一种路由器访问方法以及路由器与流程

1.本技术涉及物联网技术领域，尤其涉及一种路由器访问方法以及路由器。


背景技术：

2.物联网的浪潮影响到社会和生活的各个方面。其中，物联网是人类利用信息化技术解决现有生活问题。例如现代化家庭中通常存在多种终端，如包括手机、平板电脑、电视以及空调等下挂设备，而物联网可以解决物物之间的互联以及物物之间的数据交换，因此用户可通过物联网将现代家庭中的多种终端通过物联网互联。
3.目前为解决物联网中物物之间的互联以及物物之间的数据交换，通常物联网在联网时均基于物联网路由器来接入互联网，然后通过物联网路由器实现访问、控制等信息交互。如，平板电脑、电视以及空调等设备终端通过物联网路由器连接路由器服务器，移动终端通过移动终端app(application，应用程序)控制物联网路由器，调整或设置物联网路由器参数、通过物联网路由器控制访问或控制接入终端等。
4.目前移动终端以及设备终端通常采用wifi连接物联网路由器，而目前物联网路由器为方便用户的使用，初始化配置的wifi密码往往是物联网路由器的管理员密码，移动终端一旦能连接上物联网路由器即可知道物联网路由器的管理密码。若非法用户通过截取移动终端与物联网路由器之间的交互报文获得该密码，进而可不受限制的做出危害物联网路由器以及接入设备终端安全的操作。


技术实现要素：

5.本技术实施例提供了一种路由器访问方法以及路由器，提高物联网路由器会话的安全性。
6.第一方面，本技术提供了一种路由器访问方法，所述方法包括：
7.接收用户端发送的会话请求，所述会话请求中包括验证指令；
8.确定所述验证指令与所述路由器内存储的验证指令是否相同；
9.若所述验证指令与所述路由器内存储的验证指令相同，则根据所述会话请求建立与所述用户端的会话并向所述用户端返回更新后的验证指令，所述更新后的验证指令用于所述用户端下一次向所述路由器发送会话请求。
10.第二方面，本技术提供了一种路由器，包括控制器，所述控制器通信连接用户端；
11.所述路由器被配置为：
12.接收用户端发送的会话请求，所述会话请求中包括验证指令；
13.确定所述验证指令与所述路由器内存储的验证指令是否相同；
14.若所述验证指令与所述路由器内存储的验证指令相同，则根据所述会话请求建立与所述用户端的会话并向所述用户端返回更新后的验证指令，所述更新后的验证指令用于所述用户端下一次向所述路由器发送会话请求。
15.本技术提供的路由器访问方法以及路由器中，用户端向路由器发送的会话请求中
携带验证指令，路由器接收到用户端发送的会话请求，路由器通过确定会话请求中的验证指令与路由器内存储的验证指令是否相同来验证会话请求的真实有效性；当路由器确定会话请求中的验证指令与路由器内存储的验证指令相同时，根据会话请求建立与用户端的会话，处理会话，在一定程度上有助于保证用户端与路由器之间会话的安全性。且路由器更新验证指令并向用户端返回更新后的验证指令，更新后的验证指令用于用户端下一次向路由器发送会话请求中，进而可知本技术中用户端发送的会话请求中验证指令是动态可变的，增加用户端发送的会话请求被篡改的难度，有效避免会话请求被伪造，更进一步有助于保证用户端与路由器之间会话的安全性。
附图说明
16.为了更清楚地说明本发明的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
17.图1为本技术实施例提供的一种用户端与路由器的交互时序图；
18.图2为本技术实施例提供的一种路由器访问方法的流程示意图。
具体实施方式
19.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
20.本技术实施例中所涉及的物联网中包括路由器和用户端，用户端通信连接路由器，物联网中的下挂设备通信连接路由器。用户端可为设置有app的移动终端，因此在当前路由器的使用环境中，用户端通常使用wifi连接路由器，由于wifi信号不受地域隔离的影响，进而将会使路由器暴露在危险的环境中，如非法用户可不受限制的做出危害物联网路由器以及接入设备终端安全的操作。
21.在本技术实施例中，为保证用户端与路由器之间会话的安全性，避免会话被窃取以及篡改等，本技术实施例提供了一种路由器访问方法。本技术实施例提供的路由器访问方法中涉及用户端和路由器。图1为本技术实施例提供用户端与路由器的交互时序图，用户端上设置app，用于通过操作app实现用户端与路由器之间的交互。用户端的数量可不止一个。如图1所示，用户端向路由器发送会话请求以建立用户端与路由器之间的会话，进而实现用户登录、访问路由器等。
22.图2为本技术实例提供的一种路由器访问方法的流程示意图，本技术实施例提供的路由器访问方法，用于路由器。如图2所示，本技术实施例提供的一种路由器访问方法，包括：
23.s100：接收用户端发送的会话请求，所述会话请求中包括验证指令。
24.当用户需要登录、访问路由器以及通过路由器中控制其下挂设备时，用户操作用户端向路由器发送会话请求。因此本技术实施例中的会话请求包括预鉴权请求、登录请求、修改登录密码请求等。
25.在本技术实施例中，用户端向路由器发送的会话请求中包括验证指令。进而当路由器接收到用户端发送的会话请求，可在会话请求中获得验证指令。如，路由器解析接收到的会话请求，从中获取该会话请求中携带的验证指令。
26.可选的，验证指令可以为具有一定长度的字符串，如用户端或路由器以时间为种子生成的随机字符串。当用户端第一次向路由器发送会话请求时，会话请求中的验证指令是用户端自身生成。进一步，在本技术实施例中，验证指令可包括一条一定长度的字符串，还可以包括多条一定长度的字符串。如，验证指令包括两条一定长度的字符串，进而验证指令包括第一口令和第二口令。
27.s200：确定所述验证指令与所述路由器内存储的验证指令是否相同。
28.在本技术实施例中，路由器内通常存储有与用户对应的验证指令，当路由器接收到用户端发送的会话请求并获取会话请求中的验证指令，将会通过比较确定会话请求中的验证指令与路由器内存储的验证指令是否相同进行验证指令校验。若会话请求中的验证指令与路由器内存储的验证指令相同，则建立路由器与用户端的会话、处理会话请求等，具体可执行步骤s300。若会话请求中的验证指令与路由器内存储的验证指令不相同，则可认为会话请求为伪造的请求，路由器不予以进行会话处理。
29.若会话请求中的验证指令包括第一口令和第二口令，则分别对第一口令和第二口令进行比较确定，只有当第一口令和第二口令与路由器内存储的口令分别相同时，才可认为会话请求中的验证指令与路由器内存储的验证指令相同。
30.在本技术实例中，如果用户端第一次向路由器发送会话请求，用户端像路由器发送的会话请求中包含的验证指令往往不可能与路由器中存储的验证指令相同；或者，路由器中并没有存储有与该用户端对应的验证指令。进而当路由器接收到用户端发送的会话请求，先进行确定用户端发送的会话请求是否为用户端第一次向路由器发送会话请求；或者，先进行确定当路由器接收到用户端发送的会话请求时，路由器中手否存储有与该用户端对应的验证指令。当确定用户端发送的会话请求并非用户第一次向路由器发送会话请求且路由器接收到用户端发送的会话请求时其内存储有与该用户端对应的验证指令，则进行比较确定会话请求中的验证指令与路由器内存储的验证指令是否相同进行验证指令校验。
31.s300：若所述验证指令与所述路由器内存储的验证指令相同，则根据所述会话请求建立与所述用户端的会话并向所述用户端返回更新后的验证指令，所述更新后的验证指令用于所述用户端下一次向所述路由器发送会话请求。
32.当确定会话请求中的验证指令与路由器内存储的验证指令相同，则认为用户端向路由器发送的会话请求是真实有效的，将建立路由器与用户端之间的会话，路由器根据用户端发送的会话请求进行处理，并将处理结果返回至用户端。当会话请求中的验证指令验证成功后，路由器将更新其内存储的验证指令，并当路由器返回结果或请求至用户端时将更新后的验证指令一起返回至用户端，以使用户端在发送下一次会话请求时使用该更新后的验证指令，因而当用户端下一次向路由器发送会话请求时，会话请求中的验证指令为路由器返回至用户端的验证指令。
33.在本技术实施例提供的路由器访问方法中，用户端向路由器发送的会话请求中携带验证指令，路由器接收到用户端发送的会话请求，路由器通过确定会话请求中的验证指令与路由器内存储的验证指令是否相同来验证会话请求的真实有效性；当路由器确定会话
请求中的验证指令与路由器内存储的验证指令相同时，根据会话请求建立与用户端的会话，处理会话，在一定程度上有助于保证用户端与路由器之间会话的安全性。且路由器更新验证指令并向用户端返回更新后的验证指令，更新后的验证指令用于用户端下一次向路由器发送会话请求中，进而可知本技术中用户端发送的会话请求中验证指令是动态可变的，增加用户端发送的会话请求被篡改的难度，有效避免会话请求被伪造，更进一步有助于保证用户端与路由器之间会话的安全性。
34.进而在本技术实施例中，用户端第n次向路由器发送的会话请求中包括第n-1次会话时路由器返回的验证指令，因此可实现用户端与路由器会话过程中验证指令的动态更新。在传统的用户端与路由器会话过程中，使用固定的session(会话控制)保持会话连接，报文一旦被截获将可能被伪造，而本技术实施例中通过动态更新的验证指令可有效增加会话请求中的报文被伪造的难度以及避免伪造的报文被操作，保证了用户端与路由器之间的会话安全性。
35.在本技术实施例中，用户端与路由器之间的会话请求以及路由器返回至用户端的报文基于restful构架进行封装。restful构架通常基于使用http，uri，和json、xml以及html这些现有的广泛流行的协议和标准。使用restful架构，可将客户端与应用端之间的交互抽象为json报文，减少信息的交互量，将路由器中的所有参数抽象为资源，每个资源定义“增”、“删”、“改”、“查”，使用url直接操作，数据与业务分离，路由器端用客户端可分别设计，减少耦合，客户端亦可以整体委托第三方开发，极大缩减开发成本。
36.在本技术实施例中，路由器通过以时间为种子生成随机字符串，以该随机字符串作为初始的验证指令，进而当用户端第一次向路由器发送会话请求时，路由器将该初始的验证指令返回至用户端，用户端将该初始的验证指令作为其第二次向路由器发送会话请求时使用的验证指令。后续路由器更新生成的验证指令可以初始的验证指令为基础通过md5迭代获得第二次返回的验证指令，以此类推路由器更新验证指令可以上一次返回的验证指令为基础通过md5迭代获得，如第n次返回的验证指令可以第n-1次返回的验证指令基础通过md5迭代获得，n＞2。
37.在本技术实施例中，为保证用户登录过程中的安全性，当用户端向路由器发送会话请求以进行预鉴权，用户端发送的会话请求通过预鉴权验证路由器则向用户端返回请求；当用户端接收到路由器的返回请求，用户端向路由器发送会话请求以进行鉴权，进行用户登录密码的验证，当登录密码验证成功时，则用户成功登录路由器。
38.为进一步保证用户登录过程中的安全性，当用户登录时，用户端与路由器之间的交互可选的：用户端向路由器发送用于预鉴权的会话请求，路由器验证用于预鉴权的会话请求中的验证指令，校验成功后建立路由器与用户端的会话，并向用户端返回更新后的验证指令以及密码迭代次数和盐值，密码迭代次数和盐值用于鉴权过程中用户端向路由器发送用于用户登录的会话请求时计算登录密码散列值。
39.在本技术实施例中，在用户登录时，用户端向路由器发送用于用户登录的会话请求时，会话请求中不直接使用登录密码，而是使用根据密码迭代次数和盐值计算处理后获得的登录密码散列值。盐值为路由器随机生成的，通常当用户首次提供密码时(通常是注册时)，由路由器自动往这个密码里撒一些“佐料”，然后再散列其具体内容获得登录密码散列值，其中的“佐料”即为盐值。路由器将盐值返回至相应的用户端，进而具体盐值只有路由器
和相应的用户端知道。当用户登录时，用户端向路由器发送与该盐值一起处理后的登录密码散列值至路由器，相较于直接使用登录密码或直接对密码进行散列的登录密码散列值，非法用户很难通过自己的密码和自己生成的散列值来找到具有该登录密码的用户。通常路由器返回给不同的用户端不同的盐值，进而即使两个用户使用了同样的密码，而由于路由器给予他们的盐值不同，他们的登录密码散列值将不同，进而非法用户很难通过自己的密码和自己生成的散列值来找到具有特定登录密码的用户。
40.路由器接收用户端发送的登录请求，获取该登录请求中的登录密码散列值，并根据路由器内存储的登录密码、密码迭代次数和盐值计算获得目标登录密码散列值，将从登录请求中获取的登录密码散列值与路由器计算获得目标登录密码散列值进行比较。如果登录请求中获取的登录密码散列值与路由器计算获得目标登录密码散列值一致，则用户端通过了验证，可用户端可登录路由器；如果登录请求中获取的登录密码散列值与路由器计算获得目标登录密码散列值不一致，则用户端未通过验证，用户端不可登录路由器。
41.在本技术实施例中，用户端以盐值为参数并hmac-sha1算法按照密码迭代次数计算获得登录密码散列值；路由器根据其内存储的登录密码、密码迭代次数和盐值并基于hmac-sha1算法计算获得目标登录密码散列值。
42.假设某一时刻用户登录路由器，用户端向路由器发送用于预鉴权的会话请求，路由器接收用户端发送的会话请求，会话请求的报文如下：
[0043][0044]
其中，
[0045]
"csrf_param":"dee767f49e1cf1ddd63e3bbe57489542"
[0046]
"csrf_token":"0291780fc2a3c2e19b477eeac51a4dee"
[0047]
为验证指令。
[0048]
若路由器内存储有与该用户端对应的验证指令相同验证指令，则验证指令校验通过，否则验证指令校验不通过。当验证指令通过时，路由器更新验证指令并将更新后的验证指令返回至用户端。
[0049]
但若是上述会话请求为用户端第一次向路由器发送的会话请求，上述验证指令通常不会被验证成功，因此当路由器获知上述会话请求为用户端向路由器发送的第一次会话请求，路由器返回验证指令至用户端。
[0050]
路由器向用户端返回的报文如下：
[0051][0052]
其中：
[0053]
"csrf_param":"81145517f4fafde4ade30b01762b7b0b"
[0054]
"csrf_token":"a64a428fd9be6834454c329fec0177b8"
[0055]
为更新后的验证指令。当用户端向路由器发送用于鉴权的会话请求时，会话请求中的验证指令将使用该验证指令。
[0056]
"iterations":1000,
[0057]
"salt":"81145517f4fafde4ade30b01762b7b0b"
[0058]
分别为路由器给出的密码迭代次数以及盐值。
[0059]
用户端向路由器发送用户鉴权的会话请求，具体报文如下：
[0060][0061]
其中：
[0062]
"clientproof":"2ebbf5c7f00dd2f1c2b63a6af0fa9dc7588f37e4dacf33cc53b135437246f1da"为用户端根据接收到的密码迭代次数和盐值计算处理后获得的登录密码散列值。
[0063]
当路由器接收到用于鉴权的会话请求时，根据路由器内存储的登录密码、密码迭代次数和盐值计算获得目标登录密码散列值，路由器比较计算获得目标登录密码散列值和从会话请求中获得的登录密码散列值。当比较计算获得目标登录密码散列值和从会话请求中获得的登录密码散列值一致时，用户端发送的用于鉴权的会话请求的验证通过。
[0064]
若在用户端用于鉴权的会话请求的验证通过，用户端成功登录，若用户操作用户端进行登录密码重置，用户端向路由器发送用于登录密码重置的会话请求，路由器接收到用于登录密码重置的会话请求并根据该会话请求向用户端返回加密后的公钥、签名以及验签，加密后的公钥、签名以及验签用于用户端发送更改登录密码的报文，用于保证更改密码
时用户端与路由器之间会话的安全性。
[0065]
如，路由器想用户端返回的报文如下：
[0066][0067][0068]
其中：公钥为"rsae"和"rsan"，签名为"rsapubkeysignature"，验签为"serversignature"。
[0069]
可选的，本技术实施例中，路由器使用rsa加密算法加密计算公钥、签名以及验签。使用rsa加密算法有助于增加密码设置过程中的破译难度，进一步保证登录密码设置过程中的会话的安全性。另外，在用户端与路由器的会话过程中，若需要对某段报文整体加密，可在报文的content-type头中添加字段enc等。
[0070]
基于本技术实施例提供的路由器访问方法，本技术实施例还提供了一种路由器。本技术实施例提供的路由器包括控制器，所述控制器通信连接用户端；所述控制器海北配置为：
[0071]
接收所述用户端发送的会话请求，所述会话请求中包括验证指令；
[0072]
确定所述验证指令与所述路由器内存储的验证指令是否相同；
[0073]
若所述验证指令与所述路由器内存储的验证指令相同，则根据所述会话请求建立与所述用户端的会话并向所述用户端返回更新后的验证指令，所述更新后的验证指令用于所述用户端下一次向所述路由器发送会话请求。
[0074]
本技术实施例提供的路由器，具体实施以及效果可参见本技术实施例提供的路由器访问方法。
[0075]
最后应说明的是：本实施例采用递进方式描述，不同部分可以相互参照；另外，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。