云计算是将云资源提供者所提供的软硬件资源虚拟化为资源云,然后由云基础服务提供者布置在云端,为云资源请求者提供弹性可伸缩、按需付费使用的一种新型服务模态。云计算模式在提供新型资源服务的同时,也存在一些系统安全方面的问题,首先在云环境中用户一旦将数据传至云端,便失去了数据的控制,用户数据的机密性、完整性、和可用性无法保证;其次,租户与云服务提供商之间缺乏信任,其计算任务是否能够正确执行、执行结果是否完整均无法确定;第三,在分布式的云环境下,云迁移技术使租户在跨域访问时,存在不同区域的访问权限控制问题;第四,由于在构建资源云时使用了虚拟化技术,使得共享同一台物理机的虚拟机之间出现了旁通道攻击。访问控制作为传统模式中保证数据安全的主要技术之一,能够在可信的服务器上有效阻止非法用户对本服务器上的信息进行访问,同时保证合法用户对受保护的数据进行授权访问。但是在云计算环境中,数据属主与数据并不在一个域内,针对这一问题前人通过将加密机制与访问控制技术相结合,保证了数据属主与数据不同域的环境下数据的安全,加密机制也从基于身份的加密、基于模糊身份的的加密发展成为基于属性的加密。目前现有的关于云计算环境下属性基加密访问控制的研究中多以单授权中心为主,不仅有着计算负担过重的问题,同时若其受到攻击,则会得到所有的系统属性,这样一来系统中数据的安全没有了保障。因此本文围绕着多授权中心属性基加密访问控制展开。本文主要工作如下:(1)在分析了现有的基于属性基加密的云计算单授权中心访问控制存在安全性较低、授权过程复杂、系统容易出现授权瓶颈等问题的基础上,给出了一种基于属性基加密的云计算环境下多授权中心访问控制模型。该模型通过采用对称加密和非对称加密相结合的方式,在保证数据安全性的前提下降低加解密的计算量;通过引入属性管理服务器,记录每个用户所得到的多授权中心生成的私钥个数,在云服务提供商给用户发送密文之前,将用户私钥个数与访问结构的阈值比较,,判断是否有必要发送密文,来降低部分访问用户的计算量,同时还降低了云服务提供商的传输成本。(2)针对用户属性被撤销后的抗共谋及重新加密问题,给出一种用户属性撤销代理重加密机制。通过引入代理重加密方法,在不需要对数据进行解密的前提下,对用户属性撤销后的加密数据,由授权中心进行再次加密,以防止密文解密后的安全问题。同时,通过对版本号的更新,进行被撤销属性的用户的版本号与密文的版本号的一致性判断,来实现对数据的机密性保障。通过引入最小化属性划分算法,将属性值用属性名来表示,实现访问控制半隐藏访问结构的目的。(3)将本文所提的基于ABE的云计算环境下多授权中心访问控制策略和代理重加密策略的安全性问题转化为并行双线性Diffie-Hellman指数问题,通过构造q-PDBDH假设,进行访问策略的安全性证明。同时,对基于ABE的云计算用户属性撤销代理重加密机制进行了实验分析,以证明所提算法在减少计算时间的有效性。