一种接触者追踪方法及装置转让专利
申请号 : CN202211252742.4
文献号 : CN115348578B
文献日 : 2023-03-24
发明人 : 郝向宇 , 柳耀勇 , 习熹 , 肖青 , 孙东昱
申请人 : 芯昇科技有限公司
摘要 :
本发明提供一种接触者追踪方法及装置,其中,应用于第二终端的方法包括:接收第一报文信息;第一报文信息包括:加密的目标种子对;对加密的目标种子对解密,根据解密后的目标种子对生成第一用户的接触者追踪身份标识;将生成的接触者追踪身份标识与本地存储的接触者追踪身份标识进行比对;若所生成的接触者追踪身份标识中,存在至少一个与本地存储的接触者追踪身份标识相同的接触者追踪身份标识,则确定第二用户为第一用户的接触者。由此,相较于数据的计算集中在统一的中央服务器上,本申请中数据的计算与比对均是由第二终端本体进行的,更为安全可靠,去中心化的追踪思想进一步保障了数据的安全及用户的隐私。
权利要求 :
1.一种接触者追踪方法,其特征在于,所述方法应用于第一终端中,所述方法包括:获取所述第一终端对应的第一用户的待追踪时间区间;
根据所述待追踪时间区间,确定对应的目标种子对;其中,所述第一终端中,预存有时间区间与种子对的一一对应关系;
对所述目标种子对进行加密;
向接触者追踪后端平台发送第一报文信息,其中,所述第一报文信息包括:加密的目标种子对,所述加密的目标种子对用于确定所述第一用户的接触者;
在根据所述待追踪时间区间,确定对应的目标种子对之前,所述方法还包括:在当前时间为第一时间区间的开始端点时,调用随机数生成器,生成第一随机数;并将第一随机数确定为种子值,生成第一时间区间所对应的种子对;
在当前时间为第i时间区间的开始端点时,对第i‑1随机数做哈希计算,得到第i随机数,并将第i随机数确定为种子值,生成第i时间区间所对应的种子对;
其中,i等于2,……,N;N为正整数,每一时间区间的区间长度均相同,第i时间区间的时间晚于第i‑1时间区间的时间;
所述方法还包括:
在任意时间区间,生成种子对之后,根据所述种子对生成所述第一用户的m个接触者追踪身份标识;
每隔预设时间间隔,在m个接触者追踪身份标识中,随机挑选一个接触者追踪身份标识;
将所挑选的接触者追踪身份标识、当前时刻及信号强度发送至与自身建立连接关系的终端;
其中,m等于时间区间的区间长度/预设时间间隔,m代表所述第一用户在任意时间区间内,所生成的接触者追踪身份标识的个数;
在任意时间区间,生成种子对之后,根据所述种子对生成所述第一用户的m个接触者追踪身份标识通过以下公式实现:CTID1||CTID2||…||CTIDn=SM4(HAMC(SPt,"contacttracingsessionkey"));
其中,SM4为对称加密算法;HAMC为HMAC‑SHA256计算;SPt为种子对的种子值;
contact tracing session key为过程密钥;所述过程密钥为通过分散因子将预先存储在所述第一终端中的接触者追踪身份标识密钥进行分散后,所生成的密钥;
CTIDn为所生成的所述第一用户的第n个接触者追踪身份标识;n等于1,……,m,n为正整数。
2.根据权利要求1所述的方法,其特征在于,所述第一报文信息还包括:第一身份认证信息,向接触者追踪后端平台发送第一报文信息之前,所述方法还包括:对所述目标种子对进行哈希消息认证码HMAC计算,生成第一身份认证信息。
3.根据权利要求1所述的方法,其特征在于,所述第一报文信息还包括:所述第一终端的加密的位置信息。
4.一种接触者追踪方法,其特征在于,所述方法应用于第二终端,所述方法包括:接收接触者追踪后端平台发送的第一报文信息;所述第一报文信息包括:加密的目标种子对;
对所述加密的目标种子对解密,根据解密后的目标种子对生成第一用户的接触者追踪身份标识;
将生成的第一用户的接触者追踪身份标识与本地存储的接触者追踪身份标识进行比对;
若所生成的第一用户的接触者追踪身份标识中,存在至少一个与本地存储的接触者追踪身份标识相同的接触者追踪身份标识,则确定所述第二终端对应的第二用户为所述第一用户的接触者;
根据解密后的目标种子对生成第一用户的接触者追踪身份标识通过以下公式实现:CTID1||CTID2||…||CTIDn=SM4(HAMC(SPt,"contact tracing session key"));
其中,SM4为对称加密算法;HAMC为HMAC‑SHA256计算;SPt为解密后的目标种子对的种子值;contact tracing session key为过程密钥;CTIDn为所生成的所述第一用户的第n个接触者追踪身份标识;n等于1,……,m,n为正整数。
5.根据权利要求4所述的方法,其特征在于,所述第一报文信息还包括:第一身份认证信息,对所述加密的目标种子对解密后,所述方法还包括:对解密后的目标种子对,进行哈希消息认证码HMAC计算,生成第三身份认证信息;
将所述第三身份认证信息与所述第一身份认证信息进行对比;
若一致,则确定所述第一报文信息合法;
若不一致,则丢弃所述第一报文信息。
6.一种接触者追踪装置,其特征在于,所述装置应用于第一终端中,所述装置包括:获取模块,用于获取所述第一终端对应的第一用户的待追踪时间区间;
第一确定模块,用于根据所述待追踪时间区间,确定对应的目标种子对;其中,所述第一终端中,预存有时间区间与种子对的一一对应关系;
加密模块,用于对所述目标种子对进行加密;
第一发送模块,用于向接触者追踪后端平台发送第一报文信息,其中,所述第一报文信息包括:加密的目标种子对,所述加密的目标种子对用于确定所述第一用户的接触者;
其中,在根据所述待追踪时间区间,确定对应的目标种子对之前,在当前时间为第一时间区间的开始端点时,调用随机数生成器,生成第一随机数;并将第一随机数确定为种子值,生成第一时间区间所对应的种子对;
在当前时间为第i时间区间的开始端点时,对第i‑1随机数做哈希计算,得到第i随机数,并将第i随机数确定为种子值,生成第i时间区间所对应的种子对;
其中,i等于2,……,N;N为正整数,每一时间区间的区间长度均相同,第i时间区间的时间晚于第i‑1时间区间的时间;
在任意时间区间,生成种子对之后,根据所述种子对生成所述第一用户的m个接触者追踪身份标识;
每隔预设时间间隔,在m个接触者追踪身份标识中,随机挑选一个接触者追踪身份标识;
将所挑选的接触者追踪身份标识、当前时刻及信号强度发送至与自身建立连接关系的终端;
其中,m等于时间区间的区间长度/预设时间间隔,m代表所述第一用户在任意时间区间内,所生成的接触者追踪身份标识的个数;
在任意时间区间,生成种子对之后,根据所述种子对生成所述第一用户的m个接触者追踪身份标识通过以下公式实现:CTID1||CTID2||…||CTIDn=SM4(HAMC(SPt,"contact tracing session key"));
其中,SM4为对称加密算法;HAMC为HMAC‑SHA256计算;SPt为种子对的种子值;
contact tracing session key为过程密钥;所述过程密钥为通过分散因子将预先存储在所述第一终端中的接触者追踪身份标识密钥进行分散后,所生成的密钥;
CTIDn为所生成的所述第一用户的第n个接触者追踪身份标识;n等于1,……,m,n为正整数。
7.一种接触者追踪装置,其特征在于,所述装置应用于第二终端,所述装置包括:第二接收模块,用于接收接触者追踪后端平台发送的第一报文信息;所述第一报文信息包括:加密的目标种子对;
生成模块,用于对所述加密的目标种子对解密,根据解密后的目标种子对生成第一用户的接触者追踪身份标识;
比对模块,用于将生成的第一用户的接触者追踪身份标识与本地存储的接触者追踪身份标识进行比对;
第二确定模块,用于若所生成的第一用户的接触者追踪身份标识中,存在至少一个与本地存储的接触者追踪身份标识相同的接触者追踪身份标识,则确定所述第二终端对应的第二用户为所述第一用户的接触者;
其中,根据解密后的目标种子对生成第一用户的接触者追踪身份标识通过以下公式实现:CTID1||CTID2||…||CTIDn=SM4(HAMC(SPt,"contact tracing session key"));
其中,SM4为对称加密算法;HAMC为HMAC‑SHA256计算;SPt为解密后的目标种子对的种子值;contact tracing session key为过程密钥;CTIDn为所生成的所述第一用户的第n个接触者追踪身份标识;n等于1,……,m,n为正整数。
8.一种网络设备,其特征在于,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现如权利要求1至3中任一项所述的接触者追踪方法的步骤;或者,所述程序被所述处理器执行时实现如权利要求4至5中任一项所述的接触者追踪方法的步骤。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至3中任一项所述的接触者追踪方法的步骤;或者,所述程序被所述处理器执行时实现如权利要求4至5中任一项所述的接触者追踪方法的步骤。
说明书 :
一种接触者追踪方法及装置
技术领域
[0001] 本发明实施例涉及物联网技术领域,尤其涉及一种接触者追踪方法及装置。
背景技术
[0002] 接触者追踪是识别、评估和管理接触过传染病患者的人员的过程。现有的一种接触者追踪方案,其通过终端搜索附近的蓝牙设备,并对搜索到的蓝牙设备信息、当时的时间以及终端定位信息进行保存,当有终端用户被确诊为传染病患者后,终端将保存的蓝牙设备记录上传到人员接触信息数据库,由疾控中心工作人员根据人员接触信息数据库中确诊患者终端曾经发现的蓝牙设备信息对密切接触者进行查找追踪。
[0003] 上述方案是由疾控中心工作人员根据人员接触信息数据库中确诊患者终端曾经发现的蓝牙设备信息对密切接触者进行查找追踪,对资源利用率和网络负荷有较高要求,且上述方案中采用的是中心化的追踪方式,其存在无法保证数据的安全、造成用户隐私泄露风险的技术问题。
发明内容
[0004] 本发明实施例提供一种接触者追踪方法及装置,以解决现有的追踪方案对资源利用率和网络负荷有较高要求,且中心化的追踪方式所导致的无法保证数据的安全、造成用户隐私泄露风险的技术问题。
[0005] 为了解决上述技术问题,本发明是这样实现的:
[0006] 第一方面,本发明实施例提供了一种接触者追踪方法,所述方法应用于第一终端中,所述方法包括:
[0007] 获取所述第一终端对应的第一用户的待追踪时间区间;
[0008] 根据所述待追踪时间区间,确定对应的目标种子对;其中,所述第一终端中,预存有时间区间与种子对的一一对应关系;
[0009] 对所述目标种子对进行加密;
[0010] 向接触者追踪后端平台发送第一报文信息,其中,所述第一报文信息包括:加密的目标种子对,所述加密的目标种子对用于确定所述第一用户的接触者。
[0011] 优选地,在根据所述待追踪时间区间,确定对应的目标种子对之前,所述方法还包括:
[0012] 在当前时间为第一时间区间的开始端点时,调用随机数生成器,生成第一随机数;并将第一随机数确定为种子值,生成第一时间区间所对应的种子对;
[0013] 在当前时间为第i时间区间的开始端点时,对第i‑1随机数做哈希计算,得到第i随机数,并将第i随机数确定为种子值,生成第i时间区间所对应的种子对;
[0014] 其中,i等于2,……,N;N为正整数,每一时间区间的区间长度均相同,第i时间区间的时间晚于第i‑1时间区间的时间。
[0015] 优选地,所述方法还包括:
[0016] 在任意时间区间,生成种子对之后,根据所述种子对生成所述第一用户的m个接触者追踪身份标识;
[0017] 每隔预设时间间隔,在m个接触者追踪身份标识中,随机挑选一个接触者追踪身份标识;
[0018] 将所挑选的接触者追踪身份标识、当前时刻及信号强度发送至与自身建立连接关系的终端;
[0019] 其中,m等于时间区间的区间长度/预设时间间隔,m代表所述第一用户在任意时间区间内,所生成的接触者追踪身份标识的个数。
[0020] 优选地,在任意时间区间,生成种子对之后,根据所述种子对生成所述第一用户的m个接触者追踪身份标识通过以下公式实现:
[0021] CTID1||CTID2||…||CTIDn=SM4(HAMC(SPt,"contact tracing session key"));
[0022] 其中,SM4为对称加密算法;HAMC为HMAC‑SHA256计算;SPt为种子对的种子值;
[0023] contact tracing session key为过程密钥;所述过程密钥为通过分散因子将预先存储在所述第一终端中的接触者追踪身份标识密钥进行分散后,所生成的密钥;
[0024] CTIDn为所生成的所述第一用户的第n个接触者追踪身份标识;n等于1,……,m,n为正整数。
[0025] 优选地,所述第一报文信息还包括:第一身份认证信息,向接触者追踪后端平台发送第一报文信息之前,所述方法还包括:
[0026] 对所述目标种子对进行哈希消息认证码HMAC计算,生成第一身份认证信息。
[0027] 优选地,所述第一报文信息还包括:
[0028] 所述第一终端的加密的位置信息。
[0029] 第二方面,本发明实施例提供一种接触者追踪方法,所述方法应用于接触者追踪后端平台,所述方法包括:
[0030] 接收第一终端发送的第一报文信息;所述第一报文信息包括:加密的目标种子对;
[0031] 向第二终端发送所述第一报文信息;所述加密的目标种子对用于指示所述第二终端确定所述第二终端对应的第二用户是否为第一用户的接触者;
[0032] 其中,所述第一用户为所述第一终端对应的用户。
[0033] 优选地,在接收第一终端发送的第一报文信息之后,所述方法还包括:
[0034] 对所述加密的目标种子对解密并存储。
[0035] 优选地,所述第一报文信息还包括:第一身份认证信息,对所述加密的目标种子对解密后,所述方法还包括:
[0036] 对解密后的目标种子对,进行哈希消息认证码HMAC计算,生成第二身份认证信息;
[0037] 将所述第二身份认证信息与所述第一身份认证信息进行对比;
[0038] 若一致,则确定所述第一终端为合法终端;
[0039] 若不一致,则丢弃所述第一报文信息。
[0040] 优选地,所述第一报文信息还包括:
[0041] 所述第一终端的加密的位置信息;
[0042] 对所述加密的目标种子对解密并存储包括:
[0043] 对所述加密的位置信息和所述加密的目标种子对解密后;
[0044] 将解密后的目标种子对和解密后的位置信息关联存储,以保存所述第一终端的信息。
[0045] 优选地,接收第一终端发送的第一报文信息包括:
[0046] 通过BIP通道接收所述第一终端发送的所述第一报文信息;
[0047] 向第二终端发送所述第一报文信息包括:
[0048] 通过BIP通道,向第二终端发送所述第一报文信息。
[0049] 第三方面,本发明实施例提供一种接触者追踪方法,所述方法应用于第二终端,所述方法包括:
[0050] 接收接触者追踪后端平台发送的第一报文信息;所述第一报文信息包括:加密的目标种子对;
[0051] 对所述加密的目标种子对解密,根据解密后的目标种子对生成第一用户的接触者追踪身份标识;
[0052] 将生成的第一用户的接触者追踪身份标识与本地存储的接触者追踪身份标识进行比对;
[0053] 若所生成的第一用户的接触者追踪身份标识中,存在至少一个与本地存储的接触者追踪身份标识相同的接触者追踪身份标识,则确定所述第二终端对应的第二用户为所述第一用户的接触者。
[0054] 优选地,所述第一报文信息还包括:第一身份认证信息,对所述加密的目标种子对解密后,所述方法还包括:
[0055] 对解密后的目标种子对,进行哈希消息认证码HMAC计算,生成第三身份认证信息;
[0056] 将所述第三身份认证信息与所述第一身份认证信息进行对比;
[0057] 若一致,则确定所述第一报文信息合法;
[0058] 若不一致,则丢弃所述第一报文信息。
[0059] 第四方面,本发明实施例提供一种接触者追踪装置,所述装置应用于第一终端中,所述装置包括:
[0060] 获取模块,用于获取所述第一终端对应的第一用户的待追踪时间区间;
[0061] 第一确定模块,用于根据所述待追踪时间区间,确定对应的目标种子对;其中,所述第一终端中,预存有时间区间与种子对的一一对应关系;
[0062] 加密模块,用于对所述目标种子对进行加密;
[0063] 第一发送模块,用于向接触者追踪后端平台发送第一报文信息,其中,所述第一报文信息包括:加密的目标种子对,所述加密的目标种子对用于确定所述第一用户的接触者。
[0064] 第五方面,本发明实施例提供一种接触者追踪装置,所述装置应用于接触者追踪后端平台,所述装置包括:
[0065] 第一接收模块,用于接收第一终端发送的第一报文信息;所述第一报文信息包括:加密的目标种子对;
[0066] 第二发送模块,用于向第二终端发送所述第一报文信息;所述加密的目标种子对用于指示所述第二终端确定所述第二终端对应的第二用户是否为第一用户的接触者;
[0067] 其中,所述第一用户为所述第一终端对应的用户。
[0068] 第六方面,本发明实施例提供一种接触者追踪装置,所述装置应用于第二终端,所述装置包括:
[0069] 第二接收模块,用于接收接触者追踪后端平台发送的第一报文信息;所述第一报文信息包括:加密的目标种子对;
[0070] 生成模块,用于对所述加密的目标种子对解密,根据解密后的目标种子对生成第一用户的接触者追踪身份标识;
[0071] 比对模块,用于将生成的第一用户的接触者追踪身份标识与本地存储的接触者追踪身份标识进行比对;
[0072] 第二确定模块,用于若所生成的第一用户的接触者追踪身份标识中,存在至少一个与本地存储的接触者追踪身份标识相同的接触者追踪身份标识,则确定所述第二终端对应的第二用户为所述第一用户的接触者。
[0073] 第七方面,本发明实施例提供一种网络设备,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现如第一方面所述的接触者追踪方法的步骤;或者,所述程序被所述处理器执行时实现如第二方面所述的接触者追踪方法的步骤;或者,所述程序被所述处理器执行时实现如第三方面所述的接触者追踪方法的步骤。
[0074] 第八方面,本发明实施例提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面所述的接触者追踪方法的步骤;或者,所述计算机程序被处理器执行时实现如第二方面所述的接触者追踪方法的步骤;或者,所述程序被所述处理器执行时实现如第三方面所述的接触者追踪方法的步骤。
[0075] 在本发明实施例中,第一终端向接触者追踪后端平台发送第一报文信息,第一报文信息包括:加密的目标种子对,加密的目标种子对用于确定第一用户的接触者。由此,对目标种子对进行加密可进一步保证数据的安全性,且在第一终端本地进行种子对的加密与上传,并由加密的种子对确定第一用户的接触者,相较于数据的计算集中在某一统一的中央服务器上来说,去中心化的追踪方式和对目标种子对的加密可进一步避免数据的泄露,保障用户的隐私。
附图说明
[0076] 通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
[0077] 图1为本发明实施例提供的一种接触者追踪系统的架构示意图;
[0078] 图2为本发明实施例提供的一种接触者追踪系统中,各平台的信息交互示意图;
[0079] 图3为本发明实施例提供的一种接触者追踪方法的流程图;
[0080] 图4为本发明实施例提供的一种接触者追踪方法的流程图;
[0081] 图5为本发明实施例提供的一种接触者追踪方法的流程图;
[0082] 图6为本发明实施例提供的一种终端之间相互交换信息的示意图;
[0083] 图7为本发明实施例提供的一种接触者追踪方法的流程图;
[0084] 图8为本发明实施例提供的一种接触者追踪方法的流程图;
[0085] 图9为本发明实施例提供的一种接触者追踪装置的结构框图;
[0086] 图10为本发明实施例提供的一种接触者追踪装置的结构框图;
[0087] 图11为本发明实施例提供的一种接触者追踪装置的结构框图;
[0088] 图12为本发明实施例提供的一种网络设备的结构框图。
具体实施方式
[0089] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0090] 为使得本申请的技术方案更加清楚,现对方案所涉及的专有名词及现有技术进行简要介绍。
[0091] 1.SIM卡
[0092] SIM(Subscriber Identity Module)卡是GSM系统的移动用户所持有的IC卡,也称为用户识别卡。在GSM数字移动电话系统中,SIM卡起着极其重要的作用,它既是手机的一个重要组成部分,又是为每一个GSM移动电话用户配备的身份卡,因此,SIM卡实现了认人不认机的构想。
[0093] SIM卡主要完成两种功能:存储数据(控制存取各种数据)和在安全条件下(个人身份号码PIN和鉴权钥Ki正确)完成客户身份鉴权和客户信息加密算法的全过程。此功能主要是由SIM卡内的一部具有操作系统的微处理机完成。SIM卡的芯片有八个触点,与移动台设备相互接通是在SIM卡插入设备中并接通电源后完成。此时,操作系统和指令设置可以为SIM提供智能特性。
[0094] SIM卡智能特性的逻辑结构是树型结构。全部特性参数信息都是用数据字段的方式表达。即在根目录下有三个应用目录,一个属于行政主管部门应用目录,两个属于技术管理的应用目录,分别是GSM应用目录和电信应用目录。所有的目录下均为数据字段,有二进制的和格式化的数据字段。数据字段中的信息有永存性的即不能更新的,有暂存的,即需要更新的。每个数据字段均可表达出它的用途、更新程度、字段特性(如识别符)、类型(二进制还是格式化)等。SIM卡除了存储正常的数据字段,也存储有非文件字段如鉴权钥、个人身份鉴权号码、个人解锁码等数据。
[0095] 2.AT指令
[0096] AT指令是应用于终端设备与PC应用之间的连接与通信的指令。AT即Attention。每个AT命令行中只能包含一条AT指令,对于AT指令的发送,除AT两个字符外,最多可以接收1056个字符的长度(包括最后的空字符)。
[0097] AT指令集是从终端设备(Terminal Equipment,TE)或数据终端设备(Data Terminal Equipment,DTE)向终端适配器(Terminal Adapter,TA)或数据电路终端设备(Data Circuit Terminal Equipment,DCTE)发送的。其对所传输的数据包大小有定义:即对于AT指令的发送,除AT两个字符外,最多可以接收1056个字符的长度(包括最后的空字符)。
[0098] 每个AT命令行中只能包含一条AT指令,对于由终端设备主动向PC端报告的URC指示或者response响应,也要求一行最多有一个,而不允许上报的一行中有多条指示或者响应。AT指令以回车作为结尾,响应或上报以回车换行作为结尾。
[0099] 3.安全芯片
[0100] 安全芯片是可信任平台模块,是一个可独立进行密钥生成、加解密的装置,其内部拥有独立的处理器和存储单元,可存储密钥和特征数据,为电脑提供加密和安全认证服务。用安全芯片进行加密,密钥被存储在硬件中,被窃取的数据无法解密,从而保护商业隐私和数据安全。
[0101] 4.SE‑SIM卡
[0102] 在传统的SIM卡电信能力基础上增加SE功能(安全功能),功能合二为一。在封装形态上与传统SIM卡高度一致,可以为插拔或贴片的形式。除提供传统SIM卡所需的7816接口外,还定制化提供SPI、IIC接口,适用场景更加广泛。可结合安全平台,为客户提供一系列安全能力扩展,如:安全存储、安全启动、安全升级、密钥管理、安全通信服务、通用密码运算服务等。
[0103] 5.BIP
[0104] BIP(Bearer Independent protocol、独立承载协议)技术是在原来SIM卡被动式的操作模式基础上,增加了SIM卡新的主动式操作的能力,即允许SIM卡中的应用和服务主动与手机终端进行交互操作。传统的手机与SIM卡之间是一种不对称的主从关系,即SIM卡只能处于被动的接受手机的指令并执行的地位,手机则处于绝对的主动控制地位。任何一个动作只能由手机发起命令,并由SIM卡响应来完成。这种命令‑响应的动作模式最大的缺陷在于SIM卡不具有主动权,从而限制了在SIM卡上的开发,制约了新的移动增值业务的发展。
[0105] USIM卡引入了全新的BIP(Bearer Independent Protocol)协议接口,通过BIP协议结合USAT应用,手机终端允许USIM卡和远程服务器之间进行透明的数据传输。BIP协议更加有利于实现高速移动数据业务的传输,使得各种业务数据下载变得更加容易、快捷。在现有的2G网络中。SIM卡中也有动态业务下载/删除功能,但所有的下载都是通过SMS通道进行的,数据承载量小稳定性较差,较大的应用业务无法下载。而3G USIM卡的业务数据可以通过SMS通道(兼容2G)或BIP通道进行下载。BIP的引入,大大提高了传输效率和稳定性,可以进行大数据量的应用业务下载。
[0106] 6.对称加密
[0107] 对称加密算法是应用较早的加密算法,技术成熟。在对称加密算法中,数据发信方将明文(原始数据)和加密密钥一起经过特殊加密算法处理后,使其变成复杂的加密密文发送出去。收信方收到密文后,若想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密,才能使其恢复成可读明文。在对称加密算法中,使用的密钥只有一个,发收信双方都使用这个密钥对数据进行加密和解密,这就要求解密方事先必须知道加密密钥。
[0108] 7.数字签名验签
[0109] 数字签名的全过程分两大部分,即签名与验证。即发方将原文用哈希算法求得数字摘要,用签名私钥对数字摘要加密得到数字签名,发方将原文与数字签名一起发送给接受方;收方验证签名,即用发方公钥解密数字签名,得出数字摘要。收方将原文采用同样哈希算法又得一新的数字摘要,将两个数字摘要进行比较,如果二者匹配,说明经数字签名的电子文件传输成功。
[0110] 8.HMAC
[0111] 计算HMAC需要一个散列函数hash(可以是md5或者sha‑1)和一个密钥key。用L表示hash函数输出字符串长(md5是16),用B表示数据块的长度(md5和sha‑1的分割数据块长都是64)。密钥key的长度可以小于等于数据块长度B,如果大于数据块长度B,可以使用hash函数对key进行转换,结果就是一个L长的key。
[0112] 根据RFC 2316(Report of the IAB,April 1998),HMAC(散列消息身份验证码:Hashed Message Authentication Code)以及IPSec被认为是Interact安全的关键性核心协议。它不是散列函数,而是采用了将MD5或SHA1散列函数与共享机密密钥(与公钥/私钥对不同)一起使用的消息身份验证机制。基本来说,消息与密钥组合并运行散列函数。然后运行结果与密钥组合并再次运行散列函数。这个128位的结果被截断成96位,成为MAC。
[0113] 9.蓝牙BLE
[0114] BLE(Bluetooth Low Energy)蓝牙低能耗技术是短距离、低成本、可互操作性的无线技术,它利用许多智能手段最大限度地降低功耗。
[0115] BLE技术的工作模式非常适合用于从微型无线传感器(每半秒交换一次数据)或使用完全异步通信的遥控器等其它外设传送数据。这些设备发送的数据量非常少(通常几个字节),而且发送的次数也很少(例如每秒几次到每分钟一次,甚至更少)。
[0116] 10.密钥分散、分散因子
[0117] 为防止主密钥被破解后,整个体系崩溃,需要将主密钥通过密钥分散算法分散出若干个子密钥。分散因子作为输出参与密钥分散运算。
[0118] 为解决现有的追踪方案对资源利用率和网络负荷有较高要求,且中心化的追踪方式所导致的无法保证数据的安全、造成用户隐私泄露风险的技术问题,本发明实施例提供一种接触者追踪系统,该系统的架构示意图如图1所示,该系统包括:接触者追踪后端平台、安全服务平台、BIP平台、用户智能终端、SE‑SIM卡。需说明的是,图中所述的平台并非实体结构,平台可理解为软件执行的系统环境。
[0119] 接触者追踪后端平台的应用服务为:数据记录、统计趋势、下发种子对等,其底层能力为数据获取、地址判断、合法性判断。接触者追踪平台可与BIP平台、安全服务平台进行数据交互,BIP平台用于进行信息匹配和数据上报,且安全服务平台包括数据模块、标识模块、安全模块及终端接入模块。SE‑SIM卡在接触者追踪应用中,可存储种子对,通过密钥算法对种子对进行加密或解密以及进行数据业务,其还可以验证接触者追踪身份标识并对其进行安全存储(附图1中的验证ID并安全存储),SE‑SIM卡和BIP平台通过BIP通道进行数据传输。SE‑SIM卡可集成设置于智能终端上,智能终端与智能终端之间可通过蓝牙进行接触者追踪身份标识的交换(附图1中的标识ID交换),智能终端可与安全平台进行数据交互,通过安全平台分配的密钥及对应的算法生成接触者追踪身份标识。
[0120] 下面对附图1中所示平台进行具体介绍。
[0121] 安全服务平台,实现一机一密/一次一密,且可进行双向认证,各敏感操作流程均通过调用安全平台的能力以实现身份认证和数据加密通信。安全服务平台支持国家商用密码算法SM2、SM3、SM4,保障接触者追踪相关数据的可信解析,以实现防仿冒、防篡改、防重放、防窃听等目的。同时,安全服务平台定义严格的数据访问权限机制和模板管理,实现原子级的数据读取和写入控制,杜绝数据泄露的风险。基于现有密钥分发、加解密、签名验签等基础能力,将其嵌入到业务流当中,保障业务流程和数据的安全可靠。
[0122] BIP平台,可辅助将SIM卡上传的追踪标识ID及有关信息上传至接触者追踪后端平台,通过调用SIM卡LBS定位功能,核对定位信息与标识ID信息的匹配关系,通过接口将数据上传至接触者追踪后端平台。且可利用移动数据网络,结合SIM卡的数据业务,提供空中BIP连接能力,实现对SIM卡业务接入,以及通过BIP通道提供BIP平台与SIM卡间数据传输的安全通道。
[0123] 接触者追踪后端平台,负责终端上报数据的获取、位置信息判断、合法性判断等底层能力,通过上层的应用模块去做具体的数据应用,例如终端数据存证、统计趋势、下发确认者(比如疫情中的确诊患者)提交的数据等应用流程,由此,接触者追踪后端平台通过获取数据并下发数据实现接触者追踪流程中各环节的对接和数据流转。
[0124] 智能终端,可以是手机或者具备追踪功能的物联网随身智能终端。
[0125] SE‑SIM卡,本申请中,在终端实现接触者追踪业务的核心是SE‑SIM卡单元,通过SE‑SIM对接BIP平台,承载追踪者标识的应用。SE‑SIM卡具备如下功能:接触者生成标识存储:依托SIM卡安全特性及硬件资源为工业互联网终端提供接触者生成标识种子对的存储服务。SIM卡为安全芯片的一种特殊应用,其通常要求具备硬件攻击的防护能力,安全等级能够达到EAL4+,能够有效保障存储在SIM卡中的标识的唯一性,具备验签功能防止恶意篡改关键流程。接触者追踪服务的密钥管理:基于SIM卡高安全硬件环境可提供高安全的密钥存储及密码运算环境,保障其存储的密钥不易被硬件攻击发行,并且不易在运算过程中出现泄露。依托其密钥的安全环境可为存储在SIM卡中的接触者生成标识提供相应的密钥服务,采用基于密码服务的标识业务实现传输通道安全可信,保障标识业务的机密性、合法性,密钥服务可支持但不限于国际或国密算法、对称或非对称密钥、PKI证书服务等,具体使用的密钥服务可以安全服务平台进行协商选择。基于BIP协议的接触者生成标识业务:依托SIM的主动式命令功能可实现基于BIP协议数据通信服务,可由SIM发送主动式命令请求与平台建立基础的网络通信服务,同时基于内部的标识存储服务、密钥服务,实现安全可信的标识业务。由此标识业务的部分功能从智能终端迁移至SIM卡中,简化了控制终端的对接成本。控制终端仅需触发命令请求,由SIM卡实现整个标识业务的数据通信流程、数据报文解析、创建目标链接链路。接触者标识生成业务:基于智能终端携带的便携性,适配智能终端的应用将使用蓝牙低功耗技术(Bluetooth Low Energy,BLE),即该设备所载应用将会在特定时间段内,每隔一段周期(例如每几分钟),创建一个随机的临时追溯身份标识ID符(Contact Tracing Bluetooth identifiers,CTIDs),基于蓝牙低功耗技术进行广播,同时收集附近其他智能终端发送的此类标识符。
[0126] 附图1中,每一个智能终端需联接蜂窝网络、配备SIM卡,且具备低功耗蓝牙能力(BLE),并通过BIP协议使得SIM卡作为载体参与完成接触者追踪的流程。由此,可避免传统终端利用基带模组通过TCP\UDP协议与平台进行数据交互的方式所导致的安全性较低的问题,结合SE‑SIM卡的安全特性对接触者追踪业务提供了安全保障。且安全服务平台、BIP平台与接触者追踪后端平台所配备的功能模块,均可为接触者追踪服务的顺利执行提供保障。且数据的存储与匹配,接触者追踪身份标识的生成、匹配与验证均是在本地终端上完成的,而不是在统一的中央服务器中完成,去中心化的追踪方式可进一步保证用户数据的安全性。
[0127] 图2示出了终端与接触者追踪后端平台的交互流程示意图,以图1的接触者追踪系统的架构示意图以及图2所示的交互流程示意图为基础,现对本申请的技术方案流程进行简要介绍:第一终端,第一终端根据种子对(时间和随机数)和预设周期生成多个不同的临时追溯ID,并按照预设周期通过蓝牙方式每次随机挑选一个临时追溯ID进行广播。当其他终端处于第一终端的通信范围内时,其他智能终端和第一终端交换临时追溯ID、当前时间和信号强度信息,并保存至对应的存储空间。当第一终端所对应的用户被确认为目标用户(如:传染病患者),通过该用户授权后,第一终端将其生成临时追溯ID时所需的种子对发送至SE‑SIM,由SE‑SIM对其进行安全存储。SE‑SIM对种子对进行加密,生成加密后的种子对,并生成身份验证信息,通过BIP通道将加密后的种子对或加密后的种子对和身份验证信息上传至BIP平台,由BIP平台将相关信息统一透传到接触者追踪后端平台。接触者追踪后端平台收到报文后,调用安全平台能力对报文进行解密,录入传染病患者信息。优选地,还可验证身份信息,在身份信息验证通过后,确认第一终端为合法的终端,如果身份信息验证未通过,则丢弃该报文信息,由此,可进一步提高消息传递的准确性和安全性。接触者追踪后端平台还需对第一终端下发的种子对进行加密及进行身份认证计算,通过BIP平台将加密后的种子对和身份验证信息下发至第二终端的SE‑SIM。第二终端的SE‑SIM对报文进行解密,获得第一终端的种子对,并根据第一终端的种子对生成第一终端的临时追溯ID,通过将第一终端的临时追溯ID与本地保存的临时追溯ID进行匹配,确定第二终端所属用户是否为接触者,若匹配成功,则确定第二终端所对应的用户为接触者,若匹配失败,则说明第二终端所对应的用户与第一终端所对应的用户无接触。总体来说,基于图1所示的接触者追踪平台,本申请提供了一种去中心化的接触者追踪方法,其中,SE‑SIM卡、安全服务平台、BIP平台相互配合,可进一步提高所发送信息的安全性,利用SE‑SIM实现数据的上传、下发及处理,可保证数据无法伪造,保证数据的安全可信,BIP平台可保证数据无法被篡改,且第一终端通过蓝牙方式随机挑选临时追溯ID进行广播,所广播临时追溯ID的随机性也进一步保证了信息的安全性,且数据的存储与匹配,接触者追踪身份标识的生成、匹配与验证均是在本地终端上完成的,而不是在统一的中央服务器中完成,分布式的计算可进一步保证用户的隐私安全。
[0128] 需说明的是,上述技术方案的一种典型应用场景是当下新冠疫情下的密切接触者确认,上述技术方案可辅助卫生部门对于阳性患者的密切接触者进行确认,且技术方案可建立在用户授权的基础上,并根据相关的法律法规进行约束。
[0129] 上述从接触者追踪系统的角度,整体上介绍了本申请的技术方案,以及第一终端、接触者追踪后端平台、第二终端三者之间的数据交互。下面分别以第一终端、接触者追踪后端平台、第二终端为主,介绍本申请的技术方案。
[0130] 如图3所示,本申请提供了一种接触者追踪方法,方法应用于第一终端上,方法包括:
[0131] 步骤S301、获取第一终端对应的第一用户的待追踪时间区间;
[0132] 步骤S302、根据待追踪时间区间,确定对应的目标种子对;
[0133] 步骤S303、对目标种子对进行加密;
[0134] 步骤S304、向接触者追踪后端平台发送第一报文信息,其中,第一报文信息包括:加密的目标种子对,加密的目标种子对用于确定第一用户的接触者。
[0135] 由此,对目标种子对进行加密可进一步保证数据的安全性,在第一终端本地进行种子对的加密与上传,相较于数据的计算集中在某一统一的中央服务器上来说,可进一步避免数据的泄露,保障用户的隐私。
[0136] 在步骤S301中,第一终端为目标终端,在具体应用场景中,当第一终端所对应的第一用户为已确诊患者时,需要以第一终端为准,寻求第一用户的接触者。优选地,在第一用户授权后,可获取第一终端对应的第一用户的待追踪时间区间,例如:根据官方信息,可确认第一用户在8月15日确诊,根据某一传染病的传染强度及传染时间,确定8月13日、14日、15日、16日、17日这五天为第一用户的待追踪时间区间。
[0137] 在步骤S302中,可根据待追踪时间区间,确定对应的目标种子对;其中,第一终端中,预存有时间区间与种子对的一一对应关系。在确定待追踪时间区间后,需在第一终端的存储空间匹配对应的种子对。
[0138] 在一种可能的实现方式中,如图4所示,在根据待追踪时间区间,确定对应的目标种子对之前,方法还包括:
[0139] 步骤S401、在当前时间为第一时间区间的开始端点时,调用随机数生成器,生成第一随机数;并将第一随机数确定为种子值,生成第一时间区间所对应的种子对;
[0140] 步骤S402、在当前时间为第i时间区间的开始端点时,对第i‑1随机数做哈希计算,得到第i随机数,并将第i随机数确定为种子值,生成第i时间区间所对应的种子对;
[0141] 其中,i等于2,……,N;N为正整数,每一时间区间的区间长度均相同,第i时间区间的时间晚于第i‑1时间区间的时间。
[0142] 在步骤S401和步骤S402中,第一终端对种子对生成程序进行初始化,生成当前日期时间t,并根据t调用SE‑SIM卡的随机数生成器生成初始的随机数SPt。使用HASH算法对SPt进行哈希计算,确定摘要值,算法通常为SHA‑256。若在此之前已经生成了SPt,则以上一时间区间的随机数SPt‑1为基数进行哈希计算,即:SPt=H(SPt‑1)。将SPt安全存储在对应的存储空间内,且存入数量可以根据规定进行修改(通常为14日)。在具体的应用性示例中,时间区间为一天,即24小时,假设当前时间区间为6月1号,则在6月1号的零点,调用随机数生成器,生成第一随机数SP6.1;并将第一随机数确定为种子值SP6.1,生成6月1号所对应的种子对;(SP6.1,6.1),在当前时间为6月2号的零点时,对SP6.1做哈希计算,得到SP6.2,并将SP6.2确定为种子值,生成6月2号所对应的种子对(SP6.2,6.2)。
[0143] 由此,在每一时间区间的开始端点,可调用随机数生成器,生成这一时间区间内所有的种子对,种子对的随机性保障了后续数据传递的安全性,若数据被非法获取,则随机性可尽量保证数据不被非法破译。
[0144] 生成种子对之后,在一种可能的实现方式中,如图5所示,方法还包括:
[0145] 步骤S501、在任意时间区间,生成种子对之后,根据种子对生成第一用户的m个接触者追踪身份标识;
[0146] 步骤S502、每隔预设时间间隔,在m个接触者追踪身份标识中,随机挑选一个接触者追踪身份标识;
[0147] 步骤S503、将所挑选的接触者追踪身份标识、当前时刻及信号强度发送至与自身建立连接关系的终端;
[0148] 其中,m等于时间区间的区间长度/预设时间间隔,m代表第一用户在任意时间区间内,所生成的接触者追踪身份标识的个数。
[0149] 需说明的是,根据种子对生成第一用户的m个接触者追踪身份标识(CTID n),通过以下公式实现:
[0150] CTID1||CTID2||…||CTIDn=SM4(HAMC(SPt,"contact tracing session key")); (1)[0151] 其中,SM4为对称加密算法;HAMC为HMAC‑SHA256计算;SPt为种子对的种子值;
[0152] contact tracing session key为过程密钥;过程密钥为通过分散因子将预先存储在第一终端中的种子对密钥进行分散后,所生成的密钥,
[0153] CTIDn为所生成的第一用户的第n个接触者追踪身份标识;n等于1,……,m,n为正整数。
[0154] 在步骤S501中,可调用SE‑SIM的安全算法接口对种子对中的种子值SPt进行HMAC‑SHA256计算,将本计算结果进一步使用国密对称加密算法SM4加密生成n*16bytes的数据。在上述公式(1)中,SM4与HAMC计算中使用的过程密钥contact tracing session key是通过预置在SE‑SIM芯片中的接触者追踪身份标识密钥contact tracing ID key(CTID密钥)通过特定的分散因子进行分散生成的。分散因子可以通过计数器、伪随机数等方式生成,此方式能够保证在一次计算流程中,所使用的密钥是相同的,安全平台解密时使用相同的方式生成密钥用于解密,但每次计算所使用的密钥则是不同的(例如:对第一时间区间的目标种子对进行加密和对第二时间区间的目标种子对进行加密时,所使用的密钥不同,但对第一时间区间的目标种子对进行加密后,后续解密等过程中,所使用的密钥相同),由此,进一步保证了原始密钥不会被泄露,安全性进一步增强。由公式(1)可得知,最终生成的是m个
16bytes(16字节)的块,每一个块CTID1...CTIDn,即作为每隔一个时间间隔L要通过蓝牙广播的CTID,CTID的生成方式可保证身份的唯一性。
16bytes(16字节)的块,每一个块CTID1...CTIDn,即作为每隔一个时间间隔L要通过蓝牙广播的CTID,CTID的生成方式可保证身份的唯一性。
[0155] 在步骤S502中,确定预设时间间隔,记为L,此预设时间间隔为第一终端通过蓝牙广播接触者追踪身份标识的时间间隔,每隔一个预设时间间隔L广播一个接触者追踪身份标识。则可以通过L计算出在每一时间区间内,要广播的接触者追踪身份标识,也即需要生成的接触者追踪身份标识的个数。假设时间区间为零点到二十四点,时间间隔周期L为15min,则 则在24小时内要每隔15分钟,在96个接触者追踪身份标识中,
随机挑选一个接触者追踪身份标识进行广播,由于第一终端广播CTID的顺序是乱序的,即并不是按照CTID的生成顺序来进行广播,由此,保证了接触者追踪身份标识的无法预测性,即使非法接收到某一CTID也无法还原出CTID1...CTIDn,进一步保障了数据的安全性,保护了用户的隐私。
随机挑选一个接触者追踪身份标识进行广播,由于第一终端广播CTID的顺序是乱序的,即并不是按照CTID的生成顺序来进行广播,由此,保证了接触者追踪身份标识的无法预测性,即使非法接收到某一CTID也无法还原出CTID1...CTIDn,进一步保障了数据的安全性,保护了用户的隐私。
[0156] 在步骤S503中,第一终端将所挑选的接触者追踪身份标识、当前时刻及信号强度发送至与自身建立连接关系的终端。即当另一终端处于第一终端的通信范围内时,两者建立连接,如图6所示,并通过蓝牙交换彼此的CTID、广播CTID的当前时刻及信号强度,将三者存储在各自的存储空间。其中,广播CTID的当前时刻可辅助确定第一用户和第二用户的接触时间和接触距离,信号强度与接触的距离相关,接触的距离越近,信号强度越大,接触的距离越远,信号强度越小,可辅助确认接触者的感染风险。
[0157] 上述图4和图5均为在步骤S302、根据待追踪时间区间,确定对应的目标种子对前的可能实现方式,相当于接触者追踪过程中的前序准备工作,而在接触者追踪过程中,在步骤S302后,执行步骤S303、对目标种子对进行加密。
[0158] 具体地,第一终端通过SE‑SIM卡的接口通道(通常是7816,IIC等接口)将生成的种子对发送至SE‑SIM卡,并将种子对安全存储在SIM的文件服务空间内,并调用SE‑SIM卡的安全能力接口,使用特定的分散因子对预置的种子对密钥seed pair key进行分散,生成种子对过程密钥seed pair session key,使用过程密钥对种子对进行SM4加密。分散因子可以是通过计数器、随机数等方式生成,此方式能够保证在一次计算流程中,所使用的密钥是相同的,例如:后续安全平台解密时使用相同的方式生成密钥用于解密,但每次计算所使用的密钥则是不同的(例如:对第一时间区间的目标种子对进行加密和对第二时间区间的目标种子对进行加密时,所使用的密钥不同,但对第一时间区间的目标种子对进行加密后,后续解密等过程中,所使用的密钥相同),由此,可进一步增强破译难度,避免数据被非法破译,增强安全性。
[0159] 在步骤S304中,在将目标种子对进行加密后,向接触者追踪后端平台发送第一报文信息,其中,第一报文信息包括:加密的目标种子对,加密的目标种子对用于确定第一用户的接触者。
[0160] 用户可授权将加密的目标种子对上传至接触者追踪后端平台。加密的种子对如何用于确定第一用户的接触者的流程在后续以接触者追踪后端平台、第二终端为主的技术方案中进行介绍。
[0161] 在一种优选的实现方式中,第一报文信息还包括:第一终端的加密的位置信息。若主管机构有获取第一用户的地理位置信息的需求,则在经过第一用户的授权后,第一终端可通过AT指令调用模组LBS定位信息,并将定位信息与目标种子对一起进行加密后,发送至接触者追踪后端平台,以便于接触者追踪后端平台获取并录入第一用户的地理位置信息。
[0162] 在一种可能的实现方式中,第一报文信息还包括:第一身份认证信息。在向接触者追踪后端平台发送第一报文信息之前,方法还包括:对目标种子对进行哈希消息认证码HMAC计算,生成第一身份认证信息。第一身份认证信息可用于确认接触者追踪后端平台收到的报文信息与第一终端发送给接触者追踪后端平台的报文信息是否一致,以避免报文信息在传递过程中被更改或破坏,进一步保证信息传递的安全性(后续如何通过第一身份认证信息确定报文信息的一致性在以接触者追踪后端平台为执行主体的方案中具体介绍)。
[0163] 在一种可能的实现方式中,SE‑SIM卡通过BIP通道将第一报文信息上传至BIP平台,BIP平台收到报文后直接将数据透传至接触者追踪后端平台,此BIP通道是运营商独有的能力,保证了SE‑SIM卡直接与平台建立连接,将数据上报至对应的平台,通过运营商的公信力以及SE‑SIM卡的安全能力提供信用背书,保证数据的真实可信,能够防止通过修改模组程序改变用户上传数据的可能性。
[0164] 在以第一终端为执行主体的技术方案中,主要介绍了在接触者追踪流程之前的前序准备工作,例如:如何生成种子对,如何根据种子对生成接触者追踪身份标识,如何建立时间区间与种子对的一一对应关系,还介绍了第一终端如何对种子对进行加密,并将其发送至接触者追踪后端平台。除上述技术效果外,还具备如下效果:采用SE‑SIM卡作为载体对种子对进行存储与身份认证,并在后续业务中提供加密、身份认证信息计算等能力,可保障数据的可信度、且防止数据被篡改。依靠SE‑SIM卡的安全存储、密钥管理与密码运算功能、并结合安全服务平台的密钥管理、密码计算功能,可进一步保障数据的安全性,防止数据被窃取和仿冒。
[0165] 如图7所示,本申请提供了一种接触者追踪方法,方法应用于接触者追踪后端平台上,方法包括:
[0166] 步骤S701、接收第一终端发送的第一报文信息;第一报文信息包括:加密的目标种子对;
[0167] 步骤S702、向第二终端发送第一报文信息;加密的目标种子对用于指示第二终端确定第二终端对应的第二用户是否为第一用户的接触者;
[0168] 其中,第一用户为第一终端对应的用户。
[0169] 在一种可能的实现方式中,在接收第一终端发送的第一报文信息之后,方法还包括:对加密的目标种子对解密并存储,由此,可在接触者追踪后端平台上,录入第一终端的目标种子对信息。
[0170] 在一种可能的实现方式中,第一报文信息还包括:第一身份认证信息,对加密的目标种子对解密后,方法还包括:对解密后的目标种子对,进行哈希消息认证码HMAC计算,生成第二身份认证信息;将第二身份认证信息与第一身份认证信息进行对比;若一致,则确定第一终端为合法终端;若不一致,则丢弃第一报文信息。HMAC是一种利用密码学中的散列函数来进行消息认证的机制,所能提供的消息认证包括两方面内容:消息完整性认证:能够证明消息内容在传送过程没有被修改。信源身份认证:因为通信双方共享了认证的密钥,接收方能够认证发送该数据的信源与所宣称的一致,即能够可靠地确认接收的消息与发送的一致。因此,该可能的实现方式中,接触者追踪后端平台在接收到第一报文信息后,可调用安全服务平台接口对第一报文信息解密后,进行身份认证,确认该第一报文信息来自合法的第一终端,以保障第一报文信息的准确性。
[0171] 在一种可能的实现方式中,第一报文信息还包括:第一终端的加密的位置信息;对加密的目标种子对解密并存储包括:对加密的位置信息和加密的目标种子对解密后;将解密后的目标种子对和解密后的位置信息关联存储,以保存第一终端的信息。也就是说,若主管机构有获取第一用户的地理位置信息的需求,则在经过第一用户的授权后,第一终端可通过AT指令调用模组LBS定位信息,并将定位信息与目标种子对一起进行加密后,发送至接触者追踪后端平台,以便于接触者追踪后端平台将解密后的目标种子对和解密后的位置信息关联存储,以进行第一用户的信息录入。
[0172] 在一种可能的实现方式中,接收第一终端发送的第一报文信息包括:通过BIP通道接收第一终端发送的第一报文信息;向第二终端发送第一报文信息包括:通过BIP通道,向第二终端发送第一报文信息。也就是说,无论是第一终端还是第二终端,与接触者追踪后端平台的信息交互均是借助BIP通道进行的。结合上述以第一终端为执行主体的技术方案,第一终端的SE‑SIM卡通过BIP通道将第一报文信息上传至BIP平台,BIP平台收到第一报文信息后直接将数据透传至接触者追踪后端平台,此BIP通道是运营商独有的能力,保证了SE‑SIM卡直接与平台建立连接,将数据上报至对应的平台,通过运营商的公信力以及SE‑SIM卡的安全能力提供信用背书,保证数据的真实可信,能够防止通过修改模组程序改变用户上传数据的可能性。
[0173] 在步骤S702中,接触者追踪后端平台准备种子对下发的工作,接触者追踪平台通过调用安全服务平台接口对确认者的密钥对进行加密并计算身份信息,下发至BIP平台,通过BIP通道下发至其他潜在接触者的智能终端SE‑SIM中。
[0174] 由此,接触者追踪后端平台接收第一终端发送的第一报文信息,并向第二终端转发第一报文信息,其提供数据中转作用,第二终端则可根据加密的目标种子对,确定其对应的第二用户是否为第一用户的接触者。接触者的确认过程是由第二终端本体来进行的,而不是如现有技术中所述的由疾控中心工作人员根据人员接触信息数据库中确诊患者终端曾经发现的蓝牙设备信息对密切接触者进行查找追踪,去中心化的追踪思想和对目标种子对的加密解密进一步保障了数据的安全及用户的隐私。
[0175] 如图8所示,本申请提供了一种接触者追踪方法,方法应用于第二终端上,方法包括:
[0176] 步骤S801、接收接触者追踪后端平台发送的第一报文信息;第一报文信息包括:加密的目标种子对;
[0177] 步骤S802、对加密的目标种子对解密,根据解密后的目标种子对生成第一用户的接触者追踪身份标识;
[0178] 步骤S803、将生成的第一用户的接触者追踪身份标识与本地存储的接触者追踪身份标识进行比对;
[0179] 步骤S804、若所生成的第一用户的接触者追踪身份标识中,存在至少一个与本地存储的接触者追踪身份标识相同的接触者追踪身份标识,则确定第二终端对应的第二用户为第一用户的接触者。
[0180] 在步骤S801中,第一报文信息还可以包括:第一身份认证信息,对加密的目标种子对解密后,方法还包括:对解密后的目标种子对,进行哈希消息认证码HMAC计算,生成第三身份认证信息;将第三身份认证信息与第一身份认证信息进行对比;若一致,则确定第一报文信息合法;若不一致,则丢弃第一报文信息。同理,通过HMAC计算,第二终端在接收到第一报文信息后,可调用安全服务平台接口对第一报文信息解密后,进行身份认证,确认该第一报文信息的合法性,以保障第一报文信息的准确性。
[0181] 在步骤S802中,第二终端调用自身的SE‑SIM卡的安全能力接口,使用特定的分散因子对预置的种子对密钥seed pair key进行分散,生成种子对过程密钥seed pair session key。分散因子可以是计数器、随机数等方式生成。需说明的是,与以第一终端为执行主体的技术方案相对应,第二终端为解密所生成的种子对过程密钥seed pair session key和第一终端中为加密所生成的过程密钥在一次流程(例如:获取第一时间区间的种子对,并根据该种子对确定接触者)中是相同的,而在下一次流程(例如:获取第二时间区间的种子对,并根据该种子对确定接触者)中,则可使用特定的分散因子对预置的种子对密钥seed pair key进行分散,生成不同的过程密钥,由此,每一次流程中,密钥均不相同,可进一步增强破译难度,避免数据被非法破译,增强安全性。
[0182] 在步骤S803和804中,第二终端通过与SE‑SIM卡对应的接口通道获取下发的解密后的目标种子对,根据种子对的种子值SPt(t代表该种子对所对应的时间区间)计算第一用户的接触者追踪身份标识CTIDn,调用SE‑SIM卡的安全算法接口对SPt进行HMAC‑SHA256计算,将计算结果使用国密对称加密算法SM4加密生成n*16bytes的数据,如下公式所示:
[0183] CTID1||CTID2||…||CTIDn=SM4(HAMC(SPt,"contact tracing session key"))[0184] 其中SM4与HAMC在计算中使用的过程密钥contact tracing session key是将预置在SE‑SIM卡芯片中的追踪标识密钥contact tracing ID key,通过特定的分散因子分散生成的,且与第一终端根据种子对生成接触者追踪身份标识的步骤中,所使用的过程密钥相同,由此,可还原出对应的CTID1||CTID2||…||CTIDn。
[0185] 第二终端将本地存储空间内已保存的与其他终端交换来的CTID进行比对,若计算出的CTID1…CTIDn中的某一个值与本地储存的CTID一致,则将第二终端对应的第二用户判断为第一用户的接触者。在可能的实现方式中,还可将本地存储的与所计算出的CTID1…CTIDn中的某一个值相一致的CTID的接收时刻、蓝牙信号强度提供给相关部门,以辅助确定第一用户和第二用户的接触时间和接触距离。
[0186] 由此可见,计算CTID值并进行匹配以确定接触者完全是在第二终端本地进行,接触者追踪后端平台不会保存CTID,且CTID是根据种子对中的种子值确定的,种子值则是由随机数生成器生成的随机数,CTID不涉及个人数据。且去中心化的数据存储方式,分布式的数据计算方式进一步提高了数据的安全性,间接保护了用户的隐私。
[0187] 总体来说,第二终端接收加密的目标种子对,并对加密的目标种子对进行解密,根据解密后的目标种子对生成第一用户的接触者追踪身份标识;将生成的第一用户的接触者追踪身份标识与本地存储的接触者追踪身份标识进行比对,来确定自身所对应的用户是否为第一用户的接触者。可见,数据的计算与比对均是由第二终端本体来进行的,而不是如现有技术中所述的由疾控中心工作人员根据人员接触信息数据库中确诊患者终端曾经发现的蓝牙设备信息对密切接触者进行查找追踪,去中心化的追踪思想和对目标种子对的加密解密进一步保障了数据的安全及用户的隐私。
[0188] 除以上所述的技术效果外,本发明实施例还具备如下技术效果:基于SE‑SIM卡的BIP通信协议所实现的接触者追踪方案,将原本需要智能终端参与的身份标识业务部分功能迁移至SE‑SIM卡中实现。通过支持接触者追踪身份标识应用的SE‑SIM卡即可实现快速接入,有效的降低了终端实现接触者追踪者身份标识应用的对接复杂度、降低终端和平台方的改造成本及研发投入。现有终端的软硬件可通过零修改或极少修改,即可实现本发明实施例所示的完整的接触者追踪标识体系的接入。
[0189] 安全服务平台中的安全模块及SE‑SIM卡载体中的安全服务为整个追踪业务提供了安全保障,可有效防止数据的篡改,提升了整体业务的安全性,
[0190] SE‑SIM卡提供种子对安全存储服务,对平台下发的种子对直接进行安全存储,为终端提供了可靠的安全存储环境,保障了种子对的唯一性、防止种子对被恶意篡改及仿冒。
[0191] 基于运营商的BIP通道可保证数据无法被绕过,即种子对始终能够发送至接触者追踪后端平台,通过SE‑SIM卡调用LBS定位能够满足监管部门追溯第一终端的定位信息的需要,且具备一定的公信力,另外,无需通过第三方设备来进行信息记录,成本低,方案实现简单。
[0192] 图9示出了根据本发明实施例提供的一种接触者追踪装置90,装置90应用于第一终端中,装置90包括:
[0193] 获取模块901,用于获取第一终端对应的第一用户的待追踪时间区间;
[0194] 第一确定模块902,用于根据待追踪时间区间,确定对应的目标种子对;其中,第一终端中,预存有时间区间与种子对的一一对应关系;
[0195] 加密模块903,用于对目标种子对进行加密;
[0196] 第一发送模块904,用于向接触者追踪后端平台发送第一报文信息,其中,第一报文信息包括:加密的目标种子对,加密的目标种子对用于确定第一用户的接触者。
[0197] 图10示出了根据本发明实施例提供的一种接触者追踪装置100,装置100应用于接触者追踪后端平台,装置100包括:
[0198] 第一接收模块1001,用于接收第一终端发送的第一报文信息;第一报文信息包括:加密的目标种子对;
[0199] 第二发送模块1002,用于向第二终端发送第一报文信息;加密的目标种子对用于指示第二终端确定第二终端对应的第二用户是否为第一用户的接触者;
[0200] 其中,第一用户为第一终端对应的用户。
[0201] 图11示出了根据本发明实施例提供的一种接触者追踪装置110,装置110应用于第二终端,装置110包括:
[0202] 第二接收模块1101,用于接收接触者追踪后端平台发送的第一报文信息;第一报文信息包括:加密的目标种子对;
[0203] 生成模块1102,用于对加密的目标种子对解密,根据解密后的目标种子对生成第一用户的接触者追踪身份标识;
[0204] 比对模块1103,用于将生成的第一用户的接触者追踪身份标识与本地存储的接触者追踪身份标识进行比对;
[0205] 第二确定模块1104,用于若所生成的第一用户的接触者追踪身份标识中,存在至少一个与本地存储的接触者追踪身份标识相同的接触者追踪身份标识,则确定第二终端对应的第二用户为第一用户的接触者。
[0206] 由图9、10、11所示的框图可知,本申请中,使用SE‑SIM卡的智能终端通过低功耗蓝牙技术实现某种特定场景下的接触者追踪需求(例如:当前的疫情下感染者的接触者追踪)。接触者追踪身份标识是在终端本地生成的,且接触者追踪身份标识的还原与匹配过程均是在终端本地完成的。也就是说,本申请提供的是一种去中心化的、分布式的接触者追踪方法,接触者追踪后端平台除在监管方有需求时,记录第一用户的定位(经用户授权,或根据相关法律法规进行调整)外,不会存储与用户隐私相关的数据,此方法可避免用户隐私的泄露。
[0207] 图12示出了一种网络设备120,包括:处理器1201、存储器1202及存储在存储器1202上并可在处理器1201上运行的程序,程序被处理器1201执行时实现如上述实施例所述的接触者追踪方法的步骤。
[0208] 本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现上述实施例所述的接触者追踪方法的步骤,且能达到相同的技术效果,为避免重复,这里不再赘述。其中,所述的计算机可读存储介质,如只读存储器(Read‑Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等。
[0209] 需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
[0210] 通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
[0211] 上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,均属于本发明的保护之内。