
处理器300还用于读取所述计算机程序,执行如下步骤:
[0340]
若所述资源访问请求中包括访问控制令牌,在所述令牌策略应用规则表示需使用令牌策略的情况下,对所述令牌策略进行评估,获得令牌策略评估结果。
[0341]
处理器300还用于读取所述计算机程序,执行如下步骤:
[0342]
获取隐私策略;
[0343]
在策略评估结果表示允许访问的情况下,允许对所述目标资源的访问,并滤除所述目标资源中所述隐私策略对应的资源属性和/或子资源。
[0344]
处理器300还用于读取所述计算机程序,执行如下步骤:
[0345]
在所述令牌策略应用规则表示需使用令牌策略时,若所述资源访问请求中未包括访问控制令牌,向所述资源访问发起方发送令牌授权实体的地址。
[0346]
处理器300还用于读取所述计算机程序,执行如下步骤:
[0347]
为作为策略执行点的宿主CSE PEP-CSE接收所述资源访问请求,并根据所述PDP-CSE地址列表将所述资源访问请求发送给策略决策点PDP-CSE;
[0348]
为作为PDP-CSE的宿主CSE根据所述资源访问请求确定所述目标访问控制策略,并根据所述PRP-CSE地址列表,从策略获取点PRP-CSE获取所述目标资源关联的访问控制策略;
[0349]
为作为PDP-CSE的宿主CSE对所述目标资源关联的访问控制策略进行评 估,获取对所述目标资源的策略评估结果,并向所述PEP-CSE发送所述策略评估结果;
[0350]
为所述PEP-CSE根据所述策略评估结果,执行访问控制决策。
[0351]
处理器300还用于读取所述计算机程序,执行如下步骤:
[0352]
为作为PDP-CSE的宿主CSE根据所述PIP-CSE地址列表从策略信息点PIP-CSE获取访问控制信息。
[0353]
处理器300还用于读取所述计算机程序,执行如下步骤:
[0354]
为作为PDP-CSE的宿主CSE根据策略合并算法对多个策略评估结果进行合并。
[0355]
处理器300还用于读取所述计算机程序,执行如下步骤:
[0356]
为作为PDP-CSE的宿主CSE获取隐私策略,根据所述隐私策略确定需过滤的资源属性和/或子资源,并向所述PEP-CSE发送所述资源属性和/或子资源;
[0357]
在所述策略评估结果表示允许访问所述目标资源的情况下,为所述PEP-CSE根据所述资源属性和/或子资源,滤除所述目标资源中所述隐私策略对应的资源属性和/或子资源。
[0358]
此外,本公开实施例的计算机可读存储介质,用于存储计算机程序,所述计算机程序可被处理器执行实现以下步骤:
[0359]
接收资源访问发起方对目标资源的资源访问请求;
[0360]
根据所述资源访问请求,确定所述目标资源的目标访问控制策略,其中,所述目标访问控制策略为具有调度能力的访问控制策略;
[0361]
根据所述目标访问控制策略,获取对所述目标资源的策略评估结果;
[0362]
根据所述策略评估结果,执行访问控制决策;
[0363]
其中,所述目标访问控制策略用于对所述目标资源关联的访问控制策略进行调度,所述目标资源关联的访问控制策略包括同一种类的一个或者多个访问控制策略,或者包括不同种类的一个或者多个访问控制策略。
[0364]
其中,所述目标访问控制策略的资源属性或子资源包括以下至少一项:
[0365]
资源标识,用于唯一标识所述目标访问控制策略;
[0366]
策略管理权限,用于描述针对所述目标访问控制策略的访问控制策略;
[0367]
策略适用范围,用于描述适用于所述目标访问控制策略的资源访问发起方和/或适用于所述目标访问控制策略的资源;
[0368]
策略合并算法,用于描述对多个访问控制策略的评估结果的合并方式;
[0369]
令牌策略应用规则,用于描述令牌策略的使用方式;
[0370]
隐私策略,用于描述需从返回给资源访问发起方的结果中滤除的信息;
[0371]
访问控制策略列表,用于描述一个或多个访问控制策略,所述一个或者多个访问控制策略为同一种类的访问控制策略或者为不同种类的访问控制策略;
[0372]
策略决策点-公共服务实体PDP-CSE地址列表,用于描述为作为策略执行点PEP的宿主CSE提供访问控制决策的CSE;
[0373]
策略获取点PRP-CSE地址列表,用于描述为作为PDP的宿主CSE提供访问控制策略的CSE;
[0374]
策略信息点PIP-CSE地址列表,用于描述为作为PDP的宿主CSE提供访问控制信息的CSE。
[0375]
其中,所述目标资源关联的访问控制策略包括:本地访问控制策略,令牌策略,分布式存储的访问控制策略中的一项或者多项;
[0376]
所述本地访问控制策略包括第一本地访问控制策略和/或第二本地访问控制策略;
[0377]
其中,所述第一本地访问控制策略存储在所述目标访问控制策略的访问控制策略列表中,所述第二本地访问控制策略通过资源引用的方式存储在其他访问控制策略的资源中。
[0378]
其中,所述根据所述目标访问控制策略,获取对所述目标资源的策略评估结果,包括:
[0379]
根据所述策略适用范围,确定所述资源访问发起方和/或所述目标资源是否适用于所述目标访问控制策略;
[0380]
若所述资源访问发起方和/或所述目标资源适用于所述目标访问控制策略,获取所述目标资源关联的访问控制策略;
[0381]
对所述目标资源关联的访问控制策略进行评估,获得策略评估结果。
[0382]
其中,若所述资源访问请求中包括访问控制令牌,在所述令牌策略应用 规则表示需使用令牌策略的情况下,所述对所述目标资源关联的访问控制策略进行评估,获得策略评估结果,包括:
[0383]
对所述令牌策略进行评估,获得令牌策略评估结果。
[0384]
其中,当所述策略评估结果为多个时,所述方法还包括:
[0385]
根据策略合并算法对多个策略评估结果进行合并。
[0386]
其中,所述方法还包括:
[0387]
获取隐私策略;
[0388]
所述根据所述策略评估结果,执行访问控制决策,包括:
[0389]
在策略评估结果表示允许访问的情况下,允许对所述目标资源的访问,并滤除所述目标资源中所述隐私策略对应的资源属性和/或子资源。
[0390]
其中,在所述令牌策略应用规则表示需使用令牌策略时,若所述资源访问请求中未包括访问控制令牌,所述方法还包括:
[0391]
向所述资源访问发起方发送令牌授权实体的地址。
[0392]
其中,所述接收资源访问发起方对目标资源的资源访问请求,包括:
[0393]
作为策略执行点的宿主CSE PEP-CSE接收所述资源访问请求,并根据所述PDP-CSE地址列表将所述资源访问请求发送给策略决策点PDP-CSE;
[0394]
所述根据所述资源访问请求,确定所述目标资源的目标访问控制策略,包括:
[0395]
作为PDP-CSE的宿主CSE根据所述资源访问请求确定所述目标访问控制策略,并根据所述PRP-CSE地址列表,从策略获取点PRP-CSE获取所述目标资源关联的访问控制策略;
[0396]
所述根据所述目标访问控制策略,获取对所述目标资源的策略评估结果,包括:
[0397]
作为PDP-CSE的宿主CSE对所述目标资源关联的访问控制策略进行评估,获取对所述目标资源的策略评估结果,并向所述PEP-CSE发送所述策略评估结果;
[0398]
所述根据所述策略评估结果,执行访问控制决策,包括:
[0399]
所述PEP-CSE根据所述策略评估结果,执行访问控制决策。
[0400]
其中,所述方法还包括:
[0401]
作为PDP-CSE的宿主CSE根据所述PIP-CSE地址列表从策略信息点PIP-CSE获取访问控制信息。
[0402]
其中,所述方法还包括:
[0403]
作为PDP-CSE的宿主CSE根据策略合并算法对多个策略评估结果进行合并。
[0404]
其中,所述方法还包括:
[0405]
作为PDP-CSE的宿主CSE获取隐私策略,根据所述隐私策略确定需过滤的资源属性和/或子资源,并向所述PEP-CSE发送所述资源属性和/或子资源;
[0406]
所述PEP-CSE根据所述策略评估结果,执行访问控制决策,包括:
[0407]
在所述策略评估结果表示允许访问所述目标资源的情况下,所述PEP-CSE根据所述资源属性和/或子资源,滤除所述目标资源中所述隐私策略对应的资源属性和/或子资源。
[0408]
在本申请所提供的几个实施例中,应该理解到,所揭露方法和装置,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
[0409]
另外,在本公开各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理包括,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
[0410]
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本公开各个实施例所述收发方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等各种可以存储程序 代码的介质。
[0411]
以上所述是本公开的一些实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本公开所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本公开的保护范围。

权利要求书

[权利要求 1]
一种访问控制策略的处理方法,包括: 接收资源访问发起方对目标资源的资源访问请求; 根据所述资源访问请求,确定所述目标资源的目标访问控制策略,其中,所述目标访问控制策略为具有调度能力的访问控制策略; 根据所述目标访问控制策略,获取对所述目标资源的策略评估结果; 根据所述策略评估结果,执行访问控制决策; 其中,所述目标访问控制策略用于对所述目标资源关联的访问控制策略进行调度,所述目标资源关联的访问控制策略包括同一种类的一个或者多个访问控制策略,或者包括不同种类的一个或者多个访问控制策略。
[权利要求 2]
根据权利要求1所述的方法,其中,所述目标访问控制策略的资源属性或子资源包括以下至少一项: 资源标识,用于唯一标识所述目标访问控制策略; 策略管理权限,用于描述针对所述目标访问控制策略的访问控制策略; 策略适用范围,用于描述适用于所述目标访问控制策略的资源访问发起方和/或适用于所述目标访问控制策略的资源; 策略合并算法,用于描述对多个访问控制策略的评估结果的合并方式; 令牌策略应用规则,用于描述令牌策略的使用方式; 隐私策略,用于描述需从返回给资源访问发起方的结果中滤除的信息; 访问控制策略列表,用于描述一个或多个访问控制策略,所述一个或者多个访问控制策略为同一种类的访问控制策略或者为不同种类的访问控制策略; 策略决策点-公共服务实体PDP-CSE地址列表,用于描述为作为策略执行点PEP的宿主CSE提供访问控制决策的CSE; 策略获取点PRP-CSE地址列表,用于描述为作为PDP的宿主CSE提供访问控制策略的CSE; 策略信息点PIP-CSE地址列表,用于描述为作为PDP的宿主CSE提供访问控制信息的CSE。
[权利要求 3]
根据权利要求2所述的方法,其中,所述目标资源关联的访问控制策略包括:本地访问控制策略,令牌策略,分布式存储的访问控制策略中的一项或者多项; 所述本地访问控制策略包括第一本地访问控制策略和/或第二本地访问控制策略; 其中,所述第一本地访问控制策略存储在所述目标访问控制策略的访问控制策略列表中,所述第二本地访问控制策略通过资源引用的方式存储在其他访问控制策略的资源中。
[权利要求 4]
根据权利要求3所述的方法,其中,所述根据所述目标访问控制策略,获取对所述目标资源的策略评估结果,包括: 根据所述策略适用范围,确定所述资源访问发起方和/或所述目标资源是否适用于所述目标访问控制策略; 若所述资源访问发起方和/或所述目标资源适用于所述目标访问控制策略,获取所述目标资源关联的访问控制策略; 对所述目标资源关联的访问控制策略进行评估,获得策略评估结果。
[权利要求 5]
根据权利要求4所述的方法,其中,若所述资源访问请求中包括访问控制令牌,在所述令牌策略应用规则表示需使用令牌策略的情况下,所述对所述目标资源关联的访问控制策略进行评估,获得策略评估结果,包括: 对所述令牌策略进行评估,获得令牌策略评估结果。
[权利要求 6]
根据权利要求4所述的方法,其中,当所述策略评估结果为多个时,所述方法还包括: 根据策略合并算法对多个策略评估结果进行合并。
[权利要求 7]
根据权利要求4-6任一项所述的方法,还包括: 获取隐私策略; 所述根据所述策略评估结果,执行访问控制决策,包括: 在策略评估结果表示允许访问的情况下,允许对所述目标资源的访问,并滤除所述目标资源中所述隐私策略对应的资源属性和/或子资源。
[权利要求 8]
根据权利要求2所述的方法,其中,在所述令牌策略应用规则表示需使用令牌策略时,若所述资源访问请求中未包括访问控制令牌,所述方法还 包括: 向所述资源访问发起方发送令牌授权实体的地址。
[权利要求 9]
根据权利要求2所述的方法,其中, 所述接收资源访问发起方对目标资源的资源访问请求,包括: 作为策略执行点的宿主CSE PEP-CSE接收所述资源访问请求,并根据所述PDP-CSE地址列表将所述资源访问请求发送给策略决策点PDP-CSE; 所述根据所述资源访问请求,确定所述目标资源的目标访问控制策略,包括: 作为PDP-CSE的宿主CSE根据所述资源访问请求确定所述目标访问控制策略,并根据所述PRP-CSE地址列表,从策略获取点PRP-CSE获取所述目标资源关联的访问控制策略; 所述根据所述目标访问控制策略,获取对所述目标资源的策略评估结果,包括: 作为PDP-CSE的宿主CSE对所述目标资源关联的访问控制策略进行评估,获取对所述目标资源的策略评估结果,并向所述PEP-CSE发送所述策略评估结果; 所述根据所述策略评估结果,执行访问控制决策,包括: 所述PEP-CSE根据所述策略评估结果,执行访问控制决策。
[权利要求 10]
根据权利要求9所述的方法,还包括: 作为PDP-CSE的宿主CSE根据所述PIP-CSE地址列表从策略信息点PIP-CSE获取访问控制信息。
[权利要求 11]
根据权利要求9所述的方法,还包括: 作为PDP-CSE的宿主CSE根据策略合并算法对多个策略评估结果进行合并。
[权利要求 12]
根据权利要求9所述的方法,还包括: 作为PDP-CSE的宿主CSE获取隐私策略,根据所述隐私策略确定需过滤的资源属性和/或子资源,并向所述PEP-CSE发送所述资源属性和/或子资源; 所述PEP-CSE根据所述策略评估结果,执行访问控制决策,包括: 在所述策略评估结果表示允许访问所述目标资源的情况下,所述PEP-CSE 根据所述资源属性和/或子资源,滤除所述目标资源中所述隐私策略对应的资源属性和/或子资源。
[权利要求 13]
一种访问控制策略的处理装置,包括: 接收模块,用于接收资源访问发起方对目标资源的资源访问请求; 确定模块,用于根据所述资源访问请求,确定所述目标资源的目标访问控制策略,其中,所述目标访问控制策略为具有调度能力的访问控制策略; 获取模块,用于根据所述目标访问控制策略,获取对所述目标资源的策略评估结果; 执行模块,用于根据所述策略评估结果,执行访问控制决策; 其中,所述目标访问控制策略用于对所述目标资源关联的访问控制策略进行调度,所述目标资源关联的访问控制策略包括同一种类的一个或者多个访问控制策略,或者包括不同种类的一个或者多个访问控制策略。
[权利要求 14]
根据权利要求13所述的装置,其中,所述目标访问控制策略的资源属性或子资源包括以下至少一项: 资源标识,用于唯一标识所述目标访问控制策略; 策略管理权限,用于描述针对所述目标访问控制策略的访问控制策略; 策略适用范围,用于描述适用于所述目标访问控制策略的资源访问发起方和/或适用于所述目标访问控制策略的资源; 策略合并算法,用于描述对多个访问控制策略的评估结果的合并方式; 令牌策略应用规则,用于描述令牌策略的使用方式; 隐私策略,用于描述需从返回给资源访问发起方的结果中滤除的信息; 访问控制策略列表,用于描述一个或多个访问控制策略,所述一个或者多个访问控制策略为同一种类的访问控制策略或者为不同种类的访问控制策略; PDP-CSE地址列表,用于描述为作为策略执行点PEP的宿主CSE提供访问控制决策的CSE; PRP-CSE地址列表,用于描述为作为PDP的宿主CSE提供访问控制策略的CSE; PIP-CSE地址列表,用于描述为作为PDP的宿主CSE提供访问控制信息 的CSE。
[权利要求 15]
一种通信设备,包括:收发机、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序;其中, 所述收发机,用于接收资源访问发起方对目标资源的资源访问请求; 所述处理器,用于读取存储器中的程序,执行下列过程: 根据所述资源访问请求,确定所述目标资源的目标访问控制策略,其中,所述目标访问控制策略为具有调度能力的访问控制策略; 根据所述目标访问控制策略,获取对所述目标资源的策略评估结果; 根据所述策略评估结果,执行访问控制决策; 其中,所述目标访问控制策略用于对所述目标资源关联的访问控制策略进行调度,所述目标资源关联的访问控制策略包括同一种类的一个或者多个访问控制策略,或者包括不同种类的一个或者多个访问控制策略。
[权利要求 16]
根据权利要求15所述的设备,其中,所述目标访问控制策略的资源属性或子资源包括以下至少一项: 资源标识,用于唯一标识所述目标访问控制策略; 策略管理权限,用于描述针对所述目标访问控制策略的访问控制策略; 策略适用范围,用于描述适用于所述目标访问控制策略的资源访问发起方和/或适用于所述目标访问控制策略的资源; 策略合并算法,用于描述对多个访问控制策略的评估结果的合并方式; 令牌策略应用规则,用于描述令牌策略的使用方式; 隐私策略,用于描述需从返回给资源访问发起方的结果中滤除的信息; 访问控制策略列表,用于描述一个或多个访问控制策略,所述一个或者多个访问控制策略为同一种类的访问控制策略或者为不同种类的访问控制策略; PDP-CSE地址列表,用于描述为作为策略执行点PEP的宿主CSE提供访问控制决策的CSE; PRP-CSE地址列表,用于描述为作为PDP的宿主CSE提供访问控制策略的CSE; PIP-CSE地址列表,用于描述为作为PDP的宿主CSE提供访问控制信息 的CSE。
[权利要求 17]
根据权利要求16所述设备,其中,所述目标资源关联的访问控制策略包括:本地访问控制策略,令牌策略,分布式存储的访问控制策略中的一项或者多项; 所述本地访问控制策略包括第一本地访问控制策略和/或第二本地访问控制策略; 其中,所述第一本地访问控制策略存储在所述目标访问控制策略的访问控制策略列表中,所述第二本地访问控制策略通过资源引用的方式存储在其他访问控制策略的资源中。
[权利要求 18]
根据权利要求17所述的设备,其中,所述处理器还用于读取存储器中的程序,执行下列过程: 根据所述策略适用范围,确定所述资源访问发起方和/或所述目标资源是否适用于所述目标访问控制策略; 若所述资源访问发起方和/或所述目标资源适用于所述目标访问控制策略,获取所述目标资源关联的访问控制策略; 对所述目标资源关联的访问控制策略进行评估,获得策略评估结果。
[权利要求 19]
根据权利要求18所述的设备,其中,所述处理器还用于读取存储器中的程序,执行下列过程: 若所述资源访问请求中包括访问控制令牌,在所述令牌策略应用规则表示需使用令牌策略的情况下,对所述令牌策略进行评估,获得令牌策略评估结果。
[权利要求 20]
根据权利要求18所述的设备,其中,所述处理器还用于读取存储器中的程序,执行下列过程: 根据策略合并算法对多个策略评估结果进行合并。
[权利要求 21]
根据权利要求18-20任一项所述的设备,其中,所述处理器还用于读取存储器中的程序,执行下列过程: 获取隐私策略; 在策略评估结果表示允许访问的情况下,允许对所述目标资源的访问,并滤除所述目标资源中所述隐私策略对应的资源属性和/或子资源。
[权利要求 22]
根据权利要求16所述的设备,其中,所述处理器还用于读取存储器中的程序,执行下列过程: 在所述令牌策略应用规则表示需使用令牌策略时,若所述资源访问请求中未包括访问控制令牌,向所述资源访问发起方发送令牌授权实体的地址。
[权利要求 23]
根据权利要求16所述的设备,其中,所述处理器还用于读取存储器中的程序,执行下列过程: 为作为策略执行点的宿主CSE PEP-CSE接收所述资源访问请求,并根据所述PDP-CSE地址列表将所述资源访问请求发送给策略决策点PDP-CSE; 为作为PDP-CSE的宿主CSE根据所述资源访问请求确定所述目标访问控制策略,并根据所述PRP-CSE地址列表,从策略获取点PRP-CSE获取所述目标资源关联的访问控制策略; 为作为PDP-CSE的宿主CSE对所述目标资源关联的访问控制策略进行评估,获取对所述目标资源的策略评估结果,并向所述PEP-CSE发送所述策略评估结果; 为所述PEP-CSE根据所述策略评估结果,执行访问控制决策。
[权利要求 24]
根据权利要求23所述的设备,其中,所述处理器还用于读取存储器中的程序,执行下列过程: 为作为PDP-CSE的宿主CSE根据所述PIP-CSE地址列表从策略信息点PIP-CSE获取访问控制信息。
[权利要求 25]
根据权利要求23所述的设备,其中,所述处理器还用于读取存储器中的程序,执行下列过程: 为作为PDP-CSE的宿主CSE根据策略合并算法对多个策略评估结果进行合并。
[权利要求 26]
根据权利要求23所述的设备,其中,所述处理器还用于读取存储器中的程序,执行下列过程: 为作为PDP-CSE的宿主CSE获取隐私策略,根据所述隐私策略确定需过滤的资源属性和/或子资源,并向所述PEP-CSE发送所述资源属性和/或子资源; 在所述策略评估结果表示允许访问所述目标资源的情况下,为所述 PEP-CSE根据所述资源属性和/或子资源,滤除所述目标资源中所述隐私策略对应的资源属性和/或子资源。
[权利要求 27]
一种计算机可读存储介质,用于存储计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1至12中任一项所述的方法中的步骤。

附图

[ 图 1]  
[ 图 2]  
[ 图 3]