WO2020186902A1

WO2020186902A1 - 用于操作物联网设备的方法和系统

Info

Publication number: WO2020186902A1
Application number: PCT/CN2020/070659
Authority: WO
Inventors: 黄琪; 廖晖
Original assignee: Alibaba Group Holding Ltd
Current assignee: Alibaba Group Holding Ltd
Priority date: 2019-03-19
Filing date: 2020-01-07
Publication date: 2020-09-24
Anticipated expiration: 2021-09-19
Also published as: CN110011985A; SG11202105440QA; US20210266171A1; TWI770422B; TW202037113A; US11271745B2; EP3876495A1; EP3876495A4; EP3876495B1

Abstract

公开了一种用于操作物联网设备的方法，包括：由用户设备从用户接收对物联网设备的操作指令；由所述用户设备识别所述用户的生物特征；基于所述生物特征，由所述用户设备验证所述用户的身份；如果所述用户的身份被成功验证，则由所述用户设备使用所述用户的第一用户密钥来对所述操作指令进行签名；由所述用户设备将经签名的操作指令传送至所述物联网设备；由所述物联网设备使用所述用户的第二用户密钥来验证所述经签名的操作指令的签名，所述第二用户密钥与所述第一用户密钥构成密钥对；以及如果所述签名被成功验证，则由所述物联网设备执行所述操作指令。还公开了由用户设备执行的方法、由物联网设备执行的方法和相应的系统。

Description

用于操作物联网设备的方法和系统

技术领域

本说明书的一个或多个实施例涉及物联网设备，尤其涉及用于操作物联网设备的方法和系统。

背景技术

当今，物联网(IoT)设备得到了越来越多的应用。用户可直接操作物联网设备，或者可通过其它设备(例如智能电话等用户设备)来间接操作物联网设备。在远程操作物联网设备的情况下，用户通常首先将用户设备与物联网设备绑定，随后通过用户设备来向物联网设备发出指令。然而，使用用户设备操作物联网设备的方法可能存在安全隐患。

因此，需要能够增强操作物联网设备时的安全性的方法和系统。

发明内容

为了克服现有技术的缺陷，本说明书的一个或多个实施例提供了能够增强操作物联网设备时的安全性的技术方案。

本说明书的一个或多个实施例通过以下技术方案来实现其上述目的。

在一个方面中，公开了一种用于操作物联网设备的方法，包括：由用户设备从用户接收对物联网设备的操作指令；由所述用户设备识别所述用户的生物特征；基于所述生物特征，由所述用户设备验证所述用户的身份；如果所述用户的身份被成功验证，则由所述用户设备使用所述用户的第一用户密钥来对所述操作指令进行签名；由所述用户设备将经签名的操作指令传送至所述物联网设备；由所述物联网设备使用所述用户的第二用户密钥来验证所述经签名的操作指令的签名，所述第二用户密钥与所述第一用户密钥构成密钥对；以及如果所述签名被成功验证，则由所述物联网设备执行所述操作指令。

优选地，所述方法进一步包括：由所述用户设备从所述物联网设备接收随机数，所述随机数由所述物联网设备生成并存储；由所述用户设备将所述随机数与所述经签名的操作指令一起传送至所述物联网设备；在所述签名被成功验证后，由所述物联网设备将从所述用户设备接收的随机数与由所述物联网设备生成的随机数进行比对；以及仅当由所述物联网设备将从所述用户设备接收的随机数与由所述物联网设备生成的随机数一致时，才由所述物联网设备执行所述操作指令。

优选地，所述方法进一步包括：在执行所述操作指令后，由所述物联网设备使所述随机数失效。

优选地，所述第一用户密钥为所述用户的用户私钥，且所述第二用户密钥为所述用户的用户公钥。

优选地，所述第一用户密钥和所述第二用户密钥为所述用户的同一用户密钥。

优选地，所述方法进一步包括：在操作所述物联网设备之前，经由所述用户设备绑定所述物联网设备。

优选地，经由所述用户设备绑定所述物联网设备进一步包括：由所述用户设备识别所述用户的生物特征；基于所述生物特征，由所述用户设备验证所述用户的身份；以及如果所述用户的身份被成功验证，则由所述用户设备将所述第二用户密钥传送至所述物联网设备。

优选地，所述方法进一步包括由所述用户设备生成所述第一用户密钥和所述第二用户密钥。

优选地，由所述用户设备生成所述第一用户密钥和所述第二用户密钥进一步包括：由所述用户设备录入所述用户的所述生物特征；以及在录入所述生物特征之后，由所述用户设备为所述用户生成所述第一用户密钥和所述第二用户密钥。

优选地，所述第一用户密钥和所述第二用户密钥被存储在所述用户设备的安全环境中，所述安全环境为可信执行环境或硬件安全元件。

在另一方面中，公开了一种由用户设备执行的方法，包括：从用户接收对物联网设备的操作指令；识别所述用户的生物特征；基于所述生物特征，验证所述用户的身份；如果所述用户的身份被成功验证，则使用所述用户的第一用户密钥来对所述操作指令进行签名；将经签名的操作指令传送至所述物联网设备，其中所述签名能被所述物联网设备用来使用第二用户密钥认证所述用户的所述身份，所述第二用户密钥与所述第一用户密钥构成密钥对。

在又一方面中，公开了一种由物联网设备执行的方法，包括：从用户设备接收由第一用户密钥和第二用户密钥构成的密钥对中的第二用户密钥；从所述用户设备接收操作指令，所述操作指令是用所述第一用户密钥签名的；使用所述第二用户密钥来验证所述操作指令的签名；以及如果所述签名被成功验证，则由所述物联网设备执行所述操作指令。

优选地，所述方法进一步包括：生成第一随机数；以及将所述第一随机数传送至所述用户设备。

优选地，所述方法进一步包括：在从所述用户设备接收操作指令时还接收第二随机数；将所述第二随机数与所述第一随机数进行比对；以及仅当所述第二随机数与所述第一随机数相一致时才执行所述操作指令。

优选地，所述方法进一步包括：在执行所述操作指令后，使所述第一随机数失效。

在又一方面中，公开了一种系统，所述系统包括：用户设备和物联网设备，所述用户设备具有生物特征识别能力，所述用户设备用于：从用户接收对物联网设备的操作指令；识别所述用户的生物特征；基于所述生物特征，验证所述用户的身份；以及如果所述用户的身份被成功验证，则使用所述用户的第一用户密钥来对所述操作指令进行签名；所述物联网设备用于：从所述用户设备接收所述经签名的操作指令；使用所述用户的第二用户密钥来验证所述经签名的操作指令的签名，所述第二用户密钥与所述第一用户密钥构成密钥对；以及如果所述签名被成功验证，则执行所述操作指令。

优选地，所述系统还包括路由器，所述用户设备经由所述路由器与所述物联网通信。

在又一方面中，公开了一种存储指令的计算机可读存储介质，所述指令当被计算机执行时，使所述计算机执行上述方法。

与现有技术相比，本说明书的一个或多个实施例能够增强操作物联网设备时的安全性。

附图说明

以上发明内容以及下面的具体实施方式在结合附图阅读时会得到更好的理解。需要说明的是，附图仅作为所请求保护的发明的示例。在附图中，相同的附图标记代表相同或类似的元素。

图1示出根据本说明书实施例的系统的示意图。

图2示出根据本说明书的实施例的用于录入生物特征的过程的示意图。

图3示出根据本说明的实施例的用于绑定物联网设备的过程的示意图。

图4示出根据本说明的实施例的用于操作物联网设备的过程的示意图。

图5示出根据本说明的实施例的用于操作物联网设备的一种方法的示意图。

图6示出根据本说明的实施例的用于操作物联网设备的另一种方法的示意图。

图7示出根据本说明的实施例的用于操作物联网设备的另一种方法的示意图。

具体实施方式

以下具体实施方式的内容足以使任何本领域技术人员了解本说明书的一个或多个实施例的技术内容并据以实施，且根据本说明书所揭露的说明书、权利要求及附图，本领域技术人员可轻易地理解本说明书的一个或多个实施例相关的目的及优点。

生物特征识别技术是一种利用人体生物特征进行身份认证的技术。相比传统的身份认证方法，包括身份标识物品(诸如钥匙、证件、ATM卡等)和身份标识知识(诸如用户名和密码)，生物特征识别技术更具安全、保密和方便性。生物特征识别技术具有不易遗忘、防伪防盗性能好、随身“携带”和随时随地可用等优点。

当今已经出现了许多种类的生物特征识别技术，如指纹识别、掌纹(手掌几何学)识别、虹膜识别、人脸识别、声音识别、签名识别、基因识别等。在后文中，通常用指纹作为示例，但应当领会，可采用除指纹外的其它生物特征。

系统概述

参见图1，其示出了根据本说明书一实施例的系统100的示意图。如图所示，系统100可包括用户设备104和物联网设备106。其中，用户设备104由用户102使用。

用户设备104优选地是移动设备，例如移动通信设备(例如智能电话等)、平板计算机、笔记本计算机、个人数字助理等等。然而，用户设备104也可以是其它设备，例如台式计算机、机顶盒等等。

通常，用户设备104可包括生物特征识别能力，例如用户设备104可包括指纹扫描仪，该指纹扫描仪可扫描用户102的指纹，并将所扫描的数据进行处理，以对用户102的指纹进行识别从而认证用户。

物联网设备106通常是由物联网连接的物品，其通常具备网络连接能力以便通过物联网与其它设备进行交互。在许多实施例中，可将物联网设备106与如上所述的用户设备104进行绑定，以便通过该用户设备104来控制物联网设备106或与物联网设备106 进行其它交互。

物联网设备106的示例包括但不限于工业机器人、智能医疗设备、汽车、门锁、电饭煲、冰箱等工业设备和家用设备。在下面的示例中以智能电饭煲为例进行说明，但应领会，本说明书实施例不限于特定的物联网设备。

在一些示例中，可在用户设备104上安装用于与物联网设备106交互的应用。该应用可以是针对一个或多个物联网设备的应用。例如，该应用可以是专用于智能电饭煲的智能电饭煲应用。或者，该应用可以是某品牌的物联网设备的通用应用。或者，该应用可以是系统级物联网设备应用。在下面的示例中以智能电饭煲应用为例进行说明，但应领会，本说明书实施例不限于智能电饭煲应用。

如图1所示，在一些示例中，系统100还可包括路由器108，用户设备104和物联网设备106可通过路由器108建立网络连接，从而允许通过用户设备104经由网络与物联网设备106通信。优选地，该网络为无线网络。

替代地，系统100可不包括路由器108，且用户设备104和物联网设备106可通过其它方式连接，例如经由红外、蓝牙、Zigbee等方式连接。

生物特征录入

如图2所示，其示出了根据本说明书的实施例的用于录入生物特征的过程200的示意图，其中涉及用户102和用户设备104。

为了在稍后使用生物特征进行身份认证，通常需要首先将用户102的生物特征录入，以便将生物特征与用户102相关联。

如图2的操作2001所示，用户102可向用户设备104请求开通生物特征识别。例如，用户102可点击用户设备104中的智能电饭煲应用上的控件，以便请求开通生物特征识别。例如，用户102可点击用户设备104上的“使用指纹识别”按钮来向用户设备104发出开通生物特征识别的请求。用户设备也可在用户打开或使用智能电饭煲应用时提示用户开通生物特征识别。

在一些实施例中，用户102可能尚未在用户设备104上录入生物特征。在此情况下，可继续执行如下所述的生物特征录入过程。

如图2的操作2002所示，可经由用户设备104提示用户展示生物特征。例如，可提示用户102将其手指放到指纹扫描仪上。在一些情况下，此操作可被省略。例如，当用户特征是虹膜时，可无需提示用户而直接扫描用户的虹膜。

随后，如图2的操作2003所示，用户102可根据提示展示生物特征。例如，用户102可将手指放到用户设备104的指纹扫描仪上。

随后，如图2的操作2004所示，用户102的生物特征可被传入用户设备104。例如，用户设备104的指纹扫描仪可读取用户102的生物特征。

随后，如图2的操作2005所示，用户设备104可存储用户102的生物特征。

在扫描过程中还可能需要提示用户102移动手指，以便获得完整的指纹数据。

在稍后的身份认证过程中，可扫描待进行身份认证的用户的指纹，提取指纹特征与所存储的用户指纹特征进行比较，以确定两者是否匹配，从而认证该用户的身份。

在另一些实施例中，用户102可能已经在用户设备104上录入了生物特征。例如，用户102可能先前已经在用户设备104上录入了指纹等，此时可无需重新录入生物特征，而是使用已经录入的生物特征。

在另一些示例中，不管用户设备104上是否已经存在已录入的生物特征，可针对特定物联网设备录入专用生物特征。例如，可使用该智能电饭煲应用来录入专用于智能电饭煲的生物特征。使用专用于特定物联网设备的生物特征可进一步增加安全性。

不同于现有技术，在本说明书的实施例中，如图2的操作2006所示，用户设备104还可为用户102生成公钥/私钥对。优选地，如下面详细描述的，用户公钥稍后可被存储到物联网设备106中，而用户私钥可被存储在用户设备104上，从而使得可以用物联网设备106上的用户私钥来对用户设备104上的公钥进行验证。

替代地，还可采用对称加密方案。例如，用户设备104可生成单个用户密钥，且该单个用户密钥可被存储在用户设备104上，且该单个用户密钥稍后可被存储到物联网设备106上，从而使得可以用物联网设备106上的用户密钥来对用户设备104上的用户密钥进行验证。

优选地，用户设备104可包括安全环境，且用户102的私钥(和/或生物特征)可被存储在该安全环境中。该安全环境可以是软件层面的安全环境，也可以是硬件层面的安全环境，或两者的结合。

例如，该用户设备104可包括可信执行环境(Trusted Execution Environment,TEE)。可信执行环境是由在用户设备104中创建的与用户设备104的主操作系统隔离的独立运行的操作系统实现的安全环境，其可用于保障密钥存储、运算、生物特征识别等操作的安全性。在此情况下，用户102的私钥可被存储在该可信执行环境中。

又例如，该用户设备104可包括安全元件(Secure Element,SE)，该安全元件通常是以芯片形式提供的。为防止外部恶意解析攻击，保护数据安全，在作为安全元件的芯片中通常具有加密/解密逻辑电路。在此情况下，用户102的私钥可被存储在该安全元件中。

通过使用安全环境，本说明书实施例可以进一步增强对公钥/私钥对的保护。

随后，如图2的操作2007所示，可向用户102返回生物特征录入结果。例如，可向用户102告知用户生物特征录入完成。此外，可选地，也可向用户102告知公钥/私钥对生成完成。

物联网设备绑定

在用户102可以操作物联网设备106之前，通常应当首先将物联网设备106与用户102进行绑定。图3示出了根据本说明的实施例的用于绑定物联网设备的过程300的示意图。

在一个实施例中，如图3的操作3001所示，用户102可向用户设备106发起绑定请求。例如，用户102可以点击用户设备106上的智能电饭煲应用中的控件，以选择要绑定的智能电饭煲。例如，该智能电饭煲可以是由用户设备通过搜索局域网内的设备来发现的。

用户设备104接收来自用户102的绑定请求。如图3的操作3002所示，基于该绑定请求，用户设备104可尝试连接到物联网设备106。该连接例如可经由如图1所示的路由器108实现，或经由其它连接方式实现。

可选地，如图3的操作3003所示，在连接成功后，物联网设备106可向用户设备104返回连接结果。此外，用户设备也可通知用户连接成功。

在本说明书的实施例中，可在用户设备104上执行生物特征认证过程。例如，如图3的操作3004所示，用户设备104可向用户102请求展示生物特征。例如，可在用户设备104中的智能电饭煲应用中显示：“请扫描指纹！”。

如图3的操作3005所示，响应于该请求，用户102可向用户设备104展示其生物特征。例如，用户102可将其手指放在用户设备104的指纹扫描仪上。

随后，如图3的操作3006所示，用户设备104可接收并验证用户102所展示的生物特征。例如，用户设备104可通过指纹扫描仪来扫描用户指纹，且用户设备104可提取扫描获得的用户指纹的指纹特征并将所提取的指纹特征与所存储的用户指纹特征进行比较，以确定两者是否匹配，从而认证该用户的身份。

在用户提供的指纹特征与所存储的用户指纹特征相匹配的情况下，该用户的身份被成功认证。在用户提供的指纹特征与所存储的用户指纹特征不匹配的情况下，可提示用户指纹不匹配，可重新验证生物特征或者结束绑定过程(例如提示绑定不成功)。

如图3的操作3007所示，在用户指纹验证成功之后，用户设备104可将与经认证的用户102相关联的用户公钥传送给物联网设备106，例如经由在先前的操作3002中建立的连接。

在接收到与用户102相关联的用户公钥之后，如图3的操作3008所示，物联网设备106可存储该用户公钥，例如存储在该物联网设备106的存储器中。类似地，为了进一步增强安全性，物联网设备可将该用户公钥存储在安全环境中，例如可信执行环境或安全元件中。

随后，如图3的操作3010所示，物联网设备106可向用户设备104返回结果，例如以确认用户公钥存储成功。

随后，如图3的操作3011所示，在接收到来自物联网设备106的确认之后，用户设备104可向用户102返回结果，例如经由智能电饭煲应用向用户显示绑定过程完成的提示。

物联网设备操作

参见图4，其示出了根据本说明的实施例的用于操作物联网设备的过程400的示意图。

在一个实施例中，在用户102想要操作物联网设备106时，如图4的操作4001所示，用户102可经由用户设备104发起操作指令。所述操作例如可以是对物联网设备106的管理，或者与物联网设备106的其它交互。

例如，用户102可以点击用户设备中的智能电饭煲应用中的相应控件来操作物联网设备。例如，在智能电饭煲应用中，用户在选择“米种”、“口感”等参数后，可点击智能电饭煲应用上的“开始”按钮，以便向智能电饭煲传送开始煮饭的指令。

用户设备104可接收来自用户102的操作指令。如图4的操作4002所示，基于该操作指令，用户设备104可尝试连接到物联网设备106。类似地，该连接例如可经由如图1所示的路由器108实现，或经由其它连接方式实现。连接也可以是用户打开智能电饭煲应用后自动连接，随后用户可通过应用发出操作指令。

可选地，如图4的操作4003所示，在连接成功后，物联网设备106可向用户设备104返回连接结果。

优选地，在连接成功后，如图4的操作4003所示，物联网设备106还向用户设备104返回随机数。在打开智能电饭煲应用后自动连接的情况下，在用户发出操作指令后，物联网设备106可向用户设备104返回随机数。该随机数可由物联网设备106生成并存储。随机数可被用来保证操作指令仅被执行一次，从而增加了物联网设备106的安全性。可以理解，可使用本领域已知的任何随机数生成方案来生成随机数。

在一些实施例中，物联网设备106可不执行生成并存储随机数的步骤。在这样的情况下，单个操作指令可能被多次执行多次。

例如，如图4的操作4004所示，用户设备104可向用户102请求展示生物特征。例如，可在用户设备104中的智能电饭煲应用中显示：“请扫描指纹！”。

如图4的操作4005所示，响应于该请求，用户102可向用户设备104展示其生物特征。例如，用户102可将其手指放在用户设备104的指纹扫描仪上。

随后，如图4的操作4006所示，用户设备104可接收并验证用户102所展示的生物特征。例如，用户设备104可通过指纹扫描仪来扫描用户指纹，且用户设备104可提取指纹特征并将所提取的指纹特征与所存储的用户指纹特征进行比较，以确定两者是否匹配，从而认证该用户的身份。

在用户提供的指纹特征与所存储的用户指纹特征相匹配的情况下，该用户的身份被成功认证。在用户提供的指纹特征与所存储的用户指纹特征不匹配的情况下，可提示用户指纹不匹配，可重新验证生物特征或者结束操作过程。

在用户指纹验证成功之后，如图4的操作4007所示，用户设备104可组装指令数据。例如，基于由用户102经由用户设备104发出的指令(例如开始煮饭指令)和在操作4003中由物联网设备106返回的随机数，用户设备104可生成用于物联网设备106的指令数据。在不利用随机数(即物联网设备106在操作4003中不返回随机数)的情况下，用户设备104可仅基于由用户102发出的指令来组装指令数据。

随后，如图4的操作4008所示，用户设备104可利用其存储的用户私钥对指令数据进行签名。用私钥对数据进行签名的方法对本领域技术人员是公知的，在此不再赘述。同样地，应当领会，在其它实施例中，用户设备104可利用其存储的用户公钥/用户密钥来对指令数据进行签名。

随后，如图4的操作4009所示，用户设备104可将经签名的指令数据传送至物联网设备106，例如经由在操作4002中建立的连接。

物联网设备106可接收来自用户设备104的经签名的指令数据。随后，如图4的操作4010所示，物联网设备106用存储在所述物联网设备106中的用户公钥来验证所述用用户私钥签名的指令数据。

如果所述经签名的指令数据无法通过验证，说明该指令数据没有用有效的用户私钥来签名，因此物联网设备106将拒绝执行用户指令(例如煮饭指令)，并向用户设备104返回错误报告。在此情况下，用户设备104可向用户102显示签名错误的信息。

如果所述经签名的指令数据通过了验证，则说明该指令数据是用有效数据签名的，此时物联网设备106继续执行后续步骤。

随后，如果物联网设备106先前生成了随机数，则如在图4的操作4011所示，物联网设备106可将该随机数与所存储的先前生成的随机数进行比对。如果指令数据中包括的随机数与所存储的随机数相同，则如在图4的操作4012中所示，物联网设备106可执行指令数据中的指令。例如，物联网设备106可提取指令数据中的指令，并执行该指令。

优选地，物联网设备106可使所述随机数失效(例如通过删除该随机数)。如果指令数据中包括的随机数与所存储的随机数不同，或者指令数据中不包括随机数，则物联网设备106可不执行指令数据中的指令，并向用户设备返回错误报告。

可以领会，比对随机数的步骤也可在密钥验证步骤之前执行。

如果物联网设备106先前没有生成随机数，则上述随机数比对操作可以省略。在此情况下，用户设备104可多次传送操作指令，且如在图4的操作4012中所示，物联网设备106可多次执行这些操作指令。

在执行完指令数据中的指令后，如在图4的操作4013所示，物联网设备106可向用户设备返回执行结果。例如，物联网设备106可向用户设备104返回煮饭指令被成功执行的确认。

随后，如在图4的操作4014所示，用户设备104可向用户102返回该执行结果。例如，用户设备104可在智能电饭煲应用中向用户102显示“已经开始煮饭！”

可以看出，在本发明中，通过使用生物特征来验证用户的身份，避免了与用户名/密码被盗等相关的风险，进一步增强了系统的安全性。

需要领会，本说明书的实施例存在许多变型。

例如，在一种变型中，不是在用户生物特征录入过程期间生成公钥/私钥对，而是在绑定物联网设备过程期间生成公钥/私钥对。例如，在图2中的步骤2006可被移动至图3中的步骤3006之后。

在再一种变型中，并非所有操作指令均需采用用户生物特征来验证。例如，在一些示例中，用户设备104在接收到操作指令后，可首先确定该操作指令的安全等级，且仅将安全等级较高时才请求用户展示生物特征以便验证。

此外，尽管前文示出的是非对称加密方案(即公钥/私钥对)的示例，但应领会，在其它示例中，也可采用对称加密方案，其中用户公钥和用户私钥均可由相同的用户密钥替换。

尽管在本文中以物联网设备为例进行说明，但应该理解，所述物联网设备可以用能够经由用户设备来认证的任何设备来替代。

示例方法

参见图5，其示出了根据本说明的实施例的用于操作物联网设备的一种方法500的示意图。

方法500可包括：在步骤502，可由用户设备从用户接收对物联网设备的操作指令。例如，用户可通过点击用户设备上的物联网设备应用界面中的控件来发出该操作指令，比如针对电饭煲的开始煮饭指令。

方法500还可包括：在步骤504，可由所述用户设备识别所述用户的生物特征。具体而言，如上所述，用户设备可向用户请求展示生物特征，随后接收用户所展示的生物特征。

方法500还可包括：在步骤506，可基于所述生物特征，由所述用户设备验证所述用户的身份。例如，用户设备可将用户展示的生物特征与先前录入的用户的生物特征进行比较，以验证所述用户是否为与物联网设备相关联的用户。

方法500还可包括：在步骤508，如果所述用户的身份被成功验证，则可由所述用户设备使用所述用户的第一用户密钥来对所述操作指令进行签名。例如，该第一用户密钥和第二用户密钥可以是由用户设备先前针对已录入生物特征的用户生成的。优选地，所述第一用户密钥为所述用户的用户私钥，且所述第二用户密钥为所述用户的用户公钥。替代地，所述第一用户密钥和所述第二用户密钥为所述用户的同一用户密钥。

所述第一用户密钥和所述第二用户密钥可以是在生物特征录入或物联网设备绑定过程中由用户设备生成的。由所述用户设备生成所述第一用户密钥和所述第二用户密钥进一步包括：由所述用户设备录入所述用户的所述生物特征；以及在录入所述生物特征之后，由所述用户设备为所述用户生成所述第一用户密钥和所述第二用户密钥。

方法500还可包括：在步骤510，可由所述用户设备将经签名的操作指令传送至所述物联网设备。优选地，还由用户设备将先前从物联网设备接收的随机数与所述经签名的操作指令一起传送至物联网设备。

方法500还可包括：在步骤512，可由所述物联网设备使用所述用户的第二用户密钥来验证所述经签名的操作指令的签名，其中所述第二用户密钥与所述第一用户密钥构成密钥对。

方法500还可包括：在步骤514，如果所述签名被成功验证，则可由所述物联网设备执行所述操作指令。优选地，所述物联网设备还将从所述用户设备接收的随机数与由所述物联网设备生成的随机数进行比对，并且仅当由所述物联网设备将从所述用户设备接收的随机数与由所述物联网设备生成的随机数一致时，才由所述物联网设备执行所述操作指令。在执行所述操作指令后，可由所述物联网设备使所述随机数失效。

优选地，在操作所述物联网设备之前，可通过以下操作经由所述用户设备绑定所述物联网设备：由所述用户设备识别所述用户的生物特征；基于所述生物特征，由所述用户设备验证所述用户的身份；以及如果所述用户的身份被成功验证，则由所述用户设备将所述第二用户密钥传送至所述物联网设备。

参见图6，其示出了根据本说明的实施例的用于操作物联网设备的另一种方法600的示意图。方法600可以是由用户设备执行的。

方法600可包括：在步骤602，可从用户接收对物联网设备的操作指令。

方法600还可包括：在步骤604，可识别所述用户的生物特征。

方法600还可包括：在步骤606，可基于所述生物特征，验证所述用户的身份。

方法600还可包括：在步骤608，如果所述用户的身份被成功验证，则可使用所述用户的第一用户密钥来对所述操作指令进行签名。

方法600还可包括：在步骤610，可将经签名的操作指令传送至所述物联网设备。其中所述签名能被所述物联网设备用来使用第二用户密钥认证所述用户的所述身份，所述第二用户密钥与所述第一用户密钥构成密钥对。

相关步骤的具体操作可参考前面针对图5的描述。

参见图7，其示出了根据本说明的实施例的用于操作物联网设备的另一种方法700的示意图。方法700可以是由物联网设备执行的。

方法700可包括：在步骤702，可从用户设备接收由第一用户密钥和第二用户密钥构成的密钥对中的第二用户密钥。

方法700还可包括：在步骤704，可从所述用户设备接收操作指令，所述操作指令是用所述第一用户密钥签名的。

方法700还可包括：在步骤706，可使用所述第二用户密钥来验证所述操作指令的签名。

方法700还可包括：在步骤708，如果所述签名被成功验证，则可由所述物联网设备执行所述操作指令。

优选地，方法700还可包括生成第一随机数并将所述第一随机数传送至所述用户设备。随后，在从所述用户设备接收操作指令，还从所述用户设备接收第二随机数。随后，可将所述第二随机数与所述第一随机数进行比对，并且仅当所述第二随机数与所述第一随机数相一致时才执行所述操作指令。在执行所述操作指令后，使所述第一随机数失效。例如，可删除该第一随机数。

而且，本申请还公开了一种包括存储于其上的计算机可执行指令的计算机可读存储介质，所述计算机可执行指令在被处理器执行时使得所述处理器执行本文所述的各实施例的方法。

此外，本申请还公开了一种系统，该系统包括用于实现本文所述的各实施例的方法的装置。

可以理解，根据本说明书的一个或多个实施例的方法可以用软件、固件或其组合来实现。

应该理解，本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同或相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置和系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

应该理解，上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

应该理解，本文用单数形式描述或者在附图中仅显示一个的元件并不代表将该元件的数量限于一个。此外，本文中被描述或示出为分开的模块或元件可被组合为单个模块或元件，且本文中被描述或示出为单个的模块或元件可被拆分为多个模块或元件。

还应理解，本文采用的术语和表述方式只是用于描述，本说明书的一个或多个实施例并不应局限于这些术语和表述。使用这些术语和表述并不意味着排除任何示意和描述(或其中部分)的等效特征，应认识到可能存在的各种修改也应包含在权利要求范围内。其他修改、变化和替换也可能存在。相应的，权利要求应视为覆盖所有这些等效物。

同样，需要指出的是，虽然已参照当前的具体实施例来描述，但是本技术领域中的普通技术人员应当认识到，以上的实施例仅是用来说明本说明书的一个或多个实施例，在没有脱离本发明精神的情况下还可做出各种等效的变化或替换，因此，只要在本发明的实质精神范围内对上述实施例的变化、变型都将落在本申请的权利要求书的范围内。

Claims

一种用于操作物联网设备的方法，其特征在于，包括：

由用户设备从用户接收对物联网设备的操作指令；

由所述用户设备识别所述用户的生物特征；

基于所述生物特征，由所述用户设备验证所述用户的身份；

如果所述用户的身份被成功验证，则由所述用户设备使用所述用户的第一用户密钥来对所述操作指令进行签名；

由所述用户设备将经签名的操作指令传送至所述物联网设备；

由所述物联网设备使用所述用户的第二用户密钥来验证所述经签名的操作指令的签名，所述第二用户密钥与所述第一用户密钥构成密钥对；以及

如果所述签名被成功验证，则由所述物联网设备执行所述操作指令。
如权利要求1所述的方法，其特征在于，进一步包括：

由所述用户设备从所述物联网设备接收随机数，所述随机数由所述物联网设备生成并存储；

由所述用户设备将所述随机数与所述经签名的操作指令一起传送至所述物联网设备；

在所述签名被成功验证后，由所述物联网设备将从所述用户设备接收的随机数与由所述物联网设备生成的随机数进行比对；以及

仅当由所述物联网设备将从所述用户设备接收的随机数与由所述物联网设备生成的随机数一致时，才由所述物联网设备执行所述操作指令。
如权利要求2所述的方法，其特征在于，进一步包括：

在执行所述操作指令后，由所述物联网设备使所述随机数失效。
如权利要求1所述的方法，其特征在于，所述第一用户密钥为所述用户的用户私钥，且所述第二用户密钥为所述用户的用户公钥。
如权利要求1所述的方法，其特征在于，所述第一用户密钥和所述第二用户密钥为所述用户的同一用户密钥。
如权利要求1所述的方法，其特征在于，进一步包括：

在操作所述物联网设备之前，经由所述用户设备绑定所述物联网设备。
如权利要求1所述的方法，其特征在于，经由所述用户设备绑定所述物联网设备进一步包括：

由所述用户设备识别所述用户的生物特征；

基于所述生物特征，由所述用户设备验证所述用户的身份；以及

如果所述用户的身份被成功验证，则由所述用户设备将所述第二用户密钥传送至所述物联网设备。
如权利要求1所述的方法，其特征在于，所述方法进一步包括由所述用户设备生成所述第一用户密钥和所述第二用户密钥。
如权利要求8所述的方法，其特征在于，由所述用户设备生成所述第一用户密钥和所述第二用户密钥进一步包括：

由所述用户设备录入所述用户的所述生物特征；以及

在录入所述生物特征之后，由所述用户设备为所述用户生成所述第一用户密钥和所述第二用户密钥。
如权利要求1所述的方法，其特征在于，所述第一用户密钥和所述第二用户密钥被存储在所述用户设备的安全环境中，所述安全环境为可信执行环境或硬件安全元件。
一种由用户设备执行的方法，其特征在于，包括：

从用户接收对物联网设备的操作指令；

识别所述用户的生物特征；

基于所述生物特征，验证所述用户的身份；

如果所述用户的身份被成功验证，则使用所述用户的第一用户密钥来对所述操作指令进行签名；

将经签名的操作指令传送至所述物联网设备，其中所述签名能被所述物联网设备用来使用第二用户密钥认证所述用户的所述身份，所述第二用户密钥与所述第一用户密钥构成密钥对。
如权利要求11所述的方法，其特征在于，进一步包括：

从所述物联网设备接收随机数，所述随机数由所述物联网设备生成并存储；

将所述随机数与所述经签名的操作指令一起传送至所述物联网设备。
如权利要求11所述的方法，其特征在于，进一步包括：

在操作所述物联网设备之前，经由所述用户设备绑定所述物联网设备。
如权利要求13所述的方法，其特征在于，经由所述用户设备绑定所述物联网设备进一步包括：

识别所述用户的生物特征；

基于所述生物特征，验证所述用户的身份；以及

如果所述用户的身份被成功验证，则将所述第二用户密钥传送至所述物联网设备。
如权利要求11所述的方法，其特征在于，进一步包括：

录入所述用户的所述生物特征；以及

在录入所述生物特征之后，为所述用户生成所述第一用户密钥和所述第二用户密钥。
如权利要求11所述的方法，其特征在于，所述第一用户密钥和所述第二用户密钥被存储在所述用户设备的安全环境中，所述安全环境为可信执行环境或硬件安全元件。
一种由物联网设备执行的方法，其特征在于，包括：

从用户设备接收由第一用户密钥和第二用户密钥构成的密钥对中的第二用户密钥；

从所述用户设备接收操作指令，所述操作指令是用所述第一用户密钥签名的；

使用所述第二用户密钥来验证所述操作指令的签名；以及

如果所述签名被成功验证，则由所述物联网设备执行所述操作指令。
如权利要求17所述的方法，其特征在于，进一步包括：

生成第一随机数；以及

将所述第一随机数传送至所述用户设备。
如权利要求18所述的方法，其特征在于，进一步包括：

在从所述用户设备接收操作指令时还接收第二随机数；

将所述第二随机数与所述第一随机数进行比对；以及

仅当所述第二随机数与所述第一随机数相一致时才执行所述操作指令。
如权利要求19所述的方法，其特征在于，进一步包括：

在执行所述操作指令后，使所述第一随机数失效。
一种系统，其特征在于，所述系统包括：

用户设备，所述用户设备具有生物特征识别能力，所述用户设备用于：

从用户接收对物联网设备的操作指令；

识别所述用户的生物特征；

基于所述生物特征，验证所述用户的身份；以及

如果所述用户的身份被成功验证，则使用所述用户的第一用户密钥来对所述操作指令进行签名；以及

物联网设备，所述物联网设备用于：

从所述用户设备接收经签名的操作指令；

使用所述用户的第二用户密钥来验证所述经签名的操作指令的签名，所述第二用户密钥与所述第一用户密钥构成密钥对；以及

如果所述签名被成功验证，则执行所述操作指令。
如权利要求21所述的系统，其特征在于，

所述用户设备仅一步用于：

从所述物联网设备接收随机数，所述随机数由所述物联网设备生成并存储；以及

将所述随机数与所述经签名的操作指令一起传送至所述物联网设备；

所述物联网设备进一步用于：

在所述签名被成功验证后，将从所述用户设备接收的所述随机数与由所述物联网设备生成的随机数进行比对；以及

仅当由所述物联网设备将从所述用户设备接收的所述随机数与由所述物联网设备生成的随机数一致时，才执行所述操作指令。
如权利要求22所述的系统，其特征在于，进一步包括：

在执行所述操作指令后，由所述物联网设备使所述随机数失效。
如权利要求22所述的系统，其特征在于，进一步包括：

在操作所述物联网设备之前，所述用户设备被绑定到所述物联网设备。
如权利要求24所述的系统，其特征在于，所述绑定包括：

由所述用户设备识别所述用户的生物特征；

基于所述生物特征，由所述用户设备验证所述用户的身份；以及

如果所述用户的身份被成功验证，则由所述用户设备将所述第二用户密钥传送至所述物联网设备。
如权利要求22所述的系统，其特征在于，由所述用户设备生成所述第一用户密钥和所述第二用户密钥。
如权利要求22所述的系统，其特征在于，由所述用户设备生成所述第一用户密钥和所述第二用户密钥进一步包括：

由所述用户设备录入所述用户的所述生物特征；以及

在录入所述生物特征之后，由所述用户设备为所述用户生成所述第一用户密钥和所述第二用户密钥。
如权利要求22所述的系统，其特征在于，所述用户设备包括安全环境，所述第一用户密钥和所述第二用户密钥被存储在所述安全环境中，所述安全环境为可信执行环境或硬件安全元件。
如权利要求22所述的系统，其特征在于，还包括路由器，所述用户设备经由所述路由器与所述物联网通信。
一种存储指令的计算机可读存储介质，所述指令当被计算机执行时，使所述计算机执行如权利要求1-10中任一项所述的方法。
一种存储指令的计算机可读存储介质，所述指令当被计算机执行时，使所述计算机执行如权利要求11-16中任一项所述的方法。
一种存储指令的计算机可读存储介质，所述指令当被计算机执行时，使所述计算机执行如权利要求17-20中任一项所述的方法。