schützen Java Anwendung von Lizenz-oder Schlüssel

Möchte ich eine desktop-Anwendung, die läuft nur auf Rechnern, die über Schlüssel oder Lizenz.
Wie dies erreicht werden kann?

  • Ist eine online-Prüfung (z.B. bei jedem Start) eine option?
  • Ja, ich denke, Ihre app wird wahrscheinlich geknackt werden, denn jedes Ding ist auf Kundenseite.
  • Genügend Anstrengung aber, dies ist der Fall für alles, was...
  • Es ist nicht wirklich der Fall für cloud-Dienste (gut, es sei denn, Sie hacken es, die auslösen können Menschen chase nachdem Sie).
  • Yah ich weiß, kaufen, er hat nicht gesagt, wenn dies ist eine client-side-oder cloud-basiert
  • Es ist eine desktop-app und soll offline arbeiten

InformationsquelleAutor Ahmed Aswani | 2012-06-05
  1. 23

    Dies hängt ganz davon ab, wie sicher man es machen will...

    Das problem mit Java ist, dass Sie Umgekehrt kann es kompilieren. Also, wenn jemand wollte, Sie konnte Ihre download-software, reverse compile es, und entfernen Sie dann, was die Sicherheit, die Sie haben (und dann verteilen Sie es, wenn Sie wollten).

    Dies ist nur ein problem, wenn Sie planen, gehen Masse auf den Markt und verkaufen Sie, und Piraterie wäre in der Tat ein problem sein.

    Wenn Sie nicht besorgt über diese, dann können Sie entweder für online-oder offline-Prüfung.

    Der Firma arbeite ich mit verwendet die online-Methode; es gibt ein paar Schritte:

    EDIT: ich habe seitdem geändert, wie das funktioniert, denn der alte Weg war ein Wartungs-Albtraum.

    1. Eine Lizenz-Datei
      • (diese enthalten können, was Sie wollen, in der Realität, es muss nur eindeutig pro Benutzer. Die meisten Menschen gehen in der Regel mit der Allgemeinen Kleidung;
      • name
      • company
      • email
      • und dann ein key. d.h. die JDU8-AJS9-88DF-SASF-ASF9 Art von Sache, die Sie oft sehen.
    2. Das Programm erzeugt einen Hashwert aus der Lizenz-Datei.
      1. alle Daten aus der Lizenz-Datei in eine string -
      2. übergeben Sie die Zeichenfolge, um eine Hash-Funktion auf dieser Seite kann Ihnen zeigen, wie.
    3. haben Sie das Programm prüfen Sie online (auf Ihrem server). Die Daten codiert in einer HTML-request (post/get/json/was auch immer du willst) und übermittelt Ihre Lizenz-Prüfung-Seite, die dann überprüft die Daten. In den Daten enthalten ist eine zufällig generierte Zeichenfolge, die verwendet wird, durch die überprüfung Seite zu erzeugen, wird ein anderes Kennwort. Diese wird dann an das Programm zurückgegeben, das hat auch der zufällige Zeichenfolge zu generieren, die Ihr eigenes Passwort. Wenn die beiden übereinstimmen, wird das Programm gestartet.

    Zum generieren der Schlüssel, nur mit der gleichen Hash-Funktion, und laden Sie dann den hash auf den server.

    Wenn Sie wollen, dass es offline sein, Sie könnte auch die hashes in der code, den ich denke, und überprüfen gegen Sie gibt.

    Ich soll jedoch darauf hingewiesen, dass ich nicht bin ein security-Experte mit allen Mitteln, die ich entwickeln gerade für ein Unternehmen als Teil eines Ph. D.-und das ist nur, wie ich es gemacht habe.

    Edit: das Bild könnte hilfreich sein:

    schützen Java Anwendung von Lizenz-oder Schlüssel

    Zweiter Edit:

    Habe ich jetzt inklusive "offline-überprüfung" in den Prozess. Es ist nicht wirklich offline-Prüfung wird der Benutzer als proxy - Sie benötigen Zugriff auf das internet eine andere Art und Weise.

    funktioniert es so:

    1. keine internet-Verbindung gefunden: Versorgung der Benutzer mit einer 4-stelligen code
    2. Benutzer geht offline-Prüfung Seite (optimiert für die mobile Nutzung zu)
    3. Benutzer wählt aus, welche software Sie verwenden aus der dropdown-Liste
    4. Benutzer Ihre Benutzernamen (dieses Feld speichert Einträge)
    5. Benutzer den code des Programmes gab Sie auf und legt
    6. Webseite bietet einen 4-stelligen code, die Sie dann in das Programm eingegeben, und es beginnt.
    7. Programm fügt einige spezielle Daten, um die Lizenz-Datei, was bedeutet, dass dieser Prozess nicht wiederholt zu werden brauchen, für die nächste Woche/Monat/jedoch lange.

    jedes mal, wenn das Programm erfolgreich überprüft online, es fügt auch eine offline-Zugriff Kennwort ein, um die Lizenz-Datei, was bedeutet, es ist robust gegen temporary internet Ausfallzeiten, und wird nur aufhören zu arbeiten, wenn das internet down ist für mehr als eine Woche/Monat/wie lange es bis zu arbeiten.

    • Ich nicht ganz kapiert, Wenn ein Benutzer einen Kauf tätigt tun, die Sie Ihnen mit einer Lizenz-Datei mit dem Hash-licensekey mit Informationen, die Sie beim Kauf. oder haben Sie nur einen Schlüssel erstellen und dann die Benutzer diese und die anderen Informationen in die propgram, und es erzeugt eine Lizenz-Datei, die dann bei der ersten Ausführung.
    • wenn jemand einen Kauf tätigt, werden wir Sie per E-Mail Ihre Lizenz-details (bestätigen Sie mit Ihnen). Wenn Sie das Programm starten, sieht es für die Lizenz-Datei. Dann verkettet der Daten in die Datei und übergibt die resultierende Zeichenfolge durch eine hash - Funktion, sofern diese hash-entspricht der hash-wir haben für Ihre Lizenz auf unseren Servern, dann beginnt es, sonst werden Sie aufgefordert, ein Formular auszufüllen. Dann wird die Lizenz-Datei, die durch den hash in die Zukunft.
    • was genau soll server return Antwort? boolean ist? eine Art Schlüssel?
    • Wenn Sie es zurückgeben einfach nur ein boolean, wird es sehr einfach für Menschen, um einfach Bearbeiten Sie Ihre hosts-Datei (unter windows zumindest) und haben einen kleinen server laufen, der immer true zurück. Es haben wieder einige spezifische Passwort erzeugt aus einem zufälligen Schlüssel, den Sie senden. I. e. in die Daten, die Sie senden, enthalten eine zufällige Zeichenkette, dann Hashen und zurück senden des hash. Dann überprüfen Sie die hashes übereinstimmen.
    • Danke für die Antwort.Knospe, scheint immer noch ein littlebit unsicher.Gibt es irgendeinen Schutz, dass woud hilfreich sein, zusätzlich zu diesem Sicherheits-setup?Becaose überprüfung der Mechanismus noch drinnen sein müssen client-seitige Anwendung, bedeutet, sichtbar an den Angreifer.
    • das ist nur, wie wir es hier tun. Ich weiß, es löst nicht das Problem, dass es sichtbar für die Angreifer. Ich weiß von Methoden, mit denen Sie eine Art machine fingerprint mit verschiedenen details der hardware, die ist besser als die Verwendung von MAC-Adressen (die gefälschte). Wenn wir ignorieren, reverse compilation und das mag, dann verwenden Sie ein ausreichend starkes hashing-Algorithmus, ich denke, es sollte in Ordnung sein.
    • Das ist also eine lange Zeit nach der ersten Frage; ich hoffe du hast dein problem gelöst. Eine Sache, die ich gefunden in diesem Feld ist, dass es einen trade-off zwischen der Schwierigkeit, die Sie hinzufügen, für legitime Kunden vs, wie viel Sicherheit Sie wirklich brauchen. Wie viel von einem problem zu tun, die Sie erwarten-Piraterie sein? Es gibt auch andere Methoden, die ich gesehen habe, dh. ein altes computer-Spiel namens "Escape Velocity" hat ein Pirat benannt nach dem Entwickler. Wenn Sie nicht das Spiel gekauft, wir angegriffen würden, Sie regelmäßig, damit Fortschritte sehr schwierig (Captain Ambrosia wurde in der shareware-version auch :-/).
    • Ich erwarte nicht, dass große problem für mich noch bud in Zukunft werde ich auf dieses problem stoßen, wie ich nun auf größere software, die nicht frei sein, und wie ich sehe, gibt es keine echte Möglichkeit zu integrieren Sicherheits-features, die nicht nur entfernt, dh - zu dekompilieren,finden Sie Klasse, die kümmern sich um Sicherheit ,entfernen Sie Sie,kompilieren Sie erneut,profitieren.Ich weiß, dass obfuscated code kann leicht neutralisiert durch deobfusculator von einer Art also, die nicht helfen.Was für Attacken meinst du?Ich glaube wirklich, dass die Zukunft der software liegt in der Saas wo die Logik ist auf dem server und Sie cant get Griff von code .
    • Dies ist mit Abstand einer der besten und klarsten Antworten zur Lizenzierung ein Java-Projekt.
    • ich würde nicht sagen, es ist einfach. Ich würde sagen, dass die Menschen, die zu Rissen in der neuesten video-Spiele Tage, die sind einfach sehr gut. Sie wahrscheinlich auch arbeiten in der Industrie, und so genau wissen, was Sie tun. Gehen und haben einen Blick für Raubkopien - ich Wette, Sie werden feststellen, dass die beliebtesten Sachen kaputt in am ersten Tag, und dann am selben Tag jedes mal, wenn Sie geben ein Sicherheits-Update. Dann das gleiche tun für einige zufällige kleine Unternehmen-Programm - Sie sind unwahrscheinlich, etwas zu finden, die für Sie (ich würde pressume), nur weil es nichts für diejenigen, die wissen, wie um Sie zu brechen.
    • Sehr Toll 🙂 Was du getan hast, wenn die Lizenz abläuft ? Ich meine, was ist die Prozedur der Deaktivierung ? Und Reaktivierung nach der Zahlung der neuen Lizenz ?
    • die Lizenzierung db halten Sie das Ablaufdatum der Lizenzen - es wird also nur aufhören zu arbeiten, wenn es läuft. Dann, wenn Sie bezahlen, das Datum wird aktualisiert.
    • In deinem Fall, was würde Sie aufhören, wenn ich stop alle service-Kunde könnte intelligent genug sein, um den Dienst manuell starten und wo Sie speichern das Verfallsdatum im Fall der offline.
    • ja. Und dann würden Sie bekommen 1 letzten Monat (oder wie lange die offline-Lizenzierung funktioniert) kostenlos. Diese ganze Antwort ist caveated mit der Tatsache, dass wir nicht viele Kunden, so die Angst vor dem Verlust-Geschäft, infolge der Piraterie war gering, so dass einige verworren und kompliziert-system ist nicht notwendig und wird nur zu mehr Schaden als nutzen, indem Sie Weg von lästigen Menschen.

    InformationsquelleAutor will
  2. 1

    Können Sie verfolgen, Lizenzierung von einer Maschine mit macIP auf online . Auch in windows kann man schreiben in der Registrierung, es gibt keine api, aber noch können Sie es tun. Finden snippet Balg zu Lesen registry -

    public static final String readRegistry(String location, String key){
        try {
            //Run reg query, then read output with StreamReader (internal class)
            Process process = Runtime.getRuntime().exec("reg query " + 
                    '"'+ location + "\" /v " + key);

            StreamReader reader = new StreamReader(process.getInputStream());
            reader.start();
            process.waitFor();
            reader.join();
            String output = reader.getResult();

            //Output has the following format:
            //\n<Version information>\n\n<key>\t<registry type>\t<value>
            if( ! output.contains("\t")){
                    return null;
            }

            //Parse out the value
            String[] parsed = output.split("\t");
            return parsed[parsed.length-1];
        }
        catch (Exception e) {
            return null;
        }

    }

    Und in der Klasse level, wenn Sie wollen, zu verschleiern verwenden proGuard .

    • Mac-Adressen können leicht gefälscht wenn. Wenn Sie wollen, diesen Weg gehen, ist es sicherer, zu versuchen, und erstellen Sie Sie dem computer einen eindeutigen Fingerabdruck.
    • wie können Sie generieren computer-finger-print?
    • gut, das ist wirklich. Ich Sprach einmal zu einer Firma, die Ihre Lizenz wie, und der Mann sagte mir, dass Sie verwendet eine ganze Reihe von Dingen, wie die mac-Adresse, hardware-details, vielleicht die ip-Adresse (aber das ändert sich sehr viel, also hängt davon ab, wie Sie möchten, dass Ihre Lizenz für die Arbeit). Persönlich, ich nur verfolgen verschiedene details, und die haben es ziemlich unrestricting, aber dann wcheck die details jedes jetzt und dann, wenn Sie missbraucht werden (was noch nicht passiert), dann würde ich Sie abgeschnitten.
    • ähmm fair genug...
    InformationsquelleAutor Subhrajyoti Majumder
  3. 0

    es hängt davon ab, wie viele Kunden Sie haben möchten und die Verteilung Modus auch. Sie können eine Lizenz server haben, aber dies erfordert eine internet-Verbindung für den Kunden. Sie können auch USB-dongles zu verwalten Lizenzierung.

    Es gibt kein perfektes system, das Sie brauchen, um einen comproise zwischen Einfachheit, Aufwand und Preis.

    InformationsquelleAutor jocelyn
Schreibe einen Kommentar