WO2022261837A1 - 一种物联网设备的配置方法及其装置 - Google Patents

Abstract

本发明提供一种物联网设备的配置方法及装置，通过获取用于激活所述物联网设备的有效载荷，获取用于激活所述物联网设备的配置服务器的网络访问信息；根据所述物联网设备的有效载荷访问配置服务器；根据所述云服务器返回的信息激活所述物联网设备。本发明优化了物联网设备入网时的配置构架。通过对onboarding有效载荷的配置，提供了通过配置服务器配置入网设备的路径。有利于增强物联网设备激活认证的扩展性，使物联网设备可以兼容多种配置模式。

Description

一种物联网设备的配置方法及其装置 技术领域

本申请实施例涉及物联网领域，更具体地，涉及一种物联网设备的配置方法及其装置。

背景技术

在物联网(IoT)设备入网过程中，需要配置装置(Commissioner)对物联网设备(Enrollee)进行配置和验证，配置装置在获得物联网设备的信息后，通常直接向物联网设备发起请求，确定物联网设备的连接方式后，与物联网设备建立连接。然后根据物联网设备返回的消息，与物联网设备建立链路层链接，建立安全信道(Session Establishment Phase)。

发明内容

本说明书对目前物联网设备入网配置的方式进行了研究和改进。

第一方面，提供了一种物联网设备的配置方法，包括：获取所述物联网设备的有效载荷，所述有效载荷包含所述物联网设备的配置服务器的网络访问信息；根据所述物联网设备的有效载荷访问所述配置服务器；根据所述配置服务器返回的配置信息配置所述物联网设备。

第二方面，提供一种物联网设备的配置装置，包括：获取单元，用于获取所述物联网设备的有效载荷，所述有效载荷包含所述物联网设备的配置服务器的网络访问信息；通信单元，用于根据所述物联网设备的有效载荷访问所述配置服务器；配置单元，用于根据所述配置服务器返回的配置信息配置所述物联网设备。

第三方面，结合第一方面，提供一种应用于物联网设备的配置方法，所述物联网设备具有包含该物联网设备信息的有效载荷，所述有效载荷包含所述物联网设备的配置服务器的网络访问信息；所述方法包括：等待配置装置的连接请求；当接收到配置装置的连接请求时，建立与所述配置装置的连接；根据所述配置设备发送的配置信息进行配置；所述配置信息是所述配置设备根据所述有效载荷中的物联网设备的配置服务器的网络访问信息从配置服务器获得。

第四方面，结合第二方面，提供一种物联网设备，所述物联网设备具有携带该物联网设备信息的有效载荷，所述物联网设备信息包含所述物联网设备的配置服务器的网络访问信息；所述设备包括：接收单元，用于等待配置装置的连接请求；通信单元，用于在接收到配置装置的连接请求时，建立与所述配置装置的连接；配置单元，根据所述配置设备发送的配置信息进行配置；所述配置信息是所述配置设备根据所述有效载荷中的物联网设备的配置服务器的网络访问信息从配置服务器获得。

第五方面，结合第一方面和第三方面，提供一种应用于配置服务器的物联网设备配置方法，包括：根据配置装置的访问请求，向所述配置装置返回所述物联网设备的基本信息；根据配置装置的配置请求，向所述配置装置返回所述物联网设备的配置信息。

第六方面，结合第二方面和第四方面，提供一种服务器，应用于配置物联网设备，包括：基本信息响应单元，用于根据配置装置的访问请求，向所述配置装置返回所述物联网设备的基本信息；配置信息响应单元，用于根据配置装置的配置请求，向所述配置装置返回所述物联网设备的配置信息。

通过上述技术方案，优化了物联网设备入网时的配置方式。通过对onboarding有效载荷的配置，提供了通过配置服务器配置入网设备的路径。有利于增强物联网设备激活认证的扩展性，使物联网设备可以兼容多种配置模式。

附图说明

图1是本说明书实施例应用的一种通信系统架构的示意图。

图2是本说明书提供的一种物联网设备的配置方法的示意性交互流程图。

图3是本说明书提供的一种物联网设备的配置方法的示意性交互流程图。

图4是本说明书提供的一种物联网设备的配置方法的示意性交互流程图。

图5是本说明书提供的一种物联网设备的配置方法的示意性交互流程图。

图6是本说明书提供的一种物联网设备的配置方法的示意性交互流程图。

图7示出了根据本申请实施例的一种配置装置的示意性框图。

图8示出了根据本申请实施例的一种物联网设备的示意性框图。

图9示出了根据本申请实施例的一种服务器的示意性框图。

图10是根据本申请实施例提供的配置服务器的示意性结构图。

图11是根据本申请实施例提供配置装置和/或物联网设备的示意性结构图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。针对本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

在物联网(IoT)领域中，通过网络使物联网设备之间的互联互通，以实现多个设备之间的传感信息交互，控制信息交互等。当设备需要入网时，需要进行激活验证，激活验证可以是通过具有激活验证权限的终端获取待物联网设备的信息，通过将物联网设备的信息增加到网络中达到将待物联网设备添加到网络中的目的。在设备加入到网络之后，可以通过网络实现对加入网络后的设备进行控制，例如，开启、关闭、执行某种操作、进入某种工作模式、对物联网设备进行配置等等。

本说明书所指的网络，是指连接物联网设备与物联网设备、物联网设备与通信中继节点、物联网设备与无线接入点、物联网设备和远程控制设备的至少一种有线或者无线数据/控制信令传输规则和/或信道，达到交互设备之间相互通信的目的。所述网络可以是智能家居网络、工业物联网、物流运输网、车联网、无人飞行器空地通信网络等等。

图1示出了本申请实施例提供的一种通信系统架构的示意图。其中，包括配置装置110，物联网设备120，云平台130。配置装置110用于配置物联网设备120。配置装置110还可以通过有线或者无线网络与云平台130连接，通过有线或者无线方式从云平台获取配置信息或者其他信息。云平台130是实现存储、查询功能的服务器或者服务器集群。该系统可以包括紫峰(Zigbee)联盟下通过IP连接家庭工作组(Connected Home over IP Working Group，CHIP)的构架。配置装置110可以是用户终端，也可以是由用户终端管理和配置的网络设备。物联网设备120，是指待加入到前述网络中的设备。该物联网设备可以是家居智能设备，例如智能灯具、智能电视、智能音响、智能冰箱、智能空调、微波炉/烤箱、洗碗机、炒菜机、扫地机器人等等。该物联网设备可以是工业设备，例如用于自动化或者半自动化生产的工控机器人或者其它工控智能设备、工控传感器、工控监控器、工业流水线控制器。该物联网设备可以是物流设备，例如物流数据传感器，物流监控传感器、物流控制器等等。该物联网设备可以是车联网设备，例如车联网中的基站设备、车载设备、中继设备、基础设施等等。该设备可以是无人飞行器网络设备，例如无人飞行器、无人飞行器控制器、无人飞行器辅助设备等等。此外，该物联网设备还可以是承担通信功能的终端设备、无线AP、基站设备等等。

图2是本申请实施例提供的一种物联网设备的配置方法的示意性交互流程，可以至少包括如下内容：

S210：配置装置(Commissioner)与网络设备(Network)建立连接。

S220：物联网设备(Enrollee)处于恢复出场设置或者其它可授权(Commissionable)状态。

S230：物联网设备广播自身存在和/或未授权状态(Uncommissioning State)。

S240：配置装置获取物联网设备的区分码(Discriminator)和/或PIN码。在S140中，可以通过扫描物联网设备的QR Code、输入物联网设备的Setup Code等手段获得所述区分码和PIN码。

S250：通过S240，配置装置可以获得物联网设备的载荷信息(Setup Payload)。

S260：配置装置根据S250中获得载荷信息中的发现能力搜索物联网设备。

S270：配置装置在搜索并在发现物联网设备后，使用区分码(Discriminator)和/或PIN码与物联网设备建立链路层连接，在二者间建立安全信道。

S280：判断物联网设备的认证凭证能够被请求且有效(Device Attestation)。

S290：配置装置授予物联网设备网络证书和其它入网配置参数。

在S290之后，物联网设备根据授予的网络证书加入(Operation)到网络中。

在上述配置过程开始后，配置装置(Commissioner)作为配置装置确定被配置设备作为已认证设备的真实性，即对设备进行认证。

需要说明的是，上述S210-S290是本说明实施例对于入网过程的示意性说明，在具体的操作过程中，其中步骤顺序是可调整的，甚至S210-S290中的某个或者某几个步骤本身是可省略的。

在一些实施例中，有效载荷(Onboarding Payload)可以以二维码的形式包括在物联网设备上。配置装 置通过扫描二维码的方式获得有效载荷。

在一些实施例中，有效载荷包括但是不限于如下信息元素：有效载荷的版本信息，厂商ID，产品ID，供应商特定流程，发现能力信息，鉴别器，配置码，密码，填充码等等。每个信息元素被分配了一定的比特数，例如，供应商特定流程为2bits配置信息，通过2bits的配置信息指示如下四种情况：2bit值为00为标准流程，表示未调试的设备通电后总是进入配对模式；2bit值为01，表示进入配对模式所需的用户操作；2bit值为10表示供应商特定流程，使用供应商和产品ID从区块链获取信息；2bit值为11为保留字段。

表1

表1示例性地展示了有效载荷中包含的元素，在表1表示有效载荷中可以包含该元素，而不用于限定载荷元素的帧结构。此外，表1中可以不作为一个整体实施，在具体的配置时，某些元素可以单独实施，而省略其它元素。表1中各个元素所占用的bit数也仅仅是示例，可以进行配置，例如，密码(Passcode)最多可以支持256bits，厂商ID(Vendor ID)也可以改变其比特数。在一些实施例中，有效载荷中包含有机器可读格式的供应商ID和产品ID，并可包含在手动配对代码中。供应商ID由Zigbee联盟分配。产品ID由供应商指定。这样可以确定设备的品牌和型号，在调试流程中，例如在设备认证程序中进一步使用。这些id不应特定于唯一的物理设备；相反，它们描述的是产品类型，可能有许多制造实例。这些唯一标识符有助于从区块链中检索设备模型元数据，如产品名称、产品描述和固件更新URL。供应商ID和产品ID可以设置为16bits。

在一些实施例中，有效载荷中包含指定制造商特定自定义流选项的2bits无符号枚举。只有在配置前需要设备的自定义设置流程时，才应将其设置为非零值。值为1表示需要用户与设备交互(例如，按下按钮)，然后才能进行配置。对于给定的供应商ID和产品ID，可以在区块链的配置模式初始步骤提示字段中找到所需的具体步骤。值2表示初始设备设置需要与制造商提供的服务进行交互，然后才能由其他配置装置配置。此服务的统一资源定位符(URL)可以在给定供应商ID和产品ID的区块链中找到。通过使用产品类型的唯一标识符(供应商ID和产品ID的组合)来协助检索，可以从本地或远程数据库中查找配置URL。此调试URL字段可直接从配置装置自己的数据集或供应商维护的数据库中获得，并提供除区块链中的默认值之外的其他详细信息。

在一些实施例中，有效载荷中包含发现能力掩码。发现能力掩码可以是8位功能位掩码。发现功能位掩码包含有关设备发现可用技术的信息。表2示例性地展示了发现能力掩码各比特位的描述。其中0比特位表示设备支持Soft-AP，1比特位表示设备支持BLE发现，2比特位表示设备已经处于IP网络中，3-7比特位则为预留比特。当然表2仅仅是一个示例，发现能力掩码可以根据发现能力的设计具体设置长度，可以在满足需要的情况只使用2bits表示，也可以扩展到16bits，表示发现能力或者发现能力的组合。

表2

比特位	大小	描述
0	1bits	设备支持Soft-AP
1	1bits	设备支持BLE发现
2	1bits	设备已经处于IP网络中
3..7	5bits	保留

在一些实施例中，有效载荷中包含区分码(Discriminator)，该区分码也称为鉴别码或者鉴别器。区分码为12位无符号整数，该整数应与设备在配对时公布的值相匹配。为了容易区分发出广播的设备，每个设备的这个值应该不同。对于机器可读格式，使用全12位鉴别器。对于手动配对码，仅使用12位鉴别器中的部分位，例如上4位。区分码值有助于在配对过程中进一步识别潜在设备，并有助于提高用户配对体 验的速度和鲁棒性。

在一些实施例中，有效载荷中包含密码，密码应为27位无符号整数，作为配对时的占有证明。27位无符号整数编码8位十进制数字值，因此应限制为0x0000001到0x5F5E0FE(00000001到99999998十进制)，不包括无效的密码值。密码建立了占有证明，也被用作建立初始安全通道的共享秘密，在该通道上进行进一步的激活步骤。

在一些实施例中，有效载荷可以二维码的形式包括在设备上。二维码的内容包括前缀字符串和包含所需和可选TLV内容的Base-38编码字符串的串联：

QR code string:＝<prefix><base-38-content>。

根据上述S210-S290的配置方法，可以实现将物联网设备接入到网络中，用户只需要输入或者通过扫描物联网设备上的二维码即可以开始对物联网设备的配置。整个过程操作简便，二维码容易在产品上实现，只需要将载荷信息加入到二维码信息中即可，实现成本低。在上述配置过程中，用户启动与配置装置的交互，从配置装置处输入onboarding有效载荷。配置装置决定使用哪些技术进行设备发现。当尝试在IP承载网络上定位设备时，使用可配置节点发现方法，通常为长或短区分码的DNS服务发现(DNS-SD)服务子类型，并指定配置模式将结果过滤到与onboarding有效负载中的区分码匹配且处于配置模式的设备。当试图通过BLE或SoftAP广播定位设备时，区分码通常用于过滤结果。配置装置开始配置过程。如果发现不止一个设备，配置装置可以使用任何附加信息(如供应商ID或产品ID)进一步细化结果，这些附加信息可能在onboarding有效载荷中。如果仍有多个已发现的设备，配置装置通常会尝试与每个设备建立PASE安全配置会话。开始配置过程后，配置装置确定被配置设备作为已认证设备的真实性，即对设备进行认证。

图3是本申请实施例提供的一种物联网设备的配置方法的示意性交互流程图。在步骤S210-S290提供的物联网设备配置方法中，基于用户密码的密钥协商来建立物联网设备的配置通道，其在配置简便的同时，不利于兼容其它配置流程，例如，WPA3中Wi-Fi Device Provisioning Protocol DPP此类基于证书或公钥的方案，由于缺少协商字段也无法扩展支持除预定义之外的其他密钥协商算法。在图3所示的方法中，增加了兼容了其它配置流程的扩展方式，该物联网设备的配置方法可以至少包括如下内容：

S310：配置装置(Commissioner)获取用于激活所述物联网设备的有效载荷(On boarding Payload)，所述有效载荷包含用于激活所述物联网设备的网络访问信息。

S320：配置装置根据所述物联网设备的有效载荷访问云服务器。

S330：根据所述云服务器返回的信息激活所述物联网设备。

基于上述步骤。能够解决现有方法仅能依靠激活(Onboarding)有效载荷所携带的密码(Passcode)，基于Passcode密码的密钥协商技术建立配置通道，导致扩展性差，无法很好地兼容其他配置流程(如DPP此类基于证书或公钥的方案)，由于缺少协商字段也无法扩展支持除预定义之外的其他密钥协商算法。

在一些实施例中，在S310中，为了提高激活认证过程的兼容性和可扩展性，在有效载荷中(On boarding Payload)增加用于激活物联网设备的网络访问信息。网络访问信息可以云服务器的网络访问地址，例如服务器的统一资源定位符(Cloud URL)。网络访问信息也可以是云服务器的ID等。通过网络访问信息，用户可以访问存储有物联网设备配置信息的网络位置，进而获取物联网设备的配置信息，基于此，配置装置可以在获取到有效载荷中的网络访问信息自动地或者根据用户指令跳转到网络访问信息指示的网络访问地址。该网络访问地址一般指向互联网(Internet)服务器地址，例如设备提供的云服务或者多家厂商共同维护的云端分布式记账本(即区块链)。对于设备提供商而言，可以维护云服务器，或者共同维护物联网设备配置信息的区块链。

在一些实施例中，在S310中，获取包含用于激活所述物联网设备的网络访问信息的有效载荷不仅可以通过扫描二维码(QR code)或用户输入获得。有效载荷还可以根据编织网络(Fabric)内的带外机制共享获取。

在一些实施例中，在S320中，配置装置根据有效载荷包含的用于激活所述物联网设备的网络访问信息访问云服务器。具体地，可以在接收到有效载荷之后，根据有效载荷中包含的网络访问地址，自动跳转到该网络访问地址；还可以在接收到有效载荷之后，根据用户选择，跳转到该网络访问地址。

在一些实施例中，在跳转到该服务器之后，根据有效载荷中的验证信息在该服务器处进行验证。验证信息可以是物联网设备ID，物联网设备ID的长度是灵活可变的。在物联网设备ID生成时，每个设备的ID都不相同，一旦物联网设备ID生成即固定，此后该物联网设备ID唯一对应该物联网设备。物联网设备ID作为有效载荷元素，可以作为配置装置(Commissioner)在云服务器的认证信息，只有在有效载荷中的物联网设备ID可以在云服务器端被验证通过时，配置装置才可以获得服务器的接入/登录许可。

在一些实施例中，通过鉴别码(Discriminator)和/或密码(Passcode)实现物联网设备ID在服务器端的验证。需要验证码有与物联网设备唯一对应的特性。而鉴别码也就有唯一特性，因此鉴别码可以作为物联网设备的识别信息。在跳转到该服务器之后，根据有效载荷中的验证信息在该服务器处验证。验证信息 可以是鉴别码(Discriminator)，鉴别码是设备厂商设定的物联网设备识别码，与入网的设备唯一对应，因此可以作为物联网设备或者配置装置访问服务器时的验证信息。或者，密码(Passcode)也可以作为物联网设备或者配置装置访问服务器时的验证信息。此外，可以通过有效载荷中的鉴别码(Discriminator)和密码(Passcode)连接成为一个字符串，将字符串作为访问所述服务器的验证信息。连接形成的字符串长度为鉴别器字符串长度和密码字符串长度之和，例如鉴别码长度为12bits，密码长度为27bits，二者联合的长度为39bits。将鉴别码和密码连接成为一个字符串可以进一步保证发往服务器端的验证信息的“唯一性”，因为二者是采用不同的生成方法生成的序列，单一的鉴别码或者密码还有极小概率会产生相同的验证信息。将二者的值连接使用，由于产生单个相同验证码的概率已经很小，两个独立生成验证码连接后仍然相同的概率可以认为等于零。鉴别码(Discriminator)和/或密码(Passcode)作为验证是使用设备ID进行验证的方式的一种替换，以有效载荷中必须要携带的信息进行验证，不在有效载荷信息中添加设备ID信息，从而节约有效载荷的存储空间。另外一个方面，采用较长的联合验证码，也可以在一定程度上减少服务器端被攻击的风险，增强验证的安全性。

在一些实施例中，可以采用版本(Version)、厂商ID(Vendor ID)，产品ID(Vendor ID)、鉴别码(Discriminator)、密码(Passcode)、设备ID中一个或者几个进行组合，用于移动终端在跳转到服务器之后的验证。基于以上信息或者其组合，可以保证验证信息唯一性的同时，避免验证信息的重复，以及增强验证的安全性。上述信息组合后，其长度为组合前信息的长度之和。

在一些实施例中，采用物联网设备ID作为验证信息，其中，物联网设备ID的长度是灵活可变的。在物联网设备ID生成时，每个设备的ID都不相同，一旦物联网设备ID生成即固定，此后该物联网设备ID唯一对应该物联网设备。物联网设备ID作为有效载荷元素，可以作为配置装置(Commissioner)在云服务器的认证信息，只有在有效载荷中的物联网设备ID可以在云服务器端被验证通过时，配置装置才可以获得服务器的准入/登录许可。

在一些实施例中，在S320中，用户一旦获得有效载荷，例如通过扫描二维码或者接收到编织网络(Fabric)内的带外机制共享有效载荷，配置装置即自动将物联网设备ID发送到访问地址，并向服务器发送下载物联网设备基本信息的请求。在访问成功的情况下，服务器根据物联网设备ID或者其它验证信息获得请求中的物联网设备基本信息，然后将物联网设备的基本信息发送给配置装置。配置装置则需要确认服务器返回的物联网设备基本信息是否相同。

在一些实施例中，如表3所示，物联网设备的基本信息包括：厂商ID(Vendor ID)，产品ID(Product ID)等等。当配置装置接收到服务器返回的基本信息后，需要验证服务器返回的信息，当服务器返回的信息与有效载荷中的信息一致时，例如Vendor ID与Product ID一致，配置装置从服务器下载用于配置装置与物联网设备建立连接的信息，例如，设备配置方案、配置参数、发现能力中的一种或者几种。其中，设备配置方案可以包括PASE、DPP、证书认证等，也可包含设备配置流程信息；配置参数可以包括密钥协商算法、配置密码等；发现能力可以包含区分码，发现能力区分码也可以称为发现能力掩码，在前述的表2中示例性地展示了该区分码。

表3

在一些实施例中，如图4所示，提供了一种物联网设备的配置方法的示意性交互流程图。在该配置过程中，配置装置通过获得的有效载荷与应用云、设备云通信以获得物联网设备的配置相关信息，并根据配置相关信息对物联网设备进行发现和配置。

S401：配置装置(Commissioner)获得物联网设备的有效载荷，有效载荷包括物联网设备的供应商ID、产品ID、设备平台ID、设备ID等等。

S402：配置装置向应用云服务器发送平台ID和设备ID，向应用云服务器获取设备配置和认证信息。 获取设备配置和认证信息。

S403：应用云服务器接收并向设备云服务器转发设备配置和认证信息请求。

S404：认证云服务器根据设备ID查找对应物联网设备的配置和认证信息。

S405：设备云服务器向应用云服务器返回根据设备ID获得的信息。例如，设备配置方案(如PASE、DPP、证书认证等，也可包含设备配置流程信息)、配置参数(包含密钥协商算法、配置密码)、发现能力(也可包含区分码)。以及设备认证方案和认证凭证，其中，认证方案包含单向认证或双向认证、证书或预共享密钥认证方式等；认证凭证包含认证根证书或使用预置共享密钥产生的认证签名。

S406：应用服务器向配置装置转发设备服务返回的信息。例如，设备配置方案(如PASE、DPP、证书认证等，也可包含设备配置流程信息)、配置参数(包含密钥协商算法、配置密码)、发现能力(也可包含区分码)。以及设备认证方案和认证凭证，其中，认证方案包含单向认证或双向认证、证书或预共享密钥认证方式等；认证凭证包含认证根证书或使用预置共享密钥产生的认证签名。

S407：配置装置(Commissioner)根据下载的设备发现能力和设备ID开启设备发现。例如，若设备广播softAP的SSID，则配置装置开启监听网络中的SSID广播，根据SSID格式和设备ID过滤设备的广播，从而找到设备。又例如，若设备监听BLE广播，则配置装置以预定义格式广播BLE报文，报文中携带设备ID，并通过设备应答找到设备。

在S407或者之前，如果物联网设备进入配置模式，广播设备发现信息。则配置装置可以找到设备，然后连接到设备。

S408：找到物联网设备，连接到物联网设备的地址。

S409：配置装置根据下载的设备配置方案选择启动相应的配置脚本模块。例如，若物联网设备支持PASE方案，则配置装置启动配置脚本模块与物联网设备协商安全信道；若物联网设备支持DPP方案，则配置装置启动配置脚本模块与设备进行DPP认证(DPP Authentication)。

S410：配置装置根据下载的设备配置算法、配置凭证与设备建立安全配置信道。该步骤与S408启动的配置脚本模块相关。若物联网设备支持PASE，且支持SPAKE2+算法，则配置装置使用获取的SPAKE2+的Passcode与设备协商安全信道；若物联网设备支持DPP方案，则配置装置使用获取的设备公钥与设备进行DPP认证。

S411：配置装置根据下载的设备认证方案和认证凭证认证设备合法性。例如，配置装置从服务器下载设备根证书，通过根证书对设备认证证书链进行校验，判断是否为合法设备。

S412：物联网设备通过认证后，APP为设备配置入网信息及其他数据。

如表4所示，配置装置使用物联网设备ID(Device ID)或者访问地址(Cloud URL)作为配置云服务器的访问信息。二者中的一个存在于有效载荷中，或者二者均存在于有效载荷中，根据配置装置选择云服务器的访问方式。

在一个可选的实施例中，发现能力信息(Discovery Capabilities)不存在于有效载荷中，而是配置在云服务器中，例如作为设备配置信息存储，在配置装置访问并接入到云服务器后，从云服务器下载发现能力信息。

表4

有效载荷中的元素	大小	描述
版本(Version)	3bits	指定有效载荷版本
厂商ID(Vendor ID)	16bits	紫蜂(Zigbee)联盟分配的厂商ID
产品ID(Vendor ID)	16bits	产品ID
供应商特定流程(Custom Flow)	2bits	供应商特定流程
发现能力信息(Discovery Capabilities)	8bits	发现能力信息(可以配置于云服务器)
鉴别码(Discriminator)	12bits	厂商区分码，和密码连用
配置码(Setup Code)	可变	配对PIN码
密码(Passcode)	27bits	设备发现数据
填充码(Padding)	4bits	厂商自定义消息，和鉴别码连用
云访问地址(Cloud URL)	可变	设备信息存储地址
物联网设备ID(Device ID)	可变	用于云服务器验证(可选)

在一些实施例中，如图5所示，提供了一种物联网设备的配置方法的示意性交互流程图。在该配置过程中，配置装置通过获得的有效载荷，并根据有效载荷中的信息接入云平台，获得物联网设备的配置相关信息，并根据配置相关信息对物联网设备进行发现和配置。

S501：配置装置获得有效载荷，有效载荷中包含，设备供应商ID、产品ID、设备信息存储地址、设 备ID、设备配置脚本签名。有效载荷可以通过例如扫码等前述方式实现。

S502：配置装置通过设备信息存储地址和设备ID访问云服务器。如，APP通过云访问地址(Cloud URL)连接到服务器，并提供设备ID在服务器端进行验证，在验证成功的情况下接入服务器。该步骤可实现为APP自动完成，而无需用户操作。

S503：配置装置从云服务器下载设备基本信息，包含Vendor ID、Product ID。

S504：配置装置确认所下载Vendor ID、Product ID与设备有效载荷中获取的Vendor ID、Product ID一致。

S505：配置装置从云服务器下载设备配置脚本。配置脚本通常为设备商提供的配置脚本程序。

S506：云服务器返回设备配置脚本，可选地，还返回设备配置脚本的签名。

S507：配置装置从有效载荷获取的设备配置脚本的签名验证所下载的设备配置脚本。即对下载的设备配置脚本进行签名，与获取的签名进行比对。

S508：验证通过后，配置装置提示用户安装设备配置脚本。

S509：用户点击同意安装，进行设备配置脚本脚本安装。

S510：安装完成后，配置装置启动设备配置脚本，进行设备发现。

S511：配置装置通过物联网设备配置脚本找到目标物联网设备，并连接到物联网设备。

S512：配置装置通过物联网设备配置脚本与设备建立安全配置信道。

S513：若物联网设备配置脚本实现了设备认证功能，则物联网设备信任其认证结果。

S514：配置装置通过设备配置脚本为物联网设备配置入网信息及其他数据。

在配置装置寻找目标物联网设备之前，物联网设备需要进入配置模式，进入该配置模式的物联网设备，可以执行步骤SS501,广播物联网设备发现信息，或者等待配置装置的连接请求。若物联网设备在配置装置寻找物联网设备结束前未进入配置模式，则配置装置会无法发现可以配置的物联网设备，会返回相应的结果。

在上述验证过程中，有效载荷包括但是不限于如下信息元素：有效载荷的版本信息，厂商ID，产品ID，供应商特定流程，发现能力信息，鉴别器，配置码，密码，填充码等等。每个信息元素被分配了一定的比特数。如表5所示，在有效载荷中设置设备配置脚本数字签名，在配置装置确定Vendor ID、Product ID之后，向服务器请求下载设备配置脚本，以获得设备配置脚本以及程序数字签名，并由配置装置根据有效载荷中的设备配置脚本数字签名(Provisioning Program Signature)对下载的程序数字签名进行验证。在验证成功的情况下，按照程序脚本，通过设备配置脚本进行物联网设备发现、安全信道配置。

表5

在一些实施例中，基于设备配置脚本数字签名的方式配置，可以设置于例如图2或者图3的流程中，通过在有效载荷中设置设备配置脚本数字签名，在云服务器返回Vendor ID、Product ID之后，向服务器请求下载设备配置脚本，以获得设备配置脚本以及程序数字签名，并由配置装置根据有效载荷中的设备配置脚本数字签名(Provisioning Program Signature)对下载的程序数字签名进行验证。

在本说明书的技术方案中，物联网设备可以支持多种方案，多种方案中包含了DPP(Device Provisioning Protocol)方案或者PACE方案。

在使用DPP模式时，通常DPP模式，是在扫描二维码或输入字符串触发。在二维码中包括公钥、频道、MAC地址等信息。这些信息通过编码压缩成为了base64uri的形式。

在扫描二维码后，配置装置根据二维码获得DPP公钥以及其他信息，即Bootstrapping过程。而作为可选的方案，基于本说明书的实施例，配置装置在扫描二维码后即根据有效载荷中的网络地址或者服务器ID跳转到云服务器。在此情况下：

在一些实施例中，二维码或者用户输入信息可以不包括部分或者全部上述交换的信息(公钥、频道、MAC地址)，而将这些信息存储在云服务器上。这些信息，会在配置装置跳转并访问云服务器后，与其它信息等一起从云服务器获得。

在一些实施例中，二维码或者用户输入信息可以不包括部分或者全部上述交换的信息(公钥、频道、MAC地址)，这些信息存储在云服务器上。这些信息，会在配置装置跳转并访问云服务器后，与其它信息等一起从云服务器获得。并且，从云服务器获得的信息的部分或者全部会与二维码或者用户输入信息的上述信息进行验证。

在一些实施例中，上述交换的信息(公钥、频道、MAC地址)仅包含在二维码或者用户输入信息中。

在Bootstrapping过程之后，配置装置和物联网设备即可以根据DPP来建立安全连接。Enrollee从Configurator中获得配置信息，连接到目标AP或者自己成为AP。该配置信息由Wi-Fi网络的类型、SSID、凭证信息组成。凭证信息中可以包含一个由Configurator签署的连接器，其中含有设备的公钥、网络角色(客户端或AP)、组属性(用以确定是否允许建立网络连接)，以及签名信息。这确保了连接器对每个设备是唯一的，没法被其他设备所使用。如果是用于AP的连接器，则可以确保没有其他AP可以伪装成该AP。

在之后的网络接入(Network access)过程中，客户端使用配置中的网络信息扫描目标AP，接着利用连接器使用Network Introduction Protocol协议去认证并建立连接。在Network Introduction Protocol中包含了这些过程：接入设备客户端与AP确认连接器由配置装置签名。确认网络角色是互补的：客户端与AP建立连接，确认组属性是否匹配。接入设备客户端和AP基于连接器的公钥生成成对主密钥(PMK)。接入设备客户端与AP建立连接。

在前述过程中，提到了配置装置获得有效载荷的三种方式：根据用户输入获取用于激活所述物联网设备的有效载荷；通过扫描二维码获取用于激活所述物联网设备的有效载荷；根据编织网络(Fabric)内的带外机制共享获取用于激活所述物联网设备的有效载荷。其中通过扫描二维码或者用户直接输入的方式是比较直接的获取方式。下面将较为详细地介绍第三种方式：

在物联网领域中，不同的厂商可以建立不同的编织网络(Fabric)，可以通过配置设备对同一编织网络(Fabric)内的一个或多个智能终端进行访问控制，例如通过手机对物联网设备进行访问控制以控制灯泡打开或关闭等。一个编织网络内具有管理员权限的配置设备可以向其他Fabric内的配置设备共享其管理员权限，使其他Fabric内的配置设备也能具有对一个或多个智能终端具有管理员权限。例如，第一编织网络(A Fabric)中具有管理员权限的配置设备通过带外机制将激活令牌(OT)分享给第二编织网络(B Fabric)中的配置设备之后，f中的配置设备通过OT与智能终端(如物联网设备)建立连接，便拥有智能终端的管理员身份，可以完全控制和配置智能终端。此种情况下，第一编织网络中的配置设备无法对第二编织网络中的配置设备的管理权限进行控制，例如第一编织网络不希望第二编织网络修改某些配置，但将智能终端的管理员权限共享给第二编织网络之后，第二编织网络中的配置设备可以任意配置智能终端。

具体例如，如图6所示，用户A买了一个物联网设备，是联盟下通过IP连接家庭工作组(Connected Home over IP Working Group，CHIP)认证的产品，并支持低能耗蓝牙(Bluetooth Low Energy，BLE)和/或无线保真(Wireless Fidelity，WiFi)。用户A在其手机上使用A-APP(A application)在起居室配置物联网设备，稍后用户A可以用A-APP控制物联网设备。此种情况下，A-APP是一个管理员(Admin)、专员(Commissioner)和控制者(Controller)。用户A在用户B的手机上添加了B-APP，作为物联网设备的第二个Admin和Controller。A-APP具体的可以通过S601-S616添加B-APP为物联网设备的管理员。

S601：用户A触发开启物联网设备的配置模式；

S602：A-APP产生配置令牌OT，其中，OT可以包括随机生成的配置码(SetupCode)和鉴别器(Discriminator)，OT具体可以如下表6所示；

S603：A-APP向物联网设备发送开启配置的指令，指令携带OT；

S604：物联网设备收到指令后，向A-APP发送确认反馈；

S605：物联网设备进入到配置发现模式，如公开域名系统服务发现(Domain Name System Service Discovery DNS-SD)；

S606：A-APP通过邮件、语音等带外方式将OT分享给B-APP；

S607：B-APP查询DNS-SD；

S608：B-APP发现物联网设备，并连接到解析的网际互连协议(Internet Protocol，IP)地址/端口；

S609：物联网设备与B-APP之间使用OT建立安全连接；

S610.B-APP认证物联网设备的认证声明(Certification Declaration，CD)；

S611：若第二编织网络未在家庭网络中使用过，则B-APP为家庭网络创建Fabric ID。

S612：物联网设备获取操作密钥；

S613：物联网设备向B-APP发送设备证书请求，如物联网设备的证书签名请求(Certificate Signing Request of bulb，CSR.bulb)；

S614：B-APP将CSR.bulb和Fabric ID发送到第二编织网络的认证中心(Certificate Authority，CA)请求设备证书；

S615：第二编织网络的CA认证后，产生物联网设备操作证书(B.OC.bulb)返回B-APP；

S616：B-APP将B.OC.bulb和访问控制权限ACL.Bulb.B.APP配置到物联网设备。

需要说明的是，在上述步骤中，A-APP即为第一编织网络中具有管理员权限的配置设备，B-APP即为第二编织网络中的配置设备。

在上述图6所示的流程中，第一编织网络中具有管理员权限的配置设备通过带外机制将激活令牌(OT)分享给第二编织网络中的配置设备之后，第二编织网络中的配置设备通过OT与智能终端(如物联网设备)建立连接，便拥有智能终端的管理员身份，可以完全控制和配置智能终端。此种情况下，第一编织网络中的配置设备无法对第二编织网络中的配置设备的管理权限进行控制，例如第一编织网络不希望第二编织网络修改某些配置，但将智能终端的管理员权限共享给第二编织网络之后，第二编织网络中的配置设备可以任意配置智能终端。

需要说明的是，Fabric也可以理解为平台、生态、安全域，或者类似的描述，本申请对此并不限定。

基于上述问题，本申请提出了一种控制分享管理权限的方案，权限共享方能够对权限被共享方针对智能终端的配置权限进行限制，从而优化物联网领域中的跨Fabric权限共享。

为便于更好的理解本申请实施例，对本申请相关的ACL进行说明。

ACL是一种基于包过滤的访问控制技术，它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。

ACL由若干访问控制列表条目(Access Control List Entry，ACLE)组成。每个ACLE的结构如下表6所示。

表6

其中，在上述表6中，“主体”的含义主要是使用安全通道体系结构提供的给定认证方法来描述操作的来源。主体应为：

1、在调试阶段通过基于密钥认证的安全会话建立(Password Authenticated Session Establishment，PASE)会话进行交互的一种发起方节点，通过PASE会话中的两个对等方彼此在本地进行身份验证这一事实隐式地标识；

2、在操作阶段通过证书认证会话建立(Certificate Authenticated Session Establishment，CASE)会话进行交互的发起方节点，其标识使用会话建立期间共享的操作证书(OpCert)中的一个可分辨名称(例如节点ID)来标识；

3、组，是通过消息组进行交互的发起程序节点，由组ID标识，由操作组密钥验证。

本申请实施例的技术方案可以应用于各种通信系统，例如，WiFi、BLE、无线局域网(Wireless Local Area Networks，WLAN)、移动通信网络、近场通信网络(Near Field Communication，NFC)、超宽带(Ultra Broadband，UWB)网络、红外线网络、微波通信网络、毫米波通信网络、自由空间光通信网络。本申请 实施例也可以应用于设备到设备(Device to Device，D2D)通信，机器到机器(Machine to Machine，M2M)通信，机器类型通信(Machine Type Communication，MTC)，车辆间(Vehicle to Vehicle，V2V)通信，或车联网(Vehicle to everything，V2X)通信等。

应理解，术语“系统”和“网络”在本申请中常被可互换使用。本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

本申请的实施方式部分使用的术语仅用于对本申请的具体实施例进行解释，而非旨在限定本申请。本申请的说明书和权利要求书及所述附图中的术语“第一”、“第二”、“第三”和“第四”等是用于区别不同对象，而不是用于描述特定顺序。此外，术语“包括”和“具有”以及它们任何变形，意图在于覆盖不排他的包含。

应理解，在本申请的实施例中提到的“指示”可以是直接指示，也可以是间接指示，还可以是表示具有关联关系。举例说明，A指示B，可以表示A直接指示B，例如B可以通过A获取；也可以表示A间接指示B，例如A指示C，B可以通过C获取；还可以表示A和B之间具有关联关系。

在本申请实施例的描述中，术语“对应”可表示两者之间具有直接对应或间接对应的关系，也可以表示两者之间具有关联关系，也可以是指示与被指示、配置与被配置等关系。

本申请实施例中，“预定义”可以通过在设备(例如，包括终端设备和网络设备)中预先保存相应的代码、表格或其他可用于指示相关信息的方式来实现，本申请对于其具体的实现方式不做限定。比如预定义可以是指协议中定义的。

本申请实施例中，所述“协议”可以指物联网领域的标准协议。

以下通过具体实施例详述本申请的技术方案。

上文结合图1至图6，详细描述了本申请的方法实施例，下文结合图7至图8，详细描述本申请的装置实施例，应理解，装置实施例与方法实施例相互对应，类似的描述可以参照方法实施例。

图7示出了根据本申请实施例的配置设备700的示意性框图。如图7所示，该配置设备700可以是用户终端，也可以是受用户终端控制的配置器，该配置设备700包括：

获取单元710，用于获取所述物联网设备的有效载荷，所述有效载荷包含所述物联网设备的配置服务器的网络访问信息。通信单元720，用于根据所述物联网设备的有效载荷访问所述配置服务器。配置单元730，用于根据所述配置服务器返回的配置信息配置所述物联网设备。物联网设备是指将要在控制单元的控制下加入到网络的中的IoT设备。

在一些实施例中，所述获取所述物联网设备的有效载荷，包括如下方式中的至少一种：根据用户输入获取所述有效载荷；通过扫描二维码获取所述有效载荷；根据编织网络(Fabric)内的带外机制共享获取所述有效载荷。输入单元可以是摄像头、字符输入装置等等。

在一些实施例中，所述有效载荷包含所述物联网设备的配置服务器的网络访问信息包括：所述配置服务器的统一资源定位符(Cloud URL)；和/或，所述配置服务器的服务器ID(Cloud ID)。在获得有效载荷中的地址信息后，配置装置立即根据有效载荷中携带的信息跳转到配置服务器。配置服务器存储有配置物联网设备的配置信息。

在一些实施例中，在跳转到配置服务器时，需要使用验证信息在服务器端进行验证，验证信息可以采用有效载荷中的载荷元素或者载荷元素的组合，以表示所述物联网设备的唯一性。

在一些实施例中，表示物联网设备唯一性的物联网设备的设备ID包括如下字符串或者其中二者的组合：有效载荷中的不定长度字符串；有效载荷中的密码(Passcode)；有效载荷中的区分码(Discriminator)。组合是指字符串的连接，例如有效载荷中的密码(Passcode)和区分码(Discriminator)连接形成的字符串，是由27bits和12bits字符串连接构成的39bits字符串。

在一些实施例中，通信单元720会向所述配置服务器发送下载所述物联网设备配置信息的请求。

在一些实施例中，根据所述物联网设备的有效载荷访问所述配置服务器，包括：接收所述配置服务器返回的物联网设备的基本信息；确认所述配置服务器返回的物联网设备的基本信息与所述有效载荷中的物联网设备基本信息是否一致；当所述配置服务器返回的物联网设备的基本信息与所述有效载荷的基本信息一致时，从所述配置服务器获取设备配置和/或认证信息。

在一些实施例中，根据所述配置服务器返回的配置信息配置所述物联网设备，包括：接收所述配置服务器返回的物联网设备的基本信息；确认所述配置服务器返回的物联网设备的基本信息与所述有效载荷中的物联网设备基本信息是否一致；当所述配置服务器返回的物联网设备的基本信息与所述有效载荷的基本信息一致时，从所述配置服务器获取配置脚本。

在一些实施例中，通过从所述有效载荷获取的物联网设备配置脚本的签名验证所下载的设备配置脚本。

在一些实施例中，通过对所述配置脚本签名验证所下载的物联网设备配置脚本包括：从所述配置服务器获取所述配置脚本的签名；使用所述有效载荷中的设备配置脚本数字签名对所述配置脚本进行签名；比较所述从配置服务器获取的所述配置脚本的签名与所述通过设备配置脚本数字签名获得的签名。当验证签名一致时，提示用户安装配置脚本。在安装配置脚本后，启动所述配置脚本根据所述配置服务器返回的配置信息配置所述物联网设备。

在一些实施例中，设备配置信息包括：设备发现能力、配置方案、配置参数中的至少一种。根据所述配置服务器返回的配置信息配置所述物联网设备包括以下内容的至少一项：根据所述配置服务器返回的配置信息进行物联网设备的发现；根据所述配置服务器返回的配置信息与所述物联网设备建立安全信道；根据所述配置服务器返回的配置信息对所述物联网设备进行认证；根据所述配置服务器返回的配置信息配置所述物联网设备的入网信息。

在一些实施例中，根据所述配置服务器返回的配置信息进行物联网设备的发现包括：根据设备发现能力发现物联网设备。所述设备发现能力包括：SSID或BLE发现能力中的至少一种。根据设备发现能力发现物联网设备，包括：监听网络中的SSID广播，根据所述SSID广播的SSID格式和所述有效载荷中的区分码过滤物联网设备的广播发现物联网设备。根据设备发现能力发现物联网设备，包括：以预定义格式广播BLE报文，根据物联网设备对所述BLE报文的应答发现物联网设备。

在一些实施例中，根据所述配置服务器返回的配置信息对所述物联网设备进行认证，包括：根据配置服务器返回的配置方案确定所述物联网设备支持的配置方案，根据所述物联网设备支持的配置方案选择接入配置方式。根据所述物联网设备支持的配置方案选择接入配置方式包括：当所述物联网设备支持PASE方案时，使用PASE方案与所述物联网设备协商安全信道。根据所述物联网设备支持的配置方案选择接入配置方式包括：当所述物联网设备支持DPP方案时，启动DPP方案与物联网设备进行DPP认证。

在一些实施例中，当所述物联网设备支持PASE方案且支持SPAKE2+算法时，使用获取的SPAKE2+的密码与设备协商安全信道。当所述物联网设备支持DPP方案时，使用获取的设备公钥与设备进行DPP认证。由于DPP方案需要验证公钥等认证参数信息，而公钥也会有不同的配置方式。其中，所述DPP认证参数包含于所述有效载荷中，当使用所述DPP方案时，部分或者全部所述DPP认证参数存储于所述配置服务器。

在一些实施例中，根据认证凭证对所述物联网设备的认证证书进行合法性校验。以及，为所述物联网设备配置入网信息。

在一些实施例中，上述通信单元可以是通信接口或收发器，或者是通信芯片或者片上系统的输入输出接口。上述处理单元可以是一个或多个处理器。

应理解，根据本申请实施例的配置装置700可对应于本申请方法实施例中的配置装置，并且配置设备700中的各个单元的上述和其它操作和/或功能分别为了实现图1至图6所示方法中配置装置的相应流程，为了简洁，在此不再赘述。

图8示出了根据本申请实施例的物联网800的示意性框图。如图8所示，该设备800具有携带该物联网设备信息的有效载荷，所述物联网设备信息包含所述物联网设备的配置服务器的网络访问信息；所述设备包括：接收单元810，用于等待配置装置的连接请求；通信单元820，用于在接收到配置装置的连接请求时，建立与所述配置装置的连接；配置单元830，根据所述配置设备发送的配置信息进行配置；所述配置信息是所述配置设备根据所述有效载荷中的物联网设备的配置服务器的网络访问信息从配置服务器获得。

在一些实施例中，所述物联网设备的有效载荷，包括如下中至少一种：用户输入获取所述有效载荷；二维码获取所述有效载荷；根据编织网络(Fabric)内的带外机制共享获取所述有效载荷。

在一些实施例中，所述设备配置信息包括：设备发现能力、配置方案、配置参数中的至少一种。

在一些实施例中，所述配置单元830执行如下步骤中的至少一个：根据所述配置信息启动相应的配置脚本模块；根据所述配置信息建立安全信道；根据所述配置设备发送的设备认证凭证进行设备认证；配置入网参数和辅助参数。

在一些实施例中，所述设备还包括：发送单元840，用于广播所述物联网设备发现信息。

在一些实施例中，设备发现信息包括：SSID格式广播或预定义格式广播BLE报文。

在一些实施例中，根据所述配置信息建立安全信道包括：当支持PASE方案时，使用PASE方案与所述配置装置协商安全信道；当支持DPP方案时，启动DPP方案与所述配置装置连接。

在一些实施例中，根据所述配置设备发送的设备认证凭证进行设备认证包括：当支持PASE方案且支持SPAKE2+算法时，使用获取的SPAKE2+的密码与配置装置协商安全信道。当支持DPP方案时，使用获取的所述物联网设备的公钥与所述设备进行DPP认证。

在一些实施例中，当使用所述DPP方案时，所述DPP认证参数包含于所述有效载荷中。当使用所述 DPP方案时，部分或者全部所述DPP认证参数存储于所述配置服务器。

应理解，根据本申请实施例的物联网设备800可对应于本申请方法实施例中的被配置装置配置的物联网设备，并且物联网设备800中的各个单元的上述和其它操作和/或功能分别为了实现图1至图6所示方法中智能终端的相应流程，为了简洁，在此不再赘述。

图9是本申请实施例提供的一种服务器设备900的示意性结构图。图9所示的服务器900包括基本信息响应单元910，配置信息响应单元920。其中，基本信息响应单元910，用于根据配置装置的访问请求，向所述配置装置返回所述物联网设备的基本信息；配置信息响应单元920，用于根据配置装置的配置请求，向所述配置装置返回所述物联网设备的配置信息。

在一些实施例中，所述访问请求中包含所述服务器的网络访问信息。服务器的网络访问信息包括：所述配置服务器的统一资源定位符(Cloud URL)；和/或所述配置服务器的服务器ID(Cloud ID)。

在一些实施例中，访问请求中包括：物联网设备的设备ID，所述设备ID用于指示所述物联网设备的唯一性。

在一些实施例中，物联网设备的设备ID包括如下字符串中的至少一种：有效载荷中的不定长度字符串；有效载荷中的密码(Passcode)；有效载荷中的区分码(Discriminator)；有效载荷中的密码(Passcode)和区分码(Discriminator)连接形成的字符串。

在一些实施例中，根据所述物联网设备的有效载荷访问所述配置服务器，包括：接收所述配置装置的接入请求；根据所述物联网设备中的设备ID查询物联网设备的基本信息；向所述配置装置返回查询结果。

在一些实施例中，根据配置装置的配置请求，向所述配置装置返回所述物联网设备的配置信息，包括：接收所述配置装置的配置请求；根据所述配置请求的内容，向所述配置装置发送配置信息；所述配置信息包括设备发现能力、配置方案、配置参数中的至少一种。

在一些实施例中，根据配置装置的配置请求，向所述配置装置返回所述物联网设备的配置信息，包括：接收所述配置装置的配置请求；根据所述配置请求的内容，向所述配置装置发送配置脚本和所述配置脚本的签名；所述配置脚本用于配置设备发现能力、配置方案、配置参数中的至少一种。

在一些实施例中，所述设备发现能力包括：SSID或BLE发现能力中的至少一种。

在一些实施例中，所述设备配置方案包括：PASE方案、DPP方案、证书认证、设备配置流程中的至少一个。

在一些实施例中，所述设备配置参数包括：密钥协商算、配置密码中的至少一个。

在一些实施例中，服务器可以是单个服务器。

在一些实施例中，服务器可以是云服务器集群。

在一些实施例中，服务器可以是多家厂商共同维护的云端分布式记账本服务器集群。

在一些实施例中，服务器至少包含应用服务器和设备服务。

在一些实施例中，服务器至少存储有入网设备的配置方式。

在一些实施例中，服务求具有DPP模式的公钥信息。

在一些实施例中，该服务器900具体可为本申请实施例的配置服务器，并且该服务器900可以实现本申请实施例的各个方法中配置信息的存储，为了简洁，在此不再赘述。

图10是本申请实施例的配置服务器的示意性结构图。图10所示的装置1000包括处理器1010，处理器1010可以从存储器中调用并运行计算机程序，以实现本申请实施例中的方法。

在一些实施例中，如图10所示，装置1000还可以包括存储器1020。其中，处理器1010可以从存储器1020中调用并运行计算机程序，以实现本申请实施例中的方法。

其中，存储器1020可以是独立于处理器1010的一个单独的器件，也可以集成在处理器1010中。

在一些实施例中，该装置1000还可以包括输入接口1030。其中，处理器1010可以控制该输入接口1030与其他设备或芯片进行通信，具体地，可以获取其他设备或芯片发送的信息或数据。

在一些实施例中，该装置1000还可以包括输出接口1040。其中，处理器1010可以控制该输出接口1040与其他设备或芯片进行通信，具体地，可以向其他设备或芯片输出信息或数据。

在一些实施例中，该装置1000可应用于本申请实施例中的配置设备，并且该装置1000可以实现本申请实施例的各个方法中由第一配置设备实现的相应流程，为了简洁，在此不再赘述。

在一些实施例中，该装置1000可应用于本申请实施例中的智能终端，并且该装置1000可以实现本申请实施例的各个方法中由智能终端实现的相应流程，为了简洁，在此不再赘述。

在一些实施例中，本申请实施例提到的装置可以是电路，大规模集成电路，也可以是芯片。例如可以是系统级芯片，系统芯片，芯片系统或片上系统芯片等。

图11是本申请实施例提供的一种通信设备1100示意性结构图。图11所示的通信设备1100包括处理器1110，处理器1110可以从存储器中调用并运行计算机程序，以实现本申请实施例中的方法。

可选地，如图11所示，通信设备1100还可以包括存储器1120。其中，处理器1110可以从存储器1120中调用并运行计算机程序，以实现本申请实施例中的方法。

其中，存储器1120可以是独立于处理器1110的一个单独的器件，也可以集成在处理器1110中。

可选地，如图11所示，通信设备1100还可以包括收发器1130，处理器1110可以控制该收发器1130与其他设备进行通信，具体地，可以向其他设备发送信息或数据，或接收其他设备发送的信息或数据。

其中，收发器1130可以包括发射机和接收机。收发器1130还可以进一步包括天线，天线的数量可以为一个或多个。

可选地，该通信设备1100具体可为本申请实施例的配置端设备，并且该通信设备600可以实现本申请实施例的各个方法中由配置端设备实现的相应流程，为了简洁，在此不再赘述。

在一些实施例中，该通信设备1100中的收发器1130可以用于执行图1-6中的配置设备中的通信单元的相关操作，为了简洁，这里不再赘述。

可选地，该通信设备1100具体可为本申请实施例的控制设备，并且该通信设备1100可以实现本申请实施例的各个方法中由控制设备实现的相应流程，为了简洁，在此不再赘述。

应理解，本申请实施例的处理器可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。

可以理解，本申请实施例中的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(Read-Only Memory，ROM)、可编程只读存储器(Programmable ROM，PROM)、可擦除可编程只读存储器(Erasable PROM，EPROM)、电可擦除可编程只读存储器(Electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(Static RAM，SRAM)、动态随机存取存储器(Dynamic RAM，DRAM)、同步动态随机存取存储器(Synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data Rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(Synch link DRAM，SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM，DR RAM)。应注意，本文描述的系统和方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

应理解，上述存储器为示例性但不是限制性说明，例如，本申请实施例中的存储器还可以是静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(dynamic RAM，DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(Synch link DRAM，SLDRAM)以及直接内存总线随机存取存储器(Direct Rambus RAM，DR RAM)等等。也就是说，本申请实施例中的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

本申请实施例还提供了一种计算机可读存储介质，用于存储计算机程序。

在一些实施例中，该计算机可读存储介质可应用于本申请实施例中的配置设备，并且该计算机程序使得计算机执行本申请实施例的各个方法中由第一配置设备实现的相应流程，为了简洁，在此不再赘述。

在一些实施例中，该计算机可读存储介质可应用于本申请实施例中的智能终端，并且该计算机程序使得计算机执行本申请实施例的各个方法中由智能终端实现的相应流程，为了简洁，在此不再赘述。

本申请实施例还提供了一种计算机程序产品，包括计算机程序指令。

在一些实施例中，该计算机程序产品可应用于本申请实施例中的配置设备，并且该计算机程序指令使得计算机执行本申请实施例的各个方法中由第一配置设备实现的相应流程，为了简洁，在此不再赘述。

在一些实施例中，该计算机程序产品可应用于本申请实施例中的智能终端，并且该计算机程序指令使得计算机执行本申请实施例的各个方法中由智能终端实现的相应流程，为了简洁，在此不再赘述。

本申请实施例还提供了一种计算机程序。

在一些实施例中，该计算机程序可应用于本申请实施例中的配置设备，当该计算机程序在计算机上运 行时，使得计算机执行本申请实施例的各个方法中由第一配置设备实现的相应流程，为了简洁，在此不再赘述。

在一些实施例中，该计算机程序可应用于本申请实施例中的智能终端，当该计算机程序在计算机上运行时，使得计算机执行本申请实施例的各个方法中由智能终端实现的相应流程，为了简洁，在此不再赘述。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。针对这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应所述以权利要求的保护范围为准。

Claims (114)

1. 一种物联网设备的配置方法，其特征在于，包括：

   获取所述物联网设备的有效载荷，所述有效载荷包含所述物联网设备的配置服务器的网络访问信息；

   根据所述物联网设备的有效载荷访问所述配置服务器；

   根据所述配置服务器返回的配置信息配置所述物联网设备。
2. 根据权利要求1所述的方法，其特征在于，所述获取所述物联网设备的有效载荷，包括如下方式中的至少一种：

   根据用户输入获取所述有效载荷；

   通过扫描二维码获取所述有效载荷；

   根据编织网络(Fabric)内的带外机制共享获取所述有效载荷。
3. 根据权利要求1所述的方法，其特征在于，所述有效载荷包含所述物联网设备的配置服务器的网络访问信息包括：

   所述配置服务器的统一资源定位符(Cloud URL)；和/或，

   所述配置服务器的服务器ID(Cloud ID)。
4. 根据权利要求1-3之一所述的方法，其特征在于，根据所述物联网设备的有效载荷访问所述配置服务器，包括：

   根据所述有效载荷中的物联网设备的配置服务器的网络访问信息，访问所述配置服务器。
5. 根据权利要求1-4之一所述的方法，其特征在于，根据所述物联网设备的有效载荷访问所述配置服务器，包括：

   根据配置服务器的统一资源定位符(Cloud URL)，自动跳转到所述统一资源定位符(Cloud URL)指向的服务器；

   或者，根据配置服务器的服务器ID(Cloud ID)，自动跳转到所述服务器ID(Cloud ID)指示的服务器。
6. 根据权利要求3所述的方法，其特征在于，根据所述物联网设备的有效载荷访问所述配置服务器，包括：

   在跳转到云服务器的网络地址时，根据所述物联网设备的有效载荷中的验证信息，接入所述云服务器。
7. 根据权利要求6所述的方法，其特征在于，所述物联网设备的有效载荷中的验证信息包括：物联网设备的设备ID，所述设备ID用于指示所述物联网设备的唯一性。
8. 根据权利要求7所述的方法，其特征在于，物联网设备的设备ID包括如下字符串中的至少一种：

   有效载荷中的不定长度字符串；

   有效载荷中的密码(Passcode)；

   有效载荷中的区分码(Discriminator)；

   有效载荷中的密码(Passcode)和区分码(Discriminator)连接形成的字符串。
9. 根据权利要求1所述的方法，其特征在于，根据所述物联网设备的有效载荷访问所述配置服务器，还包括：

   向所述配置服务器发送下载所述物联网设备配置信息的请求。
10. 根据权利要求9所述的方法，其特征在于，根据所述物联网设备的有效载荷访问所述配置服务器，包括：

    接收所述配置服务器返回的物联网设备的基本信息；

    确认所述配置服务器返回的物联网设备的基本信息与所述有效载荷中的物联网设备基本信息是否一致；

    当所述配置服务器返回的物联网设备的基本信息与所述有效载荷的基本信息一致时，从所述配置服务器获取设备配置和/或认证信息。
11. 根据权利要求9所述的方法，其特征在于，根据所述配置服务器返回的配置信息配置所述物联网设备，包括：

    接收所述配置服务器返回的物联网设备的基本信息；

    确认所述配置服务器返回的物联网设备的基本信息与所述有效载荷中的物联网设备基本信息是否一致；

    当所述配置服务器返回的物联网设备的基本信息与所述有效载荷的基本信息一致时，从所述配置服务器获取配置脚本。
12. 根据权利要求11所述的方法，其特征在于，通过从所述有效载荷获取的物联网设备配置脚本的签名验证所下载的设备配置脚本。
13. 根据权利要求12所述的方法，其特征在于，通过对所述配置脚本签名验证所下载的物联网设备配置脚本包括：

    从所述配置服务器获取所述配置脚本的签名；

    使用所述有效载荷中的设备配置脚本数字签名对所述配置脚本进行签名；

    比较所述从配置服务器获取的所述配置脚本的签名与所述通过设备配置脚本数字签名获得的签名。
14. 根据权利要求13所述的方法，其特征在于，当验证签名一致时，提示用户安装配置脚本。
15. 根据权利要求14所述的方法，其特征在于，在安装配置脚本后，启动所述配置脚本根据所述配置服务器返回的配置信息配置所述物联网设备。
16. 根据权利要求1-15之一所述的方法，其特征在于，所述设备配置信息包括：设备发现能力、配置方案、配置参数中的至少一种。
17. 根据权利要求1-16之一所述的方法，根据所述配置服务器返回的配置信息配置所述物联网设备包括以下内容的至少一项：

    根据所述配置服务器返回的配置信息进行物联网设备的发现；

    根据所述配置服务器返回的配置信息与所述物联网设备建立安全信道；

    根据所述配置服务器返回的配置信息对所述物联网设备进行认证；

    根据所述配置服务器返回的配置信息配置所述物联网设备的入网信息。
18. 根据权利要求17所述的方法，其特征在于，根据所述配置服务器返回的配置信息进行物联网设备的发现包括：根据设备发现能力发现物联网设备。
19. 根据权利要求18所述的方法，其特征在于，所述设备发现能力包括：SSID或BLE发现能力中的至少一种。
20. 根据权利要求17或18所述的方法，其特征在于，根据设备发现能力发现物联网设备，包括：监听网络中的SSID广播，根据所述SSID广播的SSID格式和区分码过滤物联网设备的广播发现物联网设备。
21. 根据权利要求17或18所述的方法，其特征在于，根据设备发现能力发现物联网设备，包括：以预定义格式广播BLE报文，根据物联网设备对所述BLE报文的应答发现物联网设备。
22. 根据权利要求17所述的方法，其特征在于，根据所述配置服务器返回的配置信息对所述物联网设备进行认证，包括：根据配置服务器返回的配置方案确定所述物联网设备支持的配置方案，根据所述物联网设备支持的配置方案选择接入配置方式。
23. 根据权利要求22所述的方法，其特征在于，根据所述物联网设备支持的配置方案选择接入配置方式包括：当所述物联网设备支持PASE方案时，使用PASE方案与所述物联网设备协商安全信道。
24. 根据权利要求22所述的方法，其特征在于，根据所述物联网设备支持的配置方案选择接入配置方式包括：当所述物联网设备支持DPP方案时，启动DPP方案与物联网设备进行DPP认证。
25. 根据权利要求23所述的方法，其特征在于，根据所述配置服务器返回的配置信息与所述物联网设备建立安全信道，包括：当所述物联网设备支持PASE方案且支持SPAKE2+算法时，使用获取的SPAKE2+的密码与设备协商安全信道。
26. 根据权利要求24所述的方法，其特征在于，根据所述配置服务器返回的配置信息与所述物联网设备建立安全信道，包括：

    当所述物联网设备支持DPP方案时，使用获取的所述物联网设备的公钥与所述设备进行DPP认证。
27. 根据权利要求23或25所述的方法，其特征在于，当使用所述DPP方案时，所述DPP认证参数包含于所述有效载荷中。
28. 根据权利要求23或25所述的方法，其特征在于，当使用所述DPP方案时，部分或者全部所述DPP认证参数存储于所述配置服务器。
29. 根据权利要求1-28之一所述的方法，其特征在于，所述方案还包括:根据认证凭证对所述物联网设备的认证证书进行合法性校验。
30. 根据权利要求1-29之一所述的方法，其特征在于，为所述物联网设备配置入网信息。
31. 一种物联网设备的配置装置，其特征在于，包括：

    获取单元，用于获取所述物联网设备的有效载荷，所述有效载荷包含所述物联网设备的配置服务器的网络访问信息；

    通信单元，用于根据所述物联网设备的有效载荷访问所述配置服务器；

    配置单元，用于根据所述配置服务器返回的配置信息配置所述物联网设备。
32. 根据权利要求31所述的装置，其特征在于，所述获取所述物联网设备的有效载荷，包括如下方式 中的至少一种：

    根据用户输入获取所述有效载荷；

    通过扫描二维码获取所述有效载荷；

    根据编织网络(Fabric)内的带外机制共享获取所述有效载荷。
33. 根据权利要求31所述的装置，其特征在于，所述有效载荷包含所述物联网设备的配置服务器的网络访问信息包括：

    所述配置服务器的统一资源定位符(Cloud URL)；和/或，

    所述配置服务器的服务器ID(Cloud ID)。
34. 根据权利要求31-33之一所述的装置，其特征在于，根据所述物联网设备的有效载荷访问所述配置服务器，包括：

    根据所述有效载荷中的物联网设备的配置服务器的网络访问信息，访问所述配置服务器。
35. 根据权利要求31-34之一所述的装置，其特征在于，根据所述物联网设备的有效载荷访问所述配置服务器，包括：

    根据配置服务器的统一资源定位符(Cloud URL)，自动跳转到所述统一资源定位符(Cloud URL)指向的服务器；

    或者，根据配置服务器的服务器ID(Cloud ID)，自动跳转到所述服务器ID(Cloud ID)指示的服务器。
36. 根据权利要求33所述的装置，其特征在于，根据所述物联网设备的有效载荷访问所述配置服务器，包括：

    在跳转到云服务器的网络地址时，根据所述物联网设备的有效载荷中的验证信息，接入所述云服务器。
37. 根据权利要求36所述的装置，其特征在于，所述物联网设备的有效载荷中的验证信息包括：物联网设备的设备ID，所述设备ID用于指示所述物联网设备的唯一性。
38. 根据权利要求37所述的装置，其特征在于，物联网设备的设备ID包括如下字符串中的至少一种：

    有效载荷中的不定长度字符串；

    有效载荷中的密码(Passcode)；

    有效载荷中的区分码(Discriminator)；

    有效载荷中的密码(Passcode)和区分码(Discriminator)连接形成的字符串。
39. 根据权利要求31所述的装置，其特征在于，根据所述物联网设备的有效载荷访问所述配置服务器，还包括：

    向所述配置服务器发送下载所述物联网设备配置信息的请求。
40. 根据权利要求39所述的装置，其特征在于，根据所述物联网设备的有效载荷访问所述配置服务器，包括：

    接收所述配置服务器返回的物联网设备的基本信息；

    确认所述配置服务器返回的物联网设备的基本信息与所述有效载荷中的物联网设备基本信息是否一致；

    当所述配置服务器返回的物联网设备的基本信息与所述有效载荷的基本信息一致时，从所述配置服务器获取设备配置和/或认证信息。
41. 根据权利要求39所述的装置，其特征在于，根据所述配置服务器返回的配置信息配置所述物联网设备，包括：

    接收所述配置服务器返回的物联网设备的基本信息；

    确认所述配置服务器返回的物联网设备的基本信息与所述有效载荷中的物联网设备基本信息是否一致；

    当所述配置服务器返回的物联网设备的基本信息与所述有效载荷的基本信息一致时，从所述配置服务器获取配置脚本。
42. 根据权利要求41所述的装置，其特征在于，通过从所述有效载荷获取的物联网设备配置脚本的签名验证所下载的设备配置脚本。
43. 根据权利要求42所述的装置，其特征在于，通过对所述配置脚本签名验证所下载的物联网设备配置脚本包括：

    从所述配置服务器获取所述配置脚本的签名；

    使用所述有效载荷中的设备配置脚本数字签名对所述配置脚本进行签名；

    比较所述从配置服务器获取的所述配置脚本的签名与所述通过设备配置脚本数字签名获得的签名。
44. 根据权利要求43所述的装置，其特征在于，当验证签名一致时，提示用户安装配置脚本。
45. 根据权利要求44所述的装置，其特征在于，在安装配置脚本后，启动所述配置脚本根据所述配置服务器返回的配置信息配置所述物联网设备。
46. 根据权利要求31-45之一所述的装置，其特征在于，所述设备配置信息包括：设备发现能力、配置方案、配置参数中的至少一种。
47. 根据权利要求31-46之一所述的装置，根据所述配置服务器返回的配置信息配置所述物联网设备包括以下内容的至少一项：

    根据所述配置服务器返回的配置信息进行物联网设备的发现；

    根据所述配置服务器返回的配置信息与所述物联网设备建立安全信道；

    根据所述配置服务器返回的配置信息对所述物联网设备进行认证；

    根据所述配置服务器返回的配置信息配置所述物联网设备的入网信息。
48. 根据权利要求47所述的装置，其特征在于，根据所述配置服务器返回的配置信息进行物联网设备的发现包括：根据设备发现能力发现物联网设备。
49. 根据权利要求48所述的装置，其特征在于，所述设备发现能力包括：SSID或BLE发现能力中的至少一种。
50. 根据权利要求47或48所述的装置，其特征在于，根据设备发现能力发现物联网设备，包括：监听网络中的SSID广播，根据所述SSID广播的SSID格式和所述有效载荷中的区分码过滤物联网设备的广播发现物联网设备。
51. 根据权利要求47或48所述的装置，其特征在于，根据设备发现能力发现物联网设备，包括：以预定义格式广播BLE报文，根据物联网设备对所述BLE报文的应答发现物联网设备。
52. 根据权利要求47所述的装置，其特征在于，根据所述配置服务器返回的配置信息对所述物联网设备进行认证，包括：根据配置服务器返回的配置方案确定所述物联网设备支持的配置方案，根据所述物联网设备支持的配置方案选择接入配置方式。
53. 根据权利要求52所述的装置，其特征在于，根据所述物联网设备支持的配置方案选择接入配置方式包括：当所述物联网设备支持PASE方案时，使用PASE方案与所述物联网设备协商安全信道。
54. 根据权利要求52所述的装置，其特征在于，根据所述物联网设备支持的配置方案选择接入配置方式包括：当所述物联网设备支持DPP方案时，启动DPP方案与物联网设备进行DPP认证。
55. 根据权利要求53所述的装置，其特征在于，根据所述配置服务器返回的配置信息与所述物联网设备建立安全信道，包括：当所述物联网设备支持PASE方案且支持SPAKE2+算法时，使用获取的SPAKE2+的密码与设备协商安全信道。
56. 根据权利要求54所述的装置，其特征在于，根据所述配置服务器返回的配置信息与所述物联网设备建立安全信道，包括：

    当所述物联网设备支持DPP方案时，使用获取的设备公钥与设备进行DPP认证。
57. 根据权利要求53或55所述的装置，其特征在于，当使用所述DPP方案时，所述DPP认证参数包含于所述有效载荷中。
58. 根据权利要求53或55所述的装置，其特征在于，当使用所述DPP方案时，部分或者全部所述DPP认证参数存储于所述配置服务器。
59. 根据权利要求31-58之一所述的装置，其特征在于，所述方案还包括:根据认证凭证对所述物联网设备的认证证书进行合法性校验。
60. 根据权利要求31-59之一所述的装置，其特征在于，为所述物联网设备配置入网信息。
61. 一种物联网设备的配置方法，应用于所述物联网设备，其特征在于，所述物联网设备具有包含该物联网设备信息的有效载荷，所述有效载荷包含所述物联网设备的配置服务器的网络访问信息；所述方法包括：

    等待配置装置的连接请求；

    当接收到配置装置的连接请求时，建立与所述配置装置的连接；

    根据所述配置设备发送的配置信息进行配置；所述配置信息是所述配置设备根据所述有效载荷中的物联网设备的配置服务器的网络访问信息从配置服务器获得。
62. 根据权利要求61所述的方法，其特征在于，所述物联网设备的有效载荷，包括如下中至少一种：

    用户输入获取所述有效载荷；

    二维码获取所述有效载荷；

    根据编织网络(Fabric)内的带外机制共享获取所述有效载荷。
63. 根据权利要求61所述的方法，其特征在于，所述设备配置信息包括：设备发现能力、配置方案、配置参数中的至少一种。
64. 根据权利要求61-63之一所述的方法，其特征在于，根据所述配置设备发送的配置信息进行配置包括如下步骤中的至少一个：

    根据所述配置信息启动相应的配置脚本模块；

    根据所述配置信息建立安全信道；

    根据所述配置设备发送的设备认证凭证进行设备认证；

    配置入网参数和辅助参数。
65. 根据权利要求61所述的方法，其特征在于，所述等待配置装置的连接请求之前还包括：广播所述设备发现信息。
66. 根据权利要求65所述的方法，其特征在于，所述设备发现信息包括：SSID格式广播或预定义格式广播BLE报文。
67. 根据权利要求64所述的方法，其特征在于，根据所述配置信息建立安全信道包括：

    当支持PASE方案时，使用PASE方案与所述配置装置协商安全信道；

    当支持DPP方案时，启动DPP方案与所述配置装置连接。
68. 根据权利要求64所述的方法，其特征在于，根据所述配置设备发送的设备认证凭证进行设备认证包括：

    当支持PASE方案且支持SPAKE2+算法时，使用获取的SPAKE2+的密码与配置装置协商安全信道。

    当支持DPP方案时，使用获取的所述物联网设备的公钥与所述设备进行DPP认证。
69. 根据权利要求67或68所述的方法，其特征在于，当使用所述DPP方案时，所述DPP认证参数包含于所述有效载荷中。
70. 根据权利要求67或68所述的方法，其特征在于，当使用所述DPP方案时，部分或者全部所述DPP认证参数存储于所述配置服务器。
71. 一种物联网设备，其特征在于，所述物联网设备具有携带该物联网设备信息的有效载荷，所述物联网设备信息包含所述物联网设备的配置服务器的网络访问信息；所述设备包括：

    接收单元，用于等待配置装置的连接请求；

    通信单元，用于在接收到配置装置的连接请求时，建立与所述配置装置的连接；

    配置单元，根据所述配置设备发送的配置信息进行配置；所述配置信息是所述配置设备根据所述有效载荷中的物联网设备的配置服务器的网络访问信息从配置服务器获得。
72. 根据权利要求71所述的物联网设备，其特征在于，所述物联网设备的有效载荷，包括如下中至少一种：

    用户输入获取所述有效载荷；

    二维码获取所述有效载荷；

    根据编织网络(Fabric)内的带外机制共享获取所述有效载荷。
73. 根据权利要求71所述的物联网设备，其特征在于，所述设备配置信息包括：设备发现能力、配置方案、配置参数中的至少一种。
74. 根据权利要求71-73之一所述的物联网设备，其特征在于，所述配置单元如下步骤中的至少一个：

    根据所述配置信息启动相应的配置脚本模块；

    根据所述配置信息建立安全信道；

    根据所述配置设备发送的设备认证凭证进行设备认证；

    配置入网参数和辅助参数。
75. 根据权利要求71所述的物联网设备，其特征在于，所述设备还包括：

    发送单元，用于广播所述物联网设备发现信息。
76. 根据权利要求75所述的物联网设备，其特征在于，所述设备发现信息包括：SSID格式广播或预定义格式广播BLE报文。
77. 根据权利要求74所述的物联网设备，其特征在于，根据所述配置信息建立安全信道包括：

    当支持PASE方案时，使用PASE方案与所述配置装置协商安全信道；

    当支持DPP方案时，启动DPP方案与所述配置装置连接。
78. 根据权利要求74所述的物联网设备，其特征在于，根据所述配置设备发送的设备认证凭证进行设备认证包括：

    当支持PASE方案且支持SPAKE2+算法时，使用获取的SPAKE2+的密码与配置装置协商安全信道。

    当支持DPP方案时，使用获取的所述物联网设备的公钥与所述设备进行DPP认证。
79. 根据权利要求77或78所述的物联网设备，其特征在于，当使用所述DPP方案时，所述DPP认证参数包含于所述有效载荷中。
80. 根据权利要求77或78所述的物联网设备，其特征在于，当使用所述DPP方案时，部分或者全部所述DPP认证参数存储于所述配置服务器。
81. 一种物联网设备的配置方法，应用于配置服务器，其特征在于，所述方法包括：

    根据配置装置的访问请求，向所述配置装置返回所述物联网设备的基本信息；

    根据配置装置的配置请求，向所述配置装置返回所述物联网设备的配置信息。
82. 根据权利要求81所述的方法，其特征在于，所述访问请求中包含所述配置服务器的网络访问信息。
83. 根据权利要求82所述的方法，其特征在于，所述配置服务器的网络访问信息包括：

    所述配置服务器的统一资源定位符(Cloud URL)；和/或，

    所述配置服务器的服务器ID(Cloud ID)。
84. 根据权利要求81所述的方法，其特征在于，所述访问请求中包括：物联网设备的设备ID，所述设备ID用于指示所述物联网设备的唯一性。
85. 根据权利要求83所述的方法，其特征在于，物联网设备的设备ID包括如下字符串中的至少一种：

    有效载荷中的不定长度字符串；

    有效载荷中的密码(Passcode)；

    有效载荷中的区分码(Discriminator)；

    有效载荷中的密码(Passcode)和区分码(Discriminator)连接形成的字符串。
86. 根据权利要求81所述的方法，其特征在于，根据所述物联网设备的有效载荷访问所述配置服务器，包括：

    接收所述配置装置的访问请求；

    根据所述物联网设备中的设备ID查询物联网设备的基本信息；

    向所述配置装置返回查询结果。
87. 根据权利要求81所述的方法，其特征在于，根据配置装置的配置请求，向所述配置装置返回所述物联网设备的配置信息，包括：

    接收所述配置装置的配置请求；

    根据所述配置请求的内容，向所述配置装置发送配置信息；所述配置信息包括设备发现能力、配置方案、配置参数中的至少一种。
88. 根据权利要求81所述的方法，其特征在于，根据配置装置的配置请求，向所述配置装置返回所述物联网设备的配置信息，包括：

    接收所述配置装置的配置请求；

    根据所述配置请求的内容，向所述配置装置发送配置脚本和所述配置脚本的签名；所述配置脚本用于配置设备发现能力、配置方案、配置参数中的至少一种。
89. 根据权利要求88所述的方法，其特征在于，所述设备发现能力包括：SSID或BLE发现能力中的至少一种。
90. 根据权利要求88所述的方法，其特征在于，所述设备配置方案包括：PASE方案、DPP方案、证书认证、设备配置流程中的至少一个。
91. 根据权利要求88所述的方法，其特征在于，所述设备配置参数包括：密钥协商算、配置密码中的至少一个。
92. 一种服务器，应用于配置物联网设备，其特征在于，所述服务器包括：

    基本信息响应单元，用于根据配置装置的访问请求，向所述配置装置返回所述物联网设备的基本信息；

    配置信息响应单元，用于根据配置装置的配置请求，向所述配置装置返回所述物联网设备的配置信息。
93. 根据权利要求92所述的服务器，其特征在于，所述访问请求中包含所述配置服务器的网络访问信息。
94. 根据权利要求93所述的服务器，其特征在于，所述配置服务器的网络访问信息包括：

    所述配置服务器的统一资源定位符(Cloud URL)；和/或，

    所述配置服务器的服务器ID(Cloud ID)。
95. 根据权利要求92所述的服务器，其特征在于，所述访问请求中包括：物联网设备的设备ID，所述设备ID用于指示所述物联网设备的唯一性。
96. 根据权利要求93所述的服务器，其特征在于，物联网设备的设备ID包括如下字符串中的至少一种：

    有效载荷中的不定长度字符串；

    有效载荷中的密码(Passcode)；

    有效载荷中的区分码(Discriminator)；

    有效载荷中的密码(Passcode)和区分码(Discriminator)连接形成的字符串。
97. 根据权利要求92所述的服务器，其特征在于，根据所述物联网设备的有效载荷访问所述配置服务器，包括：

    接收所述配置装置的访问请求；

    根据所述物联网设备中的设备ID查询物联网设备的基本信息；

    向所述配置装置返回查询结果。
98. 根据权利要求92所述的服务器，其特征在于，根据配置装置的配置请求，向所述配置装置返回所述物联网设备的配置信息，包括：

    接收所述配置装置的配置请求；

    根据所述配置请求的内容，向所述配置装置发送配置信息；所述配置信息包括设备发现能力、配置方案、配置参数中的至少一种。
99. 根据权利要求93所述的服务器，其特征在于，根据配置装置的配置请求，向所述配置装置返回所述物联网设备的配置信息，包括：

    接收所述配置装置的配置请求；

    根据所述配置请求的内容，向所述配置装置发送配置脚本和所述配置脚本的签名；所述配置脚本用于配置设备发现能力、配置方案、配置参数中的至少一种。
100. 根据权利要求99所述的服务器，其特征在于，所述设备发现能力包括：SSID或BLE发现能力中的至少一种。
101. 根据权利要求99所述的服务器，其特征在于，所述设备配置方案包括：PASE方案、DPP方案、证书认证、设备配置流程中的至少一个。
102. 根据权利要求99所述的服务器，其特征在于，所述设备配置参数包括：密钥协商算、配置密码中的至少一个。
103. 一种配置装置，其特征在于，包括：处理器和存储器，该存储器用于存储计算机程序，所述处理器用于调用并运行所述存储器中存储的计算机程序，执行如权利要求1至30中任一项所述的方法。
104. 一种物联网设备，其特征在于，包括：处理器和存储器，该存储器用于存储计算机程序，所述处理器用于调用并运行所述存储器中存储的计算机程序，执行如权利要求61至70中任一项所述的方法。
105. 一种服务器，其特征在于，包括：处理器和存储器，该存储器用于存储计算机程序，所述处理器用于调用并运行所述存储器中存储的计算机程序，执行如权利要求92至102中任一项所述的方法。
106. 一种芯片，其特征在于，包括：处理器，用于从存储器中调用并运行计算机程序，使得安装有所述芯片的设备执行如权利要求1至30中任一项所述的方法。
107. 一种芯片，其特征在于，包括：处理器，用于从存储器中调用并运行计算机程序，使得安装有所述芯片的设备执行如权利要求61至70中任一项所述的方法。
108. 一种芯片，其特征在于，包括：处理器，用于从存储器中调用并运行计算机程序，使得安装有所述芯片的设备执行如权利要求92至102中任一项所述的方法。
109. 一种计算机可读存储介质，其特征在于，用于存储计算机程序，所述计算机程序使得计算机执行如权利要求1至30中任一项所述的方法。
110. 一种计算机可读存储介质，其特征在于，用于存储计算机程序，所述计算机程序使得计算机执行如权利要求61至70中任一项所述的方法。
111. 一种计算机程序产品，其特征在于，包括计算机程序指令，该计算机程序指令使得计算机执行如权利要求92至102中任一项所述的方法。
112. 一种计算机程序，其特征在于，所述计算机程序使得计算机执行如权利要求1至30中任一项所述的方法。
113. 一种计算机程序，其特征在于，所述计算机程序使得计算机执行如权利要求61至70中任一项所述的方法。
114. 一种计算机程序，其特征在于，所述计算机程序使得计算机执行如权利要求92至102中任一项所述的方法。

Images