目前常見軟件保護技術(shù)概述

昵稱26455 2007-05-03

展開全文

  軟件保護技術(shù)從廣義的角度來說，可以包括計算機軟件和系統(tǒng)的安全。目前大多數(shù)關(guān)于計算機的安全研究，主要是研究如何防止合法用戶和其數(shù)據(jù)被惡意客戶端程序所攻擊，以及如何設(shè)計和管理計算機系統(tǒng)來實現(xiàn)一個嚴(yán)密的安全系統(tǒng)。典型的方法是用戶限制客戶端程序的行為。例如在JAVA安全模型中，用戶可以使用字節(jié)碼校驗來保證不被信任的客戶端程序的類型安全，不被信任的代碼（例如APPLET）將被禁止執(zhí)行一些特定操作，例如可以限制在本地文件系統(tǒng)寫文件操作。類似的技術(shù)還有軟件故障隔離（Software Fault Isolation），它可以監(jiān)視客戶端程序，確保其不能夠在它賦予范圍之外進行寫操作，在.NET中也采用了此種技術(shù)。

        近期，關(guān)于移動代理（Mobile Agent）系統(tǒng)的安全研究吸引了更多人的注意，移動代理屬于分布式計算的一個實施方法，即把原本在一臺計算機上運行的一個大的程序，分解成多個子程序，然后在不同的計算機上進行運行，這樣就帶來了一個問題，即合法的客戶端程序如果安裝在惡意主機上，如何防止惡意主機的侵犯。客戶端代碼有可能包含一些商業(yè)機密或者版權(quán)信息，如果客戶端程序的完整性被侵犯，也將會導(dǎo)致客戶端程序擁有者的財產(chǎn)損失。

         微軟還推出了安全計算平臺（Trusted Computing Platform Alliance），它的目標(biāo)是定義硬件支持的、以操作系統(tǒng)為基礎(chǔ)的，受信任的子系統(tǒng)，它們將變?yōu)閭€人計算平臺的有機組成部分，依賴于公鑰體系和架構(gòu)，系統(tǒng)需要支持安全存儲，系統(tǒng)內(nèi)部信任路徑、安全協(xié)處理器。

         軟件保護技術(shù)從狹義的角度來說，即如何防止合法軟件被盜版，主要包括基于硬件的保護方式和基于軟件的保護方式。關(guān)于軟件保護技術(shù)的研究，實際上是一項綜合的技術(shù)，目前一些軟件保護產(chǎn)品供應(yīng)商宣稱自己的產(chǎn)品是不可破解的，往往是一種營銷的策略，并沒有提供確切的數(shù)據(jù)和評測報告。還有一些供應(yīng)商利用智能卡芯片本身具有很高的安全性，來誤導(dǎo)軟件開發(fā)商以為采用智能卡芯片的軟件保護產(chǎn)品也一定具有同樣的安全性，其實這些都是一些錯誤，片面的觀點。軟件保護產(chǎn)品和其他安全產(chǎn)品相比具有一定的特殊性，它所涉及的內(nèi)容非常的廣泛，從上層的應(yīng)用軟件、操作系統(tǒng)、驅(qū)動、硬件、網(wǎng)絡(luò)等等，是一個綜合的技術(shù)范疇，不能夠單一的由某個方面來以偏概全的斷定其安全與否。

1 基于硬件的保護方式
         基于硬件的軟件保護策略可以包含多種功能，主要有認(rèn)證過程、數(shù)據(jù)加密、訪問控制、唯一的系列號、密鑰產(chǎn)生、可靠的數(shù)據(jù)傳輸和硬件識別。這些手段主要的目的是防止硬件被復(fù)制，有一些產(chǎn)品也支持許可證策略?；谟布谋Ｗo可以具有很好的安全性。主要包括以下幾種典型方式：

       1.1 加密狗、加密鎖(Special-purpose Dongles)
加密狗是一種智能性加密產(chǎn)品，又被稱為加密鎖。它是一個可以安裝在并口、串口或USB接口上的硬件電路。在安全性上和基于軟件的保護方式相比，具有更高的安全性，但是對于使用被保護軟件的最終用戶而言，就不得不被迫接收在自己的機器上安裝相應(yīng)的保護硬件和驅(qū)動程序，易用性上存在一定問題。同時和基于軟件的保護方式相比，價格也比較高。

       1.2 光盤、軟盤保護
被保護軟件的部分密鑰可以放在可移動的軟盤或光盤當(dāng)中，只有當(dāng)軟盤或光盤存在的時候，被保護軟件才可以運行，游戲軟件經(jīng)常采用此種方式。
其基本原理是，例如Macrovision SafeDisk工具，它是在光盤的光軌上隱藏一個密鑰，而一般的光盤刻錄機無法復(fù)制此密鑰，通過此方法達到不可以復(fù)制光盤的目的，軟盤使用的技術(shù)類似。
存在問題：如果一旦原盤被劃壞或者毀壞，用戶就無法繼續(xù)使用軟件，同時這種保護方式可以被黑客很容易的分析或跟蹤找到判斷代碼處，通過修改可執(zhí)行文件，跳過此段代碼，達到破解的目的。而且有的加密光盤可用工作在原始模式（RAW MODE）的光盤拷貝程序來原樣拷貝，比如用Padus公司的DiscJuggler和Elaborate Bytes公司的CloneCD等拷貝工具，所以此種保護技術(shù)的安全性并不是很高，但是由于其具有價格優(yōu)勢，目前還是有一些軟件開發(fā)商使用此種技術(shù)來保護自己的軟件。

2 基于軟件的保護方式
基于軟件的保護技術(shù)和基于硬件的保護技術(shù)相比，在價格上具有明顯的優(yōu)勢，但是在安全性上和硬件相比還是相差很大，一般正式的商業(yè)軟件都使用基于硬件的保護方式?；谲浖能浖Ｗo方式一般分為：注冊碼、許可證文件、許可證服務(wù)器、應(yīng)用服務(wù)器模式、軟件老化等。

2.1 注冊碼 (License Key)
軟件開發(fā)商對一個唯一串（可能是軟件最終用戶的相關(guān)信息，例如：主機號、網(wǎng)卡號、硬盤序列號、計算機名稱等），使用對稱或非對稱算法以及簽名算法等方法產(chǎn)生注冊碼。然后需要用戶進行輸入（可以在軟件安裝過程或單獨的注冊過程）。當(dāng)輸入注冊碼后，被保護軟件運行時進行解密，并和存儲在軟件中的原始串進行比較。存在問題：密鑰隱藏在程序代碼中，比較容易泄漏，同時黑客可以使用逆向工程，分析或跟蹤找到判斷代碼處，通過暴力破解的方法進行破解。

2.2 許可證文件(License File)
和使用注冊碼類似，但是許可證文件可以包含更多的信息，通常是針對用戶的一些信息。文件中可以包含試用期時間，以及允許軟件使用特定功能的一些信息。被保護軟件在運行時，將每次檢查許可證文件是否存在。典型的方法是使用非對稱算法的私鑰對許可證文件進行簽名，而公鑰嵌在軟件代碼中。存在問題：可以通過修改系統(tǒng)時鐘來延長使用試用期許可證，當(dāng)許可證到期時，還可以重新安裝操作系統(tǒng)，繼續(xù)使用。同時黑客可以使用逆向工程，分析或跟蹤找到判斷代碼處，通過暴力破解的方法進行破解。

2.3 許可證服務(wù)器(License Server)
主要適用于網(wǎng)絡(luò)環(huán)境中，可以為多套被保護軟件提供服務(wù)，例如一個網(wǎng)絡(luò)許可證，可以限制并發(fā)最大用戶數(shù)為10。當(dāng)客戶端被保護程序運行時，將占用一個用戶數(shù)，退出時將釋放出用戶數(shù)，如果超過最大用戶數(shù)，服務(wù)器將禁止多余的被保護程序運行。存在問題：一般必須面向企業(yè)級用戶，黑客可以使用逆向工程，分析或跟蹤找到判斷代碼處，通過暴力破解的方法進行破解。

       2.4 應(yīng)用服務(wù)器模式(Application Server Model)
所有程序代碼存儲在受信任的服務(wù)器端，最終用戶不需要安裝代碼。典型應(yīng)用為最終用戶不需要安裝軟件，只需要使用瀏覽器訪問服務(wù)器來使用被保護軟件。一般游戲軟件都是采用這種方式進行保護的。目前這種保護方式朝著兩個方向進行發(fā)展，一個是瘦客戶端程序，另一個是胖客戶端程序。存在問題：此種程序受到服務(wù)器性能和網(wǎng)絡(luò)帶寬，以及擴展性，成本等因素的影響。

       2.5 軟件老化(Software Aging)
這是一種極端的軟件保護方式[21]，依賴于軟件的定期升級更新，每次更新都將使老版本的軟件功能不能繼續(xù)使用，例如不兼容的文件格式。盜版者必須給他的用戶經(jīng)常升級。存在問題：經(jīng)常升級造成很大的不便，如果可以自動化的進行此項工作，可以節(jié)省一部分精力。如果最終用戶需要共享數(shù)據(jù)，將依賴于每個人都有最新版本的軟件。這種保護方式并不適用于所有領(lǐng)域，例如：Microsoft Word可能工作的很好，但是如果是單用戶的游戲程序?qū)⒉贿m合。