CN110717149B - 一种安全架构及其运行方法、设备及可读存储介质 - Google Patents

Abstract

本申请公开了一种安全架构及其运行方法，包括目标服务器和客户端，所述客户端包括安全系统和公共系统，其中：所述客户端中仅有所述安全系统与目标服务器远程连接，所述安全系统按照内部加解密规则进行与所述目标服务器之间的数据传输，并根据指令向所述公共系统发送通过安全审核的本地文件。本发明在客户端设置了安全系统，安全系统的数据流只有两种，一是与目标服务器之间按照内部加解密规则的数据传输，二是只有通过安全审核的本地文件才能由安全系统发送到公共系统，前者保证敏感数据不会在远程连接中泄露，后者保证了安全系统和公共系统之间的数据隔离，因此本发明同时保证了远程通信和本地烧写过程中的代码安全。

Description

一种安全架构及其运行方法、设备及可读存储介质

技术领域

本发明涉及开发环境构建领域，特别涉及一种安全架构及其运行方法、设备及可读存储介质。

背景技术

随着计算机和通信技术的飞速发展，软件已经成为信息化建设的重要基础设施，软件核心源代码的泄漏可能带给IT企业巨大的损失。另一方面，对于嵌入式Soc产品而言，工作人员常常不得不带着电脑在客户现场调试，现场情况复杂多变，环节较乱，极易出现代码泄露情况，所以现场电脑如何管理是一个突出的问题。

客户现场经常面临编译、调试、烧写等环节，且大多都是采用USB、网口、串口等来进行烧写代码到板子。其实这些接口在与外界数据传输过程中本身就存在不安全性；除此之外，现场调试经常面临与公司内部同步代码得情形，一般采用网络方式传输，就有泄露关键代码得可能。

所以现场客户支持主要面临两种安全风险：本地烧写如何安全拷出以及远程如何与公司内部安全同步代码的问题。做得更安全的公司采用安全隔离区，只允许现场发现问题，抓取异常调试信息，就是不允许现场编译和烧写，这可避免把源代码带到现场的风险，相当于现场只需FAE(Field Application Engineer，现场技术支持工程师)就可以了，把问题反馈回公司内部处理。但这种方法效率极低，有时要多次的沟通才能明白具体现场情况，对于只能在现场才能复现的问题则会更为麻烦。

因此，如何提供一种解决上述技术问题的方案是目前本领域技术人员需要解决的问题。

发明内容

有鉴于此，本发明的目的在于提供一种能够同时保证远程通信和本地烧写过程中代码安全的安全架构及其运行方法、设备及可读存储介质。其具体方案如下：

一种安全架构，包括目标服务器和客户端，所述客户端包括安全系统和公共系统，其中：

所述客户端中仅有所述安全系统与目标服务器远程连接，所述安全系统按照内部加解密规则进行与所述目标服务器之间的数据传输，并根据指令向所述公共系统发送通过安全审核的本地文件。

优选的，所述安全系统与所述目标服务器通过身份识别后建立远程连接；

其中，所述身份识别包括：

所述安全系统与所述目标服务器之间的ID确认，和/或数据密钥确认，和/或连接时间确认，和/或用户ID确认，和/或用户权限确认。

优选的，所述安全审核包括：

审核文件扩展名，和/或审核头格式，和/或审核特征字，和/或审核文件大小，和/或审核访问日期。

优选的，所述安全系统与所述目标服务器之间通过UDP私有协议进行数据传输。

优选的，所述目标服务器与所述安全系统通过专用接口和专用数据卡远程连接。

相应的，本发明还公开了一种安全架构的运行方法，包括：

建立安全系统和目标服务器的远程连接；

按照内部加解密规则进行所述安全系统和所述目标服务器之间的数据传输；

根据指令对所述安全系统的本地文件进行安全审核，当所述本地文件通过安全审核，将该本地文件发送至公共系统。

优选的，所述建立安全系统和目标服务器的远程连接的过程，具体包括：

通过身份识别后建立安全系统和目标服务器的远程连接；

所述身份识别包括：所述安全系统与所述目标服务器之间的ID确认，和/或数据密钥确认，和/或连接时间确认，和/或用户ID确认，和/或用户权限确认。

优选的，所述通过身份识别后建立安全系统和目标服务器的远程连接的过程，具体包括：

通过安全系统向目标服务器发送连接请求；

当所述安全系统收到所述目标服务器的连接请求反馈，通过所述安全系统向所述目标服务器发送身份识别请求；

当所述安全系统收到所述目标服务器的身份识别反馈，建立所述安全系统和所述目标服务器的远程连接。

优选的，所述按照内部加解密规则进行所述安全系统和所述目标服务器之间的数据传输的过程，具体包括：

按照内部加解密规则，通过UDP私有协议进行所述安全系统与所述目标服务器之间的数据传输。

优选的，所述安全审核包括：

审核文件扩展名，和/或审核头格式，和/或审核特征字，和/或审核文件大小，和/或审核访问日期。

本发明公开了一种安全架构，包括目标服务器和客户端，所述客户端包括安全系统和公共系统，其中：所述客户端中仅有所述安全系统与目标服务器远程连接，所述安全系统按照内部加解密规则进行与所述目标服务器之间的数据传输，并根据指令向所述公共系统发送通过安全审核的本地文件。本发明在客户端设置了安全系统，安全系统的数据流只有两种，一是与目标服务器之间按照内部加解密规则的数据传输，二是只有通过安全审核的本地文件才能由安全系统发送到公共系统，前者保证敏感数据不会在远程连接中泄露，后者保证了安全系统和公共系统之间的数据隔离，因此本发明同时保证了远程通信和本地烧写过程中的代码安全。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本发明实施例中一种安全架构的结构分布图；

图2为本发明实施例中一种安全架构的运行方法的步骤流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

现场客户支持主要面临两种安全风险：本地烧写如何安全拷出以及远程如何与公司内部安全同步代码的问题。本发明在客户端设置了安全系统，确保敏感数据不会在远程连接中泄露，在安全系统和公共系统的数据传输之间建立了安全审核，使安全系统和公共系统之间的数据隔离，因此本发明同时保证了远程通信和本地烧写过程中的代码安全。

本发明实施例公开了一种安全架构，参见图1所示，包括目标服务器1和客户端2，所述客户端2包括安全系统21和公共系统22，其中：

所述客户端2中仅有所述安全系统21与目标服务器1远程连接，安全系统21按照内部加解密规则进行与所述目标服务器1之间的数据传输，并根据指令向所述公共系统22发送通过安全审核的本地文件。

可以理解的是，客户端2载体为工作人员去现场出差时携带的电脑，客户端2上安装两种系统：安全系统21和公共系统22。

安全系统21如ubuntu或Linux，用于现场技术支持，该安全系统21可以是电脑一上电就可选择启动的独立操作系统，也可以是公共系统22启动后通过虚拟机启动的操作系统。在安全系统21下，可以通过任务栏进行任务切换来切换到公共系统22。在权限上，出差的工作人只有可访问安全系统21的一般user权限，没有administrator或root的管理权限；安全系统21内的数据代码包括敏感数据和非敏感数据，数据代码对应相关的工具软件、文件以及其他的系统所需参数等等，一般在出差前由客户端2通过公司内网从目标服务器1上下载存储在安全系统21内；在出差过程中，目标服务器1和安全系统21远程连接，按照内部加解密规则进行数据传输通信，再将接收到的数据进行解密，内部加解密规则支持AES、DES、3DES、RSA、SHA、MD5、SM2/3/4等多种加解密算法。

具体的，所述客户端2中仅有所述安全系统21与目标服务器1远程连接，且安全系统21与目标服务器1通过身份识别后才建立远程连接，其中，所述身份识别包括但不限于：所述安全系统21与所述目标服务器1之间的ID确认，和/或数据密钥确认，和/或连接时间确认，和/或用户ID确认，和/或用户权限确认。

其中，安全系统21与目标服务器1之间的ID确认过程，具体包括：安全系统21把自身的ID发给目标服务器1，目标服务器1收到该ID后进行验证，判断合法的安全系统ID列表中是否存在该ID，如果不存在，则不响应或向该安全系统21反馈错误信息，如果存在，目标服务器1将自身的ID发到该安全系统21，该安全系统21收到后进行验证，判断合法的目标服务器ID列表中是否存在该ID可匹配，如果匹配，则ID确认，身份识别成功，否则失败。可以理解的是，数据密钥确认、连接时间确认、用户ID确认、用户权限确认的过程与ID确认类似，此处不再赘述。

当完成身份认证后安全系统21与目标服务器1远程连接，并按照内部加解密规则进行二者之间的数据传输，本实施例中，发送端一边从存储器上读取文件数据一边自动加密并打包，没有中间缓存数据这一阶段，避免被外部工具访问的可能；接收端一边解包一边接收文件数据，并写入存储器。这整个过程不需要用户干预即可自动进行，且由于每个数据包的密钥不同，因丢包导致的重发数据包的加解密钥也不同于原密钥，数据远程传输的安全性得到保障。

可以理解的是，公共系统22如Windows，还可外接U盘和移动硬盘等第三方，第三方与公共系统22之间可以进行数据交互；公共系统22的权限与安全系统21相似，工作人员通常只有一般user权限，而没有administrator或root的管理权限；在公共系统22上，工作人员可以进行上网、收发邮件、开远程桌面会议、查询资料等操作。公共系统22可以是一个或多个，本实施例并不限制其数量，安全系统21与公共系统22之间数据隔离，二者不能互相访问对方的数据，也没有共享数据空间存在，因此要安装的工具软件需要在出差前安装完，公共系统22与安全系统21之间只有单向传输通道，公共系统22无法向安全系统21传送数据，当安全系统21收到指令(该指令由工作人员手动输入安全系统21或目标服务器1发送至安全系统21)，安全系统21确定待发送的本地文件，并对本地文件进行安全审核后才能发送至公共系统22。

具体的，所述安全审核包括但不限于：审核文件扩展名，和/或审核头格式，和/或审核特征字，和/或审核文件大小，和/或审核访问日期。只有确定本地文件没有敏感或不合规的信息后才认为通过安全审核，这里的本地文件基本是与现场客户支持相关的固定格式和类型的文件，诸如烧写文件。所以本地文件的相关特征被提取作为安全审核的特征要求，只有通过这些特征要求的本地文件才可以通过安全审核，如果符合这些特征要求但存在其他异常特征也不能通过安全审核。进一步的，该安全架构上所有操作应有日志记录和相关备份，尤其是目标服务器1和安全系统21的对外操作都会有日志记录和相关备份，出差人员没有删除的权限。

目标服务器1的管理工具支持多点管理和分别记录日志，管理工具还用于实现本实施例中提到的身份认证和数据传输等功能。当多个工作人员出差到不同客户现场时，需要管理多人同时访问的情形，在目标服务器1创建多个账号对应的目录和权限，为了便于安全管理和信息追溯，这些账号一般只针对出差的工作人员开放，不会对公司内部工作人员开放。

进一步的，设置目标服务器1经过杀毒软件及其他安全软件查验后可访问这些目录。类似的，所述目标服务器1对所述安全系统21发送的数据进行杀毒查验后再接收该数据，以保证目标服务器1收到的外部数据绝对安全。

可以理解的是，不设置杀毒软件和安全软件的查验依然可以实现本实施例，杀毒软件和安全软件仅作为一种优选的实施例。

通常，目标服务器1与客户端2处于类似C/S架构访问模式，一般由客户端1主动发起请求来收取或发送数据。

具体的，所述安全系统21与所述目标服务器1通过完成身份识别后建立远程连接。

一般来说，客户端2中进入安全系统21后，会自动运行其中的安全工具软件，该安全工具软件能够执行身份认证、数据加解密、私有握手协议、安全审核等任务，以便实现目标服务器1与安全系统21之间、安全系统21向公共系统22的数据传输。安全工具软件运行时，首先禁止客户端2的所有网络及端口；等安全工具软件初始化完成，会自动打开网络传输模块进行初始化，如拨号上网、自动获取IP地址等；之后安全工具软件自动启动VPN软件，要求出差人员输入账号和密码，进行身份识别，身份识别通过后，就进入VPN环境，可以与目标服务器1进行后续通信连接。

在安全系统21环境下，用户不能自行上外网，且用户不能独立打开或退出VPN软件，必须由安全工具软件进行管控。

在安全系统21退出时按VPN服务器连接断开——网络传输模块断开——安全工具软件退出——安全系统21退出的顺序进行。具体的，这里所指的网络传输模块指安装在专用接口上的专用数据卡，一般选择4G/5G数据卡，当然还可以根据硬件环境和现场环境选择其他类型的数据卡，目标服务器1与所述安全系统21通过专用接口和专用数据卡远程连接，在现场网络较差或搭建网络环境耗时的情况下应用，专用接口不可随意更换，只有在安全系统21下才能够通过此专用接口与专用数据卡进行绑定并实现和目标服务器1的连接。

进一步的，所述安全系统21与所述目标服务器1之间通过UDP(User DatagramProtocol，用户数据报协议)私有协议进行数据传输。

可以理解的是，出差现场经常遇到低网速、高延迟情形，此时TCP(TransmissionControl Protocol，传输控制协议)协议虽可靠性有保证，但数据率较低，对于上百MB的文件传输影响较大，所以在与公司的目标服务器1通信过程中，在UDP之上搭建私有协议，保证传输的可靠性和数据率。具体的，UDP私有协议通过数据发送端对数据包进行连续编号，无需等待对方是否收到当前数据包，一次性连发N个数据包；当接收端根据当前收到任何数据包解析出最大包序号N，并以此计算一定的时间窗，超过此窗口的时延则发送ACK包给发送端，请求发送端重复发送已丢失或有错误的包。此方法可进行大批量数据传输，可显著提升网络数据通信效率，充分利用网络带宽，且可靠性高，保证了更好的安全性。

可以理解的是，在建立安全系统21与目标服务器1的连接关系时，除了VPN之外，身份识别的过程就是以UDP上搭建私有握手协议为主实现的，只有握手成功，才可以进行下一步通信，一旦握手失败、且达到握手尝试次数上限，就拒绝连接或等待更长的时间才允许再次握手。

类似的，在安全系统21与目标服务器1的数据传输过程中同样使用了UDP之上搭建的私有协议，传输可采用对称加密，其密钥中途可以改变，也可采用非对称方式，选择公钥/私钥，还可以利用私有协议进一步限制传输数据的大小等。

由此可见，本实施例设置了安全系统21，目标服务器1不能与安全系统21外的系统通信，在安全系统21与目标服务器1通行前需要进行身份认证，数据传输过程中使用内部加解密规则，提高了远程传输过程中的数据安全性；而安全系统21与公共系统22处于数据隔离状态，每个系统有自己独有的数据和存储介质，原则上这些数据不对外，系统之间不能互相访问，只有在通过安全审核后，才能将安全系统21上通过安全审核的本地文件搬到公共系统22的存储介质上，然后公共系统22才能够访问该本地文件的数据，对两个系统的数据读取限制，保证了客户现场支持面临的源代码泄露风险；又因为快速搭建VPN建立了安全系统21与目标服务器1之间的加密数据通道，可同时进行数据更新，且公共系统22依然可以进行上网、收发邮件、开远程桌面会议、查询资料等操作，保证了客户端的工作效率。这一安全架构搭建成本较低，且能够进行迭代升级。

综上，本实施例公开了一种安全架构，包括目标服务器和客户端，所述客户端包括安全系统和公共系统，其中：所述客户端中仅有所述安全系统与目标服务器远程连接，所述安全系统按照内部加解密规则进行与所述目标服务器之间的数据传输，并根据指令向所述公共系统发送通过安全审核的本地文件。本实施例在客户端设置了安全系统，安全系统的数据流只有两种，一是与目标服务器之间按照内部加解密规则的数据传输，二是只有通过安全审核的本地文件才能由安全系统发送到公共系统，前者保证敏感数据不会在远程连接中泄露，后者保证了安全系统和公共系统之间的数据隔离，因此本发明同时保证了远程通信和本地烧写过程中的代码安全。

相应的，本发明实施例还公开了一种安全架构的运行方法，参见图2所示，包括：

S1：建立安全系统和目标服务器的远程连接；

S2：按照内部加解密规则进行所述安全系统和所述目标服务器之间的数据传输；

S3：根据指令对所述安全系统的本地文件进行安全审核，当所述本地文件通过安全审核，将该本地文件发送至公共系统。

本发明在客户端设置了安全系统，安全系统的数据流只有两种，一是与目标服务器之间按照内部加解密规则的数据传输，二是只有通过安全审核的本地文件才能由安全系统发送到公共系统，前者保证敏感数据不会在远程连接中泄露，后者保证了安全系统和公共系统之间的数据隔离，因此本发明同时保证了远程通信和本地烧写过程中的代码安全。

在一些优选实施例中，所述建立安全系统和目标服务器的远程连接的过程，具体包括：

通过身份识别后建立安全系统和目标服务器的远程连接；

所述身份识别包括：所述安全系统与所述目标服务器之间的ID确认，和/或数据密钥确认，和/或连接时间确认，和/或用户ID确认，和/或用户权限确认。

优选的，所述通过身份识别后建立安全系统和目标服务器的远程连接的过程，具体包括：

通过安全系统向目标服务器发送连接请求；

当所述安全系统收到所述目标服务器的连接请求反馈，通过所述安全系统向所述目标服务器发送身份识别请求；

当所述安全系统收到所述目标服务器的身份识别反馈，建立所述安全系统和所述目标服务器的远程连接。

在一些优选实施例中，所述按照内部加解密规则进行所述安全系统和所述目标服务器之间的数据传输的过程，具体包括：

按照内部加解密规则，通过UDP私有协议进行所述安全系统与所述目标服务器之间的数据传输。

在一些优选实施例中，所述安全审核包括：

审核文件扩展名，和/或审核头格式，和/或审核特征字，和/或审核文件大小，和/或审核访问日期。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上对本发明所提供的一种安全架构及其运行方法、设备及可读存储介质进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims (10)

1.一种安全架构，其特征在于，包括目标服务器和客户端，所述客户端包括安全系统和公共系统，其中：

所述客户端中仅有所述安全系统与所述目标服务器远程连接，所述安全系统按照内部加解密规则进行与所述目标服务器之间的数据传输，并根据指令通过单向传输通道向所述公共系统发送通过安全审核的本地文件；

其中，发送端一边从存储器上读取文件数据一边利用所述文件数据的一次性密钥自动加密并打包，接收端一边解包一边接收所述文件数据并写入存储器，所述发送端具体为所述安全系统或所述目标服务器，所述接收端具体为所述目标服务器或所述安全系统。

2.根据权利要求1所述安全架构，其特征在于，

所述安全系统与所述目标服务器通过身份识别后建立远程连接；

其中，所述身份识别包括：

所述安全系统与所述目标服务器之间的ID确认，和/或数据密钥确认，和/或连接时间确认，和/或用户ID确认，和/或用户权限确认。

3.根据权利要求1所述安全架构，其特征在于，所述安全审核包括：

审核文件扩展名，和/或审核头格式，和/或审核特征字，和/或审核文件大小，和/或审核访问日期。

4.根据权利要求1所述安全架构，其特征在于，

所述安全系统与所述目标服务器之间通过UDP私有协议进行数据传输。

5.根据权利要求1至4任一项所述安全架构，其特征在于，

所述目标服务器与所述安全系统通过专用接口和专用数据卡远程连接。

6.一种安全架构的运行方法，其特征在于，包括：

建立安全系统和目标服务器的远程连接；

按照内部加解密规则进行所述安全系统和所述目标服务器之间的数据传输；

根据指令对所述安全系统的本地文件进行安全审核，当所述本地文件通过安全审核，通过单向传输通道将该本地文件发送至公共系统；

其中，所述按照内部加解密规则进行所述安全系统和所述目标服务器之间的数据传输的过程，包括：发送端一边从存储器上读取文件数据一边利用所述文件数据的一次性密钥自动加密并打包，接收端一边解包一边接收所述 文件数据并写入存储器，所述发送端具体为所述安全系统或所述目标服务器，所述接收端具体为所述目标服务器或所述安全系统。

7.根据权利要求6所述运行方法，其特征在于，所述建立安全系统和目标服务器的远程连接的过程，具体包括：

通过身份识别后建立安全系统和目标服务器的远程连接；

所述身份识别包括：所述安全系统与所述目标服务器之间的ID确认，和/或数据密钥确认，和/或连接时间确认，和/或用户ID确认，和/或用户权限确认。

8.根据权利要求7所述运行方法，其特征在于，所述通过身份识别后建立安全系统和目标服务器的远程连接的过程，具体包括：

通过安全系统向目标服务器发送连接请求；

当所述安全系统收到所述目标服务器的连接请求反馈，通过所述安全系统向所述目标服务器发送身份识别请求；

当所述安全系统收到所述目标服务器的身份识别反馈，建立所述安全系统和所述目标服务器的远程连接。

9.根据权利要求8所述运行方法，其特征在于，所述按照内部加解密规则进行所述安全系统和所述目标服务器之间的数据传输的过程，具体包括：

按照内部加解密规则，通过UDP私有协议进行所述安全系统与所述目标服务器之间的数据传输。

10.根据权利要求6至9任一项所述运行方法，其特征在于，所述安全审核包括：

审核文件扩展名，和/或审核头格式，和/或审核特征字，和/或审核文件大小，和/或审核访问日期。

Images