CN104811444B

CN104811444B - 一种安全的云端控制方法

Info

Publication number: CN104811444B
Application number: CN201510171924.2A
Authority: CN
Inventors: 谢杰涛; 吴娟; 史睿冰; 金俊坤; 阚虎; 姜兆义; 吕冬雪; 高靖哲
Original assignee: Individual
Current assignee: Individual
Priority date: 2015-04-02
Filing date: 2015-04-02
Publication date: 2017-10-27
Anticipated expiration: 2035-04-02
Also published as: CN104811444A

Abstract

本发明公布了一种安全的云端控制方法，基于网络开销较小的UDP协议进行通信设计，采用用户可配置的策略进行安全性设计，云端和被控设备预置了多种加密算法，用户可以根据应用需要进行配置，满足了大规模物联网应用、特别是智能家居平民化对云端控制方便性、安全性和高并发的要求。

Description

一种安全的云端控制方法

技术领域

本发明涉及一种安全的云端控制方法。

背景技术

云端控制技术是物联网的关键技术之一，采用该技术能够使授权用户或者设备通过网络对远程节点进行控制。如在车上开关家中的空调，在办公室调整家中的百叶窗，在外地给办公室的盆栽浇水，这些控制指令的发送都能够通过手机或者其它联网设备实现。

云端控制通常有如下两种实现方式。

一种是服务器模式，被控设备上部署控制服务的同时绑定一个IP地址，IP地址的可见性决定了控制服务的可访问范围。若该IP是局域网可见的，则只有局域网中的授权终端才能访问控制服务。要保证网络中任何授权终端均可发送控制指令，必须有一个外网可见的固定IP地址，或者在有外网访问条件的上级路由器上进行端口映射，这种方式难以广泛推广。

一种是客户端模式，被控设备作为客户端连接到云端的服务器，控制指令通过服务器中转，作为响应返回给被控设备。控制指令下发的实效性受制于被控设备访问服务器的频率，要保证控制指令能随时下发给被控设备，被控设备与服务器之间必须保持长连接。长连接需要占用较多的服务器资源，网络开销大，难以应对节点数较多的情况。

安全性设计也是云端控制技术的重要问题，必须在兼顾使用方便性的同时保证安全性，用户可见的部分应该尽可能符合其使用习惯，并适应不断扩展的需要。

针对传统云端控制方法与大规模物联网应用要求不相适应的问题，本发明基于网络开销较小的UDP协议进行通信设计，采用用户可配置的策略进行安全性设计，云端和被控设备预置了多种加密算法，用户可以根据应用需要进行配置，满足了大规模物联网应用，特别是智能家居平民化对云端控制方便性、安全性和高并发的要求。

发明内容

一种安全的云端控制方法，包含如下步骤：

步骤1)：在云端部署UDP服务器和HTTP服务器；

步骤2)：被控设备连接到互联网；

步骤3)：被控设备安装UDP应用程序，按设定的频率向云端的UDP服务器发送心跳包，保持通信连接；

步骤4)：授权用户通过手机、平板设备、桌面计算机等联网设备将控制请求发送给HTTP服务器；

步骤5)：HTTP服务器收到用户请求后，进行用户鉴权和控制请求解析，将相应的控制指令转发给UDP服务器；

步骤6)：UDP服务器按照指令的时间要求将指令加密后发送给被控设备；

步骤7)：被控设备对收到的报文进行解密，执行指令；

步骤8)：被控设备根据需要将指令执行状态加密后反馈给UDP服务器；

步骤9)：UDP服务器解密执行状态，并与HTTP服务器交互；

步骤10)：HTTP服务器将执行状态信息反馈给请求设备。

上述步骤1)中UDP服务器响应被控设备的UDP请求，在UDP服务器上维护了被控设备使用的协议版本和密钥集合，可以根据被控设备标识确定其加密算法和密钥；HTTP服务响应用户的HTTP请求或者HTTPS请求，在HTTP服务器上维护了处理后的授权用户身份认证所需的信息，可以对用户权限进行认证。

上述步骤2)中被控设备上部署嵌入式Web服务器，进行初始的联网设置；通过直接连接、路由器连接或者通过GPRS、3G、4G移动网络连接互联网。

上述步骤3)中UDP应用程序发送心跳包的频率通过被控设备上的嵌入式Web服务器设置；或者在云端设置，然后通过UDP服务器反馈给UDP应用程序；或者由UDP服务器根据自身负载情况和被控设备的特点进行智能匹配设置；UDP应用程序发往UDP服务器的初始地址预设在被控设备设置中，UDP服务器可以下发更改服务器控制指令，使被控设备更改对应的UDP服务器，满足网络规模不断扩大的需求。

上述步骤4)中用户授权认证主要采用用户名和密码认证的方式，或者采用IP地址限定、证书方式。

上述步骤5)中HTTP服务器和UDP服务器之间通过消息机制、分布式缓存或数据库系统方式进行数据交互。

其特征在于，采用用户可配置的策略进行安全性设计。

上述步骤6)中指令加密采用如下协议：

a6)：根据被控设备标识获取其采用的协议版本号Version，进而确定加密算法和密钥；若该版本协议采用对称加密算法，则UDP服务器上保存的密钥与被控设备上保存的密钥一致，记为KEY；若该版本协议采用非对称加密算法，则UDP服务器上保存有自身的公钥Key_Public、私钥Key_Self和被控设备的公钥DeviceKey_Public，记DeviceKey_Public为KEY；用户可以根据需要选择不同版本的协议，对加密算法和密钥进行管理；

b6)：采用a6)中确定的加密算法和密钥对指令进行加密，作为报文的正文；

c6)：在正文之前加上32字节的报头作为加密后的完整报文，报头格式如下：总长度为32字节，其中第1到第2字节为Verison，填充协议版本号；第3到第4字节为Length，填充报文总长度；第5到第12字节为DeviceID，填充被控设备标识；第13到第16字节为TimeStamp，填充发送报文的当前时间；第17到32字节为Sign，将KEY的前16个字节作为key，不足16字节的前面补0，将key填充到Sign后用MD5算法对整个报文加密，加密结果为该报文的数字签名，用数字签名替换之前Sign的内容得到最后的加密报文。

上述步骤7)中报文解密采用如下协议：

a7)：判断Length的内容是否为合法长度，若不是则舍弃，否则根据Length获取完整报文；

b7)：验证DeviceID内容是否与自身节点标识一致，不一致则舍弃；

c7)：验证Version内容是否为当前使用的有效版本，不是有效版本则舍弃；

d7)：比较TimeStamp内容与当前时间的差值是否在允许范围内，超出允许范围则舍弃，避免重放攻击；

e7)：记录Sign内容，设其值为V，将密钥KEY的前16个字节作为key，不足16字节的前面补0，用key替换有效报文中Sign后用MD5算法对有效报文加密，比较加密结果与V是否一致，不一致则说明数字签名校验失败，舍弃；

f7)：采用当前使用的加密算法对有效报文的正文进行解密。

上述步骤8)中对执行状态的加密采用如下协议：

a8)：读取设备当前使用的协议版本号Version，进而确定加密算法和密钥，若该版本协议采用对称加密算法，则设备上保存的密钥与对应UDP服务器上保存的密钥一致，记为KEY；若该版本协议采用非对称加密算法，则设备上保存有自身的公钥DeviceKey_Public、私钥DeviceKey_Self和对应服务器上的公钥Key_Public，记DeviceKey_Public为KEY；

b8)：采用a8)中确定的加密算法和密钥对执行状态进行加密，作为报文的正文；

c8)：处理过程同c6)。

上述步骤9)中UDP服务器对执行状态的解密采用如下协议：

a9)：判断Length的内容是否为合法长度，如果是则舍弃，否则根据Length获取完整报文；

b9)：验证DeviceID内容是否为有效设备标识，如果不是则舍弃，如果是则根据DeviceID获取密钥；

c9)：执行c7)～f7)。

与现有技术相比，采用用户可配置的策略进行安全性设计，云端和被控设备预置了多种加密算法，用户可以根据应用需要进行配置，满足云端控制方便性、安全性和高并发的要求。

附图说明

图1是系统结构图；

图2是被控设备发送心跳包处理流程图；

图3是用户发送控制命令处理流程图；

图4是加密流程图；

图5是解密流程图。

具体实施方式

以下将结合具体实施例对本发明提供的技术方案进行详细说明，应理解下述具体实施方式仅用于说明本发明而不用于限制本发明的范围。

系统结构图如图1所示，在云端部署UDP服务器和HTTP服务器，其中UDP服务器响应被控设备(以下简称设备)的请求，HTTP服务器响应用户请求。

UDP服务器部署的规模由需要服务的设备数量决定，通常单台服务器每秒服务的设备数在10²到10⁴之间，按单台设备平均每两分钟响应一次的频率计算，单台服务器能服务的最大设备数为百万规模。为了应对更大规模的设备部署场景，需要增加UDP服务器数量。设备对应的初始UDP服务器地址预设在设备设置中，当UDP服务器负载增加到一定程度时，UDP服务器向设备发送更改服务器控制指令，设备收到该指令后将主动向新的UDP服务器发送心跳包和状态信息，适应网络规模的不断扩大。更改服务器控制指令格式如表一所示。UDP服务器端维护设备信息列表，可以根据设备标识获取加解密协议版本号、加解密密钥和网络地址等信息，信息列表格式如表二所示。

表一更改服务器控制指令格式与示例

格式	设备标识	命令类型	新的UDP服务器地址	新UDP服务器公钥(可选)
					示例一	AD000001	06	202.117.xxx.xxx：7010
示例二	HD0010AF	06	wififamily.com：7000	$Rand#*$0242712398jkladjfhj22876

表二设备信息格式与示例

格式	设备标识	设备密钥	设备网络地址	设备协议版本
					示例	AD000001	$Rand#*$0242	216.117.xxx.xxx：1366	V2

HTTP服务器部署的规模由需要处理的用户请求数的多少决定，当用户请求数超过服务器处理能力时，在服务器前端部署负载均衡服务器，同时增加服务器数量可以满足更多的服务请求。UDP服务器和HTTP服务器之间通过消息机制、分布式缓存、数据库系统等方式进行数据交互。

被控设备连接互联网有多种形式，可以直接连接，可以通过路由器连接，也可以通过GPRS、3G或者4G等移动网络连接。为了进行联网设置，在被控设备上部署嵌入式Web服务，用户通过手机、平板设备或者其它终端直接连接被控设备，通过嵌入式Web服务进行设置，使被控设备连接到互联网。设置成功后，除联网环境发生变化，后续不需要再次设置。

设备上安装UDP应用程序，该应用程序会按照设定的频率向云端的UDP服务器发送心跳包，也可以按照需要发送设备状态信息，同时监听UDP服务器的反馈信息。UDP服务器的反馈信息和心跳包不是一一对应的，根据实际的需要，UDP服务器可以选择不反馈，也可以反馈一条或者多条信息。设备发送心跳包的处理流程如图2所示。通过移动网络连接互联网的设备其网络地址可能经常发生变化，通过DHCP方式分配网络地址的设备其IP也不是固定的，由于UDP应用程序发送的心跳包中总是包含其最新的网络地址，因此设备的联网方式对UDP服务器而言是透明的，UDP服务器能及时将指令等信息反馈给UDP应用程序，最大延迟不大于心跳包发送的频率。心跳包的发送频率可以通过设备上的嵌入式Web服务器设置；也可以在云端设置，或者由UDP服务器根据自身负载情况和被控设备的特点进行智能匹配设置，然后发送频率控制指令给UDP应用程序，频率控制指令格式如表三所示。

表三频率控制指令格式与示例

格式	设备标识	命令类型	发送心跳包的频率
				示例	HD0010AF	03	240

用户通过授权认证后，可以通过手机、平板设备、桌面计算机等联网设备访问云端的HTTP服务器，查看被控设备状态，并根据自己的需要发送控制指令。用户授权认证主要采用用户名和密码认证的方式，也可选用IP地址限定、证书等其它方式。认证完成后用户可以执行授权范围内的操作，向有控制权限的节点发送控制命令。用户发送控制命令的处理流程如图3所示。

HTTP服务器收到用户请求后，对请求进行解析，判断用户是否有执行该操作的权限。若用户能够执行该操作，HTTP服务器通过消息机制、分布式缓存或者写数据库等方式将控制命令转发给UDP服务器。

UDP服务器维护被控设备网络地址和密码信息，当收到控制命令时，根据指令的时间要求，按照图四所示方式进行加密，发送给被控设备。加密采用用户可配置的加密算法与数字签名相结合的方式，可配置的加密算法包括各种常见的对称加密算法和非对称加密算法，如AES、RSA等，可以根据需要在UDP服务器和被控设备上增加新的加密算法供用户选择。指令内容采用指定的加密协议加密后构成报文正文，密钥在被控设备和UDP服务器上维护，用户可以通过局域网或者云端修改密钥。报头长32字节，其格式如表四所示。

表四报文报头格式

字段名称	字段含义	字段长度
			Version	协议版本	2字节
Length	报文长度	2字节
			DeviceID	被控设备标识	8字节
TimeStamp	时间戳	4字节
			Sign	签名	16字节

被控设备上的UDP应用程序接收到指令后，按照图5所示方式进行解密，并判断是否为有效指令。若指令有效，执行指令，并将执行结果按照图4所示方式进行加密后，反馈给UDP服务器。

UDP服务器对被控设备反馈的信息进行解密，将结果转发给HTTP服务器，HTTP服务器根据用户需要将执行状态信息反馈给用户。

若用户A有设备B的控制权，当前使用的协议版本为V2，V2对应的加密算法为先进加密标准(AES)算法，被控设备密钥为K1。用户可以访问云端HTTP服务器更改密钥，若更改为K2。HTTP服务器收到更改密钥请求后将其转发给UDP服务器，UDP服务器根据V2协议要求采用AES算法和密钥K1对更改密钥指令进行加密后发送给设备，指令格式如表五所示。设备B收到指令后，根据V2协议采用AES算法和密钥K1对指令解密，执行指令，将密钥更改为K2，然后使用之前的AES算法和密钥K1加密指令执行结果，发送给UDP服务器。密钥修改反馈信息的格式如表六所示，对于对称加密算法密钥的修改，将密钥填入密钥1位置；对于通过云端服务器修改非对称加密算法密钥的情况，设备公钥填入密钥1位置，设备私钥填入密钥2位置。UDP服务器收到指令执行反馈结果后，进行解密，若K2不为空，则将本地存储的设备B的密钥修改为K2，并将修改密钥信息发送给HTTP服务器，HTTP服务器反馈给用户，之后UDP服务器和设备B之间使用密钥K2；若K2为空，则继续使用密钥K1，并将修改失败的结果经HTTP服务器反馈给用户。

表五更改密钥指令格式与示例

格式	设备标识	命令类型	密钥1	密钥2(可选)
					示例	HD0010AF	05	K2

表六密钥修改反馈信息格式与示例

格式	设备标识	命令类型	修改后的密钥(为空表示修改失败)
				示例	HD0010AF	06	K2

若之后用户要更改协议版本为V3，对应的加密算法为RSA算法，设备B默认公钥为K3、私钥为K4，UDP服务器默认公钥为K5、私钥为K6，则UDP服务器收到HTTP服务转发的请求后，根据V2协议要求采用AES算法和密钥K2对更改协议版本指令进行加密后发送给设备，指令格式如表七所示。设备B收到指令后，根据V2协议采用AES算法和密钥K2对指令解密，执行指令，将协议版本号修改为V3，然后使用之前的AES算法和密钥K2加密指令执行结果，发送给UDP服务器，协议版本修改反馈信息的格式如表八所示。UDP服务器收到指令执行反馈结果后，将修改结果经HTTP服务器反馈给用户，之后UDP服务器和设备B之间使用的加密协议版本修改为V3。

表七更改协议版本指令格式与示例

格式	设备标识	命令类型	协议版本号	服务器公钥(使用对称加密算法时为实际密钥)
					示例	HD0010AF	07	V3	K5

表八协议版本修改成功反馈信息格式与示例

格式	设备标识	命令类型	协议版本号	设备公钥(使用对称加密算法时为实际密钥)
					示例	HD0010AF	08	V3	K3

若之后用户要更改设备密钥，对于非对称加密算法，修改过程应该尽量通过局域网访问设备上的嵌入式Web服务器进行，以降低私钥泄露的风险。假设用户修改后的公钥为K6、私钥为K7，设备B应使用之前采用的RSA算法和私钥K4对设备修改密钥信息进行加密后发送给UDP服务器，设备修改密钥信息格式如表九所示。UDP服务器收到后，进行解密，修改本地列表中设备B的公钥信息为K6。

表九设备修改密钥信息格式与示例

格式	设备标识	命令类型	修改后的密钥
				示例	HD0010AF	09	K6

Claims

1.一种安全的云端控制方法，包含如下步骤：

步骤1)：在云端部署UDP服务器和HTTP服务器；

步骤2)：被控设备连接到互联网；

步骤7)：被控设备对收到的报文进行解密，执行指令；

步骤9)：UDP服务器解密执行状态，并与HTTP服务器交互；

步骤10)：HTTP服务器将执行状态信息反馈给请求设备；

其特征在于，采用用户可配置的策略进行安全性设计，UDP服务器对指令加密采用如下协议：

a6)：根据被控设备标识获取其采用的协议版本号Version，进而确定加密算法和密钥；若该版本协议采用对称加密算法，则UDP服务器上保存的密钥与被控设备上保存的密钥一致，记为KEY；若该版本协议采用非对称加密算法，则UDP服务器上保存有自身的公钥Key_Public、私钥Key_Self和被控设备的公钥DeviceKey_Public，记DeviceKey_Public为KEY；UDP服务器和被控设备上预置了多种加密算法，用户可以根据需要选择不同版本的协议，对加密算法和密钥进行管理；

2.根据权利要求1所述的云端控制方法，其特征在于：采用用户可配置的策略进行安全性设计，被控设备对报文的解密采用如下协议：

f7)：采用当前使用的加密算法对有效报文的正文进行解密。

3.根据权利要求1所述的云端控制方法，其特征在于：采用用户可配置的策略进行安全性设计，被控设备对执行状态的加密采用如下协议：

c8)：处理过程同c6)。

4.根据权利要求1所述的云端控制方法，其特征在于：采用用户可配置的策略进行安全性设计，UDP 服务器对执行状态的解密采用如下协议：

c9)：执行c7)～f7)。