CN106130982B - 基于pki体系的智能家电远程控制方法 - Google Patents
基于pki体系的智能家电远程控制方法 Download PDFInfo
- Publication number
- CN106130982B CN106130982B CN201610487642.8A CN201610487642A CN106130982B CN 106130982 B CN106130982 B CN 106130982B CN 201610487642 A CN201610487642 A CN 201610487642A CN 106130982 B CN106130982 B CN 106130982B
- Authority
- CN
- China
- Prior art keywords
- controlling terminal
- intelligent appliance
- appliance equipment
- message
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
Abstract
本发明公开了一种基于PKI体系的智能家电远程控制方法,涉及智能家居远程控制领域。所述方法:首先对需控制的智能家电设备进行个性化设置;智能家电设备解密控制终端发送的密文数据后接入无线局域网;在云服务器的协调下,以设备证书为信任根,建立控制终端与智能家电设备的绑定关系;最后通过控制终端控制智能家电设备。本发明采用PKI秘钥体系技术实现网络身份识别、网络通信保密、通信数据防篡改、通信主体不可抵赖等功能,通信过程中所使用的数据全部以密文的方式传输,数据的安全性由所采用的加密算法的强度来保证,从而避免通信数据被篡改和信息泄露等问题,解决了现有智能家电远程控制方法中的多种安全风险。
Description
技术领域
本发明涉及智能家居远程控制领域,尤其涉及一种基于PKI体系的智能家电远程控制方法。
背景技术
智能家电具备传统家电所没有的远程监测、远程控制等互联功能,在不断提高家电智能化、便利性的同时,也为远程入侵提供了可能。比如,黑客通过入侵攻击使得警报系统失效;或者通过入侵掌握智能家电的控制权后,命令智能家电不断运行,让其长时间超过额定功率运行,以至毁坏。
在现有的智能家电远程控制技术方案中,由于需要不断地进行数据交换,需要在公网上传输大量的明文数据,比如,需要传输智能家电的状态信息、接入口令、控制数据等。这些敏感数据在公网上传输时有可能被截取或恶意篡改,从而埋下严重的安全隐患。
发明内容
本发明的目的在于提供一种基于PKI体系的智能家电远程控制方法,从而解决现有技术中存在的前述问题。
为了实现上述目的,本发明1.一种基于PKI体系的智能家电远程控制方法,其特征在于,所述方法包括:
S1,智能家电设备的个性化设置
下载智能家电设备的基本信息到所述智能家电设备的SE芯片内,所述基本信息包括:智能家电的设备证书、加密秘钥对和设备编号;同时,将注册系统的签名证书和注册系统加密公钥存储到所述智能家电设备的SE芯片内;最后将设备编号展示在智能家电设备或与所述智能家电设备相关的用户手册上;
S2,智能家电设备的安装及接入无线局域网
智能家电设备解密控制终端发送的包含无线局域网SSID和wifi接入口令的密文数据,获得SSID和wifi接入口令,然后以SSID和wifi接入口令连接到无线局域网;
S3,建立控制终端与智能家电设备之间的绑定关系
在云服务器的协调下,以设备证书为信任根,建立控制终端与智能家电设备的绑定关系:
S31,控制终端将包含自身签名公钥和唯一物理信息并经过加密的绑定请求报文A发送给智能家电设备;
S32,智能家电设备对解密后的绑定请求报文依次进行签名和加密,得到报文B,并将报文B经控制终端发送给云服务器的注册系统进行解密和签名验证,注册系统将签名验证通过的报文B中的控制终端签名公钥和控制终端唯一物理信息发送给制证系统;
S33,制证系统生成控制终端的签名证书和控制终端的加密秘钥对;
S34,注册系统将包含控制终端的签名证书和控制终端加密秘钥对的报文C进行签名和加密后,经控制终端发送给智能家电设备;
S35,智能家电设备对报文C进行解密和验证,然后对解密后的报文C进行加密,得到报文D并发送给控制终端;
S36,控制终端解密报文D得到并存储自身的签名证书和加密秘钥对,完成控制终端与智能家电设备之间的绑定;
S4,通过控制终端控制智能家电设备
控制终端获取智能家电设备的状态,组织控制报文并发送给智能家电设备,所述控制报文包括数字签名、控制终端身份信息、控制时间和控制命令;
智能家电设备验证控制报文的数字签名、控制终端身份信息、控制时间、控制命令是否合法,如果合法,则执行命令;如果不合法,则将控制信息不合法的消息发送到控制终端。
优选地,步骤S2,具体按照下述步骤实现:
S21,控制终端获取需建立绑定连接的智能家电设备的基本信息和所用无线局域网中的SSID和wifi接入口令;
S22,控制终端以基本信息中的设备编号为第一加密算法秘钥,采用第一加密算法对无线路由器的SSID和wifi接入口令进行加密,得到密文数据;
S23,控制终端将所述密文数据以UDP报文的方式推送给智能家电设备;
S24,智能家电设备接收到所述密文数据后,以自身设备编号为第一加密算法的解密秘钥,采用第一加密算法对所述密文数据进行解密,得到无线路由器的SSID和wifi接入口令的明文数据;
S25,智能家电设备使用所述明文数据配置自身无线网络模块,执行接入网络操作,将智能家电设备连接到无线局域网中。
更优选地,所述第一加密算法为对称加解密算法。
优选地,步骤S31,具体按照下述步骤实现:
控制终端生成自身的签名秘钥对,并将包含自身的签名公钥和控制终端唯一物理信息作为绑定请求报文A的数据,然后以智能家电设备的设备编号为对称加密秘钥加密绑定请求报文A,然后将加密后的绑定请求报文A发送给智能家电设备。
优选地,步骤S32和S33,具体按照下述步骤实现:
a,智能家电设备以自身的设备编号为对称解密秘钥,解密控制终端发送来的加密后的绑定请求报文A,获得绑定请求报文A的明文,然后智能家电设备利用自身的签名私钥对明文签名,再以云服务器的注册系统的加密公钥对签名后的明文加密,得到包含控制终端签名公钥和控制终端唯一物理信息的报文B;
b,智能家电设备将报文B发送给控制终端,再由控制终端发送给云服务器的注册系统;
c,注册系统先利用自身的加密私钥解密报文B,再在利用智能家电设备签名公钥对解密后的报文B进行签名验证;如果解密和签名验证任意一个过程失败,注册系统将终止绑定流程,并向智能家电设备发送错误码;如果解密和签名验证均通过,注册系统将从报文B中获得的控制终端的签名公钥、唯一物理信息转发给制证系统;
d,制证系统根据控制终端的签名公钥、唯一物理信息生成控制终端的签名证书,同时,生成控制终端的加密秘钥对,然后将生成的控制终端的签名证书、加密秘钥对发送给注册系统。
优选地,步骤S34,注册系统将包含控制终端的签名证书和控制终端加密秘钥对的报文C进行签名和加密后,经控制终端发送给智能家电设备;具体按照下述步骤实现:
S341,注册系统存储制证系统发送的控制终端的签名证书、加密秘钥对和控制终端的唯一物理信息,并记录控制终端与智能家电设备的绑定关系;同时,利用注册系统自身的签名私钥对包含控制终端的签名证书和加密秘钥对的报文C进行签名,然后利用智能家电设备的加密公钥对签名后的报文C进行加密,最后将加密后的报文C发送给控制终端;
控制终端再将加密后的报文C发送给智能家电设备。
优选地,步骤S35和S36,具体按照下述步骤实现:
i,智能家电设备利用自身的加密秘钥对的私钥解密加密后的报文C,然后利用SE芯片内存储的注册系统的签名公钥对解密后报文C进行签名验证,如果解密和签名验证任意一个过程失败,则终止绑定流程,并向控制终端返回错误码;如果解密和签名验证均通过,则将控制终端的签名证书和加密秘钥对存储SE芯片,进入ii;
ii,智能家电设备利用自身的设备编号对包含控制终端的签名证书和加密秘钥对的报文D加密,然后将加密后的报文D发送到控制终端;
iii,控制终端以智能家电设备的设备编号为对称解密秘钥解密收到的加密报文D,获得自身的签名证书和加密秘钥对,最后将自身的签名证书和加密秘钥对存入相应的目录中。
优选地,步骤S4中,具体按照下述步骤实现:
S41,控制终端通过安装在自身的App应用程序登录到云服务器,并查找到需要控制的智能家电设备;
S42,App应用程序接收到用户输入的控制信息,并按预先设置的通信协议对控制数据进行组织后,利用控制终端的签名私钥对控制数据进行签名,再以智能家电设备的加密公钥将控制数据报文封装成数字信封后,发送给智能家电设备;数据信封中包括控制命令、时间信息和控制终端身份信息;
S43,智能家电设备以自身的加密私钥解开数字信封,再以绑定列表中存储的控制终端的签名公钥对接到数字信封的数字签名进行验证,如果签名验证有效,进入S44;如果签名验证无效,则向APP应用程序发送信息不合法的提示消息;
S44,验证控制数据中的控制命令和控制时间信息是否合法,如果合法,则执行命令;如果不合法,则向APP应用程序发送信息不合法的提示消息。
优选地,步骤S2中,所述控制终端的唯一物理信息包括控制终端ID、手机号码和PAD序列号;控制终端包括:智能手机、PC、PAD。
优选地,步骤S3中,App应用程序通过用户手动输入或扫描条形码的方式,获取设备编号。
综上所述,本发明与现有技术的区别和有益效果如下:
1、本发明中,控制终端使用第一加密算法加密智能家电的网络配置数据,其中,所述的第一加密算法为SM1加密算法、SM4加密算法、DES加密算法等对称加密算法,与现有技术相比,本发明利用算法的安全强度保证数据的安全。
2、本发明中,在控制终端尚未与智能家电设备进行绑定前,数据传输采用的是对称加解密算法,加解密秘钥为智能家电设备的设备编号,保证通信双方可以正确地对数据进行加解密,与现有技术相比,本发明在尚未实现绑定前,以设备编号为通信数据加解密秘钥,既达到保护数据安全的效果,又简化了加解密流程。
3、本发明中,在控制终端尚未与智能家电设备进行绑定前,所有通信数据都是密文,保证了wifi的SSID和口令等通信数据的安全性,与现有技术相比,本发明的敏感通信数据得到有效保护。
4、本发明中,以智能家电的设备证书为信任根,建立控制终端与智能家电的绑定关系,与现有技术相比,本发明利用云服务器对智能家电的设备证书的信任,构建智能家电、控制终端、云服务器之间的信任关系。
5、本发明中,控制终端在申请与智能家电绑定时,所提交的唯一物理信息包含(但不限于)设备ID、手机号、设备序列号等信息,与现有技术相比,本发明控制终端的唯一物理信息的提取更加灵活。
6、本发明中,制证系统生成控制终端证书及其秘钥对后,以智能家电设备的公钥将数据制成数字信封,对控制终端证书和秘钥进行保护,与现有技术相比,本发明利用数字信封技术,可对设备证书和秘钥对数据进行加密保护。
7、本发明中,由云服务器传回的控制终端的证书、秘钥数据需经由智能家电设备解密,控制终端不能直接从数字信封中获取自身的证书、秘钥信息,与现有技术相比,本发明控制终端在绑定关系成功建立之前,无法解密云服务器的密文,避免敏感数据被非法截取。
8、本发明中,只有持有合法设备证书的智能家电设备,才可以解密由云服务器传回的数字信封,获取控制终端的证书、秘钥对数据,与现有技术相比,本发明避免控制终端的证书、秘钥对等敏感数据被非法截取、破解、篡改。
9、本发明中,控制终端组织控制信息,并对控制信息进行加密、签名,与现有技术相比,本发明智能家电设备可以通过签名验证确定控制数据的签发者,防止合法控制终端的“事后抵赖”,以及非法控制终端的入侵。
10、本发明中,智能家电接收到控制数据后,必须对控制数据的签名和数据的有效性进行验证,只有已经建立绑定关系的控制终端签发的控制数据才得以执行,与现有技术相比,本发明智能家电设备验证命令的签发者,而且只执行由合法控制终端发出的合法的控制数据。
本发明的有益效果是:
本发明采用PKI秘钥体系技术实现网络身份识别、网络通信保密、通信数据防篡改、通信主体不可抵赖等功能,提高智能家电远程控制方法的安全性。利用数字证书建立通信主体之间的信任关系,所有的通信过程都可以确定通信主体的身份,不但可以对通信主体的身份进行鉴别和权限控制,而且可以防止通信主体的“事后抵赖”行为;通信过程中所使用的数据全部以密文的方式传输,数据的安全性由所采用的加密算法的强度来保证,从而避免通信数据被篡改和信息泄露等问题,解决了现有智能家电远程控制方法中的多种安全风险。
附图说明
图1是基于PKI体系的智能家电远程控制方法流程示意图;
图2是智能家电设备与控制终端绑定流程示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施方式仅仅用以解释本发明,并不用于限定本发明。
实施例
参照图1,一种基于PKI体系的智能家电远程控制方法,所述方法包括:
S1,智能家电设备的个性化设置
下载智能家电设备的基本信息到所述智能家电设备的SE芯片内,所述基本信息包括:智能家电的设备证书、加密秘钥对和设备编号;同时,将注册系统的证书和注册系统加密公钥存储到所述智能家电设备的SE芯片内;最后将设备编号展示在智能家电设备或与所述智能家电设备相关的用户手册上;其中,所述注册系统证书包含注册系统的签名公钥;
S2,智能家电设备的安装及接入无线局域网
智能家电设备解密控制终端发送的包含无线局域网SSID和wifi接入口令的密文数据,获得SSID和wifi接入口令,然后以SSID和wifi接入口令连接到无线局域网;
具体为:在将要控制智能家电设备的控制终端上安装控制智能家电设备的App应用程序,App应用程序将携带有无线局域网中无线路由器的SSID和wifi接入口令的密文数据发送到智能家电设备,智能家电设备对解密密文数据后,获得SSID和wifi接入口令,然后以SSID和wifi接入口令连接到无线局域网;
S3,建立控制终端与智能家电设备之间的绑定关系
在云服务器的协调下,以设备证书为信任根,建立控制终端与智能家电设备的绑定关系:
S31,控制终端将包含自身签名公钥和唯一物理信息并经过加密的绑定请求报文A发送给智能家电设备;
S32,智能家电设备对解密后的绑定请求报文依次进行签名和加密,得到报文B,并将报文B经控制终端发送给云服务器的注册系统进行解密和验证,注册系统将验证通过的报文B中的控制终端签名公钥和控制终端唯一物理信息发送给制证系统;
S33,制证系统生成控制终端的签名证书和控制终端的加密秘钥对;
S34,注册系统将包含控制终端的签名证书和控制终端加密秘钥对的报文C进行签名和加密后,经控制终端发送给智能家电设备;
S35,智能家电设备对报文C进行解密和验证,然后对解密后的报文C进行加密,得到报文D并发送给控制终端;
S36,控制终端解密报文D得到并存储自身的签名证书和加密秘钥对,完成控制终端与智能家电设备之间的绑定;
S4,通过控制终端控制智能家电设备
控制终端获取智能家电设备的状态,组织控制报文并发送给智能家电设备,所述控制报文包括数字签名、控制终端身份信息、控制时间和控制命令;
智能家电设备验证控制报文的数字签名、控制终端身份信息、控制时间、控制命令是否合法,如果合法,则执行命令;如果不合法,则将控制信息不合法的消息发送到控制终端。
更详细的解释说明为:
(一)步骤S1中,设备编号是个性化设置、WIFI接入步骤中比较重要的环节,设备编号是智能家电连入网络的钥匙,如果在APP上输入的设备编号有误,智能家电将无法解密接入WIFI所需的配置数据。
步骤S1中,将设备编号以标签的方式设置与所述智能家电设备相关的外设上,其中,所述标签上设备编号形式为设备编号数字与设备编号类条形码的组合形式;所述类条形码包括一维条形码和二维码;所述外设包括智能家电设备说明书。
也就是说,在智能家电设备个性化阶段中,重点是通过将设备证书、秘钥对、设备编号下载到智能家电的SE芯片内,以实现对智能家电的个性化;而设备证书可以是标准的X.509格式的证书,也可以是设备厂商在标准证书的基础上扩展的“非标准证书”;而秘钥对指的是非对称算法秘钥对,可以是SM2秘钥对,也可以是RSA秘钥对,秘钥对可通过硬件或软件的方式产生;而设备编号可以是设备厂商为设备编制的唯一编号。
(二)步骤S2,具体按照下述步骤实现:
S21,控制终端获取需建立绑定连接的智能家电设备的基本信息和所用无线局域网中的SSID和wifi接入口令;
S22,控制终端以基本信息中的设备编号为第一加密算法秘钥,采用第一加密算法对无线路由器的SSID和wifi接入口令进行加密,得到密文数据;
S23,控制终端将所述密文数据以UDP报文的方式推送给智能家电设备;
S24,智能家电设备接收到所述密文数据后,以自身设备编号为第一加密算法的解密秘钥,采用第一加密算法对所述密文数据进行解密,得到无线路由器的SSID和wifi接入口令的明文数据;
S25,智能家电设备使用所述明文数据配置自身无线网络模块,执行接入网络操作,将智能家电设备连接到无线局域网中。
也就是说,在智能家电设备安装及接入wifi阶段中,APP应用程序与智能家电设备之间传输的数据都是密文,而密文的加密、解密秘钥为设备编号。利用密文传输wifi配置信息,可以避免wifi的SSID及口令信息被非法截取,造成wifi口令泄露。
其中,所述第一加密算法为对称加解密算法,第一加密算法为对称加解密算法,例如:SM1加密算法、SM4加密算法、DES加密算法等,由于采用的是对称加密算法,由于以设备的设备编号为加解密秘钥,解密前无需经过复杂的秘钥协商过程,而且,只有具备特定设备编号的设备才可以正常解密数据,既方便,又安全。至于加解密过程,可以通过硬件或软件的方式实现。对APP应用程序而言,设备编号可以通过扫二维码或手动输入的方式获取。
(三)对步骤S3更详细的解释说明
1)步骤S31,具体按照下述步骤实现:
控制终端生成自身的签名秘钥对,并将包含自身的签名公钥和控制终端唯一物理信息作为绑定请求报文A的数据,然后以智能家电设备的设备编号为对称加密秘钥加密绑定请求报文A,然后将加密后的绑定请求报文A发送给智能家电设备。
2)步骤S32和S33,具体按照下述步骤实现:
a,智能家电设备以自身的设备编号为对称解密秘钥,解密控制终端发送来的加密后的绑定请求报文A,获得绑定请求报文A的明文,然后智能家电设备利用自身的签名私钥对明文签名,再以云服务器注册系统的加密公钥对签名后的明文加密,得到包含控制终端签名公钥和控制终端唯一物理信息的报文B;
b,智能家电设备将报文B发送给控制终端,再由控制终端发送给云服务器的注册系统;
c,注册系统先利用自身的加密私钥解密报文B,再利用智能家电设备签名公钥对解密后的报文B进行签名验证;如果解密和签名验证任意一个过程失败,注册系统将终止绑定流程,并向智能家电设备发送错误码;如果解密和签名验证均通过,注册系统将从报文B中获得的控制终端的签名公钥、唯一物理信息转发给制证系统;
d,制证系统根据控制终端的签名公钥、唯一物理信息生成控制终端的签名证书,同时,生成控制终端的加密秘钥对,然后将生成的控制终端的签名证书、加密秘钥对发送给注册系统。
3)步骤S34,注册系统将包含控制终端的签名证书和控制终端加密秘钥对的报文C进行签名和加密后,经控制终端发送给智能家电设备;具体按照下述步骤实现:
S341,注册系统存储制证系统发送的控制终端的签名证书、加密秘钥对和控制终端的唯一物理信息,并记录控制终端与智能家电设备的绑定关系;同时,利用注册系统自身的签名私钥对包含控制终端的签名证书和加密秘钥对的报文C进行签名,然后利用智能家电设备的加密公钥对签名后的报文C进行加密,最后将加密后的报文C发送给控制终端;
控制终端再将加密后的报文C发送给智能家电设备。
4)步骤S35和S36,具体按照下述步骤实现:
i,智能家电设备利用自身的加密秘钥对的私钥解密加密后的报文C,然后利用SE芯片内存储的注册系统的签名公钥对解密后报文C进行签名验证,如果解密和签名验证任意一个过程失败,则终止绑定流程,并向控制终端返回错误码;如果解密和签名验证均通过,则将控制终端的签名证书和加密秘钥对存储SE芯片,进入ii;
ii,智能家电设备利用自身的设备编号对包含控制终端的签名证书和加密秘钥对的报文D加密,然后将加密后的报文D发送到控制终端;
iii,控制终端以智能家电设备的设备编号为对称解密秘钥解密收到的加密报文D,获得自身的签名证书和加密秘钥对,最后将自身的签名证书和加密秘钥对存入相应的目录中。所述目录是由控制终端的APP自行定义存储目录。
也就是说,在设备绑定阶段中,最核心的思想是以设备证书为“信任根”,在云服务器的协调下建立控制终端与智能家电设备的绑定关系。APP所获得的设备证书必须是步骤S1中预置的合法证书,只有在该证书通过注册系统验证的条件下,后续的绑定过程才得以继续。
至“步骤i”为止,控制终端尚未取得注册系统器的信任,而且,控制终端尚未获得证书和秘钥对,因此,控制终端从注册系统处接收的数字信封需经智能家电设备解密。而,经过步骤iii后,控制终端获得了合法的数字证书和秘钥对,并与智能家电设备建立了绑定关系。通过这种严密、安全的绑定流程,以智能家电的设备证书为信任的基础,逐步建立控制终端的APP、云服务器、智能家电设备之间的绑定关系,实现安全的智能家电设备接入方案。整个绑定过程传输的都是密文数据,从而有效杜绝非法绑定、入侵和数据篡改。
本实施例中,智能家电打开由云服务器传回的加密报文C,获取控制终端的证书、秘钥对,记录控制终端的信息,控制终端的信息包括(但不限于)控制终端的设备ID、手机号、设备序列号等信息。
本实施例中,控制终端解密从智能家电设备传来的控制终端的证书、秘钥对后,可以记录、存储自身的证书、秘钥对,以及智能家电设备的公钥、设备编号等信息。
(四)具体按照下述步骤实现:
S41,控制终端通过安装在自身的App应用程序登录到云服务器,并查找到需要控制的智能家电设备;
S42,App应用程序接收到用户输入的控制信息,并按预先设置的通信协议对控制数据进行组织后,利用控制终端的签名私钥对控制数据进行签名,再以智能家电设备的加密公钥将控制数据报文封装成数字信封后,发送给智能家电设备;数字据信封中包括控制命令、时间信息和控制终端身份信息;
S43,智能家电设备以自身的加密私钥解开数字信封,再以绑定列表中存储的控制终端的公钥对接到数字信封的数字签名进行验证,如果验证有效,进入S44;如果验证无效,则向APP应用程序发送信息不合法的提示消息;
S44,验证控制数据中的控制命令和控制时间信息是否合法,如果合法,则执行命令;如果不合法,则向APP应用程序发送信息不合法的提示消息。
也就是说,在通过控制终端控制智能家电设备中,智能家电设备会对控制终端的签名进行验证,从而避免非法控制。而且,智能家电设备还对命令的有效时间进行验证。所有的控制数据以密文的形式在网络中传输,利用PKI体系的安全性来保证智能家电设备接入的安全性。
本实施例中,控制终端组织控制信息时,除了命令、数据、时间外,可根据功能需求增加相应的数据域。
本实施例中,步骤S2中,所述控制终端的唯一物理信息包括控制终端ID、手机号码和PAD序列号。控制终端包括:智能手机、PC、PAD。
本实施例中,步骤S3中,App应用程序通过用户手动输入或扫描条形码的方式,获取设备编号。
本实施例中,智能家电接收到控制数据后,必须对控制数据的签名进行签名验证,只有已经建立绑定关系的控制终端签发的合法的控制数据才得以执行。
(五)本实施例的几项特征:
特征A:控制终端以智能家电的设备编号为秘钥,将WIFI的SSID和口令数据以第一种加密算法进行加密,控制终端将加密后的密文推送给智能家电设备,智能家电设备用自身的设备编号对接收到的密文数据进行解密后,完成自身WIFI参数的配置。以智能家电的设备编号为秘钥,采用第一种加解密算法,对网络配置数据进行加解密,保证敏感数据的安全。
特征B:控制终端与智能家电进行绑定前,必须获得智能家电的设备证书。所有的信任关系将以智能家电的设备证书为基础。
特征C:控制终端在申请与智能家电绑定时,必须向云服务器提交智能家电的设备证书,以及控制终端的唯一物理信息,云服务器将以此作为通信主体建立绑定关系的依据。
特征D:云服务器的制证系统生成控制终端的签名证书、加密秘钥对后,以智能家电设备证书中的公钥,将生成控制终端的签名证书、加密秘钥对制成数字信封,然后通过注册系统将数字信封传输给控制终端,控制终端没有智能家电的加密私钥,无法直接打开数字信封,获取控制终端的签名证书、加密秘钥对。
特征E:控制终端将云服务器返回的数字信封发给智能家电,由智能家电利用其加密私钥打开数字信封,解密数据,获取控制终端的签名证书、加密秘钥对,只有持有合法加密私钥的智能家电可以解密制证中心的密文数据。
特征F:智能家电打开数字信封,获取控制终端的签名证书、加密秘钥对,记录控制终端的信息,采用第一种加密算法重新对控制终端的签名证书、加密秘钥对数据进行加密,将加密后的密文传输给控制终端,只有经过智能家电对注册系统的数字信封进行解密后,控制终端才能得到有效的签名证书、加密秘钥对,完成绑定流程。
特征G:控制终端组织控制数据,比如控制命令+控制数据+执行时间,使用自身的签名私钥对控制数据进行签名,以控制终端的签名作为控制数据签发者的身份识别手段,实现控制数据签发者的网络身份识别和防抵赖。
特征H:智能家电接收到控制数据后,解密控制数据,验证数据签名、有效时间,所有的验证都通过后,才能执行控制数据指定的操作,只有经过绑定的控制终端签发的合法的控制数据才会被执行,而且,可以确定控制数据签发者的身份。
通过采用本发明公开的上述技术方案,得到了如下有益的效果:本发明采用PKI秘钥体系技术实现网络身份识别、网络通信保密、通信数据防篡改、通信主体不可抵赖等功能,提高智能家电远程控制方法的安全性。利用数字证书建立通信主体之间的信任关系,所有的通信过程都可以确定通信主体的身份,通信过程中所使用的数据全部以密文的方式传输,数据的安全性由所采用的加密算法的强度来保证,从而避免通信数据被篡改和信息泄露等问题,解决了现有智能家电远程控制方法中的多种安全风险。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视本发明的保护范围。
Claims (10)
1.一种基于PKI体系的智能家电远程控制方法,其特征在于,所述方法包括:
S1,智能家电设备的个性化设置
下载智能家电设备的基本信息到所述智能家电设备的SE芯片内,所述基本信息包括:智能家电的设备证书、加密秘钥对和设备编号;同时,将注册系统证书和注册系统加密公钥存储到所述智能家电设备的SE芯片内;最后将设备编号展示在智能家电设备或与所述智能家电设备相关的用户手册上;
S2,智能家电设备的安装及接入无线局域网
智能家电设备解密控制终端发送的包含无线局域网SSID和wifi接入口令的密文数据,获得SSID和wifi接入口令,然后以SSID和wifi接入口令连接到无线局域网;
S3,建立控制终端与智能家电设备之间的绑定关系
在云服务器的协调下,以设备证书为信任根,建立控制终端与智能家电设备的绑定关系:
S31,控制终端将包含自身签名公钥和唯一物理信息并经过加密的绑定请求报文A发送给智能家电设备;
S32,智能家电设备对解密后的绑定请求报文依次进行签名和加密,得到报文B,并将报文B经控制终端发送给云服务器的注册系统进行解密和签名验证,注册系统将签名验证通过的报文B中的控制终端签名公钥和控制终端唯一物理信息发送给制证系统;
S33,制证系统生成控制终端的签名证书和控制终端的加密秘钥对;
S34,注册系统将包含控制终端的签名证书和控制终端加密秘钥对的报文C进行签名和加密后,经控制终端发送给智能家电设备;
S35,智能家电设备对报文C进行解密和签名验证,然后对解密后的报文C重新加密,得到报文D并发送给控制终端;
S36,控制终端解密报文D得到并存储自身的签名证书和加密秘钥对,完成控制终端与智能家电设备之间的绑定;
S4,通过控制终端控制智能家电设备
控制终端获取智能家电设备的状态,组织控制报文并发送给智能家电设备,所述控制报文包括数字签名、控制终端身份信息、控制时间和控制命令;
智能家电设备验证控制报文的数字签名、控制终端身份信息、控制时间、控制命令是否合法,如果合法,则执行命令;如果不合法,则将控制信息不合法的消息发送到控制终端。
2.根据权利要求1所述方法,其特征在于,步骤S2,具体按照下述步骤实现:
S21,控制终端获取需建立绑定连接的智能家电设备的基本信息和所用无线局域网中的SSID和wifi接入口令;
S22,控制终端以基本信息中的设备编号为第一加密算法秘钥,采用第一加密算法对无线路由器的SSID和wifi接入口令进行加密,得到密文数据;
S23,控制终端将所述密文数据以UDP报文的方式推送给智能家电设备;
S24,智能家电设备接收到所述密文数据后,以自身设备编号为第一加密算法的解密秘钥,采用第一加密算法对所述密文数据进行解密,得到无线路由器的SSID和wifi接入口令的明文数据;
S25,智能家电设备使用所述明文数据配置自身无线网络模块,执行接入网络操作,将智能家电设备连接到无线局域网中。
3.根据权利要求2所述方法,其特征在于,所述第一加密算法为对称加解密算法。
4.根据权利要求1所述方法,其特征在于,步骤S31,具体按照下述步骤实现:
控制终端生成自身的签名秘钥对,并将包含自身的签名公钥和控制终端唯一物理信息作为绑定请求报文A的数据,然后以智能家电设备的设备编号为对称加密秘钥加密绑定请求报文A,然后将加密后的绑定请求报文A发送给智能家电设备。
5.根据权利要求1所述方法,其特征在于,步骤S32和S33,具体按照下述步骤实现:
a,智能家电设备以自身的设备编号为对称解密秘钥,解密控制终端发送来的加密后的绑定请求报文A,获得绑定请求报文A的明文,然后智能家电设备利用自身的签名私钥对明文签名,注册系统的加密公钥对签名后的明文加密,得到包含控制终端签名公钥和控制终端唯一物理信息的报文B;
b,智能家电设备将报文B发送给控制终端,再由控制终端发送给云服务器的注册系统;
c,注册系统先利用自身的加密私钥解密报文B,再利用智能家电设备签名公钥对解密后的报文B进行签名验证;如果解密和签名验证任意一个过程失败,注册系统将终止绑定流程,并向智能家电设备发送错误码;如果解密和签名验证均通过,注册系统将从报文B中获得的控制终端的签名公钥、唯一物理信息转发给制证系统;
d,制证系统根据控制终端的签名公钥、唯一物理信息生成控制终端的签名证书,同时,生成控制终端的加密秘钥对,然后将生成的控制终端的签名证书、加密秘钥对发送给注册系统。
6.根据权利要求1所述方法,其特征在于,步骤S34,注册系统将包含控制终端的签名证书和控制终端加密秘钥对的报文C进行签名和加密后,经控制终端发送给智能家电设备;具体按照下述步骤实现:
S341,注册系统存储制证系统发送的控制终端的签名证书、加密秘钥对和控制终端的唯一物理信息,并记录控制终端与智能家电设备的绑定关系;同时,利用注册系统自身的签名私钥对包含控制终端的签名证书和加密秘钥对的报文C进行签名,然后利用智能家电设备的加密公钥对签名后的报文C进行加密,最后将加密后的报文C发送给控制终端;控制终端再将加密后的报文C发送给智能家电设备。
7.根据权利要求1所述方法,其特征在于,步骤S35和S36,具体按照下述步骤实现:
i,智能家电设备利用自身的加密秘钥对的私钥解密加密后的报文C,然后利用SE芯片内存储的注册系统的签名公钥对解密后报文C进行签名验证,如果解密和签名验证任意一个过程失败,则终止绑定流程,并向控制终端返回错误码;如果解密和签名验证均通过,则将控制终端的签名证书和加密秘钥对存储SE芯片,进入ii;
ii,智能家电设备利用自身的设备编号对包含控制终端的签名证书和加密秘钥对的报文D加密,然后将加密后的报文D发送到控制终端;
iii,控制终端以智能家电设备的设备编号为对称解密秘钥解密收到的加密报文D,获得自身的签名证书和加密秘钥对,最后将自身的签名证书和加密秘钥对存入相应的目录中。
8.根据权利要求1所述方法,其特征在于,步骤S4中,具体按照下述步骤实现:
S41,控制终端通过安装在自身的App应用程序登录到云服务器,并查找到需要控制的智能家电设备;
S42,App应用程序接收到用户输入的控制信息,并按预先设置的通信协议对控制数据进行组织后,利用控制终端的签名私钥对控制数据进行签名,再以智能家电设备的加密公钥将控制数据报文封装成数字信封后,发送给智能家电设备;指令数字信封中包括控制命令、时间信息和控制终端身份信息;
S43,智能家电设备以自身的加密私钥解开指令数字信封,再以绑定列表中存储的控制终端的公钥对指令数字信封的数字签名进行签名验证,如果签名验证有效,进入S44;如果签名验证无效,则向APP应用程序发送信息不合法的提示消息;
S44,验证控制数据中的控制命令和控制时间信息是否合法,如果合法,则执行命令;如果不合法,则向APP应用程序发送信息不合法的提示消息。
9.根据权利要求1所述方法,其特征在于,步骤S2中,控制终端的唯一物理信息包括控制终端ID、手机号码和PAD序列号;控制终端包括:智能手机、PC、PAD。
10.根据权利要求1所述方法,其特征在于,步骤S3中还包括,App应用程序通过用户手动输入或扫描条形码的方式,获取设备编号。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610487642.8A CN106130982B (zh) | 2016-06-28 | 2016-06-28 | 基于pki体系的智能家电远程控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610487642.8A CN106130982B (zh) | 2016-06-28 | 2016-06-28 | 基于pki体系的智能家电远程控制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106130982A CN106130982A (zh) | 2016-11-16 |
| CN106130982B true CN106130982B (zh) | 2019-07-12 |
Family
ID=57266863
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610487642.8A Active CN106130982B (zh) | 2016-06-28 | 2016-06-28 | 基于pki体系的智能家电远程控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106130982B (zh) |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106533861A (zh) * | 2016-11-18 | 2017-03-22 | 郑州信大捷安信息技术股份有限公司 | 一种智能家居物联网安全控制系统及认证方法 |
| CN106790398A (zh) * | 2016-11-28 | 2017-05-31 | 天津达尔顿科技有限公司 | 一种基于智能网络的工作电机实时测控系统 |
| CN106683243A (zh) * | 2016-12-08 | 2017-05-17 | 大唐微电子技术有限公司 | 一种酒店在线加密管理方法及系统 |
| CN106685775A (zh) * | 2017-01-13 | 2017-05-17 | 北京同余科技有限公司 | 一种智能家电自检式防入侵方法及系统 |
| CN108572565A (zh) * | 2017-03-07 | 2018-09-25 | 青岛海尔滚筒洗衣机有限公司 | 一种洗衣机的远程控制方法 |
| CN107155184B (zh) * | 2017-07-17 | 2023-12-08 | 深圳市安林克斯智能科技有限公司 | 一种带有安全加密芯片的wifi模块及其通信方法 |
| CN108006900A (zh) * | 2017-11-29 | 2018-05-08 | 江苏新科电器有限公司 | 智能空调的控制系统 |
| CN107919962B (zh) * | 2017-12-22 | 2021-01-15 | 国民认证科技(北京)有限公司 | 一种物联网设备注册和认证方法 |
| CN109995699B (zh) * | 2017-12-29 | 2023-04-18 | 上海智显光电科技有限公司 | 多媒体设备管理系统 |
| CN109995710B (zh) * | 2017-12-29 | 2022-06-24 | 上海智显光电科技有限公司 | 一种局域网设备管理系统及方法 |
| CN108366063B (zh) * | 2018-02-11 | 2021-06-18 | 广东美的厨房电器制造有限公司 | 智能设备的数据通信方法、装置及其设备 |
| CN111726801B (zh) * | 2019-03-20 | 2022-12-09 | 杭州九阳小家电有限公司 | 一种网络安全控制方法 |
| CN110224822B (zh) * | 2019-06-10 | 2022-03-18 | 飞天诚信科技股份有限公司 | 一种密钥协商方法及系统 |
| CN111426888A (zh) * | 2020-03-13 | 2020-07-17 | 国网山东省电力公司潍坊供电公司 | 一种移动式变电站工频电磁场检测设备 |
| CN111487887B (zh) * | 2020-04-29 | 2023-11-28 | 青岛海尔科技有限公司 | 用于绑定家电设备的方法、装置、用户终端、家电设备及服务器 |
| CN111541776A (zh) * | 2020-05-09 | 2020-08-14 | 朗明智诚科技股份有限公司 | 一种基于物联网设备的安全通信装置及系统 |
| CN113507707B (zh) * | 2021-05-21 | 2023-05-26 | 海南师范大学 | 一种智能教学设备的配网方法和系统 |
| CN113691496A (zh) * | 2021-07-13 | 2021-11-23 | 孟令明 | 一种安全性更高的用于物联网设备的网络安全防护方法 |
| CN113542081B (zh) * | 2021-09-16 | 2021-12-24 | 深圳市万睿智能科技有限公司 | 一种安全的智能家居控制方法和系统 |
| CN115277797A (zh) * | 2022-06-13 | 2022-11-01 | 爱仕达股份有限公司 | 一种用于自动售餐装置的远程控制方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103685323A (zh) * | 2014-01-02 | 2014-03-26 | 中国科学院信息工程研究所 | 一种基于智能云电视网关的智能家居安全组网实现方法 |
| CN103731756A (zh) * | 2014-01-02 | 2014-04-16 | 中国科学院信息工程研究所 | 一种基于智能云电视网关的智能家居远程安全访问控制实现方法 |
| CN104580250A (zh) * | 2015-01-29 | 2015-04-29 | 成都卫士通信息产业股份有限公司 | 一种基于安全芯片进行可信身份认证的系统和方法 |
| CN105282179A (zh) * | 2015-11-27 | 2016-01-27 | 中国电子科技集团公司第五十四研究所 | 一种基于cpk的家庭物联网安全控制的方法 |
| CN105516103A (zh) * | 2015-11-30 | 2016-04-20 | 青岛海尔智能家电科技有限公司 | 绑定智能家电设备的方法、装置和系统 |
| CN105553932A (zh) * | 2015-11-30 | 2016-05-04 | 青岛海尔智能家电科技有限公司 | 智能家电设备的远程控制安全绑定方法、装置和系统 |
-
2016
- 2016-06-28 CN CN201610487642.8A patent/CN106130982B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103685323A (zh) * | 2014-01-02 | 2014-03-26 | 中国科学院信息工程研究所 | 一种基于智能云电视网关的智能家居安全组网实现方法 |
| CN103731756A (zh) * | 2014-01-02 | 2014-04-16 | 中国科学院信息工程研究所 | 一种基于智能云电视网关的智能家居远程安全访问控制实现方法 |
| CN104580250A (zh) * | 2015-01-29 | 2015-04-29 | 成都卫士通信息产业股份有限公司 | 一种基于安全芯片进行可信身份认证的系统和方法 |
| CN105282179A (zh) * | 2015-11-27 | 2016-01-27 | 中国电子科技集团公司第五十四研究所 | 一种基于cpk的家庭物联网安全控制的方法 |
| CN105516103A (zh) * | 2015-11-30 | 2016-04-20 | 青岛海尔智能家电科技有限公司 | 绑定智能家电设备的方法、装置和系统 |
| CN105553932A (zh) * | 2015-11-30 | 2016-05-04 | 青岛海尔智能家电科技有限公司 | 智能家电设备的远程控制安全绑定方法、装置和系统 |
Non-Patent Citations (1)
| Title |
|---|
| 浅析PKI技术在数字家庭网络中的应用;张伟丽;《电视技术》;20140420;第46-49页 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106130982A (zh) | 2016-11-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106130982B (zh) | 基于pki体系的智能家电远程控制方法 | |
| CN105050081B (zh) | 网络接入设备接入无线网络接入点的方法、装置和系统 | |
| CN105978917B (zh) | 一种用于可信应用安全认证的系统和方法 | |
| CN100558035C (zh) | 一种双向认证方法及系统 | |
| CN106656510B (zh) | 一种加密密钥获取方法及系统 | |
| CN102572817B (zh) | 实现移动通信保密的方法和智能存储卡 | |
| CN101409619B (zh) | 闪存卡及虚拟专用网密钥交换的实现方法 | |
| CN108881304A (zh) | 一种对物联网设备进行安全管理的方法及系统 | |
| CN105282179B (zh) | 一种基于cpk的家庭物联网安全控制的方法 | |
| CN105553951A (zh) | 数据传输方法和装置 | |
| RU2009101304A (ru) | Способ и устройство для обеспечения секретности подлинной индентификационной информации пользователя в исходном сигнальном сообщении | |
| CN105871920A (zh) | 终端与云服务器的通讯系统及方法、终端、云服务器 | |
| WO2019051776A1 (zh) | 密钥的传输方法及设备 | |
| CN112787813B (zh) | 一种基于可信执行环境的身份认证方法 | |
| US8230218B2 (en) | Mobile station authentication in tetra networks | |
| CN109618334A (zh) | 控制方法及相关设备 | |
| CN101621794A (zh) | 一种无线应用服务系统的安全认证实现方法 | |
| CN109075973A (zh) | 一种使用基于id的密码术进行网络和服务统一认证的方法 | |
| CN106162537B (zh) | 一种安全认证连接的方法、无线通信设备及终端 | |
| CN101895881B (zh) | 一种实现gba密钥的方法及终端可插拔设备 | |
| US20070263577A1 (en) | Method for Enrolling a User Terminal in a Wireless Local Area Network | |
| CN105634884B (zh) | 一种控制指令写入方法、智能家居控制方法及相关装置 | |
| CN101888626B (zh) | 一种实现gba密钥的方法及其终端设备 | |
| CN110932951B (zh) | 一种智能家居控制方法和装置 | |
| CN113411187A (zh) | 身份认证方法和系统、存储介质及处理器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |