定用户账户。在步骤6处,智能电话应用或健康护理提供商的平台6向注册表8发送应用关联请求,从而把应用ID关联到设备ID。因此,现在注册表可以把代理设备与特定应用相关联,并且应用提供商可以把代理设备ID与特定用户相关联。图21的步骤7-11随后分别按照图20的步骤6-10的相同方式进行。
[0157]图22示出了第三使用情况,其中由用户购买“自购设备”(BYOD)传感器4,并且其中用户可以自由选择几个不同的应用提供商当中的一个以便与传感器4 一同使用。物联网(1T)应用商店400被用来作出这一选择。图22中的步骤1-4与图21中相同。同样地,传感器4被销售给零售商,零售商继续将其销售给末端用户。在步骤5处,用户在智能电话、平板设备或计算机上运行应用商店400,并且同样地使用QR代码或类似的技术来收集传感器4的设备ID。在步骤6处,应用商店400对于注册表8验证传感器的设备ID。举例来说,应用商店400可以查询注册表8,以便确定由代理设备使用的认证模型或者代理设备的其他能力,并且随后可以准备与代理设备4 一同工作的兼容应用的菜单。为用户提供应用菜单,用户选择所期望的应用、运行所述应用并且登录。在步骤7处,应用商店利用用户的选择更新注册表,从而使得注册表把传感器的设备ID与所选应用的应用标识符相关联。应用商店还把传感器的设备ID和用户ID发送到所选择的应用提供商6,从而使其可以把用户ID和传感器ID关联在一起。此时,注册表8知道特定传感器4将与哪一个应用通信,并且应用提供商知道哪一个顾客与该传感器4相关联。然后图22的步骤8-12分别与图21的步骤7-11相同,其中发生传感器4与注册表22之间的相互认证,并且随后在传感器4与应用提供商6之间建立安全的通信。
[0158]图23示出了第四使用情况,其中代理设备4被使用在大规模工业或政府部署中而不是被使用在个人健康护理中。在该例中,代理设备是安装在街灯上的传感器4,其把关于街灯的操作的数据反馈到云端平台,维护提供商随后可以例如使用所述数据来确定哪些街灯需要维修。同样地,步骤1-3与图20-22中相同。在步骤4处,制造包含传感器的产品并且将其提供给承包商。举例来说,可以制造具有集成传感器的街灯,或者可以与街灯分开制造包含传感器的产品以用于在后来的某一阶段安装到街灯上。此时可以更新注册表,以便向特定服务提供商6反映出传感器4的规模,或者这可以在后来的步骤5处安装传感器和街灯时进行,此时承包商可以使用智能电话应用或类似的设备来扫描产品ID或者提供用于传感器4的GPS位置数据。在步骤6处,承包商的设备可以把传感器4的设备ID连同将使用来自传感器4的传感器数据的应用6的应用标识符一起发送到注册表。智能电话应用可以是允许承包商发出将传感器4关联到特定应用6的关联请求的一种简单的方式,而无需承包商理解正在发生的事情。
[0159]在步骤7处,在代理设备4激活时(例如在通电时),街灯中的代理设备直接联系注册表以建立相互认证,正如前面所讨论的那样。一旦建立认证,在步骤8处,注册表向开发或部署所述基于物联网(1T)的系统的服务提供商6通知新的街灯和代理设备被安装,并且通过有效认证的实例身份上线。在步骤9处,服务提供商6请求应用密钥以用于安全通信。在步骤10处,注册表8向服务提供商6和代理设备本身提供对称应用密钥。随后直接安全通信开始,并且服务提供商6的1T平台利用由传感器4提供的传感器数据来执行应用。顾客(比如城市管理办公室或者维护承包商公司)例如还可以利用web平台来访问1T系统(步骤11)。因此,在图23的实例中,注册表8的使用简化了承包商安装装备的工作,这是因为承包商可以简单地装配代理设备、扫描代码和/或利用简单的措施(比如插入电源或者按下单个按钮)激活代理设备,随后注册表8负责认证代理设备并且建立与应用提供装置6的连接。承包商不需要花费时间与用于配置代理设备的用户接口进行交互。
[0160]虽然在这里描述了特定的实施例,但是应当认识到,本发明不限于此,并且在本发明的范围内可以作出许多修改和添加。举例来说,在独立权利要求的特征不背离本发明的范围的情况下,可以作出后面的从属权利要求的特征的各种组合。
【主权项】
1.一种用于注册表装置在代理设备与应用提供装置之间建立受信任通信的方法,其中注册表装置保持包括用于唯一地认证至少一个代理设备的认证信息的设备注册表;所述方法包括以下步骤: (a)从代理设备接收指定代理设备的设备标识符的认证请求; (b)从设备注册表获得用于通过由认证请求指定的设备标识符所标识出的代理设备的认证信息; (C)利用从设备注册表获得的认证信息实施代理设备的认证;以及(d)如果认证成功,则向代理设备和应用提供装置的至少其中之一传送应用密钥信息,以用于在代理设备与应用提供装置之间实施受信任通信。2.根据权利要求1所述的方法,其中,如果认证成功,则所述传送步骤向代理设备和应用提供装置传送应用密钥信息。3.根据权利要求1或2中任一所述的方法,其中,如果认证成功,则向应用提供装置传送代理设备的设备标识符。4.根据任一在前权利要求所述的方法,包括在注册表装置与应用提供装置之间实施认证的步骤。5.根据任一在前权利要求所述的方法,其中,向至少一个应用提供装置传送应用密钥信息,所述至少一个应用提供装置在设备注册表中被标识成代理设备将实施与其的受信任通信的应用提供装置。6.根据权利要求5所述的方法,其中,响应于表明指定应用提供装置和指定代理设备的设备标识符的应用关联请求,注册表装置更新设备注册表,以便把所述指定应用提供装置标识成用于所述指定代理设备的所述至少一个应用提供装置中的一个。7.根据任一在前权利要求所述的方法,其中,所述认证信息包括用于认证接收自代理设备的消息的密钥信息。8.根据任一在前权利要求所述的方法,其中,所述认证包括代理设备与注册表装置之间的相互认证。9.一种用于在代理设备与应用提供装置之间建立受信任通信的注册表装置,包括: 被配置成存储设备注册表的存储电路,所述设备注册表包括用于唯一地认证至少一个代理设备的认证信息; 被配置成从代理设备接收指定代理设备的设备标识符的认证请求的通信电路;以及被配置成利用用于通过由认证请求指定的设备标识符所标识出的代理设备的设备注册表的认证信息来实施代理设备的认证的处理电路; 其中,如果认证是成功的,则通信电路被配置成向代理设备和应用提供装置的至少其中之一传送应用密钥信息,以用于在代理设备与应用提供装置之间实施受信任通信。10.—种用于在代理设备与应用提供装置之间建立受信任通信的注册表装置,包括: 用于存储设备注册表的存储部件,所述设备注册表包括用于唯一地认证至少一个代理设备的认证信息; 用于从代理设备接收指定代理设备的设备标识符的认证请求的通信部件;以及用于利用用于通过由认证请求指定的设备标识符所标识出的代理设备的设备注册表的认证信息来实施代理设备的认证的处理部件; 其中,如果认证是成功的,则通信部件被配置成向代理设备和应用提供装置的至少其中之一传送应用密钥信息,以用于在代理设备与应用提供装置之间实施受信任通信。11.一种用于代理设备利用保持代理设备的设备注册表的注册表装置建立与应用提供装置的受信任通信的方法,其中所述代理设备被配置成存储代理设备的设备标识符以及用于唯一地认证代理设备的认证信息;所述方法包括以下步骤: (a)向注册表装置传送指定设备标识符的认证请求; (b)利用由代理设备存储的认证信息对于注册表装置实施认证;以及 (C)如果认证是成功的,则从注册表装置接收应用密钥信息,并且利用应用密钥信息实施与应用提供装置的受信任通信。12.根据权利要求11所述的方法,其中,响应于代理设备的激活自动地向注册表装置传送认证请求。13.根据权利要求11或12中任一所述的方法,其中,在没有用户交互的情况下自动地向注册表装置传送认证请求。14.根据权利要求11到13中任一所述的方法,其中,所述认证包括利用所述认证信息和用于认证注册表装置的注册表认证信息在注册表装置与代理设备之间进行的相互认证。15.根据权利要求11到14中任一所述的方法,其中,所述认证信息被存储在代理设备的受保护区段中。16.根据权利要求11到15中任一所述的方法,其中,所述受信任通信包括代理设备与应用提供装置之间的直接通信而没有通过注册表装置的通信。17.根据权利要求11到16中任一所述的方法,其中,所述受信任通信包括利用应用密钥信息加密的已加密通信。18.根据权利要求11到17中任一所述的方法,其中,所述代理设备被配置成存储标识出注册表装置的注册表地址,并且向通过注册表地址标识出的注册表装置传送认证请求。19.一种用于利用保持代理设备的设备注册表的注册表装置建立与应用提供装置的受信任通信的代理设备,包括: 被配置成存储代理设备的设备标识符和用于唯一地认证代理设备的认证信息的存储电路; 被配置成向注册表装置传送指定设备标识符的认证请求的通信电路;以及 被配置成利用由存储电路存储的认证信息对于注册表装置实施认证的处理电路; 其中,通信电路被配置成在认证成功的情况下接收来自注册表装置的应用密钥信息,并且被配置成利用应用密钥信息实施与应用提供装置的受信任通信。20.—种用于利用保持代理设备的设备注册表的注册表装置建立与应用提供装置的受信任通信的代理设备,包括: 用于存储代理设备的设备标识符和用于唯一地认证代理设备的认证信息的存储部件; 用于向注册表装置传送指定设备标识符的认证请求的通信部件;以及 用于利用由存储部件存储的认证信息对于注册表装置实施认证的处理部件; 其中,通信部件被配置成在认证成功的情况下接收来自注册表装置的应用密钥信息,并且被配置成利用应用密钥信息实施与应用提供装置的受信任通信。21.—种用于应用提供装置利用保持代理设备的设备注册表的注册表装置建立与代理设备的受信任通信的方法,所述方法包括: (a)从注册表装置接收已经利用设备注册表进行认证的代理设备的设备标识符; (b)从注册表装置接收应用密钥信息,以用于实施与代理设备的受信任通信;以及 (C)利用应用密钥信息实施与通过设备标识符标识出的代理设备的受信任通信。22.根据权利要求21所述的方法,包括在应用提供装置与注册表装置之间实施认证的步骤。23.根据权利要求21或22中任一所述的方法,包括向注册表装置传送应用关联请求的步骤,所述应用关联请求指定标识出应用提供装置的应用标识符以及将作为实施与应用提供装置的受信任通信的代理设备而被注册在设备注册表中的代理设备的设备标识符。24.根据权利要求21到23中任一所述的方法,包括接收设备关联请求的步骤,所述设备关联请求表明指定代理设备的设备标识符和将与指定代理设备相关联的用户的用户标识符。25.根据权利要求24所述的方法,包括向注册表装置传送应用关联请求的步骤,所述应用关联请求请求把在设备关联请求中指定的指定代理设备注册在设备注册表中以作为用于实施与应用提供装置的受信任通信的代理设备。26.根据权利要求21到25中任一所述的方法,其中,所述受信任通信包括代理设备与应用提供装置之间的直接通信而没有通过注册表装置的通信。27.根据权利要求21到26中任一所述的方法,其中,所述受信任通信包括利用应用密钥信息加密的已加密通信。28.根据权利要求21到27中任一所述的方法,包括利用在受信任通信中接收自代理设备的数据来执行应用程序的步骤。29.—种用于利用保持代理设备的设备注册表的注册表装置建立与代理设备的受信任通信的应用提供装置,包括: 被配置成从注册表装置接收已经利用设备注册表进行认证的代理设备的设备标识符以及用于实施与代理设备的受信任通信的应用密钥信息的通信电路; 其中,通信电路被配置成利用接收自注册表装置的应用密钥信息实施与通过设备标识符标识出的代理设备的受信任通信。30.—种用于利用保持代理设备的设备注册表的注册表装置建立与代理设备的受信任通信的应用提供装置,包括: 用于从注册表装置接收已经利用设备注册表进行认证的代理设备的设备标识符以及用于实施与代理设备的受信任通信的应用密钥信息的通信部件; 其中,通信部件被配置成利用接收自注册表装置的应用密钥信息实施与通过设备标识符标识出的代理设备的受信任通信。31.—种用于利用保持设备注册表的注册表装置在代理设备与应用提供装置之间建立受信任通信的方法,所述设备注册表包括用于唯一地认证至少一个代理设备的认证信息;所述方法包括以下步骤: (a)从代理设备向注册表装置传送认证请求,所述认证请求指定代理设备的设备标识符; (b)从设备注册表获得用于通过由认证请求指定的设备标识符所标识出的代理设备的认证信息; (C)利用从设备注册表获得的认证信息实施代理设备的认证;以及(d)如果认证成功,则从注册表装置向代理设备和应用提供装置的至少其中之一传送应用密钥信息,并且利用应用密钥信息在代理设备与应用提供装置之间实施受信任通信。32.—种为用于实施与至少一个应用提供装置的受信任通信的代理设备建立受信任身份的方法,,包括以下步骤: (a)生成用于唯一地认证代理设备的第一认证信息以及用于验证代理设备具有第一认证信息的第二认证信息; (b)在代理设备中嵌入第一认证信息以及标识代理设备的设备标识符;以及 (C)把设备标识符和第二认证信息传送到用于保持代理设备的设备注册表的注册表装置,所述代理设备用于与所述至少一个应用提供装置进行通信。33.特别是参照附图基本上如这里所描述的装置、设备或方法。
【专利摘要】提供用于保持与应用提供装置(6)进行通信的代理设备(4)的设备注册表的注册表装置(8)。注册表(8)包括用于唯一地认证至少一个受信任代理设备(4)的认证信息。响应于来自代理设备(4)的认证请求(154),从注册表(8)获得用于该设备(4)的认证信息,并且实施代理设备(4)的认证(156)。如果认证成功,则向代理设备(4)和应用提供装置(6)的至少其中之一传送应用密钥信息(30)。
【IPC分类】H04W12/06, H04L29/06, H04W12/04, H04W4/00, H04L29/08
【公开号】CN105684483
【申请号】
【发明人】W·A·库尔蒂斯, D·M·安森, K·M·巴拉恩扎
【申请人】阿姆Ip有限公司
【公开日】2016年6月15日
【申请日】2014年10月15日