基于属性的加密机制已经成为云计算等分布式环境下,对数据中心的数据实施细粒度访问控制的主要研究趋势。分布式应用的发展使得企业和其它组织,因为工作需求,共同合作完成一项任务。共享数据的访问策略要求用户具有的属性分属多个不同机构,而且访问策略也是不断变化的,因此对多机构属性加密机制提出了挑战。本文对现有多机构身份及属性加密方案进行深入分析和研究,分别从分布式、层次分级及混合架构等几个方面,提出相应的多机构属性加密方案,解决分布式环境下加密数据的安全共享问题。1、针对分布式环境下,目前采用无中心授权机构的基于属性的加密方案,通常存在用户身份全局管理带来的隐私和安全问题,以及授权机构构建信任关系复杂等问题,提出一种增强隐私和安全的分布式多机构属性加密方案。方案不使用中心授权机构管理用户以及密钥,在密钥管理上,以域内管理为主,各授权机构各自管理域内属性及分发密钥;用户进行域外密钥申请时,由用户所在域授权机构代替用户完成,实现用户标识在本域内使用,对外不公开,避免了用户隐私的泄露;同时减少了用户大量的域外申请请求,降低了用户欺骗的可能性,增强了安全性;基于各域的授权机构之间的信任关系,使得授权机构之间的密钥分发协议也更加简单,授权机构可以灵活的扩展;方案采用用户所在域授权机构的标识和用户域内标识相结合的全局身份标识结构,实现用户全网唯一标识,因此不需要额外的机构为用户身份管理提供支撑;同时方案支持灵活复杂的访问控制策略。2、针对层次分级的多机构基于属性加密机制,层次型的密钥生成模式通常和上级授权机构紧密相关带来的安全问题,以及密文和密钥大小及加解密开销随着层次深度而增长的问题,提出一种高效安全的层次型多机构属性加密方案。方案中各个域授权机构的密钥,只和上一级域授权机构有关,同时用户和属性的密钥,也由直属的域授权机构独立生成,实现加解密只和直属的授权机构有关,增强了安全性;密文和密钥大小及加解密开销,也和层次的深度无关,方案更加简单高效;使用用户全局身份标识,实现了域内层次多级的环境下,用户身份域内唯一,解决了层次型架构内部的抗共谋问题;同时管理域内支持授权机构及层次的弹性扩展,支持灵活复杂的访问控制策略。3、针对分布式多域环境下,内部层次型架构及外部分布式架构的密钥管理的需求,以及域内和域间共同的抗共谋要求,提出一种域内层次域间分布的混合架构的多机构属性加密方案。方案中管理域内采用层次分级的密钥管理模式,各个域授权机构独立分发用户及属性的密钥,实现加解密只和直属的授权机构有关,和层次深度无关,更加高效安全;域外密钥请求时,保护了用户身份标识及所属授权机构标识的隐私性,同时基于授权机构之间的信任关系,域间密钥交换协议相对简单;管理域内支持授权机构及层次的弹性扩展,管理域间支持域授权机构的弹性扩展;同时支持复杂且灵活的访问控制策略需求。