CN113678421B

CN113678421B - 安全域的配置、发现和加入方法及装置、电子设备

Info

Publication number: CN113678421B
Application number: CN202080025258.0A
Authority: CN
Inventors: 茹昭; 吕小强; 张军
Original assignee: Guangdong Oppo Mobile Telecommunications Corp Ltd
Current assignee: Guangdong Oppo Mobile Telecommunications Corp Ltd
Priority date: 2020-01-19
Filing date: 2020-01-19
Publication date: 2023-06-09
Anticipated expiration: 2040-01-19
Also published as: CN113678421A; WO2021142849A1

Abstract

本申请实施例涉及安全域的配置和发现方法以及装置、电子设备。本申请的实施例中，通过在物联网设备中增加安全域资源，用以配置和管理设备所归属的安全域，提供了一种对网络中存在的物联网安全域进行配置的解决方案。当安全域信息可发现时，可通过将属性值映射到设备的发现资源，可以简化资源发现过程，使其他设备可便捷地发现和获得网络中的安全域信息。此外，网络中存在多个安全域时，可通过发现的安全域信息区分不同的安全域。

Description

安全域的配置、发现和加入方法及装置、电子设备

技术领域

本申请涉及通信领域，尤其涉及安全域的配置、发现和加入方法、电子设备。

背景技术

物联网(Internet of things，简称“IoT”)即“万物相连的互联网”，是互联网基础上的延伸和扩展的网络，将各种信息传感设备与互联网结合起来而形成的一个巨大网络，实现在任何时间、任何地点，人、机、物的互联互通。但是，物联网的这种“万物互联”的属性，也使物联网硬件、软件及其***中的数据极易由于偶然的或者恶意的原因而遭到破坏、更改和泄露。随着物联网技术的快速发展，物联网安全也显得愈发的重要。

安全域网络是一种具体的物联网的网络，该安全域网络具有独立的安全协议(或安全机制)，在该安全域网络中的物联网设备可以互联、互通、互相发现以及相互传输指令。在该安全域网络之外的设备，由于受到该安全域网络中的安全协议限制，因此无法访问该安全域网络内的其他物联网设备。安全域网络可以是局域网的子网络，局域网可以具有至少一个安全域网络，该至少一个安全域网络通过一个接入点设备设置于该局域网中，该至少一个安全域网络可以分别具有独立的安全协议。

现有方案中，客户端设备在进入局域网网络时，需要经过多次设备交互，无法方便快捷地找到网络中存在的物联网安全域。并且，在同一网络中存在多个安全域的情况下，较难对这些安全域加以区分。

发明内容

本申请实施例提供一种安全域的配置、发现和加入方法、电子设备，给出了一种对网络中存在的物联网安全域进行配置的解决方案，可以简化资源的发现过程，使得客户端设备可便捷地发现和获得网络中的安全域信息。

第一方面，提供了一种安全域的配置方法，包括：获取安全域信息；并根据获取的所述安全域信息进行安全域配置。其中，所述安全域信息至少包括：安全域标识符、安全域名称以及安全域可发现性。

第二方面，提供了一种安全域的发现方法，包括：

获取网络中物联网IoT设备的发现资源；

从所述发现资源中获取安全域标识符；

确定存所述网络中安全域标识符对应的安全域；

其中，所述IoT设备已配置安全域信息，所述安全域信息至少包括：安全域标识符、安全域名称以及安全域可发现性。

第三方面，提供了一种安全域的发现方法，由通过前述第一方面所述的安全域的配置方法配置了安全域信息的物联网设备执行，包括：响应于接收到的用于执行资源发现的请求消息，反馈发现资源；响应于接收到的用于获得安全域标识符对应的安全域名称的请求消息，反馈所述安全域名称；其中，所述安全域信息至少包括：安全域标识符、安全域名称以及安全域可发现性；在所述安全域可发现性的属性值表征可发现时，所述发现资源中包括所述安全域标识符。

第四方面，提供了一种安全域的加入方法，包括：

请求用户选择欲加入的安全域；其中，供所述用户选择的安全域为通过前述第二方面所述的方法发现的安全域；

根据用户选择的所述安全域，启动所述安全域的实例。

第五方面，提供了一种安全域的配置装置，包括：

获取模块，用于获取安全域信息；

配置模块，用于根据获取的所述安全域信息进行安全域配置；

其中，所述安全域信息至少包括：安全域标识符、安全域名称以及安全域可发现性。

第六方面，提供了一种安全域的发现装置，包括：

第一获取模块，用于获取网络中物联网IoT设备的发现资源；

第二获取模块，用于从所述发现资源中获取安全域标识符；

确定模块，用于确定所述网络中所述安全域标识符对应的安全域；

第七方面，提供了一种安全域的发现装置，通过前述第五方面所述的安全域的配置装置配置了安全域信息，包括：

第一反馈模块，用于响应于接收到的用于执行资源发现的请求消息，反馈发现资源；

第二反馈模块，用于响应于接收到的用于获得安全域标识符对应的安全域名称的请求消息，反馈所述安全域名称；

其中，所述安全域信息至少包括：安全域标识符、安全域名称以及安全域可发现性；在所述安全域可发现性的属性值表征可发现时，所述发现资源中包括所述安全域标识符。

第八方面，提供了一种安全域的加入装置，包括：

请求模块，用于请求用户选择欲加入的安全域；其中，供所述用户选择的安全域为通过前述第六方面所述的装置发现的安全域；

启动模块，用于根据用户选择的所述安全域，启动所述安全域的实例。

第九方面，提供了一种电子设备，用于执行上述第一方面或其各实现方式中的方法。具体地，该电子设备包括用于执行上述第一方面或其各实现方式中的方法的功能模块。

第十方面，提供了一种电子设备，包括处理器和存储器。该存储器用于存储计算机程序，该处理器用于调用并运行该存储器中存储的计算机程序，执行上述第一方面至第四方面中的任一方面或其各实现方式中的方法。

第十一方面，提供了一种芯片，用于实现上述第一方面至第三方面中的任一方面或其各实现方式中的方法。具体地，该芯片包括：处理器，用于从存储器中调用并运行计算机程序，使得安装有该芯片的设备执行如上述第一方面至第四方面中的任一方面或其各实现方式中的方法。

第十二方面，提供了一种计算机可读存储介质，用于存储计算机程序，该计算机程序使得计算机执行上述第一方面至第四方面中的任一方面或其各实现方式中的方法。

第十三方面，提供了一种计算机程序产品，包括计算机程序指令，该计算机程序指令使得计算机执行上述第一方面至第四方面中的任一方面或其各实现方式中的方法。

第十四方面，提供了一种计算机程序，当其在计算机上运行时，使得计算机执行上述第一方面至第四方面中的任一方面或其各实现方式中的方法。

通过上述技术方案，可以对网络中存在的物联网安全域进行配置，可以简化资源发现过程，使得客户端设备可便捷地发现和获得网络中的安全域信息。

附图说明

图1是本申请实施例应用的物联网的示意图。

图2是根据本申请实施例提供的物联网设备的协议架构的示意图。

图3是根据本申请一个具体实施例的安全域的配置方法的示意性流程图。

图4是根据本申请的另一个具体实施例的安全域的配置方法的示意性流程图。

图5是根据本申请的又一个具体实施例的安全域的配置方法的示意性流程图。

图6是根据本申请的再一个具体实施例的安全域的配置方法的示意性流程图。

图7是根据本申请的还一个具体实施例的安全域的配置方法的示意性流程图。

图8是根据本申请的一个具体实施例的安全域的发现方法的示意性流程图。

图9是根据本申请的另一个具体实施例的安全域的发现方法的示意性流程图。

图10是根据本申请的一个具体实施例的安全域的加入方法的示意性流程图。

图11是根据本申请的另一个具体实施例的安全域的发现方法的示意性流程图。

图12是根据本申请实施例的各IoT设备之间的一种交互场景示意图。

图13是根据本申请实施例的各IoT设备之间的另一种交互场景示意图。

图14是根据本申请实施例的各IoT设备之间的又一种交互场景示意图。

图15是根据本申请实施例的各IoT设备之间的再一种交互场景示意图。

图16是根据本申请的一个具体实施例的安全域的配置装置的示意性框图。

图17是根据本申请的一个具体实施例的安全域的发现装置的示意性框图。

图18是根据本申请的又一个具体实施例的安全域的发现装置的示意性框图。

图19是根据本申请的一个具体实施例的安全域的加入装置的示意性框图。

图20是本申请实施例提供的一种电子设备的示意性框图。

图21是本申请实施例提供的一种芯片的示意性框图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

参考图1，图1以框图形式示出了示例物联网。该物联网可以是一个点对点的网络。运行物联网协议实例的电子设备可以加入物联网，这种电子设备可以称为物联网设备(以下简称“IoT设备”)。

IoT设备遵循物联网设备核心协议。图2所示为示例的IoT设备核心协议架构，例如，RESTful架构(表述性状态转移(英文：Representational State Transfer，简称REST)描述了一个架构样式的网络***，指的是一组架构约束条件和原则，满足这些约束条件和原则的应用程序或设计就是RESTful)。

在图2所示的协议架构中，服务层定义设备的服务框架，统一规范IoT设备模型。具体地，通过资源来表述物联网实体设备，以及设备提供的功能服务和设备的状态等信息。提供资源的设备是服务端，访问资源的设备是客户端。客户端和服务端是逻辑功能实体。一个设备可以是客户端或服务端，或者一个设备既是客户端又是服务端。例如，实现某项最基本功能的设备(例如灯泡)可以只做服务端，提供给客户端进行查询和控制，本身无控制或者查询其他设备的需求。

客户端和服务端的业务交互是通过对资源进行RESTful操作，例如，创建(Create)、读取(Retrieve)、更新(Update)、删除(Delete)和通知(Notify)(这些操作方法统称为“CRUDN操作”)，来实现。客户端是RESTful操作的发起方，服务端是RESTful操作的响应方。客户端向服务端发送资源操作请求，请求对服务端上的资源进行操作。服务端执行资源操作，并向客户端返回响应，响应中携带资源的内容及描述信息。

在图2所示的协议架构中，对资源的描述为资源模型层，每个资源对应一个特定的统一资源标识符(Uniform Resource Identifier，简称“URI”)，可通过访问资源的URI来访问这个资源，另外每个资源具有支持Restful操作的相应接口。传输资源内容及描述信息的是传输协议层，通过把资源操作映射到具体的传输协议中，使每个资源的Restful操作转变为实体消息在设备间传递，为设备间的互联互通提供手段。

在图2所示的协议架构中，可以采用，例如，受限应用程序(ConstrainedApplication Protocol，简称“CoAP”)协议，来承载资源操作。每个CRUDN操作都映射为CoAP协议的请求/响应消息，客户端设备可以通过CoAP协议中的获取(GET)、新建(POST)、更新(PUT)、删除(DELETE)这四种方法对服务端的资源进行操作，从而实现资源状态的转换。但本申请采用的承载协议并不限于CoAP协议，还可以采用其他协议，例如消息队列遥测传输(Message Queuing Telemetry Transport，简称“MQTT”)协议和超文本传输协议(HyperText Transfer Protocol，简称“HTTP”)等主流承载协议，在此不一一举例说明。

IoT设备之间可以使用合适的通信技术彼此连接，所述通信技术可以包括有线和无线通信技术。这种通信遵循与物联网相关的协议。在图2所示的协议架构中，连接层可以支持例如WiFi、以太网、无线网状网络(Thread)、蓝牙(bluetooth)和紫蜂(zigbee)等多种不同的低层网络。但本申请不应以此处的举例为限制，其他与物联网相关的通信协议也应落入本申请的保护范围之内。

至少一些IoT设备上可以设置有激活工具(Onboarding Tool，简称“OBT”)。OBT是安全协议中的一个角色，是用于配置该安全协议所设置在的安全域网络中IoT设备的工具。OBT可以在安全域网络中的至少一个IoT设备上运行，设置有OBT的IoT设备可以称为OBT设备(例如图1所示)。该OBT设备可以用于配置其自身，也可以用于配置其所在的安全域网络中的其他IoT设备。该OBT设备配置的IoT设备可以组成一个安全域网络。在一个安全域网络中，主OBT只有一个，可以有多个从OBT。

每个IoT设备中均可以包括一个或多个逻辑设备(Device)，每个逻辑设备可以具有多个设备实例(Device instance)，每个逻辑设备中只有一个设备实例处于激活(active)态，该逻辑设备中的其他设备实例处于非激活(inactive)态。处于激活态的设备实例使其所在的逻辑设备能被安全域网络下的其他IoT设备的逻辑设备发现、配置以及访问，相反的，非激活态的设备实例所在的逻辑设备则无法被安全域网络下的其他IoT设备的逻辑设备发现、配置以及访问。

逻辑设备可以根据安全域的使用需求建立，在本申请实施例中，IoT设备(复合型的多功能设备或者单一功能设备)中的一个功能可以是一个逻辑设备，逻辑设备可以理解为控制IoT设备的软件的功能实体，一个IoT设备上可以具有至少一个功能实体。

每个逻辑设备可以具有多种状态，例如出厂状态、配置状态以及工作状态。其中，出厂状态指的是新购买的IoT设备中的逻辑设备在加电之后所处的状态。配置状态指的是IoT设备在进入一个安全域网络之前，能够使用该安全域网络的OBT工具对该IoT设备中的逻辑设备进行配置的状态，配置状态可以为出厂状态。工作状态指的是IoT设备中的逻辑设备被该安全域网络的OBT配置好之后的状态，被OBT设备配置好的IoT设备能够进入该安全域网络，与该安全域网络中的IoT设备互联互通。处于工作状态的逻辑设备可以接收业务指令，以改变该逻辑设备对应的功能设置，例如，IoT设备为空调，空调可以对应多个逻辑设备，每个逻辑设备可以对应空调的一个功能，对应温度的逻辑设备可以接收温度指令来改变温度设置。处于配置状态的逻辑设备用于等待被OBT工具配置以使其进入工作状态。处于工作状态的逻辑设备可以通过重置(reset)来恢复配置状态，当处于配置状态的逻辑设备处于激活态的时候，其可以被OBT设备发现并可被该OBT设备配置，相反的，当处于配置状态的逻辑设备处于非激活态的时候，其则无法被OBT设备发现并无法被该OBT设备配置。

图1示例性地示出了4个IoT设备，可选地，物联网100可以包括多个IoT设备，本申请实施例对此不做限定。

应理解，本文中术语“***”和“网络”在本文中常被可互换使用。本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

在上述相关技术的基础上，如何对网络中存在的物联网安全域进行配置，以简化资源发现过程，使得客户端设备可便捷地发现和获得网络中的安全域信息，是目前需要解决的问题。

因此，本申请实施例提出了一种安全域的配置、发现和加入方法。

在本申请提供的实施例中，在逻辑设备中增加一个安全域(SecDomain)资源，用以配置和管理逻辑设备所归属的安全域。逻辑设备激活(onboarding)后，OBT可通过配置secDomain资源为逻辑设备配置安全域信息。当安全域信息可发现时，可通过将属性值映射到逻辑设备的发现资源(简称“res资源”)使其他逻辑设备可以方便地发现该逻辑设备的安全域。网络中存在多个安全域时，可通过发现的安全域信息区分不同的安全域。

以下表1所示为secDomain资源的特征，主要包括统一资源标识符、资源类型标题、资源类型标识符、接口和描述。其中，URI用于对secDomain资源进行标识和寻址。资源类型标题用于说明资源的功能。资源类型标识符用于区分资源类型。接口(interface)表明资源的表述和获取的机制，不同的接口对应资源不同的表述以及对应的操作机制，例如表1中给出的基线(baseline)类型。描述用于说明资源的功能。

表1

示例地，secDomain资源的属性定义如表2所示。属性用于描述资源的相关信息，包括该资源的元数据。属性以<属性名>＝<属性值>键值对的形式出现。例如，“安全域标识符”属性有一个属性名“sdid”和一个属性值“e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9”，则该属性就表达为“sdid＝e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9”。属性的格式是由编码方式决定的，例如在JSON中属性表示为″属性名″：值(例如，“sdid”：e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9)。

表2

除此之外，值类型定义了属性值可能采用的值。值类型可为简单数据的类型，如字符串(string)，布尔值(boolean)等。值类型也可以是由一个架构(schema)定义的复杂数据类型。值类型可以定义属性值规则，属性值会采用这些规则，将其用于属性值中，属性值规则可以定义值的范围、最大/最小值、公式、枚举值的取值范围、模式、条件值、甚至对其他属性的属性值的依赖关系，这些规则可以用于验证属性值。如表2所示，示例地，安全域标识符和安全域名称的值类型均为“string”，而安全域可发现性的值类型为“boolean”。

访问模式指定属性是否可以被读取、写入、或者可读可写。比如，″R″代表可读、″W″代表可写，″RW″代表可读可写。″W″可写并不自动表示该属性一定可读。示例地，安全域标识符、安全域名称和安全域可发现性的访问模式均为“RW”。

属性的可读性描述信息，描述属性的作用和使用。例如，安全域标识符的描述表明：安全域标识符是安全域的通用唯一标识符，可通过多播(multicast)访问。安全域可发现性的描述表明：安全域是否可发现；当安全域可发现性的属性值为真(TRUE)时，安全域可发现；而当安全域可发现性的属性值为假(FALSE)时，安全域不可发现。

表2所示secDomain资源的属性有3个，可选地，secDomain资源可以包括比3个多的属性，或者比3个少的属性(例如，仅包含安全域标识符和安全域名称中的一个和安全域可发现性)，本申请实施例对此不做限定。

图3为本申请实施例提供的一种安全域的配置方法的示意性流程图。该方法可以由OBT设备执行。通过执行图3所示的方法，可以完成OBT设备自身的安全域配置。

如图3所示，安全域的配置方法包括：

步骤S310，获取安全域信息；

步骤S320，根据获取的安全域信息进行安全域配置。

如上所述，逻辑设备需要激活后才能在网络中操作或与其他逻辑设备进行交互。激活逻辑设备的第一步是配置设备所有权。合法用户通过激活工具(OBT)使用一种业主转移方法(Owner Transfer Method，简称“OTM”)建立设备所有权。所有权建立后，再使用OBT进行设备配置，最终使该逻辑设备能够正常操作并与其他逻辑设备交互。

在OBT设备自激活后，配置设备所有权时/之后，OBT可以获取安全域信息，例如安全域标识符、安全域名称以及安全域可发现性。可选地，安全域信息可以由用户设置，或者可以通过加载预先配置的信息进行设置。

对于安全域标识符，为了安全性，可以由OBT自动生成随机数作为安全域标识符。例如，OBT可以根据自身的认证(Certificate Authority，简称“CA”)根证书产生随机数，并将该随机数作为安全域标识符。

示例地，可以请求用户设置安全域标识符、安全域名称及安全域可发现性。例如，可以呈现输入框供用户输入安全域标识符和/或安全域名称。又例如，可以呈现复选框供用户选择安全域可发现性。然而，本申请不应以此处举例为限制，现有的人机交互的方式均可用于用户设置安全域名称及安全域可发现性。

获得用户设置的安全域名称及安全域可发现性之后，OBT设备的secDomain资源可配置为以下形式：

{

“sdid”＝e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9，

“sdn”＝my home，

“discoverable”＝true

}

当属性discoverable值为TRUE时，安全域标识符属性值可以映射到OBT设备的res资源的secdomainuuid中。例如，安全域标识符在res资源中的表示形式可以为：

″secdomainuuid″：″e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9″

图4为本申请实施例提供的一种安全域的配置方法的示意性流程图。该方法可以由OBT设备执行。通过执行图4所示的方法，OBT设备可以对其他IoT设备的安全域进行配置。

如图4所示，安全域的配置方法包括：

步骤S410，获取安全域信息；

步骤S420，通过向待配置设备发送携带有安全域信息的指令，将安全域信息设置到待配置设备中。

在OBT设备完成自身的配置之后，OBT发现网络中需要配置的设备(以下简称“待配置设备”)，待配置设备向OBT返回其支持的业主转让方法，OBT根据该业主转让方法与待配置设备建立通信连接。可选地，OBT设备与待配置设备之间建立安全地通信连接。这一过程与现有技术中激活和建立通信连接的过程类似，在此不一一赘述。

在建立通信连接之后，通过向待配置设备发送携带有安全域信息的指令，将安全域信息设置到待配置设备中。具体地，OBT从secDomain资源中获取自身配置的安全域信息，并向待配置设备发送指令。比如，如上所述，OBT作为客户端，待配置设备作为服务端，OBT发起Update操作。Update请求消息(即上述的“指令”)由OBT发送到待配置设备，以更新待配置设备上的secDomain资源信息。

例如，指令可以是如下形式的：

这一指令，将安全域的uuid(e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9)、名称(myhome)和可发现性(可发现)设置到待配置设备中。为便于下文的解释和说明，将这一指令称为“第一指令”，将采用第一指令配置的待配置设备称为“第一设备”。

又例如，指令也可以是如下形式的：

这一指令，将安全域的uuid(e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9)、名称(myhome)和可发现性(不可发现)设置到待配置设备中。为便于下文的解释和说明，将这一指令称为“第二指令”，将采用第二指令配置的待配置设备称为“第二设备”。

除了将安全域信息设置到待配置设备中之外，OBT还配置待配置设备其他资源的属性，例如，/oic/sec/doxm资源(用于配置支持的OTM模式、选择的OTM模式、支持的凭证类型、标识是否创建了设备主人、设备ID、设备业主ID以及资源主人ID等)，/oic/sec/cred资源(用于配置选择的凭证(包括与CMS建立安全连接的凭证、与其他设备建立局域网安全连接的凭证)、资源的主人ID等)，等。这些资源配置过程可采用现有配置过程，在此不一一赘述。

在完成所有资源的配置(完成资源配置的设备可以简称为“被配置设备”)之后，OBT改变待配置设备的状态为工作状态。OBT是网络的主人，可以配置网络中的客户端(Client)设备和服务端(Server设备)互联互通。配置后，该OBT为被配置设备的主人(owner)。

图5为本申请实施例提供的一种安全域的配置方法的示意性流程图。该方法可以由待配置设备执行，与图4所示的安全域的配置方法配合执行以完成对待配置设备的安全域的配置。

图5所示的安全域的配置方法包括：

步骤S510，接收携带有安全域信息的指令；

步骤S520，根据指令中的安全域信息，进行安全域配置。

如上所述，待配置设备被OBT发现后，执行业主转让握手，与OBT建立通信连接。在建立通信连接之后，接收OBT经由通信连接发送的携带有安全域信息的指令。

具体地，如上所述，待配置设备作为服务端接收UPDATE请求消息(即上述的“指令”)。在收到UPDATE请求之后，待配置设备验证发送请求的OBT是否具有更新有关资源的权限。如果有，待配置设备根据UPDATE请求消息中包括的secDomain资源需要更新的属性值来更新secDomain资源的信息。也就是说，在接收到来自OBT的指令之后，根据指令中的安全域信息，进行安全域配置。

例如，针对上述的第一指令，待配置设备根据discoverable的属性值为true，将sdid属性映射到res资源。sdid在res资源中的表示形式可以为：

″secdomainuuid″：″e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9″

相反地，针对上述的第二指令，由于discoverable的属性值为false，待配置设备不将将sdid属性映射到res资源。也就是说，接收到第二指令的待配置设备的安全域不可被其他设备发现。

在收到UPDATE请求之后，待配置设备还缓存UPDATE请求中的UPDATE请求的标识符，以便在UPDATE响应中使用。UPDATE响应消息由待配置设备发送到OBT。UPDATE响应中至少包含缓存的UPDATE请求的标识符和更新后的secDomain资源表述。

图4和图5所示的安全域的配置方法相互配合执行，使得OBT与待配置设备可以形成安全域网络。值得说明的是，在上述举例中，OBT和待配置设备具有相同的安全域标识符和安全域名称，因此，OBT和待配置设备处在同一安全域网络中。

图6为本申请实施例提供的一种安全域的配置方法的示意性流程图。该方法可以由主OBT设备执行。在此种情形下，安全域网络中的主OBT设备可以执行类似于图4所示的安全域的配置方法对从OBT设备进行安全域配置。

如图6所示的安全域的配置方法包括：

步骤610，获取安全域信息；

步骤620，通过向从OBT设备发送携带有安全域信息的指令，将安全域信息设置到从OBT设备中。

在主OBT设备自激活后，配置设备所有权时/之后，主OBT还创建各种安全域网络中的不同角色，不同的角色具有不同的权限。例如，有管理员(admin)、家庭成员(family)、客人(guest)等各种用户角色。又例如，管理员(admin)具有配置和管理同一安全域网络中其他IoT设备的权限，而家庭成员(family)具有控制同一安全域网络中其他IoT设备的权限。在实际中，不应以此处举例为限制，用户可以根据需要创建不同的角色，并给不同的角色设定不同的权限。

主OBT发现从OBT后，可以通过对从OBT进行配置，赋予从OBT配置和管理其他IoT设备的权限，以使得从OBT配置的设备也可以接入安全域网络。值得注意的是，主OBT赋予从OBT配置和管理其他IoT设备的权限的过程可以采用现有技术中可实现次功能的任意过程实现，在此不一一赘述。

主OBT设备可以通过向从OBT设备发送携带有安全域信息的指令，将安全域信息设置到从OBT设备中。与图4所示的安全域的配置方法类似，主OBT设备从secDomain资源中获取自身配置的安全域信息，并向从OBT设备发送指令。此时，主OBT设备为客户端，从OBT设备为服务端。主OBT设备与从OBT设备之间的请求和响应过程与现有CRUDN操作过程一致，在此不一一赘述。

图7为本申请实施例提供的一种安全域的配置方法的示意性流程图。该方法可以由从OBT设备执行，与图6所示的安全域的配置方法配合执行以完成对从OBT设备的安全域的配置。此外，从OBT还可以执行类似于图4所示的安全域的配置方法对其他待配置设备进行安全域配置。

如图7所示，安全域的配置方法包括：

步骤710，接收携带有安全域信息的指令；

步骤720，根据指令中的安全域信息，进行安全域配置；

步骤730，获取安全域信息；

步骤740，通过向待配置设备发送携带有安全域信息的指令，将安全域信息设置到待配置设备中。

上述步骤710和720分别与图5所示安全域的配置方法的步骤510和520类似，并且上述步骤730和740分别与图4所示安全域的配置方法的步骤410和420类似，为避免重复，在此不一一赘述。

在从OBT设备完成安全域配置之后，从OBT设备的secDomain资源可配置为与主OBT设备相同的secDomain资源。例如，具有以下形式：

{

“sdid”＝e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9，

“sdn”＝my home，

“discoverable”＝true

}

图6和图7所示的安全域的配置方法相互配合执行，使得主OBT设备与从OBT设备可以形成安全域网络。此外，主OBT设备与从OBT设备可以采用图4所示安全域的配置方法，分别配置其他IoT设备，以使得其他IoT设备也可以接入安全域网络。值得说明的是，在上述举例中，主OBT设备将安全域信息发送给从OBT设备，从OBT设备也根据安全域信息对自身和其他IoT设备进行安全域配置，因此，主OBT设备及其配置的其他IoT设备，从OBT设备及其配置的其他IoT设备具有相同的安全域标识符和安全域名称。也就是说，主OBT设备及其配置的其他IoT设备，从OBT设备及其配置的其他IoT设备处在同一安全域网络中。在这种情形下，例如，从OBT设备及其配置的IoT设备(以下简称“第三设备”)的secDomain资源可例如配置为以下形式：

{

“sdid”＝e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9，

“sdn”＝my home，

“discoverable”＝true

}

在进行安全域配置时，从OBT设备根据安全域信息中discoverable的属性值为true，将sdid属性映射到res资源。例如，，从OBT设备的sdid在res资源中的表示形式可以为：

″secdomainuuid″：″e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9″

在安全域信息中discoverable的属性值为false，从OBT设备的安全域不可被其他设备发现。

在实际中，在同一网络中可以存在不止一个OBT设备，比如，存在OBT1和OBT2。OBT1和OBT2可以分别根据自身的认证根证书产生随机数，并将该随机数作为安全域标识符，而用户可以将OBT1和OBT2的安全域名称设置成相同或不同。在这种情形下，由于OBT1的认证根证书和OBT2的认证根证书不同，因此，OBT1的安全域标识符和OBT2的安全域标识符不同。也就是说，OBT1及其配置的IoT设备(包括从OBT设备和待配置设备)具有相同的安全域标识符和安全域名称，形成了第一安全域网络，而OBT2及其配置的IoT设备(包括从OBT设备和待配置设备)具有相同的安全域标识符和安全域名称，形成了第二安全域网络。无论第一安全域网络和第二安全域网络是否具有相同的安全域名称，由于第一安全域网络和第二安全域网络具有不同的安全域标识符，因此，第一安全域网络和第二安全域网络为独立的安全域网络。

例如，OBT1及其配置的IoT设备(以下简称“第四设备”)的secDomain资源可例如配置为以下形式：

{

“sdid”＝e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9，

“sdn”＝my home，

“discoverable”＝true

}

OBT2及其配置的IoT设备(以下简称“第五设备”)的secDomain资源可例如配置为以下形式：

{

“sdid”＝61c74915-6491-12d2-7934-1da81f1ce27d，

“sdn”＝my room，

“discoverable”＝true

}

OBT2及其配置的IoT设备(以下简称“第六设备”)的secDomain资源可例如配置为以下形式：

{

“sdid”＝61c74915-6491-12d2-7934-1da81f1ce27d，

“sdn”＝my home，

“discoverable”＝true

}

在进行安全域配置时，OBT2根据安全域信息中discoverable的属性值为true，将sdid属性映射到res资源。例如，OBT2的sdid在res资源中的表示形式可以为：

″secdomainuuid″：″61c74915-6491-12d2-7934-1da81f1ce27d″

上述表示形式中的“61c74915-6491-12d2-7934-1da81f1ce27d”不同于前述举例中的OBT1的安全域标识符“e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9”，因此，OBT1和OBT2分别形成了独立的安全域网络。

网络中的物联网设备通过执行图3至图7中部分或全部的安全域配置方法配置了安全域信息，形成了至少一个安全域网络。此时，如果有新的IoT设备(以下简称“发现设备”)进入网络，想要发现网络中已经存在的安全域网络，可执行本申请实施例提供的安全域的发现方法。

图8所示为本申请实施例提供的一种安全域的发现方法的示意性流程图。该方法可以由发现设备执行。

如图8所示，安全域的发现方法包括在步骤S810，获取网络中IoT设备的发现资源。

在此步骤中，获取网络中IoT设备的发现资源可以采用现有的任意执行资源发现过程。比如，先向网络中其他IoT设备发送用于执行资源发现的请求消息，然后接收其他IoT设备反馈的发现资源。

具体地，发现设备作为客户端，可以向网络中其他IoT设备发送广播/组播消息来执行资源发现。例如，广播/组播消息可以为RETRIEVE请求消息，以请求服务端上的secDomain资源表述。广播/组播消息可以是如下形式的：

RETRIEVE/oic/res？if＝oic.if.baseline

在收到RETRIEVE请求之后，网络中其他IoT设备作为服务端验证发送请求的客户端是否具有获取所需资源的权限以及资源的有关属性是否可读。如果有，服务端将携带res资源的RETRIEVE响应消息发送给发现设备。

本实施例的安全域的发现方法包括在步骤S820，从发现资源中获取安全域标识符。

接着，发现设备接收携带res资源的RETRIEVE响应消息，并从RETRIEVE响应消息中的res资源中获取安全域标识符。比如，可以从前述举例中的第一设备获得“e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9”。由于前述举例中的第二设备的安全域不可被发现，因此，发现设备无法从第二设备的res资源中获取第二设备的安全域标识符。又比如，可以从前述举例中的第四设备获得“e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9”，从上述第五设备向发现设备发送“61c74915-6491-12d2-7934-1da81f1ce27d”。

发现设备在得到安全域标识符之后，就可以在步骤830，确定网络中安全域标识符对应的安全域。在确定网络中存在的安全域之后，可以保存安全域以备后续使用，或者显示供用户查看。

举例来说，如果仅从一个IoT设备获取到安全域标识符，则可直接保存这个安全域或者显示这个安全域供用户选择是否加入。或者，在从至少两个IoT设备获取到所述安全域标识符时，可以比较安全域标识符。在安全域标识符相同时，判定网络中存在一个安全域。在安全域标识符不同时，判定网络中存在多个安全域。有多少不同的安全域标识符就存在多少个安全域。进一步地，可以用安全域标识符表示网络中存在的安全域，将安全域标识符显示出来供用户查看或选择要加入的安全域。

图9所示为本申请实施例提供的一种安全域的发现方法的示意性流程图。该方法可以由发现设备执行。为了方便用户查看网络中存在的安全域，可以进一步根据安全域标识符获取对应的安全域名称。

如图9所示，安全域的发现方法包括：

步骤S910，获取网络中IoT设备的发现资源；

步骤S920，从发现资源中获取安全域标识符；

步骤S930，根据安全域标识符，确定存在于网络中的安全域；

步骤S940，根据安全域标识符，从IoT设备获取该安全域标识符对应的安全域名称；

步骤S950，根据安全域标识符和对应的安全域名称，表示存在于网络中的安全域。

上述步骤910至930分别与图8所示的安全域的发现方法的步骤810至830一致，在此不再赘述。

在发现设备获得安全域标识符之后，还可以根据获取到的安全域标识符，从IoT设备获取该安全域标识符对应的安全域名称。具体地，可以向其他IoT设备发送用于获得安全域标识符对应的安全域名称的请求消息。例如，发现设备向第一设备发送RETRIEVE请求消息，以请求第一设备上的secDomain资源中的安全域名称。此时，RETRIEVE请求消息可以是如下形式的：

RETRIEVE /oic/sec/secDomain

在收到RETRIEVE请求之后，第一设备将携带自身安全域名称的RETRIEVE响应消息发送给发现设备。例如，将“myhome”发送给发现设备。相应地，发现设备还接收其他IoT设备反馈的安全域名称。

在本实施例中，在获取到安全域标识符对应的安全域名称之后，就可以用安全域名称来表示网络中存在的安全域了。因为，如上所述，安全域名称一般是由用户设置的，比较容易被用户识别，因此，用安全域名称来表示网络中存在的安全域可以方便用户查看或选择要加入的安全域。具体地，在判定网络中存在一个安全域时，可以用安全域名称表示安全域。在判定网络中存在多个安全域，并且多个安全域具有不同的安全域名称时，可以用各自的安全域名称表示多个安全域。在判定网络中存在多个安全域，并且多个安全域具有相同的安全域名称时，用安全域标识符和对应的安全域名称表示多个安全域。

以前述安全域得配置方法的举例中涉及的第一至第六设备为例进行如下说明：

当仅存在一组安全域标识符及其对应的安全域名称时，可直接将安全域名称呈现给用户。如上所述，仅有第一设备将“my home”发送给发现设备，则可直接将“my home”呈现给用户。

当存在两组安全域标识符及其对应的安全域名称时，比较安全域标识符和安全域名称是否相同。当安全域标识符和安全域名称分别相同时，可直接将安全域名称呈现给用户。例如，上述第一设备和第三设备可分别向发现设备发送“e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9”和对应的“my home”。由于安全域标识符和安全域名称分别相同，虽然存在两组安全域标识符及其对应的安全域名称，也可直接将安全域名称(“my home”)呈现给用户。

当安全域标识符和安全域名称均不同时，则判定存在两个安全域网络，可以将不同的安全域标识符及其对应的安全域名称呈现给用户。

例如，上述第四设备向发现设备发送“e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9”和对应的“my home”，上述第五设备向发现设备发送“61c74915-6491-12d2-7934-1da81f1ce27d”和对应的“my room”。由于安全域标识符和安全域名称均不相同，因此，将比较结果(包括“e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9”和对应的“my home”、61c74915-6491-12d2-7934-1da81f1ce27d”和对应的“my room”)呈现给用户。在另一示例中，也可以不呈现安全域标识符，仅将安全域名称，即“my home”和“my room”，呈现给用户。

当安全域标识符不同，而安全域名称相同时，则判定存在两个安全域网络，可以将不同的安全域标识符及其对应的安全域名称呈现给用户。例如，上述第四设备向发现设备发送“e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9”和对应的“my home”，上述第六设备向发现设备发送“61c74915-6491-12d2-7934-1da81f1ce27d”和对应的“my home”。虽然安全域名称相同，由于安全域标识符不同，因此，将比较结果(包括“e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9”和对应的“my home”、61c74915-6491-12d2-7934-1da81f1ce27d”和对应的“my home”)呈现给用户。

应理解，对于超过两组的安全域标识符和对应的安全域名称，可以采用每次选择两组进行比较的方式，最终获得比较结果。但以上比较方法仅是为了方便理解而做的举例，本申请不应以此为限制，任何适用于比较各组中安全域标识符和对应的安全域名称是否相同的方法均应包含在本申请的保护范围之内。

图10所示为本申请实施例提供的一种安全域的加入方法的示意性流程图。该方法可以由发现设备执行。发现设备在获得网络中存在的安全域的安全域信息(包括安全域标识符或安全域名称)之后，可以呈现安全域信息以供用户选择。

如图10所示，安全域的加入方法包括：

步骤1010，请求用户选择欲加入的安全域；

步骤1020，根据用户选择的安全域，启动安全域的实例。

具体地，在执行图8或9所示的安全域的发现方法之后，发现设备获得了网络中存在的安全域的安全域信息。发现设备可将这些安全域信息呈现给用户，请求用户选择该发现设备加入哪一安全域网络。

待接收到用户的选择之后，启动安全域的实例。具体地，若用户选择的安全域的实例存在于已配置的安全域实例中，则切换到该安全域的实例。若已配置的安全域实例中没有用户选择的安全域的实例，则产生一个可用于用户选择的安全域的实例。也就是说，发现设备检查自身已开启实例的安全域信息，若判定其中有用户选择的安全域的实例，则切换到该实例。或者，发现设备判定用户选择的安全域的实例与自身已配置安全域不一致，则产生一个新的可用于用户选择的安全域的客户端实例。

上述每个实例是一个独立的逻辑客户端设备。一个客户端应用程序(APP)中可运行多个逻辑客户端设备，每个设备可对应不同的安全域。当产生一个新的客户端实例后，该客户端实例处于初始化状态，等待激活和配置，此时，网络中的OBT可以激活并配置该客户端实例加入OBT所在的安全域。

图11所示为本申请实施例提供的一种安全域的发现方法的示意性流程图。该方法可以由网络中已完成安全域配置的IoT设备执行，向执行图8所示的安全域的发现方法的发现设备反馈安全域信息。

如图11所示，安全域的发现方法包括：

步骤S1110，响应于接收到的用于执行资源发现的请求消息，反馈发现资源；

步骤S1120，响应于接收到的用于获得安全域标识符对应的安全域名称的请求消息，反馈安全域名称。

如上所述，在收到广播/组播消息之后，网络中IoT设备作为服务端验证发送请求的客户端是否具有获取所需资源的权限以及资源的有关属性是否可读。如果有，服务端将携带res资源的RETRIEVE响应消息发送给发现设备。在收到获取安全域名称的请求之后，将自身的安全域名称反馈给发现设备。

在本申请的实施例中，关于指令的举例中，涉及了UPDATE操作，这是针对IoT设备中已经设置了secDomain资源的情形。在实际中，如果待配置设备中没有设置secDomain资源，则OBT可以采用CRUDN操作中的CREATE操作发起请求，待配置设备响应于该CREATE请求消息，根据CREATE请求消息中携带的第一安全域信息，创建一个secDomain资源。

此外，上述涉及的CRUDN操作的通信过程与现有技术类似，不同之处在于请求消息和相应消息中携带了与secDomain资源相关的参数。在此不再详细说明CRUDN操作的通信过程。

应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

上文中结合图1至图11，从不同的角度详细描述了根据本申请实施例的安全域的配置、发现和加入方法，下面将结合图12至图15，描述根据本申请实施例的各IoT设备之间的示意***互场景。

图12所述为根据本申请实施例的各IoT设备之间的第一种示意***互场景。假设在家庭网络中，Mom的手机APP作为OBT，则首先自激活并配置自己。网络有两台设备Device1和Device2，OBT分别对两台设备进行配置，并设置安全域信息。此时，OBT与Device1、Device2形成了家庭中的安全域网络。之后，Dad的手机APP进入了家庭网络。作为Client，Dad的手机APP发现可控制的设备，并找到其对应的安全域。

图13所述为根据本申请实施例的各IoT设备之间的第二种示意***互场景。假设在家庭网络中，Mom的手机APP作为主OBT，则首先自激活并配置自己。Son的手机APP作为从OBT，被Mom的手机APP配置。Mom的手机APP将自身的安全域信息配置到Son的手机APP。网络有两台设备Device1和Device2，主从OBT分别对两台设备进行配置，并设置安全域信息。此时，主OBT、从OBT与Device1、Device2形成了家庭中的安全域网络。之后，Dad的手机APP进入了家庭网络。作为Client，Dad的手机APP发现可控制的设备，并找到其对应的安全域。

图14所述为根据本申请实施例的各IoT设备之间的第三种示意***互场景。假设在家庭网络中，Mom的手机APP作为OBT1，则首先自激活并配置自己。Son的手机APP也作为OBT2，自激活并配置自己。网络有两台设备Device1和Device2，Mom的手机APP、Son的手机APP分别对两台设备进行配置，并设置安全域信息。此时，OBT1与Device1、OBT2与Device2分别形成了家庭中的两个独立安全域网络。之后，Dad的手机APP进入了家庭网络。作为Client，Dad的手机APP发现可控制的设备，并找到其对应的安全域。

图15所述为根据本申请实施例的各IoT设备之间的第四种示意***互场景。假设在家庭网络中，Mom的手机APP作为OBT1，则首先自激活并配置自己。Son的手机APP也作为OBT2，自激活并配置自己。网络有两台设备Device1和Device2，Mom的手机APP、Son的手机APP分别对两台设备进行配置，并设置安全域信息。此时，OBT1与Device1、OBT2与Device2分别形成了家庭中的两个独立安全域网络。之后，Dad的手机APP进入了家庭网络。作为Client，Dad的手机APP发现可控制的设备，并找到其对应的安全域。

上文中结合图1至图15，从各种不同的角度详细描述了根据本申请实施例的安全域的配置、发现和加入方法，下面将结合图16至图21，描述根据本申请实施例的装置。

如图16所示，根据本申请实施例的安全域的配置装置包括：获取模块1610和配置模块1620。

具体地，所述获取模块1610用于：获取安全域信息。所述配置模块1620用于：根据获取的所述安全域信息进行安全域配置。其中，所述安全域信息至少包括：安全域标识符、安全域名称以及安全域可发现性。

可选地，作为一个实施例，所述获取模块还用于通过以下方法中来获取所述安全域信息：

自动生成随机数作为所述安全域标识符；

请求用户设置所述安全域名称；

请求用户设置所述安全域可发现性。

可选地，作为一个实施例，所述获取模块还用于：在自动生成随机数作为所述安全域标识符时，根据自身的认证根证书产生随机数，并将所述随机数作为所述安全域标识符。可选地，作为一个实施例，所述获取模块还用于：接收携带有所述安全域信息的指令；相应地，所述配置模块还用于：根据所述指令中所述安全域信息，进行安全域配置。

可选地，作为一个实施例，所述配置模块还用于：根据所述安全域可发现性的属性值为可发现，将所述安全域标识符映射到发现资源。

可选地，作为一个实施例，所述配置模块还用于：通过向所述待配置设备发送携带有所述安全域信息的指令，将所述安全域信息设置到所述待配置设备中。

如图17所示，根据本申请实施例的安全域的发现装置包括：第一获取模块1710、第二获取模块1720和确定模块1730。

具体地，第一获取模块1710用于：获取网络中物联网IoT设备的发现资源；第二获取模块1720用于：从所述发现资源中获取安全域标识符；确定模块1730用于确定所述网络中所述安全域标识符对应的安全域。其中，所述IoT设备已配置安全域信息，所述安全域信息至少包括：安全域标识符、安全域名称以及安全域可发现性。

可选地，作为一个实施例，所述装置还包括第三获取模块1740。其中，所述第三获取模块用于根据所述第二获取模块获取的所述安全域标识符，从所述IoT设备获取所述安全域标识符对应的安全域名称。

可选地，作为一个实施例，所述第三获取模块1740包括发送子模块1741和接收子模块1742。其中，发送子模块1741用于向所述IoT设备发送用于获得所述安全域标识符对应的所述安全域名称的请求消息。接收子模块1742用于接收所述IoT设备反馈的所述安全域名称。

可选地，作为一个实施例，所述确定模块包括比较子模块1731和判定子模块1732。其中，比较子模块1731用于在从至少两个IoT设备获取到所述安全域标识符时，比较所述安全域标识符。判定子模块1732用于在所述安全域标识符相同时，判定网络中存在一个安全域；在所述安全域标识符不同时，判定网络中存在多个安全域。

可选地，作为一个实施例，所述确定模块还包括表示子模块1733。其中，表示子模块1733用于：

在判定网络中存在一个安全域时，用所述安全域名称表示所述安全域；

在判定网络中存在多个安全域，并且所述多个安全域具有不同的安全域名称时，用各自的安全域名称表示所述多个安全域；

在判定网络中存在多个安全域，并且所述多个安全域具有相同的安全域名称时，用所述安全域标识符和对应的安全域名称表示所述多个安全域。

如图18所示，根据本申请实施例的安全域的发现装置通过如图3至7所示的部分或全部方法发现配置了安全域信息。该安全域的发现装置包括：第一反馈模块1810和第二反馈模块1820。

具体地，第一反馈模块1810用于：响应于接收到的用于执行资源发现的请求消息，反馈发现资源；第二反馈模块1820用于：响应于接收到的用于获得安全域标识符对应的安全域名称的请求消息，反馈所述安全域名称。

如图19所示，根据本申请实施例的安全域的加入装置包括请求模块1910和启动模块1920。其中，请求模块1910用于请求用户选择欲加入的安全域。启动模块1920用于根据用户选择的所述安全域，启动所述安全域的实例。其中，所述安全域通过如图8或9所示的的方法发现。

可选地，作为一个实施例，所述启动模块1820还用于：

在所述用户选择的所述安全域的实例存在于已配置的安全域实例中时，切换到所述安全域的实例；

在已配置的安全域实例中没有所述用户选择的所述安全域的实例时，产生一个可用于所述用户选择的所述安全域的实例。

应理解，根据本申请实施例的安全域的配置、发现和加入装置中的各个模块的上述和其它操作和/或功能分别为了实现图1至图11中的各个方法中终端设备的相应流程，为了简洁，在此不再赘述。

图20是本申请实施例提供的一种电子设备2000示意性结构图。图20所示的电子设备包括处理器2010，处理器2010可以从存储器中调用并运行计算机程序，以实现本申请实施例中的方法。

可选地，如图20所示，电子设备2000还可以包括存储器2020。其中，处理器2010可以从存储器2020中调用并运行计算机程序，以实现本申请实施例中的方法。

其中，存储器2020可以是独立于处理器2010的一个单独的器件，也可以集成在处理器2010中。

可选地，如图20所示，电子设备2000还可以包括收发器2030，处理器2010可以控制该收发器2030与其他设备进行通信，具体地，可以向其他设备发送信息或数据，或接收其他设备发送的信息或数据。

其中，收发器2030可以包括发射机和接收机。收发器2030还可以进一步包括天线，天线的数量可以为一个或多个。

可选地，该电子设备2000具体可为本申请实施例的物联网设备，并且该电子设备2000可以实现本申请实施例的各个方法中的相应流程，为了简洁，在此不再赘述。

本实施例的电子设备可以为，但不限于，终端设备或者网络设备。作为在此使用的“终端设备”包括但不限于经由无线接口，如，针对蜂窝网络、无线局域网(Wireless LocalArea Network，WLAN)、诸如DVB-H网络的数字电视网络、卫星网络、AM-FM广播发送器；和/或另一终端设备的被设置成接收/发送通信信号的装置；和/或物联网(Internet of Things，IoT)设备。被设置成通过无线接口通信的终端设备可以被称为“无线通信终端”、“无线终端”或“移动终端”。移动终端的示例包括但不限于卫星或蜂窝电话；可以组合蜂窝无线电电话与数据处理、传真以及数据通信能力的个人通信***(Personal CommunicationsSystem，PCS)终端；可以包括无线电电话、寻呼机、因特网/内联网接入、Web浏览器、记事簿、日历以及/或全球定位***(Global Positioning System，GPS)接收器的PDA；以及常规膝上型和/或掌上型接收器或包括无线电电话收发器的其它电子装置。终端设备可以指接入终端、用户设备(User Equipment，UE)、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。接入终端可以是蜂窝电话、无绳电话、会话启动协议(Session Initiation Protocol，SIP)电话、无线本地环路(Wireless Local Loop，WLL)站、个人数字处理(Personal Digital Assistant，PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备、5G网络中的终端设备或者未来演进的PLMN中的终端设备等。网络设备可以为特定的地理区域提供通信覆盖，并且可以与位于该覆盖区域内的终端设备进行通信。可选地，网络设备可以是GSM***或CDMA***中的基站(Base Transceiver Station，BTS)，也可以是WCDMA***中的基站(NodeB，NB)，还可以是LTE***中的演进型基站(EvolutionalNode B，eNB或eNodeB)，或者是云无线接入网络(Cloud Radio Access Network，CRAN)中的无线控制器，或者该网络设备可以为移动交换中心、中继站、接入点、车载设备、可穿戴设备、集线器、交换机、网桥、路由器、5G网络中的网络侧设备或者未来演进的公共陆地移动网络(Public Land Mobile Network，PLMN)中的网络设备等。

图21是本申请实施例的芯片的示意性结构图。图21所示的芯片2100包括处理器2110，处理器2110可以从存储器中调用并运行计算机程序，以实现本申请实施例中的方法。

可选地，如图21所示，芯片2100还可以包括存储器2120。其中，处理器2110可以从存储器2120中调用并运行计算机程序，以实现本申请实施例中的方法。

其中，存储器2120可以是独立于处理器2110的一个单独的器件，也可以集成在处理器2110中。

可选地，该芯片2100还可以包括输入接口2130。其中，处理器2110可以控制该输入接口2130与其他设备或芯片进行通信，具体地，可以获取其他设备或芯片发送的信息或数据。

可选地，该芯片2100还可以包括输出接口2140。其中，处理器2110可以控制该输出接口2140与其他设备或芯片进行通信，具体地，可以向其他设备或芯片输出信息或数据。

可选地，该芯片可应用于本申请实施例中的物联网设备，并且该芯片可以实现本申请实施例的各个方法中的相应流程，为了简洁，在此不再赘述。

应理解，本申请实施例提到的芯片还可以称为***级芯片，***芯片，芯片***或片上***芯片等。

应理解，本申请实施例的处理器可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器(Digital SignalProcessor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。

可以理解，本申请实施例中的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(Read-Only Memory，ROM)、可编程只读存储器(Programmable ROM，PROM)、可擦除可编程只读存储器(Erasable PROM，EPROM)、电可擦除可编程只读存储器(Electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(Static RAM，SRAM)、动态随机存取存储器(Dynamic RAM，DRAM)、同步动态随机存取存储器(Synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data RateSDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(DirectRambus RAM，DR RAM)。应注意，本文描述的***和方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

应理解，上述存储器为示例性但不是限制性说明，例如，本申请实施例中的存储器还可以是静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(dynamic RAM，DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synch link DRAM，SLDRAM)以及直接内存总线随机存取存储器(Direct Rambus RAM，DRRAM)等等。也就是说，本申请实施例中的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

本申请实施例还提供了一种计算机可读存储介质，用于存储计算机程序。

可选的，该计算机可读存储介质可应用于本申请实施例中的网络设备，并且该计算机程序使得计算机执行本申请实施例的各个方法中由网络设备实现的相应流程，为了简洁，在此不再赘述。

可选地，该计算机可读存储介质可应用于本申请实施例中的移动终端/终端设备，并且该计算机程序使得计算机执行本申请实施例的各个方法中由移动终端/终端设备实现的相应流程，为了简洁，在此不再赘述。

本申请实施例还提供了一种计算机程序产品，包括计算机程序指令。

可选的，该计算机程序产品可应用于本申请实施例中的网络设备，并且该计算机程序指令使得计算机执行本申请实施例的各个方法中由网络设备实现的相应流程，为了简洁，在此不再赘述。

可选地，该计算机程序产品可应用于本申请实施例中的移动终端/终端设备，并且该计算机程序指令使得计算机执行本申请实施例的各个方法中由移动终端/终端设备实现的相应流程，为了简洁，在此不再赘述。

本申请实施例还提供了一种计算机程序。

可选的，该计算机程序可应用于本申请实施例中的网络设备，当该计算机程序在计算机上运行时，使得计算机执行本申请实施例的各个方法中由网络设备实现的相应流程，为了简洁，在此不再赘述。

可选地，该计算机程序可应用于本申请实施例中的移动终端/终端设备，当该计算机程序在计算机上运行时，使得计算机执行本申请实施例的各个方法中由移动终端/终端设备实现的相应流程，为了简洁，在此不再赘述。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的***、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的***、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个***，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，)ROM、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

1.一种安全域的配置方法，包括：

获取安全域信息；

根据所述安全域信息进行安全域配置；

其中，所述安全域信息至少包括：安全域标识符、安全域名称以及安全域可发现性，

其中，所述获取安全域信息包括：

自动生成随机数作为所述安全域标识符；

请求用户设置所述安全域名称；

请求用户设置所述安全域可发现性。

2.根据权利要求1所述的方法，其中，所述方法还包括：

在逻辑设备中增加安全域资源，所述安全域资源用以配置和管理逻辑设备所归属的安全域。

3.根据权利要求1所述的方法，其中，所述自动生成随机数作为所述安全域标识符包括：

根据自身的认证根证书产生随机数，并将所述随机数作为所述安全域标识符。

4.根据权利要求1所述的方法，其中，所述根据获取的所述安全域信息进行安全域配置包括：

通过向待配置设备发送携带有所述安全域信息的指令，将所述安全域信息设置到所述待配置设备中。

5.根据权利要求1所述的方法，其中，所述获取安全域信息包括：

接收携带有所述安全域信息的指令；

所述根据获取的所述安全域信息进行安全域配置包括：

根据所述指令中所述安全域信息，进行安全域配置。

6.根据权利要求1至5中任意一项所述的方法，其中，所述根据获取的所述安全域信息进行安全域配置包括：

若所述安全域可发现性的属性值表征可发现，将所述安全域标识符映射到发现资源。

7.一种安全域的发现方法，包括：

获取网络中物联网IoT设备的发现资源；

从所述发现资源中获取安全域标识符；

确定所述网络中所述安全域标识符对应的安全域；

根据所述安全域标识符，从所述IoT设备获取所述安全域标识符对应的安全域名称；

8.根据权利要求7所述的方法，其中，确定所述网络中所述安全域标识符对应的安全域，包括：

在从至少两个IoT设备获取到所述安全域标识符时，比较所述安全域标识符；

在所述安全域标识符相同时，判定网络中存在一个安全域；

在所述安全域标识符不同时，判定网络中存在多个安全域。

9.根据权利要求7所述的方法，其中，所述根据所述安全域标识符，从所述IoT设备获取所述安全域标识符对应的安全域名称，包括：

向所述IoT设备发送用于获得所述安全域标识符对应的所述安全域名称的请求消息；

接收所述IoT设备反馈的所述安全域名称。

10.根据权利要求7或9所述的方法，其中，在根据所述安全域标识符，从所述IoT设备获取所述安全域标识符对应的安全域名称之后，所述方法还包括：

11.一种安全域的发现方法，由通过权利要求1至6中任意一项所述的安全域的配置方法配置了安全域信息的物联网设备执行，包括：

响应于接收到的用于执行资源发现的请求消息，反馈发现资源；

响应于接收到的用于获得安全域标识符对应的安全域名称的请求消息，反馈所述安全域名称；

其中，所述安全域信息至少包括：安全域标识符、安全域名称以及安全域可发现性；

在所述安全域可发现性的属性值表征可发现时，所述发现资源中包括所述安全域标识符。

12.一种安全域的加入方法，包括：

请求用户选择欲加入的安全域；其中，供所述用户选择的安全域为通过权利要求7至10中任意一项所述的方法发现的安全域；

根据用户选择的所述安全域，启动所述安全域的实例。

13.根据权利要求12所述的方法，其中，所述根据用户选择的所述安全域，启动所述安全域的实例，包括：

若所述用户选择的所述安全域的实例存在于已配置的安全域实例中，则切换到所述安全域的实例；

若已配置的安全域实例中没有所述用户选择的所述安全域的实例，则产生一个可用于所述用户选择的所述安全域的实例。

14.一种安全域的配置装置，包括：

获取模块，用于获取安全域信息；

配置模块，用于根据所述安全域信息进行安全域配置；

其中，所述获取模块还用于通过以下方法来获取所述安全域信息：

自动生成随机数作为所述安全域标识符；

请求用户设置所述安全域名称；

请求用户设置所述安全域可发现性。

15.根据权利要求14所述的装置，其中，所述装置还包括：

安全域资源增加模块，用于在逻辑设备中增加安全域资源，所述安全域资源用以配置和管理逻辑设备所归属的安全域。

16.根据权利要求14所述的装置，其中，所述获取模块还用于：

在自动生成随机数作为所述安全域标识符时，根据自身的认证根证书产生随机数，并将所述随机数作为所述安全域标识符。

17.根据权利要求14所述的装置，其中，所述配置模块还用于：通过向待配置设备发送携带有所述安全域信息的指令，将所述安全域信息设置到所述待配置设备中。

18.根据权利要求14所述的装置，其中，所述获取模块还用于：接收携带有所述安全域信息的指令；

所述配置模块还用于：根据所述指令中所述安全域信息，进行安全域配置。

19.根据权利要求14至18中任意一项所述的装置，其中，所述配置模块还用于：在所述安全域可发现性的属性值表征可发现时，将所述安全域标识符映射到发现资源。

20.一种安全域的发现装置，包括：

第一获取模块，用于获取网络中物联网IoT设备的发现资源；

第二获取模块，用于从所述发现资源中获取安全域标识符；

第三获取模块，用于根据所述第二获取模块获取的所述安全域标识符，从所述IoT设备获取所述安全域标识符对应的安全域名称；

21.根据权利要求20所述的装置，其中，所述确定模块包括：

比较子模块，用于在从至少两个IoT设备获取到所述安全域标识符时，比较所述安全域标识符；

判定子模块，用于在所述安全域标识符相同时，判定网络中存在一个安全域；在所述安全域标识符不同时，判定网络中存在多个安全域。

22.根据权利要求20所述的装置，其中，所述第三获取模块包括：发送子模块，用于向所述IoT设备发送用于获得所述安全域标识符对应的所述安全域名称的请求消息；

接收子模块，用于接收所述IoT设备反馈的所述安全域名称。

23.根据权利要求20或22所述的装置，其中，所述确定模块还包括：

表示子模块，用于：

24.一种安全域的发现装置，通过权利要求1至6中任意一项所述的安全域的配置方法配置了安全域信息，包括：

25.一种安全域的加入装置，包括：

请求模块，用于请求用户选择欲加入的安全域；其中，供所述用户选择的安全域为通过权利要求7至10中任意一项所述的装置发现的安全域；

26.根据权利要求25所述的装置，其中，所述启动模块还用于：

27.一种电子设备，其特征在于，包括：处理器和存储器，该存储器用于存储计算机程序，所述处理器用于调用并运行所述存储器中存储的计算机程序，执行如权利要求1至13中任一项所述的方法。

28.一种芯片，其特征在于，包括：处理器，用于从存储器中调用并运行计算机程序，使得安装有所述芯片的设备执行如权利要求1至13中任一项所述的方法。

29.一种计算机可读存储介质，其特征在于，用于存储计算机程序，所述计算机程序能够被处理器执行以实现如权利要求1至13中任一项所述的方法。