用于群组共享的分级文件传播方法、装置、系统及介质

本发明属于文件传播与访问，尤其涉及一种用于群组共享的分级文件传播方法、装置、系统及存储介质。

背景技术：

1、云服务能为个人用户和企业提供方便的无缝访问、高效的运营效率和充足的存储容量。随着云服务的迅速发展，越来越多的数据拥有者选择通过阿里云、腾讯云和华为云等云平台共享其隐私数据。共享的文件经常在以分级为特征的领域中显示出复杂的多级别结构，例如医疗保健和政府。这也就是说，共享的文件会被组织成各种分级的子组，并且每个子组与不同的传播等级相关联。数据传播者经常需要在考虑接收群组传播等级的情况下同时向不同的用户群组(如同事、朋友、家人)传播分级文件。例如，同时担任研究人员的主治医师需要及时将包含患者医疗或个人信息的分级文件传播给其他具有不同传播级别的多个用户。综上所述，提出一个具有细粒度分级传播的高效分级文件群组共享方案是至关重要的。

2、基于属性的加密(abe，attribute-based encryption)和基于身份的广播加密ibbe(identity-basedbroadcast encryption)都需要数据传播者下载加密后的分级文件，并对密文进行解密，最后对文件进行重新加密来实现分级文件的群组共享和分级传播。这些加密方法虽然保证了数据的保密性，但在数据传播效率方面存在明显的不足。条件代理重加密(cpre，conditional proxy re-encryption)由于支持密文转换和多对多访问控制，允许数据传播者仅通过生成与特定条件相关联的重加密密钥来完成传播任务。然而，传统的cpre方案可能无法充分适应云环境中的各种场景，因为它们仅仅依赖于关键字条件。例如，数据拥有者可能有不同的传播偏好，将家庭照片只限制给家庭成员传播，而工作文件则只允许由同事传播。因此，在数据群组的传播中，需要进行细粒度的控制。基于属性的cpre(ab-cpre，attribute-based cpre)是一种很有前途的加密机制，这是由于它既具有cpre的优点，又能进一步实现细粒度的密文转换。

3、尽管与其他机制相比，ab-cpre在分级文件群组共享和细粒度的分级传播方面更高效，但它仍然存在两个明显的缺点。首先，它不能高效地实现多个分级文件的传播树。当需要在云中共享k个分级文件时，数据拥有者需要生成k个独立的传播树结构。显然，上述场景不适用于需要高效传播大量分级文件的领域；其次，它缺乏对分级传播的高效支持。在现有的ab-cpre方案中，当需要传播k个会话密钥时，数据传播者必须执行k次重加密密钥生成。这样的传播过程需要大量的指数运算，使其计算成本高昂且效率低下。因此，如何设计一个具有细粒度分级传播的高效分级文件群组共享是一个挑战。

技术实现思路

1、本发明的目的在于提供一种用于群组共享的分级文件传播方法、装置、系统及存储介质，旨在解决由于现有技术导致对于不同传播级别的文件的传播及访问控制的粒度不够细，计算和通信成本高的问题。

2、一方面，本发明提供了一种用于群组共享的分级文件传播方法，所述方法包括下述步骤：

3、基于所有的分级文件和所述分级文件对应的传播等级，数据拥有者采用分级传播树的构建策略构建文件分级传播树；

4、基于所述文件分级传播树和数据传播者所在群组的第一标识符集合，所述数据拥有者采用数据加密策略生成原始密文，并将所述原始密文发送给所述数据传播者所在群组，同时上传至云服务器；

5、基于待传播群组的第二标识符集合和所述原始密文，所述数据传播者采用重加密密钥生成策略生成与所述待传播群组所属的传播等级对应的重加密密钥，并将所述重加密密钥上传至所述云服务器；

6、基于所述重加密密钥，所述云服务器采用数据重加密策略对所述原始密文中与所述待传播群组所属的传播等级对应的分级文件集合进行重加密，得到对应的重加密密文，并将所述重加密密文发送给所述待传播群组。

7、优选地，所述原始密文是由4个子密文组成的元组，所述数据拥有者采用数据加密策略生成原始密文的步骤，包括：

8、基于初始会话密钥，所述数据拥有者采用分级密钥生成策略生成所述文件分级传播树中每个非叶子节点所对应的会话密钥；

9、所述数据拥有者根据每个所述非叶子节点的所述会话密钥分别对每个所述非叶子节点所对应的分级文件集合进行加密，得到对应的文件密文；

10、所述数据拥有者对每个所述会话密钥分别进行加密，得到对应的会话密钥密文，并根据所述文件密文和所述会话密钥密文得到第一子密文；

11、所述数据拥有者根据所述第一标识符集合计算第二子密文，根据所述文件分级传播树中叶子节点的元素信息计算第三子密文，根据所述数据传播者所在群组的用户数量计算第四子密文；

12、所述数据拥有者根据所述第一、二、三、四子密文得到所述原始密文。

13、优选地，所述重加密密钥是由9个子密钥组成的元组，所述数据传播者采用重加密密钥生成策略生成与所述待传播群组所属的传播等级对应的重加密密钥的步骤，包括：

14、所述数据传播者根据所述数据传播者的身份密钥对所述数据传播者的身份标识符进行验证；

15、当验证通过后，基于所述数据传播者的身份密钥和属性密钥、所述原始密文以及所述第二标识符集合，所述数据传播者根据各子密钥对应的计算公式分别计算第一、二、三、四、五、六、七、八子密钥；

16、所述数据传播者对与所述待传播群组所属的传播等级对应的会话密钥密文进行重加密，得到第九子密钥，并根据所述第一、二、三、四、五、六、七、八、九子密钥，得到所述重加密密钥。

17、优选地，所述数据传播者采用重加密密钥生成策略生成与所述待传播群组所属的传播等级对应的重加密密钥的步骤之前，所述方法还包括：

18、基于所述数据传播者的所述身份标识符，中央机构采用密钥生成策略生成所述数据传播者的所述身份密钥和所述属性密钥。

19、优选地，所述将所述原始密文发送给所述数据传播者所在群组的步骤之后，所述方法还包括：

20、基于所述数据传播者的所述身份标识符和所述身份密钥，所述数据传播者采用第一解密策略对所述原始密文进行解密，得到所有的分级文件。

21、优选地，所述将所述重加密密文发送给所述待传播群组的步骤之后，所述方法还包括：

22、基于所述待传播群组中用户的身份标识符和身份密钥，所述待传播群组中的所述用户采用第二解密策略对所述重加密密文进行解密，得到与所述待传播群组所属的传播等级对应的分级文件。

23、另一方面，本发明提供了一种用于群组共享的分级文件传播装置，所述装置包括：

24、文件树构建单元，用于基于所有的分级文件和所述分级文件对应的传播等级，数据拥有者采用分级传播树的构建策略构建文件分级传播树；

25、原始密文生成单元，用于基于所述文件分级传播树和数据传播者所在群组的第一标识符集合，所述数据拥有者采用数据加密策略生成原始密文，并将所述原始密文发送给所述数据传播者所在群组，同时上传至云服务器；

26、传播密钥生成单元，用于基于待传播群组的第二标识符集合和所述原始密文，所述数据传播者采用重加密密钥生成策略生成与所述待传播群组所属的传播等级对应的重加密密钥，并将所述重加密密钥上传至所述云服务器；

27、传播密文生成单元，用于基于所述重加密密钥，所述云服务器采用数据重加密策略对所述原始密文中与所述待传播群组所属的传播等级对应的分级文件集合进行重加密，得到对应的重加密密文，并将所述重加密密文发送给所述待传播群组。

28、优选地，所述原始密文是由4个子密文组成的元组，所述原始密文生成单元包括：

29、会话密钥生成单元，用于基于初始会话密钥，所述数据拥有者采用分级密钥生成策略生成所述文件分级传播树中每个非叶子节点所对应的会话密钥；

30、分级集合加密单元，用于所述数据拥有者根据每个所述非叶子节点的所述会话密钥分别对每个所述非叶子节点所对应的分级文件集合进行加密，得到对应的文件密文；

31、会话密钥加密单元，用于所述数据拥有者对每个所述会话密钥分别进行加密，得到对应的会话密钥密文，并根据所述文件密文和所述会话密钥密文得到第一子密文；

32、子密文计算单元，用于所述数据拥有者根据所述第一标识符集合计算第二子密文，根据所述文件分级传播树中叶子节点的元素信息计算第三子密文，根据所述数据传播者所在群组的用户数量计算第四子密文；

33、原始密文获得单元，用于所述数据拥有者根据所述第一、二、三、四子密文得到所述原始密文。

34、另一方面，本发明还提供了一种文件传播系统，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上述用于群组共享的分级文件传播方法所述的步骤。

35、另一方面，本发明还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现如上述用于群组共享的分级文件传播方法所述的步骤。

36、本发明基于所有的分级文件和分级文件对应的传播等级，数据拥有者采用分级传播树的构建策略构建文件分级传播树，基于文件分级传播树和数据传播者所在群组的第一标识符集合，数据拥有者采用数据加密策略生成原始密文，并将原始密文发送给数据传播者所在群组，同时上传至云服务器，基于待传播群组的第二标识符集合和原始密文，数据传播者采用重加密密钥生成策略生成与待传播群组所属的传播等级对应的重加密密钥，并将重加密密钥上传至云服务器，基于重加密密钥，云服务器采用数据重加密策略对原始密文中与待传播群组所属的传播等级对应的分级文件集合进行重加密，得到对应的重加密密文，并将重加密密文发送给待传播群组，从而实现不同文件集合的细粒度传播及访问控制，提高了数据的安全性，并降低了管理成本。