深入淺出：嵌入式開發(fā)源代碼加密解決方案

1、軟件研發(fā)或嵌入式研發(fā)行業(yè)，其核心部分往往就是源代碼，如何做好源代碼的管理至關(guān)重要。根據(jù)軟件研發(fā)或嵌入式研發(fā)行業(yè)的從業(yè)者現(xiàn)狀，總結(jié)出研發(fā)從業(yè)人員有以下特點：1學(xué)歷較高，都非常聰明，非常懂電腦。2每個研發(fā)人員都有能力寫程序，甚至可以通過寫程序，進行各種數(shù)據(jù)變形。例如：文件讀寫(輸出日志)、socket通信、內(nèi)存映射，常駐服務(wù)等，對于Web開發(fā)者，經(jīng)由IIS或TomCat等web服務(wù)器的代碼變形更是輕而易舉。3研發(fā)人員的個性較強，比較難管理而我們軟件研發(fā)或嵌入式行業(yè)特點要求必須對研發(fā)成果源代碼進行安全管理。但是現(xiàn)實的工作必須環(huán)境特點為:1、大家必須有局域網(wǎng)，才能協(xié)同工作；2、需要能訪問互聯(lián)網(wǎng)，方便查

2、找資料；3、必須通過U口串口網(wǎng)口等端口連接外部設(shè)備進行調(diào)試。對于一些企業(yè)有的采用物理隔離，有的上虛擬化，有的上文檔級加密軟件，監(jiān)控軟件基本上都是形同虛設(shè)。例如常見的物理隔離，就是網(wǎng)絡(luò)和外網(wǎng)斷開，然后禁止使用U盤（軟件或機箱），看上起很美好，但是對于懂電腦的研發(fā)人員來說，影響了工作效率，還是無法達到安全。對于軟件禁止U盤的，搞個U盤PE，然后直接從U盤啟動繞開操作系統(tǒng)的管控做任何事。插拔墻上的網(wǎng)線頭直連自己的筆記本電腦進行數(shù)據(jù)傳輸。對于不能封U口/串口的嵌入式調(diào)試環(huán)境更簡單，直接可以把數(shù)據(jù)通過U口串口寫出來。另外，對于虛擬化，所有數(shù)在服務(wù)器端，看上去很完美，但是只要外網(wǎng)可用，外設(shè)可用，基本上沒什

3、么安全可言。 作為一個軟件嵌入式研發(fā)公司的信息安全管理者，應(yīng)該如何呢？ 我們先了解一下，嵌入式開發(fā)的特性：  （1）連接外設(shè)，聯(lián)網(wǎng)調(diào)試      手機品種繁多，不可能做到針對每種設(shè)備類型、品牌的兼容；      網(wǎng)口調(diào)試時，調(diào)試地址不斷變更，無法鎖定具體調(diào)試位置，數(shù)據(jù)很容易泄密；      數(shù)據(jù)不能以密文形式燒錄至設(shè)備，否則設(shè)備無法識別，但這樣往往最容易造成數(shù)據(jù)外泄。 

4、; （2）開發(fā)者水平較高，會各種破解      一個代碼開發(fā)人員，可以輕松寫一個把代碼輸出到日志或control的程序，類似這種研發(fā)場景還有研發(fā)設(shè)計人員自編socket，內(nèi)存，管道，com，web解析器發(fā)布中轉(zhuǎn)，內(nèi)存映射，常駐服務(wù)等至少30多種。  （3）數(shù)據(jù)被各種變形，滲透外發(fā)      改變文件名稱、后綴，壓縮起來，跟隨項目一起打包，很容易流失。    目前，市場上比較流行幾種防泄密手段，均是從外表看來

5、可以滿足需求，但終究無法做到真正的防泄密。  1、內(nèi)外網(wǎng)隔離    將涉密數(shù)據(jù)存儲在公司內(nèi)網(wǎng)，內(nèi)網(wǎng)不允許連接互聯(lián)網(wǎng)，看似數(shù)據(jù)只能保存在公司里，但任然有很多其他泄密風(fēng)險，比如外設(shè)接口拷貝數(shù)據(jù)；重裝OS時，U盤PE繞開操作系統(tǒng)的管控從WinPE中拷貝數(shù)據(jù)；外帶電腦直連內(nèi)網(wǎng)中任意一臺PC機，數(shù)據(jù)對拷。    也有人說直接將外設(shè)接口全部封掉，用一個鐵箱子將電腦機箱鎖起來。這樣雖然是保障了機箱數(shù)據(jù)安全，但是不便連接需要外設(shè)調(diào)試的設(shè)備，而且對于開發(fā)人員來說，互聯(lián)網(wǎng)是不可缺少的查資料資源，如果另外配備查資料的電腦，再加

6、上之前的鐵箱子成本，也是不小的開銷。  2、虛擬化    虛擬化在最近幾年越來越熱，優(yōu)點也越來越被人們發(fā)覺，比如減少服務(wù)器數(shù)量、簡化服務(wù)器部署、提高服務(wù)器資源利用率等等。但是將虛擬化與數(shù)據(jù)安全（防泄密）扯到一起，未免有些牽強。牽強在哪里，簡單總結(jié)一下，就是通過互聯(lián)網(wǎng)泄密和外設(shè)接口數(shù)據(jù)傳輸。而且，虛擬化的軟硬成本，是一套加密軟件的10倍左右。 虛擬化用于數(shù)據(jù)防泄密  3、文檔透明加密    早在10年前，人們開始關(guān)注數(shù)據(jù)安全這一塊時，文檔加密的誕生幫助大多數(shù)的生產(chǎn)商，發(fā)展至今很多人對加密

7、的見解就是：一個文件在公司內(nèi)網(wǎng)打開正常，拿到外部打開亂碼，效果明顯直觀。我們也承認(rèn)此項技術(shù)在業(yè)界發(fā)展至今，技術(shù)之成熟與優(yōu)秀之處。但如今時代已然不同，更多的需求傾向于嵌入式開發(fā)、源代碼型數(shù)據(jù)加密，而這就難倒文檔級的透明加密，這種抓進程、綁后綴的加密方法終究止步于源代碼開發(fā)防泄密需求。在眾多開發(fā)人員面前，轟然倒塌，潰不成軍。我們來簡單列舉一些文檔透明加密在源代碼防泄密需求面前的一些不足之處。    1、U口數(shù)據(jù)線連手機：數(shù)據(jù)通過U口連接手機泄密。    2、U口數(shù)據(jù)線連設(shè)備：數(shù)據(jù)通過U口連接設(shè)備泄密。   

8、3、串口數(shù)據(jù)線連設(shè)備：數(shù)據(jù)通過串口連接設(shè)備泄密。    4、網(wǎng)口數(shù)據(jù)線連設(shè)備：數(shù)據(jù)通過網(wǎng)口連接設(shè)備泄密。    5、控制臺程輸出內(nèi)容保護：研發(fā)人員編寫控制臺程序，把涉密內(nèi)容輸出到控制臺上然后另存。    6、日志內(nèi)容保護：研發(fā)人員編寫程序把代碼等涉密內(nèi)容保存到日志文件中然后把日志文件拷貝走。             7、內(nèi)存保護：研發(fā)人員編寫程序把代碼等涉密內(nèi)容保存制定內(nèi)存中，然后再通過另一個程序

9、等把內(nèi)存內(nèi)容讀走。    8、web解析器保護：研發(fā)人員編寫程序把代碼等涉密內(nèi)容文件修改成Html文本樣式，然后通過IIS或tomcat等web解析器發(fā)布成網(wǎng)頁，然后用瀏覽器另存成明文拷貝走。    9、管道保護：研發(fā)人員編寫管道程序把代碼等涉密內(nèi)容傳走。    10、網(wǎng)絡(luò)通信保護：研發(fā)人員編寫socket通信程序把代碼等涉密內(nèi)容傳走。    11、消息保護：研發(fā)人員編寫發(fā)消息程序把涉密內(nèi)容發(fā)走。    12、屏幕截圖保護：由于截圖插件等很多，只

10、針對QQ進程是遠遠不夠的。    13、開發(fā)進程追蹤困難：開發(fā)軟件在調(diào)試過程中，有些插件的進程在后臺一閃而逝，無法捕捉添加到綁定進程，后期導(dǎo)致整個調(diào)試過程出錯。    14、壞文件：文件透明加密發(fā)展至今無法逾越的溝渠，原理是加密軟件在給源文件寫密鑰時突然斷電或者程序崩潰，導(dǎo)致密鑰只完成一半。最后計算機無法識別這個文件。   從加密的整個行業(yè)來看，最早的是APIhook應(yīng)用層，發(fā)展至文件過濾驅(qū)動透明加密，一直到現(xiàn)如今智能手機、平板電腦普及率原來越廣，APP開發(fā)者越來越多，嵌入式開發(fā)也越來越多，文件過濾驅(qū)動透明加密已漸

11、漸不能滿足開發(fā)商們的需求。開發(fā)商們需要一款真正能經(jīng)得起技術(shù)員“推敲”的防泄密軟件。而隨著這種需求的越來越強烈，沙盒加密也開始在大家的視線里出現(xiàn)。    為什么說沙盒加密能滿足源代碼級別、嵌入式開發(fā)的防泄密需求？2012年，某全球知名通信設(shè)備生產(chǎn)銷售商，深圳總部的研發(fā)人員向沙盒加密提出這類需求。在當(dāng)初整個加密市場，這一塊還是一片空白。沙盒加密商安全專家組討論研究，給出適合的解決辦法。在后幾年實施使用中愈加完善，發(fā)展至今可以完全解決這一類難題。什么是沙盒？沙盒生效時，接管整個操作環(huán)境，文件本身在沙盒環(huán)境內(nèi)如何處理、修改、編譯、調(diào)試都與沙盒無關(guān)，沙盒不會去過問這些行為。

12、然而當(dāng)這些文件想要從系統(tǒng)里拿出時，受到沙盒嚴(yán)格管控，無論是網(wǎng)絡(luò)出口，還是硬件接口出入，管理員不授權(quán)，所有文件均無法帶走。我們把沙盒當(dāng)做一間房屋，把數(shù)據(jù)當(dāng)做進出這個房屋的人。人在房屋里干了什么，變成劉德華還是周杰倫，變成男的或者女的，變成動物還是植物，房屋都不會去管他，房屋真正控制的是進出的“門”！沙盒管控的就是這個“門”！沙盒加密的優(yōu)勢在于不改變文件、不改變動作、不影響開發(fā)調(diào)試結(jié)果，不用刻意定義需要加密的文件后綴，不用擔(dān)心開發(fā)者繞過沙盒造成泄密；安全隔離上網(wǎng)，加密與非加密劃分兩個區(qū)域，互不干涉；沙盒在對服務(wù)器保護的同時，也不會對服務(wù)器文件做加密處理，方便系統(tǒng)管理員存儲、備份、運維；沙盒也可以與

13、ERP、OA、PDM等服務(wù)器，與SVN、VSS等版本管理工具無縫集成。沙盒加密用于嵌入式開發(fā)有以下幾大特點：（1）沙盒客戶端、服務(wù)器的數(shù)據(jù)在沙盒內(nèi)受管控，未經(jīng)授權(quán)無法被帶走；（2）調(diào)試接口受管控，未經(jīng)授權(quán)，任何調(diào)試接口都被拒絕；（3）打開對外調(diào)試接口，并對接口進行約束：只能訪問固定的IP、只能從固定的端口調(diào)試、只能訪問固定的Mac地址；（4）指定需要調(diào)試的沙盒客戶端節(jié)點，對其只打開U口調(diào)試權(quán)限、只打開網(wǎng)口調(diào)試權(quán)限、只打開串口調(diào)試權(quán)限；（5）指定需要調(diào)試的沙盒客戶端節(jié)點，所有從這臺客戶端節(jié)點接口出去調(diào)試的數(shù)據(jù)，均由沙盒備份至服務(wù)器，方便后期審計與追溯；（6）對放開調(diào)試接口的客戶端節(jié)點進行攝像頭監(jiān)

14、控，以此作為輔助，約束調(diào)試人員，保障數(shù)據(jù)安全。 如下圖所示：                                               沙盒加密用于嵌入式開發(fā)示意圖   總結(jié)：術(shù)業(yè)有專攻。在圖紙和office辦公文檔加密需求為前提下，沙盒過于龐大笨重，有點小題大做的感覺，用戶的體驗度也比沙盒加密體驗度