基于身份的加密(Identity-Based Encryption,IBE)中,所有收件人都可以使用属性集来标明身份。它允许发件人加密数据,而无需通过知道收件人的身份信息来查询公钥证书。发件人的加密数据存放在云端,同时制定好相应的访问控制策略。发件人并不关心谁将会访问加密数据,因为只有对应的属性集满足相应的访问策略的来访用户才能进行解密。访问控制策略和公钥系统的集成有效地提高了访问控制能力。基于身份的加密比较适合云计算环境下对用户数据和隐私的保护。基于此,基于身份的加密得到了改进和优化,基于属性的加密便由此而生。而属性加密又分化为密钥策略(Key policy attribute encryption,KP-ABE)和密文策略(Ciphertext Policy Attribute Encryption,CP-ABE)。在CP-ABE中,访问控制策略被写在了密文中,同时访问控制能力变得更加精准,更够更好的保护客户云上数据。以往的基于密文策略的属性加密机制为用户分发密钥采用单可信的密钥分发机构,那么密钥分发机构就有能力单独解密密文。为了消除这一弊端,现有的一些方案引入了第三方来削弱密钥分发机构这一能力,二者以一定的运算机制相结合才能共同生成用户的密钥,且两者均没有单独解密这一密文的能力。但同样也带来了新的密钥等秘密信息易泄漏的安全问题,基于此,本文提出了两种不同角度的解决方案如下:(1)针对现有CP-ABE中用户密钥容易外泄的问题,初次提出了一种基于安全三方计算协议的CP-ABE方案。在属性授权中心、云数据存储中心和用户之间使用安全的三方计算构造一个无代理密钥发布协议,这样用户就拥有生成完整密钥所需的子密钥,若从认证中心和数据存储中心生成各自密钥在传输中被恶意攻击者获取,攻击者也无法具有独自解密密文的能力。安全性分析表明,它可以有效地消除单密钥生成中心和用户密钥在向用户传输过程中造成被恶意获取的威胁。(2)对于云上数据的访问控制来讲,属性加密方案几乎可以认为是为其量身定做的。即使是这样,用户的数据及隐私依然受到威胁。系统通信量与风险泄漏成正比。在本文提出了基于同态加密的密文策略属性加密方案中,属性授权中心和云服务中心拥有各自相互保密的独立坐标。两者使用秘密坐标来执行安全两方直线协议,协议执行完毕后,各生成相互保密的子密钥。分析表明,该方案大大减少了生成用户密钥所需的通信交互次数,同时消除了单一密钥生成机制,有效降低了交互过程中秘钥等重要信息外泄的风险。