【技术实现步骤摘要】
内存隔离方法、隔离检查电路和CPU芯片
本公开涉及虚拟机安全
,具体地,涉及一种内存隔离方法、隔离检查电路和CPU芯片。
技术介绍
虚拟机技术是指在一套计算机设备中模拟出具有完整硬件系统功能并且能够运行在一个完全隔离环境中的完整计算机系统的技术。在计算机中创建虚拟机时,需要将实体机的部分内存容量作为虚拟机的内存容量,虚拟机内存运行的安全性直接决定虚拟机运行的安全性。现有的虚拟化技术能够实现对虚拟机管理器(Hypervisor)的物理内存和每个虚拟机(VirtualMachine)的物理内存分别使用不同的密钥进行加密。密钥只能通过特殊的安全处理器进行管理,处理器不能直接访问密钥,这样就可以隔离不安全的虚拟机间内存互访,或者虚拟机管理器对虚拟机内存的不安全访问。然而,上述方式存在以下不足:对内存加解密会降低系统访问内存的性能;无法完全阻止虚拟机管理器访问虚拟机加密以后的内存;同一虚拟机不同应用之间无法隔离内存访问。
技术实现思路
在下文中将给出关于本公开的简要概述,以便提供关于本公开的某些方面的基本理解...
【技术保护点】
1.一种内存隔离方法,包括:/n接收内存访问请求,所述内存访问请求中包括请求访问的内存页的访问地址;/n在内存分页保护信息表中查找与所述访问地址相对应的表项,所述与所述访问地址相对应的表项的索引值根据所述访问地址来确定;以及/n基于所述访问地址和所述表项对所述内存访问请求进行隔离检查,当所述隔离检查成功时,允许访问所述请求访问的内存页。/n
【技术特征摘要】
1.一种内存隔离方法,包括:
接收内存访问请求,所述内存访问请求中包括请求访问的内存页的访问地址;
在内存分页保护信息表中查找与所述访问地址相对应的表项,所述与所述访问地址相对应的表项的索引值根据所述访问地址来确定;以及
基于所述访问地址和所述表项对所述内存访问请求进行隔离检查,当所述隔离检查成功时,允许访问所述请求访问的内存页。
2.如权利要求1所述的方法,其中,所述访问地址包括内存访问主体标签和请求地址,和/或,所述表项中的信息包括表项有效位和允许访问的内存访问主体标签。
3.如权利要求2所述的方法,其中,所述索引值根据所述访问地址中的所述内存访问主体标签和所述请求地址的一部分来确定。
4.如权利要求3所述的方法,其中,所述请求地址的一部分的位数根据所述内存分页保护信息表中的表项的个数来确定。
5.如权利要求2所述的方法,其中,所述访问地址还包括隔离内存请求标识。
6.如权利要求5所述的方法,所述方法还包括:
当所述隔离内存请求标识为无效时,或者所述表项有效位为无效时,所述隔离检查成功。
7.如权利要求5所述的方法,所述方法还包括:
当所述隔离内存请求标识为有效,所述表项有效位为有效,且所述访问地址中的内存访问主体标签与所述表项中允许访问的内存访问主体标签一致时,所述隔离检查成功。
8.如权利要求2所述的方法,其中,所述方法还包括:
当所述请求地址未落在需要进行隔离检查的地址范围内,或者所述表项有效位为无效时,所述隔离检查成功。
9.如权利要求2所述的方法,其中,所述方法还包括:
当所述请求地址落在需要进行隔离检查的地址范围内,所述表项有效位为有效,且所述访问地址中的内存访问主体标签与所述表项中允许访问的内存访问主体标签一致时,所述隔离检查成功。
10.如权利要求2所述的方法,所述内存访问主体标签包括虚拟机、虚拟机管理器和/或虚拟机中的应用的标识。
11.一种隔离检查电路,包括:
存储单元,存储有内存分页保护信息表;和
判断逻辑单元,用于
接收内存访问请求,所述内存访问请求中包括请求访问的内存页的访问地址;
在内存分页保护信息表中查找与所述访问地址相对应的表项,所述与所述访问地址相对应的表项的索引值根据所述访问地址来确定;以及
基于所述访问地址和所述表项对所述内存访问请求进行隔离检查,当所述隔离检查成功时,允许访问所述请求访问的内存页。
12.如权利要求11所述的隔离检查电路,所述访问地址包括内存访问主体标签和请求地址,和/或,所述表项中的信息包括表项有效位和允许访问的内存访问主体标签。
1...
【专利技术属性】
技术研发人员:姜莹,
申请(专利权)人:海光信息技术有限公司,
类型:发明
国别省市:天津;12
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。