。私钥由云端201保存。在智能设备205出厂前,云端201可以在操作2011向其分配一个设备ID (唯一 ID)和对应的公钥(在该示例中,公钥即为授权校验证书),以保存在智能设备205中。
[0029]在此,“设备ID”由云端205用来标识智能设备,并因此识别其相应的公私钥。因此,设备ID与智能设备205自身的设备标识可以相同(例如,在云端201知道智能设备205的设备标识的情况下)或可以不同(例如,可以随机生成设备ID)。
[0030]智能设备205在操作2051接入网络(例如,局域网,如上述网络环境100)之后,可以向该网络上的设备通知其设备信息(例如,其分配的设备ID或者设备类型等)。例如,智能设备205可以在网络上广播其设备信息,从而使得该网络上的智能设备203在操作2031获得其设备信息。或者,智能设备203可以通过网络向智能设备205发出对其设备信息的请求,并且智能设备205响应于该请求向智能设备203发送其设备信息。
[0031]如上所述,有利地,将智能设备205的设备信息的传播限制在一定范围内。例如,网络的路由器或网关(例如,以上结合图1描述的AP 101)可以控制将智能设备205的设备信息只在该网络内广播,或者只允许该网络内的设备请求智能设备205的设备信息。于是,网络外的设备无法获知智能设备205的设备信息。
[0032]在获得设备信息之后,终端设备203可以在操作2033基于获得的设备信息,向云端201请求授权签名证书。在设备信息包括智能设备205的设备ID的情况下,云端201可以直接确定与该设备ID相对应的授权签名证书。而在设备信息包括设备ID之外的其他类型设备信息的情况下,云端201需要知道设备ID与设备信息之间的对应关系。为此,操作2011还可以包括云端201从智能设备205获取其设备信息的处理,从而云端201可以记录分配给智能设备205的ID/公私钥与智能设备205的设备信息之间的对应关系。这样,当云端201从终端设备203接收到智能设备205的设备信息之后,云端201可以正确地确定与该智能设备205相对应的授权签名证书。
[0033]在此,授权签名证书可以是利用相应私钥进行“签名”的,即利用相应私钥进行加密的。云端201可以针对所有或一些智能设备生成相同的证书,但是利用针对各智能设备生成的不同私钥进行加密,从而得到针对不同智能设备的不同授权签名证书。或者,云端201可以针对各智能设备分别生成不同的证书,并利用各自相应的私钥进行加密,从而得到针对不同智能设备的不同授权签名证书。
[0034]在操作2013,云端201可以将与智能设备205相对应的授权签名证书返回给终端设备203。
[0035]在接收到授权签名证书之后,终端设备203可以在操作2035向智能设备205发送控制授权请求,该请求中包括接收到的授权签名证书。
[0036]智能设备205在接收到来自终端设备203的控制授权请求之后,可以在操作2055对其中包含的授权签名证书进行验证。例如,智能设备205可以利用分配给其的公钥,对接收到的授权签名证书进行解密。如果解密成功,则认为对该授权签名证书的验证成功。
[0037]在验证成功之后,智能设备205可以在操作2057向终端设备203授权对该智能设备205的控制。这种授权例如可以通过控制证书的形式实现。具体地,智能设备205可以向终端设备203发送控制证书。之后,终端设备203可以利用控制证书对要发送到智能设备205的控制指令进行加密。
[0038]在上述示例中,由云端201生成授权校验证书和授权签名证书,但是本公开不限于此。例如,这些证书(例如,设备ID和相应的公私钥)可以由专用的服务器(例如,智能设备的制造商的服务器)来生成和维护。此外,证书也不限于提前生成。例如,智能设备可以在连接到网络后,经网络请求云端或服务器来生成其设备ID和相应的公私钥。
[0039]另外,在上述示例中,授权校验证书和授权签名证书基于公钥和私钥来实现,但是本公开不限于此。安全领域其他实现身份验证的机制均可适用。因此,本公开中所谓的“证书”是一种安全机制。“授权签名证书”是带有智能设备特异信息(例如,上述私钥)即被签名的安全机制,“授权校验证书”是用以对这种签名进行校验的安全机制(例如,上述公钥)。例如,授权签名证书可以简单是针对智能设备分配的一个密码,而授权校验证书可以是该密码本身或者该密码的生成种子(即,基于该种子以特定算法可以获得该密码)。此时,智能设备可以通过比较接收到的授权签名证书与自身的授权校验证书(或以特定算法对授权校验证书进行处理后得到的结果),来对授权签名证书进行验证。
[0040]另外,在上述示例中,授权以控制证书的形式实现,但是本公开不限于此。其他合适的授权方式均可适用。例如,智能设备可以将被授权的终端设备的设备信息存储在其信任库中,并且可以对来自信任库中的终端设备的控制指令做出响应,而不对其他终端设备的控制指令做出响应。
[0041]图3是示意性示出了根据本公开实施例的终端设备的框图。
[0042]如图3所示,根据该实施例的终端设备300可以包括通信接口 301、存储器303和控制器305。
[0043]通信接口 301可以配置为与其他设备(例如,智能设备、云端、路由器等)之间进行通信。在图1所示的WIFI网络环境下,通信接口 301可以遵循例如IEEE 802.lla、IEEE802.1lb等无线通信协议。例如,通信接口 301可以包括天线、调制/解调电路、编码/解码电路等,以便向/从外部发送/接收射频(RF)信号。通信接口 301不限于遵循单一通信协议,而是可以遵循多种通信协议。例如,通信接口 301可以与一种设备以一种通信协议通信,而与另一设备以另一通信协议通信。
[0044]存储器303可以存储终端设备300的操作相关的信息(例如,各种数据和程序)。存储器303可以实现为各种易失性和/或非易失性存储技术,并可以包括存储装置如硬盘、存储卡等,存储器如静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、闪存等。
[0045]控制器305可以控制终端设备300的整体操作。控制器305可以实现为处理器或微处理器,例如移动处理器。
[0046]根据本公开的实施例,当终端设备300通过通信接口 301连接到网络时,可能接收到关于智能设备的设备信息。例如,通信接口 301可以通过网络上的广播消息而侦听到设备信息。或者,通信接口 301可以在控制器305的控制下,向网络上的智能设备发送对其设备信息的请求,并可以接收响应于该请求而从智能设备发送的设备信息。接收到的设备信息可以存储在存储器303中。
[0047]在接收到智能设备的设备信息之后,在控制器305的控制下,通信接口 301可以基于该设备信息,(例如,向云端)请求与该智能设备相对应的授权签名证书。具体地,该请求中可以包括设备信息,从而云端能够返回与该设备信息对应的智能设备相应的授权签名证书。获得的授权签名证书可以存储在存储器303中。
[0048]在获得授权签名证书之后,在控制器305的控制下,通信接口 301可以向智能设备发送针对该智能设备的控制授权请求,该请求中包括上述获得的授权签名证书。于是,智能设备可以对该请求中的授权签名证书进行验证,并且在验证成功之后,可以响应于该请求而返回控制授权。如上所述,授权可以是控制证书的形式。控制证书可以存储在存储器303中。
[0049]在获得控制授权之后,控制器305可以(响应于用户输入)通过通信接口 301向智能设备发送控制指令,以便对智能设备进行控制。如上所述,在授权是控制证书的形式的情况下,控制指令可以通过控制证书进行加密。
[0050]这里需要指出的是,在图3中,为了方便起见,并未示出各部件之间的连接。但是,各个部件之间可以相互连接。例如,它们可以连接到公共的总线,从而彼此互连。以下各框图中同样如此。
[0051]终端设备可以是UI类设备(即,具有UI的设备),如智能手机。智能手机上可以安装有智能设备的控制APP,以实现对智能设备的控制。或者,终端设备可以是非UI类设备(即,不具有UI的设备),如智能网关、家庭热点等。该非UI类设备上可以集成有相应的软硬件,可以通过物理按键、语音控制或者借助智能手机实现相应的控制。
[0052]图4是示意性示出了根据本公开实施例的智能设备的框图。
[0053]如图4所示,根据该实施例的智能设备400可以包括通信接口 401、存储器403和控制器405。
[0054]通信接口 401可以配置为与其他设备(例如,终端设备、云端、路由器等)之间进行通信。在图1所示的WIFI网络环境下,通信接口 401可以遵循例如IEEE 802.lla.1EEE802.1lb等无线通信协议。例如,通信接口 401可以包括天线、调制/解调电路、编码/解码电路等,