[发明专利]在RISC-V架构的可信执行环境中实现中断隔离的方法及系统

说明书

本发明提供了一种在RISC‑V架构的可信执行环境中实现中断隔离的方法及系统，包括：中断触发时，当当前运行的Enclave为中断归属的Enclave，则直接在当前Enclave中处理当前中断；当当前运行的Enclave不是中断归属的Enclave，则由监控器调度中断归属的Enclave处理当前中断。本发明通过动态地配置中断处理模式即后文提到的中断委托，保证每一个隔离区域仅能察觉以及处理当前属于当前隔离区的中断，同时也可以尽可能地在S模式处理中断，在保证了安全性的同时提升了性能；本申请通过构造桩处理函数，确保隔离区域在中断处理完成后，能够自动跳转回到中断触发前的位置，保证中断处理的过程对不同隔离区原有业务逻辑是透明的。

技术领域

本发明涉及中断处理技术领域，具体地，涉及在RISC-V架构的可信执行环境中实现中断隔离的方法及系统。

背景技术

CLIC中断控制器中存在两段内存映射地址分别提供给M模式和S模式使用。每一段中包含1024个中断的配置，每个中断拥有四个一字节的中断配置寄存器，分别为clicintip[i]、clicintie[i]、clicintattr[i]、cl icintctl[i]。在M模式的内存映射区域中可以配置特定编号中断的处理模式，仅当某个中断在M模式区域中被配置为S模式可处理时，处于S模式的程序才可以通过S模式内存映射区域配置该中断，以及，当该中断来临时，若特权级处于U/S模式，则直接由S模式处理该中断。

利用CLIC中断控制器实现中断委托机制；CLIC中断控制器的内存映射寄存器区域从逻辑上可区分为M模式内存映射区域(后简称为M模式区域)和S模式内存映射区域(后简称为S模式区域)。处于M模式的安全监控器负责配置M模式区域，特别的，可以决定某个中断号对应的中断是否交付给S模式处理，同时也决定了S模式是否能配置该中断号在S模式区域中对应的寄存器。处于S模式的Enclave，对于暴露给自己的中断，可以直接处理该中断而无需下陷至M模式，以及可以配置该中断在S模式区域中对应的寄存器。中断处理和配置的能力从M模式转交到S模式，称为中断委托。

M模式可将中断委托至S模式，也可以取消S模式的中断委托，具体配置方式如下：M模式区域中，clicintattr[i].mode用于控制中断号为i的中断的特权级，当处于M模式时，可以通过将M区域中clicintattr[i].mode设置为S模式对应的比特位将中断i委托至S模式。反之，通过将M区域中clicintattr[i].mode设置为M模式对应的比特位取消中断委托。

上文叙述了M模式将某个中断号委托给S模式处理，以及取消中断委托的方式。

可信执行环境的设计目标之一是各个飞地之间的资源隔离。大部分情况下，可信执行环境会包含内存隔离，外设隔离等设计。然而，某些侧信道攻击会利用中断触发的时机降低攻击的时间成本，提高攻击的成功率。因此，保证中断只对特定的飞地可见(中断隔离)也是可信执行环境的设计目标之一。

RISC-V上的可信执行环境：在RISC-V的可信执行环境通常通过如下方式实现。通过利用处理器模式权限级别不同的特点，在具有最高权限级别的M模式部署安全监控器，并确保安全监控器是唯一在M模式运行的组件；由安全监控器配置并管理计算机系统中的特定硬件资源可以由哪一些软件组件以及其他硬件组件访问并使用。在此基础上，每一组对外隔离的软件及硬件组件的集合可视为一个隔离的执行环境。在本申请中，一个隔离的执行环境与一个Enclave等价。

在部署了可信执行环境的计算机系统中，软硬件被划分至数个隔离运行环境中，因此不同隔离运行环境的中断处理也需要互相隔离。否则，设备中断的触发和处理可能会泄露关于隔离环境内软硬件执行的信息，可供计算机系统中恶意组件以较低的成本部署攻击，如侧信道攻击。