CN105308607B - 受信任的装置 - Google Patents

Abstract

一种受信任的装置，例如手表2，具备认证电路26，用于执行认证操作，以将受信任的装置切换成认证状态。保持监测电路32在认证操作之后监测用户对受信任的装置的物理拥有，并且如果受信任的装置未保持被用户物理拥有，将受信任的装置从认证状态切换出来。尽管受信任的装置保持被用户物理拥有，使用通信触发电路38探测与目标装置建立通信的请求，目标装置是多个不同目标装置之一，通信电路40用于利用用户的认证身份与目标装置通信。

Description

受信任的装置

本发明涉及受信任的装置的领域。更具体而言，本发明涉及在与多个不同目标装置建立通信时使用的受信任的装置。

用户身份模块(SIM)是受信任的装置的很好的范例。它提供了一种“安全元件”计算机处理器，这种计算机处理器被设计成抵抗物理损害并拒绝未被授权方的电子通信，其被放在不控制装置上运行什么软件的最终用户手中，以便方便向他们交付服务。

无论是谁控制装置(授权方)，都会控制其上运行什么软件。因为这样在物理和加密方面都是安全的，所以他们相信运行于装置上的软件是他们放在上面的软件。他们能够信任软件充当其代理，例如授权持卡者使用服务，甚至有时在不与装置控制器通信时也能使用服务。装置控制器无须是使用装置提供服务的实体：他们可以充当看门人，授权第三方在装置上放置代理和信息。

范例：Gemalto N.V.制造SIM卡，将它们卖给Vodafone PLC，并代表Vodafone向Vodafone的客户邮寄它们。Vodafone的卡上有软件让其验证(如有必要，要证明)连接到其蜂窝网络的移动电话是由特定客户操作的，然后它能够记账。Vodafone可能还代表Visa向卡上分布了小软件程序，然后可以使用Visa的移动应用程序像操作Visa卡那样操作SIM卡，例如，验证PIN号码以授权支付。

在本发明的语境中，受信任的装置至少包括具有通信模块的安全元件，通信模块在安全元件的直接控制之下。那些模块可以包括近场通信(NFC)、其他无线链路和/或用户接口单元，例如按钮和显示器。于是，受信任的装置提供了一种直接与安全元件交互的方式，例如，使得可以在屏幕上输入PIN号码，并有把握其将发往运行于安全元件上，受信任的软件。

现代数字系统中出现的常见问题是需要与目标装置建立受信任的通信。这些目标装置可能相对而言在本地，例如，连接到家用wifi网络的平板计算机，或者可以更远，例如，使用智能电话访问由远程服务器管理并通过无线因特网连接访问的银行账户。当今采用的典型方案需要用户提供口令以在建立通信时向目标装置认证受信任的装置。这样可能需要用户记住大量不同的口令。随着用户可能希望与之通信的目标装置数量变大，例如，随着越来越多家用装置连接到物联网中，这个问题变得更严重。诸如智能电话的受信任的装置可以存储多个口令，用于要建立的多种连接。不过，在这种环境中，仍然需要通过提供口令保护受信任的装置自身来维护安全性，在受信任的装置上频繁输入口令的需要变得难以承担。此外，如果口令变成为另一方已知，纯粹基于口令的安全性就易受攻击。

另一种已知的安全形式依赖于用户拥有他们必须拥有的令牌(例如，代码发生器)，以及知道口令，以连接到目标装置。作为范例，连接到目标装置的安全性可能需要用户从令牌装置获得一次性代码，还需要输入口令，由此基于用户拥有的某些东西(即令牌)以及用户知道的某些东西(即口令)提供安全性。尽管这样的系统可以提供更高安全性，但它还减小了用户的便利性，因为形成连接需要更多步骤。

可以纯粹基于物理密钥的拥有而提供长期建立的安全形式。作为范例，拥有适当形状的金属钥匙可以为所有人提供打开上锁门户的能力。相当于拥有这样的物理钥匙的电子装置例如可以是拥有可用于打开以电子方式保证安全的门锁的门禁卡。尽管这样的系统使用较为快捷，但它们可能需要用户拥有多个物理钥匙，而且容易丢失这些钥匙，使得钥匙的未授权拥有者能够非法进入。

这些技术设法提供一种受信任的装置，该受信任的装置提供了一种与目标装置建立通信的安全方式，然而需要降低正在进行的用户操作水平，以建立那些通信。希望与之进行安全通信的目标装置数量增加时，这些优点尤其有用，例如在包含大量用户作为其正常日常生活一部分而可能希望与之通信的大量装置的环境中(即，在物联网环境中，其中很多常用装置包含嵌入的处理能力，用户希望与它们通信。

从一个方面看，本发明提供了一种受信任的装置，包括：

认证电路，所述认证电路被配置成利用认证操作认证物理拥有所述受信任的装置的用户身份，并由此将所述受信任的装置切换到认证状态；

保持监测电路，所述保持监测电路被配置成所述用户在所述认证操作之后对所述受信任的装置的物理拥有，并且如果所述受信任的装置不被所述用户物理拥有，将所述受信任的装置切换出所述认证状态；

通信触发电路，所述通信触发电路被配置成探测从目标装置接收的建立通信的请求，所述目标装置是多个不同目标装置之一；以及

通信电路，所述通信电路被配置成如果所述受信任的装置处于所述认证状态中，与所述目标装置通信。

这些技术提供了一种受信任的装置，可以通过由用户或对用户执行认证操作将受信任的装置切换成认证状态。在受信任的装置被切换成认证状态时，保持监测电路之后监测用户对受信任的装置的持续物理拥有，可以连续进行监测。如果判定受信任的装置保持被用户物理拥有(至少在预定概率水平上)，那么它保持处于认证状态中，而如果判定受信任的装置正从认证该装置的用户的物理拥有脱离，那么受信任的装置从认证状态移出。受信任的装置包括通信触发电路，通信触发电路探测与来自多个不同目标装置的目标装置建立通信的请求，如果受信任的装置仍然处于认证状态中，那么使用属于用户的适当集组的凭证使用通信电路与目标装置通信。

受信任的装置的一种范例使用情形是用户认证的可穿戴装置，例如，通过输入口令或利用生物测定特性进行认证，以便将受信任的装置切换到认证状态。之后，可穿戴受信任的装置例如通过生物测定测量或接近传感器监测其被用户持续物理拥有，并且如果判定受信任的装置从用户的物理拥有移出，则切换离开认证状态。如果判定受信任的装置在接收到与目标装置建立通信的请求时仍然被用户物理拥有，那么受信任的装置将例如通过利用受信任的装置之内存储的适当口令并利用用户的认证身份来建立该通信。例如，用户可以在一天开始时穿上它时一次性认证可穿戴受信任的装置，之后，在当天的其余时间期间，受信任的装置可以向目标装置供应任何必要的口令或其他凭证信息，指出可穿戴受信任的装置保持被用户物理拥有。

与目标装置的通信能够采取各种不同形式，例如向目标装置呈现包括如下一种或多种的凭证：应用程序界面密钥、数字证书、用户身份、口令、加密签名的数据，包括发送到受信任的装置用于作为询问-响应协议的一部分的签名的数据、接入控制数据和/或授权数据。

通信可以包括生成凭证，用于后续通信中，作为认证受信任的装置和目标装置的任一个或两者的一部分。

通信可以包括信息传输，例如配置数据、个性化偏好、网络设置、协议、收据、计算机程序、数据记录、事务记录和凭证。

可以利用选择算法(任选地可由用户配置)，自动选择沟通的凭证/信息。如有必要，可以通过人工用户选择来超驰自动选择，例如，信任装置建议要使用的凭证，用户确认这点或者选择另一个凭证，例如，来自给出的替代凭证列表。

“身份”由涉及并描述某人的一组信息构成。在日常生活中，我们的身份由我们的姓名、职称、电话号码和各种关于我们的、并被他人所知的其他信息构成，其他人将这些细节与拥有我们的物理特性的人相关联。通常通过政府发布的文献，例如护照，提供比我们当前的社交圈更大的语境中的身份，所述文献将我们的面貌特征与关于我们的特定细节相关联，所述细节例如是姓名和出生日期，以及诸如社会保险号的唯一政府标识符。在线的身份常常标准较低，仅用于令我们访问存储的状态，例如，通过登录到讨论论坛中。在这些情况下，身份可以由不超过用户名和口令构成。口令的目的与日常现实生活中我们的面部类似，因为它是任何其他人难以或不可能提供的凭证。

这种身份信息可以仅存储于受信任的装置上，或者可以有利地存储于或备份于独立的计算机系统上，所述独立计算机系统可能远离受信任的装置，从而允许用户替换或改变受信任的装置而无需重新建立它们所有的身份信息。

受信任的装置可以支持受信任的装置用户的多个身份，允许用户一旦经过认证就选择他们希望使用哪个身份。这样的身份可以被用作一种控制向目标装置发送的关于用户的信息量的方式。作为范例，一种认证的身份，例如用于与金融机构通信的身份，可能需要认证特定个人，因此，在这样的环境中可以使用用户唯一的认证身份(例如，全名)。不过，另一种形式的认证身份，例如当与地铁系统上的验票闸门通信时，可能仅需要将用户识别为成年人，并从受信任的装置之内的电子钱包扣除相关旅程的正确费用。在这些环境中，可能不希望向交通提供者提供用户的个体身份，以便保持用户的隐私，因此认证身份仅仅是希望支付合理费用的成年旅客。

多个不同的身份可以在各个方面不同。与相关且发送到目标装置的身份相关联的身份信息可以变化。或者，或此外，与身份相关联并在与目标装置通信期间使用的权利可以变化。作为范例，如果使用目标装置打开会议室的门锁，那么一个身份可以许可目标装置的用户向该房间接纳他们自己，而由目标装置支持的另一个身份可以允许用户打开该会议室的锁，并在一段时间之内接纳其他人，例如，如果用户有适当权利授权这种动作，打开会议室一个小时。

控制向目标装置发送的关于用户的信息量和类型的另一种方式是受信任的装置为其用户维护单一身份，包括为该用户存储的所有信息和凭证，但仅向每个目标装置呈现对该装置而言适当且必要的这种信息和凭证。

用于监测受信任的装置连续物理拥有的保持监测电路可以采取多种不同形式。例如，可以通过其连续接触相关用户或其连续接近用户预定范围之内，来判定受信任的装置的物理拥有。如果受信任的装置与用户物理接触，或者在用户一米之内，那么可以判定其保持在用户控制之下，因此其保持在其认证状态中是安全的。

保持监测电路的范例包括一个或多个探测电路，包括如下至少一种：扣钩，所述扣钩被配置成在扣钩处于闭合状态时将受信任的装置保持附着于用户；接触探测电路，所述接触探测电路被配置成利用来自用户的电信号中的一种或多种(例如，ECG、EEG等)以及受信任的装置和用户之间接触区域的温度，探测受信任的装置和用户之间的接触；用于测量受信任的装置和用户之间距离的接近探测电路，从而如果受信任的装置从用户移动超过特定距离，可以将受信任的装置从认证状态移出；在所述受信任的装置被所述用户物理拥有时被光屏蔽的光探测器(例如，在装置被用户穿戴时，可穿戴装置的表面上的被覆盖的光探测器)；被配置成探测所述用户的化学特性的化学探测器；配置成识别用户的一个或多个生物测定特性的生物测定探测器；配置成在用户移动时探测受信任的装置运动(例如，探测用户特性步态)的运动探测器；配置成探测植入物(例如，RFID标签或磁性纹身)接近的植入物探测电路；以及热通量探测电路，所述热通量探测电路具有多个温度传感器并被配置成探测通过装置的连续热通量，该装置与被用户拥有的装置一致(例如，穿戴的受信任的装置将由于用户身体的温暖而具有穿过装置的热通量)。

在一些实施例中，保持监测电路可以包括多个探测电路并被配置成组合那些探测结果以确定与自从将受信任的装置切换到其认证状态之后其保持在用户物理拥有中可能性度量对应的保持概率，并且如果保持概率降低到阈值概率以下，将受信任的装置从这种认证状态切换出来。组合多个探测结果能够改善保持监测电路的精确度和可靠性。

在一些实施例中，保持监测电路可以被配置成随着从上次认证操作之后过去的时间增加，而减小保持概率，这与任何保持探测结果无关。这可以用于确保以某种最小间隔重复认证操作，并反映出随着从上次认证操作过去的时间增加，对受信任的装置的连续物理拥有的置信度降低。

认证电路还可以采取多种不同形式。作为范例，认证电路可以包括如下一种或多种：用于识别用户的一个或多个生物测定特性的生物测定识别电路；配置成识别所述用户的指纹的指纹识别电路；配置成识别所述用户的面部的面部识别电路；配置成识别所述用户的一个或多个化学特性的化学识别电路；配置成识别所述用户的ECG信号的ECG识别电路；配置成识别所述用户的一个或多个生物阻抗特性的生物阻抗电路；配置成识别所述用户的步态的步态识别电路；以及配置成识别所述用户体内的植入物的植入物识别电路。

要认识到，也可以使用其他认证技术。可以在认证操作中使用这些传感器/探测器和技术的组合以提高切换到认证状态的安全性和可靠性。

在一些实施例中，对于后续认证与保持概率度量的组合，可以接受较不精确的认证操作，例如，如果保持概率表明用户可能保持物理拥有目标装置，即使正在请求进一步认证操作，也将比其他情况能够容忍新认证操作中更高比例的假肯定。

通信触发电路能够采取多种不同形式并通过多种不同方式被激活。作为范例，目标装置可以对如下至少一项做出响应：探测到目标装置和受信任的装置之间的距离小于阈值距离；探测到用户触摸目标装置(例如，通过用户身体的信号电传导)；(例如，从诸如远程服务器的远程源)接收到指定目标装置的消息；以及用户从可以触发与之通信的目标装置列表选择目标装置。

受信任的装置和目标装置均可以执行通信操作的它们自己一侧，与它们在那个时间点是否与任何其他装置通信无关。于是，受信任的装置和目标装置在它们彼此通信时都可以与其他装置在线或不在线。

通信电路可以被配置成在受信任的装置和目标装置之间提供双向通信。受信任的装置可以向目标装置认证自身，目标装置也可以向受信任的装置认证自身。

受信任的装置可以包括配置成显示来自目标装置的信息的显示器。可以将这种信息用于目标装置的操作或可用于补充或替代对与之通信的目标装置身份进行的确认，例如，可以触发受信任的装置以开始通信，并解锁用户的膝上型计算机，受信任的装置会显示指示，指出除非用户干预来阻止锁定操作，则执行这样的解锁操作。

在一些实施例中，通信电路可能要求在许可与目标装置通信之前，从用户接收确认输入，例如，可以要求用户确认他们希望在实际进行解锁之前解锁他们的膝上型计算机。

受信任的装置可以采取各种不同形式。例如，受信任的装置可以是可穿戴装置，例如项链。不过，受信任的装置的特定有用形式是手表的形式。

受信任的装置可以包括身份存储电路，该身份存储电路被配置成存储身份数据，以在如前所述利用认证身份通信时使用。身份数据可以包括一个或多个均具有关联的秘密数据(例如，口令或其他安全凭证)的公共身份标识符(例如用户ID)。

用户和受信任的装置之间建立的信任关系是可传递的。亦即，如果目标装置A信任受信任的装置B以正确认证其用户，且受信任的装置B相信其正在被其适当认证的用户C使用，那么该状况相当于A相信它正在被认证用户C适当使用。

于是，能够将由受信任的装置建立的信任关系扩展到超过目标装置，到达一个或多个等级的其他装置。与这些其他装置的通信使用了受信任的装置中存储的凭证和信息。最大许可数量的等级可以是根据所使用凭证的和/或可以由受信任的装置的用户输入设置。

从另一个方面看，本发明提供了一种受信任的装置，包括：

认证模块，所述认证模块用于利用认证操作认证物理拥有所述受信任的装置的用户身份，并由此将所述受信任的装置切换到认证状态；

保持监测模块，所述保持监测模块被配置成所述用户在所述认证操作之后对所述受信任的装置的物理拥有，并且如果所述受信任的装置不被所述用户物理拥有，将所述受信任的装置切换出所述认证状态；

通信触发模块，所述通信触发模块被配置成探测与目标装置建立通信的请求，所述目标装置是多个不同目标装置之一；以及

通信模块，如果所述受信任的装置处于所述认证状态中，所述通信模块用于与所述目标装置通信。

从另一个方面看，本发明提供了一种受信任处理的方法，包括如下步骤：

利用认证操作认证物理拥有所述受信任的装置的用户的身份，并由此将所述受信任的装置切换到认证状态；

所述用户在所述认证操作之后对所述受信任的装置的物理拥有，并且如果所述受信任的装置不被所述用户物理拥有，将所述受信任的装置切换出所述认证状态；

探测与目标装置建立通信的请求，所述目标装置是多个不同目标装置之一；以及

如果所述受信任的装置处于所述认证状态中，与所述目标装置通信。

结合附图阅读例示性实施例的以下详细描述，本发明的以上和其他目的、特征和优点将是清楚的。

图1示意性示出了手表形式的受信任的装置；

图2示意性示出了图1所示的两个手表相互通信；

图3示意性示出了与销售点终端通信的手表；

图4示意性示出了受信任的装置之内的电路；

图5示意性示出了指定多个认证身份的数据；

图6为流程图，示意性示出了将受信任的装置切换成认证状态，以及监测用户连续物理拥有受信任的装置时保持监测电路的动作；以及

图7示意性示出了保持概率随时间的变化。

图1示意性示出了手表形式的受信任的装置2。手表是一种可穿戴装置。其他形式的受信任的装置可以是项链、物理钥匙的钥匙链等。受信任的装置2包括具有显示器6的手表体4，可以在该显示器6上显示消息。提供指纹读取器8以对用户进行认证操作。按钮10为用户提供了与受信任的装置2通信的能力，从而确认或拒绝通信请求，选择目标装置，输入由受信任的装置2保存的保密数据等。受信任的装置2包括具有扣钩14的绑带12。可以配置扣钩14，使得在扣钩14打开时，它被受信任的装置2识别并用于将受信任的装置2从认证状态切换出来。穿戴受信任的装置2的用户可以利用指纹读取器8认证自己，从而将受信任的装置2切换到认证状态。然后可以在受信任的装置2保留在认证状态的时候，由受信任的装置2建立与目标装置的各种通信操作。如果受信任的装置2发现扣钩14已经打开，那么这会触发从认证状态切换出来，因为认为受信任的装置2保持在一开始利用其指纹认证受信任的装置2的用户的物理拥有(即，在控制下)中不再是安全的。

图2示意性示出了诸如图1所示的两个手表，在这两个手表之间触发并随后执行了通信。可以将这些手表16之一视为受信任的装置，可以将这些手表18的另一个视为目标装置。受信任的装置16可以与很多不同目标装置通信，以实现很多不同目的。在受信任的装置16和目标装置18进行通信时，受信任的装置16和目标装置18都可以离线(即，不与任何其他装置通信)。通信可以是，例如将虚拟密钥从一个用户传递到另一个用户，从而允许目标装置18的用户对由他们刚刚接收到的电子密钥(例如，口令)保证安全的装置执行动作或进行访问。一个范例是受信任的装置16的用户可以通过在受信任的装置16和目标装置18之间进行的适当安全(受信任)通信而为目标装置18的用户赋予在给定时间段内或永久使用其汽车的权利。

图3示出了一个范例，其中受信任的装置20呈手表的形式，目标装置22呈销售点终端的形式。销售点终端22通过因特网与例如商家或银行的远程服务器24通信。受信任的装置20通过因特网云与一个或多个其他装置通信。受信任的装置20和目标装置22之间的通信是双向的。销售点终端22可以请求穿戴受信任的装置20的用户为某物品进行支付。受信任的装置20的佩戴者可以通过例如按下按钮10确认显示的销售点22的身份和显示的要充值的量，因此这种确认被发回销售点终端22，销售点终端22然后可以通过其因特网链路与银行服务器24通信，以从受信任的装置20的用户的银行账户请求支付。此外，佩戴受信任的装置20的用户对批准交易的确认可以通过独立信道，利用因特网云被发送，以到达银行服务器24，并且相应指示授权相关交易。或者，从受信任的装置20向销售点终端22发回的数据可以包括充分多的加密数据，在由销售点终端22向银行服务器24转发时，加密数据指示受信任的装置20的用户已经正确地授权相关交易。

图4示意性示出了形成受信任的装置2的一部分的电路。该电路包括认证电路26，认证电路包括多个传感器28，30，作为认证操作的一部分该传感器用于识别用户。保持监测电路32具备多个探测器34、36，用于在将受信任的装置2切换成认证状态之后，监测受信任的装置2的被用户的物理拥有状态。使用术语传感器和探测器是为了辅助实现清晰而非暗示它们之间有任何特定差别。通信触发电路38和通信电路40连接到天线42以接收和发射信号。

通信触发电路38从目标装置接收请求以与受信任的装置2建立通信。通信电路40然后可以认证目标装置，如果目标装置通过了这一认证步骤，可以许可通信。之后，通信电路40利用用户的认证身份，在受信任的装置2保持在认证状态的时候，与目标装置进行通信。

图4中所示的电路包括耦合到存储器46的中央处理单元44，该中央处理单元44可用于协调和控制认证电路26、保持监测电路32、通信触发电路38和通信电路40的活动。存储器46可以存储由中央处理单元44执行的程序，以及指定与用户相关联的多个不同身份的数据。这些多个不同身份可以在与每个身份相关联并与目标装置通信的身份信息方面有所不同(例如，可以提供多个用户ID)。多个身份也可以在与那些身份相关联并在与目标装置通信期间使用的权利方面有所不同(例如，特定认证的身份向其授予什么安全权利)。存储器46能够充当身份存储电路，身份存储电路存储身份数据，用于利用认证身份进行通信。身份数据可以包括一个或多个均具有关联的秘密数据(口令)的公共身份标识符。

与保持监测电路32相关联的探测器电路34、36可以采取多种不同形式。这些探测电路的范例包括图1中所示的扣钩14，用于在扣钩处于闭合状态时保持受信任的装置附着于用户，该扣钩14受到保持监测电路32监测，使得如果扣钩从闭合状态改变出来(例如，打开扣钩从而能够从用户的手腕移走手表)，受信任的装置从认证状态切换出来。

探测电路的另一个范例是接触探测电路，接触探测电路被配置成利用来自用户的一个或多个电信号(例如，ECG、EEG等)和/或受信任的装置和用户之间接触区域的温度，探测受信任的装置和用户之间的接触。接触探测电路可以监测用户的心跳，并且如果这个信号丢失，那么这将表示受信任的装置不再由一开始认证该装置并将其切换到认证状态的用户物理拥有并因此在其控制之下。可以监测受信任的装置和用户之间接触区域的温度以确保其保持与用户佩戴的受信任的装置一致，如果温度变化表明受信任的装置不再被用户佩戴，则将受信任的装置切换出认证状态。

可以使用的另一种形式的探测电路是被配置为探测受信任的装置的接近和用户佩戴的接近装置的接近探测电路。于是，用户可以有呈例如戴在其手指上的指环形式的接近装置，受信任的装置可以监测自己和指环之间的距离，使得如果其超过特定阈值，那么它会指出受信任的装置(手表)不再被用户佩戴。

可以由保持监测电路使用的其他形式的探测电路包括光探测器，在用户物理拥有受信任的装置时，屏蔽该光探测器使其被光遮蔽，例如，手表背面的光探测器，使得在手表佩戴于用户手腕上时，这个光探测器不会接收到光。从用户手腕取下手表允许光探测器接收光，这表示手表已经取下，因此手表可能不再被一开始认证该受信任的装置的用户物理地拥有。

由保持监测电路使用的探测电路的另一种形式是化学探测器，该化学探测器被配置成探测用户的化学特性，例如，用户皮肤化学性质的特定特性。更一般地，可以使用生物测定探测器识别用户的一个或多个生物测定特性，使得如果那些生物测定特性被中断，那么这表示受信任的装置不再被用户物理地拥有。运动传感器可以被配置成在受信任的装置被用户物理拥有的时候，探测当用户移动时受信任的装置的运动。于是，例如，运动传感器可以用于探测用户的特性步态，并且如果接收不到这种步态，那么这意味着受信任的装置不再被原始用户物理拥有。可以使用植入探测电路探测用户体内的植入物和受信任的装置的接近状况。用户体内的植入物可以是放在用户皮肤之下，接近他们佩戴其手表的位置的RFID标签。可以由保持监测电路使用的电路另一范例是具有多个温度传感器且用于探测通过受信任的装置的热通量的热通量探测电路。被佩戴的装置通常具有通过该装置的热通量，该热通量对应于穿过该装置的用户身体的热量，可以监测这种热通量以不间断形式继续的状况，作为受信任的装置被用户物理拥有的连续保持的指标。

尽管受信任的装置可以包括单个探测器34、36用于监测保持状况，但在一些实施例中，可以提供多个这样的探测电路，并将来自它们的探测结果组合以确定受信任的装置被用户物理拥有的保持概率。如果需要，可以从单个探测器确定保持概率，不过组合多个探测结果可以提高可监测用户持续物理拥有受信任的装置的可靠性。有很多方式可以通过算法组合这样多个不同的探测结果。组合结果可能给出保持概率，如果保持概率降低到阈值概率之下，那么这可能足以触发受信任的装置以切换出认证状态。在一些实施例中，保持监测电路32可以被配置成随着从上次认证操作(例如，有效指纹识别操作)之后过去的时间增加，而减小保持概率。于是，保持概率会随着自从有效认证操作之后过去的时间而逐渐减小，从而其最终会降到阈值概率水平之下，并且即使保持监测电路指出受信任的装置保持在用户拥有之内，也将受信任的装置切换出认证状态。可以使用这种行为迫使执行周期性重新认证。

与保持监测电路32使用的探测器电路34、36可以采取多种不同形式的方式类似，认证电路26也可以包括一个或多个不同的传感器28、30，用于执行认证操作，以认证物理拥有受信任的装置的用户身份，由此将受信任的装置切换到认证状态。传感器28、30可以包括生物测定识别电路，其被配置成识别用户的一个或多个生物测定特性。另一个范例是指纹读取器8，其能够识别用户的指纹。面部识别电路是另一个可能，例如，通过手表2的表面中的摄像机，其使用面部识别算法，来认证佩戴手表的用户身份。可以提供化学识别电路以识别用户皮肤的特征化学性质。其他形式的传感器28、30包括被配置成识别特定用户的特征ECG信号的ECG识别电路，被配置成识别用户的一个或多个生物阻抗特征的生物阻抗电路，被配置成识别用户特征步态(运动)的步态识别电路，以及被配置成识别用户体内植入物的植入物识别电路。要认识到，可以有更多不同的可能性用于认证用户并且将受信任的装置2切换到认证状态。可以使用这些替代技术替代上文阐述的那些或与它们组合。

可以将认证电路26的动作与保持监测电路32的动作组合。如上所述，可能需要周期性重复认证受信任的装置2。如果要执行特定的敏感通信操作，也可能需要重复认证，例如，可以基于受信任的装置2处于认证状态中而自动授权进行花费少量金钱的交易授权，而授权更大量金钱的交易可能需要重复认证，即使受信任的装置处于认证状态中也是如此。

还要认识到，在一些实施例中，不需要用户主动注意的认证电路可以同时充当保持监测电路。

在出于任何理由请求重新认证时，如果保持监测电路32指出自从前一次认证操作之后，受信任的装置2一直被用户物理拥有，那么可以容忍重复认证中的高比例的假肯定，并且因此可以接受比本来的情况相比对于个体的较不精确的识别，来重新认证装置。通过类似方式，与前一次认证操作时间上接近执行的重复认证可能需要比本来更不精确的对于个体用户的识别(即，容忍更高比例的假肯定)。这样的特征通过许可更容易的重新认证来改善了可用性，同时不会显著降低系统安全性，因为所需要的实际上是对于受信任的装置2的认证“加注”，而不是从完全不受信任状态进行认证。

通信触发电路38可以被配置成响应于多个不同的激励而触发目标装置的通信。触发与目标装置通信的范例可以包括探测到目标装置和受信任的装置之间的距离小于阈值距离。于是，在图3的语境中，可以将受信任的装置20移动到销售点终端22几厘米之内，以发起通信，或者可以向销售点终端22“撞击”受信任的装置20，以发起通信。能够触发通信的另一种激励形式是探测到用户触摸目标装置。可以利用从佩戴在用户手腕上的受信任的装置2通过用户皮肤/身体到目标装置的电连接来探测目标装置的物理触摸。这种利用触摸激活通信的技术有利地在可能在受信任的装置2的无线通信之内包含多个目标装置的环境中以直观且唯一地方式识别目标装置。可以触发通信的其他形式的激励是接收到指定目标装置的消息(例如，从另一个人或远程服务器接收到远程消息)和/或用户从目标装置列表人工选择要触发与其通信的目标装置。

可以允许受信任的装置和/或目标装置两者都在彼此之间在一个方向或双向地通信，而无关于它们在那个时间点是否与任何其他装置通信，即，许可受信任的装置和目标装置在它们与其他装置离线时通信。或者，可以仅在目标装置或受信任的装置自身与另一个装置在线时许可通信。

通信可以包括向目标装置呈现凭证，凭证包括如下一个或多个：应用程序界面密钥、数字证书、用户身份、口令和加密签名的数据。通信还可以涉及/触发创建凭证以用于后续通信。通信可以涉及信息传输，例如配置数据、个性化偏好、网络设置、协议、收据、计算机程序、数据记录、事务记录和凭证中的至少一种。在某些范例实施例中，受信任的装置2和目标装置18之间的信息传输发生于在那些装置之间建立受信任关系之前，以在建立关系时加快操作，例如，目标装置18可以在受信任的装置2上的认证操作激活具有那些凭证的受信任的装置2之前发送凭证。

图4中还示出了用于驱动受信任的装置2上的显示器6的显示器驱动电路46。这个显示器6可用于显示来自目标装置的信息，例如指定当前与之通信的目标装置身份的信息，表示要认证的事务值的消息等。中央处理单元44可以在显示器6上向用户显示消息，指出用户必须在许可与目标装置通信之前，来提供一些以确认输入为形式的其他信息。例如，可以利用按钮10做出这样的确认输入，以确认许可特定的销售点终端22或传输系统以从经由受信任的装置访问的银行账户或受信任的装置上加载的现金基金扣除物品费用或旅行票据的费用。

受信任的装置2还可以提供用户界面，可以通过用户界面代表目标装置18从用户接收输入，该输入被传递回目标装置18，以供目标装置使用，例如，可以在受信任的装置2的用户界面上显示用于配置目标装置18的菜单选项，并在其间进行选择。

通信电路40还可以包括目标认证电路，用于利用从目标装置接收的信息认证目标装置。于是，目标装置和受信任的装置可以在执行通信之前认证另一方的身份。这样能够提高系统的安全性。

图5示意性示出了与用户的多个不同身份相关联的身份信息。身份0可以指定用户的个体名称(或用户ID)以及用于用户可与之通信的不同服务或装置的一个或多个口令。作为范例，个体用户可以具有口令，该口令用于其银行、其正门锁、其膝上型计算机等。第二身份可以是身份1，其指出用户是特定建筑物的承租人，并且与该身份相关联的秘密信息是承租人生活所在建筑物的停车场大门的口令。于是，可以使用受信任的装置安全地提供停车场口令而无需赋予停车场系统过多关于用户的私密信息，因为用户的个体身份在通信中未被揭示，而仅仅揭示了用户是建筑物的承租人以及他们拥有适当的停车场口令。通过类似方式，另一个身份可以是用于公共交通系统上的身份2，并指出相关用户是成年旅客，他们有若干保存在受信任的装置中的旅行信用，在拥有处于其认证状态中的受信任的装置2的用户通过运输系统的验票闸门以进入运输系统时，可以从旅行信用中扣除旅行费用。通过与前一身份类似的方式，使用这个身份仅仅将用户识别为成年旅客允许验票闸门的操作员确认该成年旅客正在通过验票闸门，而无需给出不需要的标识该旅客个体身份的不必要私密信息。

要认识到，也可以通过调节根据每个目标装置给出的该组身份信息来实现这种隐私保留特征。

可以响应于探测到的通信参数，利用选择算法(该算法可以任选地由用户配置)，自动选择被发送的凭证/信息。该算法可以产生建议的凭证或信息，以与用户在希望时可以人工选择的替代物列表一起发送。

图6为流程图，示意性示出了将受信任的装置2切换成认证状态，以及监测用户连续物理拥有受信任的装置。在步骤48，执行认证操作。这个认证操作可以是，例如指纹识别操作。步骤50判断认证是否满足阈值置信水平。如果不满足阈值置信水平，然后处理返回到步骤48。这一阈值置信水平对应于容忍的假肯定程度。如前所述，这个阈值置信水平可以根据自上次成功认证操作之后的时间或根据由保持监测电路32指示的保持概率而改变。

如果步骤50处的测试是在步骤48处执行的认证操作超过阈值置信水平，那么步骤52将受信任的装置2切换到认证状态。步骤54读取保持探测器34、36，步骤56确定保持概率(通过组合探测信号)，保持概率表示自从在步骤48执行成功认证操作之后受信任的装置2保持在连续物理拥有(用户控制)中的可能性。步骤58判断保持概率是否下降到阈值以下。如果保持概率确实下降到阈值以下，那么处理继续进行到步骤60，在此将受信任的装置切换出认证状态，处理返回到步骤48。如果步骤58处的测试为保持概率高于阈值，那么处理继续进行到步骤62，其中，判断是否探测到要触发与之通信的任何目标装置。如果未探测到这样的目标装置，那么处理返回到步骤54，由此再次读取保持探测器34、36，并执行保持概率的更新，以监测受信任的装置的连续物理拥有，同时它保持在认证状态之内。

如果步骤62处的判断是已经探测到目标装置，那么步骤64从多个身份中选择要用于和该目标装置通信的身份。例如，用户可以通过从显示器6上显示的列表选择来进行这种选择。或者，可以从目标装置的身份推断要使用的身份，例如，停车场大门可能仅需要与正确授权的承租人和要使用的停车场口令对应的身份。步骤66使用通信电路40，利用在步骤64选择的身份与目标装置建立通信。处理然后返回步骤54，在此监测目标装置的连续进一步保持。

图7为曲线图，示意性示出了计算的保持概率(步骤56)可能随时间如何变化。在受信任的装置初始认证成认证状态时，将保持概率增大到高于用于触发重新认证的阈值以上的较高值。这一保持概率然后逐渐随着上次认证之后过去的时间而减小。在A和B之间的一段时间中，两个保持探测器在报告受信任的装置2保持被用户物理拥有。因此，保持概率降低的速率较低。在时间B和C之间，仅有单个保持探测器在适当报告受信任的装置2被用户连续物理拥有，因此保持概率的降低速率增加。在时间C和D之间，再次有两个保持探测器报告装置的连续保持，并因此减小速率降低，尽管如此，在时间D仍降到触发重新认证的阈值。在时间D，触发并执行重新认证操作，但比在时间A之前进行初始认证能够接受更高比例的假肯定。在时间E，用户失去对装置的物理拥有，例如，可以由没有保持探测器报告装置的物理拥有来指出，或者由诸如手表勾扣14的主探测器指出装置已经被取下来来指出。

像由受信任的装置实现的基本传递信任模型那样，使用它能够非常灵活地且无缝地建立和使用复杂信任关系。例如：用户获得其手表的信任(指纹，佩戴它等)，它们利用受信任的手表认证到膝上计算机，接下来用户访问的所有网站都自动使用受信任手表中的凭证登录，然后这些网站中的一些网站可以自动使用手表中的凭证以进一步访问其他网站上的资源。有多少等级的传递关系可以是根据受信任手表上凭证和/或可控件的。

本技术在控制访问/认证中的另一范例使用是，如果用户在一个等级上建立了关系，例如，用户变成某机构的雇员，那么可以使用其来推断该用户在不同等级的权利，例如，门进入机构的办公室，与该机构使用的旅行社之间的用户账户等。另一个范例会是，如果用户在拥有者等级上变成装置的所有者，那么这可以赋予各种权利以使用在不同等级被控制的装置。与不同等级的通信可以是本地(例如，在同一装置上)或远程(例如，通过因特网)的。

这种关系的另一个范例如下。用户购买门铃按钮。它给予用户“所有者密钥”。用户在其平板计算机上访问www.homecontols.com，其中网站弹出对话，说道“您有新装置了！让家庭控制器控制这些吗？”用户说到是，他们的受信任手表要求用户确认。用户点击受信任手表上的按钮以确认。现在家庭控制器能够监测用户的门铃按钮，并通过其先前连接的HiFi系统在用户房中生成门铃声音。

另一个范例如下。用户打开www.NHS.gov.uk并进入预防医学咨询服务。它要求连接到用户具有的任何“定量自我”资源，用户同意，用户的受信任手表发出蜂鸣声，并显示请求确认的消息，用户点击“确认”按钮，NHS.gov.uk暂时能够获得用户的fitbit.com日志、用户的polar.com培训日志、来自用户的健身房使用的数据、来自用户的Google眼镜的进餐照片的“食物摄入”等。NHS.gov.uk向能够使用它们的各种第三方服务发出这种用于分析的数据，校对结果，将报告放在一起，并为用户展示用户能够移动滑块到其期望预期寿命的页面，它告诉用户他们需要做出什么生活方式改变以有较好的机会实现其目标。在用户离开时，NHS.gov.uk忘记用户的所有信息，因为它从不知道用户是谁，仅仅知道用户是英国公民。第三方服务也会忘记，因为它们与NHS签订协议，它们必须要忘记。尽管在删除个体数据之前，网站也可以更新其汇总的数据集。

尽管本文已经参考附图详细描述了本发明的例示实施例，但要理解，本发明不限于那些精确实施例，本领域的技术人员可以在其中进行各种变化和修改而不脱离所附权利要求定义的本发明的范围和精神。

Claims (30)

1.一种受信任的装置，包括：

认证电路，所述认证电路被配置成利用认证操作来认证物理拥有所述受信任的装置的用户，并由此将所述受信任的装置切换到认证状态；

保持监测电路，所述保持监测电路被配置成监测所述用户在所述认证操作之后对所述受信任的装置的物理拥有，并且如果所述受信任的装置不被所述用户物理拥有，将所述受信任的装置切换出所述认证状态；

通信触发电路，所述通信触发电路被配置成探测从目标装置接收的建立通信的请求，所述目标装置是多个不同目标装置之一；以及

通信电路，所述通信电路被配置成如果所述受信任的装置处于所述认证状态中，与所述目标装置通信。

2.根据权利要求1所述的受信任的装置，其中，与所述目标装置的所述通信包括向所述目标装置呈现凭证，凭证包括如下一个或多个：应用程序界面密钥、数字证书、用户身份、口令和加密签名的数据。

3.根据权利要求1或2所述的受信任的装置，其中，与所述目标装置的通信包括生成在后续认证中可用的凭证。

4.根据权利要求1或2所述的受信任的装置，其中，与所述目标装置的所述通信包括传输信息，所述信息包括配置数据、个性化偏好、网络设定、协议、收据、计算机程序、数据记录、事务记录和凭证中的至少一种。

5.根据权利要求2所述的受信任的装置，其中，所述受信任的装置自动选择使用哪些凭证。

6.根据权利要求4所述的受信任的装置，其中，所述受信任的装置自动选择使用哪些信息。

7.根据权利要求5或6所述的受信任的装置，其中，所述自动选择中使用的自动选择标准受用户配置的支配。

8.根据权利要求5或6所述的受信任的装置，其中，所述受信任的装置许可用户人工改变已经自动做出的选择。

9.根据权利要求1或2所述的受信任的装置，其中，所述保持监测电路包括一个或多个探测电路，所述探测电路包括如下至少一个：

扣钩，所述扣钩被配置成在所述扣钩处于闭合状态时保持所述受信任的装置附着于所述用户，如果所述扣钩从所述闭合状态变化离开，所述保持监测电路将所述受信任的装置从所述认证状态切换出来；

接触探测电路，所述接触探测电路被配置成使用如下一种或多种来探测所述受信任的装置和所述用户之间的接触：从所述用户探测的电信号；所述受信任的装置和所述用户之间接触区域的温度；

接近探测电路，所述接近探测电路被配置成探测所述受信任的装置和所述用户佩戴的接近装置的接近；

光探测器，在所述受信任的装置被所述用户物理拥有时被遮光；

化学探测器，所述化学探测器被配置成探测所述用户的化学特性；

生物测定探测器电路，所述生物测定探测器电路被配置成识别所述用户的一个或多个生物测定特性；

运动传感器，所述运动传感器被配置成在所述受信任的装置处于所述受信任的装置的物理拥有中时，当所述用户移动时，探测所述受信任的装置的运动；

植入物探测电路，所述植入物探测电路被配置成探测所述用户体内的植入物的接近；以及

热通量探测电路，所述热通量探测电路具有多个温度传感器并被配置成探测通过所述受信任的装置的热通量。

10.根据权利要求9所述的受信任的装置，其中，保持监测电路包括多个探测电路并被配置成组合来自所述多个探测电路的探测结果以确定所述受信任的装置被所述用户物理拥有的保持概率，并且如果所述保持概率降低到阈值概率水平以下，将所述受信任的装置从所述认证状态切换出来。

11.根据权利要求10所述的受信任的装置，其中，所述保持监测电路被配置成在所述认证操作后随着时间增加而减小所述保持概率。

12.根据权利要求1或2所述的受信任的装置，其中，所述认证电路包括如下至少一种：

生物测定识别电路，所述生物测定识别电路被配置成识别所述用户的一个或多个生物测定特性；

化学识别电路，所述化学识别电路被配置成识别所述用户的一个或多个化学特性；

心电图ECG识别电路，所述ECG识别电路被配置成识别所述用户的ECG信号；

生物阻抗电路，所述生物阻抗电路被配置成识别所述用户的一个或多个生物阻抗特性；

步态识别电路，所述步态识别电路被配置成识别所述用户的步态；以及

植入物识别电路，所述植入物识别电路被配置成识别所述用户体内的植入物。

13.根据权利要求12所述的受信任的装置，其中，所述生物测定识别电路包括如下至少一种：

指纹识别电路，所述指纹识别电路被配置成识别所述用户的指纹；

面部识别电路，所述面部识别电路被配置成识别所述用户的面部。

14.根据权利要求12所述的受信任的装置，其中，所述认证电路被配置成在识别所述用户时接受具有假肯定的接受概率的认证操作，所述接受概率在前一次肯定认证操作后随着时间减少而增加。

15.根据权利要求12所述的受信任的装置，其中，所述保持监测电路产生保持概率以指示自从前一次肯定认证操作之后所述受信任的装置依然被所述用户物理拥有的概率，所述认证电路被配置成在识别所述用户时接收具有假肯定的接受概率的认证操作，所述接受概率随着保持概率增大而减小。

16.根据权利要求1或2所述的受信任的装置，其中，所述通信触发电路被配置成响应于如下至少一项触发与所述目标装置通信：

探测到所述目标装置和所述受信任的装置之间的距离小于阈值距离；

探测到所述用户触摸所述目标装置；

接收到指定所述目标装置的消息；

所述用户从装置列表选择所述目标装置。

17.根据权利要求1或2所述的受信任的装置，其中，所述通信电路被配置成独立于所述受信任的装置和任何其他装置之间的通信可用性而与所述目标装置通信。

18.根据权利要求1或2所述的受信任的装置，其中，所述通信电路被配置成独立于所述目标装置和任何其他装置之间的通信可用性而与所述目标装置通信。

19.根据权利要求1或2所述的受信任的装置，其中，所述通信电路被配置成在所述受信任的装置和所述目标装置之间提供双向通信。

20.根据权利要求的1或2所述的受信任的装置，还包括被配置成显示来自所述目标装置的信息的显示器。

21.根据权利要求1或2所述的受信任的装置，其中，所述通信电路被配置成从所述目标装置接收信息，并且还包括目标认证电路，所述目标认证电路被配置成利用从所述目标装置接收的所述信息认证所述目标装置。

22.根据权利要求1或2所述的受信任的装置，其中，所述通信电路包括确认电路，所述确认电路被配置成在许可与所述目标装置通信之前，要求从所述用户接收确认输入。

23.根据权利要求1或2所述的受信任的装置，其中，所述受信任的装置是可佩戴装置。

24.根据权利要求23所述的受信任的装置，其中，所述可佩戴装置是手表。

25.根据权利要求1或2所述的受信任的装置，包括身份存储电路，所述身份存储电路被配置成存储用于在利用认证的身份的所述通信中使用的身份数据，所述身份数据包括一个或多个均具有关联秘密数据的公共身份标识符。

26.根据权利要求1或2所述的受信任的装置，其中，所述目标装置与一个或多个等级的其他装置通信。

27.根据权利要求26所述的受信任的装置，其中，与所述一个或多个等级的其他装置的所述通信使用了所述受信任的装置中存储的凭证。

28.根据权利要求27所述的受信任的装置，其中，所述一个或多个其他装置的等级的最大许可数量是根据如下一项或多项的：

使用的凭证；以及

所述受信任的装置的用户输入。

29.一种受信任的装置，包括：

认证模块，所述认证模块用于利用认证操作认证物理拥有所述受信任的装置的用户，并由此将所述受信任的装置切换到认证状态；

保持监测模块，所述保持监测模块用于监测所述用户在所述认证操作之后对所述受信任的装置的物理拥有，并且如果所述受信任的装置不被所述用户物理拥有，将所述受信任的装置切换出所述认证状态；

通信触发模块，所述通信触发模块被配置成探测从目标装置接收的建立通信的请求，所述目标装置是多个不同目标装置之一；以及

通信模块，如果所述受信任的装置处于所述认证状态中，所述通信模块用于与所述目标装置通信。

30.一种受信任处理的方法，包括以下步骤：

利用认证操作认证物理拥有所述受信任的装置的用户，并由此将所述受信任的装置切换到认证状态；

监测所述用户在所述认证操作之后对所述受信任的装置的物理拥有，并且如果所述受信任的装置不被所述用户物理拥有，将所述受信任的装置切换出所述认证状态；

探测从目标装置接收的建立通信的请求，所述目标装置是多个不同目标装置之一；以及

如果所述受信任的装置处于所述认证状态中，与所述目标装置通信。