【技术实现步骤摘要】
一种跨虚拟机侧信道攻击核心防御方法及系统
[0001]本专利技术涉及信息安全
,具体涉及一种跨虚拟机侧信道攻击核心防御方法及系统。
技术介绍
[0002]云计算的普及和发展,提供了全新的资源或服务的交付与使用模式。云计算的动态调整、按需分配、资源共享等独特特性使得越来越多的企业和个人将工作业务和数据部署到云服务器中,其中甚至包含许多敏感业务的数据和代码。云计算的底层关键技术基于系统虚拟化,一台性能强大的物理机上通常运行着多台同驻虚拟机,来自不同租户不同程序提供的服务托管在相同物理机的不同虚拟机上,云计算的资源共享特性极大地提高了计算资源的利用率。
[0003]KVM,最早由以色列Qumranet公司开发并合并到Linux内核主线,是一个在本地环境和云环境广泛使用的开源虚拟机管理器(也称Hypervisor),提供安全快捷的虚拟机创建和管理服务。KVM通过复用已有的Linux内核管理机制,借助于硬件辅助虚拟化的加速,提供安全隔离且高性能的虚拟机运行环境。KVM作为Linux内核的一个内核模块,将原Linux内核和...
【技术保护点】
【技术特征摘要】
1.一种跨虚拟机侧信道攻击核心防御方法,其特征在于,包括:步骤S1:通过修改敏感库函数的执行调用语句,添加VMCALL指令以及通知参数,从而让受保护虚拟机主动地发生VM Exit事件,继而进入Hypercall处理模块;步骤S2:所述Hypercall处理模块解析得到所述受保护虚拟机的敏感库函数的具体执行位置,并将所述具体执行位置传给事件通知模块;步骤S3:所述事件通知模块接收来自所述Hypercall处理模块的通知,并建立内核空间与用户空间的通信信道,通过该通信信道将所述通知发给所述Cache监控模块;步骤S4:所述Cache监控模块接收来自所述事件通知模块的通知,启动硬件性能计数器以实现对同驻虚拟机的性能监控,根据监控结果决定是否将所述受保护的虚拟机进行迁移。2.根据权利要求1所述的跨虚拟机侧信道攻击核心防御方法,其特征在于,所述步骤S1:通过修改敏感库函数的执行调用语句,添加VMCALL指令以及通知参数,从而让受保护虚拟机主动地发生VM Exit事件,继而进入Hypercall处理模块,具体包括:通过向敏感库函数中添加VMX扩展指令中的VMCALL指令以及通知参数,使得受保护虚拟机主动地发生VM Exit事件,从而转入Hypervisor中的Hypercall处理模块。3.根据权利要求1所述的跨虚拟机侧信道攻击核心防御方法,其特征在于,所述步骤S2:所述Hypercall处理模块解析得到所述受保护虚拟机的敏感库函数的具体执行位置,并将所述具体执行位置传给事件通知模块,具体包括:监控来自所述受保护虚拟机的特定VMCALL和所述通知参数发起的Hypercall调用,实时解析出来自所述受保护虚拟机的敏感库函数的具体执行位置,并将所述具体执行位置传给Hypervisor内部的事件通知模块。4.根据权利要求1所述的跨虚拟机侧信道攻击核心防御方法,其特征在于,所述步骤S3:所述事件通知模块接收来自所述Hypercall处理模块的通知,并建立内核空间与用户空间的通信信道,通过该通信信道将所述通...
【专利技术属性】
技术研发人员:王宇翔,黄晓,任军帅,李静颖,乔杰,陶小结,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。