[发明专利]一种分层文件加密方法及系统

说明书

本发明公开了一种分层文件加密方法及系统，该方法通过引入控制属性和单向门相结合构造单向门访问树，在此基础上构造控制属性的密钥子项和密文子项，并重新构造传输节点的密文子项，从而解决了越权访问及协作攻击的问题，实现了多层次文件的安全加密。

技术领域

本发明涉及共享数据加密技术领域，具体涉及一种分层文件加密方法及系统。

背景技术

近年来，随着互联网的飞速发展，数据的规模变得越来越大。云环境因其既可以提供计算服务，也可以提供存储服务，已成为解决数据共享问题最有前景的应用平台之一。在云环境中，为确保数据不被其他用户或恶意服务器获取和破坏，用户需在共享数据前需要对数据进行加密。基于属性加密(ABE)由于能够保护数据隐私，实现细粒度、一对多和非交互的访问控制而受到广泛的关注。基于密文策略的属性加密(CP-ABE)方案具有较大的灵活性和适用性，因此是一种更为可行的方案。

然而在实际应用中，多个共享的数据文件通常具有层次结构关系，尤其是在政府、高校和医疗等领域体现尤为明显。传统的CP-ABE方案只能实现在一个访问策略中加密一个文件，要实现层次结构关系中多个文件的加密则需要构造多个访问策略逐一进行加密，造成加解密效率极低且缺乏灵活性。针对此问题，高效的基于文件分层的CP-ABE(FH-CP-ABE)方案被提出，此方案使用一个集成的访问策略对多个层次文件进行加密，提高了加解密效率。但是此方案无法实现同一层次加密多个文件，同时在解密时，与层次节点相对应的用户可相互解密导致同一层次的加密文件存在泄密风险。针对此问题，拓展的基于文件分层的CP-ABE(EFH-CP-ABE)方案被提出，此方案实现了同一层次加密多个文件，同时解决了层次节点相对应的用户可相互解密的问题，提高了方案的安全性，但是这两个方案在加密过程中分别存在用户越权访问，用户协作攻击的安全问题，影响文件加密的安全性。

发明内容

本发明要解决的技术问题是现有的文件分层的CP-ABE方案存在用户越权访问及协作攻击的安全性问题。因此，本发明提供一种分层文件加密方法及系统，通过构造新的与传输节点相关的密文子项消除用户越权访问和协作攻击的可能性，提高文件加密的安全性。

本发明通过下述技术方案实现：

一种分层文件加密方法，包括：

根据待加密分层文件和各待加密分层文件的层次关系构造单向门访问树；基于所述单向门访问树，通过系统公钥对待加密分层文件进行加密，获得加密密文并发送给云服务提供商进行存储；

当数据消费者属性集的所有属性满足部分或全部的单向门访问树，则通过系统公钥和数据消费者私钥对所述加密密文进行解密，获得解密后的明文，否则解密失败。

进一步地，所述分层文件加密方法还包括系统初始化参数λ，所述分层文件加密方法包括阶为p的群和的生成元g，双线性映射e，即e：

所述系统公钥PK的计算过程具体为：基于所述系统初始化参数λ，从中随机选择a₁,a₂,α，为p阶整数域；从随机选择b，系统公钥子项的计算为：e(g,g)^α，并定义两个哈希函数所述系统公钥

所述系统主密钥MSK的计算过程具体为：基于所述系统初始化参数λ，计算系统主密钥子项g^α，得到系统主密钥，所述系统主密钥MSK＝{g^α}。

进一步地，所述分层文件加密方法还包括数据消费者身份信息，所述数据消费者身份信息包括数据消费者标识；所述数据消费者属性集S中包括控制属性A_c，即A_c∈S)；

所述基于所述系统公钥PK、系统主秘钥MSK和数据消费者属性集S计算数据消费者私钥SK，包括：