【信息科学与工程学】【安全领域】 第八十八篇 网络空间安全19

9981

云计算/硬件安全 (CPU/微架构)

“非临时存储推测”与跨进程数据采样攻击​

1.微码更新与操作系统协同防护：应用CPU供应商提供的微码更新，启用针对非临时存储（如Intel TSX、SGX等）推测执行路径的防护。操作系统（如Linux内核）需正确配置相关控制位，并在进程调度/上下文切换时，通过特定指令序列（如VERW）清理可能被污染的微架构缓冲区。
2.增强的进程地址空间隔离：结合使用内核页表隔离与更细粒度的用户空间隔离机制。确保一个进程的推测执行无法有效访问到属于其他进程的物理页，即便该页可能因共享库等原因被短暂映射。
3.编译器辅助的代码生成防护：在编译敏感代码时，使用支持推测执行屏障的编译器选项，在涉及非临时存储访问的代码区域前后插入序列化指令（如LFENCE），防止推测跨越安全边界。