买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：东南大学

摘要：本发明公开了一种DDS分布式系统的数据访问控制方法，对数据的发布和订阅过程进行主题级的细粒度访问控制。该方法从数据资源角度出发，首先将主题数据的访问控制权限分解为发布权限和订阅权限，其次根据主题访问控制权限与用户属性的相关性分发权限密钥对，然后在DDS发现匹配过程中增加发布权限签名认证，最后在DDS发布订阅过程中利用CP‑ABE技术限制主题订阅范围，形成可灵活定义的一对多数据共享权限控制方案。本发明将DDS通信流程与属性基加密和签名认证技术相结合，设计了与DDS发布订阅的松耦合和一对多特性相匹配、并保证数据分发服务机密性、真实性的安全通信方案，解决了消息发布订阅过程中构件间非授权发布和非授权订阅的安全问题。

主权项：1.一种DDS分布式系统的数据访问控制方法，其特征在于：包括以下步骤：S1、将域参与者之间的数据访问控制权限划分为主题的发布权限和订阅权限，确定主题的发布访问控制策略和订阅访问控制策略，并根据用户的属性集合和端点类型端分发相应权限的权限密钥对；端点类型包括发布端或订阅端，所述步骤S1具体包括以下步骤：S11、DDS数据管理中心确定主题数据的发布访问控制策略和订阅访问控制策略，并据此生成该主题的发布访问控制结构TP和订阅访问控制结构Ts；S12、DDS数据管理中心为该主题生成用于签名认证的非对称密钥对{GK，VK}；S13、当DDS用户加入DDS分布式系统时，DDS数据管理中心根据其拥有的属性集合生成相应属性密钥SK；S14、如新加入DDS用户为发布者，验证其属性集合是否符合发布访问控制策略；如符合，则该用户为主题的合法发布者，为其生成发布端权限密钥对{GK，Ts}；如不符合，则该用户不具备该主题的发布权限，返回验证失败；S15、如新加入DDS用户为订阅者，验证其属性集合是否符合订阅访问控制策略；如符合，则该用户为主题的合法订阅者，为其生成订阅端权限密钥对{VK，SK}；如不符合，则该用户不具备该主题的订阅权限，返回验证失败；S2、结合DDS自动发现匹配过程，利用签名认证技术实现用户发布权限的认证；所述步骤S2中在DDS发现匹配过程简单端点发现协议SEDP阶段增加发布权限的签名认证过程，签名认证成功才能完成DataWriter和DataReader实体发布-订阅关系的建立，防止未授权的发布者发布主题数据，具体以下步骤：S21、SEDP阶段中，发布者在端点信息DiscoveredWriterData报文中增加访问控制字段，使用签名密钥GK对发布主题名Topic进行数字签名：Sign＝EnGKHashTopic，将Sign填入访问控制字段；S22、SEDP阶段中，订阅者收到发布者DiscoveredWriterData报文后，解析其中的访问控制字段，得到数字签名Sign，使用认证密钥VK，对数字签名Sign进行认证：H1＝DeVKSign，H2＝HashTopic；S23、比较步骤S22中的散列值H1和H2是否相等；若两者相等，则认证成功，订阅者在SEDP阶段对远端发布者的DataWriter的发布相关主题权限匹配成功，继续为本地订阅者的DataReader和远端发布者的DataWriter建立发布-订阅关系；否则，认证失败，说明是远端发布者的DataWriter不具备发布相关主题的权限，阻止本地订阅者的DataReader与远端发布者的DataWriter建立连接，SEDP阶段发布-订阅关系建立失败S3、结合DDS发布订阅过程，利用CP-ABE技术实现用户订阅权限的认证；所述步骤S3中，在发布订阅过程中利用CP-ABE技术，实现用户订阅权限的认证，防止未授权的订阅者订阅主题数据，具体包括以下步骤：S31、当合法的DDS发布者发布主题数据时，发布端利用主题的订阅访问控制结构Ts，对主题数据Data进行CP-ABE加密：C＝EnTsData，将密文C发布出去；S32、当DDS用户订阅主题时，订阅端通过属性密钥SK对接收到的主题密文数据C进行解密：Data＝DeSKC；若解密成功，则表明该DDS用户具有订阅该主题的权限，将解密的主题数据Data提交给上层应用；否则，表明订阅端不具备订阅该主题的权限，主题数据接收失败。

全文数据：

权利要求：

百度查询： 东南大学 一种DDS分布式系统的数据访问控制方法