CN104641591A - 用于基于信任级别提供对共享数据的访问控制的方法和装置 - Google Patents

Abstract

提供一种用于基于信任级别提供对共享数据的访问控制的方法。一种方法包括：在第一设备处，根据基于属性的加密(ABE)方案，使用与属性关联的公共属性密钥加密数据，其中所述属性包括至少一个信任级别相关的属性，所述至少一个信任级别相关的属性表示基于所述信任级别的针对所述数据的访问条件；将加密后的数据存储到数据中心内；通过检查第二设备的用户的信任级别是否满足所述访问条件，确定所述第二设备的所述用户的资格；以及当所述第二设备的所述用户有资格时，向所述第二设备发出私有属性密钥，所述私有属性密钥与属性关联并且针对所述第二设备的所述用户个性化以便解密所述加密后的数据。

Description

用于基于信任级别提供对共享数据的访问控制的方法和装置

技术领域

本发明一般地涉及通信。更具体地说，本发明涉及基于信任级别安全并且有效地提供对共享数据的访问控制，所述信任级别例如可以基于社交网络活动、行为和体验来生成。

背景技术

通信服务提供者(例如，无线、蜂窝、因特网等)和设备制造商不断地遭遇挑战，以便例如通过提供富有吸引力的网络服务、应用和内容，为消费者提供价值和方便。一个感兴趣的领域是开发社交网络服务和其它服务，以便在用户之间建立连接并共享数据、内容或资源。一个示例性服务是可以将用户的各种个人/私有数据(例如健康记录、考试结果、工作时间表等)保存在例如由云计算服务提供者(CSP)提供的数据中心内，以便减轻用户设备的存储和维护负担。在一个实例方案中，可以在由CSP提供的数据中心内保存和维护用户的健康记录，以便在多个其它用户之间共享。显然，用户希望仅允许适当的用户访问该个人数据。例如，当需要住院用户的健康治疗时，该医院的医生可以被授予权限以便访问存储在数据中心内的用户健康记录。但是，在用户离开医院之后，例如在用户被治愈或转移到另一家医院之后，用户可能由于不满意(即，对医生的信任降低)而想要撤销医生的被授予的访问权限，和/或可能想要允许另一家医院的另一个医生访问他/她的健康记录。此外，数据中心或CSP可能不完全受信任。例如，CSP可能很想知道或恶意地泄露用户的个人数据。

发明内容

为了避免用户数据由不适当的用户访问或者由不完全受信任的数据中心或服务提供者泄露，用户可以对数据加密以便控制访问。对加密数据的访问控制意味着加密后的数据只能由具有权限的用户解密。理想的方法是对数据加密一次，并且将对应的解密密钥分发给对应的被允许用户一次，以便只有被允许用户可以使用对应的解密密钥对加密后的数据解密。但是，在社交网络服务中，被允许访问存储在数据中心内的数据的用户可能动态并且频繁地改变，例如，由于上下文的变化(例如在上面实例方案中离开医院)、用户之间的社交关系的变化，或者仅用户偏好的变化等。因此，应该频繁地改变加密后的数据和解密密钥以便实现预期安全级别。这种频繁变化大大增加了用户和服务提供者的计算和通信负载，并且使得更难以控制对共享数据的访问以便保护隐私并确保只有适当的用户具有适当的访问权限。因此，服务提供者和设备制造商面临重大技术挑战，以便例如通过一个或多个社交网络服务，安全并且有效地控制对共享数据的访问。

为了克服上述现有技术的局限性，并且为了克服在阅读和理解本说明书时将显而易见的其它局限性，本公开提供一种用于基于信任级别提供对共享数据的访问的方法，以便确保可信用户可以安全并且有效地访问共享数据。

根据一个实施例，一种方法包括在第一设备处，根据基于属性的加密(ABE)方案，使用与属性关联的公共属性密钥加密数据，其中所述属性包括至少一个信任级别相关的属性，所述至少一个信任级别相关的属性表示基于信任级别的针对所述数据的访问条件。所述方法进一步包括将加密后的数据存储到数据中心内。所述方法进一步包括通过检查第二设备的用户的信任级别是否满足所述访问条件，确定所述第二设备的所述用户的资格。所述方法进一步包括当所述第二设备的所述用户有资格时，向所述第二设备发出私有属性密钥，所述私有属性密钥与属性关联并且针对所述第二设备的所述用户个性化以便解密所述加密后的数据。

在一个示例性实施例中，所述方法可以进一步包括基于所述第一设备的用户与所述第二设备的所述用户之间的移动社交网络活动，自动评估所述第二设备的所述用户的信任级别。

在一个示例性实施例中，可以在向所述第二设备的所述用户发出所述私有属性密钥之后，重新评估所述第二设备的所述用户的信任级别。然后，所述方法可以进一步包括通过检查所述第二设备的所述用户的重新评估后的信任级别是否仍然满足所述访问条件，重新确定所述第二设备的所述用户的资格；以及当所述第二设备的所述用户没有资格时，向所述数据中心通知所述第二设备的所述用户没有资格。

在一个示例性实施例中，所述方法可以进一步包括设置所述数据的所述访问条件。备选地或此外，所述方法可以进一步包括向所述第二设备通知所述数据的访问策略，所述访问策略指示用于特定访问上下文的对应访问条件。然后，可以基于所述第二设备的所述用户的身份和所述至少一个信任级别相关的属性，生成所述私有属性密钥，所述至少一个信任级别相关的属性表示所述访问策略指示的所述对应访问条件。

在一个示例性实施例中，所述方法可以进一步包括在所述第一设备处，直接从所述第二设备或者经由所述数据中心，接收所述第二设备的所述用户的访问所述数据的请求。响应于所述请求，可以执行所述第二设备的所述用户的所述资格的确定。

在一个示例性实施例中，所述方法可以进一步包括向第三方发送有关所述数据中心的性能的反馈；以及根据所述第三方基于所述反馈评估的信誉，判定是否继续将所述加密后的数据存储在所述数据中心内。用于信誉评估的所述第三方可以由云服务提供者提供。

在一个示例性实施例中，可以基于所述第二设备的所述用户的身份和所述至少一个信任级别相关的属性，生成与所述至少一个信任级别属性关联的所述私有属性密钥。在一个示例性实施例中，所述信任级别相关的属性可以指示预定信任级别阈值，并且所述检查包括检查所述第二设备的所述用户的所述信任级别是否满足所述预定信任级别阈值。

在一个示例性实施例中，所述属性可以进一步包括至少一个时间相关的属性，所述至少一个时间相关的属性表示基于有效时间段的针对所述数据的所述访问条件。然后，所述资格的确定可以进一步包括检查所述第二设备的所述用户是否在所述有效时间段内有资格。可以基于所述第二设备的所述用户的身份和所述至少一个时间相关的属性，生成与所述至少一个时间相关的属性关联的所述私有属性密钥。

在一个示例性实施例中，可以由云计算服务提供者提供所述数据中心。

根据另一个实施例，一种装置包括至少一个处理器和至少一个存储器，所述至少一个存储器包括计算机程序代码，所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起至少部分地导致所述装置在第一设备处，根据基于属性的加密(ABE)方案，使用与属性关联的公共属性密钥加密数据。所述属性可以包括至少一个信任级别相关的属性，所述至少一个信任级别相关的属性表示基于信任级别的针对所述数据的访问条件。所述装置被进一步导致将加密后的数据存储到数据中心内。所述装置被进一步导致通过检查第二设备的用户的信任级别是否满足所述访问条件，确定所述第二设备的所述用户的资格。所述装置被进一步导致当所述第二设备的所述用户有资格时，向所述第二设备发出私有属性密钥，所述私有属性密钥与属性关联并且针对所述第二设备的所述用户个性化以便解密所述加密后的数据。

根据另一个实施例，提供一种承载一个或多个指令的一个或多个序列的计算机可读存储介质，当所述一个或多个指令由一个或多个处理器执行时，至少部分地导致装置在第一设备处，根据基于属性的加密(ABE)方案，使用与属性关联的公共属性密钥加密数据。所述属性可以包括至少一个信任级别相关的属性，所述至少一个信任级别相关的属性表示基于信任级别的针对所述数据的访问条件。所述装置被进一步导致将加密后的数据存储到数据中心内。所述装置被进一步导致通过检查第二设备的用户的信任级别是否满足所述访问条件，确定所述第二设备的所述用户的资格。所述装置被进一步导致当所述第二设备的所述用户有资格时，向所述第二设备发出私有属性密钥，所述私有属性密钥与属性关联并且针对所述第二设备的所述用户个性化以便解密所述加密后的数据。

根据另一个实施例，一种装置包括：用于在第一设备处，根据基于属性的加密(ABE)方案，使用与属性关联的公共属性密钥加密数据的部件，其中所述属性包括至少一个信任级别相关的属性，所述至少一个信任级别相关的属性表示基于信任级别的针对所述数据的访问条件。所述装置还包括：用于将加密后的数据存储到数据中心内的部件。所述装置还包括：用于通过检查第二设备的用户的信任级别是否满足所述访问条件，确定所述第二设备的所述用户的资格的部件。所述装置还包括：用于当所述第二设备的所述用户有资格时，向所述第二设备发出私有属性密钥的部件，所述私有属性密钥与属性关联并且针对所述第二设备的所述用户个性化以便解密所述加密后的数据。

从以下详细描述，仅通过示出多个特定实施例和实现(包括构想用于执行本发明的最佳模式)，本发明的其它方面、特性和优点很容易地显而易见。本发明还能够具有其它和不同的实施例，并且可以在各种明显的方面修改其数个细节，所有修改并不偏离本发明的精神和范围。因此，附图和说明书被视为本质上是示例性的而非限制性的。

附图说明

通过实例的方式而不是通过限制的方式示出本发明的实施例，在附图的各个图中：

图1是根据一个实施例的能够提供对共享数据的访问控制的系统的示意图；

图2是根据一个实施例的能够提供对共享数据的访问控制的用户设备的组件的示意图；

图3是根据一个实施例的用于提供对共享数据的访问控制的整体系统过程的流程图；

图4是根据一个实施例的用于基于信任级别提供对共享数据的访问控制的过程的流程图；以及

图5是适合用于实现本发明的示例性实施例的各种设备的简化框图。

具体实施方式

公开了用于基于信任级别控制对共享数据的访问的方法、装置和计算机程序的实例。在以下描述中，出于解释的目的，提供了大量特定的细节以便彻底理解本发明的实施例。但是，对于所属技术领域的技术人员显而易见的是，可以在没有这些特定的细节的情况下实现本发明的实施例，或者可以使用等效布置实现本发明的实施例。在其它情况下，未以框图形式示出公知的结构和设备以避免不必要地使本发明的实施例变得模糊不清。

信任在社交网络中起着重要作用，以便在用户之间建立连接并共享数据、内容或资源。信任帮助人们战胜对不确定和风险的感知，并且参与“信任相关的行为”。在此，可以使用信任级别作为度量来评估一个实体(例如用户、群组、组织等)对另一个实体的信任和依赖性的级别。信任级别可以从有关早期实体交互的直接或间接知识/体验获得。在一个示例性实施例中，可以基于用户在社交网络服务中执行的各种社交活动，评估用户的信任级别。例如，随着移动通信和网络的快速发展以及移动设备的广泛使用，人们可以使用其移动设备执行各种社交活动和网络，例如进行远程呼叫、访问因特网以便与某人交谈，发送短消息，并且进行即时社交活动(例如，基于移动临时网络或者经由局部连接方法，例如WLAN、WiFi、蓝牙等)。可以基于不同移动社交网络活动、行为和体验，评估不同上下文中的信任关系。

但是，行业中的大多数现有工作不考虑如何基于信任级别控制数据访问。数个研究小组专注于基于移动临时网络的社交网络服务。例如，Stanford MobiSocial Group开发了Junction，其是用于MANET(移动临时网络)应用的移动临时和多方平台；杜克大学的SyNRG开发了微博，其帮助用户发布按位置标记的微博；ETHz Systems Group引入了AdSocial，其提供通用社交通信平台。但是，在这些项目中并未考虑社交网络服务中的信任和信誉方面，更不用说应用从社交网络活动获得的信任级别以便控制对共享数据的访问，例如云计算数据访问。传统的集中社交网络系统(例如，脸书)并未认真地考虑用户隐私和用户数据保护。基于组的访问控制很粗糙并且很容易被攻击。它们尚未被链接到数据共享服务(例如云计算服务)以便实现上下文感知数据访问控制。

此外，在行业中，相当多的公司(例如微软、诺基亚和因特尔)在通用社交网络(PSN)领域进行了研究。例如，微软亚洲研究院开发了EZSetup系统以便使移动用户查找他/她的邻居提供的服务。诺基亚研究中心开发的Nokia Instant Community提供即时社交网络平台以便允许附近的人们彼此通信、认识并且彼此共享信息和数据。同样，因特尔伯克利实验室运行一个基于移动设备的项目(名为Familiar Stranger)以便扩展我们与陌生人的感觉和关系，我们通常注意到这些陌生人但并未在公众场所交互。但是，它们均未探究如何使用在社交网络中建立的信任来控制对共享数据的访问，例如云计算数据中心内的数据访问。

尽管具有某些应用于信任评估的技术，但未针对有关以下问题进行研究：如何使用例如基于移动社交网络的信任评估，以便实现安全保证和隐私增强，例如对私有数据的安全访问。例如，Advogato(http://www.advogato.org/)是一种在线服务，其用于为免费软件开发人员提供平台，以便支持软件并且促进研究。Advogato的一个重要影响是其在服务背后的信任度量，这是许多研究项目的基础(http://www.advogato.org/trust-metric.html)。Advogato信任度量激励用户贡献确保质量的软件并且防止攻击。但是，Advogato仅应用集中架构以便生成信誉。它不考虑如何基于信任和/或信誉级别控制数据访问。此外，它不能为(例如，CSP的)数据中心提供信誉(该数据中心负责存储和维护共享数据)，以便避免数据中心泄露共享数据。

大多数现有工作不考虑如何基于信任级别控制数据访问。通常，访问控制应用数据加密，以便加密后的数据只能由具有权限的用户解密。理想的方法是对每个数据加密一次，并且将适当的密钥分发给用户一次，以便每个用户只能对其授权数据解密。先前工作很少基于信任级别控制数据访问，尽管信任是一个重要因素，应该在授权数据访问的过程中加以考虑。但是，由于信任的动态特性和信任级别在不同上下文中的变化，应该频繁地改变解密密钥以便实现预期安全级别。

访问控制在用户撤销方面面临另一个难题。用户撤销意味着数据所有者撤销用户的访问权限，例如这些用户不再属于某个组或者由于其它原因，例如用户并不足够可信。因为被撤销的用户仍然保留早期发出的解密密钥，并且因此仍然可以对加密后的数据解密。因此，数据所有者可能需要使用新密钥对其数据加密，以便被撤销的用户不能再使用其旧密钥对最新数据解密，并且将新密钥重新分发给剩余授权用户，以便他们仍然可以访问。显然，密钥重新生成和管理将产生额外计算负载并且使系统变得复杂。

根据各种示例性实施例，可以例如通过应用基于属性的加密(ABE)方案，提供一种基于信任级别的有效并且安全的访问控制。基于属性的加密(ABE)是一种新开发的加密技术。根据ABE方案，通过一组属性而不是确切身份来标识用户。使用基于属性的访问条件(构成数据访问策略)对每个数据加密，以便只有其属性满足访问条件的用户可以对数据解密。例如，对于使用访问条件A1或A2加密的数据D，具有满足A1的属性的用户或者具有满足A2的属性的用户可以对D解密。最近，ABE广泛应用于云计算的安全数据存储。但是，现有工作都未建议基于信任级别控制存储在CPS处的数据的访问。现有工作都未建议根据基于社交网络活动、行为和体验生成的信任级别来控制存储在CPS处的数据的访问。

在各示例性实施例中，为了有效并且安全地访问共享数据，数据所有者可以根据ABE方案，通过使用与属性(该属性与信任级别相关)关联的公共属性密钥对其数据加密来对他/她的数据加密。信任级别相关的属性表示基于信任级别的针对数据的访问条件。例如，信任级别相关的属性是信任级别阈值，以便指示只有信任级别大于或等于阈值的那些用户可以访问数据。然后，数据所有者可以将加密后的数据存储到数据中心内以便与其它用户共享数据。数据所有者可以向其信任级别满足访问条件(例如，满足信任级别阈值)的有资格用户发出对应的个性化后的解密密钥，以使他们能够对加密后的数据解密。

图1是根据一个实施例的能够提供对共享数据的访问控制的系统的示意图。如图1中所示，系统100包括用户设备(UE)101，其经由通信网络105连接到数据中心107、其它UE 101和其它通信实体(例如第三方111)。例如，系统100的通信网络105包括一个或多个网络，例如数据网络(未示出)、无线网络(未示出)、电话网络(未示出)或其任意组合。构想数据网络可以是任何局域网(LAN)、城域网(MAN)、广域网(WAN)、公共数据网络(例如，因特网)、自组织移动网络，或者任何其它合适的分组交换网络，例如商业拥有的专用分组交换网络，如专用电缆或光纤网络。此外，无线网络例如可以是蜂窝网络，并且可以采用各种技术，包括增强型数据速率全球演进(EDGE)、通用分组无线业务(GPRS)、全球移动通信系统(GSM)、网际协议多媒体子系统(IMS)、通用移动电信系统(UMTS)等，以及任何其它合适的无线介质，例如微波存取全球互通(WiMAX)、无线局域网(WLAN)、长期演进(LTE)网络、码分多址(CDMA)、宽带码分多址(WCDMA)、无线保真(WiFi)、卫星、移动临时网络(MANET)等。

UE 101可以是任何类型的移动终端、固定终端或便携式终端，包括手机、站、单元、设备、多媒体计算机、多媒体平板计算机、因特网节点、通信器、台式计算机、膝上型计算机、个人数字助理(PDA)或其任意组合。还构想UE 101可以支持任何类型的用户接口(例如“可佩带式”电路等)。如图1中所示，用户设备(UE)101a-101n可以用于执行社交网络应用103a-103n。这些社交网络应用103可以使用通信网络105，例如将数据共享服务传送到数据中心107以便控制对共享数据的访问。

数据中心107可以将用户信息和其它数据存储在数据库109中以便共享。用户信息可以包括用户简档。进一步，用户信息另外可以包括有关对共享数据的访问控制的一个或多个用户设置(例如，访问的有效时间段和没有资格用户的黑名单)。共享数据可以包括用户的各种数据，例如健康记录、考试结果、工作时间表、通信历史、联系人等。数据可以是任何类型，例如文件、媒体内容(例如，图像、视频、音频等)等。在一个示例性实施例中，数据中心107可以由云计算提供者提供或运营，以便例如在云侧提供数据存储。

如前所述，UE 101可以使用数据共享服务103提供对共享数据的访问控制。UE 101可以使用其它社交网络服务(例如，消息传送通信、电话通信、社交网络游戏等)，以便与系统100中的其它UE、数据中心107和其它通信实体(例如另一个数据中心111，或未示出的其它实体)通信。在一个实例方案中，UE 101a可以将用户的健康记录发送到数据中心107以将健康记录存储在数据中心107中，以便可以在多个其它用户(例如其家人和负责其病例的医生)之间共享健康记录。为了确保多个可信用户访问其健康数据，可以根据ABE方案，通过采取信任级别阈值作为访问条件的属性，对健康记录加密。仅向具有足够信任级别(例如，大于或等于信任级别阈值的信任级别)的用户发出解密密钥。因此，可以通过基于属性的加密原理，确保对共享数据的访问的安全性。

在一个示例性实施例中，可以基于从UE 101a和其它UE 101(例如UE 101b、…、UE 101n)之间的社交网络活动或交互累积的线索，评估信任级别。例如，UE 101a(例如移动电话)可以通过使用UE 101a记录的移动社交网络和通信的记录，自动评估UE 101b的用户的信任级别。可以对社交网络和通信活动的类型进行分类，以便促进信任级别的评估。例如，可以将它们分类为以下五种类型：移动语音呼叫、经由移动因特网的语音呼叫(例如，VoIP)、短消息、即时消息以及基于局部连接性的与个人的通用交互。通常，语音呼叫数量(呼叫的和接收的)和消息数量(发送的和接收的)可以反映两个用户之间的社交亲密度及其个人可信度。

在一个示例性实施例中，可以使用如下所示的信任级别评估函数(1)，以便基于两个用户之间的移动社交网络活动，计算其信任级别。

TL(i,j)＝f{TL'(i,j)+pl(i,j)*{w1*θ(N_c(i,j)+N_c(j,i))+w2*θ(N_m(i,j)+N_m(j,i))+w3*θ(N_i(i,j)+N_i(j,i))}-pu(i,j)}

(1)

在函数(1)中，符号TL(i,j)表示由用户i评估的用户j的信任级别，而符号TL’(i,j)表示由用户i先前评估的用户j的信任级别，或默认信任级别。f(x)表示S型函数，例如其用于将值规范化为(0,1)。但是，构想信任级别不需要被规范化或者可以规范化为任何范围。

参数N_c(i,j)表示用户i向用户j发出的呼叫数量，并且因此N_c(j,i)表示用户j向用户i发出的呼叫数量。N_m(i,j)表示用户i向用户j发送的消息数量，并且因此N_m(j,i)表示用户j向用户i发送的消息数量。参数N_i(i,j)表示用户i向用户j发起的交互数量，并且因此N_i(j,i)表示用户j向用户i发起的交互数量。θ(I)表示瑞利(Rayleigh)累积分布函数，例如以便对整数I的影响建模，其中σ>0，其是成反比地控制数值I影响θ(I)增加的快速程度的参数。参数σ可以从0设置到理论上∞，以便捕获不同信任级别评估情况的特性。

参数w1、w2、w3分别表示语音呼叫、消息传送和即时交互的权重参数，以便显示其重要性。w1、w2和w3的总和等于1。参数pl(i,j)表示用户j在用户i的社交网络中的优先级别，例如，家庭成员或亲密朋友可以在各种信任级别评估上下文中具有最高优先级别。参数pu(i,j)表示在用户i看来用户j的惩罚因子，例如，由于糟糕的社交交互/通信体验所致。

应该注意，上面的信任级别评估函数(1)被示为用于评估用户的信任级别的一个实例。具有生成每个移动社交网络参与者的信任值/级别的各种解决方案。在一个实施例中，用户设备可以基于移动社交网络活动，自动评估信任级别。但是，构想信任级别可以由用户输入，或者从其它设备(未示出)查询，其它设备例如是用于以集中方式评估和维护多个用户的信任级别的服务器。

在一个示例性实施例中，可以例如基于从消息传送文本和声音/语音识别提取关键字，将信任级别链接到上下文。即，可以基于不同上下文类别记录N_c(i,j)、N_m(i,j)和N_i(i,j)，因此可以针对落入不同上下文中的信任级别生成TL(i,j)。例如，两个用户之间有关健康、治疗和医院的呼叫、消息和交互可以被记录为一个类别，并且用于评估以下信任级别：该信任级别要用于控制对数据中心内的健康记录的访问。在另一个实例中，两个用户之间有关教育和学校的呼叫、消息和交互可以被记录为一个类别，并且用于评估以下信任级别：该信任级别要用于控制对数据中心内的考试结果的访问。可以针对相同共享数据考虑不同上下文。例如，对于医院记录，可以在不同位置处以不同方式执行访问控制。

基于不同上下文中的信任评估，数据所有者可以基于信任级别、上下文和其它限制(例如时间段、有资格用户身份组等)，自动设置数据访问控制。在一个特定实例中，UE 101a可以针对其健康记录等设置访问策略：如果在一个指定时间段内访问请求来自医院，则有资格用户的信任级别应该大于0.6，而如果在另一个指定时间段内访问请求未来自医院，则有资格用户的信任应该大于0.8。构想可以以任何方式设置访问策略，以便满足数据访问控制的各种需要。

基于访问策略，UE 101a可以根据ABE方案，通过采取信任级别作为访问策略的属性，对要共享的数据加密。在一个示例性实施例中，UE101a-101n可以在安全系统(例如，数据共享服务103a-103n)的设置过程期间获得公共主钥(表示为PK)和私有主钥(表示为MK)，如通常在加密方案中发生的那样。例如，可以通过设置算法生成PK和MK，该设置算法采取隐式安全参数l^k作为输入。响应于用户请求，可以在用户设备(例如UE 101a-101n)或可信用户代理(未示出)处进行该设置过程。PK是可用于系统中的每个用户(例如，该实例中的UE 101a-101n)的全局密钥，并且它可以用作所有操作的输入。MK是主密钥，应用它创建用户自己的密钥。

使用公钥PK、用户的主密钥MK以及通常是唯一用户身份的用户u的身份(例如用户的电话号码、统一资源标识符等)，可以针对用户生成用户公钥(例如，用户u的用户公钥可以表示为PK_u)和用户私钥(例如，用户u的用户私钥可以表示为SK_u)。每个用户可以维护PK_u和SK_u。PK_u可以用于生成个性化私有属性密钥，并且SK_u可以用于与PK_u相关的解密操作。在各实例实施例中，数据所有者(例如UE 101a的用户u)可以使用用户u’(例如UE 101b或101n的用户)的公钥PK_u’，生成针对用户u’个性化的私有属性密钥，并且因此用户u’的私钥SK_u’可以与针对用户u’个性化的私有属性密钥一起用于密码解密。数据所有者(例如UE 101a的用户u)可以使用用户的私钥，生成要向有资格的用户(例如UE 101b或101n的用户)发出的个性化私有属性密钥。响应于用户请求，用户设备(例如UE 101a-101n)或可信用户代理(未示出)可以执行PK_u和SK_u的生成和分发。在生成和发出这两个密钥之前，例如在用户向系统注册期间，可以检验用户的唯一身份，以便将用户u的密钥SK_u和PK_u绑定到用户的唯一身份。这种绑定可以促进检验用户属性。在一个实例中，可以采取用户u的唯一身份作为PK_u，或者PK_u可以是用户u的唯一身份的一部分。

在一个示例性实施例中，可以基于相应用户的信任级别，向相应有资格用户发出个性化私有属性密钥。此外，还可以使用信任级别作为属性以生成公共属性密钥，以便表示基于信任级别的针对数据的访问条件(例如信任级别阈值)。根据ABE方案，每个属性与访问条件关联，并且访问策略是一组访问条件，这些访问条件例如是不同访问上下文需要的。可以以析取范式(DNF)描述访问策略。例如，采用DNF的访问策略(表示为AA)可以编写为：

其中S_j表示访问策略中的第j个访问条件，并且n是S的总数(n＝1、2、3、…)。A表示在AA的第j个联合中出现的属性。S可以是一组属性，并且S1、S2、…、Sn并非两两不相交。

例如，可以将信任级别阈值0.8设置为属性以便指示访问条件：tl>＝0.8，这意味着只有信任级别超过或等于0.8的那些用户可以访问共享数据。访问条件S1可以仅包括一个属性(信任级别)。在另一个实例中，访问条件S1可以进一步包括有关有效时间段的另一个属性，以便指示访问条件S1进一步包括例如t∈[20120101,20121231]，这将对共享数据的访问限于2012年。因此，访问条件S1指在2012年信任级别大于或等于0.8的那些用户可以访问共享数据。应该理解，除了信任级别和/或时间段之外，访问条件还可以包括其它种类的属性。访问策略可以包括一个或多个访问条件。例如，访问策略可以包括另一个访问条件S2。S2可以包括信任级别和有效时间段两个属性：0.6＝<tl<0.8和t∈[20120901,20120930]，这指示只有在2012年9月1日与2012年9月30日之间信任级别大于或等于0.6并且低于0.8的那些用户可以访问共享数据。

为了根据访问策略控制对共享数据的访问，可以使用公共属性密钥关联的相应属性对数据加密。在所述示例性实施例中，例如当数据所有者(例如UE 101a的用户u)想要基于信任评估控制对他/她的数据的访问时，可以生成有关信任级别的属性(也称为信任级别相关的属性，并且表示为TL)的公共属性密钥(表示为PK_TL)。用户u的设备(例如UE 101a)可以执行该生成。UE 101a可以检查针对共享数据的访问策略。当具有信任级别相关的属性时，可以基于TL和其它参数(例如SK_u和PK)生成公共属性密钥PK_TL。当没有此类属性时，属性TL没有公共属性密钥。例如，公共属性密钥PK_TL是NULL。

可选地，例如当数据所有者(例如UE 101a的用户u)想要基于时间控制对他/她的数据的访问时，可以进一步生成有关有效时间段的属性(也称为时间相关的属性，并且表示为T)的公共属性密钥(表示为PK_T)。用户u的设备(例如UE 101a)可以执行该生成。UE 101a可以检查共享数据的访问策略。当具有此类时间相关的属性时，可以基于T和其它参数(例如SK_u和PK)生成公共属性密钥PK_T。当没有此类属性时，属性T没有公共属性密钥。例如，公共属性密钥PK_T是NULL。

可以通过使用与访问策略指示的访问条件的属性关联的公共属性密钥以及其它参数(例如公钥)，对共享数据(表示为M)加密。在一个实例中，加密算法可以采取公钥PK、个人数据M、访问策略AA，以及分别与在策略AA指示的访问条件中出现的信任级别和时间关联的公钥PK_TL、PK_T作为输入，然后输出加密后的数据，即密文CT。在用户设备(例如UE 101a)处进行这种加密以便保护用户的个人数据。将加密后的数据上传到数据中心(例如107)以便存储在数据库(例如109)中。应该注意，PK_TL或PK_T之一或两者可以用于加密共享数据，这取决于在AA中定义的访问策略。例如，当用户想要仅基于信任级别控制访问他/她的数据时，加密算法可以仅采取PK、M、A、PK_TL作为输入。当数据访问由信任级别和时间两者控制时，加密算法可以仅采取PK、M、A、PK_TL、PK_T作为输入。

具有针对相应用户个性化的私有属性密钥的有资格用户(即，满足访问条件的那些用户)可以访问存储在数据中心内的加密后的数据。每个私有属性密钥对应于相应的公共属性密钥。为了防止串通，每个用户获得不同的私有属性密钥，只有他可以使用该私有属性密钥。例如，用户u针对有资格用户u’发出的信任级别相关的属性TL的私有属性密钥被表示为SK_(TL,u,u’)。用户u针对有资格用户u’发出的时间相关的属性T的私有属性密钥被表示为SK_(T,u,u’)。因此，用户u’具有的一组密钥(即，密钥SK_u’以及所有密钥SK_(TL,u,u’)和SK_(T,u,u’))可以被称为他的密钥环。

数据所有者(例如UE 101a的用户u)可以针对信任级别相关的属性TL，检查具有公钥PK_u’(和/或唯一ID u’)的另一个用户u’的信任级别是否可以满足访问条件(例如，u’的信任级别是否等于或高于信任级别阈值)。当用户u’的信任级别满足访问条件时，UE 101a可以发出对应于属性TL的私有属性密钥。根据ABE方案，UE 101a可以使用属性TL、用户u’的唯一身份和其它参数(例如PK、SK_u、PK_u’等)，生成针对有资格用户u’个性化的私有属性密钥SK_(TL,u,u’)。在一个示例性实施例中，响应于来自用户u’(例如来自UE 101b)的请求，UE 101a可以生成SK_(TL,u,u’)。可选地，UE 101a的用户u可以针对时间相关的属性T，检查具有公钥PK_u’(和/或唯一ID u’)的另一个用户u’是否有资格(例如u’是否可以在指示的时间段内访问共享数据)。当用户u’有资格时，UE101可以发出对应于属性T的私有属性密钥。根据ABE方案，用户u的用户设备可以使用属性T、用户u’的唯一身份和其它参数(例如PK、SK_u、PK_u’等)，生成针对有资格用户u’个性化的私有属性密钥SK_(T,u,u’)。在一个示例性实施例中，响应于来自用户u’(例如来自UE 101b)的请求，UE 101a可以生成SK_(T,u,u’)。

当用户u’的属性满足访问条件时，可以向用户u’发出针对有资格用户u’个性化的私有属性密钥(例如SK_(TL,u,u’)和SK_(T,u,u’))。使用这些私有属性密钥，用户u’的设备(例如UE 101b)可以对从数据中心107获得的用户u的加密后的数据解密。例如，根据对应的ABE方案，解密算法可以采取对应加密算法产生的密文CT、用户u’的密钥环SK_u’、SK_(TL,u,u’)和SK_(T,u,u’)，以及对CT加密所用的访问策略AA作为输入，然后当用户u’的属性足以满足访问策略AA指示的访问条件时，输出对应的纯文本M。当属性不足以满足访问条件时，不能对加密后的数据解密。例如，解密算法的输出是NULL。当有资格用户u’想要访问保存在数据中心处的另一个用户u的共享数据时，可以执行这种解密。用户u’可以首先检查加密的访问策略AA以便确定所应用的访问条件，然后使用与所应用的访问条件关联的密钥环进行对应解密。

应该注意，SK_(TL,u,u’)或SK_(T,u,u’)之一或两者可以出现在解密算法中，这取决于在AA中定义的访问策略。具体地说，如果用户想要仅基于信任级别控制访问他/她的数据，则解密算法可以采取PK、CT、A、SK_u’、SK_(TL,u,u’)作为输入。如果用户想要仅基于时间控制访问他/她的数据，则解密算法可以采取PK、CT、A、SK_u’、SK_(T,u,u’)作为输入。如果数据访问由信任级别和时间段两者控制，则解密算法可以采取PK、CT、A、SK_u’、SK_(TL,u,u’)、SK_(T,u,u’)作为输入。

图2是根据一个实施例的能够提供对共享数据的访问控制的用户设备的组件的示意图。构想这些组件的功能可以在一个或多个组件中组合，或者由具有等效功能的其它组件执行。在该实施例中，UE 101包括用于控制对存储在数据中心107中的共享数据的访问的访问控制模块201、用于通过网络通信的通信接口203、用于控制在UE 101上执行的应用的运行时的控制逻辑205、信任级别模块207、用于输出信息和接收输入的用户接口209，以及存储器211。

控制逻辑205可以在UE 101上运行应用(例如，数据共享服务)。当执行时，可以将这些数据共享服务的信息和数据存储在存储器211中。这些服务可以使用用户接口209与用户交互，并且使用通信接口203与其它UE 101、数据中心107和其它通信实体交互(例如，经由通信网络105)。控制逻辑205可以使用访问控制模块201，例如通过对数据加密、将加密后的数据上传到数据中心、检查其它用户的资格，以及仅向有资格用户发出个性化私有属性密钥，控制对存储在数据中心107中的用户共享数据的访问。进一步，访问控制模块201可以用于从数据中心107访问其它用户的数据，并且从其它用户获得个性化私有属性密钥。

通信接口203可以包括多种通信手段。例如，通信接口203可以能够通过SMS、网际协议、即时消息传送、语音会话(例如，经由电话网络)或其它类型通信进行通信。控制逻辑205可以使用通信接口203与其它UE101、数据中心107和其它设备(例如111)通信。在某些实例中，通信接口203用于使用与访问控制模块201关联的协议和方法，发送和接收信息。

在一个实施例中，UE 101包括用户接口209。用户接口209可以包括各种通信方法。例如，用户接口209可以具有输出，包括可视组件(例如，屏幕)、音频组件、物理组件(例如，振动)以及其它通信方法。用户输入可以包括触摸屏接口、滚动和点击接口、按钮接口等。在某些实施例中，用户接口209另外可以具有声音用户接口组件。因此，可以使用文本到语音机制为用户提供文本信息。进一步，可以使用语音到文本机制接收声音输入并且将声音输入转换为文本输入。此外，用户接口209可以用于呈现与数据访问控制模块201关联的信息和内容，并且接收与访问控制模块201关联的用户输入。

在一个实施例中，UE 101可以使用信任级别模块207获得用户之间的信任级别。如上所述，信任级别模块207可以用于从信任级别评估服务器查询信任级别，或者基于用户之间的移动社交网络活动，由自身自动评估信任级别。评估的信任级别可以被存储在存储器211中并且由访问控制模块201使用。

图3是根据一个实施例的用于提供对共享数据的访问控制的整体系统过程的流程图。在一个示例性实施例中，用户(表示为用户1)想要通过其用户设备(例如UE 101a)在CSP数据中心处保存其敏感个人数据，而其它用户(通常表示为用户2)想要通过其相应用户设备(例如UE 101b、…、UE 101n)使用用户1的授权访问该数据。

在一个示例性实施例中，用户1可以基于移动社交网络活动、行为和体验，通过其用户设备UE 101a进行(步骤300)自动信任评估。该信任评估可以定期执行或者由糟糕的体验触发。如前所述，信任评估可以由诸如用户代理、集中服务器之类的其它实体执行，这些实体可以评估系统中的所有用户的信任级别并且分发信任评估结果。基于信任评估结果，用户1可以设置(步骤301)其敏感数据的访问条件(例如信任级别阈值和有效访问时间段)，这些访问条件构成访问策略。在另一个实施例中，可以将所述访问条件设置为默认访问条件。

然后，用户1可以如上面讨论的那样，根据ABE方案，基于步骤302中的访问条件对其数据加密，并且在步骤303将加密后的数据存储在CSP数据中心处以便与其它用户共享。因此，可以减少用户设备存储和维护数据的对应负载。同时，可以以安全方式将共享数据存储在CSP数据中心处，并且可以通过向CSP隐藏纯文本而增强共享数据的隐私。CSP无法知道共享数据的纯文本，尽管共享数据被存储在其数据中心处。仅允许有资格用户(例如数据所有者信任的用户)和/或在指定时间段内有效访问共享数据。

在步骤304，用户2想要访问用户1的数据。在一个示例性实施例中，用户2可以向CSP数据中心发送请求(步骤304A1)，并且CSP数据中心可以检查用户2的有效性。例如，CSP数据中心可以检查用户2的身份ID是否在黑名单中，以便判定是否将用户2的请求转发给用户1。在这点上，当用户2的ID不在黑名单中时，可以将用户2的请求转发给用户1。黑名单可以指示没有资格访问共享数据的用户。CSP、用户1或其它用户或第三方例如可以根据信任评估确定黑名单中的没有资格的用户。因此，CSP可以提前阻止来自这些没有资格的用户的请求而不打扰用户1。在另一个示例性实施例中，用户2还可以就数据访问直接请求用户1。

接下来，用户1可以基于信任级别检查(步骤305)用户2的资格，以便判定用户2的信任级别是否可以满足一个访问条件。例如，用户1可以检查用户2的信任级别是否大于或等于信任级别阈值0.8。在一个示例性实施例中，用户1可以进一步基于有效时间段检查用户2的资格，以便判定是否允许用户2在有效时间段内访问共享数据。例如，用户1可以进一步检查从信任级别超过0.8的用户2接收请求的时间是否在2012年内。

然后，至少部分地基于上述检查，例如当用户2有资格时，用户1可以针对用户2生成和发出(步骤306)个性化私有属性密钥以便访问存储在CSP数据中心处的数据。可以如上面参考图1讨论的那样，根据ABE方案，基于与用户2满足的访问条件关联的属性，执行个性化私有属性密钥的生成。在一个示例性实施例中，用户1可以进一步同时向用户2提供访问策略AA，以便还可以支持多个基于上下文的属性(例如用于多个上下文的一组访问条件中的多个TL)。

在步骤307，在获得发出的个性化私有属性密钥之后，用户2可以请求CSP数据中心以便访问加密后的数据。在一个示例性实施例中，在启动访问之前，CSP可以检查(步骤309)用户1定义的加密数据访问策略以便查看用户2是否可以满足访问策略的一个访问条件。例如，CSP可以检查并且查看有效时间段是否到期。因此，CSP可以在访问时间段到期之后阻止数据访问。在一个示例性实施例中，CSP可以进一步提醒数据所有者用户1上传新加密的数据。在一个示例性实施例中，CSP可以检查用户1的黑名单以便查看用户2是否在内。

在步骤309，当用户2满足访问策略指示的一个访问条件时，CSP通过向用户2提供对应的加密后的数据来允许访问。然后，用户2可以在步骤310对加密后的数据解密。

由于信任级别的动态变化，先前有资格的用户(用户2)在从用户1获得针对用户2个性化的私有属性密钥之后，可能变得不受信任。因此，数据所有者用户1不再允许用户2访问共享数据，尽管用户1已经向用户2发出私有属性密钥，并且有效访问时间段尚未到期。在这种情况下，数据所有者用户1可以向CSP通知在有效访问时间段内没有资格访问数据的用户黑名单。因此，当前信任级别低于阈值(即，不满足访问条件)的那些用户不能再通过CSP的控制访问数据。

在一个示例性实施例中，用户1例如可以基于最新移动社交网络活动，重新评估(步骤311)用户2的信任级别。当已向其发出私有属性密钥的某些用户不再有资格时，用户1可以向CSP数据中心通知这种情况。例如，在步骤312，用户1可以将这些没有资格用户的身份放入其数据访问黑名单中并且向CSP通知该黑名单。

在一个示例性实施例中，用户1可以进一步向第三方反馈(步骤313)数据中心或CSP的性能(例如通过投票)，以便防范不完全受信任的数据中心。可以根据用户的反馈评估每个CSP的信誉并且发布该信誉，以便鼓励并且确保CSP的良好行为。对于信誉不好的CSP，用户可以选择不使用该CSP的服务(即，不将个人数据保存在CSP的数据中心处，因此CSP将丢失其业务客户)。

可以应用许多现有信誉机制，以便基于用户的反馈评估数据中心或CSP的信誉。假设用户k在时间t对CSP的投票是V(k,t)，并且用户自己在时间t提供反馈的可信度是C(k,t)，则可以具有如下CSP信誉值R：

$R\left(t_e\right)=\frac{\mathrm{\&theta;}\left(K\right)}{O}\underset{k=1}{\overset{K}{\mathrm{\&Sigma;}}}(k,t)*C(k,t)*e^{\frac{{|t_e-t|}^2}{\mathrm{\&tau;}}},---\left(3\right)$

其中K是对CSP的投票总数；t_e是评估CSP信誉的信誉评估时间；t是投票V(k,t)的时间；参数τ用于控制时间衰减以便可以将更多注意力用于当前投票，从而克服某些潜在攻击，例如协同唱衰攻击。θ( )与在函数(1)中具有相同含义。可以基于执行用户反馈，通过考虑具有CSP服务体验的所有用户提供的所有反馈，生成C(k,t)。应该注意，信誉生成服务可以由第三方(例如，另一个云计算服务，或者授权的可信方)提供。基于此类信誉系统，可以确保CSP按照数据所有者的指示和预期，为共享数据执行上面的访问控制。

图4是根据一个实施例的用于基于信任级别提供对共享数据的访问控制的过程的流程图。在此类实施例中，一个或多个UE 101(例如，与共享用户关联的UE 101a、与发出请求的用户关联的UE 101b、101n)的访问控制模块201执行过程400并且例如在芯片组中实现，该芯片组包括处理器和存储器，如图5中所示。因此，访问控制模块201可以提供用于实现过程400的不同部分的手段以及用于与其它组件结合实现其它过程的手段。在一个实施例中，信任级别模块207可以用于基于移动社交网络活动评估信任级别。

在步骤401，UE 101a可以根据ABE方案，使用与属性关联的公共属性密钥(例如PK_TL、PK_T)对数据加密。所述属性可以包括至少一个信任级别相关的属性(例如TL)，该至少一个信任级别相关的属性表示基于信任级别的针对数据的访问条件。在一个实施例中，针对数据的访问条件可以由UE 101a设置。

接下来在步骤403，将加密后的数据存储到数据中心(例如数据中心107)中。

在步骤405，UE 101a可以通过检查第二设备(例如UE 101b、…、UE 101n)的其它用户的信任级别是否可以满足访问条件，确定其它用户的资格。在一个实施例中，响应于直接从第二设备或者经由数据中心接收第二设备的用户的访问数据的请求，执行该确定。在一个实施例中，UE101a可以基于UE 101a的用户与其它用户之间的移动社交网络活动，自动评估其它用户的信任级别。备选地或此外，可以从其它设备获得其它用户的信任级别。

在一个实施例中，信任级别相关的属性TL指示预定信任级别阈值，然后所述检查可以包括检查第二用户的信任级别是否满足预定信任级别阈值。在一个实施例中，所述属性可以进一步包括至少一个时间相关的属性，该至少一个时间相关的属性表示基于有效时间段的针对数据的访问条件。然后其它用户的资格确定可以进一步包括检查用户是否在有效时间段内有资格，并且基于用户的身份和至少一个时间相关的属性，生成与至少一个时间相关的属性关联的私有属性密钥。

接下来在步骤407，当第二设备(例如UE 101b)的用户有资格时，UE 101a可以向UE 101b发出私有属性密钥(例如SK_(TL,u,u’)、SK_(T,u,u’))，这些私有属性密钥与属性关联并且针对第二设备的用户个性化以便对加密后的数据解密。在一个实施例中，可以基于用户u的身份和至少一个信任级别相关的属性，生成与至少一个信任级别属性关联的私有属性密钥。当第二设备(例如UE 101b)的用户没有资格时，将阻止他访问数据中心内的加密后的数据(步骤409)。

在一个实施例中，UE 101a可以向第二设备通知数据的访问策略，其中所述访问策略指示用于特定访问上下文的对应访问条件。然后，可以基于用户的身份和至少一个信任级别相关的属性TL，生成私有属性密钥，该至少一个信任级别相关的属性TL表示访问策略指示的对应访问条件。

因此，在移动社交网络中评估的信任级别可以用于控制数据中心(例如，由不完全受信任的云计算服务提供者提供)处的个人数据访问。在一个具体实施例中，可以基于社交网络活动、行为和体验，评估有关具体上下文(例如，健康治疗)的信任级别。根据信任级别及其关联的具体上下文，数据所有者可以对存储在CSP的数据中心内的健康记录的个人数据加密。数据所有者向那些有资格用户发出解密密钥以便访问他/她的个人数据。因此，数据所有者可以完全控制共享数据访问(例如使用访问条件，如请求访问的用户的信任级别>上下文cxt 1中的阈值以及具体时间段内的某一时间)。

通过各种实施例，数据所有者的用户设备的处理成本或计算成本降低。在这点上，使用基于属性的加密仅对共享数据进行一次加密。相比之下，许多现有解决方案应用基于属性的加密和代理重新加密(例如在CSP或代理处执行)两者。在此，可以通过应用信誉系统评估每个CSP的性能以便帮助用户选择最佳CSP以进行个人数据存储和处理，确保CSP按照数据所有者预期的那样执行。此外，可以基于移动社交网络活动(例如用户设备中的移动社交网络记录)，自动评估信任级别，因此显著降低收集信任评估证据的成本。

此外，在各种实施例中，可以通过在基于属性的加密中应用时间作为一个属性，处理用户的撤销。因此，当不满足时间相关的条件时，发出的密钥可以自动到期。同时，可以使用数据所有者发出的黑名单在CSP处进行额外访问控制，即使某些不受信任的用户仍然持有有效私有属性密钥。这在信誉系统的支持下实现。因此，可以降低由密钥重新生成和管理导致的系统复杂性。同时，还可以通过各种实施例降低传输负载，因为当撤销某些旧的有资格用户时，不需要将新密钥发送到新的有资格用户。

现在参考图5，其示出适合用于实现本发明的示例性实施例的各种电子设备的简化框图。在图5中，用户设备500(例如UE 101a和UE 101b)适于与用户设备、数据中心和其它通信设备通信。可以根据如上面讨论的本发明的示例性实施例，执行对保存在数据中心(例如数据中心107)中的共享数据的访问控制。

用户设备500包括数据处理器(DP)501、存储程序(PROG)505的存储器(MEM)503，以及合适的收发器507，其用于经由一个或多个网络与其它用户设备、数据中心和其它通信设备通信。在一个示例性实施例中，收发器507可以是合适的射频(RF)收发器，其经由一个或多个天线进行双向无线通信。PROG 505被假设包括程序指令，当由DP 501执行时，这些程序指令能够使用户设备根据本发明的示例性实施例操作，如上面讨论的那样。即，可以至少部分地通过可由DP 501执行的计算机软件、或硬件，或软件和硬件的组合，实现本发明的示例性实施例。用户设备500的基本结构和操作对于所属技术领域的技术人员来说是已知的。

MEM 503可以具有适合于本地技术环境的任何类型，并且可以使用任何合适的数据存储技术实现，该数据存储技术例如包括基于半导体的存储设备、闪存、磁存储设备和系统、光存储设备和系统、固定存储器以及可移动存储器。DP 501可以具有适合于本地技术环境的任何类型，并且作为非限制性实例，可以包括以下一个或多个：通用计算机、专用计算机、微处理器、数字信号处理器(DSP)以及基于多核处理器架构的处理器。

一般而言，可以以硬件或专用电路、软件、逻辑或其任意组合，实现各种示例性实施例。例如，某些方面可以以硬件实现，而其它方面可以以固件或软件实现，该固件或软件可以由控制器、微处理器或其它计算设备执行，然而本发明并不限于此。尽管本发明的示例性实施例的不同方面可以作为框图、流程图或者使用某种其它图形表示被示出和描述，但应该完全理解，作为非限制性实例，在此描述的这些方框、装置、系统、技术或方法可以以硬件、软件、固件、专用电路或逻辑、通用硬件或控制器或其它计算设备或其某种组合来实现。

因此，应该理解，本发明的示例性实施例的至少某些方面可以以诸如集成电路芯片和模块之类的各种组件实现。因此，应该理解，本发明的示例性实施例可以以体现为集成电路的装置实现，其中集成电路可以包括以下电路(也可能是固件)：其用于实现以下至少一个或多个：数据处理器、数字信号处理器、基带电路和射频电路，它们可配置以便根据本发明的示例性实施例操作。

应该理解，本发明的示例性实施例的至少某些方面可以以计算机可执行指令实现，这些计算机可执行指令例如在一个或多个程序模块中，由一个或多个计算机或其它设备执行。通常，程序模块包括例程、程序、对象、组件、数据结构等，当由计算机或其它设备中的处理器执行时，它们执行特定的任务或者实现特定的抽象数据类型。可以将计算机可执行指令存储在诸如硬盘、光盘、可移动存储介质、固态存储器、RAM之类的计算机可读介质中。如所属技术领域的技术人员理解的，可以根据需要在各种实施例中组合或分配程序模块的功能。此外，该功能可以全部或部分地以诸如集成电路、现场可编程门阵列(FPGA)之类的固件或硬件等效物实现。

本发明包括在此显式公开的任何新颖特性或特性组合或其任何概括。当结合附图阅读时，由于上面的描述，对于相关技术领域的技术人员来说，对本发明的上面示例性实施例的各种修改和改变可以变得显而易见。但是，任何修改仍然落入本发明的非限制性和示例性实施例的范围内。

Claims (25)

1.一种方法，包括：

在第一设备处，根据基于属性的加密(ABE)方案，使用与属性关联的公共属性密钥加密数据，其中所述属性包括至少一个信任级别相关的属性，所述至少一个信任级别相关的属性表示基于信任级别的针对所述数据的访问条件；

将加密后的数据存储到数据中心内；

通过检查第二设备的用户的信任级别是否满足所述访问条件，确定所述第二设备的所述用户的资格；以及

当所述第二设备的所述用户有资格时，向所述第二设备发出私有属性密钥，所述私有属性密钥与属性关联并且针对所述第二设备的所述用户个性化以便解密所述加密后的数据。

2.根据权利要求1的方法，进一步包括：

基于所述第一设备的用户与所述第二设备的所述用户之间的移动社交网络活动，自动评估所述第二设备的所述用户的信任级别。

3.根据权利要求2的方法，进一步包括：

在发出所述私有属性密钥之后，重新评估所述第二设备的所述用户的信任级别；

通过检查所述第二设备的所述用户的重新评估后的信任级别是否仍然满足所述访问条件，重新确定所述第二设备的所述用户的资格；以及

当所述第二设备的所述用户没有资格时，向所述数据中心通知所述第二设备的所述用户没有资格。

4.根据权利要求1的方法，进一步包括：设置所述数据的所述访问条件。

5.根据权利要求1的方法，进一步包括：向所述第二设备通知所述数据的访问策略，其中所述访问策略指示用于特定访问上下文的对应访问条件，

其中基于所述第二设备的所述用户的身份和所述至少一个信任级别相关的属性，生成所述私有属性密钥，所述至少一个信任级别相关的属性表示所述访问策略指示的所述对应访问条件。

6.根据权利要求1的方法，进一步包括：

在所述第一设备处，直接从所述第二设备或者经由所述数据中心，接收所述第二设备的所述用户的访问所述数据的请求，

其中响应于所述请求，执行所述第二设备的所述用户的所述资格的确定。

7.根据权利要求1的方法，进一步包括：

向第三方发送有关所述数据中心的性能的反馈；以及

根据所述第三方基于所述反馈评估的信誉，判定是否继续将所述加密后的数据存储在所述数据中心内。

8.根据权利要求1-7中的任一权利要求的方法，其中基于所述第二设备的所述用户的身份和所述至少一个信任级别相关的属性，生成与至少一个信任级别属性关联的所述私有属性密钥。

9.根据权利要求1-7中的任一权利要求的方法，其中所述信任级别相关的属性指示预定信任级别阈值，并且所述检查包括检查所述第二设备的所述用户的所述信任级别是否满足所述预定信任级别阈值。

10.根据权利要求1-7中的任一权利要求的方法，其中所述属性进一步包括至少一个时间相关的属性，所述至少一个时间相关的属性表示基于有效时间段的针对所述数据的所述访问条件，并且所述确定进一步包括检查所述第二设备的所述用户是否在所述有效时间段内有资格，并且基于所述第二设备的所述用户的身份和所述至少一个时间相关的属性，生成与所述至少一个时间相关的属性关联的所述私有属性密钥。

11.根据权利要求1-7中的任一权利要求的方法，其中由云计算服务提供者提供所述数据中心。

12.一种装置，包括：

至少一个处理器；以及

至少一个存储器，其包括计算机程序代码，

所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起导致所述装置执行至少以下操作，

在第一设备处，根据基于属性的加密(ABE)方案，使用与属性关联的公共属性密钥加密数据，其中所述属性包括至少一个信任级别相关的属性，所述至少一个信任级别相关的属性表示基于信任级别的针对所述数据的访问条件；

将加密后的数据存储到数据中心内；

通过检查第二设备的用户的信任级别是否满足所述访问条件，确定所述第二设备的所述用户的资格；以及

当所述第二设备的所述用户有资格时，向所述第二设备发出私有属性密钥，所述私有属性密钥与属性关联并且针对所述第二设备的所述用户个性化以便解密所述加密后的数据。

13.根据权利要求12的装置，其中所述装置被进一步导致：

基于所述第一设备的用户与所述第二设备的所述用户之间的移动社交网络活动，自动评估所述第二设备的所述用户的信任级别。

14.根据权利要求13的装置，其中所述装置被进一步导致：

在发出所述私有属性密钥之后，重新评估所述第二设备的所述用户的信任级别；

通过检查所述第二设备的所述用户的重新评估后的信任级别是否仍然满足所述访问条件，重新确定所述第二设备的所述用户的资格；以及

当所述第二设备的所述用户没有资格时，向所述数据中心通知所述用户没有资格。

15.根据权利要求12的装置，其中所述装置被进一步导致：设置所述数据的所述访问条件。

16.根据权利要求12的装置，其中所述装置被进一步导致：向所述第二设备通知所述数据的访问策略，其中所述访问策略指示用于特定访问上下文的对应访问条件，

其中基于所述第二设备的所述用户的身份和所述至少一个信任级别相关的属性，生成所述私有属性密钥，所述至少一个信任级别相关的属性表示所述访问策略指示的所述对应访问条件。

17.根据权利要求12的装置，其中所述装置被进一步导致：在所述第一设备处，直接从所述第二设备或者经由所述数据中心，接收所述第二设备的所述用户的访问所述数据的请求，

其中响应于所述请求，执行所述第二设备的所述用户的所述资格的确定。

18.根据权利要求12的装置，其中所述装置被进一步导致：

向第三方发送有关所述数据中心的性能的反馈；以及

根据所述第三方基于所述反馈评估的信誉，判定是否继续将所述加密后的数据存储在所述数据中心内。

19.根据权利要求12-18中的任一权利要求的装置，其中基于所述第二设备的所述用户的身份和所述至少一个信任级别相关的属性，生成与至少一个信任级别属性关联的所述私有属性密钥。

20.根据权利要求12-18中的任一权利要求的装置，其中所述信任级别相关的属性指示预定信任级别阈值，并且所述检查包括检查所述第二设备的所述用户的所述信任级别是否满足所述预定信任级别阈值。

21.根据权利要求12-18中的任一权利要求的装置，其中所述属性进一步包括至少一个时间相关的属性，所述至少一个时间相关的属性表示基于有效时间段的针对所述数据的所述访问条件，并且所述确定进一步包括检查所述第二设备的所述用户是否在所述有效时间段内有资格，并且基于所述第二设备的所述用户的身份和所述至少一个时间相关的属性，生成与所述至少一个时间相关的属性关联的所述私有属性密钥。

22.根据权利要求12-18中的任一权利要求的装置，其中由云计算服务提供者提供所述数据中心。

23.一种承载一个或多个指令的一个或多个序列的计算机可读存储介质，当所述一个或多个指令由一个或多个处理器执行时，导致装置至少执行以下步骤：

在第一设备处，根据基于属性的加密(ABE)方案，使用与属性关联的公共属性密钥加密数据，其中所述属性包括至少一个信任级别相关的属性，所述至少一个信任级别相关的属性表示基于信任级别的针对所述数据的访问条件；

将加密后的数据存储到数据中心内；

通过检查第二设备的用户的信任级别是否满足所述访问条件，确定所述第二设备的所述用户的资格；以及

当所述第二设备的所述用户有资格时，向所述第二设备发出私有属性密钥，所述私有属性密钥与属性关联并且针对所述第二设备的所述用户个性化以便解密所述加密后的数据。

24.一种装置，包括：

用于在第一设备处，根据基于属性的加密(ABE)方案，使用与属性关联的公共属性密钥加密数据的部件，其中所述属性包括至少一个信任级别相关的属性，所述至少一个信任级别相关的属性表示基于信任级别的针对所述数据的访问条件；

用于将加密后的数据存储到数据中心内的部件；

用于通过检查第二设备的用户的信任级别是否满足所述访问条件，确定所述第二设备的所述用户的资格的部件；以及

用于当所述第二设备的所述用户有资格时，向所述第二设备发出私有属性密钥的部件，所述私有属性密钥与属性关联并且针对所述第二设备的所述用户个性化以便解密所述加密后的数据。

25.一种包括一个或多个指令的一个或多个序列的计算机程序产品，当所述一个或多个指令由一个或多个处理器执行时，导致装置至少执行权利要求1-11中的任一权利要求的方法的步骤。