本發(fā)明涉及數(shù)據(jù)安全領(lǐng)域，特別涉及一種融合時空體系的密鑰管理方法、裝置、設(shè)備及介質(zhì)。

背景技術(shù)：

1、新型移動互聯(lián)場景（如物聯(lián)網(wǎng)、車聯(lián)網(wǎng)等）下，移動終端之間存在數(shù)據(jù)安全共享需求，需要保障數(shù)據(jù)傳輸?shù)臋C密性和完整性。目前的主流密碼應(yīng)用方案為預(yù)置密鑰技術(shù)方案、集中式密鑰保障技術(shù)方案、基于證書的密鑰協(xié)商保障技術(shù)方案。

2、具體的，（1）預(yù)置密鑰技術(shù)方案在移動終端啟動使用之前，對移動終端進行預(yù)置密鑰導(dǎo)入，然后利用密鑰標識符進行預(yù)置密鑰同步，實現(xiàn)移動終端之間交互數(shù)據(jù)正確加解密，這樣一來，不能解決開放環(huán)境下通信對端不可預(yù)知時的數(shù)據(jù)安全防護；（2）集中式密鑰保障技術(shù)方案中，移動終端接入通信基站時對移動終端進行接入認證，利用無線通信安全信道對該基站覆蓋范圍內(nèi)的移動終端進行應(yīng)用密鑰分發(fā)，但由于處于開放性環(huán)境，集中式密鑰管理中心容易遭受破壞或定點攻擊，造成單點故障，且終端跨域重新認證會導(dǎo)致較大的時延；（3）基于證書的密鑰協(xié)商保障技術(shù)方案中，終端的發(fā)送端與接收端基于交互的安全參數(shù)采用相同的算法生成共享會話密鑰，并利用該會話密鑰進行直連通信敏感數(shù)據(jù)的安全防護，這樣一來，開放環(huán)境下，由于移動終端直連通信對象不可預(yù)知，移動終端無法驗證對端證書有效情況下，需要向上級ca機構(gòu)申請證書鏈及證書撤銷列表，使得與移動高速度、移動終端數(shù)量大時計算開銷很大。

技術(shù)實現(xiàn)思路

1、有鑒于此，本發(fā)明的目的在于提供一種融合時空體系的密鑰管理方法、裝置、設(shè)備及介質(zhì)，實現(xiàn)了從傳統(tǒng)基于設(shè)備標識或基于時間的二維密碼保障模式到基于時空網(wǎng)格的三維密碼保障模式的創(chuàng)新，提高了密碼保障的安全性、可靠性，進而能夠高效解決開放場景下高速、海量移動終端交互數(shù)據(jù)的安全防護難題。其具體方案如下：

2、第一方面，本技術(shù)提供了一種融合時空體系的密鑰管理方法，應(yīng)用于預(yù)設(shè)密鑰管理系統(tǒng)，包括：

3、通過所述預(yù)設(shè)密鑰管理系統(tǒng)中的邊緣云密鑰服務(wù)平臺，針對所管轄空間內(nèi)的各時空網(wǎng)格，基于預(yù)設(shè)三維時空密鑰數(shù)據(jù)模型定期進行時空密鑰的生成與存儲，并當接收到已通過接入認證的移動終端發(fā)送的密鑰請求時，基于解析所述密鑰請求完成相應(yīng)的請求響應(yīng)；

4、通過所述預(yù)設(shè)密鑰管理系統(tǒng)中的移動終端密碼服務(wù)模塊，針對接收到相應(yīng)的請求響應(yīng)信息的所述移動終端，基于所述請求響應(yīng)信息生成對應(yīng)的應(yīng)用密鑰，并對各所述移動終端上的密鑰信息進行管理；其中，所述請求響應(yīng)信息為對應(yīng)的所述邊緣云密鑰服務(wù)平臺返回的響應(yīng)信息；

5、通過所述預(yù)設(shè)密鑰管理系統(tǒng)中的區(qū)域云密鑰管理平臺，對相應(yīng)的若干個邊緣云密鑰服務(wù)平臺進行遠程管理、態(tài)勢收集與展示，并進行區(qū)域間的密碼服務(wù)協(xié)同與同步以及區(qū)域間的終端接入認證同步；

6、通過所述預(yù)設(shè)密鑰管理系統(tǒng)中的中心云密鑰管理平臺，對所有所述時空網(wǎng)格以及各所述區(qū)域云密鑰管理平臺進行管理，并收集和展示各所述區(qū)域云密鑰管理平臺的態(tài)勢信息。

7、可選的，所述通過所述預(yù)設(shè)密鑰管理系統(tǒng)中的邊緣云密鑰服務(wù)平臺，針對所管轄空間內(nèi)的各時空網(wǎng)格，基于預(yù)設(shè)三維時空密鑰數(shù)據(jù)模型定期進行時空密鑰的生成，包括：

8、通過所述預(yù)設(shè)密鑰管理系統(tǒng)中的邊緣云密鑰服務(wù)平臺，獲取預(yù)先以地理網(wǎng)格數(shù)據(jù)為基礎(chǔ)，并以北斗網(wǎng)格碼為網(wǎng)格數(shù)據(jù)唯一索引、以不同時間點為存儲序列，構(gòu)造的三維時空密鑰數(shù)據(jù)模型；

9、針對所管轄空間內(nèi)的各所述時空網(wǎng)格，基于所述三維時空密鑰數(shù)據(jù)模型定期生成對應(yīng)的時空密鑰值，并通過所述時空密鑰值以及對應(yīng)的網(wǎng)格空間數(shù)據(jù)，得到與各所述時空網(wǎng)格對應(yīng)的時空密鑰；

10、其中，所述網(wǎng)格空間數(shù)據(jù)包括與所述時空網(wǎng)格對應(yīng)的地理位置數(shù)據(jù)、地理空間上的空間關(guān)系數(shù)據(jù)。

11、可選的，所述當接收到已通過接入認證的移動終端發(fā)送的密鑰請求時，基于解析所述密鑰請求完成相應(yīng)的請求響應(yīng)，包括：

12、當接收到通過接入認證的移動終端的發(fā)送端發(fā)送的密鑰請求時，通過解析所述密鑰請求，得到相應(yīng)的解析結(jié)果；

13、基于所述解析結(jié)果中的終端位置信息、終端行進速度信息、終端行進方向信息以及預(yù)設(shè)網(wǎng)格相關(guān)性計算規(guī)則，確定所述移動終端的行進路徑范圍內(nèi)的若干個所述時空網(wǎng)格，并獲取對應(yīng)的有效時空密鑰；

14、將基于所述有效時空密鑰得到的請求響應(yīng)信息返回至所述移動終端，以完成相應(yīng)的請求響應(yīng)。

15、可選的，所述對各所述移動終端上的密鑰信息進行管理，包括：

16、通過各所述移動終端，并基于預(yù)設(shè)密鑰更新規(guī)則進行檢測，以基于檢測結(jié)果確定是否執(zhí)行相應(yīng)的密鑰更新操作；

17、通過各所述移動終端，并利用預(yù)設(shè)密鑰銷毀規(guī)則對已失效的時空密鑰進行銷毀。

18、可選的，所述方法還包括：

19、當啟動所述移動終端并將所述移動終端接入對應(yīng)的所述邊緣云密鑰服務(wù)平臺時，通過預(yù)設(shè)基準源進行時間和空間位置的基準同步。

20、可選的，所述通過所述預(yù)設(shè)密鑰管理系統(tǒng)中的移動終端密碼服務(wù)模塊，針對接收到相應(yīng)的請求響應(yīng)信息的所述移動終端，基于所述請求響應(yīng)信息生成對應(yīng)的應(yīng)用密鑰，包括：

21、當通過所述移動終端的發(fā)送端接收到對應(yīng)的所述邊緣云密鑰服務(wù)平臺返回的請求響應(yīng)信息時，基于當前的地理位置以及預(yù)設(shè)網(wǎng)格計算規(guī)則獲得相應(yīng)的網(wǎng)格標識信息，并根據(jù)所述網(wǎng)格標識信息、當前時間點、所述請求響應(yīng)信息以及預(yù)設(shè)密鑰衍生算法得到對應(yīng)的應(yīng)用密鑰；其中，所述應(yīng)用密鑰包括數(shù)據(jù)加密密鑰以及數(shù)據(jù)完整性驗證密鑰；

22、或，當無法通過所述移動終端的發(fā)送端接收到對應(yīng)的所述邊緣云密鑰服務(wù)平臺返回的請求響應(yīng)信息，或無法獲得相應(yīng)的所述網(wǎng)格標識信息時，基于預(yù)先配置好的應(yīng)用保障密鑰得到對應(yīng)的所述應(yīng)用密鑰。

23、可選的，所述方法還包括：

24、當通過所述移動終端的接收端接收到對應(yīng)的所述發(fā)送端發(fā)送的數(shù)據(jù)密文時，基于所述數(shù)據(jù)密文獲取對應(yīng)的所述網(wǎng)格標識信息，并利用所述網(wǎng)格標識信息、當前時間、對應(yīng)的有效時空密鑰以及所述預(yù)設(shè)密鑰衍生算法，得到相應(yīng)的數(shù)據(jù)解密密鑰、所述數(shù)據(jù)完整性驗證密鑰；

25、或，當通過所述移動終端的接收端接收到所述數(shù)據(jù)密文時，通過解析所述數(shù)據(jù)密文的密文標識頭得到相應(yīng)的應(yīng)急加密標識信息，并利用所述應(yīng)急加密標識信息得到相應(yīng)的所述數(shù)據(jù)解密密鑰、所述數(shù)據(jù)完整性驗證密鑰。

26、第二方面，本技術(shù)提供了一種融合時空體系的密鑰管理裝置，應(yīng)用于預(yù)設(shè)密鑰管理系統(tǒng)，包括：

27、時空密鑰生成模塊，用于通過所述預(yù)設(shè)密鑰管理系統(tǒng)中的邊緣云密鑰服務(wù)平臺，針對所管轄空間內(nèi)的各時空網(wǎng)格，基于預(yù)設(shè)三維時空密鑰數(shù)據(jù)模型定期進行時空密鑰的生成與存儲，并當接收到已通過接入認證的移動終端發(fā)送的密鑰請求時，基于解析所述密鑰請求完成相應(yīng)的請求響應(yīng)；

28、應(yīng)用密鑰生成模塊，用于通過所述預(yù)設(shè)密鑰管理系統(tǒng)中的移動終端密碼服務(wù)模塊，針對接收到相應(yīng)的請求響應(yīng)信息的所述移動終端，基于所述請求響應(yīng)信息生成對應(yīng)的應(yīng)用密鑰，并對各所述移動終端上的密鑰信息進行管理；其中，所述請求響應(yīng)信息為對應(yīng)的所述邊緣云密鑰服務(wù)平臺返回的響應(yīng)信息；

29、區(qū)域云密鑰管理模塊，用于通過所述預(yù)設(shè)密鑰管理系統(tǒng)中的區(qū)域云密鑰管理平臺，對相應(yīng)的若干個邊緣云密鑰服務(wù)平臺進行遠程管理、態(tài)勢收集與展示，并進行區(qū)域間的密碼服務(wù)協(xié)同與同步以及區(qū)域間的終端接入認證同步；

30、中心云密鑰管理模塊，用于通過所述預(yù)設(shè)密鑰管理系統(tǒng)中的中心云密鑰管理平臺，對所有所述時空網(wǎng)格以及各所述區(qū)域云密鑰管理平臺進行管理，并收集和展示各所述區(qū)域云密鑰管理平臺的態(tài)勢信息。

31、第三方面，本技術(shù)提供了一種電子設(shè)備，包括：

32、存儲器，用于保存計算機程序；

33、處理器，用于執(zhí)行所述計算機程序，以實現(xiàn)前述的融合時空體系的密鑰管理方法的步驟。

34、第四方面，本技術(shù)提供了一種計算機可讀存儲介質(zhì)，用于保存計算機程序，所述計算機程序被處理器執(zhí)行時實現(xiàn)前述的融合時空體系的密鑰管理方法的步驟。

35、可見，本技術(shù)中，通過所述預(yù)設(shè)密鑰管理系統(tǒng)中的邊緣云密鑰服務(wù)平臺，針對所管轄空間內(nèi)的各時空網(wǎng)格，基于預(yù)設(shè)三維時空密鑰數(shù)據(jù)模型定期進行時空密鑰的生成與存儲，并當接收到已通過接入認證的移動終端發(fā)送的密鑰請求時，基于解析所述密鑰請求完成相應(yīng)的請求響應(yīng)；通過所述預(yù)設(shè)密鑰管理系統(tǒng)中的移動終端密碼服務(wù)模塊，針對接收到相應(yīng)的請求響應(yīng)信息的所述移動終端，基于所述請求響應(yīng)信息生成對應(yīng)的應(yīng)用密鑰，并對各所述移動終端上的密鑰信息進行管理；其中，所述請求響應(yīng)信息為對應(yīng)的所述邊緣云密鑰服務(wù)平臺返回的響應(yīng)信息；通過所述預(yù)設(shè)密鑰管理系統(tǒng)中的區(qū)域云密鑰管理平臺，對相應(yīng)的若干個邊緣云密鑰服務(wù)平臺進行遠程管理、態(tài)勢收集與展示，并進行區(qū)域間的密碼服務(wù)協(xié)同與同步以及區(qū)域間的終端接入認證同步；通過所述預(yù)設(shè)密鑰管理系統(tǒng)中的中心云密鑰管理平臺，對所有所述時空網(wǎng)格以及各所述區(qū)域云密鑰管理平臺進行管理，并收集和展示各所述區(qū)域云密鑰管理平臺的態(tài)勢信息。也即，本技術(shù)基于預(yù)設(shè)三維時空密鑰數(shù)據(jù)模型生成時空密鑰，并當接收到已通過接入認證的移動終端發(fā)送的密鑰請求時下發(fā)對應(yīng)的密鑰以完成請求響應(yīng)，以便所述移動終端基于請求響應(yīng)信息生成對應(yīng)的應(yīng)用密鑰，且在此過程中，進行區(qū)域間的密碼服務(wù)協(xié)同與同步、區(qū)域間的終端接入認證同步。這樣一來，實現(xiàn)了從傳統(tǒng)基于設(shè)備標識或基于時間的二維密碼保障模式到基于時空網(wǎng)格的三維密碼保障模式的創(chuàng)新，提高了密碼保障的安全性、時效性、可靠性，進而能夠高效解決開放場景下高速、海量移動終端交互數(shù)據(jù)的安全防護難題。