本發明提出一種可抵抗基于flush操作的Spectre攻擊的方法及系統，屬于信息安全軟硬件協同設計技術領域，可以實時監測和記錄進程的flush操作，監測該進程是否進行惡意的flush行為，若是監測為惡意進程，便暫時禁用分支預測，阻止CPU進行推測執行，不僅可以抵制攻擊者發起的基于flush操作的Spectre攻擊，而且保證了系統的flush功能的正常使用。

技術領域

本發明屬于信息安全軟硬件協同設計技術領域，具體為基于ARM-FPGA嵌入式SoC設計flush API，提出一種可抵抗基于flush操作的Spectre攻擊的方法及系統，在保證了高安全性和低性能損失的情況下，可抵御基于flush操作的Spectre攻擊。

背景技術

近年來，隨著市場對高性能小型電子設備的需求越來越大，SoC(System on Chip，片上系統)商品的功能也變得越來越強大、復雜并且個性化。其中，把ARM和FPGA(Field－Programmable Gate Array，現場可編程門陣列)結合到一起的ARM-FPGA嵌入式SoC，為系統架構師和ARM開發工程師提供了一個彈性的平臺以滿足消費者的個性化需求。該類型SoC以Xilinx公司的Zynq系列為代表，已經被廣泛應用到無人機以及高性能嵌入式和物聯網設備中。但是，與Intel和AMD的芯片產品一樣，ARM-FPGA嵌入式SoC同樣面臨著多種多樣的安全威脅，以cache攻擊為代表的微體系架構攻擊就是其中不可忽略的一種類型。

自從Kocher和Kelsey等人提出cache行為可能構成安全威脅以來，研究人員提出了各種cache攻擊方法，例如著名的Flush+Reload和Flush+Flush。在提出“Flush+Reload”攻擊之后，flush操作已廣泛用于cache攻擊中，以降低噪聲并提高分辨率。近年來，諸如Flush+Reload，Flush+Flush和基于flush的Spectre(使用Flush+Reload進行Spectre攻擊)之類的緩存攻擊都使用flush操作，這種類型的cache攻擊可被稱為“基于flush的緩存攻擊”。特別是于2018年提出的Spectre攻擊(見P.Kocher,J.Horn,A.Fogh,D.Genkin,D.Gruss,W.Haas,M.Hamburg,M.Lipp,S.Mangard,T.Prescher,M.Schwarz,Y.Yarom.Spectre Attacks:Exploiting Speculative Execution.In 40th IEEESymposium on Security and Privacy,2019)，它把cache攻擊技術和分支預測技術結合在一起，大大擴展了cache攻擊的數據竊取能力。包括ARM平臺在內的大多數現代微處理器中都存在推測執行功能，因此Spectre攻擊已經成為了現代處理器和操作系統的重要安全威脅。大多數現代處理器都具有可以清除緩存層次結構的指令或寄存器，這是清除緩存行的最快，最有效的方法。例如，在x86和ARM v8-A架構處理器上，用戶空間中有直接的指令直接清除所有緩存層次結構中的緩存行。在ARM v7-A處理器上，CP15協處理器和PL310緩存控制器用于清除緩存。為了確保高速緩存一致性，在運行的系統中快速flush操作至關重要。例如，DMA數據傳輸需要快速flush操作以保持高速緩存的一致性。因此，如何確保快速flush操作可用的同時避免其引起的安全漏洞，已經成為一個工業界和學術界亟待解決的問題。

當前學術界和工業界已經提出了許多檢測和防御基于flush操作的Spectre攻擊的方法。這些方法主要分為三個大類，靜態代碼檢測/分析，限制推測執行和創新微體系結構設計。靜態代碼檢測/修復是一種有效的方法，但通過混淆和打包技術可以使惡意代碼有效躲避靜態代碼分析技術的探測。限制推測執行可以避免不安全的推測執行，但會導致嚴重的性能損失。第三類方法基于硬件的解決方案來創新微體系結構設計，以保護推測性執行。但這要求主要的處理器供應商將它們整合到商業硬件中，這得花費大量時間。考慮到這點，這類解決方案并不能得到有效推廣。

發明內容