用于保护数据的方法和装置制造方法及图纸

本申请实施例公开了用于保护数据的方法和装置。该方法的一具体实施方式包括：获取服务的二进制文件和机密数据；利用密钥对机密数据进行加密，生成加密机密数据；将密钥划分成第一密钥分片和第二密钥分片；将密钥的标识和第一密钥分片嵌入到二进制文件中，生成嵌入二进制文件，以及将密钥的标识和第二密钥分片发送到服务的提供方的数据库进行存储；将嵌入二进制文件和加密机密数据发送到服务的使用方的服务器进行部署。该实施方式提供了一种基于安全多方计算的机密数据的保护方法，能够有效地保护服务的机密数据。地保护服务的机密数据。地保护服务的机密数据。

【技术实现步骤摘要】
用于保护数据的方法和装置


[0001]本申请实施例涉及计算机
，具体涉及用于保护数据的方法和装置。

技术介绍

[0002]目前，服务的提供方在对外提供服务时，某些情况下，受服务的使用方的网络环境限制，可能需要服务的提供方将服务离线部署到服务的使用方的服务器。因此，服务的提供方会把服务的二进制文件和一些核心机密数据打包部署到服务的使用方的服务器上。这样，服务的使用方就可以在不连接外网的情况下，通过服务的提供方提供的二进制文件和核心机密数据使用服务。服务的提供方希望该核心机密数据只能被自己部署的二进制文件使用。然而，直接将核心机密数据部署到服务的使用方的服务器，会面临着核心机密数据泄漏的风险。

技术实现思路

[0003]本申请实施例提出了用于保护数据的方法和装置。
[0004]第一方面，本申请实施例提出了一种用于保护数据的方法，包括：获取服务的二进制文件和机密数据；利用密钥对机密数据进行加密，生成加密机密数据；将密钥划分成第一密钥分片和第二密钥分片；将密钥的标识和第一密钥分片嵌入到二进制文件中，生成嵌入二进制文件，以及将密钥的标识和第二密钥分片发送到服务的提供方的数据库进行存储；将嵌入二进制文件和加密机密数据发送到服务的使用方的服务器进行部署。
[0005]在一些实施例中，利用密钥对机密数据进行加密，生成加密机密数据，包括：利用随机算法生成固定长度的密钥；利用对称密钥算法基于密钥加密机密数据，生成加密机密数据。
[0006]在一些实施例中，将密钥划分成第一密钥分片和第二密钥分片，包括：随机选择系数，以及基于密钥和系数生成多项式；随机选择第一自变量和第二自变量，分别代入多项式，生成第一因变量和第二因变量；基于第一自变量和第一因变量生成第一密钥分片，以及基于第二自变量和第二因变量生成第二密钥分片。
[0007]第二方面，本申请实施例提出了一种用于使用服务的方法，包括：响应于服务的启动指令，基于密钥的标识从服务的提供方的数据库中获取密钥的第二密钥分片；从嵌入二进制文件中提取密钥的第一密钥分片；基于第一密钥分片和第二密钥分片生成密钥；利用密钥对服务的加密机密数据进行解密，生成机密数据；执行服务的二进制文件，以及在执行过程中使用机密数据。
[0008]在一些实施例中，利用密钥对服务的加密机密数据进行解密，生成机密数据，包括：利用对称密钥算法基于密钥解密加密机密数据，生成机密数据。
[0009]在一些实施例中，基于第一密钥分片和第二密钥分片生成密钥，包括：构造初始多项式，其中，初始多项式中的密钥和系数是未知数；将第一密钥分片和第二密钥分片分别代入初始多项式，生成密钥和系数。
[0010]第三方面，本申请实施例提出了一种用于保护数据的装置，包括：获取单元，被配置成获取服务的二进制文件和机密数据；加密单元，被配置成利用密钥对机密数据进行加密，生成加密机密数据；划分单元，被配置成将密钥划分成第一密钥分片和第二密钥分片；嵌入及发送单元，被配置成将密钥的标识和第一密钥分片嵌入到二进制文件中，生成嵌入二进制文件，以及将密钥的标识和第二密钥分片发送到服务的提供方的数据库进行存储；发送单元，被配置成将嵌入二进制文件和加密机密数据发送到服务的使用方的服务器进行部署。
[0011]在一些实施例中，加密单元进一步被配置成：利用随机算法生成固定长度的密钥；利用对称密钥算法基于密钥加密机密数据，生成加密机密数据。
[0012]在一些实施例中，划分单元进一步被配置成：随机选择系数，以及基于密钥和系数生成多项式；随机选择第一自变量和第二自变量，分别代入多项式，生成第一因变量和第二因变量；基于第一自变量和第一因变量生成第一密钥分片，以及基于第二自变量和第二因变量生成第二密钥分片。
[0013]第四方面，本申请实施例提供了一种用于使用服务的装置，包括：获取单元，被配置成响应于服务的启动指令，基于密钥的标识从服务的提供方的数据库中获取密钥的第二密钥分片；提取单元，被配置成从嵌入二进制文件中提取密钥的第一密钥分片；生成单元，被配置成基于第一密钥分片和第二密钥分片生成密钥；解密单元，被配置成利用密钥对服务的加密机密数据进行解密，生成机密数据；执行单元，被配置成执行服务的二进制文件，以及在执行过程中使用机密数据。
[0014]在一些实施例中，解密单元进一步被配置成：利用对称密钥算法基于密钥解密加密机密数据，生成机密数据。
[0015]在一些实施例中，生成单元进一步被配置成：构造初始多项式，其中，初始多项式中的密钥和系数是未知数；将第一密钥分片和第二密钥分片分别代入初始多项式，生成密钥和系数。
[0016]第五方面，本申请实施例提供了一种电子设备，该电子设备包括：一个或多个处理器；存储装置，其上存储有一个或多个程序；当一个或多个程序被一个或多个处理器执行，使得一个或多个处理器实现如第一方面中任一实现方式描述的方法，或者实现如第二方面中任一实现方式描述的方法。
[0017]第六方面，本申请实施例提供了一种计算机可读介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如第一方面中任一实现方式描述的方法，或者实现如第二方面中任一实现方式描述的方法。
[0018]本申请实施例提供的用于保护数据的方法和装置，首先利用密钥对服务的机密数据进行加密，生成加密机密数据；之后将密钥划分成第一密钥分片和第二密钥分片；然后将密钥的标识和第一密钥分片嵌入到服务的二进制文件中，生成嵌入二进制文件，以及将密钥的标识和第二密钥分片发送到服务的提供方的数据库进行存储；最后将嵌入二进制文件和加密机密数据发送到服务的使用方的服务器进行部署。提供了一种基于安全多方计算的机密数据的保护方法，能够有效地保护服务的机密数据。将用于加密机密数据的密钥拆分成两个密钥分片，一个密钥分片嵌入二进制文件中，另一个密钥分片存储到服务的提供方的数据库，实现了对密钥的多重保护。既可以防止攻击者通过反编译二进制文件来直接获
取密钥，又可以防止具有服务的提供方的数据库的查询权限的人员直接泄露密钥。
附图说明
[0019]通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本申请的其它特征、目的和优点将会变得更明显：
[0020]图1是本申请可以应用于其中的示例性系统架构；
[0021]图2是根据本申请的用于保护数据的方法的一个实施例的流程图；
[0022]图3是密钥保护的流程图；
[0023]图4是根据本申请的用于保护数据的方法的又一个实施例的流程图；
[0024]图5是根据本申请的用于使用服务的方法的一个实施例的流程图；
[0025]图6是数据解密的流程图；
[0026]图7是根据本申请的用于使用服务的方法的又一个实施例的流程图；
[0027]图8是根据本申请的用于保护数据的装置的一个实施例的结构示意图；
[0028]图9是根据本申请的用于使用服务的装置的一个实施例的结构示意图；
[0029]图10是适于用来实现本本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用于保护数据的方法，包括：获取服务的二进制文件和机密数据；利用密钥对所述机密数据进行加密，生成加密机密数据；将所述密钥划分成第一密钥分片和第二密钥分片；将所述密钥的标识和所述第一密钥分片嵌入到所述二进制文件中，生成嵌入二进制文件，以及将所述密钥的标识和所述第二密钥分片发送到所述服务的提供方的数据库进行存储；将所述嵌入二进制文件和所述加密机密数据发送到所述服务的使用方的服务器进行部署。2.根据权利要求1所述的方法，其中，所述利用密钥对所述机密数据进行加密，生成加密机密数据，包括：利用随机算法生成固定长度的密钥；利用对称密钥算法基于所述密钥加密所述机密数据，生成加密机密数据。3.根据权利要求1或2所述的方法，其中，所述将所述密钥划分成第一密钥分片和第二密钥分片，包括：随机选择系数，以及基于所述密钥和所述系数生成多项式；随机选择第一自变量和第二自变量，分别代入所述多项式，生成第一因变量和第二因变量；基于所述第一自变量和第一因变量生成第一密钥分片，以及基于所述第二自变量和第二因变量生成第二密钥分片。4.一种用于使用服务的方法，包括：响应于服务的启动指令，基于密钥的标识从所述服务的提供方的数据库中获取所述密钥的第二密钥分片；从所述嵌入二进制文件中提取所述密钥的第一密钥分片；基于所述第一密钥分片和所述第二密钥分片生成所述密钥；利用所述密钥对所述服务的加密机密数据进行解密，生成机密数据；执行所述服务的二进制文件，以及在执行过程中使用所述机密数据。5.根据权利要求4所述的方法，其中，所述利用所述密钥对所述服务的加密机密数据进行解密，生成机密数据，包括：利用对称密钥算法基于所述密钥解密所述加密机密数据，生成所述机密数据。6.根据权利要求4或5所述的方法，其中，所述基于所述第一密钥分片和所述第二密钥分片生成所述密钥，包括：构造初始多项式，其中，所述初始多项式中的密钥和系数是未知数；将所述第一密钥分片和所述第二密钥分片分别代入所述初始多项式，生成所述密钥和所述系数。7.一种用于保护数据的装置，包括：获取单元，被配置成获取服务的二进制文件和机密数据；加密单元，被配置成利用密钥对所述机密数据进行加密，生成加密机密数据；划分单元，被配置成将所述密钥划分成第一密钥分片和第二密钥分片；
嵌入及发送单元...

【专利技术属性】
技术研发人员：蒋精华，洪爵，杨柳，何恺，
申请(专利权)人：百度在线网络技术北京有限公司，
类型：发明
国别省市：