一直以来,.NET开发团队和开发企业都面临一个很尴尬的问题:一方面,受到客户和市场的压力,倾向于建立基于.NET这个更有生产率平台的应用;另一方面,工作产品却可以很容易地被反编译成C#(或其他.NET语言)代码,即便是通过Dotfuscator处理后的代码,其关键算法可读性也相对不错,对于有一定开发经验的.NET人员而言这些算法没有“隐私”可言。这个现状直接威胁到.NET应用的知识产权保护,微软表示近期会推出一套称为“软件许可保护”的产品(SLP Service,Software licensing and Protection Service),致力于解决这个问题。
该项技术来自于1月份微软收购的Secured Dimensions公司,该公司有一套许可服务器技术,还提供在线的软件许可认证。收购后,微软从多方面对该产品进行了强化,并准备随Orcas发布一个版本。不过在这之前会先发布一个Coder Protection SDK,其中包括一些直观的UI工具和一组开发接口(含Sample),届时可以从微软站点免费下载。微软Group产品经理Thomas Lindeman解释了这一技术的实现原理和优点:
该技术的实现原理与以往的加密和混淆原理不同,它与每个公司关联,由SLP服务为每个公司成生一个“private permutation”(保密置换码),把该置换码下载后通过调用SDK,可以把现有代码通过置换算法转换为安全虚拟机(SVM,Secure Virtual Machine)语言,然后代码的入口处就会增加一小段代码,也就是SVM。代码无论是被浏览还是被执行都要先过这道“门神”,因此这个技术是个单向的“强”转换保护机制。相应地,软件许可的认证过程也就成了“主动保护”方式,因为有前面那个“门神”,因此现在代码实际可以做什么都是根据发布的终端用户软件许可定下来的。
此外,使用该SDK的好处还在于能够帮助软件企业不仅仅将Enterprise、Standard、Express等这些相对笼统的功能打包,还可以完全按照具体功能销售软件。还有一个很酷的机制,通过嵌入“监控实体”(Monitorable entities),可以统计具体某个功能的使用情况,实现类似上网流量收费的方式根据软件的使用次数收费。
上述机制确实很诱人,不过有一点要注意——用户怎么保护自己的隐私?控制用户按照许可合同的内容使用软件无可厚非,但监控的加入势必会令用户担心他们的信息很可能在使用的时候不知不觉地被泄漏(输入参数、调用的功能点一目了然)。如果一个信用卡系统外包给第三方公司完成,信息外泄的代码完全不需要写在业务逻辑中,通过正交介入的SLP代码一样可以获取,而且这些代码到底怎么写的,你一点儿也看不到,因为它们本身可能就由第三方公司用SLP自己保护起来。
不仅如此,还有一个最大的“第三方”,如果它在发布“保密置换码”的时候,本身就有些准备或者有所控制,那么用.NET开发的软件企业也会担心 “黎叔很生气,后果很严重”,导致发布的软件不可用的局面;还有相关关键员工的流失,恐怕也是要认真考虑的问题。
