WO2022094936A1

WO2022094936A1 - 接入方法、设备和云平台设备

Info

Publication number: WO2022094936A1
Application number: PCT/CN2020/127163
Authority: WO
Inventors: 罗朝明; 茹昭; 包永明
Original assignee: Oppo广东移动通信有限公司
Priority date: 2020-11-06
Filing date: 2020-11-06
Publication date: 2022-05-12
Also published as: CN116097614A8; CN116097614A

Abstract

本申请实施例涉及接入方法、设备和云平台设备，其中方法包括，第一设备获取接入密钥的密文和第二随机数，其中，接入密钥的密文由接入密钥、第一随机数、第二随机数及第一密钥生成；第一设备利用接入密钥的密文、第二随机数、第一随机数和第一密钥，生成接入密钥；第一设备采用接入密钥接入第一云平台。本申请实施例可以提升接入云平台的安全性，并降低通讯复杂度。

Description

接入方法、设备和云平台设备

技术领域

本申请涉及通信领域，并且更具体地，涉及接入方法、设备和云平台设备。

背景技术

在soft AP(软接入点)配网方式中，Wi-Fi设备可以开启由软件实现的服务接入点，该设备的硬件部分可以包括一块标准的无线网卡，但其通过驱动程序使其提供与AP一样的信号转接、路由等功能，广播信标(Beacon)数据。接入设备(例如手机)可以开启扫描，接收该Beacon数据。接入设备可以通过Wi-Fi协议连接到该soft AP并与该Wi-Fi设备进行通信，将家庭Wi-Fi网络的SSID和密码设置给该Wi-Fi设备，Wi-Fi设备将使用家庭Wi-Fi网络的SSID和密码与家庭Wi-Fi网络的AP建立连接。

在跨厂商设备接入的情形下(即智能设备所属生产厂商和智能设备接入的服务厂商不一致)，应用终端有根证书的情况下，应用终端连接接入云平台时只是对接入云平台进行了验证，接入云平台没有对应用终端进行验证，可能存在仿冒的应用终端连接到了接入云平台。在应用终端没有根证书的情况下，应用终端连接接入云平台时，可能存在仿冒的配网设备截取合法的共享密钥(PSK，pre-shared key)后将仿冒的应用终端配置入网从而接入到了手机云平台。这些都造成了应用终端无法安全地连接接入云平台。并且，应用终端每次连接接入云平台时都需要使用密钥(license)通过设备云平台进行双向认证，步骤繁琐。

发明内容

本申请实施例提供接入方法、设备和云平台设备，可以提升设备接入云平台的安全性，并降低通讯复杂度。

本申请实施例提出一种接入方法，包括：

第一设备获取接入密钥的密文和第二随机数，其中，接入密钥的密文由接入密钥、第一随机数、第二随机数及第一密钥生成；

第一设备利用接入密钥的密文、第二随机数、第一随机数和第一密钥，生成接入密钥；

第一设备采用接入密钥接入第一云平台。

本申请实施例还提出一种接入方法，包括：

第一云平台为第一设备分配接入密钥和第二随机数；

第一云平台将第二随机数及第一设备的第一随机数发送至第二云平台；

第一云平台从第二云平台接收第二密钥，第二密钥由第一随机数、第二随机数及第一密钥生成；

第一云平台采用第二密钥对接入密钥加密，得到接入密钥的密文；

第一云平台发送接入密钥的密文及第二随机数。

本申请实施例还提出一种接入方法，包括：

第二云平台接收第一随机数和第二随机数；

第二云平台利用第一随机数、第二随机数和第一密钥，生成第二密钥；

第二云平台将第二密钥发送至第一云平台。

本申请实施例还提出一种接入方法，包括：

第二设备接收第一设备的接入密钥的密文和第二随机数，其中，第一设备的接入密钥的密文由第一设备的接入密钥、第一随机数、第二随机数及第一密钥生成；

第二设备向第一设备提供接入密钥的密文和第二随机数。

本申请实施例还提出一种设备，包括：

获取模块，用于获取接入密钥的密文和第二随机数，其中，接入密钥的密文由接入密钥、第一随机数、第二随机数及第一密钥生成；

生成模块，用于利用接入密钥的密文、第二随机数、第一随机数和第一密钥，生成接入密钥；

接入模块，用于备采用接入密钥接入第一云平台。

本申请实施例还提出一种云平台设备，包括：

分配模块，用于为第一设备分配接入密钥和第二随机数；

第一发送模块，用于将第二随机数及第一设备的第一随机数发送至第二云平台；

第一接收模块，用于从第二云平台接收第二密钥，第二密钥由第一随机数、第二随机数及第一密钥生成；

加密模块，用于第二密钥对接入密钥加密，得到接入密钥的密文；

第二发送模块，用于发送接入密钥的密文及第二随机数。

本申请实施例还提出一种云平台设备，包括：

第二接收模块，用于接收第一随机数和第二随机数；

生成模块，用于利用第一随机数、第二随机数和第一密钥，生成第二密钥；

第三发送模块，用于将第二密钥发送至第一云平台。

本申请实施例还提出一种设备，包括：

第三接收模块，用于接收第一设备的接入密钥的密文和第二随机数，其中，第一设备的接入密钥的密文由第一设备的接入密钥、第一随机数、第二随机数及第一密钥生成；

提供模块，用于向第一设备提供接入密钥的密文和第二随机数。

本申请实施例通过安全传输设备连接接入云平台时使用的接入密钥来提升安全性；并且，由于使用该接入密钥，设备重连接入云平台时不再需要与设备云进行交互，从而降低了通讯复杂度。

附图说明

图1是本申请实施例的应用场景的示意图。

图2是根据本申请实施例的一种接入方法200的示意性流程图。

图3是根据本申请实施例一的实现流程图。

图4是根据本申请实施例二的实现流程图。

图5是根据本申请实施例三的实现流程图。

图6是根据本申请实施例的一种接入方法600的示意性流程图。

图7是根据本申请实施例的一种接入方法700的示意性流程图。

图8是根据本申请实施例的一种接入方法800的示意性流程图。

图9是根据本申请实施例的一种设备900的示意性流程图。

图10是根据本申请实施例的一种云平台设备1000的示意性流程图。

图11是根据本申请实施例的一种云平台设备1100的示意性流程图。

图12是根据本申请实施例的一种设备1200的示意性流程图。

图13是根据本申请实施例的设备1300示意性结构图。

图14是根据本申请实施例的芯片1400的示意性结构图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。

需要说明的是，本申请实施例的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。同时描述的“第一”、“第二”描述的对象可以相同，也可以不同。

本申请实施例的技术方案可以应用于例如图1所示的通信系统中。该通信系统可以包括设备云平台110、接入云平台120、控制类终端设备130和应用终端设备140等。云平台可以称为云服务、云服务器、云平台、云服务平台、云等。

以智能家居(smart home)系统为例，智能家居云服务平台可以通过网络统一组织和灵活调用各种智能家居信息资源，实现智能家居信息大规模计算的处理方式。云服务平台可以利用分布式计算和虚拟资源管理等技术，通过网络将分散的ICT(Information Communications Technology，信息、通信和技术)资源(包括计算与存储、应用运行平台、软件等)集中起来形成共享的智能家居资源池，并以动态按需和可度量的方式向用户提供服务。智能家居云服务平台可以基于公共通信网络以及家庭局域网络与家庭空间内各类电器、家居设施以及感知设备连接，提供各种家庭应用服务。

在智能家居系统中，控制类终端以本地或者远程方式综合管理或控制各家居应用终端，主要实现将使用者的操作或控制行为转换成实际指令信号，并协调云服务平台的智能化应用服务资源，下发至应用终端以供其执行具体操作。例如，控制类终端可以安装有用于控制网络配置的应用程序(Application，APP)，控制类终端的APP可以通过交互指令控制应用终端的网络配置。控制类终端在Wi-Fi网络中可以称为Wi-Fi接入设备。

在智能家居系统中，应用终端可以连接到家庭网络中，可以执行控制类终端的交互指令，并满足人们对居住环境的智能化应用需求的电子化、信息化产品。应用终端包括但不限于各种智能家电例如冰箱、洗衣机、空调、电视、投影仪等。应用终端在Wi-Fi网络中可以称为Wi-Fi设备。

应理解，本文中术语“系统”和“网络”在本文中常被可互换使用。本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

应理解，在本申请的实施例中提到的“指示”可以是直接指示，也可以是间接指示，还可以是表示具有关联关系。举例说明，A指示B，可以表示A直接指示B，例如B可以通过A获取；也可以表示A 间接指示B，例如A指示C，B可以通过C获取；还可以表示A和B之间具有关联关系。

在本申请实施例的描述中，术语“对应”可表示两者之间具有直接对应或间接对应的关系，也可以表示两者之间具有关联关系，也可以是指示与被指示、配置与被配置等关系。

为便于理解本申请实施例的技术方案，以下对本申请实施例的相关技术进行说明，以下相关技术作为可选方案与本申请实施例的技术方案可以进行任意结合，其均属于本申请实施例的保护范围。

本申请实施例提出一种接入方法，图2是根据本申请实施例的一种接入方法200的示意性流程图，该方法可选地可以应用于图1所示的系统，但并不仅限于此。该方法包括以下内容的至少部分内容。

S210：第一设备获取接入密钥的密文和第二随机数，其中，接入密钥的密文由接入密钥、第一随机数、该第二随机数及第一密钥生成；

S220：第一设备利用接入密钥的密文、第二随机数、第一随机数和第一密钥，生成接入密钥；

S230：第一设备采用接入密钥接入第一云平台。

上述第一设备可以为图1所示系统中的应用终端设备140，不限于各种智能家电例如冰箱、洗衣机、空调、电视、投影仪等。

上述第一云平台可以为图1所示系统中的接入云平台120。

可选地，上述接入密钥和第二随机数(在本申请实施例中用R2表示)由第一云平台为第一设备分配；

上述第一随机数由第一设备生成；

上述第一密钥预先保存在第二云平台和第一设备中。

可选地，上述第二云平台为图1所示系统中的设备云平台110，设备云平台可以是第一设备的设备厂商的云平台。

可选地，上述接入密钥的密文的生成过程包括：

(1)将第一随机数和第二随机数进行组合；

(2)采用第一密钥对组合后的数据进行加密，得到第二密钥；

(3)采用第二密钥对接入密钥进行加密，得到接入密钥的密文。该加密过程可以采用对称加密算法，例如采用AES256-CMAC算法。

在上述步骤中，上述第(1)和第(2)步可以由第二云平台执行，第二云平台生成第二密钥之后，将该第二密钥发送至第一云平台；上述第(3)步可以由第一云平台执行，第一云平台利用接收到的第二密钥加密接入密钥。这样，接入密钥仅能被第一云平台和第一设备获取，能够保证接入密钥的安全性。并且，设备厂商为第一设备分配的第一密钥也仅能被第二云平台和第一设备获取，能够保证第一密钥的安全性。

另外，由上述步骤S230可见，第一设备后续在接入第一云平台不再需要与第二云平台进行双向认证，因此降低了通讯复杂度。

在本申请实施例中，上述第一随机数、第二随机数、接入密钥、第一密钥、第二密钥分别用R1、R2、K1、K、K2表示。

可选地，上述步骤S220包括：

第一设备将第一随机数和第二随机数进行组合；

第一设备采用第一密钥对组合后的数据进行加密，得到第二密钥；

第一设备采用第二密钥对接入密钥的密文进行解密，得到接入密钥。

其中，第一随机数是第一设备随机生成的，第二随机数是由第一云平台生成并由第一设备获取的。

可见，第一设备采用与第二云平台相同的方式计算出第二密钥；之后采用该第二密钥对第一云平台加密后的密文进行解密，由于对接入密钥的加密采用的是对称加密算法，采用同样的密码对接入密钥的密文进行解密，可以得到接入密钥。

上述第一设备或对第二云平台对第一随机数和第二随机数进行组合的方式可以包括：对第一随机数和第二随机数采用预定义算法进行组合。

可选地，该预定义算法包括以下至少一项：

数据拼接；

乘法运算；

将第一随机数作为密钥，对第二随机数进行加密；例如采用AES加密算法加密；

将第二随机数作为密钥，对第一随机数进行加密；例如采用AES加密算法加密。

上述第一设备或对第二云平台对组合后的数据进行加密的方式可以为：采用密钥生成算法对组合后的数据进行加密。例如，采用AES256-CMAC、HKDF、PBKDF等加密算法。

可选地，上述步骤S230可以包括：第一设备通过PSK方式使用上述接入密钥与第一云平台建立连接。

可选地，上述连接包括以下至少一种：

传输层安全性(TLS，Transport Layer Security)连接；

数据报传输层安全性(DTLS，Datagram Transport Layer Security)连接；

应用层加密连接。

在上述步骤S210中，第一设备除了获取接入密钥的密文和第二随机数之外，还可以获取第一云平台为第一设备分配的标识；该标识用于在第一云平台上唯一标识该第一设备，并且第一云平台可以采用该标识索引为其分配的接入密钥。

相应的，在上述步骤S230中，第一设备采用该接入密钥和该标识接入第一云平台。第一云平台根据该标识查找到之前为第一设备分配的接入密钥，从而采用该接入密钥完成对第一设备的接入认证。

上述过程中，第一设备获取接入密钥的密文、第二随机数及第一云平台为第一设备分配的标识的方式可以包括：

第一设备从第二设备接收接入密钥的密文、第二随机数及第一云平台为第一设备分配的标识；或者，

第一设备扫描并解析第二设备生成的二维码，得到接入密钥的密文、第二随机数及第一云平台为第一设备分配的标识；或者，

第一设备从第一云平台接收接入密钥的密文、第二随机数及第一云平台为第一设备分配的标识。

在第一设备连上家庭网络后,若处于未配置状态或者没有访问第一云平台使用的接入密钥，则可以与第一云平台进行认证，即执行图2所示的接入过程；若处于已配置状态并且有访问第一云平台使用的接入密钥，则可以与第一云平台进行认证，即采用该接入密钥接入第一云平台。

以下结合具体的应用场景，举实施例详细介绍本申请。

实施例一：

本实施例主要是基于对soft AP配网前双向认证的优化。在实施例中，将第一设备具体为应用终端设备(简称设备)，将第二设备具体为控制类终端设备(如手机)，将第一云平台具体为接入云(如手机云平台)，将第二云平台具体为设备云。

设备厂商为每个设备(由设备ID1来标识)分配一个唯一的密钥K,将密钥K预置到对应的应用终端中，密钥K和对应的设备ID1保存在设备厂商的云平台中。

图3是本申请实施例一的实现流程图。如图3所示，实施例一包括以下步骤：

步骤1、当配网设备(例如手机)发现应用终端设备后，解析设备的SSID和/或BSSID和/或厂商自定义IE，得到设备厂商信息、设备云为设备预置的ID1(例如MAC)和设备生成的随机数R1。

步骤2、手机与手机云建立安全连接，手机向手机云发送前述设备厂商信息、ID1和R1(该请求的的目的是从手机云获取到设备认证信息和云认证信息，与后续步骤9相对应)。

步骤3、手机云根据设备厂商信息找到对应的设备云。

步骤4、手机云根据设备ID1生成手机云为设备分配的唯一标识ID2、随机的接入密钥K1和随机数R2(手机云需要保存该K1和对应的设备的ID2)。

步骤5、手机云与设备云建立安全连接，设备云从手机云获取设备认证信息，在此过程中，手机云平台将前述R1、前述R2和前述ID1发送到设备云平台。

步骤6、设备云平台根据设备ID1获取设备密钥K。使用K加密R1，生成设备认证信息Hc1。设备云平台生成随机数R3，使用K加密R1和R3，生成云认证信息Hc2。并且，设备云还使用K加密R1和R2，生成密钥K2。

可选地，生成K2的方式为：

将R1和R2采用预定义算法M1进行组合，生成R4(例如数据拼接，或者乘法运算，或者以R1为密钥对R2进行AES加密，或者以R2为密钥对R1进行AES加密等)；

采用预定义密钥生成算法S1(例如AES256-CMAC,HKDF,PBKDF等)，用K对R4加密得到K2。

步骤7、设备云平台将设备认证信息Hc1、随机数R3、云认证信息Hc2和密钥K2返回手机云平台。

步骤8、手机云平台采用预定义对称加密算法S2(例如AES256-CMAC)，用K2加密K1得到密文C1。

步骤9、手机云平台将设备认证信息Hc1、随机数R3、云认证信息Hc2、标识ID2、随机数R2和密文C1返回手机。

步骤10、手机与设备建立soft AP连接。

步骤11、手机将随机数R3、云认证信息Hc2、标识ID2、随机数R2和密文C1发送给设备。

步骤12、设备使用K加密R1和R3，生成云认证信息Hc2’。若Hc2’＝Hc2，则对云的认证成功；否则返回失败信息，结束当前流程。

步骤13、设备使用K加密R1，生成设备认证信息Hc1’，将设备认证信息Hc1’返回至手机。手机对设备进行认证，如果Hc1’＝Hc1，则对设备的认证成功；否则返回失败信息，结束当前流程。如果双方的认证都成，则完成配网，断开soft AP连接。

步骤14、设备对R1和R2采用预定义算法M1，生成R4’(等同于R4)。采用预定义密钥生成算法S1用K对R4’加密，得到K2’(等同于K2)。然后，用K2对C1采用预定义对称加密算法S2进行解密，得到K1’(等同于K1)，设备保存K1’。这样，中间节点(例如手机)没有K，所以无法得到K2,也无法解密得到K1,设备云平台也无法得到K1，因此K1仅被手机云平台和设备获取，能保证安全性。

之后，在设备重新连接手机云平台时，可以使用接入密钥K1’(等同于K1)与手机云平台进行认证，而无需与设备云进行交互，从而降低通讯复杂度。具体包括以下步骤：

步骤15、设备通过PSK方式，使用K1’作为密钥与手机云平台建立TLS/DTLS连接或者应用层加密连接。在认证时，设备可以向手机平台发送手机云平台为其分配的标识ID2，手机云平台可以使用ID2来索引K1。

可选的，设备每次连接手机云平台时，可以使用K1作为密钥直接与手机云平台进行单向或双向挑战认证。例如：设备发送随机值A1和用K1生成的验证值X1给手机云，手机云使用K1和随机值A1生成验证值X2，将X2与X1做比对。如果结果一致，则手机云发送A2和用K1生成的验证值X3给手机云，设备使用K1和随机值A2生成验证值X4，将X4与X3做比对。如果结果一致，则接入云与设备的认证成功。

实施例二：

本实施例主要是基于对soft AP配网后认证设备身份的优化。在现有技术中，Soft AP配网时，在配网设备(例如手机)给应用终端(待入网设备)下发家庭网络信息，设备连上家庭网络并与接入云建立安全连接后(例如采用TLS/DTLS方法)，设备云对设备使用密钥(license)进行认证，设备对设备云使用密钥(license)进行认证。这种认证过程步骤较多。本实施例能够降低认证过程的通讯复杂度。

在实施例中，将第一设备具体为应用终端设备(简称设备)，将第二设备具体为控制类终端设备(如手机)，将第一云平台具体为接入云(如手机云平台)，将第二云平台具体为设备云。

图4是本申请实施例二的实现流程图。如图4所示，实施例二包括以下步骤：

步骤1、设备连上家庭网络后,若处于未配置状态或者没有访问手机云的K1'，则与设备云进行认证；若处于已配置状态并且有访问手机云的K1'，则与手机云进行认证。

其中，与设备云进行认证包括：设备与接入云建立安全连接后(例如采用TLS/DTLS方法)，设备发放云对设备使用密钥(license)进行认证，设备对手机云使用密钥(license)进行认证。在此过程中手机云采用与实施例一相同的方式将K1’下发给设备。具体地，与设备云进行认证包括步骤2至步骤13：

步骤2、设备与手机云建立安全连接。

步骤3、设备生成随机数R1，使用K加密R1，生成设备认证信息Hc1。设备向手机上报设备厂商信息、设备云为设备预置的ID1(例如MAC)、设备生成的随机数R1和前述Hc1，申请认证。

步骤4、手机云根据设备厂商信息找到对应的设备云。

步骤5、手机云根据设备ID1生成手机云为设备分配的唯一标识ID2、随机的接入密钥K1和随机数R2(手机云需要保存该K1和对应的设备的ID2)。

步骤6、手机云与设备云建立安全连接，设备云从手机云获取设备认证信息，在此过程中，手机云平台将前述R1、前述R2和前述ID1发送到设备云平台。

步骤7、设备云平台根据设备ID1获取设备密钥K。使用K加密R1，生成设备认证信息Hc1’。如果Hc1’＝Hc1，则对设备的认证成；否则认证失败，结束当前流程。

步骤8、设备云平台生成随机数R3，使用K加密R1和R3，生成云认证信息Hc2。并且，设备云还使用K加密R1和R2，生成密钥K2。

可选地，生成K2的方式为：

将R1和R2采用预定义算法M1进行组合生成R4(例如数据拼接，或者乘法运算，或者以R1为密钥对R2进行AES加密，或者以R2为密钥对R1进行AES加密等)；

步骤9、设备云平台将云认证信息Hc2、随机数R3和密钥K2返回手机云平台。

步骤10、手机云平台采用预定义对称加密算法S2(例如AES256-CMAC)，用K2加密K1得到密文C1。

步骤11、手机云平台将随机数R3、云认证信息Hc2、标识ID2、随机数R2和密文C1返回给设备。

步骤12、设备使用K加密R1和R3，生成云认证信息Hc2’。如果Hc2’＝Hc2，则对云的认证成功；否则返回失败信息，断开与云的连接，结束当前流程。

步骤13、设备对R1和R2采用预定义算法M1生成R4’(等同于R4)。采用预定义密钥生成算法S1用K对R4’加密，得到K2’(等同于K2)。然后用K2对C1采用预定义对称加密算法S2进行解密，得到K1’(等同于K1)，设备保存K1’。这样，设备云平台无法得到K1，因此K1仅被手机云平台和设备获取，能保证安全性。

与接入云进行认证的过程包括：设备通过PSK方式使用K1’作为密钥与接入云建立TLS/DTLS连接或者应用层加密连接。在认证时，设备可以向手机平台发送手机云平台为其分配的标识ID2，手机云平台可以使用ID2来索引K1。

实施例三：

本实施例主要是基于对soft AP扫码配网前认证设备身份过程的优化。在现有技术中，在给有摄像功能的智能设备(如摄像头、AR眼镜等)配网时，在下发家庭Wi-Fi网络的SSID和密码之前进行设备身份验证。若设备有根证书，则设备连接网络后，与手机云平台建立TLS/DTLS连接，通过根证书来验证手机云平台的合法性。由于接入云没有对设备进行验证，可能存在仿冒的终端连接到接入云。若设备没有根证书，则设备连接网络后，通过PSK(由手机云生成下发给手机，在家庭网络配置信息中携带)与手机云平台建立TLS/DTLS连接或者应用层加密连接。或者，设备连上家庭网络并与手机云建立安全连接后(例如采用TLS/DTLS方法)，设备云对设备使用密钥(license)进行认证，设备对设备云使用密钥(license)进行认证。可能存在仿冒的配网设备截取合法的PSK后将仿冒的应用终端配置入网从而接入到手机云。本实施例能够提高设备连接接入云平台的安全性。

图5是本申请实施例三的实现流程图。如图5所示，实施例三包括以下步骤：

步骤1、手机扫描设备二维码，解析该二维码，得到设备厂商信息、设备云为设备预置的ID1(例如MAC)和预置随机数R1。

步骤2、手机与手机云建立安全连接，手机向手机云发送前述设备厂商信息、ID1和R1(该请求的的目的是从手机云获取到配置信息加密密码，与后续步骤7相对应)。

步骤3、手机云根据设备厂商信息找到对应的设备云。

步骤5、手机云与设备云建立安全连接，设备云从手机云获取配置信息加密密码，在此过程中，手机云平台将前述R1、和前述R2和前述ID1发送到设备云平台。

步骤6、设备云平台根据设备ID1获取设备密钥K。使用K加密R1，生成配置信息加密密码Hc1。并且，设备云还使用K加密R1和R2，生成密钥K2。

可选地，生成K2的方式为：

步骤7、设备云平台将配置信息加密密码Hc1、和密钥K2返回手机云平台。

步骤9、手机云平台将配置信息加密密码Hc1、标识ID2、随机数R2和密文C1返回手机。

步骤10、手机使用Hc1加密家庭网络配置信息D(SSID、password等)、ID2和R2，然后与C1组合，得到D1。用D1生成二维码。

步骤11、设备扫描手机二维码，获取D1，解析得到C1。使用密钥K加密预置随机数R1，得到 Hc1。若Hc1正确，则能解密D1得到D、ID2和R2；若Hc1错误，则解密失败，结束当前流程。

步骤12、设备对R1和R2采用预定义算法M1，生成R4’(等同于R4)。采用预定义密钥生成算法S1用K对R4’加密，得到K2’(等同于K2)。然后用K2对C1采用预定义对称加密算法S2进行解密，得到K1’(等同于K1)，设备保存K1’。这样，中间节点(例如手机)没有K，所以无法得到K2，也无法解密得到K1，设备云平台也无法得到K1，因此K1仅被手机云平台和设备获取，能保证安全性。

之后，在设备重新连接手机云平台时，可以使用密钥K1’(等同于K1)与手机云平台进行认证，而无需与设备云进行交互，从而减低通讯复杂度。具体包括以下步骤：

步骤13、设备通过PSK方式，使用K1’作为密钥与手机云平台建立TLS/DTLS连接或者应用层加密连接。在认证时，设备可以向手机平台发送手机云平台为其分配的标识ID2，手机云平台可以使用ID2来索引K1。

从上述实施方式可见，本申请实施例对于下发网络信息前进行认证的情况，实现了设备访问手机云的接入密钥的安全传输，提升了设备接入到手机云的安全性。对于下发网络信息后进行认证的情况，通过第一次认证时传输设备访问手机云的接入密钥，实现设备后续连接手机云时不再需要与设备云的交互，降低了通讯复杂度。

本申请实施例还提出一种接入方法，图6是根据本申请实施例的一种接入方法600的示意性流程图，该方法可选地可以应用于图1所示的系统，但并不仅限于此。该方法包括以下内容的至少部分内容。包括：

S610：第一云平台为第一设备分配接入密钥和第二随机数；

S620：第一云平台将第二随机数及第一设备的第一随机数发送至第二云平台；

S630：第一云平台从第二云平台接收第二密钥，第二密钥由第一随机数、第二随机数及第一密钥生成；

S640：第一云平台采用第二密钥对接入密钥加密，得到接入密钥的密文；

S650：第一云平台发送接入密钥的密文及第二随机数。

上述第一云平台可以为图1所示系统中的接入云平台120。

可选地，上述第一随机数由第一设备生成；

第一密钥预先保存在第二云平台和第一设备中。

可选地，上述第二密钥的生成方式包括：

将第一随机数和第二随机数进行组合；

采用第一密钥对组合后的数据进行加密，得到第二密钥。

可选地，上述第一云平台采用对称加密算法对接入密钥进行加密。

可选地，还包括：

第一云平台为第一设备分配标识；

第一云平台发送标识。

可选地，上述第一云平台发送接入密钥的密文、第二随机数及标识，包括：

第一云平台向第一设备发送接入密钥的密文、第二随机数及标识；

或者，第一云平台向第二设备发送接入密钥的密文、第二随机数及标识。

本申请实施例还提出一种接入方法，图7是根据本申请实施例的一种接入方法700的示意性流程图，该方法可选地可以应用于图1所示的系统，但并不仅限于此。该方法包括以下内容的至少部分内容。包括：

S710：第二云平台接收第一随机数和第二随机数；

S720：第二云平台利用第一随机数、第二随机数和第一密钥，生成第二密钥；

S730：第二云平台将第二密钥发送至第一云平台。

上述第二云平台可以为图1所示系统中的设备云平台110。

可选地，上述第二随机数由第一云平台为第一设备分配；

第一随机数由第一设备生成；

第一密钥预先保存在第二云平台和第一设备中。

可选地，上述第二云平台利用第一随机数、第二随机数和第一密钥，生成第二密钥，包括：

第二云平台将第一随机数和第二随机数进行组合；

第二云平台采用第一密钥对组合后的数据进行加密，得到第二密钥。

可选地，上述将第一随机数和第二随机数进行组合，包括：

对第一随机数和第二随机数采用预定义算法进行组合。

可选地，上述预定义算法包括以下至少一项：

数据拼接；

乘法运算；

将第一随机数作为密钥，对第二随机数进行加密；

将第二随机数作为密钥，对第一随机数进行加密。

可选地，采用密钥生成算法对组合后的数据进行加密。

本申请实施例还提出一种接入方法，图8是根据本申请实施例的一种接入方法800的示意性流程图，该方法可选地可以应用于图1所示的系统，但并不仅限于此。该方法包括以下内容的至少部分内容。包括：

S810：第二设备接收第一设备的接入密钥的密文和第二随机数，其中，第一设备的接入密钥的密文由第一设备的接入密钥、第一随机数、第二随机数及第一密钥生成；

S820：第二设备向第一设备提供接入密钥的密文和第二随机数。

上述第二设备可以为图1所示系统中的控制类终端设备130。

可选地，上述方法还包括：

第二设备接收第一云平台为第一设备分配的标识；

第二设备向第一设备提供标识。

可选地，上述第二设备向第一设备提供接入密钥的密文、第二随机数及标识包括：

第二设备向第一设备发送接入密钥的密文、第二随机数及标识；或者，

第二设备利用接入密钥的密文、第二随机数及标识生成二维码。

本申请实施例还提出一种设备，图9是根据本申请实施例的一种设备900的结构示意图，该设备可选地可以应用于图1所示的系统，但并不仅限于此。该设备包括：

获取模块910，用于获取接入密钥的密文和第二随机数，其中，接入密钥的密文由接入密钥、第一随机数、第二随机数及第一密钥生成；

生成模块920，用于利用接入密钥的密文、第二随机数、第一随机数和第一密钥，生成接入密钥；

接入模块930，用于备采用接入密钥接入第一云平台。

可选地，上述接入密钥和第二随机数由第一云平台为第一设备分配；

第一随机数由第一设备生成；

第一密钥预先保存在第二云平台和第一设备中。

可选地，上述接入密钥的密文的生成方式包括：

将第一随机数和第二随机数进行组合；

采用第一密钥对组合后的数据进行加密，得到第二密钥；

采用第二密钥对接入密钥进行加密，得到接入密钥的密文。

可选地，上述生成模块920用于：将第一随机数和第二随机数进行组合；采用第一密钥对组合后的数据进行加密，得到第二密钥；采用第二密钥对接入密钥的密文进行解密，得到接入密钥。

可选地，上述生成模块920用于：对第一随机数和第二随机数采用预定义算法进行组合。

可选地，上述预定义算法包括以下至少一项：

数据拼接；

乘法运算；

将第一随机数作为密钥，对第二随机数进行加密；

将第二随机数作为密钥，对第一随机数进行加密。

可选地，采用对称加密算法对接入密钥进行加密；

生成模块920采用对称加密算法并对接入密钥的密文进行解密。

可选地，采用密钥生成算法对组合后的数据进行加密。

可选地，上述接入模块930用于：通过PSK方式使用接入密钥与第一云平台建立连接。

可选地，上述连接包括以下至少一种：

TLS连接；

DTLS连接；

应用层加密连接。

可选地，上述获取模块910还用于，获取第一云平台为第一设备分配的标识；

接入模块930用于，采用接入密钥和标识接入第一云平台。

可选地，上述获取模块910用于：

从第二设备接收接入密钥的密文、第二随机数及第一云平台为第一设备分配的标识；或者，

扫描并解析第二设备生成的二维码，得到接入密钥的密文、第二随机数及第一云平台为第一设备分配的标识。

可选地，上述获取模块910用于：

从第一云平台接收接入密钥的密文、第二随机数及第一云平台为第一设备分配的标识。

可选地，在第一设备处于未配置状态或者没有接入密钥的情况下，获取模块910获取接入密钥的密文和第二随机数。

可选地，在第一设备处于已配置状态并且有接入密钥的情况下，接入模块930采用接入密钥接入第一云平台。

可选地，上述第一云平台为接入云平台。

可选地，上述第二云平台为第一设备的设备厂商的云平台。

应理解，根据本申请实施例的设备中的模块的上述及其他操作和/或功能分别为了实现图2的方法200中的设备的相应流程，为了简洁，在此不再赘述。

本申请实施例还提出一种云平台设备，图10是根据本申请实施例的一种云平台设备1000的结构示意图，该设备可选地可以应用于图1所示的系统，但并不仅限于此。该设备包括：

分配模块1010，用于为第一设备分配接入密钥和第二随机数；

第一发送模块1020，用于将第二随机数及第一设备的第一随机数发送至第二云平台；

第一接收模块1030，用于从第二云平台接收第二密钥，第二密钥由第一随机数、第二随机数及第一密钥生成；

加密模块1040，用于第二密钥对接入密钥加密，得到接入密钥的密文；

第二发送模块1050，用于发送接入密钥的密文及第二随机数。

可选地，第一随机数由第一设备生成；

第一密钥预先保存在第二云平台和第一设备中。

可选地，上述第二密钥的生成方式包括：

将第一随机数和第二随机数进行组合；

采用第一密钥对组合后的数据进行加密，得到第二密钥。

可选地，上述加密模块1040采用对称加密算法对接入密钥进行加密。

可选地，上述分配模块1010还用于，为第一设备分配标识；

第二发送模块1050还用于，发送标识。

可选地，上述第二发送模块1050用于：

向第一设备发送接入密钥的密文、第二随机数及标识；

或者，向第二设备发送接入密钥的密文、第二随机数及标识。

应理解，根据本申请实施例的云平台中的模块的上述及其他操作和/或功能分别为了实现图6的方法600中的云平台的相应流程，为了简洁，在此不再赘述。

本申请实施例还提出一种云平台设备，图11是根据本申请实施例的一种云平台设备1100的结构示意图，该设备可选地可以应用于图1所示的系统，但并不仅限于此。该设备包括：

第二接收模块1110，用于接收第一随机数和第二随机数；

生成模块1120，用于利用第一随机数、第二随机数和第一密钥，生成第二密钥；

第三发送模块1130，用于将第二密钥发送至第一云平台。

可选地，上述第二随机数由第一云平台为第一设备分配；

第一随机数由第一设备生成；

第一密钥预先保存在第二云平台和第一设备中。

可选地，上述生成模块1120用于：将第一随机数和第二随机数进行组合；采用第一密钥对组合后的数据进行加密，得到第二密钥。

可选地，上述生成模块1120用于，对第一随机数和第二随机数采用预定义算法进行组合。

可选地，上述预定义算法包括以下至少一项：

数据拼接；

乘法运算；

将第一随机数作为密钥，对第二随机数进行加密；

将第二随机数作为密钥，对第一随机数进行加密。

可选地，上述生成模块1120采用密钥生成算法对组合后的数据进行加密。

应理解，根据本申请实施例的云平台中的模块的上述及其他操作和/或功能分别为了实现图7的方法700中的云平台的相应流程，为了简洁，在此不再赘述。

本申请实施例还提出一种设备，图12是根据本申请实施例的一种设备1200的结构示意图，该设备可选地可以应用于图1所示的系统，但并不仅限于此。该设备包括：

第三接收模块1210，用于接收第一设备的接入密钥的密文和第二随机数，其中，第一设备的接入密钥的密文由第一设备的接入密钥、第一随机数、第二随机数及第一密钥生成；

提供模块1220，用于向第一设备提供接入密钥的密文和第二随机数。

可选地，上述第三接收模块1210还用于，接收第一云平台为第一设备分配的标识；

提供模块1220还用于，向第一设备提供标识。

可选地，上述提供模块1220用于：向第一设备发送接入密钥的密文、第二随机数及标识；或者，

利用接入密钥的密文、第二随机数及标识生成二维码。

应理解，根据本申请实施例的设备中的模块的上述及其他操作和/或功能分别为了实现图8的方法800中的设备的相应流程，为了简洁，在此不再赘述。

图13是根据本申请实施例的设备1300示意性结构图。图13所示的设备1300包括处理器1310，处理器1310可以从存储器中调用并运行计算机程序，以实现本申请实施例中的方法。

可选地，如图13所示，设备1300还可以包括存储器1320。其中，处理器1310可以从存储器1320中调用并运行计算机程序，以实现本申请实施例中的方法。

其中，存储器1320可以是独立于处理器1310的一个单独的器件，也可以集成在处理器1310中。

可选地，如图13所示，设备1300还可以包括收发器1330，处理器1310可以控制该收发器1330与其他设备进行通信，具体地，可以向其他设备发送信息或数据，或接收其他设备发送的信息或数据。

其中，收发器1330可以包括发射机和接收机。收发器1330还可以进一步包括天线，天线的数量可以为一个或多个。

可选地，该设备1300可为本申请实施例的终端设备，并且该设备1300可以实现本申请实施例的各个方法中由终端设备实现的相应流程，为了简洁，在此不再赘述。

可选地，该设备1300可为本申请实施例的云平台设备，并且该设备1300可以实现本申请实施例的各个方法中由云平台设备实现的相应流程，为了简洁，在此不再赘述。

图14是根据本申请实施例的芯片1400的示意性结构图。图14所示的芯片1400包括处理器1410，处理器1410可以从存储器中调用并运行计算机程序，以实现本申请实施例中的方法。

可选地，如图14所示，芯片1400还可以包括存储器1420。其中，处理器1410可以从存储器1420中调用并运行计算机程序，以实现本申请实施例中的方法。

其中，存储器1420可以是独立于处理器1410的一个单独的器件，也可以集成在处理器1410中。

可选地，该芯片1400还可以包括输入接口1430。其中，处理器1410可以控制该输入接口1430与其他设备或芯片进行通信，具体地，可以获取其他设备或芯片发送的信息或数据。

可选地，该芯片1400还可以包括输出接口1440。其中，处理器1410可以控制该输出接口1440与其他设备或芯片进行通信，具体地，可以向其他设备或芯片输出信息或数据。

可选地，该芯片可应用于本申请实施例中的终端设备，并且该芯片可以实现本申请实施例的各个方法中由终端设备实现的相应流程，为了简洁，在此不再赘述。

可选地，该芯片可应用于本申请实施例中的网络设备，并且该芯片可以实现本申请实施例的各个方法中由网络设备实现的相应流程，为了简洁，在此不再赘述。

应理解，本申请实施例提到的芯片还可以称为系统级芯片，系统芯片，芯片系统或片上系统芯片等。

上述提及的处理器可以是通用处理器、数字信号处理器(digital signal processor，DSP)、现成可编程门阵列(field programmable gate array，FPGA)、专用集成电路(application specific integrated circuit，ASIC)或者其他可编程逻辑器件、晶体管逻辑器件、分立硬件组件等。其中，上述提到的通用处理器可以是微处理器或者也可以是任何常规的处理器等。

上述提及的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory，RAM)。

应理解，上述存储器为示例性但不是限制性说明，例如，本申请实施例中的存储器还可以是静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(dynamic RAM，DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synch link DRAM，SLDRAM)以及直接内存总线随机存取存储器(Direct Rambus RAM，DR RAM)等等。也就是说，本申请实施例中的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行该计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。该计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。该计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，该计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(Digital Subscriber Line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。该计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。该可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘(Solid State Disk，SSD))等。

应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

以上所述仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以该权利要求的保护范围为准。

Claims

一种接入方法，包括：

第一设备获取接入密钥的密文和第二随机数，其中，所述接入密钥的密文由接入密钥、第一随机数、所述第二随机数及第一密钥生成；

所述第一设备利用所述接入密钥的密文、第二随机数、第一随机数和第一密钥，生成所述接入密钥；

所述第一设备采用所述接入密钥接入第一云平台。
根据权利要求1所述的方法，其中，

所述接入密钥和所述第二随机数由第一云平台为所述第一设备分配；

所述第一随机数由所述第一设备生成；

所述第一密钥预先保存在第二云平台和所述第一设备中。
根据权利要求1或2所述的方法，其中，所述接入密钥的密文的生成方式包括：

将所述第一随机数和所述第二随机数进行组合；

采用所述第一密钥对组合后的数据进行加密，得到第二密钥；

采用所述第二密钥对所述接入密钥进行加密，得到所述接入密钥的密文。
根据权利要求1至3任一所述的方法，其中，所述第一设备利用所述接入密钥的密文、第二随机数、第一随机数和第一密钥，生成所述接入密钥，包括：

所述第一设备将所述第一随机数和所述第二随机数进行组合；

所述第一设备采用所述第一密钥对组合后的数据进行加密，得到第二密钥；

所述第一设备采用所述第二密钥对所述接入密钥的密文进行解密，得到所述接入密钥。
根据权利要求3或4所述的方法，其中，所述将所述第一随机数和所述第二随机数进行组合，包括：

对所述第一随机数和所述第二随机数采用预定义算法进行组合。
根据权利要求5所述的方法，其中，所述预定义算法包括以下至少一项：

数据拼接；

乘法运算；

将所述第一随机数作为密钥，对所述第二随机数进行加密；

将所述第二随机数作为密钥，对所述第一随机数进行加密。
根据权利要求1至6任一所述的方法，其中，

采用对称加密算法对所述接入密钥进行加密；

采用所述对称加密算法并对所述接入密钥的密文进行解密。
根据权利要求3至6任一所述的方法，其中，采用密钥生成算法对所述组合后的数据进行加密。
根据权利要求1至8任一所述的方法，其中，所述第一设备采用所述接入密钥接入第一云平台，包括：

所述第一设备通过共享密钥PSK方式使用所述接入密钥与所述第一云平台建立连接。
根据权利要求9所述的方法，其中，所述连接包括以下至少一种：

传输层安全性TLS连接；

数据报传输层安全性DTLS连接；

应用层加密连接。
根据权利要求1至10任一所述的方法，还包括：所述第一设备获取第一云平台为所述第一设备分配的标识；

所述第一设备采用所述接入密钥接入所述第一云平台，包括：所述第一设备采用所述接入密钥和所述标识接入所述第一云平台。
根据权利要求1至11任一所述的方法，其中，第一设备获取接入密钥的密文、第二随机数及第一云平台为第一设备分配的标识，包括：

第一设备从第二设备接收所述接入密钥的密文、第二随机数及第一云平台为第一设备分配的标识；或者，

第一设备扫描并解析第二设备生成的二维码，得到所述接入密钥的密文、第二随机数及第一云平台为第一设备分配的标识。
根据权利要求1至11任一所述的方法，其中，第一设备获取接入密钥的密文、第二随机数及第一云平台为第一设备分配的标识，包括：

第一设备从第一云平台接收所述接入密钥的密文、第二随机数及第一云平台为第一设备分配的标识。
根据权利要求1至11、13任一所述的方法，其中，在所述第一设备处于未配置状态或者没有所述接入密钥的情况下，执行所述第一设备获取接入密钥的密文和第二随机数的步骤。
根据权利要求1至11、13任一所述的方法，其中，在所述第一设备处于已配置状态并且有所述接入密钥的情况下，采用所述接入密钥接入所述第一云平台。
根据权利要求1至15任一所述的方法，其中，所述第一云平台为接入云平台。
根据权利要求1至16任一所述的方法，其中，所述第二云平台为所述第一设备的设备厂商的云平台。
一种接入方法，包括：

第一云平台为第一设备分配接入密钥和第二随机数；

所述第一云平台将所述第二随机数及所述第一设备的第一随机数发送至第二云平台；

所述第一云平台从所述第二云平台接收第二密钥，所述第二密钥由所述第一随机数、所述第二随机数及第一密钥生成；

所述第一云平台采用所述第二密钥对所述接入密钥加密，得到接入密钥的密文；

所述第一云平台发送所述接入密钥的密文及所述第二随机数。
根据权利要求18所述的方法，其中，

所述第一随机数由所述第一设备生成；

所述第一密钥预先保存在第二云平台和所述第一设备中。
根据权利要求18或19所述的方法，其中，所述第二密钥的生成方式包括：

将所述第一随机数和所述第二随机数进行组合；

采用所述第一密钥对组合后的数据进行加密，得到第二密钥。
根据权利要求18至20任一所述的方法，其中，所述第一云平台采用对称加密算法对所述接入密钥进行加密。
根据权利要求18至21任一所述的方法，还包括：

所述第一云平台为第一设备分配标识；

所述第一云平台发送所述标识。
根据权利要求18至22任一所述的方法，其中，所述第一云平台发送所述接入密钥的密文、所述第二随机数及标识，包括：

所述第一云平台向所述第一设备发送所述接入密钥的密文、所述第二随机数及标识；

或者，所述第一云平台向第二设备发送所述接入密钥的密文、所述第二随机数及标识。
一种接入方法，包括：

第二云平台接收第一随机数和第二随机数；

所述第二云平台利用所述第一随机数、所述第二随机数和第一密钥，生成第二密钥；

所述第二云平台将所述第二密钥发送至第一云平台。
根据权利要求24所述的方法，其中，

所述第二随机数由所述第一云平台为所述第一设备分配；

所述第一随机数由所述第一设备生成；

所述第一密钥预先保存在所述第二云平台和所述第一设备中。
根据权利要求24或25所述的方法，其中，所述第二云平台利用所述第一随机数、所述第二随机数和第一密钥，生成第二密钥，包括：

所述第二云平台将所述第一随机数和所述第二随机数进行组合；

所述第二云平台采用所述第一密钥对组合后的数据进行加密，得到所述第二密钥。
根据权利要求26所述的方法，其中，所述将所述第一随机数和所述第二随机数进行组合，包括：

对所述第一随机数和所述第二随机数采用预定义算法进行组合。
根据权利要求27所述的方法，其中，所述预定义算法包括以下至少一项：

数据拼接；

乘法运算；

将所述第一随机数作为密钥，对所述第二随机数进行加密；

将所述第二随机数作为密钥，对所述第一随机数进行加密。
根据权利要求26至28任一所述的方法，其中，采用密钥生成算法对所述组合后的数据进行加密。
一种接入方法，包括：

第二设备接收第一设备的接入密钥的密文和第二随机数，其中，所述第一设备的接入密钥的密文由第一设备的接入密钥、第一随机数、所述第二随机数及第一密钥生成；

所述第二设备向所述第一设备提供所述接入密钥的密文和第二随机数。
根据权利要求30所述的方法，还包括：

所述第二设备接收第一云平台为所述第一设备分配的标识；

所述第二设备向所述第一设备提供所述标识。
根据权利要求30或31所述的方法，其中，所述第二设备向所述第一设备提供接入密钥的密文、第二随机数及标识包括：

所述第二设备向所述第一设备发送接入密钥的密文、第二随机数及标识；或者，

所述第二设备利用所述接入密钥的密文、第二随机数及标识生成二维码。
一种设备，包括：

获取模块，用于获取接入密钥的密文和第二随机数，其中，所述接入密钥的密文由接入密钥、第一随机数、所述第二随机数及第一密钥生成；

生成模块，用于利用所述接入密钥的密文、第二随机数、第一随机数和第一密钥，生成所述接入密钥；

接入模块，用于备采用所述接入密钥接入第一云平台。
根据权利要求33所述的设备，其中，

所述接入密钥和所述第二随机数由第一云平台为所述第一设备分配；

所述第一随机数由所述第一设备生成；

所述第一密钥预先保存在第二云平台和所述第一设备中。
根据权利要求33或34所述的设备，其中，所述接入密钥的密文的生成方式包括：

将所述第一随机数和所述第二随机数进行组合；

采用所述第一密钥对组合后的数据进行加密，得到第二密钥；

采用所述第二密钥对所述接入密钥进行加密，得到所述接入密钥的密文。
根据权利要求33至35任一所述的设备，其中，所述生成模块用于：将所述第一随机数和所述第二随机数进行组合；采用所述第一密钥对组合后的数据进行加密，得到第二密钥；采用所述第二密钥对所述接入密钥的密文进行解密，得到所述接入密钥。
根据权利要求35或36所述的设备，其中，所述生成模块用于：对所述第一随机数和所述第二随机数采用预定义算法进行组合。
根据权利要求37所述的设备，其中，所述预定义算法包括以下至少一项：

数据拼接；

乘法运算；

将所述第一随机数作为密钥，对所述第二随机数进行加密；

将所述第二随机数作为密钥，对所述第一随机数进行加密。
根据权利要求33至38任一所述的设备，其中，

采用对称加密算法对所述接入密钥进行加密；

所述生成模块采用所述对称加密算法并对所述接入密钥的密文进行解密。
根据权利要求35至38任一所述的设备，其中，采用密钥生成算法对所述组合后的数据进行加密。
根据权利要求33至40任一所述的设备，其中，所述接入模块用于：通过PSK方式使用所述接入密钥与所述第一云平台建立连接。
根据权利要求41所述的设备，其中，所述连接包括以下至少一种：

TLS连接；

DTLS连接；

应用层加密连接。
根据权利要求33至42任一所述的设备，所述获取模块还用于，获取第一云平台为所述第一设备分配的标识；

所述接入模块用于，采用所述接入密钥和所述标识接入所述第一云平台。
根据权利要求33至43任一所述的设备，其中，所述获取模块用于：

从第二设备接收所述接入密钥的密文、第二随机数及第一云平台为第一设备分配的标识；或者，

扫描并解析第二设备生成的二维码，得到所述接入密钥的密文、第二随机数及第一云平台为第一设备分配的标识。
根据权利要求33至43任一所述的设备，其中，所述获取模块用于：

从第一云平台接收所述接入密钥的密文、第二随机数及第一云平台为第一设备分配的标识。
根据权利要求33至43、45任一所述的设备，其中，在所述第一设备处于未配置状态或者没有所述接入密钥的情况下，所述获取模块获取接入密钥的密文和第二随机数。
根据权利要求33至43、45任一所述的设备，其中，在所述第一设备处于已配置状态并且有所述接入密钥的情况下，所述接入模块采用所述接入密钥接入所述第一云平台。
根据权利要求33至47任一所述的设备，其中，所述第一云平台为接入云平台。
根据权利要求33至48任一所述的设备，其中，所述第二云平台为所述第一设备的设备厂商的云平台。
一种云平台设备，包括：

分配模块，用于为第一设备分配接入密钥和第二随机数；

第一发送模块，用于将所述第二随机数及所述第一设备的第一随机数发送至第二云平台；

第一接收模块，用于从所述第二云平台接收第二密钥，所述第二密钥由所述第一随机数、所述第二随机数及第一密钥生成；

加密模块，用于所述第二密钥对所述接入密钥加密，得到接入密钥的密文；

第二发送模块，用于发送所述接入密钥的密文及所述第二随机数。
根据权利要求50所述的云平台设备，其中，

所述第一随机数由所述第一设备生成；

所述第一密钥预先保存在第二云平台和所述第一设备中。
根据权利要求50或51所述的云平台设备，其中，所述第二密钥的生成方式包括：

将所述第一随机数和所述第二随机数进行组合；

采用所述第一密钥对组合后的数据进行加密，得到第二密钥。
根据权利要求50至52任一所述的云平台设备，其中，所述加密模块采用对称加密算法对所述接入密钥进行加密。
根据权利要求50至53任一所述的云平台设备，所述分配模块还用于，为第一设备分配标识；

所述第二发送模块还用于，发送所述标识。
根据权利要求50至54任一所述的云平台设备，其中，所述第二发送模块用于：

向所述第一设备发送所述接入密钥的密文、所述第二随机数及标识；

或者，向第二设备发送所述接入密钥的密文、所述第二随机数及标识。
一种云平台设备，包括：

第二接收模块，用于接收第一随机数和第二随机数；

生成模块，用于利用所述第一随机数、所述第二随机数和第一密钥，生成第二密钥；

第三发送模块，用于将所述第二密钥发送至第一云平台。
根据权利要求56所述的云平台设备，其中，

所述第二随机数由所述第一云平台为所述第一设备分配；

所述第一随机数由所述第一设备生成；

所述第一密钥预先保存在所述第二云平台和所述第一设备中。
根据权利要求56或57所述的云平台设备，其中，所述生成模块用于：将所述第一随机数和所述第二随机数进行组合；采用所述第一密钥对组合后的数据进行加密，得到所述第二密钥。
根据权利要求58所述的云平台设备，其中，所述生成模块用于，对所述第一随机数和所述第二随机数采用预定义算法进行组合。
根据权利要求59所述的云平台设备，其中，所述预定义算法包括以下至少一项：

数据拼接；

乘法运算；

将所述第一随机数作为密钥，对所述第二随机数进行加密；

将所述第二随机数作为密钥，对所述第一随机数进行加密。
根据权利要求58至60任一所述的云平台设备，其中，所述生成模块采用密钥生成算法对所述组合后的数据进行加密。
一种设备，包括：

第三接收模块，用于接收第一设备的接入密钥的密文和第二随机数，其中，所述第一设备的接入密钥的密文由第一设备的接入密钥、第一随机数、所述第二随机数及第一密钥生成；

提供模块，用于向所述第一设备提供所述接入密钥的密文和第二随机数。
根据权利要求62所述的设备，所述第三接收模块还用于，接收第一云平台为所述第一设备分配的标识；

所述提供模块还用于，向所述第一设备提供所述标识。
根据权利要求62或63所述的设备，其中，所述提供模块用于：

向所述第一设备发送接入密钥的密文、第二随机数及标识；或者，

利用所述接入密钥的密文、第二随机数及标识生成二维码。
一种设备，包括：处理器和存储器，该存储器用于存储计算机程序，所述处理器用于调用并运行所述存储器中存储的计算机程序，执行如权利要求1至17和30至32中任一项所述的方法。
一种云平台设备，包括：处理器和存储器，该存储器用于存储计算机程序，所述处理器用于调用并运行所述存储器中存储的计算机程序，执行如权利要求18至29中任一项所述的方法。
一种芯片，包括：处理器，用于从存储器中调用并运行计算机程序，使得安装有所述芯片的设备执行如权利要求1至17和30至32中任一项所述的方法。
一种芯片，包括：处理器，用于从存储器中调用并运行计算机程序，使得安装有所述芯片的设备执行如权利要求18至29中任一项所述的方法。
一种计算机可读存储介质，用于存储计算机程序，所述计算机程序使得计算机执行如权利要求1至17和30至32中任一项所述的方法。
一种计算机可读存储介质，用于存储计算机程序，所述计算机程序使得计算机执行如权利要求18至29中任一项所述的方法。
一种计算机程序产品，包括计算机程序指令，该计算机程序指令使得计算机执行如权利要求1至17和30至32中任一项所述的方法。
一种计算机程序产品，包括计算机程序指令，该计算机程序指令使得计算机执行如权利要求18至29中任一项所述的方法。
一种计算机程序，所述计算机程序使得计算机执行如权利要求1至17和30至32中任一项所述的方法。
一种计算机程序，所述计算机程序使得计算机执行如权利要求18至29中任一项所述的方法。