[发明专利]一种局域网内手机APP与设备安全通信的方法及系统

说明书

技术领域

本发明涉及物联网通信安全的技术领域，具体涉及的是在局域网下如何保证手机APP与设备通信是安全可信的一种方法及系统。

背景技术

随着近些年物联网的普及，智能家居的异常火爆，更多的家居设备都已接入网络，但由于物联网安全法规及标准尚未完善，开发者及用户对智能设备安全问题关注不够，尤其是局域网下的设备与手机的通信交互，软件开发者大多采用的是明文通信，或固定在代码里的根秘钥进行加解密，采用这两种方法的通信很容易被攻击者通过网络抓包、APP代码反编译手段破解加密方式，从而达到攻击设备的目的。

发明内容

本发明针对当今局域网下通信安全防护性很弱的不足，提供一种轻量级的并基于动态秘钥协商机制的通信安全交互方法及系统。

本发明的技术方案：

一种局域网内手机APP与设备安全通信的方法，包括以下步骤：

手机APP从云端取得公私钥对，设备生成公私钥对；

手机APP下发UDP广播用于扫描设备；

设备收到手机APP下发的UDP广播之后，通过UDP单播将自身设备信息及设备公钥回复给手机APP；

手机APP收到设备的UDP单播回复之后，向设备下发秘钥协商请求包；

设备收到秘钥协商请求包之后向手机APP回复秘钥协商应答包；

手机APP收到秘钥协商应答包之后向设备下发秘钥协商确认包；

手机APP与设备完成秘钥协商，手机APP与设备之间进行通信。

所述手机APP从云端取得公私钥对的方法是：

手机APP输入用户名和密码之后登陆到云端，向云端请求其局域网下与设备进行协商要用到的公私钥对；

云端收到请求之后判断该用户是否合法，若合法随即下发公私钥对给手机APP；

通过手机APP与云端之间的会话秘钥对公私钥对进行加密；

手机APP通过会话秘钥进行解密，然后将其存储在手机安全存储区，并打上已存储标记。

所述设备生成公私钥对的方法为：

设备在初次上电运行时，先判断自身安全存储区是否已存在设备公私钥对，若没有，则设备调用API来产生公私钥对并存储到安全存储区。

所述设备信息包括设备类型、MAC地址、设备ID、设备SN信息。

所述手机APP收到设备的UDP单播回复之后，向设备下发秘钥协商请求包具体包括：手机APP收到设备的UDP单播回复之后立即生成产生一个随机数R1，并通过设备公钥对R1进行加密成请求密文包，手机APP随即将该请求密文包作为秘钥协商请求包下发给设备。

所述设备收到秘钥协商请求包之后向手机APP回复秘钥协商应答包具体包括：设备收到秘钥协商请求包之后利用自身私钥对请求密文包进行解密得到随机数R1并暂存R1，然后设备生成随机数R2，并通过事先存储好的手机APP公钥对R2进行加密成应答密文包，随即将该应答密文包作为秘钥协商应答包发给手机APP。

所述事先存储好的手机APP公钥来源为手机APP下发的UDP广播。

所述手机APP收到秘钥协商应答包之后向设备下发秘钥协商确认包具体包括：手机APP收到秘钥协商应答包之后利用自身私钥对应答密文包进行解密得到随机数R2并暂存R2，将R1+R2拼接起来作为会话秘钥，手机APP将一段明文用R1+R2拼接而成的会话秘钥通过AES256-CBC进行加密成确认密文包，手机APP将确认密文包作为秘钥协商确认包发给设备。

手机APP与设备之间进行通信采用R1+R2拼接而成的会话秘钥进行AES256-CBC加解密。