装置凭证管理制造方法及图纸

描述一种用于解析用于装置的装置凭证的技术。示例方法可包含接收装置凭证以用于由服务提供商管理。所述装置凭证可包含认证凭证和装置策略文档，所述装置策略文档指定用于授权由所述装置请求的资源动作的许可。响应于接收请求资源执行与所述装置相关联的资源动作的消息，所述装置可使用所述认证凭证进行认证，且所述资源动作可使用所述装置策略文档中所指定的所述许可进行授权。

Device voucher management

A technique for parsing device credentials for devices is described. An example method may include receiving device credentials for management by a service provider. The device credentials may include authentication credentials and device policy documents that specify permissions for authorizing resource actions requested by the device. In response to receiving a message requesting a resource to perform a resource action associated with the device, the device may authenticate using the authentication credential, and the resource action may authorize using the license specified in the device policy document.

【技术实现步骤摘要】
【国外来华专利技术】装置凭证管理专利技术背景电子装置在社会的许多方面已变得无处不在。在平常的一天过程中，个人可使用智能电话、平板装置和膝上型计算机。汽车和商用车辆同样变得依赖于电子系统来控制和监视许多特征和操作。例如洗衣机、烘干机和冰箱等现代家用电器可由电子系统驱动和控制。制造设施、建筑物加热和冷却系统(HVAC)和耕作设备现在可依赖于电子传感器和控制系统。通信技术的进步已允许甚至相对简单的电子装置在计算机网络上与其它装置和计算系统通信。例如，制造系统中的电子装置可监视制造过程的各种方面且将监视数据传达到制造系统中的其它装置。类似地，嵌入建筑物控制系统中的电子传感器可监视和传达关于建筑物的加热、冷却和通风系统的操作的细节。甚至家用电器会提供以下可能：出于传输状态和接收外部控制通信的目的而配置有通信能力。附图说明图1是说明用于使用装置凭证认证装置的示例系统的框图。图2是说明用于使用装置策略认证装置和授权资源动作的示例系统的框图。图3是说明用于解析用于通过集线器装置与装置管理服务通信的装置的装置凭证的示例系统的框图。图4是说明包含在系统中以用于认证装置和授权装置动作的各种示例组件的框图。图5是说明用于向装置提供对网络服务的访问的示例计算机联网架构的框图。图6是说明包含认证和授权服务的示例计算服务环境的框图。图7是说明用于解析用于装置的装置凭证的示例方法的流程图。图8是说明用于确定装置对资源的访问的示例方法的流程图。图9是说明用于重新指配装置的示例方法的流程图。图10是说明可用于执行解析用于装置的装置凭证的方法的计算装置的示例的框图。具体实施方式描述一种用于管理装置的凭证的技术。装置可为形成大型网络可寻址装置的许多物理装置中的一个。此整个“网络”通常被称为物联网(IoT)。构成网络的装置能够在计算机网络上可寻址和/或最终可寻址(例如，能够接收在计算机网络上发送的中继消息)。装置可被配置成使用安全管理模型在计算机网络上连接到资源，例如服务、应用、和/或其它服务，其中装置的身份与用于装置的凭证无关。例如，用于装置的装置标识符(例如，分配给装置的唯一标识符)可与用于装置的装置凭证(例如，证书、令牌、用户名-密码、签名、装置策略等)分开管理。在安全管理模型下，装置客户可限定装置标识符与装置凭证之间的明确易变或可变相关性，以及限定装置标识符与装置凭证之间的多对多关系。在一个示例中，客户可向装置管理服务注册装置，所述装置管理服务提供服务平台以便于装置连接到服务提供商资源，例如应用、虚拟服务和资源、以及其它装置。装置管理服务可能够支持数十亿装置以及可被处理和路由到服务端点和装置的数万亿条消息。装置管理服务可在与服务提供商环境连接时提供认证和授权。作为向装置管理服务注册装置的部分，客户可使用装置管理控制台或API(应用程序接口)形成和管理装置简档。装置简档可充当装置身份，所述装置简档包含装置序列号、装置标识符、和/或装置元数据。装置注册表可用于管理装置简档。而且，客户可使用装置管理控制台或API形成和管理装置凭证。安全服务可用于管理装置凭证。客户可使装置凭证(例如，已签署证书和装置策略)与装置以及与其它装置相关联，从而允许装置凭证在多个装置当中共享。装置策略可指定用于访问客户的装置通过装置管理服务可获得的资源的许可。客户可通过经由用于资源的装置策略授予和撤回对资源的许可来控制个体装置访问资源。由装置策略指定的装置许可可在装置身份级别或装置凭证级别下管理。而且，装置策略的一些说明可使用替换变量(例如，装置属性)替换，从而允许装置策略应用到多个装置。例如，包含动态参数(例如，装置名称、装置位置、装置能力等)的通用装置策略可实施用于一类装置，且动态参数可响应于来自装置的连接请求而使用用于装置的装置属性(例如，装置名称、装置位置、装置能力等)填充。作为非限制性示例，作为来自装置的到资源的连接请求的部分，装置可使用由装置提供的已签署凭证进行认证。在认证装置之后，可通过以下方式授权连接请求：标识用于连接请求的装置策略；标识用于装置的装置简档；以及利用从装置简档获得的元数据填充装置策略中的动态参数。为了进一步描述本技术，现在参考图提供示例。图1是说明用于认证装置102的系统100的示例的高级图。系统100可包含装置管理服务104，所述装置管理服务104用于提供平台以用于将装置102连接到资源108(例如，管理服务)和其它装置102，以及使得应用能够与装置102交互。装置管理服务104可包含认证和授权服务106、装置注册表110、凭证数据存储区116、以及其它组件。在一个示例中，认证和授权服务106可被配置成认证与连接到资源108、应用、或另一装置的请求相关联的装置102。认证和授权服务106可被配置成支持各种认证方法，包含签名、证书、令牌、用户名-密码、以及其它认证方法。所使用的一种认证方法可基于由装置102使用的连接协议。例如，使用HTTP(超文本传输协议)连接到装置管理服务104的装置102可使用签名或证书认证，而使用MQTT(MQ遥测传输)的装置连接可使用基于证书的认证，且使用WebSocket的装置连接可使用签名认证。因此，认证和授权服务106可被配置成使用认证方法，所述认证方法使用由装置102使用的连接协议。如所说明，用于认证和授权装置动作(例如连接到资源或请求资源动作)的装置凭证112可与用于装置102的装置简档114分开管理，由此使装置凭证112与装置102的身份解耦。在过去，用于连接到装置管理服务104的装置的装置安全性包含装置的身份与安全凭证之间的紧密耦合，所述安全凭证向装置提供对资源108、应用、或其它装置的访问。由于装置身份与安全凭证之间的紧密耦合，每个装置可已分配有存储在装置自身上的其自身的安全凭证。由于本技术，装置凭证112可与装置简档114分开管理，从而使装置凭证112与装置身份解耦，且许可装置凭证112与不止一个装置102相关联。在一个示例中，装置注册表110可用于管理装置简档114。装置简档114可包含标识信息，包含但不限于装置序列号、装置标识符、以及装置元数据。说明性地，装置标识符可用于唯一地标识装置102、管理装置许可、追踪装置事务等。作为向装置管理服务104注册装置102的部分，装置客户可形成用于装置102的装置简档114且将装置标识符114分配给装置102。然后，客户可经由装置简档114管理用于装置102的装置信息。而且，作为向装置管理服务104注册装置102的部分，可形成用于装置102的装置凭证112，或客户可提供现有装置凭证112，且装置凭证112可与凭证数据存储区116中的装置简档114分开管理。装置凭证112可允许装置102安全地连接到装置管理服务104且通过装置管理服务104访问资源108、应用、和/或其它装置。在一个示例中，客户可通过使装置凭证112链接到装置简档114而使装置凭证112与装置身份相关联。也就是说，装置凭证112可被链接到包含在装置简档114中的装置标识符或装置元数据。...

【技术保护点】
1.一种用于解析用于装置的凭证的系统，其包括：/n至少一个处理器；/n凭证数据存储区，所述凭证数据存储区用于存储装置凭证；/n存储器装置，所述存储器装置包含指令，所述指令在由所述至少一个处理器执行时使所述系统来：/n接收装置凭证，所述装置凭证包含待由服务提供商管理的认证凭证和装置策略文档，其中所述认证凭证用于认证被配置成经由网络与由所述服务提供商提供的资源通信的装置，且所述装置策略文档指定用于授权由所述装置请求的资源动作的许可；/n从所述装置接收消息，所述消息请求所管理服务执行动作，其中所述装置与由所述服务提供商提供的所述所管理服务网络通信，且所述消息包含用于所述装置的所述认证凭证；/n使用所述认证凭证认证所述装置；/n从所述凭证数据存储区获得链接到所述装置的所述装置策略文档，其中所述装置策略文档指定用于所述所管理服务的装置许可；/n确定所述装置策略文档的所述装置许可允许所述装置请求执行所述动作；以及/n授权将所述请求发送到所述所管理服务以执行计算服务。/n

【技术特征摘要】
【国外来华专利技术】20170322 US 15/466,6591.一种用于解析用于装置的凭证的系统，其包括：
至少一个处理器；
凭证数据存储区，所述凭证数据存储区用于存储装置凭证；
存储器装置，所述存储器装置包含指令，所述指令在由所述至少一个处理器执行时使所述系统来：
接收装置凭证，所述装置凭证包含待由服务提供商管理的认证凭证和装置策略文档，其中所述认证凭证用于认证被配置成经由网络与由所述服务提供商提供的资源通信的装置，且所述装置策略文档指定用于授权由所述装置请求的资源动作的许可；
从所述装置接收消息，所述消息请求所管理服务执行动作，其中所述装置与由所述服务提供商提供的所述所管理服务网络通信，且所述消息包含用于所述装置的所述认证凭证；
使用所述认证凭证认证所述装置；
从所述凭证数据存储区获得链接到所述装置的所述装置策略文档，其中所述装置策略文档指定用于所述所管理服务的装置许可；
确定所述装置策略文档的所述装置许可允许所述装置请求执行所述动作；以及
授权将所述请求发送到所述所管理服务以执行计算服务。


2.根据权利要求1所述的系统，其中所述存储器装置包含指令，所述指令在由所述处理器执行时使所述系统进一步获得用于标识链接到所述装置的所述装置策略文档的用于所述装置的元数据。


3.根据权利要求1所述的系统，其进一步包括获得用于所述装置的装置简档。


4.根据权利要求3所述的系统，其进一步包括利用从所述装置简档获得的元数据填充所述装置策略文档中的与策略条件相关联的参数。


5.一种计算机实施的方法，其包括：
接收装置凭证，所述装置凭证包含用于由服务提供商管理的认证凭证和装置策略文档，其中所述认证凭证用于认证被配置成经由网络与由服务提供商提供的资源通信的装置，且所述装置策略文档指定用于授权由所述装置请求的资源动作的许可；
接收请求资源执行与所述装置相关联的资源动作的消息；
使用用于所述装置的所述认证凭证认证所述装置；
获得指定用于授权所述资源动作的所述许可的所述装置策略文档；以及
使用所述装置策略文档中所指定的所述许可授权所述资源动作。


6.根据权利要求5所述的方法，其中所述装置策略文档链接到多个装置。

【专利技术属性】
技术研发人员：R·洛拉迪亚，A·塔库尔，W·A·斯蒂文森，R·巴塔查里亚，
申请(专利权)人：亚马逊技术公司，
类型：发明
国别省市：美国;US