CN116438885A

CN116438885A - 物联网装置的一次性无线认证

Info

Publication number: CN116438885A
Application number: CN202180072637.XA
Authority: CN
Inventors: 克里希纳拉姆·穆图萨米; 罗伯特·基凡巴
Original assignee: Visa International Service Association
Current assignee: Visa International Service Association
Priority date: 2020-11-05
Filing date: 2021-08-05
Publication date: 2023-07-14
Also published as: EP4241519A4; WO2022098406A1; US20220141658A1; EP4241519A1

Abstract

对物联网(IoT)装置的认证包括在注册过程期间，由在移动装置上执行的代理应用程序接收与所述IoT装置相关联的装置标识符。所述代理应用程序向无线网络的路由器发送所述装置标识符。所述代理应用程序响应于所述路由器从所述IoT装置接收到针对所述无线网络的访问的不具有网络密码的授权请求，从所述路由器接收所述装置标识符，其中所述路由器将所述装置标识符转发到所述代理应用程序。所述代理应用程序提示所述移动装置的所述用户键入所述密码并向所述路由器发送所键入的网络密码，从而使得响应于所述路由器验证所述密码并授权所述IoT装置访问所述无线网络，所述IoT装置向所述路由器发送所述IoT装置标识符以用于后续网络连接而无需借助于所述移动装置。

Description

物联网装置的一次性无线认证

背景技术

现如今，对物联网(IoT)装置的使用正在激增。IoT装置是一种电子计算装置，它以无线方式连接到网络并且能够通过网络发送数据。IoT装置是非标准计算装置，因为它们通常不配备用户界面以供用户交互，而是专注于机器间通信。当IoT装置需要在首次使用通常由用户键入的必要访问凭证(例如，用户名和密码)连接到无线网络时，缺乏用户界面可能会产生问题。如果IoT具有必要的尺寸，则IoT装置可以配备某种类型的用户界面，例如小键盘和/或屏幕。然而，添加用户界面需要成本。

因此，期望提供用于IoT装置的无线认证的改进式方法和系统。

发明内容

示例性实施例提供用于物联网装置的一次性无线认证的方法和系统。示例性实施例的各方面包括在注册过程期间，由在移动装置上执行的代理应用程序接收与所述IoT装置相关联的装置ID。所述代理应用程序向无线网络的路由器发送所述装置ID。在所述注册过程之后，所述代理应用程序响应于所述路由器从所述IoT装置接收到针对所述无线网络的访问的不具有网络密码的授权请求，从所述路由器接收所述装置ID，其中所述路由器将所述装置ID转发到所述代理应用程序。所述代理应用程序提示所述移动装置的所述用户键入所述密码并向所述路由器发送所键入的网络密码，从而使得所述路由器验证所述密码并授权所述IoT装置访问所述无线网络，所述IoT装置向所述路由器发送所述IoT装置ID以用于后续网络连接而无需借助于所述移动装置。

在另一实施例中，用于物联网装置的一次性无线认证的方法和系统包括路由器，所述路由器从在移动装置上执行的代理应用程序接收注册请求，所述注册请求包括与所述IoT装置相关联的装置标识符，所述装置标识符是由所述移动装置的用户键入所述代理应用程序中的，所述路由器进一步存储所述装置标识符并启用代理认证设置。所述路由器从所述IoT装置接收针对无线网络的访问的授权请求，所述授权请求至少包括所述装置标识符而不具有网络密码。所述路由器确定代理认证设置是否被启用，如果被启用，则将所述装置标识符转发到所述代理应用程序。所述路由器从所述代理应用程序接收消息，该消息包括所述用户键入到所述代理应用程序中的网络密码。响应于所述路由器验证所述网络密码，所述路由器授权所述IoT装置访问所述无线网络，其中所述IoT装置向所述路由器发送所述装置标识符以用于后续连接而无需借助于所述移动装置或所述代理应用程序。

根据本文所公开的方法和系统，所公开的实施例使得没有规定要键入密码的物联网装置能够轻松地进行无线互联网传导，从而消除对通过物联网装置的密钥和用户交互的需要。所述方法和系统促进此类物联网装置连接到互联网，只要物联网装置被预配置用于使用移动应用程序结合路由器中的软件变化进行代理认证即可。

附图说明

图1是说明根据第一实施例的用于使移动应用程序能够提供物联网装置的一次性无线认证的系统的框图。

图2是说明根据一些实施例的用于物联网装置的一次性无线认证的过程的概述的流程图。

图3是说明根据第二实施例的用于使移动应用程序能够提供物联网装置的一次性无线认证的系统的框图。

图4是说明根据图3的第二实施例的用于物联网装置的一次性无线认证的过程的流程图。

图5是说明根据第三实施例的用于使移动应用程序能够提供物联网装置的一次性无线认证的系统的框图。

图6是说明根据图5的第三实施例的用于物联网装置的一次性无线认证的过程的流程图。

图7示出可适用于IoT装置、移动装置、认证映射服务器和/或路由器映射器系统的计算机系统的实施方案。

具体实施方式

示例性实施例涉及用于物联网装置的一次性无线认证的移动应用程序。出示以下描述是为了使所属领域的一般技术人员能够制造并使用本发明，并且描述是在专利申请和其要求的上下文中提供的。对于本文所述的示例性实施例及通用原理和特征的各种修改将是显而易见的。示例性实施例主要根据在特定实施方案中提供的特定方法和系统来描述。但是，所述方法和系统在其它实施方案中也将有效地起作用。例如“示例性实施例”、“一个实施例”和“另一实施例”的短语可以指相同或不同的实施例。将结合具有某些组件的系统和/或装置来描述实施例。但是，系统和/或装置可包括比示出的组件更多或更少的组件，并且可以在不脱离本发明的范围的情况下改变组件的布置和类型。示例性实施例还将在具有某些步骤的特定方法的上下文中描述。但是，方法和系统也可以有效地用于具有不同和/或额外步骤及出示与示例性实施例不一致的不同次序的步骤的其它方法。因此，本发明并不希望限于所示的实施例，而应被赋予与本文中所描述的原理和特征一致的最广泛范围。如本文所使用，术语“通信”和“传送”可指信息(例如，数据、信号、消息、指令、命令等)的接收、接纳、发送、传送、预配等。一个单元(例如，装置、系统、装置或系统的组件、其组合，等)与另一单元通信意味着所述一个单元能够直接或间接地从所述另一单元接收信息和/或向所述另一单元发送(例如，发射)信息。这可以指本质上有线和/或无线的直接或间接连接。另外，尽管所发送的信息可以在第一单元与第二单元之间被修改、处理、中继和/或路由，但这两个单元也可以彼此通信。例如，即使第一单元被动地接收信息且不会主动地将信息发送到第二单元，第一单元也可以与第二单元通信。作为另一实例，如果至少一个中间单元(例如，位于第一单元与第二单元之间的第三单元)处理从第一单元接收的信息且将处理后的信息发送到第二单元，那么第一单元可以与第二单元通信。在一些非限制性实施例中，请求或消息可以指包括数据的网络数据包(例如，数据包等)。

为了提供所公开实施例的上下文，现如今无线路由器通过本地或家庭无线(Wi-Fi)网络提供通信，并经由调制解调器连接到互联网。需要访问无线网络的电子装置需要向路由器发送访问凭证，例如网络密码。电子装置首次连接到无线网络时，用户通常会输入网络密码，所述网络密码被发送到路由器。然后，路由器向凭证管理系统发送具有访问凭证的认证请求。凭证管理系统可在路由器的本地或可为远程服务器。凭证管理系统接收认证请求，并对照先前存储的路由器的访问凭证来认证访问凭证。凭证管理系统向路由器发送允许或拒绝网络访问的响应，然后路由器要么授予装置网络访问权限，要么发送拒绝消息。

对于没有规定要手动输入访问凭证的电子装置，例如物联网(IoT)装置，需要方法和系统来促进通过路由器的轻松无线网络和互联网连接。

根据所公开的实施例，为IoT装置提供使用无线网络的一次性认证过程，而无需IoT装置具有用于键入访问凭证的用户界面。取而代之的是，用户的移动电话，具体地说移动电话上的应用程序，用作代理以便第一次访问期间向无线网络的路由器提供IoT装置的一次性无线认证。此后，如果IoT装置与网络断开连接，则IoT装置可以通过向路由器发送IoT装置的装置ID以供进行后续连接而无需借助移动装置的帮助来重新连接到网络。本文描述了若干实施例，这些实施例通过封装基础安全控制权和数据分布来共同统一代理认证的理念。

图1是说明根据第一实施例的用于使移动应用程序能够提供物联网装置的一次性无线认证的系统的框图。系统10包括提供网络14并通过网络14和互联网20进行通信的路由器12。路由器12通过网关(未示出)连接到互联网20。在一个实施例中，网络是无线网络，但也可以与路由器12进行有线连接(例如，以太网连接)。如本文所使用，“路由器”是在计算机网络之间(例如，在家庭和小型办公室环境中)转发数据包的联网装置，互联网协议(IP)路由器仅在家庭/办公室计算装置与互联网之间转发IP数据包。

移动装置16以无线方式连接到网络14，并且物联网(IoT)装置18需要首次访问网络14。“移动装置”可以是由用户操作的装置。移动装置16的实例可以包括移动电话、智能手机、膝上型计算机、台式计算机、服务器计算机、例如汽车的车辆、精简客户端装置、平板PC等。另外，移动装置可以是任何类型的可穿戴技术装置，例如手表、耳机、眼镜等。移动装置16可以包括能够处理用户输入的一个或多个处理器。移动装置16还可以包括用于接收用户输入的一个或多个输入传感器。如本领域中已知的，存在能够检测用户输入的多种输入传感器，例如加速度计、相机、麦克风等。由输入传感器获得的用户输入可以来自各种数据输入类型，包括但不限于，音频数据、视觉数据或生物特征数据。移动装置可以包括用户可以操作的任何电子装置，所述电子装置还可以提供与网络的远程通信能力。远程通信能力的实例包括使用移动电话(无线)网络、无线数据网络(例如，3G、4G、5G或类似网络)、Wi-Fi、Wi-Max，或可以提供对例如互联网或专用网络的网络的访问的任何其它通信介质。

如本文所使用，物联网(IoT)设备描述了嵌入传感器、软件和其它技术的电子装置—“事物”，其目的是通过互联网或其它网络与其它装置和系统连接和交换数据。

路由器12可以与凭证管理系统22通信，所述凭证管理系统维护访问凭证数据库24。当路由器12从例如IoT装置18的装置接收针对网络访问的认证请求时，路由器12可以将认证请求转发到凭证管理系统22以认证请求装置。

IoT装置18与装置标识符(ID)34相关联，代理应用程序24与应用程序(app)ID 32相关联。ID 34和32可以包括可用于标识装置或程序的任何特定组的字母数字字符(数字、图形、符号字母或其它信息)。例如，装置ID 34可以包括与IoT装置18相关联的序列号、部分序列号、密钥等或它们的组合。

在一个实施例中，路由器12、IoT装置18和移动装置18被配置成使用互联网协议群(也称为发射控制协议(TCP)和互联网协议(IP)或TCP/IP)通过网络14接收和发送消息。

根据所公开的实施例，由于用户由于缺乏用户界面而无法在IoT装置18上键入针对网络14的访问凭证，因此系统10进一步包括移动应用程序，所述移动应用程序在本文中被称为代理应用程序(代理app)24，所述代理app在与路由器12的首次网络认证尝试期间用作IoT装置18的代理，且用作路由器12的代理认证设置28。在实施例中，认证映射服务器26维护IoT装置18与代理应用程序24之间的映射。

根据实施例，系统10使代理app24与app ID 32相关联。app ID 32可以是专用软件密钥、与移动装置16相关联的移动电话号码、部分电话号码、软件密钥等或它们的组合。当与代理应用程序24相关联时，系统10可使用app ID 32确定安装代理应用程序24的移动装置16。

图2是说明根据一些实施例的用于物联网装置的一次性无线认证的过程的概述的流程图。概述地说，所述过程在路由器12与在用户的移动装置16上执行的代理应用程序24之间发生。所述过程假设无线网络14的例如密码等访问凭证已从路由器12发送到凭证管理系统22并存储在访问凭证数据库24中。所述过程进一步假设用户已在用户的移动装置16上安装代理应用程序24，以便将IoT装置18配置成用于对无线网络14的一次性代理认证。

一次性无线认证过程包括注册阶段，在所述注册阶段中打开代理应用程序24并接收用户键入的与IoT装置18相关联的装置ID 34(框200)。可响应于用户希望设置IoT装置18并按下代理应用程序24显示的“注册按钮”以注册IoT装置18而发起此步骤。此后，代理应用程序24显示用户可在其中键入装置ID 34的字段。装置ID 34可包括IoT装置18的序列号或其它标识符。用户可在IoT装置18自身上或在与IoT装置18一起提供的文档中找到装置ID34。

代理应用程序24在注册请求中向路由器12发送装置ID(框201)。路由器12接收注册请求，将装置ID 34存储在凭证管理系统22中并启用代理认证设置28(框202)。在一个实施例中，凭证管理系统22可包括用于路由器12的本地后端系统的一部分。在另一实施例中，凭证管理系统22可以是互联网20上的远程站点。可以由路由器12或凭证管理系统22存储代理认证设置。

在一个实施例中，注册阶段可包括代理应用程序24，所述代理应用程序使装置ID34与代理应用程序24的app ID 32相关联。在一个实施例中，可将装置ID 34到app ID 32的映射向路由器12或另一系统(例如，图3所示的认证映射器服务器326)注册为ID对。在一个实施例中，在框201中，代理应用程序24在发送到路由器12的注册请求中发送装置ID 34、app ID 32两者作为ID对。在框202中，路由器12可接着将ID对的映射存储在凭证管理系统22中或将ID对转发到另一系统。

在注册过程之后，路由器12通过网络14从IoT装置18接收授权请求，其中授权请求至少包括装置ID 34而不具有网络密码(框204)。在一个实施例中，当IoT装置18首次打开时，IoT装置18可被配置成自动确定要请求访问多个检测到的无线网络中的哪一个。这可以通过基于假设物理上最接近的路由器12会具有最佳信号而选择具有最高信号强度的网络14来完成，正如本地网络环境中的通常情况一样。如果IoT装置18未能在预定时间阈值内接收到对授权请求的答复，则IoT装置18可以向具有下一个最高信号强度的另一网络的路由器发送认证请求等，直到IoT装置找到启用代理认证的路由器为止。

路由器12接着确定代理认证设置28是否被启用，如果被启用，则将装置ID 34转发到代理应用程序24(框206)。如果代理认证设置28未被启用，则过程在路由器向IoT装置18发送拒绝消息时结束。代理应用程序24从路由器12接收装置ID 34，且任选地验证装置ID(框208)。响应于代理应用程序24验证装置ID 34(例如，通过检查内部设置、表格或数据库)，代理应用程序24提示用户键入网络密码并接收所键入的网络密码(框210)。代理应用程序24接着在消息中向路由器12发送所键入的网络密码(框212)。

路由器12接收包括所键入的网络密码的消息并验证所键入的网络密码(框214)。在一个实施例中，路由器12通过向凭证管理系统22发送验证请求来验证所键入的网络密码，在找到访问凭证数据库24中的密码的匹配的情况下，所述验证请求验证网络密码。在一个实施例中，凭证管理系统22可以是路由器的后端系统的一部分。

响应于验证所键入的网络密码，路由器12向IoT装置18发送成功消息，从而授权访问无线网络，其中IoT装置18向路由器12发送装置ID 34以用于后续连接而无需借助于网络密码、移动装置16或代理应用程序24(框216)。也就是说，IoT装置18通常保持连接到无线网络14，但在IoT装置18断开连接的情况下，IoT装置18会向路由器12重新发送装置ID 34。路由器12会查找装置ID 34，并且在找到装置ID的情况下会重新建立网络连接，所有这些都不需要来自用户或移动装置16的任何输入。

图3是说明根据第二实施例的用于使移动应用程序能够提供物联网装置的一次性无线认证的系统的方框图，其中来自图1的类似组件具有类似的附图标记。

系统300类似于图1的系统10，不同之处在于会增强安全性，方式为将代理应用程序的功能分成安装在移动装置16上的两个单独的应用程序(app)，所述app在本文中被称为代理app A324A和代理app B 324B。在此实施例中，代理app A324A与app AID 32A相关联，代理app B 324B与app B ID 32B相关联。app AID 32A和app B ID 32B均可包括其中安装了app的移动装置16的唯一移动电话号码。

根据一个实施例，为了增强安全性，代理系统300进一步包括通过互联网20与路由器312进行通信的认证映射器服务器326，所述认证映射器服务器被配置成传送针对代理app A324A和代理app B 324B的请求和响应，从而使得代理app A324A和代理app B 324B不会彼此直接通信。术语“服务器”可指一个或多个计算装置，例如处理器、存储装置和/或类似计算机组件，所述计算装置通过例如互联网或私用网络等网络与客户端装置和/或其它计算装置通信，并且在一些实例中，促进其它服务器和/或客户端装置之间的通信。例如，服务器计算机可以是大型主机、小型计算机集群，或者像单元一样工作的一组服务器。在一个实例中，服务器计算机可为耦合到网络服务器的数据库服务器，且可包括或耦合到数据库。

在一个实施例中，认证映射器服务器326通过例如表征状态转移(REST)应用程序编程接口(API)或REST API与代理app A324A和代理app B 324B进行通信。

此第二实施例通过对数据建立分布式控制权和分布式所有权来增强安全性。例如，认证映射器服务器326可以具有对网络认证的控制权，并且可以由路由器312的制造商提供和/或运行。相对于代理认证解耦或停用IoT装置18的任何后续需要可能需要IoT装置18的制造商通过路由器制造更新认证映射器服务器326。

在一个实施例中，代理app A324A被配置成在针对网络授权的请求期间从路由器312接收IoT装置18的装置ID 34，并且通过将装置ID 34转发到认证映射器服务器326以验证装置ID来确定特定IoT装置是否已启用代理认证。代理app B 324B被配置成通过显示弹出窗口来对来自验证映射器服务器326的验证消息作出响应，所述弹出窗口提示用户键入网络密码并将所键入的网络密码发送到路由器512以便通过认证映射器服务器326和代理app A324A进行验证，如下文所解释。

技术上，代理app A324A和代理app B 324B具有不同的功能，但在替代实施例中，可以组合到移动装置16上的一个代理应用程序中，如图1所示。此外，多个IoT装置可以在移动装置16中使用双代理应用程序或单代理应用程序来进行此初始设置。

图4是说明根据图3的第二实施例的用于物联网装置的一次性无线认证的过程的流程图。一次性无线认证过程包括注册阶段，该注册阶段假设一旦在移动装置16上首次启动代理app A324A和代理app B 324B，代理app A324A和代理app B 324B将相应的app AID32A和app B ID 32B向认证映射器服务器326注册为应用程序对。认证映射服务器326可在映射数据库302存储app AID 32A和app B ID 32B作为应用程序ID对的注册。

参考图3和4两者，在注册阶段期间，代理app A324A显示接收用户键入的与IoT装置18相关联的装置ID 34的用户界面(框400)。可响应于用户希望设置IoT装置18并按下代理app A324A或代理app B 324B上的“注册按钮”以注册IoT装置18而发起此步骤。此后，代理app A324A显示用户可在其中键入装置ID 34的字段。代理app A324A接收装置ID 34，并在注册请求中向路由器312发送app A ID 32A和装置ID 34两者作为ID对(框401)。

路由器312接收注册请求，i)启用代理认证设置28，ii)至少存储装置ID 34，以及iii)在注册请求中将ID对转发到认证映射器服务器326(框402)。一旦认证映射器服务器326接收到ID对，认证映射器服务器326就使用app A ID 32A在映射数据库302中查找具有匹配app A ID 32A的记录304，并在记录304中存储装置ID 34和应用程序ID对/使所述装置ID与应用程序ID对相关联。在替代实施例中，代理app B 324B可以在上述注册过程中代替代理app A 324A使用。

在注册过程之后，路由器312通过网络14从IoT装置18接收授权请求，其中授权请求至少包括装置ID 34而不具有网络密码(框404)。例如，授权请求可以例如包括DeviceID:“tdrgsthawu2n4n5j9aj4l5n2v97cm3bc78h3vn678”。

路由器312接着确定代理认证设置28是否被启用，如果被启用，则将装置ID 34转发到代理app A 324A(框406)。在一个实施例中，路由器312使用互联网协议群(也称为发射控制协议(TCP)和互联网协议(IP))通过网络14接收和转发授权请求。

代理app A 324A从路由器312接收装置ID 34，并在验证请求中将装置ID 34转发到认证映射器服务器326以供进行验证(框408)。作为响应，代理app B 324B响应于代理appA 324A的验证请求，从认证映射器服务器326接收验证响应(框410A)。在实施例中，认证映射器服务器326在接收到验证请求后，首先使用装置ID 34在映射数据库302中进行搜索以查找具有匹配装置ID 34的映射记录304，一旦找到，认证映射器服务器326就经由预配置的REST API将验证响应发送到匹配映射记录304中所列出的代理app B324B。

例如，认证映射器服务器326可以将预配置的REST API存储为：

(https://www.appa.appid/{info})APP A-deviceKey:"tdrgsthawu2n4n5j9aj4l5n2v97cm3bc78h3vn678----→APP B

(https://www.appb.appId/{Info})，

其中预配置的REST API通知认证映射器服务器326针对来自App A的与deviceKey:"tdrgsthawu2n4n5j9aj4l5n2v97cm3bc78h3vn678对应的任何传入请求，调用app B注册的https://www.appb.appId/{Info}。

响应于从认证映射器服务器326接收到验证装置ID 34的响应，代理app B 324B提示用户键入网络密码并接收所键入的网络密码(框410B)。代理app B 324B接着在消息中向认证映射器服务器326发送所键入的网络密码以供经由预配置的REST API转发到代理appA324A(框412A)。代理app A324A接着在消息中向路由器12发送所键入的网络密码(框412B)。

路由器312接收包括所键入的网络密码的消息并验证所键入的网络密码(框414)。在一个实施例中，路由器312通过向凭证管理系统22发送验证请求来验证所键入的网络密码，在找到访问凭证数据库24中的密码的匹配的情况下，所述验证请求验证网络密码。在一个实施例中，凭证管理系统22可以是路由器312的后端系统的一部分。

响应于验证所键入的网络密码，路由器312向IoT装置18发送成功消息，从而授权访问无线网络，其中IoT装置18向路由器312发送装置ID 34以用于后续连接而无需借助于网络密码、移动装置16或代理应用程序324A和324B(框416)。

图5是说明根据第三实施例的用于使移动应用程序能够提供物联网装置的一次性无线认证的系统的框图，其中来自图3的相似组件具有相似的附图标记。系统500类似于图3的系统300，除了使用两个单独的代理应用程序之外，即代理app A324A和代理app B 324B，系统500进一步包括路由器映射器系统502。在此实施例中，代理app A324A与app AID 32A相关联，代理app B 324B与app B ID 32B相关联，其中app AID 32A和app B ID 32B均可包括其中安装了app的移动装置16的唯一移动电话号码。

第三实施例使路由器512的制造商和IoT装置18的制造商能够分担代理认证的责任。例如，路由器512的制造商可以控制路由器映射器系统504，而IoT装置18的制造商可以控制认证映射器服务器326。在代理认证过程期间，需要来自路由器映射器系统504和认证映射器服务器326两者的输入，如关于图6所述。

图6是说明根据图5的第三实施例的用于物联网装置的一次性无线认证的过程的流程图。一次性无线认证过程包括注册阶段，所述注册阶段假设代理app A324A和代理appB 324B首次在移动装置16上启动，即：i)向路由器映射器系统504注册app AID 32A与网络密码(PW)之间的映射；以及ii)向认证映射器服务器326注册app B ID 32B。此预映射过程通过针对路由器DB 506和映射DB 302检查任何此类请求，来确保路由器512不必除移动装置16上的经授权代理app A 324A和代理app B 324B之外，还从所连接移动装置上的代理app接收认证请求。

参考图5和6两者，在注册阶段期间，代理app A 324A显示接收用户键入的与IoT装置18相关联的装置ID 34的用户界面(框600)。代理app A 324A接收装置ID 34，并在注册请求中向路由器312发送app A ID 32A和装置ID 34两者作为ID对(框601)。

路由器312在接收到注册请求后：i)启用代理认证设置28，ii)至少存储装置ID34，iii)在一个注册请求中将装置ID对转发到路由器映射器系统504，并且iv)在另一注册请求中将app B ID 32B和装置ID 34转发到认证映射器服务器326(框602)。

如图5所示，路由器映射器系统504可以将装置ID 34存储在路由器数据库506的使app A ID 32A和网络密码相关联的记录508中。类似地，认证映射器服务器326可以将装置ID 34存储在映射数据库302的包含app B ID 32B的记录304中。

在注册过程之后，路由器312通过网络14从IoT装置18接收授权请求，其中授权请求至少包括装置ID 34而不具有网络密码(框604)。例如，授权请求可以例如包括DeviceID:

“tdrgsthawu2n4n5j9aj4l5n2v97cm3bc78h3vn678”。

路由器312接着确定代理认证设置28是否被启用，如果被启用，则将装置ID 34转发到路由器映射器系统504(框606)。

路由器映射器系统504接收装置ID 34，并使用装置ID 34查找通过app A ID 32A映射到装置ID 34的代理app A 324A，并向所述代理app发送通知消息(框608)。在一个实施例中，使用预配置的REST API发送通知消息。例如，路由器映射器系统504可以将预配置的REST API存储为：

(https://www.appa.appid/{info})APP A-deviceKey:"tdrgsthawu2n4n5j9aj4l5n2v97cm3bc78h3vn678----→移动装置

APP A(https://www.appa.appId/{Info})，

其中路由器映射器系统504中的预配置的REST API通知认证映射器服务器326针对来自路由器512的与deviceKey:"tdrgsthawu2n4n5j9aj4l5n2v97cm3bc78h3vn678对应的任何传入请求，调用app A注册的https://www.appa.appId/{Info}。

作为响应，代理app A 324A从路由器映射器系统504接收通知消息，并通过路由器-互联网将通知消息转发到认证映射器服务器326(框610)。作为响应，代理app B 324B响应于代理app A 324A的通知消息，从认证映射器服务器326接收验证响应(框612)。也就是说，认证映射器服务器326首先使用从代理app A 324A接收到的装置ID 34在映射数据库302中进行搜索以查找具有匹配装置ID的映射记录304，一旦找到匹配映射记录304，认证映射器服务器326就经由预配置的REST API将验证响应发送到映射记录304中映射到装置ID的代理app B 324B。

例如，认证映射器服务器326可以将预配置的REST API存储为：

(https://www.appb.appId/{Info})，

响应于从认证映射器服务器326接收到验证装置ID 34的响应，代理app B 324B提示用户键入网络密码并接收所键入的网络密码(框614)。代理app B 324B接着在消息中向认证映射器服务器326发送所键入的网络密码以供经由预配置的REST API转发到代理appA 324A(框616)。代理app A 324A接着使用REST API在消息中向路由器映射器系统504发送所键入的网络密码(框618)。

路由器映射器系统504接收包括所键入的网络密码的消息，并在找到匹配网络密码后，向路由器512发送网络密码(框620)。路由器512接收包括所键入的网络密码的消息并验证网络密码(框622)。在一个实施例中，路由器512通过向凭证管理系统22发送验证请求来验证所键入的网络密码，在找到访问凭证数据库24中的密码的匹配的情况下，所述验证请求验证网络密码。

响应于验证所键入的网络密码，路由器512向IoT装置18发送成功消息，从而授权访问无线网络，其中IoT装置18向路由器512发送IoT装置ID以用于后续连接而无需借助于网络密码、移动装置16或代理应用程序324A和324B(框624)。

已描述用于IoT装置的一次性无线认证的方法和系统。当没有用于从IoT装置手动键入密码的可用方式时，方法和系统促进IoT装置的轻松无线互联网传导，从而消除对通过IoT装置18的密钥和用户交互的需要。所述方法和系统促进没有规定要键入密码的IoT装置连接到互联网，只要IoT装置被预配置成使用一个或多个移动应用程序外加路由器中的软件变化进行代理认证即可。

图7示出可适用于IoT装置18、移动装置16、认证映射服务器26和/或路由器映射器系统504的计算机系统700的实施方案。根据实施例。计算机系统700可以包括微处理器703和存储器702。在实施例中，微处理器703和存储器702可以通过互连件701(例如，总线和系统核心逻辑)连接。另外，微处理器703可以耦合到高速缓冲存储器709。在实施例中，互连件701可以经由I/O控制器707将微处理器703和存储器702连接到输入/输出(I/O)装置705。I/O装置705可以包括显示装置和/或外围装置，例如鼠标、键盘、调制解调器、网络接口、打印机、扫描器、摄像机和所属领域中已知的其它装置。在实施例中(例如，当数据处理系统是服务器系统时)，例如打印机、扫描仪、鼠标和/或键盘等的一些I/O装置(705)可以是任选的。

在实施例中，互连件701可以包括通过各种桥接器、控制器和/或适配器彼此连接的一个或多个总线。在一个实施例中，I/O控制器707可以包括用于控制USB(通用串行总线)外围装置的USB适配器，和/或用于控制IEEE-1394外围装置的IEEE-1394总线适配器。

在实施例中，存储器702可以包括以下各者中的一个或多个：ROM(只读存储器)、易失性RAM(随机访问存储器)以及诸如硬盘驱动器、闪存之类的非易失存储器等等。易失性RAM通常被实现为动态RAM(DRAM)，它不断地需要电能才能刷新或将数据维持在存储器中。非易失性存储器通常是磁硬盘驱动器、磁光驱动器、光驱(例如，DV D RAM)或即使在系统断电后也能保持数据的其它类型的存储器系统。非易失性存储器也可以是随机存取存储器。

非易失性存储器可以是与数据处理系统中的其它组件直接耦合的本地装置。还可以使用远离系统的非易失性存储器，诸如通过诸如调制解调器或以太网接口之类的网络接口耦合到数据处理系统的网络存储装置。

在本说明书中，一些功能和操作被描述为由软件代码执行或由软件代码导致，以简化描述。然而，这样的表述也被用于指定功能是由诸如微处理器之类的处理器执行代码/指令所引起的。

或者，或组合地，这里描述的功能和操作可以使用专用电路来实现，具有或不具有软件指令，诸如使用专用集成电路(ASIC)或现场可编程门阵列(FPGA)。实施例可以使用没有软件指令的硬连线电路或者与软件指令相结合来实现。因此，这些技术既不限于硬件电路和软件的任何特定组合，也不限于由数据处理系统执行的指令的任何特定源。

尽管一个实施例可以以全功能的计算机和计算机系统来实现，但是，各种实施例能够以多种形式作为计算产品来分发，并且能够不管用于实际实现所述分发的机器或计算机可读介质的特定类型而应用。

可以至少部分地在软件中具体化所公开的至少一些方面。也就是说，响应于其处理器(例如微处理器)执行存储器(例如ROM、易失性RAM、非易失性存储器、高速缓冲存储器或远程存储装置)中所含有的指令序列，技术可进行于计算机系统或其它数据处理系统中。

经执行以实施实施例的例程可实施为操作系统或具体应用程序、组件、程序、对象、模块或被称作“计算机程序”的指令序列的部分。计算机程序通常包括在各时间在计算机的各种存储器和存储装置中的一个或多个指令集，当由计算机中的一个或多个处理器读取并执行这一个或多个指令集时，这一个或多个指令集使计算机执行实施涉及各方面的元件所需的操作。

尽管上文已经描述了特定实施例，但这些实施例并不旨在限制本公开的范围，即使在关于特定特征仅描述了单个实施例的情况下也是如此。除非另有说明，否则本公开中提供的特征的实例旨在是说明性的而非限制性的。以上描述旨在涵盖对于受益于本公开的本领域技术人员显而易见的这些替代、修改和等效物。

已公开了用于物联网装置的一次性无线认证的方法和系统。本发明已根据所示实施例描述，实施例可存在变化，并且所有变化形式都在本发明的精神和范围内。因此，在不脱离所附权利要求书的精神和范围的情况下，所属领域的一般技术人员可以进行许多修改。

Claims

1.一种用于物联网(IoT)装置的认证的计算机实施的方法，包括：

在注册过程期间，由在移动装置上执行的代理应用程序接收与所述IoT装置相关联的装置标识符，所述装置标识符是由所述移动装置的用户键入到所述代理应用程序中的；

作为所述注册过程的一部分，由所述代理应用程序向无线网络的路由器发送所述装置标识符；

在所述注册过程之后，响应于所述路由器从所述IoT装置接收到针对所述无线网络的访问的包括所述装置标识符、不具有网络密码的授权请求，由所述代理应用程序从所述路由器接收所述装置标识符，并且所述路由器在确定所述路由器已启用代理认证之后将所述装置标识符转发到所述代理应用程序；

提示所述移动装置的所述用户键入所述网络密码并在消息中向所述路由器发送所键入的网络密码，从而使得响应于所述路由器验证所述网络密码并授权所述IoT装置访问所述无线网络，所述IoT装置向所述路由器发送所述装置标识符以用于后续网络连接而无需借助于所述移动装置或所述代理应用程序。

2.根据权利要求1所述的方法，其中所述注册阶段进一步包括：由所述代理应用程序使所述装置标识符与用于标识所述代理应用程序的应用程序标识符相关联。

3.根据权利要求2所述的计算机实施的方法，其中所述注册阶段进一步包括：由所述代理应用程序将所述装置标识符到所述应用程序标识符的映射向所述路由器注册为标识符对。

4.根据权利要求3所述的计算机实施的方法，其中所述注册阶段进一步包括：由所述代理应用程序向所述路由器发送所述标识符对，使得所述路由器将所述标识符对存储在凭证管理系统中或将所述标识符对转发到认证映射器服务器。

5.根据权利要求2所述的计算机实施的方法，进一步包括：将所述代理应用程序的功能分成第一代理应用程序和第二代理应用程序，其中在所述注册阶段期间，所述第一代理应用程序和所述第二代理应用程序向认证映射器服务器注册为应用程序对。

6.根据权利要求5所述的计算机实施的方法，进一步包括：将所述认证映射器服务器配置成传送针对所述第一代理应用程序和所述第二代理应用程序的请求和响应。

7.根据权利要求6所述的计算机实施的方法，进一步包括：将所述第一代理应用程序配置成从所述路由器接收所述IoT装置的所述装置标识符，并且通过将所述装置标识符转发到所述认证映射器服务器以验证所述装置标识符来确定所述IoT装置是否已启用代理认证。

8.根据权利要求6所述的计算机实施的方法，进一步包括：将所述第二代理应用程序配置成响应于接收到来自所述认证映射器服务器的验证消息而提示所述移动装置的所述用户键入所述网络密码，并且通过所述认证映射器服务器和所述第一代理应用程序在所述消息中向所述路由器发送所述所键入的网络密码。

9.根据权利要求1所述的计算机实施的方法，进一步包括：将所述代理应用程序实施为与第一应用程序标识符相关联的第一代理应用程序和与第二应用程序标识符相关联的第二代理应用程序，其中所述第一应用程序标识符和所述第二应用程序标识符包括所述移动装置的移动电话号码。

10.根据权利要求9所述的计算机实施的方法，进一步包括：

向路由器映射器系统注册所述第一应用程序标识符与所述网络密码之间的映射；以及

向认证映射器服务器注册所述第二应用程序标识符。

11.根据权利要求1所述的计算机实施的方法，其中由所述代理应用程序接收与所述IoT装置相关联的所述装置标识符进一步包括：由所述IoT装置通过选择具有最高信号强度的所述无线网络来自动确定要请求访问多个检测到的无线网络中的哪一个。

12.一种用于IoT装置的认证的计算机实施的方法，包括：

由路由器从在移动装置上执行的代理应用程序接收注册请求，所述注册请求包括与所述IoT装置相关联的装置标识符，所述装置标识符是由所述移动装置的用户键入到所述代理应用程序中的，所述路由器进一步存储所述装置标识符并启用代理认证设置；

由所述路由器从所述IoT装置接收针对无线网络的访问的授权请求，所述授权请求至少包括所述装置标识符而不具有网络密码；

由所述路由器确定代理认证设置是否被启用，如果被启用，则将所述装置标识符转发到所述代理应用程序；

由所述路由器从所述代理应用程序接收消息，所述消息包括由所述用户键入到所述代理应用程序中的网络密码；以及

响应于所述路由器验证所述网络密码，授权所述IoT装置访问所述无线网络，授权所述IoT装置向所述路由器发送所述装置标识符以用于所述后续连接而无需借助于所述移动装置或所述代理应用程序。

13.根据权利要求12所述的计算机实施的方法，进一步包括：由所述路由器将所述装置标识符存储在凭证管理系统中。

14.根据权利要求13所述的计算机实施的方法，其中从所述代理应用程序接收具有所述用户键入的网络密码的所述消息进一步包括：由所述路由器向所述凭证管理系统发送验证请求，所述验证请求在找到与所述网络密码的匹配时验证所述网络密码。

15.根据权利要求12所述的计算机实施的方法，进一步包括：响应于确定未启用代理认证设置，由所述路由器向所述IoT装置发送拒绝消息。

16.根据权利要求12所述的计算机实施的方法，进一步包括：响应于所述IoT装置与所述无线网络断开连接，由所述路由器从所述IoT装置接收所述装置ID；查找所述装置ID，并且如果找到所述装置ID，则重新建立与所述IoT装置的网络连接而无需来自所述用户或所述移动装置的任何输入。

17.根据权利要求12所述的计算机实施的方法，其中由所述路由器从所述IoT装置接收所述授权请求进一步包括：由所述IoT装置通过选择具有最高信号强度的所述无线网络来自动确定要请求访问多个检测到的无线网络中的哪一个。

18.根据权利要求13所述的计算机实施的方法，进一步包括：响应于所述IoT装置未能在预定时间阈值内接收到对所述授权请求的答复，由所述IoT装置向具有下一最高信号强度的另一无线网络的路由器发送认证请求，直到所述IoT装置找到启用代理认证的所述路由器为止。

19.一种系统，包括：

路由器，其提供无线网络并且通过所述无线网络和互联网进行通信；

物联网(IoT)装置，其需要首次访问所述无线网络，所述IoT装置与装置标识符相关联；以及

在用户的移动装置上执行的代理应用程序，所述代理应用程序在与所述路由器的首次网络认证尝试期间用作所述IoT装置的代理，所述代理应用程序被配置成：

在注册过程期间接收与所述IoT装置相关联的装置标识符，所述装置标识符是由所述用户键入到所述代理应用程序中的；

作为所述注册过程的一部分，向所述路由器发送所述装置标识符；

在所述注册过程之后，响应于所述路由器从所述IoT装置接收到针对所述无线网络的访问的包括所述装置标识符、不具有网络密码的授权请求，由所述代理应用程序从所述路由器接收所述装置标识符，并且所述路由器在确定所述路由器已启用代理认证之后将所述装置标识符转发到所述代理应用程序；以及

20.根据权利要求19所述的系统，进一步包括与所述路由器通信的认证映射器服务器，并且其中所述代理应用程序的功能被分成第一代理应用程序和第二代理应用程序，其中所述认证映射器服务器存储与所述第一代理应用程序相关联的第一应用程序标识符、与所述第二代理应用程序相关联的第二应用程序标识符和所述装置ID之间的映射。