本發(fā)明提出一種處理器芯片假安全依賴沖突的識別方法及系統(tǒng)，屬于處理器芯片微體系結構設計領域，基于安全依賴，在程序執(zhí)行過程中動態(tài)地識別出推測執(zhí)行的分支指令，并分析存在泄露敏感信息風險的分支指令，并動態(tài)地建立安全依賴關系，防止攻擊者通過后續(xù)的資源競爭獲得敏感信息。本發(fā)明在微體系結構層級實現(xiàn)，對上層應用軟件透明，無需對現(xiàn)有的軟件進行重新編譯，且用戶程序無法控制該安全依賴建立、消除的邏輯。本發(fā)明可以在保證推測敏感分支安全性的同時，減少由于流水線堵塞產生的性能損失。

技術領域

本發(fā)明屬于處理器芯片微體系結構設計領域，涉及一種基于推測執(zhí)行分支相關指令序列的處理器芯片假安全依賴沖突的識別方法及系統(tǒng)。

背景技術

分支預測是高性能處理器中的核心性能優(yōu)化技術之一，應用于幾乎所有的商用處理器中。但“幽靈”漏洞的披露揭示了分支預測技術存在嚴重的安全隱患。利用推測執(zhí)行竊取敏感信息的相關變種層出不窮。攻擊者利用程序在錯誤推測執(zhí)行過程中訪問敏感信息，并搶占微體系結構資源或改變部分結構的狀態(tài)。而這些資源的搶占與狀態(tài)改變能被攻擊者用來分析出敏感信息。目前已有方法防止錯誤推測過程中將敏感信息相關的狀態(tài)改變，然而對于敏感信息相關的資源搶占卻還未解決。

攻擊者通常利用推測執(zhí)行中的資源搶占來分析敏感信息相關的分支信息。具體地，攻擊者首先誘導受害者程序錯誤推測執(zhí)行特定的代碼片段；緊接著，由敏感信息決定跳轉方向的分支在解析后，推測執(zhí)行后續(xù)的代碼，不同的跳轉方向將占用不同的微體系結構資源。與此同時，攻擊者利用處理器提供的超線程機制，在受害者所在物理核上運行另外一個線程，實時地監(jiān)聽敏感分支相關路徑上訪問的資源。當受害者程序占用相關資源時，攻擊者監(jiān)聽線程的執(zhí)行時間相比受害者程序未占用資源時較長。攻擊者利用此時間差分析受害者程序是否執(zhí)行具體占用資源指令所在的分支路徑，繼而知悉受害者程序的跳轉方向，最終得到敏感信息。

為了防止敏感信息相關的分支指令泄露信息，可以通過軟件的方法對敏感的分支指令加以標記，避免此類分支的推測執(zhí)行。但軟件的方法存在兩個缺陷：一方面，手動或通過編譯器自動的方法找尋敏感分支也無法保證完全覆蓋，仍面臨安全問題；另一方面，重新編譯已有的軟件并不現(xiàn)實。通過硬件的方法，完全停止分支后指令的執(zhí)行必然會導致性能的嚴重下降。基于安全依賴，通過動態(tài)地識別可疑的分支指令，再對這些分支后續(xù)的指令選擇性地執(zhí)行。在保證安全性的同時，保障性能。

發(fā)明內容

錯誤推測的窗口內，攻擊者通過監(jiān)聽敏感分支相關后續(xù)的指令是否占用了特定的功能執(zhí)行單元，分析時間差進而推出敏感信息的值。為了防止此類攻擊的產生，本發(fā)明基于安全依賴的定義，在程序執(zhí)行過程中動態(tài)地識別出推測執(zhí)行的分支指令，并分析存在泄露敏感信息風險的分支指令，并動態(tài)地建立安全依賴關系，防止攻擊者通過后續(xù)的資源競爭獲得敏感信息。本發(fā)明在微體系結構層級實現(xiàn)，對上層應用軟件透明，無需對現(xiàn)有的軟件進行重新編譯，且用戶程序無法控制該安全依賴建立、消除的邏輯。該方法可以在保證推測敏感分支安全性的同時，減少由于流水線堵塞產生的性能損失。

為實現(xiàn)上述目的，本發(fā)明采用以下技術方案：

一種處理器芯片假安全依賴沖突的識別方法，包括以下步驟：

在處理器流水線中，判斷當前的分支指令是否帶有標識推測執(zhí)行的安全依賴標記，若帶有，則認為該分支處于推測執(zhí)行狀態(tài)；

對于存在安全依賴標記的無條件分支，判定為假安全依賴；

對于存在假安全依賴的分支指令，使其按照正常分支指令執(zhí)行，在其源操作被解析后，如果該指令被錯誤推測，則立即恢復現(xiàn)場，重定向后繼續(xù)執(zhí)行后續(xù)指令。

進一步地，根據(jù)分支指令的源操作數(shù)類型，判斷該分支是否存在隱含敏感信息的可能，如果不存在，則判定為存在安全依賴標記的無條件分支。

進一步地，對于存在安全依賴標記的條件分支，直接判定全部為真安全依賴，或者進一步判斷安全依賴的真假。