提供了用于以函數為目標的虛擬機切換的技術。在一些示例中，虛擬機(VM)上的函數使用時間可由虛擬機管理器(VMM)進行概要分析，并且被用來管理VM切換以便在特定目標函數期間優先切換VM。目標函數和/或VM切換優先級可隨時間調整，以便提供切換不可預測性，例如，以通過如果邊信道攻擊者想要檢測或攻擊，則迫使他們在長得多的時間段(例如，數周或數月)收集數據來挫敗這些攻擊者。

背景技術

除非在本文中另外表明，否則本部分中所述的材料對于本申請中的權利要求來說不是現有技術并且不由于包括在本部分中而被承認是現有技術。

移至“基礎設施即服務”云計算平臺帶來了實現規模經濟的靈活計算。云計算還隨其帶來了新的安全挑戰。為了更好地使用資源，云計算提供商可在單個物理機器上復用來自不同客戶端的幾個虛擬機。這可能造成來自惡意客戶端的邊信道攻擊的危險。具體地說，邊信道時序攻擊使用計時器從共同駐留的處理的處理時間搜集信息——例如，使用用于密鑰散列化的占用時間確定該密鑰的性質。這樣的攻擊可能從廣泛使用的加密標準盜取密鑰。時序還可提供關于按鍵時序的信息以提取密碼以及對用戶進行計數，等等。時序可進一步用于檢測與目標的共置，三個步驟之一是執行數據中心攻擊。這可通過觀察與各種高速緩存或分支硬件相關聯的時序以檢測簽名計算模式和時序來進行。

隨著云計算平臺變得越來越普遍，新的安全挑戰出現。許多云計算提供商在單個物理機器上復用來自不同客戶端的幾個虛擬機，以利用現代處理器、存儲器和硬件架構的能力。然而，這樣的資源共享可能便利了邊信道攻擊，在邊信道攻擊中，在共享的硬件上操作的惡意處理收集關于其它的共同駐留的處理的信息。

概述

本公開一般地描述用于以函數為目標的虛擬機切換的技術。

根據一些示例，提供一種用于數據中心中的以函數為目標的虛擬機切換的方法。該方法可包括：選擇被配置為在第一虛擬機上執行的至少一個函數；調整與所述至少一個函數相關聯的虛擬機切換概率；并且當所述至少一個函數在第一虛擬機上執行時，基于所調整的虛擬機切換概率從第一虛擬機切換到第二虛擬機。

根據其它示例，提供一種用于數據中心中的以函數為目標的虛擬機切換的虛擬機管理器。該虛擬機管理器可包括概要分析模塊和處理模塊，概要分析模塊被配置為對在第一虛擬機上執行的處理進行概要分析。處理模塊可被配置為：選擇所述處理中所包括的至少一個函數；調整與所述至少一個函數相關聯的虛擬機切換概率；并且當所述至少一個函數在第一虛擬機上執行時，基于所調整的虛擬機切換概率從第一虛擬機切換到第二虛擬機。

根據另外的示例，提供一種利用以函數為目標的虛擬機切換的基于云的數據中心。該數據中心可包括多個虛擬機和數據中心控制器，所述多個虛擬機可操作為在一個或多個物理機器上執行。數據中心控制器可被配置為：選擇所述多個虛擬機中的第一虛擬機上所包括的至少一個函數；調整與所述至少一個函數相關聯的虛擬機切換概率；并且當所述至少一個函數在第一虛擬機上執行時，基于所調整的虛擬機切換概率從第一虛擬機切換到第二虛擬機。

根據還有的另外的示例，一種計算機可讀介質可存儲用于數據中心中的以函數為目標的虛擬機切換的指令。所述指令可包括：選擇被實現為在第一虛擬機上執行的至少一個函數；調整與所述至少一個函數相關聯的虛擬機切換概率；并且當所述至少一個函數在第一虛擬機上執行時，基于所調整的虛擬機切換概率從第一虛擬機切換到第二虛擬機。

前述概要僅僅是說明性的，而并不意圖以任何方式是限制性的。除了說明性的方面，上述實施例和特征、另外的方面、實施例和特征將通過參考附圖和下面的詳細描述而變得顯而易見。

附圖說明

通過結合附圖進行的以下描述和所附權利要求，本公開的前述和其它特征將變得更充分地顯而易見。理解，這些附圖僅僅描繪了根據本公開布置的幾個實施例，因此，不應被認為是限制其范圍，將通過使用附圖來更具體地、更詳細地描述本公開，在附圖中：

圖1說明其中可實現以函數為目標的虛擬機切換的示例的基于數據中心的系統；