本發(fā)明涉及代碼安全技術(shù)領(lǐng)域，尤其涉及一種代碼保護(hù)方法及系統(tǒng)。

背景技術(shù)：

SAP(System Applications and Products)系統(tǒng)是世界上應(yīng)用范圍最廣的ERP系統(tǒng)，世界500強(qiáng)中超過(guò)80％的企業(yè)都在使用SAP系統(tǒng)實(shí)現(xiàn)對(duì)生產(chǎn)、管理等業(yè)務(wù)的管理。

SAP系統(tǒng)中的ABAP(Advanced Business Application Programming)語(yǔ)言是SAP公司其ERP系統(tǒng)開(kāi)發(fā)的第四代高級(jí)語(yǔ)言，是一種面向?qū)ο蟮母呒?jí)語(yǔ)言。SAP系統(tǒng)是開(kāi)放的，其系統(tǒng)內(nèi)的所有代碼不需經(jīng)編譯即可直接運(yùn)行，代碼內(nèi)容對(duì)賦與權(quán)限的用戶都是開(kāi)放的。

系統(tǒng)的開(kāi)放性在給用戶帶來(lái)極大方便的同時(shí)也給企業(yè)安全管理帶來(lái)極大隱患，技術(shù)方案的保密性大大降低，企業(yè)可能面臨關(guān)鍵技術(shù)成果及研發(fā)程序源代碼及開(kāi)發(fā)成果泄露的風(fēng)險(xiǎn)。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明實(shí)施例提供一種代碼保護(hù)方法及系統(tǒng)，實(shí)現(xiàn)了對(duì)代碼的保護(hù)，規(guī)避了代碼泄露的安全漏洞。

第一方面，本發(fā)明實(shí)施例提供一種代碼保護(hù)方法，包括：

接收用戶輸入的程序名稱，判斷所述程序名稱對(duì)應(yīng)的程序是否為受保護(hù)程序；

若是，則判斷所述用戶是否為受限制用戶；

若所述用戶為非受限制用戶，則允許所述用戶獲取所述程序名稱對(duì)應(yīng)的程序代碼。

可選的，所述判斷所述程序名稱對(duì)應(yīng)的程序是否為受保護(hù)程序，包括：

若預(yù)設(shè)目標(biāo)程序列表中不存在所述程序名稱，則所述程序名稱對(duì)應(yīng)的程序?yàn)槭鼙Ｗo(hù)程序。

可選的，在判斷所述程序名稱對(duì)應(yīng)的程序是否為受保護(hù)程序之后，所述方法還包括：

若所述程序名稱對(duì)應(yīng)的程序?yàn)榉鞘鼙Ｗo(hù)程序，則對(duì)所述程序中的代碼進(jìn)行關(guān)鍵詞過(guò)濾；

在所述程序中的代碼不存在關(guān)鍵詞時(shí)，允許所述用戶獲取所述程序名稱對(duì)應(yīng)的程序代碼。

可選的，所述判斷所述用戶是否為受限制用戶，包括：

將所述用戶的信息與預(yù)設(shè)用戶登記表中用戶的信息進(jìn)行比較；

若所述用戶登記表中存在所述用戶的信息，則所述用戶為受限制用戶。

可選的，所述用戶的信息包括：用戶的注冊(cè)信息、用戶注冊(cè)的期限信息和/或用戶輸入的驗(yàn)證碼信息。

第二方面，本發(fā)明還提供了一種代碼保護(hù)系統(tǒng)，包括：

第一判斷模塊，用于接收用戶輸入的程序名稱，判斷所述程序名稱對(duì)應(yīng)的程序是否為受保護(hù)程序；

第二判斷模塊，用于在所述程序名稱對(duì)應(yīng)的程序是受保護(hù)程序時(shí)，判斷所述用戶是否為受限制用戶；

權(quán)限模塊，用于在所述用戶為非受限制用戶時(shí)，允許所述用戶獲取所述程序名稱對(duì)應(yīng)的程序代碼。

可選的，所述第一判斷模塊，具體包括：

若預(yù)設(shè)目標(biāo)程序列表中不存在所述程序名稱，則所述程序名稱對(duì)應(yīng)的程序?yàn)槭鼙Ｗo(hù)程序。

可選的，所述系統(tǒng)還包括：

關(guān)鍵詞過(guò)濾模塊，用于在所述程序名稱對(duì)應(yīng)的程序?yàn)榉鞘鼙Ｗo(hù)程序時(shí)，對(duì)所述程序中的代碼進(jìn)行關(guān)鍵詞過(guò)濾；

所述權(quán)限模塊，還用于在所述程序中的代碼不存在關(guān)鍵詞時(shí)，允許所述用戶獲取所述程序名稱對(duì)應(yīng)的程序代碼。

可選的，所述第二判斷模塊，用于：

將所述用戶的信息與預(yù)設(shè)用戶登記表中用戶的信息進(jìn)行比較；

若所述用戶登記表中存在所述用戶的信息，則所述用戶為受限制用戶。

可選的，所述用戶的信息包括：用戶的注冊(cè)信息、用戶注冊(cè)的期限信息和/或用戶輸入的驗(yàn)證碼信息。

本發(fā)明實(shí)施例提供的代碼保護(hù)方法及系統(tǒng)，通過(guò)對(duì)程序是否受保護(hù)以及用戶是否為受限用戶的雙重判斷，實(shí)現(xiàn)了對(duì)開(kāi)放代碼的保護(hù)，規(guī)避了代碼泄露的安全漏洞，在節(jié)省成本的同時(shí)，達(dá)到了安全生產(chǎn)的目的。

附圖說(shuō)明

為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡(jiǎn)單地介紹，顯而易見(jiàn)地，下面描述中的附圖是本發(fā)明的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明一種實(shí)施例提供的一種代碼保護(hù)方法的流程圖；

圖2為本發(fā)明另一種實(shí)施例提供的一種代碼保護(hù)方法的流程示意圖；

圖3為本發(fā)明一種實(shí)施例提供的一種代碼保護(hù)系統(tǒng)的結(jié)構(gòu)示意圖。

具體實(shí)施方式

為使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚，下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例。基于本發(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒(méi)有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明實(shí)施例保護(hù)的范圍。

圖1為本發(fā)明一種實(shí)施例提供的一種代碼保護(hù)方法的流程示意圖，如圖1所示，該方法包括以下步驟：

101、接收用戶輸入的程序名稱，判斷所述程序名稱對(duì)應(yīng)的程序是否為受保護(hù)程序；

102、若是，則判斷所述用戶是否為受限制用戶；

103、若所述用戶為非受限制用戶，則允許所述用戶獲取所述程序名稱對(duì)應(yīng)的程序代碼。

上述方法通過(guò)對(duì)程序是否受保護(hù)以及用戶是否為受限用戶的雙重判斷，實(shí)現(xiàn)了對(duì)開(kāi)放代碼的保護(hù)，規(guī)避了代碼泄露的安全漏洞，在節(jié)省成本的同時(shí)，達(dá)到了安全生產(chǎn)的目的。

下面通過(guò)具體的實(shí)施例對(duì)上述方法進(jìn)行詳細(xì)說(shuō)明。

本實(shí)施例從受保護(hù)系統(tǒng)出發(fā)，通過(guò)遠(yuǎn)程功能調(diào)用(RFC)的方式，將安全驗(yàn)證信息存儲(chǔ)在另外的服務(wù)器上，從而實(shí)現(xiàn)受保護(hù)信息與密鑰信息進(jìn)行物理隔離，通過(guò)信息認(rèn)證實(shí)現(xiàn)信息安全的目的。

本實(shí)施例中通過(guò)安全信息接口對(duì)程序代碼進(jìn)行保護(hù)，安全信息接口涉及兩個(gè)系統(tǒng)，ECC(ERP Central Componet)系統(tǒng)和SRM(Supplier Relationship Management，供應(yīng)商關(guān)系管理)系統(tǒng)，受保護(hù)信息在ECC系統(tǒng)中，而安全驗(yàn)證信息存儲(chǔ)在另外一臺(tái)遠(yuǎn)程(RFC)服務(wù)器上。優(yōu)選的涉及三種程序：增強(qiáng)，RFC FM和程序。其中增強(qiáng)在ECC系統(tǒng)，屬于標(biāo)準(zhǔn)程序修改，用于調(diào)用RFC進(jìn)行權(quán)限驗(yàn)證；SRM系統(tǒng)里有RFC何程序，RFC FM負(fù)責(zé)權(quán)限驗(yàn)證，程序負(fù)責(zé)用戶和程序的注冊(cè)。

創(chuàng)建代碼安全保護(hù)程序登記表和代碼安全驗(yàn)證用戶登記表，其中代碼安全保護(hù)程序登記表存儲(chǔ)受保護(hù)程序名稱，代碼安全驗(yàn)證用戶登記表用來(lái)存儲(chǔ)需要屏蔽的用戶名。

如圖2所示，本發(fā)明實(shí)施例提供了一種代碼保護(hù)方法的流程示意圖，如圖2所示，該方法包括以下步驟：

201、接收用戶輸入的程序名稱，判斷所述程序名稱對(duì)應(yīng)的程序是否為受保護(hù)程序；

若預(yù)設(shè)目標(biāo)程序列表中不存在所述程序名稱，則所述程序名稱對(duì)應(yīng)的程序?yàn)槭鼙Ｗo(hù)程序。

可理解的是，該預(yù)設(shè)目標(biāo)程序列表可以理解為上述的代碼安全保護(hù)程序登記表。

202、若是，則執(zhí)行步驟203，否則，執(zhí)行步驟205；

203、判斷所述用戶是否為受限制用戶，若否，則執(zhí)行步驟204，否則，該進(jìn)程直接DUMP，結(jié)束技術(shù)校驗(yàn)。

具體的，上述步驟203判斷所述用戶是否為受限制用戶，具體包括：

將所述用戶的信息與預(yù)設(shè)用戶登記表中用戶的信息進(jìn)行比較；

若所述用戶登記表中存在所述用戶的信息，則所述用戶為受限制用戶。

可理解的是，本實(shí)施例中的所述用戶的信息包括：用戶的注冊(cè)信息、用戶注冊(cè)的期限信息和/或用戶輸入的驗(yàn)證碼信息。

另外，該預(yù)設(shè)用戶登記表可以理解為上述預(yù)先創(chuàng)建的代碼安全驗(yàn)證用戶登記表。

204、若所述用戶為非受限制用戶，則允許所述用戶獲取所述程序名稱對(duì)應(yīng)的程序代碼。

205、若所述程序名稱對(duì)應(yīng)的程序?yàn)榉鞘鼙Ｗo(hù)程序，則對(duì)所述程序中的代碼進(jìn)行關(guān)鍵詞過(guò)濾；

206、在所述程序中的代碼不存在關(guān)鍵詞時(shí)，允許所述用戶獲取所述程序名稱對(duì)應(yīng)的程序代碼。

上述實(shí)施例中從受保護(hù)系統(tǒng)出發(fā)，通過(guò)遠(yuǎn)程功能調(diào)用(RFC)的方式，將安全驗(yàn)證信息存儲(chǔ)在另外的服務(wù)器上，從而實(shí)現(xiàn)受保護(hù)信息與密鑰信息進(jìn)行物理隔離，通過(guò)信息認(rèn)證實(shí)現(xiàn)信息安全的目的。

具體上述方法中功能的主要實(shí)現(xiàn)方式是：設(shè)置一個(gè)安全服務(wù)器，以屏蔽用戶對(duì)ECC系統(tǒng)的操作。在ECC用戶打開(kāi)程序時(shí)，調(diào)用檢查程序完成權(quán)限檢查。檢查不通過(guò)則直接退出程序；通過(guò)驗(yàn)證后再遠(yuǎn)程調(diào)用SRM系統(tǒng)的權(quán)限驗(yàn)證接口，而在驗(yàn)證接口內(nèi)，會(huì)根據(jù)程序名和用戶名驗(yàn)證是否被符合保護(hù)的條件，如果符合，報(bào)錯(cuò)。否則還要檢查程序是否有限制語(yǔ)句，有則報(bào)錯(cuò)。

驗(yàn)證消息：

001權(quán)限檢查不通過(guò)-用戶&未注冊(cè)。

002權(quán)限檢查不通過(guò)-用戶&不在有效期。

003權(quán)限檢查不通過(guò)-用戶&驗(yàn)證碼不對(duì)。

004程序&代碼檢查不通過(guò)，有禁止關(guān)鍵字存在！

005程序&在目標(biāo)系統(tǒng)不存在

當(dāng)用戶登錄系統(tǒng)后，通過(guò)進(jìn)行修改、查看受保護(hù)程序時(shí)，本實(shí)施例的方法將對(duì)登錄分別進(jìn)行人員信息、程序名稱及其代碼中的敏感關(guān)鍵詞等時(shí)行認(rèn)證檢查，提高了代碼的安全性。

具體驗(yàn)證邏輯如下：首先對(duì)用戶輸入的程序名稱進(jìn)行檢查，確定該程序是否標(biāo)記為受保護(hù)：如果該程序?yàn)榉菢?biāo)記保護(hù)程序，則對(duì)該程序中的代碼進(jìn)行關(guān)鍵詞過(guò)濾，確定是否存在下載源代碼功能，如果存在關(guān)鍵詞，則該進(jìn)程直接DUMP,避免用戶對(duì)進(jìn)程進(jìn)行DEBUG，如果不存在，則技術(shù)校驗(yàn)結(jié)束，用戶可進(jìn)行后續(xù)操作；

如果該程序標(biāo)記為受保護(hù)，則檢查當(dāng)前登錄用戶是否標(biāo)記為受限制訪問(wèn)用戶，如果是受限制用戶，該進(jìn)程直接DUMP，結(jié)束技術(shù)校驗(yàn)；如果用戶不是受限制用戶，則用戶可進(jìn)行后續(xù)正常操作。

上述實(shí)施例在技術(shù)實(shí)現(xiàn)方面，開(kāi)拓性的通過(guò)常規(guī)開(kāi)發(fā)的技術(shù)方式，將用戶和程序分別分為受保護(hù)和受限制兩類，并結(jié)合系統(tǒng)的自身技術(shù)特性，以最小的開(kāi)發(fā)成本和管理成本規(guī)避了企業(yè)在使用SAP ERP系統(tǒng)過(guò)程中所面臨的安全漏洞，達(dá)到了安全生產(chǎn)的目的。

本發(fā)明實(shí)施例還提供一種代碼保護(hù)系統(tǒng)的結(jié)構(gòu)示意圖，如圖3所示，該系統(tǒng)包括：

第一判斷模塊31，用于接收用戶輸入的程序名稱，判斷所述程序名稱對(duì)應(yīng)的程序是否為受保護(hù)程序；

第二判斷模塊32，用于在所述程序名稱對(duì)應(yīng)的程序是受保護(hù)程序時(shí)，判斷所述用戶是否為受限制用戶；

權(quán)限模塊33，用于在所述用戶為非受限制用戶時(shí)，允許所述用戶獲取所述程序名稱對(duì)應(yīng)的程序代碼。

在本實(shí)施例的一個(gè)優(yōu)選的實(shí)施方式中，所述第一判斷模塊，具體包括：

若預(yù)設(shè)目標(biāo)程序列表中不存在所述程序名稱，則所述程序名稱對(duì)應(yīng)的程序?yàn)槭鼙Ｗo(hù)程序。

在本實(shí)施例的一個(gè)優(yōu)選的實(shí)施方式中，所述系統(tǒng)還包括：

關(guān)鍵詞過(guò)濾模塊，用于在所述程序名稱對(duì)應(yīng)的程序?yàn)榉鞘鼙Ｗo(hù)程序時(shí)，對(duì)所述程序中的代碼進(jìn)行關(guān)鍵詞過(guò)濾；

所述權(quán)限模塊，還用于在所述程序中的代碼不存在關(guān)鍵詞時(shí)，允許所述用戶獲取所述程序名稱對(duì)應(yīng)的程序代碼。

在本實(shí)施例的一個(gè)優(yōu)選的實(shí)施方式中，所述第二判斷模塊，用于：

將所述用戶的信息與預(yù)設(shè)用戶登記表中用戶的信息進(jìn)行比較；

若所述用戶登記表中存在所述用戶的信息，則所述用戶為受限制用戶。

在本實(shí)施例的一個(gè)優(yōu)選的實(shí)施方式中，所述用戶的信息包括：用戶的注冊(cè)信息、用戶注冊(cè)的期限信息和/或用戶輸入的驗(yàn)證碼信息。

以上所描述的裝置實(shí)施例僅僅是示意性的，其中所述作為分離部件說(shuō)明的單元可以是或者也可以不是物理上分開(kāi)的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個(gè)地方，或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上?？梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部模塊來(lái)實(shí)現(xiàn)本發(fā)明實(shí)施例方案的目的。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性的勞動(dòng)的情況下，即可以理解并實(shí)施。

通過(guò)以上的實(shí)施方式的描述，本領(lǐng)域的技術(shù)人員可以清楚地了解到各實(shí)施方式可借助軟件加必需的通用硬件平臺(tái)的方式來(lái)實(shí)現(xiàn)，當(dāng)然也可以通過(guò)硬件?；谶@樣的理解，上述技術(shù)方案本質(zhì)上或者說(shuō)對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái)，該計(jì)算機(jī)軟件產(chǎn)品可以存儲(chǔ)在計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中，如ROM/RAM、磁碟、光盤(pán)等，包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)，服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行各個(gè)實(shí)施例或者實(shí)施例的某些部分所述的方法。

最后應(yīng)說(shuō)明的是：以上實(shí)施例僅用以說(shuō)明本發(fā)明實(shí)施例的技術(shù)方案，而非對(duì)其限制；盡管參照前述實(shí)施例對(duì)本發(fā)明實(shí)施例進(jìn)行了詳細(xì)的說(shuō)明，本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解：其依然可以對(duì)前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改，或者對(duì)其中部分技術(shù)特征進(jìn)行等同替換；而這些修改或者替換，并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的精神和范圍。