检查针对使用物联网(IoT)设备中至少一个性能特征的许可

技术领域

本发明涉及一种用于基于许可标识符来检查针对使用物联网(IoT)设备中至少一个性能特征的许可的方法。

背景技术

对软件或软件的单个特点(Feature)发放许可是不仅在消费领域中而且也在企业环境中以及针对工业应用的常见要求。除了对软件发放许可之外，设备上的功能也可以根据许可而被启用。设备、例如物联网边缘设备、机器或机动车辆被一次性制造和销售。物联网边缘设备是与通信网络连接的组件，这些组件位于网络边缘并确保到企业或服务提供商的核心网络的网络过渡。

然而，性能范围或用户在设备使用寿命期间使用的特点并不是被固定地预给定的，并且可能根据许可模型而变化。此类更高值的服务的提供商通常使用与要评价的数据和功能的类型和质量相关的许可模型。例如，经由特定协议而到云系统的连接或者对特定数据类型的使用可能与许可绑定。在通用白盒硬件(例如工业PC或边缘计算平台)上提供的软件中也可以越来越多地实现并市场化工业功能、例如机床或变电站的控制)。边缘计算在此是指在网络边缘进行的去中心化的数据处理。

迄今为止，这例如通过监控机制来解决，其为此而可以查询和评估合同/许可信息，对此，设备通常具有网络连通性，并且在许可签发者侧的后端系统被包括到评估中。在没有到提供商的系统的连接可用或者没有到提供商的系统的持续的连接可用的情况下，通常使用许可文件和/或硬件加密狗，许可被固定加载到其上。受密码保护的许可信息通常经由许可文件或以密码形成的许可代码来交付。这些许可信息由相应的软件产品或设备读取、验证和评估。

所讨论的解决方案涉及软件的许可保护和完整性保护。软件以受保护的形式、例如以加密的形式来交付，并且只能借助于合适的加密狗(实现相应许可的密钥)来使用。这特别涉及到：设备及其上执行的软件在客户侧使用，也就是说，不再由制造商直接访问并在制造商的控制范围内，从而有这样的愿望：免受最终用户的任何操纵/许可规避。

可验证凭证(VC)工作组的工作与去中心化标识符(DID)工作组的工作联合(例如另请参阅万维网联盟、简称W3C的https://www.w3.org/TR/did-use-cases/)致力于对可检查/验证的特性/保证的标准化描述，也称为声明，参见数据模型https://www.w3.org/TR/vc-data-model/。可验证凭证(VC)(在下文中也称为可验证授权凭证)的一个重要属性是：它们是可以机器验证的。因此，它们适用于不同的应用情况，例如对发放许可的证明以及个人有关的数据(例如的身份数据)用于在线申请文档或访问入口。在https://www.w3.org/TR/vc-use-cases描述了各种应用情况，例如使用VC来验证设备的来源/真实性或识别以及排除伪造/假冒产品。那里一方面并没有描述将VC用于发放许可，而VC所基于的系统模型在概念上也不适合用于发放许可。

发明内容

因此，本发明的目的是：特别是针对于其中许可必须在设备运行期间更新或修改的动态应用情况，更好且安全地支持并且以较少的开发耗费而提供经改进的许可检查。

该目的通过独立权利要求中描述的措施来实现。从属权利要求中示出了本发明的有利扩展方案。

根据第一方面，本发明涉及一种用于基于许可标识符来检查针对使用物联网(IoT)设备中至少一个性能特征的许可的方法，包括：

-通过许可标识符中包含的至少一个属性而设定针对使用IoT设备的性能特征的至少一个许可条件，

-将许可标识符传输和存储到IoT设备上，

-通过如下方式来检查许可条件：

a)通过在IoT设备上形成的伪持有者函数来生成分配给所述IoT设备的性能特征的伪访问，以及

b)通过IoT设备上形成的验证函数检查许可标识符的属性来检查伪访问的授权，以及

-如果通过许可标识符的肯定检查结果确认伪访问是允许的，则激活所述至少一个性能特征，

其中，许可标识符、伪持有者单元和验证单元是基于万维网联盟(W3C)的可验证授权凭证的规范来设计的。

IoT设备中的许可检查通过由伪持有者利用基于万维网联盟的可验证凭证规范的函数和过程而对分配给经许可的性能特征的许可标识符进行伪访问来模拟。然而，由于与在用户和节点之间的身份认证中通常使用DID/VC的方式相比，许可检查情况下的目标设定不同，因此需要对基本技术进行适配。本质上的区别在于，伪持有者单元和验证单元均形成在IoT设备中，也就是说，伪持有者单元和验证单元实现在相同IoT设备中。伪持有者单元在此相应于VC规范的持有者的经修改的角色，也称为“持有者(holder)”。验证单元在此相应于VC规范的验证者的经修改的角色，也称为“验证者(verifier)”。

IoT设备可以是例如信息物理系统(例如工业自动化系统)的控制设备或者是通信设备。该许可涉及性能特征，特别是来自物理世界的性能特征。IoT设备(特别是IoT边缘设备)中的性能特征的示例是对特定协议的支持、更高/更低的采样率或传感器数据的准确性。机动车辆中的性能特征的示例是经改变的具有更高或更低性能的加速模式、自主驾驶或附加在线服务等。IoT设备在下文中也被同义地称为设备。

这样做的好处是可以使用去中心化标识符(DID)/可验证凭证(VC)基础设施以及相对应的工具和库来实现许可保护，从而无需开发专门的技术方案来管理和检查许可。例如用于用户的授权管理和身份认证的通用DID/VC基础设施可以同时用于实现许可检查。由此，与使用特定许可发放工具的情况下相比，可以以更少的耗费来实现和运行许可发放解决方案。

在一个有利实施方式中，在设备运行之前或期间将许可标识符存储在该设备上。

这样做的优点是，不仅在设备投入运行之前设定许可标识符以及因此设定许可条件并将其引入到设备中，而且还可以在运行期间将许可条件应用到该设备。此外，可以在无关于后续使用的情况下制造设备，并且可以稍后在运行时间才设定设备被用于何种目的。

在一个有利实施方式中，在IoT设备的运行期间将许可标识符重新传输到IoT设备，并且替换或补充所存储的许可标识符。

这样做的优点是，可以在设备的使用寿命期间更新和/或补充许可标识符并因此更新和/或补充许可条件。

在一种有利的实施变型中，从许可服务器到IoT设备的许可标识符传输从IoT设备的外部被发起并被发送到IoT设备。替代地，许可标识符的传输由IoT设备本身上的应用程序发起。在这种情况下，由IoT设备从许可服务器检索许可标识符。

在一种有利的实施变型中，当启动IoT设备时或当启动IoT设备上的性能特征时和/或在运行期间重复地生成和检查伪访问。

由此而设定了执行许可检查的时间点。特别是，在启动有许可的性能特征的时间点或在启动IoT设备时进行许可检查。可选地，可以在正在进行的运行期间生成进一步的伪访问，并且可以根据检查结果在稍后的时间点激活或启用性能特征，或者可以在否定的检查结果的情况下停用或阻止该性能特征。

在一种有利的实施变型中，IoT设备被形成为物理上独立存在的设备或者被形成为分布在一个或多个硬件平台上的基于软件的虚拟设备。

因此，可以在不同设计的IoT设备上灵活地执行许可检查。因此，所提出的许可检查既可以在真实的物理存在的设备上执行，也可以在虚拟设计的设备上进行。硬件平台尤其可以是基于硬件的“计算平台”。

在一个有利的实施变型中，IoT设备的伪持有者单元被形成为软件应用程序的一部分、软件应用程序的执行环境的一部分或者由IoT设备的操作系统而形成。

如果IoT设备被设计成虚拟化的，则其例如作为虚拟机(VM)镜像或容器镜像而存在。如果执行这样的镜像，则该IoT设备整体“真实”存在。于是，相应的镜像包括操作系统和应用程序，就像基于硬件的设备的情况下那样。

在一种有利的实施变型中，伪持有者单元和验证单元形成在公共硬件平台上。替代地，伪持有者单元和验证单元形成在彼此本地连接的不同平台上。

这使得即使在以分布式结构化的IoT设备上也可以检查许可。此外，由于伪持有者单元和验证单元分布在不同的硬件平台上，因此可以实现在设备内部但平台特定的许可分发。

在一个有利的实施变型中，通过验证单元相对于验证平台的验证平台标识符而检查许可标识符中的谁属性(Wer-Attribut)，其指示被授权激活性能特征的IoT设备。

谁属性可以优选地由与W3C VC规范相符的可验证授权凭证VC中的“主体(subject)”属性构成。通过谁属性尤其可以检查和贯彻与特定设备实体或设备组件绑定的许可。谁属性指示许可所特定用于的设备。还可以将进一步的环境信息，例如运行者ID、地点、运行时环境、软件应用程序、设备类型或版本纳入到谁属性中。如果谁属性为空，即未占用，则不执行相对于性能特征的执行单元的检查。

在一个有利的实施变型中，通过验证单元检查许可标识符中的“何”属性(Was-Attribut)，该属性指示用于激活性能特征或用于激活性能特征的选项的进一步条件。

只有在“何”属性中所确认的表征相关的允许的执行环境的属性与所确定的性能特征的执行环境的特性一致的情况下，验证单元才接受该许可标识符。因此，可以检查和贯彻许可条件。执行环境的特性例如是运行者标识符、地点、运行时环境、软件应用程序、IoT设备的类型和/或版本。

在一种有利的实施变型中，通过验证单元对照检查许可标识符中的安全属性，该安全属性包括许可标识符的发行者的密码标识符。

只有在安全属性被确认的情况下，验证单元才将许可标识符检查为有效，并且将伪访问确认为允许的。安全属性包括例如已知且可信的许可发放机构的签名。

在一个有利的实施变型中，第一许可标识符由IoT设备外部的许可创建单元发行，和/或第二许可标识符由IoT设备内部的许可创建单元发行并且存储在IoT设备上，并且

第一许可标识符预给定其中执行验证单元的执行环境的特性，

第二许可标识符包括IoT设备中实际存在的特性，以及

由许可标识符的验证单元对照验证单元的当前执行环境的特性来检查第一和第二许可标识符。

因此，许可标识符不仅仅可以作为第一许可标识符由布置在IoT设备外部的许可创建单元来发行，还可以由集成在IoT设备中的许可创建单元来发行。验证单元检查：许可标识符中对于所需执行环境的说明与VC平台信息中对于实际执行环境的说明是否一致。

在另一实施变型中，第三许可标识符由IoT设备外部的确认发行单元来发行。第三许可标识符确认IoT设备特性，例如：设备已被安全监控系统识别为未被操纵的并因此被视为未被操纵的。IoT设备外部的确认发行单元在此通常与IoT设备外部的发行第一许可标识的发行单元不同。

在一种有利的实施变型中，许可标识符被形成为匿名的可验证授权凭证，并且验证单元仅检查至少一个特定属性的存在，而不检查该属性的内容。

匿名的可验证授权凭证仅使得能够确定特定属性是否存在，即通过许可标识符确认是否正确。

在一个有利的实施变型中，性能特征是软件容器，并且许可标识符用于管理和控制软件容器基础设施。替代地，性能特征是IoT设备的软件应用程序或硬件组件。

因此，许可标识符可以灵活地用于不同的技术领域。

本发明的第二方面涉及一种用于基于许可标识符来检查针对使用物联网(IoT)设备中至少一个性能特征的许可的装置，包括：

许可发行单元，其被设计用于：

-通过许可标识符中包含的至少一个属性而设定针对使用IoT设备的性能特征的至少一个许可条件，

-将许可标识符传输到IoT设备上，并且所述IoT设备被设计用于：

-存储许可标识符，

-通过如下方式来检查许可条件：

a)通过在IoT设备上形成的伪持有者单元来生成分配给所述IoT设备的性能特征的伪访问，以及

b)通过IoT设备上形成的验证单元检查许可标识符的属性来检查伪访问的授权，以及

-如果通过许可标识符的肯定检查结果而由验证单元确认伪访问是允许的，则激活所述至少一个性能特征，

其中，许可标识符、伪持有者单元和验证单元是基于万维网联盟(简称W3C)的可验证授权凭证(Verifiable Credentials(可验证凭证))的规范来设计的。

该方法和装置使得能够在运行时期间(也就是说，当IoT设备和应用程序运行中时)进行简单且可自动化的许可获取。因此，该方法和装置还特别适合于工业用途，也就是说，通常无法直接手动访问设备的情况。只有在运行时或成功发放许可后才设定对于许可持有者而言有何种功能可用。在此，设备可以表现为，使得其提供初始化接口，所述许可能够以许可标识符的形式通过所述初始化接口被安全地加载。因此，许可条款可以在使用寿命期间适配/置换。许可评估可以以微调的方式实现，并且在此除了设备上下文、例如硬件实体的检查之外，还可以包括附近的环境，例如通过DID对用户的标识。如果设备例如被构建在其他环境中，则在这种情况下可以以受监控的方式限制/防止未授权的使用。

通过使用VC和DID，即使在离线情景下也可以实现许可评估。也就是说，这些设备不需要到许可服务器的永久连接，从而由此也适合在单独的网络中使用。通常，DID和VC的优点通常转移到所示的许可发放方法上。因此，许可签发者或许可持有者仅需提供许可检查所需的信息以进行验证。

本发明的第三方面设计一种计算机程序产品，其包括：可直接加载到数字计算机的存储器中的非易失性计算机可读介质，其包括程序代码部分，当程序代码部分由数字计算机执行时，所述程序代码部分促使所述计算机执行该方法的步骤。

除非在下面的描述中另有说明，术语“设定”、“传输”、“检查”等优选地涉及改变和/或生成数据和/或将数据转换成其他数据的行动和/或过程和/或处理步骤，其中所述数据特别是被表示为物理参量或可以作为物理参量而存在，例如作为电脉冲。

相应的“单元”、例如许可发行单元或IoT设备，可以在硬件技术上和/或也可以在软件技术上实现。在硬件技术上的实现方案的情况下，相应的单元可以被形成为设备或设备的一部分，例如计算机或微处理器或车辆的控制计算机。在软件技术上的实现方案的情况下，相应的单元可以被形成为计算机程序产品、函数、例程、程序代码的一部分或可执行对象。

计算机程序产品(例如计算机程序装置)可以例如作为存储介质、例如存储卡、U盘、CD-ROM、DVD或以可从网络中服务器下载的文件的形式来提供或供应。这可以例如在无线通信网络中通过将相应的文件传输到计算机程序产品或计算机程序装置上进行。

附图说明

根据本发明的方法和根据本发明的系统的实施例在附图中通过示例的方式示出，并且基于以下描述来更详细地解释。

图1示出了可验证授权凭证(英文为Virtual Credentials(虚拟凭证))的角色模型，其对应于W3C规范“VC数据模型(VC-datamodel)”；

图2以流程图的形式示出了根据本发明的方法的实施例；

图3以示意图示出了根据本发明的许可标识符的数据结构的实施例；和

图4以示意图示出了具有根据本发明的IoT设备的根据本发明的装置的实施例。

在所有附图中，彼此对应的部分配备有相同的附图标记。

具体实施方式

由W3C根据可验证授权凭证VC和去中心化标识符(Decentralized Identifiers，简称DID)规定的流程和角色在下文中简称为DID/VC，对应的可验证授权凭证简称为VC。

然而，由于与在用户和节点之间的身份认证中通常使用DID/VC的方式相比，许可检查情况下的目标设定不同，因此需要对基本技术进行适配。在根据现有技术的VC解决方案中，参见图1，对发行者11(也称为发行者(Issuer))、持有者12(也称为Holder)、验证者13(也称为Verifier)和主体14(也称为Subject)这些角色进行区分。发行者11发行可验证授权凭证VC并将其提供给持有者12。持有者12使用VC来形成可验证的表示，持有者可以利用所述表示相对于验证者13来证明通过VC由发行者11所确认的属性(特性(Eigenschaften)，声明(Claims))。在特殊情况下，VC也可以直接用作可验证的表示。通过VC确认的属性被分配给主体。持有者12本身通常可以代表主体。然而，所述主体也可以确认代表所述主体的主体属性的VC的持有者12。可验证数据注册表14存储标识符和使用模式。

然而，在当前的许可发放解决方案中，还有其他角色和其他目标设定。一个区别是许可信息发行者的概念，通常是IoT设备或实现虚拟IoT设备的软件的制造商。设备/软件承担不同的角色，其方式为，根据许可信息而激活某些性能特征或启用对它们的使用。此外，目标设定并不是检查访问方是否被授权，而是检查是否允许具体实体、即执行检查本身的设备/软件激活该特点。访问方无法像是VC已被开发用于的访问控制系统那样进行访问。

然而，以下方面可以从VC/DID解决方案被纳入到根据本发明的许可检查方法中。许可发行单元可以承担VC发行者11的角色，并且可以基于生成许可发放信息的VC来生成许可标识符。IoT设备/软件可以承担VC验证者13的角色并且可以检查许可标识符，也就是说所提供的经修改的VC，或者确切来说是可验证的表示VP，并且可以据此而启用或激活IoT设备/软件中的功能。

然而，由于许可检查在概念上不同于传统的访问控制，因此可验证凭证VC的“持有者”和“主体”的概念不能在不改变的情况下映射到许可检查的角色。

因此，为了在使用VC的情况下实现许可发放解决方案，建议进行适配。基本思想是，执行许可发放检查的IoT设备结合了验证者13和持有者12的VC角色以及可能附加地结合了主体的VC角色。其在内部执行分配给可启用的性能特征的伪访问。根据与基于VC的结构的当前许可标识符相应地是否允许访问，激活或启用性能特征。

使用图2来描述该方法的实施例。

为了检查针对使用物联网(IoT)设备中的至少一个性能特征的许可，在第一方法步骤S1中通过许可标识符中包含的至少一个属性而设定针对使用IoT设备的性能特征的至少一个许可条件。接下来，将许可标识符传输到IoT设备上并存储在那里，请参阅S2。在随后的方法步骤S3中，现在检查许可条件。

为此，在IoT设备上形成的伪持有者函数生成对分配给所述许可标识符的性能特征的伪访问，参见步骤S31。然后，在步骤S32中，通过IoT设备的验证单元检查伪访问是否是被伪持有者单元授权的。为此，由验证单元检查许可标识符的属性。如果属性的检查得到肯定的检查结果，也就是说，性能特征的执行平台满足在许可标识符中指示为经确认的属性，则激活性能特征，参见步骤S4。如果检查结果是否定的并且至少其中一个属性不被满足，则性能特征的激活被拒绝并且因此不被执行。在此，为了检查许可标识符，特别是许可标识符，伪持有者单元和验证单元被设计用于基于万维网联盟(W3C)的可验证授权凭证(Verifiable Credentials)的规范的过程和序列。

IoT设备被形成为物理上独立存在的设备，或者被形成为分布在一个或多个硬件平台上的基于软件的虚拟设备。可以特别是在IoT设备启动的时间点进行伪访问。可选地，可以在正在进行的运行中重复进一步的伪访问，并且可以根据结果而在稍后的时间点激活或启用性能特征，或者可以在否定结果的情况下停用或阻止所述性能特征。伪持有者单元可以例如被形成为软件应用程序的一部分、软件应用程序的执行环境的一部分或者由IoT设备的操作系统形成。持有者被称为伪持有者单元，因为它不是访问方，而只是向验证单元提供许可标识符的本地单元。

伪持有者单元可以在验证单元本身的平台上实现，或者可以替代地被实现为单独的、与平台本地连接的组件。验证单元的平台和伪持有者单元在此可以在本地经由直接接口、例如USB、RS232、PCIe、I2C、SPI、光纤来连接或者经由本地以太网接口、本地蓝牙接口或本地WLAN接口来连接。

许可检查，参见图2中的S3，由IoT设备的验证单元执行。在下面的描述中，参考图4中所示的IoT设备50。IoT设备50包括伪持有者单元52、验证单元52和硬件组件55，例如IoT设备的信任锚。伪持有者单元52例如经由服务接口57接收许可标识符LK，并将其存储。

在其上应实现验证单元53中的许可检查的IoT设备50的平台、例如处理器或软件容器或软件容器的一部分上实现伪持有者单元52，所述伪持有者单元52加载许可标识符并在本地将其提供给验证单元53。许可标识符LK例如从本地文件系统经由配置接口而由下载服务器、设备管理服务器、DID基础设施、数据库、分布式数据库基础设施或Web服务来提供。所述提供可以要么由外部单元要么由IoT设备50或IoT设备上的应用程序发起。伪持有者单元52实现伪访问，所述伪访问用于检测至少一个相关许可标识符LK并在本地将其提供给验证单元53。

伪持有者单元52可以将所述至少一个许可标识符直接或以经修改的形式作为可验证的表示提供给验证单元53。在此，伪持有者单元52可以在IoT设备50本身上实现或者通过启动对IoT设备50的调用的外部组件来实现。

验证单元53首先检查优选地以许可标识符LK的安全属性的形式提供的许可的有效性。在此，对安全属性进行密码验证并检查：许可标识符LK是否是由已知且可信的许可发放机构所发行的。

验证单元53还检查：包含在许可标识符LK中的、优选地基于VC的主题属性的谁属性是否与验证单元53的当前执行环境一致。在一种变型中，验证单元53确定与验证单元53本身的当前执行环境有关的信息。该信息可以是例如硬件标识符(硬件ID)。谁属性在此不具有VC的常规含义，而是表示检查标准，特别是被授权激活性能特征的、由验证单元53本身相对于验证平台的验证平台标识符在内容方面所检查的IoT设备。

此步骤是可选的，因为不需要占用谁属性。在不与特定执行环境(例如设备实体)相关联的许可的情况下，谁属性是自由的或未定义的。代替属性“主体”，还可以使用VC中的另一已知属性而在许可标识符LK中指定目标执行环境。

此外，通过验证单元53检查许可标识符LK中的何属性。所述何属性指示用于激活性能特征或用于激活性能特征的选项的进一步条件。何属性优选地由VC的属性“声明(Claim)”来表示。只有在包含在何属性中的、表征相关的允许的执行环境的条件与所述执行环境的所确定的特性一致的情况下，验证单元53才接受许可标识符LK或由其形成的可验证表示。为此，在IoT设备中进行性能特征的检查，以确定通过该许可标识符LK而启用了其中哪个性能特征。为此，检查可能的性能特征参数的列表。检查这些性能特征参数是否通过许可标识符LK中的何属性而被确认为正确的。如果是这种情况，则验证单元53仅激活或启用许可标识符LK中指示为允许的性能特征。

图3示出了许可条件的机器可读编码中的许可标识符30的根据本发明的数据结构的实施例的示例。参数“@context”中的许可标识符30优选地参阅W3C可验证凭证的规范。该文档包含对于可验证凭证典型的属性。在属性“id”34中指示针对许可的唯一标识符。对于可自动化的评估，在属性“type(类型)”35中，由附图标记36指示可验证凭证VC，并且由附图标记37指示带有“SWLic”的许可标识符。属性“Issuer(发行者)”、“IssDate”和“ExpDate”包含对于发行许可标识符30的许可发行单元或一般而言对于许可签发者的、对于发行日期及其有效日期的说明。只有在许可标识符有时间上的限期的情况下才填写属性“ExpDate”。

许可标识符30包括谁属性W1-Att 31、何属性W2-Att 32和安全属性S-Att 33。谁属性W1-Att 31通常包含在“主题”属性中，何属性W2-Att 32通常包含在“Claim(声明)”属性中，而安全属性S-Att 33通常包含在VC的“Proof(证明)”属性中。

由于在许可检查的情况下不存在VC的传统意义上的访问方，因此可能会缺少许可标识符30中的谁属性31或主题说明，或者可以以其他方式对其进行使用，例如以便对关于目标说明的信息进行编码。然而，谁属性31优选地用于对显式的目标说明进行编码。例如，这是许可所特定用于的IoT设备50。在根据本发明的另一实施变型中，还可以将另外的环境信息，例如运行者ID、地点、运行时环境、软件应用程序、设备类型或版本纳入到谁属性31中。

正如上面已经提到的，图4示出了根据本发明的装置的实施例，所述装置包括：IoT设备50(例如工业设备)和外部许可发行单元43。所述设备50被布置在许可签发者41的环境(例如工厂)中。许可发行单元43例如被布置在应用程序或性能特征的提供者42的环境中，例如在云后端中。设备50包括具有存储单元的伪持有者单元52、验证单元53以及硬件组件55，所述硬件组件55例如形成信任锚并确认硬件组件55的参数。许可发行设备43创建并确认许可标识符LK并将其传送到IoT设备50。这可以经由生产运行管理单元44而进行。

性能特征、例如应用程序启动并准备好运行，但不执行需要许可的任何功能。

许可标识符LK不仅肯定地确认属性为正确的，而且在一个实施变型中，附加地定义了由验证单元53检查的所需的附加检查。只有在所限定的附加检查被检查为正确的情况下，在许可标识符LK中肯定地确认的属性才在所述前提下允许被用作正确的。这是独立于可验证凭证系统而进行或通过检查进一步的可验证凭证而进行。

在一种变型中，本地布置在虚拟的或物理上真实的IoT设备50的执行层面上的第二许可发行设备56提供第二许可标识符LK2，其确认在其中执行验证单元53的执行环境的特性。该第二许可标识符LK2也可以被称为VC平台信息，因为它确认：在哪个平台上执行功能、这里是验证单元53。在这种情况下，验证单元53检查第二许可标识符中关于所需执行环境的说明是否与VC平台信息中的关于实际执行环境的说明一致。

在被形成为匿名的可验证授权凭证的许可标识符的使用基于隐私保护凭证并在下面称为匿名许可标识符的情况下，还可以进行特殊类型的检查：所述匿名许可标识符使得仅能够确定特定属性是否存在，也就是说，匿名许可标识符以可验证凭证VC或可验证表示的形式是否将其确认为正确。然而，该信息不能如在显式编码的许可标识符数据结构的情况下被直接读取，而是只能通过检查而确定：特定属性是否被匿名许可标识符确认为正确的。匿名许可标识符以防篡改和保护隐私的方式表示由许可发行单元43确认的论述。该检查以与上面一般描述的方式类似的方式进行。不同之处在于，匿名许可标识符或其可验证表示并没有在这些属性中以显式编码形式包含相应信息，而是以仅允许检查属性的存在的隐私保护的形式包含相应的信息。

在一种扩展方案中，许可标识符附加地包含定义了“范围(Scope)”检查的规模的元信息，也就是说定义要检查的属性的集合。

为了执行许可检查，也称为许可强制执行，通过验证安全属性、即许可签发者或许可发行机构43的签名来执行许可标识符的有效性。附加地，还根据要检查的许可标准而对运行时环境54进行检查。在如图4所示的示例中，许可与特定硬件实体绑定。这同样可以被密码验证，为此以受保护的方式使用硬件实体的授权凭证(也称为Credential(凭证))，例如通过基于硬件或硬件绑定的信任锚55而使用所述授权凭证。为了检查使用环境，许可检查还可以包括例如检查：应用程序是否仅在有效的客户环境中运行。为此目的，例如，设置“客户端”属性作为“怎样”属性(Wie-Attribut)32的一部分。它通过DID来编码。例如，可以通过如下方式来进行检查：传送证明许可持有者身份的附加的第三许可标识符。

所示的许可检查方法可以有效地用于例如管理/控制容器基础设施。因此，容器或容器镜像或虚拟机镜像或应用程序只有在相应的VC(表示许可)存在的情况下才能被启动。此外，应用程序执行环境(运行时环境RTE，特别是边缘组件)的功能，例如负载均衡、运行实体的迁移、故障切换、全内存加密、磁盘加密、机密计算，也可以根据VC许可而被激活。此外，可以根据VC许可信息而启用硬件加速器的使用，例如图形处理器GPU、AI加速器、密码加速器或网络加速器的使用。

在成功的许可验证之后，许可标识符可以被存储在设备端。由此，在IoT设备/应用程序重新启动后，可以在启动时重新进行许可检查，从而不需要重新初始化。因此，许可标识符的使用方式与许可文件类似。

所有方法步骤都可以通过适合于执行相应方法步骤的相应设备来实现。可以通过实质性特征执行的所有功能都可以是该方法的方法步骤。所描述和/或描绘的所有特征都可以在本发明的范畴内有利地彼此组合。本发明不限于所描述的实施例。