这是一个创建于 2348 天前的主题,其中的信息可能已经有所发展或是发生改变。
公司开发了一个新产品,客户是在内网环境下使用的,但是我们的产品又需要卖授权,有没有人做过类似的方案呢? 目前考虑的方案是:使用非对称加密算法生成公钥和私钥,公钥保存在公司内,用于生成 licence,私钥嵌入产品内,licence 中包含机器码等信息,软件启动时加载 licence 并用私钥解密,判断机器码和使用时间等信息是否有效。 但是这个方案容易被破解,毕竟 class 反编译后私钥,licence 文件格式,授权检验等信息都藏不住,把检验的 class 文件替换掉就破裂掉了。 即使做代码混淆也不过是提高了反编译的难度而已。 技术所限,想了一天都想不到解决方案,各位有没有什么更好的方案可以提供参考呢?或者其他离线授权机制的思路?
 |
1
Lighfer OP 手机发表的,换行都没了,我一会回去调整一下
|
|
2
Lighfer OP 好像不能编辑… 各位看官辛苦了……
|
 |
3
shayuvpn0001 2018-06-04 19:01:30 +08:00
加密狗 + 限时的 Licence
|
 |
4
chinvo 2018-06-04 19:03:17 +08:00 via iPhone
Java bytecode 和明文源码没多大区别,所以用硬件,把一部分核心逻辑放到加密狗里面。
|
 |
5
olOwOlo 2018-06-04 19:04:12 +08:00
。。。我还是第一次听说把公钥保密,私钥公开的
|
|
7
Lighfer OP @shayuvpn0001 客户的机子上是禁止 usb 的,所以加密狗用不了,licence 限时意义不大,因为被反编译后授权完整的代码基本都呈现出来了,很容易造出一个破解版的 class 文件把验证算法跳过去……
|
|
9
Lighfer OP @olOwOlo rsa 加密一般不都是用公钥加密私钥解密吗,而且只要保证其中任意一个不泄露,其实用哪个公开都可以的吧?
|
 |
10
gam2046 2018-06-04 19:07:49 +08:00  1
看应用被破解的强度吧。一般的,用自定义 ClassLoader 去加载 bytecode,同时 ClassLoader 用 native 写,基本上可以防止很多中低端的破解手段。
要高强度的就是考虑上面大佬说的看门狗方案,将部分功能以及授权验证抽离到独立外部硬件中进行。 |
|
12
Lighfer OP @gam2046 客户的机子禁用 usb,所以似乎加密狗的方案行不通…… classloader 倒是一个更好的思路,我回头研究一下,十分感谢!
|
 |
15
zhjits 2018-06-04 19:26:43 +08:00
如果客户终端比较多的话写一个 license server,server 要求定期从公司网站下一个 license file 喂进去(
|
 |
16
wenzhoou 2018-06-04 19:58:41 +08:00 via Android
公钥保存在公司内。说的是谁的公司内,你的公司内 还是使用者公司内?
|
 |
21
likuku 2018-06-04 20:27:18 +08:00
唯有在线激活(激活服务器记录保存验证客户购买和机器信息,确保任何时候客户激活的机器总数不超过许可)这种机制可以在技术上较好得应对这个状况。
|
 |
22
cxh116 2018-06-04 20:34:06 +08:00 via Android 1
用硬件加密狗都能破解,只是比普通的纯软件加密难度高些。
只能像 v2 的朋友用过的方法,先让你使用,使用一段时间后突然检测是不是盗版,是盗版的话数据丢到其它隐藏表,或加密,要恢复交钱。 |
 |
25
ETiV 2018-06-04 21:09:42 +08:00
没用的…加密做的再好,
if (validate(license)) 改成 if (true || validate(license)) 就破掉了…… |
 |
26
0TSH60F7J2rVkg8t 2018-06-04 21:12:04 +08:00 via iPhone
什么?公钥存服务器?私钥随软件分发?这不是开玩笑吗?
私钥是不公开的! 私钥是不公开的! 私钥是不公开的! 重要的事情说三遍。 私钥存服务器才对啊,授权采用签名模式啊。把机器序列号(硬件信息)和软件序列号(和或产品主要文件 hash 校验指纹)一起签名了发下去。软件用公钥计算一遍校验签名就行了啊。 |
 |
27
pabupa 2018-06-04 21:13:56 +08:00
Jetbrains 的 IDE 是怎么做的呢?我觉得挺好,
|
|
28
Lighfer OP @ahhui 对的,这个是我的错误。主要的问题都不在于 licence 里面是什么,licence 怎么生成的,真正的问题在于只要是(在我的理解范围内的只要是)纯 java 实现的,都可以比较轻易的通过反编译得到对应的验证逻辑,然后替换 class 文件实现破解,正如 25 楼说的这样= =
|
|
29
Lighfer OP @pabupa JB 是网上有现成的 licence 可以用,所以别人就不需要去做破解版了,还有就是 JB 的授权服务器也被破解了,可以自己搭建的
|
 |
30
anotherlf 2018-06-04 21:21:15 +08:00 via Android
直接开源,然后卖原厂服务,做产品的时候积极挖坑就好。
|
 |
31
PHPer233 2018-06-04 21:23:34 +08:00 via iPhone
你只需要对授权验证的相关代码进行加密或混淆,不需要对普通代码做特殊手段。我之前遇到过一款软件,对加解密算法进行保护,我们搞了几天没搞出来。不知道是用了什么保护手段。
|
|
34
wenzhoou 2018-06-04 21:27:15 +08:00 via Android
你的程序相当于客户端,你公司的版权服务器相当于服务器端。 这个问题就是客户端和服务器端双方互相确认对方的身份问题。 具体来说,根据每个客户第一次运行的机器,生成一个加密文件。你把这个加密文件的拿来,用自己的私钥签名。作为卖给每个客户的 license,邮件方式给用户。软件每次启动,或者执行一些关键函数的时候都确认这个文件存在性,以及没有被篡改,以及本机的信息都匹配才可以执行。 那软件的完整性怎么确保。还是一样把关键文件的 hash 值做校验。
|
 |
35
qile1 2018-06-04 21:32:22 +08:00 via Android
自己看看公开加密算法或者自己写个加密算法,生成 12 位或者多少位注册码让用户注册,软件牛到需要请人破解,只能埋雷了,
话说我以前弄注册码直接有个字段放时间字符,每次过期注册码只改那个字符,后来他们自己会改了,就再没有给我付尾款,两年了! |
 |
36
lihongming 2018-06-04 21:37:51 +08:00 via Android 5
软件防破解的关键在于设置多个加密点,且触发方式不同,比如执行某项操作时,顺便对授权管理文件的哈希值做个校验,看有没有改动过。
尤其是延时触发一定要做。当你检测到破解、调试等行为时,先不要做出保护动作,让软件正常运行,这样他就很难一次性把所有加密点全都找到。 后续怎么处理就看心情了,比如半年以后把他的数据加密一下。但要注意好法律问题,千万不要搞成勒索,数据恢复是免费的,但你可以在软件授权协议中约定,如果有调试、破解、反编译等行为,需要支付违约金多少多少钱…… |
|
37
Lighfer OP @wenzhoou 那么假设确认这个文件存在性、是否被篡改及机器信息匹配的函数(或者多个函数)被反编译后,对方根据反编译得到的代码编译出一个总是返回验证通过的版本的 class 替换掉了原来的 class 文件,这种情况也还是无法解决了,毕竟 java 的字节码和源码差不了太多。。
|
|
38
Lighfer OP @lihongming 这个方案也好,而且可以较好地结合其他楼主的方案,受教了,十分感谢!
|
 |
39
wly19960911 2018-06-04 22:04:08 +08:00 via Android
|
 |
40
lastpass 2018-06-05 00:15:15 +08:00 via Android
涉密产品呀,不用搞这么麻烦。你直接把数据库的初始化 sql 给加密就好,只有使用你专门的加密方式才能解密。你完全可以方向,绝对不会有人敢去,或者想去破解你的数据库。使用涉密数据库用户会把它看的比他家还严实 100 倍。
|
 |
41
IvanLi127 2018-06-05 00:44:25 +08:00 via Android
检测盗版,是盗版就干病毒干的活,然后要钱。干得隐秘点,让人以为都是破解的时候出差错了。
|
|
42
ETiV 2018-06-05 00:58:25 +08:00
不过话说回来,你服务的客户,真有这样的技术么 -。-
去破解你家的软件,再拿出去卖吗… 我有个大学同学,毕业后留校了,管图书馆 去年聊天得知,图书馆内部的那个什么系统,也是买的第三方的,授权之类的一律离线 然后卖他们系统的就有售后服务的小伙,全国各地的跑,去更新这个系统、备份里面的数据,相当于运维。 |
 |
43
qwertyegg 2018-06-05 01:00:44 +08:00
@jadec0der 有了私钥虽然不能解析算出来公钥,但是要攻击并不难,因为缺的那个 e 并不大(1 < e < λ(n) ),而且常常选的就是 65537
|
 |
44
miketeam 2018-06-05 01:39:43 +08:00 via iPhone
楼主的老板思维好僵化,看看人家微软怎么做!你不会盗版?没关系,我注册小号教你破解系统!要的是市场。
|
|
45
Lighfer OP @lastpass 哈哈哈哈是这样的没错,所以我们这个不带数据库的哈,除了日志文件,其他的不能记录任何客户的信息,导出日志都需要审核,我们的产品是工具类的
|
 |
47
scmod 2018-06-05 09:22:41 +08:00
只有混淆了感觉,或者 Excelsior JET 之类的?
|
 |
49
oska874 2018-06-05 12:29:31 +08:00
加密狗一条路。
|
 |
50
Greatshu 2018-06-05 13:32:11 +08:00
涉密软件不会有人搞盗版的,破解版谁敢用
|
|
51
qile1 2018-06-05 13:44:29 +08:00 via Android
@flower545 是自助发药机的接口,从 his 系统整理药品数据,同步到发药机的火鸟数据库,用的 his 系统是微软 mssql,用户名 sa 别系统也在使用,数据库封 ip 后有的程序报错,连接不上,现在用跟踪器发现我程序名没有重复的,不知道怎么封!
|
 |
54
wmhx 2018-06-06 01:51:24 +08:00
v2ex 里面有个卖水厂软件的,说到类似的版权保护方案, 大概意思是说纯靠技术基本是不现实的, 需要一个很好好的合约,里面做好约定, 然后才是考验你的技术了, 类似#36 楼那样, 设置多个检查点, 定期检查, 如果发现问题就加密或混淆部分数据, 这就是破解或者没有售后的结果, 等其发现数据不对自然回来找你的, 然后你再用约定来约束之, 让买授权解决数据恢复问题. 这也是一个 javaer 能想到的最好的方案了 .
|
Select Language