精品库我们的都是精品 _www.jingpinwenku.com 较好的保护单机应用软件但却无法应用于网络应用软件, 因为服务器端程序运行在 Java 应用服务器上, 因此本地化的解决方案

摘要 Java 软件的保护方法是大家一直关注的问题之一本文详细介绍了本地化技术远程接口访问技术软件数字水印技术以及混淆技术等四种传统的 Java 软件保护方法, 并分析了这些方法各自存在的问题希望本文的研究能够对 Java 软件保护技术领域的研究起到抛砖引玉的作用推荐阅读我国有线数字电视网健康发展的有效途径关键词 Java; 保护技术 ; 研究一本地化技术 Java 本地化, 是指通过将 Java 应用程序编译成本地应用程序, 如 Windows 操作系统下扩展名为 ex 的应用程序, 来达到增加反编译的难度, 实现软件保护的方法实现步骤如下 : 首先编写 Java 源代码, 然后通过 Java 编译器将 Java 源代码编译成 J ava 类文件, 最后使用本地编译工具将 Java 类文件编译成二进制的本机应用程序 Java 本地化技术产生的是二进制格式的可执行文件, 与在虚拟机中执行的 Java 应用程序相比, 可以产生更快的执行速度和更小的内存占用由于程序已经从类文件被编译成二进制的可执行文件, 原本类文件由于自身结构特性所带来的安全隐患也就随之消失了, 反编译不再成为 Java 软件的安全威胁, 在这种情况下,Java 软件的安全性达了到与传统的用 C/C++ 等语言开发的软件一样的强度目前许多本地编译工具被开发出来, 并获得广泛的使用本地化技术虽然能够很好的保护 Java 类文件, 使其达到与传统的用 C/C++ 等语台开发的软件一样的安全强度, 但也存在以下几个问题 : 1 失去了一次编译, 到处运行的跨平台性本地编译得到的是二进制格式的可执行文件, 它依赖于具体的运行平台, 只能在具体编译过程执行的同一种平台上运行, 因而失去了跨平台的特性 2 无法应用于 B/S 结构的网络应用软件本地化技术依赖于具体的运行平台, 生成的是一个可执行程序, 这种解决方案可以本文来自精品文库网 www.jingpinwenku.com

精品库我们的都是精品 _www.jingpinwenku.com 较好的保护单机应用软件但却无法应用于网络应用软件, 因为服务器端程序运行在 Java 应用服务器上, 因此本地化的解决方案明显不支持这种类型的应用程序 3 错误定位困难 Java 软件本地化处理是一个相对较新的课题, 诊断分析的理论基础薄弱, 要准确的诊断和定位本机编译产生的 Java 应用程序中出现的问题十分困难, 尤其当 Java 类文件版本中没有发生该错误的时候二远程接口访问技术分布式结构是现代软件开发中广泛采用的一种体系结构, 通常将软件分为客户端和服务器端, 核心的功能模块和业务流程都部署在服务器端为客户端提供服务, 客户端负责采集数据提交服务请求和与服务器端通信, 这种体系结构的采用可以提高系统的可移植性和互操作性, 大幅度降低软件的开发成本现在通过接口提供服务的标准和协议越来越多把实现核心功能的类文件放在远程服务端, 这种模式就是现在流行的 Java 服务器应用程序, 也称为 web 应用程序 Web 应用程序模式的发展不但适应了各种计算环境的需要, 从另外一个角度看也实现了源代码的隔离, 起到了保护 Java 软件的作用可以通过远程接口访问达到软件保护的目的, 防止黑客或者其他软件分析人员通过反编译核心算法所在的类文件得到源代码所谓远程接口访问是指将应用和实现相分离, 将软件的核心算法等关键部分部署在远程的应用服务器上, 用户通过访问应用服务器的接口提交服务请求和获得服务, 在整个过程中用户无法访问到关键部分的类文件远程接口访问技术使得用户无法获得类文件, 也就从根本上防止了对类文件进行反编译获得源代码的可能性远程接口访问技术能有效地保护关键的 Java 类文件, 从而达到软件保护的目的但是这种方式也存在着明显的局限性和很大的安全隐患 : 1 远程接口访问技术只适用于 B/S 结构或者分布式结构的软件, 而对单机运行的应用软件则不适用 2 远程接口访问技术实际上是将保护的焦点从关键的类文件转移到了应用服务器上在这种体系结构下, 制定完善的安全机制来保护端口至关重要, 因为如果应用服

务器被攻破, 那么所有部署在服务器上的服务模块和类文件就完全暴露在攻击者面前, 后果不堪设想三软件数字水印技术软件数字水印是众多数字水印的一种, 它的主要保护对象是计算机代码, 包括源代码和机器码使得它们免于或者减少遭受非法复制和非法篡改的危险由于计算机代码是不能容忍任何错误的, 因此一些传统的利用可允许错误范围内修改计算机程序从而嵌入水印的方法将不适用于计算机软件 1 软件数字水印的用途 (1) 作为侵犯知识产权的证据在一般情况下, 发生剽窃事件时, 由于难以举证, 常常难以判断真正的原创者引入软件数字水印技术后, 在程序中嵌入代表作者身份的软件数字水印, 那么在对被怀疑的程序进行验证时, 就可以用水印解码的方法从程序中得到真正的作者的信息 (2) 发现被剽窃的程序要确定一款软件中是否包含剽窃的程序模块是一件很困难的事情, 因为通常相对于程序整体而言, 剽窃的程序模块只是很小的一部分, 非法程序和原程序的具体规范可能会有很大的不同利用数字水印可以有效的找到被盗的程序模块, 对于在互联网上流通的程序, 有一种爬虫技术, 它在互联网上到处活动, 搜寻特定的目标, 可以利用爬虫找到包含特定数字水印的程序, 从而发现被盗模块 (3) 追踪非法拷贝的源头由于计算机软件极其容易被无差异复制, 不法分子在获得授权版本后可以对其进行非法复制和分发以获得经济利益因此, 有必要登记授权用户信息以追查非法拷贝的源头仅仅登记授权用户信息是不够的, 因为这无法将特定的授权版本和具体的授权用户联系起来为了达到追踪目的, 必须提供这种联系, 而且这种联系必须是隐秘的, 否则很容易给破坏数字水印正好可以满足这些要求, 它通过在把授权用户信息嵌入到授权版本来建立这种内在联系当发现市场上流通的盗版软件时, 可以检测水印信息从而获得授权用户信息对参与盗版的授权用户进行惩罚, 从而减少这种行为的发生

精品库我们的都是精品 _www.jingpinwenku.com 2 软件数字水印的不足软件数字水印技术也存在一些不足, 比如 : 需要插入额外的代码, 需要仔细地编写哑函数及其调用, 否则容易被有经验的反编译者识破, 从而擦除水印另外, 静态软件数字水印算法的健壮性相对较差, 而动态软件数字水印算法虽然具有很好的健壮性, 但是它只能保护整个应用程序, 而不能保护某一部分特定的代码, 同时, 动态软件数字水印的检测方式令它的某些应用受到限制目前的水印算法在提供可靠的版权证明方面或多或少都有一些的尚不完善的地方, 因此寻找能提供完全可靠版权保护的软件数字水印算法成为一个重要的课题四混淆技术 1 混淆的定义代码混淆技术是目前比较成熟和流行的一种软件保护技术代码混淆技术是对类文件进行代码语义程序流程和逻辑结构的重新组织, 代码混淆并不能增加反编译的难度, 使用反编译器仍然可以对混淆后的类文件进行反编译, 得到代码, 但此时的代码是经混淆后的代码, 可读性己经大大降低, 难以从代码中发现源代码的编写思路和关键算法, 从而达到保护软件的目的典型的混淆技术包括去除所有的调试信息, 使用机器生成的名称重命名包类和方法等目前的混淆程序提供的功能则更强大, 通过重构现有的逻辑和插入不执行的伪代码来改变控制流程混淆的前提是变换不会破坏字节码的有效性, 也不会改变对外所表现的功能混淆的可行与反编译的可行是出于同一原因 :Java 字节码是标准化的, 而且是很容易归档的混淆程序加载 Jav a 类文件, 分析其格式然后根据所支持的特性进行变换当所有的变换完成后, 字节码就保存成一个新的类文件新文件具有不同的内部结构, 而其行为与原始文件一致 2 混淆技术存在的问题从安全性角度看, 混淆确实可以在很大程度上破坏反编译代码的可读性, 增加逆向工程的难度, 有效地保护软件, 但并不是绝对的实践证明, 除非使用控制流程的混淆, 打乱程序的流程, 否则阅读和处理混淆的代码并不是很困难的事情即便使用了流程控制, 具备重量级的调试程序和足够经验的攻击者仍然可能破解软件参考文献 1 申茜 JAVA 软件面临的风险及其保护电脑知识与技术 ( 学术交流 ) 2007/23

2 胡燕京软件保护研究及其在 Java 软件保护中的应用现代电子技术 2007/15 3 甘晟科 Java 软件的加密方法研究与应用计算机与现代化 2005/02 采稿网 ( 论文发表网 ) 是专门从事职称论文论文发表发表论文职称论文发表论文投稿文章发表的专业网站, 为您职称评定提供一站式服务

精 品 库 我 们 的 都 是 精 品 _www.jingpinwenku.com 较 好 的 保 护 单 机 应 用 软 件 但 却 无 法 应 用 于 网 络 应 用 软 件, 因 为 服 务 器 端 程 序 运 行 在 Java 应 用 服 务 器 上, 因 此 本 地 化 的 解 决 方 案

精品库我们的都是精品 _www.jingpinwenku.com 较好的保护单机应用软件但却无法应用于网络应用软件, 因为服务器端程序运行在 Java 应用服务器上, 因此本地化的解决方案