本發明涉及一種基于動態內存重映射和緩存清除的側信道攻擊防御方法及其裝置，該方法包含：收集虛擬機監控器上運行的虛擬機信息，至少包含每一個虛擬機所占用的物理頁面，以及虛擬機提交的保護內存；同時實時監測當前發生的基于緩存的側信道攻擊，得到攻擊目標信息，至少包含：被攻擊的目標虛擬機、攻擊頻率和被攻擊的緩存層；選取防御操作，其中，防御操作根據攻擊目標信息中被攻擊的緩存層選取緩存清除操作或內存動態重映射操作。本發明兼顧虛擬機監控器的運行效率；有針對性的進行防御，避免資源浪費，保證云計算產業的安全性，可以實時感知基于緩存的側信道攻擊，并且在盡量不影響資源共享的基礎上實現高效防御。

技術領域

本發明屬于網絡安全技術領域，特別涉及一種基于動態內存重映射和緩存清除的側信道攻擊防御方法及其裝置。

背景技術

隨著云計算產業的不斷發展，云環境下的安全問題得到了廣泛的關注。為了提高資源的利用率，云虛擬化技術要求不同租戶共享底層的物理資源，使得一個租戶可以通過探測另一個租戶訪問共享資源的行為特征，推測目標租戶的敏感信息，實現側信道攻擊。其中，基于緩存的側信道攻擊由于實現方法多樣、攻擊結果可靠，帶來的危害也最大。近年來，相關領域的專家研究并實現了多種緩存攻擊，可以達到諸如竊取高級加密標準(AES)的加密密鑰和RSA公鑰加密算法的解密密鑰，以及監控用戶鍵盤操作等目的。

然而，當前針對這種攻擊的防御主要依靠資源的隔離實現，雖然可以取得較好的安全性，但是這與云中資源共享的基本理念是相違背的。并且，當前提出的防御方法都是攻擊無感的，不僅難以達到針對性的防御效果，而且容易造成資源的浪費。因此，急劇膨脹的云產業急需一種能夠滿足要求的安全解決方案，可以實時感知基于緩存的側信道攻擊，并且在盡量不影響資源共享的基礎上能夠實現高效的防御。

發明內容

針對現有技術中的不足，本發明提供一種基于動態內存重映射和緩存清除的側信道攻擊防御方法及其裝置，有效解決現有技術中因防御操作對云資源共享等問題，具有較好的防御效果。

按照本發明所提供的設計方案，一種基于動態內存重映射和緩存清除的側信道攻擊防御方法，基于虛擬機監控器和硬件多層級緩存架構實現，該方法包含如下內容：

收集虛擬機監控器上運行的虛擬機信息，該虛擬機信息至少包含每一個虛擬機所占用的物理頁面，以及虛擬機提交的保護內存；同時實時監測當前發生的基于緩存的側信道攻擊，得到攻擊目標信息，該攻擊目標信息至少包含：被攻擊的目標虛擬機、攻擊頻率和被攻擊的緩存層；

根據收集的虛擬機信息及實時監測得到的攻擊目標信息，選取防御操作，其中，所述的防御操作根據攻擊目標信息中被攻擊的緩存層選取緩存清除操作或內存動態重映射操作；

以攻擊目標信息中攻擊頻率執行選取的防御操作。

上述的，根據攻擊虛擬機在攻擊目標虛擬機時攻擊虛擬機和目標虛擬機兩者訪問緩存的行為相似，檢測當前可能發生的基于緩存的側信道攻擊，得到攻擊目標信息。

上述的，硬件多層級緩存架構包含用于緩存數據和指令的第一級緩存層，用于單核統一緩存的第二級緩存層，及用于統一共享緩存的第三級緩存層。

優選的，選取防御操作，包含如下內容：將目標虛擬機所占用的物理內存頁面分為敏感頁面和普通頁面兩類，根據攻擊目標信息中被攻擊的緩存層，若為第一級緩存層，則確定防御操作為緩存清洗操作，每一次目標虛擬機執行敏感操作后，隨機清洗部分或全部緩存；若為第二級緩存層或第三級緩存層，則確定防御操作為內存動態重映射操作，動態隨機交換敏感頁面和普通頁面兩者之間的內存映射關系，混淆緩存行為特征和目標信息關聯。

更進一步，緩存清洗操作，包含如下內容：

A1)構建緩存清洗頁面集合；

A2)依次訪問緩存清洗頁面集合中每一個內存頁面，清洗與敏感目標頁面對應的緩存。