WO2023226956A1

WO2023226956A1 - 一种网络设备和通信系统

Info

Publication number: WO2023226956A1
Application number: PCT/CN2023/095693
Authority: WO
Inventors: 杨庆平; 高良传; 胡剑
Original assignee: 华为技术有限公司
Priority date: 2022-05-25
Filing date: 2023-05-23
Publication date: 2023-11-30

Abstract

本申请公开了一种网络设备和通信系统，用于实现对端侧设备的统一管理。网络设备包括终端发现单元、终端注册单元和终端认证单元中的至少一个单元。终端发现单元用于发现连接网络设备的多个端侧设备，该多个端侧设备包括第一终端和第二终端，第一终端和第二终端的通信协议不同。终端注册单元用于将第一终端和第二终端注册到控制器。终端认证单元用于对第一终端和第二终端进行认证、证书分发和二次认证中的至少一项。由于网络设备可以发现或注册或认证不同通信协议的第一终端和第二终端，有利于实现对不同通信协议的端侧设备进行统一管理。

Description

一种网络设备和通信系统

本申请要求于2022年5月25日提交中国国家知识产权局、申请号为202210577854.0、发明名称为“物联网端网协同系统”的中国专利申请的优先权，以及，于2022年9月13日提交中国国家知识产权局、申请号为202211109943.9、发明名称为“一种网络设备和通信系统”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及物联网技术领域，尤其涉及一种网络设备和通信系统。

背景技术

物联网系统中存在大量的能力受限或资源受限的端侧设备，这些端侧设备由于配置低或供电受限等原因，一般具有小流量，低速率，低功耗，低成本等特点。由于不同厂商或不同行业作用的端侧设备一般采用不同的通信协议，因此，难以在物联网系统中实现对端侧设备的统一管理。

发明内容

提供一种网络设备和通信系统，用于实现对端侧设备的统一管理。

第一方面，本申请提供一种网络设备，所述网络设备包括终端发现单元、终端注册单元和终端认证模块中的至少一个单元。所述终端发现单元用于发现连接所述网络设备的多个端侧设备，该多个端侧设备包括第一终端和第二终端，所述第一终端和所述第二终端的通信协议不同。所述终端注册单元用于将所述第一终端和所述第二终端注册到控制器。所述终端认证单元用于对所述第一终端和所述第二终端进行认证、证书分发和二次认证中的至少一项。

由于网络设备可以发现或注册或认证不同通信协议的第一终端和第二终端，有利于实现对不同通信协议的端侧设备的统一管理。

可选的，所述网络设备还包括终端通信单元，所述终端通信单元用于分别为所述第一终端和所述第二终端路由数据。这样，有利于实现为不同通信协议的端侧设备路由数据。

可选的，所述网络设备还包括端网协同单元，所述端网协同单元用于根据目标终端的网络需求策略为所述目标终端路由数据，所述目标终端为所述第一终端或所述第二终端。这样，有利于根据不同网络需求策略为不同端侧设备提供差异化的网络服务。

可选的，所述网络需求策略指示对所述数据的加密策略、对所述数据的调度策略和对所述数据的缓存策略中的至少一种。

可选的，所述网络需求策略为根据所述目标终端的需求信息确定的，所述需求信息指示如下至少一种信息：所述数据的传输带宽、所述数据的传输时延、所述数据的传输丢包率和所述数据的传输优先级。

可选的，所述第一终端和/或所述第二终端为哑终端。这样，有利于对物联网中不同通信协议的哑终端进行统一管理。

第二方面，本申请提供一种通信系统，包括第一终端、第二终端和网络设备，所述第一终端和所述第二终端的通信协议不同。所述网络设备用于发现连接所述网络设备的第一终端和第二终端，和/或，将所述第一终端和所述第二终端注册到控制器，和/或，对所述第一终端和所述第二终端进行认证、证书分发和二次认证中的至少一项。

可选的，所述第一终端和/或所述第二终端用于根据自身的链路类型从多个通信协议中确定自身的通信协议。这样，无需为端侧设备配置通信协议，端侧设备便可以使用与自身链路类型相应的通信协议与网络设备通信。该通信协议可以包括与自身链路类型相应的多个协议，不同协议可以应用于与网络设备的不同交互过程。例如，该多个协议包括发现协议、注册协议和认证协议中的至少一种协议。

可选的，所述网络设备还用于分别为所述第一终端和所述第二终端路由数据。这样，有利于实现为不同通信协议的端侧设备路由数据。

可选的，所述网络设备还用于根据目标终端的网络需求策略为所述目标终端路由数据，所述目标终端为所述第一终端或所述第二终端。这样，有利于根据不同网络需求策略为不同端侧设备提供差异化的网络服务。

可选的，所述目标终端用于根据业务应用的应用信息确定所述需求信息，并向所述网络设备发送所述需求信息。这样，有利于为不同业务应用提供差异化的网络需求策略，进而为其提供适合的网络服务。

可选的，所述通信系统还包括所述控制器。

第三方面，本申请提供一种通信系统，该通信系统包括控制器和网络设备，所述网络设备为第一方面或第一方面任一种可能的实现方式所提供的网络设备。

第四方面，本申请提供一种通信方法，所述通信方法可以应用于网络设备，该方法包括：发现连接所述网络设备的第一终端和第二终端，和/或，将所述第一终端和所述第二终端注册到控制器，和/或，对所述第一终端和所述第二终端进行认证、证书分发和二次认证中的至少一项。

可选的，所述方法还包括分别为所述第一终端和所述第二终端路由数据。这样，有利于实现为不同通信协议的端侧设备路由数据。

可选的，所述方法还包括根据目标终端的网络需求策略为所述目标终端路由数据。所述目标终端为所述第一终端或所述第二终端。这样，有利于根据不同网络需求策略为不同端侧设备提供差异化的网络服务。

第五方面，本申请提供一种网络设备，所述网络设备包括处理器和存储器。存储器用于存储计算机指令，处理器被配置为调用计算机指令以使得网络设备执行前述第四方面以及第四方面任一种实现方式所示的通信方法，以实现前述第一方面以及第一方面任一种实现方式中网络设备的功能，具体此处不再赘述。

第六方面，本申请提供了一种计算机可读存储介质，计算机可读存储介质中保存有程序，当计算机执行该程序时，执行前述第四方面以及第四方面任一种实现方式所示的设备通信方法，以实现前述第一方面以及第一方面任一种实现方式中网络设备的功能，具体此处不再赘述。

第七方面，本申请提供了一种计算机程序产品，其特征在于，当计算机程序产品在计算机上执行时，该计算机执行前述第四方面以及第四方面任一种实现方式所示的设备通信方法，以实现前述第一方面以及第一方面任一种实现方式中网络设备的功能，具体此处不再赘述。

本申请第五方面至第七方面所示的有益效果与第四方面类似，此处不再赘述。

附图说明

图1示意性示出本申请提供的系统架构；

图2示意性示出计算设备一种可能的结构；

图3示意性示出图1所示网络设备一种可能的结构；

图4示意性示出目标终端一种可能的结构；

图5-1和图5-2示意性示出图1所示系统架构另一种可能的结构；

图6示意性示出目标终端接入目标网络的可能流程；

图7示意性示出目标终端接入网关的可能流程；

图8示意性示出端网协同一种可能的流程。

具体实施方式

本申请提供一种系统架构。图1示意性示出该系统架构一种可能的结构。参考图1，该系统架构包括端侧设备和边侧设备，其中，端侧设备和边侧设备建立有通信连接。

参考图1，该系统架构包括至少两个端侧设备，本申请将这两个端侧设备分别称作第一终端和第二终端。将第一终端或第二终端称作目标终端，将目标终端的通信协议称作目标通信协议。可选的，目标终端为哑终端(或称瘦终端或物联网终端)。

图2示意性示出计算设备一种可能的结构。可选的，目标终端的结果可以如图2所示。参考图2，计算设备200包括总线202、处理器204、存储器206和通信接口208。处理器204、存储器206和通信接口208之间通过总线202通信。总线202可以是外设部件互连标准(peripheral component interconnect，PCI)总线或扩展工业标准结构(extended industry standard architecture，EISA)总线等。为便于表示，图2中仅用一条线表示，但并不表示仅有一根总线或一种类型的总线。总线204可包括在计算设备200各个部件(例如，存储器206、处理器204、通信接口208)之间传送信息的通路。处理器204可以包括中央处理器(central processing unit，CPU)、图形处理器(graphics processing unit，GPU)、微处理器(micro processor，MP)或者数字信号处理器(digital signal processor，DSP)等处理器中的任意一种或多种。存储器206可以包括易失性存储器(volatile memory)，例如随机存取存储器(random access memory，RAM)。处理器204还可以包括非易失性存储器(non-volatile memory)，例如只读存储器(read-only memory，ROM)，快闪存储器，机械硬盘(hard disk drive，HDD)或固态硬盘(solid state drive，SSD)。通信接口203使用例如但不限于网络接口卡、收发器一类的收发模块，来实现计算设备200与其他设备或通信网络之间的通信。

和用户设备或服务器相比，哑终端的配置一般较低，资源有限，安全防护较弱，属于资源受限设备。例如，目标终端的处理器的性能较低，存储器的容量较小，网络接口的带宽较小等。

并且，第一终端和第二终端的通信协议不同。假设第一终端的通信协议包括第一通信协议，第二终端的通信协议包括第二通信协议，第一通信协议和第二通信协议不同。

可选的，第一通信协议和第二通信协议为不同通信技术下的通信协议。例如，第一通信协议和第二通信协议为射频识别技术(radio frequency identification，RFID)、蓝牙低能耗(bluetooth low energy，BLE)、无线保真(wireless fidelity，WiFi)、以太网(ethernet，ETH)和电力线通信(power line communication，PLC)中的任意两种不同无线通信技术的通信协议。

可选的，第一通信协议和第二通信协议为相同通信技术下的通信协议，例如，第一通信协议和第二通信协议为基于WiFi的不同私有协议。

由于第一通信协议和第二通信协议不同，为了在图1所示的系统架构中实现对第一终端和第二终端的统一管理，参考图3，本申请提供边侧设备的一种可能设计。

参考图1，该系统架构包括至少一个边侧设备，本申请将该边侧设备称作网络设备。可选的，该网络设备为网关或接入设备。该接入设备可以例如为交换机或路由器或接入点(access point，AP)。

图3示意性示出网络设备一种可能的结构。参考图3，该网络设备包括终端发现单元。终端发现单元用于发现第一终端和第二终端。可选的，终端发现单元根据终端的通信协议选择相应的发现规则来发现终端，例如，终端发现单元选择第一发现规则来发现第一终端，根据基于第二发现规则发现第二终端，并且，第一发现规则和第二发现规则不同。

在一些示例中，第一发现规则和第二发现规则指示不同的发现协议。本申请将第一发现规则指示的发现协议和第二发现规则指示的发现协议分别称作第一发现协议和第二发现协议，第一发现协议和第二发现协议不同。假设第一通信协议为WiFi协议，第二通信协议为ETH协议，可选的，第一发现规则所指示的发现协议为信标(beacon)协议，第二发现协议所指示的发现协议为动态主机配置协议(dynamic host configuration protocol，DHCP)或域名系统(domain name system，DNS)协议或802.1X协议等。

在一些示例中，终端发现单元通过与第一终端之间交互第一发现协议报文来实现对第一终端的发现，终端发现单元通过与第二终端之间交互第二发现协议报文来实现对第二终端的发现。其中，第一发现协议报文为使用第一发现协议封装的报文，第二发现协议报文为使用第二发现协议封装的报文，例如，第一发现协议报文为信标帧，第二发现协议报文为DHCP报文。

可选的，第一发现协议报文包括第一终端向网络设备发送的第一发现报文，第二发现协议报文包括第二终端向网络设备发送的第二发现报文，第一发现报文和第二发现报文分别为使用第一发现协议和第二发现协议封装得到的。终端发现单元可以根据第一发现协议对第一发现报文进行解封装，以发现第一终端，并且，可以根据第二发现协议对第二发现报文进行解封装，以发现第二终端。可选的，第一发现报文包括第一终端的电子身份信息(或称身份信息)，第二发现报文包括第二终端的电子身份信息。本申请不限定电子身份信息的具体内容，可选的，电子身份信息包括终端的序列号(serialno，SN)、终端类型和终端品牌中的至少一种信息。

可选的，第一发现协议报文包括网络设备向第一终端发送的第一发现响应报文，第二发现协议报文包括网络设备向第二终端发送的第二发现响应报文。网络设备可以使用第一发现协议封装得到并向第一终端发送第一发现响应报文，以使第一终端发现网络设备。并且，网络设备可以使用第二发现协议封装得到并向第二终端发送第二发现响应报文，以使第二终端发现网络设备。

可见，网络设备通过设置有终端发现单元，可以发现使用不同通信协议的哑终端。

可选的，终端发现单元实现第一终端和第二终端自动入网的中枢侧处理，该中枢侧处理包括终端接入报文信息校验、匹配、终端信息的解析和封装、终端和认证单元的交互等。

可选的，参考图1，该系统架构还包括至少一个云侧设备。本申请将该云侧设备称作控制器。可选的，参考图1，控制器可以包括管理模块，管理模块用于提供管理服务。可选的，管理模块用于对第一终端和第二终端进行注册。本申请不限定管理模块对终端进行注册的过程。下面，以管理模块对目标终端进行注册为例，介绍管理模块对终端进行注册的过程，其中，目标终端为第一终端或第二终端。

可选的，管理模块根据网络设备发送的注册请求向网络设备发送注册结果信息，其中，注册请求用于请求注册目标终端，注册结果信息指示通过或拒绝注册请求。

可选的，管理模块在获取到注册请求后，触发人工审批或自动审批流程，以确定通过或拒绝该注册请求。若通过该注册请求，可选的，管理模块可以在注册结果信息中携带为目标终端分配的终端标识，该终端标识例如为物联通信句柄(device ID)。

可选的，该管理模块还用于对第一终端、第二终端和网络设备进行管理(包含配置、可视化等基础管理服务)。

可选的，参考图3，该网络设备还包括终端注册单元。终端注册单元用于将第一终端和第二终端注册到控制器。本申请不限定终端注册单元将终端注册到控制器的过程。下面，以终端注册单元将目标终端注册到控制器为例，介绍终端注册单元将目标终端注册到控制器的过程，其中，目标终端为第一终端或第二终端。

可选的，在终端发现单元发现目标终端后，终端注册单元代理目标终端向控制器发送注册请求，并接收控制器下发的注册结果信息，其中，该注册请求和注册结果信息可以参考前文的相关内容，此处不再赘述。当注册结果信息指示注册请求通过时，终端注册单元向目标终端发送注册结果信息携带的终端标识。

可选的，终端发现单元在接收到目标终端发送的注册请求报文后，向控制器发送注册请求。注册请求报文用于请求将目标终端注册到网络设备或控制器。

可选的，终端注册单元用于实现终端和控制器的注册申请处理，生成终端标识、终端和中枢匹配关系管理等。

可选的，参考图1，控制器包括认证模块，认证模块用于提供认证服务。例如，认证模块用于对第一终端和第二终端进行认证。本申请不限定认证模块对终端进行认证的过程。下面，以认证模块对目标终端进行认证为例，介绍认证模块对终端进行认证的过程，其中，目标终端为第一终端或第二终端。

可选的，认证模块根据网络设备发送的认证请求向网络设备发送认证结果信息，其中，认证请求用于请求对目标终端进行认证，认证结果信息指示通过或拒绝认证请求。可选的，认证请求携带目标终端的电子身份信息。

可选的，当网络设备为网关时，认证请求用于请求将目标终端接入网关。

可选的，当网络设备为目标网络的接入设备时，认证请求用于请求将目标终端接入目标网络。可选的，目标网络为局域网。

可选的，参考图3，该网络设备还包括终端认证单元。在一些示例中，终端认证单元用于对第一终端和第二终端进行认证。可选的，终端认证单元可以分别代理第一终端和第二终端进行控制器认证。本申请不限定终端认证单元对终端进行认证的过程。下面，以终端认证单元对目标终端进行认证为例，介绍终端认证单元对终端进行认证的过程，其中，目标终端为第一终端或第二终端。

可选的，在终端发现单元发现目标终端后，终端认证单元向控制器发送认证请求，并接收控制器下发的认证结果信息，其中，该认证请求和认证结果信息可以参考前文的相关内容，此处不再赘述。可选的，终端认证单元在接收到目标终端发送的认证请求报文后，向控制器发送认证请求。认证请求报文用于请求对目标终端进行认证。可选的，认证请求报文携带目标终端的电子身份信息。

可选的，控制器的认证模块还用于对第一终端和第二终端进行证书分发。下面，以认证模块对目标终端进行证书分发为例，介绍认证模块对终端进行证书分发的过程，其中，目标终端为第一终端或第二终端。可选的，当认证模块确定通过认证请求后，在向网络设备下发的认证结果信息中携带认证信息。可选的，认证信息包括证书信息或口令等。其中，证书信息可以包括设备证书。

可选的，终端认证单元还用于对第一终端和第二终端进行证书分发。本申请不限定终端认证单元对终端进行证书分发的过程。下面，以终端认证单元对目标终端进行证书分发为例，介绍终端认证单元对终端进行证书分发的过程，其中，目标终端为第一终端或第二终端。可选的，终端认证单元在接收到控制器下发的认证结果信息之后，将认证结果信息中携带的认证信息发送给目标终端，该认证结果信息和认证信息可以参考前文的相关内容，此处不再赘述。

目标终端在获取到网络设备下发的认证信息之后，可以保存该认证信息。之后，目标终端可以基于该证书信息进行安全认证与加密通信。因此，网络设备可以实现将目标终端自动安全接入目标网络或网关。

在一些示例中，终端认证单元用于对第一终端和第二终端进行二次认证。可选的，终端认证单元可以分别代理第一终端和第二终端向控制器进行二次认证。本申请不限定终端认证单元对终端进行二次认证的过程。下面，以终端认证单元对目标终端进行二次认证为例，介绍终端认证单元对终端进行二次认证的过程，其中，目标终端为第一终端或第二终端。

可选的，在终端认证单元向目标终端下发认证信息后，目标终端可以向网络设备发送携带有认证信息的接入请求，终端认证单元可以根据该接入请求请求控制器对目标终端进行二次认证。其中，该认证信息可以参考前文的相关内容，此处不再赘述。

在一些示例中，终端认证单元可以对第一终端和第二终端进行认证、证书分发和二次认证中的至少一种。

在一些示例中，终端认证单元还用于管理第一终端和第二终端的认证信息，例如，终端认证单元用于更新或撤销第一终端和第二终端的认证信息。这样，有利于减少第一终端和第二终端对认证信息进行管理的复杂性，减小第一终端和第二终端的开销。

可选的，参考图1，控制器包括业务模块，业务模块用于分别与第一终端和第二终端交互数据，以实现物联网业务。对于第一终端和第二终端中的任意一个终端(称作目标终端)，本申请将目标终端向业务模块发送的数据称作上行数据(或业务数据)，将业务模块向目标终端发送的数据称作下行数据(或控制指令)。上行数据和下行数据的类型与物联网业务的类型相关。可选的，该物联网业务包括资产管理和/或智慧家居管理等。以智慧家居管理为例，假设第一终端为智能火警设备，第一终端可以获取环境温度的检测数据，之后将检测数据(即上行数据)上报控制器，控制器中的业务模块可以基于该检测数据判断是否存在火情，当存在火情时，业务模块向第一终端下发控制指令(即下行数据)，以控制第一终端向用户提示火情。

可选的，参考图3，该网络设备还包括终端通信单元，终端通信单元用于分别为第一终端和第二终端路由数据。在一些示例中，终端通信单元用于在目标终端和控制器之间路由数据，例如，终端通信单元用于将来自目标终端的上行数据路由至控制器，将来自控制器的下行数据路由至目标终端。

在一些示例中，第一终端根据第一通信协议封装并向网络设备发送上行数据(称作第一上行数据)，第二终端根据第二通信协议封装并向网络设备发送上行数据(称作第二上行数据)。终端通信单元用于根据第一通信协议解析第一上行数据，根据第二通信协议解析第二上行数据，之后，分别根据第三通信协议封装第一上行数据和第二上行数据，分别将第一上行数据和第二上行数据发送给控制器。其中，第三通信协议可以为第一通信协议或第二通信协议，或者，第三通信协议是第一通信协议和第二通信协议以外的其他通信协议。作为举例，第一通信协议和第二通信协议分别为BLE协议和WiFi协议，第三通信协议为ETH协议。

控制器接收到第一上行数据后，可以生成第一下行数据。类似的，控制器接收到第二上行数据后，可以生成第二下行数据。在一些示例中，控制器分别根据第三通信协议封装第一下行数据和第二下行数据，之后，分别向网络设备发送封装后的第一下行数据和第二下行数据。终端通信单元用于根据第三通信协议分别解析接收到的第一下行数据和第二下行数据，之后，根据第一通信协议封装第一下行数据并将封装后的第一下行数据发送给第一终端，根据第二通信协议封装第二下行数据并将封装后的第二下行数据发送给第二终端。

可见，终端通信单元为第一终端和第二终端提供统一的异构通信通道，支持WiFi、BLE、ETH等多物理通道的抽象和统一，实现自动的路由寻路。

可选的，参考图3，网络设备还包括端网协同单元。端网协同单元用于获取目标终端的需求信息，根据该需求信息确定目标终端的网络需求策略。终端通信单元用于根据该网络需求策略为目标终端路由数据。可选的，目标终端的需求信息可以为目标终端上报的。可选的，需求信息指示如下至少一种信息：数据的传输带宽、数据的传输时延、数据的传输丢包率和数据的传输优先级等。可选的，网络需求策略指示对数据的加密策略、对数据的调度策略和对数据的缓存策略中的至少一种。

可见，端网协同单元根据目标终端的网络需求策略进行资源调度和数据分发，有利于在为目标终端路由数据的过程中实施最优处理策略。

可选的，图3为网络设备一种功能框图。可选的，网络设备的结构如图2所示，图3所示的单元为处理器204读取存储器206中存储的程序指令后，生成的软件功能模块。图3所示的软件功能模块的划分，仅仅为一种逻辑功能划分。

可选的，网络设备支持多种通信协议(称作端网协同协议集)。可选的，从通信技术角度，端网协同协议集包括多种通信技术下的通信协议，例如，端网协同协议集包括RFID协议、BLE协议、WiFi协议和ETH协议等。可选的，从网络设备的功能角度，端网协同协议集包括多种功能对应的通信协议，例如，端网协同协议集包括链路层发现协议、网关发现协议、安全认证协议、设备和应用联动协议中的至少一种通信协议。从通信技术角度和网络设备的功能角度，可选的，每种功能对应的通信协议包括多种通信技术下的通信协议。

其中，当网络设备为目标网络的接入设备时，链路层发现协议被用于实现终端发现单元的功能，例如，终端发现单元使用链路层发现协议来发现第一终端和第二终端。在一些示例中，终端发现单元用于根据终端的链路层类型采用链路层发现协议中不同通信技术下的发现协议，如WiFi采用Beacon帧做自动发现管理、ETH可以采用DHCP、DNS、802.1X等协议实现自动发现管理。

当网络设备为网关时，端网协同协议集还包括网关发现协议，网关发现协议被用于实现终端发现单元的功能。在一些示例中，终端发现单元支持发现报文的组播或广播，实现二层以及跨二层的自动发现管理。

安全认证协议被用于实现终端注册单元和/或终端认证单元的功能。在一些示例中，终端认证单元使用安全认证协议，以实现轻量级的证书管理、认证和加密等，如基于受限应用协议(constrained application protocol，CoAP)的注册申请等。

设备和应用联动协议被用于实现终端通信单元的功能。在一些示例中，终端通信单元使用设备和应用联动协议，以实现网络设备和物联终端的联动，如WiFi的双发选收、接入点(access point name，APN)等。

网络设备通过端网协同协议集，可以对来自不同通信协议的端侧设备的报文进行解析，并且，可以向端侧设备发送使用相应通信协议封装的报文，以将不同链路类型或不同厂商的端侧设备统一接入网络设备所在的目标网络或物联网。

本申请不限定图1所示系统架构中设备的实现形态。例如，边侧设备可以为物理设备或虚拟设备，云侧设备可以为物理设备或虚拟设备。本申请不限定虚拟设备的部署位置，例如，虚拟设备可以部署在公有云或私有云或本地机房等。

本申请不限定控制器中的所有模块部署在同一物理设备中，可选的，控制器中的至少两个模块可以部署在不同物理设备中。例如，管理模块部署在管理服务器中，认证模块部署在认证服务器中，业务模块部署在应用服务器中。

在一些示例中，图1所示的网络设备和控制器均为虚拟设备，并且，网络设备和控制器部署在同一物理设备上，或者，网络设备和控制器中的至少一个模块部署在同一物理设备上。

图4示意性示出目标终端另一种可能的结构，目标终端为图1所示的第一终端或第二终端。参考图4，目标终端包括端网协同装置(或简称协同装置)，端网协同装置包括网络联动模块和/或轻量级认证模块。

可选的，网络联动模块包括终端自动接入单元、终端自动入网关单元、终端和网络协同单元中的至少一个单元。

当图1所示的网络设备为目标网络的接入设备时，终端自动接入单元用于将目标终端接入网络设备。可选的，终端自动接入单元用于生成并向网络设备发送接入控制信息。可选的，接入控制信息包括前文介绍的发现报文和/或认证请求报文。可选的，终端自动接入单元用于根据目标终端的链路类型生成接入控制信息和/或封装终端的设备信息和/或进行终端入网配置等，以实现终端自动接入网络。根据终端链路的类型不同，终端自动接入单元生成的接入控制信息可以不同，例如，当目标终端的链路类型为WiFi时，终端自动接入单元通过信标帧来封装接入控制信息，当目标终端的链路类型为ETH时，终端自动接入单元通过802.1X协议来封装接入控制信息。

当图1所示的网络设备为网关时，终端自动入网关单元用于将目标终端接入该网络设备。可选的，终端自动接入单元用于生成并向网络设备发送接入控制信息。可选的，接入控制信息包括前文介绍的发现报文和/或注册请求报文和/或认证报文。可选的，终端自动入网关单元用于实现网关自动发现、网关注册、网关认证和安全传输等功能，网关自动发现采用组播和单播等模式。

终端和网络协同单元用于实现终端和网络设备的信息传递。可选的，终端和网络协同单元用于向网络设备发送前文介绍的需求信息，以实现目标终端对网络需求策略的上送、目标终端和网络设备协同策略实现等。

可选的，轻量级认证模块包括轻量级认证单元和/或轻量级安全传输单元。

轻量级认证单元提供轻量级证书功能，用于实现证书的小型化(例如证书压缩)，轻量级的证书存储系统和轻量级的认证框架等，以实现小型化终端的安全认证可部署、可运行。

轻量级安全传输单元用于实现基于轻量级的认证单元构建轻量的传输通道，例如传输层安全(Transport Layer Security，TLS)协议或数据包传输层安全(Datagram Transport Layer Security，DTLS)协议传输通道，实现小型化终端的安全传输。

可选的，图4为目标终端一种功能框图。可选的，目标终端的结构如图2所示，图4所示的装置或模块为处理器204读取存储器206中存储的程序指令后，生成的软件功能模块。图4所示的软件功能模块的划分，仅仅为一种逻辑功能划分。

可选的，本申请提供的系统架构可以包括比图1所示更多或更少的设备。图5-1示意性示出图1中系统架构的另一种可能结构。参考图5-1，该系统架构包括至少两个网络设备和至少两个控制器，这两个网络设备分别为目标网络的接入设备和物联网的网关，这两个控制器分别为目标网络的控制器(记为控制器1)和物联网的控制器(记为控制器2)。接入设备和网关的结构可以参考图3所示，例如，接入设备包括前文介绍的终端发现单元、终端认证单元和终端通信单元中的至少一个单元，网关包括前文介绍的终端发现单元、终端注册单元、终端认证单元和终端通信单元中的至少一个单元。

图3介绍了网络设备的多个功能单元，该多个功能单元用于实现图1所示系统架构中不同设备之间的通信，例如端侧设备和网络设备的通信，网络设备和云侧设备的通信，以及端侧设备和云侧设备的通信，以实现端网协同。图5-2示意性示出图1中系统架构的另一种可能结构。参考图5-2，可以将图1所示的系统架构中的全部或一部分边侧设备理解为图5所示的端网协同总线，用于实现边侧设备所在网络(例如园区网络)和物联终端的协同。需要说明的是，该端网协同总线属于软件实现的总线，因此端网协同总线又称分布式软总线。

参考图5-2，该端网协同总线提供多种通信协议的接口，以与多种通信协议的端侧设备进行通信。图5-2以RFID/BLE接口、WiFi接口、ETH接口和PLC接口为例而非限定，该端网协同总线可以提供比图5-2所示更多或更少的接口。

参考图5-2，多种通信协议的端侧设备包括但不限于RFID终端、BLE终端、WiFi终端、ETH终端和PLC终端中的至少一种。其中，RFID终端为支持RFID协议的端侧设备，BLE终端为支持BLE协议的端侧设备，WiFi终端为支持WiFi协议的端侧设备，ETH终端为支持ETH协议的端侧设备，PLC终端为支持PLC协议的端侧设备。图5-2所示的端侧设备可以通过设置前文介绍的端网协同装置来实现端网协同。可选的，参考图5-2，端网协同总线可以通过前文介绍的端网协同协议集中的协议与多个端侧设备进行通信。

参考图5-2，该端网协同总线提供多种通信协议的接口，以分别与控制器中的多个模块通信。端网协同总线通过认证接口与认证模块通信，通过数据接口与管理模块通信，通过业务接口与业务模块通信。图5-2以认证接口、数据接口和业务接口为例而非限定，该端网协同总线可以提供比图5-2所示更多或更少的接口。

本申请不限定图1或图5-1或图5-2介绍的系统架构的应用场景，例如，该应用场景包括物联网和工业互联网场景，涉及到物理设备和园区网络或专用的物联网。下面对应用场景进行具体举例。

可选的，该应用场景为企业办公场景，端侧设备包括企业办公区域的哑终端(例如无线打印机和/或摄像头)，该系统架构用于实现将企业办公区域的哑终端免网络配置自动安全的接入企业办公的通信网络。

可选的，该应用场景为物流仓储场景，端侧设备包括物流仓储区域的哑终端，例如自动导向车(automated guided vehicle，AGV)，该系统架构用于实现将物流仓储区域的哑终端免网络配置自动安全的接入物流仓储的通信网络。

可选的，该应用场景为智慧楼宇场景，端侧设备包括智慧楼宇区域的哑终端，例如外接Wi-Fi模组的直接数字控制(direct digital control，DDC)控制器，该系统架构用于实现将DDC控制器免配置自动安全入网，自动注册智慧楼宇的边缘服务。

可选的，该应用场景为智慧医疗场景，端侧设备包括医疗场所的哑终端，例如外接Wi-Fi客户端设备(Customer Premises Equipment，CPE)的输液泵等医疗设备。该系统架构用于将医疗设备免配置自动安全入网，自动注册边缘服务。

下面，介绍上述系统中几种可能的业务流程。

图6示意性示出一种目标终端通过接入设备自动接入目标网络的流程。参考图6，该自动入网流程可以包括步骤S601至S614。图6所示的接入设备可以参考前文介绍的网络设备进行理解，图6所示的目标终端可以分别参考前文的相关内容进行理解。图6所示的认证服务器可以包括图1所示的认证模块，管理服务器可以包括图1所示的管理模块。

S601、目标终端和接入设备之间交互发现协议报文；

目标终端和接入设备之间通过交互发现协议报文，接入设备可以发现目标终端，目标终端可以发现接入设备。可选的，发现协议报文包括目标终端向接入设备发送的发现报文和接入设备向目标终端发送的发现响应报文。发现协议报文、发现报文和发现响应报文可以参考前文的相关内容，此处不再赘述。

可选的，接入设备通过终端发现单元执行步骤S601，目标终端通过终端自动接入单元执行步骤S601。

以目标终端的链路类型为WiFi为例，可选的，目标终端和接入设备之间可以基于WiFi信标帧进行交互，根据信标(Beacon)协议的扩展字段进行定义自动发现标志(如iConnectV1)，可以实现自动的接入相应的服务集标识(service set identifier，SSID)。发现协议报文的具体实现可以根据目标终端的链路类型进行扩展，此处不做限定。

S602、目标终端向接入设备发送第一报文；

目标终端发现接入设备后，可以向接入设备发送第一报文。其中，第一报文携带目标终端的电子身份信息。不限定认证请求报文的协议类型，可选的，可以在关联(association)帧或再关联(reassociation)帧中携带电子身份信息。

可选的，第一报文用于请求将目标终端接入目标网络。

S603、接入设备向管理服务器发送第二报文；

接入设备可以根据目标终端的电子身份信息封装第二报文并发送给管理服务器。本申请不限定第二报文的消息格式，例如，第二报文的格式可以根据认证服务器的形态不同采用不同的格式，认证服务器例如为远程用户拨号认证系统(remote authentication dial in user service，RADIUS)或表述性状态转移(REpresentational State Transfer，REST)系统等。

可选的，第二报文用于请求将目标终端接入目标网络，并且，为目标终端获取认证结果信息。

步骤S602为可选步骤，在一些示例中，接入设备在通过S601发现目标终端后，便可以执行步骤S603。可选的，目标终端将电子身份信息携带在S601中的发现协议报文中。这样，有利于减少目标终端和接入设备之间的交互次数，降低目标终端的开销。

S604、管理服务器向认证服务器发送认证请求；

管理服务器接收到第二报文后，可以携带目标终端的电子身份信息到认证服务器进行认证。可选的，认证服务器和管理服务器可以部署在同一物理设备中，例如，参考图5-1，认证服务器的功能和管理服务器的功能可以部署在控制器1中。

认证请求可以参考前文的相关内容进行理解，此处不再赘述。

S605、认证服务器对认证请求进行审批；

可选的，认证服务器支持人工审核和/或自动审核。针对自动审核，认证服务器可以和物联网标识系统对接，电子身份信息包括目标终端的电子身份信息。

S606、认证服务器向管理服务器发送认证结果信息；

审批结束后，认证服务器向管理服务器发送认证结果信息，认证结果信息指示允许或拒绝目标终端接入目标网络。

S607、管理服务器向目标终端发送配置信息；

审核通过后，可选的，认证服务器或管理服务器获取目标终端的配置信息。可选的，该配置信息包括目标终端的IP地址。管理服务器可以向目标终端发送配置信息。

S608、管理服务器向目标终端发送认证结果信息；

认证结果信息可以参考前文的相关内容进行理解，此处不再赘述。

当认证结果信息指示通过认证时，认证结果信息可以携带认证信息。目标终端可以保存该认证信息，用于后续的二次认证和自动认证。认证信息可以参考前文的相关内容进行理解，此处不再赘述。

S609、目标终端向接入设备发送接入请求；

接入请求可以携带认证信息，以请求接入接入设备所在的目标网络。

S610、接入设备向管理服务器发送接入请求；

S611、管理服务器向认证服务器发送接入请求；

S612、认证服务器向管理服务器发送接入结果；

认证服务器可以根据认证信息对接入请求进行认证，并根据认证结果发送接入结果。接入结果指示允许或禁止目标终端接入目标网络。

S613、管理服务器向接入设备发送接入结果；

S614、接入设备向目标终端发送接入结果。

当接入结果指示允许接入目标网络时，目标终端完成接入目标网络。

终端自动入网是端网协同的基础功能，图6所示的流程有利于实现目标终端的无感接入目标网络，即插即用。

图7示意性示出一种目标终端接入网关的流程。参考图7，该自动接入网关的流程可以包括步骤S701至S712。图7所示的网关可以参考前文介绍的网络设备进行理解，图7所示的目标终端可以分别参考前文的目标终端进行理解。图7所示的认证服务器可以包括图1所示的认证模块，管理服务器可以包括图1所示的管理模块。

目标终端支持跨二层和二层网络的网关自动发现。在目标终端和网关非直连的场景下，通过图7所示的步骤S701至S703实现目标终端对网关的自动发现。

S701、目标终端向接入设备发送网关发现报文；

目标终端接入接入设备所在的目标网络后，可以向接入设备发送网关发现报文，以请求发现网关。可选的，目标终端通过组播方式发送网关发现报文。

S702、接入设备向目标终端发送网关列表；

S703、目标终端根据网关列表向网关发送网关发现报文；

目标终端可以根据网关列表选择其中的一个网关，向该网关发送网关发现报文。网关发现报文可以携带目标终端的电子身份信息。电子身份信息的内容可以参考前文相关介绍，此处不再赘述。可选的，目标终端通过单播方式向网关发送网关发现报文。

在目标终端和网关直连的场景下，通过图7所示的步骤S704至S705实现目标终端对网关的自动发现。

S704、目标终端发送网关发现报文；

可选的，目标终端可以通过组播方式发送网关发现报文。

S705、网关向目标终端发送网关信息；

网关信息可以包括网关的IP地址和/或网关的基础信息等。

目标终端、接入设备和网关可以基于网关发现协议来执行步骤S701至S705中的至少一个步骤。可选的，网关发现协议可以基于CoAP，或基于CoAP+JS对象简谱(javascript object notation，JSON)，或基于多播域名系统(multicast domain name server，MDNS)协议等。

可选的，前文介绍的发现协议报文包括网关发现报文和/或网关信息。

S706、目标终端向网关发送注册请求报文；

目标终端发现网关后，可以向网关发送注册请求报文，注册请求报文用于请求对目标终端进行注册。可选的，注册请求报文可以携带目标终端的电子身份信息。

S707、网关向管理服务器发送第三报文；

接入设备可以根据目标终端的电子身份信息封装第三报文并发送给管理服务器。可选的，第三报文用于请求将目标终端接入网关，并且，为目标终端获取认证结果信息。

步骤S706为可选步骤，在一些示例中，网关发现目标终端后，便可以执行步骤S707。可选的，目标终端将电子身份信息携带在S703或S704中的网关发现报文中。这样，有利于减少目标终端和网关之间的交互次数，降低目标终端的开销。

S708、管理服务器向认证服务器发送认证请求；

管理服务器接收到第三报文后，可以携带目标终端的电子身份信息到认证服务器进行认证。可选的，认证服务器和管理服务器可以部署在同一物理设备中，例如，参考图5-1，认证服务器的功能和管理服务器的功能可以部署在控制器2中。

S709、认证服务器对认证请求进行审批；

S710、认证服务器向管理服务器发送认证结果信息；

审批结束后，认证服务器向管理服务器发送认证结果信息，认证结果信息指示允许或拒绝目标终端接入网关。认证结果信息可以参考前文的相关内容进行理解，此处不再赘述。

S711、管理服务器向目标终端发送第四报文；

接收到认证结果信息后，管理服务器向目标终端发送第四报文。若审核通过，认证服务器或管理服务器为目标终端分配终端标识，并且获取目标终端的认证信息。该终端标识例如为物联通信句柄(device ID)。第四报文携带认证信息和终端标识。认证信息可以参考前文的相关内容进行理解，此处不再赘述。当认证信息包括证书时，可选的，该证书可以为应用层的认证证书。

S712、网关向目标终端发送认证信息。

当审核通过时，网关可以向目标终端发送认证信息。目标终端可以保存该认证信息，用于后续的二次认证和自动认证。认证信息可以参考前文的相关内容进行理解，此处不再赘述。

图7所示的流程有利于实现目标终端的无感接入网关所在的物联网，即插即用。

图8示意性示出一种目标终端和网络协同(简称端网协同)的流程。参考图8，该端网协同的流程可以包括步骤S801至S807。

可选的，图8所示的网络侧设备包括图1或图3所示的网络设备，或者包括图5-1所示的接入设备和/或网关。可选的，图8所示的网络侧设备还包括图1所示的控制器，或者包括图5-1所示的控制器1和/或控制器2。可选的，图8所示的网络侧设备还可以包括目标网络或物联网中的更多网络设备。

图8所示的目标终端可以设置有协同装置(即图4所示的端网协同装置)和业务应用。其中，协同装置可以参考图4的相关内容进行理解，此处不再赘述。可选的，业务应用用于与物联网的控制器(例如其中的业务模块)交互数据。

S801、协同装置获取业务应用的应用信息；

本申请不限定应用信息的内容，可选的，应用信息包括业务应用的标识和/或业务应用的类型。

S802、协同装置向网络侧设备发送需求信息；

协同装置可以根据应用信息确定业务应用对网络(目标网络和/或物联网)的需求信息。可选的，需求信息包括数据的传输带宽、数据的传输时延、数据的传输丢包率和数据的传输优先级中的至少一种信息。

S803、网络侧设备根据需求信息确定目标终端的网络需求策略；

网络侧设备接收到目标终端发送的需求信息后，可以根据需求信息确定目标终端的网络需求策略。可选的，网络需求策略指示对数据的加密策略、对数据的调度策略和对数据的缓存策略中的至少一种。

可选的，目标终端可以向图5-1所示的接入设备发送需求信息。可选的，图5-1所示的接入设备接收到需求信息后，将需求信息转发给控制器1，由控制器1确定目标终端的网络需求策略，并将该网络需求策略下发至目标网络中的网络设备。

可选的，目标终端可以向图5-1所示的网关发送需求信息。可选的，图5-1所示的网关接收到需求信息后，将需求信息转发给控制器2，由控制器2确定目标终端的网络需求策略，并将该网络需求策略下发至物联网中的网关。

S804、业务应用向协同装置发送业务数据；

业务应用生成并向协同装置发送业务数据。不限定业务数据的类型，假设目标终端为智能火警设备，可选的，业务数据可以为目标终端的环境温度的检测数据。

S805、协同装置将业务数据封装为报文；

协同装置获取业务数据后，可以将业务数据封装为报文。例如，协同装置根据目标终端的链路类型选择相应的通信协议将业务数据封装为报文。

S806、协同装置向网络侧设备发送报文；

协同装置向网络侧设备发送报文。例如，协同装置向图5-1所示的网关发送报文，或者，协同装置通过图5-1所示的接入设备将报文转发给网关。

S807、网络侧设备根据网络需求策略路由报文。

网络侧设备接收到来自目标终端的报文后，可以根据目标终端的网络需求策略路由该报文，以满足业务应用对网络的需求信息。

可选的，S802中，协同装置向网络侧设备发送的需求信息携带业务应用的标识，S803中，网络侧设备关联保存该业务应用的标识和网络需求策略。在S805中，协同装置将业务数据和业务应用的标识封装为报文，S807中，网络侧设备根据业务应用的标识确定目标终端的网络需求策略，以根据该网络需求策略路由报文，为业务应用的业务数据提供所需的网络保障和网络服务。

以上，基于图1或图5-1或图5-2所示的系统架构，图6提供了目标终端自动安全无感接入目标网络的一种可能方案，图7提供了目标终端和网关构建自动安全应用传输通道的一种可能方案，图8提供了目标终端物联服务的自发现和公告的一种可能方案，有利于实现目标终端和网络协同联动，实现端到端的物联终端自动接入网络到终端数据采集分析，实现开机即服务。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，设备，可以通过其它的方式实现。例如，以上所描述的设备实施例仅仅是示意性的，例如，所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个模块或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，设备或模块的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能模块可以集成在一个处理单元中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的术语在适当情况下可以互换，这仅仅是描述本申请的实施例中对相同属性的对象在描述时所采用的区分方式。本申请涉及的“A和/或B”可以理解为包括“A和B”以及“A或B”这两种方案。本申请涉及的“多个”可以理解为两个或两个以上。

以上该的具体实施方式，对本申请的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上该仅为本申请的具体实施方式而已，并不用于限定本申请的保护范围，凡在本申请的技术方案的基础之上，所做的任何修改、改进等，均应包括在本申请的保护范围之内。

Claims

一种网络设备，其特征在于，所述网络设备包括终端发现单元、终端注册单元和终端认证模块中的至少一个单元；

所述终端发现单元用于发现连接所述网络设备的第一终端和第二终端，所述第一终端和所述第二终端的通信协议不同；

所述终端注册单元用于将所述第一终端和所述第二终端注册到控制器；

所述终端认证单元用于对所述第一终端和所述第二终端进行认证、证书分发和二次认证中的至少一项。
根据权利要求1所述的网络设备，其特征在于，所述网络设备还包括终端通信单元，所述终端通信单元用于分别为所述第一终端和所述第二终端路由数据。
根据权利要求2所述的网络设备，其特征在于，所述网络设备还包括端网协同单元，所述端网协同单元用于根据目标终端的网络需求策略为所述目标终端路由数据，所述目标终端为所述第一终端或所述第二终端。
根据权利要求3所述的网络设备，其特征在于，所述网络需求策略指示对所述数据的加密策略、对所述数据的调度策略和对所述数据的缓存策略中的至少一种。
根据权利要求3或4所述的网络设备，其特征在于，所述网络需求策略为根据所述目标终端的需求信息确定的，所述需求信息指示如下至少一种信息：

所述数据的传输带宽、所述数据的传输时延、所述数据的传输丢包率和所述数据的传输优先级。
根据权利要求1至5中任一项所述的网络设备，其特征在于，所述第一终端和/或所述第二终端为哑终端。
一种通信系统，其特征在于，包括第一终端、第二终端和网络设备，所述第一终端和所述第二终端的通信协议不同；

所述网络设备用于发现连接所述网络设备的第一终端和第二终端，和/或，将所述第一终端和所述第二终端注册到控制器，和/或，对所述第一终端和所述第二终端进行认证、证书分发和二次认证中的至少一项。
根据权利要求7所述的通信系统，其特征在于，所述第一终端和/或所述第二终端用于根据自身的链路类型从多个通信协议中确定自身的通信协议。
根据权利要求7或8所述的通信系统，其特征在于，所述网络设备还用于分别为所述第一终端和所述第二终端路由数据。
根据权利要求9所述的通信系统，其特征在于，所述网络设备还用于根据目标终端的网络需求策略为所述目标终端路由数据，所述目标终端为所述第一终端或所述第二终端。
根据权利要求10所述的通信系统，其特征在于，所述网络需求策略指示对所述数据的加密策略、对所述数据的调度策略和对所述数据的缓存策略中的至少一种。
根据权利要求10或11所述的通信系统，其特征在于，所述网络需求策略为根据所述目标终端的需求信息确定的，所述需求信息指示如下至少一种信息：

所述数据的传输带宽、所述数据的传输时延、所述数据的传输丢包率和所述数据的传输优先级。
根据权利要求12所述的通信系统，其特征在于，所述目标终端用于根据业务应用的应用信息确定所述需求信息，并向所述网络设备发送所述需求信息。
根据权利要求7至13中任一项所述的通信系统，其特征在于，所述第一终端和/或所述第二终端为哑终端。
根据权利要求7至14中任一项所述的通信系统，其特征在于，所述通信系统还包括所述控制器。