安全计算机体系结构课件.pptx

1、高级计算机系统结构 -安全视角史岗2018年春第9讲引子“We propose that computer architects need to design more trustworthy computers that protect a users information, computations and communications from attacks by malicious adversaries. This is in addition to providing current engineering goals of higher performance, lower

2、cost, lower power consumption and smaller footprint.”“A trustworthy computer is with features built in to protect the user from malicious attackers and other threats.”“We encourage computer architects and hardware and software designers to apply their creative talents to this formidable, important a

3、nd exciting challenge.” Ruby B. LeeProfessor of Electrical Engineering at Princeton UniversityFellow of ACM and IEEEAssociate Editor-in-Chief of IEEE Micro Editorial Board member of IEEE Security and Privacy新的引子利用了芯片“乱序执行”机制的副作用，通过Cache侧信道攻击手段，读取任意内核内存位置。利用了现代芯片中普遍使用的“猜测执行”机制的副作用，通过Cache侧信道攻击手段，获取其它

4、进程内存中数据。2018年01月03日，Google团队披露了Intel处理器漏洞。被认为是“一个足以动摇全球云计算基础设施根基的漏洞”，是产业界首次承认的重大硬件漏洞。突破了用户空间和内核空间的硬件保护。突破了进程（线程）之间的硬件保护。思考：1. 暴露了CPU设计上的不足，但本质又是什么呢？2. 传统的防御工具（病毒查杀等）是否有效？安全机制（DEP、地址空间随机化）是否有效？3. 应该如何有效防御？提纲 国际研究和产业界进展 国内研究和产业界进展 我们如何做国际研究和产业界进展 高校相关研究组 主流处理器厂商的工作 Intel-TXT/SGX、ARM TrustZoneXOM 背景：Da

5、vid Lie等（Stanford）提出了基于execute-only memory（XOM）内存的CPU架构。 目标：XOM的提出是为了防止软件盗版以及对应用软件的恶意操作。在该模型中，应用程序信任CPU而不必信任OS。 机制： 在XOM结构中对程序进行加密。 只有受信任的处理器拥有解密密钥。 在XOM结构中，只有敏感的应用程序能得到这种保护。这相当于在新的特权模型中的“安全”模式。 CPU拥有私钥；加密使用的是混和加密的方式，使得对于大量数据加密的时候可以使用更快的对称加密。XOM（Cont.） 缓存(cache lines)和内存管理包括标记和keyed MACs机制。标记机制能将存储数

6、据与XOM分隔间绑定，keyed MACs机制能够提供完整性保护。 后继工作：利用模型检查(model checking)来确定一个恶意的OS是否可以使得系统进入不安全的状态，这个工作证实了重放攻击，在该重放攻击中，攻击方能使得缓存中的新数据在放入内存之前变得无效。 实验：Lie和他的同事在SimOS上开发了模拟的XOM CPU，并且通过修改IRIX6.5构建了XOMOS。在该平台上运行MP3播放器和OpenSSL做测试。“Architectural Support for Copy and Tamper Resistant Software” ASPLOS 2000AEGIS Secure

7、Processor (MIT)Overview of Processor Systems should provide tamper-evident (TE) environments where software processes can run in an authenticated environment.Security modes and transitionsSystems should provide private tamper-resistant (PTR) environments where any information about software and data

8、 within the environment may not be tampered.SP & BP Secure Processor Architecture (Princeton)Secret-Protected (SP) ArchitectureEnlargements show (a) the additional CEM hardware and (b) the application secrets protected by the TSMBastion ArchitectureBastion microprocessor protects the storage and run

9、time memory state of enhanced hypervisor. The hypervisor protects an arbitrary number of trusted software modules Capability Hardware Enhanced RISC Instructions (CHERI) (Cambridge)Capability RegistersA set of extensions to commodity RISC instruction sets to add support for fine-grained, compiler-dir

10、ected memory protection, and scalable, fine-grained software compartmentalisation.CHERI Instruction-set ExtensionsCapability CoprocessorARM TrustZone可信执行环境 (TEE) 可保护安全功能（如可信应用程序或信任根）免遭软件攻击TEE 与富操作系统之间的接口称为 TEE 客户端 API通过 TEE 内部 API，可信应用程序可获得对安全资源和服务的受控访问。TEE 安全服务的示例包括：密钥存储和管理、加密、安全时钟、可信用户界面The normal

11、 world is active (non-secure bit is set), the OS running on the platform can only access a subset of the physical resources. When a world switch takes place, the secure world comes into effect. The system software running in the secure world can access the devices hidden from the normal world.Intel

12、Software Guard Extensions(SGX)Security critical code isolated in enclave (Enclaves are isolated memory regions of code and data)Only CPU is trusted Enclaves cannot harm the system Designed for Multi-Core systems 国内研究和产业界进展 可信计算与主动免疫 拟态计算与主动防御 内置式安全防护可信计算回顾1、基础概念2、早期的相关工作3、国内现状1、基础概念 可信计算平台（Trusted C

13、omputing Platform, TCP）的目标 解决平台行为（远程）信任的问题 可信计算的主要思想 在硬件平台上引入具有一定防篡改能力的安全芯片，并以该芯片为“根”构造一个体系，保证在“根”得到信任的前提下计算行为是可以被信任的。 换句话说，就是通过加入安全芯片，辅以其他硬件、固件和软件，将部分或整个计算平台变为“可信”的计算平台。广义与狭义可信计算平台 广义 平台能够保护数据存储区域，避免敌手直接物理访问到机密数据存储区，并保证系统的运行环境是安全的、未被篡改，所有的代码能够执行于一个未被篡改的运行环境。 安全协处理器（Secure Coprocessor） 密码加速器（Cryptog

14、raphic Accelerator） 个人令牌（Personal Token） 软件狗（Dongles） 可信平台模块（Trusted Platform Module,TPM） 增强型CPU（Harden CPUs） 狭义 TCG可信计算框架，以TPM为核心。安全协处理器（Secure Coprocessor） 安全协处理器独立的，但从属于主处理器（CPU）的，能够完成一定的工作任务的处理单元。 类似在PC机系统中的浮点运算协处理器 早期安全协处理器主要被设计为一个保护某类型的计算和存储的工具，主要防止本地敌手的攻击安全协处理器实例 IBM 4758 密码加速器（Cryptographic

15、Accelerator） 密码加速器的用途是：通用的计算机性能上不适合密码运算，因而将所有的密码计算集中到同一个设备中进行。 如果在通用系统上处理一旦密钥长度超过了系统的处理字长，速度就会变得很慢。 密码运算和操作模指数运算（RSA加密签名、DSA签名、Diffie-Hellman签名等）集中的用密码加速器处理，提高效率和增强安全性。 密码加速器可是以上单个芯片的协处理器，也可以是一个单独的复杂密码模块。个人令牌（Personal Token） Personal Token是一个用户可以随身携带的进行用户认证，密码操作和提供其他服务的令牌。 特点 依赖于内存和主机计算 依赖于应用程序 要求有一

16、定物理安全（能够防止他人盗用Personal Token，伪造Personal Token） 个人令牌种类上包括智能卡，USB KEY等软件狗 软件狗是一个小设备，附着在通用计算机上，用于软件版权保护，防止软件的任意拷贝。 正版软件运行时，必须和软件狗交互，软件狗正确应答后才能运行软件。 软件狗要求一定程度的物理安全。可信平台模块（TPM） 当前工业界在可信平台上，最关注的方式是TPM，一个独立的嵌入主板的芯片，增强系统安全。TPM（Trusted Platform Module） 可信平台模块TPM的特点 TPM保护整个通用的计算机， 克服了小型专用设备（如密码加速器）的CPU和内存限制。

17、兼容现在的计算机体系结构和软件结构。 TPM满足了计算机低成本、低物理安全要求的需求。增强型CPU（Harden CPUs） 将可信计算芯片功能直接增加到CPU中（相当于将TPM嵌入到CPU中 ），用于专用目的的可信计算平台。 缺点是要改变CPU，改变现有的计算机架构（即Harden CPUs必须有专用的主板，外设等）， 现有计算机体系结构不兼容。 Ross Anderson在“Trusted Computing” Frequently Asked Questions一文中预测Intel最终会将可信计算芯片集成到CPU中。 2、早期相关工作 当前可信计算平台技术的思想源于早期的计算机的可信启动

18、研究 Bill Arbaugh etc. “A Secure and Reliable Bootstrap Architecture” 安全启动的基本思想 将分解系统配置为一系列的实体 检查实体的完整性 安全启动在可信计算平台中的重要性 安全启动应用是可信计算平台的第一个应用程序； 安全启动是可信计算平台的安全计算边界超出物理保护边界的一项技术，即扩展安全计算边界的技术； 安全启动应用可以扩展到软件配置方面。安全协处理器 可信计算平台 从安全启动开始研究 安全协处理器的发展 可信计算平台的成熟（借鉴不少安全协处理器成果）3、国内现状 可信密码模块规范 可信计算产品 科研工作可信密码模块规范 可

19、信计算平台产业联盟 可信密码模块规范 可信支撑模块规范可信计算产品 TCM早期（符合TCG规范） 北京兆日科技有限责任公司，SSX35安全芯片 武汉瑞达信息安全公司，可信计算平台SQY14嵌入密码型计算机，SSP02芯片 联想“恒智”安全芯片 最新（符合自主标准） 联想 中兴(国民技术) 兆日 瑞达 可信主机 联想 方正 同方 瑞达科研工作 团队 中国科学院软件研究所(信工所) 国防科技大学 武汉大学 北京工业大学(沈昌祥院士) 北京交通大学 方向 协议、引导、系统软件、支撑系统、可信网络连接可信计算3.0（trusted computing）主机可靠性计算机部件冗余备份故障诊查容错算法节点安

20、全性PC单机为主功能模块被动度量TPM+TSS系统免疫性节点虚拟动态链宿主+可信双节点主动免疫可信免疫架构 可信1.0（主机）可信2.0（PC）可信3.0（网络）特性对象结构机理形态可信计算3.0（系统组成）自主自主密码为基础密码为基础控制控制芯片为支柱芯片为支柱双融双融主板为平台主板为平台可信可信软件为核心软件为核心可信连接可信连接为纽带为纽带策略管控策略管控成体系成体系密码算法密码算法密码协议密码协议证书管理证书管理可信基础支撑软件可信基础支撑软件应应 用用可可信信策策略略管管控控可信连接可信连接可信计算3.0（系统结构） TPCM拟态计算（mimic computing） 思想来源 战争

21、：八卦阵 - 阵形多变，以变化进行防御 通信：抗干扰 跳频、跳时、跳码、跳空、跳规程、跳功率、跳结构（软件定义架构） 射击：固定靶、活动靶、随动靶 海洋：拟态章鱼计算机与安全的许多技术，其思想往往都受到某种自然或社会现象（活动）的启迪。拟态安全（Mimic Security Defense） 在功能等价条件下，以提供目标环境的动态性、在功能等价条件下，以提供目标环境的动态性、非确定性、异构性、非持续性为目的非确定性、异构性、非持续性为目的 动态的构建网络、平台、环境、软件、数据等动态的构建网络、平台、环境、软件、数据等多样化的拟态环境，以防御者可控的方式在多多样化的拟态环境，以防御者可控的方式

22、在多样化环境间实施主动跳变或快速迁移，样化环境间实施主动跳变或快速迁移， 对对攻击者则表现为难以观察和预测的目标环境攻击者则表现为难以观察和预测的目标环境变化，从而增大包括未知的可利用漏洞和后门变化，从而增大包括未知的可利用漏洞和后门在内的攻击难度和代价。在内的攻击难度和代价。拟态防御的原理-动态异构冗余拟态防御的问题 适用的场合 有函数化的输入输出关系或满足IPO 模型 服务的功能、性能和重要信息资源是显性的 对产品价格不敏感 空间和功耗条件可接受 具备多元或多样化处理条件 不适用的场合 拟态界外的安全问题 钓鱼、在服务软件中捆绑恶意功能 跨平台解释执行文件中推送木马病毒代码 用户下载行为携

23、带有毒软件拟态防御与移动目标防御的区别“棱镜”事件的警示“棱镜”事件揭露的八大金刚覆盖了所有网络与计算机的硬件与软件2015年发生的几个事件 2015年2月17日，俄罗斯报纸报报道，卡巴斯基实验室发现一种间谍软件，可以藏匿在任何一个“西部数据”、“希捷”和“东芝”生厂商的硬盘驱动器中。（此事得到NSA前雇员的确认） 2015年2月19日，美国前防务承包商雇员斯诺登提供的文件显示，美国和英国情报部门用黑客手段侵入芯片制造巨头金雅拓的内部系统，盗取了保护手机通信隐私的加密密钥，从而获得秘密监听和破解手机通信的能力。 2015年2月23日，美国国家安全局局长兼网络战司令部司令迈克尔罗杰斯说：“应用有

24、一种合法框架迫使苹果和谷歌这样的公司在它们的加密数字产品中留下前门。”辩称这样做的目的是为了方便政府调查犯罪或威胁国家安全的问题。自主、安全、可控是根本出路 2014年2月，习总书记在中央网络安全和信息化领导小组第一次会议上强调指出： 网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题 “没有网络安全就没有国家安全” “建设网络强国，要有自己的技术，有过硬的技术” “无论是维护网络安全也好，还是推进信息化也好，产品都是第一位的。”外壳式安全防护基于自主可控基础软硬件的计算机系统“外壳式外壳式”安全防护安全防护自主可控并不能确保系统不存在漏洞，无法解决系统固有的脆弱

25、性自主可控并不能确保系统不存在漏洞，无法解决系统固有的脆弱性只能防已知攻击只能防已知攻击由于缺少系统层的安全支持，安全措施极易被由于缺少系统层的安全支持，安全措施极易被“绕过、卸载绕过、卸载”“体检式”安全防护基于自主可控基础软硬件的计算机系统“体检式体检式”安全防护安全防护虽然消减了部分漏洞，但漏洞虽然消减了部分漏洞，但漏洞“难以穷尽难以穷尽”随着软件升级，仍会引入新的漏洞随着软件升级，仍会引入新的漏洞软件安全检查依赖知识和技术的长期积累，只有经过持续的改善才能获得软件安全检查依赖知识和技术的长期积累，只有经过持续的改善才能获得一个相对安全的版本，一个相对安全的版本，“实效性较差实效性较差”

26、并不能取代其它安全措施，并不能取代其它安全措施，“该有的安全工具还得有该有的安全工具还得有”漏洞发现漏洞发现补丁升级补丁升级“内置式”安全防护“内置式内置式”安全防护安全防护利用软硬件自主可控的有利条件，分析攻击利用的系统脆弱性在运行时机利用软硬件自主可控的有利条件，分析攻击利用的系统脆弱性在运行时机理，通过理，通过CPU、BIOS、操作系统、应用软件等关键部件中设计、操作系统、应用软件等关键部件中设计“内置内置”安全安全机制，并使各部件有效联动，来抵御各类已知和未知攻击。机制，并使各部件有效联动，来抵御各类已知和未知攻击。可以解决安全措施被可以解决安全措施被“绕过、卸载绕过、卸载”的问题的问

27、题基于自主可控基础软硬件基于自主可控基础软硬件研究方向 安全计算机体系结构 围绕计算机系统面临的安全威胁，研究安全的计算机体系结构，大幅度提高恶意攻击的技术门槛，降低恶意攻击的危害 SoC芯片与系统 研究芯片层、硬件层提高安全防护能力的机制和实现方法，为构筑受控、可信的高安全计算环境提供支撑 研究功能、性能、安全性等指标平衡的计算机系统软硬件设计方法 操作系统安全 面向隐蔽性恶意软件、APT等复杂威胁，研究硬件支持下（处理器安全架构）的操作系统安全增强技术。 研究云计算、虚拟化等新技术影响下的系统软件（操作系统、沙箱、虚拟机等）安全机制。研究目标 从系统结构角度解决计算机安全问题是未来发展的重

28、要方向，安全计算机体系结构从系统硬件和系统软件两个方面开展研究，在处理器安全架构、安全I/O接口、操作系统安全机制和整机系统等层次提出一系列新方法、新技术，通过软硬件一体化的安全设计，构筑未来计算机的纵深安全防御体系。安全计算机体系结构研究试验平台 系统级模拟环境 支持处理器新安全特性的模拟 支持操作系统新安全机制的运行 相关编译器框架的支持 攻击验证环境 支持开展典型的攻击，从攻击的角度评价安全机制的有效性课后作业1. 阅读Trust and Trustworthy Computing Session 5: Hardware Trust2. 简评国外和国内从计算机系统结构角度开展的安全研究和

29、产业实践，不少于500字两个漏洞的再思考1. OpenBSD和FreeBSD已发布Meltdown和Spectre补丁2. 英特尔关于安全问题的最新更新（2月22日）： 发布针对第六代、第七代和第八代英特尔酷睿处理器、英特尔至强可扩展处理器及更多其它平台的固件更新3.微软发布了针对Spectre和Meltdown的软件和固件/微代码更新，适用于Window 10的各个版本以及运行Windows 10秋季创意者更新和英特尔Skylake第六代处理器的设备。1. 针对Meltdown的内核页表隔离（PTI）技术的漏洞补丁；针对Spectre的IBRS（间接分支限制推测）功能的内核更新缓解技术。2. Intel反复出尔反尔，打自己的脸，至今未给出明确的修复方案两个漏洞的再思考（续）1. KAISER（PTI、KPTI和微软补丁）内核仅仅有一小部分被映射到用户地址虚拟空间；整个用户态数据被完整的映射到内核地址虚拟空间中，并通过SMAP和SMEP进行保护；KAISER进行页表切换，刷新TLB等操作，将地址映射切换到内核虚拟空间中，从而进行内核态的操作；KAISER的性能开销大概在10%-20%左右。2. Retpoline: A Branch Target Injection Mitigation