阅读说明：本技术 访问控制策略配置方法、装置和系统以及存储介质 (Access control policy configuration method, device and system and storage medium ) 是由 张乾 赵君杰 苏京 于 2018-08-22 设计创作，主要内容包括：本公开提供了一种访问控制策略配置方法、装置和系统以及存储介质,涉及物联网技术领域,其中方法包括：在创建第二资源时,确定对于第二资源是否设置有接入控制策略继承属性；根据确定结果配置第二资源的访问控制策略；本公开的方法、装置和系统以及存储介质,可以根据接入控制策略继承属性确定是否继承父资源的访问策略权限,能够高效设置以及更改子资源的访问控制策略,能够根据用户对于继承关系的指示进行访问控制策略的配置和修改,提高了对于资源进行访问控制策略的设置和更改的效率,完善了现有的访问控制策略的相关标准。(The disclosure provides an access control strategy configuration method, device and system and a storage medium, and relates to the technical field of Internet of things, wherein the method comprises the following steps: when creating the second resource, determining whether an access control policy inheritance attribute is set for the second resource; configuring an access control strategy of the second resource according to the determination result; the method, the device, the system and the storage medium can determine whether to inherit the access strategy authority of the parent resource or not according to the inheritance property of the access control strategy, can efficiently set and change the access control strategy of the child resource, can configure and modify the access control strategy according to the indication of the inheritance relation of the user, improve the setting and changing efficiency of the access control strategy of the resource and perfect the relevant standard of the existing access control strategy.)

访问控制策略配置方法、装置和系统以及存储介质

技术领域

本公开涉及物联网技术领域，尤其涉及一种访问控制策略配置方法、装置和系统以及存储介质。

背景技术

在物联网中，对于资源的接入控制通常使用基于属性的接入控制，通过设置资源属性控制资源接入。接入控制策略(accessControlPolicy)资源中存储的是访问控制策略内容，即请求可否经过授权的评估依据内容。目标资源与接入控制策略资源相连接是通过接入控制策略标识(accessControlPolicyIDs)属性值进行连接的，访问目标资源的请求要通过接入控制策略标识属性值中对应的一个或多个接入控制策略标识资源的授权验证，才可完成请求授权操作。

在相关的技术中，如果目标资源没有设置自身的接入控制策略标识属性值，则授权评估依据其父资源的接入控制策略标识属性值所对应的接入控制策略资源进行。在创建目标资源时，如果对于目标资源设置自身的接入控制策略标识属性值，则此目标资源不继承父资源的策略权限；或者，目标资源没有自身的接入控制策略标识属性值，继承父资源的访问控制策略，在为其单独添加了自身的接入控制策略标识属性值后，则此目标资源不继承父资源的策略权限。如果用户希望具有自身的接入控制策略标识属性值的目标资源继承父资源的策略权限，则在创建了目标资源后，用户需要重新生成新的访问控制策略然后进行部署。

公开内容

有鉴于此，本公开要解决的一个技术问题是提供一种访问控制策略配置方法、装置和系统以及存储介质。

根据本公开的一个方面，提供一种访问控制策略配置方法，用于第一资源，所述方法包括：在创建第二资源时，确定对于所述第二资源是否设置有接入控制策略继承属性；根据确定结果配置所述第二资源的访问控制策略。

可选地，所述根据确定结果配置所述第二资源的访问控制策略包括：如果设置有所述接入控制策略继承属性，则基于所述接入控制策略继承属性判断所述第二资源是否继承与此第二资源具有父子继承关系的父资源的访问控制策略；根据判断结果设置所述第二资源的访问控制策略。

可选地，如果所述接入控制策略继承属性的属性值为第一设定值，则确定所述第二资源继承所述父资源的访问控制策略；如果所述接入控制策略继承属性的属性值为第二设定值，则确定所述第二资源不继承所述父资源的访问控制策略；如果所述接入控制策略继承属性的属性值为第三设定值，则根据预设的设置规则确定所述第二资源是否继承所述父资源的访问控制策略。

可选地，所述配置所述第二资源的访问控制策略包括：当所述接入控制策略继承属性的属性值为第一设定值时，则根据所述父资源的第一访问控制策略标识属性设置所述第二资源的第二访问控制策略标识属性；当所述接入控制策略继承属性的属性值为第二设定值时，则请求应用层制定所述第二访问控制策略标识属性；当所述接入控制策略继承属性的属性值为第三设定值时，则根据所述父资源的第一访问控制策略标识属性设置所述第二访问控制策略标识属性，或请求应用层制定所述第二访问控制策略标识属性。

可选地，在创建第二资源时，确定对于所述第二资源是否设置有第三访问控制策略标识属性；如果设置有所述第三访问控制策略标识属性，则在所述第二访问控制策略标识属性中添加所述第三访问控制策略标识属性。

可选地，对于所述接入控制策略继承属性的属性值为所述第一设定值的第二资源，如果在与此第二资源相对应的所述第一访问控制策略标识属性中新添或删除访问控制策略标识信息，则在此第二资源的第二访问控制策略标识属性中相应地新添或删除所述访问控制策略标识信息。

可选地，接收到用于创建所述第二资源的资源创建消息，其中，所述资源创建消息携带有所述接入控制策略继承属性的属性值，或者所述资源创建消息携带有所述接入控制策略继承属性的属性值和所述第三访问控制策略标识属性；设置所述第二访问控制策略标识属性并返回。

可选地，如果没有设置所述接入控制策略继承属性，则基于预设的策略配置规则配置所述第二资源的访问控制策略。

根据本公开的另一方面，提供一种访问控制策略配置装置，用于第一资源，包括：属性确定模块，用于在创建第二资源时，确定对于所述第二资源是否设置有接入控制策略继承属性；控制策略配置模块，用于根据确定结果配置所述第二资源的访问控制策略。

可选地，所述控制策略配置模块，包括：继承判断单元，用于如果设置有所述接入控制策略继承属性，则基于所述接入控制策略继承属性判断所述第二资源是否继承与此第二资源具有父子继承关系的父资源的访问控制策略；策略设置单元，用于根据判断结果设置所述第二资源的访问控制策略。

可选地，继承判断单元，用于如果所述接入控制策略继承属性的属性值为第一设定值，则确定所述第二资源继承所述父资源的访问控制策略；如果所述接入控制策略继承属性的属性值为第二设定值，则确定所述第二资源不继承所述父资源的访问控制策略；策略设置单元，用于如果所述接入控制策略继承属性的属性值为第三设定值，则根据预设的设置规则确定所述第二资源是否继承所述父资源的访问控制策略。

可选地，所述策略设置单元，用于当所述接入控制策略继承属性的属性值为第一设定值时，则根据所述父资源的第一访问控制策略标识属性设置所述第二资源的第二访问控制策略标识属性；当所述接入控制策略继承属性的属性值为第二设定值时，则请求应用层制定所述第二访问控制策略标识属性；所述策略设置单元，用于当所述接入控制策略继承属性的属性值为第三设定值时，则根据所述父资源的第一访问控制策略标识属性设置所述第二访问控制策略标识属性，或请求应用层制定所述第二访问控制策略标识属性。

可选地，所述属性确定模块，用于在创建第二资源时，确定对于所述第二资源是否设置有第三访问控制策略标识属性；所述策略设置单元，用于如果设置有所述第三访问控制策略标识属性，则在所述第二访问控制策略标识属性中添加所述第三访问控制策略标识属性。

可选地，所述控制策略配置模块，包括：策略更新模块，用于对于所述接入控制策略继承属性的属性值为所述第一设定值的第二资源，如果在与此第二资源相对应的所述第一访问控制策略标识属性中新添或删除访问控制策略标识信息，则在此第二资源的第二访问控制策略标识属性中相应地新添或删除所述访问控制策略标识信息。

可选地，属性确定模块，用于接收到用于创建所述第二资源的资源创建消息，其中，所述资源创建消息携带有所述接入控制策略继承属性的属性值，或者所述资源创建消息携带有所述接入控制策略继承属性的属性值和所述第三访问控制策略标识属性；所述策略设置单元，用于设置所述第二访问控制策略标识属性并返回。

可选地，策略设置单元，用于如果没有设置所述接入控制策略继承属性，则基于预设的策略配置规则配置所述第二资源的访问控制策略。

根据本公开的又一方面，提供一种访问控制策略配置系统，包括：第一资源和第二资源，所述第一资源包括如上所述的访问控制策略配置装置。

可选地，所述第一资源包括：通用服务实体；所述第二资源包括：应用实体。

根据本公开的又一方面，提供一种访问控制策略配置装置，包括：存储器；以及耦接至所述存储器的处理器，所述处理器被配置为基于存储在所述存储器中的指令，执行如上所述的方法。

根据本公开的再一方面，提供一种计算机可读存储介质，其上存储有计算机程序指令，该指令被一个或多个处理器执行时实现如上所述的方法的步骤。

本公开的访问控制策略配置方法、装置和系统以及存储介质，可以根据接入控制策略继承属性确定是否继承父资源的访问策略权限，能够高效设置以及更改子资源的访问控制策略，能够根据用户对于继承关系的指示进行访问控制策略的配置和修改，提高了对于资源进行访问控制策略的设置和更改的效率，完善了现有的访问控制策略的相关标准，提高用户的使用感受度。

具体实施方式

现在将参照附图来详细描述本公开的各种示例性实施例。应注意到：除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。显然，所描述的实施例仅仅是本公开一部分实施例，而不是全部的实施例。基于本公开中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，也属于本公开保护的范围。

下文中的“第一”、“第二”等仅用于描述上相区别，并没有其它特殊的含义。

物联网包括感知层、网络层和应用层；其中感知层由各种传感器构成，包括例如红外传感器、电子标签、读卡器、感应器等感知终端，感知层是物联网识别物体、采集信息的来源；网络层由各种网络，包括互联网、广电网、网络管理系统和云计算平台等组成，负责传递和处理感知层获取的信息；应用层是物联网和用户的接口，它与行业需求结合，实现物联网的智能应用。

在对应于M2M架构上的应用层上，各个设备和传感器中的应用实体(ApplicationEntity，AE)提供了管理应用以及与应用进行交互的标准化的接口；在对应于应用层和网络层之间的业务层上，公共业务实体(Common Services Entity，CSE)支持资源共享和互操作性。在现有的访问控制策略配置方案中，访问控制策略(accessControlPolicy)资源中存储的是访问控制策略内容，访问控制策略内容是对于资源访的访问控制策略包括代表一组接入控制规则的属性权限，访问控制策略资源可以设置多个，对每个访问控制策略资源都设置有对应的标识符。

可以在根资源下设置访问控制策略资源，根资源下的目标资源下设置有访问控制策略标识(accessControlPolicyIDs)属性，访问控制策略标识属性的属性值包含访问控制策略的标识符列表，列表中包括至少一个访问控制策略标识符。目标资源与访问控制策略资源相连接是通过访问控制策略标识属性值来进行连接的。

访问目标资源的请求需要通过与访问控制策略标识属性中的访问控制策略的标识符列表中的一个或多个标识符对应的访问控制策略资源的授权验证，方可完成请求授权操作。如果目标资源没有访问控制策略标识属性，授权评估依据其父资源访问控制策略标识属性值所对应的访问控制策略标识属性进行，或者根据本地策略中请求者相关内容进行评估。

现有的访问控制策略配置方案存在比较严重的漏洞：一、作为发起者，一旦通过主动安全策略部署，例如在创建资源时就将访问控制策略标识属性作为属性之一发送给接收者，在应用层没有干预的情况下就意味着不继承父资源的策略权限；二、目标资源在初始没有访问控制策略标识属性值时，继承着父资源的访问控制策略，如果为其单独添加了访问控制策略标识属性，则意味着不继承父资源的策略权限。访问控制策略标识属性值为访问控制策略标识属性中包含的访问控制策略的标识符列表。

大型的物联网设备管理平台拥有大量的注册设备，并且拥有大量的访问交互数据。在安全层方面，已经有访问控制策略部署，访问控制策略包括：对已知黑名单用户的限制、对内部大数据分析主机的放行/限制、对特殊机构组织的局部权限放行/限制、对区域防控的权限部署等。在这些安全策略都部署的情况下，访问控制策略为：提供自上而下的访问控制策略，访问下级资源的同时，要兼顾遵守上级资源的访问控制权限。

平台使用用户划分等级并且存在包含关系。例如，对于高级机密组织，对于设备信息的管理，使用的用户分为不同的机密等级，机密等级越高，能看到的信息越多。现有的访问控制策略配置方法是对于资源的控制访问策略进行独立部署配置，即对于每个用户都独立配置自身的访问控制策略。

但是，大型的物联网设备管理平台的全局访问控制策略信息应属于机密信息，全局访问控制策略信息为在物联网设备管理平台下的任何资源都可以使用的访问控制策略信息，不应该被普通用户知悉；大型的物联网设备管理平台的全局访问控制策略信息数量多，用户进行获取不具有可行性；大型的物联网设备管理平台的全局访问控制策略信息被用户获取，被重新组装，生成新的访问控制集合然后进行部署，对于大部分运算力低下的物联网设备不具有可行性。现有的访问控制策略配置方法不能实现体现用户意志的访问安全控制策略的设置。

本公开的资源包括：CSE、各个设备和传感器中的应用实体(Application Entity，AE)、容器、软件等。在一个实施例中，本公开提供一种访问控制策略配置方法，用于第一资源，第一资源可以为等。图1为本公开的访问控制策略配置方法的一个实施例的流程示意图，如图1所示：

步骤101，在创建第二资源时，确定对于第二资源是否设置有接入控制策略继承属性。接入控制策略继承属性可以设置，例如为接入控制策略继承属性，第二资源可以为AE等。

步骤102，根据确定结果配置第二资源的访问控制策略。第二资源可以为AE等。可以根据接入控制策略继承属性配置第二资源的访问控制策略，能够根据用户对于继承关系的指示进行访问控制策略的配置。

图2为本公开的访问控制策略配置方法的一个实施例中的设置访问控制策略的流程示意图，如图2所示：

步骤201，如果设置有接入控制策略继承属性，则基于接入控制策略继承属性判断第二资源是否继承与此第二资源具有父子继承关系的父资源的访问控制策略。

父子继承关系可以为多种，例如，父资源是安装在汽车上的黑盒子，第二资源可以为安装在黑盒子中的故障码记录装置、油耗记录装置等，故障码记录装置、油耗记录装置等，与黑盒子为继承关系，或者，父资源是安装在室内的空调，第二资源是安装在空调中的温度传感器、湿度传感器等，温度传感器、湿度传感器等，安装在父资源内的温度传感器、湿度传感器等与空调为继承关系。在树型的设备或资源拓扑结构图中，父资源为父节点，第二资源为父资源的孩子节点。

步骤202，根据判断结果设置第二资源的访问控制策略。接入控制策略继承属性的属性值可以表明资源请求发起者的访问控制意愿以及资源的访问控制策略配置情况，确定配置该访问控制策略是继承其父资源策略权限，还是默认访问控制策略。

在一个实施例中，如果接入控制策略继承属性的属性值为第一设定值，则确定第二资源继承父资源的访问控制策略；如果接入控制策略继承属性的属性值为第二设定值，则确定第二资源不继承父资源的访问控制策略；如果接入控制策略继承属性的属性值为第三设定值，则根据预设的设置规则确定是否继承所述父资源的访问控制策略，可以继承也可以不继承父资源的访问控制策略。

第一设定值、第二设定值和第三设定值可以设置，例如，第一设定值为1、第二设定值为0、第三设定值为空值等。当属性值为1时，则根据父资源的第一访问控制策略标识属性设置第二资源的第二访问控制策略标识属性。当属性值为0时，则请求应用层制定第二访问控制策略标识属性。当属性值为空值时，预设的设置规则可以有多种，例如，根据父资源的第一访问控制策略标识属性设置第二访问控制策略标识属性或请求应用层制定第三访问控制策略标识属性。

在一个实施例中，第一访问控制策略标识属性值为第一访问控制策略标识属性包含的访问控制策略的标识符列表；第二访问控制策略标识属性值为第二访问控制策略标识属性包含的访问控制策略的标识符列表；第三访问控制策略标识属性值为第三访问控制策略标识属性包含的访问控制策略的标识符列表。标识符列表包含有至少一个访问控制策略的标识符。

图3为本公开的访问控制策略配置方法的另一个实施例中的设置访问控制策略的流程示意图，如图3所示：

步骤301，在创建第二资源时，确定对于第二资源是否设置有第三访问控制策略标识属性。

步骤302，如果设置有第三访问控制策略标识属性，则在第二访问控制策略标识属性中添加第三访问控制策略标识属性。

在一个实施例中，当在创建第二资源时，对于第二资源设置的接入控制策略继承属性的值为1，对于第二资源没有设置第三访问控制策略标识属性，则公共服务实体CSE将父资源的第一访问控制策略标识属性复制到第二资源中，作为第二资源的第二访问控制策略标识属性。第一访问控制策略标识属性包含访问控制策略的标识符列表，标识符列表包含有至少一个访问控制策略的标识符。

如果对于第二资源设置的接入控制策略继承属性的属性值为1，对于第二资源设置有第三访问控制策略标识属性，第三访问控制策略标识属性包含访问控制策略的标识符列表，标识符列表包含有至少一个访问控制策略的标识符。则公共服务实体将父资源的第一访问控制策略标识属性复制到第二资源中，并且将第三访问控制策略标识属性添加到第二资源中，作为第二资源的第二访问控制策略标识属性，第二资源的第二访问控制策略标识属性包括第一访问控制策略标识属性和第三访问控制策略标识属性。

当在创建第二资源时，对于第二资源设置的接入控制策略继承属性的属性值为0，对于第二资源没有设置第三访问控制策略标识属性值，公共服务实体请求应用层决定访问控制策略标识，将应用层决定的访问控制策略的标识符列表添加到第二资源中，作为第二资源的第二访问控制策略标识属性值。

如果对于第二资源设置的接入控制策略继承属性的属性值为0，对于第二资源设置有第三访问控制策略标识属性，公共服务实体请求应用层决定访问控制策略标识。公共服务实体将应用层决定的访问控制策略标识复制到第二资源中，并且将第三访问控制策略标识属性添加到第二资源中，作为第二资源的第二访问控制策略标识属性，第二资源的第二访问控制策略标识属性包括：应用层决定的访问控制策略的标识符列表、第三访问控制策略标识属性。

在一个实施例中，第一资源接收到用于创建第二资源的资源创建消息，其中，资源创建消息携带有接入控制策略继承属性的值，或者资源创建消息携带有接入控制策略继承属性的值和第三访问控制策略标识属性。第一资源设置第二访问控制策略标识属性并返回。

图4为本公开的访问控制策略配置方法的另一个实施例的流程示意图，如图4所示：

步骤401，发起方创建资源请求信息到公共服务实体CSE(Hosting CSE)，该创建的资源请求信息中包括接入控制策略继承属性等内容。

步骤402，公共服务实体根据该资源请求信息中的接入控制策略继承属性的值，反馈该创建的资源详情到发起方，包括：当接入控制策略继承属性设置为空时，发起方的访问控制策略继承其父资源或者默认访问控制策略；当接入控制策略继承属性设置为1时，发起方可以继承其父资源的访问控制策略；当接入控制策略继承属性设置为0时，发起方不需要继承其父资源的访问控制策略。

步骤403，反馈该创建的资源详情到发起方。

图5为本公开的访问控制策略配置方法的又一个实施例的流程示意图，如图5所示：

步骤501，接收到用于创建第二资源的资源创建消息。

步骤502，判断资源创建消息中是否携带有接入控制策略继承属性。如果是，进入步骤504，如果否，进入步骤503。其中，接入控制策略继承属性设置为inheritance，inheritance的值为接入控制策略继承属性的值。

步骤503，如果没有设置接入控制策略继承属性，则基于预设的策略配置规则配置第二资源的访问控制策略，可以由Hosting CSE配置第二资源的第二访问控制策略标识属性值。预设的策略配置规则可以有多种，例如，将父资源的第一访问控制策略标识属性值复制在第二资源中，作为第二访问控制策略标识属性值。

步骤504，判断接入控制策略继承属性的值是否为1，如果是，进入步骤505，如果否，进入步骤508。

发起者建立新的资源时，希望该资源可以继承其父资源的访问控制策略信息，将接入控制策略继承属性的属性值设置为1；对于无主动防御的情况：将接入控制策略继承属性的属性值设置为1，资源创建消息内容中没有携带对于第二资源设置的第三访问控制策略标识属性值。对于有主动防御情况：将接入控制策略继承属性的属性值设置为1，资源创建消息内容中携带对于第二资源设置的第三访问控制策略标识属性值。

步骤505，判断创建消息中是否携带有第三访问控制策略标识属性值，如果是，进入步骤506，如果否，进入步骤507。

步骤506，将父资源的第一访问控制策略标识属性值复制到新创建的第二资源中。

步骤507，将父资源的第一访问控制策略标识属性值复制到新创建的第二资源中，并且，将第三访问控制策略标识属性值复制到新创建的第二资源中。

步骤508，判断接入控制策略继承属性的属性值是否为0，如果是，进入步骤509，如果否，进入步骤512。

发起者在建立新的资源时，希望该资源不需要继承其父资源的访问控制策略信息，需要将接入控制策略继承属性的属性值设置为0；对于无主动防御的情况：将接入控制策略继承属性的属性值设置为0，资源创建消息内容中没有携带对于第二资源设置的第三访问控制策略标识属性值信息。对于有主动防御情况：将接入控制策略继承属性的属性值设置为0，资源创建消息内容中携带对于第二资源设置的第三访问控制策略标识属性值信息。

步骤509，判断创建消息中是否携带有第三访问控制策略标识属性值属性，如果是，进入步骤510，如果否，进入步骤511。

步骤510，将应用层制定的访问控制策略标识属性值复制到新创建的第二资源中。

如果接入控制策略继承属性的属性值设置为0，并且请求资源创建获得通过，Hosting CSE将会请求应用层为其制定相关的访问控制策略，将第二资源的第二访问控制策略标识属性值填充。

步骤511，将应用层制定的访问控制策略标识属性值复制复制到新创建的第二资源中，并且，将第三访问控制策略标识属性值复制到新创建的第二资源中，将创建消息中的第三访问控制策略标识属性值一同添加到第二资源的第二访问控制策略标识属性值中。应用层制定的访问控制策略标识属性值为应用层制定的访问控制策略的标识符列表。

步骤512，判断接入控制策略继承属性是否为空，如果是，进入步骤513。

步骤513，判断创建消息中是否携带有第三访问控制策略标识属性值，如果是，进入步骤514，如果否，进入步骤515。

如果接入控制策略继承属性的属性值设置为空，则代表：1、发起者可能为轻量化的物联网设备，Hosting CSE为其设置访问控制策略标识属性值，并为创建的资源指定接入控制策略继承属性属性值(1，0，空)，如果新建立资源的访问控制策略标识属性值为空，其访问控制策略继承其父资源或者默认访问控制策略；2、发起者不知道是否应该继承父资源的访问控制策略信息，Hosting CSE为其设置访问控制策略标识属性值，并为创建的资源指定接入控制策略继承属性的值(1，0，空)，如果新建立的资源访问控制策略标识属性值为空，其访问控制策略继承其父资源或者默认访问控制策略。

步骤514，将根据父资源的第一访问控制策略标识属性值或预设的访问控制策略标识属性复制到新创建的第二资源中。

步骤515，将根据父资源的第一访问控制策略标识属性值或预设的访问控制策略标识属性复制到新创建的第二资源中，并且，将第三访问控制策略标识属性值复制到新创建的第二资源中。

在一个实施例中，对于属性值为第一设定值的第二资源，如果在与此第二资源相对应的第一访问控制策略标识属性中新添或删除访问控制策略标识信息，可以为访问控制策略的标识符，则在此第二资源的第二访问控制策略标识属性中相应地新添或删除一个或多个访问控制策略标识信息。例如，如果接入控制策略继承属性的属性值设置为1，并且请求资源创建获得通过，创建的新资源将其父资源的第一访问控制策略标识属性值内容复制到其第二访问控制策略标识属性值中。如果父资源此时更改了第一访问控制策略标识属性值内容，对于添加访问控制策略标识信息的情况，将父资源添加的访问控制策略标识属性中添加的访问控制策略标识信息加到接入控制策略继承属性属性值为1的第二资源(子资源)的第二访问控制策略标识属性中，为迭代反应；对于删除的情况，将父资源删除的访问控制策略标识信息从接入控制策略继承属性值为1的第二资源(子资源)的第二访问控制策略标识属性中删除掉，为迭代反应。

如图6所示，在资源树中，通用服务实体1为根节点，设置有访问控制策略标识属性1，访问控制策略标识属性1的属性值为访问控制策略标识属性1包含的访问控制策略的标识符列表1，列表1为{ACP_1、ACP_2、ACP_3}。通用服务实体1有多个孩子节点，分别为应用实体2、应用实体3和应用实体5。

应用实体2设置有接入控制策略继承属性1和访问控制策略标识属性2，接入控制策略继承属性1的值为1，访问控制策略标识属性2的属性值为访问控制策略标识属性2包含的访问控制策略的标识符列表2，列表2为{ACP_1、ACP_2、ACP_3}。

应用实体3设置有接入控制策略继承属性3和访问控制策略标识属性3，接入控制策略继承属性3的值为1，访问控制策略标识属性3的属性值为访问控制策略标识属性3包含的访问控制策略的标识符列表3，列表3为{ACP_1、ACP_2、ACP_3}。

应用实体5设置有接入控制策略继承属性5和访问控制策略标识属性5，接入控制策略继承属性5的值为0，访问控制策略标识属性5的属性值为访问控制策略标识属性5包含的访问控制策略的标识符列表5，列表5为{ACP_1、ACP_2、ACP_3}。

应用实体3有一个孩子节点，为应用实体4。应用实体4设置有接入控制策略继承属性4和访问控制策略标识属性4，接入控制策略继承属性4的值为1，访问控制策略标识属性4的属性值为访问控制策略标识属性4包含的访问控制策略的标识符列表4，列表4为{ACP_1、ACP_2、ACP_3}。

如果一个疑似攻击者A对物联网数据进行爬虫获取数据，为了保护数据安全，需要给所有的资源进行暂时保护，建立一条针对用户A的访问控制策略资源B，访问控制策略资源B的内容就是凡是A发起的资源获取请求，均将其屏蔽。为通用服务实体1的访问控制策略标识属性1添加了关于访问控制策略资源B的标识符ACP_4，则列表1为{ACP_1、ACP_2、ACP_3、ACP_4}。

拥有接入控制策略继承属性的属性值为1的应用实体2、应用实体3及其后代应用实体4的访问控制策略标识属性都有了更新，添加了关于A的访问控制策略ACP_4，即列表2、列表3和列表4都为{ACP_1、ACP_2、ACP_3、ACP_4}。拥有接入控制策略继承属性的属性值为0的应用实体5，不更新访问控制策略标识属性5，列表5保持不变，为{ACP_1、ACP_2、ACP_3}。也可以采用手工等方式将ACP_4添加到列表5中。

如果通用服务实体1删除了访问控制策略标识符ACP_3，则列表1为{ACP_1、ACP_2}。拥有接入控制策略继承属性的属性值为1的应用实体2、应用实体3及其后代应用实体4的访问控制策略标识属性都有了更新，删除了访问控制策略标识符ACP_3，即列表2、列表3和列表4都为{ACP_1、ACP_2}，而列表5保持不变，为{ACP_1、ACP_2、ACP_3}。

在一个实施例中，如图7所示，本公开提供一种访问控制策略配置装置80，用于第一资源，包括：属性确定模块81和控制策略配置模块82。属性确定模块81在创建第二资源时，确定对于第二资源是否设置有接入控制策略继承属性。控制策略配置模块82根据确定结果配置第二资源的访问控制策略。

如图8所示，控制策略配置模块82包括：继承判断单元821和策略设置单元822。如果设置有接入控制策略继承属性，则继承判断单元821基于接入控制策略继承属性判断第二资源是否继承与此第二资源具有父子继承关系的父资源的访问控制策略。策略设置单元822根据判断结果设置第二资源的访问控制策略。

在一个实施例中，如果接入控制策略继承属性的属性值为第一设定值，则继承判断单元822确定第二资源继承父资源的访问控制策略。如果接入控制策略继承属性的属性值为第二设定值，则继承判断单元822确定第二资源不继承父资源的访问控制策略。如果接入控制策略继承属性的属性值为第二设定值，则策略设置单元822则根据预设的设置规则确定所述第二资源是否继承所述父资源的访问控制策略。

当属性值为第一设定值时，则策略设置单元822根据父资源的第一访问控制策略标识属性设置第二资源的第二访问控制策略标识属性。当属性值为第二设定值时，则策略设置单元822请求应用层制定第二访问控制策略标识属性。当属性值为第三设定值时，则策略设置单元822根据父资源的第一访问控制策略标识属性设置第二访问控制策略标识属性，或请求应用层制定所述第二访问控制策略标识属性。

属性确定模块81在创建第二资源时，确定对于第二资源是否设置有第三访问控制策略标识属性。如果设置有第三访问控制策略标识属性，则策略设置单元，822在第二访问控制策略标识属性中添加第三访问控制策略标识属性。

如图9所示，控制策略配置模块82还包括策略更新模块823。对于接入控制策略继承属性的属性值为第一设定值的第二资源，如果在与此第二资源相对应的第一访问控制策略标识属性中新添或删除访问控制策略标识信息，则策略更新模块823在此第二资源的第二访问控制策略标识属性中相应地新添或删除访问控制策略标识信息。

在一个实施例中，属性确定模块81接收到用于创建第二资源的资源创建消息，其中，资源创建消息携带有属性值，或者资源创建消息携带有属性值和第三访问控制策略标识属性。策略设置单元822设置第二访问控制策略标识属性并返回。如果没有设置接入控制策略继承属性，则策略设置单元822基于预设的策略配置规则配置第二资源的访问控制策略。

在一个实施例中，本公开提供一种访问控制策略配置系统，访问控制策略配置系统包括：第一资源和第二资源，第一资源包括如上任一实施例中的访问控制策略配置装置。第一资源可以为通用服务实体CSE等，第二资源可以为应用实体AE等。

在一个实施例中，如图10所示，提供一种访问控制策略配置装置，该装置可包括存储器111和处理器112，存储器111用于存储指令，处理器112耦合到存储器111，处理器112被配置为基于存储器111存储的指令执行实现上述的任一实施例的访问控制策略配置方法。该资源配置装置还包括通信接口113，用于与其它设备进行信息交互。同时，该装置还包括总线114，处理器112、通信接口113、以及存储器111通过总线114完成相互间的通信。

存储器111可以为高速RAM存储器、非易失性存储器(non-volatile memory)等，存储器111也可以是存储器阵列。存储器111还可能被分块，并且块可按一定的规则组合成虚拟卷。处理器112可以为中央处理器CPU，或专用集成电路ASIC(Application SpecificIntegrated Circuit)，或者是被配置成实施本公开的访问控制策略配置方法的一个或多个集成电路。

在一个实施例中，本公开提供一种计算机可读存储介质，计算机可读存储介质存储有计算机指令，指令被处理器执行时实现如上任一个实施例中的访问控制策略配置方法。

上述实施例提供的访问控制策略配置方法、装置和系统以及存储介质，可以根据接入控制策略继承属性确定是否继承父资源的访问策略权限，能够高效设置以及更改子资源的访问控制策略，能够根据用户对于继承关系的指示进行访问控制策略的配置和修改，提高了对于资源进行访问控制策略的设置和更改的效率，完善了现有的访问控制策略的相关标准。

可能以许多方式来实现本公开的方法和系统。例如，可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本公开的方法和系统。用于方法的步骤的上述顺序仅是为了进行说明，本公开的方法的步骤不限于以上具体描述的顺序，除非以其它方式特别说明。此外，在一些实施例中，还可将本公开实施为记录在记录介质中的程序，这些程序包括用于实现根据本公开的方法的机器可读指令。因而，本公开还覆盖存储用于执行根据本公开的方法的程序的记录介质。

本公开的描述是为了示例和描述起见而给出的，而并不是无遗漏的或者将本公开限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本公开的原理和实际应用，并且使本领域的普通技术人员能够理解本公开从而设计适于特定用途的带有各种修改的各种实施例。