[发明专利]基于动态内存重映射和缓存清除的侧信道攻击防御方法及其装置

说明书

本发明涉及一种基于动态内存重映射和缓存清除的侧信道攻击防御方法及其装置，该方法包含：收集虚拟机监控器上运行的虚拟机信息，至少包含每一个虚拟机所占用的物理页面，以及虚拟机提交的保护内存；同时实时监测当前发生的基于缓存的侧信道攻击，得到攻击目标信息，至少包含：被攻击的目标虚拟机、攻击频率和被攻击的缓存层；选取防御操作，其中，防御操作根据攻击目标信息中被攻击的缓存层选取缓存清除操作或内存动态重映射操作。本发明兼顾虚拟机监控器的运行效率；有针对性的进行防御，避免资源浪费，保证云计算产业的安全性，可以实时感知基于缓存的侧信道攻击，并且在尽量不影响资源共享的基础上实现高效防御。

技术领域

本发明属于网络安全技术领域，特别涉及一种基于动态内存重映射和缓存清除的侧信道攻击防御方法及其装置。

背景技术

随着云计算产业的不断发展，云环境下的安全问题得到了广泛的关注。为了提高资源的利用率，云虚拟化技术要求不同租户共享底层的物理资源，使得一个租户可以通过探测另一个租户访问共享资源的行为特征，推测目标租户的敏感信息，实现侧信道攻击。其中，基于缓存的侧信道攻击由于实现方法多样、攻击结果可靠，带来的危害也最大。近年来，相关领域的专家研究并实现了多种缓存攻击，可以达到诸如窃取高级加密标准(AES)的加密密钥和RSA公钥加密算法的解密密钥，以及监控用户键盘操作等目的。

然而，当前针对这种攻击的防御主要依靠资源的隔离实现，虽然可以取得较好的安全性，但是这与云中资源共享的基本理念是相违背的。并且，当前提出的防御方法都是攻击无感的，不仅难以达到针对性的防御效果，而且容易造成资源的浪费。因此，急剧膨胀的云产业急需一种能够满足要求的安全解决方案，可以实时感知基于缓存的侧信道攻击，并且在尽量不影响资源共享的基础上能够实现高效的防御。

发明内容

针对现有技术中的不足，本发明提供一种基于动态内存重映射和缓存清除的侧信道攻击防御方法及其装置，有效解决现有技术中因防御操作对云资源共享等问题，具有较好的防御效果。

按照本发明所提供的设计方案，一种基于动态内存重映射和缓存清除的侧信道攻击防御方法，基于虚拟机监控器和硬件多层级缓存架构实现，该方法包含如下内容：

收集虚拟机监控器上运行的虚拟机信息，该虚拟机信息至少包含每一个虚拟机所占用的物理页面，以及虚拟机提交的保护内存；同时实时监测当前发生的基于缓存的侧信道攻击，得到攻击目标信息，该攻击目标信息至少包含：被攻击的目标虚拟机、攻击频率和被攻击的缓存层；

根据收集的虚拟机信息及实时监测得到的攻击目标信息，选取防御操作，其中，所述的防御操作根据攻击目标信息中被攻击的缓存层选取缓存清除操作或内存动态重映射操作；

以攻击目标信息中攻击频率执行选取的防御操作。

上述的，根据攻击虚拟机在攻击目标虚拟机时攻击虚拟机和目标虚拟机两者访问缓存的行为相似，检测当前可能发生的基于缓存的侧信道攻击，得到攻击目标信息。

上述的，硬件多层级缓存架构包含用于缓存数据和指令的第一级缓存层，用于单核统一缓存的第二级缓存层，及用于统一共享缓存的第三级缓存层。

优选的，选取防御操作，包含如下内容：将目标虚拟机所占用的物理内存页面分为敏感页面和普通页面两类，根据攻击目标信息中被攻击的缓存层，若为第一级缓存层，则确定防御操作为缓存清洗操作，每一次目标虚拟机执行敏感操作后，随机清洗部分或全部缓存；若为第二级缓存层或第三级缓存层，则确定防御操作为内存动态重映射操作，动态随机交换敏感页面和普通页面两者之间的内存映射关系，混淆缓存行为特征和目标信息关联。

更进一步，缓存清洗操作，包含如下内容：

A1)构建缓存清洗页面集合；

A2)依次访问缓存清洗页面集合中每一个内存页面，清洗与敏感目标页面对应的缓存。