CN109691014A - 物联网装置和应用程序之间的生物计量识别和验证 - Google Patents
物联网装置和应用程序之间的生物计量识别和验证 Download PDFInfo
- Publication number
- CN109691014A CN109691014A CN201680088815.7A CN201680088815A CN109691014A CN 109691014 A CN109691014 A CN 109691014A CN 201680088815 A CN201680088815 A CN 201680088815A CN 109691014 A CN109691014 A CN 109691014A
- Authority
- CN
- China
- Prior art keywords
- register
- network
- computer
- token
- computing device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/02—Services making use of location information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- Biodiversity & Conservation Biology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Medicines Containing Antibodies Or Antigens For Use As Internal Diagnostic Agents (AREA)
Abstract
本发明的一个实施例是针对一种计算机实施的方法,其包括接收包含与第一计算装置相关联的令牌的利用由计算装置的联合网络实施的共享资源的第一请求。所述方法还包括部分地基于所述令牌和用以签署所述令牌的一个或多个签名识别所述第一计算装置是未知的实体。所述方法还包括向信任管理***传输使用所述令牌认证所述第一计算装置的第二请求。所述方法还包括接收验证开放信任网络内的所述第一计算装置的认证消息。可以响应于所述信任管理***与所述开放信任网络中的多个注册器计算机关于与所述令牌相关联的签名进行通信来产生所述认证消息。
Description
相关申请交叉引用
本申请涉及且出于所有目的以引用的方式并入2016年8月4日提交的标题为“物联网应用中的基于令牌的网络服务(TOKEN BASED NETWORK SERVICE AMONG IOTAPPLICATIONS)”(代理人案号079900-1003695(1660US01))的第15/229,041号共同待决美国专利申请的完整公开内容。
背景
网络技术和计算机装置技术的进步允许用户经由因特网与多种装置连接或通信。举例来说,用户可以经由因特网从用户的移动电话向另一用户发送图像。作为另一实例,用户可以经由与用户的冰箱相关联的用户界面下牛奶的订单。然而,用于提供通信网关的当前解决方案支持相似的技术或装置之间的有限通信(例如,特定品牌的智能电话的应用程序仅可与另一相似品牌智能电话上的相同应用程序通信)。此外,需要克服安全性弱点,且在不在同一网络内操作的装置之间可允许在通信之前建立协议。此外,用于在物联网(Internet of Things,IoT)装置之间的通信的当前技术未能包含恰当的认证程序。举例来说,接收到通信请求或交易请求的装置当前缺乏在接受此请求之前验证发起装置和/或用户的可信度的能力。在接受通信请求之前未验证装置和/或用户的情况下,用户可能使其装置或本身向行骗者的攻击开放。不受信任的装置可能劫持无线网络以执行例如非法下载媒体文件等操作。此外,获得对网络的访问的行骗者可以尝试将本身掩蔽为网络内的受信任成员,从而获得对网络内的其它装置、应用程序或共享资源的访问,而不需要与另一装置网络通信。这些缺陷可能导致用户不接受任何通信请求且未能利用其IoT装置的硬件和软件能力。在无法验证网络内的装置和/或用户的情况下,更不用说尝试从另一网络通信的装置,IoT装置将不能够以将对用户有意义的方式与用户交谈或通信。
本发明的实施例单独地及共同地解决这些问题和其它问题。
发明内容
本发明的实施例是针对与建立和增殖计算装置的联合网络之间的信任关系且在与计算装置的联合网络相关联的装置之间建立安全连接有关的***和方法。本发明的实施例还针对用于使用生物计量信息认证物联网(IoT)装置之间的交易以及准予对由主机共享的共享资源的访问的***和方法。增殖计算装置的联合网络之间的信任关系可以包含在与其它网络通信之前与网络内的每一装置和/或用户建立信任。举例来说,在联合网络内的每一装置可以在经由注册器(registrar)计算机***与同一联合网络内的另一装置或与另一联合网络内的另一装置通信之前经受生物计量认证操作。与各种IoT装置相关联的用户的生物计量模板可以由注册器计算机获得、维护且增殖到开放信任网络内的其它受信任成员。在一些实施例中,可以在注册步骤期间获得且建立生物计量模板。在实施例中,生物计量认证操作可以在联合网络内发生以在计算装置的第一网络内建立信任,然后才允许装置和/或用户与计算装置的第二网络通信。举例来说,用户可以与第一IoT装置交互以提供生物计量样本或生物计量信息(即,视网膜扫描),可以将其与用于用户的生物计量模板进行比较以验证或认证第一联合网络内的装置和/或用户,然后才甚至可产生通信请求以与第二联合网络通信。通过强加生物计量认证操作,开放信任网络的成员可得益于冗余安全检查,其包含在允许与另一受信任成员的通信之前装置首先在其自身的联合网络内认证自身。通过建立策略而获得另外的安全性益处,所述策略识别在开放信任网络中的两个成员之间建立通信之前需要签署由通信方提供的令牌的某一数目的签名或某些实体,如本文中所描述。
当前***缺乏用于在计算装置的联合网络之间建立信任的方法。当前***还缺乏用于形成受信任开放网络的方法,其允许各种投票结构以允许在开放网络内的通信和对开放网络添加新成员。当前没有协议提供用于定位希望进行通信的装置或如何与所述装置通信的方式。当前,用户依赖于特定应用程序被配置成跨越装置进行通信且甚至随后可能必须将信任限于由特定用户拥有的少数装置。因此,如果用户希望与未针对特定应用预配置和/或已经不受其自身联合网络信任的装置通信,那么用户不能够执行所需的通信和交互操作。智能装置(智能电话、智能车辆、可穿戴式装置等)的当前制造商未能实现装置类型或品牌之间的伙伴关系或集成。此外,硬件约束可能带来在无共享协议和通信信道的情况下难以克服的问题。
因此,需要新的且增强的***和方法来建立和增殖用于在开放网络中的实体之间建立信任且建立阶层式寻址方案以允许驻留在各种物联网(IoT)装置上的应用程序之间的通信的协议。用于在计算装置的各种联合网络内使用IoT装置进行的交易的高效通信和认证可以利用所述标准且基于在交易期间提供的用以签署令牌的签名来验证令牌而实现。
本发明的一个实施例是针对一种计算机实施的方法,包括:由服务器计算机且从计算装置的第一联合网络中的第一注册器计算机***接收对正用于在计算装置的所述第一联合网络中进行交易的第一计算装置进行认证的请求,所述请求包含由驻留于计算装置的第二联合网络中的实体签署的令牌。所述令牌可以包含用于所述交易的用户的生物计量信息。所述计算机实施的方法还包括由所述服务器计算机识别用于与关联于所述实体的第二注册器计算机***通信的规范地址。所述计算机实施的方法还包括由所述服务器计算机使用所述规范地址将所述认证请求从所述第一注册器计算机***传输到所述第二注册器计算机***。所述计算机实施的方法还包括由所述服务器计算机且从所述第二注册器计算机***接收对所述认证请求的确认,所述确认是由所述第二注册器计算机***部分地基于所述用户的所述生物计量信息和由所述实体对所述令牌的签名而确定。所述计算机实施的方法还包括由所述服务器计算机且向所述第一注册器计算机***传输对包含所述令牌的所述认证请求的所述确认。所述令牌可以由所述第一注册器计算机***签署并被提供到所述第一计算装置以用于在计算装置的所述第一联合网络中的后续交易中使用。
在一些实施例中,所述规范地址表示用于与计算装置的所述第一联合网络相关联的地址阶层的总体地址。在实施例中,第一银行实体可以维护用于验证用户的生物计量信息的模板生物计量信息。在一些实施例中,对认证请求的确认还部分地基于由商家注册器计算机维护的多个策略而确定。在各种实施例中,所述多个策略识别来自开放信任网络的一个或多个成员的若干签名以用于认证请求。
本发明的一个实施例是针对一种计算机实施的方法,包括由与计算装置的联合网络相关联的注册器计算机***接收利用由计算装置的所述联合网络实施的共享资源的第一请求。所述第一请求可以由第一计算装置提供且包含与所述第一计算装置相关联的令牌。所述计算机实施的方法还包括由所述注册器计算机***至少部分地基于所述令牌和用以签署所述令牌的一个或多个签名以及由所述注册器计算机***指定的与所述一个或多个签名相关联的策略而识别所述第一计算装置是未知的实体。所述计算机实施的方法还包括由所述注册器计算机***向信任管理***传输认证所述第一计算装置的第二请求,所述第二请求包含所述令牌。所述计算机实施的方法还包括由所述注册器计算机***从所述信任管理***接收验证开放信任网络内的所述第一计算装置的认证消息,所述认证消息由所述信任管理***响应于所述信任管理***与所述开放信任网络中的多个注册器计算机通信而产生,以针对所述令牌确定由所述多个注册器计算机提供的签名。所述签名可以表示对应于所述多个注册器计算机的计算装置的相应联合网络中的与所述第一计算装置和所述令牌进行的先前交易。所述计算机实施的方法还包括由所述注册器计算机向所述第一计算装置通过至少将用于所述共享资源的所述令牌和位置信息提供到所述第一计算装置而启用对所述共享资源的访问。所述令牌可以由所述注册器计算机签署且所述位置信息包含用于与所述共享资源通信的规范地址。
在一些实施例中,所述共享资源包括以下各项中的一个或多个:移动计算装置、可穿戴式装置、膝上型计算机、桌上型计算机、服务器计算机、汽车、打印机、扫描仪、无线路由器、无线网络、软件应用程序、存储装置,或通过主机变为可用的计算机资源。在各种实施例中,所述计算机实施的方法还包括由所述信任管理***响应于由所述注册器计算机启用对所述共享资源的访问而更新用于所述注册器计算机***的已知实体的映射。在一些实施例中,所述计算机实施的方法还包括由所述注册器计算机***从另一注册器计算机***接收已在与所述另一注册器计算机***相关联的计算装置的另一联合网络内执行先前认证的指示,所述先前认证可以由所述第一计算装置使用所述生物计量信息执行。在各种实施例中,由所述多个注册器计算机针对所述令牌提供的所述签名是使用由所述多个注册器计算机产生并维护的相应私钥进行签署的。
在一些实施例中,计算装置的所述联合网络表示联合块链。在实施例中,与所述第一计算装置相关联的所述令牌是使用散列算法产生的,所述散列算法利用所述生物计量信息和由与所述第一计算装置相关联的计算装置的对应网络维护的私钥。在各种实施例中,由所述多个注册器计算机针对所述令牌提供的所述签名表示利用所述第一计算装置和所述令牌在计算装置的所述相应联合网络内的成功认证的交易。
本发明的实施例还针对一种服务器计算机,其包括处理器和存储器。所述存储器可包含在用所述处理器执行时使所述服务器计算机执行用于实施本文所描述的任一个方法的操作的指令。在一些实施例中,所述开放信任网络的特定成员是与银行实体计算机***相关联的银行实体。银行实体计算机***被配置成捕获由所述用户进行的交易的行为信息和环境信息。在各种实施例中,所述银行实体计算机***还被配置成部分地基于所述行为信息和所述环境信息产生一个或多个身份简档,所述一个或多个身份简档可以与所述用户相关联。在一些实施例中,所述银行实体计算机***还被配置成产生多个令牌,每一令牌对应于令牌类型且部分地基于与所述用户相关联的所述一个或多个身份简档中的特定身份简档。在实施例中,所述注册器计算机***至少部分地基于与所述令牌相关联的所述令牌类型和对所述令牌的签名而确认所述认证请求。在各种实施例中,所述注册器计算机***维护基于交易的类型识别所述令牌类型以进行认证的一个或多个策略。
下文进一步详细描述本发明的这些和其它实施例。
附图说明
图1描绘能够实施本公开的至少一些实施例的实例***架构;
图2描绘用以启用注册器之间的信令的阶层式寻址方案的框图;
图3描绘根据本公开的实施例的***和信令流的框图;
图4描绘能够实施本公开的至少一些实施例的实例***架构;
图5描绘根据本公开的实施例的***和信令流的框图;
图6描绘根据本公开的实施例的包含一个或多个节点的示例性联合块链;
图7描绘根据本公开的实施例的示例性注册器;以及
图8描绘说明根据本公开的实施例的用于认证开放信任网络中的计算装置的联合网络且在驻留于计算装置的不同联合网络中的装置之间建立连接的实例技术的图。
具体实施方式
本发明的实施例可针对与建立和增殖计算装置的联合网络之间的信任关系且在与计算装置的联合网络相关联的装置之间建立安全连接有关的***和方法。本发明的实施例还针对用于使用生物计量信息认证物联网(IoT)装置之间的交易以及准予对由主机共享的共享资源的访问的***和方法。
在一些实施例中,可以在计算装置的一个或多个联合网络之间建立信任以允许在驻留于不同网络中的IoT装置之间建立连接。举例来说,可以建立开放的信任网络,其由信任管理***管理以用于增殖计算装置的联合网络之间的信任建立、信令和通信的协议。驻留于计算装置的一个联合网络中的IoT装置可以尝试与驻留于计算装置的另一联合网络中的另一IoT装置建立连接,方法是首先在计算装置的所述两个联合网络之间建立信任。在一些实施例中,IoT装置可以经由与计算装置的每一联合网络相关联的注册计算机发送通信请求或其它数据通信。在允许和启用IoT装置之间的通信之前建立信任。在实施例中,计算装置的每一联合网络可以利用不同投票结构来批准或验证决策,例如是否信任来自另一装置的通信请求。实例投票结构可以包含块链投票结构、树投票结构或此项技术中已知的任何合适的投票结构混合体。在一些实施例中,计算装置的每一联合网络中表示的每一IoT装置、用户或实体可以根据利用的投票结构提供输入以在开放信任网络中建立信任。
在实施例中,投票和信任包含验证交易或通信请求中包含的用于每一实体的凭证或电子识别(electronic identification,EID)。在开放信任网络中的实体之间可发生通信之前可以建立且验证多个等级的信任。举例来说,在计算机资源的联合网络内的IoT装置之间的通信可以在验证与在IoT装置之间传送的EID或其它凭证相关联的签名或“投票”后发生。作为说明性实例,智能冰箱可以从智能手表(可穿戴式装置)接收通信请求。智能冰箱和智能手表两者包含于计算机资源的同一联合网络中。智能冰箱可以与相关联操作者(例如对应注册器)通信以查询身份且应用验证和认证来自智能手表的通信的策略。举例来说,所述注册器可以针对由智能手表提供的凭证维护或识别由联合网络内的其它实体(即,IoT装置)提供的一个或多个签名。计算机资源的联合网络内的其它IoT装置可能先前已经遇到且信任(签署或提供签名)智能手表并启用通信。
在实施例中,每一签名或投票可以承担某一权重的影响是否认证和验证实体并建立通信的总体决定的因素。注册器可以为每一IoT装置维护一个或多个策略,所述策略建立在可以建立通信之前满足的最低签名或投票限制。举例来说,策略可能要求在与联合网络相关联的装置可以与开放信任网络内的其它实体通信之前已经先前由联合网络内的三个其它受信任实体签署凭证。一旦信任已建立,通信就可以在IoT装置之间发生。此外,注册器可以更新由智能手表提供的凭证或EID以指示智能冰箱已经验证且签署EID。本文中论述的签名指代利用与每一实体或IoT装置相关联的私钥。
在实施例中,来自第一联合网络的IoT装置可以尝试与来自第二联合网络的IoT装置通信。如本文所论述,定位不同联合网络的IoT装置且与其通信使用由对应注册器维护的阶层式寻址纲要。阶层式寻址纲要可以与IPV6标头一起使用,以避免常规块链配置中利用的平面寻址纲要。一旦已接收到通信请求,便使用如上文所论述的那些相似操作来确定信任。在一些实施例中,代表IoT装置从另一注册器接收通信的注册器可以识别适当策略(即,识别签名的阈值量)且查询开放信任网络中的其它实体(即,其它注册器)以确定信任。举例来说,给定注册器可以确定来自计算机资源的特定联合网络的通信请求在信任可以建立之前将由两个银行组织和一个政府组织信任或签署。在实施例中,注册器可以经由用于识别由实体提供的私钥签名的对应元数据或其它合适的信息而识别所提供EID的相关联签名。在各种实施例中,注册器可以与其它注册器通信而关于所讨论的实体进行询问以确定信任。
举例来说,通过提供EID且请求开放信任网络的其它成员是否先前已经签署EID,注册器可以查询开放信任网络中的另一注册器和/或处理网络注册器。如本文所论述,开放信任网络中的每一实体被给定与其对给定EID的签署相关联的加权值或因数。举例来说,银行机构签名在信任确定中可能比由私人个人提供的签名承担更大权重。维护的策略可能要求具有给定权重值或因数的若干实体在建立信任之前针对给定EID提供投票或签名。一旦已建立信任,对应注册器就可以提供令牌,所述令牌包含允许计算装置的不同联合网络的IoT装置之间的通信的寻址信息。此外,注册器可以更新受信任实体的列表、提供到所述实体的签名,以及用于计算机资源的受信任联合网络的联系信息。IoT装置之间的信令包含利用阶层式寻址方案,所述阶层式寻址方案维护用于每一IoT装置和相关联应用程序的唯一地址而不会过载或运行超出可用地址,如本文所论述。在实施例中,IoT装置的用户可以指定在实体将受信任之前所需的投票或签名。
在实施例中,在计算装置的两个联合网络之间建立信任之前可以询问开放信任网络的每一成员,或在一些实施例中,仅接收到请求的计算装置的联合网络可以投票来建立信任。信任建立决策中的每一参与实体可以被指派一个权重或者被给定某一数目的投票,无论在计算装置的每一参与联合网络内利用的投票结构如何。举例来说,计算装置的一个联合网络包含利用块链投票结构的五个IoT装置,可提供单个投票,所述单个投票被给定朝向决策的某一权重,类似于利用混合投票结构的包含仅三个IoT装置的计算装置的另一联合网络。在地理上远离的联合网络之间建立信任的部分包含定位特定联合网络且知道如何寻址所述联合网络或与其通信。当前解决方案未能提供一种类型的IoT装置(即,智能冰箱)定位另一类型IoT装置(即,智能汽车)和/或与其通信的方法。举例来说,特定类型的IoT装置可以仅被配置成与相同类型的其它IoT装置通信(即,智能汽车到智能汽车通信)。本文公开的实施例提供与计算装置的每一联合网络相关联的分布式实体(注册器),其可以充当信令集线器而允许计算装置的联合网络定位彼此且彼此通信(包含信任建立请求)。
每一注册器可以由其它注册器利用作为阶层式寻址方案的部分的唯一规范地址来定位。在一些实施例中,阶层式寻址方案指代与计算装置的联合网络相关联且由其利用的一个或多个地址。举例来说,所述唯一规范地址可以是可用于在注册器之间通信的传输因特网协议地址。在实施例中,令牌可以由注册器产生且提供到另一注册器,所述令牌包含其它寻址信息,例如对应于计算装置的联合网络的特定IoT装置或与特定IoT装置相关联的特定应用程序的散列装置地址或API地址。在一些实施例中,每一IoT装置和应用程序可具有当在计算装置的联合网络内通信时利用的本地地址。在实施例中,注册器可以产生且维护用于每一IoT装置和应用程序的地址的单独集合以及供其自身联合网络外部的实体使用的地址(即,可由计算装置的另一远程联合网络的IoT装置利用的地址)之间的映射。注册器维护且与其它注册器共享的地址可以通过利用私钥公钥对或通过利用散列过程来产生。实施例可以利用阶层式寻址方案以维护安全性且允许在开放信任网络的成员之间增殖和建立统一协议。举例来说,由注册器维护的地址可以遵守跨越开放信任网络的成员统一的一组特定规则或策略以确保特定IoT装置可跨越计算装置的联合网络恰当地寻址和请求通信。
在一些实施例中,信任建立和通信过程可以由用户在特定环境中进行物品或服务的交易来发起。在一些实施例中,所述过程可以由用户寻求获得对安全数据或安全区域的访问来发起。在各种实施例中,信任建立和通信过程可以由用户寻求购买、出租、租赁或获得对共享资源的访问来发起。在一些实施例中,用户可以利用其EID、令牌和计算装置以在一位置(和计算装置的对应联合网络)发起交易或验证自身而无需提供另外输入。在实施例中,与计算装置的第一联合网络相关联的第一注册器可以与信任管理服务通信以识别开放信任网络的另一成员进行通信,验证交易中包含的用户、EID和令牌。
在各种实施例中,信任管理服务可以对适当实体提供验证或认证请求,因为信任管理服务维护开放信任网络中的每一成员的位置信息。在一些实施例中,第一注册器可以直接联系与开放信任网络的另一成员相关联的另一注册器计算机***以认证交易中正使用的用户和计算装置。在实施例中,认证请求可以包含关于用户的生物计量信息,例如生物计量样本。生物计量样本可以先前捕获且存储在用户的用户装置上,或者可以在进行交易时取得新样本。先前已经与用户和对应令牌和/或用户装置交互的开放信任网络的成员可以维护用于认证用户的识别和验证目的的生物计量模板。因此,开放信任网络的成员可以在将用户认证或验证为开放信任网络内的受信任且已知实体之前验证用以签署由用户提供的令牌和生物计量样本的签名。在实施例中,一旦实体对计算装置的联合网络已知,那么对应注册器可以签署令牌,从而启用更高效交易处理以用于在计算装置的对应联合网络内进行的后续交易。
在一些实施例中,例如银行实体等开放信任网络的成员可以获得和/或捕获与进行各种交易的用户相关联的环境信息和行为信息。实体可以被配置成利用情境感知模型,所述模型使用用户的环境和行为信息以产生用户的一个或多个身份简档。每一简档可以指示用户当在某些环境中交互或进行某些交易时的潜在方面。在各种实施例中,实体的对应注册器可以产生多个令牌类型以表示为用户产生的身份简档。当在交易期间提供和/或请求每一令牌类型时,在可以认证交易之前,注册器可以利用指示签名、生物计量匹配等的数目和/或类型的策略的不同集合。实体可以利用情境感知模型以提供适当令牌类型用于在特定情境、环境和交易中使用,因此实现更安全且高效的交易认证过程。此外,通过捕获用户的行为,令牌类型和身份简档可对每一用户更加特定和定制,从而提供更加个人的交易认证过程。在一些实施例中,身份简档可以基于以下各项产生:生物计量信息,例如用户的装置的全球定位卫星信息等地理位置信息,与特定IoT装置和/或IoT装置的应用程序相关联的使用信息,或与由用户利用特定装置或IoT装置进行的交易相关联的交易数据。在实施例中,身份简档可用于使IoT装置或应用程序与令牌、EID和人关联。
本公开的实施例提供了若干个优点。如本文所论述,当前不存在用于在包括计算装置或IoT装置的计算装置的联合网络之间恰当地定位、寻址和建立信任的所建立协议。此外,联合网络并不必须更新其投票结构以与其它实体投票结构对准,因为可利用注册器以在利用不同投票结构的联合网络之间通信。先前不能够通信且更不用说彼此定位的应用程序和装置现在可以利用经由注册器和阶层式寻址方案的通信的所建立协议。IoT装置的开发者可能仅需要根据阶层式寻址方案利用API调用或请求以在IoT装置之间通信和共享数据,而不是维护多个不同地址和通信方法以在IoT装置和应用程序之间进行交谈。可以获得安全性益处,因为阶层式寻址方案和信任建立允许到由每一注册器维护的地址的通信,且仅在信任已建立之后。因此,一个实体可能无法获得实际装置或网络识别符。因此,本文所描述的本发明的实施方案可以包含以最小的基础结构修改来使用现有网络和计算机装置的联网、软件和硬件能力的优点。
本发明的实施例可以在交易处理***中使用,或者可以使用在交易处理期间通过交易处理***产生的数据。此类实施例可以涉及用户与资源提供者之间的交易。此外,如本文所论述的本发明的实施例可以被描述为关于金融交易和支付***。然而,本发明的实施例也可在其它***中使用。举例来说,交易可以被授权以用于对数据或安全区域的安全访问。本发明的实施例可以用于在驻留于不同网络和/或联合网络中的IoT装置之间建立连接或通信。不同网络和/或联合网络可以在地理上远离。
在论述本发明的实施例之前,描述一些术语可能有助于理解本发明的实施例。
“生物计量信息”或“生物计量数据”包含可用于基于一个或多个固有生理或行为特点来唯一地识别个体的数据。举例来说,生物计量数据可包含视网膜扫描和跟踪数据(即,用户的眼睛聚焦情况下的眼球运动和跟踪)。生物计量数据的其它实例包含数字照相数据(例如,面部辨识数据)、数字声音数据(例如,语音辨识数据)、脱氧核糖核酸(DNA)数据、掌纹数据、手形数据和虹膜辨识数据。
“生物计量模板”可以是已经从一个或多个生物计量样本提取出的特性的数字参考。在一些实施例中,生物计量样本可以从由用户共享或与用户相关联的社交媒体内容导出。在一些实施例中,生物计量模板可以从生物计量数据导出。如本文所使用的生物计量模板包含与用户相关联的可撤销和不可撤销特征的生物计量模板,例如面部图像和语音样本。与用户相关联的不可撤销特征的实例包含指纹。生物计量模板在生物计量认证过程期间使用。可将来自由用户在认证时提供的生物计量样本的数据与生物计量模板进行比较,以确定提供的生物计量样本是否密切匹配于生物计量模板。
“共享资源”可以包含从一个主机到计算机网络上的其它实体可用的计算机资源。共享资源的实例可以包含移动计算装置、可穿戴式装置、膝上型计算机、桌上型计算机、服务器计算机、汽车、打印机、扫描仪、无线路由器、无线网络、软件应用程序或存储装置。
“身份简档”可以包含以数字方式表示人的特性和属性的信息。举例来说,身份简档可以包含“环境信息”,其进一步指示物理位置、对位于各种物理位置的例如特定商店、场所或区域等特定位置的偏好、或由对应用户装置进行交互的计算机网络。身份简档可进一步包含“行为信息”,其可以表示用户在特定位置中采取的动作。行为信息的实例可以包含进行的交易类型、与交易类型相关联的货币金额、在特定位置花费的时间量、对特定交易的偏好、对特定用户装置的偏好,或对请求一个位置内的例如共享资源等特定资源的访问的偏好。
“计算机装置”可以包括用户可以操作的任何合适的电子装置,所述电子装置还可提供与网络的远程通信能力。“物联网装置”可以是“计算机装置”的实例。物联网装置可具有和与其它物联网装置或计算机通信不相关的主要功能。举例来说,物联网装置可以是冰箱,其除保存食物之外还能够与一个或多个其它物联网装置进行交互。远程通信能力的实例包含使用移动电话(无线)网络、无线数据网络(例如,3G、4G或类似网络)、Wi-Fi、Wi-Max或可提供例如因特网或专用网络等网络访问的任何其它通信介质。计算机装置的实例包含移动电话(例如蜂窝式电话)、PDA、平板计算机、上网本、膝上型计算机、个人音乐播放器、手持式专用阅读器等。计算机装置的其它实例包含可穿戴装置,例如智能手表、健身手环、脚链、戒指、耳环等,以及具有远程通信能力的汽车。在一些实施例中,计算机装置可用作支付装置(例如,计算机装置可以存储并且能够传输交易的支付凭证)。“计算装置的联合网络”可以包含属于同一网络、实体、组织或用户的一个或多个计算机装置或物联网装置。计算装置的每一联合网络可以利用投票方案或结构。
“注册器”或“注册器计算机”可以包含用于产生、维护、增殖和/或建立计算装置的联合网络之间的通信协议的计算机硬件、软件和/或硬件与软件的任何合适的组合。注册器可以分布于计算装置的联合网络之间并且还对网络提供远程通信能力。在一些实施例中,注册器可以包含用于与其它注册器通信且产生用于在IoT装置之间建立通信的令牌的一个或多个模块。在实施例中,注册器可以请求计算装置的相关联联合网络中的特定IoT产生令牌。在一些实施例中,注册器可以存储且维护用于对应于计算机装置的相关联联合网络的一个或多个物联网装置的阶层式地址方案。注册器可以产生且维护识别相关联网络中的经认证物联网装置的一个或多个令牌,以及由开放信任网络的其它注册器提供的令牌。在实施例中,注册器可以包含用于获得且维护以上所提到的信息的数据结构。
“信任管理***”可以包含至少部分地基于信任而操作的***。其可以包含一个或多个服务器计算机,用于启用注册器之间的通信,以新的联系人和装置信息更新注册器,且增殖包含阶层式寻址方案的通信协议。在实施例中,信任管理***可以包含可以用以支持和递送授权服务、异常文件服务以及与交易处理相关联的清算和结算服务的数据处理子***、网络和操作。在一些实施例中,信任管理***可以维护开放信任网络中的成员资格。在实施例中,信任管理***可以将通信请求、响应和令牌提供到开放信任网络内的注册器。
“开放信任网络”可以包含至少部分地基于信任和开放成员资格而操作的网络。其可以包含在请求成员资格之后可以加入开放信任网络的一个或成员,而无任何成员资格要求或限制(即,仅智能电话装置的联合网络可以加入)。在实施例中,开放信任网络的“成员”表示计算装置的联合网络,其附属到本文所描述的阶层式且规范地址格式化方案且强制执行本文所描述的令牌签名和生物计量样本验证操作。在一些实施例中,为了加入开放信任网络,可以在开放信任网络的成员之间举行投票,其中对每一实体指派特定权重。将投票与阈值进行比较以确定对开放信任网络的接受。在一些实施例中,不需要投票来成为开放信任网络的成员。实际上,来自先前未知实体(计算装置的联合网络)或已知实体的任何通信或请求都可以进行投票以确定信任且建立相关实体之间的信任。开放信任网络的每一成员可以利用其自身投票结构或方案(块链、混合等)而无需修改另一成员的投票结构。块链投票结构的实例可以包含要求块链的每一成员在允许决策/动作之前投票或同意所述决策或动作的投票结构。树投票结构的实例可以包含仅要求在关联或网络内的某一数目的实体的同意且遵循阶层式树结构的投票结构。混合投票结构可以是在计算装置的联合网络内的块链、树或其它合适投票结构的任何合适的组合。
“令牌”可以是用以提供信息的任何数据或数据部分,例如唯一地址信息、API信息、位置信息或注册器信息。令牌可以被加密、以数字方式签署,或利用任何合适的安全协议以确保信息的隐私。在实施例中,令牌可以表示用于在开放信任网络中的注册器之间和/或已建立安全连接的物联网装置之间传送的信息(装置和/或应用程序信息)的容器。在一些实施例中,在向相关联注册器的注册后,包含位置识别符和API识别符的令牌可以提供到计算装置的联合网络内的IoT装置。令牌可以由注册器产生且提供到另一注册器以启用驻留于计算装置的不同联合网络中的IoT装置之间的通信。令牌可含有用于根据本文所描述的规范寻址格式在IoT装置(即,智能电话和智能汽车)之间恰当地通信的信息。在一些实施例中,令牌可含有其它信息,例如来自应用程序的所请求信息、API调用,或来自与IoT装置相关联的应用程序和API的API服务请求。举例来说,在不同联合网络的IoT装置之间已建立安全连接之后,一个装置可以利用令牌提供关于应用程序的信息(例如交易信息或由与特定应用程序进行交互的用户提供的信息)。经由令牌获得的寻址信息可用于在开放信任网络内的IoT装置之间建立安全连接。在各种实施例中,令牌可以包含用户的生物计量信息或与其相关联。可以在IoT装置之间的通信或交易请求之前在认证和/或验证步骤期间提供生物计量信息。可以在注册操作期间由与注册器计算机通信的用户将生物计量模板提供到注册器计算机。
与开放信任网络的成员相关联的注册器计算机***可以产生且维护表示用户的某一身份简档的一个或多个“令牌类型”。每一“令牌类型”可以是具有比另一令牌类型多或少的信息的令牌的实例。在实施例中,注册器计算机***可以关联用于每一令牌类型的一个或多个不同策略,其识别在交易可被授权之前签署令牌所需的特定数目的签名或特定实体的身份。在实施例中,令牌类型可以表示当与其它IoT装置通信时和/或当进行交易时用户的环境和在所述环境内的行为。举例来说,用户可以专门利用其智能电话与在线市场进行货币交易。可以产生反映以装置进行的交易的性质(即,货币交易)且与反映交易的敏感性质的策略(即,假定其为货币交易,用于此特定令牌类型的签名和/或提供签名的实体的高阈值)相关联的令牌类型。可以产生另一令牌类型和相关联策略,其反映用户对智能手表程序的使用,所述程序跟踪锻炼进展且规则地与联网数据库通信以维护所述进展(即,假定其仅为关于锻炼进展的数据交易,用于此特定令牌类型的签名和/或提供签名的实体的低阈值)。在实施例中,令牌类型可以与请求实体相关联,以使得当针对所述特定实体或从所述特定实体识别出对令牌的请求时,利用给定令牌类型(即,用于与服务器通信的第一令牌类型对用于与智能冰箱通信的另一令牌类型)。
“阶层式寻址方案”包含用于开放信任网络中的每一注册器的规范地址格式,其可用于从注册器获得其它相关联地址。在实施例中,阶层式寻址方案可以包含与注册器相关联的传输IP地址、联合网络地址、本地IoT装置识别符地址以及API识别符地址。在实施例中,每一IoT装置、应用程序和计算装置的联合网络可以利用阶层式寻址方案,且被信任管理***和/或相关联注册器指派所述地址。阶层式寻址方案可以利用总体地址,其表示呈现或向前展示给开放信任网络的成员用于通信目的的地址,但实际表示阶层式寻址方案中包含的一个或多个地址。
“访问凭证”可以是用来获得对特定资源的访问的任何数据或数据部分。在一些实施例中,访问凭证可以包含支付账户信息或与支付账户信息相关联的令牌、密码、数字证书等。“交易代码”可以是访问凭证的实例。
“访问装置”可包含允许与远程计算机通信的装置。在一些实施例中,访问装置且可包含使用户能够向商家做出支付以交换商品或服务的装置。访问装置可包含硬件、软件或其组合。访问装置的实例包含销售点(POS)终端、移动电话、平板计算机、膝上型计算机或台式计算机、用户装置计算机、用户装置等。
“应用程序”可以是存储在计算机可读介质(例如,存储器元件或安全元件)上的可由处理器执行以完成任务的计算机代码或其它数据。应用程序的实例包含注册器通信应用程序、令牌应用程序或API服务应用程序。应用程序可以包含移动应用程序。应用程序可以被设计成在计算装置的联合网络之间增殖且建立信任和通信协议。应用程序可以使用户能够发起与资源提供者或商家的交易且授权所述交易。
“用户”可以包含个人。在一些实施例中,用户可以与一个或多个个人账户、计算装置和/或移动装置相关联。在一些实施例中,用户也可被称作持卡人、账户持有人或消费者。
“资源提供者”可以是可以提供例如商品、服务、信息和/或访问的资源的实体。资源提供者的实例包含商家、数据提供者、交通部门、政府实体、场所和住宅运营商等。
“商家”通常可以是参与交易并且可以出售商品或服务或提供对商品或服务的访问的实体。
“购方”通常可以是与特定商家或其它实体具有商业关系的商业实体(例如,商业银行)。一些实体可以执行发行方和购方两者的功能。一些实施例可以涵盖此类单个实体发行方-购方。购方可以操作购方计算机,其也可一般称为“传输计算机”。
“授权实体”可以是授权请求的实体。授权实体的实例可以是发行方、政府机构、文档存储库、访问管理员等。
“发行方”通常可以指代维护用户的账户的商业实体(例如,银行)。发行方也可以向消费者发行存储在例如蜂窝电话、智能卡、平板计算机或膝上型计算机等用户装置上的支付凭证。
“授权请求消息”可以是请求对交易的授权的电子消息。在一些实施例中,授权请求消息被发送给交易处理计算机和/或支付卡的发行方,以请求交易授权。根据一些实施例的授权请求消息可以遵守ISO 8583,ISO 8583是用于交换与用户使用支付装置或支付账户进行的支付相关联的电子交易信息的***的标准。授权请求消息可以包含可以与支付装置或支付账户相关联的发行方账户识别符。授权请求消息还可以包括与“识别信息”对应的额外数据元素,包含(只作为实例):服务代码、CVV(卡验证值)、dCVV(动态卡验证值)、PAN(主账户号码或“账户号码”)、支付令牌、用户名、到期日期等等。授权请求消息还可以包括“交易信息”,例如与当前交易相关联的任何信息,例如交易金额、商家识别符、商家位置、购方银行识别号(BIN)、卡片接受器ID、识别正购买的项目的信息等,以及可以用确定是否识别和/或授权交易的任何其它信息。
“授权响应消息”可以是响应于授权请求的消息。在一些情况下,授权响应消息可以是由发行金融机构或交易处理计算机生成的对授权请求消息的电子消息应答。授权响应消息可以包含(只作为示例)以下状态指示符中的一个或多个:批准-交易被批准;拒绝-交易不被批准;或呼叫中心-响应等待更多信息,商家必须呼叫免费授权电话号码。授权响应消息还可以包含授权代码,其可以是***发行银行响应于电子消息中的授权请求消息(直接地或者通过交易处理计算机)返回给商家的访问装置(例如POS设备)的指示交易被批准的代码。所述代码可以充当授权的证据。
“服务器计算机”可以包含强大的计算机或计算机集群。举例来说,服务器计算机可以是大型主机、小型计算机集群或像单元一样工作的一组服务器。在一个实例中,服务器计算机可以是耦合到网络服务器的数据库服务器。服务器计算机可以包括一个或多个计算设备,并且可以使用多种计算结构、布置和编译中的任一种来服务于来自一个或多个客户端计算机的请求。
“支付处理网络”(例如,VisaNetTM)可以包含用以支持和递送授权服务、异常文件服务以及清算和结算服务的数据处理子***、网络和操作。示例性支付处理网络可以包含VisaNetTM。例如VisaNetTM等支付处理网络能够处理***交易、借记卡交易和其它类型的商业交易。VisaNetTM确切地说包含处理授权请求的VIP***(Visa集成式支付***),和执行清算和结算服务的Base II***。支付处理网络可称为处理网络计算机。
图1描绘能够实施本公开的至少一些实施例的实例***架构。这些***和计算机中的每一个可以彼此进行操作性通信。为了简化说明,图1中示出特定数目的组件。然而,应理解,本发明的实施例可以包含多于一个每种组件。另外,本发明的一些实施例可包含比图1中所示的所有组件少或多的组件。另外,图1中的组件可以使用任何合适的通信协议经由任何合适的通信媒体(包含因特网)通信。
图1描绘开放信任网络100,其包含用于建立、维护且增殖开放信任网络100以用于计算装置的联合网络且与相关联注册器通信的信任管理***102。信任管理***102可以包含处理网络104和对应的处理网络注册器106。在实施例中,处理网络104可以包含用以支持和递送授权服务、异常文件服务以及清算和结算服务的数据处理子***、网络和操作。举例来说,计算装置的联合网络中的IoT装置可以由用户利用以进行交易(即,购买物品),且处理网络104可以处理包含认证、验证以及清算和结算服务的此类交易。在一些实施例中,处理网络注册器106可以维护对应于开放信任网络100的成员的每一注册器的规范地址(即,传输IP地址)的映射。在实施例中,处理网络注册器106可以产生和/或提供一个或多个令牌到计算装置的联合网络的对应注册器以用于在所述方之间建立安全连接。在实施例中,信任管理***102和处理网络104可以利用或作为块链投票结构中的一个链路,所述块链投票结构包含一个或多个处理网络联合块链108。如本文所描述,由信任管理***102利用的投票结构与由开放信任网络100的其它成员使用的投票***兼容(例如树投票结构)。在实施例中,信任管理***102可以与一个或多个资源提供者计算机(未描绘)通信以用于经由IoT装置处理交易。
图1还包含多个IoT装置110-120,其各自表示不同类型的IoT装置(例如,可穿戴式装置116对智能冰箱112)。虽然图1中说明多个IoT装置,但本文公开的实施例可以包含更多或更少IoT装置。用户可以与IoT装置110-120交互以浏览、搜索和购买物品或服务,或与和IoT装置相关联或由IoT装置提供的多个软件应用程序交互。图1描绘计算装置的第一联合网络122和计算装置的第二联合网络124,其各自包含一个或多个IoT装置(分别为110-114和116-120)。计算装置的第一联合网络122包含对应第一注册器126,且计算装置的第二联合网络124包含对应第二注册器128。每一成员(102、122和124)之间的通信可以经由例如因特网等一个或多个通信网络130实现。在实施例中,第一注册器126和第二注册器128可以是用于实现开放信任网络100中的通信和信任协议的分布式管理和增殖的软件、硬件或两者的任何合适的组合。
在实施例中,每一注册器126和128可以产生且维护阶层式寻址方案,其包含用于计算装置的每一联合网络122和124之间的通信的规范地址。举例来说,第一注册器126可以包含传输IP地址,其充当用于第一注册器126的唯一识别符且可由开放信任网络100中的其它注册器调用或查询以开始通信。传输IP地址可以遵循规范地址格式以实现开放信任网络100的成员之间的高效通信。在实施例中,注册器126和128可以产生、指派且维护用于其相应IoT装置(110-114和116-120)中的每一个的一个或多个地址。在实施例中,每一IoT装置可以被产生且指派本地装置ID,且IoT装置的每一对应的应用程序或API服务可以包含应用程序ID。当产生且指派地址时注册器可以遵循所述规范地址格式以便于装置之间的通信。举例来说,从智能冰箱112到可穿戴式装置116的查询可以遵循特定寻址格式以允许由相关联注册器126和128进行定位和恰当处理。当前***缺乏允许不同和/或相同类型的IoT装置跨越计算装置的网络进行通信更不用说彼此定位的能力。注册器126和128可以通过利用对例如当前装置识别符或媒体访问控制地址等已经知道的地址的散列程序来产生地址。在一些实施例中,可以通过使用由信任管理***102提供到开放信任网络100的每一成员的私钥公钥对来对已知地址进行加密而产生地址。
在一些实施例中,每一注册器126和128可以认证属于计算装置的相关联联合网络(122和124)的每一IoT装置。认证程序还可以当新装置添加到每一联合网络时发生。认证过程可以包含注册器获得用于每一装置的装置识别符和应用程序和/或API服务识别符,与信任管理***102通信,且提供产生的令牌以验证对新注册/添加的装置的认证。在一些实施例中,每一注册器可具有用于验证计算装置的联合网络内的装置之间的信任的一个或多个策略。举例来说,一个策略可以指示必须在装置可添加到联合网络且受信任之前执行用户验证或确认(即,提供令牌)。在认证装置或添加新装置后,注册器(126和128)可以根据阶层式寻址方案产生新地址,且更新用于计算装置的相关联联合网络(122和124)的对应装置的地址的映射。用户验证或确认可包含提供例如对质询问题的回答、密码、个人识别号(PIN)或生物计量样本等认证信息。
在实施例中,来自计算装置的一个联合网络(122)的第一IoT装置可以尝试与来自计算装置的另一联合网络(124)的另一IoT装置通信。举例来说,智能冰箱112可以尝试经由通信网络130与可穿戴式装置116通信。为了开始建立安全连接且定位可穿戴式装置116,相关联注册器可以通信。在一些实施例中,第一注册器126可以代表智能冰箱112与第二注册器128通信。在再其它实施例中,IoT装置(112和116)可以尝试直接通信。在实施例中,第二注册器128可以通过与信任管理***102通信而确定第一注册器126(和相关联IoT装置)受信任。在一些实施例中,信任管理***102可以确定计算装置的第一联合网络122是否为开放信任网络100的成员。在再其它实施例中,第二注册器128可以在其自身的联合网络124内开始投票程序以确定是否信任第一联合网络122。如本文所描述,第二联合网络124可利用任何合适的投票结构(即,块链、树或混合)以投票确定是否信任计算装置的第一联合网络122。
在一些实施例中,计算装置的联合网络之间的信任是基于来自开放信任网络100的每一成员的投票而确定。举例来说,信任管理***102、计算装置的第二联合网络124和其它成员(即,计算装置的其它联合网络)可以各自利用其自身的内部投票结构且关于是否信任成员的通信或允许新成员举行投票。开放信任网络100的每一成员可以针对其给定投票被指派权重,所述权重可以影响正在投票的任何决策的结果。在实施例中,第一注册器126可以通过在其自身的存储装置和/或存储器中验证第二注册器128的位置地址的存在来定位第二注册器128。在其它实施例中,第一注册器126可以由信任管理***102以新添加成员的位置信息进行周期性更新,或者可以查询信任管理***102以获得位置信息。信任管理***102可以建立并维护用于确定信任计算装置的联合网络或对开放信任网络100添加新成员所需的投票的一个或多个策略和阈值。新添加的成员信息及其位置信息(传输IP)可以由信任管理***102周期性地提供到开放信任网络100的分布式注册器。
在关于第二注册器128进行定位且建立信任后,第二注册器128可以从可穿戴式装置116请求令牌。令牌可含有用于根据本文所描述的规范寻址格式恰当地与可穿戴式装置116通信的信息。在一些实施例中,令牌可含有其它信息,例如来自应用程序的所请求信息、API调用,或来自与可穿戴式装置116相关联的应用程序和API的API服务请求。举例来说,在不同联合网络的IoT装置之间已建立安全连接之后,一个装置可以利用令牌提供关于应用程序的信息(例如交易信息或由与特定应用程序进行交互的用户提供的信息)。在一些实施例中,第二注册器128可以产生且提供具有所请求或适当信息的令牌给第一注册器126。随后,第一注册器126可以将令牌提供到智能冰箱112。通过由智能冰箱112获得的恰当寻址信息,可以利用令牌在智能冰箱112与可穿戴式装置116之间建立安全连接。在一些实施例中,处理网络注册器106和/或信任管理***可以将令牌从第二注册器128提供到第一注册器126,且利用令牌在智能冰箱112与可穿戴式装置116之间建立安全连接。
本公开的实施例包含用于在属于计算装置的不同联合网络的先前不受信任和/或未被检测的IoT装置之间进行通信的技术优点。举例来说,注册器可充当建立信任且获得位置信息以允许安全地建立通信的中介机构。在本公开之前,IoT装置缺乏与不同类型的其它IoT装置更不用说在其它联合网络中操作的IoT装置进行通信的能力。此外,通过利用注册器,提供一层隐私和保护,因为IoT装置可利用由注册器维护的阶层式寻址方案(装置ID和应用程序ID)进行通信,所述方案模糊了真实装置ID和应用程序信息。因此,获得阶层式寻址方案的装置ID和应用程序ID的任何行骗者将不能够对所述装置执行任何操作直到其成为受信任成员为止,且无法直接寻址IoT装置,因为从在其自身网络内包含IoT装置的其它实体模糊了实际寻址信息。
在一些实施例中,计算装置的不同联合网络的IoT装置之间的通信请求可以通过利用装置中的一个的交易来发起。在此类使用情况中,令牌可含有信息,例如账户信息、信用***码、银行账户号码、数字钱包参考,例如个人认证信息、货运地址和联系信息等其它合适的信息。关于一个或多个计算机装置(装置信息)或用户的信息可以由相关联注册器在如上文所描述的登记或验证过程期间获得。在此程序期间可以获得例如装置识别符、网络识别符和全球定位卫星信息等其它信息。在一些实施例中,在通信请求期间产生和请求的令牌可以进一步利用任何合适的加密方法进行加密以确保计算装置的联合网络之间的信息隐私。举例来说,可以使用由注册器计算机***和处理网络注册器计算机***维护的公钥私钥对来加密令牌。
在一些实施例中,信任管理***102可以维护用于不同类型的交易的一个或多个阈值(例如用于涉及货币的交易的特定阈值和用于涉及对数据的访问的交易的不同阈值)。信任管理***可以在交易使用情况中利用不同阈值来验证或IoT装置之间的交易。举例来说,涉及银行实体与在线商家之间的货币转账的第一交易可以规定所述银行实体和两个其它银行实体在通信可建立于IoT装置之间之前签署令牌。在另一实例中,涉及准予对例如无线网络等共享资源的访问的交易可能仅要求在IoT装置之间建立通信且对无线网络准予访问之前由开放信任网络的受信任成员签署令牌。
在其中支付交易发生的实施例中,信任管理***102可以与资源提供者计算机和/或发行方计算机通信。资源提供者计算机或信任管理***102可以随后产生可请求对所需交易的授权的授权请求消息。授权请求消息可以由与信任管理***102通信的发行方计算机接收。它们都可确定用户具有完成涉及某一货币金额的交易的适当资金量。在实施例中,信任管理***102或与信任管理***102通信的发行方计算机可以产生且提供授权响应消息给资源提供者计算机。
信任管理***102和处理网络注册器106可以包含处理器、存储器、输入/输出装置和耦合到处理器的计算机可读介质。计算机可读介质可包括可通过处理器执行以执行本文中所描述的功能性的代码。在一些实施例中,信任管理***102和处理网络注册器106可以包含应用程序(例如,计算机程序),其存储于存储器中且被配置成跨越通信网络(例如,因特网)检索、呈现和发送数据。
第一注册器126和第二注册器128可以包括驻留在计算机可读介质上的可通过计算机代码实施的各种模块。第一注册器126和第二注册器128可以包含处理器和耦合到处理器的计算机可读介质,所述计算机可读介质包括可由处理器执行以用于执行本文所描述的功能性的代码。
IoT装置110-120可以各自包含处理器和耦合到处理器的计算机可读介质,所述计算机可读介质包括可由处理器执行的代码。在一些实施例中,IoT装置110-120可以耦合到数据库且可以包含用于服务于用户交互的任何硬件、软件、其它逻辑或前述各项的组合,所述用户交互包含到一个或多个其它IoT装置的通信和交易请求。
计算机、网络与装置之间的消息可以使用安全通信协议来传输,例如但不限于:文件传输协议(FTP);超文本传输协议(HTTP);安全超文本传输协议(HTTPS)、安全套接层(SSL)、ISO(例如,ISO 8583)和/或其类似者。
在实施例中,第二联合网络124的汽车118的应用程序可以尝试与第一联合网络122的智能冰箱112通信。在实施例中,第二注册器128可以查询处理网络注册器106以获得用于第一注册器126的寻址信息。在各种实施例中,信任管理***102可以维护用于开放信任网络100中的每一成员(即,计算机资源的联合网络)的寻址信息。此外,信任管理***102和处理网络注册器106可以使在两个成员之间可建立信任之前建立所需的最小水平的签名或投票的策略增殖。返回到实例,第一注册器126可以识别来自第二注册器128的通信请求从未建立(例如,来自开放信任网络100内的先前未知实体的通信)。
在实施例中,可以基于通信实体是否先前已经遇到或是新联系人而选择策略。为了说明,第一注册器126可以应用要求在可建立信任之前由开放信任网络100中的三个其它成员(未描绘)签署或投票确定与汽车118应用程序相关联的EID的策略。如本文所描述,EID可以与可由第一注册器126利用以确定谁已经签署EID以及相对于他们提供的签名或投票的他们的相对权重是什么的信息相关联,或者包含所述信息。假定汽车118应用程序的EID或凭证包含签名的适当量和权重,那么第一注册器126可以将确认提示或查询提供到智能冰箱112的用户以验证来自汽车118应用程序的通信请求。此外,第二注册器128可以将相似查询提供给汽车118应用程序的用户,询问有人已提供其相关联EID来建立与另一IoT装置(即,智能冰箱112)的通信。在接收到确认后,第一注册器126可以更新其联系人记录,且请求和/或产生包含适当信令信息的令牌以启用汽车118应用程序与智能冰箱112之间的通信。在各种实施例中,令牌产生、经由公钥对签名的验证以及供应信息可以由第一注册器126、第二注册器128和/或处理网络注册器106执行。
图2描绘用以启用注册器之间的信令的阶层式寻址方案的框图。图2包含与构成例如联合网络204等计算装置的联合网络的相应IoT装置相关联的若干注册器200、202。在图2中的虚线表示开放信任网络中的注册器之间的信令路径206和/或通信线路,其启用属于计算装置的不同且还不受信任联合网络的IoT装置之间的安全连接。注册器200包含传输IP地址208、IPV6地址210,以及表示遵循规范地址格式的阶层式地址方案的ID和本地地址212。在实施例中,传输IP地址可用以在注册器200与202之间通信。在一些实施例中,IPV6地址表示联合网络地址210,其表示计算装置的联合网络。在实施例中,传输IP地址和/或IPV6地址可用于对开放信任网络中的注册器进行定位和通信。应注意,虽然图2中描绘的地址包含IPV6地址,但在产生用于注册器、装置、应用程序和相关API服务的地址时可以利用IPV4地址和任何其它合适的因特网协议地址。
如本文所描述,注册器200可以维护本地装置识别符和地址212的映射。在实施例中,注册器200可以产生且指派本地装置识别符和地址212以保护安全性且遵循规范地址格式。在其它实施例中,联合网络地址210可以充当定位符地址,且对计算装置的相关联联合网络的装置的所有后续请求可以查询联合网络地址210。举例来说,通过处理对IPV6地址210的请求而接收且解译对相关联IoT装置的请求,注册器200可以处理来自另一注册器202的请求。在一些实施例中,可以剖析请求、交易请求或通信,例如对接收的令牌进行解密,以建立属于计算装置的不同联合网络的两个IoT装置之间的通信。在实施例中,本地识别符和地址212可以经由注册器212提供到注册器202以使得可建立直接安全连接。在其它实施例中,产生的本地识别符和地址212可以被提供及映射而提供,以通过注册器维护IoT装置的隐私和安全性。因此,到所述地址和识别符的传入请求可以由注册器200映射到实际本地ID和地址以定位适当的IoT装置和/或应用程序。
图2包含注册器202,其包含阶层式寻址方案214,所述阶层式寻址方案表示对应于计算装置的联合网络204的多个IoT装置216。如图2中所描绘,IoT装置216利用块链投票结构218以做出决策,例如信任来自其它IoT装置的请求。如在本文中所提及,开放信任网络中的计算装置的每一联合网络可以利用其自身的投票结构,而不会影响计算装置的另一联合网络的投票结构。如图2中所图示,注册器202维护装置识别符和地址220的映射。在从联合网络204添加或移除IoT装置216时,可以更新注册器202的映射以添加更多地址或移除地址。在实施例中,阶层式寻址方案214可以表示从顶部节点地址(传输IP、IPV6地址)到下部地址节点(装置ID、应用程序ID等)的经组织路径。阶层地址方案214的使用可以阻止需要充当唯一地址以用于定位目的的地址的上溢和再使用。在成员加入或添加到开放网络时,阶层式寻址方案的可缩放性质可防止存储器过度使用以及在定位特定实体之间的混淆。如本文所描述,注册器200和202可以利用散列程序或加密程序产生且指派装置识别符和应用程序地址212、220,所述散列程序或加密程序利用由信任管理***提供的公钥私钥对。
图3描绘根据本公开的实施例的***和信令流的框图。图3包含用于实施如本文中所描述的开放信任网络的架构。所述架构包含例如因特网等通信网络300,其可以由因特网提供者提供,所述因特网提供者利用操作***和对应硬件来实施通信网络300。计算装置的每一联合网络302和304可以通过云服务306实施或与其相关联,所述云服务包含IoT交换和IoT网络安全以用于实现联合网络内的IoT装置之间的安全和通信。云服务306可以包含虚拟例项、软件和硬件以实施图3中所描绘的细节,例如操作***和对应硬件(处理器、软件模块、存储器和计算机存储装置)。例如302的计算装置的联合网络可以包含若干组件,包含一个或多个具有IoT功能的装置308、一个或多个应用程序310、具有对应安全元件314的信任源312,以及越区切换机构316。在实施例中,信任源312可用于认证联合网络302内的具有IoT功能的装置308且投票以信任计算装置的其它联合网络(304)。举例来说,信任源312可以实施用于具有IoT功能的装置308的块链投票结构以启用投票以确定是否信任或验证来自联合网络304的通信请求。在一些实施例中,信任源312可以包含安全元件314,其用于产生且维护用于其自身的联合网络内的验证的一个或多个令牌(302)且用于将含有位置信息的令牌提供到其它联合网络(304)。在实施例中,信任源312和安全元件314可以表示例如注册器126(图1)的注册器。在实施例中,安全元件314和信任源312可以维护用于确定投票结构、验证通信、产生地址和令牌的一个或多个策略。越区切换机构316可以被配置成处理来自开放信任网络中的受信任成员的通信请求。举例来说,当处理通信请求时可能需要发生变换程序,因为面向公共(受信任)的地址可能不对应于如本文中所描述的实际装置识别符或应用程序识别符。越区切换机构316可以执行变换且处理到适当的具有IoT功能的装置308和/或应用程序310的请求。此类程序也可以由本文所描述的注册器执行。在一些实施例中,具有IoT功能的装置308可以被配置成运行一个或多个软件应用程序或API服务310或者与其相关联。
图3还包含在联合网络302和304如本文中所描述建立信任后在信任源极312和320之间发生的信令318。在图3中所描绘的架构中,实施联合网络302或与其相关联的云服务306可以在一旦信任已建立时便执行联合网络302和304之间的IoT交换322。在实施例中,IoT交换322可以包含共享装置识别符和应用程序地址以更新用于每一云服务306的相应映射和信息。在一些实施例中,IoT交换322仅共享用于建立连接的IoT装置之间的通信所需的信息以便确保联合网络302的其它相关联IoT装置308的安全和隐私。在实施例中,一旦在计算装置的联合网络302和304之间已建立信任,在与每一联合网络302和304相关联的应用程序310和326与IoT装置之间就可以发生信令324。如本文所描述,令牌可以产生且由信任源320提供到信任源312,以用于分别在联合网络302和304的应用程序310和326之间建立安全连接。因此,使驻留于计算装置的不同联合网络中的IoT装置能够彼此定位且通信,而不管IoT装置为不同类型或应用程序缺乏与其它应用程序通信的支持。开放信任网络中增殖的规范地址格式建立用于在应用程序310和326之间通信的协议,且因此信令324可发生以进行用于物品、服务或者对数据或安全区域的访问的交易。
图4描绘能够实施本公开的至少一些实施例的实例***架构。架构400包含信任管理***402。在实施例中,信任管理***402可以与可包含支付处理网络的处理网络404相关联。信任管理***402可以经由处理网络注册器412与开放信任网络的其它成员(第一银行实体406、第二银行实体408和商家实体410)交互和通信。在实施例中,每一成员(406、408和410)可以实施对应注册器414、416和418。如图4中所描绘,每一成员可以包含作为联合块链的部分的若干组件。举例来说,第一银行实体406可以包含一个或多个IoT装置420和422,第二银行实体408可以包含IoT装置424和426,且第三银行实体410可以包含IoT装置428和430,分别作为联合块链432、434和436的部分。
在一些实施例中,每一成员(406、408和410)可以被配置成执行针对寻求访问共享资源的实体的识别和验证438,进行交易,或变为计算装置的特定联合网络内的已知实体。每一注册器(412、414、416和418)可以维护信息,所述信息识别开放信任网络的其它成员的使用规范寻址方案的位置信息、认证过程中使用的生物计量模板、用于在每一联合块链内通信的阶层式寻址方案和对应地址、用以签署令牌的私钥和公钥,以及维护在作为计算装置的联合网络的部分且已经认证自身的IoT装置或其它计算机装置上的一个或多个令牌。图4描绘可以表示用于认证在架构400内进行交易的实体的各种使用情况的若干步骤。举例来说,步骤1包含先前已经向第一银行实体406认证的实体期望在商家实体410内进行交易。举例来说,所述实体可能期望租赁对IoT装置430或被配置成在IoT装置428上运行的应用程序的访问。响应于所述实体发起交易,商家实体注册器418可以识别所述实体在联合块链436内是未知的,且经由处理网络注册器412请求或查询信任管理***402以验证所述实体。
在步骤2,信任管理***402和处理网络注册器412可以识别适当成员(第一银行实体406)。在实施例中,处理网络注册器412可以维护且更新实体、针对实体已经进行验证(签署)的成员以及用于与成员通信的位置信息(规范地址)的映射。在实施例中,在步骤1开始的交易的识别和验证将在步骤2传输到第一银行实体注册器414。在各种实施例中,在步骤1提供的认证请求可以包含由在联合块链436内进行交易的实体的计算装置提供的令牌。第一银行实体406和第一银行实体注册器414可以被配置成分析令牌和与令牌相关联的生物计量信息以验证实体和对应用户装置。
举例来说,第一银行实体注册器414可以识别提供到令牌的其自身的签名,且匹配生物计量信息与可能在初始认证或发起步骤中先前提供的生物计量模板。如果未提供适当签名(即,第一银行实体注册器414不能够以所提供令牌检测其签名,或生物计量信息不匹配用于用户的生物计量模板),那么第一银行实体注册器414可以拒绝或否定来自商家实体注册器418的认证请求。否则,第一银行实体注册器414可以将对认证的确认提供到商家实体注册器418。在一些实施例中,在接收到批准后,商家实体注册器418可以更新其映射,签署令牌,且对实体和相关联计算装置提供对其它装置(428、430)的访问或批准交易。在各种实施例中,处理网络404可以针对在联合块链436内进行的交易执行清算和结算。在一些实施例中,商家实体注册器418可以与处理网络注册器412同步以更新实体、令牌等的映射。
为了说明本文所述实施例的另一实例,具有对应用户装置的用户可能期望与第二银行实体408进行交易。响应于第二银行实体注册器416确定所述用户和用户装置是未知的实体,第二银行实体注册器416可以关于实体在步骤4进行通信和/或查询处理网络注册器412。如上述步骤中所描述,信任管理***402和处理网络注册器412可以在步骤5推迟或重定向所述用户和用户装置的验证和识别到另一实体,在此情况下到商家实体注册器418。在所说明实例中,用户可能已经先前与商家实体410和商家实体注册器418进行交互且认证。在处理网络注册器412与商家实体注册器418之间执行的同步操作后,处理网络注册器412可以维护先前认证的指示。可以在每个交易的完成后周期性或动态地执行开放信任网络的成员的注册器之间的同步操作。在步骤6,商家实体注册器418可以提供对尝试与第二银行实体408进行交易的用户和用户装置的认证和验证的拒绝或批准。如本文所描述,商家实体注册器418可以分析令牌,应用策略,确定签名,且将在认证请求期间与令牌一起提供的生物计量信息匹配于生物计量模板以验证或拒绝对交易的认证请求。在各种实施例中,处理网络404可以针对在联合块链434内进行的交易执行清算和结算。在一些实施例中,第二银行实体注册器416可以与处理网络注册器412同步以更新实体、令牌等的映射。
图5描绘根据本公开的实施例的***和信令流的框图。图5描绘实体500,其可以执行环境和行为的各种数据收集502以用于用户在计算装置的相关联联合网络或与实体500通信的计算装置的另一联合网络内进行交易。在实施例中,实体500可以表示银行实体、商家实体或信任管理实体。在各种实施例中,实体500可以利用收集的环境数据和行为数据502以使用情境感知模型510产生一个或多个身份简档504、506和508。在实施例中,情境感知模型510可以是机器学习算法,其利用收集的环境和行为数据502以产生一个或多个模型以用于识别身份简档A 504、身份简档B 506和身份简档C 508。在一些实施例中,每一身份简档504、506和508可以识别进行交易的用户的不同数字表示。举例来说,身份简档A 504可以指示用户在某一位置内的行为(即,在购物中心内的花费习惯和购买位置),而身份简档B506可以指示所述用户在另一位置或计算装置的联合网络内的行为(即,在在线购物时的花费习惯和最爱访问的网页)。
图5图示了在身份存储装置512内存储身份简档504、506和508的实体。在实施例中,身份存储装置512可以将每一身份简档令牌化514为多个令牌类型516-522。相关联注册器计算机***可以实施环境和行为数据的数据收集502、情境感知模型510、身份简档504-508的产生以及令牌化514。每一令牌类型可以表示当在如本文中所描述的开放信任网络内进行交易时用于给定情境或令牌请求者的适当令牌。举例来说,图5图示了令牌请求者524,其表示从实体500请求令牌的各种实体和情境。每一令牌请求者524可具有对应注册器526-536。在实施例中,可以响应于基于正与移动电话538进行的交易的情境的请求,而对例如代表移动电话538而作用的注册器526等令牌请求者提供令牌类型A 516。举例来说,令牌类型A 516可以表示和与移动电话进行的交易相关联的身份简档A 504。因此,令牌类型A 516提供到移动电话538以进行涉及实体500和对应于移动电话538的注册器(或直接移动电话538)的交易。举例来说,用户可以请求访问移动电话538的数字钱包以进行例如资金转账等交易。在一些实施例中,请求注册器可以基于相关联交易识别特定令牌类型。在各种实施例中,实体500可以利用从请求实体提供的行为和环境数据来选择和提供适当令牌类型,从而选择适当令牌类型。
图6描绘根据本公开的实施例的包含一个或多个节点的示例性联合块链。图6图示了可以被配置成进行或实施用于共享资源的交易的块链600。举例来说,块链600可以与一个或多个节点602-608相关联,所述节点各自表示共享资源集线器或终端或者表示共享资源自身。举例来说,连接的归属节点604可以包含WiFi网络610,其可以用于出租或准予访问某一货币金额给根据本文所描述的方法进行通信和验证的用户装置。在一些实施例中,每一节点可具有一个或多个相关联应用程序612、614,用于与计算装置的另一联合网络的其它IoT装置进行交易或交互。对块链600上的节点的访问可以经由对应注册器计算机***(未描绘)进行。
在一些实例中,每一节点602-608可具有可用于计算装置的联合块链内的内部网络通信的相关联通信端口616。通信端口616可以利用任何合适的网络技术,例如无线网络、陆地通讯线、蓝牙或近场通信(NFC)。如图6中所图示,每一节点602-608可具有一个或多个其它共享资源618-628或针对由每一节点602-608代管的其它共享资源(未描绘)的通信访问能力。举例来说,可用于进行交易的用户装置可以通过经由射频识别(RFID 624)与节点通信而发起交易,以获得访问、出租、租赁或购买由连接的办公室节点606代管的共享资源。在实施例中,与块链600相关联的注册器可以例如通过与信任管理***或开放信任网络的另一成员通信以验证请求实体和装置,来进行认证过程以用于准予对块链600内的共享资源的访问。
图7中示出根据本发明的一些实施例的实施本文所描述的特征的注册器或注册器计算机***的实例。注册器700可以包含用以启用某些装置功能的电路,所述功能例如处理信任请求、通信请求、产生和维护用于IoT装置和相关联应用程序的地址信息,以及产生和提供具有位置信息的令牌,和/或用于如本文中所描述的认证目的。负责启用那些功能的功能元件可包含处理器700A,所述处理器可执行实施装置的功能和操作的指令。处理器700A可访问存储器700E(或另一合适的数据存储区或元件)以检索指令或用于执行指令的数据,例如提供脚本和应用程序。例如手持式装置、操纵杆、触觉传感器、运动传感器、键盘、鼠标或其它触觉输入装置等数据输入/输出元件700C可以用于使用户能够操作与注册器700通信的IoT装置(例如,购买的确认、发起交易,或提供个人认证信息)。
数据输入/输出元件700C还可以被配置成经由相关联IoT装置输出数据。显示器700B也可用于向用户输出数据。通信元件700D可以用于实现注册器、IoT装置、位于计算装置的不同联合网络中的装置的应用程序和/或API服务以及例如处理网络、资源提供者计算机或发行方计算机等与交易相关联的其它实体之间的数据传送。注册器700还可以包含非接触元件接口700F以实现非接触元件700G与注册器400的其它元件之间的数据传送,其中非接触元件700G可以包含安全存储器和近场通信数据传送元件(或另一形式的短程通信技术)。在实施例中,注册器700可以实施于移动装置中且维护开放信任网络中的分布式关系。
存储器700E可以包括注册器通信模块700J、令牌模块700L、API服务模块700N以及任何其它合适的模块或数据。注册器700可具有安装或存储在存储器700E上的任何数目的应用程序或模块且不限于图7中所示。存储器700E还可包括可由处理器700A执行以实施本文中所描述的方法的代码。如本文中所使用,“模块”可包含实施本文中所描述的技术的软件模块、硬件模块或软件和硬件的任何合适的组合。
注册器通信模块700J可以与处理器700A结合可以实现在开放信任网络中的注册器之间建立信任,且产生和维护用于定位相关联IoT装置或相关联应用程序/API的一个或多个地址。注册器通信模块700J和API服务模块700N以及处理器700A可以被配置成与一个或多个外部服务或实体通信,包含资源提供者计算机、处理网络或如本文中所描述的用于认证交易的其它合适实体。在一些实施例中,注册器通信模块700J和API服务模块700N与处理器700A结合可以被配置成与信任管理***通信以更新注册器700地址、成员信息、维护的令牌或如本文中所描述的其它合适的信息。
在一些实施例中,令牌模块700L可以与处理器700A结合被配置成维护且产生一个或多个令牌以用于认证计算装置的相关联联合网络内的装置或者用于与其它联合网络、IoT装置和或应用程序建立信任和通信。在实施例中,当相关联令牌、凭证或EID被修改、泄密或缺乏来自其它参与实体的所需签名和/或投票时,实体可被认为不受信任。在实施例中,令牌模块700L和API服务模块700N可以与处理器700A结合被配置成与另一注册器、另一IoT装置和/或应用程序或API服务通信以建立安全连接来进行通信或交易。在一些实施例中,为了增加安全性,令牌可以不存储在注册器700处。实际上,当正执行通信和/或交易请求时可从远程服务器或云服务器临时检索令牌。在实施例中,可以由信任管理***产生和提供令牌。在一些实施例中,令牌模块700L可以存储且利用一个或多个私钥公钥对来签署和或加密所产生和提供的令牌。在一些实施例中,可以使API服务模块700N和处理器700A能够通过执行由注册器通信模块700J和注册器700维护的地址和识别符的映射查找来处理不同联合网络的应用程序之间的通信请求。
图8描绘说明根据本公开的实施例的用于认证开放信任网络中的计算装置的联合网络且在驻留于计算装置的不同联合网络中的装置之间建立连接的实例技术的图。描述操作的次序并不希望被理解为限制,且任何数目的所描述操作可以省略或者按任何次序和/或并行地组合以实施此过程和本文所描述的任何其它过程。
程序800中的一些或全部(或本文所描述的任何其它过程或者其变型和/或组合)可以在被配置成有可执行指令的一个或多个计算机***的控制下执行,且可以被实施为代码(例如,可执行指令、一个或多个计算机程序或一个或多个应用程序)。根据至少一个实施例,图8的过程800可以由至少一个或多个计算机***执行,所述计算机***包含信任管理***102、处理网络注册器106、第一注册器126、IoT装置110-114、第二注册器128和IoT装置116-120(图1)。代码可存储在计算机可读存储介质上,例如呈包含可由一个或多个处理器执行的多个指令的计算机程序的形式。计算机可读存储介质可以是非暂时性的。信任管理计算机***802、第一注册器计算机804、第一计算装置806、第二注册器计算机808和第二计算机装置810可以通过任何合适的通信信道或通信网络彼此全部成操作通信。合适的通信网络可以是下列中的任一个和/或组合:直接互连;互联网;局域网(LAN);城域网(MAN);作为因特网上节点的运行任务(OMNI);安全定制连接;广域网(WAN);无线网络(例如,采用例如但不限于无线应用协议(WAP)、I-模式和/或其类似者的协议);和/或类似者。
计算机、网络与装置之间的消息可以使用安全通信协议来传输,例如但不限于:文件传输协议(FTP);超文本传输协议(HTTP);安全超文本传输协议(HTTPS)、安全套接层(SSL)、ISO(例如,ISO 8583)和/或其类似者。
过程800可以包含在812由第一注册器计算机804接收来自第一计算装置806的通信请求。来自第一计算装置806的通信请求可以尝试信任第二计算装置810且与其通信。过程800可以包含第一注册器计算机804从信任管理***计算机802请求第二计算装置810是否为开放信任网络的受信任成员以及第二注册器计算机808的位置信息。信任管理***计算机802可以通过如本文中所描述在开放信任网络中进行所有成员的投票(包含第一注册器计算机804)来处理成员之间的信任的确定。过程800可以包含在816信任管理***计算机802进行投票以确定第一注册器计算机804与第二注册器计算机808之间的信任的建立。
过程800可以包含在818信任管理***计算机802向第一注册器计算机804指示第二注册器计算机808是开放信任网络的受信任成员。在实施例中,此指示可以包含提供包含第二注册器计算机808和第二计算装置810的位置信息的以数字方式签署的令牌或其它数据片。过程800可以包含在820第一注册器计算机804建立与第二注册器计算机808的通信。在实施例中,第一注册器计算机804可以产生且提供具有第一计算装置806或相关联应用程序/API服务的位置信息的令牌给第二注册器计算机808以在计算装置的不同联合网络之间建立通信。如本文所描述,令牌可含有用于根据由信任管理***增殖且由每一注册器计算机804和808维护的规范地址格式恰当地定位第二计算机装置和相关联应用程序/API的规范地址。过程800可以在822通过利用提供的令牌在第一计算机装置806与第二计算机装置810之间建立安全连接而结束。
在其中在建立信任和安全连接后进行交易的实施例中,图8的流程可以包含可安置于传输计算机与发行方计算机(未图示)之间的交易处理计算机。交易处理计算机可以包含用以支持和递送授权服务、异常文件服务以及清算和结算服务的数据处理子***、网络和操作。举例来说,交易处理计算机可以包括耦合到网络接口(例如,通过外部通信接口)的服务器及信息的数据库。过程800可以包含传输计算机经由交易处理计算机请求交易的授权。过程800可以包含交易处理计算机将授权响应消息提供到资源提供者计算机(未图示)。在一些实施例中,资源提供者计算机可在接收到授权响应消息后继续完成交易。
在一些实施例中,发行方计算机可以发行和管理用户的支付账户和相关联支付装置。发行方计算机可能够授权涉及支付账户的交易。在授权交易之前,发行方计算机可以认证在授权请求中接收的支付凭证,且检查相关联支付账户中存在可用的信用额或资金。发行方计算机还可以接收和/或确定与交易相关联的风险等级,且可以当决定是否授权交易时对风险进行权衡。如果发行方计算机接收到包含支付令牌的授权请求,那么发行方计算机能够对支付令牌进行去令牌化,以便获得相关的支付凭证。
如本文所描述,计算机***可以用于实施上述的任何实体或组件。计算机***的子***可以经由***总线互连。例如打印机、键盘、固定磁盘(或包括计算机可读介质的其它存储器)、耦合到显示适配器的监视器等额外子***也包含在本文所述的实施例中。可以耦合到输入/输出(I/O)控制器(其可以是处理器或其它合适的控制器)的***设备和I/O装置可以通过本领域已知的任何数目的装置,例如串行端口连接到计算机***。例如,串行端口或外部接口可以用于将计算机设备连接到例如因特网的广域网、鼠标输入装置或扫描仪。经由***总线的互连允许中央处理器能够与每个子***通信,并控制来自***存储器或固定磁盘的指令的执行以及信息在子***之间的交换。计算机***的***存储器和/或固定磁盘可以实施为计算机可读介质。在一些实施例中,监视器可以是触敏显示屏。
计算机***可以包含例如通过外部接口或通过内部接口连接在一起的多个相同组件或子***。在一些实施例中,计算机***、子***或设备可以经由网络通信。在所述情况下,一个计算机可以视为客户端并且另一个计算机视为服务器,其中每一者可以是同一计算机***的一部分。客户端和服务器可以各自包含多个***、子***或组件。
应理解,本发明的任何实施例都可以使用硬件(例如专用集成电路或现场可编程门阵列)和/或使用计算机软件以控制逻辑的形式实施,其中通用可编程处理器是模块化的或集成的。如本文所用,处理器包括单核处理器、在同一集成芯片上的多核处理器,或在单个电路板上或网络化的多个处理单元。基于本公开和本文中所提供的教示,本领域的普通技术人员将知道并且理解使用硬件和硬件与软件的组合来实施本发明的实施例的其它方式和/或方法。
本申请中描述的任何软件部件或功能可以实施为使用任何合适的例如Java、C、C++、C#、Objective-C、Swift的计算机语言或如Perl或Python的脚本语言并使用例如传统的或面向对象的技术由处理器执行的软件代码。软件代码可以作为一系列指令或命令存储在用于存储和/或传输的计算机可读介质上,合适的介质包含随机存取存储器(RAM)、只读存储器(ROM)、诸如硬盘驱动器或软盘的磁介质或诸如光盘(CD)或DVD(数字通用光盘)的光学介质、闪存等等。计算机可读介质可以是此类存储或传输装置的任何组合。
此类程序也可以使用适于通过包含因特网的符合各种协议的有线、光学和/或无线网络传输的载波信号来编码和传输。因此,根据本发明的实施例的计算机可读介质可以使用用此类程序编码的数据信号来创建。以程序代码编码的计算机可读介质可与兼容装置一起封装或与其它装置分开提供(例如经由因特网下载)。任何这样的计算机可读介质都可以驻留在单个计算机产品(例如硬盘驱动器、CD或整个计算机***)上或其内部,并且可以存在于***或网络内的不同计算机产品上或其内部。计算机***可包含用于将本文中提及的任何结果提供给用户的监视器、打印机或其它合适的显示器。
以上描述是说明性的且不是限制性的。在本领域技术人员阅读了本公开之后,本发明的许多变体对于他们会变得显而易见。因此,本发明的范围不应该参考上面的描述来确定,而是应该参考待决的权利要求及其完整范围或等同物来确定。
在不偏离本发明的范围的情况下,任何实施例的一个或多个特征可以与任何其它实施例的一个或多个特征组合。
除非具体地相反指示,否则“一(a/an)”或“所述(the)”的叙述打算意指“一个或多个”。
上文提到的所有专利、专利申请、公开和描述出于所有目的以其全文引用的方式并入本文中。不承认它们是现有技术。
Claims (20)
1.一种计算机实施的方法,包括:
由服务器计算机且从计算装置的第一联合网络中的第一注册器计算机***接收对正用于在计算装置的所述第一联合网络中进行交易的第一计算装置进行认证的请求,所述请求包含由驻留于计算装置的第二联合网络中的实体签署的令牌,所述令牌包含用于所述交易的用户的生物计量信息;
由所述服务器计算机识别用于与关联于所述实体的第二注册器计算机***通信的规范地址;
由所述服务器计算机使用所述规范地址将所述认证请求从所述第一注册器计算机***传输到所述第二注册器计算机***;
由所述服务器计算机且从所述第二注册器计算机***接收对所述认证请求的确认,所述确认是由所述第二注册器计算机***部分地基于所述用户的所述生物计量信息和由所述实体对所述令牌的签名而确定;以及
由所述服务器计算机且向所述第一注册器计算机***传输对包含所述令牌的所述认证请求的所述确认,所述令牌由所述第一注册器计算机***签署并被提供到所述第一计算装置以用于在计算装置的所述第一联合网络中的后续交易中使用。
2.根据权利要求1所述的计算机实施的方法,其中所述规范地址表示用于与计算装置的所述第一联合网络相关联的地址阶层的覆盖地址。
3.根据权利要求1所述的计算机实施的方法,其中所述第二注册器计算机***维护用于验证所述用户的所述生物计量信息的模板生物计量信息。
4.根据权利要求1所述的计算机实施的方法,其中对所述认证请求的所述确认还部分地基于由所述第一注册器计算机***维护的多个策略来确定。
5.根据权利要求4所述的计算机实施的方法,其中所述多个策略识别来自开放信任网络的一个或多个成员的若干签名以用于认证所述请求。
6.根据权利要求5所述的计算机实施的方法,其中所述服务器计算机、所述第一注册器计算机***和所述第二注册器计算机***是所述开放信任网络的成员。
7.一种计算机实施的方法,包括:
由与计算装置的联合网络相关联的注册器计算机***接收利用由计算装置的所述联合网络实施的共享资源的第一请求,所述第一请求由第一计算装置提供且包含与所述第一计算装置相关联的令牌;
由所述注册器计算机***至少部分地基于所述令牌和用以签署所述令牌的一个或多个签名以及由所述注册器计算机***指定的与所述一个或多个签名相关联的策略而识别所述第一计算装置是未知的实体;
由所述注册器计算机***向信任管理***传输认证所述第一计算装置的第二请求,所述第二请求包含所述令牌;
由所述注册器计算机***从所述信任管理***接收验证开放信任网络内的所述第一计算装置的认证消息,所述认证消息由所述信任管理***响应于所述信任管理***与所述开放信任网络中的多个注册器计算机通信而产生,以针对所述令牌确定由所述多个注册器计算机提供的签名,所述签名表示对应于所述多个注册器计算机的计算装置的相应联合网络中的与所述第一计算装置和所述令牌进行的先前交易;以及
由所述注册器计算机向所述第一计算装置通过至少将用于所述共享资源的所述令牌和位置信息提供到所述第一计算装置而启用对所述共享资源的访问,所述令牌由所述注册器计算机签署且所述位置信息包含用于与所述共享资源通信的规范地址。
8.根据权利要求7所述的计算机实施的方法,其中所述共享资源包括以下各项中的一个或多个:移动计算装置、可穿戴式装置、膝上型计算机、桌上型计算机、服务器计算机、汽车、打印机、扫描仪、无线路由器、无线网络、软件应用程序、存储装置,或通过主机变为可用的计算机资源。
9.根据权利要求7所述的计算机实施的方法,还包括由所述信任管理***响应于由所述注册器计算机启用对所述共享资源的访问而更新用于所述注册器计算机***的已知实体的映射。
10.根据权利要求7所述的计算机实施的方法,还包括由所述注册器计算机***从另一注册器计算机***接收已在与所述另一注册器计算机***相关联的计算装置的另一联合网络内执行先前认证的指示,所述先前认证是由所述第一计算装置使用所述生物计量信息执行。
11.根据权利要求7所述的计算机实施的方法,其中由所述多个注册器计算机针对所述令牌提供的所述签名是使用由所述多个注册器计算机产生并维护的相应私钥进行签署的。
12.根据权利要求7所述的计算机实施的方法,其中计算装置的所述联合网络表示联合块链。
13.根据权利要求7所述的计算机实施的方法,其中与所述第一计算装置相关联的所述令牌是使用散列算法产生的,所述散列算法利用所述生物计量信息和由与所述第一计算装置相关联的计算装置的对应网络维护的私钥。
14.根据权利要求7所述的计算机实施的方法,其中由所述多个注册器计算机针对所述令牌提供的所述签名表示利用所述第一计算装置和所述令牌在计算装置的所述相应联合网络内的成功认证的交易。
15.一种服务器计算机,包括:
处理器;以及
存储器,其包含指令,所述指令在用所述处理器执行时致使所述服务器计算机至少进行以下操作:
由所述处理器从计算装置的第一联合网络中的商家注册器计算机***接收对正用于在计算装置的所述第一联合网络中进行交易的第一计算装置进行认证的请求,所述请求包含由驻留于计算装置的第二联合网络中的开放信任网络的成员签署的令牌,所述令牌包含用于所述交易的用户的生物计量信息;
由所述服务器计算机识别用于与关联于计算装置的所述第二联合网络的注册器计算机***通信的规范地址;
由所述服务器计算机使用所述规范地址将所述认证请求从所述商家注册器计算机***传输到所述注册器计算机***;
由所述服务器计算机且从所述注册器计算机***接收对所述认证请求的确认,所述确认是由所述注册器计算机***使用所述用户的所述生物计量信息和对所述令牌的签名来确定;以及
由所述服务器计算机且向所述商家注册器计算机传输对包含所述令牌的所述认证请求的所述确认,所述令牌是由所述商家注册器计算机***签署以传输到所述第一计算装置以用于在计算装置的所述第一联合网络中的后续交易中使用。
16.根据权利要求15所述的服务器计算机,其中所述开放信任网络的特定成员是与银行实体计算机***相关联的银行实体,所述银行实体计算机***被配置成捕获由所述用户进行的交易的行为信息和环境信息。
17.根据权利要求16所述的服务器计算机,其中所述银行实体计算机***还被配置成部分地基于所述行为信息和所述环境信息产生一个或多个身份简档,所述一个或多个身份简档与所述用户相关联。
18.根据权利要求17所述的服务器计算机,其中所述银行实体计算机***还被配置成产生多个令牌,每一令牌对应于令牌类型且部分地基于与所述用户相关联的所述一个或多个身份简档中的特定身份简档。
19.根据权利要求18所述的服务器计算机,其中所述注册器计算机***确认所述认证请求是至少部分地基于与所述令牌相关联的所述令牌类型和对所述令牌的所述签名。
20.根据权利要求18所述的服务器计算机,其中所述注册器计算机***维护基于交易的类型识别所述令牌类型以进行认证的一个或多个策略。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2016/049522 WO2018044282A1 (en) | 2016-08-30 | 2016-08-30 | Biometric identification and verification among iot devices and applications |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109691014A true CN109691014A (zh) | 2019-04-26 |
| CN109691014B CN109691014B (zh) | 2022-05-27 |
Family
ID=61301260
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680088815.7A Active CN109691014B (zh) | 2016-08-30 | 2016-08-30 | 物联网装置和应用程序之间的生物计量识别和验证 |
Country Status (10)
| Country | Link |
|---|---|
| US (2) | US11140159B2 (zh) |
| EP (1) | EP3507938B1 (zh) |
| KR (1) | KR102624700B1 (zh) |
| CN (1) | CN109691014B (zh) |
| AU (1) | AU2016421889A1 (zh) |
| BR (1) | BR112018077471A2 (zh) |
| CA (1) | CA3026227A1 (zh) |
| RU (1) | RU2019109206A (zh) |
| SG (1) | SG11201810431PA (zh) |
| WO (1) | WO2018044282A1 (zh) |
Families Citing this family (48)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10230710B2 (en) | 2016-08-04 | 2019-03-12 | Visa International Service Association | Token based network service among IoT applications |
| AU2016421889A1 (en) | 2016-08-30 | 2018-12-06 | Visa International Service Association | Biometric identification and verification among iot devices and applications |
| US20180101837A1 (en) * | 2016-10-06 | 2018-04-12 | Mastercard International Incorporated | NFC-Enabled Point of Sale System and Process |
| US20180232734A1 (en) * | 2017-02-10 | 2018-08-16 | Mastercard International Incorporated | Systems and Methods for Use in Initiating Payment Account Transactions |
| US11115403B2 (en) * | 2017-02-21 | 2021-09-07 | Baldev Krishan | Multi-level user device authentication system for internet of things (IOT) |
| US11004132B2 (en) | 2017-03-07 | 2021-05-11 | Mastercard International Incorporated | Systems and methods for use in initiating payment account transactions to acquirers |
| US11012441B2 (en) * | 2017-06-30 | 2021-05-18 | Open Text Corporation | Hybrid authentication systems and methods |
| US11233644B2 (en) * | 2017-08-09 | 2022-01-25 | Gridplus Inc. | System for secure storage of cryptographic keys |
| US20190090090A1 (en) * | 2017-09-15 | 2019-03-21 | Intel Corporation | Proof of location using proximity records and distributed ledger |
| WO2019116377A1 (en) * | 2017-12-11 | 2019-06-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and apparatus for validating messages in a wireless communications network |
| US10771450B2 (en) * | 2018-01-12 | 2020-09-08 | Blackberry Limited | Method and system for securely provisioning a remote device |
| US10931667B2 (en) | 2018-01-17 | 2021-02-23 | Baldev Krishan | Method and system for performing user authentication |
| US10973060B2 (en) * | 2018-02-15 | 2021-04-06 | Honda Motor Co., Ltd. | Methods and systems for management of an association between a user and a vehicle |
| CN108711095A (zh) * | 2018-05-28 | 2018-10-26 | 南京信息工程大学 | 一种基于区块链技术的共享资源***和方法 |
| US10693716B2 (en) | 2018-05-29 | 2020-06-23 | At&T Mobility Ii Llc | Blockchain based device management |
| US11509475B2 (en) | 2018-06-15 | 2022-11-22 | Proxy, Inc. | Method and apparatus for obtaining multiple user credentials |
| US11411735B2 (en) | 2018-06-15 | 2022-08-09 | Proxy, Inc. | Methods and apparatus for authorizing and providing of distributed goods or services |
| US11109234B2 (en) * | 2018-06-15 | 2021-08-31 | Proxy, Inc. | Reader device with sensor streaming data and methods |
| US11438767B2 (en) * | 2018-06-15 | 2022-09-06 | Proxy, Inc. | Methods and apparatus for preauthorizing reader devices |
| US11462095B2 (en) | 2018-06-15 | 2022-10-04 | Proxy, Inc. | Facility control methods and apparatus |
| US11546728B2 (en) | 2018-06-15 | 2023-01-03 | Proxy, Inc. | Methods and apparatus for presence sensing reporting |
| US11196551B2 (en) * | 2018-06-27 | 2021-12-07 | International Business Machines Corporation | Automated task management on a blockchain based on predictive and analytical analysis |
| GB2575250B (en) * | 2018-06-28 | 2021-04-21 | Arm Ip Ltd | Methods for delivering an authenticatable management activity to remote devices |
| US11750395B2 (en) * | 2018-09-03 | 2023-09-05 | Icncast Co., Ltd | System and method for blockchain-based multi-factor security authentication between mobile terminal and IoT device |
| CN108900562B (zh) * | 2018-10-11 | 2021-07-20 | 北京京东尚科信息技术有限公司 | 登录状态的共享方法、装置、电子设备及介质 |
| DE102018010027A1 (de) * | 2018-12-19 | 2020-06-25 | Daimler Ag | Abwicklungssystem |
| US20210357518A1 (en) * | 2019-02-04 | 2021-11-18 | Hewlett- Packard Development Company, L.P. | Control of access to hierarchical nodes |
| US11330048B2 (en) * | 2019-02-18 | 2022-05-10 | Sap Se | Affinity determination and logical networking of IoT devices |
| US11637738B2 (en) * | 2019-02-18 | 2023-04-25 | Sap Se | Logical networking and affinity determination of IoT devices using partitioned virtual space |
| JP2022059099A (ja) * | 2019-02-25 | 2022-04-13 | ソニーグループ株式会社 | 情報処理装置、情報処理方法、及び、プログラム |
| CN110011985A (zh) | 2019-03-19 | 2019-07-12 | 阿里巴巴集团控股有限公司 | 用于操作物联网设备的方法和*** |
| GB2582947B (en) * | 2019-04-10 | 2021-10-13 | Advanced Risc Mach Ltd | Provisioning data on a device |
| US12003511B2 (en) | 2019-04-30 | 2024-06-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Resource provision for mobile entities |
| US12008549B2 (en) * | 2019-07-22 | 2024-06-11 | Visa International Service Association | Federated custodian |
| CN110602041A (zh) * | 2019-08-05 | 2019-12-20 | 中国人民解放军战略支援部队信息工程大学 | 基于白名单的物联网设备识别方法、装置及网络架构 |
| US11341485B2 (en) * | 2019-08-06 | 2022-05-24 | Bank Of America Corporation | Machine learning based system for authorization of autonomous resource transfers between distributed IOT components |
| US20210141888A1 (en) * | 2019-11-12 | 2021-05-13 | Richard Philip Hires | Apparatus, System and Method for Authenticating a User |
| US11704660B2 (en) * | 2020-03-12 | 2023-07-18 | Mastercard International Incorporated | Systems and methods for token transfer between mobile computing devices |
| US20210377240A1 (en) * | 2020-06-02 | 2021-12-02 | FLEX Integration LLC | System and methods for tokenized hierarchical secured asset distribution |
| CN112866280B (zh) * | 2020-07-03 | 2023-01-10 | 支付宝(杭州)信息技术有限公司 | 一种信息验证方法、装置及设备 |
| KR102542880B1 (ko) | 2020-11-30 | 2023-06-15 | 한국전자통신연구원 | 개인정보 관리 장치 및 방법 |
| EP4080846A1 (de) * | 2021-04-19 | 2022-10-26 | Siemens Aktiengesellschaft | Kryptographisch geschützte kommunikationsverbindung zwischen physikalischen komponenten |
| US11792009B2 (en) * | 2021-06-14 | 2023-10-17 | Bank Of America Corporation | Electronic system for generation of authentication tokens using biometric data |
| US11991294B2 (en) | 2021-11-12 | 2024-05-21 | Gridplus, Inc. | Peer-to-peer secure conditional transfer of cryptographic data |
| US11948131B2 (en) | 2022-03-02 | 2024-04-02 | Visa International Service Association | System and method for device transaction authorization |
| US20230308439A1 (en) * | 2022-03-22 | 2023-09-28 | Cisco Technology, Inc. | Distributed hierarchical authentication of system component identities |
| EP4250146A1 (de) * | 2022-03-23 | 2023-09-27 | Siemens Aktiengesellschaft | Interaktion physischer entitäten |
| JP2024042421A (ja) * | 2022-09-15 | 2024-03-28 | 株式会社日立製作所 | トラスト連携システム、トラスト連携方法及びトラストコネクタ |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060021019A1 (en) * | 2004-07-21 | 2006-01-26 | International Business Machines Corporation | Method and system for federated provisioning |
| US20130125223A1 (en) * | 2009-08-28 | 2013-05-16 | Peter Sorotokin | System And Method For Transparently Authenticating A User To A Digital Rights Management Entity |
| US20130254119A1 (en) * | 2012-03-23 | 2013-09-26 | The Toronto Dominion Bank | System and method for authenticating a network gateway |
| CN103563294A (zh) * | 2011-06-30 | 2014-02-05 | 国际商业机器公司 | 用于云计算平台安全性的认证和授权方法 |
| US20150350211A1 (en) * | 2014-05-27 | 2015-12-03 | C1 Bank | Securely integrating third-party applications with banking systems |
| CN105453524A (zh) * | 2013-05-13 | 2016-03-30 | 霍约什实验室Ip有限公司 | 用于授权访问到访问控制环境的***和方法 |
| US20160210626A1 (en) * | 2015-01-19 | 2016-07-21 | Royal Bank Of Canada | Secure processing of electronic payments |
| WO2016128569A1 (en) * | 2015-02-13 | 2016-08-18 | Yoti Ltd | Digital identity system |
Family Cites Families (42)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7137006B1 (en) * | 1999-09-24 | 2006-11-14 | Citicorp Development Center, Inc. | Method and system for single sign-on user access to multiple web servers |
| US6694045B2 (en) * | 2002-01-23 | 2004-02-17 | Amerasia International Technology, Inc. | Generation and verification of a digitized signature |
| US7046666B1 (en) * | 2001-12-06 | 2006-05-16 | The Directv Group, Inc. | Method and apparatus for communicating between divergent networks using media access control communications |
| US7225464B2 (en) * | 2002-04-03 | 2007-05-29 | Yodlee.Com, Inc. | Method for verifying the identity of a user for session authentication purposes during Web navigation |
| US7761501B1 (en) * | 2002-10-24 | 2010-07-20 | Cisco Technology, Inc. | Methods and apparatus for providing data distribution that supports auditing |
| US20050063333A1 (en) * | 2003-09-23 | 2005-03-24 | Sbc Knowledge Ventures, L.P. | System and method for accessing network and data services |
| EP1769457A4 (en) * | 2004-06-25 | 2011-11-02 | Heartland Payment Systems Inc | METHOD AND SYSTEM FOR PAYMENT PROCESSING |
| KR20070032805A (ko) * | 2004-07-09 | 2007-03-22 | 마츠시타 덴끼 산교 가부시키가이샤 | 복수의 네트워크를 액세스하기 위한 싱글-사인-온을실현하도록 사용자 인증 및 승인을 관리하는 시스템 및방법 |
| US20060123472A1 (en) | 2004-12-07 | 2006-06-08 | Microsoft Corporation | Providing tokens to access federated resources |
| US20060235795A1 (en) * | 2005-04-19 | 2006-10-19 | Microsoft Corporation | Secure network commercial transactions |
| US10764264B2 (en) * | 2005-07-11 | 2020-09-01 | Avaya Inc. | Technique for authenticating network users |
| WO2007071009A1 (en) | 2005-12-23 | 2007-06-28 | Bce Inc. | Wireless device authentication between different networks |
| US20070154016A1 (en) | 2006-01-05 | 2007-07-05 | Nakhjiri Madjid F | Token-based distributed generation of security keying material |
| US8990896B2 (en) * | 2008-06-24 | 2015-03-24 | Microsoft Technology Licensing, Llc | Extensible mechanism for securing objects using claims |
| US20100146608A1 (en) * | 2008-12-06 | 2010-06-10 | Raytheon Company | Multi-Level Secure Collaborative Computing Environment |
| US8843997B1 (en) * | 2009-01-02 | 2014-09-23 | Resilient Network Systems, Inc. | Resilient trust network services |
| US8555069B2 (en) * | 2009-03-06 | 2013-10-08 | Microsoft Corporation | Fast-reconnection of negotiable authentication network clients |
| US8752152B2 (en) * | 2009-12-14 | 2014-06-10 | Microsoft Corporation | Federated authentication for mailbox replication |
| CN105243313B (zh) * | 2010-01-12 | 2018-12-25 | 维萨国际服务协会 | 用于对验证令牌的任何时候确认的方法 |
| CN102783115B (zh) | 2010-02-09 | 2016-08-03 | 交互数字专利控股公司 | 用于可信联合标识的方法和装置 |
| CN101984706A (zh) | 2010-11-04 | 2011-03-09 | 中国电信股份有限公司 | 物联网网关及通信协议自动适配方法 |
| JP4892093B1 (ja) * | 2010-11-09 | 2012-03-07 | 株式会社東芝 | 認証連携システム及びidプロバイダ装置 |
| US9185095B1 (en) * | 2012-03-20 | 2015-11-10 | United Services Automobile Association (Usaa) | Behavioral profiling method and system to authenticate a user |
| US9887989B2 (en) * | 2012-06-23 | 2018-02-06 | Pomian & Corella, Llc | Protecting passwords and biometrics against back-end security breaches |
| CN102857968B (zh) | 2012-09-11 | 2014-11-19 | 南京邮电大学 | 基于IPv6的物联网终端与互联网主机的通信方法 |
| US9286455B2 (en) | 2012-10-04 | 2016-03-15 | Msi Security, Ltd. | Real identity authentication |
| US9876775B2 (en) * | 2012-11-09 | 2018-01-23 | Ent Technologies, Inc. | Generalized entity network translation (GENT) |
| US9461820B1 (en) * | 2013-06-05 | 2016-10-04 | Teradici Corporation | Method and apparatus for providing a conditional single sign on |
| US9621530B2 (en) | 2013-06-28 | 2017-04-11 | Qualcomm Incorporated | Trust heuristic model for reducing control load in IoT resource access networks |
| CA2919199C (en) * | 2013-07-24 | 2020-06-16 | Visa International Service Association | Systems and methods for communicating risk using token assurance data |
| US10489779B2 (en) * | 2013-10-21 | 2019-11-26 | Visa International Service Association | Multi-network token bin routing with defined verification parameters |
| US20150135277A1 (en) | 2013-11-13 | 2015-05-14 | Futurewei Technologies, Inc. | Methods for Generating and Using Trust Blueprints in Security Architectures |
| US9774709B2 (en) | 2013-11-18 | 2017-09-26 | Cable Television Laboratories, Inc. | Service discovery |
| MY182630A (en) | 2013-11-27 | 2021-01-27 | Mimos Berhad | Method and system for enabling ip communication between an ip device and a non-ip internet of things device |
| US10340038B2 (en) | 2014-05-13 | 2019-07-02 | Nant Holdings Ip, Llc | Healthcare transaction validation via blockchain, systems and methods |
| US9635010B2 (en) * | 2014-06-13 | 2017-04-25 | Verizon Patent And Licensing Inc. | Network-based authentication for third party content |
| US20160205106A1 (en) | 2015-01-12 | 2016-07-14 | Verisign, Inc. | Systems and methods for providing iot services |
| AU2016361450A1 (en) * | 2015-11-23 | 2018-06-07 | Lucell Pty Ltd (Acn 78 609 013 185) | Value assessment and alignment device, method and system |
| US10412077B2 (en) * | 2016-03-21 | 2019-09-10 | Ca, Inc. | Identity authentication migration between different authentication systems |
| US10728103B2 (en) * | 2016-03-21 | 2020-07-28 | Dell Products L.P. | Edge device resourcing using recursive ledger chaining |
| US10230710B2 (en) | 2016-08-04 | 2019-03-12 | Visa International Service Association | Token based network service among IoT applications |
| AU2016421889A1 (en) | 2016-08-30 | 2018-12-06 | Visa International Service Association | Biometric identification and verification among iot devices and applications |
-
2016
- 2016-08-30 AU AU2016421889A patent/AU2016421889A1/en not_active Abandoned
- 2016-08-30 RU RU2019109206A patent/RU2019109206A/ru unknown
- 2016-08-30 US US16/320,395 patent/US11140159B2/en active Active
- 2016-08-30 CA CA3026227A patent/CA3026227A1/en not_active Abandoned
- 2016-08-30 CN CN201680088815.7A patent/CN109691014B/zh active Active
- 2016-08-30 WO PCT/US2016/049522 patent/WO2018044282A1/en unknown
- 2016-08-30 KR KR1020197000971A patent/KR102624700B1/ko active IP Right Grant
- 2016-08-30 EP EP16915363.2A patent/EP3507938B1/en active Active
- 2016-08-30 SG SG11201810431PA patent/SG11201810431PA/en unknown
- 2016-08-30 BR BR112018077471-5A patent/BR112018077471A2/pt not_active Application Discontinuation
-
2021
- 2021-09-03 US US17/466,987 patent/US11870775B2/en active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060021019A1 (en) * | 2004-07-21 | 2006-01-26 | International Business Machines Corporation | Method and system for federated provisioning |
| US20130125223A1 (en) * | 2009-08-28 | 2013-05-16 | Peter Sorotokin | System And Method For Transparently Authenticating A User To A Digital Rights Management Entity |
| CN103563294A (zh) * | 2011-06-30 | 2014-02-05 | 国际商业机器公司 | 用于云计算平台安全性的认证和授权方法 |
| US20130254119A1 (en) * | 2012-03-23 | 2013-09-26 | The Toronto Dominion Bank | System and method for authenticating a network gateway |
| CN105453524A (zh) * | 2013-05-13 | 2016-03-30 | 霍约什实验室Ip有限公司 | 用于授权访问到访问控制环境的***和方法 |
| US20150350211A1 (en) * | 2014-05-27 | 2015-12-03 | C1 Bank | Securely integrating third-party applications with banking systems |
| US20160210626A1 (en) * | 2015-01-19 | 2016-07-21 | Royal Bank Of Canada | Secure processing of electronic payments |
| WO2016128569A1 (en) * | 2015-02-13 | 2016-08-18 | Yoti Ltd | Digital identity system |
Non-Patent Citations (1)
| Title |
|---|
| 罗军舟等: "《网络空间安全体系与关键技术》", 《中国科学:信息科学》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| US20210400039A1 (en) | 2021-12-23 |
| RU2019109206A3 (zh) | 2020-10-01 |
| US11870775B2 (en) | 2024-01-09 |
| SG11201810431PA (en) | 2018-12-28 |
| RU2019109206A (ru) | 2020-10-01 |
| KR20190039077A (ko) | 2019-04-10 |
| EP3507938B1 (en) | 2023-09-27 |
| EP3507938A1 (en) | 2019-07-10 |
| CA3026227A1 (en) | 2018-03-08 |
| US20190268332A1 (en) | 2019-08-29 |
| CN109691014B (zh) | 2022-05-27 |
| EP3507938A4 (en) | 2019-09-04 |
| AU2016421889A1 (en) | 2018-12-06 |
| US11140159B2 (en) | 2021-10-05 |
| BR112018077471A2 (pt) | 2019-04-02 |
| WO2018044282A1 (en) | 2018-03-08 |
| KR102624700B1 (ko) | 2024-01-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109691014A (zh) | 物联网装置和应用程序之间的生物计量识别和验证 | |
| CN109565509A (zh) | Iot应用中基于令牌的网络服务 | |
| US10496989B2 (en) | System to enable contactless access to a transaction terminal using a process data network | |
| US20170364920A1 (en) | Security approaches for virtual reality transactions | |
| CN108292334A (zh) | 无线生物特征识别认证***和方法 | |
| CN110537195A (zh) | 使用基于区块链的通证id许可卡使用的方法及使用其的服务器 | |
| CN108369700A (zh) | 移动支付*** | |
| CN109074578A (zh) | 用于执行推送交易的***和方法 | |
| CN108352024A (zh) | 基于服务器的生物测定认证 | |
| CN106416189A (zh) | 用于改进的认证的***、设备和方法 | |
| CN108292398A (zh) | 利用增强的持卡人认证令牌 | |
| CN108352021A (zh) | 用于与在线交易相关联的认证数据收集和报告的方法和*** | |
| US11094009B2 (en) | Method and system for obtaining credit | |
| US20230177489A1 (en) | Utilization of biometrics in creation of secure key or digital signature | |
| CN108352010A (zh) | 用于管理认证服务客户数据的方法和*** | |
| CN109075975A (zh) | 共同网络账户的令牌化 | |
| CN110476398A (zh) | 利用接近网络数据的欺骗性无线网络检测 | |
| CN111242591A (zh) | 基于联合签名的区块链交易处理方法、***及存储介质 | |
| KR20190082172A (ko) | 블록체인 기반의 결제 방법 및 이를 이용한 지급 결제 서버 | |
| US20230298009A1 (en) | Rapid cryptocurrency transaction processing | |
| Ratnakanth et al. | A Review of Secure Authentication based e-Payment Protocol | |
| KR20160000600A (ko) | 결제정보 분리를 이용한 온라인 전자금융거래 인증방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40005394 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |