軟件安全中的若干關鍵技術研究.pdf

1、隨著軟件產(chǎn)業(yè)的迅速發(fā)展和通過網(wǎng)絡的快速傳播，軟件產(chǎn)品的安全問題受到越來越多的關注。分析并設計好的方法來提高軟件的安全性對于軟件版權保護具有重要意義。 軟件的安全隱患存在于軟件設計、發(fā)行和使用的各個環(huán)節(jié)，既存在自身的安全漏洞，也存在外部的攻擊危險。在軟件開發(fā)過程中，由于網(wǎng)絡的應用，關鍵代碼和文件信息面臨著泄漏的危險；在軟件發(fā)行階段，一些代碼(如Java字節(jié)碼)由于自身的機制，容易被反編譯，也為盜版提供了方便；在應用上，一些軟件在通

2、信方面，尤其是在密鑰協(xié)商的過程中存在安全漏洞，攻擊者利用中間人攻擊方法可以容易的獲得軟件通信雙方的會話密鑰，進而獲得通信數(shù)據(jù)，攻擊者通過分析這些數(shù)據(jù)，不僅可以竊取用戶的重要信息，而且可以分析軟件的流程，達到盜版的目的。本文針對以上這些安全問題進行了深入研究，并得到了如下一些研究結果： 1．研究了軟件保護中的混淆技術，設計了一種利用不定方程的解的特點來構造模糊謂詞的混淆方案。該方案首先根據(jù)一組不定方程解的特點構建具有參數(shù)化的模糊謂

3、詞，通過動態(tài)生成數(shù)據(jù)鏈表圖來保護模糊謂詞的輸出，并且引入混沌算法來干擾攻擊者的跟蹤調試；最后利用背包加密算法將模糊謂詞的輸出轉換成相應的判斷條件，增加了反編譯的難度。 2．針對加密保護Java字節(jié)碼文件存在的密鑰管理困難、影響程序升級的問題，提出了基于Shamir門限分存算法的密鑰管理方案。不同的Java字節(jié)碼文件產(chǎn)生不同的密鑰，避免了對程序升級的影響；利用門限算法將密鑰分成多個偽隨機性的因子，通過置亂和異或的方法將因子均勻的分

4、布到加密的代碼中，使攻擊者難以直接發(fā)現(xiàn)密鑰因子；在加密代碼還原時，隨機的提取因子來恢復密鑰，重復使用相同因子的概率很小，有效干擾攻擊者對密鑰生成過程的跟蹤。 3．提出了一種分塊加密保護Java字節(jié)碼的方法，該方法先將字節(jié)碼分成若干塊，每一塊的加密密鑰都根據(jù)其他塊的信息動態(tài)生成，生成密鑰的因素都來自文件本身，不需要隱藏任何信息。 4．研究了軟件在通信時密鑰協(xié)商存在的安全漏洞，分析了中間人攻擊遠程桌面協(xié)議的原理和過程，提出了