InfoQ

新闻

微软发布.NET应用知识产权保护计划

作者 王翔 发布于 2007年7月11日 上午3时45分

社区
.NET
主题
编程,
安全
标签
微软,
知识产权,
代码生成

一直以来,.NET开发团队和开发企业都面临一个很尴尬的问题:一方面,受到客户和市场的压力,倾向于建立基于.NET这个更有生产率平台的应用;另一方面,工作产品却可以很容易地被反编译成C#(或其他.NET语言)代码,即便是通过Dotfuscator处理后的代码,其关键算法可读性也相对不错,对于有一定开发经验的.NET人员而言这些算法没有“隐私”可言。这个现状直接威胁到.NET应用的知识产权保护,微软表示近期会推出一套称为“软件许可保护”的产品(SLP Service,Software licensing and Protection Service),致力于解决这个问题。

该项技术来自于1月份微软收购的Secured Dimensions公司,该公司有一套许可服务器技术,还提供在线的软件许可认证。收购后,微软从多方面对该产品进行了强化,并准备随Orcas发布一个版本。不过在这之前会先发布一个Coder Protection SDK,其中包括一些直观的UI工具和一组开发接口(含Sample),届时可以从微软站点免费下载。微软Group产品经理Thomas Lindeman解释了这一技术的实现原理和优点:

该技术的实现原理与以往的加密和混淆原理不同,它与每个公司关联,由SLP服务为每个公司成生一个“private permutation”(保密置换码),把该置换码下载后通过调用SDK,可以把现有代码通过置换算法转换为安全虚拟机(SVM,Secure Virtual Machine)语言,然后代码的入口处就会增加一小段代码,也就是SVM。代码无论是被浏览还是被执行都要先过这道“门神”,因此这个技术是个单向的“强”转换保护机制。相应地,软件许可的认证过程也就成了“主动保护”方式,因为有前面那个“门神”,因此现在代码实际可以做什么都是根据发布的终端用户软件许可定下来的。

此外,使用该SDK的好处还在于能够帮助软件企业不仅仅将Enterprise、Standard、Express等这些相对笼统的功能打包,还可以完全按照具体功能销售软件。还有一个很酷的机制,通过嵌入“监控实体”(Monitorable entities),可以统计具体某个功能的使用情况,实现类似上网流量收费的方式根据软件的使用次数收费。

上述机制确实很诱人,不过有一点要注意——用户怎么保护自己的隐私?控制用户按照许可合同的内容使用软件无可厚非,但监控的加入势必会令用户担心他们的信息很可能在使用的时候不知不觉地被泄漏(输入参数、调用的功能点一目了然)。如果一个信用卡系统外包给第三方公司完成,信息外泄的代码完全不需要写在业务逻辑中,通过正交介入的SLP代码一样可以获取,而且这些代码到底怎么写的,你一点儿也看不到,因为它们本身可能就由第三方公司用SLP自己保护起来。

不仅如此,还有一个最大的“第三方”,如果它在发布“保密置换码”的时候,本身就有些准备或者有所控制,那么用.NET开发的软件企业也会担心 “黎叔很生气,后果很严重”,导致发布的软件不可用的局面;还有相关关键员工的流失,恐怕也是要认真考虑的问题。


作者简介:王翔,全国海关信息中心高级架构师,从事海关主要广域分布式系统的设计和实施,多次参与各业务系统的优化。此外,作为信息安全工作组副组长,他还一直致力于应用密码技术和公钥基础设施保障海关业务的安全运行。此外,他还是《程序员》杂志的专栏作者。
这个很有用啊 发表人 Kevin Chu 发表于 2007年7月13日 上午11时18分
Re: 这个很有用啊 发表人 hello hello 发表于 2007年7月17日 上午8时49分
  1. 返回顶部

    这个很有用啊

    2007年7月13日 上午11时18分 发表人 Kevin Chu

    我正打算购买一个第三方的产品呢。但是不知道,这个SDK对于使用VS Express系列能不能免费使用。

  2. 返回顶部

    Re: 这个很有用啊

    2007年7月17日 上午8时49分 发表人 hello hello

    SDK是免费的。 不过如果要用它的那个License Server就要收钱了,而且还有个小小的风险——“黎叔很生气的话,后果就严重了。”

深度内容

和Google互补的搜索引擎Wolfram|Alpha

Wolfram|Alpha与Google究竟是什么关系,Wolfram|Alpha自己是如何定位的?Wolfram|Alaph在多大程度上是语义网搜索呢?InfoQ中文站就等等这些问题采访了Wolfram研究公司中国区商务经理王翔。

SOA契约成熟度模型

本文说明了所推荐的契约版本管理设计策略是如何与SOA成熟度模型发生联系的。文章目的是为实现版本管理和可组合性提供一个路线图。

数据服务简介

Vijay Narayanan在这篇文章中对数据服务的几个方面进行了介绍,它们都是SOA实践者和数据架构师感兴趣的内容。本文对数据服务的几个方面进行了介绍,包括需求定义,基本原理和好处、范围、开发以及消费模式。

分块云计算

在本文中,Jimmy Nilsson描述了一种他在过去数年间观察到的一种正在缓慢成长的架构风格,他把这种风格称为“分块云计算”。

豆瓣网技术架构变迁

罗马不是一天建成的,豆瓣的技术架构也是随着用户规模的增长一直在持续变化中。在本次演讲中,豆瓣的首席架构师洪强宁将与大家一起分享从上线时的单台服务器架构开始一直到现在的豆瓣架构变迁历程。

融合思想:深入探索S#arp架构

Billy McCafferty展示了S#arp架构,它在ASP.NET MVC框架的基础上,荟萃了当今的最佳实践,应用在ASP.NET Web应用程序的架构设计中。

王雷谈开源以及新兴市场计划

中国作为新兴市场中的新兴市场,是Sun在美国之外实施SSE(SUN Startup Essentials)项目重点关注的地区。在QCon Beijing 2009期间,InfoQ中文站有幸对此项目的负责人王雷先生进行了采访,探讨了关于开源、新兴市场、SSE等话题。

使用HTML5构建下一代的Web Form

HTML5 是由 WHATWG发起的,最开始的名称叫做Web Application 1.0,而后这个标准吸纳了Web Forms 2.0的标准,并一同被W3C组织所采用,合并成为下一代的HTML5标准。