随着现代社会计算机系统的高速发展,各种信息威胁也应运而生,信息安全受到越来越多的关注。信息的安全性除了依赖密码算法自身的数学原理保证安全之外,密码算法在系统上实现过程中的物理变化也对其构成了威胁。近年来,出现了各种针对处理器的缓存侧信道攻击,主要利用处理器内部缓存的争用来泄露进程之间的秘密信息[1]。攻击者利用高隐蔽性的缓存侧信道技术,从目标缓存中获得进程执行的缓存状态等敏感数据,对传统密码计算应用的安全构成了很大的威胁[2]。本文设计并实现一个针对缓存侧信道攻击的防护系统,通过修改共享页面映射关系,将敏感信息所在页面的共享属性改为单独映射。由于缓存攻击是基于物理地址的攻击,不同物理地址对应的缓存组不同,通过将共享页面改为单独映射将改变其物理地址,可以间接改变该页面在进程执行过程中所加载的缓存组位置,从而使得攻击者进程在可监控的缓存组内不能探测到受害进程的缓存状态,破坏了缓存攻击的条件,进而保护了系统的敏感信息不被攻击者窃取。针对侧信道防护的需求,本文开展基于改进内核映射机制的缓存侧信道攻击防护方法研究,并成功抵御攻击者获取到目标进程的加密密钥。内容主要有:（1）侧信道攻击复现。基于AES等分组加密算法的安全性缺陷,研究了密码方案在实现过程中可能的物理层面威胁。在此基础上进行了侧信道攻击的复现,获得了在OpenSSL库中基于查找表实现的AES-128算法的加密密钥,验证了攻击有效。（2）代码敏感性分析。为防止应用程序中的敏感信息（包括加解密算法中的密钥、程序计算的关键数据、用户的行为或内存布局等）被窃取,预先通过先验知识分析确定应用程序代码中含有敏感信息并且容易受到侧信道攻击的页面,以及确定该页面中敏感信息的处理与特定缓存访问之间的依赖关系。（3）侧信道攻击防护。设计了一个内核模块,对系统加载的可执行文件进行一定程度的轻量级解析,判断是否需要进行侧信道保护。一旦确认需要保护,就进一步干预该文件的映射过程,对前述线下检测确定的指定代码页面进行私有化,从而在进程生命周期内实现共享页面的单独映射。本文以内核模块加载前后是否能成功恢复密钥为例作对比,加载前可以成功恢复出AES加密的完整密钥,而加载后再次进行攻击则发现没有比较明显的高分值可以被用来做假设检验推测密钥,由此验证了本文防护系统的有效性。由于本文防护工作是在进程生命周期内完成,与传统抵御侧信道攻击的方案相比,在性能方面也有一定的优势。