安全控制方法及安全处理器、计算机系统技术方案

本发明专利技术实施例公开了一种安全控制方法以及安全处理器、计算机系统，所述方法包括:安全处理器接收来自主处理器的安全模式设置请求，所述设置请求包括程序主体的标识以及所述程序主体的安全模式；根据所述安全模式设置请求，更新与所述程序主体的标识对应的安全信息表项；其中，安全信息表存储有与程序主体相关联的所述安全信息表项，所述安全信息表项存储有程序主体的安全模式，所述安全模式用于指示所述程序主体的运行方式。本发明专利技术实施例中的技术方案可以提升计算机系统的安全性，以及提升对不同程序主体进行安全控制的通用性和兼容性。

【技术实现步骤摘要】
安全控制方法及安全处理器、计算机系统
本专利技术涉及计算机领域，尤其涉及一种安全控制方法以及安全处理器、计算机系统。
技术介绍
虚拟机(VirtualMachine，VM)是通过软件模拟的具有完整硬件系统功能的计算机系统。虚拟机管理器(VirtualMachineManager，VMM)建立和维护管理虚拟机的框架，为虚拟机创建地址空间，以运行虚拟机。虚拟机和虚拟机管理器的本质均为一种程序主体。虚拟机以及其它程序主体的安全运行是计算机
中的研究热点。现有的计算机系统的安全性有待提升。
技术实现思路
本专利技术实施例解决的技术问题是提升计算机系统的安全性。为解决上述技术问题，本专利技术实施例提供一种安全控制方法，包括:安全处理器接收来自主处理器的安全模式设置请求，所述设置请求包括程序主体的标识以及所述程序主体的安全模式；根据所述安全模式设置请求，更新与所述程序主体的标识对应的安全信息表项；其中，安全信息表存储有与程序主体相关联的所述安全信息表项，所述安全信息表项存储有程序主体的安全模式，所述安全模式用于指示所述程序主体的运行方式。可选的，根据所述安全模式设置请求，更新安全信息表项包括：查询与所述程序主体的标识对应的安全信息表项，确认所述安全模式被配置为允许更改；根据所述设置请求更新与所述程序主体的标识对应的安全信息表项。可选的，更新与所述程序主体的标识对应的安全信息表项后，所述方法还包括：配置所述程序主体的标识以及所述程序主体的安全模式至安全状态寄存器，所述安全状态寄存器选自系统寄存器。可选的，所述安全状态寄存器供所述程序主体查询，以确认所述程序主体运行的安全状态。可选的，所述方法还包括配置所述程序主体的标识以及所述程序主体的安全模式至专有安全寄存器，所述专有安全寄存器位于内存控制器。可选的，所述专有安全寄存器供所述内存控制器查询，以使得所述程序主体按照相应的安全模式通过所述内存控制器运用内存数据。可选的，所述程序主体按照相应的安全模式运用内存数据包括：根据所述安全模式确定控制内容，所述控制内容用于指示所述程序主体对内存数据的运用方式；根据所述对内存数据的应用方式，对内存进行读写操作。可选的，所述方法还包括：接收来自所述主处理器的回收请求，所述回收请求包括待回收的程序主体的标识；响应于所述回收请求进行回收操作，所述回收操作包括：销毁所述待回收的程序主体在安全模式下使用的内存数据。可选的，所述回收操作还包括：设置待回收的程序主体对应的所述安全信息表项为无效。可选的，所述回收操作还包括：在安全状态寄存器中设置所述待回收的程序主体的安全模式为不使用任何安全模式，所述安全状态寄存器选自系统寄存器。可选的，所述回收操作还包括：在专有安全寄存器中设置所述待回收的程序主体的安全模式为不使用任何安全模式，所述专有安全寄存器位于内存控制器。可选的，所述安全模式包括以下至少一种：加密模式、隔离模式、加密和隔离的混合模式，以及不使用任何安全模式。可选的，所述程序主体通过地址空间识别符号标识。可选的，所述程序主体包括以下至少一种：虚拟机、虚拟机管理器以及运行于所述虚拟机的程序。可选的，所述主处理器适于运行操作系统，所述操作系统适于运行所述程序主体，所述安全处理器与所述主处理器物理隔离。本专利技术实施例还提供一种安全处理器，包括：设置请求接收单元，适于接收来自主处理器的安全模式设置请求，所述设置请求包括程序主体的标识以及所述程序主体的安全模式；表项更新单元，适于根据所述安全模式设置请求，更新与所述程序主体的标识对应的安全信息表项；其中，安全信息表存储有与程序主体相关联的所述安全信息表项，所述安全信息表项存储有程序主体的安全模式，所述安全模式用于指示所述程序主体的运行方式。可选的，所述表项更新单元包括：查询子单元，适于查询与所述程序主体的标识对应的安全信息表项，确认所述安全模式被配置为允许更改；更新子单元，适于根据所述设置请求更新与所述程序主体的标识对应的安全信息表项。可选的，所述安全处理器还包括：安全状态寄存器配置单元，适于更新与所述程序主体的标识对应的安全信息表项后，配置所述程序主体的标识以及所述程序主体的安全模式至安全状态寄存器，所述安全状态寄存器选自系统寄存器。可选的，所述安全状态寄存器供所述程序主体查询，以确认所述程序主体运行的安全状态。可选的，所述安全处理器还包括：专有安全寄存器配置单元，适于配置所述程序主体的标识以及所述程序主体的安全模式至专有安全寄存器，所述专有安全寄存器位于内存控制器。可选的，所述专有安全寄存器供所述内存控制器查询，以使得所述程序主体按照相应的安全模式通过所述内存控制器运用内存数据。可选的，所述程序主体按照相应的安全模式运用内存数据包括：根据所述安全模式确定控制内容，所述控制内容用于指示所述程序主体对内存数据的运用方式；根据所述对内存数据的应用方式，对内存进行读写操作。可选的，所述安全处理器还包括：回收请求接收单元，适于接收来自所述主处理器的回收请求，所述回收请求包括待回收的程序主体的标识；回收请求响应单元，适于响应于所述回收请求进行回收操作，所述回收操作包括：销毁所述待回收的程序主体在安全模式下使用的内存数据。可选的，所述回收操作还包括：设置待回收的程序主体对应的所述安全信息表项为无效。可选的，所述回收操作还包括：在安全状态寄存器中设置所述待回收的程序主体的安全模式为不使用任何安全模式，所述安全状态寄存器选自系统寄存器。可选的，所述回收操作还包括：在专有安全寄存器中设置所述待回收的程序主体的安全模式为不使用任何安全模式，所述专有安全寄存器位于内存控制器。可选的，所述安全模式包括以下至少一种：加密模式、隔离模式、加密和隔离的混合模式，以及不使用任何安全模式。可选的，所述程序主体通过地址空间识别符号标识。可选的，所述程序主体包括以下至少一种：虚拟机、虚拟机管理器以及运行于所述虚拟机的程序。可选的，所述主处理器适于运行操作系统，所述操作系统适于运行所述程序主体，所述安全处理器与所述主处理器物理隔离。本专利技术实施例还提供一种计算机系统，包括：所述安全处理器，以及所述主处理器。与现有技术相比，本专利技术实施例的技术方案具有以下有益效果：在本专利技术实施例中，安全处理器可以接收来自主处理器的安全设置请求，对程序主体进行安全模式的设置，故对应不同的程序主体，可以设置不同的安全模式，实现对不同程序主体的总的安全控制，提升安全性。虚拟机和虚拟机管理器均可以作为本专利技术实施例中的程序主体，故利用本专利技术实施例中的安全控制方法，可以提升虚拟机的安全性。附图说明图1是本专利技术实施例中一种安全控制方法的流程图；图2是本专利技术实施例一种计算机系统的结构示意图；图3是本专利技术实施例中一种程序主体按照相应的安全模式运用内存数据的流程图；图4是本专利技术实施例中一种安全处理器的结构示意图。具体实施方式如前所述，现有的虚拟机的安全性有待提升。在一种安全控制方法中，可以采用对虚拟机管理器的物理内存和每个虚拟机的物理内存进行加密的安全模式，以隔离不安全的虚拟机间的内存互访，或虚拟机管理器对虚拟机内存的不安全访问。在另一种安全控制方法中，可以采用控制虚拟机或虚拟机管理器以隔离的方式对内存进行读写的安全模式。或者，在其它安全控制方法中，可以复用隔离和加密的安全模式本文档来自技高网...

【技术保护点】
1.一种安全控制方法，其特征在于，包括:安全处理器接收来自主处理器的安全模式设置请求，所述设置请求包括程序主体的标识以及所述程序主体的安全模式；根据所述安全模式设置请求，更新与所述程序主体的标识对应的安全信息表项；其中，安全信息表存储有与程序主体相关联的所述安全信息表项，所述安全信息表项存储有程序主体的安全模式，所述安全模式用于指示所述程序主体的运行方式。

【技术特征摘要】
1.一种安全控制方法，其特征在于，包括:安全处理器接收来自主处理器的安全模式设置请求，所述设置请求包括程序主体的标识以及所述程序主体的安全模式；根据所述安全模式设置请求，更新与所述程序主体的标识对应的安全信息表项；其中，安全信息表存储有与程序主体相关联的所述安全信息表项，所述安全信息表项存储有程序主体的安全模式，所述安全模式用于指示所述程序主体的运行方式。2.根据权利要求1所述的安全控制方法，其特征在于，根据所述安全模式设置请求，更新安全信息表项包括：查询与所述程序主体的标识对应的安全信息表项，确认所述安全模式被配置为允许更改；根据所述设置请求更新与所述程序主体的标识对应的安全信息表项。3.根据权利要求1所述的安全控制方法，其特征在于，更新与所述程序主体的标识对应的安全信息表项后，所述方法还包括：配置所述程序主体的标识以及所述程序主体的安全模式至安全状态寄存器，所述安全状态寄存器选自系统寄存器。4.根据权利要求3所述的安全控制方法，其特征在于，所述安全状态寄存器供所述程序主体查询，以确认所述程序主体运行的安全状态。5.根据权利要求1所述的安全控制方法，其特征在于，所述方法还包括配置所述程序主体的标识以及所述程序主体的安全模式至专有安全寄存器，所述专有安全寄存器位于内存控制器。6.根据权利要求5所述的安全控制方法，其特征在于，所述专有安全寄存器供所述内存控制器查询，以使得所述程序主体按照相应的安全模式通过所述内存控制器运用内存数据。7.根据权利要求6所述的安全控制方法，其特征在于，所述程序主体按照相应的安全模式运用内存数据包括：根据所述安全模式确定控制内容，所述控制内容用于指示所述程序主体对内存数据的运用方式；根据所述对内存数据的应用方式，对内存进行读写操作。8.根据权利要求1所述的安全控制方法，其特征在于，所述方法还包括：接收来自所述主处理器的回收请求，所述回收请求包括待回收的程序主体的标识；响应于所述回收请求进行回收操作，所述回收操作包括：销毁所述待回收的程序主体在安全模式下使用的内存数据。9.根据权利要求8所述的安全控制方法，其特征在于，所述回收操作还包括：设置待回收的程序主体对应的所述安全信息表项为无效。10.根据权利要求8所述的安全控制方法，其特征在于，所述回收操作还包括：在安全状态寄存器中设置所述待回收的程序主体的安全模式为不使用任何安全模式，所述安全状态寄存器选自系统寄存器。11.根据权利要求8所述的安全控制方法，其特征在于，所述回收操作还包括：在专有安全寄存器中设置所述待回收的程序主体的安全模式为不使用任何安全模式，所述专有安全寄存器位于内存控制器。12.根据权利要求1所述的安全控制方法，其特征在于，所述安全模式包括以下至少一种：加密模式、隔离模式、加密和隔离的混合模式，以及不使用任何安全模式。13.根据权利要求1所述的安全控制方法，其特征在于，所述程序主体通过地址空间识别符号标识。14.根据权利要求1所述的安全控制方法，其特征在于，所述程序主体包括以下至少一种：虚拟机、虚拟机管理器以及运行于所述虚拟机的程序。15.根据权利要求1所述的安全控制方法，其特征在于，所述主处理器适于运行操作系统，所述操作系统适于运行所述程序主体，所述安全处理器与所述主处理器物理隔离。16.一种安全处理器，其特征在于，包括：设置请求接收单元，适于接收来自主处理器的安全模式设置请求，所述设置请求包括程...

【专利技术属性】
技术研发人员：王海洋，
申请(专利权)人：成都海光集成电路设计有限公司，
类型：发明
国别省市：四川,51