[发明专利]用于商用IoT在线服务的基于受信平台模块的预付费访问令牌

权利要求书

1.一种由设置在计算设备中的受信平台模块(TPM)执行的方法，包括：

提供唯一背书密钥作为所述TPM中的第一受信对象；

实现受信本地计数器作为所述TPM中的第二受信对象；

接收由供应服务提供生成的、用于控制由所述计算设备对应用的利用的访问令牌和相关联的策略，其中所述策略包括授权计数器和所述TPM要满足的一个或多个规则，并且其中响应于所述供应服务使用所述唯一背书密钥而成功验证所述TPM的身份，所述访问令牌和策略被接收；

在每次尝试利用所述应用时，递增所述TPM中的所述受信本地计数器；

在递增所述TPM中的所述受信本地计数器之后，验证递增后的所述本地计数器小于或等于在所述策略中被指定的所述授权计数器；以及

在验证所述受信本地计数器小于或等于所述授权计数器之后，授权由所述计算设备对所述访问令牌的使用以由此利用所述应用。

2.根据权利要求1所述的方法，其中所述计算设备是物联网(IoT)设备。

3.根据权利要求1所述的方法，其中所述受信本地计数器是单调计数器。

4.根据权利要求1所述的方法，其中用于使用所述访问令牌的授权取决于所述TPM满足所述策略中的每个元素。

5.根据权利要求4所述的方法，其中要被满足的所述策略的元素是用于在所述策略的每次执行时递增所述受信本地计数器的指令，并且递增后的所述本地计数器小于或等于所述授权计数器。

6.根据权利要求1所述的方法，其中授权所述访问令牌的使用包括利用所述访问令牌对授权令牌进行签名。

7.根据权利要求6所述的方法，还包括使用签名的所述授权令牌来使用所述应用或者访问远程服务。

8.一种由供应服务执行的方法，所述供应服务在被配置用于与物联网(IoT)设备一起使用的服务器上操作，所述方法包括：

在所述供应服务处对背书密钥执行证明，所述背书密钥由所述IoT设备中的受信平台模块(TPM)提供并且与所述TPM唯一地相关联，其中证明至少验证所述IoT设备的身份，以由此被授权来接收访问令牌，其中所述背书密钥被维持为所述TPM中的第一受信对象，并且受信本地计数器被维持为所述TPM中的第二受信对象；

在验证所述身份的证明之后，在所述供应服务处生成对于所标识的所述IoT设备的所述TPM唯一的所述访问令牌，其中所述访问令牌与一个或多个策略相关联，所述一个或多个策略包括授权计数器和所述TPM要满足的一个或多个规则；

从所述供应服务向所述IoT设备的所述TPM传输所生成的所述访问令牌；以及

响应于所述一个或多个策略在所述IoT设备处被成功执行，启用要由所述IoT设备使用在所述IoT设备的所述TPM处接收的所述访问令牌执行的操作，所述成功执行包括由所述TPM验证所述受信本地计数器小于或等于在所述一个或多个策略中的所述授权计数器。

9.根据权利要求8所述的方法，其中所述访问令牌与针对所述TPM的所述背书密钥唯一地相关联。

10.根据权利要求8所述的方法，还包括：

在所述IoT设备的证明之前，由所述供应服务从所述IoT设备接收所述背书密钥和所述受信本地计数器的当前状态，其中所述受信本地计数器单调地操作。

11.根据权利要求8所述的方法，还包括：

在所述供应服务处分配由所述IoT设备针对所述访问令牌的有限使用次数。