随着互联网的不断发展和普及,信息技术的应用已经扩展到了社会经济、政治、军事、个人生活等各个领域。无论是在计算机上存储、处理和应用,还是在通信网络上传输,信息都可能出现泄密、不完整、被篡改、无法存取等问题。这些破坏可能是有意的,也可能是无意的。这些信息问题的频繁发生,对网络系统构成很大的威胁,使得人们对信息安全的要求越来越高。作为信息安全技术的重要组成部分,访问控制技术在解决上述信息问题上发挥着重大作用。目前,基于属性的访问控制(ABAC)因具有细粒度访问方式的优势,已经成为访问控制领域的研究热点。ABAC主要是通过基于属性的加密机制(ABE)实现的,然而现有的ABE方案中,属性之间存在的层次关系往往被忽略。属性层次关系的描述可以使得访问控制策略的定义更灵活、更高效。针对ABE对属性分层的需求,以及现有的ABE方案在访问控制结构的描述方面和访问控制策略的逻辑运算方面存在的不足,本文提出了两个基于属性分层加密的密文策略方案(CP-HABE),并给出了方案的实际应用场景。具体的研究成果如下:1、将基于身份的分层加密方案(HIBE)与基于属性加密的密文策略方案(CP-ABE)相结合,提出了一个适用于单一属性集的CP-HABE方案(SS-CP-HABE)。在标准模型下基于判定性l-BDHE假设,给出了方案的安全性证明。从访问控制结构设计、存储效率、计算效率、隐私保护等方面与现有算法进行比较,本方案完善了现有的HABE算法的形式化定义;增加了对访问控制结构的描述,提高了实用性;引入属性的匿名化操作,保护了用户的隐私。2、引入线性整数秘密共享机制(LISS),提出了一个适用于多属性集的CP-HABE方案(MS-CP-HABE)。该方案利用属性路径集合,通过LISS矩阵构造访问控制策略,根据既定的运算规则实现了访问控制策略之间的逻辑运算。在标准模型下基于判定性l-BDHE假设,给出了方案的安全性证明。从存储效率、计算效率、属性分层的实现、访问控制策略的逻辑运算等方面与现有算法进行比较,本方案提高了算法的存储效率和计算效率;真正实现了属性分层,简化了访问控制规则;能够进行访问控制策略之间的逻辑运算,使得访问控制的设计更灵活。3、将本文方案应用于民航信息系统中,设计了一个基于属性分层的访问控制(HABAC)的具体方案,并介绍了HABAC的模型框架和相关定义。根据民航信息系统中的一些实例,给出了模型中关键模块的实现过程。