【技术实现步骤摘要】
安全数据内存隔离方法、装置、设备、存储介质
本公开涉及虚拟机安全
,尤其涉及一种安全数据内存隔离方法、装置、设备、存储介质。
技术介绍
AMD公司的SEV(SecureEncryptedVirtualization,安全加密虚拟化)技术能够实现对虚拟机管理器(Hypervisor)的物理内存和每个虚拟机(VM)的物理内存分别使用不同的密钥进行加密。密钥只能通过特殊的安全处理器进行管理,x86CPU不能直接访问密钥,这样就可以隔离不安全的虚拟机间内存互访,或虚拟机管理器对虚拟机内存的不安全访问。现有技术中的主要不足包括:1)不能阻止虚拟机管理器访问虚拟机加密以后的内存。2)同一虚拟机不同应用之间无法隔离内存访问。
技术实现思路
本公开正是为了解决上述课题而完成,其目的在于提供一种可以为同一个虚拟机的不同应用提供内存隔离的内存空间而不允许该应用之外的其他应用访问的安全数据内存隔离方法、装置、设备、存储介质。本公开提供该
技术实现思路
部分以便以简要的形式介绍构思,这些...
【技术保护点】
1.一种安全数据内存隔离方法,其特征在于,包括:/n为虚拟机分配地址空间标识符,将内存空间划分为多段;/n为划分的每段内存空间分配安全处理环境标识符以建立第一映射关系;/n建立所述安全处理环境标识符与所述地址空间标识符之间的第二映射关系;/n基于内存访问请求、所述第一映射关系和所述第二映射关系执行内存隔离检查,以判断是否允许执行所述内存访问请求。/n
【技术特征摘要】
1.一种安全数据内存隔离方法,其特征在于,包括:
为虚拟机分配地址空间标识符,将内存空间划分为多段;
为划分的每段内存空间分配安全处理环境标识符以建立第一映射关系;
建立所述安全处理环境标识符与所述地址空间标识符之间的第二映射关系;
基于内存访问请求、所述第一映射关系和所述第二映射关系执行内存隔离检查,以判断是否允许执行所述内存访问请求。
2.如权利要求1所述的安全数据内存隔离方法,其特征在于,
所述内存访问请求包括指向所述内存空间的物理地址和所述地址空间标识符;
所述内存隔离检查包括:
根据所述第一映射关系查找所述内存访问请求的物理地址指向的所述内存空间对应的第一安全处理环境标识符;
根据所述第二映射关系查找所述内存访问请求的所述地址空间标识符对应的第二安全处理环境标识符;
判断所述第一安全处理环境标识符与所述第二安全处理环境标识符是否匹配,若不匹配则所述内存隔离检查失败,拒绝执行所述内存访问请求。
3.如权利要求1所述的安全数据内存隔离方法,其特征在于,还包括,
当所述安全处理环境标识符切换时,根据所述第一映射关系切换所述内存空间并刷新所述安全处理环境标识符对应的数据。
4.如权利要求1所述的安全数据内存隔离方法,其特征在于,
所述第一映射关系以所述安全处理环境标识符为单位,根据所述内存空间的数量需求进行配置。
5.如权利要求1所述的安全数据内存隔离方法,其特征在于,还包括,
为所述虚拟机对应的安全数据预先分配所述内存空间。
6.如权利要求1所述的安全数据内存隔离方法,其特征在于,还包括,
将所述第二映射关系写入内存隔离映射表。
7.如权利要求1所述的安全数据内存隔离方法,其特征在于,
所述安全处理环境标识符对应的所述每段内存空间用于存储需要区分的进程或线程或应用的安全数据,至少包括虚拟机、虚拟机管理器之一。...
【专利技术属性】
技术研发人员:姜莹,王海洋,
申请(专利权)人:海光信息技术有限公司,
类型:发明
国别省市:天津;12
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。