本發明實施例公開了一種防御RowHammer攻擊的方法及設備，涉及計算機技術領域，解決了現有在防御RowHammer攻擊時，加速DRAM內存刷新速率導致的處理器耗能加大、以及內存的吞吐率受影響的問題，具體方案為：當需要將第一物理內存分配給第一實體時，確定與第一物理內存相鄰的一物理內存所屬的第一實體集、以及與第一物理內存相鄰的另一物理內存所屬的第二實體集，若第一實體集和/或第二實體集中存在第二實體，第二實體包含在所述物理主機中不允許訪問與所述第一實體的物理內存相鄰的物理內存的第三實體集中，則不將第一物理內存分配給第一實體。本發明實施例用于防御RowHammer攻擊的過程。

技術領域

本發明實施例涉及計算機技術領域，尤其涉及一種防御RowHammer攻擊的方法及設備。

背景技術

RowHammer攻擊是一種針對動態隨機存取內存(dynamic random access memory，DRAM)的攻擊。它的主要工作原理是：利用高密度內存中相鄰存儲單元相互間的電磁作用來引發錯誤，如：攻擊者可以通過頻繁地訪問目標內存相鄰行的內存來增大目標內存突變的概率，在其原本無權訪問的目標內存區域引發存儲值的變化。

目前針對Rowhammer攻擊的防御機制已經存在一些，如：可以通過加速DRAM內存刷新速率(從每隔64ms一次加速到每隔32ms一次)來防御RowHammer攻擊。但是，加速DRAM內存刷新速率方案會帶來更大的處理器耗能，且會影響內存的吞吐率。

發明內容

本發明實施例提供一種防御RowHammer攻擊的方法及設備，解決了現有在防御RowHammer攻擊的過程中，加速DRAM內存刷新速率導致的處理器耗能加大、以及內存的吞吐率受影響的問題。

為達到上述目的，本發明實施例采用如下技術方案：

本發明實施例的第一方面，提供一種防御RowHammer攻擊的方法，該方法可以應用于包含至少一個實體的物理主機，包括：

當需要將第一物理內存分配給第一實體時，確定與第一物理內存相鄰的第二物理內存所屬的第一實體集、以及與第一物理內存相鄰的第三物理內存所屬的第二實體集，若第一實體集和/或第二實體集中存在第二實體，且該第二實體包含在孤島安全策略定義的第三實體集中，則放棄將第一物理內存分配給第一實體；

其中，所述第三實體集包含至少一個與第一實體間滿足孤島條件的實體，所述與第一實體間滿足孤島條件的實體為：所述物理主機中不允許訪問與所述第一實體的物理內存相鄰的物理內存的實體。

如此，當物理主機內在給第一實體分配物理內存時，確定物理內存的相鄰物理內存所屬的實體，若相鄰物理內存所屬的實體在孤島安全策略定義的實體集(即物理主機內對第一實體易產生RowHammer攻擊、需要防御的實體集)中，則表示該實體可以訪問到待分配給第一實體的物理內存的相鄰物理內存，易對第一實體造成RowHammer攻擊，不能將該物理內存分配給第一實體，使得物理主機內易對第一實體造成RowHammer攻擊的實體訪問不到分配給第一實體的物理內存的相鄰物理內存，避免了物理主機內的其他實體通過訪問第一實體所包含的物理內存的相鄰物理內存來實現對第一實體的RowHammer攻擊。與現有技術相比，該方案無需加速DRAM內存刷新速率就可以防御RowHammer攻擊，避免了處理器耗能加大、以及內存的吞吐率受影響的問題。

其中，上述第一實體可以物理主機內的任一實體，該物理主機可以為X86-64位的計算機。具體的，當該物理主機處在虛擬環境下時，該第一實體可以為虛擬機或者虛擬機監控器，當該物理主機為單機系統時，該第一實體還可以為進程或者內核。