一种物理内存访问控制与隔离方法技术

本发明专利技术涉及一种物理内存访问控制与隔离方法，包括：根据虚拟机中的任务发出的内存访问请求，得到该虚拟机的第一拥有者信息(VMID)、所述任务的第一任务信息(TID)。根据请求产生的虚拟地址查找系统页表，找到虚拟地址对应的物理地址。查找物理页面属性表，并获取与物理地址对应的第二拥有者信息(VMID)和第二任务信息(TID)。至少根据第一拥有者信息(VMID)、第一任务信息(TID)、第二拥有者信息(VMID)和第二任务信息(TID)，确定是否允许内存访问。本发明专利技术可以很好地解决虚拟化平台中虚拟机管理程序、虚拟机内部其他任务以及当前任务的非法代码对当前任务数据的非法访问。

【技术实现步骤摘要】
一种物理内存访问控制与隔离方法
本专利技术涉及物理内存访问控制与隔离方法，尤其是涉及一种添加物理页面属性实现虚拟机内任务级别的物理内存访问控制与隔离方法。
技术介绍
AMD公司的SEV技术可以实现对虚拟机所使用的物理内存进行加密。加密的密钥只有安全处理器能够访问，不同的虚拟机所用的密钥不同，虚拟机和管理程序所用的密钥也不相同，因此可以保证虚拟机的内存不能被其他的虚拟机或者管理程序访问。这种基于加密来实现的内存保护存在3个主要的安全隐患：1)如果攻击者破解了加密算法那么保护就会完全失效或算法实现存在某些漏洞导致保护强度的降低；2)数据缺乏完整性保护，攻击者可以修改加密的数据而CPU无法实时动态检测出数据发生的变化；3)虚拟机内部的任务之间使用相同的密钥，因此加密的数据对于虚拟机内部的任务是透明的，攻击者仍然可以利用虚拟机的漏洞访问应该被保护的数据。
技术实现思路
本专利技术主要一种物理内存访问控制与隔离方法,通过为每个物理页面增加物理页面属性表来实现对虚拟机内存访问的控制与隔离，通过这种方法来增加安全性。页面属性中包含当前页面所属的虚拟机ID，因此只有页面的拥有者虚拟机能够访问此物理页面；本文档来自技高网...

【技术保护点】
一种物理内存访问控制与隔离方法，其特征在于，所述方法包括：步骤101：根据虚拟机中的任务发出的内存访问请求，得到该虚拟机的第一拥有者信息(VMID)和所述任务的第一任务信息(TID)；步骤102：根据所述请求产生的虚拟地址查找系统页表；步骤103：找到虚拟地址对应的物理地址；步骤104：查找物理页面属性表，并获取与物理地址对应的第二拥有者信息(VMID)和第二任务信息(TID)；步骤105：至少根据所述第一拥有者信息(VMID)、所述第一任务信息(TID)、所述第二拥有者信息(VMID)和所述第二任务信息(TID)，确定是否允许内存访问。

【技术特征摘要】
1.一种物理内存访问控制与隔离方法，其特征在于，所述方法包括：步骤101：根据虚拟机中的任务发出的内存访问请求，得到该虚拟机的第一拥有者信息(VMID)和所述任务的第一任务信息(TID)；步骤102：根据所述请求产生的虚拟地址查找系统页表；步骤103：找到虚拟地址对应的物理地址；步骤104：查找物理页面属性表，并获取与物理地址对应的第二拥有者信息(VMID)和第二任务信息(TID)；步骤105：至少根据所述第一拥有者信息(VMID)、所述第一任务信息(TID)、所述第二拥有者信息(VMID)和所述第二任务信息(TID)，确定是否允许内存访问。2.根据权利要求1所述的方法，其特征在于，所述步骤105确定是否允许内存访问的步骤包括：步骤106：判断第一拥有者信息(VMID)和第二拥有者信息(VMID)是否相等；如果步骤106中判断为否，拒绝访问；如果判断为是，执行步骤107；步骤107：判断第一任务信息(TID)和第二任务信息(TID)是否相等；如果步骤107中判...

【专利技术属性】
技术研发人员：冯浩，应志伟，杜朝晖，
申请(专利权)人：致象尔微电子科技上海有限公司，
类型：发明
国别省市：上海,31