CN115730339A - 一种基于ide源码保护插件代码防泄密方法及系统 - Google Patents

Abstract

本发明提供了一种基于IDE源码保护插件代码防泄密方法及系统，运用于源代码安全技术领域；基于身份数据对用户进行身份认证，生成代码工程相应的访问权限、对应密钥和临时操作权限；判断用户是否对代码工程进行读取操作；若是，则对读取操作进行拦截，并基于代码工程保护程序，对代码工程执行相应的指令，生成加密代码工程，获取用户输入的代码入库请求，将代码入库请求发送至源代码库中进行授权认证，接收IDE保护插件触发的密钥销毁指令，验证非对称密钥的运行数据，在IDE保护插件验证通过后，在确定用户读取的区域标识对应存储区域与销毁指令相关联时，通过安全服务器对用户读取的区域标识对应存储区域中所存储的非对称密钥进行销毁。

Description

一种基于IDE源码保护插件代码防泄密方法及系统

技术领域

本发明涉及源代码安全技术领域，特别涉及为一种基于IDE源码保护插件代码防泄密方法及系统。

背景技术

应用系统源代码是企业重要数据。根据《网络安全法》、《数据安全法》、关键基础设施保护条例等国家法律法规，把应用系统源代码作为企业重要保护对象，不仅是保护源代码内容，还能防范源代码泄露后入侵者通过源代码分析分析应用系统业务逻辑缺陷和代码漏洞。

传统代码防泄密解决方案，开发专用机:防止内部员工代码的恶意泄漏，代码防泄密系统通过终端虚拟化技术，将一台计算机虚拟成两台，其中一台用于开发专用。只有开发专用虚拟机才能访问代码服务器，才有开发环境，开发人员只能在开发专用机里面进行代码开发工作。

但是这种严格的底层技术能够防止在职员工和离职员工恶意的盗取代码，即使把计算机带回家也是无法将代码拷贝出去，不利于在互联网下进行分布式居家办公的实际情况需求。

发明内容

本发明旨在解决现有的源代码防泄密方法对网络架构、系统管控复杂的问题，提供一种基于IDE源码保护插件代码防泄密方法及系统。

本发明为解决技术问题采用如下技术手段：

本发明提供一种基于IDE源码保护插件代码防泄密方法，包括：

基于预设的身份数据对用户进行身份认证，生成代码工程相应的访问权限、对应密钥和临时操作权限；

判断所述用户是否对所述代码工程进行读取操作；

若是，则对所述读取操作进行拦截，并基于所述代码工程预设的保护程序，对所述代码工程执行相应的指令，生成加密代码工程，其中，所述加密代码工程具体为生成两组预设的非对称密钥对所述代码工程进行加密，一组非对称密钥key1用于加解密无访问权限的代码，另一组非对称密钥key2用于加解密有访问权限的代码；

获取所述用户输入的代码入库请求，将所述代码入库请求发送至预设的源代码库中进行授权认证，其中，所述授权认证具体为对所述代码入库请求通过预设的IDE源码采用Hook技术进行拦截判定，通过所述代码入库请求后进行编译操作，自动解密所述代码工程的源代码，并将解密后的源代码内容传输至预设的IDE保护插件；

接收所述IDE保护插件触发的密钥销毁指令，验证所述非对称密钥的运行数据，在所述IDE保护插件验证通过后，在确定所述用户读取的区域标识对应存储区域与所述销毁指令相关联时，通过预设的安全服务器对所述用户读取的区域标识对应存储区域中所存储的非对称密钥进行销毁，其中，所述密钥销毁指令携带有用户存储区域标识，销毁权限与至少一个存储区域相关联。

进一步地，所述基于预设的身份数据对用户进行身份认证，生成代码工程相应的访问权限、对应密钥和临时操作权限的步骤前，包括：

基于所述IDE保护插件提供的初始化授权认证，获取空白代码工程，从所述源代码库中提取源代码，对所述源代码进行本地编写得到可存储的代码，采用所述可存储的代码对所述空白代码工程进行完善，生成代码工程，其中，所述IDE具体为电子集成驱动器。

进一步地，所述基于预设的身份数据对用户进行身份认证，生成代码工程相应的访问权限、对应密钥和临时操作权限的步骤中，包括：

接收用户端输入的用户身份信息，判断所述用户身份信息是否满足预设的登录条件；

若是，则调用所述用户的权限信息，向所述用户提供所述访问权限和所述临时操作权限；

获取所述用户端输入的用户对应密钥，判断所述对应密钥是否匹配所述用户预设的身份密钥；

若匹配，则向所述用户开放所有与所述用户身份信息满足的权限信息。

进一步地，所述判断所述用户是否对所述代码工程进行读取操作的步骤中，包括：

获得所述用户根据操作界面上输入的工程代码分类信息；

基于所述工程代码分类信息，查询所述存储区域中的代码环境信息与所述代码工程之间的对应关系，根据所述对应关系得到所述代码环境信息对应的转换代码，其中，所述转换代码是在所述工程代码分类信息下采用预先编写的源代码在预设的源代码仓库对应标识的所述存储区域进行调试，所述调试用于协调所述代码工程和所述代码环境信息所存在的适配关系；

应用所述转换代码对所述代码工程进行转换，生成与所述工程代码分类信息所适配的目标代码工程，其中，所述目标代码工程具体为从所述工程代码分类信息中提取与所述转换代码表征相同含义的目标代码工程。

进一步地，所述则对所述读取操作进行拦截的步骤中，包括：

限定所述用户的读取框架，获取所述用户在拦截状态下仍然对所述代码工程进行读取的操作次数，根据所述操作次数生成对应的拦截曲线；

在所述用户仍未确认授权认证时，基于所述拦截曲线和预设的认证表单对所述用户进行标记，生成与所述用户对应的待授权认证次数，其中，所述待授权认证次数具体基于所述用户在读取被拦截时且所述用户并未进行授权认证时仍然进行读取的次数增加而增加；

判断所述用户在预设时段内是否完成对应的所述待授权认证次数；

若否，则剔除所述用户的读取权限，所述IDE保护插件提供的初始化授权认证，重新分配所述非对称密钥。

进一步地，所述并基于所述代码工程预设的保护程序，对所述代码工程执行相应的指令，生成加密代码工程的步骤中，包括：

根据当前所述用户的权限，将无权限访问的代码工程采用至少一个非对称密钥Key1进行加密，得到第一源代码，将有权限访问的代码工程采用至少一个非对称密钥Key2进行加密，得到第二源代码；

将所述第一源代码和所述第二源代码均发送至所述IDE保护插件，通过所述IDE保护插件将所述第一源代码和所述第二源代码存储在指定工程代码分类信息，所述非对称密钥Key1和所述非对称密钥Key2存储在IDE源码的存储区域。

进一步地，所述获取所述用户输入的代码入库请求，将所述代码入库请求发送至预设的源代码库中进行授权认证的步骤中，包括：

获取所述代码入库请求的连接时长；

判断所述连接时长是否超出预设时长；

若是，则销毁本地缓存的所述非对称密钥，留存所述非对称密钥的解密参数，基于所述解密参数生成另一非对称密钥，其中，所述另一非对称密钥需要在互联网连接的状态下进行解密，所述另一非对称密钥具体为预设规律的字母移位加解密。

本发明还提供一种基于IDE源码保护插件代码防泄密系统，包括：

认证模块，用于基于预设的身份数据对用户进行身份认证，生成代码工程相应的访问权限、对应密钥和临时操作权限；

判断模块，用于判断所述用户是否对所述代码工程进行读取操作；

执行模块，用于若是，则对所述读取操作进行拦截，并基于所述代码工程预设的保护程序，对所述代码工程执行相应的指令，生成加密代码工程，其中，所述加密代码工程具体为生成两组预设的非对称密钥对所述代码工程进行加密，一组非对称密钥key1用于加解密无访问权限的代码，另一组非对称密钥key2用于加解密有访问权限的代码；

获取模块，用于获取所述用户输入的代码入库请求，将所述代码入库请求发送至预设的源代码库中进行授权认证，其中，所述授权认证具体为对所述代码入库请求通过预设的IDE源码采用Hook技术进行拦截判定，通过所述代码入库请求后进行编译操作，自动解密所述代码工程的源代码，并将解密后的源代码内容传输至预设的IDE保护插件；

接收模块，用于接收所述IDE保护插件触发的密钥销毁指令，验证所述非对称密钥的运行数据，在所述IDE保护插件验证通过后，在确定所述用户读取的区域标识对应存储区域与所述销毁指令相关联时，通过预设的安全服务器对所述用户读取的区域标识对应存储区域中所存储的非对称密钥进行销毁，其中，所述密钥销毁指令携带有用户存储区域标识，销毁权限与至少一个存储区域相关联。

进一步地，还包括：

获取单元，用于基于所述IDE保护插件提供的初始化授权认证，获取空白代码工程，从所述源代码库中提取源代码，对所述源代码进行本地编写得到可存储的代码，采用所述可存储的代码对所述空白代码工程进行完善，生成代码工程，其中，所述IDE具体为电子集成驱动器。

进一步地，所述认证模块还包括：

判断单元，用于接收用户端输入的用户身份信息，判断所述用户身份信息是否满足预设的登录条件；

执行单元，用于若是，则调用所述用户的权限信息，向所述用户提供所述访问权限和所述临时操作权限；

第二判断单元，用于获取所述用户端输入的用户对应密钥，判断所述对应密钥是否匹配所述用户预设的身份密钥；

第二执行单元，用于若匹配，则向所述用户开放所有与所述用户身份信息满足的权限信息。

本发明提供了一种基于IDE源码保护插件代码防泄密方法及系统，具有以下有益效果：

本发明沿用源代码加密保护方法，通过IDE插件来实现轻量级的源代码防泄密保护，同时对代码工程文件进行授权访问，对当前编辑源代码文件的IDE进行授权，授权其可以浏览、编辑的文件、目录。

附图说明

图1为本发明一种基于IDE源码保护插件代码防泄密方法一个实施例的流程示意图；

图2为本发明一种基于IDE源码保护插件代码防泄密系统一个实施例的结构框图。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明，本发明为目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

下面将结合本发明的实施例中的附图，对本发明的实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

参考附图1，为本发明一实施例中的一种基于IDE源码保护插件代码防泄密方法，包括：

S1：基于预设的身份数据对用户进行身份认证，生成代码工程相应的访问权限、对应密钥和临时操作权限；

S2：判断所述用户是否对所述代码工程进行读取操作；

S3：若是，则对所述读取操作进行拦截，并基于所述代码工程预设的保护程序，对所述代码工程执行相应的指令，生成加密代码工程，其中，所述加密代码工程具体为生成两组预设的非对称密钥对所述代码工程进行加密，一组非对称密钥key1用于加解密无访问权限的代码，另一组非对称密钥key2用于加解密有访问权限的代码；

S4：获取所述用户输入的代码入库请求，将所述代码入库请求发送至预设的源代码库中进行授权认证，其中，所述授权认证具体为对所述代码入库请求通过预设的IDE源码采用Hook技术进行拦截判定，通过所述代码入库请求后进行编译操作，自动解密所述代码工程的源代码，并将解密后的源代码内容传输至预设的IDE保护插件；

S5：接收所述IDE保护插件触发的密钥销毁指令，验证所述非对称密钥的运行数据，在所述IDE保护插件验证通过后，在确定所述用户读取的区域标识对应存储区域与所述销毁指令相关联时，通过预设的安全服务器对所述用户读取的区域标识对应存储区域中所存储的非对称密钥进行销毁，其中，所述密钥销毁指令携带有用户存储区域标识，销毁权限与至少一个存储区域相关联。

在本实施例中，系统基于预先设定好的身份数据对需要读取代码工程的用户进行身份认证，在预设的数据库中搜寻关于该用户的身份数据，如数据库中存在该用户的身份数据，则为该用户提供相应的访问权限，如数据库中不存在该用户的身份数据，则为该用户生成临时的身份数据，并为该用户提供限时的访问权限、密钥设置和临时操作权限，当该用户属于临时的身份数据时，该用户需要及时完成注册；系统通过判断该用户是否对代码工程进行读取，以执行对应的不同步骤；例如，系统捕捉到该用户对代码工程进行读取中，此时系统会对该用户的读取操作进行拦截，基于代码工程对应预先设定好的保护程序，对该代码工程执行相应的保护指令，保护指令具体为生成两组预先设定好顺序的非对称密钥对代码工程进行加密，一组非对称密钥key1用于加解密无访问权限的代码工程，另一组非对称密钥key2用于加解密有访问权限的代码工程（根据当前用户的权限，将无权限访问的文件采用一个对称密钥Key1进行加密，将有权限访问的文件采用一个对称密钥Key2进行加密），即生成加密的代码工程，需要用户对应进行解密（即代码入库请求）才可对代码工程进行读取；例如，系统捕捉到该用户并未对代码工程进行读取，此时系统会保持对该用户的监视，直至该用户读取代码工程；系统通过接收用户输入的代码入库请求，并将该代码入库请求发送至预先设定有的源代码库中，将生成的临时非对称密钥与代码入库请求进行比对，比对的过程具体为对代码入库请求通过预先设定的IDE源码并采用Hook技术（Hook是用来获取或者更改程序执行时的某些数据,或者更改程序执行流程的一种技术，属于公知技术，在此不过多阐述）进行拦截判定，判定非对称密钥是否被进行更改，而后将代码入库请求进行编译操作，自动解密代码工程的源代码，源代码与非对称密钥进行匹配后，即可得到源代码库的授权认证，并将解密后的源代码内容传输至预先设定有的IDE保护插件中；系统通过接收IDE保护插件所触发的密钥销毁指令，对解密完成的非对称密钥的运行数据进行验证，在IDE保护插件确认该非对称密钥运行完毕后，通过确认该用户读取的代码工程区域标识所对应的存储区域与销毁指令相关联后（每个代码工程存在对应的存储区域，存储区域可用于临时存储应用完成的非对称密钥，不同的代码工程有对应的存储区域标识），继而采用预先设定有的安全服务器对存储区域内临时存储的非对称密钥进行销毁。

在本实施例中，所述基于预设的身份数据对用户进行身份认证，生成代码工程相应的访问权限、对应密钥和临时操作权限的步骤前，包括：

基于所述IDE保护插件提供的初始化授权认证，获取空白代码工程，从所述源代码库中提取源代码，对所述源代码进行本地编写得到可存储的代码，采用所述可存储的代码对所述空白代码工程进行完善，生成代码工程，其中，所述IDE具体为电子集成驱动器。

在本实施例中，系统基于IDE保护插件所提供的初始化授权认证过程，获取到空白的代码工程，并从源代码库中提取能够对空白代码工程进行本地编写后，生成可存储使用的代码，通过采用该可存储使用的代码代入至空白代码工程中，以生成能够进行读取的代码工程；需要说明的是，IDE保护插件由3个主要功能模块组成：认证授权模块、代码仓库加密访问模块、代码仓库解密访问模块，插件保护的代码工程只能从插件发起拉取代码和提交代码操作，插件拉取代码请求经过认证授权模块授权，拉取代码操作提交给代码仓库加密访问模块，该模块拉取的明文代码加密后发送给IDE；插件提交本地加密代码入库请求，经过认证授权模块授权，提交代码入库操作提交给代码仓库解密访问模块，该模块将插件提交的本地加密代码解密后发送给源代码仓库。

在本实施例中，所述基于预设的身份数据对用户进行身份认证，生成代码工程相应的访问权限、对应密钥和临时操作权限的步骤中，包括：

接收用户端输入的用户身份信息，判断所述用户身份信息是否满足预设的登录条件；

若是，则调用所述用户的权限信息，向所述用户提供所述访问权限和所述临时操作权限；

获取所述用户端输入的用户对应密钥，判断所述对应密钥是否匹配所述用户预设的身份密钥；

若匹配，则向所述用户开放所有与所述用户身份信息满足的权限信息。

在本实施例中，系统通过接收用户在用户终端输入的身份信息，判断这些身份信息是否满足预先设定好的登录条件，以执行对应的不同步骤；例如，系统判定到用户输入的身份信息无法满足预先设定的登录条件（即系统中未留存有关于该用户输入的身份信息，如用户名等），此时系统会禁止对该用户的登录放行，并建议该用户进行临时注册，以便于进入系统；例如，系统判定到用户输入的身份信息能够满足预先设定的登录条件，则此时系统会对该用户的登录进行放行，调用该用户所拥有的权限信息，向该用户提供对应的访问权限和操作权限；系统通过获取用户终端输入的密钥信息，判断密钥是否匹配用户预先设定的身份密钥，以执行对应的不同步骤；例如，系统判定到用户输入的密钥能够匹配身份密钥时，会向该用户开放所有与该用户身份信息满足的权限信息（如查看各个代码工程的权限，读取各个代码工程的权限等）；例如，系统判定到用户输入的密钥无法匹配身份密钥时，会继续向该用户征求正确的属于用户自设定的身份密钥，直至密钥匹配成功。

在本实施例中，所述判断所述用户是否对所述代码工程进行读取操作的步骤中，包括：

获得所述用户根据操作界面上输入的工程代码分类信息；

基于所述工程代码分类信息，查询所述存储区域中的代码环境信息与所述代码工程之间的对应关系，根据所述对应关系得到所述代码环境信息对应的转换代码，其中，所述转换代码是在所述工程代码分类信息下采用预先编写的源代码在预设的源代码仓库对应标识的所述存储区域进行调试，所述调试用于协调所述代码工程和所述代码环境信息所存在的适配关系；

应用所述转换代码对所述代码工程进行转换，生成与所述工程代码分类信息所适配的目标代码工程，其中，所述目标代码工程具体为从所述工程代码分类信息中提取与所述转换代码表征相同含义的目标代码工程。

在本实施例中，系统通过获得用户在操作界面中所输入的工程代码分类信息，查询存储区域中的代码环境信息和代码工程之间的对应关系，根据不同的对应关系得到代码环境信息对应的转换代码（如Python开发环境对应的转换代码为Anaconda，也包含conda、Python等；如Python创建虚拟环境对应的转换代码为conda create-n your_env_namepython=X.X（2.7、3.6)；），而后系统应用这些转换代码对代码工程进行转换，生成与工程代码分类信息所适配的目标代码工程（如，创建虚拟环境：conda create-n torch_nlppython；切换虚拟环境：source activate torch_nlp；source deactivate#退出虚拟环境：conda remove-n your_env_name--all#删除虚拟环境：conda remove--name your_env_name package_name）。

在本实施例中，所述则对所述读取操作进行拦截的步骤中，包括：

限定所述用户的读取框架，获取所述用户在拦截状态下仍然对所述代码工程进行读取的操作次数，根据所述操作次数生成对应的拦截曲线；

在所述用户仍未确认授权认证时，基于所述拦截曲线和预设的认证表单对所述用户进行标记，生成与所述用户对应的待授权认证次数，其中，所述待授权认证次数具体基于所述用户在读取被拦截时且所述用户并未进行授权认证时仍然进行读取的次数增加而增加；

判断所述用户在预设时段内是否完成对应的所述待授权认证次数；

若否，则剔除所述用户的读取权限，所述IDE保护插件提供的初始化授权认证，重新分配所述非对称密钥。

在本实施例中，系统通过限定用户的读取框架，获取用户处于拦截状态时对代码工程的读取次数，并根据这些读取次数生成一段相应的拦截曲线（曲线中包含有拦截的时间和时间对应的拦截次数），而后系统在该用户未完成授权认证时，基于该拦截曲线和预先设定好的认证表单中，对该用户进行相应的标记操作，以生成该用户需要对应完成的待授权认证次数，而后系统判断该用户是否能在预先设定好的时段内完成对应的待授权认证次数，以执行对应的不同步骤；例如，系统获取到用户处于拦截状态时对代码工程的读取次数为1次，而对应需要进行待授权认证的次数也为1次，该用户需要在5min内完成待授权认证，而用户在3min就完成了待授权认证，则此时系统会为该用户提供进行读取代码工程的权限，并提示用户对对应的代码工程进行加解密；例如，系统获取到用户处于拦截状态时对代码工程的读取次数为3次，而对应需要进行待授权认证的次数也为3次，该用户需要在5min内完成待授权认证，而用户在5min内仅完成了2次待授权认证，即此时系统会判定该用户并未完成待授权认证，系统会剔除该用户的所有读取权限，并由IDE保护插件向系统提供初始化授权认证，重新为该用户读取的代码工程分配新的非对称密钥。

在本实施例中，所述并基于所述代码工程预设的保护程序，对所述代码工程执行相应的指令，生成加密代码工程的步骤中，包括：

根据当前所述用户的权限，将无权限访问的代码工程采用至少一个非对称密钥Key1进行加密，得到第一源代码，将有权限访问的代码工程采用至少一个非对称密钥Key2进行加密，得到第二源代码；

将所述第一源代码和所述第二源代码均发送至所述IDE保护插件，通过所述IDE保护插件将所述第一源代码和所述第二源代码存储在指定工程代码分类信息，所述非对称密钥Key1和所述非对称密钥Key2存储在IDE源码的存储区域。

在本实施例中，系统根据用户所拥有的永久权限或临时权限（基于用户为已注册用户或临时用户变换），采用至少一个非对称密钥Key1对无权限访问的代码工程进行加密，即可得到第一源代码，且采用至少一个非对称密钥Key2对有权限访问的代码工程进行加密，即可得到第二源代码；而后将第一源代码和第二源代码同时发送至IDE保护插件中，通过IDE保护插件将源代码与非对称密钥存储在对应的空间内，如第一源代码和第二源代码存储在指定工程代码分类信息中，如非对称密钥Key1和非对称密钥Key2存储在IDE源码的存储区域。

在本实施例中，所述获取所述用户输入的代码入库请求，将所述代码入库请求发送至预设的源代码库中进行授权认证的步骤中，包括：

获取所述代码入库请求的连接时长；

判断所述连接时长是否超出预设时长；

若是，则销毁本地缓存的所述非对称密钥，留存所述非对称密钥的解密参数，基于所述解密参数生成另一非对称密钥，其中，所述另一非对称密钥需要在互联网连接的状态下进行解密，所述另一非对称密钥具体为预设规律的字母移位加解密。

在本实施例中，系统通过获取代码入库请求的连接时长，判断该连接时长是否超出预先设定的时长，以执行对应的不同步骤；例如，系统获取到代码入库请求的连接时长为3min，而预先设定的时长为5min，则此时系统会判定连接时长并未超出预先设定的时长，系统会寻常地将代码入库请求进行发送，发送至源代码库中进行授权认证；例如，系统获取到代码入库请求的连接时长为6min，而预先设定的时长为5min，则此时系统会判定连接时长超出了预先设定的时长，此时系统会销毁本地缓存好的非对称密钥，但留存非对称密钥的解密参数，并基于该解密参数生成同一参数但不同顺序的非对称密钥（可以使用多个密码解密同一个文件。这样在分配对称密钥时都是随机变化的密码，例如26字母移位加解密，密文是通过移位参数n进行加密的，则解密移位参数m，只要m=26*x-n，x取值任何正整数所有算出的m集合都可以用于解密该密文）。

参考附图2，为本发明一实施例中一种基于IDE源码保护插件代码防泄密系统，包括：

认证模块10，用于基于预设的身份数据对用户进行身份认证，生成代码工程相应的访问权限、对应密钥和临时操作权限；

判断模块20，用于判断所述用户是否对所述代码工程进行读取操作；

执行模块30，用于若是，则对所述读取操作进行拦截，并基于所述代码工程预设的保护程序，对所述代码工程执行相应的指令，生成加密代码工程，其中，所述加密代码工程具体为生成两组预设的非对称密钥对所述代码工程进行加密，一组非对称密钥key1用于加解密无访问权限的代码，另一组非对称密钥key2用于加解密有访问权限的代码；

获取模块40，用于获取所述用户输入的代码入库请求，将所述代码入库请求发送至预设的源代码库中进行授权认证，其中，所述授权认证具体为对所述代码入库请求通过预设的IDE源码采用Hook技术进行拦截判定，通过所述代码入库请求后进行编译操作，自动解密所述代码工程的源代码，并将解密后的源代码内容传输至预设的IDE保护插件；

接收模块50，用于接收所述IDE保护插件触发的密钥销毁指令，验证所述非对称密钥的运行数据，在所述IDE保护插件验证通过后，在确定所述用户读取的区域标识对应存储区域与所述销毁指令相关联时，通过预设的安全服务器对所述用户读取的区域标识对应存储区域中所存储的非对称密钥进行销毁，其中，所述密钥销毁指令携带有用户存储区域标识，销毁权限与至少一个存储区域相关联。

在本实施例中，认证模块10基于预先设定好的身份数据对需要读取代码工程的用户进行身份认证，在预设的数据库中搜寻关于该用户的身份数据，如数据库中存在该用户的身份数据，则为该用户提供相应的访问权限，如数据库中不存在该用户的身份数据，则为该用户生成临时的身份数据，并为该用户提供限时的访问权限、密钥设置和临时操作权限，当该用户属于临时的身份数据时，该用户需要及时完成注册；判断模块20通过判断该用户是否对代码工程进行读取，以执行对应的不同步骤；例如，系统捕捉到该用户对代码工程进行读取中，此时执行模块30会对该用户的读取操作进行拦截，基于代码工程对应预先设定好的保护程序，对该代码工程执行相应的保护指令，保护指令具体为生成两组预先设定好顺序的非对称密钥对代码工程进行加密，一组非对称密钥key1用于加解密无访问权限的代码工程，另一组非对称密钥key2用于加解密有访问权限的代码工程（根据当前用户的权限，将无权限访问的文件采用一个对称密钥Key1进行加密，将有权限访问的文件采用一个对称密钥Key2进行加密），即生成加密的代码工程，需要用户对应进行解密（即代码入库请求）才可对代码工程进行读取；例如，系统捕捉到该用户并未对代码工程进行读取，此时系统会保持对该用户的监视，直至该用户读取代码工程；获取模块40通过接收用户输入的代码入库请求，并将该代码入库请求发送至预先设定有的源代码库中，将生成的临时非对称密钥与代码入库请求进行比对，比对的过程具体为对代码入库请求通过预先设定的IDE源码并采用Hook技术（Hook是用来获取或者更改程序执行时的某些数据,或者更改程序执行流程的一种技术，属于公知技术，在此不过多阐述）进行拦截判定，判定非对称密钥是否被进行更改，而后将代码入库请求进行编译操作，自动解密代码工程的源代码，源代码与非对称密钥进行匹配后，即可得到源代码库的授权认证，并将解密后的源代码内容传输至预先设定有的IDE保护插件中；接收模块50通过接收IDE保护插件所触发的密钥销毁指令，对解密完成的非对称密钥的运行数据进行验证，在IDE保护插件确认该非对称密钥运行完毕后，通过确认该用户读取的代码工程区域标识所对应的存储区域与销毁指令相关联后（每个代码工程存在对应的存储区域，存储区域可用于临时存储应用完成的非对称密钥，不同的代码工程有对应的存储区域标识），继而采用预先设定有的安全服务器对存储区域内临时存储的非对称密钥进行销毁。

在本实施例中，还包括：

获取单元，用于基于所述IDE保护插件提供的初始化授权认证，获取空白代码工程，从所述源代码库中提取源代码，对所述源代码进行本地编写得到可存储的代码，采用所述可存储的代码对所述空白代码工程进行完善，生成代码工程，其中，所述IDE具体为电子集成驱动器。

在本实施例中，系统基于IDE保护插件所提供的初始化授权认证过程，获取到空白的代码工程，并从源代码库中提取能够对空白代码工程进行本地编写后，生成可存储使用的代码，通过采用该可存储使用的代码代入至空白代码工程中，以生成能够进行读取的代码工程；需要说明的是，IDE保护插件由3个主要功能模块组成：认证授权模块、代码仓库加密访问模块、代码仓库解密访问模块，插件保护的代码工程只能从插件发起拉取代码和提交代码操作，插件拉取代码请求经过认证授权模块授权，拉取代码操作提交给代码仓库加密访问模块，该模块拉取的明文代码加密后发送给IDE；插件提交本地加密代码入库请求，经过认证授权模块授权，提交代码入库操作提交给代码仓库解密访问模块，该模块将插件提交的本地加密代码解密后发送给源代码仓库。

在本实施例中，认证模块还包括：

判断单元，用于接收用户端输入的用户身份信息，判断所述用户身份信息是否满足预设的登录条件；

执行单元，用于若是，则调用所述用户的权限信息，向所述用户提供所述访问权限和所述临时操作权限；

第二判断单元，用于获取所述用户端输入的用户对应密钥，判断所述对应密钥是否匹配所述用户预设的身份密钥；

第二执行单元，用于若匹配，则向所述用户开放所有与所述用户身份信息满足的权限信息。

在本实施例中，系统通过接收用户在用户终端输入的身份信息，判断这些身份信息是否满足预先设定好的登录条件，以执行对应的不同步骤；例如，系统判定到用户输入的身份信息无法满足预先设定的登录条件（即系统中未留存有关于该用户输入的身份信息，如用户名等），此时系统会禁止对该用户的登录放行，并建议该用户进行临时注册，以便于进入系统；例如，系统判定到用户输入的身份信息能够满足预先设定的登录条件，则此时系统会对该用户的登录进行放行，调用该用户所拥有的权限信息，向该用户提供对应的访问权限和操作权限；系统通过获取用户终端输入的密钥信息，判断密钥是否匹配用户预先设定的身份密钥，以执行对应的不同步骤；例如，系统判定到用户输入的密钥能够匹配身份密钥时，会向该用户开放所有与该用户身份信息满足的权限信息（如查看各个代码工程的权限，读取各个代码工程的权限等）；例如，系统判定到用户输入的密钥无法匹配身份密钥时，会继续向该用户征求正确的属于用户自设定的身份密钥，直至密钥匹配成功。

在本实施例中，判断模块还包括：

获得单元，用于获得所述用户根据操作界面上输入的工程代码分类信息；

查询单元，用于基于所述工程代码分类信息，查询所述存储区域中的代码环境信息与所述代码工程之间的对应关系，根据所述对应关系得到所述代码环境信息对应的转换代码，其中，所述转换代码是在所述工程代码分类信息下采用预先编写的源代码在预设的源代码仓库对应标识的所述存储区域进行调试，所述调试用于协调所述代码工程和所述代码环境信息所存在的适配关系；

转换单元，用于应用所述转换代码对所述代码工程进行转换，生成与所述工程代码分类信息所适配的目标代码工程，其中，所述目标代码工程具体为从所述工程代码分类信息中提取与所述转换代码表征相同含义的目标代码工程。

在本实施例中，系统通过获得用户在操作界面中所输入的工程代码分类信息，查询存储区域中的代码环境信息和代码工程之间的对应关系，根据不同的对应关系得到代码环境信息对应的转换代码（如Python开发环境对应的转换代码为Anaconda，也包含conda、Python等；如Python创建虚拟环境对应的转换代码为conda create-n your_env_namepython=X.X（2.7、3.6)；），而后系统应用这些转换代码对代码工程进行转换，生成与工程代码分类信息所适配的目标代码工程（如，创建虚拟环境：conda create-n torch_nlppython；切换虚拟环境：source activate torch_nlp；source deactivate#退出虚拟环境：conda remove-n your_env_name--all#删除虚拟环境：conda remove--name your_env_name package_name）。

在本实施例中，执行模块还包括：

第二获取单元，用于限定所述用户的读取框架，获取所述用户在拦截状态下仍然对所述代码工程进行读取的操作次数，根据所述操作次数生成对应的拦截曲线；

生成单元，用于在所述用户仍未确认授权认证时，基于所述拦截曲线和预设的认证表单对所述用户进行标记，生成与所述用户对应的待授权认证次数，其中，所述待授权认证次数具体基于所述用户在读取被拦截时且所述用户并未进行授权认证时仍然进行读取的次数增加而增加；

第三判断单元，用于判断所述用户在预设时段内是否完成对应的所述待授权认证次数；

第三执行单元，用于若否，则剔除所述用户的读取权限，所述IDE保护插件提供的初始化授权认证，重新分配所述非对称密钥。

在本实施例中，系统通过限定用户的读取框架，获取用户处于拦截状态时对代码工程的读取次数，并根据这些读取次数生成一段相应的拦截曲线（曲线中包含有拦截的时间和时间对应的拦截次数），而后系统在该用户未完成授权认证时，基于该拦截曲线和预先设定好的认证表单中，对该用户进行相应的标记操作，以生成该用户需要对应完成的待授权认证次数，而后系统判断该用户是否能在预先设定好的时段内完成对应的待授权认证次数，以执行对应的不同步骤；例如，系统获取到用户处于拦截状态时对代码工程的读取次数为1次，而对应需要进行待授权认证的次数也为1次，该用户需要在5min内完成待授权认证，而用户在3min就完成了待授权认证，则此时系统会为该用户提供进行读取代码工程的权限，并提示用户对对应的代码工程进行加解密；例如，系统获取到用户处于拦截状态时对代码工程的读取次数为3次，而对应需要进行待授权认证的次数也为3次，该用户需要在5min内完成待授权认证，而用户在5min内仅完成了2次待授权认证，即此时系统会判定该用户并未完成待授权认证，系统会剔除该用户的所有读取权限，并由IDE保护插件向系统提供初始化授权认证，重新为该用户读取的代码工程分配新的非对称密钥。

在本实施例中，执行模块还包括：

加密单元，用于根据当前所述用户的权限，将无权限访问的代码工程采用至少一个非对称密钥Key1进行加密，得到第一源代码，将有权限访问的代码工程采用至少一个非对称密钥Key2进行加密，得到第二源代码；

存储单元，用于将所述第一源代码和所述第二源代码均发送至所述IDE保护插件，通过所述IDE保护插件将所述第一源代码和所述第二源代码存储在指定工程代码分类信息，所述非对称密钥Key1和所述非对称密钥Key2存储在IDE源码的存储区域。

在本实施例中，系统根据用户所拥有的永久权限或临时权限（基于用户为已注册用户或临时用户变换），采用至少一个非对称密钥Key1对无权限访问的代码工程进行加密，即可得到第一源代码，且采用至少一个非对称密钥Key2对有权限访问的代码工程进行加密，即可得到第二源代码；而后将第一源代码和第二源代码同时发送至IDE保护插件中，通过IDE保护插件将源代码与非对称密钥存储在对应的空间内，如第一源代码和第二源代码存储在指定工程代码分类信息中，如非对称密钥Key1和非对称密钥Key2存储在IDE源码的存储区域。

在本实施例中，获取模块还包括：

第二获取单元，用于获取所述代码入库请求的连接时长；

第四判断单元，用于判断所述连接时长是否超出预设时长；

第四执行单元，用于若是，则销毁本地缓存的所述非对称密钥，留存所述非对称密钥的解密参数，基于所述解密参数生成另一非对称密钥，其中，所述另一非对称密钥需要在互联网连接的状态下进行解密，所述另一非对称密钥具体为预设规律的字母移位加解密。

在本实施例中，系统通过获取代码入库请求的连接时长，判断该连接时长是否超出预先设定的时长，以执行对应的不同步骤；例如，系统获取到代码入库请求的连接时长为3min，而预先设定的时长为5min，则此时系统会判定连接时长并未超出预先设定的时长，系统会寻常地将代码入库请求进行发送，发送至源代码库中进行授权认证；例如，系统获取到代码入库请求的连接时长为6min，而预先设定的时长为5min，则此时系统会判定连接时长超出了预先设定的时长，此时系统会销毁本地缓存好的非对称密钥，但留存非对称密钥的解密参数，并基于该解密参数生成同一参数但不同顺序的非对称密钥（可以使用多个密码解密同一个文件。这样在分配对称密钥时都是随机变化的密码，例如26字母移位加解密，密文是通过移位参数n进行加密的，则解密移位参数m，只要m=26*x-n，x取值任何正整数所有算出的m集合都可以用于解密该密文）。

Claims (10)

1.一种基于IDE源码保护插件代码防泄密方法，其特征在于，包括以下步骤：

基于预设的身份数据对用户进行身份认证，生成代码工程相应的访问权限、对应密钥和临时操作权限；

判断所述用户是否对所述代码工程进行读取操作；

若是，则对所述读取操作进行拦截，并基于所述代码工程预设的保护程序，对所述代码工程执行相应的指令，生成加密代码工程，其中，所述加密代码工程具体为生成两组预设的非对称密钥对所述代码工程进行加密，一组非对称密钥key1用于加解密无访问权限的代码，另一组非对称密钥key2用于加解密有访问权限的代码；

获取所述用户输入的代码入库请求，将所述代码入库请求发送至预设的源代码库中进行授权认证，其中，所述授权认证具体为对所述代码入库请求通过预设的IDE源码采用Hook技术进行拦截判定，通过所述代码入库请求后进行编译操作，自动解密所述代码工程的源代码，并将解密后的源代码内容传输至预设的IDE保护插件；

接收所述IDE保护插件触发的密钥销毁指令，验证所述非对称密钥的运行数据，在所述IDE保护插件验证通过后，在确定所述用户读取的区域标识对应存储区域与所述销毁指令相关联时，通过预设的安全服务器对所述用户读取的区域标识对应存储区域中所存储的非对称密钥进行销毁，其中，所述密钥销毁指令携带有用户存储区域标识，销毁权限与至少一个存储区域相关联。

2.根据权利要求1所述的一种基于IDE源码保护插件代码防泄密方法，其特征在于，所述基于预设的身份数据对用户进行身份认证，生成代码工程相应的访问权限、对应密钥和临时操作权限的步骤前，包括：

基于所述IDE保护插件提供的初始化授权认证，获取空白代码工程，从所述源代码库中提取源代码，对所述源代码进行本地编写得到可存储的代码，采用所述可存储的代码对所述空白代码工程进行完善，生成代码工程，其中，所述IDE具体为电子集成驱动器。

3.根据权利要求1所述的一种基于IDE源码保护插件代码防泄密方法，其特征在于，所述基于预设的身份数据对用户进行身份认证，生成代码工程相应的访问权限、对应密钥和临时操作权限的步骤中，包括：

接收用户端输入的用户身份信息，判断所述用户身份信息是否满足预设的登录条件；

若是，则调用所述用户的权限信息，向所述用户提供所述访问权限和所述临时操作权限；

获取所述用户端输入的用户对应密钥，判断所述对应密钥是否匹配所述用户预设的身份密钥；

若匹配，则向所述用户开放所有与所述用户身份信息满足的权限信息。

4.根据权利要求1所述的一种基于IDE源码保护插件代码防泄密方法，其特征在于，所述判断所述用户是否对所述代码工程进行读取操作的步骤中，包括：

获得所述用户根据操作界面上输入的工程代码分类信息；

基于所述工程代码分类信息，查询所述存储区域中的代码环境信息与所述代码工程之间的对应关系，根据所述对应关系得到所述代码环境信息对应的转换代码，其中，所述转换代码是在所述工程代码分类信息下采用预先编写的源代码在预设的源代码仓库对应标识的所述存储区域进行调试，所述调试用于协调所述代码工程和所述代码环境信息所存在的适配关系；

应用所述转换代码对所述代码工程进行转换，生成与所述工程代码分类信息所适配的目标代码工程，其中，所述目标代码工程具体为从所述工程代码分类信息中提取与所述转换代码表征相同含义的目标代码工程。

5.根据权利要求1所述的一种基于IDE源码保护插件代码防泄密方法，其特征在于，所述则对所述读取操作进行拦截的步骤中，包括：

限定所述用户的读取框架，获取所述用户在拦截状态下仍然对所述代码工程进行读取的操作次数，根据所述操作次数生成对应的拦截曲线；

在所述用户仍未确认授权认证时，基于所述拦截曲线和预设的认证表单对所述用户进行标记，生成与所述用户对应的待授权认证次数，其中，所述待授权认证次数具体基于所述用户在读取被拦截时且所述用户并未进行授权认证时仍然进行读取的次数增加而增加；

判断所述用户在预设时段内是否完成对应的所述待授权认证次数；

若否，则剔除所述用户的读取权限，所述IDE保护插件提供的初始化授权认证，重新分配所述非对称密钥。

6.根据权利要求1所述的一种基于IDE源码保护插件代码防泄密方法，其特征在于，所述并基于所述代码工程预设的保护程序，对所述代码工程执行相应的指令，生成加密代码工程的步骤中，包括：

根据当前所述用户的权限，将无权限访问的代码工程采用至少一个非对称密钥Key1进行加密，得到第一源代码，将有权限访问的代码工程采用至少一个非对称密钥Key2进行加密，得到第二源代码；

将所述第一源代码和所述第二源代码均发送至所述IDE保护插件，通过所述IDE保护插件将所述第一源代码和所述第二源代码存储在指定工程代码分类信息，所述非对称密钥Key1和所述非对称密钥Key2存储在IDE源码的存储区域。

7.根据权利要求1所述的一种基于IDE源码保护插件代码防泄密方法，其特征在于，所述获取所述用户输入的代码入库请求，将所述代码入库请求发送至预设的源代码库中进行授权认证的步骤中，包括：

获取所述代码入库请求的连接时长；

判断所述连接时长是否超出预设时长；

若是，则销毁本地缓存的所述非对称密钥，留存所述非对称密钥的解密参数，基于所述解密参数生成另一非对称密钥，其中，所述另一非对称密钥需要在互联网连接的状态下进行解密，所述另一非对称密钥具体为预设规律的字母移位加解密。

8.一种基于IDE源码保护插件代码防泄密系统，其特征在于，包括：

认证模块，用于基于预设的身份数据对用户进行身份认证，生成代码工程相应的访问权限、对应密钥和临时操作权限；

判断模块，用于判断所述用户是否对所述代码工程进行读取操作；

执行模块，用于若是，则对所述读取操作进行拦截，并基于所述代码工程预设的保护程序，对所述代码工程执行相应的指令，生成加密代码工程，其中，所述加密代码工程具体为生成两组预设的非对称密钥对所述代码工程进行加密，一组非对称密钥key1用于加解密无访问权限的代码，另一组非对称密钥key2用于加解密有访问权限的代码；

获取模块，用于获取所述用户输入的代码入库请求，将所述代码入库请求发送至预设的源代码库中进行授权认证，其中，所述授权认证具体为对所述代码入库请求通过预设的IDE源码采用Hook技术进行拦截判定，通过所述代码入库请求后进行编译操作，自动解密所述代码工程的源代码，并将解密后的源代码内容传输至预设的IDE保护插件；

接收模块，用于接收所述IDE保护插件触发的密钥销毁指令，验证所述非对称密钥的运行数据，在所述IDE保护插件验证通过后，在确定所述用户读取的区域标识对应存储区域与所述销毁指令相关联时，通过预设的安全服务器对所述用户读取的区域标识对应存储区域中所存储的非对称密钥进行销毁，其中，所述密钥销毁指令携带有用户存储区域标识，销毁权限与至少一个存储区域相关联。

9.根据权利要求8所述的一种基于IDE源码保护插件代码防泄密系统，其特征在于，还包括：

获取单元，用于基于所述IDE保护插件提供的初始化授权认证，获取空白代码工程，从所述源代码库中提取源代码，对所述源代码进行本地编写得到可存储的代码，采用所述可存储的代码对所述空白代码工程进行完善，生成代码工程，其中，所述IDE具体为电子集成驱动器。

10.根据权利要求8所述的一种基于IDE源码保护插件代码防泄密系统，其特征在于，所述认证模块还包括：

判断单元，用于接收用户端输入的用户身份信息，判断所述用户身份信息是否满足预设的登录条件；

执行单元，用于若是，则调用所述用户的权限信息，向所述用户提供所述访问权限和所述临时操作权限；

第二判断单元，用于获取所述用户端输入的用户对应密钥，判断所述对应密钥是否匹配所述用户预设的身份密钥；

第二执行单元，用于若匹配，则向所述用户开放所有与所述用户身份信息满足的权限信息。

Images