通過在數據中心處的協處理器的制圖進行惡意攻擊防止的制作方法

通過在數據中心處的協處理器的制圖進行惡意攻擊防止的制作方法
【專利說明】通過在數據中心處的協處理器的制圖進行惡意攻擊防止
【背景技術】
[0001] 除非本文另外指出，否則在本部分描述的內容不是針對本申請的權利要求的現有 技術，并且不會由于包含在本部分而被視為現有技術。
[0002] 云基礎設施提供商可W利用規模經濟W低成本來提供動態的和按需的計算資源。 虛擬化是可被基礎設施提供商利用來提高效率和增強性能的工具之一。來自于多個客戶的 虛擬機(V^O可W共享例如現場口可編程陣列(FPGA)的物理資源，從而為額外的計算能力配 置協處理器。然而，協處理器可W被使用指紋識別方法的惡意攻擊者用于映射共享的資源。 運個潛在的漏桐可W導致數據中屯、的客戶對于共享資源易受到通過制圖的惡意攻擊謹慎。 阻止客戶遷移到云計算的主要障礙是害怕來自于其他用戶的監視和惡意攻擊。
[0003] 懸
[0004] 本公開大致描述了通過在數據中屯、協處理器的制圖進行惡意攻擊防止的技術。
[0005] 根據一些示例，提供了一種通過協處理器的制圖防止惡意攻擊的方法。示例方法 可W包括接收配置來在現場可編程口陣列(FPGA)上創建協處理器、為協處理器確定未使用 的排列、根據未使用的排列在FPGA上確定未使用的布置、在配置矩陣中存儲未使用的排列 和未使用的布置，其中未使用的排列和未使用的布置是和協處理器的類型有關、并且根據 選擇的未使用的排列選擇未使用的排列中的一個和未使用的布置中的一個來創建協處理 器。
[0006] 根據其他的示例，服務器被提供通過在數據中屯、協處理器的制圖來防止惡意攻 擊。此服務器可W包括配置成存儲指令的存儲器、與存儲器禪合的和配置成執行配置模塊 的控制器。此配置模塊被配置成接收配置來在現場可編輯口陣列(FPGA)上創建協處理器、 為協處理器確定未使用的排列、利用限定的連接點把協處理器分成元件來確定未使用的排 列、根據未使用的排列在FPGA上確定未使用的布置、在配置矩陣中存儲未使用的排列和未 使用的布置，其中未使用的排列和未使用的布置與協處理器的類型有關、并且根據選擇的 未使用的排列選擇未使用的排列中的一個和未使用的布置中的一個來創建協處理器。
[0007] 根據一些示例，計算機可讀介質可W存儲指令用于通過在數據中屯、協處理器的制 圖來防止惡意攻擊。運些指令當被執行時可W引起被執行的方法，此方法與上面描述的方 法是類似的。
[000引前面的概述僅僅是示例性的，而不意在W任何方式進行限制。通過參考附圖W及 下面的詳細說明，除了上文所描述的示例性的方案、實施例和特征之外，另外的方案、實施 例和特征將變得清晰可見。
【附圖說明】
[0009] 通過結合附圖進行的W下描述和所附權利要求，本公開的前述和其它特征將變得 更充分地顯而易見。應當理解，運些附圖僅僅描繪了根據本公開的幾個實施例，因此，不應 被認為是限制其范圍，將通過使用附圖來更具體地、更詳細地描述本公開，在附圖中：
[0010] 圖1是說明在數據中屯、現場可編程n陣列(FPGA化的協處理器的配置示例圖示；
[0011] 圖2是說明通過在數據中屯、協處理器的制圖來進行惡意攻擊防止的示例圖示；
[0012] 圖3是說明通過在數據中屯、協處理器的重新排列進行惡意攻擊防止的示例；
[0013] 圖4是說明通過在數據中屯、協處理器的布置進行惡意攻擊防止的另一示例；
[0014] 圖5是說明通過在數據中屯、協處理器的制圖用來防止惡意攻擊的示例活動圖；
[0015] 圖6示出了通用型計算裝置，其可用于通過在數據中屯、協處理器的制圖來防止惡 意攻擊。
[0016] 圖7是說明通過在數據中屯、協處理器的制圖來防止惡意攻擊的方法的流程圖；W 及
[0017] 圖8是說明通過在數據中屯、協處理器的制圖來防止惡意攻擊的示例計算機程序產 品的方塊框圖；
[0018] 所有附圖都是依照本文所述的至少一些實施例來布置的。
【具體實施方式】
[0019] 在W下詳細描述中，對附圖進行參考，所述附圖形成詳細描述的一部分。除非上下 文另外指示，否則在附圖中，相似的符號通常標識相似的部件。在詳細描述、附圖和權利要 求中描述的說明性實施例并不意味著是限制性的。在不脫離本文所提供的主題的精神或范 圍的情況下，可W利用其它實施例，W及可W進行其它改變。如在本文中一般地描述的和在 圖中示出的那樣，本公開的各方面可W W廣泛多樣的不同配置被布置、替代、組合、分割和 設計，所有運些在本文中都被明確地構想。
[0020] 本公開設及了尤其是與通過在數據中屯、處協處理器的制圖來進行惡意攻擊的防 止的相關的方法、裝置、系統和/或者計算機程序產品。
[0021] 簡單地說，技術是針對通過在數據中屯、處的協處理器的制圖（cartography)來防 止惡意攻擊。根據一些示例，用來在現場可編輯口陣列(FPGA)處創建協處理器的配置數據 可W在配置控制器上被接收。此配置控制器可W確定對于協處理器的未使用的排列W及與 未使用的排列相對應的在FPGA處的未使用的布置。與協處理器的類型關聯的已使用的排列 和未使用的布置可W被存儲在配置矩陣中。未使用的排列中的一個和與所選擇的未使用的 排列對應的未使用的布置中的一個然后可W被配置控制器選擇來創建協處理器。
[0022] 圖1是說明在數據中屯、的現場可編程口陣列（FPGA)上的協處理器的配置示例圖 示，其依照本文所述的至少一些實施例來安排的。
[0023] 如圖所述，框圖100示出了在數據中屯、的服務器的功能性框圖。管理程序106管理 多核陣列104,在虛擬機(VMH02中執行應用的許多用戶之間共享核(或者處理器）。運些核 可W包括適于提供給VM計算能力的處理器。VM可W是用于應用和服務的獨立執行環境。管 理程序106可W是可創建和執行VM102的VM管理器(VMM)。被管理程序106管理的VM102的數 量可受限于可用的資源，包括多核陣列104中的核的數量。
[0024] 多核陣列104可W包括核C1 (108)，C2 (110)直到Cm( 112)。在數據中屯、的片上系統 (SoC)IH可W包括FPGA 12(LSoC 114通過配置在FPGA處的協處理器給管理程序106提供了 額外的計算能力。FPGA可W配置有多個協處理器例如〔？1(122)、〔?2(124)、和〔?3(126)。￥1 可W在FPGA120內的協處理器中執行指令。運些指令通過系統存儲器128被傳送給FPGA 120。
[00巧]配置控制器微處理器116可W配置FPGA 120內的協處理器。此配置控制器微處理 器116可W利用配置件(Configware)IlS來配置協處理器。配置件118可W是協處理器的存 儲器中的軟件描述用來配置FPGA 120。運些配置可W包括用來構建FPGA 120內的協處理器 的指令，其基于協處理器的屬性例如協處理器類型、協處理器的功能和類似的屬性。
[0026] 允許客戶將協處理器配置在FPGA上可W使數據中屯、暴漏出安全缺陷。協處理器能 夠指紋識別的nge巧rinting)(映射)FPGA。指紋識別可W包括用來識別FPGA的布局的措施 (measurement)。能夠識別FPGA上的協處理器的布置的客戶然后可W執行云制圖。云制圖可 包括數據中屯、資源的映射，目標是執行攻擊其他用戶。運些攻擊可W包括邊信道攻擊來發 現被其他VM執行的指令。
[0027] 圖2是說明通過在數據中屯、處協處理器的制圖進行惡意攻擊防止的示例圖示，其 是依照本文所述的至少一些實施例來安排的。
[0028] 如框圖200中所示，管理程序206可W管理VM 202。管理程序206可W將資源例如核 分配給VM 202用于在多核陣列204上執行指令。管理程序206也可W管理與SoC 214的通信， W提供給VM 202額外的計算能力。管理程序206可W和SoC 214通信W在FPGA 220處配置的 協處理器上執行來自于VM 202的指令。對比通過核可獲得的計算能力，協處理器可W提供 專業的計算能力給VM用于W更高的速度或者更高的容量(VOl皿e)來執行指令。
[0029] 在整個數據中屯、可訪問的配置矩陣226可W存儲列舉了 FPGA的協處理器的配置的 陣列。配置可W是例如描述協處理器的一個或者多個排列和一個或者多個布置的結構文 檔。配置矩陣可W是數據存儲或者數據文件。響應于接收到配置協處理器的請求，協處理器 可W被配置控制器在FPGA 220內配置。配置矩陣226可W把協處理器的未使用的排列和未 使用的布置發送到配置控制器來在FPGA220中配置。配置控制器可W基于FPGA 220上的可 用的空間來選擇布置和排列。
[0030] 配置控制器可W把布置和排列的選擇發送到配置矩陣226,并且從用于后續使用 的配置列表中移除已選擇的布置和已選擇的排列。此選擇也描述了協處理器CP3的排列