物联网广泛应用在国民经济和军事领域,感知层存在大量低智能的终端节点(受限IoT设备),感知数据通常存储在第三方云服务器,使其安全面临巨大挑战。基于属性加密体制具有强安全性,支持安全细粒度的访问控制,访问控制策略与属性的数量相关,降低了密钥管理和属性授权的复杂性,适应大规模主体的动态授权。因此,CP-ABE可以应用在物联网系统中。但是,CP-ABE还存在一些问题影响实际应用,主要表现为:属性授权机构的密钥管理和属性授权的工作量大;加密和解密操作需要进行大量的双线性运算,受限IoT设备计算和通信能力有限;IoT设备不在本地保留数据,访问控制策略更新困难。本文基于传统CP-ABE方案,提出适用于物联网安全细粒度可策略更新分层外包的CPABE访问控制方案。针对CP-ABE方案中属性授权机构负担重的问题,引入层次化的属性授权,设计多属性授权机构的模型,通过域属性授权机构分担属性授权和密钥管理,减少了中央属性授权机构的工作量,增强了物联网设备的可扩展性;针对加密解密计算量大的问题,提出了分层外包加解密的方案,设计系统总体框架,引入智能化网关外包加密,将大部分加密计算外包给半可信网关,大部分解密计算外包给半可信云服务器,达到设备间传递的数据都是密文,提升了系统的安全性,并满足受限IoT设备的需求;针对访问控制策略更新困难的问题,采取由IoT设备生成策略更新密钥,策略更新外包给云服务器的方法,但更新过程不会向云服务器泄漏敏感数据。本文方案从数据机密性、细粒度访问控制、防止共谋攻击和安全策略更新等方面进行了安全分析,在双线性映射模型和随机预言机模型下可证明安全。通过与其他技术方案进行功能比较,本文方案在多属性授权机构、外包加密解密、策略更新、适合IoT设备等方面的综合性能优秀。效率分析显示数据加密和解密阶段时间成本小于CFAC、DAAC等方案,策略更新阶段时间成本小于DAAC方案。仿真实验结果显示,本文方案在加密解密阶段优于CFAC方案,策略更新阶段优于DAAC方案。