CN117332398A - 签发设备证书的方法、设备和系统 - Google Patents

签发设备证书的方法、设备和系统 Download PDF

Info

Publication number
CN117332398A
CN117332398A CN202210722059.6A CN202210722059A CN117332398A CN 117332398 A CN117332398 A CN 117332398A CN 202210722059 A CN202210722059 A CN 202210722059A CN 117332398 A CN117332398 A CN 117332398A
Authority
CN
China
Prior art keywords
terminal device
identifier
terminal
certificate
equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210722059.6A
Other languages
English (en)
Inventor
张亮
潘适然
李昌婷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN202210722059.6A priority Critical patent/CN117332398A/zh
Publication of CN117332398A publication Critical patent/CN117332398A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • G06F21/445Program or device authentication by mutual authentication, e.g. between devices or programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2211/00Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
    • G06F2211/007Encryption, En-/decode, En-/decipher, En-/decypher, Scramble, (De-)compress
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2113Multi-level security, e.g. mandatory access control

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请实施例提供了一种签发设备证书的方法、设备和系统。系统包括第一设备和第二设备。第一设备,用于广播用于请求签发第一设备的设备证书的消息,消息包括第一标识,第一标识用于指示第一设备上登录的设备账号、管理员账号、或目标设备;第二设备,用于响应于接收到消息,确定第一标识和第二标识匹配,向第一设备发送第一设备的设备证书,第二标识用于指示第二设备上登录的设备账号、管理员账号、或第二设备,第二标识和第一标识的类型相同。这样,既可以保证设备证书签发过程的安全性,还可使得设备之间认证的流程简单且便捷,有助于提升用户体验。

Description

签发设备证书的方法、设备和系统
技术领域
本申请实施例涉及终端领域,并且更具体地,涉及一种签发设备证书的方法、设备和系统。
背景技术
在分布式场景中,多个终端设备间存在数据相互传输和交互的场景,而这多个终端设备在相互传输数据之前,需要先进行终端设备间的互联。终端设备间的互联需要经历发现、认证、组网等过程。其中认证是终端设备之间组网的安全基础,终端设备间认证是需要双方校验彼此的设备证书。
对于分布式场景,由于终端设备数量较多、终端设备的类型较复杂,因此,设备证书通常采用的是非对称密钥签发的方式。出于安全性考虑,通常,只有具有公共密钥基础设施(public key infrastructure,PKI)的服务器才具备非对称密钥签发设备证书的能力。这样,在分布式场景中,还需要部署相应地服务器才能实现终端设备间的认证,造成终端设备间的认证过程复杂且不够便捷,影响用户的体验。
发明内容
本申请实施例提供一种签发设备证书的方法、设备和系统,既可以保证设备证书的签发过程的安全性,还可以使得终端设备之间认证的流程简单且便捷,有助于提升用户的体验。
第一方面,提供了一种系统,所述系统包括第一终端设备和第二终端设备,其中,所述第一终端设备,用于广播消息,所述消息用于请求签发所述第一终端设备的设备证书,所述消息包括第一标识,所述第一标识用于指示所述第一终端设备上登录的设备账号、所述第一终端设备上登录的管理员账号、或目标终端设备;所述第二终端设备,用于响应于接收到所述消息,确定所述第一标识和第二标识是否匹配,所述第二标识用于指示所述第二终端设备上登录的设备账号、所述第二终端设备上登录的管理员账号、或所述第二终端设备,所述第二标识和所述第一标识的类型相同;所述第二终端设备,还用于在所述第一标识和所述第二标识匹配的情况下,向所述第一终端设备发送所述第一终端设备的设备证书。
在本申请实施例中,若第一终端设备上登录有设备账号或管理员账号,第一终端设备可以在不感知签发端的情况下,以广播的形式,通过第一终端设备上登录的设备账号或管理员账号,请求签发端签发第一终端设备的设备证书。或者,若第一终端设备上没有登录账号,以广播的形式,通过用户授权的可签发第一终端设备证书的设备,请求签发端签发第一终端设备的设备证书。这样,不仅使得终端设备间的认证过程的简化、比较便捷,而且,第三方开发商即使没有部署具备设备证书签发能力的服务器,或即使第三方部署的服务器不具备设备证书签发能力,或即使第三部署的服务器具备设备证书签发能力,但是第一终端设备无法穿透到公网(例如,第一终端设备处于封闭环境,其只能连接局域网/内网)与该第三方服务器进行连接,第一终端设备仍然可以完成请求签发端签发第一终端设备的设备证书的流程。
结合第一方面,在第一方面的某些实现方式中,所述第二终端设备,还具体用于:在所述第一标识和所述第二标识匹配的情况下,确定所述第二终端设备是否满足签发所述第一终端设备的设备证书的条件;在所述第二终端设备满足签发所述第一终端设备的设备证书的条件的情况下,向所述第一终端设备发送所述第一终端设备的设备证书。
第二终端设备在接收到第一终端设备请求签发第一终端设备的设备证书的消息后,第二终端设备需要在第一标识和第二标识匹配,且第一终端设备满足签发第一终端设备的设备证书的条件的情况下,第二终端设备才能够签发第一终端设备的设备证书,这样,可以保证第一终端设备的设备证书的来源的权威性和可信性。
结合第一方面,在第一方面的某些实现方式中,所述条件包括所述第二终端设备的安全等级高于或等于所述第一终端设备的安全等级,和/或,所述第二终端设备的安全等级高于或等于预设的安全等级。
结合第一方面,在第一方面的某些实现方式中,所述消息还包括所述第一终端设备的地址信息,在所述第二终端设备,还用于向所述第一终端设备发送所述第一终端设备的设备证书之前,所述第二终端设备,还用于根据所述第一终端设备的地址信息,向所述第一终端设备发送第一请求消息,所述第一请求消息用于请求与所述第一终端设备建立连接;所述第一终端设备,还用于响应于接收到所述第一请求消息,与所述第二终端设备建立连接。
结合第一方面,在第一方面的某些实现方式中,在所述第一终端设备,还用于响应于接收到所述第一请求消息,与所述第二终端设备建立连接之后,所述第一终端设备,还用于向所述第二终端设备发送能力协商信息,所述能力协商信息用于指示所述第一终端设备的安全等级和/或所述条件;所述第二终端设备,还用于向所述第一终端设备发送响应消息,所述响应消息用于指示所述第二终端设备满足签发所述第一终端设备的设备证书的条件。
结合第一方面,在第一方面的某些实现方式中,在所述第一终端设备,还用于响应于接收到所述第一请求消息,与所述第二终端设备建立连接之后,所述第一终端设备,还用于向所述第二终端设备发起加密连接,并协商第一密钥和第二密钥;所述第二终端设备,还具体用于向所述第一终端设备发送采用所述第一密钥加密后的所述第一终端设备的设备证书;所述第一终端设备,还用于采用所述第二密钥,对所述第一密钥加密后的所述第一终端设备的设备证书进行解密,得到所述第一终端设备的设备证书。
将第一终端设备和第二终端设备之间建立加密连接,这样,第二终端设备通过建立的加密连接,将第一终端设备的设备证书传输给第一终端设备。从而能够防止第一终端设备的设备证书在由第二终端设备传输给第一终端设备的过程中被盗取或篡改。
结合第一方面,在第一方面的某些实现方式中,所述第一终端设备的设备证书包括以下至少一项:所述第一终端设备的设备标识;所述第一终端设备的公钥,所述第一终端设备的公钥用于所述第一终端设备签名;设备类型,所述设备类型用于指示具备使用所述第一终端设备的设备证书进行签名的设备类型。
结合第一方面,在第一方面的某些实现方式中,所述第二终端设备,还用于删除所述第一终端设备的设备证书。
第二终端设备删除第一终端设备的设备证书,也就是说,签发端不会保留其所签发的设备证书,即签发端不需要对设备证书进行管理。这样,可以避免第一终端设备的设备证书占用第二终端设备的存储空间,提高了第二终端设备的存储空间的利用率。
结合第一方面,在第一方面的某些实现方式中,所述通信系统还包括:第三终端设备,用于响应于接收到所述消息,确定所述第一标识和所述第三标识不匹配,和/或,确定所述第三终端设备不满足签发所述第一终端设备的设备证书的条件,其中,所述第三标识用于指示所述第三终端设备上登录的设备账号、所述第三终端设备上登录的管理员账号、或所述第三终端设备,所述第三标识和所述第一标识的类型相同;所述第三终端设备,还用于丢弃所述消息。
此时,该第三终端设备可以理解为是另一个第二终端设备,该第二终端设备可以是上文所述的第二终端设备。
第二方面,提供了一种签发设备证书的方法,所述方法包括:接收第一终端设备广播的消息,所述消息用于请求签发所述第一终端设备的设备证书,所述消息包括第一标识,所述第一标识用于指示所述第一终端设备上登录的设备账号、所述第一终端设备上登录的管理员账号、或目标终端设备;确定所述第一标识和第二标识是否匹配,所述第二标识用于指示所述第二终端设备上登录的设备账号、所述第二终端设备上登录的管理员账号、或所述第二终端设备,所述第二标识和所述第一标识的类型相同;在所述第一标识和所述第二标识匹配的情况下,向所述第一终端设备发送所述第一终端设备的设备证书。
结合第二方面,在第二方面的某些实现方式中,所述在所述第一标识和所述第二标识匹配的情况下,向所述第一终端设备发送所述第一终端设备的设备证书,包括:在所述第一标识和所述第二标识匹配的情况下,确定所述第二终端设备是否满足签发所述第一终端设备的设备证书的条件;在所述第二终端设备满足签发所述第一终端设备的设备证书的条件的情况下,向所述第一终端设备发送所述第一终端设备的设备证书。
结合第二方面,在第二方面的某些实现方式中,所述条件包括所述第二终端设备的安全等级高于或等于所述第一终端设备的安全等级,和/或,所述第二终端设备的安全等级高于或等于预设的安全等级。
结合第二方面,在第二方面的某些实现方式中,所述消息还包括所述第一终端设备的地址信息,在所述向所述第一终端设备发送所述第一终端设备的设备证书之前,所述方法还包括:根据所述第一终端设备的地址信息,向所述第一终端设备发送第一请求消息,所述第一请求消息用于请求与所述第一终端设备建立连接;与所述第一终端设备建立连接。
结合第二方面,在第二方面的某些实现方式中,所述方法还包括:接收所述第一终端设备发送的能力协商信息,所述能力协商信息用于指示所述第一终端设备的安全等级和/或所述条件;向所述第一终端设备发送响应消息,所述响应消息用于指示所述第二终端设备满足签发所述第一终端设备的设备证书的条件。
结合第二方面,在第二方面的某些实现方式中,在所述向所述第一终端设备发送所述第一终端设备的设备证书之前,所述方法还包括:接收所述第一终端设备发起的加密连接,并协商第一密钥和第二密钥;所述向所述第一终端设备发送所述第一终端设备的设备证书包括:向所述第一终端设备发送采用所述第一密钥加密后的所述第一终端设备的设备证书。
结合第二方面,在第二方面的某些实现方式中,所述第一终端设备的设备证书包括以下至少一项:所述第一终端设备的设备标识;所述第一终端设备的公钥,所述第一终端设备的公钥用于所述第一终端设备签名;设备类型,所述设备类型用于指示具备使用所述第一终端设备的设备证书进行签名的设备类型。
结合第二方面,在第二方面的某些实现方式中,在所述向所述第一终端设备发送所述第一终端设备的设备证书之后,所述方法还包括:删除所述第一终端设备的设备证书。
第二方面中任一项可能的实现方式的技术效果可以参考相应第一方面的实现方式的技术效果,这里不再赘述。
第三方面,提供了一种签发设备证书的方法,所述方法包括:广播消息,所述消息用于请求签发所述第一终端设备的设备证书,所述消息包括第一标识,所述第一标识用于指示所述第一终端设备上登录的设备账号、所述第一终端设备上登录的管理员账号、或目标终端设备;接收第二终端设备发送的第一终端设备的设备证书,第二标识和所述第一标识匹配,所述第二标识用于指示所述第二终端设备上登录的设备账号、所述第二终端设备上登录的管理员账号、或所述第二终端设备,所述第二标识和所述第一标识的类型相同。
结合第三方面,在第三方面的某些实现方式中,所述第二终端设备满足签发所述第一终端设备的设备证书的条件。
结合第三方面,在第三方面的某些实现方式中,所述条件包括所述第二终端设备的安全等级高于或等于所述第一终端设备的安全等级,和/或,所述第二终端设备的安全等级高于或等于预设的安全等级。
结合第三方面,在第三方面的某些实现方式中,所述消息还包括所述第一终端设备的地址信息,在接收第二终端设备发送的第一终端设备的设备证书之前,所述方法还包括:接收所述第二终端设备发送的第一请求消息,所述第一请求消息用于请求与所述第一终端设备建立连接;与所述第一终端设备建立连接。
结合第三方面,在第三方面的某些实现方式中,在所述与所述第一终端设备建立连接之后,所述方法还包括:向所述第二终端设备发送能力协商信息,所述能力协商信息用于指示所述第一终端设备的安全等级和/或所述条件;接收所述第二终端设备发送的响应消息,所述响应消息用于指示所述第二终端设备满足签发所述第一终端设备的设备证书的条件。
结合第三方面,在第三方面的某些实现方式中,在所述与所述第一终端设备建立连接之后,所述方法还包括:向所述第二终端设备发起加密连接,并协商第一密钥和第二密钥;接收第二终端设备发送的第一终端设备的设备证书包括:接收第二终端设备发送的采用所述第一密钥加密后的所述第一终端设备的设备证书;所述方法还包括:采用所述第二密钥,对所述第一密钥加密后的所述第一终端设备的设备证书进行解密,得到所述第一终端设备的设备证书。
结合第三方面,在第三方面的某些实现方式中,所述第一终端设备的设备证书包括以下至少一项:所述第一终端设备的设备标识;所述第一终端设备的公钥,所述第一终端设备的公钥用于所述第一终端设备签名;设备类型,所述设备类型用于指示具备使用所述第一终端设备的设备证书进行签名的设备类型。
第三方面中任一项可能的实现方式的技术效果可以参考相应第一方面的实现方式的技术效果,这里不再赘述。
第四方面,提供了一种签发设备证书的装置,所述装置包括:收发单元,用于接收第一终端设备广播的消息,所述消息用于请求签发所述第一终端设备的设备证书,所述消息包括第一标识,所述第一标识用于指示所述第一终端设备上登录的设备账号、所述第一终端设备上登录的管理员账号、或目标终端设备;处理单元,用于确定所述第一标识和第二标识是否匹配,所述第二标识用于指示所述装置上登录的设备账号、所述装置上登录的管理员账号、或所述装置,所述第二标识和所述第一标识的类型相同;所述处理单元,还用于在所述第一标识和所述第二标识匹配的情况下,向所述第一终端设备发送所述第一终端设备的设备证书。
结合第四方面,在第四方面的某些实现方式中,所述处理单元,还具体用于:在所述第一标识和所述第二标识匹配的情况下,确定所述装置是否满足签发所述第一终端设备的设备证书的条件;在所述装置满足签发所述第一终端设备的设备证书的条件的情况下,向所述第一终端设备发送所述第一终端设备的设备证书。
结合第四方面,在第四方面的某些实现方式中,所述条件包括所述装置的安全等级高于或等于所述第一终端设备的安全等级,和/或,所述装置的安全等级高于或等于预设的安全等级。
结合第四方面,在第四方面的某些实现方式中,所述消息还包括所述第一终端设备的地址信息,所述收发单元,还用于根据所述第一终端设备的地址信息,向所述第一终端设备发送第一请求消息,所述第一请求消息用于请求与所述第一终端设备建立连接;所述处理单元,还用于与所述第一终端设备建立连接。
结合第四方面,在第四方面的某些实现方式中,所述收发单元,还用于:接收所述第一终端设备发送的能力协商信息,所述能力协商信息用于指示所述第一终端设备的安全等级和/或所述条件;向所述第一终端设备发送响应消息,所述响应消息用于指示所述装置满足签发所述第一终端设备的设备证书的条件。
结合第四方面,在第四方面的某些实现方式中,所述收发单元,还用于接收所述第一终端设备发起的加密连接,并协商第一密钥和第二密钥;所述收发单元,还具体用于向所述第一终端设备发送采用所述第一密钥加密后的所述第一终端设备的设备证书。
结合第四方面,在第四方面的某些实现方式中,所述第一终端设备的设备证书包括以下至少一项:所述第一终端设备的设备标识;所述第一终端设备的公钥,所述第一终端设备的公钥用于所述第一终端设备签名;设备类型,所述设备类型用于指示具备使用所述第一终端设备的设备证书进行签名的设备类型。
结合第四方面,在第四方面的某些实现方式中,所述处理单元,还用于删除所述第一终端设备的设备证书。
第五方面,提供了一种签发设备证书的装置,所述装置包括:收发单元,用于广播消息,所述消息用于请求签发所述装置的设备证书,所述消息包括第一标识,所述第一标识用于指示所述装置上登录的设备账号、所述装置上登录的管理员账号、或目标终端设备;所述收发单元,还用于接收第二终端设备发送的装置的设备证书,第二标识和所述第一标识匹配,所述第二标识用于指示所述第二终端设备上登录的设备账号、所述第二终端设备上登录的管理员账号、或所述第二终端设备,所述第二标识和所述第一标识的类型相同。
结合第五方面,在第五方面的某些实现方式中,所述第二终端设备满足签发所述装置的设备证书的条件。
结合第五方面,在第五方面的某些实现方式中,所述条件包括所述第二终端设备的安全等级高于或等于所述装置的安全等级,和/或,所述第二终端设备的安全等级高于或等于预设的安全等级。
结合第五方面,在第五方面的某些实现方式中,所述消息还包括所述装置的地址信息,所述收发单元,还用于接收所述第二终端设备发送的第一请求消息,所述第一请求消息用于请求与所述装置建立连接;所述装置还包括处理单元,用于与所述装置建立连接。
结合第五方面,在第五方面的某些实现方式中,所述收发单元,还用于:向所述第二终端设备发送能力协商信息,所述能力协商信息用于指示所述装置的安全等级和/或所述条件;接收所述第二终端设备发送的响应消息,所述响应消息用于指示所述第二终端设备满足签发所述装置的设备证书的条件。
结合第五方面,在第五方面的某些实现方式中,所述收发单元,还用于:向所述第二终端设备发起加密连接,并协商第一密钥和第二密钥;接收第二终端设备发送的装置的设备证书包括:接收第二终端设备发送的采用所述第一密钥加密后的所述装置的设备证书;所述处理单元,还用于采用所述第二密钥,对所述第一密钥加密后的所述装置的设备证书进行解密,得到所述装置的设备证书。
结合第五方面,在第五方面的某些实现方式中,所述装置的设备证书包括以下至少一项:所述装置的设备标识;所述装置的公钥,所述装置的公钥用于所述装置签名;设备类型,所述设备类型用于指示具备使用所述装置的设备证书进行签名的设备类型。
第六方面,提供了一种设备,包括:一个或多个处理器;存储器;以及一个或多个计算机程序。其中,一个或多个计算机程序被存储在存储器中,一个或多个计算机程序包括指令。当指令被第一终端设备执行时,使得第一终端设备执行上述第三方面或第三方面中任一项可能的实现中所述的方法。
第七方面,提供了一种设备,包括:一个或多个处理器;存储器;以及一个或多个计算机程序。其中,一个或多个计算机程序被存储在存储器中,一个或多个计算机程序包括指令。当指令被第二终端设备执行时,使得第二终端设备执行上述第二方面或第二方面中任一项可能的实现中所述的方法。
第八方面,提供了一种包含指令的计算机程序产品,当所述计算机程序产品在第一终端设备上运行时,使得所述第一终端设备执行上述第三方面或第三方面中任一项可能的实现中所述的方法。
第九方面,提供了一种包含指令的计算机程序产品,当所述计算机程序产品在第二终端设备上运行时,使得所述第二终端设备执行上述第二方面或第二方面中任一项可能的实现中所述的方法。
第十方面,提供了一种计算机可读存储介质,该存储介质可以是非易失性的。该存储介质包括指令,当所述指令在第一终端设备上运行时,使得所述第一终端设备执行上述第三方面或第三方面中任一项可能的实现中所述的方法。
第十一方面,提供了一种计算机可读存储介质,该存储介质可以是非易失性的。该存储介质包括指令,当所述指令在第二终端设备上运行时,使得所述第二终端设备执行上述第二方面或第二方面中任一项可能的实现中所述的方法
第十二方面,提供了一种通信系统,所述通信系统包括第一终端设备和第二终端设备,所述第一终端设备用于执行上述第三方面或第三方面中任一项可能的实现中所述的方法,所述第二终端设备用于执行上述第二方面或第二方面中任一项可能的实现中所述的方法。
第十二方面,提供了一种芯片,包括至少一个处理器和接口电路,所述接口电路用于为所述至少一个处理器提供程序指令或者数据,所述至少一个处理器用于执行所述程序指令,以实现上述第一方面或第一方面中任一项可能的实现中所述的方法或以实现上述第二方面或第二方面中任一项可能的实现中所述的方法。
附图说明
图1为适用于本申请实施例的一例工业通信系统的架构的示意图。
图2为适用于本申请实施例的一例非工业通信系统的架构的示意图。
图3是本申请实施例提供的一种终端设备的硬件结构示意图。
图4是本申请实施例提供的一种终端设备的软件结构框图。
图5为本申请实施例提供的一例签发设备证书的方法的示意性流程图。
图6为本申请实施例提供的一例通信系统的示意图。
图7是本申请实施例提供的一例装置的示意性结构图。
图8是本申请实施例提供的另一例终端设备的示意性结构图。
具体实施方式
下面将结合附图,对本申请实施例中的技术方案进行描述。
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。其中,在本申请实施例的描述中,除非另有说明,“/”表示或的意思,例如,A/B可以表示A或B;本文中的“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,在本申请实施例的描述中,“复数个”或者“多个”是指两个或多于两个。
以下,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本实施例的描述中,除非另有说明,“多个”的含义是两个或两个以上。
为便于理解本申请实施例,首先对适用于本申请实施例提供的方法的通信系统进行介绍。
图1是适用于本申请实施例的一种工业通信系统100的架构的示意图。
例如,如图1所示,该工业通信系统100可以包括工业内网,该工业内网主要用于工业生产环境中工业设备的联网。该工业内网中可以部署至少一个核心网设备,如图1中所示的核心网设备110。
如图1所示,该工业通信系统100还可以包括至少一个接入网设备130。
本申请实施例对接入网设备130与核心网设备110之间的通信方式不作限定。例如,接入网设备130可以通过网关120与核心网设备110建立无线链路,或接入网设备130可以直接与核心网设备110建立无线链路,以实现接入网设备130和核心网设备110之间的通信。
该工业通信系统100还可以包括至少一个工业设备,如图1中所示的工业设备108、工业设备107和工业设备117。
本申请实施例对工业设备的类型不作限定,例如,该工业设备可以包括机床、机械设备、仪器仪表等。
本申请实施例对工业设备与接入网设备130之间的通信方式不作限定。
在一些实施例中,工业设备可以通过至少一个中间设备与接入网设备130建立无线链路,来实现工业设备108和接入网设备130之间的通信。
在一个示例中,如图1所示,工业设备108分别通过路由器106、核心路由器105和防火墙104与接入网设备130建立无线链路。
本申请实施例对路由器106与工业设备108之间的通信方式不作限定。例如,工业设备108可以通过无线保真(wireless fidelity,Wi-Fi)网络与路由器106进行通信。
在另一个示例中,如图1所示,工业设备107分别通过核心路由器105和防火墙104与接入网设备130建立无线链路。
本申请实施例对核心路由器105与工业设备107之间的通信方式不作限定。例如,工业设备107可以通过局域网(local area network,LAN)与核心路由器105进行通信。
在又一个示例中,如图1所示,工业设备112分别通过核心路由器105和防火墙104与接入网设备130建立无线链路。
本申请实施例对核心路由器105与工业设备112之间的通信方式不作限定。例如,工业设备112可以通过控制器局域网络(controller area network,CAN)总线、485总线、可编辑逻辑控制器(programmable logic controller,PLC)、紫蜂(zigbee)技术与核心路由器105进行通信。
在另一些实施例中,工业设备可以直接与接入网设备130建立无线链路,来实现工业设备和接入网设备130之间的通信。
可选地,在一些实施例中,该工业通信系统100还可以包括至少一个数据中心111,如图1中所示的数据中心111。例如,该数据中心111的功能不限于对数据的收发、存储、处理等。
本申请实施例对数据中心111与接入网设备103之间的通信方式不作限定。
例如,数据中心111分别通过核心路由器105和防火墙104与接入网设备130建立无线链路。
本申请实施例对核心路由器105与数据中心111之间的通信方式不作限定。例如,数据中心111可以通过以太网与核心路由器105进行通信。
可选地,在一些实施例中,该工业通信系统100还可以包括至少一个非工业设备(例如,个人用户设备),如图1中所示的电脑110、平板电脑109、手机113、智能手表114。
本申请实施例对非工业设备的联网方式不作限定。
在一些实施例中,该非工业设备可以连接于工业内网。
本申请实施例对非工业设备连接于工业内网的方式不作限定。
在一个示例中,电脑110和平板电脑109均可以通过路由器106、核心路由器105和防火墙104与接入网设备130建立无线链路,以实现电脑110和平板电脑109连接至工业内网。
本申请实施例对电脑110或平板电脑109与路由器106之间的通信方式不作限定。例如,电脑110或平板电脑109可以通过Wi-Fi网络与路由器106进行通信。
在另一个示例中,手机113可以直接和接入网设备103建立无线链路实现通信。
在另一些实施例中,该非工业设备可以连接于工业外网。例如,手机113可以连接至工业外网。本申请实施例对非工业设备连接于工业外网的方式不作限定。
可选地,在一些实施例中,若该工业通信系统100包括至少两个非工业设备,该至少两个非工业设备也可以进行通信。本申请实施例对该至少两个非工业设备之间的通信方式不作限定,例如,该至少两个非工业设备可以通过蓝牙(Bluetooth,BT)或Wi-Fi网络进行通信。
在如图1所示的工业通信系统100中,接入网设备103和手机113可以构成一个通信系统;接入网设备103和平板电脑109也可以构成一个通信系统;接入网设备103和电脑110也可以构成一个通信系统。手机113和智能手表114也可以构成一个通信系统。
需要说明的是,图1所述的工业设备和非工业设备的分类是基于是否用于工业生产。若某些设备用于处理工业生产中的工作也可以称为工业设备,例如,若电脑110用于处理工业生产中的数据处理,那么此时该电脑110也可以称为工业设备。
示例性地,图1所示的接入网设备可以是任意一种具有无线收发功能的设备。该设备包括但不限于:演进型节点B(evolved NodeB,eNB或eNodeB)、无线网络控制器(radionetwork controller,RNC)、节点B(Node B,NB)、基站控制器(base station controller,BSC)、基站收发台(base transceiver station,BTS)、家庭基站(例如,home evolvedNodeB,或home Node B,HNB)、基带单元(base band unit,BBU),Wi-Fi系统中的接入点(access point,AP)、无线中继节点、无线回传节点、传输点(transmission point,TP)或者发送接收点(transmission and reception point,TRP)等,还可以为5G,如,NR,系统中的gNB,或,传输点(TRP或TP),5G系统中的基站的一个或一组(包括多个天线面板)天线面板,或者,还可以为构成gNB或传输点的网络节点,如基带单元(BBU),或,分布式单元(distributed unit,DU)等。
在一些部署中,gNB可以包括集中式单元(centralized unit,CU)和DU。gNB还可以包括射频单元(radio unit,RU)。CU实现gNB的部分功能,DU实现gNB的部分功能,例如,CU实现无线资源控制(radio resource control,RRC),分组数据汇聚层协议(packet dataconvergence protocol,PDCP)层的功能,DU实现无线链路控制(radio link control,RLC)层、媒体接入控制(media access control,MAC)层和物理(physical,PHY)层的功能。由于RRC层的信息最终会变成PHY层的信息,或者,由PHY层的信息转变而来,因而,在这种架构下,高层信令,如RRC层信令,也可以认为是由DU发送的,或者,由DU+CU发送的。可以理解的是,接入网设备可以为CU节点、或DU节点、或包括CU节点和DU节点的设备。此外,CU可以划分为接入网(radio access network,RAN)中的接入网设备,也可以将CU划分为核心网(corenetwork,CN)中的接入网设备,本申请对此不做限定。
还应理解,图1所述的工业设备和/或非工业设备还可以称为:终端设备或用户设备(user equipment,UE)、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。本申请的实施例中的终端设备可以是手机(mobile phone)、平板电脑(pad)、带无线收发功能的电脑、虚拟现实(virtual reality,VR)终端设备、增强现实(augmented reality,AR)终端设备、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等等。本申请的实施例对应用场景不做限定。
在本申请实施例中,终端设备或接入网设备包括硬件层、运行在硬件层之上的操作系统层,以及运行在操作系统层上的应用层。该硬件层包括中央处理器(centralprocessing unit,CPU)、内存管理单元(memory management unit,MMU)和内存(也称为主存)等硬件。该操作系统可以是任意一种或多种通过进程(process)实现业务处理的计算机操作系统,例如,Linux操作系统、Unix操作系统、Android操作系统、iOS操作系统或windows操作系统等。该应用层包含浏览器、通讯录、文字处理软件、即时通信软件等应用。并且,本申请实施例并未对本申请实施例提供的方法的执行主体的具体结构特别限定,只要能够通过运行记录有本申请实施例的提供的方法的代码的程序,以根据本申请实施例提供的方法进行通信即可,例如,本申请实施例提供的方法的执行主体可以是终端设备或接入网设备,或者,是终端设备或接入网设备中能够调用程序并执行程序的功能模块。
需要说明的是,图1所示的各个设备之间也可以通信。本申请实施例对图1所示的各个设备之间的通信方式不作限定。在一个示例中,图1所示的非工业设备和/或工业设备之间可以通过接入网设备实现通信。在另一个示例中,图1所示的非工业设备和/或工业设备之间可以直接通信。本申请实施例对图1所示的设备之间直接通信的通信方式不作限定。在又一个示例中,图1所述的非工业设备和/或工业设备与接入网设备之间可以直接通信。
需要说明的是,图1所示的工业通信系统100仅为示例,其不应对本申请构成限制。例如,该工业通信系统100还可以包括更多或更少的设备。
图2是适用于本申请实施例的一种非工业通信系统200的架构的示意图。
该非工业通信系统200可以包括至少一个终端设备,如图2所示的手机201、智能电视202、平板电脑203、电脑204、手机205、智能音箱206和智能手表207。其中,手机201、智能电视202和平板电脑203上都登录了账号1。电脑204和手机205上没有登录账号,且电脑204和手机205是用户授权的签发手机201的设备证书的设备。智能音箱206和智能手表207上都登录了账号2,且该账号2和账号1是用户授权关联的两个账号。
需要说明的是,本申请对非工业通信系统200包括的终端设备的类型不作限定,该终端设备的类型可以如上文所述,这里不再具体举例。
图2所示的各个设备之间也可以通信。本申请实施例对图2所示的各个设备之间的通信方式不作限定。
需要说明的是,本申请实施例还可以适用于另一种通信系统,该通信系统包括图1所示的工业通信系统100和图2所示的非工业通信系统200。工业通信系统100和非工业通信系统200可参见上文的描述,这里不再赘述。
下面,结合图3和图4对本申请实施例所涉及的终端设备的结构进行介绍。
示例性的,图3示出了终端设备900的结构示意图。终端设备900可以包括处理器910,外部存储器接口920,内部存储器921,通用串行总线(universal serial bus,USB)接口930,充电管理模块940,电源管理模块941,电池942,天线1,天线2,移动通信模块950,无线通信模块960,音频模块970,扬声器970A,受话器970B,麦克风970C,耳机接口970D,传感器模块980,按键990,马达991,指示器992,摄像头993,显示屏994,以及用户身份识别(subscriber identification module,SIM)卡接口995等。
本申请实施例对传感器模块980包括的传感器的种类不作限定,例如传感器模块980可以包括压力传感器,陀螺仪传感器,气压传感器,磁传感器,加速度传感器,距离传感器,接近光传感器,指纹传感器,温度传感器,触摸传感器,环境光传感器,骨传导传感器1等。
可以理解的是,本申请实施例示意的结构并不构成对终端设备900的具体限定。在本申请另一些实施例中,终端设备900可以包括比图示更多或更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件,软件或软件和硬件的组合实现。
处理器910可以包括一个或多个处理单元,例如:处理器910可以包括应用处理器(application processor,AP),调制解调处理器,图形处理器(graphics processingunit,GPU),图像信号处理器(image signal processor,ISP),控制器,存储器,视频编解码器,数字信号处理器(digital signal processor,DSP),基带处理器,和/或神经网络处理器(neural-network processing unit,NPU)等。其中,不同的处理单元可以是独立的器件,也可以集成在一个或多个处理器中。
其中,控制器可以是终端设备900的神经中枢和指挥中心。控制器可以根据指令操作码和时序信号,产生操作控制信号,完成取指令和执行指令的控制。
处理器910中还可以设置存储器,用于存储指令和数据。在一些实施例中,处理器910中的存储器为高速缓冲存储器。该存储器可以保存处理器910刚用过或循环使用的指令或数据。如果处理器910需要再次使用该指令或数据,可从所述存储器中直接调用。避免了重复存取,减少了处理器910的等待时间,因而提高了系统的效率。
在一些实施例中,处理器910可以包括一个或多个接口。接口可以包括集成电路(inter-integrated circuit,I2C)接口,集成电路内置音频(inter-integrated circuitsound,I2S)接口,脉冲编码调制(pulse code modulation,PCM)接口,通用异步收发传输器(universal asynchronous receiver/transmitter,UART)接口,移动产业处理器接口(mobile industry processor interface,MIPI),通用输入输出(general-purposeinput/output,GPIO)接口,用户身份识别(subscriber identity module,SIM)接口,和/或通用串行总线(universal serial bus,USB)接口等。
可以理解的是,本申请实施例示意的各模块间的接口连接关系,只是示意性说明,并不构成对终端设备900的结构限定。在本申请另一些实施例中,终端设备900也可以采用上述实施例中不同的接口连接方式,或多种接口连接方式的组合。
充电管理模块940用于从充电器接收充电输入。其中,充电器可以是无线充电器,也可以是有线充电器。电源管理模块941用于连接电池942,充电管理模块940与处理器910。电源管理模块941接收电池942和/或充电管理模块940的输入,为处理器910,内部存储器921,外部存储器,显示屏994,摄像头993,和无线通信模块960等供电。电源管理模块941还可以用于监测电池容量,电池循环次数,电池健康状态(漏电,阻抗)等参数。
终端设备900的无线通信功能可以通过天线1,天线2,移动通信模块950,无线通信模块960,调制解调处理器以及基带处理器等实现。
天线1和天线2用于发射和接收电磁波信号。终端设备900中的每个天线可用于覆盖单个或多个通信频带。不同的天线还可以复用,以提高天线的利用率。例如:可以将天线1复用为无线局域网的分集天线。在另外一些实施例中,天线可以和调谐开关结合使用。
移动通信模块950可以提供应用在终端设备900上的包括2G/3G/4G/5G等无线通信的解决方案。移动通信模块950可以包括至少一个滤波器,开关,功率放大器,低噪声放大器(low noise amplifier,LNA)等。移动通信模块950可以由天线1接收电磁波,并对接收的电磁波进行滤波,放大等处理,传送至调制解调处理器进行解调。移动通信模块950还可以对经调制解调处理器调制后的信号放大,经天线1转为电磁波辐射出去。在一些实施例中,移动通信模块950的至少部分功能模块可以被设置于处理器910中。在一些实施例中,移动通信模块950的至少部分功能模块可以与处理器910的至少部分模块被设置在同一个器件中。
无线通信模块960可以提供应用在终端设备900上的包括无线局域网(wirelesslocal area networks,WLAN)(如无线保真(wireless fidelity,Wi-Fi)网络),蓝牙(bluetooth,BT),全球导航卫星系统(global navigation satellite system,GNSS),调频(frequency modulation,FM),近距离无线通信技术(near field communication,NFC),红外技术(infrared,IR)等无线通信的解决方案。无线通信模块960可以是集成至少一个通信处理模块的一个或多个器件。无线通信模块960经由天线2接收电磁波,将电磁波信号调频以及滤波处理,将处理后的信号发送到处理器910。无线通信模块960还可以从处理器910接收待发送的信号,对其进行调频,放大,经天线2转为电磁波辐射出去。
在一些实施例中,终端设备900的天线1和移动通信模块950耦合,天线2和无线通信模块960耦合,使得终端设备900可以通过无线通信技术与网络以及其他设备通信。所述无线通信技术可以包括全球移动通讯系统(global system for mobile communications,GSM),通用分组无线服务(general packet radio service,GPRS),码分多址接入(codedivision multiple access,CDMA),宽带码分多址(wideband code division multipleaccess,WCDMA),时分码分多址(time-division code division multiple access,TD-SCDMA),长期演进(long term evolution,LTE),BT,GNSS,WLAN,NFC,FM,和/或IR技术等。所述GNSS可以包括全球卫星定位系统(global positioning system,GPS),全球导航卫星系统(global navigation satellite system,GLONASS),北斗卫星导航系统(beidounavigation satellite system,BDS),准天顶卫星系统(quasi-zenith satellitesystem,QZSS)和/或星基增强系统(satellite based augmentation systems,SBAS)。
终端设备900通过GPU,显示屏994,以及应用处理器等实现显示功能。GPU为图像处理的微处理器,连接显示屏994和应用处理器。GPU用于执行数学和几何计算,用于图形渲染。处理器910可包括一个或多个GPU,其执行程序指令以生成或改变显示信息。
显示屏994用于显示图像,视频等。显示屏994包括显示面板。显示面板可以采用液晶显示屏(liquid crystal display,LCD),有机发光二极管(organic light-emittingdiode,OLED),有源矩阵有机发光二极体或主动矩阵有机发光二极体(active-matrixorganic light emitting diode的,AMOLED),柔性发光二极管(flex light-emittingdiode,FLED),Miniled,MicroLed,Micro-oLed,量子点发光二极管(quantum dot lightemitting diodes,QLED)等。在一些实施例中,终端设备900可以包括1个或N个显示屏994,N为大于1的正整数。
终端设备900可以通过ISP,摄像头993,视频编解码器,GPU,显示屏994以及应用处理器等实现拍摄功能。
ISP用于处理摄像头993反馈的数据。ISP还可以对图像的噪点,亮度,肤色进行算法优化。ISP还可以对拍摄场景的曝光,色温等参数优化。在一些实施例中,ISP可以设置在摄像头993中。
摄像头993用于捕获静态图像或视频。物体通过镜头生成光学图像投射到感光元件。感光元件可以是电荷耦合器件(charge coupled device,CCD)或互补金属氧化物半导体(complementary metal-oxide-semiconductor,CMOS)光电晶体管。感光元件把光信号转换成电信号,之后将电信号传递给ISP转换成数字图像信号。ISP将数字图像信号输出到DSP加工处理。DSP将数字图像信号转换成标准的RGB,YUV等格式的图像信号。在一些实施例中,终端设备900可以包括1个或N个摄像头993,N为大于1的正整数。
数字信号处理器用于处理数字信号,除了可以处理数字图像信号,还可以处理其他数字信号。例如,当终端设备900在频点选择时,数字信号处理器用于对频点能量进行傅里叶变换等。
视频编解码器用于对数字视频压缩或解压缩。终端设备900可以支持一种或多种视频编解码器。这样,终端设备900可以播放或录制多种编码格式的视频,例如:动态图像专家组(moving picture experts group,MPEG)1,MPEG2,MPEG3,MPEG4等。
NPU为神经网络(neural-network,NN)计算处理器,通过借鉴生物神经网络结构,例如借鉴人脑神经元之间传递模式,对输入信息快速处理,还可以不断的自学习。通过NPU可以实现终端设备900的智能认知等应用,例如:图像识别,人脸识别,语音识别,文本理解等。
外部存储器接口920可以用于连接外部存储卡,例如Micro SD卡,实现扩展终端设备900的存储能力。外部存储卡通过外部存储器接口920与处理器910通信,实现数据存储功能。
内部存储器921可以用于存储计算机可执行程序代码,所述可执行程序代码包括指令。处理器910通过运行存储在内部存储器921的指令,从而执行终端设备900的各种功能应用以及数据处理。内部存储器921可以包括存储程序区和存储数据区。其中,存储程序区可存储操作系统,至少一个功能所需的App(比如声音播放功能,图像播放功能等)等。存储数据区可存储终端设备900使用过程中所创建的数据(比如音频数据,电话本等)等。此外,内部存储器921可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件,闪存器件,通用闪存存储器(universal flash storage,UFS)等。
终端设备900可以通过音频模块970,扬声器970A,受话器970B,麦克风970C,耳机接口970D,以及应用处理器等实现音频功能。例如音乐播放,录音等。
音频模块970用于将数字音频信息转换成模拟音频信号输出,也用于将模拟音频输入转换为数字音频信号。音频模块970还可以用于对音频信号编码和解码。在一些实施例中,音频模块970可以设置于处理器910中,或将音频模块970的部分功能模块设置于处理器910中。
扬声器970A,也称“喇叭”,用于将音频电信号转换为声音信号。终端设备900可以通过扬声器970A收听音乐,或收听免提通话。
受话器970B,也称“听筒”,用于将音频电信号转换成声音信号。当终端设备900接听电话或语音信息时,可以通过将受话器970B靠近人耳接听语音。
麦克风970C,也称“话筒”,“传声器”,用于将声音信号转换为电信号。当拨打电话或发送语音信息时,用户可以通过人嘴靠近麦克风970C发声,将声音信号输入到麦克风970C。终端设备900可以设置至少一个麦克风970C。在另一些实施例中,终端设备900可以设置两个麦克风970C,除了采集声音信号,还可以实现降噪功能。在另一些实施例中,终端设备900还可以设置三个,四个或更多麦克风970C,实现采集声音信号,降噪,还可以识别声音来源,实现定向录音功能等。
耳机接口970D用于连接有线耳机。耳机接口970D可以是USB接口930,也可以是3.5mm的开放移动终端设备平台(open mobile terminal platform,OMTP)标准接口,美国蜂窝电信工业协会(cellular telecommunications industry association of the USA,CTIA)标准接口。
按键990包括开机键,音量键等。按键990可以是机械按键。也可以是触摸式按键。终端设备900可以接收按键输入,产生与终端设备900的用户设置以及功能控制有关的键信号输入。
马达991可以产生振动提示。马达991可以用于来电振动提示,也可以用于触摸振动反馈。
指示器992可以是指示灯,可以用于指示充电状态,电量变化,也可以用于指示消息,未接来电,通知等。
SIM卡接口995用于连接SIM卡。SIM卡可以通过插入SIM卡接口995,或从SIM卡接口995拔出,实现和终端设备900的接触和分离。终端设备900可以支持1个或N个SIM卡接口,N为大于1的正整数。SIM卡接口995可以支持Nano SIM卡,Micro SIM卡,SIM卡等。同一个SIM卡接口995可以同时插入多张卡。所述多张卡的类型可以相同,也可以不同。SIM卡接口995也可以兼容不同类型的SIM卡。SIM卡接口995也可以兼容外部存储卡。终端设备900通过SIM卡和网络交互,实现通话以及数据通信等功能。在一些实施例中,终端设备900采用嵌入式SIM(embedded-SIM,eSIM)卡,即:嵌入式SIM卡。eSIM卡可以嵌在终端设备900中,不能和终端设备900分离。
应理解,本申请实施例中的电话卡包括但不限于SIM卡、eSIM卡、全球用户识别卡(universal subscriber identity module,USIM)、通用集成电话卡(universalintegrated circuit card,UICC)等等。
终端设备900的软件系统可以采用分层架构,事件驱动架构,微核架构,微服务架构,或云架构。本申请实施例以分层架构的系统为例,示例性说明终端设备900的软件结构。
图4是本申请实施例的终端设备900的软件结构框图。分层架构将软件分成若干个层,每一层都有清晰的角色和分工。层与层之间通过软件接口通信。在一些实施例中,将系统分为四层,从上至下分别为应用程序层,应用程序框架层,安卓运行时(Android runtime)和系统库,以及内核层。应用程序层可以包括一系列应用程序包。
如图4所示,应用程序包可以包括相机,图库,日历,通话,地图,导航,WLAN,蓝牙,音乐,视频,短信息等应用程序。
应用程序框架层为应用程序层的应用程序提供应用编程接口(applicationprogramming interface,API)和编程框架。应用程序框架层包括一些预先定义的函数。
如图4所示,应用程序框架层可以包括窗口管理器,内容提供器,视图系统,电话管理器,资源管理器,通知管理器等。
窗口管理器用于管理窗口程序。窗口管理器可以获取显示屏大小,判断是否有状态栏,锁定屏幕,截取屏幕等。
内容提供器用来存放和获取数据,并使这些数据可以被应用程序访问。所述数据可以包括视频,图像,音频,拨打和接听的电话,浏览历史和书签,电话簿等。
视图系统包括可视控件,例如显示文字的控件,显示图片的控件等。视图系统可用于构建应用程序。显示界面可以由一个或多个视图组成的。例如,包括短信通知图标的显示界面,可以包括显示文字的视图以及显示图片的视图。
电话管理器用于提供终端设备900的通信功能。例如通话状态的管理(包括接通,挂断等)。
资源管理器为应用程序提供各种资源,比如本地化字符串,图标,图片,布局文件,视频文件等等。
通知管理器使应用程序可以在状态栏中显示通知信息,可以用于传达告知类型的消息,可以短暂停留后自动消失,无需用户交互。比如通知管理器被用于告知下载完成,消息提醒等。通知管理器还可以是以图表或者滚动条文本形式出现在系统顶部状态栏的通知,例如后台运行的应用程序的通知,还可以是以对话窗口形式出现在屏幕上的通知。例如在状态栏提示文本信息,发出提示音,终端设备振动,指示灯闪烁等。
Android Runtime包括核心库和虚拟机。Android runtime负责安卓系统的调度和管理。
核心库包含两部分:一部分是java语言需要调用的功能函数,另一部分是安卓的核心库。
应用程序层和应用程序框架层运行在虚拟机中。虚拟机将应用程序层和应用程序框架层的java文件执行为二进制文件。虚拟机用于执行对象生命周期的管理,堆栈管理,线程管理,安全和异常的管理,以及垃圾回收等功能。
系统库可以包括多个功能模块。例如:表面管理器(surface manager),媒体库(media libraries),三维图形处理库(例如:OpenGL ES),2D图形引擎(例如:SGL)等。
表面管理器用于对显示子系统进行管理,并且为多个应用程序提供了2D和3D图层的融合。
媒体库支持多种常用的音频,视频格式回放和录制,以及静态图像文件等。媒体库可以支持多种音视频编码格式,例如:MPEG4,H.264,MP3,AAC,AMR,JPG,PNG等。
三维图形处理库用于实现三维图形绘图,图像渲染,合成,和图层处理等。
2D图形引擎是2D绘图的绘图引擎。
内核层是硬件和软件之间的层。内核层至少包含显示驱动,摄像头驱动,音频驱动,传感器驱动。
应理解,本申请实施例中的技术方案可以用于等系统中。
为了便于理解本申请实施例,首先对本申请实施例中涉及到的术语作简单说明。
1、数字证书
通常,终端设备基于超文本传输安全协议(hypertext text transfer protocolover securesocket layer,HTTPS)与具有公共密钥基础设施(public keyinfrastructure,PKI)的服务器建立加密连接,并通过与服务器间的加密连接,向服务器请求签发该终端设备的设备证书。进而,服务器根据终端设备的请求生成终端设备的设备证书,并通过与其建立的加密连接,将生成的终端设备的设备证书签发给终端设备。
需要说明的是,在本申请实施例中,数字证书不局限于由CA服务器或云服务器生成,其还可以由终端设备生成。
2、对称密钥
加密和解密用的是同一个密钥。
3、非对称密钥
包括一组密钥对,分别是公钥和私钥。公钥加密的内容需要该公钥对应的私钥解密,私钥加密的内容需要该私钥对应的公钥解密。
通常,该非对称密钥一般是由服务器生成,服务器自己保存私钥,并将公钥发送给客户端。客户端可以将该公钥加密后的内容发送给服务器,服务器接收到该内容后,使用私钥对该公钥加密后的内容进行解密。
需要说明的是,在本申请实施例中,非对称密钥可以是由终端设备生成,并将该非对称密钥发送给请求生成非对称密钥的另一终端设备。此外,该终端设备在本地会删除已经生成的非对称密钥。
4、摘要
对需要传输的文本,做哈希(hash)计算,即可获得该文本对应的摘要。
5、数字签名
通常来说,使用私钥对需要传输的文本的摘要进行加密,得到的密文即被称为该次传输过程的数字签名。
需要说明的是,下文中涉及的签名指的是数字签名。
无论是图1所示的通信系统100,还是图2所示的通信系统200,通信系统中的各个终端设备在传输数据之前,需要进行互联。而在互联过程中认证是一个重要的环节,终端设备间认证是需要双方校验彼此的设备证书。
如上文所述的通信系统,由于终端设备数量较多、终端设备的类型较复杂,因此,设备证书通常采用的是非对称密钥签发的方式。出于安全性考虑,通常,只有具有PKI的服务器才具备非对称密钥签发设备证书的能力。这样,在如上文所述的通信系统中,还需要部署相应地服务器才能实现终端设备间的认证,造成终端设备间的认证过程复杂且不够便捷,影响用户的体验。
为了简化终端设备间的认证过程的复杂度,使得终端设备间的认证过程比较便捷,本申请提供了一种签发设备证书的方法,在该方法中,请求端不需要感知签发端,通过广播消息的形式请求签发其设备证书,这样,接收端在接收到请求端广播的消息后,确定接收端具备设备证书签发能力和安全可信执行环境中才生成请求端的设备证书,并将请求端的设备证书签发给请求端,这样,不仅可以保证设备证书的签发过程的安全性,还可以使得终端设备之间认证的流程简单且便捷,有助于提升用户的体验。
图5为本申请实施例提供的一例签发设备证书的方法500的示意性流程图。
该方法500可以应用于包括第一终端设备和第二终端设备的系统中,其中,第一终端设备可认为是请求签发设备证书的请求端,第二终端设备可认为是具备签发第一终端设备的设备证书的签发端。
可选地,在一个示例中,上文所述的方法500所应用的系统还可以包括其他终端设备如第三终端设备,该第三终端设备可以执行下文第二终端设备所执行的步骤,这里不再赘述。
示例性地,第一终端设备可以是如图1或图2中所示的一个终端设备,第二终端设备可以是如图1或图2中所示的另一个终端设备。
例如,如图5所示,该方法500包括S510至S530。下面详细介绍S510至S530。
S510,第一终端设备广播消息。
其中,消息用于请求签发第一终端设备的设备证书。消息包括第一标识,第一标识用于指示第一终端设备上登录的设备账号、第一终端设备上登录的管理员账号、或目标终端设备。
在一个示例中,第一标识是第一终端设备上登录的设备账号的标识、第一终端设备上登录的管理员账号的标识、或目标终端设备的标识。在另一个示例中,第一标识可以是第一终端设备上登录的设备账号所衍生的系统级账号的标识、第一终端设备上登录的管理员账号所衍生的系统级账号的标识、或目标终端设备的标识所衍生的系统级账号的标识。
需要说明的是,在一个示例中,第一终端设备上登录的管理员账号还可以是管理员指定分配的账号。
例如,若第一终端设备是如图2中所示的手机201,手机201上登录了设备账号1。这里,第一终端设备上登录的设备账号的标识可以为账号1的标识。
又例如,若第一终端设备是如图2中所示的手机201,且图2中所示的电脑204和手机205是用户授权的可签发手机201的设备证书的设备,那么,目标终端设备的标识可以是电脑204的标识或手机205的标识。
在一个示例中,第一终端设备上登录的设备账号的标识和/或第一终端设备上登录的管理员账号的标识还可以称为同账号用户标识(user identify,UID),本申请对此不作限定。
需要说明的是,同一个设备账号对应的设备账号的标识是相同的。以及,同一个管理员账号对应的管理员账号的标识是相同的。
应理解,终端设备上通过登录设备账号的应用是具备使用终端设备系统权限的应用。例如,若第一终端设备是华为终端设备,那么第一终端设备上登录的设备账号可以理解为华为账号。而终端设备上的第三方应用所登录的账号并不是设备账号,其可以理解为是应用级账号。
例如,若第一终端设备是工业场景下的终端设备,由于工业场景下的终端设备一般不属于某个具体的用户,而是属于企业,那么,第一终端设备上登录的管理员账号可以来标识第一终端设备的身份。
目标终端设备可以理解为:在第一终端设备上,用户授权的可签发第一终端设备证书的设备。示例性地,用户授权的方式包括但不限于是输入账号的密码的方式、人脸认证的方式、指纹认证的方式。本申请对用户授权的方式不作限定,只要是确认用户身份的方式都可以称为是用户授权的方式。
可选地,在一个示例中,第一终端设备可以按目标规则请求签发第一终端设备的设备证书。
例如,目标规则可以包括:若第一终端设备上登录有设备账号或管理员账号,则优先使用设备账号或管理员账号的方式请求签发第一终端设备的设备证书,进而实现请求签发第一终端设备的设备证书的过程,用户体验较好。此时,第一终端设备广播的消息中的第一标识用于指示第一终端设备上登录的设备账号或第一终端设备上登录的管理员账号。若第一终端设备上没有登录设备账号或管理员账号,则使用用户授权的目标设备签发第一终端设备的设备证书,此时,第一终端设备广播的消息中的第一标识用于指示目标终端设备。
又例如,目标规则可以包括:仅使用设备账号或管理员账号的方式请求签发第一终端设备的设备证书。
又例如,目标规则可以包括:仅使用用户授权的目标设备签发第一终端设备的设备证书。
需要说明的是,该目标规则可以是用户设定的,也可以是系统协议规定的,本申请实施例对此不作限定。此外,在目标规则是用户设定的示例中,用户可以根据不同的场景修改该目标规则,例如,在非工业场景下,用户可以设定仅通过使用设备账号的方式和用户授权的目标设备请求签发第一终端设备的设备证书;在工业场景下,用户可以设定仅通过使用管理员账号的方式请求签发第一终端设备的设备证书。
可选地,在一个示例中,当用户在第一终端设备上登录设备账号,第一终端设备便触发请求签发第一终端设备的设备证书的流程,也就是说,当第一终端设备上登录设备账号后,第一终端设备便会执行S510。
需要说明的是,本申请实施例不局限于第一终端设备广播消息的触发条件是用户在第一终端设备上登录设备账号,该触发条件还可以是用户的其他操作等,本申请对此不作限定。
本申请实施例对第一终端设备广播消息的协议的类型不作限定。例如,第一终端设备可以基于自由连接(free connect)蓝牙技术联盟(bluetooth special interestgroup,SIG)协议广播该消息。
本申请实施例对消息的格式不作限定。例如,该消息的格式可以是类型长度值(type length value,TLV)格式。
本申请实施例对该第一标识的长度不作限定。例如,该第一标识的长度可以为32bit。
在第二终端设备接收到第一终端设备广播的消息后,第二终端设备执行S520。
S520,第二终端设备确定第一标识和第二标识是否匹配。
其中,第二标识用于指示第二终端设备上登录的设备账号、第二终端设备上登录的管理员账号、或第二终端设备,第二标识和第一标识的类型相同。
需要说明的是,第二标识和第一标识的类型相同可以理解为第一标识所指示的内容的类型和第二标识所指示的内容的类型相同。例如,若第一标识用于指示第一终端设备上登录的设备账号,那么第二标识用于指示第二终端设备上登录的设备账号。若第一标识用于指示第一终端设备上登录的管理员账号,那么第二标识用于指示第二终端设备上登录的管理员账号。若第一标识用于指示目标终端设备,那么第二标识用于指示第二终端设备。
若第一标识用于指示第一终端设备上登录的设备账号,那么,在第二标识和第一标识相同的情况下,或第二标识是第一标识关联的标识的情况下,便可认为第一标识和第二标识匹配。这样,便可将签发端先锁定在:与第一终端设备上登录的设备账号相同的设备或与第一终端设备上登录的设备账号关联的设备账号的设备。此时,可认为请求端和签发端是属于同一个用户的设备。这样,该签发端可认为是具备设备证书签发能力的终端设备。此时,第一终端设备是不感知签发端的,也就是说,第一终端设备不知道签发端是谁,其通过广播消息中的第一标识,便可让签发端确定自己是否是具备设备证书签发能力的终端设备。
需要说明的是,第二标识是否是第一标识关联的标识可以理解为第二标识对应的设备账号和第一标识对应的设备账号是否是用户之前授权关联的。
例如,若第一终端设备是如图2中所示的手机201,手机201上登录了设备账号1,且账号1和账号2是用户授权关联的两个账号,这里,第一标识可以是账号1对应的标识。此外,若第二终端设备是如图2中所示的智能音箱206或智能手表207,且智能音箱206或智能手表207上登录了设备账号2,这里,第二标识可以是账号2对应的标识。此时,由于账号1和账号2是用户授权关联的两个账号,那么,第二标识可认为是第一标识关联的标识,这样第二标识和第一标识是匹配的。
若第一标识用于指示第一终端设备上登录的管理员账号,那么,在第二标识和第一标识相同的情况下,便可认为第一标识和第二标识匹配。这样,便可将签发端先锁定在:与第一终端设备上登录的管理员账号相同的设备。此时,可认为请求端和签发端是属于同一个用户的设备。这样,该签发端可认为是具备设备证书签发能力的终端设备。此时,第一终端设备是不感知签发端的,也就是说,第一终端设备不知道签发端是谁,其通过广播消息中的第一标识,便可让签发端确定自己是否是具备设备证书签发能力的终端设备。
若第一标识用于指示目标终端设备,那么,在第二标识和第一标识相同的情况下,便可认为第一标识和第二标识匹配。这样,便可将签发端先锁定在目标终端设备。此时,签发端(目标终端设备)是用户在第一终端设备上授权的可签发第一终端设备的终端设备。这样,该签发端可认为是具备设备证书签发能力的终端设备。此时,第一终端设备是感知签发端的,其通过广播消息中的第一标识,便可让签发端确定自己是否是具备设备证书签发能力的终端设备。
在第一标识和第二标识不匹配的情况下,第二终端设备可丢弃该消息。
在第一标识和第二标识匹配的情况下,第二终端设备执行S530。
S530,第二终端设备向第一终端设备发送第一终端设备的设备证书。相应地,第一终端设备接收第二终端设备发送的第一终端设备的设备证书。
示例性地,第一终端设备的设备证书包括以下至少一项:第一终端设备的设备标识;第一终端设备的公钥,第一终端设备的公钥用于第一终端设备签名;设备类型,设备类型用于指示具备使用第一终端设备的设备证书进行签名的设备类型。
示例性地,设备类型可以包括但不限于是手机、平板电脑、车载设备、大屏、静音舱等。
应理解,设备类型用于指示具备使用第一终端设备的设备证书进行签名的设备类型可以理解为只有该第一终端设备的设备类型和第一终端设备的设备证书中的设备类型相同是,该第一终端设备才可以使用该第一终端设备的设备证书进行签名。
可选地,在S530之前,第二终端设备便知晓其满足签发第一终端设备的设备证书的条件。
在一个示例中,第二终端设备可以根据自己的配置,确定其是否具备签发第一终端设备的设备证书的能力,只要第二终端设备具备签发设备证书的能力,就可认为其满足签发第一终端设备的设备证书的条件。在该示例中,第二终端设备在执行方法500之前,便已知晓其是否满足签发第一终端设备的设备证书的条件。这样,第二终端设备在确定第一标识和第二标识匹配的情况下,直接执行S530。
例如,可以在第二终端设备出厂时就设定好,其是否具备签发设备证书的能力。又例如,可以预先配置:在终端设备的安全等级高于或等于预设的安全等级的情况下,便默认该终端设备具备签发设备证书的能力。
需要说明的是,一个终端设备的安全等级是在该终端设备出厂时就设定好的,其可以用于标识终端设备具备安全环境的等级。
例如,评价终端设备的安全等级的标准可以包括以下至少一项:有富执行环境(rich execution environment,REE)、可信执行环境(trusted execution environment,TEE)、安全元件(secure element,SE)。本申请实施例并不限于利用上述技术内容评价终端设备的安全等级,其还可以根据其他与可信/安全相关标准评价终端设备的安全等级。
在另一个示例中,第二终端设备可以现确定其是否具备签发第一终端设备的设备证书的能力。这样,在S530之前,第二终端设备还可以执行S540。
S540,第二终端设备确定第二终端设备是否满足签发第一终端设备的设备证书的条件。
示例性地,条件包括第二终端设备的安全等级高于或等于第一终端设备的安全等级,和/或,第二终端设备的安全等级高于或等于预设的安全等级。
若第二终端设备满足签发第一终端设备的设备证书的条件的情况下,即在第二终端设备的安全等级高于或等于第一终端设备的安全等级,和/或,第二终端设备的安全等级高于或等于预设的安全等级的情况下,可认为第二终端设备具备安全可信执行的环境。
在一个示例中,该条件是第一终端设备和第二终端设备现协商的。
在该示例中,该S510中所述的消息还包括第一终端设备的地址信息,这样第二终端设备在接收到消息后,还需与第一终端设备建立连接,并在建立完连接之后进行条件的协商。具体过程包括:
S541,第二终端设备根据第一终端设备的地址信息,向第一终端设备发送第一请求消息。相应地,第一终端设备接收第二终端设备发送的第一请求消息。
其中,第一请求消息用于请求与第一终端设备建立连接。
S542,第一终端设备与第二终端设备建立连接。
S543,第一终端设备向第二终端设备发送能力协商信息。相应地,第二终端设备接收第一终端设备发送的能力协商信息。
示例性地,能力协商信息可以仅用于指示条件,而第一终端设备的安全等级可以通过其他消息告知第二终端设备。
例如,该能力协商信息还可以用于指示第一终端设备的安全等级和条件。
又例如,第一终端设备可以通过将第一终端设备的安全等级携带在S510中所述的消息,或者,第一终端设备也可以通过将第一终端设备的安全等级携带在单独的消息中。
需要说明的是,本申请实施例对该第一终端设备的安全等级的长度不作限定。例如,该第一终端设备的安全等级的长度可以为3bit。
在另一个示例中,该条件可以是通信协议规定的。在该示例中,第一终端设备可以将第一终端设备的安全等级携带在S510中所述的消息中,告知签发端。
若第二终端设备确定第二终端设备不满足签发第一终端设备的设备证书的条件,第二终端设备可以丢弃该消息。
若第二终端设备确定第二终端设备满足签发第一终端设备的设备证书的条件,第二终端设备执行S530。
可选地,在一个示例中,在S530之前,第二终端设备还可以向第一终端设备发送响应消息。相应地,第一终端设备接收第二终端设备发送的响应消息。该响应消息用于指示第二终端设备满足签发第一终端设备的设备证书的条件。
在该示例中,若上文所述的方法500所应用的系统还可以包括至少一个其他终端设备,且该至少一个其他终端设备也向第一终端设备发送用于指示该至少一个其他终端设备满足签发第一终端设备的设备证书的条件的响应消息,此时,该第一终端设备可以从第一终端设备和至少一个其他终端设备中,选择第一个与该第一终端设备建立连接的终端设备,并向该终端设备索要第一终端设备的设备证书。
可选地,在S530之前,第二终端设备还需根据消息生成第一终端设备的设备证书。
可选地,在一个示例中,为了防止第一终端设备的设备证书在由第二终端设备传输给第一终端设备的过程中被盗取或篡改,在S530之前,第一终端设备和第二终端设备可以建立加密连接,并协商第一密钥和第二密钥。这样,第二终端设备采用第一密钥对第一终端设备的设备证书进行加密,并将加密后的第一终端设备的设备证书发送给第一终端设备。进而,第一终端设备采用第二密钥,对第一密钥加密后的第一终端设备的设备证书进行解密,得到第一终端设备的设备证书。
若第一终端设备接收到多个第一终端设备的设备证书,其中该多个第一终端设备的设备证书分别是由多个签发端各自生成的,第一终端设备可以从多个第一终端设备的设备证书中选择一个第一终端设备的设备证书作为最终第一终端设备的设备证书。
本申请实施例对第一终端设备如何从多个第一终端设备的设备证书中选择一个第一终端设备的设备证书作为最终第一终端设备的设备证书的方式不作限定。例如,第一终端设备可以从多个第一终端设备的设备证书中,选择第一个与该第一终端设备建立连接的签发端所发送的第一终端设备的设备证书作为最终第一终端设备的设备证书。
可选地,为了避免第一终端设备的设备证书占用第二终端设备的存储空间,提高第二终端设备的存储空间的利用率,在S530之后,第二终端设备还可以删除第一终端设备的设备证书。也就是说,签发端不会保留设备证书,即签发端不需要对其签发的设备证书进行管理。此时,请求端保留有其设备证书,请求端对设备证书进行管理。
可选地,在S530之后,第一终端设备还可以保存第一终端设备的设备证书。
在方法500中,若第一终端设备上登录有设备账号或管理员账号,第一终端设备可以在不感知签发端的情况下,以广播的形式,通过第一终端设备上登录的设备账号或管理员账号,请求签发端签发第一终端设备的设备证书。或者,若第一终端设备上没有登录账号,以广播的形式,通过用户授权的可签发第一终端设备证书的设备,请求签发端签发第一终端设备的设备证书。这样,不仅使得终端设备间的认证过程的简化、比较便捷,而且,第三方开发商即使没有部署具备设备证书签发能力的服务器,或即使第三方部署的服务器不具备设备证书签发能力,或即使第三部署的服务器具备设备证书签发能力,但是第一终端设备无法穿透到公网(例如,第一终端设备处于封闭环境,其只能连接局域网/内网)与该第三方服务器进行连接,第一终端设备仍然可以完成请求签发端签发第一终端设备的设备证书的流程。
此外,在方法500中,签发端在接收到第一终端设备请求签发第一终端设备的设备证书的消息后,签发端需要通过S520和S540,确定签发端具备设备证书签发能力以及安全可信执行的环境后,签发端才能够签发第一终端设备的设备证书,这样,可以保证第一终端设备的设备证书的来源的权威性和可信性。
上文结合图5,详细描述了本申请提供的签发设备证书的方法,下面结合图6,详细描述本申请实施例提供一例系统。
图6为本申请实施例提供的一例系统的示意图。
例如,如图6所示,该系统包括第一终端设备和第二终端设备。其中,第一终端设备包括开源系统框架,该开源系统框架包括凭据管理模块接口和分布式设备管理接口。第二终端设备包括凭据签发服务模块,该凭据签发服务模块包括凭据生成单元、凭据保存单元和凭据派发单元。
其中,在第一终端设备中,凭据管理模块接口,用于通过分布式设备管理接口广播消息。其中,消息包括第一标识,第一标识用于指示第一终端设备上登录的设备账号、第一终端设备上登录的管理员账号、或目标终端设备。
可选地,在一个示例中,当账号子系统模块,用于当用户在第一终端设备上登录设备账号,向凭据管理模块接口发送触发消息,该触发消息用于触发凭据管理模块接口广播消息。
在第二终端设备中,凭据派发单元,用于响应于接收到消息,确定第一标识和第二标识是否匹配。其中,第二标识用于指示第二终端设备上登录的设备账号、第二终端设备上登录的管理员账号、或第二终端设备,第二标识和第一标识的类型相同。
在第一标识和第二标识不匹配的情况下,凭据派发单元,用于丢弃该消息。在第一标识和第二标识匹配的情况下,凭据派发单元,用于向第一终端设备发送第一终端设备的设备证书。
可选地,在一个示例中,在凭据派发单元向第一终端设备发送第一终端设备的设备证书之前,凭据派发单元,还用于确定第二终端设备是否满足签发第一终端设备的设备证书的条件。
若第二终端设备不满足签发第一终端设备的设备证书的条件,凭据派发单元,用于丢弃该消息。
若第二终端设备满足签发第一终端设备的设备证书的条件,凭据派发单元,用于向第一终端设备发送第一终端设备的设备证书。
可选地,在一个示例中,若第二终端设备满足签发第一终端设备的设备证书的条件,凭据派发单元,还具体用于向凭据生成单元转发消息;凭据生成单元,还用于根据消息,生成第一终端设备的设备证书,并向凭据派发单元发送第一终端设备的设备证书;凭据派发单元,还用于向第一终端设备发送第一终端设备的设备证书。
下面,结合图7和图8,详细描述本申请实施例提供的装置。
图7为本申请实施例提供的一例装置700的示意性结构图。
例如,如图7所示,该装置700包括收发单元710,收发单元710可以与外部进行通信。收发单元710还可以称为通信接口或通信单元。
可选地,该装置700还可以包括处理单元720,用于进行数据处理。
可选地,该装置700还可以包括存储单元,该存储单元可以用于存储指令或者和/或数据,处理单元720可以读取存储单元中的指令或者和/或数据。
在一种可实现的方式中,该装置700可以用于执行上文方法实施例中第一终端设备所执行的动作,这时,该装置700可以为第一终端设备或者可配置于第一终端设备的部件,收发单元710用于执行上文方法实施例中第一终端设备侧的收发相关的操作,处理单元720用于执行上文方法实施例中第一终端设备侧的处理相关的操作。
在另一种可实现的方式中,该装置700可以用于执行上文方法实施例中第二终端设备所执行的动作,这时,该装置700可以为第二终端设备或者可配置于第二终端设备的部件,收发单元710用于执行上文方法实施例中第二终端设备侧的收发相关的操作,处理单元720用于执行上文方法实施例中第二终端设备侧的处理相关的操作。
图8示出了本申请实施例提供的终端设备800的示意性结构图。
如图8所示,该终端设备800包括:一个或多个处理器810,一个或多个存储器820,该一个或多个存储器存储820存储有一个或多个计算机程序,该一个或多个计算机程序包括指令。当该指令被所述一个或多个处理器810运行时,使得所述的终端设备800执行上述实施例中的技术方案。
本申请实施例提供了一种系统,包括第一终端设备和第二终端设备,该系统用于执行上述实施例中的技术方案。其实现原理和技术效果与上述方法相关实施例类似,此处不再赘述。
本申请实施例提供一种计算机程序产品,当所述计算机程序产品在第一终端设备运行时,使得第一终端设备执行上述实施例中的技术方案。其实现原理和技术效果与上述方法相关实施例类似,此处不再赘述。
本申请实施例提供一种计算机程序产品,当所述计算机程序产品在第二终端设备运行时,使得第二终端设备执行上述实施例中的技术方案。其实现原理和技术效果与上述方法相关实施例类似,此处不再赘述。
本申请实施例提供一种可读存储介质,所述可读存储介质包含指令,当所述指令在第一终端设备运行时,使得所述第一终端设备执行上述实施例的技术方案。其实现原理和技术效果类似,此处不再赘述。
本申请实施例提供一种可读存储介质,所述可读存储介质包含指令,当所述指令在第二终端设备运行时,使得所述第二终端设备执行上述实施例的技术方案。其实现原理和技术效果类似,此处不再赘述。
本申请实施例提供一种芯片,所述芯片用于执行指令,当所述芯片运行时,执行上述实施例中的技术方案。其实现原理和技术效果类似,此处不再赘述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请实施例的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。

Claims (22)

1.一种系统,其特征在于,所述系统包括第一终端设备和第二终端设备,其中,
所述第一终端设备,用于广播消息,所述消息用于请求签发所述第一终端设备的设备证书,所述消息包括第一标识,所述第一标识用于指示所述第一终端设备上登录的设备账号、所述第一终端设备上登录的管理员账号、或目标终端设备;
所述第二终端设备,用于响应于接收到所述消息,确定所述第一标识和第二标识是否匹配,所述第二标识用于指示所述第二终端设备上登录的设备账号、所述第二终端设备上登录的管理员账号、或所述第二终端设备,所述第二标识和所述第一标识的类型相同;
所述第二终端设备,还用于在所述第一标识和所述第二标识匹配的情况下,向所述第一终端设备发送所述第一终端设备的设备证书。
2.根据权利要求1所述的系统,其特征在于,所述第二终端设备,还具体用于:
在所述第一标识和所述第二标识匹配的情况下,确定所述第二终端设备是否满足签发所述第一终端设备的设备证书的条件;
在所述第二终端设备满足签发所述第一终端设备的设备证书的条件的情况下,向所述第一终端设备发送所述第一终端设备的设备证书。
3.根据权利要求2所述的系统,其特征在于,所述条件包括所述第二终端设备的安全等级高于或等于所述第一终端设备的安全等级,和/或,所述第二终端设备的安全等级高于或等于预设的安全等级。
4.根据权利要求1至3中任一项所述的系统,其特征在于,
所述第二终端设备,还用于删除所述第一终端设备的设备证书。
5.根据权利要求1至4中任一项所述的系统,其特征在于,所述通信系统还包括:
第三终端设备,用于响应于接收到所述消息,确定所述第一标识和所述第三标识不匹配,和/或,确定所述第三终端设备不满足签发所述第一终端设备的设备证书的条件,其中,所述第三标识用于指示所述第三终端设备上登录的设备账号、所述第三终端设备上登录的管理员账号、或所述第三终端设备,所述第三标识和所述第一标识的类型相同;
所述第三终端设备,还用于丢弃所述消息。
6.一种签发设备证书的方法,其特征在于,所述方法包括:
接收第一终端设备广播的消息,所述消息用于请求签发所述第一终端设备的设备证书,所述消息包括第一标识,所述第一标识用于指示所述第一终端设备上登录的设备账号、所述第一终端设备上登录的管理员账号、或目标终端设备;
确定所述第一标识和第二标识是否匹配,所述第二标识用于指示所述第二终端设备上登录的设备账号、所述第二终端设备上登录的管理员账号、或所述第二终端设备,所述第二标识和所述第一标识的类型相同;
在所述第一标识和所述第二标识匹配的情况下,向所述第一终端设备发送所述第一终端设备的设备证书。
7.根据权利要求6所述的方法,其特征在于,所述在所述第一标识和所述第二标识匹配的情况下,向所述第一终端设备发送所述第一终端设备的设备证书,包括:
在所述第一标识和所述第二标识匹配的情况下,确定所述第二终端设备是否满足签发所述第一终端设备的设备证书的条件;
在所述第二终端设备满足签发所述第一终端设备的设备证书的条件的情况下,向所述第一终端设备发送所述第一终端设备的设备证书。
8.根据权利要求7所述的方法,其特征在于,所述条件包括所述第二终端设备的安全等级高于或等于所述第一终端设备的安全等级,和/或,所述第二终端设备的安全等级高于或等于预设的安全等级。
9.根据权利要求6至8中任一项所述的方法,其特征在于,所述消息还包括所述第一终端设备的地址信息,在所述向所述第一终端设备发送所述第一终端设备的设备证书之前,所述方法还包括:
根据所述第一终端设备的地址信息,向所述第一终端设备发送第一请求消息,所述第一请求消息用于请求与所述第一终端设备建立连接;
与所述第一终端设备建立连接。
10.根据权利要求9所述的方法,其特征在于,所述方法还包括:
接收所述第一终端设备发送的能力协商信息,所述能力协商信息用于指示所述第一终端设备的安全等级和/或所述条件;
向所述第一终端设备发送响应消息,所述响应消息用于指示所述第二终端设备满足签发所述第一终端设备的设备证书的条件。
11.根据权利要求9或10所述的方法,其特征在于,在所述向所述第一终端设备发送所述第一终端设备的设备证书之前,所述方法还包括:
接收所述第一终端设备发起的加密连接,并协商第一密钥和第二密钥;
所述向所述第一终端设备发送所述第一终端设备的设备证书包括:
向所述第一终端设备发送采用所述第一密钥加密后的所述第一终端设备的设备证书。
12.根据权利要求6至11中任一项所述的方法,其特征在于,所述第一终端设备的设备证书包括以下至少一项:所述第一终端设备的设备标识;所述第一终端设备的公钥,所述第一终端设备的公钥用于所述第一终端设备签名;设备类型,所述设备类型用于指示具备使用所述第一终端设备的设备证书进行签名的设备类型。
13.根据权利要求6至12中任一项所述的方法,其特征在于,在所述向所述第一终端设备发送所述第一终端设备的设备证书之后,所述方法还包括:
删除所述第一终端设备的设备证书。
14.一种签发设备证书的方法,其特征在于,所述方法包括:
广播消息,所述消息用于请求签发所述第一终端设备的设备证书,所述消息包括第一标识,所述第一标识用于指示所述第一终端设备上登录的设备账号、所述第一终端设备上登录的管理员账号、或目标终端设备;
接收第二终端设备发送的第一终端设备的设备证书,第二标识和所述第一标识匹配,所述第二标识用于指示所述第二终端设备上登录的设备账号、所述第二终端设备上登录的管理员账号、或所述第二终端设备,所述第二标识和所述第一标识的类型相同。
15.根据权利要求14所述的方法,其特征在于,所述第二终端设备满足签发所述第一终端设备的设备证书的条件。
16.根据权利要求15所述的方法,其特征在于,所述条件包括所述第二终端设备的安全等级高于或等于所述第一终端设备的安全等级,和/或,所述第二终端设备的安全等级高于或等于预设的安全等级。
17.根据权利要求14至16中任一项所述的方法,其特征在于,所述消息还包括所述第一终端设备的地址信息,在接收第二终端设备发送的第一终端设备的设备证书之前,所述方法还包括:
接收所述第二终端设备发送的第一请求消息,所述第一请求消息用于请求与所述第一终端设备建立连接;
与所述第一终端设备建立连接。
18.根据权利要求17所述的方法,其特征在于,在所述与所述第一终端设备建立连接之后,所述方法还包括:
向所述第二终端设备发送能力协商信息,所述能力协商信息用于指示所述第一终端设备的安全等级和/或所述条件;
接收所述第二终端设备发送的响应消息,所述响应消息用于指示所述第二终端设备满足签发所述第一终端设备的设备证书的条件。
19.根据权利要求17或18所述的方法,其特征在于,在所述与所述第一终端设备建立连接之后,所述方法还包括:
向所述第二终端设备发起加密连接,并协商第一密钥和第二密钥;
接收第二终端设备发送的第一终端设备的设备证书包括:
接收第二终端设备发送的采用所述第一密钥加密后的所述第一终端设备的设备证书;
所述方法还包括:
采用所述第二密钥,对所述第一密钥加密后的所述第一终端设备的设备证书进行解密,得到所述第一终端设备的设备证书。
20.根据权利要求14至19中任一项所述的方法,其特征在于,所述第一终端设备的设备证书包括以下至少一项:所述第一终端设备的设备标识;所述第一终端设备的公钥,所述第一终端设备的公钥用于所述第一终端设备签名;设备类型,所述设备类型用于指示具备使用所述第一终端设备的设备证书进行签名的设备类型。
21.一种设备,其特征在于,包括:
一个或多个处理器;
一个或多个存储器;
以及一个或多个计算机程序,其中所述一个或多个计算机程序被存储在所述一个或多个存储器中,所述一个或多个计算机程序包括指令,当所述指令被所述一个或多个处理器执行时,使得所述设备执行如权利要求6至20中任一项所述的方法。
22.一种计算机可读存储介质,其特征在于,包括计算机指令,当所述计算机指令在设备上运行时,使得所述设备执行如权利要求6至20中任一项所述的方法。
CN202210722059.6A 2022-06-24 2022-06-24 签发设备证书的方法、设备和系统 Pending CN117332398A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210722059.6A CN117332398A (zh) 2022-06-24 2022-06-24 签发设备证书的方法、设备和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210722059.6A CN117332398A (zh) 2022-06-24 2022-06-24 签发设备证书的方法、设备和系统

Publications (1)

Publication Number Publication Date
CN117332398A true CN117332398A (zh) 2024-01-02

Family

ID=89277893

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210722059.6A Pending CN117332398A (zh) 2022-06-24 2022-06-24 签发设备证书的方法、设备和系统

Country Status (1)

Country Link
CN (1) CN117332398A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118279443A (zh) * 2024-06-04 2024-07-02 浙江量子教育科技股份有限公司 基于Puppeteer全自定义生成证书图片的方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118279443A (zh) * 2024-06-04 2024-07-02 浙江量子教育科技股份有限公司 基于Puppeteer全自定义生成证书图片的方法

Similar Documents

Publication Publication Date Title
WO2021051986A1 (zh) 设备之间建立连接的方法及电子设备
WO2021052178A1 (zh) 一种Wi-Fi连接方法及设备
CN105141568B (zh) 安全通信通道建立方法及系统、客户端和服务器
CN112469013B (zh) 一种蓝牙连接方法及相关装置
CN113207122B (zh) 一种消息传输方法及设备
WO2021017894A1 (zh) 一种使用远程sim模块的方法及电子设备
CN114944925B (zh) 信令的安全传输方法、装置、服务器和se芯片
CN112995990B (zh) 一种密钥信息的同步方法、系统及设备
WO2021184264A1 (zh) 数据保存方法、数据访问方法及相关装置、设备
EP3893529B1 (en) Communication method based on bluetooth low energy
WO2023011376A1 (zh) 一种北斗通信系统中密钥更新方法、系统及相关装置
EP4283931A1 (en) Nfc method and system, and electronic device
CN111010693A (zh) 一种提供无线保真WiFi网络接入服务的方法及电子设备
CN113950048B (zh) 连接建立方法、电子设备及存储介质
CN117332398A (zh) 签发设备证书的方法、设备和系统
CN114489876A (zh) 一种文本输入的方法、电子设备和系统
CN114845297B (zh) 应用程序访问方法、电子设备及存储介质
CN112615891B (zh) 配对方法及设备
CN117098073A (zh) 组网保活的方法及其装置
CN117951662A (zh) 一种处理数据的方法及电子设备
CN115550919A (zh) 设备配对认证方法、装置、发送方设备及接收方设备
CN114117458A (zh) 密钥使用方法及相关产品
CN118353900A (zh) 一种网络接入方法及电子设备
CN118118739A (zh) 视频流的安全传输方法和装置
CN118233891A (zh) 设备认证的方法、装置和电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination