5G场景下支持CP-ABE的轻量级终端访问控制方法

5g场景下支持cp-abe的轻量级终端访问控制方法
技术领域
1.本技术涉及信息安全技术领域，5g场景海量终端接入衍生的对终端访问控制和身份认证需求，提供低能耗、轻量级、细粒度的解决方案；特别涉及一种5g场景下支持cp-abecp-abe(ciphertext-policy attribute-based encryption，密文策略的属性基加密)的轻量级终端访问控制。


背景技术：

2.5g场景下边缘侧海量终端接入背景下，5g具备高可靠、低延迟、低能耗等特点，边缘终端具备尺寸有限、资源有限、安全设计不足等特点，导致终端需要设计支持低能耗、轻量级、细粒度的访问控制机制。
3.为了实现细粒度用户控制，有以下相关技术：(1)密钥策略((key policy attribute based encryption，kp-abe)，通过访问结构由数据解密者定义，数据解密者可以根据自身的需求制定所对应的访问结构，用户是否可以进行解密取决于其是否与用于描述数据密文对应的属性集合相匹配；(2)密文策略(cp-abe)，加密者根据数据文件的机密性对数据制定不同的访问结构，自主的实现数据的访问控制权限，云存储环境一般选择cp-abe方案；(3)一种实用的在雾计算环境中外包解密的cp-abe方案；(4)一种新颖的cp-abe方案，将部分开销转移到雾节点；(5)一种可追溯的cp-abe方案，可以对暴露的密钥提供保护。
4.然而，相关技术中的cp-abe方案基于双线性映射构建，其加密或解密效率低、空间开销大，更重要的是，随着访问策略的复杂性增大而开销急剧增加，这使资源有限的终端用户难以承受。因此设计可用于轻量级终端设备的cp-abe访问控制机制是云加密存储亟待解决的问题。


技术实现要素：

5.本技术提供一种5g场景下支持cp-abe的轻量级终端访问控制方法，以解决相关技术效率低，计算开销大，在5g场景下终端接入和访问控制方案中实用性不强的问题，提出了新的cp-abe构造方法，实现了轻量级cp-abe方法，降低计算时间和空间开销，提高计算效率度。
6.本技术第一方面实施例提供一种5g场景下支持cp-abe的轻量级终端访问控制方法，包括以下步骤：基于预设的密文策略属性基加密cp-abe方法，根据访问控制条件按照第一预设次序建立访问控制树；基于预设的赋值策略，对所述访问控制树的根节点、多叶子子节点和多个传递节点分别赋值；以及基于预设的许可属性集，基于预设的许可属性集，根据接收到的用户的当前属性验证赋值后的访问控制树，并在判定所述用户为许可用户时，解密加密文档供所述用户查看。
7.可选地，在一些实施例中，所述根据访问控制条件从上至下建立访问控制树，包括：根据所述访问控制条件生成访问控制树结构；在所述访问控制树结构中确定所述根节点、所述多个叶子节点和所述多个传递节点；在每个传递节点的第一位置和第二位置插入
虚拟节点，根据所述根节点、所述多个叶子节点、所述多个传递节点和所述虚拟节点建立所述访问控制树。
8.可选地，在一些实施例中，所述对所述访问控制树的根节点、多个叶子节点和多个传递节点分别赋值，包括：将随机生成多维二进制编码作为秘密值赋值给所述根节点；并基于预设的密钥分配协议，根据所述根节点对应的门限值生成子节点对应的第一多维子秘钥；在对所述多个子节点赋值时，直接将所述第一多维子秘钥赋值给对应的子节点；在对所述多个传递节点赋值时，将所述第一多维子秘钥赋值给当前传递节点的第一位置的虚拟节点，并调用预设编码函数为所述当前传递节点生成多维特征编码，将所述第一多维子秘钥赋值和所述多维特征编码异或运算生成第二多维子秘钥，并将所述第二多维子秘钥赋值给所述当前传递节点的第二位置的虚拟节点；将所述第二多维子秘钥作为所述秘密值依次向下子树递归，对所述子树的每个叶子节点、每个传递节点、每个传递节点第一位置的虚拟节点和每个传递节点第二位置的虚拟节点进行赋值，直至所述访问控制树的每个叶子节点均被赋值完成。
9.可选地，在一些实施例中，所述基于预设的许可属性集，根据接收到的用户的当前属性验证赋值后的访问控制树，包括：所述基于预设的许可属性集，按照第二预设序将所述当前属性映射到所述访问控制树的所述叶子节点，从下到上执行协议，试图恢复根节点对应的秘密值子节点，得到根节点的映射结果；如果所述生成的映射结果与之前所述根节点对应的赋值一致，则判定所述用户为所述许可用户，否则判定所述用户为非许可用户。
10.本技术第二方面实施例提供一种5g场景下支持cp-abe的轻量级终端访问控制系统，包括：控制树建立模块，基于预设的密文策略属性基加密cp-abe方法，根据访问控制条件按照第一预设次序建立访问控制树；赋值模块，用于基于预设的赋值策略，对所述访问控制树的根节点、多个叶子节点和多个传递节点分别赋值；以及验证模块，基于预设的许可属性集，基于预设的许可属性集，根据接收到的用户的当前属性验证赋值后的访问控制树，并在判定所述用户为许可用户时，解密加密文档供所述用户查看。
11.可选地，在一些实施例中，所述控制树建立模块，包括：根据所述访问控制条件生成访问控制树结构；在所述访问控制树结构中确定所述根节点、所述多个叶子节点和所述多个传递节点；在每个传递节点的第一位置和第二位置插入虚拟节点，根据所述根节点、所述多个叶子节点、所述多个传递节点和所述虚拟节点建立所述访问控制树。
12.可选地，在一些实施例中，所述赋值模块，还用于：将随机生成多维二进制编码作为秘密值赋值给所述根节点，并基于预设的密钥分配协议，根据所述根节点对应的门限值生成子节点对应的第一多维子秘钥；在对所述多个叶子节点赋值时，直接将所述第一多维子秘钥赋值给对应的子节点；在对所述多个传递节点赋值时，将所述第一多维子秘钥赋值给当前传递节点的第一位置的虚拟节点，并调用预设编码函数为所述当前传递节点生成多维特征编码，将所述第一多维子秘钥赋值和所述多维特征编码异或运算生成第二多维子秘钥，并将所述第二多维子秘钥赋值给所述当前传递节点的第二位置的虚拟节点；将所述第二多维子秘钥作为所述秘密值依次向下子树递归，对所述子树的每个叶子节点、每个传递节点、每个传递节点第一位置的虚拟节点和每个传递节点第二位置的虚拟节点进行赋值，直至所述访问控制树的每个叶子节点均被赋值完成。
13.可选地，在一些实施例中，所述验证模块，还用于：所述基于预设的许可属性集，按
照第二预设序将所述当前属性映射到所述访问控制树的所述子节点，从下到上执行协议，试图恢复根节点对应的秘密值子节点，得到根节点的映射结果；如果生成的所述映射结果与之前所述根节点对应的赋值一致，则判定所述用户为所述许可用户，否则判定所述用户为非许可用户。
14.本技术第三方面实施例提供一种电子设备，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述程序，以实现如上述实施例所述的5g场景下支持cp-abe的轻量级终端访问控制方法。
15.本技术第四方面实施例提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行，以用于实现如上述实施例所述的5g场景下支持cp-abe的轻量级终端访问控制方法。
16.由此，本技术实施例具有以下有益效果：
17.(1)、根据访问控制需求设计访问控制树，在访问控制树中引入了虚拟节点、传递节点等概念，传递节点特征编码生成函数genfcode(threshold
node
,secret
in
)既保证了每个节点对应子密钥的可持续分配，也保证了新密钥secret
out
的随机性。
18.(2)、基于密钥分配协议、二进制编码实现生成了访问控制树，系统提出了新的cp-abe构造方法。
19.(3)、摒弃了传统基于拉格朗日插值和双线性映射高开销运算实现cp-abe实现了轻量级cp-abe方法。
20.(4)、降低计算时间和空间开销，提高计算效率度。
21.本技术附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本技术的实践了解到。
附图说明
22.本技术上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：
23.图1为根据本技术一个实施例提供的相关技术中的5g 访问控制的场景图；
24.图2为根据本技术一个实施例提供的相关技术中的pir示意图；
25.图3为根据本技术实施例提供的5g场景下支持cp-abe的轻量级终端访问控制方法的流程图；
26.图4为根据本技术一个实施例提供的相关技术中访问控制树的示意图；
27.图5为根据本技术一个实施例提供的5g场景下支持cp-abe的轻量级终端访问控制方法的流程图；
28.图6为根据本技术实施例提供的5g场景下支持cp-abe的轻量级终端访问控制系统的方框示意图；
29.图7为根据本技术实施例提供的电子设备的示意图。
具体实施方式
30.下面详细描述本技术的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附
图描述的实施例是示例性的，旨在用于解释本技术，而不能理解为对本技术的限制。
31.下面参考附图描述本技术实施例的5g场景下支持cp-abe的轻量级终端访问控制方法。针对上述背景技术中心提到的相关技术效率低，计算开销大，在5g场景终端访问控制方案中实用性不强的问题，本技术提供了一种5g场景下支持cp-abe的轻量级终端访问控制方法，在该方法中，通过基于预设的密文策略属性基加密cp-abe方法，根据访问控制条件按照第一预设次序建立访问控制树，并对访问控制树的根节点、多个叶子节点和多个传递节点分别赋值，并基于预设的许可属性集，基于预设的许可属性集，根据接收到的用户的当前属性验证赋值后的访问控制树，并在判定用户为许可用户时，解密加密文档供用户查看。由此，解决了相关技术效率低，计算开销大，在5g场景终端访问控制方案中实用性不强的问题，提出了新的cp-abe构造方法，实现了轻量级cp-abe方法，降低计算时间和空间开销，提高计算效率度。
32.在介绍本技术实施例的5g场景下支持cp-abe的轻量级终端访问控制方法之前，先介绍一下以典型的pir问题场景为例以及介绍pir的访问控控制重要性。
33.pir问题的形式化定义：一个数据库中的文件被均匀分割成n个文件存储，也即为w1,w2,
…
,wn，它们是等长度的。用户du想获取其中的一个文件，为了实现隐私保护，用户不想自己检索、查询或者兴趣内容被数据库知晓。因此，用户设计自己向数据库发出的检索请求，必须达到下面两个条件
34.1、满足解密条件：用户可以根据数据库的回复，正确地解码和恢复检索目标内容；
35.2、隐私保护条件：用户dus输入检索请求时，数据库从检索请求无法获得用户的兴趣内容。
36.3、用户满足访问控制条件：用户满足一定属性的访问条件。
37.当检索对象仅为一个数据库时，同时满足以上两个条件的检索请求只有一种，就是把数据库中的所有文件内容(k个)都下载到dos端后，再进行筛选。可见，为了保护用户隐私，需要付出巨大的通信和宽带待机。如果用多个数据集同时备份存储相关的k个文件，这时用户通过向多个数据库输入检索请求，通过特殊处理，可以在确保每个数据库对用户检索隐私一无所知的同时，大大降低下载量。
38.如图1所示，以最简单的两个数据库为例来说明如何实现pir：假设数据库存储的每条内容都是一个有限域fq中的元素，并假设用户对w7感兴趣。那么，用户私下生成两组个h＝[h1,h2,
…
,hk]向量，分别发送给两个数据库。用户请求数据库1发回线性组合同时，请求数据库2发回线性组合其中当i≠7时，hi′
＝hi；h7′
＝h7 1。可以看出，此检索请求满足解码条件，用数据库2回复的线性组合减去数据库1回复的线性组合，即可得知用户的目标检索内容w7。同时，根据数学欠约束方程组性质，每个数据库从单组检索请求无法破解用户的检索兴趣。假设每条文件的存储空间为l，那么数据库1和数据库2存储数据量分别是kl，用户dus的下载量是2kl。也就是说，pir为了实现隐私保护牺牲了通信流量和带宽，用户dus的下载量是有用信息的2k倍。此方案的一般情况，数据库拓展到n个的情况，每个数据库下传一个关于k个文件数据的线性组合给用户du，用户dus通过解决方程组的方法恢复目标文件w7。由此可以看到，以上pir方法一个必要的前提是每个数据库中的k个文件都没有损坏或者篡改，否则用户dus无法通过pir方法准确恢复文件w7。以上传统的
pir方案，假设用户dus是完全可信的。
[0039]
pir的访问控控制重要性，如图2所示，pir问题的基本假设为：在传统pir问题中，n个数据库不互相通信，现有的pir方案都假设n个数据库的中的k个文件都是一致的，并且数据库中的文件不会损坏或者恶意篡改。以上假设没有考虑真实的安全性需求，没有对终端用户进行访问控制，这导致了存储在分布式数据库dbi中的数据在用户dus面前是完全暴露的。特别是，每次检索通信过程中，用户dus占据绝对主动，可以以任意组合下载数据库dbi中的所有数据wi。当用户dus不可信时，dbi的数据wi(i＝1,2,
…
,n)将会泄露，这意味着需高安全性的访问控制机制对终端用户dus实现精细化的访问控制。与此同时，传统的pir方案中，资源有限的用户端dus的需要追求轻量级和低开销计算和实现机制。
[0040]
综上所述，pir方案中需要设计特殊的访问控制机制，同时满足以下几点：第一，访问控制机制保证数据库中数据的安全性；第二，设计基于属性基的访问控制机制实现访问控制(cp-abe机制)；第三，需要以轻量级、低开销的方式实现cp-abe方法。
[0041]
具体而言，图3为本技术实施例所提供的一种5g场景下支持cp-abe的轻量级终端访问控制方法的流程示意图。
[0042]
如图3所示，该5g场景下支持cp-abe的轻量级终端访问控制方法包括以下步骤：
[0043]
在步骤s301中，基于预设的密文策略属性基加密cp-abe方法，根据访问控制条件按照第一预设次序建立访问控制树。
[0044]
可选地，在一些实施例中，根据访问控制条件从上至下建立访问控制树，包括：根据访问控制条件生成访问控制树结构；在访问控制树结构中确定根节点、多个叶子节点和多个传递节点；在每个传递节点的第一位置和第二位置插入虚拟节点，根据根节点、多个叶子节点、多个传递节点和虚拟节点建立访问控制树。
[0045]
在本技术实施例中，访问控制树的有三类节点：根节点、子节点和传递节点，假想的虚拟节点。
[0046]
1、根节点：最顶端的节点为根节点，每个访问控制树仅有一个根节点。
[0047]
2、子节点：访问控制树最边缘的节点为子节点，每个叶子节点编码值不同，其被赋予不同属性，如博士、信息安全、大数据实验室、通过资质考试等，每个编码值单射到一个属性。
[0048]
3、传递节点：非子节点或根节点即为传递节点，每个传递节点被分配一个特征编码，其值不对外公开。如图虚线框内就是传递节点特征编码；不同传递节点的特征编码可以相同也可以不同。如果不加入特征编码，会发生节点的输入编码(子密钥)无法满足门限的分割机制。例如，node(2,1)节点的门限机制为(s＝2,n＝3)，输入secret
in
＝010001，其最多只能分割成2份，无法满足分割成份的要求；此时node(2,1)节点的运算：输出子秘密满足分割要求。另外，异或运算具备对称性。秘密满足分割要求。另外，异或运算具备对称性。
[0049]
4、虚拟节点：不是真实存在的节点，本技术实施例假想在每个传递节点上侧、下侧各增加一个虚拟节点。这样，上层节点的秘密值被分解生成的一个叶子秘密secret
in
，首先放置于虚拟节点，然后与传递节点的特征编码异或运算，生成新秘密secret
out
，新的秘密值
用于后面的密钥分配计算。
[0050]
在步骤s302中，对访问控制树的根节点、多个叶子节点和多个传递节点分别赋值。在建立访问控制阶段，对访问控制树从上到下依次执行协议。
[0051]
可选地，在一些实施例中，对访问控制树的根节点、多个叶子节点和多个传递节点分别赋值，包括：将随机生成多维二进制编码作为秘密值赋值给根节点；并基于预设的密钥分配协议，根据根节点对应的门限值生成子节点对应的第一多维子秘钥；在对多个叶子节点赋值时，直接将第一多维子秘钥赋值给对应的子节点；在对多个传递节点赋值时，将第一多维子秘钥赋值给当前传递节点的第一位置的虚拟节点，并调用预设编码函数为当前传递节点生成多维特征编码，将第一多维子秘钥赋值和多维特征编码异或运算生成第二多维子秘钥，并将第二多维子秘钥赋值给当前传递节点的第二位置的虚拟节点；将第二多维子秘钥作为秘密值依次向下子树递归，对子树的每个叶子节点、每个传递节点、每个传递节点第一位置的虚拟节点和每个传递节点第二位置的虚拟节点进行赋值，直至访问控制树的每个叶子节点均被赋值完成。
[0052]
需要理解的是，本技术实施例的密钥分配原理为：针对门限为(s,n)的密钥分配：若n＝5,s＝3，把访问密钥k(秘密值)拆分成c(n,s-1)＝c(5,2)＝10份，每个人持有c(n-1,s-1)＝6份密钥。本技术实施例需要拆成c(5,2)＝10个子个子密钥，也就是将原始访问密钥k分成10份子密钥。不妨用b0，b1，b2，...，b9代表10个子密钥，最终每个管理员a1(子节点)分别持有6个密钥，密钥的分配如表1所示。
[0053]
表1
[0054]
管理员分配的密钥二进制表示a1b0，b1，b2，b3，b4，b51111110000a2b0，b1，b2，b6，b7，b81110001110a3b0，b3，b4，b6，b7，b91001101101a4b01，b3，b5，b6，b8，b90101011011a5b2，b4，b5，b7，b8，b90010110111
[0055]
在访问控制树中，将访问密钥k表示成m维二进制编码形式的秘密值，每层的子密钥表示成m维二进制编码形式的子秘密。基本性质，访问密钥k(秘密值)能够被拆分成c(5,2)＝10份的充分必要条件是：若访问密钥k表示为二进制秘密值k＝0101001100
…
10000011(共有m位)，其中非零位至少有c(5,2)＝10个。
[0056]
由数据性质可知，任意s-1个人都无法恢复访问密钥k(秘密值)，因为他们始终缺少一组数据，这组数据分给了其余n-(s-1)个人。而任意s个人都可以打开文档。根据这一原理，本技术实施例提出了5g场景下支持cp-abe的轻量级终端访问控制方法，这是基于密钥分配的理论设计的cp-abe方法。
[0057]
具体地，在本技术实施例中，如图4所示，按照传统cp-abe方法，根据访问控制条件从上至下建立访问控制树。首先将共享密钥k表征成秘密值(如110011)，并且将其赋值给根节点(root node)。同时每个非叶节点都会有对应门限值，在每个非叶节点处执行上述密钥分配协议，最后每个leafnodei都会得到一个编码值leafi(子密钥)。node(x,y)表示访问控制树中第x层、第y个的节点。例如，node(1,1)为根节点，门限为(s＝3,n＝3)，node(2,1)为传递节点(特征编码101111)，门限为(s＝2,n＝3)，node(4,1)为叶子节点(大数据实验室)。
[0058]
综上，本技术实施例在实际执行过程中，首先随机生成一个多维二进制编码作为秘密值，并赋值给根节点；并基于密钥分配协议生成子密钥，将子密钥分别赋值给下层子节点；其中，当子密钥赋值给叶子节点时为直接赋值；当子密钥赋值给传递节点时为，将子密钥赋值给传递节点的上侧虚拟节点，并执行genfcode(threshold
node
,secret
in
)函数，生成特征编码code
feature
，并将子密钥的秘密值secret
in
与特征编码code
feature
进行异或运算生成新子密钥secret
out
，将新子密钥值赋值给传递节点下侧的虚拟节点，将新密钥值作为秘密值，并依次向下递归对访问控制树的每个传递节点(及其上、下侧虚拟节点)、叶子节点进行赋值，使得所有子节点赋值完成。直到，每个叶子节点leafnodei都被赋予一个m维二进制编码leafi。都被赋予一个在步骤s303中，基于预设的许可属性集，基于预设的许可属性集，根据接收到的用户的当前属性验证赋值后的访问控制树，并在判定用户为许可用户时，解密加密文档供用户查看。
[0059]
本领域技术人员应当理解的是，本技术实施例的cp-abe作用为：建立访问控制的时候，从上到下执行密钥分配协议，层层分配映射，最终每个叶子节点得到一个值(属性)；验证的时候，每个属性映射成一个叶子的值，从下到上执行密钥恢复协议，层层恢复，试图恢复根节点的值，如果能恢复则获取许可。并且本技术实施例在中间加入了传递节点加入特征编码、异或运算，增加了节点值的随机性、可分割性。
[0060]
可选地，在一些实施例中，基于预设的许可属性集，根据接收到的用户的当前属性验证赋值后的访问控制树，包括：基于预设的许可属性集，按照第二预设序将当前属性映射到访问控制树的叶子节点，从下到上执行密钥恢复协议，恢复树的每一层传递节点的值，最终得到根节点的值，得到映射结果；如果恢复的映射结果与之前根节点对应的赋值一致，则判定用户为许可用户，否则判定用户为非许可用户。
[0061]
其中，预设的许可数据集可以为att＝{att1,att2,
…
,att
t
}，访问树有t个叶子节点leafnode＝{leafnode1,leafnode2,
…
,eafnode
t
}，对应t个叶子节点编码leaf＝{leaf1,leaf2,
…
,leaf
t
}，将每个属性atti单射到叶子编码leafi，即leafi＝f(atti)。
[0062]
在验证用户访问控制阶段，对访问控制树从下到上依次执行协议。具体地，在本技术实施例中，访问控制模块接收识别终端用户dus的属性dua，并将属性dua映射到leafi，自下而上执行计算协议，如果能恢复根节点的秘密值(如110011)，则判定为许可用户，不能恢复根节点的秘密值，否则不是许可用户。例如，某用户的属性为
[0063][0064]
此时：由“信息安全专业”“博士”属性可得
[0065]
node(2,1)的输出编码111100＝node(3,2)编码∨node(3,3)编码；进而可
[0066]
node(2,1)输入编码，即由“人工智能实验室”属性，得到得到node(2,3)输入编码(000010)；由“通过资质考试”属性node(2,2)编码(100000)最后。依次递归恢复，最后，得到根节点node(1,1)编码值110011＝node(2,1)输入编码111100∨node(2,2)编码100000∨node(2,3)输入编码000010。当得到的根节点编码与秘密值一致时，即为意味着属性集符合访问条件。
[0067]
因上述运算都是朴素的二进制运算，其计算复杂度比较低，相比于传统方法具备较高的计算效率。
[0068]
需要注意的是，在本技术实施例中，当发生检测到不可信的终端用户，或者用户造成属性泄露时，更新子节点的属性编码即可摒弃不可信的终端用户dus。
[0069]
为使本领域技术人员进一步了解本技术实施例的5g场景下支持cp-abe的轻量级终端访问控制方法，下面结合具体实施例进行阐述。
[0070]
图5是实现本技术实施例的5g场景下支持cp-abe的轻量级终端访问控制方法的流程图，包括以下步骤：
[0071]
一、生成访问控制树：
[0072]
1、根据访问控制条件生成访问控制树结构；
[0073]
2、在数结构中确定根节点(root node)、子节点(leaf node)和传递节点(transmit node)；
[0074]
3、在每个传递节点上、下邻侧插入虚拟节点；
[0075]
二、对访问控制树赋值：
[0076]
1、随机生成一个高维二进制编码作为秘密值(m维)，并将其赋值给根节点(root node)；
[0077]
2、根据节点对应的门限，基于上述密钥分配协议生子密钥(m维)，将子密钥分别赋值下层子节点(子节点或传递节点)；
[0078]
3、当上述第2步子密钥赋值给子节点(leaf node)时，直接赋值后，break；
[0079]
4、当上述第2步子密钥赋值给传递节点时(leaf node)，具体过程为：首先，将子密钥secret
in
赋值给本传递节点上侧的虚拟节点；其次，调用genfcode(threshold
node
,secret
in
)函数，为本传递节点生成一个m维特征编码code
feature
；最后，将子密钥secret
in
与特征编码code
feature
进行异或运算生成新子密钥secret
out
，将新子密钥secret
out
赋值给传递节点下侧的虚拟节点。将第4)步中新子密钥secret
out
作为秘密值，重复以上1)、2)、3)依次向下递归，对访问控制树的每个传递节点(及其上、下侧虚拟节点)、子节点进行赋值；
[0080]
5、重复第5步，直到对访问控制树的所有子节点(leaf node)赋值完成；自此，每个叶子节点leafnodei都被赋予一个m维二进制编码leafi；
[0081]
6、许可属性集att＝{att1,att2,
…
,att
t
}，访问树有t个叶子节点leafnode＝{leafnode1,leafnode2,
…
,leafnode
t
}，对应t个叶子节点编码leaf＝{leaf1,leaf2,
…
,leaf
t
}，将每个属性atti单射到叶子编码leafi，即leafi＝f(atti)。
[0082]
7、第4步中传递节点特征编码生成函数genfcode(threshold
node
,secret
in
)code
feature
。输入本传递节点门限值threshold
node
和上侧虚拟节点的赋值secret
in
，输出一个特征编码code
feature
。生成特征编码code
feature
时满足以下约束条件：第一，基于secret
in
和code
feature
生成的新秘密值secret
out
能够被拆分成c(n,s-1)份，即新秘密值secret
out
的非零位至少有c(n,s-1)个；第二，当新秘密值secret
out
被直接赋值给子节点leafi时，secret
out
不能与已有的子节点的编码相同。
[0083]
三、对访问控制树验证：
[0084]
1、访问控制模块接收识别终端用户dus的属性dua；
[0085]
2、将属性dua映射到leafi，自下而上执行计算协议，试图恢复每层节点的值，最终恢复根节点的值；
[0086]
3、如果能恢复根节点的秘密值(如110011)，则判定为许可用户；不能恢复根节点
的秘密值，否则不是许可用户。
[0087]
根据本技术实施例提出的5g场景下支持cp-abe的轻量级终端访问控制方法，通过基于预设的密文策略属性基加密cp-abe方法，根据访问控制条件按照第一预设次序建立访问控制树，并基于预设复制策略，对访问控制树的根节点、多个叶子节点和多个传递节点分别赋值，并基于预设的许可属性集，基于预设的许可属性集，根据接收到的用户的当前属性验证赋值后的访问控制树，并在判定用户为许可用户时，解密加密文档供用户查看。由此，解决了相关技术效率低，计算开销大，在5g访问控制方案中实用性不强的问题，提出了新的cp-abe构造方法，实现了轻量级cp-abe方法，降低计算时间和空间开销，提高计算效率度。
[0088]
其次参照附图描述根据本技术实施例提出的5g场景下支持cp-abe的轻量级终端访问控制系统。
[0089]
图6是本技术实施例的5g场景下支持cp-abe的轻量级终端访问控制系统的方框示意图。
[0090]
如图6所示，该5g场景下支持cp-abe的轻量级终端访问控制系统10包括：控制树建立模块100、赋值模块200和验证模块300。
[0091]
其中，控制树建立模块100，基于预设的密文策略属性基加密cp-abe方法，根据访问控制条件按照第一预设次序建立访问控制树；赋值模块200，用于对访问控制树的根节点、多个叶子节点和多个传递节点分别赋值；以及验证模块300，基于预设的许可属性集，基于预设的许可属性集，根据接收到的用户的当前属性验证赋值后的访问控制树，并在判定用户为许可用户时，解密加密文档供用户查看。
[0092]
可选地，在一些实施例中，控制树建立模块100，包括：根据访问控制条件生成访问控制树结构；在访问控制树结构中确定根节点、多个叶子节点和多个传递节点；在每个传递节点的第一位置和第二位置插入虚拟节点，根据根节点、多个叶子节点、多个传递节点和虚拟节点建立访问控制树。
[0093]
可选地，在一些实施例中，赋值模块200，还用于：将随机生成多维二进制编码作为秘密值赋值给根节点；并基于预设的密钥分配协议，根据根节点对应的门限值生成子节点对应的第一多维子秘钥；在对多个叶子节点赋值时，直接将第一多维子秘钥赋值给对应的子节点；在对多个传递节点赋值时，将第一多维子秘钥赋值给当前传递节点的第一位置的虚拟节点，并调用预设编码函数为当前传递节点生成多维特征编码，将第一多维子秘钥赋值和多维特征编码异或运算生成第二多维子秘钥，并将第二多维子秘钥赋值给当前传递节点的第二位置的虚拟节点；将第二多维子秘钥作为秘密值依次向下子树递归，对子树的每个叶子节点、每个传递节点、每个传递节点第一位置的虚拟节点和每个传递节点第二位置的虚拟节点进行赋值，直至访问控制树的每个叶子节点均被赋值完成。
[0094]
可选地，在一些实施例中，验证模块300，还用于：基于预设的许可属性集，按照第二预设序将当前属性映射到访问控制树的子节点，从下到上执行协议，试图恢复根节点对应的秘密值子节点，得到根节点的映射结果；如果恢复的映射结果与之前根节点对应的赋值一致，则判定用户为许可用户，否则判定用户为非许可用户。
[0095]
需要说明的是，前述对5g场景下支持cp-abe的轻量级终端访问控制方法实施例的解释说明也适用于该实施例的5g场景下支持cp-abe的轻量级终端访问控制系统，此处不再赘述。
[0096]
根据本技术实施例提出的5g场景下支持cp-abe的轻量级终端访问控制系统，通过基于预设的密文策略属性基加密cp-abe方法，根据访问控制条件按照第一预设次序建立访问控制树，并对访问控制树的根节点、多个叶子节点和多个传递节点分别赋值，并基于预设的许可属性集，基于预设的许可属性集，根据接收到的用户的当前属性验证赋值后的访问控制树，并在判定用户为许可用户时，解密加密文档供用户查看。由此，解决了相关技术效率低，计算开销大，在5g访问控制方案中实用性不强的问题，提出了新的cp-abe构造方法，实现了轻量级cp-abe方法，降低计算时间和空间开销，提高计算效率度。
[0097]
图7为本技术实施例提供的电子设备的结构示意图。该电子设备可以包括：
[0098]
存储器701、处理器702及存储在存储器701上并可在处理器702上运行的计算机程序。
[0099]
处理器702执行程序时实现上述实施例中提供的5g场景下支持cp-abe的轻量级终端访问控制方法。
[0100]
进一步地，电子设备还包括：
[0101]
通信接口703，用于存储器701和处理器702之间的通信。
[0102]
存储器701，用于存放可在处理器702上运行的计算机程序。
[0103]
存储器701可能包含高速ram存储器，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。
[0104]
如果存储器701、处理器702和通信接口703独立实现，则通信接口703、存储器701和处理器702可以通过总线相互连接并完成相互间的通信。总线可以是工业标准体系结构(industry standard architecture，简称为isa)总线、外部设备互连(peripheral component，简称为pci)总线或扩展工业标准体系结构(extended industry standard architecture，简称为eisa)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示，图7中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。
[0105]
可选的，在具体实现上，如果存储器701、处理器702及通信接口703，集成在一块芯片上实现，则存储器701、处理器702及通信接口703可以通过内部接口完成相互间的通信。
[0106]
处理器702可能是一个中央处理器(central processing unit，简称为cpu)，或者是特定集成电路(application specific integrated circuit，简称为asic)，或者是被配置成实施本技术实施例的一个或多个集成电路。
[0107]
本技术实施例还提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上的5g场景下支持cp-abe的轻量级终端访问控制方法。
[0108]
在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本技术的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或n个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
[0109]
此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者
隐含地包括至少一个该特征。在本技术的描述中，“n个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。
[0110]
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更n个用于实现定制逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本技术的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本技术的实施例所属技术领域的技术人员所理解。
[0111]
在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用，或结合这些指令执行系统、装置或设备而使用。就本说明书而言，"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下：具有一个或n个布线的电连接部(电子装置)，便携式计算机盘盒(磁装置)，随机存取存储器(ram)，只读存储器(rom)，可擦除可编辑只读存储器(eprom或闪速存储器)，光纤装置，以及便携式光盘只读存储器(cdrom)。另外，计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质，因为可以例如通过对纸或其他介质进行光学扫描，接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序，然后将其存储在计算机存储器中。
[0112]
应当理解，本技术的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，n个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。如，如果用硬件来实现和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或他们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列(pga)，现场可编程门阵列(fpga)等。
[0113]
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括方法实施例的步骤之一或其组合。
[0114]
此外，在本技术各个实施例中的各功能单元可以集成在一个处理模块中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。
[0115]
上述提到的存储介质可以是只读存储器，磁盘或光盘等。尽管上面已经示出和描述了本技术的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本技术的限制，本领域的普通技术人员在本技术的范围内可以对上述实施例进行变化、修改、替换和变型。