[问答]软件离线授权比较稳妥的方案

目前软件使用授权的方案如下

获取当前系统信息

        System Information
        Manufacturer: Alibaba Cloud
        Product Name: Alibaba Cloud ECS
        Version: pc-i440fx-2.1
        Serial Number: 033430d9-4d07-4c5a-8a9f-7ef4ce4ee142
        UUID: 033430D9-4D07-4C5A-8A9F-7EF4CE4EE142
        Wake-up Type: Power Switch
        SKU Number: Unknown
        Family: Unknown

虚拟机

        System Information
        Manufacturer: VMware, Inc.
        Product Name: VMware Virtual Platform
        Version: None
        Serial Number: VMware-56 4d a7 bf 49 4f 46 c6-d8 34 38 b1 df 82 2a 02
        UUID: BFA74D56-4F49-C646-D834-38B1DF822A02
        Wake-up Type: Power Switch
        SKU Number: Unknown
        Family: Unknown

基于 SN 或者 UUID ，网卡 MAC 地址，授权开始时间，当前授权时间，授权结束时间等进行序列化
最后基于序列化进行 RSA 私钥签名　类似于 JWT 方案，软件主体包含公钥验证下签名是否正常（软件记录每次运行时间，本次运行时间不得早于上次运行时间　同时也小于结束时间）
签名验证完反序列化获取授权主体信息对比验证当前系统 SN 或者 UUID 网卡等是否匹配

不知道还要什么需要补充的或者有更好的 Go 语言解决方案? 硬件安全狗?

heguangyu5

2022-08-31 14:30:21 +08:00

看下这个 https://0xnobody.github.io/devirtualization-intro/
不要和搞逆向的斗智斗勇.

要转换思路:
1. 任何授权到最终都是一个 if 判断,搞掉这个判断授权就绕过了.
2. 不能假设别人定位不到这个 if.
3. 虽然能定位和绕过授权判断,但这需要时间,比如 10 分钟?
4. 添加足够多的授权判断.

我这边也是做 toB 的,并且是用 PHP 开发的.
为了保护源代码和搞定授权,开发了一个名为 bpc 的编译器.
bpc 在编译 php 代码的过程中,在合适的位置插入授权判断,插入数量由参数控制.
思路供参考.
https://bpc.dev

nothingistrue

2022-08-31 15:51:13 +08:00

有两个问题：
第一，签名生成过程要私钥，授权开始时间还好说因为你这是人工授权，软件每次运行时间这种实时信息是没法进入签名的。软件每次运行时间这一块，你不联网是很难验证的。
第二，签名之后的证书信息或加密信息，你总要随软件主体一起给出，这个不用硬件加密狗就总有被复制的可能性。

anviod

2022-08-31 17:50:43 +08:00

@nothingistrue
@s7lx
@heguangyu5
@mosfet
公钥是硬编码在软件代码中, X64 自己的壳, 激活就是私钥签发一个激活文件 (授权主题加密和私钥签名)这个好处理, 每次运行会在内存上存储一份反序列化的变量上次运行时间和本次运行时间,会监听系统信号,在程序退出时修改本次运行时间, 最终文件加密落盘到硬盘, 下次启动读文件如果被修改,就重新激活
(目前是配合硬件加密狗来解决的, 但是发现市场上打狗棍的产品