唯一的標識一個設備是一個基本功能,可以擁有很多應用場景,比如軟體授權(如何保證你的軟體在授權後才能在特定機器上使用)、軟體 License,設備標識,設備身份識別等。 ...
原文地址 設備唯一標識方法(Unique Identifier):如何在 Windows 系統上獲取設備的唯一標識 zz
唯一的標識一個設備是一個基本功能,可以擁有很多應用場景,比如軟體授權(如何保證你的軟體在授權後才能在特定機器上使用)、軟體 License,設備標識,設備身份識別等。下麵列舉一下各種方法的優劣:
(1)網卡 MAC 地址
MAC 地址可能是最常用的標識方法,但是現在這種方法基本不可靠:一個電腦可能存在多個網卡,多個 MAC 地址,如典型的筆記本可能存在有線、無線、藍牙等多個 MAC 地址,隨著不同連接方式的改變,每次 MAC 地址也會改變。而且,當安裝有虛擬機時,MAC 地址會更多。MAC 地址另外一個更加致命的弱點是,MAC 地址很容易手動更改。因此,MAC 地址基本不推薦用作設備唯一 ID。
(2)CPU ID
在 Windows 系統中通過命令行運行 “wmic cpu get processorid” 就可以查看 CPU ID。
目前 CPU ID 也無法唯一標識設備,Intel 現在可能同一批次的 CPU ID 都一樣,不再提供唯一的 ID。而且經過實際測試,新購買的同一批次 PC 的 CPU ID 很可能一樣。這樣作為設備的唯一標識就會存在問題。
(3)硬碟序列號
在 Windows 系統中通過命令行運行 “wmic diskdrive get serialnumber” 可以查看。
硬碟序列號作為設備唯一 ID 存在的問題是,很多機器可能存在多塊硬碟,特別是伺服器,而且機器更換硬碟是很可能發生的事情,更換硬碟後設備 ID 也必須隨之改變,不然也會影響授權等應用。因此,很多授權軟體沒有考慮使用硬碟序列號。而且,不一定所有的電腦都能獲取到硬碟序列號。
(4)自定義演算法生成唯一 ID
可以使用自製的一個特定演算法(如 GUID、或者一定位數的隨機數)生成唯一的 ID,然後寫入到註冊表或者設備上,作為其唯一 ID。
這種方法不依賴任何硬體特征,唯一性也可以自己完全控制,不過純軟體的實現缺點是這個 ID 很容易偽造,也很容易擦除;而且很可能還需要線上驗證,後臺存儲所有 ID 的伺服器必須保持線上。
(5)Windows 的產品 ID(ProductId)
在 “控制面板 \ 系統和安全 \ 系統” 的最下麵就可以看到激活的 Windows 產品 ID 信息,另外通過註冊表 “HKEY_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion” 也可以看到看到 “ProductId” 欄位。
不過這個產品 ID 並不唯一,不同系統或者機器重覆的概率也比較大。虛擬機中克隆的系統,使用同一個鏡像安裝激活的系統,其產品 ID 就可能一模一樣。經過實測,筆者在兩台 Thinkpad 筆記本上發現其 ProductId 完全一樣。
(6)MachineGUID
Windows 安裝時會唯一生成一個 GUID,可以在註冊表 “HKEY_MACHINE\SOFTWARE\Microsoft\Cryptography” 中查看其 “MachineGuid” 欄位。
這個 ID 作為 Windows 系統設備的唯一標識不錯,不過值得註意的一點是,與硬體 ID 不一樣,這個 ID 在重裝 Windows 系統後應該不一樣了。這樣授權軟體在重裝系統後,可能就需要用戶重新購買授權。
(7)主板 smBIOS UUID
在 Windows 系統中通過命令行運行 “wmic csproduct get UUID” 可以查看。
主板 UUID 是很多授權方法和微軟官方都比較推崇的方法,即便重裝系統 UUID 應該也不會變(筆者沒有實測重裝,不過在一臺機器上安裝雙系統,獲取的主板 UUID 是一樣的,雙系統一個 windows 一個 Linux,Linux 下用 “dmidecode -s system-uuid” 命令可以獲取 UUID)。
但是這個方法也有缺陷,因為不是所有的廠商都提供一個 UUID,當這種情況發生時,wmic 會返回 “FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF”,即一個無效的 UUID。
(8)外置密碼設備提供唯一 ID
這種方法很多,比如 U 盾裡面可以提供唯一的密鑰標識,可信計算密碼晶元裡面的背書密鑰 EK 等都是唯一固定在安全硬體裡面的,而且通過良好的密碼演算法生成,唯一性和差異性都可以保證,安全性也更高。
這種方法需要在計算設備連接外置密碼晶元,增加經濟負擔和開發成本。而且,即便這種方法也存在欺騙攻擊和代理攻擊等破解方法。
當然還有很多其它方法,如可以獲取音效卡、CPU 模式和頻率、IDE 控制器、記憶體等其他信息。甚至,可以收集設備的軟硬體配置,通過統計方法和機器學習方法進行分類識別設備。學術上,還有各種密碼演算法,硬體不可克隆函數 PUF 等唯一標識的方法可以使用。
從軟體授權這個簡單的應用來看,購買外置密碼設備硬體太過昂貴,可以採用簡單的組合方法,推薦使用主板 UUID 作為主標識,當 UUID 返回無效的值時,可以進一步採用 CPU ID、BIOS 序列號、MachineGUID 等方式作為次標識,這基本可以解決問題。
其實設備唯一標識其實也是指紋的一種,想要使用標識或者指紋時,首先必須明確自己的真實意圖,是要標識一個用戶(這樣可以使用身份證、指紋、手機驗證等方式),還是要標識一個設備(本文列舉的各種設備 ID)。根據自己的真實意圖才能進一步思考具體使用的方式,不忘初衷。
不過,不管使用怎樣的硬體信息或者牛氣的演算法來進行用戶或者設備的標識,還是一句老話 “道高一尺,魔高一丈”,都是可以被攻破的,即便你的標識偽造不了、克隆不了,攻擊者也可以使用其它攻擊方式,如逆向你的驗證 check 代碼,然後將其修改掉,使其 check 失靈。因此,無論設備標識或者用戶標識,很多情況下可能只防君子、不防小人,甚至悲觀者認為這些手段都是防止合法用戶的,影響用戶使用的方便性,大可以取消掉。筆者認為,沒有必要這麼悲觀,知識產權等信息是尊敬人的價值和勞動的表現,即便不能完全防止小人,我們也要通過這些方法將一般的小人排除在技術門檻之外,並儘量增加高級小人破解時的代價。
