【技术实现步骤摘要】
本申请实施例涉及虚拟化,尤其涉及一种资源控制方法及装置。
技术介绍
1、近年来,随着虚拟化技术的不断发展,各种轻量级虚拟化技术层出不穷,其中,典型的代表包括容器及基于语言运行时的虚拟化技术。目前,运行在安全世界(也可以描述为可信执行环境)的安全虚拟机(也称机密虚拟机)仍是现阶段机密计算的主要实现方案。
2、目前,对安全虚拟机的资源控制方案需要进一步优化。
技术实现思路
1、为了解决上述技术问题,本申请提供一种资源控制方法及装置。在该方法中,通过位于tee内的设备管理模块和特权级高于该设备管理模块的通信模块,来将io设备直通给安全虚拟机,其中,设备管理模块不属于tcb,确保了tcb的精简。
2、在一种可能的实施方式中,本申请提供一种资源控制方法,应用于资源控制装置,该装置包括:设备管理模块、通信模块,其中,所述设备管理模块和所述通信模块均运行在可信执行环境(tee)内,所述通信模块的特权级高于所述设备管理模块的特权级,所述方法包括:所述设备管理模块将第一信息发送至所述...
【技术保护点】
1.一种资源控制方法,其特征在于,应用于资源控制装置,所述资源控制装置包括设备管理模块、通信模块,其中,所述设备管理模块和所述通信模块均运行在可信执行环境TEE内,所述通信模块的特权级高于所述设备管理模块的特权级,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述设备管理模块运行在第二安全虚拟机中。
3.根据权利要求1或2所述的方法,其特征在于,所述资源控制装置还包括处理模块,所述通信模块将所述第一物理地址范围与第一安全虚拟机关联之后,所述方法还包括:
4.根据权利要求1至3中任意一项所述的方法,其特征在于,所述设备管理...
【技术特征摘要】
1.一种资源控制方法,其特征在于,应用于资源控制装置,所述资源控制装置包括设备管理模块、通信模块,其中,所述设备管理模块和所述通信模块均运行在可信执行环境tee内,所述通信模块的特权级高于所述设备管理模块的特权级,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述设备管理模块运行在第二安全虚拟机中。
3.根据权利要求1或2所述的方法,其特征在于,所述资源控制装置还包括处理模块,所述通信模块将所述第一物理地址范围与第一安全虚拟机关联之后,所述方法还包括:
4.根据权利要求1至3中任意一项所述的方法,其特征在于,所述设备管理模块包括至少一个第二io设备的标识信息,所述至少一个第二io设备包括所述第一io设备。
5.根据权利要求4所述的方法,其特征在于,所述设备管理模块将第一信息发送至所述通信模块之前,所述方法还包括:
6.根据权利要求5所述的方法,其特征在于,所述通信模块基于所述第一信息,获取所述第一io设备的第一物理地址范围,包括:
7.根据权利要求2至6中任意一项所述的方法,其特征在于,所述通信模块基于所述第一信息,获取所述第一io设备的第一物理地址范围之后,所述方法还包括:
8.根据权利要求1至7中任意一项所述的方法,其特征在于,所述方法还包括:
9.根据权利要求1至8中任意一项所述的方法,其特征在于,所述方法还包括:
10.根据权利要求1至9中任意一项所述的方法,其特征在于,所述通信模块将所述第一物理地址范围与第一安全虚拟机关联之后,所述方法还包括:
11.根据权利要求3至10中任意一项所述的方法,其特征在于,所述处理模块的数量为至少一个,所述处理模块包括至少一组第一寄存器,每组所述第一寄存器用于记录一段内存资源的第三物理地址范围、所述内存资源的组织粒度、所述内存资源的至少一种安全属性。
12.根据权利要求11所述的方法,其特征在于,所述组织粒度为区域粒度或页粒度,其中,所述区域粒度的内存资源包括至少一个内存区域,所述页粒度的内存资源包括至少一个内存页。
13.根据权利要求12所述的方法,其特征在于,所述安全属性为表示安全内存的第一属性或表示普通内存的第二属性,其中,安全属性为第一属性的内存资源仅在所述tee环境下被访问,以及所述页粒度的内存资源中的每个内存页的所述安全属性相互独立,所述区域粒度的内存资源中的每个内存区域的所述安全属性相同。
14.根据权利要求11至13中任意一项所述的方法,其特征在于,所述方法还包括:
15.根据权利要求11至14中任意一项所述的方法,其特征在于,所述方法还包括:
16.根据权利要求11至15中任意一项所述的方法,其特征在于,所述方法还包括:
17.一种资源控制装置,其特征在于,所述资源控制装置包括:设备管理模块、通信模块,其中,所述设备管理模块和所述通信模块均运行在可信执行...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。