[发明专利]一种实现DDS域参与者安全认证的方法

说明书

本发明提供了一种实现DDS域参与者安全认证的方法，本发明设计认证文件组件，其部署在各个DDS节点上，每个DDS节点上配置认证文件微服务的IP、端口号、SFTP用户名和密码；DDS节点上电后会定时从认证文件微服务同步最新的加解密证书文件信息；同时支持直接把相应的加解密证书文件拷贝到本地。通过认证文件微服务，统一规范了加解密证书的管理，降低了加解密证书的维护难度和成本，对于泄露的秘钥文件只要在认证文件微服务删除即可，各个DDS节点在同步时会自动把泄露的秘钥文件删除。针对秘钥泄露的情况，本发明提出了认证数据规则，即使秘钥泄露，若不知道数据的认证规则，则不能通过安全认证，不能加入当前DDS的域中。

技术领域

本发明属于分布式通信技术领域，尤其涉及一种实现DDS域参与者安全认证的方法。

背景技术

随着信息化的建设发展，需要面对多变的海量数据信息，实时、高效、高速的数据交互具有至关重要的地位。因此，建立实时性强、可靠性高、安全性好的信息传输中间件，提高系统互联能力，满足系统内各种信息交换和共享需求，并解决应用软件之间的数据共享和集成问题是亟待解决的问题。

数据分发服务DDS(Data Distribution Service)是由对象管理组织制定的一个分布式实时通信中间件标准，其支持的发布订阅模式为应用提供了灵活解耦能力，并且有丰富的QoS(Quality of Service，服务质量)，DDS能够很好地满足物联网系统的功能和性能要求。目前，DDS已被广泛应用于多种工业物联网领域，包括能源、医疗、机器人等。

DDS规范包括域参与者、发布者、订阅者、数据类型、数据写入者、数据读取者、主题、内置主题和QoS等。在具体的产品实现中，DDS处于操作系统之上、用户应用程序之下，可以很好的屏蔽底层系统、总线的异构等细节，对应用数据提供统一的API接口，具体如图1所示。

随着DDS越来越多的被使用，尤其在各种无线智能设备中的广泛的应用。在充分利用DDS自动加入域的功能的同时，也带来了安全的问题，如何确认加入当前域的节点是合法的，成了当前需要解决的问题。当前有提出各个节点加入的域参与者通过都通过第三方认证服务中心认证，这个方式有一个致命的问题，有单点故障的风险，并违背了DDS的动态的理念；还有提出采用基于X.509等认证方式，域参与者之间通过协商动态秘钥的方式进行通信认证，在实际业务场景中，DDS是通过组播(组播底层是采用的UDP协议)的方式进行通信，来发现域参与者的，而这种基于X.509的认证方式一般都需要使用TCP协议，且是两点之间通信；需要建立新的链路来进行认证消息的通信，现在有的DDS自动发现机制没有办法直接实现该方法，且也没有办法实现不同厂商之间互通。针对目前的现状，亟需提供一个新的方法能够简单，在现有DDS标准协议条件下能够支持不同厂商的DDS产品相互实现域参与者安全认证。

发明内容

发明目的：本发明所要解决的技术问题是针对现有技术的不足，提供一种实现DDS(Data Distribution Service，数据分发服务)域参与者安全认证的方法，包括如下步骤：

步骤1，所有上电的DDS节点会自动读取当前系统配置，根据系统配置项信息，自动向证书文件微服务申请同步当前最新的证书文件到当前DDS节点的指定目录下；

步骤2，新加入域的DDS节点，根据当前节点的系统配置，判断是否需要域参与者安全认证，如果需要，选择当前的加密文件，使用已选择的加密文件对认证数据进行加密处理，然后执行步骤3；如果不需要，直接执行步骤4；

步骤3，新加入域的DDS节点，在DDS协议规范中的DomainParticipantQoS(域参与者服务质量)的UserDataQosPolicy(用户数据实体策略)参数的第0-31位填写选择加密证书的名称，第32-36位填写加密数据长度信息；37之后填写加密数据；

步骤4，新加入域的DDS节点发送SPDP消息；