注册表装置、代理设备、应用提供装置以及相应的方法

注册表装置、代理设备、应用提供装置以及相应的方法
【专利说明】注册表装置、代理设备、应用提供装置以及相应的方法
[0001]本发明涉及数据处理领域。更具体来说，本发明涉及一种利用注册表装置在代理设备与应用提供装置之间建立受信任通信的方法。
[0002]家庭、其他建筑物或户外环境中的具有处理和通信能力从而允许其与其他处理设备进行交互的设备的数目不断增多。日常对象和相对较小规模的处理设备可以作为“物联网”的一部分彼此连接并且连接到中心平台。举例来说，家庭中的喷洒器系统可以从各种湿度传感器收集信息，并且基于湿度信息控制喷洒器的激活。此外，健康护理提供商可以使用无线传感器(例如心率监测器或者用于监测患者正在服用其处方药物的传感器)来跟踪处于家中的患者的健康。
[0003]因此，在多种应用中，可能存在与一个或多个代理设备进行交互的中心应用提供装置，所述代理设备向应用提供装置提供数据并且/或者由应用提供装置控制。代理设备在复杂度、处理资源、硬件和目的方面可以显著不同。可能很重要的是在代理设备与应用提供装置之间提供信任，从而使得应用提供商可以信任接收自代理设备的数据的有效性，并且代理设备可以信任接收自应用提供装置的任何命令。但是由于物联网中的许多代理设备可能只具有很低的处理能力，因此在代理设备中提供用于与应用提供装置建立受信任关系的资源可能比较困难并且可能会显著增加代理设备的成本。这样的代理设备的迅速广泛部署意味着还希望使得安装尽可能地快速和高效。本发明的技术试图解决这些问题。
[0004]从一个方面来看，本发明提供一种用于注册表装置在代理设备与应用提供装置之间建立受信任通信的方法，其中注册表装置保持包括用于唯一地认证至少一个代理设备的认证信息的设备注册表;所述方法包括以下步骤:
[0005](a)从代理设备接收表明代理设备的设备标识符的认证请求；
[0006](b)从设备注册表获得用于通过由认证请求表明的设备标识符所标识出的代理设备的认证信息；
[0007](C)利用从设备注册表获得的认证信息实施代理设备的认证；以及
[0008](d)如果认证成功，则向代理设备和应用提供装置的至少其中之一传送应用密钥信息，以用于在代理设备与应用提供装置之间实施受信任通信。
[0009]可以提供注册表装置以在代理设备与应用提供装置之间建立受信任通信。注册表装置可以保持设备注册表，其包括用于唯一地认证至少一个代理设备的认证信息。举例来说，可以在制造或分销期间向注册表注册(多个)代理设备，并且一旦其被部署或者变为可操作就可以尝试认证。响应于来自代理设备的认证请求，注册表装置利用从用于该设备的注册表获得的认证信息来实施代理设备的认证。如果认证成功，则向代理设备和应用提供装置的至少其中之一传送应用密钥信息以用于实施受信任通信。注册表装置可以管理关于每一个代理设备的元数据，管理代理设备与应用提供装置之间的关系，认证代理设备，以及自动为代理设备和/或应用提供商提供密钥以使得能够进行安全的受信任通信。
[0010]这种技术具有优于先前技术的几个优点。由于注册表承担认证代理设备并且建立与应用提供装置的通信的责任，因此可以更加便宜地制造代理设备，这是因为其不需要用于验证与应用提供装置的信任的复杂资源。代理设备甚至不需要包含标识将与之进行通信的应用提供商的任何信息，这是因为该信息可以替换地由注册表保持。此外，由于提供了中立注册表以用于在代理设备与应用提供装置之间建立信任，这就开放了代理设备与应用之间的关系，从而使得应用提供装置不受限于使用由相同的提供商制造的代理设备，或者反之亦然。由于可以通过注册表装置获得信任，因此可以与给定的应用相结合地使用任何“现成的”代理设备，并且特定代理设备的用户可以选择几个竞争的应用提供商的其中之一，从而提高了代理设备和应用的使用灵活性并且同时仍然保持受信任通信。
[0011]如果认证成功，则注册表可以向代理设备和应用提供装置的至少其中之一传送应用密钥信息以用于实施受信任通信。可能没有必要向代理设备和应用提供装置全部二者都传送密钥信息。举例来说，当在注册表中把应用提供装置注册为代理设备将与之通信的应用时，可能已经为应用提供装置提供了对应于代理设备的应用密钥信息。此外，代理设备例如可以具有永久应用密钥信息并且总是使用所述永久应用密钥信息来实施受信任通信，并且一旦代理设备已被认证，注册表可以简单地向应用提供装置提供相应的应用密钥信息。
[0012]但是在认证成功时，如果注册表装置向代理设备和应用提供装置全部二者都传送应用密钥信息，则可以实现更高的安全性。举例来说，每次在代理设备与特定的应用提供装置之间建立通信时，注册表可以生成新的应用密钥。这种方法允许代理设备对于不同的应用提供装置使用不同的密钥，并且降低应用密钥被暴露的几率，从而提高在这些设备之间交换的数据的安全性。
[0013]如果认证成功，则注册表还可以向应用提供装置提供代理设备的设备标识符，以例如允许应用提供商把通信与特定用户账户相关联。
[0014]除了代理设备的认证之外，还可以有在注册表装置与应用提供装置之间实施认证的步骤。因此，注册表可以认证应用和代理设备二者，以确保其间的信任。
[0015]设备注册表对于每一个代理设备可以包括至少一个应用标识符，其标识出代理设备将与之实施受信任通信的至少一个应用提供装置。当代理设备已被认证时，注册表可以向在注册表中表明的用于该代理设备的任何应用提供装置传送应用密钥信息。可以响应于应用关联请求在设备注册表中注册应用标识符，所述应用关联请求表明指定的应用提供装置，并且向注册表通知所述指定应用提供装置将被注册为指定代理设备将与之通信的应用。举例来说，应用提供装置可以确定特定用户账户与传感器标识符之间的关联，并且可以随后向注册表通知其将与哪一个传感器通信。或者，可以由注册表从除了应用提供装置之外的其他设备(比如用户从中选择了将对于代理设备使用的应用的应用商店)接收应用关联请求。
[0016]认证信息可以包括用于认证接收自代理设备的消息的密钥信息。该密钥信息可以采取多种形式，并且例如可以包括对称密钥，其中代理设备和注册表装置各自持有相同的密钥信息以用于加密/解密消息，或者可以包括不对称密钥集合，比如由代理设备持有的私钥和由注册表持有的相应的公钥。
[0017]代理设备的认证可以包括代理设备与注册表装置之间的相互认证。因此，除了由注册表装置认证代理设备之外，代理设备还可以例如利用注册表认证信息来验证注册表装置的身份从而认证注册表。通过这种方式，代理设备可以确认其正与之通信的注册表是受信任注册表。
[0018]从另一方面来看，本发明提供一种用于在代理设备与应用提供装置之间建立受信任通信的注册表装置，包括:
[0019]被配置成存储设备注册表的存储电路，所述设备注册表包括用于唯一地认证至少一个代理设备的认证信息；
[0020]被配置成从代理设备接收表明代理设备的设备标识符的认证请求的通信电路；以及
[0021]被配置成利用用于通过由认证请求表明的设备标识符所标识出的代理设备的设备注册表的认证信息来实施代理设备的认证的处理电路；
[0022]其中，如果认证是成功的，则通信电路被配置成向代理设备和应用提供装置的至少其中之一传送应用密钥信息，以用于在代理设备与应用提供装置之间实施受信任通信。
[0023]从另一方面来看，本发明提供一种用于在代理设备与应用提供装置之间建立受信任通信的注册表装置，包括:
[0024]用于存储设备注册表的存储部件，所述设备注册表包括用于唯一地认证至少一个代理设备的认证信息；
[0025]用于从代理设备接收表明代理设备的设备标识符的认证请求的通信部件；以及
[0026]用于利用用于通过由认证请求表明的设备标识符所标识出的代理设备的设备注册表的认证信息来实施代理设备的认证的处理部件；
[0027]其中，如果认证是成功的，则通信部件被配置成向代理设备和应用提供装置的至少其中之一传送应用密钥信息，以用于在代理设备与应用提供装置之间实施受信任通信。
[0028]从另一方面来看，本发明提供一种用于代理设备利用保持代理设备的设备注册表的注册表装置建立与应用提供装置的受信任通信的方法，其中所述代理设备被配置成存储代理设备的设备标识符以及用于唯一地认证代理设备的认证信息；所述方法包括以下步骤:
[0029](a)向注册表装置传送表明设备标识符的认证请求；
[0030](b)利用由代理设备存储的认证信息对注册表装置实施认证；以及
[0031](C)如果认证是成功的，则从注册表装置接收应用密钥信息，并且利用应用密钥信息实施与应用提供装置的受信任通信。
[0032]按照相应的方式，代理设备可以通过向注册表装置传送认证请求来建立信任通信。在对于注册表装置实施认证之后，代理设备可以从注册表装置接收应用密钥信息并且随后利用应用密钥信息实施与应用提供装置的受信任通信。这种技术允许建立与应用提供装置的受信任通信，而无需代理设备本身持有用于联系或认证应用提供装置的资源。
[0033]可以响应于代理设备的激活自动向注册表装置传送认证请求。举例来说，所述激活可以包括将代理设备通电，部署代理设备或者将其安装在特定设定中，或者按下代理设备上的按钮。可以在没有用户交互的情况下自动传送认证请求。因此，可以在没有复杂用户交互的情况下非常简单地建立与应用提供装置的通信的配置。通过简单地激活代理设备，可以向注册表发送自动认证请求，并且注册表可以随后为应用提供商建立用于通信的应用密钥。
[0034]代理设备可以具有嵌入在其中的注册表认证信息以用于在相互认证期间对注册表装置进行认证。举例来说，注册表认证信息可以包括对应于注册表所持有的注册表私钥的公钥。
[0035]为了增强安全性，由代理设备保持的认证信息可以被存储在受保护区段中。举例来说，只有受信任的软件可能够从受保护区段读取认证信息。
[0036]受信任通信可以利用应用密钥信息在代理设备与应用提供装置之间直接进行，而无需信息经过注册表装置。因此，一旦建立了受信任通信并且代理设备已被认证，则注册表装置就可以不再发挥作用以免妨碍受信任通信。这样也避免了潜在的安全性问题，这是因为受信任通信并不经过注册表。
[0037]受信任通信可以是利用应用密钥信息加密的已加密通信。应用密钥信息可以是对称密钥，其中应用提供装置和代理设备都利用对称密钥来加密其消息，并且随后利用相同的密钥解密接收自另一方的消息。举例来说，可以每次在特定传感器与特定应用之间建立链接时由注册表生成一次性会话密钥。或者可以生成不对称密钥对以作为应用密钥信息，其中代理设备和应用提供装置当中的每一个提供有其自身的用于受信任通信的私钥以及对应于另一装置的私钥的公钥。但是不对称密钥对于安全性来说常常可能是足够的，并且这种方法可以降低实施注册表的成本。
[0038]代理设备可以被配置成存储标识注册表装置的注册表地址。举例来说，注册表地址可以是注册表的URL或IP地址。可以向通过注册表地址标识出的注册表装置传送认证请求。因此，代理设备可以具有用于联系注册表的简单信息项而不需要包含用于联系应用提供装置的任何信息，因为这可以利用注册表来建立。
[0039]从另一方面来看，本发明提供一种用于利用保持代理设备的设备注册表的注册表装置建立与应用提供装置的受信任通信的代理设备，包括:
[0040]被配置成存储代理设备的设备标识符和用于唯一地认证代理设备的认证信息的存储电路；
[0041]被配置成向注册表装置传送表明设备标识符的认证请求的通信电路；以及
[0042]被配置成利用由存储电路存储的认证信息对于注册表装置实施认证的处理电路；
[0043]其中，通信电路被配置成在认证成功的情况下接收来自注册表装置的应用密钥信息，并且被配置成利用应用密钥信息实施与应用提供装置的受信任通信。
[0044]从另一方面来看，本发明提供一种用于利用保持代理设备的设备注册表的注册表装置建立与应用提供装置的受信任通信的代理设备，包括:
[0045]用于存储代理设备的设备标识符和用于唯一地认证代理设备的认证信息的存储部件；
[0046]用于向注册表装置传送表明设备标识符的认证请求的通信部件；以及
[0047]用于利用由存储部件存储的认证信息对于注册表装置实施认证的处理部件；
[0048]其中，通信部件被配置成在认证成功的情况下接收来自注册表装置的应用密钥信息，并且被配置成利用应用密钥信息实施与应用提供装置的受信任通信。
[0049]从另一方面来看，本发明提供一种用于应用提供装置利用保持代理设备的设备注册表的注册表装置建立与代理设备的受信任通信的方法，所述方法包括:
[0050](a)从注册表装置接收已经利用设备注册表认证的代理设备的设备标识符；
[0051](b)从注册表装置接收应用密钥信息以用于实施与代理设备的受信任通信；以及
[0052](C)利用应用密钥信息实施与通过设备标识符标识出的代理设备的受信任通信。
[0053]按照对应于前面讨论的方法的方式，应用提供装置可以从注册表装置接收经过认证的代理设备的设备标识符以及用于实施与代理设备的受信任通信的应用密钥信息。应用提供商随后可以利用应用密钥信息实施与代理设备的受信任通信。受信任通信例如可以包括向代理设备发出命令或者从代理设备接收数据。
[0054]应用提供装置可以向注册表装置认证其自身，并且可以认证注册表装置以建立相互?目任。
[0055]应用提供装置可以向注册表装置传送应用关联请求，以将其自身注册为指定代理设备将与之通信的应用。这样就允许注册表把应用提供商关联到代理设备，而无需代理设备的用户或代理设备本身实施任何配置。
[0056]应用提供装置还可以接收表明指定代理设备的设备标识符的设备关联请求以及将与该设备相关联的用户的用户标识符。举例来说，用户可以使用web接口或智能电话应用把用户标识符与指定代理设