在公有云环境中,数据加密是保证数据安全的关键手段。但是当一个芯片想要发送或者接收芯片外存储数据时,将会给想要获悉工作负载、明确攻击目标的攻击者带来可乘之机。
在7月2日的麻省理工学院新闻发布上,研究员们带来了名为Ascend的系统,该系统可以解决涉及内存访问上的安全缺陷。
Ascend通过一系列的措施来最小化攻击者从内存数据传输过程中获得信息的可能性,它发明了一个查询内存地址的新途径:
Devadas与他的研究生Ling Ren、Xiangyao Yu、Chistopher Fletcher以及研究科学家Marten van Dijk一起将内存地址结构用“树形”数据结构替换。家谱就是个最常见的树形结构例子,在家谱上每个“节点”都是一个人名;每个节点都有唯一的上属节点,在家谱上也就是父母;但是他们都可能拥有几个下属节点,也就是子女。
Ascend将地址随机分配给节点。每个节点到根节点都有一条特定的路径,这些路径和节点构成一个最小生成树。当处理器需要某个节点的数据时,会将请求发送给到相应路径上的所有节点。
更重要的是,当芯片需要访问单一的内存地址时,Ascend将会把这个地址与其它的内存地址互换。这样的话多次对同一个地址进行访问的情况将非常罕见,因为这需要遍历相同的路径。
即使芯片忙碌不需要从内存读取数据时,系统也会发送周期性请求,防止攻击者获取真实的内存访问频率。这是非常重要的,因为请求上的巨大差距可以凸显一些特别的需求,而攻击者可以借此发现值得攻击的重要工作。
研究者之一电子工程及计算机科学教授Srini Devadas申明系统当下并未完工,然而鉴于云服务被广泛使用的今天,Ascend必然是值得期待的。
