[发明专利]一种抵御投机执行侧信道攻击的处理器缓存技术方案

说明书

本公开一种抵御投机执行侧信道攻击的处理器缓存方法。所述缓存具有专用缓存和普通缓存，其中，所述专用缓存用于存储投机执行的数据，当指令进入提交阶段时，处理器微架构根据投机执行的结果，若投机执行成功，则将所述专用缓存中的对应数据同步至所述普通缓存；若投机执行失败，则清除所述专用缓存中的对应数据。

技术领域

本发明涉及缓存的设计方法，尤其是涉及与投机执行相关的抵御投机执行侧信道攻击的处理器缓存设计。

背景技术

在计算机系统中，CPU高速缓存(英语：CPU Cache，在本文中简称缓存)是用于减少处理器访问内存所需平均时间的部件。在金字塔式存储体系中它位于自顶向下的第二层，仅次于CPU寄存器。其容量远小于内存，但速度却可以接近处理器的频率。

CPU执行指令，最大的速度瓶颈不在计算，而在于内存访问。为了降低内存访问需要的时间，CPU通过缓存进行数据读取，也就是说，就是把曾经读过的内存，备份一份在速度更快的缓存里。当处理器发出内存访问请求时，会先查看缓存内是否有请求数据。如果存在，则不经访问内存直接返回该数据；如果不存在，则要先把内存中的相应数据载入缓存，再将其返回处理器。

现代CPU的缓存设计通常没有考虑安全隔离，而是不同权限的操作一起共用。之前Google Project Zero爆出的幽灵漏洞，一个核心点就是利用了缓存共用来泄露信息，实施攻击。

发明内容

根据以上说明可知，投机执行使用的缓存与正常执行使用的缓存如果不做区分，那么投机执行的结果就可以影响其他正常使用的缓存。通过对其他缓存的状态探测，就可以恢复回投机执行使用的数据。从而通过训练错误的投机执行，达到泄露数据的目的。

本公开鉴于上述问题而完成的，提供一种与投机执行相关的抵御投机执行侧信道攻击的处理器缓存设计方法以及处理器。

本公开涉及的抵御投机执行侧信道攻击的处理器缓存方法，其特征在于，所述缓存具有专用缓存和普通缓存，其中，所述专用缓存用于存储投机执行的数据，当指令进入提交阶段时，处理器微架构根据投机执行的结果，若投机执行成功，则将所述专用缓存中的对应数据同步至所述普通缓存；若投机执行失败，则清除所述专用缓存中的对应数据。

本公开的所述抵御投机执行侧信道攻击的处理器缓存方法，也可以是，所述专用缓存是在普通缓存的基础上通过分割或者增加隔离的缓存行作为用于投机执行的专用缓存；所述专用缓存通过在普通缓存的基础上增加一个标签，用以标识专用缓存。

也可以是，在指令进入处理器流水线后，处理器微架构将其拆分为多个微指令；在判断为对微指令投机执行时，将该微指令添加与专用缓存对应的标签，存储在专用缓存的相应位置。

也可以是，所述缓存可以是多层级的缓存，对于每一层级的缓存，都分为专用缓存与普通缓存。

也可以是，在提交阶段，所述多层级的缓存中获取匹配数据的过程遵从以下过程：数据加载请求首先在正常缓存中查找，若找到匹配数据则返回该数据，否则在专用缓存中查找；若未发现匹配数据，则从下级缓存中查找匹配数据，若在专用缓存中找到匹配数据，则判断该数据是否为投机执行成功后的数据，若判断为投机执行成功则返回该数据，则将该数据同步到对应的普通缓存中，并返回该数据。

也可以是，所述缓存通常以n路缓存行为一组，m组构成一层级缓存的形式组织，对于每一组缓存行，可以按照n-k：k的比例划分为专用缓存、普通缓存，其中n、m为2以上的自然数，k为1以上并小于n的自然数。

本公开涉及的一种处理器，其中，所述处理器具有专用缓存和普通缓存，其中，所述专用缓存用于存储投机执行的数据。

本公开涉及的所述的处理器，也可以是，所述专用缓存是在普通缓存的基础上通过分割或者增加隔离的缓存行作为用于投机执行的专用缓存；所述专用缓存通过在普通缓存的基础上增加一个标签，用以标识专用缓存。