Silverlight4控件纯客户端注册验证

本文实现了一个实验性的Silverlight控件纯客户端注册验证机制。希望做过这方面的朋友多给些指导性意见。

先给大家介绍一下Silverlight客户端控件的使用情景。一般来说,Silverlight客户端控件会销售给开发Silverlight程序的公司,他们是控件的购买者。他们开发的程序中会用到Silverlight客户端控件。但是Silverlight控件最终是在浏览Silverlight程序的网站用户机器上执行的。说的有点绕,请参照下图。

这个纯客户端注册验证机制主要流程如下: 1, 控件购买者下载使用Silverlight控件(Silverlight控件中包含PublicKey及验证License的逻辑)。 2, 控件购买者通过控件生成商提供的网站输入一些注册信息(如输入程序部署路径等唯一标示),付费,完成注册。控件生成商会记录这些信息,并使用PrivateKey生成一个RSA签名过的License文件。 3, 控件生产商会将这个RSA签名过的License文件返回给控件购买者。 4, 控件购买者会将License文件绑定到他开发部署的程序中。 5, 网站用户浏览控件购买者开发部署的网站,下载Silverlight控件在网站用户机器上执行,并验证License文件的签名及程序部署路径等唯一标识。

License格式如下:

<License>
  <Id>31f81fef-a036-4f6f-b47b-d0c8da1674ea</Id>
  <AssemblyName>Vendor.TestControl, Version=1.0.0.0, Culture=neutral, PublicKeyToken=696fd0988622108f</AssemblyName>
  <AuthorisedApp>http://localhost:8888/ClientBin/Customer.TestApp.xap</AuthorisedApp>
  <Signature>MVALuQLzIK8SWfZ5q25/PD3P6ZV0FLqIhCt5YcZ7yNkBTuLABg/TGggC4imU2S6QyZBOLsXyEOSFfXXxBn7Spwhkr6P+CbQb0MvotPgr5nenLdccm7UwABkn7+PgtEchObGba5KUhHCAkvvSFfwi/e480AYI2YXznVpCsP8RA8o=</Signature>
</License>

License中记录了控件生成商数据库中License信息记录Id,强名称签名的目标控件程序集全名,程序部署路径等一些唯一性标示及防止篡改这些信息的RSA数字签名。

当用户浏览网站时,Silverlight控件会下载到在用户机器上执行,从而进行注册码验证工作。它会首先验证License的合法性(即使用RSA签名验证算法检验License文件是否被篡改),然后会判断程序集及唯一性标示是否正确。从而判断控件是否成功注册

验证License合法性代码如下:

    public class License
    {
        private static readonly string PublicKeyXmlString = "<RSAKeyValue><Modulus>wG5DRppiesQegis92ZyJOO3ADC6ANV470SPyOhuYBpDpwA/UX4gO3XQhEr2jx09ZLQWYvwVJdSg4JhoO46fw11nsQObzwd+wz/jEcjSF9MCfK+CVb3qMHH9TBgHh5dy7zbB+hUkuacm/nKY9bPfaoNj4sA2YnbiPl3+v80qy/gE=</Modulus><Exponent>AQAB</Exponent></RSAKeyValue>";
        private static readonly RSAManaged.RSAPublicKey PublicKey = null;
        static License()
        {
            PublicKey = RSAManaged.RSAPublicKey.FromXmlString(PublicKeyXmlString);
        }

        internal License()
        {
        }

        internal string Id { get; set; }
        public string AssemblyName { get; internal set; }
        public string AuthorisedApp { get; internal set; }
        internal byte[] Signature { get; set; }

        public bool IsValid()
        {
            //在这里验证License是否合法
            byte[] signData = Encoding.UTF8.GetBytes(this.Id + this.AssemblyName + this.AuthorisedApp);
            SHA1Managed sha1 = new SHA1Managed();
            bool verifyResult = RSAManaged.RSAManaged.Verify(signData, PublicKey, sha1, this.Signature);
            sha1.Clear();
            return verifyResult;
        }

验证程序集全名及程序部署路径等唯一性标示代码如下:

        private static bool ValidateLicenseFile()
        {
            AssemblyName assemblyName = new AssemblyName(Application.Current.GetType().Assembly.FullName);
            Uri uri = new Uri("/" + assemblyName.Name + ";component/license.lic", UriKind.Relative);
            StreamResourceInfo sri = Application.GetResourceStream(uri);
            if (sri == null)
            {
                return false;
            }

            string licenseXmlString = new StreamReader(sri.Stream).ReadToEnd();
            License license = License.FromXmlString(licenseXmlString);
            if (license == null || !license.IsValid())
            {
                return false;
            }

            //在这里验证程序集全名是否合法
            if (Assembly.GetExecutingAssembly().FullName != license.AssemblyName)
            {
                return false;
            }

            //在这里验证程序部署路径等唯一性标示
            if (Application.Current.Host.Source.AbsoluteUri != license.AuthorisedApp)
            {
                return false;
            }

            return true;
        }

优点:     +使用私钥签名,公钥验证,能有效防止伪造License文件及分析代码写出注册机(不考虑篡改程序逻辑的爆破方式)。     +纯客户端验证不需要跨域访问,也不需要控件购买者在程序发布服务器端部署其他东西。

缺点:     -比直接输入注册码麻烦     -在现在的Silverlight版本中,只找到部署地址这个特征标示,因此只能做部署License授权。不能做成像WinForm控件那样为每个开发人员机器授权的方式。

另外,关于RSA算法和实现可以参考之前的一篇文章:《Silverlight中非对称加密及数字签名RSA算法的实现》。

欢迎大家给些意见。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏圣杰的专栏

Asp.net mvc 知多少(十)

本系列主要翻译自《ASP.NET MVC Interview Questions and Answers 》- By Shailendra Chauhan,想...

216100
来自专栏ml

MFC学习之窗口基础

                          WinMain函数  1、句柄(HANDLE):{ 1. 定义:资源的标识 2. 句柄的作用: 操作系统通过...

31360
来自专栏极客编程

以太坊区块链 Asp.Net Core的安全API设计 (上)

去中心化应用程序(DApp)的常见设计不仅依赖于以太坊区块链,还依赖于API层。在这种情况下,DApp通过用户的以太坊帐户与智能合约进行交互,并通过交换用户凭据...

14530
来自专栏比原链

Derek解读Bytom源码-P2P网络 地址簿

Gitee地址:https://gitee.com/BytomBlockchain/bytom

9310
来自专栏比原链

Derek解读Bytom源码-P2P网络 地址簿

Gitee地址:https://gitee.com/BytomBlockchain/bytom

11530
来自专栏FreeBuf

Windows DNS API RCE漏洞分析及PoC构造

根据 Microsoft 2017 年 10 月安全通告,多个版本 Windows 中的 dnsapi.dll 在处理 DNS response 时可导致 SY...

380100
来自专栏高性能服务器开发

windows完成端口(二)

系列目录 windows完成端口(一) windows完成端口(二) windows完成端口(三) windows完成端口(四) windows完成端口(五) ...

417110
来自专栏安恒网络空间安全讲武堂

[HCTF] share write up

从http://share.2018.hctf.io/robots.txt中获取到题目部分源码

10920
来自专栏葡萄城控件技术团队

Url Rewrite 再说Url 重写

前几天看到园子里一篇关于 Url 重写的文章《获取ISAPI_Rewrite重写后的URL》 , URL-Rewrite 这项技术早已不是一项新技术了,这个话题...

68480
来自专栏GopherCoder

『No18: Go 实现世界杯后台管理系统』

趁着周末更新一期,上一期讲到 如何快速熟悉一个项目, 文章的最后讲到,最好的方法是借用相同的技术栈重新实现一个项目。

19910

扫码关注云+社区

领取腾讯云代金券