CN104937550A - 以函数为目标的虚拟机切换 - Google Patents
以函数为目标的虚拟机切换 Download PDFInfo
- Publication number
- CN104937550A CN104937550A CN201380070466.2A CN201380070466A CN104937550A CN 104937550 A CN104937550 A CN 104937550A CN 201380070466 A CN201380070466 A CN 201380070466A CN 104937550 A CN104937550 A CN 104937550A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- function
- probability
- perform
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45591—Monitoring or debugging support
Abstract
提供了用于以函数为目标的虚拟机切换的技术。在一些示例中,虚拟机(VM)上的函数使用时间可由虚拟机管理器(VMM)进行概要分析,并且被用来管理VM切换以便在特定目标函数期间优先切换VM。目标函数和/或VM切换优先级可随时间调整,以便提供切换不可预测性,例如,以通过如果边信道攻击者想要检测或攻击,则迫使他们在长得多的时间段(例如,数周或数月)收集数据来挫败这些攻击者。
Description
背景技术
除非在本文中另外表明,否则本部分中所述的材料对于本申请中的权利要求来说不是现有技术并且不由于包括在本部分中而被承认是现有技术。
移至“基础设施即服务”云计算平台带来了实现规模经济的灵活计算。云计算还随其带来了新的安全挑战。为了更好地使用资源,云计算提供商可在单个物理机器上复用来自不同客户端的几个虚拟机。这可能造成来自恶意客户端的边信道攻击的危险。具体地说,边信道时序攻击使用计时器从共同驻留的处理的处理时间搜集信息——例如,使用用于密钥散列化的占用时间确定该密钥的性质。这样的攻击可能从广泛使用的加密标准盗取密钥。时序还可提供关于按键时序的信息以提取密码以及对用户进行计数,等等。时序可进一步用于检测与目标的共置,三个步骤之一是执行数据中心攻击。这可通过观察与各种高速缓存或分支硬件相关联的时序以检测签名计算模式和时序来进行。
随着云计算平台变得越来越普遍,新的安全挑战出现。许多云计算提供商在单个物理机器上复用来自不同客户端的几个虚拟机,以利用现代处理器、存储器和硬件架构的能力。然而,这样的资源共享可能便利了边信道攻击,在边信道攻击中,在共享的硬件上操作的恶意处理收集关于其它的共同驻留的处理的信息。
概述
本公开一般地描述用于以函数为目标的虚拟机切换的技术。
根据一些示例,提供一种用于数据中心中的以函数为目标的虚拟机切换的方法。该方法可包括:选择被配置为在第一虚拟机上执行的至少一个函数;调整与所述至少一个函数相关联的虚拟机切换概率;并且当所述至少一个函数在第一虚拟机上执行时,基于所调整的虚拟机切换概率从第一虚拟机切换到第二虚拟机。
根据其它示例,提供一种用于数据中心中的以函数为目标的虚拟机切换的虚拟机管理器。该虚拟机管理器可包括概要分析模块和处理模块,概要分析模块被配置为对在第一虚拟机上执行的处理进行概要分析。处理模块可被配置为:选择所述处理中所包括的至少一个函数;调整与所述至少一个函数相关联的虚拟机切换概率;并且当所述至少一个函数在第一虚拟机上执行时,基于所调整的虚拟机切换概率从第一虚拟机切换到第二虚拟机。
根据另外的示例,提供一种利用以函数为目标的虚拟机切换的基于云的数据中心。该数据中心可包括多个虚拟机和数据中心控制器,所述多个虚拟机可操作为在一个或多个物理机器上执行。数据中心控制器可被配置为:选择所述多个虚拟机中的第一虚拟机上所包括的至少一个函数;调整与所述至少一个函数相关联的虚拟机切换概率;并且当所述至少一个函数在第一虚拟机上执行时,基于所调整的虚拟机切换概率从第一虚拟机切换到第二虚拟机。
根据还有的另外的示例,一种计算机可读介质可存储用于数据中心中的以函数为目标的虚拟机切换的指令。所述指令可包括:选择被实现为在第一虚拟机上执行的至少一个函数;调整与所述至少一个函数相关联的虚拟机切换概率;并且当所述至少一个函数在第一虚拟机上执行时,基于所调整的虚拟机切换概率从第一虚拟机切换到第二虚拟机。
前述概要仅仅是说明性的,而并不意图以任何方式是限制性的。除了说明性的方面,上述实施例和特征、另外的方面、实施例和特征将通过参考附图和下面的详细描述而变得显而易见。
附图说明
通过结合附图进行的以下描述和所附权利要求,本公开的前述和其它特征将变得更充分地显而易见。理解,这些附图仅仅描绘了根据本公开布置的几个实施例,因此,不应被认为是限制其范围,将通过使用附图来更具体地、更详细地描述本公开,在附图中:
图1说明其中可实现以函数为目标的虚拟机切换的示例的基于数据中心的系统;
图2说明其中图1的数据中心硬件可执行多个虚拟机的示例系统;
图3说明具有其中边信道攻击可能发生的多个虚拟机的示例系统的操作;
图4说明用于实现以函数为目标的虚拟机切换的示例处理;
图5说明可用于以函数为目标的虚拟机切换的通用计算装置;
图6是说明可由诸如图5中的计算装置的计算装置执行的用于以函数为目标的虚拟机切换的示例方法的流程图;以及
图7说明示例计算机程序产品的框图,
所有附图都是依照本文所述的至少一些实施例来安排的。
具体实施方式
在以下详细描述中,对附图进行参考,所述附图形成详细描述的一部分。除非上下文另外指示,否则在附图中,相似的符号通常标识相似的部件。在详细描述、附图和权利要求中描述的说明性实施例并不意味着是限制性的。在不脱离本文所提供的主题的精神或范围的情况下,可以利用其它实施例,以及可以进行其它改变。将易于理解的是,如在本文中一般地描述的和在图中示出的那样,本公开的各方面可以以广泛多样的不同配置被布置、替代、组合、分割和设计,所有这些在本文中都被明确地构想。
本公开尤其是针对与以函数为目标的虚拟机切换相关的方法、设备、系统、装置和/或计算机程序产品进行一般性的描写的。
简要地说,一般地描述了用于以函数为目标的虚拟机切换的技术。在一些示例中,虚拟机(VM)上的函数使用时间可由虚拟机管理器(VMM)进行概要分析,并且被用来管理VM切换以便在特定目标函数期间优先切换VM。目标函数和/或VM切换优先级可随时间调整,以便提供切换不可预测性,例如,以通过如果边信道攻击者想要检测或攻击,则迫使他们在长得多的时间段(例如,数周或数月)收集数据来挫败这些攻击者。
图1说明根据本文中所述的至少一些实施例布置的、其中可实现以函数为目标的虚拟机切换的示例的基于数据中心的系统。
如示图100中所示,物理数据中心102可包括一个或多个物理服务器110、111和113,其中每个物理服务器均可被配置为提供一个或多个虚拟机104。例如,物理服务器111和113可被配置为分别提供四个虚拟机和两个虚拟机。在一些实施例中,一个或多个虚拟机可组合到一个或多个虚拟数据中心中。例如,由服务器111提供的四个虚拟机可组合到虚拟数据中心112中。虚拟机104和/或虚拟数据中心112可被配置为经由云106将云相关的数据/计算服务(诸如各种应用程序、数据存储、数据处理)或可比的数据/计算服务提供给一组客户108(诸如单个的用户或企业客户)。
图2说明根据本文中所述的至少一些实施例布置的、其中同一数据中心硬件可执行多个虚拟机的示例系统。
如示图200中所示,多个虚拟机204、206、208和210可在单个物理服务器202(类似于图1中的物理服务器111)上操作。虚拟机204、206、208和210中的每个均可被配置为执行一个或多个处理。例如,处理212可在虚拟机204上执行,处理214可在虚拟机206上执行,处理216可在虚拟机208上执行,处理218可在虚拟机210上执行。在一些实施例中,处理212、214、216和218中的每个均可包括一个或多个函数,并且处理的执行可涉及该处理中所包括的函数的顺序执行。在一些实施例中,物理服务器202可被配置为通过在虚拟机之间迅速地切换其硬件来执行多个虚拟机。例如,物理服务器202可一次执行虚拟机204(并且执行其相关联的处理212),然后迅速地切换到另一虚拟机,并执行其相关联的处理。这样,物理服务器202的硬件可在不同的虚拟机(和相关联的处理)之间共享。在一些实施例中,虚拟机管理器(VMM)可负责精确地实现虚拟机如何被切换。
当其中每个均执行处理或函数的多个虚拟机在同一物理硬件(例如,物理服务器202)上操作时,攻击者可能能够对所执行的处理/函数中的一个或多个执行边信道攻击。例如,攻击者可提供被配置为在物理服务器202上操作的虚拟机之一上执行的处理(例如,处理218)。因为多个虚拟机(和处理)在同一硬件上操作,所以攻击者可能能够使用该处理来观察与其它虚拟机和处理的执行相关联的物理参数。例如,攻击者可使用处理218来观察与虚拟机204、206和208和/或处理212、214和216的执行相关联的参数。例如,可观察的物理参数可包括与物理服务器202中的高速缓存输入/输出和其它共享资源/硬件相关联的时序。
图3说明根据本文中所述的至少一些实施例布置的、具有其中边信道攻击可发生的多个虚拟机的示例系统的操作。
如示图300中所示,虚拟机302和虚拟机320可被配置为在同一物理硬件(例如,图2中的物理服务器202)上执行。虚拟机302可执行具有函数304、306、308和310的处理,而虚拟机320可执行具有函数322和324的处理。该物理硬件可被配置为在虚拟机302和虚拟机320之间切换。例如,时序图350可描绘预计供特定时间执行的特定函数。在时间352,该硬件可执行函数304(在虚拟机302上)。随后,在时间354,函数304的执行可结束,并且该硬件可执行函数306(在同一虚拟机302上)。
在接着的时间356,可发生虚拟机切换,使硬件执行函数322(在虚拟机320上)。函数306可能已经结束执行,或者可能已经因虚拟机切换而被中断。随后,在时间358,另一虚拟机切换可发生,在该时间,函数306的第二实例可被执行(或者,如果它之前被中断,则同一函数306可继续进行)。类似于时间356,函数322可能要么已经结束,要么已经被中断。在稍后的时间360,又一个虚拟机切换可发生,使硬件执行函数324。随后,在时间362,所述硬件可结束函数324的执行,并且可继续在同一虚拟机320上执行函数322(如果被中断)或者开始执行函数322的另一实例。然后,在稍后的时间364,另一虚拟机切换可发生,并且所述硬件可继续在虚拟机302上执行函数306(如果被中断)或者执行函数306的第三实例。所述硬件然后可在时间366结束函数306的第三实例的执行,并在同一虚拟机302上开始执行函数308。
如示图300中所描绘的,在一些情况下,可在单个函数的执行之间或单个函数的执行期间发生虚拟机切换。在这些情况下,攻击者可能能够收集关于这些单个函数的时序信息。例如,假设虚拟机320(以及函数322和324)与攻击者相关联。攻击者可能随后能够得到关于虚拟机302上的函数306的时序信息(例如,它执行花费了多久)。例如,攻击者可能能够测量从在时间356结束执行函数322和在时间360开始执行函数324所经过的时间。随着时间的过去,攻击者可能能够收集到损坏函数306正处理的数据的足够的时序信息统计。例如,如果函数306与密码算法或密钥相关联,则攻击者可能能够使用收集的数据来确定与该密码算法/密钥相关联的性质,从而损坏该密码处理。
图4说明本文中所述的至少一些实施例布置的、用于实现以函数为目标的虚拟机切换的示例处理。
如示图400中所描绘的,用于实现以函数为目标的虚拟机切换的处理可从操作402开始,在操作402中,VMM对将受到保护的运行处理(或将被执行的处理)进行概要分析。在一些实施例中,概要分析可涉及识别与运行处理相关联的特定函数、函数流程(例如,函数彼此之间如何转变)和函数时序。所识别的函数流程可包括函数路径、函数转变、函数转变的概率、和/或关于函数在运行处理中彼此如何相关的其它信息。例如,如果在虚拟机302上执行的处理被概要分析,则所识别的函数流程可示出:函数304可转变到(或调用)函数306、308和/或310。类似地,函数306可转变到它本身或转变到函数308。所识别的函数时序可指示每个函数在运行处理期间通常操作的(绝对的或相对的)时间量。例如,所识别的函数时序可指示特定函数运行给定持续时间中的特定时间量(例如,1ms中的100μs)或该时间的特定比例(例如,该时间的10%)。
随后,在操作404中,可使用在操作402中收集的信息来构建概率表。在一些实施例中,概率表可包括关于与运行处理相关联的单个函数和特定函数在给定时间被执行的概率的信息。
在下一个操作406中,可选择在操作404中构建的概率表中的一个或多个目标函数供VMM进行VM切换概率调整。在一些实施例中,所选目标函数可以是被视为最易于攻击或最抗攻击的那些函数。例如,这些函数可基于列出最易于攻击或最抗攻击的函数的脆弱性表来选择。在一些实施例中,脆弱性表可由运行处理的所有者提供。脆弱性表还可(可改为)通过针对具有特定格式的函数(例如,密码函数)和/或当高值数据(例如,信用卡数据)被处理时执行的函数监视运行处理来构造。
一旦如上所述那样已经选择了目标函数(一个或多个),就可提高与所选函数相关联的虚拟机切换概率。在一些实施例中,如果VM切换是随机的,则与目标函数相关联的VM切换概率可与该函数的执行概率相关。提高该函数的VM切换概率可使得该函数的执行概率向攻击者隐藏,或者至少使攻击者花费更多的时间来收集时序信息。在一些实施例中,可改为降低函数的VM切换概率。
在一些实施例中,VM切换概率调整可基于期望的概率改变速率。该速率可由处理所有者、数据中心VMM或任何其它合适的实体选择,并且可基于攻击者收集统计上足够的用于攻击的时序信息可能所需的时间。在一些实施例中,表示期望的概率改变速率的缓慢变化时序输入可用于根据时间函数调整VM切换概率。例如,缓慢变化时序输入可包括具有满足期望的概率改变速率的最小导数的非周期性伪随机函数。
一旦目标函数(一个或多个)已经被选择并且适当的VM切换概率已经被调整,VMM就可针对目标函数(一个或多个)来监视运行处理。如果在操作408检测到目标函数,则可确定该目标函数是否已经达到了在操作406中确定的VM切换概率目标。如果没有达到所述VM切换概率目标,则可在操作414执行VM切换。VM切换可在目标函数正在执行的同时或者在目标函数已经完成执行之后发生。在一些实施例中,操作408可在它开始执行之前检测目标操作,并且VM切换也可在目标操作开始执行之前发生。如果目标函数已经达到了VM切换概率目标,则处理可返回到操作408。
另一方面,如果在操作408尚未检测到目标函数,则可在操作410中确定是否已经达到了VM切换窗口。VM切换窗口可被选为在VM切换之间施加最大时间,以使得由于VM切换概率调整而导致的性能降低被减小或被最小化。如果尚未达到VM切换窗口,则处理可返回到操作408。另一方面,如果在操作410中确定已经达到了VM切换窗口,则可在操作414执行VM切换。在一些实施例中,VM切换可以切换到被配置为在与运行处理相同的硬件上执行的另一虚拟机。
在一些实施例中,上述VM切换调整处理还可与将该处理周期性地迁移到不同硬件相组合。例如,不是(或者除了)使VM切换处理在不同硬件上的VM之间切换,而是可将同一VM移至同一数据中心或另一数据中心处的不同硬件。这可进一步挫败攻击者收集用于边信道攻击的函数信息的能力。
图5说明根据本文中所述的至少一些实施例布置的、可用于以函数为目标的虚拟机切换的通用计算装置。
例如,计算装置500可用于执行如本文中所述的以函数为目标的虚拟机切换。在示例的基本配置502中,计算装置500可包括一个或多个处理器504和系统存储器506。存储器总线508可被用于处理器504和系统存储器506之间的通信。基本配置502在图5中通过内部虚线内那些部件而被示出。
取决于期望的配置,处理器504可以是任何类型,包括但不限于微处理器(μP)、微控制器(μC)、数字信号处理器(DSP)或它们的任何组合。处理器504可包括一个或多个等级的高速缓存,诸如一个等级的高速缓存存储器512、处理器核514和寄存器516。示例处理器核514可包括算术逻辑单元(ALU)、浮点单元(FPU)、数字信号处理核(DSP核)或它们的任何组合。示例存储器控制器518也可与处理器504一起被使用,或在一些实施方式中存储器控制器518可以是处理器504的内部部分。
取决于期望的配置,系统存储器506可以是任何类型,包括但不限于易失性存储器(诸如RAM)、非易失性存储器(诸如ROM、闪存等)或它们的任何组合。系统存储器506可包括操作系统520、虚拟机(VM)管理服务522和程序数据524。VM管理服务522可包括用于执行如本文中所述的以函数为目标的虚拟机切换的概要分析模块525和函数选择模块526。除了其它数据之外,程序数据524可包括如本文中所述的概率数据528等。
计算装置500可具有其它特征或功能以及用于促进基本配置502和任何所需的装置和接口之间的通信的附加接口。例如,总线/接口控制器530可被用来促进基本配置502与一个或多个数据存储装置532之间经由存储接口总线534的通信。数据存储装置532可以是一个或多个可移除存储装置536、一个或多个不可移除存储装置538或它们的组合。举几个例子来说,可移除存储装置和不可移除存储装置的示例包括诸如软盘驱动器和硬盘驱动器(HDD)的磁盘装置、诸如压缩盘(CD)驱动器或数字通用盘(DVD)驱动器的光盘驱动器、固态驱动器(SSD)和磁带驱动器。示例计算机存储介质可包括在信息存储的任何方法或技术中被实施的易失性和非易失性、可移除和不可移除的介质,诸如计算机可读指令、数据结构、程序模块或其它数据。
系统存储器506、可移除存储装置536和不可移除存储装置538是计算机存储介质的示例。计算机存储介质包括但不限于:RAM、ROM、EEPROM、闪存或其它存储技术、CD-ROM、数字通用盘(DVD)、固态驱动器或其它光学存储装置、磁带盒、磁带、磁盘存储装置或其它磁存储器装置或可用于存储期望的信息以及可被计算装置500访问的任何其它介质。任何这样的计算机存储介质可以是计算装置500的部分。
计算装置500也可包括用于促进从各种接口装置(例如,一个或多个输出装置542、一个或多个外围接口544和一个或多个通信装置546)到基本配置502的经由总线/接口控制器530的通信的接口总线540。示例输出装置542中的一些包括图形处理单元548和音频处理单元550,其可被配置为与诸如显示器或扬声器的各种外部装置经由一个或多个A/V端口552进行通信。一个或多个示例外围接口544可包括串行接口控制器554或并行接口控制器556,其可被配置为与诸如输入装置(例如,键盘、鼠标、笔、声音输入装置,触摸输入装置等)或其它外围装置(例如,打印机、扫描仪等)的外部装置经由一个或多个I/O端口558进行通信。示例通信装置566包括网络控制器560,其可被布置为促进与一个或多个其它计算装置562经由一个或多个通信端口564在网络通信链路上的通信。所述一个或多个其它计算装置562可包括数据中心处的服务器、客户设备和可比的装置。
网络通信链路可以是通信介质的一个示例。通信介质通常可以被体现为计算机可读指令、数据结构、程序模块或诸如载波或其它传输机制的调制数据信号中的其它数据,并且可包括任何信息递送介质。“调制数据信号”可以是具有其特性集合中的一个或多个或者以这种方式对信号中的信息进行编码而改变的信号。举例来说,而非限制,通信介质可包括诸如有线网络或有线直接连接的有线介质、诸如声学、射频(RF)、微波、红外(IR)和其它无线介质的无线介质。如本文中所使用的术语计算机可读介质可包括存储介质和通信介质两者。
计算装置500也可被实施作为通用或专用服务器、大型机或包括以上任一功能的类似计算机的一部分。计算装置500也可被实施作为包括笔记本计算机和非笔记本计算机配置两者的个人计算机。
示例实施例还可包括用于以函数为目标的虚拟机切换的方法。这些方法可以以任何数量的方式实现,包括本文中所述的结构。一种这样的方式可以是通过本公开中所述的类型的装置的机器操作。另一可选方式可以是使这些方法的各个操作中的一个或多个与一个或多个人类操作者结合执行,人类操作者执行这些操作中的一些,而其它操作则可由机器执行。这些人类操作者无需彼此搭配,但是每个可以具有执行程序的一部分的机器。在其它示例中,人机交互可自动进行,诸如通过可以是机器自动进行的预选标准。
图6是说明根据本文中所述的至少一些实施例布置的、可由诸如图5中的计算装置的计算装置执行的用于以函数为目标的虚拟机切换的示例方法的流程图。
示例方法可包括如方框622、624、626和/或628中的一个或多个所示的一个或多个操作、功能或动作,并且在一些实施例中可由诸如图5中的计算装置500的计算装置执行。方框622-628中所述的操作也可作为计算机可执行指令存储在诸如计算装置610的计算机可读介质620的计算机可读介质中。
用于以函数为目标的虚拟机切换的示例处理可从方框622开始,“对运行处理进行概要分析”,其中如以上关于示图400中的操作402所述的,VMM可对在虚拟机上操作的一个或多个处理进行概要分析以识别函数、函数流程和函数时序。
方框622接着可以是方框624,“构建概率表”,其中如以上关于示图400中的操作404所述的,VMM可使用在方框622中收集的数据来构建概率表。
方框624接着可以是方框626,“选择对其提高VM切换概率的目标函数”,其中如以上关于示图400中的操作406所述的,VMM可选择在方框624中构建的概率表中的一个或多个函数以供提高VM切换概率。在一些实施例中,函数选择也可以基于脆弱性表。在一些实施例中,可改为降低VM切换概率。
最后,方框626接着可以是方框628,“基于目标函数检测确定是否切换VM”,其中如以上关于示图400所述的,在方框626中选择的目标函数(一个或多个)的检测可通知VM切换是否发生。例如,如果目标函数已经被检测到、但是尚未达到目标VM切换概率,或者如果已经达到VM切换窗口,则VM切换可发生。
图7说明根据本文中所述的至少一些实施例布置的示例计算机程序产品的框图。
在一些实例中,如图7中所示,计算机程序产品700可包括信号承载介质702,信号承载介质702还可包括当被例如处理器执行时可提供本文中所述的功能的一个或多个机器可读指令704。因此,例如,参照图5中的处理器504,VM 522可响应于指令704被介质702递送到处理器504执行图7中所示的任务中的一个或多个以执行与如本文中所述的以函数为目标的虚拟机切换相关联的动作。根据本文中所述的一些实施例,这些指令中的一些可包括例如:对运行处理进行概要分析;构建概率表;选择对其提高VM切换概率的目标函数;并基于目标函数检测确定是否切换VM。
在一些实现中,图7中所描绘的信号承载介质702可包含计算机可读介质706,诸如但不限于硬盘驱动器、固态驱动器、压缩盘(CD)、数字通用盘(DVD)、数字带、存储器等。在一些实现中,信号承载介质702可包含可记录介质708,诸如但不限于存储器、读/写(R/W)CD、R/W DVD等。在一些实现中,信号承载介质702可包含通信介质710,诸如但不限于数字和/或模拟通信介质(例如,光纤电缆、波导、有线通信链路、无线通信链路等)。例如,程序产品700可通过RF信号承载介质702而被传递到处理器704的一个或多个模块,在这种情况下,信号承载介质702可被无线通信介质710(例如,符合IEEE 802.11标准的无线通信介质)传递。
根据一些示例,提供一种用于数据中心中的以函数为目标的虚拟机切换的方法。该方法可包括:选择被配置为在第一虚拟机上执行的至少一个函数;调整与所述至少一个函数相关联的虚拟机切换概率;并且当所述至少一个函数在第一虚拟机上执行时,基于所调整的虚拟机切换概率从第一虚拟机切换到第二虚拟机。
根据一些实施例,所述方法还可包括:对在第一虚拟机上执行的处理进行概要分析;并且基于该概要分析来构建概率表,其中概率表包括虚拟机切换概率。所述方法还可包括基于虚拟机切换窗口从第一虚拟机切换到第二虚拟机。在一些实施例中,所述方法还可包括:调整与被配置为在第一虚拟机上执行的另一函数相关联的另一虚拟机切换概率;并且当所述另一函数在第一虚拟机上执行时,基于所调整的所述另一虚拟机切换概率从第一虚拟机切换到另一虚拟机。
根据其它实施例,所述方法还可包括基于期望的概率改变速率调整虚拟机切换概率。期望的概率改变速率可基于用于获得统计上足够的用于边信道攻击的数据的时间。所述方法还可包括使用对应于期望的概率改变速率的缓慢变化输入来调整虚拟机切换概率。缓慢变化输入可包括至少一个具有满足期望的概率改变速率的最小导数的非周期性伪随机函数。
根据另外的实施例,所述方法还可包括:基于脆弱性表选择所述至少一个函数;和/或通过监视具有特定格式的函数和/或当高值数据被处理时在第一虚拟机上执行的函数来构建脆弱性表。第一虚拟机和第二虚拟机可在不同的服务器上和/或不同的数据中心处执行。
根据其它示例,提供一种用于数据中心中的以函数为目标的虚拟机切换的虚拟机管理器(VMM)。该VMM可包括概要分析模块和处理模块,概要分析模块被配置为对在第一虚拟机上执行的处理进行概要分析。处理模块可被配置为:选择在所述处理中实施的至少一个函数;调整与所述至少一个函数相关联的虚拟机切换概率;并且当所述至少一个函数在第一虚拟机上执行时,基于所调整的虚拟机切换概率从第一虚拟机切换到第二虚拟机。
根据一些实施例,处理模块可被进一步配置为基于概要分析构建概率表,其中概率表包括虚拟机切换概率。处理模块可被进一步配置为基于虚拟机切换窗口从第一虚拟机切换到第二虚拟机。在一些实施例中,处理模块可被进一步配置为:调整与被配置为在第一虚拟机上执行的另一函数相关联的另一虚拟机切换概率;并且当所述另一函数在第一虚拟机上执行时,基于所调整的所述另一虚拟机切换概率从第一虚拟机切换到另一虚拟机。
根据其它实施例,处理模块可被进一步配置为基于期望的概率改变速率调整虚拟机切换概率。期望的概率改变速率可基于用于获得统计上足够的用于边信道攻击的数据的时间。处理模块可被进一步配置为使用对应于期望的概率改变速率的缓慢变化输入来调整虚拟机切换概率。缓慢变化输入可包括至少一个具有满足所述期望的概率改变速率的最小导数的非周期性伪随机函数。
根据另外的实施例,处理模块可被进一步配置为:基于脆弱性表选择所述至少一个函数;和/或通过监视具有特定格式的函数和/或当高值数据被处理时在第一虚拟机上执行的函数来构建脆弱性表。第一虚拟机和第二虚拟机可在不同的服务器上和/或不同的数据中心处执行。
根据另外的示例,提供一种利用以函数为目标的虚拟机切换的基于云的数据中心。该数据中心可包括多个虚拟机和数据中心控制器,所述多个虚拟机可操作为在一个或多个物理机器上执行。数据中心控制器可被配置为:选择被配置为在所述多个虚拟机中的第一虚拟机上执行的至少一个函数;调整与所述至少一个函数相关联的虚拟机切换概率;并且当所述至少一个函数在第一虚拟机上执行时,基于所调整的虚拟机切换概率从第一虚拟机切换到第二虚拟机。
根据一些实施例,数据中心控制器可被进一步配置为:对在第一虚拟机上执行的处理进行概要分析;并且基于该概要分析构建概率表,其中概率表包括虚拟机切换概率。数据中心控制器可被进一步配置为基于虚拟机切换窗口从第一虚拟机切换到第二虚拟机。在一些实施例中,数据中心控制器可被进一步配置为:调整与被配置为在第一虚拟机上执行的另一函数相关联的另一虚拟机切换概率;并且当所述另一函数在第一虚拟机上执行时,基于所调整的所述另一虚拟机切换概率从第一虚拟机切换到另一虚拟机。
根据其它实施例,数据中心控制器可被进一步配置为基于期望的概率改变速率调整虚拟机切换概率。期望的概率改变速率可基于用于获得统计上足够的用于边信道攻击的数据的时间。数据中心控制器可被进一步配置为使用对应于期望的概率改变速率的缓慢变化输入来调整虚拟机切换概率。缓慢变化输入可包括至少一个具有满足所述期望的概率改变速率的最小导数的非周期性伪随机函数。
根据另外的实施例,数据中心控制器可被进一步配置为:基于脆弱性表选择所述至少一个函数;和/或通过监视具有特定格式的函数和/或当高值数据被处理时在第一虚拟机上执行的函数来构建脆弱性表。第一虚拟机和第二虚拟机可在不同的服务器上和/或不同的数据中心处执行。
根据还有的另外的示例,计算机可读介质可存储用于数据中心中的以函数为目标的虚拟机切换的指令。所述指令可包括:选择被实施为在第一虚拟机上执行的至少一个函数;调整与所述至少一个函数相关联的虚拟机切换概率;并且当所述至少一个函数在第一虚拟机上执行时,基于所调整的虚拟机切换概率从第一虚拟机切换到第二虚拟机。
根据一些实施例,所述指令还可包括:对在第一虚拟机上执行的处理进行概要分析;并且基于该概要分析构建概率表,其中概率表包括虚拟机切换概率。所述指令还可包括基于虚拟机切换窗口从第一虚拟机切换到第二虚拟机。在一些实施例中,所述指令还可包括:调整与被配置为在第一虚拟机上执行的另一函数相关联的另一虚拟机切换概率;并且当所述另一函数在第一虚拟机上执行时,基于所调整的所述另一虚拟机切换概率从第一虚拟机切换到另一虚拟机。
根据其他实施例,所述指令还可包括基于期望的概率改变速率调整虚拟机切换概率。期望的概率改变速率可基于用于获得统计上足够的用于边信道攻击的数据的时间。所述指令还可包括使用对应于期望的概率改变速率的缓慢变化输入来调整虚拟机切换概率。缓慢变化输入可包括至少一个具有满足所述期望的概率改变速率的最小导数的非周期性伪随机函数。
根据另外的实施例,所述指令还可包括:基于脆弱性表选择所述至少一个函数;和/或通过监视具有特定格式的函数和/或当高值数据被处理时在第一虚拟机上执行的函数来构建脆弱性表。第一虚拟机和第二虚拟机可在不同的服务器上和/或不同的数据中心处执行。
系统的各方面的硬件实现和软件实现之间区别很小:硬件或软件的使用一般是(但不总是,因为在某些上下文下,硬件和软件之间的选择可能变得重要)表示成本对效率权衡的设计选择。存在通过其可实现本文中所述的处理和/或系统和/或其它技术的各种媒介物(例如,硬件、软件和/或固件),并且优选媒介物将随着部署这些处理和/或系统和/或其它技术的上下文而变化。例如,如果实施者确定速度和精度是最重要的,则实施者可主要选择硬件和/或固件媒介物;如果灵活性是最重要的,则可主要选择软件实现;或者,再一次可替代地,实施者可选择硬件、软件和/或固件的某组合。
前述的详细描述已经通过使用框图、流程图和/或示例阐述了装置和/或处理的各种实施例。只要这样的框图、流程图和/或示例包含一个或多个功能和/或操作,本领域技术人员将理解,这样的框图、流程图或示例内的每个功能和/或操作可单个地和/或共同地用范围广泛的硬件、软件、固件或它们的几乎任何组合来实现。在一个实施例中,本文中所述的主题的几个部分可经由专用集成电路(ASIC)、现场可编程门阵列(FPGA)、数字信号处理器(DSP)或其它集成格式来实现。然而,本领域技术人员将认识到,本文中所公开的实施例的一些方面整个地或部分地可在集成电路中等效地实现,实现为在一个或多个计算机上运行的一个或多个计算机程序(例如,在一个或多个计算机系统上运行的一个或多个程序),实现为在一个或多个处理器上运行的一个或多个程序(例如,在一个或多个微处理器上运行的一个或多个程序),实现为固件,或者实现为它们的几乎任何组合,并且根据本公开,设计电路和/或编写用于软件和/或固件的代码将在本领域技术人员的熟练技能内。
在本申请中所述的特定实施例(意图使其作为各方面的例证)方面,本公开不应当是受限的。如对本领域技术人员来说将显而易见的,在不脱离其精神和范围的情况下可以做出许多修改和改变。通过前述描述,本公开范围内的功能等价的方法和设备(除本文中所列举的那些之外)对于本领域技术人员来说将是显而易见的。意图使这样的修改和改变落在所附权利要求的范围内。本公开仅由所附权利要求的各项以及这样的权利要求所赋予的等同物的全部范围一起来限定。应当理解,本公开并不限于特定的方法、试剂、化合物、组合物或生物系统(当然其可以变化)。还应当理解,本文中所使用的术语仅仅是为了描述特定实施例的目的,且并不意图是限制性的。
另外,本领域技术人员将意识到,本文中所述的主题的机制能够以各种形式作为程序产品分布,并且本文中所述的主题的说明性实施例不管用于实际实现该分布的信号承载介质的具体类型如何都适用。信号承载介质的示例包括但不限于以下:可记录类型的介质,诸如软盘、硬盘驱动器、压缩盘(CD)、数字通用盘(DVD)、数字带、计算机存储器、固体驱动器等;以及传输类型的介质,诸如数字和/或模拟通信介质(例如,光纤电缆、波导、有线通信链路、无线通信链路等)。
本领域技术人员将认识到,以本文中所阐述的方式描述装置和/或处理、其后使用工程实践将这样的所述的装置和/或处理集成到数据处理系统中在本领域内是常见的。也就是说,本文中所述的装置和/或处理的至少一部分可经由合理量的实验集成到数据处理系统中。本领域技术人员将认识到,典型的数据处理系统一般包括以下中的一个或多个:系统单元壳体、视频显示装置、诸如易失性和非易失性存储器的存储器、诸如微处理器和数字信号处理器的处理器、诸如操作系统的计算实体、驱动器、图形用户界面、以及应用程序、诸如触控板或触摸屏的一个或多个交互装置、和/或包括反馈回路和控制电机(例如,用于感测台架系统的位置和/或速率的反馈;用于移动和/或调整部件和/或数量的控制电机)的控制系统。
典型的数据处理系统可利用任何合适的市售部件来实现,诸如常见于数据计算/通信和/或网络计算/通信系统中的那些部件。本文中所述的主题有时说明包含在不同的其它部件内的或者与不同的其它部件耦合在一起的不同部件。要理解,这样的描绘的架构仅仅是示例,事实上,可实施实现相同功能的许多其它的架构。从概念的意义上来讲,实现相同功能的部件的任何布置是有效“关联的”,以使得期望的功能被实现。因此,本文中组合实现特定功能的任何两个部件可被看作彼此“关联”,以使得不管架构或中间部件如何期望的功能都被实现。同样地,相关联的任何两个部件也可被视为彼此“可操作地连接”或“可操作地耦合”来实现期望的功能,并且能够如此关联的任何两个部件也可被视为彼此“可操作地可耦合”来实现期望的功能。可操作地可耦合的具体示例包括但不限于可物理地连接和/或物理交互部件、和/或可无线地交互和/或无线地交互部件、和/或逻辑地交互和/或可逻辑地交互部件。
关于基本上任何复数和/或单数术语在本文中的使用,本领域技术人员可以按照其适用于的情景和/或应用而从复数转化到单数和/或从单数转化到复数。为了清楚起见,在本文中可能明确地阐述了各种单数/复数变换。
本领域技术人员将理解的是,总之,本文中且尤其是所附权利要求(例如所附权利要求的主体)中所使用的术语通常意图是“开放的”术语(例如术语“包括”应当被解释为“包括但不限于”,术语“具有”应当被解释为“至少具有”,术语“包含”应当被解释为“包含但不限于”,等等)。本领域技术人员将进一步理解的是,如果所引入的权利要求叙述的特定数字是有意的,这样的意图将被明确叙述在权利要求中,并且在没有这样的叙述的情况下不存在这样的意图。例如,作为理解的辅助,下面所附的权利要求可以包含引入性短语“至少一个”和“一个或多个”的使用以引入权利要求叙述。然而,这样的短语的使用不应被解释为暗示着通过不定冠词“一”或“一个”引入权利要求叙述将包含这样引入的权利要求叙述的任何特定权利要求限定到包含只有一个这样的叙述的实施例,即使当该同一权利要求包括引入性短语“一个或多个”或“至少一个”以及诸如“一”或“一个”的不定冠词时也是这样(例如,“一”和/或“一个”应当被解释为意味着“至少一个”或“一个或多个”);对于用来引入权利要求叙述的定冠词的使用来说情况是同样的。此外,即使明确记载了所引入的权利要求叙述的特定数字,本领域技术人员也将认识到,这样的记载应当被解释为意味着至少所记载的数字(例如,在没有其它修饰的情况下,“两个叙述”的直率叙述意味着至少两个叙述或者两个或更多叙述)。
此外,在其中使用类似于“A、B和C等中的至少一个”的惯例的那些实例中,通常这样的构造意图是本领域技术人员将理解该惯例的意义(例如,“具有A、B和C等中的至少一个的系统”将包括但不限于单独具有A、单独具有B、单独具有C、具有A和B一起、具有A和C一起、具有B和C一起以及/或者具有A、B和C一起等的系统)。本领域技术人员将进一步理解的是,实际上任何转折性词语和/或提供两个或更多替换术语的短语无论是在说明书、权利要求中还是在附图中都应当被理解为构想包括这些术语中的一个、这些术语中的任一个或这些术语两个的可能性。例如,短语“A或B”将被理解为包括“A”或“B”或“A和B”的可能性。
此外,在就马库什群组描述公开的特征或方面的情况下,本领域技术人员将认识到,由此也就马库什群组的任何单个成员或成员的子群组描述了公开。
如本领域技术人员将理解的,出于任何和所有目的,诸如在提供书面描述方面,本文中所公开的所有范围也涵盖任何和所有可能的子范围以及其子范围的组合。任何所列出的范围可被容易地理解为充分描述并使能被分解成至少相等的两半、三份、四份、五份、十份等的该同一范围。作为一非限制示例,本文中所讨论的每个范围都可被容易地分解成下三分之一、中间三分之一和上三分之一,等等。如本领域技术人员也将理解的,诸如“高达”、“至少”、“大于”、“少于”等的所有语言都包括所述的该数字并且指代随后可被分解成如上所讨论的子范围的范围。最后,如本领域技术人员将理解的,范围包括每个单个成员。因此,例如,具有1-3个单元的群组指代具有1个、2个或3个单元的群组。相似地,具有1-5个单元的群组指代具有1个、2个、3个、4个或5个单元的群组,以此类推。
虽然本文中已经描述了各个方面和实施例,但是其它方面和实施例对于本领域技术人员将是显而易见的。本文中所公开的各个方面和实施例是出于例证的目的,而非意图限制,其中真实范围和精神由权利要求来指明。
Claims (37)
1.一种用于数据中心中的以函数为目标的虚拟机切换的方法,所述方法包括:
选择被配置为在第一虚拟机上执行的至少一个函数;
调整与所述至少一个函数相关联的虚拟机切换概率;以及
当所述至少一个函数在第一虚拟机上执行时,基于所调整的虚拟机切换概率从第一虚拟机切换到第二虚拟机。
2.根据权利要求1所述的方法,还包括:
对在第一虚拟机上执行的处理进行概要分析;以及
基于所述概要分析来构建概率表,其中所述概率表包括所述虚拟机切换概率。
3.根据权利要求1所述的方法,还包括:基于虚拟机切换窗口从第一虚拟机切换到第二虚拟机。
4.根据权利要求1所述的方法,还包括:
调整与被配置为在第一虚拟机上执行的另一函数相关联的另一虚拟机切换概率;以及
当所述另一函数在第一虚拟机上执行时,基于所调整的所述另一虚拟机切换概率从第一虚拟机切换到另一虚拟机。
5.根据权利要求1所述的方法,还包括:基于期望的概率改变速率调整所述虚拟机切换概率。
6.根据权利要求5所述的方法,其中所述期望的概率改变速率基于用于获得统计上足够的用于边信道攻击的数据的时间。
7.根据权利要求5所述的方法,还包括:使用对应于所述期望的概率改变速率的缓慢变化输入来调整所述虚拟机切换概率。
8.根据权利要求7所述的方法,其中所述缓慢变化输入包括至少一个具有满足所述期望的概率改变速率的最小导数的非周期性伪随机函数。
9.根据权利要求1所述的方法,还包括:基于脆弱性表选择所述至少一个函数。
10.根据权利要求9所述的方法,还包括:通过监视具有特定格式的函数和当高值数据被处理时在第一虚拟机上执行的函数中的至少一个来构建所述脆弱性表。
11.根据权利要求1所述的方法,其中所述第一虚拟机和所述第二虚拟机在不同的服务器上执行。
12.根据权利要求11所述的方法,其中所述第一虚拟机和所述第二虚拟机在不同的数据中心处执行。
13.一种用于在数据中心中以函数为目标进行虚拟机切换的虚拟机管理器(VMM),所述VMM包括:
概要分析模块,其被配置为对在第一虚拟机上执行的处理进行概要分析;以及
处理模块,其被配置为:
选择在所述处理中实施的至少一个函数;
调整与所述至少一个函数相关联的虚拟机切换概率;以及
当所述至少一个函数在第一虚拟机上执行时,基于所调整的虚拟机切换概率从所述虚拟机切换到第二虚拟机。
14.根据权利要求13所述的VMM,其中所述处理模块被进一步配置为基于所述概要分析来构建概率表,所述概率表包括所述虚拟机切换概率。
15.根据权利要求13所述的VMM,其中所述处理模块被进一步配置为基于虚拟机切换窗口从第一虚拟机切换到第二虚拟机。
16.根据权利要求13所述的VMM,其中所述处理模块被进一步配置为:
调整与被配置为在第一虚拟机上执行的另一函数相关联的另一虚拟机切换概率;以及
当所述另一函数在第一虚拟机上执行时,基于所调整的所述另一虚拟机切换概率从第一虚拟机切换到另一虚拟机。
17.根据权利要求13所述的VMM,其中所述处理模块被进一步配置为基于期望的概率改变速率调整所述虚拟机切换概率。
18.根据权利要求17所述的VMM,其中所述期望的概率改变速率基于用于获得统计上足够的用于边信道攻击的数据的时间。
19.根据权利要求17所述的VMM,其中所述处理模块被进一步配置为使用对应于所述期望的概率改变速率的缓慢变化输入来调整所述虚拟机切换概率。
20.根据权利要求19所述的VMM,其中所述缓慢变化输入包括至少一个具有满足所述期望的概率改变速率的最小导数的非周期性伪随机函数。
21.根据权利要求13所述的VMM,其中所述处理模块被进一步配置为基于脆弱性表选择所述至少一个函数。
22.根据权利要求21所述的VMM,其中所述处理模块被进一步配置为:通过监视具有特定格式的函数和当高值数据被处理时在所述虚拟机上执行的函数中的至少一个来构建所述脆弱性表。
23.根据权利要求13所述的VMM,其中所述第一虚拟机和所述第二虚拟机在不同的服务器上执行。
24.根据权利要求23所述的VMM,其中所述第一虚拟机和所述第二虚拟机在不同的数据中心处执行。
25.一种被配置为利用以函数为目标的虚拟机切换的基于云的数据中心,所述数据中心包括:
多个虚拟机,其操作为在一个或多个物理机器上执行;以及
数据中心控制器,所述数据中心控制器被配置为:
选择被配置为在所述多个虚拟机中的第一虚拟机上执行的至少一个函数;
调整与所述至少一个函数相关联的虚拟机切换概率;以及
当所述至少一个函数在第一虚拟机上执行时,基于所调整的虚拟机切换概率从第一虚拟机切换到第二虚拟机。
26.根据权利要求25所述的数据中心,其中所述数据中心控制器被进一步配置为:
对在第一虚拟机上执行的处理进行概要分析;以及
基于所述概要分析来构建概率表,其中所述概率表包括所述虚拟机切换概率。
27.根据权利要求25所述的数据中心,其中所述数据中心控制器被进一步配置为基于虚拟机切换窗口从第一虚拟机切换到第二虚拟机。
28.根据权利要求25所述的数据中心,其中所述数据中心控制器被进一步配置为:
调整与被配置为在第一虚拟机上执行的另一函数相关联的另一虚拟机切换概率;以及
当所述另一函数在第一虚拟机上执行时,基于所调整的所述另一虚拟机切换概率从第一虚拟机切换到另一虚拟机。
29.根据权利要求25所述的数据中心,其中所述数据中心控制器被进一步配置为基于期望的概率改变速率调整所述虚拟机切换概率。
30.根据权利要求29所述的数据中心,其中所述期望的概率改变速率基于用于获得统计上足够的用于边信道攻击的数据的时间。
31.根据权利要求29所述的数据中心,其中所述数据中心控制器被进一步配置为使用对应于所述期望的概率改变速率的缓慢变化输入来调整所述虚拟机切换概率。
32.根据权利要求31所述的数据中心,其中所述缓慢变化输入包括至少一个具有满足所述期望的概率改变速率的最小导数的非周期性伪随机函数。
33.根据权利要求25所述的数据中心,其中所述数据中心控制器被进一步配置为基于脆弱性表选择所述至少一个函数。
34.根据权利要求33所述的数据中心,其中所述数据中心控制器被进一步配置为通过监视具有特定格式的函数和当高值数据被处理时在第一虚拟机上执行的函数中的至少一个来构建所述脆弱性表。
35.根据权利要求25所述的数据中心,其中所述第一虚拟机和所述第二虚拟机在不同的服务器上执行。
36.根据权利要求35所述的数据中心,其中所述第一虚拟机和所述第二虚拟机在不同的数据中心处执行。
37.一种具有存储于其上的指令的计算机可读存储介质,所述指令当在一个或多个计算装置上执行时执行用于以函数为目标的虚拟机切换的方法,其中所述方法包括权利要求1至12的操作。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/US2013/021603 WO2014112981A1 (en) | 2013-01-15 | 2013-01-15 | Function-targeted virtual machine switching |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104937550A true CN104937550A (zh) | 2015-09-23 |
CN104937550B CN104937550B (zh) | 2019-03-26 |
Family
ID=51209940
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201380070466.2A Expired - Fee Related CN104937550B (zh) | 2013-01-15 | 2013-01-15 | 以函数为目标的虚拟机切换 |
Country Status (3)
Country | Link |
---|---|
US (1) | US9304795B2 (zh) |
CN (1) | CN104937550B (zh) |
WO (1) | WO2014112981A1 (zh) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015021547A1 (en) * | 2013-08-12 | 2015-02-19 | Graphite Software Corporation | Operating system integrated domain management |
US9824225B1 (en) * | 2013-09-20 | 2017-11-21 | EMC IP Holding Company LLC | Protecting virtual machines processing sensitive information |
EP3072320A4 (en) | 2013-11-21 | 2017-05-24 | Graphite Software Corporation | Managed domains for remote content and configuration control on mobile information devices |
CN105917345B (zh) * | 2013-12-04 | 2019-02-05 | 英派尔科技开发有限公司 | 虚拟机之间的边信道攻击的检测 |
US9934047B2 (en) * | 2014-03-20 | 2018-04-03 | Intel Corporation | Techniques for switching between operating systems |
US10868665B1 (en) * | 2015-05-18 | 2020-12-15 | Amazon Technologies, Inc. | Mitigating timing side-channel attacks by obscuring accesses to sensitive data |
US10311229B1 (en) | 2015-05-18 | 2019-06-04 | Amazon Technologies, Inc. | Mitigating timing side-channel attacks by obscuring alternatives in code |
US10678574B1 (en) | 2017-11-01 | 2020-06-09 | Amazon Technologies, Inc. | Reconfiguration rate-control |
US11755496B1 (en) | 2021-12-10 | 2023-09-12 | Amazon Technologies, Inc. | Memory de-duplication using physical memory aliases |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101213518A (zh) * | 2005-06-30 | 2008-07-02 | 英特尔公司 | 通过指令组设陷来优化os上下文切换的系统和方法 |
US20100246808A1 (en) * | 2007-12-05 | 2010-09-30 | Nec Corporation | Side channel attack tolerance evaluation apparatus, method and program |
US20110022812A1 (en) * | 2009-05-01 | 2011-01-27 | Van Der Linden Rob | Systems and methods for establishing a cloud bridge between virtual storage resources |
US20110023114A1 (en) * | 2009-07-22 | 2011-01-27 | Wael William Diab | Method and System For Traffic Management Via Virtual Machine Migration |
US20110264939A1 (en) * | 2011-07-01 | 2011-10-27 | Wong Wendy C | Stochastic management of power consumption by computer systems |
Family Cites Families (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7142670B2 (en) * | 2001-08-14 | 2006-11-28 | International Business Machines Corporation | Space-efficient, side-channel attack resistant table lookups |
EP1331565B1 (en) | 2002-01-29 | 2018-09-12 | Texas Instruments France | Application execution profiling in conjunction with a virtual machine |
JP2006059052A (ja) | 2004-08-19 | 2006-03-02 | Hitachi Ltd | 仮想計算機システム |
US20070174429A1 (en) * | 2006-01-24 | 2007-07-26 | Citrix Systems, Inc. | Methods and servers for establishing a connection between a client system and a virtual machine hosting a requested computing environment |
US7554865B2 (en) * | 2006-09-21 | 2009-06-30 | Atmel Corporation | Randomizing current consumption in memory devices |
US7802050B2 (en) | 2006-09-29 | 2010-09-21 | Intel Corporation | Monitoring a target agent execution pattern on a VT-enabled system |
US20080235769A1 (en) | 2007-03-21 | 2008-09-25 | Stacy Purcell | System and method for adaptive tarpits using distributed virtual machines |
US8341626B1 (en) * | 2007-11-30 | 2012-12-25 | Hewlett-Packard Development Company, L. P. | Migration of a virtual machine in response to regional environment effects |
US20110078797A1 (en) | 2008-07-29 | 2011-03-31 | Novell, Inc. | Endpoint security threat mitigation with virtual machine imaging |
JP5223596B2 (ja) * | 2008-10-30 | 2013-06-26 | 富士通株式会社 | 仮想計算機システム及びその管理方法、管理プログラム並びに記録媒体、制御方法 |
US8321862B2 (en) * | 2009-03-20 | 2012-11-27 | Oracle America, Inc. | System for migrating a virtual machine and resource usage data to a chosen target host based on a migration policy |
US9672189B2 (en) | 2009-04-20 | 2017-06-06 | Check Point Software Technologies, Ltd. | Methods for effective network-security inspection in virtualized environments |
US8924534B2 (en) | 2009-10-27 | 2014-12-30 | Vmware, Inc. | Resource optimization and monitoring in virtualized infrastructure |
JP5434616B2 (ja) | 2010-01-15 | 2014-03-05 | 富士通株式会社 | 仮想計算機、仮想計算機モニタ、および計算機の制御方法 |
JP5853327B2 (ja) * | 2010-10-31 | 2016-02-09 | テンポラル ディフェンス システムズ, エルエルシー | 仮想コンピューティング環境を保護するためのシステムおよび方法 |
US8756599B2 (en) * | 2011-01-17 | 2014-06-17 | International Business Machines Corporation | Task prioritization management in a virtualized environment |
US8505097B1 (en) * | 2011-06-30 | 2013-08-06 | Emc Corporation | Refresh-and-rotation process for minimizing resource vulnerability to persistent security threats |
US8839004B1 (en) * | 2012-04-16 | 2014-09-16 | Ionu Security, Inc. | Secure cloud computing infrastructure |
US8813240B1 (en) * | 2012-05-30 | 2014-08-19 | Google Inc. | Defensive techniques to increase computer security |
-
2013
- 2013-01-15 WO PCT/US2013/021603 patent/WO2014112981A1/en active Application Filing
- 2013-01-15 CN CN201380070466.2A patent/CN104937550B/zh not_active Expired - Fee Related
- 2013-01-15 US US13/977,670 patent/US9304795B2/en not_active Expired - Fee Related
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101213518A (zh) * | 2005-06-30 | 2008-07-02 | 英特尔公司 | 通过指令组设陷来优化os上下文切换的系统和方法 |
US20100246808A1 (en) * | 2007-12-05 | 2010-09-30 | Nec Corporation | Side channel attack tolerance evaluation apparatus, method and program |
US20110022812A1 (en) * | 2009-05-01 | 2011-01-27 | Van Der Linden Rob | Systems and methods for establishing a cloud bridge between virtual storage resources |
US20110023114A1 (en) * | 2009-07-22 | 2011-01-27 | Wael William Diab | Method and System For Traffic Management Via Virtual Machine Migration |
US20110264939A1 (en) * | 2011-07-01 | 2011-10-27 | Wong Wendy C | Stochastic management of power consumption by computer systems |
Non-Patent Citations (1)
Title |
---|
KADLOOR ET AL.: ""Mitigating Timing based Information Leakage in Shared Schedulers"", 《INFOCOM,2012 PROCEEDINGS IEEE》 * |
Also Published As
Publication number | Publication date |
---|---|
CN104937550B (zh) | 2019-03-26 |
US20140359778A1 (en) | 2014-12-04 |
WO2014112981A1 (en) | 2014-07-24 |
WO2014112981A8 (en) | 2017-01-05 |
US9304795B2 (en) | 2016-04-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104937550A (zh) | 以函数为目标的虚拟机切换 | |
US9866378B2 (en) | Encryption method, encryptor, and encryption system for encrypting electronic data by splitting electronic data | |
Zhang et al. | Cloudradar: A real-time side-channel attack detection system in clouds | |
CN102385456B (zh) | 分辨合一触摸接触 | |
CN107784231B (zh) | 指令的执行和动态编译方法、装置及电子设备 | |
EP2803009B1 (en) | Virtual machine device having key driven obfuscation and method | |
CN103020537B (zh) | 数据加密方法和装置、数据解密方法和装置 | |
CN109040076B (zh) | 一种数据处理方法、系统、装置、设备及介质 | |
KR20140053754A (ko) | 부 채널 및 반복 호출 공격들의 방지를 위한 동적 시간 가변 연산 경로 시스템 및 방법 | |
CN110312054B (zh) | 图像的加解密方法、及相关装置、存储介质 | |
CN109564566A (zh) | 对调用应用的发现以用于控制文件水化行为 | |
US20190102546A1 (en) | Method and apparatus for detecting side-channel attack | |
CN105095097A (zh) | 随机化的存储器访问 | |
CN108008891A (zh) | 一种导航栏的控制方法及装置、终端、可读存储介质 | |
CN109635993A (zh) | 基于预测模型的操作行为监控方法及装置 | |
CN105718462B (zh) | 一种针对应用操作的作弊检测方法及装置 | |
CN104660400A (zh) | 一种rsa模幂运算方法和装置 | |
US9747448B2 (en) | Cryptographic mechanisms to provide information privacy and integrity | |
CN104506636A (zh) | 一种数据同步方法及装置 | |
CN109657153A (zh) | 一种用于确定用户的关联财经信息的方法与设备 | |
US9239927B2 (en) | Static analysis for discovery of timing attack vulnerabilities in a computer software application | |
CN107633174B (zh) | 一种用户输入管理方法及装置、终端 | |
CN104615941A (zh) | Android用户分区的快速加密方法、装置和终端设备 | |
CN111538988A (zh) | 防攻击的程序运行方法和装置、存储介质、电子装置 | |
CN111192061A (zh) | 基于二进制位设计的判断客户参加促销活动的方法、装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20190326 Termination date: 20200115 |
|
CF01 | Termination of patent right due to non-payment of annual fee |