CN112291279A - 路由器内网访问方法、***、设备以及可读存储介质 - Google Patents

Abstract

本发明公开了一种路由器内网访问方法、***、设备以及可读存储介质，该方法接收至少一个访问请求；从所述访问请求中提取用户证书，对所述用户证书进行解析，获得所述用户证书的身份标识；对所述访问请求进行授权认证，若通过授权认证，将所述访问请求进行加密处理，并根据所述身份标识将加密的所述访问请求发送至服务器。通过对内网采用访问请求解密、用户证书解析、身份标识认证等多重认证，代替了单一性验证，并在内网访问接入与数据传输过程进行加密，克服了传统外网访问接入的安全性不足的弊端，排除无效、非法的接入，起到了流量控制目的，避免了网络资源拥塞，提高了网络资源的利用性。

Description

路由器内网访问方法、***、设备以及可读存储介质

技术领域

本发明涉及内网访问安全技术领域，尤其涉及一种路由器内网访问方法、***、设备以及可读存储介质。

背景技术

目前，路由器对终端的认证方式主要是用户名加密码的认证方式，即终端接入路由器时，向路由器上报用于进行身份认证的用户名和密码，若路由器对接收到的用户名和密码认证通过，则表示该终端具有使用网络的权限，允许其访问互联网；否则，表示该终端不具有使用网络的权限，限制其访问互联网。

在内网访问控制领域，一般使用路由器集成VPN的方式，账号授权往往设置与VPN路由器端，因此失去了对访问终端的控制。所以当路由器VPN账号授权后，任何使用该路由器的终端都可无差别的访问内部网络。另一方面，使用VPN的方式进行内网，其原理在于创建了虚拟网卡，使用VPN的设备除了可以访问业务***外，同时也能访问内网中的任意服务器***，安全粒度过粗，内部服务器***易受攻击。除此之外，路由器上的授权往往不能按照每一个终端设备进行授权，而且路由器到内网的流量容易被截获。因此上述访问内网服务的方式在账号控制方式和网络层级上无法满足细粒度的安全要求。

针对上述这种情况，本发明提出了一种路由器内网访问方法及***，能够有效地对现有技术进行改进，以克服其不足。

发明内容

本发明针对现有技术的不足，本发明提供了一种路由器内网访问方法、***、设备以及可读存储介质，以解决现有技术的上述问题。

其具体方案如下：

第一方面，本发明提供了一种路由器内网访问方法，所述方法包括：

接收至少一个访问请求；

从所述访问请求中提取用户证书，对所述用户证书进行解析，获得所述用户证书的身份标识；

对所述访问请求进行授权认证，若通过授权认证，将所述访问请求进行加密处理，并根据所述身份标识将加密的所述访问请求发送至服务器。

优选地，所述从所述访问请求中提取用户证书，对所述用户证书进行解析，获得所述用户证书的身份标识，所述方法包括：

所述路由器使用私钥对用户终端的所述访问请求进行解密，以获取所述用户终端的用户证书；

对所述用户证书与预设证书扩展关键字进行分析比较，根据分析比较结果得到解析后的用户证书中的证书扩展字段；

根据所述证书扩展字段得到所述用户终端中的身份标识。

优选地，所述身份标识包括设备身份标识与设备内网，所述将所述访问请求进行加密处理，并根据所述身份标识将加密的所述访问请求发送至服务器之前，所述方法还包括：

当所述用户证书中的设备身份标识与设备内网地址未获得授权认证时，要求发起所述至少一个访问请求的用户终端通过网页登录方式进行授权认证。

优选地，所述方法还包括：

所述服务器接收、解密所述访问请求，并根据解密的所述访问请求对用户终端及所述用户终端需访问的业务***进行权限判断；

若所述用户终端有权访问所述业务***，所述服务器将解密的所述访问请求发送至所述业务***，并接收所述业务***的响应数据。

优选地，所述方法还包括：

所述服务器对接收的所述响应数据进行加密，并将加密的所述响应数据返回至所述路由器；

所述路由器接收、解密加密的所述响应数据，解析获取明文的所述响应数据，并将所述响应数据返回至所述用户终端。

第二方面，本发明提供了一种路由器内网访问设备，所述设备包括：

接收模块，用于接收至少一个访问请求；

解析模块，用于从所述访问请求中提取用户证书，对所述用户证书进行解析，获得所述用户证书的身份标识；

认证模块，用于对所述访问请求进行授权认证，若通过授权认证，将所述访问请求进行加密处理，并根据所述身份标识将加密的所述访问请求发送至服务器。

第三方面，本发明提供了一种路由器内网访问***，所述***包括：

通信总线，用于实现处理器与存储器间的连接通信；

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序以实现如下步骤：

接收至少一个访问请求；

从所述访问请求中提取用户证书，对所述用户证书进行解析，获得所述用户证书的身份标识；

对所述访问请求进行授权认证，若通过授权认证，将所述访问请求进行加密处理，并根据所述身份标识将加密的所述访问请求发送至服务器。

第四方面，本发明提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如第一方面所述的方法。

本发明的有益效果：本发明的路由器内网访问方法及***，通过对内网采用访问请求解密、用户证书解析、身份标识认证等多重认证，代替了单一性验证，并在内网访问接入与数据传输过程进行加密，克服了传统外网访问接入的安全性不足的弊端，排除无效、非法的接入，起到了流量控制目的，避免了网络资源拥塞，提高了网络资源的利用性。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，附图中的实施例不构成对本发明的任何限制，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明路由器内网访问***一实施例总体示意图。

图2是本发明路由器内网访问方法一实施例流程示意图。

图3是本发明路由器内网访问设备一实施例结构示意图。

图4是本发明路由器内网访问***一实施例结构示意图。

具体实施方式

下面结合附图与实施例对本发明技术方案作进一步详细的说明，这是本发明的较佳实施例。应当理解，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例；需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例技术方案的主要思想：接收至少一个访问请求；从所述访问请求中提取用户证书，对所述用户证书进行解析，获得所述用户证书的身份标识；对所述访问请求进行授权认证，若通过授权认证，将所述访问请求进行加密处理，并根据所述身份标识将加密的所述访问请求发送至服务器。

为了更好的理解上述的技术方案，下面将结合说明书附图以及具体的实施方式对上述技术方案进行详细的说明。

实施例一

本实施例提供了一种路由器内网访问方法，该路由器内网访问方法如图2所示具体可以包括如下步骤：

S101，接收至少一个访问请求；

示例性地应用于包括用户终端、路由器、服务器与业务***的内网访问***中，如图1所示，用户终端可以通过有线或无线通讯方式发送携带有比如设备标识、地址位置等用户信息的接入访问请求，路由器、服务器依次获取该用户终端发送的接入访问请求，并最终访问业务***。本实施例中各步骤的执行主体具体可以为访问功能的各种设备。

需要说明的是，本实施例中各步骤的执行主体具体可以为物联网设备的电子设备，还可为其他可实现相同或相似功能的设备，例如：手机、个人电脑，PAD等，本实施例对此不作限制。

S102，从所述访问请求中提取用户证书，对所述用户证书进行解析，获得所述用户证书的身份标识；

一般情况下，在待连接物联网设备需要进行物联网管理时，需要对各个待连接物联网终端进行连接，由于各个待连接物联网终端的访问请求中携带有用户证书或用户凭证，因而可通过用户证书或用户凭证与各个待连接物联网设备携带的用户证书进行连接，即根据上述用户证书与上述待连接物联网设备进行安全验证，得到验证结果；在上述验证结果为验证成功时，与上述待连接互联网设备建立安全交互通道；相反的，在上述验证结果为验证失败时，则说明当前的用户证书为经过篡改的证书或者是失效的证书，因此，无法与上述待连接物联网设备进行连接，则可进行相应的警示，从而提高网络交互的安全性。

本实施例中，具体地是首先所述路由器使用私钥对用户终端的所述访问请求进行解密，以获取所述用户终端的用户证书；然后路由器对所述用户证书与预设证书扩展关键字进行分析比较，根据分析比较结果得到解析后的用户证书中的证书扩展字段，并根据所述证书扩展字段得到所述用户终端中的身份标识。

在本实施例中，上述用户证书包括用户类型信息以及用户能力信息，还可包括其他信息，本实施例对此不作限制；身份标识可为对象标识符形式，还可为其他形式，本实施例对此不作限制。

需要说明的是，在实际应用中，该访问请求中可以包含多个身份标识，例如十几个、几十个或者成百上千个，具体可以根据该终端用户与路由器的承载能力来定。

S103，对所述访问请求进行授权认证，若通过授权认证，将所述访问请求进行加密处理，并根据所述身份标识将加密的所述访问请求发送至服务器。

在一个可选实施例中，所述身份标识包括设备身份标识与设备内网，所述将所述访问请求进行加密处理，并根据所述身份标识将加密的所述访问请求发送至服务器之前，所述方法还包括：当所述用户证书中的设备身份标识与设备内网地址未获得授权认证时，要求发起所述至少一个访问请求的用户终端通过网页登录方式进行授权认证。

在另一可选实施例中，该路由器内网访问方法还可以包括：所述服务器接收、解密所述访问请求，并根据解密的所述访问请求对用户终端及所述用户终端需访问的业务***进行权限判断；若所述用户终端有权访问所述业务***，所述服务器将解密的所述访问请求发送至所述业务***，并接收所述业务***的响应数据。

在再一可选实施例中，该路由器内网访问方法还可以包括所述服务器对接收的所述响应数据进行加密，并将加密的所述响应数据返回至所述路由器；所述路由器接收、解密加密的所述响应数据，解析获取明文的所述响应数据，并将所述响应数据返回至所述用户终端。

实施例二

本实施例提供了一种路由器内网访问***，如图3所示，该路由器内网访问***具体可以包括如下模块：

接收模块，用于接收至少一个访问请求；

示例性的，用户终端可以通过有线或无线通讯方式发送携带有比如设备标识、地址位置等用户信息的接入访问请求，路由器获取该用户终端发送的接入访问请求。本实施例中各步骤的执行主体具体可以为访问功能的各种设备。

需要说明的是，本实施例中各步骤的执行主体具体可以为物联网设备的电子设备，还可为其他可实现相同或相似功能的设备，例如：手机、个人电脑，PAD等，本实施例对此不作限制。

解析模块，用于从所述访问请求中提取用户证书，对所述用户证书进行解析，获得所述用户证书的身份标识；

一般情况下，在待连接物联网设备需要进行物联网管理时，需要对各个待连接物联网终端进行连接，由于各个待连接物联网终端的访问请求中携带有用户证书或用户凭证，因而可通过用户证书或用户凭证与各个待连接物联网设备携带的用户证书进行连接，即根据上述用户证书与上述待连接物联网设备进行安全验证，得到验证结果；在上述验证结果为验证成功时，与上述待连接互联网设备建立安全交互通道；相反的，在上述验证结果为验证失败时，则说明当前的用户证书为经过篡改的证书或者是失效的证书，因此，无法与上述待连接物联网设备进行连接，则可进行相应的警示，从而提高网络交互的安全性。

本实施例中，具体地是首先所述路由器使用私钥对用户终端的所述访问请求进行解密，以获取所述用户终端的用户证书；然后路由器对所述用户证书与预设证书扩展关键字进行分析比较，根据分析比较结果得到解析后的用户证书中的证书扩展字段，并根据所述证书扩展字段得到所述用户终端中的身份标识。

在本实施例中，上述用户证书包括用户类型信息以及用户能力信息，还可包括其他信息，本实施例对此不作限制；身份标识可为对象标识符形式，还可为其他形式，本实施例对此不作限制。

需要说明的是，在实际应用中，该访问请求中可以包含多个身份标识，例如十几个、几十个或者成百上千个，具体可以根据该终端用户与路由器的承载能力来定。

认证模块，用于对所述访问请求进行授权认证，若通过授权认证，将所述访问请求进行加密处理，并根据所述身份标识将加密的所述访问请求发送至服务器。

在一个可选实施例中，所述身份标识包括设备身份标识与设备内网，所述将所述访问请求进行加密处理，并根据所述身份标识将加密的所述访问请求发送至服务器之前，所述方法还包括：当所述用户证书中的设备身份标识与设备内网地址未获得授权认证时，要求发起所述至少一个访问请求的用户终端通过网页登录方式进行授权认证。

在另一可选实施例中，该路由器内网访问方法还可以包括：所述服务器接收、解密所述访问请求，并根据解密的所述访问请求对用户终端及所述用户终端需访问的业务***进行权限判断；若所述用户终端有权访问所述业务***，所述服务器将解密的所述访问请求发送至所述业务***，并接收所述业务***的响应数据。

在再一可选实施例中，该路由器内网访问方法还可以包括所述服务器对接收的所述响应数据进行加密，并将加密的所述响应数据返回至所述路由器；所述路由器接收、解密加密的所述响应数据，解析获取明文的所述响应数据，并将所述响应数据返回至所述用户终端。

实施例三

本实施例提供了一种路由器内网访问***，如图4所示，该路由器内网访问***具体可以包括如下模块：

通信总线，用于实现处理器与存储器间的连接通信；

存储器，用于存储计算机程序；存储器可能包含高速RAM存储器，也可能还包含非不稳定的存储器（non-volatilememory），例如至少一个磁盘存储器。存储器可选的可以包含至少一个存储装置。

处理器，用于执行上述计算机程序以实现如下步骤：

首先，接收至少一个访问请求；

示例性的，用户终端可以通过有线或无线通讯方式发送携带有比如设备标识、地址位置等用户信息的接入访问请求，路由器获取该用户终端发送的接入访问请求。本实施例中各步骤的执行主体具体可以为访问功能的各种设备。

需要说明的是，本实施例中各步骤的执行主体具体可以为物联网设备的电子设备，还可为其他可实现相同或相似功能的设备，例如：手机、个人电脑，PAD等，本实施例对此不作限制。

然后，从所述访问请求中提取用户证书，对所述用户证书进行解析，获得所述用户证书的身份标识；

一般情况下，在待连接物联网设备需要进行物联网管理时，需要对各个待连接物联网终端进行连接，由于各个待连接物联网终端的访问请求中携带有用户证书或用户凭证，因而可通过用户证书或用户凭证与各个待连接物联网设备携带的用户证书进行连接，即根据上述用户证书与上述待连接物联网设备进行安全验证，得到验证结果；在上述验证结果为验证成功时，与上述待连接互联网设备建立安全交互通道；相反的，在上述验证结果为验证失败时，则说明当前的用户证书为经过篡改的证书或者是失效的证书，因此，无法与上述待连接物联网设备进行连接，则可进行相应的警示，从而提高网络交互的安全性。

本实施例中，具体地是首先所述路由器使用私钥对用户终端的所述访问请求进行解密，以获取所述用户终端的用户证书；然后路由器对所述用户证书与预设证书扩展关键字进行分析比较，根据分析比较结果得到解析后的用户证书中的证书扩展字段，并根据所述证书扩展字段得到所述用户终端中的身份标识。

在本实施例中，上述用户证书包括用户类型信息以及用户能力信息，还可包括其他信息，本实施例对此不作限制；身份标识可为对象标识符形式，还可为其他形式，本实施例对此不作限制。

需要说明的是，在实际应用中，该访问请求中可以包含多个身份标识，例如十几个、几十个或者成百上千个，具体可以根据该终端用户与路由器的承载能力来定。

最后，对所述访问请求进行授权认证，若通过授权认证，将所述访问请求进行加密处理，并根据所述身份标识将加密的所述访问请求发送至服务器。

在一个可选实施例中，所述身份标识包括设备身份标识与设备内网，所述将所述访问请求进行加密处理，并根据所述身份标识将加密的所述访问请求发送至服务器之前，所述方法还包括：当所述用户证书中的设备身份标识与设备内网地址未获得授权认证时，要求发起所述至少一个访问请求的用户终端通过网页登录方式进行授权认证。

在另一可选实施例中，该路由器内网访问方法还可以包括：所述服务器接收、解密所述访问请求，并根据解密的所述访问请求对用户终端及所述用户终端需访问的业务***进行权限判断；若所述用户终端有权访问所述业务***，所述服务器将解密的所述访问请求发送至所述业务***，并接收所述业务***的响应数据。

在再一可选实施例中，该路由器内网访问方法还可以包括所述服务器对接收的所述响应数据进行加密，并将加密的所述响应数据返回至所述路由器；所述路由器接收、解密加密的所述响应数据，解析获取明文的所述响应数据，并将所述响应数据返回至所述用户终端。

本实施例中的处理器可能是一种集成电路芯片，具有信号处理能力。在实现过程中，上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器（DSP）、专用集成电路（ASIC）、现成可编程门阵列（FPGA）或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。上述处理器可以是微处理器或者上述处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。

实施例五

本实施例提供了一种计算机可读存储介质，其上存储有计算机程序，上述计算机程序被处理器执行时实现上述的缓存调整处理方法。

综上所述，本发明实施例提供的一种路由器内网访问方法及***，通过对内网采用访问请求解密、用户证书解析、身份标识认证等多重认证，代替了单一性验证，并在内网访问接入与数据传输过程进行加密，克服了传统外网访问接入的安全性不足的弊端，排除无效、非法的接入，起到了流量控制目的，避免了网络资源拥塞，提高了网络资源的利用性。

需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为依据本发明，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于可选实施例，所涉及的动作和模块并不一定是本发明所必须的。

上述实施例，可以全部或部分地通过软件、硬件、固件或其他任意组合来实现。当使用软件实现时，上述实施例可以全部或部分地以计算机程序产品的形式实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载或执行该计算机程序指令时，全部或部分地产生按照本申请实施例该的流程或功能。该计算机可以为通用计算机、专用计算机、计算机网络、或者其他可编程装置。该计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，该计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。该计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集合的服务器、数据中心等数据存储设备。该可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质。半导体介质可以是固态硬盘。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的***、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本发明所提供的几个实施例中，应该理解到，所揭露的***，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个***，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read-onlymemory，ROM)、随机存取存储器(randomaccessmemory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

本发明是参照本发明实施例的方法、装置(设备)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (7)

1.一种路由器内网访问方法，所述方法包括：

接收至少一个访问请求；

从所述访问请求中提取用户证书，对所述用户证书进行解析，获得所述用户证书的身份标识；

对所述访问请求进行授权认证，若通过授权认证，将所述访问请求进行加密处理，并根据所述身份标识将加密的所述访问请求发送至服务器；

其特征在于：所述从所述访问请求中提取用户证书，对所述用户证书进行解析，获得所述用户证书的身份标识，所述方法包括：

所述路由器使用私钥对用户终端的所述访问请求进行解密，以获取所述用户终端的用户证书；

对所述用户证书与预设证书扩展关键字进行分析比较，根据分析比较结果得到解析后的用户证书中的证书扩展字段；

根据所述证书扩展字段得到所述用户终端中的身份标识。

2.根据权利要求1所述的方法，其特征在于，所述身份标识包括设备身份标识与设备内网，所述将所述访问请求进行加密处理，并根据所述身份标识将加密的所述访问请求发送至服务器之前，所述方法还包括：

当所述用户证书中的设备身份标识与设备内网地址未获得授权认证时，要求发起所述至少一个访问请求的用户终端通过网页登录方式进行授权认证。

3.根据权利要求1-2任一项所述的方法，其特征在于，所述方法还包括：

所述服务器接收、解密所述访问请求，并根据解密的所述访问请求对用户终端及所述用户终端需访问的业务***进行权限判断；

若所述用户终端有权访问所述业务***，所述服务器将解密的所述访问请求发送至所述业务***，并接收所述业务***的响应数据。

4.根据权利要求3所述的方法，其特征在于，所述方法还包括：

所述服务器对接收的所述响应数据进行加密，并将加密的所述响应数据返回至所述路由器；

所述路由器接收、解密加密的所述响应数据，解析获取明文的所述响应数据，并将所述响应数据返回至所述用户终端。

5.一种路由器内网访问***，其特征在于，所述***包括：

接收模块，用于接收至少一个访问请求；

解析模块，用于从所述访问请求中提取用户证书，对所述用户证书进行解析，获得所述用户证书的身份标识；

认证模块，用于对所述访问请求进行授权认证，若通过授权认证，将所述访问请求进行加密处理，并根据所述身份标识将加密的所述访问请求发送至服务器；

所述用户证书的身份标识方法包括：

路由器使用私钥对用户终端的所述访问请求进行解密，以获取所述用户终端的用户证书；

对所述用户证书与预设证书扩展关键字进行分析比较，根据分析比较结果得到解析后的用户证书中的证书扩展字段；

根据所述证书扩展字段得到所述用户终端中的身份标识。

6.一种路由器内网访问设备，其特征在于，所述设备包括：

通信总线，用于实现处理器与存储器间的连接通信；

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序以实现如下步骤：

接收至少一个访问请求；

从所述访问请求中提取用户证书，对所述用户证书进行解析，获得所述用户证书的身份标识；

对所述访问请求进行授权认证，若通过授权认证，将所述访问请求进行加密处理，并根据所述身份标识将加密的所述访问请求发送至服务器；

所述用户证书的身份标识方法包括：

路由器使用私钥对用户终端的所述访问请求进行解密，以获取所述用户终端的用户证书；

对所述用户证书与预设证书扩展关键字进行分析比较，根据分析比较结果得到解析后的用户证书中的证书扩展字段；

根据所述证书扩展字段得到所述用户终端中的身份标识。

7.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1-4任一项所述的方法。

Images