目前,很多共享軟件中使用注冊碼來實現對軟件的保護。所謂注冊碼,就是一組與用戶的某些特定信息(如用戶名稱、計算機硬件等等)相關的字符串。由於注冊碼傳輸起來比較簡單,同時容易驗證(相對於磁盤、光盤指紋等),因此現在注冊碼的應用越來越廣泛,甚至一些商業軟件,如 XP也使用了類似的機制(Microsoft稱為Windows Product Activation)。
談起注冊碼,就不能不提注冊器。注冊器是用來產生注冊碼的程序,其計算邏輯通常與受保護的應用程序一致。通過與受保護應用程序相同,或預先約定的計算邏輯得到的注冊號,將決定受保護應用程序的行為,如顯示“軟件未注冊”、禁用某些功能,或在“關於”對話框中顯示注冊者的姓名,等等。
其中,最終用戶通過某種方式提交其注冊信息,例如他(或他所在的組織)的名字,甚至極端一些,提供某些可以確定某人身份的信息,如Pentium III CPU的CPU ID,硬盤的序列號,網卡的MAC地址等等。然後,注冊服務器,或呼叫中心的服務人員根據用戶提供的信息,計算一個注冊號,並告訴最終用戶。
通常,由於人工操作可能造成差錯,我們希望注冊過程由計算機自動實現。不過這就帶來了一個問題:用戶憑什麼相信我們的程序並不會洩漏他的個人隱私呢?針對這一問題,目前流行的做法是提供若干選項,其中包括電話注冊,網絡注冊,以及平信注冊等等,並把程序提交的內容告知用戶。
此外,某些與用戶的電腦相關的信息,如配置等等,不宜使用明文傳送。這一方面是由於用戶可能不願意將這些信息透露給我們,另一方面是以明文傳送信息可能會導致第三方(如cracker)截獲信息。目前比較流行的方法是把那些我們並不需要,但卻決定用戶身份的信息用某種散列算法進行編碼然後再發送。當然,在發送過程中我們可以使用SSL加密,或者其他一些方法來保證安全,由於與本文的主要內容關系不大,在此不贅述,讀者可參考相關書籍。
需要保密的用戶信息→ 散列算法 → 安全傳輸(如SSL) →服務器
就筆者個人的經驗,計算注冊碼和驗證注冊碼使用不同的算法,可以在一定程度上提高注冊過程的安全性。當然,任何安全措施都不可能保證不被解密,“世界上沒有打不開的鎖”,解密只是一個時間問題,在構造注冊碼算法的時候,只要讓解密代價大於軟件價值即可,不必做得太復雜。
作為用戶而言,無論是用什麼注冊方式,他都不希望過於復雜。通過計算機直接注冊的方式無疑是最方便的,但很多用戶可能不願意這樣做。作為用戶來說,通過電話注冊這種方式,說出自己的注冊ID(通常包括了產品ID、用戶的名字等信息),以及輸入注冊碼應該是各種注冊方式中最麻煩的一種。
注冊ID和注冊碼應該具有以下特點:
(1)便於辨認、輸入。注冊碼不是密碼,沒有必要是用大量的特殊符號、大小寫組合。因此,注冊碼和注冊ID中不應該包含不同大小寫的字母,以及容易混淆的數字(1-I,0-O,2-Z)。
(2)具有查錯能力。統計證明,輸入注冊碼時,錯序(如把1234輸入成1243)、擊鍵錯誤是最常見的錯誤。比較常用的方法是把注冊碼分成若干節,每節包括一個校驗碼,這樣注冊碼就具有查錯能力了。
為了體現上面的要求,我構造了一個這樣的算法:
(1)計算輸入的用戶名,並按照下面的規則計算和:
設結果為a,預置為0
按順序取用戶名字符串的每一個字符的ASCII值,乘上位號,累加到a上。
例如:
J a s o n L i
1 2 3 4 5 6 7 8
這樣,a=(char)’J’+((char)’a’)*2+((char)’s’)*3+...