[发明专利]一种基于混合随机化映射的缓存侧信道攻击防御方法

说明书

本发明设计了一种基于混合随机化映射的缓存侧信道攻击防御方法，该方法在不同的缓存层级上考虑各层的性能和安全要求，在第一级缓存中使用了基于表的随机化映射，在其他级别的缓存中使用基于计算的随机化映射方案。同时在各个级别的缓存中，本发明利用缓存组相联的特点采用了路偏斜缓存的设计。本发明具有安全性高、性能好、可扩展性强等优点。

技术领域

本发明涉及缓存安全领域，具体地说，涉及一种基于混合随机化映射的缓存侧信道攻击防御方法。

背景技术

针对缓存的侧信道攻击是一类普遍存在且影响广泛的攻击手段，其主要利用的是缓存模块所带来的访存时间的变化以及其微架构上的特点。在使缓存处于特定状态后，攻击者使目标程序执行关键操作，然后攻击者测量不同位置的访存时间，或者测量目标程序的整体执行时间，以获取目标程序的执行情况，进而推断出敏感信息。针对缓存的侧信道攻击影响范围较广，这一类攻击可以针对第一级缓存，并逐渐扩展至整个缓存层级，包括最后一级缓存(last-level cache)，这使不同场景的处理器，如台式设备、移动设备以及云平台等，均易受到这一类攻击。这一类攻击的危害性也较大，攻击者可以通过此类攻击获取AES、RSA密钥等机密信息，以获取用户的敏感数据；也可以通过这样的方式绕过地址空间布局随机化等保护机制，为进一步攻击做准备。由于这类攻击具有的普遍性和危害性，减少或防止这一类攻击也就十分必要。

针对缓存侧信道攻击已经提出了很多种防御方法，其基本原理是阻止攻击者对于缓存访问情况进行精准测量与推断。其中，基于缓存随机化映射的方案是一类可以有效防御该类攻击的方案。该方案的主要思想是消除特定数据在缓存中的固定映射，使攻击者难以推断受害者程序的访存情况，以减轻甚至消除缓存侧信道攻击。不同的缓存随机化方案的主要区别是随机映射的选取，主要分为基于表的映射和基于计算的映射两种方式。基于表的映射方案将随机映射存储在表中，每次访问时需要查表以获得缓存位置。这种方式以额外的存储为代价，取得了较低的性能开销以及安全性保证。基于计算的映射方案相比于基于表的方案无需存储随机映射，而是根据地址计算出缓存中的映射关系。这种方案比较灵活，通过选取不同的随机化函数以及更新策略，可以使这种方案适用于不同规模和有不同时延要求的缓存。基于缓存随机化的方案与其他类型的方案相比，其性能开销相对较小，有效性也经过了较为充分的验证。

发明内容

本发明的目的在于针对缓存侧信道攻击问题，提供一种基于混合随机化映射的缓存侧信道攻击防御方法。

本发明的目的是通过以下技术方案来实现的：

本发明公开了一种基于混合随机化映射的缓存侧信道攻击防御方法，包括以下步骤：

1)构建包括中央处理器、缓存系统、内存等组成的系统，所述的缓存系统包括第一级缓存模块和第二级缓存模块；

2)所述的第一级缓存使用基于表的缓存随机化映射方案；

3)所述的缓存系统中的第二级缓存模块及其他模块，使用基于计算的缓存随机化映射方案；

4)在所有缓存模块中基于缓存组相联的设计，使用路偏斜缓存的设计。

作为进一步地改进，本发明所述的步骤2)中的基于表的缓存随机化映射方案包括以下步骤：

2-1)构建一个虚拟索引表，表中每一项存储一个虚拟索引，其位宽大于物理索引的位宽，表中项数与缓存块数相同；

2-2)在系统初始化阶段，随机生成一个密钥，用于随机化映射中的哈希运算；

2-3)缓存地址映射时，对地址中除偏移位以外的有效位进行哈希运算，哈希运算中包含一个随机生成的密钥，得到一个虚拟索引地址；

2-4)将2-3)中得到的虚拟索引地址与虚拟索引表中各项进行匹配，若匹配则为缓存命中，虚拟索引表中该项的索引地址即为访问缓存存储的物理索引地址，若无匹配项则随机选取物理索引地址，并加入虚拟索引表中。