WO2022217561A1

WO2022217561A1 - 无线通信的方法及设备

Info

Publication number: WO2022217561A1
Application number: PCT/CN2021/087610
Authority: WO
Inventors: 茹昭
Original assignee: Oppo广东移动通信有限公司
Priority date: 2021-04-15
Filing date: 2021-04-15
Publication date: 2022-10-20
Also published as: CN116868188A; US20240048984A1

Abstract

本申请实施例提供了一种无线通信的方法及设备，在A Fabric中具有管理员权限的配置设备向B Fabric中的配置设备共享管理员权限的过程中，能够避免A Fabric信息的泄露，同时避免扩大B Fabric中配置设备的权限。该无线通信的方法包括：第一配置设备接收角色信息，该角色信息用于表示证书所代表的设备的角色，并且该第一配置设备向智能终端发送第一信息，该第一信息包括目标应用证书，且该目标应用证书至少包括该角色信息。

Description

无线通信的方法及设备

技术领域

本申请实施例涉及物联网领域，并且更具体地，涉及一种无线通信的方法及设备。

背景技术

在跨编织网络(Fabric)互联互通场景中，A Fabric中具有管理员权限的配置设备可能会向B Fabric中的配置设备共享其管理员权限，然而，在共享过程中，A Fabric中具有管理员权限的配置设备需要向B Fabric中的配置设备发送A Fabric的证书和A Fabric的信息，使B Fabric中的配置设备加入A Fabric中，并具有A Fabric的管理员权限。然而，这样会扩大B Fabric中配置设备的权限，也会导致A Fabric信息的泄露。

发明内容

本申请实施例提供了一种无线通信的方法及设备，能够避免权限共享方的Fabric信息的泄露。

第一方面，提供了一种无线通信的方法，该方法包括：

第一配置设备接收角色信息，该角色信息用于表示证书所代表的设备的角色；

该第一配置设备向智能终端发送第一信息，该第一信息包括目标应用证书，且该目标应用证书至少包括该角色信息。

第二方面，提供了一种无线通信的方法，该方法包括：

智能终端接收第一配置设备发送的第一信息，该第一信息包括目标应用证书，该目标应用证书包括角色信息，该角色信息用于表示证书所代表的设备的角色；

该智能终端根据该角色信息，确定该第一配置设备的访问权限。

第三方面，提供了一种无线通信的方法，该方法包括：

第二配置设备向第一配置设备发送角色信息，该角色信息用于表示证书所代表的设备的角色。

第四方面，提供了一种配置设备，用于执行上述第一方面中的方法。

具体地，该配置设备包括用于执行上述第一方面中的方法的功能模块。

第五方面，提供了一种智能终端，用于执行上述第二方面中的方法。

具体地，该智能终端包括用于执行上述第二方面中的方法的功能模块。

第六方面，提供了一种配置设备，用于执行上述第三方面中的方法。

具体地，该配置设备包括用于执行上述第三方面中的方法的功能模块。

第七方面，提供了一种配置设备，包括处理器和存储器。该存储器用于存储计算机程序，该处理器用于调用并运行该存储器中存储的计算机程序，执行上述第一方面中的方法。

第八方面，提供了一种智能终端，包括处理器和存储器。该存储器用于存储计算机程序，该处理器用于调用并运行该存储器中存储的计算机程序，执行上述第二方面中的方法。

第九方面，提供了一种配置设备，包括处理器和存储器。该存储器用于存储计算机程序，该处理器用于调用并运行该存储器中存储的计算机程序，执行上述第三方面中的方法。

第十方面，提供了一种装置，用于实现上述第一方面至第三方面中的任一方面中的方法。

具体地，该装置包括：处理器，用于从存储器中调用并运行计算机程序，使得安装有该装置的设备执行如上述第一方面至第三方面中的任一方面中的方法。

第十一方面，提供了一种计算机可读存储介质，用于存储计算机程序，该计算机程序使得计算机执行上述第一方面至第三方面中的任一方面中的方法。

第十二方面，提供了一种计算机程序产品，包括计算机程序指令，所述计算机程序指令使得计算机执行上述第一方面至第三方面中的任一方面中的方法。

第十三方面，提供了一种计算机程序，当其在计算机上运行时，使得计算机执行上述第一方面至第三方面中的任一方面中的方法。

通过上述技术方案，第二配置设备可以将角色信息共享给第一配置设备，进而使第一配置设备能够通过角色信息，获取第一配置设备对智能终端的访问权限，在权限共享过程中仅传输了第二配置设备的角色信息，避免了第一配置设备所处的Fabric中的信息泄露问题，且第一配置设备仅获取到角色信息所表示的访问权限，避免扩大第一配置设备的权限。

附图说明

图1是本申请提供的一种权限共享方法的流程图。

图2是本申请实施例应用的一种无线通信系统的示意图。

图3是本申请实施例提供的一种无线通信方法的示意性交互流程图。

图4是本申请实施例提供的另一种无线通信方法的示意性交互流程图。

图5是本申请实施例提供的另一种无线通信方法的示意性交互流程图。

图6示出了根据本申请实施例的一种配置设备的示意性框图。

图7示出了根据本申请实施例的一种智能终端的示意性框图。

图8示出了根据本申请实施例的另一种配置设备的示意性框图。

图9是本申请实施例提供的一种通信设备示意性结构图。

图10是本申请实施例的装置的示意性结构图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。针对本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

在物联网领域中，不同的厂商可以建立不同的Fabric，可以通过配置设备对同一Fabric内的一个或多个智能终端进行访问控制，例如通过手机对智能灯泡进行访问控制以控制灯泡打开或关闭等。在同一Fabric中设备可以获取该Fabric的根证书和该Fabric的信息。同一Fabric内的具有管理员权限的配置设备可以向其他配置设备共享其管理员权限，使其他配置设备也能具有对该Fabric内的一个或多个智能终端具有管理员权限。但是，在跨Fabric互联互通场景中，A Fabric中具有管理员权限的配置设备可能会向B Fabric中的配置设备共享其管理员权限，然而，在共享过程中，A Fabric中具有管理员权限的配置设备需要向B Fabric中的配置设备发送A Fabric的证书和A Fabric的信息，使B Fabric中的配置设备加入A Fabric中，并具有A Fabric的管理员权限。这样会扩大B Fabric中配置设备的权限，也会导致A Fabric信息的泄露。

具体例如，如图1所示，用户A买了一个智能灯泡，是联盟下通过IP连接家庭工作组(Connected Home over IP Working Group，CHIP)认证的产品，并支持低能耗蓝牙(Bluetooth Low Energy，BLE)和/或无线保真(Wireless Fidelity，WiFi)。用户A在其手机上使用A-APP(A application)在起居室配置智能灯泡，稍后用户A可以用A-APP控制智能灯泡。此种情况下，A-APP是一个管理员(Admin)、专员(Commissioner)和控制者(Controller)。用户A在用户B的手机上添加了B-APP，作为智能灯泡的第二个Admin和Controller。用户A具体的可以通过S01-S027将其管理员权限分享给用户B。

S01.用户B触发手机上的B-APP加入用户A的家庭(即用户A的Fabric)；

S02.用户B的B-APP产生二维码；

S03.用户B的B-APP开启配对广播；

S04.用户B的B-APP从用户B对应的证书授权(Certificate Authority，CA)设备获得证书链；

S05.用户B向用户A分享二维码；

S06.用户A触发A-APP将用户B添加到用户A的家庭(即用户A的Fabric)中；

S07.A-APP得到B-APP的二维码信息；

S08.A-APP开启配对扫描；

S09.A-APP与B-APP建立连接；

S010.A-APP与B-APP通过二维码中的信息协商建立安全通道；

S011.A-APP获取B-APP的认证请求，请求中包含B-APP的签名和证书链；

S012.A-APP认证B-APP；

S013.A-APP到用户A对应的CA设备为B-APP申请证书；

S014.A-APP向用户A发送确认请求；

S015.用户A确认给予用户B的权限；

S016.A-APP产生相应的访问控制列表条目(Access Control Lists Entry，ACLE)；

S017.A-APP将ACLE配置给智能灯泡；

S018.A-APP将用户A对应的根证书、用户A对应的CA设备为B-APP生成的证书和Fabric信息发送给B-APP；

S019.B-APP通过用户A对应的CA设备为自己生成的证书与智能灯泡建立安全通道；

S020.B-APP获取智能灯泡的认证请求；

S021.B-APP认证智能灯泡；

S022.B-APP到用户B对应的CA设备为智能灯泡申请证书；

S023.B-APP将申请的证书链配置给智能灯泡；

S024.B-APP关闭与智能灯泡建立的安全通道；

S025.B-APP通过用户A对应的CA设备为自己生成的证书与智能灯泡建立安全通道；

S026.B-APP产生ACLE；

S027.B-APP将ACLE配置给智能灯泡。

此种情况下，用户B可以使用B-APP控制智能灯泡，并看到灯泡的状态。用户B的B-APP也可以将其他智能终端配置到用户A的家庭(即用户A的Fabric)中。

在上述图1的S018中，用户A将B-APP配置到A Fabric中，B-APP得到了A Fabric的Fabric信息和A Fabric证书，扩大了B-APP的权限，容易造成A Fabric敏感信息的泄露。

需要说明的是，Fabric也可以理解为平台、生态，或者类似的描述，本申请对此并不限定。

基于上述问题，本申请提出了一种访问权限共享方案，A Fabric中具有管理员权限的配置设备可以将角色信息共享给B Fabric中的配置设备，进而使B Fabric中的配置设备可以基于角色信息获取对A Fabric中的智能终端的访问权限，避免了扩大B Fabric中的配置设备的权限，同时避免了A Fabric中信息泄露的问题。

为便于更好的理解本申请实施例，对本申请相关的访问控制列表(Access Control Lists，ACL)进行说明。

ACL是一种基于包过滤的访问控制技术，它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。

ACL由若干访问控制列表条目(Access Control List Entry，ACLE)组成。每个ACLE的结构如下表1所示。

表1

其中，在上述表1中，“主体”的含义主要是使用安全通道体系结构提供的给定认证方法来描述操作的来源。主体应为：

1.在调试阶段通过基于密钥认证的安全会话建立(Password Authenticated Session Establishment，PASE)会话进行交互的一种发起方节点，通过PASE会话中的两个对等方彼此在本地进行身份验证这一事实隐式地标识；

2.在操作阶段通过CASE会话进行交互的发起方节点，其标识使用会话建立期间共享的操作证书(OpCert)中的一个可分辨名称(例如节点ID)来标识；

3.组，是通过消息组进行交互的发起程序节点，由组ID标识，由操作组密钥验证。

本申请实施例的技术方案可以应用于各种通信系统，例如，WiFi、BLE、无线局域网(Wireless Local Area Networks，WLAN)、移动通信网络、近场通信网络(Near Field Communication，NFC)、超宽带(Ultra Broadband，UWB)网络、红外线网络、微波通信网络、毫米波通信网络、自由空间光通信网络。本申请实施例也可以应用于设备到设备(Device to Device，D2D)通信，机器到机器(Machine to Machine，M2M)通信，机器类型通信(Machine Type Communication，MTC)，车辆间(Vehicle to Vehicle，V2V)通信，或车联网(Vehicle to everything，V2X)通信等。

图2是本申请实施例提供的一种无线通信系统的示意图。如图2所示，该无线通信系统100可以包括：第一配置设备110、第二配置设备120、CA设备130和智能终端140。

在一些实施例中，第一配置设备110和/或第二配置设备120可以是一种终端设备，例如手机、平板电脑、计算机、无线本地环路(Wireless Local Loop，WLL)站、个人数字助理(Personal Digital Assistant，PDA)设备、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、智能可穿戴设备等。

在一些实施例中，第一配置设备110和/或第二配置设备120也可以是服务器。

在一些实施例中，第一配置设备110和第二配置设备120可以属于不同Fabric。

在一些实施例中，第二配置设备120与智能终端140属于同一Fabric，且第二配置设备120具有对智能终端140的访问权限(如管理员权限)，第二配置设备120通过该访问权限可以对智能终端140进行访问以及控制。

在一些实施例中，第一配置设备110与第二配置设备120可以通过有线或者无线的方式连接，第二配置设备120可以将对智能终端140的访问权限共享给第一配置设备110。

在一些实施例中，智能终端140至少与第二配置设备120通过有线或者无线的方式连接，智能终端140可以是上述任意一种终端设备，更多的，智能终端140可以是智能家居产品，例如智能冰箱、智能灯泡、智能洗衣机、智能电视、智能可穿戴设备等等。

在一些实施例中，可穿戴设备也可以称为穿戴式智能终端，是应用穿戴式技术对日常穿戴进行智能化设计、开发出可以穿戴的设备的总称，如眼镜、手套、手表、服饰及鞋等。可穿戴设备即直接穿在身上，或是整合到用户的衣服或配件的一种便携式设备。可穿戴设备不仅仅是一种硬件设备，更是通过软件支持以及数据交互、云端交互来实现强大的功能。广义穿戴式智能终端包括功能全、尺寸大、可不依赖智能手机实现完整或者部分的功能，例如：智能手表或智能眼镜等，以及只专注于某一类应用功能，需要和其它设备如智能手机配合使用，如各类进行体征监测的智能手环、智能首饰等。

在一些实施例中，智能终端140还可以与对该智能终端140具有访问权限的第一配置设备110通过有线或者无线的方式连接，第一配置设备110通过访问权限可以对智能终端140进行访问以及控制。

在一些实施例中，CA设备130可以是具有证书授权权限的设备。CA设备130与第一配置设备110通过有线或者无线的方式连接，CA设备130能够通过交互为第一配置设备110生成对应的应用证书或者进行应用证书的更新。

在一些实施例中，智能终端140的数量可以为一个或者多个，本申请对此不做限制。

以下通过具体实施例详述本申请的技术方案。

图3是本申请实施例提供的一种无线通信的方法200的示意性交互流程图，如图3所示，该无线通信的方法200可以至少包括如下内容：

S201.第二配置设备向第一配置设备发送角色信息，该角色信息用于表示证书所代表的设备的角色；

相应的，第一配置设备接收第二配置设备发送的角色信息；

S205.第一配置设备向智能终端发送第一信息，该第一信息包括目标应用证书，且目标应用证书至少包括该角色信息。

需要说明的是，每个配置设备相对于智能终端的角色可以体现于配置设备对应的证书中，例如可以是具有管理员权限的管理员角色，角色信息则可以用于表示证书代表的配置设备对智能终端的角色。可选的，每个配置设备可以对多个智能终端具有相同的权限，或者可以对多个智能终端具有不同的权限。

示例性的，第二配置设备可以直接向第一配置设备发送角色信息，或者可以向第一配置设备发送包括角色信息的节点操作证书(Node Operational Certificate，NOC)证书，使第一配置设备从NOC证书中读取角色信息。

示例性的，第一配置设备可以向智能终端发起建立连接的请求，并在连接建立后向智能终端发送携带有目标应用证书的第一信息。

其中，目标应用证书为第一配置设备对应的证书，该目标应用证书中的角色信息用于表示该第一配置设备的角色。

在一些实施例中，目标应用证书用于智能终端确定第一配置设备的访问权限。

结合图3所示，在第一配置设备向智能终端发送第一信息之前，或者说在第一配置设备与智能终端建立连接之前，该无线通信的方法200还可以包括以下内容中的至少部分内容：

S202.第一配置设备向CA设备发送第二信息，该第二信息用于请求更新应用证书，且第二信息至少包括角色信息；

S203.CA设备向第一配置设备发送第三信息，该第三信息包括目标应用证书；

S204.第二配置设备向智能终端发送第一配置设备的根证书；

本实施例对上述S204与S202或S203的执行顺序不做要求。

针对S202和S203，说明如下：

为了使第二配置设备的应用证书中具有角色信息，第二配置设备需要请求CA设备将第一应用证书更新为具有角色信息的目标应用证书，示例性的，CA设备根据第二信息可将角色信息添加至第一应用证书，并对添加了角色信息的第一应用证书进行签名得到目标应用证书。

可选的，第二信息还可以包括第一应用证书。

示例性的，第二配置设备将第一配置设备的根证书配置于智能终端，使智能终端将第一配置设备的根证书视为的可信任根证书。

结合图3所示，在第一配置设备向智能终端发送第一信息之后，该无线通信的方法200还可以包括以下内容中的至少部分内容：

S206.智能终端通过第一配置设备的根证书对目标应用证书进行校验；

S207.智能终端根据角色信息，确定第一配置设备的访问权限；

S208.第一配置设备向智能终端发送配置信息，用于配置该智能终端。

针对上述S207说明如下：

智能终端可以从目标应用证书中读取角色信息，并根据读取到的角色信息，确定第一配置设备的访问权限。

作为一种示例而非限制性的说明，智能终端可以在ACL中查询该角色信息对应的ACLE，并根据该ACLE，确定第一配置设备的访问权限。

需要说明的是，智能终端中预先配置有包括若干个ACLE的ACL，且本实施例中的ACLE的主体(Subjects)属性中增加有角色信息，例如角色标识(role ID)，如表2所示。

表2

结合表2所示，智能终端从该ACLE中的权限(Privilege)中可以确定第一配置设备的访问权限。

示例性的，智能终端可以通过第一配置设备的根证书中的公钥对目标应用证书进行校验，校验通过后执行S207。

示例性的，第一配置设备向智能终端发送的配置信息，可以用于对该智能终端实现其访问权限，例如对智能终端进行设置、读取智能终端的信息，控制智能终端执行对应的操作等。

因此，在本申请实施例中，第二配置设备可以将角色信息共享给第一配置设备，进而使第一配置设备能够通过该角色信息，获取第一配置设备对智能终端的访问权限，该过程中仅传输了第二配置设备的角色信息，避免了第一配置设备所处的Fabric的信息泄露问题，且第一配置设备仅获取到角色信息所表示的访问权限，避免扩大第一配置设备的权限。

本申请实施例中，第一配置设备接收第二配置设备发送的角色信息可以包括不同的内容，下面通过几个实施例，对本申请在角色信息包括不同的内容的情况下的实现方式进行说明。

实施例1，该角色信息包括角色标识。具体如图4所示，可以通过如下S10-S27中的至少部分步骤实现权限共享。

S10.第二配置设备向第一配置设备发送认证请求；

S11.第一配置设备向第二配置设备发送认证响应；

S12.第二配置设备验证认证响应中的第一签名；

S13.第二配置设备向第一配置设备发送角色信息；

S14.第一配置设备向CA设备请求更新应用证书；

S15.CA设备向第一配置设备发送目标应用证书；

S16.第二配置设备判断第一配置设备的根证书和第二配置设备的根证书是否相同；

S17.第二配置设备向智能终端发送第一配置设备的根证书；

S18.第一配置设备向智能终端发送目标应用证书；

S19.智能终端通过第一配置设备的根证书对目标应用证书进行校验；

S20.第一配置设备与智能终端建立安全连接；

S21.第一配置设备对智能终端进行身份认证；

S22.智能终端向第一配置设备发送证书签名请求；

S23.第一配置设备向CA设备发送智能终端的证书签名请求；

S24.CA设备向第一配置设备发送智能终端的证书签名响应；

S25.第一配置设备向智能终端发送智能终端的证书签名响应；

S26.智能终端根据从目标应用证书中读取的角色信息，确定第一配置设备的访问权限；

S27.第一配置设备向智能终端发送配置信息，该配置信息用于配置该智能终端。

在实施例1的一些实现方式中，角色标识可以为roleID(11111111)。

在实施例1的一些实现方式中，针对S10至S12，说明如下：

第一配置设备接收第二配置设备发送的认证请求，该认证请求包括第一随机数，进一步地，第一配置设备向第二配置设备发送认证响应，该认证响应包括第一配置设备的根证书、第一应用证书、第一签名；其中，第一应用证书为更新前第一配置设备的应用证书，第一签名为第一配置设备使用其私钥签名第一随机数得到的。

在实施例1的一些实现方式中，第二配置设备可以通过第一配置设备的根证书验证第一应用证书，进一步地，通过第一应用证书验证第一签名。对第一签名验证通过后执行S13。

在实施例1的一些实现方式中，针对S16需要说明的是，若第二配置设备与第一配置设备的根证书相同，表明二者属于同一Fabric，若第二配置设备与第一配置设备的根证书不同，表明二者属于不同Fabric。应理解，第二配置设备和第一配置设备属于不同Fabric时，第二配置设备需要将第一配置设备的根证书添加至智能终端，作为可信任根证书。

在实施例1的一些实现方式中，针对S20至S25，说明如下：

第一配置设备对智能终端的身份认证通过后，智能终端向第一配置设备发送证书签名请求，该证书签名请求用于请求第一配置设备对应的CA设备对智能终端的证书进行签名。第一配置设备将证书签名请求转发至CA设备，CA设备对智能终端的证书进行签名后，向第一配置设备发送智能终端的证书签名响应，该证书签名响应包括终端设备的已签名证书，第一配置设备将证书签名响应或者已签名证书转发至智能终端。

在实施例1的一些实现方式中，第一配置设备向CA设备请求更新应用证书，以将第一应用证书更新为目标应用证书，在本实施例中，第一应用证书例如可以是：

更新后的目标应用证书例如可以是：

在实施例1的一些实现方式中，S13至S15、S17至S19、S26、S27，依次与上述图3所示的S201至S208类似，此处不再赘述。

在实施例1的一些实现方式中，S18与S19至S25中的任一步骤的执行顺序不做要求，即S18可以在S19之前执行，或者在S25之后执行，或者在S19至S25的执行过程中执行。

实施例2，该角色信息包括角色标识、该角色标识的有效期、第一目标签名；其中，第一目标签名为分享该角色信息的设备使用其私钥为角色标识和角色标识的有效期产生的签名。具体如图5所示，可以通过如下S30-S47中的至少部分步骤实现权限共享。

S30.第二配置设备向第一配置设备发送请求信息；

S31.第一配置设备向第二配置设备发送响应信息；

S32.第二配置设备向第一配置设备发送角色信息；

S33.第一配置设备向CA设备请求更新应用证书；

S34.CA设备向第一配置设备发送目标应用证书；

S35.第二配置设备向智能终端发送第一配置设备的根证书和第一配置设备的公钥；

S36.第一配置设备向智能终端发送目标应用证书；

S37.智能终端通过第一配置设备的根证书对目标应用证书进行校验；

S38.智能终端比较从目标应用证书中读取的公钥与第一配置设备的公钥是否一致；

S39.智能终端确定角色标识是否处于有效期内；

S40.第一配置设备与智能终端建立安全连接；

S41.第一配置设备对智能终端进行身份认证；

S42.智能终端向第一配置设备发送证书签名请求；

S43.第一配置设备向CA设备发送智能终端的证书签名请求；

S44.CA设备向第一配置设备发送智能终端的证书签名响应；

S45.第一配置设备向智能终端发送智能终端的证书签名响应；

S46.智能终端根据从目标应用证书中读取的角色信息，确定第一配置设备的访问权限；

S47.第一配置设备向智能终端发送配置信息，该配置信息用于配置该智能终端。

在实施例2的一些实现方式中，角色信息可以是一种结构型数据，例如角色标识roleID为11111111，有效期为03/15/2021-03/16/2021，采用第二配置设备的私钥为角色标识和角色标识的有效期产生的签名为a89da7f8……，则角色信息可以表示为111111110315202103162021a89da7f8……。

在实施例2的一些实现方式中，针对S30和S31说明如下：

第一配置设备接收第二配置设备发送的请求信息，该请求信息用于请求获取第一配置设备的根证书和第一配置设备的公钥；第一配置设备向第二配置设备发送响应信息，该响应信息包括第一配置设备的根证书和第一配置设备的公钥。

在实施例2的一些实现方式中，针对S35，说明如下：

第二配置设备可以同时向智能终端发送第一配置设备的根证书和公钥，或者分开发送第一配置设备的根证书和公钥，例如在S37之前智能终端发送第一配置设备的根证书，在S38之前智能终端发送第一配置设备的公钥，本实施例对此不做要求。

在实施例2的一些实现方式中，智能终端接收第二配置设备发送的第一配置设备的公钥，其中，第二配置设备为分享角色信息的设备。

在实施例2的一些实现方式中，针对S38说明如下：

智能终端比较从目标应用证书中读取的公钥与第一配置设备的公钥是否一致；在一致的情况下，智能终端根据角色信息，确定第一配置设备的访问权限。在一致的情况下，可以执行S39。

在实施例2的一些实现方式中，针对S39说明如下：

在角色标识处于有效期内的情况下，智能终端根据所述角色信息，确定第一配置设备的访问权限。

在实施例2的一些实现方式中，智能终端可以通过第二配置设备的公钥对第一目标签名进行解密，得到第一目标签名对应的角色标识和有效期，其中，第二配置设备为分享角色信息的设备；智能终端根据第一目标签名对应的角色标识和有效期，对从目标应用证书中读取的角色标识和有效期进行真实性验证；在从目标应用证书中读取的角色标识和有效期真实的情况下，智能终端根据所述角色信息，确定第一配置设备的访问权限。

在实施例2的一些实现方式中，智能终端可以根据从目标应用证书中读取的角色标识，查询第二配置设备，并获取第二配置设备的公钥。

在实施例2的一些实现方式中，第一配置设备向CA设备请求更新应用证书，以将第一应用证书更新为目标应用证书，在本实施例中，目标应用证书例如可以是：

在实施例2的一些实现方式中，S32至S34、S36、S37、S46、S47，依次与上述图3所示的S201至S203、S205至S208类似，此处不再赘述。

在实施例2的一些实现方式中，S40至S45，依次与上述图4所示的S20至S25类似，此处不再赘述。

实施例3，该角色信息包括角色标识、第一配置设备的标识、该角色标识的有效期、第二目标签名；其中，第二目标签名为分享该角色信息的设备使用其私钥为角色标识、第一配置设备的标识和角色标识的有效期产生的签名。

在实施例3的一些实现方式中，也包括图5所示的至少部分步骤。

结合图5所示，在实施例3的一些实现方式中，S30、S31、S35与实施例2中类似，此处不再赘述。

在实施例3的一些实现方式中，针对S38，说明如下：

智能终端比较从目标应用证书中读取的公钥与第一配置设备的公钥是否一致；在一致的情况下，智能终端根据角色信息，确定第一配置设备的访问权限。

在实施例3的一些实现方式中，针对S39，说明如下：

在角色标识处于有效期内的情况下，智能终端根据角色信息，确定第一配置设备的访问权限。

在实施例3的一些实现方式中，智能终端通过第二配置设备的公钥对第二目标签名进行解密，得到第二目标签名对应的角色标识、有效期、第一配置设备的标识，其中，第二配置设备为分享角色信息的设备；智能终端根据第二目标签名对应的角色标识、有效期、第一配置设备的标识，对从目标应用证书中读取的角色标识、有效期、第一配置设备的标识进行真实性验证；在从目标应用证书中读取的角色标识、有效期、第一配置设备的标识真实的情况下，智能终端根据角色信息，确定第一配置设备的访问权限。

在实施例3的一些实现方式中，智能终端可以根据从目标应用证书中读取的角色标识，查询第二配置设备，并获取第二配置设备的公钥。

在实施例3的一些实现方式中，智能终端可以通过第二配置设备的公钥对第二目标签名进行解密，得到第二目标签名对应的角色标识和/或第一配置设备的标识，其中，第二配置设备为分享角色信息的设备；智能终端比较第二目标签名对应的角色标识和/或第一配置设备的标识，与从目标应用证书中读取的角色标识和/或第一配置设备的标识是否一致；在一致的情况下，智能终端根据角色信息，确定第一配置设备的访问权限。

在实施例3的一些实现方式中，S32至S34、S36、S37、S46、S47，依次与上述图3所示S201至S203、S205至S208类似，此处不再赘述。

本实施例中的S40至S45，依次与上述图4所示实施例中的S20至S25类似，此处不再赘述。

实施例4，该角色信息包括角色标识、第一配置设备的标识、第三目标签名；其中，第三目标签名为分享角色信息的设备使用其私钥为角色标识和第一配置设备的标识产生的签名。

在实施例4的一些实现方式中，包括图5所示除S39之外的至少部分步骤。

结合图5所示，在实施例4的一些实现方式中，S30、S31、S35与实施例2中类似，此处不再赘述。

在实施例4的一些实现方式中，智能终端通过第二配置设备的公钥对第三目标签名进行解密，得到第三目标签名对应的角色标识和/或第一配置设备的标识，其中，第二配置设备为分享所述角色信息的设备；智能终端比较第三目标签名对应的角色标识和/或第一配置设备的标识，与从目标应用证书中读取的角色标识和/或第一配置设备的标识是否一致；在一致的情况下，智能终端根据角色信息，确定第一配置设备的访问权限。

在实施例4的一些实现方式中，针对S38说明如下：

在实施例4的一些实现方式中，S32至S34、S36、S37、S46、S47，依次与上述图3所示S201至S203、S205至S208类似，此处不再赘述。

在实施例4的一些实现方式中，S40至S45，依次与上述图4所示实施例中的S20至S25类似，此处不再赘述。

在一些实施例中，在第二配置设备的NOC证书中增加角色信息，例如增加角色标识roleID(11111111)，得到具有角色信息的NOC证书，第二配置设备可以通过向第一配置设备发送NOC证书，使第一配置设备读取到第二配置设备的角色信息。

例如，具有角色信息的NOC证书可以是：

进一步地，第一配置设备与第二配置设备经过双向认证建立连接后，第一配置设备根据第二配置设备的上述NOC证书所声明的roleID(11111111)在ACL中查询到匹配的ACLE，例如：

该ACLE表明role ID(11111111)具有设备的管理员权限。则第一配置设备允许第二配置设备接下来对第一配置设备进行对应的操作。

上文结合图3至图5，详细描述了本申请的方法实施例，下文结合图6至图10，详细描述本申请的装置实施例，应理解，装置实施例与方法实施例相互对应，类似的描述可以参照方法实施例。

图6示出了根据本申请实施例的配置设备600的示意性框图。如图6所示，该配置设备600包括：

通信单元610，用于接收角色信息，该角色信息用于表示证书所代表的设备的角色；

该通信单元610还用于向智能终端发送第一信息，该第一信息包括目标应用证书，且该目标应用证书至少包括该角色信息。

在一些实施例中，该目标应用证书用于该智能终端确定该第一配置设备的访问权限。

在一些实施例中，该通信单元610还用于：

向证书授权CA设备发送第二信息，该第二信息用于请求更新应用证书，且该第二信息至少包括该角色信息；

接收该CA设备发送的第三信息，该第三信息包括该目标应用证书。

在一些实施例中，该第二信息还包括第一应用证书，该第一应用证书为更新前该第一配置设备的应用证书。

在一些实施例中，该角色信息包括角色标识。

在一些实施例中，该通信单元610还用于：

接收该第二配置设备发送的认证请求，该认证请求包括第一随机数；

向该第二配置设备发送认证响应，该认证响应包括该第一配置设备的根证书、第一应用证书、第一签名；其中，该第一应用证书为更新前该第一配置设备的应用证书，该第一签名为该第一配置设备使用其私钥签名该第一随机数得到的。

在一些实施例中，该角色信息包括角色标识、该角色标识的有效期、第一目标签名；其中，该第一目标签名为分享该角色信息的设备使用其私钥为该角色标识和该角色标识的有效期产生的签名。

在一些实施例中，该角色信息包括角色标识、该第一配置设备的标识、该角色标识的有效期、第二目标签名；其中，该第二目标签名为分享该角色信息的设备使用其私钥为该角色标识、该第一配置设备的标识和该角色标识的有效期产生的签名。

在一些实施例中，该角色信息包括角色标识、该第一配置设备的标识、第三目标签名；其中，该第三目标签名为分享该角色信息的设备使用其私钥为该角色标识和该第一配置设备的标识产生的签名。

在一些实施例中，该通信单元610还用于：

接收该第二配置设备发送的请求信息，该请求信息用于请求获取该第一配置设备的根证书和该第一配置设备的公钥；

向该第二配置设备发送响应信息，该响应信息包括该第一配置设备的根证书和该第一配置设备的公钥。

在一些实施例中，该通信单元610还用于：

向该智能终端发送配置信息，该配置信息用于配置该智能终端。

应理解，根据本申请实施例的配置设备600可对应于本申请方法实施例中的第一配置设备，并且配置设备600中的各个单元的上述和其它操作和/或功能分别为了实现图3至图5所示方法中第一配置设备的相应流程，为了简洁，在此不再赘述。

图7示出了根据本申请实施例的智能终端的示意性框图。如图7所示，该智能终端700包括：

通信单元710，用于接收第一配置设备发送的第一信息，该第一信息包括目标应用证书，该目标应用证书包括角色信息，该角色信息用于表示证书所代表的设备的角色；

处理单元720，用于根据该角色信息，确定该第一配置设备的访问权限。

在一些实施例中，该处理单元720具体用于：

在访问控制列表ACL中查询该角色信息对应的访问控制列表条目ACLE；

根据该ACLE，确定该第一配置设备的访问权限。

在一些实施例中，该角色信息包括角色标识。

在一些实施例中，该角色信息包括角色标识、该角色标识的有效期、第一目标签名；其中，该第一目标签名为分享该角色信息的设备使用私钥为该角色标识和该角色标识的有效期产生的签名。

在一些实施例中，该角色信息包括角色标识、该第一配置设备的标识、该角色标识的有效期、第二目标签名；其中，该第二目标签名为分析该角色信息的设备使用其私钥为该角色标识、该第一配置设备的标识和该角色标识的有效期产生的签名。

在一些实施例中，该处理单元720具体用于：

在该角色标识处于有效期内的情况下，根据该角色信息，确定该第一配置设备的访问权限。

在一些实施例中，该处理单元720具体用于：

通过第二配置设备的公钥对该第一目标签名进行解密，得到该第一目标签名对应的角色标识和有效期，其中，该第二配置设备为分享该角色信息的设备；

根据该第一目标签名对应的角色标识和有效期，对从该目标应用证书中读取的角色标识和有效期进行真实性验证；

在从该目标应用证书中读取的角色标识和有效期真实的情况下，根据该角色信息，确定该第一配置设备的访问权限。

在一些实施例中，该处理单元720具体用于：

通过第二配置设备的公钥对该第二目标签名进行解密，得到该第二目标签名对应的角色标识、有效期、第一配置设备的标识，其中，该第二配置设备为分享该角色信息的设备；

根据该第二目标签名对应的角色标识、有效期、第一配置设备的标识，对从该目标应用证书中读取的角色标识、有效期、第一配置设备的标识进行真实性验证；

在从该目标应用证书中读取的角色标识、有效期、第一配置设备的标识真实的情况下，根据该角色信息，确定该第一配置设备的访问权限。

在一些实施例中，该处理单元720还用于：

根据从该目标应用证书中读取的角色标识，查询该第二配置设备，并获取该第二配置设备的公钥。

在一些实施例中，该处理单元720具体用于：

通过第二配置设备的公钥对该第二目标签名进行解密，得到该第二目标签名对应的角色标识和/或第一配置设备的标识，其中，该第二配置设备为分享该角色信息的设备；

比较该第二目标签名对应的角色标识和/或第一配置设备的标识，与从该目标应用证书中读取的角色标识和/或第一配置设备的标识是否一致；

在一致的情况下，根据该角色信息，确定该第一配置设备的访问权限。

在一些实施例中，该角色信息包括角色标识、该第一配置设备的标识、第三目标签名；其中，该第三目标签名为分析该角色信息的设备使用其私钥为该角色标识和该第一配置设备的标识产生的签名。

在一些实施例中，该处理单元720具体用于：

通过第二配置设备的公钥对该第三目标签名进行解密，得到该第三目标签名对应的角色标识和/或第一配置设备的标识，其中，该第二配置设备为分享该角色信息的设备；

比较该第三目标签名对应的角色标识和/或第一配置设备的标识，与从该目标应用证书中读取的角色标识和/或第一配置设备的标识是否一致；

在一些实施例中，该处理单元720具体用于：

比较从该目标应用证书中读取的公钥与该第一配置设备的公钥是否一致；

在一些实施例中，该通信单元710还用于：

接收该第二配置设备发送的该第一配置设备的公钥，其中，该第二配置设备为分享该角色信息的设备。

在一些实施例中，该处理单元720还用于：

通过第一配置设备的根证书对该目标应用证书进行校验。

在一些实施例中，该通信单元710还用于：

接收第二配置设备发送的该第一配置设备的根证书，其中，该第二配置设备为分享该角色信息的设备。

应理解，根据本申请实施例的智能终端700可对应于本申请方法实施例中的智能终端，并且智能终端700中的各个单元的上述和其它操作和/或功能分别为了实现图3至图5所示方法中智能终端的相应流程，为了简洁，在此不再赘述。

图8示出了根据本申请实施例的配置设备800的示意性框图。如图8所示，该配置设备800包括：

通信单元810，用于向第一配置设备发送角色信息，该角色信息用于表示证书所代表的设备的角色。

在一些实施例中，该角色信息包括角色标识。

在一些实施例中，该通信单元810还用于向该第一配置设备发送认证请求，该认证请求包括第一随机数；该通信单元810还用于接收该第一配置设备发送的认证响应，该认证响应包括该第一配置设备的根证书、第一应用证书、第一签名；其中，该第一应用证书为更新前该第一配置设备的应用证书，该第一签名为该第一配置设备使用其私钥签名该第一随机数得到的。

在一些实施例中，该角色信息包括角色标识、该角色标识的有效期、第一目标签名；其中，该第一目标签名该第二配置设备使用其私钥为该角色标识和该角色标识的有效期产生的签名。

在一些实施例中，该角色信息包括角色标识、该第一配置设备的标识、该角色标识的有效期、第二目标签名；其中，该第二目标签名为该第二配置设备使用其私钥为该角色标识、该第一配置设备的标识和该角色标识的有效期产生的签名。

在一些实施例中，该角色信息包括角色标识、该第一配置设备的标识、第三目标签名；其中，该第三目标签名为该第二配置设备使用其私钥为该角色标识和该第一配置设备的标识产生的签名。

在一些实施例中，该通信单元810还用于：

向该第一配置设备发送的请求信息，该请求信息用于请求获取该第一配置设备的根证书和该第一配置设备的公钥；

接收该第一配置设备发送响应信息，该响应信息包括该第一配置设备的根证书和该第一配置设备的公钥。

在一些实施例中，该通信单元810还用于：

向该智能终端发送该第一配置设备的公钥。

在一些实施例中，该通信单元810还用于：

向该智能终端发送该第一配置设备的根证书。

应理解，根据本申请实施例的配置设备800可对应于本申请方法实施例中的第二配置设备，并且配置设备800中的各个单元的上述和其它操作和/或功能分别为了实现图3至图5所示方法中第二配置设备的相应流程，为了简洁，在此不再赘述。

图9是本申请实施例提供的一种通信设备示意性结构图。图9所示的通信设备900包括处理器910，处理器910可以从存储器中调用并运行计算机程序，以实现本申请实施例中的方法。

在一些实施例中，如图9所示，通信设备900还可以包括存储器920。其中，处理器910可以从存储器920中调用并运行计算机程序，以实现本申请实施例中的方法。

其中，存储器920可以是独立于处理器910的一个单独的器件，也可以集成在处理器910中。

在一些实施例中，如图9所示，通信设备900还可以包括收发器930，处理器910可以控制该收发器930与其他设备进行通信，具体地，可以向其他设备发送信息或数据，或接收其他设备发送的信息或数据。

其中，收发器930可以包括发射机和接收机。收发器930还可以进一步包括天线，天线的数量可以为一个或多个。

在一些实施例中，该通信设备900具体可为本申请实施例的第一配置设备、第二配置设备或智能终端，并且该通信设备900可以实现本申请实施例的各个方法中由第一配置设备、第二配置设备或智能终端实现的相应流程，为了简洁，在此不再赘述。

图10是本申请实施例的装置的示意性结构图。图10所示的装置1000包括处理器1010，处理器1010可以从存储器中调用并运行计算机程序，以实现本申请实施例中的方法。

在一些实施例中，如图10所示，装置1000还可以包括存储器1020。其中，处理器1010可以从存储器100中调用并运行计算机程序，以实现本申请实施例中的方法。

其中，存储器1020可以是独立于处理器1010的一个单独的器件，也可以集成在处理器1010中。

在一些实施例中，该装置1000还可以包括输入接口1030。其中，处理器1010可以控制该输入接口1030与其他设备或芯片进行通信，具体地，可以获取其他设备或芯片发送的信息或数据。

在一些实施例中，该装置1000还可以包括输出接口1040。其中，处理器1010可以控制该输出接口1040与其他设备或芯片进行通信，具体地，可以向其他设备或芯片输出信息或数据。

在一些实施例中，该装置可应用于本申请实施例中的第一配置设备、第二配置设备或智能终端，并且该装置可以实现本申请实施例的各个方法中由第一配置设备、第二配置设备或智能终端实现的相应流程，为了简洁，在此不再赘述。

在一些实施例中，本申请实施例提到的装置也可以是芯片。例如可以是系统级芯片，系统芯片，芯片系统或片上系统芯片等。

应理解，本申请实施例的处理器可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。

可以理解，本申请实施例中的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(Read-Only Memory，ROM)、可编程只读存储器(Programmable ROM，PROM)、可擦除可编程只读存储器(Erasable PROM，EPROM)、电可擦除可编程只读存储器(Electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(Static RAM，SRAM)、动态随机存取存储器(Dynamic RAM，DRAM)、同步动态随机存取存储器(Synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data Rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM，DR RAM)。应注意，本文描述的系统和方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

应理解，上述存储器为示例性但不是限制性说明，例如，本申请实施例中的存储器还可以是静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(dynamic RAM，DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synch link DRAM，SLDRAM)以及直接内存总线随机存取存储器(Direct Rambus RAM，DR RAM)等等。也就是说，本申请实施例中的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

本申请实施例还提供了一种计算机可读存储介质，用于存储计算机程序。

在一些实施例中，该计算机可读存储介质可应用于本申请实施例中的配置设备，并且该计算机程序使得计算机执行本申请实施例的各个方法中由第一配置设备实现的相应流程，为了简洁，在此不再赘述。

在一些实施例中，该计算机可读存储介质可应用于本申请实施例中的智能终端，并且该计算机程序使得计算机执行本申请实施例的各个方法中由智能终端实现的相应流程，为了简洁，在此不再赘述。

在一些实施例中，该计算机可读存储介质可应用于本申请实施例中的配置设备，并且该计算机程序使得计算机执行本申请实施例的各个方法中由第二配置设备实现的相应流程，为了简洁，在此不再赘述。

本申请实施例还提供了一种计算机程序产品，包括计算机程序指令。

在一些实施例中，该计算机程序产品可应用于本申请实施例中的配置设备，并且该计算机程序指令使得计算机执行本申请实施例的各个方法中由第一设备实现的相应流程，为了简洁，在此不再赘述。

在一些实施例中，该计算机程序产品可应用于本申请实施例中的智能终端，并且该计算机程序指令使得计算机执行本申请实施例的各个方法中由智能终端实现的相应流程，为了简洁，在此不再赘述。

在一些实施例中，该计算机程序产品可应用于本申请实施例中的配置设备，并且该计算机程序指令使得计算机执行本申请实施例的各个方法中由第二设备实现的相应流程，为了简洁，在此不再赘述。

本申请实施例还提供了一种计算机程序。

在一些实施例中，该计算机程序可应用于本申请实施例中的配置设备，当该计算机程序在计算机上运行时，使得计算机执行本申请实施例的各个方法中由第一配置设备实现的相应流程，为了简洁，在此不再赘述。

在一些实施例中，该计算机程序可应用于本申请实施例中的智能终端，当该计算机程序在计算机上运行时，使得计算机执行本申请实施例的各个方法中由智能终端实现的相应流程，为了简洁，在此不再赘述。

在一些实施例中，该计算机程序可应用于本申请实施例中的配置设备，当该计算机程序在计算机上运行时，使得计算机执行本申请实施例的各个方法中由第二配置设备实现的相应流程，为了简洁，在此不再赘述。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。针对这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应所述以权利要求的保护范围为准。

Claims

一种无线通信的方法，其特征在于，包括：

第一配置设备接收角色信息，所述角色信息用于表示证书所代表的设备的角色；

所述第一配置设备向智能终端发送第一信息，所述第一信息包括目标应用证书，且所述目标应用证书至少包括所述角色信息。
如权利要求1所述的方法，其特征在于，所述目标应用证书用于所述智能终端确定所述第一配置设备的访问权限。
如权利要求1或2所述的方法，其特征在于，所述方法还包括：

所述第一配置设备向证书授权CA设备发送第二信息，所述第二信息用于请求更新应用证书，且所述第二信息至少包括所述角色信息；

所述第一配置设备接收所述CA设备发送的第三信息，所述第三信息包括所述目标应用证书。
如权利要求3所述的方法，其特征在于，所述第二信息还包括第一应用证书，所述第一应用证书为更新前所述第一配置设备的应用证书。
如权利要求1至4中任一项所述的方法，其特征在于，所述角色信息包括角色标识。
如权利要求5所述的方法，其特征在于，所述方法还包括：

所述第一配置设备接收第二配置设备发送的认证请求，所述认证请求包括第一随机数；

所述第一配置设备向所述第二配置设备发送认证响应，所述认证响应包括所述第一配置设备的根证书、第一应用证书、第一签名；其中，所述第一应用证书为更新前所述第一配置设备的应用证书，所述第一签名为所述第一配置设备使用其私钥签名所述第一随机数得到的。
如权利要求1至4中任一项所述的方法，其特征在于，

所述角色信息包括角色标识、所述角色标识的有效期、第一目标签名；其中，所述第一目标签名为分享所述角色信息的设备使用其私钥为所述角色标识和所述角色标识的有效期产生的签名。
如权利要求1至4任一项所述的方法，其特征在于，

所述角色信息包括角色标识、所述第一配置设备的标识、所述角色标识的有效期、第二目标签名；其中，所述第二目标签名为分享所述角色信息的设备使用其私钥为所述角色标识、所述第一配置设备的标识和所述角色标识的有效期产生的签名。
如权利要求1至4任一项所述的方法，其特征在于，

所述角色信息包括角色标识、所述第一配置设备的标识、第三目标签名；其中，所述第三目标签名为分享所述角色信息的设备使用其私钥为所述角色标识和所述第一配置设备的标识产生的签名。
如权利要求7至9任一项所述的方法，其特征在于，所述方法还包括：

所述第一配置设备接收第二配置设备发送的请求信息，所述请求信息用于请求获取所述第一配置设备的根证书和所述第一配置设备的公钥；

所述第一配置设备向所述第二配置设备发送响应信息，所述响应信息包括所述第一配置设备的根证书和所述第一配置设备的公钥。
如权利要求1至10中任一项所述的方法，其特征在于，所述方法还包括：

所述第一配置设备向所述智能终端发送配置信息，所述配置信息用于配置所述智能终端。
一种无线通信的方法，其特征在于，包括：

智能终端接收第一配置设备发送的第一信息，所述第一信息包括目标应用证书，所述目标应用证书包括角色信息，所述角色信息用于表示证书所代表的设备的角色；

所述智能终端根据所述角色信息，确定所述第一配置设备的访问权限。
如权利要求12所述的方法，其特征在于，所述智能终端根据所述角色信息，确定所述第一配置设备的访问权限，包括：

所述智能终端在访问控制列表ACL中查询所述角色信息对应的访问控制列表条目ACLE；

所述智能终端根据所述ACLE，确定所述第一配置设备的访问权限。
如权利要求12或13所述的方法，其特征在于，所述角色信息包括角色标识。
如权利要求12或13所述的方法，其特征在于，

所述角色信息包括角色标识、所述角色标识的有效期、第一目标签名；其中，所述第一目标签名为分享所述角色信息的设备使用私钥为所述角色标识和所述角色标识的有效期产生的签名。
如权利要求12或13所述的方法，其特征在于，

所述角色信息包括角色标识、所述第一配置设备的标识、所述角色标识的有效期、第二目标签名；其中，所述第二目标签名为分析所述角色信息的设备使用其私钥为所述角色标识、所述第一配置设备的标识和所述角色标识的有效期产生的签名。
如权利要求15或16所述的方法，其特征在于，所述智能终端根据所述角色信息，确定所述第一配置设备的访问权限，包括：

在所述角色标识处于有效期内的情况下，所述智能终端根据所述角色信息，确定所述第一配置设备的访问权限。
如权利要求15或17所述的方法，其特征在于，所述智能终端根据所述角色信息，确定所述第一配置设备的访问权限，包括：

所述智能终端通过第二配置设备的公钥对所述第一目标签名进行解密，得到所述第一目标签名对应的角色标识和有效期，其中，所述第二配置设备为分享所述角色信息的设备；

所述智能终端根据所述第一目标签名对应的角色标识和有效期，对从所述目标应用证书中读取的角色标识和有效期进行真实性验证；

在从所述目标应用证书中读取的角色标识和有效期真实的情况下，所述智能终端根据所述角色信息，确定所述第一配置设备的访问权限。
如权利要求16或17所述的方法，其特征在于，所述智能终端根据所述角色信息，确定所述第一配置设备的访问权限，包括：

所述智能终端通过第二配置设备的公钥对所述第二目标签名进行解密，得到所述第二目标签名对应的角色标识、有效期、第一配置设备的标识，其中，所述第二配置设备为分享所述角色信息的设备；

所述智能终端根据所述第二目标签名对应的角色标识、有效期、第一配置设备的标识，对从所述目标应用证书中读取的角色标识、有效期、第一配置设备的标识进行真实性验证；

在从所述目标应用证书中读取的角色标识、有效期、第一配置设备的标识真实的情况下，所述智能终端根据所述角色信息，确定所述第一配置设备的访问权限。
如权利要求18或19所述的方法，其特征在于，所述方法还包括：

所述智能终端根据从所述目标应用证书中读取的角色标识，查询所述第二配置设备，并获取所述第二配置设备的公钥。
如权利要求16所述的方法，其特征在于，所述智能终端根据所述角色信息，确定所述第一配置设备的访问权限，包括：

所述智能终端通过第二配置设备的公钥对所述第二目标签名进行解密，得到所述第二目标签名对应的角色标识和/或第一配置设备的标识，其中，所述第二配置设备为分享所述角色信息的设备；

所述智能终端比较所述第二目标签名对应的角色标识和/或第一配置设备的标识，与从所述目标应用证书中读取的角色标识和/或第一配置设备的标识是否一致；

在一致的情况下，所述智能终端根据所述角色信息，确定所述第一配置设备的访问权限。
如权利要求12或13所述的方法，其特征在于，

所述角色信息包括角色标识、所述第一配置设备的标识、第三目标签名；其中，所述第三目标签名为分析所述角色信息的设备使用其私钥为所述角色标识和所述第一配置设备的标识产生的签名。
如权利要求22所述的方法，其特征在于，所述智能终端根据所述角色信息，确定所述第一配置设备的访问权限，包括：

所述智能终端通过第二配置设备的公钥对所述第三目标签名进行解密，得到所述第三目标签名对应的角色标识和/或第一配置设备的标识，其中，所述第二配置设备为分享所述角色信息的设备；

所述智能终端比较所述第三目标签名对应的角色标识和/或第一配置设备的标识，与从所述目标应用证书中读取的角色标识和/或第一配置设备的标识是否一致；

在一致的情况下，所述智能终端根据所述角色信息，确定所述第一配置设备的访问权限。
如权利要求15至23所述的方法，其特征在于，所述智能终端根据所述角色信息，确定所述第一配置设备的访问权限，包括：

所述智能终端比较从所述目标应用证书中读取的公钥与所述第一配置设备的公钥是否一致；

在一致的情况下，所述智能终端根据所述角色信息，确定所述第一配置设备的访问权限。
如权利要求24所述的方法，其特征在于，所述方法还包括：

所述智能终端接收所述第二配置设备发送的所述第一配置设备的公钥，其中，所述第二配置设备为分享所述角色信息的设备。
如权利要求12至25任一项所述的方法，其特征在于，在所述智能终端确定所述第一配置设备的访问权限之前，所述方法还包括：

所述智能终端通过第一配置设备的根证书对所述目标应用证书进行校验。
如权利要求26所述的方法，其特征在于，所述方法还包括：

所述智能终端接收第二配置设备发送的所述第一配置设备的根证书，其中，所述第二配置设备为分享所述角色信息的设备。
一种无线通信的方法，其特征在于，包括：

第二配置设备向第一配置设备发送角色信息，所述角色信息用于表示证书所代表的设备的角色。
如权利要求28所述的方法，其特征在于，所述角色信息包括角色标识。
如权利要求29所述的方法，其特征在于，

所述第二配置设备向所述第一配置设备发送认证请求，所述认证请求包括第一随机数；

所述第二配置设备接收所述第一配置设备发送的认证响应，所述认证响应包括所述第一配置设备的根证书、第一应用证书、第一签名；其中，所述第一应用证书为更新前所述第一配置设备的应用证书，所述第一签名为所述第一配置设备使用其私钥签名所述第一随机数得到的。
如权利要求28所述的方法，其特征在于，

所述角色信息包括角色标识、所述角色标识的有效期、第一目标签名；其中，所述第一目标签名所述第二配置设备使用其私钥为所述角色标识和所述角色标识的有效期产生的签名。
如权利要求28所述的方法，其特征在于，

所述角色信息包括角色标识、所述第一配置设备的标识、所述角色标识的有效期、第二目标签名；其中，所述第二目标签名为所述第二配置设备使用其私钥为所述角色标识、所述第一配置设备的标识和所述角色标识的有效期产生的签名。
如权利要求28所述的方法，其特征在于，

所述角色信息包括角色标识、所述第一配置设备的标识、第三目标签名；其中，所述第三目标签名为所述第二配置设备使用其私钥为所述角色标识和所述第一配置设备的标识产生的签名。
如权利要求31至33中任一项所述的方法，其特征在于，所述方法还包括：

所述第二配置设备向所述第一配置设备发送的请求信息，所述请求信息用于请求获取所述第一配置设备的根证书和所述第一配置设备的公钥；

所述第二配置设备接收所述第一配置设备发送响应信息，所述响应信息包括所述第一配置设备的根证书和所述第一配置设备的公钥。
如权利要求31至34中任一项所述的方法，其特征在于，所述方法还包括：

所述第二配置设备向所述智能终端发送所述第一配置设备的公钥。
如权利要求28至35任一项所述的方法，其特征在于，所述方法还包括：

所述第二配置设备向所述智能终端发送所述第一配置设备的根证书。
一种配置设备，其特征在于，包括：

通信单元，用于接收角色信息，所述角色信息用于表示证书所代表的设备的角色；

所述通信单元还用于向智能终端发送第一信息，所述第一信息包括目标应用证书，且所述目标应用证书至少包括所述角色信息。
如权利要求37所述的设备，其特征在于，所述目标应用证书用于所述智能终端确定所述第一配置设备的访问权限。
如权利要求37或38所述的设备，其特征在于，所述通信单元还用于：

向证书授权CA设备发送第二信息，所述第二信息用于请求更新应用证书，且所述第二信息至少包括所述角色信息；

接收所述CA设备发送的第三信息，所述第三信息包括所述目标应用证书。
如权利要求39所述的设备，其特征在于，所述第二信息还包括第一应用证书，所述第一应用证书为更新前所述第一配置设备的应用证书。
如权利要求37至40中任一项所述的设备，其特征在于，所述角色信息包括角色标识。
如权利要求41所述的设备，其特征在于，所述通信单元还用于：

接收所述第二配置设备发送的认证请求，所述认证请求包括第一随机数；

向所述第二配置设备发送认证响应，所述认证响应包括所述第一配置设备的根证书、第一应用证书、第一签名；其中，所述第一应用证书为更新前所述第一配置设备的应用证书，所述第一签名为所述第一配置设备使用其私钥签名所述第一随机数得到的。
如权利要求37至40中任一项所述的设备，其特征在于，

所述角色信息包括角色标识、所述角色标识的有效期、第一目标签名；其中，所述第一目标签名为分享所述角色信息的设备使用其私钥为所述角色标识和所述角色标识的有效期产生的签名。
如权利要求37至40任一项所述的设备，其特征在于，

所述角色信息包括角色标识、所述第一配置设备的标识、所述角色标识的有效期、第二目标签名；其中，所述第二目标签名为分享所述角色信息的设备使用其私钥为所述角色标识、所述第一配置设备的标识和所述角色标识的有效期产生的签名。
如权利要求37至40任一项所述的设备，其特征在于，

所述角色信息包括角色标识、所述第一配置设备的标识、第三目标签名；其中，所述第三目标签名为分享所述角色信息的设备使用其私钥为所述角色标识和所述第一配置设备的标识产生的签名。
如权利要求43至45任一项所述的设备，其特征在于，所述通信单元还用于：

接收所述第二配置设备发送的请求信息，所述请求信息用于请求获取所述第一配置设备的根证书和所述第一配置设备的公钥；

向所述第二配置设备发送响应信息，所述响应信息包括所述第一配置设备的根证书和所述第一配置设备的公钥。
如权利要求37至46中任一项所述的设备，其特征在于，所述通信单元还用于：

向所述智能终端发送配置信息，所述配置信息用于配置所述智能终端。
一种智能终端，其特征在于，包括：

通信单元，用于接收第一配置设备发送的第一信息，所述第一信息包括目标应用证书，所述目标应用证书包括角色信息，所述角色信息用于表示证书所代表的设备的角色；

处理单元，用于根据所述角色信息，确定所述第一配置设备的访问权限。
如权利要求48所述的智能终端，其特征在于，所述处理单元具体用于：

在访问控制列表ACL中查询所述角色信息对应的访问控制列表条目ACLE；

根据所述ACLE，确定所述第一配置设备的访问权限。
如权利要求48或49所述的智能终端，其特征在于，所述角色信息包括角色标识。
如权利要求48或49所述的智能终端，其特征在于，

所述角色信息包括角色标识、所述角色标识的有效期、第一目标签名；其中，所述第一目标签名为分享所述角色信息的设备使用私钥为所述角色标识和所述角色标识的有效期产生的签名。
如权利要求48或49所述的智能终端，其特征在于，

所述角色信息包括角色标识、所述第一配置设备的标识、所述角色标识的有效期、第二目标签名；其中，所述第二目标签名为分析所述角色信息的设备使用其私钥为所述角色标识、所述第一配置设备的标识和所述角色标识的有效期产生的签名。
如权利要求51或52所述的智能终端，其特征在于，所述处理单元具体用于：

在所述角色标识处于有效期内的情况下，根据所述角色信息，确定所述第一配置设备的访问权限。
如权利要求51或53所述的智能终端，其特征在于，所述处理单元具体用于：

通过第二配置设备的公钥对所述第一目标签名进行解密，得到所述第一目标签名对应的角色标识和有效期，其中，所述第二配置设备为分享所述角色信息的设备；

根据所述第一目标签名对应的角色标识和有效期，对从所述目标应用证书中读取的角色标识和有效期进行真实性验证；

在从所述目标应用证书中读取的角色标识和有效期真实的情况下，根据所述角色信息，确定所述第一配置设备的访问权限。
如权利要求52或53所述的智能终端，其特征在于，所述处理单元具体用于：

通过第二配置设备的公钥对所述第二目标签名进行解密，得到所述第二目标签名对应的角色标识、有效期、第一配置设备的标识，其中，所述第二配置设备为分享所述角色信息的设备；

根据所述第二目标签名对应的角色标识、有效期、第一配置设备的标识，对从所述目标应用证书中读取的角色标识、有效期、第一配置设备的标识进行真实性验证；

在从所述目标应用证书中读取的角色标识、有效期、第一配置设备的标识真实的情况下，根据所述角色信息，确定所述第一配置设备的访问权限。
如权利要求54或55所述的智能终端，其特征在于，所述处理单元还用于：

根据从所述目标应用证书中读取的角色标识，查询所述第二配置设备，并获取所述第二配置设备的公钥。
如权利要求52所述的智能终端，其特征在于，所述处理单元具体用于：

通过第二配置设备的公钥对所述第二目标签名进行解密，得到所述第二目标签名对应的角色标识和/或第一配置设备的标识，其中，所述第二配置设备为分享所述角色信息的设备；

比较所述第二目标签名对应的角色标识和/或第一配置设备的标识，与从所述目标应用证书中读取的角色标识和/或第一配置设备的标识是否一致；

在一致的情况下，根据所述角色信息，确定所述第一配置设备的访问权限。
如权利要求48或49所述的智能终端，其特征在于，

所述角色信息包括角色标识、所述第一配置设备的标识、第三目标签名；其中，所述第三目标签名为分析所述角色信息的设备使用其私钥为所述角色标识和所述第一配置设备的标识产生的签名。
如权利要求58所述的智能终端，其特征在于，所述处理单元具体用于：

通过第二配置设备的公钥对所述第三目标签名进行解密，得到所述第三目标签名对应的角色标识和/或第一配置设备的标识，其中，所述第二配置设备为分享所述角色信息的设备；

比较所述第三目标签名对应的角色标识和/或第一配置设备的标识，与从所述目标应用证书中读取的角色标识和/或第一配置设备的标识是否一致；

在一致的情况下，根据所述角色信息，确定所述第一配置设备的访问权限。
如权利要求51至59所述的智能终端，其特征在于，所述处理单元具体用于：

比较从所述目标应用证书中读取的公钥与所述第一配置设备的公钥是否一致；

在一致的情况下，根据所述角色信息，确定所述第一配置设备的访问权限。
如权利要求60所述的智能终端，其特征在于，所述通信单元还用于：

接收所述第二配置设备发送的所述第一配置设备的公钥，其中，所述第二配置设备为分享所述角色信息的设备。
如权利要求48至61任一项所述的智能终端，其特征在于，所述处理单元还用于：

通过第一配置设备的根证书对所述目标应用证书进行校验。
如权利要求62所述的智能终端，其特征在于，所述通信单元还用于：

接收第二配置设备发送的所述第一配置设备的根证书，其中，所述第二配置设备为分享所述角色信息的设备。
一种配置设备，其特征在于，包括：

通信单元，用于向第一配置设备发送角色信息，所述角色信息用于表示证书所代表的设备的角色。
如权利要求64所述的设备，其特征在于，所述角色信息包括角色标识。
如权利要求65所述的设备，其特征在于，

所述通信单元还用于向所述第一配置设备发送认证请求，所述认证请求包括第一随机数；

所述通信单元还用于接收所述第一配置设备发送的认证响应，所述认证响应包括所述第一配置设备的根证书、第一应用证书、第一签名；其中，所述第一应用证书为更新前所述第一配置设备的应用证书，所述第一签名为所述第一配置设备使用其私钥签名所述第一随机数得到的。
如权利要求64所述的设备，其特征在于，

所述角色信息包括角色标识、所述角色标识的有效期、第一目标签名；其中，所述第一目标签名所述第二配置设备使用其私钥为所述角色标识和所述角色标识的有效期产生的签名。
如权利要求64所述的设备，其特征在于，

所述角色信息包括角色标识、所述第一配置设备的标识、所述角色标识的有效期、第二目标签名；其中，所述第二目标签名为所述第二配置设备使用其私钥为所述角色标识、所述第一配置设备的标识和所述角色标识的有效期产生的签名。
如权利要求64所述的设备，其特征在于，

所述角色信息包括角色标识、所述第一配置设备的标识、第三目标签名；其中，所述第三目标签名为所述第二配置设备使用其私钥为所述角色标识和所述第一配置设备的标识产生的签名。
如权利要求67至69中任一项所述的设备，其特征在于，所述通信单元还用于：

向所述第一配置设备发送的请求信息，所述请求信息用于请求获取所述第一配置设备的根证书和所述第一配置设备的公钥；

接收所述第一配置设备发送响应信息，所述响应信息包括所述第一配置设备的根证书和所述第一配置设备的公钥。
如权利要求67至70中任一项所述的设备，其特征在于，所述通信单元还用于：

向所述智能终端发送所述第一配置设备的公钥。
如权利要求64至71任一项所述的设备，其特征在于，所述通信单元还用于：

向所述智能终端发送所述第一配置设备的根证书。
一种配置设备，其特征在于，包括：处理器和存储器，该存储器用于存储计算机程序，所述处理器用于调用并运行所述存储器中存储的计算机程序，执行如权利要求1至11中任一项所述的方法。
一种智能终端，其特征在于，包括：处理器和存储器，该存储器用于存储计算机程序，所述处理器用于调用并运行所述存储器中存储的计算机程序，执行如权利要求12至27中任一项所述的方法。
一种配置设备，其特征在于，包括：处理器和存储器，该存储器用于存储计算机程序，所述处理器用于调用并运行所述存储器中存储的计算机程序，执行如权利要求28至36中任一项所述的方法。
一种芯片，其特征在于，包括：处理器，用于从存储器中调用并运行计算机程序，使得安装有所述芯片的设备执行如权利要求1至11中任一项所述的方法。
一种芯片，其特征在于，包括：处理器，用于从存储器中调用并运行计算机程序，使得安装有所述芯片的设备执行如权利要求12至27中任一项所述的方法。
一种芯片，其特征在于，包括：处理器，用于从存储器中调用并运行计算机程序，使得安装有所述芯片的设备执行如权利要求28至36中任一项所述的方法。
一种计算机可读存储介质，其特征在于，用于存储计算机程序，所述计算机程序使得计算机执行如权利要求1至11中任一项所述的方法。
一种计算机可读存储介质，其特征在于，用于存储计算机程序，所述计算机程序使得计算机执行如权利要求12至27中任一项所述的方法。
一种计算机可读存储介质，其特征在于，用于存储计算机程序，所述计算机程序使得计算机执行如权利要求28至36中任一项所述的方法。
一种计算机程序产品，其特征在于，包括计算机程序指令，该计算机程序指令使得计算机执行如权利要求1至11中任一项所述的方法。
一种计算机程序产品，其特征在于，包括计算机程序指令，该计算机程序指令使得计算机执行如权利要求12至27中任一项所述的方法。
一种计算机程序产品，其特征在于，包括计算机程序指令，该计算机程序指令使得计算机执行如权利要求28至36中任一项所述的方法。
一种计算机程序，其特征在于，所述计算机程序使得计算机执行如权利要求1至11中任一项所述的方法。
一种计算机程序，其特征在于，所述计算机程序使得计算机执行如权利要求12至27中任一项所述的方法。
一种计算机程序，其特征在于，所述计算机程序使得计算机执行如权利要求28至36中任一项所述的方法。