WO2023240587A1 - 一种设备权限配置方法及装置、终端设备 - Google Patents

Abstract

本申请实施例提供一种设备权限配置方法及装置、终端设备，该方法包括：第一客户端获取第一凭证，并向第二客户端发送所述第一凭证，所述第一凭证为所述第二客户端获取第一证书的身份凭证，所述第一证书用于所述第二客户端在与目标设备建立连接的过程中进行与所述目标设备之间的认证；其中，在认证完成后，所述第二客户端能够生成共享密钥并基于所述共享密钥通过与所述目标设备之间的连接访问所述目标设备。

Description

一种设备权限配置方法及装置、终端设备 技术领域

本申请实施例涉及物联网技术领域，具体涉及一种设备权限配置方法及装置、终端设备。

背景技术

物联网设备在接入网络之后，管理员设备会对该物联网设备进行配置，从而实现管理员设备对该物联网设备的管控。对于一个客户端来说，客户端想要对该物联网设备进行访问，必须通过管理员设备(即对该物联网设备进行配置的管理员设备)对客户端进行配置。然而，使用管理员设备对客户端进行配置的方式，对于临时分享物联网设备的访问权限的场景并不能提供很好的用户体验。

发明内容

本申请实施例提供一种设备权限配置方法及装置、终端设备、芯片、计算机可读存储介质、计算机程序产品、计算机程序。

本申请实施例提供的设备权限配置方法，包括：

第一客户端获取第一凭证，并向第二客户端发送所述第一凭证，所述第一凭证为所述第二客户端获取第一证书的身份凭证，所述第一证书用于所述第二客户端在与目标设备建立连接的过程中进行与所述目标设备之间的认证；其中，在认证完成后，所述第二客户端能够生成共享密钥并基于所述共享密钥通过与所述目标设备之间的连接访问所述目标设备。

本申请实施例提供的设备权限配置方法，包括：

第二客户端接收第一客户端发送的第一凭证，所述第一凭证为所述第二客户端获取第一证书的身份凭证；

所述第二客户端向服务器发送所述第一凭证，并接收所述服务器发送的第一证书，所述第一证书是在所述服务器验证所述第一凭证通过后发送的；

所述第二客户端发现目标设备，在与所述目标设备建立连接的过程中，使用所述第一证书进行所述第二客户端与所述目标设备之间的认证；其中，在认证完成后，所述第二客户端能够生成共享密钥并基于所述共享密钥通过与所述目标设备之间的连接访问所述目标设备。

本申请实施例提供的设备权限配置装置，应用于第一客户端，所述装置包括：

通信单元，用于获取第一凭证，并向第二客户端发送所述第一凭证，所述第一凭证为所述第二客户端获取第一证书的身份凭证，所述第一证书用于所述第二客户端在与目标设备建立连接的过程中进行与所述目标设备之间的认证；其中，在认证完成后，所述第二客户端能够生成共享密钥并基于所述共享密钥通过与所述目标设备之间的连接访问所述目标设备。

本申请实施例提供的设备权限配置装置，应用于第二客户端，所述装置包括：

通信单元，用于接收第一客户端发送的第一凭证，所述第一凭证为所述第二客户端获取第一证书的身份凭证；向服务器发送所述第一凭证，并接收所述服务器发送的第一证书，所述第一证书是在所述服务器验证所述第一凭证通过后发送的；

建立单元，用于发现目标设备，与所述目标设备建立连接；

认证单元，用于在与所述目标设备建立连接的过程中，使用所述第一证书进行所述第二客户端与所述目标设备之间的认证；其中，在认证完成后，所述第二客户端能够生成共享密钥并基于所述共享密钥通过与所述目标设备之间的连接访问所述目标设备。

本申请实施例提供的终端设备，包括处理器和存储器。该存储器用于存储计算机程序，该处理器用于调用并运行该存储器中存储的计算机程序，执行上述的设备权限配置方法。

本申请实施例提供的芯片，用于实现上述的设备权限配置方法。

具体地，该芯片包括：处理器，用于从存储器中调用并运行计算机程序，使得安装有该芯片的设备执行上述的设备权限配置方法。

本申请实施例提供的计算机可读存储介质，用于存储计算机程序，该计算机程序使得计算机 执行上述的设备权限配置方法。

本申请实施例提供的计算机程序产品，包括计算机程序指令，该计算机程序指令使得计算机执行上述的设备权限配置方法。

本申请实施例提供的计算机程序，当其在计算机上运行时，使得计算机执行上述的设备权限配置方法。

通过上述技术方案，第一客户端为目标设备的主人(Owner)设备，第一客户端将第一凭证发送给第二客户端，从而第二客户端可以基于第一凭证获取到第一证书，通过该第一证书实现与目标设备之间的认证，在认证通过后，第二客户端能够基于与目标设备之间的连接访问目标设备。如此，实现了第一客户端将目标设备的访问权限分享给了第二客户端，这种访问权限分享方式适用于第一客户端将目标设备临时分享给第二客户端的场景，提高了用户体验。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1是本申请实施例提供的通信系统示意图；

图2是本申请实施例提供的设备权限配置方法的流程示意图一；

图3是本申请实施例提供的设备权限配置方法的流程示意图二；

图4是本申请实施例提供的设备权限配置方法的流程示意图三；

图5是本申请实施例提供的设备权限配置装置的结构组成示意图一；

图6是本申请实施例提供的设备权限配置装置的结构组成示意图二；

图7是本申请实施例提供的一种终端设备示意性结构图；

图8是本申请实施例的芯片的示意性结构图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

为便于理解本申请实施例的技术方案，以下对本申请实施例的相关技术进行说明，以下相关技术作为可选方案与本申请实施例的技术方案可以进行任意结合，其均属于本申请实施例的保护范围。

物联网设备在接入网络之后，管理员设备会对该物联网设备进行配置，从而实现管理员设备对该物联网设备的管控，管理员设备也即是激活工具(Onboarding Tool，OBT)。在管理员设备对物联网设备进行配置的过程中，管理员设备需要配置物联网设备的主人标识(Owner ID)为管理员设备的设备标识(Device_ID)，另外，管理员设备还需要配置物联网设备的访问接入凭证，该访问接入凭证用于该物联网设备与其他设备建立连接时进行相互认证，作为示例，访问接入凭证可以是对称密钥、或非对称密钥、或证书等，通过相互认证后，该物联网设备与其他设备可以建立应用连接，进行互联互通操作。只有具有相同Owner ID的设备之间能够建立应用连接，进行互联互通操作。可见，对于一个客户端来说，客户端想要对该物联网设备进行访问，必须通过同一管理员设备(即对该物联网设备进行配置的管理员设备)对客户端进行配置。然而，使用管理员设备对客户端进行配置的方式，仅适用于长期分享物联网设备的访问权限的场景，对于临时分享物联网设备的访问权限的场景并不能提供很好的用户体验。以物联网设备为车进行举例，车的访问权限的分享是一种临时分享，例如车主(的客户端)可以将车的权限临时分享给家人、或朋友、或代驾(的客户端)，使用管理员设备对客户端进行配置的方式并不能提供很好的用户体验。

为此，提出了本申请实施例的以下技术方案。本申请实施例的技术方案，通过引入客户端之间的接口，实现了第一客户端将目标设备的访问权限分享给第二客户端，这种访问权限分享方式适用于第一客户端将目标设备临时分享给第二客户端的场景，提高了用户体验。

为便于理解本申请实施例的技术方案，以下通过具体实施例详述本申请的技术方案。以上相关技术作为可选方案与本申请实施例的技术方案可以进行任意结合，其均属于本申请实施例的保护范围。本申请实施例包括以下内容中的至少部分内容。

需要说明的是，本申请实施例中的“客户端”安装于终端设备上，作为示例，终端设备可以是 手机、平板电脑、可穿戴式设备等。

需要说明的是，本申请实施例中的“客户端”也可以称为“应用(APP)”。

需要说明的是，本申请实施例中的“服务器”也可以替换为其他名称，例如服务设备、管理设备，云平台等，只要能够实现本申请实施例的方案中描述的服务器的功能即可。

图1是本申请实施例提供的通信系统示意图，如图1所示，通信系统包括第一客户端101、第二客户端102、目标设备103以及服务器104，其中，第一客户端101是目标设备103的主人(Owner)设备(又称为管理员设备)，目标设备的主人通过第一客户端101可以对目标设备103进行管控。第二客户端102是有需求访问目标设备103的客户端。作为示例：目标设备可以是车、家电等物联网设备。第一客户端101为第二客户端102向服务器104申请第一凭证，将第一凭证发送给第二客户端102，从而第二客户端102可以基于第一凭证从服务器104获取到第一证书，通过该第一证书实现与目标设备103之间的认证，在认证通过后，第二客户端102能够基于与目标设备103之间的连接访问目标设备103。如此，实现了第一客户端将目标设备的访问权限分享给了第二客户端。

图2是本申请实施例提供的设备权限配置方法的流程示意图一，如图2所示，设备权限配置方法包括以下步骤：

步骤201：第一客户端获取第一凭证，并向第二客户端发送第一凭证；第二客户端接收第一客户端发送的第一凭证。

本申请实施例中，第一客户端是目标设备的主人(Owner)设备(又称为管理员设备)，目标设备的主人通过第一客户端可以对目标设备进行管控。第二客户端是有需求访问目标设备的客户端。作为示例：目标设备可以是车、家电等物联网设备。

在一些可选实施方式中，在步骤201之前，第一客户端对目标设备进行配置。这里，第一客户端配置目标设备的主人标识(Owner ID)为第一客户端的设备标识(Device_ID)。可选地，第一客户端还可以配置目标设备的其他信息，例如密码信息。第一客户端对目标设备进行配置后，第一客户端便成为了目标设备的主人设备，第一客户端可以对目标设备进行管控。

本申请实施例中，第一客户端想要将目标设备的访问权限分享给第二客户端，为此，第一客户端为第二客户端获取第一凭证，并向第二客户端发送第一凭证。这里，第一凭证为第二客户端获取第一证书的身份凭证。作为示例：第一凭证可以是令牌(token)。

在一些可选实施方式中，第一客户端可以通过以下方式获取第一凭证：第一客户端向服务器发送第一消息，第一消息用于请求服务器为第二客户端生成第一凭证；第一客户端接收服务器发送的第二消息，第二消息携带第一凭证。

在一些可选实施方式中，第一消息携带第一信息，第一信息包括以下至少之一：第一客户端的标识、第二客户端的标识、目标设备的标识；

第一客户端的标识用于服务器确定第一凭证的申请方为第一客户端；

第二客户端的标识用于服务器确定第一凭证的使用方为第二客户端；

目标设备的标识用于服务器确定第一凭证的使用方待连接的对象为目标设备。

这里，第一客户端的标识是指第一客户端的设备标识(Device_ID)或者应用标识(APP_ID)。第一客户端的设备标识(Device_ID)是指第一客户端所在的设备的标识。

这里，第二客户端的标识是指第二客户端的设备标识(Device_ID)或者应用标识(APP_ID)。第二客户端的设备标识(Device_ID)是指第二客户端所在的设备的标识。作为一种实现方式，第一客户端通过带外方式获取第二客户端的标识。例如：第一客户端通过扫描第二客户端的二维码来获取第二客户端的标识。又例如：第一客户端可以通过一个地址链接(如统一资源定位系统(Uniform Resource Locator，URL))来获取第二客户端的标识。

这里，目标设备的标识是指目标设备的设备标识。作为一种实现方式，第一客户端可以在配置目标设备的时候，获取目标设备的设备标识(Device_ID)。

在一些可选实施方式中，第一消息还携带第一签名，第一签名使用第一客户端的私钥对第一信息签名得到。

本申请实施例中，第一客户端获取第一凭证后，向第二客户端发送第一凭证。这里，第一凭证携带在第三消息中。即：第一客户端向第二客户端发送第三消息；第二客户端接收第一客户端发送的第三消息；第三消息携带第一凭证。

在一些可选实施方式中，第三消息还携带以下至少之一：目标设备的标识、第一密码信息；目标设备的标识用于第二客户端确定待连接的对象为目标设备；第一密码信息用于第二客户端与目标设备建立连接。

这里，可选地，第一密码信息包括以下至少之一：密码索引、密码。作为示例：密码索引可以是配对码索引(pincodeindex)，密码索引用于指示密码，换句话说，通过密码索引可以确定密码。作为示例：密码为配对码(pincode)。

在一些可选实施方式中，第三消息中携带的信息使用第二客户端的公钥进行加密；或者，第三消息中携带的信息未加密。作为一种实现方式，第一客户端通过带外方式获取第二客户端的公钥。例如：第一客户端通过扫描第二客户端的二维码来获取第二客户端的公钥。又例如：第一客户端可以通过一个地址链接(如URL)来获取第二客户端的公钥。作为另一种实现方式，第一客户端通过与第二客户端之间的接口来获取第二客户端的公钥。

作为一种实现方式，第三消息中携带的信息使用第二客户端的公钥进行加密的情况下，第二客户端使用第二客户端的私钥对第三消息中携带的信息进行解密，并在解密成功后获得第三消息中携带的信息。

本申请实施例中，第一客户端向第二客户端发送第三消息的方式可以但不局限于以下方式：

1)第一客户端可以通过与第二客户端之间的接口向第二客户端发送第三消息。

2)第一客户端可以通过带外方式向第二客户端发送第三消息。例如：第一客户端通过向第二客户端提供一个二维码或者一个地址链接(如URL)，使得第二客户端通过扫描二维码或者地址链接(如URL)获得第一客户端提供的第三消息。又例如：第一客户端通过服务器的转发向第二客户端提供第三消息。

步骤202：第二客户端向服务器发送第一凭证，并接收服务器发送的第一证书，第一证书是在服务器验证第一凭证通过后发送的。

本申请实施例中，第二客户端获取第一凭证后，向服务器发送第一凭证。服务器验证第一凭证通过后，为第二客户端生成第一证书，向第二客户端发送第一证书；第二客户端接收服务器发送的第一证书。

在一些可选实施方式中，第二客户端向服务器发送第二客户端的公钥，第二客户端的公钥用于服务器生成第一证书。

这里，第一证书用于第二客户端在与目标设备建立连接的过程中进行与目标设备之间的认证；其中，在认证通过后，第二客户端能够基于与目标设备之间的连接访问目标设备。第一证书也可以称为操作证书，即操作目标设备的证书。

在一些可选实施方式中，前述方案中的第一消息携带第一签名的情况下，由服务器生成的第一证书包含第一签名。

在一些可选实施方式中，第一客户端在确定第二客户端已成功获取第一证书的情况下，针对目标设备进行一些配置以及触发目标设备进入配对状态。

这里，第一客户端针对目标设备进行一些配置，可以包括：

第一客户端向目标设备发送第一配置信息，第一配置信息用于配置目标设备的以下至少之一：绑定信息、访问信息。绑定信息用于设定第二密码信息与第二客户端的标识之间的绑定关系；访问信息用于设定第二客户端能够访问目标设备的资源，即被授权后的第二客户端对目标设备的访问控制权限信息。

在一些可选实施方式中，绑定信息可以通过簇(cluster)来实现，作为示例，可以通过如下cluster来实现：“密码绑定簇(pin_binding cluster)”。绑定信息所设定的绑定关系用于目标设备确定与第二客户端建立连接时使用的第二密码信息。这里，第二密码信息用于目标设备与第二客户端建立连接。可选地，第二密码信息包括以下至少之一：密码索引、密码。作为示例：密码索引可以是配对码索引(pincodeindex)，密码索引用于指示密码，换句话说，通过密码索引可以确定密码。作为示例：密码为配对码(pincode)。

需要说明的是，第一客户端为第二客户端配置的第一密码信息，与第一客户端为目标设备配置的与第二客户端的标识具有绑定关系的第二密码信息是一致的，如此，当第二客户端与目标设备建立连接时，双方使用一致的密码信息进行匹配，并在匹配成功后建立连接。

在一些可选实施方式中，访问信息可以通过cluster来实现，作为示例，可以通过如下cluster来实现：“访问控制列表簇(ACL Cluster)”。访问信息所设定的资源是第二客户端在与目标设备建立连接后能够访问的资源。作为示例：第二客户端能够访问的资源通过访问控制列表(Access Control List，ACL)来指示，即通过ACL指示出目标设备的哪些资源能够被第二客户端访问和/或哪些资源不能够被第二客户端访问。

需要说明的是，第一客户端针对目标设备的上述配置也可以不在第二客户端获取第一证书之后 执行，而是在任意时间，如第一客户端作为管理员设备发起对目标设备进行配置时执行。换句话说，第一客户端作为主人(Owner)设备对目标设备进行配置的时候，如果为目标设备配置了绑定信息和/或访问信息，则在第二客户端获取第一证书之后，第一客户端不需要再为目标设备配置绑定信息和/或访问信息。

上述方案中，第一客户端向目标设备发送第一配置信息之前，第一客户端首先要建立与目标设备之间的连接，第一客户端基于与目标设备之间的连接向目标设备发送第一配置信息。这里，可选地，连接是指应用连接，应用连接是位于物理连接(也即底层连接)之上的连接，应用连接是在物理连接建立之后基于物理连接建立的，应用连接用于传输应用层信息，例如上述方案中的第一配置信息。

这里，第一客户端触发目标设备进行配对状态，可以包括：

第一客户端向目标设备发送第一指令，第一指令用于指示目标设备进入配对状态；其中，目标设备进入配对状态后，目标设备能够被第二客户端发现并与第二客户端建立连接。

上述方案中，第一客户端确定第二客户端已成功获取第一证书的方式可以但不局限于以下方式：

1)第一客户端接收到第二客户端发送的针对第三消息的应答消息，则确定第二客户端已成功获取第一证书。

2)第一客户端接收到服务器推送的第一证书的相关信息，则确定第二客户端已成功获取第一证书。这里，第一证书的相关信息可以是指示第一证书已下发给第二客户端的指示信息等。

3)第一客户端在发送第三消息后，启动一个计时器，当计时器超时，则确定第二客户端已成功获取第一证书。

4)第一客户端通过带外方式确定第二客户端已成功获取第一证书。例如：第一客户端可以通过扫描第二客户端的二维码或者通过一个地址链接(如URL)获得第一证书的相关信息，则确定第二客户端已成功获取第一证书。这里，第一证书的相关信息可以是指示第一证书已下发给第二客户端的指示信息等。

步骤203：第二客户端发现目标设备，在与目标设备建立连接的过程中，使用第一证书进行第二客户端与目标设备之间的认证；其中，在认证完成后，第二客户端能够生成共享密钥并基于共享密钥通过与目标设备之间的连接访问目标设备。

在一些可选实施方式中，目标设备与客户端之间的通信方式是蓝牙或其它短距离通信方式。不局限于此，目标设备与客户端之间的通信方式还可以是其他通信方式。

本申请实施例中，目标设备处于配置状态后发送广播包，第二客户端可以发现广播包从而发现目标设备。第二客户端发现目标设备后，建立与目标设备之间的物理连接(也即底层连接)；第二客户端基于物理连接(也即底层连接)，建立与目标设备之间的应用连接，在与目标设备建立应用连接的过程中，向目标设备发送第一证书，第一证书用于目标设备对第二客户端进行认证。在认证完成后，第二客户端能够基于与目标设备之间的应用连接访问目标设备。具体地，在认证完成后，第二客户端基于自身的私钥和目标设备的公钥生成共享密钥，并基于共享密钥通过与目标设备之间的连接访问目标设备。

这里，第二客户端在与目标设备建立应用连接的过程中，向目标设备发送第一证书，由于第一证书是基于第二客户端的公钥生成的，因此目标设备在获得第一证书后，可以从第一证书中获得第二客户端的公钥，如此完成对第二客户端的认证。同样，目标设备也会向第二客户端发送自身的证书(以下称为第二证书)，由于第二证书是基于目标设备的公钥生成的，因此第二客户端在获得第二证书后，可以从第二证书中获得目标设备的公钥，如此完成对目标设备的认证。需要指出的是，目标设备的第二证书可以是第一客户端为目标设备配置的。在目标设备对第二客户端认证完成后，第二客户端能够基于与目标设备之间的应用连接访问目标设备，同样，在第二客户端对目标设备认证完成后，目标设备能够基于与第二客户端之间的连接响应目标设备的访问。具体地，对于第二客户端来说，第二客户端利用自己的私钥和目标设备的公钥生成第一共享密钥，利用该第一共享密钥对访问请求进行加密，将加密后的访问请求发送给目标设备；目标设备利用自己的私钥和第二客户端的公钥生成第二共享密钥，利用该第二共享密钥对加密后的访问请求进行解密，并处理解密得到的访问请求。同样，对于目标设备来说，目标设备利用自己的私钥和第二客户端的公钥生成第二共享密钥，利用该第二共享密钥对访问响应进行加密，将加密后的访问响应发送给第二客户端；第二客户端利用自己的私钥和目标设备的公钥生成第一共享密钥，利用该第一共享密钥对访问响应进行解密，并处理解密得到的访问响应。作为示例，访问请求可以携带针对目标设备的控制指令。

在一些可选实施方式中，第一证书包含第一签名，第一签名使用第一客户端的私钥对第一信 息签名得到，第一信息包括以下至少之一：第一客户端的标识、第二客户端的标识、目标设备的标识；第一签名用于目标设备确认第二客户端访问目标设备是否经过第一客户端授权。

作为一种实现方式，目标设备接收第二客户端发送的第一证书后，使用第一客户端的公钥对第一证书中的第一签名进行验签，如果验签正确，则目标设备确认第二客户端对自身的访问是经过第一客户端授权的，如果验签错误，则目标设备确认第二客户端对自身的访问是未经过第一客户端授权的。

作为另一种实现方，目标设备接收第二客户端发送的第一证书后，使用第一客户端的公钥对第一证书中的第一签名进行验签，如果验签正确，则目标设备从第一签名中可以获得第一信息，目标设备可以根据第一信息中的第一客户端的标识、第二客户端的标识、目标设备的标识，确定第一客户端授权第二客户端对目标设备进行访问，也即目标设备可以确认第二客户端对自身的访问是经过第一客户端授权的。例如：第一信息中包括APP ID1、APP ID2、Device ID，目标设备根据第一信息可以确定APP ID1所标识的第一客户端授权APP ID2所标识的第二客户端对Device ID所标识的目标设备进行访问。

上述方案中，可选地，目标设备可以在与第一客户端进行相互认证的过程中获取第一客户端的公钥。例如：在目标设备与第一客户端相互认证的过程中，第一客户端向目标设备发送基于自身的公钥生成的证书，目标设备从该证书中获得第一客户端的公钥；同样，目标设备向第一客户端发送基于自身的公钥生成的证书，第一客户端从该证书中获得目标设备的公钥。

本申请实施例的技术方案，第一客户端为目标设备的主人(Owner)，第一客户端将第一凭证发送给第二客户端，从而第二客户端可以基于第一凭证获取到第一证书，通过该第一证书实现与目标设备之间的认证，在认证通过后，第二客户端能够基于与目标设备之间的连接访问目标设备。如此，实现了第一客户端将目标设备的访问权限分享给了第二客户端，这种访问权限分享方式适用于第一客户端将目标设备临时分享给第二客户端的场景，提高了用户体验。

图3是本申请实施例提供的设备权限配置方法的流程示意图二，图3中的“APP_A”对应于上述方案中的“第一客户端”，“APP_B”对应于上述方案中的“第二客户端”，“操作证书”对应于上述方案中的“第一证书”，“令牌(token)”对应于上述方案中的“第一凭证”，如图3所示，设备权限配置方法包括以下步骤：

步骤301：APP_A向服务器发送第一消息，第一消息携带以下至少之一：APP_A_ID、APP_B_ID、目标设备的ID。

这里，APP_A为目标设备的主人(Owner)设备，APP_A通过第一消息为APP_B申请一个访问服务器并获取操作证书的令牌。该令牌为APP_B访问服务器获取操作证书的身份凭证。

这里，第一消息携带以下至少之一：APP_A_ID、APP_B_ID、目标设备的ID。其中，APP_A_ID为APP_A的ID，APP_B_ID为APP_B的ID。

这里，APP_A通过带外方式获取APP_B_ID。例如：APP_A通过扫描APP_B的二维码来获取APP_B_ID。又例如：APP_A可以通过一个地址链接(如URL)来获取APP_B_ID。

这里，APP_A在配置目标设备的时候，获取目标设备的ID。

步骤302：服务器向APP_A发送第二消息，第二消息携带令牌。

这里，服务器接收到APP_A发送的第一消息后，为APP_B生成一个令牌，并将该令牌通过第二消息发送给APP_A。服务器可以记录APP_B_ID和令牌之间的对应关系。

步骤303：APP_A向APP_B发送第三消息，第三消息携带令牌。

在一些可选实施方式中，第三消息还携带以下至少之一：目标设备的ID、密码信息(如pincodeindex、pincode)。

这里，APP_A向APP_B发送第三消息的方式可以但不局限于以下方式：

1)APP_A可以通过与APP_B之间的接口向APP_B发送第三消息。

2)APP_A可以通过带外方式向APP_B发送第三消息。例如：APP_A通过向APP_B提供一个二维码或者一个地址链接(如URL)，使得APP_B通过扫描二维码或者地址链接(如URL)获得APP_A提供的第三消息。又例如：APP_A通过服务器的转发向APP_B提供第三消息。

步骤304：APP_B向服务器发送APP_B的公钥和令牌。

这里，服务器根据令牌对APP_B的身份进行认证，在认证通过后，根据APP_B的公钥生成一个操作证书。具体地，服务器在为APP_B生成令牌后，记录APP_B_ID和令牌之间的对应关系，根据该对应关系确定APP_B提供的令牌是否与APP_B_ID是对应的，如果对应，则确定APP_B的身份认证通过，如果不对应，则确定APP_B的身份认证不通过。在确定APP_B的身份认证通过后， 根据APP_B的公钥生成一个操作证书。

步骤305：服务器向APP_B发送操作证书。

步骤306：APP_A确定APP_B已成功获取操作证书。

这里，步骤306为可选步骤，可以执行步骤306或者也可以不执行步骤306。在执行步骤306的情况下，APP_A可以但不局限于通过以下方式确定APP_B已成功获取操作证书：

1)APP_A接收到APP_B发送的针对第三消息的应答消息，则确定APP_B已成功获取操作证书。

2)APP_A接收到服务器推送的操作证书的相关信息，则确定APP_B已成功获取操作证书。这里，操作证书的相关信息可以是指示操作证书已下发给APP_B的指示信息等。

3)APP_A在发送第三消息后，启动一个计时器，当计时器超时，则确定APP_B已成功获取操作证书。

4)APP_A通过带外方式确定APP_B已成功获取操作证书。例如：APP_A可以通过扫描APP_B的二维码或者通过一个地址链接(如URL)获得操作证书的相关信息，则确定APP_B已成功获取操作证书。这里，操作证书的相关信息可以是指示操作证书已下发给APP_B的指示信息等。

步骤307：APP_A与目标设备建立应用连接。

步骤308：APP_A基于与目标设备之间的应用连接配置目标设备的绑定信息和/或访问信息。

这里，绑定信息可以通过簇(cluster)来实现，作为示例，可以通过如下cluster来实现：“pin_binding cluster”。绑定信息用于设定密码信息(如pincodeindex、pincode)和APP_B_ID之间的绑定关系，绑定信息所设定的绑定关系用于目标设备确定与APP_B建立连接时使用的密码信息(如pincodeindex、pincode)。

需要说明的是，APP_A为APP_B配置的密码信息，与APP_A为目标设备配置的与APP_B_ID具有绑定关系的密码信息是一致的，如此，当APP_B与目标设备建立连接时，双方使用一致的密码信息进行匹配，并在匹配成功后建立连接。

这里，访问信息可以通过cluster来实现，作为示例，可以通过如下cluster来实现：“ACL Cluster”。访问信息所设定的资源是APP_B在与目标设备建立连接后能够访问的资源。作为示例：APP_B能够访问的资源通过ACL来指示，即通过ACL指示出目标设备的哪些资源能够被APP_B访问和/或哪些资源不能够被APP_B访问。

需要说明的是，步骤307和步骤308为可选步骤，可以执行步骤307和步骤308或者也可以不执行步骤307和步骤308。APP_A作为主人(Owner)设备对目标设备进行配置的时候，如果为目标设备配置了绑定信息和/或访问信息，则可以不执行步骤307和步骤308。

步骤309：APP_A向目标设备发送指令，指令用于指示目标设备进入配对状态。

这里，目标设备进入配对状态后，目标设备能够被APP_B发现并与APP_B建立连接。

步骤310：APP_B发现目标设备并与目标设备建立物理连接(也即底层连接)。

步骤311：APP_B基于与目标设备的物理连接建立与目标设备的应用连接，在建立应用连接的过程中，APP_B使用操作证书完成与目标设备之间的认证。在认证完成后，执行以下步骤312，否则，APP_B无法访问目标设备。

步骤312：APP_B基于应用连接访问目标设备。

对于上述步骤311和步骤312，APP_B在与目标设备建立应用连接的过程中，向目标设备发送操作证书(即第一证书)，由于第一证书是基于APP_B的公钥生成的，因此目标设备在获得第一证书后，可以从第一证书中获得APP_B的公钥，如此完成对APP_B的认证。同样，目标设备也会向APP_B发送自身的操作证书(以下称为第二证书)，由于第二证书是基于目标设备的公钥生成的，因此APP_B在获得第二证书后，可以从第二证书中获得目标设备的公钥，如此完成对目标设备的认证。需要指出的是，目标设备的第二证书可以是APP_A为目标设备配置的。在目标设备对APP_B认证完成后，APP_B能够基于与目标设备之间的应用连接访问目标设备，同样，在APP_B对目标设备认证完成后，目标设备能够基于与APP_B之间的连接响应目标设备的访问。具体地，对于APP_B来说，APP_B利用自己的私钥和目标设备的公钥生成第一共享密钥，利用该第一共享密钥对访问请求进行加密，将加密后的访问请求发送给目标设备；目标设备利用自己的私钥和APP_B的公钥生成第二共享密钥，利用该第二共享密钥对加密后的访问请求进行解密，并处理解密得到的访问请求。同样，对于目标设备来说，目标设备利用自己的私钥和APP_B的公钥生成第二共享密钥，利用该第二共享密钥对访问响应进行加密，将加密后的访问响应发送给APP_B；APP_B利用自己的私钥和目标设备的公钥生成第一共享密钥，利用该第一共享密钥对访问响应进行解密，并处理解密得到的访 问响应。作为示例，访问请求可以携带针对目标设备的控制指令。

图4是本申请实施例提供的设备权限配置方法的流程示意图三，图4中的“APP_A”对应于上述方案中的“第一客户端”，“APP_B”对应于上述方案中的“第二客户端”，“操作证书”对应于上述方案中的“第一证书”，“令牌(token)”对应于上述方案中的“第一凭证”，如图4所示，设备权限配置方法包括以下步骤：

步骤401：APP_A向服务器发送第一消息，第一消息携带以下至少之一：APP_A_ID、APP_B_ID、目标设备的ID、第一签名。

这里，APP_A为目标设备的主人(Owner)设备，APP_A通过第一消息为APP_B申请一个访问服务器并获取操作证书的令牌。该令牌为APP_B访问服务器获取操作证书的身份凭证。

这里，第一消息携带以下至少之一：APP_A_ID、APP_B_ID、目标设备的ID、第一签名。其中，APP_A_ID为APP_A的ID，APP_B_ID为APP_B的ID。第一签名是利用APP_A的私钥对以下至少一种信息进行签名得到：APP_A_ID、APP_B_ID、目标设备的ID。

这里，APP_A通过带外方式获取APP_B_ID。例如：APP_A通过扫描APP_B的二维码来获取APP_B_ID。又例如：APP_A可以通过一个地址链接(如URL)来获取APP_B_ID。

这里，APP_A在配置目标设备的时候，获取目标设备的ID。

这里，APP_A_ID、APP_B_ID、目标设备的ID这些信息可以通过一个令牌应用结构体(token_applicaiton Struct)来实现，作为示例，token_applicaiton Struct的内容如下：

{

target:目标设备的ID//操作证书用于访问该设备

Applicant:APP_A_ID//令牌的申请者

User:APP_B_ID//操作证书的使用者

}

进一步，APP_A使用APP_A.privatekey(即APP_A的私钥)对APP_A_ID、APP_B_ID、目标设备的ID这些信息进行签名，生成token_application_Sign(即第一签名)。可选地，在生成该token_application_Sign的过程中，还可以加入时间戳等其他信息。

步骤402：服务器向APP_A发送第二消息，第二消息携带令牌。

这里，服务器接收到APP_A发送的第一消息后，为APP_B生成一个令牌，并将该令牌通过第二消息发送给APP_A。服务器可以记录APP_B_ID和令牌之间的对应关系。

步骤403：APP_A与目标设备建立应用连接。

步骤404：APP_A基于与目标设备之间的应用连接配置目标设备的绑定信息和/或访问信息，以及指示目标设备进入配对状态。

这里，绑定信息可以通过簇(cluster)来实现，作为示例，可以通过如下cluster来实现“pin_binding cluster”。所述绑定信息用于设定密码信息(如pincodeindex、pincode)和APP_B_ID之间的绑定关系，绑定信息所设定的绑定关系用于目标设备确定与APP_B建立连接时使用的密码信息(如pincodeindex、pincode)。

需要说明的是，APP_A为APP_B配置的密码信息，与APP_A为目标设备配置的与APP_B_ID具有绑定关系的密码信息是一致的，如此，当APP_B与目标设备建立连接时，双方使用一致的密码信息进行匹配，并在匹配成功后建立连接。

这里，访问信息可以通过cluster来实现，作为示例，可以通过如下cluster来实现：“ACL Cluster”。访问信息所设定的资源是APP_B在与目标设备建立连接后能够访问的资源。作为示例：APP_B能够访问的资源通过ACL来指示，即通过ACL指示出目标设备的哪些资源能够被APP_B访问和/或哪些资源不能够被APP_B访问。

这里，APP_A向目标设备发送指令，指令用于指示目标设备进入配对状态。目标设备进入配对状态后，目标设备能够被APP_B发现并与APP_B建立连接。

需要说明的是，步骤403和步骤404为可选步骤，可以执行步骤403和步骤404或者也可以不执行步骤403和步骤404。APP_A作为主人(Owner)设备对目标设备进行配置的时候，如果为目标设备配置了绑定信息和/或访问信息，则可以不执行步骤403和步骤404。

步骤405：目标设备向APP_A发送200OK消息。

这里，200OK消息代表成功应答消息。

步骤406：APP_A向APP_B发送第三消息，第三消息携带令牌。

在一些可选实施方式中，第三消息还携带以下至少之一：目标设备的ID、密码信息(如 pincodeindex、pincode)。

在一些可选实施方式中，第三消息中携带的信息使用APP_B的公钥进行加密；或者，第三消息中携带的信息未加密。

作为一种实现方式，第三消息中携带的信息使用APP_B的公钥进行加密的情况下，APP_B使用APP_B的私钥对第三消息中携带的信息进行解密，并在解密成功后获得第三消息中携带的信息。

这里，APP_A向APP_B发送第三消息的方式可以但不局限于以下方式：

1)APP_A可以通过与APP_B之间的接口向APP_B发送第三消息。

2)APP_A可以通过带外方式向APP_B发送第三消息。例如：APP_A通过向APP_B提供一个二维码或者一个地址链接(如URL)，使得APP_B通过扫描二维码或者地址链接(如URL)获得APP_A提供的第三消息。又例如：APP_A通过服务器的转发向APP_B提供第三消息。

步骤407：APP_B向服务器发送APP_B的公钥和令牌。

这里，服务器根据令牌对APP_B的身份进行认证，在认证通过后，根据APP_B的公钥生成一个操作证书具体地，服务器在为APP_B生成令牌后，记录APP_B_ID和令牌之间的对应关系，根据该对应关系确定APP_B提供的令牌是否与APP_B_ID是对应的，如果对应，则确定APP_B的身份认证通过，如果不对应，则确定APP_B的身份认证不通过。在确定APP_B的身份认证通过后，根据APP_B的公钥生成一个操作证书。这里，前述方案中的第一消息携带第一签名的情况下，由服务器生成的操作证书包含第一签名。

步骤408：服务器向APP_B发送操作证书。

步骤409：APP_B发现目标设备并与目标设备建立物理连接。

这里，APP_B通过获取到的目标设备的ID可以识别出目标设备广播的配对消息，并与目标设备建立物理连接。

步骤410：APP_B基于与目标设备的物理连接建立与目标设备的应用连接，在建立应用连接的过程中，APP_B使用操作证书完成与目标设备之间的认证。

这里，在认证过程中，需要确定操作证书中携带的第一签名是否正确，也就是说，需要确认APP_B访问目标设备是否是经过APP_A授权的。若第一签名正确，则代表APP_B访问目标设备是经过APP_A授权的；若第一签名错误，则代表APP_B访问目标设备是未经过APP_A授权的。在认证完成，且第一签名正确的情况下，执行以下步骤411，否则，APP_B无法访问目标设备。

作为一种实现方式，目标设备接收APP_B发送的操作证书后，使用APP_A的公钥对操作证书中的第一签名进行验签，如果验签正确(即第一签名正确)，则目标设备确认APP_B对自身的访问是经过APP_A授权的，如果验签错误(即第一签名错误)，则目标设备确认APP_B对自身的访问是未经过APP_A授权的。

作为另一种实现方，目标设备接收APP_B发送的操作证书后，使用APP_A的公钥对操作证书中的第一签名进行验签，如果验签正确，则目标设备从第一签名中可以获得APP_A_ID、APP_B_ID、目标设备的ID这些信息，目标设备可以根据APP_A_ID、APP_B_ID、目标设备的ID，确定APP_A授权APP_B对目标设备进行访问，也即目标设备可以确认APP_B对自身的访问是经过APP_A授权的。

上述方案中，可选地，目标设备可以在与APP_A进行相互认证的过程中获取APP_A的公钥。例如：在目标设备与APP_A相互认证的过程中，APP_A向目标设备发送基于自身的公钥生成的证书，目标设备从该证书中获得APP_A的公钥；同样，目标设备向APP_A发送基于自身的公钥生成的证书，APP_A从该证书中获得目标设备的公钥。

步骤411：APP_B基于应用连接访问目标设备。

对于上述步骤410和步骤411，APP_B在与目标设备建立应用连接的过程中，向目标设备发送操作证书(即第一证书)，由于第一证书是基于APP_B的公钥生成的，因此目标设备在获得第一证书后，可以从第一证书中获得APP_B的公钥，如此完成对APP_B的认证。同样，目标设备也会向APP_B发送自身的操作证书(以下称为第二证书)，由于第二证书是基于目标设备的公钥生成的，因此APP_B在获得第二证书后，可以从第二证书中获得目标设备的公钥，如此完成对目标设备的认证。需要指出的是，目标设备的第二证书可以是APP_A为目标设备配置的。在目标设备对APP_B认证完成后，APP_B能够基于与目标设备之间的应用连接访问目标设备，同样，在APP_B对目标设备认证完成后，目标设备能够基于与APP_B之间的连接响应目标设备的访问。具体地，对于APP_B来说，APP_B利用自己的私钥和目标设备的公钥生成第一共享密钥，利用该第一共享密钥对访问请求进行加密，将加密后的访问请求发送给目标设备；目标设备利用自己的私钥和APP_B的公钥生成 第二共享密钥，利用该第二共享密钥对加密后的访问请求进行解密，并处理解密得到的访问请求。同样，对于目标设备来说，目标设备利用自己的私钥和APP_B的公钥生成第二共享密钥，利用该第二共享密钥对访问响应进行加密，将加密后的访问响应发送给APP_B；APP_B利用自己的私钥和目标设备的公钥生成第一共享密钥，利用该第一共享密钥对访问响应进行解密，并处理解密得到的访问响应。作为示例，访问请求可以携带针对目标设备的控制指令。

以上结合附图详细描述了本申请的优选实施方式，但是，本申请并不限于上述实施方式中的具体细节，在本申请的技术构思范围内，可以对本申请的技术方案进行多种简单变型，这些简单变型均属于本申请的保护范围。例如，在上述具体实施方式中所描述的各个具体技术特征，在不矛盾的情况下，可以通过任何合适的方式进行组合，为了避免不必要的重复，本申请对各种可能的组合方式不再另行说明。又例如，本申请的各种不同的实施方式之间也可以进行任意组合，只要其不违背本申请的思想，其同样应当视为本申请所公开的内容。又例如，在不冲突的前提下，本申请描述的各个实施例和/或各个实施例中的技术特征可以和现有技术任意的相互组合，组合之后得到的技术方案也应落入本申请的保护范围。

还应理解，在本申请的各种方法实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。此外，在本申请实施例中，术语“下行”、“上行”和“侧行”用于表示信号或数据的传输方向，其中，“下行”用于表示信号或数据的传输方向为从站点发送至小区的用户设备的第一方向，“上行”用于表示信号或数据的传输方向为从小区的用户设备发送至站点的第二方向，“侧行”用于表示信号或数据的传输方向为从用户设备1发送至用户设备2的第三方向。例如，“下行信号”表示该信号的传输方向为第一方向。另外，本申请实施例中，术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系。具体地，A和/或B可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

图5是本申请实施例提供的设备权限配置装置的结构组成示意图一，应用于第一客户端，如图5所示，设备权限配置装置包括：

通信单元501，用于获取第一凭证，并向第二客户端发送第一凭证，第一凭证为第二客户端获取第一证书的身份凭证，第一证书用于第二客户端在与目标设备建立连接的过程中进行与目标设备之间的认证；其中，在认证完成后，第二客户端能够生成共享密钥并基于共享密钥通过与目标设备之间的连接访问目标设备。

在一些实施方式中，通信单元501，用于向服务器发送第一消息，第一消息用于请求服务器为第二客户端生成第一凭证；接收服务器发送的第二消息，第二消息携带第一凭证。

在一些实施方式中，第一消息携带第一信息，第一信息包括以下至少之一：第一客户端的标识、第二客户端的标识、目标设备的标识；

第一客户端的标识用于服务器确定第一凭证的申请方为所述第一客户端；

第二客户端的标识用于服务器确定第一凭证的使用方为所述第二客户端；

目标设备的标识用于服务器确定第一凭证的使用方待连接的对象为目标设备。

在一些实施方式中，第一消息还携带第一签名，第一签名使用第一客户端的私钥对第一信息签名得到。

在一些实施方式中，第一消息携带第一签名的情况下，由服务器生成的第一证书包含第一签名。

在一些实施方式中，通信单元501，用于向第二客户端发送第三消息，第三消息携带第一凭证。

在一些实施方式中，第三消息还携带以下至少之一：目标设备的标识、第一密码信息；

目标设备的标识用于第二客户端确定待连接的对象为目标设备；

第一密码信息用于第二客户端与目标设备建立连接。

在一些实施方式中，第三消息中携带的信息使用第二客户端的公钥进行加密；或者，第三消息中携带的信息未加密。

在一些实施方式中，装置还包括：配置单元502，用于生成第一配置信息；

通信单元501，还用于向目标设备发送第一配置信息，第一配置信息用于配置目标设备的以下至少之一：

绑定信息，绑定信息用于设定第二密码信息与第二客户端的标识之间的绑定关系；

访问信息，访问信息用于设定第二客户端能够访问目标设备的资源。

在一些实施方式中，绑定关系用于目标设备确定与第二客户端建立连接时使用的第二密码信息。

在一些实施方式中，装置还包括：建立单元503，用于建立与目标设备之间的连接；

通信单元501，用于基于与目标设备之间的连接向目标设备发送第一配置信息。

在一些实施方式中，密码信息包括以下至少之一：密码索引、密码。

在一些实施方式中，通信单元501，用于向目标设备发送第一指令，第一指令用于指示目标设备进入配对状态；其中，目标设备进入配对状态后，目标设备能够被第二客户端发现并与第二客户端建立连接。

本领域技术人员应当理解，本申请实施例的上述设备权限配置装置的相关描述可以参照本申请实施例的设备权限配置方法的相关描述进行理解。

图6是本申请实施例提供的设备权限配置装置的结构组成示意图二，应用于第二客户端，如图6所示，设备权限配置装置包括：

通信单元601，用于接收第一客户端发送的第一凭证，第一凭证为第二客户端获取第一证书的身份凭证；向服务器发送第一凭证，并接收服务器发送的第一证书，第一证书是在服务器验证第一凭证通过后发送的；

建立单元602，用于发现目标设备，与目标设备建立连接；

认证单元603，用于在与目标设备建立连接的过程中，使用第一证书进行第二客户端与目标设备之间的认证；其中，在认证完成后，第二客户端能够生成共享密钥并基于共享密钥通过与目标设备之间的连接访问所述目标设备。

在一些实施方式中，第一证书包含第一签名，第一签名使用第一客户端的私钥对第一信息签名得到，第一信息包括以下至少之一：第一客户端的标识、第二客户端的标识、目标设备的标识；

第一签名用于目标设备确认第二客户端访问目标设备是否经过第一客户端授权。

在一些实施方式中，若第一签名被目标设备使用第一客户端的公钥验签正确，则第二客户端访问目标设备经过第一客户端授权；若第一签名被目标设备使用第一客户端的公钥验签错误，则第二客户端访问目标设备未经过第一客户端授权。

在一些实施方式中，通信单元601，用于向服务器发送第二客户端的公钥，第二客户端的公钥用于服务器生成第一证书。

在一些实施方式中，通信单元601，用于接收第一客户端发送的第三消息，第三消息携带第一凭证。

在一些实施方式中，第三消息还携带以下至少之一：目标设备的标识、第一密码信息；目标设备的标识用于第二客户端确定待连接的对象为目标设备；第一密码信息用于第二客户端与目标设备建立连接。

在一些实施方式中，第三消息中携带的信息使用第二客户端的公钥进行加密；或者，第三消息中携带的信息未加密。

在一些实施方式中，装置还包括：解密单元，用于在第三消息中携带的信息使用第二客户端的公钥进行加密的情况下，使用第二客户端的私钥对第三消息中携带的信息进行解密，并在解密成功后获得第三消息中携带的信息。

在一些实施方式中，建立单元602，用于发现目标设备，建立与目标设备之间的物理连接；基于物理连接，建立与目标设备之间的应用连接；

认证单元603，用于在与目标设备建立应用连接的过程中，向目标设备发送第一证书，第一证书用于目标设备对第二客户端进行认证。

在一些实施方式中，所述装置还包括：生成单元604，用于在认证完成后，基于自身的私钥和目标设备的公钥生成共享密钥；

通信单元601，用于基于共享密钥通过与目标设备之间的连接访问目标设备。

本领域技术人员应当理解，本申请实施例的上述设备权限配置装置的相关描述可以参照本申请实施例的设备权限配置方法的相关描述进行理解。

图7是本申请实施例提供的一种终端设备700示意性结构图。该终端设备可以具有上述方案中的第一客户端或者第二客户端。图7所示的终端设备700包括处理器710，处理器710可以从存储器中调用并运行计算机程序，以实现本申请实施例中的方法。

可选地，如图7所示，终端设备700还可以包括存储器720。其中，处理器710可以从存储器720中调用并运行计算机程序，以实现本申请实施例中的方法。

其中，存储器720可以是独立于处理器710的一个单独的器件，也可以集成在处理器710中。

可选地，如图7所示，终端设备700还可以包括收发器730，处理器710可以控制该收发器730与其他设备进行通信，具体地，可以向其他设备发送信息或数据，或接收其他设备发送的信息或数 据。

其中，收发器730可以包括发射机和接收机。收发器730还可以进一步包括天线，天线的数量可以为一个或多个。

可选地，该终端设备700具体可包括本申请实施例的第一客户端，并且该终端设备700可以实现本申请实施例的各个方法中由第一客户端实现的相应流程，为了简洁，在此不再赘述。

可选地，该终端设备700具体可包括本申请实施例的第二客户端，并且该终端设备700可以实现本申请实施例的各个方法中由第二客户端实现的相应流程，为了简洁，在此不再赘述。

图8是本申请实施例的芯片的示意性结构图。图8所示的芯片800包括处理器810，处理器810可以从存储器中调用并运行计算机程序，以实现本申请实施例中的方法。

可选地，如图8所示，芯片800还可以包括存储器820。其中，处理器810可以从存储器820中调用并运行计算机程序，以实现本申请实施例中的方法。

其中，存储器820可以是独立于处理器810的一个单独的器件，也可以集成在处理器810中。

可选地，该芯片800还可以包括输入接口830。其中，处理器810可以控制该输入接口830与其他设备或芯片进行通信，具体地，可以获取其他设备或芯片发送的信息或数据。

可选地，该芯片800还可以包括输出接口840。其中，处理器810可以控制该输出接口840与其他设备或芯片进行通信，具体地，可以向其他设备或芯片输出信息或数据。

可选地，该芯片可应用于本申请实施例中的第一客户端，并且该芯片可以实现本申请实施例的各个方法中由第一客户端实现的相应流程，为了简洁，在此不再赘述。

可选地，该芯片可应用于本申请实施例中的第二客户端，并且该芯片可以实现本申请实施例的各个方法中由第二客户端实现的相应流程，为了简洁，在此不再赘述。

应理解，本申请实施例提到的芯片还可以称为系统级芯片，系统芯片，芯片系统或片上系统芯片等。

应理解，本申请实施例的处理器可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。

可以理解，本申请实施例中的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(Read-Only Memory，ROM)、可编程只读存储器(Programmable ROM，PROM)、可擦除可编程只读存储器(Erasable PROM，EPROM)、电可擦除可编程只读存储器(Electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(Static RAM，SRAM)、动态随机存取存储器(Dynamic RAM，DRAM)、同步动态随机存取存储器(Synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data Rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM，DR RAM)。应注意，本文描述的系统和方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

应理解，上述存储器为示例性但不是限制性说明，例如，本申请实施例中的存储器还可以是静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(dynamic RAM，DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synch link DRAM，SLDRAM)以及直接内存总线随机存取存储器(Direct Rambus RAM，DR RAM)等等。也就是说，本申请实施例中的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

本申请实施例还提供了一种计算机可读存储介质，用于存储计算机程序。

可选的，该计算机可读存储介质可应用于本申请实施例中的第一客户端，并且该计算机程序使得计算机执行本申请实施例的各个方法中由第一客户端实现的相应流程，为了简洁，在此不再赘述。

可选地，该计算机可读存储介质可应用于本申请实施例中的第二客户端，并且该计算机程序使得计算机执行本申请实施例的各个方法中由第二客户端实现的相应流程，为了简洁，在此不再赘述。

本申请实施例还提供了一种计算机程序产品，包括计算机程序指令。

可选的，该计算机程序产品可应用于本申请实施例中的第一客户端，并且该计算机程序指令使得计算机执行本申请实施例的各个方法中由第一客户端实现的相应流程，为了简洁，在此不再赘述。

可选地，该计算机程序产品可应用于本申请实施例中的第二客户端，并且该计算机程序指令使得计算机执行本申请实施例的各个方法中由第二客户端实现的相应流程，为了简洁，在此不再赘述。

本申请实施例还提供了一种计算机程序。

可选的，该计算机程序可应用于本申请实施例中的第一客户端，当该计算机程序在计算机上运行时，使得计算机执行本申请实施例的各个方法中由第一客户端实现的相应流程，为了简洁，在此不再赘述。

可选地，该计算机程序可应用于本申请实施例中的第二客户端，当该计算机程序在计算机上运行时，使得计算机执行本申请实施例的各个方法中由第二客户端实现的相应流程，为了简洁，在此不再赘述。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，)ROM、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应所述以权利要求的保护范围为准。

Claims (49)

1. 一种设备权限配置方法，所述方法包括：

   第一客户端获取第一凭证，并向第二客户端发送所述第一凭证，所述第一凭证为所述第二客户端获取第一证书的身份凭证，所述第一证书用于所述第二客户端在与目标设备建立连接的过程中进行与所述目标设备之间的认证；其中，在认证完成后，所述第二客户端能够生成共享密钥并基于所述共享密钥通过与所述目标设备之间的连接访问所述目标设备。
2. 根据权利要求1所述的方法，其中，所述第一客户端获取第一凭证，包括：

   所述第一客户端向服务器发送第一消息，所述第一消息用于请求所述服务器为第二客户端生成第一凭证；

   所述第一客户端接收所述服务器发送的第二消息，所述第二消息携带第一凭证。
3. 根据权利要求2所述的方法，其中，所述第一消息携带第一信息，所述第一信息包括以下至少之一：所述第一客户端的标识、所述第二客户端的标识、所述目标设备的标识；

   所述第一客户端的标识用于所述服务器确定所述第一凭证的申请方为所述第一客户端；

   所述第二客户端的标识用于所述服务器确定所述第一凭证的使用方为所述第二客户端；

   所述目标设备的标识用于所述服务器确定所述第一凭证的使用方待连接的对象为所述目标设备。
4. 根据权利要求3所述的方法，其中，所述第一消息还携带第一签名，所述第一签名使用所述第一客户端的私钥对所述第一信息签名得到。
5. 根据权利要求4所述的方法，其中，所述第一消息携带所述第一签名的情况下，由所述服务器生成的所述第一证书包含所述第一签名。
6. 根据权利要求1至5中任一项所述的方法，其中，所述向第二客户端发送所述第一凭证，包括：

   向第二客户端发送第三消息，所述第三消息携带所述第一凭证。
7. 根据权利要求6所述的方法，其中，所述第三消息还携带以下至少之一：所述目标设备的标识、第一密码信息；

   所述目标设备的标识用于所述第二客户端确定待连接的对象为所述目标设备；

   所述第一密码信息用于所述第二客户端与目标设备建立连接。
8. 根据权利要求6或7所述的方法，其中，

   所述第三消息中携带的信息使用所述第二客户端的公钥进行加密；或者，

   所述第三消息中携带的信息未加密。
9. 根据权利要求1至8中任一项所述的方法，其中，所述方法还包括：

   所述第一客户端向所述目标设备发送第一配置信息，所述第一配置信息用于配置所述目标设备的以下至少之一：

   绑定信息，所述绑定信息用于设定第二密码信息与所述第二客户端的标识之间的绑定关系；

   访问信息，所述访问信息用于设定所述第二客户端能够访问所述目标设备的资源。
10. 根据权利要求9所述的方法，其中，所述绑定关系用于所述目标设备确定与所述第二客户端建立连接时使用的第二密码信息。
11. 根据权利要求9或10所述的方法，其中，

    所述第一客户端向所述目标设备发送第一配置信息之前，所述方法还包括：所述第一客户端建立与所述目标设备之间的连接；

    所述第一客户端向所述目标设备发送第一配置信息，包括：所述第一客户端基于与所述目标设备之间的连接向所述目标设备发送第一配置信息。
12. 根据权利要求1至11中任一项所述的方法，其中，所述方法还包括：

    所述第一客户端向所述目标设备发送第一指令，所述第一指令用于指示所述目标设备进入配对状态；其中，所述目标设备进入配对状态后，所述目标设备能够被所述第二客户端发现并与所述第二客户端建立连接。
13. 一种设备权限配置方法，所述方法包括：

    第二客户端接收第一客户端发送的第一凭证，所述第一凭证为所述第二客户端获取第一证书 的身份凭证；

    所述第二客户端向服务器发送所述第一凭证，并接收所述服务器发送的第一证书，所述第一证书是在所述服务器验证所述第一凭证通过后发送的；

    所述第二客户端发现目标设备，在与所述目标设备建立连接的过程中，使用所述第一证书进行所述第二客户端与所述目标设备之间的认证；其中，在认证完成后，所述第二客户端能够生成共享密钥基于所述共享密钥通过与所述目标设备之间的连接访问所述目标设备。
14. 根据权利要求13所述的方法，其中，所述第一证书包含第一签名，所述第一签名使用所述第一客户端的私钥对第一信息签名得到，所述第一信息包括以下至少之一：所述第一客户端的标识、所述第二客户端的标识、所述目标设备的标识；

    所述第一签名用于所述目标设备确认所述第二客户端访问所述目标设备是否经过所述第一客户端授权。
15. 根据权利要求14所述的方法，其中，

    若所述第一签名被所述目标设备使用所述第一客户端的公钥验签正确，则所述第二客户端访问所述目标设备经过所述第一客户端授权；

    若所述第一签名被所述目标设备使用所述第一客户端的公钥验签错误，则所述第二客户端访问所述目标设备未经过所述第一客户端授权。
16. 根据权利要求13至15中任一项所述的方法，其中，所述方法还包括：

    所述第二客户端向服务器发送所述第二客户端的公钥，所述第二客户端的公钥用于所述服务器生成所述第一证书。
17. 根据权利要求13至16中任一项所述的方法，其中，所述第二客户端接收第一客户端发送的第一凭证，包括：

    第二客户端接收第一客户端发送的第三消息，所述第三消息携带所述第一凭证。
18. 根据权利要求17所述的方法，其中，所述第三消息还携带以下至少之一：所述目标设备的标识、第一密码信息；

    所述目标设备的标识用于所述第二客户端确定待连接的对象为所述目标设备；

    所述第一密码信息用于所述第二客户端与目标设备建立连接。
19. 根据权利要求17或18所述的方法，其中，

    所述第三消息中携带的信息使用所述第二客户端的公钥进行加密；或者，

    所述第三消息中携带的信息未加密。
20. 根据权利要求19所述的方法，其中，所述第三消息中携带的信息使用所述第二客户端的公钥进行加密的情况下，所述方法还包括：

    所述第二客户端使用所述第二客户端的私钥对所述第三消息中携带的信息进行解密，并在解密成功后获得所述第三消息中携带的信息。
21. 根据权利要求13至20中任一项所述的方法，其中，所述第二客户端发现目标设备，在与所述目标设备建立连接的过程中，使用所述第一证书进行所述第二客户端与所述目标设备之间的认证，包括：

    所述第二客户端发现目标设备，建立与所述目标设备之间的物理连接；

    所述第二客户端基于所述物理连接，建立与所述目标设备之间的应用连接，在与所述目标设备建立应用连接的过程中，向所述目标设备发送所述第一证书，所述第一证书用于所述目标设备对所述第二客户端进行认证。
22. 根据权利要求13至21中任一项所述的方法，其中，所述方法还包括：

    在认证完成后，所述第二客户端基于自身的私钥和所述目标设备的公钥生成共享密钥，并基于所述共享密钥通过与所述目标设备之间的连接访问所述目标设备。
23. 一种设备权限配置装置，应用于第一客户端，所述装置包括：

    通信单元，用于获取第一凭证，并向第二客户端发送所述第一凭证，所述第一凭证为所述第二客户端获取第一证书的身份凭证，所述第一证书用于所述第二客户端在与目标设备建立连接的过程中进行与所述目标设备之间的认证；其中，在认证完成后，所述第二客户端能够生成共享密钥并基于所述共享密钥通过与所述目标设备之间的连接访问所述目标设备。
24. 根据权利要求23所述的装置，其中，所述通信单元，用于向服务器发送第一消息，所述第一消息用于请求所述服务器为第二客户端生成第一凭证；接收所述服务器发送的第二消息，所述第二消息携带第一凭证。
25. 根据权利要求24所述的装置，其中，所述第一消息携带第一信息，所述第一信息包括以下至少之一：所述第一客户端的标识、所述第二客户端的标识、所述目标设备的标识；

    所述第一客户端的标识用于所述服务器确定所述第一凭证的申请方为所述第一客户端；

    所述第二客户端的标识用于所述服务器确定所述第一凭证的使用方为所述第二客户端；

    所述目标设备的标识用于所述服务器确定所述第一凭证的使用方待连接的对象为所述目标设备。
26. 根据权利要求25所述的装置，其中，所述第一消息还携带第一签名，所述第一签名使用所述第一客户端的私钥对所述第一信息签名得到。
27. 根据权利要求26所述的装置，其中，所述第一消息携带所述第一签名的情况下，由所述服务器生成的所述第一证书包含所述第一签名。
28. 根据权利要求23至27中任一项所述的装置，其中，所述通信单元，用于向第二客户端发送第三消息，所述第三消息携带所述第一凭证。
29. 根据权利要求28所述的装置，其中，所述第三消息还携带以下至少之一：所述目标设备的标识、第一密码信息；

    所述目标设备的标识用于所述第二客户端确定待连接的对象为所述目标设备；

    所述第一密码信息用于所述第二客户端与目标设备建立连接。
30. 根据权利要求28或29所述的装置，其中，

    所述第三消息中携带的信息使用所述第二客户端的公钥进行加密；或者，

    所述第三消息中携带的信息未加密。
31. 根据权利要求23至30中任一项所述的装置，其中，

    所述装置还包括：配置单元，用于生成第一配置信息；

    所述通信单元，还用于向所述目标设备发送第一配置信息，所述第一配置信息用于配置所述目标设备的以下至少之一：

    绑定信息，所述绑定信息用于设定第二密码信息与所述第二客户端的标识之间的绑定关系；

    访问信息，所述访问信息用于设定所述第二客户端能够访问所述目标设备的资源。
32. 根据权利要求31所述的装置，其中，所述绑定关系用于所述目标设备确定与所述第二客户端建立连接时使用的第二密码信息。
33. 根据权利要求31或32所述的装置，其中，

    所述装置还包括：建立单元，用于建立与所述目标设备之间的连接；

    所述通信单元，用于基于与所述目标设备之间的连接向所述目标设备发送第一配置信息。
34. 根据权利要求23至33中任一项所述的装置，其中，所述通信单元，用于向所述目标设备发送第一指令，所述第一指令用于指示所述目标设备进入配对状态；其中，所述目标设备进入配对状态后，所述目标设备能够被所述第二客户端发现并与所述第二客户端建立连接。
35. 一种设备权限配置装置，应用于第二客户端，所述装置包括：

    通信单元，用于接收第一客户端发送的第一凭证，所述第一凭证为所述第二客户端获取第一证书的身份凭证；向服务器发送所述第一凭证，并接收所述服务器发送的第一证书，所述第一证书是在所述服务器验证所述第一凭证通过后发送的；

    建立单元，用于发现目标设备，与所述目标设备建立连接；

    认证单元，用于在与所述目标设备建立连接的过程中，使用所述第一证书进行所述第二客户端与所述目标设备之间的认证；其中，在认证完成后，所述第二客户端能够生成共享密钥并基于所述共享密钥通过与所述目标设备之间的连接访问所述目标设备。
36. 根据权利要求35所述的装置，其中，所述第一证书包含第一签名，所述第一签名使用所述第一客户端的私钥对第一信息签名得到，所述第一信息包括以下至少之一：所述第一客户端的标识、所述第二客户端的标识、所述目标设备的标识；

    所述第一签名用于所述目标设备确认所述第二客户端访问所述目标设备是否经过所述第一客户端授权。
37. 根据权利要求36所述的装置，其中，

    若所述第一签名被所述目标设备使用所述第一客户端的公钥验签正确，则所述第二客户端访问所述目标设备经过所述第一客户端授权；

    若所述第一签名被所述目标设备使用所述第一客户端的公钥验签错误，则所述第二客户端访问所述目标设备未经过所述第一客户端授权。
38. 根据权利要求35至37中任一项所述的装置，其中，所述通信单元，用于向服务器发送所述第二客户端的公钥，所述第二客户端的公钥用于所述服务器生成所述第一证书。
39. 根据权利要求35至38中任一项所述的装置，其中，所述通信单元，用于接收第一客户端发送的第三消息，所述第三消息携带所述第一凭证。
40. 根据权利要求39所述的装置，其中，所述第三消息还携带以下至少之一：所述目标设备的标识、第一密码信息；

    所述目标设备的标识用于所述第二客户端确定待连接的对象为所述目标设备；

    所述第一密码信息用于所述第二客户端与目标设备建立连接。
41. 根据权利要求39或40所述的装置，其中，

    所述第三消息中携带的信息使用所述第二客户端的公钥进行加密；或者，

    所述第三消息中携带的信息未加密。
42. 根据权利要求41所述的装置，其中，所述装置还包括：解密单元，用于在所述第三消息中携带的信息使用所述第二客户端的公钥进行加密的情况下，使用所述第二客户端的私钥对所述第三消息中携带的信息进行解密，并在解密成功后获得所述第三消息中携带的信息。
43. 根据权利要求35至42中任一项所述的装置，其中，

    所述建立单元，用于发现目标设备，建立与所述目标设备之间的物理连接；基于所述物理连接，建立与所述目标设备之间的应用连接；

    所述认证单元，用于在与所述目标设备建立应用连接的过程中，向所述目标设备发送所述第一证书，所述第一证书用于所述目标设备对所述第二客户端进行认证。
44. 根据权利要求35至43中任一项所述的装置，其中，

    所述装置还包括：生成单元，用于在认证完成后，基于自身的私钥和所述目标设备的公钥生成共享密钥；

    所述通信单元，用于基于所述共享密钥通过与所述目标设备之间的连接访问所述目标设备。
45. 一种终端设备，包括：处理器和存储器，该存储器用于存储计算机程序，所述处理器用于调用并运行所述存储器中存储的计算机程序，执行如权利要求1至12中任一项所述的方法，或者权利要求13至22中任一项所述的方法。
46. 一种芯片，包括：处理器，用于从存储器中调用并运行计算机程序，使得安装有所述芯片的设备执行如权利要求1至12中任一项所述的方法，或者权利要求13至22中任一项所述的方法。
47. 一种计算机可读存储介质，用于存储计算机程序，所述计算机程序使得计算机执行如权利要求1至12中任一项所述的方法，或者权利要求13至22中任一项所述的方法。
48. 一种计算机程序产品，包括计算机程序指令，该计算机程序指令使得计算机执行如权利要求1至12中任一项所述的方法，或者权利要求13至22中任一项所述的方法。
49. 一种计算机程序，所述计算机程序使得计算机执行如权利要求1至12中任一项所述的方法，或者权利要求13至22中任一项所述的方法。

Images