一种融合时空体系的密钥管理方法、装置、设备及介质与流程

本发明涉及数据安全领域，特别涉及一种融合时空体系的密钥管理方法、装置、设备及介质。

背景技术：

1、新型移动互联场景（如物联网、车联网等）下，移动终端之间存在数据安全共享需求，需要保障数据传输的机密性和完整性。目前的主流密码应用方案为预置密钥技术方案、集中式密钥保障技术方案、基于证书的密钥协商保障技术方案。

2、具体的，（1）预置密钥技术方案在移动终端启动使用之前，对移动终端进行预置密钥导入，然后利用密钥标识符进行预置密钥同步，实现移动终端之间交互数据正确加解密，这样一来，不能解决开放环境下通信对端不可预知时的数据安全防护；（2）集中式密钥保障技术方案中，移动终端接入通信基站时对移动终端进行接入认证，利用无线通信安全信道对该基站覆盖范围内的移动终端进行应用密钥分发，但由于处于开放性环境，集中式密钥管理中心容易遭受破坏或定点攻击，造成单点故障，且终端跨域重新认证会导致较大的时延；（3）基于证书的密钥协商保障技术方案中，终端的发送端与接收端基于交互的安全参数采用相同的算法生成共享会话密钥，并利用该会话密钥进行直连通信敏感数据的安全防护，这样一来，开放环境下，由于移动终端直连通信对象不可预知，移动终端无法验证对端证书有效情况下，需要向上级ca机构申请证书链及证书撤销列表，使得与移动高速度、移动终端数量大时计算开销很大。

技术实现思路

1、有鉴于此，本发明的目的在于提供一种融合时空体系的密钥管理方法、装置、设备及介质，实现了从传统基于设备标识或基于时间的二维密码保障模式到基于时空网格的三维密码保障模式的创新，提高了密码保障的安全性、可靠性，进而能够高效解决开放场景下高速、海量移动终端交互数据的安全防护难题。其具体方案如下：

2、第一方面，本技术提供了一种融合时空体系的密钥管理方法，应用于预设密钥管理系统，包括：

3、通过所述预设密钥管理系统中的边缘云密钥服务平台，针对所管辖空间内的各时空网格，基于预设三维时空密钥数据模型定期进行时空密钥的生成与存储，并当接收到已通过接入认证的移动终端发送的密钥请求时，基于解析所述密钥请求完成相应的请求响应；

4、通过所述预设密钥管理系统中的移动终端密码服务模块，针对接收到相应的请求响应信息的所述移动终端，基于所述请求响应信息生成对应的应用密钥，并对各所述移动终端上的密钥信息进行管理；其中，所述请求响应信息为对应的所述边缘云密钥服务平台返回的响应信息；

5、通过所述预设密钥管理系统中的区域云密钥管理平台，对相应的若干个边缘云密钥服务平台进行远程管理、态势收集与展示，并进行区域间的密码服务协同与同步以及区域间的终端接入认证同步；

6、通过所述预设密钥管理系统中的中心云密钥管理平台，对所有所述时空网格以及各所述区域云密钥管理平台进行管理，并收集和展示各所述区域云密钥管理平台的态势信息。

7、可选的，所述通过所述预设密钥管理系统中的边缘云密钥服务平台，针对所管辖空间内的各时空网格，基于预设三维时空密钥数据模型定期进行时空密钥的生成，包括：

8、通过所述预设密钥管理系统中的边缘云密钥服务平台，获取预先以地理网格数据为基础，并以北斗网格码为网格数据唯一索引、以不同时间点为存储序列，构造的三维时空密钥数据模型；

9、针对所管辖空间内的各所述时空网格，基于所述三维时空密钥数据模型定期生成对应的时空密钥值，并通过所述时空密钥值以及对应的网格空间数据，得到与各所述时空网格对应的时空密钥；

10、其中，所述网格空间数据包括与所述时空网格对应的地理位置数据、地理空间上的空间关系数据。

11、可选的，所述当接收到已通过接入认证的移动终端发送的密钥请求时，基于解析所述密钥请求完成相应的请求响应，包括：

12、当接收到通过接入认证的移动终端的发送端发送的密钥请求时，通过解析所述密钥请求，得到相应的解析结果；

13、基于所述解析结果中的终端位置信息、终端行进速度信息、终端行进方向信息以及预设网格相关性计算规则，确定所述移动终端的行进路径范围内的若干个所述时空网格，并获取对应的有效时空密钥；

14、将基于所述有效时空密钥得到的请求响应信息返回至所述移动终端，以完成相应的请求响应。

15、可选的，所述对各所述移动终端上的密钥信息进行管理，包括：

16、通过各所述移动终端，并基于预设密钥更新规则进行检测，以基于检测结果确定是否执行相应的密钥更新操作；

17、通过各所述移动终端，并利用预设密钥销毁规则对已失效的时空密钥进行销毁。

18、可选的，所述方法还包括：

19、当启动所述移动终端并将所述移动终端接入对应的所述边缘云密钥服务平台时，通过预设基准源进行时间和空间位置的基准同步。

20、可选的，所述通过所述预设密钥管理系统中的移动终端密码服务模块，针对接收到相应的请求响应信息的所述移动终端，基于所述请求响应信息生成对应的应用密钥，包括：

21、当通过所述移动终端的发送端接收到对应的所述边缘云密钥服务平台返回的请求响应信息时，基于当前的地理位置以及预设网格计算规则获得相应的网格标识信息，并根据所述网格标识信息、当前时间点、所述请求响应信息以及预设密钥衍生算法得到对应的应用密钥；其中，所述应用密钥包括数据加密密钥以及数据完整性验证密钥；

22、或，当无法通过所述移动终端的发送端接收到对应的所述边缘云密钥服务平台返回的请求响应信息，或无法获得相应的所述网格标识信息时，基于预先配置好的应用保障密钥得到对应的所述应用密钥。

23、可选的，所述方法还包括：

24、当通过所述移动终端的接收端接收到对应的所述发送端发送的数据密文时，基于所述数据密文获取对应的所述网格标识信息，并利用所述网格标识信息、当前时间、对应的有效时空密钥以及所述预设密钥衍生算法，得到相应的数据解密密钥、所述数据完整性验证密钥；

25、或，当通过所述移动终端的接收端接收到所述数据密文时，通过解析所述数据密文的密文标识头得到相应的应急加密标识信息，并利用所述应急加密标识信息得到相应的所述数据解密密钥、所述数据完整性验证密钥。

26、第二方面，本技术提供了一种融合时空体系的密钥管理装置，应用于预设密钥管理系统，包括：

27、时空密钥生成模块，用于通过所述预设密钥管理系统中的边缘云密钥服务平台，针对所管辖空间内的各时空网格，基于预设三维时空密钥数据模型定期进行时空密钥的生成与存储，并当接收到已通过接入认证的移动终端发送的密钥请求时，基于解析所述密钥请求完成相应的请求响应；

28、应用密钥生成模块，用于通过所述预设密钥管理系统中的移动终端密码服务模块，针对接收到相应的请求响应信息的所述移动终端，基于所述请求响应信息生成对应的应用密钥，并对各所述移动终端上的密钥信息进行管理；其中，所述请求响应信息为对应的所述边缘云密钥服务平台返回的响应信息；

29、区域云密钥管理模块，用于通过所述预设密钥管理系统中的区域云密钥管理平台，对相应的若干个边缘云密钥服务平台进行远程管理、态势收集与展示，并进行区域间的密码服务协同与同步以及区域间的终端接入认证同步；

30、中心云密钥管理模块，用于通过所述预设密钥管理系统中的中心云密钥管理平台，对所有所述时空网格以及各所述区域云密钥管理平台进行管理，并收集和展示各所述区域云密钥管理平台的态势信息。

31、第三方面，本技术提供了一种电子设备，包括：

32、存储器，用于保存计算机程序；

33、处理器，用于执行所述计算机程序，以实现前述的融合时空体系的密钥管理方法的步骤。

34、第四方面，本技术提供了一种计算机可读存储介质，用于保存计算机程序，所述计算机程序被处理器执行时实现前述的融合时空体系的密钥管理方法的步骤。

35、可见，本技术中，通过所述预设密钥管理系统中的边缘云密钥服务平台，针对所管辖空间内的各时空网格，基于预设三维时空密钥数据模型定期进行时空密钥的生成与存储，并当接收到已通过接入认证的移动终端发送的密钥请求时，基于解析所述密钥请求完成相应的请求响应；通过所述预设密钥管理系统中的移动终端密码服务模块，针对接收到相应的请求响应信息的所述移动终端，基于所述请求响应信息生成对应的应用密钥，并对各所述移动终端上的密钥信息进行管理；其中，所述请求响应信息为对应的所述边缘云密钥服务平台返回的响应信息；通过所述预设密钥管理系统中的区域云密钥管理平台，对相应的若干个边缘云密钥服务平台进行远程管理、态势收集与展示，并进行区域间的密码服务协同与同步以及区域间的终端接入认证同步；通过所述预设密钥管理系统中的中心云密钥管理平台，对所有所述时空网格以及各所述区域云密钥管理平台进行管理，并收集和展示各所述区域云密钥管理平台的态势信息。也即，本技术基于预设三维时空密钥数据模型生成时空密钥，并当接收到已通过接入认证的移动终端发送的密钥请求时下发对应的密钥以完成请求响应，以便所述移动终端基于请求响应信息生成对应的应用密钥，且在此过程中，进行区域间的密码服务协同与同步、区域间的终端接入认证同步。这样一来，实现了从传统基于设备标识或基于时间的二维密码保障模式到基于时空网格的三维密码保障模式的创新，提高了密码保障的安全性、时效性、可靠性，进而能够高效解决开放场景下高速、海量移动终端交互数据的安全防护难题。