The invention relates to a method and device based on side channel attack defense method of dynamic memory mapping and cache, the method includes: collecting the information of the virtual machine running on a virtual machine monitor, comprising at least a physical page of each virtual machine occupied, and virtual machine is put forward to protect the memory cache side channel attack; at the same time, based on the real-time monitoring of the current occurrence, get the target information includes at least a target virtual machine, attack frequency and attack buffer layer; selection of defense operation, the defense operation according to the target attack information in the cache layer selected cache operation or dynamic memory remapping operation. The invention also has the efficiency of virtual machine monitor; targeted defense, avoid the waste of resources, ensure the security of cloud computing industry, real-time perception of cache based side channel attacks, and try not to affect the resource sharing based on efficient defense.
【技术实现步骤摘要】
基于动态内存重映射和缓存清除的侧信道攻击防御方法及其装置
本专利技术属于网络安全
,特别涉及一种基于动态内存重映射和缓存清除的侧信道攻击防御方法及其装置。
技术介绍
随着云计算产业的不断发展,云环境下的安全问题得到了广泛的关注。为了提高资源的利用率,云虚拟化技术要求不同租户共享底层的物理资源,使得一个租户可以通过探测另一个租户访问共享资源的行为特征,推测目标租户的敏感信息,实现侧信道攻击。其中,基于缓存的侧信道攻击由于实现方法多样、攻击结果可靠,带来的危害也最大。近年来,相关领域的专家研究并实现了多种缓存攻击,可以达到诸如窃取高级加密标准(AES)的加密密钥和RSA公钥加密算法的解密密钥,以及监控用户键盘操作等目的。然而,当前针对这种攻击的防御主要依靠资源的隔离实现,虽然可以取得较好的安全性,但是这与云中资源共享的基本理念是相违背的。并且,当前提出的防御方法都是攻击无感的,不仅难以达到针对性的防御效果,而且容易造成资源的浪费。因此,急剧膨胀的云产业急需一种能够满足要求的安全解决方案,可以实时感知基于缓存的侧信道攻击,并且在尽量不影响资源共享的基础上能够实现高效的防御。
技术实现思路
针对现有技术中的不足,本专利技术提供一种基于动态内存重映射和缓存清除的侧信道攻击防御方法及其装置,有效解决现有技术中因防御操作对云资源共享等问题,具有较好的防御效果。按照本专利技术所提供的设计方案,一种基于动态内存重映射和缓存清除的侧信道攻击防御方法,基于虚拟机监控器和硬件多层级缓存架构实现,该方法包含如下内容:收集虚拟机监控器上运行的虚拟机信息,该虚拟机信息至少包含每一个虚 ...
【技术保护点】
一种基于动态内存重映射和缓存清除的侧信道攻击防御方法,其特征在于,基于虚拟机监控器和硬件多层级缓存架构实现,该方法包含如下内容:收集虚拟机监控器上运行的虚拟机信息,该虚拟机信息至少包含每一个虚拟机所占用的物理页面,以及虚拟机提交的保护内存;同时实时监测当前发生的基于缓存的侧信道攻击,得到攻击目标信息,该攻击目标信息至少包含:被攻击的目标虚拟机、攻击频率和被攻击的缓存层;根据收集的虚拟机信息及实时监测得到的攻击目标信息,选取防御操作,其中,所述的防御操作根据攻击目标信息中被攻击的缓存层选取缓存清除操作或内存动态重映射操作;以攻击目标信息中攻击频率执行选取的防御操作。
【技术特征摘要】
1.一种基于动态内存重映射和缓存清除的侧信道攻击防御方法,其特征在于,基于虚拟机监控器和硬件多层级缓存架构实现,该方法包含如下内容:收集虚拟机监控器上运行的虚拟机信息,该虚拟机信息至少包含每一个虚拟机所占用的物理页面,以及虚拟机提交的保护内存;同时实时监测当前发生的基于缓存的侧信道攻击,得到攻击目标信息,该攻击目标信息至少包含:被攻击的目标虚拟机、攻击频率和被攻击的缓存层;根据收集的虚拟机信息及实时监测得到的攻击目标信息,选取防御操作,其中,所述的防御操作根据攻击目标信息中被攻击的缓存层选取缓存清除操作或内存动态重映射操作;以攻击目标信息中攻击频率执行选取的防御操作。2.根据权利要求1所述的基于动态内存重映射和缓存清除的侧信道攻击防御方法,其特征在于,根据攻击虚拟机在攻击目标虚拟机时攻击虚拟机和目标虚拟机两者访问缓存的行为相似,检测当前可能发生的基于缓存的侧信道攻击,得到攻击目标信息。3.根据权利要求1所述的基于动态内存重映射和缓存清除的侧信道攻击防御方法,其特征在于,硬件多层级缓存架构包含用于缓存数据和指令的第一级缓存层,用于单核统一缓存的第二级缓存层,及用于统一共享缓存的第三级缓存层。4.根据权利要求3所述的基于动态内存重映射和缓存清除的侧信道攻击防御方法,其特征在于,选取防御操作,包含如下内容:将目标虚拟机所占用的物理内存页面分为敏感页面和普通页面两类,根据攻击目标信息中被攻击的缓存层,若为第一级缓存层,则确定防御操作为缓存清洗操作,每一次目标虚拟机执行敏感操作后,随机清洗部分或全部缓存;若为第二级缓存层或第三级缓存层,则确定防御操作为内存动态重映射操作,动态随机交换敏感页面和普通页面两者之间的内存映射关系,混淆缓存行为特征和目标信息关联。5.根据权利要求4所述的基于动态内存重映射和缓存清除的侧信道攻击防御方法,其特征在于,缓存清洗操作,包含如下内容:A1)构建缓存清洗页面集合;A2)依次访问缓存清洗页面集合中每一个内存页面,清洗与敏感目标页面对应的缓存。6.根据权利要求5所述的基于动态内存重映射和缓存清除的侧信道攻击防御方法,其特征在于,A1中构建缓存清洗页面集合,包含如下内容:对于S个映射到与敏感目标页面相同的缓存位置的内存页面,随机选择W个内存页面作为该敏感目标页面的清洗页面集合,其中...
【专利技术属性】
技术研发人员:郭云飞,杨超,刘文彦,陈福才,季新生,程国振,霍树民,张淼,丁瑞浩,
申请(专利权)人:中国人民解放军信息工程大学,
类型:发明
国别省市:河南,41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。