CN107111697A - 对于所连接的消费者设备的基于角色的访问控制 - Google Patents
对于所连接的消费者设备的基于角色的访问控制 Download PDFInfo
- Publication number
- CN107111697A CN107111697A CN201580056220.9A CN201580056220A CN107111697A CN 107111697 A CN107111697 A CN 107111697A CN 201580056220 A CN201580056220 A CN 201580056220A CN 107111697 A CN107111697 A CN 107111697A
- Authority
- CN
- China
- Prior art keywords
- role
- user account
- access
- user
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
一种处理设备,关于用户账户对用户的计算设备进行鉴权。所述处理设备确定与用户账户关联的角色,并且基于所述角色而附加确定对一个或多个资源的访问许可。所述处理设备然后向所述计算设备批准访问物联网(IoT)解决方案中要保护的一个或多个资源。
Description
背景技术
很多现代电器、消费者设备以及其它设备包括被配置为执行一个或多个专用功能的嵌入式系统。然而,这些设备的大多数嵌入式系统不包括联网能力、基于角色的访问控制能力、远程接口能力、远程控制能力或相关能力。将这样的功能设计到嵌入式系统中、设计用于访问这些功能的应用编程接口(API)、设计能够经由这种添加的功能与嵌入式系统进行通信及对其进行控制的web服务、以及设计用于利用该功能的应用可能会消耗设备制造商的大量资源。
此外,对于包括嵌入式系统的大多数设备的访问控制难以编码到嵌入式系统中,且不灵活。在设计时,制造商通常对于嵌入式系统设置单个访问策略,并且该单个访问策略会针对所有用户而在设备的使用寿命期间持续,而不管这些用户是谁。
附图说明
现在将参考示出本申请的示例实施方式的附图,其中:
图1是描述示例网络架构的框图;
图2A是访问控制管理器的示例实施方式的框图;
图2B示出关于设备资源的示例资源层级;
图2C示出关于OEM的示例角色层级;
图3是生成关于联网设备平台的新角色的示例方法的流程图;
图4是对设备授予令牌的示例方法的流程图,其中该令牌指示与该设备关联的角色;
图5是共享对联网设备的访问的示例方法的流程图;
图6是转移联网设备的所有权的示例方法的流程图;
图7是将联网设备平台中的角色伪装为另一更低等级角色的示例方法的流程图;
图8是具有远程可访问嵌入式系统的示例设备的框图;以及
图9示出计算设备的一个实施方式的框图。
具体实施方式
物联网(IoT)演进已经使得消费者和原始设备制造商(OEM)能够通过前所未有的方式与他们的所连接设备进行交互。购买所连接设备的消费者期待能够以安全的方式控制他们的设备。他们应当还能够将他们的设备与他们的朋友和家庭共享,同时仍保持对如何及何时访问他们的设备进行控制。对于构建所连接设备的OEM,从他们的设备获得数据可提供很多信息。典型使用情况包括分析、审核和故障定位。由于可以请求访问联网设备的大量不同实体以及它们变化的需求,基于实体的角色(例如,在公司内,在住宅中等)而提供不同访问等级是有益的。此外,出于法律、隐私和安全原因,在用户与他们的设备进行交互的同时执行访问控制策略是重要的。
实施方式涉及一种联网设备平台(又称为物联网(IoT)云平台或简称IoT平台),其提供对联网设备和其它资源的访问的灵活控制。IoT平台生成角色并且将角色分配给用户账户。每个角色批准用户账户访问一资源集合。角色的示例包括终端用户或消费者角色、原始设备制造商(OEM)管理者角色、OEM账户管理员角色、交易商角色、技术人员角色等。OEM管理者角色可以访问组织中的所有OEM用户简档以及作为OEM产品的消费者的人员的终端用户简档。如果消费者批准交易商访问,则交易商角色可以访问消费者简档以及其它信息。资源可以是联网设备、联网设备的属性或参数、其它用户等。IoT平台可以在任何时间生成对资源具有独特的许可集合的新角色,并且将新角色应用于现场中已有的资源集合(例如已经销售给消费者的那些)。相应地,实施方式提供灵活的框架用于管理对资源的访问,特别是对联网设备例如嵌入式系统的访问。
在一个实施方式中,处理设备针对用户账户对用户的计算设备进行鉴权。处理设备确定与用户账户关联的角色,其中,该角色控制对一个或多个资源的访问许可,所述一个或多个资源包括一个或多个联网设备。处理设备将令牌提供给计算设备,令牌可用于确定与用户账户关联的角色。该处理设备或另一处理设备、系统或服务于是基于令牌批准计算设备对所述一个或多个资源的访问。
现参考附图,图1是描述示例网络架构100的框图,网络架构100包括远程可访问嵌入式系统和与嵌入式系统进行交互的计算设备。网络架构100包括连接到局域网(LAN)165A的多个设备135A-135C以及计算设备105B。网络架构100还包括连接到另一LAN 165B的设备135D-135E。设备135A-135E是具有嵌入式系统150A-150E的设备,并且可以包括例如电子电器(例如冰箱、烤箱、洗衣机、干燥机、洗碗机、恒温器、报警器、空调器、电视、无线电、接收机、放大器等)。设备135A-135E可以还包括消费者设备(例如数码手表、音乐播放器、游戏控制台、数码相机、打印机等)。设备135A-135E的其它示例包括固定设备(例如HVAC系统、交通灯、工厂控制器、标牌、电子广告牌、喷洒器系统和灌溉控制系统以及医疗设备)。设备135A-135E也可以是包括嵌入式系统的任何其它类型的设备。
嵌入式系统150A-150E是嵌入到另一设备中作为该设备的一个部件的一类计算设备。设备135A-135E通常还包括可以与嵌入式系统150A-150E进行对接的其它硬件、电气部件和/或机械部件。嵌入式系统150A-150E通常被配置为处理特定任务或任务集合,嵌入式系统150A-150E可以针对该特定任务或任务集合进行优化。相应地,与普通计算设备相比,嵌入式系统150A-150E可以具有最小成本和尺寸。
嵌入式系统150A-150E可以各自包括通信模块(未示出),其使得嵌入式系统150A-150E(因而设备135A-135E)能够连接到LAN 165A、165B或无线载波网络(其例如使用各种数据处理设备、通信塔等所实现)。通信模块可以被配置为:管理安全性,管理会话,管理访问控制,管理与外部设备的通信等。在一个实施方式中,通信模块被配置为:使用进行通信。可替选地,通信模块可以被配置为:使用针对低功率无线域网络的互联网协议版本6(6LowPAN)、电力线通信(PLC)、以太网(例如10兆字节(Mb)、100Mb和/或1吉字节(Gb)以太网)或其它通信协议进行通信。如果通信模块被配置为与无线载波网络进行通信,则通信模块可以使用全球移动通信系统(GSM)、码分多址(CDMA)、通用移动通信系统(UMTS)、3GPP长期演进(LTE)、微波接入全球互通(WiMAX)或任何其它第二代无线电话技术(2G)、第三代无线电话技术(3G)、第四代无线电话技术(4G)或其它无线电话技术进行通信。以下参考图8更详细地描述嵌入式系统的一个示例。
再次参考图1,LAN 165A、165B可以各自包括路由器、交换机、桥接器或使得能够在连接到LAN 165A、165B的多个设备之间进行通信的其它网络设备(未示出)。网络设备可以使用例如以太网端口、通用串行总线(USB)端口和/或端口提供与LAN的有线连接。网络设备可以使用例如Wi-Fi收发机另外提供与LAN的无线连接。
一些嵌入式系统150A-150E可能不支持网络设备所支持的任何通信类型。例如,设备135A可以支持Zigbee,并且设备135B可以支持蓝牙。为了使得这些设备能够连接到LAN165A,LAN 165A可以包括经由网络设备所支持的连接类型之一(例如,经由以太网或Wi-Fi)连接到网络设备的网关设备190。网关设备190可以另外支持其它通信协议(例如Zigbee、PLC和/或蓝牙),并且可以在所支持的各通信协议之间进行转译。相应地,一些设备可以通过网关设备190连接到LAN 165A。
LAN 165A、165B(或无线载波)连接到广域网(WAN)170。WAN 170可以是私有WAN(例如内部网)或公共WAN(例如互联网),或可以包括私有网络和公共网络的组合。LAN 165A、165B可以包括提供与WAN 170的连接的路由器和/或调制解调器(例如有线调制解调器、直连串行链路(DSL)调制解调器、微波接入全球互通调制解调器、长期演进调制解调器等)。
WAN 170可以包括或连接到服务器计算设备125。服务器计算设备125可以包括物理机器和/或以物理机器作为主机的虚拟机。物理机器可以是机架安装服务器、台式计算机或其它计算设备。在一个实施方式中,服务器计算设备125包括由云提供商系统管理和提供的虚拟机。由云服务提供商所提供的每个虚拟机可以在被配置作为云的一部分的物理机器上。这些物理机器一般位于数据中心中。云提供商系统和云可以提供作为基础设施即服务(IaaS)层。这种云的一个示例是的弹性计算云
服务器计算设备125作为一个或多个WAN可访问服务130的主机,其可以是基于web的服务和/或云服务(例如在云计算平台中的基于web的服务)。WAN可访问服务130可以(例如经由连续连接或断续连接)与嵌入式系统150A-150E中的一个或多个保持会话。可替选地,WAN可访问服务130可以周期性地建立与嵌入式系统150A-150E的会话。经由与嵌入式系统150A-150E的会话,WAN可访问服务130可以将命令发放到嵌入式系统,和/或从嵌入式系统接收状态更新。命令可以是用于改变可由嵌入式系统控制的设备的一个或多个参数的状态的命令。例如,如果嵌入式系统嵌入在加热器或恒温器中,则命令可以包括用于增加或降低温度的命令。在另一示例中,如果嵌入式系统嵌入在家庭自动化系统中,则命令可以包括用于打开或关闭灯的命令。
从嵌入式系统150A-150E接收到的状态更新可以标识包括嵌入式系统的设备135A-135E的一些或所有可检测参数的值或状态。状态更新也可以包括故障信息、统计设备使用信息、跟踪数据和/或其它信息。这些值、状态和/或其它信息可以基于与设备的直接用户交互而改变。这些值、状态和/或其它信息也可以响应于由WAN可访问服务130和/或计算设备105A-105B发送给嵌入式系统150A-150E的命令而改变。通过保持或周期性地建立与嵌入式系统150A-150E的会话,WAN可访问服务130可以保持关于设备135A-135E的状态的最新信息。
计算设备105A-105B可以包括便携式设备(例如电子书阅读器、便携式数字助理、移动电话、膝上型计算机、便携式媒体播放器、平板计算机、相机、摄像机、上网本、笔记本等)。计算设备105A-105B可以还包括传统固定设备(例如台式计算机、游戏控制台、数字视频盘(DVD)播放器、媒体中心等)。计算设备105A-105B可以连接到WAN 170和/或LAN 165A-B。
计算设备105A-105C可以包括远程控制应用(或多个远程控制应用)115A-115B,其可以接收关于设备135A-135E的信息并且控制该设备135A-135E。远程控制应用115A-115B被配置为:经由设备的嵌入式系统150A-150E与设备135A-135E中的一个或多个进行对接和/或控制设备135A-135E中的一个或多个。远程控制应用105A-105E可以被编程为运行于各种操作系统(例如,举例为操作系统、操作系统、操作系统、操作系统和操作系统)上。远程控制应用105A-105B也可以被配置为固件,硬件,或软件、固件和/或硬件的某种组合。远程控制应用105A-105B可以包括图形用户接口(GUI),其使得用户能够通过直观且用户友好的方式与设备135A-135E进行交互并且控制设备135A-135E。用户可以与GUI进行交互,以使得远程控制应用生成针对GUI中所表示的设备的通知、命令、性质更新和其它消息。
在一个实施方式中,计算设备105A-105B包括单独的远程控制应用,用于嵌入式系统150A-150E中的每一个。可替选地,计算设备105A-105B可以包括能够与用于多个不同设备135A-135E的嵌入式系统150A-150E进行通信及对其进行控制的单个远程控制应用。
虽然计算设备105A-105B连接到WAN 170或直接连接到LAN 165A-B,但远程控制应用115A-115B可以建立与WAN可访问服务130的会话。WAN可访问服务130可以提供用于间接控制并且监控设备135A-135E中的一个或多个的接口。
服务器计算设备125包括访问控制管理器128,其执行对远程控制应用115A-115B的授权和鉴权。访问控制管理器128另外对角色进行管理并且将角色分配给用户账户。每个角色提供关于一个或多个资源(例如一个或多个设备135A-135E、一个或多个用户资源等)的许可或特权集合。一旦远程控制应用115A-115B(例如通过将正确的证书提供给访问控制管理器128)成功地完成鉴权,访问控制管理器128就生成令牌并且将令牌提供给远程控制应用115A-115B。远程控制应用115A-115B于是可以将令牌提供给一个或多个WAN可访问服务130,以获取对资源(例如设备135A-135E)的访问。
响应于从远程控制应用115A-115B接收到令牌,WAN可访问服务130基于令牌而确定与远程控制应用关联的用户账户的角色(或多个角色)。这向WAN可访问服务130指出远程控制应用115A-115B应可以访问什么资源。WAN可访问服务130于是可以根据所确定的一个或多个角色而提供关于一个或多个设备135A-135E的信息和控制和/或对一个或多个用户资源的访问。
例如,与用户账户关联的角色可以包括准许控制设备135A的状态。如果用户期望改变设备135A的状态,则用户可以经由远程控制应用115A发放命令,并且该命令可以发送到WAN可访问服务130。WAN可访问服务130然后可以将命令转发到适当的嵌入式系统上进行执行。
与用户账户关联的角色可以另外包括对设备135A的状态信息的浏览许可。相应地,当WAN可访问服务130从嵌入式系统150A接收到关于设备135A的更新后的状态信息时,WAN可访问服务130可以将状态信息转发到远程控制应用115A上。因此,基于用户的所分配角色,用户能够从他可以访问互联网的任何地方连接到设备135A-135E,浏览关于设备135A-135E的状态信息、并控制设备135A-135E。用户账户的角色可以另外包括对用户资源(例如关于特定用户或特定类用户的信息)的访问许可。
在示例中,远程控制应用115A可以与具有第一角色的第一用户账户关联,并且远程控制应用115B可以与也具有第一角色的第二用户账户关联。此外,计算设备105C可以使用浏览器应用116(例如Internet 等)连接到WAN可访问服务130。可替选地,计算设备105C可以经由被配置为与WAN可访问服务130进行对接的代理(未示出)而连接到WAN可访问服务130。浏览器应用116或代理可以与具有第二角色的第三用户账户关联。
继续该示例,与远程控制应用115A关联的第一用户账户可以与终端用户或拥有者角色关联,并且可以访问当前状态信息以及控制全都可以由计算设备105A的用户拥有的设备135D-135E。然而,用户可以不拥有设备135A-135C,因此,角色可能不允许浏览或控制这些设备。与远程控制应用115B关联的第二用户账户可以与拥有者角色关联,因此允许浏览第二用户所拥有的设备135A-135C。
与计算设备105C关联的第三用户账户可以与一些或所有设备135A-135E的制造商的OEM角色关联。在该示例中,假设设备135A、135B、135D和135E全都由与OEM角色关联的OEM制造。因此,第三用户账户可以访问关于设备135A、135B、135D和135E的分析信息、除错信息、故障信息、统计等。该信息可以是匿名的,以确保设备拥有者的隐私。该数据可能对于拥有这些设备的终端用户(例如第一角色)是可用的或不可用的。然而,OEM角色可能不准许控制该设备。因此,对各个角色的准许可相差较小至相差显著,从而对不同设备集合提供不同许可等级。
WAN可访问服务130和访问控制管理器128可以是OEM能够借以快速且容易地创建新的联网设备产品的IoT平台的部件。IoT平台将处理授权和鉴权、网络连接、信息收集和分析、设备管理、基于角色的访问控制等。IoT平台的访问控制管理器128提供用于设置并管理角色、用户账户和资源的框架,以实现在管理设备以及访问设备信息方面的灵活性。
图2A是访问控制管理器205的示例实施方式的框图,其在一个实施方式中对应于图1的访问控制管理器128。访问控制管理器205可以包括鉴权模块210、令牌生成器215、角色创建器220以及共享模块225。可替选地,鉴权模块210、令牌生成器215、角色创建器220和/或共享模块225中的一个或多个的功能可以组合成单个模块或划分为多个子模块。
访问控制管理器205维护角色数据结构325、用户账户数据结构240以及资源数据结构245。数据结构235-245中的每一个可以是单独的表、电子表单、数据库或其它数据结构。可替选地,数据结构235-245可以组合成单个数据结构。
资源数据结构245针对每一资源包括一些项。资源的示例包括设备、用户、固件镜像、设备模板等。设备资源可以包括特定设备和/或特定设备的部件、属性、设置、参数、数据等。用户资源可以包括用户账户信息、用户人口统计信息、用户行为、用户购买历史、用户历史数据等。此外,可以基于OEM、基于OEM内的部门、基于交易商或通过其它方式将用户资源分组。一些访问控制特权可以针对特定的用户资源群组(例如与OEM关联的所有用户资源)。设备模板是捕获设备的物理属性和行为属性的设备的模型。一些资源可以具有可以分层级地布置的子资源。例如,设备资源可以具有用于设置/参数的子资源、OEM数据(例如包括分析、跟踪、统计和可能不提供给终端用户的其它数据)、用户数据等。用户资源可以具有用于不同类型的用户数据(例如用户地址、用户电话号码、用户所拥有的设备等)的子资源。
图2B示出用于设备资源250的示例资源层级248。设备资源250可以包括设置/参数子资源252、功能子资源254、用户数据子资源256、OEM数据258子资源和更新子资源260。设置/参数子资源252还包括第一设置262和第二设置264。功能子资源254还包括第一功能266和第二功能268。用户数据子资源256还包括第一用户数据类型270和第二用户数据类型272。OEM数据子资源258还包括第一用户数据类型274和第二用户数据类型276。在其它示例中,可以使用更多、更少和/或不同的子资源。可以按任何期望的粒度等级来控制对这些子资源中的每一个的访问。
设备资源250可以与一个或多个标签关联。每个标签可以表示一个或多个属性,所述属性用于确定哪些角色可访问设备资源250和/或子资源以及访问等级(例如读取访问或写入访问)。标签可以具有固定值,或可以具有基于条件而变化的动态值。
在示例中,设备可以包括环境标签,其可以基于设备250是处于制造商处、已经货运到交易商或分发商还是已经由终端用户购买而改变。例如,环境标签当设备由终端用户注册时可以具有居住环境值、在设备被货运到零售商或交易商之前可以具有企业环境值,以及在设备已经货运到交易商或零售商之后可以具有商业环境值。
在另一示例中,设备250可以具有可以基于设备250的位置而改变的位置标签。例如,位置标签的值可以基于设备的互联网协议(IP)地址而自动更新。设备可以还包括型号标签(例如HVAC、手表等),其可以是固定的。设备250可以还包括接近度标签,其可以指示远程控制应用或其它设备的接近度,以使得能够进行访问。例如,接近度标签可以指示具有远程控制应用的移动设备处于与该设备相同的LAN上,或指示移动设备经由蓝牙与该设备配对。可以使用任何这些标签或其它标签以确定对资源的访问特权。
可以将多个不同的标签与设备250关联。此外,子资源中的一个或多个也可以与标签关联。可以使用这些标签以确定哪些角色可访问特定的子资源。
再次参考图2A,角色数据结构235针对每个角色包含项。每个角色可以具有用于访问资源的唯一特权集合。在一个实施方式中,每个角色包括一个或多个标签,其中的每一个标签可以与一个或多个资源关联。标签可以具有固定的值或可变的值。在一个实施方式中,为了使角色具有对资源的访问特权,与该角色关联的标签的值应等于与资源关联的相似标签的值。例如,如果与角色关联的标签是位置=北美,则该角色具有对位于北美的资源的访问特权。例如,通过在与设备相同的LAN上的移动设备上运行的远程控制应用,可以相似地使用标签以限制对资源的访问。
每个OEM可以具有其自身的与该OEM关联的角色子集。每个OEM会具有OEM管理者角色,其可以具有与该OEM所制造的设备关联的所有特权(包括对创建新角色的特权)。在一个实施方式中,OEM管理者角色不具有浏览关于终端用户的联网设备的用户数据或控制终端用户的联网设备的特权。
访问控制管理器205可以管理针对多个不同OEM、交易商、供应商、消费者等的角色、资源和用户账户。每个OEM可以具有不同的组织结构和/或销售渠道,并且可以设置可以特定针对该OEM且应用于与该OEM关联的资源(例如该OEM所制造的设备和该OEM的消费者)的不同角色层级。访问控制管理器205通过可以适用于任何使用情况的灵活方式来管理角色、资源和用户账户,从而解决了企业疑虑和消费者疑虑。
访问控制管理器205以任何期望的粒度等级提供对哪些用户可以访问什么资源以及访问等级的细粒度灵活控制。角色中的每一个可以基于管理者所设置的规则或规则集合而细粒度地访问一个或多个资源。例如,在设备内可以存在多个选项,例如浏览数据、改变设置、对设备进行编程等。消费者角色可以具有改变设置(例如,改变恒温器的温度)的特权,但不准许对设备进行编程。交易商角色可以具有特权对设备进行编程但不改变设备的设置。
用户账户数据结构240针对每个用户账户包括项。用户账户可以包括例如用户偏好/设置、用户信息、用户授权和鉴权数据(例如姓名和密码、生物计量数据等)、用户所拥有的设备以及与用户关联的角色等信息。
角色创建器220创建新角色。具有角色创建特权的用户账户可以创建新角色。例如,OEM管理者角色具有角色创建特权。设备拥有者角色(消费者角色)也可以具有角色创建特权(以例如针对拥有者的家庭中的孩子创建角色)。具有OEM管理者角色的用户账户可以生成任何数量的角色,其将关于该OEM制造的设备提供任何等级的特权。OEM管理者(或其它角色创建器)可以定义可以访问哪些资源和子资源(例如资源的属性和性质)以及是否可以访问它们以进行读取动作或写入动作。例如,OEM管理者可以生成一个或多个终端用户(又称为消费者或拥有者)角色、OEM情况管理员角色、技术人员角色、交易商角色等。不同的OEM可能会具有不同的角色集合,其可以具有不同的许可。
当要创建新角色时,新角色的创建器可以向新角色给予该创建器具有的任何特权。例如,OEM管理者可以为OEM制造的设备以及OEM的任何消费者授予任何特权。然而,当一OEM管理者生成新角色时,该OEM管理者不能批准对另一OEM的设备的许可。
在公司中,可以使用各种准则(例如产品责任、位置等)来构建组织。访问控制管理器205使得能够基于公司的组织结构而创建角色,这样使得能够基于雇员所属的组织而对他们授予特权。例如,公司可以具有加热、通风和空气调节(HVAC)部门和安全部门。可以对公司的雇员准予访问以监视所有所连接的恒温器而非其它有无线能力的产品(例如属于安全部门的烟雾检测器和CO检测器)。利用访问控制管理器,OEM管理者可以创建恒温器管理者角色,以对恒温器管理者批准针对现场中该公司具有的所有恒温器型号的超级用户似的访问。OEM管理者也可以创建恒温器技术人员角色,其具有浏览恒温器管理者可以浏览的数据中的一部分的特权。这种灵活性允许定义服从公司的组织结构的策略。
也可以基于OEM的销售渠道或分发渠道而创建角色。通过商业渠道销售的很多产品是通过交易商分发的。示例有商业楼宇、医院或住宅中的安装。交易商通常执行安装,并且具有与消费者的维护保养合同。对于该分发模式,存在很多考虑。在一些情况下,交易商应具有对安装后将允许交易商监控所安装系统的单元的足够访问(例如用于维修、故障定位、技术辅助等)。在其它情况下,在设备安装在消费者家庭中并且经编程之后,交易商会失去对该设备的所有访问。例如,由于隐私或其它考虑,消费者可能想要限制交易商可以访问多少数据。因此,消费者可以在安装之后控制交易商是否可继续访问设备以及访问多少。访问控制管理器205可以设置满足这些竞争准则的角色。因此,可以创建不同角色集合并且用于不同的分发渠道。
也可以基于OEM所制造的设备的零售分发而创建角色。在该模式中,产品由消费者直接从零售商购买。消费者可能拥有其中一些通过交易商购买而一些从零售商购买的、来自同一OEM的设备的混合体。在此情况下,消费者可能想要从单个应用访问所有所拥有的设备,而无论制造商如何。访问控制管理器支持层级模式,其中,消费者可以访问所有所拥有的设备,而无论制造商如何,其中,交易商仅可以访问所服务的设备上所允许的信息,并且,其中OEM可以访问该OEM(而非其它制造商)所制造的所有设备。
图2C示出用于OEM的示例角色层级278。角色层级278包括OEM管理者角色280、多个账户管理员角色282、284、多个职员角色286、288、多个交易商角色290、292以及消费者角色294。在其它示例中,可以存在更多角色或这些角色中更少的角色,所述角色中的一些可以不使用,和/或可能存在其它未提及的角色。
在示例角色层级278中,OEM管理者280可以具有对与OEM关联的所有资源的超级用户特权。可替选地,在将设备的所有权转移给消费者294时,可以从OEM管理者自动撤销一些特权。
第一账户管理员角色282可以具有关于OEM的特定产品群组的超级用户特权,并且第二账户管理员284可以具有关于不同产品群组的超级用户特权。因此,第一账户管理员282可以访问落入第一产品群组中的那些设备的所有设备、消费者、设备模板、镜像等,但不具有关于落入第二产品群组中的那些设备的设备、消费者、设备模板、镜像等的特权。相似地,第二账户管理员284可以访问落入第二产品群组中的那些设备的所有设备、消费者、设备模板、镜像等,但不具有关于落入第一产品群组中的那些设备的设备、消费者、设备模板、镜像等的特权。账户管理员可以能够浏览现场中的所有设备,帮助对设备进行故障定位,总结关于设备的统计,以及与他们的产品群组有关的其它事情。
角色层级278可以还包括多个职员角色286、288。可以在每个产品群组内单独地定义职员角色,或可以跨越部门而总体地应用单个职员角色。此外,可以在特定产品群组内创建多个不同类型的职员角色。例如,职员角色可以具有关于产品群组中的设备子集的特定特权。
角色层级278可以另外包括第一交易商角色290和第二交易商角色292。单独的交易商角色290、292可以有特权访问来自交易商已经安装的第一产品群组和第二产品群组二者的不同设备子集。例如,交易商可以具有使得他们能够对消费者的设备进行安装、设置和编程的特权。交易商也可以在设备安装之后保留特权,以使得他们能够对所安装的设备进行故障定位和维护。
角色层级278还包括消费者角色294。消费者角色与从OEM购买设备的终端用户关联。消费者可以通过少数不同方式与所安装的设备或其它资源关联。如果消费者从商店购买了设备或已经由交易商将其安装,则消费者可以完成注册方法,该注册方法可以通过将用户账户设置为设备的拥有者而生成消费者的新用户账户和/或将设备绑定到用户账户。一旦如此,则取决于设备自身,消费者将获取对与该设备关联的资源子集的访问。可替选地,作为安装过程的一部分,交易商可以将用户账户指定为设备的拥有者。因此,用户可以无需采取任何动作以将自身绑定到设备。
设备同样可以通过少数方式与交易商关联。设备的拥有者可以为该用户的设备指定交易商。这样可以使得交易商能够服务于设备。可替选地,如果例如交易商执行了安装,则可以在安装之前将交易商绑定到设备。
再次参考图2A,鉴权管理器210管理用户账户。每个用户账户可以包括一个或多个所拥有的设备和/或与用户账户共享的设备、一个或多个允许与设备进行通信的所注册的计算设备、以及与一个或多个与用户账户关联的角色。
用户可以尝试通过将证书(例如用户名和密码)从计算设备提供给访问控制管理器205来登录用户账户。鉴权模块210验证所提供的证书与所存储的用于用户账户的证书匹配。如果所提供的证书与所存储的用于用户账户的证书匹配,则鉴权模块210调用令牌生成器215。
令牌生成器215为用户生成令牌,并且将令牌发送给用户的计算设备。令牌然后可以呈现给IoT平台的任何WAN可访问服务,以获取对资源的访问。响应于计算设备将令牌呈现给WAN可访问服务,WAN可访问服务可以使用令牌检查哪一个或哪些角色与用户账户关联,因此确定用户账户可访问哪些资源以及访问的类型和等级。
在很多用户之间存在设备的担保共享的使用情况。示例有:家庭中的任何设备由多个家庭成员使用。在该情况下,设备的主要拥有者将其与其他家庭成员或访客共享。在更商业化的设置中,宾馆可以安装有联网的锁,其准许宾馆访客在一段时间内访问。接待员能够例如通过临时将角色或标签分配给访客的用户账户达给定的时间段来激活对宾馆中特定房间的访问。类似地,户主可以通过将新角色或标签授予访客的用户账户来临时批准访客控制恒温器、灯、锁等。
相应地,用户可能希望将对他们设备的访问与朋友、家庭、访客、客户等共享。共享模块225使得这种共享成为可能。当用户希望共享对一个或多个资源的访问时,该用户调用共享模块225并且标识待共享的资源以及将要共享该资源的用户或用户账户。用户也可以指定待批准的许可,共享是否是针对有限的时间段,和/或对共享施加的其它条件。共享模块225然后通过将所批准的特权添加到将接收共享的用户账户来更新该用户账户。如果共享是针对有限的时间段,则用户可以指定共享将开始的时间和/或共享将终止的时间。因此,利用访问控制管理器205,可以批准和共享临时特权或永久特权,并且可以由拥有者在任何时间撤销。
在一些情况下,用户可能希望将资源(例如对设备的访问)共享给没有用户账户的个人。在这种情况下,共享模块225可以生成临时账户并且将特权与临时账户关联。用户可以提供将要向其共享资源的个人的电子邮件地址、电话号码或其它联系信息。共享模块225可以使用所提供的联系信息将消息发送给个人。所发送的消息可以包括个人可以用于激活并且使用临时账户的链接或其它信息。
图3-图7是示出管理IoT平台中的角色并且基于角色而管理对资源(例如联网设备)的访问的各种方法的流程图。所述方法可以由可包括硬件(例如电路、专用逻辑、可编程逻辑、微码等)、软件(例如在处理设备上运行以执行硬件仿真的指令)或其组合的处理逻辑来执行。在一个实施方式中,服务器计算设备(例如图1的服务器计算设备125)执行所述方法的至少一些操作。
图3是生成用于联网设备平台(IoT平台)的新角色的示例方法300的流程图。在方法300的块305中,处理逻辑接收对生成新角色的请求。在块308中,处理逻辑确定哪些特权对于请求方是可用的。在块310中,处理逻辑确定请求方是否具有创建角色的特权。如果是,则方法继续到块315。否则,方法结束。
在块315中,处理逻辑确定对于请求方可用的资源。在块318中,处理逻辑确定将对新角色可访问的这些资源的子集。请求方可以对新角色批准请求方具有的任何特权,直至以及包括角色创建特权。请求方也可以设置在角色将获取对资源的访问之前必需满足的一个或多个准则。可以通过将标签分配给新角色并且潜在地将对应的或有关的标签分配给资源来实现这些准则。在这种情况下,当角色的标签与资源的关联标签匹配时,新角色可以获取对资源的访问。
在块320中,创建了新角色并且将其添加到角色数据结构。角色可以添加在创建器下的角色层级中。创建器可以确定应将新角色放置在角色层级中的什么地方。可替选地,可以基于新角色的特权以及其它角色的特权而相对于其它角色在层级中自动布置新角色。
在块325中,新角色可以分配给一个或多个用户账户。这些用户账户于是将具有与新角色关联的所有特权。
图4是将可用于确定与设备关联的角色的令牌批准给该设备的示例方法400的流程图。在方法400的块405中,处理逻辑从计算设备接收登录证书。在块415中,处理逻辑确定所提供的登录证书是否足以关于用户账户对用户(例如正由用户使用的计算设备)进行鉴权。如果是,则建立登录会话,并且所述方法继续进到块430。否则,方法结束。
在块430中,处理逻辑确定与用户账户和/或与当前登录会话关联的一个或多个角色。在块435中,处理逻辑基于角色而确定用户账户的访问特权。每个角色可以指定一个特权或特权集合。特权可以包括对单独设备资源或设备资源群组的访问特权以及对单独用户资源或用户资源群组的访问特权。在用户账户与多个角色关联的一个实施方式中,处理逻辑可以提示用户针对当前登录会话选择多个角色之一。处理逻辑然后可以接收对特定角色的选择。
在块440中,处理逻辑生成用于计算设备的令牌。在块445中,处理逻辑将与登录会话关联的一个(或多个)角色与令牌关联。处理逻辑也可以将令牌提供给计算设备。在一个实施方式中,令牌包括与用户账户关联的角色的标识符。可替选地,令牌可以指示用户账户的实际访问特权。可替选地,令牌可以包括在会话期间与计算设备和用户账户关联的唯一标识符。被提供令牌的任何系统可以执行询问,以确定用户账户的角色和/或访问特权。
在块450中,处理逻辑批准计算设备(因此批准计算设备的用户)访问与所确定的角色关联的所确定的资源。然后所述方法结束。
图5是共享对联网设备的访问的示例方法500的流程图。在方法500的块505中,处理逻辑从第一用户的第一用户账户接收与第二用户共享对资源的访问的请求。该请求可以包括与第一用户账户关联的令牌。
在块508中,处理逻辑使用所提供的令牌来确定与第一用户账户关联的第一角色。在块510中,基于第一角色,处理逻辑验证第一用户账户允许共享对特权的访问。在块515中,如果允许资源共享,则所述方法继续进入块520。如果在块515中不允许资源共享,则方法结束。
在块520中,处理逻辑确定待共享的访问许可。在一个实施方式中,处理逻辑提供可以共享的资源的所有子资源(例如设置、参数、视图等)的下拉菜单或其它图形表示。用户可以选择用于共享的全部资源或可以选择待共享的单独子资源。对于待共享的每个子资源,用户可以选择待共享的访问的类型(例如浏览访问、控制访问等)和/或对共享施加条件。通过将标签添加到与其进行特权共享的用户账户的角色和/或通过将标签添加到资源,可以实施这些条件。
在块525中,处理逻辑确定与所确定的访问许可关联的第二角色。如果存在包括这些特权的现有角色,则可以使用该角色。如果不存在包括已经选择的特权的特定组合的现有角色,则可以生成新角色。
在块530中,处理逻辑确定第二用户是否具有用户账户。如果是,则方法进入块539。如果第二用户没有用户账户,则所述方法继续进到块535,并且处理逻辑生成用于第二用户的第二用户账户。所生成的账户可以是临时账户。在块538中,处理逻辑向第二用户发送邀请,以激活第二用户账户。
在块539中,处理逻辑确定第二用户是否接受共享请求。在一个实施方式中,直到第二用户已经明确接受接收共享之前,第二角色不会变成有效或变成与第二用户的用户账户关联。在此情况中,接收方具有接受或拒绝已批准给她的共享的权限。如果接受共享,则所述方法继续进到块540。如果拒绝共享,则方法结束。
在块540中,处理逻辑将第二角色分配给第二用户账户。在块542中,处理逻辑确定共享是否为临时的。如果共享是临时的,则在块545中,在过去一时间段之后,处理逻辑最终从第二用户账户撤销第二角色。如果共享不是临时的,则方法结束。
在任何时间,第一用户可以主动地从第二用户账户撤销第二角色。用户可以导航到WAN可访问服务的共享窗口。共享窗口可以显示已将对一个或多个资源的访问与其共享的所有用户账户。第一用户可以选择这些其它用户账户中的任一者并且请求终止共享。响应于该命令,处理逻辑可以通过终止已经共享的特权来更新其它用户账户。
图6是转移联网设备的所有权的示例方法600的流程图。在方法600的块605中,处理逻辑从第一用户账户接收将联网设备(例如有互联网能力的设备)的所有权从第一用户账户授权(转移)给第二用户账户的请求。在块610中,处理逻辑确定第一用户账户是否具有所有权授权特权。如果第一用户账户具有用于设备的拥有者角色,则第一用户账户可以具有所有权授权特权。如果第一用户账户具有拥有者角色,则所述方法继续进到块615。否则,方法结束。
在块615中,处理逻辑将确认请求发送给第一用户账户和/或第二用户账户。在块620中,处理逻辑确定是否已经接收到确认。如果对所有确认请求都给予了确认响应,则所述方法继续进到块625,并且设备的所有权在用户账户之间进行转移。该包括:从第一用户账户撤销对联网设备的访问,并且将对联网设备的访问添加到第二用户账户。在一个实施方式中,设备的拥有者角色被添加到第二用户账户并且从第一用户账户撤销。如果在块620中未接收到一个或多个确认,则方法结束,不转移联网设备的所有权。
图7是将联网设备平台中的角色伪装为另一更低等级角色的示例方法700的流程图。在块705中,处理逻辑接收将角色伪装为更低等级角色的请求。在块710中,处理逻辑确定角色是否具有伪装特权。如果是,则方法继续进到块715。否则,方法结束。
在块715中,处理逻辑将用户账户的角色临时转换为具有更少特权的更低等级角色。在一个实施方式中,在会话的持续时间内,用户账户具有更低等级角色。为了回归到初始角色,用户可以终止会话然后返回登录,以建立新会话。可替选地,伪装可以与时间期限关联。在该实施方式中,用户账户的角色可以在时间期限过去之后回归到初始角色。
通过将角色伪装为更低等级角色,用户可以从更低等级角色来测试场景。因此,将角色伪装为更低等级角色可用于故障(Bug)检查、纠错、故障定位以及对消费者提供技术辅助。可替选地,用户可以具有与相同资源或资源集合关联的多个不同角色。用户可以基于用户在给定时间所需的访问等级而在这些角色之间进行切换。
图8是具有远程可访问嵌入式系统815的示例设备805的框图。设备可以包括任何前述类型的、具有嵌入式系统的设备,并且在一个实施方式中对应于图1的设备135A-135E。在一个实施方式中,设备805包括机械部件810、电气部件812以及嵌入式系统815。电气部件812和/或机械部件810可以包括传感器、可编程逻辑控制器(PLC)、开关、电机、阀、致动器等。
嵌入式系统815可以包括主机处理设备825、主机存储器830和/或耦接到主机处理设备825的通信模块850。嵌入式系统815可以还包括在此未示出的诸多其它部件。这些附加部件的示例可以包括发光二极管(LED)、电源稳压器、保险器、端口、用户接口、数模(D/A)转换器、模数(A/D)转换器、现场可编程门阵列(FPGA)、专用集成电路(ASIC)等。
在一个实施方式中,主机处理设备825可以是微控制器或数字信号处理器(DSP)。主机处理设备825可以可替选地或附加地包括可编程逻辑控制器(PLC)、现场可编程门阵列(FPGA)或复杂可编程逻辑设备(CPLD)。主机处理设备825可以被配置为执行与设备805的操作和控制有关的特定功能。
主机存储器830可以包括随机存取存储器(RAM)、只读存储器(ROM)、一次可编程(OTP)ROM、闪存(例如,NOR闪存)或其它类型的存储器。主机存储器830可以存储用于通信模块850的应用编程接口(API)835。API 835可以使得主机处理设备825能够向通信模块850发送命令和/或数据并且从通信模块850接收命令和/或数据。主机存储器830可以还包括用于主机处理设备825的固件,其配置主机处理设备以执行特征针对设备805的一个或多个操作。
在一些实施方式中,主机存储器830可以集成到主机处理设备825中。例如,微控制器通常包括处理器内核、存储器以及可编程输入/输出外设。相应地,如果主机处理设备825是微控制器,则主机存储器830可以是主机处理设备825的存储器。
通信模块850可以是被配置为与嵌入式系统815的主机处理设备825耦接的集成电路(IC)。通信模块850可以连同API 835一起由第三方提供给设备的制造商,并且可以使得网络能力和远程控制能力能够易于添加到设备805中。通信模块850可以包括其自身的处理设备855、存储器865和/或网络适配器860。处理设备855可以是微控制器、DSP、PLC、微处理器或可编程逻辑设备(例如FPGA或CPLD)。存储器可以包括非易失性存储器(例如RAM)和/或易失性存储器(例如ROM、闪存等)。在一个实施方式中,存储器865集成到处理设备855中。
存储器865可以存储对可以对各个角色可访问的设备805的一个或多个资源890(例如参数、属性和数据)进行标识的数据。存储器865也可以存储用于处理设备855的固件(例如包括用于远程接口882的指令的固件)。
网络适配器855可以是有线网络适配器(例如以太网适配器)或无线网络适配器(例如Wi-Fi适配器或其它无线局域网(WLAN)适配器)。网络适配器860也可以被配置为使用Zigbee、PLC、蓝牙、6LowPAN或其它通信协议来提供对网络或其它设备的连接。网络适配器860可以从WAN可访问服务和/或远程控制应用接收通知和/或其它消息。网络适配器860可以将往外发送的消息另外发送给WAN可访问服务和/或远程控制应用。
对于会话建立,远程接口882可以生成用于与远程控制接口的新会话的会话密钥。在一个实施方式中,远程接口882可以从远程控制应用接收令牌。远程接口880可以基于令牌确定远程控制应用具有针对哪些资源890的特权。在一个实施方式中,令牌包括关于一个或多个角色和/或资源许可的标识。可替选地,远程接口882可以查询WAN可访问服务,以确定对于远程控制应用具有什么特权可用。远程接口882可以将令牌发送给WAN可访问服务,并且接收关于资源许可的指示。一旦远程接口882已经确定远程控制应用的资源访问特权,远程接口882就可以向远程控制应用提供信息,和/或根据访问特权从远程控制应用接收执行命令。
图9示出具有计算设备900这一示例形式的机器(其内可以执行用于使得机器执行在此所讨论的方法中的任何一种或多种的指令集)的图示。在可替选实施方式中,机器可以连接(例如联网)到局域网(LAN)、内部网、外部网或互联网中的其它机器。机器可以在客户机-服务器网络环境中以服务器或客户机机器的身份操作或在点对点(或分布式)网络环境中作为配对机器操作。机器可以是个人计算机(PC)、平板计算机、机顶盒(STB)、个人数字助理(PDA)、蜂窝电话、web电器、服务器、网络路由器、交换机或桥接器、或能够执行指令集(顺序的或其它方式,其指定待由该机器采取的动作)的任何机器。此外,虽然仅示出单个机器,但术语“机器”还应包括单独地或联合地执行用于执行在此所讨论的方法中的任何一种或多种的指令集的任何机器(例如计算机)集合。
示例计算设备900包括处理设备902、主存储器904(例如,只读存储器(ROM)、闪存、动态随机存取存储器(DRAM)(例如同步DRAM(SDRAM)或Rambus DRAM(RDRAM)等))、静态存储器906(例如闪存、静态随机存取存储器(SRAM)等)以及副存储器(例如数据存储设备918),其经由总线930彼此进行通信。
处理设备902表示一个或多个通用处理器(例如微处理器、中央处理单元等)。更具体地说,处理设备902可以是复杂指令集计算(CISC)微处理器、精简指令集计算(RISC)微处理器、超长指令字(VLIW)微处理器、执行其它指令集的处理器或执行指令集的组合的处理器。处理设备902也可以是一个或多个专用处理设备(例如专用集成电路(ASIC)、现场可编程门阵列(FPGA)、数字信号处理器(DSP)、网络处理器等)。处理设备902被配置为执行用于执行在此所讨论的操作和步骤的处理逻辑(指令922)。
计算设备900还可以包括网络接口设备908。计算设备900也可以包括视频显示单元910(例如液晶显示器(LCD)或阴极射线管(CRT))、字母数字输入设备912(例如键盘)、光标控制设备914(例如鼠标)以及信号生成设备916(例如扬声器)。
数据存储设备918可以包括其中存储有实施本文所述方法或功能中的任何一种或多种的一个或多个指令集922的机器可读存储介质(或更具体地说是计算机可读存储介质)928。指令922也可以在其由计算机系统900、主存储器904和也构成计算机可读存储介质的处理设备902执行期间完全地或至少部分地驻留在主存储器904内和/或处理设备902内。
计算机可读存储介质928也可以用于存储访问控制管理器990(如参考图2A所述)和/或包含调用访问控制管理器990的方法的软件库。虽然计算机可读存储介质928在示例实施方式中被示为单个介质,但术语“计算机可读存储介质”应看作包括存储一个或多个指令集的单个介质或多个介质(例如集中式和分布式数据库、和/或关联缓存和服务器)。术语“计算机可读存储介质”也应看作包括能够对用于由机器执行的指令集进行存储或编码并且使得机器执行在此所描述的方法中的任何一种或多种的任何介质。术语“计算机可读存储介质”相应地应看作包括但不限于固态存储器以及光学介质和磁性介质。
在此(例如结合图1-图2A)所描述的模块、部件和其它特征可以实现为分立式硬件部件或集成在硬件部件(例如ASICS、FPGA、DSP或相似设备)的功能性中。此外,模块可以实施为硬件设备内的固件或功能电路。此外,模块可以以硬件设备和软件部件的任何组合或仅以软件实施。
以上已经关于对计算机存储器内的数据比特进行的操作的算法和符号表示而提出了详细描述的一些部分。这些算法描述和表示是由数据处理领域技术人员用于最高效地将他们的工作的实质性传达给其它本领域技术人员的手段。在这里以及通常而言,算法被构想为带来期望结果的自洽步骤序列。所述步骤是需要对物理量进行物理操控的步骤。虽然并非必要,但通常这些量具有能够被存储、传送、组合、比较以及其它方式操控的电信号或磁信号的形式。已经证明:有时(主要出于普通使用的原因)将这些信号作为比特、值、元素、符号、字符、术语、数字等提及是方便的。
然而,应理解,所有这些术语和相似的术语是与适当的物理量关联的,并且仅是应用于这些量的方便的标记。除非另外具体地声明,从以下讨论可看出:应理解,在整个说明书中,使用例如“接收”、“鉴权”、“确定”、“提供”、“批准”等术语进行的讨论是指计算机系统或相似电子计算设备的动作和处理,其对表示为计算机系统的寄存器和存储器内的物理(电子)量的数据进行操控并且将其变换为相似地表示为计算机系统存储器或寄存器或其它这样的信息存储设备、传输设备或显示设备内的物理量的其它数据。
本发明实施方式还涉及一种用于执行本文中的操作的装置。该装置可以被特定构造用于所讨论的目的,或其可以包括通过计算机系统中所存储的计算机程序选择性编程的通用计算机系统。该计算机程序可以存储在计算机可读存储介质(例如但不限于任何类型的盘(包括软盘、光盘、CD-ROM和磁光盘)、只读存储器(ROM)、随机存取存储器(RAM)、EPROM、EEPROM、磁盘存储介质、光存储介质、闪存设备、其它类型的机器可存取存储介质或均耦接到计算机系统总线的适合于存储电子指令的任何类型的介质)中。
应理解,以上描述意在说明性而非限制性的。在阅读并且理解以上描述时,很多其它实施方式对于本领域技术人员将是显然的。虽然已经参考特定示例实施方式描述了本发明,但应理解,本发明不限于所描述的实施方式,而是可以在所附权利要求的精神和范围内通过修改和改动而得以实践。相应地,说明书和附图看作是说明性意义而不是限制性意义。因此,应参考附图连同这些权利要求所赋予的等同方案的完全范围一起来确定本发明的范围。
Claims (21)
1.一种方法,包括:
由处理设备关于用户账户对用户进行鉴权;
由所述处理设备确定与所述用户账户关联的角色;
基于所述角色而确定对一个或多个资源的访问许可,所述一个或多个资源包括一个或多个联网设备;以及
基于所确定的访问许可,向所述用户批准访问所述一个或多个资源。
2.根据权利要求1所述的方法,还包括:
生成用于所述计算设备的令牌;以及
将所述令牌发送给所述计算设备,其中,所述计算设备用于将所述令牌提供给服务,以获取对所述一个或多个资源的访问。
3.根据权利要求1所述的方法,其中,所述一个或多个资源还包括用于所述一个或多个联网设备的固件镜像或附加用户中的至少一个。
4.根据权利要求1所述的方法,其中,与所述角色关联的所述访问许可包括以下各项中的至少一个:对浏览所述一个或多个联网设备之一上的数据的许可、对改变所述一个或多个联网设备上的设置的许可、或对于对所述一个或多个联网设备进行编程的许可。
5.根据权利要求1所述的方法,其中,所述一个或多个联网设备包括嵌入式系统。
6.根据权利要求1所述的方法,所述一个或多个资源中的至少一个包括子资源的层级,并且,其中所述角色控制对所述层级中的所述子资源中的每一个的访问。
7.根据权利要求1所述的方法,还包括:
从所述计算设备接收对与附加用户共享对至少一个资源的访问的请求;
基于所述角色,确定所述用户账户允许共享对所述至少一个资源的访问;以及
响应于确定所述用户账户具有所述许可而将新角色分配给所述附加用户的附加用户账户,其中,所述新角色提供对所述至少一个资源的访问。
8.根据权利要求7所述的方法,其中,所述请求包括与所述新角色关联的时间期限,所述方法还包括:
响应于所述时间期限结束,从所述附加用户的附加用户账户撤销所述新角色。
9.根据权利要求7所述的方法,还包括:
响应于确定所述附加用户缺少用户账户而生成所述附加用户账户;以及
将邀请发送到所述附加用户,以激活所述附加用户账户。
10.根据权利要求1所述的方法,其中,所述角色与特定环境关联,所述方法还包括:
在将所述一个或多个资源与所述特定环境关联时,批准对所述一个或多个资源的访问许可;以及
在将所述一个或多个资源不与所述特定环境关联时,撤销对所述一个或多个资源的访问许可,其中,所述特定环境包括居住环境、企业环境和商业环境之一。
11.根据权利要求1所述的方法,还包括:
接收将所述角色伪装为具有更少许可的更低等级角色的请求;以及
将所述角色临时转换为所述更低等级角色。
12.根据权利要求1所述的方法,其中,所述用户账户与多个角色关联,并且,其中确定与所述用户账户关联的角色包括:接收对所述多个角色中的特定角色的选择,所述方法还包括:
生成用于标识所述特定角色的当前登录会话的令牌。
13.根据权利要求1所述的方法,其中,所述一个或多个资源包括所述用户所拥有的联网设备,所述方法还包括:
从所述计算设备接收命令,以将所述联网设备的所有权转移给附加用户账户;
将确认请求发送到所述用户账户和所述附加用户账户中的至少一个;以及
响应于接收到所述确认,从所述用户账户撤销对所述联网设备的访问,并且将对所述联网设备的访问添加到所述附加用户账户。
14.根据权利要求1所述的方法,还包括:
接收对生成所述角色的请求;
接收将被授予所述访问许可的所述一个或多个资源的输入;
生成所述角色;以及
响应于所述用户账户满足与所述角色关联的准则而将所述角色与所述用户账户关联。
15.一种计算机可读存储介质,具有指令,所述指令当由处理设备执行时使得所述处理设备执行包括以下的操作:
由所述处理设备关于用户账户对用户的计算设备进行鉴权;
由所述处理设备确定与所述用户账户关联的角色;
基于所述角色而确定对一个或多个资源的访问许可,所述一个或多个资源包括一个或多个联网设备;以及
基于所确定的访问许可而对所述计算设备批准对所述一个或多个资源的访问。
16.根据权利要求15所述的计算机可读存储介质,其中,与所述角色关联的所述访问许可包括以下各项中的至少一个:对浏览所述一个或多个联网设备之一的数据的许可、对改变所述一个或多个联网设备上的设置的许可、或对于对所述一个或多个联网设备进行编程的许可。
17.根据权利要求15所述的计算机可读存储介质,所述操作还包括:
从所述计算设备接收对与附加用户共享对至少一个资源的访问的请求;
基于所述角色,确定所述用户账户允许共享对所述至少一个资源的访问;以及
响应于确定所述用户账户具有所述许可而将新角色分配给所述附加用户的附加用户账户,其中,所述新角色提供对所述至少一个资源的访问。
18.根据权利要求17所述的计算机可读存储介质,其中,所述请求包括与所述新角色关联的时间期限,所述操作还包括:
响应于所述时间期限结束,从所述附加用户的所述附加用户账户撤销所述新角色。
19.根据权利要求15所述的计算机可读存储介质,其中,所述一个或多个资源包括所述用户所拥有的联网设备,所述方法还包括:
从所述计算设备接收命令,以将所述联网设备的所有权转移给附加用户账户;
将确认请求发送给所述用户账户和所述附加用户账户中的至少一个;以及
响应于接收到所述确认,从所述用户账户撤销对有互联网能力的设备的访问,并且将对所述有互联网能力的设备的访问添加到所述附加用户账户。
20.根据权利要求15所述的计算机可读存储介质,所述操作还包括:
接收对生成所述角色的请求;
接收将被授予所述访问许可的所述一个或多个资源的输入;
生成所述角色;以及
响应于所述用户账户满足与所述角色关联的准则而将所述角色与所述用户账户关联。
21.一种计算设备,包括:
至少一个数据存储件,用于存储关于多个用户账户的第一数据、关于多个资源的第二数据以及关于多个角色的第三数据,其中,所述多个资源包括多个联网设备,其中,所述多个角色中的每一个具有对所述多个资源的唯一子集的访问特权,并且,其中所述多个用户账户中的每一个与所述多个角色之一关联;以及
处理设备,与所述至少一个数据存储件连接,以:
关于所述多个用户账户中的用户账户对用户的计算设备进行鉴权;
确定与所述用户账户关联的所述多个角色中的角色;以及
将令牌发送给所述计算设备,其中,所述计算设备用于将所述令牌提供给一个或多个服务,以向所述一个或多个服务通知与所述用户账户关联的所述角色,并且使得所述一个或多个服务对所述计算设备批准对与所述角色关联的所述多个资源中的一个或多个资源的访问。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/515,252 US9473504B2 (en) | 2014-10-15 | 2014-10-15 | Role based access control for connected consumer devices |
| US14/515,252 | 2014-10-15 | ||
| PCT/US2015/047283 WO2016060742A1 (en) | 2014-10-15 | 2015-08-27 | Role based access control for connected consumer devices |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107111697A true CN107111697A (zh) | 2017-08-29 |
| CN107111697B CN107111697B (zh) | 2021-01-05 |
Family
ID=55747089
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580056220.9A Expired - Fee Related CN107111697B (zh) | 2014-10-15 | 2015-08-27 | 对于所连接的消费者设备的基于角色的访问控制 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9473504B2 (zh) |
| EP (1) | EP3207484A4 (zh) |
| CN (1) | CN107111697B (zh) |
| WO (1) | WO2016060742A1 (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108199912A (zh) * | 2017-12-15 | 2018-06-22 | 北京奇艺世纪科技有限公司 | 一种异地多活的分布式消息的管理、消费方法及装置 |
| WO2019140856A1 (zh) * | 2018-01-22 | 2019-07-25 | 深圳友朋智能商业科技有限公司 | 一种设备管理平台及管理系统 |
| CN111104681A (zh) * | 2018-10-29 | 2020-05-05 | Vega格里沙贝两合公司 | 传送用于访问过程工业现场设备的访问信息的方法和设备 |
| CN111291354A (zh) * | 2020-02-12 | 2020-06-16 | 深圳拓邦股份有限公司 | 设备绑定管理方法、系统、可读存储介质及设备终端 |
| CN112182522A (zh) * | 2019-07-05 | 2021-01-05 | 北京地平线机器人技术研发有限公司 | 访问控制方法和装置 |
| CN113794720A (zh) * | 2021-09-14 | 2021-12-14 | 树根互联股份有限公司 | 跨租户设备资源的权限授权方法、装置和电子设备 |
| WO2022217561A1 (zh) * | 2021-04-15 | 2022-10-20 | Oppo广东移动通信有限公司 | 无线通信的方法及设备 |
Families Citing this family (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102012214018B3 (de) * | 2012-08-07 | 2014-02-13 | Siemens Aktiengesellschaft | Autorisierung eines Nutzers durch ein tragbares Kommunikationsgerät |
| FR3014583A1 (fr) * | 2013-12-05 | 2015-06-12 | Orange | Procede d'etablissement d'une relation de confiance entre deux locataires dans un reseau en nuage |
| KR102297475B1 (ko) * | 2014-10-17 | 2021-09-02 | 삼성전자주식회사 | 사물 인터넷을 위한 단말 및 그 동작 방법 |
| US10757216B1 (en) | 2015-02-20 | 2020-08-25 | Amazon Technologies, Inc. | Group profiles for group item recommendations |
| US11363460B1 (en) * | 2015-03-03 | 2022-06-14 | Amazon Technologies, Inc. | Device-based identification for automated user detection |
| US10425414B1 (en) * | 2015-08-31 | 2019-09-24 | United Services Automobile Association (Usaa) | Security platform |
| CN106612253B (zh) * | 2015-10-23 | 2019-10-22 | 中国科学院声学研究所 | 一种联动控制权管理装置及方法 |
| US10095571B2 (en) * | 2016-01-04 | 2018-10-09 | SmarterHi Communications Private Limited | System and method for managing devices relayed via an established session |
| KR20190141262A (ko) * | 2016-04-08 | 2019-12-23 | 허스크바르나 에이비 | 지능형 급수 시스템 |
| US10298516B2 (en) * | 2016-04-19 | 2019-05-21 | Hyland Switzerland Sàrl | System and methods for sharing resources among application modules |
| EP3253021A1 (en) | 2016-06-03 | 2017-12-06 | Gemalto Sa | A method for managing the status of a connected device |
| US10012967B2 (en) * | 2016-06-12 | 2018-07-03 | Apple Inc. | Coordinating modifications by multiple users to a shared automated environment |
| US10291609B2 (en) * | 2016-08-23 | 2019-05-14 | Reavire, Inc. | Vault appliance for identity verification and secure dispatch of rights |
| US10477398B2 (en) * | 2016-09-16 | 2019-11-12 | Samsung Electronics Co., Ltd. | Method of providing secure access to hotel IoT services through mobile devices |
| US10789386B2 (en) * | 2016-11-09 | 2020-09-29 | Reavire, Inc. | Dispatching identity information from secure hardware appliance |
| KR102661645B1 (ko) | 2016-12-15 | 2024-05-02 | 삼성전자주식회사 | 전자 장치 및 그의 제어 방법 |
| US10853471B2 (en) * | 2017-01-15 | 2020-12-01 | Apple Inc. | Managing permissions for different wireless devices to control a common host device |
| US10516998B2 (en) * | 2017-01-19 | 2019-12-24 | Hewlett Packard Enterprise Development Lp | Wireless network authentication control |
| KR102339857B1 (ko) | 2017-03-29 | 2021-12-16 | 삼성전자주식회사 | 외부의 IoT 장치를 관리 및 제어하는 방법 및 이를 지원하는 전자 장치 |
| US10530771B2 (en) * | 2017-06-30 | 2020-01-07 | Verizon Patent And Licensing Inc. | System and method of inter-account resource access management |
| JP7059559B2 (ja) * | 2017-10-11 | 2022-04-26 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置及びプログラム |
| US10715507B1 (en) * | 2018-01-05 | 2020-07-14 | Amazon Technologies, Inc. | Privilege revocation for client devices |
| US11546360B2 (en) * | 2018-02-20 | 2023-01-03 | Darktrace Holdings Limited | Cyber security appliance for a cloud infrastructure |
| WO2019177207A1 (ko) * | 2018-03-14 | 2019-09-19 | 인하대학교 산학협력단 | IoT 기반 건강 처방 보조 및 보안 시스템 그리고 방법 |
| US11481509B1 (en) | 2018-07-10 | 2022-10-25 | United Services Automobile Association (Usaa) | Device management and security through a distributed ledger system |
| US11201923B2 (en) * | 2018-08-13 | 2021-12-14 | Microsoft Technology Licensing, Llc | Transferring digital device ownership via a signed transfer request |
| KR102661628B1 (ko) * | 2018-09-13 | 2024-05-02 | 삼성전자주식회사 | IoT 기기 제어 서비스를 제공하는 전자 장치 및 그 제어 방법 |
| US10826828B2 (en) | 2018-11-28 | 2020-11-03 | Nokia Technologies Oy | Systems and methods for encoding and decoding IoT messages |
| CN109842687A (zh) * | 2019-03-06 | 2019-06-04 | 深圳市多彩实业有限公司 | 智能锁管理服务器 |
| US11381575B2 (en) | 2019-05-03 | 2022-07-05 | Microsoft Technology Licensing, Llc | Controlling access to resources of edge devices |
| US11463477B2 (en) * | 2019-05-22 | 2022-10-04 | Hewlett Packard Enterprise Development Lp | Policy management system to provide authorization information via distributed data store |
| US10708770B1 (en) | 2019-06-06 | 2020-07-07 | NortonLifeLock Inc. | Systems and methods for protecting users |
| US12034727B2 (en) * | 2020-12-10 | 2024-07-09 | Amazon Technologies, Inc. | Analysis of role reachability with transitive tags |
| TWI750973B (zh) * | 2020-12-25 | 2021-12-21 | 扉睿科技股份有限公司 | 基於安全導向暨群組分享之物聯網系統 |
| US11902804B2 (en) * | 2022-01-04 | 2024-02-13 | Cisco Technology, Inc. | Fault triage and management with restricted third-party access to a tenant network |
| JP7466814B1 (ja) | 2024-01-22 | 2024-04-12 | 株式会社アシュアード | 情報処理装置及び情報処理方法 |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030105862A1 (en) * | 2001-11-30 | 2003-06-05 | Villavicencio Francisco J. | Impersonation in an access system |
| US20030105742A1 (en) * | 2001-05-29 | 2003-06-05 | David Boreham | Method and system for grouping entries in a directory server by group memberships defined by roles |
| US20050257055A1 (en) * | 2004-04-28 | 2005-11-17 | Anderson Eric C | Device ownership transfer from a network |
| US7024548B1 (en) * | 2003-03-10 | 2006-04-04 | Cisco Technology, Inc. | Methods and apparatus for auditing and tracking changes to an existing configuration of a computerized device |
| US20080195741A1 (en) * | 2007-02-13 | 2008-08-14 | Devicescape Software, Inc. | System and method for enabling wireless social networking |
| US20090320035A1 (en) * | 2006-11-10 | 2009-12-24 | Janet Ahlgren | System for supporting collaborative activity |
| CN101652767A (zh) * | 2007-03-30 | 2010-02-17 | 微软公司 | 基于模型的访问控制 |
| US7685206B1 (en) * | 2004-02-12 | 2010-03-23 | Microsoft Corporation | Authorization and access control service for distributed network resources |
| CN102468961A (zh) * | 2010-11-18 | 2012-05-23 | 卓望数码技术(深圳)有限公司 | 一种分布式企业认证鉴权方法、系统及嵌入终端 |
| CN102546522A (zh) * | 2010-12-08 | 2012-07-04 | 上海熠傲信息科技有限公司 | 一种内网安全系统及其实现方法 |
| US20120324592A1 (en) * | 2008-05-22 | 2012-12-20 | Dmitri Korablev | System and method for flexible security access management in an enterprise |
| EP2665237A1 (en) * | 2012-05-16 | 2013-11-20 | Nokia Corporation | Method, apparatus, and computer program product for controlling network access to guest apparatus based on presence of hosting apparatus |
| US20140026193A1 (en) * | 2012-07-20 | 2014-01-23 | Paul Saxman | Systems and Methods of Using a Temporary Private Key Between Two Devices |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7546630B2 (en) * | 2003-07-17 | 2009-06-09 | International Business Machines Corporation | Methods, systems, and media to authenticate a user |
| US8695872B2 (en) * | 2010-10-04 | 2014-04-15 | Zachary L. Braunstein | Apparatus improving item transactions with real-time controls and navigation |
| US9047456B2 (en) * | 2012-03-20 | 2015-06-02 | Canon Information And Imaging Solutions, Inc. | System and method for controlling access to a resource |
| US20150200964A1 (en) * | 2014-01-13 | 2015-07-16 | Safe Frontier Llc | Method and apparatus for advanced security of an embedded system and receptacle media |
-
2014
- 2014-10-15 US US14/515,252 patent/US9473504B2/en active Active
-
2015
- 2015-08-27 WO PCT/US2015/047283 patent/WO2016060742A1/en active Application Filing
- 2015-08-27 CN CN201580056220.9A patent/CN107111697B/zh not_active Expired - Fee Related
- 2015-08-27 EP EP15851325.9A patent/EP3207484A4/en not_active Withdrawn
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030105742A1 (en) * | 2001-05-29 | 2003-06-05 | David Boreham | Method and system for grouping entries in a directory server by group memberships defined by roles |
| US20030105862A1 (en) * | 2001-11-30 | 2003-06-05 | Villavicencio Francisco J. | Impersonation in an access system |
| US7024548B1 (en) * | 2003-03-10 | 2006-04-04 | Cisco Technology, Inc. | Methods and apparatus for auditing and tracking changes to an existing configuration of a computerized device |
| US7685206B1 (en) * | 2004-02-12 | 2010-03-23 | Microsoft Corporation | Authorization and access control service for distributed network resources |
| US20050257055A1 (en) * | 2004-04-28 | 2005-11-17 | Anderson Eric C | Device ownership transfer from a network |
| US20090320035A1 (en) * | 2006-11-10 | 2009-12-24 | Janet Ahlgren | System for supporting collaborative activity |
| US20080195741A1 (en) * | 2007-02-13 | 2008-08-14 | Devicescape Software, Inc. | System and method for enabling wireless social networking |
| CN101652767A (zh) * | 2007-03-30 | 2010-02-17 | 微软公司 | 基于模型的访问控制 |
| US20120324592A1 (en) * | 2008-05-22 | 2012-12-20 | Dmitri Korablev | System and method for flexible security access management in an enterprise |
| CN102468961A (zh) * | 2010-11-18 | 2012-05-23 | 卓望数码技术(深圳)有限公司 | 一种分布式企业认证鉴权方法、系统及嵌入终端 |
| CN102546522A (zh) * | 2010-12-08 | 2012-07-04 | 上海熠傲信息科技有限公司 | 一种内网安全系统及其实现方法 |
| EP2665237A1 (en) * | 2012-05-16 | 2013-11-20 | Nokia Corporation | Method, apparatus, and computer program product for controlling network access to guest apparatus based on presence of hosting apparatus |
| US20140026193A1 (en) * | 2012-07-20 | 2014-01-23 | Paul Saxman | Systems and Methods of Using a Temporary Private Key Between Two Devices |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108199912A (zh) * | 2017-12-15 | 2018-06-22 | 北京奇艺世纪科技有限公司 | 一种异地多活的分布式消息的管理、消费方法及装置 |
| WO2019140856A1 (zh) * | 2018-01-22 | 2019-07-25 | 深圳友朋智能商业科技有限公司 | 一种设备管理平台及管理系统 |
| CN111104681A (zh) * | 2018-10-29 | 2020-05-05 | Vega格里沙贝两合公司 | 传送用于访问过程工业现场设备的访问信息的方法和设备 |
| CN111104681B (zh) * | 2018-10-29 | 2022-11-01 | Vega格里沙贝两合公司 | 传送用于访问过程工业现场设备的访问信息的方法和设备 |
| CN112182522A (zh) * | 2019-07-05 | 2021-01-05 | 北京地平线机器人技术研发有限公司 | 访问控制方法和装置 |
| CN111291354A (zh) * | 2020-02-12 | 2020-06-16 | 深圳拓邦股份有限公司 | 设备绑定管理方法、系统、可读存储介质及设备终端 |
| CN111291354B (zh) * | 2020-02-12 | 2022-06-17 | 深圳拓邦股份有限公司 | 设备绑定管理方法、系统、可读存储介质及设备终端 |
| WO2022217561A1 (zh) * | 2021-04-15 | 2022-10-20 | Oppo广东移动通信有限公司 | 无线通信的方法及设备 |
| CN113794720A (zh) * | 2021-09-14 | 2021-12-14 | 树根互联股份有限公司 | 跨租户设备资源的权限授权方法、装置和电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107111697B (zh) | 2021-01-05 |
| US9473504B2 (en) | 2016-10-18 |
| WO2016060742A1 (en) | 2016-04-21 |
| US20160112429A1 (en) | 2016-04-21 |
| EP3207484A1 (en) | 2017-08-23 |
| EP3207484A4 (en) | 2018-02-28 |
| WO2016060742A8 (en) | 2017-05-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107111697A (zh) | 对于所连接的消费者设备的基于角色的访问控制 | |
| US11625965B2 (en) | Smart building integration and device hub | |
| US11268715B2 (en) | Building automation systems for online, offline, and hybrid licensing of distributed edge devices | |
| US11522865B2 (en) | Automated IoT device configuration using user profile | |
| US9854386B2 (en) | Methods and apparatus for using smart environment devices via application program interfaces | |
| CN106134143B (zh) | 用于动态网络接入管理的方法、设备和系统 | |
| US9437063B2 (en) | Methods and systems for multi-unit real estate management | |
| JP6970201B2 (ja) | アクセス制御および認識管理のための方法およびシステム | |
| CN107003924A (zh) | 用于管理已连接消费者设备的灵活规则引擎 | |
| KR20130046155A (ko) | 클라우드 컴퓨팅 서비스에서의 접근제어 시스템 | |
| CN103248484A (zh) | 门禁控制系统及方法 | |
| CN107534657A (zh) | 网络连接设备的第三方控制的系统 | |
| JP6610517B2 (ja) | オンデマンドサービス提供システム及びオンデマンドサービス提供方法 | |
| AU2013237709A1 (en) | Utilizing A Social Graph For Network Access and Admission Control | |
| US20210257085A1 (en) | Connected facility systems | |
| CN105230039B (zh) | 室内控制器以及远程控制系统 | |
| WO2018061621A1 (ja) | アプリケーション開発環境提供システム、アプリケーション開発環境提供方法、コンピュータ読み取り可能な非一時的記録媒体、及び端末装置 | |
| CN108605002A (zh) | 用于配置、控制或监控家庭自动化设施的方法 | |
| WO2021168279A1 (en) | Connected facility systems | |
| JP2024085012A (ja) | 制御システム、サービス管理方法およびプログラム | |
| JP2000250409A (ja) | 情報利用・提供方法、そのシステム、装置及びプログラム記録媒体 | |
| JP2004129128A (ja) | ネットワーク接続端子管理システムとネットワーク接続端子管理プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20200612 Address after: 1501, building B, innovation building, 198 Daxin Road, majialong community, Nantou street, Nanshan District, Shenzhen City, Guangdong Province Applicant after: ELA IOT network (Shenzhen) Co.,Ltd. Address before: California, USA Applicant before: AYLA NETWORKS Inc. |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20210105 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |