本发明实施例涉及网络安全,尤其涉及一种数字孪生服务的密钥管理方法、系统、设备和介质。
背景技术:
1、数字孪生网络(digital twin network,dtn)是一个具有物理网络实体及虚拟孪生体,且二者可进行实时交互映射的网络系统。数字孪生是物理实体在数字世界的实时镜像。伴随着云计算、大数据、人工智能等技术的不断发展以及信息的泛在化,数字孪生技术将广泛地运用于智能制造、智慧城市和科学研究等领域。
2、请参考图1,数字孪生网络的核心是基于数据的建模,为各种网络应用提供数据模型实例,最大化网络业务的敏捷性和可编程性。孪生网络层的服务映射模型包括基础模型和功能模型两部分,基础模型是指基于物理设备基本配置、环境信息、运行状态、链路拓扑等信息,建立的对应于物理实体网络的孪生网络体的设备模型和拓扑模型,实现对物理网络的实时精确描述。功能模型是指针对特定的应用场景,充分利用数据仓库中的网络数据,建立的网络分析仿真、诊断、预测、保障等各种数据模型。
3、请参考图2,在多个孪生应用场景中,在孪生网络层一个物理设备会有多个孪生实例,其中,孪生实例指的是设备在孪生网络中的数字模型,根据应用的不同,可能会有不同的数字模型。在数字孪生网络中需要将数据采集至数据共享仓库,数字孪生网络将会有海量的数据存储和使用,因此会利用云存储、云计算等分布式技术,但是明文存放将会有数据泄露的风险。
4、如果采用传统的加密机制,物理设备需要将网络数据用不同实例的密钥加密生成多个密文,分别发送给孪生网络中的孪生实例,以实现孪生设备和物理设备的状态同步。数字孪生网络具有高实时性的特点,多次的加解密会增加设备数据的处理时延,并且当海量设备接入网络时,对网络的存储和负载带来巨大的挑战。
技术实现思路
1、本发明实施例提供一种数字孪生服务的密钥管理方法、系统、设备和介质,以解决现有的数字孪生网络多次加解密导致设备数据处理效率低下的问题。
2、为了解决上述技术问题,本发明是这样实现的:
3、第一方面,本发明实施例提供了一种数字孪生服务的密钥管理方法,由孪生管理网元执行,包括:
4、当接收到数据共享仓库发送的密钥请求时,确定与所述密钥请求对应的设备;
5、查询与所述设备对应的加密公钥;
6、向所述数据共享仓库发送密钥请求响应,其中,所述密钥请求响应携带第一信息,所述第一信息至少包括所述加密公钥和第一派生密钥,所述第一派生密钥根据所述设备在设备认证过程中的密钥和向量派生获得,所述第一信息用于所述设备对应的多个孪生实例与所述设备建立安全通信。
7、可选的,所述第一信息还包括:
8、密钥有效期,所述密钥有效期用于在密钥有效期内所述设备对应的多个孪生实例与所述设备建立安全通信。
9、可选的,所述当接收到数据共享仓库发送的密钥请求时,确定与所述密钥请求对应的设备之前包括:
10、当接收到设备认证网元发送的孪生密钥锚定请求,保存所述孪生密钥锚定请求携带的第二信息,所述第二信息包括所述第一派生密钥、设备id和密钥有效期。
11、可选的,当所述密钥请求携带设备id时;
12、所述确定与所述密钥请求对应的设备包括:
13、根据所述设备id,确定与所述密钥请求对应的设备。
14、可选的,所述当接收到数据共享仓库发送的密钥请求时,确定与所述密钥请求对应的设备之前还包括:
15、当接收到所述设备的孪生服务订购请求,保存所述孪生服务订购请求中携带的所述加密公钥和设备id;
16、当接收到所述设备发送的数字孪生数据访问结构更新请求,根据所述数字孪生数据访问结构更新请求中携带的新的加密公钥和设备id更新保存的所述设备对应的加密公钥和设备id。
17、第二方面,本发明实施例提供了一种数字孪生服务的密钥管理方法,由孪生实例执行,包括:
18、接收数据共享仓库发送的第一信息,所述第一信息至少包括加密公钥和第一派生密钥,其中,所述第一派生密钥根据所述孪生实例对应的设备在设备认证过程中的密钥和向量派生获得;
19、根据所述孪生实例对应的孪生私钥和所述第一信息,与所述设备建立安全通信。
20、可选的,所述第一信息还包括:
21、密钥有效期,所述密钥有效期用于在密钥有效期内所述孪生实例与所述设备建立安全通信。
22、可选的,所述根据所述孪生实例对应的孪生私钥和所述第一信息,与所述设备建立安全通信包括:
23、根据对应的孪生私钥解密所述第一信息中的加密公钥,获得第一随机密钥;
24、根据所述第一随机密钥和所述第一派生密钥确定第二派生密钥;
25、根据所述第二派生密钥与所述设备建立安全通信。
26、第三方面,本发明实施例提供了一种数字孪生服务的密钥管理方法,由设备执行,包括:
27、在设备认证网元完成设备认证,基于设备认证流程中的密钥和向量派生获得第一派生密钥,所述第一派生密钥用于所述设备对应的多个孪生实例与所述设备建立安全通信;
28、根据第一随机密钥和所述第一派生密钥确定第二派生密钥,其中,所述第一随机密钥根据根密钥或证书随机派生获得;
29、根据所述第二派生密钥与所述设备对应的多个孪生实例建立安全通信。
30、可选的,所述在设备认证网元完成设备认证之前还包括:
31、若订购数字孪生服务,根据根密钥或证书随机派生第一随机密钥;
32、根据从孪生可信中心申请的设备孪生公钥,基于数据访问结构,使用属性加密算法加密第一随机密钥,获得加密公钥;
33、向孪生管理网元发送孪生服务订购请求,所述孪生服务订购请求中携带所述加密公钥和设备id。
34、可选的,还包括:
35、若修改数据访问结构,根据根密钥或证书派生新的第一随机密钥;
36、根据所述设备孪生公钥,基于新的数据访问结构,使用属性加密算法加密所述的第一随机密钥,获得新的加密公钥;
37、向孪生管理网元发送数字孪生数据访问结构更新请求,所述数字孪生数据访问结构更新请求携带所述新的加密公钥和设备id。
38、第四方面,本发明实施例提供了一种数字孪生服务的密钥管理系统,由孪生管理网元执行,包括:
39、第一接收模块,用于当接收到数据共享仓库发送的密钥请求时,确定与所述密钥请求对应的设备;
40、查询模块,用于查询与所述设备对应的加密公钥;
41、请求模块,用于向所述数据共享仓库发送密钥请求响应,其中,所述密钥请求响应携带第一信息,所述第一信息至少包括所述加密公钥和第一派生密钥,所述第一派生密钥根据所述设备在设备认证过程中的密钥和向量派生获得,所述第一信息用于所述设备对应的多个孪生实例与所述设备建立安全通信。
42、第五方面,本发明实施例提供了一种数字孪生服务的密钥管理系统,由孪生实例执行,包括:
43、第二接收模块,用于接收数据共享仓库发送的第一信息,所述第一信息至少包括加密公钥和第一派生密钥,其中,所述第一派生密钥根据所述孪生实例对应的设备在设备认证过程中的密钥和向量派生获得;
44、第一通信模块,用于根据所述孪生实例对应的孪生私钥和所述第一信息,与所述设备建立安全通信。
45、第六方面,本发明实施例提供了一种数字孪生服务的密钥管理系统,由设备执行,包括:
46、认证模块,用于在设备认证网元完成设备认证,基于设备认证流程中的密钥和向量派生获得第一派生密钥,所述第一派生密钥用于所述设备对应的多个孪生实例与所述设备建立安全通信;
47、派生模块,用于根据第一随机密钥和所述第一派生密钥确定第二派生密钥,其中,所述第一随机密钥根据根密钥或证书随机派生获得;
48、第二通信模块,用于根据所述第二派生密钥与所述设备对应的多个孪生实例建立安全通信。
49、第七方面,本发明实施例提供了一种电子设备,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现如上述第一方面所述的密钥管理方法的步骤;或,所述程序被所述处理器执行时实现如上述第二方面所述的密钥管理方法的步骤;或,所述程序被所述处理器执行时实现如上述第三方面所述的数字孪生服务的密钥管理方法的步骤。
50、第八方面,本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述第一方面所述的数字孪生服务的密钥管理方法的步骤;或,所述计算机程序被处理器执行时实现如上述第二方面所述的数字孪生服务的密钥管理方法的步骤;或,所述计算机程序被处理器执行时实现如上述第三方面所述的数字孪生服务的密钥管理方法的步骤。
51、本发明实施例中,在物理网络中新增孪生管理网元,为物理层的设备(终端或网元)与孪生层的孪生实例提供安全传输的密钥,即,在接收到数据共享仓库发送的密钥请求时,向数据共享仓库发送密钥请求响应,其中密钥请求响应携带第一信息,第一信息至少包括与设备对应的加密公钥和第一派生密钥。通过增加孪生管理网元,设备对应的多个孪生实例与设备建立安全通信时,孪生实例可以利用孪生管理网元发送的第一信息中包含的加密公钥和第一派生密钥进行解密,对不同实例的密钥无需加密生成多个密文,避免数字孪生网络多次加解密,提高设备数据的处理效率,并且在大量设备接入网络时,减少网络存储和负载压力,并且在孪生密钥响应信息中增加第一派生密钥来加密数据传输,增加通信的安全性和可靠性。
1.一种数字孪生服务的密钥管理方法,其特征在于,由孪生管理网元执行,包括:
2.根据权利要求1所述的方法,其特征在于,所述第一信息还包括:
3.根据权利要求1所述的方法,其特征在于,所述当接收到数据共享仓库发送的密钥请求时,确定与所述密钥请求对应的设备之前包括:
4.根据权利要求1所述的方法,其特征在于,当所述密钥请求携带设备id时;
5.根据权利要求1所述的方法,其特征在于,所述当接收到数据共享仓库发送的密钥请求时,确定与所述密钥请求对应的设备之前还包括:
6.一种数字孪生服务的密钥管理方法,由孪生实例执行,其特征在于,包括:
7.根据权利要求6所述的方法,其特征在于,所述根据所述孪生实例对应的孪生私钥和所述第一信息,与所述设备建立安全通信包括:
8.一种数字孪生服务的密钥管理方法,由设备执行,其特征在于,包括:
9.根据权利要求8所述的方法,其特征在于,所述在设备认证网元完成设备认证之前还包括:
10.根据权利要求9所述的方法,其特征在于,还包括:
11.一种数字孪生服务的密钥管理系统,其特征在于,由孪生管理网元执行,包括:
12.一种数字孪生服务的密钥管理系统,由孪生实例执行,其特征在于,包括:
13.一种数字孪生服务的密钥管理系统,由设备执行,其特征在于,包括:
14.一种电子设备,其特征在于,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现如权利要求1至5中任一项所述的数字孪生服务的密钥管理方法的步骤;或,所述程序被所述处理器执行时实现如权利要求6或7所述的数字孪生服务的密钥管理方法的步骤;或,所述程序被所述处理器执行时实现如权利要求8至10中任一项所述的数字孪生服务的密钥管理方法的步骤。
15.一种计算机可读存储介质,其特征在于,计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至5中任一项所述的数字孪生服务的密钥管理方法的步骤;或,所述计算机程序被处理器执行时实现如权利要求6或7所述的数字孪生服务的密钥管理方法的步骤;所述计算机程序被处理器执行时实现如权利要求8至10中任一项所述的数字孪生服务的密钥管理方法的步骤。
