CN115051839B - 一种基于kp-abe的dds访问控制和加解密系统及方法 - Google Patents

一种基于kp-abe的dds访问控制和加解密系统及方法 Download PDF

Info

Publication number
CN115051839B
CN115051839B CN202210574744.9A CN202210574744A CN115051839B CN 115051839 B CN115051839 B CN 115051839B CN 202210574744 A CN202210574744 A CN 202210574744A CN 115051839 B CN115051839 B CN 115051839B
Authority
CN
China
Prior art keywords
data
dds
access control
abe
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210574744.9A
Other languages
English (en)
Other versions
CN115051839A (zh
Inventor
沈卓炜
陈莹
高鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Southeast University
Original Assignee
Southeast University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Southeast University filed Critical Southeast University
Priority to CN202210574744.9A priority Critical patent/CN115051839B/zh
Publication of CN115051839A publication Critical patent/CN115051839A/zh
Application granted granted Critical
Publication of CN115051839B publication Critical patent/CN115051839B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种基于KP‑ABE的DDS访问控制和加解密系统及方法,从数据资源角度出发,将主题数据的属性定义为{域ID,主题,应用层属性集合},并由授权中心根据权限访问控制结构生成订阅方的KP‑ABE用户私钥;DDS发布方利用主题数据的属性对发布数据进行KP‑ABE加密,并将密文和发布数据哈希值一起发布出去,DDS订阅方利用用户私钥对发布数据密文解密,当且仅当KP‑ABE密文中关联的主题数据属性集合满足用户私钥关联的访问控制结构时,DDS订阅方才能成功解密数据,并通过计算验证哈希值,防止发布数据在传输过程中被恶意用户篡改,本发明将DDS发布订阅流程与KP‑ABE属性基加密和哈希函数相结合,实现了高效一对多加密通信,解决了非授权订阅、数据泄露和篡改的安全问题。

Description

一种基于KP-ABE的DDS访问控制和加解密系统及方法
技术领域
本发明属于信息安全技术领域,尤其涉及信息安全的访问控制技术,主要涉及了一种基于KP-ABE的DDS访问控制和加解密系统及方法。
背景技术
DDS(Data Distribution Service,DDS)采用数据为中心的发布/订阅模型,通过服务质量(Quality of Service,QoS)控制服务行为,为分布式实时系统中数据的发布、传递和接收提供松耦合、高性能、高可靠和可扩展的解决方案。DDS在时间、空间和数据传输上的松耦合特性,使发布订阅双方实体间在公开信道中以松散的方式进行数据传输,给通信带来便利的同时,也不可避免的带来一些安全问题。如图1所示,订阅者非法订阅主题,窃取隐私数据;数据以明文方式在公开信道传输,造成信息泄露、数据被非法用户篡改等,都严重威胁数据通信安全。因此,DDS通信需要与安全机制相结合以应对发布订阅过程中的多种安全威胁。
当前技术往往借助传统的密码学理论,如对称密钥体制或非对称密钥体制,从用户维度出发来实现DDS发布订阅过程中数据的访问控制和安全通信,该方法主要存在以下问题:(1)传统的DDS访问控制方法将关注重点放在发布订阅双方的身份认证上,通信前发布订阅两方需先交换身份信息、协商共享密钥,一旦双方匹配,订阅用户可订阅发布用户发布的所有数据,不仅易造成双方身份信息的泄露,也缺乏针对不同主题数据资源的细粒度控制能力;(2)传统的DDS数据加解密方法均采用一对一方式,对于同一发布数据,发布者需要根据订阅者的不同采用不同的密钥进行加密,以便不同的订阅者均可解密数据,导致数据加解密效率偏低;对于不同发布方的相同主题数据,订阅者需要采用不同的密钥进行解密,导致密钥管理难度增大;(3)传统的安全机制在与DDS结合过程中,将数据的访问控制和加解密相隔离,分别采用不同的技术来实现,增加了系统的复杂度。
属性基加密(Attribute-Based Encryption,ABE)具有不关注实体身份、一方加密多方解密的特点,与DDS中“一方发布、多方订阅”的松耦合通信模式相吻合,具有应用于DDS实现加密通信和访问控制的潜在优势。部分研究将DDS与密文策略属性基加密(CiphertextPolicy Attribute-Based Encryption,CP-ABE)相结合,实现发布订阅双方松耦合、一对多数据通信中的访问控制和加解密。但是,该方法从用户角度出发定义属性,将访问控制的重点放在订阅方所拥有的属性上,与DDS以数据为中心的发布订阅本质大相径庭;并且同一主题的访问控制权限由不同的发布方分别控制,访问控制策略难统一,不适用于统一实施安全管理的企业应用场景。
因此,为充分体现DDS以数据为中心、发布订阅双方松耦合和“一方发布,多方订阅”的通信特点,其访问控制和数据加解密的方法需要从数据维度出发,选取无关于用户身份、具有“一对多”特性和将集中式访问控制与加解密相融合的新型密码技术,实现更安全、更高效的DDS数据通信。
发明内容
本发明正是针对现有技术中的问题,提供一种基于KP-ABE的DDS访问控制和加解密系统及方法,从数据资源角度出发,将主题数据的属性定义为{域ID,主题,应用层属性集合},并由授权中心根据权限访问控制结构生成订阅方的KP-ABE用户私钥;DDS发布订阅双方完成发现匹配过程后,DDS发布方利用主题数据的属性对发布数据进行KP-ABE加密,并将密文和发布数据哈希值一起发布出去,DDS订阅方利用用户私钥对发布数据密文解密,当且仅当KP-ABE密文中关联的主题数据属性集合满足用户私钥关联的访问控制结构时,DDS订阅方才能成功解密数据,订阅方解密数据后计算哈希值,验证其与原始哈希值是否一致,从而防止发布数据在传输过程中被恶意用户篡改。本发明将DDS发布订阅流程与KP-ABE属性基加密和哈希函数相结合,实现了发布方和订阅方之间的高效一对多加密通信解决了数据发布订阅过程中非授权订阅、数据泄露和篡改的安全问题。
为了实现上述目的,本发明采取的技术方案是:一种基于KP-ABE的DDS访问控制和加解密方法:
DDS发布方:将主题数据的属性Ac从DDS层面和应用层面进行定义,定义后的主题数据属性为{域ID,主题,应用层属性集合},利用数据属性生成发布数据KP-ABE密文,将密文和发布数据的哈希值一起发布;
授权中心:根据KP-ABE利用订阅权限访问控制结构Ts为每个DDS订阅方生成用户私钥,通过指定访问控制结构控制用户访问权限;
DDS订阅方:利用用户私钥解密KP-ABE密文及哈希值,当且仅当KP-ABE密文中关联的主题数据属性集合满足用户私钥关联的访问控制结构时,DDS订阅方才能成功解密数据,订阅方解密数据后计算哈希值,验证其与原始哈希值是否一致,从而防止发布数据在传输过程中被恶意用户篡改。
为了实现上述目的,本发明还采取的技术方案是:基于KP-ABE的DDS访问控制和加解密系统,包括数据发布模块和数据订阅模块:
所述数据发布模块将主题数据的属性定义为{域ID,主题,应用层属性集合},利用数据属性生成发布数据KP-ABE密文,将密文和发布数据的哈希值一起发布,由数据订阅模块中的待订阅用户待接收;同时,数据发布模块中的授权中心根据KP-ABE利用订阅权限访问控制结构为每个待订阅用户生成用户私钥;
所述数据订阅模块中的待订阅用户,在订阅主题时,利用用户私钥解密KP-ABE密文及哈希值,当且仅当KP-ABE密文中关联的主题数据属性集合满足用户私钥关联的访问控制结构时,DDS订阅方才能成功解密数据,订阅方解密数据后计算哈希值,验证其与原始哈希值是否一致,从而防止发布数据在传输过程中被恶意用户篡改。
与现有技术相比,本发明具有的有益效果:
(1)定义了应用内容级、基于属性的DDS访问控制模型,从数据资源角度利用授权中心进行统一的订阅方权限配置和管理,实现数据分发服务中一对多、细粒度的访问控制,弥补了现有DDS访问控制方法中访问控制粒度太粗(与应用数据无关、基于用户)、访问控制方式与DDS发布订阅通信特点不匹配和权限一致性难统一等不足,适用于由系统管理员统一实施访问控制管理的系统。
(2)通过将KP-ABE技术与DDS发布订阅过程相结合,实现与DDS发布订阅特点相一致的数据加解密机制,不仅解决了发布方在传统密码体制中一对一加密造成的同一主题重复加密、消息复杂度偏高等问题,也实现了订阅方一个密钥解密多个主题数据的功能,避免了订阅方为每个主题分别维护密钥、密钥管理复杂的问题。
(3)通过使用KP-ABE技术将DDS数据的访问控制和加解密相融合,仅需一次加解密操作就能完成两项安全功能,不仅简化了DDS增加安全机制的复杂度,也减少了安全机制对DDS性能的影响。
(4)将KP-ABE技术和哈希函数与DDS发布订阅过程相融合,不仅解决主题数据未授权的订阅问题,也应对传输过程中数据泄露和篡改等安全威胁,保证了DDS发布订阅中的可用性、机密性和完整性,安全功能更加完备。
附图说明
图1为DDS安全威胁示意图;
图2为本发明提出的基于KP-ABE的DDS访问控制和加解密方法流程图;
图3为本发明权限访问控制结构的结构示意图;
图4为本发明实施例2中User1订阅权限访问控制结构表示图;
图5为本发明实施例2中User2订阅权限访问控制结构表示图;
图6为本发明实施例2中User3订阅权限访问控制结构表示图;
图7为本发明实施例2中User4订阅权限访问控制结构表示图。
具体实施方式
下面结合附图和具体实施方式,进一步阐明本发明,应理解下述具体实施方式仅用于说明本发明而不用于限制本发明的范围。
实施例1
基于KP-ABE的DDS访问控制和加解密系统,包括数据发布模块和数据订阅模块:
所述数据发布模块将主题数据的属性定义为{域ID,主题,应用层属性集合},利用数据属性生成发布数据KP-ABE密文,将密文和发布数据的哈希值一起发布,由数据订阅模块中的待订阅用户待接收;同时,数据发布模块中的授权中心根据KP-ABE利用订阅权限访问控制结构为每个待订阅用户生成用户私钥;
所述数据订阅模块中的待订阅用户,在订阅主题时,利用用户私钥解密KP-ABE密文及哈希值,当且仅当KP-ABE密文中关联的主题数据属性集合满足用户私钥关联的访问控制结构时,DDS订阅方才能成功解密数据,订阅方解密数据后计算哈希值,验证其与原始哈希值是否一致,从而防止发布数据在传输过程中被恶意用户篡改。
本实施例中系统的基于KP-ABE的DDS访问控制和加解密方法,实现发布方“一次加密,多方解密”,防止未授权的订阅者订阅数据和信息泄露,利用哈希函数防止数据非法篡改,具体包括如下步骤:
在数据发布阶段:
S1、DDS发布方从用户程序中确定主题数据的域名、主题名和应用层属性集合,生成主题数据的属性Ac,具体如下表1;
表1主题数据属性
主题数据属性(Ac) 属性1 属性2 属性3
名称 域名 主题名 应用层属性集合
缩写 DomainID Topicname {attribute1,…,attributen}
S2、授权中心根据权限文件提取的订阅用户的权限访问控制结构Ts,并根据KP-ABE系统,为该订阅用户生成用户私钥SK;所述权限访问控制结构Ts如图3所示,分别从DDS层面和应用层面描述了用户的访问控制权限,其中,DDS层面限定用户的DomainID和可订阅的主题列表,应用层面限定用户可订阅的应用层数据属性,且应用层的数据属性访问结构可根据具体数据进行灵活扩展。
S3、当DDS发布用户发布主题数据时,利用主题数据属性Ac对主题数据Data进行KP-ABE加密:C=Encrypt(Ac,Data),利用哈希函数计算Hash(Data),将{C,Hash(Data)}作为负载发送。
在数据订阅阶段,当DDS订阅用户订阅主题时,订阅端通过用户私钥SK对接收到的主题密文数据C进行解密:Data=Decrypt(SK,C)。若解密成功,且解密出数据的哈希值与收到的Hash(Data)一致,则表明该DDS用户具有订阅该主题数据的权限且发布数据在传输过程中没有篡改,将解密的主题数据Data提交给上层应用;否则,表明订阅端不具备订阅该主题的权限,主题数据订阅失败。利用KP-ABE技术实现用户订阅权限的访问控制和发布数据机密性保护,利用哈希函数实现发布数据完整性保护
本发明解决DDS分布式系统的数据访问控制和加解密问题,针对DDS以数据为中心的一对多、松耦合的通信特点,提供一种基于KP-ABE的DDS访问控制和加解密方法。密钥策略属性基加密(Key Policy Attribute-Based Encryption,KP-ABE)从数据角度出发定义属性,将访问控制的重点放在数据所拥有的属性上,与DDS以数据为中心的发布订阅特点更加契合;且用户访问权限由授权中心统一指定访问结构进行控制,更适用于统一实施安全管理的企业场景。为实现订阅方的访问控制和发布数据的一对多加密,从数据维度出发,引入KP-ABE技术,将主题数据的属性定义为{域ID,主题,应用层属性集合},将订阅方的访问控制策略转化为KP-ABE中与用户私钥关联的访问控制结构,发布方根据主题数据属性加密数据,当且仅当密文中关联的主题数据属性集合满足用户私钥关联的访问控制结构时,订阅方才能成功解密数据,从而通过一次加解密防止未授权的订阅和数据泄露。为验证发布数据的完整性,引入哈希函数,发布方对发布数据进行哈希计算,并将哈希值与发布数据密文作为数据负载一同发送到DDS全局数据空间中,订阅方解密数据后对其进行相同计算,验证与原始哈希值是否一致,从而防止发布数据在传输过程中被恶意用户篡改。
实施例2:
本实施例中,假设发布方要发布Data1、Data2和Data3共三条数据,假设系统中有四个订阅用户User1、User2、User3以及User4,一种基于KP-ABE的DDS访问控制和加解密方法,包括以下步骤:
首先,DDS发布方根据从用户程序中确认的主题数据的域名、主题名和应用层属性集合,生成主题数据的属性Ac。Data1、Data2、Data3的主题数据属性分别为Ac1、Ac2、Ac3,如下表2所示,分别表示主题数据Data1是由企业1的运输部门产生的关于客户和订单的信息,Data2是由企业1的生产部门产生的关于客户和订单的信息,Data3由企业1的运输部门产生的关于目的地和运输方式的信息。
表2主题数据属性表
其次,假设系统中的四个订阅用户User1、User2、User3以及User4,其对应的订阅权限访问控制结构为Ts1、Ts2、Ts3以及Ts4,如图4所示,User1可以订阅主题列表为{运输OR生产}、DomainID为企业1、应用层属性集合为{(客户信息OR目的地)AND(订单信息OR运输方式)}的数据,如图5所示,User2可以订阅主题为生产、DomainID为企业1、应用层属性集合为{客户信息AND订单信息}的数据,如图6所示,User3可以订阅主题列表为{运输OR生产}、DomainID为企业1、应用层属性集合为{客户信息AND订单信息}的数据,如图7所示,User4可以订阅主题列表为{运输OR生产}、DomainID为企业1、应用层属性集合为{(客户信息OR订单信息)AND(目的地OR运输方式)}的数据。授权中心根据相应订阅用户的权限访问控制结构,利用KP-ABE系统为User1、User2、User3和User4生成用户私钥SK1、SK2、SK3和SK4,并安全分发给相应DDS用户。
然后,当DDS发布用户发布三条主题数据时,利用主题数据属性Aci对主题数据Datai进行KP-ABE加密:Ci=Encrypt(Aci,Datai),利用哈希函数计算Hash(Datai),将{Ci,Hash(Datai)}作为负载发送到DDS全局空间中。
表3实施例结果分析表
最后,当DDS订阅用户订阅主题时,订阅用户利用各自的用户私钥SKi对接收到的主题密文数据Ci进行解密:Datai=Decrypt(SKi,Ci)。如表3所示,根据Ts1、Ts2、Ts3、Ts4与Ac1、Ac2、Ac3的匹配关系可知,User1可以成功解密Data1、Data2和Data3,User2仅成功解密Data2,User1和User2由于可订阅的主题属性不同,对于Data1和Data2解密权限也不同,突出了对DDS层面的访问控制,User3仅成功解密Data1和Data2,User1和User3由于可订阅的应用层属性集合不同,对于Data1和Data3解密权限也不同,突出了对应用层属性的访问控制,User4由于其访问结构中包含的属性不满足DDS全局数据空间提供的主题数据,无法成功解密Data1、Data2和Data3。解密成功表明该用户具备订阅相应主题数据的权限,解密失败表明该用户无订阅相应主题数据的权限,实现了DDS数据属性维度的访问控制和主题数据机密性保护过程。而后计算解密数据的哈希值与收到的Hash(Datai)进行比较,若一致则表明该主题数据在传输过程中无恶意篡改,否则表明该主题数据在传输过程中被恶意篡改,实现了主题数据完整性保护过程。至此完成基于KP-ABE的访问控制和加解密过程。
本发明从DDS属性层面和应用级属性层面为主题数据添加属性描述,系统统一制定访问控制策略,即确定订阅者可合法订阅的主题以及需满足的访问控制结构,并据此生成订阅者的KP-ABE用户私钥。发布者无需指定某一个主题的合法订阅者的身份,只需根据主题数据的属性对其进行一次加密,不同的订阅者使用各自的用户私钥解密主题数据,即可实现对该主题的订阅权限访问控制和数据的机密性、完整性保护。
需要说明的是,以上内容仅仅说明了本发明的技术思想,不能以此限定本发明的保护范围,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰均落入本发明权利要求书的保护范围之内。

Claims (6)

1.一种基于KP-ABE的DDS访问控制和加解密方法,实现一方数据发布,多方数据订阅,其特征在于:
DDS发布方:将主题数据的属性从DDS层面和应用层面进行定义,定义后的主题数据属性Ac为{域ID,主题,应用层属性集合},利用主题数据属性Ac对主题数据Data进行KP-ABE加密:C=Encrypt(Ac,Data),利用哈希函数计算Hash(Data),将密文及哈希值{C,Hash(Data)}作为负载一并发布;
授权中心:根据KP-ABE利用订阅权限访问控制结构为每个DDS订阅方生成用户私钥SK,通过指定权限访问控制结构控制用户访问权限;
DDS订阅方:通过用户私钥SK对接收到的主题密文数据C进行解密,当且仅当KP-ABE密文中关联的主题数据属性集合满足用户私钥关联的权限访问控制结构时,DDS订阅方才能成功解密数据,订阅方解密数据后计算哈希值,验证其与收到的Hash(Data)是否一致,从而防止发布数据在传输过程中被恶意用户篡改。
2.如权利要求1所述的一种基于KP-ABE的DDS访问控制和加解密方法,其特征在于,数据发布阶段具体包括如下步骤:
S1:DDS发布方从用户程序中确定主题数据的域名、主题名和应用层属性集合,生成主题数据属性Ac;
S2:授权中心根据权限文件提取的订阅用户的权限访问控制结构Ts,并根据KP-ABE利用订阅权限访问控制结构,为该订阅用户生成用户私钥SK;
S3:利用主题数据属性Ac对主题数据Data进行KP-ABE加密:C=Encrypt(Ac,Data),利用哈希函数计算Hash(Data),将密文及哈希值{C,Hash(Data)}作为负载一并发布。
3.如权利要求2所述的一种基于KP-ABE的DDS访问控制和加解密方法,其特征在于:数据订阅阶段,DDS订阅方通过用户私钥SK对接收到的主题密文数据C进行解密:Data=Decrypt(SK,C),若解密成功,且解密出数据的哈希值与收到的Hash(Data)一致,则表明该DDS订阅方具有订阅该主题数据的权限且发布数据在传输过程中没有篡改,将解密的主题数据Data提交给上层应用;否则,表明订阅端不具备订阅该主题的权限,主题数据订阅失败。
4.如权利要求2或3所述的一种基于KP-ABE的DDS访问控制和加解密方法,其特征在于:所述权限访问控制结构Ts分别从DDS层面和应用层面描述了用户的访问控制权限,其中,DDS层面限定用户的域ID和可订阅的主题列表,应用层面限定用户可订阅的应用层数据属性。
5.如权利要求4所述的一种基于KP-ABE的DDS访问控制和加解密方法,其特征在于:所述应用层的数据属性权限访问控制结构可根据具体数据进行扩展。
6.使用如权利要求1所述方法的基于KP-ABE的DDS访问控制和加解密系统,其特征在于,包括数据发布模块和数据订阅模块:
所述数据发布模块将主题数据的属性从DDS层面和应用层面进行定义,定义后的主题数据属性Ac为{域ID,主题,应用层属性集合},利用主题数据属性Ac对主题数据Data进行KP-ABE加密:C=Encrypt(Ac,Data),利用哈希函数计算Hash(Data),将密文及哈希值{C,Hash(Data)}作为负载一并发布,由数据订阅模块中的待订阅用户待接收;同时,数据发布模块中的授权中心根据KP-ABE利用订阅权限访问控制结构为每个DDS订阅方生成用户私钥SK,通过指定权限访问控制结构控制用户访问权限;
所述数据订阅模块中的待订阅用户,在订阅主题时,通过用户私钥SK对接收到的主题密文数据C进行解密,当且仅当KP-ABE密文中关联的主题数据属性集合满足用户私钥关联的权限访问控制结构时,DDS订阅方才能成功解密数据,订阅方解密数据后计算哈希值,验证其与收到的Hash(Data)是否一致,从而防止发布数据在传输过程中被恶意用户篡改。
CN202210574744.9A 2022-05-25 2022-05-25 一种基于kp-abe的dds访问控制和加解密系统及方法 Active CN115051839B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210574744.9A CN115051839B (zh) 2022-05-25 2022-05-25 一种基于kp-abe的dds访问控制和加解密系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210574744.9A CN115051839B (zh) 2022-05-25 2022-05-25 一种基于kp-abe的dds访问控制和加解密系统及方法

Publications (2)

Publication Number Publication Date
CN115051839A CN115051839A (zh) 2022-09-13
CN115051839B true CN115051839B (zh) 2024-01-09

Family

ID=83159513

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210574744.9A Active CN115051839B (zh) 2022-05-25 2022-05-25 一种基于kp-abe的dds访问控制和加解密系统及方法

Country Status (1)

Country Link
CN (1) CN115051839B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110099043A (zh) * 2019-03-24 2019-08-06 西安电子科技大学 支持策略隐藏的多授权中心访问控制方法、云存储系统
CN113378230A (zh) * 2021-07-05 2021-09-10 东南大学 一种dds分布式系统的数据访问控制方法
CN113949541A (zh) * 2021-09-30 2022-01-18 南京航空航天大学 一种基于属性策略的dds安全通信中间件设计方法
CN113987533A (zh) * 2021-10-22 2022-01-28 南通大学 一种基于区块链的物联网数据细粒度交易方法
CN114244851A (zh) * 2021-12-24 2022-03-25 四川启睿克科技有限公司 一种基于区块链的数据分发方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107864139B (zh) * 2017-11-09 2020-05-12 北京科技大学 一种基于动态规则的密码学属性基访问控制方法与系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110099043A (zh) * 2019-03-24 2019-08-06 西安电子科技大学 支持策略隐藏的多授权中心访问控制方法、云存储系统
CN113378230A (zh) * 2021-07-05 2021-09-10 东南大学 一种dds分布式系统的数据访问控制方法
CN113949541A (zh) * 2021-09-30 2022-01-18 南京航空航天大学 一种基于属性策略的dds安全通信中间件设计方法
CN113987533A (zh) * 2021-10-22 2022-01-28 南通大学 一种基于区块链的物联网数据细粒度交易方法
CN114244851A (zh) * 2021-12-24 2022-03-25 四川启睿克科技有限公司 一种基于区块链的数据分发方法

Also Published As

Publication number Publication date
CN115051839A (zh) 2022-09-13

Similar Documents

Publication Publication Date Title
Zhang et al. Data security and privacy-preserving in edge computing paradigm: Survey and open issues
CN113326541B (zh) 一种基于智能合约的云边协同多模式隐私数据流转方法
CN113162752A (zh) 基于混合同态加密的数据处理方法和装置
CN113378230A (zh) 一种dds分布式系统的数据访问控制方法
Tiwari et al. SecCloudSharing: Secure data sharing in public cloud using ciphertext‐policy attribute‐based proxy re‐encryption with revocation
CN113949541B (zh) 一种基于属性策略的dds安全通信中间件设计方法
Abdalla et al. Integrating the Functional Encryption and Proxy Re-cryptography to Secure DRM Scheme.
US20230041862A1 (en) Cloud-side collaborative multi-mode private data circulation method based on smart contract
CN115051839B (zh) 一种基于kp-abe的dds访问控制和加解密系统及方法
Ahuja et al. An identity preserving access control scheme with flexible system privilege revocation in cloud computing
KR20130096575A (ko) 공개키 기반 그룹 키 분배 장치 및 방법
CN112968877A (zh) 一种兼容多终端编辑器
Wang et al. A CP-ABE access control scheme based on proxy re-encryption in cloud storage
Thushara et al. A survey on secured data sharing using ciphertext policy attribute based encryption in cloud
Davidson et al. Content sharing schemes in DRM systems with enhanced performance and privacy preservation
Eswara Narayanan et al. A highly secured and streamlined cloud collaborative editing scheme along with an efficient user revocation in cloud computing
Lingwei et al. Method of secure, scalable, and fine-grained data access control with efficient revocation in untrusted cloud
CN113556236B (zh) 一种基于代理签名的能源数据中台敏感内容委托授权方法
Mercy et al. An efficient data security system for group data sharing in cloud system environment
Deng et al. Secure pay-TV for chained hotels
Wang et al. Secure Data Deduplication And Sharing Method Based On UMLE And CP-ABE
Nagarani et al. OPTIMZIED HYPERLEDGER FABRIC BLOCKCHAIN POLICY-BASED BROADCAST ACCESS AUTHORIZATION (OHFB-PBAA) SYSTEM FOR SECURED DATA SHARING IN CLOUD COMPUTING
Patil et al. Survey on Regenerating Code Based Revocable and Searchable ABE Scheme for Mobile Cloud Storage
Patil et al. Survey Paper On Modoc: Multi Owner Data Sharing Over Cloud
Mallela et al. Verifiable Delegation for Secure Outsourcing in Cloud computing

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant