轉自:https://www.cnblogs.com/xpvincent/p/10053618.html
唯一的標識一個設備是一個基本功能,可以擁有很多應用場景,比如軟件授權(如何保證你的軟件在授權后才能在特定機器上使用)、軟件License,設備標識,設備身份識別等。下面列舉一下各種方法的優劣:
(1)網卡MAC地址
MAC地址可能是最常用的標識方法,但是現在這種方法基本不可靠:一個電腦可能存在多個網卡,多個MAC地址,如典型的筆記本可能存在有線、無線、藍牙等多個MAC地址,隨着不同連接方式的改變,每次MAC地址也會改變。而且,當安裝有虛擬機時,MAC地址會更多。MAC地址另外一個更加致命的弱點是,MAC地址很容易手動更改。因此,MAC地址基本不推薦用作設備唯一ID。
(2)CPU ID
在Windows系統中通過命令行運行“wmic cpu get processorid”就可以查看CPU ID。
目前CPU ID也無法唯一標識設備,Intel現在可能同一批次的CPU ID都一樣,不再提供唯一的ID。而且經過實際測試,新購買的同一批次PC的CPU ID很可能一樣。這樣作為設備的唯一標識就會存在問題。
(3)硬盤序列號
在Windows系統中通過命令行運行“wmic diskdrive get serialnumber”可以查看。
硬盤序列號作為設備唯一ID存在的問題是,很多機器可能存在多塊硬盤,特別是服務器,而且機器更換硬盤是很可能發生的事情,更換硬盤后設備ID也必須隨之改變,不然也會影響授權等應用。因此,很多授權軟件沒有考慮使用硬盤序列號。而且,不一定所有的電腦都能獲取到硬盤序列號。
(4)自定義算法生成唯一ID
可以使用自制的一個特定算法(如GUID、或者一定位數的隨機數)生成唯一的ID,然后寫入到注冊表或者設備上,作為其唯一ID。
這種方法不依賴任何硬件特征,唯一性也可以自己完全控制,不過純軟件的實現缺點是這個ID很容易偽造,也很容易擦除;而且很可能還需要在線驗證,后台存儲所有ID的服務器必須保持在線。
(5)Windows的產品ID(ProductId)
在“控制面板\系統和安全\系統”的最下面就可以看到激活的Windows產品ID信息,另外通過注冊表“HKEY_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion”也可以看到看到“ProductId”字段。
不過這個產品ID並不唯一,不同系統或者機器重復的概率也比較大。虛擬機中克隆的系統,使用同一個鏡像安裝激活的系統,其產品ID就可能一模一樣。經過實測,筆者在兩台Thinkpad筆記本上發現其ProductId完全一樣。
(6)MachineGUID
Windows安裝時會唯一生成一個GUID,可以在注冊表“HKEY_MACHINE\SOFTWARE\Microsoft\Cryptography”中查看其“MachineGuid”字段。
這個ID作為Windows系統設備的唯一標識不錯,不過值得注意的一點是,與硬件ID不一樣,這個ID在重裝Windows系統后應該不一樣了。這樣授權軟件在重裝系統后,可能就需要用戶重新購買授權。
(7)主板smBIOS UUID
在Windows系統中通過命令行運行“wmic csproduct get UUID”可以查看。
主板UUID是很多授權方法和微軟官方都比較推崇的方法,即便重裝系統UUID應該也不會變(筆者沒有實測重裝,不過在一台機器上安裝雙系統,獲取的主板UUID是一樣的,雙系統一個windows一個Linux,Linux下用“dmidecode -s system-uuid”命令可以獲取UUID)。
但是這個方法也有缺陷,因為不是所有的廠商都提供一個UUID,當這種情況發生時,wmic會返回“FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF”,即一個無效的UUID。
(8)外置密碼設備提供唯一ID
這種方法很多,比如U盾里面可以提供唯一的密鑰標識,可信計算密碼芯片里面的背書密鑰EK等都是唯一固定在安全硬件里面的,而且通過良好的密碼算法生成,唯一性和差異性都可以保證,安全性也更高。
這種方法需要在計算設備連接外置密碼芯片,增加經濟負擔和開發成本。而且,即便這種方法也存在欺騙攻擊和代理攻擊等破解方法。
當然還有很多其它方法,如可以獲取聲卡、CPU模式和頻率、IDE控制器、內存等其他信息。甚至,可以收集設備的軟硬件配置,通過統計方法和機器學習方法進行分類識別設備。學術上,還有各種密碼算法,硬件不可克隆函數PUF等唯一標識的方法可以使用。
從軟件授權這個簡單的應用來看,購買外置密碼設備硬件太過昂貴,可以采用簡單的組合方法,推薦使用主板UUID作為主標識,當UUID返回無效的值時,可以進一步采用CPU ID、BIOS序列號、MachineGUID等方式作為次標識,這基本可以解決問題。
其實設備唯一標識其實也是指紋的一種,想要使用標識或者指紋時,首先必須明確自己的真實意圖,是要標識一個用戶(這樣可以使用身份證、指紋、手機驗證等方式),還是要標識一個設備(本文列舉的各種設備ID)。根據自己的真實意圖才能進一步思考具體使用的方式,不忘初衷。
不過,不管使用怎樣的硬件信息或者牛氣的算法來進行用戶或者設備的標識,還是一句老話“道高一尺,魔高一丈”,都是可以被攻破的,即便你的標識偽造不了、克隆不了,攻擊者也可以使用其它攻擊方式,如逆向你的驗證check代碼,然后將其修改掉,使其check失靈。因此,無論設備標識或者用戶標識,很多情況下可能只防君子、不防小人,甚至悲觀者認為這些手段都是防止合法用戶的,影響用戶使用的方便性,大可以取消掉。筆者認為,沒有必要這么悲觀,知識產權等信息是尊敬人的價值和勞動的表現,即便不能完全防止小人,我們也要通過這些方法將一般的小人排除在技術門檻之外,並盡量增加高級小人破解時的代價。