随着移动通信技术、网络技术和信息技术的快速发展，云计算已经成为人们日常生活中不可或缺的一部分。然而，在云计算场景中数据的所有权和管理权分离，用户失去对数据的物理控制，云服务提供商可能会滥用用户的数据，例如受利益驱使将数据泄漏给恶意用户等，云服务中的安全问题引起了用户越来越多的关注。为此，研究人员提出了多种基于属性加密的解决方案。然而，这些方案虽然可以实现对云数据的细粒度访问控制，但其在属性管理方面缺乏灵活性，在处理多级属性授权时也缺乏可扩展性。　　本文针对云服务模式中数据的访问、共享、分发及权限动态变更/撤销面临的安全问题，结合访问控制、多项式插值、基于时间的加密、属性加密等理论，探索构建云服务访问控制中的若干安全关键技术，主要研究内容如下:　　1.研究适用于云服务的访问控制模型，提出了面向网络空间的访问控制模型(CoAC)。该模型通过引入访问控制过程中涉及的访问请求实体、广义时态、接入点、访问设备、网络等要素，可实现细粒度、多层次、灵活可变的信息及数据共享的访问控制;通过对访问控制要素进行适当调整，可以支持不同应用场景，也可以描述现有的DAC、MAC、RBAC、ABAC等经典访问控制模型;给出了管理场景的定义和CoAC管理模型，描述了CoAC管理模型下访问请求实体-管理场景和管理场景-管理权限的控制关系，形式化地定义了场景状态中使用的管理函数，给出了CoAC模型中相关的管理方法。　　2.研究多授权中心云服务模式中的访问控制机制，提出了一种轻量级多中心的云服务访问控制方案。该方案将授权中心的属性用特定的向量表示，使得解密密钥长度随着授权中心的个数线性增长，而与属性个数无关，从而极大缩短了解密密钥的长度;基于外包解密，利用盲化技术，在保证安全性的前提下，降低了终端设备解密的计算开销，因此所提方案可用于资源受限的轻量级设备;在选择安全模型的假设下，证明了所提方案可以抵抗合谋攻击。　　3.研究云服务模式中时间可控的访问控制机制，提出了一种常量级密钥的云服务访问控制方案，支持授权用户在数据属主设定的时间区间内进行解密。该方案基于属性的向量表示，实现了常量级密钥;基于时间随机化因子构造的多项式函数和指数函数，实现了敏感数据属主对解密时间的定制;在选择安全模型的假设下，证明了方案的安全性。　　4.研究云服务模式中用户角色变化时权限的变更/撤销机制，提出了一种可撤销的云服务访问控制方案。该方案基于多项式和拉格朗日插值，可实现用户权限的变更/撤销，使得任何高于敏感数据属主设定角色的授权用户都可以访问数据，但已撤销用户无法访问相关数据;在q-BDHIP，MBDH假设下，证明了所提方案的IND-CTCA安全性。