[发明专利]一种防御RowHammer攻击的方法及设备

说明书

本发明实施例公开了一种防御RowHammer攻击的方法及设备，涉及计算机技术领域，解决了现有在防御RowHammer攻击时，加速DRAM内存刷新速率导致的处理器耗能加大、以及内存的吞吐率受影响的问题，具体方案为：当需要将第一物理内存分配给第一实体时，确定与第一物理内存相邻的一物理内存所属的第一实体集、以及与第一物理内存相邻的另一物理内存所属的第二实体集，若第一实体集和/或第二实体集中存在第二实体，第二实体包含在所述物理主机中不允许访问与所述第一实体的物理内存相邻的物理内存的第三实体集中，则不将第一物理内存分配给第一实体。本发明实施例用于防御RowHammer攻击的过程。

技术领域

本发明实施例涉及计算机技术领域，尤其涉及一种防御RowHammer攻击的方法及设备。

背景技术

RowHammer攻击是一种针对动态随机存取内存(dynamic random access memory，DRAM)的攻击。它的主要工作原理是：利用高密度内存中相邻存储单元相互间的电磁作用来引发错误，如：攻击者可以通过频繁地访问目标内存相邻行的内存来增大目标内存突变的概率，在其原本无权访问的目标内存区域引发存储值的变化。

目前针对Rowhammer攻击的防御机制已经存在一些，如：可以通过加速DRAM内存刷新速率(从每隔64ms一次加速到每隔32ms一次)来防御RowHammer攻击。但是，加速DRAM内存刷新速率方案会带来更大的处理器耗能，且会影响内存的吞吐率。

发明内容

本发明实施例提供一种防御RowHammer攻击的方法及设备，解决了现有在防御RowHammer攻击的过程中，加速DRAM内存刷新速率导致的处理器耗能加大、以及内存的吞吐率受影响的问题。

为达到上述目的，本发明实施例采用如下技术方案：

本发明实施例的第一方面，提供一种防御RowHammer攻击的方法，该方法可以应用于包含至少一个实体的物理主机，包括：

当需要将第一物理内存分配给第一实体时，确定与第一物理内存相邻的第二物理内存所属的第一实体集、以及与第一物理内存相邻的第三物理内存所属的第二实体集，若第一实体集和/或第二实体集中存在第二实体，且该第二实体包含在孤岛安全策略定义的第三实体集中，则放弃将第一物理内存分配给第一实体；

其中，所述第三实体集包含至少一个与第一实体间满足孤岛条件的实体，所述与第一实体间满足孤岛条件的实体为：所述物理主机中不允许访问与所述第一实体的物理内存相邻的物理内存的实体。

如此，当物理主机内在给第一实体分配物理内存时，确定物理内存的相邻物理内存所属的实体，若相邻物理内存所属的实体在孤岛安全策略定义的实体集(即物理主机内对第一实体易产生RowHammer攻击、需要防御的实体集)中，则表示该实体可以访问到待分配给第一实体的物理内存的相邻物理内存，易对第一实体造成RowHammer攻击，不能将该物理内存分配给第一实体，使得物理主机内易对第一实体造成RowHammer攻击的实体访问不到分配给第一实体的物理内存的相邻物理内存，避免了物理主机内的其他实体通过访问第一实体所包含的物理内存的相邻物理内存来实现对第一实体的RowHammer攻击。与现有技术相比，该方案无需加速DRAM内存刷新速率就可以防御RowHammer攻击，避免了处理器耗能加大、以及内存的吞吐率受影响的问题。

其中，上述第一实体可以物理主机内的任一实体，该物理主机可以为X86-64位的计算机。具体的，当该物理主机处在虚拟环境下时，该第一实体可以为虚拟机或者虚拟机监控器，当该物理主机为单机系统时，该第一实体还可以为进程或者内核。