[发明专利]一种防御StarBleed漏洞的方法及装置

说明书

本申请公开了一种防御StarBleed漏洞的方法及装置，该方法包括：对初始密文进行解密得到明文，并根据预设的随机数选择策略确定随机数；根据所述随机数分别对所述明文中的配置指令字、配置指令字参数以及配置指令顺序进行混淆，并根据所述随机数对所述明文中的配置指令进行替换；根据所述随机数对所述明文中的HMAC签名区数据进行混淆，计算并更新混淆后的HMAC签名区数据得到混淆后的明文，将所述混淆后的明文进行加密，得到混淆后的密文。本发明解决了现有技术中对StarBleed漏洞进行攻击防御空白的技术问题。

技术领域

本申请涉及漏洞防御技术领域，尤其涉及一种防御StarBleed漏洞的方法及装置。

背景技术

现场可编程门阵列(Field－Programmable Gate Array，FPGA)作为一种半定制电路，具有既能解决了定制电路的不足，又克服了原有可编程器件门电路数有限等优点被广泛应用于多个领域。随着FPGA技术的快速发展，FPGA硬件或软件的漏洞形式呈现多样化，而漏洞的存在直接会影响硬件或者软件的功能，进而影响FPGA的性能。为了避免漏洞对FPGA性能的影响，针对不同的漏洞都会设计对应的漏洞修复方案。

目前，研究发现赛灵思的7系列/Virtex-6 FPGA中存在一项硬件漏洞，该漏洞被称为“StarBleed”，攻击者利用该漏洞进行攻击的主要过程为：确定写WBSTAR指令在明文以及密文中的位置信息，然后根据该位置信息对密文流的修改，控制写入WBSTAR寄存器的数据长度，不仅可以实现FPGA产品的逆向和克隆，还可以通过篡改配置位流，发起产生硬件损坏的攻击。一旦某个芯片被攻破，不能通过软件补丁的方式进行修复，只能进行芯片更换。此外，不像必须要借助于复杂分析工具的侧信道攻击与探测等攻击方法，针对“StarBleed”漏洞，仅需利用普通的下载电缆，通过个人计算机就可以执行攻击过程，严重影响了FPGA产品的安全性。但是对于“StarBleed”漏洞目前还没有对应的漏洞攻击防御方案，因此，如何对“StarBleed”漏洞进行攻击防御成为亟待解决的问题。

发明内容

本申请解决的技术问题是：针对现有技术中对“StarBleed”漏洞进行攻击防御空白。本申请提供了一种防御StarBleed漏洞的方法及装置，本申请实施例所提供的方案中，通过随机数对明文的配置数据进行混淆，不仅隐藏了明文以及密文中写WBSTAR指令位置信息，也降低配置指令的识别能力，进而增加漏洞攻击的难度以及提升抵抗漏洞攻击的能力。

第一方面，本申请实施例提供一种防御StarBleed漏洞的方法，该方法包括：

对初始密文进行解密得到明文，并根据预设的随机数选择策略确定随机数；

根据所述随机数分别对所述明文中的配置指令字、配置指令字参数以及配置指令顺序进行混淆，并根据所述随机数对所述明文中的配置指令进行替换；

根据所述随机数对所述明文中的HMAC签名区数据进行混淆，计算并更新混淆后的HMAC签名区数据得到混淆后的明文，将所述混淆后的明文进行加密，得到混淆后的密文。

本申请实施例所提供的方案中，根据预设的随机数选择策略确定随机数，然后根据随机数对明文中的配置指令字、配置指令字参数以及配置指令顺序进行混淆，并根据所述随机数对所述明文中的配置指令进行替换，再根据所述随机数对所述明文中的HMAC签名区数据进行混淆，计算并更新混淆后的HMAC签名区数据得到混淆后的明文，将所述混淆后的明文进行加密，得到混淆后的密文。因此，本申请实施例所提供的方案中，通过随机数对明文的配置数据进行混淆，不仅隐藏了明文以及密文中写WBSTAR指令位置信息，也降低配置指令的识别能力，进而增加漏洞攻击的难度以及提升抵抗漏洞攻击的能力。

可选地，所述预设的随机数选择策略包括：

根据本地时间作为随机数的种子，随机生成32位的所述随机数；或

从配置数据区随机选择配置数据，将所述配置数据作为所述随机数。