用于商业WiFi的内嵌证书安全认证通讯机制制造技术

本发明专利技术属于路由器技术领域，尤其涉及一种用于商业WiFi的内嵌证书安全认证通讯机制，包括用户、云服务器、路由器；所述用户用于通过使用设备内嵌证书与路由器建立基于SSL安全套接字握手的连接方式；所述云服务器包括证书存储模块、路由访问模块、用户访问模块；路由器包括握手模块、代理认证模块、认证通道、验证模块、嵌入设备Flash。本发明专利技术中用户访问网络，需接入路由，而在接入路由的时候，用户可以通过证书来判断设备的安全性，而这种判断也可由客户端来完成，防止用户访问假路由器。

Embedded certificate security authentication communication mechanism for commercial WiFi

The invention belongs to the technical field of the router, especially relates to a commercial embedded WiFi security certificate communication mechanism, including users, cloud server, router; for the user through the use of embedded equipment certificate and routers establish SSL security socket connection handshake based on; the cloud server includes the certificate storage module, routing module, access the user access module; the router includes handshake authentication module, authentication module, agent channel, authentication module, embedded equipment Flash. In the invention, user access network, access to routing, and when the access route, users can use the certificate to determine the safety of the equipment, and this judgment can be made by the client to complete, to prevent false user access router.

【技术实现步骤摘要】
用于商业WiFi的内嵌证书安全认证通讯机制
本专利技术属于路由器
，尤其涉及用于商业WiFi的内嵌证书安全认证通讯机制。
技术介绍
现在市场上几乎100%的免费WiFi网络运营商，都没有解决免费WiFi系统安全接入的问题。由于免费WiFi为了满足“开放性”这个业务主体性质，主要以开放的免认证的WiFi热点为基础依托，使用明文Http流进行认证，不会对认证过程数据进行加密，只通过域名和MAC地址对认证服务器与接入节点设备（AP）进行简单识别，并且使用无密码保护的免认证WiFi接入模式WiFi。目前的路由器认证机制使用免密码认证的WiFi接入模式，全部数据都是明文传输，且由于WiFi的工作特点，全部数据以广播模式进行传输，别人可以简单的使用从网络上下载的网络监听工具来获取到全部用户的通讯数据，然后通过数据分析软件的解析，近而得到用户使用行为与隐私信息，根据数据分析软件处理和解密能力甚至可以清楚地截取用户消费密码等重要信息，其安全性能非常差。
技术实现思路
本专利技术提供一种用于商业WiFi的内嵌证书安全认证通讯机制，以解决上述
技术介绍
中目前的路由器认证机制使用免密码认证的WiFi接入模式，全部数据都是明文传输，安全性能差的问题。本专利技术所解决的技术问题采用以下技术方案来实现：本专利技术提供一种用于商业WiFi的内嵌证书安全认证通讯机制，其特征在于，包括用户、云服务器、路由器；所述用户用于通过使用设备内嵌证书与路由器建立基于SSL安全套接字握手的连接方式，可以通过证书来判断设备的安全性，用户通过307报文将用户重定向到认证服务器，用户与服务器之间的传输信息通过使用基于RSA机制与SSL安全证书进行加密处理，页面和接口被证书加密，使用256位密钥进行加密；所述云服务器包括证书存储模块、路由访问模块、用户访问模块；所述证书存储模块内嵌了与路由器相互匹配的证书，所述路由访问模块用于通过对路由器进行证书匹配验证，防止假路由器伪装欺骗云服务器，所述用户访问模块用于将与用户的传输信息通过使用基于RSA机制与SSL安全证书进行加密处理，页面和接口被证书加密，使用256位密钥进行加密处理；所述路由器内嵌了与云服务器相互匹配的证书，可以通过证书判断云服务器是不是他人伪造的云服务器，防止假云服务器伪装欺骗路由器，路由器包括握手模块、代理认证模块、认证通道、验证模块、嵌入设备Flash；所述嵌入设备Flash由Uboot分区、系统分区、功能系统分区、安全证书分区组成，用于使用存储方式固定地址定位方式对证书和该设备的MAC地址进行存储，并且使用BAS64对该分区数据进行加密。进一步的，所述Uboot分区用于根据系统引导支持NFS挂载、RAMDISK形式的根文件系统、基本辅助功能强大的操作系统接口功能、CRC32校验可校验FLASH中内核、RAMDISK镜像文件是否完好、上电自检功能SDRAM、FLASH大小自动检测、SDRAM故障检测、特殊功能XIP内核引导；进一步的，所述系统分区用于系统内嵌配置、系统的故障检测还有系统的核心功能管理；进一步的，所述功能系统分区用于系统的功能列表、根据系统的需求进行升级、并有云备份和云配置的功能；进一步的，所述安全证书分区用于系统直接内嵌CA认证证书，HTTPS安全传输认证，结合现有浏览器内置证书认证检测，防止钓鱼设备冒充欺骗，并且支持第三方APP无缝结合接口，三方APP只需要对内嵌证书进行核对就可以防止钓鱼AP的欺骗服务。进一步的，所述Uboot分区中内置一个启动映射进程，在设备启动时通过Uboot分区调用启动映射进程，将安全证书分区内容加载到一段指定内存地址位中，在系统启动后将所述指定内存地址位移交给证书验证进程；证书验证进程通过连接云端认证服务器向服务器提交本机MAC地址和证书加密分区内容，由云端认证服务器进行解密，然后将对应的解密秘钥发还给证书验证进程，证书验证进程根据秘钥对数据解密，同时将解密结果中的设备MAC地址信息和本机设备进行验证，然后将解密数据以虚拟文件的形式映射到认证服务指定的目录中，之后进入正常认证业务流程，认证业务流程也会对解密的证书和设备MAC地址进行校验，通过307报文将用户重定向到认证服务器，服务器提供的证书会在用户的浏览器或是客户端中被验证出来，从而用户可以看到自己的上网环境是否安全。进一步的，所述证书安全分区内将要存储的BAS64加密信息和设备的MAC地址，预先生成，然后使用芯片烧写器对固定位地址内信息直接替换。本专利技术的有益效果为：1、本专利技术将路由器和云服务器内嵌入了相互匹配的证书，防止了恶意攻击、大量连接等问题，大大提高了整体的安全性。2、本专利技术中用户访问网络，需接入路由，而在接入路由的时候，用户可以通过证书来判断设备的安全性，而这种判断也可由客户端来完成，防止用户访问假路由器。3、本专利技术中用户可以在路由器或是交换机内验证证书的安全性，而不是仅仅的通过由服务器提供的portal页面，防止了热点利用服务器证书进行欺骗。4、本专利技术通过307报文将用户重定向到认证服务器，服务器提供的证书会在用户的浏览器或是客户端中被验证出来，从而用户可以看到自己的上网环境是否安全。5、本专利技术用户与服务器之间的传输信息通过使用基于RSA机制与SSL安全证书进行加密处理，页面和接口被证书加密，使用256位密钥进行加密，不仅从途径上阻止了监听，更是从内容上彻底阻止了监听。6、本专利技术的云服务器可以通过证书对路由器进行验证而防止了恶意攻击、大量连接等问题，因为证书阻挡了一部分的验证不能通过的设备，今儿大大地节约了设备的负载量。7、本专利技术在数据通讯层面上提供了的基于该嵌入数字证书且兼容IEEE802.1X标准的“基于证书的通信加密”，可以大大加大的本地数据监听的难度，进一步在用户接入阶段对用户数据提供保护。附图说明图1是本专利技术的内嵌证书安全认证通讯机制结构框图；图2是本专利技术的内嵌证书安全认证通讯机制的连接图；图3是本专利技术的内嵌证书安全认证通讯机制的流程图。具体实施方式以下结合附图对本专利技术做进一步描述：图中：1-云服务器，2-路由器，3-用户，4-握手模块，5-安全证书分区，6-功能系统分区，7-系统分区，8-用户访问模块，9-Uboot分区，10-嵌入设备Flash，11-验证模块，12-，代理认证模块，13-认证通道，14-证书存储模块，15-路由访问模块。实施例：本实施例包括：一种用于商业WiFi的内嵌证书安全认证通讯机制，其特征在于，包括用户3、云服务器1、路由器2；用户3用于通过使用设备内嵌证书与路由器2建立基于SSL安全套接字握手的连接方式，可以通过证书来判断设备的安全性，用户3通过307报文将用户3重定向到认证服务器，用户3与服务器之间的传输信息通过使用基于RSA机制与SSL安全证书进行加密处理，页面和接口被证书加密，使用256位密钥进行加密；云服务器1包括证书存储模块14、路由访问模块15、用户访问模块8；证书存储模块14内嵌了与路由器2相互匹配的证书，路由访问模块15用于通过对路由器2进行证书匹配验证，防止假路由器2伪装欺骗云服务器1，用户访问模块8用于将与用户3的传输信息通过使用基于RSA机制与SSL安全证书进行加密处理，页面和接口被证书加密，使用256位密钥进行加密处理；路本文档来自技高网...

【技术保护点】
一种用于商业WiFi的内嵌证书安全认证通讯机制，其特征在于，包括用户、云服务器、路由器；所述用户用于通过使用设备内嵌证书与路由器建立基于SSL安全套接字握手的连接方式，可以通过证书来判断设备的安全性，用户通过307报文将用户重定向到认证服务器，用户与服务器之间的传输信息通过使用基于RSA机制与SSL安全证书进行加密处理，页面和接口被证书加密，使用256位密钥进行加密；所述云服务器包括证书存储模块、路由访问模块、用户访问模块；所述证书存储模块内嵌了与路由器相互匹配的证书，所述路由访问模块用于通过对路由器进行证书匹配验证，防止假路由器伪装欺骗云服务器，所述用户访问模块用于将与用户的传输信息通过使用基于RSA机制与SSL安全证书进行加密处理，页面和接口被证书加密，使用256位密钥进行加密处理；所述路由器内嵌了与云服务器相互匹配的证书，可以通过证书判断云服务器是不是他人伪造的云服务器，防止假云服务器伪装欺骗路由器，路由器包括握手模块、代理认证模块、认证通道、验证模块、嵌入设备Flash；所述嵌入设备Flash由 Uboot分区、系统分区、功能系统分区、安全证书分区组成，用于使用存储方式固定地址定位方式对证书和该设备的MAC地址进行存储，并且使用BAS64对该分区数据进行加密。...

【技术特征摘要】
1.一种用于商业WiFi的内嵌证书安全认证通讯机制，其特征在于，包括用户、云服务器、路由器；所述用户用于通过使用设备内嵌证书与路由器建立基于SSL安全套接字握手的连接方式，可以通过证书来判断设备的安全性，用户通过307报文将用户重定向到认证服务器，用户与服务器之间的传输信息通过使用基于RSA机制与SSL安全证书进行加密处理，页面和接口被证书加密，使用256位密钥进行加密；所述云服务器包括证书存储模块、路由访问模块、用户访问模块；所述证书存储模块内嵌了与路由器相互匹配的证书，所述路由访问模块用于通过对路由器进行证书匹配验证，防止假路由器伪装欺骗云服务器，所述用户访问模块用于将与用户的传输信息通过使用基于RSA机制与SSL安全证书进行加密处理，页面和接口被证书加密，使用256位密钥进行加密处理；所述路由器内嵌了与云服务器相互匹配的证书，可以通过证书判断云服务器是不是他人伪造的云服务器，防止假云服务器伪装欺骗路由器，路由器包括握手模块、代理认证模块、认证通道、验证模块、嵌入设备Flash；所述嵌入设备Flash由Uboot分区、系统分区、功能系统分区、安全证书分区组成，用于使用存储方式固定地址定位方式对证书和该设备的MAC地址进行存储，并且使用BAS64对该分区数据进行加密。2.根据权利要求1所述的一种用于商业WiFi的内嵌证书安全认证通讯机制，其特征在于：所述Uboot分区用于根据系统引导支持NFS挂载、RAMDISK形式的根文件系统、基本辅助功能强大的操作系统接口功能、CRC32校验可校验FLASH中内核、RAMDISK镜像文件是否完好、上电自检功能SDRAM、FLASH大小自动检测、SDRAM故障检测、特殊功能XIP内核引导。3.根据权利要求1所述的一种用于商业WiFi的内嵌证书安全认证通讯机制，其特征在于...

【专利技术属性】
技术研发人员：梁肇亮，张寿权，王洋，杨勇健，
申请(专利权)人：天津赞普科技股份有限公司，
类型：发明
国别省市：天津,12