(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211019960.3 (22)申请日 2022.08.24 (71)申请人 复旦大学 地址 200433 上海市杨 浦区邯郸路2 20号 申请人 鹏城实验室 (72)发明人 刘典　王伟　周浩　缪一航　 徐跃东　张伟铮　 (74)专利代理 机构 上海正旦专利代理有限公司 31200 专利代理师 陆飞　陆尤 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种适应 孪生体应用的权限管理方法 (57)摘要 本发明属于数字孪生技术领域， 具体为适应 孪生体应用的权限管理方法。 本发 明提方法包括 创建孪生体的唯一身份标识， 基于每个孪生体的 唯一身份标识进行孪生体身份密钥验证； 实现不 同身份的孪生体访问对应权限的数据内容； 对传 输的孪生体数据内容进行加密， 以及对加密数据 内容的密钥加密； 对获取到的加密密钥和加密数 据内容进行解密； 将孪生体作为数据存储节点转 发数据包。 本发 明的适应孪生体应用的权限管理 方法， 可以有效的设定关于孪生体应用的安全规 则和应用数据的访问策略， 实现孪生体身份的认 证以及数据传输过程的机密性、 完整性和高效 性。 权利要求书1页 说明书3页 附图2页 CN 115549964 A 2022.12.30 CN 115549964 A 1.一种适应孪生体应用的权限管理方法， 其特征在于， 包括创建孪生体的唯一身份标 识， 基于每个孪生体的唯一身份标识进行孪生体身份密钥验证； 实现不同身份的孪生体访 问对应权限的数据内容； 对传输的孪生体数据内容进行加密， 以及对加密数据内容的密钥 加密； 对获取到的加密密钥和加密数据内容进行解密； 将孪生体作为数据存储节点转发数 据包； 具体步骤为： （1） 创建孪生体唯一身份标识： 采用基于默克尔 树的层级式内容ID对数据进行命名， 根据物 理实体的层级关系对孪生 体数据进行层级式命名， 请求数据时发送该命名， 从而获取对应的数据； （2） 通过适配的加密算法产生身份密钥， 维护孪生体身份， 确保数据的安全传输； 拥有 数据的孪生体和拥有该 数据访问权限的孪生体将拥有对应的加密和解密的密钥； （3） 通过适配的加密算法产生内容密钥， 对孪生体数据内容进行加密； （4） 使用身份密钥将内容密钥加密； （5） 当有孪生体应用请求某一孪生体数据时， 发送该数据的层级式内容ID， 拥有该数据 的孪生体 应用将会把加密过后的数据包发送给请求的孪生体； （6） 请求数据的孪生体在收到数据包时， 先用自身的身份密钥对其解密获取内容密钥； 如果身份密钥不匹配， 表示没有权限访问该数据包， 也就无法获得内容密钥， 即无法获取解 密的数据内容； 相反如果身份密钥匹配， 可获得对应的内容密钥， 也就能够解密数据包获取 完整的数据内容； （7） 对于获取到数据包的孪生体， 可以作为存储节点并转发数据包， 即将其数据包转发 给其他请求该数据的孪生体； 遵循路径最优算法， 未解密的数据包可以直接发送给下一请 求的孪生体， 已解密的数据包需要再加密之后才可以转发。 2.根据权利要求1所述的适应孪生体应用的权限管理方法， 其特征在于， 所述孪生体数 据所有者产生的数据存储在本地或传输到其他孪生体被存储下来； 当有其他孪生体请求数 据时， 按照权限决定是否发送数据包以及发送何种 数据包； 孪生体数据存储在多个孪生体 中， 当有孪生体请求数据时， 通过距离最优或其他相适配的路径算法获取到该数据； 孪生体 数据所有者 根据数据类型的不同， 授予不同身份的孪生体不同的访问权限。 3.根据权利要求1所述的适应孪生体应用的权限管理方法， 其特征在于， 当有孪生体请 求物理空间数据的时候， 通过所述的适应孪生体应用的权限管理方法来判断该孪生体是否 有权访问该数据， 如果权限符合， 则收到相应的完整数据； 如果权限不符合， 则收到的是加 密的数据包， 而无法查看明文， 该孪生体将该 数据包转发给其 他孪生体。 4.根据权利要求1所述的适应孪生体应用的权限管理方法， 其特征在于， 数据和密钥传 输过程为： 设有两个孪生体， 请求数据孪生体负责发送数据名请求数据包， 数据拥有者孪生 体负责加密并发送数据； 数据拥有者使用内容密钥CK对数据内容加密形成加密的数据包E ‑ Data， 再利用非对称加密算法产生身份加密密钥EK和身份解密密钥DK， 用于对内容密钥的 加密和解密， 通过数据拥有者孪生体产生的EK将内容密钥CK加密， 生成加密的内容密钥E ‑ CK； 数据请求孪生体通过自身密钥请求DK， 当该数据请求孪生体的身份符合访问规则时， 即 通过DK对E ‑CK解密从而获取内容密钥CK， 接着将加密的数据内容E ‑Data解密而获得完整数 据。权　利　要　求　书 1/1 页 2 CN 115549964 A 2一种适应孪生体应用的权限管理 方法 技术领域 [0001]本发明属于数字 孪生技术领域， 具体涉及适应孪生体 应用的权限管理方法。 背景技术 [0002]数字孪生技术是充分利用物理模型、 传感器等数据并对其进行虚拟空间的映射， 形成数字化表达的技术， 在制造业和物联网都有非常广泛的应用。 通过数字孪生技术， 可以 提供物理实体的参数在虚拟空间中模拟运行效果， 进行数据采集和智能分析， 从而为物理 空间的实际操作提升效率并降低成本 。 [0003]常见的数字 孪生应用如： 1、 汽车、 航天等工业领域的数字化设计， 采用数字孪生技术打造产品孪生体， 在虚 拟空间进行仿真模拟， 实现 反馈式设计、 迭代式创新和持续 性优化； 2、 智慧城市， 建设数字化城市孪生体， 在数字世界预演环境、 基础建设、 人口土地 等要素的交 互运作； 3、 智慧医疗， 将数字孪生技术和医疗技术相结合， 实现人体运作机理和医疗设备 的动态监测、 模拟和仿真， 提升医疗诊断效率， 优化医疗设备监管。 [0004]数字孪生机制打通了网络空间与物理空间的壁垒， 实现了物理对象的虚实结合。 随着数字孪生概念在各领域的普及， 数字孪生技术的应用场景变得愈加广泛。 与此同时， 孪 生体通信涉及了海量复杂的数据， 这就需要一种良好的机制对这些数据进行传输、 存储和 维护。 一方面， 孪生体的通信需保障传输过程中数据的安全性、 可靠性和机密性。 另一方面， 孪生体继承了物理对 象的相互关系。 对 象之间的继承， 关联或互斥关系对数据的高效传输 提出了挑战。 [0005]因此需要在数字孪生技术中对数据进行一系列的权限管理、 加 密处理以及数据认 证， 对用户进行有效的身份认证。 发明内容 [0006]本发明的目的在于提出一种确保孪生体数据的完整性和机密性、 且数据传输高效 快捷的适应孪生体 应用的数据权限管理方法。 [0007]本发明提出的适应孪生体应用的权限管理方法， 包括创建孪生体的唯一身份标 识， 基于每个孪生体的唯一身份标识进行孪生体身份密钥验证； 实现不同身份的孪生体访 问对应权限的数据内容； 对传输的孪生体数据内容进行加密， 以及对加密数据内容的密钥 加密； 对获取到的加密密钥和加密数据内容进行解密； 将孪生体作为数据存储节点转发数 据包； 具体步骤为： （1） 创建孪生体唯一身份标识： 采用基于默克尔树 （merkle  tree） 的层级式内容ID对数据进行命名， 根据物理实 体的层级关系对孪生体数据进行层级式命名， 请求数据时发送该命名， 从而获取对应的数 据；说　明　书 1/3 页 3 CN 115549964 A 3