公司的一個項目快完成了,最后要加上注冊驗證,翻了n多資料,終於做出來了。現在把體驗說一下,以后要用的時候也好找。~~
.Net自帶的類庫里面有個算法。
這個算法的原理是不對稱加密的原理。不對稱加密原理大家基本上都了解。加密的密碼(密鑰)分為兩個部分,公鑰和私鑰。通過私鑰加密的密文只能通過公鑰解密。根據這個特性,我們可以發現只要開發者保存好私鑰,即使算法代碼被客戶端破解,因客戶端不知道保存在開發者處的私鑰,也無法生成注冊碼。
這個算法的原理是不對稱加密的原理。不對稱加密原理大家基本上都了解。加密的密碼(密鑰)分為兩個部分,公鑰和私鑰。通過私鑰加密的密文只能通過公鑰解密。根據這個特性,我們可以發現只要開發者保存好私鑰,即使算法代碼被客戶端破解,因客戶端不知道保存在開發者處的私鑰,也無法生成注冊碼。
以下是代碼:
using System;
using System.Collections.Generic;
using System.ComponentModel;
using System.Data;
using System.Drawing;
using System.Text;
using System.Windows.Forms;
using System.Security.Cryptography;
using System.Collections.Generic;
using System.ComponentModel;
using System.Data;
using System.Drawing;
using System.Text;
using System.Windows.Forms;
using System.Security.Cryptography;
namespace RsaSecurity
{
public partial class Form1 : Form
{
string prikey, pubkey;
public Form1()
{
InitializeComponent();
//getKeys();
pubkey = "<RSAKeyValue><Modulus>xe3teTUwLgmbiwFJwWEQnshhKxgcasglGsfNVFTk0hdqKc9i7wb+gG7HOdPZLh65QyBcFfzdlrawwVkiPEL5kNTX1q3JW5J49mTVZqWd3w49reaLd8StHRYJdyGAL4ZovBhSTThETi+zYvgQ5SvCGkM6/xXOz+lkMaEgeFcjQQs=</Modulus><Exponent>AQAB</Exponent></RSAKeyValue>";
prikey = "<RSAKeyValue><Modulus>xe3teTUwLgmbiwFJwWEQnshhKxgcasglGsfNVFTk0hdqKc9i7wb+gG7HOdPZLh65QyBcFfzdlrawwVkiPEL5kNTX1q3JW5J49mTVZqWd3w49reaLd8StHRYJdyGAL4ZovBhSTThETi+zYvgQ5SvCGkM6/xXOz+lkMaEgeFcjQQs=</Modulus><Exponent>AQAB</Exponent><P>5flMAd7IrUTx92yomBdJBPDzp1Kclpaw4uXB1Ht+YXqwLW/9icI6mcv7d2O0kuVLSWj8DPZJol9V8AtvHkC3oQ==</P><Q>3FRA9UWcFrVPvGR5bewcL7YqkCMZlybV/t6nCH+gyMfbEvgk+p04F+j8WiHDykWj+BahjScjwyF5SGADbrfJKw==</Q><DP>b4WOU1XbERNfF3JM67xW/5ttPNX185zN2Ko8bbMZXWImr1IgrD5RNqXRo1rphVbGRKoxmIOSv7flr8uLrisKIQ==</DP><DQ>otSZlSq2qomgvgg7PaOLSS+F0TQ/i1emO0/tffhkqT4ah7BgE97xP6puJWZivjAteAGxrxHH+kPY0EY1AzRMNQ==</DQ><InverseQ>Sxyz0fEf5m7GrzAngLDRP/i+QDikJFfM6qPyr3Ub6Y5RRsFbeOWY1tX3jmV31zv4cgJ6donH7W2dSBPi67sSsw==</InverseQ><D>nVqofsIgSZltxTcC8fA/DFz1kxMaFHKFvSK3RKIxQC1JQ3ASkUEYN/baAElB0f6u/oTNcNWVPOqE31IDe7ErQelVc4D26RgFd5V7dSsF3nVz00s4mq1qUBnCBLPIrdb0rcQZ8FUQTsd96qW8Foave4tm8vspbM65iVUBBVdSYYE=</D></RSAKeyValue>";
}
{
public partial class Form1 : Form
{
string prikey, pubkey;
public Form1()
{
InitializeComponent();
//getKeys();
pubkey = "<RSAKeyValue><Modulus>xe3teTUwLgmbiwFJwWEQnshhKxgcasglGsfNVFTk0hdqKc9i7wb+gG7HOdPZLh65QyBcFfzdlrawwVkiPEL5kNTX1q3JW5J49mTVZqWd3w49reaLd8StHRYJdyGAL4ZovBhSTThETi+zYvgQ5SvCGkM6/xXOz+lkMaEgeFcjQQs=</Modulus><Exponent>AQAB</Exponent></RSAKeyValue>";
prikey = "<RSAKeyValue><Modulus>xe3teTUwLgmbiwFJwWEQnshhKxgcasglGsfNVFTk0hdqKc9i7wb+gG7HOdPZLh65QyBcFfzdlrawwVkiPEL5kNTX1q3JW5J49mTVZqWd3w49reaLd8StHRYJdyGAL4ZovBhSTThETi+zYvgQ5SvCGkM6/xXOz+lkMaEgeFcjQQs=</Modulus><Exponent>AQAB</Exponent><P>5flMAd7IrUTx92yomBdJBPDzp1Kclpaw4uXB1Ht+YXqwLW/9icI6mcv7d2O0kuVLSWj8DPZJol9V8AtvHkC3oQ==</P><Q>3FRA9UWcFrVPvGR5bewcL7YqkCMZlybV/t6nCH+gyMfbEvgk+p04F+j8WiHDykWj+BahjScjwyF5SGADbrfJKw==</Q><DP>b4WOU1XbERNfF3JM67xW/5ttPNX185zN2Ko8bbMZXWImr1IgrD5RNqXRo1rphVbGRKoxmIOSv7flr8uLrisKIQ==</DP><DQ>otSZlSq2qomgvgg7PaOLSS+F0TQ/i1emO0/tffhkqT4ah7BgE97xP6puJWZivjAteAGxrxHH+kPY0EY1AzRMNQ==</DQ><InverseQ>Sxyz0fEf5m7GrzAngLDRP/i+QDikJFfM6qPyr3Ub6Y5RRsFbeOWY1tX3jmV31zv4cgJ6donH7W2dSBPi67sSsw==</InverseQ><D>nVqofsIgSZltxTcC8fA/DFz1kxMaFHKFvSK3RKIxQC1JQ3ASkUEYN/baAElB0f6u/oTNcNWVPOqE31IDe7ErQelVc4D26RgFd5V7dSsF3nVz00s4mq1qUBnCBLPIrdb0rcQZ8FUQTsd96qW8Foave4tm8vspbM65iVUBBVdSYYE=</D></RSAKeyValue>";
}
private void button1_Click(object sender, EventArgs e)
{
using (RSACryptoServiceProvider rsa = new RSACryptoServiceProvider())
{
rsa.FromXmlString(prikey);
// 加密對象
RSAPKCS1SignatureFormatter f = new RSAPKCS1SignatureFormatter(rsa);
f.SetHashAlgorithm("SHA1");
byte[] source = System.Text.ASCIIEncoding.ASCII.GetBytes(textBox1.Text);
SHA1Managed sha = new SHA1Managed();
byte[] result = sha.ComputeHash(source);
string s = Convert.ToBase64String(result);
MessageBox.Show("s=" + s.Length);
byte[] b = f.CreateSignature(result);
textBox2.Text = "";
{
using (RSACryptoServiceProvider rsa = new RSACryptoServiceProvider())
{
rsa.FromXmlString(prikey);
// 加密對象
RSAPKCS1SignatureFormatter f = new RSAPKCS1SignatureFormatter(rsa);
f.SetHashAlgorithm("SHA1");
byte[] source = System.Text.ASCIIEncoding.ASCII.GetBytes(textBox1.Text);
SHA1Managed sha = new SHA1Managed();
byte[] result = sha.ComputeHash(source);
string s = Convert.ToBase64String(result);
MessageBox.Show("s=" + s.Length);
byte[] b = f.CreateSignature(result);
textBox2.Text = "";
textBox2.Text = Convert.ToBase64String(b);
//string s = System.Text.Encoding.Default.GetString(b, 0, 9);
}
textBox3.Text = pubkey;
textBox4.Text = prikey;
string str = textBox2.Text;
// string aa=MD5.Create(str).ToString();
}
//string s = System.Text.Encoding.Default.GetString(b, 0, 9);
}
textBox3.Text = pubkey;
textBox4.Text = prikey;
string str = textBox2.Text;
// string aa=MD5.Create(str).ToString();
}
private void button2_Click(object sender, EventArgs e)
{
using (RSACryptoServiceProvider rsa = new RSACryptoServiceProvider())
{
{
using (RSACryptoServiceProvider rsa = new RSACryptoServiceProvider())
{
rsa.FromXmlString(pubkey);
RSAPKCS1SignatureDeformatter f = new RSAPKCS1SignatureDeformatter(rsa);
RSAPKCS1SignatureDeformatter f = new RSAPKCS1SignatureDeformatter(rsa);
f.SetHashAlgorithm("SHA1");
byte[] key = Convert.FromBase64String(textBox2.Text);
SHA1Managed sha = new SHA1Managed();
byte[] name = sha.ComputeHash(ASCIIEncoding.ASCII.GetBytes(textBox1.Text));
string s = Convert.ToBase64String(name);
if (f.VerifySignature(name, key))
MessageBox.Show("Succese!");
else
MessageBox.Show("Falied!");
}
}
void getKeys()
{
using (RSACryptoServiceProvider ras = new RSACryptoServiceProvider())
{
//公匙
pubkey = ras.ToXmlString(false);
//私匙
prikey = ras.ToXmlString(true);
}
}
}
}
byte[] name = sha.ComputeHash(ASCIIEncoding.ASCII.GetBytes(textBox1.Text));
string s = Convert.ToBase64String(name);
if (f.VerifySignature(name, key))
MessageBox.Show("Succese!");
else
MessageBox.Show("Falied!");
}
}
void getKeys()
{
using (RSACryptoServiceProvider ras = new RSACryptoServiceProvider())
{
//公匙
pubkey = ras.ToXmlString(false);
//私匙
prikey = ras.ToXmlString(true);
}
}
}
}
這個算法就是
System.Security.Cryptography 名稱空間的
RSAPKCS1SignatureFormatter 類(用來生成注冊碼)和
RSAPKCS1SignatureDeformatter 類(用來在客戶端驗證注冊碼)。驗證過程如下:
首先,需要生成一個公鑰和私鑰對,當然,依靠人是無法生成的,我們可以通過 System.Security.Cryptography 名稱空間的 RSACryptoServiceProvider 類來生成公鑰/私鑰對。
首先,需要生成一個公鑰和私鑰對,當然,依靠人是無法生成的,我們可以通過 System.Security.Cryptography 名稱空間的 RSACryptoServiceProvider 類來生成公鑰/私鑰對。
可以使用getKeys()方法獲得公匙和私匙,但是如果要驗證還是要在得到公匙和私匙后保持不變,因為這個方法生成的公匙和私匙都是一直在變化的,所以要有一個確定的公匙和私匙。
button1的Click事件中是生成注冊碼的過程,用
RSAPKCS1SignatureFormatter 類來生成注冊碼。
其中又用了sha1加密算法加密你的userId,這樣可能起到的更好的保密效果。注冊碼驗證是在button2的click事件中。
總的來說,就是用私匙生成注冊碼再用公匙去驗證。可以自己做個有私匙的注冊機用於生成注冊碼,在程序中使用公匙去驗證,這樣整個軟件的安全性就比較高了。客戶端代碼是沒有私鑰的,即使有人把程序集的代碼反編譯了也沒有用。
不過,俺們經理覺得172位的驗證碼實在是太長了,不好用。只有用了其中的sha1算法作了一個28位的。
等以后有時間了在寫上。
Microsoft .Net的應用程序的代碼文件,與Java生成的文件類似,它們都沒有本地代碼,而是一種類似於匯編的代碼。這樣,只要有合適的工具,就可以完整的把別人寫出來的程序反編譯成自己需要的程序文件。
我所知道的.Net下的反匯編程序是Salamander 和 Refelector 兩個工具,他們都可以對.Net的程序集反編譯成你需要的語言。
那么,我們寫的程序,做的項目,如何進行正版的許可證管理,有許多方法。
最好的方案,是幾個方法的綜合。下面我說一下單獨的許可驗證方法。
最簡單的方法,就是使用許可存儲。方法是用戶輸入正版的注冊碼,通過程序中專門的算法程序進行驗算,得出的結果與事先保存在程序中的結果比對,比對一致表示輸入正確。然后把結果保存在存儲中,如注冊表或者專門的許可文件中,程序許可通過。
這個方法使用的人/公司最多,但是缺點也是最多的,只要使用上面的工具把驗算注冊碼的算法給弄清楚,就可以自己寫一個生成序列號的注冊機,這個注冊方法就形同虛設了。
還有一個比較好的方法,就是仿照WindowsXP的激活機制,客戶的程序自動訪問互聯網的一個專門設定的服務器,通過Tcp/Ip或者WebService遠程訪問服務器上的許可程序,許可后把結果保存在客戶端計算機上。這個方法的好處是許可驗證代碼保存在開發者控制的計算機上,客戶端無法獲取驗證算法,而且可以通過數據庫管理用戶,非常方便。
但是這個方法也有缺點,首先是可靠的Internet連接。如果要防止用戶使用盜版,則必須在客戶端的程序中添加一個隨機訪問遠程許可服務器驗證的功能,這樣不但需要一個24小時的Internet連接,而且經常進行驗證也會干擾程序的正常運行。還有就是如果有人通過研究客戶端的接收返回信息的代碼,弄一個虛擬的驗證服務器,這個功能也會完蛋。
那么,所有的焦點都聚集在客戶端的驗證算法上,只要這個客戶端的驗證算法被人弄清楚了,整個程序的許可可以說就不存在了,所以許多開發者/開發公司費好大的力氣,弄一個足夠復雜的驗證算法出來,用算法的復雜度來抵抗破解。但是再復雜的算法,只要有人寫得出來,就有人能破解得出來,這個道理我想大家都明白。
那是否有加密算法與解密算法不同的辦法呢?有。而且.Net自帶的類庫里面就有這個算法。
這個算法的原理是不對稱加密的原理。不對稱加密原理大家基本上都了解。加密的密碼(密鑰)分為兩個部分,公鑰和私鑰。通過私鑰加密的密文只能通過公鑰解密。根據這個特性,我們可以發現只要開發者保存好私鑰,即使算法代碼被客戶端破解,因客戶端不知道保存在開發者處的私鑰,也無法生成注冊碼。
這個算法就是 System.Security.Cryptography 名稱空間的 RSAPKCS1SignatureFormatter 類(用來生成注冊碼)和 RSAPKCS1SignatureDeformatter 類(用來在客戶端驗證注冊碼)。驗證過程如下:
首先,需要生成一個公鑰和私鑰對,當然,依靠人是無法生成的,我們可以通過 System.Security.Cryptography 名稱空間的RSACryptoServiceProvider 類來生成公鑰/私鑰對。
using(RSACryptoServiceProvider rsa = new RSACryptoServiceProvider())
{
// 公鑰
string pubkey = rsa.ToXmlString(false);
// 私鑰
string prikey = rsa.ToXmlString(true);
}
獲取私鑰以后,可以用 RSAPKCS1SignatureFormatter 類來生成注冊碼,代碼如下(引用名稱空間略)
using(RSACryptoServiceProvider rsa = new RSACryptoServiceProvider())
{
rsa.FromXmlString(prikey);
// 加密對象
RSAPKCS1SignatureFormatter f = new RSAPKCS1SignatureFormatter(rsa);
f.SetHashAlgorithm("SHA1");
byte[] source = System.Text.ASCIIEncoding.ASCII.GetBytes(txtIn.Text);
SHA1Managed sha = new SHA1Managed();
byte[] result = sha.ComputeHash(source);
byte[] b = f.CreateSignature(result);
msg.Text = Convert.ToBase64String(b);
}
上面的代碼是一個示例aspx頁面的代碼,頁面包括一個id為msg的Label控件,一個ID為txtIn的TextBox控件,一個ID為btnOK的Button控件,上面的代碼就是btnOK的事件處理程序的內容。大家可以非常清楚的看出處理流程,生成一個RsaCryptoServiceProvider類實例,然后把這個類實例的加密密鑰指定為包含私鑰的prikey字符串因為加密解密的公鑰/私鑰必須是對應的。然后獲取txtIn輸入的內容,生成密鑰后在msg控件上顯示。
下面是使用 RSAPKCS1SignatureDeformatter 類來驗證輸入:
using(RSACryptoServiceProvider rsa = new RSACryptoServiceProvider())
{
rsa.FromXmlString(pubkey);
RSAPKCS1SignatureDeformatter f = new RSAPKCS1SignatureDeformatter(rsa);
f.SetHashAlgorithm("SHA1");
byte[] key = Convert.FromBase64String(txtKey.Text);
SHA1Managed sha = new SHA1Managed();
byte[] name = sha.ComputeHash(ASCIIEncoding.ASCII.GetBytes(txtIn.Text));
if(f.VerifySignature(name,key))
msg.Text = "驗證成功";
else
msg.Text = "不成功";
}
上面的代碼也很好理解,就是多了一個ID為txtKey的TextBox控件,他通過同時獲取用戶名/加密密鑰來進行驗證。重點是RSA類的FromXmlString()方法,注意上面的這個方法獲取的是公鑰,表示這段驗證代碼是保存在客戶端的,客戶端代碼是沒有私鑰的,即使有人把程序集的代碼反編譯了也沒有用。
上面兩段代碼需要注意的就是生成的公鑰/私鑰必須匹配,我使用RSA對象生成密鑰對后保存成為字符串常量,就可以解決這個問題。
上面這個方法仍然無法解決客戶使用ildasm反編譯后暴力修改IL代碼,只有靠可靠的強名稱以及數字證書來保證程序集不被修改了。
我所知道的.Net下的反匯編程序是Salamander 和 Refelector 兩個工具,他們都可以對.Net的程序集反編譯成你需要的語言。
那么,我們寫的程序,做的項目,如何進行正版的許可證管理,有許多方法。
最好的方案,是幾個方法的綜合。下面我說一下單獨的許可驗證方法。
最簡單的方法,就是使用許可存儲。方法是用戶輸入正版的注冊碼,通過程序中專門的算法程序進行驗算,得出的結果與事先保存在程序中的結果比對,比對一致表示輸入正確。然后把結果保存在存儲中,如注冊表或者專門的許可文件中,程序許可通過。
這個方法使用的人/公司最多,但是缺點也是最多的,只要使用上面的工具把驗算注冊碼的算法給弄清楚,就可以自己寫一個生成序列號的注冊機,這個注冊方法就形同虛設了。
還有一個比較好的方法,就是仿照WindowsXP的激活機制,客戶的程序自動訪問互聯網的一個專門設定的服務器,通過Tcp/Ip或者WebService遠程訪問服務器上的許可程序,許可后把結果保存在客戶端計算機上。這個方法的好處是許可驗證代碼保存在開發者控制的計算機上,客戶端無法獲取驗證算法,而且可以通過數據庫管理用戶,非常方便。
但是這個方法也有缺點,首先是可靠的Internet連接。如果要防止用戶使用盜版,則必須在客戶端的程序中添加一個隨機訪問遠程許可服務器驗證的功能,這樣不但需要一個24小時的Internet連接,而且經常進行驗證也會干擾程序的正常運行。還有就是如果有人通過研究客戶端的接收返回信息的代碼,弄一個虛擬的驗證服務器,這個功能也會完蛋。
那么,所有的焦點都聚集在客戶端的驗證算法上,只要這個客戶端的驗證算法被人弄清楚了,整個程序的許可可以說就不存在了,所以許多開發者/開發公司費好大的力氣,弄一個足夠復雜的驗證算法出來,用算法的復雜度來抵抗破解。但是再復雜的算法,只要有人寫得出來,就有人能破解得出來,這個道理我想大家都明白。
那是否有加密算法與解密算法不同的辦法呢?有。而且.Net自帶的類庫里面就有這個算法。
這個算法的原理是不對稱加密的原理。不對稱加密原理大家基本上都了解。加密的密碼(密鑰)分為兩個部分,公鑰和私鑰。通過私鑰加密的密文只能通過公鑰解密。根據這個特性,我們可以發現只要開發者保存好私鑰,即使算法代碼被客戶端破解,因客戶端不知道保存在開發者處的私鑰,也無法生成注冊碼。
這個算法就是 System.Security.Cryptography 名稱空間的 RSAPKCS1SignatureFormatter 類(用來生成注冊碼)和 RSAPKCS1SignatureDeformatter 類(用來在客戶端驗證注冊碼)。驗證過程如下:
首先,需要生成一個公鑰和私鑰對,當然,依靠人是無法生成的,我們可以通過 System.Security.Cryptography 名稱空間的RSACryptoServiceProvider 類來生成公鑰/私鑰對。
using(RSACryptoServiceProvider rsa = new RSACryptoServiceProvider())
{
// 公鑰
string pubkey = rsa.ToXmlString(false);
// 私鑰
string prikey = rsa.ToXmlString(true);
}
獲取私鑰以后,可以用 RSAPKCS1SignatureFormatter 類來生成注冊碼,代碼如下(引用名稱空間略)
using(RSACryptoServiceProvider rsa = new RSACryptoServiceProvider())
{
rsa.FromXmlString(prikey);
// 加密對象
RSAPKCS1SignatureFormatter f = new RSAPKCS1SignatureFormatter(rsa);
f.SetHashAlgorithm("SHA1");
byte[] source = System.Text.ASCIIEncoding.ASCII.GetBytes(txtIn.Text);
SHA1Managed sha = new SHA1Managed();
byte[] result = sha.ComputeHash(source);
byte[] b = f.CreateSignature(result);
msg.Text = Convert.ToBase64String(b);
}
上面的代碼是一個示例aspx頁面的代碼,頁面包括一個id為msg的Label控件,一個ID為txtIn的TextBox控件,一個ID為btnOK的Button控件,上面的代碼就是btnOK的事件處理程序的內容。大家可以非常清楚的看出處理流程,生成一個RsaCryptoServiceProvider類實例,然后把這個類實例的加密密鑰指定為包含私鑰的prikey字符串因為加密解密的公鑰/私鑰必須是對應的。然后獲取txtIn輸入的內容,生成密鑰后在msg控件上顯示。
下面是使用 RSAPKCS1SignatureDeformatter 類來驗證輸入:
using(RSACryptoServiceProvider rsa = new RSACryptoServiceProvider())
{
rsa.FromXmlString(pubkey);
RSAPKCS1SignatureDeformatter f = new RSAPKCS1SignatureDeformatter(rsa);
f.SetHashAlgorithm("SHA1");
byte[] key = Convert.FromBase64String(txtKey.Text);
SHA1Managed sha = new SHA1Managed();
byte[] name = sha.ComputeHash(ASCIIEncoding.ASCII.GetBytes(txtIn.Text));
if(f.VerifySignature(name,key))
msg.Text = "驗證成功";
else
msg.Text = "不成功";
}
上面的代碼也很好理解,就是多了一個ID為txtKey的TextBox控件,他通過同時獲取用戶名/加密密鑰來進行驗證。重點是RSA類的FromXmlString()方法,注意上面的這個方法獲取的是公鑰,表示這段驗證代碼是保存在客戶端的,客戶端代碼是沒有私鑰的,即使有人把程序集的代碼反編譯了也沒有用。
上面兩段代碼需要注意的就是生成的公鑰/私鑰必須匹配,我使用RSA對象生成密鑰對后保存成為字符串常量,就可以解決這個問題。
上面這個方法仍然無法解決客戶使用ildasm反編譯后暴力修改IL代碼,只有靠可靠的強名稱以及數字證書來保證程序集不被修改了。