[发明专利]一种基于KP-ABE的DDS访问控制和加解密系统及方法

权利要求书

1.一种基于KP-ABE的DDS访问控制和加解密方法，实现一方数据发布，多方数据订阅，其特征在于：

DDS发布方：将主题数据的属性从DDS层面和应用层面进行定义，定义后的主题数据属性为{域ID，主题，应用层属性集合}，利用数据属性生成发布数据KP-ABE密文，将密文和发布数据的哈希值一起发布；

授权中心：根据KP-ABE利用订阅权限访问控制结构为每个DDS订阅方生成用户私钥，通过指定访问控制结构控制用户访问权限；

DDS订阅方：利用用户私钥解密KP-ABE密文及哈希值，当且仅当KP-ABE密文中关联的主题数据属性集合满足用户私钥关联的访问控制结构时，DDS订阅方才能成功解密数据，订阅方解密数据后计算哈希值，验证其与原始哈希值是否一致，从而防止发布数据在传输过程中被恶意用户篡改。

2.如权利要求1所述的一种基于KP-ABE的DDS访问控制和加解密方法，其特征在于，所述数据发布阶段具体包括如下步骤：

S1：DDS发布方从用户程序中确定主题数据的域名、主题名和应用层属性集合，生成主题数据属性Ac；

S2：授权中心根据权限文件提取的订阅用户的权限访问控制结构T_s，并根据KP-ABE密文，为该订阅用户生成用户私钥SK；

S3：利用主题数据属性Ac对主题数据Data进行KP-ABE加密：C＝Encrypt(Ac,Data)，利用哈希函数计算Hash(Data)，将密文及哈希值{C,Hash(Data)}作为负载一并发布。

3.如权利要求2所述的一种基于KP-ABE的DDS访问控制和加解密方法，其特征在于：所述数据订阅阶段，DDS订阅方通过用户私钥SK对接收到的主题密文数据C进行解密：Data＝Decrypt(SK,C)，若解密成功，且解密出数据的哈希值与收到的Hash(Data)一致，则表明该DDS用户具有订阅该主题数据的权限且发布数据在传输过程中没有篡改，将解密的主题数据Data提交给上层应用；否则，表明订阅端不具备订阅该主题的权限，主题数据订阅失败。

4.如权利要求2或3所述的一种基于KP-ABE的DDS访问控制和加解密方法，其特征在于：所述权限访问控制结构T_s分别从DDS层面和应用层面描述了用户的访问控制权限，其中，DDS层面限定用户的DomainID和可订阅的主题列表，应用层面限定用户可订阅的应用层数据属性。

5.如权利要求4所述的一种基于KP-ABE的DDS访问控制和加解密方法，其特征在于：所述应用层的数据属性访问结构可根据具体数据进行扩展。

6.使用如权利要求1所述方法的基于KP-ABE的DDS访问控制和加解密系统，其特征在于，包括数据发布模块和数据订阅模块：

所述数据发布模块将主题数据的属性定义为{域ID，主题，应用层属性集合}，利用数据属性生成发布数据KP-ABE密文，将密文和发布数据的哈希值一起发布，由数据订阅模块中的待订阅用户待接收；同时，数据发布模块中的授权中心根据KP-ABE利用订阅权限访问控制结构为每个待订阅用户生成用户私钥；

所述数据订阅模块中的待订阅用户，在订阅主题时，利用用户私钥解密KP-ABE密文及哈希值，当且仅当KP-ABE密文中关联的主题数据属性集合满足用户私钥关联的访问控制结构时，DDS订阅方才能成功解密数据，订阅方解密数据后计算哈希值，验证其与原始哈希值是否一致，从而防止发布数据在传输过程中被恶意用户篡改。