本發(fā)明屬于路由器技術(shù)領(lǐng)域，尤其涉及用于商業(yè)wifi的內(nèi)嵌證書安全認證通訊機制。

背景技術(shù)：

現(xiàn)在市場上幾乎100%的免費wifi網(wǎng)絡運營商，都沒有解決免費wifi系統(tǒng)安全接入的問題。由于免費wifi為了滿足“開放性”這個業(yè)務主體性質(zhì)，主要以開放的免認證的wifi熱點為基礎(chǔ)依托，使用明文http流進行認證，不會對認證過程數(shù)據(jù)進行加密，只通過域名和mac地址對認證服務器與接入節(jié)點設(shè)備（ap）進行簡單識別，并且使用無密碼保護的免認證wifi接入模式wifi。

目前的路由器認證機制使用免密碼認證的wifi接入模式，全部數(shù)據(jù)都是明文傳輸，且由于wifi的工作特點，全部數(shù)據(jù)以廣播模式進行傳輸，別人可以簡單的使用從網(wǎng)絡上下載的網(wǎng)絡監(jiān)聽工具來獲取到全部用戶的通訊數(shù)據(jù)，然后通過數(shù)據(jù)分析軟件的解析，近而得到用戶使用行為與隱私信息，根據(jù)數(shù)據(jù)分析軟件處理和解密能力甚至可以清楚地截取用戶消費密碼等重要信息，其安全性能非常差。

技術(shù)實現(xiàn)要素：

本發(fā)明提供一種用于商業(yè)wifi的內(nèi)嵌證書安全認證通訊機制，以解決上述背景技術(shù)中目前的路由器認證機制使用免密碼認證的wifi接入模式，全部數(shù)據(jù)都是明文傳輸，安全性能差的問題。

本發(fā)明所解決的技術(shù)問題采用以下技術(shù)方案來實現(xiàn)：本發(fā)明提供一種用于商業(yè)wifi的內(nèi)嵌證書安全認證通訊機制，其特征在于，包括用戶、云服務器、路由器；

所述用戶用于通過使用設(shè)備內(nèi)嵌證書與路由器建立基于ssl安全套接字握手的連接方式，可以通過證書來判斷設(shè)備的安全性，用戶通過307報文將用戶重定向到認證服務器，用戶與服務器之間的傳輸信息通過使用基于rsa機制與ssl安全證書進行加密處理，頁面和接口被證書加密，使用256位密鑰進行加密；

所述云服務器包括證書存儲模塊、路由訪問模塊、用戶訪問模塊；所述證書存儲模塊內(nèi)嵌了與路由器相互匹配的證書，所述路由訪問模塊用于通過對路由器進行證書匹配驗證，防止假路由器偽裝欺騙云服務器，所述用戶訪問模塊用于將與用戶的傳輸信息通過使用基于rsa機制與ssl安全證書進行加密處理，頁面和接口被證書加密，使用256位密鑰進行加密處理；

所述路由器內(nèi)嵌了與云服務器相互匹配的證書，可以通過證書判斷云服務器是不是他人偽造的云服務器，防止假云服務器偽裝欺騙路由器，路由器包括握手模塊、代理認證模塊、認證通道、驗證模塊、嵌入設(shè)備flash；所述嵌入設(shè)備flash由uboot分區(qū)、系統(tǒng)分區(qū)、功能系統(tǒng)分區(qū)、安全證書分區(qū)組成，用于使用存儲方式固定地址定位方式對證書和該設(shè)備的mac地址進行存儲，并且使用bas64對該分區(qū)數(shù)據(jù)進行加密。

進一步的，所述uboot分區(qū)用于根據(jù)系統(tǒng)引導支持nfs掛載、ramdisk形式的根文件系統(tǒng)、基本輔助功能強大的操作系統(tǒng)接口功能、crc32校驗可校驗flash中內(nèi)核、ramdisk鏡像文件是否完好、上電自檢功能sdram、flash大小自動檢測、sdram故障檢測、特殊功能xip內(nèi)核引導；

進一步的，所述系統(tǒng)分區(qū)用于系統(tǒng)內(nèi)嵌配置、系統(tǒng)的故障檢測還有系統(tǒng)的核心功能管理；

進一步的，所述功能系統(tǒng)分區(qū)用于系統(tǒng)的功能列表、根據(jù)系統(tǒng)的需求進行升級、并有云備份和云配置的功能；

進一步的，所述安全證書分區(qū)用于系統(tǒng)直接內(nèi)嵌ca認證證書，https安全傳輸認證，結(jié)合現(xiàn)有瀏覽器內(nèi)置證書認證檢測，防止釣魚設(shè)備冒充欺騙，并且支持第三方app無縫結(jié)合接口，三方app只需要對內(nèi)嵌證書進行核對就可以防止釣魚ap的欺騙服務。

進一步的，所述uboot分區(qū)中內(nèi)置一個啟動映射進程，在設(shè)備啟動時通過uboot分區(qū)調(diào)用啟動映射進程，將安全證書分區(qū)內(nèi)容加載到一段指定內(nèi)存地址位中，在系統(tǒng)啟動后將所述指定內(nèi)存地址位移交給證書驗證進程；證書驗證進程通過連接云端認證服務器向服務器提交本機mac地址和證書加密分區(qū)內(nèi)容，由云端認證服務器進行解密，然后將對應的解密秘鑰發(fā)還給證書驗證進程，證書驗證進程根據(jù)秘鑰對數(shù)據(jù)解密，同時將解密結(jié)果中的設(shè)備mac地址信息和本機設(shè)備進行驗證，然后將解密數(shù)據(jù)以虛擬文件的形式映射到認證服務指定的目錄中，之后進入正常認證業(yè)務流程，認證業(yè)務流程也會對解密的證書和設(shè)備mac地址進行校驗，通過307報文將用戶重定向到認證服務器，服務器提供的證書會在用戶的瀏覽器或是客戶端中被驗證出來，從而用戶可以看到自己的上網(wǎng)環(huán)境是否安全。

進一步的，所述證書安全分區(qū)內(nèi)將要存儲的bas64加密信息和設(shè)備的mac地址，預先生成，然后使用芯片燒寫器對固定位地址內(nèi)信息直接替換。

本發(fā)明的有益效果為：

1、本發(fā)明將路由器和云服務器內(nèi)嵌入了相互匹配的證書，防止了惡意攻擊、大量連接等問題，大大提高了整體的安全性。

2、本發(fā)明中用戶訪問網(wǎng)絡，需接入路由，而在接入路由的時候，用戶可以通過證書來判斷設(shè)備的安全性，而這種判斷也可由客戶端來完成，防止用戶訪問假路由器。

3、本發(fā)明中用戶可以在路由器或是交換機內(nèi)驗證證書的安全性，而不是僅僅的通過由服務器提供的portal頁面，防止了熱點利用服務器證書進行欺騙。

4、本發(fā)明通過307報文將用戶重定向到認證服務器，服務器提供的證書會在用戶的瀏覽器或是客戶端中被驗證出來，從而用戶可以看到自己的上網(wǎng)環(huán)境是否安全。

5、本發(fā)明用戶與服務器之間的傳輸信息通過使用基于rsa機制與ssl安全證書進行加密處理，頁面和接口被證書加密，使用256位密鑰進行加密，不僅從途徑上阻止了監(jiān)聽，更是從內(nèi)容上徹底阻止了監(jiān)聽。

6、本發(fā)明的云服務器可以通過證書對路由器進行驗證而防止了惡意攻擊、大量連接等問題，因為證書阻擋了一部分的驗證不能通過的設(shè)備，今兒大大地節(jié)約了設(shè)備的負載量。

7、本發(fā)明在數(shù)據(jù)通訊層面上提供了的基于該嵌入數(shù)字證書且兼容ieee802.1x標準的“基于證書的通信加密”，可以大大加大的本地數(shù)據(jù)監(jiān)聽的難度，進一步在用戶接入階段對用戶數(shù)據(jù)提供保護。

附圖說明

圖1是本發(fā)明的內(nèi)嵌證書安全認證通訊機制結(jié)構(gòu)框圖；

圖2是本發(fā)明的內(nèi)嵌證書安全認證通訊機制的連接圖；

圖3是本發(fā)明的內(nèi)嵌證書安全認證通訊機制的流程圖。

具體實施方式

以下結(jié)合附圖對本發(fā)明做進一步描述：

圖中：1-云服務器，2-路由器，3-用戶，4-握手模塊，5-安全證書分區(qū)，6-功能系統(tǒng)分區(qū)，7-系統(tǒng)分區(qū)，8-用戶訪問模塊，9-uboot分區(qū)，10-嵌入設(shè)備flash，11-驗證模塊，12-，代理認證模塊，13-認證通道，14-證書存儲模塊，15-路由訪問模塊。

實施例：

本實施例包括：一種用于商業(yè)wifi的內(nèi)嵌證書安全認證通訊機制，其特征在于，包括用戶3、云服務器1、路由器2；

用戶3用于通過使用設(shè)備內(nèi)嵌證書與路由器2建立基于ssl安全套接字握手的連接方式，可以通過證書來判斷設(shè)備的安全性，用戶3通過307報文將用戶3重定向到認證服務器，用戶3與服務器之間的傳輸信息通過使用基于rsa機制與ssl安全證書進行加密處理，頁面和接口被證書加密，使用256位密鑰進行加密；

云服務器1包括證書存儲模塊14、路由訪問模塊15、用戶訪問模塊8；證書存儲模塊14內(nèi)嵌了與路由器2相互匹配的證書，路由訪問模塊15用于通過對路由器2進行證書匹配驗證，防止假路由器2偽裝欺騙云服務器1，用戶訪問模塊8用于將與用戶3的傳輸信息通過使用基于rsa機制與ssl安全證書進行加密處理，頁面和接口被證書加密，使用256位密鑰進行加密處理；

路由器2內(nèi)嵌了與云服務器1相互匹配的證書，可以通過證書判斷云服務器1是不是他人偽造的云服務器1，防止假云服務器1偽裝欺騙路由器2，路由器2包括握手模塊4、代理認證模塊12、認證通道13、驗證模塊11、嵌入設(shè)備flash10；嵌入設(shè)備flash10由uboot分區(qū)9、系統(tǒng)分區(qū)7、功能系統(tǒng)分區(qū)76、安全證書分區(qū)5組成，用于使用存儲方式固定地址定位方式對證書和該設(shè)備的mac地址進行存儲，并且使用bas64對該分區(qū)數(shù)據(jù)進行加密。

uboot分區(qū)用于根據(jù)系統(tǒng)引導支持nfs掛載、ramdisk形式的根文件系統(tǒng)、基本輔助功能強大的操作系統(tǒng)接口功能、crc32校驗可校驗flash中內(nèi)核、ramdisk鏡像文件是否完好、上電自檢功能sdram、flash大小自動檢測、sdram故障檢測、特殊功能xip內(nèi)核引導；

系統(tǒng)分區(qū)7用于系統(tǒng)內(nèi)嵌配置、系統(tǒng)的故障檢測還有系統(tǒng)的核心功能管理；

功能系統(tǒng)分區(qū)76用于系統(tǒng)的功能列表、根據(jù)系統(tǒng)的需求進行升級、并有云備份和云配置的功能；

安全證書分區(qū)5用于系統(tǒng)直接內(nèi)嵌ca認證證書，https安全傳輸認證，結(jié)合現(xiàn)有瀏覽器內(nèi)置證書認證檢測，防止釣魚設(shè)備冒充欺騙，并且支持第三方app無縫結(jié)合接口，三方app只需要對內(nèi)嵌證書進行核對就可以防止釣魚ap的欺騙服務。

uboot分區(qū)中內(nèi)置一個啟動映射進程，在設(shè)備啟動時通過uboot分區(qū)調(diào)用啟動映射進程，將安全證書分區(qū)5內(nèi)容加載到一段指定內(nèi)存地址位中，在系統(tǒng)啟動后將指定內(nèi)存地址位移交給證書驗證進程；證書驗證進程通過連接云端認證服務器向服務器提交本機mac地址和證書加密分區(qū)內(nèi)容，由云端認證服務器進行解密，然后將對應的解密秘鑰發(fā)還給證書驗證進程，證書驗證進程根據(jù)秘鑰對數(shù)據(jù)解密，同時將解密結(jié)果中的設(shè)備mac地址信息和本機設(shè)備進行驗證，然后將解密數(shù)據(jù)以虛擬文件的形式映射到認證服務指定的目錄中，之后進入正常認證業(yè)務流程，認證業(yè)務流程也會對解密的證書和設(shè)備mac地址進行校驗，通過307報文將用戶3重定向到認證服務器，服務器提供的證書會在用戶3的瀏覽器或是客戶端中被驗證出來，從而用戶3可以看到自己的上網(wǎng)環(huán)境是否安全。

證書安全分區(qū)內(nèi)將要存儲的bas64加密信息和設(shè)備的mac地址，預先生成，然后使用芯片燒寫器對固定位地址內(nèi)信息直接替換。

工作原理：用戶訪問網(wǎng)絡，需接入路由，而在接入路由的時候，用戶可以通過證書來判斷設(shè)備的安全性，而這種判斷也可由終端應用來完成；服務器和客戶端之間各內(nèi)嵌了證書，而且這對證書是互相匹配的，終端可以對服務器進行驗證，服務器也可以對終端進行驗證，終端可以通過證書判斷服務器是不是他人偽造的服務器，而服務器可以通過對終端進行驗證而防止了惡意攻擊、大量連接等問題，防止服務器偽裝欺騙終端設(shè)備，并且防止終端設(shè)備偽裝欺騙服務器；路由器通過307報文將用戶重定向到認證服務器，服務器提供的證書會在用戶的瀏覽器或是客戶端中被驗證出來，根據(jù)對第三方ca證書發(fā)行機構(gòu)與證書有效期進行判定，通過結(jié)合現(xiàn)有瀏覽器內(nèi)置證書自動檢測機制，從而用戶可以直接看到自己的上網(wǎng)環(huán)境是否安全；對用戶到服務器之間的傳輸信息通過使用基于rsa機制與ssl安全證書進行加密處理，頁面和接口被證書加密，使用256位密鑰進行加密，使得破解的難度大大增加，從而保障了傳輸?shù)陌踩?，不僅從途徑上阻止了監(jiān)聽，更是從內(nèi)容上徹底阻止了監(jiān)聽；通過使用設(shè)備內(nèi)嵌證書為用戶提供基于ssl安全套接字握手的連接方式，從傳輸通道與內(nèi)容層面做到每用戶獨立連接通道和數(shù)據(jù)傳輸加密，完全阻止了本地用戶間數(shù)據(jù)監(jiān)聽。

有益效果：本發(fā)明將路由器和云服務器內(nèi)嵌入了相互匹配的證書，防止了惡意攻擊、大量連接等問題，大大提高了整體的安全性；用戶訪問網(wǎng)絡，需接入路由，而在接入路由的時候，用戶可以通過證書來判斷設(shè)備的安全性，而這種判斷也可由客戶端來完成，防止用戶訪問假路由器；用戶可以在路由器或是交換機內(nèi)驗證證書的安全性，而不是僅僅的通過由服務器提供的portal頁面，防止了熱點利用服務器證書進行欺騙；通過307報文將用戶重定向到認證服務器，服務器提供的證書會在用戶的瀏覽器或是客戶端中被驗證出來，從而用戶可以看到自己的上網(wǎng)環(huán)境是否安全；用戶與服務器之間的傳輸信息通過使用基于rsa機制與ssl安全證書進行加密處理，頁面和接口被證書加密，使用256位密鑰進行加密，不僅從途徑上阻止了監(jiān)聽，更是從內(nèi)容上徹底阻止了監(jiān)聽；云服務器可以通過證書對路由器進行驗證而防止了惡意攻擊、大量連接等問題，因為證書阻擋了一部分的驗證不能通過的設(shè)備，今兒大大地節(jié)約了設(shè)備的負載量；在數(shù)據(jù)通訊層面上提供了的基于該嵌入數(shù)字證書且兼容ieee802.1x標準的“基于證書的通信加密”，可以大大加大的本地數(shù)據(jù)監(jiān)聽的難度，進一步在用戶接入階段對用戶數(shù)據(jù)提供保護。

利用本發(fā)明所述的技術(shù)方案，或本領(lǐng)域的技術(shù)人員在本發(fā)明技術(shù)方案的啟發(fā)下，設(shè)計出類似的技術(shù)方案，而達到上述技術(shù)效果的，均是落入本發(fā)明的保護范圍。