机密计算作为一种热门的数据保护技术,它基于硬件可信执行环境（Trusted Execution Environments,TEE）为数据提供处理时和交换时的安全保障,成为了解决云服务提供商和用户间信任鸿沟的关键技术之一。然而针对机密计算的攻击也相继出现,攻击者可通过微架构的侧信道攻击绕过硬件TEE的安全防护机制,达到窃取用户机密数据的目的。最典型的硬件TEE是Intel SGX（Software Guard e Xtensions）,它被广泛部署在云环境中。由于SGX将特权软件排除在可信基之外,在面对侧信道攻击时存在两方面的挑战:1)相比传统侧信道攻击,恶意系统软件能通过调度硬件资源,实现粒度更细、噪声更小的侧信道攻击;2)SGX内的代码处于用户态,不能使用特权级的防护操作,导致现有的SGX侧信道防御很难兼顾安全与高效。为解决上述挑战,高效保护SGX内用户的机密数据,研究微架构侧信道攻击中硬件状态、程序行为和敏感数据间的关联关系,提出了靶向和全局的两种侧信道防御策略。其中靶向的侧信道防御主动检测程序中包含的侧信道漏洞,并自动修补检测到的侧信道漏洞。而全局的侧信道防御则为程序的所有代码和数据都提供安全保护,无需确定程序的侧信道漏洞,是一种通用的解决方案。两种防御策略在设计和实现上均不存在冲突,可通过互补使用,达到高效保护SGX内用户机密数据的目的。针对靶向的侧信道防御,主动检测程序中会导致信息泄露的侧信道漏洞,提出了基于轨迹差分的侧信道漏洞检测方法Laevatain。其核心思路是通过差分分析程序的不同执行轨迹,挖掘机密输入与程序行为间的依赖关系,检测程序中存在信息泄露的侧信道漏洞。针对现有方案在面对非加密应用时存在的开销大、误报和漏报率高等诸多问题,Laevatain创新性地采用编译优化的轨迹插桩,在丰富轨迹信息的同时提高轨迹收集效率;设计上下文结构敏感的轨迹差分算法,在快速定位侧信道漏洞的同时保持低误报率;提出差分路径距离导向的模糊测试,提高差分检测的覆盖率,降低漏报。评估结果表明,Laevatain在侧信道漏洞检测的准确率、覆盖率和性能方面相比同类工作都有明显提升,特别是在差分分析的性能方面,相比同类工作提升了三个数量级。针对靶向的侧信道防御,主动修补被检测到的侧信道漏洞,提出了基于原子混淆的侧信道漏洞修补方法SC-Patcher。其核心思路是在漏洞代码中增加额外混淆操作,模糊程序行为与机密输入间的关联关系,为SGX内存在侧信道漏洞的代码提供定向安全保护。针对现有方案存在修补难度大、专业性强、需要人工参与、不通用和安全防护单一等问题,SC-Patcher创新性地结合原子事务和混淆执行技术,在编译时向漏洞代码中插入动态混淆操作以隐藏漏洞代码的真实行为,并将漏洞代码和混淆访存封装为硬件原子事务,保障封装后的代码在运行时连续执行不会被中断,避免攻击者利用细粒度的侧信道攻击区分真实访存操作和混淆访存操作。实验结果表明,SC-Patcher可有效保护修补后的侧信道漏洞代码,难以被攻击者窃取有效的机密敏感数据内容,并且SC-Patcher带给程序的额外性能开销可忽略不计（小于5%）。针对全局的侧信道防御,提出了基于混淆执行的侧信道防御方法Klotski。其核心思路是通过运行时代码和数据页的再随机化,混淆程序行为和内存地址间的固定映射关系,为SGX内程序的所有代码和数据提供全局的安全保护。Klotski模拟了一个安全内存子系统,使用增强的混淆内存（ORAM,Oblivious RAM）协议,实现迷你页级代码和数据运行时的再随机化。为优化性能,Klotski引入多种编译优化技术减少地址翻译和迷你页替换导致的开销。实验结果表明,Klotski在保障SGX内机密数据安全性的同时,仅带给程序1.3倍的额外开销,相比同类工作性能提升明显。综上所述,本文针对TEE的侧信道攻击提出了靶向和全局的两种侧信道防御策略,从不同角度为用户机密敏感数据内容提供了高效的安全保障,是对当前云计算安全和机密计算安全的进一步丰富,为增强云安全提供了新思路。