IoT设备认证的制作方法

物联网(“iot”)通常是指能够通过网络进行通信的设备的系统，其中通信包括数据通过网络的通信。设备可以包括日常物品，诸如烤面包机、咖啡机、恒温器系统、洗衣机、烘干机、灯、汽车等。网络通信可以被用于设备自动化、数据捕获、提供警报、设置的个性化以及很多其他应用。

技术实现要素：

提供本发明内容是为了以简化的形式介绍一些概念，这些概念将在下面的具体实施方式中被进一步描述。本发明内容并不旨在标识所要求保护的主题内容的关键特征或必要特征，也并不旨在被用于限制所要求保护的主题内容的范围。

简而言之，所公开的技术总体上涉及iot环境中的设备认证。例如，这样的技术可用于向iot集线器认证iot设备。在技术的一个示例中，数据字段目标针对iot设备而被接收。数据字段目标可以包括至少一个设备身份数据字段目标和至少一个遥测数据字段目标。数据字段条目在第一时间从iot设备被接收。数据字段条目可以包括至少一个设备身份数据字段条目和至少一个遥测数据字段条目。确定关于数据字段条目是否与针对iot设备的对应的数据字段目标匹配而被进行。iot设备基于该确定被选择性地允许连接到iot集线器。

本公开的示例允许基于iot设备由于iot设备被部署在物理环境中而生成的数据来标识iot设备。针对iot设备的标识数据可以是不同类型的。由iot设备生成的多种类型的数据可以被聚合以创建更强的身份。这种数据中的一些数据可以作为iot设备的常规操作的一部分而被生成，并且一些数据可以专门被生成以用于在标识iot设备时使用。以这种方式，唯一身份可以被提供给向大量iot设备中的每个iot设备，从而使得iot设备可以按照可缩放的方式被安全地、唯一地寻址。

在阅读和理解附图和说明书之后，将能够领会到所公开的技术的其他方面和应用。

附图说明

参考附图描述本公开的非限制性和非穷举性示例。在附图中，除非另有说明，否则相同的附图标记在各个附图中指代相同的部件。这些附图不一定按比例绘制。

为了更好地理解本公开，将参考将结合附图而被阅读的以下具体实施方式，在附图中：

图1是示出在其中本技术的各方面可以被采用的合适环境的一个示例的框图；

图2是示出根据所公开的技术的各方面的合适计算设备的一个示例的框图；

图3是示出用于iot认证的系统的示例的框图；

图4是示出用于针对iot认证的过程的示例数据流的示图；以及

图5是示出根据本公开的各方面的用于iot认证的过程的示例的逻辑流程图。

具体实施方式

以下描述提供用于彻底理解和实现该技术的各种示例的描述的具体细节。本领域技术人员将理解，可以在没有很多这些细节的情况下实现该技术。在一些情况下，没有详细示出或描述公知的结构和功能，以避免不必要地模糊对技术的示例的描述。本公开中使用的术语旨在以其最广泛的合理方式解释，即使其与该技术的某些示例的详细描述一起使用。尽管下面可以强调某些术语，但是旨在以任何受限制的方式解释的任何术语将在具体实施方式部分中被明确地和具体地定义。在整个说明书和权利要求书中，除非上下文另有指示，否则以下术语至少采用本文中明确相关的含义。下面确定的含义不一定限制术语，而仅仅提供术语的说明性示例。例如，术语“基于(basedon)”和“基于(basedupon)”中的每个不是排他性的，并且等同于术语“至少部分地基于(based,atleastinpart,on)”，并且包括基于其他因素的选项，其中的一些因素可能在本文中没有描述。作为另一示例，术语“经由”不是排他性的，并且等同于术语“至少部分经由”，并且包括经由附加因素的选择，其中的一些因素可能在本文中没有描述。“在……中(in)”的含义包括“在……中(in)”和“在……上(on)”。本文中使用的短语“在一个实施例中”或“在一个示例中”尽管可以但是不一定是指相同的实施例或示例。特定的文本数字指示符的使用并不表示存在较低值的数字指示符。例如，陈述“从包括第三foo和第四bar的组中选择的小部件”本身并不表示存在至少三个foo，也不表示存在至少四个bar元素。除非明确排除多个引用，否则单数引用仅仅是为了阅读的清楚并且包括复数引用。除非另有明确说明，否则术语“或”是包含性的“或”运算符。例如，短语“a或b”表示“a、b或a和b”。如本文中使用的，术语“组件”和“系统”旨在包含硬件、软件或硬件和软件的各种组合。因此，例如，系统或组件可以是过程、在计算设备上执行的过程、计算设备或它们的一部分。术语“iot集线器”不限于一种特定类型的iot服务，而是指代在配置之后iot设备要与之通信以获取至少一个iot解决方案或iot服务的设备。也就是说，在整个说明书和权利要求中使用的术语“iot集线器”对于任何iot解决方案是通用的。

简而言之，所公开的技术总体上涉及iot环境中的设备认证。例如，这样的技术可用于向iot集线器认证iot设备。在该技术的一个示例中，数据字段目标针对iot设备(即，与iot设备相关联)而被接收。数据字段目标可以包括至少一个设备身份数据字段目标和至少一个遥测数据字段目标。数据字段条目在第一时间从iot设备被接收。数据字段条目可以包括至少一个设备身份数据字段条目和至少一个遥测数据字段条目。确定关于数据字段条目是否与针对iot设备的对应的数据字段目标匹配而被进行。iot设备基于该确定被选择性地允许连接到iot集线器。

iot设备倾向于小型、低功率、低成本和大数量。向大量iot设备提供唯一身份以使得iot设备可以安全且唯一地被寻址通常并不简单。iot设备通常很小并且通常可能不是非常可访问，并且因此经由通过键盘等输入口令的认证通常不可能、不方便或不切实际。此外，当设备被制造时，通常不知道设备最终将如何以及在何处部署。

本公开的示例允许基于iot设备由于iot设备被部署在物理环境中而生成的数据来标识iot设备。针对iot设备的标识数据可以是不同类型。由iot设备生成的多种类型的数据可以被聚合以创建更强的身份。这种数据中的一些数据可以作为iot设备的常规操作的一部分而被生成，并且一些可以专门被生成以用于标识iot设备。数据可以包括身份等，诸如序列号或其他形式的身份，并且可以包括遥测数据，诸如温度、湿度、光数据、位置数据等。如果数据与身份不匹配，则iot设备到iot集线器的连接可以被禁止，直到和/或除非iot设备例如由设备持有者经由设备门户进行验证。

以这种方式，唯一身份可以被提供给大量iot设备中的每个iot设备，从而使得iot设备可以按照可缩放的方式安全地唯一地被寻址。在一些实施例中，可以采用该技术来在没有诸如可信平台模块(tpm)等安全存储机制的情况下认证iot设备。

本公开的示例可以允许具有已知数据输出的任何iot设备通过数据的简档而被标识。在一些示例中，设备身份可以通过聚合来自iot设备的多个数据流而被使得更强。针对更关键的设备，附加的硬件可以被添加以实现更强的身份。本公开的示例允许iot设备的缩放部署，而不依赖于在iot设备上具有对称或非对称密钥。在一些示例中，可以根据部署方案和iot设备的关键性来调节iot设备的安全性。

说明性设备/操作环境

图1是其中本技术的各方面可以被实践的环境100的示图。如图所示，环境100包括经由网络130连接的计算设备110以及网络节点120。尽管图1中示出了环境100的特定组件，但是在其他示例中，环境100也可以包括附加和/或不同的组件。例如，在某些示例中，环境100还可以包括网络存储设备、维护管理器和/或其他合适的组件(未示出)。图1中所示的计算设备110可以处于各种位置，包括在室内，在云中等。例如，计算机设备110可以在客户端侧、服务器侧等。

如图1中所示，网络130可以包括互连多个计算设备110并且将计算设备110连接到外部网络140(例如，因特网或内联网)的一个或多个网络节点120。例如，网络节点120可以包括交换机、路由器、集线器、网络控制器或其他网络元件。在某些示例中，计算设备110可以被组织成机架、动作区域、组、集合或其他合适的划分。例如，在所示示例中，计算设备110被分组为分别标识为第一主机集合、第二主机集合和第三主机集合112a-112c的三个主机集合。在所示示例中，主机集合112a-112c中的每个主机集合分别可操作地被耦合到对应的网络节点120a-120c，网络节点通常被称为“架顶”或“tor”网络节点。然后，tor网络节点120a-120c可以可操作地被耦合到附加网络节点120以形成允许计算设备110与外部网络140之间的通信的分层、平面、网状或其他合适类型的拓扑的计算机网络。在其他示例中，多个主机集合112a-112c可以共享单个网络节点120。计算设备110实际上可以是任何类型的通用或专用计算设备。例如，这些计算设备可以是用户设备，诸如台式计算机、膝上型计算机、平板计算机、显示设备、相机、打印机或智能电话。然而，在数据中心环境中，这些计算设备可以是服务器设备，诸如应用服务器计算机、虚拟计算主机计算机或文件服务器计算机。此外，计算设备110可以单独地被配置为提供计算、存储和/或其他合适的计算服务。

在一些示例中，计算设备110中的一个或多个计算设备是iot设备、制造商设备、部署商设备、包括部分或全部iot集线器的设备、包括部分或全部设备门户服务的设备等，如下面更详细地讨论的。

说明性计算设备

图2是示出其中本技术的各方面可以被实践的计算设备200的一个示例的示图。计算设备200实际上可以是任何类型的通用或专用计算设备。例如，计算设备200可以是用户设备，诸如台式计算机、膝上型计算机、平板计算机、显示设备、相机、打印机或智能电话。同样地，计算设备200也可以是服务器设备，诸如应用服务器计算机、虚拟计算主计算机或文件服务器计算机，例如，计算设备200可以是图1的计算设备110或网络节点120的示例。计算设备200也可以是被连接到网络以接收iot服务的iot设备。同样地，计算机设备200可以是图3至图5中示出或参考的任何设备的示例，如下面更详细地讨论的。如图2中所示，计算设备200包括处理电路210、操作存储器220、存储器控制器230、数据存储存储器250、输入接口260、输出接口270和网络适配器280。计算设备200的这些前面列出的组件中的每个组件包括至少一个硬件元件。

计算设备200包括被配置为执行指令的至少一个处理电路210，诸如用于实现本文中描述的工作负载、过程或技术的指令。处理电路210可以包括微处理器、微控制器、图形处理器、协处理器、现场可编程门阵列、可编程逻辑器件、信号处理器或适合于处理数据的任何其他电路。上述指令以及其他数据(例如，数据集、元数据、操作系统指令等)可以在计算设备200的运行时间期间被存储在操作存储器220中。操作存储器220还可以包括多种数据存储设备/组件中的任何一种，诸如易失性存储器、半易失性存储器、随机存取存储器、静态存储器、高速缓存、缓冲器或用于存储运行时信息的其他介质。在一个示例中，当计算设备200断电时，操作存储器220不保留信息。相反，作为引导或其他加载过程的一部分，计算设备200可以被配置为将指令从非易失性数据存储组件(例如，数据存储组件250)传输到操作存储器220。

操作存储器220可以包括第四代双倍数据速率(ddr4)存储器、第三代双倍数据速率(ddr3)存储器、其他动态随机存取存储器(dram)、高带宽存储器(hbm)、混合存储器立方体存储器、3d堆叠存储器、静态随机存取存储器(sram)或其他存储器，并且这种存储器可以包括集成到dimm、simm、sodimm或其他封装件上的一个或多个存储器电路。这样的操作存储器模块或设备可以根据通道、等级和库来组织。例如，操作存储器设备可以经由通道中的存储器控制器230被耦合到处理电路210。计算设备200的一个示例可以每个通道包括一个或两个dimm，其中每个通道具有一个或两个等级。等级内的操作存储器可以与共享时钟、共享地址和命令总线一起操作。而且，操作存储器设备可以被组织成几个存储体，其中存储体可以被认为是由行和列寻址的阵列。基于这种操作存储器组织，操作存储器内的物理地址可以由通道、等级、存储体、行和列的元组引用。

尽管有上述讨论，但是操作存储器220具体而言并不包括或包含通信介质、任何通信介质或任何信号本身。

存储器控制器230被配置为将处理电路210对接到操作存储器220。例如，存储器控制器230可以被配置为对接操作存储器220与处理电路210之间的命令、地址和数据。存储器控制器230也可以被配置为抽象或以其他方式管理处理电路210的存储器管理的某些方面。虽然存储器控制器230被示出为与处理电路210分开的单个存储器控制器，但是在其他示例中，可以采用多个存储器控制器，(多个)存储器控制器可以被与操作存储器220集成，等等。此外，(多个)存储器控制器可以被集成到处理电路210中。这些和其他变化是可能的。

在计算设备200中，数据存储存储器250、输入接口260、输出接口270和网络适配器280通过总线240被对接到处理电路210。虽然图2将总线240示出为单个无源总线，但是其他配置也可以适当地用于将数据存储存储器250、输入接口260、输出接口270或网络适配器280对接到处理电路210，诸如总线集合、点对点链路的集合、输入/输出控制器、桥接器、其他接口电路或其任何集合。

在计算设备200中，数据存储存储器250被用于长期非易失性数据存储。数据存储存储器250可以包括各种非易失性数据存储设备/组件中的任何一种，诸如非易失性存储器、磁盘、磁盘驱动器、硬盘驱动器、固态驱动器或可以被用于信息的非易失性存储的任何其他介质。然而，数据存储存储器250具体地不包括或包含通信介质、任何通信介质或任何信号本身。与操作存储器220相反，数据存储存储器250被计算设备200用于非易失性长期数据存储，而不是用于运行时数据存储。

此外，计算设备200可以包括或被耦合到任何类型的处理器可读介质，诸如处理器可读存储介质(例如，操作存储器220和数据存储存储器250)和通信介质(例如，通信信号和无线电波)。虽然术语处理器可读存储介质包括操作存储器220和数据存储存储器250，，无论是以单数还是复数形式使用，但是在整个说明书和权利要求中的术语“处理器可读存储介质”在本文中被定义为使得术语“处理器可读存储介质”具体地排除并且不包括通信介质、任何通信介质或任何信号本身。然而，术语“处理器可读存储介质”确实包含处理器高速缓存、随机存取存储器(ram)、寄存器存储器等。

计算设备200还包括可以被配置为使得计算设备200能够从用户或从其他设备接收输入的输入接口260。另外，计算设备200包括可以被配置为从计算设备200提供输出的输出接口270。在一个示例中，输出接口270包括帧缓冲器、图形处理器、图形处理器或加速器，并且被配置为绘出用于在单独的可视显示设备(诸如监视器、投影仪、虚拟计算客户端计算机等)上呈现的显示。在另一示例中，输出接口270包括可视显示设备，并且被配置为绘出和呈现用于观看的显示。

在所示示例中，计算设备200被配置为经由网络适配器280与其他计算设备或实体通信。网络适配器280可以包括有线网络适配器，例如以太网适配器、令牌环适配器或数字订户线(dsl)适配器。网络适配器280还可以包括无线网络适配器，例如wi-fi适配器、bluetooth适配器、zigbee适配器、长期演进(lte)适配器或5g适配器。

尽管计算设备200被示出为具有以特定布置而配置的某些组件，但是这些组件和布置仅仅是可以采用该技术的计算设备的一个示例。在其他示例中，数据存储存储器250、输入接口260、输出接口270或网络适配器280可以直接地被耦合到处理电路210，或者经由输入/输出控制器、桥接器或其他接口耦合电路到处理电路210。该技术的其他变体是可能的。

计算设备200的一些示例包括适于存储运行时数据的至少一个存储器(例如，操作存储器220)和分别适于执行处理器可执行代码的至少一个处理器(例如，处理单元210)，这些处理器可执行代码响应于执行而使得计算设备200能够执行动作。在一些示例中，计算设备200能够执行诸如下面的图4或图5的过程中的动作或者由下面的图3中的一个或多个计算设备执行的过程中的动作等动作。

说明性系统

图3是示出用于iot通信的系统(300)的示例的框图。系统300可以包括网络330、iot集线器351、iot设备341-343、制造商设备311、部署商设备312和设备门户服务313，它们都被连接到网络330。术语“iot设备”指的是利用或旨在利用iot服务的设备。iot设备实际上可以包括被连接到云以使用iot服务的任何设备，包括用于遥测收集或任何其他目的。设备门户服务313包括提供设备门户的一个或多个设备。术语“iot集线器”指的是iot设备在网络上被连接到其以获取iot服务的设备或多个设备，诸如分布式系统。

iot设备341-343、制造商设备311、部署商设备312和/或包括iot集线器351和/或设备门户服务313的设备中的每个可以包括图2的计算设备200的示例。如前所述，术语“iot集线器”并不限于一种特定类型的iot服务，而是指在配置之后iot设备与其通信以用于至少一个iot解决方案或iot服务的设备。也就是说，在整个说明书和权利要求中使用的术语“iot集线器”对于任何iot解决方案是通用的。图3和说明书中的图3的对应描述示出了用于说明性目的的示例系统，其不限制本公开的范围。

网络330可以包括一个或多个计算机网络，包括有线和/或无线网络，其中每个网络可以是例如无线网络、局域网(lan)、广域网(wan)和/或诸如因特网等全球网络。在一组互连的lan上，包括基于不同架构和协议的lan，路由器用作lan之间的链路，以使得消息能够从一个lan发送到另一lan。此外，lan内的通信链路通常包括双绞线或同轴电缆，而网络之间的通信链路可以利用模拟电话线、全部或部分专用数字线路(包括t1、t2、t3和t4)、综合业务数字网(isdn)、数字用户线(dsl)、无线链路(包括卫星链路)、或本领域技术人员已知的其他通信链路。此外，远程计算机和其他相关电子设备可以经由调制解调器和临时电话链路远程被连接到lan或wan。本质上，网络330包括信息可以在iot集线器351、iot设备341-343、制造商设备311、部署商设备312和设备门户服务313之间传播的任何通信方法。

作为一个示例，iot设备341-343是旨在利用由诸如iot集线器351等一个或多个iot集线器提供的iot服务的设备。设备门户服务313包括执行动作以针对iot设备的用户提供设备门户的设备或多个设备。制造商设备311和部署商设备312分别是制造商和部署商使用的计算设备。

制造商设备311是被用于包括由包括iot设备341的iot设备的制造商进行的网络通信的功能的设备。部署商设备312是用于包括由包括iot设备341的iot设备的部署商进行的网络通信的功能的设备。设备门户服务313是可以由iot设备的用户用来管理包括iot设备341的iot设备的iot服务的服务。

系统300可以包括比仅以示例方式示出的图3所示的更多或更少的设备。

说明性过程

为了清楚起见，本文中描述的过程是在由系统的特定设备或组件以特定顺序执行的操作方面来描述的。然而，应当注意，其他过程不限于所述序列、设备或组件。例如，某些动作可以按照不同的顺序被执行，被并行地执行，省略，或者可以通过附加的动作或特征而被补充，而无论本文中是否描述了这样的顺序、并行性、动作或特征。同样地，本公开中描述的任何技术可以并入所描述的过程或其他过程中，而无论该技术是否结合过程具体描述。所公开的过程还可以在其他设备、组件或系统上执行或由其执行，而无论本文中是否描述了这样的设备、组件或系统。这些过程也可以按照各种方式被实现。例如，它们可以在制品上实现，例如，实现为被存储在处理器可读存储介质中的处理器可读指令，或者作为计算机实现的过程来执行。作为替代示例，这些过程可以被编码为处理器可执行指令并且经由通信介质传输。

图4是示出用于iot认证的过程(420)的示例数据流的示图。图4和说明书中的图4的对应描述示出了用于说明性目的的示例过程，其不限制本公开的范围。

在所示示例中，首先，发生步骤421。在步骤421，制造商设备411针对iot设备441所属的iot设备类将数据字段元素传送给iot集线器451。这里的设备“类”指的是iot设备的类型——iot设备类的一些示例包括湿度传感器、运动传感器、健身带、烤面包机、咖啡机、恒温系统、洗衣机、烘干机、灯具、汽车或任何其他合适的iot设备。在一些示例中，制造商设备411传送iot设备441所属的设备类将发送的数据字段的类型，而不传送数据字段的实际或预期值。在其他示例中，制造商设备411还发送数据字段的预期值。

在一些示例中，向制造商提供关于要提供数据字段的方式的信息，使得存在其中由制造商提供的第一件事是数据字段的模式。

如图所示，在一些示例中，接下来发生步骤422。在步骤422中，在一些示例中，部署商设备412执行针对iot设备441的配置。在这些示例中，在配置期间，部署商设备412确定针对用于iot设备441的多个数据字段的数据字段目标。在各种示例中，数据字段目标可以用于包括一个或多个身份数据字段目标、一个或多个遥测数据字段目标等的各种不同数据字段类型。身份数据字段可以包括例如序列号。在各种示例中，身份数据字段可以是用户定义的设备id、以硬件为中心的设备id、基于在iot设备441上进行的测量的id(诸如基于iot设备441的熵的id)、系统生成的设备id、在系统外部生成的设备id等。

遥测数据字段可以包括例如温度、湿度、位置数据、光数据、心率、呼吸速率等。一些或所有数据字段目标可以是范围，并且一些或所有数据字段目标可以是离散值。在一些示例中，数据字段目标可以是有条件的，诸如以其他数据字段目标或其他数据为条件。例如，一个温度范围可以是一天中的一个时间的目标，而另一温度范围可以是一天中的另一时间的目标。作为另一示例，一个湿度范围可以是一个位置处的目标，而另一湿度范围可以是另一范围处的目标。

如图所示，在一些示例中，接下来发生步骤423。在步骤423期间，可以从部署商设备412向iot集线器451传送数据字段目标。如图所示，接下来发生步骤424。在步骤424，在一些示例中，所接收的数据字段目标在一些示例中被存储在iot集线器451中。如图所示，接下来发生步骤425。在步骤425，在一些示例中，从iot设备441向iot集线器451传送数据字段条目。在一些示例中，步骤425在iot设备441被接通之后发生。在其他示例中，步骤425在另一合适的时间发生。

如图所示，接下来发生步骤426。在步骤426，iot集线器451确定从iot设备441接收的数据字段条目是否与被存储在iot集线器451中的第一iot设备的对应数据字段目标匹配。如果是，则发生步骤427，其中iot集线器451允许iot设备441连接到iot集线器451。如果不是，则发生步骤428，其中iot集线器不允许iot设备441连接到iot集线器451，并且iot集线器451向设备门户414传送警报。

尽管未在图4中示出，但是在步骤428之后，设备持有者(即，iot设备的用户)可以使用设备门户413来响应于警报并且更新数据，该数据转而被传送给iot集线器451。在连接已经被禁止并且发出警报的一些示例中，如果设备持有者希望允许iot设备连接，则可能需要安全问题的正确答案(由设备持有者，经由设备门户服务)。这些步骤可以帮助确保传感器未以未授权的方式被移动、改变、篡改等。通过在步骤426的确定是否定的时不允许连接，可以在iot设备441可以向iot集线器451发送可能不需要的数据之前禁用连接。

尽管未在图4中示出，但是设备持有者还可以使用设备门户413来重新配置数据字段目标，从而改变一个或多个数据字段目标。如果是，则在一些示例中，然后将已更新的数据字段目标从设备门户413传送到iot集线器451，并且然后iot集线器451基于重新配置来存储已更新的值。

图4示出了其中初始配置基于来自部署商设备412的通信的示例。然而，在其他示例中，初始配置可以按照不同方式完成，并且可以来自制造商设备411、设备门户413或来自其他合适的源。在各种示例中，重新配置也可以按照各种不同的方式发生。

在各种示例中，在处理完成之后，处理器稍后返回到步骤425，并且该处理再次从步骤425开始，以便稍后再次认证iot设备441。

在各种示例中，可以采用不同的身份强度。可以通过增加认证要求来使身份更强，包括例如以下中的一个或多个：要求更匹配的数据字段条目以匹配数据字段目标以进行标识，针对一些或更多数据字段目标使用较窄许可范围，或者针对一些或更多数据字段目标使用离散数据字段目标。匹配所需要的特定类型的数据字段也可能是身份强度的一个因素。而且，这些因素中的两个或更多个因素可以被组合使用以产生更强身份。

该配置定义了数据字段条目的目标，并且还包括为了能够认证iot设备而需要数据字段条目与其目标匹配的要求、以及如所讨论的为了能够认证iot设备而必须匹配的许可值范围或特定离散值。另外，如先前所讨论的，在一些示例中，一些匹配可以取决于其他值，诸如一天中的时间和/或其他合适的值。

身份的强度可以由配置实体作为配置的一部分选择，并且上下文可以是因素。例如，关键上下文和关键设备(诸如例如，核电站)可能需要特别强的身份。通常，可以根据部署方案和设备的关键性来调节设备的安全性和身份的强度。

在一些示例中，配置还可以基于对用户做出的查询。可以针对用户构建唯一的简档。例如，用户可以接收关于一天中的大多数时间或特定时间的用户位置的查询、关于环境和温度的查询等。在其他示例中，设备自动收集数据以在不查询用户的情况下构建简档，或者通过查询用户和自动收集数据的组合来构建简档。

在一些示例中，图4所示的每个网络通信是安全网络通信，其可以利用加密和其他技术来确保安全的网络通信。

根据图3和图4，iot设备可以通过数据简档而被认证。示例用例可以如下提供。

在一个示例用例中，iot设备生成温度、湿度、亮度和gps参数。该数据可以在云服务中收集，并且如果任何一个参数超出目标值，则可以采取动作。可以通过数据包络在云服务中标识iot设备，该数据包络包括一系列温度、湿度、发光度模式以及其部署位置。由于对于这种特定类型的iot设备，位置是固定的，因此在该示例中，位置成为主要标识数据流。温度和其他数据流的数据包络添加到主要位置数据流，并且这些参数一起在该示例中形成相对强的身份。如果移动设备，或者其他数据包络发生剧烈变化，则在该示例中不再在云中标识设备。

该方案表现出以下特性。可以通过添加更多参数或者通过约束所有数据流的数据包络来使设备身份更强。此外，在该示例中，设备不需要特殊键控，从而允许按比例缩放部署。

在另一示例用例中，用户佩戴的健身带发出心率和锻炼模式。健身带还生成表示用户作为他/她日常生活的一部分而去的地方的位置数据。示例健身带由这些数据元素中的每个的模式标识，包括变化的位置。在这种情况下，心率模式可以用作标识数据流的字符串，并且位置模式可以用作辅助数据流。

图5是示出用于iot认证的过程(590)的示例的逻辑流程图。在开始框之后，过程前进到框591。在框591，接收第一iot设备的多个数据字段目标。在一些示例中，多个数据字段目标包括至少一个设备身份数据字段目标和至少一个遥测数据字段目标。然后，该过程移动到框592。在框592，可以在第一时间从第一iot设备接收第一多个数据字段条目。在一些示例中，第一多个数据字段条目包括至少一个设备身份数据字段条目和至少一个遥测数据字段条目。然后，该过程进行到判定框593。

在决策框593，做出第一确定。第一确定是关于第一多个数据字段条目是否与第一iot设备的对应的数据字段目标匹配的确定。如果判定框593处的确定是肯定的，则过程进行到框594。在框594，允许第一iot设备连接到iot集线器。然后，该过程移动到返回框，其中恢复其他处理。相反，如果在判定框593处的确定是否定的，则该过程前进到框595。在框595，不允许第一iot设备连接到iot集线器。然后该过程前进到返回框，其中恢复其他处理。以这种方式，基于第一确定选择性地允许第一iot设备连接到iot集线器。

结论

虽然以上具体实施方式描述了本技术的某些示例，并且描述了预期的最佳模式，但无论在文本中上面如何详细描述，该技术都可以按照多种方式被实现。细节可以在实现方面变化，同时仍然被包含在本文中描述的技术中。如上所述，在描述本技术的某些特征或方面时使用的特定术语不应当被视为暗示该术语在本文中被重新定义为限于与该术语相关联的任何特定特征、特征或方面。通常，以下权利要求中使用的术语不应当被解释为将技术限制于本文中公开的具体示例，除非具体实施方式明确地定义了这样的术语。因此，该技术的实际范围不仅包括所公开的示例，而且还包括实践或实现该技术的所有等效方式。