CN111556002B - 用于通过耦合的设备授予权限的系统和方法 - Google Patents
用于通过耦合的设备授予权限的系统和方法 Download PDFInfo
- Publication number
- CN111556002B CN111556002B CN201911280519.9A CN201911280519A CN111556002B CN 111556002 B CN111556002 B CN 111556002B CN 201911280519 A CN201911280519 A CN 201911280519A CN 111556002 B CN111556002 B CN 111556002B
- Authority
- CN
- China
- Prior art keywords
- token
- service
- access
- iot device
- iot
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 32
- 230000015654 memory Effects 0.000 claims description 27
- 238000004891 communication Methods 0.000 claims description 20
- 230000004044 response Effects 0.000 claims description 9
- 238000013475 authorization Methods 0.000 claims description 8
- 230000009471 action Effects 0.000 abstract description 3
- 238000003860 storage Methods 0.000 description 19
- 238000005266 casting Methods 0.000 description 13
- 238000010586 diagram Methods 0.000 description 10
- 238000012545 processing Methods 0.000 description 6
- 238000010801 machine learning Methods 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000013515 script Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 101001072091 Homo sapiens ProSAAS Proteins 0.000 description 1
- 102100036366 ProSAAS Human genes 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000027455 binding Effects 0.000 description 1
- 238000009739 binding Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000003058 natural language processing Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000000275 quality assurance Methods 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
- 238000005406 washing Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
- G06F21/335—User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/009—Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/71—Hardware identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0846—Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/084—Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Power Engineering (AREA)
- Software Systems (AREA)
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本公开提供了用于向云IoT设备授予权限的系统和方法,其中这样的授予的权限使得云IoT设备能够访问核心网络外部的第二云服务。IoT设备使用其IoT身份来获得令牌,用于在预定义的时间窗口内访问第二服务。令牌可以用于访问第二服务,而不需要由第二服务进一步认证。因此,IoT设备可以在预定义的时间窗口期间采取特定动作,诸如是下载文件等。在预定义的时间窗口之后,IoT设备在没有获得另一令牌的情况下不可以再访问第二服务。
Description
相关申请的交叉引用
本申请要求2019年2月8日提交的美国临时专利申请第62/803,104号的申请日的权益,其公开内容通过引用并入本文。
背景技术
在物联网(IoT)中,IoT设备是无线连接到网络的非标准计算设备。作为示例,IoT设备可以包括可以通过云被远程地打开或关闭的灯泡、智能电视、智能扬声器、安全相机、玩具、恒温器、家用电器等。通常,这样的IoT设备不包括输入控制信息、访问凭证(accesscredential)或其他信息的屏幕或键盘。这样的设备使用诸如设备和/或其用户的标识符的访问凭证通过特定的通信协议和/或因特网协议来连接到诸如核心服务的网络。然而,当前对核心服务的访问凭证与其他云服务不兼容,从而限制这样的IoT设备的使用和有效性。
发明内容
本公开的一个方面提供了一种向本身不支持物联网(IoT)设备身份的第二服务认证具有所述IoT设备身份的IoT设备的方法。所述方法可以包括,由一个或多个处理器接收访问所述第二服务的请求,由所述一个或多个处理器接收所述IoT设备身份,由所述一个或多个处理器使用与IoT账户相关联的信息来核实所述IoT设备身份,响应于所述IoT设备身份有效,由所述一个或多个处理器生成可用作所述第二服务的凭证的访问令牌,所述令牌具有有效的时间窗口,以及向所述IoT设备提供所述访问令牌,用于在所述时间窗口期间在访问所述第二服务时使用,而不核实特定于所述第二服务的第二凭证。
根据一些示例,生成所述访问令牌可以包括,向所述第二服务注册所述访问令牌。向所述第二服务注册所述访问令牌可以进一步包括,与来自所述第二服务的所述访问令牌交换用于认证所述IoT设备的第一令牌。接收所述IoT设备身份可以包括,接收所述第一令牌,并且其中,核实所述IoT设备身份包括,核实所述第一令牌。所述第一令牌可以是Java网页令牌,并且可以用私钥来签名,其中,与所述IoT账户相关联的所述信息是与所述IoT账户相关联地存储的所述IoT设备的公钥。可以将一个或多个声明插入到所述第一令牌中,从而创建自定义令牌,其中,所述一个或多个声明限制所述IoT设备对所述第二服务的访问,诸如是通过限制可以由所述IoT设备使用所述访问令牌所访问的所述第二服务的一部分。根据一些示例,可以使用IoT账户对自定义令牌进行签名。
本公开的另一方面提供了一种用于向本身不支持IoT设备身份的第二服务认证具有所述IoT设备身份的IoT设备的系统。所述系统可以包括一个或多个存储器,以及与所述一个或多个存储器进行通信的一个或多个处理器。所述一个或多个处理器可以被配置为,接收访问所述第二服务的请求,接收所述IoT设备身份,使用与IoT账户相关联的信息来核实所述IoT设备身份,响应于所述IoT设备身份有效,生成可用作所述第二服务的凭证的访问令牌,所述令牌具有有效的时间窗口,以及向所述IoT设备提供所述访问令牌,用于在所述时间窗口期间在访问所述第二服务时使用,而不核实特定于所述第二服务的第二凭证。
本公开的又一方面提供了一种具有用于访问核心网络的IoT设备身份的IoT设备,所述设备包括一个或多个存储器,以及与所述一个或多个存储器进行通信的一个或多个处理器。所述一个或多个处理器可以被配置为,向令牌生成单元提供所述IoT设备身份,请求访问本身不支持所述IoT设备身份的第二服务,响应于所述请求,接收对所述第二服务的访问令牌,其中,所述访问令牌包括已被交换为所述IoT设备身份的第二服务标识符,并且其中,所述访问令牌在预定义的时间段有效,以及使用所述访问令牌来访问所述第二服务,而不需要来自第二服务的进一步认证。所述IoT设备可以是例如边缘设备。访问所述第二服务可以包括,从所述第二服务下载内容,并且可以受到所述访问令牌内的声明的限制。
附图说明
图1是根据本公开的方面的示出示例系统的关系图。
图2是根据本公开的方面的示例系统的架构图。
图3是根据本公开的方面的示出创建用于通过IoT设备访问第二服务的令牌的示例流程图。
图4是根据本公开的方面的示出用于通过IoT设备访问第二服务的示例令牌的框图。
图5是示出在创建图4的示例令牌时各个组件之间的通信的组件图。
图6是根据本公开的方面的示例IoT设备的框图。
图7是根据本公开的方面的示例令牌生成单元的框图。
图8是根据本公开的方面的示出示例方法的流程图。
图9是根据本公开的方面的示出另一示例方法的流程图。
具体实施方式
本公开提供了用于向云IoT设备授予权限的系统和方法,其中这样的授予的权限使得云IoT设备能够访问第二云服务。例如,虽然诸如灯泡、厨房电器等的云IoT设备通常使用第一协议和与其他服务不兼容的访问凭证组来与核心云网络进行通信,但是云IoT设备现在可以使用那些访问凭证来获得令牌,用于在预定义的时间窗口内访问第二服务。第二服务可以是,例如,诸如
的移动开发平台、文件存储系统或任何其他类型的服务。令牌可以用于访问第二服务,而不需要进一步的认证。因此,IoT设备可以在预定义的时间窗口期间采取特定动作,诸如是下载文件等。在预定义的时间窗口之后,IoT设备在没有获得另一令牌的情况下不可以再访问第二服务。
根据一个实施方式,令牌服务中的端点可以认证IoT设备的身份,然后将其交换为临时访问令牌,该临时访问令牌许可IoT设备访问支持的外部服务。就这一点而言,IoT设备的所有者/用户向核心网络服务授予了授权由该用户的设备访问核心网络服务外部的其他服务的能力。
根据一些示例,令牌服务可以是通用令牌铸造服务,包括用于进行令牌管理和令牌铸造的一个或多个物理后端服务器。例如,令牌铸造和令牌管理可以由单独的后端服务器进行,或者由具有两个单独平面的一个后端服务器进行。令牌管理可以包括处理令牌铸造的控制平面、读取令牌铸造设置和向分布式数据库写入令牌铸造设置、所有者/用户/服务账户的访问等。令牌铸造可以包括处理令牌的数据平面、从分布式数据库读取令牌铸造设置和铸造令牌、以及IoT设备的访问。
令牌可以进一步被生成为包括关于IoT设备可以使用令牌访问的一个或多个声明或限制。例如,声明可以限制对特定文件、数据库、特征或服务的其他方面的访问。
示例系统
图1示出了示例系统100,包括IoT设备110。IoT设备110可以与主要IoT服务155进行通信,用于IoT设备110的正常操作。例如,如果IoT设备110是智能灯泡,则主要IoT服务155可以用于在特定时间打开或关闭设备。这样,主要服务155可以诸如通过应用为用户提供界面。服务可以使用诸如JSON网页令牌(JWT)或其他标识符的设备身份通过IoT设备管理器140来认证设备110。
IoT设备110进一步与令牌服务130进行通信,以获得用于访问一个或多个次要服务160的访问令牌120。例如,IoT设备110可以将其标识符发送给令牌服务130,令牌服务130通过设备管理器140来核实标识符。在一些示例中,标识符可以是第一令牌。使用标识符在令牌服务130生成诸如访问令牌的第二令牌,并且第二令牌可以由IoT 110使用以在预定义的时间段访问一个或多个次要服务160。例如,标识符或第一令牌可以与用于访问次要服务160的第二访问令牌交换。下面结合图3提供了关于生成访问令牌的进一步讨论。
IoT设备110可以是任何类型的IoT设备。例如,虽然IoT设备110可以是如上所述的灯泡,但是在其他示例中,IoT设备可以是适合于与网络进行无线通信并且能够执行指令的任何类型的“智能”设备。例如,IoT设备可以具有一个或多个处理器和存储器,如下面关于图6进一步详细讨论的,它们使得能够通过网络对设备或设备的操作进行编程。一些类型的IoT设备可以包括,仅作为示例而非限制,洗衣机、宠物食品喂食器、恒温器、可穿戴电子设备、相机、门锁等。IoT设备可以是消费、商业、工业或其他类型的设备。
访问令牌可以是描述用于由IoT设备110访问第二服务160的安全情境的对象或凭证。例如,访问令牌可以是定制的JSON网页令牌(JWT),或者任何其他类型的访问令牌。访问令牌可以包括IoT设备110的标识符和/或IoT设备110的所有者/用户的标识符。此外,访问令牌可以包括限制访问第二服务160的范围的一个或多个声明或限制。例如,声明可以限制可以由IoT设备110使用访问令牌所访问的设备、位置、特定信息等。结合图4更详细地描述了访问令牌。
令牌服务130可以是例如服务应用程序接口(API),该服务API定义令牌生成单元的远程过程调用或其他请求。
设备管理器140可以是例如与存储关于IoT设备的信息的存储服务进行通信的处理器。存储可以是能够存储令牌服务可访问的信息的任何类型的计算机化存储,诸如是硬盘驱动器、存储卡、ROM、RAM、DVD、CD-ROM、具有写能力的存储器和只读存储器。另外,存储系统可以包括分布式存储系统,其中数据被存储在物理上可以位于相同或不同地理位置的多个不同存储设备上。存储可以存储数据,诸如是与IoT设备和/或其用户相关联的唯一标识符。
一个或多个次要服务160可以是IoT设备110通常通信的核心云网络外部的任何类型的服务。例如,第二服务160可以是后端即服务(BAAS),诸如是网页或移动开发平台。在其他示例中,第二服务160可以是软件应用、基础设施、数据库存储或任何其他类型的服务。在进一步的示例中,访问令牌可以用于访问各种云产品中的任何产品,诸如是用于计算、联网、存储、管理、安全、分析、人工智能、区块链、开发者工具等的产品。
图2示出了系统的示例架构,包括关于令牌服务的进一步的示例细节。
用户105在客户端侧拥有IoT设备110。例如,IoT 110使用与用户105相关联的标识符来操作,该标识符诸如是被链接到用户的账户的标识符。用户105通过前端231请求对IoT设备110的扩展访问。例如,用户105可以发起请求以向IoT设备110授予特定权限以访问进一步的服务。
如该示例中所示,令牌服务230可以包括前端231和令牌生成单元232。例如,前端231可以是用户105可以例如通过接口访问的服务器。前端231在客户端侧与令牌生成单元232之间。令牌生成单元232可以进一步包括令牌管理器234和令牌铸造器236。虽然在一些示例中,令牌管理器234和令牌铸造器236可以是单独的处理单元,但是在其他示例中,令牌管理器234和令牌铸造器236可以是相同处理单元的单独的平面。
令牌管理器234可以识别令牌设置,该令牌设置对于由令牌服务230所支持的每个类型的令牌可以是不同的。例如,第一类型的令牌可以用于一个类型的次要服务,而第二类型的令牌可以用于另一类型的次要服务。令牌设置可以被存储在云IoT令牌数据库264中,云IoT令牌数据库264可以是任何分布式数据库或本地化数据库或其他数据库。例如,表可以将诸如设备注册表标识符的注册表资源映射到特定令牌设置。令牌管理器234写入和读取云IoT令牌数据库264。令牌管理器234可以进一步与存储服务242和授权服务262进行通信。例如,授权服务262可以确定特定用户是否具有对指定资源采取特定动作的许可,该特定动作诸如是使用特定设备来访问特定数据库。在做出这样的确定时,授权服务262可以利用被存储在存储服务242中的诸如账户信息的信息。
令牌铸造器236可以生成用于访问第二服务的访问令牌。例如,令牌铸造器可以从云IoT令牌数据库264读取令牌设置。例如,它可以使用IoT凭证通过IoT认证服务244进一步认证IoT设备110。令牌铸造器236可以诸如通过远程过程调用(RPC)接收请求,以生成用于由IoT设备110访问特定第二服务260的令牌。作为响应,令牌铸造器236可以认证IoT设备110的身份。例如,令牌铸造器236可以将请求中所接收的IoT设备110的标识符与存储器中所存储的IoT设备的标识符进行比较。在一个特定示例中,令牌铸造器236可以接收用设备的私钥所签名的IoT设备的基于JWT的凭证,并且调用IoT设备认证服务244以认证设备110及其JWT。应该理解的是,多种其他核实技术也是可能的。
一旦设备110已经被成功地认证,令牌铸造器236就可以确定是否为设备的注册表启用令牌铸造。例如,用户可以向令牌管理器234发送请求以启用或禁用铸造令牌的能力。该令牌铸造的启用被应用于IoT设备注册表,诸如是设备的集合。当令牌铸造器236从IoT设备接收到铸造令牌的请求时,它将验证为设备所属的设备注册表启用了令牌铸造。这可以是由令牌管理器234所管理的设置,并且可以包括对云IoT令牌数据库264的查询。令牌铸造器236从云IoT令牌数据库264检索数据以形成声明,并且创建包括声明的签名的自定义令牌。然后,令牌铸造器236可以将签名的自定义令牌与特定于第二服务260的访问令牌进行交换,并且向设备110返回访问令牌。
图3示出了用于创建特定第二服务的访问令牌的示例流程。由各种后端使用注册的JWT声明305来指定IoT设备的JWT何时有效、JWT何时到期、发行人是谁等。例如,这样的JWT声明可以包括,识别发行JWT的主体的“iss”发行人声明、识别JWT主题的主体的“sub”主题声明、以及识别JWT目标接收者的“aud”受众声明、识别到期时间的“exp”到期时间声明,在该到期时间之后不得接受JWT用于处理等。JWT还可以包括“uid”唯一标识符。例如,使用IoT设备110的标识符来创建JSON对象315。虽然该示例利用JSON对象用于创建访问令牌,但是应该理解的是,可以替代地使用其他类型的对象。例如,可以使用任何类型的编码数据的对象,诸如是协议缓冲。将声明插入到JSON对象中,从而创建具有声明的JSON 325。将声明插入到JSON中以限制最终访问令牌345的授权范围。为了插入声明,可以经由设备管理器存储服务从IoT存储检索诸如组成员资格、绑定等的辅助设备数据。
基于用户标识符或IoT设备标识符与声明数据的组合来构造未签名的自定义令牌335。然后,用账户对未签名的自定义令牌进行签名。例如,通过首先铸造与客户的项目相关联的账户的内部令牌,然后使用该内部令牌来调用云标识符数据库,令牌铸造器可以创建签名的自定义令牌。内部令牌作为资源被传递,该内部令牌的密钥将对自定义令牌335进行签名。
然后,签名的自定义令牌335可以用于调用第二服务的认证器,该认证器返回第二服务的访问令牌345。访问令牌345被返回到IoT设备,并且授权IoT设备直接访问第二服务,或者已经授权访问账户并且其声明与访问令牌中的声明相匹配的任何其他第二服务。访问令牌345在一段时间之后到期,该一段时间诸如是几秒钟、几分钟、几小时等。
图4示出了示例访问令牌120。如该示例中所示,令牌120可以包括IoT设备的标识符。该标识符可以对应于IoT设备本身、IoT设备的用户/所有者或者两者。根据一些示例,可以包括多个标识符,诸如是IoT设备、用户等的单独的标识符。
访问令牌120可以进一步包括访问令牌有效的时间段。例如,访问令牌可以指定第一时间戳,诸如是与访问令牌被铸造的时间或访问令牌被返回到IoT设备的时间相对应。访问令牌可以进一步指定在第一时间戳之后访问令牌有效的时间长度。根据其他示例,访问令牌可以识别在一天期间访问令牌有效的特定时间。
访问令牌120可以进一步包括声明。例如,声明可以在访问令牌的载荷中被列出。
图5示出了在由IoT设备110生成用于访问第二服务的访问令牌时系统的组件之间的示例通信图。
IoT设备110将其凭证提供给令牌铸造器236。例如,IoT设备110可以发送用设备的私钥所签名的其JWT。令牌铸造器236调用IoT设备认证服务244以认证设备110及其凭证。一旦设备110已经被成功地认证,令牌铸造器236就可以确定是否为设备的注册表启用令牌铸造。就这一点而言,令牌铸造器326可以向云IoT令牌数据库264发送查询以检查该设置。
为了插入声明,令牌铸造器236可以经由IoT设备管理器存储服务572从IoT存储检索辅助设备数据。现在,令牌铸造器236可以具有未签名的自定义JWT,并且对密钥签名服务574进行调用以对自定义JWT进行签名。
签名的自定义JWT或自定义令牌用于调用第二服务的第二服务认证器576,以将自定义令牌交换为第二服务的访问令牌。根据一些示例,可以实施令牌缓存以缓存还没有到期的访问令牌。这可以保护令牌铸造器236防止重复地请求访问令牌的设备。根据一些其他示例,可以实施授权缓存以缓存设备凭证是否有效。然后,令牌铸造器236向设备110返回访问令牌,设备110可以使用访问令牌在指定时间段访问第二服务。
图6示出了示例IoT设备110,包括一个或多个处理器620、存储器630和智能设备中通常存在的其他组件。IoT设备110的存储器630可以存储一个或多个处理器620可访问的信息,包括可以由一个或多个处理器620执行的指令634。
存储器630还可以包括可以由处理器检索、操纵或存储的数据632。存储器可以是能够存储处理器可访问的信息的任何非暂时性类型,诸如是硬盘驱动器、存储卡、ROM、RAM、DVD、CD-ROM、具有写能力的存储器和只读存储器。
指令634可以是要由一个或多个处理器直接执行的诸如机器代码的任何指令组,或者要由一个或多个处理器间接执行的诸如脚本的任何指令组。就那一点而言,术语“指令”、“应用”、“步骤”和“程序”在本文中可以被互换地使用。指令可以以用于由处理器直接处理的对象代码格式被存储,或者以包括独立源代码模块的脚本或集合的任何其他计算设备语言被存储,该脚本或集合按需被解释或预先被编译。下面更详细地解释了指令的功能、方法和例程。
数据632可以由一个或多个处理器620根据指令634来检索、存储或修改。例如,虽然在本文中所描述的主题不受任何特定数据结构的限制,但是数据可以作为具有许多不同的字段和记录的表或XML文档,被存储在计算机寄存器中、关系数据库中。数据还可以以任何计算设备可读格式被格式化,该计算设备可读格式诸如是但是不限于二进制值、ASCII或Unicode。此外,数据可以包括足以识别相关信息的任何信息,诸如是数字、描述性文本、专有代码、指针、对诸如在其他网络位置的在其他存储器中所存储的数据的参考、或者由函数所使用来计算相关数据的信息。
一个或多个处理器620可以是任何常规处理器,诸如是可商购的CPU。替代地,处理器可以是专用组件,诸如是专用集成电路(“ASIC”)或其他基于硬件的处理器。虽然不是必需的,但是一个或多个计算设备110可以包括专用硬件组件以进行特定计算处理。
IoT设备110可以包括通信接口640,通信接口640使得能够在IoT设备110与网络之间进行通信,该网络诸如是包括令牌生成单元的云核心网络。通信接口640可以进一步使得能够与其他外部服务和产品进行通信。IoT设备可以使用各种协议和系统与网络和其他节点进行通信,使得网络可以是因特网、万维网、特定内联网、广域网或局域网的一部分。网络可以利用标准通信协议,诸如是以太网、WiFi、HTTP、IEEE 802.66中所描述的协议、一个或多个公司专有的蜂窝技术(诸如是GSM、CDMA、UMTS、EV-DO、WiMAX、LTE等)协议、以及前述的各种组合。虽然如上所述在传送或接收信息时获得某些优点,但是在本文中所描述的主题的其他方面不限于信息的任何特定传送方式。
图7是示例令牌生成单元232的框图,包括处理器762、包括数据763和指令764的存储器。
指令764由处理器762可执行,例如以进行一种方法,包括将IoT设备的凭证交换为访问令牌,该访问令牌授权IoT设备访问核心网络外部的第二服务。
令牌生成单元232进一步包括输入/输出(I/O)接口769。I/O接口769可以提供在令牌生成单元232与其他设备或网络之间使用模拟或数字调制的通信。I/O接口769可以促进电路交换和/或分组交换的通信。例如,I/O接口769可以包括芯片组和天线,该芯片组和天线被布置用于与无线电接入网络或接入点进行无线通信。I/O接口769可以包括有线接口,诸如是以太网、通用串行总线(USB)或高清多媒体接口(HDMI)端口。I/O接口769还可以包括无线接口,诸如是Wi-Fi或广域无线接口(例如,WiMAX或3GPP长期演进(LTE))。还可以使用其他形式的物理层接口和其他类型的通信协议。此外,I/O接口769可以包括多个物理通信接口(例如,Wifi接口、短距离无线接口和广域无线接口),并且可以启用不同类型的多个同时连接。
I/O接口769可以用于建立与一个或多个其他计算设备的连接。例如,诸如结合图5,I/O接口769可以用于建立与IoT设备110、IoT认证服务244、云IoT令牌数据库264、第二服务认证器576和如上面所讨论的其他节点的连接。
虽然图7在功能上将令牌生成单元232的处理器、存储器和其他元素示出为在相同的块内,但是处理器、计算机、计算设备或存储器实际上可以包括多个处理器、计算机、计算设备或存储器,该多个处理器、计算机、计算设备或存储器可以或可以不被存储在相同的物理壳体内。例如,存储器可以是位于与令牌生成单元232不同的壳体中的硬盘驱动器或其他存储介质。因此,对处理器、计算机、计算设备或存储器的参考将被理解为包括对可以或可以不并行操作的处理器、计算机、计算设备或存储器的集合的参考。例如,令牌生成单元232可以包括操作为负载平衡服务器场、分布式系统等的服务器计算设备。此外,虽然下面所描述的一些功能被指示为发生在具有单个处理器的单个计算设备上,但是可以通过例如“云”中的多个计算设备来实施在本文中所描述的主题的各个方面。类似地,在不同位置的存储器组件可以存储指令734的不同部分,并且共同形成用于存储指令的介质。在本文中所描述的作为由计算设备所进行的各种操作可以由虚拟机进行。例如,指令734可以特定于第一类型的服务器,但是相关的操作可以由运行管理程序的第二类型的服务器进行,该管理程序模拟第一类型的服务器。操作还可以由容器进行,例如,不依赖于被绑定到特定类型的硬件的操作系统的计算环境。
示例方法
除了上述示例系统,现在描述示例方法。可以使用上述系统、其修改或具有不同配置的各种系统中的任何系统来进行这样的方法。应该理解的是,以下方法中所涉及的操作不必以描述的精确顺序来进行。而是,可以以不同的顺序或同时地处理各种操作,并且可以添加或省略操作。
图8是根据本公开的方面的示出示例方法800的流程图。方法800可以由例如各种IoT设备中的任何IoT设备来进行。
在框810中,设备提供用于访问核心网络的凭证。凭证包括特定于IoT设备和/或其所有者的唯一标识符。这样的凭证可以用在IoT设备的标准操作中,诸如是使得其打开或关闭或进行IoT设备典型的其他功能。
在框820中,IoT设备请求访问核心网络外部的第二服务。例如,第二服务可以是BAAS、SAAS、各种云产品中的任何云产品等。应该理解的是,请求可以由IoT设备的所有者发起,诸如是通过经由网站或其他接口向令牌生成单元提交请求。就这一点而言,所有者可以指定特定IoT设备以及请求访问的特定类型。所有者可以进一步指定请求访问的时间段。如下面结合图9进一步详细描述的,响应于这样的请求,令牌生成单元可以生成访问令牌。
在框830中,IoT设备基于核心网络的凭证,接收对第二服务的访问令牌,该访问令牌限制访问的范围并且指定访问的时间窗口。
在框840中,IoT设备使用令牌来访问第二服务,而不需要由第二服务对访问令牌进一步核实。例如,第二服务将核实访问令牌,但是不需要任何进一步的认证以许可由IoT设备进行访问。因此,IoT设备不需要知道或存储第二服务的凭证。现在,仅将其存储的凭证用于令牌生成单元,它就可以通过该凭证令牌交换来访问第二服务。图9是示出了响应于向IoT设备授予权限的请求而生成访问令牌的示例方法900的流程图。方法900可以由例如令牌生成单元232来进行。
在框910中,令牌生成单元接收向IoT设备授予权限以访问核心网络外部的第二服务的请求。例如,请求可以由IoT设备的所有者通过接口发起。
在框920中,核实IoT设备的身份。例如,可以接收IoT设备的凭证,例如如果它们被包括在请求中,其中这样的凭证通常由IoT设备用来访问核心网络。凭证可以包括例如唯一标识符和私钥。凭证可以采用令牌的形式,诸如是JWT,但是应该理解的是,凭证可以替代地采用其他形式。可以通过调用IoT认证服务以认证设备来确认凭证。IoT认证服务可以是核心网络的一部分。
在框930中,令牌生成单元将声明插入到网页令牌中,该网页令牌诸如是JWT或由令牌生成单元对于IoT设备所生成的网页令牌。声明将IoT设备的访问的范围限制为第二服务。例如,这样的声明可以指定可以被访问的第二服务的特定部分,诸如是文件、文件夹、目录、应用等。此外,这样的声明可以限制IoT设备可以对第二服务的特定部分进行的内容。例如,声明可以指定IoT设备是否可以下载文件、修改文件等。可以诸如通过IoT设备管理器,例如从IoT核心网络的存储检索用于生成声明的数据。
可以使用IoT设备的凭证对具有声明的网页令牌进行签名。例如,令牌生成单元可以调用账户标识符的数据库,用于使用IoT设备的私钥对网页令牌进行签名。
在框940中,可以将签名的网页令牌交换为用于访问第二服务的访问令牌。例如,令牌生成单元可以调用第二服务的认证单元,该认证单元返回访问令牌。这样的访问令牌可以在由第二服务的认证单元所确定的预定义的时间段有效。
在框950中,可以向IoT设备提供访问令牌,用于在访问第二服务时使用。根据一些示例,例如,在IoT设备在令牌有效期间的预定义的时间段内请求另一访问令牌的情况下,访问令牌也可以被缓存。
示例用例
如上所述,向IoT设备授予权限可以用在数个示例场景中的任何场景中。虽然下面描述了一些这样的场景,但是应该理解的是,这些仅仅是示例,而绝不是限制。
根据一个实施方式,如上所述的授予权限可以用于在边缘设备上下载机器学习模型。例如,IoT设备可以是边缘计算设备,诸如是硬件、软件或它们的组合。机器学习可以发生在云中、发生在边缘设备上或发生在两者。用户可以使用机器学习云服务来训练和更新云中的学习模型,然后在本地运行模型以在边缘提供推理。边缘IoT设备可以使用如上所述的授予的权限来安全地下载模型。例如,模型可以被托管在边缘IoT设备的核心网络外部的第二存储服务中。边缘设备可以使用其标识符来认证和下载模型,而不管模型被存储在何处。
根据另一实施方式,可以由边缘IoT设备使用授予权限来使用和更新IoT应用的docker镜像(image)。IoT设备可以向容器注册表进行认证并且下载用户指定的容器。因此,用户可以一次开发一个应用并且将其自动地部署到许多设备。
根据另一实施方式,授予权限可以用于在制造情境中提供质量保证。例如,可以用具有快速图像捕捉率的相机来检查流水线上的产品,其中需要分析每个图像。边缘IoT设备可以用于使用机器学习在边缘快速地进行该推理。为了继续训练最佳模型,可以不断地标记中等置信度数据。因此,可以由边缘IoT设备使用授予的权限将图像上传到第二存储服务或机器学习服务,例如,用于手动地标记以改善模型。然后,可以使用授予的权限将模型下载到边缘IoT设备。
根据又一实施方式,可以由IoT设备使用授予权限来安全地下载固件文件,而不将文件暴露给公众。IoT设备可以使用其自己的身份来认证和授权文件的下载。
又一示例实施方式涉及与因特网连接的相机,其中视频片段(video footage)可以被存储在云中,并且由片段的所有者访问以用于分析。为了维护安全,设备可以安全地认证,然后安全地将文件存储在第二存储服务中。
根据另一示例实施方式,向IoT设备授予权限可以提供由IoT设备对第二服务的直接访问,诸如是用于诸如语音到文本、自然语言处理、翻译、视觉等应用的流内容。例如,用户可能希望在语音到文本API中流音频,或将视频上传到视频处理API。在许多不同的设备上使用单个API密钥是不安全的。然而,设备可以使用其用于访问核心网络的IoT凭证,以交换临时访问令牌以直接地连接到云API。
上述示例系统和方法的益处在于,它们提供由IoT设备对其他云服务和产品的安全、无缝访问。就这一点而言,以安全的方式增加设备之间的通信。此外,可以更轻松地更新设备,并且可以显著地扩展由IoT设备所进行的功能和任务。
除非另外说明,否则上述替代示例不是相互排斥的,而是可以以各种组合来实施以实现独特的优点。因为可以在不脱离由权利要求所限定的主题的情况下利用上面所讨论的特征的这些和其他变形以及组合,所以实施例的上述描述应该通过说明由权利要求所限定的主题的方式而不是通过限制由权利要求所限定的主题的方式来进行。另外,在本文中所描述的示例的提供以及被表达为“诸如”、“包括”等的从句不应该被解释为将权利要求的主题限制于特定示例;而是,示例仅旨在说明许多可能的实施例中的一个实施例。此外,不同附图中的相同附图标记可以识别相同或类似的元素。
Claims (20)
1.一种在云服务中向本身不支持物联网IoT设备身份的第二服务认证具有所述IoT设备身份的IoT设备的方法,其特征在于,所述方法包括:
由一个或多个处理器接收访问所述第二服务的请求;
由所述一个或多个处理器从所述IoT设备接收第一令牌以用于认证所述IoT设备;
由所述一个或多个处理器通过使用与IoT账户相关联的信息来核实所述第一令牌;
由所述一个或多个处理器将一个或多个声明插入到所述第一令牌中,从而创建自定义令牌;
由所述一个或多个处理器将所述自定义令牌交换为访问令牌,其中,所述访问令牌响应于所述第一令牌有效而生成,所述访问令牌可用作所述第二服务的凭证,所述访问令牌具有有效的时间窗口和由所述声明限制的授权范围;以及
向所述IoT设备提供所述访问令牌,用于在所述时间窗口期间在访问所述第二服务时使用,而不核实特定于所述第二服务的第二凭证。
2.根据权利要求1所述的方法,其特征在于,生成所述访问令牌包括,向所述第二服务注册所述访问令牌。
3.根据权利要求2所述的方法,其特征在于,向所述第二服务注册所述访问令牌包括,与来自所述第二服务的所述访问令牌交换用于认证所述IoT设备的所述第一令牌。
4.根据权利要求1所述的方法,其特征在于,所述第一令牌是Java网页令牌。
5.根据权利要求1所述的方法,其特征在于,用私钥对所述第一令牌进行签名,并且其中,与所述IoT账户相关联的所述信息是与所述IoT账户相关联地存储的所述IoT设备的公钥。
6.根据权利要求1所述的方法,其特征在于,所述一个或多个声明限制所述IoT设备对所述第二服务的访问。
7.根据权利要求6所述的方法,其特征在于,限制访问包括,限制可以由所述IoT设备使用所述访问令牌所访问的所述第二服务的一部分。
8.根据权利要求1所述的方法,其特征在于,进一步包括,使用所述IoT账户对所述自定义令牌进行签名。
9.一种用于向本身不支持物联网IoT设备身份的第二服务认证具有所述IoT设备身份的IoT设备的系统,其特征在于,所述系统包括:
一个或多个存储器;
与所述一个或多个存储器进行通信的一个或多个处理器,所述一个或多个处理器被配置为:
接收访问所述第二服务的请求;
从所述IoT设备接收第一令牌以用于认证所述IoT设备;
通过使用与IoT账户相关联的信息来核实所述第一令牌;
将一个或多个声明插入到所述第一令牌中,从而创建自定义令牌;
将所述自定义令牌交换为访问令牌,其中,所述访问令牌响应于所述第一令牌有效而生成,所述访问令牌可用作所述第二服务的凭证,所述访问令牌具有有效的时间窗口和由所述声明限制的授权范围;以及
向所述IoT设备提供所述访问令牌,用于在所述时间窗口期间在访问所述第二服务时使用,而不核实特定于所述第二服务的第二凭证。
10.根据权利要求9所述的系统,其特征在于,在生成所述访问令牌时,所述一个或多个处理器进一步被配置为,向所述第二服务注册所述访问令牌。
11.根据权利要求10所述的系统,其特征在于,向所述第二服务注册所述访问令牌包括,与来自所述第二服务的所述访问令牌交换用于认证所述IoT设备的所述第一令牌。
12.根据权利要求9所述的系统,其特征在于,所述一个或多个声明限制所述IoT设备对所述第二服务的访问。
13.根据权利要求12所述的系统,其特征在于,限制访问包括,限制使用所述访问令牌对所述第二服务的一部分的访问。
14.根据权利要求9所述的系统,其特征在于,所述一个或多个处理器进一步被配置为,调用所述IoT账户对所述自定义令牌进行签名。
15.根据权利要求9所述的系统,其特征在于,所述一个或多个处理器包括访问云IoT令牌数据库的令牌铸造器。
16.根据权利要求9所述的系统,其特征在于,所述一个或多个处理器进一步被配置为缓存所述访问令牌用于以后使用。
17.一种具有用于访问核心网络的物联网IoT设备身份的IoT设备,其特征在于,所述设备包括:
一个或多个存储器;
与所述一个或多个存储器进行通信的一个或多个处理器,所述一个或多个处理器被配置为:
向令牌生成单元提供来自所述IoT设备以用于认证所述IoT设备的第一令牌;
请求访问本身不支持所述IoT设备身份的第二服务;
响应于所述请求,接收对所述第二服务的访问令牌,其中,所述访问令牌包括已被交换为所述第一令牌的第二服务标识符,其中,所述第一令牌通过使用与IoT账户相关联的信息来核实,并且一个或多个声明被插入到所述第一令牌中,从而创建用于生成所述访问令牌的自定义令牌,并且其中,所述访问令牌在预定义的时间段有效并且具有由所述声明限制的授权范围;以及
使用所述访问令牌来访问所述第二服务,而不需要来自第二服务的进一步认证。
18.根据权利要求17所述的IoT设备,其特征在于,所述IoT设备是边缘设备。
19.根据权利要求17所述的IoT设备,其特征在于,访问所述第二服务包括,从所述第二服务下载内容。
20.根据权利要求17所述的IoT设备,其特征在于,访问所述第二服务受到所述访问令牌内的声明的限制。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201962803104P | 2019-02-08 | 2019-02-08 | |
| US62/803,104 | 2019-02-08 | ||
| US16/518,127 US11240031B2 (en) | 2019-02-08 | 2019-07-22 | System and method for delegating authority through coupled devices |
| US16/518,127 | 2019-07-22 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111556002A CN111556002A (zh) | 2020-08-18 |
| CN111556002B true CN111556002B (zh) | 2022-08-02 |
Family
ID=68806609
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911280519.9A Active CN111556002B (zh) | 2019-02-08 | 2019-12-13 | 用于通过耦合的设备授予权限的系统和方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (2) | US11240031B2 (zh) |
| EP (1) | EP3694175B1 (zh) |
| CN (1) | CN111556002B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| NZ516669A (en) * | 1999-06-18 | 2004-07-30 | Echarge Corp | Method for ordering goods, services and content over an internetwork using a virtual payment account |
| US11250423B2 (en) * | 2012-05-04 | 2022-02-15 | Institutional Cash Distributors Technology, Llc | Encapsulated security tokens for electronic transactions |
| KR102400580B1 (ko) * | 2018-01-22 | 2022-05-23 | 삼성전자주식회사 | 다른 전자 장치의 인증을 수행하는 전자 장치와 이의 동작 방법 |
| US11303629B2 (en) * | 2019-09-26 | 2022-04-12 | Bank Of America Corporation | User authentication using tokens |
| CN112035810A (zh) * | 2020-08-19 | 2020-12-04 | 绿盟科技集团股份有限公司 | 一种访问控制方法、装置、介质和设备 |
| US11677746B2 (en) * | 2020-10-30 | 2023-06-13 | Microsoft Technology Licensing, Llc | Device capability model sharing |
| CN116114219A (zh) * | 2020-12-25 | 2023-05-12 | Oppo广东移动通信有限公司 | 访问令牌处理方法和设备 |
| US11296933B1 (en) * | 2021-03-26 | 2022-04-05 | Sensormatic Electronics, LLC | Secure low-latency and low-throughput support of rest API in IoT devices |
| WO2022258131A1 (en) * | 2021-06-07 | 2022-12-15 | Huawei Technologies Co., Ltd. | Method and system for managing identity and access of iot devices |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3301960A1 (en) * | 2016-09-30 | 2018-04-04 | Gemalto Sa | An access delegation system for an owner user to delegate to a delegate an authorization for accessing to a resource |
| CN108464026A (zh) * | 2016-01-19 | 2018-08-28 | 高通股份有限公司 | 用于在网络中装载启用无线的产品的方法和系统 |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8028325B2 (en) * | 2005-08-08 | 2011-09-27 | AOL, Inc. | Invocation of a third party's service |
| US10443266B2 (en) * | 2013-03-15 | 2019-10-15 | August Home, Inc. | Intelligent door lock system with manual operation and push notification |
| US10785029B2 (en) * | 2018-10-31 | 2020-09-22 | Nutanix, Inc. | Systems and methods for pairing on-premise clusters to clouds using identity service providers |
| US10462210B2 (en) * | 2014-02-13 | 2019-10-29 | Oracle International Corporation | Techniques for automated installation, packing, and configuration of cloud storage services |
| US20160142409A1 (en) * | 2014-11-18 | 2016-05-19 | Microsoft Technology Licensing, Llc | Optimized token-based proxy authentication |
| US10044723B1 (en) * | 2015-06-30 | 2018-08-07 | EMC IP Holding Company LLC | Principal/user operation in the context of a tenant infrastructure |
| US9621355B1 (en) * | 2015-10-01 | 2017-04-11 | Cisco Technology, Inc. | Securely authorizing client applications on devices to hosted services |
| KR102117584B1 (ko) * | 2016-01-29 | 2020-06-26 | 구글 엘엘씨 | 로컬 디바이스 인증 |
| US10432631B2 (en) | 2016-03-11 | 2019-10-01 | Oracle International Corporation | System and method for providing a universal security handler for a cloud-based integration platform |
| EP3452924A4 (en) * | 2016-04-27 | 2020-01-01 | Coda Project, Inc. | SYSTEM, METHOD AND APPARATUS FOR OPERATING A UNIFIED DOCUMENT SURFACE WORKSPACE |
| US10594684B2 (en) | 2016-09-14 | 2020-03-17 | Oracle International Corporation | Generating derived credentials for a multi-tenant identity cloud service |
| US10440024B2 (en) * | 2017-04-10 | 2019-10-08 | Citrix Systems, Inc. | Identity management connecting principal identities to alias identities having authorization scopes |
| US10616211B2 (en) * | 2017-04-12 | 2020-04-07 | Cisco Technology, Inc. | System and method for authenticating clients |
| US10673707B2 (en) * | 2018-05-07 | 2020-06-02 | Citrix Systems, Inc. | Systems and methods for managing lifecycle and reducing power consumption by learning an IoT device |
| US20200067903A1 (en) * | 2018-08-24 | 2020-02-27 | International Business Machines Corporation | Integration of Publish-Subscribe Messaging with Authentication Tokens |
-
2019
- 2019-07-22 US US16/518,127 patent/US11240031B2/en active Active
- 2019-12-05 EP EP19213738.8A patent/EP3694175B1/en active Active
- 2019-12-13 CN CN201911280519.9A patent/CN111556002B/zh active Active
-
2021
- 2021-12-16 US US17/553,078 patent/US20220123936A1/en active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108464026A (zh) * | 2016-01-19 | 2018-08-28 | 高通股份有限公司 | 用于在网络中装载启用无线的产品的方法和系统 |
| EP3301960A1 (en) * | 2016-09-30 | 2018-04-04 | Gemalto Sa | An access delegation system for an owner user to delegate to a delegate an authorization for accessing to a resource |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3694175A1 (en) | 2020-08-12 |
| CN111556002A (zh) | 2020-08-18 |
| EP3694175B1 (en) | 2024-01-31 |
| US20200259654A1 (en) | 2020-08-13 |
| US11240031B2 (en) | 2022-02-01 |
| US20220123936A1 (en) | 2022-04-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111556002B (zh) | 用于通过耦合的设备授予权限的系统和方法 | |
| US11784791B2 (en) | Verifying an identity based on multiple distributed data sources using a blockchain to safeguard the identity | |
| CN111935094B (zh) | 数据库访问方法、装置、系统及计算机可读存储介质 | |
| CN109997114B (zh) | 用于通用互通和可扩展性的服务层资源管理 | |
| US10484385B2 (en) | Accessing an application through application clients and web browsers | |
| US11102189B2 (en) | Techniques for delegation of access privileges | |
| CA3064986C (en) | Trustworthy data exchange using distributed databases | |
| US10944561B1 (en) | Policy implementation using security tokens | |
| US20180183880A1 (en) | Hardware resource access systems and techniques | |
| KR20160083930A (ko) | 웹사이트에 로그인하는 단말기가 모바일 단말기인지를 결정하기 위한 방법 및 시스템 | |
| JP2023145552A (ja) | 装置への安全な資格情報転送を認証するための方法およびシステム | |
| GB2566264A (en) | Application certificate | |
| JP2020035079A (ja) | システム、及びデータ処理方法 | |
| KR20160018554A (ko) | 신뢰 및 비신뢰 플랫폼에 걸쳐 인터넷 액세스가능 애플리케이션 상태를 로밍하는 기법 | |
| US11681513B2 (en) | Controlled scope of authentication key for software update | |
| CN112948866A (zh) | 一种数据处理方法、装置、设备及可读存储介质 | |
| CN117896179B (zh) | 一种组合式url签名鉴权方法、装置及其存储介质 | |
| WO2021104289A1 (zh) | 访问控制方法、装置、设备及存储介质 | |
| US11366914B2 (en) | Authenticating access of service of service entity to application of client device based on whether root certificate corresponding to application is installed in service entity | |
| CN114365451A (zh) | 源控制环境中的选择性安全增强 | |
| CN117220924A (zh) | 系统权限控制方法、装置及系统 | |
| Cosmina et al. | Spring REST | |
| CN116208383A (zh) | 一种基于webhook的云原生可信度量方法、系统及存储介质 | |
| CN117579325A (zh) | 一种数字证书验证方法及相关装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |