[发明专利]选择性基于块的完整性保护技术

说明书

背景技术

产品移动装置上的高级操作系统(HLOS)系统图像需要用于保护系统图像的完整性的装置。系统图像包含在被更改或损坏的情况下可能导致装置出故障或执行意外/未经授权动作的系统库及由HLOS使用的其它文件。HLOS系统图像在产品移动装置上通常为～5GB，且用于保护这些图像的装置需要在实施保护系统图像保护方案时考虑移动装置的资源约束，例如，存储器、电源以及硬件资源。

常规解决方案并未提供一定水平的可配置性及灵活性以解决可能需要保护的系统图像中所包含的不同类型的内容以及在识别各种类型的内容的改变时配置恰当响应水平的能力。举例来说，提供于安卓(Android)装置上的一种常规解决方案为“dm真实性(dm-verity)”，其对存储在移动装置的存储装置上的系统图像中所包含的所有内容提供基于块的保护。dm真实性应用程序构建系统图像的所有块的散列树，并在存取块时检查所述块以通过将其散列内容与hast树的内容进行比较来确定其是否改变。当特定数据块已改变时可能发生例外。然而，此方法通常在系统图像可能包含非关键文件(例如在被更改时不应导致灾难性错误的铃声或其它媒体内容)时过分反应。此外，产生散列树需要大量资源。例如完整性管理架构(IMA)的其它常规解决方案提供基于文件的保护，所述基于文件的保护通过将文件的散列存储在文件的索引节点(inode)属性中来提供文件内容的远程证明及文件内容的本地证明。但是，将此信息存储在索引节点中还需要如同在允许对文件进行操作之前验证安全敏感扩展属性的Linux扩展验证模块(EVM)的解决方案。

常规解决方案还限于其依据对所有类型的内容的完整性检查提供相同水平的保护及结果行为。

发明内容

根据本发明的用于保护计算装置的内容的样本方法包含：接收用于执行与图像中所包含的内容项相关联的动作的请求，存取与所述内容项相关联的安全级信息，所述安全级信息包括与所述内容项相关联的完整性检查动作及结果行为，所述结果行为响应于所述完整性检查动作指示不能执行所请求的所述动作而执行，执行与所述内容项相关联的所述完整性检查动作；以及响应于所述完整性检查动作指示不能执行所请求的所述动作而执行与所述内容项相关联的所述结果行为。

此方法的实施方案可包含以下特征中的一或多者。所述结果行为选自多个结果行为，包括灾难性错误处理响应、输入-输出(I/O)错误响应、受信任实体响应的报告，以及回退错误响应。所述完整性检查动作选自多个完整性检查动作，包括需要完整性检查的动作、不需要完整性检查的动作、回退保护动作以及装置特定检查动作。响应于与内容项相关联的完整性检查动作为需要完整性检查的动作，执行与所述内容项相关联的所述完整性检查动作包含：存取块列表以识别与内容项相关联的块；执行与所述内容项相关联的块的散列；以及将与所述内容项相关联的所述块的所述散列与所述图像中所包含的所述内容项的散列进行比较。响应于与内容项相关联的完整性检查动作为回退保护动作，执行与所述内容项相关联的完整性检查动作包含：确定所述内容项的更新是否将导致所述内容项被替换为所述内容项的先前版本，且响应于所述完整性检查动作指示不能执行所请求的所述动作而执行与所述内容项相关联的所述结果行为包含：防止所述内容项被替换为所述内容项的所述先前版本。用于执行动作的请求包括用于修改所述内容项的请求，且其中所述完整性检查动作包括将所述请求报告给受信任实体，且其中执行所述结果行为包括：从所述受信任实体接收指示是否可以修改所述内容项的响应；响应于所述响应指示可以修改所述内容项而修改所述内容项；以及响应于所述响应指示可以修改所述内容项而显示不能修改所述内容项的指示。

根据本发明的用于保护计算装置的内容的样本设备包含：用于接收用于执行与图像中所包含的内容项相关联的动作的请求的装置；用于存取与所述内容项相关联的安全级信息的装置，所述安全级信息包括与所述内容项相关联的完整性检查动作及结果行为，所述结果行为响应于所述完整性检查动作指示不能执行所请求的所述动作而执行；用于执行与所述内容项相关联的所述完整性检查动作的装置；以及用于响应于所述完整性检查动作指示不能执行所请求的所述动作而执行与所述内容项相关联的所述结果行为的装置。