本發(fā)明涉及數(shù)據(jù)安全領(lǐng)域,特別涉及一種融合時空體系的密鑰管理方法、裝置、設(shè)備及介質(zhì)。
背景技術(shù):
1、新型移動互聯(lián)場景(如物聯(lián)網(wǎng)、車聯(lián)網(wǎng)等)下,移動終端之間存在數(shù)據(jù)安全共享需求,需要保障數(shù)據(jù)傳輸?shù)臋C密性和完整性。目前的主流密碼應(yīng)用方案為預(yù)置密鑰技術(shù)方案、集中式密鑰保障技術(shù)方案、基于證書的密鑰協(xié)商保障技術(shù)方案。
2、具體的,(1)預(yù)置密鑰技術(shù)方案在移動終端啟動使用之前,對移動終端進行預(yù)置密鑰導(dǎo)入,然后利用密鑰標識符進行預(yù)置密鑰同步,實現(xiàn)移動終端之間交互數(shù)據(jù)正確加解密,這樣一來,不能解決開放環(huán)境下通信對端不可預(yù)知時的數(shù)據(jù)安全防護;(2)集中式密鑰保障技術(shù)方案中,移動終端接入通信基站時對移動終端進行接入認證,利用無線通信安全信道對該基站覆蓋范圍內(nèi)的移動終端進行應(yīng)用密鑰分發(fā),但由于處于開放性環(huán)境,集中式密鑰管理中心容易遭受破壞或定點攻擊,造成單點故障,且終端跨域重新認證會導(dǎo)致較大的時延;(3)基于證書的密鑰協(xié)商保障技術(shù)方案中,終端的發(fā)送端與接收端基于交互的安全參數(shù)采用相同的算法生成共享會話密鑰,并利用該會話密鑰進行直連通信敏感數(shù)據(jù)的安全防護,這樣一來,開放環(huán)境下,由于移動終端直連通信對象不可預(yù)知,移動終端無法驗證對端證書有效情況下,需要向上級ca機構(gòu)申請證書鏈及證書撤銷列表,使得與移動高速度、移動終端數(shù)量大時計算開銷很大。
技術(shù)實現(xiàn)思路
1、有鑒于此,本發(fā)明的目的在于提供一種融合時空體系的密鑰管理方法、裝置、設(shè)備及介質(zhì),實現(xiàn)了從傳統(tǒng)基于設(shè)備標識或基于時間的二維密碼保障模式到基于時空網(wǎng)格的三維密碼保障模式的創(chuàng)新,提高了密碼保障的安全性、可靠性,進而能夠高效解決開放場景下高速、海量移動終端交互數(shù)據(jù)的安全防護難題。其具體方案如下:
2、第一方面,本技術(shù)提供了一種融合時空體系的密鑰管理方法,應(yīng)用于預(yù)設(shè)密鑰管理系統(tǒng),包括:
3、通過所述預(yù)設(shè)密鑰管理系統(tǒng)中的邊緣云密鑰服務(wù)平臺,針對所管轄空間內(nèi)的各時空網(wǎng)格,基于預(yù)設(shè)三維時空密鑰數(shù)據(jù)模型定期進行時空密鑰的生成與存儲,并當接收到已通過接入認證的移動終端發(fā)送的密鑰請求時,基于解析所述密鑰請求完成相應(yīng)的請求響應(yīng);
4、通過所述預(yù)設(shè)密鑰管理系統(tǒng)中的移動終端密碼服務(wù)模塊,針對接收到相應(yīng)的請求響應(yīng)信息的所述移動終端,基于所述請求響應(yīng)信息生成對應(yīng)的應(yīng)用密鑰,并對各所述移動終端上的密鑰信息進行管理;其中,所述請求響應(yīng)信息為對應(yīng)的所述邊緣云密鑰服務(wù)平臺返回的響應(yīng)信息;
5、通過所述預(yù)設(shè)密鑰管理系統(tǒng)中的區(qū)域云密鑰管理平臺,對相應(yīng)的若干個邊緣云密鑰服務(wù)平臺進行遠程管理、態(tài)勢收集與展示,并進行區(qū)域間的密碼服務(wù)協(xié)同與同步以及區(qū)域間的終端接入認證同步;
6、通過所述預(yù)設(shè)密鑰管理系統(tǒng)中的中心云密鑰管理平臺,對所有所述時空網(wǎng)格以及各所述區(qū)域云密鑰管理平臺進行管理,并收集和展示各所述區(qū)域云密鑰管理平臺的態(tài)勢信息。
7、可選的,所述通過所述預(yù)設(shè)密鑰管理系統(tǒng)中的邊緣云密鑰服務(wù)平臺,針對所管轄空間內(nèi)的各時空網(wǎng)格,基于預(yù)設(shè)三維時空密鑰數(shù)據(jù)模型定期進行時空密鑰的生成,包括:
8、通過所述預(yù)設(shè)密鑰管理系統(tǒng)中的邊緣云密鑰服務(wù)平臺,獲取預(yù)先以地理網(wǎng)格數(shù)據(jù)為基礎(chǔ),并以北斗網(wǎng)格碼為網(wǎng)格數(shù)據(jù)唯一索引、以不同時間點為存儲序列,構(gòu)造的三維時空密鑰數(shù)據(jù)模型;
9、針對所管轄空間內(nèi)的各所述時空網(wǎng)格,基于所述三維時空密鑰數(shù)據(jù)模型定期生成對應(yīng)的時空密鑰值,并通過所述時空密鑰值以及對應(yīng)的網(wǎng)格空間數(shù)據(jù),得到與各所述時空網(wǎng)格對應(yīng)的時空密鑰;
10、其中,所述網(wǎng)格空間數(shù)據(jù)包括與所述時空網(wǎng)格對應(yīng)的地理位置數(shù)據(jù)、地理空間上的空間關(guān)系數(shù)據(jù)。
11、可選的,所述當接收到已通過接入認證的移動終端發(fā)送的密鑰請求時,基于解析所述密鑰請求完成相應(yīng)的請求響應(yīng),包括:
12、當接收到通過接入認證的移動終端的發(fā)送端發(fā)送的密鑰請求時,通過解析所述密鑰請求,得到相應(yīng)的解析結(jié)果;
13、基于所述解析結(jié)果中的終端位置信息、終端行進速度信息、終端行進方向信息以及預(yù)設(shè)網(wǎng)格相關(guān)性計算規(guī)則,確定所述移動終端的行進路徑范圍內(nèi)的若干個所述時空網(wǎng)格,并獲取對應(yīng)的有效時空密鑰;
14、將基于所述有效時空密鑰得到的請求響應(yīng)信息返回至所述移動終端,以完成相應(yīng)的請求響應(yīng)。
15、可選的,所述對各所述移動終端上的密鑰信息進行管理,包括:
16、通過各所述移動終端,并基于預(yù)設(shè)密鑰更新規(guī)則進行檢測,以基于檢測結(jié)果確定是否執(zhí)行相應(yīng)的密鑰更新操作;
17、通過各所述移動終端,并利用預(yù)設(shè)密鑰銷毀規(guī)則對已失效的時空密鑰進行銷毀。
18、可選的,所述方法還包括:
19、當啟動所述移動終端并將所述移動終端接入對應(yīng)的所述邊緣云密鑰服務(wù)平臺時,通過預(yù)設(shè)基準源進行時間和空間位置的基準同步。
20、可選的,所述通過所述預(yù)設(shè)密鑰管理系統(tǒng)中的移動終端密碼服務(wù)模塊,針對接收到相應(yīng)的請求響應(yīng)信息的所述移動終端,基于所述請求響應(yīng)信息生成對應(yīng)的應(yīng)用密鑰,包括:
21、當通過所述移動終端的發(fā)送端接收到對應(yīng)的所述邊緣云密鑰服務(wù)平臺返回的請求響應(yīng)信息時,基于當前的地理位置以及預(yù)設(shè)網(wǎng)格計算規(guī)則獲得相應(yīng)的網(wǎng)格標識信息,并根據(jù)所述網(wǎng)格標識信息、當前時間點、所述請求響應(yīng)信息以及預(yù)設(shè)密鑰衍生算法得到對應(yīng)的應(yīng)用密鑰;其中,所述應(yīng)用密鑰包括數(shù)據(jù)加密密鑰以及數(shù)據(jù)完整性驗證密鑰;
22、或,當無法通過所述移動終端的發(fā)送端接收到對應(yīng)的所述邊緣云密鑰服務(wù)平臺返回的請求響應(yīng)信息,或無法獲得相應(yīng)的所述網(wǎng)格標識信息時,基于預(yù)先配置好的應(yīng)用保障密鑰得到對應(yīng)的所述應(yīng)用密鑰。
23、可選的,所述方法還包括:
24、當通過所述移動終端的接收端接收到對應(yīng)的所述發(fā)送端發(fā)送的數(shù)據(jù)密文時,基于所述數(shù)據(jù)密文獲取對應(yīng)的所述網(wǎng)格標識信息,并利用所述網(wǎng)格標識信息、當前時間、對應(yīng)的有效時空密鑰以及所述預(yù)設(shè)密鑰衍生算法,得到相應(yīng)的數(shù)據(jù)解密密鑰、所述數(shù)據(jù)完整性驗證密鑰;
25、或,當通過所述移動終端的接收端接收到所述數(shù)據(jù)密文時,通過解析所述數(shù)據(jù)密文的密文標識頭得到相應(yīng)的應(yīng)急加密標識信息,并利用所述應(yīng)急加密標識信息得到相應(yīng)的所述數(shù)據(jù)解密密鑰、所述數(shù)據(jù)完整性驗證密鑰。
26、第二方面,本技術(shù)提供了一種融合時空體系的密鑰管理裝置,應(yīng)用于預(yù)設(shè)密鑰管理系統(tǒng),包括:
27、時空密鑰生成模塊,用于通過所述預(yù)設(shè)密鑰管理系統(tǒng)中的邊緣云密鑰服務(wù)平臺,針對所管轄空間內(nèi)的各時空網(wǎng)格,基于預(yù)設(shè)三維時空密鑰數(shù)據(jù)模型定期進行時空密鑰的生成與存儲,并當接收到已通過接入認證的移動終端發(fā)送的密鑰請求時,基于解析所述密鑰請求完成相應(yīng)的請求響應(yīng);
28、應(yīng)用密鑰生成模塊,用于通過所述預(yù)設(shè)密鑰管理系統(tǒng)中的移動終端密碼服務(wù)模塊,針對接收到相應(yīng)的請求響應(yīng)信息的所述移動終端,基于所述請求響應(yīng)信息生成對應(yīng)的應(yīng)用密鑰,并對各所述移動終端上的密鑰信息進行管理;其中,所述請求響應(yīng)信息為對應(yīng)的所述邊緣云密鑰服務(wù)平臺返回的響應(yīng)信息;
29、區(qū)域云密鑰管理模塊,用于通過所述預(yù)設(shè)密鑰管理系統(tǒng)中的區(qū)域云密鑰管理平臺,對相應(yīng)的若干個邊緣云密鑰服務(wù)平臺進行遠程管理、態(tài)勢收集與展示,并進行區(qū)域間的密碼服務(wù)協(xié)同與同步以及區(qū)域間的終端接入認證同步;
30、中心云密鑰管理模塊,用于通過所述預(yù)設(shè)密鑰管理系統(tǒng)中的中心云密鑰管理平臺,對所有所述時空網(wǎng)格以及各所述區(qū)域云密鑰管理平臺進行管理,并收集和展示各所述區(qū)域云密鑰管理平臺的態(tài)勢信息。
31、第三方面,本技術(shù)提供了一種電子設(shè)備,包括:
32、存儲器,用于保存計算機程序;
33、處理器,用于執(zhí)行所述計算機程序,以實現(xiàn)前述的融合時空體系的密鑰管理方法的步驟。
34、第四方面,本技術(shù)提供了一種計算機可讀存儲介質(zhì),用于保存計算機程序,所述計算機程序被處理器執(zhí)行時實現(xiàn)前述的融合時空體系的密鑰管理方法的步驟。
35、可見,本技術(shù)中,通過所述預(yù)設(shè)密鑰管理系統(tǒng)中的邊緣云密鑰服務(wù)平臺,針對所管轄空間內(nèi)的各時空網(wǎng)格,基于預(yù)設(shè)三維時空密鑰數(shù)據(jù)模型定期進行時空密鑰的生成與存儲,并當接收到已通過接入認證的移動終端發(fā)送的密鑰請求時,基于解析所述密鑰請求完成相應(yīng)的請求響應(yīng);通過所述預(yù)設(shè)密鑰管理系統(tǒng)中的移動終端密碼服務(wù)模塊,針對接收到相應(yīng)的請求響應(yīng)信息的所述移動終端,基于所述請求響應(yīng)信息生成對應(yīng)的應(yīng)用密鑰,并對各所述移動終端上的密鑰信息進行管理;其中,所述請求響應(yīng)信息為對應(yīng)的所述邊緣云密鑰服務(wù)平臺返回的響應(yīng)信息;通過所述預(yù)設(shè)密鑰管理系統(tǒng)中的區(qū)域云密鑰管理平臺,對相應(yīng)的若干個邊緣云密鑰服務(wù)平臺進行遠程管理、態(tài)勢收集與展示,并進行區(qū)域間的密碼服務(wù)協(xié)同與同步以及區(qū)域間的終端接入認證同步;通過所述預(yù)設(shè)密鑰管理系統(tǒng)中的中心云密鑰管理平臺,對所有所述時空網(wǎng)格以及各所述區(qū)域云密鑰管理平臺進行管理,并收集和展示各所述區(qū)域云密鑰管理平臺的態(tài)勢信息。也即,本技術(shù)基于預(yù)設(shè)三維時空密鑰數(shù)據(jù)模型生成時空密鑰,并當接收到已通過接入認證的移動終端發(fā)送的密鑰請求時下發(fā)對應(yīng)的密鑰以完成請求響應(yīng),以便所述移動終端基于請求響應(yīng)信息生成對應(yīng)的應(yīng)用密鑰,且在此過程中,進行區(qū)域間的密碼服務(wù)協(xié)同與同步、區(qū)域間的終端接入認證同步。這樣一來,實現(xiàn)了從傳統(tǒng)基于設(shè)備標識或基于時間的二維密碼保障模式到基于時空網(wǎng)格的三維密碼保障模式的創(chuàng)新,提高了密碼保障的安全性、時效性、可靠性,進而能夠高效解決開放場景下高速、海量移動終端交互數(shù)據(jù)的安全防護難題。