本申请公开了一种安全内存提供方法、装置、设备及介质,涉及计算机技术领域,该方法包括:当操作系统启动时构建安全内存;将安全内存划分为不同预设存储区域并为预设存储区域设置预设安全规则,将预设存储区域和预设安全规则存放至安全内存的ASIC芯片;当ASIC芯片获取对目标地址的访问请求,通过ASIC芯片判断目标地址是否位于安全内存;若位于安全内存则通过ASIC芯片存放的预设存储区域以及预设安全规则确定目标地址所在的安全内存的目标存储区域并确定目标存储区域的目标安全规则;判断访问请求是否符合目标安全规则,若符合则允许基于访问请求访问目标地址,若不符合则禁止访问目标地址。本申请将内存操作和内存属性合二为一使系统具有兼容性稳定性。为一使系统具有兼容性稳定性。为一使系统具有兼容性稳定性。
【技术实现步骤摘要】
一种安全内存提供方法、装置、设备及介质
[0001]本专利技术涉及计算机
,特别涉及一种安全内存提供方法、装置、设备及介质。
技术介绍
[0002]当前,现有计算机系统中,内存作为运行代码和数据的存放空间,提供对所有用户程序、所有系统程序与进程、所有数据、恶意代码与数据的平等操作能力,如读取、写入操作。系统代码数据统一编址为恶意代码伪装成数据,通过系统对外通信混进系统的方式,是当前信息安全的主要根源,内存安全问题是安全的核心要素。但是目前安全防御的思路均从处理器角度,从程序或进程之间相互制约、相互监控的角度提供安全能力,这样做一方面造成系统不得不加载更多的安全防御软件作为盔甲,而且多款安全软件的运行还容易带来因竞争系统资源造成的性能下降、稳定性下降,系统资源的减少不可控,系统管理员和用户的可管理可控制性差。
[0003]安全内存是在符合JEDEC内存国际标准的基础上,通过在内存条上增加一颗ASIC(Application Specific Integrated Circuit)芯片,通过对内存缓冲器的地址总线和控制总线的过滤识别,根据用户要求实时动态改变特定物理内存地址空间读写属性的技术。
[0004]现代信息系统的设计决定了操作系统和用户软件的运行均运行于逻辑内存地址空间,逻辑地址空间到物理地址空间需要通过相关控制器/寄存器/驱动软件实现。操作系统和应用软件所遭受的安全攻击也发生在逻辑地址空间。是通过内存操作触发攻击的。
[0005]由于安全内存加入了对内存操作属性的控制,在物理层面,系统和用户很难使用这种特性,这种特性很难融入OS(Operating System,操作系统)内核并与OS机制相互协同,造成系统兼容性稳定性差,另外,直接内存操作往往会造成系统兼容性稳定性差。
[0006]综上所述,如何提高系统兼容性和稳定性是当前亟待解决的问题。
技术实现思路
[0007]有鉴于此,本专利技术的目的在于提供一种安全内存提供方法、装置、设备及介质,能够提高系统兼容性和稳定性。其具体方案如下:
[0008]第一方面,本申请公开了一种安全内存提供方法,包括:
[0009]当操作系统启动时,预留目标内存以构建安全内存;
[0010]将所述安全内存划分为不同预设存储区域,并为所述预设存储区域设置预设安全规则,然后将所述预设存储区域以及对应的所述预设安全规则存放至所述安全内存对应的ASIC芯片;所述预设安全规则为只写、只读、可写可读和禁止读写中的一种;
[0011]当所述ASIC芯片获取所述操作系统发送的对目标地址的访问请求时,通过所述ASIC芯片判断所述目标地址是否位于所述安全内存;
[0012]若位于所述安全内存,则通过所述ASIC芯片中存放的所述预设存储区域以及对应的所述预设安全规则确定所述目标地址所在的所述安全内存的目标存储区域并确定所述
目标存储区域的目标安全规则;
[0013]判断所述访问请求是否符合所述目标安全规则,若符合则允许基于所述访问请求访问所述目标地址,若不符合则禁止访问所述目标地址。
[0014]可选的,所述将所述安全内存划分为不同预设存储区域,并为所述预设存储区域设置预设安全规则,包括:
[0015]基于预先为操作系统内核加载的安全内存驱动文件,将所述安全内存划分为不同预设存储区域,并为不同所述预设存储区域设置内存挂载目录,然后为所述内存挂载目录设置所述预设安全规则。
[0016]可选的,所述将所述预设存储区域以及对应的所述预设安全规则存放至所述安全内存对应的ASIC芯片,包括:
[0017]通过所述安全内存对应的ASIC芯片中的访问控制列表将所述预设存储区域以及对应的所述预设安全规则存放至所述ASIC芯片中的安全规则寄存器中;所述预设安全规则与所述安全规则寄存器一一对应;
[0018]相应的,所述若位于所述安全内存,则通过所述ASIC芯片中存放的所述预设存储区域以及对应的所述预设安全规则确定所述目标地址所在的所述安全内存的目标存储区域并确定所述目标存储区域的目标安全规则,包括:
[0019]若位于所述安全内存,则通过所述ASIC芯片中的所述安全规则寄存器中存放的所述预设存储区域以及对应的所述预设安全规则确定所述目标地址所在的所述安全内存的目标存储区域并确定所述目标存储区域的目标安全规则。
[0020]可选的,所述允许基于所述访问请求访问所述目标地址,包括:
[0021]允许基于所述访问请求并根据所述安全内存驱动文件中的驱动程序提供的操作接口,访问所述目标地址以进行所述目标安全规则对应的相应操作。
[0022]可选的,所述允许基于所述访问请求并根据所述安全内存驱动文件中的驱动程序提供的操作接口,访问所述目标地址以进行所述目标安全规则对应的相应操作,包括:
[0023]允许基于所述访问请求,将所述目标存储区域挂载至为所述目标存储区域设置内存挂载目录;
[0024]基于为所述内存挂载目录设置的所述目标安全规则,并根据所述安全内存驱动文件中的驱动程序提供的操作接口,访问所述目标地址以进行所述目标安全规则对应的相应操作。
[0025]可选的,所述安全内存提供方法,还包括:
[0026]根据当前要求随时改变所述预设存储区域以及对应的所述预设安全规则。
[0027]可选的,所述当操作系统启动时,预留目标内存以构建安全内存,包括:
[0028]当操作系统启动时,获取目标启动参数并基于所述目标启动参数预留目标内存;
[0029]基于所述目标内存和所述ASIC芯片构建所述安全内存。
[0030]第二方面,本申请公开了一种安全内存提供装置,包括:
[0031]安全内存构建模块,用于当操作系统启动时,预留目标内存以构建安全内存;
[0032]规则设置模块,用于将所述安全内存划分为不同预设存储区域,并为所述预设存储区域设置预设安全规则,然后将所述预设存储区域以及对应的所述预设安全规则存放至所述安全内存对应的ASIC芯片;所述预设安全规则为只写、只读、可写可读和禁止读写中的
一种;
[0033]判断模块,用于当所述ASIC芯片获取所述操作系统发送的对目标地址的访问请求时,通过所述ASIC芯片判断所述目标地址是否位于所述安全内存;
[0034]规则确定模块,用于若位于所述安全内存,则通过所述ASIC芯片中存放的所述预设存储区域以及对应的所述预设安全规则确定所述目标地址所在的所述安全内存的目标存储区域并确定所述目标存储区域的目标安全规则;
[0035]访问模块,用于判断所述访问请求是否符合所述目标安全规则,若符合则允许基于所述访问请求访问所述目标地址,若不符合则禁止访问所述目标地址。
[0036]第三方面,本申请公开了一种电子设备,包括处理器和存储器;其中,所述处理器执行所述存储器中保存的计算机程序时实现前述公开的安全内存提供方法。
[0037]第四方面,本申请公开了本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种安全内存提供方法,其特征在于,包括:当操作系统启动时,预留目标内存以构建安全内存;将所述安全内存划分为不同预设存储区域,并为所述预设存储区域设置预设安全规则,然后将所述预设存储区域以及对应的所述预设安全规则存放至所述安全内存对应的ASIC芯片;所述预设安全规则为只写、只读、可写可读和禁止读写中的一种;当所述ASIC芯片获取所述操作系统发送的对目标地址的访问请求时,通过所述ASIC芯片判断所述目标地址是否位于所述安全内存;若位于所述安全内存,则通过所述ASIC芯片中存放的所述预设存储区域以及对应的所述预设安全规则确定所述目标地址所在的所述安全内存的目标存储区域并确定所述目标存储区域的目标安全规则;判断所述访问请求是否符合所述目标安全规则,若符合则允许基于所述访问请求访问所述目标地址,若不符合则禁止访问所述目标地址。2.根据权利要求1所述的安全内存提供方法,其特征在于,所述将所述安全内存划分为不同预设存储区域,并为所述预设存储区域设置预设安全规则,包括:基于预先为操作系统内核加载的安全内存驱动文件,将所述安全内存划分为不同预设存储区域,并为不同所述预设存储区域设置内存挂载目录,然后为所述内存挂载目录设置所述预设安全规则。3.根据权利要求2所述的安全内存提供方法,其特征在于,所述将所述预设存储区域以及对应的所述预设安全规则存放至所述安全内存对应的ASIC芯片,包括:通过所述安全内存对应的ASIC芯片中的访问控制列表将所述预设存储区域以及对应的所述预设安全规则存放至所述ASIC芯片中的安全规则寄存器中;所述预设安全规则与所述安全规则寄存器一一对应;相应的,所述若位于所述安全内存,则通过所述ASIC芯片中存放的所述预设存储区域以及对应的所述预设安全规则确定所述目标地址所在的所述安全内存的目标存储区域并确定所述目标存储区域的目标安全规则,包括:若位于所述安全内存,则通过所述ASIC芯片中的所述安全规则寄存器中存放的所述预设存储区域以及对应的所述预设安全规则确定所述目标地址所在的所述安全内存的目标存储区域并确定所述目标存储区域的目标安全规则。4.根据权利要求2所述的安全内存提供方法,其特征在于,所述允许基于所述访问请求访问所述目标地址,包括:允许基于所述访问请求并根据所述安全内存驱动文件中的驱动程序提供的操作接口,访问所述目标地址以进行所...
【专利技术属性】
技术研发人员:黄明,李毅,牛亮亮,姬一文,郇福喜,张珂伟,王昊,程永灵,
申请(专利权)人:澜起科技股份有限公司麒麟软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。