如何有效防止Java程式源碼被人偷窺?

Java程式的原始碼很容易被別人偷看，只要有一個反編譯器，任何人都可以分析別人的代碼。本文討論如何在不修改原有程式的情況下，通過加密技術保護原始碼。

一、為什麼要加密?

對於傳統的C或C++之類的語言來說，要在Web上保護原始碼是很容易的，只要不發布它就可以。遺憾的是，Java程式的原始碼很容易被別人偷看。只要有一個反編譯器，任何人都可以分析別人的代碼。Java的靈活性使得原始碼很容易被竊取，但與此同時，它也使通過加密保護代碼變得相對容易，我們唯一需要瞭解的就是Java的ClassLoader對象。當然，在加密過程中，有關Java Cryptography Extension(JCE)的知識也是必不可少的。

有幾種技術可以“模糊”Java類檔案，使得反編譯器處理類檔案的效果大打折扣。然而，修改反編譯器使之能夠處理這些經過模糊處理的類檔案並不是什麼難事，所以不能簡單地依賴模糊技術來保證原始碼的安全。

我們可以用流行的加密工具加密應用，比如PGP(Pretty Good Privacy)或GPG(GNU Privacy Guard)。這時，終端使用者在運行應用之前必須先進行解密。但解密之後，終端使用者就有了一份不加密的類檔案，這和事先不進行加密沒有什麼差別。

Java運行時裝入位元組碼的機制隱含地意味著可以對位元組碼進行修改。JVM每次裝入類檔案時都需要一個稱為ClassLoader的對象，這個對象負責把新的類裝入正在啟動並執行JVM。JVM給ClassLoader一個包含了待裝入類(比如java.lang.Object)名字的字串，然後由ClassLoader負責找到類檔案，裝入未經處理資料，並把它轉換成一個Class對象。

我們可以通過定製ClassLoader，在類檔案執行之前修改它。這種技術的應用非常廣泛??在這裡，它的用途是在類檔案裝入之時進行解密，因此可以看成是一種即時解密器。由於解密後的位元組碼檔案永遠不會儲存到檔案系統，所以竊密者很難得到解密後的代碼。

由於把原始位元組碼轉換成Class對象的過程完全由系統負責，所以建立定製ClassLoader對象其實並不困難，只需先獲得未經處理資料，接著就可以進行包含解密在內的任何轉換。

Java 2在一定程度上簡化了定製ClassLoader的構建。在Java 2中，loadClass的預設實現仍舊負責處理所有必需的步驟，但為了顧及各種定製的類裝入過程，它還調用一個新的findClass方法。

這為我們編寫定製的ClassLoader提供了一條捷徑，減少了麻煩：只需覆蓋findClass，而不是覆蓋loadClass。這種方法避免了重複所有裝入器必需執行的公用步驟，因為這一切由loadClass負責。

不過，本文的定製ClassLoader並不使用這種方法。原因很簡單。如果由預設的ClassLoader先尋找經過加密的類檔案，它可以找到;但由於類檔案已經加密，所以它不會認可這個類檔案，裝入過程將失敗。因此，我們必須自己實現loadClass，稍微增加了一些工作量。

二、定製類裝入器

每一個運行著的JVM已經擁有一個ClassLoader。這個預設的ClassLoader根據CLASSPATH環境變數的值，在本地檔案系統中尋找合適的位元組碼檔案。

應用定製ClassLoader要求對這個過程有較為深入的認識。我們首先必須建立一個定製ClassLoader類的執行個體，然後顯式地要求它裝入另外一個類。這就強制JVM把該類以及所有它所需要的類關聯到定製的ClassLoader。Listing 1顯示了如何用定製ClassLoader裝入類檔案。

【Listing 1：利用定製的ClassLoader裝入類檔案】

以下為引用的內容： // 首先建立一個ClassLoader對象 　　ClassLoader myClassLoader = new myClassLoader(); 　　// 利用定製ClassLoader對象裝入類檔案 　　// 並把它轉換成Class對象 　　Class myClass = myClassLoader.loadClass( "mypackage.MyClass" ); 　　// 最後，建立該類的一個執行個體 　　Object newInstance = myClass.newInstance(); 　　// 注意，MyClass所需要的所有其他類，都將通過 　　// 定製的ClassLoader自動裝入

如前所述，定製ClassLoader只需先擷取類檔案的資料，然後把位元組碼傳遞給運行時系統，由後者完成餘下的任務。

ClassLoader有幾個重要的方法。建立定製的ClassLoader時，我們只需覆蓋其中的一個，即loadClass，提供擷取原始類檔案資料的代碼。這個方法有兩個參數：類的名字，以及一個表示JVM是否要求解析類名字的標記(即是否同時裝入有依賴關係的類)。如果這個標記是true，我們只需在返回JVM之前調用resolveClass。

【Listing 2：ClassLoader.loadClass()的一個簡單實現】

以下為引用的內容： public Class loadClass( String name, boolean resolve ) 　　throws ClassNotFoundException { 　　try { 　　// 我們要建立的Class對象 　　Class clasz = null; 　　// 必需的步驟1：如果類已經在系統緩衝之中， 　　// 我們不必再次裝入它 　　clasz = findLoadedClass( name ); 　　if (clasz != null) 　　return clasz; 　　// 下面是定製部分 　　byte classData[] = /* 通過某種方法擷取位元組碼資料 */; 　　if (classData != null) { 　　// 成功讀取位元組碼資料，現在把它轉換成一個Class對象 　　clasz = defineClass( name, classData, 0, classData.length ); 　　} 　　// 必需的步驟2：如果上面沒有成功， 　　// 我們嘗試用預設的ClassLoader裝入它 　　if (clasz == null) 　　clasz = findSystemClass( name ); 　　// 必需的步驟3：如有必要，則裝入相關的類 　　if (resolve && clasz != null) 　　resolveClass( clasz ); 　　// 把類返回給調用者 　　return clasz; 　　} catch( IOException ie ) { 　　throw new ClassNotFoundException( ie.toString() ); 　　} catch( GeneralSecurityException gse ) { 　　throw new ClassNotFoundException( gse.toString() ); 　　} 　　}

共3頁: 上一頁 1 [2] [3] 下一頁