WEB系统防止拷贝编译的一点方法

    公司根据某个客户开发了一套相对专用的WEB系统,后来就议论到系统如何防止拷贝和基础之上来.在网上找了半天,大部分都在讲代码混淆,而涉及到如何防止拷贝的地方却很少.综合了网上通用的做法,自己再加点东西,就成了一个比较简单的防止拷贝方法.
方法只适用于一些简单的小系统中,在安全性要求比较高的地方,就不适用了.且没有考虑到代码混淆部分,主要防止非技术人员对系统进行非技术方面的操作.(只防普通用户)
    1,数据库
    现在基本上都把用户名和密码放在配置文件中,所以将连接数据放在程序里已不适实际.于是考虑在进行数据连接的代码中,将读出的数据进行另一种运算(解密)而得到实际的数据.如下图所示:

Xml代码

1. <driver-properties>  
2.     <property name="decrypt" value="true"/>  
3.     <property name="user" value="root"/>  
4.     <property name="password" value="4akslkslksiwx3fr24sef"/>  
5. </driver-properties>  

<driver-properties><property name="decrypt" value="true"/><property name="user" value="root"/><property name="password" value="4akslkslksiwx3fr24sef"/></driver-properties>

     简单起见,只对密码进行了处理.实际密码为123456,而生成的密码根据
     配置文件中的密码,即是加密之后的密码,原密码为(123456).
     配置文件中的decrypt,即是是否解密的配置,当值为true时,表示为需要解密.而为false时,表示为不解密.
    在开发的时候,将decrypt置为false,并以明文密码开发;而在实际部署时,将密码进行加密处理之后,覆盖相应的配置文件.以达到数据库连接加密的目的.
 参考代码如下:

Java代码

1. String x = properties.getProperty("decrypt");   
2. if(x != null && x.equals("true")) {   
3.     String password = properties.getProperty("password");   
4.     if(password != null && password.length() > 0) {   
5.     String passwordTemp = new String(SingleCipher.getDefaultCipher().decrypt(SingleCipher.hex2byte(password)));   
6.     properties.remove("decrypt");   
7.     properties.setProperty("password", passwordTemp);   
8. }  

String x = properties.getProperty("decrypt");if(x != null && x.equals("true")) {String password = properties.getProperty("password");if(password != null && password.length() > 0) {String passwordTemp = new String(SingleCipher.getDefaultCipher().decrypt(SingleCipher.hex2byte(password)));properties.remove("decrypt");properties.setProperty("password", passwordTemp);}

 

     2,程序
     这里主要讨论的是在系统运行之中,在加载class文件时对文件进行解密操作再加载的情况.
     由于我们用的是tomcat,故考虑由tomcat的classLoader入手,将class的加载根据系统的需要分成两部分.对于需要进行解密加载的先进行解密(强制解密),而对于不需要的直接进行解析加载.具体方法如下:
     将需要进行加密的文件,以列表形式放在一个可配置的配置文件中,如encrypt.properties文件中.
    加密需要被加密的文件,并部署至用户系统.
    tomcat运行系统,运行加载class二进制文件时,读取配置文件,对需要解密的文件在加载时先进行解密操作,再加载文件.
   参考代码如下:
     encrypt.properties内容:

     

Java代码

1. com.XX.action.A.class  
2. com.XX.service.B.class  

com.XX.action.A.classcom.XX.service.B.class

    进行解析还原数据

   

Java代码

1. if(encryptFileList.contains(name)) {   
2. //binaryContent是由tomcat加载器读出的文件二进制数据   
3.     binaryContent = SingleCipher.getDefaultCipher().decrypt(binaryContent);   
4. }  

if(encryptFileList.contains(name)) {//binaryContent是由tomcat加载器读出的文件二进制数据binaryContent = SingleCipher.getDefaultCipher().decrypt(binaryContent);}

 
     这样,系统的运行将需要修改的tomcat才能运行,故当用户只是将系统拷贝之后,因为新的tomcat不能直接解析加密之后的class文件,而不能启动运行.达到防止拷贝的目的.
     3,机器绑定
     主要方法就是读取机器内部特征码(目前主要考虑到mac地址),进行一系列运算,与期望值相比对.如果符合,则表示目的机器是符合要求的,否则抛出异常,表示不能通过验证.主要步骤如下:
     在进行程序部署的时候,由相关命令生成一个指定文件X(文件名为C:/WINDOWS/sys.key,与系统文件相混淆),文件中包含本机的相关信息.
    源程序进行一个静态方法,在程序加载运行的同时,程序开始进行方法验证.
    方法读取指定的文件X.
    方法从文件中读取相应数据.
    方法读取运行机器的mac地址,按照即定算法生成相应的验证信息.
    将新验证信息与文件X中的验证信息进行比对,如果比对成功,验证通过.否则不通过.
 参考代码如下:

读出mac地址(适用于jdk1.6):

Java代码

1. Enumeration<NetworkInterface> networkInterfaces = NetworkInterface.getNetworkInterfaces();   
2. List<String> stringList = new ArrayList<String>();   
3. while(networkInterfaces.hasMoreElements()) {   
4.     NetworkInterface networkInterface = networkInterfaces.nextElement();   
5.     byte[] x = networkInterface.getHardwareAddress();   
6.     if(x != null) {   
7.         stringList.add(SingleCipher.byte2hex(x));   
8.         }   
9.     }   
10. return stringList.toArray(new String[stringList.size()]);  

Enumeration<NetworkInterface> networkInterfaces = NetworkInterface.getNetworkInterfaces();List<String> stringList = new ArrayList<String>();while(networkInterfaces.hasMoreElements()) {NetworkInterface networkInterface = networkInterfaces.nextElement();byte[] x = networkInterface.getHardwareAddress();if(x != null) {stringList.add(SingleCipher.byte2hex(x));}}return stringList.toArray(new String[stringList.size()]);

 静态验证:

Java代码

1. public static void vaditate() {   
2.     String fileName = FILE_NAME;   
3.     File file = new File(fileName);   
4.     try {   
5.         String random = getObject(file, 1);   
6.         String message = getObject(file, 2);   
7.         String[] mac = getMac();   
8.         if(mac.length == 0)   
9.             invalidate("no mac.");   
10.         for(String m : mac) {   
11.             String mTemp = byte2hex(SingleCipher.getDefaultCipher().encrypt((m + random).getBytes()));   
12.             if(mTemp.equals(message))   
13.                     return;   
14.         }   
15.         throw new Exception("ls");   
16.     } catch(Exception e) {   
17.             invalidate("verify error");   
18.     }   
19. }  

public static void vaditate() {String fileName = FILE_NAME;File file = new File(fileName);try {String random = getObject(file, 1);String message = getObject(file, 2);String[] mac = getMac();if(mac.length == 0)invalidate("no mac.");for(String m : mac) {String mTemp = byte2hex(SingleCipher.getDefaultCipher().encrypt((m + random).getBytes()));if(mTemp.equals(message))return;}throw new Exception("ls");} catch(Exception e) {invalidate("verify error");}}

 

 以上3个方法从不同的部分对代码进行保护.对于某些行业性的系统,有一定的保护作用.
 如果你有新的方法,还请告知.