本发明专利技术提供了一种面向网信安全的软件持续集成系统及方法,其中文件安全加密模块和文件安全解密模块基于三层交换机和单向安全隔离网闸,创新设计了兼容国密混合算法和二维码的加解密跨网传输方式;目标安全管理模块改进传统管控生产环境的方式,引入拼接加密秘钥和MAC地址拼接的认证因子,实现多台目标服务器的安全集中管控和权限认证。本发明专利技术有益效果:区别于常规软件系统持续化集成提高部署效率的过程,一方面实现研发内网和生产内网的“软+硬”双重安全部署,加强数据传输安全防线;一方面对目标服务器部署权限进行了统一的集中管控,另一方面提高了开发环境代码管理的安全性,保证部署过程中网络和数据的安全,适配网络可信环境。
【技术实现步骤摘要】
本专利技术属于计算机,尤其是涉及一种面向网信安全的软件持续集成系统及方法。
技术介绍
1、随着软件技术的蓬勃发展,软件持续集成系统通常需要进行自动化部署,节省手动安装、打包、部署等人工操作流程。软件持续集成系统一般由github/gitlab、jenkins等开源平台构成,在编译过程中,jenkins从源头代码仓库github/gitlab拉取代码;在推送过程中,jenkins推送代码和配置文件给用户。传统自动化部署方式在软件部署方法中无碍,但是它的安全性低,无法满足当前网络信息安全的需求。一方面代码、配置文件在git仓库以明文形式存储,存在数据泄露风险;一方面jenkins平台系统对部署包、配置文件保护性低,当jenkins平台推送无保护或低保护的部署文件至用户生产环境时,黑客可随意拦截部署文件至第三方,恶意篡改文件;另一方面无法集中管控多台目标服务器的安全性,导致无权限的服务器获取部署文件,易造成信息的泄露。
技术实现思路
1、有鉴于此,本专利技术旨在提出一种面向网信安全的软件持续集成系统及方法,以在jenkins持续化集成提高部署效率的过程中,既能避免数据传输过程泄露的风险,又能保证部署生产环境的安全性。
2、为达到上述目的,本专利技术的技术方案是这样实现的:
3、一种面向网信安全的软件持续集成方法,应用于jenkins持续集成系统,包括:
4、在代码安全管理模块中,开发代码利用预设的代码安全提交方法上传至代码服务器,利用代码服务器存储;</p>5、在文件安全加密模块中,持续集成服务器利用预设的大文件分离方法对从代码服务器拉取的开发代码进行分离,对分离后得到的数据进行加密后,推送至生产环境,所述生产环境包括目标安全管理模块;
6、在目标安全管理模块中,对目标服务器的部署环境进行统一配置和管理,接收来自持续集成服务器的相关信息,进行权限判断,若权限允许,则将接收的相关信息发送至对应目标服务器;
7、在文件安全解密模块中,目标服务器接收到相关信息后经安全解密部署脚本对密文数据进行解密,获取相应部署包、数据库及相应配置文件。
8、进一步的,在代码安全管理模块中,预设的代码安全提交方法包括:
9、利用自定义指定需要加密的敏感代码、敏感配置文件,生成加密敏感代码、加密敏感配置文件提交合并请求。
10、通过静态代码检测和人工审查后,加密敏感配置文件、加密敏感代码、非加密配置文件、非加密代码和数据库提交至代码服务器。
11、进一步的,在代码安全管理模块中,持续集成服务器预先配置代码解密秘钥,代码解密脚本根据代码解密秘钥对加密的开发代码解密得到明文代码。
12、进一步的,在文件安全加密模块中,利用大文件分离方法得到jar包、数据库、配置文件,包括:
13、执行安全加密打包脚本进行大文件jar包分离,将jar包大文件解压后,拆分lib依赖包、业务jar包。
14、通过安全加密打包脚本采用国密混合算法对数据库、业务jar包、所有配置文件进行加密,以密文形式传输至生产环境目标安全管理服务器。
15、进一步的,利用安全加密打包脚本将目标服务器mac地址等信息进行sm2加密后经二维码传输至生产环境目标安全管理服务器。
16、进一步的,利用所述安全加密打包脚本,执行:
17、基于sm4算法生成对称秘钥symkey1、symkey2、symkey3,并基于symkey1、symkey2、symkey3对数据库、业务jar包、所有配置文件进行加密,分别生成加密数据库symsm4sql、加密业务jar包symsm4jar、加密所有配置文件symsm4config;
18、将对称秘钥symkey1、symkey2、symkey3进行拼接,生成symkey;
19、利用sm2加密symkey,生成拼接秘钥密文asymkeystr;
20、将拼接秘钥密文asymkeystr和目标服务器mac地址基于sm2私钥codesm2privatekey加密生成asymkeymacstr;
21、使用二维码生成器将asymkeymacstr和sm2公钥codesm2publickey进行制作,生成相应二维码asymkeymaccode,推送至二维码显示屏;
22、将symsm4sql、symsm4jar、symsm4config分批次单向推送至生产环境目标安全管理服务器。
23、进一步的,在目标安全管理模块中,通过目标安全管理程序对目标服务器的部署环境进行统一配置和管理,包括:
24、在目标安全管理程序中预先配置生产环境中目标服务器mac地址、ip地址对应列表;
25、获取二维码信息,然后经公钥codesm2publickey解密得到本次接收的目标服务器mac地址和秘钥密文asymkeystr;
26、通过三层交换机和单向安全网闸传输分别接收加密数据库symsm4sql、加密业务jar包symsm4jar、加密所有配置文件symsm4config、安全解密脚本;
27、根据目标服务器mac地址、ip地址对应列表,查询目标服务器部署权限,若权限通过,则将加密数据库symsm4sql、加密业务jar包symsm4jar、加密所有配置文件symsm4config、安全解密脚本和秘钥密文asymkeystr发送至相应目标服务器;若未通过,则该目标服务器不具备软件升级部署权限,本次部署失败。
28、进一步的,在文件安全解密模块中:
29、利用存储唯一私钥sm2privatekey.pem对秘钥密文asymkeystr通过sm2算法进行非对称解密,若解密失败,则该目标服务器不具备软件升级部署权限;若解密成功生成对称秘钥拼接串symkey;
30、对称秘钥symkey按照规则拆解,分别得到symkey1、symkey2、symkey2;
31、利用sm4算法通过symkey1、symkey2、symkey3分别对symsm4sql、symsm4jar、symsm4config进行对称解密,得到数据库、明文业务jar包和所有配置文件。
32、进一步的,目标安全管理模块的目标服务器生成公私秘钥对过程包括,目标服务器基于目标安全管理程序生成唯一公私秘钥对sm2privatekey.pem和sm2publickey.pem;
33、私钥sm2privatekey.pem存储在目标服务器隐藏路径/root/.sm2con,公钥sm2publickey.pem导出存储在jenkins持续集成服务器。
34、进一步的,本方案公开了一种电子设备,包括处理器以及与处理器通信连接,且用于存储所述处理器可执行指令的存储器,所述处理器用于执行一种面向网信安全的软件持续集成方法。
35、区别于常规软件持续化集成本文档来自技高网
...
【技术保护点】
1.一种面向网信安全的软件持续集成方法,应用于jenkins持续集成系统,其特征在于,包括:
2.根据权利要求1所述的一种面向网信安全的软件持续集成方法,其特征在于,在代码安全管理模块中,预设的代码安全提交方法包括:
3.根据权利要求2所述的一种面向网信安全的软件持续集成方法,其特征在于,在代码安全管理模块中,持续集成服务器预先配置代码解密秘钥,代码解密脚本根据代码解密秘钥对加密的开发代码解密得到明文代码。
4.根据权利要求1所述的一种面向网信安全的软件持续集成方法,其特征在于,在文件安全加密模块中,利用大文件分离方法得到jar包、数据库、配置文件,包括:
5.根据权利要求4所述的一种面向网信安全的软件持续集成方法,其特征在于:利用安全加密打包脚本将拼接秘钥密文和目标服务器MAC地址信息进行SM2加密后经二维码传输至生产环境目标安全管理服务器。
6.根据权利要求4或5所述的一种面向网信安全的软件持续集成方法,其特征在于,利用所述安全加密打包脚本,执行:
7.根据权利要求6所述的一种面向网信安全的软件持续集成方法,其特征在于,在目标安全管理模块中,通过目标安全管理程序对目标服务器的部署环境进行统一配置和管理,包括:
8.一种面向网信安全的软件持续集成系统,执行上述权利要求1-7任一所述的一种面向网信安全的软件持续集成方法,其特征在于:包括开发者访问端和用户访问端,其中开发者访问端包括代码安全管理模块和文件安全加密模块,其中用户访问端包括目标安全管理模块和文件安全解密模块。
9.一种电子设备,包括处理器以及与处理器通信连接,且用于存储所述处理器可执行指令的存储器,其特征在于:所述处理器用于执行上述权利要求1-7任一所述的一种面向网信安全的软件持续集成方法。
...
【技术特征摘要】
1.一种面向网信安全的软件持续集成方法,应用于jenkins持续集成系统,其特征在于,包括:
2.根据权利要求1所述的一种面向网信安全的软件持续集成方法,其特征在于,在代码安全管理模块中,预设的代码安全提交方法包括:
3.根据权利要求2所述的一种面向网信安全的软件持续集成方法,其特征在于,在代码安全管理模块中,持续集成服务器预先配置代码解密秘钥,代码解密脚本根据代码解密秘钥对加密的开发代码解密得到明文代码。
4.根据权利要求1所述的一种面向网信安全的软件持续集成方法,其特征在于,在文件安全加密模块中,利用大文件分离方法得到jar包、数据库、配置文件,包括:
5.根据权利要求4所述的一种面向网信安全的软件持续集成方法,其特征在于:利用安全加密打包脚本将拼接秘钥密文和目标服务器mac地址信息进行sm2加密后经二维码传输至生产环境目标...
【专利技术属性】
技术研发人员:王东,郑婷婷,刘伟静,成晓,徐文丽,王俊德,
申请(专利权)人:天津航天机电设备研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。