WO2020258336A1

WO2020258336A1 - 一种资源配置方法、设备及存储介质

Info

Publication number: WO2020258336A1
Application number: PCT/CN2019/093926
Authority: WO
Inventors: 唐海
Original assignee: Oppo广东移动通信有限公司
Priority date: 2019-06-28
Filing date: 2019-06-28
Publication date: 2020-12-30
Also published as: CN113169965B; CN113169965A

Abstract

本发明公开了一种资源配置方法，包括：客户端设备通过组资源主机获取远端服务主机的公钥；利用所述公钥对共享密钥的相关信息进行加密；发送所述相关信息。本发明还公开了另一种资源配置方法、设备及存储介质。

Description

一种资源配置方法、设备及存储介质

技术领域

本发明涉及无线通信技术领域，尤其涉及一种资源配置方法、设备及存储介质。

背景技术

相关技术中，组资源主机(Collection Host，CH)具有访问远端服务节点(Remote Reference Host，RRH)的组资源(Collection)的权限，客户端(Original Client，OC)具有访问CH的Collection的权限。然而，现有的Collection机制并未明确如何配置OC和RRH共享密钥。

发明内容

为解决上述技术问题，本发明实施例提供一种资源配置方法、设备及存储介质，明确了Collection机制下如何对OC和RRC进行资源配置。

第一方面，本发明实施例提供一种资源配置方法，包括：客户端设备通过组资源主机获取远端服务主机的公钥；利用所述公钥对共享密钥的相关信息进行加密；发送所述相关信息。

第二方面，本发明实施例提供一种资源配置方法，包括：远端服务主机接收加密后的共享密钥的相关信息，所述加密后的相关信息由客户端设备经组资源主机发送；对所述加密后的共享密钥的相关信息进行解密，得到共享密钥的相关信息。

第三方面，本发明实施例提供一种资源配置方法，包括：客户端设备接收组资源主机发送的利用远端服务主机的私钥加密后的共享密钥的相关信息；利用所述远端服务主机的私钥对应的公钥对所述加密后的共享密钥的相关信息进行解密，获得共享密钥和客户端标识列表。

第四方面，本发明实施例提供一种资源配置方法，包括：远端服务主机基于查询所述远端服务主机的公钥的请求消息，产生共享密钥；利用远端服务主机的公钥对应的私钥，对共享密钥的相关信息进行加密；发送加密后的共享密钥的相关信息和共享密钥。

第五方面，本发明实施例提供一种客户端设备，所述客户端设备包括：第一处理单元，配置为通过组资源主机获取远端服务主机的公钥，利用所述公钥对共享密钥的相关信息进行加密；

第一发送单元，配置为发送所述相关信息。

第六方面，本发明实施例提供一种远端服务主机，所述远端服务主机包括：

第二接收单元，配置为接收加密后的共享密钥的相关信息，所述加密后的相关信息由客户端设备经组资源主机发送；

第二处理单元，配置为对所述加密后的共享密钥的相关信息进行解密，得到共享密钥的相关信息。

第七方面，本发明实施例提供一种客户端设备，所述客户端设备包括：

第三接收单元，配置为接收组资源主机发送的利用远端服务主机的私钥加密后的共享密钥的相关信息；

第三处理单元，配置为利用所述远端服务主机的私钥对应的公钥对所述加密后的共享密钥的相关信息进行解密，获得共享密钥和客户端标识列表。

第八方面，本发明实施例提供一种远端服务主机，所述远端服务主机包括：

第四处理单元，配置为基于查询所述远端服务主机的公钥的请求消息，产生共享密钥；利用远端服务主机的公钥对应的私钥，对共享密钥的相关信息进行加密；

第三发送单元，配置为发送加密后的共享密钥的相关信息和共享密钥。

第九方面，本发明实施例提供一种客户端设备，包括处理器和用于存储能够在处理器上运行的计算机程序的存储器，其中，所述处理器用于运行所述计算机程序时，执行上述客户端设备执行方法的步骤。

第十方面，本发明实施例提供一种远端服务主机，包括处理器和用于存储能够在处理器上运行的计算机程序的存储器，其中，所述处理器用于运行所述计算机程序时，执行上述远端服务主机执行的方法的步骤。

第十一方面，本发明实施例提供一种存储介质，存储有可执行程序，所述可执行程序被处理器执行时，实现上述客户端设备执行的方法。

第十二方面，本发明实施例提供一种存储介质，存储有可执行程序，所述可执行程序被处理器执行时，实现上述远端服务主机执行的方法。

本发明实施例提供的资源配置方法，包括：客户端设备通过组资源主机获取远端服务主机的公钥；利用所述公钥对共享密钥的相关信息进行加密；发送所述相关信息至远端服务主机和/或另一客户端设备；如此，通过客户端设备生成共享密钥，并将共享密钥发送至远端服务主机和/或另一客户端设备；明确了组资源机制下共享密钥的配置流程。本发明实施例提供的资源配置方法，还包括：远端服务主机基于查询所述远端服务主机的共享密钥的请求消息，产生共享密钥；利用远端服务主机的公钥对应的私钥，对共享密钥的相关信息进行加密；发送加密后的共享密钥的相关信息和共享密钥至客户端设备；如此，通过远端服务主机生成共享密钥，并将共享密钥发送至客户端设备；明确了组资源机制下共享密钥的配置流程。

附图说明

图1为本发明物联网设备的通信架构示意图；

图2为本发明Collection资源示意图Collection资源示意图；

图3为本发明OC请求访问资源的示意图；

图4为本发明物联网设备的协议架构示意图；

图5为本发明实施例提供的应用于客户端设备的资源配置方法的一种可选处理流程示意图；

图6为本发明实施例提供的应用于远端服务主机的资源配置方法的一种可选处理流程示意图；

图7为本发明实施例提供的资源配置方法的一种详细处理流程示意图；

图8为本发明实施例提供的资源配置方法的另一种详细处理流程示意图；

图9为本发明实施例提供的应用于客户端设备的资源配置方法的另一种可选处理流程示意图；

图10为本发明实施例提供的应用于远端服务主机的资源配置方法的另一种可选处理流程示意图；

图11为本发明实施例又一种资源配置方法的详细处理流程示意图；

图12为本发明实施例一种客户端设备的组成结构示意图；

图13为本发明实施例一种远端服务主机的组成结构示意图；

图14为本发明实施例另一种客户端设备的组成结构示意图；

图15为本发明实施例另一种远端服务主机的组成结构示意图；

图16为本发明实施例电子设备的硬件组成结构示意图。

具体实施方式

为了能够更加详尽地了解本发明实施例的特点和技术内容，下面结合附图对本发明实施例的实现进行详细阐述，所附附图仅供参考说明之用，并非用来限定本发明实施例。

在对本发明实施例提供的资源配置方法进行详细说明之前，首先对物联网的相关知识进行简要说明。

开放连接基金会(Open Connectivity Foundation，OCF)采用RESTful架构，通过资源来表述物联网实体设备，以及设备提供的功能服务和设备的状态等信息；其中，提供资源的设备是服务端设备(也称为远端服务主机)，访问资源的设备是客户端设备(也称为客户端)。OCF中定义的客户端设备和服务端设备是逻辑功能实体；每个设备可以是客户端设备，也可以服务端设备，还可以既是客户端设备又是服务端设备。例如，实现某项最基本功能的设备(例如灯泡)可以只做服务端设备，提供给客户端设备进行查询和控制，本身无控制或者查询其他设备的需求。

客户端设备和服务端设备的业务交互是通过对资源进行RESTful操作、创建(Create)、读取(Retrieve)、更新(Update)、删除(Delete)和通知(Notify)等CRUDN操作方法而实现。客户端设备是RESTful操作的发起方，服务端设备是RESTful操作的响应方，客户端设备向服务端设备发送资源操作请求，请求对服务端设备上的资源进行操作，服务端设备执行资源操作，并向客户端设备返回响应，响应中携带资源的内容及描述信息。

物联网设备的通信架构示意图，如图1所示，资源模型层用于对资源进行描述，每个资源对应一个特定的统一资源标识符(Uniform Resource Identifier，URI)，可通过访问资源的URI来访问这个资源；每个资源具有支持Restful操作的相应接口。传输协议层用于传输资源内容及描述信息，通过把资源操作映射到具体的传输协议中，使每个资源的Restful操作转变为实体消息在设备间传递，为设备间的互联互通提供手段。

为表示资源之间的关联关系，OCF定义了资源链接(Link)，OCF服务端设备可以以资源link的形式提供自己所拥有的资源，便于OCF客户端设备发现服务端设备的资源。

为了表示资源之间的引用关系，定义了Link；一个Link由一组定义的参数组成，每个参数均由键值对表示，参数包括Link的上下文URI、目标URI、两者的关系及Link相关的元数据：

(1)anchor：上下文的URI，当anchor隐性化时，其实是表示包含Link的寄主资源(实现Link的资源)，当anchor显性化时一般用于覆盖Link的寄主资源URI，提供非hosting resource URI作为上下文URI，anchor参数值的形式为ocf://<deviceID>，deviceId指示目标资源的宿主设备。

(2)href:目标URI，即Link引用的目标资源，可以是相对路径(引用的资源是本地资源)或绝对路径(引用的资源是远程资源)，href是Link的强制属性。

(3)rel:引用的资源目标URI和上下文URI的关系，当rel隐性化时默认表示“hosts”即目标URI资源由上下文URI资源承载，当rel为”item”表示目标URI资源是collection资源(上下文URI资源)的成员，当rel为”self”表示引用的目标资源是自身。

(4)rt:目标资源的资源类型标识，强制属性。

(5)if:目标资源支持的接口集，强制属性。

(6)p:bitmap指示目标资源是否可发现性、是否可观察。

(7)eps:可以访问目标资源的消息端点(Endpoints)；如IP地址/DNS域名+端口号，如果是DNS域名需要通过DNS解析为IP地址。

在Link参数项中，目标URI、资源类型和接口是强制性的，其他参数是可选的，可以根据不同上下文在Link中使用。

如下所示为资源Link的示例：一层楼有多个房间，房间1中有灯1，这就可以通过Link控制一层楼或一个房间的所有的灯同时被打开或关上。

下面再对Collection资源进行简要描述。Collection资源是包含Links列表的集合资源，在JSON数据表示中，Links列表必须是数组格式，通过属性值“links”表示。通过Collection资源可以将多个资源的链接绑定为一个集合资源，集合资源具有自己的资源类型和接口；在没有定义其他资源类型的情况下，Collection资源默认的资源类型为“oic.wk.col”，默认资源类型需要支持baseline接口“oic.if.baseline”和links list接口“oic.if.ll”，默认接口为links list接口“oic.if.ll”。

Collection的使用场景包括：

1)通过Collection资源对一个IoT设备进行建模，每个单独的功能作为一个Link。

2)多个服务端设备组合为一个Collection，客户端设备可以和Collection资源交互实现和多个服务端设备的通信。

3)在一个集中式设备上管理Collection资源，可以被其他设备访问或控制。

Collection资源示例如下所示，”links”属性的值为数组，每个元素是一个Link。

Collection资源示意图，如图2所示，一个Collection资源包含设备A(light)的开关资源，以及设备B(fan)的开关资源，形成了集中的资源组。客户端设备可以通过访问Collection资源的oic.if.b接口同时请求多个资源，Collection会把请求发送给links中的每一个资源，并收集每个资源返回的响应，集中后统一返回给客户端设备。

OC请求访y问资源的示意图，如图.3所示，CH除了包含对本地资源A的访问控制项(ACE)外，还包含对RRH上资源B的ACE。对于OC发来的Collection请求，CH判断是否与上述ACE匹配；如果匹配，CH将对资源B的请求进行包装，发送到RRH。RRH包含对资源B的访问控制项，允许CH访问资源B。当RRH接收到CH访问资源B的请求时，RRH根据ACE判断执行该请求，并将响应返回CH。CH收集到所有响应后，统一打包发送给OC。

本申请实施例的资源配置方法可以应用于物联网设备，物联网设备的协议架构示意图，如图4所示，包括应用层、服务层、传输层、网络层、连接层和OS平台；其中，连接层支持无线保真(Wireless Fidelity，Wi-Fi)、Thread等多种不同的低层网络，支持受限应用协议(Constrained Application Protocol，CoAP)、遥信消息队列传输(Message Queuing Telemetry Transport，MQTT)协议和超文本传输协议(HyperText Transfer Protocol，HTTP)等主流承载协议。

发明实施例提供的应用于客户端设备的资源配置方法的一种可选处理流程，如图5所示，包括以下步骤：

步骤S101，客户端设备通过组资源主机获取远端服务主机的公钥。

本发明实施例中，客户端设备(OC)创建一个Collection资源，其中包含对另一设备RRH(如light)上资源的link引用；或者OC在现有Collection资源中增加一个link，该link指向另一设备RRH上的资源。CH向RRH发送查询RRH的公钥PUB _RRH证书， CH接收到RRH发送的RRH的公钥PUB _RRH证书后，在RRH的link中添加RRH的公钥PUB _RRH证书。当OC向CH查询Collection资源的Collection资源的links；其中，RRH的link中包括RRH的公钥PUB _RRH证书；OC在RRH的公钥PUB _RRH证书中提取RRH的公钥PUB _RRH。

步骤S102，客户端设备利用所述公钥对共享密钥的相关信息进行加密。

本发明实施例中，所述共享密钥的相关信息包括客户端标识列表(CID)和共享秘钥(Ks)。可选地，所述共享密钥的相关信息除了包括CID和Ks之外，还可以包括所述客户端标识列表中包含的客户端标识的数量以及随机数(Rx)中的至少一项。

其中，所述客户端标识列表至少包括一个客户端标识，所述客户端标识列表包括下述中的至少一项：所述客户端设备的客户端标识，和客户端标识列表中的客户端设备通过组资源主机访问RRH的资源。

在一些实施例中，利用PUB _RRH对CID、Ks、Rx和n进行加密，其中，n为CID中包括的客户端标识的数量。在该场景下，共享秘钥的相关信息包括CID、Ks、Rx和n。因此，OC利用所述公钥对共享密钥的相关信息进行加密之前，需要生成Ks和Rx。在具体实施时，OC可通过随机数生成函数产生Rx，并结合时钟、扰动等物理量以增加所先生的Rx的随机性。

在具体实施时，OC可以为一个客户端标识列表生成一个Ks，或者OC还可以为一个客户端标识生成一个Ks。当OC为一个客户端标识列表生成一个Ks时，一个客户端标识列表内的多个客户端标识对应同一个Ks。当OC为一个客户端标识生成一个Ks时，不同的客户端标识对应不同的Ks，或者部分客户端标识对应相同的Ks。

步骤S103，客户端设备发送所述相关信息。

在一些实施例中，所述客户端设备将所述加密后的共享密钥的相关信息，经组资源主机发送至所述远端服务主机和/或另一客户端设备，所述客户端设备为允许通过组资源主机访问远端服务主机资源的客户端设备。在具体实施时，OC将加密后的共享密钥的相关信息发送给CH，CH再将加密后的共享密钥的相关信息发送给RRH，或者CH将将加密后的共享密钥的相关信息发送给客户端设备；其中，所述客户端设备为允许通过CH访问RRH的客户端设备。

通过本发明上述实施例，明确了在Collection机制下，OC自身配置Ks，并将Ks发送至RRH或其他客户端设备。

在一些实施例中，在执行步骤S103之后，所述方法还包括：

步骤S104，客户端设备接收配置响应消息。

在一些实施例中，所述配置响应消息包括用共享密钥加密随机数得到的密文；所述配置响应消息由所述远端服务主机和/或另一客户端设备经所述组资源主机发送，所述配置响应消息包括用共享密钥加密随机数得到的密文。

在具体实施时，若OC将加密后的共享密钥的相关信息发送给RRH，则OC接收RRH发送的配置响应消息；若OC将加密后的共享密钥的相关信息发送给其他客户端设备，则OC接收其他客户端设备发送的配置响应消息；这里，其他客户端设备可以理解为客户端标识列表中的客户端设备。

步骤S105，客户端设备判断所述远端服务主机和/或另一客户端设备配置共享密钥是否成功。

在具体实施时，OC利用共享密钥对配置响应消息中的密文进行解密得到随机数；解密得到的随机数与自身生成的随机数一致的情况下，所述远端服务主机和/或所述另一客户端设备配置共享密钥成功；解密得到的随机数与自身生成的随机数不一致的情况下，所述远端服务主机和/或所述另一客户端设备配置共享密钥失败。

发明实施例提供的应用于远端服务主机的资源配置方法的一种可选处理流程，如图6所示，包括以下步骤：

步骤S201，远端服务主机接收加密后的共享密钥的相关信息。

本发明实施例中，客户端设备将加密后的共享密钥的相关信息，经组资源主机发送至所述远端服务主机。

其中，针对共享密钥的相关信息的说明，与上述步骤S101相同，这里不再赘述。

步骤S202，远端服务主机对所述加密后的共享密钥的相关信息进行解密，得到共享密钥的相关信息。

在一些实施例中，远端服务主机利用所述远端服务主机的公钥对应的私钥，对所述加密后的共享密钥的相关信息进行解密，得到共享密钥Ks。

在另一些实施例中，远端服务主机查询组资源主机的访问权限，在所述组资源主机具有访问权限的情况下，所述远端服务主机利用所述远端服务主机的公钥对应的私钥，对所述加密后的共享密钥的相关信息进行解密，得到共享密钥Ks。

在步骤S202之后，所述方法还包括：

步骤S203，远端服务主机发送配置响应消息，所述配置响应消息经组资源主机发送至客户端设备。

本发明实施例中，所述配置响应消息包括用共享密钥Ks加密随机数Rx得到的密文。

在步骤S203之后，所述方法还包括：

步骤S204，远端服务主机保存共享密钥。

在一些实施例中，远端服务主机将所述共享密钥的相关信息中的共享密钥，保存在所述共享密钥的相关信息中与所述共享密钥对应的客户端标识列表对应的资源中。

在另一些实施例中，远端服务主机将所述共享密钥的相关信息中的共享密钥，保存在所述共享密钥的相关信息中与所述共享密钥对应的客户端标识对应的资源中。

本发明实施例中，在执行步骤S201之前，所述方法还包括：

步骤S200，远端服务主机接收所述远端服务主机的公钥的请求消息；所述请求消息由接收组资源主机发送，用于所述组资源主机将所述远端服务主机的公钥添加到所述远端服务主机的资源中。

具体的，组资源主机可以在Collection资源的Links中加入一个pubdata属性，用于存放RRH的公钥证书。

下面以OC为一组客户端标识生成一个Ks为例，对本发明实施例提供的资源配置方法的一种详细处理流程进行说明，如图7所示，包括：

步骤S301，OC创建Collection资源，或在Collection资源中增加RRH的资源。

在一些实施例中，Collection资源中包含对另一设备RRH(如light)上资源的link引用；或者OC在现有Collection资源中增加一个link，该link指向另一设备RRH上的资源。

步骤S302，CH向RRH发送请求，查询RRH的公钥PUB _RRH证书。

在一些实施例中，CH发送的请求如下所示：retrieve/oic/sec/cred？credtype＝8。

步骤S303，RRH向CH返回公钥PUB _RRH证书，CH在RRH的链接中添加公钥PUB _RRH证书。

具体的，CH可以在Collection资源的Links中加入一个pubdata属性，用于存放RRH的公钥PUB _RRH证书。

在一些实施例中，CH在RRH的链接中添加公钥PUB _RRH证书如下所示：

该Collection资源中包含2个link，分别指向设备ID为dc70373c-1e8d-4fb3-962e-017eaa863989的灯和设备ID为88b7c7f0-4b51-4e0a-9faa-cfb439fd7f49的风扇。灯的公钥证书为der编码格式，风扇的公钥证书为pem编码格式。

步骤S304，OC产生对称密钥Ks和随机数Rx。

本发明实施例中，OC为一个客户端标识列表中的全部客户端标识产生一个Ks，即一个客户端标识列表中的全部客户端标识对应一个Ks。

步骤S305，OC向CH查询Collection资源。

在一些实施例中，OC向CH查询Collection资源，得到Collection资源的links；其中，RRH的link中含有其公钥PUB _RRH证书。OC可以在公钥PUB _RRH证书中提取RRH的公钥PUB _RRH。

步骤S306，OC计算PUB _RRH(n，[CID],Ks,Rx)。

本发明实施例中，OC利用PUB _RRH对n、[CID]、Ks和Rx进行加密。

其中，CID为客户端标识列表，n为CID中包括的客户端标识的数量，Ks为共享秘钥，Rx为随机数。OC允许CID中的客户端设备通过CH访问RRH的资源。

步骤S307，OC配置Collection资源的ACL，并向CH发送[PUB _RRH([CID],Ks,Rx)]。

具体的，OC配置Collection资源的ACL，并向CH发送[PUB _RRH([CID],Ks,Rx)]，如下所示：

步骤S309，RRH收到请求后，用PUB _RRH对应的私钥解密，得到n，[CID]、Ks和Rx。

步骤S310，RRH保存Ks，并与[CID]关联。

在一些实施例中，RRH将Ks保存在[CID]对应的/oic/sec/cred资源中。

步骤S311，RRH返回配置成功响应。

在一些实施例中，配置成功响应中包含用Ks加密Rx得到的密文，经CH返回给OC。

步骤S312，OC用Ks解密密文得到Rx，并验证Rx配置是否得到成功执行。

在具体实施时，OC利用Ks解密密文得到Rx，OC比较利用解密得到的Rx与自己生成的Rx是否一致，利用解密得到的Rx与自己生成的Rx一致时，确认配置得到成功执行；利用解密得到的Rx与自己生成的Rx不一致时，确认配置未得到成功执行。

下面再以OC为一个客户端标识生成一个Ks为例，对本发明实施例提供的资源配置方法的另一种详细处理流程进行说明，如图8所示，包括：

步骤S401，OC创建Collection资源，或在Collection资源中增加RRH的资源。

步骤S402，CH向RRH发送请求，查询RRH的公钥PUB _RRH证书。

步骤S403，RRH向CH返回公钥PUB _RRH证书，CH在RRH的链接中添加公钥PUB _RRH证书。

需要说明的是，步骤S401-S403执行的操作与上述实施例中步骤S301-S303执行的操作相同，这里不再赘述。

步骤S404，OC产生随机数Rx。

步骤S405，OC向CH查询Collection资源。

需要说明的是，步骤S405执行的操作与上述实施例中步骤S305执行的操作相同，这里不再赘述。

步骤S406，OC对允许通过CH访问RRH的资源的每一客户端设备，分别产生相应的对称密钥Ks，计算PUB _RRH(n，CID,Ks,Rx)，得到一组加密密文的列表[PUB _RRH(n，[CID],Ks,Rx)]。

本发明实施例中，OC利用PUB _RRH对n、[CID]、Ks和Rx进行加密。

步骤S407，OC配置Collection资源的ACL，并向CH发送[PUB _RRH([CID],Ks,Rx)]。

其中，OC配置Collection资源的ACL，可通过如下实现：

步骤S408，CH设置OC的权限。

步骤S409，OC经CH向RRH发送批处理请求[n，PUB _RRH(CID,Ks,Rx)]。

其中，OC经CH向RRH发送批处理请求可通过如下实现：

步骤S410，RRH收到请求后，检查CH的访问权限、

步骤S411，当CH的访问权限检查通过后，RRH用PUB _RRH对应的私钥对请求中携带的密文进行解密，得到一组[n，CID,Ks]和Rx。

步骤S412，RRH保存Ks，并与[CID]关联。

在一些实施例中，RRH将一组Ks保存在相应CID为subject的/oic/sec/cred资源中，其中包含OC对应的密钥Ks_oc。

步骤S413，RRH经CH向OC返回配置成功的响应，响应中包含用Ks_oc加密Rx得到的密文。

步骤S414，OC用Ks解密密文得到Rx，并验证Rx配置是否得到成功执行。

需要说明的是，步骤S407-S409执行的操作与上述实施例中步骤S307-309执行的操作相同，S411-S414执行的操作与上述实施例中步骤S311-314执行的操作相同这里不再赘述。

本发明实施例提供的应用于客户端设备的资源配置方法的另一种可选处理流程，如图9所示，包括以下步骤：

步骤S501，客户端设备接收组资源主机发送的利用远端服务主机的私钥加密后的共享密钥的相关信息。

在一些实施例中，远端服务主机利用自身的私钥加密共享密钥的相关信息，所述私钥与远端服务主机的公钥一一对应；远端服务主机将加密后的共享密钥的相关信息发送至组资源主机，组资源主机再将加密后的共享密钥的相关信息转发至客户端设备。

步骤S502，客户端设备利用所述远端服务主机的私钥对应的公钥对所述加密后的共享密钥的相关信息进行解密，获得共享密钥和客户端标识列表。

本发明实施例中，在步骤S502之后，所述方法还包括：

步骤S503，客户端设备保存解密获得的共享密钥。

具体的，在所述客户端设备解密获得的客户端标识列表与所述客户端设备发送至所述组资源主机的客户端标识列表一致、且所述客户端设备解密获得的共享密钥与所述客户端设备接收到的共享密钥一致的情况下，所述客户端设备保存解密获得的共享密钥。

本发明实施例中，共享密钥的相关信息至少包括：客户端标识列表和共享密钥；其中，所述客户端标识列表至少包括一个客户端标识。或者，共享密钥的相关信息包括客户端标识列表和共享密钥的基础上，还包括所述客户端标识列表中包含的客户端标识的数量和随机数中的至少一项。

本发明实施例提供的应用于远端服务主机的资源配置方法的另一种可选处理流程，如图10所示，包括以下步骤：

步骤S601，远端服务主机基于查询所述远端服务主机的公钥的请求消息，产生共享密钥。

本发明实施例中，远端服务主机接收组资源主机发送的查询远端服务主机的公钥的请求消息；远端服务主机基于所述请求消息，产生共享密钥。

步骤S602，远端服务主机利用远端服务主机的公钥对应的私钥，对共享密钥的相关信息进行加密。

步骤S603，远端服务主机发送加密后的共享密钥的相关信息和共享密钥。

本发明实施例中，远端服务主机将加密后的共享密钥的相关信息和共享密钥，经组资源主机发送至客户端设备。

通过本发明图9和图10所示的实施例中，明确了在Collection机制下，RRH配置Ks，并将Ks发送至OC。可选地，OC还可以将Ks发送至客户端标识列表中的客户端设备。

下面以RRH生成共享密钥为例，对又一种资源配置方法的详细处理流程进行说明，如图11所示：

步骤S801，OC创建Collection资源，或在Collection资源中增加RRH的资源。

步骤S802，CH向RRH发送请求，查询RRH的公钥PUB _RRH证书。

步骤S803，RRH向CH返回公钥PUB _RRH证书，CH在RRH的链接中添加公钥PUB _RRH证书。

需要说明的是，步骤S801-S803执行的操作与上述实施例中步骤S301-S303执行的操作相同，这里不再赘述。

步骤S804，OC向CH查询Collection资源。

步骤S805，OC配置Collection资源的ACL，ACL中带有可通过Collection资源访问RRH的一个客户端标识列表。

在具体实施时，OC可通过如下实现：

步骤S806，CH设置OC权限，并以[CID]为参数向RRH请求共享密钥。

具体的，CH可通过下述向RRH请求共享密钥：

retrieve/signedkey？subject＝[CID]。

步骤S807，RRH产生[CID]对应的共享密钥Ks。

步骤S808，RRH将Ks保存在[CID]对应的/oic/sec/cred资源中。

步骤S809，RRH用PUB _RRH对应的私钥加密[CID]和Ks，得到密文SIG _RRH([CID],Ks)，并向CH返回响应，响应中包含Ks和密文SIG _RRH([CID],Ks)。

步骤S810，CH收到响应后，将Ks和密文SIG _RRH([CID],Ks)返回OC。

步骤S811，OC用PUB _RRH解密SIG _RRH([CID],Ks)得到[CID]和Ks，OC将[CID]与自身发出的[CID]比较，将解密得到的Ks与接收到的Ks比较一致后，保存Ks。

在一些实施例中，OC还可以将Ks配置给[CID]中相应的客户端设备。

为实现上述资源配置方法，本发明实施例还提供一种客户端设备，客户端设备900的组成结构，如图12所示，包括：

第一处理单元901，配置为通过组资源主机获取远端服务主机的公钥，利用所述公钥对共享密钥的相关信息进行加密；

第一发送单元902，配置为发送所述相关信息。

本发明实施例中，共享密钥的相关信息至少包括：客户端标识列表和共享密钥；其中，所述客户端标识列表至少包括一个客户端标识。

在一些实施例中，所述共享密钥的相关信息除了客户端标识列表和共享密钥以外，还包括：所述客户端标识列表中包含的客户端标识的数量，和/或随机数。

在一些实施例中，所述客户端标识列表包括下述中的至少一项：所述客户端设备的客户端标识，和客户端标识列表中的客户端通过组资源主机访问远端服务主机的资源。

本发明实施例中，所述第一处理单元901，还配置为生成共享密钥和/或随机数。

在一些实施例中，所述第一处理单元901，配置为为客户端标识列表中所有的客户端设备生成一个共享密钥。

在另一些实施例中，所述第一处理单元901，配置为为每个客户端设备生成一个与所述客户端设备对应的共享密钥。

本发明实施例中，所述第一发送单元902，配置为将所述加密后的共享密钥的相关信息，经组资源主机发送至所述远端服务主机和/或另一客户端设备，所述另一客户端设备为允许通过组资源主机访问远端服务主机资源的客户端设备。

本发明实施例中，所述客户端设备还包括：第一接收单元903，配置为接收配置响应消息；所述配置响应消息由所述远端服务主机和/或所述另一客户端设备经所述组资源主机发送，所述配置响应消息包括用共享密钥加密随机数得到的密文。

本发明实施例中，所述第一处理单元901，还配置为判断所述远端服务主机和/或所述另一客户端设备配置共享密钥是否成功。

本发明实施例中，所述第一处理单元901，还配置为利用共享密钥对所述密文进行解密得到随机数；

解密得到的随机数与自身生成的随机数一致的情况下，所述远端服务主机和/或所述另一客户端设备配置共享密钥成功；

解密得到的随机数与自身生成的随机数不一致的情况下，所述远端服务主机和/或所述另一客户端设备配置共享密钥失败。

本发明实施例中，所述共享密钥对应一个客户端标识列表，所述客户端标识列表包括至少两个客户端标识；或者，所述共享密钥对应一个客户端标识。

为实现上述资源配置方法，本发明实施例还提供一种远端服务主机，远端服务主机1000的组成结构，如图13所示，包括：

第二接收单元1001，配置为接收加密后的共享密钥的相关信息，所述加密后的共享密钥的相关信息由客户端设备经组资源主机发送；

第二处理单元1002，配置为对所述加密后的共享密钥的相关信息进行解密，得到共享密钥的相关信息。

本发明实施例中，所述第二处理单元1002，配置为利用所述远端服务主机的公钥对应的私钥，对所述加密后的共享密钥的相关信息进行解密。

本发明实施例中，所述第二处理单元1002，配置为查询组资源主机的访问权限；

在所述组资源主机具有访问权限的情况下，利用所述远端服务主机的公钥对应的私钥，对所述加密后的共享密钥的相关信息进行解密。

本发明实施例中，所述远端服务主机还包括：第二发送单元1003，配置为发送配置响应消息，所述配置响应消息经组资源主机发送至客户端设备；所述配置响应消息包括用共享密钥加密随机数得到的密文。

本发明实施例中，所述远端服务主机还包括：第一存储单元1004，配置为将所述共享密钥的相关信息中的共享密钥，保存在所述共享密钥的相关信息中与所述共享密钥对应的客户端标识列表对应的资源中。

本发明实施例中，所述远端服务主机还包括：第二存储单元1005，配置为将所述共享密钥的相关信息中的共享密钥，保存在所述共享密钥的相关信息中与所述共享密钥对应的客户端标识对应的资源中。

本发明实施例中，所述第二接收单元1001，还配置为接收所述远端服务主机的公钥的请求消息；所述请求消息由接收组资源主机发送，用于所述组资源主机将所述远端服务主机的公钥添加到所述远端服务主机的资源中。

本发明实施例中，所述共享密钥的相关信息至少包括：客户端标识列表和共享密钥；其中，所述客户端标识列表至少包括一个客户端标识。或者，所述共享密钥的相关信息除了包括客户端标识列表和共享密钥之外，还包括：所述客户端标识列表中包含的客户端标识的数量，和/或随机数。

本发明实施例中，所述客户端标识列表包括下述中的至少一项：所述客户端设备的客户端标识，和客户端标识列表中的客户端通过组资源主机访问远端服务主机的资源。

为实现上述资源配置方法，本发明实施例还提供另一种客户端设备，客户端设备1100的组成结构，如图14所示，包括：

第三接收单元1101，配置为接收组资源主机发送的利用远端服务主机的私钥加密后的共享密钥的相关信息；

第三处理单元1102，配置为利用所述远端服务主机的私钥对应的公钥对所述加密后的共享密钥的相关信息进行解密，获得共享密钥和客户端标识列表。

本发明实施例中，所述加密后的共享密钥的相关信息由所述远端服务主机发送至所述组资源主机。

本发明实施例中，所述客户端设备1100还包括：

第三存储单元1103，配置为所述第三处理单元解密获得的客户端标识列表与所述客户端设备发送至所述组资源主机的客户端标识列表一致、且所述客户端设备解密获得的共享密钥与所述客户端设备接收到的共享密钥一致的情况下，保存解密获得的共享密钥。

本发明实施例中，所述客户端标识列表包括下述中的至少一项：所述客户端设备的客户端标识，和客户端标识列表中的客户端设备通过组资源主机访问远端服务主机的资源。

为实现上述资源配置方法，本发明实施例还提供另一种远端服务主机，远端服务主机1200的组成结构，如图15所示，包括：

第四处理单元1201，配置为基于查询所述远端服务主机的共享密钥的请求消息，产生共享密钥；利用远端服务主机的公钥对应的私钥，对共享密钥的相关信息进行加密；

第三发送单元1202，配置为发送加密后的共享密钥的相关信息和共享密钥。

本发明实施例中，所述第三发送单元1202，配置为将加密后的共享密钥的相关信息和共享密钥，经组资源主机发送至客户端设备。

本发明实施例还提供一种客户端设备，包括处理器和用于存储能够在处理器上运行的计算机程序的存储器，其中，所述处理器用于运行所述计算机程序时，执行上述客户端设备执行的资源配置方法的步骤。

本发明实施例还提供一种远端服务主机，包括处理器和用于存储能够在处理器上运行的计算机程序的存储器，其中，所述处理器用于运行所述计算机程序时，执行上述远端服务主机执行的资源配置方法的步骤。

图16是本发明实施例的电子设备(客户端设备和远端服务主机)的硬件组成结构示意图，电子设备700包括：至少一个处理器701、存储器702和至少一个网络接口704。电子设备700中的各个组件通过总线系统705耦合在一起。可理解，总线系统705用于实现这些组件之间的连接通信。总线系统705除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图16中将各种总线都标为总线系统705。

可以理解，存储器702可以是易失性存储器或非易失性存储器，也可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是ROM、可编程只读存储器(PROM，Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM，Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM，Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM，ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM，Compact Disc Read-Only Memory)；磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM，Random Access Memory)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(SRAM，Static Random Access Memory)、同步静态随机存取存储器(SSRAM，Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM，Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM，Synchronous Dynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM，Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM，Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM，SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM，Direct Rambus Random Access Memory)。本发明实施例描述的存储器702旨在包括但不限于这些和任意其它适合类型的存储器。

本发明实施例中的存储器702用于存储各种类型的数据以支持电子设备700的操作。这些数据的示例包括：用于在电子设备700上操作的任何计算机程序，如应用程序7022。实现本发明实施例方法的程序可以包含在应用程序7022中。

上述本发明实施例揭示的方法可以应用于处理器701中，或者由处理器701实现。处理器701可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器701中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器701可以是通用处理器、数字信号处理器(DSP，Digital Signal Processor)，或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器701可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤，可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中，该存储介质位于存储器702，处理器701读取存储器702中的信息，结合其硬件完成前述方法的步骤。

在示例性实施例中，电子设备700可以被一个或多个应用专用集成电路(ASIC，Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD，Programmable Logic Device)、复杂可编程逻辑器件(CPLD，Complex Programmable Logic Device)、FPGA、通用处理器、控制器、MCU、MPU、或其他电子元件实现，用于执行前述方法。

本申请实施例还提供了一种存储介质，用于存储计算机程序。

可选的，该存储介质可应用于本申请实施例中的客户端设备，并且该计算机程序使得计算机执行本申请实施例的各个方法中的相应流程，为了简洁，在此不再赘述。

可选的，该存储介质可应用于本申请实施例中的远端服务主机，并且该计算机程序使得计算机执行本申请实施例的各个方法中的相应流程，为了简洁，在此不再赘述。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims

一种资源配置方法，所述方法包括：

客户端设备通过组资源主机获取远端服务主机的公钥；

利用所述公钥对共享密钥的相关信息进行加密；

发送加密后的所述相关信息。
根据权利要求1所述的方法，其中，所述共享密钥的相关信息至少包括：

客户端标识列表和共享密钥；

所述客户端标识列表至少包括一个客户端标识。
根据权利要求2所述的方法，其中，所述共享密钥的相关信息还包括：

所述客户端标识列表中包含的客户端标识的数量，和/或随机数。
根据权利要求2或3所述的方法，其中，所述客户端标识列表包括下述中的至少一项：

所述客户端设备的客户端标识；

所述客户端标识列表中的客户端设备，通过组资源主机访问远端服务主机的资源。
根据权利要求1至4任一项所述的方法，其中，所述方法还包括：

所述客户端设备生成共享密钥和/或随机数。
根据权利要求5所述的方法，其中，所述客户端设备生成共享密钥，包括：

所述客户端设备为客户端标识列表中所有的客户端生成一个共享密钥。
根据权利要求5所述的方法，其中，所述客户端设备生成共享密钥，包括：

所述客户端设备为每个客户端设备生成一个与所述客户端设备对应的共享密钥。
根据权利要求1至7任一项所述的方法，其中，所述发送加密后的所述相关信息，包括：

所述客户端设备将所述加密后的共享密钥的相关信息，经组资源主机发送至所述远端服务主机和/或另一客户端设备，所述另一客户端设备为允许通过组资源主机访问远端服务主机资源的客户端设备。
根据权利要求1至8任一项所述的方法，其中，所述方法还包括：

所述客户端设备接收配置响应消息；

所述配置响应消息由所述远端服务主机和/或另一所述客户端设备经所述组资源主机发送，所述配置响应消息包括用共享密钥加密随机数得到的密文。
根据权利要求9所述的方法，其中，所述方法还包括：

所述客户端设备判断所述远端服务主机和/或另一客户端设备配置共享密钥是否成功。
根据权利要求10所述的方法，其中，所述客户端设备判断所述远端服务主机和/或另一客户端设备配置共享密钥是否成功，包括：

所述客户端设备利用共享密钥对所述密文进行解密得到随机数；

解密得到的随机数与自身生成的随机数一致的情况下，所述远端服务主机和/或所述另一客户端设备配置共享密钥成功；

解密得到的随机数与自身生成的随机数不一致的情况下，所述远端服务主机和/或所述另一客户端设备配置共享密钥失败。
根据权利要求2至10任一项所述的方法，其中，所述共享密钥对应一个客户端标识列表，所述客户端标识列表包括至少两个客户端标识；

或者，所述共享密钥对应一个客户端标识。
一种资源配置方法，所述方法包括：

远端服务主机接收加密后的共享密钥的相关信息，所述加密后的共享密钥的相关信息由客户端设备经组资源主机发送；

对所述加密后的共享密钥的相关信息进行解密，得到共享密钥的相关信息。
根据权利要求13所述的方法，其中，所述对所述加密后的共享密钥的相关信息进行解密，包括：

所述远端服务主机利用所述远端服务主机的公钥对应的私钥，对所述加密后的共享密钥的相关信息进行解密。
根据权利要求13所述的方法，其中，所述对所述加密后的共享密钥的相关信息进行解密，包括：

所述远端服务主机查询组资源主机的访问权限；

在所述组资源主机具有访问权限的情况下，所述远端服务主机利用所述远端服务主机的公钥对应的私钥，对所述加密后的共享密钥的相关信息进行解密。
根据权利要求13至15任一项所述的方法，其中，所述方法还包括：

所述远端服务主机发送配置响应消息，所述配置响应消息经组资源主机发送至客户端设备；

所述配置响应消息包括用共享密钥加密随机数得到的密文。
根据权利要求13至16任一项所述的方法，其中，所述方法还包括：

所述远端服务主机将所述共享密钥的相关信息中的共享密钥，保存在所述共享密钥的相关信息中与所述共享密钥对应的客户端标识列表对应的资源中。
根据权利要求13至16任一项所述的方法，其中，所述方法还包括：

所述远端服务主机将所述共享密钥的相关信息中的共享密钥，保存在所述共享密钥的相关信息中与所述共享密钥对应的客户端标识对应的资源中。
根据权利要求13至18任一项所述的方法，其中，所述方法还包括：

所述远端服务主机接收所述远端服务主机的公钥的请求消息；所述请求消息由接收组资源主机发送，用于所述组资源主机将所述远端服务主机的公钥添加到所述远端服务主机的资源中。
根据权利要求13至19任一项所述的方法，其中，所述共享密钥的相关信息至少包括：

客户端标识列表和共享密钥；

所述客户端标识列表至少包括一个客户端标识。
根据权利要求20所述的方法，其中，所述共享密钥的相关信息还包括：

所述客户端标识列表中包含的客户端标识的数量，和/或随机数。
根据权利要求20或21所述的方法，其中，所述客户端标识列表包括下述中的至少一项：

所述客户端设备的客户端标识；

客户端标识列表中的客户端设备，通过组资源主机访问远端服务主机的资源。
一种资源配置方法，所述方法包括：

客户端设备接收组资源主机发送的利用远端服务主机的私钥加密后的共享密钥的相关信息；

利用所述远端服务主机的私钥对应的公钥对所述加密后的共享密钥的相关信息进行解密，获得共享密钥和客户端标识列表。
根据权利要求23所述的方法，其中，所述加密后的共享密钥的相关信息由所述远端服务主机发送至所述组资源主机。
根据权利要求23或24所述的方法，其中，所述方法还包括：

所述客户端设备解密获得的客户端标识列表与所述客户端设备发送至所述组资源主机的客户端标识列表一致、且所述客户端设备解密获得的共享密钥与所述客户端设备接收到的共享密钥一致的情况下，所述客户端设备保存解密获得的共享密钥。
根据权利要求23至25任一项所述的方法，其中，所述共享密钥的相关信息至少包括：

客户端标识列表和共享密钥；

所述客户端标识列表至少包括一个客户端标识。
根据权利要求26所述的方法，其中，所述共享密钥的相关信息还包括：

所述客户端标识列表中包含的客户端标识的数量，和/或随机数。
根据权利要求26或27所述的方法，其中，所述客户端标识列表包括下述中的至少一项：

所述客户端设备的客户端标识；

客户端标识列表中的客户端设备，通过组资源主机访问远端服务主机的资源。
一种资源配置方法，所述方法包括：

远端服务主机基于查询所述远端服务主机的共享密钥的请求消息，产生共享密钥；

利用远端服务主机的公钥对应的私钥，对共享密钥的相关信息进行加密；

发送加密后的共享密钥的相关信息和共享密钥。
根据权利要求29所述的方法，其中，所述发送加密后的共享密钥的相关信息和共享密钥，包括：

所述远端服务主机将加密后的共享密钥的相关信息和共享密钥，经组资源主机发送至客户端设备。
根据权利要求29或30所述的方法，其中，所述共享密钥的相关信息至少包括：

客户端标识列表和共享密钥；

所述客户端标识列表至少包括一个客户端标识。
根据权利要求31所述的方法，其中，所述共享密钥的相关信息还包括：

所述客户端标识列表中包含的客户端标识的数量，和/或随机数。
根据权利要求31或32所述的方法，其中，所述客户端标识列表包括下述中的至少一项：

所述客户端设备的客户端标识；

客户端标识列表中的客户端设备，通过组资源主机访问远端服务主机的资源。
一种客户端设备，所述客户端设备包括：

第一处理单元，配置为通过组资源主机获取远端服务主机的公钥，利用所述公钥对共享密钥的相关信息进行加密；

第一发送单元，配置为发送加密后的所述相关信息。
根据权利要求34所述的客户端设备，其中，共享密钥的相关信息至少包括：

客户端标识列表和共享密钥；

所述客户端标识列表至少包括一个客户端标识。
根据权利要求35所述的客户端设备，其中，所述共享密钥的相关信息还包括：

所述客户端标识列表中包含的客户端标识的数量，和/或随机数。
根据权利要求35或36所述的客户端设备，其中，所述客户端标识列表包括下述中的至少一项：

所述客户端设备的客户端标识；

客户端标识列表中的客户端设备，通过组资源主机访问远端服务主机的资源。
根据权利要求34至37任一项所述的客户端设备，其中，所述第一处理单元，还配置为生成共享密钥和/或随机数。
根据权利要求38所述的客户端设备，其中，所述第一处理单元，配置为为客户端标识列表中所有的客户端设备生成一个共享密钥。
根据权利要求38所述的客户端设备，其中，所述第一处理单元，配置为为每个客户端生成一个与所述客户端设备对应的共享密钥。
根据权利要求34至40任一项所述的客户端设备，其中，所述第一发送单元，配置为将所述加密后的共享密钥的相关信息，经组资源主机发送至所述远端服务主机和/或另一客户端设备，所述另一客户端设备为允许通过组资源主机访问远端服务主机资源的客户端设备。
根据权利要求34至41任一项所述的客户端设备，其中，所述客户端设备还包括：

第一接收单元，配置为接收配置响应消息；

所述配置响应消息由所述远端服务主机和/或另一客户端设备经所述组资源主机发送，所述配置响应消息包括用共享密钥加密随机数得到的密文。
根据权利要求42所述的客户端设备，其中，所述第一处理单元，还配置为判断所述远端服务主机和/或所述另一客户端设备配置共享密钥是否成功。
根据权利要求43所述的客户端设备，其中，所述第一处理单元，还配置为利用共享密钥对所述密文进行解密得到随机数；

解密得到的随机数与自身生成的随机数一致的情况下，所述远端服务主机和/或所述另一客户端设备配置共享密钥成功；

解密得到的随机数与自身生成的随机数不一致的情况下，所述远端服务主机和/或所述另一客户端设备配置共享密钥失败。
根据权利要求35至44任一项所述的客户端设备，其中，所述共享密钥对应一个客户端标识列表，所述客户端标识列表包括至少两个客户端标识；

或者，所述共享密钥对应一个客户端标识。
一种远端服务主机，所述远端服务主机包括：

第二接收单元，配置为接收加密后的共享密钥的相关信息，所述加密后的共享密钥的相关信息由客户端设备经组资源主机发送；

第二处理单元，配置为对所述加密后的共享密钥的相关信息进行解密，得到共享密钥的相关信息。
根据权利要求46所述的远端服务主机，其中，所述第二处理单元，配置为利用所述远端服务主机的公钥对应的私钥，对所述加密后的共享密钥的相关信息进行解密。
根据权利要求46所述的远端服务主机，其中，所述第二处理单元，配置为查询组资源主机的访问权限；

在所述组资源主机具有访问权限的情况下，利用所述远端服务主机的公钥对应的私钥，对所述加密后的共享密钥的相关信息进行解密。
根据权利要求46至48任一项所述的远端服务主机，其中，所述远端服务主机还包括：

第二发送单元，配置为发送配置响应消息，所述配置响应消息经组资源主机发送至客户端设备；

所述配置响应消息包括用共享密钥加密随机数得到的密文。
根据权利要求46至49任一项所述的远端服务主机，其中，所述远端服务主机还包括：

第一存储单元，配置为将所述共享密钥的相关信息中的共享密钥，保存在所述共享密钥的相关信息中与所述共享密钥对应的客户端标识列表对应的资源中。
根据权利要求46至49任一项所述的远端服务主机，其中，所述远端服务主机还包括：

第二存储单元，配置为将所述共享密钥的相关信息中的共享密钥，保存在所述共享密钥的相关信息中与所述共享密钥对应的客户端标识对应的资源中。
根据权利要求46至51任一项所述的远端服务主机，其中，所述第二接收单元，还配置为接收所述远端服务主机的公钥的请求消息；所述请求消息由接收组资源主机发送，用于所述组资源主机将所述远端服务主机的公钥添加到所述远端服务主机的资源中。
根据权利要求46至52任一项所述的远端服务主机，其中，所述共享密钥的相关信息至少包括：

客户端标识列表和共享密钥；

所述客户端标识列表至少包括一个客户端标识。
根据权利要求53所述的远端服务主机，其中，所述共享密钥的相关信息还包括：

所述客户端标识列表中包含的客户端标识的数量，和/或随机数。
根据权利要求53或54所述的远端服务主机，其中，所述客户端标识列表包括下述中的至少一项：

所述客户端设备的客户端标识；

客户端标识列表中的客户端设备通过组资源主机访问远端服务主机的资源。
一种客户端设备，所述客户端设备包括：

第三接收单元，配置为接收组资源主机发送的利用远端服务主机的私钥加密后的共享密钥的相关信息；

第三处理单元，配置为利用所述远端服务主机的私钥对应的公钥对所述加密后的共享密钥的相关信息进行解密，获得共享密钥和客户端标识列表。
根据权利要求56所述的客户端设备，其中，所述加密后的共享密钥的相关信息由所述远端服务主机发送至所述组资源主机。
根据权利要求56或57所述的客户端设备，其中，所述客户端设备还包括：

第三存储单元，配置为所述第三处理单元解密获得的客户端标识列表与所述客户端设备发送至所述组资源主机的客户端标识列表一致、且所述客户端设备解密获得的共享密钥与所述客户端设备接收到的共享密钥一致的情况下，保存解密获得的共享密钥。
根据权利要求56至58任一项所述的客户端设备，其中，所述共享密钥的相关信息至少包括：

客户端标识列表和共享密钥；

所述客户端标识列表至少包括一个客户端标识。
根据权利要求59所述的客户端设备，其中，所述共享密钥的相关信息还包括：

所述客户端标识列表中包含的客户端标识的数量，和/或随机数。
根据权利要求59或60所述的客户端设备，其中，所述客户端标识列表包括下述中的至少一项：

所述客户端设备的客户端标识；

客户端标识列表中的客户端设备，通过组资源主机访问远端服务主机的资源。
一种远端服务主机，所述远端服务主机包括：

第四处理单元，配置为基于查询所述远端服务主机的共享密钥的请求消息，产生共享密钥；利用远端服务主机的公钥对应的私钥，对共享密钥的相关信息进行加密；

第三发送单元，配置为发送加密后的共享密钥的相关信息和共享密钥。
根据权利要求62所述的远端服务主机，其中，所述第三发送单元，配置为将加密后的共享密钥的相关信息和共享密钥，经组资源主机发送至客户端设备。
根据权利要求62或63所述的远端服务主机，其中，所述共享密钥的相关信息至少包括：

客户端标识列表和共享密钥；

所述客户端标识列表至少包括一个客户端标识。
根据权利要求64所述的远端服务主机，其中，所述共享密钥的相关信息还包括：

所述客户端标识列表中包含的客户端标识的数量，和/或随机数。
根据权利要求64或65所述的远端服务主机，其中，所述客户端标识列表包括下述中的至少一项：

所述客户端设备的客户端标识；

客户端标识列表中的客户端设备，通过组资源主机访问远端服务主机的资源。
一种客户端设备，包括处理器和用于存储能够在处理器上运行的计算机程序的存储器，其中，

所述处理器用于运行所述计算机程序时，执行权利要求1至12任一项所述的方法的步骤。
一种远端服务主机，包括处理器和用于存储能够在处理器上运行的计算机程序的存储器，其中，

所述处理器用于运行所述计算机程序时，执行权利要求13至22任一项所述的方法的步骤。
一种客户端设备，包括处理器和用于存储能够在处理器上运行的计算机程序的存储器，其中，

所述处理器用于运行所述计算机程序时，执行权利要求23至28任一项所述的方法的步骤。
一种远端服务主机，包括处理器和用于存储能够在处理器上运行的计算机程序的存储器，其中，

所述处理器用于运行所述计算机程序时，执行权利要求29至33任一项所述的方法的步骤。
一种存储介质，存储有可执行程序，所述可执行程序被处理器执行时，实现权利要求1至12任一项所述的方法。
一种存储介质，存储有可执行程序，所述可执行程序被处理器执行时，实现权利要求13至22任一项所述的方法。
一种存储介质，存储有可执行程序，所述可执行程序被处理器执行时，实现权利要求23至28任一项所述的方法。
一种存储介质，存储有可执行程序，所述可执行程序被处理器执行时，实现权利要求29至33任一项所述的方法。