云存储是一种新型的数据存模式,它的出现为存储系统带来许多新的发展,许多企业建立了面向广大用户的云存储服务系统,如：亚马逊的简单存储服务(S3)、RackSpace的Openstack以及微软的Azure。不同于传统的存储模式,云存储以存储设备为核心,通过网络对分布式存储资源进行整合利用,为用户提供数据存储、访问等服务,是以存储为核心的分布开放式服务系统,可支持海量数据的存储,能满足日益增长的数据存储需求。数据安全问题是云存储中一个至关重要的问题,分布开放式的云存储环境使数据安全问题进一步地扩大化,云存储服务提供商在为用户提供数据存储服务的同时也需要为用户提供数据安全保障,防止数据被恶意泄露、篡改或破坏。随着云存储的飞速发展与广泛应用,云存储中的数据安全问题也受到了产业界和学术界的广泛关注。属性加密机制可为云存储提供安全可靠的、细粒度的密文访问控制。基于属性加密访问控制机制具有如下优点：1)支持细粒度的访问控制,适合于云存储中复杂多样的数据存储形式；2)支持一对多的加密,便于多用户间进行数据共享；3)由数据所有者自主实现对数据访问权限的管理,便于数据访问权限的管理；4)数据以密文形式进行存储传输,通过加密算法确保数据的安全性,防止数据在存储传输过程中产生泄露。基于属性加密的密文访问控制机制可以有效地解决云储存中数据的安全共享问题。属性加密机制中通过访问策略定义数据的访问权限,而访问策略的性能将直接影响到整个访问控制系统的性能。访问策略基于各种秘密共享方案实现,具有多种表示形式,如单调的布尔公式,访问控制树,线性秘密共享方案矩阵和与门访问结构等。在不同的应用场景下,可根据用户的不同需求采用不同形式的访问策略实现数据访问权限的管理。本文致力于研究属性加密机制中的访问策略,提出了几种访问策略性能优化方案,对基于属性加密的访问控制机制进行优化,主要工作包括如下：1)提出一种基于向量空间的访问策略匿名化方法。该方法中,属性集合由一组正交基表示,访问策略则表示为属性集合上非单调的布尔公式。通过如下几个步骤将访问策略表示为对应的匿名化策略矩阵：a)将访问策略转化为对应的析取范式形式；b)将析取范式中每个合取式表示为对应属性向量的线性组合形式——合取向量；c)所有合取向量组成的矩阵即为对应的策略矩阵。由于在向量空间中,向量的分解是不唯一的,在不确定所选属性正交基时,无法从策略矩阵中分析出对应的访问策略信息,从而实现了访问策略的匿名化。同时,本文中提供代理加密、解密方法,将数据加密解密过程中的大部分计算操作交付于云中服务器执行,从而降低终端计算负载。2)提出一种基于分块的LSSS矩阵的访问策略动态扩展方法。分块LSSS矩阵是由多个节点矩阵组合而成的分块矩阵,且矩阵中的每个分块之间相互独立互不影响。分块LSSS矩阵可以分块进行扩展更新,更新过程中仅需花费少量计算、通信开销。具备高扩展性分块LSSS矩阵支持数据所有者对数据访问权限进行动态管理,提高数据易管理性。在采用分块LSSS矩阵表示访问策略的ABE方案中,可通过动态授权、代理授权和临时授权三种方式实现数据访问权限的动态管理,使得数据访问权限的管理更为方便灵活。3)提出基于访问控制树的访问策略压缩方法。在密文策略属性加密机制中,密文的存储量会随着访问策略的规模增长而增加,复杂的访问策略往往导致过大的存储、计算和通信开销。该方法中,通过对访问策略进行数值调整(不改变访问策略的逻辑结构)对访问控制树进行节点压缩,实现系统的冗余优化和效率提升。由于策略压缩问题是一个NP完全问题,本文中采用贪心算法求得近似最优的压缩方案。进一步地,对具备一定结构的数据集合(如数据表),各数据单元的访问策略间可能存在极大的重合,因此可以“子树”为单位进行策略压缩,进一步的提升策略压缩效率。