WEB系统防止拷贝编译的一点方法

    公司根据某个客户开发了一套相对专用的WEB系统,后来就议论到系统如何防止拷贝和基础之上来.在网上找了半天,大部分都在讲代码混淆,而涉及到如何防止拷贝的地方却很少.综合了网上通用的做法,自己再加点东西,就成了一个比较简单的防止拷贝方法.
方法只适用于一些简单的小系统中,在安全性要求比较高的地方,就不适用了.且没有考虑到代码混淆部分,主要防止非技术人员对系统进行非技术方面的操作.(只防普通用户)
    1,数据库
    现在基本上都把用户名和密码放在配置文件中,所以将连接数据放在程序里已不适实际.于是考虑在进行数据连接的代码中,将读出的数据进行另一种运算(解密)而得到实际的数据.如下图所示:

<driver-properties>
	<property name="decrypt" value="true"/>
	<property name="user" value="root"/>
	<property name="password" value="4akslkslksiwx3fr24sef"/>
</driver-properties>

     简单起见,只对密码进行了处理.实际密码为123456,而生成的密码根据
     配置文件中的密码,即是加密之后的密码,原密码为(123456).
     配置文件中的decrypt,即是是否解密的配置,当值为true时,表示为需要解密.而为false时,表示为不解密.
    在开发的时候,将decrypt置为false,并以明文密码开发;而在实际部署时,将密码进行加密处理之后,覆盖相应的配置文件.以达到数据库连接加密的目的.
 参考代码如下:

String x = properties.getProperty("decrypt");
if(x != null && x.equals("true")) {
	String password = properties.getProperty("password");
	if(password != null && password.length() > 0) {
	String passwordTemp = new String(SingleCipher.getDefaultCipher().decrypt(SingleCipher.hex2byte(password)));
	properties.remove("decrypt");
	properties.setProperty("password", passwordTemp);
}

 

     2,程序
     这里主要讨论的是在系统运行之中,在加载class文件时对文件进行解密操作再加载的情况.
     由于我们用的是tomcat,故考虑由tomcat的classLoader入手,将class的加载根据系统的需要分成两部分.对于需要进行解密加载的先进行解密(强制解密),而对于不需要的直接进行解析加载.具体方法如下:
     将需要进行加密的文件,以列表形式放在一个可配置的配置文件中,如encrypt.properties文件中.
    加密需要被加密的文件,并部署至用户系统.
    tomcat运行系统,运行加载class二进制文件时,读取配置文件,对需要解密的文件在加载时先进行解密操作,再加载文件.
   参考代码如下:
     encrypt.properties内容:

     

com.XX.action.A.class
com.XX.service.B.class

    进行解析还原数据

   

if(encryptFileList.contains(name)) {
//binaryContent是由tomcat加载器读出的文件二进制数据
	binaryContent = SingleCipher.getDefaultCipher().decrypt(binaryContent);
}

 
     这样,系统的运行将需要修改的tomcat才能运行,故当用户只是将系统拷贝之后,因为新的tomcat不能直接解析加密之后的class文件,而不能启动运行.达到防止拷贝的目的.
     3,机器绑定
     主要方法就是读取机器内部特征码(目前主要考虑到mac地址),进行一系列运算,与期望值相比对.如果符合,则表示目的机器是符合要求的,否则抛出异常,表示不能通过验证.主要步骤如下:
     在进行程序部署的时候,由相关命令生成一个指定文件X(文件名为C:/WINDOWS/sys.key,与系统文件相混淆),文件中包含本机的相关信息.
    源程序进行一个静态方法,在程序加载运行的同时,程序开始进行方法验证.
    方法读取指定的文件X.
    方法从文件中读取相应数据.
    方法读取运行机器的mac地址,按照即定算法生成相应的验证信息.
    将新验证信息与文件X中的验证信息进行比对,如果比对成功,验证通过.否则不通过.
 参考代码如下:

读出mac地址(适用于jdk1.6):

Enumeration<NetworkInterface> networkInterfaces = NetworkInterface.getNetworkInterfaces();
List<String> stringList = new ArrayList<String>();
while(networkInterfaces.hasMoreElements()) {
	NetworkInterface networkInterface = networkInterfaces.nextElement();
	byte[] x = networkInterface.getHardwareAddress();
	if(x != null) {
		stringList.add(SingleCipher.byte2hex(x));
		}
	}
return stringList.toArray(new String[stringList.size()]);

 静态验证:

public static void vaditate() {
	String fileName = FILE_NAME;
	File file = new File(fileName);
	try {
		String random = getObject(file, 1);
		String message = getObject(file, 2);
		String[] mac = getMac();
		if(mac.length == 0)
			invalidate("no mac.");
		for(String m : mac) {
			String mTemp = byte2hex(SingleCipher.getDefaultCipher().encrypt((m + random).getBytes()));
			if(mTemp.equals(message))
					return;
		}
		throw new Exception("ls");
	} catch(Exception e) {
			invalidate("verify error");
	}
}

 

 以上3个方法从不同的部分对代码进行保护.对于某些行业性的系统,有一定的保护作用.
 如果你有新的方法,还请告知.