CN110268690A - 保护物联网中的设备通信 - Google Patents
保护物联网中的设备通信 Download PDFInfo
- Publication number
- CN110268690A CN110268690A CN201880010361.0A CN201880010361A CN110268690A CN 110268690 A CN110268690 A CN 110268690A CN 201880010361 A CN201880010361 A CN 201880010361A CN 110268690 A CN110268690 A CN 110268690A
- Authority
- CN
- China
- Prior art keywords
- node
- iot equipment
- gateway
- equipment
- trust
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/66—Trust-dependent, e.g. using trust scores or trust relationships
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
这里认识到,从安全角度来看,用于物联网(IoT)架构的当前消息传递协议通常很弱,并且通常不太适合于资源受限的设备。这里描述的示例IoT***使用IoT消息传递协议的帮助来组合设备认证和应用层密钥建立。所述IoT***可以包括信任中介者和边缘网关,所述信任中介者用作设备的注册点,所述边缘网关管理给定设备和所述信任中介者(以及IoT服务器)之间的通信。所述边缘网关可以获取可信任角色,使得它可以是用于设备‑服务器消息传递的安全中间机构,并且使得它可以促进对于服务的设备认证。
Description
相关申请的交叉引用
本申请要求2017年2月6日提交的美国临时专利申请No.62/455,071的优先权,其公开内容通过引用整体并入本文。
背景技术
物联网(IoT)中的设备通常不直接连接到通信网络。通常,小型IoT设备连接到集线器和网关,其转而建立与因特网的连接。这种设备的特征是它们通过网关的连接是松散的。例如,所述设备并不总是连接到网络服务以及可以由该网络服务可达,并且它们的带宽可能很低。此外,IoT设备通常具有较长的使用寿命,并且被部署在远程难以到达的区域。
用于这种资源受限的IoT设备的典型应用层通信协议遵循简单的以消息为中心的范例,例如发布(pub)/订阅(sub)方法。发布/订阅协议的示例是由OASIS指定的消息队列遥测传输(MQTT)协议。关于MQTT发布/订阅的示例在图2中示出。MQTT是一种通过TCP/IP运行的微小发布/订阅消息传递协议。因此,它可以被直接用于连接到IP网络的IoT设备,例如用于6LoWPAN上的无线连接。对于非IP传输层(例如,紫蜂(Zigbee)),已指定变体MQTT-SN。
在发布/订阅协议中,IoT设备通常建立到服务器的松散连接,该服务器可以被称为IoT(消息)中介者(Broker)。所述IoT设备可以将“发布”消息中的有效载荷数据发送到所述中介者,其可以被指派给某个“主题”。其他设备“订阅”所述中介者处的所提及的主题,并接收具有上述有效载荷内容(或从有效载荷处理得到的数据)的推送消息。
作为示例,MQTT通常仅提供基本安全性。例如,MQTT在连接到中介者时使用设备的标识符/密码认证,但其他安全性则被留在了协议规范以外。所述有效载荷的应用层加密(未在MQTT中指定)可用于机密性保护。在某些情况下,通过使用带有X.509证书的TLS进行设备认证,可以为MQTT实现设备-服务器认证和通信保密。
发明内容
这里认识到,从安全角度来看,用于IoT架构的当前消息传递协议通常很弱,并且通常不太适合于资源受限的设备。这里描述的示例IoT***使用IoT消息传递协议的帮助来组合设备认证和应用层密钥建立。所述IoT***可以包括:信任中介者(trust broker)节点,其充当设备的注册点;以及边缘网关节点,其管理给定设备与所述信任中介者节点(和IoT服务器)之间的通信。所述边缘网关可以获取可信任角色,使得它可以是用于设备-服务器消息传递的安全中间机构,并且使得它可以促进对于服务的设备认证。
在示例中,网关节点从IoT设备接收连接请求。该连接请求可以指示与所述IoT设备相关联的身份标识。所述连接请求还可以指示所述IoT设备想要连接的信息节点。基于所述连接请求,所述网关节点可以确定所述IoT设备未被该网关节点认证。基于与所述IoT设备相关联的身份标识,所述网关节点可以从多个信任中介者节点中选择信任中介者节点。所述网关节点可以建立与所述IoT设备和所选信任中介者节点相关联的代理规则。根据该代理规则,所述网关节点可以在来自所述IoT设备的连接请求之后将该连接请求和出站消息发送到所选信任中介者节点。在一些情况下,所述网关节点可以从所述IoT设备接收订阅消息。该订阅消息可以包括主题。所述网关节点还可以确定来自所选信任中介者节点的发布消息被发布在所述主题下,并且响应于确定所述发布消息被发布在所述主题下,所述网关节点可以将所述发布消息发送到所述IoT设备。所述发布消息可以包括针对所述IoT设备的认证质询。
提供本发明内容是为了以简化的形式介绍一些概念,这些概念将在下面的具体实施方式中进一步描述。本发明内容不旨在标识所要求保护的主题的关键特征或必要特征,也不旨在用于限制所要求保护的主题的范围。此外,所要求保护的主题不限于解决在本公开的任何部分中提到的任何或所有缺点的限制。
附图说明
图1A是示出其中可以实施一个或多个公开的实施例的示例通信***的***图。
图1B是示出了可在图1A中所示的通信***内使用的示例WTRU的***图。
图1C是示出了可在图1A中所示的通信***内使用的示例无线电接入网络和另一示例核心网络的***图。
图1D是示出了可在图1A中所示的通信***内使用的另一示例无线电接入网络和另一示例核心网络的***图。
图1E是示出了可在图1A中所示的通信***内使用的另一示例无线电接入网络和另一示例核心网络的***图。
图2是示例MQTT发布/订阅***架构。
图3示出了根据示例实施例的***图和相应的消息流。
图4是根据示例实施例的用于保护IoT设备的通信的呼叫流程。
具体实施方式
现在将参考各附图描述说明性实施例的详细描述。尽管该描述提供了可能实施方式的详细示例,但是应该注意,该细节旨在是示例性的,并且决不限制本申请的范围。
本文认识到,对于甚至基本安全性,用于IoT架构的流行消息传递协议通常较弱。在此进一步认识到,一些提出的解决方案(例如,使用TLS和X.509证书进行认证和信道保护)并不适合资源受限的设备和持久的IoT部署。例如,生命周期有限的加密证书不适合长期部署。因此,在此认识到在当前基于发布/订阅协议的IoT架构中缺少一些特征。例如,在下面描述的各种示例实施例中,存在设备到服务器(例如,到消息中介者)的安全认证,该安全认证是有效的,以便不会给设备带来计算负担和给基础设施造成通信开销,并且可以建立短期密钥(可以类似于会话密钥)以保护消息有效载荷。
总体上参考图3和4,示例IoT***200包括边缘网关或IoT网关节点202,其是通常存在于IoT架构中的实体;信任中介者或信任中介者节点204;IoT设备206;以及IoT信息中介者或信息节点208。可以理解,图2和图3中所示的网络或***被简化以便于描述所公开的主题,并且不旨在限制本公开的范围。除了所示网络之外或代替所示网络,可以使用其他设备、***和配置来实施本文公开的实施例,并且所有这样的实施例都被认为是在本公开的范围内。
所述网关202可以与专用服务器(该专用服务器可以是信任中介者节点204)协作,以建立期望的信任关系,从而同时确保真实性和安全设备通信。在一些情况下,只要IoT设备206未经认证,IoT网关202就可以控制该IoT设备206的通信,使得它不会对所述IoT***200造成损害。然后,信任中介者204可以认证所述设备206,并且向网关202释放用于通信保护的秘密(secret)。所述设备206、网关202和其他授权实体可以使用该秘密来保护应用层上的去往与来自所述设备206的通信。另外,所述信任中介者204可以向所述设备206释放凭证,其可以用于向IoT服务认证所述设备。
在示例实施例中,存在注册阶段,之后是连接阶段。在注册期间,在示例中,所述IoT设备206可以注册到所述信任中介者204的全局数据库。该全局数据库可以包括由各种服务提供商(例如,Google)提供(例如,安装)的设备的身份标识。所述全局数据库可用于识别和认证新设备。在给定设备已被识别和认证之后,其可被注册到网关202,并且被登记到信息中介者(例如,信息节点208)。该信息节点208可以是连接到因特网的服务实体,其中部署在各个站点的IoT设备可与之交换数据。在一些情况下,所述IoT信息中介者208尤其可以以某种重新散列或聚合的形式例如通过网络接口或移动应用向用户提供IoT数据。如这里所使用的,所述信息节点208可以特定于使用发布/订阅(PUB/SUB)数据方法来接收和分发信息的IoT信息服务。举例来说,服务可以使用诸如消息队列遥测传输(MQTT)的协议来从路灯接收操作数据,并且该数据可以作为地图上的覆盖而被提供给维护工作者。随后,当给定设备重新连接到给定的信息中介者或连接到新的IoT中介者时,所述网关202可以与所述中介者执行独立的注册过程(其可以被称为连接),而不涉及所述信任中介者204。该连接阶段可以基于在所述注册阶段建立的所述设备206和所述网关202之间的信任关系(例如,其由所述信任中介者204发布的数字加密令牌表示)。
因此,如下面进一步描述的,在一个示例中,可以向所述网关(GW)202认证所述IoT设备206,并且可以“一次性”实现密钥协商,其指的是以下消息传递过程:两者都产生设备认证作为最终结果并导致所述设备和GW之间的共享秘密密钥一致。例如,控制认证阶段期间的通信的GW 202可以在早期保护IoT***200免受伪造/欺骗设备的影响。在所述IoT***200中,根据示例实施例,存在用于灵活的设备到服务器认证的单独的信任***。例如,可以为设备206和网关202之间的通信链路(其也可以称为设备-网关(DEV-GW)链路通信)建立应用层密钥。可以被实施为边缘网关202的网关202可以在所述连接阶段提供流线型(streamlined)认证。在示例中,所述IoT设备206需要最小配置。例如,在一些情况下,所述设备206不需要知道信任中介者204的身份标识。可以保护IoT***200免受欺骗的CONNECT(连接)尝试。在此认识到,CONNECT消息通常是被弱保护的,并且可能被劫持网关202和设备206之间的通信链路的恶意实体***。可以通过在所述链路上连续使用秘密密钥而免受欺骗性CONNECT消息的影响,如下面参考图3中的步骤6所述。在另一示例中,GW 202被建立作为有效载荷的可信中间人。这可以启用附加功能,例如GW 202处的内容防火墙。
以下在诸如MQTT的发布-订阅协议的上下文中描述实施例,但是应当理解,可以根据需要实施其他协议。也就是说,所述发布/订阅协议不是唯一可用于认证和密钥协商的消息传递协议。
总体上参考图3和4,所示实体之间的示例消息传递遵循IoT发布-订阅消息传递协议,并且可以包括CONNECT(连接)、SUBSCRIBE(订阅)和PUBLISH(发布)消息类型,其现在被进一步描述。在示例CONNECT消息中,诸如IoT设备或用户代理的实体可请求与服务器的连接。特别地,该实体可以请求允许通过其消息发送和接收有效载荷。CONNECT请求可以伴随有(或可以包括)认证凭证,例如标识符/密码对或加密令牌。CONNECT消息可以引发响应。通过使用示例SUBSCRIBE消息,实体可以例如经由IoT信息中介者订阅具有数据源的TOPIC(主题)。然后,所述实体可以通过PUBLISH消息(有效载荷)接收在中介者数据库中存储在该TOPIC标签下的所有新消息。在示例PUBLISH消息中,实体可以向另一个实体在某个TOPIC下提交新的有效载荷。以这种方式,IoT设备可以向IoT中介者提交数据(例如,测量值),并且订阅所述主题的其他客户端(例如,用户代理)可以接收所述有效载荷。
现在特别参考图3,示出了用于设备认证、有效载荷保密保护以及到示例IoT服务的认证连接的流程图。根据所示示例,所述设备206可以以简单的初始配置开始。例如,所述设备206可以知道其自己的标识符和它想要连接的IoT信息节点208的因特网地址,但是它可能不具有信息节点208的认证/接入凭证。在一些情况下,所述设备206拥有秘密值(例如,对称密钥或非对称私有密码密钥),其通常允许对所述设备206进行认证。即使预先提供了这种稀缺数据,所示示例也能够允许所述设备的注册和目标信任关系的建立。
在1处,根据所示示例,所述设备206建立到边缘网关202的(可能不安全的)通信链路。所述设备206可以提交针对所述IoT信息节点208的连接请求,例如CONNECT消息。因此,所述网关202可以从IoT设备206接收所述连接请求,并且该连接请求可以指示与所述设备206相关联的身份标识以及与该IoT设备206想要连接的信息节点208相关联的身份标识。所述连接请求还可以包含空的或默认的凭证值。基于所述连接请求,GW 202可以确定所述IoT设备未被网关节点202认证。例如,所述GW 202可以识别出具有所提供的标识符的设备未被注册到网关202。作为替代,在根据另一示例,在1处,所述设备206利用所述连接请求提交凭证,例如数字证书。所提交的凭证可以包含时间戳,或者可以以其他方式指示该凭证有效的时间。例如,基于与所述凭证相关联的时间戳,GW 202可以确定所述凭证已过时。因此,所述GW 202可以确定所述设备206当前未被注册到该GW 202。继续该示例,当所述时间戳指示所述凭证尚未到期,并且因此指示所述凭证有效或新鲜(fresh)时,所述设备206可以被立即注册到所述GW 202,而不经历随后描述的认证。以这种方式,在一些情况下,当设备已经与另一个可信节点(例如相邻GW)成功认证时,给定GW可以接受所述设备的注册。
例如,基于所述设备身份标识,GW 202可以从多个信任中介者节点中选择信任中介者节点404。可以以不同方式执行该选择。例如,可以基于设备标识符或该标识符的与特定信任中介者404相关联的一部分来选择所述信任中介者404。在示例中,一系列标识符与特定信任中介者相关联。在另一示例中,所述设备206的类型可用于选择信任中介者。一个或多个特定信任中介者可被指派以服务一种或多种特定类型的设备。作为示例,特定信任中介者可以专门与温度传感器相关联,使得所述GW 202可以基于确定发送所述连接请求的设备是温度传感器来选择所述信任中介者。替代地或另外地,所述设备连接到GW 202所借助的通信信道可以用于选择所述信任中介者。一个或多个特定信任中介者可被指派以服务通过某一种或多种类型的通信信道与所述GW通信的设备。举例来说,通过蓝牙LE标准连接到BW的设备可以被引导到一个信任中介者,而另一个信任中介者可以与通过ZigBee连接的设备相关联。在一些情况下,所述GW 202可以配置代理规则,例如路由规则,以便来自所述设备的所有出站消息被路由到所选择的信任中介者节点204。所述代理规则还可以要求仅来自选择的信任中介者节点204的消息被转发到所述设备206,从而经由GW 202将去往或来自所述设备206的通信有效地包含到所述设备206与信任中介者节点204之间的单个信道。因此,根据与所述IoT设备206和信任中介者204相关联的代理规则,GW可以将所述连接请求(例如,CONNECT消息)发送到所选择的信任中介者204。在示例中,所述GW 202可以从所选择的信任中介者节点204接收入站消息,并且根据所述代理规则,所述GW 202将所述入站消息发送到所述IoT设备206。
在2处,根据所示示例,所述信任中介者节点204可以用指示连接被拒绝的消息来响应所述连接请求。在示例中,信任中介者节点204经由网关202响应设备206。在一些情况下,所述信任中介者204可以进一步提供特定的预定错误码。在接收到所述拒绝消息时,设备206可以向信任中介者节点204发送消息,例如SUBSCRIBE消息。该消息可以包括对特定主题的订阅的请求(例如,“auth-registration:DEV-ID(认证-注册:设备ID)”)。在一些情况下,设备206将该消息发送到信息节点208。因此,例如,在一些情况下,由于GW 202处的代理规则,设备206不需要知道信任中介者204的地址。信任中介者204可以在设备206订阅的主题下将数据发布到设备206,以便设备206接收所述数据。信任中介者204可以发布消息以便发起对所述设备206的认证。例如,信任中介者204可以发布针对所述设备206的质询值。
在3处,根据所示示例,设备206响应于来自信任中介者204的发布消息来创建认证响应数据。在示例中,设备206利用该设备206与信任中介者204共享的秘密密钥而对从信任中介者204接收的质询值进行加密。设备206可以在信任中介者204发布所述认证质询的相同主题下向所述信任中介者204发布所述认证响应。设备206还可以例如使用所述质询值和其自己的秘密来导出秘密密钥K。
在4处,根据所示示例,信任中介者204验证所述认证响应。如果验证成功,则在一个示例中,信任中介者可以在上述主题下发布所述秘密密钥K。网关202可以捕获所述PUBLISH消息,并从该消息中提取并存储所述密钥K。在示例中,所述PUBLISH消息不被转发到设备206。
在5处,根据所示示例,信任中介者204生成服务接入令牌或诸如证书的另一数字签名消息。信任中介者204可以在如上所述的相同主题下发布IoT服务接入令牌等。因此,所述网关202可以捕获所述PUBLISH消息,并提取和存储服务接入令牌等。在一些情况下,GW可以用某个预定值(例如,“register-OK:DEV-ID(注册成功:设备ID)”)替换所述PUBLISH消息中的有效载荷(例如,服务接入令牌)。所述有效载荷可以用所述密钥K加密,以便定义修改的PUBLISH消息。该修改的PUBLISH消息可以被转发到设备206。设备206可以解密所述修改的PUBLISH消息,并且在成功解密后,通过重新开始与信息节点208的连接尝试(例如,通过发送另一个CONNECT消息至信息节点208)来恢复正常操作。
在上述示例中,所述边缘网关202对所述设备206的通信进行门控,使得所述设备206仅在认证成功时(例如,在步骤4之后)才与信任中介者204通信。在完成该步骤之后,网关202可以例如通过移除所述代理规则来释放关于设备206的通信路径限制。也就是说,网关202可以从信任中介者节点204接收信任消息,该信任消息指示信任建立交换已经在信任中介者节点204和设备206之间完成。响应于所述信任消息,网关202可以移除所述代理规则使得来自设备206的出站消息被发送到信息节点208。例如,设备206可以经由网关202向信息节点208发送后续或第二连接请求,并且在确定设备206已被认证之后,网关202可以发送所述第二连接请求至所述信息节点208。
在一个示例中,上述步骤1-5完成了所述设备的注册阶段。从这一点开始,设备206可以建立到IoT信息代理节点208的连接,其通过使用认证凭证而被信任。此外,从设备206到网关202的链路上的有效载荷可以由所述秘密共享密钥K保护。在各种示例中,可以在任何时间和多次执行该连接设立,而无需信任中介者204的进一步参与。例如,在步骤5之后,可以用所述秘密密钥K加密有效载荷,例如网关202和设备206之间的链路上的消息中的所有有效载荷。
仍然参考图3,根据所示示例,在6处,所述设备206利用可包含设备标识符和用于认证凭证的一些预定值的数据来连接到信息节点208。例如,该预定值可以是用所述秘密密钥K加密的时间戳。网关202可以解密认证凭证数据字段并使用某种预定机制验证所包含的数据,例如通过与预定阈值相比,验证所述时间戳是最近的。在上述数据验证成功后,网关202可以用先前存储的针对设备206的服务接入凭证替换所述CONNECT消息中的认证凭证数据字段。可以应用各种保证所述凭证的新鲜度的机制。例如,网关202可以将当前时间戳***到所述消息中,然后接收机可以将该时间戳与所述凭证的有效期进行比较。另外或替代地,可以***随机数或散列值,使得接收机可以验证该消息未被另一实体重放。网关202可以将修改的CONNECT消息转发到信息节点208。信息节点208可以验证所述服务接入令牌,并且在成功时,用CONNECT SUCCESS(连接成功)消息进行响应。设备206可以在一些主题下将具有加密的有效载荷的数据发布到信息节点208。网关202可以解密所述有效载荷,并用解密的有效载荷替换原始消息中的所述有效载荷。在某些情况下,这会产生每条消息的隐式源认证。网关202可以将所述PUBLISH消息转发到信息节点208。
在一些情况下,所述密钥K在某个时间或周期性地被更新。为此,网关202和设备206可以以类似于参考图3描述的方法的方式在消息传递信道上执行例如Diffie-Hellmann(迪菲-赫尔曼)(D-H)密钥协商过程,其中该D-H过程的有效载荷用之前的密钥K加密。
现在参考图4,根据所示示例,在1处,设备206向服务器(例如,IoT信息节点208)发送出站消息,例如连接请求(CONNECT消息)。网关202接收所述连接请求,其可以指示与设备206和该设备206想要连接的信息节点208相关联的身份标识。基于所述连接请求,网关202可以确定设备206未被认证或未被注册到该网关202。例如,网关202可以确定所述连接请求中不存在有效凭证。根据所示示例,所述连接请求可以包含证书,并且网关202可能确定它不能识别该证书。在2处,根据该示例,GW确定在1处的消息的消息类型是连接请求。响应于确定在1处接收的出站消息是连接请求,并且响应于确定所述出站消息不包括用于通信的有效凭证,网关202可以将来自所述出站消息的信息发送到所选择的信任中介者204。在一些情况下,网关202可以从多个信任中介者中选择信任中介者204。例如,信任中介者204可以是其地址被配置在网关202中的预定实体。作为示例,信任中介者204可以是由将网关部署到给定用户的站点的电信提供商提供的服务。在某些情况下,所述网关可以是因特网路由器和IoT网关的组合。在一些示例中,信任中介者204可以包含关于来自各种设备制造商和/或IoT服务提供商的已知IoT设备的目录。在示例场景中,在推出所述设备时,IoT服务提供商可以将与其IoT设备相关联的标识符和其他数据递送给信任中介者。
仍然参考图4,网关202可以使用各种路由规则和代理机制将所述连接请求转发到信任中介者204。在示例中,消息(例如来自IoT设备206的每个消息)首先由网关202捕获和处理,然后如果适当的话,通过因特网(例如使用TCP进行传输(例如,见步骤3))转发到信任中介者204。因此,例如,所述网关202可以接收目的地为所述IoT设备206的多个入站消息,并且该多个入站消息可以来自多个网络节点。在一些示例中,根据代理(路由)规则,网关202仅将来自信任中介者204的多个入站消息发送到IoT设备206。
在4处,根据所示示例,设备206可以从信任中介者204接收指示连接尝试被拒绝的错误码。在5处,所述设备然后可以尝试向信息节点208发送SUBSCRIBE消息,其然后可以根据上述示例代理和路由功能而被路由到所选择的信任中介者204。因此,例如,所述设备206可能不知道信任中介者204的身份标识。在一些情况下,设备206可能仅知道其尝试与之联系的信息节点208所代表的其“父”实体。然后,网关202可以负责为设备206联系信任中介者204。
5处的消息可以包括主题和所述设备206的标识符。在6处,响应于所述SUBSCRIBE消息,信任中介者204可以向设备206发送PUBLISH消息。在7处,设备206可以基于在PUBLISH消息中从信任中介者204接收的质询和设备秘密来导出秘密密钥。在8处,设备206可以向信任中介者204发送PUBLISH消息。该PUBLISH消息可以包括用所述秘密密钥加密的质询。在9处,基于所接收的PUBLISH消息,信任中介者204可以通过使用其自己版本的秘密密钥K解密所述质询来认证从设备206接收的响应。在一些情况下,信任中介者节点可以由IoT设备的制造商提供相应密钥。该密钥可以是用于对称加密和解密的密钥。作为替代,在一些情况下,信任中介者204可以将在8处接收的所述响应提交给可信第三方以进行评估。在这些情况下,在9处,信任中介者204可以从可信第三方接收响应,并且该响应可以指示所述设备206是否被认证。在一些情况下,信任中介者204还可以保存所有已知设备的秘密,以用于9处的认证。如果所述认证成功,则信任中介者204可以为设备206创建服务接入证书。在10,信任中介者204可以发送该证书给网关202。网关202可以从信任中介者204接收入站消息,该入站消息被定向到设备206。该消息可以是来自所选信任中介者节点204的信任消息,其指示已经在信任中介者节点204和IoT设备206之间完成了信任建立交换。例如,入站消息(其可以是PUBLISH消息)可以包括用于通信的有效凭证(例如,证书)。网关202可以将所述消息转发到设备206。在11处,响应于所述信任消息,网关202可以移除与设备206相关联的代理规则,使得来自所述IoT设备的出站消息被发送到信息节点208。在12处,设备206可以存储用于通信的有效凭证,例如根据所示示例的证书。在13处,设备206可以向网关202发送寻址到信息节点208的另一个出站消息,例如第二连接请求(例如,CONNECT消息)。该出站消息可以包括用于通信的有效凭证。在14处,网关202可以将所述出站消息转发到信息节点208。例如,所述网关202还可以利用转发的连接请求消息向信息节点208发送信任中介者证书。信息节点208可以验证所述证书并通过适当的响应消息(未示出)确认与设备206的连接。在一个示例中,可以使用从步骤13开始建立的共享秘密密钥来加密设备206和网关202之间的消息的内容,例如所有消息。
因此,如上所述,服务器(例如,IoT网关)可以从设备接收出站消息。该出站消息可以包括连接请求。基于所述出站消息,所述网关可以确定设备未被注册至该网关。所述网关可以配置和实施第一路由规则,使得来自所述设备的消息被路由到信任中介者。所述网关还可以配置和实施第二路由规则,使得仅来自所述信任中介者的消息被发送到所述设备。所述网关可以将所述出站消息发送给信任中介者。响应于所述出站消息,所述网关可以接收指示拒绝所述连接请求的第二消息。在示例中,在所述设备被认证之后,所述网关可以从所述信任中介者接收第三消息。所述网关可以从第三消息中提取密钥,并且避免将所述第三消息转发到所述设备。所述网关可以从所述信任中介者接收第四消息,该第四消息可以包含服务接入令牌。所述网关可以从所述第四消息中提取所述服务接入令牌。在示例中,所述网关用预定值替换所述第四消息中的所述服务接入令牌以定义第五消息。所述网关可以用所述密钥加密所述第五消息以定义加密的第五消息,并将该加密的第五消息发送到所述设备,使得该设备能够基于所述预定值发起成功的新连接请求。
如上所述,在一个示例中,信任中介者通过以下来授权IoT设备的接入:从所述设备接收连接请求,并且响应于该连接请求,发布针对该设备的质询消息。所述信任中介者可以从所述设备接收响应于所述质询消息的质询响应,其中该质询响应通过用特定于所述设备的秘密密钥对所述质询消息进行散列来生成。响应于确认所述质询响应与预期响应匹配,所述信任中介者可以为所述设备生成证书,并生成用于所述设备和网关之间的连接的密钥。此外,在示例中,所述信任中介者可以移除所述网关中的代理规则以使所述设备能够连接到因特网。
图3和4以及与其相关的描述示出了用于保护与IoT设备相关联的通信的方法和装置的各种实施例。在这些图中,示出了由一个或多个节点、设备、功能或网络执行的各种步骤或操作。应当理解,这些图中所示的节点、设备、功能或网络可以表示通信网络中的逻辑实体,并且可以以存储在网络(其可包含下面描述的图1A和1C-E所示的主要架构之一)的节点的存储器中并在该节点的处理器上被执行的软件(例如,计算机可执行指令)的形式被实施。也就是说,图3和4中所示的方法可被实施为软件(例如,计算机可执行指令)的形式,其被存储在网络节点或装置(诸如为例如图1B所示的节点或装置)的存储器内,当该计算机可执行指令由所述节点的处理器执行时,执行图中所示的步骤。还应理解,这些图中所示的任何发送和接收步骤可以由节点的通信电路在该节点的处理器和它执行的计算机可执行指令(例如,软件)的控制下来执行。
可结合硬件、固件、软件或在适当时其组合来实施本文中所描述的各种技术。这样的硬件、固件和软件可以驻留在位于通信网络的各个节点处的装置中。该装置可以单独操作或彼此组合操作以实现本文所述的方法。如这里所使用的术语“装置”、“网络装置”、“节点”、“设备”,“实体”和“网络节点”可以互换使用。
图1A是可以实施所公开的一个或多个实施例的例示通信***100的图示。该通信***100可以是为多个无线用户提供语音、数据、视频、消息传递、广播等内容的多址接入***。该通信***100可以通过共享包括无线带宽在内的***资源而使多个无线用户能够访问此类内容。举例来说,所述通信***100可以使用一种或多种信道接入方法,例如码分多址(CDMA)、时分多址(TDMA)、频分多址(FDMA)、正交FDMA(OFDMA)、单载波FDMA(SC-FDMA)等等。
如图1A所示,通信***100可以包括无线发射/接收单元(WTRU)(例如,WTRU 102a、102b、102c和/或102d,其被一般或统称为WTRU 102)、无线电接入网络(RAN)103/104/105、核心网络106/107/109、公共交换电话网络(PSTN)108、因特网110以及其他网络112,然而应该了解,所公开的实施例设想了任意数量的WTRU、基站、网络和/或网络部件。每一个WTRU102a、102b、102c、102d可以是被配置成在无线环境中工作和/或通信的任何类型的设备。举例来说,WTRU 102a、102b、102c、102d可以被配置成发射和/或接收无线信号,并且可以包括用户设备(UE)、移动站、固定或移动订户单元、寻呼机、蜂窝电话、个人数字助理(PDA)、智能电话、膝上型计算机、上网本、个人计算机、无线传感器、消费类电子设备等等。
所述通信***100还可以包括基站114a和基站114b。每一个基站114a、114b可以是被配置成通过以无线方式与WTRU 102a、102b、102c、102d中的至少一个无线对接来促使其接入一个或多个通信网络(例如,核心网络106/107/109、因特网110、和/或网络112)的任何类型的设备。举例来说,基站114a、114b可以是基地收发信台(BTS)、节点B、e节点B、家庭节点B、家庭e节点B、站点控制器、接入点(AP)以及无线路由器等等。虽然每一个基站114a、114b都被描述成了单个部件,然而应该了解。基站114a、114b可以包括任何数量的互连基站和/或网络部件。
基站114a可以是RAN 103/104/105的一部分,并且所述RAN还可以包括其他基站和/或网络部件(未显示),例如基站控制器(BSC)、无线电网络控制器(RNC)、中继节点等等。基站114a和/或基站114b可被配置成在名为小区(未显示)的特定地理区域内发射和/或接收无线信号。小区可被进一步分成小区扇区。例如,与基站114a相关联的小区可被分为三个扇区。由此,在一些实施例中,基站114a可以包括三个收发信机,也就是说,每一个收发信机都对应于小区的一个扇区。在另一个实施例中,基站114a可以使用多输入多输出(MIMO)技术,并且因此可以为小区的每一个扇区使用多个收发信机。
基站114a、114b可以通过空中接口115/116/117来与WTRU 102a、102b、102c、102d中的一个或多个进行通信,其中所述空中接口可以是任何适当的无线通信链路(例如射频(RF)、微波、红外线(IR)、紫外线(UV)、可见光等等)。空中接口115/116/117可以使用任何适当的无线电接入技术(RAT)来建立。
更具体地说,如上所述,通信***100可以是多址接入***,并且可以使用一种或多种信道接入方案,例如CDMA、TDMA、FDMA、OFDMA以及SC-FDMA等等。例如,RAN 103/104/105中的基站114a与WTRU 102a、102b、102c可以实施某种无线电技术,例如通用移动电信***(UMTS)陆地无线电接入(UTRA),其中所述技术可以使用宽带CDMA(WCDMA)来建立空中接口115/116/117。WCDMA可以包括如高速分组接入(HSPA)和/或演进型HSPA(HSPA+)之类的通信协议。HSPA可以包括高速下行链路分组接入(HSDPA)和/或高速上行链路分组接入(HSUPA)。
在另一个实施例中,基站114a和WTRU 102a、102b、102c可以实施某种无线电技术,例如演进型UMTS陆地无线电接入(E-UTRA),其中所述技术可以使用长期演进(LTE)和/或先进LTE(LTE-A)来建立空中接口115/116/117。
在其他实施例中,基站114a和WTRU 102a、102b、102c可以实施以下的无线电技术,例如IEEE 802.16(例如,全球微波接入互操作性(WiMAX))、CDMA2000、CDMA2000 1X、CDMA2000EV-DO、临时标准2000(IS-2000)、临时标准95(IS-95)、临时标准856(IS-856)、全球移动通信***(GSM)、用于GSM演进的增强数据速率(EDGE)以及GSM EDGE(GERAN)等等。
图1A中的基站114b可以是无线路由器、家庭节点B、家庭e节点B或接入点,并且可以使用任何适当的RAT来促成局部区域中的无线连接,例如营业场所、住宅、车辆、校园等等。在一些实施例中,基站114b与WTRU 102c、102d可以通过实施IEEE 802.11之类的无线电技术来建立无线局域网(WLAN)。在另一个实施例中,基站114b与WTRU 102c、102d可以通过实施IEEE 802.15之类的无线电技术来建立无线个人局域网(WPAN)。在再一个实施例中,基站114b和WTRU 102c、102d可通过使用基于蜂窝的RAT(例如WCDMA、CDMA2000、GSM、LTE、LTE-A等等)来建立微微小区或毫微微小区。如图1A所示,基站114b可以直连到因特网110。由此,基站114b不需要经由核心网络106/107/109来接入因特网110。
RAN 103/104/105可以与核心网络106/107/109进行通信,其中所述核心网络可以是被配置成向一个或多个WTRU 102a、102b、102c、102d提供语音、数据、应用和/或借助网际协议语音(VoIP)服务的任何类型的网络。例如,所述核心网络106/107/109,可以提供呼叫控制、记账服务、基于移动位置的服务、预付费呼叫、因特网连接、视频分发等等,和/或可以执行用户认证之类的高级安全功能。虽然在图1A中没有显示,然而应该了解,RAN 103/104/105和/或核心网络106/107/109可以直接或间接地和其他那些与RAN 103/104/105使用相同RAT或不同RAT的RAN进行通信。例如,除了与使用E-UTRA无线电技术的RAN 103/104/105相连之外,核心网络106/107/109还可以与使用GSM无线电技术的别的RAN(未显示)通信。
所述核心网络106/107/109还可以充当供WTRU 102a、102b、102c、102d接入PSTN108、因特网110和/或其他网络112的网关。PSTN 108可以包括提供简易老式电话服务(POTS)的电路交换电话网络。因特网110可以包括使用了公共通信协议(例如TCP/IP网际协议族中的传输控制协议(TCP)、用户数据报协议(UDP)和网际协议(IP))的全球性互联计算机网络设备***。所述网络112可以包括由其他服务供应商拥有和/或运营的有线或无线通信网络。例如,网络112可以包括与一个或多个RAN相连的另一个核心网络,其中所述一个或多个RAN可以与RAN 103/104/105使用相同RAT或不同RAT。
所述通信***100中一些或所有WTRU 102a、102b、102c、102d可以包括多模能力(例如,WTRU 102a、102b、102c、102d可以包括在不同无线链路上与不同无线网络通信的多个收发信机)。例如,图1A所示的WTRU 102c可被配置成与可以使用基于蜂窝的无线电技术的基站114a通信,以及与可以使用IEEE 802无线电技术的基站114b通信。
图1B是例示WTRU 102的***图示。如图1B所示,WTRU 102可以包括处理器118、收发信机120、发射/接收部件122、扬声器/麦克风124、键盘126、显示器/触摸板128、不可移除存储器130、可移除存储器132、电源134、全球定位***(GPS)芯片组136以及其他周边设备138。应该了解的是,在保持符合实施例的同时,WTRU 102还可以包括前述部件的任何子组合。此外,实施例可以预见,基站114a和114b和/或该基站114a和114b可以表示的节点(例如但不限于,收发器站(BTS)、节点B、站点控制器、接入点(AP)、家庭节点B、演进家庭节点B(e节点B)、家庭演进节点B(HeNB或HeNodeB)、家庭演进节点B网关和代理节点等等)可以包括如图1B所示并在此描述的一些或所有元素。
处理器118可以是通用处理器、专用处理器、常规处理器、数字信号处理器(DSP)、多个微处理器、与DSP核心关联的一个或多个微处理器、控制器、微控制器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)电路、其他任何类型的集成电路(IC)以及状态机等等。处理器118可以执行信号编码、数据处理、功率控制、输入/输出处理、和/或其他任何能使WTRU102在无线环境中工作的功能。处理器118可以耦合至收发信机120,收发信机120可以耦合至发射/接收部件122。虽然图1B将处理器118和收发信机120描述成单独组件,然而应该了解,处理器118和收发信机120也可以集成在一个电子组件或芯片中。
发射/接收部件122可被配置成经由空中接口115/116/117来发射或接收去往或来自基站(例如基站114a)的信号。举个例子,在一些实施例中,发射/接收部件122可以是被配置成发射和/或接收RF信号的天线。作为示例,在另一个实施例中,发射/接收部件122可以是被配置成发射和接收IR、UV或可见光信号的放射器/检测器。在再一个实施例中,发射/接收部件122可被配置成发射和/或接收RF和光信号。应该了解的是,发射/接收部件122可以被配置成发射和/或接收无线信号的任何组合。
此外,虽然在图1B中将发射/接收部件122描述成是单个部件,但是WTRU 102可以包括任何数量的发射/接收部件122。更具体地说,WTRU 102可以使用MIMO技术。由此,在一些实施例中,WTRU 102可以包括两个或多个通过空中接口115/116/117来发射和接收无线电信号的发射/接收部件122(例如多个天线)。
收发信机120可被配置成对发射/接收部件122所要传送的信号进行调制,和对发射/接收部件122接收的信号进行解调。如上所述,WTRU 102可以具有多模能力。因此,收发信机120可以包括允许WTRU 102借助多种RAT(例如UTRA和IEEE 802.11)来进行通信的多个收发信机。
WTRU 102的处理器118可以耦合到扬声器/麦克风124、键盘126和/或显示器/触摸板128(例如液晶显示器(LCD)显示单元或有机发光二极管(OLED)显示单元),并且可以接收来自这些部件的用户输入数据。处理器118还可以向扬声器/麦克风124、键盘126和/或显示器/触摸板128输出用户数据。此外,处理器118可以从诸如不可移除存储器130和/或可移除存储器132之类的任何适当的存储器中存取信息,以及将信息存入这些存储器。不可移除存储器130可以包括随机存取存储器(RAM)、只读存储器(ROM)、硬盘或是其他任何类型的记忆存储设备。可移除存储器132可以包括订户身份标识模块(SIM)卡、记忆棒、安全数字(SD)记忆卡等等。在其他实施例中,处理器118可以从那些并非实际位于WTRU 102的存储器存取信息,以及将数据存入这些存储器,作为示例,此类存储器可以位于服务器或家庭计算机(未显示)。
处理器118可以接收来自电源134的电力,并且可被配置分发和/或控制用于WTRU102中的其他组件的电力。电源134可以是为WTRU 102供电的任何适当设备。例如,电源134可以包括一个或多个干电池组(如镍镉(Ni-Cd)、镍锌(Ni-Zn)、镍氢(NiMH)、锂离子(Li-ion)等等)、太阳能电池以及燃料电池等等。
处理器118还可以耦合到GPS芯片组136,该芯片组可被配置成提供与WTRU 102的当前位置相关的位置信息(例如经度和纬度)。作为来自GPS芯片组136的信息的补充或替换,WTRU 102可以经由空中接口115/116/117接收来自基站(例如基站114a、114b)的位置信息,和/或根据从两个或更多个附近基站接收的信号定时来确定其位置。应该了解的是,在保持符合实施例的同时,WTRU 102可以借助任何适当的定位实施方式来获取位置信息。
处理器118可以进一步耦合到其他周边设备138,其中所述周边设备可以包括提供附加特征、功能和/或有线或无线连接的一个或多个软件和/或硬件模块。例如,周边设备138可以包括加速度计、电子指南针、卫星收发信机、数码相机(用于照片或视频)、通用串行总线(USB)端口、振动设备、电视收发信机、免提耳机、模块、调频(FM)无线电单元、数字音乐播放器、媒体播放器、视频游戏机模块以及因特网浏览器等等。
图1C是根据一实施例的RAN 103和核心网络106的***示意图。如上所述,RAN 103可以采用UTRA无线电技术并通过空中接口115来与WTRU 102a、102b、102c进行通信。RAN103还可以与核心网络106通信。如图1C所示,RAN 103可以包括节点B 140a、140b、140c,其中每一个节点B都可以包括通过空中接口115与WTRU 102a、102b、102c通信的一个或多个收发信机。节点B 140a、140b、140c中的每一个都可以关联于RAN 103内部的特定小区(未显示)。RAN 103还可以包括RNC 142a、142b。应该了解的是,在保持与实施例相符的同时,RAN103可以包括任何数量的节点B和RNC。
如图1C所示,节点B 140a、140b可以与RNC 142a进行通信。此外,节点B 140c还可以与RNC 142b进行通信。节点B 140a、140b、140c可以经由Iub接口来与相应的RNC 142a、142b进行通信。RNC 142a、142b彼此则可以经由Iur接口来进行通信。每一个RNC 142a、142b都可以被配置成控制与之相连的相应节点B 140a、140b、140c。另外,每一个RNC 142a、142b都可被配置成执行或支持其他功能,例如外环功率控制、负载控制、许可控制、分组调度、切换控制、宏分集、安全功能以及数据加密等等。
图1C所示的核心网络106可以包括媒体网关(MGW)144、移动交换中心(MSC)146、服务GPRS支持节点(SGSN)148、和/或网关GPRS支持节点(GGSN)150。虽然前述每个部件都被描述成是核心网络106的一部分,但是应该了解,核心网络运营商之外的其他实体也可以拥有和/或运营这其中的任一部件。
RAN 103中的RNC 142a可以经由IuCS接口连接到核心网络106中的MSC 146。MSC146则可以连接到MGW 144。MSC 146和MGW 144可以为WTRU 102a、102b、102c提供针对PSTN108之类的电路交换网络的接入,以促进WTRU 102a、102b、102c与传统陆线通信设备间的通信。
RAN 103中的RNC 142a还可以经由IuPS接口连接到核心网络106中的SGSN 148。所述SGSN 148则可以连接到GGSN 150。SGSN 148和GGSN 150可以为WTRU 102a、102b、102c提供至诸如因特网110之类的分组交换网络的接入,以促进WTRU 102a、102b、102c与IP使能设备之间的通信。
如上所述,核心网络106还可以连接到所述网络112,该网络可以包括其他服务供应商拥有和/或运营的其他有线或无线网络。
图1D是示出了根据一实施例的RAN 104以及核心网络107的***示意图。如上所述,RAN 104可以采用E-UTRA无线电技术并通过空中接口116来与WTRU 102a、102b、102c进行通信。此外,RAN 104还可以与核心网络107通信。
RAN 104可以包括e节点B 160a、160b、160c,然而应该了解,在保持与实施例相符的同时,RAN 104可以包括任何数量的e节点B。每一个e节点B 160a、160b、160c可以包括一个或多个收发信机,以便通过空中接口116来与WTRU 102a、102b、102c通信。在一些实施例中,e节点B 160a、160b、160c可以实施MIMO技术。由此,举例来说,e节点B 160a可以使用多个天线来向WTRU 102a发射无线信号,和接收来自WTRU 102a的无线信号。
每一个e节点B 160a、160b、160c可以关联于特定小区(未显示),并且可以被配置成处理无线电资源管理决策、切换决策、上行链路(UL)和/或下行链路(DL)中的用户调度等等。如图1D所示,e节点B 160a、160b、160c可以通过X2接口彼此通信。
图1D所示的核心网络107可以包括移动性管理网关(MME)162、服务网关164以及分组数据网络(PDN)网关166。虽然上述每一个部件都被描述成是核心网络107的一部分,但是应该了解,核心网络运营商之外的其他实体同样可以拥有和/或运营这其中的任意一个部件。
MME 162可以经由S1接口来与RAN 104中的每一个e节点B 160a、160b、160c相连,并且可以充当控制节点。例如,MME 162可以负责认证WTRU 102a、102b、102c的用户,激活/去激活承载,在WTRU 102a、102b、102c的初始附着过程中选择特定服务网关等等。所述MME162还可以提供控制平面功能,以便在RAN 104与采用了GSM或WCDMA之类的其他无线电技术的其他RAN(未显示)之间执行切换。
服务网关164可以经由S1接口连接到RAN 104中的每一个e节点B 160a、160b、160c。该服务网关164通常可以路由和转发去往/来自WTRU 102a、102b、102c的用户数据分组。服务网关164还可以执行其他功能,例如在e节点B间的切换过程中锚定用户面,在下行链路数据可供WTRU 102a、102b、102c使用时触发寻呼,管理和存储WTRU 102a、102b、102c的上下文等等。
服务网关164还可以连接到PDN网关166,该PDN网关可以为WTRU 102a、102b、102c提供针对诸如因特网110之类的分组交换网络的接入,以便促进WTRU 102a、102b、102c与IP使能设备之间的通信。
核心网络107可以促进与其他网络的通信。例如,核心网络107可以为WTRU 102a、102b、102c提供至诸如PSTN 108之类的电路交换网络的接入,以促进WTRU 102a、102b、102c与传统陆线通信设备之间的通信。作为示例,核心网络107可以包括IP网关(例如IP多媒体子***(IMS)服务器)或与之通信,其中所述IP网关充当了核心网络107与PSTN 108之间的接口。此外,核心网络107可以为WTRU 102a、102b、102c提供至所述网络112的接入,其中该网络可以包括其他服务供应商拥有和/或运营的其他有线或无线网络。
图1E是根据一个实施例的RAN 105和核心网络109的***示意图。RAN 105可以是通过采用IEEE 802.16无线电技术而通过空中接口117与WTRU 102a、102b、102c通信的接入服务网络(ASN)。如以下进一步论述的那样,WTRU 102a、102b、102c,RAN 105以及核心网络109的不同功能实体之间的通信链路可被定义成参考点。
如图1E所示,RAN 105可以包括基站180a、180b、180c以及ASN网关182,但是应该了解,在保持与实施例相符的同时,RAN 105可以包括任何数量的基站及ASN网关。每一个基站180a、180b、180c都可以关联于RAN 105中的特定小区(未显示),并且每个基站都可以包括一个或多个收发信机,以便通过空中接口117来与WTRU 102a、102b、102c进行通信。在一些实施例中,基站180a、180b、180c可以实施MIMO技术。由此,举例来说,基站180a可以使用多个天线来向WTRU 102a发射无线信号,以及接收来自WTRU 102a的无线信号。基站180a、180b、180c还可以提供移动性管理功能,例如切换触发、隧道建立、无线电资源管理、业务量分类、服务质量(QoS)策略实施等等。ASN网关182可以充当业务量聚集点,并且可以负责实施寻呼、订户简档缓存、至核心网络109的路由等等。
WTRU 102a、102b、102c与RAN 105之间的空中接口117可被定义成是实施IEEE802.16规范的R1参考点。另外,每一个WTRU 102a、102b、102c都可以与核心网络109建立逻辑接口(未显示)。WTRU 102a、102b、102c与核心网络109之间的逻辑接口可被定义成R2参考点,该参考点可以用于认证、许可、IP主机配置管理和/或移动性管理。
每一个基站180a、180b、180c之间的通信链路可被定义成R8参考点,该参考点包含了用于促进WTRU切换以及基站之间的数据传送的协议。基站180a、180b、180c与ASN网关182之间的通信链路可被定义成R6参考点。所述R6参考点可以包括用于促进基于与每一个WTRU102a、102b、102c相关联的移动性事件的移动性管理的协议。
如图1E所示,RAN 105可以连接到核心网络109。RAN 105与核心网络109之间的通信链路可以被定义成R3参考点,作为示例,该参考点包含了用于促进数据传送和移动性管理能力的协议。核心网络109可以包括移动IP家用代理(MIP-HA)184、认证许可记帐(AAA)服务器186以及网关188。虽然前述每个部件都被描述成是核心网络109的一部分,但是应该了解,核心网络运营商以外的实体也可以拥有和/或运营这其中的任一部件。
MIP-HA可以负责实施IP地址管理,并且可以允许WTRU 102a、102b、102c在不同的ASN和/或不同的核心网络之间漫游。MIP-HA 184可以为WTRU 102a、102b、102c提供至诸如因特网110之类的分组交换网络的接入,以便促进WTRU 102a、102b、102c与IP使能设备之间的通信。AAA服务器186可以负责用户认证以及支持用户服务。网关188可以促进与其他网络的互通。例如,网关188可以为WTRU 102a、102b、102c提供至诸如PSTN 108之类的电路交换网络的接入,以便促进WTRU 102a、102b、102c与传统陆线通信设备之间的通信。另外,所述网关188还可以为WTRU 102a、102b、102c提供至所述网络112的接入,其中该网络可以包括其他服务供应商拥有和/或运营的其他有线或无线网络。
虽然在图1E中没有显示,但RAN 105可以连接到其他ASN,并且核心网络109可以连接到其他核心网络。RAN 105与其他ASN之间的通信链路可被定义成R4参考点,该参考点可以包括用于协调在RAN 105与其他ASN之间的WTRU 102a、102b、102c的移动性的协议。核心网络109与其他核心网络之间的通信链路可以被定义成R5参考点,该参考点可以包括用于促进归属核心网络与被访核心网络之间互通的协议。
移动电话(例如,UE或WTRU)已经从具有微小屏幕和很少处理能力的以语音为中心的单色设备发展到具有高分辨率、手掌大小屏幕和与膝上型计算机相媲美的数据处理能力的设备。这种转变与不断扩展的带宽饥渴应用程序缓存相结合,引发了对更高数据速率的需求。据报道,移动数据业务量在2010年至2015年期间增长了24倍以上,并且可能在2010年至2020年间增长超过500倍。这反过来推动了4G网络设备合同的采用,并促使全球运营商部署4G网络。4G支持下行链路上的高数据速率(例如高达1Gbit/s)。
注意力从4G转向下一代(例如5G)技术。可能影响5G***架构的用例可能包括增强型移动宽带(eMBB)连接、大规模机器类通信(mMTC)和超可靠关键通信(URCC)服务。
5G可以支持上行链路(UL)和下行链路(DL)的更高数据速率。例如,上行链路数据吞吐量可以高达或可以超过下行链路数据吞吐量。例如,5G可以改善覆盖范围和用户体验,具有更高的数据速率、更低的延时和更高的能量效率。IEEE 802.11高效无线(HEW)可以增加蜂窝运营商的存在,其可以合并在不同标准开发组织(SDO)中开发的不同接入技术以支持未来的连接和数据速率。5G吞吐量和连接性可以由多个互连的通信标准提供,这些通信标准可以例如上至无线城域网,下至无线个域网和有线网络。
大规模连接可以由我们周围的环境中的各种物体或对象(例如RFID标签、传感器、致动器和移动电话)驱动,其可以被称为物联网(IoT)。对象或设备可以以各种方式彼此交互并且可以生成大量数据。物联网和因特网已经融合,并可能继续与众多各种服务场景融合。5G***可以连接松散定义的智能对象(例如,M2M或IoT设备)并且可以使它们能够与其他对象交互,例如,通过预测的、可操作的智能来产生生产率和自动化增益。例如,移动设备可以在进入会议室时根据会议主持人的请求(例如,在策略中指示)采用静音模式,可以在进入敏感医疗区域之前警告用户和/或关闭该用户的移动电话上的无线电,或者可以检测用户进入汽车时自动连接到其音响***。无线传感器可以让人们实时检查他们的宠物在哪里,并且可以在他们外出时控制他们家的每个房间的温度。例如,当在建筑物中检测到火灾或者当患者的医疗参数超出临界阈值时,可以远程地并且自动地警告紧急服务。
5G可以为诸如智能运输***的关键任务通信服务提供增强的服务可靠性。5G***可以提供弹性和可靠性。
5G无线***可以提高数据速率、效率并且可以实现新的IoT服务。例如,5G技术可以支持1000倍的业务量增长,而不会相应增加资本支出(CAPEX)和运营(OPEX)成本。5G***架构可以降低移动运营商或服务提供商的成本。例如,可以通过减少对专用网络功能的依赖并切换到通用商用现成(COTS)平台(例如利用虚拟化技术的云计算)来实现无线网络的成本降低和灵活性。
5G***可以提供自动化和远程交互。可能存在与5G网络相关的安全和隐私问题。
可以设计5G网络以连接各种行业,诸如制造和处理、智能运输、智能电网和电子健康。不同的环境可能会导致速度、延时和异构性问题。不同平台的交互可能意味着不同的协议、不同的接口和不同的策略(例如,QoS要求)。不同的服务环境可能引入各种安全和隐私考虑因素。例如,电子健康信息***可以具有比家庭自动化***(HAS)更多的隐私,而HAS可能对控制平面(CP)信令具有更高安全性。可以改进网络数据处理能力以适应在5G***中传输、存储和/或处理的大量数据。支持更高频率(例如毫米波(mmW)30GHz+)的无线电网络设备和存储、转发和处理数据的核心网络可被部署,这可能会增加移动网络服务提供商的CAPEX和相关联的OPEX开支。
本文描述的过程和手段可以以任何组合应用,并且可以应用于其他网络和无线技术。尽管可能以特定组合和/或顺序示出或描述本文在各种示例中描述的特征和元素(包括程序步骤),但是每个特征和元素可以单独使用或以任何组合方式和任何顺序使用,可具有和不具有其他特征和元素。虽然本文提供的示例可以涉及新无线电(NR)或5G特定协议,但是本文描述的主题不限于提供的示例或参考的通信技术。本文的主题适用于更广泛的示例和实施方式,其包括在其他无线***中的示例及实施方式。
WTRU或UE可以指物理设备的身份标识,或者指用户的身份标识,例如订阅相关身份标识,例如,MSISDN、SIP URI等。WTRU(UE)可以指代基于应用的身份标识,例如,每个应用可以使用的用户名。
上述过程可以在结合在计算机可读介质中的计算机程序、软件和/或固件中实现,以由计算机和/或处理器执行。计算机可读媒体的示例包括但不限于电子信号(通过有线和/或无线连接传输)和/或计算机可读存储媒体。计算机可读存储媒体的示例包括但不限于只读存储器(ROM)、随机存取存储器(RAM)、寄存器、缓冲存储器、半导体存储器设备、磁媒体(例如但不限于,内部硬盘和可移除磁盘)、磁光媒体和/或光学媒体(例如CD-ROM盘和/或数字通用盘(DVD))。与软件相关联的处理器可用于实施用于WTRU、终端、基站、RNC和/或任何主计算机的射频收发信机。
Claims (18)
1.一种网络中的网关节点,所述网关节点包括处理器和存储器,所述网关节点还包括存储在所述网关节点的所述存储器中的计算机可执行指令,当由所述网关节点的所述处理器执行时,所述计算机可执行指令使所述网关节点执行包括以下的操作:
接收来自IoT设备的连接请求,该连接请求指示:1)与所述IoT设备相关联的身份标识,以及2)所述IoT设备想要连接的信息节点;
基于所述连接请求,确定所述IoT设备未通过所述网关节点认证;
基于与所述IoT设备相关联的所述身份标识,从多个信任中介者节点中选择信任中介者节点;
建立与所述IoT设备和所选信任中介者节点相关联的代理规则;
根据所述代理规则,在来自所述所述IoT设备的所述连接请求之后,将所述连接请求和出站消息发送到所选信任中介者节点。
2.根据权利要求1所述的网关节点,所述网关节点还包括存储在所述网关节点的所述存储器中的计算机可执行指令,当由所述网关节点的所述处理器执行时,所述计算机可执行指令使所述网关节点进一步执行包括以下的操作:
接收来自所述IoT设备的订阅消息,该订阅消息包括主题;
确定来自所选信任中介者节点的发布消息被发布在所述主题下;以及
响应于确定所述发布消息被发布在所述主题下,将所述发布消息发送到所述IoT设备,该发布消息包括来自所选信任中介者节点的认证质询。
3.根据权利要求2所述的网关节点,所述网关节点还包括存储在所述网关节点的所述存储器中的计算机可执行指令,当由所述网关节点的所述处理器执行时,所述计算机可执行指令使所述网关节点进一步执行包括以下的操作:
响应于所述认证质询,从所述IoT设备接收认证响应;
基于所述认证响应,从所选信任中介者节点接收所述IoT设备的证书,该证书使所述IoT设备能够连接到所述信息节点。
4.根据前述权利要求中任一项所述的网关节点,所述网关节点还包括存储在所述网关节点的所述存储器中的计算机可执行指令,当由所述网关节点的所述处理器执行时,所述计算机可执行指令使所述网关节点进一步执行包括以下的操作:
从所选信任中介者节点接收入站消息;以及
根据所述代理规则,将所述入站消息发送到所述IoT设备。
5.根据前述权利要求中任一项所述的网关节点,所述网关节点还包括存储在所述网关节点的所述存储器中的计算机可执行指令,当由所述网关节点的所述处理器执行时,所述计算机可执行指令使所述网关节点进一步执行包括以下的操作:
接收多个目的地为所述IoT设备的入站消息,该多个入站消息来自多个网络节点;以及
根据所述代理规则,仅将来自所选信任中介者节点的所述多个入站消息发送到所述IoT设备。
6.根据权利要求1所述的网关节点,所述网关节点还包括存储在所述网关节点的所述存储器中的计算机可执行指令,当由所述网关节点的所述处理器执行时,所述计算机可执行指令使所述网关节点进一步执行包括以下的操作:
从所选信任中介者节点接收信任消息,该信任消息指示在所述信任中介者节点和所述IoT设备之间已完成信任建立交换;以及
响应于所述信任消息,移除所述代理规则,使得来自所述IoT设备的出站消息被发送到所述信息节点。
7.根据权利要求6所述的网关节点,所述网关节点还包括存储在所述网关节点的所述存储器中的计算机可执行指令,当由所述网关节点的所述处理器执行时,所述计算机可执行指令使所述网关节点进一步执行包括以下的操作:
在所述信任建立交换完成之后,从所述IoT设备接收第二连接请求,以连接到所述信息节点;
确定所述IoT设备已被认证;以及
基于确定所述IoT设备已被认证,将所述第二连接请求发送到所述信息节点。
8.根据权利要求7所述的网关节点,其中确定所述IoT设备已被认证包括确定所述IoT设备已被注册到所述网关。
9.根据权利要求6至8中任一项所述的网关节点,所述网关节点还包括存储在所述网关节点的所述存储器中的计算机可执行指令,当由所述网关节点的所述处理器执行时,所述计算机可执行指令使所述网关节点进一步执行包括以下的操作:
在所述信任建立交换完成后,从所选信任中介者接收密钥消息;
从所述密钥消息中提取密钥;以及
使用所述密钥来认证所述网络中的其他IoT设备。
10.一种授权IoT设备接入网络中的信息节点的方法,该方法包括:
接收来自所述IoT设备的连接请求,该连接请求指示:1)与所述IoT设备相关联的身份标识,以及2)所述IoT设备想要连接的所述信息节点;
基于与所述IoT设备相关联的所述身份标识,从多个信任中介者节点中选择信任中介者节点;
建立与所述IoT设备和所选信任中介者节点相关联的代理规则;
根据所述代理规则,在来自所述所述IoT设备的所述连接请求之后,将所述连接请求和出站消息发送到所选信任中介者节点。
11.根据权利要求10所述的方法,该方法还包括:
接收来自所述IoT设备的订阅消息,该订阅消息包括主题;
确定来自所选信任中介者节点的发布消息被发布在所述主题下;以及
响应于确定所述发布消息被发布在所述主题下,将所述发布消息发送到所述IoT设备,该发布消息包括来自所选信任中介者节点的认证质询。
12.根据权利要求11所述的方法,该方法还包括:
响应于所述认证质询,从所述IoT设备接收认证响应;
基于所述认证响应,从所选信任中介者节点接收所述IoT设备的证书,该证书使所述IoT设备能够连接到所述信息节点。
13.根据权利要求10至12中任一项所述的方法,该方法还包括:
从所选信任中介者节点接收入站消息;以及
根据所述代理规则,将所述入站消息发送到所述IoT设备。
14.根据权利要求10至13中任一项所述的方法,所述方法还包括:
接收多个目的地为所述IoT设备的入站消息,该多个入站消息来自多个网络节点;以及
根据所述代理规则,仅将来自所选信任中介者节点的所述多个入站消息发送到所述IoT设备。
15.根据权利要求10所述的方法,该方法还包括:
从所选信任中介者节点接收信任消息,该信任消息指示在所述信任中介者节点和所述IoT设备之间已完成信任建立交换;以及
响应于所述信任消息,移除所述代理规则,使得来自所述IoT设备的出站消息被发送到所述信息节点。
16.根据权利要求15所述的方法,该方法还包括:
在所述信任建立交换完成之后,从所述IoT设备接收第二连接请求,以连接到所述信息节点;
确定所述IoT设备已被认证;以及
基于确定所述IoT设备已被认证,将所述第二连接请求发送到所述信息节点。
17.根据权利要求16所述的方法,其中确定所述IoT设备已被认证包括确定所述IoT设备已被注册到所述网关。
18.根据权利要求15至18中任一项所述的方法,该方法还包括:
在所述信任建立交换完成后,从所选信任中介者接收密钥消息;
从所述密钥消息中提取密钥;以及
使用所述密钥来认证所述网络中的其他IoT设备。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201762455071P | 2017-02-06 | 2017-02-06 | |
| US62/455,071 | 2017-02-06 | ||
| PCT/US2018/016971 WO2018145056A1 (en) | 2017-02-06 | 2018-02-06 | Securing communication of devices in the internet of things |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110268690A true CN110268690A (zh) | 2019-09-20 |
| CN110268690B CN110268690B (zh) | 2021-10-22 |
Family
ID=61258625
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880010361.0A Active CN110268690B (zh) | 2017-02-06 | 2018-02-06 | 保护物联网中的设备通信 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US11509654B2 (zh) |
| EP (1) | EP3577878B1 (zh) |
| CN (1) | CN110268690B (zh) |
| WO (1) | WO2018145056A1 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110807905A (zh) * | 2019-10-23 | 2020-02-18 | 北方工业大学 | 一种基于端-边-云架构的社区火灾监测*** |
| CN110958720A (zh) * | 2019-11-27 | 2020-04-03 | 上海路辉智能***股份有限公司 | 一种物联网设备并发上线受限的***治理延时方法 |
| CN113709263A (zh) * | 2021-11-01 | 2021-11-26 | 深圳市城市交通规划设计研究中心股份有限公司 | 一种物联网协议mqtt的数据接入方法、计算机及存储介质 |
| CN114598482A (zh) * | 2020-11-20 | 2022-06-07 | 福州数据技术研究院有限公司 | 一种服务器与智能边缘网关的加密通信方法和*** |
| CN114979248A (zh) * | 2021-02-18 | 2022-08-30 | 泛达公司 | 安全远程控制***、设备和方法 |
| CN116743713A (zh) * | 2023-06-27 | 2023-09-12 | 深圳金之桥信息科技有限公司 | 基于物联网的远程在线无纸会议方法、装置 |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3281386B1 (en) * | 2015-04-07 | 2020-01-01 | Tyco Fire & Security GmbH | Machine-to-machine and machine to cloud end-to-end authentication and security |
| US10901812B2 (en) * | 2017-09-18 | 2021-01-26 | Rapyuta Robotics Co., Ltd. | Managing communication between cloud and heterogeneous devices across networks |
| WO2019061514A1 (zh) * | 2017-09-30 | 2019-04-04 | 深圳大学 | 安全的无线通信物理层斜率认证方法和装置 |
| CN109756450B (zh) * | 2017-11-03 | 2021-06-15 | 华为技术有限公司 | 一种物联网通信的方法、装置、***和存储介质 |
| US20190158370A1 (en) * | 2017-11-17 | 2019-05-23 | Electronics And Telecommunications Research Institute | Computing system and method for intelligent ioe information framework |
| DE102018008721A1 (de) * | 2018-11-06 | 2020-01-23 | Giesecke+Devrient Mobile Security Gmbh | Anbindung eines Endgeräts an einen Datendienst |
| US11057211B2 (en) | 2018-12-10 | 2021-07-06 | Cisco Technology, Inc. | Secured protection of advertisement parameters in a zero trust low power and lossy network |
| US10819796B2 (en) * | 2019-01-08 | 2020-10-27 | EMC IP Holding Company LLC | Internet of Things connectivity platform |
| CN109922150A (zh) * | 2019-03-07 | 2019-06-21 | 深圳市简智联信息科技有限公司 | 虚拟设备信息处理方法、装置、物联网关和物联通信*** |
| WO2020206620A1 (en) * | 2019-04-09 | 2020-10-15 | Orange | Methods and apparatus to discriminate authentic wireless internet-of-things devices |
| US11095460B2 (en) * | 2019-07-05 | 2021-08-17 | Advanced New Technologies Co., Ltd. | Certificate application operations |
| CN111083102A (zh) * | 2019-10-23 | 2020-04-28 | 全球能源互联网研究院有限公司 | 一种物联网数据处理方法、装置及设备 |
| CN114930769B (zh) * | 2019-12-31 | 2024-04-12 | 华为技术有限公司 | 本地通信的方法、装置和*** |
| US11652842B2 (en) * | 2020-06-29 | 2023-05-16 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Edge device assisted mitigation of publish-subscribe denial of service (DoS) attacks |
| US11516199B2 (en) * | 2020-07-17 | 2022-11-29 | Cisco Technology, Inc. | Zero trust for edge devices |
| US20220141658A1 (en) * | 2020-11-05 | 2022-05-05 | Visa International Service Association | One-time wireless authentication of an internet-of-things device |
| US11558189B2 (en) * | 2020-11-30 | 2023-01-17 | Microsoft Technology Licensing, Llc | Handling requests to service resources within a security boundary using a security gateway instance |
| CN112702171B (zh) * | 2020-12-23 | 2021-10-15 | 北京航空航天大学 | 一种面向边缘网关的分布式身份认证方法 |
| CN113329358B (zh) * | 2021-04-29 | 2022-10-18 | 广州中国科学院软件应用技术研究所 | 一种基于risc-v指令集的aiot多制式边缘网关通信***及设备 |
| US11819762B1 (en) * | 2021-08-06 | 2023-11-21 | Amazon Technologies, Inc. | Registration and control of a game entity as a device |
| CN113873512B (zh) * | 2021-09-28 | 2024-04-30 | 中国电子科技集团公司信息科学研究院 | 一种物联网边缘网关安全架构*** |
| TWI800114B (zh) * | 2021-11-24 | 2023-04-21 | 國立勤益科技大學 | 物聯網動態主題資訊安全方法及其應用 |
| CN114189858B (zh) * | 2021-12-09 | 2023-10-24 | 国网江苏省电力有限公司泰州供电分公司 | 一种基于非对称加密的电力5g公网安全传输方法 |
| US20230308467A1 (en) * | 2022-03-24 | 2023-09-28 | At&T Intellectual Property I, L.P. | Home Gateway Monitoring for Vulnerable Home Internet of Things Devices |
| TWI809780B (zh) * | 2022-03-24 | 2023-07-21 | 長流國際顧問股份有限公司 | 物聯網系統及其連線配置方法 |
| CN114710299B (zh) * | 2022-06-07 | 2022-08-30 | 杭州雅观科技有限公司 | 适用于云端led照明节能***的轻量认证方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102271041A (zh) * | 2011-07-30 | 2011-12-07 | 任明和 | 个人身份认证的根服务*** |
| CN102547680A (zh) * | 2010-12-17 | 2012-07-04 | 北京创毅视讯科技有限公司 | 一种物联网***及物联网***的安全管理方法 |
| CN103067340A (zh) * | 2011-10-20 | 2013-04-24 | 中兴通讯股份有限公司 | 远程控制网络信息家电的鉴权方法及***、互联网家庭网关 |
| CN103281305A (zh) * | 2013-05-02 | 2013-09-04 | 四川慧龙科技有限责任公司 | 基于安全网关的智慧城市***的接入控制方法 |
| US8613069B1 (en) * | 2013-05-17 | 2013-12-17 | Phantom Technologies, Inc. | Providing single sign-on for wireless devices |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9356804B1 (en) * | 2012-06-12 | 2016-05-31 | Amazon Technologies, Inc. | Policy-based network connection resource selection |
| US9143498B2 (en) * | 2012-08-30 | 2015-09-22 | Aerohive Networks, Inc. | Internetwork authentication |
| US9160718B2 (en) * | 2013-05-23 | 2015-10-13 | Iboss, Inc. | Selectively performing man in the middle decryption |
| WO2014193940A1 (en) * | 2013-05-28 | 2014-12-04 | Convida Wireless, Llc | Load balancing in the internet of things |
| EP3576379B1 (en) * | 2014-07-21 | 2021-09-01 | Convida Wireless, LLC | Service layer interworking using mqtt protocol |
| US9762556B2 (en) * | 2015-01-09 | 2017-09-12 | Verisign, Inc. | Registering, managing, and communicating with IOT devices using domain name system processes |
| EP3281386B1 (en) | 2015-04-07 | 2020-01-01 | Tyco Fire & Security GmbH | Machine-to-machine and machine to cloud end-to-end authentication and security |
| EP3286871B1 (en) * | 2015-04-24 | 2020-07-22 | PCMS Holdings, Inc. | Systems, methods, and devices for device credential protection |
| US10230696B2 (en) * | 2015-06-09 | 2019-03-12 | Intel Corporation | System, apparatus and method for managing lifecycle of secure publish-subscribe system |
| US10958648B2 (en) * | 2015-06-30 | 2021-03-23 | Amazon Technologies, Inc. | Device communication environment |
| US10237364B2 (en) * | 2016-03-24 | 2019-03-19 | International Business Machines Corporation | Resource usage anonymization |
| US10054919B2 (en) * | 2016-06-21 | 2018-08-21 | Abl Ip Holding Llc | Integrated lighting and building management control gateway |
| US10079691B2 (en) * | 2016-07-29 | 2018-09-18 | American Megatrends, Inc. | System and method for defining interactions between internet of things (IoT) devices using graphic user interface (GUI) based tool |
| US10805115B2 (en) * | 2016-08-18 | 2020-10-13 | Sap Se | Internet of things (IoT) gateway |
| US9860677B1 (en) * | 2016-09-30 | 2018-01-02 | Intel Corporation | Internet-of-things gateway coordination |
| US10382203B1 (en) * | 2016-11-22 | 2019-08-13 | Amazon Technologies, Inc. | Associating applications with Internet-of-things (IoT) devices using three-way handshake |
| US10645181B2 (en) * | 2016-12-12 | 2020-05-05 | Sap Se | Meta broker for publish-subscribe-based messaging |
| US10575248B2 (en) * | 2016-12-28 | 2020-02-25 | Nanning Fugui Precision Industrial Co., Ltd. | Wireless sensing network communication method |
| US10587400B2 (en) * | 2018-02-12 | 2020-03-10 | Afero, Inc. | System and method for securely configuring a new device with network credentials |
| US20190313246A1 (en) * | 2018-04-06 | 2019-10-10 | Iot And M2M Technologies, Llc | Device default wifi credentials for simplified and secure configuration of networked transducers |
-
2018
- 2018-02-06 US US16/483,888 patent/US11509654B2/en active Active
- 2018-02-06 WO PCT/US2018/016971 patent/WO2018145056A1/en active Application Filing
- 2018-02-06 EP EP18706919.0A patent/EP3577878B1/en active Active
- 2018-02-06 CN CN201880010361.0A patent/CN110268690B/zh active Active
-
2022
- 2022-11-21 US US18/057,449 patent/US20230092015A1/en active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102547680A (zh) * | 2010-12-17 | 2012-07-04 | 北京创毅视讯科技有限公司 | 一种物联网***及物联网***的安全管理方法 |
| CN102271041A (zh) * | 2011-07-30 | 2011-12-07 | 任明和 | 个人身份认证的根服务*** |
| CN103067340A (zh) * | 2011-10-20 | 2013-04-24 | 中兴通讯股份有限公司 | 远程控制网络信息家电的鉴权方法及***、互联网家庭网关 |
| CN103281305A (zh) * | 2013-05-02 | 2013-09-04 | 四川慧龙科技有限责任公司 | 基于安全网关的智慧城市***的接入控制方法 |
| US8613069B1 (en) * | 2013-05-17 | 2013-12-17 | Phantom Technologies, Inc. | Providing single sign-on for wireless devices |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110807905A (zh) * | 2019-10-23 | 2020-02-18 | 北方工业大学 | 一种基于端-边-云架构的社区火灾监测*** |
| CN110958720A (zh) * | 2019-11-27 | 2020-04-03 | 上海路辉智能***股份有限公司 | 一种物联网设备并发上线受限的***治理延时方法 |
| CN110958720B (zh) * | 2019-11-27 | 2023-07-14 | 上海路辉智能***股份有限公司 | 一种物联网设备并发上线受限的***治理延时方法 |
| CN114598482A (zh) * | 2020-11-20 | 2022-06-07 | 福州数据技术研究院有限公司 | 一种服务器与智能边缘网关的加密通信方法和*** |
| CN114979248A (zh) * | 2021-02-18 | 2022-08-30 | 泛达公司 | 安全远程控制***、设备和方法 |
| CN113709263A (zh) * | 2021-11-01 | 2021-11-26 | 深圳市城市交通规划设计研究中心股份有限公司 | 一种物联网协议mqtt的数据接入方法、计算机及存储介质 |
| CN116743713A (zh) * | 2023-06-27 | 2023-09-12 | 深圳金之桥信息科技有限公司 | 基于物联网的远程在线无纸会议方法、装置 |
| CN116743713B (zh) * | 2023-06-27 | 2024-04-30 | 深圳金之桥信息科技有限公司 | 基于物联网的远程在线无纸会议方法、装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20200021586A1 (en) | 2020-01-16 |
| WO2018145056A1 (en) | 2018-08-09 |
| CN110268690B (zh) | 2021-10-22 |
| EP3577878A1 (en) | 2019-12-11 |
| US11509654B2 (en) | 2022-11-22 |
| EP3577878B1 (en) | 2021-07-07 |
| US20230092015A1 (en) | 2023-03-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110268690A (zh) | 保护物联网中的设备通信 | |
| CN110786031B (zh) | 用于5g切片标识符的隐私保护的方法和*** | |
| CN114080843B (zh) | 用于增强5g网络的网络切片和策略框架的装置、***和方法 | |
| CN110235423B (zh) | 对用户设备的辅认证 | |
| JP6174617B2 (ja) | 証明書検証およびチャネル結合 | |
| CN107005569B (zh) | 端对端服务层认证 | |
| EP3262856B1 (en) | Systems and methods for secure roll-over of device ownership | |
| TWI514896B (zh) | 可信賴聯合身份方法及裝置 | |
| WO2017200978A1 (en) | Security-based slice selection and assignment | |
| US20230319549A1 (en) | Privacy of relay selection in cellular sliced networks | |
| WO2018013925A1 (en) | Adaptive authorization framework for communication networks | |
| US20210409941A1 (en) | SECURITY PROCEDURE FOR UE's IN 5GLAN GROUP COMMUNICATION | |
| US20210120416A1 (en) | Secure inter-mobile network communication | |
| US11489825B2 (en) | Systems and methods for configuring a network function proxy for secure communication | |
| Fujdiak et al. | Security in low-power wide-area networks: State-of-the-art and development toward the 5G | |
| WO2023246942A1 (zh) | 通信方法及装置 | |
| JP6472030B2 (ja) | 通信システム及びその認証接続方法 | |
| US20220386130A1 (en) | Systems and methods for using a unique routing indicator to connect to a network | |
| WO2023147051A1 (en) | Personal internet-of-things networks | |
| WO2023224915A1 (en) | Security for distributed non-access stratum protocol in a mobile system | |
| CN111918204A (zh) | 用于限制直接发现的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230803 Address after: Delaware USA Patentee after: TAG-COMM Inc. Address before: Wilmington, Delaware, USA Patentee before: PCMS HOLDINGS, Inc. |