[发明专利]一种基于Intel CET机制的保护通用内存完整性的方法

说明书

本发明实施例提供了一种基于Intel CET机制的保护通用内存完整性的方法，该方法基于Intel CET机制来实现对通用内存完整性保护，为了与Intel CET机制兼容，且不与Intel CET机制自身维护的影子栈页相冲突，本发明设置了专用影子栈页，其独立于Intel CET机制自身维护的影子栈页，并在对写入该专用影子栈页的需要降低写入开销的待写入内容进行与之适配的降开销处理，从而降低使用WRSS指令的次数，以在使用更低开销的情况下保护敏感数据和/或敏感代码的完整性，减少处理器在保护通用内存完整性方面的性能开销，进而可以提升处理器对其他任务的处理效率。

技术领域

本发明涉及计算机信息安全领域，具体来说涉及软件安全领域，更具 体地说，涉及一种基于Intel CET机制的保护通用内存完整性的方法。

背景技术

随着信息化的快速发展和计算机的大规模普及，计算机在军事、教育、 金融、科研等社会的各个方面都有广泛的应用。与此同时，计算机的安全 问题层出不穷，对国家安全、经济等造成了严重影响。例如，2001年7月 爆发的红色代码(Code Red)病毒大规模攻击了许多服务器，遭到攻击的 服务器会按照病毒的指令向政府网站发送大量数据，最终导致网站瘫痪， 给全球带来26亿美元的损失。2020年1月1日至今，微软安全应对中心 (MicrosoftSecurity Response Center，简称MSRC)共报告了37964个漏 洞(Bug)，其中，有5264个严重性等级为高危的漏洞。MSRC的另一份报 告中指出，披露漏洞的CVE(CommonVulnerabilitiesExposure)字典内 每年新增的漏洞中，有70％是关于内存安全问题的漏洞。

内存安全问题中，破坏敏感内存(包括敏感数据和敏感代码)的完整 性给系统安全带来很大的威胁。

诸多抵御内存破坏攻击的防御机制能够正常工作的前提是保证其敏 感数据的完整性，如代码指针完整性机制(Code Pointer Integrity，简 称CPI机制)的安全区域和安全栈，影子栈防御机制的影子栈(shadow stack)，保证C++中对象类型完整性的防御机制CFIXX的元数据等。抵御 代码注入攻击的可写与可执行互斥机制(Write XOR Execute，W^X机制) 阻止内存页同时具有写权限和执行权限。然而，广泛应用于即时编译器(Just-In-Time，简称JIT编译器)和动态二进制翻译中的动态代码生成 技术会动态生成和修改代码，并存储在代码缓存(Code Cache)中。由于 敏感代码位于代码缓存中，所以需要保护代码缓存的完整性。

进程内隔离机制是保障系统安全的重要手段，它保证了攻击者即使攻 破了用户进程，也无法执行敏感代码、访问敏感数据。基于进程内隔离的 方法是目前学术界研究的主流方向，进程内隔离的方法可以分为三种，包 括基于地址的隔离方法、基于域的隔离方法以及基于特权访问的隔离方法， 介绍如下：

1、基于地址的隔离方法。基于地址的隔离方法需要插桩每条访存指令， 约束这些指令可以访问的地址范围，确保无法访问到安全区域。纯软件的 地址隔离方法如软件错误隔离(Software Fault Isolation，简称SFI) 的技术方案中，将代码和数据分为不同的区域，每个区域的代码只能访问 相应的数据。由于SFI是用纯软件方法实现的，因此会给访存密集型的程 序带来巨大的性能开销。为了加速地址隔离方法，英特尔(Intel)推出了 内存保护扩展硬件(Memory Protection Extensions，简称MPX)以加速 边界检查，MPX允许程序员创建一组边界，用来标识地址区间的上界和下 界。通过插桩所有访存指令，并利用MPX硬件检查访存地址是否落在安全 区域内。由于基于地址隔离的方法在每条访存指令执行前都要检查其是否 访问关键数据，因此保护访存密集的程序会引入巨大的性能开销，其性能瓶颈也在于此。