本申请公开了一种基于硬件安全标签的动态信息流追踪处理器结构,在处理器结构中,对处理器核内的寄存器和存储模块内的存储器新增安全相关的标签位,通过对处理器核新增标签检查和传递逻辑电路,实现了对信息流的实时高效的追踪。通过对存储模块内的数据缓存新增安全相关的标签位,在性能影响较小的情况下实现了对侧信道攻击的防护。由此,本申请利用新增的标签位,划分程序的安全级别,制定处理器核内的标签传递规则,定义可能破环系统安全性的异常行为,防范可能利用缓存进行的侧信道攻击,保障程序运行的规范和安全。由此,解决了由于缺乏动态信息流跟踪监测,存在安全隐患,对高速缓存机制性能影响较大等问题。高速缓存机制性能影响较大等问题。高速缓存机制性能影响较大等问题。
【技术实现步骤摘要】
基于硬件安全标签的动态信息流追踪处理器结构
[0001]本申请涉及处理器芯片
,特别涉及一种基于硬件安全标签的动态信息流追踪处理器结构。
技术介绍
[0002]信息流,从广义上来说,指在空间和时间上向同一方向运动传播的一组信息,它们有相同的来源和目的,也即一个源单位向另一个目的单位传递的全部信息的集合。从狭义上来说,信息流指信息按照一定要求通过一定渠道所进行的传递运动,这一运动也即现代信息技术研究的主要对象。
[0003]信息流追踪技术,在计算机安全领域,特指使用某些方法对程序信息的流向进行追踪,用于辨别其中对系统的信息安全性(保密性、完整性、可用性)可能造成破坏的操作。一般来讲,信息流追踪可分为静态信息流追踪和动态信息流追踪两类技术方案:静态信息流追踪在处理器系统工作前后对信息流进行追踪,即系统工作和追踪分析分开进行;动态信息流追踪在处理器系统工作中对信息流进行追踪,即系统工作和追踪分析同时进行。与静态信息流追踪相比,动态信息流追踪具有问题定位精确、防范实时性好等优点,能有效地在系统工作过程中发现潜在的恶意攻击,并及时采取相应的措施阻止恶意攻击的进行。
[0004]动态信息流追踪,从大体上来讲,可以由软件来具体实现也可以由硬件来具体实现。关于软件实现的动态信息流追踪,主要是在原程序中增加一些追踪相关的指令段或程序段来完成运行时追踪,这些额外增加的程序内容对于原程序来说是冗余的,并不会改变原程序的运行步骤和运行结果。关于硬件实现的动态信息流追踪,主要是在系统硬件中增加一些追踪相关的逻辑电路来完成运行时追踪,这些额外增加的电路对于原电路来说是冗余的,并不会影响原电路的工作方式。与软件实现的动态信息流追踪相比,硬件实现的动态信息流追踪具有追踪速度快、处理权限高等优点,能在不增加冗余代码的情况下使用专用的逻辑电路实现追踪,且在发现恶意攻击后有较大的自由度采取防范措施。
[0005]在动态信息流追踪的硬件实现的范畴内,存在不同的硬件抽象层次,抽象层次由低到高依次包括:电路级、门网表级(简称门级)、寄存器传输级(RTL)、架构级、算法级、系统级。其中,抽象层次位于门级和架构级的硬件实现较为主流,当然也不乏在其它抽象层次进行动态信息流追踪的硬件实现。关于门级抽象的动态信息流追踪,主要是将逻辑门看作信息流的载体,关注各个逻辑门对信息流产生的影响,并设计硬件追踪逻辑门上的信息流。关于架构级抽象的动态信息流追踪,主要是将指令看作信息流的载体,关注各条指令对信息流产生的影响,并设计硬件追踪指令上的信息流。与门级抽象的硬件实现相比,架构级抽象的硬件实现能够用较少的硬件资源完成较完备的信息流追踪,在这一抽象层次实现动态信息流追踪可以去除很多相对冗余的硬件电路,用相对“核心”的硬件电路就能实现效果很好的动态信息流追踪,有较高的实现效率。
[0006]内存管理单元(Memory Management Unit,MMU),又名存储管理单元,是一种专门负责处理器的存储访问请求的硬件模块,是处理器内核连接高速缓存(cache)以及物理存
储器的中继控制单元,主要功能包括虚拟地址到物理地址的转换、存储保护、高速缓存控制等。
[0007]RISC
‑
V,是一个基于精简指令集原则的开源指令集架构,其设计适用于现代计算设备,考虑了小型、快速、低功耗的现实情况,具有完全开源、架构简单、易于操作系统移植、模块化设计、工具链完整等特色,并且其没有对特定的微架构做过度的设计,能够被用于实现各种定制化设计及创新性探索。RISC
‑
V指令集架构规定了三种权限模式,分别是机器模式(M
‑
mode)、监管者模式(S
‑
Mode)和用户模式(U
‑
mode),其中M
‑
mode的权限最高,S
‑
mode的权限次之,U
‑
mode的权限最低。
[0008]相关技术中,基于RISC
‑
V指令集架构的一种利用标签(Tag)进行细粒度存储隔离的处理器结构(TIMBER
‑
V)在存储器中为每32位存储数据或指令新增2位标签,同时结合MMU对存储器的访问进行权限控制。在其方案中,对原U
‑
mode和S
‑
mode分别划分了一般域和可信域,于是原来的U
‑
mode被划分为现在的“一般U
‑
mode”和“可信U
‑
mode”(TU
‑
mode),原来的S
‑
mode被划分为现在的“一般S
‑
mode”和“可信S
‑
mode”(TS
‑
mode)。新增的2位标签的作用和元数据(描述数据的数据)相当,用于表示对应存储数据或指令所在的安全域,具体的安全域划分如下(在此把指令本身也看成是数据故不作区分):“一般U
‑
mode”和“一般S
‑
mode”中的数据为N
‑
tag数据,具有最低的安全性;TU
‑
mode中的数据为为TU
‑
tag数据,具有中等的安全性;TS
‑
mode中的数据为TS
‑
tag数据,具有最高的安全性;TC
‑
tag数据则是一类比较特殊的数据,在程序中被用作N
‑
tag数据访问TU
‑
tag数据或TS
‑
tag数据的调用点或入口点,也具有和TS
‑
tag数据同样的最高的安全性。美中不足的是,TIMBER
‑
V技术方案仅在数据访存环节的存储器端考查Tag,对于程序执行过程中的非存储器访问指令和程序段的信息流缺乏跟踪和监测,可能存在安全漏洞。
[0009]在架构级的抽象层次上,硬件实现的动态信息流追踪大多采用动态污点传播分析技术,该技术的主要原理为:在程序运行过程中,通过实时监控程序的污点数据的传播来检测污点数据是否会对安全敏感操作产生影响,经常需要根据不同的攻防场景来自定义污点源、传播规则和监测点。动态污点传播分析是一种有效的能够判断程序信息流是否安全的技术方案,但是其关注点在于“某些污点数据”,是对已有定义的污点数据进行传播路径的追踪,这就可能在污点数据覆盖不全面的情况下出现漏报的情况。
[0010]缓存无效化技术和缓存锁定技术,在cache侧信道防护方面,是比较常见的两种技术。关于缓存无效化技术,主要是通过无效化特定的缓存行(cacheline)来达到侧信道防护的目的,此时相当于特定的缓存行被旁路,处理器直接对存储器进行访问。关于缓存锁定技术,主要是通过锁定特定的缓存行来达到侧信道防护的目的,此时相当于特定的缓存行中的内容被“固化”,只能产生恒定的cache命中(hit)和cache缺失(miss)情况。上述两种技术虽然可以实现有效的侧信道防护,本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于硬件安全标签的动态信息流追踪处理器结构,其特征在于,包括:处理器核;设置于所述处理器核内多个寄存器上的处理器标签位,用于表示所述多个寄存器的值所在的安全域;设置于所述处理器核内的处理器核标签逻辑电路,用于根据所述处理器核内的标签传递规则对动态信息流进行所述标签的传递和规则检查;存储模块;设置在所述存储模块内的存储标签位,用于进行不同安全域之间的存储隔离和缓存隔离。2.根据权利要求1所述的结构,其特征在于,还包括:内存管理单元,设置于所述处理器核与所述存储模块之间,用于进行同一安全域不同用户间的存储隔离。3.根据权利要求1所述的结构,其特征在于,所述处理器核标签逻辑电路包括:指令逻辑电路,用于监控所述处理器核内指令流的安全情况,以确保指令的安全执行;数据逻辑电路,用于完成各指令的标签传递计算和监控数据流的安全情况,以确保数据的安全存取。4.根据权利要求1所述的结构,其特征在于,其中,在每个64位宽的所述寄存器上设置有2位标签。5.根据权利要求1所述的结构,其特征在于,所述处理器核标签逻辑电路设置于所述处理器核内...
【专利技术属性】
技术研发人员:李翔宇,赵颖渊,
申请(专利权)人:清华大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。