CN116506197A - 终端的准入校验方法、系统、装置、处理器以及电子设备 - Google Patents

终端的准入校验方法、系统、装置、处理器以及电子设备 Download PDF

Info

Publication number
CN116506197A
CN116506197A CN202310519700.0A CN202310519700A CN116506197A CN 116506197 A CN116506197 A CN 116506197A CN 202310519700 A CN202310519700 A CN 202310519700A CN 116506197 A CN116506197 A CN 116506197A
Authority
CN
China
Prior art keywords
terminal
verification result
server
target
admission
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310519700.0A
Other languages
English (en)
Inventor
陈嫦欣
陈锦祥
许娇阳
李磊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Industrial and Commercial Bank of China Ltd ICBC
Original Assignee
Industrial and Commercial Bank of China Ltd ICBC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Industrial and Commercial Bank of China Ltd ICBC filed Critical Industrial and Commercial Bank of China Ltd ICBC
Priority to CN202310519700.0A priority Critical patent/CN116506197A/zh
Publication of CN116506197A publication Critical patent/CN116506197A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N10/00Quantum computing, i.e. information processing based on quantum-mechanical phenomena
    • G06N10/60Quantum algorithms, e.g. based on quantum optimisation, quantum Fourier or Hadamard transforms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Condensed Matter Physics & Semiconductors (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Computational Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Artificial Intelligence (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种终端的准入校验方法、系统、装置、处理器以及电子设备。涉及信息安全领域,该方法包括:获取目标终端发送的准入请求,并将准入请求转发至终端管控服务器中;接收终端管控服务器发送的校验结果,并识别校验结果,其中,校验结果指示是否允许目标终端接入目标网络,校验结果是由终端管控服务器基于准入请求的初始校验结果以及目标终端的身份信息生成的,初始校验结果是由终端管控服务器连接的量子服务器校验准入请求的有效性生成的;在校验结果指示校验失败的情况下,拒绝准入请求,在校验结果指示校验成功的情况下,通过准入请求。通过本申请,解决了相关技术中目标终端在远程连接时安全性难以提升的问题。

Description

终端的准入校验方法、系统、装置、处理器以及电子设备
技术领域
本申请涉及信息安全领域,具体而言,涉及一种终端的准入校验方法、系统、装置、处理器以及电子设备。
背景技术
随着信息技术应用创新产业的发展,传统信息产业转型的目标越来越明确,越来越多的基于信息技术应用创新产业的物理终端投入使用,在信创终端的远程业务场景下,当该终端需要远程接入一个目标网络时,为确保远程场景接入终端的安全性,通常使用了一些安全验证方法,例如,通过用户设置账户密码进行登录、通过口令强行绑定进行校验登录、通过用户权限和接入终端网卡地址强绑定、或者通过对接入终端的设备序列号进行校验等方式进行安全验证,可以一定程度保证接入终端的安全性。但此类方法存在着以下问题,若虚拟网络服务器出现被攻破的场景时,难以继续进行安全验证,同时也会降低远程连接的便捷性。
针对相关技术中目标终端在远程连接时安全性难以提升的问题,目前尚未提出有效的解决方案。
发明内容
本申请的主要目的在于提供一种终端的准入校验方法、系统、装置、处理器以及电子设备,以解决相关技术中目标终端在远程连接时安全性难以提升的问题。
为了实现上述目的,根据本申请的一个方面,提供了一种终端的准入校验方法。该方法包括:获取目标终端发送的准入请求,并将准入请求转发至终端管控服务器中,其中,准入请求是指目标终端申请接入目标网络的请求;接收终端管控服务器发送的校验结果,并识别校验结果,其中,校验结果指示是否允许目标终端接入目标网络,校验结果是由终端管控服务器基于准入请求的初始校验结果以及目标终端的身份信息生成的,初始校验结果是由终端管控服务器连接的量子服务器校验准入请求的有效性生成的;在校验结果指示校验失败的情况下,拒绝准入请求,在校验结果指示校验成功的情况下,通过准入请求。
可选地,在校验结果指示校验成功的情况下,通过准入请求之后,方法还包括:建立与目标网络连接的虚拟通道;在目标终端通过虚拟通道接入目标网络,并向目标网络进行数据传输操作的情况下,对目标网络传输的数据进行加密操作。
可选地,在初始校验结果指示准入请求无效的情况下,终端管控服务器生成指示校验失败的校验结果;在初始校验结果指示准入请求有效,且身份信息指示目标终端处于终端管控服务器的管理范围内的情况下,终端管控服务器生成指示校验成功的校验结果。
可选地,终端管控服务器调用目标终端的第一接口获取目标终端中存储的识别密钥,并将识别密钥发送至量子服务器,量子服务器判断识别密钥是否量子服务器生成的密钥,生成初始校验结果,并将初始校验结果发送至终端管控服务器。
可选地,目标终端中存储的识别密钥通过量子服务器生成,其中,终端管控服务调用量子服务器的第二接口,利用随机数生成算法控制量子服务器生成识别密钥,并控制量子服务器利用随机数充注算法将识别密钥移动至目标终端中。
可选地,量子服务器确定识别密钥不是量子服务器生成的密钥情况下,生成指示准入请求无效的初始校验结果,量子服务器确定识别密钥是量子服务器生成的密钥情况下,生成指示准入请求有效的初始校验结果。
为了实现上述目的,根据本申请的另一方面,提供了一种终端的准入校验系统。该系统包括:目标终端,用于向虚拟网络服务器发送准入请求,并在虚拟网络服务器通过准入请求的情况下,访问目标网络;虚拟网络服务器,与目标终端通信连接,用于接收目标终端发送的准入请求,并将准入请求转发至终端管控服务器中,还用于接收终端管控服务器发送的校验结果,并识别校验结果,在校验结果指示校验成功的情况下,通过准入请求,在校验结果指示校验失败的情况下,拒绝准入请求;终端管控服务器,分别与目标终端以及虚拟网络服务器通信连接,用于基于准入请求的初始校验结果以及目标终端的身份信息生成校验结果;量子服务器,与终端管控服务器通信连接,用于判断准入请求是否有效,得到初始校验结果,并将初始校验结果发送至终端管控服务器。
为了实现上述目的,根据本申请的另一方面,提供了一种终端的准入校验装置。该装置包括:获取单元,用于获取目标终端发送的准入请求,并将准入请求转发至终端管控服务器中,其中,准入请求是指目标终端申请接入目标网络的请求;接收单元,用于接收终端管控服务器发送的校验结果,并识别校验结果,其中,校验结果指示是否允许目标终端接入目标网络,校验结果是由终端管控服务器基于准入请求的初始校验结果以及目标终端的身份信息生成的,初始校验结果是由终端管控服务器连接的量子服务器校验准入请求的有效性生成的;通过单元,用于在校验结果指示校验失败的情况下,拒绝准入请求,在校验结果指示校验成功的情况下,通过准入请求。
根据本发明实施例的另一方面,还提供了一种处理器,处理器用于运行程序,其中,程序运行时控制非易失性存储介质所在的设备执行一种终端的准入校验方法。
根据本发明实施例的另一方面,还提供了一种电子设备,包含一个或多个处理器和存储器;存储器中存储有计算机可读指令,处理器用于运行计算机可读指令,其中,计算机可读指令运行时执行一种终端的准入校验方法。
通过本申请,采用以下步骤:获取目标终端发送的准入请求,并将准入请求转发至终端管控服务器中,其中,准入请求是指目标终端申请接入目标网络的请求;接收终端管控服务器发送的校验结果,并识别校验结果,其中,校验结果指示是否允许目标终端接入目标网络,校验结果是由终端管控服务器基于准入请求的初始校验结果以及目标终端的身份信息生成的,初始校验结果是由终端管控服务器连接的量子服务器校验准入请求的有效性生成的;在校验结果指示校验失败的情况下,拒绝准入请求,在校验结果指示校验成功的情况下,通过准入请求,解决了相关技术中目标终端在远程连接时安全性难以提升的问题,通过对目标终端发出的准入请求进行校验,利用校验结果判断目标终端是否可以访问目标网络,进而达到了有效提升目标终端远程接入目标网络时安全性的效果。
附图说明
构成本申请的一部分的附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例提供的终端的准入校验系统的示意图;
图2是根据本申请实施例提供的终端的准入校验方法的流程图;
图3是根据本申请实施例提供的终端的量子密钥生成方法的示意图;
图4是根据本申请实施例提供的终端的准入校验装置的示意图;
图5是根据本申请实施例提供的电子设备的示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
需要说明的是,本公开所涉及的相关信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于展示的数据、分析的数据等),均为经用户授权或者经过各方充分授权的信息和数据。
本申请实施例提供了一种终端的准入校验系统,图1是根据本申请实施例提供的终端的准入校验系统的示意图,如图1所示,系统包括:
目标终端101,用于向虚拟网络服务器102发送准入请求,并在虚拟网络服务器102通过准入请求的情况下,访问目标网络。
具体的,目标终端101是指用户使用的基于信息技术应用创新产业的物理终端,物理终端是指为解决信创系统终端安全防护而推出的一体化防护终端,可以包括电脑、操作系统、电脑程序、数据服务器等,目标网络可以是计算机之间用于互相通信的局域网络,也即内部局域网,在目标终端101需要在外部远程访问某一内部局域网时,可以利用虚拟网络服务器102进行内外网的连接,具体的,目标终端101通过向虚拟网络服务器102发送一个申请连接该内部网络的请求,并在虚拟网络服务器102通过该请求后连接内网。
需要说明的是,目标网络与虚拟网络服务器102通信连接,若虚拟网络服务器102通过目标终端101的准入请求后,目标终端101会穿过目标网络的防火墙进入目标网络,并执行访问操作。
虚拟网络服务器102,与目标终端101通信连接,用于接收目标终端101发送的准入请求,并将准入请求转发至终端管控服务器103中,还用于接收终端管控服务器103发送的校验结果,并识别校验结果,在校验结果指示校验成功的情况下,通过准入请求,在校验结果指示校验失败的情况下,拒绝准入请求。
具体的,虚拟网络服务器102,也即VPN服务器(Virtual Private Network),是指在公用网络上建立的一个临时、安全、可以进行加密通讯的网络,与需要进行加密通讯的终端通信连接,在接收到与其连接的目标终端101发送的准入请求后,将该请求进行校验判断。
具体的,将该请求先转发至终端管控服务器103,由终端管控服务器103以及与终端管控服务器103连接的量子服务器104进行校验,在接收到终端管控服务器103发送的校验结果后识别该结果,根据校验结果判断是否允许目标终端101准入内部网络。当校验结果表示指示目标终端101符合准入要求的情况下,也即目标终端101的识别密钥为量子服务器104生成的情况下,将目标终端101确定为准入终端,并对目标终端101执行准入操作,反之,若目标终端101的识别密钥不为量子服务器104生成的情况下,不允许目标终端101接入内部网络。
进一步的,在识别出的校验结果指示校验成功时,通过目标终端101发送的准入请求,也即允许目标终端101连接内部网络,反之,若识别出的校验结果指示校验识别时,拒绝该准入请求,也即拒绝目标终端101连接内部网络。
终端管控服务器103,分别与目标终端101以及虚拟网络服务器102通信连接,用于基于准入请求的初始校验结果以及目标终端101的身份信息生成校验结果。
具体的,终端管控服务器103是用于管理用户以及物理终端的服务器,可以支持包括网络身份认证、终端信息管理、策略管理、应用软件商店、补丁更新、软件推送、终端网络准入等在内的多个核心功能,还可以支持终端应用的大规模部署和运行管理,因此,终端管控服务器103分别与目标终端101以及虚拟网络服务器102连接,在与目标终端101的连接通道中,用于接收可以指示目标终端101的身份信息,在接收到身份信息以及与该终端管控服务器103通信连接的量子服务器104生成的初始校验结果后,生成校验结果。
进一步的,将终端管控服务器103生成的校验结果从与虚拟网络服务器102连接的通道传递至虚拟网络服务器102。
量子服务器104,与终端管控服务器103通信连接,用于判断准入请求是否有效,得到初始校验结果,并将初始校验结果发送至终端管控服务器103。
具体的,量子服务器104是用于生成量子密钥的设备,量子服务器104可以利用量子密钥生成技术及量子随机数,实现量子密钥的离线充注和在线分发,为应用设备的加密统信提供高安全的密钥的设备。在接收到终端管控服务器103转发的准入请求以及发出该准入请求的目标终端101的量子密钥后,根据量子密钥判断准入请求是否有效,进而得到初始校验结果,并将该初始校验结果发送至通信连接的终端管控服务器103中。
本申请实施例提供的终端的准入校验系统,通过目标终端101,用于向虚拟网络服务器102发送准入请求,并在虚拟网络服务器102通过准入请求的情况下,访问目标网络;虚拟网络服务器102,与目标终端101通信连接,用于接收目标终端101发送的准入请求,并将准入请求转发至终端管控服务器103中,还用于接收终端管控服务器103发送的校验结果,并识别校验结果,在校验结果指示校验成功的情况下,通过准入请求,在校验结果指示校验失败的情况下,拒绝准入请求;终端管控服务器103,分别与目标终端101以及虚拟网络服务器102通信连接,用于基于准入请求的初始校验结果以及目标终端101的身份信息生成校验结果;量子服务器104,与终端管控服务器103通信连接,用于判断准入请求是否有效,得到初始校验结果,并将初始校验结果发送至终端管控服务器103,解决了相关技术中目标终端在远程连接时安全性难以提升的问题,通过对目标终端发出的准入请求进行校验,利用校验结果判断目标终端是否可以访问目标网络,进而达到了有效提升目标终端远程接入目标网络时安全性的效果。
下面结合可选的实施步骤对本发明进行说明,图2是根据本申请实施例提供的终端的准入校验方法的流程图,如图2所示,该方法包括如下步骤:
步骤S201,获取目标终端101发送的准入请求,并将准入请求转发至终端管控服务器103中,其中,准入请求是指目标终端101申请接入目标网络的请求。
具体的,目标网络是指计算机之间用于互相通信的局域网,也即内部局域网,当目标终端101需要访问某一目标网络时,生成请求接入该目标网络的准入请求,并向虚拟网络服务器102发送准入请求,在虚拟网络服务器102接收到该准入请求后,将该请求转发至终端管控服务器103,由终端管控服务器103进行校验。
步骤S202,接收终端管控服务器103发送的校验结果,并识别校验结果,其中,校验结果指示是否允许目标终端101接入目标网络,校验结果是由终端管控服务器103基于准入请求的初始校验结果以及目标终端101的身份信息生成的,初始校验结果是由终端管控服务器103连接的量子服务器104校验准入请求的有效性生成的。
具体的,当初始校验结果以及终端管控服务器103基于目标终端101的身份信息得到的校验结果均表示校验成功的情况下,说明校验成功,则可以允许目标终端101接入目标网络,反之,若初始校验结果或终端管控服务器103基于目标终端101的身份信息得到的校验结果,存在一个校验结果表示校验失败时,说明校验失败,则禁止目标终端101接入目标网络。
需要说明的是,虚拟网络服务器102转发准入请求后,等待终端管控服务发送的校验结果,并对校验结果进行识别。校验结果是由量子服务器104以及终端管控服务器103共同作用,基于准入请求以及发出该准入请求的目标终端101的身份信息生成,在量子服务器104生成初始校验结果后,终端管控服务器103接收该初始校验结果,并基于该结果生成校验结果,其中,目标终端101的身份信息用于指示该目标终端101是否处于终端管控服务器103的纳管范围内。
步骤S203,在校验结果指示校验失败的情况下,拒绝准入请求,在校验结果指示校验成功的情况下,通过准入请求。
可选地,在本申请实施例提供的终端的准入校验方法中,在校验结果指示校验成功的情况下,通过准入请求之后,方法还包括:建立与目标网络连接的虚拟通道;在目标终端通过虚拟通道接入目标网络,并向目标网络进行数据传输操作的情况下,对目标网络传输的数据进行加密操作。
具体的,虚拟网络服务器102在对由量子服务器104以及终端管控服务器103分别校验生成的校验结果进行识别后,校验结果指示校验成功的情况下,虚拟网络服务器102建立虚拟网络,允许目标终端101通过虚拟网络访问目标网络,并对目标终端101访问目标网络的操作进行加密。
进一步的,若虚拟网络服务器102在对由量子服务器104以及终端管控服务器103分别校验生成的校验结果进行识别后,校验结果指示校验失败时,拒绝目标终端101通过该虚拟网络服务器102访问目标网络。
本申请实施例提供的终端的准入校验方法,通过获取目标终端101发送的准入请求,并将准入请求转发至终端管控服务器103中,其中,准入请求是指目标终端101申请接入目标网络的请求;接收终端管控服务器103发送的校验结果,并识别校验结果,其中,校验结果指示是否允许目标终端101接入目标网络,校验结果是由终端管控服务器103基于准入请求的初始校验结果以及目标终端101的身份信息生成的,初始校验结果是由终端管控服务器103连接的量子服务器104校验准入请求的有效性生成的;在校验结果指示校验失败的情况下,拒绝准入请求,在校验结果指示校验成功的情况下,通过准入请求,解决了相关技术中目标终端101在远程连接时安全性难以提升的问题,通过对目标终端101发出的准入请求进行校验,利用校验结果判断目标终端101是否可以访问目标网络,进而达到了有效提升目标终端101远程接入目标网络时安全性的效果。
初始校验结果包括多种,可选地,在本申请实施例提供的终端的准入校验方法中,量子服务器104确定识别密钥不是量子服务器104生成的密钥情况下,生成指示准入请求无效的初始校验结果,量子服务器104确定识别密钥是量子服务器104生成的密钥情况下,生成指示准入请求有效的初始校验结果。
具体的,识别密钥是其中基于量子服务器104利用量子随机数生成的随机数值,具有接入认证及访问控制以及密钥安全存储等关键特性,为网络的安全校验方法提供了可靠思路。量子服务器104在接收到由终端管控服务器103转发的存储在目标终端101底层的识别密钥后,判断该识别密钥是否为量子服务器104生成的密钥,若不是量子服务器104生成的密钥,则表明该终端不是申请接入内部网络的目标终端101,有可能为黑客入侵时使用的物理终端,该物理终端存储的密钥为其他服务器生成发送的,会携带病毒等不安全数据,若将该物理终端接入目标网络,可能会导致数据丢失,继而降低网络的安全性。因此,当监测到目标终端101所存储的识别密钥为不为量子服务器104生成的情况下,表明该目标终端101发出的准入请求无效,则生成请求无效的初始校验结果,禁止目标终端101接入目标网络。
反之,若该识别密钥为量子服务器104生成的密钥时,则表明该目标终端101发出的准入请求有效,并生成请求有效的初始校验结果。进一步的,将该初始校验结果反馈至与量子服务器104通信连接的终端管控服务器103中。
在终端管控服务器103接收到初始校验结果后,根据初始校验结果进行进一步校验,可选地,在本申请实施例提供的终端的准入校验方法中,在初始校验结果指示准入请求无效的情况下,终端管控服务器103生成指示校验失败的校验结果;在初始校验结果指示准入请求有效,且身份信息指示目标终端101处于终端管控服务器103的管理范围内的情况下,终端管控服务器103生成指示校验成功的校验结果。
具体的,在终端管控服务器103接收到量子服务器104发出的初始校验结果后,识别该初始校验结果,若初始校验结果表示准入请求为无效请求时,终端管控服务器103生成的校验结果指示校验失败;反之,若初始校验结果表示准入请求为有效请求时,终端管控服务器103对发出该准入请求的目标终端101进行二次校验。
进一步的,根据获取的目标终端101的准入请求,识别准入请求中目标终端101的地址等相关信息,并基于相关信息判断该目标终端101是否属于终端管控服务器103存储的纳管终端汇总表中的物理终端,若判断表示该目标终端101不处于终端管控服务器103的纳管范围内时,则生成校验失败的校验结果;反之,若基于目标终端101的信息判断得到该目标终端101处于终端管控服务器103的纳管范围内时,生成的校验结果指示校验成功,其中,目标终端101的相关信息可以为IP地址、端口号等信息,通过量子服务器104对目标终端101的识别密钥的校验以及终端管控服务器103对目标终端101的身份进行的二次校验,可以大大提高目标终端101的安全性,也可以降低接入目标网络后的该目标网络需要承担的风险,进而在目标终端101接入目标网络进行相关工作时,可以提高工作效率。
初始校验结果由量子服务器104生成,可选地,在本申请实施例提供的终端的准入校验方法中,终端管控服务器103调用目标终端101的第一接口获取目标终端101中存储的识别密钥,并将识别密钥发送至量子服务器104,量子服务器104判断识别密钥是否量子服务器104生成的密钥,生成初始校验结果,并将初始校验结果发送至终端管控服务器103。
在判断目标终端101存储的识别密钥是否为量子服务器104生成的密钥前,需要将识别密钥进行传递,具体的,第一接口是指目标终端101的识别密钥读取接口,用于传递量子服务器104生成的识别密钥,在终端管控服务器103通过调用识别密钥读取接口获取存储在目标终端101的底层可信区域的识别密钥后,再一次调用量子服务器104中的量子服务器104接口将该识别密钥发送至量子服务器104,由量子服务器104判断该识别密钥是否由其生成的密钥,进而得到初始校验结果,将结果上传至终端管控服务器103中。
识别密钥是基于量子服务器104以及终端管控服务器103生成的,可选地,在本申请实施例提供的终端的准入校验方法中,目标终端101中存储的识别密钥通过量子服务器104生成,其中,终端管控服务调用量子服务器104的第二接口,利用随机数生成算法控制量子服务器104生成识别密钥,并控制量子服务器104利用随机数充注算法将识别密钥移动至目标终端101中。
具体的,图3是根据本申请实施例提供的终端的量子密钥生成方法的示意图,如图3所示在目标终端101发出准入请求之前,终端管控服务器103调用量子服务器104中的随机数协商功能接口,并利用随机数生成算法进行量子随机数的协商,进而控制量子服务器104生成识别密钥。
进一步的,终端管控服务器103再利用随机数充注算法将生成的识别密钥充注至目标终端101的操作系统的底层可信区域,以此完成量子密钥的分发操作。
本申请实施例还提供了一种可选的终端的准入校验方法,该方法包括:
当目标终端101需要访问某一目标网络时,会生成一个申请接入该目标网络的准入请求,并通过通信连接通道向虚拟网络服务器102发送该准入请求,在虚拟网络服务器102接收到该准入请求后,利用传输通道将该准入请求转发至终端管控服务器103,由终端管控服务器103进行校验。
进一步的,当终端管控服务器103接收到该准入请求后,识别准入请求中目标终端101的地址等相关信息,在终端管控服务器103确定目标终端101的地址信息后,通过调用识别密钥读取接口获取存储在目标终端101的底层可信区域的识别密钥,调用量子服务器104中的量子服务器104接口将该识别密钥发送至量子服务器104,由量子服务器104判断该识别密钥是否由其生成的密钥,进而得到初始校验结果。
具体的,当该识别密钥不是量子服务器104生成的密钥的情况下,表明该终端不是申请接入内部网络的目标终端101,表明该目标终端101发出的准入请求无效,则生成请求无效的初始校验结果,反之,若该识别密钥是量子服务器104生成的密钥的情况下,表明该目标终端101为请求接入内部网络的目标终端101,发出的准入请求有效,并生成请求有效的初始结果,将结果上传至终端管控服务器103中,由终端管控服务器103进行二次校验,以得到最终的校验结果。
具体的,在初始校验结果表示准入请求为无效请求时,终端管控服务器103生成的校验结果指示校验失败;反之,若初始校验结果表示准入请求为有效请求时,终端管控服务器103对发出该准入请求的目标终端101进行二次校验,通过准入请求获取到的目标终端101的相关信息后,基于相关信息判断该目标终端101是否属于终端管控服务器103存储的纳管终端汇总表中的物理终端,若判断表示该目标终端101不处于终端管控服务器103的纳管范围内时,则生成校验失败的校验结果;反之,若基于目标终端101的信息判断得到该目标终端101处于终端管控服务器103的纳管范围内时,生成的校验结果指示校验成功。
当校验结果表示校验成功的情况下,虚拟网络服务器102建立虚拟网络,允许目标终端101通过虚拟网络访问目标网络,并对目标终端101访问目标网络的操作进行加密,而目标网络在接收到虚拟网络服务器102发送的准入请求通过的指令后,穿过虚拟网络服务器102与目标网络之间的防火墙,进行目标网络的访问。
由于识别密钥的数值为随机生成数值,通过获取量子服务器104生成的目标终端101的唯一识别密钥,并利用终端管控服务器103以及量子服务器104对目标终端101的双重校验,可以达到了快速识别目标终端101,并有效提升目标终端101接入目标网络的安全性。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例还提供了一种终端的准入校验装置,需要说明的是,本申请实施例的终端的准入校验装置可以用于执行本申请实施例所提供的用于终端的准入校验方法。以下对本申请实施例提供的终端的准入校验装置进行介绍。
图4是根据本申请实施例提供的终端的准入校验装置的示意图,如图4所示,该装置包括:获取单元40、接收单元41、通过单元42。
获取单元40,用于获取目标终端发送的准入请求,并将准入请求转发至终端管控服务器中,其中,准入请求是指目标终端申请接入目标网络的请求;
接收单元41,用于接收终端管控服务器发送的校验结果,并识别校验结果,其中,校验结果指示是否允许目标终端接入目标网络,校验结果是由终端管控服务器基于准入请求的初始校验结果以及目标终端的身份信息生成的,初始校验结果是由终端管控服务器连接的量子服务器校验准入请求的有效性生成的;
通过单元42,用于在校验结果指示校验失败的情况下,拒绝准入请求,在校验结果指示校验成功的情况下,通过准入请求。
可选地,在本申请实施例提供的终端的准入校验装置中,该装置还包括:建立单元,用于在校验结果指示校验成功的情况下,通过准入请求之后,建立与目标网络连接的虚拟通道;加密单元,用于在目标终端通过虚拟通道接入目标网络,并向目标网络进行数据传输操作的情况下,对目标网络传输的数据进行加密操作。
可选地,在本申请实施例提供的终端的准入校验装置中,检验单元包括:第一生成模块,用于在初始校验结果指示准入请求无效的情况下,终端管控服务器生成指示校验失败的校验结果;第二生成模块,用于在初始校验结果指示准入请求有效,且身份信息指示目标终端处于终端管控服务器的管理范围内的情况下,终端管控服务器生成指示校验成功的校验结果。
可选地,在本申请实施例提供的终端的准入校验装置中,第一生成单元包括:调用模块,用于终端管控服务器调用目标终端的第一接口获取目标终端中存储的识别密钥,并将识别密钥发送至量子服务器,量子服务器判断识别密钥是否量子服务器生成的密钥,生成初始校验结果,并将初始校验结果发送至终端管控服务器。
可选地,在本申请实施例提供的终端的准入校验装置中,第二生成单元包括:第三生成模块,用于目标终端中存储的识别密钥通过量子服务器生成,其中,终端管控服务调用量子服务器的第二接口,利用随机数生成算法控制量子服务器生成识别密钥,并控制量子服务器利用随机数充注算法将识别密钥移动至目标终端中。
可选地,在本申请实施例提供的终端的准入校验装置中,第三生成单元包括:第四生成模块,用于量子服务器确定识别密钥不是量子服务器生成的密钥情况下,生成指示准入请求无效的初始校验结果,量子服务器确定识别密钥是量子服务器生成的密钥情况下,生成指示准入请求有效的初始校验结果。
本申请实施例提供的终端的准入校验装置,通过获取单元40,用于获取目标终端发送的准入请求,并将准入请求转发至终端管控服务器中,其中,准入请求是指目标终端申请接入目标网络的请求;接收单元41,用于接收终端管控服务器发送的校验结果,并识别校验结果,其中,校验结果指示是否允许目标终端接入目标网络,校验结果是由终端管控服务器基于准入请求的初始校验结果以及目标终端的身份信息生成的,初始校验结果是由终端管控服务器连接的量子服务器校验准入请求的有效性生成的;通过单元42,用于在校验结果指示校验失败的情况下,拒绝准入请求,在校验结果指示校验成功的情况下,通过准入请求,解决了相关技术中目标终端在远程连接时安全性难以提升的问题,通过对目标终端发出的准入请求进行校验,利用校验结果判断目标终端是否可以访问目标网络,进而达到了有效提升目标终端远程接入目标网络时安全性的效果。
终端的准入校验装置包括处理器和存储器,上述获取单元40、接收单元41、通过单元42等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来解决相关技术中目标终端在远程连接时安全性难以提升的问题。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
本发明实施例提供了一种计算机可读存储介质,其上存储有程序,该程序被处理器执行时实现终端的准入校验方法。
本发明实施例提供了一种处理器,处理器用于运行程序,其中,程序运行时执行终端的准入校验方法。
图5是根据本申请实施例提供的电子设备的示意图,如图5所示,本发明实施例提供了一种电子设备,电子设备50包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,处理器用于运行计算机可读指令,其中,计算机可读指令运行时执行一种终端的准入校验方法。本文中的设备可以是服务器、PC、PAD、手机等。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行一种终端的准入校验方法。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。

Claims (10)

1.一种终端的准入校验方法,其特征在于,应用于虚拟网络服务器中,包括:
获取目标终端发送的准入请求,并将所述准入请求转发至终端管控服务器中,其中,所述准入请求是指所述目标终端申请接入目标网络的请求;
接收所述终端管控服务器发送的校验结果,并识别所述校验结果,其中,所述校验结果指示是否允许所述目标终端接入所述目标网络,所述校验结果是由所述终端管控服务器基于所述准入请求的初始校验结果以及所述目标终端的身份信息生成的,所述初始校验结果是由所述终端管控服务器连接的量子服务器校验所述准入请求的有效性生成的;
在所述校验结果指示校验失败的情况下,拒绝所述准入请求,在所述校验结果指示校验成功的情况下,通过所述准入请求。
2.根据权利要求1所述的方法,其特征在于,在所述校验结果指示校验成功的情况下,通过所述准入请求之后,所述方法还包括:
建立与所述目标网络连接的虚拟通道;
在所述目标终端通过所述虚拟通道接入所述目标网络,并向所述目标网络进行数据传输操作的情况下,对所述目标网络传输的数据进行加密操作。
3.根据权利要求1所述的方法,其特征在于,在所述初始校验结果指示所述准入请求无效的情况下,所述终端管控服务器生成指示校验失败的校验结果;在所述初始校验结果指示所述准入请求有效,且所述身份信息指示所述目标终端处于所述终端管控服务器的管理范围内的情况下,所述终端管控服务器生成指示校验成功的校验结果。
4.根据权利要求1所述的方法,其特征在于,所述终端管控服务器调用所述目标终端的第一接口获取所述目标终端中存储的识别密钥,并将所述识别密钥发送至所述量子服务器,所述量子服务器判断所述识别密钥是否所述量子服务器生成的密钥,生成所述初始校验结果,并将所述初始校验结果发送至所述终端管控服务器。
5.根据权利要求4所述的方法,其特征在于,所述目标终端中存储的识别密钥通过所述量子服务器生成,其中,所述终端管控服务调用所述量子服务器的第二接口,利用随机数生成算法控制所述量子服务器生成所述识别密钥,并控制所述量子服务器利用随机数充注算法将所述识别密钥移动至所述目标终端中。
6.根据权利要求4所述的方法,其特征在于,所述量子服务器确定所述识别密钥不是所述量子服务器生成的密钥情况下,生成指示所述准入请求无效的初始校验结果,所述量子服务器确定所述识别密钥是所述量子服务器生成的密钥情况下,生成指示所述准入请求有效的初始校验结果。
7.一种终端的准入校验系统,其特征在于,包括:
目标终端,用于向虚拟网络服务器发送准入请求,并在所述虚拟网络服务器通过所述准入请求的情况下,访问目标网络;
所述虚拟网络服务器,与所述目标终端通信连接,用于接收所述目标终端发送的所述准入请求,并将所述准入请求转发至终端管控服务器中,还用于接收所述终端管控服务器发送的校验结果,并识别所述校验结果,在所述校验结果指示校验成功的情况下,通过所述准入请求,在所述校验结果指示校验失败的情况下,拒绝所述准入请求;
所述终端管控服务器,分别与所述目标终端以及所述虚拟网络服务器通信连接,用于基于所述准入请求的初始校验结果以及所述目标终端的身份信息生成所述校验结果;
量子服务器,与所述终端管控服务器通信连接,用于判断所述准入请求是否有效,得到所述初始校验结果,并将所述初始校验结果发送至所述终端管控服务器。
8.一种终端的准入校验装置,其特征在于,包括:
获取单元,用于获取目标终端发送的准入请求,并将所述准入请求转发至终端管控服务器中,其中,所述准入请求是指所述目标终端申请接入目标网络的请求;
接收单元,用于接收所述终端管控服务器发送的校验结果,并识别所述校验结果,其中,所述校验结果指示是否允许所述目标终端接入所述目标网络,所述校验结果是由所述终端管控服务器基于所述准入请求的初始校验结果以及所述目标终端的身份信息生成的,所述初始校验结果是由所述终端管控服务器连接的量子服务器校验所述准入请求的有效性生成的;
通过单元,用于在所述校验结果指示校验失败的情况下,拒绝所述准入请求,在所述校验结果指示校验成功的情况下,通过所述准入请求。
9.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至6中任意一项所述的终端的准入校验方法。
10.一种电子设备,其特征在于,包括一个或多个处理器和存储器,所述存储器用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现权利要求1至6中任意一项所述的终端的准入校验方法。
CN202310519700.0A 2023-05-09 2023-05-09 终端的准入校验方法、系统、装置、处理器以及电子设备 Pending CN116506197A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310519700.0A CN116506197A (zh) 2023-05-09 2023-05-09 终端的准入校验方法、系统、装置、处理器以及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310519700.0A CN116506197A (zh) 2023-05-09 2023-05-09 终端的准入校验方法、系统、装置、处理器以及电子设备

Publications (1)

Publication Number Publication Date
CN116506197A true CN116506197A (zh) 2023-07-28

Family

ID=87320016

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310519700.0A Pending CN116506197A (zh) 2023-05-09 2023-05-09 终端的准入校验方法、系统、装置、处理器以及电子设备

Country Status (1)

Country Link
CN (1) CN116506197A (zh)

Similar Documents

Publication Publication Date Title
CN111429254B (zh) 一种业务数据处理方法、设备以及可读存储介质
CN111090876B (zh) 调用合约的方法及装置
CN110784433B (zh) 一种用户访问处理方法、装置及设备
CN107463838B (zh) 基于sgx的安全监控方法、装置、系统及存储介质
CN102624699B (zh) 一种保护数据的方法和系统
US9053318B2 (en) Anti-cloning system and method
US10642664B2 (en) System and method for securing an inter-process communication via a named pipe
US10333925B2 (en) Seamless provision of authentication credential data to cloud-based assets on demand
US11303443B2 (en) Electronic system to enable rapid acquisition and delivery of services and to provide strong protection of security and privacy
CN112688773A (zh) 一种令牌的生成和校验方法及装置
US11218464B2 (en) Information registration and authentication method and device
CN104753674A (zh) 一种应用身份的验证方法和设备
CN116319024B (zh) 零信任系统的访问控制方法、装置及零信任系统
CN112637167A (zh) 系统登录方法、装置、计算机设备和存储介质
CN107645474B (zh) 登录开放平台的方法及登录开放平台的装置
CN108604280B (zh) 交易方法、交易信息处理方法、交易终端及服务器
CN115065542A (zh) 权限验证方法、装置、处理器及电子设备
CN116996305A (zh) 一种多层次安全认证方法、系统、设备、存储介质及入口网关
KR101221728B1 (ko) 그래픽 otp 인증을 위한 인증처리서버 및 그 방법
CN115190483B (zh) 一种访问网络的方法及装置
CN110971609A (zh) Drm客户端证书的防克隆方法、存储介质及电子设备
CN115563588A (zh) 一种软件离线鉴权的方法、装置、电子设备和存储介质
CN109981611A (zh) 一种多平台账户的安全防御方法及装置
CN116506197A (zh) 终端的准入校验方法、系统、装置、处理器以及电子设备
CN107104922B (zh) 一种权限管理和资源控制的方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination