保护物联网中的设备通信制造技术

这里认识到，从安全角度来看，用于物联网(IoT)架构的当前消息传递协议通常很弱，并且通常不太适合于资源受限的设备。这里描述的示例IoT系统使用IoT消息传递协议的帮助来组合设备认证和应用层密钥建立。所述IoT系统可以包括信任中介者和边缘网关，所述信任中介者用作设备的注册点，所述边缘网关管理给定设备和所述信任中介者(以及IoT服务器)之间的通信。所述边缘网关可以获取可信任角色，使得它可以是用于设备‑服务器消息传递的安全中间机构，并且使得它可以促进对于服务的设备认证。

Protecting Equipment Communication in the Internet of Things

【技术实现步骤摘要】
【国外来华专利技术】保护物联网中的设备通信相关申请的交叉引用本申请要求2017年2月6日提交的美国临时专利申请No.62/455,071的优先权，其公开内容通过引用整体并入本文。
技术介绍
物联网(IoT)中的设备通常不直接连接到通信网络。通常，小型IoT设备连接到集线器和网关，其转而建立与因特网的连接。这种设备的特征是它们通过网关的连接是松散的。例如，所述设备并不总是连接到网络服务以及可以由该网络服务可达，并且它们的带宽可能很低。此外，IoT设备通常具有较长的使用寿命，并且被部署在远程难以到达的区域。用于这种资源受限的IoT设备的典型应用层通信协议遵循简单的以消息为中心的范例，例如发布(pub)/订阅(sub)方法。发布/订阅协议的示例是由OASIS指定的消息队列遥测传输(MQTT)协议。关于MQTT发布/订阅的示例在图2中示出。MQTT是一种通过TCP/IP运行的微小发布/订阅消息传递协议。因此，它可以被直接用于连接到IP网络的IoT设备，例如用于6LoWPAN上的无线连接。对于非IP传输层(例如，紫蜂(Zigbee))，已指定变体MQTT-SN。在发布/订阅协议中，IoT设备通常建立到服务器的松散连接，该服务器可以被称为IoT(消息)中介者(Broker)。所述IoT设备可以将“发布”消息中的有效载荷数据发送到所述中介者，其可以被指派给某个“主题”。其他设备“订阅”所述中介者处的所提及的主题，并接收具有上述有效载荷内容(或从有效载荷处理得到的数据)的推送消息。作为示例，MQTT通常仅提供基本安全性。例如，MQTT在连接到中介者时使用设备的标识符/密码认证，但其他安全性则被留在了协议规范以外。所述有效载荷的应用层加密(未在MQTT中指定)可用于机密性保护。在某些情况下，通过使用带有X.509证书的TLS进行设备认证，可以为MQTT实现设备-服务器认证和通信保密。
技术实现思路
这里认识到，从安全角度来看，用于IoT架构的当前消息传递协议通常很弱，并且通常不太适合于资源受限的设备。这里描述的示例IoT系统使用IoT消息传递协议的帮助来组合设备认证和应用层密钥建立。所述IoT系统可以包括：信任中介者(trustbroker)节点，其充当设备的注册点；以及边缘网关节点，其管理给定设备与所述信任中介者节点(和IoT服务器)之间的通信。所述边缘网关可以获取可信任角色，使得它可以是用于设备-服务器消息传递的安全中间机构，并且使得它可以促进对于服务的设备认证。在示例中，网关节点从IoT设备接收连接请求。该连接请求可以指示与所述IoT设备相关联的身份标识。所述连接请求还可以指示所述IoT设备想要连接的信息节点。基于所述连接请求，所述网关节点可以确定所述IoT设备未被该网关节点认证。基于与所述IoT设备相关联的身份标识，所述网关节点可以从多个信任中介者节点中选择信任中介者节点。所述网关节点可以建立与所述IoT设备和所选信任中介者节点相关联的代理规则。根据该代理规则，所述网关节点可以在来自所述IoT设备的连接请求之后将该连接请求和出站消息发送到所选信任中介者节点。在一些情况下，所述网关节点可以从所述IoT设备接收订阅消息。该订阅消息可以包括主题。所述网关节点还可以确定来自所选信任中介者节点的发布消息被发布在所述主题下，并且响应于确定所述发布消息被发布在所述主题下，所述网关节点可以将所述发布消息发送到所述IoT设备。所述发布消息可以包括针对所述IoT设备的认证质询。提供本
技术实现思路
是为了以简化的形式介绍一些概念，这些概念将在下面的具体实施方式中进一步描述。本
技术实现思路
不旨在标识所要求保护的主题的关键特征或必要特征，也不旨在用于限制所要求保护的主题的范围。此外，所要求保护的主题不限于解决在本公开的任何部分中提到的任何或所有缺点的限制。附图说明图1A是示出其中可以实施一个或多个公开的实施例的示例通信系统的系统图。图1B是示出了可在图1A中所示的通信系统内使用的示例WTRU的系统图。图1C是示出了可在图1A中所示的通信系统内使用的示例无线电接入网络和另一示例核心网络的系统图。图1D是示出了可在图1A中所示的通信系统内使用的另一示例无线电接入网络和另一示例核心网络的系统图。图1E是示出了可在图1A中所示的通信系统内使用的另一示例无线电接入网络和另一示例核心网络的系统图。图2是示例MQTT发布/订阅系统架构。图3示出了根据示例实施例的系统图和相应的消息流。图4是根据示例实施例的用于保护IoT设备的通信的呼叫流程。具体实施方式现在将参考各附图描述说明性实施例的详细描述。尽管该描述提供了可能实施方式的详细示例，但是应该注意，该细节旨在是示例性的，并且决不限制本申请的范围。本文认识到，对于甚至基本安全性，用于IoT架构的流行消息传递协议通常较弱。在此进一步认识到，一些提出的解决方案(例如，使用TLS和X.509证书进行认证和信道保护)并不适合资源受限的设备和持久的IoT部署。例如，生命周期有限的加密证书不适合长期部署。因此，在此认识到在当前基于发布/订阅协议的IoT架构中缺少一些特征。例如，在下面描述的各种示例实施例中，存在设备到服务器(例如，到消息中介者)的安全认证，该安全认证是有效的，以便不会给设备带来计算负担和给基础设施造成通信开销，并且可以建立短期密钥(可以类似于会话密钥)以保护消息有效载荷。总体上参考图3和4，示例IoT系统200包括边缘网关或IoT网关节点202，其是通常存在于IoT架构中的实体；信任中介者或信任中介者节点204；IoT设备206；以及IoT信息中介者或信息节点208。可以理解，图2和图3中所示的网络或系统被简化以便于描述所公开的主题，并且不旨在限制本公开的范围。除了所示网络之外或代替所示网络，可以使用其他设备、系统和配置来实施本文公开的实施例，并且所有这样的实施例都被认为是在本公开的范围内。所述网关202可以与专用服务器(该专用服务器可以是信任中介者节点204)协作，以建立期望的信任关系，从而同时确保真实性和安全设备通信。在一些情况下，只要IoT设备206未经认证，IoT网关202就可以控制该IoT设备206的通信，使得它不会对所述IoT系统200造成损害。然后，信任中介者204可以认证所述设备206，并且向网关202释放用于通信保护的秘密(secret)。所述设备206、网关202和其他授权实体可以使用该秘密来保护应用层上的去往与来自所述设备206的通信。另外，所述信任中介者204可以向所述设备206释放凭证，其可以用于向IoT服务认证所述设备。在示例实施例中，存在注册阶段，之后是连接阶段。在注册期间，在示例中，所述IoT设备206可以注册到所述信任中介者204的全局数据库。该全局数据库可以包括由各种服务提供商(例如，Google)提供(例如，安装)的设备的身份标识。所述全局数据库可用于识别和认证新设备。在给定设备已被识别和认证之后，其可被注册到网关202，并且被登记到信息中介者(例如，信息节点208)。该信息节点208可以是连接到因特网的服务实体，其中部署在各个站点的IoT设备可与之交换数据。在一些情况下，所述IoT信息中介者208尤其可以以某种重新散列或聚合的形式例如通过网络接口或移动应用向用户提供IoT数据。如这里所本文档来自技高网...

【技术保护点】
1.一种网络中的网关节点，所述网关节点包括处理器和存储器，所述网关节点还包括存储在所述网关节点的所述存储器中的计算机可执行指令，当由所述网关节点的所述处理器执行时，所述计算机可执行指令使所述网关节点执行包括以下的操作：接收来自IoT设备的连接请求，该连接请求指示：1)与所述IoT设备相关联的身份标识，以及2)所述IoT设备想要连接的信息节点；基于所述连接请求，确定所述IoT设备未通过所述网关节点认证；基于与所述IoT设备相关联的所述身份标识，从多个信任中介者节点中选择信任中介者节点；建立与所述IoT设备和所选信任中介者节点相关联的代理规则；根据所述代理规则，在来自所述所述IoT设备的所述连接请求之后，将所述连接请求和出站消息发送到所选信任中介者节点。

【技术特征摘要】
【国外来华专利技术】2017.02.06 US 62/455,0711.一种网络中的网关节点，所述网关节点包括处理器和存储器，所述网关节点还包括存储在所述网关节点的所述存储器中的计算机可执行指令，当由所述网关节点的所述处理器执行时，所述计算机可执行指令使所述网关节点执行包括以下的操作：接收来自IoT设备的连接请求，该连接请求指示：1)与所述IoT设备相关联的身份标识，以及2)所述IoT设备想要连接的信息节点；基于所述连接请求，确定所述IoT设备未通过所述网关节点认证；基于与所述IoT设备相关联的所述身份标识，从多个信任中介者节点中选择信任中介者节点；建立与所述IoT设备和所选信任中介者节点相关联的代理规则；根据所述代理规则，在来自所述所述IoT设备的所述连接请求之后，将所述连接请求和出站消息发送到所选信任中介者节点。2.根据权利要求1所述的网关节点，所述网关节点还包括存储在所述网关节点的所述存储器中的计算机可执行指令，当由所述网关节点的所述处理器执行时，所述计算机可执行指令使所述网关节点进一步执行包括以下的操作：接收来自所述IoT设备的订阅消息，该订阅消息包括主题；确定来自所选信任中介者节点的发布消息被发布在所述主题下；以及响应于确定所述发布消息被发布在所述主题下，将所述发布消息发送到所述IoT设备，该发布消息包括来自所选信任中介者节点的认证质询。3.根据权利要求2所述的网关节点，所述网关节点还包括存储在所述网关节点的所述存储器中的计算机可执行指令，当由所述网关节点的所述处理器执行时，所述计算机可执行指令使所述网关节点进一步执行包括以下的操作：响应于所述认证质询，从所述IoT设备接收认证响应；基于所述认证响应，从所选信任中介者节点接收所述IoT设备的证书，该证书使所述IoT设备能够连接到所述信息节点。4.根据前述权利要求中任一项所述的网关节点，所述网关节点还包括存储在所述网关节点的所述存储器中的计算机可执行指令，当由所述网关节点的所述处理器执行时，所述计算机可执行指令使所述网关节点进一步执行包括以下的操作：从所选信任中介者节点接收入站消息；以及根据所述代理规则，将所述入站消息发送到所述IoT设备。5.根据前述权利要求中任一项所述的网关节点，所述网关节点还包括存储在所述网关节点的所述存储器中的计算机可执行指令，当由所述网关节点的所述处理器执行时，所述计算机可执行指令使所述网关节点进一步执行包括以下的操作：接收多个目的地为所述IoT设备的入站消息，该多个入站消息来自多个网络节点；以及根据所述代理规则，仅将来自所选信任中介者节点的所述多个入站消息发送到所述IoT设备。6.根据权利要求1所述的网关节点，所述网关节点还包括存储在所述网关节点的所述存储器中的计算机可执行指令，当由所述网关节点的所述处理器执行时，所述计算机可执行指令使所述网关节点进一步执行包括以下的操作：从所选信任中介者节点接收信任消息，该信任消息指示在所述信任中介者节点和所述IoT设备之间已完成信任建立交换；以及响应于所述信任消息，移除所述代理规则，使得来自所述IoT设备的出站消息被发送到所述信息节点。7.根据权利要求6所述的网关节点，所述网关节点还包括存储在所述网关节点的所述存储器中的计算机可执行指令，当由所述网关节点的所述处理器执行时，所述计算机可执行指...

【专利技术属性】
技术研发人员：安德烈亚斯·施密特，
申请(专利权)人：PCMS控股公司，
类型：发明
国别省市：美国,US