WO2019201154A1

WO2019201154A1 - 物联网设备之间的通信方法及装置

Info

Publication number: WO2019201154A1
Application number: PCT/CN2019/082261
Authority: WO
Inventors: 金海峰
Original assignee: 阿里巴巴集团控股有限公司
Priority date: 2018-04-17
Filing date: 2019-04-11
Publication date: 2019-10-24
Also published as: US20210036999A1; US11729156B2; TW201944756A; CN110392014B; CN110392014A

Abstract

本申请实施例提供了一种物联网设备之间的通信方法及装置。所述方法包括：建立第一物联网设备与可信设备的通信连接；获取第一通信密钥，所述第一通信密钥通过所述可信设备提供给所述第一物联网设备和/或第二物联网设备；基于所述第一通信密钥，与所述第二物联网设备进行加密通信，确保了第一物联网设备和第二物联网可以获取得到第一通信密钥，从而基于第一通信密钥进行加密通信，提高了第一物联网设备与第二物联网设备之间进行通信的安全性和可靠性。

Description

物联网设备之间的通信方法及装置

本申请要求2018年04月17日递交的申请号为201810343519.8、发明名称为“物联网设备之间的通信方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及物联网技术领域，特别是涉及一种物联网设备之间的通信方法及装置。

背景技术

随着物联网技术的发展，各种物联网设备的应用也越来越广泛。为了使实现物联网设备之间的互相联动，物联网设备之间需要进行通信。

现有技术中，物联网设备之间直接连接并通过明文通信，但明文通信容易导致数据泄露，通信的安全性较低。

发明内容

鉴于上述问题，提出了本申请以便提供一种克服上述问题或者至少部分地解决上述问题的物联网设备之间的通信方法及装置。

本申请提供了一种物联网设备之间的通信方法，包括：

建立第一物联网设备与可信设备的通信连接；

获取第一通信密钥，所述第一通信密钥通过所述可信设备提供给所述第一物联网设备和/或第二物联网设备；

基于所述第一通信密钥，与所述第二物联网设备进行加密通信。

可选的，所述第一通信密钥由所述第一物联网设备生成；

所述获取第一通信密钥包括：

从所述可信设备、所述第一物联网设备和所述第二物联网设备中的至少一端分别获取第一密钥生成参数；

根据所获取的第一密钥生成参数，生成所述第一通信密钥。

可选的，所述第一通信密钥由所述可信设备或所述第二物联网设备生成；

所述获取第一通信密钥包括：

从所述可信设备获取所述可信设备或所述第二物联网设备生成的第一通信密钥。

可选的，所述第一物联网设备中存储有可信认证标识列表；

在所述基于所述第一通信密钥，与所述第二物联网设备进行加密通信之前，所述方法还包括：

获取所述第二物联网设备提供的可信认证标识；

确定所述可信认证标识存在于可信认证标识列表中。

可选的，所述基于所述第一通信密钥，与所述第二物联网设备进行加密通信包括：

基于所述第一通信密钥对第一物联网设备的通信数据进行加密，并发送至第二物联网设备；或，

基于所述第一通信密钥对第二物联网设备的通信数据进行解密。

可选的，所述建立第一物联网设备与可信设备的通信连接包括：

从所述可信设备获取校验信息；

根据所述校验信息，与所述可信设备完成可信校验。

可选的，所述校验信息包括数字证书，所述根据所述校验信息，与所述可信设备完成可信校验包括：

根据预置的根证书，确定对所述数字证书校验通过。

可选的，所述方法还包括：

从所述可信设备获取数字签名；

根据所述数字签名，确定所述校验信息完整。

可选的，所述校验信息经过云端私钥加密；

在所述根据所述校验信息，与所述可信设备完成可信校验之前，所述方法还包括：

根据与所述云端私钥所对应的云端公钥，对所述校验信息进行解密。

可选的，所述方法还包括：

获取第二通信密钥，以基于所述第二通信密钥，与所述可信设备进行加密通信。

可选的，所述第二通信密钥由所述第一物联网设备生成；

所述获取第二通信密钥包括：

从所述可信设备和所述第一物联网设备中的至少一端分别获取第二密钥生成参数；

根据所获取的第二密钥生成参数，生成所述第二通信密钥。

可选的，所述第二通信密钥由所述可信设备生成；

所述获取第二通信密钥包括：

从所述可信设备获取所述第二通信密钥。

可选的，所述方法还包括：

获取监控设备对所述第一物联网设备的属性变化事件的订阅请求；

检测属性变化事件，并通知至所述监控设备。

可选的，在所述获取监控设备对所述第一物联网设备的属性变化事件的订阅请求之前，所述方法还包括：

向所述监控设备提供属性相关信息。

可选的，在所述检测属性变化事件之前，所述方法还包括：

检测所述第一物联网设备的属性初始数据，并提供给所述监控设备。

本申请还提供了一种物联网设备之间的通信方法，包括：

分别建立可信设备与第一物联网设备以及第二物联网设备的通信连接；

提供第一通信密钥给所述第一物联网设备和/或所述第二物联网设备，以使所述第一物联网设备与所述第二物联网设备基于所述第一通信密钥进行加密通信。

可选的，所述分别建立可信设备与第一物联网设备以及第二物联网设备的通信连接包括：

分别向所述第一物联网设备和所述第二物联网设备提供校验信息，以供所述第一物联网设备和所述第二物联网设备分别与所述可信设备完成可信校验。

可选的，所述方法还包括：

分别向所述第一物联网设备和所述第二物联网设备提供数字签名，以供所述第一物联网设备和所述第二物联网设备验证所述校验信息完整。

可选的，所述第一通信密钥由所述可信设备生成；

所述提供第一通信密钥给所述第一物联网设备和/或第二物联网设备包括：

将所述第一通信密钥发送给所述第一物联网设备和所述第二物联网设备。

可选的，所述第一通信密钥由所述第一物联网设备或所述第二物联网设备生成；

获取所述第一通信密钥，并将所述第一通信密钥发送给所述第一物联网设备和所述第二物联网设备中的另一个。

可选的，所述方法还包括：

获取第二通信密钥，以基于所述第二通信密钥，与所述第一物联网设备进行加密通信。

可选的，所述方法还包括：

获取第三通信密钥，以基于所述第三通信密钥，与所述第二物联网设备进行加密通信。

本申请还提供了一种物联网设备之间的通信装置，包括：

通信连接建立模块，用于建立第一物联网设备与可信设备的通信连接；

第一通信密钥获取模块，用于获取第一通信密钥，所述第一通信密钥通过所述可信设备提供给所述第一物联网设备和/或第二物联网设备；

通信模块，用于基于所述第一通信密钥，与所述第二物联网设备进行加密通信。

可选的，所述第一通信密钥由所述第一物联网设备生成；

所述第一通信密钥获取模块包括：

第一密钥生成参数获取子模块，用于从所述可信设备、所述第一物联网设备和所述第二物联网设备中的至少一端分别获取第一密钥生成参数；

第一通信密钥生成子模块，用于根据所获取的第一密钥生成参数，生成所述第一通信密钥。

所述第一通信密钥获取模块包括：

第一通信密钥获取子模块，用于从所述可信设备获取所述可信设备或所述第二物联网设备生成的第一通信密钥。

可选的，所述第一物联网设备中存储有可信认证标识列表；

所述装置还包括：

可信认证标识获取模块，用于获取所述第二物联网设备提供的可信认证标识；

第一确定模块，用于确定所述可信认证标识存在于可信认证标识列表中。

可选的，所述通信连接建立模块包括：

校验信息获取子模块，用于从所述可信设备获取校验信息；

可信校验子模块，用于根据所述校验信息，与所述可信设备完成可信校验。

可选的，所述装置还包括：

第二通信密钥获取模块，用于获取第二通信密钥，以基于所述第二通信密钥，与所述可信设备进行加密通信。

可选的，所述装置还包括：

订阅请求获取模块，用于获取监控设备对所述第一物联网设备的属性变化事件的订阅请求；

属性变化事件检测模块，用于检测属性变化事件，并通知至所述监控设备。

本申请还提供了一种物联网设备之间的通信装置，包括：

通信连接建立模块，用于分别建立可信设备与第一物联网设备以及第二物联网设备的通信连接；

第一通信密钥提供模块，用于提供第一通信密钥给所述第一物联网设备和/或所述第二物联网设备，以使所述第一物联网设备与所述第二物联网设备基于所述第一通信密钥进行加密通信。

可选的，所述通信连接建立模块包括：

校验信息提供子模块，用于分别向所述第一物联网设备和所述第二物联网设备提供校验信息，以供所述第一物联网设备和所述第二物联网设备分别与所述可信设备完成可信校验。

可选的，所述第一通信密钥由所述可信设备生成；

所述第一通信密钥提供模块包括：

第一通信密钥发送子模块，用于将所述第一通信密钥发送给所述第一物联网设备和所述第二物联网设备。

所述第一通信密钥提供模块包括：

第一通信密钥发送子模块，用于获取所述第一通信密钥，并将所述第一通信密钥发送给所述第一物联网设备和所述第二物联网设备中的另一个。

本申请还提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如前述的一个或多个的方法。

本申请还提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如前述的一个或多个的方法。

在本申请实施例中，可以建立第一物联网设备与可信设备之间的通信连接，获取第一通信密钥，且由于可信设备是可信的，可以通过可信设备安全可靠地将第一通信密钥，提供给第一物联网设备和/或第二物联网设备，确保了第一物联网设备和第二物联网可以获取得到第一通信密钥，从而基于第一通信密钥进行加密通信，提高了第一物联网设备与第二物联网设备之间进行通信的安全性和可靠性。

上述说明仅是本申请技术方案的概述，为了能够更清楚了解本申请的技术手段，而可依照说明书的内容予以实施，并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂，以下特举本申请的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其它的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本申请的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了根据本申请一个实施例一的一种物联网设备之间的通信方法流程图；

图2示出了根据本申请一个实施例二的一种物联网设备之间的通信方法流程图；

图3示出了根据本申请一个实施例三的一种物联网设备之间的通信方法流程图；

图4示出了根据本申请一个实施例的一种物联网设备之间的通信方法流程图；

图5示出了根据本申请一个实施例的另一种物联网设备之间的通信方法流程图；

图6示出了根据本申请一个实施例四的一种物联网设备之间的通信装置结构框图；

图7示出了根据本申请一个实施例五的一种物联网设备之间的通信装置结构框图；

图8示出了根据本申请一个实施例的一种示例性系统的结构框图。

具体实施方式

下面将参照附图更详细地描述本申请示例性实施例。虽然附图中显示了本申请示例性实施例，然而应当理解，可以以各种形式实现本申请而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本申请，并且能够将本申请的范围完整的传达给本领域的技术人员。

为了便于本领域技术人员深入理解本申请实施例，以下将首先介绍本申请实施例中所涉及的专业术语的定义。

物联网设备可以包括VR(Virtual Reality，虚拟现实)设备、平板电脑、电子书阅读器、MP3(Moving Picture Experts Group Audio Layer III，动态影像专家压缩标准音频层面3，)播放器、MP4(Moving Picture Experts Group Audio Layer IV，动态影像专家压缩标准音频层面4)播放器、膝上型便携计算机、车载电脑、机顶盒、智能电视机、可穿戴设备、智能灯、智能音箱、家庭网关等等。该物联网设备可以包括应用程序或插件，且可以包括下图6-图8中的任一装置，实施图1-图5中的任一方法，从而对与其它物联网设备进行通信。

第一物联网设备或第二物联网设备可以是物联网中任意的两个设备。

应用程序能够运行在物联网设备中，从而实现本申请实施例提供的物联网设备之间的通信方法。

插件可以包括在运行于物联网设备的应用程序中，从而实现本申请实施例提供的物联网设备之间的通信方法。

可信设备为安全可信的设备，从而能够为第一物联网和/或第二物联网设备提供第一通信密钥，包括第一通信密钥的生成和/或转发等。该可信设备可以包括客户端。当然，在实际应用中，可信设备还可以向第一物联网设备和/或第二物联网设备提供其它与通信有关的服务或数据，比如，提供生成第一通信密钥所需的密钥生成参数等。比如，可信设备可以包括手机。

通信密钥用于物联网设备之间的加密通信，包括通过该通信密钥加密通信数据和/或通过该通信密钥解密数据。

本申请实施例可以应用于物联网设备之间的通信的场景。由于物联网设备之间直接通过明文通信可能会导致数据泄露等问题，通信的安全性较低，因此，本申请提供了一种物联网设备之间的通信方法。在本申请实施例中，可信设备能够安全地将第一通信密钥提供给第一物联网和/或第二物联网设备，因此，第一物联网设备能够与可信设备建立通信连接，获取到的第一通信密钥，相应的，第二物联网设备也能够通过相同的方式获取到第一通信密钥，即进行通信的第一物联网设备和第二物联网设备均能够获取到第一通信密钥，因此，第一物联网设备可以基于第一通信密钥，与第二物联网设备之间进行加密通信，从而减少了第一物联网设备与第二物联网设备之间的通信数据泄露的可能，提高了物联网设备之间进行通信的安全性。

需要说明的是，上述第一物联网设备和第二物联网设备可以均处于与云端的离线状态下或者其中某一个物联网设备处于与云端的离线状态下，由于至少一个物联网设备无法与云端进行通信，因此，无法通过服务端来操作物联网设备实现两个物联网设备之间的联动。通过本申请实施例的方案，在第一物联网设备和第二物联网设备均离线或是其中某一个物联网设备处于与云端的离线状态下时，基于可信设备建立通信连接，并且实现了第一物联网设备与第二物联网设备之间的加密通信。

实施例一

参照图1，示出了根据本申请一个实施例的一种物联网设备之间的通信方法流程图，具体步骤包括：

步骤101，建立第一物联网设备与可信设备的通信连接。

由于可信设备是可信的，为了使第一物联网设备和第二物联网设备都能够通过安全可靠的方式获取得到第一通信密钥，减少第一通信密钥泄露的可能，进而实现加密通信，提高通信的安全性，可以建立第一物联网设备与可信设备之间的通信连接。

第一物联网设备和可信设备可以通过路由器组件一个局域网。

可以通过TCP((Transmission Control Protocol，传输控制协议)或UDP(User Datagram Protocol，用户数据报协议)，建立第一物联网设备与可信设备之间的通信连接。当然，在实际应用中，也可以基于其它协议，建立第一物联网设备与可信设备之间的通信连接。

步骤102，获取第一通信密钥，所述第一通信密钥通过所述可信设备提供给所述第一物联网设备和/或第二物联网设备。

为了确保后续能够实现与第二物联网设备之间的安全通信，可以获取第一通信密钥，且该第一通信密钥可以通过可信设备，安全可靠地提供给第一物联网设备和/或第二物联网设备。

第一通信密钥可以由第一物联网设备、第二物联网设备和可信设备中的至少一个生成得到。

第一物联网设备、第二物联网设备或可信设备，可以从第一物联网设备、第二物联网设备和可信设备中的至少一个获取密钥生成参数，根据密钥生成算法生成第一通信密钥。

其中，当密钥生成参数的来源越多、密钥生成参数越多，所生成的通信密钥的安全性也越高。

密钥生成参数为生成通信密钥所需的参数，比如，该密钥生成参数可以包括随机数或者事先指定的数字。

密钥生成算法为生成密钥的算法，该密钥生成算法可以是预置的密钥生成算法，当然，在实际应用中，该密钥生成算法也可以由第一物联网设备、第二物联网设备或可信设备提供得到。

若第一通信密钥由第一物联网设备生成，则可以通过可信设备将第一通信密钥提供给第二物联网设备；若第一通信密钥由第二物联网设备或可信设备生成，则可以通过可信设备获取第一通信密钥；若第一通信密钥由第一物联网设备和第二物联网设备生成，则可以通过可信设备确保第一物联网设备和第二物联网设备所生成的通信密钥相同，比如分别向第一物联网设备和第二物联网设备提供相同的密钥生成参数，或者确认第一物联网设备和第二物联网设备所采用的密钥生成参数和密钥生成算法一致。

步骤103，基于所述第一通信密钥，与所述第二物联网设备进行加密通信。

由于第一物联网设备和第二物联网设备均通过安全可靠的方式获取得到了第一通信密钥，因此，第一物联网设备可以基于第一通信密钥，对于第二物联网设备之间的通信数据进行加密通信，以确保通信的安全性和可靠性。

第一物联网设备可以通过第一通信密钥，对发送给第二物联网设备的通信数据进行加密，通过第一通信密钥，对接收到第二物联网设备的通信数据进行解密，从而实现加密通信。

实施例二

参照图2，示出了根据本申请一个实施例的一种物联网设备之间的通信方法流程图，具体步骤包括：

步骤201，分别建立可信设备与第一物联网设备以及第二物联网设备的通信连接。

由于可信设备是可信的，为了使第一物联网设备和第二物联网设备都能够通过安全可靠的方式获取得到第一通信密钥，进而实现加密通信，提高通信的安全性，可以分别建立可信设备与第一物联网设备以及第二物联网设备之间的通信连接。

可信设备可以从物联网中确定第一物联网设备和第二物联网设备，比如通过接收用户指定、随机选择、接收云端指定等方式第一物联网设备和第二物联网设备。当然，在实际应用中，也可以通过其它方式确定第一物联网设备和第二物联网设备，比如若接收物联网设备的连接请求，则将该物联网设备确定为第一物联网设备，将该物联网设备所指定的需要进行加密通信的另一物联网设备确定为第二物联网设备。在确定第一物联网设备和第二物联网设备之后，可以分别建立与第一物联网设备以及第二物联网设备之间的通信连接。

云端可以实现为服务器或服务器集群，该云端能够与可信设备进行通信，并提供与本申请实施例中实现物联网设备之间的加密通信有关的数据或服务。

其中，建立可信设备与第一物联网之间的通信连接的方式，可以参见前述中的相关描述，建立可信设备与第二物联网设备之间的通信连接的方式，可以与建立可信设备与第一物联网之间的通信连接的方式相同，此处不再一一赘述。

步骤202，提供第一通信密钥给所述第一物联网设备和/或所述第二物联网设备，以使所述第一物联网设备与所述第二物联网设备基于所述第一通信密钥进行加密通信。

为了确保向第一物联网设备和/或第二物联网设备提供第一通信密钥的安全性和可靠性，减少第一通信密钥泄露的可能，进而提高第一物联网设备和第二物联网设备进行加密通信的安全性和可靠性，可信设备可以将第一通信密钥提供给第一物联网设备和/或第二物联网设备。

其中，若第一通信密钥由第一物联网设备或第二物联网设备生成，则可信设备可以向第一物联网设备或第二物联网设备提供密钥生成参数，将第一通信密钥提供给第一物联网设备和第二物联网设备中的另一个；若第一通信密钥由可信设备生成，则可信设备可以将第一通信密钥提供给第一物联网设备和第二物联网设备；若第一通信密钥由第一物联网设备和第二物联网设备生成，则可信设备确保第一物联网设备和第二物联网设备所生成的通信密钥相同，比如分别向第一物联网设备和第二物联网设备提供相同的密钥生成参数，或者确认第一物联网设备和第二物联网设备所采用的密钥生成参数和密钥生成算法一致。

第一物联网设备与第二物联网设备基于第一通信密钥进行加密通信的方式，可以参见前述中的相关描述，此处不再一一赘述。

在本申请实施例中，可以建立与第一物联网设备以及第二物联网设备之间的通信连接，由于可信设备是可信的，可以通过可信设备安全可靠地将第一通信密钥，提供给第一物联网设备和/或第二物联网设备，确保了第一物联网设备和第二物联网可以获取得到第一通信密钥，从而基于第一通信密钥进行加密通信，提高了第一物联网设备与第二物联网设备之间进行通信的安全性和可靠性。

实施例三

参照图3，示出了根据本申请一个实施例的一种物联网设备之间的通信方法流程图，具体步骤包括：

步骤301，可信设备分别建立所述可信设备与第一物联网设备以及第二物联网设备的通信连接。

其中，可信设备分别建立与第一物联网设备以及第二物联网设备之间的通信连接的方式，可以参见前述中的相关描述，此处不再一一赘述。

在本申请实施例中，可选的，为了使第一物联网设备或第二物联网设备确定可信设备可信，即确保可信设备的可靠性，提高后续获取第一通信密钥的安全性和可靠性，提高基于第一通信密钥进行加密通信的安全性和可靠性，可信设备可以分别向所述第一物联网设备和所述第二物联网设备提供校验信息，以供所述第一物联网设备和所述第二物联网设备分别与所述可信设备完成可信校验。相应的，第一物联网设备或第二物联网设备可以从所述可信设备获取校验信息，根据所述校验信息，与所述可信设备完成可信校验。

校验信息为对可信设备进行可信校验的信息。

在本申请实施例中，可选的，由于数字证书是由权威性较高的证书签证平台生成的，因此为了提高对可信设备进行可信校验的可靠性，进而提高用于加密通信的第一通信密钥的安全性和可靠性，所述校验信息包括数字证书，相应的，第一物联网设备或第二物联网设备可以根据预置的根证书，确定对所述数字证书校验通过。

数字证书是一种权威性的数据，可以从证书签证平台获取得到。该数字证书能够根据该证书签证平台生成的根证书进行校验。

其中，证书签证平台可以包括前述中的云端。可信设备可以通过与该云端对应的账号登录该云端，从而获取得到该数字证书。

第一物联网设备或第二物联网设备可以在事先获取得到该根证书，比如在出厂前预置得到，或者在部署至物联网中时预置得到。

另外，数字证书中还可以包括用户标识，以说明该用户标识对该数字证书多对应的物联网设备有效，即该用户标识所在的可信设备具有够访问该数字证书对应的物联网设备的权限，因此，该可信设备对于该物联网设备即是可信的。

设备标识用于标识一个设备，比如该设备标识可以包括设备ID(Identification，身份证)或设备序列号。

用户标识用于标识一个用户，比如该用户标识可以包括用户名称或用户ID。该用户标识可以接收用户提交得到，当然可以由证书签证平台生成。

例如，可信设备登录证书签证平台，证书签证平台确定可信设备用户标识C1、针对第一物联网设备M1的数字证书DC1和针对第二物联网设备M2的数字证书DC2。其中， DC1包括关于C1对M1有效的说明，DC2包括关于C1对M2有效的说明，从而确保登录C1的可信设备具有访问M1和M2的权限。

当然，在实际应用中，该校验信息也可以包括其它信息，比如可信认证标识。

可信认证标识为说明当前设备是否可信的标识，可以包括字符串。该可信认证标识可以包括设备标识，该设备当前登录的用户的用户标识，或者可以是其它能够说明该可信认证标识的提供者可信的信息。该可信认证标识可以由参与通信的任一端或证书签证平台生成，并存储在进行通信的两端。当一端确定本地存储有另一端所提供的可信认证标识时，即可确定另一端可信。因此，第一物联网设备或第二物联网设备可以检测本地是否存储有可信设备提供的可信认证标识，如果是则确定该可信设备可信，否则确定该可信设备不可信。

其中，第一物联网设备或第二物联网设备可以事先获取可信认证标识，并将可信认证标识存储至本地的可信认证标识列表中。比如，信设备可以将当前登录的用户标识提供给第一物联网设备或第二物联网设备，当第一物联网设备或第二物联网设备对可信设备进行可信校验之后，将该用户标识作为可信认证标识存储至可信认证标识列表中，之后，若可信设备提供该用户标识，即可确定该可信设备可信。

另外，若对可信设备进行可信校验失败，则可以停止执行后续操作。

在本申请实施例中，可选的，为了确保可信设备提供的校验信息完整且未被篡改，即确保该校验信息的完整性和可靠性，进而提高对可信设备进行可信校验的可靠性，可信设备可以分别向所述第一物联网设备和所述第二物联网设备提供数字签名，以供所述第一物联网设备和所述第二物联网设备验证所述校验信息完整。相应的，第一物联网设备或第二物联网设备可以从所述可信设备获取数字签名，根据所述数字签名，确定所述校验信息完整。

数字签名是由只有数据发送者才能生成的数字字符串，是数据的数据发送者的真实性证明。该数字签名具有不可抵赖性，从而能够对数据的完整性进行验证。

可信设备可以生成所发送的通信数据(比如前述中的校验信息)的摘要信息，并通过云端私钥对该摘要信息进行加密，得到数字签名，相应的，第一物联网设备或第二物联网设备根据与云端私钥对应的云端公钥，对该数字签名进行解密，根据接收到的通信数据再次生成摘要信息，将生成的摘要信息与解密得到的摘要信息进行比较，以验证通信数据的完整性，如果一致，则确定接收到的数据完整，否则确定接收到的数据不完整。

其中，摘要信息可以为通信数据的哈希值。

云端私钥和云端公钥可以由云端生成，

可信设备可以事先从云端获取云端私钥和云端公钥，比如，可以在从作为证书签证平台的云端中获取数字证书时，获取该云端公钥和云端私钥。

第一物联网设备或第二物联网设备可以从前述中的数字证书中获取得到云端公钥，或者，该云端公钥可以预置在第一物联网设备或第二物联网设备中。

在本申请实施例中，可选的，为了确保校验信息的安全性，进而提高对可信设备进行可信校验的可靠性，所述校验信息经过云端私钥加密，相应的，第一物联网设备或第二物联网设备可以在根据校验信息，与可信设备完成可信校验之前，根据与所述云端私钥所对应的云端公钥，对所述校验信息进行解密。

可信设备可以通过云端私钥对通信数据(比如校验信息)进行加密，从而使第一物联网设备或第二物联网设备能够通过与云端对应的云端公钥，对加密的通信数据进行解密，以确保通信数据的安全性。

在本申请实施例中，可选的，由于基于对称加密的加密通信比基于非对称加密的加密通信的效率高。因此，为了提高了可信设备与第一物联网设备之间进行加密通信的效率，可信设备和第一物联网设备可以获取第二通信通信密钥，从而基于所述第二通信密钥，进行可信设备与第一物联网设备之间的加密通信。

第二通信密钥为可信设备与第一物联网设备进行加密通信所采用的通信密钥。第二通信密钥可以由可信设备和第一物联网设备中的最少一个生成得到。

在本申请实施例中，可选的，为了确保能够生成第二通信密钥，即提高生成第二通信密钥的可靠性，所述第二通信密钥由所述第一物联网设备生成。第一物联网设备可以从所述可信设备和所述第一物联网设备中的至少一端分别获取第二密钥生成参数，根据所获取的第二密钥生成参数，生成所述第二通信密钥。相应的，可信设备可以从第一物联网设备获取第二通信密钥。

第二密钥生成参数为生成第二通信密钥所需的密钥生成参数。

第一物联网设备可以根据第二密钥生成参数，采用密钥生成算法，生成第二通信密钥。

在本申请实施例中，可选的，为了确保能够生成第二通信密钥，即提高生成第二通信密钥的可靠性，所述第二通信密钥由所述可信设备生成。可信设备可以从所述可信设备和所述第一物联网设备中的至少一端分别获取第二密钥生成参数，根据所获取的第二密钥生成参数，生成所述第二通信密钥，相应的，第一物联网设备可以从所述可信设备获取所述第二通信密钥。

其中，可信设备生成第二通信密钥的方式，可以与第一物联网设备生成第二通信密钥的方式相同，此处不再一一赘述。

在本申请实施例中，可选的，为了减少第二通信密钥泄露的可能，提高第二通信密钥以及基于第二通信密钥进行加密通信的安全性和可靠性，第二通信密钥可以分别由可信设备和第一物联网设备生成，可信设备和第一物联网设备，可以从所述可信设备和所述第一物联网设备中的至少一端分别获取相同的第二密钥生成参数，从而根据所获取的第二密钥生成参数，采用相同的密钥生成算法，生成第二通信密钥。

可信设备或第一物联网设备可以分别生成第二密钥生成参数，并将生成的第二密钥生成参数通知给另一端，从而确保可信设备和第一物联网设备能够获取到相同的第二密钥生成参数。

例如，可信设备生成并向M1提供一个32位的随机数R11，M1生成并向可信设备提供一个32位的随机数R21，则可信设备和M1可以获取到相同的第二密钥生成参数R11和R21。可信设备和M1可以分别基于R11和R21，生成64位的第二通信密钥E1。

在本申请实施例中，可选的，由于基于对称加密的加密通信比基于非对称加密的加密通信的效率高。因此，为了提高了可信设备与第二物联网设备之间进行加密通信的效率，可信设备和第二物联网设备可以获取第三通信通信密钥，从而基于所述第三通信密钥，进行可信设备与第三物联网设备之间的加密通信。

其中，可信设备和第二物联网设备获取第三通信密钥的方式，可以与可信设备和第一物联网设备获取第二通信密钥的方式相同，此处不再一一赘述。

例如，可信设备可以生成一个32位的随机数R31，并将第R31发送给M2，M2生成一个32位的随机数R32并将R32发送给可信设备。可信设备和M2分别根据R31和R32(R31和R32即为第三密钥生成参数)生成一个64位的第三通信密钥E3。

步骤302，所述可信设备提供第一通信密钥给所述第一物联网设备和/或所述第二物联网设备。

为了确保向第一物联网设备和/或第二物联网设备提供第一通信密钥的安全性和可靠性，减少第一通信密钥泄露的可能，进而提高第一物联网设备和第二物联网设备进行加密通信的安全性和可靠性，可信设备可以将第一通信密钥提供给第一物联网设备和/或第二物联网设备，第一物联网设备和/或第二物联网设备可以获取第一通信密钥。

在本申请实施例中，可选的，为了确保能够生成第一通信密钥，即提高生成第一通信密钥的可靠性，所述第一通信密钥由所述可信设备生成。可信设备可以从所述可信设备、所述第一物联网设备和所述第二物联网设备中的至少一端分别获取第一密钥生成参数，根据所获取的第一密钥生成参数，生成所述第一通信密钥。第一物联网设备和第二物联网设备可以从可信设备获取可信设备生成的第一通信密钥，相应的，可信设备可以将所述第一通信密钥发送给所述第一物联网设备和所述第二物联网设备。

第一密钥生成参数为生成第一通信密钥所需的密钥生成参数。

第一物联网设备或第二物联网设备可以生成第一密钥生成参数，并生成的第一密钥生成参数发送给可信设备。且为了确保第一密钥生成参数的安全性，第一物理网设备或第二物理网设备还都可以对发送的第一密钥生成参数进行加密，比如，第一物联网设备可以通过第二通信密钥对第一密钥生成参数进行加密。

在本申请实施例中，可选的，为了确保能够生成第一通信密钥，即提高生成第一通信密钥的可靠性，所述第一通信密钥由所述第一物联网设备。第一物联网设备可以从所述可信设备、所述第一物联网设备和所述第二物联网设备中的至少一端分别获取第一密钥生成参数，根据所获取的第一密钥生成参数，生成所述第一通信密钥。可信设备可以获取所述第一通信密钥，并将所述第一通信密钥发送给第二物联网设备中的另一个，相应的，第二物联网设备可以从所述可信设备获取所述第二物联网设备生成的第一通信密钥。

可信设备可生成第一密钥生成参数，并将第一密钥生成参数发送给第一物联网设备。第二物联网设备可以生成第一密钥生成参数，并将第一密钥生成参数发送给可信设备，可信设备将该第一密钥生成参数转发给第一物联网设备。

例如，M1生成一个32位的随机数R21，可信设备生成一个32位的随机数R22，并将R22发送给M1，M1根据R21和R22生成一个64位的第一通信密钥E2。M1可以将E2发送给可信设备，可信设备将E2发送给M2。

在本申请实施例中，可选的，为了确保能够生成第一通信密钥，即提高生成第一通信密钥的可靠性，所述第一通信密钥由所述第二物联网设备。第二物联网设备可以从所述可信设备、所述第一物联网设备和所述第二物联网设备中的至少一端分别获取第一密钥生成参数，根据所获取的第一密钥生成参数，生成所述第一通信密钥。可信设备可以获取所述第一通信密钥，并将所述第一通信密钥发送给所述第一物联网设备，相应的，第二物联网设备可以从所述可信设备获取所述第二物联网设备生成的第一通信密钥。

其中，第二物联网设备获取第一密钥生成参数以及生成第一通信密钥的方式，可以与第一物联网设备获取第一密钥生成参数以及生成第一通信密钥的方式相同，此处不再一一赘述。

在本申请实施例中，可选的，为了减少第一通信密钥被泄露的可能，提高第一通信密钥以及基于第一通信密钥进行加密通信的安全性和可靠性，第一通信密钥由第一物联网设备和第二物联网设备生成。第一物联网设备和第二物联网设备可以从所述可信设备、所述第一物联网设备和所述第二物联网设备中的至少一端分别获取第一密钥生成参数，并通过可信设备确定所采用的第一密钥生成参数相同以及所采用的密钥生成算法相同，进而分别采用第一密钥参数，按照密钥生成算法，生成第一通信密钥。

其中，若第一物联网设备或第二物联网设备生成第一密钥生成参数，可以通过可信设备，将第一密钥生成参数提供给第一物联网设备和第二物联网设备中的另一个；若可信设备生成第一密钥生成参数，可以分别将第一密钥生成参数发送给第一物联网设备和第二物联网设备，从而确保第一物联网设备和第二物联网设备所采用的第一密钥生成参数相同。

步骤303，第一物联网设备和第二物联网设备互相进行可信验证。

为了减少物联网设备与不可信的物联网设备进行通信的可能，进一步提高通信的安全性和可靠性，第一物联网设备和第二物联网设备可以互相进行可信验证。

在本申请实施例中，可选的，为了减少第一物联网设备与不可信的物联网设备进行通信的可能，进一步提高通信的安全性和可靠性，所述第一物联网设备中存储有可信认证标识列表，相应的，第一物联网设备可以获取所述第二物联网设备提供的可信认证标识，确定所述可信认证标识存在于可信认证标识列表中。如果确定所述可信认证标识存在于可信认证标识列表中，即可确定第二物联网设备可信，否则可以确定第二物联网设备不可信。

第一物联网设备可以事先获取第二物联网设备的设备标识或用户标识作为可信认证标识。或者，第一物联网设备可以生成一个字符串作为可信认证标识，并通过可信设备将该可信认证标识提供给第二物联网设备。或者，第二物联网设备、可信设备或作为证书签证平台的云端生成一个字符串作为可信认证标识，第一物联网设备通过可信设备获取该可信认证标识并存储。

其中，若第一物联网设备或第二物联网设备通过可信设备获取可信认证标识，则由于可信设备经由权威的证书签证平台提供的数字证书所验证，因此，该可信设备提供的可信认证标识也可以可信的，因而也就实现了以可信设备作为媒介，完成第一物联网设备与第二物联网设备之间的可信验证。

在本申请实施例中，可选的，为了减少第二物联网设备与不可信的物联网设备进行通信的可能，进一步提高通信的安全性和可靠性，所述第二物联网设备中存储有可信认证标识列表，相应的，第二物联网设备可以获取所述第一物联网设备提供的可信认证标识，确定所述可信认证标识存在于可信认证标识列表中。如果确定所述可信认证标识存在于可信认证标识列表中，即可确定第一物联网设备可信，否则可以确定第一物联网设备不可信。

第二物联网设备可以事先获取第一物联网设备的设备标识或用户标识作为可信认证标识。或者，第二物联网设备可以生成可信认证标识，并通过可信设备将该可信认证标识提供给第一物联网设备。或者，第一物联网设备、可信设备或作为证书签证平台的云端生成一个字符串作为可信认证标识，第二物联网设备通过可信设备获取该可惜认证标识并存储。

例如，可信设备随机生成一个可信认证标识C2，将C2提供给M1和M2，M1和M2获取C2并将C2存储至本地的可信认证列表中。以M1为例，若M1接收到M2提供的C2，由于M1本地存储的可信认证列表中存储有C2，因此，可以确定M2可信。相似的，M2也可以确定M1可信，从而完成M1与M2之间的可信验证。

另外，在本申请的另一可选实施例中，为了提高加密通信的效率，第一物联网设备和第二物联网设备也可以不互相进行可信验证，即步骤303为可选的步骤。

步骤304，所述第一物联网设备与所述第二物联网设备基于所述第一通信密钥，进行加密通信。

由于第一物联网设备和第二物联网设备是通过安全可靠的方式获取得到的第一通信密钥，因此，可以通过第一通信密钥进行加密通信，从而确保通信数据安全性。

在本申请实施例中，可选的，为了确保第一物联网设备和第二物联网设备之间的通信数据的安全性，第一物联网设备可以基于所述第一通信密钥对第一物联网设备的通信数据进行加密，并发送至第二物联网设备；或，基于所述第一通信密钥对第二物联网设备的通信数据进行解密。相应的，第二物联网设备可以基于所述第一通信密钥对第二物联网设备的通信数据进行加密，并发送至第一物联网设备；或，基于所述第一通信密钥对第一物联网设备的通信数据进行解密。

其中，通信数据中可以携带可信认证标识，从而使第一物联网设备或第二物联网设备，确定该通信数据的来源可信。

在本申请实施例中，可选的，由于物联网设备可能具有可变的属性，因此为了便于用户及时感知该物联网设备所具有的属性，提高获取物联网设备所具有属性的实效性，以提高与监控设备与物联网设备之间的同步性能，第一物联网设备可以获取监控设备对所述第一物联网设备的属性变化事件的订阅请求，检测属性变化事件，并通知至所述监控设备。

物联网设备的属性即为物联网设备所具有的属性，比如当物联网设备为智能灯泡时，该物联网设备的属性可以包括开关状态、灯光颜色或灯光亮度；当物联网设备为空调时，该物联网设备的属性可以包括开关状态、运行模式或温度设定值等。

监控设备为对物联网设备的属性进行监控的设备，该监控可以包括客户端或第二物联网设备。

属性变化事件即为物联网设备根据属性进行变化所生成的事件。

属性变化事件的订阅请求为监控设备向物联网设备订阅属性变化事件的请求。

监控设备可以基于CoAP(Constrained Application Protocol，受限制的应用协议)向第一物联网设备发送属性变化事件的订阅请求。

基于CoAP的属性变化事件协议包括事件主题和事件内容。

事件主题可以为一个字符串，其中包括目标设备的设备标识以及事件路径。

目标设备即为所需订阅事件的设备，比如第一物联网设备。

事件位置即为属性变化事件在目标设备中的位置。

例如，事件主题可以包括“/dev/{$devId}/thing/event/property/post”。其中，dev为固定前缀；$devId为目标设备的设备标识，该设备标识可以由目标设备提供；“thing/event/property/post”即为属性变化事件在目标设备的事件位置，当然，在实际应用中，事件位置还可以通过其它形式来表示。

事件内容包括事件订阅、事件订阅取消以及事件触发。该事件内容可以通过CoAP协议中的observe字段或observe option表示。

订阅请求中可以包括所订阅事件的事件主题和事件内容：事件订阅。

以observe字段为例，observe字段处于CoAP协议的payload(有效荷载)中，该observe字段的值可以表示属性变化事件被触发的次数。当事件内容为事件订阅时，订阅请求中携带observe字符串格式字段，值为非空。

第一物联网设备在接收到订阅请求时，根据该属性变化事件协议包括的事件位置，订阅属性变化事件，若订阅成功，第一物联网设备向监控设备反馈订阅成功消息，消息类型为成功，且订阅成功消息中携带observe字符串格式字段，值为非空。若订阅失败，第一物联网设备被向监控设备反馈订阅失败消息，消息类型为失败，且订阅失败消息中携带observe字符串格式字段，值为非空。

第一物联网设备可以在检测到属性变化事件被触发时，向监控设备返回属性变化事件通知，该属性变化事件通知中包括所订阅的属性，且该属性变化事件通知中携带observe字符串格式字段，该observe的值为在上次属性变化事件通知中observe的值递增1后的数值。

在本申请实施例中，可选的，为了提高属性订阅的准确性，订阅请求中可以包括目标属性，从而仅订阅针对目标属性的属性变化事件。

目标属性为需要订阅的属性，该目标属性可以由监控设备确定。

当然，监控设备也可以像第一物联网设备发送属性变化事件的订阅取消请求，该订阅取消请求中不携带observe字符串格式字段。第一物联网设备接收到该订阅取消请求，若取消订阅成功，则反馈订阅取消成功消息，消息类型为成功。若取消订阅失败，则反馈订阅取消失败消息，消息类型为失败。

在本申请实施例中，可选的，为了感知第一物联网设备中与属性相关的信息，以便于确定是否进行属性变化事件的订阅或者确定目标属性，进而监控第一物联网设备的属性的准确性，第一物联网设备可以在所述获取监控设备对所述第一物联网设备的属性变化事件的订阅请求之前，向所述监控设备提供属性相关信息。

属性相关信息为与物联网设备所具有的属性相关的信息，该属性相关信息可以包括属性、各属性的取值范围、是否可被订阅和订阅方式中的至少一个。

监控设备可以在发送基于CoAP协议的设备发现请求，该设备发现请求中可以包括目标设备标识，当目标设备接收到该设备发现请求时，向该监控设备反馈属性相关信息。因此，第一物联网设备可以在接收到设备发现请求，且确定设备发现请求中携带由第一物联网设备的设备标识时，向该监控设备反馈第一物联网设备的属性相关信息。

在本申请的另一可选实施例中，设备发现请求中也可以不携带目标设备标识，接收到该设备发现请求的任一物联网设备都向该监控设备反馈属性相关信息。

在本申请实施例中，可选的，为了使监控设备能够及时获取到第一物联网设备当前具有的属性，提高感知第一物联网设备所具有属性的时效性，第一网设备述检测属性变化事件之前，检测所述第一物联网设备的属性初始数据，并提供给所述监控设备。相应的，监控设备可以获取第一物联网设备提供的属性初始数据，并通过页面展示该属性初始数据，之后，若接收到属性变化事件，则对显示的属性初始数据进行更新。

属性初始数据为第一物联网设备在检测属性变化事件之前，所具有属性的初始值。

在本申请实施例中，首先，可以建立第一物联网设备和第二物联网设备与可信设备之间的通信连接，由于可信设备是可信的，可以通过可信设备安全可靠地将第一通信密钥，提供给第一物联网设备和/或第二物联网设备，确保了第一物联网设备和第二物联网可以获取得到第一通信密钥，从而基于第一通信密钥进行加密通信，提高了第一物联网设备与第二物联网设备之间进行通信的安全性和可靠性。

其次，第一物联网设备或第二物联网设备可以根据校验信息对可信设备进行可信校验，从而能够确保可信设备的可靠性，提高了获取第一通信密钥的安全性和可靠性，提高了基于第一通信密钥进行加密通信的安全性和可靠性。

另外，第一物联网设备与第二物联网设备之间可以互相进行可信验证，包括验证第一物联网设备与第二物联网设备中的另一端所提供的可信认证标识，是否存在与本地存储的可信标识列表中，从而减少物联网设备与不可信的物联网设备进行通信的可能，进一步提高通信的安全性和可靠性。

另外，第一物联网设备、第二物联网设备和可信设备均能够生成第一通信密钥，提高了生成第一通信密钥的可靠性。

本领域的技术人员应可理解，上述实施例中的方法步骤并非每一个都必不可少，在具体状况下，可以省略其中的一个或多个步骤，只要能够实现物联网设备之间加密通信的技术目的。本申请并不限定的实施例中步骤的数量及其顺序，本申请的保护范围当以权利要求书的限定为准。

为了便于本领域技术人员更好地理解本申请，以下通过几个具体的示例对本申请实施例的一种物联网设备之间的通信方法进行说明，具体包括如下步骤：

参照图4，示出了一种物联网设备之间的通信方法，具体包括：

S1，客户端登录云端；

其中，云端即可作为证书签证平台，客户端作为可信设备，且该客户端安装有与该云端对应的应用程序。

S2，云端向客户端反馈登录结果；

S3，云端从客户端获取账号信息；

其中，账号信息可以为针对云端的账号信息。

S4，云端向客户端反馈密钥对和数字证书；

云端可以根据客户端登录的账号信息，生成使用者账号C1，生成该客户端针对设备M1的数字证书DC1、以及该客户端针对设备M2的数字证书DC2。

其中，密钥对包括云端私钥和云端公钥。

S5，客户端向M1发送C1和一个32位的随机数R11；

其中，所发送的C1和R11是经过云端私钥加密的，且携带有数字签名和DC1。

S6，M1使用预置的云端公钥对C1和R11进行解密。

其中，M1可以解析数字证书，通过预置的根证书验证数字证书是否可信。如果不可信，则返回结果给客户端，流程结束。如果可信则从数字证书中提取云端公钥，通过数字签名验证确定所接收到的数据是否被篡改过。如果验证失败则返回结果给客户端，流程结束。如果验证成功，则通过云端公钥解密得到C1和R11。

S7，M1将C1添加至可信任列表；

S8，M1生成一个32位的随机数R12，基于R11和R12生成64位的数字E1作为共享密钥；

S9，M1将加密后的R12发送给客户端，M1对客户端认证成功；

S10，客户端获取到R12，基于R11和R12生成E1；

当M1和客户端均获取得到E1时，M1和客户端即可通过E1实现M1和客户端之间的加密通信。

S11，客户端随机生成使用者账号C2和一个32位随机数R21；

S12，客户端通过E1对C2和R21加密后发送给M1；

S13，M1添加C2至可信任列表；

其中，M1可以通过E1对接收到的数据进行解密，得到C2和R21。

S14，M1生成32位随机数R22，基于R21和R22生成64位数字E2作为共享密钥。

S15，M1通过E1对R22加密后发送给客户端；

S16，客户端很多区到R22，基于R21和R22生成E2；

S17，客户端向M2发送C1和一个32位的随机数R31；

S18，M2获取得到C1和R31；

S19，M2将C1添加至可信任列表；

S20，M2生成R32，基于R31和R32生成E3；

S21，M2通过E3加密R32发送给客户端，认证成功；

S22，客户端基于R31和R32生成E3；

S23，客户端将C2和E2发送给M2；

S24，M2将C2添加至可信任列表；

S25，M2通知客户端添加成功；

S26，M2通过E2加密C2后发送给M1请求认证；

S27，M1使用E2解密得到C2，确定C2存在与本地的可信任列表；

S28，M1向M2反馈认证成功。

M1与M2认证成功之后，可以基于C2和E2实现安全可信的通信。

参照图5，示出了一种物联网设备之间的通信方法，具体包括：

S1，客户端发送发现协议，发现在线设备M1；

其中，客户端可以在网络中发送基于CoAP的发现协议，且该发现协议中可以携带目标设备标识。

S2，M1返回设备能力；

M1接收到发现协议后可以对该发现协议进行相应，并附带M1的属性相关信息，即说明M1的设备能力。

当然，若发现协议中携带目标设备标识，M1在确定该目标设备标识为M1的设备标识时，对该发现协议进行响应。

S3，客户端向M1订阅属性变化事件；

S4，M1返回订阅成功；

M1接收针对属性变化事件的订阅请求时，如果确定属性允许订阅，则返回订阅成功，否则返回订阅失败。

S5，客户端获取M1当前所具有的属性值；

S6，M1向客户端返回属性值；

M1可以在确定允许客户端获取属性值时，返回获取成功，并携带当前的属性值，否则获取失败，流程结束。

S7，M1确定属性值发生变化；

M1在确属性值发生变化时，主动向该客户端推送属性变化事件。

S8，M1向客户端通知最新的属性值。

客户端可以通过页面显示属性值，并在接收到属性变化事件时，对当前属性值进行更新，刷新展示页面。

实施例四

参照图6，示出了根据本申请一个实施例的一种物联网设备之间的通信的结构框图，该装置包括：

通信连接建立模块601，用于建立第一物联网设备与可信设备的通信连接；

第一通信密钥获取模块602，用于获取第一通信密钥，所述第一通信密钥通过所述可信设备提供给所述第一物联网设备和/或第二物联网设备；

通信模块603，用于基于所述第一通信密钥，与所述第二物联网设备进行加密通信。

可选的，所述第一通信密钥由所述第一物联网设备生成；

所述第一通信密钥获取模块包括：

可选的，所述第一物联网设备中存储有可信认证标识列表；

所述装置还包括：

可选的，所述通信模块包括：

加密子模块，用于基于所述第一通信密钥对第一物联网设备的通信数据进行加密，并发送至第二物联网设备；或，

解密子模块，用于基于所述第一通信密钥对第二物联网设备的通信数据进行解密。

可选的，所述通信连接建立模块包括：

校验信息获取子模块，用于从所述可信设备获取校验信息；

可选的，所述校验信息包括数字证书，所述可信校验子模块还用于：

根据预置的根证书，确定对所述数字证书校验通过。

可选的，所述装置还包括：

数字签名获取模块，用于从所述可信设备获取数字签名；

第二确定模块，用于根据所述数字签名，确定所述校验信息完整。

可选的，所述校验信息经过云端私钥加密；

所述装置还包括：

解密模块，用于根据与所述云端私钥所对应的云端公钥，对所述校验信息进行解密。

可选的，所述装置还包括：

可选的，所述第二通信密钥由所述第一物联网设备生成；

所述第二通信密钥获取模块包括：

第二密钥生成参数获取子模块，用于从所述可信设备和所述第一物联网设备中的至少一端分别获取第二密钥生成参数；

第二通信密钥生成子模块，用于根据所获取的第二密钥生成参数，生成所述第二通信密钥。

可选的，所述第二通信密钥由所述可信设备生成；

所述第二通信密钥获取模块包括：

第二通信密钥获取子模块，用于从所述可信设备获取所述第二通信密钥。

可选的，所述装置还包括：

属性相关信息获取模块，用于向所述监控设备提供属性相关信息。

可选的，所述装置还包括：

属性初始数据检测模块，用于检测所述第一物联网设备的属性初始数据，并提供给所述监控设备。

可选的，所述第一物联网设备与所述第二物联网设备中的至少一个处于与云端的离线状态下。

实施例五

参照图7，示出了根据本申请一个实施例的一种物联网设备之间的通信的结构框图，该装置包括：

通信连接建立模块701，用于分别建立可信设备与第一物联网设备以及第二物联网设备的通信连接；

第一通信密钥提供模块702，用于提供第一通信密钥给所述第一物联网设备和/或所述第二物联网设备，以使所述第一物联网设备与所述第二物联网设备基于所述第一通信密钥进行加密通信。

可选的，所述通信连接建立模块包括：

可选的，所述装置还包括：

数字签名提供模块，用于分别向所述第一物联网设备和所述第二物联网设备提供数字签名，以供所述第一物联网设备和所述第二物联网设备验证所述校验信息完整。

可选的，所述第一通信密钥由所述可信设备生成；

所述第一通信密钥提供模块包括：

可选的，所述装置还包括：

第二通信获取模块，用于获取第二通信密钥，以基于所述第二通信密钥，与所述第一物联网设备进行加密通信。

可选的，所述装置还包括：

第三通信密钥获取模块，用于获取第三通信密钥，以基于所述第三通信密钥，与所述第二物联网设备进行加密通信。

对于装置实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本申请实施例可被实现为使用任意适当的硬件，固件，软件，或及其任意组合进行想要的配置的系统。图8示意性地示出了可被用于实现本申请中所述的各个实施例的示例性系统(或装置)800。

对于一个实施例，图8示出了示例性系统800，该系统具有一个或多个处理器802、被耦合到(一个或多个)处理器802中的至少一个的系统控制模块(芯片组)804、被耦合到系统控制模块804的系统存储器806、被耦合到系统控制模块804的非易失性存储器(NVM)/存储设备808、被耦合到系统控制模块804的一个或多个输入/输出设备810，以及被耦合到系统控制模块806的网络接口812。

处理器802可包括一个或多个单核或多核处理器，处理器802可包括通用处理器或专用处理器(例如图形处理器、应用处理器、基频处理器等)的任意组合。在一些实施例中，系统800能够作为本申请实施例中所述的通信装置。

在一些实施例中，系统800可包括具有指令的一个或多个计算机可读介质(例如，系统存储器806或NVM/存储设备808)以及与该一个或多个计算机可读介质相合并被配置为执行指令以实现模块从而执行本申请中所述的动作的一个或多个处理器802。

对于一个实施例，系统控制模块804可包括任意适当的接口控制器，以向(一个或多个)处理器802中的至少一个和/或与系统控制模块804通信的任意适当的设备或组件提供任意适当的接口。

系统控制模块804可包括存储器控制器模块，以向系统存储器806提供接口。存储器控制器模块可以是硬件模块、软件模块和/或固件模块。

系统存储器806可被用于例如为系统800加载和存储数据和/或指令。对于一个实施例，系统存储器806可包括任意适当的易失性存储器，例如，适当的DRAM。在一些实施例中，系统存储器806可包括双倍数据速率类型四同步动态随机存取存储器(DDR4SDRAM)。

对于一个实施例，系统控制模块804可包括一个或多个输入/输出控制器，以向NVM/存储设备808及(一个或多个)输入/输出设备810提供接口。

例如，NVM/存储设备808可被用于存储数据和/或指令。NVM/存储设备808可包括任意适当的非易失性存储器(例如，闪存)和/或可包括任意适当的(一个或多个)非易失性存储设备(例如，一个或多个硬盘驱动器(HDD)、一个或多个光盘(CD)驱动器和/或一个或多个数字通用光盘(DVD)驱动器)。

NVM/存储设备808可包括在物理上作为系统800被安装在其上的设备的一部分的存储资源，或者其可被该设备访问而不必作为该设备的一部分。例如，NVM/存储设备808可通过网络经由(一个或多个)输入/输出设备810进行访问。

(一个或多个)输入/输出设备810可为系统800提供接口以与任意其他适当的设备通信，输入/输出设备810可以包括通信组件、音频组件、传感器组件等。网络接口812可为系统800提供接口以通过一个或多个网络通信，系统800可根据一个或多个无线网络标准和/或协议中的任意标准和/或协议来与无线网络的一个或多个组件进行无线通信，例如接入基于通信标准的无线网络，如WiFi，2G或3G，或它们的组合进行无线通信。

对于一个实施例，(一个或多个)处理器802中的至少一个可与系统控制模块804的一个或多个控制器(例如，存储器控制器模块)的逻辑封装在一起。对于一个实施例，(一个或多个)处理器802中的至少一个可与系统控制模块804的一个或多个控制器的逻辑封装在一起以形成系统级封装(SiP)。对于一个实施例，(一个或多个)处理器802中的至少一个可与系统控制模块804的一个或多个控制器的逻辑集成在同一模具上。对于一个实施例，(一个或多个)处理器802中的至少一个可与系统控制模块804的一个或多个控制器的逻辑集成在同一模具上以形成片上系统(SoC)。

在各个实施例中，系统800可以但不限于是：工作站、台式计算设备或移动计算设备(例如，膝上型计算设备、手持计算设备、平板电脑、上网本等)。在各个实施例中，系统800可具有更多或更少的组件和/或不同的架构。例如，在一些实施例中，系统800包括一个或多个摄像机、键盘、液晶显示器(LCD)屏幕(包括触屏显示器)、非易失性存储器端口、多个天线、图形芯片、专用集成电路(ASIC)和扬声器。

其中，如果显示器包括触摸面板，显示屏可以被实现为触屏显示器，以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与所述触摸或滑动操作相关的持续时间和压力。

本申请实施例还提供了一种非易失性可读存储介质，该存储介质中存储有一个或多个模块(programs)，该一个或多个模块被应用在终端设备时，可以使得该终端设备执行本申请实施例中各方法步骤的指令(instructions)。

在一个示例中提供了一种装置，包括：一个或多个处理器；和，其上存储的有指令的一个或多个机器可读介质，当由所述一个或多个处理器执行时，使得所述装置执行如本申请实施例中通信装置执行的方法。

在一个示例中还提供了一个或多个机器可读介质，其上存储有指令，当由一个或多个处理器执行时，使得装置执行如本申请实施例中通信装置执行的方法。

本申请实施例公开了一种物联网设备之间的通信方法和装置。

示例1、一种物联网设备之间的通信方法，包括：

建立第一物联网设备与可信设备的通信连接；

示例2可包括示例1所述的方法，所述第一通信密钥由所述第一物联网设备生成；

所述获取第一通信密钥包括：

根据所获取的第一密钥生成参数，生成所述第一通信密钥。

示例3可包括示例1所述的方法，所述第一通信密钥由所述可信设备或所述第二物联网设备生成；

所述获取第一通信密钥包括：

示例4可包括示例1所述的方法，所述第一物联网设备中存储有可信认证标识列表；

获取所述第二物联网设备提供的可信认证标识；

确定所述可信认证标识存在于可信认证标识列表中。

示例5可包括示例1所述的方法，所述基于所述第一通信密钥，与所述第二物联网设备进行加密通信包括：

示例6可包括示例1所述的方法，所述建立第一物联网设备与可信设备的通信连接包括：

从所述可信设备获取校验信息；

根据所述校验信息，与所述可信设备完成可信校验。

示例7可包括示例6所述的方法，所述校验信息包括数字证书，所述根据所述校验信息，与所述可信设备完成可信校验包括：

根据预置的根证书，确定对所述数字证书校验通过。

示例8可包括示例6所述的方法，所述方法还包括：

从所述可信设备获取数字签名；

根据所述数字签名，确定所述校验信息完整。

示例9可包括示例6所述的方法，所述校验信息经过云端私钥加密；

示例10可包括示例1所述的方法，所述方法还包括：

示例11可包括示例10所述的方法，所述第二通信密钥由所述第一物联网设备生成；

所述获取第二通信密钥包括：

根据所获取的第二密钥生成参数，生成所述第二通信密钥。

示例12可包括示例10所述的方法，所述第二通信密钥由所述可信设备生成；

所述获取第二通信密钥包括：

从所述可信设备获取所述第二通信密钥。

示例13可包括示例1所述的方法，所述方法还包括：

检测属性变化事件，并通知至所述监控设备。

示例14可包括示例13所述的方法，在所述获取监控设备对所述第一物联网设备的属性变化事件的订阅请求之前，所述方法还包括：

向所述监控设备提供属性相关信息。

示例15可包括示例13所述的方法，在所述检测属性变化事件之前，所述方法还包括：

示例16可包括示例1所述的方法，所述第一物联网设备与所述第二物联网设备中的至少一个处于与云端的离线状态下。

示例17、一种物联网设备之间的通信方法，包括：

示例18可包括示例17所述的方法，所述分别建立可信设备与第一物联网设备以及第二物联网设备的通信连接包括：

示例19可包括示例18所述的方法，所述方法还包括：

示例20可包括示例17所述的方法，所述第一通信密钥由所述可信设备生成；

示例21可包括示例20所述的方法，所述第一通信密钥由所述第一物联网设备或所述第二物联网设备生成；

示例22可包括示例17所述的方法，所述方法还包括：

示例23可包括示例17所述的方法，所述方法还包括：

示例24、一种物联网设备之间的通信装置，包括：

示例25可包括示例24所述的装置，所述第一通信密钥由所述第一物联网设备生成；

所述第一通信密钥获取模块包括：

示例26可包括示例24所述的装置，所述第一通信密钥由所述可信设备或所述第二物联网设备生成；

所述第一通信密钥获取模块包括：

示例27可包括示例24所述的装置，所述第一物联网设备中存储有可信认证标识列表；

所述装置还包括：

示例28可包括示例24所述的装置，所述通信连接建立模块包括：

校验信息获取子模块，用于从所述可信设备获取校验信息；

示例29可包括示例24所述的装置，所述装置还包括：

示例30可包括示例24所述的装置，所述装置还包括：

示例31可包括示例24所述的装置，所述第一物联网设备与所述第二物联网设备中的至少一个处于与云端的离线状态下。

示例32、一种物联网设备之间的通信装置，包括：

示例33可包括示例32所述的装置，所述通信连接建立模块包括：

示例34可包括示例32所述的装置，所述第一通信密钥由所述可信设备生成；

所述第一通信密钥提供模块包括：

示例35可包括示例32所述的装置，所述第一通信密钥由所述第一物联网设备或所述第二物联网设备生成；

所述第一通信密钥提供模块包括：

示例36、一种装置，包括：一个或多个处理器；和其上存储的有指令的一个或多个机器可读介质，当由所述一个或多个处理器执行时，使得所述装置执行如示例1-示例23一个或多个的方法。

示例35、一个或多个机器可读介质，其上存储有指令，当由一个或多个处理器执行时，使得装置执行如示例1-示例23一个或多个的方法。

虽然某些实施例是以说明和描述为目的的，各种各样的替代、和/或、等效的实施方案、或计算来达到同样的目的实施例示出和描述的实现，不脱离本申请的实施范围。本申请旨在覆盖本文讨论的实施例的任何修改或变化。因此，显然本文描述的实施例仅由权利要求和它们的等同物来限定。

Claims

一种物联网设备之间的通信方法，其特征在于，包括：

建立第一物联网设备与可信设备的通信连接；

获取第一通信密钥，所述第一通信密钥通过所述可信设备提供给所述第一物联网设备和/或第二物联网设备；

基于所述第一通信密钥，与所述第二物联网设备进行加密通信。
根据权利要求1所述的方法，其特征在于，所述第一通信密钥由所述第一物联网设备生成；

所述获取第一通信密钥包括：

从所述可信设备、所述第一物联网设备和所述第二物联网设备中的至少一端分别获取第一密钥生成参数；

根据所获取的第一密钥生成参数，生成所述第一通信密钥。
根据权利要求1所述的方法，其特征在于，所述第一通信密钥由所述可信设备或所述第二物联网设备生成；

所述获取第一通信密钥包括：

从所述可信设备获取所述可信设备或所述第二物联网设备生成的第一通信密钥。
根据权利要求1所述的方法，其特征在于，所述第一物联网设备中存储有可信认证标识列表；

在所述基于所述第一通信密钥，与所述第二物联网设备进行加密通信之前，所述方法还包括：

获取所述第二物联网设备提供的可信认证标识；

确定所述可信认证标识存在于可信认证标识列表中。
根据权利要求1所述的方法，其特征在于，所述基于所述第一通信密钥，与所述第二物联网设备进行加密通信包括：

基于所述第一通信密钥对第一物联网设备的通信数据进行加密，并发送至第二物联网设备；或，

基于所述第一通信密钥对第二物联网设备的通信数据进行解密。
根据权利要求1所述的方法，其特征在于，所述建立第一物联网设备与可信设备的通信连接包括：

从所述可信设备获取校验信息；

根据所述校验信息，与所述可信设备完成可信校验。
根据权利要求6所述的方法，其特征在于，所述校验信息包括数字证书，所述根据所述校验信息，与所述可信设备完成可信校验包括：

根据预置的根证书，确定对所述数字证书校验通过。
根据权利要求6所述的方法，其特征在于，所述方法还包括：

从所述可信设备获取数字签名；

根据所述数字签名，确定所述校验信息完整。
根据权利要求6所述的方法，其特征在于，所述校验信息经过云端私钥加密；

在所述根据所述校验信息，与所述可信设备完成可信校验之前，所述方法还包括：

根据与所述云端私钥所对应的云端公钥，对所述校验信息进行解密。
根据权利要求1所述的方法，其特征在于，所述方法还包括：

获取第二通信密钥，以基于所述第二通信密钥，与所述可信设备进行加密通信。
根据权利要求10所述的方法，其特征在于，所述第二通信密钥由所述第一物联网设备生成；

所述获取第二通信密钥包括：

从所述可信设备和所述第一物联网设备中的至少一端分别获取第二密钥生成参数；

根据所获取的第二密钥生成参数，生成所述第二通信密钥。
根据权利要求10所述的方法，其特征在于，所述第二通信密钥由所述可信设备生成；

所述获取第二通信密钥包括：

从所述可信设备获取所述第二通信密钥。
根据权利要求1所述的方法，其特征在于，所述方法还包括：

获取监控设备对所述第一物联网设备的属性变化事件的订阅请求；

检测属性变化事件，并通知至所述监控设备。
根据权利要求13所述的方法，其特征在于，在所述获取监控设备对所述第一物联网设备的属性变化事件的订阅请求之前，所述方法还包括：

向所述监控设备提供属性相关信息。
根据权利要求13所述的方法，其特征在于，在所述检测属性变化事件之前，所述方法还包括：

检测所述第一物联网设备的属性初始数据，并提供给所述监控设备。
根据权利要求1所述的方法，其特征在于，所述第一物联网设备与所述第二物联网设备中的至少一个处于与云端的离线状态下。
一种物联网设备之间的通信方法，其特征在于，包括：

分别建立可信设备与第一物联网设备以及第二物联网设备的通信连接；

提供第一通信密钥给所述第一物联网设备和/或所述第二物联网设备，以使所述第一物联网设备与所述第二物联网设备基于所述第一通信密钥进行加密通信。
根据权利要求17所述的方法，其特征在于，所述分别建立可信设备与第一物联网设备以及第二物联网设备的通信连接包括：

分别向所述第一物联网设备和所述第二物联网设备提供校验信息，以供所述第一物联网设备和所述第二物联网设备分别与所述可信设备完成可信校验。
根据权利要求18所述的方法，其特征在于，所述方法还包括：

分别向所述第一物联网设备和所述第二物联网设备提供数字签名，以供所述第一物联网设备和所述第二物联网设备验证所述校验信息完整。
根据权利要求17所述的方法，其特征在于，所述第一通信密钥由所述可信设备生成；

所述提供第一通信密钥给所述第一物联网设备和/或第二物联网设备包括：

将所述第一通信密钥发送给所述第一物联网设备和所述第二物联网设备。
根据权利要求20所述的方法，其特征在于，所述第一通信密钥由所述第一物联网设备或所述第二物联网设备生成；

所述提供第一通信密钥给所述第一物联网设备和/或第二物联网设备包括：

获取所述第一通信密钥，并将所述第一通信密钥发送给所述第一物联网设备和所述第二物联网设备中的另一个。
根据权利要求17所述的方法，其特征在于，所述方法还包括：

获取第二通信密钥，以基于所述第二通信密钥，与所述第一物联网设备进行加密通信。
根据权利要求17所述的方法，其特征在于，所述方法还包括：

获取第三通信密钥，以基于所述第三通信密钥，与所述第二物联网设备进行加密通信。
一种物联网设备之间的通信装置，其特征在于，包括：

通信连接建立模块，用于建立第一物联网设备与可信设备的通信连接；

第一通信密钥获取模块，用于获取第一通信密钥，所述第一通信密钥通过所述可信设备提供给所述第一物联网设备和/或第二物联网设备；

通信模块，用于基于所述第一通信密钥，与所述第二物联网设备进行加密通信。
根据权利要求24所述的装置，其特征在于，所述第一通信密钥由所述第一物联网设备生成；

所述第一通信密钥获取模块包括：

第一密钥生成参数获取子模块，用于从所述可信设备、所述第一物联网设备和所述第二物联网设备中的至少一端分别获取第一密钥生成参数；

第一通信密钥生成子模块，用于根据所获取的第一密钥生成参数，生成所述第一通信密钥。
根据权利要求24所述的装置，其特征在于，所述第一通信密钥由所述可信设备或所述第二物联网设备生成；

所述第一通信密钥获取模块包括：

第一通信密钥获取子模块，用于从所述可信设备获取所述可信设备或所述第二物联网设备生成的第一通信密钥。
根据权利要求24所述的装置，其特征在于，所述第一物联网设备中存储有可信认证标识列表；

所述装置还包括：

可信认证标识获取模块，用于获取所述第二物联网设备提供的可信认证标识；

第一确定模块，用于确定所述可信认证标识存在于可信认证标识列表中。
根据权利要求24所述的装置，其特征在于，所述通信连接建立模块包括：

校验信息获取子模块，用于从所述可信设备获取校验信息；

可信校验子模块，用于根据所述校验信息，与所述可信设备完成可信校验。
根据权利要求24所述的装置，其特征在于，所述装置还包括：

第二通信密钥获取模块，用于获取第二通信密钥，以基于所述第二通信密钥，与所述可信设备进行加密通信。
根据权利要求24所述的装置，其特征在于，所述装置还包括：

订阅请求获取模块，用于获取监控设备对所述第一物联网设备的属性变化事件的订阅请求；

属性变化事件检测模块，用于检测属性变化事件，并通知至所述监控设备。
根据权利要求24所述的装置，其特征在于，所述第一物联网设备与所述第二物联网设备中的至少一个处于与云端的离线状态下。
一种物联网设备之间的通信装置，其特征在于，包括：

通信连接建立模块，用于分别建立可信设备与第一物联网设备以及第二物联网设备的通信连接；

第一通信密钥提供模块，用于提供第一通信密钥给所述第一物联网设备和/或所述第二物联网设备，以使所述第一物联网设备与所述第二物联网设备基于所述第一通信密钥进行加密通信。
根据权利要求32所述的装置，其特征在于，所述通信连接建立模块包括：

校验信息提供子模块，用于分别向所述第一物联网设备和所述第二物联网设备提供校验信息，以供所述第一物联网设备和所述第二物联网设备分别与所述可信设备完成可信校验。
根据权利要求32所述的装置，其特征在于，所述第一通信密钥由所述可信设备生成；

所述第一通信密钥提供模块包括：

第一通信密钥发送子模块，用于将所述第一通信密钥发送给所述第一物联网设备和所述第二物联网设备。
根据权利要求32所述的装置，其特征在于，所述第一通信密钥由所述第一物联网设备或所述第二物联网设备生成；

所述第一通信密钥提供模块包括：

第一通信密钥发送子模块，用于获取所述第一通信密钥，并将所述第一通信密钥发送给所述第一物联网设备和所述第二物联网设备中的另一个。
一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1-23任一项所述的一个或多个的方法。
一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1-23任一项所述的一个或多个的方法。