[发明专利]高速缓存保护

说明书

技术领域

本发明一般地涉及计算机安全，具体地说，涉及保护计算机以防止高速缓存中毒。

背景技术

许多计算机系统采用缓存机制以增进其性能，其中频繁存取的数据的副本存储在提供快速存取的临时存储区域，由此降低频繁从其原始位置取回数据所需的存取时间和/或成本。例如，作为超文本传输协议(HTTP)代理服务器的计算机缓存网页以降低网络业务及改善等待时间，而出于同样理由，用作将联网设备的名称映射至其数值网际协议(IP)地址的域名系统(DNS)解析器的计算机缓存设备名称-地址映射。

然而，使用高速缓存的计算机容易受到一种称为高速缓存中毒的攻击，在此类攻击中，尝试将伪造的表项引入高速缓存。例如，在DNS高速缓存中毒中，在网络设备与其IP地址之间的缓存映射被改为指向由攻击者所提供的IP地址，此地址一般包含恶意的内容，例如计算机蠕虫或计算机病毒。其后请求网络设备地址的客户机将被给与错误的地址，潜在地使客户机暴露于恶意内容。不幸的是，在计算机维护由多个客户机共享的高速缓存的情况下，单个高速缓存中毒实例可能造成许多受害者上当。

发明内容

本发明的实施例揭露了用于保护计算机系统免于高速缓存中毒的新颖系统和方法。

在本发明的一个方面中，提供了一种用于保护计算机免于高速缓存中毒的系统，所述系统包含：高速缓存-实体表，其用于维护多个数据高速缓存与多个实体之间的多个关联，其中所述高速缓存中的每个高速缓存均与所述实体中的一个不同实体关联；以及高速缓存管理器，用于接收与所述实体中的任一实体关联的数据并将所接收的数据存储在所述高速缓存中被所述高速缓存-实体表指示为与该实体关联的任一高速缓存内，以及接收与所述实体中的任一实体关联的数据请求并从所述高速缓存中被所述高速缓存-实体表指示为与发出请求的实体关联的任一高速缓存取回所请求的数据，其中在计算机硬件和包含在计算机可读介质中的计算机软件两者之一中实现所述高速缓存-实体表和所述高速缓存管理器中的任一个。

在本发明的另一个方面中，所述系统还包含数据请求处理器，用于为所述高速缓存管理器提供所述数据中的任何数据。

在本发明的又一个方面中，所述数据请求处理器用于从所述实体中的任一实体接收所述数据请求，并询问所述高速缓存管理器以判定是否可从所述高速缓存中的任一高速缓存获取所请求的数据。

在本发明的再一个方面中，所述高速缓存管理器用于识别在至少预定数量的所述高速缓存中出现的任何表项、将所述表项从所述高速缓存移动至全局高速缓存、以及从所述全局高速缓存取回所请求的数据。

在本发明的另一个方面中，提供了一种用于保护计算机免于高速缓存中毒的方法，所述方法包含：维护多个数据高速缓存与多个实体之间的多个关联，其中所述高速缓存中的每个高速缓存均与所述实体中的一个不同实体关联；接收与所述实体中的任一实体关联的数据；将所接收的数据存储在所述高速缓存中被高速缓存-实体表指示为与该实体关联的任一高速缓存内；接收与所述实体中的任一实体关联的数据请求；以及从所述高速缓存中被所述高速缓存-实体表指示为与发出请求的实体关联的任一高速缓存取回所请求的数据。

在本发明的又一个方面中，提供了一种用于保护计算机免于高速缓存中毒的方法，所述方法包含：维护多个数据高速缓存与多个实体之间的多个关联，其中所述高速缓存中的每个高速缓存均与所述实体中的一个不同实体关联；接收与所述实体中的任一实体关联的数据；将所接收的数据存储在所述高速缓存中被高速缓存-实体表指示为与该实体关联的任一高速缓存内；识别在至少预定数量的所述高速缓存中出现的任何表项；将所述表项从所述高速缓存移动至全局高速缓存；接收与所述实体中的任一实体关联的数据请求；如果所请求的数据在所述全局高速缓存中，则从所述全局高速缓存取回所请求的数据；以及如果所请求的数据不在所述全局高速缓存中，则从所述高速缓存中被所述高速缓存-实体表指示为与发出请求的实体关联的任一高速缓存取回所请求的数据。