創(chuàng)建高等級(jí)應(yīng)用程序安全性的最佳做法

軟件盜版仍然在不斷蔓延仍然猖獗。根據(jù)商業(yè)軟件協(xié)會(huì)和IDC的第二次年度全球軟件盜版調(diào)查，在全世界個(gè)人計(jì)算機(jī)上安裝的軟件有35%是盜版軟件，這意味著在2004年盜版造成了將近本白皮書將研究流行的黑客攻擊手段以及有效的反擊手段。威脅評(píng)估為了確定對(duì)應(yīng)用程序最合適的安全解決方案，您必須首先評(píng)估您的應(yīng)用程序所面臨的威脅。不幸的是，但還是還有很多黑客把破解軟件保護(hù)方案當(dāng)作其挑戰(zhàn)個(gè)人能力的一種手段，專以破解軟件保護(hù)為樂。某些黑客也以此為營利手段。CD在街頭販賣。無論其分發(fā)渠道如何，黑客們賺取收入的同時(shí)都意味著合法軟件供應(yīng)商的收入在流失。隨著寬帶連接的快速普及，這種做法導(dǎo)致軟件被大范圍免費(fèi)獲取。了解了敵人的動(dòng)機(jī)及其戰(zhàn)略目標(biāo)后，讓我們來研究一下他們的戰(zhàn)術(shù)。下面列出了一些最流行的攻擊手段，這些是任何有效的反盜版解決方案必須抵御的攻擊。驅(qū)動(dòng)程序替換/仿真：這種攻擊手段會(huì)替換/仿真應(yīng)用程序用于與保護(hù)鎖通信的驅(qū)動(dòng)程序（基于軟件）。重放:在重放類攻擊中，黑客會(huì)監(jiān)視并復(fù)制硬件保護(hù)鎖與應(yīng)用程序之間的通信數(shù)據(jù)，然后通過重現(xiàn)通信過程來訪問應(yīng)用程序。逆向工程：逆向工程是使用調(diào)試器和/或反匯編器來解除軟件保護(hù)機(jī)制的方法。攻擊者們使用這些工具來了解應(yīng)用程序的工作方式。然后，攻擊者們會(huì)使用調(diào)試器和反匯編器轉(zhuǎn)儲(chǔ)代碼除去對(duì)硬件設(shè)備的調(diào)用。.最高的安全保護(hù)級(jí)別可能是售出的每份軟件都由開著坦克裝備著催淚彈的武裝護(hù)衛(wèi)隊(duì)來保護(hù)。PC但顯然我們也無需贅言這種解決方案不具備可行性。排除了“雇傭打手”后，我們將繼續(xù)研究最可能保護(hù)應(yīng)用程序的合理安全措施。但是，因?yàn)槭跈?quán)存儲(chǔ)在機(jī)器上而非外部設(shè)備上，所以不能認(rèn)為軟件的運(yùn)行環(huán)境是絕對(duì)安全的。雖然硬件保護(hù)鎖不象無線互聯(lián)網(wǎng)或發(fā)動(dòng)機(jī)那樣受最終用戶歡迎，但硬件保護(hù)鎖并不會(huì)造成很大不便，因而也不會(huì)影響軟件的銷售。事實(shí)上，黑客們一直在進(jìn)化發(fā)展，雖然我們更希望他們保持在單細(xì)胞生物形態(tài)。因?yàn)槲覀兠媾R的威脅會(huì)隨環(huán)境而變化，因此軟件供應(yīng)商們也必須調(diào)整其保護(hù)方案。高級(jí)別的應(yīng)用程序安全措施應(yīng)該與時(shí)俱進(jìn)，并加入阻止新攻擊威脅的創(chuàng)新手段。保護(hù)鎖所能提供的安全性取決于對(duì)此通信的防護(hù)——鏈條的強(qiáng)度取決于最弱的一環(huán)。為了保護(hù)此通信，很多硬件保護(hù)鎖都采用了加密算法。其中包括高級(jí)加密標(biāo)準(zhǔn)S由美國標(biāo)準(zhǔn)與技術(shù)研究院于2001年11月開始采用并且廣受好評(píng)，目前已經(jīng)出現(xiàn)了更強(qiáng)的加密方法。ECC），這是被認(rèn)為無法用數(shù)學(xué)方法攻破的加密法。這種公鑰加密法可以創(chuàng)建不對(duì)稱密鑰。配合算法使用時(shí)，這些密鑰可以在應(yīng)用程序和硬件加密鎖之間建立一個(gè)加密的通信隧道。建立這樣的通信就意味著硬件加密鎖與應(yīng)用程序可通過這個(gè)端對(duì)端隧道進(jìn)行防黑客通信。使用加密標(biāo)準(zhǔn)創(chuàng)建安全隧道可有效消除“記錄回放”和驅(qū)動(dòng)程序仿真等中間層攻擊的可能。因?yàn)樵趹?yīng)用程序與硬件加密鎖之間的每次通信會(huì)話都使用了唯一的加密密鑰，暴力攻擊和加密鎖克隆事實(shí)上也不再可能實(shí)現(xiàn)。ECC保護(hù)鎖將采用以下步驟生成驗(yàn)證器（或者稱為種子或密鑰）：1. 生成隨機(jī)消息. 3. 使用已知的加密鎖公鑰來驗(yàn)證簽名雷達(dá)擾頻雖然逆向工程構(gòu)成了巨大的威脅：但如果能成功實(shí)現(xiàn)逆向工程，將可以消除所有反盜版保護(hù)。但是有無數(shù)工具都可以防止逆向工程的進(jìn)行。但是，如果同時(shí)實(shí)現(xiàn)這些技術(shù)，加上應(yīng)用程序與硬件保護(hù)鎖之間的安全通信，應(yīng)用程序的安全性將可以更上一層樓。簡(jiǎn)單的壓縮代碼以減少應(yīng)用程序的整體大小，就可以使逆向工程變得更加困難。在應(yīng)用程序外多層加殼打包也是一種有效手段，尤其是如果每層都包含了用于驗(yàn)證完整性的校驗(yàn)碼。Maze技術(shù)、虛擬宏以及多指令集代碼更可以進(jìn)一步阻止攻擊企圖。通常這些保護(hù)形式可以由您硬件保護(hù)鎖的軟件開發(fā)包自動(dòng)管理，從而可以在幾分鐘內(nèi)實(shí)現(xiàn)附加的防線。在時(shí)間緊急時(shí)，開發(fā)者可能會(huì)只使用加殼技術(shù)來作為應(yīng)用程序的保護(hù)措施。雖然將應(yīng)用程序加殼可以增加授權(quán)調(diào)用函數(shù)和防護(hù)層，但比起在遍布可執(zhí)行源代碼的嵌入式保護(hù)來說，這種保護(hù)更容易被攻破。最佳的實(shí)現(xiàn)手段應(yīng)包括通過鎖定目標(biāo)，瞄準(zhǔn)待命保護(hù)鎖單元也可由應(yīng)用程序數(shù)據(jù)使用。對(duì)于保護(hù)鎖的可讀寫存儲(chǔ)器，通過編程也可以作為應(yīng)用程序的變量或參數(shù)。一種保護(hù)試用軟件的方法是提供其功能限制版本。要保護(hù)基于時(shí)間的授權(quán)，可以采用的一種方法是在硬件保護(hù)鎖中加入實(shí)時(shí)時(shí)鐘。這樣，潛在的黑客就必須先打開保護(hù)鎖來修改時(shí)鐘，而這一過程將導(dǎo)致整個(gè)保護(hù)鎖毀壞。對(duì)付時(shí)間篡改其實(shí)還有更簡(jiǎn)單更聰明的方法。這種解決方案既可以讓您提供基于時(shí)間的授權(quán)，也可以保護(hù)基于時(shí)間的試用版軟件的安全。在通過渠道實(shí)現(xiàn)授權(quán)時(shí)，軟件供應(yīng)商必須確保其經(jīng)銷鏈中其他環(huán)節(jié)的安全。如果您希望控制您的經(jīng)銷伙伴創(chuàng)建授權(quán)的能力，可以在生產(chǎn)過程中采用硬件保護(hù)鎖來分配和嵌入加密密鑰。通過對(duì)經(jīng)銷商加密鎖進(jìn)行計(jì)數(shù)可實(shí)施限制，例如限制最大的授權(quán)數(shù)量或只能創(chuàng)建試用版。此過程要求使用特定的密鑰來簽署。簽署密鑰存儲(chǔ)在硬件保護(hù)鎖中。ISV與經(jīng)銷商的保護(hù)鎖都能夠簽署授權(quán)。但是在經(jīng)銷商的簽署密鑰上綁定了計(jì)數(shù)器，控制著能夠生成的授權(quán)數(shù)量。ISV可以遠(yuǎn)程重置此計(jì)數(shù)器。具體授權(quán)中使用的功能則只能由ISV創(chuàng)建并簽署。結(jié)語技術(shù)無時(shí)無刻不再每時(shí)每刻都在變化發(fā)展。不幸的是，這也包括安全威脅的發(fā)展。基于外部硬件的解決方案提供了目前為止最高的安全性。選擇安全的硬件保護(hù)鎖并專業(yè)的集成到您的應(yīng)用程序中將可以實(shí)現(xiàn)極高的防護(hù)級(jí)別——而且成本要大大低于雇傭武裝護(hù)衛(wèi)隊(duì)。SafeNet（納斯達(dá)克代碼：SFNT）是信息安全領(lǐng)域的全球知名公司。SafeNet成立于20世紀(jì)80年代，利用其加密技術(shù)保護(hù)通信、知識(shí)產(chǎn)權(quán)和數(shù)字標(biāo)識(shí)，并為客戶提供包括硬件、軟件和芯片等在內(nèi)的各種全面安全保護(hù)解決方案。ARM、美洲銀行、CiscoSystems、美國國防部和國土安全部、Microsoft、Samsung、TexasInstruments和美國國內(nèi)稅務(wù)署以及其他無數(shù)客戶都采用SafeNet的產(chǎn)品來保護(hù)其安全。如需了解更多信息，請(qǐng)?jiān)L問c。www.safenet-inc.comrHdr4690MillenniumDriveBelcamp,Marland21017USAl:+1410.931.7500rnnnd0nCi)-0F 35E-mail ncWe wo?205feet,nc.本文件包含Sfeet,Inc.的私有信息。未經(jīng)Sfefee此處所陳述之觀點(diǎn)可隨時(shí)更改，而無需恕不另行通知。

ustralia63883azl+51148aaa+63a+861811ad+35050race331443eany+498037246K+852.3577a+11217Jaan8146073rea+231758Mexc55751eteras+173are