Android Verified Boot (AVB) 与 dm-verity 之间的关系、相同点与差异点

最新推荐文章于 2025-06-05 09:07:37 发布
最新推荐文章于 2025-06-05 09:07:37 发布
阅读量1.7k 收藏 7
点赞数 7
CC 4.0 BY-SA版权
文章标签: android dm-verity AVB
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/achirandliu/article/details/139560273
本文探讨了Android Verified Boot (AVB) 和 dm-verity在保护设备启动及运行时数据完整性方面的角色。两者都利用哈希树验证数据,防止未授权修改,但AVB侧重启动时系统映像验证,提供回滚保护,而dm-verity则在运行时验证文件系统,确保持续的安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

标签: AVB; dm-verity ;Android

Android Verified Boot (AVB) 与 dm-verity 之间的关系、相同点与差异点

概述

Android Verified Boot (AVB) 和 dm-verity 是 Android 操作系统中用于确保设备启动过程和运行时数据完整性的两个重要技术。尽管它们有着不同的实现和侧重点,但它们都旨在提高系统的安全性,防止未授权的修改和恶意软件的注入。

相同点

  1. 数据完整性保护

    • AVB 和 dm-verity 都致力于保护数据完整性。AVB 在设备启动时验证系统映像的完整性,而 dm-verity 在运行时持续验证文件系统的完整性。

  2. 基于哈希树的验证

    • 哈希树(Merkle Tree):二者都使用哈希树来验证数据块的完整性。每个数据块都有一个哈希值,这些哈希值组合成更高层次的哈希,最终形成一个根哈希,用于验证整个数据结构的完整性。

  3. 防止未授权的修改

    • 防止篡改:通过使用哈希和签名,AVB 和 dm-verity 可以检测到系统映像或文件系统中的任何未授权修改,防止恶意软件的注入。

  4. 集成于Android安全架构

    • Android生态系统:二者都集成在Android安全架构中,并共同作用于提升设备的整体安全性。

差异点

  1. 功能和作用

    • AVB(Android Verified Boot)

      • 主要功能是验证设备启动过程中每个阶段的系统映像的完整性和真实性。
      • 通过 vbmeta.img 文件包含所有系统映像的签名和哈希信息,并在启动时进行验证。
      • 提供回滚保护机制,以防止设备降级到存在已知漏洞的旧版本软件。

    • dm-verity

      • 主要功能是验证运行时文件系统的完整性。
      • 在访问文件系统的每个块时,dm-verity 通过哈希树验证该块的完整性,防止运行时的数据篡改。
      • 集成在 kernel-cmdline 中,通过内核模块实现对文件系统的持续验证。

  2. 实现层次

    • AVB

      • 实现于引导加载程序(bootloader)层次,确保在系统启动过程中加载的每个映像都是完整和可信的。
      • 使用公钥基础设施(PKI)签名和验证系统映像。

    • dm-verity

      • 实现于内核层次,内核模块负责验证文件系统块的完整性。
      • 使用哈希树(Merkle Tree)结构在运行时验证文件系统数据块。

  3. 验证时机

    • AVB

      • 验证在启动过程中进行,一旦系统成功启动,通过 AVB 验证的映像不会再被重新验证。

    • dm-verity

      • 验证在运行时进行,系统在每次访问文件系统的块时都会进行验证,确保整个运行期间的数据完整性。

总结

Android Verified Boot (AVB)dm-verity 都是 Android 安全架构中的关键组件,共同确保设备从启动到运行时的数据完整性。尽管二者都使用了哈希树和签名验证技术,但它们在功能、实现层次和验证时机上有显著差异。AVB 专注于启动过程中的系统映像验证,而 dm-verity 则在运行时持续验证文件系统的完整性。理解这两个技术及其相互关系,有助于更好地设计和维护安全的 Android 系统。


作者简介:https://shimo.im/docs/rp3OVwxle2fJn7Am/
上海徐汇
2024年6月9日

achirandliu
关注
Android AVB 分析(十二)嵌入式设备安全中的 dm-verity 简介
洛奇看世界
01-09 2416
上一篇 《Android AVB 分析(十一)bootloader 是如何进行 verify boot 检查的?》 分析了 bootloader 中是如何调用 libavb 函数库验证 vbmeta 和 boot 等分区的。接下来就打算写一篇介绍 dm-verity 原理的文章,然后再写一篇徒手 dm-verity 实践的文章,结果偶然发现了本篇的英文原版。写得太好,我觉得自己完全没有必要再写原理了。由于原文是英文,有些英语不太好的朋友不一定能完全理解。我花了点时间,结合 AI 将英语原文翻译成中文。
Android AVB 分析(十三)dm-verity 设备是如何映射的?
洛奇看世界
01-17 2029
在上一篇《Android AVB 分析(十二)嵌入式设备安全中的 dm-verity 简介》介绍 dm-verity 原理的时候,作者提供了一个 dm-verity 演示的例子。本篇我们基于 AOSP 源码 `android-13.0.0_r41` 实际编译生成的 Google Pixel 7 (“panther”) 设备的 system 分区镜像进行 dm-verity 设备验证实战。
Android安全启动学习(四):device-mapper-verity (dm-verity)和哈希树
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
10-11 3610
dm-verity是内核子系统的Device Mapper中的一个子模块,所以在介绍dm-verity之前先要介绍一下Device Mapper的基础知识。Device Mapper为Linux内核提供了一个从逻辑设备到物理设备的映射框架,通过它,用户可以定制资源的管理策略。当前Linux中的逻辑卷管理器如LVM2(Linux Volume Manager 2)、EVMS(Enterprise Volume Mageagement System)、dmraid等都是基于该机制实现的。
Android 中的dm-verity
热门推荐
u011280717的博客
07-09 4万+
Android 中的Verified Bootdm-verity之前做了一个Verified Boot模块相关的工作,但是在网上只有找到google的文档和一个nexus的patch。虽然有patch,但在不同版本的代码上实现起来却可能有一些bug,所以特此记录一下debug这个东西的过程。之前debug的过程一直没找到问题,归根到底还是这个原理没搞清楚就下手,所以我分成原理,接口和应用来说明dm
android AVB2.0(五)Device Mapper和Dm verity详解
楼中望月
12-23 8090
文章目录一、Device Mapper1. Device Mapper概述2. Device Mapper的使用二、Dm Verity1. Dm Verity验证思想2. Hashtree脚本处理2.1 镜像编译2.2 创建verity tree2.3 创建metadata3. Dm verity设备的创建3.1 SetUpDmVerity函数3.2 hash table处理 一、Device Mapper 1. Device Mapper概述 Device mapper是LINUX提供的一种逻辑设备到物理
Android Verified Boot dm-verity 优化和实战
求变,从思想开始
05-31 6175
Android O/P 版本以来,谷歌加入了system-as-root的特性,此时ramdisk和system是一起放在同一个system.img镜像中的。而系统起来之后也就不存在system分区了,而是直接把system镜像挂载到/根目录上。那么这个操作是怎么进行的呢? system.img默认是需要使能dm-verity来挂载的,那么这就涉及到如何使能dm-verity来挂载...
Android Verified Boot dm-verity 优化和实战2
求变,从思想开始
06-20 3999
在网上查了很多的资料,有很多写的不错,但很系统的比较少。 我只是按自己的思路把 文档理顺一下。按如下的思路: 问题是什么,原理是什么,具体怎么去解,然后实际的打印log。 问题在前一篇已经写完,已经找到了内核的入口android-verity.c。 这里还是要补充一下dm的原理,否则的话,不管是别人写的文档还是下面写的东西,...
Android Verity Boot(AVB)验证原理
baron-周贺贺-代码改变世界ctw
08-02 5666
基于android12,多图多精简总结,白话总结,一网打尽密码锁、locksettingService、gatekeeper所有知识点。并拓展了指纹、人脸、DRM相关的知识点.👉👉👉[专题目录]–Android架构安全精选(基于android12)👈👈👈透过事务看本质,到底什么是AVBAVB(AndroidVerifiedBoot)就是,主要包含•对以下镜像提供完整性检查Linuxkernel+ramdisk整个分区的HASH存储在VBMetaimage中。...
avbdm-verify把原理重点讲解一下。按照ppt的方式 12页左右
03-24
- 标题:Android Verified BootAVBDM-Verity原理分析 - 副标题:安全启动运行时完整性验证 - 作者/日期 --- #### **目录(1页)** 1. 背景需求 2. AVB的核心功能 3. DM-Verity的核心功能 4. AVB...
禁用dm-verity的操作过程
03-24
$$ \text{Verified Boot} = \text{AVB 2.0} + \text{Chain of Trust} $$ 2. 不同机型处理差异: - 高通芯片设备:需处理`vbmeta`和`dtbo`分区 - 联发科设备:可能需要修改`preloader`分区 --- ### 七、替代方案...
Qcom android_verified_boot AVB2.0 introduction
11-30
包括 avb的详细介绍 1.avb1.02.0的区别以及对比 2. qcom.avb2.0的适用平台 3.avb2.0的ENABLE 4.avbtool的使用包括给boot.img dtbo.img等镜像添加页脚,vbmeta.img的生成,以及avb验证的镜像的info的查看
Android启动时验证(AVB
10-03
本文档介绍了Android启动时验证(AVB)的相关知识。 AVB(Android verify boot)Android的一种安全机制,确保镜像数据的完整性和可靠性。
ROM修改进阶教程------手动修改去除avb分区验证 DM验证以及其他校验操作解析
最新发布
小马哥的专栏
06-05 255
 我们在制作一些官改或者第三方rom或者root的时候 。需要去除系统的avb校验。否则个别机型会出现开机重启进fast的步骤。这个是触发了机型的avb校验分区的机制。 通过博文了解💝💝💝 1-------💝💝💝系统avb校验的关联具体的含义  dm校验尤为何物? 1-------💝💝💝手动修改去除avb校验的步骤解析以及操作过程 2--------💝💝💝制作第三方包的其他验证机制分析
Android Verified Boot (AVB) 的原理和作用
achirandliu的专栏
06-06 1809
Android Verified Boot (AVB) 的原理和作用
Android Verified Boot 2.0 ---- 摘自说明文档
ljj342018214的博客
09-21 1044
Android Verified Boot 2.0 This repository contains tools and libraries for working with Android Verified Boot 2.0. Usually AVB is used to refer to this codebase. Table of Contents What is it? The VBMeta struct Rollback Protection A/B Support The VBMeta
Android Verified Boot
weixin_42081051的博客
01-28 5655
Android Verified Boot,验证程序用来保护用户使用软件在设备上运行的完整性。它通常从设备固件的只读部分开始,该部分加载代码并仅在密码验证代码是真实的且没有任何已知的安全缺陷之后执行。AVB是经过验证的引导的一种实现。 BOARD_AVB_ENABLE 默认为true,可以设置为false关闭avb。 1.avbtool工具 1.1 位置 HOST_OUT_ROOT := $(OUT_DIR)/host HOST_OUT := $(HOST_OUT_ROOT)/$(HOST_OS.
Android Verified Boot 2.0
努力创作有价值的文章
10-12 1万+
AVB2.0简要说明:https://blog.csdn.net/Thanksgining/article/details/83011651 AVB2.0(Android Verified Boot2.0)是google新设计的verified boot流程用于保护boot/recovery/system/vendor等一些受保护分区的完整性。MTK平台中dtbo不使用AVB2.0保护,buil...
android avbAndroid Verified Boot)验证
老鹰不捉小鸡
05-21 2万+
avb的作用 验证程序用来保护用户使用软件在设备上运行的完整性。它通常从设备固件的只读部分开始,该部分加载代码并仅在密码验证代码是真实的且没有任何已知的安全缺陷之后执行。AVB是经过验证的引导的一种实现。 The VBMeta struct AVB中使用的中心数据结构是VBMeta struct,这个数据结构包含许多描述符(和其他元数据),所有这些数据都是加密签名的。描述符用于图像哈希表、图像哈希...
AndroidAVB机制
weixin_36304352的博客
07-11 363
Table of ContentsAVB工作原理AVB的实现AVB的安全等级AVB的优势配置AVB Android Verified Boot (AVB) 是一种用于确保Android设备软件完整性和安全性的机制。它通过在设备启动时验证操作系统及其组件的完整性,来防止恶意软件或未经授权的软件篡改。AVB在引导过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值