公开(公告)号：CN117972799A

公开(公告)日：2024-05-03

申请号：CN202410173644.4

申请日：2024-02-07

Applicant: 中国科学院计算技术研究所

Inventor： 王喆 ,  谢梦瑶 ,  武成岗 ,  鲍天成

IPC: G06F21/72 ,  G06F21/79 ,  G06F21/64

Abstract: 本发明提供了一种应用于ARM处理器的指针保护方法，所述ARM处理器包括普通内存和隔离内存，所述ARM处理器上加载有被保护可执行文件，所述被保护可执行文件中配置有指针信息，所述方法包括：在所述ARM处理器执行被保护可执行文件时基于其中配置的指针信息按照预设的加密算法计算指针验证值，并将指针验证值存储至隔离内存中，所述指针验证值指示被保护可执行文件执行时指针信息是否被篡改；在所述ARM处理器执行被保护可执行文件时将其中配置的指针信息存储至普通内存中。本发明通过在普通内存中存储指针的信息，在隔离内存中存储指针验证值，使每次访问待保护指针时通过计算和比较指针验证值来确保待保护指针未被攻击者篡改，进而保护计算机系统的安全。

公开(公告)号：CN111259384B

公开(公告)日：2022-06-14

申请号：CN202010053213.6

申请日：2020-01-17

Applicant: 中国科学院计算技术研究所

Inventor： 武成岗 ,  王喆 ,  唐博文 ,  贾力陈 ,  谢梦瑶

IPC: G06F21/55 ,  G06F12/0808 ,  G06F12/0811 ,  G06F12/084 ,  G06F12/0842

Abstract: 本发明实施例提供了一种缓存管理方法，包括：响应于访存请求，将包含投机的访存装载指令所需数据的数据块装载到普通缓存，在缓存的普通缓存的数据块被投机的访存装载指令装载进来的数据块踢出普通缓存时，执行以下操作：将被踢出的数据块装入同级缓存的影子缓存；从普通缓存的所有缓存行中随机选择干扰缓存行，将干扰缓存行的数据块写到下一级存储介质后将干扰缓存行无效。本发明可以防止攻击者利用投机的访存装载指令将特定的数据块踢出某级缓存而造成其访问速度的改变，而且还随机选择干扰缓存行，将干扰缓存行的数据块设置为无效，使干扰缓存行的数据块的访问速度发生改变，以干扰攻击者，能有效防止被侧信道攻击探测到秘密的值。

公开(公告)号：CN114266036A

公开(公告)日：2022-04-01

申请号：CN202111430587.6

申请日：2021-11-29

Applicant: 中国科学院计算技术研究所

Inventor： 王喆 ,  武成岗 ,  谢梦瑶

IPC: G06F21/52 ,  G06F21/54 ,  G06F21/64

Abstract: 本发明实施例提供了一种基于Intel CET机制的保护通用内存完整性的方法，该方法基于Intel CET机制来实现对通用内存完整性保护，为了与Intel CET机制兼容，且不与Intel CET机制自身维护的影子栈页相冲突，本发明设置了专用影子栈页，其独立于Intel CET机制自身维护的影子栈页，并在对写入该专用影子栈页的需要降低写入开销的待写入内容进行与之适配的降开销处理，从而降低使用WRSS指令的次数，以在使用更低开销的情况下保护敏感数据和/或敏感代码的完整性，减少处理器在保护通用内存完整性方面的性能开销，进而可以提升处理器对其他任务的处理效率。

公开(公告)号：CN110059453A

公开(公告)日：2019-07-26

申请号：CN201910188731.6

申请日：2019-03-13

Applicant: 中国科学院计算技术研究所

Inventor： 王喆 ,  武成岗 ,  谢梦瑶 ,  张晓峰 ,  赖远明 ,  康妍 ,  曾凯

IPC: G06F21/14 ,  G06F9/455

Abstract: 本发明提出一种容器虚拟化安全加固装置及方法，包括：运行在客户机非根模式中的容器；运行在宿主机根模式中的底层操作系统模块和普通应用程序模块；在所述非根模式中植入一微内核，用于管理所述容器使用到的内存和文件系统资源；所述容器与所述底层操作系统模块之间强制隔离。本发明相比于传统容器，具有更好的安全性上来讲，相比于虚拟机和基于虚拟机的容器技术，具有轻量级和启动快的优势。

公开(公告)号：CN111241010B

公开(公告)日：2022-08-02

申请号：CN202010053240.3

申请日：2020-01-17

Applicant: 中国科学院计算技术研究所

Inventor： 武成岗 ,  王喆 ,  唐博文 ,  贾力陈 ,  谢梦瑶

IPC: G06F12/0897 ,  G06F12/0877 ,  G06F12/084

Abstract: 本发明公开了一种缓存管理方法和数据处理装置，所述缓存管理方法用于包含一级或者多级缓存的处理器，每级缓存包括至少一个缓存组；该方法包括：将每个缓存组的缓存空间划分为持续小组和临时小组，所述持续小组和临时小组包括一个或者多个缓存行；在缓存中持续小组的数据块被投机的访存装载指令装载进来的数据块踢出持续小组时，将被踢出的数据块装入与该持续小组位于同一缓存组的临时小组；在投机的访存装载指令投机失败时，将被该投机的访存装载指令装载进来的数据块踢出持续小组的数据块回滚到其在被踢到临时小组前位于持续小组内的原始位置。本发明可以阻止熔断(Meltdown)和幽灵(Spectre)攻击这类利用投机执行发起的攻击，提高处理器的安全性。