云存储是一种利用云计算技术开发的新型存储模式。由于云存储具有成本低、接口简单易用,以及高度可扩展性等优点,它已被广泛应用在企业和个人数据存储领域。但是,这种新的存储模式也引发了一些与数据安全相关的问题。云计算环境支持用户共享数据,这会导致一个恶意的或未经授权的用户利用某种方式访问或修改其他用户的数据。访问控制是保护用户数据安全和隐私的有效方式,而目前的云存储服务提供商仅提供简单的访问控制功能和运用传统加密方法来保证用户数据的安全性。在所有权和管理权分离的复杂云环境下,这些方法往往是不奏效的,并且云服务提供商经常无法实现高效的细粒度访问控制。研究表明,密文策略的基于属性加密方案(CP-ABE)更适合用来构造云存储系统的访问控制机制。在CP-ABE方案中,数据所有者根据所定义的访问策略加密数据,用户的私钥与分配给他的属性集合相关联,当且仅当用户的属性集合满足密文的访问结构时,该用户才能解密数据。在CP-ABE方案中,权威机构和数据拥有者共同决定着用户属性的撤销与添加。因此,用户属性撤销和密钥更新直接决定了访问控制机制运行的效率,影响着云存储系统中CP-ABE的应用效果。本文针对基于CP-ABE的云存储系统访问控制,提出一种高效的用户属性撤销方案,主要工作包括如下几部分:(1)首先,我们重新设计访问控制结构树,将访问结构树划分成两部分,一部分表示读权限的访问结构子树,叶节点由用户读权限的属性构成,另一部分表示写权限的访问结构子树,叶节点由用户的写权限的属性构成,并且根据这两个子树将用户的私钥分成两部分。(2)其次,为了实现高效即时的用户属性撤销,本文在系统模型中引入代理重加密机构,该机构保存了用户的一部分私钥和一张用户属性撤销列表,代理服务器根据用户的属性撤销列表对用户的部分私钥重加密,从而改变用户的权限。密钥的生成和分发由数据所有者和属性机构协作完成,它减少了密钥管理的成本。代理服务器执行了密钥的重加密、维护属性撤销列表的任务以及用户写权限私钥的更新,这大大减轻了授权机构的负担,保证了在云环境下即时高效的属性撤销。(3)最后,对本文方案进行仿真,并与其它典型方案在性能上进行了对比分析。仿真结果和性能分析表明本文方案的主要性能优势在于用户撤销和属性撤销的计算代价大大降低,并且具有即时撤销的功能。