2 系统总体框架设计

2.1系统总览：

本系统分为四个部分：移动端、路由器、中转服务器、智能设备

移动端：包括数据交互模块、数据处理模块、登录模块

路由器：包括认证识别模块、设备管理模块、数据交互模块、数据处理模块以及安全防护模块。

中转服务器：包括数据交互模块。

智能设备：不做处理，只利用设备API。

2.2功能模块介绍：

2.2.1数据处理模块

【位置】：存在于路由器端、移动端；

【功能】：处理通信中的数据（对数据做加密和解密），对于用户的认证和识别；

【原理】：客户端与路由器上的服务端利用了认证识别模块协商获得了通信所需的密钥，然后由客户端发送对于路由器或者智能设备的控制指令，路由器接受指令，分析识别并执行用户的指令，并向用户返回相应的设备状态；使用RSA加密算法进行数字签名和认证。

2.2.2数据交互模块

【位置】：存在于路由器端、移动端以及中转服务器端；

【功能】：同属于一个局域网内的用户直接进行数据交互；将属于两个内网的移动终端和无线路由器进行连接，实现数据交互；通过加密，在保证数据能够传输的同时，保证了数据的机密性；同时，使用了数字签名技术保证了交互数据的完整性、不可伪造性；

【原理】：在用户进行认证时，路由器生成一套公私钥对，并且将公钥提交到中转服务器，将私钥交给用户APP，用户使用私钥对于加密的请求数据进行签名，中转服务器接收到公钥后，使用该公钥对于APP访问请求进行验证，确认发送请求者身份，避免了可能出现的重放攻击；使用AES加密方法保证了数据的保密性；使用RSA的数字签名方法，保证了数据的完整性与不可伪造性。

2.2.3设备管理模块

【位置】：存在于路由器端；

【功能】：实现路由器对于智能设备的管理，即向设备发送控制指令并处理得到的设备信息。

【原理】：本系统在路由器上根据相应设备API进行编程，对于各种不同的智能设备采取不同的方式进行管理和控制。

2.2.4认证识别模块

【位置】：存在于路由器端、移动端以及中转服务器端；

【功能】：用户利用该模块获得路由器的操作凭据，该凭据可用于用户的移动端在局域网内或者远程连接路由器；路由器利用该模块识别智能设备并进行控制。

【原理】：用户通过输入路由器管理员密码进行获得智能设备管理权限，无线路由器将会返回给用户一个认证凭据，以及使用的时间戳和另外一个认证重申凭据；之后都要进行认证，若是认证成功，那么进行控制；若是认证凭据超时，那么使用认证重申凭据进行重新认证，认证过程主要参考Oauth2.0协议。对于智能设备的认证，采用针对性的方式，分别根据智能设备的API进行认证。

2.2.5安全防护模块

【位置】：存在于路由器端；

【功能】：对内进行连接路由器的设备的权限控制，对外进行外来数据的过滤以及外来请求的访问控制。创建智能设备专用子网即控制热点，将智能设备连接在此子网内，限制智能设备的联网权限，基于双网配置防火墙，实现移动端与智能设备的隔离；

【原理】：当有设备从路由器访问时，根据预先制定好的规则，过滤掉非法访问请求（非法请求可以是重放攻击等），并对发出请求的设备进行身份检查。

3 系统具体实现

3.1开发环境介绍：

开发系统 Microsoft Windows 10 x64，Ubuntu 16.04

开发工具 g++，OpenSSL，gdb，Andriod Studio，eclipse

测试系统 openwrt 15.01，Ubuntu 16.04，

Microsoft Windows 10 x64

3.2数据处理模块

本模块主要用于数据传输前后对于数据进行加解密以及签名认证等。由于本项目采用了跨平台的操作，所以我们利用OpenSSL加密函数库来实现这些加密认证算法。接下来进行介绍具体的各个操作的封装：

分享让更多人看到