基于CA的激活方案的应用研究与实现

王平



基于CA的激活方案的应用研究与实现

王平

摘要：首先，介绍了校园采购协议中的密钥管理服务和多次激活密钥两种授权激活方式，然后，根据单位网络具体情况分析，何种网络应该采用何种激活方式，最后，将分析结果在现实生活中进行应用实现来说明其分析的正确性。

关键词：正版软件；校园协议；批量激活；KMS；MAK

0　引言

为了保护知识产权，很多软件厂商采用激活的防盗版技术，用户在使用软件时必须激活才可以成为正式用户进而迫使其购买正版软件。但是由于正版软件的价格昂贵，导致很多人和机构都没有购买正版软件的欲望，尤其是国外大品牌软件的价格更高，如微软公司的windows操作系统、office办公软件、sql server数据库、visual studio开发工具、Adobe公司的photoshop图像处理软件、IBM公司的rational rose建模软件等[1]，而高校作为非盈利的组织机构，其购买和使用正版软件只能根据自己学校的情况量力而行。因此，微软专门针对高校的这种特点设计了校园采购协议（Campus Agreement）方案，使各高校能够方便地实现校园的正版软件采购和使用[2]。本文主要针对微软的CA方案研究实现正版软件的激活。

1　激活服务概述

VA（Volume Activation，批量激活）是微软CA方案主要采用的激活方式，在2006年5月开始启用新一代激活认证机制VA2.0，它适用于批量授权计划涵盖的系统，采用允许批量许可证客户以最终用户透明的方式（KMS和MAK）将激活过程自动化[3-4]。

1.1KMS

KMS（Key Management Service，密钥管理服务）允许在自己的网络内激活系统，属于轻量服务，不需要专用系统，可以轻松装载在提供其他服务的系统上，属于周期激活。它要求在局域网中搭建一台KMS服务器，该服务器给网内中的所有计算机的操作系统提供的一个有效期只有180天的产品序列号，当局域网中的物理计算机达到一定数量即激活阈值时，计算机里面的KMS服务就会自动将系统激活，在快到期的时候使用者再次手动连接KMS服务器让它提供一个新的序列号，否则180天以后就会回到试用版本状态。在默认情况下，使用KMS激活可以在局域网上完成，批量版本会自动连接到装载了KMS服务的系统以请求激活，从而使单个计算机无需连接到Microsoft即可完成产品激活，最终用户无需再执行任何操作。

一个高校或者一个企业办公室中所使用的计算机基本上都是出于一个局域网，大多数都是配置相等，计算机数量较多，而KMS正好利用这一点，因此受到了很多高校和企业的青睐。

1.2MAK

MAK（Multiple Activation Key，多次激活密钥）使用Microsoft装载的激活服务一次性激活系统，属于永久激活。使用MAK激活计算机有两种方式：第一种是MAK独立激活，它需要每台计算机通过网络或电话独立连接到Microsoft并激活；第二种方式是MAK代理激活。采用此方法，充当MAK代理的计算机会从网络上的多台计算机收集激活信息，然后代表这些计算机发送集中的激活请求。每个MAK密钥都有预定的允许激活数目。“MAK密钥”激活一次，就会减少一次，直至为“0”。如果希望继续使用，就只能再次付费，微软会根据付费金额“授权激活次数”，使“MAK密钥”重新起作用。

MAK激活虽然方便，但是受到资金的限制，很少的单位采用该方式，尤其是高校，只有在特殊设备使用后不能联网的情况下才会选择此方式激活。

2　激活方案的应用研究

如果需要对单位里的计算机选择最佳的激活方式，首先需要评估网络环境，确定不同的计算机组是如何连接到网络的，例如确定需要激活的计算机与单位网络的连接情况、Internet访问以及定期连接到单位网络的计算机数目等。一般网络环境包括核心办公网络、断开连接的单个计算机、隔离办公网络3种情况，下面对这3种情况分别进行部署。2.1核心办公网络

对于核心办公网络中的计算机，它是采用多个网段进行管理的，还有一些服务器是虚拟机，而KMS可在局域网内激活操作系统，只要保证局域网内有一台KMS服务器就行，不需要将单个计算机连接到Microsoft。因此，核心办公网络中的计算机采用集中的KMS激活方式，通过客户端/服务器模式的实施方法激活，

KMS服务器架设核心办公网络上，KMS客户端通过连接到KMS服务器进行激活，其过程如图1所示：

图1　KMS激活过程

从图1可以看出，KMS激活过程分为两步：

第一步：安装KMS服务器。使用SLMGR命令在KMS服务器上安装KMS密钥，然后通过Microsoft装载的激活服务用KMS密钥激活KMS服务器。每次启动KMS服务时，KMS服务器均会在DNS中注册SRV资源记录。

第二步：客户端计算机通过连接到KMS服务器进行激活。使用注册表项搜索KMS服务器，如果没有注册表项则查询DNS获取每次KMS SRV记录；默认情况下，发送RPC请求到1688/TCP上的KMS服务器，生成客户端计算机ID （CMID），由KMS服务器将CMID添加到表格，组合并签署请求（AES加密）；KMS服务器会将激活计数传回客户端，如果激活计数满足激活阈值，则KMS客户端会对照许可策略计算计数，然后激活自己，并在许可证存储中存储KMS服务器ID、时间间隔和客户端硬件ID。

2.2断开连接的单个计算机

断开连接的单个计算机包括不在局域网或者可能处于远程位置的计算机，以及与核心网络无连接或只能间歇性连接的计算机。这些断开连接的计算机使用KMS和MAK中的哪种方式取决于计算机连接到核心网络的频率。直接或通过VPN连接到核心网络，且每隔180天至少连接一次的计算机使用KMS激活；而那些很少或从不连接到核心网络的计算机则采用MAK激活。具体采用MAK独立激活还是MAK代理激活主要是看该计算机是否联网，如果是不需要与网络保持连接的计算机就采用MAK独立激活，如果是因安全原因限制直接访问Internet或单位局域网的计算机则采用MAK代理激活，它也适合于缺少此类连接的开发和测试实验室。

MAK独立激活使用更改密钥向导或者使用管理规范WMI（Windows Management Instrumentation，Windows）脚本分发MAK；MAK客户端一旦连接到Microsoft，即可通过Internet（SSL）激活，也可以使用电话激活。

MAK代理激活使用激活管理工具VAMT，

其激活过程如图2所示：

图2　MAK代理激活过程图

从图2可以看出，首先通过Microsoft Active Directory或通过网络搜索查找待激活的计算机；然后使用WMI应用MAK收集IID（Installation ID，安装ID），将计算机信息导出为XML文件计算机信息列表CIL（Computer information list）；通过Internet（SSL）连接到Microsoft并获取Microsoft的激活响应相应的CID（Confirmation ID，确认ID），使用CID更新CIL XML文件；通过应用CID激活MAK代理客户端。

2.3隔离办公网络

隔离办公网络包括本身要求高安全性而被人为进行隔离放到高安全性区域，以及由于处于不同物理位置而与核心网络分隔。隔离办公网络中的计算机进行激活有两种情况：一种是隔离办公网络中的计算机数量达到激活阈值，另一种是数量达不到激活阈值。当隔离办公网络中的计算机数量达到激活阈值时，可以在该内网中假设自己本地的KMS服务器，KMS服务器本身通过电话激活；如果计算机很少而不适合使用KMS，则使用MAK独立激活。

3　激活方案实现

我校通过统筹购买场地授权的方式[5-6]，面向师生提供软件正版化服务，师生可以在校园网内激活自己的计算机，实现过程包括架设KMS服务器、搭建KMS激活客户端，将正版软件介质与激活客户端挂载到正版软件平台上。

3.1KMS服务器

因为，一次完整的KMS激活交换，加上TCP会话的建立和中断，每个方向发送的字节数均少于250，但是，当KMS服务器每接受一个客户端的激活请求的时候需要拿出10M内存用作客户端的激活缓存来处理客户端的激活请求，所以，虽然网络流量测试表明，KMS服务的开销最小，但是我们仍然需要将服务器配置为8GB内存，双核CPU、硬盘140G的双电源虚拟机服务器。操作系统采用Windows 8.1 64位中文企业版，通过序列号激活即完成了架构KMS服务器。

3.2激活客户端

加入域的客户端无需进行任何操作，客户端会自动通过DNS中的SRV记录寻找KMS服务器请求激活，但是处于工作组状态的计算机，需要采用手动指派KMS服务器的激活方法，因此，这些用户需要通过点击“开始”菜单，然后鼠标右键选择“命令提示符”，然后选择“以管理员身份运行”，在打开的“命令提示符”窗口中输入命令进行激活。为了方便用户使用，将原来输入命令激活的方式改为将命令封装做激活客户端，让用户通过正版软件平台激活客户端运行程序激活正版软件，实现过程如图3-图5所示：

图3　正版软件平台下载激活客户端截图

图4　运行激活程序截图

图5　激活成功提示截图

4　总结

使用正版软件，从企业自身的角度来说，保护了企业的利益，激励了开发者的激情，同时也响应了社会上的保护知识产权；从用户所属单位的角度来说，如果由单位统一购买，可以实现统一管理，而且节约了采购和维护成本；如果从用户的角度来说，用户的计算机系统可以更稳定、更安全一些，不用担心在系统更新或者下载文件时，是否有一些不明软件潜入计算机中，像一颗定时炸弹时刻威胁着计算机的安全。因为，正版软件本身保证不携带任何计算机病毒，而且，应用程序本身的最新安全功能让用户的计算机在使用过程中全程得到稳妥的保护，从而确保用户的计算机不会成为恶意软件的目标。虽然用户在购买正版软件时，价格要昂贵一些，但是，非法软件可以为用户暂时节省的一点钱，在将来都会投进盗版软件所带来的维修费用中，因此从长远来看，使用盗版软件只会增加用户计算机的使用成本。另外Windows激活技术（WAT）在确保用户的计算机远离盗版软件所带来的病毒及信息被盗等风险的同时，正版软件的更新能保证用户的操作系统处于良好的状态，从而大幅提升系统运行速度，确保其性能得以充分发挥。

参考文献

[1] 杨志强.高校实验室软件正版化问题的探讨[J].实验室研究与探索,2009,28(6):285-287.

[2] 张煜.轻松实现微软软件正版化[J].中国教育网络,2007,11:64-65.

[3] 黄海.基于镜像安装的正版Windows批量激活设计与实现[J].电脑编程技巧与维护,2011,18:95-97.

[4] 吴安宁.全力推进安徽省企业使用正版软件的几点思考[J].安徽科技,2007,3:32-34.

[5] 范金锋.企业推进使用正版软件工作的思考[J].电力信息化,2011,9(8):16-19.

[6] 彭小斌,宋式斌,欧阳荣彬,等.高校正版软件共享平台的设计与应用[J].实验技术与管理,2011,28(6):130-133.

收稿日期：（2015.04.26）

作者简介：王平（1979-），女，山东威海人，中国石油大学（华东）网络及教育技术中心，工程师，研究方向：网络信息化、数据挖掘，青岛，266580

文章编号：1007-757X(2015)12-0067-02

中图分类号：TP311

文献标志码：A