本发明涉及无线通信技术领域,具体而言,涉及一种无线路由器的验证方法。
背景技术:
无线路由器接入基站时,有时在无线路由器与基站之间设置有中继设备,如ap(wirelessaccesspoint,无线访问接入点)设备。传统的无线路由器与ap设备之间的交互无验证过程或验证过程简单,存在连接风险。
技术实现要素:
针对上述现有技术中存在的问题,本发明提供了一种无线路由器的验证方法,可以提高无线路由器接入网络的安全性。
第一方面,本发明实施例提供了一种无线路由器的验证方法,应用于无线路由器,所述无线路由器内设有嵌入式安全芯片;所述方法包括:
获取所述无线路由器的设备信息;
使用所述嵌入式安全芯片中存储的芯片证书私钥对所述设备信息进行签名,得到第一签名数据;
根据所述第一签名数据生成路由器验证信息;
将所述路由器验证信息传输至所述无线路由器欲接入的ap设备,以使所述ap设备根据所述第一签名数据验证所述无线路由器。
结合第一方面,本发明实施例提供了第一方面的第一种可能的实施方式,其中,根据所述第一签名数据生成路由器验证信息的步骤,包括:
将所述设备信息、所述第一签名数据和所述嵌入式安全芯片中存储的芯片证书数据组合成路由器验证信息。
结合第一方面,本发明实施例提供了第一方面的第二种可能的实施方式,其中,将所述路由器验证信息传输至所述无线路由器欲接入的ap设备的步骤之后,所述方法还包括:
接收所述ap设备返回的连接响应消息;
如果所述连接响应消息指示验证通过,则接入所述ap设备。
结合第一方面,本发明实施例提供了第一方面的第三种可能的实施方式,其中,所述方法还包括:
当接收到用户终端发送的用户身份验证信息时,使用所述嵌入式安全芯片中存储的芯片证书私钥对所述用户身份验证信息和所述设备信息进行签名,得到第二签名数据;
根据所述用户身份验证信息、所述设备信息、所述第二签名数据和所述嵌入式安全芯片中存储的芯片证书数据生成终端验证信息,将所述终端验证信息发送至所述无线路由器的后台验证服务器;
接收所述后台验证服务器返回的验证结果;
根据所述验证结果确定是否允许所述用户终端接入。
结合第一方面,本发明实施例提供了第一方面的第四种可能的实施方式,其中,所述方法还包括:
当接收到管理终端发送的管理验证消息时,确定所述管理验证消息中的签名证书的完整性;
如果所述签名证书完整,使用所述签名证书验证所述管理验证消息中的第三签名数据;
如果验证通过,允许所述管理终端访问所述无线路由器的安全配置管理系统。
第二方面,本发明实施例还提供了一种无线路由器,包括处理器和与所述处理器连接的嵌入式安全芯片;所述嵌入式安全芯片用于存储芯片证书私钥和芯片证书数据;
所述处理器用于执行上述方法所对应的程序。
第三方面,本发明实施例还提供了一种无线路由器的验证系统,包括ap设备和上述的无线路由器;所述无线路由器通过所述ap设备连接移动网络;
所述ap设备用于接收到所述无线路由器发送的签名数据,根据所述签名数据对所述无线路由器进行身份验证,以确定是否添加所述无线路由器。
结合第三方面,本发明实施例提供了第三方面的第一种可能的实施方式,其中,所述ap设备还用于接收到路由器验证信息后,对所述路由器验证信息中的芯片证书数据的有效性和所述第一签名数据进行验证,根据验证结果确定是否允许所述无线路由器接入。
结合第三方面,本发明实施例提供了第三方面的第二种可能的实施方式,其中,所述系统还包括:用户终端和后台验证服务器;所述用户终端和所述后台验证服务器均与所述无线路由器连接;
所述无线路由器通过所述后台验证服务器对所述用户终端的身份信息进行验证,以确定是否允许所述用户终端接入;
所述后台验证服务器用于在接收到所述无线路由器发送的终端验证信息之后,查找与所述终端验证信息中的设备信息对应的芯片证书公钥,使用查找到的所述芯片证书公钥对所述终端验证信息中的第二签名数据和用户身份验证信息进行验证,验证所述终端验证信息中的芯片证书数据的有效性,将验证结果返回至所述无线路由器。
结合第三方面,本发明实施例提供了第三方面的第三种可能的实施方式,其中,所述系统还包括管理终端,所述管理终端与所述无线路由器连接,用于通过验证后对所述无线路由器进行安全配置管理;所述管理终端上连接有安全管理登陆装置,用于对管理员的身份信息进行签名。
本发明实施例带来了以下有益效果:
本发明实施例提供的无线路由器的验证方法、无线路由器及其验证系统,无线路由器内设有嵌入式安全芯片,使用嵌入式安全芯片中存储的芯片证书私钥对设备信息进行签名;将签名数据传输至ap设备,以使ap设备根据签名数据对无线路由器进行身份验证,以判断无线路由器身份的合法性,可以提高无线路由器接入网络的安全性。
本发明的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例所提供的无线路由器的验证方法的流程图;
图2为本发明一实施例所提供的无线路由器与ap设备的交互图;
图3为本发明一实施例所提供的用户终端与无线路由器的交互图;
图4为本发明一实施例所提供的管理终端与无线路由器的交互图;
图5为本发明一实施例所提供的无线路由器的结构框图;
图6为本发明一实施例所提供的无线路由器的验证系统的结构框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
针对现有的无线路由器存在连接风险的问题,本发明实施例提供了一种无线路由器的验证方法、无线路由器及其验证系统,以下首先对本发明的无线路由器的验证方法进行详细介绍。
实施例一
本实施例提供了一种无线路由器的验证方法,应用于无线路由器,无线路由器内设有嵌入式安全芯片,嵌入式安全芯片内存储有芯片证书私钥和芯片证书数据。如图1所示,该方法包括:
步骤s102,获取无线路由器的设备信息。
步骤s104,使用嵌入式安全芯片中存储的芯片证书私钥对设备信息进行签名,得到第一签名数据。
从无线路由器的指定存储区获取无线路由器的设备信息,使用嵌入式安全芯片中存储的芯片证书私钥对获取的设备信息进行签名。
步骤s106,根据第一签名数据生成路由器验证信息。
将设备信息、第一签名数据和嵌入式安全芯片中存储的芯片证书数据组合成路由器验证信息。
步骤s108,将路由器验证信息传输至无线路由器欲接入的ap设备,以使ap设备根据第一签名数据验证无线路由器。
ap设备为连接在无线路由器与通讯基站之间的中继设备。如图2所示,ap设备接收到无线路由器发送的路由器验证信息,对路由器验证信息中的芯片证书数据的有效性和第一签名数据进行验证,其中,芯片证书数据代表无线路由器的身份,验证芯片证书数据的有效性,可以判断无线路由器身份的合法性。ap设备根据验证结果确定是否允许无线路由器接入。
可选地,上述方法还包括:无线路由器接收ap设备返回的连接响应消息;如果连接响应消息指示验证通过,则接入ap设备。
本发明实施例提供的无线路由器的验证方法,无线路由器内设有嵌入式安全芯片,使用嵌入式安全芯片中存储的芯片证书私钥对设备信息进行签名;将签名数据传输至ap设备,以使ap设备根据签名数据对无线路由器进行身份验证,以判断无线路由器身份的合法性,可以提高无线路由器接入网络的安全性。
考虑到现有的用户终端接入无线路由器时,仅通过口令或用户名+密码的方式进行验证,容易被破解。在一可选的实施例中,上述方法还包括:当接收到用户终端发送的用户身份验证信息时,使用嵌入式安全芯片中存储的芯片证书私钥对用户身份验证信息和设备信息进行签名,得到第二签名数据;根据用户身份验证信息、设备信息、第二签名数据和嵌入式安全芯片中存储的芯片证书数据生成终端验证信息,将终端验证信息发送至无线路由器的后台验证服务器;接收后台验证服务器返回的验证结果;根据验证结果确定是否允许用户终端接入。
具体地,如图3所示,用户终端欲接入无线路由器时,先获取用户终端的身份信息;使用用户终端的签名证书的私钥对身份信息进行签名;根据身份信息、签名结果和签名证书生成用户身份验证信息,将用户身份验证信息发送至无线路由器。无线路由器接收到用户终端发送的用户身份验证信息,使用嵌入式安全芯片中存储的芯片证书私钥对用户身份验证信息和设备信息进行签名,得到第二签名数据;将用户身份验证信息、设备信息、第二签名数据和嵌入式安全芯片中存储的芯片证书数据组合成终端验证信息,将终端验证信息发送至无线路由器的后台验证服务器。后台服务器接收的无线路由器发送的终端验证信息,查找与设备信息对应的芯片证书公钥,使用查找到的芯片证书公钥对第二签名数据和终端验证信息进行验证,验证芯片证书数据的有效性,将验证结果返回至无线路由器。无线路由器根据验证结果确定是否允许用户终端接入。
与现有的口令验证的方法相比,该方法可以验证接入无线路由器的用户终端的身份,提高安全性。
由于现有的通过验证用户名和密码的方式登录策略配置,用户名和密码容易破解,导致非法用户修改无线路由器的安全策略。在另一可选的实施例中,上述方法还可以包括:
当无线路由器接收到管理终端发送的管理验证消息时,确定管理验证消息中的签名证书的完整性;如果签名证书完整,使用签名证书验证管理验证消息中的第三签名数据;如果验证通过,允许管理终端访问无线路由器的安全配置管理系统。
具体地,如图4所示,管理员可以通过管理终端对无线路由器进行安全配置管理。管理终端可以是计算机或移动终端,管理终端上连接有安全管理登陆装置,例如ukey。管理员通过管理终端登陆无线路由器的管理界面,管理终端获取安全管理登陆装置的身份信息及调用安全管理登陆装置的签名接口,采用安全管理登陆装置对应的签名私钥进行数据签名,根据安全管理登陆装置的身份信息、签名结果和签名证书生成管理验证消息,发送管理验证消息至无线路由器。无线路由器接收到管理终端发送的管理验证信息,确定管理验证消息中的签名证书的完整性;如果签名证书完整,使用签名证书验证管理验证消息中的第三签名数据;如果验证通过,允许管理终端访问无线路由器的安全配置管理系统,对无线路由器的安全配置参数进行调整。
通过上述方法,可以防止非法用户进入无线路由器的安全配置管理系统,修改无线路由器的安全策略。
实施例二
本实施例提供了一种无线路由器,如图5所示,该无线路由器5包括处理器51和与处理器51连接的嵌入式安全芯片52。嵌入式安全芯片52用于存储芯片证书私钥和芯片证书数据。
嵌入式安全芯片52封装在无线路由器5内,嵌入式安全芯片52与处理器51之间采用自定义通讯协议,完成芯片证书申请、下载、应用。嵌入式安全芯片52提供数字签名、签名验证、证书有效性验证功能,通过pki技术保障无线路由器的安全控制。嵌入式安全芯片52支持国密算法(对称算法sm4、hash算法sm3、非对称算法sm2);加密密钥以及签名私钥存在于嵌入式芯片的加密存储区,只能在芯片内部使用,外部无法读取保证密钥数据(对称密钥、私钥)存储安全。
处理器51可以是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器51中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器51可以是通用处理器,包括中央处理器(centralprocessingunit,简称cpu)、网络处理器(networkprocessor,简称np)等;还可以是数字信号处理器(digitalsignalprocessing,简称dsp)、专用集成电路(applicationspecificintegratedcircuit,简称asic)、现成可编程门阵列(field-programmablegatearray,简称fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。处理器52可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。
实施例三
本实施例提供了一种无线路由器的验证系统,如图6所示,该系统包括ap设备3和无线路由器5;无线路由器5通过ap设备3接入网络。
ap设备3用于接收到无线路由器5发送的签名数据,根据签名数据对无线路由器5进行身份验证,以确定是否允许无线路由器5接入。ap设备3还用于接收到路由器验证信息后,对路由器验证信息中的芯片证书数据的有效性和第一签名数据进行验证,根据验证结果确定是否允许无线路由器5接入。
可选地,该系统还可以包括用户终端1和后台验证服务器2。用户终端1和后台验证服务器2均与无线路由器5连接。无线路由器5通过后台验证服务器2对用户终端1的身份信息进行验证,以确定是否允许用户终端1接入。
后台验证服务器2用于在接收到无线路由器5发送的终端验证信息之后,查找与终端验证信息中的设备信息对应的芯片证书公钥,使用查找到的芯片证书公钥对终端验证信息中的第二签名数据和用户身份验证信息进行验证,验证终端验证信息中的芯片证书数据的有效性,将验证结果返回至无线路由器5。
可选地,该系统还包括管理终端4,管理终端4与无线路由器5连接,用于通过验证后对无线路由器5进行安全配置管理;管理终端4上连接有安全管理登陆装置,例如ukey。安全管理登陆装置用于对管理员的身份信息进行签名。
本发明实施例提供的无线路由器的验证系统,无线路由器内设有嵌入式安全芯片,使用嵌入式安全芯片中存储的芯片证书私钥对设备信息进行签名;将签名数据传输至ap设备,以使ap设备根据签名数据对无线路由器进行身份验证,以判断无线路由器身份的合法性,可以提高无线路由器接入网络的安全性。同时,可以对接入无线路由器的用户终端进行身份验证,进一步提高无线路由器网络的安全性。并且,管理终端需要安装安全管理登陆装置,对管理员的身份进行验证,可以防止非法用户进入无线路由器的安全配置管理系统,修改无线路由器的安全策略。
本发明实施例提供的无线路由器的验证方法、无线路由器及其验证系统具有相同的技术特征,所以也能解决相同的技术问题,达到相同的技术效果。
需要说明的是,在本发明所提供的实施例中,应该理解到,所揭露系统和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明提供的实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:u盘、移动硬盘、只读存储器(rom,read-onlymemory)、随机存取存储器(ram,randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。
此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。