江苏龙网

  1. 首页 > 资讯 > 科技 > >

|CPU有个禁区,内核权限也无法进入


神秘项目
我是CPU一号车间的阿Q , 是的 , 我又来了 。
最近一段时间 , 我几次下班约隔壁二号车间虎子 , 他都推脱没有时间 , 不过也没看见他在忙个啥 。
前几天 , 我又去找他 , 还是没看到他人 , 却意外地在他桌上发现了一份文件 , 打开一看是一个代号为SGX的神秘项目 , 还是厂里领导亲自带头攻坚 。
|CPU有个禁区,内核权限也无法进入
本文插图

仔细看了看 , 原来 , 自从上次的攻击事件(详情:完了!CPU一味求快出事儿了!)发生以来 , 领导一直忧心忡忡 , 虽然当时依靠操作系统提供的办法暂解了燃眉之急 , 不过治标不治本 , 我们自身的缺陷一直存在 , 保不准哪天还要翻车 。
这个代号为SGX的神秘项目全称Software Guard Extensions , 志在全面改革 , 提升咱们CPU的安全能力 。
偷听会议
我瞬间不高兴了 , 这么重要的项目 , 居然没找我参加?
随即 , 我来到了领导的办公室 , 果然他们几个在开着秘密会议 , 而我就凑在一旁偷听 。
【|CPU有个禁区,内核权限也无法进入】
|CPU有个禁区,内核权限也无法进入
本文插图

“诸位 , 你们都是咱们厂里的核心骨干 , 关于这次安全能力提升的事情 , 大家回去之后有没有什么想法 , 请畅所欲言!” , 我听到领导在讲话 。
核心骨干?难道我阿Q不是核心骨干吗?真是气抖冷!
沉闷了一小会儿 , 隔壁二号车间虎子才说到:“咱们现在不是有安全访问级别吗 , 从Ring0到Ring3 , 已经可以很好到隔绝应用程序的攻击了啊”
|CPU有个禁区,内核权限也无法进入
本文插图

领导摇了摇头 , “尽管如此 , 但是一些恶意软件可以利用操作系统的漏洞可以获取到Ring0的权限 , 咱们现有的安全保护就荡然无存了”
“那也是操作系统的锅 , 要改进也该让他们做啊 , 关我们什么事呢?” , 虎子继续说到 。
“你忘记前段时间针对咱们CPU发起的攻击了吗?”
此话一出 , 会场瞬间安静了 。 就这水平 , 领导居然请他来不请我!
领导缓了缓 , 接着说到:“咱们不能总依赖操作系统的安全保护 , 咱们自己也得拿出点办法 。 我觉得现有的安全机制不够 , 操作系统漏洞频出 , 很容易被攻破 , 咱们现在不能信任操作系统 , 得彻底全面的改革!”
这时 , 五号车间的代表说话了:“领导 , 我回去调研了一下 , 了解到咱们的竞争对手推出了一个叫TrustZone的技术 , 用于支持可信计算 , 号称提供了一个非常安全的环境专门支持对安全性要求极高的程序运行 , 像什么支付啊、指纹认证之类的 , 咱们要做的话可以参考一下”
听完TrustZone的介绍 , 三号车间老哥仿佛找到了灵感 , 激动的说到:“有了!咱们可以在内存中划出一片特殊的区域 , 作为最高机密的空间 。 将高度机密的程序代码和数据放在这里面运行 , 再引入一种新的工作模式 , 咱们CPU只有在这种模式下才允许访问这个安全空间 , 否则就算是有Ring0的权限也不能访问!”
|CPU有个禁区,内核权限也无法进入
本文插图

引进一个新的工作模式 , 这种思路倒是很新鲜 , 大家纷纷议论开来 。
“这个安全空间技术上要怎样实现呢?”
“线程怎么进入和退出安全空间?恶意程序进去了怎么办?”
“怎么调用外部普通空间的函数呢?外部函数被攻击了怎么办?”
“需要系统调用怎么办?中断和异常怎么办?”
短短一小会儿时间 , 大家就七嘴八舌提了一堆问题出来···


推荐阅读


上一篇:银行|支付宝又有大动作,月月付诞生,信用卡迎来最强“劲敌”?

下一篇:|OPPO蓝光缔造者!一加创始人刘作虎回归OPPO:担任高级副总裁