WO2023178691A1 - 安全实现方法、装置、设备及网元 - Google Patents

Abstract

本申请实施例提供一种安全实现方法、装置、设备、网元，该方法包括：第一设备获取第一网元的授权凭证；所述授权凭证用于验证所述第一网元是否具有接收数据的权限；所述数据来自于与所述第一设备关联的至少一个第二设备；所述授权凭证包括第一数字签名；在基于所述第一数字签名对所述授权凭证验证通过的情况下，所述第一设备确定所述第一网元具有接收所述至少一个第二设备发送的数据的权限。

Description

安全实现方法、装置、设备及网元 技术领域

本申请实施例涉及移动通信技术领域，具体涉及一种安全实现方法、装置、设备及网元。

背景技术

第五代移动通信技术(5th Generation Mobile Communication Technology，5G)的三大应用场景包括增强型移动宽带(eMBB)、海量机器类通信(mMTC)和超高可靠低时延通信(uRLLC)。随着通信技术的演进，工业无线传感器、视频监控和可穿戴设备等终端物联网应用对5G设备提出了复杂度与成本降低、尺寸减小、能耗更低等新要求。零功耗通信技术在设备的功耗、尺寸以及成本等方面将具有显著优势，从而成为了研究的热点。

然而，在零功耗设备或其他低能力设备的计算能力有限的情况下，这些设备将无法支持复杂的全函数，因此更无法支持第三代合作伙伴计划(3rd Generation Partnership Project，3GPP)的设备认证机制。基于此，零功耗设备设备或其他低能力设备如何授权请求其数据的设备，以进行安全的数据传输，目前并没有明确的解决方法。

发明内容

本申请实施例提供一种安全实现方法、装置、设备及网元。

本申请实施例提供一种安全实现方法，包括：

第一设备获取第一网元的授权凭证；所述授权凭证用于验证所述第一网元是否具有接收数据的权限；所述数据来自于与所述第一设备关联的至少一个第二设备；所述授权凭证包括第一数字签名；

在基于所述第一数字签名对所述授权凭证验证通过的情况下，所述第一设备确定所述第一网元具有接收所述至少一个第二设备发送的数据的权限。

本申请实施例还提供一种安全实现方法，包括：

第一网元向第一设备发送第二请求信息，所述第二请求信息用于请求所述第一设备授予所述第一网元获取至少一个第二设备的数据的权限，所述至少一个第二设备与所述第一设备具有关联关系；

其中，所述第二请求信息中包括授权凭证，所述授权凭证用于所述第一设备验证所述第一网元是否具有接收所述至少一个第二设备的数据的权限；授权凭证通过其包括的第一数字签名进行验证。

本申请实施例还提供另一种安全实现方法，包括：

凭证发放设备接收第一网元发送的第五请求信息；第五请求信息用于请求第一网元的授权凭证；授权凭证用于第一设备验证第一网元是否具有获取数据的权限；数据来自于与第一设备关联的至少一个第二设备；凭证发放设备生成所述第一网元的授权凭证。

本申请实施例提供一种安全实现装置，应用于第一设备，包括：

第一接收单元，被配置为获取第一网元的授权凭证；授权凭证用于验证第一网元是否具有接收数据的权限；数据来自于与第一设备关联的至少一个第二设备；授权凭证包括第一数字签名；

确定单元，被配置为在基于第一数字签名对授权凭证验证通过的情况下，第一设备确定第一网元具有接收至少一个第二设备发送的数据的权限。

本申请实施例还提供一种安全实现装置，应用于第一网元，包括：

第二发送单元，被配置为向第一设备发送第二请求信息，第二请求信息用于请求第一设备授予第一网元获取至少一个第二设备的数据的权限，至少一个第二设备与第一设备具有关联关系；其中，第二请求信息中包括授权凭证，授权凭证用于第一设备验证第一网元是否具有接收至少一个第二设备的数据的权限；授权凭证通过其包括的第一数字签名进行验证。

本申请实施例还提供另一种安全实现装置，应用于凭证发放设备，包括：

第三接收单元，被配置为接收第一网元发送的第五请求信息；第五请求信息用于请求第一网元的授权凭证；授权凭证用于第一设备验证第一网元是否具有获取数据的权限；数据来自于与第一设备关联的至少一个第二设备；凭证生成单元，被配置为生成第一网元的授权凭证。

本申请实施例提供的第一设备，包括处理器和存储器。该存储器用于存储计算机程序，该处理器用于调用并运行该存储器中存储的计算机程序，执行上述的安全实现方法。

本申请实施例提供的第一网元，包括处理器和存储器。该存储器用于存储计算机程序，该处理器用于调用并运行该存储器中存储的计算机程序，执行上述的安全实现方法。

本申请实施例提供的凭证生成设备，包括处理器和存储器。该存储器用于存储计算机程序，该处理器用于调用并运行该存储器中存储的计算机程序，执行上述的安全实现方法。

本申请实施例提供的芯片，用于实现上述的安全实现方法。具体地，该芯片包括：处理器，用于从存储器中调用并运行计算机程序，使得安装有该芯片的设备执行上述的安全实现方法。

本申请实施例提供的计算机可读存储介质，用于存储计算机程序，该计算机程序使得计算机执行上述的安全实现方法。

本申请实施例提供的计算机程序产品，包括计算机程序指令，该计算机程序指令使得计算机执行上述的安全实现方法。

本申请实施例提供的计算机程序，当其在计算机上运行时，使得计算机执行上述安全实现方法。

本申请实施例提供的安全实现方法中，第一设备可以代理其关联的至少一个第二设备对第一网元的授权凭证进行验证。在验证通过的情况下，第一设备可以确定第一网元具有接收至少一个第二设备的数据的权限。这样，低运算能力的第二设备可以实现对网络侧的网元进行验证，避免第二设备数据传输过程中的窃取和泄露问题，保证了第二设备的数据传输的安全性。

附图说明

图1是本申请实施例提供的一种示例性的通信系统的网络架构示意图；

图2是本申请实施例提供的一种安全实现方法流程示意图一；

图3是本申请实施例提供的一种安全实现方法流程示意图二；

图4是本申请实施例提供的一种安全实现方法流程示意图三；

图5是本申请实施例提供的一种安全实现方法流程示意图四；

图6是本申请实施例提供的一种安全实现方法流程示意图五；

图7是本申请实施例提供的一种安全实现方法流程示意图六；

图8是本申请实施例提供的在应用场景一中的安全实现方法流程示意图；

图9是本申请实施例提供的在应用场景二中的安全实现方法流程示意图一

图10是本申请实施例提供的在应用场景二中的安全实现方法流程示意图二

图11是本申请实施例提供的在应用场景三中的安全实现方法流程示意图；

图12是本申请实施例提供的在应用场景四中的安全实现方法流程示意图一；

图13是本申请实施例提供的在应用场景四中的安全实现方法流程示意图二；

图14是本申请实施例提供的在应用场景五中的安全实现方法流程示意图一；

图15是本申请实施例提供的在应用场景五中的安全实现方法流程示意图二；

图16是本申请实施例提供的一种安全实现装置1600的结构组成示意图；

图17是本申请实施例提供的一种安全实现装置1700的结构组成示意图；

图18是本申请实施例提供的一种安全实现装置1800的结构组成示意图；

图19是本申请实施例提供的一种通信设备示意性结构图；

图20是本申请实施例的芯片的示意性结构图；

图21是本申请实施例提供的一种通信系统的示意性框图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

图1是本申请实施例的一个通信系统的网络架构示意图。如图1所示，通信系统100可以包括终端设备110和网络设备120。网络设备120可以通过空口与终端设备110通信。终端设备110和网络设备120之间支持多业务传输。

应理解，本申请实施例仅以通信系统100进行示例性说明，但本申请实施例不限定于此。也就是说，本申请实施例的技术方案可以应用于各种通信系统，例如：长期演进(Long Term Evolution，LTE)系统、LTE时分双工(Time Division Duplex，TDD)、通用移动通信系统(Universal Mobile Telecommunication System，UMTS)、物联网(Internet of Things，IoT)系统、窄带物联网(Narrow Band Internet of Things，NB-IoT)系统、增强的机器类型通信(enhanced Machine-Type Communications，eMTC)系统、5G通信系统(也称为新无线(New Radio，NR)通信系统)，或未来的通信系统等。

在图1所示的通信系统100中，网络设备120可以是与终端设备110通信的接入网设备。接入网设备可以为特定的地理区域提供通信覆盖，并且可以与位于该覆盖区域内的终端设备110(例如 UE)进行通信。

网络设备120可以是长期演进(Long Term Evolution，LTE)系统中的演进型基站(Evolutional Node B，eNB或eNodeB)，或者是下一代无线接入网(Next Generation Radio Access Network，NG RAN)设备，或者是NR系统中的基站(gNB)，或者是云无线接入网络(Cloud Radio Access Network，CRAN)中的无线控制器，或者该网络设备120可以为中继站、接入点、车载设备、可穿戴设备、集线器、交换机、网桥、路由器，或者未来演进的公共陆地移动网络(Public Land Mobile Network，PLMN)中的网络设备等。

终端设备110可以是任意终端设备，其包括但不限于与网络设备120或其它终端设备采用有线或者无线连接的终端设备。

例如，所述终端设备110可以指接入终端、用户设备(User Equipment，UE)、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。接入终端可以是蜂窝电话、无绳电话、会话启动协议(Session Initiation Protocol，SIP)电话、IoT设备、卫星手持终端、无线本地环路(Wireless Local Loop，WLL)站、个人数字处理(Personal Digital Assistant，PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备、5G网络中的终端设备或者未来演进网络中的终端设备等。

无线通信系统100还可以包括与基站进行通信的核心网设备130，该核心网设备130可以是5G核心网(5G Core，5GC)设备，例如，接入与移动性管理功能(Access and Mobility Management Function，AMF)，又例如，认证服务器功能(Authentication Server Function，AUSF)，又例如，用户面功能(User Plane Function，UPF)，又例如，会话管理功能(Session Management Function，SMF)。可选地，核心网络设备130也可以是LTE网络的分组核心演进(Evolved Packet Core，EPC)设备，例如，会话管理功能+核心网络的数据网关(Session Management Function+Core Packet Gateway，SMF+PGW-C)设备。应理解，SMF+PGW-C可以同时实现SMF和PGW-C所能实现的功能。在网络演进过程中，上述核心网设备也有可能叫其它名字，或者通过对核心网的功能进行划分形成新的网络实体，对此本申请实施例不做限制。通信系统100中的各个功能单元之间还可以通过下一代网络(next generation，NG)接口建立连接实现通信。

例如，终端设备通过NR接口与接入网设备建立空口连接，用于传输用户面数据和控制面信令；终端设备可以通过NG接口1(简称N1)与AMF建立控制面信令连接；接入网设备例如下一代无线接入基站(gNB)，可以通过NG接口3(简称N3)与UPF建立用户面数据连接；接入网设备可以通过NG接口2(简称N2)与AMF建立控制面信令连接；UPF可以通过NG接口4(简称N4)与SMF建立控制面信令连接；UPF可以通过NG接口6(简称N6)与数据网络交互用户面数据；AMF可以通过NG接口11(简称N11)与SMF建立控制面信令连接；SMF可以通过NG接口7(简称N7)与PCF建立控制面信令连接。

图1示例性地示出了一个基站、一个核心网设备和两个终端设备，可选地，该无线通信系统100可以包括多个基站设备并且每个基站的覆盖范围内可以包括其它数量的终端设备，本申请实施例对此不做限定。

需要说明的是，图1只是以示例的形式示意本申请所适用的系统，当然，本申请实施例所示的方法还可以适用于其它系统。此外，本文中术语“系统”和“网络”在本文中常被可互换使用。本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。还应理解，在本申请的实施例中提到的“指示”可以是直接指示，也可以是间接指示，还可以是表示具有关联关系。举例说明，A指示B，可以表示A直接指示B，例如B可以通过A获取；也可以表示A间接指示B，例如A指示C，B可以通过C获取；还可以表示A和B之间具有关联关系。还应理解，在本申请的实施例中提到的“对应”可表示两者之间具有直接对应或间接对应的关系，也可以表示两者之间具有关联关系，也可以是指示与被指示、配置与被配置等关系。还应理解，在本申请的实施例中提到的“预定义”或“预定义规则”可以通过在设备(例如，包括终端设备和网络设备)中预先保存相应的代码、表格或其他可用于指示相关信息的方式来实现，本申请对于其具体的实现方式不做限定。比如预定义可以是指协议中定义的。还应理解，本申请实施例中，所述“协议”可以指通信领域的标准协议，例如可以包括LTE协议、NR协议以及应用于未来的通信系统中的相关协议，本申请对此不做限定。

为便于理解本申请实施例的技术方案，以下通过具体实施例详述本申请的技术方案。以上相关技术作为可选方案与本申请实施例的技术方案可以进行任意结合，其均属于本申请实施例的保护范 围。本申请实施例包括以下内容中的至少部分内容。

零功耗通信技术在设备的功耗、尺寸以及成本等方面将具有显著优势。例如，零功耗通信技术从功耗上有望将设备功耗从窄带物联网(Narrow Band Internet of Things,NB-IoT)设备的数十毫瓦的功耗降低至几十微瓦甚至数微瓦；从成本上有望将设备成本从最便宜的NB-IoT设备的十几元降低至1元甚至更低。零功耗通信技术的主要特点是通过调制来波信号实现反向散射通信，同时它还可以通过能量采集获得能量以驱动数字逻辑电路或芯片(如微控制单元或传感器芯片)，实现对信号的编码、加密或简单计算等功能。

然而，零功耗通信技术中射频能量的转化效率往往不足10％，决定了驱动数字逻辑电路或芯片用于计算的功耗要求不能太高。虽然随着工艺的改进和设计的优化有所提高，每微焦耳能量可使用于计算的次数增多，但是仍不能满足复杂的计算。零功耗设备计算功能非常有限，无法支持如SHA-256定义的安全函数，更无法支持3GPP的认证机制。因此，零功耗设备或其他低能力设备如何对上行数据的传输进行授权，避免攻击者或者伪基站恶意触发设备的上行数据传输，保证上行传输数据的安全，是亟待解决的技术问题。

基于此，本申请实施例提供一种安全实现方法，参考图2所示，该方法包括但不限于以下步骤：

步骤210、第一设备获取第一网元的授权凭证；该授权凭证用于验证第一网元是否具有接收数据的权限；数据来自于与第一设备关联的至少一个第二设备；授权凭证包括第一数字签名。

步骤220、在基于第一数字签名对授权凭证验证通过的情况下，第一设备确定第一网元具有接收至少一个第二设备发送的数据的权限。

本申请实施例中，第一设备可以是支持设备认证机制算法的设备，例如，第一设备可以是用户设备UE，基站，以及其他可支持复杂运算的设备，本申请实施例对此不做限制。

第二设备可以是不支持设备认证机制算法的低运算能力的设备，即第二设备是无法单独进行安全运算的设备，例如，第二设备可以是零功耗设备(Zero Power Device，ZPD)，或者运算能力较弱的低能力设备，或者剩余电量较少的设备，本申请实施例对此不做限制。

本申请实施例中，由于第二设备的运算能力较低，因此，第二设备可以与第一设备进行绑定以形成关联关系，这样，第二设备可以利用其关联的第一设备的完备的运算能力和/或通信机制，实现对网络侧网元的授权。其中，第一设备可以与一个或者多个第二设备绑定。

可选地，第二设备可以与第一设备通过调制来波信号实现反向散射的技术进行通信。

另外，本申请实施例所提及的第一网元可以是网络侧网元，其中，第一网元可以是核心网网元、接入网网元、第三方应用网络中的网元等，本申请实施例对此不做限制。例如，第一网元可以是感知服务器，感知服务器可以是提供感知服务(例如定位、测速、健康呼救服务)的应用服务器。

可选地，当第一设备为UE时，第一网元可以为基站或应用服务器。当第一设备为基站时，第一网元可以为应用服务器。

本申请实施例中，第一设备可以获取第一网元的授权凭证，根据该授权凭证验证第一网元是否具有获取该第一设备关联的至少一个第二设备的数据的权限。其中，第一网元的授权凭证可以包括第一数字签名，第一设备可以利用第一数字签名来对授权凭证进行验证，以确定第一网元是否具有获取上述至少一个第二设备数据的权限。

可选地，本申请实施例中所提及的数据可以是第二设备的上行数据，该数据可以包括无线信号、反射信号、控制面数据、用户面数据等，本申请实施例对第二设备发送的数据不做限制，示例性的，第二设备作为感知设备时，该数据可以是感知数据。

可选地，第一设备确定第一网元具有获取其关联的至少一个第二设备的数据后，第二设备可以将产生的数据直接发送给第一网元，第二设备也可以将其产生的数据通过第一设备转发给第一网元，本申请实施例对此不做限制。

也就是说，第一网元可以接收第一设备发送的数据，该数据是至少一个第二设备发送给第一设备的，或者，第一网元可以接收至少一个第二设备发送的数据。

综上所述，本申请实施例提供的安全实现方法中，第一设备可以代理其关联的至少一个第二设备对第一网元的授权凭证进行验证。在验证通过的情况下，第一设备可以确定第一网元具有接收至少一个第二设备的数据的权限。这样，低运算能力的第二设备可以实现对网络侧的网元进行验证，避免第二设备数据传输过程中的窃取和泄露问题，保证了第二设备的数据传输的安全性。

可选地，第一数字签名可以是凭证发放设备的签名，也就是说，第一数字签名可以是利用凭证发放设备的私钥对授权凭证中的其他信息进行签名得到的。应理解，凭证发放设备是生成第一网元授权凭证的设备。

可选地，第一网元的授权凭证包括以下中的至少一项：业务标识信息、凭证发放设备的公钥、凭证发放设备的公钥、第一网元的标识信息、第一网元的公钥、第一网元对应的RSA累加器参数、数据标识信息。

其中，若第一网元根据业务需要而获取数据时，则第一网元的授权凭证中可以包括业务标识信息。该业务标识信息可以用于指示第一网元需要的数据对应的业务类型。其中，业务类型可以包括定位业务、测速业务、健康呼救业务、环境监测业务等，本申请实施例对此不做限制。

可选地，业务标识信息可以是一固定长度的比特数据，其中，不同比特数据对应不同的业务类型。第一设备通过查表的方式确定该比特数据对应的业务类型。

可选地，业务标识信息可以是第一网元的标识信息，一般来说，第一网元可以提供一种或多种业务，因此所需的业务类型不同。基于此，本申请实施例中可以通过第一网元的标识信息来表征数据的业务类型。

其中，第一网元对应的RSA累加器参数用于验证第一网元的授权凭证是否被撤销。应理解，实际应用中存在授权凭证被撤销的情况，因此，在授权凭证中需要携带该授权凭证的RSA参数，以供第一设备验证所获取的第一网元的授权凭证是否被撤销。

另外，数据标识信息，可以用于指示上述数据对应的数据类型，数据类型包括一种或多种。示例性的，如果业务为健康呼救业务，那么数据类型可以包括心率数据、体温数据、运动量数据、血压数据、呼吸频率数据等，如果业务为环境监测业务，那么数据类型可以包括位置数据、风速数据、温度数据、日晒数据、高度数据等。本申请实施例对数据类型不做限制。

需要说明的是，凭证发放设备可以在第一网元的请求下，为第一网元生成授权凭证。凭证发放设备可以是应用提供商证书颁发机构(Certificate Authority，CA)，也可以是业务服务器，也可以是运营商CA，本申请实施例对此不做限制。另外，第一网元请求凭证发放设备生成授权凭证的相关内容详见下文描述，为了简洁，此处不做赘述。

可选地，第一数字签名可以是利用凭证发放设备的私钥对上述信息中的全部内容或部分内容进行签名得到。对应的，参考图3所示，步骤220之前，还可以通过以下步骤实现对授权凭证的验证：

步骤230、第一设备利用凭证发放设备的公钥对第一数字签名进行验证，得到第一验证信息；

步骤240、若第一验证信息与授权凭证中除第一数字签名之外的其他信息一致，则确定授权凭证验证通过。

可以理解的是，既然第一数字签名是利用凭证发放设备的私钥签名得到，那么第一设备可以利用凭证发放设备的公钥对第一数字签名进行验证，得到第一验证信息。只有在第一验证信息与授权凭证中的其他信息一致，第一设备才可以确定第一网元具有获取至少一个第二设备的数据的权限。若不一致，则第一设备不进行进一步处理。

需要说明的是，第一设备可以从授权凭证中获取凭证发放设备的公钥，对第一数字签名进行验证。第一设备也可以提前存储凭证发放设备的公钥，利用预先存储的公钥对第一数字签名进行验证，本申请实施例对凭证发放设备的公钥来源不做限制。

可选地，在一些实施例中，授权凭证包括第一网元对应的RSA累加器参数时，步骤220中在基于第一数字签名对授权凭证验证通过的情况下，第一设备确定第一网元具有接收至少一个第二设备发送的数据的权限，还可以通过以下方式实现：

在基于第一数字签名对授权凭证验证通过的情况下，第一设备基于RSA累加器参数，验证第一网元的授权凭证是否被撤销；

若授权凭证未被撤销，则第一设备确定第一网元具有接收至少一个第二设备的数据的权限。

可以理解的是，在对第一网元的授权凭证验证通过之后，第一设备还可以根据RSA累加器参数验证该授权凭证是否被撤销。若第一网元的授权凭证未被撤销，则第一设备可以确定第一网元具有接收其关联的至少一个第二设备的数据的权限。若第一网元的授权凭证被撤销，则第一设备可以确定第一网元不具有获取第二设备的数据的权限。如此，可以提高第一设备针对第二设备上行数据的授权效率。

可选地，若第一网元的授权凭证中包括业务标识信息和/或数据标识信息，则在对授权凭证进行验证之前，第一设备还需要判断与其关联的第二设备是否支持该业务标识信息指示的业务类型，和/或数据标识信息指示的数据类型。

其中，授权凭证中携带的业务标识信息，可以用来表征第一网元需要获取的数据的业务类型。授权凭证中携带的数据标识信息，可以用来表征第一网元需要获取的数据的数据类型。因此，第一设备获取到第一网元的授权凭证之后，需要先判断与其关联的至少一个第二设备是否支持第一网元 所需的业务类型，和/或数据类型。

可选地，第一设备可以维护一份业务类型列表，该列表可以存储与其关联的每个第二设备的标识信息，以及每个第二设备支持的业务类型。这样，第一设备在获取到第一网元的授权凭证之后，可以将授权凭证中的业务标识信息对应的业务类型与上述列表中每个第二设备支持的业务类型进行对比，从而确定支持该业务类型的第二设备。

可选地，第一设备还可以维护一份数据类型列表，该列表可以存储与第一设备关联的每个第二设备的标识信息，以及每个第二设备支持的数据类型。这样，第一设备在获取到第一网元的授权凭证之后，可以将授权凭证中的数据标识信息对应的数据类型与上述列表中每个第二设备支持的数据类型进行对比，从而确定支持该数据类型的第二设备。

若与第一设备关联的至少一个第二设备中任意一个第二设备支持该业务类型和/或数据类型，则第一设备才启动对第一网元的授权凭证的验证过程，进而基于第一数字签名对第一网元的授权凭证进行验证。若与第一设备关联的至少一个第二设备均不支持该业务类型和/或数据类型，则第一设备忽略该授权凭证，不对该授权凭证进行验证处理。如此，可以保证第一网元接收到的数据的业务类型是符合其需求的业务类型，和/或第一网元接收到的数据的数据类型是符合其需求的数据类型，如此，提高数据授权的效率。

可选地，参考图4所示的流程示意图，本申请实施例提供的安全实现方法中，步骤220中第一设备确定第一网元具有接收至少一个第二设备发送的数据的权限之后，还可以包括以下步骤：

步骤250、第一设备接收第一网元发送的第一指示信息；该第一指示信息用于指示至少一个第二设备中需要向第一网元发送数据的第二设备；

步骤260、第一设备向第一指示信息所指示的第二设备发送第一请求信息；第一请求信息用于请求第一指示信息所指示的第二设备的数据。

本申请实施例中，在第一设备确定第一网元具有获取数据的权限之后，第一网元通过第一指示信息告知第一设备需要哪些第二设备向其发送数据。进而，第一设备可以向第一指示信息所指示的第二设备发送第一请求信息，以请求这些第二设备的数据。

需要说明的是，第一设备关联的至少一个第二设备中包括第一指示信息所指示的第二设备。

可选地，第一指示信息中可以包括需要向第一网元传输数据的第二设备的标识信息。这样，第一设备可以向第一指示信息中携带的标识信息所对应的第二设备发送第一请求信息。

可选地，第一设备信息所指示的第二设备接收到第一请求信息后，可以直接向第一网元发送自己的数据，也可以通过第一设备向第一网元转发自己的数据。本申请实施例对此不做限制。

可选地，参考图4所示，本申请实施例的安全实现方法中步骤260之后，还可以包括以下步骤：

步骤270、第一设备接收第一指示信息所指示的第二设备发送的数据；

步骤280、第一设备向第一网元发送所述数据。

本申请实施例中，第一设备向第一指示信息所指示的第二设备发起数据请求之后，第一设备还可以作为中继设备，将这些第二设备反馈的数据转发给第一网元。如此，实现数据的精准传输，保证数据传输的效率。

可选地，当授权凭证中包括业务标识信息和/或数据标识信息时，上述步骤260第一设备向第一指示信息所指示的第二设备发送第一请求信息，还可以通过以下方式实现：

第一设备向第一指示信息所指示的第二设备中，支持业务标识信息指示的业务类型和/或数据标识信息指示的数据类型的第二设备发送第一请求信息。

也就是说，第一设备在接收到第一指示信息之后，可以仅向第一指示信息所指示的第二设备中，支持上述业务标识信息对应的业务类型和/或支持上述数据标识信息对应的数据类型的第二终端发送第一请求信息。如此，可以保证第二设备发送的数据的业务类型与第一网元所需的业务类型匹配，提高传输效率。

可选地，在一些实施例中，步骤260中第一设备向第一指示信息所指示的第二设备发送第一请求信息之前，还可以与这些第二设备进行互相认证，以确保对方均为受信任的设备。在第一设备与第二设备相互认证通过后，第一设备才继续执行上述步骤260和步骤270，以实现与第二设备之间的物理层安全的数据传输。如此，避免第三方攻击者窃取和篡改数据。

本申请实施例中，第一设备可以与第二设备之间进行简单的设备认证过程，例如，第一设备与第二设备之间可以基于第二设备的初始秘钥K进行认证。其中，初始秘钥K可以是对称秘钥，每个第二设备的本地存储空间均可以存储自己的初始秘钥K。第一设备与第二设备之间也可以基于初始秘钥K进行协商，得到物理层安全秘钥s，进而第一设备与第二设备基于秘钥s进行设备认证，本 申请实施例第一设备与第二设备认证的方式不做限制。

本申请实施例中，第一设备获取第一网元的授权凭证的方式包括多种，下面详细介绍其中的两种。

方式一、

在本申请一实施例中，参考图5所示，步骤210中第一设备获取第一网元的授权凭证，可以通过以下步骤实现：

步骤2101、第一设备接收第一网元发送的第二请求信息；第二请求信息用于请求第一设备授予第一网元获取至少一个第二设备的数据的权限；第二请求信息中包括授权凭证；

步骤2102、第一设备从第二请求信息中获取授权凭证。

可以理解的是，第一网元需要获取第二设备的数据时，可以向第二设备绑定/关联的第一设备发送第二请求信息。这里，第一网元可以在第二请求信息中携带第一网元的授权凭证。这样，第一设备在接收到第二请求信息之后，可以从第二请求信息中获取第一网元的授权凭证，并基于授权凭证中的第一数字签名对该授权凭证进行验证，以确定第一网元是否具有获取第二设备数据的权限。

可选地，第一设备在接收到第二请求信息之后，可以先对发送第二请求信息的第一网元进行身份验证，确定该第一网元是否为受信任的网元，以及确定第二请求信息是否被篡改。只有在对第一网元的身份验证通过的情况下，第一设备才基于第一请求信息获取授权凭证并对该授权凭证进行验证，以此保证后续传输过程中，与第一关联的第二设备的数据不被泄露和窃取。

可选地，第一设备可以使用与第一网元之间的共享秘钥对第一网元进行身份验证，第一设备也可以使用第一网元的公钥对第一网元进行身份验证，本申请实施例对此不做限制。

可选地，第二请求信息中可以包括以下信息中的至少一项：

第一网元的标识信息、第一设备的标识信息、至少一个第二设备中每个第二设备的标识信息、信道参数，信道参数用于建立第一网元与第一设备之间的可信信道；第一网元的公钥、第二数字签名；第二数字签名通过第一网元的私钥对第二请求信息中的其他信息进行签名得到。

应理解，在第一请求信息中包括第二数字签名时，第一设备可以利用第二数字签名对第一网元进行身份验证。其中，第一设备对第一网元进行身份验证的方式包括如下内容：

第一设备利用第一网元的公钥对上述第二数字签名进行验证处理，得到第二验证信息；若第二验证信息与第二请求信息中除第二数字签名之外的其他信息一致，则第一设备确定第一网元身份验证通过。

可选地，第一设备可以维护一份公钥列表，该列表中存储了多个网元的标识信息，以及每个网元对应的公钥。第一设备接收到第一网元发送的第二请求信息后，可以从上述公钥列表中查找第一网元的标识信息对应的公钥。进而第一设备可以基于该公钥对第二数字签名进行验证，得到第二验证信息。

可选地，若第二请求信息中包括第一网元的公钥时，第一设备也可以基于第二请求信息中携带的公钥对第二数字签名进行验证，得到第二验证信息。本申请实施例对第一网元的公钥的获取方式不做限制。

应理解，在第二验证信息与第二请求信息中除第二数字签名之外的其他信息一致的情况下，第一设备确认第一网元为受信任的网元，并且第二请求信息未被篡改，第一网元进一步可以基于第二请求信息中的授权凭证进行验证，以确定第一网元是否具有获取第二设备数据的权限。

在第二验证信息与第二请求信息中除第二数字签名之外的其他信息不一致的情况下，第一设备可以认为第一网元为不受信任的网元，和/或，第一请求信息被第三方篡改。在此情况下，第一设备可以忽略该第二请求信息，不进行进一步处理。

综上所述，本申请实施例提供的安全实现方法中，第一网元可以主动向第一设备发送携带其授权凭证的第一请求信息，以请求第一设备进行验证从而授予其获取第二设备数据的权限。如此，保证第二设备的上行数据不被泄露和窃取。

可选地，步骤2101中第一设备接收第一网元发送的第二请求信息之前，第一网元还可以先获取自己的授权凭证，以生成该第二请求信息。

可选地，第一网元的授权凭证可以存储于第一网元的本地存储空间中，第一网元需要获取第二设备的数据时，可以获取本地存储空间中的授权凭证，并将该授权凭证通过第二请求信息发送给该第二设备绑定/关联的第一设备。

可选地，授权凭证可以不存储在第一网元的本地，而是通过去中心化身份(Decentralized Identity，DID)方式，分布式存储于区块链节点中。当第一网元需要获取第二设备的数据时，可以先从区块 链节点的存储区块中获取第一网元的授权凭证。其中，参考图5所示的流程示意图，第一网元向第一设备发送第二请求信息之前，还可以执行以下步骤：

步骤2001、第一网元向区块链节点发送第四请求信息；第四请求信息用于请求第一网元的授权凭证；第四请求信息包括授权凭证在区块链节点的存储位置信息；

步骤2002、第一网元接收区块链节点发送的该第一网元的授权凭证。

也就是说，第一网元在向第一设备发送第二请求信息之前，可以根据第一网元授权凭证的存储位置信息，向区块链节点请求获取第一网元的授权凭证。在接收到区块链节点反馈的授权凭证之后，第一网元可以将获取到的授权凭证携带在第二请求信息中发送给第一设备，以使第一设备授予其获取与第一设备关联的第二设备的数据。

可选地，由于授权凭证中包括凭证发放设备的第一数字签名，基于此，第一网元接收到区块链节点发送的授权凭证之后，可以使用凭证发放设备的公钥对第一数字签名进行验证，以确定授权凭证的真实性。第一网元在对第一数字签名验证通过后，将该授权凭证携带在第一请求信息中发送给第一设备。

应理解，第一网元的授权凭证可以预先通过凭证发放设备生成。这里，凭证发放设备生成授权凭证之后，可以将授权凭证回传给第一网元，或者将授权凭证上传到区块链节点进行分布式存储。进一步地，当第一网元根据业务需要而获取数据时，可以从本地存储空间获取授权凭证，或者从区块链节点中请求授权凭证，并将获取到的授权凭证通过第一请求信息发送给第一设备。如此，提高第一设备进行数据授权的灵活性。

方式二、

在本申请一实施例中，参考图6所示的流程示意图，步骤210中第一设备获取第一网元的授权凭证，还可以通过以下步骤实现：

步骤2103、第一设备向区块链节点发送第三请求信息，第三请求信息用于请求第一网元的授权凭证；授权凭证存储于区块链节点的区块中；第三请求信息包括授权凭证在区块链节点的存储位置信息；

步骤2104、第一设备接收区块链节点发送的第一网元的授权凭证。

应理解，第一网元的授权凭证可以通过DID方式，分布式存储于区块链节点的区块中。第一设备可以主动地向区块链节点请求第一网元的授权凭证。具体地，第一设备可以根据第一网元授权凭证的存储位置信息，向区块链节点请求获取第一网元的授权凭证。

需要说明的是，第一网元授权凭证的存储位置信息可以是第一设备从接入网网元(例如基站)、或者核心网网元处获取，本申请实施例对此不做限制。

可选地，第一设备主动向区块链节点请求第一网元的授权凭证进行验证授权，可以是根据用户界面接收到的交互指令触发的，也可以是第一设备的应用程序触发，也可以是获取到与第一设备绑定/关联的第二设备的数据后主动触发，本申请实施例对此不做限制。

可选地，本申请实施例中，第一设备可以被触发周期性上传其绑定/关联的第二设备的数据。该周期性上传第二设备的数据可以是第一设备主动发起，也可以通过用户界面交互触发，第一设备的应用程序触发等，本申请实施例对此不做限制。

基于此，第一设备被触发周期性上传数据后，可以主动向区块链节点请求第一网元的授权凭证，对请求到的授权凭证进行验证通过后。与第一设备绑定/关联的第二设备可以按照预设时间周期发送数据，该数据可以通过第一设备转发给第一网元，还可以直接发送给第一网元。当然，第一设备也可以先主动向区块链节点请求第一网元的授权凭证，后触发第二设备周期性上传数据，本申请对两者的先后顺序不做限制。

由此可见，本申请实施例提供的安全实现方法中，第一设备可以主动获取第一网元的授权凭证并进行验证，在验证通过的情况下，第二设备才进行数据传输，如此，保证第二设备的数据不被泄露和窃取。

以下详细介绍授权凭证的生成过程。

在本申请一实施例中，参考图7所示的流程示意图，本申请实施例提供的安全实现方法可以包括以下步骤：

步骤710、凭证发放设备接收第一网元发送的第五请求信息；第五请求信息用于请求第一网元的授权凭证；授权凭证用于第一设备验证第一网元是否具有获取数据的权限；数据来自于与第一设备关联的至少一个第二设备；

步骤720、凭证发放设备生成第一网元的授权凭证。

其中，凭证发放设备可以是应用提供商CA，也可以是应用服务器，本申请实施例对此不做限制。

可以理解的是，第一网元在确定要获取第二设备的数据之前，可以向凭证发放设备发起凭证请求。具体地，第一网元可以通过安全的信道向凭证发放设备发送第五请求信息，以请求凭证发放设备生成第一网元的授权凭证，以使得第一设备可以根据该授权凭证进行验证，判断是否授予第一网元获取第二设备数据的权限。

可选地，凭证发放设备在接收到第五请求信息之后，可以先对发送第五请求信息的第一网元进行身份验证，确定该第一网元是否为受信任的网元，以及确定第五请求信息是否被篡改。只有在对第一网元的身份验证通过的情况下，凭证发放设备才可以为第一网元生成授权凭证。

可选地，第五请求信息中可以包括以下信息中的至少一项：

业务标识信息、第一网元的标识信息、第一网元的公钥、数据标识信息、第三数字签名；第三数字签名通过第一网元的私钥对第五请求信息中的其他信息进行签名得到。

应理解，在第五请求信息中包括第三数字签名时，凭证发放设备可以利用第三数字签名对第一网元进行身份验证。其中，凭证发放设备对第一网元进行身份验证的方式包括如下内容：

凭证发放设备利用第一网元的公钥对第三数字签名进行验证处理，得到第三验证信息；若第三验证信息与第五请求信息中除第三数字签名之外的其他信息一致，则凭证发放设备确定第一网元身份验证通过。

可选地，凭证发放设备可以维护一份公钥列表，该列表中存储了多个网元的标识信息，以及每个网元对应的公钥。凭证发放设备接收到第一网元发送的第五请求信息后，可以从上述公钥列表中查找第一网元的标识信息对应的公钥。进而凭证发放设备基于该公钥对第三数字签名进行验证，得到第三验证信息。

可选地，若第五请求信息中包括第一网元的公钥时，凭证发放设备也可以基于第五请求信息中携带的公钥对第三数字签名进行验证，得到第三验证信息。本申请实施例对第一网元的身份验证方式不做限制。

应理解，在第三验证信息与第五请求信息中除第三数字签名之外的其他信息一致的情况下，凭证发放设备确认第一网元为受信任的网元，并且第五请求信息未被篡改。在第三验证信息与第五请求信息中除第三数字签名之外的其他信息不一致的情况下，凭证发放设备可以认为第一网元为不受信任的网元，和/或，第五请求信息被第三方篡改。在此情况下，凭证发放设备可以忽略该第五请求信息，不做进一步处理。

可选地，在凭证发放设备生成第一网元的授权凭证之前，可以为第一网元生成RSA累加器参数α，第一网元的RSA累加器参数α可以用于证明该第一网元的授权凭证是否被撤销。

可选地，凭证发放设备生成的授权凭证中可以包括以下信息中的至少一项：

业务标识信息、凭证发放设备的标识信息、凭证发放设备的公钥、第一网元的标识信息、第一网元的公钥、第一网元对应的RSA累加器参数、数据标识信息、第一数字签名。其中，第一数字签名可以是凭证发放设备利用自己的私钥对授权凭证中的其他信息进行签名得到。

可选地，参考图7所示的流程示意图，本申请实施例中，凭证发放设备在生成第一网元的授权凭证之后，还可以执行步骤730和步骤740。

步骤730、凭证发放设备向区块链节点发送第一网元的授权凭证；

步骤740、凭证发放设备接收区块链节点发送的授权凭证的存储位置信息。

应理解，凭证发放设备可以向区块链节点发送所生成的第一网元的授权凭证，对第一网元的授权凭证进行上链操作，以实现对该授权凭证进行分布式存储。进一步地，区块链节点接收到授权凭证后，可以将该授权凭证存储于区块链的存储区块中，并将存储位置信息反馈给凭证发放设备。

可选地，参考图7所示，步骤740之后还可以包括以下步骤：

步骤750、凭证发放设备向第一网元发送授权凭证，和/或，存储位置信息。

可以理解的是，凭证发放设备在生成授权凭证之后，可以将生成的授权凭证发送给请求方，即第一网元。凭证发放设备也可以将授权凭证在存储区块中的存储位置信息发送给第一网元，第一网元可以在需要时根据该存储位置信息向区块链节点请求授权凭证。

综上所述，本申请实施例提供的安全实现方法中，凭证生成设备可以根据第一网元的请求，为其生成授权凭证，并对该授权凭证进行分布式存储。这样，第一网元或者第一设备可以从区块链节点请求该授权凭证进行分布式验证，也就是说，在不同地理位置的同一类业务，可以并行进行数据的授权，提高了数据授权的效率。

以下结合具体应用场景，对本申请实施例进行阐述。

应用场景一：

在应用场景一中，第一设备可以是UE，第二设备可以为零功耗设备ZPD，第一网元可以是应用服务器Server，凭证发放设备可以是应用提供商CA。参考图8所示的流程示意图，本申请实施例提供的安全实现方法可以通过以下步骤实现：

步骤801、Server向应用提供商CA发送凭证请求信息。

本实施例中，凭证请求信息用于请求Server的授权凭证。凭证请求信息中可以包括ID _server、pk _server、ID _SP、Type _server、以及Sig _server中的至少一项。

其中，ID _server为Server的标识信息，pk _server为Server的公钥，ID _SP为业务标识信息，Type _server为数据标识信息，Sig _server为Server的数字签名。Sig _server是Server利用自己的私钥对ID _server、pk _server、ID _SP、Type _server中的一项或多项签名得到。

步骤802、应用提供商CA为Server生成授权凭证Cert _sp->server。

可选地，应用提供商CA接收到凭证请求信息后可以先对发送请求信息的Server进行身份验证。

具体地，应用提供商CA可以维护一份公钥列表，该列表用于存储多个服务器ID及其公钥。应用提供商CA可以检查凭证请求信息中的ID _server是否在公钥列表中，若在该公钥列表中，则获取ID _server对应的公钥。

进一步地，应用提供商CA利用ID _server对应的公钥对凭证请求信息中的Sig _server进行验证。若验证结果与凭证请求信息中的其他信息一致，则确定Server身份验证通过。

需要说明的是，本申请实施例对获取公钥列表的方式不做限制。

本实施例中，应用提供商CA可以基于凭证请求信息中的内容，生成Server的授权凭证，该授权凭证可以使用Cert _sp->server表示。

具体地，Cert _sp->server可以包括ID _server、pk _server、ID _SP、Type _server、pk _SP、α _server、和Sig _sp->server中的至少一项。

其中，pk _SP为应用提供商CA的公钥，α _server为应用提供商CA为sever生成的RSA累加器参数，Sig _sp->server为应用提供商CA用自己的私钥对ID _server、pk _server、ID _SP、Type _server、pk _SP、α _server中的一项或多项签名得到。

步骤803、应用提供商CA向区块链节点发送授权凭证Cert _sp->server。

步骤804、应用提供商CA接收区块链节点发送的存储位置信息BlockNum _Cert。

步骤805、应用提供商CA向Server发送授权凭证的存储位置信息BlockNum _Cert。

可选地，应用提供商CA也可以将授权凭证Cert _sp->server直接发送给Server。

步骤806、Server根据存储位置信息BlockNum _Cert从区块链节点获取授权凭证Cert _sp->server。

可选地，Server可以通过应用提供商CA的公钥pk _SP验证获取到的授权凭证Cert _sp->server的真实性。具体地，Server利用pk _SP对授权凭证Cert _sp->server中的Sig _sp->server进行验证，若验证结果与授权凭证Cert _sp->server中其他信息一致，则确定授权凭证为真实凭证。

步骤807、Server向UE发送数据请求。

本实施例中，数据请求可以包括ID _server、ID _UE、{ID _ZP1、…、ID _ZPn}、pk _server、g、Cert _sp->server、Sig _server’中的至少一项。

其中，ID _UE为UE的标识信息，ID _ZP1、…、ID _ZPn为与UE绑定的n个零功耗设备ZP1至ZPn分别对应的标识信息，n为大于1的整数。

需要说明的是，ZP1至ZPn可以是UE关联的所有的零功耗设备中的部分或全部设备，本申请实施例对此不做限制。

另外，g为信道参数，用于建立Server和UE之间的可信信道。Sig _server’是Server利用自己的私钥对ID _server、ID _UE、pk _server、{ID _ZP1、…、ID _ZPn}、g、Cert _sp->server中的一项或多项签名得到。

步骤808、UE对Server的身份进行验证。

具体地，UE可以维护一份公钥列表，该列表中存储了多个服务器的标识信息，以及每个服务器对应的公钥。UE接收到Server发送的数据请求后，可以从上述公钥列表中查找ID _server对应的公钥pk _server。进而UE基于pk _server对Sig _server’进行验证。若UE基于pk _server对Sig _server’验证得到的验证结果与数据请求中其他信息一致，则确定Server为受信任的设备。否则，UE确定验证不通过，不进行进一步处理。

步骤809、UE对Server的身份进行验证通过后，对Cert _sp->server进行验证，并在对Cert _sp->server验证通过后授予Server获取零功耗设备的数据的权限。

本实施例中，UE对Server的身份进行验证通过后，进一步验证Cert _sp->server。具体地，UE使用 凭证发放设备的公钥pk _SP对Cert _sp->server中的数字签名Sig _sp->server进行验证，若验证结果与Cert _sp->server中的其他信息一致，则确定该Server拥有获取UE绑定的零功耗设备数据的权限。若验证结果与Cert _sp->server中的其他信息不一致，则不进行进一步处理。

可选地，若Cert _sp->server中包括Server的RSA累加器参数α _server，则UE可以利用α _server验证该Cert _sp->server是否被撤销，若被撤销，则不进行进一步处理。若未被撤销，则UE可以继续执行步骤810。

步骤810、UE分别与各零功耗设备进行设备认证，建立与各零耗设备之间的安全信道。

可选地，UE可以通过ZP1…ZPn的初始秘钥K，分别与ZP1…ZPn进行设备认证。UE也可以基于ZP1…ZPn的初始秘钥K，分别与ZP1…ZPn进行协商，得到各零功耗设备的物理层安全秘钥s，进而UE与ZP1…ZPn基于秘钥s进行设备认证。

这样，UE与零功耗设备ZP1…ZPn认证成功之后，即可建立UE与各零功耗设备之间的安全信道。

步骤811、UE向各零功耗设备发送触发信号。

这里，UE可以通过步骤810建立的安全信道，向各零功耗设备发送触发信号，以触发各零功耗设备传输数据。

步骤812、UE接收各零功耗设备发送的数据。

这里，各零功耗设备可以通过步骤810与UE建立的安全信道，向UE发送数据。

步骤813、UE向Sever发送各零功耗设备的数据。

这里，UE可以通过无线接入网向Sever发送各零功耗设备的数据。

需要说明的是，应用场景一中步骤801至步骤805可以单独实施，步骤806至步骤813也可以单独实施，步骤801至步骤813可以一起实施，本申请实施例对此不做限制。

应用场景二、

在应用场景二中，第一设备可以是UE，第二设备可以是零功耗设备ZPD，第一网元可以是基站，凭证发放设备可以是应用提供商CA。凭证发放设备可以单独为基站发放授权凭证，参考图9所示的流程示意图，应用提供商CA为基站发放授权凭证的过程可以通过以下步骤实现：

步骤901、基站向应用提供商CA发送凭证请求信息。

本实施例中，凭证请求信息用于请求基站的授权凭证。凭证请求信息中可以包括ID _bs、pk _bs、ID _SP、Type _bs、以及Sig _bs中的至少一项。

其中，ID _bs为基站的标识信息，pk _bs为基站的公钥，ID _SP为业务标识信息，Type _bs为数据标识信息，Sig _bs为基站的数字签名。Sig _bs是基站利用自己的私钥对ID _bs、pk _bs、ID _SP、Type _bs中的一项或多项签名得到。

步骤902、应用提供商CA为基站生成授权凭证。

可选地，应用提供商CA可以对发送请求信息的基站进行身份验证。

具体地，应用提供商CA可以维护一份公钥列表，该列表用于存储使用ID _sp对应的业务类型的所有基站ID以及对应的公钥。应用提供商CA可以检查凭证请求信息中的ID _bs是否在公钥列表中，若在该公钥列表中，则获取ID _bs对应的公钥。

进一步地，应用提供商CA利用ID _bs对应的公钥对凭证请求信息中的Sig _bs进行验证。若验证结果与凭证请求信息中的其他信息一致，则确定基站身份验证通过。

需要说明的是，本申请实施例对获取公钥列表的方式不做限制。

本实施例中，应用提供商CA可以基于凭证请求信息中的内容，生成基站的授权凭证，该授权凭证可以使用Cert _sp->bs表示。

具体地，Cert _sp->bs可以包括ID _bs、pk _bs、ID _SP、Type _sbs、pk _SP、α _bs、和Sig _sp->bs中的至少一项。其中，pk _SP为应用提供商CA的公钥，α _bs为应用提供商CA为基站生成的RSA累加器参数，Sig _sp->bs为应用提供商CA用自己的私钥对ID _bs、pk _bs、ID _SP、Type _sbs、pk _SP、α _bs中的一项或多项签名得到。

步骤903、应用提供商CA向区块链节点发送授权凭证Cert _sp->bs。

步骤904、应用提供商CA接收区块链节点发送的存储位置信息BlockNum _Cert。

步骤905、应用提供商CA向基站发送授权凭证的存储位置信息BlockNum _Cert。

可选地，应用提供商CA也可以将授权凭证Cert _sp->bs直接发送给基站。

步骤906、基站根据存储位置信息BlockNum _Cert从区块链节点获取授权凭证Cert _sp->bs。

可选地，基站可以通过应用提供商CA的公钥pk _SP验证获取到的授权凭证Cert _sp->bs的真实性。具体地，基站利用pk _SP对授权凭证Cert _sp->bs中的Sig _sp->bs进行验证，若验证结果与授权凭证Cert _sp->bs 中其他信息一致，则确定授权凭证为真实凭证。

步骤907、基站向UE发送数据请求。

本实施例中，数据请求可以包括ID _bs、ID _UE、{ID _ZP1、…、ID _ZPn}、pk  _bs、g、Cert _sp->bs、Sig _bs’中的至少一项。

其中，ID _UE为UE的标识信息，ID _ZP1、…、ID _ZPn为与UE绑定的n个零功耗设备ZP1至ZPn分别对应的标识信息，n为大于1的整数。

需要说明的是，ZP1至ZPn可以是UE绑定的所有的零功耗设备中的部分或全部设备，本申请实施例对此不做限制。

另外，g为信道参数，用于建立基站和UE之间的可信信道。Sig _bs’是基站利用自己的私钥对ID _bs、ID _UE、pk _bs、{ID _ZP1、…、ID _ZPn}、g、Cert _sp->bs中的一项或多项签名得到。

步骤908、UE对基站的身份进行验证。

具体地，UE可以维护一份公钥列表，该列表中存储了多个基站的标识信息，以及每个基站对应的公钥。UE接收到基站发送的数据请求后，可以从上述公钥列表中查找ID _bs对应的公钥pk _bs。进而UE基于pk _bs对Sig _bs进行验证。若UE基于pk _bs对Sig _bs’验证得到的验证结果与数据请求中其他信息一致，则确定基站为受信任的设备。否则，UE确定验证不通过，不进行进一步处理。

步骤909、UE对基站的身份进行验证通过后，对Cert _sp->bs进行验证，并在对Cert _sp->bs验证通过后授予基站获取零功耗设备的数据的权限。

本实施例中，UE对基站的身份进行验证通过后，进一步验证Cert _sp->bs。具体地，UE使用凭证发放设备的公钥pk _SP对Cert _sp->bs中的数字签名Sig _sp->bs进行验证，若验证结果与Cert _sp->bs中的其他信息一致，则确定该基站拥有获取UE绑定的零功耗设备数据的权限。若验证结果与Cert _sp->bs中的其他信息不一致，则不进行进一步处理。

可选地，若Cert _sp->bs中包括基站的RSA累加器参数α _bs，则UE可以利用α _bs验证该Cert _sp->bs是否被撤销，若被撤销，则不进行进一步处理。若未被撤销，则UE可以继续执行步骤910。

步骤910、UE分别与各零功耗设备进行设备认证，建立与各零功耗设备之间的安全信道。

可选地，UE可以通过ZP1…ZPn的初始秘钥K，分别与ZP1…ZPn进行设备认证。UE也可以基于ZP1…ZPn的初始秘钥K，分别与ZP1…ZPn进行协商，得到各零功耗设备的物理层安全秘钥s，进而UE与ZP1…ZPn基于秘钥s进行设备认证。这样，UE与零功耗设备ZP1…ZPn认证成功之后，即可建立UE与各零功耗设备之间的安全信道。

步骤911、UE向各零功耗设备发送触发信号。

这里，UE可以通过步骤910建立的安全信道，向各零功耗设备发送触发信号，以触发各零功耗设备传输数据。

步骤912、UE接收各零功耗设备发送的数据。

这里，各个零功耗设备可以通过步骤810与UE建立的安全信道，向UE发送数据。

步骤913、UE向基站发送各零功耗设备的数据。

可选地，参考图10所示的流程示意图，上述步骤912和步骤913还可以替换为以下步骤：

步骤912’、各零功耗设备与基站进行设备认证，建立各零功耗设备与基站之间的安全信道。

可选地，基站可以通过ZP1…ZPn的初始秘钥K，分别与ZP1…ZPn进行设备认证。基站也可以基于ZP1…ZPn的初始秘钥K，分别与ZP1…ZPn进行协商，得到各零功耗设备的物理层安全秘钥s，进而基站与ZP1…ZPn基于秘钥s进行设备认证。

这样，基站与零功耗设备ZP1…ZPn认证成功之后，即可建立基站与各零功耗设备之间的安全信道。

步骤913’，各零功耗设备向基站发送数据。

这里，各零功耗设备ZP1…ZPn可以通过步骤912’建立的安全信道，向基站发送数据。

需要说明的是，应用场景一中步骤901至步骤905可以单独实施，步骤906至步骤913或步骤906至步骤913’，也可以单独实施，步骤901至步骤913或步骤901至步骤913’可以一起实施，本申请实施例对此不做限制。

应用场景三

在应用场景三中，第一设备可以是基站，第二设备可以为零功耗设备ZPD，第一网元可以是应用服务器Server，凭证发放设备可以是应用提供商CA。参考图11所示的流程示意图，本申请实施例提供的安全实现方法可以通过以下步骤实现：

步骤1101、Server根据存储位置信息BlockNum _Cert从区块链节点获取授权凭证Cert _sp->server。

可选地，Server可以通过应用提供商CA的公钥pk _SP验证获取到的授权凭证Cert _sp->server的真实性。具体地，Server利用pk _SP对授权凭证Cert _sp->server中的Sig _sp->server进行验证，若验证结果与授权凭证Cert _sp->server中其他信息一致，则确定授权凭证为真实凭证。

步骤1102、Server向基站发送数据请求。

本实施例中，数据请求可以包括ID _server、ID _bs、{ID _ZP1、…、ID _ZPn}、pk _server、g、Cert _sp->server、Sig _server’中的至少一项。

其中，ID _bs为基站的标识信息，ID _ZP1、…、ID _ZPn为与基站绑定的n个零功耗设备ZP1至ZPn分别对应的标识信息，n为大于1的整数。

需要说明的是，ZP1至ZPn可以是基站关联的所有的零功耗设备中的部分或全部设备，本申请实施例对此不做限制。

另外，g为信道参数，用于建立Server和基站之间的可信信道。Sig _server’是Server利用自己的私钥对ID _server、ID _bs、pk _server、{ID _ZP1、…、ID _ZPn}、g、Cert _sp->server中的一项或多项签名得到。

步骤1103、基站对Server的身份进行验证。

具体地，基站可以维护一份公钥列表，该列表中存储了多个服务器的标识信息，以及每个服务器对应的公钥。基站接收到Server发送的数据请求后，可以从上述公钥列表中查找ID _server对应的公钥pk _server。进而基站基于pk _server对Sig _server’进行验证。若基站基于pk _server对Sig _server’验证得到的验证结果与数据请求中其他信息一致，则确定Server为受信任的设备。否则，基站确定验证不通过，不进行进一步处理。

步骤1104、基站对Server的身份进行验证通过后，对Cert _sp->server进行验证，并在对Cert _sp->server验证通过后授予Server获取零功耗设备的数据的权限。

本实施例中，基站对Server的身份进行验证通过后，进一步验证Cert _sp->server。具体地，基站使用凭证发放设备的公钥pk _SP对Cert _sp->server中的数字签名Sig _sp->server进行验证，若验证结果与Cert _sp->server中的其他信息一致，则确定该Server拥有获取基站绑定的多个零功耗设备数据的权限。若验证结果与Cert _sp->server中的其他信息不一致，则不进行进一步处理。

可选地，若Cert _sp->server中包括Server的RSA累加器参数α _server，则基站可以利用α _server验证该Cert _sp->server是否被撤销，若被撤销，则不进行进一步处理。若未被撤销，则基站可以继续执行步骤1105。

步骤1105、基站分别与各零功耗设备进行设备认证，建立与各零功耗设备之间的安全信道。

可选地，基站可以通过ZP1…ZPn的初始秘钥K，分别与ZP1…ZPn进行设备认证。基站也可以基于ZP1…ZPn的初始秘钥K，分别与ZP1…ZPn进行协商，得到各零功耗设备的物理层安全秘钥s，进而基站与ZP1…ZPn基于秘钥s进行设备认证。

这样，基站与零功耗设备ZP1…ZPn认证成功之后，即可建立基站与各零功耗设备之间的安全信道。

步骤1106、基站向各零功耗设备发送触发信号。

这里，基站可以通过步骤1105建立的安全信道，向各个零功耗设备发送触发信号，以触发各零功耗设备传输数据。

步骤1107、基站接收各零功耗设备发送的数据。

这里，各零功耗设备可以通过步骤1105与基站建立的安全信道，向基站发送数据。

步骤1108、基站向Sever发送各零功耗设备的数据。

应用场景四

在应用场景四中，第一设备可以是UE，第二设备可以为零功耗设备ZPD，第一网元可以是应用服务器Server，凭证发放设备可以是应用提供商CA。参考图12所示的流程示意图，本申请实施例提供的安全实现方法可以通过以下步骤实现：

步骤1201、UE根据存储位置信息BlockNum _Cert从区块链节点获取Server的授权凭证Cert _sp->server。

可选地，UE可以通过应用提供商CA的公钥pk _SP验证获取到的授权凭证的真实性。具体地，UE可以利用pk _SP对授权凭证Cert _sp->server中的Sig _sp->server进行验证，若验证结果与授权凭证Cert _sp->server中其他信息一致，则确定授权凭证为真实凭证。

步骤1202、UE被触发周期性数据上传。

需要说明的是，步骤1201可以在步骤1202之前执行，也可以在步骤1202之后执行，本申请实施例对两个步骤的执行顺序不做限制。

步骤1203、UE对Cert _sp->server进行验证，并在验证通过后授予Server获取各零功耗设备数据的 权限。

具体地，UE可以使用凭证发放设备的公钥pk _SP对Cert _sp->server中的数字签名Sig _sp->server进行验证，若验证结果与Cert _sp->server中的其他信息一致，则确定该Server拥有获取零功耗设备ZP1…ZPn的数据的权限。若验证结果与Cert _sp->server中的其他信息不一致，则不进行进一步处理。

可选地，若Cert _sp->server中包括Server的RSA累加器参数α _server，则UE可以利用α _server验证该Cert _sp->server是否被撤销，若被撤销，则不进行进一步处理。若未被撤销，则UE可以继续执行步骤1204。

步骤1204、UE分别与各零功耗设备进行设备认证，建立与各零耗设备之间的安全信道。

可选地，UE可以通过ZP1…ZPn的初始秘钥K，分别与ZP1…ZPn进行设备认证。UE也可以基于ZP1…ZPn的初始秘钥K，分别与ZP1…ZPn进行协商，得到各零功耗设备的物理层安全秘钥s，进而UE与ZP1…ZPn基于秘钥s进行设备认证。

这样，UE与零功耗设备ZP1…ZPn认证成功之后，即可建立UE与各零功耗设备之间的安全信道。

步骤1205、UE向各零功耗设备发送触发信号。

这里，UE可以通过步骤1204建立的安全信道，向各零功耗设备发送触发信号，以触发各零功耗设备传输数据。

步骤1206、UE接收各零功耗设备发送的数据。

这里，各零功耗设备可以通过步骤1204与UE建立的安全信道，向UE发送数据。

步骤1207、UE向Sever发送各零功耗设备的数据。

这里，UE可以通过无线接入网向Sever发送各零功耗设备的数据。

可选地，参考图13所示的流程示意图，上述步骤1206和步骤1207还可以替换为以下步骤：

步骤1206’、各零功耗设备与Server进行设备认证，建立各零功耗设备与Server之间的安全信道。

可选地，Server可以通过ZP1…ZPn的初始秘钥K，分别与ZP1…ZPn进行设备认证。Server也可以基于ZP1…ZPn的初始秘钥K，分别与ZP1…ZPn进行协商，得到各零功耗设备的物理层安全秘钥s，进而Server与ZP1…ZPn基于秘钥s进行设备认证。

这样，Server与零功耗设备ZP1…ZPn认证成功之后，即可建立Server与各零功耗设备之间的安全信道。

步骤1207’，各零功耗设备向Server发送数据。

这里，各零功耗设备ZP1…ZPn可以通过步骤911’建立的安全信道，向Server发送数据。

可选地，上述应用场景四中的Server可以替换为基站，相应的，Cert _sp->server替换为Cert _sp->bs。

应用场景五

在应用场景五中，第一设备可以是基站，第二设备可以为零功耗设备ZPD，第一网元可以是应用服务器Server，凭证发放设备可以是应用提供商CA。参考图14所示的流程示意图，本申请实施例提供的安全实现方法可以通过以下步骤实现：

步骤1401、基站根据存储位置信息BlockNum _Cert从区块链节点获取Server的授权凭证Cert _sp->server。

可选地，基站可以通过应用提供商CA的公钥pk _SP验证获取到的授权凭证的真实性。具体地，基站可以利用pk _SP对授权凭证Cert _sp->server中的Sig _sp->server进行验证，若验证结果与授权凭证Cert _sp->server中其他信息一致，则确定授权凭证为真实凭证。

步骤1402、基站被触发周期性数据上传。

需要说明的是，步骤1401可以在步骤1402之前执行，也可以在步骤1402之后执行，本申请实施例对两个步骤的执行顺序不做限制。

步骤1403、基站对Cert _sp->server进行验证，并在验证通过后授予Server获取各零功耗设备数据的权限。

具体地，基站可以使用凭证发放设备的公钥pk _SP对Cert _sp->server中的数字签名Sig _sp->server进行验证，若验证结果与Cert _sp->server中的其他信息一致，则确定该Server拥有获取零功耗设备ZP1…ZPn的数据的权限。若验证结果与Cert _sp->server中的其他信息不一致，则不进行进一步处理。

可选地，若Cert _sp->server中包括Server的RSA累加器参数α _server，则基站可以利用α _server验证该Cert _sp->server是否被撤销，若被撤销，则不进行进一步处理。若未被撤销，则基站可以继续执行步骤1404。

步骤1404、基站分别与各零功耗设备进行设备认证，建立与各零耗设备之间的安全信道。

可选地，基站可以通过ZP1…ZPn的初始秘钥K，分别与ZP1…ZPn进行设备认证。基站也可以基于ZP1…ZPn的初始秘钥K，分别与ZP1…ZPn进行协商，得到各零功耗设备的物理层安全秘钥s，进而基站与ZP1…ZPn基于秘钥s进行设备认证。这样，基站与零功耗设备认证成功之后，即可建立基站与各零功耗设备之间的安全信道。

步骤1405、基站向各零功耗设备发送触发信号。这里，基站可以通过步骤1404建立的安全信道，向各零功耗设备发送触发信号，以触发各零功耗设备传输数据。

步骤1406、基站接收各零功耗设备发送的数据。这里，各零功耗设备可以通过步骤1404与基站建立的安全信道，向基站发送数据。

步骤1407、基站向Sever发送各零功耗设备的数据。

可选地，参考图15所示的流程示意图，上述步骤1406和步骤1407还可以替换为以下步骤：

步骤1406’、各零功耗设备与Server进行设备认证，建立各零功耗设备与Server之间的安全信道。可选地，Server可以通过ZP1…ZPn的初始秘钥K，分别与ZP1…ZPn进行设备认证。Server也可以基于ZP1…ZPn的初始秘钥K，分别与ZP1…ZPn进行协商，得到各零功耗设备的物理层安全秘钥s，进而Server与ZP1…ZPn基于秘钥s进行设备认证。这样，Server与零功耗设备ZP1…ZPn认证成功之后，即可建立Server与各零功耗设备之间的安全信道。

步骤1407’，各零功耗设备向Server发送数据。

这里，各零功耗设备ZP1…ZPn可以通过步骤911’建立的安全信道，向Server发送数据。

以上结合附图详细描述了本申请的优选实施方式，但是，本申请并不限于上述实施方式中的具体细节，在本申请的技术构思范围内，可以对本申请的技术方案进行多种简单变型，这些简单变型均属于本申请的保护范围。例如，在上述具体实施方式中所描述的各个具体技术特征，在不矛盾的情况下，可以通过任何合适的方式进行组合，为了避免不必要的重复，本申请对各种可能的组合方式不再另行说明。又例如，本申请的各种不同的实施方式之间也可以进行任意组合，只要其不违背本申请的思想，其同样应当视为本申请所公开的内容。又例如，在不冲突的前提下，本申请描述的各个实施例和/或各个实施例中的技术特征可以和现有技术任意的相互组合，组合之后得到的技术方案也应落入本申请的保护范围。

还应理解，在本申请的各种方法实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

图16是本申请实施例提供的安全实现装置1600的结构组成示意图一，应用于第一设备，如图16所示，安全实现装置1600包括：

第一接收单元1601，被配置为获取第一网元的授权凭证；授权凭证用于验证第一网元是否具有接收数据的权限；数据来自于与第一设备关联的至少一个第二设备；授权凭证包括第一数字签名；

确定单元1602，被配置为在基于第一数字签名对授权凭证验证通过的情况下，第一设备确定第一网元具有接收至少一个第二设备发送的数据的权限。

可选地，授权凭证包括以下中的至少一项：业务标识信息，业务标识信息用于指示数据对应的业务类型；凭证发放设备的公钥；第一网元的标识信息；第一网元的公钥；第一网元对应的RSA累加器参数；数据标识信息。

可选地，第一数字签名通过凭证发放设备的私钥进行签名；对应的，安全实现装置1600还可以包括第一验证单元，该第一验证单元，可以被配置为利用凭证发放设备的公钥对第一数字签名进行验证，得到第一验证信息；若第一验证信息与授权凭证中除第一数字签名之外的其他信息一致，则确定授权凭证验证通过。

可选地，授权凭证中包括第一网元对应的RSA累加器参数；对应的，第一验证单元，还被配置为在基于第一数字签名对授权凭证验证通过的情况下，基于RSA累加器参数，验证授权凭证是否被撤销；确定单元1602，还被配置为若授权凭证未被撤销，则第一设备确定第一网元具有接收至少一个第二设备的数据的权限。

可选地，授权凭证中包括业务标识信息，业务标识信息用于指示数据的业务类型；对应的，第一验证单元，还被配置为在至少一个第二设备中任意一个第二设备支持业务类型的情况下，第一设备基于第一数字签名对授权凭证进行验证。

可选地，第一接收单元1601，还被配置为接收第一网元发送的第一指示信息；第一指示信息用于指示至少一个第二设备中需要向第一网元发送数据的第二设备；

安全实现装置1600还包括第一发送单元，被配置为向第一指示信息所指示的第二设备发送第一 请求信息；第一请求信息用于请求第一指示信息所指示的第二设备的数据。

可选地，第一接收单元1601，还被配置为接收第一指示信息所指示的第二设备发送的数据；

第一发送单元，还被配置为向第一网元发送数据。

可选地，授权凭证中包括业务标识信息，业务的标识信息用于数据的业务类型；第一发送单元，还被配置为向第一指示信息所指示的第二设备中支持业务类型的第二设备发送第一请求信息。

可选地，第一接收单元1601，还被配置为接收第一网元发送的第二请求信息；第二请求信息用于请求第一设备授予第一网元获取至少一个第二设备的数据的权限；第二请求信息中包括授权凭证；从第二请求信息中获取授权凭证。

可选地，第二请求信息中还包括以下中的至少一项：第一网元的标识信息；第一设备的标识信息；至少一个第二设备中每个第二设备的标识信息；信道参数；信道参数用于建立第一网元与第一设备之间的可信信道；第一网元的公钥；

第二数字签名；第二数字签名用于第一设备验证第一网元的身份；第二数字签名通过第一网元的私钥对第二请求信息中的其他信息进行签名得到。

可选地，第一接收单元1601，还被配置为在对第一网元的身份验证通过的情况下，从第二请求信息中获取授权凭证。

可选地，第二请求信息中还包括利用第一网元的私钥进行签名的第二数字签名；第一验证单元，还被配置为利用第一网元的公钥对第二数字签名进行验证处理，得到第二验证信息；若第二验证信息与第二请求信息中除第二数字签名之外的其他信息一致，则确定第一网元身份验证通过。

可选地，第一发送单元，还被配置为向区块链节点发送第三请求信息，第三请求信息用于请求第一网元的授权凭证；授权凭证存储于区块链节点的区块中；第三请求信息包括授权凭证在区块链节点的存储位置信息；第一接收单元1601，还被配置为接收区块链节点发送的授权凭证。

可选地，第一发送单元，还被配置为按照预设时间周期向第一网元发送至少一个第二设备传输的数据。

图17是本申请实施例提供的安全实现装置1700的结构组成示意图一，应用于第一网元，如图17所示，安全实现装置1700包括：

第二发送单元1701，被配置为向第一设备发送第二请求信息，第二请求信息用于请求第一设备授予第一网元获取至少一个第二设备的数据的权限，至少一个第二设备与第一设备具有关联关系；其中，第二请求信息中包括授权凭证，授权凭证用于第一设备验证第一网元是否具有接收至少一个第二设备的数据的权限；授权凭证通过其包括的第一数字签名进行验证。

可选地，第二请求信息还包括以下中的至少一项：第一网元的标识信息；第一设备的标识信息；至少一个第二设备中每个第二设备的标识信息；信道参数，信道参数用于建立第一网元与第一设备之间的可信信道；第一网元的公钥；第二数字签名，第二数字签名用于第一设备验证第一网元的身份，第二数字签名通过第一网元的私钥对第二请求信息中的其他信息进行签名得到。

可选地，安全实现装置1700还可以包括第二接收单元，被配置为接收第一设备发送的数据；数据是至少一个第二设备发送给第一设备；或者，第二接收单元，还被配置为接收至少一个第二设备发送的数据。

可选地，第二发送单元1701，还被配置为向区块链节点发送第四请求信息；第四请求信息用于请求第一网元的授权凭证；授权凭证存储于区块链节点的区块中；第四请求信息包括授权凭证在区块链节点的存储位置信息；第二接收单元，还被配置为接收区块链节点发送的授权凭证。

可选地，第二发送单元1701，还被配置为向凭证发放设备发送第五请求信息；第五请求信息用于请求第一网元的授权凭证。

可选地，第五请求信息中包括以下中的至少一项：业务标识信息，业务标识信息用于指示数据对应的业务类型；第一网元的标识信息；第一网元的公钥；数据标识信息；第三数字签名，第三数字签名通过第一网元的私钥签名得到。

可选地，第二接收单元，还被配置为接收凭证发放设备发送的授权凭证，和/或，授权凭证的存储位置信息。

图18是本申请实施例提供的安全实现装置1800的结构组成示意图一，应用于凭证发放设备，如图18所示，安全实现装置1800包括：

第三接收单元1801，被配置为接收第一网元发送的第五请求信息；第五请求信息用于请求第一网元的授权凭证；授权凭证用于第一设备验证第一网元是否具有获取数据的权限；数据来自于与第一设备关联的至少一个第二设备；

凭证生成单元1802，被配置为生成第一网元的授权凭证。

可选地，授权凭证包括以下中的至少一项：业务标识信息，业务标识信息用于指示数据的业务类型；凭证发放设备的标识信息；凭证发放设备的公钥；第一网元的标识信息；第一网元的公钥；第一网元对应的RSA累加器参数；数据标识信息；第一数字签名，第一数字签名通过凭证发放设备的私钥签名得到。

可选地，凭证生成单元1802，还被配置为在对第一网元身份验证通过的情况下，凭证发放设备生成第一网元的授权凭证。

可选地，安全实现装置1800还包括第三发送单元，被配置为向区块链节点发送授权凭证；

第三接收单元1801，还被配置为接收区块链节点发送的授权凭证的存储位置信息。

可选地，第三发送单元，还被配置为向第一网元发送授权凭证，和/或，存储位置信息。

本领域技术人员应当理解，本申请实施例的上述安全实现装置的相关描述可以参照本申请实施例的安全实现方法的相关描述进行理解。

图19是本申请实施例提供的一种通信设备1900示意性结构图。该通信设备可以是第一设备，也可以是第一网元，还可以是凭证发放设备。图19所示的通信设备1900包括处理器1910，处理器1910可以从存储器中调用并运行计算机程序，以实现本申请实施例中的方法。

可选地，如图19所示，通信设备1900还可以包括存储器1920。其中，处理器1910可以从存储器1920中调用并运行计算机程序，以实现本申请实施例中的方法。

其中，存储器1920可以是独立于处理器1910的一个单独的器件，也可以集成在处理器1910中。

可选地，如图19所示，通信设备1900还可以包括收发器1930，处理器1910可以控制该收发器1930与其他设备进行通信，具体地，可以向其他设备发送信息或数据，或接收其他设备发送的信息或数据。

其中，收发器1930可以包括发射机和接收机。收发器1930还可以进一步包括天线，天线的数量可以为一个或多个。

可选地，该通信设备1900具体可为本申请实施例的第一设备，并且该通信设备1900可以实现本申请实施例的各个方法中由第一设备实现的相应流程，为了简洁，在此不再赘述。

可选地，该通信设备1900具体可为本申请实施例的第一网元，并且该通信设备1900可以实现本申请实施例的各个方法中由第一网元实现的相应流程，为了简洁，在此不再赘述。

可选地，该通信设备1900具体可为本申请实施例的凭证发放设备，并且该通信设备1900可以实现本申请实施例的各个方法中由凭证发放设备实现的相应流程，为了简洁，在此不再赘述。

图20是本申请实施例的芯片的示意性结构图。图20所示的芯片2000包括处理器2010，处理器2010可以从存储器中调用并运行计算机程序，以实现本申请实施例中的方法。

可选地，如图20所示，芯片2000还可以包括存储器2020。其中，处理器2010可以从存储器2020中调用并运行计算机程序，以实现本申请实施例中的方法。

其中，存储器2020可以是独立于处理器2010的一个单独的器件，也可以集成在处理器2010中。

可选地，该芯片2000还可以包括输入接口2030。其中，处理器2010可以控制该输入接口2030与其他设备或芯片进行通信，具体地，可以获取其他设备或芯片发送的信息或数据。

可选地，该芯片2000还可以包括输出接口2040。其中，处理器2010可以控制该输出接口2040与其他设备或芯片进行通信，具体地，可以向其他设备或芯片输出信息或数据。

可选地，该芯片可应用于本申请实施例中的第一设备，并且该芯片可以实现本申请实施例的各个方法中由第一设备实现的相应流程，为了简洁，在此不再赘述。

可选地，该芯片可应用于本申请实施例中的第一网元，并且该芯片可以实现本申请实施例的各个方法中由第一网元实现的相应流程，为了简洁，在此不再赘述。

可选地，该芯片可应用于本申请实施例中的凭证发放设备，并且该芯片可以实现本申请实施例的各个方法中由凭证发放设备实现的相应流程，为了简洁，在此不再赘述。

应理解，本申请实施例提到的芯片还可以称为系统级芯片，系统芯片，芯片系统或片上系统芯片等。

图21是本申请实施例提供的一种通信系统2100的示意性框图。如图21所示，该通信系统2100包括第一设备2110、第一网元2120、以及凭证发放设备2130。

其中，该第一设备2110可以用于实现上述方法中由第一设备实现的相应的功能，，该第一网元2120可以用于实现上述方法中由第一网元实现的相应的功能，该凭证发放设备2130可以用于实现上述方法中由凭证发放设备实现的相应的功能，为了简洁，在此不再赘述。

应理解，本申请实施例的处理器可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。

可以理解，本申请实施例中的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(Read-Only Memory，ROM)、可编程只读存储器(Programmable ROM，PROM)、可擦除可编程只读存储器(Erasable PROM，EPROM)、电可擦除可编程只读存储器(Electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(Static RAM，SRAM)、动态随机存取存储器(Dynamic RAM，DRAM)、同步动态随机存取存储器(Synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data Rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM，DR RAM)。应注意，本文描述的系统和方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

应理解，上述存储器为示例性但不是限制性说明，例如，本申请实施例中的存储器还可以是静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(dynamic RAM，DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synch link DRAM，SLDRAM)以及直接内存总线随机存取存储器(Direct Rambus RAM，DR RAM)等等。也就是说，本申请实施例中的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

本申请实施例还提供了一种计算机可读存储介质，用于存储计算机程序。

可选的，该计算机可读存储介质可应用于本申请实施例中的第一网元，并且该计算机程序使得计算机执行本申请实施例的各个方法中由第一网元实现的相应流程，为了简洁，在此不再赘述。

可选地，该计算机可读存储介质可应用于本申请实施例中的第一设备，并且该计算机程序使得计算机执行本申请实施例的各个方法中由第一设备实现的相应流程，为了简洁，在此不再赘述。

可选地，该计算机可读存储介质可应用于本申请实施例中的凭证发放设备，并且该计算机程序使得计算机执行本申请实施例的各个方法中由凭证发放实现的相应流程，为了简洁，在此不再赘述。

本申请实施例还提供了一种计算机程序产品，包括计算机程序指令。

可选的，该计算机程序产品可应用于本申请实施例中的第一设备，并且该计算机程序指令使得计算机执行本申请实施例的各个方法中由第一设备实现的相应流程，为了简洁，在此不再赘述。

可选地，该计算机程序产品可应用于本申请实施例中的第一网元，并且该计算机程序指令使得计算机执行本申请实施例的各个方法中由第一网元实现的相应流程，为了简洁，在此不再赘述。

可选地，该计算机程序产品可应用于本申请实施例中的凭证发放设备，并且该计算机程序指令使得计算机执行本申请实施例的各个方法中由凭证发放设备实现的相应流程，为了简洁，在此不再赘述。

本申请实施例还提供了一种计算机程序。

可选的，该计算机程序可应用于本申请实施例中的第一设备，当该计算机程序在计算机上运行时，使得计算机执行本申请实施例的各个方法中由第一设备实现的相应流程，为了简洁，在此不再赘述。

可选地，该计算机程序可应用于本申请实施例中的第一网元，当该计算机程序在计算机上运行时，使得计算机执行本申请实施例的各个方法中由第一网元实现的相应流程，为了简洁，在此不再赘述。

可选地，该计算机程序可应用于本申请实施例中的凭证发放设备，当该计算机程序在计算机上 运行时，使得计算机执行本申请实施例的各个方法中由凭证发放设备实现的相应流程，为了简洁，在此不再赘述。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，)ROM、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应所述以权利要求的保护范围为准。

Claims (44)

1. 一种安全实现方法，所述方法包括：

   第一设备获取第一网元的授权凭证；所述授权凭证用于验证所述第一网元是否具有接收数据的权限；所述数据来自于与所述第一设备关联的至少一个第二设备；所述授权凭证包括第一数字签名；

   在基于所述第一数字签名对所述授权凭证验证通过的情况下，所述第一设备确定所述第一网元具有接收所述至少一个第二设备发送的数据的权限。
2. 根据权利要求1所述的方法，其中，所述授权凭证包括以下中的至少一项：

   业务标识信息；所述业务标识信息用于指示所述数据对应的业务类型；

   数据标识信息；所述数据标识信息用于指示所述数据的数据类型；

   凭证发放设备的标识信息；

   所述凭证发放设备的公钥；

   所述第一网元的标识信息；

   所述第一网元的公钥；

   所述第一网元对应的RSA累加器参数。
3. 根据权利要求1或2所述的方法，其中，所述第一数字签名通过凭证发放设备的私钥进行签名，所述方法还包括：

   所述第一设备利用所述凭证发放设备的公钥对所述第一数字签名进行验证，得到第一验证信息；

   若所述第一验证信息与所述授权凭证中除所述第一数字签名之外的其他信息一致，则确定所述授权凭证验证通过。
4. 根据权利要求1-3任一项所述的方法，其中，所述授权凭证中包括所述第一网元对应的RSA累加器参数；

   所述在基于所述第一数字签名对所述授权凭证验证通过的情况下，所述第一设备确定所述第一网元具有接收所述至少一个第二设备的数据的权限，包括：

   在基于所述第一数字签名对所述授权凭证验证通过的情况下，所述第一设备基于所述RSA累加器参数，验证所述授权凭证是否被撤销；

   若所述授权凭证未被撤销，则所述第一设备确定所述第一网元具有接收所述至少一个第二设备的数据的权限。
5. 根据权利要求1-4任一项所述的方法，其中，所述授权凭证中包括业务标识信息和/或数据标识信息，所述业务标识信息用于指示所述数据的业务类型，所述数据标识信息用于指示所述数据的数据类型；所述方法还包括：

   在所述至少一个第二设备中任意一个第二设备支持所述业务类型和/或所述数据类型的情况下，所述第一设备基于所述第一数字签名对所述授权凭证进行验证。
6. 根据权利要求1-5任一项所述的方法，其中，所述第一设备确定所述第一网元具有接收所述至少一个第二设备发送的数据的权限之后，所述方法还包括：

   所述第一设备接收第一网元发送的第一指示信息；所述第一指示信息用于指示所述至少一个第二设备中需要向所述第一网元发送数据的第二设备；

   所述第一设备向所述第一指示信息所指示的第二设备发送第一请求信息；所述第一请求信息用于请求所述第一指示信息所指示的第二设备的数据。
7. 根据权利要求6所述的方法，其中，所述方法还包括：

   所述第一设备接收所述第一指示信息所指示的第二设备发送的数据；

   所述第一设备向所述第一网元发送所述数据。
8. 根据权利要求6或7所述的方法，其中，所述授权凭证中包括业务标识信息和/或数据标识信息，所述业务的标识信息用于所述数据的业务类型；

   所述第一设备向所述第一指示信息所指示的第二设备发送第一请求信息，包括：

   所述第一设备向所述第一指示信息所指示的第二设备中，支持所述业务类型和/或所述数据类型的第二设备发送第一请求信息。
9. 根据权利要求1-8任一项所述的方法，其中，所述第一设备获取第一网元的授权凭证，包括：

   所述第一设备接收第一网元发送的第二请求信息；所述第二请求信息用于请求所述第一设备授予所述第一网元获取所述至少一个第二设备的数据的权限；所述第二请求信息中包括所述授权凭证；

   所述第一设备从所述第二请求信息中获取所述授权凭证。
10. 根据权利要求9所述的方法，其中，所述第二请求信息中还包括以下中的至少一项：

    所述第一网元的标识信息；

    所述第一设备的标识信息；

    所述至少一个第二设备中每个第二设备的标识信息；

    信道参数；所述信道参数用于建立所述第一网元与所述第一设备之间的可信信道；

    所述第一网元的公钥；

    第二数字签名；所述第二数字签名用于第一设备验证所述第一网元的身份；所述第二数字签名通过所述第一网元的私钥对所述第二请求信息中的其他信息进行签名得到。
11. 根据权利要求9或10所述的方法，其中，所述第一设备从所述第二请求信息中获取所述授权凭证，包括：

    在对所述第一网元的身份验证通过的情况下，所述第一设备从所述第二请求信息中获取所述授权凭证。
12. 根据权利要求11所述的方法，其中，所述第二请求信息中还包括利用所述第一网元的私钥进行签名的第二数字签名；

    所述方法还包括：

    所述第一设备利用所述第一网元的公钥对所述第二数字签名进行验证处理，得到第二验证信息；

    若所述第二验证信息与所述第二请求信息中除所述第二数字签名之外的其他信息一致，则确定所述第一网元身份验证通过。
13. 根据权利要求1-8任一项所述的方法，其中，所述第一设备获取第一网元的授权凭证，包括：

    所述第一设备向区块链节点发送第三请求信息，所述第三请求信息用于请求所述第一网元的授权凭证；所述授权凭证存储于所述区块链节点的区块中；所述第三请求信息包括所述授权凭证在所述区块链节点的存储位置信息；

    所述第一设备接收所述区块链节点发送的所述授权凭证。
14. 根据权利要求13所述的方法，其中，所述方法还包括：

    所述第一设备按照预设时间周期，向所述第一网元发送所述至少一个第二设备传输的数据。
15. 一种安全实现方法，其中，

    第一网元向第一设备发送第二请求信息，所述第二请求信息用于请求所述第一设备授予所述第一网元获取至少一个第二设备的数据的权限，所述至少一个第二设备与所述第一设备具有关联关系；

    其中，所述第二请求信息中包括授权凭证，所述授权凭证用于所述第一设备验证所述第一网元是否具有接收所述至少一个第二设备的数据的权限；所述授权凭证通过其包括的第一数字签名进行验证。
16. 根据权利要求15所述的方法，其中，所述第二请求信息还包括以下中的至少一项：

    所述第一网元的标识信息；

    所述第一设备的标识信息；

    所述至少一个第二设备中每个第二设备的标识信息；

    信道参数；所述信道参数用于建立所述第一网元与所述第一设备之间的可信信道；

    所述第一网元的公钥；

    第二数字签名；所述第二数字签名用于第一设备验证所述第一网元的身份；所述第二数字签名通过所述第一网元的私钥对所述第二请求信息中的其他信息进行签名得到。
17. 根据权利要求15或16所述的方法，其中，所述方法还包括：

    所述第一网元接收所述第一设备发送的数据；所述数据是所述至少一个第二设备发送给所述第一设备；

    或者，所述第一网元接收所述至少一个第二设备发送的数据。
18. 根据权利要求15-17任一项所述的方法，其中，所述第一网元向第一设备发送第一请求信息之前，还包括：

    所述第一网元向区块链节点发送第四请求信息；所述第四请求信息用于请求所述第一网元的授权凭证；所述授权凭证存储于所述区块链节点的区块中；所述第四请求信息包括所述授权凭证在所述区块链节点的存储位置信息；

    所述第一网元接收所述区块链节点发送的所述授权凭证。
19. 根据权利要求18所述的方法，其中，所述第一网元向区块链节点发送第四请求之前，还包括：

    所述第一网元向凭证发放设备发送第五请求信息；所述第五请求信息用于请求所述第一网元的授权凭证。
20. 根据权利要求19所述的方法，其中，所述第五请求信息中包括以下中的至少一项：

    业务标识信息；所述业务的标识信息用于指示所述数据对应的业务类型；

    所述第一网元的标识信息；

    所述第一网元的公钥；

    数据标识信息；

    第三数字签名，所述第三数字签名通过所述第一网元的私钥签名得到。
21. 根据权利要求19或20所述的方法，其中，还包括：

    所述第一网元接收所述凭证发放设备发送的所述授权凭证，和/或，所述授权凭证的存储位置信息。
22. 一种安全实现方法，包括：

    凭证发放设备接收第一网元发送的第五请求信息；所述第五请求信息用于请求所述第一网元的授权凭证；所述授权凭证用于第一设备验证所述第一网元是否具有获取数据的权限；所述数据来自于与所述第一设备关联的至少一个第二设备；

    所述凭证发放设备生成所述第一网元的授权凭证。
23. 根据权利要求22所述的方法，其中，所述授权凭证包括以下中的至少一项：

    业务标识信息；所述业务标识信息用于指示所述数据的业务类型；

    所述凭证发放设备的标识信息；

    所述凭证发放设备的公钥；

    所述第一网元的标识信息；

    所述第一网元的公钥；

    所述第一网元对应的RSA累加器参数；

    数据标识信息；

    第一数字签名；所述第一数字签名通过所述凭证发放设备的私钥签名得到。
24. 根据权利要求22或23所述的方法，其中，还包括：

    在对所述第一网元身份验证通过的情况下，所述凭证发放设备生成所述第一网元的授权凭证。
25. 根据权利要求22-24任一项所述的方法，其中，还包括：

    所述凭证发放设备向区块链节点发送所述授权凭证；

    所述凭证发放设备接收所述区块链节点发送的所述授权凭证的存储位置信息。
26. 根据权利要求25所述的方法，其中，还包括：

    所述凭证发放设备向所述第一网元发送所述授权凭证，和/或，所述存储位置信息。
27. 一种安全实现装置，应用于第一设备，包括：

    第一接收单元，被配置为获取第一网元的授权凭证；所述授权凭证用于验证所述第一网元是否具有接收数据的权限；所述数据来自于与所述第一设备关联的至少一个第二设备；所述授权凭证包括第一数字签名；

    确定单元，被配置为在基于所述第一数字签名对所述授权凭证验证通过的情况下，所述第一设备确定所述第一网元具有接收所述至少一个第二设备发送的数据的权限。
28. 一种安全实现装置，应用于第一网元，包括：

    第二发送单元，被配置为向第一设备发送第二请求信息，所述第二请求信息用于请求所述第一设备授予所述第一网元获取至少一个第二设备的数据的权限，所述至少一个第二设备与所述第一设备具有关联关系；

    其中，所述第二请求信息中包括授权凭证，所述授权凭证用于所述第一设备验证所述第一网元是否具有接收所述至少一个第二设备的数据的权限；所述授权凭证通过其包括的第一数字签名进行验证。
29. 一种安全实现装置，应用于凭证发放设备，包括：

    第三接收单元，被配置为接收第一网元发送的第五请求信息；所述第五请求信息用于请求所述第一网元的授权凭证；所述授权凭证用于第一设备验证所述第一网元是否具有获取数据的权限；所述数据来自于与所述第一设备关联的至少一个第二设备；

    凭证生成单元，被配置为生成所述第一网元的授权凭证。
30. 一种第一设备，包括：处理器和存储器，该存储器用于存储计算机程序，所述处理器用于调用并运行所述存储器中存储的计算机程序，执行如权利要求1至14中任一项所述的方法。
31. 一种第一网元，包括：处理器和存储器，该存储器用于存储计算机程序，所述处理器用于调用并运行所述存储器中存储的计算机程序，执行如权利要求15至21中任一项所述的方法。
32. 一种凭证发放设备，包括：处理器和存储器，该存储器用于存储计算机程序，所述处理器用于调用并运行所述存储器中存储的计算机程序，执行权利要求22至26中任一项所述的方法。
33. 一种芯片，包括：处理器，用于从存储器中调用并运行计算机程序，使得安装有所述芯片的设备执行如权利要求1至14中任一项所述的方法。
34. 一种芯片，包括：处理器，用于从存储器中调用并运行计算机程序，使得安装有所述芯片的设备执行如权利要求15至21中任一项所述的方法。
35. 一种芯片，包括：处理器，用于从存储器中调用并运行计算机程序，使得安装有所述芯片的设备执行如权利要求22至26中任一项所述的方法。
36. 一种计算机可读存储介质，用于存储计算机程序，所述计算机程序使得计算机执行如权利要求1至14中任一项所述的方法。
37. 一种计算机可读存储介质，用于存储计算机程序，所述计算机程序使得计算机执行如权利要求15至21中任一项所述的方法。
38. 一种计算机可读存储介质，用于存储计算机程序，所述计算机程序使得计算机执行如权利要求22至26中任一项所述的方法。
39. 一种计算机程序产品，包括计算机程序指令，该计算机程序指令使得计算机执行如权利要求1至14中任一项所述的方法。
40. 一种计算机程序产品，包括计算机程序指令，该计算机程序指令使得计算机执行如权利要求15至21中任一项所述的方法。
41. 一种计算机程序产品，包括计算机程序指令，该计算机程序指令使得计算机执行如权利要求22至26中任一项所述的方法。
42. 一种计算机程序，所述计算机程序使得计算机执行权利要求1至14中任一项所述方法。
43. 一种计算机程序，所述计算机程序使得计算机执行权利要求15至21中任一项所述方法。
44. 一种计算机程序，所述计算机程序使得计算机执行权利要求22至26中任一项所述方法。

Images