CN111131316B - 用于通信的方法、装置、家电设备及服务器 - Google Patents
用于通信的方法、装置、家电设备及服务器 Download PDFInfo
- Publication number
- CN111131316B CN111131316B CN201911420287.2A CN201911420287A CN111131316B CN 111131316 B CN111131316 B CN 111131316B CN 201911420287 A CN201911420287 A CN 201911420287A CN 111131316 B CN111131316 B CN 111131316B
- Authority
- CN
- China
- Prior art keywords
- configuration information
- tested
- security configuration
- server
- legal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2803—Home automation networks
- H04L12/2807—Exchanging configuration information on appliance services in a home automation network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/80—Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Automation & Control Theory (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请涉及家电设备通信技术领域,公开了一种用于通信的方法,该方法包括:接收用户终端发送的初始安全配置信息;发送连接请求给服务器,连接请求包含第一待测安全配置信息,以触发服务器在第一待测安全配置信息合法的情况下发送第一响应信息;接收第一响应信息,提取第一响应信息中的第二待测安全配置信息;当第二待测安全配置信息合法时,建立与服务器的通信。该方法能够根据初始安全配置信息,分别对包含有待测安全配置信息的连接请求和响应信息进行检测,实现了家电设备与服务器之间的安全通信,降低了业务程序被攻击的可能性,从而加强了家电设备与服务器之间的通信安全性能。本申请还公开一种用于通信的装置、家电设备和服务器。
Description
技术领域
本申请涉及家电设备通信技术领域,例如涉及一种用于通信的方法、装置、家电设备及服务器。
背景技术
目前,随着智能家电的普及,物联网家电已成为家电发展的一个趋势,越来越多的智能家电支持联网远程操控,现阶段展现出家电物联化、智能化的主要方式就是能通过用户终端App等控制端进行控制和交互,为人类的生活提供了方便,但方便的同时安全问题也日益凸显,一旦家电控制通信被劫持,将导致严重的后果,因此,设备安全作为物联网家电的一项重要基础,显得尤为重要。物联网设备和厂家服务器通信时,往往采用各类加密通信技术来解决安全通讯的问题,但由于程序缺陷等原因,依然存在服务程序被攻击的可能性。
在实现本公开实施例的过程中,发现相关技术中至少存在如下问题:现有设备通信加密方式更多的是基于通信两端程序的加解密判断来决定是否建立连接,容易增加业务程序的复杂度,给业务程序带来流量压力,并且也容易导致业务程序被攻击。
发明内容
为了对披露的实施例的一些方面有基本的理解,下面给出了简单的概括。所述概括不是泛泛评述,也不是要确定关键/重要组成元素或描绘这些实施例的保护范围,而是作为后面的详细说明的序言。
本公开实施例提供了一种用于通信的方法、装置、家电设备及服务器,以解决现有技术中家电设备与服务器之间的通信安全性能低,业务程序易被攻击的技术问题。
在一些实施例中,所述用于通信的方法,用于家电设备,包括:
接收用户终端发送的初始安全配置信息;
发送连接请求给服务器,所述连接请求包含第一待测安全配置信息,以触发所述服务器在第一待测安全配置信息合法的情况下发送第一响应信息;
接收所述第一响应信息,提取所述第一响应信息中的第二待测安全配置信息;
当所述第二待测安全配置信息合法时,建立与所述服务器的通信。
在一些实施例中,所述用于通信的方法,用于服务器,包括:
接收家电设备发送的连接请求,提取所述连接请求中的第一待测安全配置信息;
在所述第一待测安全配置信息合法的情况下,发送第一响应信息到所述家电设备,所述第一响应信息包括第二待测安全配置信息,以触发所述家电设备在所述第二待测安全配置信息合法的情况下建立通信。
在一些实施例中,所述用于通信的装置包括:第一处理器和存储有程序指令的第一存储器,所述第一处理器被配置为在执行所述程序指令时,执行如上述的用于通信的方法。
在一些实施例中,所述用于通信的装置包括:第二处理器和存储有程序指令的第二存储器,所述第二处理器被配置为在执行所述程序指令时,执行如上述的用于通信的方法。
在一些实施例中,所述家电设备包括,上述用于通信的装置。
在一些实施例中,所述服务器包括,上述用于通信的装置。
本公开实施例提供的用于通信的方法、装置、家电设备及服务器,可以实现以下技术效果:能够基于标识信息获得初始安全配置信息,并根据初始安全配置信息,分别对包含有待测安全配置信息的连接请求和响应信息进行检测,即对操作系统的内核层面进行检测,实现了家电设备与服务器之间的安全通信,同时,将不符合条件的通信请求在操作系统内核层面即被丢弃,不会达到通信末端的实际业务程序,因而大大降低了业务程序被攻击的可能性,从而加强了家电设备与服务器之间的通信安全性能。
以上的总体描述和下文中的描述仅是示例性和解释性的,不用于限制本申请。
附图说明
一个或多个实施例通过与之对应的附图进行示例性说明,这些示例性说明和附图并不构成对实施例的限定,附图中具有相同参考数字标号的元件示为类似的元件,附图不构成比例限制,并且其中:
图1是本公开实施例提供的一个用于通信的方法的示意图;
图2是本公开实施例提供的另一个用于通信的方法的示意图;
图3是本公开实施例提供的一个用于通信的方法时序图;
图4是本公开实施例提供的另一个用于通信的方法时序图;
图5是本公开实施例提供的一个用于通信的装置示意图;
图6是本公开实施例提供的另一个用于通信的装置示意图。
具体实施方式
为了能够更加详尽地了解本公开实施例的特点与技术内容,下面结合附图对本公开实施例的实现进行详细阐述,所附附图仅供参考说明之用,并非用来限定本公开实施例。在以下的技术描述中,为方便解释起见,通过多个细节以提供对所披露实施例的充分理解。然而,在没有这些细节的情况下,一个或多个实施例仍然可以实施。在其它情况下,为简化附图,熟知的结构和装置可以简化展示。
本公开实施例的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本公开实施例的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含。
除非另有说明,术语“多个”表示两个或两个以上。
本公开实施例中,字符“/”表示前后对象是一种“或”的关系。例如,A/B表示:A或B。
术语“和/或”是一种描述对象的关联关系,表示可以存在三种关系。例如,A和/或B,表示:A或B,或,A和B这三种关系。
结合图1所示,本公开实施例提供一种用于通信的方法,用于家电设备,包括:
S101,接收用户终端发送的初始安全配置信息;
S102,发送连接请求给服务器,连接请求包含第一待测安全配置信息,以触发服务器在第一待测安全配置信息合法的情况下发送第一响应信息;
S103,接收第一响应信息,提取第一响应信息中的第二待测安全配置信息;
S104,当第二待测安全配置信息合法时,建立与服务器的通信。
采用本公开实施例提供的用于通信的方法,能够根据初始安全配置信息,检测家电设备与服务建立连接时连接请求和响应信息是否合法,将不符合条件即不合法的通信请求进行丢弃,使家电设备与服务器之间建立安全通信,提高了家电设备的通信安全性能。
可选地,接收用户终端发送的初始安全配置信息,包括:通过近场通信NFC(NearField Communication)方式接收用户终端发送的初始安全配置信息。这样,能够降低家电设备的能耗。
可选地,接收用户终端发送的初始安全配置信息之前还包括与用户终端进行绑定。用户终端发送绑定操作指令到家电设备,家电设备执行绑定操作指令,与用户终端完成绑定操作,用户终端开启服务器与家电设备之间的安全通信功能。
可选地,家电设备对用户终端发送的初始安全配置信息实时加载更新到内存,以便用于检测待测安全配置信息是否合法。
可选地,家电设备发送的连接请求包含第一待测安全配置信息,具体的,家电设备将第一待测安全配置信息填充到连接请求TCP/IP协议栈数据包中IP协议的CIPSO部分之后再将该连接请求数据包发送到服务器。
可选地,第一待测安全配置信息与初始安全配置信息相同时,第一待测安全配置信息合法;第二待测安全配置信息与初始安全配置信息相同时,第二待测安全配置信息合法。
可选地,家电设备对第一响应信息进行检测,即判断第一响应信息中的第二待测安全配置信息是否合法,包括:先解密第一响应信息IP协议的CIPSO中的第二待测安全配置信息,得到解密后的固定字段和计算因子,先通过解密后的计算因子校验IP数据段内容的完整性以确保内容未被篡改,然后检验解密后的固定字段是否与初始配置信息中的固定字段相同。可选地,如果待测安全配置信息中没有计算因子,则直接检验解密后的固定字段是否与初始配置信息中的固定字段相同。
当第一响应信息IP数据段内容完整且固定字段与初始配置信息中的固定字段相同,则该第二待测安全配置信息合法,即连接请求响应信息TCP/IP协议栈数据包合法,该合法的连接请求响应信息TCP/IP协议栈数据包才能通过服务器操作系统内核TCP(Transmission Control Protocol)/UDP(User Datagram Protocol)协议栈,并在该操作系统内核协议栈中移除填充在第一响应信息IP协议的CIPSO中的第二待测安全配置信息,然后将该第一响应信息TCP/IP协议栈数据包送达到家电设备末端的业务程序,完成与服务器的通信建立。
当第一响应信息IP数据段内容不完整,和/或,第二待测安全配置信息解密后固定字段与初始配置信息中的固定字段不相同,则该第二待测安全配置信息不合法,即第一响应信息TCP/IP协议栈数据包不合法,则直接在将该第一响应信息在操作系统内核协议栈中丢弃不作处理。这样,能够使不符合条件的通信请求不会达到通信末端的实际业务程序,因而大大降低了业务程序被攻击的可能性,并且降低了末端业务程序的流量压力。
可选地,用于通信的方法,还包括:
接收服务器发送的控制指令,提取控制指令中的第三待测安全配置信息;
当第三待测安全配置信息合法时,执行控制指令并发送第二响应信息到服务器,第二响应信息包含第四待测安全配置信息,以触发服务器验证第四待测安全配置信息。第四待测安全配置信息与初始安全配置信息相同时,第四待测安全配置信息合法,即说明该发送响应信息的家电设备为执行控制指令的家电设备。通过第二响应信息触发服务器验证第四待测安全配置信息,以便服务器验证对应家电设备的执行情况。可选地,将第四待测安全配置信息填充到第二响应信息TCP/IP协议栈数据包中IP协议的CIPSO部分之后再将该第二响应信息数据包发送到服务器。
第三待测安全配置信息与初始安全配置信息相同时,第三待测安全配置信息合法;第四待测安全配置信息与初始安全配置信息相同时,第四待测安全配置信息合法
可选地,家电设备对控制指令进行检测,即判断控制指令中的第三待测安全配置信息是否合法,包括:先解密控制指令IP协议的CIPSO中的第三待测安全配置信息,得到解密后的固定字段和计算因子,先通过解密后的计算因子校验IP数据段内容的完整性以确保内容未被篡改,然后检验解密后的固定字段是否与初始配置信息中的固定字段相同。可选地,如果待测安全配置信息中没有计算因子,则直接检验解密后的固定字段是否与初始配置信息中的固定字段相同。
当控制指令IP数据段内容完整且固定字段与初始配置信息中的固定字段相同,则该第三待测安全配置信息合法,即控制指令TCP/IP协议栈数据包合法,该合法的控制指令TCP/IP协议栈数据包才能通过服务器操作系统内核TCP/UDP协议栈,并在该操作系统内核协议栈中移除填充在控制指令IP协议的CIPSO中的第三待测安全配置信息,然后将该控制指令TCP/IP协议栈数据包送达到家电设备末端的业务程序执行该控制指令,最后家电设备的业务程序将返回第二响应信息TCP/IP协议栈数据包到服务器,但返回该数据包前,会将第四待测安全配置信息填充到第二响应信息TCP/IP协议栈数据包中IP协议的CIPSO部分。
当控制指令IP数据段内容不完整,和/或,第三待测安全配置信息解密后固定字段与初始配置信息中的固定字段不相同,则该第三待测安全配置信息不合法,即控制指令TCP/IP协议栈数据包不合法,则直接在将该控制指令在操作系统内核协议栈中丢弃不作处理。这样,能够使不符合条件的通信请求不会达到通信末端的实际业务程序,因而大大降低了业务程序被攻击的可能性,并且降低了末端业务程序的流量压力。
结合图2所示,本公开实施例提供一种用于通信的方法,用于服务器,包括:
S201,接收家电设备发送的连接请求,提取连接请求中的第一待测安全配置信息;
S202,在第一待测安全配置信息合法的情况下,发送第一响应信息到家电设备,第一响应信息包括第二待测安全配置信息,以触发家电设备在第二待测安全配置信息合法的情况下建立通信。
采用本公开实施例提供的用于通信的方法,能够通过检测家电设备发送的连接请求中的第一待测安全配置信息是否合法,合法的情况下,发送第一响应信息给服务器,以触发家电设备与服务器建立通信,将不符合法的连接请求进行丢弃,使家电设备与服务器之间建立安全通信,提高了家电设备的通信安全性能。
可选地,第一响应信息包括第二待测安全配置信息,具体的,将第二待测安全配置信息填充到第一响应信息TCP/IP协议栈数据包中IP协议的CIPSO部分之后,再将该第一响应信息数据包发送到家电设备。
可选地,接收连接请求前,还包括:接收用户终端发送的标识信息;根据标识信息获得初始安全配置信息;发送初始安全配置信息到用户终端,并触发用户终端发送初始安全配置信息给家电设备。
可选地,标识信息包括:用户终端的标识号ID(Identity Document)和家电设备的标识号ID。
可选地,根据标识信息获得初始安全配置信息包括:对固定字段进行加密,和/或,对计算因子进行加密。其中,固定字段通过用户终端已添加的家电设备的唯一标识号ID和用户终端的唯一标识号ID随机生成。计算因子为IP(Internet Protocol,网际协议)协议数据段内容的完整性散列值。
可选地,第一待测安全配置信息与初始安全配置信息相同时,第一待测安全配置信息合法;第二待测安全配置信息与初始安全配置信息相同时,第二待测安全配置信息合法。
可选地,服务器对连接请求进行检测,即判断连接请求中的第一待测安全配置信息是否合法,包括:先解密连接请求IP协议的CIPSO中的第一待测安全配置信息,得到解密后的固定字段和计算因子,先通过解密后的计算因子校验IP数据段内容的完整性以确保内容未被篡改,然后检验解密后的固定字段是否与初始配置信息中的固定字段相同。可选地,如果待测安全配置信息中没有计算因子,则直接检验解密后的固定字段是否与初始配置信息中的固定字段相同。
当连接请求IP数据段内容完整且固定字段与初始配置信息中的固定字段相同,则该第一待测安全配置信息合法,即连接请求TCP/IP协议栈数据包合法,该合法的连接请求TCP/IP协议栈数据包才能通过服务器操作系统内核TCP/UDP协议栈,并在该操作系统内核协议栈中移除填充在连接请求IP协议的CIPSO中的第一待测安全配置信息,然后将该连接请求TCP/IP协议栈数据包送达到服务器末端的业务程序进程,最后服务器的业务程序将返回第一响应信息TCP/IP协议栈数据包到家电设备,但返回第一响应信息数据包前,会将第二待测安全配置信息填充到第一响应信息TCP/IP协议栈数据包中IP协议的CIPSO部分。
当连接请求IP数据段内容不完整,和/或,第一待测安全配置信息解密后固定字段与初始配置信息中的固定字段不相同,则该第一待测安全配置信息不合法,即连接请求TCP/IP协议栈数据包不合法,则直接在将该连接请求在操作系统内核协议栈中丢弃不作处理。这样,能够使不符合条件的通信请求不会达到通信末端的实际业务程序,因而大大降低了业务程序被攻击的可能性,并且降低了末端业务程序的流量压力。
可选地,用于通信的方法,还包括:
接收用户终端发送的第一控制指令;
在第一控制指令添加第三待测安全配置信息,得到第二控制指令;
发送第二控制指令到家电设备,触发家电设备在第三待测安全信息合法的情况下执行第二控制指令。
可选地,将第三待测安全配置信息填充到第一控制指令TCP/IP协议栈数据包中IP协议的CIPSO部分之后得到第二控制指令,再将该第二控制指令数据包发送到家电设备。
可选地,用于通信的方法,还包括:接收家电设备发送的第二响应信息,提取第二响应信息中的第四待测安全配置信息;在第四待测安全配置信息合法的情况下,发送指令执行成功消息到用户终端。
可选地,第三待测安全配置信息与初始安全配置信息相同时,第三待测安全配置信息合法;第四待测安全配置信息与初始安全配置信息相同时,第四待测安全配置信息合法。
可选地,服务器对第二响应信息进行检测,即判断第二响应信息的第四待测安全配置信息是否合法,包括:先解密第二响应信息IP协议的CIPSO中的第四待测安全配置信息,得到解密后的固定字段和计算因子,先通过解密后的计算因子校验IP数据段内容的完整性以确保内容未被篡改,然后检验解密后的固定字段是否与初始配置信息中的固定字段相同。可选地,如果待测安全配置信息中没有计算因子,则直接检验解密后的固定字段是否与初始配置信息中的固定字段相同。
当第二响应信息IP数据段内容完整且固定字段与初始配置信息中的固定字段相同,则该第四待测安全配置信息合法,即第二响应信息TCP/IP协议栈数据包合法,该合法的第二响应信息TCP/IP协议栈数据包才能通过服务器操作系统内核TCP/UDP协议栈,并在该操作系统内核协议栈中移除填充在第二响应信息IP协议的CIPSO中的第四待测安全配置信息,然后将该第二响应信息TCP/IP协议栈数据包送达到服务器末端的业务程序进程,最后服务器的业务程序将返回指令执行成功消息到用户终端。
当第二响应信息IP数据段内容不完整,和/或,第四待测安全配置信息解密后固定字段与初始配置信息中的固定字段不相同,则该第四待测安全配置信息不合法,即第二响应信息TCP/IP协议栈数据包不合法,则直接将第二响应信息在操作系统内核协议栈中丢弃不作处理。这样,能够使不符合条件的通信请求不会达到通信末端的实际业务程序,因而大大降低了业务程序被攻击的可能性,并且降低了末端业务程序的流量压力。
结合图3所示,在实际应用中,家电设备与服务器通过用户终端建立安全通信方法,步骤S301.用户终端向家电设备发起绑定操作;
步骤S302.家电设备配合绑定操作,并与用户终端进行绑定;
步骤S303.用户终端完成与家电设备绑定操作;
步骤S304.用户终端打开安全通信开关并激活安全配置管理模块;
步骤S305.用户终端向服务器发送用户终端标识号ID和家电设备标识号ID;
步骤S306.服务器内核TCP/IP协议栈配置模块生成初始安全配置信息;
步骤S307.服务器内核协议栈配置加载模块更新初始安全配置信息到内存;
步骤S308.服务器内核TCP/IP协议栈配置模块发送初始安全配置信息到用户终端;
步骤S309.激活用户终端NFC模块;
步骤S310.打开家电设备安全通信配置物理开关并激活家电设备NFC模块;
步骤S311.用户终端通过NFC方式发送初始安全配置信息到家电设备;
步骤S312.家电设备内核TCP/IP协议栈配置模块触发家电设备内核协议栈配置加载模块实时加载更新初始安全配置信息到内存;
步骤S313.家电设备内核中的出协议栈处理模块将第一待测安全配置信息填充连接请求IP协议CIPSO部分;
步骤S314.家电设备的业务程序将发送该连接请求发送到服务器;
步骤S315.服务器入协议栈处理模块检测连接请求中的第一待测安全配置信息是否合法;当第一待测安全配置信息合法,则将连接请求TCP/IP协议栈数据包送达到服务器业务程序;
步骤S316.服务器出协议栈处理模块将第二待测安全配置信息填充到第一响应信息IP协议CIPSO部分;
步骤S317.服务器的业务程序将第一响应信息返回到家电设备;
步骤S318.家电设备入协议栈处理模块检测第一响应信息中的第二待测安全配置信息是否合法;当第二待测安全配置信息合法,则将第二响应信息TCP/IP协议栈数据包送达到家电设备业务程序;
步骤S319.安全通信通道建立;
步骤S320.家电设备向用户终端反馈安全通信建立成功信息。
采用上述实施例提供的家电设备与服务器安全通信的方法,能够通过在通信数据包中借助CIPSO协议、用户终端唯一ID、家电设备唯一ID等要素构造IP协议包和CIPSO协议内容,在服务器端、家电设备端的操作系统内核TCP/UDP协议栈中新增判断,不符合要求的通信协议包无法通过对应的内核协议栈即被丢弃,不会到达末端业务程序,大大增加了业务程序流量的可控性,降低了被攻击的可能性。
结合图4所示,在实际应用中,用户终端对家电设备进行控制,建立安全通信的方法,可选地,用户终端通过终端上的APP进行控制,具体步骤如下:
步骤S401.用户终端发送控制指令到服务器;
步骤S402.服务器出协议栈处理模块将第三待测安全配置信息填充到控制指令IP协议CIPSO部分;
步骤S403.服务器业务程序将该控制指令发送到家电设备;
步骤S404.家电设备入协议栈处理模块检测控制指令中的第三待测安全配置信息是否合法;当第三待测安全配置信息合法,则将控制指令TCP/IP协议栈数据包送达到家电设备业务程序;
步骤S405.家电设备业务程序执行该控制指令;
步骤S406.家电设备出协议栈处理模块将第四待测安全配置信息填充到第二响应信息IP协议CIPSO部分;
步骤S407.业务程序将该第二响应信息返回到服务器;
步骤S408.服务器入协议栈处理模块检测第二响应信息中的第四待测安全配置信息是否合法;当第四待测安全配置信息合法,则将第二响应信息TCP/IP协议栈数据包送达到服务器业务程序;
步骤S409.服务器业务程序接收第二响应信息并发送指令执行成功消息到用户终端;
步骤S410.控制指令执行成功。
采用上述实施例提供的用户终端对家电设备进行控制的安全通信方法,能够基于在通信数据包中IP的CIPSO协议中填充安全配置信息,通过在服务器端、家电设备端的操作系统内核TCP/UDP协议栈中新增判断,将不符合要求的通信协议包无法通过对应的内核协议栈即被丢弃,不会到达末端业务程序,大大增加了业务程序流量的可控性,降低了被攻击的可能性。
结合图5所示,本公开实施例提供一种用于通信的装置,包括第一处理器(processor)100和存储有程序指令的第一存储器(memory)101,还可以包括第一通信接口(Communication Interface)102和第一总线103。其中,第一处理器100、第一通信接口102、第一存储器101可以通过第一总线103完成相互间的通信。第一通信接口102可以用于信息传输。第一处理器100可以调用第一存储器101中的程序指令,以执行上述实施例的用于通信的方法。
此外,上述的第一存储器101中的程序指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。
第一存储器101作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序,如本公开实施例中的方法对应的程序指令/模块。第一处理器100通过运行存储在第一存储器101中的程序指令/模块,从而执行功能应用以及数据处理,即实现上述实施例中用于通信的方法。
第一存储器101可包括第一存储程序区和第一存储数据区,其中,第一存储程序区可存储操作系统、至少一个功能所需的应用程序;第一存储数据区可存储根据终端设备的使用所创建的数据等。此外,第一存储器101可以包括高速随机存取存储器,还可以包括非易失性存储器。
结合图6所示,本公开实施例提供一种用于通信的装置,包括第二处理器(processor)200和存储有程序指令的第二存储器(memory)201,还可以包括第二通信接口(Communication Interface)202和第二总线203。其中,第二处理器200、第二通信接口202、第二存储器201可以通过第二总线203完成相互间的通信。第二通信接口202可以用于信息传输。第二处理器200可以调用第二存储器201中的程序指令,以执行上述实施例的用于通信的方法
此外,上述的第二存储器201中的程序指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。
第二存储器201作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序,如本公开实施例中的方法对应的程序指令/模块。第二处理器200通过运行存储在第二存储器201中的程序指令/模块,从而执行功能应用以及数据处理,即实现上述实施例中用于通信的方法。
第二存储器201可包括第二存储程序区和第二存储数据区,其中,第二存储程序区可存储操作系统、至少一个功能所需的应用程序;第二存储数据区可存储根据终端设备的使用所创建的数据等。此外,第二存储器201可以包括高速随机存取存储器,还可以包括非易失性存储器。
实际应用中,本公开实施例提供的用于通信的装置,用户终端通过服务器控制家电设备安全通信的系统,包括:带WIFI物联模块的物联网家电设备,物联网智能用户终端,物联网云端服务器,家庭无线路由器;可选地,用户终端可以为智能手机等,服务器为家电设备生产厂家服务器。
可选地,用户终端包括:设备绑定模块,被配置为绑定家电设备到该用户终端下;
安全通信开关,被配置为开启服务器和家电设备之间的安全通信功能;
安全配置管理模块,被配置为上传用户终端的唯一标识号ID和与用户终端绑定的家电设备的唯一标识号ID到服务器,还被配置为获取服务器返回的初始安全配置信息,并下发初始安全配置信息到家电设备;
用户终端NFC模块,被配置为用户终端与家电设备之间初始安全配置信息的传输。
服务器包括:服务器内核TCP/IP协议栈配置模块,被配置为根据用户终端的安全配置管理模块上传的信息,生成初始安全配置信息,还被配置为下发初始安全配置信息到用户终端,还被配置为触发内核协议栈配置加载模块;
服务器内核协议栈配置加载模块,被配置为实时加载更新安全配置信息到内存,以便协议栈使用;
服务器入协议栈处理模块,被配置为处理家电设备发送到服务器的TCP/IP协议栈数据包,根据对应家电设备的初始安全配置信息,判定数据包是否合法有效,如合法有效则送达数据包到服务器业务程序进程,如果非法则直接在内核协议栈中丢弃不作处理;
服务器出协议栈处理模块,被配置为处理服务器发往家电设备的TCP/IP协议栈数据包,根据对应家电设备的安全配置信息,填充IP协议CIPSO部分内容,之后将数据包发出;
服务器能够远程控制家电设备,接收家电设备经过内核处理后合法到达的数据包,并发送原始TCP/IP协议数据包到家电设备。
家电设备包括:家电设备NFC模块,被配置为从用户终端接收初始安全配置信息到家电设备;
家电设备内核TCP/IP协议栈配置模块,被配置为触发内核中协议栈配置加载模块;
家电设备内核协议栈配置加载程序,被配置为实时加载更新安全配置信息到内存,以便协议栈使用;
家电设备入协议栈处理模块,被配置为处理服务器发送到家电设备的TCP/IP协议栈数据包,根据对应安全配置信息,判定数据包是否合法有效,如合法有效则送达数据包到家电设备业务程序进程,如果非法则直接在内核协议栈中丢弃不作处理;
家电设备出协议栈处理模块,被配置为处理家电设备业务程序发往服务器的TCP/IP协议栈数据包,根据对应家电设备的安全配置信息,填充IP协议CIPSO部分内容,之后将数据包发出;
家电设备能够响应服务器的控制指令,执行控制指令。
采用本公开实施例提供的用于通信的装置,能够根据家电设备、用户终端和服务器之间的关系,通过构造的带CIPSO的IP协议包,来实现在流量进入操作系统内核阶段即可被识别合法性,并丢弃掉非法的数据包,大大降低了末端业务程序的流量压力、安全通信复杂度以及被攻击的可能性,提高了物联网家电设备的安全性。
本公开实施例提供了一种家电设备,包括上述的用于通信的装置,该家电设备能够根据初始安全配置信息,分别对包含有待测安全配置信息的连接请求和响应信息进行检测,即对操作系统的内核层面进行检测,实现了家电设备与服务器之间的安全通信,同时,将不符合条件的通信请求在操作系统内核层面即被丢弃,不会达到通信末端的实际业务程序,因而大大降低了业务程序被攻击的可能性,从而加强了家电设备与服务器之间的通信安全性能。
本公开实施例提供了一种服务器,包括上述的用于通信的装置,该服务器能够基于标识信息生成初始安全配置信息,并根据初始安全配置信息,分别对包含有待测安全配置信息的连接请求和响应信息进行检测,即对操作系统的内核层面进行检测,实现了家电设备与服务器之间的安全通信,同时,将不符合条件的通信请求在操作系统内核层面即被丢弃,不会达到通信末端的实际业务程序,因而大大降低了业务程序被攻击的可能性,从而加强了家电设备与服务器之间的通信安全性能。
本公开实施例提供了一种计算机可读存储介质,存储有计算机可执行指令,计算机可执行指令设置为执行上述用于通信的方法。
本公开实施例提供了一种计算机程序产品,计算机程序产品包括存储在计算机可读存储介质上的计算机程序,计算机程序包括程序指令,当程序指令被计算机执行时,使计算机执行上述用于通信的方法。
上述的计算机可读存储介质可以是暂态计算机可读存储介质,也可以是非暂态计算机可读存储介质。
本公开实施例的技术方案可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括一个或多个指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本公开实施例方法的全部或部分步骤。而前述的存储介质可以是非暂态存储介质,包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等多种可以存储程序代码的介质,也可以是暂态存储介质。
以上描述和附图充分地示出了本公开的实施例,以使本领域的技术人员能够实践它们。其他实施例可以包括结构的、逻辑的、电气的、过程的以及其他的改变。实施例仅代表可能的变化。除非明确要求,否则单独的部件和功能是可选的,并且操作的顺序可以变化。一些实施例的部分和特征可以被包括在或替换其他实施例的部分和特征。而且,本申请中使用的用词仅用于描述实施例并且不用于限制权利要求。如在实施例以及权利要求的描述中使用的,除非上下文清楚地表明,否则单数形式的“一个”(a)、“一个”(an)和“所述”(the)旨在同样包括复数形式。类似地,如在本申请中所使用的术语“和/或”是指包含一个或一个以上相关联的列出的任何以及所有可能的组合。另外,当用于本申请中时,术语“包括”(comprise)及其变型“包括”(comprises)和/或包括(comprising)等指陈述的特征、整体、步骤、操作、元素,和/或组件的存在,但不排除一个或一个以上其它特征、整体、步骤、操作、元素、组件和/或这些的分组的存在或添加。在没有更多限制的情况下,由语句“包括一个…”限定的要素,并不排除在包括所述要素的过程、方法或者设备中还存在另外的相同要素。本文中,每个实施例重点说明的可以是与其他实施例的不同之处,各个实施例之间相同相似部分可以互相参见。对于实施例公开的方法、产品等而言,如果其与实施例公开的方法部分相对应,那么相关之处可以参见方法部分的描述。
本领域技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,可以取决于技术方案的特定应用和设计约束条件。所述技术人员可以对每个特定的应用来使用不同方法以实现所描述的功能,但是这种实现不应认为超出本公开实施例的范围。所述技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本文所披露的实施例中,所揭露的方法、产品(包括但不限于装置、设备等),可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,可以仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例。另外,在本公开实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
附图中的流程图和框图显示了根据本公开实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这可以依所涉及的功能而定。在附图中的流程图和框图所对应的描述中,不同的方框所对应的操作或步骤也可以以不同于描述中所披露的顺序发生,有时不同的操作或步骤之间不存在特定的顺序。例如,两个连续的操作或步骤实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这可以依所涉及的功能而定。框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
Claims (14)
1.一种用于通信的方法,用于家电设备,其特征在于,包括:
接收用户终端发送的初始安全配置信息;
发送连接请求给服务器,所述连接请求包含第一待测安全配置信息,以触发所述服务器在第一待测安全配置信息合法的情况下发送第一响应信息;所述连接请求的TCP/IP协议栈数据包中填充有第一待测安全配置信息;
接收所述第一响应信息,提取所述第一响应信息中的第二待测安全配置信息;所述第一响应信息的TCP/IP协议栈数据包中填充有第二待测安全配置信息;
当所述第二待测安全配置信息合法时,建立与所述服务器的通信;
接收所述用户终端发送的初始安全配置信息之前还包括与用户终端进行绑定。
2.根据权利要求1所述的方法,其特征在于,接收用户终端发送的初始安全配置信息,包括:
通过近场通信NFC方式接收所述用户终端发送的所述初始安全配置信息。
3.根据权利要求1至2任一项所述的方法,其特征在于,还包括:
接收所述服务器发送的控制指令,提取所述控制指令中的第三待测安全配置信息;
当所述第三待测安全配置信息合法时,执行所述控制指令并发送第二响应信息到所述服务器,所述第二响应信息包含第四待测安全配置信息,以触发所述服务器验证所述第四待测安全配置信息。
4.根据权利要求3所述的方法,其特征在于,所述第一待测安全配置信息与所述初始安全配置信息相同时,所述第一待测安全配置信息合法;
所述第二待测安全配置信息与所述初始安全配置信息相同时,所述第二待测安全配置信息合法;
所述第三待测安全配置信息与所述初始安全配置信息相同时,所述第三待测安全配置信息合法;
所述第四待测安全配置信息与所述初始安全配置信息相同时,所述第四待测安全配置信息合法。
5.一种用于通信的方法,用于服务器,其特征在于,包括:
接收家电设备发送的连接请求,提取所述连接请求中的第一待测安全配置信息;所述连接请求的TCP/IP协议栈数据包中填充有第一待测安全配置信息;所述家电设备已与用户终端绑定;
在所述第一待测安全配置信息合法的情况下,发送第一响应信息到所述家电设备,所述第一响应信息包括第二待测安全配置信息,以触发所述家电设备在所述第二待测安全配置信息合法的情况下建立通信;所述第一响应信息的TCP/IP协议栈数据包中填充有第二待测安全配置信息。
6.根据权利要求5所述的方法,其特征在于,接收所述连接请求前,还包括:
接收用户终端发送的标识信息;
根据所述标识信息获得初始安全配置信息;
发送所述初始安全配置信息到所述用户终端,并触发所述用户终端发送所述初始安全配置信息给家电设备。
7.根据权利要求6所述的方法,其特征在于,所述标识信息包括:用户终端的标识号ID和家电设备的标识号ID。
8.根据权利要求6或7所述的方法,其特征在于,还包括:
接收所述用户终端发送的第一控制指令;
在所述第一控制指令添加第三待测安全配置信息,得到第二控制指令;
发送所述第二控制指令到所述家电设备,触发所述家电设备在所述第三待测安全信息合法的情况下执行所述第二控制指令。
9.根据权利要求8所述的方法,其特征在于,还包括:
接收所述家电设备发送的第二响应信息,提取所述第二响应信息中的第四待测安全配置信息;
在所述第四待测安全配置信息合法的情况下,发送指令执行成功消息到所述用户终端。
10.根据权利要求9所述的方法,其特征在于,所述第一待测安全配置信息与所述初始安全配置信息相同时,所述第一待测安全配置信息合法;
所述第二待测安全配置信息与所述初始安全配置信息相同时,所述第二待测安全配置信息合法;
所述第三待测安全配置信息与所述初始安全配置信息相同时,所述第三待测安全配置信息合法;
所述第四待测安全配置信息与所述初始安全配置信息相同时,所述第四待测安全配置信息合法。
11.一种用于通信的装置,包括第一处理器和存储有程序指令的第一存储器,其特征在于,所述第一处理器被配置为在执行所述程序指令时,执行如权利要求1至4任一项所述的用于通信的方法。
12.一种用于通信的装置,包括第二处理器和存储有程序指令的第二存储器,其特征在于,所述第二处理器被配置为在执行所述程序指令时,执行如权利要求5至10任一项所述的用于通信的方法。
13.一种家电设备,包括如权利要求11所述的用于通信的装置。
14.一种服务器,包括如权利要求12所述的用于通信的装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911420287.2A CN111131316B (zh) | 2019-12-31 | 2019-12-31 | 用于通信的方法、装置、家电设备及服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911420287.2A CN111131316B (zh) | 2019-12-31 | 2019-12-31 | 用于通信的方法、装置、家电设备及服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111131316A CN111131316A (zh) | 2020-05-08 |
| CN111131316B true CN111131316B (zh) | 2022-10-14 |
Family
ID=70506959
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911420287.2A Active CN111131316B (zh) | 2019-12-31 | 2019-12-31 | 用于通信的方法、装置、家电设备及服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111131316B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118235370A (zh) * | 2021-12-24 | 2024-06-21 | Oppo广东移动通信有限公司 | 连接配置方法、连接建立方法、装置、设备及存储介质 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102638460B (zh) * | 2012-03-26 | 2016-08-10 | 华为终端有限公司 | 家庭网关、云服务器及两者之间进行通信的方法 |
| JP2016063424A (ja) * | 2014-09-18 | 2016-04-25 | 株式会社東芝 | 情報処理装置、通信装置、端末、通信処理方法およびコンピュータプログラム |
| CN106714076A (zh) * | 2015-11-12 | 2017-05-24 | 中兴通讯股份有限公司 | 一种触发mtc设备的方法和装置 |
| CN107995154A (zh) * | 2016-10-26 | 2018-05-04 | 九阳股份有限公司 | 一种智能家电配网安全控制方法 |
| CN106789462B (zh) * | 2016-12-15 | 2021-10-08 | 九阳股份有限公司 | 一种智能家电入网安全控制方法 |
| CN106789255B (zh) * | 2016-12-23 | 2021-07-06 | 九阳股份有限公司 | 一种智能家电的自动入网控制方法 |
| CN109981733A (zh) * | 2019-02-19 | 2019-07-05 | 广州勒夫蔓德电器有限公司 | 智能终端设备的控制方法、服务器及计算机可读存储介质 |
| CN109862040B (zh) * | 2019-03-27 | 2021-08-24 | 北京经纬恒润科技股份有限公司 | 一种安全认证方法及认证系统 |
-
2019
- 2019-12-31 CN CN201911420287.2A patent/CN111131316B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN111131316A (zh) | 2020-05-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103297408B (zh) | 登录方法和装置以及终端、网络服务器 | |
| CN106708489B (zh) | 设备的调试方法及系统 | |
| CN110995554A (zh) | 用于智能家电设备配置入网的方法及装置、存储介质 | |
| CN104765999A (zh) | 一种对用户资源信息进行处理的方法、终端及服务器 | |
| CN110708164B (zh) | 一种物联网设备的控制方法、装置、存储介质及电子装置 | |
| CN107579966A (zh) | 远程访问内网的控制方法、装置、系统和终端设备 | |
| CN104870068A (zh) | 一种接入网络的方法及路由器 | |
| CN101635920B (zh) | 服务提供客户端、无线终端以及实现绑定的方法 | |
| CN104751105A (zh) | 一种指纹数据验证方法、装置及相关设备和系统 | |
| CN111131316B (zh) | 用于通信的方法、装置、家电设备及服务器 | |
| CN101621527A (zh) | VPN中基于Portal的安全认证的实现方法、系统和设备 | |
| CN103369000A (zh) | 一种数据传输方法及系统 | |
| CN101800985B (zh) | 鉴权方法及系统、终端、服务器与数据下载方法及装置 | |
| CN113259376A (zh) | 一种基于区块链的物联网设备的控制方法 | |
| CN109327455A (zh) | 一种nas设备的访问方法、装置、设备及可读存储介质 | |
| CN105188046A (zh) | 无sim卡手机、无sim卡手机的网络注册方法及装置 | |
| CN104917763B (zh) | 一种pin码缓存方法 | |
| WO2007074992A1 (en) | Method for detecting malicious code changes from hacking of program loaded and executed on memory through network | |
| CN114501410A (zh) | 用于信息上传的方法、装置、安全元件及存储介质 | |
| CN108234399B (zh) | 一种接口通信方法及终端 | |
| CN107846390B (zh) | 应用程序的认证方法及装置 | |
| CN104994225B (zh) | 一种短信息发送控制方法和短信息发送控制装置 | |
| CN113518021A (zh) | 用于绑定用户账户的方法、系统、装置及设备 | |
| CN105095702B (zh) | 一种超级用户权限控制方法及装置 | |
| CN205864753U (zh) | 一种终端设备的加密防护系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |