数据分发服务（DDS）采用以数据为中心的发布/订阅模型,域参与者之间通过发布/订阅主题实现灵活的数据传输,适用于需要进行高效数据分发的分布式系统。由于发布/订阅通信模式的松耦合特性,DDS分布式系统往往存在着未授权的发布/订阅等安全威胁,因此,迫切需要研究访问控制机制来保证系统的安全性。但目前对于DDS访问控制机制的研究往往围绕域参与者等实体资源,进行实体接入的控制,缺少对以主题为单位的数据资源作细粒度访问控制的能力。针对上述问题,论文根据DDS分布式系统特点及其访问控制需求,提出了主题级别的细粒度数据访问控制机制。该机制通过属性基加密技术,实现对DDS一对多发布/订阅权限的动态管理,并结合签名认证和信息加密技术,实现灵活高效的发布/订阅访问控制。论文的主要工作包括:（1）提出了主题级的数据访问控制模型。该模型将域参与者之间的数据传输权限划分为主题的发布权限和订阅权限,定义了DDS用户组件、DDS数据管理者和授权中心三个基本要素,并将其交互关系抽象为权限管理和权限控制两部分:根据DDS数据管理者的访问控制策略和授权中心的权限密钥,进行权限管理;根据DDS用户组件的属性集合和主题的发布/订阅流程,进行权限控制,最终实现对DDS分布式系统中数据资源的访问控制。（2）提出了基于属性基加密的DDS分布式系统访问控制方案。通过本地发布者对主题数据的加密,防止远端订阅者未经授权订阅主题得到数据,从而解决未授权的订阅问题;通过远端发布者对主题数据的签名,本地订阅端对发布权限进行认证,从而解决未授权的发布问题。更进一步地,通过属性基加密技术对上述权限密钥进行加密分发,保证了访问控制的高效性和灵活性。（3）提出了基于RTPS自动发现机制的改进访问控制方案。为尽量降低访问控制对系统性能的影响,将签名认证技术作用于自动发现过程,从根本上控制Data Writer和Data Reader实体发布-订阅关系的建立,避免了原始方案中对同一发布订阅关系下多次数据传输的重复签名认证,从而有效减少了访问控制带来的计算开销。（4）基于上述方案,设计并实现了DDS访问控制子系统。对原型系统的功能测试和性能测试表明:论文提出的方案能够在尽量降低对DDS性能影响的同时,实现主题级的细粒度数据访问控制,提高系统安全性。