CN109428890A - 经由单独设备的云注册发起 - Google Patents

经由单独设备的云注册发起 Download PDF

Info

Publication number
CN109428890A
CN109428890A CN201811004073.2A CN201811004073A CN109428890A CN 109428890 A CN109428890 A CN 109428890A CN 201811004073 A CN201811004073 A CN 201811004073A CN 109428890 A CN109428890 A CN 109428890A
Authority
CN
China
Prior art keywords
local device
computing system
cloud computing
local
specific installation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201811004073.2A
Other languages
English (en)
Other versions
CN109428890B (zh
Inventor
J.吴
J.巴伦苏埃拉
G.拉默斯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
General Electric Co
Original Assignee
General Electric Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by General Electric Co filed Critical General Electric Co
Publication of CN109428890A publication Critical patent/CN109428890A/zh
Application granted granted Critical
Publication of CN109428890B publication Critical patent/CN109428890B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5061Partitioning or combining of resources
    • G06F9/5072Grid computing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0806Configuration setting for initial configuration or provisioning, e.g. plug-and-play
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/35Protecting application or service provisioning, e.g. securing SIM application provisioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/18Network protocols supporting networked applications, e.g. including control of end-device applications over a network
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Power Engineering (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Stored Programmes (AREA)

Abstract

本公开涉及一种经由单独设备的云注册发起,即用于使用单独设备发起云环境中的本地设备注册的系统和方法。在示例性实施方案中,由受云计算系统信任的单独设备从所述本地设备接收该本地设备的设备标识符。所述单独设备使所述本地设备的指示符得以显示。响应于接收到对所述本地设备的指示符的激活,所述单独设备向所述云计算系统发出接收凭证信息的请求,所述凭证信息使所述本地设备能够向所述云计算系统注册。所述单独设备接收来自所述云计算系统的凭证信息,并将所述凭证信息传输至所述本地设备。

Description

经由单独设备的云注册发起
技术领域
本公开的实施方案总体上涉及数据处理,更具体地涉及但不限于用于使用单独设备发起向云(例如,基于因特网的)系统(initiating enrollment of a device with acloud)的设备注册的方法和系统。
背景技术
可以通过通信网络(例如,如因特网的广域网)按需向一个或多个客户提供云计算系统,从而使客户免除购买或者租借支持预期计算服务的基础计算系统的责任。此外,在一些操作环境当中,云计算系统可以充当相对于所述云计算系统处于远程位置的多个(有可能是大量的)客户端计算系统的焦点。这样的配置可以促进向更大的分布式或协作系统网络的客户端计算系统添加、客户端计算系统的远程软件配给以及客户端计算系统的操作管理等。
尽管这样的分布式计算系统可以促进若干功能,例如,对各个客户端计算系统有利的信息的共享,但是总的系统安全性则可能变成一个大问题。例如,恶意客户端计算系统通过伪装成受信任客户端或许能够访问存储在云计算系统当中的专有信息。此外,通过这样的访问,恶意行动者或许还能够访问以及控制通信耦合至云计算系统的客户端计算系统中的一者或多者,由此有可能使所述客户端计算系统以及与之连接的其他系统产生不当操作。现有技术系统未能充分地提供一种通过有效率的安全方式向云计算系统进行客户端计算系统的注册的机制。
发明内容
本公开技术方案1提供了一种用于发起向云计算系统的本地设备注册的方法,所述方法包括:在单独设备处经由本地通信连接从所述本地设备接收所述本地设备的设备标识符,所述单独设备受所述云计算系统信任以与所述云计算系统通信;通过所述单独设备处的用户接口使所述本地设备的指示符得以显示;通过所述单独设备处的用户接口接收对所述本地设备的指示符的激活,以发起所述本地设备向所述云计算系统的注册;由所述单独设备的至少一个硬件处理器响应于所述激活向所述云计算系统发出接收凭证信息的请求,所述凭证信息使所述本地设备能够向所述云计算系统注册,其中所述请求是通过广域网做出的;在所述单独设备处通过所述广域网接收来自所述云计算系统的所述凭证信息;以及由所述单独设备将所述凭证信息通过所述本地通信连接传输至所述本地设备。
技术方案2:根据技术方案1所述的方法,其中,所述请求的发出包括传输对所述云计算系统的设备管理器的应用编程接口的调用。
技术方案3:根据技术方案1所述的方法,进一步包括:在所述单独设备处对所述本地设备进行认证,其中对所述本地设备的认证包括接收所述本地设备的设备标识符。
技术方案4:根据技术方案3所述的方法,其中,所述单独设备和所述本地设备之间的双向认证过程包括对所述本地设备的认证。
技术方案5:根据技术方案3所述的方法,进一步包括:由所述单独设备响应于所述本地设备明示出本地通信连接而连接至所述本地通信连接,其中对所述本地设备的认证是通过所述本地通信连接发生的。
技术方案6:根据技术方案1所述的方法,进一步包括:由所述单独设备通过所述本地通信连接将所述云计算系统的网络地址信息传输给所述本地设备,所述网络地址信息能够使所述本地设备使用所述凭证信息向所述云计算系统进行注册。
技术方案7:根据技术方案6所述的方法,其中,所述网络地址信息包括所述云计算系统的设备管理器的统一资源定位符。
技术方案8:根据技术方案1所述的方法,其中,所述本地通信连接包括无线本地通信连接。
技术方案9:根据技术方案1所述的方法,进一步包括:通过所述单独设备的所述用户接口接收对所述本地设备的操作角色的选择;以及由所述单独设备经由所述本地通信连接将操作角色的指示传输至所述本地设备,以促进所述云计算系统经由所述广域网为所述本地设备配给对应于所述操作角色的软件。
技术方案10:根据技术方案1所述的方法,进一步包括:通过所述单独设备的所述用户接口接收对所述本地设备的操作角色的选择;以及由所述单独设备经由所述广域网将操作角色的指示传输至所述云计算系统,以促进所述云计算系统经由所述广域网为所述本地设备配给对应于所述操作角色的软件。
技术方案11提供一种用于发起向云计算系统的本地设备注册的方法,所述方法包括:由所述本地设备经由本地通信连接向单独设备传输所述本地设备的设备标识符,所述单独设备受所述云计算系统信任以与所述云计算系统通信;在传输所述本地设备的设备标识符之后,在所述本地设备处经由所述本地通信连接接收来自所述单独设备的针对所述本地设备的凭证信息,所述凭证信息使所述本地设备能够向所述云计算系统进行注册;以及由所述本地设备的至少一个硬件处理器经由广域网向所述云计算系统传输使用所述凭证信息向所述云计算系统注册所述本地设备的请求。
技术方案12:根据技术方案11所述的方法,进一步包括:
基于所述本地装置向所述云计算系统的注册,在所述本地设备处经由所述广域网从所述云计算系统接收将在所述本地设备上执行的软件。
技术方案13:根据技术方案12所述的方法,其中,所述软件的接收包括接收包括所述软件的至少一个软件容器;并且所述方法进一步包括将所述软件容器安装在所述本地设备上以供在所述本地设备的操作系统上面执行。
技术方案14:根据技术方案12所述的方法,进一步包括:在所述本地设备处将所述软件安装到在所述本地设备上执行的虚拟机中。
技术方案15:根据技术方案11所述的方法,进一步包括:在所述本地设备处经由所述本地通信连接对所述单独设备进行认证,其中所述认证包括传输所述本地设备的设备标识符。
技术方案16:根据技术方案15所述的方法,进一步包括:由所述本地设备将所述本地通信连接明示给所述单独设备,其中,所述单独设备的认证是响应于所述本地通信连接的明示而发生的。
技术方案17:根据技术方案11所述的方法,进一步包括:在所述本地设备处经由所述本地通信连接从所述单独设备接收所述云计算系统的网络地址信息,其中所述本地设备的注册采用所述网络地址信息。
技术方案18:根据技术方案11所述的方法,进一步包括:在所述本地设备处经由所述本地通信连接接收来自所述单独设备的所述本地设备的操作角色的指示;以及基于所述本地装置向所述云计算系统的注册,在所述本地设备处经由所述广域网从所述云计算系统接收将在所述本地设备上执行的软件,其中所述软件是根据所述本地设备的操作角色配置的。
技术方案19提供一种用户设备,包括:用户接口;一个或多个硬件处理器;以及存储指令的存储器,所述指令在由所述一个或多个硬件处理器中的至少一个执行时使得所述用户设备执行操作,所述操作包括:经由本地通信连接从所述本地设备接收所述本地设备的设备标识符,所述用户设备受所述云计算系统信任以与所述云计算系统通信;通过所述用户接口使所述本地设备的指示符得以显示;通过所述用户接口接收对所述本地设备的指示符的激活,以发起所述本地设备向所述云计算系统的注册;响应于所述激活向所述云计算系统发出接收凭证信息的请求,所述凭证信息使所述本地设备能够向所述云计算系统注册,其中所述请求是通过广域网做出的;经由所述广域网从所述云计算系统接收所述凭证信息;以及经由所述本地通信连接将所述凭证信息传输至所述本地设备。
技术方案20提供一种本地设备,包括:一个或多个硬件处理器;以及存储指令的存储器,所述指令在由所述一个或多个硬件处理器中的至少一个执行时使得所述本地设备执行操作,所述操作包括:经由本地通信连接向单独设备传输所述本地设备的设备标识符,所述单独设备受所述云计算系统信任以与所述云计算系统通信;在传输所述本地设备的设备标识符之后,经由所述本地通信连接接收来自所述单独设备的针对所述本地设备的凭证信息,所述凭证信息使所述本地设备能够向所述云计算系统进行注册;以及经由广域网向所述云计算系统传输使用所述凭证信息向所述云计算系统注册所述本地设备的请求。
附图说明
附图中的各图仅说明本公开的示例性实施方案,且不能被视为限制本公开的范围。
图1是耦合至包括示例性受信任设备和示例性本地设备的本地网络区域的示例性云计算系统的方框图。
图2是图1的示例性本地设备的方框图。
图3是图1的示例性受信任设备的方框图。
图4是描绘图1的本地设备、受信任设备和云计算系统的设备管理器之间的示例性通信和操作的通信图。
图5A是显示了受配给的本地设备和未受配给的本地设备并且指示了所选择的有待配给的本地设备的用户接口的图形表示,如图1的受信任设备所显示的。
图5B是显示了受配给的本地设备和未受配给的本地设备并且指示了所选择本地设备处于已配给状态的用户接口的图形表示,如图1的受信任设备所显示的。
图6A是显示了受配给的本地设备和未受配给的本地设备并且指示了所选择的有待根据根据特定操作角色进行配给的本地设备的用户接口的图形表示,如图1的受信任设备所显示的。
图6B是显示了受配给的本地设备和未受配给的本地设备并且指示了所选择的本地设备已根据特定操作角色处于已配给状态的用户接口的图形表示,如图1的受信任设备所显示的。
图7是采取计算机系统的示例性形式的机器或设备的方框图,用于使得所述机器或设备执行本说明书中论述的方法中的任何一个或多个的指令可以在所述计算机系统内执行。
本说明书中所提供的标题仅仅是为方便起见,且不一定影响所使用的术语的范围或含义。
具体实施方式
在以下描述中,出于解释的目的,阐述许多具体细节以便提供对本主题的各种示例性实施方案的理解。然而,对于本领域的技术人员而言显然可在无需这些具体细节的情况下实践本主题的示例性实施方案。
图1是通过云通信网络130耦合至本地网络区域120的示例性云计算系统101(或者简称为云系统101)的方框图。云通信系统130的示例性实施方案包括但不限于诸如因特网、无线WAN(WWAN)等的广域网(WAN),并且可以与如蜂窝电话网络(例如,第三代(3G)或者第四代(4G)网络)的促进向WAN的接入的其他网络相结合。本地网络区域120(例如,建筑物或者其他本地化场所)可以由一个或多个本地网络140或连接提供服务。本地网络140的示例性实施方案包括但不限于局域网(LAN)、无线LAN(WLAN)、输电线通信(PLC)网络、连接、近场通信(NFC,near-field communication)连接等。
如图1所示,本地网络140可以促进本地网络区域120内的本地设备122和受信任设备124之间的通信。在一些示例性实施方案中,本地网络140还可以促进本地设备122和/或受信任设备124与云通信网络130的连接,以与云系统101通信。例如,本地网络140可以包括一个或多个路由器、交换机或者促进本地设备122、受信任设备124和云通信网络130之间的通信的其他设备。尽管在图1中描绘了单个本地设备122和单个受信任设备124,但是在其他示例性实施方案中,每种此类设备122、124都可以在本地网络区域120内部署多个。
在示例性实施方案中,受信任设备124是受到本地设备122和云系统101中的任一者或者它们的两者“信任”以便与之通信的与本地设备122分开的用户操作设备。受信任设备124可以用于通过经由本地网络140与本地设备122的通信从本地设备122收集信息,传达向经由云系统101控制的整个系统添加本地设备122的意图,以及通过本地网络140将经由云通信网络130接收自云系统101的凭证或类似信息传达给本地设备122,从而促进尔后在本地设备122和云系统101之间的更多直接通信。在一些示例性实施方案中,所述直接通信可以促进云系统101对本地设备122所做的注册和配给(enrollment and provisioning),从而使得本地设备122能够在本地网络区域120内执行某一预期功能或者某一组功能。在示例性实施方案中,受信任设备124向本地设备122所做的凭证传达起着发起对本地设备122的注册和/或后续配给的作用。
受信任设备124可以包括但不限于台式计算机、膝上型电脑、平板电脑、平板电脑、智能电话或能够经由消息、数据分组或其它通信数据结构通过云通信网络130与云计算系统101进行通信的任何其他计算设备或通信设备。在示例性实施方案中,受信任设备124可以使用超文本传输协议(HTTP)经由web服务器(在图1中未明确示出)与云计算系统101通信,可以使用来自受信任设备124上执行的应用对云系统101提供的应用编程接口(API)的调用与云计算系统101通信,或者使用本说明书中未专门讨论的其他通信协议或方法与云计算系统101通信。在一些示例性实施方案中,受信任设备124可以是平板电脑或智能电话,其可以可经由本地网络140和云通信网络130两者进行无线通信,从而将受到配给以便与云系统101结合使用的本地设备122或者不受这样的配给的本地设备122的身份(identitiesof local devices)显示给受信任设备124的用户、以及接收对将受到配给或者将被解除配给的(de-provisioned)本地设备122的用户选择。
在示例性实施方案中,本地设备122可以是任何能够与受信任设备124和云系统101通信的电子设备(包括但不限于诸如台式计算机、膝上型电脑等的计算系统),如上文所述。在一些示例性实施方案中,本地设备122可以是工业“物联网”(IIoT)设备,例如,工业控制器或者数据收集设备(例如,测量温度、压力、流体流量、流体流速、力等的设备)等。而且在示例性实施方案中,本地设备122被配置为包括操作系统,所述操作系统支持多个虚拟机、多个软件容器(例如,容器)或者其他支持一个或多个执行过程和/或线程(threads)的计算机架构。在一些示例性实施方案中,本地设备122可以被配置为向云系统101注册,以促进协同云系统101的通信或操作,所述通信或操作有可能包括对将被安装到本地设备122上并由本地设备122执行的软件(例如,软件容器)的配给(the provisioningof software)。而且,在一些示例性实施方案中,本地设备122可以与云系统101通信,从而在本地设备122和云系统101之间传递数据(例如,测量结果)。
在图1所示的示例性实施方案中,云计算系统101包括实施设备管理器102的一个或多个计算机设备或系统,所述设备管理器被配置为管理一个或多个本地设备122的使用。如图1所示,设备管理器102可以包括凭证发生器(credential generator)104、注册管理器(enrollment manager)106和配给管理器(provisioning manager)112。在示例性实施方案中,凭证发生器104可以生成与特定本地设备122(例如,与受信任设备124提供的标识符相关联的本地设备122)相关联的一个或多个凭证(credentials)(例如,数字证书和/或秘密(例如,加密和/或解密秘钥)等)。在示例性实施方案中,注册管理器106可以被配置为向云系统101进行对本地设备122的注册,从而使所述本地设备122能够访问在云系统101中执行的软件提供的应用114和/或服务116(例如,数据库、文件系统、消息传送系统等)。此外,在一些示例性实施方案中,本地设备122的注册还可以允许配给管理器112向所述本地设备122配给可由云系统101执行的软件。在示例性实施方案中,配给管理器112可以基于分配给本地设备122的操作角色(例如,由受信任设备124的用户选择的角色)而配给特定软件。
图2是图1的本地设备122的示例性实施方案的方框图。如图所示,本地设备122可以包括网络接口202、认证/隐私模块204、云注册/配给模块206和数据存储库208。在示例性实施方案中,这样的部件或模块以及本说明书中描述的其他部件或模块可以被实施为可由机器(例如,计算系统)的一个或多个硬件处理器执行的指令。可以包含诸如数据处理模块、数据收集模块以及用户接口等的其他模块,但是上文中未对其明确讨论,这样做是为了将重点放在下文的讨论上。
在示例性实施方案中,网络接口202可以被配置为促进本地设备122与云通信网络130和本地网络140的任一者或两者之间的通信。网络接口202的示例可以包括但不限于接口、以太网接口、接口、NFC接口和通用串行总线(USB)接口中的一者或多者。
在示例性实施方案中,认证/隐私模块204可以被配置为对受信任设备124和/或云系统101的身份进行认证,以及向受信任设备124和/或云系统101提供认证信息。在示例性实施方案中,认证/隐私模块204可以与受信任设备124和/或云系统101执行双向认证(例如,双向传输层安全(TLS)认证)。这样的认证还可以促进本地设备122与受信任设备124和/或云系统101之间的进一步通信和操作,例如,上文提及的注册和配给操作。认证/隐私模块204还可以在与受信任设备124和/或云系统101的通信当中采用加密和解密(例如,使用私钥或公钥等)。在示例性实施方案中,认证/隐私模块204可以发送和/或接收设备或系统标识符、媒体访问控制(MAC)地址、因特网协议(IP)地址、数字证书和/或其他信息,以执行各种认证和隐私功能。
图2所示的数据存储库208可以存储用于本地设备122的认证的数据,所述数据包括用于本地设备122的本地设备标识符212以及用于本地设备122的证书/认证数据214(例如,数字证书、私钥等)。在示例性实施方案中,其他类型的可用于本地设备122的认证、隐私、注册和配给功能的数据也可以存储在数据存储库208内。在示例性实施方案中,数据存储库208可以包括一种或多种类型的非易失性数据存储介质,其有可能包括但不限于磁盘、光盘和闪存。在一些示例性实施方案中,数据存储库208可以将与认证和隐私有关的数据存储到与主存储区分开并且只可被密码处理器(例如,受信任平台模块(TPM)中的)访问的数据存储区内。
在示例性实施方案中,云注册/配给模块206可以被配置为执行针对本地设备122的各种注册和/或配给操作。例如,云注册/配给模块206可以向云系统101(例如,设备管理器102的注册管理器106)发出向云系统101进行注册,从而允许本地设备122对云系统101的一个或多个应用114和/或服务116进行后续使用的请求(例如,通过API调用)。云注册/配给模块206可以与云系统101通信,从而将软件(例如,软件容器中的)下载到本地设备122,以供在其上执行,从而执行本地设备122的各种预期操作。在一些示例性实施方案中,在注册和/或配给操作过程中,本地设备122可以与将由本地设备122执行的特定操作角色相关联,因而本地设备122将被配给适当软件并且有权访问适当的应用114和服务116,以履行该角色。这样的角色可以包括(例如)数据收集、工业系统或设备监测、人/机器接口(HMI)操作以及可能的很多其他角色。
图3是图1的受信任设备124的示例性实施方案的方框图。如图3所示,受信任设备124可以包括网络接口302、认证/隐私模块304、注册发起模块306、数据存储库308和用户接口310。在示例性实施方案中,这样的部件或模块以及本说明书中描述的其他部件或模块可以被实施为可由机器(例如,计算系统)的一个或多个硬件处理器执行的指令。可以包含诸如数据处理模块、位置确定模块等的其他模块,但是上文中未对其明确讨论,这样做是为了将重点放在下文的讨论上。
与本地设备122的网络接口202类似,在示例性实施方案中,受信任设备124的网络接口302可以被配置为促进受信任设备124与云通信网络130和本地网络140的任一者或两者之间的通信。网络接口302的示例可以包括但不限于接口、以太网接口、接口、NFC接口和USB接口中的一者或多者。
在示例性实施方案中,认证/隐私模块304可以被配置为对本地设备122和/或云系统101的身份(identity)进行认证,以及向本地设备122和/或云系统101提供认证信息。在示例性实施方案中,认证/隐私模块304可以与本地设备122和/或云系统101执行双向认证(例如,双向传输层安全(TLS)认证)。这样的认证还可以促进受信任设备124与本地设备122和/或云系统101之间的进一步通信和操作,如上文所提及的。认证/隐私模块304还可以在与本地设备122和/或云系统101的通信当中采用加密和解密(例如,使用私钥或公钥等)。在示例性实施方案中,认证/隐私模块304可以发送和/或接收设备或系统标识符、MAC地址、IP地址、数字证书和/或其他信息,以执行各种认证和隐私功能。
在示例性实施方案中,注册发起模块306可以被配置为参与与本地设备122和云系统101的通信,从而发起本地设备122在云系统101处的注册。在示例性实施方案中,注册发起模块306从本地设备122接收本地设备122的设备标识符,并在与云系统101的通信当中采用所述设备标识符(device identifier),以接收来自云系统101的凭证信息(credentialinformation)。之后,注册发起模块306可以将接收到的凭证信息转发给本地设备122,以促进本地设备122向云系统101的注册以及可能的由云系统101对本地设备122所做的配给(provisioning)。在示例性实施方案中,向本地设备122的凭证信息转发可以被本地设备122解释为向云系统101进行注册的请求或命令,所述注册可能要采用受信任设备124提供的额外信息。下文将联系图4更详细地描述注册发起模块306的操作的示例性实施方案。
在示例性实施方案中,数据存储库308可以被配置为存储接收自本地设备122的信息(例如,本地设备122的设备标识符)、接收自云系统101的信息(例如,将传送至本地设备122的凭证信息)以及接收自可能的其他信息源的信息。与本地设备122的数据存储库208类似,数据存储库308可以包括一种或多种类型的非易失性数据存储介质,其有可能包括但不限于磁盘、光盘和闪存。
在示例性实施方案中,用户接口310可以被配置为将本地设备122的指示(例如,设备标识符或其某种指示)显示给受信任设备124的用户、以及接收对本地设备122的用户选择,以发起本地设备122的注册以及可能的配给。在一些示例性实施方案中,可以显示多个本地设备122的指示,并且用户可以选择多个这样的指示以发起对对应的本地设备122的注册和可能的配给。在示例性实施方案中,用户接口310可以包括在智能电话、平板电脑等当中常用的集成了显示设备和触敏用户输入表面的触摸屏。用户接口310的其他示例可以包括但不限于显示设备、鼠标、触控板和键盘等。
图4是描绘图1的本地设备122、受信任设备124和云计算系统101的设备管理器102之间的示例性通信和操作400的通信图。尽管考虑图1-3所示的环境描述了各种通信和操作400以及本说明书中介绍的其他通信和操作,但是在其他实施方案中本说明书中未具体讨论的其他系统和设备可以执行同样的操作。此外,尽管各种通信和操作400在图4中是按照特定的执行顺序介绍的,但是在其他示例性实施方案中其他执行顺序(包括两项或多项操作400的可能的叠加、同时或并行执行)也是可能的。
如图4所示,受信任设备124和设备管理器102可以在认证操作(操作402)中相互认证。认证402可以确保发生在受信任设备124和设备管理器102之间的后续通信是借助于已知设备发生的,并且受信任设备124和设备管理器102之间的通信是安全的,例如,通过使用公钥和/或私钥或者其他共享秘密的加密和对应解密确保所述安全。在示例性实施方案中,设备管理器102可以通过代表云系统101的客户(例如,与受信任设备124相关联的特定公司或其他组织)提供的凭证对受信任设备124进行认证。例如,拥有或者控制受信任设备124的组织可以负责获得从(例如)证书机构(CA,certificate authority)获得针对受信任设备124的凭证信息。在示例性实施方案中,可以使用双向TLS认证实施受信任设备124和云系统101(例如,设备管理器102)之间的认证。
而且在示例性实施方案中,受信任设备124可以是可以由与和受信任设备124相关联的公司或其他组织相关联的技术人员、系统操作者或其他人员使用的智能电话、平板电脑、膝上型电脑、台式计算机或其他用户设备。类似地,在示例性实施方案中,云系统101可以是由所述组织操作或控制的系统,或者所述组织可以是提供云系统101的组织的客户。
在受信任设备124和设备管理器102的认证之后,可以安装本地设备122(操作404)。在示例性实施方案中,本地设备122可以是工业控制器、监测器、数据收集器或者与工业系统(例如,发电厂或制造作业等)相关联的其他设备。在示例性实施方案中,所述安装可以涉及将本地设备122耦合(例如,从机械、电等方面)至工业系统的一件或多件设备,以及对本地设备122加电。
在本地设备122被安装完(操作404)并且准备运行之后,本地设备122和受信任设备124可以通过本地网络140参与认证操作或认证过程(操作406)。在示例性实施方案中,本地网络140由路由器(例如,路由器)予以支持,所述路由器提供本地设备122和受信任设备124之间的通信连接并且提供与网关的连接,所述网关是将本地网络140耦合至云通信网络130的网关。如上文所讨论的,在示例性实施方案中,所述认证可以通过双向TLS认证过程发生于本地设备122和受信任设备124之间。
在示例性实施方案中,本地网络140可以是通过(例如)连接或者Direct连接等在不使用路由器的情况下专门创建于本地设备122和受信任设备124之间的通信连接。在示例性实施方案中,本地设备122可以将这样的本地通信连接明示(expose)给受信任设备124。作为响应,受信任设备124可以通过所明示的通信连接通信连接至本地设备122。响应于所述本地通信连接的建立,在示例性实施方案中,受信任设备124可以从本地设备122接收或者检索根证书(retrieve a root certificate),所述根证书标示可通过云通信系统130访问的与根证书机构相关联的网站或其他位置。受信任设备124可以从对本地设备122进行认证的根证书机构检索或者接收数字证书或其他信息。在示例性实施方案中,根证书可以被作为证书/认证数据214存储到数据存储库208中,例如,存储到TPM当中,如上文所指示的。在又一些示例性实施方案中,本地设备122和受信任设备124可以通过其他手段或过程相互认证,例如,通过与和本地设备122及受信任设备124的任一者或两者相关联的组织有关的证书。
在本地设备122和受信任设备124的所述认证期间或之后,受信任设备124可以接收本地设备122的设备标识符。在示例性实施方案中,受信任设备124可以通过用户接口310(例如,通过触摸屏)显示本地设备122的指示(操作408)(有可能连同其他本地设备122的指示)。作为显示本地设备122的指示的响应,受信任设备124可以通过用户接口310接收(例如,从使用受信任设备124的技术人员或系统操作者那里)对本地设备122的选择(操作410)。在示例性实施方案中,对本地设备122的选择可以向受信任设备124表明本地设备122将向云系统101进行注册(例如,通过设备管理器102),从而使本地设备122可以在其安装环境(例如,工业系统)内履行某一操作角色。
响应于对本地设备122的用户选择,在示例性实施方案中,受信任设备124可以通过云通信网络130请求来自设备管理器102的凭证信息(操作412),以促进本地设备122向设备管理器102的注册。在示例性实施方案中,受信任设备124可以在凭证请求412中提供本地设备122的设备标识符。响应于凭证请求412,设备管理器102可以生成和/或提供给本地设备122将用来与设备管理器102进行通信的凭证信息(操作414),之后将所述凭证信息经由云通信网络130传输(操作416)至受信任设备124。在示例性实施方案中,这一凭证信息可以包括所述本地设备122在与设备管理器102通信时要用到的一个或多个加密/解密秘钥。在一些示例性实施方案中,所述凭证信息还可以包括指示设备管理器102的网络地址(例如,URL)的信息、或者针对本地设备122的用来向设备管理器102进行注册的其他信息。还可以包含可用于使本地设备122实现注册目的的其他类型的信息,例如,设备管理器102所采用的针对本地设备122的标识符。
在示例性实施方案中,响应于接收到凭证信息以及任何有关信息,受信任设备124可以将该信息经由本地网络140传输至本地设备122(操作418)。在示例性实施方案中,受信任设备124可以通过先前由本地设备122明示的与本地设备122的直接本地通信连接;通过服务于本地设备122、受信任设备124和本地网络区域120内的其他设备的本地网络140;或者通过另一本地网络140传输所述凭证信息。
本地设备122响应于接收到所述凭证信息(操作418)可以使用所接收到的凭证信息通过云通信网络130向设备管理器102(例如,注册管理器106)进行注册(操作420)。在示例性实施方案中,本地设备122的注册可以使得注册管理器106提供在云系统101中可得的一个或多个应用114和/或服务116,以供本地设备122使用,如上文所述。此外,可以基于本地设备122履行的特定操作角色使特定的应用114和/或服务116可被本地设备122使用,所述操作角色可以是已经由受信任设备124的用户选定的。在示例性实施方案中,受信任设备124可以将用户选择的本地设备122的操作角色连同设备标识符一起作为凭证请求的部分予以传输(操作412)。在另一示例性实施方案中,受信任设备124可以将用户选择的本地设备122的操作角色连同接收到的凭证一起传输至本地设备122(操作418)。
此外,在一些示例性实施方案中,云系统101(例如,配给管理器112)可以基于本地设备122的注册通过云通信网络130为本地设备122配给软件,如上文所述。对本地设备122的配给也可以基于上文讨论的为本地设备122选择的特定操作角色。
图5A是显示当前接受配给的本地设备504和当前未接受配给的本地设备502(它们的每者都可能是本地设备122)的受信任设备124的用户接口310的图形表示,如上文所述。在这一特定示例中,受信任设备124的用户正在指示从未受配给的本地设备502的列表(本地设备2到本地设备9)中选择特定的未受配给(或者未经注册)的本地设备502(本地设备8)以供配给,如受信任设备124所显示的。如图5A所示,此时只有单一受配给本地设备504(本地设备1)已经注册和/或接受了配给。在这一特定示例中,用户通过将本地设备8指示符从未受配给本地设备502的列表“拖”(操作506)到受到配给的本地设备504的列表而指示选择未受配给的本地设备502以供注册和/或配给。在受信任设备124的用户接口310的其他示例性实施方案中可以提供其他选择特定的未受配给的本地设备502进行注册或配给的方法。
图5B是受信任设备124的用户接口310的图形表示,其显示了在图5A中选择的未受配给本地设备502已经注册和/或配给(例如,如上文所述)之后的受配给本地设备504和未受配给本地设备502,其结果是用户接口310将所选择的本地设备122(本地设备8)显示到受配给本地设备504的列表当中。在一些示例性实施方案中,用户接口310可以有助于选择一个或多个受配给(或注册)的本地设备504以实施去配给和/或取消注册,例如,其方式是将受配给本地设备504之一拖向未受配给本地设备502的列表。
图6A是受信任设备124的用户接口310的图形表示,其显示了当前受到配给的本地设备504、当前未受配给的本地设备502、以及未受配给本地设备502中的一者或多者的可用操作角色602(例如,HMI(人/机器接口)/安全、核心控制器和电保护等)。此外,图6A指示了对有待根据特定操作角色602(核心控制器)实施配给的未受配给(或者未经注册)本地设备502(本地设备8)的用户选择,例如,其方式是将本地设备8指示符拖(操作606)到核心控制器这一选定操作角色602。如上文联系图5A所提及的,在其他示例性实施方案中,可以采用除了拖曳以外的选择方法为未受配给(或未经注册)的本地设备502选择特定操作角色602。例如,可用操作角色602的每者可以由地图中的特定位置或单元、示意图或者未受配给本地设备502安装于其内的工业系统或环境的其他表示予以表示。
图6是在所选择的未受配给本地设备502(本地设备8)已受注册并且有可能已受配给之后的受信任设备124的用户接口310的图形表示(例如,如上文所述),其结果是本地设备8被连同其关联操作角色(核心控制器)一起列为受配给本地设备504之一。如上文联系图5B所讨论的,受信任设备124的用户可以对特定的受配给或经注册本地设备504解除配给和/或取消注册,例如,其方式是将所选择的已配给本地设备504拖向未受配给本地设备502的列表。
在上文描述的各种实施方案中,每一本地设备122可以是单独的硬件设备或系统。在又一些示例性实施方案中,每一本地设备122可以是物理设备的可单独标识、注册和/或配给的部分,例如,其可以是可以在单个计算系统上执行的多个虚拟机中的单独虚拟机。在其他示例性实施方案中,包括可在单个计算系统上执行的软件的多个软件容器中的每一者可以被视为可供云系统101进行注册和/或配给操作的单独本地设备122。
在示例性实施方案中,一种用于发起向云计算系统的本地设备注册的方法包括:由单独设备经由本地通信连接从所述本地设备接收所述本地设备的标识符,所述单独设备受所述云计算系统的信任以与所述云计算系统通信;通过所述单独设备的用户接口使得所述本地设备的指示符得以显示;通过所述单独设备的用户接口接收对所述本地设备的指示符的激活,从而发起所述本地设备向所述云计算系统的注册;响应于所述激活,由所述单独设备的至少一个硬件处理器经由广域网向所述云计算系统发出接收使得所述本地设备能够向所述云计算系统进行注册的凭证信息的请求;响应于所述请求,由所述单独设备经由所述广域网从所述云计算系统接收所述凭证信息;以及由所述单独设备经由所述本地通信连接将所述凭证信息传输至所述本地设备。
在包括所有先前示例性实施方案的另一示例性实施方案中,所述请求的发出包括传输对所述云计算系统的设备管理器的应用编程接口的调用,并且其中,所述调用包含所述请求。
在包括所有先前示例性实施方案的另一示例性实施方案中,所述方法还包括由所述单独设备对所述本地设备进行认证,其中,所述对所述本地设备的认证包括接收所述本地设备的设备标识符。
在包括所有先前示例性实施方案的另一示例性实施方案中,所述单独设备和所述本地设备之间的双向认证过程构成了对所述本地设备的认证。
在包括所有先前示例性实施方案的另一示例性实施方案中,所述方法进一步包括由所述单独设备响应于所述本地设备明示出本地通信连接而连接至所述本地通信连接,其中,对所述本地设备的认证是通过所述本地通信连接发生的。
在包括所有先前示例性实施方案的另一示例性实施方案中,所述方法进一步包括由所述单独设备通过所述本地通信连接将所述云计算系统的网络地址信息传输给所述本地设备,所述网络地址信息能够使所述本地设备使用所述凭证信息向所述云计算系统进行注册。
在包括所有先前示例性实施方案的另一示例性实施方案中,所述网络地址信息包括所述云计算系统的设备管理器的统一资源定位符(uniform resource locator)。
在包括所有先前示例性实施方案的另一示例性实施方案中,所述本地通信连接包括无线本地通信连接。
在包括所有先前示例性实施方案的另一示例性实施方案中,所述方法进一步包括:经由所述单独设备的用户接口接收对所述本地设备的操作角色的选择;以及由所述单独设备经由所述本地通信连接将操作角色的指示传输至所述本地设备,以促进所述云计算系统经由所述广域网为所述本地设备配给对应于所述操作角色的软件。
在包括所有先前示例性实施方案的另一示例性实施方案中,所述方法进一步包括:经由所述单独设备的用户接口接收对所述本地设备的操作角色的选择;以及由所述单独设备经由所述广域网将操作角色的指示传输至所述云计算系统,以促进所述云计算系统经由所述广域网为所述本地设备配给对应于所述操作角色的软件。
在示例性实施方案中,一种用于发起向云计算系统的本地设备注册的方法包括:由本地设备经由本地通信连接将所述本地设备的设备标识符传输至单独设备,所述单独设备受所述云计算系统的信任以与所述云计算系统通信;在传输所述本地设备的设备标识符之后,由所述本地设备经由所述本地通信连接接收来自所述单独设备的针对所述本地设备的凭证信息,所述凭证信息使所述本地设备能够向所述云计算系统进行注册;以及由所述本地设备的至少一个硬件处理器通过广域网向所述云计算系统传输使用所述凭证信息向所述云计算系统注册所述本地设备的请求。
在包括所有先前示例性实施方案的另一示例性实施方案中,所述方法进一步包括基于所述本地装置向所述云计算系统的注册由所述本地设备经由所述广域网从所述云计算系统接收将在所述本地设备上执行的软件。
在包括所有先前示例性实施方案的另一示例性实施方案中,所述软件的接收包括接收至少一个包括所述软件的软件容器;并且所述方法进一步包括将所述软件容器安装到所述本地设备上,以供在本地设备的操作系统上执行。
在包括所有先前示例性实施方案的另一示例性实施方案中,所述方法进一步包括由所述本地设备将所述软件安装到在所述本地设备上执行的虚拟机当中。
在包括所有先前示例性实施方案的另一示例性实施方案中,所述方法进一步包括由所述本地设备经由所述本地通信连接对所述单独设备进行认证,其中,所述认证包括传输所述本地设备的设备标识符。
在包括所有先前示例性实施方案的另一示例性实施方案中,所述方法进一步包括由所述本地设备将所述本地通信连接明示给所述单独设备,其中,所述单独设备的认证是响应于所述本地通信连接的明示而发生的。
在包括所有先前示例性实施方案的另一示例性实施方案中,所述方法进一步包括由所述本地设备经由所述本地通信连接从所述单独设备接收所述云计算系统的网络地址信息,其中,所述本地设备的注册采用所述网络地址信息。
在包括所有先前示例性实施方案的另一示例性实施方案中,所述方法进一步包括:由所述本地设备经由所述本地通信连接从所述单独设备接收所述本地设备的操作角色的指示;以及基于所述本地装置向所述云计算系统的注册由所述本地设备经由所述广域网从所述云计算系统接收要在所述本地设备上执行的软件,其中,所述软件是根据所述本地设备的操作角色配置的。
在示例性实施方案中,一种用户设备包括:用户接口;一个或多个硬件处理器;以及存储指令的存储器,所述指令在受到所述一个或多个硬件处理器中的至少一个执行时使所述用户设备执行操作,所述操作包括:经由本地通信连接从所述本地设备接收所述本地设备的设备标识符,所述用户设备受到所述云计算系统的信任以与所述云计算系统通信;通过所述用户接口使所述本地设备的指示符得以显示;通过所述用户接口接收对所述本地设备的指示符的激活,以发起所述本地设备对所述云计算系统的注册;响应于所述激活经由广域网向所述云计算系统发出接收凭证信息的请求,所述凭证信息使所述本地设备能够向所述云计算系统进行注册;经由所述广域网从所述云计算系统接收所述凭证信息;以及经由所述本地通信连接将所述凭证信息传输至所述本地设备。
在示例性实施方案中,一种本地设备包括:一个或多个硬件处理器;以及存储指令的存储器,所述指令在由所述一个或多个硬件处理器中的至少一个执行时使所述本地设备执行操作,所述操作包括:通过本地通信连接向单独设备传输所述本地设备的设备标识符,所述单独设备受云计算系统信任以与所述云计算系统通信;在传输所述本地设备的设备标识符之后,通过所述本地通信连接从所述单独设备接收凭证信息,所述凭证信息使所述本地设备能够向所述云计算系统进行注册;以及通过所述广域网向所述云计算系统传输使用所述凭证信息向所述云计算系统注册所述本地设备的请求。
图7是说明根据一些示例性实施方案的能够从机器可读介质722(例如,非暂态机器可读介质、机器可读存储介质或者计算机可读存储介质)读取指令724并完全地或者部分地执行本说明书中讨论的方法中的任何一种或多种方法的机器700的部件的方框图。具体地说,图7描绘了具有计算机设备(例如,计算机)的示例性形式的机器700,可在所述机器700内执行用于使机器700完全地或者部分地执行本说明书中所论述的方法中的任何一种或多种方法的指令724(例如,软件、固件、程序、应用、小程序、app或其他可执行代码)。
例如,指令724可以使得机器700执行图4的流程图和图5A、5B、6A、6B的用户界面以及与之相关联的所有示例性实施方案。指令724将一般的未受编程的机器700转换成经编程以按所描述的方式实施所描述和例示的功能的特定机器(例如,经特殊配置的机器)。而且,在示例性实施方案中,机器700可以作为图1-3的系统、模块或部件中的一者或多者工作,或者作为本说明书中描述的任何其他计算系统或设备工作。
在示例性实施方案中,机器700作为独立设备工作或者可以连接(例如,联网)到其他机器。机器700可以是服务器计算机、客户端计算机、个人计算机(PC)、平板电脑、膝上型电脑、上网本、机顶盒(STB)、个人数字助理(PDA)、蜂窝式电话、智能手机、网络器具、网络路由器、网络交换机、网络桥接器、电源适配器或者任何其他能够顺次地或以其他方式执行指定将由机器700采取的行动的指令724的机器700。此外,虽然仅例示了单个机器700,但是还应当将“机器”一词理解为包括机器的集合,这些机器各个地或者联合地执行指令724,以执行本说明书中讨论的方法中的任何一种或多种方法。
机器700包括处理器702(例如,中央处理单元(CPU)、图形处理单元(GPU)、数字信号处理器(DSP)、专用集成电路(ASIC)、射频集成电路(RFIC)或其任何合适组合)、主存储器704和静态存储器706,它们被配置成经由总线(bus)708彼此通信。处理器702可以包括微电路,所述微电路可由指令724中的一些或指令724的全部暂时或永久地配置,使得处理器702可被配置为完全地或部分地执行本说明书中所描述的方法中的任何一个或多个。例如,处理器702的一组的一个或多个微电路可以是可被配置为执行本说明书中描述的一个或多个模块(例如,软件模块)的。
机器700可以进一步包括图形显示器710(例如,等离子显示屏板(PDP)、发光二极管(LED)显示器、液晶显示器(LCD)、投影仪、阴极射线管(CRT)或能够显示图形或视频的任何其他显示器)。机器700还可以包括字母数字输入设备712(例如,键盘或小键盘)、光标控制设备714(例如,鼠标、触控板、跟踪球、操纵杆、运动传感器、眼睛跟踪设备或其他定点设备)、存储单元716、信号发生设备718(例如,声卡、放大器、扬声器、头戴式耳机插孔或其任何适当组合)以及网络接口设备720。
存储单元716包括存储指令724的机器可读介质722(例如,有形的机器可读存储介质),所述指令体现本说明书中所描述的方法或功能中的任何一个或多个。指令724还可以在其被机器700执行之前或期间完全或至少部分地驻留在主存储器704、处理器702(例如,处理器702的高速缓冲存储器)或两者内。因此,主存储器704和处理器702可以被视为机器可读介质722(例如,有形的非暂态机器可读介质)。
在一些示例性实施方案中,机器700可以是便携式或移动计算设备,且具有一个或多个额外输入部件(例如,传感器或计量表)。此类输入部件的示例包括图像输入部件(例如,一个或多个相机)、音频输入部件(例如,麦克风)、方向输入部件(例如,罗盘)、位置输入部件(例如,全球定位系统(GPS)接收器)、定向部件(例如,陀螺仪)、运动检测部件(例如,一个或多个加速度计)、高度检测部件(例如,高度计)和气体检测部件(例如,气体传感器)。由这些输入部件中的任何一个或多个采集的输入可以是可访问的且可用的以供本说明书中所描述的模块中的任一个使用。
如本说明书中所使用的,术语“存储器(memory)”是指能够暂时或永久地存储数据的机器可读介质722,且可以被理解为包括但不限于随机访问存储器(RAM)、只读存储器(ROM)、缓冲存储器、闪速存储器和高速缓冲存储器。尽管计算机可读介质722在示例性实施方案中被示为单个介质,但“机器可读介质(machine-readable medium)”一词应当被理解为包括能够存储指令724的单个介质或多个介质(例如,集中式或分布式数据库,或相关联的高速缓存器和服务器)。“机器可读介质”一词还应当被理解为包括任何介质或者多个介质的组合,其能够存储由机器(例如,机器700)执行的指令724,从而使得指令724在由机器700的一个或多个处理器(例如,处理器702)执行时使机器700执行本说明书中所描述的方法中的任何一个或多个。因此,术语“机器可读介质”应被视为包括但不限于呈固态存储器、光学媒体、磁性媒体或其任何适当组合的形式的一个或多个数据存储库。
而且,机器可读介质722是非暂态的,因为其不体现传播中的或瞬态信号。但是,将机器可读介质722标示为“非暂态(non-transitory)”不应被解释为是指所述介质不能移动;在一些示例性实施方案中,所述介质应当被视为可从一个物理位置运送到另一物理位置。此外,因为机器可读介质722是有形的,因此所述介质可被看作是机器可读设备。
还可以经由网络接口设备720使用传输媒介并且利用公知传输协议中的任何一种传输协议(例如,超文本传输协议(HTTP))通过通信网络726发送或者接收指令724。通信网络726的示例包括局域网(LAN)、广域网(WAN)、因特网、移动电话网络、普通老式电话服务(POTS)网络和无线数据网络(例如和WiMAXTM网络)。“传输媒介(transmission medium)”一词应被理解为包括能够对供机器700执行的指令724进行存储、编码或携带的任何有形介质,并且包括数字或模拟通信信号或者其他促进此类软件的传达的无形媒介。
本说明书中将某些示例性实施方案描述为包括逻辑或者一定数量的部件、模块或机构(mechanisms)。模块可以构成软件模块(例如,体现于机器可读媒介722上或传输信号中的代码)或硬件模块。“硬件模块(hardware module)”为能够执行特定操作、且可以特定物理方式配置或布置的有形单元。在各种示例性实施方案中,一个或多个计算机系统(例如,独立计算机系统、客户端计算机系统或服务器计算机系统)或者计算机系统的一个或多个硬件模块(例如,处理器702或处理器702的群组)可以被通过软件(例如,应用或应用的部分)配置为通过运行执行本说明书中描述的某些操作的硬件模块。
在一些示例性实施方案中,可以按机械方式、电子方式或其任何合适组合实施硬件模块。举例来说,硬件模块可以包括永久地配置成执行特定操作的专用电路或逻辑。硬件模块可以是专用处理器,诸如现场可编程门阵列(FPGA)或专用集成电路(ASIC)。硬件模块还可以包括由软件暂时地配置以执行特定操作的可编程逻辑或电路。作为另一个示例,硬件模块可以包括包涵在通用处理器或其他可编程处理器内的软件。应了解,可以由成本和时间考虑因素驱动以机械方式、在专用且永久性地配置的电路中或在暂时性地配置的电路(例如,由软件配置)中实施硬件模块的决策。
因此,短语“硬件模块”应被理解为涵盖有形实体(tangible entity),即以物理方式构建、受到永久配置(例如,硬布线)或受到暂时性配置(例如,受到编程)从而以某一方式操作或执行本说明书中所描述的某些操作的实体。如本说明书中所使用,“硬件实施模块(hardware-implemented module)”是指硬件模块。考虑其中硬件模块进行暂时性配置(例如,编程)的实例实施例,无需在任一时刻处配置或实例化硬件模块中的每一个。举例而言,在硬件模块包括由软件配置以变为专用处理器(special-purpose processor)的通用处理器(general-purpose processor)的情况下,通用处理器可以在不同时间处配置成分别不同的专用处理器(例如,包括不同硬件模块)。软件因此可以配置处理器,例如以在一个时刻构成特定硬件模块并且在不同时刻构成不同硬件模块。
本说明书中所描述的示例性方法的各种操作可以至少部分地由一个或多个处理器执行,所述一个或多个处理器被暂时配置为(例如,通过软件)或永久地配置为执行相关操作。无论暂时还是永久地配置,此类处理器都可以构成操作以执行本说明书中所描述的一个或多个操作或功能的处理器实施模块。如本说明书中所使用,“处理器实施模块”是指使用一个或多个处理器实施的硬件模块。
类似地,本说明书所描述的方法可以至少部分地由处理器实施,处理器为硬件的示例。例如,方法的操作中的至少一些可以由一个或多个处理器或处理器实施模块来执行。
本说明书中讨论的主题的一些部分可以是按照算法或者对作为位或二元数字信号存储到机器存储器(例如,计算机存储器)内的数据的运算的符号表示来介绍的。此类算法或符号表示是数据处理领域的一般技术人员用来向所属领域的其他技术人员传达其工作的实质内容的技术的实例。如本说明书中所使用的,“算法”是得到预期结果的一系列运算和类似处理。在此上下文中,算法和运算涉及对物理量的物理操纵。此类量通常但未必采取电、磁或光学信号的形式,所述电、磁或光学信号能够被机器存储、访问、传送、组合、比较或以其它方式操纵。主要出于常用的原因,有时使用例如“数据”、“内容”、“位”、“值”、“元素”、“符号”、“字符”、“项”、“数目”、“数字”等词语来提及此类信号是很方便的。然而,这些词语仅为方便的标记且将与适当物理量相关联。
除非另有特定说明,否则本说明书中使用诸如“处理”、“计算”、“估算”、“确定”、“呈现”、“显示”等的词语进行的论述可以指对一个或多个存储器(例如,易失性存储器、非易失性存储器或其任何适当组合)内的被表示为物理(例如,电、磁或光学)量的数据进行操纵或变换的机器(例如,计算机)的动作或处理。此外,除非另有特定说明,否则如在专利文件中所常见的,在本说明书中使用术语“一(a或an)”包括一个或多于一个个例。最后,如本说明书中所使用,连词“或”是指非排他性的“或”,除非另有特定说明。
尽管已参考具体示例性实施方案描述了本发明主题的概要,但可在不脱离本发明的实施方案的更广泛范围的情况下对这些示例性实施方案作出各种修改和变化。举例来说,各种实施例或其特征可以由所属领域的技术人员任选地进行混合和匹配或制造。仅为方便起见,且在如果实际上公开多于一个而不希望自愿地将本申请的范围限于任何单个发明概念的情况下,本发明主题的此类实施例在本说明书中可以单独地或共同地由术语“本发明”提及。
文中例示的示例性实施方案得到了充分详细的描述,从而使本领域技术人员能够实践所公开的教导。可使用其它实施例且从本说明书中导出其它实施例,使得可在不脱离本发明的范围的情况下对结构和逻辑作出替代和改变。因此,详细描述并非以限制性意义获得,且各种实施例的范围仅通过所附权利要求书以此类权利要求书授权的等效物的完整范围定义。
可以为本说明书中作为单个实例描述的资源、操作或结构提供多个实例。另外,各种资源、操作、模块、引擎和数据存储库之间的边界具有某种程度的任意性,并且特定的操作是在具体说明性配置的语境下例示的。功能性的其它分配经设想且可落入本发明的各种实施例的范围内。一般来说,呈现为实例配置中的分离资源的结构和功能性可实施为组合式结构或资源。类似地,呈现为单个资源的结构和功能性可实施为分离资源。这些和其它变化、修改、添加和改进落入如由所附权利要求书表示的本发明的实施例的范围内。因此,应在说明性意义上而非限制性意义上看待说明书和图。

Claims (10)

1.一种用于发起向云计算系统的本地设备注册的方法,所述方法包括:
在单独设备处经由本地通信连接从所述本地设备接收所述本地设备的设备标识符,所述单独设备受所述云计算系统信任以与所述云计算系统通信;
通过所述单独设备处的用户接口使所述本地设备的指示符得以显示;
通过所述单独设备处的用户接口接收对所述本地设备的指示符的激活,以发起所述本地设备向所述云计算系统的注册;
由所述单独设备的至少一个硬件处理器响应于所述激活向所述云计算系统发出接收凭证信息的请求,所述凭证信息使所述本地设备能够向所述云计算系统注册,其中所述请求是通过广域网做出的;
在所述单独设备处通过所述广域网接收来自所述云计算系统的所述凭证信息;以及
由所述单独设备将所述凭证信息通过所述本地通信连接传输至所述本地设备。
2.根据权利要求1所述的方法,其中,所述请求的发出包括传输对所述云计算系统的设备管理器的应用编程接口的调用。
3.根据权利要求1所述的方法,进一步包括:
在所述单独设备处对所述本地设备进行认证,其中对所述本地设备的认证包括接收所述本地设备的设备标识符。
4.根据权利要求3所述的方法,其中,所述单独设备和所述本地设备之间的双向认证过程包括对所述本地设备的认证。
5.根据权利要求3所述的方法,进一步包括:
由所述单独设备响应于所述本地设备明示出本地通信连接而连接至所述本地通信连接,其中对所述本地设备的认证是通过所述本地通信连接发生的。
6.根据权利要求1所述的方法,进一步包括:
由所述单独设备通过所述本地通信连接将所述云计算系统的网络地址信息传输给所述本地设备,所述网络地址信息能够使所述本地设备使用所述凭证信息向所述云计算系统进行注册。
7.一种用于发起向云计算系统的本地设备注册的方法,所述方法包括:
由所述本地设备经由本地通信连接向单独设备传输所述本地设备的设备标识符,所述单独设备受所述云计算系统信任以与所述云计算系统通信;
在传输所述本地设备的设备标识符之后,在所述本地设备处经由所述本地通信连接接收来自所述单独设备的针对所述本地设备的凭证信息,所述凭证信息使所述本地设备能够向所述云计算系统进行注册;以及
由所述本地设备的至少一个硬件处理器经由广域网向所述云计算系统传输使用所述凭证信息向所述云计算系统注册所述本地设备的请求。
8.根据权利要求7所述的方法,进一步包括:
基于所述本地装置向所述云计算系统的注册,在所述本地设备处经由所述广域网从所述云计算系统接收将在所述本地设备上执行的软件。
9.一种用户设备,包括:
用户接口;
一个或多个硬件处理器;以及
存储指令的存储器,所述指令在由所述一个或多个硬件处理器中的至少一个执行时使得所述用户设备执行操作,所述操作包括:
经由本地通信连接从所述本地设备接收所述本地设备的设备标识符,所述用户设备受所述云计算系统信任以与所述云计算系统通信;
通过所述用户接口使所述本地设备的指示符得以显示;
通过所述用户接口接收对所述本地设备的指示符的激活,以发起所述本地设备向所述云计算系统的注册;
响应于所述激活向所述云计算系统发出接收凭证信息的请求,所述凭证信息使所述本地设备能够向所述云计算系统注册,其中所述请求是通过广域网做出的;
经由所述广域网从所述云计算系统接收所述凭证信息;以及
经由所述本地通信连接将所述凭证信息传输至所述本地设备。
10.一种本地设备,包括:
一个或多个硬件处理器;以及
存储指令的存储器,所述指令在由所述一个或多个硬件处理器中的至少一个执行时使得所述本地设备执行操作,所述操作包括:
经由本地通信连接向单独设备传输所述本地设备的设备标识符,所述单独设备受所述云计算系统信任以与所述云计算系统通信;
在传输所述本地设备的设备标识符之后,经由所述本地通信连接接收来自所述单独设备的针对所述本地设备的凭证信息,所述凭证信息使所述本地设备能够向所述云计算系统进行注册;以及
经由广域网向所述云计算系统传输使用所述凭证信息向所述云计算系统注册所述本地设备的请求。
CN201811004073.2A 2017-08-30 2018-08-30 经由单独设备的云注册发起 Active CN109428890B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US15/691621 2017-08-30
US15/691,621 US10735966B2 (en) 2017-08-30 2017-08-30 Cloud enrollment initiation via separate device

Publications (2)

Publication Number Publication Date
CN109428890A true CN109428890A (zh) 2019-03-05
CN109428890B CN109428890B (zh) 2022-10-04

Family

ID=65437885

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811004073.2A Active CN109428890B (zh) 2017-08-30 2018-08-30 经由单独设备的云注册发起

Country Status (2)

Country Link
US (1) US10735966B2 (zh)
CN (1) CN109428890B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11388157B2 (en) * 2020-10-21 2022-07-12 International Business Machines Corporation Multi-factor authentication of internet of things devices

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101877850A (zh) * 2009-04-29 2010-11-03 华为技术有限公司 接入认证方法及装置
EP2384040A1 (en) * 2010-04-29 2011-11-02 Research In Motion Limited Authentication server and method for granting tokens
US20120252405A1 (en) * 2011-03-31 2012-10-04 Lortz Victor B Connecting mobile devices, internet-connected hosts, and cloud services
CN104322038A (zh) * 2013-01-24 2015-01-28 通用电气公司 用于增强控制系统安全性的系统和方法
US20150215778A1 (en) * 2014-01-24 2015-07-30 Htc Corporation Mobile device and wireless pairing method
CN106664308A (zh) * 2014-08-29 2017-05-10 微软技术许可有限责任公司 注册之前的设备验证

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9032493B2 (en) * 2011-03-31 2015-05-12 Intel Corporation Connecting mobile devices, internet-connected vehicles, and cloud services
US9838390B2 (en) * 2015-03-31 2017-12-05 Afero, Inc. System and method for automatic wireless network authentication
US10541958B2 (en) * 2015-08-05 2020-01-21 Facebook, Inc. Controlling a device cloud

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101877850A (zh) * 2009-04-29 2010-11-03 华为技术有限公司 接入认证方法及装置
EP2384040A1 (en) * 2010-04-29 2011-11-02 Research In Motion Limited Authentication server and method for granting tokens
US20120252405A1 (en) * 2011-03-31 2012-10-04 Lortz Victor B Connecting mobile devices, internet-connected hosts, and cloud services
CN104322038A (zh) * 2013-01-24 2015-01-28 通用电气公司 用于增强控制系统安全性的系统和方法
US20150215778A1 (en) * 2014-01-24 2015-07-30 Htc Corporation Mobile device and wireless pairing method
CN106664308A (zh) * 2014-08-29 2017-05-10 微软技术许可有限责任公司 注册之前的设备验证

Also Published As

Publication number Publication date
US10735966B2 (en) 2020-08-04
US20190069178A1 (en) 2019-02-28
CN109428890B (zh) 2022-10-04
RU2018131258A (ru) 2020-03-02
RU2018131258A3 (zh) 2022-04-28

Similar Documents

Publication Publication Date Title
CN104969201B (zh) 用于调用特权操作的安全接口
JP5749236B2 (ja) 鍵付け替え管理装置および鍵付け替え管理方法
CN107111696A (zh) 多租户计算系统中的安全性和权限架构
CN107210916A (zh) 条件登录推广
CN107251035A (zh) 账户恢复协议
US9424438B2 (en) Privacy leakage protection
CN106164917B (zh) 用于远程会话的用户特定应用激活
CN105993146A (zh) 不访问私钥而使用公钥密码的安全会话能力
JP2017107396A5 (zh)
CN105898741B (zh) 无人机的控制方法及控制系统和无人机系统
CN107979514A (zh) 一种对设备进行绑定的方法和设备
CN107211030B (zh) 使用智能图像反钓鱼的方法、系统、移动设备和介质
CN109992949A (zh) 一种设备认证方法、空中写卡方法及设备认证装置
CN103475474B (zh) 一种提供、获取共享的加密数据的方法及身份认证设备
CN110024347A (zh) 安全构建网络结构
CN109359472A (zh) 一种数据加解密处理方法、装置以及相关设备
CN109981312A (zh) 智能设备配置方法、装置及系统
CN109327431A (zh) 处理移动设备上的资源请求
CN106465113A (zh) 特定场所的Wi‑Fi连接通知
CN105812370B (zh) 智能卡处理方法、装置及系统
CN107154916A (zh) 一种认证信息获取方法、提供方法及装置
CN104821878A (zh) 用于确保数据交换的安全性的便携式安全设备、方法和计算机程序产品
CN107948977A (zh) 移动网络
JPWO2010090252A1 (ja) アカウント発行システム、アカウントサーバ、サービスサーバおよびアカウント発行方法
CN105591959A (zh) 一种利用ssl会话重用进行负载均衡的系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant