The invention provides a method for controlling the safety of a processor, a device and a system. The method includes: controlling the processor to enter protective mode in response to satisfying the preset conditions; scrambling the timing instructions executed by the processor when the processor is in protective mode to change the return value of the timing instructions. The method according to the embodiment of the present invention reduces the effectiveness of the attack mode based on time information, thereby improving the security of the processor.
【技术实现步骤摘要】
处理器的安全控制方法、装置及系统
本专利技术涉及一种处理器的安全控制方法、安全控制装置及系统。
技术介绍
目前,处理器通过在流水线各个阶段同时执行不同的任务来提高处理能力。为了让这个流水线机制更加高效,现代处理器又引入了分支预测和乱序执行机制,从而更高效地进行运算。其中,分支预测主要用于解决在跳转分支完全确定前,通过预测执行目标地址的代码来提高执行效率。如果预测失败,流水线会放弃预测错误的代码并回滚处理器的状态。而乱序执行则通过将代码的执行顺序打乱来提高并行执行能力。这些处理器优化技术对于现代处理器的性能有很大的帮助。但是近期安全研究者发现,现代处理器架构的这些功能可能会导致安全风险,可以被攻击者利用在特定情况下进行攻击。
技术实现思路
本专利技术的一个方面提供了一种处理器的安全控制方法,包括:响应于满足预设条件,控制所述处理器进入防护模式,以及当所述处理器处于防护模式时,对所述处理器执行的计时指令进行加扰处理,以改变所述计时指令的返回值。可选地,上述对所述处理器执行的计时指令进行加扰处理,包括:在虚拟机系统下执行所述计时指令时,控制所述处理器进入物理机系统,在所述物理机系统下对所述计时指令进行加扰处理,并向所述虚拟机系统返回加扰处理后的返回值。可选地,上述在虚拟机系统下执行所述计时指令时,控制所述处理器进入物理机系统,包括:对特定计时指令设置指令陷阱,在执行所述特定计时指令时,所述指令陷阱触发所述处理器进入所述物理机系统。可选地,上述对所述处理器执行的计时指令进行加扰处理,以改变所述计时指令的返回值,包括:改变所述计时指令读取的数值,以改变所述计时指令的返回 ...
【技术保护点】
1.一种处理器的安全控制方法,其特征在于,包括:响应于满足预设条件,控制所述处理器进入防护模式;当所述处理器处于防护模式时,对所述处理器执行的计时指令进行加扰处理,以改变所述计时指令的返回值。
【技术特征摘要】
1.一种处理器的安全控制方法,其特征在于,包括:响应于满足预设条件,控制所述处理器进入防护模式;当所述处理器处于防护模式时,对所述处理器执行的计时指令进行加扰处理,以改变所述计时指令的返回值。2.根据权利要求1所述的方法,其特征在于,所述对所述处理器执行的计时指令进行加扰处理,包括:在虚拟机系统下执行所述计时指令时,控制所述处理器进入物理机系统,在所述物理机系统下对所述计时指令进行加扰处理,并向所述虚拟机系统返回加扰处理后的返回值。3.根据权利要求2所述的方法,其特征在于,所述在虚拟机系统下执行所述计时指令时,控制所述处理器进入物理机系统,包括:对特定计时指令设置指令陷阱,在执行所述特定计时指令时,所述指令陷阱触发所述处理器进入所述物理机系统。4.根据权利要求1所述的方法,其特征在于,所述对所述处理器执行的计时指令进行加扰处理,以改变所述计时指令的返回值,包括:改变所述计时指令读取的数值,以改变所述计时指令的返回值。5.根据权利要求4所述的方法,其特征在于,所述改变所述计时指令读取的数值,包括:在所述计时指令读取的数值上增加或者减小一随机值;或者以随机值替换所述计时指令读取的数值。6.根据权利要求1至5中任一项所述的方法,其特征在于,所述响应于满足预设条件,控制所述处理器进入防护模式,包括:在所述处理器中设置硬件开关,响应于所述硬件开关开启控制所述处理器进入防护模式。7.根据权利要求1至5中任一项所述的方法,其特征在于,所述响应于满足预设条件,控制所述处理器进入防护模式,包括:当前运行环境的安全性要求高于阈值时,控制所述处理器进入防护模式;响应于特定的用户操作,控制所述处理器进入防护模式;和/或响应于进入高访问权限模式,控制所述处理器进入防护模式。8.根据权利要求1至5中任一项所述的方法,其特征在于,所述计时指令为高精度计时指令。9.一种处理器的安全控制装置,其特征在于,包括:控制模块,响应于满足预设条件,控制所述处理器进入防护模式;加扰模块,当所述处理器处于防护模式时,对所述处理器执行的计时指令进行加扰处理,以改变所...
【专利技术属性】
技术研发人员:刘雷波,罗奥,尹首一,魏少军,
申请(专利权)人:清华大学,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。