�。私鑰由云端201保存。在智能設備205出廠前���,云端201可以在操作2011向其分配一個設備ID (唯一 ID)和對應的公鑰(在該示例中�,公鑰即為授權校驗證書)����,以保存在智能設備205中��。
[0029]在此�,“設備ID”由云端205用來標識智能設備�����,并因此識別其相應的公私鑰�。因此,設備ID與智能設備205自身的設備標識可以相同(例如�,在云端201知道智能設備205的設備標識的情況下)或可以不同(例如,可以隨機生成設備ID)�。
[0030]智能設備205在操作2051接入網(wǎng)絡(例如,局域網(wǎng)�,如上述網(wǎng)絡環(huán)境100)之后,可以向該網(wǎng)絡上的設備通知其設備信息(例如�,其分配的設備ID或者設備類型等)。例如����,智能設備205可以在網(wǎng)絡上廣播其設備信息���,從而使得該網(wǎng)絡上的智能設備203在操作2031獲得其設備信息���?��;蛘撸悄茉O備203可以通過網(wǎng)絡向智能設備205發(fā)出對其設備信息的請求�����,并且智能設備205響應于該請求向智能設備203發(fā)送其設備信息��。
[0031]如上所述���,有利地�,將智能設備205的設備信息的傳播限制在一定范圍內��。例如�����,網(wǎng)絡的路由器或網(wǎng)關(例如����,以上結合圖1描述的AP 101)可以控制將智能設備205的設備信息只在該網(wǎng)絡內廣播,或者只允許該網(wǎng)絡內的設備請求智能設備205的設備信息�����。于是,網(wǎng)絡外的設備無法獲知智能設備205的設備信息�����。
[0032]在獲得設備信息之后�,終端設備203可以在操作2033基于獲得的設備信息,向云端201請求授權簽名證書��。在設備信息包括智能設備205的設備ID的情況下��,云端201可以直接確定與該設備ID相對應的授權簽名證書�����。而在設備信息包括設備ID之外的其他類型設備信息的情況下�����,云端201需要知道設備ID與設備信息之間的對應關系�����。為此�����,操作2011還可以包括云端201從智能設備205獲取其設備信息的處理�,從而云端201可以記錄分配給智能設備205的ID/公私鑰與智能設備205的設備信息之間的對應關系。這樣�����,當云端201從終端設備203接收到智能設備205的設備信息之后����,云端201可以正確地確定與該智能設備205相對應的授權簽名證書。
[0033]在此��,授權簽名證書可以是利用相應私鑰進行“簽名”的�����,即利用相應私鑰進行加密的��。云端201可以針對所有或一些智能設備生成相同的證書�����,但是利用針對各智能設備生成的不同私鑰進行加密���,從而得到針對不同智能設備的不同授權簽名證書����。或者�����,云端201可以針對各智能設備分別生成不同的證書����,并利用各自相應的私鑰進行加密,從而得到針對不同智能設備的不同授權簽名證書�。
[0034]在操作2013,云端201可以將與智能設備205相對應的授權簽名證書返回給終端設備203�����。
[0035]在接收到授權簽名證書之后���,終端設備203可以在操作2035向智能設備205發(fā)送控制授權請求��,該請求中包括接收到的授權簽名證書�。
[0036]智能設備205在接收到來自終端設備203的控制授權請求之后���,可以在操作2055對其中包含的授權簽名證書進行驗證�����。例如��,智能設備205可以利用分配給其的公鑰��,對接收到的授權簽名證書進行解密�����。如果解密成功�����,則認為對該授權簽名證書的驗證成功����。
[0037]在驗證成功之后����,智能設備205可以在操作2057向終端設備203授權對該智能設備205的控制。這種授權例如可以通過控制證書的形式實現(xiàn)����。具體地���,智能設備205可以向終端設備203發(fā)送控制證書。之后�����,終端設備203可以利用控制證書對要發(fā)送到智能設備205的控制指令進行加密�。
[0038]在上述示例中,由云端201生成授權校驗證書和授權簽名證書�,但是本公開不限于此。例如���,這些證書(例如����,設備ID和相應的公私鑰)可以由專用的服務器(例如�����,智能設備的制造商的服務器)來生成和維護�����。此外,證書也不限于提前生成��。例如�,智能設備可以在連接到網(wǎng)絡后,經(jīng)網(wǎng)絡請求云端或服務器來生成其設備ID和相應的公私鑰����。
[0039]另外��,在上述示例中�,授權校驗證書和授權簽名證書基于公鑰和私鑰來實現(xiàn),但是本公開不限于此����。安全領域其他實現(xiàn)身份驗證的機制均可適用。因此�,本公開中所謂的“證書”是一種安全機制?�!笆跈嗪灻C書”是帶有智能設備特異信息(例如��,上述私鑰)即被簽名的安全機制����,“授權校驗證書”是用以對這種簽名進行校驗的安全機制(例如�,上述公鑰)��。例如�,授權簽名證書可以簡單是針對智能設備分配的一個密碼,而授權校驗證書可以是該密碼本身或者該密碼的生成種子(即���,基于該種子以特定算法可以獲得該密碼)�����。此時����,智能設備可以通過比較接收到的授權簽名證書與自身的授權校驗證書(或以特定算法對授權校驗證書進行處理后得到的結果)�,來對授權簽名證書進行驗證。
[0040]另外��,在上述示例中��,授權以控制證書的形式實現(xiàn)����,但是本公開不限于此。其他合適的授權方式均可適用。例如���,智能設備可以將被授權的終端設備的設備信息存儲在其信任庫中�����,并且可以對來自信任庫中的終端設備的控制指令做出響應����,而不對其他終端設備的控制指令做出響應���。
[0041]圖3是示意性示出了根據(jù)本公開實施例的終端設備的框圖。
[0042]如圖3所示��,根據(jù)該實施例的終端設備300可以包括通信接口 301�、存儲器303和控制器305。
[0043]通信接口 301可以配置為與其他設備(例如����,智能設備、云端�����、路由器等)之間進行通信。在圖1所示的WIFI網(wǎng)絡環(huán)境下�����,通信接口 301可以遵循例如IEEE 802.lla����、IEEE802.1lb等無線通信協(xié)議。例如���,通信接口 301可以包括天線���、調制/解調電路、編碼/解碼電路等�����,以便向/從外部發(fā)送/接收射頻(RF)信號���。通信接口 301不限于遵循單一通信協(xié)議���,而是可以遵循多種通信協(xié)議。例如���,通信接口 301可以與一種設備以一種通信協(xié)議通信���,而與另一設備以另一通信協(xié)議通信�����。
[0044]存儲器303可以存儲終端設備300的操作相關的信息(例如�,各種數(shù)據(jù)和程序)��。存儲器303可以實現(xiàn)為各種易失性和/或非易失性存儲技術��,并可以包括存儲裝置如硬盤����、存儲卡等,存儲器如靜態(tài)隨機存取存儲器(SRAM)���、動態(tài)隨機存取存儲器(DRAM)、閃存等���。
[0045]控制器305可以控制終端設備300的整體操作���?�?刂破?05可以實現(xiàn)為處理器或微處理器����,例如移動處理器�����。
[0046]根據(jù)本公開的實施例�����,當終端設備300通過通信接口 301連接到網(wǎng)絡時�,可能接收到關于智能設備的設備信息。例如����,通信接口 301可以通過網(wǎng)絡上的廣播消息而偵聽到設備信息?���;蛘撸ㄐ沤涌?301可以在控制器305的控制下���,向網(wǎng)絡上的智能設備發(fā)送對其設備信息的請求��,并可以接收響應于該請求而從智能設備發(fā)送的設備信息����。接收到的設備信息可以存儲在存儲器303中。
[0047]在接收到智能設備的設備信息之后��,在控制器305的控制下����,通信接口 301可以基于該設備信息,(例如����,向云端)請求與該智能設備相對應的授權簽名證書。具體地����,該請求中可以包括設備信息,從而云端能夠返回與該設備信息對應的智能設備相應的授權簽名證書��。獲得的授權簽名證書可以存儲在存儲器303中�����。
[0048]在獲得授權簽名證書之后��,在控制器305的控制下���,通信接口 301可以向智能設備發(fā)送針對該智能設備的控制授權請求�����,該請求中包括上述獲得的授權簽名證書���。于是,智能設備可以對該請求中的授權簽名證書進行驗證����,并且在驗證成功之后,可以響應于該請求而返回控制授權���。如上所述�,授權可以是控制證書的形式����。控制證書可以存儲在存儲器303中�����。
[0049]在獲得控制授權之后,控制器305可以(響應于用戶輸入)通過通信接口 301向智能設備發(fā)送控制指令�,以便對智能設備進行控制。如上所述��,在授權是控制證書的形式的情況下�����,控制指令可以通過控制證書進行加密���。
[0050]這里需要指出的是�,在圖3中�,為了方便起見,并未示出各部件之間的連接����。但是,各個部件之間可以相互連接���。例如���,它們可以連接到公共的總線,從而彼此互連。以下各框圖中同樣如此����。
[0051]終端設備可以是UI類設備(即�����,具有UI的設備)�,如智能手機。智能手機上可以安裝有智能設備的控制APP����,以實現(xiàn)對智能設備的控制?���;蛘撸K端設備可以是非UI類設備(即��,不具有UI的設備)���,如智能網(wǎng)關���、家庭熱點等。該非UI類設備上可以集成有相應的軟硬件,可以通過物理按鍵�����、語音控制或者借助智能手機實現(xiàn)相應的控制���。
[0052]圖4是示意性示出了根據(jù)本公開實施例的智能設備的框圖�。
[0053]如圖4所示����,根據(jù)該實施例的智能設備400可以包括通信接口 401、存儲器403和控制器405����。
[0054]通信接口 401可以配置為與其他設備(例如,終端設備����、云端、路由器等)之間進行通信��。在圖1所示的WIFI網(wǎng)絡環(huán)境下����,通信接口 401可以遵循例如IEEE 802.lla.1EEE802.1lb等無線通信協(xié)議。例如,通信接口 401可以包括天線���、調制/解調電路���、編碼/解碼電路等��,