公开(公告)号：CN109543401A

公开(公告)日：2019-03-29

申请号：CN201811404649.4

申请日：2018-11-23

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 周洪伟 ,  原锦辉 ,  杜遵良 ,  冯贤 ,  李福林

IPC: G06F21/53 ,  G06F21/55

Abstract: 本发明提供一种基于控制流锁的SGX侧信道攻击防御方法。该方法包括：步骤1、在enclave内部指令的特定位置设置若干控制流检测点；步骤2、根据所述若干控制流检测点，检测处理器执行过的非法外部控制流；步骤3、记录enclave内部指令执行周期内所述非法外部控制流中非法外部控制转移的次数，将所述非法外部控制转移的次数作为发生系统异常的次数；步骤4、若所述系统异常的次数超过预设阈值，则认为发生侧信道攻击；步骤5、当认为发生侧信道攻击时，enclave内部指令中止运行，避免攻击者窥探enclave内部信息。本发明支持大体积的指令集正常工作，并且，本发明仅是在原有目标进程中插入少量指令（即控制流检测点），基本不会增加性能开销。

公开(公告)号：CN109543401B

公开(公告)日：2021-05-04

申请号：CN201811404649.4

申请日：2018-11-23

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 周洪伟 ,  原锦辉 ,  杜遵良 ,  冯贤 ,  李福林

IPC: G06F21/53 ,  G06F21/55

Abstract: 本发明提供一种基于控制流锁的SGX侧信道攻击防御方法。该方法包括：步骤1、在enclave内部指令的特定位置设置若干控制流检测点；步骤2、根据所述若干控制流检测点，检测处理器执行过的非法外部控制流；步骤3、记录enclave内部指令执行周期内所述非法外部控制流中非法外部控制转移的次数，将所述非法外部控制转移的次数作为发生系统异常的次数；步骤4、若所述系统异常的次数超过预设阈值，则认为发生侧信道攻击；步骤5、当认为发生侧信道攻击时，enclave内部指令中止运行，避免攻击者窥探enclave内部信息。本发明支持大体积的指令集正常工作，并且，本发明仅是在原有目标进程中插入少量指令（即控制流检测点），基本不会增加性能开销。