一种虚拟机的嵌套页表管理方法、装置、处理器芯片及服务器制造方法及图纸

本发明专利技术实施例公开一种虚拟机的嵌套页表管理方法、装置、处理器芯片及服务器，涉及计算机技术领域，能够有效提高嵌套页表和虚拟机的安全性。所述方法包括：虚拟机管理器根据虚拟机产生的嵌套缺页中断请求，为嵌套页表的新页面分配虚拟机物理地址范围和宿主机物理地址范围；所述虚拟机管理器将所述虚拟机物理地址范围和所述宿主机物理地址范围发送给安全处理器；所述安全处理器根据所述虚拟机物理地址范围和所述宿主机物理地址范围，建立虚拟机物理地址与宿主机物理地址之间的映射关系并更新所述嵌套页表，以供所述虚拟机使用。本发明专利技术适用于虚拟机相关技术中。

【技术实现步骤摘要】
一种虚拟机的嵌套页表管理方法、装置、处理器芯片及服务器
本专利技术涉及计算机
，尤其涉及一种虚拟机的嵌套页表管理方法、装置、处理器芯片及服务器。
技术介绍
虚拟机技术是云计算的基础架构技术，云计算是以虚拟机为基本单位实施的。虚拟机有资源隔离，部署快速等优点，但是传统虚拟机在安全方面存在严重缺陷。安全加密虚拟机是近年来虚拟化领域的一个新趋势。CPU厂商在硬件层面提供对虚拟机内存加密功能，VMM(VirtualMachineMonitor，虚拟机管理器)和安全处理器配合启动虚拟机。虚拟机启动后，其内存数据被加密。只有虚拟机本身能够解密内存数据，VMM无法正确解密虚拟机内存，无法读取虚拟机内存，因而大大提高了虚拟机的安全。然而，由于安全加密虚拟机的嵌套页表仍然是明文并由VMM管理，攻击者可能会通过攻击安全加密虚拟机的嵌套页表，获取安全加密虚拟机的内存数据，因此安全加密虚拟机仍然存在着很大的安全隐患。
技术实现思路
有鉴于此，本专利技术实施例提供一种虚拟机的嵌套页表管理方法、装置、处理器芯片及服务器，能够有效提本文档来自技高网...

【技术保护点】
1.一种虚拟机的嵌套页表管理方法，其特征在于，包括：/n虚拟机管理器根据虚拟机产生的嵌套缺页中断请求，为嵌套页表的新页面分配虚拟机物理地址范围和宿主机物理地址范围；/n所述虚拟机管理器将所述虚拟机物理地址范围和所述宿主机物理地址范围发送给安全处理器；/n所述安全处理器根据所述虚拟机物理地址范围和所述宿主机物理地址范围，建立虚拟机物理地址与宿主机物理地址之间的映射关系并更新所述嵌套页表，以供所述虚拟机使用。/n

【技术特征摘要】
1.一种虚拟机的嵌套页表管理方法，其特征在于，包括：
虚拟机管理器根据虚拟机产生的嵌套缺页中断请求，为嵌套页表的新页面分配虚拟机物理地址范围和宿主机物理地址范围；
所述虚拟机管理器将所述虚拟机物理地址范围和所述宿主机物理地址范围发送给安全处理器；
所述安全处理器根据所述虚拟机物理地址范围和所述宿主机物理地址范围，建立虚拟机物理地址与宿主机物理地址之间的映射关系并更新所述嵌套页表，以供所述虚拟机使用。


2.根据权利要求1所述的方法，其特征在于，所述虚拟机管理器将所述虚拟机物理地址范围和所述宿主机物理地址范围发送给安全处理器之后，所述安全处理器根据所述虚拟机物理地址范围和所述宿主机物理地址范围，建立虚拟机物理地址与宿主机物理地址之间的地址映射关系并更新所述嵌套页表之前，所述方法还包括：
所述安全处理器检测所述嵌套页表是否被篡改；
所述安全处理器根据所述虚拟机物理地址范围和所述宿主机物理地址范围，建立虚拟机物理地址与宿主机物理地址之间的映射关系并更新所述嵌套页表包括：
在所述嵌套页表未被篡改的情况下，所述安全处理器根据所述虚拟机物理地址范围和所述宿主机物理地址范围，建立虚拟机物理地址与宿主机物理地址之间的映射关系并更新所述嵌套页表；
在所述嵌套页表已被篡改的情况下，所述安全处理器拒绝更新所述嵌套页表。


3.根据权利要求2所述的方法，其特征在于，所述安全处理器检测所述嵌套页表是否被篡改包括：
所述安全处理器按照预设算法确定当前嵌套页表的当前特征值；
所述安全处理器比较所述当前特征值与所述安全处理器预先存储的预存特征值的一致性，以检测所述嵌套页表是否被篡改。


4.根据权利要求3所述的方法，其特征在于，所述预存特征值由所述安全处理器在每次更新所述嵌套页表之后，对更新后的所述嵌套页表执行所述预设算法得到，并存储在所述安全处理器的私有内存中。


5.根据权利要求1至4中任一项所述的方法，其特征在于，所述方法还包括：
所述安全处理器每间隔预设时长检测一次所述嵌套页表是否被篡改；
在所述嵌套页表已被篡改的情况下，停止运行所述虚拟机。


6.一种虚拟机的嵌套页表管理装置，其特征在于，包括：
分配单元，用于通过虚拟机管理器根据虚拟机产生的嵌套缺页中断请求，为嵌套页表的新页面分配虚拟机物理地址范围和宿主机物理地址范围；
发送单元，用于通过所述虚拟机管理器将所述虚拟机物理地址范围和所述宿主机物理地址范围发送给安全处理器；
建立单元，用于通过所述安全处理器根据所述虚拟机物理地址范围和所述宿主机物理地址范围，建立虚拟机物理地址与宿主机物理地址之间的映射关系并更新所述嵌套页表，以供所述虚拟机使用。


7.根据权利要求6所述的装置，其特征在于，还包括：
第一检测单元，用于在通过所述虚拟机管理器将所述虚拟机物理地址范围和所述宿主机物理地址范围发送给安全处理器之后，通过所述安全处理器根据所述虚拟机物理地址范围和所述宿主机物理地址范围，建立虚拟机物理地址与宿主机物理地址之间的地址映射关系并更新所述嵌套页表之前，通过所述安全处理器检测所述嵌套页表是否被篡改；
所述建立单元包括：
建立模块，用于在所述嵌套页表未被篡改的情况下，通过所述安全处理器根据所述虚拟机物理地址范围和所述宿主机物理地址范围，建立虚拟机物理地址与宿主机物理地址之间的映射关系并更新所述嵌套页表；
拒绝模块，用于在所...

【专利技术属性】
技术研发人员：刘子行，应志伟，
申请(专利权)人：海光信息技术股份有限公司，
类型：发明
国别省市：天津;12