本發(fā)明屬于路由器技術(shù)領(lǐng)域，尤其涉及用于商業(yè)wifi的內(nèi)嵌證書安全認(rèn)證通訊機(jī)制。

背景技術(shù)：

現(xiàn)在市場上幾乎100%的免費(fèi)wifi網(wǎng)絡(luò)運(yùn)營商，都沒有解決免費(fèi)wifi系統(tǒng)安全接入的問題。由于免費(fèi)wifi為了滿足“開放性”這個(gè)業(yè)務(wù)主體性質(zhì)，主要以開放的免認(rèn)證的wifi熱點(diǎn)為基礎(chǔ)依托，使用明文http流進(jìn)行認(rèn)證，不會(huì)對(duì)認(rèn)證過程數(shù)據(jù)進(jìn)行加密，只通過域名和mac地址對(duì)認(rèn)證服務(wù)器與接入節(jié)點(diǎn)設(shè)備（ap）進(jìn)行簡單識(shí)別，并且使用無密碼保護(hù)的免認(rèn)證wifi接入模式wifi。

目前的路由器認(rèn)證機(jī)制使用免密碼認(rèn)證的wifi接入模式，全部數(shù)據(jù)都是明文傳輸，且由于wifi的工作特點(diǎn)，全部數(shù)據(jù)以廣播模式進(jìn)行傳輸，別人可以簡單的使用從網(wǎng)絡(luò)上下載的網(wǎng)絡(luò)監(jiān)聽工具來獲取到全部用戶的通訊數(shù)據(jù)，然后通過數(shù)據(jù)分析軟件的解析，近而得到用戶使用行為與隱私信息，根據(jù)數(shù)據(jù)分析軟件處理和解密能力甚至可以清楚地截取用戶消費(fèi)密碼等重要信息，其安全性能非常差。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明提供一種用于商業(yè)wifi的內(nèi)嵌證書安全認(rèn)證通訊機(jī)制，以解決上述背景技術(shù)中目前的路由器認(rèn)證機(jī)制使用免密碼認(rèn)證的wifi接入模式，全部數(shù)據(jù)都是明文傳輸，安全性能差的問題。

本發(fā)明所解決的技術(shù)問題采用以下技術(shù)方案來實(shí)現(xiàn)：本發(fā)明提供一種用于商業(yè)wifi的內(nèi)嵌證書安全認(rèn)證通訊機(jī)制，其特征在于，包括用戶、云服務(wù)器、路由器；

所述用戶用于通過使用設(shè)備內(nèi)嵌證書與路由器建立基于ssl安全套接字握手的連接方式，可以通過證書來判斷設(shè)備的安全性，用戶通過307報(bào)文將用戶重定向到認(rèn)證服務(wù)器，用戶與服務(wù)器之間的傳輸信息通過使用基于rsa機(jī)制與ssl安全證書進(jìn)行加密處理，頁面和接口被證書加密，使用256位密鑰進(jìn)行加密；

所述云服務(wù)器包括證書存儲(chǔ)模塊、路由訪問模塊、用戶訪問模塊；所述證書存儲(chǔ)模塊內(nèi)嵌了與路由器相互匹配的證書，所述路由訪問模塊用于通過對(duì)路由器進(jìn)行證書匹配驗(yàn)證，防止假路由器偽裝欺騙云服務(wù)器，所述用戶訪問模塊用于將與用戶的傳輸信息通過使用基于rsa機(jī)制與ssl安全證書進(jìn)行加密處理，頁面和接口被證書加密，使用256位密鑰進(jìn)行加密處理；

所述路由器內(nèi)嵌了與云服務(wù)器相互匹配的證書，可以通過證書判斷云服務(wù)器是不是他人偽造的云服務(wù)器，防止假云服務(wù)器偽裝欺騙路由器，路由器包括握手模塊、代理認(rèn)證模塊、認(rèn)證通道、驗(yàn)證模塊、嵌入設(shè)備flash；所述嵌入設(shè)備flash由uboot分區(qū)、系統(tǒng)分區(qū)、功能系統(tǒng)分區(qū)、安全證書分區(qū)組成，用于使用存儲(chǔ)方式固定地址定位方式對(duì)證書和該設(shè)備的mac地址進(jìn)行存儲(chǔ)，并且使用bas64對(duì)該分區(qū)數(shù)據(jù)進(jìn)行加密。

進(jìn)一步的，所述uboot分區(qū)用于根據(jù)系統(tǒng)引導(dǎo)支持nfs掛載、ramdisk形式的根文件系統(tǒng)、基本輔助功能強(qiáng)大的操作系統(tǒng)接口功能、crc32校驗(yàn)可校驗(yàn)flash中內(nèi)核、ramdisk鏡像文件是否完好、上電自檢功能sdram、flash大小自動(dòng)檢測、sdram故障檢測、特殊功能xip內(nèi)核引導(dǎo)；

進(jìn)一步的，所述系統(tǒng)分區(qū)用于系統(tǒng)內(nèi)嵌配置、系統(tǒng)的故障檢測還有系統(tǒng)的核心功能管理；

進(jìn)一步的，所述功能系統(tǒng)分區(qū)用于系統(tǒng)的功能列表、根據(jù)系統(tǒng)的需求進(jìn)行升級(jí)、并有云備份和云配置的功能；

進(jìn)一步的，所述安全證書分區(qū)用于系統(tǒng)直接內(nèi)嵌ca認(rèn)證證書，https安全傳輸認(rèn)證，結(jié)合現(xiàn)有瀏覽器內(nèi)置證書認(rèn)證檢測，防止釣魚設(shè)備冒充欺騙，并且支持第三方app無縫結(jié)合接口，三方app只需要對(duì)內(nèi)嵌證書進(jìn)行核對(duì)就可以防止釣魚ap的欺騙服務(wù)。

進(jìn)一步的，所述uboot分區(qū)中內(nèi)置一個(gè)啟動(dòng)映射進(jìn)程，在設(shè)備啟動(dòng)時(shí)通過uboot分區(qū)調(diào)用啟動(dòng)映射進(jìn)程，將安全證書分區(qū)內(nèi)容加載到一段指定內(nèi)存地址位中，在系統(tǒng)啟動(dòng)后將所述指定內(nèi)存地址位移交給證書驗(yàn)證進(jìn)程；證書驗(yàn)證進(jìn)程通過連接云端認(rèn)證服務(wù)器向服務(wù)器提交本機(jī)mac地址和證書加密分區(qū)內(nèi)容，由云端認(rèn)證服務(wù)器進(jìn)行解密，然后將對(duì)應(yīng)的解密秘鑰發(fā)還給證書驗(yàn)證進(jìn)程，證書驗(yàn)證進(jìn)程根據(jù)秘鑰對(duì)數(shù)據(jù)解密，同時(shí)將解密結(jié)果中的設(shè)備mac地址信息和本機(jī)設(shè)備進(jìn)行驗(yàn)證，然后將解密數(shù)據(jù)以虛擬文件的形式映射到認(rèn)證服務(wù)指定的目錄中，之后進(jìn)入正常認(rèn)證業(yè)務(wù)流程，認(rèn)證業(yè)務(wù)流程也會(huì)對(duì)解密的證書和設(shè)備mac地址進(jìn)行校驗(yàn)，通過307報(bào)文將用戶重定向到認(rèn)證服務(wù)器，服務(wù)器提供的證書會(huì)在用戶的瀏覽器或是客戶端中被驗(yàn)證出來，從而用戶可以看到自己的上網(wǎng)環(huán)境是否安全。

進(jìn)一步的，所述證書安全分區(qū)內(nèi)將要存儲(chǔ)的bas64加密信息和設(shè)備的mac地址，預(yù)先生成，然后使用芯片燒寫器對(duì)固定位地址內(nèi)信息直接替換。

本發(fā)明的有益效果為：

1、本發(fā)明將路由器和云服務(wù)器內(nèi)嵌入了相互匹配的證書，防止了惡意攻擊、大量連接等問題，大大提高了整體的安全性。

2、本發(fā)明中用戶訪問網(wǎng)絡(luò)，需接入路由，而在接入路由的時(shí)候，用戶可以通過證書來判斷設(shè)備的安全性，而這種判斷也可由客戶端來完成，防止用戶訪問假路由器。

3、本發(fā)明中用戶可以在路由器或是交換機(jī)內(nèi)驗(yàn)證證書的安全性，而不是僅僅的通過由服務(wù)器提供的portal頁面，防止了熱點(diǎn)利用服務(wù)器證書進(jìn)行欺騙。

4、本發(fā)明通過307報(bào)文將用戶重定向到認(rèn)證服務(wù)器，服務(wù)器提供的證書會(huì)在用戶的瀏覽器或是客戶端中被驗(yàn)證出來，從而用戶可以看到自己的上網(wǎng)環(huán)境是否安全。

5、本發(fā)明用戶與服務(wù)器之間的傳輸信息通過使用基于rsa機(jī)制與ssl安全證書進(jìn)行加密處理，頁面和接口被證書加密，使用256位密鑰進(jìn)行加密，不僅從途徑上阻止了監(jiān)聽，更是從內(nèi)容上徹底阻止了監(jiān)聽。

6、本發(fā)明的云服務(wù)器可以通過證書對(duì)路由器進(jìn)行驗(yàn)證而防止了惡意攻擊、大量連接等問題，因?yàn)樽C書阻擋了一部分的驗(yàn)證不能通過的設(shè)備，今兒大大地節(jié)約了設(shè)備的負(fù)載量。

7、本發(fā)明在數(shù)據(jù)通訊層面上提供了的基于該嵌入數(shù)字證書且兼容ieee802.1x標(biāo)準(zhǔn)的“基于證書的通信加密”，可以大大加大的本地?cái)?shù)據(jù)監(jiān)聽的難度，進(jìn)一步在用戶接入階段對(duì)用戶數(shù)據(jù)提供保護(hù)。

附圖說明

圖1是本發(fā)明的內(nèi)嵌證書安全認(rèn)證通訊機(jī)制結(jié)構(gòu)框圖；

圖2是本發(fā)明的內(nèi)嵌證書安全認(rèn)證通訊機(jī)制的連接圖；

圖3是本發(fā)明的內(nèi)嵌證書安全認(rèn)證通訊機(jī)制的流程圖。

具體實(shí)施方式

以下結(jié)合附圖對(duì)本發(fā)明做進(jìn)一步描述：

圖中：1-云服務(wù)器，2-路由器，3-用戶，4-握手模塊，5-安全證書分區(qū)，6-功能系統(tǒng)分區(qū)，7-系統(tǒng)分區(qū)，8-用戶訪問模塊，9-uboot分區(qū)，10-嵌入設(shè)備flash，11-驗(yàn)證模塊，12-，代理認(rèn)證模塊，13-認(rèn)證通道，14-證書存儲(chǔ)模塊，15-路由訪問模塊。

實(shí)施例：

本實(shí)施例包括：一種用于商業(yè)wifi的內(nèi)嵌證書安全認(rèn)證通訊機(jī)制，其特征在于，包括用戶3、云服務(wù)器1、路由器2；

用戶3用于通過使用設(shè)備內(nèi)嵌證書與路由器2建立基于ssl安全套接字握手的連接方式，可以通過證書來判斷設(shè)備的安全性，用戶3通過307報(bào)文將用戶3重定向到認(rèn)證服務(wù)器，用戶3與服務(wù)器之間的傳輸信息通過使用基于rsa機(jī)制與ssl安全證書進(jìn)行加密處理，頁面和接口被證書加密，使用256位密鑰進(jìn)行加密；

云服務(wù)器1包括證書存儲(chǔ)模塊14、路由訪問模塊15、用戶訪問模塊8；證書存儲(chǔ)模塊14內(nèi)嵌了與路由器2相互匹配的證書，路由訪問模塊15用于通過對(duì)路由器2進(jìn)行證書匹配驗(yàn)證，防止假路由器2偽裝欺騙云服務(wù)器1，用戶訪問模塊8用于將與用戶3的傳輸信息通過使用基于rsa機(jī)制與ssl安全證書進(jìn)行加密處理，頁面和接口被證書加密，使用256位密鑰進(jìn)行加密處理；

路由器2內(nèi)嵌了與云服務(wù)器1相互匹配的證書，可以通過證書判斷云服務(wù)器1是不是他人偽造的云服務(wù)器1，防止假云服務(wù)器1偽裝欺騙路由器2，路由器2包括握手模塊4、代理認(rèn)證模塊12、認(rèn)證通道13、驗(yàn)證模塊11、嵌入設(shè)備flash10；嵌入設(shè)備flash10由uboot分區(qū)9、系統(tǒng)分區(qū)7、功能系統(tǒng)分區(qū)76、安全證書分區(qū)5組成，用于使用存儲(chǔ)方式固定地址定位方式對(duì)證書和該設(shè)備的mac地址進(jìn)行存儲(chǔ)，并且使用bas64對(duì)該分區(qū)數(shù)據(jù)進(jìn)行加密。

uboot分區(qū)用于根據(jù)系統(tǒng)引導(dǎo)支持nfs掛載、ramdisk形式的根文件系統(tǒng)、基本輔助功能強(qiáng)大的操作系統(tǒng)接口功能、crc32校驗(yàn)可校驗(yàn)flash中內(nèi)核、ramdisk鏡像文件是否完好、上電自檢功能sdram、flash大小自動(dòng)檢測、sdram故障檢測、特殊功能xip內(nèi)核引導(dǎo)；

系統(tǒng)分區(qū)7用于系統(tǒng)內(nèi)嵌配置、系統(tǒng)的故障檢測還有系統(tǒng)的核心功能管理；

功能系統(tǒng)分區(qū)76用于系統(tǒng)的功能列表、根據(jù)系統(tǒng)的需求進(jìn)行升級(jí)、并有云備份和云配置的功能；

安全證書分區(qū)5用于系統(tǒng)直接內(nèi)嵌ca認(rèn)證證書，https安全傳輸認(rèn)證，結(jié)合現(xiàn)有瀏覽器內(nèi)置證書認(rèn)證檢測，防止釣魚設(shè)備冒充欺騙，并且支持第三方app無縫結(jié)合接口，三方app只需要對(duì)內(nèi)嵌證書進(jìn)行核對(duì)就可以防止釣魚ap的欺騙服務(wù)。

uboot分區(qū)中內(nèi)置一個(gè)啟動(dòng)映射進(jìn)程，在設(shè)備啟動(dòng)時(shí)通過uboot分區(qū)調(diào)用啟動(dòng)映射進(jìn)程，將安全證書分區(qū)5內(nèi)容加載到一段指定內(nèi)存地址位中，在系統(tǒng)啟動(dòng)后將指定內(nèi)存地址位移交給證書驗(yàn)證進(jìn)程；證書驗(yàn)證進(jìn)程通過連接云端認(rèn)證服務(wù)器向服務(wù)器提交本機(jī)mac地址和證書加密分區(qū)內(nèi)容，由云端認(rèn)證服務(wù)器進(jìn)行解密，然后將對(duì)應(yīng)的解密秘鑰發(fā)還給證書驗(yàn)證進(jìn)程，證書驗(yàn)證進(jìn)程根據(jù)秘鑰對(duì)數(shù)據(jù)解密，同時(shí)將解密結(jié)果中的設(shè)備mac地址信息和本機(jī)設(shè)備進(jìn)行驗(yàn)證，然后將解密數(shù)據(jù)以虛擬文件的形式映射到認(rèn)證服務(wù)指定的目錄中，之后進(jìn)入正常認(rèn)證業(yè)務(wù)流程，認(rèn)證業(yè)務(wù)流程也會(huì)對(duì)解密的證書和設(shè)備mac地址進(jìn)行校驗(yàn)，通過307報(bào)文將用戶3重定向到認(rèn)證服務(wù)器，服務(wù)器提供的證書會(huì)在用戶3的瀏覽器或是客戶端中被驗(yàn)證出來，從而用戶3可以看到自己的上網(wǎng)環(huán)境是否安全。

證書安全分區(qū)內(nèi)將要存儲(chǔ)的bas64加密信息和設(shè)備的mac地址，預(yù)先生成，然后使用芯片燒寫器對(duì)固定位地址內(nèi)信息直接替換。

工作原理：用戶訪問網(wǎng)絡(luò)，需接入路由，而在接入路由的時(shí)候，用戶可以通過證書來判斷設(shè)備的安全性，而這種判斷也可由終端應(yīng)用來完成；服務(wù)器和客戶端之間各內(nèi)嵌了證書，而且這對(duì)證書是互相匹配的，終端可以對(duì)服務(wù)器進(jìn)行驗(yàn)證，服務(wù)器也可以對(duì)終端進(jìn)行驗(yàn)證，終端可以通過證書判斷服務(wù)器是不是他人偽造的服務(wù)器，而服務(wù)器可以通過對(duì)終端進(jìn)行驗(yàn)證而防止了惡意攻擊、大量連接等問題，防止服務(wù)器偽裝欺騙終端設(shè)備，并且防止終端設(shè)備偽裝欺騙服務(wù)器；路由器通過307報(bào)文將用戶重定向到認(rèn)證服務(wù)器，服務(wù)器提供的證書會(huì)在用戶的瀏覽器或是客戶端中被驗(yàn)證出來，根據(jù)對(duì)第三方ca證書發(fā)行機(jī)構(gòu)與證書有效期進(jìn)行判定，通過結(jié)合現(xiàn)有瀏覽器內(nèi)置證書自動(dòng)檢測機(jī)制，從而用戶可以直接看到自己的上網(wǎng)環(huán)境是否安全；對(duì)用戶到服務(wù)器之間的傳輸信息通過使用基于rsa機(jī)制與ssl安全證書進(jìn)行加密處理，頁面和接口被證書加密，使用256位密鑰進(jìn)行加密，使得破解的難度大大增加，從而保障了傳輸?shù)陌踩?，不僅從途徑上阻止了監(jiān)聽，更是從內(nèi)容上徹底阻止了監(jiān)聽；通過使用設(shè)備內(nèi)嵌證書為用戶提供基于ssl安全套接字握手的連接方式，從傳輸通道與內(nèi)容層面做到每用戶獨(dú)立連接通道和數(shù)據(jù)傳輸加密，完全阻止了本地用戶間數(shù)據(jù)監(jiān)聽。

有益效果：本發(fā)明將路由器和云服務(wù)器內(nèi)嵌入了相互匹配的證書，防止了惡意攻擊、大量連接等問題，大大提高了整體的安全性；用戶訪問網(wǎng)絡(luò)，需接入路由，而在接入路由的時(shí)候，用戶可以通過證書來判斷設(shè)備的安全性，而這種判斷也可由客戶端來完成，防止用戶訪問假路由器；用戶可以在路由器或是交換機(jī)內(nèi)驗(yàn)證證書的安全性，而不是僅僅的通過由服務(wù)器提供的portal頁面，防止了熱點(diǎn)利用服務(wù)器證書進(jìn)行欺騙；通過307報(bào)文將用戶重定向到認(rèn)證服務(wù)器，服務(wù)器提供的證書會(huì)在用戶的瀏覽器或是客戶端中被驗(yàn)證出來，從而用戶可以看到自己的上網(wǎng)環(huán)境是否安全；用戶與服務(wù)器之間的傳輸信息通過使用基于rsa機(jī)制與ssl安全證書進(jìn)行加密處理，頁面和接口被證書加密，使用256位密鑰進(jìn)行加密，不僅從途徑上阻止了監(jiān)聽，更是從內(nèi)容上徹底阻止了監(jiān)聽；云服務(wù)器可以通過證書對(duì)路由器進(jìn)行驗(yàn)證而防止了惡意攻擊、大量連接等問題，因?yàn)樽C書阻擋了一部分的驗(yàn)證不能通過的設(shè)備，今兒大大地節(jié)約了設(shè)備的負(fù)載量；在數(shù)據(jù)通訊層面上提供了的基于該嵌入數(shù)字證書且兼容ieee802.1x標(biāo)準(zhǔn)的“基于證書的通信加密”，可以大大加大的本地?cái)?shù)據(jù)監(jiān)聽的難度，進(jìn)一步在用戶接入階段對(duì)用戶數(shù)據(jù)提供保護(hù)。

利用本發(fā)明所述的技術(shù)方案，或本領(lǐng)域的技術(shù)人員在本發(fā)明技術(shù)方案的啟發(fā)下，設(shè)計(jì)出類似的技術(shù)方案，而達(dá)到上述技術(shù)效果的，均是落入本發(fā)明的保護(hù)范圍。