本申請實施例公開了用于保護數據的方法和裝置。該方法的一具體實施方式包括：獲取服務的二進制文件和機密數據；利用密鑰對機密數據進行加密，生成加密機密數據；將密鑰劃分成第一密鑰分片和第二密鑰分片；將密鑰的標識和第一密鑰分片嵌入到二進制文件中，生成嵌入二進制文件，以及將密鑰的標識和第二密鑰分片發送到服務的提供方的數據庫進行存儲；將嵌入二進制文件和加密機密數據發送到服務的使用方的服務器進行部署。該實施方式提供了一種基于安全多方計算的機密數據的保護方法，能夠有效地保護服務的機密數據。

技術領域

本申請實施例涉及計算機技術領域，具體涉及用于保護數據的方法和裝置。

背景技術

目前，服務的提供方在對外提供服務時，某些情況下，受服務的使用方的網絡環境限制，可能需要服務的提供方將服務離線部署到服務的使用方的服務器。因此，服務的提供方會把服務的二進制文件和一些核心機密數據打包部署到服務的使用方的服務器上。這樣，服務的使用方就可以在不連接外網的情況下，通過服務的提供方提供的二進制文件和核心機密數據使用服務。服務的提供方希望該核心機密數據只能被自己部署的二進制文件使用。然而，直接將核心機密數據部署到服務的使用方的服務器，會面臨著核心機密數據泄漏的風險。

發明內容

本申請實施例提出了用于保護數據的方法和裝置。

第一方面，本申請實施例提出了一種用于保護數據的方法，包括：獲取服務的二進制文件和機密數據；利用密鑰對機密數據進行加密，生成加密機密數據；將密鑰劃分成第一密鑰分片和第二密鑰分片；將密鑰的標識和第一密鑰分片嵌入到二進制文件中，生成嵌入二進制文件，以及將密鑰的標識和第二密鑰分片發送到服務的提供方的數據庫進行存儲；將嵌入二進制文件和加密機密數據發送到服務的使用方的服務器進行部署。

在一些實施例中，利用密鑰對機密數據進行加密，生成加密機密數據，包括：利用隨機算法生成固定長度的密鑰；利用對稱密鑰算法基于密鑰加密機密數據，生成加密機密數據。

在一些實施例中，將密鑰劃分成第一密鑰分片和第二密鑰分片，包括：隨機選擇系數，以及基于密鑰和系數生成多項式；隨機選擇第一自變量和第二自變量，分別代入多項式，生成第一因變量和第二因變量；基于第一自變量和第一因變量生成第一密鑰分片，以及基于第二自變量和第二因變量生成第二密鑰分片。

第二方面，本申請實施例提出了一種用于使用服務的方法，包括：響應于服務的啟動指令，基于密鑰的標識從服務的提供方的數據庫中獲取密鑰的第二密鑰分片；從嵌入二進制文件中提取密鑰的第一密鑰分片；基于第一密鑰分片和第二密鑰分片生成密鑰；利用密鑰對服務的加密機密數據進行解密，生成機密數據；執行服務的二進制文件，以及在執行過程中使用機密數據。

在一些實施例中，利用密鑰對服務的加密機密數據進行解密，生成機密數據，包括：利用對稱密鑰算法基于密鑰解密加密機密數據，生成機密數據。

在一些實施例中，基于第一密鑰分片和第二密鑰分片生成密鑰，包括：構造初始多項式，其中，初始多項式中的密鑰和系數是未知數；將第一密鑰分片和第二密鑰分片分別代入初始多項式，生成密鑰和系數。

第三方面，本申請實施例提出了一種用于保護數據的裝置，包括：獲取單元，被配置成獲取服務的二進制文件和機密數據；加密單元，被配置成利用密鑰對機密數據進行加密，生成加密機密數據；劃分單元，被配置成將密鑰劃分成第一密鑰分片和第二密鑰分片；嵌入及發送單元，被配置成將密鑰的標識和第一密鑰分片嵌入到二進制文件中，生成嵌入二進制文件，以及將密鑰的標識和第二密鑰分片發送到服務的提供方的數據庫進行存儲；發送單元，被配置成將嵌入二進制文件和加密機密數據發送到服務的使用方的服務器進行部署。

在一些實施例中，加密單元進一步被配置成：利用隨機算法生成固定長度的密鑰；利用對稱密鑰算法基于密鑰加密機密數據，生成加密機密數據。