随着云计算技术的发展，云存储凭借其扩展性好、部署快、成本低等诸多优势而得到广泛应用，然而近年来屡次出现的数据丢失、泄露、恶意攻击等事件使用户数据面临巨大的安全风险。数据加密技术和访问控制技术是保护数据安全的两个重要手段，现有的密文策略属性基加密方案(CP-ABE)将访问控制技术与数据加密技术相融合，被认为是云环境中最为理想的数据保护方法，但多数CP-ABE存在效率低、对恶意用户攻击的抵御方式过于简单或没有考虑云环境中恶意用户攻击的情况。
　　针对CP-ABE方案效率较低、恶意用户攻击等问题，提出基于CP-ABE的安全可追溯的访问控制方案。在加密阶段，数据拥有者首先使用无证书签名对访问策略进行签名，然后将签名数据与访问策略一起加入密文计算中。同时，系统中的用户私钥嵌入用户标识等私有秘密信息，当云环境中的其它用户发起对该数据的访问请求时，云服务器可将收到的部分私钥与用户标识合并计算散列值，该散列值可被存储在如区块链等公开数据库中作为访问记录，用于甄别恶意用户。在解密阶段，数据访问者必须先完成签名验证才能正确解密得到明文，这样恶意用户既无法修改已发布在云服务器上的数据和访问策略，也不能冒充数据发布者发布恶意信息，从而有效地抵御了恶意用户的内部攻击。另外，本文方案将解密过程的部分计算交给计算能力较强的云服务器完成，减轻了客户端的解密压力。
　　基于不可区分性游戏安全模型框架，定义了本文方案的攻击安全模型，并证明了其具有选择明文攻击的不可区分性，满足实际应用的安全性要求，同时从直观上分析了本文方案能够较好地抵抗重放攻击、中间人攻击、恶意用户攻击和合谋攻击等常见攻击，最后进行了功能测试和性能分析。实验结果表明：本文方案在满足基本的加解密功能基础上，其私钥存储开销、密文存储开销和加密计算开销均小于同条件下的BSWCP-ABE方案，且随着访问策略复杂度的增加和解密的最小匹配集内元素数量的上升，本文方案的解密计算开销也小于同条件下BSWCP-ABE方案，说明本文方案更适用于大规模的云存储安全访问场景。