发明内容
本申请的目的是提供一种基于量子密钥的网络准入认证的方法、系统、服务器及计算机可读存储介质,用于提高网络准入认证的安全性。
为解决上述技术问题,本申请提供一种基于量子密钥的网络准入认证的方法,该方法包括:
管理平台接收终端发送的用户口令;其中,所述用户口令为所述终端从与所述终端连接的口令存储设备中读取到的口令;
判断所述用户口令与预设口令是否一致;其中,所述预设口令为根据所述管理平台与口令分发节点利用量子秘钥分配(Quantum Key Distribution QKD)协议得到的量子密钥而生成的口令;
若是,则允许所述终端接入网络。
可选的,所述预设口令的生成过程包括:
所述管理平台建立与所述口令分发节点连接的量子通道;
利用所述QKD协议通过所述量子通道得到所述量子密钥;
将所述量子密钥按照预设格式转换为第一口令,并令所述口令分发节点将所述量子密钥按照所述预设格式转换为第二口令;
判断所述第一口令和所述第二口令是否一致;
若是,则将所述第一口令作为所述预设口令。
可选的,在将所述第一口令作为所述预设口令之后,还包括:
发送口令分发指令至所述口令分发节点,以使所述口令分发节点执行所述口令分发指令将所述第二口令作为所述用户口令,并将所述用户口令发送至预设的口令存储设备中。
可选的,在允许所述终端接入网络后,还包括:
将所述预设口令清除。
可选的,当所述用户口令与预设口令不一致时,还包括:
返回错误提示指令至所述终端,以使所述终端根据所述错误提示指令输出对应的错误提示信息。
本申请还提供一种基于量子密钥的网络准入认证的系统,该系统包括:
接收模块,用于接收终端发送的用户口令;其中,所述用户口令为所述终端从与所述终端连接的口令存储设备中读取到的口令;
判断模块,用于判断所述用户口令与预设口令是否一致;其中,所述预设口令为根据所述管理平台与口令分发节点利用QKD协议得到的量子密钥而生成的口令;
预设口令生成模块,用于根据所述管理平台与口令分发节点利用QKD协议得到的量子密钥生成所述预设口令;
允许接入模块,用于当所述用户口令与所述预设口令一致时,允许所述终端接入网络。
可选的,所述预设口令生成模块包括:
建立子模块,用于建立与所述口令分发节点连接的量子通道;
秘钥生成子模块,用于利用所述QKD协议通过所述量子通道得到所述量子密钥;
转换及命令子模块,用于将所述量子密钥按照预设格式转换为第一口令,并令所述口令分发节点将所述量子密钥按照所述预设格式转换为第二口令;
判断子模块,用于判断所述第一口令和所述第二口令是否一致;
确定子模块,用于当所述第一口令和所述第二口令一致时,将所述第一口令作为所述预设口令。
本申请还提供一种基于量子密钥的网络准入认证的系统,该系统包括:管理平台、口令分发节点、终端及口令存储设备,其中:
所述口令存储设备,用于为所述终端提供用户口令;
所述终端,用于从所述口令存储设备中读取到所述用户口令,并将所述用户口令发送至管理平台;
所述管理平台,用于接收所述终端发送的所述用户口令;判断所述用户口令与预设口令是否一致;当所述用户口令与所述预设口令一致时,允许所述终端接入网络;与所述口令分发节点利用QKD协议得到量子密钥;
所述口令分发节点,用于与所述管理平台利用QKD协议生成量子密钥。
本申请还提供一种基于量子密钥的网络准入认证服务器,该基于量子密钥的网络准入认证服务器包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上述任一项所述基于量子密钥的网络准入认证的方法的步骤。
本申请还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述任一项所述基于量子密钥的网络准入认证的方法的步骤。
本申请所提供基于量子密钥的网络准入认证的方法,包括:管理平台接收终端发送的用户口令;其中,用户口令为终端从与终端连接的口令存储设备中读取到的口令;判断用户口令与预设口令是否一致;其中,预设口令为根据管理平台与口令分发节点利用QKD协议得到的量子密钥而生成的口令;若是,则允许终端接入网络。
本申请所提供的技术方案,通过依据管理平台与口令分发节点利用QKD协议得到的量子密钥生成预设口令,由于量子秘钥具有绝对的安全性,无法被复制,使得依据该量子秘钥生成的预设口令也具有绝对的安全性;同时通过判断接收到的用户口令与该预设口令是否一致来决定是否允许终端接入网络,使得未被认可的终端设备无法接入网络,即能够提供与预设口令一致的用户口令的终端一定是被认可的终端,极大的提高了网络准入认证的安全性。本申请同时还提供了一种基于量子密钥的网络准入认证的系统、服务器及计算机可读存储介质,具有上述有益效果,在此不再赘述。
具体实施方式
本申请的核心是提供一种基于量子密钥的网络准入认证的方法、系统、服务器及计算机可读存储介质,用于提高网络准入认证的安全性。
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
请参考图1,图1为本申请实施例所提供的一种基于量子密钥的网络准入认证的方法的流程图。
其具体包括如下步骤:
S101:管理平台接收终端发送的用户口令;
基于现有的网络准入认证方式基本都是依靠数学计算方法来实现的,存在着安全隐患,本申请提供了一种基于量子密钥的网络准入认证的方法,用于提高网络准入认证的安全性;
由于用户口令具有较高的数据复杂度,这里提到的用户口令具体为终端从与终端连接的口令存储设备中读取到的口令;
可选的,这里提到的终端具体可以为:智能手机、平板电脑、台式机电脑、笔记本电脑、服务器等;
优选的,这里提到的口令存储设备具体可以为U盘、移动硬盘或SD存储卡,使得基于量子密钥生成的用户口令能够转移到存储中进行使用,不受限于量子通信网,相对来说较为自由。
S102:判断用户口令与预设口令是否一致;
若是,则进入步骤S103;
这里提到的预设口令具体为根据管理平台与口令分发节点利用QKD协议得到的量子密钥而生成的口令,由于量子秘钥具有绝对的安全性,无法被复制,使得依据该量子秘钥生成的预设口令也具有绝对的安全性;
可选的,当用户口令与预设口令不一致时,还可以包括:
返回错误提示指令至终端,以使终端根据错误提示指令输出对应的错误提示信息。
S103:允许该终端接入网络。
当用户口令与预设口令一致时,则证明该终端读取到的用户口令为正确的用户口令,即能够提供与预设口令一致的用户口令的终端一定是被认可的终端,此时允许该终端接入网络;
可选的,在允许终端接入网络之后,还可以包括:
将预设口令清除,以使其它终端不能用相同的用户口令接入网络,进一步提高了网络准入认证的安全性。
基于上述技术方案,本申请所提供的一种基于量子密钥的网络准入认证的方法,通过依据管理平台与口令分发节点利用QKD协议得到的量子密钥生成预设口令,由于量子秘钥具有绝对的安全性,无法被复制,使得依据该量子秘钥生成的预设口令也具有绝对的安全性;同时通过判断接收到的用户口令与该预设口令是否一致来决定是否允许终端接入网络,使得未被认可的终端设备无法接入网络,即能够提供与预设口令一致的用户口令的终端一定是被认可的终端,极大的提高了网络准入认证的安全性。
针对于上一实施例的步骤S102,该预设口令具体为根据管理平台与口令分发节点利用QKD协议得到的量子密钥而生成的口令,下面结合图2,对预设口令的生成过程进行说明。
请参考图2,图2为图1所提供的一种基于量子密钥的网络准入认证的方法中S102中的预设口令的生成过程的流程图。
其具体包括以下步骤:
S201:管理平台建立与口令分发节点连接的量子通道;
S202:利用QKD协议通过量子通道得到量子密钥;
基于量子秘钥的生成过程,本申请将管理平台作为发送端Alice,将口令分配节点作为接收端Bob,生成量子秘钥。
S203:将量子密钥按照预设格式转换为第一口令,并令口令分发节点将量子密钥按照预设格式转换为第二口令;
S204:判断第一口令和第二口令是否一致;
若是,则进入步骤S205;
可选的,当第一口令和第二口令不一致时,则利用QKD协议通过量子通道重新生成量子密钥,并返回执行步骤S203-S204。
S205:将第一口令作为预设口令。
优选的,在将第一口令作为预设口令之后,还包括:
发送口令分发指令至口令分发节点,以使口令分发节点执行口令分发指令将第二口令作为用户口令,并将用户口令发送至预设的口令存储设备中;
当上述实施例中步骤S101提到的与终端连接的口令存储设备为这里提到的预设的口令存储设备时,则终端获取到的用户口令与预设口令一定是一致的。
基于上述技术方案,本申请实施例在利用量子密钥生成第一口令和第二口令后,再次对得到的第一口令和第二口令进行一致性检测,如果二者不一致测重新生成量子秘钥,如果一致则将第一口令作为预设口令,并将第二口令作为用户口令发送至至预设的口令存储设备中;当接收到终端发送的用户口令与预设口令一致时则证明与终端连接的口令存储设备为预设的口令存储设备,即该终端一定为被认可的终端,进一步的提高了网络准入认证的安全性。
请参考图3,图3为本申请实施例所提供的一种基于量子密钥的网络准入认证的系统的结构图。
该系统可以包括:
接收模块100,用于接收终端发送的用户口令;其中,用户口令为终端从与终端连接的口令存储设备中读取到的口令;
判断模块200,用于判断用户口令与预设口令是否一致;其中,预设口令为根据管理平台与口令分发节点利用QKD协议得到的量子密钥而生成的口令;
预设口令生成模块300,用于根据管理平台与口令分发节点利用QKD协议得到的量子密钥生成预设口令;
允许接入模块400,用于当用户口令与预设口令一致时,允许终端接入网络。
请参考图4,图4为本申请实施例所提供的另一种基于量子密钥的网络准入认证的系统的结构图。
该预设口令生成模块300可以包括:
建立子模块,用于建立与口令分发节点连接的量子通道;
秘钥生成子模块,用于利用QKD协议通过量子通道得到量子密钥;
转换及命令子模块,用于将量子密钥按照预设格式转换为第一口令,并令口令分发节点将量子密钥按照预设格式转换为第二口令;
判断子模块,用于判断第一口令和第二口令是否一致;
确定子模块,用于当第一口令和第二口令一致时,将第一口令作为预设口令。
该预设口令生成模块300还可以包括:
指令发送子模块,用于发送口令分发指令至口令分发节点,以使口令分发节点执行口令分发指令将第二口令作为用户口令,并将用户口令发送至预设的口令存储设备中。
可选的,该系统还可以包括:
口令清除模块,用于将预设口令清除。
可选的,该系统还可以包括:
错误提示模块,用于返回错误提示指令至终端,以使终端根据错误提示指令输出对应的错误提示信息。
以上系统中的各个组成部分可实际应用于以下的实施例中:
接收模块接收终端发送的用户口令;判断模块判断用户口令与预设口令是否一致;当用户口令与预设口令一致时,允许接入模块允许终端接入网络,同时口令清除模块将预设口令清除;当用户口令与预设口令不一致时,错误提示模块返回错误提示指令至终端,以使终端根据错误提示指令输出对应的错误提示信息;
其中,预设口令为预设口令生成模块根据管理平台与口令分发节点利用QKD协议得到的量子密钥生成的口令,预设口令的生成过程包括:
建立子模块建立与口令分发节点连接的量子通道;秘钥生成子模块利用QKD协议通过量子通道得到量子密钥;转换及命令子模块将量子密钥按照预设格式转换为第一口令,并令口令分发节点将量子密钥按照预设格式转换为第二口令;判断子模块判断第一口令和第二口令是否一致;当第一口令和第二口令一致时,确定子模块将第一口令作为预设口令;指令发送子模块发送口令分发指令至口令分发节点,以使口令分发节点执行口令分发指令将第二口令作为用户口令,并将用户口令发送至预设的口令存储设备中。
请参考图5,图5为本申请实施例所提供的一种基于量子密钥的网络准入认证的系统的结构图。
该系统可以包括管理平台500、口令分发节点600、终端700及口令存储设备800,其中:
口令存储设备800,用于为终端700提供用户口令;
终端700,用于从口令存储设备800中读取到用户口令,并将用户口令发送至管理平台500;
管理平台500,用于接收终端700发送的用户口令;判断用户口令与预设口令是否一致;当用户口令与预设口令一致时,允许终端700接入网络;与口令分发节点600利用QKD协议得到量子密钥;
口令分发节点600,用于与管理平台利用QKD协议生成量子密钥。
由于系统部分的实施例与方法部分的实施例相互对应,因此系统部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
请参考图6,图6为本申请实施例所提供的一种基于量子密钥的网络准入认证服务器的结构图。
基于量子密钥的网络准入认证服务器可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(central processing units,CPU)922(例如,一个或一个以上处理器)和存储器932,一个或一个以上存储应用程序942或数据944的存储介质930(例如一个或一个以上海量存储设备)。其中,存储器932和存储介质930可以是短暂存储或持久存储。存储在存储介质930的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对装置中的一系列指令操作。更进一步地,中央处理器922可以设置为与存储介质930通信,在基于量子密钥的网络准入认证服务器900上执行存储介质930中的一系列指令操作。
基于量子密钥的网络准入认证服务器900还可以包括一个或一个以上电源926,一个或一个以上有线或无线网络接口950,一个或一个以上输入输出接口958,和/或,一个或一个以上操作系统941,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。
上述图1至图2所描述的基于量子密钥的网络准入认证的方法中的步骤由基于量子密钥的网络准入认证服务器基于该图6所示的结构实现。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、服务器和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,功能调用装置,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上对本申请所提供的一种基于量子密钥的网络准入认证的方法、系统、服务器及计算机可读存储介质进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。