备分配临时的访客账号、临时公共密钥等方式,并在后续提及的身份验证阶段,对具有临时的访客账号的第二设备进行身份验证,从而在维护无线网络资源环境的安全的同时,实现网络设备对第二设备的统一管理。
[0157]图3示出根据本申请再一个方面的一种用于提供无线网络资源的第一设备的设备示意图。其中,所述第一设备I包括第二装置11、第五装置12及第八装置13,所述第二装置11用于向网络设备发起的资源注册请求,所述第五装置12用于获取第二设备发起的通信请求,根据所述通信请求发起验证请求以请求所述网络设备对所述第一设备和所述第二设备进行身份验证;所述第八装置13用于获取所述网络设备所返回的关于所述第一设备和第二设备的身份验证信息,并根据所述身份验证信息处理所述通信请求。
[0158]在此,本申请中所述的第一设备I可以是网关设备,例如路由器、及能够提供无线热点的设备,例如手机、台式电脑、PDA、掌上电脑PPC或平板电脑等。本领域技术人员应能理解上述第一设备仅为举例,其他现有的或今后可能出现的能够使用无线网络资源上网的第一设备,如可适用于本申请,也应包含在本申请保护范围以内,并在此以引用方式包含于此。
[0159]具体地,所述第二装置11向网络设备发起资源注册请求时,首先生成资源注册证书,并向所述网络设备提交资源信息。
[0160]在具体的实施例中,所述第二装置11生成的资源注册证书包括公共密钥和与其公共密钥相应的私有密钥,第一设备的私有密钥由第一设备I自身保存,所述第一设备的公共密钥供网络设备及身份验证通过的第二设备使用,以实现第一设备与网络设备、第一设备与第二设备的安全保密通信。同时,所述资源的注册信息可包括第一设备的账号、第一设备的密码及服务集标识资源名称等,所述第一设备的硬件信息可包括硬件地址(mac地址)及网络带宽等,所述第一设备的密钥信息可包括所述第一设备的公共密钥。
[0161]具体地,所述第二装置11生成的资源注册证书可以是采用公钥体制的数字证书。在此,数字证书利用一对互相匹配的密钥进行加密、解密,包括公共密钥(公钥)和私有密钥(私钥)。每个设备生成设定一把特定的仅为自身所知的私有密钥(私钥),用私有密钥进行解密和签名;同时设定一把公共密钥(公钥)并由自身公开,用于加密和验证签名,为一组设备所共享。使用公钥加密的内容只能用私钥解密,使用私钥加密的内容只能用对应公钥解密,能够保证信息就可以安全无误地到达目的地。
[0162]在此,所述第一设备的资源注册证书,本申请提及的网络设备的网络证书及第二设备的用户资源注册证书都可同样采用数字证书方式,即网络设备、第一设备及第二设备均具有相应的公共密钥和私有密钥,通过相应公共密钥和私有密钥配合加密、解密通信传输数据,以保证在通信数据只能被指定设备解密获取,从而保证网络设备、第一设备I及第二设备之间的通信数据能够安全传输到达,进而确保无线网络资源环境的安全性。
[0163]当然,本领域技术人员应能理解利用数字证书方式实现第一设备的资源注册证书、及本申请提及的网络设备的网络证书和第二设备的用户资源注册证书的描述仅为举例,其他现有的或今后可能出现的能够实现设备间通信数据安全地传输的方式如可适用于本申请,也应包含在本申请保护范围以内,并在此以引用方式包含于此。
[0164]接着,所述第一装置11获取所述网络设备所返回的资源注册反馈信息。在所述资源注册反馈信息可包括所述第一设备的SSID信息(Service Set Identifier,服务集标识)和所述网络设备的公共密钥。在此,所述网络设备的公共密钥是由所述网络设备生成的网络证书的公共密钥,所述网络设备生成的网络证书还包括与公共密钥相应的私有密钥。
[0165]在较佳的实施例中,所述第一设备的SSID信息包括:资源标识前缀、资源名称及资源验证码。在此,所述第一设备的SSID信息能够便于资源使用方查找到资源提供方,所述资源标识前缀可以例如但不限于=Openwifi ;所述资源名称可以是资源提供方注册的资源账号,也可以是其他标识;资源标识前缀、资源名称及资源验证码之间可以用特定标识符区分,所述特定标识符可以例如但不限于“;所述资源验证码是由所述第一装置11利用其私有密钥加密生成的,且包括所述第一设备的账号和一串由所述网络设备生成的随机数。
[0166]第二设备在发起通信请求前,先通过搜索、查找获取能够访问到的网络资源,具体通过检索第一设备的SSID信息,找到具有资源标识前缀,例如以“openwifi”前缀开始的SSID信息对应的第一设备I。第二设备使用网络设备的公共密钥解密所述资源验证码,获取第一设备的账号和一串由所述网络设备生成的随机数,将第一设备的账号和资源名称进行比对,如果一致则说明该第一设备为已在网络设备中注册的合法网络资源提供方,第二设备即可安全地向该第一设备发起通信请求。进一步的,第二设备发起的通信请求以密文的形式发送,关于所述通信请求的密文是由所述第二设备利用网络设备的公共密钥加密生成的,且所述关于所述通信请求的密文包括:由所述第二设备利用其私有密钥对该第二设备的账号、密码及当前时间进行加密生成的密文,以及所述第二设备的账号。
[0167]接着,所述第五装置12获取第二设备发起的通信请求,并利用所述网络设备的公共密钥解密关于所述通信请求的密文,以获取所述通信请求的内容。随后,所述第五装置12根据所述通信请求发起验证请求。首先第五装置12利用所述网络设备的公共密钥加密生成关于所述验证请求的密文,所述关于验证请求的密文包括:由第五装置12利用所述第一设备的私有密钥对该第一设备的账号、密码及当前时间进行加密生成的密文,以及所述第一设备的账号,其后第五装置12将所述关于验证请求的密文发送给所述网络设备。
[0168]在具体的实施例中,所述第二设备发起通信请求的过程包括:所述第二设备将第二设备的账号、密码及当前时间等用第二设备的私有密钥加密,生成密文cryptograph_user_nick_password,使用第二设备的私有密钥加密能够确保该密文只能有当前第二设备生成;接着,所述第二设备再将第二设备的账号与密文cryptograph_user_nick_password拼在一起利用网络设备的公共密钥进行加密,生成的密文send_packet_from_cIient ;利用网络设备的公共密钥加密用以确保加密内容在整个网络通讯中都是保密的,只有网络设备可以将密文send_packet_from_cIient解密。
[0169]具体实现代码例如但不限于:
[0170]send_packet_from_c Iient
[0171]= encrypt(encrypt(user_nick+user_password)user_private_key
[0172]+user_nick)wifi_server_public_key
[0173]在具体的实施例中,所述第一设备接收到第二设备发起的通信请求后,发起验证请求的步骤包括:利用第一设备的私有密钥将第一设备的账号、密码及当前时间用第二设备的私有密钥进行加密,生成密文cryptograph_router_nick_password,将密文cryptograph_router_nick_pass word和第一设备的账号,以及接收到的关于第二设备的通信请求的密文send_packet_from_cIient打包并用网络设备的公共密钥进行加密,将打包加密后的密文,作为接入第一设备的验证请求,发送到所述网络设备。
[0174]具体实现代码例如但不限于:
[0175]send_packet_from_router
[0176]= encrypt (router_nick+encrypt(router_nick+router_password)
[0177]router_private_key+send_packet_from_client)wifi_server_public_key
[0178]接着,所述网络设备返回关于第一设备的身份验证信息和第二设备的身份验证信息,返回关于第一设备的身份验证信息和第二设备的身份验证信息的过程与图1中网络设备根据所述验证请求返回关于所述第一设备和第二设备的身份验证信息的内容相同或基本相同,为简明起见,故在此不再赘述,并以引用的方式包含于此。
[0179]接着,所述第八装置13首先获取关于所述第一设备和第二设备的身份验证信息的密文,并利用所述网络设备的公共密钥解密所述身份验证信息,以获取关于所述第二设备的身份验证信息。
[0180]然后,所述第八装置13识别所述第二设备的身份验证信息,若所述第二设备的身份验证信息为不合法,则所述第一设备中断通信;若所述第二设备的身份验证信息为合法,则所述第一设备向所述第二设备发送通信反馈信息。所述通信反馈信息是由所述第一设备利用所述第二设备的公共密钥加密生成的,且所述通信反馈信息包括:第一设备的身份验证信息及由所述第一设备生成的所述第一设备与所述第二设备之间的加密通道的密钥。对第二设备的身份验证通过后,第一设备获取的关于第二设备的身份验证信息中具有第二设备的公共密钥,第一设备可以利用第二设备的公用密钥对通信反馈信息进行加密,以便第二设备安全解密。第一设备随后开放其网络资源。
[0181]在具体的实施例中,所述第八装置13获取所述网络设备发回的关于第一设备和第二设备的身份验证信息后,用网络设备的公共密钥进行解密,解密出密文cryptograph,user_pass和密文cryptograph_router_pass。根据所述的加密方式,采用相应的密钥进行解密,其中,对密文cryptograph_user_pass使用第一设备的私有密钥进行解密,确认第二设备是否是一个合法的第二设备。
[0182]如果第二设备的身份验证为合法,则生成一个密钥sess1n_router_key,将该密钥sess1n_router_key和密文cryptograph_router_pass —起利用第二设备的公共密钥进行打包加密,并将打包的密文发送给提交通信申请的第二设备,并对该第二设备开放其网络资源。
[0183]此后,所述第二设备获取所述通信反馈信息,并利用网络设备的公共密钥解密所述通信反馈信息,在利用第二设备的私有密钥解密关于第一设备的身份验证信息,再次对第一设备是否已注册的合法设备进行认证。完成认证后,第二设备即可使用第一设备提供网络资源。
[0184]完成认证后,第二设备即可使用第一设备提供网络资源。
[0185]在具体的实施例中,所述第二设备获取所述通信反馈信息,使用第二设备的私有密钥对所述通信反馈信息进行解密。具体的,通过对密文cryptograph_router_pass进行解密,获取第一设备的身份验证信息判断当前第一设备是否是一个已注册的合法设备。完成认证后,当前第二设备即可使用第一设备提供的无线网络资源。
[0186]与现有技术相比,本申请的一个实施例中第一设备通过向网络资源的设备进行统一注册,并在第二设备向第一设备发起通信请求时,请求网络设备对第一设备和第二设备进行身份验证,并返回关于第一设备和第二设备的身份验证信息至第一设备。此后,第一设备获取所述身份验证信息,并根据所述身份验证信息处理所述通信请求,并在对第二设备的身份验证合法后向相应第一设备开放网络资源,从而在保证网络安全的同时,实现网络资源的集中,提高网络资源的冗余性,扩大网络覆盖面,进而改善用户的使用体验。
[0187]进一步地,所述网络设备生成网络证书、所述第一设备生成资源注册证书,所述第二设备生成用户注册证书,所述网络设备、第一设备及第二设备在通信请求和身份验证阶段传输的数据都通过相应的公共密钥和私有密钥进行解密和相应加密,保证第一设备和第二设备在通信请求和身份验证阶段数据都能够安全、保密地传输,进而提供一个安全的网络资源环境。
[0188]图4示出根据本申请一个优选实施例的一种用于提供无线网络资源的网络设备和第一设备的设备示意图。所述网络设备3包括第一装置31”’、第四装置32”’及第七装置33”’,所述第一设备I包括第二装置11”’、第五装置12”’及第八装置13”’。网络设备3的第一装置31”’获取并处理第一设备I的第二装置11”’的发起的资源注册请求,第一设备I的第五装置12”’根据获取到的第二设备发起的通信请求,向网络设备3的第四装置32”’发起验证请求,网络设备3的第四装置32”’根据验证请求获取对第一设备和第二设备进行身份验证,网络设备3的第七装置33”’返回关于所述第一设备和第二设备的身份验证信息,第一设备I的第八装置13”’获取所述身份验证信息,并根据所述身份验证信息处理所述通信请求。在此,网络设备3的第一装置31”’、第四装置32”’及第七装置33”’与图1中网络设备3的相应的第一装置31、第四装置32及第七装置33的内容相同或基本相同,并且第一设备I的第二装置11”’、第五装置12”’及第八装置13”’与图2中第一设备I的第二装置12、第五装置12及第八装置13的内容相同或基本相同,为简明期间,故在此不再赘述,并以引用的方式包含于此。
[0189]图5示出根据本申请又一个优选实施例的一种用于提供无线网络资源的第一设备和第二设备的设备示意图,所述第一设备I包括第二装置11””、第五装置12””及第八装置13””,第二设备2包括第三装置21””、第六装置22””和第九装置23””,所述第三装置用于向网络设备发起用户注册请求,所述第六装置用于向第一设备发起通信请求,所述第九装置用于向用于获取通信反馈信息。具体地,第二设备2的第三装置21””向网络设备发起用户注册请求之后,第二设备2的第六装置22””向第一设备I的第五装置12””发起的通信请求,第一设备I的第八装置13””根据通信请求,请求网络设备对第一设备I和第二设备2进行身份验证,并根据身份验证信息生成通信反馈信息,第二设备的第九装置23””获取所述通信反馈信息。在此,第一设备I的第二装置11””、第五装置12””及第八装置13””与图2中第一设备I的第二装置12、第五装置12及第八装置13的内容相同或基本相同,为简明期间,故在此不再赘述,并以引用的方式包含于此。
[0190]在具体的实施例中,所述第八装置13””识别所述第二设备的身份验证信息,若所述第二设备的身份验证信息为不合法,则所述第一设备I中断通信;若所述第二设备的身份验证信息为合法,则所述第一设备I向所述第二设备发送通信反馈信息,并开放其网络资源。接着,所述第二设备2的九装置23””获取所述通信反馈信息,使用第二设备的私有密钥对所述通信反馈信息进行解密。具体的,通过对关于第一设备的身份验证信息的密文进行解密,获取第一设备的身份验证信息判断当前第一设备I是否是一个已注册的合法设备。完成认证后,当前第二设备即可使用第一设备提供的无线网络资源。
[0191]在此,本申请中所述的第二设备2可以是任何一种可与用户(在申请中用户包括资源使用方)通过键盘、鼠标、触摸板、触摸屏、手写设备、遥控器、或声控设备等方式进行人机交互的电子产品,例如移动式计算机、手机、PDA、掌上电脑PPC、平板电脑等。在此,所述第二设备2包括一种能够按照事先设定或存储的指令,自动进行数值计算和信息处理的电子设备,其硬件包括但不限于微处理器、专用集成电路(ASIC)、可编程门阵列(FPGA)、数字处理器(DSP)、嵌入式设备等。本领域技术人员应能理解上述第一设备仅为举例,其他现有的或今后可能出现的能够使用无线网络资源继续数据通信的设备,如可适用于本申请,也应包含在本申请保护范围以内,并在此以引用方式包含于此。
[0192]此后,在第二设备2使用第一设备I提供的网络资源过程中,网络数据的传输可以根据安全性采用三种方式:明文数据传输方式、无线部分加密传输方式以及全程加密传输方式。具体地,明文数据传输方式为第一设备I与第二设备2以及第二设备2与网络服务器之间的数据都是明文的,明文数据传输方式适用于数据传输效率要求较高且安全性要求低的数据传输。无线部分加密传输方式为在第二设备2和第一设备I之间传输数据时,除原有网络协议的安全保障外,都使用之前认证时生成的所述第一设备I与所述第二设备2之间的加密通道的密钥对通信数据进行加密,同时在该密文数据包的头部增加标识符以实现第一设备I对该加密数据包的识别。无线部分加密传输方式可以进一步确保第二设备2和第一设备I之间的通讯部分的安全性。此外,全程加密传输方式为第一设备I与第二设备2以及第二设备2与网络服务器之间的数据都是经过加密的,第二设备2发送的数据使用所述第一设备I与所述第二设备2之间的加密通道的密钥进行加密,经第一设备I转发至网络设备进行解密,由所述网络设备进行解密后发送给目标服务器。全程加密传输方式防止确保传输的数据被其他第一设备I获取,确保网络数据的传输的安全性。
[0193]图6示出根据本申请再一个方面的网络设备端实现提供无线网络资源的的方法流程图。结合图6及所述用于提供无线网络资源的网络设备,所述方法包括以下步骤:
[0194]步骤SOl:获取第一设备发起的资源注册请求;
[0195]步骤S02:在所述第二设备向所述第一设备发起的通信请求时,获取所