CN115336231A - 使用补充密码身份的设备供应 - Google Patents
使用补充密码身份的设备供应 Download PDFInfo
- Publication number
- CN115336231A CN115336231A CN202180023231.2A CN202180023231A CN115336231A CN 115336231 A CN115336231 A CN 115336231A CN 202180023231 A CN202180023231 A CN 202180023231A CN 115336231 A CN115336231 A CN 115336231A
- Authority
- CN
- China
- Prior art keywords
- identity
- supplemental
- cryptographic
- cryptographic identity
- initial
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000000153 supplemental effect Effects 0.000 title claims abstract description 207
- 238000000034 method Methods 0.000 claims description 41
- 238000004891 communication Methods 0.000 claims description 40
- 230000004044 response Effects 0.000 claims description 16
- 230000008569 process Effects 0.000 claims description 10
- 230000006855 networking Effects 0.000 claims description 6
- 238000013500 data storage Methods 0.000 claims description 4
- 238000004519 manufacturing process Methods 0.000 claims description 2
- 238000012545 processing Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 6
- 238000012795 verification Methods 0.000 description 4
- 230000001143 conditioned effect Effects 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- BXNJHAXVSOCGBA-UHFFFAOYSA-N Harmine Chemical compound N1=CC=C2C3=CC=C(OC)C=C3NC2=C1C BXNJHAXVSOCGBA-UHFFFAOYSA-N 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000008054 signal transmission Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0806—Configuration setting for initial configuration or provisioning, e.g. plug-and-play
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/50—Service provisioning or reconfiguring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/34—Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
设备供应服务使用联网设备的补充密码身份来供应联网设备以访问一个或多个服务***。初始登记记录(与初始密码身份相关联)以及补充登记记录被存储在设备供应服务中。在设备供应服务从联网设备接收身份发布请求。身份发布请求包括初始密码身份。基于身份发布请求,从初始登记记录中标识的补充密码身份发布方请求补充密码身份。在设备供应服务从补充密码身份发布方接收请求的补充密码身份。根据补充登记记录,联网设备被供应为访问一个或多个服务***。补充密码身份被传送到联网设备。
Description
背景技术
设备供应服务(DPS)可用于经由网络连接(诸如互联网)配置智能设备(例如联网设备)。每个智能设备都由其制造商提供标识符,当智能设备通电并连接到DPS以请求供应时,DPS会质询智能设备以证实其制造商提供的身份。例如,智能设备可以是智能传感器、插头、灯泡或其他设备(例如恒温器、门铃、安全摄像头),该智能设备被硬编码为“唤醒”并开始将自己注册到一个或多个不同的基于云的DPS,诸如Nokia Smart Home、Google
Samsung SmartThings、Nest、Phillips Hue、Smart Life、Garmin Connect等。
消费者驱动的智能设备市场的扩张导致对跨解决方案兼容性、安全灵活性和更高的可负担性的需求增加。因此,在智能设备的生命周期内永远与单个DPS绑定会带来风险和不期望的约束。例如,如果制造商倒闭或以其他方式终止对智能设备的支持,则设备所有者可能会留下无法正常工作的设备。从另一个角度来看,制造商颁发的凭证可能会过期、被黑客入侵或以其他方式丢失。类似的,增强的供应特性可以从不同的DPS获得,诸如通过拥有智能设备的企业拥有和实施的DPS获得。企业DPS可以提供许多企业拥有的资产之间的供应协调、跨制造商供应的能力和/或制造商DPS的增强安全性。
发明内容
所描述的技术提供了一种设备供应服务,其使用联网设备的补充密码身份来供应联网设备访问一个或多个服务***。初始登记(enrollment)记录(与初始密码身份相关联)和补充登记记录被存储在设备供应服务中。在设备供应服务处从联网设备接收身份发布请求。身份发布请求包括初始密码身份。基于身份发布请求,从初始登记记录中标识的补充密码身份发布方请求补充密码身份。在设备供应服务处从补充密码身份发布方接收请求的补充密码身份。根据补充登记记录,联网设备被供应为访问一个或多个服务***。补充密码身份被传送到联网设备。
提供该发明内容部分以简化形式介绍概念的选择,这将在下面的具体实施方式部分中进一步被描述。该发明内容部分无意标识所要求保护的主题的关键特征或基本特征,也无意用于限制所要求保护的主题的范围。
本文还描述和列举了其他实施方式。
附图说明
图1图示了使用补充密码(cryptographic)身份的联网设备的示例供应。
图2图示了示例设备供应***。
图3图示了用于使用补充密码身份来供应联网设备的示例操作。
图4图示了用于使用补充密码身份来供应联网设备的示例操作环境。
具体实施方式
在所描述技术的至少一个实现中,联网设备(诸如物联网(IoT)设备、联网工业资产、移动计算设备或另一通信设备)可以基于初始密码身份,被安全地相关联到补充密码身份。然后可以使用补充密码身份代替初始密码身份或除了初始密码身份之外还使用补充密码身份来供应联网设备。
在一个场景下,可以设置设备供应服务(DPS),以基于存储在DPS中的初始密码身份和初始登记记录来处理来自联网设备的身份发布请求,并根据与补充密码身份相关联的补充登记记录来供应联网设备。
例如,联网设备经由安全连接被连接到DPS,并向DPS提交身份发布请求(例如,证书签名请求或CSR、或JSON Web令牌或JWT)和初始密码身份,以通过安全连接请求新身份(例如,新证书)。响应于身份发布请求的接收,DPS访问与初始密码身份相关联的初始登记记录(或另一登记记录)。初始登记记录被存储在DPS处或可由DPS访问。
使用存储在初始登记记录(或另一登记记录)中的配置信息,DPS验证初始密码身份和身份发布请求。如果初始密码身份和身份发布请求得到验证,则DPS可以基于经验证的身份发布请求,从身份发布方(诸如,本地或外部证书机构)请求补充密码身份。身份发布方返回补充密码身份并将其与补充登记记录相关联。然后,DPS可以使用存储在补充登记记录中的配置信息来供应联网设备,并将补充密码身份返回给联网设备,该联网设备随后可以使用补充密码身份来连接到DPS以及由DPS注册的其他服务,以通过联网设备给出补充密码身份来进行访问。
图1图示了使用补充密码身份(例如,买方身份102)的联网设备100的示例供应。在图示实施方式中,联网设备100由车辆表示,该车辆可以是由买方(例如,送货公司)购买和/或运营的车队的车辆。车辆与初始密码身份(例如,制造商身份104)相关联地出售,诸如由制造商106发布的密码证书。然而,买方可能不希望完全依赖制造商及其发布的身份。例如,制造商可能倒闭,其发布的身份可能不再可信。因此,买方建立自己的设备供应服务108,以发布由买方管理和控制的补充密码身份(即,买方身份),并供应其联网设备。以此方式,即使制造商身份104不再有效,买方也可以通过自己的设备供应服务108和买方身份102继续供应和管理联网设备100。该方法还可以允许买方覆盖和/或定制制造商对联网设备100的供应。
如图1所示,制造商106最初向联网设备100提供初始密码身份(即,制造商身份)。应当理解,本申请中的术语“初始”并不意味着联网设备100没有先前的密码身份。相反,“初始”旨在相对于联网设备100随后变得与补充密码身份(例如,买方身份102)相关联来被解释。在一个实施方式中,为了使用初始密码身份来获得供应,联网设备100访问全局端点(例如,在已知URL处)并标识从中获得供应的设备供应服务。全局端点将联网设备100引导到适当的设备供应服务以进行供应。其他供应方法也是可想到的。
此外,在一些实施方式中,联网设备100还可以请求补充密码身份,然后使用补充密码身份来获得供应。例如,买方可以对联网设备100进行编程(例如,经由公共API(应用程序接口)或SDK(软件开发工具包))以指定在请求补充密码身份和/或补充供应时要联系哪个设备供应服务。可选地,联网设备100可以响应于来自买方或另一授权实体的远程命令,基于定期身份更新(例如,跟踪其凭证的剩余使用寿命(remaining useful life)或RUL并在RUL降至阈值以下时请求新身份)等,通过硬编码的配置信息,在初始供应操作中(例如,从初始设备供应服务)获得补充设备供应服务的标识符。在一些实施方式中,初始设备供应服务以及补充设备供应服务可以是相同的设备供应服务并且仍然可以应用来自不同登记记录的配置信息。
在一个实施方式中,例如,买方或一些其他实体设置设备供应服务108以识别和验证由联网设备100提供的制造商身份104,买方创建初始登记记录,该初始登记记录包括特定身份发布方的标识符和与初始密码身份相关联的验证参数。联网设备100向设备供应服务108发出身份发布请求110以请求补充密码身份。身份发布请求110包括初始密码身份,设备供应服务108使用该初始密码身份来访问与初始密码身份相关联的初始登记记录。如果设备供应服务108能够验证身份发布请求110,则设备供应服务108然后向初始登记记录中指定的身份发布方(未示出)请求补充密码身份。
可以以多种方式执行身份发布请求的验证。在一些实施方式中,设备供应服务108可以质询联网设备100以证实其作为制造商身份104的身份,诸如基于制造商身份104对联网设备100使用对称或非对称密钥质询。设备供应服务108还可以评估身份发布请求110,以确定身份发布请求110是否被联网设备100有效签名。可以采用附加的或不同的验证操作。这些验证操作以设备供应服务108向初始登记记录中指定的身份发布方请求补充密码身份为条件。
在验证了来自联网设备100的身份发布请求之后,设备供应服务108向初始登记记录中指定的身份发布方请求补充密码身份。该请求可以指定补充密码身份发布方的证书链中的中间根,从该中间根中将会创建出补充密码身份。由补充密码身份发布方响应于身份发布请求而发布的补充密码身份被返回给设备供应服务108。
设备供应服务108将补充密码身份与补充登记记录相关联,并使用补充登记记录中的配置信息来供应联网设备100。例如,设备供应服务108使用补充密码身份向联网设备100注册一个或更多个服务***112(例如,提供IoT服务的***、提供云服务的***、IoT枢纽)。设备供应服务108还将补充密码身份作为买方身份102返回。此后,联网设备100可以通过向那些服务提供补充密码身份(即,买方身份)来访问相同的服务***112。
图2图示了示例设备供应服务***200。联网设备202将身份发布请求204传送到设备供应服务***200的设备通信接口206。身份处理子***208从设备通信接口206接收身份发布请求204(具有初始密码身份),并且尝试使用存储在初始登记记录210中的配置信息来验证身份发布请求204,该初始登记记录210与初始密码身份相关联。验证可以包括:质询联网设备202以证实初始密码身份属于它,和/或验证身份发布请求204已由联网设备202有效签名。
如果身份处理子***208验证身份发布请求204,则身份处理子***208通过设备供应服务***200的身份发布方接口216,从补充密码身份发布方214请求补充密码身份212(例如,使用身份发布请求211)。例如,补充密码身份发布方214可以是本地或远程证书机构。身份处理子***208还可以指定(例如,利用身份发布请求211)由补充密码身份发布方214维护的证书链的中间根,以便补充密码身份212从该中间节点被创建。
身份处理子***208通过身份发布方接口216从补充密码身份发布方214接收补充密码身份212并将该补充密码身份与补充登记记录218相关联。补充登记记录218存储与补充密码身份212相关联的配置信息(例如,针对该身份的供应信息、针对该身份的验证信息)。这样,补充登记记录218中的配置信息可以被用于供应、验证来自联网设备202的未来请求,以及以其他方式基于补充密码身份212与联网设备202交互,在这样的交互中联网设备202会呈现该补充密码身份212。
因此,供应子***220可以从补充登记记录218取得供应信息,并经由注册接口224与一个或多个服务***222通信,以基于补充密码身份212将联网设备202供应到一个或多个服务***222。在一个实施方式中,这样的供应包括使用补充密码身份212将联网设备202注册到一个或多个服务***222。设备供应服务***200还向联网设备202返回补充密码身份212,该联网设备202可以使用补充密码身份212来访问一个或多个服务***222。
所有描述的接口和子***可以使用硬件和/或在硬件上执行的软件的组合来实现。
图3图示了用于使用补充密码身份来供应联网设备的示例操作300。存储操作302在设备供应服务处存储初始登记记录和补充登记记录。初始登记记录与初始密码身份相关联(例如,与初始密码身份相关联地被存储,包含与初始密码身份相关联的验证参数)。补充登记记录将与补充密码身份相关联(例如,与补充密码身份相关联地被存储,包含与补充密码身份相关联的验证参数,包含与补充密码身份相关联的供应信息)。
接收操作304在设备供应服务处(例如,通过设备通信接口)从联网设备接收身份发布请求。身份发布请求操作306从初始登记记录中标识的补充密码身份发布方请求补充密码身份。该请求可以以成功验证从联网设备接收到的身份发布请求为条件。该请求还可以指定证书链的中间根或某些类似参数,以进一步描述请求身份的特征。
另一接收操作308从补充密码身份发布方接收请求的补充密码身份。供应操作310根据补充登记记录,供应联网设备以访问一个或多个服务***。在一个实施方式中,供应操作310使用补充密码身份,将联网设备注册到一个或多个服务***。响应操作312将补充密码身份传送到联网设备,该联网设备可以使用补充密码身份来访问一个或多个服务***。
图4图示了用于实现所描述技术的特征和操作的示例通信设备400。通信设备400是示例联网设备并且可以是客户端设备,诸如膝上型计算机、移动设备、台式计算机、平板电脑;服务器/云设备;物联网设备;电子配件;或其他电子设备。通信设备400包括一个或多个处理器402和存储器404。存储器404通常包括易失性存储器(例如,RAM)和非易失性存储器(例如,闪存)。操作***410驻留在存储器404中并且由处理器402执行。
在示例通信设备400中,如图4所示,一个或多个模块或片段,诸如应用450和其他模块,被加载到存储器404和/或存储设备420上的操作***410中并由处理器402执行。存储设备420包括一个或多个有形的存储介质设备,并且可以存储登记记录、身份、配置信息、密码数据元素和其他数据,并且对于通信设备400是本地的,或者可以是远程的并且可通信地连接到通信设备400。
通信设备400包括电源416,其由一个或多个电池或其他电源供电并向通信设备400的其他组件提供电力。电源416也可以连接到覆盖的外部电源或为内置电池或其他电源充电。
通信设备400可包括一个或多个通信收发器430,其可连接到一个或多个天线432以向一个或多个其他服务器和/或客户端设备(例如,移动设备、台式计算机或膝上型计算机)提供网络连接(例如,移动电话网络、
蓝牙
)。通信设备400还可以包括网络适配器436,其是一个类型的通信设备。通信设备400可以使用适配器和任何其他类型的通信设备在广域网(WAN)或局域网(LAN)上建立连接。应当理解,所示的网络连接是示例性的,并且可以使用其他通信设备和用于在通信设备400和其他设备之间建立通信链路的部件。
通信设备400可以包括一个或多个输入设备434(例如,键盘或鼠标),使用户可以输入命令和信息。这些和其他输入设备可以通过一个或多个接口438(诸如串行端口接口、并行端口或通用串行总线(USB))耦合到服务器。通信设备400还可以包括显示器422,诸如触摸屏显示器。
通信设备400可以包括各种有形处理器可读存储介质和无形处理器可读通信信号。有形处理器可读存储可以由通信设备400可以访问的任何可用介质来实现,并且包括易失性和非易失性存储介质、可移动和不可移动存储介质。有形处理器可读存储介质不包括通信信号,并且包括以用于存储诸如处理器可读指令、数据结构、程序模块或其他数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动存储介质。有形处理器可读存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储技术、CDROM、数字多功能磁盘(DVD)或其他光盘存储、盒式磁带、磁带、磁盘存储或其他磁存储设备,或可用于存储所需信息并且可由通信设备400访问的任何其他有形介质。与有形处理器可读存储介质相比,无形处理器可读通信信号可以实现为驻留在调制数据信号(诸如载波或其他信号传输机制)中的处理器可读指令、数据结构、程序模块或其他数据。术语“调制数据信号”指的是这样的信号,该信号的一个或多个特征被这样设置或改变以便在该信号中对信息进行编码。作为示例而非限制,无形通信信号包括通过有线介质(诸如有线网络或直接有线连接)和无线介质(诸如声学、RF、红外线和其他无线介质)传播的信号。
虽然本说明书包含许多具体的实施细节,但这些不应被解释为对任何发明的范围或可能要求保护的内容的限制,而是对特定于所描述技术的特定实施例的特征的描述。在本说明书中在单独实施例的上下文中描述的特定特征也可以在单个实施例中组合实现。相反,在单个实施例的上下文中描述的各种特征也可以在多个实施例中单独或以任何合适的子组合来实现。此外,尽管特征可以在上面被描述为在特定组合中起作用并且甚至最初如此要求保护,但在某些情况下可以从组合中删除来自要求保护的组合的一个或多个特征,并且要求保护的组合可以针对子组合或子组合的变体。
类似地,虽然在附图中以特定顺序描绘了操作,但这不应被理解为要求这些操作以所示的特定顺序或按顺序被执行,或者所有所示的操作都被执行以获得期望的结果。在特定情况下,多任务和并行处理可以是有利的。此外,上述实施例中各个***组件的分离不应理解为在所有实施例中都需要这样的分离,而应理解的是,所描述的程序组件和***通常可以集成在一个软件产品中或打包到多个软件产品中。
提供了一种使用联网设备的补充密码身份来供应联网设备以访问一个或多个服务***的示例方法。该方法包括:在设备供应服务中存储补充登记记录以及与初始密码身份相关联的初始登记记录。在设备供应服务处从联网设备接收身份发布请求,身份发布请求包括初始密码身份。基于身份发布请求,从初始登记记录中标识的补充密码身份发布方请求补充密码身份。在设备供应服务处从补充密码身份发布方接收请求的补充密码身份。根据补充登记记录,联网设备被供应为访问一个或多个服务***。补充密码身份被传送到联网设备。
提供任何前述方法的另一示例方法,其中初始登记记录标识补充密码身份发布方,并且另一示例方法还包括:在从补充密码身份发布方请求补充密码身份之前,从初始登记记录确定补充密码身份发布方。
任何前述方法的另一示例方法还包括:响应于接收到的补充密码身份,在设备供应服务处将补充登记记录与补充密码身份发布方相关联。
任何前述方法的另一示例方法还包括:对联网设备进行密码质询,以证实初始包括在身份发布请求中的密码身份,以及响应于密码质询并且在请求补充密码身份之前,使用初始登记记录确定联网设备已成功证实初始密码身份。
任何前述方法的另一示例方法还包括:在请求补充密码身份之前,确定身份发布请求已由联网设备有效签名。
提供任何前述方法的另一示例方法,其中身份发布请求包括设备供应服务的标识符。
提供任何前述方法的另一示例方法,其中供应包括:基于补充密码身份,将联网设备注册到一个或多个服务***。
提供了一种示例设备供应***,用于使用联网设备的补充密码身份来供应联网设备以访问一个或多个服务***。该设备供应***包括一个或多个硬件处理器和一个或多个有形数据存储介质,该有形数据存储介质被配置为存储与初始密码身份相关联的初始登记记录和补充登记记录。设备通信接口被配置用于与联网设备的通信。注册接口被配置用于与一个或多个服务***的通信。身份提供方接口被配置为与一个或多个补充密码身份发布方通信。身份处理器子***由一个或多个硬件处理器执行并且被耦合到设备通信接口,以在设备供应***处接收来自联网设备的身份发布请求。身份发布请求包括初始密码身份。身份处理器子***还被耦合到身份提供方接口以基于身份发布请求从初始登记记录中标识的补充密码身份发布方请求补充密码身份,以在设备供应***从补充密码身份发布方处接收请求的补充密码身份,并通过设备通信接口将补充密码身份传送到联网设备。供应子***由一个或多个硬件处理器执行并被耦合到一个或多个有形数据存储介质和注册接口以根据补充登记记录供应联网设备以访问一个或多个服务***。
提供了任何前述***的另一示例设备供应***,其中初始登记记录标识补充密码身份发布方,并且身份处理器子***被配置为在从补充密码身份发布方请求补充密码身份之前从初始登记记录中确定补充密码身份发布方。
提供了任何前述***的另一示例设备供应***,其中供应子***被配置为:响应于身份处理器子***对补充密码身份的接收,在设备供应***将补充登记记录与补充密码身份发布方相关联。
提供了任何前述***的另一示例设备供应***,其中身份处理器子***被配置为:对联网设备进行密码质询以证实身份发布请求中包括的初始密码身份,以及响应于密码质询并且在请求补充密码身份之前,使用初始登记记录确定联网设备已成功证实初始密码身份。
提供了任何前述***的另一示例设备供应***,其中身份处理器子***被配置为:在请求补充密码身份之前确定身份发布请求已由联网设备有效签名。
提供了任何前述***的另一示例设备供应***,其中身份发布请求包括设备供应***的标识符。
提供了任何前述***的另一示例设备供应***,其中供应子***还被配置为:基于补充密码身份,将联网设备注册到一个或多个服务***。
有形制品的一个或多个示例有形处理器可读存储介质编码处理器可执行指令,以用于在电子计算设备上执行使用联网设备的补充密码身份来供应联网设备以访问一个或多个服务***的过程。该过程包括在设备供应服务中存储补充登记记录以及与初始密码身份相关联的初始登记记录。在设备供应服务处从联网设备接收身份发布请求,身份发布请求包括初始密码身份。基于身份发布请求,从初始登记记录中标识的补充密码身份发布方请求补充密码身份。在设备供应服务处从补充密码身份发布方接收请求的补充密码身份。根据补充登记记录,联网设备被供应以访问一个或多个服务***。补充密码身份被传送到联网设备。
提供了任何前述存储介质的其他一个或多个示例有形处理器可读存储介质,其中初始登记记录标识补充密码身份发布方。该过程还包括:在从补充密码身份发布方请求补充密码身份之前,从初始登记记录确定补充密码身份发布方。
提供了任何前述存储介质的其他一个或多个示例有形处理器可读存储介质,其中该过程还包括:响应于接收到接收的补充密码身份,在设备供应服务处将补充登记记录与补充密码身份发布方相关联。
提供了任何前述存储介质的其他一个或多个示例有形处理器可读存储介质,其中该过程还包括:对联网设备进行密码质询以证实身份发布请求中包括的初始密码身份,以及响应于密码质询并在请求补充密码身份之前,使用初始登记记录来确定联网设备已成功证实初始密码身份。
提供了任何前述存储介质的其他一个或多个示例有形处理器可读存储介质,其中该过程还包括在请求补充密码身份之前确定身份发布请求由联网设备有效签名。
提供了任何前述存储介质的其他一个或多个示例有形处理器可读存储介质,其中供应包括:基于补充密码身份,将联网设备注册到一个或多个服务***。
提供了一种示例***,用于使用联网设备的补充密码身份来供应联网设备以访问一个或多个服务***。该***包括:用于在设备供应服务中存储补充登记记录以及与初始密码身份相关联的初始登记记录的部件,以及用于在设备供应服务处从联网设备请求身份发布请求的部件,身份发布请求包括初始密码身份。该***还包括:用于基于身份发布请求从初始登记记录中标识的补充密码身份发布方请求补充密码身份的部件。该***还包括:用于在设备供应服务处从补充密码身份发布方接收请求的补充密码身份的部件。该***还包括:用于根据补充登记记录供应联网设备以访问一个或多个服务***的部件。该***还包括用于将补充密码身份传送到联网设备的部件。
提供了任何前述***的另一示例***,其中初始登记记录标识补充密码身份发布方,并且另一示例***还包括:用于在从补充密码身份发布方请求补充密码身份之前,从初始登记记录确定补充密码身份发布方的部件。
任何前述***的另一示例***还包括:用于响应于接收到接收的补充密码身份在设备供应服务处将补充登记记录与补充密码身份发布方相关联的部件。
任何前述***的另一示例***还包括:用于对联网设备进行密码质询以证实身份发布请求中包括的初始密码身份的部件,以及用于响应于密码质询并在请求补充密码身份之前使用初始登记记录确定联网设备已成功证实初始密码身份的部件。
任何前述***的另一示例***还包括:用于在请求补充密码身份之前确定身份发布请求已由联网设备有效签名的部件。
提供了任何前述***的另一示例***,其中身份发布请求包括设备供应服务的标识符。
提供了任何前述***的另一示例***,其中供应包括用于基于补充密码身份将联网设备注册到一个或多个服务***的部件。
因此,已经描述了本主题的特定实施例。其他实施例在以下权利要求的范围内。在某些情况下,权利要求中所记载的动作可以以不同的顺序被执行,并且仍能达到期望的结果。此外,附图中描述的处理不一定需要所示的特定顺序或序列顺序来获得期望的结果。在特定实现中,多任务和并行处理可以是有利的。
已经描述了所述技术的许多实施方式。然而,可以理解,可以在不背离所述权利要求的精神和范围的情况下进行各种修改。
Claims (15)
1.一种使用联网设备的补充密码身份来供应所述联网设备以访问一个或多个服务***的方法,所述方法包括:
在设备供应服务中存储补充登记记录以及与初始密码身份相关联的初始登记记录;
在所述设备供应服务处接收来自所述联网设备的身份发布请求,所述身份发布请求包括所述初始密码身份;
基于所述身份发布请求,从所述初始登记记录中标识的补充密码身份发布方请求所述补充密码身份;
在所述设备供应服务处从所述补充密码身份发布方接收请求的所述补充密码身份;
根据所述补充登记记录,供应所述联网设备以访问所述一个或多个服务***;以及
将所述补充密码身份传送给所述联网设备。
2.根据权利要求1所述的方法,其中所述初始登记记录标识所述补充密码身份发布方,并且还包括:
在从所述补充密码身份发布方请求所述补充密码身份之前,从所述初始登记记录确定所述补充密码身份发布方。
3.根据权利要求1所述的方法,还包括:
响应于接收到接收的所述补充密码身份,在所述设备供应服务处将所述补充登记记录与所述补充密码身份发布方相关联。
4.根据权利要求1所述的方法,还包括:
对所述联网设备进行密码质询,以证实所述身份发布请求中包括的所述初始密码身份;以及
响应于所述密码质询并且在请求所述补充密码身份之前,使用所述初始登记记录确定所述联网设备已成功证实所述初始密码身份。
5.根据权利要求1所述的方法,还包括:
在请求所述补充密码身份之前,确定所述身份发布请求被所述联网设备有效签名。
6.根据权利要求1所述的方法,其中所述身份发布请求包括所述设备供应服务的标识符。
7.根据权利要求1所述的方法,其中所述供应包括:
基于所述补充密码身份,将所述联网设备注册到所述一个或多个服务***。
8.一种设备供应***,用于使用联网设备的补充密码身份来供应所述联网设备以访问一个或多个服务***,所述设备供应***包括:
一个或多个硬件处理器;
一个或多个有形数据存储介质,被配置为存储补充登记记录以及与初始密码身份相关联的初始登记记录;
设备通信接口,被配置用于与所述联网设备的通信;
注册接口,被配置用于与所述一个或多个服务***的通信;
身份提供方接口,被配置为与一个或多个补充密码身份发布方通信;
身份处理器子***,由所述一个或多个硬件处理器执行并且被耦合到所述设备通信接口以在所述设备供应***处接收来自所述联网设备的身份发布请求,所述身份发布请求包括所述初始密码身份,所述身份处理器子***还被耦合到所述身份提供方接口以基于所述身份发布请求,从所述初始登记记录中标识的所述补充密码身份发布方请求所述补充密码身份,以在所述设备供应***处从所述补充密码身份发布方接收请求的所述补充密码身份,以及通过所述设备通信接口将所述补充密码身份传送给所述联网设备;以及
供应子***,由所述一个或多个硬件处理器执行并被耦合到所述一个或多个有形数据存储介质以及所述注册接口,以根据所述补充登记记录,供应所述联网设备以访问所述一个或多个服务***。
9.根据权利要求8所述的设备供应***,其中所述初始登记记录标识所述补充密码身份发布方,并且所述身份处理器子***被配置为:在从所述补充密码身份发布方请求所述补充密码身份之前,从所述初始登记记录确定所述补充密码身份发布方。
10.根据权利要求8所述的设备供应***,其中所述供应子***被配置为:响应于所述身份处理器子***对所述补充密码身份的接收,在所述设备供应***处将所述补充登记记录与所述补充密码身份发布方相关联。
11.根据权利要求8所述的设备供应***,其中所述身份处理器子***被配置为:对所述联网设备进行密码质询以证实包括在所述身份发布请求中的所述初始密码身份,以及响应于所述密码质询并且在请求所述补充密码身份之前,使用所述初始登记记录确定所述联网设备已成功证实所述初始密码身份。
12.根据权利要求8所述的设备供应***,其中所述身份处理器子***被配置为:在请求所述补充密码身份之前,确定所述身份发布请求已被所述联网设备有效签名。
13.根据权利要求8所述的设备供应***,其中所述身份发布请求包括所述设备供应***的标识符。
14.根据权利要求8所述的设备供应***,其中所述供应子***还被配置为:基于所述补充密码身份,将所述联网设备注册到所述一个或多个服务***。
15.有形制品的一个或多个有形处理器可读存储介质,所述一个或多个有形处理器可读存储介质编码处理器可执行指令,以用于在电子计算设备上执行使用联网设备的补充密码身份来供应所述联网设备以访问一个或多个服务***的过程,所述过程包括:
在设备供应服务中存储补充登记记录以及与初始密码身份相关联的初始登记记录;
在所述设备供应服务处接收来自所述联网设备的身份发布请求,所述身份发布请求包括所述初始密码身份;
基于所述身份发布请求,从所述初始登记记录中标识的补充密码身份发布方请求所述补充密码身份;
在所述设备供应服务处从所述补充密码身份发布方接收请求的所述补充密码身份;
根据所述补充登记记录,供应所述联网设备以访问所述一个或多个服务***;以及
将所述补充密码身份传送给所述联网设备。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/827,148 US11343139B2 (en) | 2020-03-23 | 2020-03-23 | Device provisioning using a supplemental cryptographic identity |
| US16/827,148 | 2020-03-23 | ||
| PCT/US2021/016985 WO2021194646A1 (en) | 2020-03-23 | 2021-02-08 | Device provisioning using a supplemental cryptographic identity |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115336231A true CN115336231A (zh) | 2022-11-11 |
Family
ID=74845094
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180023231.2A Pending CN115336231A (zh) | 2020-03-23 | 2021-02-08 | 使用补充密码身份的设备供应 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US11343139B2 (zh) |
| EP (1) | EP4128687A1 (zh) |
| CN (1) | CN115336231A (zh) |
| WO (1) | WO2021194646A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11632362B1 (en) * | 2021-04-14 | 2023-04-18 | SHAYRE, Inc. | Systems and methods for using JWTs for information security |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080260149A1 (en) * | 2007-04-20 | 2008-10-23 | Gehrmann Christian M | Method and System for Mobile Device Credentialing |
| US20100242038A1 (en) * | 2009-03-19 | 2010-09-23 | Berrange Daniel P | Providing a Trusted Environment for Provisioning a Virtual Machine |
| CN102067145A (zh) * | 2008-06-18 | 2011-05-18 | 微软公司 | 通过独立端点解析来获得数字身份或令牌 |
| CN102859929A (zh) * | 2010-04-15 | 2013-01-02 | 通用仪表公司 | 向在线安全设备供应更新离线身份数据生成和离线设备绑定 |
| US20140130145A1 (en) * | 2012-11-07 | 2014-05-08 | Cellco Partnership D/B/A Verizon Wireless | User device adding secure token to network requests |
| CN109076075A (zh) * | 2016-03-03 | 2018-12-21 | 黑莓有限公司 | 访问企业资源 |
| US10169587B1 (en) * | 2018-04-27 | 2019-01-01 | John A. Nix | Hosted device provisioning protocol with servers and a networked initiator |
| US10447683B1 (en) * | 2016-11-17 | 2019-10-15 | Amazon Technologies, Inc. | Zero-touch provisioning of IOT devices with multi-factor authentication |
| CN110651458A (zh) * | 2017-04-28 | 2020-01-03 | 亚马逊技术有限公司 | 单点登录注册 |
| US10547613B1 (en) * | 2017-05-17 | 2020-01-28 | Amazon Technologies, Inc. | Simplified association of devices with a network using unique codes on the devices and side channel communication |
| US20200065473A1 (en) * | 2018-08-24 | 2020-02-27 | Microsoft Technology Licensing, Llc | Scoping mechanism for globally unique device identification |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9195834B1 (en) | 2007-03-19 | 2015-11-24 | Ravenwhite Inc. | Cloud authentication |
| WO2013147810A1 (en) | 2012-03-29 | 2013-10-03 | Intel Corporation | Secure remediation of devices requesting cloud services |
| US9363241B2 (en) | 2012-10-31 | 2016-06-07 | Intel Corporation | Cryptographic enforcement based on mutual attestation for cloud services |
| WO2014113948A1 (en) | 2013-01-24 | 2014-07-31 | Hewlett-Packard Development Company, L.P. | Limiting access to service providers based on the network traffic load of a wireless access point |
| US11546755B2 (en) * | 2019-01-04 | 2023-01-03 | Hewlett Packard Enterprise Development Lp | Centralized configurator server for DPP provisioning of enrollees in a network |
| US11218330B2 (en) * | 2019-03-25 | 2022-01-04 | Micron Technology, Inc. | Generating an identity for a computing device using a physical unclonable function |
-
2020
- 2020-03-23 US US16/827,148 patent/US11343139B2/en active Active
-
2021
- 2021-02-08 EP EP21709271.7A patent/EP4128687A1/en active Pending
- 2021-02-08 CN CN202180023231.2A patent/CN115336231A/zh active Pending
- 2021-02-08 WO PCT/US2021/016985 patent/WO2021194646A1/en unknown
-
2022
- 2022-04-25 US US17/728,539 patent/US20220263712A1/en active Pending
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080260149A1 (en) * | 2007-04-20 | 2008-10-23 | Gehrmann Christian M | Method and System for Mobile Device Credentialing |
| CN102067145A (zh) * | 2008-06-18 | 2011-05-18 | 微软公司 | 通过独立端点解析来获得数字身份或令牌 |
| US20100242038A1 (en) * | 2009-03-19 | 2010-09-23 | Berrange Daniel P | Providing a Trusted Environment for Provisioning a Virtual Machine |
| CN102859929A (zh) * | 2010-04-15 | 2013-01-02 | 通用仪表公司 | 向在线安全设备供应更新离线身份数据生成和离线设备绑定 |
| US20140130145A1 (en) * | 2012-11-07 | 2014-05-08 | Cellco Partnership D/B/A Verizon Wireless | User device adding secure token to network requests |
| CN109076075A (zh) * | 2016-03-03 | 2018-12-21 | 黑莓有限公司 | 访问企业资源 |
| US10447683B1 (en) * | 2016-11-17 | 2019-10-15 | Amazon Technologies, Inc. | Zero-touch provisioning of IOT devices with multi-factor authentication |
| CN110651458A (zh) * | 2017-04-28 | 2020-01-03 | 亚马逊技术有限公司 | 单点登录注册 |
| US10547613B1 (en) * | 2017-05-17 | 2020-01-28 | Amazon Technologies, Inc. | Simplified association of devices with a network using unique codes on the devices and side channel communication |
| US10169587B1 (en) * | 2018-04-27 | 2019-01-01 | John A. Nix | Hosted device provisioning protocol with servers and a networked initiator |
| US20200065473A1 (en) * | 2018-08-24 | 2020-02-27 | Microsoft Technology Licensing, Llc | Scoping mechanism for globally unique device identification |
Also Published As
| Publication number | Publication date |
|---|---|
| US20220263712A1 (en) | 2022-08-18 |
| US20210297311A1 (en) | 2021-09-23 |
| WO2021194646A1 (en) | 2021-09-30 |
| EP4128687A1 (en) | 2023-02-08 |
| US11343139B2 (en) | 2022-05-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11128612B1 (en) | Zero-touch provisioning of IoT devices with multi factor authentication | |
| US10387134B2 (en) | Method and device for downloading profile of operator | |
| JP6652767B2 (ja) | 接続デバイスのステータスを管理するための方法 | |
| CN109285252B (zh) | 车锁控制方法和装置 | |
| US11245577B2 (en) | Template-based onboarding of internet-connectible devices | |
| KR20200048298A (ko) | Ssp의 번들을 관리하는 방법 및 장치 | |
| KR20200130136A (ko) | 사물 인터넷 기기 및 인증 방법, 클라우드 서버, 처리 기기, 판독 가능 매체 | |
| KR20200088901A (ko) | 보안 트랜잭션용 장치의 자가 인증 | |
| US20230325178A1 (en) | Tokenized mobile device update systems and methods | |
| WO2019037603A1 (zh) | 一种用于对用户设备进行无线连接预授权的方法与设备 | |
| CN115330400A (zh) | 一种区块链溯源方法、装置、***、计算设备和存储介质 | |
| US20220014353A1 (en) | Method by which device shares digital key | |
| US20220263712A1 (en) | Device provisioning using a supplemental cryptographic identity | |
| US11950320B2 (en) | Apparatus and methods for linkage of or profile transfer between devices | |
| JP2023120287A (ja) | 拡張可能な証明書管理システムアーキテクチャ | |
| US11777742B2 (en) | Network device authentication | |
| TWI646480B (zh) | 結合區塊鏈的憑證發行與驗證之系統及其方法 | |
| KR20200101053A (ko) | 전자 장치 및 전자 장치에서의 인증 방법 | |
| US20230162544A1 (en) | Systems and methods for securely managing vehicle information | |
| US20210274348A1 (en) | Method and device for remote management and verification of remote management authority | |
| US20220216987A1 (en) | Device and method for managing shared digital key | |
| US20220141091A1 (en) | Digital ownership escrow for network-configurable devices | |
| US11201923B2 (en) | Transferring digital device ownership via a signed transfer request | |
| US20220385670A1 (en) | Method and device for setting state of bundle after transfer of bundle between apparatuses | |
| WO2023000719A1 (zh) | 终端接入方法、设备和终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |