CN113378211B - 用于保护数据的方法和装置 - Google Patents
用于保护数据的方法和装置 Download PDFInfo
- Publication number
- CN113378211B CN113378211B CN202010161276.3A CN202010161276A CN113378211B CN 113378211 B CN113378211 B CN 113378211B CN 202010161276 A CN202010161276 A CN 202010161276A CN 113378211 B CN113378211 B CN 113378211B
- Authority
- CN
- China
- Prior art keywords
- key
- service
- confidential data
- fragment
- generating
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本申请实施例公开了用于保护数据的方法和装置。该方法的一具体实施方式包括:获取服务的二进制文件和机密数据;利用密钥对机密数据进行加密,生成加密机密数据;将密钥划分成第一密钥分片和第二密钥分片;将密钥的标识和第一密钥分片嵌入到二进制文件中,生成嵌入二进制文件,以及将密钥的标识和第二密钥分片发送到服务的提供方的数据库进行存储;将嵌入二进制文件和加密机密数据发送到服务的使用方的服务器进行部署。该实施方式提供了一种基于安全多方计算的机密数据的保护方法,能够有效地保护服务的机密数据。
Description
技术领域
本申请实施例涉及计算机技术领域,具体涉及用于保护数据的方法和装置。
背景技术
目前,服务的提供方在对外提供服务时,某些情况下,受服务的使用方的网络环境限制,可能需要服务的提供方将服务离线部署到服务的使用方的服务器。因此,服务的提供方会把服务的二进制文件和一些核心机密数据打包部署到服务的使用方的服务器上。这样,服务的使用方就可以在不连接外网的情况下,通过服务的提供方提供的二进制文件和核心机密数据使用服务。服务的提供方希望该核心机密数据只能被自己部署的二进制文件使用。然而,直接将核心机密数据部署到服务的使用方的服务器,会面临着核心机密数据泄漏的风险。
发明内容
本申请实施例提出了用于保护数据的方法和装置。
第一方面,本申请实施例提出了一种用于保护数据的方法,包括:获取服务的二进制文件和机密数据;利用密钥对机密数据进行加密,生成加密机密数据;将密钥划分成第一密钥分片和第二密钥分片;将密钥的标识和第一密钥分片嵌入到二进制文件中,生成嵌入二进制文件,以及将密钥的标识和第二密钥分片发送到服务的提供方的数据库进行存储;将嵌入二进制文件和加密机密数据发送到服务的使用方的服务器进行部署。
在一些实施例中,利用密钥对机密数据进行加密,生成加密机密数据,包括:利用随机算法生成固定长度的密钥;利用对称密钥算法基于密钥加密机密数据,生成加密机密数据。
在一些实施例中,将密钥划分成第一密钥分片和第二密钥分片,包括:随机选择系数,以及基于密钥和系数生成多项式;随机选择第一自变量和第二自变量,分别代入多项式,生成第一因变量和第二因变量;基于第一自变量和第一因变量生成第一密钥分片,以及基于第二自变量和第二因变量生成第二密钥分片。
第二方面,本申请实施例提出了一种用于使用服务的方法,包括:响应于服务的启动指令,基于密钥的标识从服务的提供方的数据库中获取密钥的第二密钥分片;从嵌入二进制文件中提取密钥的第一密钥分片;基于第一密钥分片和第二密钥分片生成密钥;利用密钥对服务的加密机密数据进行解密,生成机密数据;执行服务的二进制文件,以及在执行过程中使用机密数据。
在一些实施例中,利用密钥对服务的加密机密数据进行解密,生成机密数据,包括:利用对称密钥算法基于密钥解密加密机密数据,生成机密数据。
在一些实施例中,基于第一密钥分片和第二密钥分片生成密钥,包括:构造初始多项式,其中,初始多项式中的密钥和系数是未知数;将第一密钥分片和第二密钥分片分别代入初始多项式,生成密钥和系数。
第三方面,本申请实施例提出了一种用于保护数据的装置,包括:获取单元,被配置成获取服务的二进制文件和机密数据;加密单元,被配置成利用密钥对机密数据进行加密,生成加密机密数据;划分单元,被配置成将密钥划分成第一密钥分片和第二密钥分片;嵌入及发送单元,被配置成将密钥的标识和第一密钥分片嵌入到二进制文件中,生成嵌入二进制文件,以及将密钥的标识和第二密钥分片发送到服务的提供方的数据库进行存储;发送单元,被配置成将嵌入二进制文件和加密机密数据发送到服务的使用方的服务器进行部署。
在一些实施例中,加密单元进一步被配置成:利用随机算法生成固定长度的密钥;利用对称密钥算法基于密钥加密机密数据,生成加密机密数据。
在一些实施例中,划分单元进一步被配置成:随机选择系数,以及基于密钥和系数生成多项式;随机选择第一自变量和第二自变量,分别代入多项式,生成第一因变量和第二因变量;基于第一自变量和第一因变量生成第一密钥分片,以及基于第二自变量和第二因变量生成第二密钥分片。
第四方面,本申请实施例提供了一种用于使用服务的装置,包括:获取单元,被配置成响应于服务的启动指令,基于密钥的标识从服务的提供方的数据库中获取密钥的第二密钥分片;提取单元,被配置成从嵌入二进制文件中提取密钥的第一密钥分片;生成单元,被配置成基于第一密钥分片和第二密钥分片生成密钥;解密单元,被配置成利用密钥对服务的加密机密数据进行解密,生成机密数据;执行单元,被配置成执行服务的二进制文件,以及在执行过程中使用机密数据。
在一些实施例中,解密单元进一步被配置成:利用对称密钥算法基于密钥解密加密机密数据,生成机密数据。
在一些实施例中,生成单元进一步被配置成:构造初始多项式,其中,初始多项式中的密钥和系数是未知数;将第一密钥分片和第二密钥分片分别代入初始多项式,生成密钥和系数。
第五方面,本申请实施例提供了一种电子设备,该电子设备包括:一个或多个处理器;存储装置,其上存储有一个或多个程序;当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现如第一方面中任一实现方式描述的方法,或者实现如第二方面中任一实现方式描述的方法。
第六方面,本申请实施例提供了一种计算机可读介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面中任一实现方式描述的方法,或者实现如第二方面中任一实现方式描述的方法。
本申请实施例提供的用于保护数据的方法和装置,首先利用密钥对服务的机密数据进行加密,生成加密机密数据;之后将密钥划分成第一密钥分片和第二密钥分片;然后将密钥的标识和第一密钥分片嵌入到服务的二进制文件中,生成嵌入二进制文件,以及将密钥的标识和第二密钥分片发送到服务的提供方的数据库进行存储;最后将嵌入二进制文件和加密机密数据发送到服务的使用方的服务器进行部署。提供了一种基于安全多方计算的机密数据的保护方法,能够有效地保护服务的机密数据。将用于加密机密数据的密钥拆分成两个密钥分片,一个密钥分片嵌入二进制文件中,另一个密钥分片存储到服务的提供方的数据库,实现了对密钥的多重保护。既可以防止攻击者通过反编译二进制文件来直接获取密钥,又可以防止具有服务的提供方的数据库的查询权限的人员直接泄露密钥。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1是本申请可以应用于其中的示例性系统架构;
图2是根据本申请的用于保护数据的方法的一个实施例的流程图;
图3是密钥保护的流程图;
图4是根据本申请的用于保护数据的方法的又一个实施例的流程图;
图5是根据本申请的用于使用服务的方法的一个实施例的流程图;
图6是数据解密的流程图;
图7是根据本申请的用于使用服务的方法的又一个实施例的流程图;
图8是根据本申请的用于保护数据的装置的一个实施例的结构示意图;
图9是根据本申请的用于使用服务的装置的一个实施例的结构示意图;
图10是适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
图1示出了可以应用本申请的用于保护数据的方法或用于保护数据的装置的实施例的示例性系统架构100。
如图1所示,系统架构100中可以包括服务器101、102,数据库103和网络104、105。网络104用以在服务器101和服务器102之间提供通信链路的介质。网络105用以在服务器101和数据库103之间提供通信链路的介质。网络104、105可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
服务器101可以是服务的提供方的服务器。服务器102可以是服务的使用方的服务器。数据库103可以是服务的提供方的数据库。
服务的提供方的服务器可以获取服务的二进制文件和机密数据;利用密钥对机密数据进行加密,生成加密机密数据;将密钥划分成第一密钥分片和第二密钥分片;将密钥的标识和第一密钥分片嵌入到二进制文件中,生成嵌入二进制文件,以及将密钥的标识和第二密钥分片发送到服务的提供方的数据库进行存储;将嵌入二进制文件和加密机密数据发送到服务的使用方的服务器进行部署。
服务的使用方的服务器可以响应于服务的启动指令,基于密钥的标识从服务的提供方的数据库中获取密钥的第二密钥分片;从嵌入二进制文件中提取密钥的第一密钥分片;基于第一密钥分片和第二密钥分片生成密钥;利用密钥对服务的加密机密数据进行解密,生成机密数据;执行服务的二进制文件,以及在执行过程中使用机密数据。
需要说明的是,服务器101、102可以是硬件,也可以是软件。当服务器101、102为硬件时,可以实现成多个服务器组成的分布式服务器集群,也可以实现成单个服务器。当服务器101、102为软件时,可以实现成多个软件或软件模块(例如用来提供分布式服务),也可以实现成单个软件或软件模块。在此不做具体限定。
需要说明的是,本申请实施例所提供的用于保护数据的方法一般由服务器101执行,相应地,用于保护数据的装置一般设置于服务器101中。本申请实施例所提供的用于使用服务的方法一般由服务器102执行,相应地,用于使用服务的装置一般设置于服务器102中。
继续参考图2,其示出了根据本申请的用于保护数据的方法的一个实施例的流程200。该用于保护数据的方法包括以下步骤:
步骤201,获取服务的二进制文件和机密数据。
在本实施例中,用于保护数据的方法的执行主体(例如图1所示的服务器101)可以获取服务的二进制文件和机密数据。通常,服务的提供方可以通过把服务的二进制文件和机密数据打包部署到服务的使用方的服务器(例如图1所示的服务器102)上,以使服务的使用方在不连接外网的情况下通过执行二进制文件来使用服务。其中,在二进制文件的执行过程中会使用到机密数据。
步骤202,利用密钥对机密数据进行加密,生成加密机密数据。
在本实施例中,上述执行主体可以利用密钥对机密数据进行加密,生成加密机密数据。例如,上述执行主体可以首先利用随机算法生成固定长度(例如256bits)的密钥;然后利用对称密钥算法(例如AES)基于密钥加密机密数据,生成加密机密数据。其中,对称密钥算法的加密代码如下:
encrypt(key,plaintext_file_path,ciphertext_file_path)。
步骤203,将密钥划分成第一密钥分片和第二密钥分片。
在本实施例中,上述执行主体可以利用密钥分片算法将密钥划分为第一密钥分片和第二密钥分片。其中,密钥分片算法可以是如下公式所示:
在本实施例的一些可选的实现方式中,上述执行主体可以将固定长度的密钥划分为长度相等或不等的两部分,其中一部分是第一密钥分片,另一部分是第二密钥分片。
步骤204,将密钥的标识和第一密钥分片嵌入到二进制文件中,生成嵌入二进制文件,以及将密钥的标识和第二密钥分片发送到服务的提供方的数据库进行存储。
在本实施例中,上述执行主体可以将密钥的标识和第一密钥分片嵌入到二进制文件中,生成嵌入二进制文件。同时,上述执行主体还可以将密钥的标识和第二密钥分片发送到服务的提供方的数据库(例如图1所示的数据库103)进行存储。
步骤205,将嵌入二进制文件和加密机密数据发送到服务的使用方的服务器进行部署。
在本实施例中,上述执行主体可以将嵌入二进制文件和加密机密数据发送到服务的使用方的服务器进行部署。
进一步参见图3,其示出了密钥保护的流程300。该密钥保护的流程包括以下步骤:
步骤301,密钥分片。
其中,对密钥key进行密钥分片,生成分片1和分片2。
步骤302,嵌入二进制文件。
其中,分片1嵌入二进制文件。
步骤303,存入数据库。
其中,分片2存入数据库。
本申请实施例提供的用于保护数据的方法,首先利用密钥对服务的机密数据进行加密,生成加密机密数据;之后将密钥划分成第一密钥分片和第二密钥分片;然后将密钥的标识和第一密钥分片嵌入到服务的二进制文件中,生成嵌入二进制文件,以及将密钥的标识和第二密钥分片发送到服务的提供方的数据库进行存储;最后将嵌入二进制文件和加密机密数据发送到服务的使用方的服务器进行部署。提供了一种基于安全多方计算的机密数据的保护方法,能够有效地保护服务的机密数据。将用于加密机密数据的密钥拆分成两个密钥分片,一个密钥分片嵌入二进制文件中,另一个密钥分片存储到服务的提供方的数据库,实现了对密钥的多重保护。既可以防止攻击者通过反编译二进制文件来直接获取密钥,又可以防止具有服务的提供方的数据库的查询权限的人员直接泄露密钥。
进一步参考图4,其示出了根据本申请的用于保护数据的方法的又一个实施例的流程400。该用于保护数据的方法包括以下步骤:
步骤401,获取服务的二进制文件和机密数据。
步骤402,利用密钥对机密数据进行加密,生成加密机密数据。
在本实施例中,步骤401-402具体操作已在图2所示的实施例中步骤201-202进行了详细的介绍,在此不再赘述。
步骤403,随机选择系数,以及基于密钥和系数生成多项式。
在本实施例中,用于保护数据的方法的执行主体(例如图1所示的服务器101)可以随机选择系数,以及基于密钥和系数生成多项式。例如,若密钥为10,随机选择的系数为3,上述执行主体可以将密钥作为多项式的常数,系数作为多项式的系数构造一元一次多项式:f(x)=10+3x。
步骤404,随机选择第一自变量和第二自变量,分别代入多项式,生成第一因变量和第二因变量。
在本实施例中,上述执行主体可以随机选择第一自变量和第二自变量,分别代入多项式,生成第一因变量和第二因变量。例如,随机选择第一自变量x1=2,代入多项式f(x)=10+3x,生成第一因变量f(x1)=16;随机选择第二自变量x2=5,代入多项式f(x)=10+3x,生成第二因变量f(x2)=16。
步骤405,基于第一自变量和第一因变量生成第一密钥分片,以及基于第二自变量和第二因变量生成第二密钥分片。
在本实施例中,上述执行主体可以基于第一自变量和第一因变量生成第一密钥分片,以及基于第二自变量和第二因变量生成第二密钥分片。例如,第一密钥分片(2,16),其中,2是第一自变量,16是第一因变量;第二密钥分片(5,25),其中,5是第二自变量,25是第二因变量。其中,密钥分片产生过程可以表示为:[(2,16),(5,25)]=SecretShare(10,2)。
步骤406,将密钥的标识和第一密钥分片嵌入到二进制文件中,生成嵌入二进制文件,以及将密钥的标识和第二密钥分片发送到服务的提供方的数据库进行存储。
步骤407,将嵌入二进制文件和加密机密数据发送到服务的使用方的服务器进行部署。
在本实施例中,步骤406-407具体操作已在图2所示的实施例中步骤204-205进行了详细的介绍,在此不再赘述。
从图4中可以看出,与图2对应的实施例相比,本实施例中的用于保护数据的方法的流程400突出了密钥分片步骤。由此,本实施例描述的方案中的两个密钥分片均不直接携带密钥的信息,当密钥分片单独被攻击时,无法获取密钥的任何信息。因此,提升了机密数据的保密性。
继续参考图5,其示出了根据本申请的用于使用服务的方法的一个实施例的流程500。该用于使用服务的方法包括以下步骤:
步骤501,响应于服务的启动指令,基于密钥的标识从服务的提供方的数据库中获取第二密钥分片。
在本实施例中,响应于服务的启动指令,用于使用服务的方法的服务器(例如图1所示的服务器102)可以基于密钥的标识从服务的提供方的数据库(例如图1所示的数据库103)中获取第二密钥分片。通常,服务的提供方的数据库中会对应存储密钥的标识和第二密钥分片,上述执行主体可以直接基于密钥的标识在服务的提供方的数据库中查询对应的第二密钥分片。此外,服务的提供方的数据库中还可以对应存储服务的使用方的信息,上述执行主体还可以基于服务的使用方的信息在服务的提供方的数据库中查询对应的第二密钥分片。
步骤502,从嵌入二进制文件中提取第一密钥分片。
在本实施例中,上述执行主体可以从嵌入二进制文件中提取第一密钥分片。
步骤503,基于第一密钥分片和第二密钥分片生成密钥。
在本实施例中,上述执行主体可以利用与密钥分片算法对应的密钥恢复算法基于第一密钥分片和第二密钥分片生成密钥。其中,密钥恢复算法可以如下公式所示:
在本实施例的一些可选的实现方式中,如果第一密钥分片和第二密钥分片是通过密钥划分为的长度相等或不等的两部分,那么上述执行主体可以将第一密钥分片和第二密钥分片拼接成密钥。
步骤504,利用密钥对加密机密数据进行解密,生成机密数据。
在本实施例中,上述执行主体可以利用密钥对加密机密数据进行解密,生成机密数据。例如,上述执行主体可以利用对称密钥算法基于密钥解密加密机密数据,生成机密数据。其中,对称密钥算法的解密代码如下:
decrypt(key,ciphertext_file_path,plaintext_file_path)。
步骤505,执行二进制文件,以及在执行过程中使用机密数据。
在本实施例中,上述执行主体可以执行二进制文件,以及在二进制文件的执行过程中使用加载到内存中的机密数据,以使服务的使用方在不连接外网的情况下使用服务。
进一步参见图6,其示出了数据解密的流程600。该数据解密的流程包括以下步骤:
步骤601,查询数据库。
其中,查询数据库可以得到分片2。
步骤602,提取二进制文件。
其中,提取二进制文件可以得到分片1。
步骤603,恢复密钥。
其中,分片1和分片2可以恢复密钥key。
步骤604,对称解密。
其中,利用密钥key对加密机密数据对称解密,得到机密数据。
本申请实施例提供的用于使用服务的方法,首先响应于服务的启动指令,基于密钥的标识从服务的提供方的数据库中获取密钥的第二密钥分片,同时从嵌入二进制文件中提取密钥的第一密钥分片;之后基于第一密钥分片和第二密钥分片生成密钥;然后利用密钥对服务的加密机密数据进行解密,生成机密数据;最后执行服务的二进制文件,以及在执行过程中使用机密数据。将用于加密机密数据的密钥拆分成两个密钥分片,一个密钥分片嵌入二进制文件中,另一个密钥分片存储到服务的提供方的数据库,当启动服务时,既需要从服务的提供方的数据库中获取密钥分片,又需要从部署的二进制文件中提取密钥分片,才能生成密钥来解密加密机密数据,实现了对密钥的多重保护。既可以防止攻击者通过反编译二进制文件来直接获取密钥,又可以防止具有服务的提供方的数据库的查询权限的人员直接泄露密钥,有效地保护服务的机密数据。
进一步参考图7,其示出了根据本申请的用于使用服务的方法的又一个实施例的流程700。该用于使用服务的方法包括以下步骤:
步骤701,响应于服务的启动指令,基于密钥的标识从服务的提供方的数据库中获取第二密钥分片。
步骤702,从嵌入二进制文件中提取第一密钥分片。
在本实施例中,步骤701-702具体操作已在图5所示的实施例中步骤501-502进行了详细的介绍,在此不再赘述。
步骤703,构造初始多项式。
在本实施例中,用于使用服务的方法的执行主体(例如图1所示的服务器102)可以构造初始多项式。其中,初始多项式中的密钥和系数可以是未知数。例如,将密钥预设为未知数s,将系数预设为未知数a,上述执行主体可以将密钥作为多项式的常数,系数作为多项式的系数构造一元一次初始多项式:f(x)=s+ax。
步骤704,将第一密钥分片和第二密钥分片分别代入初始多项式,生成密钥和系数。
在本实施例中,上述执行主体可以将第一密钥分片和第二密钥分片分别代入初始多项式,生成密钥和系数。例如,第一密钥分片(2,16)中的2作为第一自变量,16作为第一因变量代入多项式f(x)=s+ax,第二密钥分片(5,25)中的5作为第二自变量,25作为第二因变量代入多项式f(x)=s+ax,得到方程组如下:
解方程组得到s=10,a=3。
其中,密钥恢复过程可以表示为:10=SecretRecover((2,16),(5,25))。
步骤705,利用密钥对加密机密数据进行解密,生成机密数据。
步骤706,执行二进制文件,以及在执行过程中使用机密数据。
在本实施例中,步骤705-706具体操作已在图2所示的实施例中步骤504-505进行了详细的介绍,在此不再赘述。
从图7中可以看出,与图5对应的实施例相比,本实施例中的用于使用服务的方法的流程700突出了密钥恢复步骤。由此,本实施例描述的方案必须同时获取两个密钥分片代入初始多项式才能通过解方程组获取密钥,当密钥分片单独被攻击时,无法获取密钥的任何信息。因此,提升了机密数据的保密性。
进一步参考图8,作为对上述各图所示方法的实现,本申请提供了一种用于保护数据的装置的一个实施例,该装置实施例与图2所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图8所示,本实施例的用于保护数据的装置800可以包括:获取单元801、加密单元802、划分单元803、嵌入及发送单元804和发送单元805。其中,获取单元801,被配置成获取服务的二进制文件和机密数据;加密单元802,被配置成利用密钥对机密数据进行加密,生成加密机密数据;划分单元803,被配置成将密钥划分成第一密钥分片和第二密钥分片;嵌入及发送单元804,被配置成将密钥的标识和第一密钥分片嵌入到二进制文件中,生成嵌入二进制文件,以及将密钥的标识和第二密钥分片发送到服务的提供方的数据库进行存储;发送单元805,被配置成将嵌入二进制文件和加密机密数据发送到服务的使用方的服务器进行部署。
在本实施例中,用于保护数据的装置800中:获取单元801、加密单元802、划分单元803、嵌入及发送单元804和发送单元805的具体处理及其所带来的技术效果可分别参考图2对应实施例中的步骤201-205的相关说明,在此不再赘述。
在本实施例的一些可选的实现方式中,加密单元802进一步被配置成:利用随机算法生成固定长度的密钥;利用对称密钥算法基于密钥加密机密数据,生成加密机密数据。
在本实施例的一些可选的实现方式中,划分单元803进一步被配置成:随机选择系数,以及基于密钥和系数生成多项式;随机选择第一自变量和第二自变量,分别代入多项式,生成第一因变量和第二因变量;基于第一自变量和第一因变量生成第一密钥分片,以及基于第二自变量和第二因变量生成第二密钥分片。
进一步参考图9,作为对上述各图所示方法的实现,本申请提供了一种用于使用服务的装置的一个实施例,该装置实施例与图5所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图9所示,本实施例的用于使用服务的装置900可以包括:获取单元901、提取单元902、生成单元903、解密单元904和执行单元905。其中,获取单元901,被配置成响应于服务的启动指令,基于密钥的标识从服务的提供方的数据库中获取密钥的第二密钥分片;提取单元902,被配置成从嵌入二进制文件中提取密钥的第一密钥分片;生成单元903,被配置成基于第一密钥分片和第二密钥分片生成密钥;解密单元904,被配置成利用密钥对服务的加密机密数据进行解密,生成机密数据;执行单元905,被配置成执行服务的二进制文件,以及在执行过程中使用机密数据。
在本实施例中,用于使用服务的装置900中:获取单元901、提取单元902、生成单元903、解密单元904和执行单元905的具体处理及其所带来的技术效果可分别参考图5对应实施例中的步骤501-505的相关说明,在此不再赘述。
在本实施例的一些可选的实现方式中,解密单元904进一步被配置成:利用对称密钥算法基于密钥解密加密机密数据,生成机密数据。
在本实施例的一些可选的实现方式中,生成单元903进一步被配置成:构造初始多项式,其中,初始多项式中的密钥和系数是未知数;将第一密钥分片和第二密钥分片分别代入初始多项式,生成密钥和系数。
下面参考图10,其示出了适于用来实现本申请实施例的电子设备(例如图1所示的服务器101、102)的计算机系统1000的结构示意图。图10示出的电子设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图10所示,计算机系统1000包括中央处理单元(CPU)1001,其可以根据存储在只读存储器(ROM)1002中的程序或者从存储部分1008加载到随机访问存储器(RAM)1003中的程序而执行各种适当的动作和处理。在RAM 1003中,还存储有系统1000操作所需的各种程序和数据。CPU 1001、ROM 1002以及RAM 1003通过总线1004彼此相连。输入/输出(I/O)接口1005也连接至总线1004。
以下部件连接至I/O接口1005:包括键盘、鼠标等的输入部分1006;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分1007;包括硬盘等的存储部分1008;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分1009。通信部分1009经由诸如因特网的网络执行通信处理。驱动器1010也根据需要连接至I/O接口1005。可拆卸介质1011,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器1010上,以便于从其上读出的计算机程序根据需要被安装入存储部分1008。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分1009从网络上被下载和安装,和/或从可拆卸介质1011被安装。在该计算机程序被中央处理单元(CPU)1001执行时,执行本申请的方法中限定的上述功能。
需要说明的是,本申请所述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本申请的操作的计算机程序代码,所述程序设计语言包括面向目标的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如”C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或电子设备上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中,例如,可以描述为:一种处理器包括获取单元、加密单元、划分单元、嵌入及发送单元和发送单元。其中,这些单元的名称在种情况下并不构成对该单元本身的限定,例如,获取单元还可以被描述为“获取服务的二进制文件和机密数据的单元”。又例如,可以描述为:一种处理器包括获取单元、提取单元、生成单元、解密单元和执行单元。其中,这些单元的名称在种情况下并不构成对该单元本身的限定,例如,获取单元还可以被描述为“响应于服务的启动指令,基于密钥的标识从服务的提供方的数据库中获取密钥的第二密钥分片的单元”。
作为另一方面,本申请还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备:获取服务的二进制文件和机密数据;利用密钥对机密数据进行加密,生成加密机密数据;将密钥划分成第一密钥分片和第二密钥分片;将密钥的标识和第一密钥分片嵌入到二进制文件中,生成嵌入二进制文件,以及将密钥的标识和第二密钥分片发送到服务的提供方的数据库进行存储;将嵌入二进制文件和加密机密数据发送到服务的使用方的服务器进行部署。或者使得该电子设备:响应于服务的启动指令,基于密钥的标识从服务的提供方的数据库中获取密钥的第二密钥分片;从嵌入二进制文件中提取密钥的第一密钥分片;基于第一密钥分片和第二密钥分片生成密钥;利用密钥对服务的加密机密数据进行解密,生成机密数据;执行服务的二进制文件,以及在执行过程中使用机密数据。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (12)
1.一种用于保护数据的方法,包括:
获取服务的二进制文件和机密数据;
利用密钥对所述机密数据进行加密,生成加密机密数据;
将所述密钥划分成第一密钥分片和第二密钥分片,包括:随机选择系数,以及基于所述密钥和所述系数生成多项式;随机选择第一自变量和第二自变量,分别代入所述多项式,生成第一因变量和第二因变量;基于所述第一自变量和第一因变量生成第一密钥分片,以及基于所述第二自变量和第二因变量生成第二密钥分片;
将所述密钥的标识和所述第一密钥分片嵌入到所述二进制文件中,生成嵌入二进制文件,以及将所述密钥的标识和所述第二密钥分片发送到所述服务的提供方的数据库进行存储;
将所述嵌入二进制文件和所述加密机密数据发送到所述服务的使用方的服务器进行部署。
2.根据权利要求1所述的方法,其中,所述利用密钥对所述机密数据进行加密,生成加密机密数据,包括:
利用随机算法生成固定长度的密钥;
利用对称密钥算法基于所述密钥加密所述机密数据,生成加密机密数据。
3.一种用于使用服务的方法,包括:
响应于服务的启动指令,基于密钥的标识从所述服务的提供方的数据库中获取所述密钥的第二密钥分片;
从嵌入二进制文件中提取所述密钥的第一密钥分片,所述密钥的所述第一密钥分片和所述第二密钥分片通过以下方式生成:随机选择系数,以及基于所述密钥和所述系数生成多项式;随机选择第一自变量和第二自变量,分别代入所述多项式,生成第一因变量和第二因变量;基于所述第一自变量和第一因变量生成第一密钥分片,以及基于所述第二自变量和第二因变量生成第二密钥分片;
基于所述第一密钥分片和所述第二密钥分片生成所述密钥;
利用所述密钥对所述服务的加密机密数据进行解密,生成机密数据;
执行所述服务的二进制文件,以及在执行过程中使用所述机密数据。
4.根据权利要求3所述的方法,其中,所述利用所述密钥对所述服务的加密机密数据进行解密,生成机密数据,包括:
利用对称密钥算法基于所述密钥解密所述加密机密数据,生成所述机密数据。
5.根据权利要求3或4所述的方法,其中,所述基于所述第一密钥分片和所述第二密钥分片生成所述密钥,包括:
构造初始多项式,其中,所述初始多项式中的密钥和系数是未知数;
将所述第一密钥分片和所述第二密钥分片分别代入所述初始多项式,生成所述密钥和所述系数。
6.一种用于保护数据的装置,包括:
获取单元,被配置成获取服务的二进制文件和机密数据;
加密单元,被配置成利用密钥对所述机密数据进行加密,生成加密机密数据;
划分单元,被配置成将所述密钥划分成第一密钥分片和第二密钥分片,包括:随机选择系数,以及基于所述密钥和所述系数生成多项式;随机选择第一自变量和第二自变量,分别代入所述多项式,生成第一因变量和第二因变量;基于所述第一自变量和第一因变量生成第一密钥分片,以及基于所述第二自变量和第二因变量生成第二密钥分片;
嵌入及发送单元,被配置成将所述密钥的标识和所述第一密钥分片嵌入到所述二进制文件中,生成嵌入二进制文件,以及将所述密钥的标识和所述第二密钥分片发送到所述服务的提供方的数据库进行存储;
发送单元,被配置成将所述嵌入二进制文件和所述加密机密数据发送到所述服务的使用方的服务器进行部署。
7.根据权利要求6所述的装置,其中,所述加密单元进一步被配置成:
利用随机算法生成固定长度的密钥;
利用对称密钥算法基于所述密钥加密所述机密数据,生成加密机密数据。
8.一种用于使用服务的装置,包括:
获取单元,被配置成响应于服务的启动指令,基于密钥的标识从所述服务的提供方的数据库中获取所述密钥的第二密钥分片;
提取单元,被配置成从嵌入二进制文件中提取所述密钥的第一密钥分片,所述密钥的所述第一密钥分片和所述第二密钥分片通过以下方式生成:随机选择系数,以及基于所述密钥和所述系数生成多项式;随机选择第一自变量和第二自变量,分别代入所述多项式,生成第一因变量和第二因变量;基于所述第一自变量和第一因变量生成第一密钥分片,以及基于所述第二自变量和第二因变量生成第二密钥分片;
生成单元,被配置成基于所述第一密钥分片和所述第二密钥分片生成所述密钥;
解密单元,被配置成利用所述密钥对所述服务的加密机密数据进行解密,生成机密数据;
执行单元,被配置成执行所述服务的二进制文件,以及在执行过程中使用所述机密数据。
9.根据权利要求8所述的装置,其中,所述解密单元进一步被配置成:
利用对称密钥算法基于所述密钥解密所述加密机密数据,生成所述机密数据。
10.根据权利要求8或9所述的装置,其中,所述生成单元进一步被配置成:
构造初始多项式,其中,所述初始多项式中的密钥和系数是未知数;
将所述第一密钥分片和所述第二密钥分片分别代入所述初始多项式,生成所述密钥和所述系数。
11.一种电子设备,包括:
一个或多个处理器;
存储装置,其上存储有一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-2中任一所述的方法,或者实现如权利要求3-5中任一所述的方法。
12.一种计算机可读介质,其上存储有计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1-2中任一所述的方法,或者实现如权利要求3-5中任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010161276.3A CN113378211B (zh) | 2020-03-10 | 2020-03-10 | 用于保护数据的方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010161276.3A CN113378211B (zh) | 2020-03-10 | 2020-03-10 | 用于保护数据的方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113378211A CN113378211A (zh) | 2021-09-10 |
CN113378211B true CN113378211B (zh) | 2022-05-20 |
Family
ID=77568699
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010161276.3A Active CN113378211B (zh) | 2020-03-10 | 2020-03-10 | 用于保护数据的方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113378211B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116484407B (zh) * | 2023-04-23 | 2024-03-22 | 深圳市天下房仓科技有限公司 | 一种数据安全保护方法、装置、电子设备及存储介质 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110417544A (zh) * | 2019-06-28 | 2019-11-05 | 腾讯科技(深圳)有限公司 | 一种根密钥的生成方法、装置和介质 |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102306114B (zh) * | 2010-09-25 | 2013-04-10 | 广东电子工业研究院有限公司 | 基于云存储的数据定时备份和恢复方法 |
CN103595793B (zh) * | 2013-11-13 | 2017-01-25 | 华中科技大学 | 一种无需可信第三方支持的云端数据安全删除系统与方法 |
CN104917609B (zh) * | 2015-05-19 | 2017-11-10 | 华中科技大学 | 一种基于用户感知的高效安全数据去重方法及系统 |
CN106059762B (zh) * | 2016-07-26 | 2019-05-14 | 江苏国泰新点软件有限公司 | 数据安全处理方法及装置 |
US10586057B2 (en) * | 2017-11-16 | 2020-03-10 | Intuit Inc. | Processing data queries in a logically sharded data store |
US10986602B2 (en) * | 2018-02-09 | 2021-04-20 | Intel Corporation | Technologies to authorize user equipment use of local area data network features and control the size of local area data network information in access and mobility management function |
CN109934585B (zh) * | 2019-03-08 | 2023-07-28 | 矩阵元技术(深圳)有限公司 | 一种基于安全多方计算的签名方法、装置及系统 |
CN109831464A (zh) * | 2019-04-01 | 2019-05-31 | 北京百度网讯科技有限公司 | 用于解密数据的方法和装置 |
CN110069905B (zh) * | 2019-04-26 | 2021-03-23 | 深圳智慧园区信息技术有限公司 | 一种Springboot程序加密和解密的装置及方法 |
-
2020
- 2020-03-10 CN CN202010161276.3A patent/CN113378211B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110417544A (zh) * | 2019-06-28 | 2019-11-05 | 腾讯科技(深圳)有限公司 | 一种根密钥的生成方法、装置和介质 |
Non-Patent Citations (2)
Title |
---|
Data embedding technique using secret fragment visible mosaic image for covered communication;Asawari S. Chavan 等;《2015 International Conference Information Processing(ICIP)》;20160613;260-265 * |
一种新的文件密钥存储方法;杨建新;《中国科技论文在线》;20110415;第6卷(第04期);263-267 * |
Also Published As
Publication number | Publication date |
---|---|
CN113378211A (zh) | 2021-09-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11335213B2 (en) | Method and apparatus for encrypting data, method and apparatus for decrypting data | |
EP3264671A1 (en) | Key replacement direction control system, and key replacement direction control method | |
JP6619401B2 (ja) | データ検索システム、データ検索方法およびデータ検索プログラム | |
CN108777685B (zh) | 用于处理信息的方法和装置 | |
CN112035860A (zh) | 文件加密方法、终端、装置、设备及介质 | |
CN113301036A (zh) | 通信加密方法和装置、设备及存储介质 | |
CN116383867A (zh) | 一种数据查询方法、装置、电子设备及计算机可读介质 | |
CN114124364A (zh) | 密钥安全处理方法、装置、设备及计算机可读存储介质 | |
CN113378211B (zh) | 用于保护数据的方法和装置 | |
CN112019328B (zh) | Ip地址的加密方法、装置、设备和存储介质 | |
CN114020705A (zh) | 一种文件处理方法、装置和存储介质 | |
US20190260583A1 (en) | Encryption device, search device, computer readable medium, encryption method, and search method | |
CN111416788A (zh) | 防止传输数据被篡改的方法和装置 | |
US20090319805A1 (en) | Techniques for performing symmetric cryptography | |
CN114615087B (zh) | 数据共享方法、装置、设备及介质 | |
CN111831978A (zh) | 一种对配置文件进行保护的方法及装置 | |
CN113810779B (zh) | 码流验签方法、装置、电子设备和计算机可读介质 | |
CN116132041A (zh) | 密钥处理方法、装置、存储介质及电子设备 | |
CN115412246A (zh) | 不经意传输方法、装置、设备和存储介质 | |
CN115442046A (zh) | 签名方法、装置、电子设备和存储介质 | |
CN115567263A (zh) | 一种数据传输管理的方法、数据处理的方法和装置 | |
CN111030930B (zh) | 基于去中心化网络数据分片传输方法、装置、设备及介质 | |
CN114422123A (zh) | 通信方法、装置、电子设备和计算机可读介质 | |
CN113259718A (zh) | 视频流的加密方法、装置、通信设备及存储介质 | |
CN110543772A (zh) | 离线解密方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |