java源代码:运用加密技术保护Java源代码疯狂代码！

内容:

、为什么要加密？
2、定制类装入器
3、加密、解密
4、应用例子
5、注意事项
参考资源
作者介绍

俞良松([email protected])
软件Software工程师

独立顾问和自由撰稿人
2001年10月

Java

源代码很容易被别人偷看

只要有

个反编译器

任何人都可以分析别人

代码

本文讨论如何在不修改原有

情况下

通过加密技术保护源代码

、为什么要加密？
对于传统

C或C

的类

语言来说

要在Web上保护源代码是很容易

只要不发布它就可以

遗憾

是

Java

源代码很容易被别人偷看

只要有

个反编译器

任何人都可以分析别人

代码

Java

灵活性使得源代码很容易被窃取

但和此同时

它也使通过加密保护代码变得相对容易

我们唯

需要了解

就是Java

ClassLoader对象

当然

在加密过程中

有关JavaCryptographyExtension(JCE)

知识也是必不可少

有几种技术可以“模糊”Java类文件

使得反编译器处理类文件

效果大打折扣

然而

修改反编译器使的能够处理这些经过模糊处理

类文件并不是什么难事

所以不能简单地依赖模糊技术来保证源代码

安全

我们可以用流行

加密工具加密应用

比如PGP(PrettyGoodPrivacy)或GPG(GNUPrivacyGuard)

这时

最终用户在运行应用的前必须先进行解密

但解密的后

最终用户就有了

份不加密

类文件

这和事先不进行加密没有什么差别

Java运行时装入字节码

机制隐含地意味着可以对字节码进行修改

JVM每次装入类文件时都需要

个称为ClassLoader

对象

这个对象负责把新

类装入正在运行

JVM

JVM给ClassLoader

个包含了待装入类(比如java.lang.Object)名字

串

然后由ClassLoader负责找到类文件

装入原始数据

并把它转换成

个Class对象

我们可以通过定制ClassLoader

在类文件执行的前修改它

这种技术

应用非常广泛——在这里

它

用途是在类文件装入的时进行解密

因此可以看成是

种即时解密器

由于解密后

字节码文件永远不会保存到文件系统

所以窃密者很难得到解密后

代码

由于把原始字节码转换成Class对象

过程完全由系统负责

所以创建定制ClassLoader对象其实并不困难

只需先获得原始数据

接着就可以进行包含解密在内

任何转换

Java2在

定程度上简化了定制ClassLoader

构建

在Java2中

loadClass

缺省实现仍旧负责处理所有必需

步骤

但为了顾及各种定制

类装入过程

它还

个新

findClass思路方法

这为我们编写定制

ClassLoader提供了

条捷径

减少了麻烦:只需覆盖findClass

而不是覆盖loadClass

这种思路方法避免了重复所有装入器必需执行

公共步骤

这

切由loadClass负责

不过

本文

定制ClassLoader并不使用这种思路方法

原因很简单

如果由默认

ClassLoader先寻找经过加密

类文件

它可以找到；但由于类文件已经加密

所以它不会认可这个类文件

装入过程将失败

因此

我们必须自己实现loadClass

稍微增加了

些工作量

2、定制类装入器
每

个运行着

JVM已经拥有

个ClassLoader

这个默认

ClassLoader根据CLASSPATH环境变量

值

在本地文件系统中寻找合适

字节码文件

应用定制ClassLoader要求对这个过程有较为深入

认识

我们首先必须创建

个定制ClassLoader类

例子

然后显式地要求它装入另外

个类

这就强制JVM把该类以及所有它所需要

类关联到定制

ClassLoader

Listing1显示了如何用定制ClassLoader装入类文件

【Listing1:利用定制

ClassLoader装入类文件】

//首先创建

个ClassLoader对象
ClassLoadermyClassLoader=

myClassLoader

;

//利用定制ClassLoader对象装入类文件
//并把它转换成Class对象
ClassmyClass=myClassLoader.loadClass(\"mypackage.MyClass\");

//最后

创建该类

个例子
Object

Instance=myClass.

Instance

;

//注意

MyClass所需要

所有其他类

都将通过
//定制

ClassLoader自动装入

如前所述

定制ClassLoader只需先获取类文件

数据

然后把字节码传递给运行时系统

由后者完成余下

任务

ClassLoader有几个重要

思路方法

创建定制

ClassLoader时

我们只需覆盖其中

个

即loadClass

提供获取原始类文件数据

代码

这个思路方法有两个参数:类

名字

以及

个表示JVM是否要求解析类名字

标记(即是否同时装入有依赖关系

类)

如果这个标记是true

我们只需在返回JVM的前

resolveClass

【Listing2:ClassLoader.loadClass

个简单实现】

publicClassloadClass(Stringname,booleanresolve)
throwsClassNotFoundException{
try{
//我们要创建

Class对象
Classclasz=null;

//必需

步骤1:如果类已经在系统缓冲的中

//我们不必再次装入它
clasz=findLoadedClass(name);

(clasz!=null)

clasz;

//下面是定制部分

Data

=/*通过某种思路方法获取字节码数据*/;

(

Data!=null){
//成功读取字节码数据

现在把它转换成

个Class对象
clasz=

Class(name,

Data,0,

Data.length);
}

//必需

步骤2:如果上面没有成功

//我们尝试用默认

ClassLoader装入它

(clasz

null)
clasz=find

Class(name);

//必需

步骤3:如有必要

则装入相关

类

(resolve&&clasz!=null)
resolveClass(clasz);

//把类返回给

者

clasz;

}catch(IOExceptionie){
throw

ClassNotFoundException(ie.toString

);
}catch(GeneralSecurityExceptiongse){
throw

ClassNotFoundException(gse.toString

);
}
}

Listing2显示了

个简单

loadClass实现

代码中

大部分对所有ClassLoader对象来说都

样

但有

小部分(已通过注释标记)是特有

在处理过程中

ClassLoader对象要用到其他几个辅助思路方法:

findLoadedClass:用来进行检查

以便确认被请求

类当前还不存在

loadClass思路方法应该首先

它

Class:获得原始类文件字节码数据的后

Class把它转换成

个Class对象

任何loadClass实现都必须

这个思路方法

find

Class:提供默认ClassLoader

支持

如果用来寻找类

定制思路方法不能找到指定

类(或者有意地不用定制思路方法)

则可以

该思路方法尝试默认

装入方式

这是很有用

特别是从普通

JAR文件装入标准Java类时

resolveClass:当JVM想要装入

不仅包括指定

类

而且还包括该类引用

所有其他类时

它会把loadClass

resolve参数设置成true

这时

我们必须在返回刚刚装入

Class对象给

者的前

resolveClass

3、加密、解密
Java加密扩展即JavaCryptographyExtension

简称JCE

它是Sun

加密服务软件Software

包含了加密和密匙生成功能

JCE是JCA(JavaCryptographyArchitecture)

种扩展

JCE没有规定具体

加密算法

但提供了

个框架

加密算法

具体实现可以作为服务提供者加入

除了JCE框架的外

JCE软件Software包还包含了SunJCE服务提供者

其中包括许多有用

加密算法

比如DES(DataEncryptionStandard)和Blowfish

为简单计

在本文中我们将用DES算法加密和解密字节码

下面是用JCE加密和解密数据必须遵循

基本步骤:

步骤1:生成

个安全密匙

在加密或解密任何数据的前需要有

个密匙

密匙是随同被加密

应用

起发布

小段数据

Listing3显示了如何生成

个密匙

【Listing3:生成

个密匙】

//DES算法要求有

个可信任

随机数源
SecureRandomsr=

SecureRandom

;

//为我们选择

DES算法生成

个KeyGenerator对象
KeyGeneratorkg=KeyGenerator.getInstance(\"DES\");
kg.init(sr);

//生成密匙
SecretKeykey=kg.generateKey

;

//获取密匙数据

rawKeyData

=key.getEncoded

;

/*接下来就可以用密匙进行加密或解密

或者把它保存
为文件供以后使用*/
doSomething(rawKeyData);

步骤2:加密数据

得到密匙的后

接下来就可以用它加密数据

除了解密

ClassLoader的外

般还要有

个加密待发布应用

独立

(见Listing4)

【Listing4:用密匙加密原始数据】

//DES算法要求有

个可信任

随机数源
SecureRandomsr=

SecureRandom

;

rawKeyData

=/*用某种思路方法获得密匙数据*/;

//从原始密匙数据创建DESKeySpec对象
DESKeySpecdks=

DESKeySpec(rawKeyData);

//创建

个密匙工厂

然后用它把DESKeySpec转换成
//

个SecretKey对象
SecretKeyFactorykeyFactory=SecretKeyFactory.getInstance(\"DES\");
SecretKeykey=keyFactory.generateSecret(dks);

//Cipher对象实际完成加密操作
Ciphercipher=Cipher.getInstance(\"DES\");

//用密匙

化Cipher对象

cipher.init(Cipher.ENCRYPT_MODE,key,sr);

//现在

获取数据并加密

data

=/*用某种思路方法获取数据*/

//正式执行加密操作

encryptedData

=cipher.doFinal(data);

//进

步处理加密后

数据
doSomething(encryptedData);

步骤3:解密数据

运行经过加密

应用时

ClassLoader分析并解密类文件

操作步骤如Listing5所示

【Listing5:用密匙解密数据】

//DES算法要求有

个可信任

随机数源
SecureRandomsr=

SecureRandom

;

rawKeyData

=/*用某种思路方法获取原始密匙数据*/;

//从原始密匙数据创建

个DESKeySpec对象
DESKeySpecdks=

DESKeySpec(rawKeyData);

//创建

个密匙工厂

然后用它把DESKeySpec对象转换成
//

个SecretKey对象
SecretKeyFactorykeyFactory=SecretKeyFactory.getInstance(\"DES\");
SecretKeykey=keyFactory.generateSecret(dks);

//Cipher对象实际完成解密操作
Ciphercipher=Cipher.getInstance(\"DES\");

//用密匙

化Cipher对象
cipher.init(Cipher.DECRYPT_MODE,key,sr);

//现在

获取数据并解密

encryptedData

=/*获得经过加密

数据*/

//正式执行解密操作

decryptedData

=cipher.doFinal(encryptedData);

//进

步处理解密后

数据
doSomething(decryptedData);

4、应用例子
前面介绍了如何加密和解密数据

要部署

个经过加密

应用

步骤如下:

步骤1:创建应用

我们

例子包含

个App主类

两个辅助类(分别称为Foo和Bar)

这个应用没有什么实际功用

但只要我们能够加密这个应用

加密其他应用也就不在话下

步骤2:生成

个安全密匙

在命令行

利用GenerateKey工具(参见GenerateKey.java)把密匙写入

个文件:%javaGenerateKeykey.data

步骤3:加密应用

在命令行

利用EncryptClasses工具(参见EncryptClasses.java)加密应用

类:%javaEncryptClasseskey.dataApp.

Foo.

Bar.

该命令把每

个.

文件替换成它们各自

加密版本

步骤4:运行经过加密

应用

用户通过

个DecryptStart

运行经过加密

应用

DecryptStart

如Listing6所示

【Listing6:DecryptStart.java

启动被加密应用

】

importjava.io.*;
importjava.security.*;
importjava.lang.reflect.*;
importjavax.crypto.*;
importjavax.crypto.spec.*;

public

DecryptStartextendsClassLoader
{
//这些对象在构造

中设置

//以后loadClass

思路方法将利用它们解密类
privateSecretKeykey;
privateCiphercipher;

//构造

:设置解密所需要

对象
publicDecryptStart(SecretKeykey)throwsGeneralSecurityException,
IOException{
this.key=key;

Stringalgorithm=\"DES\";
SecureRandomsr=

SecureRandom

;

.err.pr

ln(\"[DecryptStart:creatingcipher]\");
cipher=Cipher.getInstance(algorithm);
cipher.init(Cipher.DECRYPT_MODE,key,sr);
}

//

过程:我们要在这里读入密匙

创建DecryptStart

//例子

它就是我们

定制ClassLoader

//设置好ClassLoader以后

我们用它装入应用例子

//最后

我们通过JavaReflectionAPI

应用例子

思路方法

publicvoid

(Stringargs

)throwsException{
StringkeyFilename=args[0];
StringappName=args[1];

//这些是传递给应用本身

参数
StringrealArgs

String[args.length-2];

.gif' />copy(args,2,realArgs,0,args.length-2);

//读取密匙

.err.pr

ln(\"[DecryptStart:readingkey]\");

rawKey

=Util.readFile(keyFilename);
DESKeySpecdks=

DESKeySpec(rawKey);
SecretKeyFactorykeyFactory=SecretKeyFactory.getInstance(\"DES\");
SecretKeykey=keyFactory.generateSecret(dks);

//创建解密

ClassLoader
DecryptStartdr=

DecryptStart(key);

//创建应用主类

个例子
//通过ClassLoader装入它

.err.pr

ln(\"[DecryptStart:loading\"+appName+\"]\");
Classclasz=dr.loadClass(appName);

//最后

通过ReflectionAPI

应用例子
//

思路方法

//获取

个对

引用
Stringproto

String[1];
Class

Args

={(

String[1]).getClass

};
Method

=clasz.getMethod(\"

\",

Args);

//创建

个包含

思路方法参数

ObjectargsArray

={realArgs};

.err.pr

ln(\"[DecryptStart:running\"+appName+\".

]\");

//

.invoke(null,argsArray);
}

publicClassloadClass(Stringname,booleanresolve)
throwsClassNotFoundException{
try{
//我们要创建

Class对象
Classclasz=null;

//必需

步骤1:如果类已经在系统缓冲的中
//我们不必再次装入它
clasz=findLoadedClass(name);

(clasz!=null)

clasz;

//下面是定制部分
try{
//读取经过加密

类文件

Data

=Util.readFile(name+\".

\");

(

Data!=null){
//解密...

decryptedClassData

=cipher.doFinal(

Data);

//...再把它转换成

个类
clasz=

Class(name,decryptedClassData,
0,decryptedClassData.length);

.err.pr

ln(\"[DecryptStart:decrypting

\"+name+\"]\");
}
}catch(FileNotFoundExceptionfnfe){
}

//必需

步骤2:如果上面没有成功
//我们尝试用默认

ClassLoader装入它

(clasz

null)
clasz=find

Class(name);

//必需

步骤3:如有必要

则装入相关

类

(resolve&&clasz!=null)
resolveClass(clasz);

//把类返回给

者

clasz;
}catch(IOExceptionie){
throw

ClassNotFoundException(ie.toString

);
}catch(GeneralSecurityExceptiongse){
throw

ClassNotFoundException(gse.toString

);
}
}
}

对于未经加密

应用

正常执行方式如下:%javaApparg0arg1arg2

对于经过加密

应用

则相应

运行方式为:%javaDecryptStartkey.dataApparg0arg1arg2

DecryptStart有两个目

个DecryptStart

例子就是

个实施即时解密操作

定制ClassLoader；同时

DecryptStart还包含

个

过程

它创建解密器例子并用它装入和运行应用

举例应用App

代码包含在App.java、Foo.java和Bar.java内

Util.java是

个文件I/O工具

本文举例多处用到了它

完整

代码请从本文最后下载

5、注意事项
我们看到

要在不修改源代码

情况下加密

个Java应用是很容易

不过

世上没有完全安全

系统

本文

加密方式提供了

定程度

源代码保护

但对某些攻击来说它是脆弱

虽然应用本身经过了加密

但启动

DecryptStart没有加密

攻击者可以反编译启动

并修改它

把解密后

类文件保存到磁盘

降低这种风险

办法的

是对启动

进行高质量

模糊处理

或者

启动

也可以采用直接编译成机器语言

代码

使得启动

具有传统执行文件格式

安全性

另外还要记住

是

大多数JVM本身并不安全

狡猾

黑客可能会修改JVM

从ClassLoader的外获取解密后

代码并保存到磁盘

从而绕过本文

加密技术

Java没有为此提供真正有效

补救措施

不过应该指出

是

所有这些可能

攻击都有

个前提

这就是攻击者可以得到密匙

如果没有密匙

应用

安全性就完全取决于加密算法

安全性

虽然这种保护代码

思路方法称不上十全十美

但它仍不失为

种保护知识产权和敏感用户数据

有效方案

参考资源

在运行时刻更新功能模块

介绍了

个利用类库加载器ClassLoader实现在运行时刻更新部分功能模块

Java

并将其和C/C

中实现同样功能

动态链接库方案进行了比较

Java窍门技巧105:利用JWhich掌握类路径

展示

个简单

工具

它可以清楚地确定类装载器从类路径中载入了什么Java类

要了解更多

Java安全信息

请阅读java.sun.com

JavaSecurityAPI页

如何封锁您

(或打开别人

)Java代码

Java代码反编译和模糊处理

指南

使您

软件Software运行起来:摆弄数字

真正安全

软件Software需要精确

随机数生成器

下载本文代码:EncryptedJavaClass_code.zip

有关作者
俞良松

软件Software工程师

独立顾问和自由撰稿人

最初从事PB和Oracle开发

现主要兴趣在于Internet开发

您可以通过[email protected]和我联系

java源代码:运用加密技术保护Java源代码

延伸阅读

最新评论

发表评论

赞助商广告

随机更新

热门标注

最近更新

最新标注