WO2022183381A1

WO2022183381A1 - 设备访问控制权限的设置方法、装置、设备及存储介质

Info

Publication number: WO2022183381A1
Application number: PCT/CN2021/078763
Authority: WO
Inventors: 包永明; 吕小强
Original assignee: Oppo广东移动通信有限公司
Priority date: 2021-03-02
Filing date: 2021-03-02
Publication date: 2022-09-09
Also published as: CN116420339A

Abstract

本申请公开了一种设备访问控制权限的设置方法、装置、设备及存储介质，涉及物联网技术领域。所述方法包括：第一应用程序向物联网设备发送打开配对命令请求，该打开配对命令请求是第一应用程序要求物联网设备打开配对功能的请求；其中，打开配对命令请求中包括第一应用程序设置的第一权限信息，该第一权限信息用于设置第二应用程序针对物联网设备的访问控制权限。本申请能够实现在第二应用程序与物联网设备建立配对之前，由第一应用程序对该第二应用程序所具有的权限进行设置，实现对第二应用程序的权限可控，有助于提升安全性。

Description

设备访问控制权限的设置方法、装置、设备及存储介质

技术领域

本申请实施例涉及物联网技术领域，特别涉及一种设备访问控制权限的设置方法、装置、设备及存储介质。

背景技术

随着物联网技术的发展，用户可以通过终端设备中安装的APP(Application，应用程序)对物联网设备进行访问控制。

在相关技术中，在第一应用程序(如APP A)与某一物联网设备完成配对且具备该设备的管理员权限之后，第二应用程序(如APP B，不同于APP A的另一个应用程序)再对该设备进行配对配置时，该第二应用程序具备和第一应用程序同样的管理员权限。

在这种情况下，后配对的第二应用程序的权限不可控，存在安全性问题。

发明内容

本申请实施例提供了一种设备访问控制权限的设置方法、装置、设备及存储介质。所述技术方案如下：

根据本申请实施例的一个方面，提供了一种设备访问控制权限的设置方法，所述方法由物联网设备执行，所述方法包括：

接收来自第一应用程序的打开配对命令请求，所述打开配对命令请求是所述第一应用程序要求所述物联网设备打开配对功能的请求；其中，所述打开配对命令请求中包括所述第一应用程序设置的第一权限信息，所述第一权限信息用于设置第二应用程序针对所述物联网设备的访问控制权限。

根据本申请实施例的一个方面，提供了一种设备访问控制权限的设置方法，所述方法由第一应用程序执行，所述方法包括：

向物联网设备发送打开配对命令请求，所述打开配对命令请求是所述第一应用程序要求所述物联网设备打开配对功能的请求；其中，所述打开配对命令请求中包括所述第一应用程序设置的第一权限信息，所述第一权限信息用于设置第二应用程序针对所述物联网设备的访问控制权限。

根据本申请实施例的一个方面，提供了一种设备访问控制权限的设置方法，所述方法由第二应用程序执行，所述方法包括：

接收来自第一应用程序的OT(Onboarding Token，自注册令牌)数据共享信息；

在所述OT数据共享信息中包括第一权限信息的情况下，向物联网设备发送携带所述第一权限信息的ACL(Access Control List，访问控制列表)信息设置请求；其中，所述第一权限信息是所述第一应用程序设置的，所述第一权限信息用于设置所述第二应用程序针对所述物联网设备的访问控制权限。

根据本申请实施例的一个方面，提供了一种设备访问控制权限的设置装置，所述装置包括：

请求接收模块，用于接收来自第一应用程序的打开配对命令请求，所述打开配对命令请求是所述第一应用程序要求物联网设备打开配对功能的请求；其中，所述打开配对命令请求中包括所述第一应用程序设置的第一权限信息，所述第一权限信息用于设置第二应用程序针对所述物联网设备的访问控制权限。

请求发送模块，用于向物联网设备发送打开配对命令请求，所述打开配对命令请求是第一应用程序要求所述物联网设备打开配对功能的请求；其中，所述打开配对命令请求中包括所述第一应用程序设置的第一权限信息，所述第一权限信息用于设置第二应用程序针对所述物联网设备的访问控制权限。

信息接收模块，用于接收来自第一应用程序的OT数据共享信息；

设置请求模块，用于在所述OT数据共享信息中包括第一权限信息的情况下，向物联网设备发送携带所述第一权限信息的ACL信息设置请求；其中，所述第一权限信息是所述第一应用程序设置的，所述第一权限信息用于设置第二应用程序针对所述物联网设备的访问控制权限。

根据本申请实施例的一个方面，提供了一种物联网设备，所述物联网设备包括收发器；

所述收发器，用于接收来自第一应用程序的打开配对命令请求，所述打开配对命令请求是所述第一应用程序要求所述物联网设备打开配对功能的请求；其中，所述打开配对命令请求中包括所述第一应用程序设置的第一权限信息，所述第一权限信息用于设置第二应用程序针对所述物联网设备的访问控制权限。

根据本申请实施例的一个方面，提供了一种终端设备，所述终端设备包括收发器；

所述收发器，用于向物联网设备发送打开配对命令请求，所述打开配对命令请求是所述第一应用程序要求所述物联网设备打开配对功能的请求；其中，所述打开配对命令请求中包括所述第一应用程序设置的第一权限信息，所述第一权限信息用于设置第二应用程序针对所述物联网设备的访问控制权限。

所述收发器，用于接收来自第一应用程序的OT数据共享信息；

所述收发器，还用于在所述OT数据共享信息中包括第一权限信息的情况下，向物联网设备发送携带所述第一权限信息的ACL信息设置请求；其中，所述第一权限信息是所述第一应用程序设置的，所述第一权限信息用于设置所述第二应用程序针对所述物联网设备的访问控制权限。

根据本申请实施例的一个方面，提供了一种计算机可读存储介质，所述存储介质中存储有计算机程序，所述计算机程序用于被处理器执行，以实现上述物联网设备侧的设备访问控制权限的设置方法，或上述第一应用程序侧的设备访问控制权限的设置方法，或上述第二应用程序侧的设备访问控制权限的设置方法。

根据本申请实施例的一个方面，提供了一种芯片，所述芯片包括可编程逻辑电路和/或程序指令，当所述芯片运行时，用于实现上述物联网设备侧的设备访问控制权限的设置方法，或上述第一应用程序侧的设备访问控制权限的设置方法，或上述第二应用程序侧的设备访问控制权限的设置方法。

根据本申请实施例的一个方面，提供了一种计算机程序产品或计算机程序，所述计算机程序产品或计算机程序包括计算机指令，所述计算机指令存储在计算机可读存储介质中，处理器从所述计算机可读存储介质读取并执行所述计算机指令，以实现上述物联网设备侧的设备访问控制权限的设置方法，或上述第一应用程序侧的设备访问控制权限的设置方法，或上述第二应用程序侧的设备访问控制权限的设置方法。

本申请实施例提供的技术方案可以带来如下有益效果：

通过在第一应用程序向物联网设备发送的打开配对命令请求中，携带该第一应用程序设置的第一权限信息，利用该第一权限信息对第二应用程序针对该物联网设备的访问控制权限进行设置，从而实现在第二应用程序与物联网设备建立配对之前，由第一应用程序对该第二应用程序所具有的权限进行设置，实现对第二应用程序的权限可控，有助于提升安全性。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本申请一个实施例提供的方案实施环境的示意图；

图2是相关技术提供的设备配对过程的流程图；

图3是本申请一个实施例提供的设备访问控制权限的设置方法的流程图；

图4是本申请另一个实施例提供的设备访问控制权限的设置方法的流程图；

图5是本申请另一个实施例提供的设备访问控制权限的设置方法的流程图；

图6是本申请另一个实施例提供的设备访问控制权限的设置方法的流程图；

图7是本申请一个实施例提供的设备访问控制权限的设置装置的框图；

图8是本申请另一个实施例提供的设备访问控制权限的设置装置的框图；

图9是本申请另一个实施例提供的设备访问控制权限的设置装置的框图；

图10是本申请一个实施例提供的物联网设备的结构示意图；

图11是本申请一个实施例提供的终端设备的结构示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请实施方式作进一步地详细描述。

请参考图1，其示出了本申请一个实施例提供的方案实施环境的示意图。该方案实施环境可以包括：第一终端设备10、物联网设备20和第二终端设备30。该实施环境可以实现成为一个互联网系统(如家庭/企业智联网系统)，在该物联网系统中，可以包括多个物联网设备以及多个终端设备，终端设备能够对物联网设备进行访问控制。

终端设备(包括上述第一终端设备10和第二终端设备30)可以包括各种具有无线通信功能的手持设备(如手机、平板电脑等)、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备，以及各种形式的用户设备(User Equipment，UE)，移动台(Mobile Station，MS)，终端设备(terminal device)等等。为方便描述，本申请实施例中，上面提到的设备统称为终端。

终端设备中可以安装运行用于对物联网设备20进行访问控制的应用程序。在一个示例中，第一终端设备10中安装的用于对物联网设备20进行访问控制的应用程序称为第一应用程序，第二终端设备30中安装的用于对物联网设备20进行访问控制的应用程序称为第二应用程序。为简化说明，在一些实施例中，将第一应用程序称为APP A，第二应用程序称为APP B。

可选地，上述第一应用程序和第二应用程序可以隶属于同一个生态，也可以隶属于不同的生态。在本申请实施例中，生态可以是指应用程序的提供厂商或者设备生产厂商或者操作系统提供商，基于相同或者不同架构搭建的平台。某一应用程序所属的生态(或者说平台)，用于为该应用程序提供后台服务，如数据的存储、读取，以及与其他生态之间的跨平台交互等服务。可选地，不同厂商的生态包括但不限于苹果公司、谷歌公司、小米公司、华为公司、OPPO公司等不同应用程序提供厂商的生态，也可以包括但不限于安卓生态、IOS生态、或者其他一些原生操作系统或定制化操作系统所提供的生态。在一个示例中，第一应用程序由第一厂商(如苹果公司)提供，第二应用程序由第二厂商(如谷歌公司)提供，那么该第一应用程序和第二应用程序具有不同的提供厂商，因此这两个应用程序就属于两个不同的生态。在另一个示例中，第一应用程序是第一操作系统(如IOS操作系统)中的应用程序，第二应用程序是第二操作系统(如安卓操作系统或者基于安卓操作系统定制化开发的操作系统)中的应用程序，因此这两个应用程序属于两个不同操作系统，属于两个不同的生态。

物联网设备20可以是任何具有联网功能的智能设备。以智能家居设备为例，可以是智能电视、智能音箱、智能空调、智能电灯、智能门窗、智能窗帘、智能插座等设备，本申请对此不作限定。

终端设备和物联网设备20之间可以通过网络进行通信。如Zigbee(紫蜂)网络、BLE mesh(Bluetooth Low Energy，低功耗蓝牙)网络、WiFi(Wireless Fidelity，无线保真)等，本申请对此不作限定。

在一些应用场景中，同一个物联网设备20会被多个终端设备(或者说应用程序)进行访问控制。以家庭智联网系统为例，某一个智能电灯有可能会被多个家庭成员(如父亲、母亲、子女、保姆等)所对应的多个终端设备(或者说应用程序)进行访问控制。

在相关技术中，在第一应用程序(如APP A)与某一物联网设备完成配对且具备该设备的管理员权限之后，第二应用程序(如APP B，不同于APP A的另一个应用程序)再对该设备进行配对配置时，该第二应用程序具备和第一应用程序同样的管理员权限。例如，假设母亲使用第一终端设备(第一终端设备中安装第一应用程序，APP A)，子女使用第二终端设备(第二终端设备中安装第二应用程序，APP B)，该第一终端设备和第二终端设备是两台不同的终端设备(如两台不同的手机)。在母亲使用APP A与某一个智能电灯完成配对且具备该智能电灯的管理员(Administer)权限之后，子女再使用APP B对该智能电灯进行配对配置时，APP B具备和APP A同样的管理员权限。在这种情况下，APP B就具备了该智能电灯的最高权限，且APP B能够对APP A的权限进行修改，这就存在APP B的权限不可控的问题，存在安全性问题。

下面，结合图2，首先对相关技术提供的设备配对过程进行介绍说明。在图2中，APP A表示第一应用程序，APP B表示第二应用程序，Node表示物联网设备，且第一应用程序和第二应用程序隶属于不同的生态。该过程可以包括如下步骤(201～216)：

步骤201，APP A作为Node的第一生态，首先生成OT(Onboarding Token，自注册令牌)数据；

步骤202，由APP A的用户决定是否启动Node进入配对模式(使设备进入可以被其他生态配置连接的状态)；

步骤203，APP A向Node发送打开配对命令请求，携带OT数据，数据格式为TLV(Tag-Length-Value，标签-长度-内容)；

步骤204，Node向APP A发送配对状态是否启动成功的返回信息；

步骤205，Node根据OT中DNS-SD(DNS Service Discovery，DNS服务发现)数据，发布DNS-SD数据；

步骤206，APP A通过带外方式将OT数据分享给APP B，APP B属于第二生态；

步骤207，APP B执行DNS-SD数据的查询；

步骤208，APP B发现Node发来的DNS-SD数据，解析IP(Internet Protocol，互联网协议)地址和端口号；

步骤209，APP B与Node根据OT数据中的PIN(Personal Identification Number，个人识别码)建立安全连接；

步骤210，APP B对Node发起设备认证，向设备发送operational(操作)CSR(Certificate Signing Request，证书签名请求)；设备认证过程需要对设备内置的PAA(Product Attestation Authority，产品认证机构)和CD(Certification Declaration，认证声明)信息进行校验，且设备被APP A配对且认证过，所以存在由APP A生成的fabric object(组织对象)信息；

步骤211，Node将CSR、CD、fabric object信息发送给APP B(APP B检查设备的CD，检查设备是否被CHIP(Connected Home over IP Working Group，Zigbee联盟下通过IP连接家庭工作组)认证机构认证过)；

步骤212，APP B决定创建新的fabric ID还是使用来自fabric object信息中的fabric ID；其中，fabric ID 是生态为设备分配的标识；

步骤213，APP B将Node发来的CSR信息和fabric ID发送给CA B(APP B的证书颁发机构)；

步骤214，CA B根据CSR数据信息生成OC(Operational Credential，操作凭证)，并连同生态的根证书RC.B返回给APP B；

步骤215，APP B向设备设置ACL(Access Control List，访问控制列表)信息，数据有：OC(包括为设备生成的NodeID信息、FabricID信息、操作证书信息)，根证书RC.B，设备默认的ACL信息(其中privilege(权限)默认为administer(管理员权限)，target_struct可以是设备出厂时默认的资源信息)；

步骤216，在Node上追加生成针对APP B的ACL信息，Node将OT数据移除。

其中，TLV格式的OT数据包括如下表1所示信息：

表1

另外，ALC privilege(ACL权限)包括如下表2示出的几种权限：

表2

本申请实施例提供的技术方案，如表3所示，在OT数据中添加权限信息(如包括Privilege和Target_struct)，从而实现在第二应用程序(APP B)与物联网设备建立配对之前，由第一应用程序(APP A)对该第二应用程序(APP B)所具有的权限进行设置，实现对第二应用程序(APP B)的权限可控。

表3

下面，将通过几个实施例对本申请技术方案进行详细介绍说明。

请参考图3，其示出了本申请一个实施例提供的设备访问控制权限的设置方法的流程图。该方法可应用于图1所示的方案实施环境中。该方法可以包括如下几个步骤：

步骤310，第一应用程序向物联网设备发送打开配对命令请求，该打开配对命令请求是第一应用程序要求物联网设备打开配对功能的请求；其中，打开配对命令请求中包括第一应用程序设置的第一权限信息，该第一权限信息用于设置第二应用程序针对物联网设备的访问控制权限。

相应地，物联网设备接收来自第一应用程序的打开配对命令请求。物联网设备接收到该打开配对命令请求之后，打开配对功能，在打开配对功能之后，该物联网设备能够被其他应用程序发现和配对，也即物联网设备进入能够被其他应用程序配置连接的状态。

与相关技术所不同的是，在本申请中，打开配对命令请求中包括第一应用程序设置的第一权限信息，该第一权限信息用于设置第二应用程序针对物联网设备的访问控制权限。也即，在第二应用程序与物联网设备建立配对之前，由第一应用程序对该第二应用程序所具有的权限进行设置，并发送给物联网设备，从而实现对第二应用程序的权限可控。

在一个示例中，打开配对命令请求中包括OT数据，该OT数据中包括第一权限信息。例如，参考表1和表3，如果采用相关技术提供的方案，打开配对命令请求中包括的OT数据如表1所示，包括Version(版本)、VID(供应商标识)、PID(产品识别码)、Discriminator(鉴别标识)、PIN(个人识别码)、DNS-SD 和Special Instructions(特殊说明)。采用本申请技术方案，打开配对命令请求中包括的OT数据可以如表3所示，除了包括上述几项信息之外，还额外添加了Privilege(权限等级)和Target_struct(目标结构数据)。

Privilege(权限等级)和Target_struct(目标结构数据)都是与权限设置相关的信息。在一些实施例中，OT数据中可以包括Privilege(权限等级)但不包括Target_struct(目标结构数据)。在一些实施例中，OT数据中可以包括Target_struct(目标结构数据)但不包括Privilege(权限等级)。在一些实施例中，OT数据中包括Privilege(权限等级)和Target_struct(目标结构数据)。

下面，对上述第一权限信息进行介绍说明。

在示例性实施例中，第一权限信息包括权限等级，即上述Privilege。不同的权限等级具有不同的权限。示例性地，权限等级包括上述表2列出的5种权限。当前，在实际应用中，还可以结合实际需求对权限等级进行增减或修改，本申请对此不作限定。

可选地，第一权限信息中包括的权限等级为以下任意一种：

第一权限等级(相当于表2中的Administer权限)，具备查看和修改物联网设备所属的ACL集群的权限；

第二权限等级(相当于表2中的Manage权限)，具备修改物联网设备的配置的权限；

第三权限等级(相当于表2中的Operate权限)，具备控制物联网设备执行操作的权限；

第四权限等级(相当于表2中的View权限)，具备读取和查看物联网设备的设备信息的权限；

第五权限等级(相当于表2中的None权限)，不具备访问物联网设备的权限。

在示例性实施例中，第一权限信息还包括目标结构数据，即上述Target_struct。目标结构数据用于指示权限等级对应的设置对象。该设置对象可以是上述物联网设备，也可以是上述物联网设备中的某一个功能/模块。

在一个示例中，目标结构数据包括以下信息中的至少一项：端点(endpoint)、设备类型(DeviceType)、服务集群(cluster)。以物联网设备为Zigbee设备为例，一个Zigbee设备可以看作是网络中的一个节点(Node)，该节点可能具有多个端点(Endpoint)，每个端点具有相应的设备类型(DeviceType)，每个端点下可能存在多个服务集群(Server Cluster，简称“集群”)。进一步地，每个集群下面可能存在多个属性(Attribute)，每个属性都具备自己的数据类型和数据内容(Type&Data)。例如，某一物联网设备包括2个灯(记为灯1和灯2)和1个风扇，那么该物联网设备可以包括3个端点(对应上述2个灯和1个风扇，每个灯/风扇可以看作是一个端点)，灯和风扇属于不同的设备类型，灯下面可以包括开关控制、亮度调节、颜色调节等多个服务集群，风扇下面也可以包括开关控制、风速控制、冷热控制等多个服务集群。

因此，在第一权限信息包括目标结构数据的情况下，可以对物联网设备中的某一个/多个设置对象进行针对性的权限设置，实现更细粒度的权限设置能力。例如，第一权限信息中包括的权限等级为Operate权限，目标结构数据为Endpoint 0(如指代上述例子中的灯1)，那么表明第一应用程序设置的是，第二应用程序对该物联网设备中的灯1具备Operate权限。又例如，第一权限信息中包括的权限等级为View权限，目标结构数据为Endpoint 2(如指代上述例子中的风扇)，那么表明第一应用程序设置的是，第二应用程序对该物联网设备中的风扇具备View权限。

需要说明的是，第一权限信息中可以包括一组相对应的权限等级和目标结构数据，也可以包括多组相对应的权限等级和目标结构数据(实现对多个设置对象的访问控制权限进行设置)。

此外，第一应用程序和第二应用程序可以隶属于不同的生态，也可以隶属于同一个生态，本申请对此不作限定。有关“生态”的介绍说明可参见上文，此处不再赘述。在一个示例中，第一应用程序和第二应用程序隶属于两个不同的生态，例如第一应用程序属于第一生态，第二应用程序属于第二生态，该第一生态和第二生态是两个不同生态。这样，通过本申请技术方案，能够实现一个生态中的应用程序，对另一个生态中的应用程序进行设备访问控制权限的设置，即实现跨生态(或者说跨平台)地设置设备访问控制权限，使得方案应用场景更具通用性和普适性。

综上所述，本申请实施例提供的技术方案，通过在第一应用程序向物联网设备发送的打开配对命令请求中，携带该第一应用程序设置的第一权限信息，利用该第一权限信息对第二应用程序针对该物联网设备的访问控制权限进行设置，从而实现在第二应用程序与物联网设备建立配对之前，由第一应用程序对该第二应用程序所具有的权限进行设置，实现对第二应用程序的权限可控，有助于提升安全性。

例如，在一个可选示例中，第一应用程序可以通过配置第一权限信息，为第二应用程序设置除管理员权限(Administer权限)之外的权限，从而保证第一应用程序的管理员权限不被更改。并且，第二应用程序在配置设备后不具备修改设备ACL信息的能力，例如：家庭网络中母亲作为第一应用程序的持有者，孩子作为第二应用程序持有者，针对家庭设备，在设备的配置阶段母亲就通过第一应用程序为孩子的第二应用程序分配好除管理员权限之外的访问控制权限，防止第二应用程序成功接入设备后修改设备的操作权限。另外，第一应用程序还可以通过配置第一权限信息，为第二应用程序提供可被第二应用程序默认访问控制的设备资源信息(也即上述目标结构数据)。

在示例性实施例中，如图4所示，在上述步骤310第一应用程序向物联网设备发送打开配对命令请求之后，上述方法还包括：

步骤320，第一应用程序向第二应用程序发送OT数据共享信息。

相应地，第二应用程序接收来自第一应用程序的OT数据共享信息。

OT数据共享信息是第一应用程序通过带外方式向第二应用程序分享的OT数据。此处带外方式是指不基于物联网设备中转的方式，例如第一应用程序通过邮件、文件传输或者其他方式，向第二应用程序发送OT数据共享信息。

OT数据共享信息中包括OT数据，如上文介绍的Version(版本)、VID(供应商标识)、PID(产品识别码)、Discriminator(鉴别标识)、PIN(个人识别码)、DNS-SD和Special Instructions(特殊说明)等数据。

在一个示例中，OT数据共享信息中不包括第一权限信息。在这种情况下，如图4中的A部分所示，上述方法还包括如下步骤330～350：

步骤330，在OT数据共享信息中不包括第一权限信息的情况下，第二应用程序向物联网设备发送携带第二权限信息的ACL信息设置请求；其中，第二权限信息是第二应用程序基于默认规则为自身设置的针对物联网设备的访问控制权限。

相应地，物联网设备接收来自第二应用程序的ACL信息设置请求，该ACL信息设置请求中包括第二权限信息。

可选地，如果默认规则为将权限等级默认设置为Administer权限，将目标数据结构设置为设备出厂时默认的资源信息，那么第二应用程序可以基于该默认规则生成上述第二权限信息，该第二权限信息中包括的权限等级为Administer权限，目标数据结构为设备出厂时默认的资源信息。当然，在一些实施例中，默认规则还可以是其他预先设定的规则，本申请对此不作限定。

在一些其他实施例中，在OT数据共享信息中包括第一权限信息的情况下，第二应用程序也可以基于默认规则为自身设置针对物联网设备的访问控制权限，并向物联网设备发送携带第二权限信息的ACL信息设置请求。在这种情况下，物联网设备同样需要执行下述步骤340，判断第二权限信息与第一权限信息是否相符。

步骤340，若第二权限信息与第一权限信息不相符，则物联网设备将第二应用程序的权限信息设置为第一权限信息，并在ACL信息中存储第二应用程序的权限信息。

第二权限信息与第一权限信息相符，可以是指第二权限信息与第一权限信息相同；相应地，第二权限信息与第一权限信息不相符，可以是指第二权限信息与第一权限信息不相同。

在一个示例中，假设权限信息包括权限等级，在第二权限信息中包括的权限等级与第一权限信息中包括的权限等级相同时，表示第二权限信息与第一权限信息相符；反之，在第二权限信息中包括的权限等级与第一权限信息中包括的权限等级不相同时，表示第二权限信息与第一权限信息不相符。

在另一个示例中，假设权限信息包括权限等级和目标结构数据，在第二权限信息中包括的权限等级与第一权限信息中包括的权限等级相同，且第二权限信息中包括的目标结构数据与第一权限信息中包括的目标结构数据也相同时，表示第二权限信息与第一权限信息相符；反之，在第二权限信息中包括的权限等级与第一权限信息中包括的权限等级不相同，和/或，第二权限信息中包括的目标结构数据与第一权限信息中包括的目标结构数据不相同时，表示第二权限信息与第一权限信息不相符。

若第二权限信息与第一权限信息不相符，那么以第一权限信息为准，也即物联网设备将第二应用程序的权限信息设置为第一权限信息，并在ACL信息中存储第二应用程序的权限信息。

另外，若第二权限信息与第一权限信息相符，则以第一权限信息或第二权限信息为准均可，也即物联网设备将第二应用程序的权限信息设置为第一权限信息或第二权限信息，并在ACL信息中存储第二应用程序的权限信息。

步骤350，物联网设备向第二应用程序发送第二应用程序的权限信息。

相应地，第二应用程序接收来自物联网设备的该第二应用程序的权限信息。

可选地，在第二权限信息与第一权限信息不相符的情况下，物联网设备向第二应用程序发送第二应用程序的权限信息，该第二应用程序的权限信息为第一权限信息。

在本实施例中，第一应用程序向第二应用程序发送的OT数据共享信息中可以不包括第一权限信息，此时如果第二应用程序基于默认规则为自身设置针对物联网设备的访问控制权限，那么物联网设备在存储该第二应用程序对应的ACL信息时，以第一应用程序设置的第一权限信息为准，实现第一应用程序对第二应用程序的权限可控。

在另一个示例中，OT数据共享信息中包括第一权限信息，以使得第二应用程序在向物联网设备发送ACL信息设置请求时，携带第一权限信息。在这种情况下，如图4中的B部分所示，上述方法还包括如下步骤360～380：

步骤360，在OT数据共享信息中包括第一权限信息的情况下，第二应用程序向物联网设备发送携带第一权限信息的ACL信息设置请求；其中，第一权限信息是第一应用程序设置的。

相应地，物联网设备接收来自第二应用程序的ACL信息设置请求，该ACL信息设置请求中包括第一权限信息。

如果OT数据共享信息中包括第一权限信息，那么第二应用程序在为自身设置针对物联网设备的访问控制权限时，以该第一权限信息为准，不再以默认规则为准。

步骤370，若ACL信息设置请求中包括第一权限信息校验通过，则物联网设备将第二应用程序的权限信息设置为第一权限信息，并在ACL信息中存储第二应用程序的权限信息。

步骤380，若ACL信息设置请求中包括第一权限信息校验未通过，则物联网设备终止与第二应用程序的配对流程。

物联网设备在接收到来自第二应用程序的ACL信息设置请求之后，校验该ACL信息设置请求中包括第一权限信息与第一应用程序提供的第一权限信息是否相同，如果两者相同则校验通过，否则如果两者不相同则校验未通过。在校验通过的情况下，物联网设备将第二应用程序的权限信息设置为第一权限信息，并在ACL信息中存储第二应用程序的权限信息。在校验未通过的情况下，物联网设备终止与第二应用程序的配对流程。可选地，物联网设备还向第二应用程序发送校验结果。

在本实施例中，第一应用程序向第二应用程序发送的OT数据共享信息中包括第一权限信息，此时第二应用程序在为自身设置针对物联网设备的访问控制权限时，以该第一权限信息为准，物联网设备在存储该第二应用程序对应的ACL信息时，对ACL信息设置请求中包括的第一权限信息进行校验，核实第二应用程序是否采用了第一应用程序配置的访问控制权限，从而实现第一应用程序对第二应用程序的权限可控。

下面，结合图5，对本申请提供的一示例性实施例进行介绍说明，其可以包括如下几个步骤：

步骤501，APP A作为Node的第一生态，首先生成OT数据，该OT数据中包括第一权限信息，该第一权限信息是APP A设置的，该第一权限信息用于设置APP B针对Node的访问控制权限；

步骤502，由APP A的用户决定是否启动Node进入配对模式(使设备进入可以被其他生态配置连接的状态)；

步骤503，APP A向Node发送打开配对命令请求，携带OT数据(该OT数据中携带上述第一权限信息)，数据格式为TLV；

步骤504，Node向APP A发送配对状态是否启动成功的返回信息；

步骤505，Node根据OT中DNS-SD数据，发布DNS-SD数据；

步骤506，APP A通过带外方式将OT数据(该OT数据中可以携带第一权限信息，也可以不携带第一权限信息)分享给APP B，APP B属于第二生态；

步骤507，APP B执行DNS-SD数据的查询；

步骤508，APP B发现Node发来的DNS-SD数据，解析IP地址和端口号；

步骤509，APP B与Node根据OT数据中的PIN建立安全连接；

步骤510，APP B对Node发起设备认证，向设备发送operational CSR；设备认证过程需要对设备内置的PAA和CD信息进行校验，且设备被APP A配对且认证过，所以存在由APP A生成的fabric object(组织对象)信息；

步骤511，Node将CSR、CD、fabric object信息发送给APP B(APP B检查设备的CD，检查设备是否被CHIP认证机构认证过)；

步骤512，APP B决定创建新的fabric ID还是使用来自fabric object信息中的fabric ID；

步骤513，APP B将Node发来的CSR信息和fabric ID发送给CA B(APP B的证书颁发机构)；

步骤514，CA B根据CSR数据信息生成OC，并连同生态的根证书RC.B返回给APP B；

步骤515，APP B向Node发送ACL信息设置请求，数据有：OC(包括为设备生成的NodeID信息、FabricID信息、操作证书信息)，根证书RC.B，设备默认的ACL信息(即第二权限信息，包括privilege(权限)默认为administer(管理员权限)，target_struct可以是设备出厂时默认的资源信息)；

步骤516，在Node上追加生成针对APP B的ACL信息：将ACL信息设置请求中的第二权限信息与OT数据中包含的第一权限信息比较，若两者不相符，则将APP B的权限信息设置为第一权限信息；

步骤517，返回APP B的ACL信息，包括APP B的权限信息；

步骤518，Node将OT数据移除。

下面，结合图6，对本申请提供的一示例性实施例进行介绍说明，其可以包括如下几个步骤：

步骤601，APP A作为Node的第一生态，首先生成OT数据，该OT数据中包括第一权限信息，该第一权限信息是APP A设置的，该第一权限信息用于设置APP B针对Node的访问控制权限；

步骤602，由APP A的用户决定是否启动Node进入配对模式(使设备进入可以被其他生态配置连接的状态)；

步骤603，APP A向Node发送打开配对命令请求，携带OT数据(该OT数据中携带上述第一权限信息)，数据格式为TLV；

步骤604，Node向APP A发送配对状态是否启动成功的返回信息；

步骤605，Node根据OT中DNS-SD数据，发布DNS-SD数据；

步骤606，APP A通过带外方式将OT数据(该OT数据中携带第一权限信息)分享给APP B，APP B属于第二生态；

步骤607，APP B执行DNS-SD数据的查询；

步骤608，APP B发现Node发来的DNS-SD数据，解析IP地址和端口号；

步骤609，APP B与Node根据OT数据中的PIN建立安全连接；

步骤610，APP B对Node发起设备认证，向设备发送operational CSR；设备认证过程需要对设备内置的PAA和CD信息进行校验，且设备被APP A配对且认证过，所以存在由APP A生成的fabric object(组织对象)信息；

步骤611，Node将CSR、CD、fabric object信息发送给APP B(APP B检查设备的CD，检查设备是否被CHIP认证机构认证过)；

步骤612，APP B决定创建新的fabric ID还是使用来自fabric object信息中的fabric ID；

步骤613，APP B将Node发来的CSR信息和fabric ID发送给CA B(APP B的证书颁发机构)；

步骤614，CA B根据CSR数据信息生成OC，并连同生态的根证书RC.B返回给APP B；

步骤615，APP B根据第一权限信息，设置ACL信息；

步骤616，APP B向Node发送ACL信息设置请求，数据有：OC(包括为设备生成的NodeID信息、FabricID信息、操作证书信息)，根证书RC.B，以及步骤615生成的ACL信息，包括第一权限信息)；

步骤617，Node校验请求中携带的第一权限信息和OT数据中的第一权限信息是否一致，若一致则校验通过，否则校验未通过；

步骤618，校验通过，Node将APP B的权限信息设置为第一权限信息，并在ACL信息中存储；

步骤619，校验未通过，Node终止与APP B的配对流程；

步骤620，Node将OT数据移除。

需要说明的是，在上述方法实施例中，大多从第一应用程序、物联网设备以及第二应用程序交互的角度，对本申请技术方案进行了介绍说明。有关物联网设备执行的步骤，可以单独实现成为物联网设备侧的设备访问控制权限的设置方法；有关第一应用程序执行的步骤，可以单独实现成为第一应用程序侧的设备访问控制权限的设置方法；有关第二应用程序执行的步骤，可以单独实现成为第二应用程序侧的设备访问控制权限的设置方法。

下述为本申请装置实施例，可以用于执行本申请方法实施例。对于本申请装置实施例中未披露的细节，请参照本申请方法实施例。

请参考图7，其示出了本申请一个实施例提供的设备访问控制权限的设置装置的框图。该装置具有实现上述物联网设备侧的方法示例的功能，所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该装置可以是上文介绍的物联网设备，也可以设置在物联网设备中。如图7所示，该装置700可以包括：

请求接收模块710，用于接收来自第一应用程序的打开配对命令请求，所述打开配对命令请求是所述第一应用程序要求物联网设备打开配对功能的请求；其中，所述打开配对命令请求中包括所述第一应用程序设置的第一权限信息，所述第一权限信息用于设置第二应用程序针对所述物联网设备的访问控制权限。

在一个可选实施例中，所述第一权限信息包括权限等级。

可选地，所述第一权限信息还包括目标结构数据，所述目标结构数据用于指示所述权限等级对应的设置对象。

可选地，所述目标结构数据包括以下信息中的至少一项：端点、设备类型、服务集群。

可选地，所述权限等级为以下任意一种：

第一权限等级，具备查看和修改所述物联网设备所属的ACL集群的权限；

第二权限等级，具备修改所述物联网设备的配置的权限；

第三权限等级，具备控制所述物联网设备执行操作的权限；

第四权限等级，具备读取和查看所述物联网设备的设备信息的权限；

第五权限等级，不具备访问所述物联网设备的权限。

在一个可选实施例中，所述第一应用程序和所述第二应用程序隶属于不同的生态。

在一个可选实施例中，所述打开配对命令请求中包括OT数据，所述OT数据中包括所述第一权限信息。

在一个可选实施例中，如图7所示，所述装置700还包括：

信息存储模块720，用于基于所述第一权限信息，存储与所述第二应用程序对应的ACL信息。

在一个示例中，所述信息存储模块720，用于：

接收来自所述第二应用程序的ACL信息设置请求，所述ACL信息设置请求中包括第二权限信息，所述第二权限信息是所述第二应用程序基于默认规则为自身设置的针对所述物联网设备的访问控制权限；

若所述第二权限信息与所述第一权限信息不相符，则将所述第二应用程序的权限信息设置为所述第一权限信息，并在ACL信息中存储所述第二应用程序的权限信息；

向所述第二应用程序发送所述第二应用程序的权限信息。

在另一个示例中，所述信息存储模块720，用于：

接收来自所述第二应用程序的ACL信息设置请求，所述ACL信息设置请求中包括所述第一权限信息，所述第一权限信息是所述第一应用程序发送给所述第二应用程序的；

若所述ACL信息设置请求中包括所述第一权限信息校验通过，则将所述第二应用程序的权限信息设置为所述第一权限信息，并在ACL信息中存储所述第二应用程序的权限信息；

若所述ACL信息设置请求中包括所述第一权限信息校验未通过，则终止与所述第二应用程序的配对流程。

请参考图8，其示出了本申请另一个实施例提供的设备访问控制权限的设置装置的框图。该装置具有实现上述第一应用程序侧的方法示例的功能，所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该装置可以是上文介绍的第一终端设备，也可以设置在第一终端设备中。如图8所示，该装置800可以包括：

请求发送模块810，用于向物联网设备发送打开配对命令请求，所述打开配对命令请求是第一应用程序要求所述物联网设备打开配对功能的请求；其中，所述打开配对命令请求中包括所述第一应用程序设置的第一权限信息，所述第一权限信息用于设置第二应用程序针对所述物联网设备的访问控制权限。

在一个可选实施例中，所述第一权限信息包括权限等级。

可选地，所述权限等级为以下任意一种：

第二权限等级，具备修改所述物联网设备的配置的权限；

第三权限等级，具备控制所述物联网设备执行操作的权限；

第五权限等级，不具备访问所述物联网设备的权限。

在一个可选实施例中，如图8所示，所述装置800还包括：

信息发送模块820，用于向所述第二应用程序发送OT数据共享信息，所述OT数据共享信息中不包括所述第一权限信息。

在一个可选实施例中，如图8所示，所述装置800还包括：

信息发送模块820，用于向所述第二应用程序发送OT数据共享信息，所述OT数据共享信息中包括所述第一权限信息，以使得所述第二应用程序在向所述物联网设备发送ACL信息设置请求时，携带所述第一权限信息。

请参考图9，其示出了本申请另一个实施例提供的设备访问控制权限的设置装置的框图。该装置具有实现上述第二应用程序侧的方法示例的功能，所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该装置可以是上文介绍的第二终端设备，也可以设置在第二终端设备中。如图9所示，该装置900可以包括：

信息接收模块910，用于接收来自第一应用程序的OT数据共享信息；

设置请求模块920，用于在所述OT数据共享信息中包括第一权限信息的情况下，向物联网设备发送携带所述第一权限信息的ACL信息设置请求；其中，所述第一权限信息是所述第一应用程序设置的，所述第一权限信息用于设置第二应用程序针对所述物联网设备的访问控制权限。

在一个可选实施例中，所述第一权限信息包括权限等级。

可选地，所述权限等级为以下任意一种：

第二权限等级，具备修改所述物联网设备的配置的权限；

第三权限等级，具备控制所述物联网设备执行操作的权限；

第五权限等级，不具备访问所述物联网设备的权限。

在一个可选实施例中，所述设置请求模块920，还用于在所述OT数据共享信息中不包括所述第一权限信息的情况下，向所述物联网设备发送携带第二权限信息的ACL信息设置请求；其中，所述第二权限信息是所述第二应用程序基于默认规则为自身设置的针对所述物联网设备的访问控制权限。

可选地，所述装置900还包括：权限接收模块(图中未示出)，用于接收来自所述物联网设备的所述第二应用程序的权限信息；其中，所述第二应用程序的权限信息是所述物联网设备在确定所述第二权限信息与所述第一权限信息不相符的情况下，基于所述第一权限信息设置的。

需要说明的一点是，上述实施例提供的装置在实现其功能时，仅以上述各个功能模块的划分进行举例说明，实际应用中，可以根据实际需要而将上述功能分配由不同的功能模块完成，即将设备的内容结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。

关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

请参考图10，其示出了本申请一个实施例提供的物联网设备100的结构示意图。该物联网设备100可以用于实现上述物联网设备侧的设备访问控制权限的设置方法。该物联网设备100可以包括：处理器101、接收器102、发射器103、存储器104和总线105。

处理器101包括一个或者一个以上处理核心，处理器101通过运行软件程序以及模块，从而执行各种功能应用以及信息处理。

接收器102和发射器103可以实现为一个通信组件，该通信组件可以是一块通信芯片。

存储器104通过总线105与处理器101相连。

存储器104可用于存储计算机程序，处理器101用于执行该计算机程序，以实现上述方法实施例中的物联网设备执行的各个步骤。

此外，存储器104可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，易失性或非易失性存储设备包括但不限于：RAM(Random-Access Memory，随机存储器)和ROM(Read-Only Memory，只读存储器)、EPROM(Erasable Programmable Read-Only Memory，可擦写可编程只读存储器)、EEPROM(Electrically Erasable Programmable Read-Only Memory，电可擦写可编程只读存储器)、闪存或其他固态存储其技术，CD-ROM(Compact Disc Read-Only Memory，只读光盘)、DVD(Digital Video Disc，高密度数字视频光盘)或其他光学存储、磁带盒、磁带、磁盘存储或其他磁性存储设备。

在示例性实施例中，所述物联网设备包括处理器、存储器和收发器(该收发器可以包括接收器和发射器，接收器用于接收信息，发射器用于发送信息)；

所述收发器用于接收来自第一应用程序的打开配对命令请求，所述打开配对命令请求是所述第一应用程序要求所述物联网设备打开配对功能的请求；其中，所述打开配对命令请求中包括所述第一应用程序设置的第一权限信息，所述第一权限信息用于设置第二应用程序针对所述物联网设备的访问控制权限。

在一个可选实施例中，所述第一权限信息包括权限等级。

可选地，所述权限等级为以下任意一种：

第二权限等级，具备修改所述物联网设备的配置的权限；

第三权限等级，具备控制所述物联网设备执行操作的权限；

第五权限等级，不具备访问所述物联网设备的权限。

在一个可选实施例中，所述处理器用于基于所述第一权限信息，存储与所述第二应用程序对应的ACL信息。

在一个示例中，所述收发器还用于接收来自所述第二应用程序的ACL信息设置请求，所述ACL信息设置请求中包括第二权限信息，所述第二权限信息是所述第二应用程序基于默认规则为自身设置的针对所述物联网设备的访问控制权限；

所述处理器还用于若所述第二权限信息与所述第一权限信息不相符，则将所述第二应用程序的权限信息设置为所述第一权限信息，并在ACL信息中存储所述第二应用程序的权限信息；

所述收发器还用于向所述第二应用程序发送所述第二应用程序的权限信息。

在另一个示例中，所述收发器，还用于接收来自所述第二应用程序的ACL信息设置请求，所述ACL信息设置请求中包括所述第一权限信息，所述第一权限信息是所述第一应用程序发送给所述第二应用程序的；

所述处理器还用于若所述ACL信息设置请求中包括所述第一权限信息校验通过，则将所述第二应用程序的权限信息设置为所述第一权限信息，并在ACL信息中存储所述第二应用程序的权限信息；若所述ACL信息设置请求中包括所述第一权限信息校验未通过，则终止与所述第二应用程序的配对流程。

请参考图11，其示出了本申请一个实施例提供的终端设备111的结构示意图。该终端设备111可以用于实现上述第一应用程序/第二应用程序侧的设备访问控制权限的设置方法。该终端设备110可以包括：处理器111、接收器112、发射器113、存储器114和总线115。

处理器111包括一个或者一个以上处理核心，处理器111通过运行软件程序以及模块，从而执行各种功能应用以及信息处理。

接收器112和发射器113可以实现为一个通信组件，该通信组件可以是一块通信芯片。

存储器114通过总线115与处理器111相连。

存储器114可用于存储计算机程序，处理器111用于执行该计算机程序，以实现上述方法实施例中的第一应用程序/第二应用程序执行的各个步骤。

此外，存储器114可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，易失性或非易失性存储设备包括但不限于：磁盘或光盘，电可擦除可编程只读存储器(EEPROM)，可擦除可编程只读存储器(EPROM)，静态随时存取存储器(SRAM)，只读存储器(ROM)，磁存储器，快闪存储器，可编程只读存储器(PROM)。

在示例性实施例中，所述终端设备包括处理器、存储器和收发器(该收发器可以包括接收器和发射器，接收器用于接收信息，发射器用于发送信息)。

在所述终端设备为运行有第一应用程序的第一终端设备的情况下，

所述收发器用于向物联网设备发送打开配对命令请求，所述打开配对命令请求是所述第一应用程序要求所述物联网设备打开配对功能的请求；其中，所述打开配对命令请求中包括所述第一应用程序设置的第一权限信息，所述第一权限信息用于设置第二应用程序针对所述物联网设备的访问控制权限。

在一个可选实施例中，所述第一权限信息包括权限等级。

可选地，所述权限等级为以下任意一种：

第二权限等级，具备修改所述物联网设备的配置的权限；

第三权限等级，具备控制所述物联网设备执行操作的权限；

第五权限等级，不具备访问所述物联网设备的权限。

在一个可选实施例中，所述收发器还用于向所述第二应用程序发送OT数据共享信息，所述OT数据共享信息中不包括所述第一权限信息。

在一个可选实施例中，所述收发器还用于向所述第二应用程序发送OT数据共享信息，所述OT数据共享信息中包括所述第一权限信息，以使得所述第二应用程序在向所述物联网设备发送ACL信息设置请求时，携带所述第一权限信息。

在所述终端设备为运行有第二应用程序的第二终端设备的情况下，

所述收发器用于接收来自第一应用程序的OT数据共享信息；

所述收发器还用于在所述OT数据共享信息中包括第一权限信息的情况下，向物联网设备发送携带所述第一权限信息的ACL信息设置请求；其中，所述第一权限信息是所述第一应用程序设置的，所述第一权限信息用于设置所述第二应用程序针对所述物联网设备的访问控制权限。

在一个可选实施例中，所述第一权限信息包括权限等级。

可选地，所述权限等级为以下任意一种：

第二权限等级，具备修改所述物联网设备的配置的权限；

第三权限等级，具备控制所述物联网设备执行操作的权限；

第五权限等级，不具备访问所述物联网设备的权限。

在一个可选实施例中，所述收发器还用于在所述OT数据共享信息中不包括所述第一权限信息的情况下，向所述物联网设备发送携带第二权限信息的ACL信息设置请求；其中，所述第二权限信息是所述第二应用程序基于默认规则为自身设置的针对所述物联网设备的访问控制权限。

可选地，所述收发器还用于接收来自所述物联网设备的所述第二应用程序的权限信息；其中，所述第二应用程序的权限信息是所述物联网设备在确定所述第二权限信息与所述第一权限信息不相符的情况下，基于所述第一权限信息设置的。

本申请一示例性实施例还提供了一种计算机可读存储介质，所述存储介质中存储有计算机程序，所述计算机程序用于被处理器执行，以实现上述物联网设备侧的设备访问控制权限的设置方法，或上述第一应用程序侧的设备访问控制权限的设置方法，或上述第二应用程序侧的设备访问控制权限的设置方法。

例如，一种计算机可读存储介质，所述存储介质中存储有计算机程序，所述计算机程序用于被物联网设备的处理器执行，以实现上述物联网设备侧的设备访问控制权限的设置方法。

又例如，一种计算机可读存储介质，所述存储介质中存储有计算机程序，所述计算机程序用于被终端设备的处理器执行，以实现上述第一应用程序侧的设备访问控制权限的设置方法。

再例如，一种计算机可读存储介质，所述存储介质中存储有计算机程序，所述计算机程序用于被终端设备的处理器执行，以实现上述第二应用程序侧的设备访问控制权限的设置方法。

本申请一示例性实施例还提供了一种芯片，所述芯片包括可编程逻辑电路和/或程序指令，当所述芯片运行时，用于实现上述物联网设备侧的设备访问控制权限的设置方法，或上述第一应用程序侧的设备访问控制权限的设置方法，或上述第二应用程序侧的设备访问控制权限的设置方法。

例如，一种芯片，所述芯片包括可编程逻辑电路和/或程序指令，当所述芯片在物联网设备上运行时，用于实现上述物联网设备侧的设备访问控制权限的设置方法。

又例如，一种芯片，所述芯片包括可编程逻辑电路和/或程序指令，当所述芯片在第一应用程序所在的终端设备上运行时，用于实现上述第一应用程序侧的设备访问控制权限的设置方法。

再例如，一种芯片，所述芯片包括可编程逻辑电路和/或程序指令，当所述芯片在第二应用程序所在的终端设备上运行时，用于实现上述第二应用程序侧的设备访问控制权限的设置方法。

本申请一示例性实施例还提供了一种计算机程序产品或计算机程序，所述计算机程序产品或计算机程序包括计算机指令，所述计算机指令存储在计算机可读存储介质中，处理器从所述计算机可读存储介质读取并执行所述计算机指令，以实现上述物联网设备侧的设备访问控制权限的设置方法，或上述第一应用程序侧的设备访问控制权限的设置方法，或上述第二应用程序侧的设备访问控制权限的设置方法。

例如，一种计算机程序产品或计算机程序，所述计算机程序产品或计算机程序包括计算机指令，所述计算机指令存储在计算机可读存储介质中，物联网设备的处理器从所述计算机可读存储介质读取并执行所述计算机指令，以实现上述物联网设备侧的设备访问控制权限的设置方法。

又例如，一种计算机程序产品或计算机程序，所述计算机程序产品或计算机程序包括计算机指令，所述计算机指令存储在计算机可读存储介质中，终端设备的处理器从所述计算机可读存储介质读取并执行所述计算机指令，以实现上述第一应用程序侧的设备访问控制权限的设置方法。

再例如，一种计算机程序产品或计算机程序，所述计算机程序产品或计算机程序包括计算机指令，所述计算机指令存储在计算机可读存储介质中，终端设备的处理器从所述计算机可读存储介质读取并执行所述计算机指令，以实现上述第二应用程序侧的设备访问控制权限的设置方法。

本领域技术人员应该可以意识到，在上述一个或多个示例中，本申请实施例所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时，可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质，其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。

以上所述仅为本申请的示例性实施例，并不用以限制本申请，凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

Claims

一种设备访问控制权限的设置方法，其特征在于，所述方法由物联网设备执行，所述方法包括：

接收来自第一应用程序的打开配对命令请求，所述打开配对命令请求是所述第一应用程序要求所述物联网设备打开配对功能的请求；其中，所述打开配对命令请求中包括所述第一应用程序设置的第一权限信息，所述第一权限信息用于设置第二应用程序针对所述物联网设备的访问控制权限。
根据权利要求1所述的方法，其特征在于，所述第一权限信息包括权限等级。
根据权利要求2所述的方法，其特征在于，所述第一权限信息还包括目标结构数据，所述目标结构数据用于指示所述权限等级对应的设置对象。
根据权利要求3所述的方法，其特征在于，所述目标结构数据包括以下信息中的至少一项：端点、设备类型、服务集群。
根据权利要求2至4任一项所述的方法，其特征在于，所述权限等级为以下任意一种：

第一权限等级，具备查看和修改所述物联网设备所属的访问控制列表ACL集群的权限；

第二权限等级，具备修改所述物联网设备的配置的权限；

第三权限等级，具备控制所述物联网设备执行操作的权限；

第四权限等级，具备读取和查看所述物联网设备的设备信息的权限；

第五权限等级，不具备访问所述物联网设备的权限。
根据权利要求1至5任一项所述的方法，其特征在于，所述第一应用程序和所述第二应用程序隶属于不同的生态。
根据权利要求1至6任一项所述的方法，其特征在于，所述打开配对命令请求中包括自注册令牌OT数据，所述OT数据中包括所述第一权限信息。
根据权利要求1至7任一项所述的方法，其特征在于，所述接收来自第一应用程序的打开配对命令请求之后，所述方法还包括：

基于所述第一权限信息，存储与所述第二应用程序对应的ACL信息。
根据权利要求8所述的方法，其特征在于，所述基于所述第一权限信息，存储与所述第二应用程序对应的ACL信息，包括：

接收来自所述第二应用程序的ACL信息设置请求，所述ACL信息设置请求中包括第二权限信息，所述第二权限信息是所述第二应用程序基于默认规则为自身设置的针对所述物联网设备的访问控制权限；

若所述第二权限信息与所述第一权限信息不相符，则将所述第二应用程序的权限信息设置为所述第一权限信息，并在ACL信息中存储所述第二应用程序的权限信息；

向所述第二应用程序发送所述第二应用程序的权限信息。
根据权利要求8所述的方法，其特征在于，所述基于所述第一权限信息，存储与所述第二应用程序对应的ACL信息，包括：

接收来自所述第二应用程序的ACL信息设置请求，所述ACL信息设置请求中包括所述第一权限信息，所述第一权限信息是所述第一应用程序发送给所述第二应用程序的；

若所述ACL信息设置请求中包括所述第一权限信息校验通过，则将所述第二应用程序的权限信息设置为所述第一权限信息，并在ACL信息中存储所述第二应用程序的权限信息；

若所述ACL信息设置请求中包括所述第一权限信息校验未通过，则终止与所述第二应用程序的配对流程。
一种设备访问控制权限的设置方法，其特征在于，所述方法由第一应用程序执行，所述方法包括：

向物联网设备发送打开配对命令请求，所述打开配对命令请求是所述第一应用程序要求所述物联网设备打开配对功能的请求；其中，所述打开配对命令请求中包括所述第一应用程序设置的第一权限信息，所述第一权限信息用于设置第二应用程序针对所述物联网设备的访问控制权限。
根据权利要求11所述的方法，其特征在于，所述第一权限信息包括权限等级。
根据权利要求12所述的方法，其特征在于，所述第一权限信息还包括目标结构数据，所述目标结构数据用于指示所述权限等级对应的设置对象。
根据权利要求13所述的方法，其特征在于，所述目标结构数据包括以下信息中的至少一项：端点、设备类型、服务集群。
根据权利要求12至14任一项所述的方法，其特征在于，所述权限等级为以下任意一种：

第一权限等级，具备查看和修改所述物联网设备所属的访问控制列表ACL集群的权限；

第二权限等级，具备修改所述物联网设备的配置的权限；

第三权限等级，具备控制所述物联网设备执行操作的权限；

第四权限等级，具备读取和查看所述物联网设备的设备信息的权限；

第五权限等级，不具备访问所述物联网设备的权限。
根据权利要求11至15任一项所述的方法，其特征在于，所述第一应用程序和所述第二应用程序隶属于不同的生态。
根据权利要求11至16任一项所述的方法，其特征在于，所述打开配对命令请求中包括自注册令牌OT数据，所述OT数据中包括所述第一权限信息。
根据权利要求11至17任一项所述的方法，其特征在于，所述向物联网设备发送打开配对命令请求之后，所述方法还包括：

向所述第二应用程序发送OT数据共享信息，所述OT数据共享信息中不包括所述第一权限信息。
根据权利要求11至17任一项所述的方法，其特征在于，所述向物联网设备发送打开配对命令请求之后，所述方法还包括：

向所述第二应用程序发送OT数据共享信息，所述OT数据共享信息中包括所述第一权限信息，以使得所述第二应用程序在向所述物联网设备发送ACL信息设置请求时，携带所述第一权限信息。
一种设备访问控制权限的设置方法，其特征在于，所述方法由第二应用程序执行，所述方法包括：

接收来自第一应用程序的自注册令牌OT数据共享信息；

在所述OT数据共享信息中包括第一权限信息的情况下，向物联网设备发送携带所述第一权限信息的访问控制列表ACL信息设置请求；其中，所述第一权限信息是所述第一应用程序设置的，所述第一权限信息用于设置所述第二应用程序针对所述物联网设备的访问控制权限。
根据权利要求20所述的方法，其特征在于，所述第一权限信息包括权限等级。
根据权利要求21所述的方法，其特征在于，所述第一权限信息还包括目标结构数据，所述目标结构数据用于指示所述权限等级对应的设置对象。
根据权利要求22所述的方法，其特征在于，所述目标结构数据包括以下信息中的至少一项：端点、设备类型、服务集群。
根据权利要求21至23任一项所述的方法，其特征在于，所述权限等级为以下任意一种：

第一权限等级，具备查看和修改所述物联网设备所属的ACL集群的权限；

第二权限等级，具备修改所述物联网设备的配置的权限；

第三权限等级，具备控制所述物联网设备执行操作的权限；

第四权限等级，具备读取和查看所述物联网设备的设备信息的权限；

第五权限等级，不具备访问所述物联网设备的权限。
根据权利要求20至24任一项所述的方法，其特征在于，所述第一应用程序和所述第二应用程序隶属于不同的生态。
根据权利要求20至25任一项所述的方法，其特征在于，所述接收来自第一应用程序的OT数据共享信息之后，所述方法还包括：

在所述OT数据共享信息中不包括所述第一权限信息的情况下，向所述物联网设备发送携带第二权限信息的ACL信息设置请求；其中，所述第二权限信息是所述第二应用程序基于默认规则为自身设置的针对所述物联网设备的访问控制权限。
根据权利要求26所述的方法，其特征在于，所述向所述物联网设备发送携带第二权限信息的ACL信息设置请求之后，所述方法还包括：

接收来自所述物联网设备的所述第二应用程序的权限信息；其中，所述第二应用程序的权限信息是所述物联网设备在确定所述第二权限信息与所述第一权限信息不相符的情况下，基于所述第一权限信息设置的。
一种设备访问控制权限的设置装置，其特征在于，所述装置包括：

请求接收模块，用于接收来自第一应用程序的打开配对命令请求，所述打开配对命令请求是所述第一应用程序要求物联网设备打开配对功能的请求；其中，所述打开配对命令请求中包括所述第一应用程序设置的第一权限信息，所述第一权限信息用于设置第二应用程序针对所述物联网设备的访问控制权限。
根据权利要求28所述的装置，其特征在于，所述第一权限信息包括权限等级。
根据权利要求29所述的装置，其特征在于，所述第一权限信息还包括目标结构数据，所述目标结构数据用于指示所述权限等级对应的设置对象。
根据权利要求30所述的装置，其特征在于，所述目标结构数据包括以下信息中的至少一项：端点、设备类型、服务集群。
根据权利要求29至31任一项所述的装置，其特征在于，所述权限等级为以下任意一种：

第一权限等级，具备查看和修改所述物联网设备所属的访问控制列表ACL集群的权限；

第二权限等级，具备修改所述物联网设备的配置的权限；

第三权限等级，具备控制所述物联网设备执行操作的权限；

第四权限等级，具备读取和查看所述物联网设备的设备信息的权限；

第五权限等级，不具备访问所述物联网设备的权限。
根据权利要求28至32任一项所述的装置，其特征在于，所述第一应用程序和所述第二应用程序隶属于不同的生态。
根据权利要求28至33任一项所述的装置，其特征在于，所述打开配对命令请求中包括自注册令牌OT数据，所述OT数据中包括所述第一权限信息。
根据权利要求28至34任一项所述的装置，其特征在于，所述装置还包括：

信息存储模块，用于基于所述第一权限信息，存储与所述第二应用程序对应的ACL信息。
根据权利要求35所述的装置，其特征在于，所述信息存储模块，用于：

接收来自所述第二应用程序的ACL信息设置请求，所述ACL信息设置请求中包括第二权限信息，所述第二权限信息是所述第二应用程序基于默认规则为自身设置的针对所述物联网设备的访问控制权限；

若所述第二权限信息与所述第一权限信息不相符，则将所述第二应用程序的权限信息设置为所述第一权限信息，并在ACL信息中存储所述第二应用程序的权限信息；

向所述第二应用程序发送所述第二应用程序的权限信息。
根据权利要求35所述的装置，其特征在于，所述信息存储模块，用于：

接收来自所述第二应用程序的ACL信息设置请求，所述ACL信息设置请求中包括所述第一权限信息，所述第一权限信息是所述第一应用程序发送给所述第二应用程序的；

若所述ACL信息设置请求中包括所述第一权限信息校验通过，则将所述第二应用程序的权限信息设置为所述第一权限信息，并在ACL信息中存储所述第二应用程序的权限信息；

若所述ACL信息设置请求中包括所述第一权限信息校验未通过，则终止与所述第二应用程序的配对流程。
一种设备访问控制权限的设置装置，其特征在于，所述装置包括：

请求发送模块，用于向物联网设备发送打开配对命令请求，所述打开配对命令请求是第一应用程序要求所述物联网设备打开配对功能的请求；其中，所述打开配对命令请求中包括所述第一应用程序设置的第一权限信息，所述第一权限信息用于设置第二应用程序针对所述物联网设备的访问控制权限。
根据权利要求38所述的装置，其特征在于，所述第一权限信息包括权限等级。
根据权利要求39所述的装置，其特征在于，所述第一权限信息还包括目标结构数据，所述目标结构数据用于指示所述权限等级对应的设置对象。
根据权利要求40所述的装置，其特征在于，所述目标结构数据包括以下信息中的至少一项：端点、设备类型、服务集群。
根据权利要求39至41任一项所述的装置，其特征在于，所述权限等级为以下任意一种：

第一权限等级，具备查看和修改所述物联网设备所属的访问控制列表ACL集群的权限；

第二权限等级，具备修改所述物联网设备的配置的权限；

第三权限等级，具备控制所述物联网设备执行操作的权限；

第四权限等级，具备读取和查看所述物联网设备的设备信息的权限；

第五权限等级，不具备访问所述物联网设备的权限。
根据权利要求38至42任一项所述的装置，其特征在于，所述第一应用程序和所述第二应用程序隶属于不同的生态。
根据权利要求38至43任一项所述的装置，其特征在于，所述打开配对命令请求中包括自注册令牌OT数据，所述OT数据中包括所述第一权限信息。
根据权利要求38至44任一项所述的装置，其特征在于，所述装置还包括：

信息发送模块，用于向所述第二应用程序发送OT数据共享信息，所述OT数据共享信息中不包括所述第一权限信息。
根据权利要求38至44任一项所述的装置，其特征在于，所述装置还包括：

信息发送模块，用于向所述第二应用程序发送OT数据共享信息，所述OT数据共享信息中包括所述第一权限信息，以使得所述第二应用程序在向所述物联网设备发送ACL信息设置请求时，携带所述第一权限信息。
一种设备访问控制权限的设置装置，其特征在于，所述装置包括：

信息接收模块，用于接收来自第一应用程序的自注册令牌OT数据共享信息；

设置请求模块，用于在所述OT数据共享信息中包括第一权限信息的情况下，向物联网设备发送携带所述第一权限信息的访问控制列表ACL信息设置请求；其中，所述第一权限信息是所述第一应用程序设置的，所述第一权限信息用于设置第二应用程序针对所述物联网设备的访问控制权限。
根据权利要求47所述的装置，其特征在于，所述第一权限信息包括权限等级。
根据权利要求48所述的装置，其特征在于，所述第一权限信息还包括目标结构数据，所述目标结构数据用于指示所述权限等级对应的设置对象。
根据权利要求49所述的装置，其特征在于，所述目标结构数据包括以下信息中的至少一项：端点、设备类型、服务集群。
根据权利要求48至50任一项所述的装置，其特征在于，所述权限等级为以下任意一种：

第一权限等级，具备查看和修改所述物联网设备所属的ACL集群的权限；

第二权限等级，具备修改所述物联网设备的配置的权限；

第三权限等级，具备控制所述物联网设备执行操作的权限；

第四权限等级，具备读取和查看所述物联网设备的设备信息的权限；

第五权限等级，不具备访问所述物联网设备的权限。
根据权利要求47至51任一项所述的装置，其特征在于，所述第一应用程序和所述第二应用程序隶属于不同的生态。
根据权利要求47至52任一项所述的装置，其特征在于，

所述设置请求模块，还用于在所述OT数据共享信息中不包括所述第一权限信息的情况下，向所述物联网设备发送携带第二权限信息的ACL信息设置请求；其中，所述第二权限信息是所述第二应用程序基于默认规则为自身设置的针对所述物联网设备的访问控制权限。
根据权利要求53所述的装置，其特征在于，所述装置还包括：

权限接收模块，用于接收来自所述物联网设备的所述第二应用程序的权限信息；其中，所述第二应用程序的权限信息是所述物联网设备在确定所述第二权限信息与所述第一权限信息不相符的情况下，基于所述第一权限信息设置的。
一种物联网设备，其特征在于，所述物联网设备包括收发器；

所述收发器，用于接收来自第一应用程序的打开配对命令请求，所述打开配对命令请求是所述第一应用程序要求所述物联网设备打开配对功能的请求；其中，所述打开配对命令请求中包括所述第一应用程序设置的第一权限信息，所述第一权限信息用于设置第二应用程序针对所述物联网设备的访问控制权限。
一种终端设备，其特征在于，所述终端设备包括收发器；

所述收发器，用于向物联网设备发送打开配对命令请求，所述打开配对命令请求是所述第一应用程序要求所述物联网设备打开配对功能的请求；其中，所述打开配对命令请求中包括所述第一应用程序设置的第一权限信息，所述第一权限信息用于设置第二应用程序针对所述物联网设备的访问控制权限。
一种终端设备，其特征在于，所述终端设备包括收发器；

所述收发器，用于接收来自第一应用程序的自注册令牌OT数据共享信息；

所述收发器，还用于在所述OT数据共享信息中包括第一权限信息的情况下，向物联网设备发送携带所述第一权限信息的访问控制列表ACL信息设置请求；其中，所述第一权限信息是所述第一应用程序设置的，所述第一权限信息用于设置所述第二应用程序针对所述物联网设备的访问控制权限。
一种计算机可读存储介质，其特征在于，所述存储介质中存储有计算机程序，所述计算机程序用于被处理器执行，以实现如权利要求1至10任一项所述的设备访问控制权限的设置方法，或者如权利要求11至19任一项所述的设备访问控制权限的设置方法，或者如权利要求20至27任一项所述的设备访问控制权限的设置方法。
一种芯片，其特征在于，所述芯片包括可编程逻辑电路和/或程序指令，当所述芯片运行时，用于实现如权利要求1至10任一项所述的设备访问控制权限的设置方法，或者如权利要求11至19任一项所述的设备访问控制权限的设置方法，或者如权利要求20至27任一项所述的设备访问控制权限的设置方法。
一种计算机程序产品或计算机程序，其特征在于，所述计算机程序产品或计算机程序包括计算机指令，所述计算机指令存储在计算机可读存储介质中，处理器从所述计算机可读存储介质读取并执行所述计算机指令，以实现如权利要求1至10任一项所述的设备访问控制权限的设置方法，或者如权利要求11至19任一项所述的设备访问控制权限的设置方法，或者如权利要求20至27任一项所述的设备访问控制权限的设置方法。