一种受限设备,包括附加有与受限设备相关联的公钥的外表面。可替代地或附加地,公钥可以被包括在存储受限设备的容器中。受限设备还包括存储私钥的存储器,其中私钥与附加在受限设备的外表面上的公钥对应。通过在受限设备上显示公钥,在不需要在安装现场的任何人机接口或者电源或网络的任何建立的情况下,系统管理员可以记载公钥以及关于设备及其在网络中的预期角色的相关信息。
【技术实现步骤摘要】
【国外来华专利技术】受限设备登记相关应用本申请要求于2015年7月10提交、专利技术人为TimothyE.Moses且标题为“LOWFRICTIONDEVICEENROLLMENT”的临时申请序列号62/190,996以及于2016年7月7日提交、专利技术人为TimothyEdwardMoses且标题为“LOWFRICTIONDEVICEENROLLMENT”的美国非临时申请序列号15/204,234的优先权,并且通过引用将这两个申请结合进本文。
本公开涉及促进受限设备在网络中的登记的方法和装置。
技术介绍
如本文所使用的,受限设备是关于其用户界面“受限”的、并且不包括图形用户输入界面(例如,没有输入显示屏或小键盘)并且可以具有有限的CPU、存储器、通信容量和功率资源(例如,受限设备可以是电池操作的)的设备。网络(诸如物联网(IoT))中这种受限设备的示例包括将被安装在网络(诸如利用互联网的网络)中的温度传感器、致动器、路边基础设施元件、恒温器或任何其它合适的设备。网络可以位于家、企业建筑、路边基础设施、制造设施和其它合适的安装场所。当制造商向安装场所(诸如上述示例中的大型建筑)递送受限设备时,受限设备以非专用状态到达。安装场所的系统管理员随后可以登记受限设备,并使每个受限设备专用于网络中的特定角色。例如,如果安装场所需要用于制造产品的多个管道,那么系统管理员可以将传感器放置在相对于管道的连接点的特定管道上,并从而使该特定传感器专用于报告关于该特定管道的内容的状况。为了协调登记,系统管理员可以使用授权服务器创建数据库条目,以将可以通过其公钥/私钥对来识别的特定传感器链接到其预定的角色。在成功登记之后,授权服务器可以向设备发放令牌(诸如证书、票证、cookie或任何其它合适的令牌),使得该设备可以认证自己和网络中的其它设备。在上面的示例中,隐含的假设是安装场所已经具有用于系统管理员协调登记的资源。例如,安装场所可能已经建立了用于系统管理员创建数据条目和授权服务器发放令牌的电源和网络。但是,如果在受限设备被递送到安装场所时这种资源还不可用(诸如在安装场所尚未建立电源和网络)时,那么在登记受限设备时存在延迟和相关联的成本。需要以不受缺乏这种资源影响的方式来登记受限设备的低摩擦(friction)方式。附图说明依据以下描述,当结合以下附图时将更容易理解实施例,并且附图中相似的附图标记表示相似的元件,其中:图1是示出根据本公开中阐述的一个实施例的非专用的受限设备与初始化服务器之间的通信图的一个示例的框图。图2是示出根据本公开中阐述的一个实施例的登记设备、授权服务器和非专用的受限设备之间的通信图的一个示例的框图。图3是用于网络中受限设备的低摩擦地登记的方法。图4是用于网络中受限设备的低摩擦地登记及其认证的方法。图5是示出根据本公开中阐述的一个实施例的系统的一个示例的框图。具体实施方式简而言之,受限设备具有在设备的外表面上的标识符。标识符(即,光学可读的)可以是附加(affix)在设备上的公钥。公钥可以通过多种方式附加到设备上。例如,公钥可以打印在具有粘合剂的标签(label)上,该粘合剂与设备的外表面接触。在不使用粘性标签的情况下,公钥可以被打印、雕刻、压花(emboss)或以其它方式直接标记在设备的外表面上。标识符可以是条形码、QR码、指纹、序列号或者用作或包含公钥的其它合适的标识符。可替代地,标识符可以被嵌入到设备中,诸如例如RFID标记(tag)。标识符可以以任何其它合适的附加方式附加到设备上。受限设备具有存储在存储器中的对应私钥。通过在受限设备上显示公钥,系统管理员可以在不需要在安装场所建立电源或网络的情况下记载(document)公钥(诸如通过拍摄公钥的图片)。即使标识符是包含公钥的条形码或QR码,系统管理员也可以使用登记设备(诸如具有在其上执行的登记应用的智能电话)从条形码或QR码中提取公钥。如果标识符是序列号,那么初始化服务器可以读取序列号并将其等同于公钥、计算对应的私钥并将其存储在设备的存储器中。初始化服务器(可以是证书颁发机构(CA))可以使用该标识符来生成公钥证书,并且因此公钥可以与设备对应。密钥证书的标准格式的示例包括X.509、PGP、PEM、PKIX、PKCS#7、Publickeylfo和SHA-1以及本领域已知的其它合适格式。基于身份的加密技术也是已知的,其中用户名或用户的电子邮件地址被用作公钥/私钥对的公钥。因此,用户的身份被用作加密的基础。但是,设备不具有用户名或电子邮件地址,从而使得基于人身份的加密技术不适合于设备登记。因为系统管理员拥有登记受限设备所需的必要信息,所以,当资源确实变得可用时,可以比在资源不可用时未记录公钥的情况下更早地向受限设备提供合适的令牌并将其安全地登记到网络上。本领域普通技术人员将认识到其它优点。图1是示出了根据本公开中阐述的一个实施例的非专用的受限设备102和初始化服务器104之间的通信图的一个示例的框图。例如,初始化服务器104可以位于制造非专用的受限设备102的工厂。可以考虑其它位置。初始化服务器104可以包括生成公钥和私钥对并将其发放给非专用的受限设备102的密钥生成器106。私钥110可以经由通信链路114被发送并且被存储在非专用的受限设备102的存储器112中。可以在设备的制造阶段期间、在对设备进行测试时或者在制造周期的任何其它合适阶段将密钥对发放给设备。存储器112可以包括如本领域已知的随机存取存储器(RAM)、只读存储器(ROM)或者其任意合适组合,或者任何其它合适类型的存储器。可替代地,受限设备可以具有其自己内部的密钥生成器,而不是具有由外部密钥生成器向其发放的密钥对。也可以被存储在存储器112中的公钥与非专用的受限设备102的外表面上的标识符相关联。标识符(即,光学可读的)可以以多种方式被附加到受限设备。例如,公钥可以被打印在具有粘合剂的与设备的外表面接触的标签上、在使用设备之前存储该设备的容器(例如,包装)上,或两者兼有。公钥也可以在存储在容器内的插入物上。可以在不使用粘性标签的情况下将公钥打印、雕刻、压花或以其它方式直接标记在设备的外表面、设备的容器或两者上。标识符可以是条形码、QR码、指纹、序列号或者包含或引用公钥的其它合适的标识符。可替代地,标识符(诸如例如RFID标记)可以被嵌入到设备中。可以以任何其它合适的附加方式将标识符附加到设备或存储设备的容器上。为了易于说明,公钥标签108表示与非专用的受限设备102的外表面上的标识符相关联的公钥,但不限于这种说明。图2是示出根据本公开中阐述的一个实施例的登记设备202、授权服务器208和非专用的受限设备102之间的通信图的一个示例的框图。例如,授权服务器208可以位于将安装非专用的受限设备102的安装场所。可以考虑其它位置。在不需要在安装场所建立任何电源或网络的情况下,通过经由公钥标签108在非专用的受限设备102上显示公钥,系统管理员可以通过例如使用登记设备202(诸如相机或条形码读取器)的图像捕获能力204拍摄公钥的图片来记载公钥。登记设备202可以经由通信链路212向授权服务器208发送公钥的图片以及任何其它登记信息(诸如非专用的受限设备102的位置信息)。通信链路212表示电子手段(本文档来自技高网...
【技术保护点】
一种受限设备,包括:附加有与受限设备相关联的公钥的外表面;以及存储私钥的存储器,其中私钥与附加在受限设备的外表面上的公钥对应。
【技术特征摘要】
【国外来华专利技术】2015.07.10 US 62/190,996;2016.07.07 US 15/204,2341.一种受限设备,包括:附加有与受限设备相关联的公钥的外表面;以及存储私钥的存储器,其中私钥与附加在受限设备的外表面上的公钥对应。2.如权利要求1所述的受限设备,其中所述与受限设备相关联的公钥被打印在位于受限设备的外表面上的标签上。3.如权利要求1所述的受限设备,其中所述与受限设备相关联的公钥是被直接打印在受限设备的外表面上的公钥、被直接雕刻在受限设备的外表面上的公钥和被直接压花在受限设备的外表面上的公钥中的至少一个。4.如权利要求1所述的受限设备,其中所述与受限设备相关联的公钥作为标记被嵌入到受限设备中。5.如权利要求1所述的受限设备,还包括:密钥生成器,基于存储在密钥生成器的存储器中的至少一个域参数来生成设备的公钥和对应的私钥。6.如权利要求1所述的受限设备,其中附加的公钥被存储在存储器中。7.一种用于将受限设备登记到网络中的方法,所述方法包括:由授权服务器生成将受限设备登记到网络中的数据库条目,所述受限设备具有附加有与该受限设备相关联的公钥的外表面;由授权服务器生成用于受限设备的令牌;以及向受限设备发放令牌,以在网络中认证所述受限设备。8.如权利要求7所述的方法,其中所述与受限设备相关联的公钥被打印在受限设备的外表面上的标签上。9.如权利要...
【专利技术属性】
技术研发人员:T·E·莫瑟斯,
申请(专利权)人:因特鲁斯特公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。