《应用程序的安全处理方法与安全处理系统.pdf》由会员分享,可在线阅读,更多相关《应用程序的安全处理方法与安全处理系统.pdf(10页珍藏版)》请在专利查询网上搜索。
1、(10)申请公布号 CN 103810423 A (43)申请公布日 2014.05.21 CN 103810423 A (21)申请号 201210476527.2 (22)申请日 2012.11.21 101141162 2012.11.06 TW G06F 21/54(2013.01) G06F 21/57(2013.01) (71)申请人 财团法人资讯工业策进会 地址 中国台湾台北市和平东路二段 106 号 11F (72)发明人 江尚伦 陈富川 盛敏成 (74)专利代理机构 北京律诚同业知识产权代理 有限公司 11006 代理人 徐金国 (54) 发明名称 应用程序的安全处理方法与安。
2、全处理系统 (57) 摘要 本发明揭露一种应用程序的安全处理方法与 安全处理系统。应用程序的安全处理方法适用于 云端平台服务层, 此方法包含下列步骤 : 首先, 扫 描一应用程序中具有安全漏洞的程序码片段 ; 接 着, 当程序码片段未经安全处理时, 将一安全程序 码织入程序码片段, 以确保应用程序的安全性。 (30)优先权数据 (51)Int.Cl. 权利要求书 1 页 说明书 5 页 附图 3 页 (19)中华人民共和国国家知识产权局 (12)发明专利申请 权利要求书1页 说明书5页 附图3页 (10)申请公布号 CN 103810423 A CN 103810423 A 1/1 页 2 1。
3、. 一种应用程序的安全处理方法, 其特征在于, 适用于一云端平台服务层, 该安全处理 方法包含下列步骤 : (a) 扫描一应用程序中具有安全漏洞的程序码片段 ; 以及 (b) 当该程序码片段未经安全处理时, 将一安全程序码织入该程序码片段。 2. 根据权利要求 1 所述的应用程序的安全处理方法, 其特征在于, 还包含 : 判断该应用程序的程序码是否更新 ; 以及 每当该应用程序的程序码更新时, 执行步骤 (a) 。 3. 根据权利要求 2 所述的应用程序的安全处理方法, 其特征在于, 步骤 (a) 包含 : 动态分析该应用程序的程序码中是否具有安全漏洞的该程序码片段。 4. 根据权利要求 2 。
4、所述的应用程序的安全处理方法, 其特征在于, 步骤 (a) 包含 : 静态分析该应用程序的程序码中是否具有安全漏洞的该程序码片段。 5. 根据权利要求 1 所述的应用程序的安全处理方法, 其特征在于, 步骤 (b) 包含 : 基于面相导向程序技术, 将该安全程序码织入该程序码片段。 6. 一种应用程序的安全处理系统, 其特征在于, 适用于一云端平台服务层, 该安全处理 系统包含 : 一程序分析单元, 用以扫描一应用程序中具有安全漏洞的程序码片段 ; 以及 一程序织入单元, 用以当该程序码片段未经安全处理时, 将一安全程序码织入该程序 码片段。 7. 根据权利要求 6 所述的应用程序的安全处理系。
5、统, 其特征在于, 每当该应用程序的 程序码更新时, 该程序分析单元就会去扫描该应用程序中是否具有安全漏洞的该程序码片 段。 8. 根据权利要求 7 所述的应用程序的安全处理系统, 其特征在于, 该程序分析单元是 动态分析该应用程序的程序码中是否具有安全漏洞的该程序码片段。 9. 根据权利要求 7 所述的应用程序的安全处理系统, 其特征在于, 该程序分析单元是 静态分析该应用程序的程序码中是否具有安全漏洞的该程序码片段。 10. 根据权利要求 6 所述的应用程序的安全处理系统, 其特征在于, 该程序织入单元是 基于面相导向程序技术, 将该安全程序码织入该程序码片段。 权 利 要 求 书 CN 。
6、103810423 A 2 1/5 页 3 应用程序的安全处理方法与安全处理系统 技术领域 0001 本发明是有关于一种网络安全技术, 且特别是有关于一种应用程序的安全处理方 法与安全处理系统。 背景技术 0002 云端运算 (Cloud Computing) , 是一种基于网际网络的运算方式, 通过这种方式, 共享的软硬件资源和信息可以按需提供给计算机和其他装置。 0003 云端运算是继 1980 年代大型计算机到客户端服务器的大转变之后的又一种巨 变。使用者不再需要了解 “云端” 中基础设施的细节, 不必具有相应的专业知识, 也无需直 接进行控制。云端运算描述了一种基于网际网络的新的 IT。
7、 服务增加、 使用和交付模式, 通 常涉及通过网际网络来提供动态易扩充功能而且经常是虚拟化的资源。 典型的云端运算提 供商往往提供通用的网络业务应用, 可以通过浏览器等软件或者其他 Web 服务来存取, 而 软件和数据都储存在服务器上。 0004 在网络安全方面, 已知技术采用了监测方法, 监视了云端系统使用者端的网络, 过 滤并处理有安全疑虑的模式 (pattern) 。然而, 已知技术并无实际解决客户端安全性漏洞, 采用过滤的方法监控使用者端的网络, 会大幅增加网络延迟时间。 0005 由此可见, 上述现有的方式, 显然仍存在不便与缺陷, 而有待加以进一步改进。为 了解决上述问题, 相关领。
8、域莫不费尽心思来谋求解决之道, 但长久以来一直未见适用的方 式被发展完成。因此, 如何能确保应用程序的安全性, 实属当前重要研发课题之一, 亦成为 当前相关领域亟需改进的目标。 发明内容 0006 本发明的目的在于提供一种应用程序的安全处理方法与安全处理系统。 0007 因此, 本发明的一方面是在提供云端平台服务层 (PAAS layer) 自我信息安全检测 及防御机制, 以确保应用程序的安全性。 0008 依据本发明一实施例, 一种应用程序的安全处理方法适用于一云端平台服务层, 该安全处理方法包含下列步骤 :(a) 扫描一应用程序中具有安全漏洞的程序码片段 ;(b) 当 程序码片段未经安全处。
9、理时, 将一安全程序码织入程序码片段。 0009 上述的安全处理方法亦可包含 : 判断应用程序的程序码是否更新 ; 每当应用程序 的程序码更新时, 执行步骤 (a) 。 0010 上述的安全处理方法中, 步骤 (a) 可包含 : 动态分析应用程序的程序码中是否具 有安全漏洞的程序码片段。 0011 或者或再者, 上述的安全处理方法中, 步骤 (a) 可包含 : 静态分析应用程序的程序 码中是否具有安全漏洞的程序码片段。 0012 上述的安全处理方法中, 步骤 (b) 可包含 : 基于面相导向程序技术, 将安全程序码 织入程序码片段。 说 明 书 CN 103810423 A 3 2/5 页 4。
10、 0013 依据本发明另一实施例, 一种应用程序的安全处理系统适用于云端平台服务层, 该安全处理系统包含程序分析单元与程序织入单元。 程序分析单元用以扫描一应用程序中 具有安全漏洞的程序码片段 ; 当程序码片段未经安全处理时, 程序织入单元用以将一安全 程序码织入程序码片段。 0014 上述的安全处理系统中, 每当应用程序的程序码更新时, 程序分析单元就会去扫 描应用程序中是否具有安全漏洞的程序码片段。 0015 上述的安全处理系统中, 程序分析单元是动态分析应用程序的程序码中是否具有 安全漏洞的程序码片段。 0016 或者或再者, 上述的安全处理系统中, 程序分析单元是静态分析应用程序的程序。
11、 码中是否具有安全漏洞的程序码片段。 0017 程序织入单元是基于面相导向程序技术, 将安全程序码织入程序码片段。 0018 综上所述, 本发明的技术方案与现有技术相比具有明显的优点和有益效果。通过 上述技术方案, 可达到相当的技术进步, 并具有产业上的广泛利用价值, 其至少具有下列优 点 : 0019 1. 实际解决了应用程序安全漏洞, 借此在开发人员做程序码控管时, 得以渐进式 的修正应用程序的问题 ; 以及 0020 2. 非采用过滤网络的方式确保应用程序安全, 改采以织入安全程序码的方式, 实 际保护应用程序安全, 大幅增加网络使用效率。 0021 以下将以实施方式对上述的说明作详细的。
12、描述, 并对本发明的技术方案提供更进 一步的解释。 附图说明 0022 为让本发明的上述和其他目的、 特征、 优点与实施例能更明显易懂, 所附附图的说 明如下 : 0023 图 1 是依照本发明一实施例的一种安全处理系统的示意图 ; 0024 图 2 是依照本发明一实施例的一种安全处理系统的方块图 ; 以及 0025 图 3 是依照本发明一实施例的一种安全处理方法的流程图。 0026 【主要元件符号说明】 0027 100 : 安全处理系统 0028 110 : 安全处理单元 0029 111 : 程序分析单元 0030 112 : 程序织入单元 0031 113 : 安全模式处理单元 003。
13、2 120 : 应用程序 0033 130 : 云端平台服务层 0034 210 : 程序版本控管单元 0035 220 : 数据库 0036 300 : 安全处理方法 0037 310 : 步骤 说 明 书 CN 103810423 A 4 3/5 页 5 0038 320 : 步骤 0039 330 : 步骤 0040 340 : 步骤 0041 350 : 步骤 具体实施方式 0042 为了使本发明的叙述更加详尽与完备, 可参照所附的附图及以下所述各种实施 例, 附图中相同的号码代表相同或相似的元件。 另一方面, 众所周知的元件与步骤并未描述 于实施例中, 以避免对本发明造成不必要的限制。
14、。 0043 于实施方式与申请专利范围中, 涉及 “耦接 (coupled with)” 的描述, 其可泛指一 元件通过其他元件而间接连接至另一元件, 或是一元件无须通过其他元件而直接连接至另 一元件。 0044 于实施方式与申请专利范围中, 除非内文中对于冠词有所特别限定, 否则 “一” 与 “该” 可泛指单一个或多个。 0045 本发明的技术方案是一种应用程序的安全处理系统, 其可适用于一云端平台服务 层, 或是广泛地运用在相关的技术环节。以下将搭配图 1 图 2 来说明此安全处理系统的 具体实施方式。 0046 图 1 是依照本发明一实施例的一种安全处理系统 100 的示意图。如图 1 。
15、所示, 安 全处理系统100适用于云端平台服务层130。 在使用上, 云端平台服务层130所提供的服务 方式包括 : 应用程序 120 版本控管、 提供开发测试环境、 提供弹性及高可用性的产品环境。 0047 安全处理系统 100 包括安全处理单元 110。在每一次的应用程序 120 的程序码更 新时, 安全处理单元 110 能扫描出程序码中的安全漏洞, 提供开发人员于开发测试环境得 以修正程序码中有问题的程序码片段。当系统上线时, 安全处理单元 110 是运用软件编译 的方式将未经安全处理的程序码片段, 径行安全程序码织入 (Code Weaving) , 确保应用程 序的安全性。 0048。
16、 为了对上述的安全处理系统 100 作更进一步的阐述, 请参照图 2, 图 2 是依照本发 明一实施例的一种安全处理系统 100 的方块图。如图 2 所示, 安全处理单元 110 可细分成 程序分析单元 111、 程序织入单元 112 与安全模式处理单元 113。在架构上, 程序分析单元 111 与程序织入单元 112 皆耦接至安全模式处理单元 113。 0049 在使用上, 程序分析单元 111 用以扫描应用程序中具有安全漏洞的程序码片段。 若应用程序确实具有安全漏洞的程序码片段, 则安全模式处理单元 113 可发送通知或解决 方案给开发人员 (例如 : 以电子邮件或其他通信方式发送) , 。
17、以提供开发人员于开发测试环 境得以修正程序码中有问题的程序片段。然而, 若开发人员不处理或暂时无法修正该程序 码片段时, 亦即当该程序码片段仍未经安全处理时, 程序织入单元 112 用以将一安全程序 码织入程序码片段, 以确保应用程序的安全性。由于安全处理系统 100 非采用过滤网络的 方式确保应用程序安全, 改采以织入安全程序码的方式, 实际保护应用程序安全, 大幅增加 网络使用效率。 0050 另一方面, 安全模式处理单元 113 耦接至程序版本控管单元 210, 程序版本控管单 元 210 耦接至数据库 220。在使用上, 数据库 220 用于存放目前已知的资安问题程序片段 说 明 书 。
18、CN 103810423 A 5 4/5 页 6 (如 : 具有安全漏洞的程序码片段) , 让安全处理单元 110 能够有查询的来源, 以日常的方式 来说, 可算是一种字典。程序版本控管单元 210 是一种安全处理单元 110 与数据库 220 的 沟通桥梁, 其功用是让安全处理单元 110 可以知道, 该应用程序目前已经依照数据库, 进行 织入的动作到数据库的某个版本 ( 因为数据库会不断更新 ), 只需就未更新的内容接续进 行即可。安全处理系统 100 可持续检测安全漏洞, 每当应用程序的程序码更新时, 程序分析 单元 111 就会去扫描应用程序中是否具有安全漏洞的程序码片段。借此, 在开。
19、发人员做程 序码控管时, 渐进式的修正应用程序的问题。 0051 为了确实找出应用程序本身的弱点, 本发明采用了程序码分析技术 (又分为动态、 及静态分析技术) 。于一实施例中, 程序分析单元 111 是动态分析应用程序的程序码中是否 具有安全漏洞的程序码片段。简言之,“动态分析” 是指在分析应用程序的时候, 会实际地经 由程序的执行来辅助了解该应用程序, 举例来说, 可输入测试数据给该程序, 进而分析程序 执行的结果。 0052 再者, 不论是利用虚拟环境 (virtual environment) 或是真实执行环境 (runtime environment) 来执行应用程序, 皆属于动态分。
20、析的方法。 举例来说, 动态分析法可用于分析 网页上的直译式应用程序, 例如 Java 应用程序, 但不以此为限。 0053 相较于上述动态分析的方式, 于另一实施例中, 程序分析单元 111 是静态分析应 用程序的程序码中是否具有安全漏洞的程序码片段。简言之,“静态分析” 是在不执行程序 的情况下, 进行源始码分析 (Source code analysis) 。 实务上, 熟悉此项技艺者可以视当时 需要弹性选择动态 / 静态分析方式。 0054 除此之外, 本系统更运用了面相导向程序技术 (Aspect-Oriented Programming) , 强化应用程序安全。于一实施例中, 程序。
21、织入单元 112 是基于面相导向程序技术将安全程 序码织入未经安全处理的程序码片段, 以建立防御机制, 杜绝不断变化的骇客攻击手法。 0055 如上所述的程序分析单元 111、 程序织入单元 112 与安全模式处理单元 113、 程序 版本控管单元 210 等, 其具体实施方式可为软件、 硬件与 / 或固件。举例来说, 若以设计弹 性为首要考量, 则所述单元基本上可选用软件为主 ; 若以执行速度及精确性为首要考量, 则 所述单元基本上可选用硬件与 / 或固件为主 ; 或者, 所述单元可同时采用软件、 硬件及固件 协同作业。 应了解到, 以上所举的这些例子并没有所谓孰优孰劣之分, 亦并非用以限制。
22、本发 明, 熟悉此项技艺者当视当时需要, 弹性选择所述单元的具体实施方式。 0056 如上所述的数据库 220 等, 其具体实施方式, 可分别储存于不同的储存装置或是 储存于同一储存装置, 例如计算机硬盘、 服务器、 外接式硬盘、 随身盘、 或其他计算机可读取 的记录媒体等。 0057 图 3 是依照本发明一实施例的一种安全处理方法 300 的流程图。安全处理方法 300 适用于上述的云端平台服务层, 安全处理方法 300 包含步骤 310 350(应了解到, 在 本实施例中所提及的步骤, 除特别叙明其顺序者外, 均可依实际需要调整其前后顺序, 甚至 可同时或部分同时执行) 。至于实施该些步骤。
23、的系统装置, 由于前述的实施例已具体揭露, 因此不再重复赘述。 0058 在开发阶段, 于步骤 310, 可扫描一应用程序中具有安全漏洞的程序码片段。于步 骤 320, 若应用程序确实具有安全漏洞的程序码片段, 则可发送通知或解决方案给开发人员 (例如 : 以电子邮件或其他通信方式发送) 。于步骤 330, 提供开发人员于开发测试环境得以 说 明 书 CN 103810423 A 6 5/5 页 7 修正程序码中有问题的程序片段。 0059 然而, 若开发人员不处理或暂时无法修正该程序码片段时, 亦即当该程序码片段 仍未经安全处理时, 在产品阶段, 于步骤 340, 将一安全程序码织入未经安全。
24、处理的程序码 片段, 以确保应用程序的安全性。接着, 于步骤 350, 将已织入安全程序码的应用程序上线。 由于安全处理方法 300 非采用过滤网络的方式确保应用程序安全, 改采以织入安全程序码 的方式, 实际保护应用程序安全, 大幅增加网络使用效率。 0060 安全处理方法 300 可持续检测安全漏洞, 具体而言, 于步骤 310 中, 可判断应用程 序的程序码是否更新, 每当应用程序的程序码更新时, 才去扫描应用程序中具有安全漏洞 的程序码片段。借此, 在开发人员做程序码控管时, 渐进式的修正应用程序的问题。 0061 为了确实找出应用程序本身的弱点, 本发明采用了程序码分析技术 (又分为。
25、动态、 及静态分析技术) 。 于一实施例中, 于步骤310, 动态分析应用程序的程序码中是否具有安全 漏洞的程序码片段。或者或再者, 于步骤 310, 静态分析应用程序的程序码中是否具有安全 漏洞的程序码片段, 实务上, 熟悉此项技艺者可以视当时需要弹性选择动态 / 静态分析方 式。 0062 除此之外, 本方法 300 更运用了面相导向程序技术, 强化应用程序安全。于一实施 例中, 于步骤 340, 基于面相导向程序技术将安全程序码织入未经安全处理的程序码片段, 以建立防御机制, 杜绝不断变化的骇客攻击手法。 0063 如上所述的安全处理方法 300 可经由一计算机来实作, 例如前述的安全处。
26、理系统 100 等, 亦可将部份功能实作为一计算机程序, 并储存于一计算机可读取的记录媒体中, 而 使计算机读取此记录媒体后令一计算机系统执行安全处理方法 300。 0064 虽然本发明已以实施方式揭露如上, 然其并非用以限定本发明, 任何熟悉此技艺 者, 在不脱离本发明的精神和范围内, 当可作各种的更动与润饰, 因此本发明的保护范围当 视所附的权利要求书所界定的范围为准。 说 明 书 CN 103810423 A 7 1/3 页 8 图 1 说 明 书 附 图 CN 103810423 A 8 2/3 页 9 图 2 说 明 书 附 图 CN 103810423 A 9 3/3 页 10 图 3 说 明 书 附 图 CN 103810423 A 10 。