4,011
社区成员
发帖
与我相关
我的任务
分享本地C/S架构程序 连接MSSQL进行网络验证的安全问题
本人想对共享软件采取一些反破解的措施 但是由于没有经验 特地来向各位借一些思路 增长见识
我的想法是这样的 想用网络验证的授权方式 代替传统序列号授权方式 一个新用户注册之后 将他的密码加密 放在数据库里 然后里面还有软件使用的时间限制
我的问题是 对密码进行加密要使用什么算法 我看了一些资料有可逆的算法和不可逆的算法 那么可逆的算法主要是应用在什么方面呢 我觉得用户名和密码只是用来验证是否可以登录软件 应该用不可逆的算法最为合适了吧?
另外链接数据库之后 要怎样比对 假如我现在有一个登陆框 获取到了两个编辑框中的用户名和密码 然后要怎样验证才能安全呢? 是在本地进行算法加密后和数据库中已经加密好的值进行比对么?
就这样的简单比对过后 如果为真 就弹出主界面 是否安全 数据库的返回结果 会被破解者模拟出来MSSQL的返回结果么
之前看过大家的一些软件都是用序列号的方式进行验证 如果用网络验证的话 是否还要注意哪些方面.请大家指点
软件启动--->登陆界面--->输入用户名密码---->与MSSQL中的密码进行比对---->弹出软件主界面进行功能使用
还有一点就是 用什么方法 可以在软件被破解了之后 强行进行更新 如果不更新将无法使用
能够帮助我 做认真回答的人 我会单独加100分回报你的好心帮助
我的想法是这样的 想用网络验证的授权方式 代替传统序列号授权方式 一个新用户注册之后 将他的密码加密 放在数据库里 然后里面还有软件使用的时间限制
我的问题是 对密码进行加密要使用什么算法 我看了一些资料有可逆的算法和不可逆的算法 那么可逆的算法主要是应用在什么方面呢 我觉得用户名和密码只是用来验证是否可以登录软件 应该用不可逆的算法最为合适了吧?
另外链接数据库之后 要怎样比对 假如我现在有一个登陆框 获取到了两个编辑框中的用户名和密码 然后要怎样验证才能安全呢? 是在本地进行算法加密后和数据库中已经加密好的值进行比对么?
就这样的简单比对过后 如果为真 就弹出主界面 是否安全 数据库的返回结果 会被破解者模拟出来MSSQL的返回结果么
之前看过大家的一些软件都是用序列号的方式进行验证 如果用网络验证的话 是否还要注意哪些方面.请大家指点
软件启动--->登陆界面--->输入用户名密码---->与MSSQL中的密码进行比对---->弹出软件主界面进行功能使用
还有一点就是 用什么方法 可以在软件被破解了之后 强行进行更新 如果不更新将无法使用
能够帮助我 做认真回答的人 我会单独加100分回报你的好心帮助
...全文
请发表友善的回复…
发表回复
linuxredhat8 2010-07-22
- 打赏
- 举报
网络验证,客户端只保留用户名密码,一部分数据要从网上下载,相当于网下的只是一个空壳,安全,网下加密迟早要给人破解掉
bingying19872008 2010-07-07
- 打赏
- 举报
最重要的就是软件的核心功能一定不能是完整的!
bingying19872008 2010-07-07
- 打赏
- 举报
密码肯定是用单向散列的 如MD5,SHA1,对密码进行比较 只比较密文即可.密文一样则原文一样.
此外软件的功能不能给全,如果你的软件功能是完整的,那么你的网络验证就是摆设.只不是通过验证了才激活这些功能而已.你用网络验证的话,应外通过验证后才把包含功能的那段代码通过网络传给应用程序使用,应用程序使用完成后退出前清除那段代码。另外没有任何一种技术可以确认一个计算机,绑定什么地址,什么硬盘CPU序列号都是白费力气.
此外软件的功能不能给全,如果你的软件功能是完整的,那么你的网络验证就是摆设.只不是通过验证了才激活这些功能而已.你用网络验证的话,应外通过验证后才把包含功能的那段代码通过网络传给应用程序使用,应用程序使用完成后退出前清除那段代码。另外没有任何一种技术可以确认一个计算机,绑定什么地址,什么硬盘CPU序列号都是白费力气.
jwybobo2007 2010-07-07
- 打赏
- 举报
想不被破解那是几乎不可能的,只要尽量保证安全即可.
还有就是,试用版永远不能是全功能的,也就是所在编译期就得决定它的功能只能是部分的
还有就是,试用版永远不能是全功能的,也就是所在编译期就得决定它的功能只能是部分的
surf515 2010-07-07
- 打赏
- 举报
[Quote=引用 2 楼 king030609 的回复:]
不会,友情帮顶下
[/Quote]~~
不会,友情帮顶下
[/Quote]~~
许文君 2010-07-07
- 打赏
- 举报
可留下QQ,我们交流下,我最近也在弄这个
许文君 2010-07-07
- 打赏
- 举报
配置包含使用剩余时间,每过一定时间对配置进行更改。周期性服务器做安全性验证。
许文君 2010-07-07
- 打赏
- 举报
加密我一般是MD5,不要用数据库来做判断,最好也不要尝试本地对时,对服务器注册,服务器返回一份加密配置
ok1234567 2010-07-07
- 打赏
- 举报
如果将验证信息放置在数据库中,最简单的破解方法可能是复制一份有着足够时限的数据库,凑合着用。也就是说,你卖了一份,就等于卖了N份
注册通常需要和计算机硬件信息绑定(没有问题),这里有一个问题,客户买了你的产品,需要更换机器,你怎么办?
通过网络认证,如果客户希望离线运行或者验证服务器失效怎么办?
商用软件,比较简单的方式,可能还是发放基于计算机硬件信息的摘要指纹数据,写注册表,进行本地注册
系统获得本地注册,即可运行,在运行一个随机时间后,可以尝试请求网络验证(那是最铁的),之后看怎么办 。。。
注册通常需要和计算机硬件信息绑定(没有问题),这里有一个问题,客户买了你的产品,需要更换机器,你怎么办?
通过网络认证,如果客户希望离线运行或者验证服务器失效怎么办?
商用软件,比较简单的方式,可能还是发放基于计算机硬件信息的摘要指纹数据,写注册表,进行本地注册
系统获得本地注册,即可运行,在运行一个随机时间后,可以尝试请求网络验证(那是最铁的),之后看怎么办 。。。
VsirSoft 2010-07-07
- 打赏
- 举报
[Quote=引用 9 楼 bingying19872008 的回复:]
密码肯定是用单向散列的 如MD5,SHA1,对密码进行比较 只比较密文即可.密文一样则原文一样.
此外软件的功能不能给全,如果你的软件功能是完整的,那么你的网络验证就是摆设.只不是通过验证了才激活这些功能而已.你用网络验证的话,应外通过验证后才把包含功能的那段代码通过网络传给应用程序使用,应用程序使用完成后退出前清除那段代码。另外没有任何一种技术可以确认一个计算机,绑定什么地址,什么硬盘CPU序……
[/Quote]
非常感谢这位朋友~大体明白
密码肯定是用单向散列的 如MD5,SHA1,对密码进行比较 只比较密文即可.密文一样则原文一样.
此外软件的功能不能给全,如果你的软件功能是完整的,那么你的网络验证就是摆设.只不是通过验证了才激活这些功能而已.你用网络验证的话,应外通过验证后才把包含功能的那段代码通过网络传给应用程序使用,应用程序使用完成后退出前清除那段代码。另外没有任何一种技术可以确认一个计算机,绑定什么地址,什么硬盘CPU序……
[/Quote]
非常感谢这位朋友~大体明白
VsirSoft 2010-07-06
- 打赏
- 举报
感谢楼上几位的回答 我已经有了大概的思路 看来花时间在加密上面也没什么太大用处
不过还是希望能得到一些不错的方法和思路加以学习 希望这些人还能回帖讨论其他问题
不过还是希望能得到一些不错的方法和思路加以学习 希望这些人还能回帖讨论其他问题
oyljerry 2010-07-06
- 打赏
- 举报
序列号一样可以维护过期,软件每次发送一个客户端唯一ID以及对应的SN到服务器,然后服务器中保持SN的过期日期,客户端得到过期日期后,对比本地时间判断是否过期,这样就可以决定软件是否可以继续使用
笨笨兔兔兔兔兔 2010-07-06
- 打赏
- 举报
mac地址绑定也是一种比较常用的方案
zyq5945 2010-07-06
- 打赏
- 举报
序列号的方式 没法控制使用的时间也可以控制时间的啊
获取硬件信息,把硬件信息给服务器,服务器获取本地时间加上硬件信息生成序列号就是了.客户端验证的时候再把序列号的时间取出来做对比.
还有一点就是 用什么方法 可以在软件被破解了之后 强行进行更新 如果不更新将无法使用
这个不是说强行就强行了,找到你强行更新的关键代码一个JMP就完了.
安全只是相对的,不可能是绝对的.
获取硬件信息,把硬件信息给服务器,服务器获取本地时间加上硬件信息生成序列号就是了.客户端验证的时候再把序列号的时间取出来做对比.
还有一点就是 用什么方法 可以在软件被破解了之后 强行进行更新 如果不更新将无法使用
这个不是说强行就强行了,找到你强行更新的关键代码一个JMP就完了.
安全只是相对的,不可能是绝对的.
VsirSoft 2010-07-06
- 打赏
- 举报
[Quote=引用 3 楼 antheus 的回复:]
你做了个什么共享软件?
告诉我就告诉你个方法
[/Quote]
就是一个符合格式的文本生成器 比如生成XML HTML 这种. 主要还是本地应用.
但是客户用的话 主要想实现包年包月制度 有时限 一人一授权. 然后就是可以自助充值延长使用时间 这样
要是序列号的方式也可以 我就是怕被破解掉 而且序列号的方式 没法控制使用的时间
你做了个什么共享软件?
告诉我就告诉你个方法
[/Quote]
就是一个符合格式的文本生成器 比如生成XML HTML 这种. 主要还是本地应用.
但是客户用的话 主要想实现包年包月制度 有时限 一人一授权. 然后就是可以自助充值延长使用时间 这样
要是序列号的方式也可以 我就是怕被破解掉 而且序列号的方式 没法控制使用的时间
Antheus 2010-07-06
- 打赏
- 举报
你做了个什么共享软件?
告诉我就告诉你个方法
告诉我就告诉你个方法
King030609 2010-07-06
- 打赏
- 举报
不会,友情帮顶下
笨笨兔兔兔兔兔 2010-07-06
- 打赏
- 举报
就这样的简单比对过后 如果为真 就弹出主界面 是否安全 数据库的返回结果 会被破解者模拟出来MSSQL的返回结果么
一般来说加密至少要加上 时间戳吧,这个可以参考银行的ukey pki 微软的csp技术
而且如果是会员机制的话,c/s结构,如果只是因为功能而不是数据的保密性用的用户名和密码,这个貌似没用
//还有一点就是 用什么方法 可以在软件被破解了之后 强行进行更新 如果不更新将无法使用
微软检查的是序列号吧,然后黑屏
我现在的做法是主要数据和核心算法都在服务器上,客户端部分只提供基本操作 这样的话,用户名和密码
就不是大问题了(不过要看你的软件的应用对象了,要是office这样的,还是序列号好)
一般来说加密至少要加上 时间戳吧,这个可以参考银行的ukey pki 微软的csp技术
而且如果是会员机制的话,c/s结构,如果只是因为功能而不是数据的保密性用的用户名和密码,这个貌似没用
//还有一点就是 用什么方法 可以在软件被破解了之后 强行进行更新 如果不更新将无法使用
微软检查的是序列号吧,然后黑屏
我现在的做法是主要数据和核心算法都在服务器上,客户端部分只提供基本操作 这样的话,用户名和密码
就不是大问题了(不过要看你的软件的应用对象了,要是office这样的,还是序列号好)
