使用信任管理器和安全代理器提供对嵌入式装置的安全访问的系统和方法

专利名称：使用信任管理器和安全代理器提供对嵌入式装置的安全访问的系统和方法
技术领域：
本发明一般地涉及计算机和计算机相关技术。更具体地说，
本发明涉及使用信任管理器和安全代理器(broker)提供对嵌入 式装置的安全访问。
背景技术：
计算机和通信技术持续以快速的步伐前进。实际上，计算 机和通信技术涉及人们日常生活的很多方面。例如，现今消费 者正在使用的很多装置，在装置的内部具有小型计算机。这些 小型计算机具有不同的大小和精密度。这些小型计算机包括从
一个微型控制器到全功能的完整计算机系统的每一种。例如， 这些小型计算机可能是例如微型控制器的单片计算机、例如控 制器的单板型计算机、例如IBM-PC兼容机的典型台式计算机 等。
计算机一般具有一个或多个在计算机核心的处理器。处理 器通常与不同的外部输入和输出相互连接，用来管理特定计算 机或装置。例如，可以将自动调温器中的处理器连接到用于选 择温度设置的按钮、连接到暖炉或空调以改变温度、连接到温 度传感器以读取当前温度并将其显示在显示器上。
很多电器、装置等包括一个或多个小型计算机。例如，自 动调温器、暖炉、空调系统、电冰箱、电话、打字机、汽车、 自动售货机、及很多不同种类的工业设备，现在一般在其内部 具有小型计算机或处理器。计算机软件使这些计算机的处理器 运行并指示处理器如何执行某个任务。例如，在自动调温器上
运行的计算机软件可以在达到特定温度时使空调停止运行，或 可以在需要时打开加热器。
通常将作为装置、电器、工具等的一部分的这些种类的小 型计算机称为嵌入式装置或嵌入式系统。(这里，术语"嵌入式
装置"和"嵌入式系统"可互换使用。)嵌入式系统通常指作为 更大系统的一部分的计算机硬件和软件。嵌入式系统可以不具 有例如键盘、鼠标、和/或监视器的典型的输入和输出装置。通 常，在每个嵌入式系统的核心，是一个或多个处理器。
照明系统可以包含嵌入式系统。嵌入式系统可以用于监—见 并控制照明系统的效果。例如，嵌入式系统可以提供调暗照明 系统内灯的亮度的控制。作为选择，嵌入式系统可以提供增加 灯的亮度的控制。嵌入式系统可以对照明系统内的各灯提供启 动特定的照明模式的控制。可以将嵌入式系统连接到照明系统 内的各开关。这些嵌入式系统可以指示开关对各灯或整个照明 系统通电或断电。类似地，可以将嵌入式系统连接到照明系统 内的各灯。通过嵌入式系统可以控制每一个独立的灯的亮度或 电源状态。
安全系统也可以包含嵌入式系统。嵌入式系统可以用来控 制组成安全系统的各安全传感器。例如，嵌入式系统可以提供 对每个安全传感器自动通电的控制。可以将嵌入式系统连接到 各安全传感器中的每一个。例如，可以将嵌入式系统连接到运 动传感器。如果检测到运动，则嵌入式系统可以自动给独立的 运动传感器通电，并提供启动运动传感器的控制。启动运动传
感器可以包括提供给位于运动传感器内的LED通电、从运动传
感器的输出端口输出警报等指令。嵌入式系统还可以连接到监 视门的传感器。当门被打开或关闭时，嵌入式系统可以对监视 门的传感器提供指令以使其启动。类似地，可以将嵌入式系统
连接到监视窗户的传感器。如果窗户被打开或关闭，则嵌入式 系统可以提供启动监视窗户的传感器的指令。
一些嵌入式系统还可以用来控制例如*奪窝式电话的无线产 品。嵌入式系统可以提供给蜂窝式电话的L E D显示器通电的指 令。嵌入式系统还可以启动蜂窝式电话内的音频扬声器从而向 用户提供关于蜂窝式电话的音频通知。
家用电器也可以包含嵌入式系统。家用电器可以包括在传 统厨房中通常使用的电器，例如，炉、电冰箱、微波炉等。家 用电器还可以包括与用户的健康和舒适相关的电器。例如，按 摩躺椅可以包含嵌入式系统。嵌入式系统可以根据用户的偏好 提供使椅子的背部自动倾斜的指令。嵌入式系统还可以根据用令。
在家庭中通常备有的附加产品也可以包含嵌入式系统。例 如，可以将嵌入式系统用在厕所内以控制用来补充储水箱中的 水的水平位置。可以将嵌入式系统用在喷射式浴缸内以控制空 气的5虎出。
如上所述，嵌入式系统可以用来监视或控制很多不同的系
统、资源、产品等。随着因特网和万维网(World Wide Web)的 发展，嵌入式系统被越来越多地连接到因特网，从而可以远程 地监视和/或控制它们。其它嵌入式系统可以被连接到包括局域 网、广域网等的计算机网络。如这里所用的，术语"计算机网 络"(或简称为"网络")指通过通信路径将一系列节点相互连 接的任何系统。术语"节点"指可以作为计算机网络的一部分 连接的任何装置。
一些嵌入式系统可以使用计算机网络向其它计算装置提供 数据和/或服务。作为选择，可能存在使用计算机网络向其它计
算装置提供数据和/或服务的典型计算机或计算装置。有时，使
保持安全连接所需的保密信息(secret)的数量最少是有益的。使 用大量保密信息可能导致通过网络的附加业务量。这些情况以 及其它情况可能导致通过网络的通信效率低下。如果使用信任 管理器和安全代理器提供对嵌入式装置的安全访问的系统和方 法可行，则可以受益。

发明内容
公开了用于使用信任管理器和安全代理器提供对嵌入式装
置的安全访问的系统和方法。在示例实施例中，信任管理器从
客户端接收访问与安全代理器进行电子通信的至少 一 个嵌入式
装置的请求。信任管理器从客户端接收客户端账户信息，判断
客户端账户信息是否有效，并判断客户端是否被授权访问(各)
嵌入式装置。信任管理器还从该安全代理器接收安全代理器账
户信息，判断安全代理器账户信息是否有效，并判断安全代理
器是否被授权访问(各)嵌入式装置。如果来自客户端的客户端
账户信息有效且客户端被授权访问(各)嵌入式装置，以及如果
来自安全代理器的安全代理器账户信息有效且该安全代理器被
授权访问(各)嵌入式装置，则信任管理器在客户端与安全代理 器之间建立安全可信的连接。
可以响应于来自客户端的、访问(各)嵌入式装置的请求执 行上述方法。作为选择，可以响应于来自安全代理器的请求执 行该方法。
客户端账户信息可以包括客户端的安全证书，以及客户 端的授权信息。客户端的安全证书可以包括客户端标识符和客 户端保密信息。客户端的授权信息可以包括装置访问许可，即， 授权客户端访问的(各)装置。
同样地，安全代理器账户信息可以包括安全代理器的安
全证书，以及安全代理器的授权信息。安全代理器的安全证书 可以包括安全代理器标识符和安全代理器保密信息。安全代理 器的授权信息可以包括装置提供许可，即，授权安全代理器提 供访问的(各)装置。


根据以下结合附图的说明和所附权利要求，本发明的示例 实施例将变得更充分明显。应当理解，这些附图只说明示例实 施例，因此不应考虑为是对发明范围的限制，通过使用下列附
图，更具体和详细地说明本发明的示例实施例，其中
图l是示出根据实施例的用于使用信任管理器和安全代理
器提供对嵌入式装置的安全访问的系统的框图2是示出根据另 一个实施例的用于使用信任管理器和安
全代理器提供对嵌入式装置的安全访问的系统的框图3是示出用于使用信任管理器和安全代理器对嵌入式装
置提供安全访问的方法的 一个实施例的流程图4是示出用于使用网络中的信任管理器和安全代理器来
提供对嵌入式装置的安全访问的方法的定时图，其中，该方法
由客户端启动；
图5是示出用于使用网络中的信任管理器和安全代理器来 提供对嵌入式装置的安全访问的方法的定时图，其中，该方法 由安全代理器启动；
图6是存储在信任管理器上的各组件的实施例的框图； 图7是存储在信任管理器上的客户端账户数据库的实施例 的框图8是存储在信任管理器上的安全代理器账户数据库的实
施例的框图9是示出存储在客户端上的信息的客户端实施例的框图； 图10是示出存储在安全代理器上的信息的安全代理器实施 例的框图ll是用于使用网络上的信任管理器和安全代理器来提供
对嵌入式装置的安全访问的方法的实施例的流程图，其中，该
方法由客户端启动；
图12是用于使用网络上的信任管理器和安全代理器来提供
对嵌入式装置的安全访问的方法的实施例的流程图，其中，该
方法由安全代理器启动；
图13是可以在可以通过安全代理器访问的计算装置实施例
中使用的各硬件组件的框图14示出可以实现本系统和方法的示例照明系统；
图15示出可以实现本系统和方法的示例安全系统；以及
图16示出可以实现本系统和方法的示例家庭控制器系统。
具体实施例方式
现在参考

本发明的各种实施例，其中同样的附图 标记表示相同或功能相似的元件。这里，如在图中一般性说明 和示出的，本发明的实施例可以以很多种不同的结构来设置和 设计。因此，以下对如图所示的本发明的若千示例实施例的更 详细的说明，不像权利要求那样旨在限制本发明的范围，而仅 仅是发明的实施例的代表。
在这里专用的词"示例性"意味着"作为实施例、例子或 图示"。在这里作为"示例性，，说明的任何实施例不必解释为比 其它实施例优选或有利。尽管在附图中呈现了实施例的多种方 面，但除非特别指出，附图不必按比例画出。
这里公开的实施例的很多特征可以作为计算机软件、电子 硬件、或二者的结合来实现。为了清楚地说明硬件和软件的这 种可互换性， 一般根据各种组件的功能来对其进行说明。这种 功能是以硬件实现还是以软件实现取决于具体应用和施加在整 个系统上的设计限制。本领域的技术人员针对每个具体应用可 以以不同的方式实现所述功能，但是这种实现决定不应,皮解释 为脱离了本发明的范围。
在所述功能作为计算机软件来实现的情况下，这种软件可
以包括位于存储器装置内和/或作为电信号通过系统总线或网 络发送的任何种类的计算机指令或计算机可执行代码。实现与 这里所述的组件相关的功能的软件可以包括单个指令或多个指 令，可以将该软件分配到若干不同的代码段，不同的程序中， 以及跨越几个存储器装置。
提供想要安全交互的装置和客户端的安全网络难以管理， 甚至可能与某些装置是不可能的。随着网络规模的增大，管理 问题可能同样增大。例如，难以存储和管理潜在地成百万装置 的安全i正书。
安全代理器可以被准予允许其提供对各种装置的访问的许 可。信任管理器可以在客户端与安全代理器之间建立信任。因 为装置可能不能提供例如装置识别和保密信息的安全证书，所 以也可以使用信任管理器和安全代理器。该装置可能也不能用 所要求的安全协议通信。为了减少可以对网络安装、配置以及 管理的安全证书的数量，也可以使用信任管理器和安全代理器。 安全代理器可以连接到几个装置。使用具有信任管理器的安全 代理器可以消除将每个装置的保密信息存储在该信任管理器上 的需要。代替地，该信任管理器只需要对每个安全代理器存储 一个保密信息。这可以显著减少存储在信任管理器上的保密信
息的数量。
在典型网络中，安全接入点可以具有网络中各端点之间的 默示信任。安全接入点的该默示信任可以打开各端点之 一 以从 另一个端点进行不限制的访问。从安全的观点出发，这种不限 制的访问是存在问题的。
与安全接入点的默示信任形成对比，安全代理器可以使用 信任管理器，该信任管理器建立该安全代理器可以提供安全访 问的装置并对允许访问类型设置限制。对于通过安全代理器访 问装置的客户端，客户端可能需要具有特定、列举的装置许可， 代理器可能需要具有特定、列举的装置代理许可。在某些实施 例中，如果准许客户端进行访问，则该客户端可以信任安全代 理器可以提供对该客户端需要访问的装置的访问。
图l是示出根据实施例的用于使用信任管理器108和安全代
理器110提供对嵌入式装置10 2的安全访问的系统10 0的框图。客 户端104与信任管理器108和安全代理器110进行电子通信。可以 通过一个或多个网络106,在客户端104、信任管理器108以及安 全代理器110之间进行通信。
装置102还与安全代理器IIO进行电子通信。装置102可以通 过一个或多个网络(未示出)与安全代理器110通信。当然，变换 实施例可以包括一个以上的客户端104、安全代理器110或装置 102。
图2是示出根据另 一个实施例的用于使用信任管理器208和 安全代理器210来提供对嵌入式装置202的安全访问的系统200 的框图。与图l的实施例相同，系统200包括信任管理器208。然 而，在图2所示的实施例中，系统200包括多个客户端204、多 个安全代理器210和多个装置202。尤其是，系统200包括客户 端A 204a、客户端B 204b以及客户端C 204c。系统200还包括 安全代理器A210a和安全代理器B 210b。系统200进一步包括 装置A202a、装置B 202b、装置C 202c、装置D 202d、装置E 202e 以及装置F 202f。通过一个或多个计算机网络206，在客户端 204、安全代理器210以及信任管理器208之间可以进行通信。安 全代理器210a、 210b也与多个装置202进行电子通信。尤其是， 安全代理器A 210a与装置A 202a、装置C 202c以及装置D 202d 进行电子通信。安全代理器B 210b与装置B 202b、装置E 202e 以及装置F 202f进行电子通信。
图3是示出用于使用信任管理器108和安全代理器110来提 供对嵌入式装置102的安全访问的方法300的 一个实施例的流程 图。根据方法300,客户端104可以从信任管理器108请求对希望 的装置102进行访问(302)。客户端104可能希望访问装置，例如， 获取存储在装置102上的信息或由装置102提供的服务。
响应从客户端104接收到的请求，信任管理器108可以接收 泉户端的账户信息(304)。账户信息可以包括安全i正书和4受权信
证书可以包括客户端ID和客户端保密信息。客户端104的授权 信息可以识别希望在装置102上实行的特定许可。
信任管理器108可以判断客户端账户信息的有效性(306)。 判断客户端账户信息的有效性(306)可以包括认证客户端104。 例如，信任管理器108可以将由客户端104提供的安全证书与客 户端104的有效安全证书进行比较。可以将有效安全证书存储在 信任管理器108中。当然，可以使用其它方法认证客户端104。 判断客户端账户信息的有效性(306)还包括核实客户端104被授 权访问希望的装置10 2 。这可以包括根据对客户端10 4存储在信 任管理器108中的许可，评估包括在授权信息中的许可。
信任管理器108可以请求安全代理器110的账户信息(308)。
与客户端104的账户信息相同，安全代理器1 IO的账户信息可以
包括安全证书和授权信息。安全证书可以用来判断安全代理器
IIO是否是其所呈现的。安全代理器110的安全证书可以包括安 全代理器ID和安全代理器保密信息。安全代理器110的授权信 息可以包括可以指出授权安全代理器110提供访问的装置10 2 的装置许可。信任管理器108可以判断安全代理器账户信息的有 效性(310)。判断安全代理器110的账户信息的有效性(310)可以 包括认证安全代理器IIO。例如，信任管理器108可以将由安全 代理器110^是供的安全证书与安全代理器110的有效安全证书进 行比较。可以将该有效安全证书存储在信任管理器108中。当然， 可以使用其它方法来认证安全代理器IIO。判断安全代理器IIO 的账户信息的有效性(310)还可以包括根据对安全代理器110存 储在信任管理器10 8中的装置许可评估包括在授权信息中的装 置许可，以核实安全代理器11 O被授权对希望的装置102提供访 问。这可以包括评估安全代理器110的装置许可。
如果信任管理器108判断为客户端104的账户信息和安全代 理器IIO的账户信息有效，则信任管理器108可以准许客户端104 通过安全代理器110访问请求的装置102(312)。然后，安全代理 器110向客户端104提供对请求的装置102的访问(314)。
在某些实施例中，客户端104可以作为安全代理器110的中 继。换句话说，信任管理器108可以基于其通过客户端104接收 的安全代理器110的信息认证安全代理器110。如果发生这种情 况，则信任管理器10 8可以不必直接从安全代理器110本身接收 安全证书。此外，在其它实施例中，客户端104可以在向信任管 理器108请求访问装置102的同时提供客户端104的账户信息。在 又一个实施例中，可以同时将所需的全部信息(客户端信息和安 全代理器信息)从客户端104传送到信任管理器108。
图4是示出根据实施例的客户端4 04 、信任管理器4 0 8以及安 全代理器410之间的通信的定时图400。该定时图400包括时间轴 401。
在时间tl,客户端404从信任管理器408请求对装置102进行 访问(405)。在时间t2，信任管理器408接收客户端404的账户信 息(425)。如上所述，客户端404的账户信息可以包括安全证书 (例如，客户端ID、客户端保密信息)和授权信息(例如，所请求 的许可)。作为响应，信任管理器408判断客户端404的账户信息 的有效性。
在时间t3 ,信任管理器408接收安全代理器410的账户信息 (445)。作为响应，信任管理器408判断安全代理器410的账户信 息的有效性。
如果信任管理器408能够核实客户端404的账户信息和安全 代理器410的账户信息，则在时间t4,信任管理器408向客户端 404提供对安全代理器410的访问(455)。在时间t5 ,客户端404 通过安全代理器410访问装置102(465)。如结合图3所述，变换 实施例允许以不同方式组合图4所示的不同信息流。
图5是示出根据另 一个实施例的客户端504、信任管理器508 以及安全代理器510之间的通信的定时图500。该定时图500包括 时间轴501。
在时间11,装置10 2 (图5中未示出)从信任管理器5 0 8请求对 客户端504进行访问(505)。装置102通过安全代理器510发出该 请求。在变换实施例中，安全代理器510可以请求对客户端504 的访问，而不用从装置102启动。在时间t2，信任管理器508接 收安全代理器510的账户信息(525)。如上所述，安全代理器510 的账户信息可以包括安全证书和授权信息。安全证书可以包括 安全代理器ID和安全代理器保密信息。授权信息可以包括信 任管理器508可以用来判断是否可以向装置102提供通过安全代 理器5 IO的对客户端504的访问的装置许可。信任管理器508判断 安全代理器5 IO的账户信息的有效性。在时间t3 ,信任管理器508 接收客户端504的账户信息(545)。信任管理器508判断客户端 504的账户信息的有效性。
如果信任管理器508能够核实客户端504的账户信息和安全 代理器510的账户信息，则在时间t4，信任管理器508向安全代 理器510提供对客户端504的访问(555)。在时间t5 ，安全代理器 510访问客户端504(565),而最初请求访问(505)的装置102能够 通过安全代理器510访问客户端504。
图6是存储在信任管理器608上的各组件实施例的框图。信 任管理器608可以包括安全代理器账户数据库620和客户端账户 数据库622。安全代理器账户数据库620可以包括一个或多个安 全代理器110的安全证书和授权信息。客户端账户数据库622可 以包括客户端104的安全证书和授斥又信息。下面将更详细说明客 户端账户数据库622和安全代理器账户数据库620的内容。这些 数据库620、 622可以由存储在信任管理器608上的认证与授权程 序624使用来判断提供到信任管理器608的账户信息的有效性。 当然，信任管理器608可以用与数据库620、 622分离的节点上的 认证与授权程序624实现。
图7是存储在信任管理器108上的客户端账户数据库722的 实施例的框图。客户端账户数据库722可以包括客户端账户信息 730a、 730b。客户端账户信息730可以包括客户端安全证书732a、 732b以及客户端授权信息740a、 740b。客户端安全证书732a、 732b可以包括客户端ID 734a、 734b以及客户端保密信息736a、 736b。
客户端授权信息740可以包括允许的许可742、 744、 746、
748、 750。允i午的i午可742、 744、 746、 748、 750可以指出已准 许客户端104访问的装置102,因此，在图7中一皮标注为"访问装 置许可"。如上所述，可以使用客户端账户信息730判断客户端 104是否是其呈现的，且是否被授权访问装置102。
图8是存储在信任管理器108上的安全代理器账户数据库 820的实施例的框图。安全代理器账户数据库820可以包括安全 代理器账户信息850a、 850b。安全代理器账户信息850a、 850b 可以包括安全代理器安全证书852a、 852b以及安全代理器授权 信息860a、 860b。安全代理器安全证书852a、 852b可以包括安 全代理器ID 854a、 854b以及安全代理器保密信息856a、 856b。
安全代理器授权信息860a、 860b可以包括装置许可862a、 862b、 862c、 862d、 862e。该装置许可862可以指出4t权安全代 理器110提供对客户端104的访问的装置102，因此，在图8中装 置许可862被标注为"提供装置许可"。如上所述，可以使用安 全代理器账户信息850a、 850b判断安全代理器110是否是其所呈 现的，且是否被授权提供对装置102的访问。
图9是示出存储在客户端904上的信息的客户端904的实施 例的框图。客户端904可以包括客户端安全证书932和客户端授 权信息940。客户端安全证书932可以包括客户端ID 934和客户 端保密信息936。客户端ID 934和客户端保密信息936可以由制 造商提供，或可以由客户端安装者提供。作为选择，在制造并 安装之后，可以由用户选择客户端ID 934和客户端保密信息 936。作为又一种选择，客户端ID 934和客户端保密信息936可 以在客户端对装置102发出请求时由用户提供。客户端授权信息 940可以包括访问装置许可942a、 942e。
图10是示出存储在安全代理器1010上的信息的安全代理器 IOIO的实施例的框图。安全代理器1010可以包括安全代理器安
全证书1052和安全代理器授权信息1060。安全代理器安全证书 1052可以包括安全代理器ID 1034和安全代理器保密信息1036。 与客户端ID 934和客户端保密信息936相同，安全代理器ID 1034和安全代理器保密信息1036可以由安全代理器1010的制造 商或安装者提供。作为选择，在制造并安装之后，可以由用户 选择安全代理器ID 1034和安全代理器保密信息1036。安全代理 器授权信息1060可以包括提供装置许可1062a、 1062c、 1062d。 这些许可示出安全代理器1010可以代表在许可1062a、 1062c和 1062d中识别的各装置的能力。
图11是在客户端104启动该方法的情况下，使用网络106中 的信任管理器108和安全代理器110来提供对嵌入式装置102的 安全访问的方法1100的实施例的流程图。响应于来自客户端104 的访问装置102的请求，信任管理器108可以认证客户端 104(1105)。认证客户端104(1105)可以包括接收客户端的安全证 书932。例如，信任管理器108可以接收客户端ID 934和客户端 保密信息936。信任管理器108可以将客户端安全证书932与存储
732进行比较。
信任管理器108可以判断客户端104是否认证通过(1115)。 当客户端104的安全证书932与存储在信任管理器108上的客户 端安全证书732相对应时，可以认证通过客户端104。如果信任 管理器108不能认证通过客户端104，则信任管理器108拒绝访问 希望的装置102(1195)。然而，如果信任管理器108判断已经正 确认证了客户端104(1115),则信任管理器108可以确定客户端 104希望访问哪个装置102(1125)。例如，如果图9的客户端904 是试图访问图2的装置A 202a的客户端，则信任管理器108可以 确定客户端904希望访问装置A 202a(1125)。
信任管理器108可以判断客户端104是否被授权访问希望的 装置102(1135)。信任管理器108可以通过接收客户端的授权信 息940进行该判断(1135)。例如，信任管理器108可以接收客户 端的访问装置许可942。信任管理器108可以将客户端的授权信 息940与存储在信任管理器的客户端账户数据库622中的客户端 授权信息740进行比较。
如果不授权客户端104访问希望的装置102,则信任管理器 108拒绝客户端104访问希望的装置102(1195)。然而，如果授4又 客户端104访问希望的装置102,则信任管理器108确定哪个(如 果存在)安全代理器110可以提供对希望的装置102的访问 (1145)。信任管理器108可以通过查询安全代理器账户数据库 620来进行该确定1145,从而确定哪个安全代理器110被授权^是 供对希望的装置102的访问(1145)。例如，如果客户端904请求 访问装置A 2 02a,则信任管理器10 8将查询其安全代理器账户数 据库620,以找出具有对装置A 202a的提供装置A许可862a的安 全代理器IIO。
如上所述，信任管理器108可以只与 一 个安全代理器1 IO进 行电子通信。在只有一个安全代理器110的情况下，信任管理器 108可以仅判断安全代理器110是否被授权向客户端104提供对 希望的装置102的访问(1155)。
如果信任管理器108不能识别被授权提供对希望的装置102 的访问的安全代理器IIO，则信任管理器108拒绝客户端104访问 希望的装置102(1195)。然而，如果信任管理器108识别出具有 适当提供装置许可862的安全代理器110,则信任管理器108认证 通过该安全代理器110(1165)。进行认证安全代理器110可以包 括接收安全代理器的安全证书1052(1165)。例如，信任管理器 108可以接收安全代理器ID 1034和安全代理器保密信息1036。
信任管理器108可以将安全代理器的安全证书1052与存储在信 任管理器的安全代理器账户数据库620中的安全代理器安全证 书852进行比较。当安全代理器的安全证书1052与存储在信任管 理器108上的安全代理器安全证书852相对应时，可以认证通过 安全代理器IIO。
如果信任管理器108判断为其不能认证安全代理器 110(1175),则信任管理器108拒绝客户端104访问所请求的装置 102(1195)。然而，如果信任管理器108判断为已经成功认证了 安全代理器110(1175),则信任管理器108可以在客户端104与安 全代理器IIO之间建立安全可信的连接(1185)。在变换实施例 中，客户端104可以指出应该提供对装置102的访问的安全代理 器IIO。在这种情况下，已经指定了确定1145,但是仍可以通过 检查代理器账户数据库620中的安全代理器安全证书852核实该
指定的有效性。
图12是在由安全代理器110启动方法1200的情况下，使用网 络106中的信任管理器108和安全代理器110提供对嵌入式装置 102的安全访问的方法1200的实施例的流程图。当安全代理器 110希望代表装置102访问客户端104时，可以采用该方法1200。
安全代理器110可以从信任管理器108请求对客户端104的 访问。作为响应，信任管理器108可以认证安全代理器 110(1205)。信任管理器108可以判断安全代理器110是否通过认 证(1215)。与图ll的实施例相同，当安全代理器的安全证书1052 与存储在信任管理器108上的安全代理器安全证书852相对应 时，安全代理器110可以通过认证。
如果信任管理器108判断为不能认证安全代理器 110(1215),则信任管理器108拒绝安全代理器110访问客户端 104(1285)。然而，如果信任管理器108判断为已经正确认证了
安全代理器110(1215),则信任管理器108可以确定安全代理器 IIO希望访问哪个客户端104(1225)。例如，如果图2的安全^K理 器B 210b试图访问图2的客户端B 204b，则信任管理器108可以 确定安全代理器B 210b希望访问客户端B 204b。
信任管理器108可以判断安全代理器110是否被授权代理装 置102访问希望的客户端104(1235)。信任管理器108可以通过接 收安全代理器110的授权信息1060来进行该判断(1235)。例如， 信任管理器108可以接收安全代理器的提供装置许可1062。信任 管理器108可以将安全代理器的授权信息1060与存储在信任管 理器的安全代理器账户数据库620中的安全代理器授权信息860 进行比较。
在本实施例中，可以使用提供装置许可1062判断安全代理 器110是否被授权代理装置102访问客户端104(1235)。例如，如 果在图2的实施例中，安全代理器B 210b希望代理装置B 202b 访问客户端B 204b，则信任管理器208将判断装置B 202b连接到 的安全代理器B 210b是否被授权以允许访问客户端B 204b。信 任管理器208将查询其安全代理器账户数据库620,以判断安全 代理器B的账户信息850b是否包括提供装置B许可862b。如果信 任管理器208判断为安全代理器B 210b不包含提供装置B许可 862b,则可以授:冲又安全代理器B 210b以允许客户端B 204b访问 装置B 202b,并允许装置B 202b访问客户端B 204b。
在变换实施例中，安全代理器110可以具有允许它代理装置 102来访问客户端104的单独一组许可。可以将该单独一组许可 与和其相对应的位于安全代理器账户数据库620中的安全代理 器授权信息860—起存储在信任管理器108中。
如果信任管理器10 8判断为安全代理器110没有被授权对客 户端104提供访问(1235)，则信任管理器108拒绝安全代理器110
访问客户端104(1285)。然而，如果信任管理器108判断为安全 代理器IIO被授权提供对客户端104的访问(1235),则信任管理 器108可以尝试i^i正客户端104(1245),并可以判断客户端104是 否被认证(1255)。
如果信任管理器108判断为没有成功认证客户端 104(1255),则信任管理器108拒绝安全代理器IIO访问客户端 104(1285)。然而，如果信任管理器108判断为成功认证了客户
权以允许安全代理器110访问客户端104(1265)。这可以包括接 收客户端授权信息940并将它与存储在信任管理器108的客户端 账户数据库622中的客户端授权信息740进行比较。
如上所述，客户端授权信息740可以包括访问装置许可742。 可以使用访问装置许可7 4 2来判断客户端10 4是否被授权以通过 安全代理器110访问装置102(1265)。例如，如果安全代理器B 210b希望代理装置B 202b访问客户端B 204b,则信任管理器208 将判断客户端B 204b是否被授权来访问装置B 202b。信任管理 器208将查询其客户端账户数据库622,从而判断客户端B的账 户信息730b是否包括访问装置B许可742b中。如果信任管理器 208判断为客户端B 204b确实包含访问装置B许可742b,则可以 在安全代理器B 210b与客户端B 204b之间建立安全连接(1275)。
在变换实施例中，客户端104可以具有允许安全代理器110 代理装置102来访问客户端104的单独一组许可。可以将该单独 一组许可与和其相对应的位于客户端账户数据库622中的客户 端授权信息740—起存储在信任管理器108中。
如果信任管理器108判断为安全代理器110未被授权代理装 置102来访问客户端104( 1265),则信任管理器108拒绝安全代理 器110访问客户端104(1295)。然而，如果信任管理器108判断为
安全代理器110^皮4受权来代理装置102访问客户端104(1265),则 信任管理器108可以在客户端104和安全代理器110之间建立安 全可信的连接(1275)。
图13是可以用于计算装置或嵌入式装置的实施例中的各硬 件组件的框图。计算装置和/或嵌入式装置可以用作客户端104、 安全代理器IIO、信任管理器108或装置102。 CPU 1310或处理 器可以用于对通过总线1312连接到该CPU 1310的、包括装置 1302的其它组件的装置1302的操作进行控制。可以将CPU 1310 实施为微处理器、微控制器、数字信号处理器或本技术领域内 公知的其它装置。CPU 1310基于存储在存储器1314中的程序代 码进行逻辑和算术运算。在特定实施例中，存储器1314可以是 包括在CPU 1310中的板上存储器。例如，微控制器经常包括特 定数量的板上存储器。
计算或嵌入式装置1302还可以包括网络接口 1316。网络接 口 1316有助于装置1302与连接到网络100的其它装置通信。网络 IOO可以是寻呼网、蜂窝式网络、全球通信网络、因特网、计算 机网络、电话网络等。网络接口 1316根据可应用网络106的标准 协议工作。
装置1302还可以包括存储器1314。存储器1314可以包括用 于存储临时数据的随机存取存储器(RAM)。作为选择，或，此 外，存储器1314可以包括用于存储例如固定代码和配置数据的 较永久数据的只读存储器(ROM)。存储器1314还可以实施为例 如硬盘驱动器的磁存储装置。存储器1314可以是能够存储电子 信息的任意类型的电子装置。
装置1302还可以包括有助于与其它装置通信的通信端口 1318。装置1302还可以包括输入/输出装置1320,例如，键盘、 鼠标、操纵杆、触摸屏、监视器、扬声器、打印机等。
可以在几种场景下使用本系统和方法。图14示出在其内可
以实现本系统和方法的系统的一个实施例。图14是示出包^^舌照 明控制器系统1408的照明系统1400的一个实施例的框图。可以 将图14的照明系统1400设置在家庭中的各种房间内。如图所示， 系统1400包括房间A 1402、房间B 1404以及房间C 1406。尽管 图14示出了 3个房间，但是系统1400可以在家庭、7>寓或其它环 境内的任意数量和种类的房间中实现。
照明控制器系统1408可以监视并控制系统1400内的附加的 嵌入式系统和组件。在一个实施例中，房间A 1402和房间B 1404 分别包括开关组件1414、 1418。开关组件1414、 1418还可以包 括次级嵌入式系统1416、 1420。次级嵌入式系统1416、 1420可 以接收来自照明控制器系统1408的指令。然后次级嵌入式系统 1416、 1420可以执行这些指令。指令可以包括对各种灯组件 1410、 1412、 1422和1424的通电或断电。指令还可以包4舌调暗 或增强各种灯组件1410、 1412、 1422和1424的亮度。指令可以 进一步包括以各种才莫式设置灯组件1410、 1412、 1422和1424的 亮度。次级嵌入式系统1416、 1420便于照明控制器系统1408监 视并控制位于房间A 1402和房间B 1404中的每个灯组件1410、 1412、 1422和1424。
照明控制器系统1408还可以直接向所述房间C 1406中的包 括次级嵌入式系统1428的灯组件1426提供指令。照明控制器系 统1408可以指示次级嵌入式系统1428来给独立的灯组件1426断 电或通电。类似地，从照明控制器系统1408接收到的指令可以 包括调暗或增强独立的灯组件1426的亮度。
照明控制器系统1408还可以监#见系统1400内的独立的灯组 件1430和1432,并直接向其提供指令。这些指令可以包括与前 面所述的指令相似的指令。
在图14的实施例中，照明控制器系统1408可以用作客户端 104。照明控制器系统14 0 8可能希望访问被看作装置10 2的灯组 件1410、 1412、 1422、 1424、 1426、 1430、 1432之一。次级嵌 入式系统1416、 1420、 1428既可以用作安全代理器110，又可以 用作装置102。照明控制器系统1408可以从信任管理器108请求 访问次级嵌入式系统1416、 1420、 1428。当信任管理器108准许 在次级嵌入式系统1416、 1420、 1428和照明控制器系统1408之 间建立安全可信的连接时，这些灯组件可以提供关于它们的状 态的数据，例如，灯组件是打开还是关闭，或通过灯组件的当 前或过去的瓦数。
图15是实现本系统和本发明的方法的系统的又一实施例。 图15是示出安全系统1500的框图。在房间A 1502、房间B 1504、 和房间C 1506中实现所述实施例中的安全系统1500。这些房间 可以在家庭或其它封闭环境的界限内。系统1500还可以在开力丈 的环境中实现，其中房间A 1502、 B 1504和C 1506分别表示区 域或边界。
系统1500包括安全控制器系统1508。安全控制器系统1508 监视系统1500内的各种组件，并接收来自系统1500内的各种组 件的信息。例如，运动传感器1514、 1518可以包括次级嵌入式 系统1516、 1520。当通过次级嵌入式系统1516、 1520检测到运 动时，运动传感器1514、 1518可以监一见运动的即时空间，并向 安全控制器系统1508报警。安全控制器系统1508还可以向系统 1500内的各种组件提供指令。例如，安全控制器系统1508可以 向次级嵌入式系统1516、 1520提供指令以对窗户传感器1510、 1522和门传感器1512、 1524通电或断电。在一个实施例中，当 窗户传感器1510、 1522^r测到窗户的移动时，次级嵌入式系统 1516、 1520通知安全控制器系统1508。类似地，当门传感器1512、
152W全测到门的移动时，次级嵌入式系统1516、 1520通知安全 控制器系统1508。次级嵌入式系统1516、 1520可以指示运动传 感器1514、 1518启动位于运动传感器1514、 1518内的LED(未牙见 出)。
安全控制器系统1508还可以监视系统1500内的各组件，并 直接向其提供指令。例如，安全控制器系统1508可以监视运动 传感器1530或窗户传感器1532，并向其提供通电或断电的指令。 安全控制器系统15 0 8还可以指示运动传感器15 3 0和窗户传感器 1532启动传感器1530和1532内的LED(未视出)或音频警报通 知。
组成系统15 0 0的每个独立的组件还可以包4舌次级嵌入式系 统。例如，图15示出包括次级嵌入式系统1528的门传感器1526。 安全控制器系统1508可以以与前面所述的方式相似的方式监浮见 次级嵌入式系统1528并向其提供指令。
在图15的实施例中，安全控制器系统1508可以用作客户端 104。安全控制器系统15 0 8可能希望访问被看作装置10 2的传感 器1510、 1512、 1522、 1524、 1526、 1530、 1532之一。次级嵌 入式系统1516、 1520、 1528既可以用作安全^^理器110，又可以 用作装置10 2 。安全控制器系统15 0 8可以从信任管理器10 8请求 访问次级嵌入式系统1516、 1520、 1528。当信任管理器108准许 在次级嵌入式系统1516、 1520、 1528和安全控制器系统1508之 间建立安全可信的连接时，这些传感器1510、 1512、 1522、 1524、 1526、 1530、 1532可以提供关于它们的状态的数据。例如，窗 户传感器1510、 1522、 1532可以提供关于它们是打开还是关闭 的数据。
图16是说明家庭系统1600的一个实施例的框图。家庭系统 1600包括家庭控制器1608,其便于监视例如照明系统1400、安
全系统1500等的各种系统。家庭系统160(H吏得用户能够通过一 个或多个嵌入式系统控制各种组件和系统。在一个实施例中， 家庭控制器系统1608以与前面联系图14和图15所述的方式相同 的方式进行监视并提供信息。在所述实施例中，家庭控制器1608 通过次级嵌入式系统1620向加热组件1624提供指令。加热组件 1624可以包括在居住场所或办7>室中通常备有的暖炉或其它加 热装置。家庭控制器系统16 0 8可以通过次级嵌入式系统16 2 0才是 供对加热组件1624通电或断电的指令。
类似地，家庭控制器1608可以监视家庭控制系统1600内例 如制冷组件1630的组件并直接向其提供指令。制冷组件1630可 以包括在居住场所或办公室中通常备有的空调或其它制冷装 置。中央家庭控制器1608可以指示制冷组件1630根据由中央嵌 入式系统1608收集的温度读数通电或断电。家庭控制系统1600 以与前面联系图14和图15所说明的方式相似的方式运行。
在图16的实施例中，家庭控制器系统1608可以用作客户端 104。家庭控制器系统16 0 8可能希望访问都被看作装置10 2的窗 户传感器1610、门传感器1612、加热组件1624、制冷组件1630 或照明组件1622、 1626、 1632。次级嵌入式系统1616、 1620、 1628既可以用作安全代理器110，又可以用作装置102。家庭控 制器系统1608可以从信任管理器108请求访问次级嵌入式系统 1616、 1620、 1628。当信任管理器108准许在次级嵌入式系统 1616、 1620、 1628和家庭控制器系统1608之间建立安全可信的 连接时，这些元件1610、 1612、 1622、 1624、 1626、 1630、 1632 可以提供关于它们的状态的数据。例如，加热组件1624和制冷 组件1630可以提供关于它们的各房间1604、 1606中的当前温度 的数据。加热组件1624和制冷组件1630可以提供关于该组件的 状态、其是接通或断开、其当前功率用量、任意系统错误等的 数据。
存在用于生成装置网络的多种嵌入式装置和很多理由。下 面将说明装置联网应用的几个例子。本领域的技术人员明白所 讨论的例子不是穷举的。
装置联网应用的一个例子是远程监视。很多有用的装置网 络包括远程监视，从一个节点到另 一个节点单向传送信息。在 这些应用中，提供方代表性地用作响应请求方来报告特定信息 的小型服务器。还可以设立提供方来对订户公开其状态信息。 请求方可以要求周期性的报告，也可以要求状态在任何时候变 化时更新，或许使用某些部件限制发送更新的频率。可以设立 提供方以当发生某些事件或异常情况时通知请求方。
装置网络应用的另 一个例子是请求方能够向提供方发送命 令来调用某些特定动作的远程控制。在大多数情况下，远程控 制包括某种反馈。
装置联网应用的又一个例子是分布式控制系统。与各提供 方相关联的功能和数据可以通过网络结合并调整，以生成提供 附加值的分布式系统。有时，可以或多或少地自动建立这些分 布式控制系统。在很多情况下，更复杂的装置加入对等网络来
执行配置、监浮见或i貪断职责。这种系统可以由作为同位体或通
过主从配置通信的对象生成，在主从配置中，系统中的每个对 象都与包含全部控制逻辑的单个、中央节点通信。
对于每种联网应用，有多种方法可以将请求方连接到提供
方。在包括相对少数量的提供方时，请求方可以使用web浏览 器、寻呼机或甚至具有WAP功能的蜂窝电话以差不多交互方式 与提供方通信。然而，随着提供方数量的增大，这些方法就可 能行不通了 ，请求方可以采用例如电子表格或数据库应用的更 一般的数据管理技术。
因为随着时间过去和使用不同技术实现了各种网络，所以 出现了每个使用自己的协议且不能与其它网络通信的多个网络 位于同一个家庭或设施内的情况。在这种情况下，可以桥接各 种网络和协议来建立单个、大型网络。这可以使单个应用程序 访问每个提供方，简化了与全部提供方的交互。
可以使用各种不同的技术和方法表示信息和信号。例如， 可以卩吏用电压、电流、电；兹波、^磁场或4立子、光场或粒子、或 其任意的组合来表示可能在以上说明中出现的数据、指令、命
令、信息、信号、位、符号、以及码片(chip)。
结合在这里所公开的实施例所说明的各种说明性的逻辑 块、模块、电路和算法步骤，可以实现为电子硬件、计算机软 件、或二者的结合。为了清楚地说明硬件和软件的这种可交换 性，以上主要根据各种说明性的组件、块、模块、电路和步骤 的功能，对其进行了说明。这种功能是作为硬件实现还是作为 软件实现取决于整个系统的特定应用和对整个系统所施加的诏二 计限制。本领域的技术人员可以对于每个特定的应用以不同的 方式实现所述功能，但是这种实现决定不应解释为脱离了本发 明的范围。
可以使用被设计为执行这里所述功能的通用处理器、数字
信号处理器(DSP)、专用集成电路(ASIC, application specific integrated circuit)、 现场可编程门阵列信号(FPGA ， field programmable gate array signal)或其它可编禾呈逻4專装置、离散门 或晶体管逻辑、离散硬件组件、或其任意的组合，来实现或执 行结合这里所公开的实施例所说明的各种说明性的逻辑块、模 块和电路。通用处理器可以是微型处理器，但作为选择，处理 器可以是任何传统的处理器、控制器、微型控制器、或状态机。 处理器还可以实现为计算装置的结合，例如，DSP和微型处理
器的结合、多个微型处理器、与DSP核心结合的一个或多个微 型处理器、或任何其它这样的配置。
结合在这里所公开的实施例说明的方法或算法的步骤可以 直接在硬件中、在由处理器执行的软件模块中、或在二者的结
合中实现。软件模块可以存放于RAM存储器、闪存、ROM存储 器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动 盘、CD-ROM、或本领域已知的任何其它形式的存储介质。示 例存储介质连接到处理器使得处理器可以从存储介质读取信 息，并向存储介质写入信息。作为选择，可以将存储介质集成 到处理器。处理器和存储介质可以位于ASIC中。ASIC可以位于 用户终端中。作为选择，处理器和存储介质可以作为分离组件 位于用户终端中。
这里公开的方法包括用于实现所述方法的一个或多个步骤 或动作。方法步骤和/或动作可以互相交换，而不脱离本发明的 范围。换句话说，除非对于实施例的适当操作需要步骤或动作 的特定顺序，可以改变指定步骤和/或动作的顺序和/或使用， 而不脱离本发明的范围。
尽管说明并描述了本发明的具体实施例和应用，但应该理 解的是，本发明不局限于这里公开的精确的配置和组件。可以 在这里公开的本发明的方法和系统的配置、操作、以及细节中 做出对本领域的技术人员明显的各种变形、改变、和变化，而 不脱离发明的精神和范围。
工业应用性
本发明可应用于嵌入式系统。
3权利要求
1.一种用于提供对嵌入式装置的安全访问的方法，所述方法使用信任管理器实现，所述方法包括从客户端接收客户端账户信息；判断来自所述客户端的所述客户端账户信息是否有效；判断所述客户端是否被授权来访问与安全代理器进行电子通信的至少一个嵌入式装置；从所述安全代理器接收安全代理器账户信息；判断来自所述安全代理器的所述安全代理器账户信息是否有效；判断所述安全代理器是否被授权来提供对所述至少一个嵌入式装置的访问；以及如果来自所述客户端的所述客户端账户信息有效且所述客户端被授权来访问所述至少一个嵌入式装置，以及如果来自所述安全代理器的所述安全代理器账户信息有效且所述安全代理器被授权来提供对所述至少一个嵌入式装置的访问，则在所述客户端和所述安全代理器之间建立安全可信的连接。
2. 根据权利要求l所述的方法，其特征在于，响应于从所 述客户端接收到访问所述至少 一 个嵌入式装置的请求，执行所 述方法。
3. 根据权利要求l所述的方法，其特征在于，响应于从所 述安全代理器接收到提供对所述至少一个嵌入式装置的访问的 请求，执行所述方法。
4. 根据权利要求l所述的方法，其特征在于，所述客户端 账户信息包括所述客户端的安全证书；以及 所述客户端的授权信息。
5. 根据权利要求4所述的方法，其特征在于，所述客户端 的所述安全证书包括客户端标识符和客户端保密信息。
6. 根据权利要求4所述的方法，其特征在于，所述客户端 的所述授权信息包括装置访问许可。
7. 根据权利要求l所述的方法，其特征在于，判断所述客 户端账户信息是否有效包括将从所述客户端接收到的所述客户 端账户信息与有效客户端账户信息进行比较。
8. 根据权利要求7所述的方法，其特征在于，所述有效客 户端账户信息存储在所述信任管理器上。
9. 根据权利要求l所述的方法，其特征在于，所述安全代 理器账户信息包括所述安全代理器的安全证书；以及 所述安全代理器的授权信息。
10. 根据权利要求9所述的方法，其特征在于，所述安全证 书包括安全代理器标识符和安全代理器保密信息。
11. 根据权利要求9所述的方法，其特征在于，所述安全代 理器的所述授权信息包括装置提供许可。
12. 根据权利要求l所述的方法，其特征在于，判断所述安 全代理器账户信息是否有效包括将从所述安全代理器接收到的 所述安全代理器账户信息与有效安全代理器账户信息进行比 较。
13. 根据权利要求12所述的方法，其特征在于，所述有效 安全代理器账户信息存储在所述信任管理器上。
14. 一种用于实现用于提供对嵌入式装置的安全访问的方 法的信任管理器，所述信任管理器包括处理器；与所述处理器进行电子通信的存储器；存储在所述存储器中的指令，可以执行所述指令来实现这 冲羊的方法，所述方法包4舌从客户端接收客户端账户信息；判断来自所述客户端的所述客户端账户信息是否有效； 判断所述客户端是否被授权来访问与安全代理器进行电子通信的至少一个嵌入式装置；从所述安全代理器接收安全代理器账户信息；判断来自所述安全代理器的所述安全代理器账户信息是否有效；判断所述安全代理器是否被授权来提供对所述至少一个嵌 入式装置的访问；以及如果来自所述客户端的所述客户端账户信息有效且所述客 户端被授权来访问所述至少一个嵌入式装置，以及如果来自所 述安全代理器的所述安全代理器账户信息有效且所述安全代理 器被授权来提供对所述至少一个嵌入式装置的访问，则在所述 客户端和所述安全代理器之间建立安全可信的连接。
15. 根据权利要求14所述的信任管理器，其特征在于，响 应于从所述客户端接收到访问所述至少一个嵌入式装置的请 求，执行所述方法。
16. 根据权利要求14所述的信任管理器，其特征在于，响 应于从所述安全代理器接收到提供对所述至少一个嵌入式装置 的访问的i青求，抽J亍所述方法。
17. 根据权利要求14所述的信任管理器，其特征在于，所 述客户端账户信息包括所述客户端的安全证书以及所述客户端的授权信息，所述安全代理器账户信息包括所述安全代理器的 安全证书以及所述安全代理器的授权信息。
18. —种包括可执行指令的计算机可读介质，所述可执行 指令用于实现用于提供对嵌入式装置的安全访问的方法，使用 信任管理器实现所述方法，所述方法包括 从客户端接收客户端账户信息；判断所述客户端是否被授权来访问与安全代理器进行电子通信的至少一个嵌入式装置；从所述安全代理器接收安全代理器账户信息；判断来自所述安全代理器的所述安全代理器账户信息是否有效；判断所述安全代理器是否被授权来提供对所述至少 一个嵌 入式装置的访问；以及如果来自所述客户端的所述客户端账户信息有效且所述客 户端被授权来访问所述至少一个嵌入式装置，以及如果来自所 述安全代理器的所述安全代理器账户信息有效且所述安全代理 器被授权来提供对所述至少一个嵌入式装置的访问，则在所述 客户端和所述安全代理器之间建立安全可信的连接。
19. 根据权利要求18所述的计算机可读介质，其特征在于， 响应于从所述客户端接收到访问所述至少一个嵌入式装置的请 求，执行所述方法。
20. 根据权利要求18所述的计算机可读介质，其特征在于， 响应于从所述安全代理器接收到提供对所述至少一个嵌入式装 置的访问的请求，执行所述方法。
全文摘要
信任管理器从客户端接收客户端账户信息，判断来自客户端的客户端账户信息是否有效，判断客户端是否被授权来访问与安全代理器进行电子通信的至少一个嵌入式装置。从安全代理器接收安全代理器账户信息，判断来自安全代理器的安全代理器账户信息是否有效，判断安全代理器是否被授权来提供对该至少一个嵌入式装置的访问。如果来自客户端的客户端账户信息有效，且客户端被授权来访问至少一个嵌入式装置，且如果来自安全代理器的安全代理器账户信息有效，且安全代理器被授权来提供对至少一个嵌入式装置的访问，则在客户端和安全代理器之间建立安全可信的连接。
文档编号H04L29/06GK101099367SQ200680001069
公开日2008年1月2日 申请日期2006年2月20日 优先权日2005年12月28日
发明者布赖恩特·伊斯特汉, 托马斯·米利根 申请人:松下电工株式会社