唯一的标识一个设备是一个基本功能,可以拥有很多应用场景,比如软件授权(如何保证你的软件在授权后才能在特定机器上使用)、软件 License,设备标识,设备身份识别等。

下面列举一下各种方法的优劣:

(1)网卡 MAC 地址

MAC 地址可能是最常用的标识方法,但是现在这种方法基本不可靠:一个电脑可能存在多个网卡,多个 MAC 地址,如典型的笔记本可能存在有线、无线、蓝牙等多个 MAC 地址,随着不同连接方式的改变,每次 MAC 地址也会改变。而且,当安装有虚拟机时,MAC 地址会更多。MAC 地址另外一个更加致命的弱点是,MAC 地址很容易手动更改。因此,MAC 地址基本不推荐用作设备唯一 ID。

(2)CPU ID

在 Windows 系统中通过命令行运行 “wmic cpu get processorid” 就可以查看 CPU ID。

目前 CPU ID 也无法唯一标识设备,Intel 现在可能同一批次的 CPU ID 都一样,不再提供唯一的 ID。而且经过实际测试,新购买的同一批次 PC 的 CPU ID 很可能一样。这样作为设备的唯一标识就会存在问题。

(3)硬盘序列号

在 Windows 系统中通过命令行运行 “wmic diskdrive get serialnumber” 可以查看。

硬盘序列号作为设备唯一 ID 存在的问题是,很多机器可能存在多块硬盘,特别是服务器,而且机器更换硬盘是很可能发生的事情,更换硬盘后设备 ID 也必须随之改变,不然也会影响授权等应用。因此,很多授权软件没有考虑使用硬盘序列号。而且,不一定所有的电脑都能获取到硬盘序列号。

(4)自定义算法生成唯一 ID

可以使用自制的一个特定算法(如 GUID、或者一定位数的随机数)生成唯一的 ID,然后写入到注册表或者设备上,作为其唯一 ID。

这种方法不依赖任何硬件特征,唯一性也可以自己完全控制,不过纯软件的实现缺点是这个 ID 很容易伪造,也很容易擦除;而且很可能还需要在线验证,后台存储所有 ID 的服务器必须保持在线。

(5)Windows 的产品 ID(ProductId)

在 “控制面板 \ 系统和安全 \ 系统” 的最下面就可以看到激活的 Windows 产品 ID 信息,另外通过注册表 “HKEY_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion” 也可以看到看到 “ProductId” 字段。

不过这个产品 ID 并不唯一,不同系统或者机器重复的概率也比较大。虚拟机中克隆的系统,使用同一个镜像安装激活的系统,其产品 ID 就可能一模一样。经过实测,笔者在两台 Thinkpad 笔记本上发现其 ProductId 完全一样。

(6)MachineGUID

Windows 安装时会唯一生成一个 GUID,可以在注册表 “HKEY_MACHINE\SOFTWARE\Microsoft\Cryptography” 中查看其 “MachineGuid” 字段。

这个 ID 作为 Windows 系统设备的唯一标识不错,不过值得注意的一点是,与硬件 ID 不一样,这个 ID 在重装 Windows 系统后应该不一样了。这样授权软件在重装系统后,可能就需要用户重新购买授权。

(7)主板 smBIOS UUID

在 Windows 系统中通过命令行运行 “wmic csproduct get UUID” 可以查看。

主板 UUID 是很多授权方法和微软官方都比较推崇的方法,即便重装系统 UUID 应该也不会变(笔者没有实测重装,不过在一台机器上安装双系统,获取的主板 UUID 是一样的,双系统一个 windows 一个 Linux,Linux 下用 “dmidecode -s system-uuid” 命令可以获取 UUID)。

但是这个方法也有缺陷,因为不是所有的厂商都提供一个 UUID,当这种情况发生时,wmic 会返回 “FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF”,即一个无效的 UUID。

(8)外置密码设备提供唯一 ID

这种方法很多,比如 U 盾里面可以提供唯一的密钥标识,可信计算密码芯片里面的背书密钥 EK 等都是唯一固定在安全硬件里面的,而且通过良好的密码算法生成,唯一性和差异性都可以保证,安全性也更高。

这种方法需要在计算设备连接外置密码芯片,增加经济负担和开发成本。而且,即便这种方法也存在欺骗攻击和代理攻击等破解方法。

当然还有很多其它方法,如可以获取声卡、CPU 模式和频率、IDE 控制器、内存等其他信息。甚至,可以收集设备的软硬件配置,通过统计方法和机器学习方法进行分类识别设备。学术上,还有各种密码算法,硬件不可克隆函数 PUF 等唯一标识的方法可以使用。

从软件授权这个简单的应用来看,购买外置密码设备硬件太过昂贵,可以采用简单的组合方法,推荐使用主板 UUID 作为主标识,当 UUID 返回无效的值时,可以进一步采用 CPU ID、BIOS 序列号、MachineGUID 等方式作为次标识,这基本可以解决问题。

其实设备唯一标识其实也是指纹的一种,想要使用标识或者指纹时,首先必须明确自己的真实意图,是要标识一个用户(这样可以使用身份证、指纹、手机验证等方式),还是要标识一个设备(本文列举的各种设备 ID)。根据自己的真实意图才能进一步思考具体使用的方式,不忘初衷。

不过,不管使用怎样的硬件信息或者牛气的算法来进行用户或者设备的标识,还是一句老话 “道高一尺,魔高一丈”,都是可以被攻破的,即便你的标识伪造不了、克隆不了,攻击者也可以使用其它攻击方式,如逆向你的验证 check 代码,然后将其修改掉,使其 check 失灵。因此,无论设备标识或者用户标识,很多情况下可能只防君子、不防小人,甚至悲观者认为这些手段都是防止合法用户的,影响用户使用的方便性,大可以取消掉。笔者认为,没有必要这么悲观,知识产权等信息是尊敬人的价值和劳动的表现,即便不能完全防止小人,我们也要通过这些方法将一般的小人排除在技术门槛之外,并尽量增加高级小人破解时的代价。