一种应用于脚本的敏感信息获取方法及装置与流程

1.本发明实施例涉及计算机技术领域，尤其涉及一种应用于脚本的敏感信息获取方法、装置、计算设备及计算机可读存储介质。


背景技术：

2.在日常系统运维中，很多情况下会利用脚本来实现预设功能，从而提高运维效率。例如，在每台服务器上安装一个脚本，该脚本在服务器上运行，能够实现连接数据库筛选数据、批量登录服务器查询日志或封装常用操作步骤等功能。无需人为操作，提高了运维效率，节省了人力成本和时间成本。
3.一般来说，为了提高自动化率，脚本中常包含敏感信息。例如一个实现连接数据库筛选数据功能的脚本中，会包含所要连接的数据库的密码；一个实现批量登录服务器查询日志功能的脚本中，会包含所要登录的服务器的密码。那么若脚本被他人获取，则存在敏感信息泄露的风险。


技术实现要素：

4.本发明实施例提供一种应用于脚本的敏感信息获取方法，用以提高敏感信息的安全性。
5.第一方面，本发明实施例提供一种应用于脚本的敏感信息获取方法，包括：
6.脚本启动后，在第一位置获取第一信息，将所述第一信息作为密钥；
7.在第二位置获取第二信息，将所述第二信息作为敏感信息密文；其中，所述第一位置为运行所述脚本的服务器，所述第二位置为所述脚本，或，所述第一位置为所述脚本，所述第二位置为运行所述脚本的服务器；
8.采用所述密钥对所述敏感信息密文进行解密，得到解密结果，将所述解密结果作为提供给所述脚本执行预设功能的敏感信息明文。
9.脚本启动后，在不同的位置获取第一信息和第二信息，将第一信息作为密钥，将第二信息作为敏感信息密文，采用得到的密钥对敏感信息密文进行解密，得到解密结果。将密钥和敏感信息密文存放在不同的位置，脚本中仅包含密钥或敏感信息密文中的一种，若脚本运行在合法的服务器中，则脚本启动后，就可以从第一位置和第二位置分别获取密钥和敏感信息密文，进行解密后得到敏感信息明文，通过敏感信息明文即可执行预设功能。而若脚本被他人获取，将该脚本运行在他人的非法服务器中，则脚本只能从脚本中获取第一信息或第二信息，却无法从运行脚本的服务器中获取另外一个信息，也就无法得到解密结果，无法得到敏感信息明文。如此保证了敏感信息明文的安全性。
10.在一些实施例中，所述敏感信息密文存放于所述服务器中；
11.所述方法还包括：
12.接收更新的敏感信息密文，将更新的敏感信息密文替换初始的敏感信息密文存放于所述服务器中；所述更新的敏感信息密文为采用所述密钥对更新的敏感信息明文进行加
密得到的。
13.将敏感信息密文存放于服务器的预设位置而非脚本中，简化了敏感信息密文更新的流程，提高了敏感信息密文更新的速度。只需将敏感信息明文进行更新，对更新的敏感信息明文进行加密得到更新的敏感信息密文，将更新的敏感信息密文发送至服务器，即可完成敏感信息密文在服务器中的更新。无需脚本重新发布，流程更加简单，减少了脚本的维护成本。
14.在一些实施例中，所述敏感信息密文为根据所述密钥和国密sm4算法对敏感信息明文进行加密得到的；
15.采用所述密钥对所述敏感信息密文进行解密，得到解密结果，包括：
16.采用所述密钥和所述国密sm4算法对所述敏感信息密文进行解密，得到解密结果。
17.采用国密sm4算法进行加解密，速度快，更能保证敏感信息明文的机密性。
18.第二方面，本发明实施例还提供一种应用于脚本的敏感信息获取方法，包括：
19.脚本启动后，在第一位置获取第一信息分量；在第二位置获取第二信息分量；其中，所述第一位置为运行所述脚本的服务器，所述第二位置为所述脚本，或，所述第一位置为所述脚本，所述第二位置为运行所述脚本的服务器；
20.将根据所述第一信息分量和所述第二信息分量得到的信息作为密钥；
21.采用所述密钥对敏感信息密文进行解密，得到解密结果，将所述解密结果作为提供给所述脚本执行预设功能的敏感信息明文；所述敏感信息密文是从所述第一位置或所述第二位置获取的信息。
22.脚本启动后，在不同的位置获取第一信息分量和第二信息分量，将第一信息分量和所述第二信息分量得到的信息作为密钥，对敏感信息密文进行解密，得到解密结果。如此，脚本中仅包含第一信息分量，或，第一信息分量和敏感信息密文，或，第二信息分量，或，第二信息分量和敏感信息密文，若该脚本被他人非法获取，采用上述信息中的任一种均无法获取敏感信息明文。如此保证了敏感信息明文的安全性。
23.在一些实施例中，所述敏感信息密文存放于所述服务器的预设位置；
24.所述方法还包括：
25.接收更新的敏感信息密文，将更新的敏感信息密文替换初始的敏感信息密文存放于所述服务器中；所述更新的敏感信息密文为采用所述密钥对更新的敏感信息明文进行加密得到的。
26.在一些实施例中，所述敏感信息密文为根据所述密钥和国密sm4算法对敏感信息明文进行加密得到的；
27.采用所述密钥对所述敏感信息密文进行解密，得到敏感信息明文，包括：
28.采用所述密钥和所述国密sm4算法对所述敏感信息密文进行解密，得到所述敏感信息明文。
29.第三方面，本发明实施例还提供一种应用于脚本的敏感信息获取装置，包括：
30.第一获取单元，用于：
31.脚本启动后，在第一位置获取第一信息，将所述第一信息作为密钥；
32.在第二位置获取第二信息，将所述第二信息作为敏感信息密文；其中，所述第一位置为运行所述脚本的服务器，所述第二位置为所述脚本，或，所述第一位置为所述脚本，所
述第二位置为运行所述脚本的服务器；
33.第一处理单元，用于：
34.采用所述密钥对所述敏感信息密文进行解密，得到解密结果，将所述解密结果作为提供给所述脚本执行预设功能的敏感信息明文。
35.在一些实施例中，所述敏感信息密文存放于所述服务器中；
36.所述第一处理单元还用于：
37.接收更新的敏感信息密文，将更新的敏感信息密文替换初始的敏感信息密文存放于所述服务器中；所述更新的敏感信息密文为采用所述密钥对更新的敏感信息明文进行加密得到的。
38.在一些实施例中，所述敏感信息密文为根据所述密钥和国密sm4算法对敏感信息明文进行加密得到的；
39.所述第一处理单元具体用于：
40.采用所述密钥和所述国密sm4算法对所述敏感信息密文进行解密，得到解密结果。
41.第四方面，本发明实施例还提供一种应用于脚本的敏感信息获取装置，包括：
42.第二获取单元，用于：
43.脚本启动后，在第一位置获取第一信息分量；在第二位置获取第二信息分量；其中，所述第一位置为运行所述脚本的服务器，所述第二位置为所述脚本，或，所述第一位置为所述脚本，所述第二位置为运行所述脚本的服务器；
44.第二处理单元，用于：
45.将根据所述第一信息分量和所述第二信息分量得到的信息作为密钥；
46.采用所述密钥对敏感信息密文进行解密，得到解密结果，将所述解密结果作为提供给所述脚本执行预设功能的敏感信息明文；所述敏感信息密文是从所述第一位置或所述第二位置获取的信息。
47.在一些实施例中，所述敏感信息密文存放于所述服务器的预设位置；
48.所述第二处理单元还用于：
49.接收更新的敏感信息密文，将更新的敏感信息密文替换初始的敏感信息密文存放于所述服务器中；所述更新的敏感信息密文为采用所述密钥对更新的敏感信息明文进行加密得到的。
50.在一些实施例中，所述敏感信息密文为根据所述密钥和国密sm4算法对敏感信息明文进行加密得到的；
51.所述第二处理单元具体用于：
52.采用所述密钥和所述国密sm4算法对所述敏感信息密文进行解密，得到所述敏感信息明文。
53.第五方面，本发明实施例还提供一种计算设备，包括：
54.存储器，用于存储计算机程序；
55.处理器，用于调用所述存储器中存储的计算机程序，按照获得的程序执行上述任一方式所列的应用于脚本的敏感信息获取方法。
56.第六方面，本发明实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机可执行程序，所述计算机可执行程序用于使计算机执行上述任一方式所
列的应用于脚本的敏感信息获取方法。
附图说明
57.为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
58.图1为本发明实施例提供的一种系统架构的示意图；
59.图2为本发明实施例提供的一种应用于脚本的敏感信息获取方法的流程示意图；
60.图3为本发明实施例提供的一种存储密钥和敏感信息密文的执行流程示意图；
61.图4为本发明实施例提供的一种存储密钥和敏感信息密文的执行流程示意图；
62.图5为本发明实施例提供的一种应用于脚本的敏感信息获取方法的流程示意图；
63.图6为本发明实施例提供的一种存储密钥和敏感信息密文的执行流程示意图；
64.图7为本发明实施例提供的一种存储密钥和敏感信息密文的执行流程示意图；
65.图8为本发明实施例提供的一种脚本启动后的执行流程示意图；
66.图9为本发明实施例提供的一种更新敏感信息密文的流程示意图；
67.图10为本发明实施例提供的一种应用于脚本的敏感信息获取装置的示意图；
68.图11为本发明实施例提供的一种应用于脚本的敏感信息获取装置的示意图；
69.图12为本发明实施例提供的一种计算机设备的结构示意图。
具体实施方式
70.为使本技术的目的、实施方式和优点更加清楚，下面将结合本技术示例性实施例中的附图，对本技术示例性实施方式进行清楚、完整地描述，显然，所描述的示例性实施例仅是本技术一部分实施例，而不是全部的实施例。
71.基于本技术描述的示例性实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本技术所附权利要求保护的范围。此外，虽然本技术中公开内容按照示范性一个或几个实例来介绍，但应理解，可以就这些公开内容的各个方面也可以单独构成一个完整实施方式。
72.需要说明的是，本技术中对于术语的简要说明，仅是为了方便理解接下来描述的实施方式，而不是意图限定本技术的实施方式。除非另有说明，这些术语应当按照其普通和通常的含义理解。
73.本技术中说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”等是用于区别类似或同类的对象或实体，而不必然意味着限定特定的顺序或先后次序，除非另外注明(unless otherwise indicated)。应该理解这样使用的用语在适当情况下可以互换，例如能够根据本技术实施例图示或描述中给出那些以外的顺序实施。
74.此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖但不排他的包含，例如，包含了一系列组件的产品或设备不必限于清楚地列出的那些组件，而是可包括没有清楚地列出的或对于这些产品或设备固有的其它组件。
75.为了降低脚本中的敏感信息泄露的风险，本发明实施例提供如下两种方式。方式
一，采用专用的密码管理模块来管理密码。图1示出了一种可能的系统架构，密码管理模块分为服务端和客户端，服务端安装在一个负责管理所有密码的服务器或服务器集群中，客户端安装在各运行有脚本的服务器中。当需要更新密码时，在服务端对所有的密码进行更新即可。当任一脚本需要执行预设功能时，先调用同一服务器的客户端，通过客户端向服务端发送请求；服务端接收到客户端的请求后，对客户端进行身份识别，识别通过后将密码明文返回给客户端；客户端将密码明文发送至脚本，从而脚本就可基于密码明文执行预设功能。由于脚本本身并未存储密码，只是在需要密码时通过密码管理模块中的客户端获取，因此保证了密码的安全性。
76.方式二，脚本中保存有密钥、解密算法和敏感信息密文；在脚本需要执行预设功能时，先采用密钥和解密算法对敏感信息密文进行解密，解密后得到敏感信息明文，从而脚本就可基于敏感信息明文执行预设功能。如此，由于脚本中并未直接出现敏感信息明文，因此保证了敏感信息的安全性。
77.但是上述方式存在一些缺点。方式一中，需要额外设置密码管理模块，在硬件和软件方面均增加了成本。其次，由于密码管理模块管理着所有的密码，一旦泄露造成的安全风险更高，因此对调用方的安全等级要求非常高。而脚本的安全等级较低，很容易被篡改，因此采用脚本调用密码管理模块也存在极大的安全风险。并且，密码管理模块通常只是用来管理密码，不会保存其他敏感信息，例如服务器的互联网协议(internet protocol，ip)地址、端口、用户名等，因此这些敏感信息还是保存在脚本中，仍存在泄露的风险。方式二中，虽然脚本中不直接包含敏感信息明文，但是包含了敏感信息密文、密钥和解密算法，若脚本被他人获取，可以很容易地解密敏感信息密文获取敏感信息明文，敏感信息泄露风险依然存在。另外，在实际的运维过程中，由于敏感信息密文保存在脚本中，若需要对敏感信息更新，需要为每个服务器更新脚本，这就需要重新执行脚本发布流程，涉及到的步骤较为繁琐，耗时长，这无疑增加了脚本的维护成本。
78.本发明实施例提供另外一种应用于脚本的敏感信息获取方法，如图2所示，包括：
79.步骤201，脚本启动后，在第一位置获取第一信息，将所述第一信息作为密钥。
80.步骤202，在第二位置获取第二信息，将所述第二信息作为敏感信息密文；其中，所述第一位置为运行所述脚本的服务器，所述第二位置为所述脚本，或，所述第一位置为所述脚本，所述第二位置为运行所述脚本的服务器。
81.步骤203，采用所述密钥对所述敏感信息密文进行解密，得到解密结果，将所述解密结果作为提供给所述脚本执行预设功能的敏感信息明文。
82.若脚本在合法的服务器上运行，合法的服务器是指存储有密钥或敏感信息密文的服务器，则脚本能够在该合法的服务器上获取密钥或敏感信息密文。
83.若脚本被他人获取，在非法的服务器上运行该脚本，非法的服务器是指未存储有密钥和敏感信息密文的服务器，则脚本不能够在该非法的服务器上获取密钥或敏感信息密文。脚本可以被他人通过很多方式获取，例如，脚本被开发人员上传至互联网，他人在互联网上下载得到。例如，他人通过窃取的方式获得了脚本等。
84.下面通过实施例一和实施例二对脚本运行在合法的服务器上的情况作详细说明。
85.实施例一
86.密码管理员生成密钥，采用密钥对敏感信息明文进行加密，得到敏感信息密文。密
码管理员将密钥交给密钥维护人员，将敏感信息密文交给脚本开发人员。密钥维护人员将密钥添加至任一合法服务器中，例如添加至该服务器的环境变量或文件中。脚本开发人员将敏感信息密文编码到脚本中，测试验收后发布脚本，脚本维护人员在存储有密钥的服务器中部署该脚本。如此，在该合法的服务器中存储有密钥；在该合法的服务器中运行的脚本中存储有敏感信息密文。图3示出了上述实施例的执行流程示意图。
87.在上述实施例中，出现了密码管理员、密钥维护人员、脚本开发人员和脚本维护人员，分别处理了四种任务中的一种。可以理解的是，四种任务也可以由同一人处理，或者任意两种或三种任务由同一人处理。本领域技术人员可以根据需要自由设置。为了敏感信息明文的安全起见，各项任务由不同的人员完成。
88.敏感信息明文可以包括如下至少一项：服务器的ip地址、服务器的登录账户、服务器的登录密码、数据库名称、数据库的登录账户和数据库的登录密码。本发明实施例对此不作限制。脚本获取了敏感信息明文，就可基于敏感信息明文执行预设功能。例如脚本获取了所要连接的数据库的登录账户和登录密码，就可连接该数据库，实现筛选数据等各种功能。例如脚本获取了所要登录的服务器的登录账户和登录密码，就可登录该服务器，实现查询日志等各种功能。以上仅为示例。
89.当脚本启动后，在当前运行的服务器中获取密钥，在脚本中获取敏感信息密文。采用密钥对敏感信息密文进行解密，得到敏感信息明文，基于敏感信息明文执行预设功能。
90.由于密钥和敏感信息密文存放在不同的位置，若脚本被他人获取，也只能获取脚本中存储的信息，而无法获取在服务器中存储的信息。因此保证了敏感信息明文的安全性。
91.为了提高敏感信息明文的安全性，一般来说，会设置敏感信息明文间隔一定时间进行更新。例如，每三个月更新一次数据库的登录密码。敏感信息明文更新的话，敏感信息密文也会随之更新。在本发明实施例中，敏感信息密文存储在脚本中，因此当需要更新敏感信息明文时，需要重新执行脚本发布流程，更新敏感信息密文。具体来说，密码管理员采用密钥对更新的敏感信息明文进行加密，得到更新的敏感信息密文。密码管理员将更新的敏感信息密文交给脚本开发人员，脚本开发人员将更新的敏感信息密文编码到脚本中，得到更新的脚本，测试验收后发布该更新的脚本，脚本维护人员在存储有密钥的服务器中部署该更新的脚本。
92.本发明实施例中，由于敏感信息密文存储在脚本中，因此更新敏感信息密文的过程十分繁琐耗时，需要重新执行脚本的发布流程。
93.实施例二
94.密码管理员生成密钥，采用密钥对敏感信息明文进行加密，得到敏感信息密文。密码管理员将敏感信息密文交给密钥维护人员，将密钥交给脚本开发人员。密钥维护人员将敏感信息密文添加至任一合法服务器中，例如添加至该服务器的环境变量或文件中。脚本开发人员将密钥编码到脚本中，测试验收后发布脚本，脚本维护人员在存储有敏感信息密文的服务器中部署该脚本。如此，在该合法的服务器中存储有敏感信息密文；在该合法的服务器中运行的脚本中存储有密钥。图4示出了上述实施例的执行流程示意图。
95.敏感信息明文可以包括如下至少一项：服务器的ip地址、服务器的登录账户、服务器的登录密码、数据库名称、数据库的登录账户和数据库的登录密码。本发明实施例对此不作限制。脚本获取了敏感信息明文，就可基于敏感信息明文执行预设功能。例如脚本获取了
所要连接的数据库的登录账户和登录密码，就可连接该数据库，实现筛选数据等各种功能。例如脚本获取了所要登录的服务器的登录账户和登录密码，就可登录该服务器，实现查询日志等各种功能。以上仅为示例。
96.当脚本启动后，在当前运行的服务器中获取敏感信息密文，在脚本中获取密钥。采用密钥对敏感信息密文进行解密，得到敏感信息明文，基于敏感信息明文执行预设功能。
97.由于密钥和敏感信息密文存放在不同的位置，若脚本被他人获取，也只能获取脚本中存储的信息，而无法获取在服务器中存储的信息。因此保证了敏感信息明文的安全性。
98.为了提高敏感信息明文的安全性，一般来说，会设置敏感信息明文间隔一定时间进行更新。例如，每三个月更新一次数据库的登录密码。敏感信息明文更新的话，敏感信息密文也会随之更新。在本发明实施例中，敏感信息密文存储在服务器中，因此只需更新服务器的敏感信息密文的存储位置的值即可。具体来说，密码管理员采用密钥对更新的敏感信息明文进行加密，得到更新的敏感信息密文。密码管理员将更新的敏感信息密文交给密钥维护人员，密钥维护人员登录该服务器，将服务器的环境变量或文件的存储值更新为更新的敏感信息密文，或者，密钥维护人员将各服务器的更新的敏感信息密文批量发送至各服务器，针对任一台服务器而言，该服务器接收更新的敏感信息密文，自动将更新的敏感信息密文替换初始的敏感信息密文即可。
99.上述方式简化了敏感信息密文更新的流程，提高了敏感信息密文更新的速度。只需将敏感信息明文进行更新，对更新的敏感信息明文进行加密得到更新的敏感信息密文，将更新的敏感信息密文发送至服务器，即可完成敏感信息密文在服务器中的更新。无需重新执行脚本发布流程，流程更加简单，减少了脚本的维护成本。
100.下面通过实施例三和实施例四对脚本运行在非法的服务器上的情况作详细说明。
101.实施例三
102.他人通过非法途径获取了脚本，在非法的服务器上运行该脚本。脚本启动后，在运行脚本的非法服务器中获取了第一信息，将第一信息作为密钥；在脚本中获取了第二信息，将第二信息作为敏感信息密文，采用密钥对敏感信息密文进行解密，得到解密结果。由于第一信息是在非法服务器上获取的，所以第一信息不是密钥，所以要么无法对第二信息进行解密无法得到解密结果，要么能够得到解密结果但是得到的解密结果不是敏感信息明文，如此保证了敏感信息明文的安全性。
103.当然还存在其他可能的情况，例如，在运行脚本的非法服务器中无法获取到第一信息，例如在该非法服务器中环境变量的值为空，那么也就无法进行后续步骤。
104.实施例四
105.他人通过非法途径获取了脚本，在非法的服务器上运行该脚本。脚本启动后，在脚本中获取了第一信息，将第一信息作为密钥；在运行脚本的非法服务器中获取了第二信息，将第二信息作为敏感信息密文，采用密钥对敏感信息密文进行解密，得到解密结果。由于第二信息是在非法服务器上获取的，所以第二信息不是敏感信息密文，所以要么无法对第二信息进行解密无法得到解密结果，要么能够得到解密结果但是得到的解密结果不是敏感信息明文，如此保证了敏感信息明文的安全性。
106.当然还存在其他可能的情况，例如，在运行脚本的非法服务器中无法获取到第二信息，例如在该非法服务器中不存在该环境变量，那么也就无法进行后续步骤。
107.在一些实施例中，对敏感信息明文进行加密时，采用的算法可以为多种，例如，采用密钥和国密sm4算法对敏感信息明文进行加密。那么解密时，就采用密钥和所述国密sm4算法对所述敏感信息密文进行解密，得到解密结果。
108.本发明实施例还提供另一种应用于脚本的敏感信息获取方法，如图5所示，包括：
109.步骤501，脚本启动后，在第一位置获取第一信息分量；在第二位置获取第二信息分量；其中，所述第一位置为运行所述脚本的服务器，所述第二位置为所述脚本，或，所述第一位置为所述脚本，所述第二位置为运行所述脚本的服务器。
110.步骤502，将根据所述第一信息分量和所述第二信息分量得到的信息作为密钥。
111.步骤503，采用所述密钥对敏感信息密文进行解密，得到解密结果，将所述解密结果作为提供给所述脚本执行预设功能的敏感信息明文；所述敏感信息密文是从所述第一位置或所述第二位置获取的信息。
112.若脚本在合法的服务器上运行，则脚本能够在该合法的服务器上获取第一信息分量或第二信息分量。和另外一个信息分量组成密钥，对敏感信息密文进行解密。
113.若脚本被他人获取，在非法的服务器上运行该脚本，则脚本不能够在该非法的服务器上获取第一信息分量或第二信息分量。也就无法和从脚本中获取的另外一个信息分量组成密钥，无法对敏感信息密文进行解密。脚本可以被他人通过很多方式获取，例如，脚本被开发人员上传至互联网，他人在互联网上下载得到。例如，他人通过窃取的方式获得了脚本等。
114.下面通过实施例五和实施例六对脚本运行在合法的服务器上的情况作详细说明。
115.实施例五
116.密码管理员生成第一密钥分量sk1和第二密钥分量sk2，将第一密钥分量sk1和第二密钥分量异或后得到密钥sk。密码管理员采用密钥sk对敏感信息明文进行加密，得到敏感信息密文ct。密码管理员将第一密钥分量sk1交给密钥维护人员，将第二密钥分量sk2和敏感信息密文ct交给脚本开发人员。密钥维护人员将第一密钥分量sk1添加至任一合法服务器中，如添加至该服务器的环境变量或文件中，例如，在该服务器上添加值为sk1的环境变量envsk1。脚本开发人员将第二密钥分量sk2和敏感信息密文ct编码到脚本中，测试验收后发布脚本，脚本维护人员在存储有第一密钥分量sk1的服务器中部署该脚本。如此，在该合法的服务器中存储有第一密钥分量sk1；在该合法的服务器中运行的脚本中存储有第二密钥分量sk2和敏感信息密文ct。图6示出了上述实施例的执行流程示意图。
117.在上述实施例中，出现了密码管理员、密钥维护人员、脚本开发人员和脚本维护人员，分别处理了四种任务中的一种。可以理解的是，四种任务也可以由同一人处理，或者任意两种或三种任务由同一人处理。本领域技术人员可以根据需要自由设置。为了敏感信息明文的安全起见，各项任务由不同的人员完成。
118.敏感信息明文可以包括如下至少一项：服务器的ip地址、服务器的登录账户、服务器的登录密码、数据库名称、数据库的登录账户和数据库的登录密码。本发明实施例对此不作限制。脚本获取了敏感信息明文，就可基于敏感信息明文执行预设功能。例如脚本获取了所要连接的数据库的登录账户和登录密码，就可连接该数据库，实现筛选数据等各种功能。例如脚本获取了所要登录的服务器的登录账户和登录密码，就可登录该服务器，实现查询日志等各种功能。以上仅为示例。
119.当脚本启动后，在当前运行的服务器中获取第一密钥分量sk1，例如读取环境变量envsk1的值sk1；在脚本中获取第二密钥分量sk2和敏感信息密文ct。将sk1和sk2异或后得到密钥sk。采用密钥sk对敏感信息密文ct进行解密，得到敏感信息明文，基于敏感信息明文执行预设功能。
120.由于第一密钥分量和第二密钥分量存放在不同的位置，所以若脚本被他人获取，在非法的服务器上运行，是无法获得存储在合法的服务器上的另一个密钥分量的，也就无法获得密钥。即便通过脚本获取了敏感信息密文，也无法对该敏感信息密文进行解密得到敏感信息明文。因此保证了敏感信息明文的安全性。
121.为了提高敏感信息明文的安全性，一般来说，会设置敏感信息明文间隔一定时间进行更新。例如，每三个月更新一次数据库的登录密码。敏感信息明文更新的话，敏感信息密文也会随之更新。在本发明实施例中，敏感信息密文ct存储在脚本中，因此当需要更新敏感信息明文时，需要重新执行脚本发布流程，更新敏感信息密文。具体来说，密码管理员采用第一密钥分量和第二密钥分量组成的密钥对更新的敏感信息明文进行加密，得到更新的敏感信息密文。密码管理员将更新的敏感信息密文交给脚本开发人员，脚本开发人员将更新的敏感信息密文编码到脚本中，得到更新的脚本，测试验收后发布该更新的脚本，脚本维护人员在存储有第二密钥分量的服务器中部署该更新的脚本。
122.本发明实施例中，由于敏感信息密文存储在脚本中，因此更新敏感信息密文的过程十分繁琐耗时，需要重新执行脚本的发布流程。
123.实施例六
124.密码管理员生成第一密钥分量sk1和第二密钥分量sk2，将第一密钥分量sk1和第二密钥分量异或后得到密钥sk。密码管理员采用密钥sk对敏感信息明文进行加密，得到敏感信息密文ct。密码管理员将第一密钥分量sk1和敏感信息密文ct交给密钥维护人员，将第二密钥分量sk2交给脚本开发人员。密钥维护人员将第一密钥分量sk1和敏感信息密文ct添加至任一合法服务器中，如添加至该服务器的环境变量或文件中，例如，在该服务器上添加值为sk1的环境变量envsk1和值为ct的环境变量envct。脚本开发人员将第二密钥分量sk2编码到脚本中，测试验收后发布脚本，脚本维护人员在存储有第一密钥分量sk1和敏感信息密文ct的服务器中部署该脚本。如此，在该合法的服务器中存储有第一密钥分量sk1和敏感信息密文ct；在该合法的服务器中运行的脚本中存储有第二密钥分量sk2。图7示出了上述实施例的执行流程示意图。
125.敏感信息明文可以包括如下至少一项：服务器的ip地址、服务器的登录账户、服务器的登录密码、数据库名称、数据库的登录账户和数据库的登录密码。本发明实施例对此不作限制。脚本获取了敏感信息明文，就可基于敏感信息明文执行预设功能。例如脚本获取了所要连接的数据库的登录账户和登录密码，就可连接该数据库，实现筛选数据等各种功能。例如脚本获取了所要登录的服务器的登录账户和登录密码，就可登录该服务器，实现查询日志等各种功能。以上仅为示例。
126.当脚本启动后，在当前运行的服务器中获取第一密钥分量sk1和敏感信息密文ct，例如读取环境变量envsk1的值sk1和环境变量envct的值为ct；在脚本中获取第二密钥分量sk2。将sk1和sk2异或后得到密钥sk。采用密钥sk对敏感信息密文ct进行解密，得到敏感信息明文，基于敏感信息明文执行预设功能。图8示出了脚本启动后的执行流程示意图。
127.由于第一密钥分量和第二密钥分量存放在不同的位置，所以若脚本被他人获取，在非法的服务器上运行，是无法获得存储在合法的服务器上的另一个密钥分量的，也就无法获得密钥。并且由于敏感信息密文ct也在合法的服务器上，所以脚本也无法得到敏感信息密文ct，也就不会获取到敏感信息明文。因此保证了敏感信息明文的安全性。
128.为了提高敏感信息明文的安全性，一般来说，会设置敏感信息明文间隔一定时间进行更新。例如，每三个月更新一次数据库的登录密码。敏感信息明文更新的话，敏感信息密文也会随之更新。在本发明实施例中，敏感信息密文存储在服务器中，因此只需更新服务器的敏感信息密文的存储位置的值即可。具体来说，密码管理员采用第一密钥分量sk1和第二密钥分量sk2组成的密钥对更新的敏感信息明文进行加密，得到更新的敏感信息密文。密码管理员将更新的敏感信息密文交给密钥维护人员，密钥维护人员登录该服务器，将服务器的环境变量或文件的存储值更新为更新的敏感信息密文，或者，密钥维护人员将各服务器的更新的敏感信息密文批量发送至各服务器，针对任一台服务器而言，该服务器接收更新的敏感信息密文，自动将更新的敏感信息密文替换初始的敏感信息密文即可。例如，将服务器中环境变量envct的值更新为newct即可。图9示出了更新敏感信息密文的流程示意图。
129.上述方式简化了敏感信息密文更新的流程，提高了敏感信息密文更新的速度。只需将敏感信息明文进行更新，对更新的敏感信息明文进行加密得到更新的敏感信息密文，将更新的敏感信息密文发送至服务器，即可完成敏感信息密文在服务器中的更新。无需重新执行脚本发布流程，流程更加简单，减少了脚本的维护成本。
130.下面通过实施例七和实施例八对脚本运行在非法的服务器上的情况作详细说明。
131.实施例七
132.他人通过非法途径获取了脚本，在非法的服务器上运行该脚本。脚本启动后，在运行脚本的非法服务器中获取了第一信息分量，将第一信息分量作为第一密钥分量；在脚本中获取了第二信息分量和敏感信息密文，将第二信息分量作为第二密钥分量；将第一信息分量和第二信息分量组成的信息作为密钥，采用密钥对敏感信息密文进行解密。由于第一信息分量是在非法服务器上获取的，所以第一信息分量并不是第一密钥分量，因此组成的密钥也不能将敏感信息密文解开。即，无法得到敏感信息明文。如此保证了敏感信息明文的安全性。
133.当然还存在其他可能的情况，例如，在运行脚本的非法服务器中无法获取到第一信息分量，例如在该非法服务器中不存在环境变量envsk1，那么也就无法进行后续步骤。
134.实施例八
135.他人通过非法途径获取了脚本，在非法的服务器上运行该脚本。脚本启动后，在运行脚本的非法服务器中获取了第一信息分量和敏感信息密文，将第一信息分量作为第一密钥分量；在脚本中获取了第二信息分量，将第二信息分量作为第二密钥分量；将第一信息分量和第二信息分量组成的信息作为密钥，采用密钥对敏感信息密文进行解密。由于第一信息分量和敏感信息密文是在非法服务器上获取的，所以第一信息分量并不是第一密钥分量，敏感信息密文也不是真正的敏感信息密文，因此组成的密钥也不能将敏感信息密文解开。即，无法得到敏感信息明文。如此保证了敏感信息明文的安全性。
136.当然还存在其他可能的情况，例如，在运行脚本的非法服务器中无法获取到第一信息分量和敏感信息密文，例如在该非法服务器中不存在环境变量envsk1和环境变量
envct，那么也就无法进行后续步骤。
137.基于相同的技术构思，图10示例性的示出了本发明实施例提供的一种应用于脚本的敏感信息获取装置的结构，该结构可以执行应用于脚本的敏感信息获取的流程。
138.如图10所示，该装置具体包括：
139.第一获取单元1001，用于：
140.脚本启动后，在第一位置获取第一信息，将所述第一信息作为密钥；
141.在第二位置获取第二信息，将所述第二信息作为敏感信息密文；其中，所述第一位置为运行所述脚本的服务器，所述第二位置为所述脚本，或，所述第一位置为所述脚本，所述第二位置为运行所述脚本的服务器；
142.第一处理单元1002，用于：
143.采用所述密钥对所述敏感信息密文进行解密，得到解密结果，将所述解密结果作为提供给所述脚本执行预设功能的敏感信息明文。
144.在一些实施例中，所述敏感信息密文存放于所述服务器中；
145.所述第一处理单元1002还用于：
146.接收更新的敏感信息密文，将更新的敏感信息密文替换初始的敏感信息密文存放于所述服务器中；所述更新的敏感信息密文为采用所述密钥对更新的敏感信息明文进行加密得到的。
147.在一些实施例中，所述敏感信息密文为根据所述密钥和国密sm4算法对敏感信息明文进行加密得到的；
148.所述第一处理单元1002具体用于：
149.采用所述密钥和所述国密sm4算法对所述敏感信息密文进行解密，得到解密结果。
150.基于相同的技术构思，图11示例性的示出了本发明实施例提供的一种应用于脚本的敏感信息获取装置的结构，该结构可以执行应用于脚本的敏感信息获取的流程。
151.如图11所示，该装置具体包括：
152.第二获取单元1101，用于：
153.脚本启动后，在第一位置获取第一信息分量；在第二位置获取第二信息分量；其中，所述第一位置为运行所述脚本的服务器，所述第二位置为所述脚本，或，所述第一位置为所述脚本，所述第二位置为运行所述脚本的服务器；
154.第二处理单元1102，用于：
155.将根据所述第一信息分量和所述第二信息分量得到的信息作为密钥；
156.采用所述密钥对敏感信息密文进行解密，得到解密结果，将所述解密结果作为提供给所述脚本执行预设功能的敏感信息明文；所述敏感信息密文是从所述第一位置或所述第二位置获取的信息。
157.在一些实施例中，所述敏感信息密文存放于所述服务器的预设位置；
158.所述第二处理单元1102还用于：
159.接收更新的敏感信息密文，将更新的敏感信息密文替换初始的敏感信息密文存放于所述服务器中；所述更新的敏感信息密文为采用所述密钥对更新的敏感信息明文进行加密得到的。
160.在一些实施例中，所述敏感信息密文为根据所述密钥和国密sm4算法对敏感信息
明文进行加密得到的；
161.所述第二处理单元1102具体用于：
162.采用所述密钥和所述国密sm4算法对所述敏感信息密文进行解密，得到所述敏感信息明文。
163.基于相同的技术构思，本技术实施例提供了一种计算机设备，如图12所示，包括至少一个处理器1201，以及与至少一个处理器连接的存储器1202，本技术实施例中不限定处理器1201与存储器1202之间的具体连接介质，图12中处理器1201和存储器1202之间通过总线连接为例。总线可以分为地址总线、数据总线、控制总线等。
164.在本技术实施例中，存储器1202存储有可被至少一个处理器1201执行的指令，至少一个处理器1201通过执行存储器1202存储的指令，可以执行上述应用于脚本的敏感信息获取方法的步骤。
165.其中，处理器1201是计算机设备的控制中心，可以利用各种接口和线路连接计算机设备的各个部分，通过运行或执行存储在存储器1202内的指令以及调用存储在存储器1202内的数据，从而进行应用于脚本的敏感信息获取。在一些实施例中，处理器1201可包括一个或多个处理单元，处理器1201可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作系统、用户界面和应用程序等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到处理器1201中。在一些实施例中，处理器1201和存储器1202可以在同一芯片上实现，在一些实施例中，它们也可以在独立的芯片上分别实现。
166.处理器1201可以是通用处理器，例如中央处理器(cpu)、数字信号处理器、专用集成电路(application specific integrated circuit，asic)、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件，可以实现或者执行本技术实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本技术实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。
167.存储器1202作为一种非易失性计算机可读存储介质，可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器1202可以包括至少一种类型的存储介质，例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(random access memory，ram)、静态随机访问存储器(static random access memory，sram)、可编程只读存储器(programmable read only memory，prom)、只读存储器(read only memory，rom)、带电可擦除可编程只读存储器(electrically erasable programmable read-only memory，eeprom)、磁性存储器、磁盘、光盘等等。存储器1202是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。本技术实施例中的存储器1202还可以是电路或者其它任意能够实现存储功能的装置，用于存储程序指令和/或数据。
168.基于相同的技术构思，本发明实施例还提供一种计算机可读存储介质，计算机可读存储介质存储有计算机可执行程序，计算机可执行程序用于使计算机执行上述任一方式所列的应用于脚本的敏感信息获取的方法。
169.本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序
产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
170.本技术是参照根据本技术的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
171.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
172.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
173.显然，本领域的技术人员可以对本技术进行各种改动和变型而不脱离本技术的精神和范围。这样，倘若本技术的这些修改和变型属于本技术权利要求及其等同技术的范围之内，则本技术也意图包含这些改动和变型在内。