CN110636062A - 设备的安全交互控制方法、装置、电子设备及存储介质 - Google Patents
设备的安全交互控制方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN110636062A CN110636062A CN201910897943.1A CN201910897943A CN110636062A CN 110636062 A CN110636062 A CN 110636062A CN 201910897943 A CN201910897943 A CN 201910897943A CN 110636062 A CN110636062 A CN 110636062A
- Authority
- CN
- China
- Prior art keywords
- equipment
- information
- authentication information
- encrypted
- password
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Power Engineering (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Telephonic Communication Services (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了设备的安全交互控制方法、装置、电子设备及存储介质,涉及网络安全技术领域。具体实现方案为:接收来自设备的设备标识和第一认证信息;将用户身份信息、设备标识和第一认证信息发送给云端并接收云端下发的设备控制密码和第二认证信息;将设备控制密码、第二认证信息和用户令牌发送给设备,并接收设备返回的绑定认证结果;将用户身份信息、设备标识、加密后的设备标识和绑定操作指令发送给云端,绑定操作指令用于指示云端将用户信息和设备信息进行绑定。本申请实施例能够对物联网设备进行身份认证;对绑定应用和云端的身份进行认证,避免被恶意绑定,从而保证了应用和物联网设备的安全交互控制。
Description
技术领域
本申请涉及一种信息技术领域,尤其涉及一种网络安全技术领域。
背景技术
现有技术中,APP(APPlication,应用程序,简称应用)与设备的交互控制往往通过开放端口明文交互,或者通过硬编码key(密码)的方式来实现设备交互,并且对设备缺乏身份校验,导致很多IOT(The Internet of Things,物联网)设备存在敏感信息泄露、远程命令执行漏洞等安全问题。
目前APP和IOT设备的交互控制普遍采用如下几种方案来解决:
(1)明文端口通信。直接通过开放端口接口交互控制指令。
(2)使用统一的key进行通信。一般情况下该key直接硬编码在设备中。
(3)每个设备都有自己的key进行交互通信。例如,首先为每个或每批次设备内置身份凭证(key1)。每个设备的绑定交互时,先对设备身份凭证进行认证,认证通过后云端server(服务器)为该设备生成下发唯一的设备交互凭证(key2)。
上述方案存在以下缺陷:
对于方案(1),其应用场景只能在确保网络环境可信的场景中,没有任何的安全防止机制,存在远程任意控制和信息泄露等安全问题。
对于方案(2),攻击者可以随时dump(提取)固件提取出交互凭证,从而实现设备的任意控制等,该方案只能适合于“无隐私数据和敏感行为”的设备上,如智能插座的开和关。
对于方案(3),可以解决上述方案(1)和(2)的问题,但是仍然没有有效地解决IOT设备的恶意绑定,以及由此所导致的安全问题。
发明内容
本申请实施例提出一种内容植入方法、装置、电子设备及存储介质,以至少解决现有技术中的以上技术问题。
第一方面,本申请实施例提供了一种设备的安全交互控制方法,包括:
接收来自设备的设备标识和第一认证信息;
将用户身份信息、所述设备标识和所述第一认证信息发送给云端并接收云端下发的设备控制密码和第二认证信息;
将所述设备控制密码、所述第二认证信息和用户令牌发送给设备,并接收设备返回的绑定认证结果;
将用户身份信息、所述设备标识、加密后的所述设备标识和绑定操作指令发送给云端,所述绑定操作指令用于指示云端将用户信息和设备信息进行绑定。
本申请实施例中,能够对物联网设备进行身份认证;对绑定应用和云端的身份进行认证,避免被恶意绑定,从而保证了应用和物联网设备的安全交互控制。
在一种实施方式中,接收来自设备的设备标识和第一认证信息,包括:
将应用公钥发送给设备,以及接收设备返回的设备公钥、设备标识和第一认证信息,所述第一认证信息包括使用设备公钥加密的验证码和使用设备公钥加密的综合认证信息,所述综合认证信息包括所述验证码和加解密密钥。
本申请实施例中,使用公私钥对、验证码和加解密密钥可保证信息安全,将敏感数据加密传输,避免了劫持篡改或泄露。
在一种实施方式中,所述第二认证信息包括加密后的设备交互凭证码和认证标签,所述加密后的设备交互凭证码和所述认证标签是用所述验证码和所述加解密密钥加密设备交互凭证码得到的。
本申请实施例中,使用认证标签可保证信息安全。其中,第二认证信息由云端下发给应用,并在后续步骤中由应用发送给设备。将第二认证信息等绑定认证敏感数据加密传输,避免了劫持篡改或泄露。
在一种实施方式中,将所述设备控制密码、所述第二认证信息和用户令牌发送给设备,包括:
通过密钥协商交换算法用应用私钥和设备公钥协商得到共享密码,将使用所述共享密码加密的所述设备控制密码、所述第二认证信息和所述用户令牌发送给设备。
本申请实施例中,通过使用密钥协商交换算法协商得到的共享密码可保证信息安全,将敏感数据加密传输,避免了劫持篡改或泄露。
在一种实施方式中,所述加密后的所述设备标识是使用所述设备交互凭证码对所述设备标识加密得到的;
所述用户信息包括所述用户身份信息和所述用户令牌;所述设备信息包括所述设备交互凭证码、所述设备控制密码和所述设备标识。
本申请实施例中,能够对物联网设备进行身份认证;对绑定应用和云端的身份进行认证,避免被恶意绑定。
在一种实施方式中,所述方法还包括:
向设备发送查找服务对象信息的请求;
接收设备返回的使用设备控制密码加密的服务对象信息;
向设备发送使用设备控制密码加密的认证请求;
接收设备返回的使用设备控制密码加密的第一时间戳信息;
向设备发送使用设备控制密码加密的控制指令和所述第一时间戳信息,其中,所述控制指令是与服务对象信息相关的控制指令;
接收所述控制指令的返回执行结果。
本申请实施例中,对于APP和IOT设备的交互控制采用严格身份校验机制,并且对控制指令进行了加密传输,从而保证了APP和IOT设备的安全交互控制。
在一种实施方式中,所述方法还包括:
向设备发送使用设备控制密码加密的修改密码的指令,并接收设备返回的设备标识和第三认证信息;
将用户身份信息、设备标识和第三认证信息发送给云端,并接收云端下发的更新的设备控制密码和更新的第二认证信息;
将所述更新的设备控制密码、所述更新的第二认证信息和修改密码的操作指令发送给设备。
本申请实施例中,实施APP和设备安全交互凭证更换,是保证信息安全的重要手段。由于密码长期使用容易被窃取,因此经常更换密码有利于信息安全。
在一种实施方式中,向设备发送使用设备控制密码加密的修改密码的指令,并接收设备返回的设备标识和第三认证信息包括:
在所述修改密码的指令中携带应用公钥;所述第三认证信息包括使用设备交互凭证码加密的验证码和使用设备公钥加密的综合认证信息,所述综合认证信息包括所述验证码和加解密密钥。
本申请实施例中,使用公私钥对、验证码和加解密密钥可保证信息安全,将敏感数据加密传输,避免了劫持篡改或泄露。
在一种实施方式中,将所述更新的设备控制密码、所述更新的第二认证信息和修改密码的操作指令发送给设备,包括:
通过密钥协商交换算法用应用私钥和设备公钥协商出共享密码,将使用所述共享密码加密的所述更新的设备控制密码、所述更新的第二认证信息发送给设备。
本申请实施例中,通过使用密钥协商交换算法协商得到的共享密码可保证信息安全,将敏感数据加密传输,避免了劫持篡改或泄露。
第二方面,本申请实施例提供了一种设备的安全交互控制方法,包括:
向应用发送设备标识和第一认证信息,所述第一认证信息用于应用向云端请求设备控制密码和第二认证信息;
接收来自应用的所述设备控制密码、所述第二认证信息和用户令牌;
对所述第二认证信息进行校验,对所述设备控制密码和所述用户令牌进行解密并存储;
根据校验结果向应用返回绑定认证结果。
在一种实施方式中,向应用发送设备标识和第一认证信息,包括:
接收来自应用的应用公钥;
向应用返回设备公钥、所述设备标识和所述第一认证信息,所述第一认证信息包括使用设备公钥加密的验证码和使用设备公钥加密的综合认证信息,所述综合认证信息包括所述验证码和加解密密钥。
在一种实施方式中,所述第二认证信息包括加密后的设备交互凭证码和认证标签,所述加密后的设备交互凭证码和所述认证标签是使用所述验证码和所述加解密密钥加密设备交互凭证码得到的。
在一种实施方式中,所述来自应用的所述设备控制密码、所述第二认证信息和用户令牌,是使用共享密码加密得到的,所述共享密码是通过密钥协商交换算法用应用私钥和设备公钥协商得到的。
在一种实施方式中,对所述第二认证信息进行校验,包括:对所述认证标签进行检验。
在一种实施方式中,所述方法还包括:
接收来自设备的查找服务对象信息的请求;
向设备返回使用设备控制密码加密的服务对象信息;
接收来自设备的使用设备控制密码加密的认证请求;
向设备返回使用设备控制密码加密的所述第一时间戳信息;
接收来自设备的使用设备控制密码加密的控制指令和所述第一时间戳信息,其中,所述控制指令是与服务对象信息相关的控制指令;
向设备返回所述控制指令的返回执行结果。
在一种实施方式中,向设备返回使用设备控制密码加密的所述第一时间戳信息之前,还包括:
使用设备交互凭证码将第二时间戳信息加密,得到第一时间戳信息。
在一种实施方式中,向设备返回所述控制指令的返回执行结果,包括:
使用所述设备控制密码和所述设备交互凭证码对所述第一时间戳信息进行解密,并验证所述第一时间戳信息;
根据验证结果向设备返回所述控制指令的返回执行结果。
在一种实施方式中,所述方法还包括:
接收来自应用的使用设备控制密码加密的修改密码的指令,并向应用返回设备标识和第三认证信息;
接收来自应用的更新的设备控制密码、所述更新的第二认证信息和修改密码的操作指令;
根据所述更新的设备控制密码、所述更新的第二认证信息,向云端发送重绑定指令;
接收云端返回的重绑定结果。
在一种实施方式中,所述修改密码的指令中携带有应用公钥;所述第三认证信息包括使用设备交互凭证码加密的验证码和使用设备公钥加密的综合认证信息,所述综合认证信息包括所述验证码和加解密密钥。
在一种实施方式中,根据所述更新的设备控制密码、所述更新的第二认证信息,向云端发送重绑定指令,包括:
将所述用户令牌、所述设备标识、使用设备交互凭证码加密的设备标识和重绑定指令发送给云端。
第三方面,本申请实施例提供了一种设备的安全交互控制方法,包括:
接收来自应用的用户身份信息、设备标识和第一认证信息;
根据所述设备标识对所述第一认证信息进行解密,生成设备控制密码和第二认证信息,其中,所述第二认证信息是使用解密后的所述第一认证信息加密得到的;
将所述设备控制密码和所述第二认证信息发送给应用;
接收来自应用的用户身份信息、所述设备标识、加密后的所述设备标识和绑定操作指令;
根据所述用户身份信息、所述设备标识、加密后的所述设备标识,将用户信息和设备信息进行绑定。
在一种实施方式中,所述第一认证信息包括使用设备公钥加密的验证码和使用设备公钥加密的综合认证信息,所述综合认证信息包括所述验证码和加解密密钥。
在一种实施方式中,根据所述设备标识对所述第一认证信息进行解密,包括:
根据所述设备标识查找对应的设备私钥,设备私钥和设备公钥是在通过设备标识注册设备时生成的;
用所述设备私钥对所述第一认证信息进行解密。
在一种实施方式中,所述第二认证信息包括加密后的设备交互凭证码和认证标签,所述加密后的设备交互凭证码和所述认证标签是使用所述验证码和所述加解密密钥加密设备交互凭证码得到的。
在一种实施方式中,根据所述用户身份信息、所述设备标识、加密后的所述设备标识,将用户信息和设备信息进行绑定,包括:
对加密后的所述设备标识进行解密,并根据解密结果对所述设备标识进行验证;
验证所述用户信息和所述设备信息是否一致,其中,所述用户信息包括所述用户身份信息和用户令牌;所述设备信息包括所述设备交互凭证码、所述设备控制密码和所述设备标识;所述用户令牌是登录时由云端下发的;
根据验证结果将用户信息和设备信息进行绑定。
在一种实施方式中,所述方法还包括:
接收来自应用的用户身份信息、设备标识和第三认证信息;
根据所述用户身份信息、所述设备标识和所述第三认证信息进行身份认证,在身份认证成功的情况下向应用下发更新的设备控制密码和更新的第二认证信息;
接收来自设备的用户令牌、所述设备标识、使用设备交互凭证码加密的设备标识和重绑定指令;
根据所述用户令牌、所述设备标识、使用设备交互凭证码加密的设备标识,替换当前的所述用户信息和所述设备信息的绑定关系。
在一种实施方式中,所述第三认证信息包括使用设备交互凭证码加密的验证码和使用设备公钥加密的综合认证信息,所述综合认证信息包括所述验证码和加解密密钥。
第四方面,本申请实施例提供了一种设备的安全交互控制装置,包括:
第一交互单元,用于接收来自设备的设备标识和第一认证信息;
第二交互单元,用于将用户身份信息、所述设备标识和所述第一认证信息发送给云端并接收云端下发的设备控制密码和第二认证信息;
第三交互单元,用于将所述设备控制密码、所述第二认证信息和用户令牌发送给设备,并接收设备返回的绑定认证结果;
第四交互单元,用于将用户身份信息、所述设备标识、加密后的所述设备标识和绑定操作指令发送给云端,所述绑定操作指令用于指示云端将用户信息和设备信息进行绑定。
在一种实施方式中,所述第一交互单元用于:
将应用公钥发送给设备,以及接收设备返回的设备公钥、设备标识和第一认证信息,所述第一认证信息包括使用设备公钥加密的验证码和使用设备公钥加密的综合认证信息,所述综合认证信息包括所述验证码和加解密密钥。
在一种实施方式中,所述第二认证信息包括加密后的设备交互凭证码和认证标签,所述加密后的设备交互凭证码和所述认证标签是用所述验证码和所述加解密密钥加密设备交互凭证码得到的。
在一种实施方式中,所述第三交互单元用于:
通过密钥协商交换算法用应用私钥和设备公钥协商得到共享密码,将使用所述共享密码加密的所述设备控制密码、所述第二认证信息和所述用户令牌发送给设备。
在一种实施方式中,所述加密后的所述设备标识是使用所述设备交互凭证码对所述设备标识加密得到的;
所述用户信息包括所述用户身份信息和所述用户令牌;所述设备信息包括所述设备交互凭证码、所述设备控制密码和所述设备标识。
在一种实施方式中,所述装置还包括:
第一发送单元,用于向设备发送查找服务对象信息的请求;
第一接收单元,用于接收设备返回的使用设备控制密码加密的服务对象信息;
第二发送单元,用于向设备发送使用设备控制密码加密的认证请求;
第二接收单元,用于接收设备返回的使用设备控制密码加密的第一时间戳信息;
第三发送单元,用于向设备发送使用设备控制密码加密的控制指令和所述第一时间戳信息,其中,所述控制指令是与服务对象信息相关的控制指令;
第三接收单元,用于接收所述控制指令的返回执行结果。
在一种实施方式中,所述装置还包括:
第五交互单元,用于向设备发送使用设备控制密码加密的修改密码的指令,并接收设备返回的设备标识和第三认证信息;
第六交互单元,用于将用户身份信息、设备标识和第三认证信息发送给云端,并接收云端下发的更新的设备控制密码和更新的第二认证信息;
第七交互单元,用于将所述更新的设备控制密码、所述更新的第二认证信息和修改密码的操作指令发送给设备。
在一种实施方式中,所述第五交互单元用于:
在所述修改密码的指令中携带应用公钥;所述第三认证信息包括使用设备交互凭证码加密的验证码和使用设备公钥加密的综合认证信息,所述综合认证信息包括所述验证码和加解密密钥。
在一种实施方式中,所述第七交互单元用于:
通过密钥协商交换算法用应用私钥和设备公钥协商出共享密码,将使用所述共享密码加密的所述更新的设备控制密码、所述更新的第二认证信息发送给设备。
第五方面,本申请实施例提供了一种设备的安全交互控制装置,包括:
第四发送单元,用于向应用发送设备标识和第一认证信息,所述第一认证信息用于应用向云端请求设备控制密码和第二认证信息;
第四接收单元,用于接收来自应用的所述设备控制密码、所述第二认证信息和用户令牌;
检验单元,用于对所述第二认证信息进行校验,对所述设备控制密码和所述用户令牌进行解密并存储;
第一返回单元,用于根据校验结果向应用返回绑定认证结果。
在一种实施方式中,所述第四发送单元用于:
接收来自应用的应用公钥;
向应用返回设备公钥、所述设备标识和所述第一认证信息,所述第一认证信息包括使用设备公钥加密的验证码和使用设备公钥加密的综合认证信息,所述综合认证信息包括所述验证码和加解密密钥。
在一种实施方式中,所述第二认证信息包括加密后的设备交互凭证码和认证标签,所述加密后的设备交互凭证码和所述认证标签是使用所述验证码和所述加解密密钥加密设备交互凭证码得到的。
在一种实施方式中,所述来自应用的所述设备控制密码、所述第二认证信息和用户令牌,是使用共享密码加密得到的,所述共享密码是通过密钥协商交换算法用应用私钥和设备公钥协商得到的。
在一种实施方式中,所述检验单元用于:对所述认证标签进行检验。
在一种实施方式中,所述装置还包括:
第五接收单元,用于接收来自设备的查找服务对象信息的请求;
第二返回单元,用于向设备返回使用设备控制密码加密的服务对象信息;
第六接收单元,用于接收来自设备的使用设备控制密码加密的认证请求;
第三返回单元,用于向设备返回使用设备控制密码加密的所述第一时间戳信息;
第七接收单元,用于接收来自设备的使用设备控制密码加密的控制指令和所述第一时间戳信息,其中,所述控制指令是与服务对象信息相关的控制指令;
第四返回单元,用于向设备返回所述控制指令的返回执行结果。
在一种实施方式中,所述第三返回单元还用于:
使用设备交互凭证码将第二时间戳信息加密,得到第一时间戳信息。
在一种实施方式中,所述第四返回单元还用于:
使用所述设备控制密码和所述设备交互凭证码对所述第一时间戳信息进行解密,并验证所述第一时间戳信息;
根据验证结果向设备返回所述控制指令的返回执行结果。
在一种实施方式中,所述装置还包括:
第八接收单元,用于接收来自应用的使用设备控制密码加密的修改密码的指令,并向应用返回设备标识和第三认证信息;
第九接收单元,用于接收来自应用的更新的设备控制密码、所述更新的第二认证信息和修改密码的操作指令;
第五发送单元,用于根据所述更新的设备控制密码、所述更新的第二认证信息,向云端发送重绑定指令;
第十接收单元,用于接收云端返回的重绑定结果。
在一种实施方式中,所述修改密码的指令中携带有应用公钥;所述第三认证信息包括使用设备交互凭证码加密的验证码和使用设备公钥加密的综合认证信息,所述综合认证信息包括所述验证码和加解密密钥。
在一种实施方式中,所述第五发送单元用于:
将所述用户令牌、所述设备标识、使用设备交互凭证码加密的设备标识和重绑定指令发送给云端。
第六方面,本申请实施例提供了一种设备的安全交互控制装置,包括:
第十一接收单元,用于接收来自应用的用户身份信息、设备标识和第一认证信息;
生成单元,用于根据所述设备标识对所述第一认证信息进行解密,生成设备控制密码和第二认证信息,其中,所述第二认证信息是使用解密后的所述第一认证信息加密得到的;
第六发送单元,用于将所述设备控制密码和所述第二认证信息发送给应用;
第十二接收单元,用于接收来自应用的用户身份信息、所述设备标识、加密后的所述设备标识和绑定操作指令;
第一绑定单元,用于根据所述用户身份信息、所述设备标识、加密后的所述设备标识,将用户信息和设备信息进行绑定。
在一种实施方式中,所述第一认证信息包括使用设备公钥加密的验证码和使用设备公钥加密的综合认证信息,所述综合认证信息包括所述验证码和加解密密钥。
在一种实施方式中,所述生成单元用于:
根据所述设备标识查找对应的设备私钥,设备私钥和设备公钥是在通过设备标识注册设备时生成的;
用所述设备私钥对所述第一认证信息进行解密。
在一种实施方式中,所述第二认证信息包括加密后的设备交互凭证码和认证标签,所述加密后的设备交互凭证码和所述认证标签是使用所述验证码和所述加解密密钥加密设备交互凭证码得到的。
在一种实施方式中,所述第一绑定单元用于:
对加密后的所述设备标识进行解密,并根据解密结果对所述设备标识进行验证;
验证所述用户信息和所述设备信息是否一致,其中,所述用户信息包括所述用户身份信息和用户令牌;所述设备信息包括所述设备交互凭证码、所述设备控制密码和所述设备标识;所述用户令牌是登录时由云端下发的;
根据验证结果将用户信息和设备信息进行绑定。
在一种实施方式中,所述装置还包括:
第十三接收单元,用于接收来自应用的用户身份信息、设备标识和第三认证信息;
认证单元,用于根据所述用户身份信息、所述设备标识和所述第三认证信息进行身份认证,在身份认证成功的情况下向应用下发更新的设备控制密码和更新的第二认证信息;
第十四接收单元,用于接收来自设备的用户令牌、所述设备标识、使用设备交互凭证码加密的设备标识和重绑定指令;
第二绑定单元,用于根据所述用户令牌、所述设备标识、使用设备交互凭证码加密的设备标识,替换当前的所述用户信息和所述设备信息的绑定关系。
在一种实施方式中,所述第三认证信息包括使用设备交互凭证码加密的验证码和使用设备公钥加密的综合认证信息,所述综合认证信息包括所述验证码和加解密密钥。
第七方面,本申请实施例提供了一种电子设备,包括:
至少一个处理器;以及
与至少一个处理器通信连接的存储器;其中,
存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行本申请任意一项实施例所提供的方法。
第八方面,本申请实施例提供了一种存储有计算机指令的非瞬时计算机可读存储介质,该计算机指令用于使该计算机执行本申请任意一项实施例所提供的方法。
上述申请中的一个实施例具有如下优点或有益效果:能够对物联网设备进行身份认证;对绑定应用和云端的身份进行认证,避免被恶意绑定,从而保证了应用和物联网设备的安全交互控制。
上述可选方式所具有的其他效果将在下文中结合具体实施例加以说明。
附图说明
附图用于更好地理解本方案,不构成对本申请的限定。其中:
图1是根据本申请实施例的设备的安全交互控制方法的流程图;
图2是根据本申请实施例的设备的安全交互控制方法的在APP端的绑定方法流程图;
图3是根据本申请实施例的设备的安全交互控制方法的在设备端的绑定方法流程图;
图4是根据本申请实施例的设备的安全交互控制方法的在云端的绑定方法流程图;
图5是根据本申请实施例的设备的安全交互控制方法的控制流程图;
图6是根据本申请实施例的设备的安全交互控制方法的修改密码流程图;
图7是根据本申请实施例的设备的安全交互控制装置在APP端的结构示意图;
图8是根据本申请实施例的设备的安全交互控制装置在设备端的结构示意图;
图9是根据本申请实施例的设备的安全交互控制装置在云端的结构示意图;
图10是用来实现本申请实施例的设备的安全交互控制方法的电子设备的框图。
具体实施方式
以下结合附图对本申请的示范性实施例做出说明,其中包括本申请实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本申请的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
本申请实施例中,APP和IOT设备的安全交互控制是通过“设备身份认证”、“云端服务器(server)认证”、“ECDH安全密钥交换算法”和“APP和设备安全交互凭证更换”等关键步骤实现的。其中,设备的安全交互控制的核心是APP和IOT设备完成绑定和授权,然后在云端记录存储相关状态,云端下发交互控制凭证,作为后续身份认证的交互凭证。
在一种实施方式中,IOT设备可通过物理按钮触发“配网”模式,在配网模式下完成设备的授权和绑定。用户与设备绑定指的是:将用户信息cookie(用户身份信息)+Token(用户令牌)与设备信息devicekey(设备交互凭证码)+LControlkey(设备控制密码)+deviceid(设备标识)进行绑定。云端后续所有请求都需经过身份一致性校验,也就是要进行用户信息和设备信息的一致性校验。其中,Token是通过OAuth(Open Authorization,开放授权协议)得到的帐户Token。Devicekey是在设备激活时,应用从云端获取的设备密码,与deviceid一一对应,在设备向云端请求时,作为加密密码或者身份认证的密码使用。LControlkey是云端生成的随机码,例如32bytes随机码,用于设备局域网控制的加密密钥。
对于设备认证,是通过设备出厂时内置的DeviceEccPubKey(设备公钥)来实现的。其中,DeviceEccPubKey是在Server(服务器)云端通过注册设备ID(设备标识)生成的ECC(Elliptic curve cryptography,椭圆曲线密码学)公钥,然后烧录到设备上,后续用于设备身份认证。在一种实施方式中,DeviceEccPubKey和DeviceEccPrivateKey(设备私钥)的生成方式支持“一型一密”和“一机一密”。DeviceEccPrivateKey是与DeviceEccPubKey对应的私钥,用于解密设备上通过DeviceEccPubKey加密的数据,用于认证设备是否合法。
在一种实施方式中,“绑定和授权模式”可支持:蓝牙模式和WIFI(无线上网)模式,两种模式流程和方式是一致的,整个交互流程如图1所示:
步骤0.1:设备开发者通过deviceid向设备云端注册,并在设备云端生成ECCkey,ECCkey包括设备公钥DeviceEccPubKey和设备私钥DeviceEccPrivateKey。设备云端存储DeviceEccPrivateKey。
步骤0.2:设备云端将设备公钥DeviceEccPubKey下发给设备开发者。
步骤0.3:设备开发者将设备公钥DeviceEccPubKey烧录到设备。
步骤1:蓝牙连接或者AP(WirelessAccessPoint,无线访问接入点)连接后,APP向设备发送APP自身的通过Ecc算法生成的公钥EccAppPubKey;
步骤2:设备向APP返回的信息可包括:设备上Ecc算法生成的设备公钥和deviceid等信息,例如设备版本、型号、厂家等信息,以及用设备公钥加密的验证码和用设备公钥加密的综合认证信息。综合认证信息可包括:{验证码(random)+加解密密钥(key)}。
步骤3:APP通过HTTP(HyperText Transfer Protocol,超文本传输协议)消息将用户身份信息cookie、deviceid,以及用设备公钥加密的验证码DeviceEccPubKey(该验证码可以是随机验证码,表示为random)和用设备公钥加密的{验证码+加解密密钥}DeviceEccPubKey(random+key)发送给设备云端,以便设备云端进行“设备合法身份”验证。
步骤4:设备云端通过deviceid查找对应私钥解密random和key,设备云端向APP下发生成的设备控制密码LControlKey,以及sDevicekey和认证tag(认证标签),其中,sDevicekey(加密后的Devicekey)和认证tag是用key和random(初始变量)加密Devicekey而得到的。在一种实施方式中,云端使用AES-GCM加密下发DeviceKey、认证tag和LControlkey。其中,AES(Advanced Encryption Standard,高级加密标准)是一种加密算法,AES-GCM(Galois/Counter Mode)是一种加密模式。
步骤5:APP通过ECDH(Elliptic Curve Diffie-Hellman,密钥协商交换算法)用应用的自身私钥和设备公钥协商得出SharedKey(共享密码),用SharedKey加密发送认证授权信息:sDevicekey、认证tag、LControlKey和Token,并将上述信息发送给设备。其中,Token可以是登录时云端下发的。
设备通过ECDH算法,用自身私钥(EccDevicePrivateKey)和App公钥(EccAppPubKey)协商出的SharedKey解密APP发过来的信息,然后校验认证tag,解密sDevicekey、LControlKey和Token并存储。在一种实施方式中,设备上使用Sharedkey解密出数据后,使用AES-GCM算法(key为步骤2中生成发送的key)进行数据解密和tag的校验,完成对server端的合法性校验,避免设备被任意绑定的问题。其中用户身份Token和设备交互凭证DeviceKey等都是加密发送的,完全杜绝了泄露和篡改的可能。
步骤6:设备向APP返回绑定认证结果。
绑定认证结果可包括绑定成功或绑定失败。若绑定成功,可在绑定认证结果中携带AES-OFB[Devicekey](deviceid),即使用Devicekey加密的deviceid。其中,AES-OFB是一种加密模式。
步骤7:APP向设备云端发送cookie、deviceid,用Devicekey加密后的deviceid,以及绑定操作指令action:binding。其中,加密模式也可采用AES-OFB。
设备云端解密deviceid,并检验用户和信息是否一致后,将用户信息cookie+Token(Oauth)与设备信息devicekey+LControlkey+deviceid进行绑定。在一种实施方式中,信息上传设备云端后,设备云端通过用户身份cookie、deviceid、以Devicekey为密码加密后的deviceid,做如下验证:用户身份和deviceid、Devicekey,是否和图1中的步骤4下发记录的信息一致。
步骤8:设备云端向APP返回身份一致性绑定结果。
图2是根据本申请实施例的设备的安全交互控制方法的在APP端的绑定方法流程图。参见图1和图2,在APP端的设备的安全交互控制方法包括:
步骤S110,接收来自设备的设备标识和第一认证信息;
步骤S120,将用户身份信息、所述设备标识和所述第一认证信息发送给云端并接收云端下发的设备控制密码和第二认证信息;
步骤S130,将所述设备控制密码、所述第二认证信息和用户令牌发送给设备,并接收设备返回的绑定认证结果;
步骤S140,将用户身份信息、所述设备标识、加密后的所述设备标识和绑定操作指令发送给云端,所述绑定操作指令用于指示云端将用户信息和设备信息进行绑定。
其中,图1中的“设备云端”可以简称为“云端”。
本申请实施例中,能够对物联网设备进行身份认证;对绑定应用和云端的身份进行认证,避免被恶意绑定,从而保证了应用和物联网设备的安全交互控制。
在一种实施方式中,接收来自设备的设备标识和第一认证信息,包括:
将应用公钥发送给设备,以及接收设备返回的设备公钥、设备标识和第一认证信息,所述第一认证信息包括使用设备公钥加密的验证码和使用设备公钥加密的综合认证信息,所述综合认证信息包括所述验证码和加解密密钥。
参见图2中的步骤S110和图1中的步骤1和步骤2,APP向设备发送APP自身的公钥,也就是应用公钥EccAppPubKey;
APP接收设备返回的设备公钥和设备标识deviceid等信息,例如设备版本、型号、厂家等信息。APP接收设备返回的还有第一认证信息,第一认证信息包括:用设备公钥加密的验证码和用设备公钥加密的综合认证信息。综合认证信息可包括:{验证码(random)+加解密密钥(key)}。
本申请实施例中,使用公私钥对、验证码和加解密密钥可保证信息安全,将敏感数据加密传输,避免了劫持篡改或泄露。
在一种实施方式中,所述第二认证信息包括加密后的设备交互凭证码和认证标签,所述加密后的设备交互凭证码和所述认证标签是用所述验证码和所述加解密密钥加密设备交互凭证码得到的。
参见图2中的步骤S120和图1中的步骤3和步骤4,APP将用户身份信息cookie、deviceid,以及用设备公钥加密的验证码DeviceEccPubKey(random)和用设备公钥加密的{验证码+加解密密钥}DeviceEccPubKey(random+key)发送给设备云端,以便设备云端进行“设备合法身份”验证。
参见图2中的步骤S120和图1中的步骤3和步骤4,设备云端通过deviceid查找对应私钥解密random和key,设备云端向APP下发生成的设备控制密码LControlKey,以及第二认证信息。第二认证信息包括sDevicekey和认证tag(认证标签),其中,sDevicekey(加密后的Devicekey)和认证tag是用key和random(初始变量)加密Devicekey而得到的。在一种实施方式中,云端使用AES-GCM加密下发DeviceKey、认证tag和LControlkey。其中,AES(Advanced Encryption Standard,高级加密标准)是一种加密算法,AES-GCM(Galois/Counter Mode)是一种加密模式。
本申请实施例中,使用认证标签可保证信息安全。其中,第二认证信息由云端下发给应用,并在后续步骤中由应用发送给设备。将第二认证信息等绑定认证敏感数据加密传输,避免了劫持篡改或泄露。
在一种实施方式中,将所述设备控制密码、所述第二认证信息和用户令牌发送给设备,包括:
通过密钥协商交换算法用应用私钥和设备公钥协商得到共享密码,将使用所述共享密码加密的所述设备控制密码、所述第二认证信息和所述用户令牌发送给设备。
参见图2中的步骤S130和图1中的步骤5和步骤6,APP通过ECDH使用应用的自身私钥和设备公钥协商得出SharedKey(共享密码),用SharedKey加密发送认证授权信息:sDevicekey、认证tag、LControlKey和Token,并将上述信息发送给设备。其中,Token可以是登录时云端下发的。
设备校验认证tag,解密sDevicekey、LControlKey和Token,并存储sDevicekey、LControlKey和Token。在一种实施方式中,设备上使用Sharedkey解密出数据后,使用AES-GCM算法(key为步骤2中生成发送的key)进行数据解密和tag的校验,完成对server端的合法性校验,避免设备被任意绑定的问题。其中用户身份Token和设备交互凭证DeviceKey等都是加密发送的,完全杜绝了泄露和篡改的可能。
然后设备向APP返回绑定认证结果。
本申请实施例中,通过使用密钥协商交换算法协商得到的共享密码可保证信息安全,将敏感数据加密传输,避免了劫持篡改或泄露。
在一种实施方式中,所述加密后的所述设备标识是使用所述设备交互凭证码对所述设备标识加密得到的;
所述用户信息包括所述用户身份信息和所述用户令牌;所述设备信息包括所述设备交互凭证码、所述设备控制密码和所述设备标识。
参见图2中的步骤S140和图1中的步骤7和步骤8,APP向设备云端发送cookie、deviceid,用Devicekey加密后的deviceid,以及绑定操作指令action:binding。其中,加密模式也可采用AES-OFB。
设备云端解密deviceid,并检验用户和信息是否一致后,将用户信息cookie+Token(Oauth)与设备信息devicekey+LControlkey+deviceid进行绑定。在一种实施方式中,信息上传设备云端后,设备云端通过用户身份cookie、deviceid、以Devicekey为密码加密后的deviceid,做如下验证:用户身份和deviceid、Devicekey,是否和图1中的步骤4下发记录的信息一致。
然后设备云端向APP返回身份一致性绑定结果。
本申请实施例中,能够对物联网设备进行身份认证;对绑定应用和云端的身份进行认证,避免被恶意绑定。
图3是根据本申请实施例的设备的安全交互控制方法的在设备端的绑定方法流程图。如图3所示,本申请实施例在设备端的设备的安全交互控制方法,包括:
步骤S210,向应用发送设备标识和第一认证信息,所述第一认证信息用于应用向云端请求设备控制密码和第二认证信息;
步骤S220,接收来自应用的所述设备控制密码、所述第二认证信息和用户令牌;
步骤S230,对所述第二认证信息进行校验,对所述设备控制密码和所述用户令牌进行解密并存储;
步骤S240,根据校验结果向应用返回绑定认证结果。
在一种实施方式中,向应用发送设备标识和第一认证信息,包括:
接收来自应用的应用公钥;
向应用返回设备公钥、所述设备标识和所述第一认证信息,所述第一认证信息包括使用设备公钥加密的验证码和使用设备公钥加密的综合认证信息,所述综合认证信息包括所述验证码和加解密密钥。
在一种实施方式中,所述第二认证信息包括加密后的设备交互凭证码和认证标签,所述加密后的设备交互凭证码和所述认证标签是使用所述验证码和所述加解密密钥加密设备交互凭证码得到的。
参见图3中的步骤S210和图1中的步骤1和步骤2,设备接收APP自身的公钥;设备向APP返回设备公钥和deviceid,以及用设备公钥加密的验证码和用设备公钥加密的{验证码(random)+加解密密钥(key)}。
在一种实施方式中,所述来自应用的所述设备控制密码、所述第二认证信息和用户令牌,是使用共享密码加密得到的,所述共享密码是通过密钥协商交换算法用应用私钥和设备公钥协商得到的。
参见图3中的步骤S220和图1中的步骤5,APP通过ECDH(ElliptiC Curve Diffie-Hellman,密钥协商交换算法)用应用的自身私钥和设备公钥协商得出SharedKey(共享密码),用SharedKey加密发送认证授权信息:第二认证信息、LControlKey和Token,并将上述信息发送给设备。其中,Token可以是登录时云端下发的。第二认证信息包括sDevicekey和认证tag(认证标签)。
设备接收APP通过ECDH用自身私钥和设备公钥协商出SharedKey,用SharedKey加密发送的认证授权信息:sDevicekey、认证tag、LControlKey和Token;
在一种实施方式中,对所述第二认证信息进行校验,包括:对所述认证标签进行检验。
设备校验认证tag,解密sDevicekey、LControlKey和Token并存储。在一种实施方式中,设备上使用Sharedkey解密出数据后,使用AES-GCM算法(key为步骤2中生成发送的key)进行数据解密和tag的校验,完成对server端的合法性校验,避免设备被任意绑定的问题。其中用户身份Token和设备交互凭证DeviceKey等都是加密发送的,完全杜绝了泄露和篡改的可能。
图4是根据本申请实施例的设备的安全交互控制方法的在云端的绑定方法流程图。如图4所示,本申请实施例在云端的设备的安全交互控制方法,包括:
步骤S310,接收来自应用的用户身份信息、设备标识和第一认证信息;
步骤S320,根据所述设备标识对所述第一认证信息进行解密,生成设备控制密码和第二认证信息,其中,所述第二认证信息是使用解密后的所述第一认证信息加密得到的;
步骤S330,将所述设备控制密码和所述第二认证信息发送给应用;
步骤S340,接收来自应用的用户身份信息、所述设备标识、加密后的所述设备标识和绑定操作指令;
步骤S350,根据所述用户身份信息、所述设备标识、加密后的所述设备标识,将用户信息和设备信息进行绑定。
在一种实施方式中,所述第一认证信息包括使用设备公钥加密的验证码和使用设备公钥加密的综合认证信息,所述综合认证信息包括所述验证码和加解密密钥。
参见图4中的步骤S310和图1中的步骤3,云端接收来自应用的用户身份信息cookie、deviceid,以及第一认证信息,第一认证信息包括:用设备公钥加密的验证码和用设备公钥加密的验证码+加解密密钥。
在一种实施方式中,根据所述设备标识对所述第一认证信息进行解密,包括:
根据所述设备标识查找对应的设备私钥,设备私钥和设备公钥是在通过设备标识注册设备时生成的;
用所述设备私钥对所述第一认证信息进行解密。
在一种实施方式中,所述第二认证信息包括加密后的设备交互凭证码和认证标签,所述加密后的设备交互凭证码和所述认证标签是使用所述验证码和所述加解密密钥加密设备交互凭证码得到的。
参见图4中的步骤S320、步骤S330和图1中的步骤4,设备云端通过deviceid查找对应私钥解密random和key,设备云端向APP下发生成的设备控制密码LControlKey,以及第二认证信息。第二认证信息包括sDevicekey和认证tag(认证标签),其中,sDevicekey(加密后的Devicekey)和认证tag是用key和random(初始变量)加密Devicekey而得到的。在一种实施方式中,云端使用AES-GCM加密下发DeviceKey、认证tag和LControlkey。其中,AES(Advanced Encryption Standard,高级加密标准)是一种加密算法,AES-GCM(Galois/Counter Mode)是一种加密模式。
在一种实施方式中,根据所述用户身份信息、所述设备标识、加密后的所述设备标识,将用户信息和设备信息进行绑定,包括:
对加密后的所述设备标识进行解密,并根据解密结果对所述设备标识进行验证;
验证所述用户信息和所述设备信息是否一致,其中,所述用户信息包括所述用户身份信息和用户令牌;所述设备信息包括所述设备交互凭证码、所述设备控制密码和所述设备标识;所述用户令牌是登录时由云端下发的;
根据验证结果将用户信息和设备信息进行绑定。
参见图4中的步骤S340和图1中的步骤7,APP向设备云端发送cookie、deviceid,用Devicekey加密后的deviceid,以及绑定操作指令action:binding。其中,加密模式也可采用AES-OFB。
步骤S350中,设备云端解密deviceid,并检验用户和信息是否一致后,将用户信息cookie+Token(Oauth)与设备信息devicekey+LControlkey+deviceid进行绑定。在一种实施方式中,信息上传设备云端后,设备云端通过用户身份cookie、deviceid、以Devicekey为密码加密后的deviceid,做如下验证:用户身份和deviceid、Devicekey,是否和图1中的步骤4下发记录的信息一致。
然后设备云端向APP返回身份一致性绑定结果。
通过上述方法将用户信息与设备信息绑定之后,后续APP和设备可以交互控制,以局域网交互控制为例,整个交互控制过程如图5所示:
步骤1:APP与设备建立连接。在一个示例中,APP与设备建立蓝牙连接,在WIFI下UDP(User Datagram Protocol,用户数据报协议)广播到8491端口,发送查找设备上的“服务对象信息”。
步骤2:设备向APP返回用LControlkey加密后的“服务对象信息”。
步骤3:APP向设备发送用LControlkey加密的认证请求。
设备使用Devicekey将当前的时间戳加密,赋值给变量ts。
步骤4:设备将变量ts用LControlkey加密返回给APP。
步骤5:APP向设备发送用LControlkey加密的控制指令(command),并携带变量ts的值。
设备使用LControlkey和Devicekey对变量ts的值进行解密,并验证变量ts的值。例如,验证解密后的时间与收到指令的时间(当前的时间戳)是否相差2秒以内,如果相差在2秒以内则验证通过。
步骤6:设备向APP返回控制指令对应的执行结果。
参见图5,在一种实施方式中,本申请实施例的设备的安全交互控制方法的APP端的方法还包括:
向设备发送查找服务对象信息的请求;
接收设备返回的使用设备控制密码加密的服务对象信息;
向设备发送使用设备控制密码加密的认证请求;
接收设备返回的使用设备控制密码加密的第一时间戳信息;
向设备发送使用设备控制密码加密的控制指令和所述第一时间戳信息,其中,所述控制指令是与服务对象信息相关的控制指令;
接收所述控制指令的返回执行结果。
本申请实施例中,对于APP和IOT设备的交互控制采用严格身份校验机制,并且对控制指令进行了加密传输,从而保证了APP和IOT设备的安全交互控制。
在一个示例中,第一时间戳信息为变量ts的值。
参见图5,在一种实施方式中,本申请实施例的设备的安全交互控制方法的设备端的方法还包括:
接收来自设备的查找服务对象信息的请求;
向设备返回使用设备控制密码加密的服务对象信息;
接收来自设备的使用设备控制密码加密的认证请求;
向设备返回使用设备控制密码加密的所述第一时间戳信息;
接收来自设备的使用设备控制密码加密的控制指令和所述第一时间戳信息,其中,所述控制指令是与服务对象信息相关的控制指令;
向设备返回所述控制指令的返回执行结果。
在一种实施方式中,向设备返回使用设备控制密码加密的所述第一时间戳信息之前,还包括:
使用设备交互凭证码将第二时间戳信息加密,得到第一时间戳信息。
在一个示例中,第一时间戳信息为变量ts的值。第二时间戳信息为设备向APP返回第一时间戳信息时的当前的时间戳。
在一种实施方式中,向设备返回所述控制指令的返回执行结果,包括:
使用所述设备控制密码和所述设备交互凭证码对所述第一时间戳信息进行解密,并验证所述第一时间戳信息;
根据验证结果向设备返回所述控制指令的返回执行结果。
设备使用LControlkey和Devicekey对变量ts的值进行解密,并验证变量ts的值。例如,验证解密后的时间与收到指令的时间(当前的时间戳)是否相差2秒以内,如果相差在2秒以内则验证通过。
本申请实施中,还支持对APP和IOT设备交互的身份凭证(Devicekey和LControlkey)随时的动态更换,避免密码泄露所带来的设备安全风险,交互的身份凭证动态更换流程如图6所示:
步骤1:APP将用LControlKey加密的修改密码指令command:wantChangeDevicekey,发送给设备,并在附加区携带APP公钥。
步骤2:设备随机产生并记录random,向APP返回用LControlKey加密的数据,其中数据包括:设备公钥、deviceid等信息,例如设备版本、型号、厂家等信息,以及通过AES-OFB用Devicekey加密的验证码(random)+用设备公钥加密的综合认证信息。综合认证信息可包括:{验证码(random)+加解密密钥(key)}。
步骤3:APP通过HTTP消息将用户身份信息cookie、deviceid,以及通过AES-OFB用Devicekey加密的验证码(random)和用设备公钥加密的{验证码(random)+加解密密钥(key)}发送给设备云端。
云端进行身份校验:通过deviceid查找对应ECC私钥和Devicekey,获得验证码(random)+加解密密钥(key);
云端允许更换Devicekey,即将更换密码状态设为开启,并加密下发新的Devicekey和LControlKey。
步骤4:云端向APP下发生成的设备控制密码LControlKey,以及sDevicekey和认证tag,其中,sDevicekey和认证tag是用key和random(初始变量)加密Devicekey而得到的。在一种实施方式中,云端使用AES-GCM加密下发DeviceKey、认证tag和LControlkey。
云端向APP下发新的LControlKey和AES-GCM用(Devicekey、key、random)加密后的sDevicekey和认证tag。
步骤5:APP通过ECDH使用自身私钥和设备公钥协商得出SharedKey,用SharedKey加密发送认证授权信息:sDevicekey、认证tag、LControlKey,并将上述信息以及修改密码的操作指令action:changeDevicekey发送给设备。
设备校验tag,解密sDevicekey,获得Devicekey和LControlKey。
步骤6:设备将Token、deviceid以及AES-OFB加密的使用新的Devicekey加密的deviceid,以及重绑定指令action:rebinding发送给设备云端。
云端server接收到设备发过来的信息后,进行身份一致性判断:用户身份判断token、设备身份(deviceid、devicekey)判断和绑定关系是否一致,以及云端是否允许更换Devicekey和LControlkey。验证通过后,云端替换新的密码并返回Devicekey和LControlkey更换绑定结果:success/fail。然后云端并关闭‘允许更换Devicekey和Lcontrolkey’状态。
在步骤3中更换密码状态设为开启,设备云端允许更换Devicekey和LControlKey,则下发新的Devicekey和LControlKey后关闭更换密码状态。
设备云端解密deviceid进行身份验证,替换当前用户绑定关系Devicekey和LControlKey;
步骤7:设备云端向设备返回Devicekey和LControlKey更换绑定结果。
设备存储新的Devicekey和LControlKey。
步骤8:设备向APP返回步骤5中消息的Devicekey和LControlKey更换结果。
参见图6,在一种实施方式中,本申请实施例的设备的安全交互控制方法的APP端的方法还包括:
向设备发送使用设备控制密码加密的修改密码的指令,并接收设备返回的设备标识和第三认证信息;
将用户身份信息、设备标识和第三认证信息发送给云端,并接收云端下发的更新的设备控制密码和更新的第二认证信息;
将所述更新的设备控制密码、所述更新的第二认证信息和修改密码的操作指令发送给设备。
本申请实施例中,实施APP和设备安全交互凭证更换,是保证信息安全的重要手段。由于密码长期使用容易被窃取,因此经常更换密码有利于信息安全。
在一种实施方式中,向设备发送使用设备控制密码加密的修改密码的指令,并接收设备返回的设备标识和第三认证信息包括:
在所述修改密码的指令中携带应用公钥;所述第三认证信息包括使用设备交互凭证码加密的验证码和使用设备公钥加密的综合认证信息,所述综合认证信息包括所述验证码和加解密密钥。
在这种实施方式中,设备向APP返回用LControlKey加密的数据,其中数据包括:设备公钥、deviceid等信息,例如设备版本、型号、厂家等信息,以及第三认证信息。第三认证信息包括:通过AES-OFB用Devicekey加密的验证码(random)+用设备公钥加密的综合认证信息。综合认证信息可包括:{验证码(random)+加解密密钥(key)}。
本申请实施例中,使用公私钥对、验证码和加解密密钥可保证信息安全,将敏感数据加密传输,避免了劫持篡改或泄露。
在一种实施方式中,将所述更新的设备控制密码、所述更新的第二认证信息和修改密码的操作指令发送给设备,包括:
通过密钥协商交换算法用应用私钥和设备公钥协商出共享密码,将使用所述共享密码加密的所述更新的设备控制密码、所述更新的第二认证信息发送给设备。
APP通过ECDH用自身私钥和设备公钥协商出SharedKey,用SharedKey加密发送认证授权信息:sDevicekey、认证tag、LControlKey,并将上述信息以及修改密码的操作指令发送给设备。
本申请实施例中,通过使用密钥协商交换算法协商得到的共享密码可保证信息安全,将敏感数据加密传输,避免了劫持篡改或泄露。
参见图6,在一种实施方式中,本申请实施例的设备的安全交互控制方法的设备端的方法还包括:
接收来自应用的使用设备控制密码加密的修改密码的指令,并向应用返回设备标识和第三认证信息;
接收来自应用的更新的设备控制密码、所述更新的第二认证信息和修改密码的操作指令;
根据所述更新的设备控制密码、所述更新的第二认证信息,向云端发送重绑定指令;
接收云端返回的重绑定结果。
在一种实施方式中,所述修改密码的指令中携带有应用公钥;所述第三认证信息包括使用设备交互凭证码加密的验证码和使用设备公钥加密的综合认证信息,所述综合认证信息包括所述验证码和加解密密钥。
在一种实施方式中,根据所述更新的设备控制密码、所述更新的第二认证信息,向云端发送重绑定指令,包括:
将所述用户令牌、所述设备标识、使用设备交互凭证码加密的设备标识和重绑定指令发送给云端。
参见图6,在一个示例中,设备端的修改密码的方法可包括:
设备接收来自APP的用LControlKey加密的修改密码指令,并在附加区携带APP公钥;
设备随机产生并记录random,向APP返回用LControlKey加密的数据,其中数据包括:设备公钥、deviceid等信息,例如设备版本、型号、厂家等信息,以及通过AES-OFB用Devicekey加密的验证码(random)+用设备公钥加密的综合认证信息。综合认证信息可包括:{验证码(random)+加解密密钥(key)};
设备接收APP通过ECDH用自身私钥和设备公钥协商出SharedKey,用SharedKey加密发送的认证授权信息:sDevicekey、认证tag、LControlKey以及修改密码的操作指令;
设备校验tag,解密sDevicekey,获得Devicekey和LControlKey;
设备将Token、deviceid以及AES-OFB加密的新的Devicekey和LControlKey,以及重绑定指令发送给设备云端;
设备云端向设备返回Devicekey和LControlKey更换绑定结果;
设备存储新的Devicekey和LControlKey,并向APP返回图6中步骤5消息的Devicekey和LControlKey更换结果。
参见图6,在一种实施方式中,本申请实施例的设备的安全交互控制方法的云端的方法还包括:
接收来自应用的用户身份信息、设备标识和第三认证信息;
根据所述用户身份信息、所述设备标识和所述第三认证信息进行身份认证,在身份认证成功的情况下向应用下发更新的设备控制密码和更新的第二认证信息;
接收来自设备的用户令牌、所述设备标识、使用设备交互凭证码加密的设备标识和重绑定指令;
根据所述用户令牌、所述设备标识、使用设备交互凭证码加密的设备标识,替换当前的所述用户信息和所述设备信息的绑定关系。
在一种实施方式中,所述第三认证信息包括使用设备交互凭证码加密的验证码和使用设备公钥加密的综合认证信息,所述综合认证信息包括所述验证码和加解密密钥。
参见图6,在一个示例中,云端的修改密码的方法可包括:
云端接收来自应用的用户身份信息cookie、deviceid,以及AES-OFB用Devicekey加密的验证码(random)和用设备公钥加密的{验证码(random)+加解密密钥(key)};
云端进行身份校验:通过deviceid查找私钥和Devicekey,获得验证码(random)和加解密密钥(key);
云端允许更换Devicekey,即将更换密码状态设为开启,并加密下发新的Devicekey和LControlKey。
云端向APP下发生成的设备控制密码LControlKey,以及sDevicekey和认证tag,其中,sDevicekey和认证tag是用key和random(初始变量)加密Devicekey而得到的;
接收来自设备的Token、deviceid以及AES-OFB加密的新的使用Devicekey加密的deviceid,以及重绑定指令;
在上述步骤中更换密码状态设为开启,设备云端允许更换Devicekey和LControlKey,下发新的key密码后关闭状态;
设备云端解密deviceid进行身份验证,替换当前用户绑定关系Devicekey和LControlKey;
设备云端向设备返回Devicekey和LControlKey更换绑定结果。
本申请实施例的设备的安全交互控制方法中的修改密码方法的相关步骤可以参见上述绑定方法中的类似步骤的对应描述,在此不再赘述。
图7是根据本申请实施例的设备的安全交互控制装置在APP端的结构示意图。如图7所示,本申请实施例的设备的安全交互控制装置包括:
第一交互单元110,用于接收来自设备的设备标识和第一认证信息;
第二交互单元120,用于将用户身份信息、所述设备标识和所述第一认证信息发送给云端并接收云端下发的设备控制密码和第二认证信息;
第三交互单元130,用于将所述设备控制密码、所述第二认证信息和用户令牌发送给设备,并接收设备返回的绑定认证结果;
第四交互单元140,用于将用户身份信息、所述设备标识、加密后的所述设备标识和绑定操作指令发送给云端,所述绑定操作指令用于指示云端将用户信息和设备信息进行绑定。
在一种实施方式中,所述第一交互单元110用于:
将应用公钥发送给设备,以及接收设备返回的设备公钥、设备标识和第一认证信息,所述第一认证信息包括使用设备公钥加密的验证码和使用设备公钥加密的综合认证信息,所述综合认证信息包括所述验证码和加解密密钥。
在一种实施方式中,所述第二认证信息包括加密后的设备交互凭证码和认证标签,所述加密后的设备交互凭证码和所述认证标签是用所述验证码和所述加解密密钥加密设备交互凭证码得到的。
在一种实施方式中,所述第三交互单元130用于:
通过密钥协商交换算法用应用私钥和设备公钥协商得到共享密码,将使用所述共享密码加密的所述设备控制密码、所述第二认证信息和所述用户令牌发送给设备。
在一种实施方式中,所述加密后的所述设备标识是使用所述设备交互凭证码对所述设备标识加密得到的;
所述用户信息包括所述用户身份信息和所述用户令牌;所述设备信息包括所述设备交互凭证码、所述设备控制密码和所述设备标识。
在一种实施方式中,所述装置还包括:
第一发送单元,用于向设备发送查找服务对象信息的请求;
第一接收单元,用于接收设备返回的使用设备控制密码加密的服务对象信息;
第二发送单元,用于向设备发送使用设备控制密码加密的认证请求;
第二接收单元,用于接收设备返回的使用设备控制密码加密的第一时间戳信息;
第三发送单元,用于向设备发送使用设备控制密码加密的控制指令和所述第一时间戳信息,其中,所述控制指令是与服务对象信息相关的控制指令;
第三接收单元,用于接收所述控制指令的返回执行结果。
在一种实施方式中,所述装置还包括:
第五交互单元,用于向设备发送使用设备控制密码加密的修改密码的指令,并接收设备返回的设备标识和第三认证信息;
第六交互单元,用于将用户身份信息、设备标识和第三认证信息发送给云端,并接收云端下发的更新的设备控制密码和更新的第二认证信息;
第七交互单元,用于将所述更新的设备控制密码、所述更新的第二认证信息和修改密码的操作指令发送给设备。
在一种实施方式中,所述第五交互单元用于:
在所述修改密码的指令中携带应用公钥;所述第三认证信息包括使用设备交互凭证码加密的验证码和使用设备公钥加密的综合认证信息,所述综合认证信息包括所述验证码和加解密密钥。
在一种实施方式中,所述第七交互单元用于:
通过密钥协商交换算法用应用私钥和设备公钥协商出共享密码,将使用所述共享密码加密的所述更新的设备控制密码、所述更新的第二认证信息发送给设备。
图8是根据本申请实施例的设备的安全交互控制装置在设备端的结构示意图。如图8所示,本申请实施例的设备的安全交互控制装置包括:
第四发送单元210,用于向应用发送设备标识和第一认证信息,所述第一认证信息用于应用向云端请求设备控制密码和第二认证信息;
第四接收单元220,用于接收来自应用的所述设备控制密码、所述第二认证信息和用户令牌;
检验单元230,用于对所述第二认证信息进行校验,对所述设备控制密码和所述用户令牌进行解密并存储;
第一返回单元240,用于根据校验结果向应用返回绑定认证结果。
在一种实施方式中,所述第四发送单元210用于:
接收来自应用的应用公钥;
向应用返回设备公钥、所述设备标识和所述第一认证信息,所述第一认证信息包括使用设备公钥加密的验证码和使用设备公钥加密的综合认证信息,所述综合认证信息包括所述验证码和加解密密钥。
在一种实施方式中,所述第二认证信息包括加密后的设备交互凭证码和认证标签,所述加密后的设备交互凭证码和所述认证标签是使用所述验证码和所述加解密密钥加密设备交互凭证码得到的。
在一种实施方式中,所述来自应用的所述设备控制密码、所述第二认证信息和用户令牌,是使用共享密码加密得到的,所述共享密码是通过密钥协商交换算法用应用私钥和设备公钥协商得到的。
在一种实施方式中,所述检验单元230用于:对所述认证标签进行检验。
在一种实施方式中,所述装置还包括:
第五接收单元,用于接收来自设备的查找服务对象信息的请求;
第二返回单元,用于向设备返回使用设备控制密码加密的服务对象信息;
第六接收单元,用于接收来自设备的使用设备控制密码加密的认证请求;
第三返回单元,用于向设备返回使用设备控制密码加密的所述第一时间戳信息;
第七接收单元,用于接收来自设备的使用设备控制密码加密的控制指令和所述第一时间戳信息,其中,所述控制指令是与服务对象信息相关的控制指令;
第四返回单元,用于向设备返回所述控制指令的返回执行结果。
在一种实施方式中,所述第三返回单元还用于:
使用设备交互凭证码将第二时间戳信息加密,得到第一时间戳信息。
在一种实施方式中,所述第四返回单元还用于:
使用所述设备控制密码和所述设备交互凭证码对所述第一时间戳信息进行解密,并验证所述第一时间戳信息;
根据验证结果向设备返回所述控制指令的返回执行结果。
在一种实施方式中,所述装置还包括:
第八接收单元,用于接收来自应用的使用设备控制密码加密的修改密码的指令,并向应用返回设备标识和第三认证信息;
第九接收单元,用于接收来自应用的更新的设备控制密码、所述更新的第二认证信息和修改密码的操作指令;
第五发送单元,用于根据所述更新的设备控制密码、所述更新的第二认证信息,向云端发送重绑定指令;
第十接收单元,用于接收云端返回的重绑定结果。
在一种实施方式中,所述修改密码的指令中携带有应用公钥;所述第三认证信息包括使用设备交互凭证码加密的验证码和使用设备公钥加密的综合认证信息,所述综合认证信息包括所述验证码和加解密密钥。
在一种实施方式中,所述第五发送单元用于:
将所述用户令牌、所述设备标识、使用设备交互凭证码加密的设备标识和重绑定指令发送给云端。
图9是根据本申请实施例的设备的安全交互控制装置在云端的结构示意图。如图9所示,本申请实施例的设备的安全交互控制装置包括:
第十一接收单元310,用于接收来自应用的用户身份信息、设备标识和第一认证信息;
生成单元320,用于根据所述设备标识对所述第一认证信息进行解密,生成设备控制密码和第二认证信息,其中,所述第二认证信息是使用解密后的所述第一认证信息加密得到的;
第六发送单元330,用于将所述设备控制密码和所述第二认证信息发送给应用;
第十二接收单元340,用于接收来自应用的用户身份信息、所述设备标识、加密后的所述设备标识和绑定操作指令;
第一绑定单元350,用于根据所述用户身份信息、所述设备标识、加密后的所述设备标识,将用户信息和设备信息进行绑定。
在一种实施方式中,所述第一认证信息包括使用设备公钥加密的验证码和使用设备公钥加密的综合认证信息,所述综合认证信息包括所述验证码和加解密密钥。
在一种实施方式中,所述生成单元320用于:
根据所述设备标识查找对应的设备私钥,设备私钥和设备公钥是在通过设备标识注册设备时生成的;
用所述设备私钥对所述第一认证信息进行解密。
在一种实施方式中,所述第二认证信息包括加密后的设备交互凭证码和认证标签,所述加密后的设备交互凭证码和所述认证标签是使用所述验证码和所述加解密密钥加密设备交互凭证码得到的。
在一种实施方式中,所述第一绑定单元350用于:
对加密后的所述设备标识进行解密,并根据解密结果对所述设备标识进行验证;
验证所述用户信息和所述设备信息是否一致,其中,所述用户信息包括所述用户身份信息和用户令牌;所述设备信息包括所述设备交互凭证码、所述设备控制密码和所述设备标识;所述用户令牌是登录时由云端下发的;
根据验证结果将用户信息和设备信息进行绑定。
在一种实施方式中,所述装置还包括:
第十三接收单元,用于接收来自应用的用户身份信息、设备标识和第三认证信息;
认证单元,用于根据所述用户身份信息、所述设备标识和所述第三认证信息进行身份认证,在身份认证成功的情况下向应用下发更新的设备控制密码和更新的第二认证信息;
第十四接收单元,用于接收来自设备的用户令牌、所述设备标识、使用设备交互凭证码加密的设备标识和重绑定指令;
第二绑定单元,用于根据所述用户令牌、所述设备标识、使用设备交互凭证码加密的设备标识,替换当前的所述用户信息和所述设备信息的绑定关系。
在一种实施方式中,所述第三认证信息包括使用设备交互凭证码加密的验证码和使用设备公钥加密的综合认证信息,所述综合认证信息包括所述验证码和加解密密钥。
本申请实施例的设备的安全交互控制装置中的各单元的功能可以参见上述方法中的对应描述,在此不再赘述。
根据本申请的实施例,本申请还提供了一种电子设备和一种可读存储介质。
如图10所示,是根据本申请实施例的设备的安全交互控制方法的电子设备的框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本申请的实现。
如图10所示,该电子设备包括:一个或多个处理器1001、存储器1002,以及用于连接各部件的接口,包括高速接口和低速接口。各个部件利用不同的总线互相连接,并且可以被安装在公共主板上或者根据需要以其它方式安装。处理器可以对在电子设备内执行的指令进行处理,包括存储在存储器中或者存储器上以在外部输入/输出装置(诸如,耦合至接口的显示设备)上显示图形用户界面(Graphical User Interface,GUI)的图形信息的指令。在其它实施方式中,若需要,可以将多个处理器和/或多条总线与多个存储器和多个存储器一起使用。同样,可以连接多个电子设备,各个设备提供部分必要的操作(例如,作为服务器阵列、一组刀片式服务器、或者多处理器系统)。图10中以一个处理器1001为例。
存储器1002即为本申请所提供的非瞬时计算机可读存储介质。其中,所述存储器存储有可由至少一个处理器执行的指令,以使所述至少一个处理器执行本申请所提供的设备的安全交互控制方法。本申请的非瞬时计算机可读存储介质存储计算机指令,该计算机指令用于使计算机执行本申请所提供的设备的安全交互控制方法。
存储器1002作为一种非瞬时计算机可读存储介质,可用于存储非瞬时软件程序、非瞬时计算机可执行程序以及模块,如本申请实施例中的设备的安全交互控制方法对应的程序指令/模块(例如,附图7所示的第一交互单元110、第二交互单元120、第三交互单元130、第四交互单元140,附图8所示的第四发送单元210、第四接收单元220、检验单元230、第一返回单元240,附图9所示的第十一接收单元310、生成单元320、第六发送单元330、第十二接收单元340,第一绑定单元350)。处理器1001通过运行存储在存储器1002中的非瞬时软件程序、指令以及模块,从而执行服务器的各种功能应用以及数据处理,即实现上述方法实施例中的设备的安全交互控制方法。
存储器1002可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据执行设备的安全交互控制方法的电子设备的使用所创建的数据等。此外,存储器1002可以包括高速随机存取存储器,还可以包括非瞬时存储器,例如至少一个磁盘存储器件、闪存器件、或其他非瞬时固态存储器件。在一些实施例中,存储器1002可选包括相对于处理器1001远程设置的存储器,这些远程存储器可以通过网络连接至执行设备的安全交互控制方法的电子设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
执行设备的安全交互控制方法的电子设备还可以包括:输入装置1003和输出装置1004。处理器1001、存储器1002、输入装置1003和输出装置504可以通过总线或者其他方式连接,图10中以通过总线连接为例。
输入装置1003可接收输入的数字或字符信息,以及产生与执行设备的安全交互控制方法的电子设备的用户设置以及功能控制有关的键信号输入,例如触摸屏、小键盘、鼠标、轨迹板、触摸板、指示杆、一个或者多个鼠标按钮、轨迹球、操纵杆等输入装置。输出装置1004可以包括显示设备、辅助照明装置(例如,LED)和触觉反馈装置(例如,振动电机)等。该显示设备可以包括但不限于,液晶显示器(Liquid Crystal Display,LCD)、发光二极管(Light Emitting Diode,LED)显示器和等离子体显示器。在一些实施方式中,显示设备可以是触摸屏。
此处描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、专用集成电路(Application Specific Integrated Circuits,ASIC)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
这些计算程序(也称作程序、软件、软件应用、或者代码)包括可编程处理器的机器指令,并且可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。如本文使用的,术语“机器可读介质”和“计算机可读介质”指的是用于将机器指令和/或数据提供给可编程处理器的任何计算机程序产品、设备、和/或装置(例如,磁盘、光盘、存储器、可编程逻辑装置(programmable logic device,PLD)),包括,接收作为机器可读信号的机器指令的机器可读介质。术语“机器可读信号”指的是用于将机器指令和/或数据提供给可编程处理器的任何信号。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(Cathode Ray Tube,阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(Local Area Network,LAN)、广域网(Wide Area Network,WAN)和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。
根据本申请实施例的技术方案,能够对物联网设备进行身份认证;对绑定应用和云端的身份进行认证,避免被恶意绑定,从而保证了应用和物联网设备的安全交互控制。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发申请中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本申请公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本申请保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本申请的精神和原则之内所作的修改、等同替换和改进等,均应包含在本申请保护范围之内。
Claims (37)
1.一种设备的安全交互控制方法,其特征在于,包括:
接收来自设备的设备标识和第一认证信息;
将用户身份信息、所述设备标识和所述第一认证信息发送给云端并接收云端下发的设备控制密码和第二认证信息;
将所述设备控制密码、所述第二认证信息和用户令牌发送给设备,并接收设备返回的绑定认证结果;
将用户身份信息、所述设备标识、加密后的所述设备标识和绑定操作指令发送给云端,所述绑定操作指令用于指示云端将用户信息和设备信息进行绑定。
2.根据权利要求1所述的方法,其特征在于,接收来自设备的设备标识和第一认证信息,包括:
将应用公钥发送给设备,以及接收设备返回的设备公钥、设备标识和第一认证信息,所述第一认证信息包括使用设备公钥加密的验证码和使用设备公钥加密的综合认证信息,所述综合认证信息包括所述验证码和加解密密钥。
3.根据权利要求2所述的方法,其特征在于,所述第二认证信息包括加密后的设备交互凭证码和认证标签,所述加密后的设备交互凭证码和所述认证标签是用所述验证码和所述加解密密钥加密设备交互凭证码得到的。
4.根据权利要求3所述的方法,其特征在于,将所述设备控制密码、所述第二认证信息和用户令牌发送给设备,包括:
通过密钥协商交换算法用应用私钥和设备公钥协商得到共享密码,将使用所述共享密码加密的所述设备控制密码、所述第二认证信息和所述用户令牌发送给设备。
5.根据权利要求3所述的方法,其特征在于,
所述加密后的所述设备标识是使用所述设备交互凭证码对所述设备标识加密得到的;
所述用户信息包括所述用户身份信息和所述用户令牌;所述设备信息包括所述设备交互凭证码、所述设备控制密码和所述设备标识。
6.根据权利要求1-5所述的方法,其特征在于,所述方法还包括:
向设备发送查找服务对象信息的请求;
接收设备返回的使用设备控制密码加密的服务对象信息;
向设备发送使用设备控制密码加密的认证请求;
接收设备返回的使用设备控制密码加密的第一时间戳信息;
向设备发送使用设备控制密码加密的控制指令和所述第一时间戳信息,其中,所述控制指令是与服务对象信息相关的控制指令;
接收所述控制指令的返回执行结果。
7.根据权利要求1-5所述的方法,其特征在于,所述方法还包括:
向设备发送使用设备控制密码加密的修改密码的指令,并接收设备返回的设备标识和第三认证信息;
将用户身份信息、设备标识和第三认证信息发送给云端,并接收云端下发的更新的设备控制密码和更新的第二认证信息;
将所述更新的设备控制密码、所述更新的第二认证信息和修改密码的操作指令发送给设备。
8.根据权利要求7所述的方法,其特征在于,向设备发送使用设备控制密码加密的修改密码的指令,并接收设备返回的设备标识和第三认证信息包括:
在所述修改密码的指令中携带应用公钥;所述第三认证信息包括使用设备交互凭证码加密的验证码和使用设备公钥加密的综合认证信息,所述综合认证信息包括所述验证码和加解密密钥。
9.根据权利要求8所述的方法,其特征在于,将所述更新的设备控制密码、所述更新的第二认证信息和修改密码的操作指令发送给设备,包括:
通过密钥协商交换算法用应用私钥和设备公钥协商出共享密码,将使用所述共享密码加密的所述更新的设备控制密码、所述更新的第二认证信息发送给设备。
10.一种设备的安全交互控制方法,其特征在于,包括:
向应用发送设备标识和第一认证信息,所述第一认证信息用于应用向云端请求设备控制密码和第二认证信息;
接收来自应用的所述设备控制密码、所述第二认证信息和用户令牌;
对所述第二认证信息进行校验,对所述设备控制密码和所述用户令牌进行解密并存储;
根据校验结果向应用返回绑定认证结果。
11.根据权利要求10所述的方法,其特征在于,向应用发送设备标识和第一认证信息,包括:
接收来自应用的应用公钥;
向应用返回设备公钥、所述设备标识和所述第一认证信息,所述第一认证信息包括使用设备公钥加密的验证码和使用设备公钥加密的综合认证信息,所述综合认证信息包括所述验证码和加解密密钥。
12.根据权利要求11所述的方法,其特征在于,所述第二认证信息包括加密后的设备交互凭证码和认证标签,所述加密后的设备交互凭证码和所述认证标签是使用所述验证码和所述加解密密钥加密设备交互凭证码得到的。
13.根据权利要求12所述的方法,其特征在于,所述来自应用的所述设备控制密码、所述第二认证信息和用户令牌,是使用共享密码加密得到的,所述共享密码是通过密钥协商交换算法用应用私钥和设备公钥协商得到的。
14.根据权利要求13所述的方法,其特征在于,对所述第二认证信息进行校验,包括:对所述认证标签进行检验。
15.根据权利要求10-14所述的方法,其特征在于,所述方法还包括:
接收来自设备的查找服务对象信息的请求;
向设备返回使用设备控制密码加密的服务对象信息;
接收来自设备的使用设备控制密码加密的认证请求;
向设备返回使用设备控制密码加密的所述第一时间戳信息;
接收来自设备的使用设备控制密码加密的控制指令和所述第一时间戳信息,其中,所述控制指令是与服务对象信息相关的控制指令;
向设备返回所述控制指令的返回执行结果。
16.根据权利要求15所述的方法,其特征在于,向设备返回使用设备控制密码加密的所述第一时间戳信息之前,还包括:
使用设备交互凭证码将第二时间戳信息加密,得到第一时间戳信息。
17.根据权利要求16所述的方法,其特征在于,向设备返回所述控制指令的返回执行结果,包括:
使用所述设备控制密码和所述设备交互凭证码对所述第一时间戳信息进行解密,并验证所述第一时间戳信息;
根据验证结果向设备返回所述控制指令的返回执行结果。
18.根据权利要求10-14所述的方法,其特征在于,所述方法还包括:
接收来自应用的使用设备控制密码加密的修改密码的指令,并向应用返回设备标识和第三认证信息;
接收来自应用的更新的设备控制密码、所述更新的第二认证信息和修改密码的操作指令;
根据所述更新的设备控制密码、所述更新的第二认证信息,向云端发送重绑定指令;
接收云端返回的重绑定结果。
19.根据权利要求18所述的方法,其特征在于,所述修改密码的指令中携带有应用公钥;所述第三认证信息包括使用设备交互凭证码加密的验证码和使用设备公钥加密的综合认证信息,所述综合认证信息包括所述验证码和加解密密钥。
20.根据权利要求19所述的方法,其特征在于,根据所述更新的设备控制密码、所述更新的第二认证信息,向云端发送重绑定指令,包括:
将所述用户令牌、所述设备标识、使用设备交互凭证码加密的设备标识和重绑定指令发送给云端。
21.一种设备的安全交互控制方法,其特征在于,包括:
接收来自应用的用户身份信息、设备标识和第一认证信息;
根据所述设备标识对所述第一认证信息进行解密,生成设备控制密码和第二认证信息,其中,所述第二认证信息是使用解密后的所述第一认证信息加密得到的;
将所述设备控制密码和所述第二认证信息发送给应用;
接收来自应用的用户身份信息、所述设备标识、加密后的所述设备标识和绑定操作指令;
根据所述用户身份信息、所述设备标识、加密后的所述设备标识,将用户信息和设备信息进行绑定。
22.根据权利要求21所述的方法,其特征在于,所述第一认证信息包括使用设备公钥加密的验证码和使用设备公钥加密的综合认证信息,所述综合认证信息包括所述验证码和加解密密钥。
23.根据权利要求22所述的方法,其特征在于,根据所述设备标识对所述第一认证信息进行解密,包括:
根据所述设备标识查找对应的设备私钥,设备私钥和设备公钥是在通过设备标识注册设备时生成的;
用所述设备私钥对所述第一认证信息进行解密。
24.根据权利要求23所述的方法,其特征在于,所述第二认证信息包括加密后的设备交互凭证码和认证标签,所述加密后的设备交互凭证码和所述认证标签是使用所述验证码和所述加解密密钥加密设备交互凭证码得到的。
25.根据权利要求24所述的方法,其特征在于,根据所述用户身份信息、所述设备标识、加密后的所述设备标识,将用户信息和设备信息进行绑定,包括:
对加密后的所述设备标识进行解密,并根据解密结果对所述设备标识进行验证;
验证所述用户信息和所述设备信息是否一致,其中,所述用户信息包括所述用户身份信息和用户令牌;所述设备信息包括所述设备交互凭证码、所述设备控制密码和所述设备标识;所述用户令牌是登录时由云端下发的;
根据验证结果将用户信息和设备信息进行绑定。
26.根据权利要求21-25所述的方法,其特征在于,所述方法还包括:
接收来自应用的用户身份信息、设备标识和第三认证信息;
根据所述用户身份信息、所述设备标识和所述第三认证信息进行身份认证,在身份认证成功的情况下向应用下发更新的设备控制密码和更新的第二认证信息;
接收来自设备的用户令牌、所述设备标识、使用设备交互凭证码加密的设备标识和重绑定指令;
根据所述用户令牌、所述设备标识、使用设备交互凭证码加密的设备标识,替换当前的所述用户信息和所述设备信息的绑定关系。
27.根据权利要求26所述的方法,其特征在于,所述第三认证信息包括使用设备交互凭证码加密的验证码和使用设备公钥加密的综合认证信息,所述综合认证信息包括所述验证码和加解密密钥。
28.一种设备的安全交互控制装置,其特征在于,包括:
第一交互单元,用于接收来自设备的设备标识和第一认证信息;
第二交互单元,用于将用户身份信息、所述设备标识和所述第一认证信息发送给云端并接收云端下发的设备控制密码和第二认证信息;
第三交互单元,用于将所述设备控制密码、所述第二认证信息和用户令牌发送给设备,并接收设备返回的绑定认证结果;
第四交互单元,用于将用户身份信息、所述设备标识、加密后的所述设备标识和绑定操作指令发送给云端,所述绑定操作指令用于指示云端将用户信息和设备信息进行绑定。
29.根据权利要求28所述的装置,其特征在于,所述装置还包括:
第一发送单元,用于向设备发送查找服务对象信息的请求;
第一接收单元,用于接收设备返回的使用设备控制密码加密的服务对象信息;
第二发送单元,用于向设备发送使用设备控制密码加密的认证请求;
第二接收单元,用于接收设备返回的使用设备控制密码加密的第一时间戳信息;
第三发送单元,用于向设备发送使用设备控制密码加密的控制指令和所述第一时间戳信息,其中,所述控制指令是与服务对象信息相关的控制指令;
第三接收单元,用于接收所述控制指令的返回执行结果。
30.根据权利要求28或29所述的装置,其特征在于,所述装置还包括:
第五交互单元,用于向设备发送使用设备控制密码加密的修改密码的指令,并接收设备返回的设备标识和第三认证信息;
第六交互单元,用于将用户身份信息、设备标识和第三认证信息发送给云端,并接收云端下发的更新的设备控制密码和更新的第二认证信息;
第七交互单元,用于将所述更新的设备控制密码、所述更新的第二认证信息和修改密码的操作指令发送给设备。
31.一种设备的安全交互控制装置,其特征在于,包括:
第四发送单元,用于向应用发送设备标识和第一认证信息,所述第一认证信息用于应用向云端请求设备控制密码和第二认证信息;
第四接收单元,用于接收来自应用的所述设备控制密码、所述第二认证信息和用户令牌;
检验单元,用于对所述第二认证信息进行校验,对所述设备控制密码和所述用户令牌进行解密并存储;
第一返回单元,用于根据校验结果向应用返回绑定认证结果。
32.根据权利要求31所述的装置,其特征在于,所述装置还包括:
第五接收单元,用于接收来自设备的查找服务对象信息的请求;
第二返回单元,用于向设备返回使用设备控制密码加密的服务对象信息;
第六接收单元,用于接收来自设备的使用设备控制密码加密的认证请求;
第三返回单元,用于向设备返回使用设备控制密码加密的所述第一时间戳信息;
第七接收单元,用于接收来自设备的使用设备控制密码加密的控制指令和所述第一时间戳信息,其中,所述控制指令是与服务对象信息相关的控制指令;
第四返回单元,用于向设备返回所述控制指令的返回执行结果。
33.根据权利要求31或32所述的装置,其特征在于,所述装置还包括:
第八接收单元,用于接收来自应用的使用设备控制密码加密的修改密码的指令,并向应用返回设备标识和第三认证信息;
第九接收单元,用于接收来自应用的更新的设备控制密码、所述更新的第二认证信息和修改密码的操作指令;
第五发送单元,用于根据所述更新的设备控制密码、所述更新的第二认证信息,向云端发送重绑定指令;
第十接收单元,用于接收云端返回的重绑定结果。
34.一种设备的安全交互控制装置,其特征在于,包括:
第十一接收单元,用于接收来自应用的用户身份信息、设备标识和第一认证信息;
生成单元,用于根据所述设备标识对所述第一认证信息进行解密,生成设备控制密码和第二认证信息,其中,所述第二认证信息是使用解密后的所述第一认证信息加密得到的;
第六发送单元,用于将所述设备控制密码和所述第二认证信息发送给应用;
第十二接收单元,用于接收来自应用的用户身份信息、所述设备标识、加密后的所述设备标识和绑定操作指令;
第一绑定单元,用于根据所述用户身份信息、所述设备标识、加密后的所述设备标识,将用户信息和设备信息进行绑定。
35.根据权利要求34所述的装置,其特征在于,所述装置还包括:
第十三接收单元,用于接收来自应用的用户身份信息、设备标识和第三认证信息;
认证单元,用于根据所述用户身份信息、所述设备标识和所述第三认证信息进行身份认证,在身份认证成功的情况下向应用下发更新的设备控制密码和更新的第二认证信息;
第十四接收单元,用于接收来自设备的用户令牌、所述设备标识、使用设备交互凭证码加密的设备标识和重绑定指令;
第二绑定单元,用于根据所述用户令牌、所述设备标识、使用设备交互凭证码加密的设备标识,替换当前的所述用户信息和所述设备信息的绑定关系。
36.一种电子设备,其特征在于,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-27中任一项所述的方法。
37.一种存储有计算机指令的非瞬时计算机可读存储介质,其特征在于,所述计算机指令用于使所述计算机执行权利要求1-27中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910897943.1A CN110636062B (zh) | 2019-09-20 | 2019-09-20 | 设备的安全交互控制方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910897943.1A CN110636062B (zh) | 2019-09-20 | 2019-09-20 | 设备的安全交互控制方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110636062A true CN110636062A (zh) | 2019-12-31 |
| CN110636062B CN110636062B (zh) | 2022-02-08 |
Family
ID=68972390
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910897943.1A Active CN110636062B (zh) | 2019-09-20 | 2019-09-20 | 设备的安全交互控制方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110636062B (zh) |
Cited By (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111064757A (zh) * | 2020-03-18 | 2020-04-24 | 腾讯科技(深圳)有限公司 | 应用访问方法、装置、电子设备以及存储介质 |
| CN111294352A (zh) * | 2020-02-03 | 2020-06-16 | 国家工业信息安全发展研究中心 | 云端与边缘节点之间的数据安全认证方法 |
| CN111737679A (zh) * | 2020-06-29 | 2020-10-02 | 苏州浪潮智能科技有限公司 | 一种安全认证方法、装置及电子设备和存储介质 |
| CN111932426A (zh) * | 2020-09-15 | 2020-11-13 | 支付宝(杭州)信息技术有限公司 | 一种基于可信硬件的身份管理方法、装置及设备 |
| CN112114826A (zh) * | 2020-09-11 | 2020-12-22 | 上海庆科信息技术有限公司 | 一种烧录管理方法、装置、平台及存储介质 |
| CN112333253A (zh) * | 2020-10-27 | 2021-02-05 | 国网重庆市电力公司电力科学研究院 | 一种在智能物联网终端的电力物联网络安全监控系统 |
| CN112528257A (zh) * | 2020-12-04 | 2021-03-19 | 百度在线网络技术(北京)有限公司 | 安全调试方法、装置、电子设备及存储介质 |
| CN112559993A (zh) * | 2020-12-24 | 2021-03-26 | RealMe重庆移动通信有限公司 | 身份认证方法、装置、系统及电子设备 |
| CN112769783A (zh) * | 2020-12-29 | 2021-05-07 | 西安万像电子科技有限公司 | 数据传输方法及云服务器、接收端和发送端 |
| CN112788061A (zh) * | 2021-01-29 | 2021-05-11 | 百度在线网络技术(北京)有限公司 | 认证方法、装置、设备、存储介质及程序产品 |
| CN112887409A (zh) * | 2021-01-27 | 2021-06-01 | 珠海格力电器股份有限公司 | 一种数据处理系统、方法、装置、设备和存储介质 |
| CN113285807A (zh) * | 2021-05-14 | 2021-08-20 | 广东美房智高机器人有限公司 | 一种智能设备入网鉴权的方法和系统 |
| CN113596030A (zh) * | 2021-07-29 | 2021-11-02 | 深圳Tcl新技术有限公司 | 设备配网方法、装置、存储介质及电子设备 |
| CN113595992A (zh) * | 2021-07-07 | 2021-11-02 | 青岛海尔科技有限公司 | 安全绑定方法及系统、存储介质、电子装置 |
| CN113779516A (zh) * | 2021-06-29 | 2021-12-10 | 青岛海尔科技有限公司 | 一种设备控制方法、装置、存储介质及电子装置 |
| CN113805896A (zh) * | 2021-09-14 | 2021-12-17 | 上汽通用五菱汽车股份有限公司 | 远程部署的方法、系统、设备和可读存储介质 |
| CN114338055A (zh) * | 2020-09-25 | 2022-04-12 | 腾讯科技(深圳)有限公司 | 一种身份认证方法及装置 |
| US11341284B2 (en) | 2020-09-04 | 2022-05-24 | Alipay (Hangzhou) Information Technology Co., Ltd. | Trusted hardware-based data management methods, apparatuses, and devices |
| US11354447B2 (en) | 2020-08-28 | 2022-06-07 | Alipay (Hangzhou) Information Technology Co., Ltd. | Data authorization information acquisition methods, apparatuses, and devices |
| US11354448B2 (en) | 2020-09-04 | 2022-06-07 | Alipay (Hangzhou) Information Technology Co., Ltd. | Demand trusted device-based data acquisition methods, apparatuses, and devices |
| WO2022116209A1 (zh) * | 2020-12-04 | 2022-06-09 | Oppo广东移动通信有限公司 | 物联网设备接入认证方法、装置、设备及存储介质 |
| US11362815B2 (en) | 2020-08-28 | 2022-06-14 | Alipay (Hangzhou) Information Technology Co., Ltd. | Trusted data transmission methods, apparatuses, and devices |
| CN114866251A (zh) * | 2022-04-25 | 2022-08-05 | 中国银联股份有限公司 | 一种设备互联安全认证系统、方法、装置、服务器及介质 |
| US11455417B2 (en) | 2020-09-04 | 2022-09-27 | Alipay (Hangzhou) Information Technology Co., Ltd. | Data processing methods, apparatuses, and devices |
| US11494511B2 (en) | 2020-09-15 | 2022-11-08 | Alipay (Hangzhou) Information Technology Co., Ltd. | Data processing methods, apparatuses, and devices |
| US11604894B2 (en) | 2020-07-24 | 2023-03-14 | Alipay (Hangzhou) Information Technology Co., Ltd. | Data processing methods, apparatuses, devices, and media |
| US11614929B2 (en) | 2020-08-28 | 2023-03-28 | Alipay (Hangzhou) Information Technology Co., Ltd. | Identity registration methods, apparatuses, and devices |
| US11652879B2 (en) | 2020-08-28 | 2023-05-16 | Alipay (Hangzhou) Information Technology Co., Ltd. | Matching methods, apparatuses, and devices based on trusted asset data |
| US11726968B2 (en) | 2020-09-15 | 2023-08-15 | Alipay (Hangzhou) Information Technology Co., Ltd. | Methods, apparatuses, and devices for transferring data assets based on blockchain |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103795571A (zh) * | 2014-01-24 | 2014-05-14 | 北京搜狗科技发展有限公司 | 设备之间的绑定方法及装置 |
| CN104994073A (zh) * | 2015-05-29 | 2015-10-21 | 北京奇虎科技有限公司 | 手机终端、服务器及其帐号与设备绑定控制、执行方法 |
| US20150339662A1 (en) * | 2014-05-23 | 2015-11-26 | LoopPay Inc. | Systems and methods for linking devices to user accounts |
| CN106533861A (zh) * | 2016-11-18 | 2017-03-22 | 郑州信大捷安信息技术股份有限公司 | 一种智能家居物联网安全控制系统及认证方法 |
| CN107317807A (zh) * | 2017-06-22 | 2017-11-03 | 北京洋浦伟业科技发展有限公司 | 一种设备绑定方法、装置及系统 |
| CN107911337A (zh) * | 2017-10-11 | 2018-04-13 | 海信集团有限公司 | 一种设备绑定方法、服务器及设备 |
| CN107979514A (zh) * | 2017-11-21 | 2018-05-01 | 海信集团有限公司 | 一种对设备进行绑定的方法和设备 |
| US20180167809A1 (en) * | 2016-12-08 | 2018-06-14 | Gn Hearing A/S | Hearing device system, devices and method of creating a trusted bond between a hearing device and a user application |
| EP3352412A1 (en) * | 2015-09-14 | 2018-07-25 | Alibaba Group Holding Limited | Identity authentication method and device |
| CN108768970A (zh) * | 2018-05-15 | 2018-11-06 | 腾讯科技(北京)有限公司 | 一种智能设备的绑定方法、身份认证平台及存储介质 |
| CN109672683A (zh) * | 2018-12-25 | 2019-04-23 | 深圳市安信认证系统有限公司 | 物联网设备的绑定方法、绑定装置及终端设备 |
-
2019
- 2019-09-20 CN CN201910897943.1A patent/CN110636062B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103795571A (zh) * | 2014-01-24 | 2014-05-14 | 北京搜狗科技发展有限公司 | 设备之间的绑定方法及装置 |
| US20150339662A1 (en) * | 2014-05-23 | 2015-11-26 | LoopPay Inc. | Systems and methods for linking devices to user accounts |
| CN104994073A (zh) * | 2015-05-29 | 2015-10-21 | 北京奇虎科技有限公司 | 手机终端、服务器及其帐号与设备绑定控制、执行方法 |
| EP3352412A1 (en) * | 2015-09-14 | 2018-07-25 | Alibaba Group Holding Limited | Identity authentication method and device |
| CN106533861A (zh) * | 2016-11-18 | 2017-03-22 | 郑州信大捷安信息技术股份有限公司 | 一种智能家居物联网安全控制系统及认证方法 |
| US20180167809A1 (en) * | 2016-12-08 | 2018-06-14 | Gn Hearing A/S | Hearing device system, devices and method of creating a trusted bond between a hearing device and a user application |
| CN107317807A (zh) * | 2017-06-22 | 2017-11-03 | 北京洋浦伟业科技发展有限公司 | 一种设备绑定方法、装置及系统 |
| CN107911337A (zh) * | 2017-10-11 | 2018-04-13 | 海信集团有限公司 | 一种设备绑定方法、服务器及设备 |
| CN107979514A (zh) * | 2017-11-21 | 2018-05-01 | 海信集团有限公司 | 一种对设备进行绑定的方法和设备 |
| CN108768970A (zh) * | 2018-05-15 | 2018-11-06 | 腾讯科技(北京)有限公司 | 一种智能设备的绑定方法、身份认证平台及存储介质 |
| CN109672683A (zh) * | 2018-12-25 | 2019-04-23 | 深圳市安信认证系统有限公司 | 物联网设备的绑定方法、绑定装置及终端设备 |
Non-Patent Citations (2)
| Title |
|---|
| JIONGYI CHEN: "Your IoTs Are (Not) Mine: On the Remote Binding Between IoT Devices and Users", 《2019 49TH ANNUAL IEEE/IFIP INTERNATIONAL CONFERENCE ON DEPENDABLE SYSTEMS AND NETWORKS (DSN)》 * |
| 李勇舟: "基于微信平台的家庭隐患报警系统软件设计与实现", 《中国优秀硕士学位论文全文数据库》 * |
Cited By (46)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111294352A (zh) * | 2020-02-03 | 2020-06-16 | 国家工业信息安全发展研究中心 | 云端与边缘节点之间的数据安全认证方法 |
| CN111294352B (zh) * | 2020-02-03 | 2022-06-14 | 国家工业信息安全发展研究中心 | 云端与边缘节点之间的数据安全认证方法 |
| CN111064757B (zh) * | 2020-03-18 | 2020-06-19 | 腾讯科技(深圳)有限公司 | 应用访问方法、装置、电子设备以及存储介质 |
| CN111064757A (zh) * | 2020-03-18 | 2020-04-24 | 腾讯科技(深圳)有限公司 | 应用访问方法、装置、电子设备以及存储介质 |
| CN111737679A (zh) * | 2020-06-29 | 2020-10-02 | 苏州浪潮智能科技有限公司 | 一种安全认证方法、装置及电子设备和存储介质 |
| CN111737679B (zh) * | 2020-06-29 | 2022-07-08 | 苏州浪潮智能科技有限公司 | 一种安全认证方法、装置及电子设备和存储介质 |
| US11604894B2 (en) | 2020-07-24 | 2023-03-14 | Alipay (Hangzhou) Information Technology Co., Ltd. | Data processing methods, apparatuses, devices, and media |
| US11354447B2 (en) | 2020-08-28 | 2022-06-07 | Alipay (Hangzhou) Information Technology Co., Ltd. | Data authorization information acquisition methods, apparatuses, and devices |
| US11652879B2 (en) | 2020-08-28 | 2023-05-16 | Alipay (Hangzhou) Information Technology Co., Ltd. | Matching methods, apparatuses, and devices based on trusted asset data |
| US11614929B2 (en) | 2020-08-28 | 2023-03-28 | Alipay (Hangzhou) Information Technology Co., Ltd. | Identity registration methods, apparatuses, and devices |
| US11362815B2 (en) | 2020-08-28 | 2022-06-14 | Alipay (Hangzhou) Information Technology Co., Ltd. | Trusted data transmission methods, apparatuses, and devices |
| US11354448B2 (en) | 2020-09-04 | 2022-06-07 | Alipay (Hangzhou) Information Technology Co., Ltd. | Demand trusted device-based data acquisition methods, apparatuses, and devices |
| US11341284B2 (en) | 2020-09-04 | 2022-05-24 | Alipay (Hangzhou) Information Technology Co., Ltd. | Trusted hardware-based data management methods, apparatuses, and devices |
| US11455417B2 (en) | 2020-09-04 | 2022-09-27 | Alipay (Hangzhou) Information Technology Co., Ltd. | Data processing methods, apparatuses, and devices |
| CN112114826A (zh) * | 2020-09-11 | 2020-12-22 | 上海庆科信息技术有限公司 | 一种烧录管理方法、装置、平台及存储介质 |
| EP3968191A1 (en) * | 2020-09-15 | 2022-03-16 | Alipay (Hangzhou) Information Technology Co., Ltd. | Trusted hardware-based identity management methods, apparatuses, and devices |
| US11386191B2 (en) | 2020-09-15 | 2022-07-12 | Alipay (Hangzhou) Information Technology Co., Ltd. | Trusted hardware-based identity management methods, apparatuses, and devices |
| US11726968B2 (en) | 2020-09-15 | 2023-08-15 | Alipay (Hangzhou) Information Technology Co., Ltd. | Methods, apparatuses, and devices for transferring data assets based on blockchain |
| US11494511B2 (en) | 2020-09-15 | 2022-11-08 | Alipay (Hangzhou) Information Technology Co., Ltd. | Data processing methods, apparatuses, and devices |
| CN111932426A (zh) * | 2020-09-15 | 2020-11-13 | 支付宝(杭州)信息技术有限公司 | 一种基于可信硬件的身份管理方法、装置及设备 |
| CN111932426B (zh) * | 2020-09-15 | 2021-01-26 | 支付宝(杭州)信息技术有限公司 | 一种基于可信硬件的身份管理方法、装置及设备 |
| CN114338055B (zh) * | 2020-09-25 | 2023-10-13 | 腾讯科技(深圳)有限公司 | 一种身份认证方法及装置 |
| CN114338055A (zh) * | 2020-09-25 | 2022-04-12 | 腾讯科技(深圳)有限公司 | 一种身份认证方法及装置 |
| CN112333253A (zh) * | 2020-10-27 | 2021-02-05 | 国网重庆市电力公司电力科学研究院 | 一种在智能物联网终端的电力物联网络安全监控系统 |
| WO2022116209A1 (zh) * | 2020-12-04 | 2022-06-09 | Oppo广东移动通信有限公司 | 物联网设备接入认证方法、装置、设备及存储介质 |
| CN112528257B (zh) * | 2020-12-04 | 2023-08-01 | 百度在线网络技术(北京)有限公司 | 安全调试方法、装置、电子设备及存储介质 |
| CN112528257A (zh) * | 2020-12-04 | 2021-03-19 | 百度在线网络技术(北京)有限公司 | 安全调试方法、装置、电子设备及存储介质 |
| CN112559993B (zh) * | 2020-12-24 | 2024-02-02 | RealMe重庆移动通信有限公司 | 身份认证方法、装置、系统及电子设备 |
| CN112559993A (zh) * | 2020-12-24 | 2021-03-26 | RealMe重庆移动通信有限公司 | 身份认证方法、装置、系统及电子设备 |
| CN112769783B (zh) * | 2020-12-29 | 2023-04-25 | 西安万像电子科技有限公司 | 数据传输方法及云服务器、接收端和发送端 |
| CN112769783A (zh) * | 2020-12-29 | 2021-05-07 | 西安万像电子科技有限公司 | 数据传输方法及云服务器、接收端和发送端 |
| CN112887409A (zh) * | 2021-01-27 | 2021-06-01 | 珠海格力电器股份有限公司 | 一种数据处理系统、方法、装置、设备和存储介质 |
| CN112788061B (zh) * | 2021-01-29 | 2023-09-01 | 百度在线网络技术(北京)有限公司 | 认证方法、装置、设备、存储介质及程序产品 |
| CN112788061A (zh) * | 2021-01-29 | 2021-05-11 | 百度在线网络技术(北京)有限公司 | 认证方法、装置、设备、存储介质及程序产品 |
| CN113285807A (zh) * | 2021-05-14 | 2021-08-20 | 广东美房智高机器人有限公司 | 一种智能设备入网鉴权的方法和系统 |
| CN113779516A (zh) * | 2021-06-29 | 2021-12-10 | 青岛海尔科技有限公司 | 一种设备控制方法、装置、存储介质及电子装置 |
| CN113779516B (zh) * | 2021-06-29 | 2023-08-18 | 青岛海尔科技有限公司 | 一种设备控制方法、装置、存储介质及电子装置 |
| CN113595992A (zh) * | 2021-07-07 | 2021-11-02 | 青岛海尔科技有限公司 | 安全绑定方法及系统、存储介质、电子装置 |
| GB2623466A (en) * | 2021-07-29 | 2024-04-17 | Shenzhen Tcl New Tech Co Ltd | Device network distribution method, apparatus, storage medium, and electronic device |
| CN113596030A (zh) * | 2021-07-29 | 2021-11-02 | 深圳Tcl新技术有限公司 | 设备配网方法、装置、存储介质及电子设备 |
| CN113596030B (zh) * | 2021-07-29 | 2023-10-17 | 深圳Tcl新技术有限公司 | 设备配网方法、装置、存储介质及电子设备 |
| WO2023005434A1 (zh) * | 2021-07-29 | 2023-02-02 | 深圳Tcl新技术有限公司 | 设备配网方法、装置、存储介质及电子设备 |
| CN113805896A (zh) * | 2021-09-14 | 2021-12-17 | 上汽通用五菱汽车股份有限公司 | 远程部署的方法、系统、设备和可读存储介质 |
| CN113805896B (zh) * | 2021-09-14 | 2024-03-15 | 上汽通用五菱汽车股份有限公司 | 远程部署的方法、系统、设备和可读存储介质 |
| CN114866251A (zh) * | 2022-04-25 | 2022-08-05 | 中国银联股份有限公司 | 一种设备互联安全认证系统、方法、装置、服务器及介质 |
| CN114866251B (zh) * | 2022-04-25 | 2023-07-07 | 中国银联股份有限公司 | 一种设备互联安全认证系统、方法、装置、服务器及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110636062B (zh) | 2022-02-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110636062B (zh) | 设备的安全交互控制方法、装置、电子设备及存储介质 | |
| WO2019120091A1 (zh) | 身份认证方法、系统及计算设备 | |
| WO2022206349A1 (zh) | 一种信息验证的方法、相关装置、设备以及存储介质 | |
| CN107659406B (zh) | 一种资源操作方法及装置 | |
| JP6687641B2 (ja) | サーバまたは他の装置からのエントロピーに基づくクライアント装置の認証 | |
| WO2018214777A1 (zh) | 一种数据通信方法、装置、设备和存储介质 | |
| CN111193695B (zh) | 一种第三方账号登录的加密方法、装置及存储介质 | |
| CN111737366B (zh) | 区块链的隐私数据处理方法、装置、设备以及存储介质 | |
| US9912644B2 (en) | System and method to communicate sensitive information via one or more untrusted intermediate nodes with resilience to disconnected network topology | |
| US20180330368A1 (en) | Secure authenticated passwordless communications between networked devices | |
| US20150319151A1 (en) | Apparatus and method for secure delivery of data utilizing encryption key management | |
| US11736304B2 (en) | Secure authentication of remote equipment | |
| US11159329B2 (en) | Collaborative operating system | |
| CN113454626B (zh) | 内容的安全离线流式传输 | |
| US9672367B2 (en) | Method and apparatus for inputting data | |
| CN113411187B (zh) | 身份认证方法和系统、存储介质及处理器 | |
| CN112564887A (zh) | 密钥保护处理方法、装置、设备和存储介质 | |
| CN110581829A (zh) | 通信方法及装置 | |
| CN111654503A (zh) | 一种远程管控方法、装置、设备及存储介质 | |
| NL2014743B1 (en) | A first entity, a second entity, an intermediate node, methods for setting up a secure session between a first and second entity, and computer program products. | |
| CN116232683A (zh) | 一种工业微服务系统的认证方法、装置和计算机介质 | |
| CN113660285A (zh) | 多媒体会议在网终端管控方法、装置、设备及存储介质 | |
| CN115883104A (zh) | 终端设备的安全登录方法及装置、非易失性存储介质 | |
| JP2015133016A (ja) | 通信制御サーバ、通信制御方法、及びプログラム | |
| CN107911223A (zh) | 一种交叉签名的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |