 |
|
|
|
[原创] 秘密之神——“雅典娜”网页密码锁
[ 2008-02-04 00:17:02 ]
引言/提要:龙之梦工作室自主开发的“雅典娜”网页密码锁软件,集成了网页加密防下载、防打印、防拷贝、防抓屏、防伪造功能,打破了所谓documentElement.outerHTML“终极破解法”的神话。
关键词:雅典娜,网页密码锁,安全软件,网页保护,网页加密,网页破解,核心技术
秘密之神——“雅典娜”网页密码锁,是一个用于网页加密的工具软件。对于制作或者拥有自己网页的企业、组织、个人,如果希望使网页信息保密,只让允许的人看到,或者是希望保护自己的网页作品源代码,从技术上维护版权,使用“雅典娜”网页密码锁可以获得很好的加密效果。
不同于平常的网页加密技术那么容易被破解,“雅典娜”网页密码锁集成了网页加密防下载、防打印、防拷贝、防抓屏、防伪造功能,打破了所谓documentElement.outerHTML“终极破解法”的神话。经过“雅典娜”网页密码锁加密的页面,HTML源代码被龙之梦自主开发的加密算法处理过,破解难度有多大,只要查看源文件就可以体会得到。通过网站提供的实例演示,或者是亲自用一下这个软件的免费版(在龙之梦网站的“软件下载”栏目里提供),就会对加密效果有直观的体会。
这个软件的起源,可以追溯到10年前,1996年北京邮电大学第一届“星火杯”科技竞赛一等奖的设计方案——密码与程序分离的数据加密算法。作为本科二年级的学生,随后用汇编和Pascal语言开发出来的软件作品,又入围南京大学举办的1996年全国“挑战杯”大学生课外科技作品竞赛。但因为软件基于趋向没落的DOS系统,最终未能在竞赛中更进一步。
之后,这个软件并没有就此停止发展,而是在悄无声息中,陆陆续续地进行着课余、业余的开发和改造。时至2006年的今日,已经过10年的孕育期。重新诞生的“雅典娜”,用C语言写成,已是支持Web网页,使用JavaScript技术的新一代加密软件。而软件所采用的加密算法和10年前相比,虽然同属自主开发,但已不可同日而语。而且,由于加入了前所未有的核心技术,使软件上了一个新的档次。
作为自主开发的原创软件,“雅典娜”网页密码锁采用了以下技术来强化加密效果:
1、采用了密钥与加密代码分离的加密方法,属于单密钥加密模式。
目前流行的DES、AES加密,就是属于单密钥加密模式。特点是加密、解密采用同样的密钥,并且密钥与加密代码分离。分离的结果是,即使加密算法被公开,只要密钥是保密的,密文就仍然保密。
“雅典娜”加密网页的同时,会生成一个独立的密钥文件。如果是成批加密网页,会共享同一个密钥文件。把这个密钥文件和加密过的网页文件分开,加密网页公开发布,而密钥文件则单独保护起来,通过安全途径(例如SSL、电子邮件等)传递分发。这样,就可以只让有密钥的人看到解密的网页。别人即使得到网页密文,没有密钥文件也解不出来。
网站上提供的演示实例是面向所有人,没有必要把密钥文件单独通过安全途径传送,所以直接把密钥和加密网页放在了一起。
2、使用了“幻日”代码干扰技术,大大提高破解难度。
“幻日”是龙之梦工作室自主开发的核心技术,能够保护网页中有价值的JavaScript脚本代码,使代码源程序难以读懂。
由于“幻日”技术借鉴了变形病毒的设计思想,“雅典娜”每次加密所产生的密钥文件都不同,是随机的。这样,即使密钥文件泄露,或者是有意公开,破解起来仍然很难。因为安全不是绝对的,只要破解的代价超过被保护信息本身的价值,就可以说是相对安全。从这个意义上讲,即使密钥泄露,仍然有可能保持相对安全。
3、加密中嵌入了校验码,防止页面被非法篡改。
平常的网页加密技术,例如escape编码加密,有一个弱点是页面被非法篡改之后无法察觉。这里所说的非法篡改,不单指恶意攻击,也包括密文在存储、传输过程中出现的信息错漏、操作者自身误操作而导致的非法增、删、改字符等。
“雅典娜”具有防篡改设计,能够在浏览器解密的过程中,通过校验码检测出非法篡改,从而提高了网页信息的安全性。
4、可以和其他JavaScript加密功能配合使用,迫使浏览者不能屏蔽JavaScript功能。
平常的网页加密技术之中,有不少利用了JavaScript功能,例如屏蔽鼠标右键、自动跳转、防拷贝、防下载、防打印等。可是,这种加密有个致命弱点:一旦浏览器禁用了JavaScript功能,这些加密功能会全部失效。
“雅典娜”可以和这些加密技术配合使用,使这些JavaScript保护功能真正发挥作用。因为“雅典娜”网页密码锁加密下的页面,必须通过JavaScript功能才能解密。如果浏览器禁用了JavaScript,只能看到一堆密文。这样一来,就迫使浏览器连同屏蔽鼠标右键、防复制等JavaScript功能一齐接受。
5、自带数据压缩功能,进一步增强加密效果。
“雅典娜”自带数据压缩算法,该算法也是龙之梦工作室自主开发的,是针对中文网页而作的LZSS算法的改良。
对网页进行压缩的主要目的,是提高数据的信息密度(信息熵),增加数据的无序程度,从而提高对选择明文攻击等破解手段的抵抗能力。至于节省带宽、存储空间等,只是压缩的次要结果。实际上,由于密钥文件本身占有一定的大小,所以加密一两个网页的压缩效果不明显,甚至反而比加密前更大。只有加密整个网站大批量的网页文件,由于密钥文件只有一个,才会体现压缩的效果。
6、集成防打印、防抓屏、防拷贝功能,极大地增加非法盗版的成本。
“雅典娜”集成的防打印功能,能够令网页打印只有一片空白。v20080108版开始支持的防抓屏功能,使一键抓屏的简便时代成为过去。高级防拷贝功能,可以屏蔽鼠标右键、快捷键等非法操作,使盗版者无机可乘。
这些集成的外围防御功能,大大增加盗版的难度。只要能够迫使盗版者不得不采用手工录入、相机拍照等极端手段,“雅典娜”的防盗版措施就是非常成功的,因为这样的盗版成本已经相当高,类似于手工抄写书籍盗版。
7、集成防下载、防伪造功能,使克隆盗版绕不过合法网站。
克隆盗版是把网页原封不动地下载保存,这样虽不能破解加密网页,也删改不了网页中的版权信息,但也算达到了盗版的目的。
为了防止伪造网站克隆盗版,“雅典娜”采取了多重措施,实行多层次纵深防御,包括:集成防下载功能,防止浏览器直接用保存网页功能下载加密页面;集成URL网址校验,使加密网页只能在合法路径下打开,离开规定范围就失效(哪怕是下载到本地硬盘);集成防伪标识文件,使盗版网站因缺少防伪标识而打不开加密网页;集成防伪标识号,迫使盗版网站无法正确回答随机序列号,从而打不开加密网页。
8、随机应变,持续升级,遇强越强。
“雅典娜”有龙之梦工作室的核心技术支持,能够根据实际情况持续升级,不断强化防御能力,增加保护功能。详细情况,见《遇强越强——“雅典娜”网页密码锁攻防战实录》。
|
|
|
相关文章:
 [原创] 里程碑式的人生规划 [2007-08-10]
[原创] 办公自动化网上应用系统 [2007-04-25]
[原创] 市场细分综合营销系统 [2007-04-25]
[原创] 在工作中学习,从学习中创新 [2007-04-24]
[原创] 团队精神 [2007-04-24]
[原创] 商客营销数据分析系统开发需求(初步分析) [2007-04-25]
最新留言:
 [2014-10-16]
[2014-10-16]
[2014-06-04]
[2014-06-04]
[2013-12-08]
[2013-11-29]
|
|
|
相关链接 |
|
人次