WO2024108374A1

WO2024108374A1 - 配置设备的方法及装置

Info

Publication number: WO2024108374A1
Application number: PCT/CN2022/133415
Authority: WO
Inventors: 茹昭
Original assignee: Oppo广东移动通信有限公司
Priority date: 2022-11-22
Filing date: 2022-11-22
Publication date: 2024-05-30

Abstract

提供了一种配置设备的方法及装置, 该方法包括: 第一设备通过证书中心验证第二设备的根认证中心证书RCAC, 所述证书中心能够确定所述RCAC的合法性. 本申请实施例中的方法, 能够提高网络配置过程中的安全性.

Description

配置设备的方法及装置

技术领域

本申请涉及通信技术领域，并且更为具体地，涉及一种配置设备的方法及装置。

背景技术

随着编织网络(fabric)的广泛应用，用户对编织网络的功能需求越来越高，因此，如何完善编织网络的功能，以提高用户体验，成为一个亟需解决的技术问题。

发明内容

本申请提供一种配置设备的方法及装置。下面对本申请实施例涉及的各个方面进行介绍。

第一方面，提供了一种配置设备的方法，包括：第一设备通过证书中心验证第二设备的根认证中心证书RCAC，所述证书中心能够确定所述RCAC的合法性。

第二方面，提供了一种配置设备的方法，包括：第二设备接收第一设备发送的第九信息，所述第九信息用于请求所述第二设备的根认证中心证书RCAC；所述第二设备向所述第一设备发送第十信息，所述第十信息用于指示所述RCAC。

第三方面，提供了一种配置设备的装置，包括：验证单元，用于通过证书中心验证第二设备的根认证中心证书RCAC，所述证书中心能够确定所述RCAC的合法性。

第四方面，提供了一种配置设备的装置，包括：接收单元，用于接收第一设备发送的第九信息，所述第九信息用于请求所述装置的根认证中心证书RCAC；发送单元，用于向所述第一设备发送第十信息，所述第十信息用于指示所述RCAC。

第五方面，提供一种配置设备的装置，包括存储器和处理器，所述存储器用于存储程序，所述处理器用于调用所述存储器中的程序，以执行如第一方面所述的方法。

第六方面，提供一种配置设备的装置，包括存储器和处理器，所述存储器用于存储程序，所述处理器用于调用所述存储器中的程序，以执行第二方面所述的方法。

第七方面，提供一种配置设备的装置，包括处理器，用于从存储器中调用程序，以执行第一方面所述的方法。

第八方面，提供一种配置设备的装置，包括处理器，用于从存储器中调用程序，以执行第二方面所述的方法。

第九方面，提供一种芯片，包括处理器，用于从存储器调用程序，使得安装有所述芯片的设备执行第一方面所述的方法。

第十方面，提供一种芯片，包括处理器，用于从存储器调用程序，使得安装有所述芯片的设备执行第二方面所述的方法。

第十一方面，提供一种计算机可读存储介质，其上存储有程序，所述程序使得计算机执行第一方面所述的方法。

第十二方面，提供一种计算机可读存储介质，其上存储有程序，所述程序使得计算机执行第二方面所述的方法。

第十三方面，提供一种计算机程序产品，包括程序，所述程序使得计算机执行第一方面所述的方法。

第十四方面，提供一种计算机程序产品，包括程序，所述程序使得计算机执行第二方面所述的方法。

第十五方面，提供一种计算机程序，所述计算机程序使得计算机执行第一方面所述的方法。

第十六方面，提供一种计算机程序，所述计算机程序使得计算机执行第二方面所述的方法。

在本申请实施例中，第一设备通过证书中心能够验证第二设备的根认证中心证书RCAC，从而能够降低配置过程中被攻击的风险，避免出现生态平台敏感数据泄露的问题。

附图说明

图1是本申请实施例的一个应用场景的示例图。

图2是本申请实施例中配置设备的方法的示意性流程图。。

图3是本申请一个实施例提供的配置设备的方法的示意性流程图。

图4是本申请另一个实施例提供的配置设备的方法的示意性流程图。

图5是本申请又一个实施例提供的配置设备的方法的示意性流程图。

图6是本申请又一个实施例提供的配置设备的方法的示意性流程图。

图7是本申请一个实施例提供的配置设备的装置的示意性结构图。

图8是本申请另一实施例提供的配置设备的装置的示意性结构图。

图9是本申请一实施例提供的装置的示意性结构图。

具体实施方式

下面将结合附图，对本申请中的技术方案进行描述。

图1是本申请实施例的一个应用场景100的示例图。该应用场景100可以包括网络110，终端设备112及终端设备130位于网络110(的覆盖范围)中。终端设备112可以与终端设备130进行数据传输。终端设备112可以为网络110的管理设备，终端设备112可以将终端设备130配置到网络110中(即与网络110建立连接)。

可选地，在将终端设备130配置到网络110中之后，还可以继续将终端设备130配置到其他网络中。例如，该应用场景100还可以包括网络120，终端设备122及终端设备130位于网络120(的覆盖范围内)中，可以看出，终端设备130可以同时位于网络110及网络120中。终端设备122可以与终端设备130进行数据传输。终端设备122可以为网络120的管理设备，终端设备122可以将终端设备130配置到网络120中(即与网络120建立连接)。

网络110与网络120可以为其覆盖范围内的终端设备提供服务，例如，与其覆盖范围内的终端设备建立网络连接、使其覆盖范围内的多个终端设备之间进行数据传输等。网络110与网络120可以为编织网络(fabric)。网络110与网络120可以称为生态网络或生态平台。

图1示例性地示出了两个网络和三个终端设备，可选地，该应用场景100可以包括更多或更少的网络或终端设备，本申请实施例对此不做限定。应理解，本申请实施例并不限于图1所示的***架构，本申请实施例的技术方案可以应用于各种***架构，本申请实施例中对此并不限定。

本申请实施例中的终端设备112或终端设备122也可以称为管理设备、用户设备等。可选地，终端设备112可以为网络110中具有管理员权限的设备(即管理设备)，终端设备122也可以为网络120中具有管理员权限的设备。终端设备112或终端设备122可以是手机(mobile phone)、平板电脑(Pad)、笔记本电脑、掌上电脑、可穿戴设备等。

本申请实施例中的终端设备130也可以称为节点(node)设备、用户设备等。终端设备130可以是照明，门锁、百叶窗、电视、暖通和空调***、安全传感器和控制器、网关等设备。终端设备130可以与网络110、网络120建立连接，并与网络110中的终端设备112及网络120中的终端设备122进行数据传输。

在图1中，若终端设备112将终端设备130配置到网络110之前，终端设备130没有与任何网络建立连接，那么终端设备112将终端设备130配置到网络110的过程可以称为首次配网；终端设备122将终端设备130配置到网络120中时，终端设备130已经与网络110建立连接，那么终端设备122将终端设备130配置到网络120的过程可以称为二次配网。需要说明的是，二次配网并非特指第二次配网，除首次配网之外的所有非首次配网均可以称为二次配网。下面结合图2，对二次配网的过程进行描述。

在图2中，管理设备A为生态网络A中的配置器，具有生态网络A中的管理员权限，管理设备B为生态网络B中的配置器，具有生态网络B中的管理员权限，用户设备已与生态网络A建立连接。生态网络A与生态网络B可以对应不同的生态厂商，例如，生态网络A可以对应谷歌(Google)的生态A，生态网络B可以对应小米的生态B。

如图2所示，方法200可以包括下述步骤：

S201，用户开启用户设备的配置模式。

例如，用户可以向管理设备A输入操作指令，以开启管理设备A中的相关应用程序(APP)，并使该APP进行(用户设备的)配置模式。

S202，管理设备A产生配置令牌OT。

例如，管理设备A中的APP可以产生配置令牌(Onboarding Token，OT)。在方法200的后续步骤中，管理设备A执行的动作均可以是管理设备A的APP执行的。

S203，管理设备A向用户设备发送开启配置的指令。

该指令可以携带S202中产生的配置令牌。

S204，用户设备进入配置发现模式。

S205，用户设备向管理设备A发送响应消息。

S206，管理设备A向管理设备B发送配置令牌。

例如，管理设备A可以通过邮件、语音等方式将S202中产生的配置令牌发送给管理设备B。

S207，管理设备B发现用户设备。

S208，管理设备B使用配置令牌与用户设备建立安全连接。

该安全连接可以为基于密钥认证的安全会话建立(password authenticated session establishment，PASE)连接。

S209，管理设备B认证用户设备的认证声明(certification declaration，CD)。

S210，管理设备B为生态网络B创建标识。

例如，若生态网络B未在家庭网络中使用过，则管理设备B为生态网络B创建网络标识(fabricID)。

S211，用户设备向管理设备B发送证书签名请求(certificate signing request，CSR)。

例如，用户设备可以为台灯(bulb)，用户设备可以向管理设备B发送证书请求CSR.bulb。

S212，管理设备B向认证中心(certificate authority，CA)发送网络标识及CSR。

CA可以指生态网络B对应的认证中心(或证书颁发中心)。管理设备B可以将CSR.bulb和fabricID发送到CA请求设备证书。

S213，CA向管理设备B发送设备证书。

该设备证书可以指生态网络B对应的设备证书。CA可以向管理设备B发送B.OC.bulb(设备证书)。

S214，管理设备B配置用户设备。

管理设备B可以将设备证书B.OC.bulb和访问控制权限ACL.Bulb.B.APP1配置到用户设备(bulb)。

在上述方法200中，生态网络B对应的设备证书可以是基于生态网络B对应的生态厂商的根认证中心证书(root certificate authority certificate，RCAC)确定的。RCAC可以包括多种格式。

例如，在X.509标准中RCAC的格式可以如下：

再例如，RCAC的Matter TLV格式可以如下：

从上述图2中的配网过程可以看出，生态A(中的管理设备A)掌握用户设备的配网密码(如配置令牌等)并分享给生态B中的管理设备B，当管理设备B与用户设备建立PASE连接时，A生态(中的管理设备A)可以发起中间人攻击从而窃听管理设备B与用户设备之间的通信，获取生态B的秘密数据。例如，管理设备A可以创建虚拟的中间设备，并修改其向管理设备B发送的配网密码及相关数据，以使得管理设备B与中间设备(而非用户设备)建立连接，进一步地，还可以在中间设备与用户设备之间建立连接，这样种管理设备A就可以窃听管理设备B与用户设备之间的通信，获取生态B的秘密数据。因此，现有的二次配网过程存在被攻击的风险，可能会出现生态平台敏感数据泄露的问题。

为了解决上述技术问题中的一个或多个，本申请提出一种配置设备的方法及装置，能够提高网络配置过程中的安全性。下面结合图3至图6对本申请实施例进行详细说明。

图3是本申请实施例的配置设备的方法的一个示意性流程图。图3所示的方法300可以包括步骤S310，具体如下：

S310，第一设备通过证书中心验证第二设备的RCAC。

第一设备可以为网络(如生态B)中的管理设备(如配置器(commissioner))。第二设备可以为用户设备。

证书中心能够确定所述RCAC的合法性。可选地，证书中心可以为区块链、云端、认证中心(如图2中的认证中心)或其他服务器，例如，证书中心可以为分布式合规记账本(distributed compliance ledger，DCL)。各生态厂商的RCAC可以存放在共同的证书中心中。证书中心可以采取安全措施以使得其存放的RCAC只能被查询，无法被篡改。后续实施例中，会结合表1至表6对RCAC在证书中心中的存储方式进行说明。

在一些实施例中，在步骤S310之前，方法300还可以包括步骤S320，具体如下：

S320，第一设备确定当前配置是否为二次配网。

可选地，在当前配置为二次配网的情况下，第一设备可以执行上述步骤S310。在上述步骤S310中验证第二设备的RCAC合法的情况下，对第二设备进行二次配网，这样可以能够降低配置过程中被攻击的风险，能够提高网络配置过程中的安全性。

例如，第一设备可以确定当前配置是否为二次配网；在当前配置为二次配网的情况下，第一设备可以通过证书中心验证第二设备的RCAC。

在本申请中，可以通过多种方法确定当前配置是否为二次配网，具体如下：

方法一，根据第二设备是否已配置编织网络确定当前配置是否为二次配网。

例如，第一设备可以向第二设备发送第五信息，第五信息可以用于请求第二设备的编织网络标识；若第二设备已配置编织网络，则第二设备可以向第一设备发送第六信息，若第二设备未配置编织网络，则第二设备可以不向第一设备发送第六信息；相应地，若第一设备接收到第二设备发送的第六信息，则第一设备可以确定当前配置为二次配网，若第一设备未接收到第二设备发送的第六信息，则第一设备可以确定当前配置为首次配网；其中，第六信息可以用于指示编织网络标识。

或者，在接收到第五信息的情况下，无论是否配置编织网络，第二设备可以均向第一设备发送第六信息，此时，第二设备可以通过第六信息指示不同的返回值来表示其是否已配置编织网络。

在发送第六信息之前，第二设备可以使用第一私钥对第六信息携带的编织网络标识(或返回值)进行签名，得到标识信息。相应地，在第一设备接收到第六信息之后，第一设备可以使用第一公钥对标识信息进行验证，以获取标识信息中的编织网络标识。其中，第一公钥可以与第一私钥对应。

方法二，根据第二设备的第一属性值确定当前配置是否为二次配网。

例如，第一设备可以向第二设备发送第七信息，第七信息可以用于请求第二设备的第一属性值；在接收到第七信息之后，第二设备可以向第一设备发送第八信息，第八信息可以用于指示第一属性值。第一设备可以根据第一属性值的取值确定是否为二次配网。例如，若第一属性值为非零值，则第一设备可以确定当前配置为二次配网；若第一属性值为零，则第一设备可以确定当前配置为首次配网。

在发送第八信息之前，第二设备可以使用第二私钥对第一属性值进行签名，得到属性信息。相应地，在第一设备接收到第八信息之后，第一设备可以使用第二公钥对属性信息进行验证，以获取属性信息中的第一属性值。其中，第二公钥可以与第二私钥对应。

在步骤S310之前，第一设备可以获取第二设备的RCAC。例如，在步骤S310之前，方法300还可以包括步骤S330及S340，具体如下：

S330，第一设备向第二设备发送第九信息。

其中，第九信息可以用于请求第二设备的RCAC。

S340，第二设备向第一设备发送第十信息。

其中，第十信息可以用于指示第二设备的RCAC。

在S340之前，第二设备还可以使用第三私钥对RCAC进行签名，得到RCAC信息。此时，第十信息可以包括RCAC信息。

相应地，在接收到第十信息之后，第一设备可以使用第三公钥对RCAC信息进行验证，以确定RCAC信息包括RCAC。其中，第三公钥可以与第三私钥对应。

在获取第二设备的RCAC之后，第一设备就可以通过证书中心验证第二设备的RCAC。例如，第一设备可以通过证书中心中存储的RCAC验证所述第二设备的RCAC。

在本申请实施例中，第一设备可以通过多种方法验证第二设备的RCAC，具体如下：

方法一：根据第二设备的RCAC确定是否配置第二设备。

第一设备可以在证书中心中查找RCAC。

证书中心可以包括第三语法，第三语法可以包括厂商语法和/或用于记录RCAC而构建的语法，第三语法可以包括用于记录RCAC的字段。也就是说，证书中心可以包括第三语法对应的数据库，该数据库可以是基于第三语法的数据结构定义的，各生态厂商的的RCAC可以存储于数据库中的用于记录RCAC的字段。

例如，可以在DCL中增加RCAC语法(schema)，RCAC语法用于存储生态厂商的根CA证书。RCAC语法的结构可以如下述表1所示。

表1 RCAC语法的结构

Name	Type	Constraint	Conformance	Mutable
TrustRootCertificate	string	all	M	No

或者，也可以在DCL的厂商(vendor)语法中增加TrustRootCertificate字段。厂商语法及加 TrustRootCertificate字段可以如下述表2所示。

表2 厂商语法的结构

Name	Type	Constraint	Conformance	Mutable
VendorID	vendor-id	all	M	No
VendorName	string	max 128	M	Yes
CompanyLegalName	string	max 256	M	Yes
CompanyPreferredName	string	max 256	O	Yes
VendorLandingPageUrl	string	max 256	O	Yes
TrustRootCertificate	string	all	O	Yes

例如，如上述表1及表2所示，第一设备可以在RCAC语法或厂商语法中(或者说在语法对应的数据库中)查找第二设备的RCAC。

若证书中心不包括RCAC，则第一设备可以确定第二设备被非法生态平台绑定。

可选地，若证书中心不包括RCAC，则第一设备可以输出第一信息，第一信息可以用于询问用户是否继续配置第二设备。进一步地，在用户指示继续配置第二设备的情况下，第一设备可以触发第二设备的配置流程。

若证书中心包括RCAC，则第一设备可以触发第二设备的配置流程。

下面结合图4对上述实施例进行详细说明，如图4所示，方法400包括步骤S401至S408，具体如下：

S401，配置器发现用户设备并与用户设备建立PASE连接。

S402，配置器配置用户设备的基本信息。

例如，用户设备的时间、用户设备所在区域等。

S403，配置器认证用户设备的合法性。

上述S401至S403可以参照现有技术，这里不再赘述。

S404，配置器确定当前配置是否为二次配网。

配置器可以确定用户设备是否已配置Fabric，若已配置，则确定当前配置为二次配网。

S405，配置器获取用户设备的RCAC。

配置器可以读取用户设备已配置的RCAC。

S406，配置器在DCL中查找RCAC。

配置器可以连接DCL，并在DCL中查找从用户设备处获取的RCAC。

S407，配置器在DCL中未找到该RCAC。

若未在DCL中找到该RCAC，则配置器可以向用户提示该用户设备可能被非法生态平台绑定，并询问用户是否继续配置该用户设备。

S408，配置器配置该用户设备。

若用户同意继续配置，则配置器可以发起CSR请求，为用户设备配置NOC。

或者，配置器在DCL中找到该RCAC，则配置器可以发起CSR请求，为用户设备配置NOC。

在一些实施例中，若证书中心包括RCAC，则第一设备可以进一步通过证书中心中RCAC对应的厂商标识验证第二设备的RCAC。

例如，若证书中心包括RCAC，则第一设备可以在证书中心中查找RCAC对应的厂商标识；第一设备也可以获取第二设备的厂商标识；进一步地，第一设备可以将第二设备的厂商标识(即第二设备的RCAC对应的厂商标识)与(证书中心中查找到的)RCAC对应的厂商标识进行比较，并根据比较结果验证第二设备的RCAC(或者说验证第二设备的RCAC对应的厂商标识)。

证书中心可以包括第四语法，所述第四语法包括厂商语法和/或用于记录RCAC而构建的语法，所述第四语法包括用于记录RCAC的字段及用于记录厂商标识的字段。也就是说，证书中心可以包括第四语法对应的数据库，该数据库可以是基于第四语法的数据结构定义的，第二设备的RCAC可以存储于数据库中的用于记录RCAC的字段，各生态厂商的RCAC对应的厂商标识可以存储于数据库中的用于记录厂商标识的字段。

例如，可以在上述表1中的RCAC语法中增加用于存储RCAC对应的厂商标识的字段(如VendorID字段)。修改后的RCAC语法的结构可以如下述表3所示。

表3 RCAC语法的结构

Name	Type	Constraint	Conformance	Mutable
VendorID	vendor-id	all	M	No
TrustRootCertificate	string	all	M	No

例如，如上述表3所示，第一设备可以在RCAC语法(或者说在语法对应的数据库中)查找RCAC对应的厂商标识。或者，如上述表2所示，第一设备可以在厂商语法中(或者说在语法对应的数据库中)查找RCAC对应的厂商标识(如VendorID字段)。

可选地，若第二设备的厂商标识与证书中心中该RCAC对应的厂商标识不一致，则第一设备可以确定第二设备被非法生态平台绑定。

进一步地，若第二设备的厂商标识与证书中心中该RCAC对应的厂商标识不一致，则第一设备还可以输出第二信息，第二信息可以用于询问用户是否继续配置第二设备。进一步地，在用户指示继续配置第二设备的情况下，第一设备可以触发第二设备的配置流程。

若第二设备的厂商标识与RCAC对应的厂商标识一致，则第一设备可以触发第二设备的配置流程。例如，第一设备可以发起证书签名请求(certificate signing request，CSR)请求，为第二设备配置节点操作证书(node operational certificate，NOC)。

下面结合图5对上述实施例进行详细说明，如图5所示，方法500包括步骤S501至S511，具体如下：

S501，配置器发现用户设备并与用户设备建立PASE连接。

S502，配置器配置用户设备的基本信息。

例如，用户设备的时间、用户设备所在区域等。

S503，配置器认证用户设备的合法性。

上述S501至S503可以参照现有技术，这里不再赘述。

S504，配置器确定当前配置是否为二次配网。

S505，配置器获取用户设备的RCAC。

配置器可以读取用户设备已配置的RCAC。

S506，配置器在DCL中查找RCAC。

配置器可以连接DCL，并在DCL中查找从用户设备处获取的RCAC。

S507，配置器在DCL中未找到该RCAC。

或者，配置器在DCL中找到该RCAC，则可以执行S508。

S508，配置器获取用户设备的厂商标识(VID)。

S509，配置器在DCL中查找RCAC对应的厂商标识。

S510，配置器比较用户设备的VID与(在DCL中查找到的)该RCAC对应的厂商标识是否一致。

若用户设备的VID与(在DCL中查找到的)该RCAC对应的厂商标识不一致，则配置器可以提示用户设备可能被非法生态平台绑定，并询问用户是否继续配置该用户设备。

S511，配置器配置该用户设备。

或者，若用户设备的VID与(在DCL中查找到的)该RCAC对应的厂商标识一致，则配置器可以发起CSR请求，为用户设备配置NOC。

方法二：根据第二设备的RCAC的标识确定是否配置第二设备。

第一设备可以确定RCAC的标识。例如，第一设备可以从第二设备的RCAC中读取RCAC的标识。

可选地，RCAC的标识可以包括以下至少一项：RCAC的主体(subject字段)、RCAC的公钥及RCAC的主体密钥标识(subject key identifier)。

第一设备可以在证书中心中查找RCAC的标识。

证书中心可以包括第一语法，第一语法可以包括用于记录RCAC的标识的字段。也就是说，证书中心可以包括第一语法对应的数据库，各生态厂商的RCAC的标识可以存储于数据库中的用于记录RCAC的标识的字段。

例如，当RCAC的标识为主体字段时，可以在DCL的厂商语法中增加RCACSubject字段。具体可以如下述表4所示。

表4 厂商语法的结构

Name	Type	Constraint	Conformance	Mutable
VendorID	vendor-id	all	M	No
VendorName	string	max 128	M	Yes
CompanyLegalName	string	max 256	M	Yes
CompanyPreferredName	string	max 256	O	Yes
VendorLandingPageUrl	string	max 256	O	Yes
RCACSubject	string	all	O	Yes

当RCAC的标识为公钥时，也可以在DCL的厂商语法中增加RCACPubKey字段。具体可以如下述表5所示。

表5 厂商语法的结构

Name	Type	Constraint	Conformance	Mutable
VendorID	vendor-id	all	M	No
VendorName	string	max 128	M	Yes
CompanyLegalName	string	max 256	M	Yes
CompanyPreferredName	string	max 256	O	Yes
VendorLandingPageUrl	string	max 256	O	Yes
RCACPubKey	string	65	O	Yes

当RCAC的标识为主体密钥标识(subject key identifier)时，可以在DCL的厂商语法中增加RCACSubjectKeyID字段。具体可以如下述表6所示。

表6 厂商语法的结构

Name	Type	Constraint	Conformance	Mutable
VendorID	vendor-id	all	M	No
VendorName	string	max 128	M	Yes
CompanyLegalName	string	max 256	M	Yes
CompanyPreferredName	string	max 256	O	Yes
VendorLandingPageUrl	string	max 256	O	Yes
RCACSubjectKeyID	string	all	O	Yes

例如，如上述表4至表6所示，第一设备可以在厂商语法中(或者说在语法对应的数据库中)查找RCAC的标识。

若证书中心不包括RCAC的标识，则第一设备可以确定第二设备被非法生态平台绑定。

进一步地，若证书中心不包括RCAC的标识，则第一设备可以输出第三信息，第三信息可以用于询问用户是否继续配置第二设备。进一步地，在用户指示继续配置第二设备的情况下，第一设备可以触发第二设备的配置流程。

若证书中心包括RCAC的标识，则第一设备可以触发第二设备的配置流程。

在一些实施例中，若证书中心包括RCAC的标识，则第一设备可以进一步通过证书中心中RCAC的标识对应的厂商标识验证第二设备的RCAC。

例如，若证书中心包括RCAC的标识，则第一设备可以在所述证书中心中查找所述RCAC的标识对应的厂商标识；第一设备可以获取第二设备的厂商标识；进一步地，第一设备可以将第二设备的厂商标识与(证书中心中查找到的)RCAC的标识对应的厂商标识进行比较，并根据比较结果验证第二设备的RCAC(或者说验证第二设备的RCAC的标识对应的厂商标识)。

证书中心可以包括第二语法，第二语法可以包括用于记录RCAC的标识的字段及用于记录厂商标识的字段。也就是说，证书中心可以包括第二语法对应的数据库，该数据库可以是基于第二语法的数据结构定义的，各生态厂商的RCAC的标识可以存储于数据库中的用于记录RCAC的标识的字段，各生态厂商的RCAC的标识对应的厂商标识可以存储于数据库中的用于记录厂商标识的字段。

例如，RCAC的标识对应的厂商标识可以存储于上述表4至表6中的用于记录厂商标识的字段(如VendorID字段)。例如，如上述表4至表6所示，第一设备可以在RCAC语法(或者说在语法对应的数据库中)查找RCAC的标识对应的厂商标识。

可选地，若第二设备的厂商标识与证书中心中RCAC的标识对应的厂商标识不一致，则第一设备可以确定第二设备被非法生态平台绑定。

进一步地，若第二设备的厂商标识与RCAC的标识对应的厂商标识不一致，则第一设备还可以输出第四信息，第四信息可以用于询问用户是否继续配置第二设备。进一步地，在用户指示继续配置第二设备的情况下，第一设备可以触发第二设备的配置流程。

若第二设备的厂商标识与RCAC的标识对应的厂商标识一致，则第一设备可以触发第二设备的配置流程。例如，第一设备可以发起证书签名请求(certificate signing request，CSR)请求，为第二设备配置节点操作证书(node operational certificate，NOC)。

下面结合图6对上述实施例进行详细说明，如图6所示，方法600包括步骤S601至S612，具体如下：

S601，配置器发现用户设备并与用户设备建立PASE连接。

S602，配置器配置用户设备的基本信息。

例如，用户设备的时间、用户设备所在区域等。

S603，配置器认证用户设备的合法性。

上述S601至S603可以参照现有技术，这里不再赘述。

S604，配置器确定当前配置是否为二次配网。

S605，配置器获取用户设备的RCAC。

配置器可以读取用户设备已配置的RCAC。

S606，配置器获取RCAC的标识。

配置器可以从RCAC中提取RCAC的标识。

S607，配置器在DCL中查找RCAC的标识。

配置器可以连接DCL，并在DCL中查找从用户设备处获取的RCAC的标识。

S608，配置器在DCL中未找到该RCAC的标识。

若未在DCL中找到该RCAC的标识，则配置器可以向用户提示该用户设备可能被非法生态平台绑定，并询问用户是否继续配置该用户设备。

或者，配置器在DCL中找到该RCAC的标识，则可以执行S609。

S609，配置器获取用户设备的厂商标识(VID)。

S610，配置器在DCL中查找RCAC对应的厂商标识。

S611，配置器比较用户设备的VID与(在DCL中查找到的)该RCAC对应的厂商标识是否一致。

S612，配置器配置该用户设备。

上文结合图1至图6，详细描述了本申请的方法实施例，下面结合图7至图9，详细描述本申请的装置实施例。应理解，方法实施例的描述与装置实施例的描述相互对应，因此，未详细描述的部分可以参见前面方法实施例。

图7是本申请一实施例提供的配置设备的装置的示意性结构图。如图7所示，所述装置700包括验证单元710，具体如下：

验证单元710，用于通过证书中心验证第二设备的根认证中心证书RCAC，所述证书中心能够确定所述RCAC的合法性。

可选地，所述装置700还包括确定单元720，用于：确定当前配置是否为二次配网；其中，所述验证单元710具体用于：在当前配置为二次配网的情况下，通过所述证书中心验证第二设备的RCAC。

可选地，所述验证单元710具体用于：通过所述证书中心中存储的RCAC验证所述第二设备的RCAC。

可选地，所述验证单元710具体用于：在所述证书中心中查找所述RCAC；若所述证书中心不包括所述RCAC，则确定所述第二设备被非法生态平台绑定。

可选地，所述验证单元710还用于：若所述证书中心不包括所述RCAC，则输出第一信息，所述第一信息用于询问用户是否继续配置所述第二设备；所述装置700还包括触发单元730，用于：在用户指示继续配置所述第二设备的情况下，触发所述第二设备的配置流程。

可选地，所述装置700还包括触发单元730，用于：若所述证书中心包括所述RCAC，则触发所述第二设备的配置流程。

可选地，所述验证单元710还用于：若所述证书中心包括所述RCAC，则通过所述证书中心中所述RCAC对应的厂商标识验证所述第二设备的RCAC。

可选地，所述验证单元710具体用于：在所述证书中心中查找所述RCAC的厂商标识；若所述证书中心包括所述RCAC、且所述第二设备的厂商标识与所述证书中心中所述RCAC对应的厂商标识不一致，则确定所述第二设备被非法生态平台绑定。

可选地，所述装置700还包括输出单元740，用于：若所述证书中心包括所述RCAC、且所述第二设备的厂商标识与所述证书中心中所述RCAC对应的厂商标识不一致，则输出第二信息，所述第二信息用于询问用户是否继续配置所述第二设备；所述装置700还包括触发单元730，用于：在用户指示继续配置所述第二设备的情况下，触发所述第二设备的配置流程。

可选地，所述装置700还包括触发单元730，用于：若所述证书中心包括所述RCAC、且所述第二设备的厂商标识与所述RCAC对应的厂商标识一致，则触发所述第二设备的配置流程。

可选地，所述验证单元710具体用于：通过所述证书中心中存储的RCAC的标识验证所述第二设备的RCAC。

可选地，所述验证单元710具体用于：在所述证书中心中查找所述RCAC的标识；若所述证书中心不包括所述RCAC的标识，则确定所述第二设备被非法生态平台绑定。

可选地，所述装置700还包括输出单元740，用于：若所述证书中心不包括所述RCAC的标识，则输出第三信息，所述第三信息用于询问用户是否继续配置所述第二设备；所述装置700还包括触发单元730，用于：在用户指示继续配置所述第二设备的情况下，触发所述第二设备的配置流程。

可选地，所述装置700还包括触发单元730，用于：若所述证书中心包括所述RCAC的标识，则触发所述第二设备的配置流程。

可选地，所述验证单元710还用于：若所述证书中心包括所述RCAC的标识，则通过所述证书中心中所述RCAC的标识对应的厂商标识验证所述第二设备的RCAC。

可选地，所述验证单元710具体用于：在所述证书中心中查找所述RCAC的标识对应的厂商标识；若所述证书中心包括所述RCAC的标识、且所述第二设备的厂商标识与所述RCAC的标识对应的厂商标识不一致，则确定所述第二设备被非法生态平台绑定。

可选地，所述装置700还包括输出单元740，用于：若所述证书中心包括所述RCAC的标识、且所述第二设备的厂商标识与所述RCAC的标识对应的厂商标识不一致，则输出第四信息，所述第四信息用于询问用户是否继续配置所述第二设备；所述装置700还包括触发单元730，用于：在用户指示继续配置所述第二设备的情况下，触发所述第二设备的配置流程。

可选地，所述装置700还包括触发单元730，用于：若所述证书中心包括所述RCAC的标识、且所述第二设备的厂商标识与所述RCAC的标识对应的厂商标识一致，则触发所述第二设备的配置流程。

可选地，所述证书中心包括第一语法，所述第一语法包括用于记录RCAC的标识的字段；所述验证单元710具体用于：在所述第一语法中查找所述RCAC的标识。

可选地，所述证书中心包括第二语法，所述第二语法包括用于记录RCAC的标识的字段及用于记录厂商标识的字段；所述验证单元710具体用于：在所述第二语法中查找所述RCAC对应的厂商标识。

可选地，所述RCAC的标识包括以下至少一项：所述RCAC的主体、所述RCAC的公钥及所述RCAC的主体密钥标识。

可选地，所述装置700还包括发送单元750，用于：向所述第二设备发送第五信息，所述第五信息用于请求所述第二设备的编织网络标识；所述确定单元720具体用于：若所述装置接收到所述第二设备发送的第六信息，则确定当前配置为二次配网；若所述装置未接收到所述第二设备发送的所述第六信息，则确定当前配置为首次配网；其中，所述第六信息用于指示所述编织网络标识。

可选地，所述第六信息包括标识信息，所述标识信息是通过第一私钥签名后得到的，所述验证单元710还用于：使用第一公钥对所述标识信息进行验证，以获取所述标识信息中的所述编织网络标识，所述第一公钥与所述第一私钥对应。

可选地，所述装置700还包括发送单元750和接收单元760，所述发送单元750用于：向所述第二设备发送第七信息，所述第七信息用于请求所述第二设备的第一属性值；所述接收单元760用于：接收所述第二设备发送的第八信息，所述第八信息用于指示所述第一属性值；所述确定单元具体用于：若所述第一属性值为非零值，则确定当前配置为二次配网；若所述第一属性值为零，则确定当前配置为首次配网。

可选地，所述第八信息包括属性信息，所述属性信息是通过第二私钥签名后得到的，所述验证单元710还用于：使用第二公钥对所述属性信息进行验证，以获取所述属性信息中的所述第一属性值，所述第二公钥与所述第二私钥对应。

可选地，所述装置700还包括发送单元750和接收单元760，所述发送单元750用于：向所述第二设备发送第九信息，所述第九信息用于请求所述第二设备的RCAC；所述接收单元760用于：接收所述第二设备发送的第十信息，所述第十信息用于指示所述RCAC。

可选地，所述第十信息包括RCAC信息，所述RCAC信息是通过第三私钥签名后得到的，所述验证单元710还用于：使用第三公钥对所述RCAC信息进行验证，以确定所述RCAC信息包括所述RCAC，所述第三公钥与所述第三私钥对应。

可选地，所述证书中心包括第三语法，所述第三语法包括厂商语法和/或用于记录RCAC而构建的语法，所述第三语法包括用于记录RCAC的字段；所述验证单元710具体用于：在所述第三语法中查找所述RCAC。

可选地，所述证书中心包括第四语法，所述第四语法包括厂商语法和/或用于记录RCAC而构建的语法，所述第四语法包括用于记录RCAC的字段及用于记录厂商标识的字段；所述验证单元710具体用于：在所述第四语法中查找所述RCAC对应的厂商标识。

图8是本申请一实施例提供的配置设备的装置的示意性结构图。图8中的配置设备的装置800包括接收单元810及发送单元820，具体如下：

接收单元810，用于接收第一设备发送的第九信息，所述第九信息用于请求所述装置的根认证中心证书RCAC；

发送单元820，用于向所述第一设备发送第十信息，所述第十信息用于指示所述RCAC。

可选地，所述第十信息包括RCAC信息，所述装置800还包括签名单元830，用于：使用第三私钥对所述RCAC进行签名，得到所述RCAC信息。

可选地，所述接收单元810还用于：接收所述第一设备发送的第五信息，所述第五信息用于请求所述装置的编织网络标识；所述发送单元820还用于：若所述装置已配置编织网络，则向所述第一设备发送第六信息，所述第六信息用于指示所述编织网络标识。

可选地，所述第六信息包括标识信息，所述装置800还包括签名单元830，用于：使用第一私钥对所述编织网络标识进行签名，得到所述标识信息。

可选地，所述接收单元810还用于：接收所述第一设备发送的第七信息，所述第七信息用于请求所述装置的第一属性值；所述发送单元820还用于：向所述第一设备发送第八信息，所述第八信息用于指示所述第一属性值。

可选地，所述第八信息包括属性信息，所述装置800还包括签名单元830，用于：使用第二私钥对所述第一属性值进行签名，得到所述属性信息。

图9是本申请一实施例提供的装置的示意性结构图。图9中的虚线表示该单元或模块为可选的。该装置900可用于实现上述方法实施例中描述的方法。装置900可以是芯片或配置设备的装置。

装置900可以包括一个或多个处理器910。该处理器910可支持装置900实现前文方法实施例所描述的方法。该处理器910可以是通用处理器或者专用处理器。例如，该处理器可以为中央处理单元(central processing unit，CPU)。或者，该处理器还可以是其他通用处理器、数字信号处理器(digital signal processor，DSP)、专用集成电路(application specific integrated circuit，ASIC)、现成可编程门阵列(field programmable gate array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

装置900还可以包括一个或多个存储器920。存储器920上存储有程序，该程序可以被处理器910执行，使得处理器910执行前文方法实施例所描述的方法。存储器920可以独立于处理器910也可以集成在处理器910中。

装置900还可以包括收发器930。处理器910可以通过收发器930与其他设备或芯片进行通信。例如，处理器910可以通过收发器930与其他设备或芯片进行数据收发。

本申请实施例还提供一种计算机可读存储介质，用于存储程序。该计算机可读存储介质可应用于本申请实施例提供的配置设备的装置中，并且该程序使得计算机执行本申请各个实施例中的由配置设备的装置执行的方法。

本申请实施例还提供一种计算机程序产品。该计算机程序产品包括程序。该计算机程序产品可应用于本申请实施例提供的配置设备的装置中，并且该程序使得计算机执行本申请各个实施例中的由配置设备的装置执行的方法。

本申请实施例还提供一种计算机程序。该计算机程序可应用于本申请实施例提供的配置设备的装置中，并且该计算机程序使得计算机执行本申请各个实施例中的由配置设备的装置执行的方法。

应理解，在本申请实施例中，“与A相应的B”表示B与A相关联，根据A可以确定B。但还应理解，根据A确定B并不意味着仅仅根据A确定B，还可以根据A和/或其它信息确定B。

应理解，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

在本申请所提供的几个实施例中，应该理解到，所揭露的***、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个***，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够读取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，数字通用光盘(digital video disc，DVD))或者半导体介质(例如，固态硬盘(solid state disk，SSD))等。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

一种配置设备的方法，其特征在于，包括：

第一设备通过证书中心验证第二设备的根认证中心证书RCAC，所述证书中心能够确定所述RCAC的合法性。
根据权利要求1所述的方法，其特征在于，所述方法还包括：

所述第一设备确定当前配置是否为二次配网；

其中，所述第一设备通过证书中心验证第二设备的根认证中心证书RCAC，包括：

在当前配置为二次配网的情况下，所述第一设备通过所述证书中心验证第二设备的RCAC。
根据权利要求1或2所述的方法，其特征在于，所述第一设备通过证书中心验证第二设备的根认证中心证书RCAC，包括：

所述第一设备通过所述证书中心中存储的RCAC验证所述第二设备的RCAC。
根据权利要求3所述的方法，其特征在于，所述第一设备通过所述证书中心中存储的RCAC验证所述第二设备的RCAC，包括：

所述第一设备在所述证书中心中查找所述RCAC；

若所述证书中心不包括所述RCAC，则所述第一设备确定所述第二设备被非法生态平台绑定。
根据权利要求4所述的方法，其特征在于，所述方法还包括：

若所述证书中心不包括所述RCAC，则所述第一设备输出第一信息，所述第一信息用于询问用户是否继续配置所述第二设备；

在用户指示继续配置所述第二设备的情况下，所述第一设备触发所述第二设备的配置流程。
根据权利要求4或5所述的方法，其特征在于，所述方法还包括：

若所述证书中心包括所述RCAC，则所述第一设备触发所述第二设备的配置流程。
根据权利要求4或5所述的方法，其特征在于，所述方法还包括：

若所述证书中心包括所述RCAC，则所述第一设备通过所述证书中心中所述RCAC对应的厂商标识验证所述第二设备的RCAC。
根据权利要求7所述的方法，其特征在于，所述第一设备通过所述证书中心中所述RCAC对应的厂商标识验证所述第二设备的RCAC，包括：

所述第一设备在所述证书中心中查找所述RCAC的厂商标识；

若所述证书中心包括所述RCAC、且所述第二设备的厂商标识与所述证书中心中所述RCAC对应的厂商标识不一致，则所述第一设备确定所述第二设备被非法生态平台绑定。
根据权利要求8所述的方法，其特征在于，所述方法还包括：

若所述证书中心包括所述RCAC、且所述第二设备的厂商标识与所述证书中心中所述RCAC对应的厂商标识不一致，则所述第一设备输出第二信息，所述第二信息用于询问用户是否继续配置所述第二设备；

在用户指示继续配置所述第二设备的情况下，所述第一设备触发所述第二设备的配置流程。
根据权利要求8或9所述的方法，其特征在于，所述方法还包括：

若所述证书中心包括所述RCAC、且所述第二设备的厂商标识与所述RCAC对应的厂商标识一致，则所述第一设备触发所述第二设备的配置流程。
根据权利要求1或2所述的方法，其特征在于，所述第一设备通过证书中心验证第二设备的根认证中心证书RCAC，包括：

所述第一设备通过所述证书中心中存储的RCAC的标识验证所述第二设备的RCAC。
根据权利要求11所述的方法，其特征在于，所述第一设备通过所述证书中心中存储的RCAC的标识验证所述第二设备的RCAC，包括：

所述第一设备在所述证书中心中查找所述RCAC的标识；

若所述证书中心不包括所述RCAC的标识，则所述第一设备确定所述第二设备被非法生态平台绑定。
根据权利要求12所述的方法，其特征在于，所述方法还包括：

若所述证书中心不包括所述RCAC的标识，则所述第一设备输出第三信息，所述第三信息用于询问用户是否继续配置所述第二设备；

在用户指示继续配置所述第二设备的情况下，所述第一设备触发所述第二设备的配置流程。
根据权利要求12或13所述的方法，其特征在于，所述方法还包括：

若所述证书中心包括所述RCAC的标识，则所述第一设备触发所述第二设备的配置流程。
根据权利要求12或13所述的方法，其特征在于，所述方法还包括：

若所述证书中心包括所述RCAC的标识，则所述第一设备通过所述证书中心中所述RCAC的标识对应的厂商标识验证所述第二设备的RCAC。
根据权利要求15所述的方法，其特征在于，所述第一设备通过所述证书中心中所述RCAC的标识对应的厂商标识验证所述第二设备的RCAC，包括：

所述第一设备在所述证书中心中查找所述RCAC的标识对应的厂商标识；

若所述证书中心包括所述RCAC的标识、且所述第二设备的厂商标识与所述RCAC的标识对应的厂商标识不一致，则所述第一设备确定所述第二设备被非法生态平台绑定。
根据权利要求16所述的方法，其特征在于，所述方法还包括：

若所述证书中心包括所述RCAC的标识、且所述第二设备的厂商标识与所述RCAC的标识对应的厂商标识不一致，则所述第一设备输出第四信息，所述第四信息用于询问用户是否继续配置所述第二设备；

在用户指示继续配置所述第二设备的情况下，所述第一设备触发所述第二设备的配置流程。
根据权利要求16或17所述的方法，其特征在于，所述方法还包括：

若所述证书中心包括所述RCAC的标识、且所述第二设备的厂商标识与所述RCAC的标识对应的厂商标识一致，则所述第一设备触发所述第二设备的配置流程。
根据权利要求12至18中任一项所述的方法，其特征在于，所述证书中心包括第一语法，所述第一语法包括用于记录RCAC的标识的字段；

所述第一设备在所述证书中心中查找所述RCAC的标识，包括：

所述第一设备在所述第一语法中查找所述RCAC的标识。
根据权利要求15至19中任一项所述的方法，其特征在于，所述证书中心包括第二语法，所述第二语法包括用于记录RCAC的标识的字段及用于记录厂商标识的字段；

所述第一设备在所述证书中心中查找所述RCAC对应的厂商标识，包括：

所述第一设备在所述第二语法中查找所述RCAC对应的厂商标识。
根据权利要求11至20中任一项所述的方法，其特征在于，所述RCAC的标识包括以下至少一项：

所述RCAC的主体、所述RCAC的公钥及所述RCAC的主体密钥标识。
根据权利要求2所述的方法，其特征在于，所述第一设备确定当前配置是否为二次配网，包括：

所述第一设备向所述第二设备发送第五信息，所述第五信息用于请求所述第二设备的编织网络标识；

若所述第一设备接收到所述第二设备发送的第六信息，则所述第一设备确定当前配置为二次配网；

若所述第一设备未接收到所述第二设备发送的所述第六信息，则所述第一设备确定当前配置为首次配网；

其中，所述第六信息用于指示所述编织网络标识。
根据权利要求22所述的方法，其特征在于，所述第六信息包括标识信息，所述标识信息是通过第一私钥签名后得到的，所述方法还包括：

所述第一设备使用第一公钥对所述标识信息进行验证，以获取所述标识信息中的所述编织网络标识，所述第一公钥与所述第一私钥对应。
根据权利要求2所述的方法，其特征在于，所述第一设备确定当前配置是否为二次配网，包括：

所述第一设备向所述第二设备发送第七信息，所述第七信息用于请求所述第二设备的第一属性值；

所述第一设备接收所述第二设备发送的第八信息，所述第八信息用于指示所述第一属性值；

若所述第一属性值为非零值，则所述第一设备确定当前配置为二次配网；

若所述第一属性值为零，则所述第一设备确定当前配置为首次配网。
根据权利要求24所述的方法，其特征在于，所述第八信息包括属性信息，所述属性信息是通过第二私钥签名后得到的，所述方法还包括：

所述第一设备使用第二公钥对所述属性信息进行验证，以获取所述属性信息中的所述第一属性值，所述第二公钥与所述第二私钥对应。
根据权利要求1至25中任一项所述的方法，其特征在于，所述方法还包括：

所述第一设备向所述第二设备发送第九信息，所述第九信息用于请求所述第二设备的RCAC；

所述第一设备接收所述第二设备发送的第十信息，所述第十信息用于指示所述RCAC。
根据权利要求26所述的方法，其特征在于，所述第十信息包括RCAC信息，所述RCAC信息是通过第三私钥签名后得到的，所述方法还包括：

所述第一设备使用第三公钥对所述RCAC信息进行验证，以确定所述RCAC信息包括所述RCAC，所述第三公钥与所述第三私钥对应。
根据权利要求4至10中任一项所述的方法，其特征在于，所述证书中心包括第三语法，所述第三语法包括厂商语法和/或用于记录RCAC而构建的语法，所述第三语法包括用于记录RCAC的字段；

所述第一设备在所述证书中心中查找所述RCAC，包括：

所述第一设备在所述第三语法中查找所述RCAC。
根据权利要求8至10中任一项所述的方法，其特征在于，所述证书中心包括第四语法，所述第四语法包括厂商语法和/或用于记录RCAC而构建的语法，所述第四语法包括用于记录RCAC的字段及用于记录厂商标识的字段；

所述第一设备在所述证书中心中查找所述RCAC对应的厂商标识，包括：

所述第一设备在所述第四语法中查找所述RCAC对应的厂商标识。
一种配置设备的方法，其特征在于，包括：

第二设备接收第一设备发送的第九信息，所述第九信息用于请求所述第二设备的根认证中心证书RCAC；

所述第二设备向所述第一设备发送第十信息，所述第十信息用于指示所述RCAC。
根据权利要求30所述的方法，其特征在于，所述第十信息包括RCAC信息，所述方法还包括：

所述第二设备使用第三私钥对所述RCAC进行签名，得到所述RCAC信息。
根据权利要求30或31所述的方法，其特征在于，所述方法还包括：

所述第二设备接收所述第一设备发送的第五信息，所述第五信息用于请求所述第二设备的编织网络标识；

若所述第二设备已配置编织网络，则所述第二设备向所述第一设备发送第六信息，所述第六信息用于指示所述编织网络标识。
根据权利要求32所述的方法，其特征在于，所述第六信息包括标识信息，所述方法还包括：

所述第二设备使用第一私钥对所述编织网络标识进行签名，得到所述标识信息。
根据权利要求30或31所述的方法，其特征在于，所述方法还包括：

所述第二设备接收所述第一设备发送的第七信息，所述第七信息用于请求所述第二设备的第一属性值；

所述第二设备向所述第一设备发送第八信息，所述第八信息用于指示所述第一属性值。
根据权利要求34所述的方法，其特征在于，所述第八信息包括属性信息，所述方法还包括：

所述第二设备使用第二私钥对所述第一属性值进行签名，得到所述属性信息。
一种配置设备的装置，其特征在于，包括：

验证单元，用于通过证书中心验证第二设备的根认证中心证书RCAC，所述证书中心能够确定所述RCAC的合法性。
根据权利要求36所述的装置，其特征在于，所述装置还包括确定单元，用于：确定当前配置是否为二次配网；其中，所述验证单元具体用于：在当前配置为二次配网的情况下，通过所述证书中心验证第二设备的RCAC。
根据权利要求36或37所述的装置，其特征在于，所述验证单元具体用于：通过所述证书中心中存储的RCAC验证所述第二设备的RCAC。
根据权利要求38所述的装置，其特征在于，所述验证单元具体用于：在所述证书中心中查找所述RCAC；若所述证书中心不包括所述RCAC，则确定所述第二设备被非法生态平台绑定。
根据权利要求39所述的装置，其特征在于，所述验证单元还用于：若所述证书中心不包括所述RCAC，则输出第一信息，所述第一信息用于询问用户是否继续配置所述第二设备；所述装置还包括触发单元，用于：在用户指示继续配置所述第二设备的情况下，

触发所述第二设备的配置流程。
根据权利要求39或40所述的装置，其特征在于，所述装置还包括触发单元，用于：若所述证书中心包括所述RCAC，则触发所述第二设备的配置流程。
根据权利要求39或40所述的装置，其特征在于，所述验证单元还用于：若所述证书中心包括所述RCAC，则通过所述证书中心中所述RCAC对应的厂商标识验证所述第二设备的RCAC。
根据权利要求42所述的装置，其特征在于，所述验证单元具体用于：在所述证书中心中查找所述RCAC的厂商标识；若所述证书中心包括所述RCAC、且所述第二设备的厂商标识与所述证书中心中所述RCAC对应的厂商标识不一致，则确定所述第二设备被非法生态平台绑定。
根据权利要求43所述的装置，其特征在于，所述装置还包括输出单元，用于：

若所述证书中心包括所述RCAC、且所述第二设备的厂商标识与所述证书中心中所述RCAC对应的厂商标识不一致，则输出第二信息，所述第二信息用于询问用户是否继续配置所述第二设备；所述装置还包括触发单元，用于：在用户指示继续配置所述第二设备的情况下，触发所述第二设备的配置流程。
根据权利要求43或44所述的装置，其特征在于，所述装置还包括触发单元，用于：若所述证书中心包括所述RCAC、且所述第二设备的厂商标识与所述RCAC对应的厂商标识一致，则触发所述第二设备的配置流程。
根据权利要求36或37所述的装置，其特征在于，所述验证单元具体用于：通过所述证书中心中存储的RCAC的标识验证所述第二设备的RCAC。
根据权利要求46所述的装置，其特征在于，所述验证单元具体用于：在所述证书中心中查找所述RCAC的标识；若所述证书中心不包括所述RCAC的标识，则确定所述第二设备被非法生态平台绑定。
根据权利要求47所述的装置，其特征在于，所述装置还包括输出单元，用于：若所述证书中心不包括所述RCAC的标识，则输出第三信息，所述第三信息用于询问用户是否继续配置所述第二设备；所述装置还包括触发单元，用于：在用户指示继续配置所述第二设备的情况下，触发所述第二设备的配置流程。
根据权利要求47或48所述的装置，其特征在于，所述装置还包括触发单元，用于：若所述证书中心包括所述RCAC的标识，则触发所述第二设备的配置流程。
根据权利要求47或48所述的装置，其特征在于，所述验证单元还用于：若所述证书中心包括所述RCAC的标识，则通过所述证书中心中所述RCAC的标识对应的厂商标识验证所述第二设备的RCAC。
根据权利要求50所述的装置，其特征在于，所述验证单元具体用于：在所述证书中心中查找所述RCAC的标识对应的厂商标识；若所述证书中心包括所述RCAC的标识、且所述第二设备的厂商标识与所述RCAC的标识对应的厂商标识不一致，则确定所述第二设备被非法生态平台绑定。
根据权利要求51所述的装置，其特征在于，所述装置还包括输出单元，用于：若所述证书中心包括所述RCAC的标识、且所述第二设备的厂商标识与所述RCAC的标识对应的厂商标识不一致，则输出第四信息，所述第四信息用于询问用户是否继续配置所述第二设备；所述装置还包括触发单元，用于：在用户指示继续配置所述第二设备的情况下，触发所述第二设备的配置流程。
根据权利要求51或52所述的装置，其特征在于，所述装置还包括触发单元，用于：若所述证书中心包括所述RCAC的标识、且所述第二设备的厂商标识与所述RCAC的标识对应的厂商标识一致，则触发所述第二设备的配置流程。
根据权利要求47至53中任一项所述的装置，其特征在于，所述证书中心包括第一语法，所述第一语法包括用于记录RCAC的标识的字段；所述验证单元具体用于：在所述第一语法中查找所述RCAC的标识。
根据权利要求50至54中任一项所述的装置，其特征在于，所述证书中心包括第二语法，所述第二语法包括用于记录RCAC的标识的字段及用于记录厂商标识的字段；所述验证单元具体用于：在所述第二语法中查找所述RCAC对应的厂商标识。
根据权利要求46至55中任一项所述的装置，其特征在于，所述RCAC的标识包括以下至少一项：所述RCAC的主体、所述RCAC的公钥及所述RCAC的主体密钥标识。
根据权利要求37所述的装置，其特征在于，所述装置还包括发送单元，用于：向所述第二设备发送第五信息，所述第五信息用于请求所述第二设备的编织网络标识；所述确定单元具体用于：若所述装置接收到所述第二设备发送的第六信息，则确定当前配置为二次配网；若所述装置未接收到所述第二设备发送的所述第六信息，则确定当前配置为首次配网；其中，所述第六信息用于指示所述编织网络标识。
根据权利要求57所述的装置，其特征在于，所述第六信息包括标识信息，所述标识信息是通过第一私钥签名后得到的，所述验证单元还用于：使用第一公钥对所述标识信息进行验证，以获取所述标识信息中的所述编织网络标识，所述第一公钥与所述第一私钥对应。
根据权利要求37所述的装置，其特征在于，所述装置还包括发送单元和接收单元，所述发送单元用于：向所述第二设备发送第七信息，所述第七信息用于请求所述第二设备的第一属性值；所述接收单元用于：接收所述第二设备发送的第八信息，所述第八信息用于指示所述第一属性值；所述确定单元具体用于：若所述第一属性值为非零值，则确定当前配置为二次配网；若所述第一属性值为零，则确定当前配置为首次配网。
根据权利要求59所述的装置，其特征在于，所述第八信息包括属性信息，所述属性信息是通过第二私钥签名后得到的，所述验证单元还用于：使用第二公钥对所述属性信息进行验证，以获取所述属性信息中的所述第一属性值，所述第二公钥与所述第二私钥对应。
根据权利要求36至60中任一项所述的装置，其特征在于，所述装置还包括发送单元和接收单元，所述发送单元用于：向所述第二设备发送第九信息，所述第九信息用于请求所述第二设备的RCAC；所述接收单元用于：接收所述第二设备发送的第十信息，所述第十信息用于指示所述RCAC。
根据权利要求61所述的装置，其特征在于，所述第十信息包括RCAC信息，所述RCAC信息是通过第三私钥签名后得到的，所述验证单元还用于：使用第三公钥对所述RCAC信息进行验证，以确定所述RCAC信息包括所述RCAC，所述第三公钥与所述第三私钥对应。
根据权利要求39至45中任一项所述的装置，其特征在于，所述证书中心包括第三语法，所述第三语法包括厂商语法和/或用于记录RCAC而构建的语法，所述第三语法包括用于记录RCAC的字段；所述验证单元具体用于：在所述第三语法中查找所述RCAC。
根据权利要求43至45中任一项所述的装置，其特征在于，所述证书中心包括第四语法，所述第四语法包括厂商语法和/或用于记录RCAC而构建的语法，所述第四语法包括用于记录RCAC的字段及用于记录厂商标识的字段；所述验证单元具体用于：在所述第四语法中查找所述RCAC对应的厂商标识。
一种配置设备的装置，其特征在于，包括：

接收单元，用于接收第一设备发送的第九信息，所述第九信息用于请求所述装置的根认证中心证书RCAC；

发送单元，用于向所述第一设备发送第十信息，所述第十信息用于指示所述RCAC。
根据权利要求65所述的装置，其特征在于，所述第十信息包括RCAC信息，所述装置还包括签名单元，用于：使用第三私钥对所述RCAC进行签名，得到所述RCAC信息。
根据权利要求65或66所述的装置，其特征在于，所述接收单元还用于：接收所述第一设备发送的第五信息，所述第五信息用于请求所述装置的编织网络标识；所述发送单元还用于：若所述装置已配置编织网络，则向所述第一设备发送第六信息，所述第六信息用于指示所述编织网络标识。
根据权利要求67所述的装置，其特征在于，所述第六信息包括标识信息，所述装置还包括签名单元，用于：使用第一私钥对所述编织网络标识进行签名，得到所述标识信息。
根据权利要求65或66所述的装置，其特征在于，所述接收单元还用于：接收所述第一设备发送的第七信息，所述第七信息用于请求所述装置的第一属性值；所述发送单元还用于：向所述第一设备发送第八信息，所述第八信息用于指示所述第一属性值。
根据权利要求69所述的装置，其特征在于，所述第八信息包括属性信息，所述装置还包括签名单元，用于：使用第二私钥对所述第一属性值进行签名，得到所述属性信息。
一种配置设备的装置，其特征在于，包括存储器和处理器，所述存储器用于存储程序，所述处理器用于调用所述存储器中的程序，以执行如权利要求1至29中任一项所述的方法。
一种配置设备的装置，其特征在于，包括存储器和处理器，所述存储器用于存储程序，所述处理器用于调用所述存储器中的程序，以执行如权利要求30至35中任一项所述的方法。
一种配置设备的装置，其特征在于，包括处理器，用于从存储器中调用程序，以执行如权利要求1至29中任一项所述的方法。
一种配置设备的装置，其特征在于，包括处理器，用于从存储器中调用程序，以执行如权利要求30至35中任一项所述的方法。
一种芯片，其特征在于，包括处理器，用于从存储器调用程序，使得安装有所述芯片的设备执行如权利要求1至29中任一项所述的方法。
一种芯片，其特征在于，包括处理器，用于从存储器调用程序，使得安装有所述芯片的设备执行如权利要求30至35中任一项所述的方法。
一种计算机可读存储介质，其特征在于，其上存储有程序，所述程序使得计算机执行如权利要求1至29中任一项所述的方法。
一种计算机可读存储介质，其特征在于，其上存储有程序，所述程序使得计算机执行如权利要求30至35中任一项所述的方法。
一种计算机程序产品，其特征在于，包括程序，所述程序使得计算机执行如权利要求1至29中任一项所述的方法。
一种计算机程序产品，其特征在于，包括程序，所述程序使得计算机执行如权利要求30至35中任一项所述的方法。
一种计算机程序，其特征在于，所述计算机程序使得计算机执行如权利要求1至29中任一项所述的方法。
一种计算机程序，其特征在于，所述计算机程序使得计算机执行如权利要求30至35中任一项所述的方法。