基于属性的加密技术可以在不可信的环境中通过加密实现细粒度的访问控制,已成为数据安全存储和共享最有潜力的加密技术。此技术最大的优势在于:数据拥有者可以自己制定数据的访问控制策略并且一个文件仅需加密一次就可以安全共享给多个不同的用户。同时,一个用户只需拥有一份密钥便可以访问多个不同的数据密文。最初提出的ABE方案都依赖一个属性权威为用户分发密钥,存在单点失效和扩展性问题,很难应用到大规模或分布式系统中。为了突破这个局限,单权威的ABE方案被扩展到多权威和阈值多权威的ABE方案。然而,现有方案都隐含地依赖一个可信中心管理和验证所有用户的身份和属性,这个可信中心存在同样限制了ABE方案的可扩展性,最典型的挑战是用户权限的即时撤销和用户身份信息的隐私保护。为了解决上述问题,将基于区块链的自我主权身份管理与ABE结合,实现基于区块链的分布式认证和访问控制并保护用户身份隐私。首先,设计一个基于区块链的协同细粒度访问控制方案。该方案利用基于区块链的非中心化自我主权身份管理代替传统KP-ABE方案中身份管理和认证中心并结合非中心化的秘密共享技术实现了多管理者协同的KP-ABE方案。该方案具有以下优势:(1)基于区块链的非中心自我主权身份管理平台代替传统属性密码技术中隐含的身份管理和认证中心,实现了非中心化用户自我控制的身份管理,保证用户的身份隐私。(2)多个管理者协同管理系统所有身份属性集合,作为属性权威共同协商密码系统的公共参数并为用户分发全局密钥份额和属性私钥,用户最终的密钥是所有全局密钥份额的综合和属性私钥,实现了访问控制的权限分散原则,避免了单点失效引发的安全问题。(3)融合基于区块链的自我主权身份管理和身份属性撤销列表机制,以身份属性发布者的身份标识和属性证书编号作为属性撤销列表的索引,实现了匿名的用户权限即时撤销。(4)支持不同类型资源的访问控制,若是数据类型,选定属性集对数据进行加密;若是其他类型,构建动态的挑战应答协议实现访问控制。其次,设计一个基于区块链的非中心化和隐私保护的分布式细粒度访问控制方案。该方案融合基于区块链的非中心化自我主权的身份管理和阈值多权威CP-ABE方案,实现了一个无中心和隐私保护的阈值多权威CP-ABE方案。除了上述方案中利用区块链实现了ABE中非中心化用户自我控制的身份管理、单点失效避免和匿名的身份属性即时撤销外,本方案还具有以下优势:(1)实现了非中心化的匿名属性密钥分发。(2)实现了匿名资源访问。(3)具有良好的扩展性,支持属性权威的动态加入和退出。最后,本文分析了两个方案的安全性,并通过性能分析证明本文方案在零信任网络和分布式云存储中具有一定的应用价值。