[发明专利]一种移动终端平台的密钥管理方法及系统

说明书

本发明提供了一种移动终端平台的密钥管理方法及系统，包括：将移动终端平台与区块链相结合；利用密钥管理系统安全存储移动终端平台中的其他组件和区块链中需要使用的对称密钥、非对称、数字证书；利用隐藏的智能合约模块来进行密钥管理系统的密钥的访问规则控制；同时密钥管理系统还可在智能合约模块的控制下进行加解密、数字签名等操作；密钥管理系统存储两类密钥：第一类密钥和第二类密钥，第一类密钥只有密钥拥有者可以访问，第二类密钥通过隐藏的智能合约控制密钥的访问权限。本发明提高了移动终端平台的安全性，实现了密钥管理系统中密钥的安全细粒度访问控制。

技术领域

本发明涉及空间数据查询技术领域，特别是涉及一种移动终端平台的密钥管理方法及系统。

背景技术

现有的密钥管理系统大多数采用基于RBAC的访问控制策略。基于RBAC的访问控制策略具有自主性弱，强制性强的特点。访问控制策略一般由管理员制定和分配，用户自己不便于灵活管理密钥。且基于RBAC的访问控制策略只能对角色进行授权，不能对用户进行授权。

然而某些情况下，密钥管理系统需要对某个用户授予特殊的权限时，RBAC无法灵活控制。如果授予用户所拥有的某种角色，则拥有该角色的所有用户都会拥有该权限或被授予角色的用户会拥有该角色的所有权限，显然无法实现密钥级别的细粒度访问控制。当为某一个特殊密钥单独创建一个特殊角色时，会增加基于RBAC的访问控制策略的复杂度，导致系统可操作性降低。

现有的密钥管理系统无法有效实现对一个密钥的访问控制权限的动态更新。密钥一旦生成，其访问权限相应的确定，缺乏有效的实时访问控制能力。同时密钥管理系统只有根密钥安全的保存在硬件中，其余的密钥操作仍然存在泄露的风险。

因此，如何将区块链应用到移动终端平台中，解决移动终端平台中密钥管理的安全访问控制问题，以提高移动终端平台的安全系统，充分发挥移动终端平台的优势，是一项亟待解决的问题。

发明内容

鉴于此，本发明的目的是解决现有密钥管理系统的粗粒度访问控制的问题，将区块链与移动终端平台相结合，以提高移动终端平台的安全性，利用密钥管理系统安全存储移动终端平台中其他组件和区块链中需要使用的对称密钥、非对称、数字证书等，利用隐藏的智能合约模块来进行密钥管理系统的密钥的访问规则控制，同时密钥管理系统还可在智能合约模块的控制下进行加解密、数字签名等操作。

本发明提供一种移动终端平台的密钥管理方法，包括以下步骤：

S1、在数据库中生成密钥拥有者对应的第一类密钥中的第一类非对称密钥，并计算所述第一类非对称密钥的存储索引的Hash值，上传到区块链并通过区块链的共识机制记录；所述第一类非对称密钥为区块链的交易使用的密钥；第一类将非对称密钥利用数据拥有者对应的项目密钥进行加密，将加密后的第一类非对称密钥和第一类非对称密钥对应的元数据存储到数据库；密钥管理系统的日志的Hash值通过系统审计者的公钥加密，上传到区块链并通过区块链的共识机制记录；

S2、创建第二类密钥，所述第二类密钥包括第二类非对称密钥和第二类对称密钥，分别利用项目密钥将第二类非对称密钥和第二类对称密钥加密；将加密后的第二类非对称密钥和第二类对称密钥及其对应元数据存储在密钥管理系统中；分别计算第二类非对称密钥和第二类对称密钥的存储索引的Hash值；所述第二类密钥和第二类对称密钥为移动终端平台中使用的密钥；

利用第一类非对称密钥的公钥将第二类非对称密钥和第二类对称密钥的存储索引的Hash值上传到区块链并通过区块链的共识机制记录；利用系统审计者的公钥将第二类非对称密钥和第二类对称密钥的日志的Hash值加密，并利用第一类非对称密钥的公钥上传到区块链并通过区块链的共识机制记录；