论文部分内容阅读
摘 要:Java软件在知识产权的保护上面临着很大的安全风险。本文针对Java软件保护的需求,从Java类加载机制入手,提出了加密类文件来实现软件保护的方案。
关键词:软件保护;Java软件;秘钥
软件是一切计算机应用的基础,满足不同行业、不同领域需求,面向各类应用的软件不断地孕育而生。计算机软件是高级逻辑思维的产物,是典型的技术密集型产品,其价值集中体现在内部的核心技术中,一旦被窃取或者复制,由此带来的经济、社会损失有时是无法估量的。软件保护就是在开发者被这种问题所困扰的情况下应运而生。
一、Java软件保护面临的问题解析
在对Java体制和Java类文件深入分析研究的基础上,人们从不同的角度出发,提出了多种保护技术,这些保护技术在一定程度上起到了保护Java类文件的作用,但是都存在各自的缺点和不足。本地化技术是以丧失Java的跨平台性为代价的,而这恰恰是Java广受欢迎的重要原因,另外,目前的本地编译器还较不成熟,对Java类库的支持还远远不够。远程接口访问技术只适用于分布式结构的应用软件,而无法应用于单机应用软件,同时这种方法也存在着很大的安全隐患,一旦应用服务器被攻破,那么部署在其上的全部类文件都会泄露出去,造成更大的损失。数字水印技术目前被广泛的应用,但是数字水印技术不是一种主动的防御技术,而是一种被动的取证技术,只能在侵权行为己经发生,攻击者己经成功获得代码,为证明产权的归属提供证据时发挥作用,而不能从根本上用技术手段防止侵权行为的发生。
二、Java加密类文件保护的可行性
在Java软件保护中,需要保护的内容是体现软件价值的创新之处和核心算法,这些都包含在不同的类文件中,如果能够确保核心类文件的内容不被攻击者获得就可以确保Java软件的安全性。密码学是研究利用数学算法将明文转变为不可能理解的密文和反过来将密文转变为可理解形式的明文的方法、手段和理论的一门科学。利用密码技术,可以将敏感信息加密并通过一种并不安全的途径传递。这样,只有拥有密钥的收件人或终端才能解读原始信息。加密技术是一种数据安全的科学,要完成信息加密需要一种加密算法和一个密钥。使用加密的方法来保护类文件,需要确保密钥的安全。在采用加密技术保护信息时,核心是对密钥的保护,而不是对算法或硬件本身的保护。这就涉及到密钥管理(key management)问题,而密钥管理是密码学中最困难的一部分,经常是保密系统的一个致命弱点。
在本方案的设计中,将密钥隐藏在密文中,解密时首先使用密钥提取算法提取密钥。作为解密模块的一部分,密钥提取算法不能被加密,否则又需要别的模块先将它解密,如此将形成循环,而密钥提取算法又是必须加以保护、不能被攻击者获得的关键内容,否则对类文件进行的加密将失去意义。在这里,本方案采用将解密算法本地化的方法来实现保护的目的,解密算法功能简单,只涉及基本的运算,所以在本地化过程中并不会出现前文所述的问题,可以对不同的平台实现不同的本地版本,而Java程序本身依然可以保持"一次编译、处处运行"的跨平台性,这样解密模块的安全性就达到了与C/C+十等传统语言开发的软件同样的安全性,要获得解密算法流程只能通过反汇编和程序跟踪等技术手段,这就大大提高了Java软件的安全性,这是本方案在安全性上的可行性。
三、方案的实现
加密类文件保护方案结合类文件加密、密钥隐藏、定制ClassLoader技术来实现Java类文件保护。该方案的核心思想如下:
1、加密Java类文件
用专门实现的加密工具来加密Java类文件,加密后的Java类文件不再是一种有格式的字节码文件,而是一堆乱码,因此反编译器无法对其进行反编译,将类文件的安全建立在加密体制的安全性基础之上。
2、提出了一种新的密钥管理算法
加密算法使用伪随机的密钥加密类文件,在密钥的保护的问题上,本方案将密钥隐藏在加密之后的类文件中,因此,如何隐藏密钥是确保类文件安全的一个关键问题,既要确保密钥的安全性,不被攻击者非法获得,又要保证解密时提取的快速和正确。
3、使用定制的ClassLoader
在定制的启动程序中调用Class.forName()来替换虚拟机默认使用的System ClassLoader,转而使用Decrypt ClassLoader来载入MainClass,这样被MainClass直接或I旬接引用的Java类都将由Decrypt ClassLoader载入,定制的Decrypt ClassLoader查找并解密类文件而后完成加载。Decrypt ClassLoader在本方案中是不能够被加密的,否则JVM无法加载它,加密的类文件也就无法完成解密,因此如何保护Decrypt ClassLoader是最终必须解决的问题,用C++语言实现关键的解密算法部分,并将其编译为动态链接库文件,在Decrypt ClassLoader中并不涉及任何算法细节只是通过本地接口调用本地化的解密算法实现解密。
加密流程:首先将应用软件中待加密的类文件从jar包中抽取出来,由密钥生成算法生成伪随机的密钥,然后加密模块使用此密钥对类文件进行加密,加密完成后,密钥隐藏模块将密钥隐藏于加密后生成的类文件中,最后将加密后的类文件和定制的Classloader重新打包成jar文件,加密过程结束。
解密流程:首先定制的启动程序调用定制的Decrypt Classloader载入加密类文件,Decrypt Classloader则通过本地接口调用动态链接库文件Decrypt Dll实现文件解密,先从密文中提取出解密密钥,然后使用此密钥完成加密类文件的解密,解密完成后通过JNI技术调用defineclass()方法,将类对象返回给JVM,至此解密流程结束。
四、结语
本文针对Java软件保护的需求,从Java类加载机制入手,提出了加密类文件来实现软件保护的方案,具有如下特点:
1、安全性高
在此方案中Decrypt ClassLoader调用动态链接库文件实现解密,而负责解密的动态链接库通过使用JNI技术,所以Class对象是由Java虚拟机创建的。加密的密钥是采用伪随机算法生成的,具有良好的随机性;密钥分存算法确保了攻击者获取密钥的困难性,因此采用本方案保护Java类文件具有极高的安全性。
2、保持跨平台性
本保护方案中,除具体负责解密的动态链接库文件DecryptDll外,全部采用Java实现,安全性依赖于本地化的密钥提取算法,因此最大程度上保护了Java的跨平台性。
3、通用性强,应用方便
应用此方案实现Java软件的保护,单机应用程序不需要对应用软件的代码作任何改变,网络应用程序的改动也比较小,将servlet的接口和实现分离即可,只需要使用定制的工具加密相应的类文件,并在应用环境下使用定制的Classloader即可实现类文件的解密,因此本方案是一种通用性强、高效方便实现Java软件保护的方法。
参考文献:
[1]申茜,辛晓辉.JAVA软件面临的风险及其保护[J].电脑知识与技术(学术交流),2007,(23).
[2]胡燕京,张健,王海义,刘轶群.软件保护研究及其在Java软件保护中的应用[J].现代电子技术,2007,(15).
[3]张逸,杨洪耕.一种基于网络的软件保护方案[J].微计算机信息,2009,(9).
[4]周立国,熊小兵,孙洁.基于自封闭代码块的软件保护技术[J].计算机应用,2009,(3).
[5]董建刚,原民民.基于公开密钥算法的软件保护策略[J].科学技术与工程,2009,(6).
作者简介:张琦(1990.5-),男,黑龙江省绥化市望奎县人,本科学历,就读于天津工业大学,软件工程2009级本科生,研究方向:软件开发。
关键词:软件保护;Java软件;秘钥
软件是一切计算机应用的基础,满足不同行业、不同领域需求,面向各类应用的软件不断地孕育而生。计算机软件是高级逻辑思维的产物,是典型的技术密集型产品,其价值集中体现在内部的核心技术中,一旦被窃取或者复制,由此带来的经济、社会损失有时是无法估量的。软件保护就是在开发者被这种问题所困扰的情况下应运而生。
一、Java软件保护面临的问题解析
在对Java体制和Java类文件深入分析研究的基础上,人们从不同的角度出发,提出了多种保护技术,这些保护技术在一定程度上起到了保护Java类文件的作用,但是都存在各自的缺点和不足。本地化技术是以丧失Java的跨平台性为代价的,而这恰恰是Java广受欢迎的重要原因,另外,目前的本地编译器还较不成熟,对Java类库的支持还远远不够。远程接口访问技术只适用于分布式结构的应用软件,而无法应用于单机应用软件,同时这种方法也存在着很大的安全隐患,一旦应用服务器被攻破,那么部署在其上的全部类文件都会泄露出去,造成更大的损失。数字水印技术目前被广泛的应用,但是数字水印技术不是一种主动的防御技术,而是一种被动的取证技术,只能在侵权行为己经发生,攻击者己经成功获得代码,为证明产权的归属提供证据时发挥作用,而不能从根本上用技术手段防止侵权行为的发生。
二、Java加密类文件保护的可行性
在Java软件保护中,需要保护的内容是体现软件价值的创新之处和核心算法,这些都包含在不同的类文件中,如果能够确保核心类文件的内容不被攻击者获得就可以确保Java软件的安全性。密码学是研究利用数学算法将明文转变为不可能理解的密文和反过来将密文转变为可理解形式的明文的方法、手段和理论的一门科学。利用密码技术,可以将敏感信息加密并通过一种并不安全的途径传递。这样,只有拥有密钥的收件人或终端才能解读原始信息。加密技术是一种数据安全的科学,要完成信息加密需要一种加密算法和一个密钥。使用加密的方法来保护类文件,需要确保密钥的安全。在采用加密技术保护信息时,核心是对密钥的保护,而不是对算法或硬件本身的保护。这就涉及到密钥管理(key management)问题,而密钥管理是密码学中最困难的一部分,经常是保密系统的一个致命弱点。
在本方案的设计中,将密钥隐藏在密文中,解密时首先使用密钥提取算法提取密钥。作为解密模块的一部分,密钥提取算法不能被加密,否则又需要别的模块先将它解密,如此将形成循环,而密钥提取算法又是必须加以保护、不能被攻击者获得的关键内容,否则对类文件进行的加密将失去意义。在这里,本方案采用将解密算法本地化的方法来实现保护的目的,解密算法功能简单,只涉及基本的运算,所以在本地化过程中并不会出现前文所述的问题,可以对不同的平台实现不同的本地版本,而Java程序本身依然可以保持"一次编译、处处运行"的跨平台性,这样解密模块的安全性就达到了与C/C+十等传统语言开发的软件同样的安全性,要获得解密算法流程只能通过反汇编和程序跟踪等技术手段,这就大大提高了Java软件的安全性,这是本方案在安全性上的可行性。
三、方案的实现
加密类文件保护方案结合类文件加密、密钥隐藏、定制ClassLoader技术来实现Java类文件保护。该方案的核心思想如下:
1、加密Java类文件
用专门实现的加密工具来加密Java类文件,加密后的Java类文件不再是一种有格式的字节码文件,而是一堆乱码,因此反编译器无法对其进行反编译,将类文件的安全建立在加密体制的安全性基础之上。
2、提出了一种新的密钥管理算法
加密算法使用伪随机的密钥加密类文件,在密钥的保护的问题上,本方案将密钥隐藏在加密之后的类文件中,因此,如何隐藏密钥是确保类文件安全的一个关键问题,既要确保密钥的安全性,不被攻击者非法获得,又要保证解密时提取的快速和正确。
3、使用定制的ClassLoader
在定制的启动程序中调用Class.forName()来替换虚拟机默认使用的System ClassLoader,转而使用Decrypt ClassLoader来载入MainClass,这样被MainClass直接或I旬接引用的Java类都将由Decrypt ClassLoader载入,定制的Decrypt ClassLoader查找并解密类文件而后完成加载。Decrypt ClassLoader在本方案中是不能够被加密的,否则JVM无法加载它,加密的类文件也就无法完成解密,因此如何保护Decrypt ClassLoader是最终必须解决的问题,用C++语言实现关键的解密算法部分,并将其编译为动态链接库文件,在Decrypt ClassLoader中并不涉及任何算法细节只是通过本地接口调用本地化的解密算法实现解密。
加密流程:首先将应用软件中待加密的类文件从jar包中抽取出来,由密钥生成算法生成伪随机的密钥,然后加密模块使用此密钥对类文件进行加密,加密完成后,密钥隐藏模块将密钥隐藏于加密后生成的类文件中,最后将加密后的类文件和定制的Classloader重新打包成jar文件,加密过程结束。
解密流程:首先定制的启动程序调用定制的Decrypt Classloader载入加密类文件,Decrypt Classloader则通过本地接口调用动态链接库文件Decrypt Dll实现文件解密,先从密文中提取出解密密钥,然后使用此密钥完成加密类文件的解密,解密完成后通过JNI技术调用defineclass()方法,将类对象返回给JVM,至此解密流程结束。
四、结语
本文针对Java软件保护的需求,从Java类加载机制入手,提出了加密类文件来实现软件保护的方案,具有如下特点:
1、安全性高
在此方案中Decrypt ClassLoader调用动态链接库文件实现解密,而负责解密的动态链接库通过使用JNI技术,所以Class对象是由Java虚拟机创建的。加密的密钥是采用伪随机算法生成的,具有良好的随机性;密钥分存算法确保了攻击者获取密钥的困难性,因此采用本方案保护Java类文件具有极高的安全性。
2、保持跨平台性
本保护方案中,除具体负责解密的动态链接库文件DecryptDll外,全部采用Java实现,安全性依赖于本地化的密钥提取算法,因此最大程度上保护了Java的跨平台性。
3、通用性强,应用方便
应用此方案实现Java软件的保护,单机应用程序不需要对应用软件的代码作任何改变,网络应用程序的改动也比较小,将servlet的接口和实现分离即可,只需要使用定制的工具加密相应的类文件,并在应用环境下使用定制的Classloader即可实现类文件的解密,因此本方案是一种通用性强、高效方便实现Java软件保护的方法。
参考文献:
[1]申茜,辛晓辉.JAVA软件面临的风险及其保护[J].电脑知识与技术(学术交流),2007,(23).
[2]胡燕京,张健,王海义,刘轶群.软件保护研究及其在Java软件保护中的应用[J].现代电子技术,2007,(15).
[3]张逸,杨洪耕.一种基于网络的软件保护方案[J].微计算机信息,2009,(9).
[4]周立国,熊小兵,孙洁.基于自封闭代码块的软件保护技术[J].计算机应用,2009,(3).
[5]董建刚,原民民.基于公开密钥算法的软件保护策略[J].科学技术与工程,2009,(6).
作者简介:张琦(1990.5-),男,黑龙江省绥化市望奎县人,本科学历,就读于天津工业大学,软件工程2009级本科生,研究方向:软件开发。