网络游戏安全策略 Coderui原创 转.docVIP

网络游戏安全策略 Coderui原创 转 网络游戏安全策略(Coderui原创)(转)2010年12月08日星期三16：31////////////////////////////////////////////////////////////////////////////////////////////////////////// /* 文章名称：网络游戏安全策略 文章种类：网络游戏帐号安全、网络游戏反外挂设计原理(内附新一代反外挂原理) 文章性质：独自整理，未公开文档。 编写作者：Coderui 编写时间：2008年6月8日(端午节) 作者邮箱：coderui@163.com 作者博客：文章版权：目前版权归文章编写作者所有。 全文点评：本文是当初即兴发挥写出来的，难免有表述错误的地方，还请多多体谅[2009.6.3]。 */ -- 一、前言： 网络游戏帐号安全的最终目的是： 网络游戏玩家的帐号、密码安全和反外挂是同等重要的，如果玩家的帐号总是被盗、物品总是丢失，那么玩家就会对这款游戏失去信心了。一般一个玩家的离去总是会牵动其他玩家一起离开，这些和一款网游的寿命(存活期)也是有着相当大的联系的。如果天天都有很多玩家喊着帐号被盗的话，对网络游戏其他玩家的心态还是会有着很大的影响的。 网络游戏反外挂的最终目的是： 使游戏玩家只可以利用官方网络游戏公司提供的游戏客户端程式进行游戏，用户不可以借助其它游戏辅助工具(如：自动喊话机器人、内挂、外挂和脱机外挂等)进行游戏、用户不可以修改破坏游戏客户端程式(保持其完整性、正确性和有效性)、用户不可以拦截修改变更网络游戏服务器端程式与网络游戏客户端程式的所有通信数据封包、用户不可以利用游戏中存在的BUG进行以下操作如：刷币、刷怪、吸怪、刷装备、刷等级、无敌、不死、无限血(红)、无限内功(蓝)、不受限制PK、跨级打怪、最大攻击、隐身、穿墙、客户端程式一机多开等。这样就保证了游戏的公平性、和谐性，从而达到从本质上延长了一款游戏的寿命(存活期)，同时也保持了游戏玩家的稳定人数和游戏公司的稳定收入。 -- 二、网络游戏安全模型介绍： 如果一款网络游戏要做到绝对的安全，就必须从以下五个大的方面来整体考虑： 1、保证网络游戏服务器数据库是安全的，不会被黑客入侵和盗取数据资料。 2、保证网络游戏公司官方网站中的所有页面都是安全的，不会被黑客挂马。 3、对黑客所使用的溜号器工具进行防范，保护玩家帐号、密码不被盗取。 4、网络游戏盗号木马安全防范，可以防御盗号木马和检测盗号木马。 5、网络游戏反外挂篇，这个是最主要的核心技术(内附新一代反外挂原理)。 -- 三、网络游戏安全模型原理及应用： -- 1、网络游戏服务器数据库是安全的，不会被黑客入侵和盗取数据资料。 玩家的帐号和密码必须都是加密存放在数据库中的，用户名称为可逆的加密(因为这个在查询时需要还原明文)、用户密码为不可逆的加密(这个不需要还原明文，玩家密码忘记后叫他重新设置密码就OK了)。玩家在注册或登陆游戏时，会在登陆窗口输入明文的帐号和密码，我们这里拿密码作为讲解的对象。玩家在登陆窗口输入明文的密码后，游戏客户端把密码加密后发送(可以单字节或拆分加密，以单包或多包的形式发送给服务器)到服务器上，游戏服务器端程式接收到密码后进行二次不可逆加密保存到数据库中。这样，就算数据库被黑客全部盗走了，也只是费库，没任何商业利用价值(因为黑客根本没得到有效的帐号和密码，他们无法直接登陆玩家的帐号，这样玩家的帐号就是安全的，物品不会被盗)。游戏服务器也就不怕被暴库了。 -- 2、保证网络游戏公司官方网站中的所有页面都是安全的，不会被黑客挂马。 如果黑客拿到了网络游戏公司官方WEB服务器的权限，他们可能会采用挂马的手段(网站程序和数据库不会放在同一台主机服务器上，黑客拿不到库只能去挂马。再说，数据库中的登陆帐号和密码都是密文，就算黑客拿到也没有用处。)，使来访用户因计算机系统存在的漏洞而中马，从而盗取游戏的帐号、密码等信息资料。我们可以采用网页防篡改程序(这个网页防篡改程序的设计方案我已经想好了，比较完善)来保护网页主框架代码不会被修改挂马(ARP局域网挂马目前还是没有有效的对外防御方法，因为判断权不在我们自己这里)，再就是保护好数据库防注入提权就行了(一般游戏网站服务器都是单独的，不会出现跨站种类的入侵)。 -- 3、对黑客所使用的溜号器工具进行防范，保护玩家帐号、密码不被盗取。 有些网络游戏玩家天天很小心的玩着游戏，生怕自己的游戏帐号、密码被黑客窃取去。但玩家他们明明知道自己计算机系统并没有中盗号木马，但游戏物品就是被盗了，好东西都不意而飞了。于是玩家很是郁闷，只能把责任推到网络游戏官方提供商身上，说官方内部有人盗玩家物品或是说GM盗玩家物品等等，众说纷纭。其实