怎么样保护java代码的安全性

Share

对于java应用来说,逆向工程(Reverse Engineering)威胁是众所周知的安全问题,默认情况下,Java编译器生成的字节码包含大量的符号信息,其中包括可执行程序的实际java代码和调试信息,使用逆向工程机制,可以对可执行的java字节码进行反编译和反汇编,得到实际的java源代码,从而突出Java应用程序的漏洞,是攻击者可以执行如下的操作:

  • 修改代码和数据
  • 确定程序的执行流程
  • 确定使用的算法
  • 构造欺骗性和应用
  • 窃取知识产权
  • 发起代码级安全攻击
  • 什么是逆向工程?
    对Java程序进行逆向工程的过程是这样进行的:将可执行的类反汇编成中间汇编代码(Intermediate Assembly Code),然后将汇编代码反编译成字节码的高级抽象(Higher-level Abstraction),该高级抽象包含大量的源代码,其中包括变量、方法等等。与实际的源代码相比,最大的区别是没有注释。还需要指出的而是,逆向工程提供的源代码并不一定准确。能提供反编译和反汇编功能的商业软件和免费软件有很多。
    下面是一些防止对java可执行文件进行逆向工程和保护源代码的方法:
    代码验证:对可执行代码进行评估和验证,包括可信来源、运行阶段的检查、可预期的行为和输出。
    加密和解密:在传输过程中对可执行代码进行加密和解密,确保代码在传输过程中不被访问或者篡改。但是这种方法限制了代码的可移植性。
    代码混淆(Code Obfuscation):这种方法使用转换机制修改程序,生成的java代码所包含的引用是模糊的。这样虽然还是能被反编译,但是很难读懂,这个也是最常用的方法。

    关于代码混淆,常用的技术有如下:

  • 结构性或布局性变换(Structural ar layout transformation):通过混淆和重命名的方法和变量的标识符来变换代码的词法结构。
  • 数据变换(Data transformation):改变过程中的数据结构。例如将内存中的局部变量改为全局变量等。
  • 控制变换(Control transformation):改变程序中的流程机制。
  • 防篡改和预防性变换(Tamper-proofing and preventive transformation):使反编译器无法提取实际程序,并使由其产生的代码无法使用。
  • 字符串加密(String encryption):加密可执行代码中所有的字面字符串,并在运行阶段调用它们时进行解密。
  • 水印(Watermarking):在可执行代码中加入秘密消息,以识别可执行程序的副本,从而发现对代码的篡改。
  • 代码对性能的影响不是很大,却能限制反编译的滥用并提供可移植性,而且不影响部署平台。所以,为了降低逆向工程所带来的风险,代码混淆是一种不错的选择。

    但是要知道,世界上没有绝对安全的的系统,所以,要做的还是有很多,比如重视对知识产权的保护,提高人们的素质等等。。。