随着云计算技术的普及与发展，越来越多的用户青睐于它强大的计算能力和存储能力，然而近年来云数据的安全性问题和灵活的访问控制成为其发展的瓶颈。目前的云访问控制大多数的加密机制基本原理为：明文通常被其拥有者所定义的访问策略加密，密文的解密密钥则由云用户根据其属性组计算得出，只有当属性组与访问策略相匹配时，用户方能计算出正确的明文数据，否则意味着用户非法，解密失败；然而用户属性的不断变更使得云环境不断改变加解密密钥，不仅给云数据的管理带来了巨大的计算成本开销，同时也带来了安全隐患。本文在云访问控制上的细粒度属性变更机制进行研究，工作的创新点主要如下：　　（1）本文借鉴KEK树和LKH等组密钥算法，在哈希函数的基础上设计了逻辑二叉树组密钥分发机制，将云环境系统内的用户属性群与二叉树的叶子节点相对应，并为每个叶子节点随机分配节点密钥，通过孩子节点进行哈希运算得到父节点密钥，以此类推直到根节点。寻找每个叶子节点属性的最大覆盖子树的根节点密钥组合生成密文的重加密密钥。　　（2）提出一种支持细粒度属性变更的云访问控制的方案ALKEK-CPABE；首先在CP-ABE模型中利用逻辑二叉树将系统用户属性群逻辑连接起来，当用户属性发生变化时，根据与之对应的最大覆盖子树的变化重新生成加解密密钥，在安全信道的传送实现密钥的更新操作；其次在随机语言机模型下基于DBDH的困难假设，利用反证法思想，构建挑战游戏，将满足困难假设规约到DBDH数学困难问题上，当挑战者无法攻破数学困难问题时，那么说明此访问控制模型满足选择明文攻击安全；最后通过计算仿真实验中加解密参数，能够得出该方案能够满足细粒度属性变更并在计算复杂度上具有优势，降低了云系统的属性变更开销，提升了整体加解密的效率。　　（3）本文在CP-ABE的扩展模型（即DP-ABE模型）上引入逻辑二叉树组密钥分发机制，设计了一种支持属性变更的双策略属性基加密方案ALKEK-DPABE；首先介绍了DP-ABE模型（即CP-ABE和KP-ABE的结合体）的加密原理和过程；其次给出ALKEK-DPABE加密方案的算法组成和加密步骤，并基于q-DBHE困难问题假设的基础上证明其在随机预言机下能够满足选择明文攻击安全性；最后与现有的DP-ABE的属性撤销模型进行参数对比表明，该方案在属性撤销机制上具有计算复杂度低等优势。