收藏官网首页
查看: 41509|回复: 7

[求助] 关于设备绑定/登录安全方面的疑惑,请给位帮忙看看。

11

主题

25

帖子

333

积分

中级会员

Rank: 3Rank: 3

积分
333
跳转到指定楼层
楼主
发表于 2016-12-19 14:15:29 | 只看该作者 |只看大图 回帖奖励 |倒序浏览 |阅读模式
汉枫LPB120模块
刚开始接触机智云,有一些设备访问安全方面的问题想不清楚,请各位帮忙解惑哈。

目前测试过程:
1. 从云端生成esp8266 SoC的代码,下载到本地后,不做任何修改,直接编译生成image,下载到8266的WiFi模组(自己的板子,不是gokit,没有那两个按键),上电启动;
2. 下载APICoud版本的开源APP demo,修改appId,ProductKey之类的定义后,重新编译生成Android版本的安装包;
3.  手机扫描二维码安装APP后,注册账号,登录,然后添加设备,选择乐鑫,输入外部AP的SSID/PWD,进入配置过程,成功后进到设备列表(云端可以看到设备上线,串口打印心跳交互信息)。APP发现未绑定的设备,点击绑定设备,绑定成功,显示局域网在线。再点击该设备,显示登陆设备成功,进入到设备控制页面。
4. 用另外一台手机,安装APP后不注册任何账号,直接从添加设备开始,也可以操作成功,最后进入到设备控制页面。

好了,现在问题来了:两台手机的APP,从添加设备,绑定设备到最后登录设备进入控制界面,整个过程没有要求用户输入密码什么的,怎么保证我的设备安全哈?为什么只要装个APP就能够直接登陆设备进行控制?

为什么不能通过用户自己设定设备的访问密码来进行本地或远程的访问自己的设备?如果可以,应该做怎么配置?

请各位不令赐教哈。


6

主题

21

帖子

202

积分

中级会员

Rank: 3Rank: 3

积分
202
沙发
发表于 2016-12-19 15:47:11 | 只看该作者
跳过登录算是匿名登录,则使用UUID作为信息,好像可以设置密码,创建虚拟设备,他会给你did和password

11

主题

25

帖子

333

积分

中级会员

Rank: 3Rank: 3

积分
333
板凳
 楼主| 发表于 2016-12-19 18:08:22 | 只看该作者
loulan 发表于 2016-12-19 15:47
跳过登录算是匿名登录,则使用UUID作为信息,好像可以设置密码,创建虚拟设备,他会给你did和password ...

谢谢loulan同学答复哈。

从我目前的设备测试来看设备端的处理流程似乎不合常理啊,不管是否注册用户,都可以畅通无阻的控制设备。合法用户无法修改设备的passcode,而非法用户似乎也可以自动获取passcode,这怎么玩呢??如果是有匿名登录一说,怎么在设备侧把它disable掉呢,毕竟如果开发的是商用产品必须只能是合法用户才可以操作啊。

不知道官方有没有专门关于用户鉴权,设备安全方面的流程说明呢,如果这块东西搞不清楚,对于准备商用的产品来说,怎么可能放心的去发布呢?

点评

设备gagent的接入流程可以看这里:http://docs.gizwits.com/zh-cn/deviceDev/gagent_info.html 对于绑定设备的安全性,可以用这个策略:可绑定时间怎么用?# 机智云设备绑定机制:APP与设备在同一局域网,如果G  详情 回复 发表于 2016-12-20 15:49

562

主题

1222

帖子

8127

积分

版主

Rank: 7Rank: 7Rank: 7

积分
8127
地板
发表于 2016-12-20 15:49:17 | 只看该作者
独孤垂钓2003 发表于 2016-12-19 18:08
谢谢loulan同学答复哈。

从我目前的设备测试来看设备端的处理流程似乎不合常理啊,不管是否注册用户,都 ...

设备gagent的接入流程可以看这里:file:///C:\Users\Gizwits0608\AppData\Roaming\Tencent\QQ\Temp\%W@GJ$ACOF(TYDYECOKVDYB.pnghttp://docs.gizwits.com/zh-cn/deviceDev/gagent_info

对于绑定设备的安全性,可以用这个策略:可绑定时间怎么用?

机智云设备绑定机制:APP与设备在同一局域网,如果GAgent没有设定绑定时间,则任意装有相关APP用户随时都能绑定设备,存在一定安全隐患。设备绑定时间,用户在可绑定时间内可以绑定设备,提高了安全性。




点评

嗯,多谢Genius同学。我再看一下这个“可绑定时间”在代码里面怎么实现的。  详情 回复 发表于 2016-12-20 19:07
1、机智云QQ群: 287087942
机智云爱好者-APP开发群: 599735135
QQ群目前非常活跃,欢迎大家参与进来,交流,讨论,答疑,解惑~~
2、机智云微信公众号: 机智云 gizwits /   机智云智能宠物屋go-kit
关注机智云Gizwits官方公众号随时掌握最新资讯和活动信息

11

主题

25

帖子

333

积分

中级会员

Rank: 3Rank: 3

积分
333
5#
 楼主| 发表于 2016-12-20 19:07:05 | 只看该作者
汉枫LPB120模块
Genius 发表于 2016-12-20 15:49
设备gagent的接入流程可以看这里:http://docs.gizwits.com/zh-cn/deviceDev/gagent_info

对于绑定设备 ...

嗯,多谢Genius同学。我再看一下这个“可绑定时间”在代码里面怎么实现的。

1

主题

25

帖子

72

积分

注册会员

Rank: 2

积分
72
6#
发表于 2016-12-21 01:27:17 | 只看该作者
因为你的手机已经可以连上你家的路由器了啊,证明你已经受过权了;只有在本地局域网才能够发现并且绑定设备的

1

主题

25

帖子

72

积分

注册会员

Rank: 2

积分
72
7#
发表于 2016-12-21 01:29:52 | 只看该作者
可绑定时间就在握手的时候发给模组就行了,如果你用自动代码生成,貌似没有留接口,不过你可以找到
源码对应的地方自己修改。

点评

明白了,多谢bike  详情 回复 发表于 2016-12-30 16:40

11

主题

25

帖子

333

积分

中级会员

Rank: 3Rank: 3

积分
333
8#
 楼主| 发表于 2016-12-30 16:40:56 | 只看该作者
bike 发表于 2016-12-21 01:29
可绑定时间就在握手的时候发给模组就行了,如果你用自动代码生成,貌似没有留接口,不过你可以找到
源码对 ...

明白了,多谢bike
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

加入Q群 返回顶部

版权与免责声明 © 2006-2024 Gizwits IoT Technology Co., Ltd. ( 粤ICP备11090211号 )

快速回复 返回顶部 返回列表