[发明专利]更新软件组件

说明书

提供了用于以组件水平来换新软件的方法和系统。客户端程序包括用于将软件组件加载到程序的至少一个可加载区域中以更新程序的基本组件。软件组件中的代码用于在软件组件执行时将关联了更新状态的状态数据写到存储装置中，并且测试状态数据以验证所更新程序的条件并且不允许回滚和前滚攻击，状态数据包括散列链值。用于验证所更新程序的正确性的状态数据与用于程序功能性的应用数据交织。服务器包括：具有被部署在每个客户端中的多个软件更新的更新池，以及用于监视和控制以下各项中至少一个的策略控制：客户端运行直到调用软件更新为止的时间长度，更新链；以及更新的粒度。

技术领域

本发明涉及用于为组件编程的方法和系统，并且更特别地涉及用于更新程序中的软件组件的方法和系统。

背景技术

在域（field）中更新软件典型地采取几个不同的途径。一种途径需要在任何换新（renewal）时更新完整程序。虽然该途径的优点在于可以在任何换新时改变程序的任何部分，但是它承受需要相当大量的上载数据和代码的缺点。

可更新性的第二途径涉及把功能性移交成为数据驱动的，使得数据文件对控制流的路径进行控制。虽然该途径确实允许在运行时改变行为，但是它需要预先将决策构建到软件中并且可能致使途径的可换新性方面受限，特别是为了保护代码免受攻击的目的。

第三途径使用动态或共享库机制的可用性以用于更新组件的集合。虽然有用，但是该途径具有以下缺点：即需要动态链接阶段在运行时解析浮动符号以给出性能开销，从而造成该途径典型地被谨慎地用于少数组件。另外，什么功能性处于动态库内的粒度关于总体系统而言是相当严格的。此外，某些平台不支持动态链接。

用于动态可更新软件组件的当前方法是粗粒度的、缓慢的或者在可以更新的代码和数据方面是有限的。此外，一些方法需要软件在进行更新时不运行。可以在运行时加载更新的那些方法当动态地加载更新时遭受粗粒度和对预测高置信水平的无能为力。另外，并没有很好地支持为了作为对破坏的响应或者作为对任何觉察到的攻击的前兆而换新安全性的目的更新软件组件的能力。用于可更新软件的现有方法已经由功能更新以及对域化产品中的缺陷的响应所驱动。

现有可更新软件组件机制中的安全性问题包括攻击者防止进行新的更新并且回滚到先前更新的能力。另外，攻击者具有通过查看软件组件更新中的不同而获得大量信息的能力。可以在软件组件更新之间和不同用户安装之间装配差分攻击。

发明内容

本发明的目的是提供一种方法和系统，其消除或缓解现有系统的缺点中的至少一个。

根据本公开的一方面，提供了用于软件换新的方法，其包括：通过程序中的基本组件将软件组件加载到程序的至少一个可加载区域中以更新程序，软件组件依照更新调度、在程序的运行时被动态交换（swap），在软件组件执行时将关联了更新状态的状态数据写在存储装置中；测试状态数据以验证所更新程序的条件，状态数据包括散列链值；以及将用于验证所更新程序的正确性的状态数据与用于程序功能性的应用数据相交织（entangle）。

根据本公开的另一方面，提供了用于换新软件的系统，其包括：客户端，所述客户端包括：处理器，和用于存储包括用于将程序组件加载到程序的至少一个可加载区域中以更新程序的基本加载组件在内的程序的存储器，所述程序组件依照更新调度、在程序的运行时被动态交换，所述程序组件具有用于在软件组件执行时将关联了更新状态的状态数据写在存储装置中并且测试状态数据以验证所更新程序的条件的代码，所述状态数据包括散列链值，用于验证所更新程序的正确性的状态数据与用于程序功能性的应用数据相交织。

附图说明

本发明的这些和其它特征将从其中参考附图的以下描述变得更加显而易见，在附图中：

图1在示意图中描绘了用于可换新系统的基本机制的示例；

图2在示意图中描绘了从客户端视角的可换新系统的示例；