基于安全协商的DDS安全通信中间件设计

doi:10.3969/j.issn.1671-1122.2021.06.003

信息网络安全 ›› 2021, Vol. 21 ›› Issue (6): 19-25.doi: 10.3969/j.issn.1671-1122.2021.06.003

基于安全协商的DDS安全通信中间件设计

沈卓炜¹^,²(), 高鹏¹^,², 许心宇¹^,²

1. 东南大学网络空间安全学院,南京 211189
2. 东南大学计算机网络和信息集成教育部重点实验室,南京 211189

收稿日期:2021-02-25 出版日期:2021-06-10 发布日期:2021-07-01
通讯作者: 沈卓炜 E-mail:zwshen@seu.edu.cn
作者简介:沈卓炜（1974—）,男,江苏,副教授,博士,主要研究方向为分布式系统与网络安全|高鹏（1986—）,男,甘肃,硕士研究生,主要研究方向为分布式系统与网络安全|许心宇（1998—）,男,安徽,硕士研究生,主要研究方向为分布式系统与网络安全
基金资助:
国家重点研发计划(2018YFB1800602)

Design of DDS Secure Communication Middleware Based on Security Negotiation

SHEN Zhuowei¹^,²(), GAO Peng¹^,², XU Xinyu¹^,²

1. School of Cyber Science and Engineering, Southeast University, Nanjing 211189, China
2. Key Laboratory of Computer Network and Information Integration(Southeast University), Ministry of Education, Nanjing 211189, China;

Received:2021-02-25 Online:2021-06-10 Published:2021-07-01
Contact: SHEN Zhuowei E-mail:zwshen@seu.edu.cn

摘要/Abstract

摘要：

针对关键核心领域中基于数据分发服务的分布式实时应用面临的安全威胁,文章以公钥基础设施为基础,提出一种支持身份认证、权限控制和数据加解密的插件化DDS安全通信中间件方案。该方案在保持API与原DDS中间件一致的同时,将安全协商过程与DDS发现机制相融合,利用自定义的安全服务质量,采用标准化的QoS协商手段,完成安全服务等级和加密算法的灵活配置,以非对称加密和对称加密相结合的方式实现数据分发的机密性和访问控制。理论分析和原型系统测试表明,文章提出的DDS安全通信中间件方案能解决数据分发过程中未授权的订阅、未授权的发布和非安全的信道传输等安全威胁,时延较原DDS通信中间件仅有少量增加,兼顾了安全性与高效性。

关键词: 数据分发服务, 中间件, 身份认证, 访问控制, 数据机密性

Abstract:

In response to the security threats faced by distributed real-time applications based on DDS in critical areas, a PKI based DDS secure communication middleware scheme is proposed, which adopts plug-in design and supports the functions of identity authentication, access control and data encryption and decryption. The scheme not only keeps the APIs consistent with the original DDS middleware, but also integrates the security negotiation process with the discovery mechanism of DDS. By using the customized security QoS and standardized QoS negotiation mechanism, the security service level and encryption algorithm can be chosen and configured flexibly. The confidentiality of data distribution is achieved by combing asymmetric encryption and symmetric encryption. Theoretical analysis and prototype system test show that the proposed DDS middleware can solve the security threats such as unauthorized subscription, unauthorized publishing and insecure channel transmission in the process of data distribution, and the delay is only slightly increased compared with the original DDS middleware. This scheme gives consideration to both security and efficiency.

Key words: data distribution service, middleware, identity authentication, access control, data confidentiality

中图分类号:

TP309

沈卓炜, 高鹏, 许心宇. 基于安全协商的DDS安全通信中间件设计[J]. 信息网络安全, 2021, 21(6): 19-25.

SHEN Zhuowei, GAO Peng, XU Xinyu. Design of DDS Secure Communication Middleware Based on Security Negotiation[J]. Netinfo Security, 2021, 21(6): 19-25.

图/表 9

图1

表1

图2

图3

图4

图5

表2

图6

图7

参考文献 12

[1]	Object Management Group. Data Distribution Service(DDS) [EB/OL]. , 2021 -01-10.
[2]	REN Haoli. Data Distribution Service: Data Centric Publish/Subscribe Communication[M]. Beijing: Tsinghua University Press, 2014.
	任昊利. 数据分发服务:以数据为中心的发布/订阅式通信[M]. 北京: 清华大学出版社, 2014.
[3]	Object Management Group. Who’s Using DDS[EB/OL]. , 2021-01-10.
[4]	MICHAUD M J, DEAN T, LEBLANC S P. Attacking OMG Data Distribution Service(DDS) Based Real-time Mission Critical Distributed Systems[C]// IEEE. 13th International Conference on Malicious and Unwanted Software(MALWARE), October 22-24, 2018, Nantucket, MA, USA. New Jersey: IEEE, 2018: 68-77.
[5]	Object Management Group. DDS Security[EB/OL]. https://www.omg.org/spec/DDS-SECURITY/1.0, 2021 -01-12.
[6]	ZHEN Chao, DI Haitao, GUO Qiuli. Research on Identity Authentication Method for Data Distribution Service[J]. Electronic Technology, 2015,44(6):44-48.
	甄超, 邸海涛, 郭秋丽. 数据分发服务身份认证方法研究[J]. 电子技术, 2015,44(6):44-48.
[7]	LI Mingjuan, YE Hong, WANG Le, et al. Design of Authentication Protocol for High-security Data Distribution Service[J]. Aeronautical Computing Technique, 2015,45(1):103-107.
	李明娟, 叶宏, 王乐, 等. 面向高安全数据分发服务的身份认证协议设计[J]. 航空计算技术, 2015,45(1):103-107.
[8]	CHEN Kaifang, LI Huiyun, LIU Song, et al. Research on Information Security for Shipboard System Based on DDS[J]. Netinfo Security, 2016,16(3):47-52.
	陈开放, 李汇云, 刘松, 等. 基于DDS舰载通信系统的信息安全分析研究[J]. 信息网络安全, 2016,16(3):47-52.
[9]	ZHANG Qingliang, QIN Yuanqing. Research on Security Assessment Index and Its Application for Shipboard Network Based on DDS[J]. Netinfo Security, 2017,17(2):73-78.
	章清亮, 秦元庆. 基于DDS通信的舰载网络安全评估指标及应用研究[J]. 信息网络安全, 2017,17(2):73-78.
[10]	ZHEN Chao, DI Haitao, GUO Qiuli, et al. Research on Access Control Method of Data Distribution Service[J]. Information & Communications, 2019(5):96-98.
	甄超, 邸海涛, 郭秋丽, 等. 数据分发服务访问控制方法研究[J].信息通信, 2019(5):96-98.
[11]	Object Management Group. The Real-time Publish-subscribe Protocol DDS Interoperability Wire Protocol[EB/OL]. , 2021-01-14.
[12]	OH S, KIM J, FOX G. Real-time Performance Analysis for Publish/Subscribe Systems[J]. Future Generation Computer Systems, 2010,26(3):318-323. doi: 10.1016/j.future.2009.09.001 URL

QoS策略	字段	语义
Security_QoS	Security_level	参与者安全防护等级
	Crypto_kind	数据加解密算法标识
	Public_ parameters	加解密算法公开参数
	Session_key	发布密钥（自动生成的对称加密密钥）

方案	文献[5]方案	文献[6]方案	本文方案
协议轮数	3	4	2
签名次数	2	2	2
签名验证次数	2	2	2
非对称加密次数	1	0	1
对称加密次数	0	1	0

[1]	张昱, 孙光民, 李煜. 基于SM9算法的移动互联网身份认证方案研究[J]. 信息网络安全, 2021, 21(4): 1-9.
[2]	王健, 赵曼莉, 陈志浩, 石波. 基于假名的智能交通条件隐私保护认证协议[J]. 信息网络安全, 2021, 21(4): 49-61.
[3]	芦效峰, 付淞兵. 属性基加密和区块链结合的可信数据访问控制方案[J]. 信息网络安全, 2021, 21(3): 7-8.
[4]	汪金苗, 谢永恒, 王国威, 李易庭. 基于属性基加密的区块链隐私保护与访问控制方法[J]. 信息网络安全, 2020, 20(9): 47-51.
[5]	吴云坤, 姜博, 潘瑞萱, 刘玉岭. 一种基于零信任的SDN网络访问控制方法[J]. 信息网络安全, 2020, 20(8): 37-46.
[6]	张骁, 刘吉强. 基于硬件指纹和生物特征的多因素身份认证协议[J]. 信息网络安全, 2020, 20(8): 9-15.
[7]	杜义峰, 郭渊博. 一种基于信任值的雾计算动态访问控制方法[J]. 信息网络安全, 2020, 20(4): 65-72.
[8]	刘晓芬, 陈晓峰, 连桂仁, 林崧. 基于d级单粒子的可认证多方量子秘密共享协议[J]. 信息网络安全, 2020, 20(3): 51-55.
[9]	刘鹏, 何倩, 刘汪洋, 程序. 支持撤销属性和外包解密的CP-ABE方案[J]. 信息网络安全, 2020, 20(3): 90-97.
[10]	喻露, 罗森林. RBAC模式下数据库内部入侵检测方法研究[J]. 信息网络安全, 2020, 20(2): 83-90.
[11]	尤玮婧, 刘丽敏, 马悦, 韩东. 基于安全硬件的云端数据机密性验证方案[J]. 信息网络安全, 2020, 20(12): 1-8.
[12]	刘利娟, 李志慧, 支丹利. 可实现身份认证的多方量子密钥分发协议[J]. 信息网络安全, 2020, 20(11): 59-66.
[13]	许盛伟, 王飞杰. 多机构授权下可追踪可隐藏的属性基加密方案[J]. 信息网络安全, 2020, 20(1): 33-39.
[14]	汪金苗, 王国威, 王梅, 朱瑞瑾. 面向雾计算的隐私保护与访问控制方法[J]. 信息网络安全, 2019, 19(9): 41-45.
[15]	韩菊茹, 杨秩, 纪兆轩, 马存庆. 基于微信小程序的文件加密系统设计与实现[J]. 信息网络安全, 2019, 19(9): 81-85.

基于安全协商的DDS安全通信中间件设计

Design of DDS Secure Communication Middleware Based on Security Negotiation

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 9

参考文献 12

相关文章 15

编辑推荐

Metrics

本文评价