[點晴永久免費OA]軟件License授權原理
當前位置:點晴教程→點晴OA辦公管理信息系統
→『 經驗分享&問題答疑 』
軟件License授權原理 你知道License是如何防止別人破解的嗎?本文將介紹License的生成原理,理解了License的授權原理你不但可以防止別人破解你的License,你甚至可以研究別人的License找到它們的漏洞。 在我們向客戶銷售商業軟件的時候,常常需要對所發布的軟件實行一系列管控措施,諸如驗證使用者身份、軟件是否到期,以及保存版權信息和開發商詳情等。考慮到諸多應用場景可能處于離線環境,無法依賴網絡進行實時認證,所以還需要考慮單機認證時的防破解問題。總之,License許可證利用HTTPS網站的證書和簽名技術,一方面證明當前使用者是申請License的本人,另一方面要防止惡意破解,并偽造篡改License達到白嫖的目的。
License的作用是什么呢?收費軟件的License其目的肯定是防止用戶白嫖啦,所以License還應該具有以下一些功能: 明確用戶需要滿足的使用條件,如單用戶、多用戶、企業內部使用、全球使用等,并且通常會限定可安裝和激活的設備數量。 根據不同等級的License,軟件可以提供不同等級的功能,例如基礎版、專業版、企業版等,License可以解鎖相應版本的功能。
規定軟件的使用期限,可能是永久授權,也可能是訂閱式授權,到期后用戶需要續費才能繼續使用。 重申軟件的知識產權歸屬,禁止未經授權的復制、分發、反編譯、篡改或逆向工程等侵犯版權的行為。 License作為法律合同,確立了軟件提供商和用戶之間的法律關系,明確了雙方的權利和責任,如果發生違反協議的情況,軟件提供商有權采取法律手段追究責任。
部分License中會規定用戶是否有權享有免費的技術支持、軟件更新和維護服務,以及這些服務的有效期限。 對于特殊行業或特定地區,License可能還涉及到滿足特定法規、標準或認證的要求。 最后兩點主要是法律相關的,第一點才是本文的重點,即如何生成License,以及如何通過License對軟件用戶進行限制。 依據用途的不同,License可分為兩大類別:商用License和非商用License。 非商用License主要服務于諸如展覽展示活動、各類研發活動等多種非直接盈利性的應用場景; 商用License,則通常適用于那些開展商業運營活動的企業場所。
基于使用的期限,License可以劃分為固定期限License和永久License兩類。 固定期限License在激活后的指定時間內有效,過了預設的使用期限,用戶必須更新許可期限并通過重新激活才能繼續使用; 而永久License則是在激活后賦予用戶無時間限制的使用權,一旦激活,無需擔憂許可失效的問題,可以無限期地持續使用軟件。 要想生成一個安全性高的License,必須讓其滿足以下幾個特征: 保密性是指License里攜帶的data信息具有一定的隱蔽性,這樣可以防止想要破解License的人尋找到生成License的規律,進而偽造自己的License。 防篡改是指防止License里攜帶的重要信息被篡改,例如License有效時間如果被篡改,那么License就起不到限制用戶使用期限的作用了。 時效性是指License會記錄軟件可以使用的有效期,并在驗證License的時候判斷其是否過期。 可找回是指用戶申請的License一旦丟失或者要續期,基于第一次申請License時創建的源文件,再一次生成新的License,新的License會攜帶用戶當初申請時的信息。 由于License必須滿足以上特性,所以在介紹License實現原理之前,我們先來學習一下非對稱加密和簽名&驗簽。 有非對稱加密必然就會有對稱加密,對稱加密就是我們一般意義上的加密算法,這種算法在加密和解密時都使用同一個密鑰,所以對稱加密算法的密鑰又叫做共享密鑰。對稱加密算法一般使用AES(Advanced Encryption Standard)加密算法。
非對稱加密有兩個密鑰,一個公鑰一個私鑰。公鑰是公開的,供多個人使用;私鑰是非公開的,僅一個人或者少數群體使用。當非對稱加密算法用作加解密時,公鑰用來對明文加密,私鑰用來給密文解密,這個順序不能顛倒。你可以這樣理解,密文是私密的東西,只有少數人才能解密,所以少數人手里的私鑰用來解密,多數人手里的公鑰不能解密只能加密。
為什么要區分公鑰和私鑰呢?直接使用一個共享密鑰不行嗎?可以,但是前提是你能夠安全的將共享密鑰傳遞給對方。共享密鑰如何在線上安全的同步給對方是一個問題,畢竟在網絡上傳輸信息很容易暴露。如果使用非對稱密鑰就可以將公鑰同步給消息發送者,而消息接收者則保留私鑰用來解密消息,這樣即使公鑰被中間人盜取,他也只能用來做加密操作而不能解密密文。 雖然非對稱加密可以解決“密鑰分配問題”,但是它不能防止偽造消息的問題。既然公鑰可以公之于眾,大家都知道你的消息要怎么加密,假如A想給B發送消息,那么中間人X可不可以將A發送的消息攔截,并將自己的消息加密以后發送給B呢?當然可以! 這就好比你買了一張周杰倫的演唱會的門票,我看到了之后自己偽造了一個一模一樣的,如此一來我也可以去看周杰倫的演唱會。這時官方組織者發現了這個漏洞以后,規定周杰倫的演唱會門票需要帶上官方印章才能進場,此時我就算把門票畫的再惟妙惟肖,少了官方印章,我的這張假門票依然是張廢紙。 如何解決這個問題呢?答案就是給你的消息“蓋章”,即簽名,簽名就是認證你的身份。這里還是使用非對稱密鑰算法,只不過使用的順序和加密消息時恰好相反。簽名時是私鑰用來加密,公鑰用來解密。
你可以這樣理解,給消息簽名就好比給文件蓋章,你會隨隨便便把你自己的印章交給別人來使用嗎?當然不行!所以公鑰不適合用來簽名,私鑰用作簽名更加合理。需要注意的是簽名所使用的密鑰對由消息發送者生成并提供給消息接收者,這和給消息加密時正好相反,這樣說來消息加密和消息簽名這兩個使用場景就需要生成兩套密鑰對。
出于性能方面的考慮,大多數情況下給消息加密還是使用的對稱加密算法,為了解決“密鑰分配問題”,只會在第一次發送共享密鑰的時候才會使用非對稱加密,一旦消息接收者得到了共享密鑰,通信雙方就能夠通過共享密鑰進行通信了。 此外,使用非對稱密鑰對消息簽名也可以防止消息被人篡改,由于性能原因一般不會對消息原文進行簽名,而是先通過哈希算法形成消息摘要,再對消息摘要簽名。消息接收者驗簽時會將消息的明文進行哈希,再將消息簽名解密,兩者比對如果一致則證明消息沒有被篡改過。 前面鋪墊了一些生成License所必備的基礎知識,我們學習了生成的License如果需要防止被人破解,那就需要具有保密性、防篡改和防偽造等特點。接下來要考慮的是License需要攜帶什么信息就能讓其既安全又能限制用戶的使用權限。
想好了License文件的結構,我們就可以開始生成License啦。 申請License的總體流程如下圖所示。客戶在軟件服務商處申請License,軟件服務商生成License之后會返回給客戶License文件,自己保留一份License源文件,源文件用作以后找回License。客戶拿到License文件,在安裝、啟動軟件之后激活License。
私鑰1加密的作用是對License的安全加固。因為License實際上可以通過Base64解碼得到里面的數據,包括公鑰信息,這樣客戶就能夠通過公鑰將攜帶的信息解析出來,倘若攜帶有敏感信息就會造成安全問題。所以這里對攜帶的信息做了先加密后簽名的處理。 另外需要強調的是,申請日期和有效截止日期也需要簽名但不需要加密。因為如果不簽名的話,客戶可以將日期解析出來之后篡改成自己想要的任何日期。
客戶申請到License之后,就可以去軟件上面激活啦。激活License首先判斷License是否合法,檢查文件頭魔數和分隔符是否正確,檢查License是否過期等。然后就是提取License的授權信息進行驗簽比對。如果有必要,還可以檢查授權信息里攜帶的MAC地址是否與安裝設備的MAC地址匹配。如果一切正常就可以通過驗證。
首先需要明確的一點就是,沒有萬無一失的防破解方案,所謂魔高一尺道高一丈,漏洞堵的再嚴實依然能找到破解的方法,唯一的區別就是破解的成本高不高而已。 例如,具備一定逆向工程經驗的程序員都知道,應用程序不僅能夠被調試,也能被修改。理論上講,只要深入探究程序的代碼,定位并替換其中嵌入的原始公鑰信息,改為自己的公鑰。隨后,使用個人持有的私鑰去創建一個新的授權文件,這樣一來,就實現了對軟件授權機制的破解。 更簡單的方法是直接反編譯驗證邏輯的代碼,當驗證的時候直接返回true,即可通過驗證。 即使不能做到百分之百的安全性,我們還是應該知道一些防破解的方法,增加用戶破解的難度。防破解主要有以下幾個方面的問題需要重點限制。
最后整理了一張泳道圖,可以從整體觀察一下不限制、防止篡改系統時間和防止多設備共享License等問題的解決方案。
作者:IT果果日記 鏈接:https://juejin.cn/post/7338723726837465107 來源:稀土掘金 著作權歸作者所有。商業轉載請聯系作者獲得授權,非商業轉載請注明出處。 該文章在 2024/3/5 14:46:35 編輯過 |
關鍵字查詢
相關文章
正在查詢... 
|
400 186 1886
