软件License授权原理
软件License授权原理你知道License是如何防止别人破解的吗?本文将先容License的生成原理,理解了License的授权原理你不但可以防止别人破解你的License,你以致可以研究别人的License找到它们的毛病。喜欢本文的朋侪建议收藏+关注,方便以后复习查阅。
什么是License?
在我们向客户销售贸易软件的时候,经常必要对所发布的软件实验一系列管控措施,诸如验证利用者身份、软件是否到期,以及生存版权信息和开辟商详情等。考虑到诸多应用场景可能处于离线环境,无法依靠网络举行实时认证,以是还必要考虑单机认证时的防破解问题。总之,License许可证利用HTTPS网站的证书和署名技能,一方面证实当前利用者是申请License的本人,另一方面要防止恶意破解,并伪造窜改License到达白嫖的目的。
https://img-blog.csdnimg.cn/direct/c0e66fdb87db45a7a86bce69b6e4d5fb.png
为什么利用License授权?
License的作用是什么呢?收费软件的License其目的肯定是防止用户白嫖啦,以是License还应该具有以下一些功能:
[*]授权利用
明白用户必要满足的利用条件,如单用户、多用户、企业内部利用、举世利用等,并且通常会限定可安装和激活的设备数量。
[*]限定功能
根据差别等级的License,软件可以提供差别等级的功能,比方基础版、专业版、企业版等,License可以解锁相应版本的功能。
https://img-blog.csdnimg.cn/direct/44183468e5c04c4fb7778e1f6f0aab47.png
[*]期限控制
规定软件的利用期限,可能是永世授权,也可能是订阅式授权,到期后用户必要续费才能继续利用。
[*]版权掩护
重申软件的知识产权归属,克制未经授权的复制、分发、反编译、窜改或逆向工程等侵犯版权的行为。
[*]法律保障
License作为法律合同,确立了软件提供商和用户之间的法律关系,明白了双方的权利和责任,如果发生违反协议的环境,软件提供商有权采取法律手段追究责任。
https://img-blog.csdnimg.cn/direct/56f40723a62d4b1dacef08bf582f3bac.png
[*]技能支持和升级服务
部分License中会规定用户是否有权享有免费的技能支持、软件更新和维护服务,以及这些服务的有效期限。
[*]合规性要求
对于特殊行业或特定地域,License可能还涉及到满足特定法规、标准或认证的要求。
归纳起来,我们可以总结出License的作用是:
[*]控制软件利用者的利用权限
[*]说明软件所有者的版权
[*]规定软件的利用规范
末了两点重要是法律相关的,第一点才是本文的重点,即如何生成License,以及如何通过License对软件用户举行限定。
License分类
依据用途的差别,License可分为两大种别:商用License和非商用License。
非商用License重要服务于诸如展览展示运动、各类研发运动等多种非直接盈利性的应用场景;
商用License,则通常适用于那些开展贸易运营运动的企业场所。
https://img-blog.csdnimg.cn/direct/ef4062498e18466691ac11cf9dc31c93.png
基于利用的期限,License可以分别为固定期限License和永世License两类。
固定期限License在激活后的指定时间内有效,过了预设的利用期限,用户必须更新许可期限并通过重新激活才能继续利用;
而永世License则是在激活后赋予用户无时间限定的利用权,一旦激活,无需担心许可失效的问题,可以无穷期地持续利用软件。
如何实现License授权?
要想生成一个安全性高的License,必须让其满足以下几个特征:
[*]保密性
[*]防窜改
[*]时效性
[*]可找回
保密性是指License里携带的data信息具有一定的潜伏性,如许可以防止想要破解License的人探求到生成License的规律,进而伪造自己的License。
防窜改是指防止License里携带的告急信息被窜改,比方License有效时间如果被窜改,那么License就起不到限定用户利用期限的作用了。
时效性是指License会记录软件可以利用的有效期,并在验证License的时候判定其是否逾期。
可找回是指用户申请的License一旦丢失大概要续期,基于第一次申请License时创建的源文件,再一次生成新的License,新的License会携带用户当初申请时的信息。
由于License必须满足以上特性,以是在先容License实现原理之前,我们先来学习一下非对称加密和署名&验签。
非对称加密
有非对称加密一定就会有对称加密,对称加密就是我们一般意义上的加密算法,这种算法在加密和解密时都利用同一个密钥,以是对称加密算法的密钥又叫做共享密钥。对称加密算法一般利用AES(Advanced Encryption Standard)加密算法。
https://img-blog.csdnimg.cn/direct/771e4d2396a545f7b8f7baeb52bb9938.png
非对称加密有两个密钥,一个公钥一个私钥。公钥是公开的,供多个人利用;私钥是非公开的,仅一个人大概少数群体利用。当非对称加密算法用作加解密时,公钥用来对明文加密,私钥用来给密文解密,这个顺序不能颠倒。你可以如许理解,密文是私密的东西,只有少数人才能解密,以是少数人手里的私钥用来解密,多数人手里的公钥不能解密只能加密。
https://img-blog.csdnimg.cn/direct/1353c092716c4967b7b6765b4ae6076b.png
为什么要区分公钥和私钥呢?直接利用一个共享密钥不可吗?可以,但是前提是你能够安全的将共享密钥传递给对方。共享密钥如安在线上安全的同步给对方是一个问题,毕竟在网络上传输信息很轻易暴露。如果利用非对称密钥就可以将公钥同步给消息发送者,而消息接收者则生存私钥用来解密消息,如许纵然公钥被中间人盗取,他也只能用来做加密操纵而不能解密密文。
署名&验签
固然非对称加密可以办理“密钥分配问题”,但是它不能防止伪造消息的问题。既然公钥可以公之于众,大家都知道你的消息要怎么加密,如果A想给B发送消息,那么中间人X可不可以将A发送的消息拦截,并将自己的消息加密以后发送给B呢?固然可以!
这就好比你买了一张周杰伦的演唱会的门票,我看到了之后自己伪造了一个一模一样的,云云一来我也可以去看周杰伦的演唱会。这时官方组织者发现了这个毛病以后,规定周杰伦的演唱会门票必要带上官方印章才能进场,此时我就算把门票画的再惟妙惟肖,少了官方印章,我的这张假门票依然是张废纸。
如何办理这个问题呢?答案就是给你的消息“盖章”,即署名,署名就是认证你的身份。这里还是利用非对称密钥算法,只不过利用的顺序和加密消息时恰好相反。署名时是私钥用来加密,公钥用来解密。
https://img-blog.csdnimg.cn/direct/847559bf5a694e7385bc6e0289e9d69e.png
你可以如许理解,给消息署名就好比给文件盖章,你会随随便便把你自己的印章交给别人来利用吗?固然不可!以是公钥不得当用来署名,私钥用作署名更加公道。必要注意的是署名所利用的密钥对由消息发送者生成并提供给消息接收者,这和给消息加密时正好相反,如许说来消息加密和消息署名这两个利用场景就必要生成两套密钥对。
https://img-blog.csdnimg.cn/direct/1ad93041aa13430bae624cf2d82480c3.png
出于性能方面的考虑,大多数环境下给消息加密还是利用的对称加密算法,为了办理“密钥分配问题”,只会在第一次发送共享密钥的时候才会利用非对称加密,一旦消息接收者得到了共享密钥,通讯双方就能够通过共享密钥举行通讯了。
此外,利用非对称密钥对消息署名也可以防止消息被人窜改,由于性能缘故原由一般不会对消息原文举行署名,而是先通过哈希算法形成消息择要,再对消息择要署名。消息接收者验签时会将消息的明文举行哈希,再将消息署名解密,两者比对如果一致则证实消息没有被窜改过。
License结构
前面铺垫了一些生成License所必备的基础知识,我们学习了生成的License如果必要防止被人破解,那就必要具有保密性、防窜改和防伪造等特点。接下来要考虑的是License必要携带什么信息就能让其既安全又能限定用户的利用权限。
License文件理论上来说至少必要以下一些信息:
[*]软件所有者信息
[*]申请授权时间
[*]授权截止时间
[*]软件利用者信息
下图是License文件流的结构图,重要字段有:
[*]魔数值
[*]分隔符
[*]申请时间
[*]到期时间
[*]公钥的长度 & 公钥
[*]携带信息的长度 & 携带信息
https://img-blog.csdnimg.cn/direct/c4ccc5ea95d64e2c938b154fb836d7d4.png
魔数值:和Java Class文件头的魔数CAFEBABE类似,License文件头的魔数也是起到了快速识别的作用,也有格式验证的作用。
分隔符:用来区分各个字段,将字段之间用分隔符隔开便于结构化管理。
申请时间:用户申请License的日期。
到期时间:License的有效截止日期。
公钥的长度 & 公钥:公钥长度用来记录公钥是多少字节,依据公钥长度就可以读取相应长度的公钥数据了。
携带信息的长度 & 携带信息:携带信息长度用来记录携带信息是多少字节,依据携带信息长度就可以读取相应长度的携带信息了。携带信息里通常会包含软件所有者、软件利用者、License唯一ID以及设备MAC地点等信息。
想好了License文件的结构,我们就可以开始生成License啦。
生成License
申请License的总体流程如下图所示。客户在软件服务商处申请License,软件服务商生成License之后会返回给客户License文件,自己生存一份License源文件,源文件用作以后找回License。客户拿到License文件,在安装、启动软件之后激活License。
https://img-blog.csdnimg.cn/direct/66bc611a180f472fa3e65fee1c066833.png
生成License重要做了如许几个事情:
[*]对必要携带的信息加密成密文
[*]对密文署名
[*]生存申请日期、有效截止日期和公钥
[*]生成源文件
https://img-blog.csdnimg.cn/direct/e20e156e329248f4819180a6b38b996b.png
私钥1加密的作用是对License的安全加固。因为License现实上可以通过Base64解码得到里面的数据,包括公钥信息,如许客户就能够通过公钥将携带的信息解析出来,倘若携带有敏感信息就会造成安全问题。以是这里对携带的信息做了先加密后署名的处理。
别的必要强调的是,申请日期和有效截止日期也必要署名但不必要加密。因为如果不署名的话,客户可以将日期解析出来之后窜改成自己想要的任何日期。
加载License
https://img-blog.csdnimg.cn/direct/125f544cbd6748b0a718e5a4af08c50d.png
客户申请到License之后,就可以去软件上面激活啦。激活License首先判定License是否正当,查抄文件头魔数和分隔符是否正确,查抄License是否逾期等。然后就是提取License的授权信息举行验签比对。如果有必要,还可以查抄授权信息里携带的MAC地点是否与安装设备的MAC地点匹配。如果统统正常就可以通过验证。
https://img-blog.csdnimg.cn/direct/0962994b6eb344ffafa68a6ea1db6b16.png
找回License
https://img-blog.csdnimg.cn/direct/a68c35c8c062446a964c2715a378f96d.png
防破解
首先必要明白的一点就是,没有万无一失的防破解方案,所谓魔高一尺道高一丈,毛病堵的再严实依然能找到破解的方法,唯一的区别就是破解的本钱高不高而已。
比方,具备一定逆向工程经验的程序员都知道,应用程序不仅能够被调试,也能被修改。理论上讲,只要深入探究程序的代码,定位并替换此中嵌入的原始公钥信息,改为自己的公钥。随后,利用个人持有的私钥去创建一个新的授权文件,如许一来,就实现了对软件授权机制的破解。
更简朴的方法是直接反编译验证逻辑的代码,当验证的时候直接返回true,即可通过验证。
纵然不能做到百分之百的安全性,我们还是应该知道一些防破解的方法,增加用户破解的难度。防破解重要有以下几个方面的问题必要重点限定。
[*]如何办理java代码反编译之后,修改验证License的逻辑?
答:混淆代码,增加反编译的难度。
[*]如何防止客户修改服务器时间以避免License逾期?
答:分为离线和在线两种环境。
在线环境下加载License信息时,可以将License里生存的逾期时间和线上标准时间做比力
离线环境下,必要满足条件:申请时间 <= 体系时间 <= 截止时间
具体实现方案是,第一次加载License成功之后,将申请时间存到A处;
定时更新A处的时间,更新前比力当前体系时间,如果体系时间 < 申请时间,说明体系时间被窜改过。否则,更新A处时间为当前体系时间;
生存的时间是经过加密的,但是有个问题是如果用户备份了一开始的时间,过了一段时间之后用这个备份文件恢复,再修改体系时间就可以永不逾期,如何办理?
1. 可以将A处的时间信息生存到数据库里,数据库权限设置为只有开辟人员可以修改,此外数据库安装的机器不能与软件安装的机器相同,否则用户可以将二者统一安装到某一个虚拟机里,快到期的时候再统一恢复到初始时间。
2. A处除了生存时间以外,还必要License的唯一id、利用License的机器mac地点,这些字段是为了保证License不被重复利用。
[*]如何防止客户在多台服务器上利用同一个License?
答:将服务器的ip大概mac地点与License做绑定关系。
https://img-blog.csdnimg.cn/direct/724ac52918ef4dada9f43609acd61e3f.png
[*]如何防止用户得到了源文件并获取了私钥,就可以自己伪造License?
答:避免将生成License的代码安装在用户的机器环境下,最好在自己的机器环境下生成License。因为生成License之后得到的源文件一般会生存在代码路径下,如果用户反编译生成License的代码,就能够得到源文件信息。
末了整理了一张泳道图,可以从整体观察一下不限定、防止窜改体系时间和防止多设备共享License等问题的办理方案。
https://img-blog.csdnimg.cn/direct/72fda083b8474ece901614b6942dc22a.png
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]