1.一種支持讀寫分離的安全文件管理系統，由可信授權機構TA，服務提供商，文件所有者，文件審批者和文件閱讀者構成；

所述可信授權機構TA擁有系統初始化模塊、密鑰管理模塊與身份信息管理模塊，所述系統初始化模塊用于初始化系統，生成公共參數和主密鑰并將主密鑰發送給密鑰管理模塊保存；所述密鑰管理模塊用主密鑰為文件所有者和文件審批者產生和分發密鑰對；所述身份信息管理模塊受理文件所有者和文件審批者的注冊請求，為密鑰管理模塊與存儲服務模塊提供文件所有者和文件審批者的信息；

所述服務提供商，用于提供存儲服務、請求處理服務以及對屬性群進行管理；服務提供商擁有存儲服務模塊、請求處理模塊與屬性群管理模塊，所述存儲服務模塊存儲身份信息管理模塊發送的文件所有者、文件審批者信息，為屬性群管理模塊提供文件審批者與文件閱讀者信息；請求處理模塊處理提交文件請求，查詢文件請求，文件審批者與文件閱讀者權限撤銷與變更的請求；所述屬性群管理模塊建立文件審批者和文件閱讀者的屬性群，為每個屬性群產生屬性群密鑰；

所述文件所有者擁有讀密鑰管理模塊和屬性密鑰管理模塊，所述讀密鑰管理模塊存儲文件所有者的讀密鑰，為屬性密鑰管理模塊提供讀密鑰，產生文件所有者的文件與查詢文件索引并向存儲服務模塊發送，同時為文件審批者與文件讀取者分發查詢文件索引；所述屬性密鑰管理模塊運用密文策略屬性加密方法CP-ABE加密讀密鑰，產生讀密鑰密文索引，根據文件審批者與文件讀取者的屬性生成屬性密鑰，向文件審批者與文件讀取者分發屬性密鑰與密文索引，向存儲服務模塊發送讀密鑰密文與密文索引；

所述文件審批者存儲寫密鑰、查詢文件索引、路徑密鑰、屬性密鑰和密文索引，通過查詢文件索引來查詢文件所有者授權修改的文件，并用寫密鑰加密；

所述文件閱讀者存儲查詢文件索引、路徑密鑰、屬性密鑰和密文索引，通過密文索引查詢讀密鑰密文，通過路徑密鑰解密服務屬性群管理模塊生成的屬性群密鑰，通過屬性群密鑰與屬性密鑰解密讀密鑰密文，通過查詢文件索引與讀密鑰查詢與閱讀文件所有者的文件。

2.基于權利要求1所述的管理系統對安全文件進行讀寫分離的方法，通過控制文件讀密鑰的分發從而控制文件的讀權限，通過控制查詢密鑰的分發從而控制對文件的獲取權限；通過控制寫密鑰的分發從而控制文件的寫權限，具體包括如下步驟：

(1)初始化系統：

系統初始化模塊初始化系統，為系統生成公共參數和主密鑰；

(2)身份注冊：

(2a)文件所有者和文件審批者向身份信息管理模塊提交身份信息，請求身份注冊；

(2b)身份信息管理模塊審核文件所有者和文件審批者身份信息，完成身份注冊；

(2c)身份信息管理模塊將文件所有者和文件審批者的身份注冊信息發送給密鑰管理模塊；

(3)密鑰分發：

(3a)密鑰管理模塊為注冊的文件所有者產生并發送讀密鑰對dj1,dj2，為注冊的文件審批者產生并發送寫密鑰對ei1,ei2；

(3b)屬性密鑰管理模塊根據文件審批者與文件閱讀者的屬性產生和分發屬性密鑰；

(3c)屬性群管理模塊為文件審批者與文件閱讀者的屬性建立屬性群，屬性群由具有屬性的文件審批者與文件閱讀者組成，屬性群管理模塊保存各個屬性群的最小覆蓋群路徑密鑰，屬性群管理模塊構造各個屬性群的屬性群密鑰，產生文件審批者與文件閱讀者的路徑密鑰，使用路徑密鑰加密屬性群密鑰，為文件審批者與文件閱讀者分發路徑密鑰；

(4)加密處理：

(4a)屬性密鑰管理模塊利用CP-ABE算法對讀密鑰進行加密操作，產生讀密鑰密文索引，將讀密鑰密文與讀密鑰密文索引發送給屬性群管理模塊；

(4b)屬性群管理模塊用屬性群密鑰對讀密鑰密文重加密，發送給存儲服務模塊存儲；

(4c)屬性群管理模塊利用對稱加密算法對屬性群密鑰加密；

(5)讀密鑰管理模塊將文件所有者的文件與查詢文件索引發送給存儲服務模塊；

(6)文件查詢：

(6a)文件審批者和文件閱讀者向請求處理模塊發送查詢文件請求；

(6b)請求處理模塊在存儲服務模塊中查找文件審批者和文件閱讀者查詢的文件；

(6c)請求處理模塊將查找到的文件發送給文件審批者和文件閱讀者；

(7)文件處理：

(7a)文件審批者修改文件后，使用寫密鑰加密文件并發送到存儲服務模塊；

(7b)存儲服務模塊用文件審批者提交的文件替換原有文件；

(7c)文件審批者和文件閱讀者使用屬性密鑰解密獲取文件所有者的讀密鑰；

(7d)文件審批者和文件閱讀者使用讀密鑰解密查詢到的文件；

(8)權限變更與撤銷：

(8a)文件審批者和文件閱讀者權限變更時，通過更新屬性群密鑰和最小覆蓋群路徑密鑰以及更新讀密鑰密文實現權限變更操作；

(8b)文件審批者和文件閱讀者權限撤銷時，通過刪除文件審批者或文件閱讀者的查詢文件索引，使文件審批者或文件閱讀者無法找到更新的文件從而不能對文件進行操作。