公开(公告)号：CN111241010B

公开(公告)日：2022-08-02

申请号：CN202010053240.3

申请日：2020-01-17

Applicant: 中国科学院计算技术研究所

Inventor： 武成岗 ,  王喆 ,  唐博文 ,  贾力陈 ,  谢梦瑶

IPC: G06F12/0897 ,  G06F12/0877 ,  G06F12/084

Abstract: 本发明公开了一种缓存管理方法和数据处理装置，所述缓存管理方法用于包含一级或者多级缓存的处理器，每级缓存包括至少一个缓存组；该方法包括：将每个缓存组的缓存空间划分为持续小组和临时小组，所述持续小组和临时小组包括一个或者多个缓存行；在缓存中持续小组的数据块被投机的访存装载指令装载进来的数据块踢出持续小组时，将被踢出的数据块装入与该持续小组位于同一缓存组的临时小组；在投机的访存装载指令投机失败时，将被该投机的访存装载指令装载进来的数据块踢出持续小组的数据块回滚到其在被踢到临时小组前位于持续小组内的原始位置。本发明可以阻止熔断(Meltdown)和幽灵(Spectre)攻击这类利用投机执行发起的攻击，提高处理器的安全性。

公开(公告)号：CN109840411B

公开(公告)日：2021-01-08

申请号：CN201810164759.1

申请日：2018-02-27

Applicant: 中国科学院计算技术研究所

Inventor： 王喆 ,  武成岗 ,  赖远明 ,  康妍

IPC: G06F21/53 ,  G06F12/1009 ,  G06F9/455

Abstract: 本发明涉及一种应用的保护方法和系统，包括：获取该应用，该应用包括第一部分应用和第二部分应用，内存空间包括安全区域；将应用该第一部分应用存放至该安全区域，应用第二部分应用存放至该安全区域外的该内存空间，将指向该安全区域的地址随机放置到虚拟地址空间中；当该虚拟地址空间内发生试探行为时，在该内存空间中随机移动该安全区域的位置，并在该安全区域原有位置遗留一个禁止访问的陷阱区域；当检测到任何对该陷阱区域的访问时，报出访问陷阱区域的警告信息给用户。随着试探次数的增多，安全区域被随机的次数也会增多，使得攻击者的下次试探会很大概率被捕获。

公开(公告)号：CN111274584B

公开(公告)日：2022-07-15

申请号：CN202010053237.1

申请日：2020-01-17

Applicant: 中国科学院计算技术研究所

Inventor： 武成岗 ,  王喆 ,  唐博文 ,  贾力陈 ,  谢梦瑶

IPC: G06F21/57 ,  G06F21/53 ,  G06F21/55

Abstract: 本发明公开了一种数据处理装置，包括：处理器；存储器，用于存储一个或多个可执行指令和数据，所述存储器包括一级或者多级缓存；以及缓存控制器；每级缓存包括普通缓存和防御缓存；所述缓存控制器被配置为：在普通缓存的数据块被投机的访存装载指令装载进来的数据块踢出普通缓存时，将被踢出的数据块装入该普通缓存所属的缓存的防御缓存；以及在投机的访存装载指令投机失败时，将被该投机的访存装载指令装载进来的数据块踢出普通缓存的数据块回滚到其在被踢到防御缓存前位于普通缓存内的原始位置。本发明可以防止攻击者利用投机的访存装载指令将特定的数据块踢出某级缓存而造成其访问速度的改变，有效地防止了被侧信道攻击探测到秘密的值。

公开(公告)号：CN111737656A

公开(公告)日：2020-10-02

申请号：CN202010473124.7

申请日：2020-05-29

Applicant: 中国科学院计算技术研究所

Inventor： 王喆 ,  武成岗 ,  谢梦瑶 ,  张晓峰 ,  赖远明 ,  康妍

IPC: G06F21/12

Abstract: 本发明提供一种面向应用程序的特权硬件资源访问方法及电子设备，其中，所述方法将CPU操作模式划分为根模式和非根模式，每种模式具有相应的内核态与用户态。所述方法包括：在非根模式的内核态下运行所述应用程序；以及限制所述应用程序对非授权特权指令的执行。其中，所述非授权特权指令指的是用于访问所述应用程序无权访问的特权硬件资源的指令。本发明提升了应用程序访问特权硬件资源的性能、安全性以及通用性。

公开(公告)号：CN111274584A

公开(公告)日：2020-06-12

申请号：CN202010053237.1

申请日：2020-01-17

Applicant: 中国科学院计算技术研究所

Inventor： 武成岗 ,  王喆 ,  唐博文 ,  贾力陈 ,  谢梦瑶

IPC: G06F21/57 ,  G06F21/53 ,  G06F21/55

Abstract: 本发明公开了一种数据处理装置，包括：处理器；存储器，用于存储一个或多个可执行指令和数据，所述存储器包括一级或者多级缓存；以及缓存控制器；每级缓存包括普通缓存和防御缓存；所述缓存控制器被配置为：在普通缓存的数据块被投机的访存装载指令装载进来的数据块踢出普通缓存时，将被踢出的数据块装入该普通缓存所属的缓存的防御缓存；以及在投机的访存装载指令投机失败时，将被该投机的访存装载指令装载进来的数据块踢出普通缓存的数据块回滚到其在被踢到防御缓存前位于普通缓存内的原始位置。本发明可以防止攻击者利用投机的访存装载指令将特定的数据块踢出某级缓存而造成其访问速度的改变，有效地防止了被侧信道攻击探测到秘密的值。

公开(公告)号：CN109840411A

公开(公告)日：2019-06-04

申请号：CN201810164759.1

申请日：2018-02-27

Applicant: 中国科学院计算技术研究所

Inventor： 王喆 ,  武成岗 ,  赖远明 ,  康妍

IPC: G06F21/53 ,  G06F12/1009 ,  G06F9/455

Abstract: 本发明涉及一种应用的保护方法和系统，包括：获取该应用，该应用包括第一部分应用和第二部分应用，内存空间包括安全区域；将应用该第一部分应用存放至该安全区域，应用第二部分应用存放至该安全区域外的该内存空间，将指向该安全区域的地址随机放置到虚拟地址空间中；当该虚拟地址空间内发生试探行为时，在该内存空间中随机移动该安全区域的位置，并在该安全区域原有位置遗留一个禁止访问的陷阱区域；当检测到任何对该陷阱区域的访问时，报出访问陷阱区域的警告信息给用户。随着试探次数的增多，安全区域被随机的次数也会增多，使得攻击者的下次试探会很大概率被捕获。