WO2023279897A1

WO2023279897A1 - 安全绑定方法及系统、存储介质、电子装置

Info

Publication number: WO2023279897A1
Application number: PCT/CN2022/096414
Authority: WO
Inventors: 柯小锋
Original assignee: 青岛海尔科技有限公司; 海尔智家股份有限公司
Priority date: 2021-07-07
Filing date: 2022-05-31
Publication date: 2023-01-12
Also published as: CN113595992B; CN113595992A

Abstract

本公开提供了一种安全绑定方法及系统、存储介质、电子装置，其中，上述方法包括：在检测到设备发起的入网请求后，向物联网云端发起执行安全绑定过程的指示信息；接收物联网云端响应指示信息下发的安全信息，其中，安全信息包括：用于唯一标识当前绑定过程的绑定码、用于与设备建立安全连接的第一会话密钥；通过第一会话密钥与设备建立安全连接，基于安全连接获取设备的设备信息；获取根据设备信息和绑定码在物联网云端确定的设备的绑定结果，其中，绑定结果用于指示设备在物联网云端实现绑定的绑定信息。

Description

安全绑定方法及系统、存储介质、电子装置

本公开要求于2021年7月7日提交中国专利局、申请号为202110770579.X、发明名称“语安全绑定方法及系统、存储介质、电子装置”的中国专利申请的优先权，其全部内容通过引用结合在本公开中。

技术领域

本公开涉及通信技术领域，具体而言，涉及一种安全绑定方法及系统、存储介质、电子装置。

背景技术

相关技术中，绑定流程均是建立在非安全连接的交互上，或者通过一种固定的交互密码进行数据加密，导致数据传输过程不安全，不满足对IOT(Internet of Things，物联网，简称IOT)设备的安全要求，此外，相关绑定还存在以下问题：目前的绑定交互均是手机将设备需要的路由信息和用户信息发给设备，由设备连上路由和平台后，再发起绑定；手机不停的轮询绑定结果，设备绑定流程交互中，手机多次发起的绑定流程导致，手机不能确定每次交互的唯一性，当前的机制不安全，也不能将唯一确定一次配置绑定结果的关系。

针对相关技术中，对于设备的绑定请求交互过程中无法确定配置绑定结果的唯一性等问题，尚未提出有效的解决方案。

发明内容

本公开实施例提供了一种安全绑定方法及系统、存储介质、电子装置，以至少解决相关技术中，对于设备的绑定请求交互过程中无法确定配置绑定结果的唯一性等问题。

根据本公开的一个实施例，提供了一种安全绑定方法，包括：在检测到设备发起的入网请求后，向物联网云端发起执行安全绑定过程的指示信息；接收物联网云端响应指示信息下发的安全信息，其中，安全信息包括：用于唯一标识当前绑定过程的绑定码、用于与设备建立安全连接的第一会话密钥；通过第一会话密钥与设备建立安全连接，基于安全连接获取设备的设备信息；获取根据设备信息和绑定码在物联网云端确定的设备的绑定结果，其中，绑定结果用于指示设备在物联网云端实现绑定的绑定信息。

根据本公开的另一个实施例，提供了另一种安全绑定方法，包括：通过第一会话密钥与述移动终端建立安全连接，其中，第一会话密钥为移动终端发起执行安全绑定过程的指示信息后得到物联网云端响应的安全信息；将设备信息发送至移动终端；接收移动终端发送的绑定码，其中，绑定码用于唯一标识当前绑定过程；根据设备信息和绑定码确定在物联网云端进行设备绑定的绑定结果，其中，绑定结果用于指示设备在物联网云端实现绑定的绑定信息。

根据本公开的另一个实施例，还提供了一种安全绑定系统，包括：物联网云端，与移动终端连接，设置为在接收到移动终端发起执行安全绑定过程的指示信息的情况下，响应指示信息向移动终端下发安全信息，其中，安全信息包括：用于唯一标识当前绑定过程的绑定码、用于与设备建立安全连接的第一会话密钥；移动终端，设置为根据接收的安全信息中的第一会话密钥与设备建立安全连接，基于安全连接获取设备的设备信息，并确定根据设备信息和绑定码在物联网云端进行设备绑定的绑定结果。

根据本公开的又一个实施例，还提供了一种计算机可读的存储介质，所述计算机可读的存储介质中存储有计算机程序，其中，所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。

根据本公开的又一个实施例，还提供了一种电子装置，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。

通过本公开，在检测到设备发起的入网请求后，向物联网云端发起执行安全绑定过程的指示信息；接收物联网云端响应指示信息下发的安全信息，其中，安全信息包括：用于唯一标识当前绑定过程的绑定码、用于与设备建立安全连接的第一会话密钥；通过第一会话密钥与设备建立安全连接，基于安全连接获取设备的设备信息；获取根据设备信息和绑定码在物联网云端确定的设备的绑定结果，其中，绑定结果用于指示设备在物联网云端实现绑定的绑定信息，即通过从物联网云端获取安全信息中的绑定码对安全绑定过程进行确认，并进一步根据绑定码和设备信息确定设备最终的绑定结果，采用上述技术方案，解决了相关技术中，对于设备的绑定请求交互过程中无法确定配置绑定结果的唯一性等问题，并通过安全信息中对安全绑定过程中的数据信息进行保护，提升了设备绑定路由器进行激活的安全等级，利用绑定码实现对待绑定设备的绑定过程的准确确定，进一步的提升了用户进行设备绑定的绑定体验。

附图说明

此处所说明的附图用来提供对本公开的进一步理解，构成本申请的一部分，本公开的示意性实施例及其说明用于解释本公开，并不构成对本公开的不当限定。在附图中：

图1是本公开实施例的一种安全绑定方法的计算机终端的硬件结构框图；

图2是根据本公开实施例的安全绑定方法的流程图(一)；

图3是根据本公开实施例的安全绑定方法的流程图(二)；

图4是根据本公开可选实施例的设备绑定的交互示意图；

图5是根据本公开实施例的一种安全绑定系统的结构框图。

具体实施方式

下文中将参考附图并结合实施例来详细说明本公开。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

需要说明的是，本公开的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。

本申请实施例所提供的方法实施例可以在计算机终端、云平台或者类似的运算装置中执行。以运行在计算机终端上为例，图1是本公开实施例的一种安全绑定方法的计算机终端的硬件结构框图。如图1所示，计算机终端可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104，在一个示例性实施例中，上述计算机终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解，图1所示的结构仅为示意，其并不对上述计算机终端的结构造成限定。例如，计算机终端还可包括比图1中所示更多或者更少的组件，或者具有与图1所示等同功能或比图1所示功能更多的不同的配置。

存储器104可设置为存储计算机程序，例如，应用软件的软件程序以及模块，如本公开实施例中的安全绑定方法对应的计算机程序，处理器102通过运行存储在存储器104内的计算机程序，从而执行各种功能应用以及数据处理，即实现上述的方法。存储器104可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器104可进一步包括相对于处理器102远程设置的存储器，这些远程存储器可以通过网络连接至计算机终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

传输装置106设置为经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端的通信供应商提供的无线网络。在一个实例中，传输装置106包括一个网络适配器(Network Interface Controller，简称为NIC)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输装置106可以为射频(Radio Frequency，简称为RF)模块，其用于通过无线方式与互联网进行通讯。

在本实施例中提供了一种安全绑定方法，应用于上述计算机终端，图2是根据本公开实施例的安全绑定方法的流程图(一)，该流程包括如下步骤：

步骤S202，在检测到设备发起的入网请求后，向物联网云端发起执行安全绑定过程的指示信息；

可以理解的是，上述入网请求是设备以任意请求方式发起的入网信息，上述入网请求可以包括无线软AP热点、蓝牙广播；进而根据请求方式为设备配置对应的用于连接路由器的帐号及密码信息。

步骤S204，接收所述物联网云端响应所述指示信息下发的安全信息，其中，所述安全信息包括：用于唯一标识当前绑定过程的绑定码、用于与设备建立安全连接的第一会话密钥；

步骤S205，通过所述第一会话密钥与所述设备建立安全连接，基于所述安全连接获取所述设备的设备信息；

步骤S206，获取根据所述设备信息和所述绑定码在所述物联网云端确定的所述设备的绑定结果，其中，所述绑定结果用于指示设备在所述物联网云端实现绑定的绑定信息。

通过上述技术方案，在检测到设备发起的入网请求后，向物联网云端发起执行安全绑定过程的指示信息；接收物联网云端响应指示信息下发的安全信息，其中，安全信息包括：用于唯一标识当前绑定过程的绑定码、用于与设备建立安全连接的第一会话密钥；通过第一会话密钥与设备建立安全连接，基于安全连接获取设备的设备信息；获取根据设备信息和绑定码在物联网云端确定的设备的绑定结果，其中，绑定结果用于指示设备在物联网云端实现绑定的绑定信息，即通过从物联网云端获取安全信息中的绑定码对安全绑定过程进行确认，并进一步根据绑定码和设备信息确定设备最终的绑定结果，采用上述技术方案，解决了相关技术中，对于设备的绑定请求交互过程中无法确定配置绑定结果的唯一性等问题，并通过安全信息中对安全绑定过程中的数据信息进行保护，提升了设备绑定路由器进行激活的安全等级，利用绑定码实现对待绑定设备的绑定过程的准确确定，进一步的提升了用户进行设备绑定的绑定体验。

在一个示例性的实施例中，通过第一会话密钥与设备建立安全连接的操作，包括：根据第一会话密钥对第一字符串进行加密，其中，第一字符串用于指示建立安全连接；在安全信息中还包括有第一会话密钥对应的生成因子的情况下，向设备发送携带加密后的第一字符串和第一会话密钥的生成因子的连接请求，以指示设备根据连接请求建立安全连接。

即通过从物联网云端获取安全信息对引导信息(相当于本公开中的第一字符串)进行加密，并在设备处通过验证的情况下，才会将用于连接路由器的配置信息同步至设备，需要说明的是，引导信息用于指示移动终端上设置的在进行终端与设备之间握手的默认描述信息。

例如，使用第一会话密钥加密hello(相当于本公开实施例中的第一字符串)，同时会密钥参数factor发给设备，设备先使用密钥参数factor与内置的设备密钥和指定算法生成第二会话密钥Sessionkey，并对移动终端发送的第一加密数据进行数据解密，如果解密后为hello，则认证通过，连接建立成功，否则拒绝连接；可选地，设备密钥可以是一机一密钥，可以是通过根密钥+设备信息生成每个设备唯一的设备密钥。

在一个示例性的实施例中，第一会话密钥由生成因子、设备密钥和预设算法生成，其中，预设算法为根据设备类型确定的运算方式，生成因子用于指示生成第一会话密钥的密钥参数，设备密钥用于指示设备在出厂时设置的加密密钥。

在一个示例性的实施例中，设备密钥是由根密钥与设备信息生成，其中，根密钥用于指示设备本地存储的用于对上层密钥进行机密性保护的密钥，设备信息用于指示设备的功能信息与硬件参数信息。

在一个示例性的实施例中，获取根据设备信息和绑定码在物联网云端确定的设备的绑定结果，包括：将绑定码发送给设备，以确定设备在物联网云端根据绑定码在物联网云端实现设备绑定的绑定结果；或，将设备信息和绑定码发送给物联网云端，以确定设备在物联网云端根据设备信息和绑定码实现设备绑定的绑定结果。

简而言之，为了更好的对设备进行标识确定，移动终端接收的物联网平台下发的安全信息还存在有用于唯一标识设备的绑定码，进而在后续的绑定或者信息查询中根据绑定码便可实现对应的设备的数据信息的精细化查询。

可以理解的是，设备与路由器绑定成功后，物联网云端上会保存绑定成功的记录信息以及在本次绑定成功前的绑定记录，因此，在设备终端发起用于查询绑定结果的查询指令后，物联网云端在确定已绑定设备的身份后，将设备和路由器绑定成功之前的绑定记录发送移动终端。

在一个示例性的实施例中，获取根据设备信息和绑定码在物联网云端确定的设备的绑定结果之前，上述方法还包括：根据设备信息将配置信息和绑定码发送至设备，以指示设备根据配置信息和绑定码实现入网连接与绑定，其中，配置信息用于指示移动终端上存储的路由器的帐号信息以及对应的帐号密码。

在一个示例性的实施例中，接收所述物联网云端响应所述查询指令发送的查询结果之后，所述方法还包括：接收所述物联网云端发送的绑定通知信息，其中，所述绑定通知信息用于指示所述设备和所述路由器已绑定成功；将所述绑定通知信息显示在目标客户端的界面上。

简而言之，为了使目标对象更好的对设备的绑定结果以及最终的绑定信息进行确认，移动终端在接收了物联网云端发送的绑定通知信息后，将绑定通知信息显示在目标客户端的界面上，使得目标对象可以更加直观的了解设备的绑定情况以及成功绑定的最终信息。

在本实施例中提供了另一种安全绑定方法，应用于上述计算机终端，图3是根据本公开实施例的安全绑定方法的流程图(二)，该流程包括如下步骤：

步骤S302，通过第一会话密钥与述移动终端建立安全连接，其中，所述第一会话密钥为所述移动终端发起执行安全绑定过程的指示信息后得到物联网云端响应的安全信息；

步骤S304，将设备信息发送至所述移动终端，接收所述移动终端发送的绑定码，其中，所述绑定码用于唯一标识当前绑定过程；

步骤S306，根据所述设备信息和所述绑定码确定在所述物联网云端进行设备绑定的绑定结果，其中，所述绑定结果用于指示设备在所述物联网云端实现绑定的绑定信息。

通过上述技术方案，通过第一会话密钥与述移动终端建立安全连接，将设备信息发送至所述移动终端，根据所述设备信息和所述绑定码确定在所述物联网云端进行设备绑定的绑定结果，即通过会话密钥实现对于设备与移动终端之间安全连接的建立，并根据所述绑定码与设备信息确定设备在物联网云端的最终绑定结果，采用上述技术方案，解决了相关技术中，对于设备的绑定请求交互过程中无法确定配置绑定结果的唯一性等问题，并通过安全信息中对安全绑定过程中的数据信息进行保护，提升了设备绑定路由器进行激活的安全等级，利用绑定码实现对待绑定设备的绑定过程的准确确定，进一步的提升了用户进行设备绑定的绑定体验。

在一个示例性的实施例中，通过第一会话密钥与述移动终端建立安全连接，包括：接收移动终端发送的连接请求，其中，连接请求中携带有通过第一会话密钥加密的第一字符串和第一会话密钥的生成因子；根据第一会话密钥的生成因子、根密钥、设备信息以及预设算法生成第二会话密钥，其中，预设算法为根据设备类型确定的运算方式，生成因子用于指示生成第一会话密钥的密钥参数，根密钥用于指示设备本地存储的用于对上层密钥进行机密性保护的密钥，设备信息用于指示设备的功能信息与硬件参数信息；通过第二会话密钥对第一会话密钥加密的第一字符串进行解密；在确定解密得到的第二字符串用于指示建立安全连接的情况下，根据连接请求建立与移动终端的安全连接。

即通过从物联网云端获取安全信息中的绑定码对待绑定设备进行确认，通过设备中存在的本地的根密钥对绑定码进行验证，并进一步确认待绑定设备用于绑定路由器的配置信息，采用上述技术方案，解决了相关技术中，对于设备的绑定请求交互过程中无法确定配置绑定结果的唯一性等问题，并通过安全信息中设备密钥对交互过程中的数据信息进行保护，提升了设备绑定路由器进行激活的安全等级，实现对待绑定设备的准确确定，进一步的提升了用户进行设备绑定的绑定体验。

在一个示例性的实施例中，根据设备信息和绑定码确定在物联网云端进行设备绑定的绑定结果，包括：将绑定码发送给物联网云端，以确定物联网云端对于绑定码的校验结果；在校验结果指示物联网云端接收到设备上传的绑定码与物联网云端下发至移动终端的绑定码相同的情况下，根据绑定码在物联网云端实现设备绑定的绑定操作。

简而言之，在进行设备与路由器的绑定时，为保证绑定的准确性，待绑定设备向物联网云端发送携带有绑定码的绑定请求，物联网云端根据设备出厂时同步的或者与当前移动终端对应帐户绑定的绑定码与设备上传的绑定码进行比较，当绑定码一致的情况下，说明当前绑定过程安全，设备具备绑定条件，可以直接与当前连接的路由器进行绑定。

为了更好的理解上述安全绑定方法的过程，以下结合可选实施例对上述安全绑定方法流程进行说明，但不用于限定本公开实施例的技术方案。

对于IOT设备现在未绑定前都是通过soft AP(Soft Access Point，软访问接入点，硬件部分为一块标准的无线网卡，通过驱动程序实现提供信号转接/路由等功能)或BLE蓝牙与设备建立连接，并且此连接都是非安全的方式，所以导致设备绑定请求交互过程中数据进行未链路层加密。

可选的，如图4所示是根据本公开可选实施例的设备绑定的交互示意图，具体包含以下步骤：

步骤1：启动SDL(Security Development Lifecycle，安全开发，简称SDL)模式/模块使设备进入配置状态；

步骤2：设备通过softAP热点或者BLE广播发起待入网请求；

步骤3：移动终端的移动应用开发套件uSDK通知APP发现入网设备；

步骤4：目标对象在APP上选择WIFI并输入对应密码；

步骤5：目标对象在APP上发起请求配置绑定；

步骤6：移动终端的uSDK向IOT云平台(相当于本公开实施例中的物联网云端)发送信息，获取会话密钥Sessionkey与绑定码BindCode；在配置前需要先去云端请求本次绑定code(bindCode)，以及与设备建立安全连接的Sessionkey和生成Sessionkey的因子(factor)。

步骤7：移动终端的uSDK向APP告知配置绑定进度通知；

步骤8：IOT云平台向uSDK返回请求信息，包括会话密钥Sessionkey与绑定码BindCode；

在配置前需要先去云端请求本次绑定code(bindCode)，以及与设备建立安全连接的Sessionkey和生成Sessionkey的因子factor(相当于本法明实施例中的密钥参数)；

步骤9：开始配置绑定计时；

步骤10：uSDK使用会话密钥Sessionkey建立安全连接；

步骤11：SDL模式/模块对会话密钥Sessionkey进行合法性校验；

步骤12：校验通过；

步骤13：请求设备信息；

步骤14：返回设备信息；

步骤15：发起配置信息；

步骤16：返回配置应答；

步骤17：通知APP切换家庭WIFI；

步骤18：连接路由器；

步骤19：确定路由器网络可用；

步骤20：设备的SDL模式/模块退出配置状态；

步骤21：SDL模式/模块向IOT云平台发起包含绑定码BindCode的绑定请求；

步骤22：IOT云平台对绑定请求进行绑定处理，含默认家庭，即根据用户的需求设置默认自动绑定的家庭，在物联网云端获取到设备上传的包含的绑定码为设置的默认绑定家庭的情况下，直接确定所述设备与该家庭对应路由器的绑定关系。

步骤23：IOT云平台将绑定结果返回至SDL模式/模块；

步骤24：uSDK发起查询绑定结果(HTTPS/MQTT含绑定码bindCode，含重试)，也就是说，查询的绑定结果对应的信息多种多样，不仅仅包含成功绑定的绑定信息，还可以是设备在绑定过程的绑定记录数据，进而对设备的实际绑定过程进行更加详细的确认，便于在后续绑定同类设备时，提升绑定效率。

步骤25：IOT云平台向uSDK返回绑定结果；

步骤26：在绑定结果指示绑定成功的情况下，云平台向uSDK发送绑定通知；

步骤27：uSDK配置绑定结果对应的信息，并在APP上进行显示。

需要说明的是，在配置绑定前，需先与设备建立安全连接，连接过程为：

a)使用Sessionkey加密hello(相当于本公开实施例中的引导信息)，同时会factor发给设备，设备先使用factor与内置的设备密钥和指定算法生成Sessionkey，并解决数据，如果解密后为hello，则认证通过，连接建立成功，否则拒绝连接；

b)设备密钥可以是一机一密钥，可以是通过根密钥和设备信息生成每个设备唯一的设备密钥；

本公开可选实施例，通过从物联网云端获取安全信息对引导信息进行加密，并在设备处通过验证的情况下，才会将用于连接路由器的配置信息同步至设备，并通过绑定码对绑定过程进行标识，确定绑定流程的安全性和唯一性，采用上述技术方案，解决了相关技术中，对于设备的绑定请求交互过程中无法确定配置绑定结果的唯一性等问题，进而通过安全信息中设备密钥对交互过程中的数据信息进行保护，提升了设备绑定路由器进行激活的安全等级，实现对待绑定设备的准确确定，减少用户激活网器成本，提升了用户激活网器的体验以及提升了网器激活的安全等级。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本公开的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本公开各个实施例所述的方法。

在本实施例中还提供了一种安全绑定系统，该系统用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。图5是根据本公开实施例的一种安全绑定系统的结构框图；如图5所示，包括：

移动终端52，设备54，物联网云端56，

移动终端52，设置为在检测到设备发起的入网请求后，向物联网云端发起指示信息；

物联网云端56，与所述移动终端52连接，设置为在接收到移动终端发起执行安全绑定过程的指示信息的情况下，响应所述指示信息向所述移动终端下发安全信息，其中，所述安全信息包括：用于唯一标识当前绑定过程的绑定码、用于与设备建立安全连接的第一会话密钥；

移动终端52，设置为根据接收的所述安全信息中的所述第一会话密钥与设备建立安全连接，基于所述安全连接获取所述设备的设备信息，并确定根据所述设备信息和所述绑定码在所述物联网云端进行设备绑定的绑定结果。

所述设备54，设置为接收所述移动终端发送的连接请求，其中，所述连接请求中携带有通过所述第一会话密钥加密的第一字符串和所述第一会话密钥的生成因子；根据所述第一会话密钥的生成因子、根密钥、设备信息以及预设算法生成第二会话密钥，其中，所述预设算法为根据设备类型确定的运算方式，所述生成因子用于指示生成所述第一会话密钥的密钥参数，所述根密钥用于指示设备本地存储的用于对上层密钥进行机密性保护的密钥，所述设备信息用于指示设备的功能信息与硬件参数信息；通过所述第二会话密钥对所述第一会话密钥加密的第一字符串进行解密；在确定解密得到的第二字符串用于指示建立安全连接的情况下，根据所述连接请求建立与所述移动终端的安全连接。

可选地，上述移动终端52，还设置为在确定设备与路由器已绑定成功，并将绑定结果保存在物联网云端的情况下，向物联网云端发送携带有绑定码的查询指令；接收物联网云端响应查询指令发送的查询结果，其中，查询结果用于指示绑定码对应的绑定流程中设备和路由器绑定成功之前的绑定记录。

在一个示例性的实施例中，上述移动终端52，还设置为根据第一会话密钥对第一字符串进行加密，其中，第一字符串用于指示建立安全连接；在安全信息中还包括有第一会话密钥对应的生成因子的情况下，向设备发送携带加密后的第一字符串和第一会话密钥的生成因子的连接请求，以指示设备根据连接请求建立安全连接。

可选地，第一会话密钥由生成因子、设备密钥和预设算法生成，其中，预设算法为根据设备类型确定的运算方式，生成因子用于指示生成第一会话密钥的密钥参数，设备密钥用于指示设备在出厂时设置的加密密钥。设备密钥是由根密钥与设备信息生成，其中，根密钥用于指示设备本地存储的用于对上层密钥进行机密性保护的密钥，设备信息用于指示设备的功能信息与硬件参数信息。

在一个示例性的实施例中，上述移动终端52，设置为将绑定码发送给设备，以确定设备在物联网云端根据绑定码在物联网云端实现设备绑定的绑定结果；或，将设备信息和绑定码发送给物联网云端，以确定设备在物联网云端根据设备信息和绑定码实现设备绑定的绑定结果。

在一个示例性的实施例中，上述移动终端52，设置为根据设备信息将配置信息和绑定码发送至设备，以指示设备根据配置信息和绑定码实现入网连接与绑定，其中，配置信息用于指示移动终端上存储的路由器的帐号信息以及对应的帐号密码。

在一个示例性的实施例中，上述设备54，还设置为将绑定码发送给物联网云端，以确定物联网云端对于绑定码的校验结果；在校验结果指示物联网云端接收到设备上传的绑定码与物联网云端下发至移动终端的绑定码相同的情况下，根据绑定码在物联网云端实现设备绑定的绑定操作。

在本公开的描述中，需要理解的是，术语中“中心”、“上”、“下”、 “前”、“后”、“左”、“右”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本公开和简化描述，而不是指示或暗示所指的装置或组件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本公开的限制。此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性。

在本公开的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“连接”、“相连”应做广义理解，例如，可以是固定连接，也可以是拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以是通过中间媒介间接相连，可以是两个组件内部的连通。当组件被称为“固定于”或“设置于”另一个元件，它可以直接在另一个组件上或者也可以存在居中的组件。当一个组件被认为是“连接”另一个元件，它可以是直接连接到另一个元件或者可能同时存在居中元件。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本公开的具体含义。

本公开的实施例还提供了一种计算机可读的存储介质，该存储介质包括存储的程序，其中，上述程序运行时执行上述任一项的方法。

在一个示例性实施例中，在本实施例中，上述存储介质可以被设置为存储用于执行以下步骤的计算机程序：

S1，在检测到设备发起的入网请求后，向物联网云端发起执行安全绑定过程的指示信息；

S2，接收所述物联网云端响应所述指示信息下发的安全信息，其中，所述安全信息包括：用于唯一标识当前绑定过程的绑定码、用于与设备建立安全连接的第一会话密钥；

S3，通过所述第一会话密钥与所述设备建立安全连接，基于所述安全连接获取所述设备的设备信息；

S4，获取根据所述设备信息和所述绑定码在所述物联网云端确定的所述设备的绑定结果，其中，所述绑定结果用于指示设备在所述物联网云端实现绑定的绑定信息。

在一个示例性实施例中，在本实施例中，上述存储介质可以包括但不限于：U盘、只读存储器(Read-Only Memory，简称为ROM)、随机存取存储器(Random Access Memory，简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。

本公开的实施例还提供了一种电子装置，包括存储器和处理器，该存储器中存储有计算机程序，该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。

在一个示例性实施例中，上述电子装置还可以包括传输设备以及输入输出设备，其中，该传输设备和上述处理器连接，该输入输出设备和上述处理器连接。

在一个示例性实施例中，在本实施例中，上述处理器可以被设置为通过计算机程序执行以下步骤：

在一个示例性实施例中，本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例，本实施例在此不再赘述。

显然，本领域的技术人员应该明白，上述的本公开的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，在一个示例性实施例中，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本公开不限制于任何特定的硬件和软件结合。

以上所述仅为本公开的优选实施例而已，并不用于限制本公开，对于本领域的技术人员来说，本公开可以有各种更改和变化。凡在本公开的原则之内，所作的任何修改、等同替换、改进等，均应包含在本公开的保护范围之内。

Claims

一种安全绑定方法，包括：

在检测到设备发起的入网请求后，向物联网云端发起执行安全绑定过程的指示信息；

接收所述物联网云端响应所述指示信息下发的安全信息，其中，所述安全信息包括：用于唯一标识当前绑定过程的绑定码、用于与设备建立安全连接的第一会话密钥；

通过所述第一会话密钥与所述设备建立安全连接，基于所述安全连接获取所述设备的设备信息；

获取根据所述设备信息和所述绑定码在所述物联网云端确定的所述设备的绑定结果，其中，所述绑定结果用于指示设备在所述物联网云端实现绑定的绑定信息。
根据权利要求1所述的安全绑定方法，其中，所述通过所述第一会话密钥与所述设备建立安全连接的操作，包括：

根据所述第一会话密钥对第一字符串进行加密，其中，所述第一字符串用于指示建立所述安全连接；

在所述安全信息中还包括有所述第一会话密钥对应的生成因子的情况下，向所述设备发送携带加密后的所述第一字符串和所述第一会话密钥的生成因子的连接请求，以指示所述设备根据所述连接请求建立所述安全连接。
根据权利要求2所述的安全绑定方法，其中，

所述第一会话密钥由所述生成因子、设备密钥和预设算法生成，其中，所述预设算法为根据设备类型确定的运算方式，所述生成因子用于指示生成所述第一会话密钥的密钥参数，所述设备密钥用于指示设备在出厂时设置的加密密钥。
根据权利要求3所述的安全绑定方法，其中，

所述设备密钥是由根密钥与所述设备信息生成，其中，所述根密钥用于指示设备本地存储的用于对上层密钥进行机密性保护的密钥，所述设备信息用于指示设备的功能信息与硬件参数信息。
根据权利要求1所述的安全绑定方法，其中，获取根据所述设备信息和所述绑定码在所述物联网云端确定的所述设备的绑定结果，包括：

将所述绑定码发送给所述设备，以确定所述设备在所述物联网云端根据所述绑定码在所述物联网云端实现设备绑定的绑定结果；或，

将所述设备信息和所述绑定码发送给所述物联网云端，以确定所述设备在所述物联网云端根据所述设备信息和所述绑定码实现设备绑定的绑定结果。
根据权利要求1所述的安全绑定方法，其中，获取根据所述设备信息和所述绑定码在所述物联网云端确定的所述设备的绑定结果之前，所述方法还包括：

根据所述设备信息将配置信息和所述绑定码发送至所述设备，以指示所述设备根据所述配置信息和所述绑定码实现入网连接与绑定，其中，所述配置信息用于指示移动终端上存储的路由器的帐号信息以及对应的帐号密码。
一种安全绑定方法，包括：

通过第一会话密钥与述移动终端建立安全连接，其中，所述第一会话密钥为所述移动终端发起执行安全绑定过程的指示信息后得到物联网云端响应的安全信息；

将设备信息发送至所述移动终端，接收所述移动终端发送的绑定码，其中，所述绑定码用于唯一标识当前绑定过程；

根据所述设备信息和所述绑定码确定在所述物联网云端进行设备绑定的绑定结果，其中，所述绑定结果用于指示设备在所述物联网云端实现绑定的绑定信息。
根据权利要求7所述的安全绑定方法，其中，所述通过第一会话密钥与述移动终端建立安全连接，包括：

接收所述移动终端发送的连接请求，其中，所述连接请求中携带有通过所述第一会话密钥加密的第一字符串和所述第一会话密钥的生成因子；

根据所述第一会话密钥的生成因子、根密钥、设备信息以及预设算法生成第二会话密钥，其中，所述预设算法为根据设备类型确定的运算方式，所述生成因子用于指示生成所述第一会话密钥的密钥参数，所述根密钥用于指示设备本地存储的用于对上层密钥进行机密性保护的密钥，所述设备信息用于指示设备的功能信息与硬件参数信息；

通过所述第二会话密钥对所述第一会话密钥加密的第一字符串进行解密；

在确定解密得到的第二字符串用于指示建立安全连接的情况下，根据所述连接请求建立与所述移动终端的安全连接。
根据权利要求7所述的安全绑定方法，其中，根据所述设备信息和所述绑定码确定在所述物联网云端进行设备绑定的绑定结果，包括：

将所述绑定码发送给所述物联网云端，以确定所述物联网云端对于所述绑定码的校验结果；

在所述校验结果指示所述物联网云端接收到设备上传的绑定码与所述物联网云端下发至移动终端的绑定码相同的情况下，根据所述绑定码在所述物联网云端实现设备绑定的绑定操作。
一种安全绑定系统，包括：

物联网云端，与移动终端连接，设置为在接收到移动终端发起执行安全绑定过程的指示信息的情况下，响应所述指示信息向所述移动终端下发安全信息，其中，所述安全信息包括：用于唯一标识当前绑定过程的绑定码、用于与设备建立安全连接的第一会话密钥；

移动终端，设置为根据接收的所述安全信息中的所述第一会话密钥与设备建立安全连接，基于所述安全连接获取所述设备的设备信息，并确定根据所述设备信息和所述绑定码在所述物联网云端进行设备绑定的绑定结果。
根据权利要求10所述的安全绑定系统，其中，所述系统还包括：

设备，设置为接收所述移动终端发送的连接请求，根据所述第一会话密钥的生成因子、根密钥、设备信息以及预设算法生成第二会话密钥，通过所述第二会话密钥对所述第一会话密钥加密的第一字符串进行解密；在确定解密得到的第二字符串用于指示建立安全连接的情况下，根据所述连接请求建立与所述移动终端的安全连接；

其中，所述连接请求中携带有通过所述第一会话密钥加密的第一字符串和所述第一会话密钥的生成因子，所述预设算法为根据设备类型确定的运算方式，所述生成因子用于指示生成所述第一会话密钥的密钥参数，所述根密钥用于指示设备本地存储的用于对上层密钥进行机密性保护的密钥，所述设备信息用于指示设备的功能信息与硬件参数信息。
根据权利要求10所述的安全绑定系统，其中，

所述移动终端，还设置为在确定所述设备与路由器已绑定成功，并将绑定结果保存在所述物联网云端的情况下，向所述物联网云端发送携带有所述绑定码的查询指令；接收所述物联网云端响应所述查询指令发送的查询结果，其中，所述查询结果用于指示所述绑定码对应的绑定流程中所述设备和所述路由器绑定成功之前的绑定记录。
一种计算机可读的存储介质，所述计算机可读的存储介质包括存储的程序，其中，所述程序运行时执行上述权利要求1至6任一项中所述的方法，或权利要求7至9任一项所述的方案。
一种电子装置，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器被设置为通过所述计算机程序执行所述权利要求1至6任一项中所述的方法，或权利要求7至9任一项所述的方法。