DE112019001320B4 - Vorrichtungen, systeme und verfahren zum verbinden und authentifizieren lokaler vorrichtungen mit/gegenüber einer gemeinsamen gateway-vorrichtung - Google Patents

Vorrichtungen, systeme und verfahren zum verbinden und authentifizieren lokaler vorrichtungen mit/gegenüber einer gemeinsamen gateway-vorrichtung Download PDF

Info

Publication number
DE112019001320B4
DE112019001320B4 DE112019001320.3T DE112019001320T DE112019001320B4 DE 112019001320 B4 DE112019001320 B4 DE 112019001320B4 DE 112019001320 T DE112019001320 T DE 112019001320T DE 112019001320 B4 DE112019001320 B4 DE 112019001320B4
Authority
DE
Germany
Prior art keywords
gateway
server
local
gateway device
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE112019001320.3T
Other languages
English (en)
Other versions
DE112019001320T5 (de
Inventor
Hui Luo
Hongwei Kong
Kaiping Li
Sungeun Lee
Sridhar Prakasam
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Cypress Semiconductor Corp
Original Assignee
Cypress Semiconductor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cypress Semiconductor Corp filed Critical Cypress Semiconductor Corp
Publication of DE112019001320T5 publication Critical patent/DE112019001320T5/de
Application granted granted Critical
Publication of DE112019001320B4 publication Critical patent/DE112019001320B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/009Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/16Discovering, processing access restriction or access information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/005Discovery of network devices, e.g. terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/18Self-organising networks, e.g. ad-hoc networks or sensor networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/16Gateway arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Eine Gateway-Vorrichtung (102, 202), die Folgendes beinhaltet:eine drahtlose erste Kommunikationsschnittstelle (236);eine zweite Kommunikationsschnittstelle (238);mindestens einen Prozessor in Kommunikation mit der ersten (236) undzweiten Kommunikationsschnittstelle (238), der für Folgendes konfiguriert ist:Ausführen eines Protokolls zur Bescheinigung einer lokalen Vorrichtung durch drei Parteien, das Folgendes umfasst:Herstellen einer Verbindung mit einem Server (108, 208) über ein Netzwerk (106, 206) über die zweite Kommunikationsschnittstelle (238),Weiterleiten sicherer Kommunikationen zwischen einer lokalen Vorrichtung und dem Server (108, 208) über die erste (236) und zweite Kommunikationsschnittstelle (238), um eine Authentifizierung der lokalen Vorrichtung durch den Server (108, 208) zu ermöglichen, undEmpfangen eines Authentifizierungsergebnisses für die lokale Vorrichtung von dem Server (108, 208) über die zweiteKommunikationsschnittstelle (238); undArbeiten als ein gemeinsamer Zugangspunkt zu dem Netzwerk (106, 206) für eine Vielzahl von gegenüber der Gateway-Vorrichtung (102, 202)authentifizierten lokalen Vorrichtungen (104-0 bis -n), wobei die erste drahtlose Kommunikationsschnittstelle (236) durch ein erstesProtokoll betreibbar ist und die zweite Kommunikationsschnittstelle (238) durch ein zweites Protokoll betreibbar ist, das sich von dem ersten Protokoll unterscheidet; wobei:der mindestens eine Prozessor ferner konfiguriert ist, um ein Protokoll zur Bescheinigung eines Gateways durch drei Parteien auszuführen, das Folgendes umfasst:Kommunizieren mit einem Gateway-Server (110, 210) über eine sichere Verbindung mit einer Benutzervorrichtung (242), die Nachrichten zwischen der Gateway-Vorrichtung (102, 202) und dem Gateway-Server (110, 210) weiterleitet,Authentifizieren der Gateway-Vorrichtung (102, 202) gegenüber dem Gateway-Server (110, 210) undEmpfangen von Authentifizierungsnachweisen für die Gateway-Vorrichtung (102, 202) von dem Gateway-Server (210, 210) über die sichere Verbindung.

Description

  • Diese Anmeldung ist eine internationale Anmeldung der US-Patentanmeldung Nummer 16/135,091 , eingereicht am 19. September 2018, die den Nutzen der provisorischen US-Patentanmeldung mit der Serien-Nr. 62/641,786 , eingereicht am 12. März 2018, beansprucht, deren Inhalte hierin durch Bezugnahme einbezogen sind.
  • GEBIET DER ERFINDUNG
  • Die vorliegende Offenbarung betrifft allgemein Gateway-Vorrichtungen und Systeme, die lokalen Vorrichtungen Zugang zu einem größeren Netzwerk bereitstellen, und insbesondere eine Gateway-Vorrichtung für Vorrichtungen des Internets der Dinge (loT, Internet of Things) und ähnliche lokale Vorrichtungen, die solche Vorrichtungen authentifizieren und als Netzwerk-Proxy für diese dienen kann.
  • STAND DER TECHNIK
  • Gateway-Vorrichtungen und Systeme sind aus Patentdokument 1, US 2018 / 0 069 836 A1 , Patentdokument 2, US 9 606 817 B1 und Patentdokument 3 EP 2 728 958 A2 bekannt. Herkömmlicherweise muss ein Benutzer, der eine Umgebung mit mehreren loT-Vorrichtungen einrichtet, typischerweise mehrere Benutzerkonten erstellen und verwalten, da die loT-Vorrichtungen selten von demselben Hersteller produziert werden oder mit einem gleichen Kommunikationsprotokoll arbeiten. Das heißt, dass unterschiedliche loT-Vorrichtungen/-Systeme, die von unterschiedlichen Herstellern produziert werden, im Allgemeinen kein einzelnes loT-System bilden können. Der Benutzer muss mehrere Anwendungen (Apps) laufen lassen und Konten in mehreren Cloud-Servern einrichten, eine bzw. eines für jede loT-Vorrichtung oder für jedes loT-System, die/das von einem Hersteller produziert wird. Dies ist umständlich für den Benutzer und macht es wahrscheinlicher, dass ein Passwort eines Benutzers eingeschlossen wird, da ein Benutzer häufig auf das Verwenden eines gleichen Benutzernamens oder Passworts für mehrere Konten zurückgreift.
  • Ein herkömmliches loT-System kann typischerweise aus einer Steuerungseinheit und diversen Vorrichtungen bestehen, die von demselben Hersteller produziert werden (wie etwa ein Sicherheitskamerasystem). Ein Benutzer lädt eine App von dem Hersteller herunter, um das loT-System zu konfigurieren und zu steuern. Bei der Steuerungseinheit und den Vorrichtungen sind typischerweise eindeutige IDs und MAC-Adressen auf die Packung oder auf das Produkt aufgedruckt. Ein Benutzer kann sie über eine drahtlose Anbindung finden und sie basierend auf solchen aufgedruckten IDs und MAC-Adressen identifizieren. Es gibt kein Konzept, um die Vertrauenswürdigkeit der loT-Steuerungseinheit und -Vorrichtungen nachzuweisen. Daher kann eine böswillige Vorrichtung mit dem gleichen Aussehen und aufgedruckten Etikett den Benutzer dazu verleiten, sie zu konfigurieren und zu installieren, was zu ernsthaften Sicherheitsbedenken führt.
  • Aktuell haben Sicherheitsstudien über Computervernetzung und Kommunikationssysteme noch keine gute Lösung für das Problem des „Vertrauens in eine neue Vorrichtung“ gefunden, d. h. wie sichergestellt werden kann, dass eine neue erkannte Vorrichtung, die konfiguriert und in Gebrauch genommen werden soll, keine böswillige Vorrichtung ist, die genauso aussieht wie eine rechtmäßige Vorrichtung. Ein herkömmlicher Ansatz kann darauf beruhen, dass eine Vorrichtung ein sicheres Boot-Merkmal aufweist, um zu garantieren, dass ihre Software nicht verändert wird, und die Vorrichtung besitzt ein Geheimnis, das sich als ein Vertrauensbeweis authentifizieren kann. Es ist jedoch nicht einfach nachzuweisen, dass auf einer Vorrichtung eine rechtmäßige Software läuft, die durch ein sicheres Boot-Merkmal geschützt wird, und eine neue Vorrichtung besitzt kein Geheimnis, das mit einem Benutzer zum Zwecke der Authentifizierung geteilt wird. Ein für sich selbst geltend gemachtes Geheimnis oder ein für sich selbst geltend gemachter öffentlicher Schlüssel (wie etwa die, die auf die Vorrichtungspackung oder das Benutzerhandbuch aufgedruckt sind) hindern eine böswillige Vorrichtung nicht daran, dasselbe zu tun, um den Benutzer hereinzulegen. Ein durch eine namhafte Zertifizierungsstelle (CA, Certificate Authority) ausgestelltes Zertifikat oder ein in einem Server überprüfbarer öffentlicher Schlüssel kann helfen, das Vertrauen zu schaffen, aber sie erfordern ein sorgfältiges Management während der Vorrichtungsherstellung und machen die Vorrichtung daher teurer.
  • Dieses Problem des „Vertrauens in eine neue Vorrichtung“ kann für loT-Vorrichtungen eine sogar noch größere Herausforderung bedeuten. Erstens haben loT-Vorrichtungen häufig keine oder nur eine sehr begrenzte Benutzerschnittstelle, was Benutzer daran hindert, das Software-Verhalten einer loT-Vorrichtung zu überwachen. Beispielsweise kann ein Benutzer auf einem Computer ein Virenschutzprogramm installieren, um zu erkennen, ob auf dem Computer Spyware läuft, bei einer loT-Vorrichtung, auf der geschlossene, proprietäre, eingebettete Software läuft, ist dies aber nicht möglich. Zweitens sind loT-Vorrichtungen typischerweise Großserienvorrichtungen, von denen erwartet wird, dass sie vergleichsweise niedrige Preise aufweisen. Daher kann es untragbar teuer sein, individuelle Sicherheitszertifikate während der Herstellung in jede Vorrichtung zu integrieren. Andererseits arbeiten loT-Vorrichtungen typischerweise nicht alleine und werden typischerweise in Netzwerke hineinkonfiguriert. Ohne eine gute Lösung, die das Vertrauen in eine neue loT-Vorrichtung sicherstellt, könnte eine böswillige IoT-Vorrichtung einen Benutzer täuschen, in ein Netzwerk hineinkonfiguriert werden und so die Sicherheit des gesamten Netzwerks außer Kraft setzen.
  • Aktuell haben sich die loT- und ähnlichen Produktmärkte diesem Problem des „Vertrauens in eine neue Vorrichtung“ noch nicht ausreichend gewidmet.
  • ZUSAMMENFASSUNG
  • Somit ist es eine Aufgabe der vorliegenden Erfindung, eine Gatewayvorrichtung bereitzustellen, die das Vertrauen in eine neue loT-Vorrichtung sicherstellt.
  • Gemäß einem ersten Aspekt der vorliegenden Offenbarung wird eine GatewayVorrichtung bereitgestellt, die Folgendes beinhaltet: eine drahtlose erste Kommunikationsschnittstelle; eine zweite Kommunikationsschnittstelle; mindestens einen Prozessor in Kommunikation mit der ersten und zweiten Kommunikationsschnittstelle, der für Folgendes konfiguriert ist: Ausführen eines Protokolls zur Bescheinigung einer lokalen Vorrichtung durch drei Parteien, das Folgendes umfasst: Herstellen einer Verbindung mit einem Server über ein Netzwerk über die zweite Kommunikationsschnittstelle, Weiterleiten sicherer Kommunikationen zwischen einer lokalen Vorrichtung und dem Server über die erste und zweite Kommunikationsschnittstelle, um eine Authentifizierung der lokalen Vorrichtung durch den Server zu ermöglichen, und Empfangen eines Authentifizierungsergebnisses für die lokale Vorrichtung von dem Server über die zweite Kommunikationsschnittstelle; und Arbeiten als ein gemeinsamer Zugangspunkt zu dem Netzwerk für eine Vielzahl von gegenüber der Gateway-Vorrichtung authentifizierten lokalen Vorrichtungen, wobei die erste drahtlose Kommunikationsschnittstelle durch ein erstes Protokoll betreibbar ist und die zweite Kommunikationsschnittstelle durch ein zweites Protokoll betreibbar ist, das sich von dem ersten Protokoll unterscheidet; wobei: der mindestens eine Prozessor ferner konfiguriert ist, um ein Protokoll zur Bescheinigung eines Gateways durch drei Parteien auszuführen, das Folgendes umfasst: Kommunizieren mit einem Gateway-Server über eine sichere Verbindung mit einer Benutzervorrichtung, die Nachrichten zwischen der Gateway-Vorrichtung und dem Gateway-Server weiterleitet, Authentifizieren der Gateway-Vorrichtung gegenüber dem Gateway-Server und Empfangen von Authentifizierungsnachweisen für die Gateway-Vorrichtung von dem Gateway-Server über die sichere Verbindung.
  • Gemäß einem zweiten Aspekt der vorliegenden Offenbarung wird ein Verfahren bereitgestellt, das Folgendes beinhaltet: Erkennen lokaler Vorrichtungen mit einer drahtlosen ersten Kommunikationsschnittstelle einer Gateway-Vorrichtung; Authentifizieren mindestens einer lokalen Vorrichtung gegenüber der GatewayVorrichtung, umfassend: durch Betrieb der ersten Kommunikationsschnittstelle und einer zweiten Kommunikationsschnittstelle, Weiterleiten sicherer Kommunikationen zwischen der mindestens einen lokalen Vorrichtung und einem Server, um die Authentifizierung der mindestens einen lokalen Vorrichtung durch den Server zu ermöglichen, wobei die erste drahtlose Kommunikationsschnittstelle durch ein erstes Protokoll betreibbar ist und die zweite Kommunikationsschnittstelle durch ein zweites Protokoll betreibbar ist, das sich von dem ersten Protokoll unterscheidet, und nach dem Empfangen der Authentifizierung der mindestens einen lokalen Vorrichtung an der Gateway-Vorrichtung, Übertragen von Benutzerinformationen zur Speicherung in einem sicheren Speicher der authentifizierten lokalen Vorrichtung; und Betreiben der Gateway-Vorrichtung als einen gemeinsamen Zugangspunkt zu dem Netzwerk für eine beliebige einer Vielzahl von gegenüber der Gateway-Vorrichtung authentifizierten lokalen Vorrichtungen.
  • Gemäß einem dritten Aspekt der vorliegenden Offenbarung wird ein System bereitgestellt, das Folgendes beinhaltet: eine Vielzahl von lokalen Vorrichtungen; eine Gateway-Vorrichtung in Kommunikation mit den lokalen Vorrichtungen über eine drahtlose erste Kommunikationsschnittstelle und in Kommunikation mit einem Netzwerk über eine zweite Kommunikationsschnittstelle, wobei die erste drahtlose Kommunikationsschnittstelle durch ein erstes Protokoll betreibbar ist und die zweite Kommunikationsschnittstelle durch ein zweites Protokoll betreibbar ist, das sich von dem ersten Protokoll unterscheidet, und wobei die Gateway-Vorrichtung für Folgendes konfiguriert ist: Arbeiten als ein gemeinsamer Zugangspunkt für die lokalen Vorrichtungen zu mindestens einem Server über das Netzwerk, Weiterleiten sicherer Kommunikationen zwischen den lokalen Vorrichtungen und dem mindestens einen Server, um die lokalen Vorrichtungen gegenüber dem mindestens einen Server zu authentifizieren, und Darstellen von Zuständen der Vielzahl von lokalen Vorrichtungen als eine logische Vorrichtung mit Bezug auf Zugriffe von dem Netzwerk; wobei: jede lokale Vorrichtung konfiguriert ist, um ein Protokoll zur Bescheinigung einer lokalen Vorrichtung auszuführen, das Folgendes umfasst: Herstellen einer sicheren Verbindung mit mindestens einem Server über eine durch die Gateway-Vorrichtung hergestellte Verbindung und Authentifiziertwerden der lokalen Vorrichtung durch den mindestens einen Server; und Empfangen und Speichern von Benutzerinformationen für das Zugreifen auf die lokale Vorrichtung in einem sicheren Speicher der lokalen Vorrichtung.
  • Figurenliste
    • 1A bis 1C sind Blockdiagramme zum Illustrieren eines Systems, das eine Gateway-Vorrichtung zum Aggregieren von lokalen Vorrichtungen aufweist, gemäß Ausführungsformen.
    • 2 ist ein Blockdiagramm eines Systems mit einer Gateway-Vorrichtung, die IPv4-Konnektivität aufweist, gemäß einer bestimmten Ausführungsform.
    • 3 ist ein Blockdiagramm eines Systems mit einer Gateway-Vorrichtung, die IPv6-Konnektivität aufweist, gemäß einer anderen bestimmten Ausführungsform.
    • 4 ist ein Blockdiagramm einer Gateway-Vorrichtung gemäß einer Ausführungsform.
    • 5 ist ein Blockdiagramm einer lokalen Vorrichtung gemäß einer Ausführungsform.
    • 6 ist ein Ablaufdiagramm eines Verfahrens zum Inbetriebnehmen einer Gateway-Vorrichtung gemäß einer Ausführungsform.
    • 7 ist ein Ablaufdiagramm eines Verfahrens zum Inbetriebnehmen einer lokalen Vorrichtung in einem System, das eine Gateway-Vorrichtung aufweist, gemäß einer Ausführungsform.
    • 8 ist ein Blockdiagramm eines loT-Systems, das eine Gateway-Vorrichtung zum Aggregieren von loT-Vorrichtungen aufweist, gemäß einer Ausführungsform.
    • 9A bis 9D sind eine Sequenz von Diagrammen, die ein Verfahren/Protokoll zum Inbetriebnehmen einer loT-Gateway-Vorrichtung gemäß einer bestimmten Ausführungsform zeigt.
    • 10A bis 10G sind eine Sequenz von Diagrammen, die ein Verfahren/Protokoll zum Inbetriebnehmen einer loT-Vorrichtung gemäß einer bestimmten Ausführungsform zeigt.
    • 11A bis 11F sind eine Sequenz von Diagrammen, die eine Benutzervorrichtungsanwendung zum Inbetriebnehmen einer Gateway-Vorrichtung gemäß einer Ausführungsform zeigt.
    • 12A bis 12G sind eine Sequenz von Diagrammen, die eine Benutzervorrichtungsanwendung zum Inbetriebnehmen einer lokalen Vorrichtung gemäß einer Ausführungsform zeigt.
    • 13 ist ein Blockdiagramm eines medizinischen loT-Systems, das eine GatewayVorrichtung zum Aggregieren von loT-Vorrichtungen aufweist, gemäß einer Ausführungsform.
    • 14 ist ein Blockdiagramm eines loT-Heimautomatisierungssystems, das eine Gateway-Vorrichtung zum Aggregieren von loT-Vorrichtungen aufweist, gemäß einer Ausführungsform.
  • DETAILLIERTE BESCHREIBUNG
  • Gemäß Ausführungsformen kann eine Gateway-Vorrichtung verschiedene lokale Vorrichtungen (z. B. loT-Vorrichtungen) als eine logische Vorrichtung aggregieren, sodass ein Benutzer nur einen Authentifizierungsnachweis bei einem Vorrichtungs-Cloud-Server einrichten muss (anstatt für jede lokale Vorrichtung Authentifizierungsnachweise einzurichten). Sobald in Bezug auf einen Server alle lokalen Vorrichtungen in einer Gateway-Vorrichtung aggregiert sind, kann das resultierende System als eine einzelne loT-Vorrichtung mit vielen Zuständen erscheinen, wobei jeder Zustand einer der lokalen Vorrichtungen entspricht. Die Gateway-Vorrichtung kann dann allen verbundenen lokalen Vorrichtungen als Netzwerk-Proxy (z. B. Internet-Proxy) dienen.
  • Ausführungsformen offenbaren auch ein Verfahren oder Protokoll zum sicheren Inbetriebnehmen einer Gateway-Vorrichtung für lokale (z. B. loT-) Vorrichtungen. Ein solches Verfahren/Protokoll kann das Herstellen einer sicheren Verbindung zwischen einer Gateway-Vorrichtung und einem Gateway-Server umfassen, wobei eine Benutzervorrichtung als eine Vermittlungsstelle arbeitet. Unter Verwendung bekannter Merkmale der Gateway-Vorrichtung (z. B. Firmware) sowie Hinweisen von der Gateway-Vorrichtung, die der Benutzer erkennen muss, kann die GatewayVorrichtung mit den folgenden Nutzen zu einem System hinzugefügt werden: (1) gegenüber einem Benutzer kann nachgewiesen werden, dass die Gateway-Vorrichtung vertrauenswürdig ist; (2) die Gateway-Vorrichtung kann verhindern, dass ein Benutzer irrtümlicherweise eine Gateway-Vorrichtung eines gleichen oder ähnlichen Typs in der Nähe konfiguriert; und (3) der Benutzer kann daran gehindert werden, unwissentlich eine unbeabsichtigte Vorrichtung zu konfigurieren, die feindlich gesinnt sein kann (und absichtlich als eine andere Vorrichtung erscheint) oder irrtümlich für die Gateway-Vorrichtung gehalten werden kann. Ausführungsformen offenbaren auch ein Verfahren oder Protokoll zum sicheren Inbetriebnehmen lokaler Vorrichtungen zur Aggregation mit einer Gateway-Vorrichtung, wobei die lokalen Vorrichtungen von gänzlich unterschiedlichen Herstellern stammen können. Ein solches Verfahren/Protokoll kann das Herstellen einer sicheren Verbindung zwischen jeder lokalen Vorrichtung und ihrem entsprechenden Server für lokale Vorrichtungen umfassen, wobei die Gateway-Vorrichtung als eine Vermittlungsstelle arbeitet. Unter Verwendung bekannter Merkmale und Hinweise von den lokalen Vorrichtungen können die lokalen Vorrichtungen mit den folgenden Nutzen mit der Gateway-Vorrichtung aggregiert werden: (1) gegenüber einem Benutzer kann nachgewiesen werden, dass die lokale Vorrichtung vertrauenswürdig ist; (2) die Gateway-Vorrichtung kann gegenüber der lokalen Vorrichtung nachweisen, dass sie vertrauenswürdig ist; (3) die Gateway-Vorrichtung kann daran gehindert werden, irrtümlicherweise eine lokale Vorrichtung eines gleichen oder ähnlichen Typs in der Nähe zu konfigurieren; und (3) die Gateway-Vorrichtung kann daran gehindert werden, unwissentlich eine unbeabsichtigte Vorrichtung zu konfigurieren, die feindlich gesinnt sein kann (und absichtlich als eine andere Vorrichtung erscheint) oder irrtümlich für die lokale Vorrichtung gehalten werden kann.
  • In den verschiedenen unten stehenden Ausführungsformen bezeichnen die gleichen Bezugszeichen gleiche Einheiten, wobei die führende(n) Ziffer(n) jedoch der Figurennummer entspricht/entsprechen.
  • 1A ist ein Blockdiagramm eines Systems 100 gemäß einer Ausführungsform. Ein System 100 kann eine Gateway-Vorrichtung 102 und eine oder mehrere lokale Vorrichtungen 104-0 bis -n umfassen. Eine Gateway-Vorrichtung 100 kann durch entsprechende „interne“ Verbindungen 112-0 bis -n mit jeder lokalen Vorrichtung (104-0 bis -n) verbunden sein. Interne Verbindungen (112-0 bis -n) können drahtlose Verbindungen gemäß einem beliebigen einer Anzahl von unterschiedlichen Protokollen sein. In einigen Ausführungsformen können solche Protokolle Folgendes umfassen, ohne darauf begrenzt zu sein: Funkprotokolle (2G/3G, LTE, NB-loT), Bluetooth/Bluetooth-Low-Energy (BT/BLE), IEEE 802.15.x, LoRa, SigFox, Weightless, Wi-Fi, WirelessHART, ZigBee oder Z-Wave. Daher kann eine Gateway-Vorrichtung 100 mit verschiedenen unterschiedlichen Herstellern/Typen von lokalen Vorrichtungen (104-0 bis -n) kompatibel sein. Eine Gateway-Vorrichtung 102 kann über eine „externe“ Verbindung 114 mit einem Netzwerk 106 verbunden sein. Eine externe Verbindung 114 kann eine drahtgebundene oder drahtlose Verbindung sein und kann in einigen Ausführungsformen einen Zugangspunkt 120 (AP, Access Point) (z. B. einen Router) umfassen.
  • Eine Gateway-Vorrichtung 102 kann ein Speichersystem 126 umfassen, das Zertifikate 128 lokaler Vorrichtungen, Benutzerinformationen 130 und Zustandsdaten 132 lokaler Vorrichtungen speichert. Zertifikate 128 lokaler Vorrichtungen können Informationen sein, die eine sichere Kommunikation zwischen lokalen Vorrichtungen (104-0 bis -n) und bekannten, vertrauenswürdigen Netzwerkzielen (z. B. Servern) ermöglichen. In einigen Ausführungsformen können Zertifikate 128 Verschlüsselungsdaten für ein oder mehrere bekannte Verschlüsselungsprotokolle umfassen. In bestimmten Ausführungsformen können Zertifikate 128 einen öffentlichen Verschlüsselungsschlüssel, einen privaten Verschlüsselungsschlüssel und eine eindeutige Vorrichtungs-ID umfassen. Benutzerinformationen 130 können Benutzerinformationen sein, die das Steuern der Vorrichtungen des Systems 100 ermöglichen. In einigen Ausführungsformen können die Benutzerinformationen 130 einen Benutzernamen und Passwortinformationen umfassen, um es einem Benutzer zu ermöglichen, auf die Gateway-Vorrichtung 102 und die lokalen Vorrichtungen (104-0 bis -n) zuzugreifen (z. B. diese zu konfigurieren, zu steuern). Die Zustandsdaten 132 der lokalen Vorrichtungen können Daten umfassen, die von lokalen Vorrichtungen (104-0 bis -n) während ihres Betriebs ausgegeben werden. Dadurch kann die Gateway-Vorrichtung 102 mit Bezug auf Zugriffe von dem Netzwerk 106 einen einzelnen logischen Punkt darstellen, der Zustandsdaten für alle lokalen Vorrichtungen (104-0 bis -n) umfasst.
  • Die lokalen Vorrichtungen (104-0 bis -n) können Vorrichtungen sein, die an einem gleichen allgemeinen Standort eingesetzt werden. In einigen Ausführungsformen können die lokalen Vorrichtungen (104-0 bis -n) drahtlose Sendeempfänger mit relativ niedriger Leistung aufweisen. In einigen Ausführungsformen können die lokalen Vorrichtungen (104-0 bis -n) IoT(Internet-of-Things)-Vorrichtungen sein, die verglichen mit Personal Computern, Mobiltelefonen oder Serversystemen relativ begrenzte Benutzerschnittstellen und/oder Rechenleistungen aufweisen. Lokale Vorrichtungen (104-0 bis -n) können jeweils ihr eigenes Zertifikat (als 122 gezeigt), ihre eigenen Zustandsdaten (als 132-0 gezeigt) und Benutzerinformationen 130 speichern. Zertifikate 122 können durch lokale Vorrichtungen (104-0 bis -n) erzeugt werden, indem diese über eine sichere Verbindung mit der Gateway-Vorrichtung 102, die als eine Vermittlungsstelle fungiert, mit einem Server 108 für lokale Vorrichtungen kommunizieren. Dies steht im Gegensatz zu herkömmlichen Ansätzen, bei denen eine lokale Vorrichtung (104-0 bis -n) direkt mit einem Server 108 für lokale Vorrichtungen kommunizieren kann (z. B. über den Zugangspunkt 120 oder einen anderen Zugangspunkt). Benutzerinformationen 124 können durch das Kommunizieren mit der Gateway-Vorrichtung 102 erzeugt werden. Dies steht im Gegensatz zu herkömmlichen Ansätzen, bei denen eine lokale Vorrichtung (104-0 bis -n) direkt mit einer Benutzervorrichtung kommuniziert, um Benutzerinformationen herzustellen und zu speichern.
  • Immer noch mit Bezug auf 1A kann die Gateway-Vorrichtung 102 als Proxy für die lokalen Vorrichtungen (104-0 bis -n) dienen, damit diese auf das Netzwerk 106 zugreifen können. In einigen Ausführungsformen kann das Netzwerk 106 das Internet umfassen, in anderen Ausführungsformen kann das Netzwerk 106 hingegen ein kleineres Netzwerk, umfassend ein LAN oder ein begrenztes WAN, sein. Daher kann die Gateway-Vorrichtung 102 als ein gemeinsamer Zugangspunkt für die lokalen Vorrichtungen (104-0 bis -n) dienen, damit diese auf das Netzwerk 106 zugreifen können. In der gezeigten Ausführungsform kann die Gateway-Vorrichtung 102 mit einem Gateway(GW)-Server 110 und einem oder mehreren Servern 108 für lokale Vorrichtungen in Kommunikation stehen. Die lokalen Vorrichtungen (104-0 bis -n) können auch mit dem Gateway-Server 110 und dem Server 108 für lokale Vorrichtungen in Kommunikation stehen, wobei die Gateway-Vorrichtung 102 aber als Proxy fungiert.
  • Ein Gateway-Server 110 kann mit der Gateway-Vorrichtung 102 assoziiert sein und fähig sein, eine Gateway-Vorrichtung für einen Benutzer sowie für lokale Vorrichtungen (104-0 bis -n) zu authentifizieren. Ein Gateway-Server 110 kann über einen Kommunikationspfad 116 Zugriff auf das Netzwerk 106 haben.
  • Ein Server 108 für lokale Vorrichtungen kann mit einer oder mehreren lokalen Vorrichtungen (104-0 bis -n) assoziiert sein und fähig sein, eine lokale Vorrichtung für mindestens eine Gateway-Vorrichtung 102 zu authentifizieren. Ein Server 108 für lokale Vorrichtungen kann über einen Kommunikationspfad 106 Zugriff auf das Netzwerk 106 haben. Es versteht sich, dass es für verschiedene unterschiedliche Typen oder Marken von lokalen Vorrichtungen zahlreiche Server 108 für lokale Vorrichtungen geben kann.
  • 1B ist ein Diagramm, das Zustandsdaten für ein herkömmliches loT-System 101 zeigt. Mit Bezug auf das Internet 106' erscheinen die loT-Vorrichtungen 104-0' bis -n' als separate Vorrichtungen, die jeweils ihre eigenen Zustandsdaten 132-0' bis 132-n' umfassen.
  • 1C ist ein Diagramm, das Zustandsdaten für ein System 100 gemäß einer Ausführungsform zeigt. Mit Bezug auf ein Netzwerk 106 stellt die Gateway-Vorrichtung 102 eine einzelne Vorrichtung mit den Zustandsdaten 132 dar, die die Zustandsdaten 132-0 bis 132-n für alle aggregierten lokalen Vorrichtungen umfassen.
  • Mit Bezug auf 2 ist ein System 200 gemäß einer anderen Ausführungsform in einem Blockdiagramm gezeigt. Ein System 200 kann eine bestimmte Implementierung des in 1A gezeigten Systems sein. Das System 200 kann eine Gateway-Vorrichtung 202 umfassen, die sich über einen Zugangspunkt (AP) 220 mit einem Netzwerk 206 verbinden kann. Das Netzwerk 206 kann es der Gateway-Vorrichtung 202 ermöglichen, auf einen oder mehrere Server 208 für lokale Vorrichtungen, Gateway-Server 210 oder Benutzervorrichtungen 242 zuzugreifen. In einigen Ausführungsformen kann das Netzwerk 206 das Internet umfassen, in anderen Ausführungsformen kann das Netzwerk 206 hingegen ein kleineres Netzwerk, umfassend ein LAN oder ein begrenztes WAN, sein. In der gezeigten Ausführungsform kann die Gateway-Vorrichtung 202 IPv4-Konnektivität bereitstellen.
  • In der gezeigten Ausführungsform kann die Gateway-Vorrichtung 202 ein loT-Gateway sein, das eine Haupt-CPU (Central Processing Unit, zentrale Verarbeitungseinheit) 234, eine interne drahtlose Schnittstelle (IF, Interface) 236 und eine externe Kommunikationsschnittstelle 238 umfasst. Eine Haupt-CPU 234 kann Funktionen eines loT-Cloud-Servers (z. B. MQTT, loT-Schattendienst), authentifizierungsbezogene Funktionen (z. B. eingebettete Zertifikatprotokolle) und beliebige andere geeignete Managementfunktionen für loT-Vorrichtungen ausführen. Jede lokale (z. B. loT-) Vorrichtung (nicht gezeigt) kann einen Namen aufweisen, der für einen Schattendienst bei der Gateway-Vorrichtung 202 registriert ist. Zusätzlich kann die Haupt-CPU 234 eine Netzwerkadressübersetzung (NAT, Network Address Translation) 234-1 bereitstellen, die es der Gateway-Vorrichtung 202 ermöglichen kann, mehrere lokale (z. B. loT-) Vorrichtungen zu aggregieren und als Proxy für solche Vorrichtungen zu dienen. In der gezeigten Ausführungsform kann die NAT 234-1 eine IPv4-zu-IPv4-NAT sein.
  • Die interne drahtloseSchnittstelle 236 kann es der Gateway-Vorrichtung 202 ermöglichen, sich mit lokalen Vorrichtungen und möglicherweise den Benutzervorrichtungen 242 zu verbinden. In Zusammenhang mit der Haupt-CPU 234 kann die interne drahtloseSchnittstelle 236 den Zugriff gemäß mindestens einem Drahtloskommunikationsprotokoll 236-0 ermöglichen, was in der gezeigten Ausführungsform gemäß den IEEE 802.11-Spezifikationen (z. B. Wi-Fi) sein kann. Daher kann die Gateway-Vorrichtung 202 als ein Zugangspunkt (z. B. Wi-Fi-AP) mit Verbindungsschichtverschlüsselung für beliebige lokale Vorrichtungen, die gemäß dem Protokoll arbeiten, dienen. Ferner kann die Gateway-Vorrichtung 202 Folgendes ermöglichen: eine lokale Peer-to-Peer-Verbindung (z. B. Wi-Fi Aware (NAN), Wi-Fi Direct (P2P)) mit einer Benutzervorrichtung 242, um es der Gateway-Vorrichtung 202 zu ermöglichen, initialisiert zu werden, sowie eine lokale Peer-to-Peer-Verbindung mit lokalen Vorrichtungen, um die Initialisierung der lokalen Vorrichtungen zu ermöglichen. In der gezeigten ganz bestimmten Ausführungsform kann die Haupt-CPU 234 in Kombination mit der drahtlosenSchnittstelle 236 einen Server (z. B. einen DHCPv4-Server) bilden, der private Netzwerkadressen (z. B. IPv4-Adressen) für lokale Vorrichtungen und Benutzervorrichtungen 242, die gemäß dem Protokoll arbeiten, ausstellen kann. Zusätzlich kann die Haupt-CPU 234 in Kombination mit der drahtlosenSchnittstelle 236 einen Server (z. B. einen HTTPS-Server) für loT-Protokollaustausche mit lokalen Vorrichtungen und/oder Benutzervorrichtungen oder zur Konfiguration und/oder zur Benutzersteuerung der lokalen Vorrichtungen betreiben.
  • Optional kann die interne drahtloseSchnittstelle 236 zusätzliche Protokolle oder Standards unterstützen. In der gezeigten Ausführungsform kann die Haupt-CPU 234 in Kombination mit der drahtlosenSchnittstelle 236 eine BT-/BLEschnittstelle 236-1 bereitstellen. In der gezeigten Ausführungsform kann die BT-/BLEschnittstelle 236-1 als ein Server (HTTPS-Server) für alle lokalen Vorrichtungen, die als BT-/BLE-Vorrichtungen verbunden sind, arbeiten. Wie in dem Fall von lokalen Wi-Fi-Vorrichtungen kann jede lokale BT-/BLE-Vorrichtung einen Namen aufweisen, der für einen Schattendienst bei der Gateway-Vorrichtung 202 registriert ist. Gemäß einer Ausführungsform müssen eine BT-/BLEschnittstelle 236-1 und entsprechende lokale Vorrichtungen nicht notwendigerweise mit einem kompletten IP-Stack arbeiten. Der BT-/BLE-Server kann direkt auf eine serielle BT-/BLE-Anbindung aufgesetzt implementiert sein (z. B. HTTP-Nachrichten über TLS-Records über serielle Anbindung). Dies kann es lokalen Vorrichtungen, die mit sehr einfachen BT-/BLE-ASICs (Application Specific Integrated Circuits, anwendungsspezifische integrierte Schaltungen) ausgestattet sind, ermöglichen, durch die Gateway-Vorrichtung 202 aggregiert zu werden. Eine BT-/BLEschnittstelle 236-1 kann auch als ein BLE-Dienstanbieter (Advertiser) arbeiten, um lokalen BLE-Vorrichtungen zu signalisieren, dass sie zu dem System, das durch die Gateway-Vorrichtung 202 gelenkt wird, hinzugefügt werden können.
  • In der gezeigten Ausführungsform kann die Haupt-CPU 234 in Kombination mit der drahtlosenSchnittstelle 236 auch eineSchnittstelle 236-2 vom Typ ZigBee bereitstellen. EineSchnittstelle 236-2 vom Typ ZigBee kann als ein TrustCenter/Koordinator/Server für ein durch lokale ZigBee-Vorrichtungen gebildetes ZigBee-Ad-hoc-Netzwerk arbeiten. Wie in dem Fall von lokalen Wi-Fi-Vorrichtungen kann jede lokale Zigbee-Vorrichtung einen Namen aufweisen, der für einen Schattendienst bei der Gateway-Vorrichtung 202 registriert ist. In der gezeigten bestimmten Ausführungsform kann dieSchnittstelle 236-2 vom Typ ZigBee ein IPv6-Knoten in dem ZigBee-Ad-hoc-Netzwerk sein. DieSchnittstelle 236-2 vom Typ ZigBee kann einen Server (z. B. einen HTTPS-Server) für loT-Protokollaustausche mit lokalen ZigBee-Vorrichtungen in dem ZigBee-Ad-hoc-Netzwerk betreiben.
  • Eine externe Kommunikationsschnittstelle 238 kann Konnektivität mit dem Netzwerk 206 (z. B. dem Internet, einem LAN oder einem begrenzten WAN) ermöglichen. In der gezeigten Ausführungsform kann die externe Kommunikationsschnittstelle 238 eine drahtlose Station sein, die einen DHCPv4-Client betreibt, um Konnektivität von dem Zugangspunkt 220 zu erlangen. Sie kann einen HTTPS-Client für loT-Protokollaustausche mit einem Server (z. B. 208, 210) umfassen.
  • Während in dem System 200 eine Benutzervorrichtung 242 über die interne drahtloseSchnittstelle 236 direkt mit der Gateway-Vorrichtung 202 kommunizieren kann, kann eine Benutzervorrichtung 242 auch über das Netzwerk 206 mit der Gateway-Vorrichtung 202 kommunizieren (über den Zugangspunkt 220).
  • Mit Bezug auf 3 ist ein System 300 gemäß einer anderen Ausführungsform in einem Blockdiagramm gezeigt. Ein System 300 kann eine bestimmte Implementierung des in 1A gezeigten Systems sein. 3 zeigt Elemente wie die in 2, umfassend eine Gateway-Vorrichtung 302, ein Netzwerk 306, einen Zugangspunkt (AP) 320, Server 308 für lokale Vorrichtungen, Gateway-Server 310 und Benutzervorrichtungen 342. In der gezeigten Ausführungsform stellt die Gateway-Vorrichtung 302 IPv6-Konnektivität bereit.
  • Ein System 300 kann auf die gleiche allgemeine Art und Weise wie das in 2 gezeigte arbeiten, kann aber die folgenden Unterschiede umfassen: Ein Zugangspunkt 320 kann ein IPv6-Server sein. Ferner kann die Gateway-Vorrichtung 302 als ein Router 334-1 (z. B. ein IPv6-IPv6-Router) arbeiten, da Netzwerkübersetzung nicht erforderlich sein muss. In der gezeigten Ausführungsform kann die interne drahtloseSchnittstelle 336 in Zusammenhang mit der Haupt-CPU 334 einen Router (z. B. einen IPv6-Router) bilden. Optional kann die Haupt-CPU 334 in Kombination mit der drahtlosenSchnittstelle 336 eine BT-/ BLEschnittstelle 336-1 und eineSchnittstelle 336-2 vom Typ ZigBee bereitstellen, wie in dem Fall aus 2.
  • 4 ist ein Blockdiagramm einer Gateway-Vorrichtung 402 gemäß einer Ausführungsform. Eine Gateway-Vorrichtung 402 kann in einer beliebigen der verschiedenen, hierin offenbarten Systemausführungsformen enthalten sein. Eine Gateway-Vorrichtung 402 kann eine interne Kommunikationsschnittstelle 446, eine externeSchnittstelle 448, ein Prozessorsystem 444 und ein Speichersystem 428 umfassen. Eine interne Kommunikationsschnittstelle 446 kann eine drahtlose Schnittstelle zum Kommunizieren mit lokalen Vorrichtungen sein und kann in Form von einer beliebigen der hierin beschriebenen oder Äquivalenten davon auftreten. Die externeSchnittstelle 448 kann eine Schnittstelle zum Kommunizieren mit einem größeren Netzwerk (z. B. dem Internet, einem LAN oder einem begrenzten WAN) sein, die Zugriff auf Server, die einen mit der Gateway-Vorrichtung 402 assoziierten Server sowie mit verschiedenen lokalen Vorrichtungen assoziierte Server umfassen, bereitstellt. Die externeSchnittstelle 448 kann eine drahtgebundene oder drahtloseSchnittstelle sein und kann in Form von einer beliebigen der hierin beschriebenen oder Äquivalenten davon auftreten.
  • Das Prozessorsystem 444 kann einen oder mehrere Prozessoren umfassen, die verschiedene Funktionen der Gateway-Vorrichtung 402 bereitstellen können. Das Prozessorsystem 444 kann vorgegebene Anweisungen, die in einem Speichersystem 428 gespeichert sind, ausführen, wenn solche Anweisungen in einen flüchtigen Speicher geladen wurden oder in einem nichtflüchtigen Speicher gespeichert sind.
  • Das Speichersystem 428 kann eine nichtflüchtige Speichereinheit 428-0, ein Protokoll zur Bescheinigung eines Gateways durch drei Parteien (3P) 452-0, einen sicheren Speichereinheitsbereich 428-2, Zustandsdaten 432 und optional eine flüchtige Speichereinheit 428-1 umfassen. Die nichtflüchtige Speichereinheit 428-0 kann eine Firmware 450, einen sicheren Speichereinheitsbereich 428-2 und Zustandsdaten 432 umfassen. In der gezeigten Ausführungsform kann das 3P-Bescheinigungsprotokoll 452-0 Teil der Firmware 450 sein. Die Firmware 450 kann Anweisungen zur Ausführung durch das Prozessorsystem 444 umfassen, um verschiedene Funktionen der Gateway-Vorrichtung 402 zu ermöglichen. Die Firmware 450 kann von dem nichtflüchtigen Speicher 428-0 in den flüchtigen Speicher 428-1 geladen werden oder es kann direkt von dem nichtflüchtigen Speicher 428-0 aus auf sie zugegriffen werden.
  • Ein 3P-Bescheinigungsprotokoll 452-0 kann es einer Gateway-Vorrichtung 402 ermöglichen, eine sichere Verbindung mit einem Gateway-Server zu erstellen, indem eine Benutzervorrichtung, die eine Verbindung mit einem Netzwerk aufweist, als eine Drittpartei-Vermittlungsstelle verwendet wird. Eine solche sichere Verbindung kann verwendet werden, um die Gateway-Vorrichtung 402 gegenüber dem Gateway-Server und der Benutzervorrichtung zu authentifizieren. Verschiedene zusätzliche Beispiele eines solchen 3P-Bescheinigungsprotokolls sind hierin genauer beschrieben.
  • Der sichere Speichereinheitsbereich 428-2 kann Speichereinheitsbereiche umfassen, auf die ohne das Abschließen eines oder mehrerer Sicherheitsprotokolle und/oder -operationen nicht zugegriffen werden kann. In einigen Ausführungsformen kann der sichere Speichereinheitsbereich 428-2 Identifikations- und Verschlüsselungsdaten für die Gateway-Vorrichtung 402 speichern. In einer Ausführungsform kann der sichere Speichereinheitsbereich 428-2 eine eindeutige Vorrichtungsidentifikation (ID) und einen eindeutigen privaten Verschlüsselungsschlüssel für die Gateway-Vorrichtung 402 speichern. Die Zustandsdaten 432 können durch die Gateway-Vorrichtung 402 bereitgestellt werden, um auf ihre Operationen hinzuweisen, und können in einigen Ausführungsformen auch Zustandsdaten für lokale Vorrichtungen, die durch die Gateway-Vorrichtung 402 aggregiert sind, umfassen.
  • 5 ist ein Blockdiagramm einer lokalen Vorrichtung 504 gemäß einer Ausführungsform. Eine lokale Vorrichtung 504 kann eine Kommunikationsschnittstelle 554, ein Prozessorsystem 544, ein Speichersystem 528 und individuelle Schaltungen, Sensoren oder andere Merkmale 556 umfassen. Eine Kommunikationsschnittstelle 554 kann eine drahtlose Schnittstelle zum Kommunizieren mit anderen Vorrichtungen sein und kann in Form von einer beliebigen der hierin beschriebenen oder Äquivalenten davon auftreten. Die Kommunikationsschnittstelle 554 kann es einer lokalen Vorrichtung ermöglichen, mit einer Gateway-Vorrichtung zu kommunizieren, und kann in bestimmten Ausführungsformen Peer-to-Peer-Verbindungen und/oder Discovery-Protokolle zum Erkennen anderer Vorrichtungen und/oder zum Bekanntgeben ihres Vorhandenseins ermöglichen.
  • Das Prozessorsystem 544 kann einen oder mehrere Prozessoren umfassen, die verschiedene Funktionen der lokalen Vorrichtung 504 bereitstellen können. Das Prozessorsystem 544 kann vorgegebene Anweisungen, die in einem Speichersystem 528 gespeichert sind, ausführen, wenn solche Anweisungen in einen flüchtigen Speicher geladen wurden oder in einem nichtflüchtigen Speicher gespeichert sind.
  • Das Speichersystem 528 kann eine nichtflüchtige Speichereinheit 528-0, ein Protokoll zur Bescheinigung einer lokalen Vorrichtung durch drei Parteien (3P) 552-1, einen sicheren Speichereinheitsbereich 528-2, Zustandsdaten 532-1 und optional eine flüchtige Speichereinheit 528-1 umfassen. Die nichtflüchtige Speichereinheit 528-0 kann eine Firmware 550, einen sicheren Speichereinheitsbereich 528-2 und Zustandsdaten 532-1 umfassen. In der gezeigten Ausführungsform kann die Firmware 550 das Protokoll zur 3P-Bescheinigung einer lokalen Vorrichtung 552-1 umfassen. Die Firmware 550 kann auch Anweisungen zur Ausführung durch das Prozessorsystem 544 umfassen, um verschiedene Funktionen der lokalen Vorrichtung 504 zu ermöglichen. Die Firmware 550 kann von dem nichtflüchtigen Speicher 528-0 in den flüchtigen Speicher 528-1 geladen werden oder es kann direkt von dem nichtflüchtigen Speicher 528-0 aus auf sie zugegriffen werden.
  • Ein Protokoll zur 3P-Bescheinigung einer lokalen Vorrichtung 552-1 kann es einer lokalen Vorrichtung 504 ermöglichen, unter Verwendung einer Gateway-Vorrichtung als Drittpartei eine sichere Verbindung mit einem Server für lokale Vorrichtungen zu erstellen. Eine solche sichere Verbindung kann verwendet werden, um die Gateway-Vorrichtung für die lokale Vorrichtung zu authentifizieren und die lokale Vorrichtung 504 für den Gateway-Server zu authentifizieren. Verschiedene zusätzliche Beispiele eines solchen Protokolls zur 3P-Bescheinigung einer lokalen Vorrichtung sind hierin genauer beschrieben.
  • Der sichere Speichereinheitsbereich 528-2 kann Speichereinheitsbereiche wie die für 4 beschriebenen umfassen. In einigen Ausführungsformen kann der sichere Speichereinheitsbereich 528-2 Identifikations- und Verschlüsselungsdaten für die lokale Vorrichtung 504 speichern. In einer Ausführungsform kann der sichere Speichereinheitsbereich 528-2 eine eindeutige Vorrichtungs-ID und einen eindeutigen privaten Verschlüsselungsschlüssel für die lokale Vorrichtung 504 speichern. Die Zustandsdaten 532-1 können durch die lokale Vorrichtung 504 erzeugt werden, um auf ihre beabsichtigten Funktionen hinzuweisen. Die Zustandsdaten 532-1 können einer Gateway-Vorrichtung bereitgestellt werden (z. B. HTTP POST) oder können von einer Gateway-Vorrichtung angefordert werden (z. B. HTTP GET).
  • Während verschiedene Verfahren anhand der Beschreibung hierin gezeigter Systeme und Vorrichtungen verständlich sind, werden nun mit Bezug auf eine Anzahl von Ablaufdiagrammen bestimmte Verfahren beschrieben.
  • 6 zeigt ein Verfahren 662 gemäß einer Ausführungsform. Das Verfahren 662 kann die Inbetriebnahme einer Gateway-Vorrichtung zeigen, bei der eine Gateway-Vorrichtung initialisiert und authentifiziert wird, was es ermöglicht, sie als eine vertrauenswürdige Vorrichtung in einem System hinzuzufügen. Ein Verfahren 662 kann umfassen, dass eine Benutzervorrichtung eine Gateway-Vorrichtung erkennt (Aktion 662-0). Eine solche Aktion kann umfassen, dass eine Gateway-Vorrichtung aktiviert wird und dann gemäß einem beliebigen geeigneten Erkennungsprotokoll durch eine Benutzervorrichtung erfasst wird. In einigen Ausführungsformen kann eine solche Aktion umfassen, dass ein Benutzer die Gateway-Vorrichtung physisch aktiviert (z. B. eine Taste drückt), um es ihr zu ermöglichen, ihr Vorhandensein zu übertragen und/oder ein Initialisierungsprotokoll zu beginnen. Das Erkennen einer Gateway-Vorrichtung durch eine Benutzervorrichtung kann jedoch ein beliebiges anderes geeignetes Verfahren umfassen, umfassend das Eingeben einer vorgegebenen Netzwerkadresse in eine Anwendung, die auf der Benutzervorrichtung läuft.
  • Eine Benutzervorrichtung kann eine beliebige geeignete Rechenvorrichtung umfassen, die verwendet wird, um ein System (z. B. ein eingesetztes loT-Netzwerk) einzurichten, umfassend, jedoch nicht begrenzt auf: einen Personal Computer (z. B. Desktop, Laptop, 2-in-1-Gerät, Tablet) oder eine tragbare Rechenvorrichtung (z. B. Smartphone, PDA), um nur einige von vielen möglichen Beispielen zu nennen.
  • Eine Benutzervorrichtung kann eine sichere Verbindung mit einem Gateway-Server herstellen (Aktion 662-2). Eine solche Aktion kann umfassen, dass eine Benutzervorrichtung ein Programm startet, das einen Gateway-Server lokalisieren und sich mit ihm verbinden kann. In einigen Ausführungsformen kann eine solche Aktion umfassen, dass eine Benutzervorrichtung eine Netzwerkadresse (z. B. eine private IP-Adresse oder einen URL) für den Gateway-Server empfängt und einen Web-Browser betreibt, um den Gateway-Server zu kontaktieren.
  • Eine Gateway-Vorrichtung kann eine Mitteilung empfangen, dass die Benutzervorrichtung eine sichere Verbindung mit einem Gateway-Server aufweist (Aktion 662-4). Eine solche Aktion kann umfassen, dass die Gateway-Vorrichtung über eine interne Kommunikationsschnittstelle eine Nachricht von der Benutzervorrichtung empfängt.
  • Als Reaktion auf das Empfangen einer Mitteilung über eine Verbindung mit einem Gateway-Server kann eine Gateway-Vorrichtung ein Gateway-3P-Bescheinigungsprotokoll ausführen. Dies kann das Einrichten einer sicheren Verbindung mit dem Gateway-Server umfassen, wobei die Benutzervorrichtung als eine Vermittlungsstelle fungiert (Aktion 662-6). Eine solche Aktion kann Ende-zu-Ende-Sicherheit zwischen der Gateway-Vorrichtung und dem Gateway-Server bereitstellen.
  • In bestimmten Ausführungsformen kann die Aktion 662-4 umfassen, dass eine Benutzervorrichtung an einem bestimmten Endpunkt (z. B. Socket) eine Verbindung mit dem Gateway-Server herstellt. Sobald das Gateway-3P-Bescheinigungsprotokoll startet, kann die Aktion 662-6 eine Verbindung mit einem unterschiedlichen Endpunkt (z. B. einem Endpunkt, auf den zur Authentifizierung eines Gateways oder möglicherweise anderer Vorrichtungen hingewiesen wird oder der hierfür zweckbestimmt ist) erstellen.
  • Sobald Ende-zu-Ende-Sicherheit mit einem Gateway-Server hergestellt ist, kann sich eine Gateway-Vorrichtung gegenüber dem Gateway-Server authentifizieren (wobei die Benutzervorrichtung immer noch als eine Vermittlungsstelle arbeitet) (Aktion 662-8). Eine solche Aktion kann beliebige geeignete Authentifizierungsverfahren umfassen und bestimmte Authentifizierungsverfahren sind hierin genauer beschrieben. Wenn die Authentifizierung abgeschlossen ist, kann eine Gateway-Vorrichtung einen Nachweis von einem Gateway-Server empfangen (Aktion 662-10). Es versteht sich, dass „Nachweise“, wie sie hierin verwendet werden, Informationen beschreiben sollen, die den Gateway-Server authentifizieren, und dass sie eine Vorrichtungs-ID, kryptographische Schlüssel oder ein vollständiges digitales Zertifikat umfassen können.
  • In der Ausführungsform aus 6 kann auch eine Benutzervorrichtung einen Nachweis für die Gateway-Vorrichtung von dem Gateway-Server empfangen (Aktion 662-12). Auf diese Weise wird die Gateway-Vorrichtung gegenüber der Benutzervorrichtung authentifiziert, sodass der Benutzer weiß, dass die Gateway-Vorrichtung eine vertrauenswürdige Vorrichtung ist und zu einem System hinzugefügt werden kann.
  • Sobald die Gateway-Vorrichtung authentifiziert ist, kann sie sich bei der Benutzervorrichtung registrieren (Aktion 662-14). Eine solche Aktion kann das Erzeugen von Benutzerinformationen für das Zugreifen auf die Gateway-Vorrichtung sowie beliebige lokale Vorrichtungen, die mit der Gateway-Vorrichtung verbunden sind, und für das Konfigurieren und Steuern dieser umfassen. In einigen Ausführungsformen können diese einen Benutzernamen, ein Passwort und beliebige andere geeignete Sicherheitsverfahren oder -protokolle umfassen. Solche Benutzerinformationen können dann in einem sicheren Speicher der Gateway-Vorrichtung gespeichert werden (Aktion 662-16).
  • 7 zeigt ein Verfahren 760 gemäß einer anderen Ausführungsform. Das Verfahren 760 kann die Inbetriebnahme einer lokalen Vorrichtung mit einer Gateway-Vorrichtung zeigen, die es der lokalen Vorrichtung ermöglicht, zu einem System hinzugefügt zu werden und mit der Gateway-Vorrichtung mit anderen lokalen Vorrichtungen aggregiert zu werden. Ein Verfahren 760 kann umfassen, dass eine Gateway-Vorrichtung eine lokale Vorrichtung erkennt (Aktion 760-0). Eine solche Aktion kann umfassen, dass eine Gateway-Vorrichtung eine lokale Vorrichtung gemäß einem beliebigen geeigneten Erkennungsprotokoll erfasst. In einigen Ausführungsformen kann eine solche Aktion umfassen, dass ein Benutzer die lokale Vorrichtung physisch aktiviert (z. B. eine Taste drückt), um es ihr zu ermöglichen, ihr Vorhandensein zu übertragen und/oder ein Initialisierungsprotokoll zu beginnen. Eine solche Aktion könnte auch umfassen, dass eine Benutzervorrichtung eine Erkennungsprozedur in der Gateway-Vorrichtung initialisiert.
  • Eine Gateway-Vorrichtung kann dann bestimmen, ob sie bereits einen Nachweis für die lokale Vorrichtung umfasst (Aktion 760-2). Eine solche Aktion kann umfassen, dass eine Gateway-Vorrichtung empfangene Daten von einer lokalen Vorrichtung mit bereits gespeicherten Sicherheitsdaten vergleicht. Beispielsweise kann eine Gateway-Vorrichtung eine andere lokale Vorrichtung desselben Typs oder desselben Herstellers bereits authentifiziert haben oder kann sie eine zuvor authentifizierte Vorrichtung erneut mit dem System verbinden. Wenn die Gateway-Vorrichtung bereits Nachweisinformationen für die lokale Vorrichtung speichert (J von 760-2 aus), kann die lokale Vorrichtung mit solchen Nachweisinformationen authentifiziert (oder erneut authentifiziert) werden (Aktion 760-4). Wenn eine Gateway-Vorrichtung Nachweisinformationen für die lokale Vorrichtung nicht bereits speichert, kann eine Gateway-Vorrichtung eine sichere Verbindung mit einem Gateway-Server herstellen (Aktion 760-6).
  • Eine lokale Vorrichtung kann eine Mitteilung empfangen, dass die Gateway-Vorrichtung eine sichere Verbindung mit einem Gateway-Server aufweist (760-7). Eine solche Aktion kann umfassen, dass die lokale Vorrichtung eine Nachricht von einer internen Kommunikationsschnittstelle der Gateway-Vorrichtung empfängt. Als Reaktion auf das Empfangen einer Mitteilung über eine Verbindung mit einem Gateway-Server kann eine lokale Vorrichtung ein 3P-Bescheinigungsprotokoll für lokale Vorrichtungen ausführen. Dies kann das Einrichten einer sicheren Verbindung mit dem Gateway-Server umfassen, wobei die Gateway-Vorrichtung als eine Vermittlungsstelle fungiert (Aktion 760-8). Eine solche Aktion kann Ende-zu-Ende-Sicherheit zwischen der lokalen Vorrichtung und dem Gateway-Server bereitstellen.
  • In bestimmten Ausführungsformen kann die Aktion 760-6 umfassen, dass eine Gateway-Vorrichtung an einem bestimmten Endpunkt (z. B. Socket) eine Verbindung mit dem Gateway-Server herstellt. Sobald das 3P-Bescheinigungsprotokoll für lokale Vorrichtungen startet, kann die Aktion 760-8 eine Verbindung mit einem unterschiedlichen Endpunkt (z. B. einem Endpunkt, auf den für eine Authentifizierung von Gateway-Vorrichtungen hingewiesen wird oder der hierfür zweckbestimmt ist) erstellen.
  • Sobald Ende-zu-Ende-Sicherheit mit einem Gateway-Server hergestellt ist, kann eine lokale Vorrichtung die Gateway-Vorrichtung und den Gateway-Server authentifizieren (Aktion 760-10). Eine solche Aktion kann beliebige geeignete Authentifizierungsverfahren umfassen und bestimmte Authentifizierungsverfahren sind hierin genauer beschrieben.
  • Sobald die Authentifizierung der Gateway-Vorrichtung hergestellt ist, kann die lokale Vorrichtung ein anderes 3P-Bescheinigungsprotokoll für lokale Vorrichtungen ausführen. Dies kann das Einrichten einer sicheren Verbindung mit einem Server für lokale Vorrichtungen umfassen, wobei die Gateway-Vorrichtung als eine Vermittlungsstelle fungiert (Aktion 760-12). Eine solche Aktion kann Ende-zu-Ende-Sicherheit zwischen der lokalen Vorrichtung und dem Server für lokale Vorrichtungen bereitstellen.
  • Sobald Ende-zu-Ende-Sicherheit mit einem Server für lokale Vorrichtungen hergestellt ist, kann sich eine lokale Vorrichtung gegenüber dem Server für lokale Vorrichtungen authentifizieren (Aktion 760-14). Eine solche Aktion kann beliebige geeignete Authentifizierungsverfahren umfassen und bestimmte Authentifizierungsverfahren sind hierin genauer beschrieben. Sobald die lokale Vorrichtung authentifiziert ist, kann eine Gateway-Vorrichtung einen Nachweis für die lokale Vorrichtung von einem Server für lokale Vorrichtungen empfangen (Aktion 760-16).
  • Eine lokale Vorrichtung kann sich bei der Gateway-Vorrichtung registrieren (Aktion 760-18). Eine solche Aktion kann das Empfangen von Benutzerinformationen für das Zugreifen auf die lokale Vorrichtung und für das Konfigurieren und Steuern dieser umfassen. Solche Benutzerinformationen können dann in einem sicheren Speicher der Gateway-Vorrichtung gespeichert werden (Aktion 760-20). Eine lokale Vorrichtung kann dann im Betrieb die GW-Vorrichtung als Netzwerk-Proxy (z. B. Internet-Proxy) verwenden (Aktion 760-22).
  • Nunmehr mit Bezug auf 8 ist ein anderes System 800 gemäß einer Ausführungsform in einem Blockdiagramm gezeigt. Das System 800 kann ein loT-System zum Aggregieren mehrerer loT-Vorrichtungen hinter einer Gateway-Vorrichtung sein, welche den loT-Vorrichtungen als Internet-Proxy dienen und für Server, die Daten von loT-Vorrichtungen empfangen oder von diesen anfordern, eine einzelne logische Entität darstellen kann. Das System 800 kann eine bestimmte Implementierung eines beliebigen der in den 1A, 2 oder 3 gezeigten Systeme sein.
  • Ein System 800 kann so konzipiert sein, dass es eine IoT-Vorrichtungssektion 864, eine Gateway-Sektion 866, eine WAN(Wide Area Network)-Sektion 868, eine Cloud-Server-Sektion 870 und eine Benutzerinteraktionssektion 872 umfasst. Eine loT-Sektion 864 kann eine Anzahl von loT-Vorrichtungen zur Aggregierung durch eine loT-Gateway-Vorrichtung umfassen. 8 zeigt vier unterschiedliche loT-Vorrichtungen 804-0 bis -3. Die loT-Vorrichtungen (804-0 bis -3) können gemäß verschiedenen unterschiedlichen Drahtlosprotokollen kommunizieren, wie etwa Wi-Fi, BT/BLE, ZigBee, um nur einige von vielen möglichen Beispielen zu nennen. Auf solch unterschiedliche Protokolle wird durch einen Buchstaben neben einer Antennendarstellung jedes loT-Vorrichtungssymbols hingewiesen. So können die loT-Vorrichtungen 804-0/1 gemäß dem Drahtlosprotokoll „a“ kommunizieren, kommuniziert die loT-Vorrichtung 804-2 gemäß dem Drahtlosprotokoll „b“ und kommuniziert die loT-Vorrichtung 804-3 gemäß dem Drahtlosprotokoll „c“. Ausführungsformen sind jedoch nicht darauf begrenzt, dass loT-Vorrichtungen drahtlose Verbindungen schaffen. Beispielsweise könnte die loT-Vorrichtung 804-1 fähig sein, eine physische Verbindung (drahtgebunden oder anderweitig) 813 mit einer anderen Vorrichtung aufzuweisen.
  • Eine Gateway-Sektion 866 kann eine Gateway-Vorrichtung 802 gemäß einer beliebigen der Ausführungsformen hierin oder Äquivalenten umfassen. Die Gateway-Vorrichtung 802 kann über eine interne Kommunikationsschnittstelle 812 eine drahtlose Verbindung mit loT-Vorrichtungen gemäß mehreren Drahtlosprotokollen aufweisen. In der gezeigten Ausführungsform kann die interne Kommunikationsschnittstelle 812 gemäß den Protokollen „a“, „b“ und „c“ kommunizieren und daher fähig sein, die loT-Vorrichtungen (804-0 bis -3), die mit unterschiedlichen Kommunikationsprotokollen arbeiten, zu aggregieren und ihnen als Netzwerk-Proxy zu dienen. In der gezeigten Ausführungsform kann die Gateway-Vorrichtung 802 eine Verbindung 814 mit der WAN-Sektion 868 aufweisen. Eine solche Verbindung 812 kann eine drahtlose Verbindung über eine externe Kommunikationsschnittstelle 848 oder eine drahtgebundene Verbindung sein.
  • Eine WAN-Sektion 868 kann einen Zugangspunkt 820 zum Verbinden mit einem Netzwerk 806 umfassen. Der Zugangspunkt 820 kann eine drahtgebundene oder drahtlose Verbindung mit der Gateway-Vorrichtung 802 und eine drahtgebundene oder drahtlose Verbindung mit dem Netzwerk 806 aufweisen. Das Netzwerk 806, das das Internet umfassen kann, kann eine sichere Maschine-zu-Maschine(M2M)-Kommunikation zwischen der Gateway-Vorrichtung 802 und Servern oder zwischen den loT-Vorrichtungen (804-0 bis -3) und Servern ermöglichen, wobei die Gateway-Vorrichtung 802 als eine Vermittlungsstelle fungiert.
  • Eine Cloud-Server-Sektion 870 kann einen oder mehrere Server, umfassend Gateway-Server 810 und loT-Vorrichtungsserver 808, umfassen. Solche Server 808/810 können beliebige von einer Datenverarbeitungssektion 810-0, einer Web-Server-Sektion 810-1 und einem M2M-Netzwerkmanager 810-2 umfassen. Eine Datenverarbeitungssektion 810-0 kann an Daten, die von loT-Vorrichtungen oder Gateway-Vorrichtungen empfangen werden, eine Datenverarbeitung ausführen. Der Web-Server 810-1 kann Anforderungen verarbeiten, die über das Netzwerk 806 empfangen werden, umfassend Anforderungen von den loT-Vorrichtungen (804-0 bis -3), der Gateway-Vorrichtung 802 oder Benutzervorrichtungen (842-0/1). Ein M2M-Netzwerkmanager 810-2 kann einen beliebigen geeigneten Dienst für das Verwalten von loT-Vorrichtungen und von Verbindungen mit loT-Vorrichtungen bereitstellen, umfassend, jedoch nicht begrenzt auf: Überwachen eines Zustands von loT-Vorrichtungen, einer Qualität der Verbindung mit loT-Vorrichtungen, Konfigurieren von loT-Vorrichtungen, Aktualisieren (z. B. der Firmware) von loT-Vorrichtungen oder Speichern von Konfigurationsdaten für loT-Vorrichtungen. Es versteht sich, dass, sobald die loT-Vorrichtungen (804-0 bis -3) durch die Gateway-Vorrichtung 802 aggregiert sind, diese den Servern 808/810 als eine große Vorrichtung erscheinen, die Zustandsdaten wie die in 1C gezeigten aufweist. Als nur ein Beispiel können Zustandsdaten für jede loT-Vorrichtung (804-0 bis -3) als ein Unterbaum auf oberster Ebene, der eine oder mehrere benannte Zustandsvariablen aufweisen kann, oder als Unterbäume auf tieferen Hierarchieebenen erscheinen. Die Server 808/810 können mit all diesen Zustandswerten umgehen, ohne zu wissen, dass sie separaten loT-Vorrichtungen hinter einer Gateway-Vorrichtung 802 entsprechen.
  • Eine Benutzerinteraktionssektion 872 kann das Netzwerk 806, eine oder mehrere Benutzervorrichtungen 842-0/1 und automatisierte Prozesse 874 umfassen. Das Netzwerk 806, das das Internet umfassen kann, kann sichere Verbindungen zu den Servern 808/810 und/oder der Gateway-Vorrichtung 802 gemäß verschiedenen vorgegebenen Protokollen (z. B. HTTPS) ermöglichen. Wie hierin angemerkt, kann eine Benutzervorrichtung eine beliebige geeignete Vorrichtung sein und kann in 8 einen Laptop-Computer 842-0 und ein Smartphone 842-1 umfassen. Die Benutzervorrichtungen 842-0/1 können auch fähig sein, über eine interne Kommunikationsschnittstelle 812 direkt mit der Gateway-Vorrichtung 802 zu kommunizieren, wenn sie sich nahe genug an der Gateway-Vorrichtung 802 befinden. Die Benutzervorrichtungen 802-0/1 können eine Anwendung zum Ermöglichen einer Authentifizierung der Gateway-Vorrichtung umfassen, die auch das Dienen als eine Vermittlungsstelle in einem Authentifizierungsprozess für die Gateway-Vorrichtung umfasst. Eine solche Anwendung kann auch das Konfigurieren der Gateway-Vorrichtung 802 und der loT-Vorrichtungen (804-0 bis -3) ermöglichen. Die automatisierten Prozesse 874 können Prozesse sein, die basierend auf Operationen der loT-Vorrichtungen (804-0 bis -3) ausgeführt werden. Automatisierte Prozesse können beispielsweise auf Daten, die von den loT-Vorrichtungen (804-0 bis -3) (über die Gateway-Vorrichtung 802) empfangen werden, reagieren und/oder die loT-Vorrichtungen (804-0 bis -3) aktivieren, damit diese bestimmte Operationen ausführen (wieder über die Gateway-Vorrichtung 802).
  • Nunmehr mit Bezug auf die 9A bis 9D ist ein Verfahren 962 zum Inbetriebnehmen einer Gateway-Vorrichtung gemäß einer Ausführungsform in einer Folge von Diagrammen gezeigt. Die 9A bis 9D zeigen Kommunikationen, die zwischen einer Gateway-Vorrichtung 902, einer Benutzervorrichtung 942 und einem Gateway-Server 910 auftreten können.
  • Mit Bezug auf 9A ist eine Gateway-Vorrichtung 902 anfänglich noch nicht in Betrieb genommen. Zum Ermöglichen eines Gateway-3P-Bescheinigungsprotokolls kann auf der Benutzervorrichtung 942 eine Anwendung installiert sein, wie weiter unten beschrieben. Es wird davon ausgegangen, dass ein Benutzer mit der Anwendung ein Benutzerkonto auf dem Gateway-Server 910 erstellt hat. Ein solches Benutzerkonto kann es einem Benutzer ermöglichen, eine Statusaktualisierung für die Gateway-Vorrichtung 902 zu abonnieren, sobald diese in Betrieb genommen ist.
  • Durch den Betrieb der Gateway-Vorrichtung, der Benutzervorrichtung oder beider kann eine Benutzervorrichtung 942 eine Gateway-Vorrichtung erkennen. Dann kann eine Verbindung zwischen der Benutzervorrichtung und der Gateway-Vorrichtung geschaffen werden. In der gezeigten Ausführungsform kann ein Benutzer die Gateway-Vorrichtung 902 ansteuern (z. B. durch Drücken einer physischen Taste oder durch Zurücksetzen der Gateway-Vorrichtung), damit diese ein Nahbereichsdrahtlosprotokoll (z. B. Wi-Fi Direct/P2P oder Wi-Fi Aware-NAN) starten kann. Die Gateway-Vorrichtung 902 kann daher als ein Nahbereichsdienstanbieter mit einer geringen Signalstärke auf einer internen Kommunikationsschnittstelle fungieren (und z. B. den Dienst „IoT-Gateway-Benutzerinitialisierung“ bereitstellen). Dies kann es einer Benutzervorrichtung ermöglichen, die Gateway-Vorrichtung zu finden und sich über die interne Kommunikationsschnittstelle der Gateway-Vorrichtung mit ihr zu verbinden 962-0. Eine solche Verbindung kann über eine offene oder eine PSK-basierte verschlüsselte Wi-Fi-Anbindung erfolgen. Eine Anwendung auf der Benutzervorrichtung 942 kann einen Gateway-Vorrichtungsbescheinigungsprozess 962-1 starten.
  • Die Benutzervorrichtung 942 kann ein DHCP laufen lassen, um eine private IP-Adresse von der internen Wi-Fi-Schnittstelle der Gateway-Vorrichtung zu bekommen. Dies kann umfassen, dass die Gateway-Vorrichtung 902 der Benutzervorrichtung einen URL für den Gateway-Server bereitstellt 962-2.
  • Die Benutzervorrichtung 942 kann eine Verbindung mit dem Gateway-Server 910 öffnen, die in der gezeigten Ausführungsform eine unsichere Socket-Verbindung mit dem Port sein kann, der dem Dienst „Gateway-Vorrichtung-Benutzerinitialisierung“ entspricht 962-3. Zu diesem Zeitpunkt kann keine gegenseitig authentifizierte TLS-Socket-Verbindung hergestellt werden, da die Gateway-Vorrichtung noch nicht konfiguriert ist. Eine Benutzervorrichtung kann ein Zertifikat des Gateway-Servers bestätigen 962-5. Wenn ein Zertifikat nicht gültig ist (Nein von 962-5 aus), kann ein Prozess enden 962-6. Wenn ein Zertifikat gültig ist, kann zwischen einer Benutzervorrichtung und einem Gateway-Server eine sichere Verbindung hergestellt werden 962-7/8. Nachdem die Socket-Verbindung zwischen der Benutzervorrichtung und dem Gateway-Server hergestellt ist, kann eine Benutzervorrichtung gegenüber der Gateway-Vorrichtung darauf hinweisen, dass eine solche Verbindung bereit ist 962-9.
  • Nach dem Empfangen der Benachrichtigung über die sichere Verbindung kann die Gateway-Vorrichtung ein 3P-Bescheinigungsprotokoll für die Gateway-Vorrichtung starten, indem sie einen Gateway-Server-URL und eine TLS-Verbindungsanforderung an die Benutzervorrichtung sendet, wobei sie erwartet, dass die Benutzervorrichtung ihre TLS-Nachrichten mit der Internetkonnektivität der Benutzervorrichtung an den Gateway-Server weiterleitet 962-10 bis -13. Eine Gateway-Vorrichtung 962-14 kann ein Zertifikat des Gateway-Servers und der Benutzervorrichtung validieren 962-14 und den Prozess stoppen (962-15), wenn nicht bestimmt werden kann, dass die Zertifikate gültig sind. Es sei angemerkt, dass die Verbindung zu diesem Zeitpunkt eine TLS-Verbindung sein kann, die Ende-zu-Ende-Sicherheit zwischen der Gateway-Vorrichtung und dem Gateway-Server bereitstellt.
  • Eine Benutzervorrichtung kann dann eine andere TLS-Socket-Verbindung mit dem Gateway-Server ermöglichen (diese TLS-Verbindung stellt Ende-zu-Ende-Sicherheit zwischen der Benutzervorrichtung und dem Gateway-Server bereit) und startet das Weiterleiten von TLS-Nachrichten zwischen dem Gateway-Server und der Gateway-Vorrichtung 962-16 bis -19.
  • Nunmehr mit Bezug auf 9B kann ein Verfahren 962 ferner umfassen, dass ein Gateway-Server die Firmware der Gateway-Vorrichtung validiert. Solche Aktionen können umfassen, dass eine Gateway-Vorrichtung eine Firmware-ID an den Gateway-Server sendet 962-20/21, der bestätigen kann, ob die Firmware-ID gültig ist 962-22. Wenn bestimmt wird, dass die Firmware nicht gültig ist (Nein von 962-22 aus), kann bestimmt werden, dass die Gateway-Vorrichtung ungültig ist 962-23, und der Prozess kann in dem Gateway-Server 962-24 und in der Benutzervorrichtung 962-25 stoppen.
  • Wenn bestimmt wird, dass die Firmware-ID gültig ist, kann ein Gateway-Server 962-26 gegenüber der Gateway-Vorrichtung auf bestimmte Abschnitte (z. B. Adressbereiche) der Firmware hinweisen 962-26/27. Eine Gateway-Vorrichtung kann an den angewiesenen Stellen vorgegebene Operationen an den Firmware-Werte ausführen. Die Gateway-Vorrichtung kann auch eine Vorrichtungs-ID und Verschlüsselungsdaten erzeugen. In bestimmten Ausführungsformen kann die Gateway-Vorrichtung eine vorgegebene Hash-Funktion an den Firmware-Werten ausführen und einen Generator echter Zufallszahlen verwenden, um eine Vorrichtungs-ID und einen öffentlichen/privaten Verschlüsselungsschlüssel zu erzeugen 962-28. Die gehashten Firmware-Werte, die Vorrichtungs-ID und der öffentliche Verschlüsselungsschlüssel können dann an den Gateway-Server übermittelt werden, wobei die Benutzervorrichtung als eine Vermittlungsstelle fungiert 962-29/30.
  • Basierend auf den empfangenen gehashten Firmware-Werten kann der Gateway-Server bestimmen, ob die Firmware gültig ist 962-31. Wenn bestimmt wird, dass die Firmware nicht gültig ist (Nein von 962-31 aus), kann bestimmt werden, dass die Gateway-Vorrichtung ungültig ist 962-23, und der Prozess kann in dem Gateway-Server 962-24 und in der Benutzervorrichtung 962-25 stoppen.
  • Wenn bestimmt wird, dass die Firmware gültig ist, kann die Gateway-Vorrichtung bestimmen, ob die empfangene Vorrichtungs-ID und der öffentliche Verschlüsselungsschlüssel ausreichend eindeutig sind 962-32. Wenn die Benutzer-ID oder der öffentliche Verschlüsselungsschlüssel nicht ausreichend eindeutig sind (Nein von 962-32 aus), kann der Gateway-Server die Gateway-Vorrichtung auffordern, neue Werte zu erzeugen 962-33/34. Die Gateway-Vorrichtung kann dann eine neue Vorrichtungs-ID und einen neuen öffentlichen/privaten Verschlüsselungsschlüssel erzeugen und die neue Vorrichtungs-ID und den neuen öffentlichen Verschlüsselungsschlüssel an den Gateway-Server senden 926-35/36. Dieser Prozess kann wiederholt werden, bis bestimmt wird, dass die Vorrichtungs-ID und der öffentliche Verschlüsselungsschlüssel ausreichend eindeutig sind.
  • Sobald bestimmt worden ist, dass die Vorrichtungs-ID und der öffentliche Verschlüsselungsschlüssel ausreichend eindeutig sind, kann die Gateway-Vorrichtung die Werte in einer Datenbank speichern 926-37. Der Gateway-Server übermittelt ein authentifiziertes Zertifikat an die Gateway-Vorrichtung 926-38/38a. Die Gateway-Vorrichtung kann ihre erzeugte Vorrichtungs-ID und ihr erzeugtes Paar aus einem öffentlichen und einem privaten Verschlüsselungsschlüssel in einem sicheren Speicher speichern 926-40. Das 3P-Bescheinigungsprotokoll für die Gateway-Vorrichtung kann dann enden.
  • Der Gateway-Server kann gegenüber der Benutzervorrichtung darauf hinweisen, dass die Firmware der Gateway-Vorrichtung gültig ist, und das Authentifizierungszertifikat des Gateways senden. Jetzt weiß die Benutzervorrichtung, dass die Gateway-Vorrichtung eine vertrauenswürdige Vorrichtung ist zu einem System hinzugefügt werden kann.
  • Nunmehr mit Bezug auf 9C kann eine Benutzervorrichtung basierend auf dem Zertifikat der Gateway-Vorrichtung eine sichere Verbindung (z. B. eine TLS-Verbindung) mit der Gateway-Vorrichtung öffnen. In der gezeigten Ausführungsform kann dies das Verbinden mit einem bestimmten HTTPS-Port der Gateway-Vorrichtung beinhalten 926-41 bis -45. In einem solchen Prozess kann eine Benutzervorrichtung bestimmen, ob das Zertifikat der Gateway-Vorrichtung noch gültig ist 962-43. Wenn bestimmt wird, dass das Zertifikat nicht gültig ist (Nein von 962-43 aus), kann der Prozess in der Benutzervorrichtung stoppen 962-25.
  • Ein Verfahren 962 kann dann zusätzliche Aktionen umfassen, um zu gewährleisten, dass der Gateway-Vorrichtung vertraut werden kann, indem ein Benutzer der Benutzervorrichtung einen durch die Gateway-Vorrichtung erzeugten Hinweis persönlich beobachtet. In 9C können solche Aktionen umfassen, dass ein Benutzer die Gateway-Vorrichtung auswählt, indem er eine Taste auf einer Web-Schnittstelle oder Anwendung der Benutzervorrichtung bedient 962-45 bis -47.
  • Nachdem der Benutzer die Gateway-Vorrichtung auf der Benutzervorrichtung ausgewählt hat 962-48, kann die Gateway-Vorrichtung einen vorgegebenen Hinweis erzeugen. In der gezeigten Ausführungsform kann eine solche Aktion umfassen, dass die Gateway-Vorrichtung ein Hinweissignal eine zufällige Anzahl von Malen oder nach einer zufälligen Verzögerung erzeugt 962-49. Ein solches Hinweissignal kann in Form eines visuellen Hinweises (z. B. Licht), eines auditiven Hinweises, eines fühlbaren Hinweises (z. B. Vibrieren) oder eines beliebigen anderen Hinweises, der durch einen Benutzer wahrnehmbar ist, auftreten. Eine Gateway-Vorrichtung kann dann eine Benutzereingabe anfordern, um zu überprüfen, dass der Hinweis durch den Benutzer beobachtet wurde 962-50.
  • Wenn der Benutzer keinen Hinweis von der Gateway-Vorrichtung erkennt (Nein von 962-51 aus), kann der Prozess in der Benutzervorrichtung stoppen 962-25. Wenn der Benutzer den Hinweis erkennt, kann der Benutzer an der Benutzervorrichtung eine Eingabe bereitstellen, die den Hinweis überprüfen kann. Eine solche Eingabe kann an die Gateway-Vorrichtung gesendet werden 962-52.
  • Wenn die Benutzereingabe nicht korrekt ist (Nein von 962-53 aus), kann der Prozess stoppen 962-15. Um Zufälle auszuschließen, können die beiden obigen Schritte mehrmals wiederholt werden.
  • Nunmehr mit Bezug auf 9D kann die Gateway-Vorrichtung, nachdem der Benutzer der Gateway-Vorrichtung eine korrekte Antwort bereitgestellt hat, die bestätigt, dass ein ordnungsgemäßer Hinweis erkannt wurde, bestimmen, ob sie zuvor durch einen Benutzer registriert (z. B. besessen) wurde 962-48. Wenn die Gateway-Vorrichtung zuvor registriert wurde (Ja von 962-48 aus), kann sie eine Benutzerauthentifizierung anfordern. In der gezeigten Ausführungsform kann eine solche Anforderung über eine Web-Schnittstelle erfolgen, die der Benutzervorrichtung angezeigt wird 962-49. Wenn der Benutzer keine ordnungsgemäßen Benutzerinformationen bereitstellen kann, kann die Gateway-Vorrichtung nicht konfiguriert werden und bleibt der Zugriff auf sie so lange unmöglich, bis eine ordnungsgemäße Authentifizierung bereitgestellt wird.
  • Wenn die Gateway-Vorrichtung zuvor nicht bei einem Benutzer registriert war, kann es die Gateway-Vorrichtung einem Benutzer gestatten, ein Konto zu erstellen, indem Kontoinformationen angefordert und empfangen werden 962-50/51. Empfangene Kontoinformationen können dann in einem sicheren Speicher der Gateway-Vorrichtung gespeichert werden 962-52. Nachdem die Benutzerkontoinformationen sicher in der Gateway-Vorrichtung gespeichert wurden, gestattet es die Gateway-Vorrichtung keinem anderen Benutzer, sie zu konfigurieren, bis das Benutzerkonto durch den rechtmäßigen Benutzer gelöscht wird (d. h. die Gateway-Vorrichtung kann nur durch den ursprünglichen Benutzer, der sie in Betrieb genommen hat, außer Betrieb genommen werden).
  • Nachdem die Gateway-Vorrichtung bei dem Benutzer registriert wurde, indem die Benutzerkontoinformationen in der Gateway-Vorrichtung gespeichert wurden, kann ein Benutzer damit fortfahren, die Gateway-Vorrichtung zu konfigurieren. In der gezeigten Ausführungsform können solche Aktionen über eine Web-Schnittstelle erfolgen 962-53/54. Die Gateway-Vorrichtung kann beliebige Konfigurationen vornehmen und dann dienstbereit sein 962-55. Die Gateway-Vorrichtung kann der Benutzervorrichtung auch signalisieren, dass sie bereit ist 962-56.
  • Die Gateway-Vorrichtung kann dann damit starten, loT-Protokolle mit dem Gateway-Server laufen zu lassen, umfassend das Aktualisieren ihrer Zustände gegenüber dem Gateway-Server und das Abrufen von anstehenden Zustandsänderungsbefehlen von dem Gateway-Server. Zu diesem Zeitpunkt kann die Gateway-Vorrichtung auch daran gehindert werden, Nahbereichsdrahtlosprotokolle zum Bereitstellen des Dienstes „Gateway-Vorrichtung-Benutzerinitialisierung“ auszuführen, bis sie außer Betrieb genommen wird.
  • Nachdem die Gateway-Vorrichtung in Gebrauch genommen wurde, kann sich der Benutzer jederzeit mit der Gateway-Vorrichtung verbinden (z. B. über ihren HTTPS-Port), um eine Konfiguration zu ändern oder die Gateway-Vorrichtung außer Betrieb zu nehmen. Da in dem nichtflüchtigen Speicher der Gateway-Vorrichtung ein Benutzerkonto gespeichert wurde, verlangt die Gateway-Vorrichtung von dem Benutzer, sich zu authentifizieren, bevor sie gestattet, dass solche Operationen stattfinden.
  • Es sei angemerkt, dass das oben stehende Verfahren 962 einem Benutzer nicht mehr abverlangt als einfache Schritte, die denen ähneln, die beim Konfigurieren einer gewöhnlichen loT-Vorrichtung durchgeführt werden: Ansteuern der Gateway-Vorrichtung, damit diese ein Konfigurationsprotokoll startet, Erstellen eines Benutzerkontos in einem Gateway-Server und Konfigurieren der loT-Vorrichtung unter Verwendung einer Web-Schnittstelle. Das Verfahren 962 kann jedoch die folgenden Vorteile bieten: (1) es kann gegenüber einem Benutzer nachweisen, dass einer zu konfigurierenden Gateway-Vorrichtung vertraut werden kann; (2) es kann einen Benutzer daran hindern, irrtümlicherweise eine Gateway-Vorrichtung eines gleichen Typs in der Nähe zu konfigurieren; und (3) es kann einen Benutzer in der Nähe daran hindern, irrtümlicher- oder feindseligerweise eine Gateway-Vorrichtung zu konfigurieren, die durch einen rechtmäßigen Benutzer konfiguriert wird.
  • Nunmehr mit Bezug auf die 10A bis 10G ist ein Verfahren 1060 gemäß einer anderen Ausführungsform in einer Folge von Diagrammen gezeigt. Die 10A bis 10G zeigen Kommunikationen, die zwischen einer Benutzervorrichtung 1042, einer loT-Vorrichtung 1004, einer in Betrieb genommenen Gateway-Vorrichtung 1002, einem Gateway-Server 1010 und einem Cloud-Server 1008 für die loT-Vorrichtung 1004 auftreten können.
  • Mit Bezug auf 10A wurde die loT-Vorrichtung 1004 anfänglich noch nicht in Betrieb genommen, während die Gateway-Vorrichtung 1002 bereits durch ein Verfahren wie jenes, das in den 9A bis 9D gezeigt ist, um nur ein Beispiel zu nennen, in Betrieb genommen wurde. Die Gateway-Vorrichtung 1002 kann ein 3P-Bescheinigungsprotokoll für Vorrichtungen umfassen, wie weiter unten beschrieben. Es wird davon ausgegangen, dass ein Benutzer vor dem Inbetriebnehmen der loT-Vorrichtung 1004 ein Benutzerkonto auf dem Gateway-Server 1010 erstellt hat.
  • Mit Hilfe einer installierten Anwendung kann sich eine Benutzervorrichtung mit der Gateway-Vorrichtung 1002 verbinden. In der gezeigten Ausführungsform kann eine solche Aktion umfassen, dass sich die Benutzervorrichtung zuerst mit einem HTTPS-Port der Gateway-Vorrichtung verbindet 1060-0. Eine Gateway-Vorrichtung kann eine Authentifizierung von der Benutzervorrichtung anfordern 1060-1/2. Wenn die Authentifizierung nicht erfolgreich ist (Nein von 1060-3 aus), kann die Authentifizierung wiederholt und, wenn es zu viele misslungene Authentifizierungen gibt, der Prozess gestoppt werden.
  • Wenn die Benutzerauthentifizierung erfolgreich ist, kann eine Gateway-Vorrichtung aktiviert werden, damit sie sich mit einer in Betrieb zu nehmenden loT-Vorrichtung verbindet. In der gezeigten Ausführungsform kann die Gateway-Vorrichtung mit Hilfe einer Web-Schnittstelle der Benutzervorrichtung angesteuert werden 1060-4, damit sie eine Art von Nahbereichsdrahtlosprotokoll (wie etwa Wi-Fi Direct/P2P oder Wi-Fi Aware-NAN oder BLE-Advertising oder ZigBee-Service-Discovery-Protokoll) startet und als ein Nahbereichsdienstanbieter mit einer geringen Signalstärke fungiert (und so den Dienst „IoT-Vorrichtung-Benutzerinitialisierung“ bereitstellt). Dann kann ein Benutzer die in Betrieb zu nehmende loT-Vorrichtung ansteuern, damit diese den Dienst „IoT-Vorrichtung-Benutzerinitialisierung“ sucht (durch Drücken einer physischen Taste oder Zurücksetzen der loT-Vorrichtung), sodass die loT-Vorrichtung die Gateway-Vorrichtung finden und sich mit ihr über eine offene drahtlose Anbindung verbinden kann (die drahtlose Anbindung kann eine Wi-Fi-Anbindung oder eine ZigBee-Anbindung sein, je nach loT-Vorrichtung) 1060-5.
  • Sobald die loT-Vorrichtung die Gateway-Vorrichtung gefunden hat, kann die loT-Vorrichtung eine sichere Verbindung mit der Gateway-Vorrichtung herstellen. In der gezeigten Ausführungsform kann dies umfassen, dass die loT-Vorrichtung eine TLS-Socket-Verbindung mit einem Port der Gateway-Vorrichtung öffnet, der einem Dienst „IoT-Vorrichtung-Benutzerinitialisierung“ entspricht (das der TLS-Socket-Verbindung zugrunde liegende Protokoll kann für unterschiedliche Typen von loT-Vorrichtungen unterschiedlich sein; es könnte IPv4 für Wi-Fi-Vorrichtungen, serielle BT-/BLE-Anbindung für BT-/BLE-Vorrichtungen und IPv6 für ZigBee-Vorrichtungen sein) 1060-6/7. Da die loT-Vorrichtung noch nicht so konfiguriert ist, dass sie bereits Internetkonnektivität aufweist, kann sie vorübergehend einem öffentlichen Schlüssel in dem Zertifikat der Gateway-Vorrichtung vertrauen 1060-8, um das Einrichten der TLS-Socket-Verbindung mit der Gateway-Vorrichtung abzuschließen 1060-9/10. In einigen Ausführungsformen kann eine Gateway-Vorrichtung der loT-Vorrichtung Daten für das Kontaktieren eines Gateway-Servers bereitstellen.
  • Nachdem eine Verbindung zwischen der loT-Vorrichtung und der Gateway-Vorrichtung hergestellt wurde, kann die loT-Vorrichtung zweimal ein 3P-Bescheinigungsprotokoll starten. In einem ersten 3P-Bescheinigungsprotokoll kann die loT-Vorrichtung eine sichere Verbindung mit einem Gateway-Server herstellen, wobei die Gateway-Vorrichtung als eine Vermittlungsstelle fungiert. In einem zweiten 3P-Bescheinigungsprotokoll kann die loT-Vorrichtung eine sichere Verbindung mit einem zugehörigen Cloud-Server herstellen, wobei die Gateway-Vorrichtung als eine Vermittlungsstelle fungiert.
  • Mit Bezug auf die 10B und 10C kann eine loT-Vorrichtung in einem ersten 3P-Bescheinigungsprotokoll der Gateway-Vorrichtung einen URL für den Gateway-Server bereitstellen 1060-11. Als Reaktion kann die Gateway-Vorrichtung eine sichere Verbindung mit dem Gateway-Server einrichten 1060-12/13. Eine solche Aktion kann umfassen, dass die Gateway-Vorrichtung ein Zertifikat des Gateway-Servers bestätigt 1060-14. Wenn ein Zertifikat nicht gültig ist (Nein von 1060-14 aus), kann ein Prozess enden 1060-15. Wenn ein Zertifikat gültig ist, kann zwischen der Gateway-Vorrichtung und dem Gateway-Server eine sichere Verbindung hergestellt werden 1060-16/17. Nachdem die Socket-Verbindung zwischen der Gateway-Vorrichtung und dem Gateway-Server hergestellt ist, kann eine Gateway-Vorrichtung gegenüber der loT-Vorrichtung darauf hinweisen, dass eine solche Verbindung bereit ist 1060-18.
  • Die loT-Vorrichtung kann dann den Gateway-Server authentifizieren. In der gezeigten Ausführungsform kann die loT-Vorrichtung eine TLS-Verbindung öffnen, um den öffentlichen Schlüssel des Gateway-Servers aus seinem Zertifikat zu überprüfen 1060-19a bis -19c (der durch eine namhafte CA signiert sein kann, und die loT-Vorrichtung kann den öffentlichen Schlüssel der CA als Vorwissen aufweisen). Wenn der Nachweis des Gateway-Servers nicht gültig ist (Nein von 1060-20 aus), kann der Prozess stoppen 1060-21. Wenn der Nachweis des Gateway-Servers gültig ist (wenn sein öffentlicher Schlüssel z. B. der gleiche wie der öffentliche Schlüssel des Signierers in dem Zertifikat der Gateway-Vorrichtung ist), kann die loT-Vorrichtung bestätigen, dass die TLS-Verbindung zwischen ihr und der Gateway-Vorrichtung sicher ist.
  • Eine loT-Vorrichtung kann dann eine weitere sichere Verbindung mit dem Gateway-Server herstellen, um die Gateway-Vorrichtung zu authentifizieren. In 10B kann die loT-Vorrichtung eine TLS-Socket-Verbindung mit dem Gateway-Server öffnen (diese TLS-Verbindung stellt Ende-zu-Ende-Sicherheit zwischen der loT-Vorrichtung und dem Gateway-Server bereit) und das Weiterleiten von TLS-Nachrichten zwischen dem Gateway-Server und der loT-Vorrichtung starten 1060-22 bis -25.
  • Mit Bezug auf 10C kann die loT-Vorrichtung, nachdem die TLS-Verbindung zwischen dem Gateway-Server und der loT-Vorrichtung hergestellt ist, fragen, ob die ID und das Zertifikat der Gateway-Vorrichtung gültig sind (welche durch die loT-Vorrichtung erlernt wurden, als sie die TLS-Verbindung mit der Gateway-Vorrichtung eingerichtet hat) 1060-26 bis -29. Wenn die loT-Vorrichtung eine negative Antwort empfängt (Nein von 1060-30 aus), kann der Prozess stoppen 10060-21. Wenn die loT-Vorrichtung eine positive Antwort empfängt, kann die loT-Vorrichtung der Gateway-Vorrichtung vertrauen und sie daher verwenden, um ihren eigenen Cloud-Server zu kontaktieren. Dann schließt sie die TLS-Verbindung mit dem Cloud-Server der Gateway-Vorrichtung.
  • Mit Bezug auf 10D sendet die loT-Vorrichtung in einem zweiten 3P-Bescheinigungsprotokoll, das durch die loT-Vorrichtung ausgeführt wird, den URL ihres eigenen Cloud-Servers und eine TLS-Verbindungsanforderung an die Gateway-Vorrichtung, damit die Gateway-Vorrichtung diese an ihren Cloud-Server (d. h. Server für lokale Vorrichtungen) weiterleitet 1060-31.
  • Die Gateway-Vorrichtung kann dann eine sichere Verbindung mit dem Cloud-Server herstellen und den Cloud-Server authentifizieren. In 10D umfasst dies, dass die loT-Vorrichtung eine andere TLS-Socket-Verbindung mit dem Cloud-Server öffnet 1060-32/33. Die loT-Vorrichtung kann bestimmen, ob die Sicherheitsnachweise des Cloud-Servers gültig sind 1060-34. Wenn die Nachweise des Cloud-Servers nicht gültig sind (Nein von 1060-34 aus), kann der Prozess stoppen 1060-15. Wenn der Cloud-Server authentifiziert wird, hat der Gateway-Server bestimmt, dass dem Cloud-Server vertraut werden kann, und schließt er eine TLS-Socket-Verbindung ab 1060-35/36. Die Gateway-Vorrichtung kann gegenüber der loT-Vorrichtung darauf hinweisen, dass eine solche Verbindung bereit ist 1060-37.
  • Die loT-Vorrichtung kann dann den Cloud-Server authentifizieren 1060-38 bis -41. Wenn der Nachweis des Cloud-Servers nicht gültig ist (Nein von 1060-42 aus), kann der Prozess stoppen 1060-21. Wenn der Nachweis des Cloud-Servers gültig ist, kann die loT-Vorrichtung bestätigen, dass die TLS-Verbindung zwischen ihr und dem Cloud-Server sicher ist.
  • Die loT-Vorrichtung kann dann eine andere sichere Verbindung mit dem Cloud-Server öffnen, um Ende-zu-Ende-Sicherheit zu ermöglichen. In 10D kann dies umfassen, dass die loT-Vorrichtung eine andere TLS-Socket-Verbindung mit dem Cloud-Server der loT-Vorrichtung erstellt und dass TLS-Nachrichten zwischen dem Cloud-Server der loT-Vorrichtung und der loT-Vorrichtung weitergeleitet werden 1060-43 bis -46. Eine loT-Vorrichtung kann dann durch den Cloud-Server authentifiziert werden.
  • Mit Bezug auf 10E kann eine Authentifizierung einer loT-Vorrichtung in der gezeigten Ausführungsform eine Firmware-Validierung umfassen wie die, die für die Authentifizierung der Gateway-Vorrichtung in 9B beschrieben ist. Daher können die Aktionen 1060-47 bis -69 die gleichen wie oder Äquivalente derjenigen sein, die als 962-20 bis -40 in 9B gezeigt sind. Das zweite 3P-Bescheinigungsprotokoll kann dann enden.
  • Mit Bezug auf 10F kann die loT-Vorrichtung, die als vertrauenswürdig bestimmt worden ist, zu dem System hinzugefügt werden (z. B. durch die Gateway-Vorrichtung mit anderen loT-Vorrichtungen aggregiert werden). In einigen Ausführungsformen kann dies umfassen, dass die Gateway-Vorrichtung der Benutzervorrichtung signalisiert, dass die loT-Vorrichtung bereit ist, hinzugefügt zu werden. In der gezeigten Ausführungsform kann eine Gateway-Vorrichtung ihre Web-Schnittstelle aktualisieren, um zu signalisieren, dass die zu konfigurierende loT-Vorrichtung vertrauenswürdig ist 1060-71.
  • Ein Benutzer kann die loT-Vorrichtung dann auswählen, um sie zu dem System hinzuzufügen. In der gezeigten Ausführungsform kann dies umfassen, dass ein Benutzer in der Web-Schnittstelle der Gateway-Vorrichtung auf die loT-Vorrichtung klickt 1060-72. Dadurch kann die Gateway-Vorrichtung so angesteuert werden, dass sie eine Anforderung an die loT-Vorrichtung über die zwischen ihnen bestehende TLS-Verbindung sendet, damit diese einen Hinweis für den Benutzer erzeugt 1060-73. Die loT-Vorrichtung kann den Hinweis erzeugen. In bestimmten Ausführungsformen kann der Hinweis mehrmals oder mit einiger Verzögerung erzeugt werden 1070-74. Ein solcher Hinweis kann in Form eines beliebigen der hierin beschriebenen oder von Äquivalenten (z. B. visuell, auditiv, fühlbar usw.) auftreten.
  • Nach dem Erzeugen des Hinweises kann der Benutzer gebeten werden, das Erkennen des Hinweises durch den Benutzer zu bestätigen. Dies kann verhindern, dass ein Benutzer in der Nähe die loT-Vorrichtung, die durch den Benutzer konfiguriert wird, irrtümlicherweise oder feindseligerweise konfiguriert. In der gezeigten Ausführungsform kann die Gateway-Vorrichtung ihre Web-Schnittstelle aktualisieren, um eine Benutzereingabe anzufordern, die bestätigt, dass der Hinweis korrekt beobachtet wurde (z. B. wie oft das Hinweissignal gezeigt wurde oder wie groß die Verzögerung vor dem Hinweis war) 1060-75/76. Wenn der Hinweis nicht erkannt wird (Nein von 1060-77 aus), kann der Prozess stoppen 1060-78 (oder eine Anzahl von Malen wiederholt werden).
  • Wenn der Hinweis durch den Benutzer beobachtet wurde, kann der Benutzer eine Eingabe bereitstellen, die bestätigt, dass der Hinweis korrekt beobachtet wurde (z. B. wie oft das Hinweissignal gezeigt wurde oder wie groß die Verzögerung vor dem Hinweis war), was über die Gateway-Vorrichtung an die Benutzervorrichtung weitergeleitet werden kann 1060-79/80. Um Zufälle auszuschließen, können die beiden obigen Schritte mehrmals wiederholt werden, jedes Mal mit einer zufälligen Wiederholungszeit oder einer zufälligen Verzögerung. Wenn der Benutzer keinen korrekten Eingabewert liefert (Nein von 1060-81 aus), kann der Prozess stoppen (oder wiederholt werden).
  • Nachdem der Benutzer eine korrekte Eingabe geliefert hat, kann die loT-Vorrichtung bestimmen, ob sie bereits bei einem anderen Benutzer registriert ist (d. h. von ihm besessen wird) 1060-82. Wenn ein Konto existiert (d. h. sie bereits registriert wurde) (Ja von 1060-82 aus), kann sie eine Benutzerauthentifizierung anfordern 1060-83. Wenn die loT-Vorrichtung zuvor nicht registriert wurde, kann sie Kontoinformationen von der Gateway-Vorrichtung anfordern 1060-84, welche die Anforderung an die Benutzervorrichtung weiterleitet 1060-85.
  • Mit Bezug auf 10G können der loT-Vorrichtung Benutzerkontoinformationen (zum Ermöglichen des Zugriffs auf die loT-Vorrichtung) durch eine Benutzervorrichtung (oder die Gateway-Vorrichtung) bereitgestellt werden 1060-86/87 und die loT-Vorrichtung kann solche Daten in einem sicheren Speicher speichern 1060-88. Nach dem Speichern solcher Daten kann die loT-Vorrichtung als registriert (d. h. besessen) betrachtet werden und nun gestattet sie keinem anderen Benutzer, sie zu konfigurieren, bevor nicht das Benutzerkonto durch den rechtmäßigen Benutzer gelöscht wurde (d. h. die loT-Vorrichtung kann nur durch den ursprünglichen Benutzer, der sie in Betrieb genommen hat, außer Betrieb genommen werden).
  • Nachdem die Benutzerkontoinformationen sicher in der loT-Vorrichtung gespeichert wurden, kann ein Benutzer die loT-Vorrichtung konfigurieren. In 10G können solche Aktionen umfassen, dass die loT-Vorrichtung Konfigurationseingaben von der Gateway-Vorrichtung anfordert 1060-89. Die Gateway-Vorrichtung kann solche Konfigurationsdaten von der Benutzervorrichtung anfordern. Beispielsweise kann die Web-Schnittstelle der Gateway-Vorrichtung Benutzereingaben beschaffen 1060-90. Solche Aktionen können beispielsweise das Vergeben eines aussagekräftigen Namens für die loT-Vorrichtung (sodass auf die loT-Vorrichtung, als Unterbaum auf oberster Ebene unter der Gateway-Vorrichtung, mit diesem Namen Bezug genommen wird), das Einrichten einer sicheren drahtlosen Verbindung mit der Gateway-Vorrichtung usw. umfassen.
  • Ein Benutzer kann der Gateway-Vorrichtung Konfigurationsdaten bereitstellen 1060-91, welche die Daten zurück an die loT-Vorrichtung weiterleitet 1060-92. Die loT-Vorrichtung kann die angeforderten Konfigurationen vornehmen und dann das Gateway-Zertifikat speichern 1060-93. Dann kann sie der Gateway-Vorrichtung signalisieren, dass sie in dem System dienstbereit ist 1060-94.
  • Nachdem die Konfiguration der loT-Vorrichtung fertig ist, kann die Gateway-Vorrichtung die Bindungsbeziehung in ihrem eigenen nichtflüchtigen Speicher speichern 1060-95 und die Bindungsinformationen an die loT-Vorrichtung weitergeben, damit diese in dem nichtflüchtigen Speicher der loT-Vorrichtung gespeichert werden. Die Bindungsinformationen können sicherstellen, dass sich die loT-Vorrichtung wann immer erforderlich über eine sichere drahtlose Anbindung mit der Gateway-Vorrichtung verbinden kann.
  • Die loT-Vorrichtung kann die TLS-Verbindung mit der Gateway-Vorrichtung dann schließen und das Laufenlassen von loT-Protokollen mit der Gateway-Vorrichtung starten, als wenn die Gateway-Vorrichtung ein Cloud-Server für die loT-Vorrichtung wäre 1060-97. Die Gateway-Vorrichtung kann das Laufenlassen von loT-Protokollen mit ihrem Gateway-Server starten (oder fortsetzen) und dabei alle verbundenen IoT-Vorrichtungen aggregieren, sodass diese dem Gateway-Server als eine komplexe loT-Vorrichtung erscheinen. Es sei angemerkt, dass eine in Betrieb genommene loT-Vorrichtung erst dann wieder ein Nahbereichsdrahtlosprotokoll laufen lässt, um den Dienst „IoT-Vorrichtung-Benutzerinitialisierung“ zu suchen, wenn sie außer Betrieb genommen wird.
  • In einer Ausführungsform wie der in den 10A bis 10G gezeigten kann eine Gateway-Vorrichtung der loT-Vorrichtung als loT-Cloud-Server-Proxy dienen. Die Gateway-Vorrichtung kann die Zustandsänderungen der loT-Vorrichtung als ihre eigenen Unterbaum-Zustandsänderungen aktualisieren. Die Gateway-Vorrichtung kann auch die anstehenden Unterbaum-Zustandsänderungsbefehle von dem Cloud-Server abrufen und der loT-Vorrichtung einen Schattendienst bereitstellen, bis die loT-Vorrichtung den anstehenden Unterbaum-Zustandsänderungsbefehl abruft und die Unterbaum-Zustandsänderung bestätigt. Die Gateway-Vorrichtung kann dann gegenüber dem Cloud-Server bestätigen, dass die Unterbaum-Zustandsänderung erledigt ist.
  • Nachdem die loT-Vorrichtung in Gebrauch genommen wurde, kann sich der Benutzer jederzeit mit der Gateway-Vorrichtung verbinden (z. B. sich mit ihrem HTTPS-Port verbinden), um die Konfiguration der loT-Vorrichtung zu ändern oder diese außer Betrieb zu nehmen. Da sowohl die Gateway-Vorrichtung als auch die loT-Vorrichtung das Benutzerkonto in ihrem nichtflüchtigen Speicher gespeichert haben, benötigen beide den Benutzer zum Authentifizieren, bevor sie fortfahren. In einigen Ausführungsformen kann der Benutzer als Authentifizierungsnachweis ein Passwort in die Web-Schnittstelle der Gateway-Vorrichtung eingeben und die Gateway-Vorrichtung kann das Passwort als Authentifizierungsnachweis über die gesicherte drahtlose Anbindung an die loT-Vorrichtung übermitteln.
  • Nunmehr mit Bezug auf die 11A bis 11F sind eine Benutzervorrichtungsanwendung und ein Verfahren zum Inbetriebnehmen einer Gateway-Vorrichtung in einer Folge von Diagrammen gezeigt. Mit Bezug auf 11A kann eine Benutzervorrichtung 1142 eine Anwendung 1178 umfassen, die auf dieser in einem Speicher, wie etwa einem nichtflüchtigen Speicher, zur Ausführung durch einen oder mehrere Prozessoren der Benutzervorrichtung 1142 gespeichert ist. Während eine Benutzervorrichtung 1142 hier als ein Smartphone gezeigt ist, kann eine Benutzervorrichtung in Form von einer beliebigen der hierin gezeigten oder Äquivalenten davon auftreten.
  • Mit Bezug auf 11B kann eine Benutzervorrichtung, wenn eine Anwendung aktiv ist, eine in Betrieb zu nehmende Gateway-Vorrichtung erkennen. Eine solche Aktion kann das Initialisieren der Gateway-Vorrichtung auf irgendeine Art und Weise (z. B. Einschalten, Drücken einer Taste) umfassen. Eine solche Aktion kann auch umfassen, dass eine Gateway-Vorrichtung oder eine Benutzervorrichtung ein Discovery-Protokoll beginnt. Eine Anwendung kann eine Benutzereingabe 1180-0 anfordern, um einen Inbetriebnahmeprozess der Gateway-Vorrichtung zu starten. Wenn der Benutzer die Eingabe 1180-0 auswählt, kann eine Benutzervorrichtung eine sichere Verbindung mit einem Gateway-Server herstellen 1181. In einigen Ausführungsformen kann dies umfassen, dass eine Benutzervorrichtung einen URL oder eine Netzwerkadresse von der Gateway-Vorrichtung empfängt, oder aus irgendeiner anderen Quelle (d. h. beim Installieren der Anwendung 1178 oder auf der mit der Gateway-Vorrichtung bereitgestellten Packung).
  • Mit Bezug auf 11C kann eine Benutzervorrichtungsanwendung 1178 ein 3P-Bescheinigungsprotokoll wie hierin beschrieben ausführen, um eine sichere Verbindung 1182 zwischen der Gateway-Vorrichtung und dem Gateway-Server herzustellen, wobei die Benutzervorrichtung als eine Vermittlungsstelle fungiert. Die Gateway-Vorrichtung kann dann gemäß den hierin gezeigten Verfahren oder Äquivalenten davon authentifiziert werden.
  • Mit Bezug auf 11D kann die Anwendung 1178 benachrichtigt werden, sobald die Gateway-Vorrichtung authentifiziert wurde. Als Reaktion kann die Anwendung eine Benutzereingabe 1180-1 anfordern, um die Gateway-Vorrichtung hinzuzufügen. Als Reaktion auf die Benutzereingabe 1180-1 kann eine Gateway-Vorrichtung gemäß einem beliebigen der hierein beschriebenen Verfahren oder Äquivalenten davon einen Hinweis erzeugen, der durch einen Benutzer beobachtet werden muss.
  • Mit Bezug auf 11E kann die Anwendung 1178 als Reaktion auf das Empfangen einer Mitteilung von der Gateway-Vorrichtung, dass ein Hinweis erzeugt wurde, eine Benutzereingabe 1180-2 anfordern, um zu bestätigen, dass der Hinweis beobachtet wurde. In der gezeigten Ausführungsform besteht die Anforderung darin, eine Anzahl von Blinksignalen einzugeben, jedoch können Hinweise in anderen Formen als hierin angemerkt auftreten.
  • Mit Bezug auf 11F kann nach dem Empfangen einer korrekten Benutzereingabe hinsichtlich des Hinweises die Gateway-Vorrichtung zu einem System hinzugefügt werden. In einigen Ausführungsformen kann ein Benutzer aufgefordert werden, die Gateway-Vorrichtung zu konfigurieren, wie für andere Ausführungsformen hierin angemerkt.
  • Nunmehr mit Bezug auf die 12A bis 12G sind eine Benutzervorrichtungsanwendung und ein Verfahren zum Inbetriebnehmen einer lokalen Vorrichtung mit einer Gateway-Vorrichtung in einer Folge von Diagrammen gezeigt. Mit Bezug auf 12A kann eine Benutzervorrichtung 1242 eine Anwendung 1278 umfassen, die auf dieser in einem Speicher, wie etwa einem nichtflüchtigen Speicher, zur Ausführung durch einen oder mehrere Prozessoren der Benutzervorrichtung 1242 gespeichert ist. Während eine Benutzervorrichtung hier als ein Smartphone gezeigt ist, kann eine Benutzervorrichtung in Form von einer beliebigen der hierin gezeigten oder Äquivalenten davon auftreten.
  • Mit Bezug auf 12B kann eine Benutzervorrichtungsanwendung Vorrichtungen anzeigen, die aktuell durch eine in Betrieb genommene Gateway-Vorrichtung aggregiert sind (VERTRAUENSWÜRDIGE VORRICHTUNGEN). Zusätzlich kann eine Benutzervorrichtung eine in Betrieb zu nehmende lokale Vorrichtung erkennen. Eine solche Aktion kann beliebige der hierin beschriebenen umfassen, umfassend diejenigen, die verwendet werden, um in Betrieb zu nehmende Gateway-Vorrichtungen zu erkennen. Eine Anwendung kann eine Benutzereingabe 1280-3 anzeigen, um es einem Benutzer zu ermöglichen, eine lokale Vorrichtung aus allen erkannten, nicht in Betrieb genommenen Vorrichtungen (HINZUZUFÜGENDE VORRICHTUNGEN) auszuwählen.
  • Mit Bezug auf 12C kann eine Anwendung, wenn die lokale Vorrichtung ausgewählt wird, eine Benutzereingabe 1280-4 anfordern, um einen Inbetriebnahmeprozess für die lokale Vorrichtung zu starten.
  • Mit Bezug auf 12D kann eine Benutzervorrichtung, wenn der Benutzer die Eingabe 1280-3 auswählt, dem in Betrieb genommenen Gateway signalisieren, dass dieses eine Verbindung mit der loT-Vorrichtung öffnen soll, und kann dann ein erstes 3P-Bescheinigungsprotokoll starten, um die Gateway-Vorrichtung und den Gateway-Server zu authentifizieren. Dann kann ein zweites 3P-Bescheinigungsprotokoll ausgeführt werden, um den Server für lokale Vorrichtungen und die lokale Vorrichtung zu authentifizieren. Solche Aktionen können beliebige der hierin beschriebenen oder Äquivalente umfassen.
  • Mit Bezug auf 12E kann die Anwendung 1278 benachrichtigt werden, sobald die lokale Vorrichtung authentifiziert wurde. Als Reaktion kann die Anwendung eine Benutzereingabe 1280-5 anfordern, um die lokale Vorrichtung zu einem System hinzuzufügen. Als Reaktion auf die Benutzereingabe 1280-5 kann eine lokale Vorrichtung gemäß einem beliebigen der hierein beschriebenen Verfahren oder Äquivalenten davon einen Hinweis erzeugen.
  • Mit Bezug auf 12F kann die Anwendung 1278 als Reaktion auf das Empfangen einer Mitteilung von der lokalen Vorrichtung, dass ein Hinweis erzeugt wurde, eine Benutzereingabe 1280-2 anfordern, um zu bestätigen, dass der Hinweis beobachtet wurde. In der gezeigten Ausführungsform besteht die Anforderung darin, eine Anzahl von Blinksignalen einzugeben. Hinweise können jedoch in verschiedenen anderen Formen als hierin angemerkt auftreten.
  • Mit Bezug auf 12G kann nach dem Empfangen einer korrekten Benutzereingabe hinsichtlich des Hinweises die lokale Vorrichtung zu einem System hinzugefügt werden. In der gezeigten Ausführungsform kann die Anwendung dem Benutzer dann die Option zum Konfigurieren der lokalen Vorrichtung anzeigen.
  • Während Ausführungsformen Systeme einer beliebigen geeigneten Anwendung umfassen können, werden nun bestimmte Systeme beschrieben.
  • 13 zeigt ein Anwendungssystem im Gesundheitswesen 1300 gemäß einer Ausführungsform. Ein System 1300 kann verschiedene lokale Vorrichtungen 1304-0 bis -5, eine Gateway-Vorrichtung 1302 und eine Benutzervorrichtung 1342 umfassen. Die lokalen Vorrichtungen (1304-0 bis -5) können beliebige geeignete medizinische Vorrichtungen umfassen und können in der gezeigten ganz bestimmten Ausführungsform eine Waage 1304-0, ein Thermometer 1304-1, ein Blutdruckmessgerät 1306-2, ein Pulsoximeter 1304-3, ein Blutzuckermessgerät 1304-4 und eine persönliche Warnvorrichtung 1304-5 umfassen. Die verschiedenen lokalen Vorrichtungen (1304-0 bis -5) können gemäß einem beliebigen von zahlreichen Kommunikationsprotokollen (gezeigt als „a“, „b“ und „c“) durch Betrieb der internen Kommunikationsschnittstelle 1346 der Gateway-Vorrichtung mit der Gateway-Vorrichtung 1302 verbunden werden.
  • Die Gateway-Vorrichtung 1302 kann die lokalen Vorrichtungen (1304-0 bis -5) aggregieren, sodass sie wie eine logische Entität erscheinen, und kann als Proxy dienen, um auf ein größeres Netzwerk (z. B. das Internet) zuzugreifen.
  • Eine Benutzervorrichtung 1342 kann über die interne Kommunikationsschnittstelle 1346 direkt mit der Gateway-Vorrichtung kommunizieren, um lokale Vorrichtungen hinzuzufügen, zu entfernen oder zu konfigurieren. Die Benutzervorrichtung 1342 kann eine Anwendung 1378 zum Inbetriebnehmen von Vorrichtungen wie hierin beschrieben oder ein Äquivalent umfassen.
  • 14 zeigt ein Heimautomationssystem 1400 gemäß einer Ausführungsform. Ein System 1400 kann verschiedene lokale Vorrichtungen 1404-0 bis -5, eine Gateway-Vorrichtung 1402 und eine Benutzervorrichtung 1442 umfassen. Die lokalen Vorrichtungen (1404-0 bis -3) können beliebige geeignete Heimautomationsvorrichtungen umfassen und können in der gezeigten ganz bestimmten Ausführungsform Beleuchtungsvorrichtungen 1404-0, eine Schließvorrichtung 1404-1, eine Unterhaltungsvorrichtung 1404-2 und eine Sicherheitsvorrichtung 1404-3 umfassen.
  • Ansonsten kann das System 1400 die gleichen Verbindungen und Merkmale wie das in 13 gezeigte oder Äquivalente aufweisen.
  • Hierin beschriebene Ausführungsformen stehen im Gegensatz zu herkömmlichen loT-Produktmodellen, bei denen jede loT-Vorrichtung/jedes loT-System eine sichere Ende-zu-Ende-Verbindung mit einem loT-Cloud-Server aufweist. Gemäß Ausführungsformen können Architekturen eine logische Vorrichtung (d. h. Gateway-Vorrichtung) mit mehreren hierarchischen Unterbäumen aufweisen, die mit einem Server (z. B. Gateway-Server) verbunden ist, wobei lokale Vorrichtungen (z. B. loT-Vorrichtungen) „hinter“ der Gateway-Vorrichtung existieren und daher von einer Netzwerkseite aus wie Unterbäume auf oberster Ebene erscheinen, die eine oder mehrere benannte Zustandsvariablen oder Unterbäume aufweisen können. Ein Server kann mit allen Zustandsvariablen umgehen, ohne zu wissen, dass sich diese auf separaten lokalen Vorrichtungen hinter der Gateway-Vorrichtung befinden.
  • Ausführungsformen können im Vergleich zu herkömmlichen Ansätzen verschiedene Vorteile bereitstellen. Beispielsweise umfassen Ausführungsformen Verfahren oder Protokolle, mit denen ein Benutzer eine Gateway-Vorrichtung sicher in Betrieb nehmen kann und die zwischen einer Anwendung auf einer Benutzervorrichtung, einer in Betrieb zu nehmenden Gateway-Vorrichtung und einem Gateway-Server ablaufen können. Die Anwendung, die Gateway-Vorrichtung und der Gateway-Server können eine gemeinsame Steuerungsquelle (z. B. einen gleichen Hersteller) aufweisen. Solche Ausführungsformen müssen einem Benutzer nicht mehr als das Konfigurieren einer gewöhnlichen loT-Steuerungseinheit abverlangen, unter Verwendung sehr einfacher Schritte: Ansteuern einer loT-Steuerungseinheit (z. B. Gateway-Vorrichtung), damit diese ein Konfigurationsprotokoll startet, Erstellen eines Benutzerkontos in einem Cloud-Server (d. h. Gateway-Server) und Konfigurieren der IoT-Steuerungseinheit. Jedoch kann ein Verfahren/Protokoll gemäß Ausführungsformen verglichen mit herkömmlichen Ansätzen die folgenden Vorteile bieten: (1) es kann gegenüber einem Benutzer nachweisen, dass eine zu konfigurierende Gateway-Vorrichtung vertrauenswürdig ist; (2) es kann einen Benutzer daran hindern, irrtümlicherweise eine Gateway-Vorrichtung eines gleichen Typs in der Nähe zu konfigurieren; und (3) es kann einen Benutzer in der Nähe daran hindern, feindseligerweise/irrtümlicher eine Gateway-Vorrichtung zu konfigurieren, die durch einen rechtmäßigen Benutzer konfiguriert wird.
  • Ausführungsformen können auch Verfahren/Protokolle umfassen, mit denen ein Benutzer eine lokale Vorrichtung (z. B. loT-Vorrichtung) über eine in Betrieb genommene Gateway-Vorrichtung, die zwischen der in Betrieb zu nehmenden lokalen Vorrichtung und einem Cloud-Server läuft, sicher in Betrieb nehmen kann, wobei der Cloud-Server von dem Hersteller der lokalen Vorrichtung (der sich von dem Hersteller der Gateway-Vorrichtung unterscheiden kann) besessen wird oder von ihm unter Vertrag genommen ist. Das Verfahren/Protokoll muss dem Benutzer nicht mehr abverlangen als Schritte, die so einfach sind wie die, die zum Konfigurieren einer gewöhnlichen loT-Vorrichtung verwendet werden: Ansteuern der lokalen Vorrichtung, damit diese ein Konfigurationsprotokoll startet, Erstellen eines Benutzerkontos in einem Cloud-Server und Konfigurieren der lokalen Vorrichtung. Jedoch kann das Verfahren/Protokoll verglichen mit herkömmlichen Ansätzen die folgenden Vorteile bieten: (1) es kann gegenüber einem Benutzer nachweisen, dass eine zu konfigurierende lokale Vorrichtung vertrauenswürdig ist; (2) es kann gegenüber der lokalen Vorrichtung nachweisen, dass sie sich mit einer vertrauenswürdigen Gateway-Vorrichtung verbindet, (3) es kann einen Benutzer daran hindern, irrtümlicherweise eine lokale Vorrichtung eines gleichen Typs in der Nähe zu konfigurieren; und (4) es kann einen Benutzer in der Nähe daran hindern, feindseligerweise/irrtümlicher eine lokale Vorrichtung zu konfigurieren, die durch einen rechtmäßigen Benutzer konfiguriert wird.
  • Diese und andere Vorteile werden von Fachleuten verstanden.
  • Es sollte anerkannt werden, dass in dieser gesamten Patentbeschreibung eine Bezugnahme auf „eine Ausführungsform“ bedeutet, dass ein bestimmtes Merkmal, eine bestimmte Struktur oder eine bestimmte Eigenschaft, die in Verbindung mit der Ausführungsform beschrieben wird, in mindestens einer Ausführungsform der vorliegenden Erfindung eingeschlossen ist. Daher ist hervorzuheben und sollte anerkannt werden, dass zwei oder mehrere Bezugnahmen auf „eine Ausführungsform“ oder „eine alternative Ausführungsform“ in verschiedenen Abschnitten dieser Patentbeschreibung sich nicht unbedingt alle auf dieselbe Ausführungsform beziehen. Außerdem können die bestimmten Merkmale, Strukturen oder Eigenschaften je nach Eignung in einer oder mehreren Ausführungsformen der Erfindung kombiniert sein.
  • Ähnlich sollte anerkannt werden, dass in der vorhergehenden Beschreibung von Ausführungsbeispielen der Erfindung verschiedene Merkmale der Erfindung manchmal zusammen in einer einzelnen Ausführungsform, Figur oder Beschreibung zusammengefasst sind, um die Offenbarung zu straffen und einen oder mehrere der verschiedenen erfinderischen Aspekte besser verständlich zu machen. Dieses Offenbarungsverfahren darf jedoch nicht so interpretiert werden, als würde es eine Absicht widerspiegeln, dass die Ansprüche mehr Merkmale benötigen, als ausdrücklich in jedem Anspruch angeführt sind. Vielmehr liegen erfinderische Aspekte in weniger als allen Merkmalen einer einzelnen vorhergehend offenbarten Ausführungsform. Daher werden die auf die ausführliche Beschreibung folgenden Ansprüche hiermit ausdrücklich in diese ausführliche Beschreibung aufgenommen, wobei jeder Anspruch für sich allein als eine separate Ausführungsform dieser Erfindung steht.

Claims (20)

  1. Eine Gateway-Vorrichtung (102, 202), die Folgendes beinhaltet: eine drahtlose erste Kommunikationsschnittstelle (236); eine zweite Kommunikationsschnittstelle (238); mindestens einen Prozessor in Kommunikation mit der ersten (236) und zweiten Kommunikationsschnittstelle (238), der für Folgendes konfiguriert ist: Ausführen eines Protokolls zur Bescheinigung einer lokalen Vorrichtung durch drei Parteien, das Folgendes umfasst: Herstellen einer Verbindung mit einem Server (108, 208) über ein Netzwerk (106, 206) über die zweite Kommunikationsschnittstelle (238), Weiterleiten sicherer Kommunikationen zwischen einer lokalen Vorrichtung und dem Server (108, 208) über die erste (236) und zweite Kommunikationsschnittstelle (238), um eine Authentifizierung der lokalen Vorrichtung durch den Server (108, 208) zu ermöglichen, und Empfangen eines Authentifizierungsergebnisses für die lokale Vorrichtung von dem Server (108, 208) über die zweite Kommunikationsschnittstelle (238); und Arbeiten als ein gemeinsamer Zugangspunkt zu dem Netzwerk (106, 206) für eine Vielzahl von gegenüber der Gateway-Vorrichtung (102, 202) authentifizierten lokalen Vorrichtungen (104-0 bis -n), wobei die erste drahtlose Kommunikationsschnittstelle (236) durch ein erstes Protokoll betreibbar ist und die zweite Kommunikationsschnittstelle (238) durch ein zweites Protokoll betreibbar ist, das sich von dem ersten Protokoll unterscheidet; wobei: der mindestens eine Prozessor ferner konfiguriert ist, um ein Protokoll zur Bescheinigung eines Gateways durch drei Parteien auszuführen, das Folgendes umfasst: Kommunizieren mit einem Gateway-Server (110, 210) über eine sichere Verbindung mit einer Benutzervorrichtung (242), die Nachrichten zwischen der Gateway-Vorrichtung (102, 202) und dem Gateway-Server (110, 210) weiterleitet, Authentifizieren der Gateway-Vorrichtung (102, 202) gegenüber dem Gateway-Server (110, 210) und Empfangen von Authentifizierungsnachweisen für die Gateway-Vorrichtung (102, 202) von dem Gateway-Server (210, 210) über die sichere Verbindung.
  2. Gateway-Vorrichtung gemäß Anspruch 1, wobei: das Netzwerk (106, 206) das Internet umfasst; und der mindestens eine Prozessor ferner konfiguriert ist, um einen einheitlichen Ressourcenzeiger (URL) oder eine Internetprotokoll(IP)-Adresse für den Server (108, 208) zu empfangen.
  3. Gateway-Vorrichtung gemäß Anspruch 1, die ferner Folgendes umfasst: der mindestens eine Prozessor ist ferner konfiguriert, um einen Schattendienst für die lokale Vorrichtung (104-0 bis -n) zu betreiben, indem er Zustandsinformationen für die lokale Vorrichtung (104-0 bis -n) speichert und abfragt.
  4. Gateway-Vorrichtung gemäß Anspruch 1, wobei die erste Kommunikationsschnittstelle (236) konfiguriert ist, um über eine Vielzahl von unterschiedlichen Protokollen zu kommunizieren, die mindestens ein Drahtlosprotokoll mit niedriger Leistung umfassen.
  5. Gateway-Vorrichtung gemäß Anspruch 1, wobei die erste Kommunikationsschnittstelle konfiguriert ist, um über eine Vielzahl von unterschiedlichen Protokollen zu kommunizieren, umfassend beliebige, die aus der Gruppe von Folgendem ausgewählt sind: Funkprotokolle (2G/3G, LTE, NB-loT), Bluetooth/BLE, IEEE 802.15.x, LoRa, SigFox, Weightless, Wi-Fi, WirelessHART, ZigBee oder Z-Wave.
  6. Gateway-Vorrichtung gemäß Anspruch 1, wobei: der mindestens eine Prozessor ferner für Folgendes konfiguriert ist: Übertragen einer Anforderung an die lokale Vorrichtung (104-0 bis -n), damit diese einen Hinweis erzeugt, wobei der Hinweis durch einen Benutzer wahrnehmbar ist, Empfangen einer Benutzerantwort auf einen durch die lokale Vorrichtung (104-0 bis -n) erzeugten Hinweis und Übertragen der Benutzerantwort an die lokale Vorrichtung (104-0 bis -n).
  7. Gateway-Vorrichtung gemäß einem der vorhergehenden Ansprüche, wobei: das Authentifizieren der Gateway-Vorrichtung (102, 202) Folgendes umfasst: durch den mindestens einen Prozessor: Empfangen vorgegebener Stellen für Firmware von dem Gateway-Server (110, 210), Ausführen vorgegebener Operationen an Firmware-Daten an den vorgegebenen Stellen und Übertragen von Ergebnissen der vorgegebenen Operationen an den Gateway-Server (110, 210) über die sichere Verbindung.
  8. Gateway-Vorrichtung gemäß Anspruch 1, wobei: der mindestens eine Prozessor konfiguriert ist, um die sicheren Kommunikationen zwischen der lokalen Vorrichtung (104-0 bis -n) und dem Server (108, 208) innerhalb derselben Verbindung, die mit dem Server (108, 208) hergestellt ist, zu ermöglichen.
  9. Ein Verfahren, das Folgendes beinhaltet: Erkennen lokaler Vorrichtungen mit einer drahtlosen ersten Kommunikationsschnittstelle einer Gateway-Vorrichtung; Authentifizieren mindestens einer lokalen Vorrichtung gegenüber der Gateway-Vorrichtung, umfassend: durch Betrieb der ersten Kommunikationsschnittstelle und einer zweiten Kommunikationsschnittstelle, Weiterleiten sicherer Kommunikationen zwischen der mindestens einen lokalen Vorrichtung und einem Server, um die Authentifizierung der mindestens einen lokalen Vorrichtung durch den Server zu ermöglichen, wobei die erste drahtlose Kommunikationsschnittstelle durch ein erstes Protokoll betreibbar ist und die zweite Kommunikationsschnittstelle durch ein zweites Protokoll betreibbar ist, das sich von dem ersten Protokoll unterscheidet, und nach dem Empfangen der Authentifizierung der mindestens einen lokalen Vorrichtung an der Gateway-Vorrichtung, Übertragen von Benutzerinformationen zur Speicherung in einem sicheren Speicher der authentifizierten lokalen Vorrichtung; und Betreiben der Gateway-Vorrichtung als einen gemeinsamen Zugangspunkt zu dem Netzwerk für eine beliebige einer Vielzahl von gegenüber der Gateway-Vorrichtung authentifizierten lokalen Vorrichtungen.
  10. Verfahren gemäß Anspruch 9, das ferner Folgendes umfasst: dass das Netzwerk das Internet umfasst; und Empfangen eines einheitlichen Ressourcenzeigers (URL) oder einer Internetprotokoll(IP)-Adresse für den Server an der Gateway-Vorrichtung.
  11. Verfahren gemäß Anspruch 9, wobei: das Authentifizieren der mindestens einen lokalen Vorrichtung ferner als Reaktion auf das Empfangen einer Anforderung, einen Hinweis für einen Benutzer zu erzeugen, das Erzeugen eines Hinweises, der durch einen Benutzer an der mindestens einen lokalen Vorrichtung erkennbar ist, umfasst.
  12. Verfahren gemäß Anspruch 9, wobei: das Authentifizieren der mindestens einen lokalen Vorrichtung ferner Folgendes umfasst: Empfangen, durch die lokale Vorrichtung, vorgegebener Firmware-Adressen von dem Server, Ausführen, durch die lokale Vorrichtung, vorgegebener Operationen an Firmware-Daten, die an den vorgegebenen Firmware-Adressen gespeichert sind, und Übertragen von Ergebnissen der vorgegebenen Operationen an den Server über die sichere Verbindung.
  13. Verfahren gemäß Anspruch 9, das ferner Folgendes umfasst: Authentifizieren der Gateway-Vorrichtung gegenüber einer Benutzervorrichtung, umfassend: Kommunizieren mit einem Gateway-Server über eine sichere Verbindung, was umfasst, dass die Benutzervorrichtung als eine Vermittlungsstelle zwischen der Gateway-Vorrichtung und dem Gateway-Server fungiert, und Authentifizieren der Gateway-Vorrichtung gegenüber dem Gateway-Server und Empfangen von Authentifizierungsnachweisen für die Gateway-Vorrichtung von dem Gateway-Server über die sichere Verbindung.
  14. Verfahren gemäß Anspruch 13, wobei: das Authentifizieren der Gateway-Vorrichtung gegenüber dem Gateway-Server ferner Folgendes umfasst: Empfangen vorgegebener Firmware-Adressen von dem Gateway-Server, Ausführen, durch die Gateway-Vorrichtung, vorgegebener Operationen an Firmware-Daten, die an den vorgegebenen Firmware-Adressen gespeichert sind, und Übertragen von Ergebnissen der vorgegebenen Operationen an den Gateway-Server über die sichere Verbindung.
  15. Verfahren gemäß Anspruch 9, wobei das Erkennen lokaler Vorrichtungen das Erkennen lokaler Vorrichtungen gemäß einer Vielzahl von Kommunikationsprotokollen umfasst, die mindestens ein Drahtlosprotokoll mit niedriger Leistung umfassen.
  16. Ein System, das Folgendes beinhaltet: eine Vielzahl von lokalen Vorrichtungen (104-0 bis -n); eine Gateway-Vorrichtung (102, 202) in Kommunikation mit den lokalen Vorrichtungen (104-0 bis -n) über eine drahtlose erste Kommunikationsschnittstelle (236) und in Kommunikation mit einem Netzwerk (206) über eine zweite Kommunikationsschnittstelle, wobei die erste drahtlose Kommunikationsschnittstelle (104-0 bis -n) durch ein erstes Protokoll betreibbar ist und die zweite Kommunikationsschnittstelle (238) durch ein zweites Protokoll betreibbar ist, das sich von dem ersten Protokoll unterscheidet, und wobei die Gateway-Vorrichtung (102, 202) für Folgendes konfiguriert ist: Arbeiten als ein gemeinsamer Zugangspunkt für die lokalen Vorrichtungen (104-0 bis -n) zu mindestens einem Server (108, 208) über das Netzwerk (106, 206), Weiterleiten sicherer Kommunikationen zwischen den lokalen Vorrichtungen (104-0 bis -n) und dem mindestens einen Server (108, 208), um die lokalen Vorrichtungen (104-0 bis -n) gegenüber dem mindestens einen Server (108, 208) zu authentifizieren, und Darstellen von Zuständen der Vielzahl von lokalen Vorrichtungen (104-0 bis -n) als eine logische Vorrichtung mit Bezug auf Zugriffe von dem Netzwerk (106, 206); wobei: jede lokale Vorrichtung (104-0 bis -n) konfiguriert ist, um ein Protokoll zur Bescheinigung einer lokalen Vorrichtung (104-0 bis -n) auszuführen, das Folgendes umfasst: Herstellen einer sicheren Verbindung mit mindestens einem Server (108, 208) über eine durch die Gateway-Vorrichtung (102, 202) hergestellte Verbindung und Authentifiziertwerden der lokalen Vorrichtung (104-0 bis -n) durch den mindestens einen Server (108, 208); und Empfangen und Speichern von Benutzerinformationen für das Zugreifen auf die lokale Vorrichtung (104-0 bis -n) in einem sicheren Speicher der lokalen Vorrichtung (104-0 bis -n).
  17. System gemäß Anspruch 16, wobei: das Netzwerk (106, 206) das Internet umfasst; und die Gateway-Vorrichtung (102, 202) konfiguriert ist, um einen einheitlichen Ressourcenzeiger oder eine Internetprotokoll(IP)-Adresse für den mindestens einen Server (108, 208) zu empfangen, um einen sicheren Kommunikationspfad mit dem mindestens einen Server (108, 208) herzustellen.
  18. System gemäß Anspruch 16 oder 17, wobei: jede lokale Vorrichtung (104-0 bis -n), wenn sie durch den mindestens einen Server (108, 208) authentifiziert wird, für Folgendes konfiguriert ist: Empfangen von Firmware-Adressen von dem mindestens einen Server (108, 208), Ausführen vorgegebener Operationen an Firmware-Werten, die an den Firmware-Adressen gespeichert sind, und Übertragen von Ergebnissen der vorgegebenen Operationen an den mindestens einen Server (108, 208) über die sichere Verbindung.
  19. System gemäß Anspruch 16, wobei die erste Kommunikationsschnittstelle (236) konfiguriert ist, um über eine Vielzahl von unterschiedlichen Drahtlosprotokollen mit den lokalen Vorrichtungen (104-0 bis -n) zu kommunizieren.
  20. System gemäß Anspruch 16, wobei die mindestens eine Gateway-Vorrichtung (102, 202) ferner konfiguriert ist, um einen Schattendienst für die lokalen Vorrichtungen (104-0 bis -n) zu betreiben, indem sie Zustandsinformationen für die lokale Vorrichtung (104-0 bis -n) speichert und abfragt.
DE112019001320.3T 2018-03-12 2019-02-15 Vorrichtungen, systeme und verfahren zum verbinden und authentifizieren lokaler vorrichtungen mit/gegenüber einer gemeinsamen gateway-vorrichtung Active DE112019001320B4 (de)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201862641786P 2018-03-12 2018-03-12
US62/641,786 2018-03-12
US16/135,091 2018-09-19
US16/135,091 US10681544B2 (en) 2018-03-12 2018-09-19 Devices, systems and methods for connecting and authenticating local devices to common gateway device
PCT/US2019/018307 WO2019177746A1 (en) 2018-03-12 2019-02-15 Devices, systems and methods for connecting and authenticating local devices to common gateway device

Publications (2)

Publication Number Publication Date
DE112019001320T5 DE112019001320T5 (de) 2021-02-11
DE112019001320B4 true DE112019001320B4 (de) 2022-09-01

Family

ID=67843700

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112019001320.3T Active DE112019001320B4 (de) 2018-03-12 2019-02-15 Vorrichtungen, systeme und verfahren zum verbinden und authentifizieren lokaler vorrichtungen mit/gegenüber einer gemeinsamen gateway-vorrichtung

Country Status (4)

Country Link
US (3) US10681544B2 (de)
CN (1) CN111819875B (de)
DE (1) DE112019001320B4 (de)
WO (1) WO2019177746A1 (de)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110036619B (zh) * 2016-12-27 2022-08-09 英特尔公司 用于iot协议标识和管理的方法和装置
US10708261B2 (en) * 2018-05-07 2020-07-07 Vmware, Inc. Secure gateway onboarding via mobile devices for internet of things device management
TWI674779B (zh) * 2018-05-09 2019-10-11 奇邑科技股份有限公司 無線通訊系統、通訊方法與隨身收發裝置
CH715441A1 (de) * 2018-10-09 2020-04-15 Legic Identsystems Ag Verfahren und Vorrichtungen zum Kommunizieren zwischen einer Internet-der-Dinge-Vorrichtung und einem Ferncomputersystem.
GB2579574B (en) * 2018-12-03 2021-08-11 Advanced Risc Mach Ltd Bootstrapping with common credential data
CN111614476A (zh) * 2019-02-22 2020-09-01 华为技术有限公司 设备配置方法、系统和装置
US10925118B1 (en) * 2019-08-28 2021-02-16 Icancontrol Tech Co., Ltd Intelligent Industrial Internet of Things system using two-way channel artificial neural network
CN110708692B (zh) * 2019-10-12 2023-11-28 广州三拾七度智能家居有限公司 一种多无线类型的家用网关系统及配网方法
US11522842B2 (en) * 2019-12-18 2022-12-06 Seagate Technology Llc Central trust hub for interconnectivity device registration and data provenance
US11321100B2 (en) * 2020-05-27 2022-05-03 Sap Se Template based integration of multiple cloud-based systems
US20220141658A1 (en) * 2020-11-05 2022-05-05 Visa International Service Association One-time wireless authentication of an internet-of-things device
CN112888029B (zh) * 2021-02-03 2022-08-09 惠州Tcl移动通信有限公司 一种通信方法、计算机设备及计算机可读存储介质
US11611631B2 (en) 2021-02-18 2023-03-21 Panduit Corp. Secure remotely controlled system, device, and method
WO2022266777A1 (en) * 2021-06-25 2022-12-29 Eleven-X Incorporated Method and system for authenticating encrypted communication
KR102495603B1 (ko) * 2022-07-06 2023-02-06 주식회사 빅토리지 Ess 설비 데이터 자동 맵핑과 클라우드 연동을 위한 게이트웨이 엔진을 탑재한 전력 관리 시스템 및 그 구동방법
CN117118477B (zh) * 2023-10-25 2024-01-23 长江信达软件技术(武汉)有限责任公司 LTE、NB-IoT、LoRa和北斗多射频融合电路及信号处理方法和应用

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2728958A2 (de) 2012-11-02 2014-05-07 Industrial Technology Research Institute Verfahren, Vorrichtung und System zum Betrieb von Maschine-zu-Maschine-Vorrichtungen
US9606817B1 (en) 2015-06-23 2017-03-28 Symantec Corporation Systems and methods for virtualizing internet of things (IoT) devices
US20180069836A1 (en) 2016-09-02 2018-03-08 Qualcomm Incorporated Tiered attestation for resource-limited devices

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7907531B2 (en) * 2005-06-13 2011-03-15 Qualcomm Incorporated Apparatus and methods for managing firmware verification on a wireless device
WO2011003004A1 (en) * 2009-07-01 2011-01-06 Zte Corporation Femto access point initialization and authentication
CN102546640B (zh) 2012-01-13 2017-03-01 百度在线网络技术(北京)有限公司 单账号多设备登录时的信息流通方法及服务器
US9202056B2 (en) * 2013-03-15 2015-12-01 Intel Corporation Inter-processor attestation hardware
US9372922B2 (en) 2013-07-11 2016-06-21 Neura, Inc. Data consolidation mechanisms for internet of things integration platform
CN103618706B (zh) 2013-11-19 2018-11-02 深圳Tcl新技术有限公司 智能设备相互访问的控制系统及方法
US20150156266A1 (en) 2013-11-29 2015-06-04 Qualcomm Incorporated Discovering cloud-based services for iot devices in an iot network associated with a user
US9497196B2 (en) 2014-04-01 2016-11-15 Belkin International Inc. IOT device environment detection, identification and caching
US9918351B2 (en) 2014-04-01 2018-03-13 Belkin International Inc. Setup of multiple IOT networks devices
KR102210670B1 (ko) 2014-06-20 2021-02-02 삼성전자 주식회사 게이트웨이에 장치를 등록하는 방법 및 장치
CN105450616B (zh) * 2014-09-23 2019-07-12 中国电信股份有限公司 一种终端的认证方法、受信判定网关、认证服务器和系统
US10083291B2 (en) 2015-02-25 2018-09-25 Verisign, Inc. Automating internet of things security provisioning
US9667635B2 (en) 2015-03-26 2017-05-30 Cisco Technology, Inc. Creating three-party trust relationships for internet of things applications
US10182043B2 (en) 2015-07-17 2019-01-15 Cybrook Inc. Methods and system for user and device management of an IoT network
WO2017053319A1 (en) 2015-09-22 2017-03-30 Mobile Iron, Inc. Containerized architecture to manage internet-connected devices
US20170099647A1 (en) 2015-10-05 2017-04-06 Nebulae LLC Systems and Methods for Registering Devices in a Wireless Network
US10085134B2 (en) * 2015-11-06 2018-09-25 Intel Corporation Technologies for remote management of patient healthcare
GB2559310B (en) 2016-03-11 2021-10-06 Tridonic Gmbh & Co Kg Building technology device communication system with IoT-network devices
CN105897573A (zh) * 2016-05-20 2016-08-24 复旦大学 支持多协议多业务的智能家居网关系统
US20180330368A1 (en) * 2017-05-11 2018-11-15 Circle Media Labs Inc. Secure authenticated passwordless communications between networked devices

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2728958A2 (de) 2012-11-02 2014-05-07 Industrial Technology Research Institute Verfahren, Vorrichtung und System zum Betrieb von Maschine-zu-Maschine-Vorrichtungen
US9606817B1 (en) 2015-06-23 2017-03-28 Symantec Corporation Systems and methods for virtualizing internet of things (IoT) devices
US20180069836A1 (en) 2016-09-02 2018-03-08 Qualcomm Incorporated Tiered attestation for resource-limited devices

Also Published As

Publication number Publication date
US10681544B2 (en) 2020-06-09
CN111819875A (zh) 2020-10-23
US11153754B2 (en) 2021-10-19
US20220116771A1 (en) 2022-04-14
US11678183B2 (en) 2023-06-13
US20200413257A1 (en) 2020-12-31
US20190281455A1 (en) 2019-09-12
CN111819875B (zh) 2022-04-15
DE112019001320T5 (de) 2021-02-11
WO2019177746A1 (en) 2019-09-19

Similar Documents

Publication Publication Date Title
DE112019001320B4 (de) Vorrichtungen, systeme und verfahren zum verbinden und authentifizieren lokaler vorrichtungen mit/gegenüber einer gemeinsamen gateway-vorrichtung
DE112018005260T5 (de) Sichere Gerät-Onboarding-Techniken
US10637661B2 (en) System for user-friendly access control setup using a protected setup
KR102047197B1 (ko) 사물 인터넷을 위한 광역 서비스 발견
US9215234B2 (en) Security actions based on client identity databases
DE112017002283T5 (de) Effiziente bereitstellung von vorrichtungen
DE602005001001T2 (de) Verfahren, Vorrichtungen und Computerprogramm-Produkte für die Initialisierung einer Sicherheitsbeziehung basierend auf physikalischer Nähe in einem drahtlosen Adhoc-Netzwerk
US7934014B2 (en) System for the internet connections, and server for routing connections to a client machine
DE112017008311T5 (de) Technologien zur internet-der-dinge-schlüsselverwaltung
EP3226506B1 (de) Verfeinertes erstellen eines authorisierungstokens
DE112019001209T5 (de) Sicheres Ble-Just-Works-Koppelverfahren gegen Man-In-The-Middle-Angriffe
US10735405B2 (en) Private simultaneous authentication of equals
US20180198786A1 (en) Associating layer 2 and layer 3 sessions for access control
DE112015004267T5 (de) Speicherung und Übertragung von Anwendungsdaten zwischen Vorrichtungen
WO2017066574A1 (en) Coap enhancements to enable an autonomic control plane
EP3447996A1 (de) Ressourcenabonnementverfahren, ressourcenabonnementvorrichtung und ressourcenabonnementsystem
DE112020000948T5 (de) Serverbasierte einrichtung für die verbindung eines geräts mit einem lokalen netzwerk
DE112019005795T5 (de) Zeitstempelbasiertes Einbindungsverfahren für Drahtlosgeräte
CN111328060A (zh) 一种蓝牙设备mesh入网方法和系统及其设备
JP4480346B2 (ja) 情報機器用セキュリティ確保方法およびシステム、ならびに情報機器用セキュリティ確保プログラム
EP3537654B1 (de) Verfahren und system zum ermitteln einer konfiguration einer schnittstelle
CN106656921A (zh) 一种安全策略服务器的地址获取方法和设备
CN113169864A (zh) 利用公共凭据数据进行引导
DE102023110080A1 (de) Verfahren, vorrichtungen und systeme zum automatischen hinzufügen von vorrichtungen zu einem netzwerk unter verwendung drahtloser positionierungstechniken
CN116249224A (zh) 设备的网络接入方法、装置、网络设备及存储介质

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R082 Change of representative