技术标签: 安全 安全架构 基于二级片内硬件堆栈的后向CFI验证方法验证 硬件架构 perl
随着计算机技术的发展,针对计算机系统的恶意攻击越来越多,造成了巨大的经济损失。面向返回导向编程等恶意攻击方式通过修改堆栈中程序返回地址劫持控制流,达到恶意攻击的目的。后向控制流完整性即返回地址的完整性验证,是一种保护函数返回地址的有效手段。
本文提出了一种基于二级硬件堆栈的后向程序控制流完整性验证方法,并在国产玄铁E906 RISC-V处理器中进行了实现和分析。基于现有针对返回地址的攻击方式和后向CFI的实现方法,建立了恶意攻击威胁模型,确定了设计的安全边界;设计了二级硬件堆栈结构,可通过专用片上硬件缓冲区自动暂存新入栈返回地址,并将缓存区中旧返回地址送入传统内存堆栈;提出了二级硬件堆栈的两种具体实现方法,即延迟验证和批处理验证,分别实现对内存堆栈中返回地址的细粒度逐个验证,和基于消息验证码的多返回地址的批处理验证;在国产玄铁E906 RISC-V处理器中分别实现了两种验证方法,采用公认的基准测试程序分别对两种实现进行功能仿真和FPGA验证,并针对不同缓冲区尺寸进行了安全性和系统开销分析。
实验结果表明,本文提出的二级片内硬件堆栈能够实现对后向程序控制流的监控和验证;在返回地址缓冲区大小为2个机器字时,延迟验证和批处理验证带来的性能开销分别不高于2.94%和4.20%;返回地址缓冲区大小为4时,延迟验证和批处理验证带来的性能开销均不高于0.72%;通过Xilinx Vivado工具评估延迟验证和批处理验证实现在返回地址缓冲区大小为4时分别带来了4.7%和4.1%的硬件资源开销。
如今人们的日常生产生活已经离不开计算机,计算机被广泛应用到工业、国防、教育、经济、医疗等各个领域。然而,针对计算机系统的恶意攻击也数不胜数,攻击者利用计算机存在的漏洞实施攻击,进而控制计算机系统进行恶意操作,造成了巨大的损失。控制流劫持攻击就是一种常见的攻击方式,该攻击利用程序控制流存在的漏洞,篡改控制流数据或者函数指针、返回地址等,使程序转向预先设定的恶意代码进而完成各种任意恶意操作。其中面向返回编程攻击(Return-oriented programming,ROP)就是一种常见的攻击方式,它会改变函数的返回地址来劫持程序的控制流,实施恶意操作。为了保护返回地址,越来越多的防御措施被研究者提出,包括影子栈[1]、基于加密的控制流完整性(cryptog- raphic control flow integrity,CCFI)[2]、ARM指针认证[3]、链式堆栈等。CCFI和ARM指针认证等都是使用消息验证码(Message Authentication Code,MAC)来保护返回地址的完整性的,通过使用消息消息认证码机制使程序返回地址更加安全,提高了攻击者利用ROP等方式进行攻击的门槛。
然而,由于程序中返回地址调用和返回非常频繁,基于MAC的机制进行验证给计算机系统带来了巨大的性能开销,降低了计算机系统的实时性,人们迫切需要采取相应措施降低性能的开销。
RISC-V是一种开源的指令集架构[5],它的设计是基于精简指令计算机原则。RISC-V的设计是完全开放的,任何人都可以使用、研究、修改和分发它,RISC-V可以为不同的场景提供不同的配置,可以被广泛应用于各个领域。同时由于RISC-V架构具有更理想的功耗、性能和面积,全球各大厂商以及研究机构都开始研究和设计基于RISC-V架构的产品。因此,在未来基于RISC-V的计算机系统将会越来越流行。
本文提出了二级片内硬件堆栈的结构来加速和减少消息验证码的计算,从而提高系统性能。基于玄铁E906这款开源32位RISC-V微处理器,分别采用延迟验证和批处理验证两种实现方法部署二级硬件堆栈,在使用消息验证码方案保护返回地址时,显著降低了系统的性能开销,同时安全性也得到了一定的提高。
现有的计算机漏洞中,控制流劫持攻击是所有攻击中危害最严重的攻击之一。控制流完整性(Control-flow Integrity,CFI)能够有效的防护一些控制流劫持攻击,其中后向CFI主要是指子函数返回时保护程序返回地址的完整性,后向CFI可以有效的防护像ROP等多种攻击。研究人员提出了一些保护程序返回地址的策略,但都有较大的性能开销,研究人员也正在寻找能够在较低性能开销情况下保护返回地址的策略。
2005年,Abadi等人首次提出控制流完整性的概念[5],其核心思想是限制程序运行中的控制转移,使程序始终处于原有的控制流图所限定的范围内。其添加了运行时检查,在生成程序的控制流图以后,通过分析程序控制流图获得转移指令的白名单,在程序运行间接转移指令时检测转移的目标地址是否在白名单中,部署CFI能够有效防御控制流劫持攻击之类的攻击。但是CFI的不同实现安全性也不同,细粒度CFI的性能开销较大,粗粒度的CFI的执行限度较弱,安全性不够,在应用系统上,CFI还没有被广泛应用。
影子栈是保护程序返回地址的一种经典手段[1]。在函数调用时它将返回地址备份到专用且受保护的地址空间中,在子函数返回时它将堆栈中的返回地址与备份的返回地址进行比较,检查返回地址是否被篡改。SafeStack也是一种类似的方式[6],它将所有返回地址存放到一个独立的堆栈中,而不是备份返回地址。但是影子栈容易受到内存泄漏的攻击,并且严重依赖于内存的安全性。SafeStack实现需要进行内存隔离等消耗更多的内存,实现也比较复杂,并且也依赖于内存的安全性。
为了改进CFI,一些研究者还引入了加密的方法。2015年Ali Jose Mashtizadeh等人提出了基于MAC机制的加密控制流完整性(CCFI)[2],它使用MAC来保护控制流元素,如函数指针、返回地址和虚表指针,该机制计算返回地址、函数指针等的MAC并在返回之前验证他们。该机制不依赖于内存的安全性,因为攻击者在没有密钥的情况下不能生成正确的MAC,能够有效保护返回地址。在ARM发布的ARMv8.3-A架构中引入了指针身份认证[3],该机制在指针写入内存之前生成该指针的指针身份认证码,并在使用指针之前进行验证,想要修改受保护的指针攻击者必须能够找到正确的指针身份认证码才能控制返回地址,这使得攻击者很难在不被发现的情况下修改内存中受保护的指针。但是这种基于消息验证码的机制依赖于密钥的安全性,并且由于子程序调用频繁,MAC计算会带来巨大的性能开销。
通过消息验证码在一定程度上能够保护返回地址,但是程序调用返回地址频繁,带来了巨大的性能开销,在一些对于实时性等要求比较高的应用中难以部署。研究者也提出过一些降低系统性能开销的方法。
在Hans Liljestrand提出的验证调用堆栈中[7],使用链式消息验证码,将消息验证码保存在返回地址的高位,并且使用纯软件实现方案,不需要修改硬件结构。但是该设计无法在32位或更低位数的处理器中部署,采用软件实现指令数增加,也带来一定的性能开销。
2020年陈立伟等人提出了链式认证栈[4],这是一种改进的基于消息认证码的返回地址验证方案。链式认证栈在开源RISC-V五级流水线处理器Rocket中实现时,将消息验证码的计算同处理器的流水线并行处理,所以只要在下一次计算消息验证码之前,当前的消息验证码计算完成,流水线就不会停止。除此之外,在设计中还添加一个缓存保存最近计算的消息验证码,在计算时如果能在缓存中找到相应的结果就不需要在计算,这也在一定程度上提高了系统的性能。但在此方案中仍然需要修改编译器添加指令,在子函数调用频繁的程序中仍然会使流水线暂停较长的时间,仍然有不小的系统开销并且实现复杂。
2018年张军等人提出了RAGuard[8],这也是一种基于MAC机制保护返回地址的策略。在该策略中使用了物理不可克隆函数和真随机数发生器作为密钥管理模块,提高了密钥的安全性。并且在该策略中使用硬件检测叶函数,使用专门的寄存器保存叶函数的返回地址而不需要加载和存储叶函数的MAC,提高了基于MAC机制保存返回地址的性能,但是仍然也有一定程度的性能开销并且增加了硬件面积。
在李锦峰等人提出的错位堆栈中[9],该机制是一种专用的在基于MAC验证返回地址的系统中降低系统性能开销的方法。该方法在保存和调用返回地址指令之前添加一条指令用于计算消息认证码,在返回地址保存到存储器之前添加一个硬件单元。硬件单元保存最近的返回地址,只有当返回地址被推入存储器时才进行验证,由于大多数返回地址被存储后立刻调用,该机制减少了MAC验证的次数,大大提高了系统性能。但是该设计还没有支持Setjmp/Longjmpi,设计需要同时修改软硬件在具体的系统中实现较为复杂。
可见,基于MAC机制在一定程度上能够保护返回地址但都带来一定的性能开销,需要一定方法在保证返回地址安全的前提下降低系统的性能开销,但现有的降低系统性能方法的研究相对较少并且现有的方法实现比较复杂,我们需要一种实现相对简单并且能够显著降低性能开销的方案。我们设计的二级硬件堆栈能够显著降低基于MAC机制保护返回地址的系统的性能开销,并且在一定程度上也增强了对返回地址的保护。
基于二级片内硬件堆栈的后向 CFI 研究,首先分析基于 MAC 机制对返回地址进行防护的一些原理和方法,然后设计指令检测单元以便获取返回地址,接着设计返回地址缓冲区以存放最近的函数返回地址,设计 MAC 生成单元并将各个模块集成,最后在 RISC-V 中运行相应测试程序以测试性能改进。研究内容主要包括:
(1)研究基于 MAC 机制保护函数返回地址的方法。在将返回地址保存到堆栈前计算返回地址的 MAC 码并保存,当子函数返回时,再次计算返回地址的 MAC 码并与之前的 MAC 对比,来验证返回地址有没有被修改。
(2)指令检测模块的设计与硬件实现。在 RISC-V 中有相应的将返回地址存储到堆栈和从堆栈中调用返回地址的指令,需要设计相应的硬件以便获取当前的返回地址并把之前的返回地址推入堆栈。
(3)返回地址缓冲区的设计。返回地址缓冲区存放最近的返回地址,主要设计包括缓冲区的大小、对缓冲器的控制以及对缓冲区的读写。
(4)二级堆栈的硬件开销与性能评估。将设计的二级堆栈集成到 RISC-V 中,运行相关测试程序对比处理器性能的改变。在 FPGA 平台上实现,评估设计所消耗的硬件资源。
文章浏览阅读1.6k次。安装配置gi、安装数据库软件、dbca建库见下:http://blog.csdn.net/kadwf123/article/details/784299611、检查集群节点及状态:[root@rac2 ~]# olsnodes -srac1 Activerac2 Activerac3 Activerac4 Active[root@rac2 ~]_12c查看crs状态
文章浏览阅读1.3w次,点赞45次,收藏99次。我个人用的是anaconda3的一个python集成环境,自带jupyter notebook,但在我打开jupyter notebook界面后,却找不到对应的虚拟环境,原来是jupyter notebook只是通用于下载anaconda时自带的环境,其他环境要想使用必须手动下载一些库:1.首先进入到自己创建的虚拟环境(pytorch是虚拟环境的名字)activate pytorch2.在该环境下下载这个库conda install ipykernelconda install nb__jupyter没有pytorch环境
文章浏览阅读5.2k次,点赞19次,收藏28次。选择scoop纯属意外,也是无奈,因为电脑用户被锁了管理员权限,所有exe安装程序都无法安装,只可以用绿色软件,最后被我发现scoop,省去了到处下载XXX绿色版的烦恼,当然scoop里需要管理员权限的软件也跟我无缘了(譬如everything)。推荐添加dorado这个bucket镜像,里面很多中文软件,但是部分国外的软件下载地址在github,可能无法下载。以上两个是官方bucket的国内镜像,所有软件建议优先从这里下载。上面可以看到很多bucket以及软件数。如果官网登陆不了可以试一下以下方式。_scoop-cn
文章浏览阅读4.5k次,点赞2次,收藏3次。首先要有一个color-picker组件 <el-color-picker v-model="headcolor"></el-color-picker>在data里面data() { return {headcolor: ’ #278add ’ //这里可以选择一个默认的颜色} }然后在你想要改变颜色的地方用v-bind绑定就好了,例如:这里的:sty..._vue el-color-picker
文章浏览阅读640次。基于芯片日益增长的问题,所以内核开发者们引入了新的方法,就是在内核中只保留函数,而数据则不包含,由用户(应用程序员)自己把数据按照规定的格式编写,并放在约定的地方,为了不占用过多的内存,还要求数据以根精简的方式编写。boot启动时,传参给内核,告诉内核设备树文件和kernel的位置,内核启动时根据地址去找到设备树文件,再利用专用的编译器去反编译dtb文件,将dtb还原成数据结构,以供驱动的函数去调用。firmware是三星的一个固件的设备信息,因为找不到固件,所以内核启动不成功。_exynos 4412 刷机
文章浏览阅读2w次,点赞24次,收藏42次。Linux系统配置jdkLinux学习教程,Linux入门教程(超详细)_linux配置jdk
文章浏览阅读3.3k次,点赞5次,收藏19次。xlabel('\delta');ylabel('AUC');具体符号的对照表参照下图:_matlab微米怎么输入
文章浏览阅读119次。顺序读写指的是按照文件中数据的顺序进行读取或写入。对于文本文件,可以使用fgets、fputs、fscanf、fprintf等函数进行顺序读写。在C语言中,对文件的操作通常涉及文件的打开、读写以及关闭。文件的打开使用fopen函数,而关闭则使用fclose函数。在C语言中,可以使用fread和fwrite函数进行二进制读写。 Biaoge 于2024-03-09 23:51发布 阅读量:7 ️文章类型:【 C语言程序设计 】在C语言中,用于打开文件的函数是____,用于关闭文件的函数是____。
文章浏览阅读3.4k次,点赞2次,收藏13次。跟随鼠标移动的粒子以grid(SOP)为partical(SOP)的资源模板,调整后连接【Geo组合+point spirit(MAT)】,在连接【feedback组合】适当调整。影响粒子动态的节点【metaball(SOP)+force(SOP)】添加mouse in(CHOP)鼠标位置到metaball的坐标,实现鼠标影响。..._touchdesigner怎么让一个模型跟着鼠标移动
文章浏览阅读178次。项目运行环境配置:Jdk1.8 + Tomcat7.0 + Mysql + HBuilderX(Webstorm也行)+ Eclispe(IntelliJ IDEA,Eclispe,MyEclispe,Sts都支持)。项目技术:Springboot + mybatis + Maven +mysql5.7或8.0+html+css+js等等组成,B/S模式 + Maven管理等等。环境需要1.运行环境:最好是java jdk 1.8,我们在这个平台上运行的。其他版本理论上也可以。_基于java技术的停车场管理系统实现与设计
文章浏览阅读3.5k次。前言对于MediaPlayer播放器的源码分析内容相对来说比较多,会从Java-&amp;gt;Jni-&amp;gt;C/C++慢慢分析,后面会慢慢更新。另外,博客只作为自己学习记录的一种方式,对于其他的不过多的评论。MediaPlayerDemopublic class MainActivity extends AppCompatActivity implements SurfaceHolder.Cal..._android多媒体播放源码分析 时序图
文章浏览阅读2.4k次,点赞41次,收藏13次。java 数据结构与算法 ——快速排序法_快速排序法