在云计算技术应用中,由于第三方服务器是不完全可信的,数据丢失与用户隐私泄露事件频繁发生,使得云存储数据的安全问题日益突出,严重制约了云计算技术的实用化进程。信息安全访问控制是实现云存储数据安全存取的重要手段。传统加密技术仅能实现云数据安全存储,却无法对用户访问权限进行细粒度控制。属性加密是一种支持灵活策略控制的公钥加密原语,它利用一系列属性集来标识用户身份特征,能够有效解决信息安全中的访问控制问题,是面向云信息系统的一种理想访问控制模型。格密码学作为一种主流的后量子安全公钥加密体制,它的安全性基于最坏情况下的格上困难问题,能够抵御量子计算攻击,且在安全性、计算效率等方面均具有优良特性。本文主要研究云信息系统中的安全访问控制问题,结合格密码的抗量子攻击安全优势与属性加密机制的细粒度访问控制能力,利用格密码理论构造新的基于属性的加密访问方案,使其具有量子安全特性,同时提高密码系统运行效率。通过构建格上多授权中心属性加密、可搜索属性加密、属性签名等密码方案,从不同角度研究云信息系统中的安全访问控制问题,为云信息系统提供更好的安全控制与隐私保护方案。本文的主要研究成果如下:1.提出了一种基于格的多授权中心属性加密(MA-ABE)方案,该方案支持多授权中心管理,避免了单授权中心集中式管理的不足,增强了属性加密方案的安全性。在方案中,利用线性秘密共享LSSS理论,实现灵活的属性访问控制策略;并利用格密码技术,构建了一个高效的基于密钥策略的属性加密方案,详细讨论了方案的参数设置,并证明了方案在LWE困难假设下的IND-sCPA安全。该方案通过多授权中心管理并分发用户私钥,比现有的ABE方案更具有实用性,特别适合于在云环境中,对不同网络节点的属性进行分散式管理。2.提出了一种基于格的关键词可搜索的属性加密方案,该方案结合了属性加密(ABE)与关键字可搜索加密(PEKS)的优良密码特性。在方案中,通过设置属性访问控制策略,同时实现了对特定用户的搜索和解密权限的管理,只有满足访问策略的用户才能够搜索并解密密文,具有更强的用户身份隐私。在LWE困难假设下,证明了该方案中属性加密的IND-sCPA安全和关键字可搜索的IND-CKA安全。另外,在云存储环境中,给出了一个完整的应用场景解决方案,包括数据加密、存储、搜索和解密的整个过程,新方案可应用于云存储下多用户共享环境,如远程医疗网络、车载网络等新兴网络应用服务。3.提出了一种基于格的属性签名方案。属性签名是数字签名密码技术的一种推广与发展,在属性签名体制中,签名者利用属性授权中心生成的私钥对消息进行签名,验证者通过验证算法可确认该消息是否由属性满足签名策略的签名者产生,属性签名具有更强的用户匿名性。该方案利用G陷门构造技术,生成格上的短签名,在用户身份相关的属性集上产生签名私钥和签名验证公钥,可以实现对不同用户的身份属性的密钥分发管理,解决了一般属性签名方案中用户合谋攻击问题。最后,基于小整数解(SIS)困难性假设下严格证明了该方案的正确性、不可伪造性。4.给出了一个基于格的属性签名方案在区块链上的应用实例。将上面提出的基于格的属性签名方案应用于个人健康记录(PHR)区块链,在对区块链的特点进行分析的基础上,以属性加密机制作为访问权限控制模型,设计了一种基于属性加密的PHR区块链的共享存储方案。该方案能够保证PHR区块链数据的不被篡改和不可伪造。同时,以链上/链下结合的存储方式,可以有效地实现大规模分布式PHR数据的共享安全。由于格密码技术具有抗量子攻击能力,基于格的属性签名算法在区块链中的应用,可以实现在未来量子计算环境下的认证安全。