創(chuàng)建高等級應用程序安全性的最佳做法

軟件盜版仍然在不斷蔓延仍然猖獗。根據(jù)商業(yè)軟件協(xié)會和IDC的第二次年度全球軟件盜版調(diào)查，在全世界個人計算機上安裝的軟件有35%是盜版軟件，這意味著在2004年盜版造成了將近本白皮書將研究流行的黑客攻擊手段以及有效的反擊手段。威脅評估為了確定對應用程序最合適的安全解決方案，您必須首先評估您的應用程序所面臨的威脅。不幸的是，但還是還有很多黑客把破解軟件保護方案當作其挑戰(zhàn)個人能力的一種手段，專以破解軟件保護為樂。某些黑客也以此為營利手段。CD在街頭販賣。無論其分發(fā)渠道如何，黑客們賺取收入的同時都意味著合法軟件供應商的收入在流失。隨著寬帶連接的快速普及，這種做法導致軟件被大范圍免費獲取。了解了敵人的動機及其戰(zhàn)略目標后，讓我們來研究一下他們的戰(zhàn)術。下面列出了一些最流行的攻擊手段，這些是任何有效的反盜版解決方案必須抵御的攻擊。驅(qū)動程序替換/仿真：這種攻擊手段會替換/仿真應用程序用于與保護鎖通信的驅(qū)動程序（基于軟件）。重放:在重放類攻擊中，黑客會監(jiān)視并復制硬件保護鎖與應用程序之間的通信數(shù)據(jù)，然后通過重現(xiàn)通信過程來訪問應用程序。逆向工程：逆向工程是使用調(diào)試器和/或反匯編器來解除軟件保護機制的方法。攻擊者們使用這些工具來了解應用程序的工作方式。然后，攻擊者們會使用調(diào)試器和反匯編器轉(zhuǎn)儲代碼除去對硬件設備的調(diào)用。.最高的安全保護級別可能是售出的每份軟件都由開著坦克裝備著催淚彈的武裝護衛(wèi)隊來保護。PC但顯然我們也無需贅言這種解決方案不具備可行性。排除了“雇傭打手”后，我們將繼續(xù)研究最可能保護應用程序的合理安全措施。但是，因為授權存儲在機器上而非外部設備上，所以不能認為軟件的運行環(huán)境是絕對安全的。雖然硬件保護鎖不象無線互聯(lián)網(wǎng)或發(fā)動機那樣受最終用戶歡迎，但硬件保護鎖并不會造成很大不便，因而也不會影響軟件的銷售。事實上，黑客們一直在進化發(fā)展，雖然我們更希望他們保持在單細胞生物形態(tài)。因為我們面臨的威脅會隨環(huán)境而變化，因此軟件供應商們也必須調(diào)整其保護方案。高級別的應用程序安全措施應該與時俱進，并加入阻止新攻擊威脅的創(chuàng)新手段。保護鎖所能提供的安全性取決于對此通信的防護——鏈條的強度取決于最弱的一環(huán)。為了保護此通信，很多硬件保護鎖都采用了加密算法。其中包括高級加密標準S由美國標準與技術研究院于2001年11月開始采用并且廣受好評，目前已經(jīng)出現(xiàn)了更強的加密方法。ECC），這是被認為無法用數(shù)學方法攻破的加密法。這種公鑰加密法可以創(chuàng)建不對稱密鑰。配合算法使用時，這些密鑰可以在應用程序和硬件加密鎖之間建立一個加密的通信隧道。建立這樣的通信就意味著硬件加密鎖與應用程序可通過這個端對端隧道進行防黑客通信。使用加密標準創(chuàng)建安全隧道可有效消除“記錄回放”和驅(qū)動程序仿真等中間層攻擊的可能。因為在應用程序與硬件加密鎖之間的每次通信會話都使用了唯一的加密密鑰，暴力攻擊和加密鎖克隆事實上也不再可能實現(xiàn)。ECC保護鎖將采用以下步驟生成驗證器（或者稱為種子或密鑰）：1. 生成隨機消息. 3. 使用已知的加密鎖公鑰來驗證簽名雷達擾頻雖然逆向工程構成了巨大的威脅：但如果能成功實現(xiàn)逆向工程，將可以消除所有反盜版保護。但是有無數(shù)工具都可以防止逆向工程的進行。但是，如果同時實現(xiàn)這些技術，加上應用程序與硬件保護鎖之間的安全通信，應用程序的安全性將可以更上一層樓。簡單的壓縮代碼以減少應用程序的整體大小，就可以使逆向工程變得更加困難。在應用程序外多層加殼打包也是一種有效手段，尤其是如果每層都包含了用于驗證完整性的校驗碼。Maze技術、虛擬宏以及多指令集代碼更可以進一步阻止攻擊企圖。通常這些保護形式可以由您硬件保護鎖的軟件開發(fā)包自動管理，從而可以在幾分鐘內(nèi)實現(xiàn)附加的防線。在時間緊急時，開發(fā)者可能會只使用加殼技術來作為應用程序的保護措施。雖然將應用程序加殼可以增加授權調(diào)用函數(shù)和防護層，但比起在遍布可執(zhí)行源代碼的嵌入式保護來說，這種保護更容易被攻破。最佳的實現(xiàn)手段應包括通過鎖定目標，瞄準待命保護鎖單元也可由應用程序數(shù)據(jù)使用。對于保護鎖的可讀寫存儲器，通過編程也可以作為應用程序的變量或參數(shù)。一種保護試用軟件的方法是提供其功能限制版本。要保護基于時間的授權，可以采用的一種方法是在硬件保護鎖中加入實時時鐘。這樣，潛在的黑客就必須先打開保護鎖來修改時鐘，而這一過程將導致整個保護鎖毀壞。對付時間篡改其實還有更簡單更聰明的方法。這種解決方案既可以讓您提供基于時間的授權，也可以保護基于時間的試用版軟件的安全。在通過渠道實現(xiàn)授權時，軟件供應商必須確保其經(jīng)銷鏈中其他環(huán)節(jié)的安全。如果您希望控制您的經(jīng)銷伙伴創(chuàng)建授權的能力，可以在生產(chǎn)過程中采用硬件保護鎖來分配和嵌入加密密鑰。通過對經(jīng)銷商加密鎖進行計數(shù)可實施限制，例如限制最大的授權數(shù)量或只能創(chuàng)建試用版。此過程要求使用特定的密鑰來簽署。簽署密鑰存儲在硬件保護鎖中。ISV與經(jīng)銷商的保護鎖都能夠簽署授權。但是在經(jīng)銷商的簽署密鑰上綁定了計數(shù)器，控制著能夠生成的授權數(shù)量。ISV可以遠程重置此計數(shù)器。具體授權中使用的功能則只能由ISV創(chuàng)建并簽署。結(jié)語技術無時無刻不再每時每刻都在變化發(fā)展。不幸的是，這也包括安全威脅的發(fā)展?；谕獠坑布慕鉀Q方案提供了目前為止最高的安全性。選擇安全的硬件保護鎖并專業(yè)的集成到您的應用程序中將可以實現(xiàn)極高的防護級別——而且成本要大大低于雇傭武裝護衛(wèi)隊。SafeNet（納斯達克代碼：SFNT）是信息安全領域的全球知名公司。SafeNet成立于20世紀80年代，利用其加密技術保護通信、知識產(chǎn)權和數(shù)字標識，并為客戶提供包括硬件、軟件和芯片等在內(nèi)的各種全面安全保護解決方案。ARM、美洲銀行、CiscoSystems、美國國防部和國土安全部、Microsoft、Samsung、TexasInstruments和美國國內(nèi)稅務署以及其他無數(shù)客戶都采用SafeNet的產(chǎn)品來保護其安全。如需了解更多信息，請訪問c。www.safenet-inc.comrHdr4690MillenniumDriveBelcamp,Marland21017USAl:+1410.931.7500rnnnd0nCi)-0F 35E-mail ncWe wo?205feet,nc.本文件包含Sfeet,Inc.的私有信息。未經(jīng)Sfefee此處所陳述之觀點可隨時更改，而無需恕不另行通知。

ustralia63883azl+51148aaa+63a+861811ad+35050race331443eany+498037246K+852.3577a+11217Jaan8146073rea+231758Mexc55751eteras+173are