一种基于属性加密的数据访问权限验证方法及系统

技术领域

本发明涉及数据处理技术领域，具体涉及一种基于属性加密的数据访问权限验证方法及系统。

背景技术

随着云存储的发展，云存储平台中数据的访问权限管理越来越受到重视，由于云计算环境的开放性和弹性，数据在云存储中，数据所有者会失去对数据的控制，数据的安全性和隐私将面临来自云平台内外多方面的威胁，因此，对于数据访问进行权限验证，可以有效提升数据的安全性。

现有技术中的数据访问权限管理大多是对数据访问者的属性进行验证，对数据访问者的身份定位等分析不足，导致数据访问安全性较低，还有，其对于数据的密钥的防护安全分析不足，导致数据存在安全风险较高。

发明内容

本发明提供了一种基于属性加密的数据访问权限验证方法及系统，用以解决现有技术中存在的由于大多是对数据访问者的属性进行验证，对数据访问者的身份定位等分析不足，且对于数据的密钥的防护安全分析不足，导致数据访问安全性较低的技术问题。

根据本发明的第一方面，提供了一种基于属性加密的数据访问权限验证方法，包括：对待加密数据进行数据访问策略分析，获得数据访问策略；根据所述数据访问策略构建N个属性授权中心，通过所述N个属性授权中心进行属性私钥的设定，所述N个属性授权中心嵌入预定加密算法，N为大于1的整数；当数据访问者对加密文件进行访问时，获取所述数据访问者的个人属性集合，通过所述个人属性集合向所述N个属性授权中心申请M个属性私钥，M≤N，并对所述M个属性私钥进行全局身份定位符的绑定；判断所述M个属性私钥是否符合所述数据访问策略，如果是，数据访问权限验证通过，获得M个属性私钥的M个全局身份定位符；判断所述M个全局身份定位符是否为相同的全局身份定位符，得到访问安全验证结果；如果所述访问安全验证结果为不通过，向所述N个属性授权中心发送第一权限撤销指令，控制撤销数据访问者的访问权限，并通过N个属性授权中心进行属性私钥的一次更新。

根据本发明的第二方面，提供了一种基于属性加密的数据访问权限验证系统，包括：访问策略获取模块，所述访问策略获取模块用于对待加密数据进行数据访问策略分析，获得数据访问策略；属性授权中心构建模块，所述属性授权中心构建模块用于根据所述数据访问策略构建N个属性授权中心，通过所述N个属性授权中心进行属性私钥的设定，所述N个属性授权中心嵌入预定加密算法，N为大于1的整数；属性私钥申请模块，所述属性私钥申请模块用于当数据访问者对加密文件进行访问时，获取所述数据访问者的个人属性集合，通过所述个人属性集合向所述N个属性授权中心申请M个属性私钥，M≤N，并对所述M个属性私钥进行全局身份定位符的绑定；数据访问权限验证模块，所述数据访问权限验证模块用于判断所述M个属性私钥是否符合所述数据访问策略，如果是，数据访问权限验证通过，获得M个属性私钥的M个全局身份定位符；访问安全验证模块，所述访问安全验证模块用于判断所述M个全局身份定位符是否为相同的全局身份定位符，得到访问安全验证结果；私钥更新模块，所述私钥更新模块用于如果所述访问安全验证结果为不通过，向所述N个属性授权中心发送第一权限撤销指令，控制撤销数据访问者的访问权限，并通过N个属性授权中心进行属性私钥的一次更新。

根据本发明采用的一个或多个技术方案，可达到的有益效果如下：

1.对待加密数据进行数据访问策略分析，获得数据访问策略，根据所述数据访问策略构建N个属性授权中心，通过所述N个属性授权中心进行属性私钥的设定，当数据访问者对加密文件进行访问时，获取所述数据访问者的个人属性集合，通过所述个人属性集合向所述N个属性授权中心申请M个属性私钥，并对所述M个属性私钥进行全局身份定位符的绑定，判断所述M个属性私钥是否符合所述数据访问策略，如果是，数据访问权限验证通过，获得M个属性私钥的M个全局身份定位符，判断所述M个全局身份定位符是否为相同的全局身份定位符，得到访问安全验证结果，如果所述访问安全验证结果为不通过，向所述N个属性授权中心发送第一权限撤销指令，控制撤销数据访问者的访问权限，并通过N个属性授权中心进行属性私钥的一次更新，由此实现对数据访问者的权限验证，达到提升数据访问安全性的技术效果。

2.读取所述数据所有者的访问强制属性，将所述访问强制属性添加至所述数据访问策略，判断所述M个属性私钥是否包含所述访问强制属性，并根据判断结果对所述数据访问权限验证进行修正，实现对数据访问策略限定，达到提升数据访问验证与数据所有者的需求的契合度，提升数据访问权限的精度，进而提升数据安全性的技术效果。

附图说明

为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。构成本发明的一部分的附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本发明实施例提供的一种基于属性加密的数据访问权限验证方法的流程示意图；

图2为本发明实施例提供的一种基于属性加密的数据访问权限验证系统的结构示意图。

附图标记说明：访问策略获取模块11，属性授权中心构建模块12，属性私钥申请模块13，数据访问权限验证模块14，访问安全验证模块15，私钥更新模块16。

实施方式

为了使得本发明的目的、技术方案和优点更为明显，下面将参照附图详细描述本发明的示例实施例。显然，所描述的实施例仅仅是本发明的一部分实施例，而不是本发明的全部实施例，应理解，本发明不受这里描述的示例实施例的限制。

说明书中使用的术语用于描述实施例，而不是限制本发明。如在说明书中所使用的，单数术语“一”“一个”和“该”旨在也包括复数形式，除非上下文另有清楚指示。当在说明书中使用时，术语“包括”和/或“包含”指定了步骤、操作、元件和/或组件的存在，但是不排除一个或多个其他步骤、操作、元件、组件和/或其组的存在或添加。

除非另有定义，本说明书中使用的所有术语(包括技术和科学术语)应具有与本发明所属领域的技术人员通常理解的相同含义。术语，如常用词典中定义的术语，不应以理想化或过于正式的意义来解释，除非在此明确定义。在整个说明书中，相同的附图标记表示相同的元件。

需要说明的是，本发明所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于展示的数据、分析的数据等)，均为经用户授权或者经过各方充分授权的信息和数据。

实施例

图1为本发明实施例提供的一种基于属性加密的数据访问权限验证方法图，所述方法包括：

对待加密数据进行数据访问策略分析，获得数据访问策略；

在一个优选实施例中，还包括：

获取数据访问属性集，所述数据访问属性集由数据所有者制定；读取所述待加密数据的数据规模和预设保密等级；通过所述数据规模和预设保密等级进行数据访问权限分析，得到属性系数，所述属性系数与所述数据规模和预设保密等级正相关；所述数据访问属性集和所述属性系数组成所述数据访问策略。

待加密数据是指属于数据所有者且需要进行访问权限验证的任意类型的数据，包括文字、图像等数据，对待加密数据进行数据访问策略分析，获得数据访问策略，数据访问策略是指对访问者的身份属性要求，比如待加密数据是某一研究室的研究员的实验记录，数据访问策略是指设定的允许对该实验记录进行访问的人员身份属性信息的限定，比如是该研究室的工作人员、是硕士、是A类实验人员等，需要满足以上属性中的多种才有权限进行访问，具体获取过程如下：

获取数据访问属性集，所述数据访问属性集由数据所有者制定，数据所有者即为拥有或者控制所述待加密数据的人，并入某一实验数据的实验员，某一病历记录的患者等，所述数据访问属性集由数据所有者制定，就是数据所有者允许可以获取待加密数据的人员属性集合，就是说，数据所有者制并不是制定确定身份的人员可获取待加密数据，而是指定具有一定身份属性的人员，比如某学院人员、硕士、研二硕士、某个实验室人员等，只要符合上述身份属性的人即可获取待加密数据，具体来说，数据访问属性集可由数据所有者通过客户端上传。读取所述待加密数据的数据规模和预设保密等级，数据规模即为待加密数据的数据大小，预设保密等级也是由数据所有者自行制定，可直接读取。通过所述数据规模和预设保密等级进行数据访问权限分析，得到属性系数，所述属性系数与所述数据规模和预设保密等级正相关，简单来说，所述数据规模越大，预设保密等级越高，对应的属性系数越大，具体来说，可由本领域技术人员自行确定属性系数的设置规则，对数据规模和预设保密等级进行不同范围划分，每个范围区间对应一个属性系数，然后根据待传输数据的数据规模和预设保密等级匹配对应的属性系数，也可由数据所有者直接设定，对此不做限制。简单来说，所述数据访问属性集包含多个身份属性，属性系数是指进行数据访问时，数据访问者的身份属性数量的限定值，比如，数据访问属性集中包含5个身份属性，分别是A、B、C、D、E，假设属性系数为3，那么数据访问者至少需要满足其中3个身份属性才有访问权限。所述数据访问属性集和所述属性系数组成所述数据访问策略，由此实现访问策略的分析，为后续的数据访问验证提供基础。

根据所述数据访问策略构建N个属性授权中心，所述N个属性授权中心用于对所述待加密数据加密处理获得加密文件和属性私钥，所述N个属性授权中心嵌入预定加密算法，N为大于1的整数；

在一个优选实施例中，还包括：

根据数据访问策略中的访问属性建立所述N个属性授权中心；基于数据挖掘获取多个数据加密算法，并采集获取第一数据加密算法的第一历史应用记录；根据所述第一历史应用记录对所述第一数据加密算法进行安全防护性能分析，获得第一安全系数；根据所述第一安全系数和所述待加密数据的预设保密等级对所述多个数据加密算法进行筛选，得到所述预定加密算法组合；根据所述预定加密算法组合对所述N个属性授权中心进行加密算法随机匹配，得到所述N个属性授权中心的N个预定加密算法。

在一个优选实施例中，还包括：

根据所述第一历史应用记录提取第一历史私钥特征集和第一历史攻击数据集；对所述第一历史私钥特征集进行特征复杂度分析，获得第一复杂系数；根据所述第一历史攻击数据集进行攻击风险分析，获得第一攻击风险系数；加权所述第一复杂系数和所述第一攻击风险系数得到所述第一安全系数。

在一个优选实施例中，还包括：

所述第一历史攻击数据集包括第一历史攻击资源和第一历史攻击结果；基于所述第一历史攻击资源和所述第一历史攻击结果，统计所述第一历史攻击结果为攻击成功时的第一攻击资源序列；基于所述第一历史攻击资源和所述第一历史攻击结果，统计所述第一历史攻击结果为攻击失败时的第二攻击资源序列；根据所述第一攻击资源序列和所述第二攻击资源序列计算获取所述第一攻击风险系数。

在一个优选实施例中，还包括：

对所述第一攻击资源序列和所述第二攻击资源序列进行交集提取，获得第一资源交集；获取第一预设攻击资源；判断所述第一资源交集是否为空集，如果是，根据所述第二攻击资源序列提取第一攻击资源最小值，通过所述第一攻击资源最小值与所述第一预设攻击资源计算获取所述第一攻击风险系数；如果否，如果否，以所述第一预设攻击资源与所述第一资源交集的交集最大值的比值作为所述第一攻击风险系数。

根据所述数据访问策略构建N个属性授权中心，N为大于1的整数，简单来说，所述数据访问策略中的数据访问属性集中包含几个属性，就有几个属性授权中心，N就是数据访问属性集中的元素数量，所述N个属性授权中心嵌入预定加密算法，所述N个属性授权中心用于对所述待加密数据加密处理获得加密文件和属性私钥，N为大于1的整数。

具体来说，构建N个属性授权中心的过程如下：根据数据访问策略中的访问属性建立所述N个属性授权中心，所述数据访问策略中的数据访问属性集中包含几个属性，就有几个属性授权中心。基于数据挖掘获取多个数据加密算法，多个数据加密算法是指历史中加密处理时所使用的加密算法，可基于互联网大数据，从海量加密数据中挖掘提取，并将多个数据加密算法中的任意一个数据加密算法记为第一数据加密算法，提取第一数据加密算法的第一历史应用记录，第一历史应用记录包括第一加密算法的历史私钥、历史被攻击信息等记录。根据所述第一历史应用记录对所述第一数据加密算法进行安全防护性能分析，获得第一安全系数，第一安全系数代表了第一数据加密算法的安全防护效果，越容易被攻击者攻破的算法，其第一安全系数越低。进一步根据所述第一安全系数和所述待加密数据的预设保密等级对所述多个数据加密算法进行筛选，得到所述预定加密算法组合，简单来说，所述待加密数据的预设保密等级不同，其需要的防护等级也是不同的，不同的数据加密算法需要使用的计算资源也不同，因此，可对不同的预设保密等级匹配不同的安全系数范围，如果第一安全系数在预设保密等级对应的安全系数范围内，将其加入预定加密算法组合，由此在满足数据所有者的需求的同时，减少计算资源。根据所述预定加密算法组合对所述N个属性授权中心进行加密算法随机匹配，得到所述N个属性授权中心的N个预定加密算法，简单来说，每个属性授权中心均需要匹配一个预定加密算法，但是，所述预定加密算法组合中的加密算法不一定是N个，因此就需要将所述预定加密算法组合中的加密算法随机分配给所述N个属性授权中心，同时，部分加密算法需要分配两次或两次以上，保证每一个属性授权中心都对应一个加密算法作为预定加密算法。后续通过所述预定加密算法对所述待加密数据加密处理获得加密文件和属性私钥，为后续的数据访问验证提供基础。

根据所述第一历史应用记录对所述第一数据加密算法进行安全防护性能分析，获得第一安全系数的过程如下：根据所述第一历史应用记录提取第一历史私钥特征集和第一历史攻击数据集，第一历史私钥特征集泛指任意一个历史私钥中的包含的字符类型数量、每种类型的字符对应出现的次数，以及同一类型的字符之间相隔的字符数量。第一历史攻击数据集则是所述第一历史应用记录中第一数据加密算法被攻击的记录数据，包含攻击结果和进行攻击时使用的计算资源。对所述第一历史私钥特征集进行特征复杂度分析，获得第一复杂系数，历史私钥中的包含的字符类型数量越多、每种类型的字符对应出现的次数差异越大，以及同一类型的字符之间相隔的字符数量越多对应的第一复杂系数越大，具体来说，首先统计获取第一历史私钥中包含的字符总数，然后计算历史私钥中的包含的字符类型数量与字符总数的第一比值，进一步计算获取每种类型的字符对应出现的次数的方差与每种类型的字符对应出现的次数平均值的第二比值，进一步获取同一类型的字符之间相隔的字符数量的平均值与字符总数的第三比值，将第一比值、第二比值、第三比值相加，所得结果即为第一复杂系数。第一复杂系数越高，说明私钥被破解的可能性越小，对应的安全系数就越高。进一步根据所述第一历史攻击数据集进行攻击风险分析，获得第一攻击风险系数，简单来说，就是分析虎丘第一数据加密算法被攻击的可能性，第一攻击风险系数越高，对应的安全系数就越低。加权所述第一复杂系数和所述第一攻击风险系数得到所述第一安全系数，需要说明的是，对所述第一复杂系数和所述第一攻击风险系数进行加权时，需要先对第一攻击风险系数进行转换，因为第一攻击风险系数对第一安全系数的影响是负向的，因此需要用1减去第一攻击风险系数后与第一复杂系数进行加权计算，加权计算时的权重可由本领域技术人员主观自行设定，也可通过现有的变异系数法等方法进行权重分析，从而得到第一安全系数。由此实现对数据加密算法的安全防护性能分析，便于提升加密文件的安全性。

其中，根据所述第一历史攻击数据集进行攻击风险分析，获得第一攻击风险系数的过程如下：所述第一历史攻击数据集包括第一历史攻击资源和第一历史攻击结果，第一历史攻击资源是指在对第一数据加密算法进行攻击时的计算资源，第一历史攻击结果包括攻击成功或者攻击失败。基于所述第一历史攻击资源和所述第一历史攻击结果，统计所述第一历史攻击结果为攻击成功时所使用的计算资源组成第一攻击资源序列，基于所述第一历史攻击资源和所述第一历史攻击结果，统计所述第一历史攻击结果为攻击失败时所使用的计算资源组成第二攻击资源序列。根据所述第一攻击资源序列和所述第二攻击资源序列计算获取所述第一攻击风险系数，具体过程如下：

对所述第一攻击资源序列和所述第二攻击资源序列进行交集提取，获得第一资源交集，第一资源交集是指所述第一攻击资源序列和所述第二攻击资源序列中相同的计算资源，即攻击成功和攻击失败时相同的计算资源。获取第一预设攻击资源，第一预设攻击资源是指数据访问者所使用的客户端的常用计算资源，可获取与加密文件的数据规模相同的文件在下载时所使用的客户端具备的最大计算资源作为第一预设攻击资源。进一步判断所述第一资源交集是否为空集，如果是，说明攻击成功和攻击失败时不具有相同的计算资源，此时根据所述第二攻击资源序列提取第一攻击资源最小值，即提取攻击失败时的最小计算资源，计算所述第一预设攻击资源与所述第一攻击资源最小值的比值作为所述第一攻击风险系数，简单来说，第一攻击资源最小值越大，对应的第一攻击风险系数就越低，如果否，如果否，以所述第一预设攻击资源与所述第一资源交集的交集最大值的比值作为所述第一攻击风险系数，也就是说，此时，攻击成功和攻击失败具有相同的计算资源，因此以第一预设攻击资源与相同的计算资源中最大值的比值作为所述第一攻击风险系数。就是说，攻击者在对密钥进行攻击解密时，需要运用大量的计算资源，如果需要的计算资源过大，攻击者的攻击成本也较高，因此，攻击时所需要的计算资源越大，对应的攻击风险系数就越小。

当数据访问者对加密文件进行访问时，获取所述数据访问者的个人属性集合，通过所述个人属性集合向所述N个属性授权中心申请M个属性私钥，M≤N，并对所述M个属性私钥进行全局身份定位符的绑定；

当数据访问者对加密文件进行访问时，获取所述数据访问者的个人属性集合，个人属性集合是指数据访问者的身份属性，比如某研究院的工作人员、硕士等，可通过数据访问者上传自己的身份证件，比如工作证、学生证、学位证等识别获取，通过所述个人属性集合向所述N个属性授权中心申请M个属性私钥，M≤N，M是个人属性集合中的元素数量，简单来说，个人属性集合是数据访问属性集的子集，在对加密文件进行解密访问时，需要M个属性密钥一起进行解密，并对所述M个属性私钥进行全局身份定位符的绑定，简单来说，就是对所述M个属性私钥进行访问IP地址的绑定，便于识别是否存在数据访问异常。

判断所述M个属性私钥是否符合所述数据访问策略，如果是，数据访问权限验证通过，获得M个属性私钥的M个全局身份定位符；

判断所述M个属性私钥是否符合所述数据访问策略，所述数据访问策略中包含所述数据访问属性集和所述属性系数，此处主要是判断M是否大于等于所述属性系数，比如访问属性系数为4，就是个人属性集合中至少包含4个属性，且个人属性集合是数据访问属性集的子集，此时数据访问权限验证通过。进一步根据全局身份定位符的绑定获得M个属性私钥的M个全局身份定位符。

在一个优选实施例中，还包括：

读取所述数据所有者的访问强制属性；将所述访问强制属性添加至所述数据访问策略；判断所述M个属性私钥是否包含所述访问强制属性，并根据判断结果对所述数据访问权限验证进行修正。

读取所述数据所有者的访问强制属性，访问强制属性是指数据访问者必须满足的身份属性，比如必须是某研究院的工作人员，就是说，属性系数表示个人属性集合只要是数据访问属性集的子集，且人属性集合中的元素数量大于等于属性系数即可，但是对于个人属性集合中的属性类型并没有规定，因此，可由数据所有者国定访问强制属性，比如必须是研究生、必须是三甲医院的医生等。将所述访问强制属性添加至所述数据访问策略，对数据访问策略进行进一步的限定，进而判断所述M个属性私钥是否包含所述访问强制属性，并根据判断结果对所述数据访问权限验证进行修正，简单来说，如果不包含，数据访问权限验证是不通过的，基于此对所述数据访问权限验证进行修正，在数据访问权限验证是不通过的情况下，所述M个属性私钥无法为加密文件进行解密。

判断所述M个全局身份定位符是否为相同的全局身份定位符，得到访问安全验证结果；

如果所述访问安全验证结果为不通过，向所述N个属性授权中心发送第一权限撤销指令，控制撤销数据访问者的访问权限，并通过N个属性授权中心进行属性私钥的一次更新。

判断所述M个全局身份定位符是否为相同的全局身份定位符，得到访问安全验证结果，简单来说，本发明提供的方法，一个数据访问者需要利用M个属性密钥进行加密文件的解密，就是说，M个属性密钥均是在该数据访问者所使用的客户机上生成的，那么，M个属性密钥对应的M个全局身份定位符一定是同一个全局身份定位符，如果不是，说明可能有多个人通过不同的属性密钥对加密文件进行攻破，此时访问安全验证结果为不通过。如果M个全局身份定位符相同，所述访问安全验证结果为通过。

如果所述访问安全验证结果为不通过，向所述N个属性授权中心发送第一权限撤销指令，用于控制撤销数据访问者的访问权限，并通过N个属性授权中心进行属性私钥的一次更新，从而防止攻击者对加密文件进行攻破，保证数据访问的安全性。

在一个优选实施例中，还包括：

获取所述加密文件的访问地址和访问时间；根据所述访问地址和所述访问时间进行异常访问行为识别，获得异常识别结果；根据所述异常识别结果生成第二权限撤销指令，并发送至所述N个属性授权中心进行属性私钥的二次更新。

在所述数据访问权限验证通过之后，提取所述加密文件的访问地址和访问时间，根据所述访问地址和所述访问时间进行异常访问行为识别，获得异常识别结果，简单来说，数据所有者可结合实际情况划定一个IP地址范围，比如患者只想要某一个城市内的医生获取加密文件，那么IP地址范围就在该城市内，同时划定一个数据访问时间范围，比如某研究院的标准工作时间范围，只要所述访问地址和所述访问时间不在IP地址范围内和标准工作时间范围内，就任务是异常访问行为，以此作为异常识别结果。根据所述异常识别结果生成第二权限撤销指令，并发送至所述N个属性授权中心进行属性私钥的二次更新，从而防止攻击人员通过购买属性密钥进行加密文件的下载、解密，造成数据泄露。

基于上述分析可知，本发明提供的一个或多个技术方案，可达到的有益效果如下：

1.对待加密数据进行数据访问策略分析，获得数据访问策略，根据所述数据访问策略构建N个属性授权中心，通过所述N个属性授权中心进行属性私钥的设定，当数据访问者对加密文件进行访问时，获取所述数据访问者的个人属性集合，通过所述个人属性集合向所述N个属性授权中心申请M个属性私钥，并对所述M个属性私钥进行全局身份定位符的绑定，判断所述M个属性私钥是否符合所述数据访问策略，如果是，数据访问权限验证通过，获得M个属性私钥的M个全局身份定位符，判断所述M个全局身份定位符是否为相同的全局身份定位符，得到访问安全验证结果，如果所述访问安全验证结果为不通过，向所述N个属性授权中心发送第一权限撤销指令，控制撤销数据访问者的访问权限，并通过N个属性授权中心进行属性私钥的一次更新，由此实现对数据访问者的权限验证，达到提升数据访问安全性的技术效果。

2.读取所述数据所有者的访问强制属性，将所述访问强制属性添加至所述数据访问策略，判断所述M个属性私钥是否包含所述访问强制属性，并根据判断结果对所述数据访问权限验证进行修正，实现对数据访问策略限定，达到提升数据访问验证与数据所有者的需求的契合度，提升数据访问权限的精度，进而提升数据安全性的技术效果。

实施例

基于与前述实施例中一种基于属性加密的数据访问权限验证方法同样的发明构思，如图2所示，本发明还提供了一种基于属性加密的数据访问权限验证系统，所述系统包括：

访问策略获取模块11，所述访问策略获取模块11用于对待加密数据进行数据访问策略分析，获得数据访问策略；

属性授权中心构建模块12，所述属性授权中心构建模块12用于根据所述数据访问策略构建N个属性授权中心，通过所述N个属性授权中心进行属性私钥的设定，所述N个属性授权中心嵌入预定加密算法，N为大于1的整数；

属性私钥申请模块13，所述属性私钥申请模块13用于当数据访问者对加密文件进行访问时，获取所述数据访问者的个人属性集合，通过所述个人属性集合向所述N个属性授权中心申请M个属性私钥，M≤N，并对所述M个属性私钥进行全局身份定位符的绑定；

数据访问权限验证模块14，所述数据访问权限验证模块14用于判断所述M个属性私钥是否符合所述数据访问策略，如果是，数据访问权限验证通过，获得M个属性私钥的M个全局身份定位符；

访问安全验证模块15，所述访问安全验证模块15用于判断所述M个全局身份定位符是否为相同的全局身份定位符，得到访问安全验证结果；

私钥更新模块16，所述私钥更新模块16用于如果所述访问安全验证结果为不通过，向所述N个属性授权中心发送第一权限撤销指令，控制撤销数据访问者的访问权限，并通过N个属性授权中心进行属性私钥的一次更新。

进一步而言，所述访问策略获取模块11还用于：

获取数据访问属性集，所述数据访问属性集由数据所有者制定；

读取所述待加密数据的数据规模和预设保密等级；

通过所述数据规模和预设保密等级进行数据访问权限分析，得到属性系数，所述属性系数与所述数据规模和预设保密等级正相关；

所述数据访问属性集和所述属性系数组成所述数据访问策略。

进一步而言，所述系统还包括权限验证修正模块，所述权限验证修正模块用于：

读取所述数据所有者的访问强制属性；

将所述访问强制属性添加至所述数据访问策略；

判断所述M个属性私钥是否包含所述访问强制属性，并根据判断结果对所述数据访问权限验证进行修正。

进一步而言，所述属性授权中心构建模块12还用于：

根据数据访问策略中的访问属性建立所述N个属性授权中心；

基于数据挖掘获取多个数据加密算法，并采集获取第一数据加密算法的第一历史应用记录；

根据所述第一历史应用记录对所述第一数据加密算法进行安全防护性能分析，获得第一安全系数；

根据所述第一安全系数和所述待加密数据的预设保密等级对所述多个数据加密算法进行筛选，得到所述预定加密算法组合；

根据所述预定加密算法组合对所述N个属性授权中心进行加密算法随机匹配，得到所述N个属性授权中心的N个预定加密算法。

进一步而言，所述属性授权中心构建模块12还用于：

根据所述第一历史应用记录提取第一历史私钥特征集和第一历史攻击数据集；

对所述第一历史私钥特征集进行特征复杂度分析，获得第一复杂系数；

根据所述第一历史攻击数据集进行攻击风险分析，获得第一攻击风险系数；

加权所述第一复杂系数和所述第一攻击风险系数得到所述第一安全系数。

进一步而言，所述属性授权中心构建模块12还用于：

所述第一历史攻击数据集包括第一历史攻击资源和第一历史攻击结果；

基于所述第一历史攻击资源和所述第一历史攻击结果，统计所述第一历史攻击结果为攻击成功时的第一攻击资源序列；

基于所述第一历史攻击资源和所述第一历史攻击结果，统计所述第一历史攻击结果为攻击失败时的第二攻击资源序列；

根据所述第一攻击资源序列和所述第二攻击资源序列计算获取所述第一攻击风险系数。

进一步而言，所述属性授权中心构建模块12还用于：

对所述第一攻击资源序列和所述第二攻击资源序列进行交集提取，获得第一资源交集；

获取第一预设攻击资源；

判断所述第一资源交集是否为空集，如果是，根据所述第二攻击资源序列提取第一攻击资源最小值，通过所述第一攻击资源最小值与所述第一预设攻击资源计算获取所述第一攻击风险系数；

如果否，以所述第一预设攻击资源与所述第一资源交集的交集最大值的比值作为所述第一攻击风险系数。

进一步而言，所述系统还包括私钥二次更新模块，所述私钥二次更新模块用于：

获取所述加密文件的访问地址和访问时间；

根据所述访问地址和所述访问时间进行异常访问行为识别，获得异常识别结果；

根据所述异常识别结果生成第二权限撤销指令，并发送至所述N个属性授权中心进行属性私钥的二次更新。

前述实施例一中的一种基于属性加密的数据访问权限验证方法具体实例同样适用于本实施例的一种基于属性加密的数据访问权限验证系统，通过前述对一种基于属性加密的数据访问权限验证方法的详细描述，本领域技术人员可以清楚地知道本实施例中一种基于属性加密的数据访问权限验证系统，所以为了说明书的简洁，在此不再详述。

应该理解，可以使用上面所示的各种形式的流程，重新排序、增加或删除步骤，只要能够实现本发明公开的技术方案所期望的结果，本文在此不进行限制。

注意，上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解，本发明不限于这里所述的特定实施例，对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此，虽然通过以上实施例对本发明进行了较为详细的说明，但是本发明不仅仅限于以上实施例，在不脱离本发明构思的情况下，还可以包括更多其他等效实施例，而本发明的范围由所附的权利要求范围决定。