針對SGX的攻擊與防御綜述

張亞暉，趙 敏，韓 歡

(1.陸軍工程大學，重慶 400035； 2.陸軍工程大學，江蘇 南京 210007)

0 引 言

計算機和互聯網技術的飛速發展已極大地改變了人們的生活方式，但在此過程中的計算機安全防護和隱私數據保護一直是學術界和工業界研究的熱難點問題。目前無論是個人計算機還是第三方云計算平臺，它們所采用的都是基于分層構建的安全模型，即從下到上分別為物理硬件(如CPU、內存)、特權軟件(如操作系統、hypervisor[1,2])、軟件堆棧(如數據庫、網絡協議)、用戶程序等。分層的安全模型要求特權級軟件可以訪問用戶程序，而用戶程序只能有限地調用特權軟件開放的接口。其目的就是為了保護特權軟件免受用戶程序(通常被視為不受信任代碼)的攻擊，但這種模型的負作用就是用戶的隱私信息不能免受特權軟件的訪問。因此，用戶的隱私信息在個人計算平臺或者第三方云計算平臺中，通常基于以下假設：(1)計算平臺所提供的軟件和硬件都是可信的；(2)計算平臺的工作人員都是可信的；(3)計算平臺所處的司法地域隱私保護法是可信的。

2013年，Intel提出的處理器安全技術SGX[3-5]是Intel實現可信執行環境(TEE)的方式，目的是為在所有特權軟件都可能是惡意的計算機上執行的安全敏感計算提供完整性和機密性保護。文中對目前針對SGX的攻擊與防御技術進行了梳理，文章組織結構為：第1部分介紹了SGX的威脅模型，第2部分總結分析了針對SGX的攻擊類型，第3部分指出了針對SGX攻擊的防御措施，第4部分探討了針對SGX的攻擊與防御技術可能的發展方向，最后對文章進行了總結。

1 SGX的威脅模型

SGX攻擊的目標是破壞運行在enclave中應用的機密性和完整性，攻擊者來自non-enclave部分，包括應用程序和系統軟件。系統軟件包括操作系統，hypervisor，SMM，BIOS等特權級軟件。

針對SGX的攻擊通常假設攻擊者已經獲取到了除enclave包以外的所有資源，如硬件設備、完全訪問OS資源、ROOT權限等；同時攻擊者可以安裝任意的內核模塊并配置計算機的啟動參數。攻擊者利用獲得的ROOT權限和其他資源可以分析程序的源代碼或二進制執行程序，從而知道目標enclave程序可能的控制流；任意時刻、次數地中斷目標enclave程序的執行；為目標enclave程序的執行指定特定的物理核心；訪問配置其他的硬件資源或性能統計監視器等等。

2 SGX攻擊

SGX的攻擊者通過破壞enclave的機密性可以獲得存儲在enclave中的用戶隱私代碼或數據，此類攻擊方式主要有側信道攻擊、代碼重用攻擊和硬件漏洞攻擊。而攻擊者破壞enclave的完整性則只能進行拒絕服務攻擊。其中側信道攻擊主要利用了CPU緩存來獲取enclave中的控制流和數據流，基于Cache的側信道攻擊要比其他類型的側信道攻擊粒度更小，最小粒度可以做到一個Cache line，從而獲取更多的信息。代碼重用攻擊主要利用了現代編程中不可避免的軟件漏洞來獲取隱私數據，相比其他類型攻擊，代碼重用攻擊更加隱蔽。硬件漏洞攻擊主要利用了CPU硬件中的漏洞，該類攻擊雖然危害性更大但通常可以及時消除。拒絕服務攻擊則主要利用了SGX本身的安全機制，雖然該類攻擊不能獲取用戶的隱私數據，但會給公共云提供商帶來極大威脅。

2.1 側信道攻擊

2.1.1 基于cache的攻擊

在現代計算環境中，硬件資源的普遍共享使得并行計算得到了廣泛的應用，但這卻帶來了新的安全隱患——基于cache的側信道攻擊。Intel SGX依賴于硬件，即使操作系統和其他軟件堆棧是惡意的，SGX也可以做到有效的隔離保護，但它卻無法防御基于cache的側信道攻擊。基于cache的側信道攻擊通常采用Prime+Probe[6-7]攻擊技術，攻擊成功與否的關鍵在于降低攻擊過程中的噪聲。Prime+Probe攻擊的方法為：Prime，攻擊者用預先準備的數據填充特定的多個cache組；Trigger，攻擊者等待目標進程響應服務請求，將cache數據更新；Probe，攻擊者重新讀取Prime階段填充的數據，度量并記錄各個cache組讀取時間，如果攻擊者觀察到較高的探測時間，則推斷受害者使用了這部分緩存，否則未使用。降低噪聲的方式通常有：(1)分配一個特定的物理核心用于攻擊進程和enclave的執行；(2)提高攻擊的時空分辨率。

文獻[8]實現了一個名為CacheZoom的側信道攻擊工具，它應用Prime+Probe技術攻擊L1緩存來收集目標enclave的內存訪問信息。CacheZoom通過分配一個專用的物理核心，并通過減少enclave在兩個中斷之間的內存訪問次數實現了一個低噪聲的側信道。

文獻[9]通過分配專用物理核心，對L1緩存執行Prime+Probe攻擊并采用較高頻率的性能監視計數器PMC對其進行監測，實現了不需中斷enclave執行的側信道攻擊技術。該方案可以避開目前已知的側信道攻擊檢測方法，且不需要攻擊過程與enclave進程同步。

2.1.2 基于頁表的攻擊

在計算機系統中，CPU只能通過邏輯地址訪問進程，但內存僅能識別物理地址。而頁表是用來存儲邏輯地址和物理地址之間映射的數據結構。

文獻[10]介紹了一種新型的針對SGX的無噪聲的側信道攻擊，稱為受控信道攻擊。Intel SGX允許操作系統完全控制SGX程序的頁表，而頁表可以映射或取消映射SGX程序的內存頁，這使得惡意操作系統能夠通過監視頁面錯誤而準確地知道受攻擊的SGX程序試圖訪問哪些內存頁面。作者使用該受控信道從廣泛使用的文字處理工具(FreeType和Hunspell)中提取出了文本文檔，獲得了由libjpeg解壓的JPEG圖像的輪廓，并可以撤消windows風格的ASLR。在每種情況下，只要運行受害者的代碼，就足以泄漏受保護應用程序中的數據。作者在Haven[11]和InkTag[12]兩個屏蔽系統中進行了驗證。

文獻[13]指出在針對Intel SGX的攻擊中，基于頁表攻擊所帶來的威脅已超出了傳統的基于頁面的攻擊。文獻基于強對抗假設，包括攻擊者能夠完全控制特權軟件和OS的調度策略、可以反復的中斷enclave包以及知道目標應用程序的(編譯)源代碼，提出了一種新的基于頁表的攻擊技術，可以在指令級粒度上精確地中斷一個enclave；并且提出了兩個新的攻擊向量：頁表條目監控，重復訪問監控。它們可以從頁表屬性以及不受保護的頁表內存的緩存行為中推斷出enclave的內存訪問。文獻通過從流行的Libgcrypt加密軟件套件中恢復很少甚至沒有噪聲的EdDSA會話密鑰演示了該攻擊的有效性。

2.1.3 基于LBR的攻擊

分支預測是現代流水線處理器最重要的特性之一。通常指令流水線由四個主要階段組成:獲取、解碼、執行和回寫。這種流水線結構使處理器執行一條指令的同時可以獲取/解碼下一條指令，并將上一條指令的結果存儲到內存(或緩存)中，即處理器可以并行執行多條指令，這樣有利于提高處理器的效率。Intel提供了一個專門的硬件特性LBR(last branch record)來記錄這些分支信息。

文獻[14]中作者介紹了一種新型的針對Intel SGX的側信道攻擊，它可以識別一個運行在SGX硬件上的enclave程序的細粒度(塊級)控制流，稱為分支追蹤攻擊。這種攻擊的原理是當處理器從enclave模式切換到non-enclave模式時，Intel SGX沒有清除分支歷史信息，并通過分支預測側信道將細粒度的跟蹤信息留給了外部不可信系統。但該攻擊存在兩個挑戰：(1)根據定時來度量分支預測/誤預測對于區分細粒度控制流的變化很不準確；(2)需要對enclave進行精細復雜的控制來使得它執行攻擊者感興趣的代碼塊。為了克服這些挑戰，作者開發了兩種新的攻擊技術：(1)利用Intel PT和LBR來正確識別分支歷史；(2)調整本地APIC定時器來精確控制一個飛地內的執行，從而使分支追蹤攻擊非常精確。作者演示了利用分支追蹤攻擊來推斷Intel SGX SDK、mbed TLS、LIBSVM和Apache中的細粒度的控制流且在此過程中不會引發頁面錯誤，并且對于保護Intel SGX免受頁面錯誤和緩存定時攻擊的一些方案(如確定性多路復用[15]、T-SGX[16]、SGX-Shield[17]和Sanctum[18])，分支追蹤攻擊同樣有效。

2.1.4 基于DRAM的攻擊

DRAM[19]一般由channel，DIMM，rank，bank等部分構成，每個bank又由columns、rows和row buffer組成，其中row buffer用來緩存最近訪問過的一個row。與CPU的緩存訪問模式類似，在進行DRAM訪問時，如果訪問的row已經被row buffer緩存，則直接從row buffer中讀取，否則將整個row加載到row buffer中再進行讀取。如果row buffer中已緩存了其他row，則需要先換出row buffer的內容再加載新的row進行讀取。這幾種訪問模式的速度均不同，攻擊者可以利用訪問時間的差異判斷當前訪問的row是否在row buffer中或被換出。

文獻[20]演示了一個運行在SGX enclave中的惡意軟件，因為所有的enclave都位于相同的物理EPC中，所以運行惡意軟件的enclave可以對其他enclave執行基于DRAM的攻擊以竊取用戶的敏感數據。該方案不需要依賴惡意的操作系統，即攻擊者也只是一個非特權應用程序，唯一的要求是攻擊進程和enclave進程位于同一主機中。

2.2 代碼重用攻擊

計算機軟件的發展經驗表明，任何應用程序都存在著安全漏洞。在傳統環境中，此類漏洞通常允許攻擊者完全地控制系統。雖然SGX聲明可以對軟件提供強有力的保護，但如果在enclave代碼中存在著安全漏洞會有什么后果和危害？

文獻[21]全面分析了針對enclave內部漏洞的利用技術，提出了一種新的基于面向返回編程的代碼重用攻擊方法Dark-ROP。Dark-ROP通過構建可以通知攻擊者enclave執行狀態的oracle，從而在代碼和數據都隱藏時啟動ROP攻擊。(1)從enclave內存中獲取隱私代碼和數據；(2)繞過本地和遠程的enclave認證；(3)解密和生成正確加密的數據。此外，Dark-ROP可以通過構建一個由攻擊者完全控制的shadow enclave，并將受害enclave中的代碼和數據提取到其中來模擬受害enclave，如讀取enclave的SGX加密密鑰。

文獻[22]基于弱對抗假設，即不需要擁有內核特權，提出了針對SGX的第一個用戶空間內存的代碼重用攻擊。作者提出了兩個新的開發原語：ORET和CONT，它們能夠利用SGX異常處理的內在特性以及enclave代碼與不可信代碼的交互過程來實現對所有CPU寄存器的訪問。同時，攻擊能夠破壞現有的細粒度隨機化方案而又不至于使任何的飛地崩潰，如SGX-shield，且它適用于Linux或Windows Intel SGX SDK開發的enclave。

2.3 硬件漏洞攻擊

L1TF[23]是2018年發現的一種Intel處理器安全漏洞，在使用推測執行的微處理器和英特爾SGX的系統中可能在未經授權的情況下就將本地用戶訪問的enclave駐留在L1數據緩存中的信息泄露給攻擊者。L1TF的發現者利用該漏洞開發了名為Foreshadow[24]的攻擊，它可以在沒有ROOT特權，不知道受攻擊enclave代碼的情況下發起攻擊；甚至如果攻擊者獲得了ROOT特權，不需要受害enclave的執行就可獲取enclave中的敏感信息。L1TF漏洞破壞了SGX的安全保證，但它最嚴重的后果是L1TF可以轉儲L1數據緩存的全部內容，而不管數據的所有者是誰。

Intel在Foreshadow之后發現了兩種密切相關的變體，統稱它們為Foreshadow-NG[25]，這是第一個完全破除虛擬內存沙箱的瞬態執行攻擊，傳統的頁表隔離已不足以防止未經制授權的內存訪問。文獻[25]中討論并分析了三種Foreshadow攻擊變體：Foreshadow-OS、Foreshadow-VMM和Foreshadow-SGX。其中Foreshadow-OS的機理是執行用戶空間代碼的無特權攻擊者控制第一個頁表遍歷的虛擬地址輸入，當需要將內存中的頁面交換到磁盤時，攻擊者只需要等待操作系統清除某些PTE條目中的PTE表示位就可以導致終端錯誤。此時，可以使用瞬態無序指令讀取位于PTE條目所指向的物理地址的任何緩存內容。Foreshadow-VMM的機理是惡意客戶虛擬機控制第一個地址映射，因此可以通過清除客戶頁表中的當前位直接觸發終端錯誤。由于終端故障行為跳過了主機地址轉換步驟，并立即將客戶物理地址傳遞給了L1緩存，因此攻擊者可以臨時讀取系統上任何緩存的物理內存，包括屬于其他虛擬機或管理程序本身的內存。Foreshadow-SGX的攻擊機理如文獻[24]中所演示的，控制最終地址轉換輸出的攻擊者在對緩存的enclave機密進行瞬時計算時，可以濫用終端錯誤來繞過SGX中斷頁面語義機制。攻擊者可以通過清除頁表當前位(例如，通過mprotect系統調用)或在攻擊者控制的飛地中設置惡意內存映射來觸發終端錯誤。

2.4 拒絕服務攻擊

Intel SGX的完整性是使用完整性樹來進行驗證的，當處理器檢測到任何完整性違規時，會進行處理器鎖定，以防止進一步的損壞，此時，若想恢復系統只能對系統進行冷啟動。通常想要破壞飛地的完整性只能采用硬件攻擊的手段，但如果攻擊者有基于軟件的方法來破壞飛地的完整性，那么處理器鎖將會導致嚴重的拒絕服務攻擊。

文獻[26]提出了第一個破壞飛地完整性的基于軟件的攻擊—SGX-Bomb。它可以對enclave內存發起Rowhammer攻擊[27]以觸發處理器鎖定。它首先在同一個DRAM庫中發現沖突的行地址，然后重復訪問它們，如果由于Rowhammer攻擊而在enclave內發生任意位翻轉，則對enclave內存的任何讀取操作都會導致飛地的完整性檢查失敗，從而導致處理器被鎖定，此時，只能通過重新啟動系統處理。這對公共云提供商而言是極具威脅的。因為這些提供商從客戶端接收到未知的enclave程序并運行，但這些程序卻可能會關閉與其他客戶共享的服務器。而且SGX-Bomb基于非常簡單的假設，不需要有ROOT特權，不需要有物理接觸，只需計算機處理器支持SGX，計算機的DRAM模塊具有Rowhammer漏洞以及用戶級別的enclave執行環境。作者利用DDR4 DRAM在真實環境中對SGX-Bomb攻擊的有效性進行了評估，使用默認的DRAM刷新率(64 ms)花費了283秒就使整個系統停止了響應。

3 SGX防御

針對上述介紹的SGX攻擊方式，目前學術界研究的SGX防御技術主要包括：基于enclave執行頻繁被打斷特征的異常檢測技術、基于指令集和地址空間布局隨機化的隨機化技術、隔離SGX的整個攻擊面的增強隔離技術，以及修改源碼實現隱藏enclave程序的控制流和數據流的源碼重構技術。具體如表1所示。

表1 SGX防御技術

其中異常檢測技術可防御側信道攻擊，隨機化技術可防御代碼重用攻擊，增強隔離技術可防御側信道和應用層的攻擊，源碼重構技術可防御側信道和應用層的攻擊。

3.1 異常檢測

很多針對SGX的側信道攻擊需要不斷地打斷受害enclave的執行來提高時間分辨率，這些攻擊導致的異常中斷很容易被T-SGX[16]和Déjá Vu系統[28]檢測到。

Intel處理器從Haswell系列開始引入了事務同步擴展(TSX)組件，它的一個關鍵特性是TSX中斷會禁止向底層操作系統發出錯誤通知，這意味著操作系統無法知道在事務中是否發生了頁面錯誤。T-SGX基于一個修改過的LLVM編譯器，可以自動地將enclave程序轉換為安全版本，所有的代碼和數據頁都用TSX包裝。同時，T-SGX將回退處理程序和其他事務控制代碼的特定頁面(稱為跳板)與原始程序的代碼和數據頁面隔離，以確保包括頁面錯誤和計時器中斷在內的異常只能在跳板上觸發。操作系統雖然可以確定在跳板處是否發生了異常，但這不會顯示任何有意義的信息，從而實現了異常的檢測和隔離。T-SGX對于典型的受控側信道攻擊，如libjpeg、Hunspell和FreeType等，具有較好的防御效果。但T-SGX不足以應對使用LLC的異步緩存定時攻擊和頁表與緩存的并發攻擊。

Déjá Vu系統實現了一種新的軟件參考時鐘，它根據這個時鐘對自己的執行步驟計時，以檢測在其中一個步驟中是否發生了異常或中斷。同時為了避免由于計算機上發生的正常中斷和頁面錯誤而導致的時鐘異常，Déjá Vu系統利用Intel TSX技術對該軟件時間進行保護。通過設置合理的AEXs閾值，攻擊者若中斷或減緩enclave的執行，該受保護的時鐘會檢測出時間異常，而且目前絕大多數的側信道攻擊為了提高攻擊的時空分辨率都會引起時間異常，因此該方案是檢測和防御側信道攻擊的一個較有效的方法。

3.2 隨機化技術

地址空間布局隨機化(ASLR)[29-30]無論是在傳統執行環境還是SGX可信環境中都是防御代碼重用攻擊的有效手段，但將ASLR應用于SGX程序卻會帶來新的挑戰：(1)SGX強大的攻擊模型將enclave內存布局暴露給不可信的系統軟件，使得SGX程序完全不受ASLR的保護；(2)SGX只為飛地提供有限的內存，SGX的ASLR不能充分利用虛擬地址空間，極大地限制了ASLR的隨機性和安全性；(3)ASLR需要動態重定位來實現代碼和數據的相關地址，但這與SGX的認證過程相沖突，因為SGX在enclave執行開始之前就需要完成完整性度量，但ASLR的重定位需要在enclave執行之后進行；(4)SGX對enclave中的某些安全關鍵數據使用了固定地址，且出于安全考慮，SGX使一個飛地中的部分數據結構不可變，這使得攻擊程序可以利用這些數據結構來繞過ASLR。

SGX-Shield[17]將隨機化技術應用在了SGX環境中，并克服了上述SGX與隨機化“水土不服”的一些技術缺陷。SGX-Shield引入了多級加載器，可以向攻擊者隱藏ASLR的相關操作，同時SGX-Shield采用了一種細粒度的隨機化方法并集成了粗粒度的軟件故障隔離，可以克服EPC有限內存問題并保護固定位置且敏感的數據結構。為了解決ASLR需要動態重定位的問題，SGX-Shield實現了一個軟件數據執行保護來執行飛地代碼頁中的W⊕X。SGX-Shield可以有效地防御文獻[21]的Dark-ROP攻擊，但對文獻[22]中的攻擊無能為力。

文獻[31]提出了一種稱為語義無關的數據隨機化防御方法，可以用于對抗基于緩存的針對SGX的側信道攻擊。該方法設計并實現了一個名為DR.SGX的基于編譯器的工具，DR.SGX采用CPU的加密硬件加速單元將置換計算為小域加密，可以以緩存行粒度安全地隨機置換enclave數據的內存位置。同時為了防止重復內存訪問的相關性，在enclave進程執行期間還會不斷地重新隨機化所有enclave數據。

3.3 增強隔離

側信道攻擊可以破壞SGX提供的數據機密性保證，可以利用異常檢測(3.1節)的方法來檢測和隔離部分側信道攻擊，但卻沒有消除側信道的攻擊面。而增強隔離是在SGX為用戶程序提供機密性和完整性保證的基礎上，隔離SGX的整個攻擊面來防御側信道攻擊。

Varys[32]通過限制L1和L2緩存等核心資源的共享為SGX飛地提供了一個側信道保護的執行環境，該環境確保時間片或并發緩存計時以及頁表攻擊都不能成功。為了建立這樣的增強隔離環境，Varys實現了兩種機制：(1)可信內核保留，將物理內核嚴格保留給enclave線程，這樣攻擊者就不能在enclave線程運行時訪問它們共享的內核資源，也不能在運行后從內核的L1和L2緩存中恢復任何的秘密，這可以有效地防止對內核共享資源的任何并發攻擊，如分支預測器和浮點單元，還可以防止頁表屬性上的無退出SCAs(因為它需要訪問內核的TLB)；(2)異步enclave退出監控，限制AEX退出的頻率(該頻率通常比無攻擊執行中的退出頻率要高得多但比所有已知攻擊又要小，這樣可以最小化誤報的概率)，一旦超出頻率范圍就終止enclave的執行，這可以防止更廣泛的側信道攻擊，包括基于LLC的攻擊。

Sanctum[18]的隔離機制專門用于防御針對SGX的軟件攻擊，它可防御已知的緩存定時攻擊和被動地址轉換攻擊，主要解決了在相互不信任的應用程序之間共享一臺計算機所產生的安全問題，但Sanctum方案需要對硬件進行微小的改動且無法防御DoS攻擊和利用硬件錯誤的軟件攻擊(如Rowhammer)。Sanctum是一種聯合設計，它將最小侵入性的硬件修改與受信任的軟件安全監視器結合在一起，該軟件安全監視器能夠進行嚴格的分析，并且不使用密鑰執行加密操作。

3.4 源碼重構

以上所介紹的異常檢測(3.1節)、隨機化技術(3.2節)和增強隔離(3.3節)雖然可以在某些方面防御針對SGX的攻擊，但這些措施要么有較高的執行成本，要么對某些攻擊變體無效，最大的不利之處就是增大了SGX的可信計算基(TCB)。本來Intel開發SGX的初衷就是要以硬件安全為強制性保障，為用戶提供可信的執行環境。SGX的可信計算基是僅包括硬件(CPU和enclave)的，但上述的防御措施卻又破壞了這一點，使得SGX的可信計算基又包含了軟件等。

而源碼重構則主要是通過修改源碼，小心地隱藏enclave程序的控制流和數據流，從而防御側信道攻擊。重構源碼并未增大SGX的可信計算基，仍僅需信任硬件安全即可。如文獻[33]使用oblivious store隱藏if-else控制流，使用ORAM[34-35]隱藏數據流。文獻[36]使用硬件事務內存(HTM)的事務原子性來確保與機密相關的控制流和數據訪問都保留在CPU緩存中，若事務失敗則會清除與事務相關的緩存，從而實現了控制流和數據流的隱藏。也可以在enclave程序執行過程中嚴格地審查地址映射防止敏感信息地址外泄、優化調度算法以防止不安全的共享、主動刪除遺留在緩存中的敏感信息等。但源碼重構相對復雜，需要對應用進行嚴密的分析與設計，很難在一個通用的計算環境中實現，且源碼重構無法防御基于硬件漏洞的攻擊。

4 發展方向

上述提及的針對SGX的攻擊主要是單一的攻擊方式，隨著SGX攻擊面的不斷發掘，綜合運用多種攻擊方式的組合實現混合多層次攻擊將會成為攻擊SGX的新手段。混合多層次攻擊最大的優勢在于可以放大不同層次不同攻擊方式的差異來提高攻擊的準確度。如已有的Cache和DRAM混合攻擊[37]可以將精度由row(8 kB)粒度提高到Cache line(64 B)。但已有的混合攻擊重點關注于內存管理與地址轉換方面，未來新的混合多層次攻擊可以嘗試更多類型攻擊方式的組合或結合其他方面的信息，重點是CPU新特性，如Intel TSX-NI(transactional synchronization extensions-new instructions)，Intel MPX (memory protection extensions)，Intel CAT(cache allocation technology)等等。

未來針對SGX攻擊的防御措施可以從enclave的加載執行時間方面進行綜合分析。現有的異常檢測主要是檢測enclave的執行中斷異常頻次，但如何依靠終端的執行環境對enclave加載執行時間進行綜合分析是檢測SGX攻擊的新思路，如利用人工智能技術訓練enclave加載執行時間模型來進行異常檢測。

5 結束語

Intel SGX是一項有著廣泛應用前景的安全技術。文中介紹了針對SGX的威脅模型，總結了針對SGX的攻擊類型，探討了目前針對SGX攻擊的一些防御措施以及SGX攻擊與防御可能的發展方向。