-
公开(公告)号:CN116679987A
公开(公告)日:2023-09-01
申请号:CN202310507139.4
申请日:2023-05-08
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开一种基于层次化结构的分支预测器安全增强方法及系统,属于处理器体系结构领域,将不同程序或线程划分为不同安全域;高层级分支预测表应用物理隔离的安全机制,依据安全域将分支预测器物理隔离开,限制每个安全域能够访问的分支预测器资源的范围;低层级分支预测表应用随机化机制,依据安全域在随机化机制中使用安全域私有随机数。本发明通过在不同层级的分支预测表应用不同类型的安全机制,充分发挥不同类型安全机制的优势,从而实现安全机制间的优势互补。
-
公开(公告)号:CN111638913B
公开(公告)日:2023-05-12
申请号:CN202010322524.8
申请日:2020-04-22
Applicant: 中国科学院信息工程研究所
IPC: G06F9/38
Abstract: 本发明提供一种基于随机化索引的处理器芯片分支预测器安全增强方法及电子装置,其方法包括:将不同的程序划分成不同的安全域,并获取所述安全域的分支预测器原始索引;分配一个随机数给每个所述安全域,并使所述随机数作用于分支预测器原始索引的映射关系中,得到新索引值;使用所述新索引值索引安全增强的分支预测器。本发明创新地采用随机化的分支预测器索引,打破了分支指令地址和分支预测器固定的映射关系,使攻击者无法准确获知分支指令在分支预测器中历史信息的具体位置,有助于在恶意感知攻击中增加噪声和阻断基于竞争的分支预测器侧信道。
-
公开(公告)号:CN111274573B
公开(公告)日:2022-09-09
申请号:CN202010039387.7
申请日:2020-01-15
Applicant: 中国科学院信息工程研究所
Abstract: 本发明提出一种基于访存请求序列的处理器芯片假安全依赖冲突的识别方法,属于处理器微体系结构设计领域,在安全依赖关系的基础上,分析推测执行侧信道攻击中的关键步骤,提取共有的访存模式,在处理器微体系结构中引入安全依赖关系检查逻辑,动态地识别不存在危险的假安全依赖关系。
-
公开(公告)号:CN111241551B
公开(公告)日:2022-01-25
申请号:CN202010025958.1
申请日:2020-01-10
Applicant: 中国科学院信息工程研究所
Abstract: 本发明提供一种基于缓存命中状态的处理器芯片假安全依赖冲突的识别方法,属于处理器微体系结构设计领域,为了在保证防御基于缓存侧信道的推测执行漏洞的前提下,降低推测执行机制中引入安全特性带来的性能损失,本方法通过区分攻击中缓存状态变化的原因,利用缓存结构的局部性,仅仅需要在缓存做很小的改动中,无需操作系统或软件系统的信息,对于软件透明,同时攻击者无法利用软件来干预此类假安全依赖的判断。
-
公开(公告)号:CN112269716A
公开(公告)日:2021-01-26
申请号:CN202011183673.7
申请日:2020-10-29
Applicant: 中国科学院信息工程研究所
IPC: G06F11/30
Abstract: 本发明提供一种灵活定义的处理器异常访问实时监测方法及电子装置,包括:将设定敏感地址写入敏感地址域;当一应用程序启动后,获取该应用程序的敏感地址,并将该应用程序的进程号及敏感地址写入敏感地址域;若任一应用程序运行中生成的地址与敏感地址域中的敏感地址匹配成功,则将包含地址信息的内存监控请求发送至控制端;该控制端根据内存监控请求中的地址信息,开启相应的内存监控。本发明独立于计算核且可灵活配置,能够不受计算核影响自由且合理地配置于其指令流水线中的流水级,实时地将异常访存行为进行内存监控,从而在保证处理器安全性的同时提高处理器内存监控的效率,减少其性能开销。
-
Patent Agency Ranking
公开(公告)号:CN112134777A
公开(公告)日:2020-12-25
申请号:CN202010942922.X
申请日:2020-09-09
Applicant: 中国科学院信息工程研究所
Abstract: 本申请实施例中提供了一种可信IPSec模组与VPN隧道构建方法。采用本申请中的方案,将终端设备中的IPSec模组设置为包括运行于REE驱动环境的REE功能组,及运行于TEE驱动环境的TEE功能组;所述REE功能组包括IPSec协议封装解析模组及TCP/IP协议栈,所述TEE功能组包括IPSec核心模块;同时还设置有分别与所述IPSec协议封装解析模组、所述IPSec核心模块连接的存储模块。在构建VPN隧道时,利用TEE驱动环境的硬件隔离、系统隔离等功能,将关键数据和处理过程置于TEE驱动环境中处理;同时,将通用的IPSec协议封装解析处理过程,以及对TCP/IP协议栈的数据调取处理过程置于REE驱动环境中处理,实现一方面减轻TEE系统负载,另一方面确保关键数据信息的安全稳定,保障通信安全及提高通信效率的技术效果。
-
公开(公告)号:CN111638913A
公开(公告)日:2020-09-08
申请号:CN202010322524.8
申请日:2020-04-22
Applicant: 中国科学院信息工程研究所
IPC: G06F9/38
Abstract: 本发明提供一种基于随机化索引的处理器芯片分支预测器安全增强方法及电子装置,其方法包括:将不同的程序划分成不同的安全域,并获取所述安全域的分支预测器原始索引;分配一个随机数给每个所述安全域,并使所述随机数作用于分支预测器原始索引的映射关系中,得到新索引值;使用所述新索引值索引安全增强的分支预测器。本发明创新地采用随机化的分支预测器索引,打破了分支指令地址和分支预测器固定的映射关系,使攻击者无法准确获知分支指令在分支预测器中历史信息的具体位置,有助于在恶意感知攻击中增加噪声和阻断基于竞争的分支预测器侧信道。
-
公开(公告)号:CN111638912A
公开(公告)日:2020-09-08
申请号:CN202010321896.9
申请日:2020-04-22
Applicant: 中国科学院信息工程研究所
IPC: G06F9/38
Abstract: 本发明提供一种轻量级的处理器芯片分支预测器内容隔离方法及电子装置,其方法包括:将不同的程序划分成不同的安全域,并获取所述安全域的分支预测器读出的内容以及待更新的内容;分配一个随机数给每个所述安全域,并使所述随机数作用于所述分支预测器读出的内容以及待更新的内容,得到内容隔离的分支预测器;使用所述索引数索引内容隔离的分支预测器。本发明只需要对现有的分支预测器做较小的改动,不改变原分预测器的预测机制即可实现类似于刷新分支预测器进行隔离的效果,可以大大增加攻击者跨线程或者跨特权级恶意训练和恶意感知分支预测器的难度。
-
公开(公告)号:CN111274573A
公开(公告)日:2020-06-12
申请号:CN202010039387.7
申请日:2020-01-15
Applicant: 中国科学院信息工程研究所
Abstract: 本发明提出一种基于访存请求序列的处理器芯片假安全依赖冲突的识别方法,属于处理器微体系结构设计领域,在安全依赖关系的基础上,分析推测执行侧信道攻击中的关键步骤,提取共有的访存模式,在处理器微体系结构中引入安全依赖关系检查逻辑,动态地识别不存在危险的假安全依赖关系。
-
公开(公告)号:CN112256332B
公开(公告)日:2024-06-25
申请号:CN202010973779.0
申请日:2020-09-16
Applicant: 中国科学院信息工程研究所
Abstract: 本发明提出一种处理器芯片假安全依赖冲突的识别方法及系统,属于处理器芯片微体系结构设计领域,基于安全依赖,在程序执行过程中动态地识别出推测执行的分支指令,并分析存在泄露敏感信息风险的分支指令,并动态地建立安全依赖关系,防止攻击者通过后续的资源竞争获得敏感信息。本发明在微体系结构层级实现,对上层应用软件透明,无需对现有的软件进行重新编译,且用户程序无法控制该安全依赖建立、消除的逻辑。本发明可以在保证推测敏感分支安全性的同时,减少由于流水线堵塞产生的性能损失。
-
-
-
-
-
-
-
-
-
Search Results
32
records
(took 0.031 seconds)
