The invention discloses a method for detecting channel attacks on the controlled side of cloud platform based on hardware virtualization, which can automatically distinguish normal memory requests from malicious operations by operating extended page table EPT to lock the memory of client virtual machine, protect the content of customer interrupt descriptor table IDT from being modified by malicious operating system OS, and analyze the sequence of page operations. This method can effectively detect channel attacks on the controlled side. Compared with the existing defense methods implemented by pure software, it reduces the time overhead and does not need to modify the protected program code.
【技术实现步骤摘要】
一种基于硬件虚拟化的云平台受控侧信道攻击检测方法
本专利技术属于计算机信息安全
,涉及一种云计算环境中受控侧信道攻击检测方法,具体涉及一种基于硬件虚拟化的云平台受控侧信道攻击检测方法,用于解决云平台应用敏感信息泄露问题。
技术介绍
云计算安全已成为阻碍云计算应用与发展的重要瓶颈,是当前网络空间安全的热点。应用虚拟化作为一种云计算极为广泛的部署方式,使云租户的敏感应用运行于云平台操作系统容器中,然而操作系统通常被认为是不可信,致使其应用面临敏感信息泄露风险。如Iago攻击恶意控制操作系统权限,通过修改系统调用返回地址,进而获取进程的敏感数据。已有研究利用更高特权级的Hypervisor和可信硬件,实现了InkTag和Haven等高级安全防护系统,有利于改善不可信OS导致的应用敏感信息泄露,然而受控侧信道攻击作为一种新攻击方式,可以成功绕过以上安全防护系统,攻击者利用可控的缺页错误(PageFault,PF)异常可能泄露的信息,进而推测出敏感数据的内容。目前,受控侧信道攻击防御有两种类型:基于修改进程内存分布的方法和重分发系统处理例程的方法。基于修改进程内存分布...
【技术保护点】
1.一种基于硬件虚拟化的云平台受控侧信道攻击检测方法,其特征在于,包括以下步骤:步骤1:虚拟机监视VMM利用内存管理单元MMU对客户虚拟机的进程页表进行虚拟化扩展,获得扩展页表EPT;步骤2:确定扩展页表EPT中客户页表结构;在虚拟机监视VMM控制下仅在处理器工作处于非根模式时才参与地址转换,内存管理单元MMU虚拟化扩展;EPT直接在硬件上支持从客户机虚拟地址GVA到宿主机物理地址HPA之间的映射,直接在硬件上支持客户虚拟地址‑客户物理地址‑主机物理地址的两次转换;步骤3:修改EPT页表项的读写权限位,限制受保护进程页表的修改,从而锁定内存;步骤4:虚拟机监视VMM通过读取...
【技术特征摘要】
1.一种基于硬件虚拟化的云平台受控侧信道攻击检测方法,其特征在于,包括以下步骤:步骤1:虚拟机监视VMM利用内存管理单元MMU对客户虚拟机的进程页表进行虚拟化扩展,获得扩展页表EPT;步骤2:确定扩展页表EPT中客户页表结构;在虚拟机监视VMM控制下仅在处理器工作处于非根模式时才参与地址转换,内存管理单元MMU虚拟化扩展;EPT直接在硬件上支持从客户机虚拟地址GVA到宿主机物理地址HPA之间的映射,直接在硬件上支持客户虚拟地址-客户物理地址-主机物理地址的两次转换;步骤3:修改EPT页表项的读写权限位,限制受保护进程页表的修改,从而锁定内存;步骤4:虚拟机监视VMM通过读取虚拟机控制块VMCS中的中断描述符表IDT表地址,获取其完整内容,保证中断描述符表IDT表不会被修改,虚拟机监视VMM保留所有系统例程地址变化和页表内容写操作的相关记录;步骤5:根据受控信道攻击的攻击模型,通过区分恶意OS对系统结构的特殊修改行为,虚拟机监视VMM判断出OS对受保护进程的恶意操作。2.根据权利要求1所述的基于硬件虚拟化的云平台受控侧信道攻击检测方法,其特征在于,步骤3的具体实现包括以下子步骤:步骤3.1:将扩展页表EPT中客户页表在EPT页表映射中PT层的页面设置为只读,当攻击者去修改这些页表结构时,系统会因为扩展页表冲突立刻陷入到虚拟机监视VMM中,称为第一次陷入;步骤3.2:虚拟机监视VMM掌握控制权,记录被修改前的地址及其指向内容并恢复该处的可写权限;通过修改MSR寄存器来设置监视陷阱标志MTF让客户机进入单步执行模式;步骤3.3:在恢复客户机完成写操作之后,执行完一条指令会触发监视陷阱标志MTF再次陷入到虚拟机监视VMM中,称为第二次陷入;处理第二次陷入时时,读取记录地址中新的内容,并重新设置扩展页表EPT为只读,来监控下一次的修改操作。3.根据权利要求2所述的基于硬件虚拟化的云平台受控侧信道攻击检测方法,其特征在于:步骤3.1中,修改扩展页表EPT违规处理程序Violationhandler来增加筛选的条件;筛选的条件为:1)退出辅助信息Exit_Qualification是WRITE_MASK,对应页表写操作;2)当前的GUEST_CR3是目标进程,则过滤无用进程信息;其中,GUEST_CR3是存储客户进程所映射的物理地址单元内容,即客户机物理地址,作为下一级客户页表的索引基址;3)当前客户物理地址GUEST_PHYSICAL_ADD-RESS值存在于上述页号存储结构中;如果上述条件都满足,扩展页表EPT将进入第一次陷入处理。4.根据权利要求2所述的基于硬件虚拟化的云平台受控侧信道攻击检测方法,其特征在于:步骤3.2中,系统添加监事陷阱MonitorTrap的处理过程,其操作包括:1)读取目标地址值;2)设置该页只读;3)恢复监视陷阱标志MTF;4)比较前后两个值在发生变化的比特位。5.根据权利要求1所述的基于...
【专利技术属性】
技术研发人员:余荣威,强辰谊,徐来,王丽娜,张桐,周博孝,王斐,
申请(专利权)人:武汉大学,武汉火凤凰云计算服务股份有限公司,
类型:发明
国别省市:湖北,42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。