发明内容
本发明的一个目的是提供一种提高指令代码安全性的方法。
根据本发明的第一方面,提供了一种用于客户端的指令的执行方法,包括:
接收运行指令;
如果所述运行指令为设定指令,则获取对应所述运行指令的属性信息;
将所述运行指令和所述属性信息发送至服务器端;
下载所述服务器端提供的目标字节码文件和对应所述目标字节码文件的解释器,其中,所述目标字节码文件被设置为利用所述属性信息和/或服务器端生成的随机信息加密原始字节码文件得到,所述原始字节码文件被设置为通过对所述运行指令的源代码进行编译得到;
通过所述解释器翻译所述目标字节码文件,执行所述运行指令。
优选的是,所述属性信息包括:时间、系统标识、功能标识、用户名、运行设备、应用名称中至少一种。
根据本发明的第二方面,提供了一种用于服务器端的指令的动态编译方法,包括:
接收客户端发送的运行指令和对应所述运行指令的属性信息;
对所述运行指令的源代码进行编译,生成原始字节码文件和对应所述原始字节码文件的解释器;
利用所述属性信息和/或所述服务器端生成的随机信息对所述原始字节码文件进行加密,生成目标字节码文件;
将所述加密方式写入所述解释器,生成对应所述目标字节码文件的解释器。
优选的是,所述对所述原始字节码文件进行加密,生成目标字节码文件的方法为下列任意一种或者任意组合:
通过对称或者非对称加密算法计算所述属性信息产生密钥,利用所述密钥加密所述原始字节码文件或者中间字节码文件,生成所述目标字节码文件;
在所述原始字节码文件或者中间字节码文件的任意位置插入服务器端生成的随机信息,生成所述目标字节码文件;
将所述原始字节码文件的段或者中间字节码文件的段根据服务器端生成的随机信息进行重新排列,生成所述目标字节码文件;
将所述原始的字节码文件中的操作标识根据服务器端生成的随机信息进行重新编号,生成所述目标字节码文件;
其中,所述中间字节码文件为先对所述原始字节码文件进行其它加密处理得到的文件。
优选的是,以通过对称或者非对称加密算法计算所述属性信息产生的密钥作为种子生成所述随机信息。
优选的是,所述方法还包括:随机选择对所述原始字节码文件进行加密的方法。
优选的是,所述方法还包括:在所述属性信息中随机选取参与加密的要素和/或要素的数量。
根据本发明的第三方面,提供了一种用于客户端的指令的执行装置,包括:
指令接收模块,用于接收运行指令;
设定指令判断模块,用于判断所述运行指令是否为设定指令;
属性信息获取模块,用于在所述运行指令为设定指令时,获取对应所述运行指令的属性信息;
发送模块,用于将所述运行指令和所述属性信息发送至服务器端;
下载模块,用于下载所述服务器端提供的目标字节码文件和对应所述目标字节码文件的解释器,其中,所述目标字节码文件被设置为利用所述属性信息和/或服务器端生成的随机信息加密原始字节码文件得到,所述原始字节码文件被设置为通过对所述运行指令的源代码进行编译得到;
翻译模块,用于通过所述解释器翻译所述目标字节码文件;以及,
指令执行模块,用于执行所述运行指令。
根据本发明的第四方面,提供了一种用于服务器端的指令的动态编译装置,包括:
接收模块,用于接收客户端发送的运行指令和对应所述运行指令的属性信息;
编译模块,用于对所述运行指令的源代码进行编译,生成原始字节码文件和对应所述原始字节码文件的解释器;
加密模块,用于利用所述属性信息和/或所述服务器端生成的随机信息对所述原始字节码文件进行加密,生成目标字节码文件;以及,
写入模块,用于将所述加密方式写入所述解释器,生成对应所述目标字节码文件的解释器。
优选的是,所述加密模块具体用于利用下列任意一种或者任意组合方式对所述原始字节码文件进行加密,生成目标字节码文件:
通过对称或者非对称加密算法计算所述属性信息产生密钥,利用所述密钥加密所述原始字节码文件或者中间字节码文件,生成所述目标字节码文件;
在所述原始字节码文件或者中间字节码文件的任意位置插入服务器端生成的随机信息,生成所述目标字节码文件;
将所述原始字节码文件的段或者中间字节码文件的段根据服务器端生成的随机信息进行重新排列,生成所述目标字节码文件;
将所述原始的字节码文件中的操作标识根据服务器端生成的随机信息进行重新编号,生成所述目标字节码文件;
其中,所述中间字节码文件为先对所述原始字节码文件进行其它加密处理得到的文件。
优选的是,所述加密模块具体用于以通过对称或者非对称加密算法计算所述属性信息产生的密钥作为种子生成所述随机信息。
优选的是,所述加密模块被设置为随机选择对所述原始字节码文件进行加密的方法。
优选的是,所述加密模块被设置为在所述属性信息中随机选取参与加密的要素和/或要素的数量。
根据本发明的第五方面,提供了一种电子设备,包括上述用于客户端的指令的执行装置。
根据本发明的第六方面,提供了一种电子设备,包括存储器和处理器,其中,所述存储器用于存储指令,所述指令用于控制所述处理器进行操作以执行上述用于客户端的指令的执行方法。
本发明的发明人发现,在现有技术中,存在指令代码安全性较差的问题。而在本发明中,服务器端根据客户端提供的属性信息和/或自身生成的随机信息加密编译运行指令的源代码得到的原始字节码文件,这使得客户端获得的用于执行指令的字节码文件和对应的解释器具有很高的随机性,大大提高了指令代码的安全性,有效避免字节码文件被破解的问题。因此,本发明所要实现的技术任务或者所要解决的技术问题是本领域技术人员从未想到的或者没有预期到的,故本发明是一种新的技术方案。
通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其优点将会变得清楚。
具体实施方式
现在将参照附图来详细描述本发明的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。
在这里示出和讨论的所有例子中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它例子可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
图1是本发明的用于客户端的指令的执行方法的一种实施方式的流程图。
步骤S11,接收运行指令。
步骤S12,判断运行指令是否为设定指令,若运行指令不是设定指令,则执行步骤S17,若运行指令是设定指令,则执行步骤S13。
由于某些指令的源代码安全性要求较高,需要将其源代码存储在服务器端,这样的指令就是设定指令,因此,判断运行指令是否为设定指令可具体为判断运行指令的源代码是否存储在服务器端。该种根据源代码安全性高低区分不同的指令执行方式,可以提高指令运行效率。
步骤S13,获取对应运行指令的属性信息。其中,对应运行指令的属性信息例如包括时间、系统标识、功能标识、用户名、运行设备、应用名称中至少一种。
以时间为例,在本发明的一个具体实施例中,接收到设定指令的时间可以作为一个属性信息。
以系统标识为例,在本发明的一个具体实施例中,可以将运行指令运行的系统环境作为一个属性信息。
以功能标识为例,在本发明的一个具体实施例中,可以将运行指令所能够实现的功能作为一个属性信息。
以用户名为例,在本发明的一个具体实施例中,当用户“张三”输入运行指令时,可以将“张三”作为一个属性信息。
以运行设备为例,在本发明的一个具体实施例中,可以根据执行运行指令的设备的信息作为一个属性信息。
以应用名称为例,在本发明的一个具体实施例中,需要保护的是一个运行指令的源代码,并提供给第三方使用,为了保证一个应用的该运行指令被破解而不影响另一个应用,可以将应用名称作为一个属性信息。
步骤S14,将运行指令和属性信息发送至服务器端。
由于设定指令的源代码存储在服务器端,所以需要将运行指令发送至服务器端以确定对应运行指令的源代码。
步骤S15,下载目标字节码文件和对应的解释器,其中,目标字节码文件被设置为利用属性信息和/或服务器端生成的随机信息对原始字节码文件加密得到,原始字节码文件通过对运行指令的源代码进行编译得到。
步骤S16,解释器翻译目标字节码文件。
由于字节码文件使用的是自定义的格式,不能在客户端直接运行,需要解释器将字节码文件翻译成客户端可以执行的指令。
步骤S17,执行运行指令。
与图1所示的指令的执行方法相对应,图2是本发明的用于服务器的指令的动态编译方法的一种实施方式的流程图。
步骤S21,接收客户端发送的运行指令和属性信息。
步骤S22,对运行指令的源代码进行编译,生成原始字节码文件和对应的解释器。编译的方法为现有技术,在此不再赘述。
步骤S23,对原始字节码文件进行加密,生成目标字节码文件。
其中,对原始字节码文件进行加密生成目标字节码文件的方法包括下列任意一种或者任意组合:
(1)通过对称或者非对称加密算法计算属性信息产生密钥,利用该密钥加密原始字节码文件或中间字节码文件,生成目标字节码文件。其中,加密算法可以为HASH算法如SH1/SHA256。
(2)在原始字节码文件或者中间字节码文件的任意位置插入随机信息,生成目标字节码文件。
(3)将原始字节码文件或者中间字节码文件的段根据随机信息进行重新排列,其中,原始字节码文件和中间字节码文件均由多个段组成,每个段包含特定的信息,在对原始字节码文件或者中间字节码文件进行加密时可以将段根据随机信息进行重新排列,在本发明的一个具体实施例中,字节码文件的段包括字符串段、元数据段、指令段和其他段,其排列如图3中文件A所示,对字节码文件通过该加密方法加密后,字节码文件的段的信息重新排列,得到加密的字节码文件,可以如图3中文件B所示。
(4)将原始字节码文件中的操作标识根据随机信息重新编号,其中,原始字节码文件中的指令都是由一个操作标识和操作数组成,操作标识一般由1开始编号,代表这条指令的功能,在对原始字节码文件进行加密时可以将操作标识根据随机信息进行重新编号,在本发明的一个具体实施例中,如图5所示,原始字节码文件中编码A的两条指令对应的操作标识为ADD和SUB,其中,ADD的编号为01,SUB的编号为02,编码A通过该加密方法加密后,生成编码B,ADD的编号为02,SUB的编号为01,具体如图4所示。
上述中间字节码文件应理解为是先对原始字节码文件进行其他加密处理得到的文件,即通过除当前加密方法以外的其他加密方法处理得到的字节码文件。以通过对称或者非对称加密算法计算属性信息产生密钥,并利用该密钥加密中间字节码文件生成目标字节码文件为例,该中间字节码文件可以为通过上述(2)、(3)、(4)的加密方式处理得到的字节码文件;又以在中间字节码文件的任意位置插入随机信息生成目标字节码文件为例,该中间字节码文件可以为通过上述(1)、(3)、(4)的加密方式处理得到的字节码文件。
由于破解字节码文件需要从多个相同指令的字节码文件中找出规律才能破解,而上述加密方法采用属性信息和/或随机信息作为加密要素,其中属性信息和随机信息都是不断发生变化的,使得生成的目标字节码文件和对应的解释器也是不断变化的,即相同指令在不同执行时间、在不同设备上运行、在不同系统上运行及在不同用户输入的情况下得到的目标字节码文件可能都是不同的,这样,不易找到其中的规律,也就不易被破解,所以,通过上述加密方法生成目标字节码文件,能够有效提高虚拟机执行方式的安全性,提升目标字节码文件被破解的难度。
进一步地,以通过对称或者非对称加密算法计算属性信息产生的密钥作为种子生成随机信息。通过这种方式对字节码文件进行加密,使得随机信息也具有唯一性,这样可以更大程度地去避免不同电子设备上执行同一指令的目标字节码文件相同的情况,提高虚拟机执行方式件的安全性,进而提高目标字节码文件被逆向破解的难度。
为了进一步提高虚拟机执行方式的安全性,更大程度地避免相同指令的目标字节码文件出现规律性,提升目标字节码文件被破解的难度,在本发明的一个具体实施例中,随机选择对原始字节码文件进行加密的方法;在本发明的另一个具体实施例中,在属性信息中随机选取参与加密的要素和/或要素的数量,其中,参与加密的要素越多,目标字节码文件出现规律性的可能就越低,其安全性就越高,越不易被破解。
步骤S24,生成对应加密的字节码文件的解释器。这样,生成的解释器才可以翻译目标字节码文件。
例如加密方法为通过对称或者非对称加密算法计算属性信息产生密钥,并利用该密钥加密原始字节码文件得到目标字节码文件时,通过将该密钥写入对应原始字节码文件的解释器的对应位置,生成对应目标字节码文件的解释器,以确保该解释器能够翻译目标字节码文件。
例如加密方法为在原始字节码文件的任意位置插入随机信息,得到目标字节码文件时,将插入位置及插入的随机信息写入对应原始字节码文件的解释器,生成对应目标字节码文件的解释器,使得该解释器在翻译目标字节码文件时能够自动跳过这些随机信息。
例如加密方法为将字节码文件的段根据随机信息进行重新排列,生成目标字节码文件时,通过将排列信息写入到对应原始字节码文件的解释器中,生成对应目标字节码文件的解释器,以确保该解释器能够翻译目标字节码文件。
例如加密方法为将原始字节码文件中的操作标识根据随机信息重新编号,得到目标字节码文件时,在对应原始字节码文件的解释器中也生成相对应的操作标识的编号,生成对应目标字节码文件的解释器,以确保该解释器能够准确翻译目标字节码文件。
如果采用上述任意组合方式加密原始字节码文件生成目标字节码文件,则需要将所有加密方式均写入对应原始字节码文件的解释器,进而获得对应目标字节码文件的解释器。
图5是本发明的用于客户端的指令的执行装置500的一种实施结构的方框原理图,用于客户端指令执行的装置包括指令接收模块501、设定指令判断模块502、属性信息获取模块503、发送模块504、下载模块505、翻译模块506和指令执行模块507。
指令接收模块501用于接收运行指令;设定指令判断模块502用于判断运行指令是否为设定指令;属性信息获取模块503用于运行指令为设定指令时,获取对应运行指令的属性信息;发送模块504用于将运行指令和属性信息发送至服务器端;下载模块505用于下载服务器端提供的目标字节码文件和对应目标字节码文件的解释器,其中,目标字节码文件被设置为利用属性信息和/或服务器端生成的随机信息加密原始字节码文件得到,原始字节码文件被设置为通过对运行指令的源代码进行编译得到;翻译模块506用于通过解释器翻译目标字节码文件;指令执行模块507用于执行运行指令。
图6是本发明的用于服务器端的指令的动态编译装置的一种实施结构的方框原理图,用于服务器端动态指令编译的装置600包括接收模块601、编译模块602、加密模块603和写入模块604。
接收模块601用于接收客户端发送的运行指令和对应运行指令的属性信息;编译模块602对运行指令的源代码进行编译,生成原始字节码文件和对应原始字节码文件的解释器;加密模块603用于利用属性信息和/或服务器端生成的随机信息对原始字节码文件进行加密,生成目标字节码文件;写入模块604用于将加密方式写入解释器,生成对应目标字节码文件的解释器。
进一步地,加密模块603具体用于利用下列任意一种或者任意组合方式对原始字节码文件进行加密,生成目标字节码文件:
通过对称或者非对称加密算法计算属性信息产生密钥,利用该密钥加密原始字节码文件或者中间字节码文件,生成目标字节码文件;
在原始字节码文件或者中间字节码文件的任意位置插入服务器端生成的随机信息,生成目标字节码文件;
将原始字节码文件的段或者中间字节码文件的段根据服务器端生成的随机信息进行重新排列,生成目标字节码文件;
将原始的字节码文件中的操作标识根据服务器端生成的随机信息进行重新编号,生成目标字节码文件;
其中,中间字节码文件为先对原始字节码文件进行其它加密处理得到的文件。
进一步地,加密模块603具体用于以通过对称或者非对称加密算法计算属性信息产生的密钥作为种子生成随机信息。
进一步地,加密模块603被设置为随机选择对原始字节码文件进行加密的方法。
进一步地,加密模块603被设置为在属性信息中随机选取参与加密的要素和/或要素的数量。
本发明还提供了一种电子设备,在一方面,该电子设备包括前述的用于客户端的指令的执行装置。
在另一方面,该电子设备包括存储器和处理器,其中,存储器用于存储指令,该指令控制处理器进行操作以执行前述的用于客户端的指令的执行方法。
该处理器例如可以是中央处理器CPU、微处理器MCU等。该存储器例如包括ROM(只读存储器)、RAM(随机存取存储器)、诸如硬盘的非易失性存储器等。
另外,该电子设备还可以包括接口装置、通信装置、输入装置、显示装置、扬声器、麦克风等等。
该接口装置例如包括USB接口、RS232接口、RS485接口、耳机接口等。该通信装置例如能够进行有有线或无线通信。该输入装置例如可以包括触摸屏、键盘等。该显示装置例如是液晶显示屏、触摸显示屏等。用户可以通过扬声器和麦克风输入/输出语音信息。
上述各实施例主要重点描述与其他实施例的不同之处,但本领域技术人员应当清楚的是,上述各实施例可以根据需要单独使用或者相互结合使用。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分相互参见即可,每个实施例重点说明的都是与其他实施例的不同之处,但本领域技术人员应当清楚的是,上述各实施例可以根据需要单独使用或者相互结合使用。另外,对于装置实施例而言,由于其是与方法实施例相对应,所以描述得比较简单,相关之处参见方法实施例的对应部分的说明即可。以上所描述的系统实施例仅仅是示意性的,其中作为分离部件说明的模块可以是或者也可以不是物理上分开的。
本发明可以是装置、方法和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质,其上载有用于使处理器实现本发明的各个方面的计算机可读程序指令。
计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是――但不限于――电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身,诸如无线电波或者其他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如,通过光纤电缆的光脉冲)、或者通过电线传输的电信号。
这里所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备,或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令,并转发该计算机可读程序指令,以供存储在各个计算/处理设备中的计算机可读存储介质中。
用于执行本发明操作的计算机程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码,所述编程语言包括面向对象的编程语言—诸如Smalltalk、C++等,以及常规的过程式编程语言—诸如“C”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中,通过利用计算机可读程序指令的状态信息来个性化定制电子电路,例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA),该电子电路可以执行计算机可读程序指令,从而实现本发明的各个方面。
这里参照根据本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本发明的各个方面。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机可读程序指令实现。
这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器,从而生产出一种机器,使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中,这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作,从而,存储有指令的计算机可读介质则包括一个制造品,其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。
也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上,使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤,以产生计算机实现的过程,从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。
附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分,所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。对于本领域技术人员来说公知的是,通过硬件方式实现、通过软件方式实现以及通过软件和硬件结合的方式实现都是等价的。
以上已经描述了本发明的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的技术改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。本发明的范围由所附权利要求来限定。