运用加密技术保护Java源代码
内容:
一、为什么要加密?
二、定制类装入器
三、加密、解密
四、应用实例
五、注意事项
参考资源
Java程序的源代码很容易被别人 偷看。只要有一个反编译器,任何人都可以分析别人的代码。本文讨论如何在不修改原有程序的情况下,通过加密技术保护源代码。
一、为什么要加密?
对于传统的C或C++之类的语言来说,要在Web上保护源代码是很容易的,只要不发布它就可以。遗憾的是,Java程序的源代码很容易被别人偷 看。只要有一个反编译器,任何人都可以分析别人的代码。Java的灵活性使得源代码很容易被窃取,但与此同时,它也使通过加密保护代码变得相对容易,我们 唯一需要了解的就是Java的ClassLoader对象。当然,在加密过程中,有关JavaCryptographyExtension(JCE) 的知识也是必不可少的。
有几种技术可以“模糊”Java类文件,使得反编译器处理类文件的效果大打折扣。然而,修改反编译器使之能够处 理这些经过模糊处理的类文件并不是什么难事,所以不能简单地依赖模糊技术来保证源代码的安全。
我们可以用流行的加密工具加密应用,比如 PGP(PrettyGoodPrivacy)或GPG(GNUPrivacyGuard)。这时,最终用户在运行应用之前必须先进行解密。但解 密之后,最终用户就有了一份不加密的类文件,这和事先不进行加密没有什么差别。
Java运行时装入字节码的机制隐含地意味着可以对字节 码进行修改。JVM每次装入类文件时都需要一个称为ClassLoader的对象,这个对象负责把新的类装入正在运行的JVM。JVM给 ClassLoader一个包含了待装入类(比如java.lang.Object)名字的字符串,然后由ClassLoader负责找到类文件,装入原 始数据,并把它转换成一个Class对象。
我们可以通过定制ClassLoader,在类文件执行之前修改它。这种技术的应用非常广泛 ——在这里,它的用途是在类文件装入之时进行解密,因此可以看成是一种即时解密器。由于解密后的字节码文件永远不会保存到文件系统,所以窃密者很难得到解 密后的代码。
由于把原始字节码转换成Class对象的过程完全由系统负责,所以创建定制ClassLoader对象其实并不困难,只需 先获得原始数据,接着就可以进行包含解密在内的任何转换。
Java2在一定程度上简化了定制ClassLoader的构建。在 Java2中,loadClass的缺省实现仍旧负责处理所有必需的步骤,但为了顾及各种定制的类装入过程,它还调用一个新的findClass方法。
这为我们编写定制的ClassLoader提供了一条捷径,减少了麻烦:只需覆盖findClass,而不是覆盖loadClass。 这种方法避免了重复所有装入器必需执行的公共步骤,因为这一切由loadClass负责。
不过,本文的定制ClassLoader并不 使用这种方法。原因很简单。如果由默认的ClassLoader先寻找经过加密的类文件,它可以找到;但由于类文件已经加密,所以它不会认可这个类文件, 装入过程将失败。因此,我们必须自己实现loadClass,稍微增加了一些工作量。
二、定制类装入器
每一个运行着的JVM 已经拥有一个ClassLoader。这个默认的ClassLoader根据CLASSPATH环境变量的值,在本地文件系统中寻找合适的字节码文件。
应 用定制ClassLoader要求对这个过程有较为深入的认识。我们首先必须创建一个定制ClassLoader类的实例,然后显式地要求它装入另外一个 类。这就强制JVM把该类以及所有它所需要的类关联到定制的ClassLoader。Listing1显示了如何用定制ClassLoader装入类文 件。
【Listing1:利用定制的ClassLoader装入类文件】
//首先创建一个 ClassLoader对象
ClassLoadermyClassLoader=newmyClassLoader();
//利 用定制ClassLoader对象装入类文件
//并把它转换成Class对象
ClassmyClass=myClassLoader.loadClass("mypackage.MyClass");
//最后,创建该类的一个实例
ObjectnewInstance=myClass.newInstance();
//注意,MyClass所需要的所有其他类,都将通过
//定制的ClassLoader自动装入
如前所述,定制ClassLoader只需先获取类文件的数据,然后把字节码传递给运行时系统,由后者完成余下的任 务。
ClassLoader有几个重要的方法。创建定制的ClassLoader时,我们只需覆盖其中的一个,即loadClass, 提供获取原始类文件数据的代码。这个方法有两个参数:类的名字,以及一个表示JVM是否要求解析类名字的标记(即是否同时装入有依赖关系的类)。如果这个 标记是true,我们只需在返回JVM之前调用resolveClass。
【Listing2:ClassLoader.loadClass() 的一个简单实现】
publicClassloadClass(Stringname,booleanresolve)
throwsClassNotFoundException{
try{
//我们 要创建的Class对象
Classclasz=null;
//必需的步骤1:如果类已经 在系统缓冲之中,
//我们不必再次装入它
clasz=findLoadedClass(name);
if(clasz!=null)
returnclasz;
//下 面是定制部分
byteclassData[]=/*通过某种方法获取字节码数据*/;
if(classData!=null){
//成功读取字节码数据,现在把它转换成一个Class对象
clasz=defineClass(name,classData,0,classData.length);
}
//必需的步骤2:如果上面没有成功,
//我们尝试用默认的 ClassLoader装入它
if(clasz==null)
clasz=findSystemClass(name);
//必需的步骤3:如有必要,则装入相关的类
if(resolve&&clasz!=null)
resolveClass(clasz);
//把类返回给调用者
returnclasz;
}catch(IOExceptionie){
thrownewClassNotFoundException(ie.toString());
}catch(GeneralSecurityExceptiongse){
thrownewClassNotFoundException(gse.toString());
}
}
Listing2显示了一个简单的 loadClass实现。代码中的大部分对所有ClassLoader对象来说都一样,但有一小部分(已通过注释标记)是特有的。在处理过程 中,ClassLoader对象要用到其他几个辅助方法:
findLoadedClass:用来进行检查,以便确认被请求的类当前还不 存在。loadClass方法应该首先调用它。
defineClass:获得原始类文件字节码数据之后,调用defineClass把它转换 成一个Class对象。任何loadClass实现都必须调用这个方法。
findSystemClass:提供默认ClassLoader的 支持。如果用来寻找类的定制方法不能找到指定的类(或者有意地不用定制方法),则可以调用该方法尝试默认的装入方式。这是很有用的,特别是从普通的JAR 文件装入标准Java类时。
resolveClass:当JVM想要装入的不仅包括指定的类,而且还包括该类引用的所有其他类时,它会把 loadClass的resolve参数设置成true。这时,我们必须在返回刚刚装入的Class对象给调用者之前调用resolveClass。
三、 加密、解密
Java加密扩展即JavaCryptographyExtension,简称JCE。它是Sun的加密服务软件,包含了加密和 密匙生成功能。JCE是JCA(JavaCryptographyArchitecture)的一种扩展。
JCE没有规定具体的加 密算法,但提供了一个框架,加密算法的具体实现可以作为服务提供者加入。除了JCE框架之外,JCE软件包还包含了SunJCE服务提供者,其中包括许多 有用的加密算法,比如DES(DataEncryptionStandard)和Blowfish。
为简单计,在本文中我们将用 DES算法加密和解密字节码。下面是用JCE加密和解密数据必须遵循的基本步骤:
步骤1:生成一个安全密匙。在加密或解密任何数据之前 需要有一个密匙。密匙是随同被加密的应用一起发布的一小段数据,Listing3显示了如何生成一个密匙。【Listing3:生成一个密匙】
//DES 算法要求有一个可信任的随机数源
SecureRandomsr=newSecureRandom();
//为 我们选择的DES算法生成一个KeyGenerator对象
KeyGeneratorkg=KeyGenerator.getInstance("DES");
kg.init(sr);
//生成密匙
SecretKeykey=kg.generateKey();
//获取密匙数据
byterawKeyData[]=key.getEncoded();
/*接 下来就可以用密匙进行加密或解密,或者把它保存
为文件供以后使用*/
doSomething(rawKeyData);
步骤2:加密数据。得到密匙之后,接下来就可以用它加密数据。除了解密的ClassLoader之外,一 般还要有一个加密待发布应用的独立程序(见Listing4)。【Listing4:用密匙加密原始数据】
//DES 算法要求有一个可信任的随机数源
SecureRandomsr=newSecureRandom();
byterawKeyData[]=/*用 某种方法获得密匙数据*/;
//从原始密匙数据创建DESKeySpec对象
DESKeySpecdks=newDESKeySpec(rawKeyData);
//创建一个密匙工厂,然后用它把DESKeySpec转换成
//一个SecretKey对象
SecretKeyFactorykeyFactory=SecretKeyFactory.getInstance("DES");
SecretKeykey=keyFactory.generateSecret(dks);
//Cipher 对象实际完成加密操作
Ciphercipher=Cipher.getInstance("DES");
//用 密匙初始化Cipher对象
cipher.init(Cipher.ENCRYPT_MODE,key,sr);
//现 在,获取数据并加密
bytedata[]=/*用某种方法获取数据*/
//正式执行加密操作
byteencryptedData[]=cipher.doFinal(data);
//进一步处理加密后的数据
doSomething(encryptedData);
步骤3:解密数据。运行经过加密的应用时,ClassLoader分析并解密类文件。操作步骤如Listing5所 示。【Listing5:用密匙解密数据】
//DES算法要求有一个可信任的随机数源
SecureRandomsr=newSecureRandom();
byterawKeyData[]=/*用某种方法获取原始密匙数据*/;
//从原始 密匙数据创建一个DESKeySpec对象
DESKeySpecdks=newDESKeySpec(rawKeyData);
//创建一个密匙工厂,然后用它把DESKeySpec对象转换成
//一个SecretKey对象
SecretKeyFactorykeyFactory=SecretKeyFactory.getInstance("DES");
SecretKeykey=keyFactory.generateSecret(dks);
//Cipher 对象实际完成解密操作
Ciphercipher=Cipher.getInstance("DES");
//用 密匙初始化Cipher对象
cipher.init(Cipher.DECRYPT_MODE,key,sr);
//现 在,获取数据并解密
byteencryptedData[]=/*获得经过加密的数据*/
//正 式执行解密操作
bytedecryptedData[]=cipher.doFinal(encryptedData);
//进 一步处理解密后的数据
doSomething(decryptedData);
四、应用实 例
前面介绍了如何加密和解密数据。要部署一个经过加密的应用,步骤如下:
步骤1:创建应用。我们的例子包含一个App主类, 两个辅助类(分别称为Foo和Bar)。这个应用没有什么实际功用,但只要我们能够加密这个应用,加密其他应用也就不在话下。
步骤2:生成一 个安全密匙。在命令行,利用GenerateKey工具(参见GenerateKey.java)把密匙写入一个文 件:%javaGenerateKeykey.data
步骤3:加密应用。在命令行,利用 EncryptClasses工具(参见EncryptClasses.java)加密应用的 类:%javaEncryptClasseskey.dataApp.classFoo.classBar.class
该命令把每一个.class文件替换成它们各自的加密版本。
步骤4:运行经过加密的应用。用户通过一个DecryptStart程 序运行经过加密的应用。DecryptStart程序如Listing6所示。【Listing6:DecryptStart.java,启动被加 密应用的程序】
importjava.io.*;
importjava.security.*;
importjava.lang.reflect.*;
importjavax.crypto.*;
importjavax.crypto.spec.*;
publicclassDecryptStartextendsClassLoader
{
//这些对象在构造函数中设置,
//以后loadClass()方法将利用它们解密类
privateSecretKeykey;
privateCiphercipher;
//构造函数:设置解密所需要的对象
publicDecryptStart(SecretKeykey)throwsGeneralSecurityException,
IOException{
this.key=key;
Stringalgorithm="DES";
SecureRandomsr=newSecureRandom();
System.err.println("[DecryptStart:creatingcipher]");
cipher=Cipher.getInstance(algorithm);
cipher.init(Cipher.DECRYPT_MODE,key,sr);
}
//main过程:我们要在这里读入密匙,创建DecryptStart的
//实例,它就是我 们的定制ClassLoader。
//设置好ClassLoader以后,我们用它装入应用实例,
//最后,我们通过 JavaReflectionAPI调用应用实例的main方法
staticpublicvoidmain(Stringargs[])throwsException{
StringkeyFilename=args[0];
StringappName=args[1];
//这些是传递给应用本身的参数
StringrealArgs[]=newString[args.length-2];
System.arraycopy(args,2,realArgs,0,args.length-2);
//读 取密匙
System.err.println("[DecryptStart:readingkey]");
byterawKey[]=Util.readFile(keyFilename);
DESKeySpecdks=newDESKeySpec(rawKey);
SecretKeyFactorykeyFactory=SecretKeyFactory.getInstance("DES");
SecretKeykey=keyFactory.generateSecret(dks);
//创 建解密的ClassLoader
DecryptStartdr=newDecryptStart(key);
//创 建应用主类的一个实例
//通过ClassLoader装入它
System.err.println("[DecryptStart:loading"+appName+"]");
Classclasz=dr.loadClass(appName);
//最后,通过 ReflectionAPI调用应用实例
//的main()方法
//获取一个对main()的引用
Stringproto[]=newString[1];
ClassmainArgs[]={(newString[1]).getClass()};
Methodmain=clasz.getMethod("main",mainArgs);
//创建一个包含main()方法参数的数组
ObjectargsArray[]={realArgs};
System.err.println("[DecryptStart:running"+appName+".main()]");
//调用main()
main.invoke(null,argsArray);
}
publicClassloadClass(Stringname,booleanresolve)
throwsClassNotFoundException{
try{
//我们要创建的Class对象
Classclasz=null;
//必 需的步骤1:如果类已经在系统缓冲之中
//我们不必再次装入它
clasz=findLoadedClass(name);
if(clasz!=null)
returnclasz;
//下 面是定制部分
try{
//读取经过加密的类文件
byteclassData[]=Util.readFile(name+".class");
if(classData!=null){
//解密...
bytedecryptedClassData[]=cipher.doFinal(classData);
//...再把它转换成一个类
clasz=defineClass(name,decryptedClassData,
0,decryptedClassData.length);
System.err.println("[DecryptStart:decryptingclass"+name+"]");
}
}catch(FileNotFoundExceptionfnfe){
}
//必需的步骤2:如果上面没有成功
//我们尝试用默认的ClassLoader装入它
if(clasz==null)
clasz=findSystemClass(name);
//必需的步骤3:如有 必要,则装入相关的类
if(resolve&&clasz!=null)
resolveClass(clasz);
//把类返回给调用者
returnclasz;
}catch(IOExceptionie){
thrownewClassNotFoundException(ie.toString()
);
}catch(GeneralSecurityExceptiongse){
thrownewClassNotFoundException(gse.toString()
);
}
}
}
对于未经加密的应用,正常执行方式如 下:%javaApparg0arg1arg2
对于经过加密的应用,则相应的运行方式 为:%javaDecryptStartkey.dataApparg0arg1arg2
DecryptStart 有两个目的。一个DecryptStart的实例就是一个实施即时解密操作的定制ClassLoader;同时,DecryptStart还包含一个 main过程,它创建解密器实例并用它装入和运行应用。示例应用App的代码包含在App.java、Foo.java和Bar.java内。 Util.java是一个文件I/O工具,本文示例多处用到了它。完整的代码请从本文最后下载。
五、注意事项
我们看到,要在 不修改源代码的情况下加密一个Java应用是很容易的。不过,世上没有完全安全的系统。本文的加密方式提供了一定程度的源代码保护,但对某些攻击来说它是 脆弱的。
虽然应用本身经过了加密,但启动程序DecryptStart没有加密。攻击者可以反编译启动程序并修改它,把解密后的类文件 保存到磁盘。降低这种风险的办法之一是对启动程序进行高质量的模糊处理。或者,启动程序也可以采用直接编译成机器语言的代码,使得启动程序具有传统执行文 件格式的安全性。
另外还要记住的是,大多数JVM本身并不安全。狡猾的黑客可能会修改JVM,从ClassLoader之外获取解密后 的代码并保存到磁盘,从而绕过本文的加密技术。Java没有为此提供真正有效的补救措施。
不过应该指出的是,所有这些可能的攻击都有一 个前提,这就是攻击者可以得到密匙。如果没有密匙,应用的安全性就完全取决于加密算法的安全性。虽然这种保护代码的方法称不上十全十美,但它仍不失为一种 保护知识产权和敏感用户数据的有效方案。
- 浏览: 53644 次
- 性别:
- 来自: 深圳
文章分类
最新评论
发表评论
-
Java parameter types of annotation introduce
2018-03-11 18:31 467在实际应用中遇到了Ja ... -
Java performance tuning
2018-03-05 23:14 551Java性能调优的成功, ... -
图片上添加文字
2008-09-27 11:50 323public class ImageAddWord { ... -
java实现SMTP邮件服务器
2008-10-06 10:19 504电子邮件传递可以由多种协议来实现。目前,在Internet ... -
JNDI的含义和作用
2008-10-07 09:28 264JNDI是 Java 命名与目录接口(Java Naming ... -
java调用外部应用程序
2008-10-07 09:34 446String path = "C:/Documen ... -
jsp中实现参数隐藏的两种方法
2008-10-07 09:37 820在一个JSP页面有一个链接,//确定是一个链接?点击弹出一个 ... -
Java和Maven环境变量的配置
2008-10-07 09:51 466打开java官网Download页,选择你需要的版本,然后 ... -
SQLServer实现无限级树结构
2008-10-07 17:36 1042表结构如下: 数据库id path titlesort ... -
java经典的基础题目
2008-10-08 09:58 3171.列举出 10个JAVA语言的优势 a:免费,开源,跨平台 ... -
java中的接口Serializable的作用和例子
2008-10-08 10:32 288作用: 没有implements Se ... -
linux(Ubuntu)下常用命令备忘录1
2008-10-09 11:02 370在使用下面的命令是可 ... -
简单的checkbox管理代码
2008-10-09 11:41 443很简单的脚本操作 <script languag ... -
linux(Ubuntu)下常用命令备忘录2
2008-10-09 13:54 337以下也是常用到的命令 ... -
ubuntu中添加软件源
2008-10-10 13:42 381软件源是Ubuntu和Debian特有的一个概念,是它们的一 ... -
ubuntu下安装和卸载软件命令
2008-10-11 09:21 401安装软件命令:apt-getinstallsoftnam ... -
ubuntu配置拨号上网
2008-10-14 16:36 559这里就不截图了 记下配置命令: 1、设置拨号命令 sud ... -
java webservice在resin中实现
2008-10-17 11:59 343首先下载apache上的axis1.4 这里有两个版本axi ... -
java读写xml
2008-11-17 09:02 373这里总结一下XML文件的读写过程,先说一下写的过程,这里我用 ... -
JDK和JRE的区别
2008-12-31 15:02 342首先简单介绍了几个基本定义: JDK就是Java Devel ...
相关推荐
因此,运用加密技术保护Java源代码成为了一项重要的课题。 ### Java源代码加密的重要性 Java源代码加密主要涉及两个层面:一是源代码本身的安全,二是编译后的字节码(.class文件)的安全。对于源代码,加密可以...
本资料"运用加密技术保护Java源代码.rar"提供了关于如何在Java中实现源代码保护的详细指导。 首先,了解Java加密的基础是必要的。Java提供了强大的加密库,如Java Cryptography Extension (JCE) 和 Java ...
Java运行时装入字节码的机制隐含地...这种技术的应用非常广泛。它的用途是在类文件装入之时进行解密,因此可以看成是一种即时解密器。由于解密后的字节码文件永远不会保存到文件系统,所以窃密者很难得到解密后的代码。
### 利用DES加密算法保护Java源代码 #### 一、引言 随着信息技术的快速发展,数据的安全性问题越来越受到人们的重视。对于软件开发者来说,保护自己的Java源代码不被非法访问或篡改是非常重要的。Java作为一种跨...
在提供的描述中,主要涉及的是Java源代码加密的相关技术,特别是利用DES(数据加密标准)算法进行加密的过程。本篇文章将详细解析Java源代码加密的基本原理、DES算法的工作机制以及如何在Java环境中实现DES算法。 #...
Java加密程序源代码是用于保护数据安全的重要工具,它通过特定的算法将原始信息转换成不可读的形式,防止未经授权的访问或泄露。本程序可能涵盖了对称加密、非对称加密以及哈希函数等多种加密技术。 对称加密是最早...
RSA算法是一种非对称加密算法,它在信息安全领域有着广泛的应用,特别是在数据加密、数字签名...通过学习和理解这个Java实现的RSA加密软件,你可以深入掌握RSA算法的原理,并能够在实际项目中应用这种强大的加密技术。
在实际应用中,为了提高安全性,通常会结合使用多种加密技术,比如使用非对称加密交换对称加密的密钥,然后使用对称加密处理大量数据,以兼顾安全性和效率。 遗憾的是,根据描述,这个压缩包似乎为空,无法提供具体...
首先,Java源代码是开发任何Java应用程序的基础,它由一系列的类、方法和变量组成,遵循Java语法规范。在职工信息管理系统中,源代码通常包括数据库连接、用户界面设计、业务逻辑处理等多个模块。开发者会利用Java的...
Java源代码反编译是将已编译的Java字节码(.class文件)转换回可读的Java源代码(.java文件)的过程。这个过程对于理解已加密或混淆的代码、学习第三方库的工作原理或者在没有源代码的情况下进行调试非常有用。"小颖Java...
《飞机订票系统Java源代码解析与探讨》 在信息技术高速发展的今天,各种软件系统已经深入到我们生活的各个角落,其中,飞机订票系统作为出行服务的重要组成部分,扮演着不可或缺的角色。本文将以“飞机订票系统Java...
7. **SSL/TLS协议**:在Web应用中,SSL(Secure Socket Layer)和TLS(Transport Layer Security)协议用于建立安全的通信信道,它们使用加密技术来保护数据传输。 8. **Java加密库**:Java标准库提供了许多加密...
Java代码混淆器是一种用于保护Java源代码安全的技术,通过让源代码变得难以...通过上述内容,我们可以了解到Java代码混淆器设计与实现的重要性与复杂性,以及如何通过这些技术手段来应对当前Java源代码保护面临的挑战。
在Android世界里,APK中的代码主要以Dalvik字节码(.dex)的形式存在,因此反编译APK通常涉及到两个主要步骤:将.dex文件转换为.java源代码,然后使用Java源代码阅读器来查看结果。 1. **dex2jar工具**:这是反编译...
理解并编写Java源代码能够帮助我们构建功能丰富的应用程序。学习Java编程语言,我们需要掌握基本的语法结构,如类定义、对象创建、方法声明以及控制流语句(如if条件语句、for循环和while循环)。此外,异常处理...
综上所述,这份"java 实用源代码"项目涵盖了网络编程、多线程、GUI设计、数据传输与安全等多个核心Java编程技术,为学习和理解这些概念提供了实践案例。通过分析和研究这些源代码,开发者可以提升自己的Java编程能力...