本發(fā)明屬于軟件分發(fā)安全防護(hù)，具體涉及一種高安全軟件分發(fā)系統(tǒng)。

背景技術(shù)：

1、在信息化時(shí)代，軟件已經(jīng)成為記錄信息的主要方式，這種記錄信息方式已經(jīng)廣泛應(yīng)用到金融、軍事和文化等領(lǐng)域。如果這些領(lǐng)域使用的軟件暗藏各種漏洞或者后門，輕則導(dǎo)致信息的丟失，重要業(yè)務(wù)中斷，重則導(dǎo)致將重要信息泄露給非法分子，使得單位隨時(shí)籠罩在巨大的威脅和風(fēng)險(xiǎn)之中。軟件的不安全已經(jīng)成為導(dǎo)致單位損失的主要根源。軟件的安全防護(hù)需要多環(huán)節(jié)協(xié)同配合，其中軟件分發(fā)安全就是重要的一個(gè)環(huán)節(jié)。

2、傳統(tǒng)的軟件分發(fā)主要有兩種方式：一是搭建軟件倉(cāng)庫(kù)，用戶通過互聯(lián)網(wǎng)或者單位組建的局域網(wǎng)下載軟件到本地，進(jìn)行安裝；二是用戶自己負(fù)責(zé)軟件搜集與手動(dòng)安裝。

3、當(dāng)前信息與文件交換的基礎(chǔ)平臺(tái)基本都是網(wǎng)絡(luò)，因此通過搭建軟件倉(cāng)庫(kù)的方式獲取與分發(fā)軟件也就比較常見，尤其是對(duì)一些比較大的單位，辦公地點(diǎn)比較分散，需要的軟件種類繁多，軟件升級(jí)頻繁，終端設(shè)備較多。這種軟件分發(fā)方式一般是在軟件倉(cāng)庫(kù)記錄軟件md5值，用戶下載軟件后計(jì)算軟件md5值，將該md5值與軟件倉(cāng)庫(kù)內(nèi)記錄的md5值進(jìn)行對(duì)比，相同則認(rèn)為下載后的軟件為軟件倉(cāng)庫(kù)內(nèi)軟件，即認(rèn)為是未被篡改的軟件。

4、用戶自己負(fù)責(zé)收集軟件的方式，需要用戶從軟件倉(cāng)庫(kù)或者互聯(lián)網(wǎng)上搜集需要的軟件，下載到終端設(shè)備進(jìn)行安裝。這種方式一般出現(xiàn)在對(duì)安全性、保密性要求不是特別高的行業(yè)或者單位。

5、近年來，隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，針對(duì)軟件的破解、逆向分析等技術(shù)層出不窮。一些惡意破解、盜版軟件產(chǎn)品的人員，可以在軟件內(nèi)安裝病毒或木馬，在軟件安裝過程中篡改軟件，欺騙用戶，達(dá)到非法目的。而對(duì)于有重大價(jià)值的軟件而言所面臨的通常是人為的具有組織性、計(jì)劃性、針對(duì)性的和持續(xù)性的高強(qiáng)度攻擊。

6、通過搭建軟件倉(cāng)庫(kù)分發(fā)軟件的方式，使用md5值的比對(duì)策略具備一定的防護(hù)能力，但是該防護(hù)能力有限，實(shí)際上軟件的md5值是容易被偽造的，一些非法人員通過截取網(wǎng)絡(luò)包偽造一個(gè)軟件或者非法搭建軟件倉(cāng)庫(kù)誘導(dǎo)用戶下載。這種軟件分發(fā)的方式越來越不適合對(duì)安全性要求較高的單位，軟件的分發(fā)安全也開始受到這些單位的關(guān)注和重視。

7、用戶自己負(fù)責(zé)收集軟件的方式不具備任何的防護(hù)能力，一臺(tái)終端設(shè)備少則需要安裝幾十款軟件，多則安裝上百款軟件，整個(gè)單位又是由成千上萬(wàn)臺(tái)終端設(shè)備組成，每個(gè)用戶自己搜集軟件，造成的結(jié)果就是軟件來源無法管控，軟件版本管控復(fù)雜，維護(hù)人員簡(jiǎn)單重復(fù)勞動(dòng)，工作效率低下。甚至?xí)霈F(xiàn)侵犯著作權(quán)等問題，導(dǎo)致經(jīng)濟(jì)和法律后果，為單位發(fā)展帶來不可預(yù)知的風(fēng)險(xiǎn)。

8、以上兩種方式都會(huì)在終端設(shè)備部署來源不受控的軟件，這些軟件不可避免的暗藏各種缺陷和漏洞。計(jì)算機(jī)網(wǎng)絡(luò)尤其是互聯(lián)網(wǎng)的開放性與共享性使其成為滋生各種威脅和攻擊的溫床。目前沒有一項(xiàng)專利針對(duì)以上遇到的問題提出一種完整的高安全軟件分發(fā)系統(tǒng)。

技術(shù)實(shí)現(xiàn)思路

1、(一)要解決的技術(shù)問題

2、本發(fā)明要解決的技術(shù)問題是如何提供一種高安全軟件分發(fā)系統(tǒng)，以解決現(xiàn)有技術(shù)會(huì)在終端設(shè)備部署來源不受控的軟件，這些軟件不可避免的暗藏各種缺陷和漏洞的問題。

3、(二)技術(shù)方案

4、為了解決上述技術(shù)問題，本發(fā)明提出一種高安全軟件分發(fā)系統(tǒng)，該系統(tǒng)在總部與各分部均部署軟件，具體包括：

5、在總部服務(wù)器部署總部軟件倉(cāng)庫(kù)服務(wù)，總部軟件倉(cāng)庫(kù)服務(wù)用于保證軟件的源頭安全與傳輸安全，即所有終端設(shè)備安裝的軟件都是由總部計(jì)算唯一的哈希值，并且由指定機(jī)器簽名，總部軟件倉(cāng)庫(kù)下發(fā)的軟件進(jìn)行加密處理；

6、在分部服務(wù)器部署分部軟件倉(cāng)庫(kù)服務(wù)與終端管控軟件服務(wù)端，分部軟件倉(cāng)庫(kù)服務(wù)接收總部軟件倉(cāng)庫(kù)服務(wù)的軟件下發(fā)與刪除操作，并且驗(yàn)證收到軟件的簽名是否合法，比對(duì)自身計(jì)算的軟件的哈希值是否與下發(fā)的軟件哈希值一致，同時(shí)在終端設(shè)備請(qǐng)求下載軟件時(shí)進(jìn)行解密；終端管控軟件服務(wù)端在終端安裝軟件時(shí)再次進(jìn)行哈希值的比對(duì)，并且監(jiān)控與展示本分部所管理所有終端設(shè)備上軟件詳細(xì)情況；

7、在終端設(shè)備上部署終端管控軟件客戶端，負(fù)責(zé)監(jiān)控終端軟件的安裝、卸載過程，以及定期收集終端設(shè)備上軟件詳情并上報(bào)到終端管控軟件服務(wù)端，便于計(jì)算機(jī)管理員掌控終端設(shè)備的軟件安全。

8、(三)有益效果

9、本發(fā)明提出一種高安全軟件分發(fā)系統(tǒng)，本發(fā)明設(shè)計(jì)了一種高安全軟件分發(fā)系統(tǒng)，適用于對(duì)安全性、保密性要求比較高的領(lǐng)域或者行業(yè)，本發(fā)明提出一種從源頭、網(wǎng)絡(luò)傳輸?shù)浇K端設(shè)備全鏈路的高安全軟件分發(fā)系統(tǒng)，保證終端設(shè)備上的軟件安全可靠，降低單位因?yàn)檐浖职l(fā)導(dǎo)致的安全風(fēng)險(xiǎn)。

10、本發(fā)明提供一種高安全軟件分發(fā)系統(tǒng)，與現(xiàn)有技術(shù)相比，本發(fā)明的有益效果在于：

11、(1)本發(fā)明提出的方案解決軟件分發(fā)過程不安全不可靠問題，從軟件源頭、網(wǎng)絡(luò)傳輸?shù)浇K端設(shè)備安裝全過程進(jìn)行安全防護(hù)；

12、(2)本發(fā)明提供的方案可以監(jiān)控終端設(shè)備軟件狀態(tài)，對(duì)安裝與卸載過程進(jìn)行監(jiān)控，對(duì)終端設(shè)備運(yùn)行的程序?qū)崟r(shí)監(jiān)控，保護(hù)終端設(shè)備上運(yùn)行的軟件安全，進(jìn)而保護(hù)單位的信息安全。

技術(shù)特征：

1.一種高安全軟件分發(fā)系統(tǒng)，其特征在于，該系統(tǒng)在總部與各分部均部署軟件，具體包括：

2.如權(quán)利要求1所述的高安全軟件分發(fā)系統(tǒng)，其特征在于，在總部服務(wù)器搭建一個(gè)總部軟件倉(cāng)庫(kù)作為軟件的唯一來源，所有終端設(shè)備安裝的軟件來源必須來自該總部服務(wù)器的總部軟件倉(cāng)庫(kù)。

3.如權(quán)利要求2所述的高安全軟件分發(fā)系統(tǒng)，其特征在于，軟件在進(jìn)入總部軟件倉(cāng)庫(kù)時(shí)進(jìn)行簽名，軟件下發(fā)到分部軟件倉(cāng)庫(kù)后，進(jìn)行簽名驗(yàn)簽，即終端設(shè)備收到的軟件一定是從總部服務(wù)器下發(fā)的；同時(shí)在軟件入庫(kù)時(shí)，使用安全防護(hù)卡計(jì)算哈希值。

4.如權(quán)利要求3所述的高安全軟件分發(fā)系統(tǒng)，其特征在于，在總部服務(wù)器對(duì)軟件進(jìn)行加密處理，分部服務(wù)器在下載該軟件到終端設(shè)備時(shí)進(jìn)行解密，通過加密解密措施，保證軟件即使被非法竊取也無法破解關(guān)鍵信息；軟件在終端設(shè)備安裝時(shí)，分部服務(wù)器的終端管控軟件服務(wù)端計(jì)算該軟件的哈希值，與總部服務(wù)器下發(fā)的哈希值進(jìn)行比對(duì)，發(fā)現(xiàn)軟件哈希值被篡改后禁止安裝到終端設(shè)備上。

5.如權(quán)利要求4所述的高安全軟件分發(fā)系統(tǒng)，其特征在于，在終端設(shè)備上部署終端管控軟件客戶端，對(duì)終端設(shè)備上軟件生態(tài)實(shí)時(shí)監(jiān)控，保證終端設(shè)備上應(yīng)該安裝的軟件未安裝時(shí)進(jìn)行告警，不應(yīng)被安裝的軟件在安裝時(shí)也進(jìn)行告警。

6.如權(quán)利要求5所述的高安全軟件分發(fā)系統(tǒng)，其特征在于，在總部服務(wù)器和分部服務(wù)器安裝安全防護(hù)卡，安全防護(hù)卡的功能有：哈希值計(jì)算、加密解密和簽名驗(yàn)簽。

7.如權(quán)利要求6所述的高安全軟件分發(fā)系統(tǒng)，其特征在于，安全防護(hù)卡生成一對(duì)秘鑰，分別為公鑰和私鑰，私鑰在總部服務(wù)器上進(jìn)行簽名時(shí)使用，公鑰提供給分部服務(wù)器驗(yàn)簽時(shí)使用。

8.如權(quán)利要求5所述的高安全軟件分發(fā)系統(tǒng)，其特征在于，該系統(tǒng)的軟件狀態(tài)更新流程包括：軟件入庫(kù)流程、軟件出庫(kù)流程和狀態(tài)同步流程，其中，

9.如權(quán)利要求5所述的高安全軟件分發(fā)系統(tǒng)，其特征在于，該系統(tǒng)的軟件安裝卸載流程包括：軟件安裝流程和軟件卸載流程，其中，

10.如權(quán)利要求5所述的高安全軟件分發(fā)系統(tǒng)，其特征在于，該系統(tǒng)的終端設(shè)備軟件管理流程包括：終端設(shè)備軟件收集、安裝卸載記錄展示和正在運(yùn)行軟件展示；其中，

技術(shù)總結(jié)
本發(fā)明涉及一種高安全軟件分發(fā)系統(tǒng)，屬于軟件分發(fā)安全防護(hù)技術(shù)領(lǐng)域。本發(fā)明的系統(tǒng)在總部與各分部均部署軟件，在總部服務(wù)器部署總部軟件倉(cāng)庫(kù)服務(wù)，在分部服務(wù)器部署分部軟件倉(cāng)庫(kù)服務(wù)與終端管控軟件服務(wù)端，在終端設(shè)備上部署終端管控軟件客戶端。本發(fā)明解決軟件分發(fā)過程不安全不可靠問題，從軟件源頭、網(wǎng)絡(luò)傳輸?shù)浇K端設(shè)備安裝全過程進(jìn)行安全防護(hù)；本發(fā)明提供的方案可以監(jiān)控終端設(shè)備軟件狀態(tài)，對(duì)安裝與卸載過程進(jìn)行監(jiān)控，對(duì)終端設(shè)備運(yùn)行的程序?qū)崟r(shí)監(jiān)控，保護(hù)終端設(shè)備上運(yùn)行的軟件安全，進(jìn)而保護(hù)單位的信息安全。

技術(shù)研發(fā)人員：張建偉,張記強(qiáng),楊明華,陳文,楊斌,潘璠,安恒,蔣蕭猛,金玉川,王欣,王輝,張廣申,賈張濤,李雅斯
受保護(hù)的技術(shù)使用者：北京計(jì)算機(jī)技術(shù)及應(yīng)用研究所
技術(shù)研發(fā)日：
技術(shù)公布日：2024/12/26