面向应用安全的特权级硬件挖掘研究

基本信息
批准号:61902374
项目类别:青年科学基金项目
资助金额:27.00
负责人:王喆
学科分类:
依托单位:中国科学院计算技术研究所
批准年份:2019
结题年份:2022
起止时间:2020-01-01 - 2022-12-31
项目状态: 已结题
项目参与者:
关键词:
系统虚拟化技术控制流攻防技术计算机系统安全计算机软件安全
结项摘要

Information hiding (IH) has been an important building block for many defenses against code reuse attacks, because of its effectiveness and performance. It employs randomization to probabilistically “hide” sensitive memory areas, called safe areas, from attackers and ensures no pointer pointing to safe areas could be leaked. However, recent works have shown that IH is still vulnerable to various attacks. Domain-based isolation technique could address this security problem, but it suffers from high performance overhead when applying to protect the frequent accessed safe areas. . To address the performance problem, we propose to exploit the privileged hardware feature to achieve more efficient isolation technique. To the best of our knowledge, this research is the first work to use the privileged hardware to protect the inter-process domain. How to use the privileged hardware to achieve a security and efficient isolation technique will meet many challenges. To address these challenges, we will deploy the following three research contents:.1) How to achieve the privileged hardware based isolation technique;.2) How to ensure there is no extra attack surfaces incurred when the application running in Ring 0, compared with running in Ring 3;.3) How to achieve an efficient runtime environment, when support the application running in Ring 0;. After this research, this work will propose a novel privileged hardware based isolation technique for use-space application and implement a prototype which support the application running in Ring 0 without incurring any attack surfaces. Based on this prototype, the security researchers could develop many privileged hardware based defenses.

信息隐藏技术作为防御的基础被众多防御机制用来抵御代码重用攻击,保护其安全区域。然而,最近的一系列研究表明该技术不再安全有效。基于域的隔离技术能够有效保护安全区域,但是面临着严重的性能问题。为了解决这个问题,我们将首次通过挖掘特权级硬件实现更加高效的域隔离技术,并用其保护进程内的内存区域。但是如何利用特权级硬件实现一个安全并且高效的域隔离技术面临着非常多的挑战。针对这些挑战,本研究将部署以下三个研究内容:1)研究如何实现基于特权级硬件的域隔离技术;2)相比用户态下,研究如何不增加特权态下应用的攻击面;3)研究支持特权态下应用运行的低开销运行时环境;. 通过本项目的研究,该项工作将提出一个基于特权级硬件的安全并且高效的域隔离技术。同时,该工作将实现一个支持特权态下应用安全运行的原型系统。基于该原型系统,安全研究人员可以研究更多基于特权级硬件的防御机制。

项目摘要

广泛存在的漏洞给计算机系统造成了严重的威胁。高效的系统隔离技术以失效安全为目标,将系统中的组件进行功能解耦和安全隔离,使得攻击者即使攻陷某个系统组件,也无法危害整个系统。本项目围绕系统隔离技术,从以下三个方面开展了研究。.1)高效的硬件辅助内存隔离技术:本项目综合运用编译技术和系统方法深度挖掘主流X86和ARM平台下硬件特性在内存隔离方面的潜力,成功运用虚拟化等技术将特权级硬件特性(例如,X86 SMAP、ARM PAN)安全地释放给非特权应用实现高效的内存隔离。.2)面向瞬态执行的微体系结构安全:本项目通过设计标签化的Cache结构和投机敏感的端口执行调度器实现线程内和跨线程的瞬态执行攻击防护,实现体系结构层的安全加固,阻止攻击者利用瞬态执行漏洞打破系统层面的内存隔离。.3)组件代码多样化技术:本项目探索组件代码的多样化方法,可以在系统内存隔离和体系结构安全都失效的情况下,通过随机引入不确定性阻止攻击者的跨组件攻击行为。.项目开展期间,项目组先后在IEEE S&P、USENIX Security、USENIX ATC、ACM CCS、ACM ISSTA、TDSC等顶级学术会议和期刊上发表论文9篇(CCF A类8篇,B类1篇),申请专利4项,软件著作权1项。相关科研成果也被应用在国家重要安全部门,受到了广泛好评。

项目成果
{{index+1}}

{{i.achievement_title}}

{{i.achievement_title}}

DOI:{{i.doi}}
发表时间:{{i.publish_year}}

暂无此项成果

数据更新时间:2023-05-31

其他相关文献

1

基于分形L系统的水稻根系建模方法研究

基于分形L系统的水稻根系建模方法研究

DOI:10.13836/j.jjau.2020047
发表时间:2020
2

涡度相关技术及其在陆地生态系统通量研究中的应用

涡度相关技术及其在陆地生态系统通量研究中的应用

DOI:10.17521/cjpe.2019.0351
发表时间:2020
3

硬件木马:关键问题研究进展及新动向

硬件木马:关键问题研究进展及新动向

DOI:
发表时间:2018
4

拥堵路网交通流均衡分配模型

拥堵路网交通流均衡分配模型

DOI:10.11918/j.issn.0367-6234.201804030
发表时间:2019
5

针灸治疗胃食管反流病的研究进展

针灸治疗胃食管反流病的研究进展

DOI:
发表时间:2022

王喆的其他基金

1

miR-20/106调控胶质瘤干细胞侵袭的机制研究

miR-20/106调控胶质瘤干细胞侵袭的机制研究

批准号:81101606
批准年份:2011
资助金额:22.00
项目类别:青年科学基金项目
2

非共线和频显微成像法对光场传输瞬态动力学过程的研究

非共线和频显微成像法对光场传输瞬态动力学过程的研究

批准号:11204213
批准年份:2012
资助金额:30.00
项目类别:青年科学基金项目
3

锦屏低能太阳中微子实验的关键问题研究

锦屏低能太阳中微子实验的关键问题研究

批准号:11475093
批准年份:2014
资助金额:80.00
项目类别:面上项目
4

石墨烯-二维磁性半导体异质结的电学输运性质研究

石墨烯-二维磁性半导体异质结的电学输运性质研究

批准号:11904276
批准年份:2019
资助金额:27.00
项目类别:青年科学基金项目
5

数据不平衡的视角化理论及其方法研究

数据不平衡的视角化理论及其方法研究

批准号:61672227
批准年份:2016
资助金额:60.00
项目类别:面上项目
6

苔藓养分‒光合性状及其权衡关系在海拔梯度上的变化

苔藓养分‒光合性状及其权衡关系在海拔梯度上的变化

批准号:31600316
批准年份:2016
资助金额:21.00
项目类别:青年科学基金项目
7

同位素示踪代谢流分析技术研究银杏叶提取物心肌缺血保护作用的代谢机制和物质基础

同位素示踪代谢流分析技术研究银杏叶提取物心肌缺血保护作用的代谢机制和物质基础

批准号:81803496
批准年份:2018
资助金额:21.00
项目类别:青年科学基金项目
8

鉴定BACE2为有条件的促进阿尔茨海默症的β分泌酶

鉴定BACE2为有条件的促进阿尔茨海默症的β分泌酶

批准号:81870832
批准年份:2018
资助金额:56.00
项目类别:面上项目
9

基于模式源的分类器设计方法与应用研究

基于模式源的分类器设计方法与应用研究

批准号:60903091
批准年份:2009
资助金额:18.00
项目类别:青年科学基金项目
10

多重岩溶含水介质地下河流量衰减过程实验研究

多重岩溶含水介质地下河流量衰减过程实验研究

批准号:41807218
批准年份:2018
资助金额:25.00
项目类别:青年科学基金项目
11

Lnc RNA MIAT调控PFKFB3促进结直肠癌侵袭转移的作用及机制研究

Lnc RNA MIAT调控PFKFB3促进结直肠癌侵袭转移的作用及机制研究

批准号:81472698
批准年份:2014
资助金额:74.00
项目类别:面上项目
12

多核学习若干关键问题研究

多核学习若干关键问题研究

批准号:61272198
批准年份:2012
资助金额:80.00
项目类别:面上项目
13

分布决策环境下基于层次任务网络的应急资源规划方法研究

分布决策环境下基于层次任务网络的应急资源规划方法研究

批准号:71501151
批准年份:2015
资助金额:15.50
项目类别:青年科学基金项目
14

水禽脚蹼发育与进化的分子机制研究

水禽脚蹼发育与进化的分子机制研究

批准号:31672274
批准年份:2016
资助金额:61.00
项目类别:面上项目
15

APOBEC3在HPV-16感染抑制和病毒整合中的机制研究

APOBEC3在HPV-16感染抑制和病毒整合中的机制研究

批准号:81501753
批准年份:2015
资助金额:18.00
项目类别:青年科学基金项目
16

蝙蝠翼手形成的分子机制研究

蝙蝠翼手形成的分子机制研究

批准号:31301191
批准年份:2013
资助金额:25.00
项目类别:青年科学基金项目
17

基于CXCR4与pHLIP双重靶向的核素诊疗一体化探针在脑胶质瘤中的研究

基于CXCR4与pHLIP双重靶向的核素诊疗一体化探针在脑胶质瘤中的研究

批准号:81671713
批准年份:2016
资助金额:56.00
项目类别:面上项目

相似国自然基金

1

基于忆阻器的硬件级安全存储机制及电路关键技术研究

批准号:61874031
批准年份:2018
负责人:解玉凤
学科分类:F0402
资助金额:63.00
项目类别:面上项目
2

芯片硬件木马安全检测方法研究

批准号:61176039
批准年份:2011
负责人:冯建华
学科分类:F0402
资助金额:62.00
项目类别:面上项目
3

硬件加速器安全评估与安全架构

批准号:62102214
批准年份:2021
负责人:邱朋飞
学科分类:F0204
资助金额:10.00
项目类别:青年科学基金项目
4

软件bug仓库的优先级挖掘及其应用研究

批准号:61370144
批准年份:2013
负责人:江贺
学科分类:F06
资助金额:75.00
项目类别:面上项目