原文地址 裝置唯一標識方法(Unique Identifier):如何在 Windows 系統上獲取裝置的唯一標識 zz
唯一的標識一個裝置是一個基本功能,可以擁有很多應用場景,比如軟體授權(如何保證你的軟體在授權後才能在特定機器上使用)、軟體 License,裝置標識,裝置身份識別等。下面列舉一下各種方法的優劣:
(1)網路卡 MAC 地址
MAC 地址可能是最常用的標識方法,但是現在這種方法基本不可靠:一個電腦可能存在多個網路卡,多個 MAC 地址,如典型的筆記本可能存在有線、無線、藍芽等多個 MAC 地址,隨著不同連線方式的改變,每次 MAC 地址也會改變。而且,當安裝有虛擬機器時,MAC 地址會更多。MAC 地址另外一個更加致命的弱點是,MAC 地址很容易手動更改。因此,MAC 地址基本不推薦用作裝置唯一 ID。
(2)CPU ID
在 Windows 系統中透過命令列執行 “wmic cpu get processorid” 就可以檢視 CPU ID。
目前 CPU ID 也無法唯一標識裝置,Intel 現在可能同一批次的 CPU ID 都一樣,不再提供唯一的 ID。而且經過實際測試,新購買的同一批次 PC 的 CPU ID 很可能一樣。這樣作為裝置的唯一標識就會存在問題。
(3)硬碟序列號
在 Windows 系統中透過命令列執行 “wmic diskdrive get serialnumber” 可以檢視。
硬碟序列號作為裝置唯一 ID 存在的問題是,很多機器可能存在多塊硬碟,特別是伺服器,而且機器更換硬碟是很可能發生的事情,更換硬碟後裝置 ID 也必須隨之改變,不然也會影響授權等應用。因此,很多授權軟體沒有考慮使用硬碟序列號。而且,不一定所有的電腦都能獲取到硬碟序列號。
(4)自定義演演算法生成唯一 ID
可以使用自制的一個特定演演算法(如 GUID、或者一定位數的隨機數)生成唯一的 ID,然後寫入到登入檔或者裝置上,作為其唯一 ID。
這種方法不依賴任何硬體特徵,唯一性也可以自己完全控制,不過純軟體的實現缺點是這個 ID 很容易偽造,也很容易擦除;而且很可能還需要線上驗證,後臺儲存所有 ID 的伺服器必須保持線上。
(5)Windows 的產品 ID(ProductId)
在 “控制皮膚 \ 系統和安全 \ 系統” 的最下面就可以看到啟用的 Windows 產品 ID 資訊,另外透過登入檔 “HKEY_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion” 也可以看到看到 “ProductId” 欄位。
不過這個產品 ID 並不唯一,不同系統或者機器重複的機率也比較大。虛擬機器中克隆的系統,使用同一個映象安裝啟用的系統,其產品 ID 就可能一模一樣。經過實測,筆者在兩臺 Thinkpad 筆記本上發現其 ProductId 完全一樣。
(6)MachineGUID
Windows 安裝時會唯一生成一個 GUID,可以在登入檔 “HKEY_MACHINE\SOFTWARE\Microsoft\Cryptography” 中檢視其 “MachineGuid” 欄位。
這個 ID 作為 Windows 系統裝置的唯一標識不錯,不過值得注意的一點是,與硬體 ID 不一樣,這個 ID 在重灌 Windows 系統後應該不一樣了。這樣授權軟體在重灌系統後,可能就需要使用者重新購買授權。
(7)主機板 smBIOS UUID
在 Windows 系統中透過命令列執行 “wmic csproduct get UUID” 可以檢視。
主機板 UUID 是很多授權方法和微軟官方都比較推崇的方法,即便重灌系統 UUID 應該也不會變(筆者沒有實測重灌,不過在一臺機器上安裝雙系統,獲取的主機板 UUID 是一樣的,雙系統一個 windows 一個 Linux,Linux 下用 “dmidecode -s system-uuid” 命令可以獲取 UUID)。
但是這個方法也有缺陷,因為不是所有的廠商都提供一個 UUID,當這種情況發生時,wmic 會返回 “FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF”,即一個無效的 UUID。
(8)外接密碼裝置提供唯一 ID
這種方法很多,比如 U 盾裡面可以提供唯一的金鑰標識,可信計算密碼晶片裡面的背書金鑰 EK 等都是唯一固定在安全硬體裡面的,而且透過良好的密碼演演算法生成,唯一性和差異性都可以保證,安全性也更高。
這種方法需要在計算裝置連線外接密碼晶片,增加經濟負擔和開發成本。而且,即便這種方法也存在欺騙攻擊和代理攻擊等破解方法。
當然還有很多其它方法,如可以獲取音效卡、CPU 模式和頻率、IDE 控制器、記憶體等其他資訊。甚至,可以收集裝置的軟硬體配置,透過統計方法和機器學習方法進行分類識別裝置。學術上,還有各種密碼演演算法,硬體不可克隆函式 PUF 等唯一標識的方法可以使用。
從軟體授權這個簡單的應用來看,購買外接密碼裝置硬體太過昂貴,可以採用簡單的組合方法,推薦使用主機板 UUID 作為主標識,當 UUID 返回無效的值時,可以進一步採用 CPU ID、BIOS 序列號、MachineGUID 等方式作為次標識,這基本可以解決問題。
其實裝置唯一標識其實也是指紋的一種,想要使用標識或者指紋時,首先必須明確自己的真實意圖,是要標識一個使用者(這樣可以使用身份證、指紋、手機驗證等方式),還是要標識一個裝置(本文列舉的各種裝置 ID)。根據自己的真實意圖才能進一步思考具體使用的方式,不忘初衷。
不過,不管使用怎樣的硬體資訊或者牛氣的演演算法來進行使用者或者裝置的標識,還是一句老話 “道高一尺,魔高一丈”,都是可以被攻破的,即便你的標識偽造不了、克隆不了,攻擊者也可以使用其它攻擊方式,如逆向你的驗證 check 程式碼,然後將其修改掉,使其 check 失靈。因此,無論裝置標識或者使用者標識,很多情況下可能只防君子、不防小人,甚至悲觀者認為這些手段都是防止合法使用者的,影響使用者使用的方便性,大可以取消掉。筆者認為,沒有必要這麼悲觀,智慧財產權等資訊是尊敬人的價值和勞動的表現,即便不能完全防止小人,我們也要透過這些方法將一般的小人排除在技術門檻之外,並儘量增加高階小人破解時的代價。