(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210574744.9 (22)申请日 2022.05.25 (71)申请人 东南大学 地址 210096 江苏省南京市玄武区四牌楼 2 号 (72)发明人 沈卓炜　陈莹　高鹏　 (74)专利代理 机构 南京众联专利代理有限公司 32206 专利代理师 叶倩 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 一种基于KP-ABE的DDS访问控制和加解密系 统及方法 (57)摘要 本发明公开了一种基于 KP‑ABE的DDS访问控 制和加解密系统及方法， 从数据资源角度出发， 将主题数据的属性定义为{域ID， 主题， 应用层属 性集合}， 并由授权中心根据权 限访问控制结构 生成订阅方的KP ‑ABE用户私钥； DDS发布方利用 主题数据的属性对发布数据进行KP ‑ABE加密， 并 将密文和发布数据哈希值一起发布出去， DDS订 阅方利用用户私钥对发布数据密文解密， 当且仅 当KP‑ABE密文中关联的主题数据属性集合满足 用户私钥关联的访问控制结构时， DDS订阅方才 能成功解密数据， 并通过计算验证哈希值， 防止 发布数据在传输过程中被恶意用户篡改， 本发明 将DDS发布订阅流程与KP ‑ABE属性基加密和哈希 函数相结合， 实现了高效一对多加密通信， 解决 了非授权订阅、 数据泄 露和篡改的安全问题。 权利要求书2页 说明书6页 附图5页 CN 115051839 A 2022.09.13 CN 115051839 A 1.一种基于KP ‑ABE的DDS访问控制和加解密方法， 实现一方数据发布， 多方数据订阅， 其特征在于： DDS发布方： 将主题数据的属性从DDS层面和应用层面进行定义， 定义后的主题数据属 性为{域ID， 主题， 应用层属性集合}， 利用数据属性生成发布数据KP ‑ABE密文， 将密文和发 布数据的哈希值 一起发布； 授权中心： 根据KP ‑ABE利用订阅权限访问控制结构为每个DDS订阅方生成用户私钥， 通 过指定访问控制结构控制用户访问权限； DDS订阅方： 利用用户私钥解密KP ‑ABE密文及哈希值， 当且仅当KP ‑ABE密文中关联的主 题数据属性集合满足用户私钥关联的访问控制结构时， DDS订阅方才能成功 解密数据， 订阅 方解密数据后计算哈希值， 验证其与原始哈希值是否一致， 从而防止发布数据在传输过程 中被恶意用户篡改。 2.如权利要求1所述的一种基于KP ‑ABE的DDS访问控制和加解密方法， 其特征在于， 所 述数据发布阶段 具体包括如下步骤： S1： DDS发布方从用户程序中确定主题数据的域名、 主题名和应用层属性集合， 生成主 题数据属性Ac； S2： 授权中心根据权限文件提取的订阅用户的权限访问控制结构Ts， 并根据KP ‑ABE密 文， 为该订阅用户生成用户私钥SK； S3： 利用主题数据属 性Ac对主题数据D ata进行KP ‑ABE加密： C＝Encrypt(Ac,Data)， 利 用哈希函数计算Hash(Data)， 将密文及哈希值{C,Hash(Data)}作为负载一并发布。 3.如权利要求2所述的一种基于KP ‑ABE的DDS访问控制和加解密方法， 其特征在于： 所 述数据订阅阶段， DDS订阅方通过用户私钥SK对接收到的主题密文数据C进行解密： Dat a＝ Decrypt(SK,C)， 若解密 成功， 且解密出数据的哈希值与收到的Hash(Data)一致， 则表明该 DDS用户具有订阅该主题数据的权限且发布数据在传输过程中没有篡改， 将解密的主题数 据Data提交给 上层应用； 否则， 表明订阅端不具 备订阅该主题的权限， 主题数据订阅失败。 4.如权利 要求2或3所述的一种基于KP ‑ABE的DDS访问控制和加解密方法， 其特征在于： 所述权限访问控制结构Ts分别从DDS层面和应用层面描述了用户的访问控制权限， 其中， DDS层面限定用户的DomainID和可订阅的主题列表， 应用层面限定用户可订阅的应用层数 据属性。 5.如权利要求4所述的一种基于KP ‑ABE的DDS访问控制和加解密方法， 其特征在于： 所 述应用层的数据属性访问结构可根据具体数据进行扩展。 6.使用如权利要求1所述方法的基于KP ‑ABE的DDS访问控制和加解密系统， 其特征在 于， 包括数据发布模块和数据订阅模块： 所述数据发布模块将主题数据的属性定义为{域ID， 主题， 应用层属性集合}， 利用数据 属性生成发布数据KP ‑ABE密文， 将密文和发布数据的哈希值一起发布， 由数据订阅模块中 的待订阅用户待接收； 同时， 数据发布模块中的授权中心根据KP ‑ABE利用订阅权限访问控 制结构为每 个待订阅用户生成用户私钥； 所述数据订阅模块中的待订阅用户， 在订阅主题时， 利用用户私钥解密KP ‑ABE密文及 哈希值， 当且仅当KP ‑ABE密文中关联的主题数据属性集合满足用户私钥关联的访问控制结 构时， DDS订阅方才能成功解密数据， 订阅方解密数据后计算哈希值， 验证其与原始哈希值权　利　要　求　书 1/2 页 2 CN 115051839 A 2是否一致， 从而防止发布数据在 传输过程中被恶意用户篡改。权　利　要　求　书 2/2 页 3 CN 115051839 A 3