利用DES密碼編譯演算法保護Java原始碼

作者：李琴 李家明   出處：電腦與資訊技術

 摘 要：本文首先分析了Java原始碼需要加密的原因，簡要介紹了DES演算法及Java密碼體系和Java密碼擴充，最後說明了利用DES密碼編譯演算法保護Java原始碼的方法及步驟。

　　關鍵詞 Java 加密 DES演算法

　　Java語言是一種非常適用於網路編程的語言，它的基本結構與C++極為相似，但拋棄了C/C++中指標等內容，同時它吸收了Smalltalk、C++物件導向的編程思想。它具有簡單性、魯棒性、可移植性、動態性等特點。這些特點使得Java成為跨平台應用開發的一種規範，在世界範圍內廣泛流傳。

　　加密Java源碼的原因

　　Java原始碼經過編譯以後在JVM中執行。由於JVM介面是完全透明的，Java類檔案能夠很容易通過反編譯器重新轉換成原始碼。因此，所有的演算法、類檔案等都可以以原始碼的形式被公開，使得軟體不能受到保護，為了保護產權，一般可以有以下幾種方法：

　　（1）"模糊"類檔案，加大反編譯器反編譯原始碼檔案的難度。然而，可以修改反編譯器，使之能夠處理這些模糊類檔案。所以僅僅依賴"模糊類檔案"來保證代碼的安全是不夠的。

　　（2）流行的加密工具對源檔案進行加密，比如PGP（Pretty Good Privacy）或GPG（GNU Privacy Guard）。這時，終端使用者在運行應用之前必須先進行解密。但解密之後，終端使用者就有了一份不加密的類檔案，這和事先不進行加密沒有什麼差別。

　　（3）加密類檔案，在運行中JVM用定製的類裝載器（Class Loader）解密類檔案。Java運行時裝入位元組碼的機制隱含地意味著可以對位元組碼進行修改。JVM每次裝入類檔案時都需要一個稱為ClassLoader的對象，這個對象負責把新的類裝入正在啟動並執行JVM。JVM給ClassLoader一個包含了待裝入類（例如java.lang.Object）名字的字串，然後由ClassLoader負責找到類檔案，裝入未經處理資料，並把它轉換成一個Class對象。

　　使用者下載的是加密過的類檔案，在加密類檔案裝入之時進行解密，因此可以看成是一種即時解密器。由於解密後的位元組碼檔案永遠不會儲存到檔案系統，所以竊密者很難得到解密後的代碼。

　　由於把原始位元組碼轉換成Class對象的過程完全由系統負責，所以建立定製ClassLoader對象其實並不困難，只需先獲得未經處理資料，接著就可以進行包含解密在內的任何轉換。

　　Java密碼體系和Java密碼擴充

　　Java密碼體系(JCA)和Java密碼擴充(JCE)的設計目的是為Java提供與實現無關的加密函數API。它們都用factory方法來建立類的常式，然後把實際的加密函數委託給提供者指定的底層引擎,引擎中為類提供了服務提供者介面在Java中實現資料的加密/解密，是使用其內建的JCE(Java加密擴充)來實現的。Java開發工具集1.1為實現包括數位簽章和資訊摘要在內的加密功能，推出了一種基於供應商的新型靈活應用編程介面。Java密碼體繫結構支援供應商的互操作,同時支援硬體和軟體實現。

　　Java密碼學結構設計遵循兩個原則:

　　(1)演算法的獨立性和可靠性。

　　(2)實現的獨立性和相互作用性。

　　演算法的獨立性是通過定義密碼服務類來獲得。使用者只需瞭解密碼演算法的概念,而不用去關心如何?這些概念。實現的獨立性和相互作用性通過密碼服務提供器來實現。密碼服務提供器是實現一個或多個密碼服務的一個或多個程式包。軟體開發商根據一定介面,將各種演算法實現後,打包成一個提供器,使用者可以安裝不同的提供器。安裝和配置提供器,可將包含提供器的ZIP和JAR檔案放在CLASSPATH下,再編輯Java安全屬性檔案來設定定義一個提供器。Java運行環境Sun版本時, 提供一個預設的提供器Sun。

　　下面介紹DES演算法及如何利用DES演算法加密和解密類檔案的步驟。

　　DES演算法簡介

　　DES（Data Encryption Standard）是發明最早的最廣泛使用的分組對稱式加密演算法。DES演算法的入口參數有三個：Key、Data、Mode。其中Key為8個位元組共64位，是DES演算法的工作密鑰；Data也為8個位元組64位，是要被加密或被解密的資料；Mode為DES的工作方式，有兩種：加密或解密。

　　DES演算法工作流程如下：若Mode為加密模式，則利用Key 對資料Data進行加密， 產生Data的密碼形式（64位）作為DES的輸出結果；如Mode為解密模式，則利用Key對密碼形式的資料Data進行解密，還原為Data的明碼形式（64位）作為DES的輸出結果。在通訊網路的兩端，雙方約定一致的Key，在通訊的源點用Key對核心資料進行DES加密，然後以密碼形式在公用通訊網（如電話網）中傳輸到通訊網路的終點，資料到達目的地後，用同樣的Key對密碼資料進行解密，便再現了明碼形式的核心資料。這樣，便保證了核心資料在公用通訊網中傳輸的安全性和可靠性。

　　也可以通過定期在通訊網路的源端和目的端同時改用新的Key，便能更進一步提高資料的保密性。
利用DES演算法加密的步驟

　　（1）產生一個安全密鑰。在加密或解密任何資料之前需要有一個密鑰。密鑰是隨同被加密的應用程式一起發布的一段資料，密鑰代碼如下所示。

　　【產生一個密鑰代碼】

// 產生一個可信任的隨機數源
Secure Random sr = new SecureRandom();
// 為我們選擇的DES演算法產生一個KeyGenerator對象
KeyGenerator kg = KeyGenerator.getInstance ("DES" );
Kg.init (sr);
// 產生密鑰
Secret Key key = kg.generateKey();
// 將密鑰資料儲存為檔案供以後使用，其中key Filename為儲存的檔案名稱
Util.writeFile (key Filename, key.getEncoded () );

2）加密資料。得到密鑰之後，接下來就可以用它加密資料。如下所示。

　　【用祕密金鑰加密未經處理資料】// 產生一個可信任的隨機數源
SecureRandom sr = new SecureRandom();
//從密鑰檔案key Filename中得到密鑰資料
Byte rawKeyData [] = Util.readFile (key Filename);
// 從原始密鑰資料建立DESKeySpec對象
DESKeySpec dks = new DESKeySpec (rawKeyData);
// 建立一個密鑰工廠，然後用它把DESKeySpec轉換成Secret Key對象
SecretKeyFactory key Factory = SecretKeyFactory.getInstance("DES" );
Secret Key key = keyFactory.generateSecret( dks );
// Cipher對象實際完成加密操作
Cipher cipher = Cipher.getInstance( "DES" );
// 用密鑰初始化Cipher對象
cipher.init( Cipher.ENCRYPT_MODE, key, sr );
// 通過讀類檔案擷取需要加密的資料
Byte data [] = Util.readFile (filename);
// 執行加密操作
Byte encryptedClassData [] = cipher.doFinal(data );
// 儲存加密後的檔案，覆蓋原有的類檔案。 
Util.writeFile( filename, encryptedClassData );

（3）解密資料。運行經過加密的程式時，ClassLoader分析並解密類檔案。操作步驟如下所示。

　　【用密鑰解密資料】// 產生一個可信任的隨機數源
SecureRandom sr = new SecureRandom();
// 從密鑰檔案中擷取原始密鑰資料
Byte rawKeyData[] = Util.readFile( keyFilename );
// 建立一個DESKeySpec對象
DESKeySpec dks = new DESKeySpec (rawKeyData);
// 建立一個密鑰工廠，然後用它把DESKeySpec對象轉換成Secret Key對象 
SecretKeyFactory key Factory = SecretKeyFactory.getInstance( "DES" );
SecretKey key = keyFactory.generateSecret( dks );
// Cipher對象實際完成解密操作
Cipher cipher = Cipher.getInstance( "DES" );
// 用密鑰初始化Cipher對象
Cipher.init( Cipher.DECRYPT_MODE, key, sr );
// 獲得經過加密的資料
Byte encrypted Data [] = Util.readFile (Filename);
//執行解密操作
Byte decryptedData [] = cipher.doFinal( encryptedData );
// 然後將解密後的資料轉化成原來的類檔案。

將上述代碼與自訂的類裝載器結合就可以做到邊解密邊運行，從而起到保護原始碼的作用。

　　結束語

　　加密/解密是資料轉送中保證資料安全性和完整性的常用方法，Java語言因其平台無關性，在Internet上的應用非常之廣泛。使用DES演算法加密Java源碼在一定程度上能保護軟體的產權。