王平

?

基于CA的激活方案的應用研究與實現

王平

摘要：首先，介紹了校園采購協議中的密鑰管理服務和多次激活密鑰兩種授權激活方式，然后，根據單位網絡具體情況分析，何種網絡應該采用何種激活方式，最后，將分析結果在現實生活中進行應用實現來說明其分析的正確性。

關鍵詞：正版軟件；校園協議；批量激活；KMS；MAK

0　引言

為了保護知識產權，很多軟件廠商采用激活的防盜版技術，用戶在使用軟件時必須激活才可以成為正式用戶進而迫使其購買正版軟件。但是由于正版軟件的價格昂貴，導致很多人和機構都沒有購買正版軟件的欲望，尤其是國外大品牌軟件的價格更高，如微軟公司的windows操作系統(tǒng)、office辦公軟件、sql server數據庫、visual studio開發(fā)工具、Adobe公司的photoshop圖像處理軟件、IBM公司的rational rose建模軟件等[1]，而高校作為非盈利的組織機構，其購買和使用正版軟件只能根據自己學校的情況量力而行。因此，微軟專門針對高校的這種特點設計了校園采購協議（Campus Agreement）方案，使各高校能夠方便地實現校園的正版軟件采購和使用[2]。本文主要針對微軟的CA方案研究實現正版軟件的激活。

1　激活服務概述

VA（Volume Activation，批量激活）是微軟CA方案主要采用的激活方式，在2006年5月開始啟用新一代激活認證機制VA2.0，它適用于批量授權計劃涵蓋的系統(tǒng)，采用允許批量許可證客戶以最終用戶透明的方式（KMS和MAK）將激活過程自動化[3-4]。

1.1KMS

KMS（Key Management Service，密鑰管理服務）允許在自己的網絡內激活系統(tǒng)，屬于輕量服務，不需要專用系統(tǒng)，可以輕松裝載在提供其他服務的系統(tǒng)上，屬于周期激活。它要求在局域網中搭建一臺KMS服務器，該服務器給網內中的所有計算機的操作系統(tǒng)提供的一個有效期只有180天的產品序列號，當局域網中的物理計算機達到一定數量即激活閾值時，計算機里面的KMS服務就會自動將系統(tǒng)激活，在快到期的時候使用者再次手動連接KMS服務器讓它提供一個新的序列號，否則180天以后就會回到試用版本狀態(tài)。在默認情況下，使用KMS激活可以在局域網上完成，批量版本會自動連接到裝載了KMS服務的系統(tǒng)以請求激活，從而使單個計算機無需連接到Microsoft即可完成產品激活，最終用戶無需再執(zhí)行任何操作。

一個高?；蛘咭粋€企業(yè)辦公室中所使用的計算機基本上都是出于一個局域網，大多數都是配置相等，計算機數量較多，而KMS正好利用這一點，因此受到了很多高校和企業(yè)的青睞。

1.2MAK

MAK（Multiple Activation Key，多次激活密鑰）使用Microsoft裝載的激活服務一次性激活系統(tǒng)，屬于永久激活。使用MAK激活計算機有兩種方式：第一種是MAK獨立激活，它需要每臺計算機通過網絡或電話獨立連接到Microsoft并激活；第二種方式是MAK代理激活。采用此方法，充當MAK代理的計算機會從網絡上的多臺計算機收集激活信息，然后代表這些計算機發(fā)送集中的激活請求。每個MAK密鑰都有預定的允許激活數目?！癕AK密鑰”激活一次，就會減少一次，直至為“0”。如果希望繼續(xù)使用，就只能再次付費，微軟會根據付費金額“授權激活次數”，使“MAK密鑰”重新起作用。

MAK激活雖然方便，但是受到資金的限制，很少的單位采用該方式，尤其是高校，只有在特殊設備使用后不能聯網的情況下才會選擇此方式激活。

2　激活方案的應用研究

如果需要對單位里的計算機選擇最佳的激活方式，首先需要評估網絡環(huán)境，確定不同的計算機組是如何連接到網絡的，例如確定需要激活的計算機與單位網絡的連接情況、Internet訪問以及定期連接到單位網絡的計算機數目等。一般網絡環(huán)境包括核心辦公網絡、斷開連接的單個計算機、隔離辦公網絡3種情況，下面對這3種情況分別進行部署。2.1核心辦公網絡

對于核心辦公網絡中的計算機，它是采用多個網段進行管理的，還有一些服務器是虛擬機，而KMS可在局域網內激活操作系統(tǒng)，只要保證局域網內有一臺KMS服務器就行，不需要將單個計算機連接到Microsoft。因此，核心辦公網絡中的計算機采用集中的KMS激活方式，通過客戶端/服務器模式的實施方法激活，

KMS服務器架設核心辦公網絡上，KMS客戶端通過連接到KMS服務器進行激活，其過程如圖1所示：

圖1　KMS激活過程

從圖1可以看出，KMS激活過程分為兩步：

第一步：安裝KMS服務器。使用SLMGR命令在KMS服務器上安裝KMS密鑰，然后通過Microsoft裝載的激活服務用KMS密鑰激活KMS服務器。每次啟動KMS服務時，KMS服務器均會在DNS中注冊SRV資源記錄。

第二步：客戶端計算機通過連接到KMS服務器進行激活。使用注冊表項搜索KMS服務器，如果沒有注冊表項則查詢DNS獲取每次KMS SRV記錄；默認情況下，發(fā)送RPC請求到1688/TCP上的KMS服務器，生成客戶端計算機ID （CMID），由KMS服務器將CMID添加到表格，組合并簽署請求（AES加密）；KMS服務器會將激活計數傳回客戶端，如果激活計數滿足激活閾值，則KMS客戶端會對照許可策略計算計數，然后激活自己，并在許可證存儲中存儲KMS服務器ID、時間間隔和客戶端硬件ID。

2.2斷開連接的單個計算機

斷開連接的單個計算機包括不在局域網或者可能處于遠程位置的計算機，以及與核心網絡無連接或只能間歇性連接的計算機。這些斷開連接的計算機使用KMS和MAK中的哪種方式取決于計算機連接到核心網絡的頻率。直接或通過VPN連接到核心網絡，且每隔180天至少連接一次的計算機使用KMS激活；而那些很少或從不連接到核心網絡的計算機則采用MAK激活。具體采用MAK獨立激活還是MAK代理激活主要是看該計算機是否聯網，如果是不需要與網絡保持連接的計算機就采用MAK獨立激活，如果是因安全原因限制直接訪問Internet或單位局域網的計算機則采用MAK代理激活，它也適合于缺少此類連接的開發(fā)和測試實驗室。

MAK獨立激活使用更改密鑰向導或者使用管理規(guī)范WMI（Windows Management Instrumentation，Windows）腳本分發(fā)MAK；MAK客戶端一旦連接到Microsoft，即可通過Internet（SSL）激活，也可以使用電話激活。

MAK代理激活使用激活管理工具VAMT，

其激活過程如圖2所示：

圖2　MAK代理激活過程圖

從圖2可以看出，首先通過Microsoft Active Directory或通過網絡搜索查找待激活的計算機；然后使用WMI應用MAK收集IID（Installation ID，安裝ID），將計算機信息導出為XML文件計算機信息列表CIL（Computer information list）；通過Internet（SSL）連接到Microsoft并獲取Microsoft的激活響應相應的CID（Confirmation ID，確認ID），使用CID更新CIL XML文件；通過應用CID激活MAK代理客戶端。

2.3隔離辦公網絡

隔離辦公網絡包括本身要求高安全性而被人為進行隔離放到高安全性區(qū)域，以及由于處于不同物理位置而與核心網絡分隔。隔離辦公網絡中的計算機進行激活有兩種情況：一種是隔離辦公網絡中的計算機數量達到激活閾值，另一種是數量達不到激活閾值。當隔離辦公網絡中的計算機數量達到激活閾值時，可以在該內網中假設自己本地的KMS服務器，KMS服務器本身通過電話激活；如果計算機很少而不適合使用KMS，則使用MAK獨立激活。

3　激活方案實現

我校通過統(tǒng)籌購買場地授權的方式[5-6]，面向師生提供軟件正版化服務，師生可以在校園網內激活自己的計算機，實現過程包括架設KMS服務器、搭建KMS激活客戶端，將正版軟件介質與激活客戶端掛載到正版軟件平臺上。

3.1KMS服務器

因為，一次完整的KMS激活交換，加上TCP會話的建立和中斷，每個方向發(fā)送的字節(jié)數均少于250，但是，當KMS服務器每接受一個客戶端的激活請求的時候需要拿出10M內存用作客戶端的激活緩存來處理客戶端的激活請求，所以，雖然網絡流量測試表明，KMS服務的開銷最小，但是我們仍然需要將服務器配置為8GB內存，雙核CPU、硬盤140G的雙電源虛擬機服務器。操作系統(tǒng)采用Windows 8.1 64位中文企業(yè)版，通過序列號激活即完成了架構KMS服務器。

3.2激活客戶端

加入域的客戶端無需進行任何操作，客戶端會自動通過DNS中的SRV記錄尋找KMS服務器請求激活，但是處于工作組狀態(tài)的計算機，需要采用手動指派KMS服務器的激活方法，因此，這些用戶需要通過點擊“開始”菜單，然后鼠標右鍵選擇“命令提示符”，然后選擇“以管理員身份運行”，在打開的“命令提示符”窗口中輸入命令進行激活。為了方便用戶使用，將原來輸入命令激活的方式改為將命令封裝做激活客戶端，讓用戶通過正版軟件平臺激活客戶端運行程序激活正版軟件，實現過程如圖3-圖5所示：

圖3　正版軟件平臺下載激活客戶端截圖

圖4　運行激活程序截圖

圖5　激活成功提示截圖

4　總結

使用正版軟件，從企業(yè)自身的角度來說，保護了企業(yè)的利益，激勵了開發(fā)者的激情，同時也響應了社會上的保護知識產權；從用戶所屬單位的角度來說，如果由單位統(tǒng)一購買，可以實現統(tǒng)一管理，而且節(jié)約了采購和維護成本；如果從用戶的角度來說，用戶的計算機系統(tǒng)可以更穩(wěn)定、更安全一些，不用擔心在系統(tǒng)更新或者下載文件時，是否有一些不明軟件潛入計算機中，像一顆定時炸彈時刻威脅著計算機的安全。因為，正版軟件本身保證不攜帶任何計算機病毒，而且，應用程序本身的最新安全功能讓用戶的計算機在使用過程中全程得到穩(wěn)妥的保護，從而確保用戶的計算機不會成為惡意軟件的目標。雖然用戶在購買正版軟件時，價格要昂貴一些，但是，非法軟件可以為用戶暫時節(jié)省的一點錢，在將來都會投進盜版軟件所帶來的維修費用中，因此從長遠來看，使用盜版軟件只會增加用戶計算機的使用成本。另外Windows激活技術（WAT）在確保用戶的計算機遠離盜版軟件所帶來的病毒及信息被盜等風險的同時，正版軟件的更新能保證用戶的操作系統(tǒng)處于良好的狀態(tài)，從而大幅提升系統(tǒng)運行速度，確保其性能得以充分發(fā)揮。

參考文獻

[1] 楊志強.高校實驗室軟件正版化問題的探討[J].實驗室研究與探索,2009,28(6):285-287.

[2] 張煜.輕松實現微軟軟件正版化[J].中國教育網絡,2007,11:64-65.

[3] 黃海.基于鏡像安裝的正版Windows批量激活設計與實現[J].電腦編程技巧與維護,2011,18:95-97.

[4] 吳安寧.全力推進安徽省企業(yè)使用正版軟件的幾點思考[J].安徽科技,2007,3:32-34.

[5] 范金鋒.企業(yè)推進使用正版軟件工作的思考[J].電力信息化,2011,9(8):16-19.

[6] 彭小斌,宋式斌,歐陽榮彬,等.高校正版軟件共享平臺的設計與應用[J].實驗技術與管理,2011,28(6):130-133.

收稿日期：（2015.04.26）

作者簡介：王平（1979-），女，山東威海人，中國石油大學（華東）網絡及教育技術中心，工程師，研究方向：網絡信息化、數據挖掘，青島，266580

文章編號：1007-757X(2015)12-0067-02

中圖分類號：TP311

文獻標志碼：A