装置凭证管理的制作方法

发明背景

电子装置在社会的许多方面已变得无处不在。在平常的一天过程中，个人可使用智能电话、平板装置和膝上型计算机。汽车和商用车辆同样变得依赖于电子系统来控制和监视许多特征和操作。例如洗衣机、烘干机和冰箱等现代家用电器可由电子系统驱动和控制。制造设施、建筑物加热和冷却系统(hvac)和耕作设备现在可依赖于电子传感器和控制系统。

通信技术的进步已允许甚至相对简单的电子装置在计算机网络上与其它装置和计算系统通信。例如，制造系统中的电子装置可监视制造过程的各种方面且将监视数据传达到制造系统中的其它装置。类似地，嵌入建筑物控制系统中的电子传感器可监视和传达关于建筑物的加热、冷却和通风系统的操作的细节。甚至家用电器会提供以下可能：出于传输状态和接收外部控制通信的目的而配置有通信能力。

附图说明

图1是说明用于使用装置凭证认证装置的示例系统的框图。

图2是说明用于使用装置策略认证装置和授权资源动作的示例系统的框图。

图3是说明用于解析用于通过集线器装置与装置管理服务通信的装置的装置凭证的示例系统的框图。

图4是说明包含在系统中以用于认证装置和授权装置动作的各种示例组件的框图。

图5是说明用于向装置提供对网络服务的访问的示例计算机联网架构的框图。

图6是说明包含认证和授权服务的示例计算服务环境的框图。

图7是说明用于解析用于装置的装置凭证的示例方法的流程图。

图8是说明用于确定装置对资源的访问的示例方法的流程图。

图9是说明用于重新指配装置的示例方法的流程图。

图10是说明可用于执行解析用于装置的装置凭证的方法的计算装置的示例的框图。

具体实施方式

描述一种用于管理装置的凭证的技术。装置可为形成大型网络可寻址装置的许多物理装置中的一个。此整个“网络”通常被称为物联网(iot)。构成网络的装置能够在计算机网络上可寻址和/或最终可寻址(例如，能够接收在计算机网络上发送的中继消息)。装置可被配置成使用安全管理模型在计算机网络上连接到资源，例如服务、应用、和/或其它服务，其中装置的身份与用于装置的凭证无关。例如，用于装置的装置标识符(例如，分配给装置的唯一标识符)可与用于装置的装置凭证(例如，证书、令牌、用户名-密码、签名、装置策略等)分开管理。在安全管理模型下，装置客户可限定装置标识符与装置凭证之间的明确易变或可变相关性，以及限定装置标识符与装置凭证之间的多对多关系。

在一个示例中，客户可向装置管理服务注册装置，所述装置管理服务提供服务平台以便于装置连接到服务提供商资源，例如应用、虚拟服务和资源、以及其它装置。装置管理服务可能够支持数十亿装置以及可被处理和路由到服务端点和装置的数万亿条消息。装置管理服务可在与服务提供商环境连接时提供认证和授权。作为向装置管理服务注册装置的部分，客户可使用装置管理控制台或api(应用程序接口)形成和管理装置简档。装置简档可充当装置身份，所述装置简档包含装置序列号、装置标识符、和/或装置元数据。装置注册表可用于管理装置简档。而且，客户可使用装置管理控制台或api形成和管理装置凭证。安全服务可用于管理装置凭证。客户可使装置凭证(例如，已签署证书和装置策略)与装置以及与其它装置相关联，从而允许装置凭证在多个装置当中共享。

装置策略可指定用于访问客户的装置通过装置管理服务可获得的资源的许可。客户可通过经由用于资源的装置策略授予和撤回对资源的许可来控制个体装置访问资源。由装置策略指定的装置许可可在装置身份级别或装置凭证级别下管理。而且，装置策略的一些说明可使用替换变量(例如，装置属性)替换，从而允许装置策略应用到多个装置。例如，包含动态参数(例如，装置名称、装置位置、装置能力等)的通用装置策略可实施用于一类装置，且动态参数可响应于来自装置的连接请求而使用用于装置的装置属性(例如，装置名称、装置位置、装置能力等)填充。

作为非限制性示例，作为来自装置的到资源的连接请求的部分，装置可使用由装置提供的已签署凭证进行认证。在认证装置之后，可通过以下方式授权连接请求：标识用于连接请求的装置策略；标识用于装置的装置简档；以及利用从装置简档获得的元数据填充装置策略中的动态参数。

为了进一步描述本技术，现在参考图提供示例。图1是说明用于认证装置102的系统100的示例的高级图。系统100可包含装置管理服务104，所述装置管理服务104用于提供平台以用于将装置102连接到资源108(例如，管理服务)和其它装置102，以及使得应用能够与装置102交互。装置管理服务104可包含认证和授权服务106、装置注册表110、凭证数据存储区116、以及其它组件。

在一个示例中，认证和授权服务106可被配置成认证与连接到资源108、应用、或另一装置的请求相关联的装置102。认证和授权服务106可被配置成支持各种认证方法，包含签名、证书、令牌、用户名-密码、以及其它认证方法。所使用的一种认证方法可基于由装置102使用的连接协议。例如，使用http(超文本传输协议)连接到装置管理服务104的装置102可使用签名或证书认证，而使用mqtt(mq遥测传输)的装置连接可使用基于证书的认证，且使用websocket的装置连接可使用签名认证。因此，认证和授权服务106可被配置成使用认证方法，所述认证方法使用由装置102使用的连接协议。

如所说明，用于认证和授权装置动作(例如连接到资源或请求资源动作)的装置凭证112可与用于装置102的装置简档114分开管理，由此使装置凭证112与装置102的身份解耦。在过去，用于连接到装置管理服务104的装置的装置安全性包含装置的身份与安全凭证之间的紧密耦合，所述安全凭证向装置提供对资源108、应用、或其它装置的访问。由于装置身份与安全凭证之间的紧密耦合，每个装置可已分配有存储在装置自身上的其自身的安全凭证。由于本技术，装置凭证112可与装置简档114分开管理，从而使装置凭证112与装置身份解耦，且许可装置凭证112与不止一个装置102相关联。

在一个示例中，装置注册表110可用于管理装置简档114。装置简档114可包含标识信息，包含但不限于装置序列号、装置标识符、以及装置元数据。说明性地，装置标识符可用于唯一地标识装置102、管理装置许可、追踪装置事务等。作为向装置管理服务104注册装置102的部分，装置客户可形成用于装置102的装置简档114且将装置标识符114分配给装置102。然后，客户可经由装置简档114管理用于装置102的装置信息。

而且，作为向装置管理服务104注册装置102的部分，可形成用于装置102的装置凭证112，或客户可提供现有装置凭证112，且装置凭证112可与凭证数据存储区116中的装置简档114分开管理。装置凭证112可允许装置102安全地连接到装置管理服务104且通过装置管理服务104访问资源108、应用、和/或其它装置。在一个示例中，客户可通过使装置凭证112链接到装置简档114而使装置凭证112与装置身份相关联。也就是说，装置凭证112可被链接到包含在装置简档114中的装置标识符或装置元数据。

在向装置管理服务104注册装置102之后，装置102可将请求资源108执行资源动作的消息发送到装置管理服务104。说明性地，资源动作可包含但不限于：将装置表示的状态更新为装置102的状态；更新数据存储区中的记录；从数据存储区检索数据；请求消息代理使装置102订阅已命名逻辑信道(例如，话题)；以及其它资源动作。而且，代表装置作用的客户端(例如，应用)可将请求执行资源动作的消息发送到装置管理服务104。

在装置管理服务104处接收的消息可包含认证凭证，例如已签署证书、令牌、或类似类型的装置凭证。消息可被提供给认证和授权服务106，所述认证和授权服务106可被配置成使用所提供的凭证认证装置102，且使用装置策略授权所请求的资源动作。

作为说明，认证和授权服务106可被配置成从装置注册表110获得用于装置102的装置简档114，且从凭证数据存储区116检索链接到装置简档114的装置凭证112(例如，公共密钥和装置策略)。更确切地说，装置凭证112可链接到包含在装置简档114中的信息，例如装置标识符或装置属性。在已检索装置凭证112之后，可使用装置凭证112认证装置102。

在认证装置102之后，可作出是否可执行消息中所指定的资源动作的确定。可使用装置策略中所指定的用于装置102的装置许可作出是否允许资源动作的确定，如以下更详细地描述。

图2是说明用于使用例如装置凭证等认证凭证216认证装置202a-c、以及使用装置策略218授权装置动作的系统200的示例的高级图。装置策略218可用于向装置202a-c分配许可，或更确切地说，使许可与装置简档214和/或装置凭证相关联。许可可允许装置202a-c访问资源208且请求资源208执行动作。作为具体示例，装置策略218可包含以下许可：允许装置202a-c(或代表装置202a-c作用的客户端)请求装置映像(shadowing)服务将装置表示(用于表示装置202a-c的状态)的状态(例如，“接通”或“关闭”)更新为装置202a-c的当前状态。在一个示例中，装置策略218可包括指定装置许可的文档(例如，数据交换格式文档，例如json(javascript对象标注)文档或xml(可扩展标记语言)文档)。

在一个示例中，装置策略218可包含参数，所述参数指定资源208、资源动作、用于访问资源和执行资源动作的许可、以及用于授予许可的条件。作为说明，使用json文档实施的装置策略218可类似：

在所说明的示例中，装置策略218可包含静态参数204(例如，资源和资源动作)和动态参数206(例如，用于访问资源和资源动作的条件)。包含在装置策略218中的动态参数206可使用从装置简档214获得的信息填充。例如，用于特定装置202a-c作出请求的条件的动态参数206可由从装置简档214获得的装置名称或装置标识符填充。动态参数206可在执行用于装置202a-c的装置授权时被填充。作为更具体的示例，在认证第一装置202a时，用于装置策略218的条件的动态参数206可使用用于装置202a的装置名称填充，所述装置名称可从用于装置的装置简档214获得。在使用装置名称履行条件的情况下，可执行由装置策略218指定的资源动作。

在一个示例中，动态参数206可使用与一组装置相关联的组属性填充。组属性可用于确定用于一组装置的许可。作为说明，一起位于房间中的一组网络可寻址照明装置可与包含在照明装置当中共享的装置元数据的组装置简档214相关联。响应于来自照明装置中的一个的请求，组装置简档214可被标识且包含在组装置简档214中的组属性可用于填充用于授权由照明装置请求的资源动作的装置策略218中的动态参数206。

在过去，装置客户不得不形成用于客户的装置中的每一个的策略且将客户的装置中的每一个链接到单独策略。作为本技术的结果，装置客户可能够形成包含一个或多个动态参数206的单个装置策略218(例如，装置不可知策略)且将装置策略218链接到多个装置202a-c。如将了解，可基于本技术的具体实施确定哪些参数变得静态或动态。

装置策略218可附接到例如装置简档214和/或装置凭证(例如，认证凭证216)。这样做的话，装置许可可在装置级别或凭证级别中的任一个下管理。作为一个示例，装置策略218可经由装置标识符链接到一个或多个装置简档214，使得当消息从与装置标识符相关联的装置202a-c接收时，可参考链接到装置标识符的装置策略218以确定装置202a-c是否已分配有允许装置202a-c访问资源且请求资源动作的许可。例如，响应于接收与装置202a-c相关联的消息，认证和授权服务210可被配置成经由装置简档214检索链接到装置202a-c的装置策略218。例如，装置简档214可指定装置策略218被链接到装置202a-c。

作为另一示例，装置策略218可经由包含在装置简档214中的装置元数据链接到一个或多个装置简档214，使得装置策略218可应用到从与装置元数据相关联的装置202a-c的通信。作为说明，装置策略218可使用包含在用于装置202a-c的装置简档214中的装置元数据应用到从位于特定区域、建筑物或房间中的装置202a-c的通信。作为示例，装置策略218可包含装置策略218应用到位于特定建筑物中的装置202a-c的条件。也就是说，装置策略218可指定特定建筑物名称。因此，装置策略218可应用到具有指示装置202a-c位于具有建筑物名称的建筑物中的装置简档214的那些装置202a-c。也就是，装置简档214可包含匹配建筑物名称的位置元数据。由此，装置202a-c可通过改变将装置202a-c链接到装置策略218的装置简档214中的信息而与装置策略218脱离关联。

作为另一示例，装置策略218可链接到其它装置凭证，例如认证凭证216，从而允许装置策略218由使用认证凭证216的装置202a-c共享。链接到在多个装置202a-c当中共享的认证凭证216的装置策略218可包含当认证和授权装置202a-c时可应用到装置202a-c的许可。

图3是说明用于解析通过集线器装置304与装置管理服务308通信的装置302a-c的装置凭证的示例系统300的框图。集线器装置304可被配置成将与装置30a-c相关联的消息转发到装置管理服务308和装置302a-c。由集线器装置304转发到装置管理服务308的消息可被提供给认证和授权服务306，所述认证和授权服务306被配置成解析与发送消息的装置302a-c相关联的装置凭证，且使用装置凭证认证装置302a-c以及授权动作。

集线器装置304可代表许多装置302a-c与装置管理服务308通信，且由集线器装置304代表装置302a-c建立的每个连接可使用链接到装置302a-c的装置凭证进行认证和授权。例如，由集线器装置304转发到装置管理服务308的消息可包含用于发送消息的装置302a-c的标识信息。包含在消息中的标识信息可用于标识可用于认证装置302a-c以及授权消息中所请求的资源动作的装置凭证，如更早描述。除了认证装置302a-c外，在一个示例中，集线器装置304也可使用分配给集线器装置304的装置凭证进行认证。

在一个示例中，经由集线器装置304连接到装置管理服务308的每个装置302a-c可与分配给装置302a-c的装置凭证相关联，如结合图2所描述。例如，从集线器装置304接收的用于第一装置302a的消息可使用分配给第一装置302a的装置凭证进行认证和授权，且从集线器装置304接收的用于第二装置302b的消息可使用分配给第二装置302b的装置凭证进行认证和授权。

在另一示例中，装置凭证可在通过集线器装置304连接到装置管理服务308的装置302a-c当中共享。另外，装置302a-c可使用包含一个或多个动态参数的装置策略分配有不同许可。例如，装置策略中所指定的装置许可可基于装置302a-c的身份。因此，在确定用于装置302a-c的装置许可时，装置策略中的动态参数可由用于装置302a-c的装置标识符填充。

图4说明上面可执行本技术的示例系统环境400的组件。系统环境400可包含装置430，所述装置430可借助于一个或多个网络与装置管理服务402通信。装置管理服务402可被配置成提供用于装置430连接到装置430可访问的各种资源410的服务平台。装置430(其通常可被称为iot装置)可将请求访问资源410和请求执行资源动作的消息发送到装置管理服务402。

在一个示例中，经由装置管理服务402提供给装置430的资源410可包含：消息代理服务、装置映像服务、计算服务、数据服务、应用、以及其它资源410。消息代理服务可被配置成维持注册成与装置管理服务402通信的装置430的列表且将公布给已命名逻辑信道(例如，话题)的消息转发到注册成接收公布给已命名逻辑信道的消息的装置430。装置映像服务可被配置成管理表示装置430的已知最新的状态的装置表示。例如，装置映像服务可维持用于装置430的高速缓存装置表示，所述高速缓存装置表示允许客户端434在任何时间访问用于装置430的信息，例如状态信息。

客户端434(例如，手机应用)也可与装置管理服务402网络通信。客户端434可托管被配置用于访问与装置430相关联的信息以及经由装置管理服务402所提供的资源410控制装置430的应用。装置管理服务可被配置成使用认证和授权服务418以及客户端标识符支持从客户端434的连接。在一个示例中，客户端标识符可用于检索向客户端434提供对资源410的有限访问的凭证。

装置管理服务402可包含被配置成托管资源410、认证相关服务、以及数据服务的多个服务器404/406/408。在一些示例中，服务器404/406/408可被配置成托管虚拟计算资源，例如上面可执行资源410、认证服务、以及数据服务的计算实例。如所说明，服务器408可托管客户端api420、安全服务416、装置注册表服务414、凭证关联服务412、以及认证和授权服务418。

在一个示例中，客户端api420可被配置成允许客户经由客户端434访问装置注册表服务414、安全服务416、以及凭证关联服务412以便管理与客户的装置430相关联的装置简档428、装置策略426、以及认证凭证422(例如，证书、令牌、用户名-密码、签名、以及其它类型的凭证)。例如，客户可访问装置注册表服务414且形成和管理用于装置430的装置简档428。装置简档428可包含装置标识符、装置元数据(例如，装置名称、类型、模型、位置等)和装置性质。

客户可访问安全服务416以管理认证凭证422和装置策略426。在一个示例中，服务提供商可形成用于客户的装置430的认证凭证422。例如，由服务提供商生成的证书可用于客户的装置430。在另一示例中，客户可提供客户自己的凭证。例如，客户可提供由客户的优选证书颁发机构(ca)签署的证书。在一个示例中，认证凭证422可与具体资源410相关联。因此，可形成用于客户的装置430的允许装置430连接到资源410的认证凭证422。

安全服务416可允许客户形成和管理用于授权装置请求访问资源410且执行资源动作的装置策略426。如稍早所描述，装置策略426可包含允许装置策略426跨客户的装置430共享的一个或多个动态参数。在一个示例中，客户可通过以下方式使装置策略426与客户的装置430相关联/脱离关联：将装置策略426链接/删除链接到包含在装置简档428中的信息，例如装置标识符或装置元数据。

客户可访问凭证关联服务412以形成和管理将装置简档428映射到装置策略426和/或认证凭证422的凭证映射424。在一个示例中，使用客户端api420来访问凭证关联服务412，客户可形成和管理将一个或多个装置策略426链接到装置简档428(例如，经由装置标识符)和/或认证凭证422的凭证映射424。客户可使用客户端api420来更新和删除现有凭证映射424，使得客户能够更新/旋转装置策略426和认证凭证422，且撤销装置策略426和认证凭证422。

认证和授权服务418可被配置成执行请求访问资源410的装置430的认证，且确定装置430是否已被分配允许访问资源410的许可。在一个示例中，装置430的认证可通过以下方式来执行：标识链接到由装置430提供的认证凭证(例如，已签署证书和私有密钥)的认证凭证422(例如，使用公共密钥)。在认证装置430之后，可向装置注册表服务414询问用于装置430的装置简档428。包含在装置简档428中的装置信息，例如装置标识符或装置属性，可被提交给凭证关联服务412，所述凭证关联服务412可被配置成使用装置信息来标识将装置信息映射到装置策略426的凭证映射424。凭证关联服务412可将装置策略信息返回到认证和授权服务418，于是认证和授权服务418可向安全服务询问与资源410相关联的装置策略426。在获得装置策略426之后，可作出装置430是否已被分配允许装置430访问资源的许可的确定。在一个示例中，认证和授权服务418可被配置成利用从装置简档428获得的装置属性填充包含在装置策略426中的动态参数。

系统环境400中所含的各种过程和/或其它功能性可在与一个或多个存储器模块通信的一个或多个处理器上执行。系统环境400可包含多个计算装置，所述多个计算装置被布置在例如一个或多个服务器组或计算机组或其它布置中。计算装置可使用管理程序、虚拟机监视器(vmm)和其它虚拟软件支持计算环境。在一个示例中，装置管理服务402可托管在服务提供商环境中。例如，装置管理服务402可由结合图6所描述的服务提供商环境托管。计算装置可位于服务提供商数据中心和/或位于客户场所(customerpremise)上的客户数据中心中。

服务器406可托管用于存储认证凭证422、凭证映射424、装置策略426、以及装置简档428的数据存储区436a-c。认证凭证422可包含：证书、令牌、用户名-密码、签名、以及其它类型的凭证。装置策略426可包含文档，所述文档含有用于访问资源410和执行资源动作的许可，以及用于授予许可的条件。装置简档428可包含文档，所述文档含有装置信息，例如装置标识符和装置元数据。术语“数据存储区”可指代能够存储、访问、组织、和/或检索数据的任何装置或装置组合，所述装置或装置组合可包含任何集中式、分布式或集群式环境中的任何组合和任何数目的数据服务器、关系数据库、面向对象数据库、集群式存储系统、数据存储装置、数据仓库、平面文件、以及数据存储配置。数据存储区的存储系统组件可包含存储系统，例如san(存储区域网络)、云存储网络、易失性或非易失性ram、光学介质、或硬驱动类介质。如可理解，数据存储区可代表多个数据存储区。

客户可使用客户端控制台438或使用客户端api420形成、部署、以及管理用于客户的装置的认证凭证422、装置简档428、以及装置策略426。api调用、程序调用、或可关于包含在装置管理服务402中的模块和服务作出的其它网络命令可根据不同技术实施，所述技术包含但不限于表述性状态转移(rest)技术或简单对象访问协议(soap)技术。rest为用于分布式超媒体系统的架构风格。restfulapi(其也可被称为restfulweb服务)为使用http和rest技术实施的web服务api。soap为用于在基于web的服务的背景下交换信息的协议。

用于将通信传输到装置430、客户端434、以及服务器404/406/408的网络可包含任何有用的计算网络，包含内联网、因特网、局域网、广域网、无线数据网络、或任何其它此类网络或网络组合。用于这种系统的组件可至少部分地取决于所选网络和/或环境的类型。通过有线或无线连接及其组合可启用网络上的通信。

图4说明某种处理可使用计算服务执行。在一个示例配置中，具有一个或多个过程的服务可在服务器或其它计算机硬件上执行。此类服务可为可接收请求且将输出提供到其它服务或消费者装置的集中托管的功能性或服务应用。例如，服务可被认为是托管在服务器、虚拟服务环境、网格式或集群式计算环境中的按需计算。api可被提供给每个服务以使得第二服务能够将请求发送到第一服务且从第一服务接收输出。此类api还可允许第三方与服务交互且作出请求以及从服务接收输出。虽然图4说明可实施以上技术的系统的示例，但是许多其它类似或不同环境是可能的。以上所论述和说明的示例环境仅仅是代表性的而非限制性的。

图5是说明可包含在示例装置管理服务510中的额外组件的框图，稍早所描述的装置530可与所述示例装置管理服务510通信。装置管理服务510(其也可被称为装置通信环境)可包括可经由网关服务器540装置530访问的各种资源，所述装置530经由网络520访问网关服务器540。装置530可访问装置管理服务510以便访问服务，例如装置映像服务570、数据存储、以及计算处理特征。在装置管理服务510中操作的服务可响应于来自装置530的请求和/或响应于服务内的计算操作而将数据和消息传达到装置530。

装置管理服务510可包括操作以向装置530提供服务的通信耦合的组件系统540、542、546、550和570。网关服务器540可被配置成在装置530与装置管理服务510之间提供接口。网关服务器540从装置530接收请求且将对应数据和消息转发到装置管理服务510内的适当系统。同样地，当装置管理服务510内的系统试图将数据指令传达到装置530时，网关服务器540将那些请求路由到正确的装置530。

网关服务器540可适于使用各种不同计算和通信能力与多样的装置530通信。例如，网关服务器540可适于使用tcp(传输控制协议)或udp(用户数据报协议)协议中的任一个来通信。同样地，网关服务器540可被编程以使用任何合适的协议接收且与装置530通信，所述协议包含例如mqtt、coap、http和https。网关服务器540可被编程以将从装置530接收的数据和指令或消息转换成可由包括在装置管理服务510中的其它服务器系统使用的格式。在一个示例中，网关服务器540可适于将使用https协议接收的消息转换成适合与装置管理服务510内的其它服务器通信的json格式化的消息。

网关服务器540可存储关于装置530的信息或可控制关于装置530的信息的存储，所述装置530已形成到特定网关服务器540的连接且特定网关服务器540可大体上依赖于其与装置530通信。在一个示例中，网关服务器540上面可已存储指定特定装置530的信息，例如装置标识符。对于从特定装置530建立的每个连接，网关服务器540还可维持标识连接的信息。例如，连接标识符可针对与特定装置530建立的每个连接而生成和存储。还可存储与特定连接相关的信息。例如，标识上面建立连接的网关服务器540的特定套接字的信息、以及标识由装置530在连接上使用的特定协议的信息可由网关服务器540存储。可使用例如套接字和协议等信息以便有助于经由特定连接的进一步通信。

在一个示例中，网关服务器540可经由任何合适的联网技术与装置注册表服务器542通信。装置注册表服务器542可适于追踪每个装置530的属性和能力。在示例中，装置注册表服务器542可指配有指定装置530的属性的信息。装置注册表服务器542可包括指定用于处置可从装置530接收的各种请求的规则或逻辑(例如，自动化规则)的数据。装置注册表服务器542可被编程以将在特定通信协议(例如像https、mqtt、coap)中接收的专门的装置功能或命令转换成使用装置管理服务510中的其它服务器所理解的特定协议的功能或命令。在一个示例中，装置注册表服务器542可指配有指定以下内容的信息：在从特定装置530接收特定请求时，应作出将请求的有效载荷数据存储在特定网络服务服务器550中的请求。装置注册表服务器542可被类似地编程以从服务器542、550接收请求且将那些请求转换成装置530所理解的命令和协议。

装置映像服务服务器570维持用于每个已连接装置530的状态信息。在示例实施例中，装置映像服务服务器570维持用于已连接到装置管理服务510的每个装置530的指定多个状态的信息。在示例情形中，装置映像服务服务器570可包括所记录状态和所希望状态。所记录状态表示如装置映像服务服务器570当前所了解的特定装置530的现有状态。装置映像服务服务器570与网关服务器540通信以便将更新状态的请求传达到特定装置530。例如，装置映像服务器570可向网关服务器540传达更新装置530的状态的状态转变命令的序列。网关服务器540可作为响应传达针对特定装置格式化的适当命令。

装置安全服务器546维持用于连接到装置管理服务510的装置530的安全相关的信息。装置安全服务器546可执行稍早所描述的认证和授权服务的功能。在一个示例中，装置安全服务器546可被编程以处理向装置管理服务510注册装置530的请求。例如，例如装置制造商等实体可转发向装置管理服务510注册装置530的请求。装置安全服务器546接收注册请求且将唯一装置标识符分配给装置530，其在后续请求上使用装置标识符来访问装置管理服务510。装置安全服务器546针对每个经注册装置存储可在装置注册过程期间提供的认证信息。例如，注册装置530的请求可包括标识装置530的信息，例如装置序列号和装置属性，所述信息可与用于认证装置530的认证信息分开管理。在一个示例中，认证信息可包括数字证书且可包括公共密钥-私用密钥对的公共密钥。认证信息可关于装置530、多个装置530、资源、或多个资源被存储。当装置530随后试图访问装置管理服务510时，请求可被路由到装置安全服务器546以用于评估。装置安全服务器546确定关于装置530或装置530请求的资源存储的认证信息是否有效。

装置安全服务器546可被进一步编程以处理使特定实体(个体或组织)与特定装置530相关联的请求。装置安全服务器546可适于接收注册如被授权控制特定装置530或与特定装置530通信的实体的请求，所述实体可例如为个体、用户、账户、和/或组织。在一个示例中，请求可从可已从制造商购买装置530的个体或组织接收。例如，装置530可为个体或组织从制造商购买的洗碗机、恒温器、或照明组合件。个体或组织可发起向组织相关联的个体或组织注册装置530的请求。请求可路由到web服务服务器，所述web服务服务器可包括在装置管理服务510中或将请求传达到装置管理服务510。请求标识装置530以及正请求与装置530相关联的特定实体(个体或组织)。在一个示例中，请求可包括当装置530向系统注册时分配的唯一装置标识符。请求可进一步包括唯一地标识注册为具有与特定装置530通信和/或控制特定装置530的权限的实体的信息。

装置安全服务器546存储标识与装置标识符相关的特定实体的信息。当特定实体随后试图控制特定装置530或将数据传达到特定装置530时，装置安全服务器546可使用信息来确认特定实体被授权与特定装置530通信或控制特定装置530。当尚未注册为被授权与装置530通信的实体试图与装置530通信或控制装置530时，装置安全服务器546可使用存储在装置安全服务器546中的信息来拒绝请求。

网络服务服务器550可为可由服务器540、542、546、或570中的任一个在处理来自装置530的请求时使用的任何资源或处理服务器。在一个示例中，网络服务服务器550可提供数据存储和检索服务和/或按需处理能力。在示例情形中，网络服务服务器550可为众多网络可访问服务中的任一个，包含例如基于web或云的服务。在一个示例中，web服务服务器550可被编程以向特定装置530和/或装置组530提供特定处理。例如，网络服务服务器550可指配有协调控制特定制造操作的一组特定的装置530的操作的软件。

服务器540、542、546、550、以及570可经由任何合适的联网硬件和软件通信地耦合。例如，服务器可经由局域网或广域网通信。

外部系统560可出于任何数目的目的访问装置管理服务510。在一个示例中，外部系统560可为适于转发向装置管理服务510注册装置530的请求的系统。例如，外部系统560可包含由将请求发送到装置管理服务510且具体地说将请求发送到装置安全服务器546以注册装置530以用于与装置管理服务510一起操作的装置制造商操作或用于所述装置制造商的服务器。类似地，外部系统560可为操作来向实体(个体或组织)提供网关以注册所有权或控制与特定装置530的关系的系统。

装置530可为可经由网络520与装置管理服务510通信地耦合的任何装置。例如，装置530可为计算装置，例如智能电话和平板计算机、汽车、例如洗碗机和烘干机等电器、工业传感器、开关、控制系统等。在一个示例中，装置530中的每一个可在网络520上通信以存储反映特定装置530的操作的数据和/或请求由例如网络服务服务器550提供的处理。虽然图5描绘三个装置530，但是将了解，任何数目的装置530可经由网关服务器540访问装置管理服务510。进一步将了解，装置530可采用各种不同通信协议。例如，一些装置530可使用tcp传送数据，而其它装置可使用udp传达数据。一些装置530可使用mqtt，而其它装置可使用coap，且又其它装置可使用https。还将了解，装置530中的每一个可被编程以发送和接收其不可与其它装置或甚至装置管理服务510内的系统兼容的请求中的特定功能或命令。网关服务器540可被编程以接收此类请求且根据需要致力于转换此类请求用于与装置管理服务510处理。

图6是说明可用于执行和管理多个计算实例604a-e的示例服务提供商环境600的框图。具体地说，所描绘的服务提供商环境600说明其中可使用本文中所描述的技术的一个环境。服务提供商环境600可为包含可例如用于托管计算实例604a-e的各种虚拟化服务资源的一种类型的环境。

服务提供商环境600可能够将计算、存储和联网能力作为软件服务递送到最终接收方的群体。在一个示例中，服务提供商环境600可由组织或代表组织建立以用于组织。也就是说，服务提供商环境600可提供“私有云环境”。在另一示例中，服务提供商环境600可支持多租户环境，其中多个客户可独立操作(即，公共云环境)。总而言之，服务提供商环境600可提供以下模型：基础设施即服务(“iaas”)、平台即服务(“paas”)、和/或软件即服务(“saas”)。可提供其它模型。对于iaas模型，服务提供商环境600可提供计算机作为物理机或虚拟机和其它资源。虚拟机可由管理程序作为客机运行，如下文进一步描述。paas模型递送计算平台，所述计算平台可包含操作系统、编程语言执行环境、数据库、以及web服务器。

应用开发者可在由服务提供商环境600提供的计算服务平台上开发且运行它们的软件解决方案而不会引发采购和管理底层硬件和软件的成本。saas模型允许应用软件在服务提供商环境600中安装和操作。例如，终端客户可使用联网客户端装置(例如运行web浏览器或其它轻型客户端应用的台式计算机、膝上型计算机、平板电脑、智能电话等)访问服务提供商环境600。本领域的技术人员将认识到服务提供商环境600可被描述为“云”环境。

特别说明的服务提供商环境600可包含多个物理主机602a-e。虽然示出了六个物理主机，但是可使用任何数目，且大的数据中心可包含数以千计的物理主机。服务提供商环境600可提供计算资源以用于执行计算实例604a-e。计算实例604a-e可例如为虚拟机。虚拟机可为像物理机一样执行应用的机器(即，计算机)的软件实施的实例。在虚拟机的示例中，物理主机602a-e中的每一个可被配置成执行能够执行所述实例的实例管理器608a-e。实例管理器608a-e可为管理程序、虚拟机监视器(vmm)或被配置成能够在单个物理主机上执行多个计算实例604a-e的另一类型的程序。另外，计算实例604a-e中的每一个可被配置来执行一个或多个应用。

物理主机614可执行稍早所描述的装置管理服务616。在一个示例中，装置管理服务616可由一个或多个计算实例604a-e托管。网络610可被利用来将服务提供商环境600与物理主机602a-e、614互连。网络610为局域网(lan)且可连接到广域网(wan)612或因特网，使得终端客户可访问服务提供商环境600。图6中所说明的网络拓扑结构已简化，更多的网络和联网装置可被利用来将本文中所公开的各种计算系统互连。

现在移动到图7，流程图说明用于解析用于装置的装置凭证的示例方法700。如稍早所描述，装置凭证可与装置的身份分开管理，由此允许装置凭证与多个装置相关联。如在框710中，装置凭证可被接收以用于由服务提供商管理，其中装置凭证可用于被配置成与服务提供商资源通信的装置。装置凭证可包含用于认证装置的身份的认证凭证以及指定用于访问资源和请求资源动作的许可的装置策略文档。在一个示例中，客户可将装置凭证提供到装置管理服务，所述装置管理服务提供服务平台以便于装置连接到服务提供商资源。客户可使装置凭证与装置简档相关联，从而允许使用装置凭证执行对从装置接收的通信的认证。

在接收装置凭证时，装置凭证可与标识用于装置的信息相关联。例如，客户可形成包含用于装置的装置标识符和装置元数据的装置简档。作为提供装置凭证以用于由服务提供商管理的部分，客户可经由装置简档将装置凭证链接到装置的身份。例如，客户可将装置凭证链接到装置标识符，和/或装置凭证可经由装置元数据链接到装置的属性。在一个示例中，装置凭证可链接到多个装置标识符，从而允许装置凭证由与装置标识符相关联的多个装置共享。

通过分开管理装置凭证与装置的身份，客户可能够从装置撤销装置凭证而不破坏装置的身份。例如，客户可使用于装置的装置标识符与装置凭证脱离关联，由此从装置撤销装置凭证且使装置标识符完整。在过去，装置身份(例如，描述装置以及装置的目的的唯一标识符和元数据)已与装置凭证交织。因此，撤销装置凭证可已破坏装置身份，且指配新的装置凭证可已导致不得不重新形成装置身份。

如在框720中，可接收请求与装置相关联的动作的消息。消息可从装置或从托管在客户端装置上的应用接收，所述应用被配置成从装置管理服务获得装置信息和/或经由装置管理服务控制装置。在一个示例中，消息可包含用于装置的可用于标识用于装置的装置简档的认证凭证和信息。

如在框730中，装置可使用认证凭证进行认证。在一个示例中，认证可由充当到由装置管理服务提供的资源的网关的认证服务执行。在另一示例中，认证凭证可被提供到装置请求访问的资源且资源可使用认证凭证执行装置认证。例如，一些资源，例如经管理服务，可预期接收认证凭证连同访问资源和执行资源动作的请求。在此类情况下，响应于请求执行资源动作的消息，认证服务可提供用于装置的认证凭证连同对消息中所指定的资源的请求，且资源可使用装置凭证认证装置。

在认证装置的身份之后，如在框740中，可获得指定用于授权资源动作的许可的装置策略文档。装置策略文档可链接到装置的身份(经由装置简档)，或装置策略文档可链接到认证凭证。如在框750中，资源动作可使用装置策略文档中所指定的许可进行授权。在一个示例中，装置策略文档中的一个或多个动态参数可使用装置元数据填充，如稍早所描述。在资源动作已被授权之后，资源动作可由相应资源执行。

图8是说明用于确定装置对资源的访问的示例方法800的流程图。在一个示例中，装置可与装置管理服务网络通信。装置可被提供有通过装置管理服务对资源访问。资源可包含但不限于消息代理服务、装置映像服务、计算服务、数据服务、应用、以及其它装置。

装置可将请求资源执行资源动作的消息发送到装置管理服务。作为示例，消息可包含以下请求：装置映像服务将装置表示(其被配置成表示装置的状态)更新成请求中所指定的状态。如在框810中，请求可从装置接收，且响应于接收消息，装置可被标识。例如，消息可包含可用于标识用于装置的装置简档的标识信息(例如，装置标识符、装置地址等)。

在装置的身份已确立之后，如在框820中，链接到装置的装置凭证可被标识。如稍早所描述，装置凭证可经由包含在装置凭证中的信息链接到装置，所述信息例如装置标识符或装置属性。装置凭证可为装置独有的，或装置凭证可在一组装置当中共享(例如，装置凭证可链接到多个装置标识符或链接到一个或多个装置属性)。在一个示例中，装置凭证可与具体资源相关联。例如，装置凭证可由装置映像服务使用来认证请求资源动作的装置。在另一示例中，装置凭证可用于访问多个资源。例如，装置凭证可用于认证请求与经由资源管理服务提供的任何资源相关联的资源动作的装置。

如在框830中，标识为与装置相关联的装置凭证可使用认证方法进行认证。在装置凭证的认证失败的情况下，那么如在框840中，装置请求可被拒绝且消息可被发送到装置，所述消息指定请求被拒绝和请求已被拒绝的原因(例如，错误代码)。在装置凭证的认证成功的情况下(例如，装置的身份被确认)，且那么如在框850中，链接到装置的装置策略可被标识。装置策略可用于控制装置对由装置请求的资源的访问。

在一个示例中，装置策略可经由装置简档链接到装置。例如，装置策略可被链接到装置标识符或包含在装置策略中的装置元数据。因此，响应于装置请求而标识装置策略可涉及标识与包含在装置简档中的信息和由装置请求的资源两者相关联的装置策略。

在另一示例中，装置策略可链接到装置凭证。例如，与具体资源相关联的装置凭证可链接到用于授予对资源的访问的装置策略。因此，响应于来自装置的访问资源的请求，与资源相关联的装置凭证和装置策略可被标识。

如在框860中，包含在装置策略中的参数可使用装置属性填充。例如，如稍早所描述，装置策略可包括策略文档，所述策略文档包含用于访问资源的装置许可以及可由装置属性动态地填充的一个或多个参数。例如，装置属性，例如装置名称，可从包含在装置简档中的元数据获得，且装置属性可用于填充包含在装置策略中的参数。因此，由装置策略控制的装置许可可通过以下方式动态地确定：在装置策略应用到装置请求时填充装置策略中的参数。

在利用装置属性填充装置策略中的参数之后，如在框870中，装置策略可被评估以确定是否已满足装置策略的条件。在已满足装置策略的条件的情况下，那么如在框880中，可允许装置请求。在尚未满足装置策略的条件的情况下，那么如在框840中，可拒绝装置请求。

图9是说明用于将装置重新指配给新的实体的示例方法900的流程图。例如，装置可被重新指配给新的所有者、地理位置、网络、功能等。作为一个示例，包含在一组电器中的网络可寻址电器可从第一建筑物物理移动到第二建筑物，且这样做时，电器可从第一建筑物中的一组电器重新指配给第二建筑物中的一组电器。作为另一示例，被配置成经由按下装置按钮来订购产品的产品订购装置可从订购产品重新指配为订购不同产品。

在一个示例中，重新指配装置可包括如在框910中，在装置管理服务(稍早描述)处接收请求以将装置重新指配给新的实体。在接收请求时，如在框920中，用于装置的装置简档可被标识。装置简档可包含使装置与特定实体相关联的元数据。例如，元数据可包含装置组名、地理位置、产品标识符等。

如在框930中，可获得标识新的实体的元数据。例如，元数据可包含在重新指配装置的请求中。然后，如在框940中，装置简档中的标识旧的实体的元数据可由标识新的实体的元数据覆写(更新)。作为示例，标识装置组、地理位置、产品等的元数据可被更新成新的装置组、地理位置、产品等，由此将装置重新指配给新的实体。

图10说明上面可执行此技术的模块的计算装置1010。说明计算装置1010，技术的高级示例可在所述计算装置1010上执行。计算装置1010可包含与存储器装置1020通信的一个或多个处理器1012。计算装置1010可包含用于计算装置中的组件的本地通信接口1018。例如，如可根据需要，本地通信接口1018可为本地数据总线和/或任何相关地址或控制总线。

存储器装置1020可含有可由处理器1012执行的模块1024以及用于模块1024的数据。例如，存储器装置1020可包含认证和授权模块、凭证关联模块、装置注册表模块、安全服务模块、以及其它模块。模块1024可执行稍早所描述的服务和功能。数据存储区1022也可位于存储器装置1020中以用于存储与模块1024以及其它应用相关的数据，连同可由处理器1012执行的操作系统。

其它应用也可存储在存储器装置1020中且可能够由处理器1012执行。此描述中所论述的组件或模块可使用高级编程语言以软件形式实施，所述高级编程语言使用方法的混合来编译、解译或执行。

计算装置还可访问可由计算装置使用的i/o(输入/输出)装置1014。联网装置1016和类似通信装置可包含在计算装置中。联网装置1016可为连接到因特网、lan、wan、或其它计算网络的有线或无线联网装置。

示出为存储在存储器装置1020中的组件或模块可由处理器1012执行。术语“可执行的”可意味着呈可由处理器1012执行的形式的程序文件。例如，以更高级语言的程序可被编译为呈可载入存储器装置1020的随机存取部分中且由处理器1012执行的格式的机器代码，或源代码可由另一可执行程序载入和解译以在存储器的随机存取部分中生成待由处理器执行的指令。可执行程序可存储在存储器装置1020的任何部分或组件中。例如，存储器装置1020可为随机存取存储器(ram)、只读存储器(rom)、闪存存储器、固态驱动器、存储卡、硬盘驱动器、光盘、软盘、磁带、或任何其它存储器组件。

处理器1012可表示多个处理器，且存储器装置1020可表示与处理电路并行操作的多个存储器单元。这可提供用于系统中的过程和数据的并行处理信道。本地接口1018可用作网络以有助于多个处理器中的任一个与多个存储器之间的通信。本地接口1018可使用设计用于协调通信的额外系统，例如负载平衡、批量数据传输和类似系统。

虽然呈现用于此技术的流程图可暗示具体执行次序，但是执行次序可不同于所说明的执行次序。例如，多两个框的次序可相对于所示出的次序被重新布置。此外，连续示出的两个或更多个框可并行或部分并行执行。在一些配置中，流程图中所示的一个或多个框可省略或跳过。为了增强效用、记账、性能、测量、故障排除或出于类似原因，可将任何数目的计数器、状态变量、警告信号标、或消息添加到逻辑流程中。

此说明书中所描述的功能单元中的一些已标记为模块以便更具体地强调其实施独立。例如，模块可实施为硬件电路(包括定制vlsi电路或门阵列)、成品半导体(例如逻辑芯片、晶体管)或其它离散组件。模块还可在可编程硬件装置(例如现场可编程门阵列、可编程阵列逻辑、可编程逻辑装置等)中实施。

模块还可在软件中实施以用于由各种类型的处理器执行。可执行代码的已标识模块可例如包括可被组织为对象、进程或函数的计算机指令的一个或多个块。然而，已标识模块的可执行部分无需在物理位置上在一起，但可包括存储在不同位置的不同指令，这些不同指令在逻辑上结合在一起时包括所述模块且实现所述模块的所述目的。

实际上，可执行代码的模块可为单个指令或许多指令，且甚至可分布在若干不同代码段上、不同程序之间以及若干存储器装置上。类似地，在本文中，操作数据可标识且说明在模块内，且可以任何合适形式来实施且被组织在任何合适类型的数据结构内。操作数据可被收集为单个数据集，或可分布在不同位置上(包含在不同存储装置上)。模块可为被动的或主动的，包含可操作以执行所希望功能的代理。

这里所描述的技术还可存储在计算机可读存储介质上，所述计算机可读存储介质包含与用于存储信息的任何技术一起实施的易失性和非易失性、可移除和不可移除介质，所述信息例如计算机可读指令、数据结构、程序模块、或其它数据。计算机可读存储介质包含但不限于非暂时性介质，例如ram、rom、eeprom、闪存存储器或其它存储器技术、cd-rom、数字通用光盘(dvd)或其它光学存储装置、磁盒、磁带、磁盘存储装置或其它磁性存储装置、或可用于存储所希望信息和所描述技术的任何其它计算机存储介质。

本文中所描述的装置还可含有允许装置与其它装置通信的通信连接或联网设备以及联网连接。通信连接是通信介质的示例。通信介质典型地具体实施例如载波或其它传送机制等已调制数据信号中的计算机可读指令、数据结构、程序模块、以及其它数据，且包含任何信息递送介质。“已调制数据信号”意味着一种信号，所述信号使得其特性的一个或多个被设定或改变，其方式为使得对信号中的信息进行编码。举例来说而并非限制，通信介质包含有线介质(例如有线网络或直接有线连接)和无线介质(例如声学、射频、红外线以及其它无线介质)。如本文中所使用的术语计算机可读介质包含通信介质。

对图式中所说明的示例进行参考且具体语言在本文中用于描述所述示例。然而，将理解，并不意图由此限制本技术的范围。本文中所说明的特征的改变和进一步修改以及如本文中所说明的示例的额外应用应被认为在本描述的范围内。

可鉴于以下条款更好地理解上述内容：

1.一种用于解析用于装置的凭证的系统，其包括：

至少一个处理器；

凭证数据存储区，所述凭证数据存储区用于存储装置凭证；

存储器装置，所述存储器装置包含指令，所述指令在由所述至少一个处理器执行时使所述系统来：

接收装置凭证，所述装置凭证包含待由服务提供商管理的认证凭证和装置策略文档，其中所述认证凭证用于认证被配置成经由网络与由所述服务提供商提供的资源通信的装置，且所述装置策略文档指定用于授权由所述装置请求的资源动作的许可；

从所述装置接收消息，所述消息请求所管理服务执行动作，其中所述装置与由所述服务提供商提供的所述所管理服务网络通信，且所述消息包含用于所述装置的所述认证凭证；

使用所述认证凭证认证所述装置；

从所述凭证数据存储区获得链接到所述装置的所述装置策略文档，其中所述装置策略文档指定用于所述所管理服务的装置许可；

确定所述装置策略文档的所述装置许可允许所述装置请求执行所述动作；以及

授权将所述请求发送到所述所管理服务以执行计算服务。

2.根据条款1所述的系统，其中所述存储器装置包含指令，所述指令在由所述处理器执行时使所述系统进一步获得用于标识链接到所述装置的所述装置策略文档的用于所述装置的元数据。

3.根据条款1所述的系统，其进一步包括获得用于所述装置的装置简档。

4.根据条款3所述的系统，其进一步包括利用从所述装置简档获得的元数据填充所述装置策略文档中的与策略条件相关联的参数。

5.一种计算机实施的方法，其包括：

接收装置凭证，所述装置凭证包含用于由服务提供商管理的认证凭证和装置策略文档，其中所述认证凭证用于认证被配置成经由网络与由服务提供商提供的资源通信的装置，且所述装置策略文档指定用于授权由所述装置请求的资源动作的许可；

接收请求资源执行与所述装置相关联的资源动作的消息；

使用用于所述装置的所述认证凭证认证所述装置；

获得指定用于授权所述资源动作的所述许可的所述装置策略文档；以及

使用所述装置策略文档中所指定的所述许可授权所述资源动作。

6.根据条款5所述的方法，其中所述装置策略文档链接到多个装置。

7.根据条款5所述的方法，其中所述装置策略文档链接到所述认证凭证，从而允许使用所述认证凭证的装置共享所述装置策略。

8.根据条款5所述的方法，其进一步包括：

获得用于所述装置的装置元数据；以及

利用所述装置元数据填充所述装置策略文档中的至少一个参数。

9.根据条款5所述的方法，其进一步包括：

获得用于一组装置的组属性；以及

利用所述组属性填充所述装置策略文档中的参数。

10.根据条款5所述的方法，其进一步包括：

标识与所述消息中所请求的所述动作相关联的资源；以及

标识与所述资源相关联的所述装置策略文档。

11.根据条款5所述的方法，其进一步包括将所述装置凭证提供到被配置成执行所述消息中所请求的所述动作的所管理服务。

12.根据条款5所述的方法，其中所述消息从所述装置接收或从用于远程控制所述装置的应用接收。

13.根据条款5所述的方法，其中所述消息从集线器装置接收，所述集线器装置被配置成代表与所述集线器装置相关联的装置发送消息。

14.根据条款5所述的方法，其中管理所述装置凭证进一步包括管理所述装置凭证与多个装置策略文档之间的关联。

15.根据权利要求14所述的方法，其进一步包括更新用于装置的装置简档以使所述装置与第一装置策略文档脱离关联且使所述装置与第二装置策略文档相关联。

16.根据权利要求14所述的方法，其进一步包括使用包含在计算服务提供商环境中或位于客户场所上的客户数据中心中的计算资源管理所述关联。

17.一种非暂时性机器可读存储介质，其具有在上面具体实施的指令，所述指令在由处理器执行时：

接收装置凭证，所述装置凭证包含用于由所管理服务管理的认证凭证和装置策略文档，其中所述装置凭证用于认证被配置成请求资源执行资源动作的装置的身份，且其中所述装置策略文档包含可更新以包含用于请求所述资源动作的装置的装置属性的参数，且其中所述参数与策略条件相关联；

从请求执行所述资源动作的装置接收消息，其中所述消息包含用于所述装置的所述认证凭证；

使用所述认证凭证认证所述装置；

检索所述装置策略文档，所述装置策略文档包含可更新以包含所述装置属性的所述参数；

利用用于所述装置的所述装置属性更新所述装置策略中的所述参数；

确定所述参数满足所述装置策略的所述策略条件；以及

授权所述消息中所请求的所述动作。

18.根据条款17所述的非暂时性机器可读存储介质，其中所述装置策略文档指定允许与所述装置相关联的请求被发送到被配置成执行所述消息中所请求的所述动作的所管理服务的许可。

19.根据条款17所述的非暂时性机器可读存储介质，其中所述装置策略文档链接到所述装置凭证。

20.根据条款17所述的非暂时性机器可读存储介质，其中所述装置凭证由所述资源所有且所述装置凭证用于认证被配置成请求所述资源执行资源动作的所述装置的所述身份。

此外，所描述的特征、结构或特性可以任何合适的方式在一个或多个示例中进行组合。在先前的描述中，提供了众多具体细节，例如各种配置的示例，以提供对所描述的技术的示例的透彻理解。然而，将认识到，所述技术可在没有具体细节的一个或多个的情况下或在具有其它方法、组件、装置等的情况下实践。在其它情况下，未详细示出或描述众所周知的结构或操作，以避免使本技术的各方面模糊。

尽管已经用专用于结构特征和/或操作的语言对主题进行了描述，但应理解，所附权利要求中定义的主题未必限制于上文所描述的具体特征和操作。相反，上文所描述的具体特征和行为是作为实施所附权利要求的示例形式而公开。在不脱离所描述的技术的精神和范围的情况下，可设计出众多修改和替代布置。