技术标签: 安全 安全架构 基于二级片内硬件堆栈的后向CFI验证方法验证 硬件架构 perl
随着计算机技术的发展,针对计算机系统的恶意攻击越来越多,造成了巨大的经济损失。面向返回导向编程等恶意攻击方式通过修改堆栈中程序返回地址劫持控制流,达到恶意攻击的目的。后向控制流完整性即返回地址的完整性验证,是一种保护函数返回地址的有效手段。
本文提出了一种基于二级硬件堆栈的后向程序控制流完整性验证方法,并在国产玄铁E906 RISC-V处理器中进行了实现和分析。基于现有针对返回地址的攻击方式和后向CFI的实现方法,建立了恶意攻击威胁模型,确定了设计的安全边界;设计了二级硬件堆栈结构,可通过专用片上硬件缓冲区自动暂存新入栈返回地址,并将缓存区中旧返回地址送入传统内存堆栈;提出了二级硬件堆栈的两种具体实现方法,即延迟验证和批处理验证,分别实现对内存堆栈中返回地址的细粒度逐个验证,和基于消息验证码的多返回地址的批处理验证;在国产玄铁E906 RISC-V处理器中分别实现了两种验证方法,采用公认的基准测试程序分别对两种实现进行功能仿真和FPGA验证,并针对不同缓冲区尺寸进行了安全性和系统开销分析。
实验结果表明,本文提出的二级片内硬件堆栈能够实现对后向程序控制流的监控和验证;在返回地址缓冲区大小为2个机器字时,延迟验证和批处理验证带来的性能开销分别不高于2.94%和4.20%;返回地址缓冲区大小为4时,延迟验证和批处理验证带来的性能开销均不高于0.72%;通过Xilinx Vivado工具评估延迟验证和批处理验证实现在返回地址缓冲区大小为4时分别带来了4.7%和4.1%的硬件资源开销。
如今人们的日常生产生活已经离不开计算机,计算机被广泛应用到工业、国防、教育、经济、医疗等各个领域。然而,针对计算机系统的恶意攻击也数不胜数,攻击者利用计算机存在的漏洞实施攻击,进而控制计算机系统进行恶意操作,造成了巨大的损失。控制流劫持攻击就是一种常见的攻击方式,该攻击利用程序控制流存在的漏洞,篡改控制流数据或者函数指针、返回地址等,使程序转向预先设定的恶意代码进而完成各种任意恶意操作。其中面向返回编程攻击(Return-oriented programming,ROP)就是一种常见的攻击方式,它会改变函数的返回地址来劫持程序的控制流,实施恶意操作。为了保护返回地址,越来越多的防御措施被研究者提出,包括影子栈[1]、基于加密的控制流完整性(cryptog- raphic control flow integrity,CCFI)[2]、ARM指针认证[3]、链式堆栈等。CCFI和ARM指针认证等都是使用消息验证码(Message Authentication Code,MAC)来保护返回地址的完整性的,通过使用消息消息认证码机制使程序返回地址更加安全,提高了攻击者利用ROP等方式进行攻击的门槛。
然而,由于程序中返回地址调用和返回非常频繁,基于MAC的机制进行验证给计算机系统带来了巨大的性能开销,降低了计算机系统的实时性,人们迫切需要采取相应措施降低性能的开销。
RISC-V是一种开源的指令集架构[5],它的设计是基于精简指令计算机原则。RISC-V的设计是完全开放的,任何人都可以使用、研究、修改和分发它,RISC-V可以为不同的场景提供不同的配置,可以被广泛应用于各个领域。同时由于RISC-V架构具有更理想的功耗、性能和面积,全球各大厂商以及研究机构都开始研究和设计基于RISC-V架构的产品。因此,在未来基于RISC-V的计算机系统将会越来越流行。
本文提出了二级片内硬件堆栈的结构来加速和减少消息验证码的计算,从而提高系统性能。基于玄铁E906这款开源32位RISC-V微处理器,分别采用延迟验证和批处理验证两种实现方法部署二级硬件堆栈,在使用消息验证码方案保护返回地址时,显著降低了系统的性能开销,同时安全性也得到了一定的提高。
现有的计算机漏洞中,控制流劫持攻击是所有攻击中危害最严重的攻击之一。控制流完整性(Control-flow Integrity,CFI)能够有效的防护一些控制流劫持攻击,其中后向CFI主要是指子函数返回时保护程序返回地址的完整性,后向CFI可以有效的防护像ROP等多种攻击。研究人员提出了一些保护程序返回地址的策略,但都有较大的性能开销,研究人员也正在寻找能够在较低性能开销情况下保护返回地址的策略。
2005年,Abadi等人首次提出控制流完整性的概念[5],其核心思想是限制程序运行中的控制转移,使程序始终处于原有的控制流图所限定的范围内。其添加了运行时检查,在生成程序的控制流图以后,通过分析程序控制流图获得转移指令的白名单,在程序运行间接转移指令时检测转移的目标地址是否在白名单中,部署CFI能够有效防御控制流劫持攻击之类的攻击。但是CFI的不同实现安全性也不同,细粒度CFI的性能开销较大,粗粒度的CFI的执行限度较弱,安全性不够,在应用系统上,CFI还没有被广泛应用。
影子栈是保护程序返回地址的一种经典手段[1]。在函数调用时它将返回地址备份到专用且受保护的地址空间中,在子函数返回时它将堆栈中的返回地址与备份的返回地址进行比较,检查返回地址是否被篡改。SafeStack也是一种类似的方式[6],它将所有返回地址存放到一个独立的堆栈中,而不是备份返回地址。但是影子栈容易受到内存泄漏的攻击,并且严重依赖于内存的安全性。SafeStack实现需要进行内存隔离等消耗更多的内存,实现也比较复杂,并且也依赖于内存的安全性。
为了改进CFI,一些研究者还引入了加密的方法。2015年Ali Jose Mashtizadeh等人提出了基于MAC机制的加密控制流完整性(CCFI)[2],它使用MAC来保护控制流元素,如函数指针、返回地址和虚表指针,该机制计算返回地址、函数指针等的MAC并在返回之前验证他们。该机制不依赖于内存的安全性,因为攻击者在没有密钥的情况下不能生成正确的MAC,能够有效保护返回地址。在ARM发布的ARMv8.3-A架构中引入了指针身份认证[3],该机制在指针写入内存之前生成该指针的指针身份认证码,并在使用指针之前进行验证,想要修改受保护的指针攻击者必须能够找到正确的指针身份认证码才能控制返回地址,这使得攻击者很难在不被发现的情况下修改内存中受保护的指针。但是这种基于消息验证码的机制依赖于密钥的安全性,并且由于子程序调用频繁,MAC计算会带来巨大的性能开销。
通过消息验证码在一定程度上能够保护返回地址,但是程序调用返回地址频繁,带来了巨大的性能开销,在一些对于实时性等要求比较高的应用中难以部署。研究者也提出过一些降低系统性能开销的方法。
在Hans Liljestrand提出的验证调用堆栈中[7],使用链式消息验证码,将消息验证码保存在返回地址的高位,并且使用纯软件实现方案,不需要修改硬件结构。但是该设计无法在32位或更低位数的处理器中部署,采用软件实现指令数增加,也带来一定的性能开销。
2020年陈立伟等人提出了链式认证栈[4],这是一种改进的基于消息认证码的返回地址验证方案。链式认证栈在开源RISC-V五级流水线处理器Rocket中实现时,将消息验证码的计算同处理器的流水线并行处理,所以只要在下一次计算消息验证码之前,当前的消息验证码计算完成,流水线就不会停止。除此之外,在设计中还添加一个缓存保存最近计算的消息验证码,在计算时如果能在缓存中找到相应的结果就不需要在计算,这也在一定程度上提高了系统的性能。但在此方案中仍然需要修改编译器添加指令,在子函数调用频繁的程序中仍然会使流水线暂停较长的时间,仍然有不小的系统开销并且实现复杂。
2018年张军等人提出了RAGuard[8],这也是一种基于MAC机制保护返回地址的策略。在该策略中使用了物理不可克隆函数和真随机数发生器作为密钥管理模块,提高了密钥的安全性。并且在该策略中使用硬件检测叶函数,使用专门的寄存器保存叶函数的返回地址而不需要加载和存储叶函数的MAC,提高了基于MAC机制保存返回地址的性能,但是仍然也有一定程度的性能开销并且增加了硬件面积。
在李锦峰等人提出的错位堆栈中[9],该机制是一种专用的在基于MAC验证返回地址的系统中降低系统性能开销的方法。该方法在保存和调用返回地址指令之前添加一条指令用于计算消息认证码,在返回地址保存到存储器之前添加一个硬件单元。硬件单元保存最近的返回地址,只有当返回地址被推入存储器时才进行验证,由于大多数返回地址被存储后立刻调用,该机制减少了MAC验证的次数,大大提高了系统性能。但是该设计还没有支持Setjmp/Longjmpi,设计需要同时修改软硬件在具体的系统中实现较为复杂。
可见,基于MAC机制在一定程度上能够保护返回地址但都带来一定的性能开销,需要一定方法在保证返回地址安全的前提下降低系统的性能开销,但现有的降低系统性能方法的研究相对较少并且现有的方法实现比较复杂,我们需要一种实现相对简单并且能够显著降低性能开销的方案。我们设计的二级硬件堆栈能够显著降低基于MAC机制保护返回地址的系统的性能开销,并且在一定程度上也增强了对返回地址的保护。
基于二级片内硬件堆栈的后向 CFI 研究,首先分析基于 MAC 机制对返回地址进行防护的一些原理和方法,然后设计指令检测单元以便获取返回地址,接着设计返回地址缓冲区以存放最近的函数返回地址,设计 MAC 生成单元并将各个模块集成,最后在 RISC-V 中运行相应测试程序以测试性能改进。研究内容主要包括:
(1)研究基于 MAC 机制保护函数返回地址的方法。在将返回地址保存到堆栈前计算返回地址的 MAC 码并保存,当子函数返回时,再次计算返回地址的 MAC 码并与之前的 MAC 对比,来验证返回地址有没有被修改。
(2)指令检测模块的设计与硬件实现。在 RISC-V 中有相应的将返回地址存储到堆栈和从堆栈中调用返回地址的指令,需要设计相应的硬件以便获取当前的返回地址并把之前的返回地址推入堆栈。
(3)返回地址缓冲区的设计。返回地址缓冲区存放最近的返回地址,主要设计包括缓冲区的大小、对缓冲器的控制以及对缓冲区的读写。
(4)二级堆栈的硬件开销与性能评估。将设计的二级堆栈集成到 RISC-V 中,运行相关测试程序对比处理器性能的改变。在 FPGA 平台上实现,评估设计所消耗的硬件资源。
文章浏览阅读1k次。通过使用ajax方法跨域请求是浏览器所不允许的,浏览器出于安全考虑是禁止的。警告信息如下:不过jQuery对跨域问题也有解决方案,使用jsonp的方式解决,方法如下:$.ajax({ async:false, url: 'http://www.mysite.com/demo.do', // 跨域URL ty..._nginx不停的xhr
文章浏览阅读2k次。关于在 Oracle 中配置 extproc 以访问 ST_Geometry,也就是我们所说的 使用空间SQL 的方法,官方文档链接如下。http://desktop.arcgis.com/zh-cn/arcmap/latest/manage-data/gdbs-in-oracle/configure-oracle-extproc.htm其实简单总结一下,主要就分为以下几个步骤。..._extproc
文章浏览阅读1.5w次。linux下没有上面的两个函数,需要使用函数 mbstowcs和wcstombsmbstowcs将多字节编码转换为宽字节编码wcstombs将宽字节编码转换为多字节编码这两个函数,转换过程中受到系统编码类型的影响,需要通过设置来设定转换前和转换后的编码类型。通过函数setlocale进行系统编码的设置。linux下输入命名locale -a查看系统支持的编码_linux c++ gbk->utf8
文章浏览阅读750次。今天准备从生产库向测试库进行数据导入,结果在imp导入的时候遇到“ IMP-00009:导出文件异常结束” 错误,google一下,发现可能有如下原因导致imp的数据太大,没有写buffer和commit两个数据库字符集不同从低版本exp的dmp文件,向高版本imp导出的dmp文件出错传输dmp文件时,文件损坏解决办法:imp时指定..._imp-00009导出文件异常结束
文章浏览阅读143次。当下是一个大数据的时代,各个行业都离不开数据的支持。因此,网络爬虫就应运而生。网络爬虫当下最为火热的是Python,Python开发爬虫相对简单,而且功能库相当完善,力压众多开发语言。本次教程我们爬取前程无忧的招聘信息来分析Python程序员需要掌握那些编程技术。首先在谷歌浏览器打开前程无忧的首页,按F12打开浏览器的开发者工具。浏览器开发者工具是用于捕捉网站的请求信息,通过分析请求信息可以了解请..._初级python程序员能力要求
文章浏览阅读7.6k次,点赞2次,收藏6次。@Service标注的bean,类名:ABDemoService查看源码后发现,原来是经过一个特殊处理:当类的名字是以两个或以上的大写字母开头的话,bean的名字会与类名保持一致public class AnnotationBeanNameGenerator implements BeanNameGenerator { private static final String C..._@service beanname
文章浏览阅读6.9w次,点赞73次,收藏463次。1.前序创建#include<stdio.h>#include<string.h>#include<stdlib.h>#include<malloc.h>#include<iostream>#include<stack>#include<queue>using namespace std;typed_二叉树的建立
文章浏览阅读7.1k次。在Asp.net上使用Excel导出功能,如果文件名出现中文,便会以乱码视之。 解决方法: fileName = HttpUtility.UrlEncode(fileName, System.Text.Encoding.UTF8);_asp.net utf8 导出中文字符乱码
文章浏览阅读2.1k次,点赞4次,收藏23次。第一次实验 词法分析实验报告设计思想词法分析的主要任务是根据文法的词汇表以及对应约定的编码进行一定的识别,找出文件中所有的合法的单词,并给出一定的信息作为最后的结果,用于后续语法分析程序的使用;本实验针对 PL/0 语言 的文法、词汇表编写一个词法分析程序,对于每个单词根据词汇表输出: (单词种类, 单词的值) 二元对。词汇表:种别编码单词符号助记符0beginb..._对pl/0作以下修改扩充。增加单词
文章浏览阅读773次。我在使用adb.exe时遇到了麻烦.我想使用与bash相同的adb.exe shell提示符,所以我决定更改默认的bash二进制文件(当然二进制文件是交叉编译的,一切都很完美)更改bash二进制文件遵循以下顺序> adb remount> adb push bash / system / bin /> adb shell> cd / system / bin> chm..._adb shell mv 权限
文章浏览阅读6.8k次,点赞12次,收藏125次。1. 单目相机标定引言相机标定已经研究多年,标定的算法可以分为基于摄影测量的标定和自标定。其中,应用最为广泛的还是张正友标定法。这是一种简单灵活、高鲁棒性、低成本的相机标定算法。仅需要一台相机和一块平面标定板构建相机标定系统,在标定过程中,相机拍摄多个角度下(至少两个角度,推荐10~20个角度)的标定板图像(相机和标定板都可以移动),即可对相机的内外参数进行标定。下面介绍张氏标定法(以下也这么称呼)的原理。原理相机模型和单应矩阵相机标定,就是对相机的内外参数进行计算的过程,从而得到物体到图像的投影_相机-投影仪标定
文章浏览阅读2.2k次。文章目录Wayland 架构Wayland 渲染Wayland的 硬件支持简 述: 翻译一篇关于和 wayland 有关的技术文章, 其英文标题为Wayland Architecture .Wayland 架构若是想要更好的理解 Wayland 架构及其与 X (X11 or X Window System) 结构;一种很好的方法是将事件从输入设备就开始跟踪, 查看期间所有的屏幕上出现的变化。这就是我们现在对 X 的理解。 内核是从一个输入设备中获取一个事件,并通过 evdev 输入_wayland