一種保護(hù)Web應(yīng)用程序安全的方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)信息安全技術(shù)領(lǐng)域，具體涉及一種保護(hù)Web應(yīng)用程序安全的方法。
【背景技術(shù)】
[0002]在社會(huì)分工日益明細(xì)、經(jīng)濟(jì)往來日益密切、信息技術(shù)日新月異的今天，如何有效保護(hù)自己的知識(shí)產(chǎn)權(quán)，降低因數(shù)據(jù)外泄造成的風(fēng)險(xiǎn)，是每個(gè)企業(yè)和用戶不得不面對(duì)的一個(gè)嚴(yán)峻考驗(yàn)。
[0003]由于Web應(yīng)用程序具有易于復(fù)制、反編譯的特點(diǎn)，Web應(yīng)用程序的管控一直是個(gè)難于解決的問題。應(yīng)用程序隨時(shí)可能會(huì)遭到惡意反編譯，企業(yè)核心數(shù)據(jù)遭到竊取，數(shù)據(jù)的竊取者將對(duì)數(shù)據(jù)擁有了完全的權(quán)力，客觀上造成企業(yè)核心機(jī)密的泄露。同時(shí)，應(yīng)用程序數(shù)據(jù)和代碼的泄漏，使得這些個(gè)人敏感信息面臨被盜用或非法使用的威脅。
[0004]目前保護(hù)Web應(yīng)用程序安全的方法主要有數(shù)字簽名識(shí)別、文件格式識(shí)別、代碼和數(shù)據(jù)分離等方法，這些方法對(duì)程序的完整性監(jiān)測(cè)、內(nèi)容過濾、授權(quán)保護(hù)等功能具有很好的作用。然而，這些方法并不能有效的防止應(yīng)用程序被反編譯，同時(shí)數(shù)字簽名識(shí)別和軟件授權(quán)保護(hù)等功能也可以通過對(duì)應(yīng)用程序的反編譯來進(jìn)行破解。
[0005]因此，如何解決Web應(yīng)用程序安全的問題，并且解決的方法簡(jiǎn)單易行，可操作性強(qiáng)，適用性廣成為一個(gè)亟待解決的問題。

【發(fā)明內(nèi)容】

[0006]本發(fā)明的目的在于針對(duì)Web應(yīng)用程序安全的問題以及現(xiàn)有技術(shù)存在的局限性，提供一種保護(hù)Web應(yīng)用程序安全的方法。這種方法對(duì)應(yīng)用程序的設(shè)計(jì)到運(yùn)行的全生命周期進(jìn)行控制管理，構(gòu)建了一個(gè)安全的軟件開發(fā)環(huán)境和運(yùn)行環(huán)境，適用范圍廣。這種方法和系統(tǒng)無需額外硬件支持，不改變軟件開發(fā)者和軟件使用者的操作習(xí)慣，性價(jià)比高。
[0007]為達(dá)到上述目的，本發(fā)明提出了一種保護(hù)Web應(yīng)用程序安全的方法，這里Web應(yīng)用程序主要包括Java程序、.Net程序、Android程序等，主要是保護(hù)class文件、dll文件、exe文件等。本發(fā)明的方法包括采用加密模塊對(duì)Web應(yīng)用程序的源文件、編譯生成的二進(jìn)制文件進(jìn)行透明加密，在打開被加密的源文件、運(yùn)行被加密的二進(jìn)制文件時(shí)進(jìn)行透明解密；以及采用軟件行為控制模塊對(duì)Web應(yīng)用程序的開發(fā)軟件進(jìn)行行為控制管理。
[0008]采用加密模塊實(shí)現(xiàn)應(yīng)用程序源文件加密和解密的方法為:Η00Κ用于保存/打開文件的API函數(shù)，執(zhí)行加密/解密函數(shù)，對(duì)源文件進(jìn)行加密/解密；繼續(xù)執(zhí)行用于保存/打開文件的API函數(shù)。
[0009]采用加密模塊實(shí)現(xiàn)對(duì)應(yīng)用程序二進(jìn)制文件進(jìn)行加密、運(yùn)行時(shí)解密的方法為:Η00Κ用于產(chǎn)生二進(jìn)制文件的API函數(shù)，執(zhí)行加密操作，繼續(xù)執(zhí)行產(chǎn)生二進(jìn)制文件的API函數(shù)；運(yùn)行應(yīng)用程序的二進(jìn)制文件時(shí)，Η00Κ用于讀取二進(jìn)制文件的API函數(shù)，執(zhí)行解密操作，繼續(xù)執(zhí)行讀取二進(jìn)制文件的API函數(shù)。
[0010]采用加密模塊實(shí)現(xiàn)對(duì)Dll文件進(jìn)行加密，在Dll加載到進(jìn)程空間時(shí)，進(jìn)行透明解密；所述透明解密的方法為:H00K NTDLL.dll中用于加載動(dòng)態(tài)庫的API和文件操作的API，對(duì)Dll中的密文進(jìn)行透明解密。軟件行為控制包括源文件復(fù)制、粘貼、截屏等。
[0011 ] 采用軟件行為控制模塊對(duì)文件復(fù)制粘貼的控制方法為:對(duì)剪切板的設(shè)置及粘貼API進(jìn)行Η00Κ，當(dāng)調(diào)用剪切板設(shè)置函數(shù)時(shí)，記錄當(dāng)前剪切板的寫入者的進(jìn)程信息；當(dāng)執(zhí)行將剪切板內(nèi)容拷貝時(shí)，根據(jù)剪切板的寫入者與剪切板的使用者的身份判斷是否允許拷貝，如果不允許拷貝，則返回剪切板為空的信息給使用者，如果允許拷貝，則將剪切板的內(nèi)容返回給使用者。
[0012]判斷是否允許拷貝的方法為:如果剪切板的寫入者的進(jìn)程為受控進(jìn)程，剪切板的使用者的進(jìn)程為非受控進(jìn)程，則不允許拷貝，其余情況下允許拷貝。
[0013]采用軟件行為控制模塊對(duì)文件截屏行為進(jìn)行控制的方法為:Η00Κ對(duì)文件進(jìn)行截屏的API函數(shù)；判斷當(dāng)前顯示的窗口中是否包含需要防泄密的電子文檔窗口 ；如果包含，則禁止截屏操作；如果不包含，則繼續(xù)執(zhí)行截屏的API函數(shù)。
[0014]本發(fā)明的一種保護(hù)Web應(yīng)用程序安全的方法，構(gòu)建了一個(gè)安全的應(yīng)用程序開發(fā)環(huán)境和運(yùn)行環(huán)境，源文件加解密過程可以做到對(duì)軟件設(shè)計(jì)者透明，應(yīng)用程序的運(yùn)行可以做到對(duì)使用者透明，這種方法和系統(tǒng)無需額外硬件支持，不改變軟件設(shè)計(jì)值和使用者的操作習(xí)慣，使用直觀，操作便捷，適用面廣。
【附圖說明】
[0015]圖1為ΑΡΙΗ00Κ技術(shù)示意圖。
[0016]圖2為加解密過程示意圖。
[0017]圖3為運(yùn)行在windows系統(tǒng)下的JAVA程序從開發(fā)到運(yùn)行流程示意圖。
[0018]圖4為動(dòng)態(tài)庫加載Η00Κ過程示意圖。
[0019]圖5為防止拷貝示意圖。
【具體實(shí)施方式】
[0020]所有的Windows應(yīng)用程序的操作都需要調(diào)用系統(tǒng)的API函數(shù)進(jìn)行。但現(xiàn)有的API接口并不能滿足所有操作的要求，某些功能的附加值可以通過攔截相關(guān)API的請(qǐng)求后執(zhí)行跳轉(zhuǎn)函數(shù)來實(shí)現(xiàn)。這種攔截API的技術(shù)叫ΑΡΙΗ00Κ技術(shù)，如圖1所示。本方法的加密模塊和軟件行為控制模塊主要是使用了 ΑΡΙΗ00Κ技術(shù)。
[0021]本方法的加密模塊主要是針對(duì)Web應(yīng)用程序的源文件的打開和保存過程使用到的API函數(shù)進(jìn)行Η00Κ。如圖2所示，在保存文件時(shí)，先執(zhí)行加密模塊中的加密函數(shù)，對(duì)文件進(jìn)行加密，然后繼續(xù)執(zhí)行用來保存文件的API函數(shù)，這樣就可以保證生成的文件是加密的；如圖2所示，在文件打開時(shí)，先執(zhí)行加密模塊的解密函數(shù)，再執(zhí)行用來打開文件的API函數(shù)，這樣就可以保證加密的文件可以被打開。
[0022]如圖3所示，當(dāng)加密的Web應(yīng)用程序(java程序，.Net程序等)在windows系統(tǒng)下運(yùn)行時(shí)，在應(yīng)用程序的二進(jìn)制文件加載到內(nèi)存時(shí)，先執(zhí)行加密模塊的解密函數(shù)，再執(zhí)行用來加載二進(jìn)制文件的函數(shù)，這樣就可以保證被加密的二進(jìn)制文件可以正常運(yùn)行。
[0023]如圖4所示，當(dāng)加密的D11文件加載到進(jìn)程空間中時(shí)，需要對(duì)動(dòng)態(tài)庫加載函數(shù)LdrlnitializeThunk()、加載模塊映像函數(shù)LdrFixupImports ()、寫動(dòng)態(tài)庫入口地址函數(shù)LdrGetExportByOrdinal ()進(jìn)行Η00Κ，先執(zhí)行加密模塊的解密函數(shù)，再執(zhí)行用來加載動(dòng)態(tài)庫的函數(shù)，這樣就可以保證加密的D11能夠順利的加載成功。當(dāng)引用