信息技术的发展带来多种新型的应用,也也导致了数据的爆炸性增长,云计算技术的出现提供了海量信息存储、处理、分发能力,也带来了新的安全挑战。当组织和个人将数据迁移到云上,数据物理控制权的缺失这一本质问题的存在,使得数据隐私问题更加严峻,如果没有很好解决,将大大阻碍云计算技术的发展和应用。加密技术的朴素应用——数据上传到云上之前,对数据进行加密,通过授权密钥来授权用户对数据的访问。这种方案虽然可以解决用户数据控制权缺失的问题,但是为用户带来了巨大的密钥管理、数据加密的开销。基于属性加密(Attribute Based Encryption,ABE)和组密钥管理(Group Key Management,GKM)技术的提出,将数据的解密规则蕴含于数据的加密规则中,大大降低了用户管理密钥的复杂性,但是却存在用户撤销效率低下、无法支持丰富语义的访问规则的问题,用户授权更新时必须面对数据需下载到可信位置重加密带来的巨大的带宽开销的问题。本文为了解决数据存储在云上数据隐私问题,提出了基于线性秘密共享(Line ar Secret-Sharing Schemes,LSSS)的组密钥管理技术,该技术允许用户使用丰富语义的访问规则对数据进行授权,满足访问规则的用户,可以使用自身的身份信息来获取共享的密钥。该技术支持丰富的语义的访问规则,并能够提供灵活的授权变更和用户撤销能力,并且用户的撤销和授权变更时全程无需用户参与,这些特性大大提升了该技术的可用性。基于提出的组密钥管理技术,本文给出了一个安全代理的设计和实现,该安全代理完美的嵌入了本文提出的组密钥管理技术,在不改变云计算的服务模式下,实现了对存储在云上的数据实施访问控制,使数据所有者重新收回了数据的控制权。为了解决用户撤销和授权变更时数据重加密的代价,安全代理采用双层加密技术,在不牺牲数据的安全性、没有带来过多的开销的情况下,将数据重加密的代价授权给云端来执行,提高了授权变更的效率。实验和分析表明,本文提出的组密钥管理算法具有很高的性能。