本發明公開了一種面向遠程計算的控制流隱藏方法，該方法通過將原始程序分解為公開程序、可信程序和條件列表組集合文件，利用Intel第六代處理器的安全執行環境的SGX功能，將程序分枝語句的條件判定放在具有硬件保護功能的可信區域進行，從而實現了程序分枝語句條件的真正隱藏。

技術領域

本發明屬于計算機技術技術領域，涉及一種程序控制流隱藏的方法。

背景技術

目前，公有云服務得到了廣泛應用，用戶可將程序上傳至公有云上，由公有云完成計算。然而，由于公有云的不透明性，程序運行的安全難以得到保障。外包程序的算法保密性是云安全中一個重要問題。當用戶將程序上傳至公有云上，攻擊者可通過靜態分析和動態分析逆向分析出程序的源代碼，從而還原程序算法。如果用戶程序具有創新性，這一攻擊將侵犯用戶的程序版權。即使用戶程序不具有創新性，逆向分析程序將泄漏程序邏輯，黑客將通過泄漏的程序邏輯尋找程序弱點(vulnerability)，為進一步攻擊程序做好準備。因此需要一種程序運行時保護機制，以保證程序遠程計算時的程序邏輯保密性。程序控制流是程序邏輯的重要部分，保護程序控制流保密性將大大提高程序邏輯機密性。本發明針對程序控制流，提出一種保密方法。

目前主流的程序的算法保護技術稱為程序混淆技術。大多數程序混淆技術假設程序在一個完全不可信的環境下運行。在這種環境下對程序進行變換并隱藏程序是非常困難的。Barak[1]等人在論文中已證明不存在一種通用的混淆方法可以混淆所有的程序。因此目前研究者的方法主要集中于對程序的部分混淆，其中一部分人研究對程序的控制流進行混淆。很多方案都是將程序分枝語句的條件進行數學轉換，包括將條件的左右兩端進行加密(Sharif[2]等人)，對密文進行匹配，該方法僅適用于相等條件；將條件語句轉變成未知數學難題(Wang[3]等人)，等。無論如何變換，此類方法均將分枝語句條件展現在攻擊者面前，理論上攻擊者仍可通過靜態分析分析出程序邏輯。另一方面，攻擊者也可通過動態分析跟蹤條件與分支，進一步解析出程序邏輯。

與本發明類似的思路包括將程序分解成兩個或多個程序，通過多個程序協同工作完成程序計算。例如，Ge[4]的文章將程序控制跳轉分離到另一個進程中，程序指令的跳轉地址通過查詢另一進程的跳轉表獲取。該方法只能滿足靜態跳轉，無法滿足動態分支判定。同時，另一個進程的跳轉表跟主程序在同一個主機上，事實上也暴露給了黑客。Wang[5]的文章將公有云上的程序分支判定部分分離到另一個私有云上，程序跳轉通過跨云的遠程程序調用實現。由于跨云函數調用的存在，該方法具有較高的開銷。

[1]Barak Boaz,Goldreich Oded,Impagliazzo Russell,Rudich Steven,SahaiAmit,Vadhan Salil,et al.On the(im)possibility of obfuscating programs.J ACMMay 2012；59(2).Article 6.

[2]Sharif Monirul,Lanzi Andrea,Giffin Jonathon,Lee Wenke.Impedingmalware analysis using conditional code obfuscation.In:Proceedings of the15th annual network and Distributed System Security Symposium.NDSS；2008.

[3]Wang Zhi,Ming Jiang,Jia Chunfu,Gao Debin.Linear obfuscation tocombat symbolic execution.In:Proceedings of the16th European Symposium onResearch in Computer Security(ESORICS2011).Berlin Heidelberg:Springer；2011.p.210e26.