本技術(shù)涉及單包認(rèn)證，具體而言，涉及一種基于量子密鑰的單包認(rèn)證方法、設(shè)備及存儲(chǔ)介質(zhì)。

背景技術(shù)：

1、單包認(rèn)證(single?packet?authorization，spa)是一種網(wǎng)絡(luò)安全技術(shù)，它通過單個(gè)加密數(shù)據(jù)包完成身份驗(yàn)證過程，從而提高認(rèn)證的安全性和效率。這種技術(shù)在允許訪問網(wǎng)絡(luò)前，先驗(yàn)證設(shè)備和用戶身份，以此達(dá)到“網(wǎng)絡(luò)隱身”的效果，使攻擊者無法找到服務(wù)地址和端口。

2、傳統(tǒng)的單包認(rèn)證方案基于密碼學(xué)技術(shù)，結(jié)合消息認(rèn)證碼或數(shù)字簽名來實(shí)現(xiàn)認(rèn)證，通過密鑰交換、身份驗(yàn)證、加密算法協(xié)商等協(xié)商邏輯后，生成雙方之間的會(huì)話密鑰。但是，這種方案一旦發(fā)生數(shù)據(jù)通道在建立過程受到網(wǎng)絡(luò)黑客的網(wǎng)絡(luò)攻擊，則可能會(huì)存在會(huì)話密鑰被破解、私人數(shù)據(jù)被竊取的安全隱患。例如，客戶端通過spa報(bào)文在服務(wù)端進(jìn)行首次認(rèn)證時(shí)，需要使用初始默認(rèn)密碼對(duì)spa報(bào)文進(jìn)行加密，在初次認(rèn)證通過之后，再通過密鑰交換協(xié)議更新下一次spa報(bào)文的共享密鑰，在這個(gè)過程中，如果初始默認(rèn)密碼和加密算法遭到泄露，則會(huì)導(dǎo)致單包認(rèn)證的安全性失效，使得服務(wù)端依然面臨tls(transport?layer?security，傳輸層安全性協(xié)議)拒絕服務(wù)攻擊的風(fēng)險(xiǎn)。綜上，亟需一種能夠提高單包認(rèn)證安全性的實(shí)現(xiàn)方案。

技術(shù)實(shí)現(xiàn)思路

1、本技術(shù)實(shí)施例的目的在于提供一種基于量子密鑰的單包認(rèn)證方法、設(shè)備及存儲(chǔ)介質(zhì)，用以提高單包認(rèn)證的安全性。

2、第一方面，本技術(shù)實(shí)施例提供了一種基于量子密鑰的單包認(rèn)證方法，包括：

3、確定對(duì)應(yīng)于單包認(rèn)證請(qǐng)求的量子密鑰獲取模式，并基于所述量子密鑰獲取模式獲取量子密鑰；

4、確定對(duì)應(yīng)于所述單包認(rèn)證請(qǐng)求的校驗(yàn)基礎(chǔ)信息，并確定對(duì)應(yīng)于所述單包認(rèn)證請(qǐng)求的目標(biāo)安全算法；

5、基于所述目標(biāo)安全算法對(duì)所述校驗(yàn)基礎(chǔ)信息進(jìn)行摘要運(yùn)算，得到第一摘要運(yùn)算值，并利用所述量子密鑰對(duì)所述第一摘要運(yùn)算值進(jìn)行加密，得到完整性校驗(yàn)值；

6、基于所述單包認(rèn)證請(qǐng)求的spa基礎(chǔ)信息，并結(jié)合所述校驗(yàn)基礎(chǔ)信息以及所述完整性校驗(yàn)值進(jìn)行報(bào)文組裝，得到用于發(fā)送至服務(wù)器以進(jìn)行單包認(rèn)證的spa報(bào)文；

7、其中，所述spa報(bào)文包括用于對(duì)所述目標(biāo)安全算法的類型進(jìn)行標(biāo)識(shí)的安全算法標(biāo)識(shí)字段。

8、在本技術(shù)實(shí)施例中，通過結(jié)合量子密鑰對(duì)單包認(rèn)證過程中的摘要進(jìn)行加密運(yùn)算，降低了單包認(rèn)證報(bào)文被攻擊的風(fēng)險(xiǎn)，從而有效提高了單包認(rèn)證的安全性。

9、在一些可能的實(shí)施例中，基于所述量子密鑰獲取模式獲取量子密鑰，包括以下至少一項(xiàng)：

10、在確定所述量子密鑰獲取模式為在線獲取模式的情況下，獲取對(duì)應(yīng)于所述在線獲取模式的密鑰服務(wù)器地址信息和密鑰基礎(chǔ)信息，并基于所述密鑰服務(wù)器地址信息和所述密鑰基礎(chǔ)信息從預(yù)先配置的密鑰服務(wù)器獲取對(duì)應(yīng)的量子密鑰；

11、在確定所述量子密鑰獲取模式為離線獲取模式的情況下，獲取對(duì)應(yīng)于所述離線獲取模式的密鑰存儲(chǔ)位置信息和密鑰基礎(chǔ)信息，并基于所述密鑰存儲(chǔ)位置信息和所述密鑰基礎(chǔ)信息從預(yù)先配置的本地密鑰安全存儲(chǔ)設(shè)備獲取對(duì)應(yīng)的量子密鑰。

12、在本技術(shù)實(shí)施例中，通過配置不同方式獲取量子密鑰，進(jìn)一步增加了密鑰信息被破解的難度，從而進(jìn)一步地提高單包認(rèn)證的安全性。

13、在一些可能的實(shí)施例中，所述確定對(duì)應(yīng)于單包認(rèn)證請(qǐng)求的量子密鑰獲取模式，包括：

14、確定所述單包認(rèn)證請(qǐng)求的請(qǐng)求發(fā)起時(shí)間，并基于所述請(qǐng)求發(fā)起時(shí)間確定對(duì)應(yīng)于所述單包認(rèn)證請(qǐng)求的量子密鑰獲取模式；

15、或者，確定所述單包認(rèn)證請(qǐng)求的請(qǐng)求發(fā)起次數(shù)，并基于所述請(qǐng)求發(fā)起次數(shù)確定對(duì)應(yīng)于所述單包認(rèn)證請(qǐng)求的量子密鑰獲取模式。

16、在本技術(shù)實(shí)施例中，通過根據(jù)單包認(rèn)證請(qǐng)求的發(fā)起時(shí)間或次數(shù)確定不同的密鑰獲取模式，進(jìn)一步增加了密鑰信息被破解的難度，從而進(jìn)一步地提高單包認(rèn)證的安全性。

17、在一些可能的實(shí)施例中，所述spa報(bào)文包括報(bào)文序列號(hào)；

18、所述報(bào)文序列號(hào)為基于所述spa報(bào)文的發(fā)送次數(shù)隨機(jī)生成。

19、在本技術(shù)實(shí)施例中，通過基于報(bào)文發(fā)送次數(shù)隨機(jī)生成相應(yīng)的報(bào)文序列號(hào)，能夠進(jìn)一步增加重放攻擊的難度，從而進(jìn)一步地提高單包認(rèn)證的安全性。

20、在一些可能的實(shí)施例中，所述spa報(bào)文還包括用于對(duì)所述校驗(yàn)基礎(chǔ)信息的類型進(jìn)行標(biāo)識(shí)的基礎(chǔ)信息標(biāo)識(shí)字段。

21、在本技術(shù)實(shí)施例中，通過在spa報(bào)文中標(biāo)識(shí)校驗(yàn)基礎(chǔ)信息的類型，能夠靈活配置參與計(jì)算摘要運(yùn)算值的數(shù)據(jù)，從而進(jìn)一步提高單包認(rèn)證的安全性。

22、第二方面，本技術(shù)實(shí)施例還提供一種基于量子密鑰的單包認(rèn)證方法，包括：

23、識(shí)別客戶端發(fā)送的spa報(bào)文以響應(yīng)于所述客戶端基于所述spa報(bào)文發(fā)起的單包認(rèn)證請(qǐng)求，確定對(duì)應(yīng)于所述單包認(rèn)證請(qǐng)求的量子密鑰獲取模式，并基于所述量子密鑰獲取模式獲取量子密鑰；

24、利用所述量子密鑰對(duì)所述spa報(bào)文的完整性校驗(yàn)值進(jìn)行解密，得到第一摘要運(yùn)算值；

25、基于所述spa報(bào)文的安全算法標(biāo)識(shí)字段確定目標(biāo)安全算法，并基于所述spa報(bào)文提取對(duì)應(yīng)于所述單包認(rèn)證請(qǐng)求的校驗(yàn)基礎(chǔ)信息；

26、基于所述目標(biāo)安全算法對(duì)所述校驗(yàn)基礎(chǔ)信息進(jìn)行摘要運(yùn)算，得到第二摘要運(yùn)算值；

27、基于所述第一摘要運(yùn)算值與所述第二摘要運(yùn)算值的一致性對(duì)所述客戶端的單包認(rèn)證請(qǐng)求進(jìn)行合法性校驗(yàn)。

28、在本技術(shù)實(shí)施例中，通過根據(jù)客戶端發(fā)起的認(rèn)證請(qǐng)求獲取相應(yīng)的量子密鑰，以實(shí)現(xiàn)對(duì)spa報(bào)文的完整性校驗(yàn)值進(jìn)行解密，有效降低了單包認(rèn)證報(bào)文被攻擊的風(fēng)險(xiǎn)，從而有效提高了單包認(rèn)證的安全性。

29、在一些可能的實(shí)施例中，所述spa報(bào)文包括報(bào)文序列號(hào)；所述報(bào)文序列號(hào)為所述客戶端基于所述spa報(bào)文的發(fā)送次數(shù)隨機(jī)生成；

30、基于所述第一摘要運(yùn)算值與所述第二摘要運(yùn)算值的一致性對(duì)所述客戶端的單包認(rèn)證請(qǐng)求進(jìn)行合法性校驗(yàn)，還包括：

31、提取所述spa報(bào)文中的報(bào)文序列號(hào)，并基于存儲(chǔ)的序列號(hào)緩存信息對(duì)所述報(bào)文序列號(hào)進(jìn)行重復(fù)性驗(yàn)證，以對(duì)所述客戶端的單包認(rèn)證請(qǐng)求進(jìn)行合法性校驗(yàn)。

32、在本技術(shù)實(shí)施例中，通過基于報(bào)文發(fā)送次數(shù)隨機(jī)生成相應(yīng)的報(bào)文序列號(hào)，并基于序列號(hào)緩存機(jī)制對(duì)序列號(hào)進(jìn)行重復(fù)性驗(yàn)證，從而能夠有效增加重放攻擊的難度，進(jìn)一步地提高單包認(rèn)證的安全性。

33、在一些可能的實(shí)施例中，所述識(shí)別客戶端發(fā)送的spa報(bào)文以響應(yīng)于所述客戶端基于所述spa報(bào)文發(fā)起的單包認(rèn)證請(qǐng)求，包括：

34、對(duì)客戶端發(fā)送的數(shù)據(jù)包進(jìn)行spa報(bào)文標(biāo)識(shí)檢測，在所述數(shù)據(jù)包攜帶有spa報(bào)文標(biāo)識(shí)的情況下，將所述數(shù)據(jù)包識(shí)別為所述客戶端發(fā)送的spa報(bào)文。

35、在本技術(shù)實(shí)施例中，通過在spa報(bào)文中添加相應(yīng)的spa報(bào)文標(biāo)識(shí)，實(shí)現(xiàn)spa報(bào)文的快速識(shí)別，有效提高了單包認(rèn)證的效率和可靠性。

36、第三方面，本技術(shù)實(shí)施例提供了一種基于量子密鑰的單包認(rèn)證裝置，包括：

37、第一密鑰獲取模塊，用于確定對(duì)應(yīng)于單包認(rèn)證請(qǐng)求的量子密鑰獲取模式，并基于所述量子密鑰獲取模式獲取量子密鑰；

38、算法確定模塊，用于確定對(duì)應(yīng)于所述單包認(rèn)證請(qǐng)求的校驗(yàn)基礎(chǔ)信息，并確定對(duì)應(yīng)于所述單包認(rèn)證請(qǐng)求的目標(biāo)安全算法；

39、加密運(yùn)算模塊，用于基于所述目標(biāo)安全算法對(duì)所述校驗(yàn)基礎(chǔ)信息進(jìn)行摘要運(yùn)算，得到第一摘要運(yùn)算值，并利用所述量子密鑰對(duì)所述第一摘要運(yùn)算值進(jìn)行加密，得到完整性校驗(yàn)值；

40、報(bào)文組裝模塊，用于基于所述單包認(rèn)證請(qǐng)求的spa基礎(chǔ)信息，并結(jié)合所述校驗(yàn)基礎(chǔ)信息以及所述完整性校驗(yàn)值進(jìn)行報(bào)文組裝，得到用于發(fā)送至服務(wù)器以進(jìn)行單包認(rèn)證的spa報(bào)文；

41、其中，所述spa報(bào)文包括用于對(duì)所述目標(biāo)安全算法的類型進(jìn)行標(biāo)識(shí)的安全算法標(biāo)識(shí)字段。

42、第四方面，本技術(shù)實(shí)施例提供了一種基于量子密鑰的單包認(rèn)證裝置，包括：

43、第二密鑰獲取模塊，用于識(shí)別客戶端發(fā)送的spa報(bào)文以響應(yīng)于所述客戶端基于所述spa報(bào)文發(fā)起的單包認(rèn)證請(qǐng)求，確定對(duì)應(yīng)于所述單包認(rèn)證請(qǐng)求的量子密鑰獲取模式，并基于所述量子密鑰獲取模式獲取量子密鑰；

44、報(bào)文解密模塊，用于利用所述量子密鑰對(duì)所述spa報(bào)文的完整性校驗(yàn)值進(jìn)行解密，得到第一摘要運(yùn)算值；

45、信息提取模塊，用于基于所述spa報(bào)文的安全算法標(biāo)識(shí)字段確定目標(biāo)安全算法，并基于所述spa報(bào)文提取對(duì)應(yīng)于所述單包認(rèn)證請(qǐng)求的校驗(yàn)基礎(chǔ)信息；

46、摘要運(yùn)算模塊，用于基于所述目標(biāo)安全算法對(duì)所述校驗(yàn)基礎(chǔ)信息進(jìn)行摘要運(yùn)算，得到第二摘要運(yùn)算值；

47、單包認(rèn)證模塊，用于基于所述第一摘要運(yùn)算值與所述第二摘要運(yùn)算值的一致性對(duì)所述客戶端的單包認(rèn)證請(qǐng)求進(jìn)行合法性校驗(yàn)。

48、第五方面，本技術(shù)實(shí)施例提供了一種電子設(shè)備，包括存儲(chǔ)器、處理器以及存儲(chǔ)在所述存儲(chǔ)器上并可在所述處理器上運(yùn)行的計(jì)算機(jī)程序，其中，所述處理器執(zhí)行所述程序時(shí)可實(shí)現(xiàn)任一實(shí)施例所述的方法。

49、第六方面，本技術(shù)實(shí)施例提供了一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)上存儲(chǔ)有計(jì)算機(jī)程序，所述計(jì)算機(jī)程序被處理器運(yùn)行時(shí)可實(shí)現(xiàn)任一實(shí)施例所述的方法。

50、第七方面，本技術(shù)實(shí)施例提供了一種計(jì)算機(jī)程序產(chǎn)品，所述的計(jì)算機(jī)程序產(chǎn)品包括計(jì)算機(jī)程序，其中，所述的計(jì)算機(jī)程序被處理器執(zhí)行時(shí)可實(shí)現(xiàn)任一實(shí)施例所述的方法。