CN109617855A

CN109617855A - 基于cp-abe分层访问控制的文件共享方法、装置、设备及介质

Info

Publication number: CN109617855A
Application number: CN201811251332.1A
Authority: CN
Inventors: 王树兰; 黄美东; 王磊; 王汇文
Original assignee: Shenzhen Technology University
Current assignee: Shenzhen Technology University
Priority date: 2018-10-25
Filing date: 2018-10-25
Publication date: 2019-04-12
Anticipated expiration: 2038-10-25
Also published as: WO2020082687A1; CN109617855B

Abstract

本发明适用密文访问控制技术领域，提供了一种基于CP‑ABE分层访问控制的文件共享方法、装置、设备及介质，该方法包括：当接收到文件拥有者发送的文件共享请求时，根据内容密钥集合，使用对称加密算法对待共享文件集合进行加密，得到文件密文集合，根据公共参数和与门策略LSSS矩阵对应的与门访问控制策略，使用加密函数对内容密钥集合进行加密，得到与内容密钥集合对应的密钥密文集合，将文件密文集合和密钥密文集合上传至云服务器，以实现云端文件共享，从而在通过CP‑ABE实现密文分层访问的同时，降低了密文的存储开销、通信开销以及解密的计算复杂度，提高了加密效率、解密效率以及共享数据的安全程度。

Description

基于CP-ABE分层访问控制的文件共享方法、装置、设备及介质

技术领域

本发明属于密文访问控制技术领域，尤其涉及一种基于CP-ABE分层访问控制的文件共享方法、装置、设备及介质。

背景技术

随着云计算的发展以及大数据使用规模的逐级增大，数据成为最有价值的信息，人们将自己的数据存储在云服务器上已经成为了一种趋势，而云数据的使用与共享给人们的生活和工作带来便利性的同时，也带来了前所未有的数据安全风险，因此，如何实现对云数据的受控共享成为亟待解决的问题。

为了解决云数据的受控共享问题，同时避免隐私数据被窃取，传统的方法是通过用户对待共享的数据进行加密，再以密文的形式传输至云服务器，这种利用加密方案来分发这些加密数据给特定群体的用户非常低效，且不能确保数据是完全安全的，若想确保数据的安全性可通过设计加密机制的访问控制来实现，其中访问控制是阻止非授权用户访问云端隐私数据的第一道安全防线，所以访问控制技术尤为重要。

为了避免特权用户非法访问用户的敏感数据，同时又能够实现在云存储环境中的细粒度访问控制，Sahai等人在2005年提出了属性基加密(Attribute Based Encryption，ABE)的概念，ABE能够对共享数据进行细粒度控制且降低了私钥存储和分发的工作量，然而基本的ABE无法支持灵活的访问控制策略。因此，Bethencourt等人提出了适用于访问控制类应用的密文策略属性基加密(Ciphertext Policy-Attribute Based Encryption，CP-ABE)机制，CP-ABE通过灵活的访问策略使得加密方加密信息时不需要知道具体是谁解密，而解密方只需要符合相应条件便可解密。国内外许多学者对CP-ABE算法进行研究，虽然获得了很多成果但与实际应用相结合的具体实施模型还有不少问题亟待研究，例如，如何构造易维护的访问控制结构，如何增强访问控制的表达能力等。

发明内容

本发明的目的在于提供一种基于CP-ABE分层访问控制的文件共享方法、装置、设备及介质，旨在解决由于现有技术无法提供一种有效的访问控制方法，导致共享数据安全低的问题。

一方面，本发明提供了一种基于CP-ABE分层访问控制的文件共享方法，所述方法包括下述步骤：

当接收到文件拥有者发送的文件共享请求时，根据预先设置的内容密钥集合，使用对称加密算法对待共享文件集合进行加密，得到文件密文集合；

根据预先生成的公共参数和预先构建的与门策略LSSS矩阵对应的与门访问控制策略，使用预设的加密函数对所述内容密钥集合进行加密，得到与所述内容密钥集合对应的密钥密文集合，所述密钥密文集合包含所述与门访问控制策略；

将所述文件密文集合和所述密钥密文集合上传至云服务器，以实现云端文件共享。

另一方面，本发明提供了一种基于CP-ABE分层访问控制的文件共享装置，所述装置包括：

第一加密单元，用于当接收到文件拥有者发送的文件共享请求时，根据预先设置的内容密钥集合，使用对称加密算法对待共享文件集合进行加密，得到文件密文集合；

第二加密单元，用于根据预先生成的公共参数和预先构建的与门策略LSSS矩阵对应的与门访问控制策略，使用预设的加密函数对所述内容密钥集合进行加密，得到与所述内容密钥集合对应的密钥密文集合，所述密钥密文集合包含所述与门访问控制策略；以及

密文上传单元，用于将所述文件密文集合和所述密钥密文集合上传至云服务器，以实现云端文件共享。

另一方面，本发明还提供了一种计算设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上述基于CP-ABE分层访问控制的文件共享方法所述的步骤。

另一方面，本发明还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现如上述基于CP-ABE分层访问控制的文件共享方法所述的步骤。

本发明当接收到文件拥有者发送的文件共享请求时，根据内容密钥集合，使用对称加密算法对待共享文件集合进行加密，得到文件密文集合，根据公共参数和与门策略LSSS矩阵对应的与门访问控制策略，使用预设的加密函数对内容密钥集合进行加密，得到与内容密钥集合对应的密钥密文集合，将文件密文集合和密钥密文集合上传至云服务器，以实现云端文件共享，从而在通过CP-ABE实现密文分层访问的同时，降低了密文的存储开销、通信开销以及解密的计算复杂度，提高了加密效率、解密效率以及共享数据的安全程度。

附图说明

图1是本发明实施例一提供的基于CP-ABE分层访问控制的文件共享方法的实现流程图；

图2是本发明实施例二提供的基于CP-ABE分层访问控制的文件共享方法的实现流程图；

图3是本发明实施例二提供的基于CP-ABE分层访问控制的文件共享方法中构造的与门结构访问树示意图；

图4是本发明实施例二提供的基于CP-ABE分层访问控制的文件共享方法中集成的与门分层访问树示意图；

图5是本发明实施例二提供的基于CP-ABE分层访问控制的文件共享方法中将门分层访问树转换成与门策略LSSS矩阵的示意图；

图6是本发明实施例三提供的基于CP-ABE分层访问控制的文件共享装置的结构示意图；

图7是本发明实施例四提供的基于CP-ABE分层访问控制的文件共享装置的结构示意图；以及

图8是本发明实施例五提供的计算设备的结构示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

以下结合具体实施例对本发明的具体实现进行详细描述：

实施例一：

图1示出了本发明实施例一提供的基于CP-ABE分层访问控制的文件共享方法的实现流程，为了便于说明，仅示出了与本发明实施例相关的部分，详述如下：

在步骤S101中，当接收到文件拥有者发送的文件共享请求时，根据预先设置的内容密钥集合，使用对称加密算法对待共享文件集合进行加密，得到文件密文集合。

本发明实施例适用于数据处理平台、设备或服务器，例如个人计算设备、服务器等。本发明实施例主要包括文件拥有者、文件访问者、属性授权中心以及云服务器四个实体，其中，文件拥有者可将大量的文件进行一次加密，并将加密后的密文存储到云服务器，实现多文件共享；文件访问者根据自身访问权限访问存储在云服务器的文件；属性授权中心除了负责密钥的管理以外，还是负责定义系统属性集合，它是完全信任的，其主要的功能是接受用户的注册、密钥分发、用户验证和管理属性域等；云服务器主要作用是提供密文的存储和文件传输服务。

在本发明实施例中，当接收到文件拥有者发送的文件共享请求时，根据文件拥有者预先设置的内容密钥集合ck＝{ck₁,......,ck_k}，采用对称加密算法(例如，数据加密算法(Data Encryption Standard，DES)、高级加密标准(Advanced Encryption Standard，AES)等)对待共享文件集合进行加密，得到文件密文集合其中，待共享文件集合包含一个或多个待共享文件，内容密钥集合ck＝{ck₁,......,ck_k}中的第k个内容密钥ck_k为待共享文件集合中第k个待共享文件采用对称加密算法时的密钥，为第k个待共享文件对应的文件密文。

在使用对称加密算法对待共享文件集合进行加密之前，优选地，控制属性授权中心通过系统初始化函数Setup(λ)生成公共参数(公钥)PK和主私钥MSK，从而提高了公共参数和主私钥的信任度。其中，λ为预设安全参数。

在控制属性授权中心通过系统初始化函数Setup(λ)生成公共参数(公钥)PK和主私钥MSK时，优选地，通过下述步骤具体实现：

1)、选取一个素数阶为p的双线性群G₀、G_T，双线性映射e:G₀×G₀→G_T，且选取双线性群G₀的一个生成元g；

2)、定义一个哈希函数H:{0,1}^*→G₀，并在Z_p:{0,1,...,p-1}域中随机选择两个元素α和β；

3)、通过公式PK＝(G₀,p,g,e(g,g)^α,h＝g^β)计算公共参数PK，通过公式MSK＝(g^α,β)计算主私钥MSK，PK作为公钥对外开放，MSK作为主密钥由属性授权中心保管。

从而通过上述步骤1)～3)实现了公共参数PK和主私钥MSK的生成，进一步提高了公共参数和主私钥的信任度。

在步骤S102中，根据预先生成的公共参数和预先构建的与门策略LSSS矩阵对应的与门访问控制策略，使用预设的加密函数对内容密钥集合进行加密，得到与内容密钥集合对应的密钥密文集合。

在本发明实施例中，文件拥有者将公共参数PK、内容内容密钥集合ck＝{ck₁,......,ck_k}以及与门策略LSSS矩阵对应的与门访问控制策略(M,ρ)输入到加密函数CT＝Encrypt(PK,(M,ρ),ck)中，通过该加密函数对内容密钥集合进行加密，得到与内容密钥集合对应的密钥密文集合CT，且密钥密文集合CT包含与门访问控制策略(M,ρ)，其中，(M,ρ)为与门策略线性秘密分享方案(Linear Secret Sharing Scheme，LSSS)矩阵M对应的与门访问控制策略，函数ρ为将矩阵M的每一行映射成系统属性集合中系统属性的单映射函数，M为n×n的矩阵，n也即矩阵M中系统属性的数目。

在使用加密函数CT＝Encrypt(PK,(M,ρ),ck)对内容密钥集合进行加密时，优选地，通过下述步骤实现对内容密钥集合的加密：

1)在Z_p:{0,1,...,p-1}域中选择k个随机数s₁、s₂、...、s_k作为加密指数秘密值，对于所有的i＝1,2,...,k计算C_i和C′_i：C_i＝ck_i·e(g,g)^αsi，C′_i＝g^si；

2)选择一组随机向量集合其中，其中，y₂,...,y_n是为了分享加密指数秘密值s_i(i∈[1,k])；

3)计算并在Z_p:{0,1,...,p-1}域中选择n个随机数λ′_1,j、λ′_2,j、...、λ′_n,j作为属性掩码，其中，i∈[1,n]，j∈[1,n-1]，M_i,j为第j个矩阵M_j的第i行，为随机向量集合中的第j个向量；

4)对于i∈[1,n]，计算C_1,i和C_2,i：

5)根据密文公式计算密钥密文集合CT。

从而通过上述步骤1)～5)实现了对内容密钥集合的加密，得到与待共享文件集合对应的密钥密文集合，提高了对共享文件加密的效率和安全程度。

在步骤S103中，将文件密文集合和密钥密文集合上传至云服务器，以实现云端文件共享。

在本发明实施例中，文件拥有者将文件密文集合E_ck(Μ)和与该文件密文集合对应的密钥密文集合CT上传至云服务器，以供文件访问者访问云服务器中相应的文件，从而实现云端文件共享。

在本发明实施例中，当接收到文件拥有者发送的文件共享请求时，根据内容密钥集合，使用对称加密算法对待共享文件集合进行加密，得到文件密文集合，根据公共参数和与门策略LSSS矩阵对应的与门访问控制策略，使用加密函数对内容密钥集合进行加密，得到与内容密钥集合对应的密钥密文集合，将文件密文集合和密钥密文集合上传至云服务器，以实现云端文件共享，从而在通过CP-ABE实现密文分层访问的同时，降低了密文的存储开销、通信开销以及解密的计算复杂度，提高了加密效率、解密效率以及共享数据的安全程度。

实施例二：

图2示出了本发明实施例二提供的基于CP-ABE分层访问控制的文件共享方法的实现流程，为了便于说明，仅示出了与本发明实施例相关的部分，详述如下：

在步骤S201中，当接收到文件拥有者发送的文件共享请求时，控制文件拥有者根据预设的系统属性集合对待共享文件集合中每个文件构造对应的与门结构访问树。

在本发明实施例中，当接收到文件拥有者发送的文件共享请求时，文件拥有者根据属性授权中心定义的系统属性集合对待共享文件集合中每个文件一一构造对应的与门结构访问树，即不同的文件具有不同的访问策略。

作为示例地，文件拥有者要将文件集合Μ＝{m₁,m₂}加密后上传到云服务器，首先，根据系统属性集合Y＝{"主治医生","糖尿病学","研究员"}对文件m₁构造与门结构访问树T₁、对文件m₂构造与门结构访问树T₂，图3示出了与门结构访问树T₁和与门结构访问树T₂，T₁对应的访问策略的属性集合Y₁＝{"主治医生","糖尿病学","研究员"}，即只有达到主治医生级别的糖尿病学研究员才能访问文件m₁，T₂对应的访问策略的属性集合Y₂＝{"糖尿病学","研究员"}，即只要是糖尿病学研究员就能访问文件m₂。

在步骤S202中，根据每个与门结构访问树之间的共性，将所有的与门结构访问树集成为一个与门分层访问树。

在本发明实施例中，每个与门结构访问树都包括等级节点、传输节点和具有属性的叶节点，根据每个与门结构访问树之间的共性(即等级关系)，将所有的与门结构访问树集成为一个与门分层访问树，从而通过共享访问策略的形式降低计算和存储开销，除此之外，用户解密所有密文时仅需要计算一次密钥，提高了解密效率。

作为示例地，如图3示出的与门结构访问树T₁和与门结构访问树T₂，假设属性A＝"主治医生"，B＝"糖尿病学"，C＝"研究员"，则T₁相应的访问策略为(A,(B,C,2),2)，T₂相应的访问策略为(B,C,2)，经过观察发现T₂是T₁的子集，彼此之间有明显的等级关系，即访问策略树T₂可通过扩展的形式得到访问策略树T₁，则将T₁和T₂集成一个如图4所示的与门分层访问树T，即如果这两份文件采用访问策略树T进行加密，其中访问策略可以被文件m₁和文件m₂共同使用。

在步骤S203中，根据预设的矩阵转换规则将与门分层访问树转换成与门策略LSSS矩阵。

在本发明实施例中，在根据预设的矩阵转换规则将与门分层访问树转换成与门策略LSSS矩阵时，优选地，首先将与门分层访问树的根节点标记为矢量v，并初始化一个全局计数器变量c为1，遍历完与门分层访问树后，c即向量的最长长度，然后从上往下遍历与门分层访问树，将一个子节点标记为由其父节点分配的矢量v|1(父节点|子节点连接)，标记该父节点的另一个子节点为矢量(0,...,0)|-1，其中(0,...,0)表示的是0向量的长度为c，最后，一旦完成整个树的标记，将向量标记的叶节点转换成LSSS矩阵中的每一行，若这些向量长度不同，将在向量尾部填充矢量0，从而达到相同的向量长度，从而通过与门策略LSSS矩阵替换分层访问树的访问结构，实现了分层访问的效果，提高了对共享文件加密的效率，并降低了密文的存储开销。

作为示例地，图5示出了将与门分层访问树T按照矩阵转换规则转换成与门策略LSSS矩阵M。

在步骤S204中，根据预先设置的内容密钥集合，使用对称加密算法对待共享文件集合进行加密，得到文件密文集合。

在步骤S205中，根据公共参数和与门策略LSSS矩阵对应的与门访问控制策略，使用预设的加密函数对内容密钥集合进行加密，得到与内容密钥集合对应的密钥密文集合。

在步骤S206中，将文件密文集合和密钥密文集合上传至云服务器，以实现云端文件共享。

在本发明实施，步骤S204～步骤S206的具体实施方式可参考实施例一的步骤S101-步骤S103的描述，在此不再赘述。

在步骤S207中，当接收到文件访问者发送的文件访问请求时，控制文件访问者从属性授权中心获得文件访问者的用户私钥，用户私钥包含与文件访问者对应的用户属性集合。

在本发明实施例中，当接收到文件访问者发送的文件访问请求时，属性授权中心根据该文件访问请求，以主私钥MSK和该文件访问者对应的用户属性集合作为输入，通过密钥生成函数KeyGen(MSK,S)生成文件访问者的用户私钥。

文件访问者在发送文件访问请求之前，优选地，文件访问者在属性授权中心进行注册，在注册时，属性授权中心对文件访问者身份的合法性进行验证，验证通过后，为该文件访问者分配用户属性集合，从而提高云端文件访问的安全性。

在通过密钥生成函数KeyGen(MSK,S)生成文件访问者的用户私钥时，优选地，当文件访问者身份的合法性验证通过后，通过公式计算文件访问者的用户私钥，其中，K₀＝g^αh^r，r为Z_p:{0,1,...,p-1}域中一随机元素，用户属性集合S＝{A₁,...,A_x}，A_x为S中第x个属性，从而进一步提高云端文件访问的安全性。

在步骤S208中，根据公共参数和用户私钥，使用预设的解密函数对云服务器中的密钥密文集合进行解密，得到与用户属性集合对应的访问内容密钥集合。

在本发明实施例中，文件访问者将公共参数PK、用户私钥SK以及密钥密文集合CT输入到解密函数Decrypt(PK,CT,SK)中，通过该解密函数对云服务器中的密钥密文集合CT进行解密，得到与用户属性集合对应的访问内容密钥集合。

在对密钥密文集合进行解密时，优选地，通过下述步骤实现对密钥密文集合的解密：

1)根据与门访问控制策略，获取满足用户属性集合的文件访问策略。

在本发明实施例中，在获取满足用户属性集合的文件访问策略时，优选地，判断用户属性集合S是否满足与门访问控制策略(M,ρ)，是则，将与门访问控制策略设置为文件访问策略，否则，根据与门策略LSSS矩阵M中等级关系规则，将矩阵M_j(即M)中的第一行和第一列删除产生新的矩阵M_j+1，其中j∈[1,n-2]，M为n×n的矩阵，n也即矩阵M中系统属性的的数目，再判断用户属性集合S是否满足M_j+1，若不满足，则对M_j+1中的第一行和第一列进行删除，产生新的矩阵，继续判断，直至用户属性集合满足生成的新矩阵对应的与门访问控制策略，从而提高获取的文件访问策略的合理性。

2)根据文件访问策略解密出对应的访问内容密钥集合。

在本发明实施例中，在根据文件访问策略解密出对应的访问内容密钥集合时，优选地，

当文件访问策略为与门策略LSSS矩阵M对应的与门访问控制策略(M,ρ)时，首先，通过计算ω_i，且使得ω_i∈Z_p，其中M_i为矩阵M的第i行，再通过公式计算第i个用户属性A_i，最后，通过公式计算出对应的访问内容密钥集合ck＝{ck₁,......,ck_k}；

当文件访问策略为M_j+1对应的与门访问控制策略时，首先，选择满足M_j+1对应的访问策略的属性集合I＝{i:ρ(i)∈S}，再通过∑_i∈Iω_i·M_i,j+1＝(1,0,...,0)计算ω_i，且使得ω_i∈Z_p，其中，M_i,j+1为矩阵M_j+1的第i行，j∈[1,n-2]，然后，通过公式

计算第i个用户属性A_i，最后，通过公式计算出对应的访问内容密钥集合ck＝{ck_j+1,ck_j+2,......,ck_k}。

通过上述步骤，可提高解密出的访问内容密钥的适应性和可信度。

在步骤S209中，根据访问内容密钥集合，使用对称解密算法对云服务器中的文件密文集合进行解密，得到与访问内容密钥集合相应的访问文件明文集合。

在本发明实施例中，根据访问内容密钥集合，采用对称解密算法对云服务器中的文件密文集合E_ck(Μ)进行解密，得到与访问内容密钥集合相应的访问文件明文集合，例如，若根据用户属性集合解密出的访问内容密钥集合为ck＝{ck₁,......,ck_k}，根据该访问内容密钥集合，采用对称解密算法对文件密文集合进行解密，则获得的访问文件明文集合为Μ＝{m₁,m₂,....,m_k}，若根据用户属性集合解密出的访问内容密钥集合为ck＝{ck_j+1,ck_j+2,......,ck_k}，根据该访问内容密钥集合，采用对称解密算法对文件密文集合进行解密，则获得的访问文件明文集合为Μ＝{m_j+1,m_j+2,....,m_k}。

在本发明实施例中，文件共享时，每个待共享文件都有不同的访问策略，文件拥有者为每个待共享构造对应的与门结构访问树，再根据与门结构访问树之间共性，将与门结构访问树集成为一个与门分层访问树，文件拥有者对共享文件加密时都采用该与门分层访问树；文件访问时，文件访问者根据自身携带的用户属性对与门分层访问树的每个子树遍历进而判断该访问者满足哪个文件的访问策略，最终解密相应的内容密钥，同时通过对称解密获得相应的明文文件，从而在通过CP-ABE实现密文分层访问的同时，降低了密文的存储开销、通信开销以及解密的计算复杂度，提高了加密效率、解密效率以及共享数据的安全程度。

实施例三：

图6示出了本发明实施例三提供的基于CP-ABE分层访问控制的文件共享装置的结构，为了便于说明，仅示出了与本发明实施例相关的部分，其中包括：

第一加密单元61，用于当接收到文件拥有者发送的文件共享请求时，根据预先设置的内容密钥集合，使用对称加密算法对待共享文件集合进行加密，得到文件密文集合；

第二加密单元62，用于根据预先生成的公共参数和预先构建的与门策略LSSS矩阵对应的与门访问控制策略，使用预设的加密函数对内容密钥集合进行加密，得到与内容密钥集合对应的密钥密文集合；以及

密文上传单元63，用于将文件密文集合和密钥密文集合上传至云服务器，以实现云端文件共享。

在本发明实施例中，基于CP-ABE分层访问控制的文件共享装置的各单元可由相应的硬件或软件单元实现，各单元可以为独立的软、硬件单元，也可以集成为一个软、硬件单元，在此不用以限制本发明。具体地，各单元的实施方式可参考前述实施例一的描述，在此不再赘述。

实施例四：

图7示出了本发明实施例四提供的基于CP-ABE分层访问控制的文件共享装置的结构，为了便于说明，仅示出了与本发明实施例相关的部分，其中包括：

访问树构造单元71，当接收到文件拥有者发送的文件共享请求时，控制文件拥有者根据预设的系统属性集合对待共享文件集合中每个文件构造对应的与门结构访问树；

访问树集成单元72，用于根据每个与门结构访问树之间的共性，将所有的与门结构访问树集成为一个与门分层访问树；

矩阵转换单元73，用于根据预设的矩阵转换规则将与门分层访问树转换成与门策略LSSS矩阵；

第一加密单元74，用于根据预先设置的内容密钥集合，使用对称加密算法对待共享文件集合进行加密，得到文件密文集合；

第二加密单元75，用于根据公共参数和与门策略LSSS矩阵对应的与门访问控制策略，使用预设的加密函数对内容密钥集合进行加密，得到与内容密钥集合对应的密钥密文集合；

密文上传单元76，用于将文件密文集合和密钥密文集合上传至云服务器，以实现云端文件共享；

用户私钥获取单元77，用于当接收到文件访问者发送的文件访问请求时，控制文件访问者从属性授权中心获得文件访问者的用户私钥，用户私钥包含与文件访问者对应的用户属性集合；

密钥密文解密单元78，用于根据公共参数和用户私钥，使用预设的解密函数对云服务器中的密钥密文集合进行解密，得到与用户属性集合对应的访问内容密钥集合；以及

文件密文解密单元79，用于根据访问内容密钥集合，使用对称解密算法对云服务器中的文件密文集合进行解密，得到与访问内容密钥集合相应的访问文件明文集合。

在本发明实施例中，基于CP-ABE分层访问控制的文件共享装置的各单元可由相应的硬件或软件单元实现，各单元可以为独立的软、硬件单元，也可以集成为一个软、硬件单元，在此不用以限制本发明。具体地，各单元的实施方式可参考前述方法实施例的描述，在此不再赘述。

实施例五：

图8示出了本发明实施例五提供的计算设备的结构，为了便于说明，仅示出了与本发明实施例相关的部分。

本发明实施例的计算设备8包括处理器80、存储器81以及存储在存储器81中并可在处理器80上运行的计算机程序82。该处理器80执行计算机程序82时实现上述基于CP-ABE分层访问控制的文件共享方法实施例中的步骤，例如图1所示的步骤S101至S103。或者，处理器80执行计算机程序82时实现上述各装置实施例中各单元的功能，例如图6所示单元61至63的功能。

本发明实施例的计算设备可以为个人计算设备、服务器。该计算设备8中处理器80执行计算机程序82时实现基于CP-ABE分层访问控制的文件共享方法时实现的步骤可参考前述方法实施例的描述，在此不再赘述。

实施例六：

在本发明实施例中，提供了一种计算机可读存储介质，该计算机可读存储介质存储有计算机程序，该计算机程序被处理器执行时实现上述基于CP-ABE分层访问控制的文件共享方法实施例中的步骤，例如，图1所示的步骤S101至S103。或者，该计算机程序被处理器执行时实现上述各装置实施例中各单元的功能，例如图6所示单元61至63的功能。

本发明实施例的计算机可读存储介质可以包括能够携带计算机程序代码的任何实体或装置、记录介质，例如，ROM/RAM、磁盘、光盘、闪存等存储器。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims

1.一种基于CP-ABE分层访问控制的文件共享方法，其特征在于，所述方法包括下述步骤：

2.如权利要求1所述的方法，其特征在于，通过对称加密算法对待共享的文件集合进行加密的步骤之前，所述方法还包括：

控制所述文件拥有者根据预设的系统属性集合对所述待共享文件集合中每个文件构造对应的与门结构访问树；

根据每个所述与门结构访问树之间的共性，将所有的所述与门结构访问树集成为一个与门分层访问树；

根据预设的矩阵转换规则将所述与门分层访问树转换成所述与门策略LSSS矩阵。

3.如权利要求1所述的方法，其特征在于，将所述文件密文集合和所述密钥密文集合上传至云服务器的步骤之后，所述方法还包括：

当接收到文件访问者发送的文件访问请求时，控制所述文件访问者从属性授权中心获得所述文件访问者的用户私钥，所述用户私钥包含与所述文件访问者对应的用户属性集合；

根据所述公共参数和所述用户私钥，使用预设的解密函数对所述云服务器中的所述密钥密文集合进行解密，得到与所述用户属性集合对应的访问内容密钥集合；

根据所述访问内容密钥集合，使用对称解密算法对所述云服务器中的所述文件密文集合进行解密，得到与所述访问内容密钥集合相应的访问文件明文集合。

4.如权利要求3所述的方法，其特征在于，使用预设的解密函数对所述云服务器中的所述密钥密文集合进行解密的步骤，包括：

根据所述与门访问控制策略，获取满足所述用户属性集合的文件访问策略；

根据所述文件访问策略解密出对应的所述访问内容密钥集合。

5.如权利要求4所述的方法，其特征在于，获取满足所述用户属性集合的文件访问策略的步骤，包括：

判断所述用户属性集合是否满足所述与门访问控制策略；

是则，将所述与门访问控制策略设置为所述文件访问策略；

否则，将所述与门访问控制策略对应的与门策略LSSS矩阵中的第一行和第一列进行删除，将删除后的所述与门策略LSSS矩阵对应的访问策略设置为所述与门访问控制策略，并跳转到判断所述用户属性集合是否满足所述与门访问控制策略的步骤。

6.一种基于CP-ABE分层访问控制的文件共享装置，其特征在于，所述装置包括：

7.如权利要求6所述的装置，其特征在于，所述装置还包括：

访问树构造单元，用于控制所述文件拥有者根据预设的系统属性集合对所述待共享文件集合中每个文件构造对应的与门结构访问树；

访问树集成单元，用于根据每个所述与门结构访问树之间的共性，将所有的所述与门结构访问树集成为一个与门分层访问树；以及

矩阵转换单元，用于根据预设的矩阵转换规则将所述与门分层访问树转换成所述与门策略LSSS矩阵。

8.如权利要求6所述的装置，其特征在于，所述装置还包括：

用户私钥获取单元，用于当接收到文件访问者发送的文件访问请求时，控制所述文件访问者从属性授权中心获得所述文件访问者的用户私钥，所述用户私钥包含与所述文件访问者对应的用户属性集合；

密钥密文解密单元，用于根据所述公共参数和所述用户私钥，使用预设的解密函数对所述云服务器中的所述密钥密文集合进行解密，得到与所述用户属性集合对应的访问内容密钥集合；以及

文件密文解密单元，用于根据所述访问内容密钥集合，使用对称解密算法对所述云服务器中的所述文件密文集合进行解密，得到与所述访问内容密钥集合相应的访问文件明文集合。

9.一种计算设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至5任一项所述方法的步骤。

10.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至5任一项所述方法的步骤。