CN116340972A - 一种资源共享系统 - Google Patents

Abstract

本发明提供一种资源共享系统，包括：资源授权方，资源请求方，存储模块，加密模块；其中，资源授权方用于在授权资源请求方获取第一资源时，向资源请求方发送第一存储地址，向加密模块发送第二存储地址；存储模块用于存储第一资源密文和第一密钥密文；加密模块用于获取第一密钥密文，加密第一密钥密文生成第一重加密密钥密文，向资源请求方发送第一重加密密钥密文；资源请求方还用于获取第一资源密文，根据资源请求方私钥解密第一重加密密钥密文获得第一数据密钥，根据第一数据密钥解密第一资源密文获得第一资源。通过该系统，可以降低当前代理重加密技术将资源授权方的资源泄露给第三方的风险，提升资源共享的安全性。

Description

一种资源共享系统

技术领域

本发明涉及数据加密技术领域，尤其涉及一种资源共享系统。

背景技术

随着信息技术的发展，数据成为全网链路最重要的部分。无论是大数据分析、机器学习，还是现实应用场景中的风险评估，算法优化等，都需要大量的基础数据作为支撑，因此数据开放、数据共享一直是学术和产业界倡导的主题。但值得注意的是，不论是从商业或法律层面，敏感数据、隐私数据的泄漏将导致严重的后果。

因此，为了实现数据的安全共享，避免敏感数据和隐私数据的泄露，当前主要采用代理重加密来进行数据的共享。资源授权方将其公钥加密后的资源密文上传至第三方，在资源请求方向资源授权方请求资源后，资源授权方利用自身的私钥和资源请求方的公钥生成重加密密钥，进而在第三方处使用重加密密钥将该资源密文重加密为资源请求方的私钥可以解开的资源密文，从而实现资源授权方和资源请求方之间的资源共享。

但是，现有的代理重加密技术在实际应用的过程中仍存在问题亟待解决：数据资源的存储和加密都交由第三方，这对第三方提出了较高的要求。一旦资源请求方的私钥发生了泄露，第三方就有概率获得资源授权方的资源，导致资源的泄露。

发明内容

本发明提供一种资源共享系统，用以解决当前代理重加密技术将资源授权方的资源泄露给第三方风险较大的问题。

第一方面，本发明实施例提供一种资源共享系统，包括：资源授权方，资源请求方，存储模块，加密模块；

所述资源请求方，用于向所述资源授权方发送请求消息，所述请求消息用于请求第一资源；

所述资源授权方，用于在授权所述资源请求方获取所述第一资源时，向所述资源请求方发送第一存储地址，向所述加密模块发送第二存储地址；所述第一存储地址为第一资源密文对应的存储地址，所述第二存储地址为第一密钥密文对应的存储地址，所述第一资源密文为所述第一资源采用第一数据密钥加密后的密文，所述第一密钥密文为所述第一数据密钥采用所述资源授权方的公钥加密后的密文；

所述存储模块，用于存储所述第一资源密文和所述第一密钥密文；

所述加密模块，用于根据所述第二存储地址从所述存储模块获取所述第一密钥密文，根据重加密密钥加密所述第一密钥密文生成第一重加密密钥密文，向所述资源请求方发送所述第一重加密密钥密文，其中，所述重加密密钥是根据所述资源授权方的私钥和所述资源请求方的公钥生成的；

所述资源请求方，还用于根据所述第一存储地址从所述存储模块获取所述第一资源密文，根据所述资源请求方的私钥解密所述第一重加密密钥密文获得所述第一数据密钥，根据所述第一数据密钥解密所述第一资源密文获得所述第一资源。

通过该资源共享系统，在资源请求方向资源授权方请求资源时，加密模块可以从存储模块获取到密钥密文，对该密钥密文进行重加密，并将重加密后的密钥密文发送给资源请求方，进而资源请求方可以根据自身私钥解密重加密后的密钥密文得到数据密钥，并从存储模块获得资源密文进而根据数据密钥解密资源密文得到请求的资源。通过将加密后的资源密文存储在存储模块中，在加密模块进行密钥密文的重加密，使得加密模块无法接触到资源密文，避免了加密模块可以对资源授权方的资源非法解密的风险，从而降低了将资源授权方的资源泄露给第三方的风险，提升资源共享的安全性。

可选地，所述资源授权方，还用于根据所述第一数据密钥加密所述第一资源生成所述第一资源密文，根据所述资源授权方的公钥加密所述第一数据密钥生成所述第一密钥密文，向所述存储模块发送所述第一资源密文和所述第一密钥密文；

所述存储模块，还用于向所述资源授权方发送所述第一存储地址与所述第二存储地址。

可选地，所述资源授权方，还用于根据第二数据密钥加密第二资源生成第二资源密文，根据所述资源授权方的公钥加密所述第二数据密钥生成第二密钥密文；其中，所述第二资源与所述第一资源为不同的资源，所述第二数据密钥与所述第一数据密钥为不同的数据密钥。

由上述可知，对于不同的资源采用不同的数据密钥进行加密，从而提升资源共享的安全性。

可选地，所述资源授权方，还用于根据所述资源授权方的私钥和所述资源请求方的公钥生成所述重加密密钥，向所述加密模块发送所述重加密密钥。

可选地，所述加密模块，还用于根据所述资源授权方的私钥和所述资源请求方的公钥生成所述重加密密钥。

可选地，所述加密模块，用于在根据所述资源授权方的私钥和所述资源请求方的公钥生成所述重加密密钥之前，接收授权许可，所述授权许可用于授权所述加密模块使用所述资源授权方的私钥。

可选地，所述资源请求方，还用于在向所述资源授权方发送请求消息之前向所述加密模块发送第一注册请求；

所述加密模块，还用于在接收所述第一注册请求后调用密钥生成模块生成所述资源请求方的公钥与所述资源请求方的私钥，所述资源请求方的公钥与所述资源请求方的私钥被存储在所述加密模块中；

所述资源授权方，还用于在授权所述资源请求方获取所述第一资源之前向所述加密模块发送第二注册请求，所述加密模块接收所述第二注册请求后调用所述密钥生成模块生成所述资源授权方的公钥与所述资源授权方的私钥，所述资源授权方的公钥与所述资源授权方的私钥被存储在所述加密模块中。

第二方面，本发明实施例提供一种资源共享方法，应用于加密模块中，包括：

接收第二存储地址，所述第二存储地址为第一密钥密文对应的存储地址；

根据所述第二存储地址从存储模块获取第一密钥密文；

根据重加密密钥加密所述第一密钥密文生成第一重加密密钥密文，其中，所述重加密密钥是根据资源授权方的私钥和资源请求方的公钥生成的；

向所述资源请求方发送所述第一重加密密钥密文。

通过上述方法，加密模块无法接触到资源密文，避免了加密模块可以对资源授权方的资源非法解密的风险，从而降低了将资源授权方的资源泄露给第三方的风险，提升资源共享的安全性。

可选地，还包括：根据所述资源授权方的私钥和所述资源请求方的公钥生成所述重加密密钥。

可选地，在根据所述资源授权方的私钥和所述资源请求方的公钥生成所述重加密密钥之前，包括：

接收授权许可，所述授权许可用于授权所述加密模块使用所述资源授权方的私钥。

附图说明

图1为本发明实施例提供的一种资源共享系统的系统架构图；

图2为本发明实施例提供的一种加密模块的系统架构图；

图3为本发明实施例提供的一种资源共享方法的流程示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明一部份实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

本发明实施例描述的应用场景是为了更加清楚的说明本发明实施例的技术方案，并不构成对于本发明实施例提供的技术方案的限定，本领域普通技术人员可知，随着新应用场景的出现，本发明实施例提供的技术方案对于类似的技术问题，同样适用。其中，在本发明的描述中，除非另有说明，“多个”的含义是两个或两个以上。

当前，为了实现数据的安全共享，普遍使用代理重加密来进行数据的共享。然而，现有的代理重加密技术存在一些问题：现有的数据资源的存储和加密都由第三方处理，这对第三方提出了较高的要求，一旦资源请求方的私钥发生了泄露，第三方就可以对其存储的数据资源解密，进而获得数据资源，这就导致了数据资源的泄露。

基于此，本申请提出了一种资源共享系统，用以解决当前代理重加密技术将资源授权方的资源泄露给第三方风险较大的问题。

示例性地，图1为本申请提出的一种资源共享系统的系统架构图。具体地，如图1所示，一种资源共享系统100包括资源授权方101、资源请求方102、存储模块103和加密模块104。

具体地，资源请求方102用于向资源授权方101发送请求消息，该请求消息用于请求第一资源。

具体地，资源授权方101用于在授权资源请求方102获取第一资源时，向资源请求方102发送第一存储地址，向加密模块104发送第二存储地址。其中，第一存储地址为第一资源密文对应的存储地址，第二存储地址为第一密钥密文对应的存储地址，第一资源密文为第一资源采用第一数据密钥加密后的密文，第一密钥密文为第一数据密钥采用资源授权方101的公钥加密后的密文。

具体地，存储模块103用于存储第一资源密文和第一密钥密文。

具体地，加密模块104用于根据第二存储地址从存储模块103获取第一密钥密文，根据重加密密钥加密第一密钥密文生成第一重加密密钥密文，向资源请求方102发送第一重加密密钥密文，其中，重加密密钥是根据资源授权方101的私钥和资源请求方102的公钥生成的。

具体地，资源请求方102还用于根据第一存储地址从存储模块103获取第一资源密文，根据资源请求方102的私钥解密第一重加密密钥密文获得第一数据密钥，根据第一数据密钥解密第一资源密文获得第一资源。

其中，资源请求方的数量可以为一个或多个，资源授权方的数量可以为一个或多个，每个资源授权方能够提供的资源的数量可以为一个或多个。

关于资源共享系统100中各个组成部分的具体功能可以参考下述图3所示实施例的相关描述。

示例性地，图2为加密模块104的系统架构图，如图2所示，加密模块104包括数据层200、核心层201、接口层202以及安全组件203。

具体地，数据层200包括多个节点200a，这些节点200a用于实现加密模块104对资源授权方101和资源请求方102的公钥和私钥的存储以及门限备份管理。其中，节点200a可以依托分布式网络的点对点数据库(OrbitDB)进行公钥和私钥的存储和备份管理。

具体地，核心层201包括密钥生成模块201a、门限分享模块201b、加密/解密模块201c、重加密密钥生成模块201d、重加密执行模块201e以及拼接模块201f。其中，密钥生成模块201a用于在资源授权方101或资源请求方102在加密模块104中注册完成后，加密模块104帮助其实现私钥和公钥的生成；门限分享模块201b用于加密模块104实现对于资源授权方101和资源请求方102私钥和公钥的门限备份；加密/解密模块201c用于资源授权方101调用该模块实现资源的加密，以及资源请求方102调用该模块实现资源的解密；重加密密钥生成模块201d和重加密执行模块201e用于实现加密模块104的重加密功能；拼接模块201f用于资源请求方102在数据传输过程中调用该模块将重加密密钥密文与本地存储的二进制密文进行拼接以生成自身私钥可解密的内容。

具体地，接口层202包括注册接口202a、登录接口202b、免密授权接口202c、密码授权接口202d、时效更新接口202e、重加密接口202f、密钥获取接口202g、密钥更新接口202h等，上述接口均是加密模块104为了实现相应的具体功能而与内部或外部之间进行对接和数据交互。

具体地，安全组件203包括加密软件工具包203a、解密软件工具包203b、Iframe安全控件203c、授权码安全输入控件203d、流媒体安全播放组件203e以及图片安全查看组件203f。其中，加密软件工具包203a和解密软件工具包203b用于加密模块104向资源授权方101和资源请求方102提供加密和解密服务。具体地，资源授权方101调用加密软件工具包203a实现加密，资源请求方102调用解密软件工具包203b实现解密。Iframe安全控件203c用于实现对于加密模块104中的内嵌文档的安全性访问和保护；授权码安全输入控件203d用于资源授权方101在输入短信验证码等信息时调用该模块保障验证码等信息不被非法窃听者进行盗窃获取；流媒体安全播放组件203e以及图片安全查看组件203f用于在前端页面显示视频、图片等多媒体内容的情况下保障显示内容不被恶意篡改。上述安全组件203的设置能够有效保障加密模块104使用过程中的安全性。

示例性地，在资源请求方向资源授权方请求资源之前(例如步骤300之前)，资源授权方向加密模块发送第二注册请求，在加密模块接收该注册请求后，加密模块可以调用其内部的密钥生成模块(例如密钥生成模块201a)为资源授权方生成资源授权方的公钥和资源授权方的私钥。其中，资源授权方的公钥和资源授权方的私钥都可以被存储在加密模块中，例如资源授权方的公钥和资源授权方的私钥可以被存储在一个节点200a中。

示例性地，在资源请求方向资源授权方发送请求消息之前，资源请求方同样向加密模块发送第一注册请求，在加密模块接收该注册请求后，加密模块可以调用其内部的密钥生成模块为资源请求方生成资源请求方的公钥和资源请求方的私钥。其中，资源请求方的公钥和资源请求方的私钥都可以被存储在加密模块中。

具体地，对于资源授权方向加密模块发送注册请求与资源请求方向加密模块发送注册请求的执行顺序不做要求。

示例性地，在资源授权方与资源请求方在加密模块中进行注册时，可以通过输入与自身相对应的用户名以及用户名所对应的身份鉴权信息完成注册，从而在后续使用过程中，已注册过的资源授权方和资源请求方可以通过用户名以及用户名所对应的身份鉴权信息在加密模块中登录。

具体地，加密模块可以基于星际文件系统(Inter Planetary File System，IPFS)协议构建私有网络，并将资源授权方的公钥、私钥和资源请求方的公钥、私钥均存储在加密模块的本地数据库和私有网络中。此外，加密模块还可以采用其他方法存储公钥与私钥，本申请不做限定。

具体地，加密模块还可以基于分布式网络的点对点数据库(OrbitDB)数据管理软件，通过提供键值数据库的方式实现对资源授权方的公钥、私钥和资源请求方的公钥、私钥的存储管理。此外，加密模块还可以采用其他方法管理公钥与私钥，本申请不做限定。

如图3所示，本申请提出的一种资源共享方法，具体流程如下：

步骤300：资源请求方向资源授权方发送请求消息。

具体地，请求消息是用于请求第一资源。

在一种可能的实现方式中，在资源授权方获得请求消息之前，资源授权方可以根据第一数据密钥加密第一资源生成第一资源密文，并且资源授权方还可以根据自身的公钥加密第一数据密钥生成第一密钥密文，进而向存储模块发送第一资源密文和第一密钥密文。例如，资源授权方可以调用加密/解密模块201c来加密第一资源以及第一数据密钥。

在另一种可能的实现方式中，在资源授权方获得请求消息之后，若资源授权方同意资源请求方的第一资源的请求消息，资源授权方可以根据第一数据密钥加密第一资源生成第一资源密文，并且资源授权方还可以根据自身的公钥加密第一数据密钥生成第一密钥密文，进而向存储模块发送第一资源密文和第一密钥密文。

针对上述两种可能的实现方式，在存储模块接收到第一资源密文和第一密钥密文后，存储模块存储第一资源密文和第一密钥密文。其中，第一资源密文对应的存储地址为第一存储地址，第一密钥密文对应的存储地址为第二存储地址，进而存储模块向资源授权方发送第一存储地址与第二存储地址。

示例性地，资源请求方向资源授权方发送的请求消息还可以用于请求除第一资源外的任意资源，对于除第一资源外的任意资源资源授权方应该使用不同的数据密钥来进行加密。具体地，资源授权方可以根据第二数据密钥加密第二资源生成第二资源密文，并且资源授权方还根据自身的公钥加密第二数据密钥生成第二密钥密文。其中，第二资源跟第一资源为不同的资源，第二数据密钥跟第一数据密钥为不同数据密钥。

步骤310：资源授权方向资源请求方发送第一存储地址。

具体地，在步骤300中资源请求方向资源授权方请求第一资源，资源授权方同意资源请求方的请求，授权资源请求方获取第一资源时，资源授权方向资源请求方发送第一资源密文对应的第一存储地址。

步骤320：资源授权方向加密模块发送第二存储地址。

具体地，在步骤300中在资源授权方同意资源请求方的请求，授权资源请求方获取第一资源时，资源授权方还可以向加密模块发送第一密钥密文对应的第二存储地址。

具体地，对于步骤310资源授权方向资源请求方发送第一存储地址与步骤320资源授权方向加密模块发送第二存储地址的执行顺序不做要求。

步骤330：加密模块根据第二存储地址从存储模块获取第一密钥密文。

示例性地，在步骤320中资源授权方向加密模块发送第一密钥密文对应的第二存储地址后，加密模块可以根据第二存储地址从存储模块中获取第一密钥密文。

步骤340：加密模块根据重加密密钥加密第一密钥密文生成第一重加密密钥密文。

示例性地，在步骤330中加密模块获取到第一密钥密文后，可以根据重加密密钥来加密第一密钥密文生成第一重加密密钥密文。例如，加密模块根据重加密执行模块201e来加密第一密钥密文。具体地，重加密密钥是根据资源授权方的私钥和资源请求方的公钥生成的。

在一种可能的实现方式中，重加密密钥可以由加密模块根据资源授权方的私钥和资源请求方的公钥生成。例如，加密模块根据重加密密钥生成模块201d来生成密钥。具体地，在加密模块生成重加密密钥之前，需要向资源授权方发送私钥授权许可，在加密模块接收到资源授权方的私钥的授权许可后才可以使用资源授权方的私钥来生成重加密密钥。

具体地，在加密模块针对第一资源首次向资源授权方发送私钥授权许可时，资源授权方可以采用实时验证码与身份验证信息的双重认证来授权许可；在加密模块后续还是针对第一资源向资源授权方发送私钥授权许可时，考虑到资源授权方对于该资源已有过授权许可，资源授权方可以通过反馈身份验证信息进行简单授权，或者无需反馈任何信息，实现免密授权。具体地，还可以采取其他任意方法来实现双重认证的授权许可和简单授权，本申请不做限定。

在另一种可能的实现方式中，重加密密钥还可以由资源授权方根据资源授权方的私钥和资源请求方的公钥生成。例如，资源授权方调用重加密密钥生成模块201d来生成重加密密钥。在资源授权方生成重加密密钥后，需要向加密模块发送重加密密钥。

此外，对于上述两种可能的实现方式，在预设周期内，第一资源的重加密密钥可以在加密模块或资源授权方中进行缓存，在资源请求方重复请求第一资源时，可以使用已生成的重加密密钥进行加密，减少生成重加密密钥的数据处理流程。在超过预设周期时，资源授权方可以更新其自身的私钥与公钥，从而加密模块或资源授权方可以根据更新后的资源授权方的私钥与资源请求方的公钥重新生成重加密密钥。其中，预设周期是根据经验值确定的。

具体地，资源请求方或加密模块可以采用secp256k1椭圆曲线算法来生成重加密密钥，从而任何第三方无法通过重加密密钥反推出资源授权方的私钥，来确保重加密密钥的可靠性。此外，还可以是任意其它算法，本申请不做限定。

步骤350：加密模块向资源请求方发送第一重加密密钥密文。

示例性地，在步骤340中加密模块生成第一重加密密钥密文后，可以向资源请求方发送第一重加密密钥密文。具体地，在加密模块向资源请求方发送第一重加密密钥密文之前，资源授权方告知加密模块对于第一资源其所授权的资源请求方的标识信息，从而加密模块可以将第一资源发送至相应的资源请求方。

步骤360：资源请求方根据第一存储地址从存储模块获取第一资源密文。

示例性地，在步骤320中资源授权方向资源请求方发送第一存储地址后，资源请求方可以根据第一存储地址从存储模块获取第一资源密文。

步骤370：资源请求方根据自身的私钥解密第一重加密密钥密文获得第一数据密钥，根据第一数据密钥解密第一资源密文获得第一资源。

示例性地，在步骤360中资源请求方获取到第一资源密文后，资源请求方可以根据自身的私钥解密第一重加密密钥密文得到第一数据密钥，进而根据第一数据密钥解密第一资源密文得到其请求获取的第一资源。例如，资源请求方调用拼接模块201f将第一数据密钥与本地存储的二进制密文拼接成自身私钥可解密的内容，通过解密得到第一数据密钥，进而资源请求方调用加密/解密模块201c来解密第一资源密文得到第一资源。

通过资源授权方根据数据密钥加密资源得到加密后的资源密文，根据自身的公钥加密数据密钥得到加密后密钥密文后，将资源密文和密钥密文都存储在存储模块中，并且资源密文的存储地址资源授权方与经过资源授权方授权后的资源请求方可以得知，加密模块无法获取到资源密文，从而降低了当前代理重加密技术将资源授权方的资源泄露给第三方的风险，提升了资源共享的安全性。此外，资源授权方与资源请求方将公钥和私钥都存储在加密模块中，可以避免资源授权方和资源请求方私钥丢失的情况。

示例性地，本申请以资源请求方向资源授权方请求资源X进行具体说明。

首先，资源授权方与资源请求方分别向加密模块发送注册请求，加密模块接收资源授权方和资源请求方的注册请求后，调用其内部的密钥生成模块为资源授权方生成资源授权方的公钥A和资源授权方的私钥a，为资源请求方生成资源请求方的公钥B和资源请求方的私钥b，进而将公钥A、私钥a、公钥B和私钥b都存储在加密模块中。

接着，资源授权方完成注册后，资源授权方根据数据密钥C加密资源X得到资源密文X'，并且采用公钥A加密数据密钥C得到数据密钥密文C'。进而资源授权方将资源密文X'和数据密钥密文C'存储在存储模块中。存储模块将资源密文X'的存储地址和数据密钥密文C'的存储地址告知资源授权方。进而，资源请求方向资源授权方请求资源X，资源授权方同意授权资源请求方后，资源授权方将资源密文X'的存储地址告知资源请求方，并且将数据密钥密文C'的存储地址告知加密模块。具体地，参考步骤300，资源授权方还可以在资源请求方发送请求资源X之后，再对请求资源X和数据密钥C进行加密并存储在存储模块中。

然后，加密模块接收到数据密钥密文C'的存储地址后，加密模块根据该存储地址从存储模块中获取到数据密钥密文C'。同时，加密模块还可以根据资源授权方的私钥a和资源请求方的公钥B生成重加密密钥D。进而，加密模块根据重加密密钥D加密数据密钥密文C'得到重加密密钥密文C"。具体地，生成重加密密钥D的过程参考步骤340，且根据步骤340可知重加密密钥D也可以在资源授权方中生成。

最后，加密模块将重加密密钥密文C"发送给资源请求方，且资源请求方根据资源密文X'的存储地址从存储模块中获取资源密文X'。进而资源请求方利用其自身的私钥b解密重加密密钥密文C"得到数据密钥C，并利用数据密钥C解密资源密文X'得到其请求的资源X。

本发明实施例中对单元的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，另外，在本发明各个实施例中的各功能单元可以集成在一个处理器中，也可以是单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims (10)

1.一种资源共享系统，其特征在于，所述系统包括：资源授权方，资源请求方，存储模块，加密模块；

所述资源请求方，用于向所述资源授权方发送请求消息，所述请求消息用于请求第一资源；

所述资源授权方，用于在授权所述资源请求方获取所述第一资源时，向所述资源请求方发送第一存储地址，向所述加密模块发送第二存储地址；所述第一存储地址为第一资源密文对应的存储地址，所述第二存储地址为第一密钥密文对应的存储地址，所述第一资源密文为所述第一资源采用第一数据密钥加密后的密文，所述第一密钥密文为所述第一数据密钥采用所述资源授权方的公钥加密后的密文；

所述存储模块，用于存储所述第一资源密文和所述第一密钥密文；

所述加密模块，用于根据所述第二存储地址从所述存储模块获取所述第一密钥密文，根据重加密密钥加密所述第一密钥密文生成第一重加密密钥密文，向所述资源请求方发送所述第一重加密密钥密文，其中，所述重加密密钥是根据所述资源授权方的私钥和所述资源请求方的公钥生成的；

所述资源请求方，还用于根据所述第一存储地址从所述存储模块获取所述第一资源密文，根据所述资源请求方的私钥解密所述第一重加密密钥密文获得所述第一数据密钥，根据所述第一数据密钥解密所述第一资源密文获得所述第一资源。

2.如权利要求1所述的系统，其特征在于，所述资源授权方，还用于根据所述第一数据密钥加密所述第一资源生成所述第一资源密文，根据所述资源授权方的公钥加密所述第一数据密钥生成所述第一密钥密文，向所述存储模块发送所述第一资源密文和所述第一密钥密文；

所述存储模块，还用于向所述资源授权方发送所述第一存储地址与所述第二存储地址。

3.如权利要求2所述的系统，其特征在于，所述资源授权方，还用于根据第二数据密钥加密第二资源生成第二资源密文，根据所述资源授权方的公钥加密所述第二数据密钥生成第二密钥密文；其中，所述第二资源与所述第一资源为不同的资源，所述第二数据密钥与所述第一数据密钥为不同的数据密钥。

4.如权利要求1所述的系统，其特征在于，所述资源授权方，还用于根据所述资源授权方的私钥和所述资源请求方的公钥生成所述重加密密钥，向所述加密模块发送所述重加密密钥。

5.如权利要求1所述的系统，其特征在于，所述加密模块，还用于根据所述资源授权方的私钥和所述资源请求方的公钥生成所述重加密密钥。

6.如权利要求5所述的系统，其特征在于，所述加密模块，用于在根据所述资源授权方的私钥和所述资源请求方的公钥生成所述重加密密钥之前，接收授权许可，所述授权许可用于授权所述加密模块使用所述资源授权方的私钥。

7.如权利要求1所述的系统，其特征在于：

所述资源请求方，还用于在向所述资源授权方发送请求消息之前向所述加密模块发送第一注册请求；

所述加密模块，还用于在接收所述第一注册请求后调用密钥生成模块生成所述资源请求方的公钥与所述资源请求方的私钥，所述资源请求方的公钥与所述资源请求方的私钥被存储在所述加密模块中；

所述资源授权方，还用于在授权所述资源请求方获取所述第一资源之前向所述加密模块发送第二注册请求，所述加密模块接收所述第二注册请求后调用所述密钥生成模块生成所述资源授权方的公钥与所述资源授权方的私钥，所述资源授权方的公钥与所述资源授权方的私钥被存储在所述加密模块中。

8.一种资源共享方法，应用于加密模块中，其特征在于，该方法包括：

接收第二存储地址，所述第二存储地址为第一密钥密文对应的存储地址；

根据所述第二存储地址从存储模块获取第一密钥密文；

根据重加密密钥加密所述第一密钥密文生成第一重加密密钥密文，其中，所述重加密密钥是根据资源授权方的私钥和资源请求方的公钥生成的；

向所述资源请求方发送所述第一重加密密钥密文。

9.如权利要求8所述的方法，其特征在于，还包括：

根据所述资源授权方的私钥和所述资源请求方的公钥生成所述重加密密钥。

10.如权利要求9所述的方法，其特征在于，在根据所述资源授权方的私钥和所述资源请求方的公钥生成所述重加密密钥之前，包括：

接收授权许可，所述授权许可用于授权所述加密模块使用所述资源授权方的私钥。

Images