云存储不仅具有存储数据的能力,而且能为大量用户提供随时随地的访问。数据访问控制是云存储服务系统的关键部分,是制约云存储服务广泛应用的瓶颈。基于策略的属性加密方法CP-ABE去除了数据拥有者和数据访问者在时间、空间和同步上的耦合性,因而适合应用于云存储环境下的数据访问控制。但是,在抗共谋攻击、密钥托管安全、前向安全和后向安全的前提下实现用户属性的高效撤销是非常困难的,因为CP-ABE方法中的属性在关联了多个用户私钥的同时也关联了多个密文,因而当某个用户的某个属性发生撤销时,必须对关联了撤销属性的多个用户进行私钥更新,也必须对关联了撤销属性的多个密文进行重加密。属性撤销低效问题一直以来都是CP-ABE云存储访问控制方法的研究热点之一。另外,数据拥有者需要花费过大的计算量加密数据,而用户端也需要过大的解密计算量解密密文数据。终端加解密计算量过大问题也一直是CP-ABE方法具体实施应用的阻碍。最后,云存储环境下,多个用户同时编辑云端同一密文数据时,需要设计可行的写权限授权以及权限验证方法。在上述背景下,论文围绕动态权限管理低效、终端计算代价过大、多用户同时编辑权限控制缺乏等若干关键问题进行了深入研究,主要工作包括:(1)提出了支持动态权限管理的云存储访问控制方法。CP-ABE用作实现云存储下细粒度数据访问控制时存在低效问题:1)用户及其属性的动态变更非常低效;2)用户端的计算代价过大。针对CP-ABE访问控制方法低效问题,为用户属性私钥设计了一对版本密钥,并基于版本密钥提出了一个支持动态权限管理的云存储访问控制方法,其中,所提出的云辅助属性直接撤销方法无需更新其他用户私钥和重加密密文。同时,实现了云辅助解密方法,使得用户解密时的大量运算转移到了云端。与已有方法相比,该方法不仅减轻了用户端的计算代价,同时支持用户及其属性的动态变更。理论分析与仿真实验表明,所提出的云辅助属性直接撤销方法时延最小。(2)提出了支持多用户读写的协同访问控制方法。CP-ABE被认为是云存储下最合适的数据访问控制方法之一,但它仅适合用户分别读取或者分别修改不同数据的情况,直接应用CP-ABE进行多用户协同数据访问时,会存在密文修改无序、密文文件在云端大量冗余存储等问题。多用户协同访问云端数据时,应该在保证机密性、抗共谋的前提下控制合法用户有序地修改同一密文文件,同时云端尽可能减少密文文件副本。本研究以文件为控制粒度,提出了一个支持多用户读写的协同访问控制方法MCA-F。该方法满足单个数据文件作为最小控制粒度的访问控制需求,MCA-F采用层次加密结构,云服务器承担部分解密计算,以降低用户解密的计算代价。针对多用户同时写数据的访问控制,提出了对多个用户提交的暂存数据的管理方法。在MCA-F的基础上,提出了一个以文件逻辑分块为最小控制粒度的支持多用户读写的协同控制方法MCA-B,解决了大文件对控制粒度的精细化要求以及控制对象动态变化的情境下终端计算代价与存储代价过大、控制对象要求灵活等问题,MCA-B设计了文件的逻辑分块机制、基于索引矩阵的表示方法,提出了子数据掩码表示方法以描述多个用户对同一文件不同逻辑分块的写权限;MCA-B支持用户集合、文件逻辑分块结构的动态变化,而且数据的拥有者和修改者无需一直在线。所提出的方法不仅具有云存储下多用户协同写数据的访问控制能力,而且读权限控制的用户端存储量和加解密计算量是较小的。研究工作拓展了 CP-ABE方法的应用场景。(3)提出了云辅助编辑权限控制的协同访问控制方法。数据拥有者因计算能力和通信能力受限而将编辑权限控制委托给云时,存在数据内容泄露、匹配内容泄露、云对用户下一次写权限进行预测等问题。设计云辅助编辑权限控制的协同访问控制方法时存在挑战:1)数据拥有者希望云辅助自己对云端存储的密文数据的写权限进行控制,但不希望云获得数据内容,也不希望云感知匹配内容,甚至不希望云能够预测用户的写权限。2)布尔公式的访问结构无法表达写权限控制策略。3)双线性映射运算计算代价大,不适合多用户协同编辑控制。提出一个支持多用户协同编辑的云存储访问控制方法:数据拥有者采用表达能力更丰富的电路定义写权限访问控制策略,委托半可信云采用矩阵运算快速判断用户提交的密文修改数据是否应该接受,并且云不可预测每个用户提交的是否具有写权限。本文围绕云存储数据访问控制中的动态权限管理、多用户协同访问控制、云辅助编辑控制三个方面开展了研究,提出了基于版本密钥和云辅助解密的直接属性撤销方法、以文件为控制粒度的多用户协同访问控制方法MCA-F、以文件逻辑分块为控制粒度的多用户协同访问控制方法MCA-B、云辅助编辑权限控制的协同访问控制方法,为云存储数据访问控制方面的后续研究提供了借鉴。