11月26日至30日,第三十届ACM计算机与通信安全会议(ACM Conference on Computer and Communications Security,CCS)在丹麦哥本哈根举行。处理器芯片全国重点实验室武成岗研究员团队的最新成果“PANIC:面向ARM平台的PAN辅助进程内内存隔离机制”(PANIC: PAN-assisted Intra-process Memory Isolation on ARM)获得本次会议的杰出论文奖(Distinguished Paper Award)。论文第一作者为许佳丽(博士生)和谢梦瑶(特别研究助理),通信作者为王喆(副研究员)。
本次研究成果是在ARM体系结构上探索的新型系统隔离机制PANIC,其可以被用来在系统内部强制实施最小特权安全原则,提升系统的抗攻击能力。PANIC将用户进程运行在内核态,并组合LSU指令与特权硬件UAO和PAN实现了一种新型内存隔离机制。为了将用户代码安全地运行在内核态,PANIC提出多种技术用来阻止用户代码恶意访问内核和滥用敏感指令。实验评估表明,PANIC技术所引入的性能开销可以忽略不计,并且在多种防护场景下具备广泛的应用特性。
图 1 PANIC系统架构图
图 2 PANIC的三种使用场景,(a)防护机制加固,(b)隔离执行环境,(c)动态编译器加固
武成岗研究员所领导的内构安全团队长期探索新型系统安全技术,旨在从计算机系统内部构建安全体系,打造具备抗攻击能力的系统结构。相关研究成果已经连续两年在安全顶会上获奖(去年获得了CCS最佳论文提名奖)。CCS是中国计算机学会推荐的A类顶级国际会议,是安全领域的四大顶会之一,今年录用率为19.1%。