安全数据内存隔离方法、装置、设备、存储介质与流程

文档序号：20009137发布日期：2020-02-22 03:53阅读：240来源：国知局

本公开涉及虚拟机安全技术领域，尤其涉及一种安全数据内存隔离方法、装置、设备、存储介质。

背景技术：

amd公司的sev(secureencryptedvirtualization，安全加密虚拟化)技术能够实现对虚拟机管理器(hypervisor)的物理内存和每个虚拟机(vm)的物理内存分别使用不同的密钥进行加密。密钥只能通过特殊的安全处理器进行管理，x86cpu不能直接访问密钥，这样就可以隔离不安全的虚拟机间内存互访，或虚拟机管理器对虚拟机内存的不安全访问。

现有技术中的主要不足包括：

1)不能阻止虚拟机管理器访问虚拟机加密以后的内存。

2)同一虚拟机不同应用之间无法隔离内存访问。

技术实现要素：

本公开正是为了解决上述课题而完成，其目的在于提供一种可以为同一个虚拟机的不同应用提供内存隔离的内存空间而不允许该应用之外的其他应用访问的安全数据内存隔离方法、装置、设备、存储介质。

本公开提供该发明内容部分以便以简要的形式介绍构思，这些构思将在后面的具体实施方式部分被详细描述。该发明内容部分并不旨在标识要求保护的技术方案的关键特征或必要特征，也不旨在用于限制所要求的保护的技术方案的范围。

为了解决上述技术问题，本公开实施例提供一种安全数据内存隔离方法，采用了如下所述的技术方案，包括：

为虚拟机分配地址空间标识符；

将内存空间划分为多段，并为划分的每段内存空间分配安全处理环境标识符以建立第一映射关系；

建立所述安全处理环境标识符与所述地址空间标识符之间的第二映射关系；

基于内存访问请求、所述第一映射关系和所述第二映射关系执行内存隔离检查，以判断是否允许执行所述内存访问请求。

为了解决上述技术问题，本公开实施例还提供一种安全数据内存隔离装置，采用了如下所述的技术方案，包括：

内存分配模块，为虚拟机分配地址空间标识符，将内存空间划分为多段；

映射关系模块，为划分的每段内存空间分配安全处理环境标识符以建立第一映射关系，建立所述安全处理环境标识符与所述虚拟机的地址空间标识符的第二映射关系，保存写入所述第一映射关系和所述第二映射关系的内存隔离映射表；

隔离检查模块，基于内存访问请求、所述第一映射关系和所述第二映射关系执行内存隔离检查，以判断是否允许执行所述内存访问请求；

所述内存访问请求包括指向所述内存空间的物理地址和所述地址空间标识符。

为了解决上述技术问题，本公开实施例还提供一种安全数据内存隔离芯片，采用了如下所述的技术方案，包括：

内存隔离管理模块，包括如前项所述的安全数据内存隔离装置，用于接收内存访问请求并实现安全数据内存隔离；

存储器，用于存储运算数据并与进行数据交换；

控制器，用于控制所述存储器并使所述存储器进行数据交换。

为了解决上述技术问题，本公开实施例还提供一种计算机设备，采用了如下所述的技术方案，包括：

存储器和处理器，所述存储器中存储有计算机程序，所述处理器执行所述计算机程序时实现如前述所述的方法。

为了解决上述技术问题，本公开实施例还提供一种计算机可读存储介质，采用了如下所述的技术方案，包括：

所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如前述所述的方法。

根据本公开所公开的技术方案，与现有技术相比，本公开可以实现安全隔离其他虚拟机应用对当前安全应用的内存访问，并且允许内存同时存在多个安全应用的数据，当虚拟机应用切换时，原安全应用的安全数据仍然被隔离，不会被新的安全应用访问。

附图说明

图1是本公开可以应用于其中的示例性系统架构图；

图2是根据本公开的安全数据内存隔离方法的一个实施例的流程图；

图3是根据本公开的安全数据内存隔离方法的映射表的示意图；

图4是根据本公开的安全数据内存隔离装置的一个实施例的示意图；

图5是根据本公开的安全数据内存隔离装置的一个实施例硬件框架示意图；

图6是根据本公开的计算机设备的一个实施例的结构示意图。

结合附图并参考以下具体实施方式，本公开各实施例的上述和其他特征、优点及方面将变得更加明显。贯穿附图中，相同或相似的附图标记表示相同或相似的元素。应当理解附图是示意性的，原件和元素不一定按照比例绘制。

具体实施方式

除非另有定义，本文所使用的所有的技术和科学术语与属于本公开的技术领域的技术人员通常理解的含义相同；本文中在申请的说明书中所使用的术语只是为了描述具体的实施例的目的，不是旨在于限制本公开；本公开的说明书和权利要求书及上述附图说明中的术语“包括”和“具有”以及它们的任何变形，意图在于覆盖不排他的包含。本公开的说明书和权利要求书或上述附图中的术语“第一”、“第二”等是用于区别不同对象，而不是用于描述特定顺序。

在本文中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本公开的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是，本文所描述的实施例可以与其它实施例相结合。

为了使本技术领域的人员更好地理解本公开方案，下面将结合附图，对本公开实施例中的技术方案进行清楚、完整地描述。

[系统结构]

首先，说明本公开的一个实施例的系统的结构。如图1所示，系统结构100可以包括终端设备101、102、103、104，网络105和服务器106。网络105用以在终端设备101、102、103、104和服务器106之间提供通信链路的介质。

在本实施例中，安全数据内存隔离方法运行于其上的电子设备(例如图1所示的终端设备101、102、103或104)可以通过网络105进行各种信息的传输。网络105可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。需要指出的是，上述无线连接方式可以包括但不限于3g/4g/5g连接、wi-fi连接、蓝牙连接、wimax连接、zigbee连接、uwb连接、局域网(“lan”)、广域网(“wan”)、网际网(例如，互联网)以及端对端网络(例如，adhoc端对端网络)以及其他现在已知或将来开发的网络连接方式。网络105可以利用诸如http(hypertexttransferprotocol，超文本传输协议)之类的任何当前已知或未来研发的网络协议进行通信，并且可以与任意形式或介质的数字数据通信(例如，通信网络)互连。

用户可以使用终端设备101、102、103、104通过网络105与服务器106交互，以接收或发送消息等。终端设备101、102、103或104上可以安装有各种客户端应用，例如视频直播与播放类应用、网页浏览器应用、购物类应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等。

终端设备101、102、103或104可以是具有触摸显示屏和/或支持网页浏览的各种电子设备，包括但不限于智能手机、平板电脑、电子书阅读器、mp3播放器(动态影像专家压缩标准音频层面3)、mp4(动态影像专家压缩标准音频层面4)播放器、头戴式显示设备、笔记本电脑、数字广播接收器、pda(个人数字助理)、pmp(便携式多媒体播放器)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字tv、台式计算机等等。

服务器106可以是提供各种服务的服务器，例如对终端设备101、102、103或104上显示的页面提供支持的后台服务器。

应该理解，图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要，可以具有任意数目的终端设备、网络和服务器。

这里，终端设备可以独立或通过与其他电子终端设备配合运行安卓系统中的应用实现本公开的实施例方法，也可以运行其他操作系统中的应用例如ios系统、windows系统、鸿蒙系统等的应用实现本公开的实施例方法。

[安全数据内存隔离方法]

参考图2，示出了根据本公开的安全数据内存隔离方法的一个实施例的流程图。所述安全数据内存隔离方法，包括以下步骤：

s21，为虚拟机分配地址空间标识符，将内存空间划分为多段。

这里，为虚拟机分配地址空间标识符的过程在虚拟机启动之前，并遵循sev(secureencryptedvirtualization)技术的流程。

其中，地址空间标识符与sev(secureencryptedvirtualization)技术兼容。

这里，在将内存空间划分为多段之前，还需要为虚拟机对应的安全数据预先分配内存空间。

s22，为划分的每段内存空间分配安全处理环境标识符以建立第一映射关系。

这里，在虚拟机使用安全应用之前，为划分的每段内存空间分配安全处理环境标识符以建立第一映射关系。这里，第一映射关系以安全处理环境标识符为单位，根据内存空间的数量需求进行配置。

这里，安全处理环境标识符对应的每段内存空间用于存储需要区分的进程或线程或应用的安全数据，至少包括虚拟机、虚拟机管理器之一。

这里，当安全处理环境标识符切换时，根据第一映射关系切换内存空间并刷新该安全处理环境标识符对应的数据。

s23，建立安全处理环境标识符与地址空间标识符之间的第二映射关系。

这里，在建立第二映射关系后，将第二映射关系写入内存隔离映射表。

s24，基于内存访问请求、第一映射关系和第二映射关系执行内存隔离检查，以判断是否允许执行内存访问请求。

这里，内存访问请求包括指向内存空间的物理地址和地址空间标识符。

这里，内存隔离检查包括：

根据第一映射关系查找内存访问请求的物理地址指向的内存空间对应的第一安全处理环境标识符；

根据第二映射关系查找内存访问请求的地址空间标识符对应的第二安全处理环境标识符；

判断第一安全处理环境标识符与第二安全处理环境标识符是否匹配，若不匹配则内存隔离检查失败，拒绝执行内存访问请求。

本公开通过为不同的应用设置不同的安全处理环境标识符，做到为同一个虚拟机不同的应用以及不同虚拟机进行内存隔离。

内存中可同时存在同一个虚拟机多个安全应用的数据，应用状态被切换时，原来的安全数据仍然受隔离保护。

本公开兼容sev的初始化流程，以及sev和安全内存加密(securememoryencryption，sme)的加密，可实现内存隔离的同时也进行数据加密。

应该理解的是，虽然附图的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，其可以以其他的顺序执行。而且，附图的流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，其执行顺序也不必然是依次进行，而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。

[实施例]

下面，说明本公开的一个实施例，包括以下步骤：

步骤1，在虚拟机启动之前，安全处理器为虚拟机分配地址空间标识符asid，这里，安全处理器例如可以是amd处理器中的psp(platformsecurityprocessor，平台安全处理器)。

这里，为虚拟机分配地址空间标识符asid遵循sev(secureencryptedvirtualization)技术的流程。其中，地址空间标识符asid与sev(secureencryptedvirtualization)技术兼容。

步骤2，安全处理器进行内存的维护，为虚拟机的安全数据分配内存空间，并将内存空间划分为多段。

步骤3，安全处理器为划分的每段内存空间分配安全处理环境标识符teeid以建立第一映射关系。

这里，在虚拟机使用安全应用之前，安全处理器为划分的每段内存空间分配安全处理环境标识符teeid以建立第一映射关系。这里，第一映射关系以安全处理环境标识符teeid为单位，根据内存空间的数量需求进行配置。

如图3下部分所示，为内存空间与安全处理环境标识符teeid的映射表的示意图，这里，每段内存空间对应一个安全处理环境标识符teeid。这里，例如安全处理器为内存地址段0～ffh分配teeidx，ffh～ffffh地址段分配teeidy。

这里，安全处理环境标识符teeid对应的每段内存空间用于存储需要区分的进程或线程或应用的安全数据，至少包括虚拟机(vm，virtualmachine)、虚拟机管理器(hypervisor)之一。

这里，当安全处理环境标识符teeid切换时，根据第一映射关系切换内存空间并刷新该安全处理环境标识符teeid对应的数据。

步骤4，建立安全处理环境标识符teeid与地址空间标识符asid之间的第二映射关系。

这里，在建立第二映射关系后，将第二映射关系写入内存隔离映射表。如图3上部分所示，为地址空间标识符asid与安全处理环境标识符teeid的映射表的示意图，这里，每个虚拟机的地址空间标识符asid对应一个安全处理环境标识符teeid。这里，例如当前存在两个虚拟机时，若虚拟机的地址空间标识符asid＝0，则当前运行的安全处理环境标识符为teeid0；若虚拟机的地址空间标识符asid＝1，则当前运行的安全处理环境标识符为teeid1。

步骤5，收到内存访问请求，获取内存访问请求的内容。

这里，内存访问请求包括指向内存空间的物理地址(physicaladdress)和地址空间标识符asid。这里，物理地址，例如使用48位物理地址，则内存访问请求例如包括：

asid：4位，地址空间标识符，使用bit[46:43]，假设bit[46:43]＝0。

physical_addr：请求的地址，bit[41:0]，假设bit[41:0]＝0fh。

步骤6，收到内存访问请求后，根据要求执行内存隔离检查。

这里，内存隔离检查包括：

根据第一映射关系查找内存访问请求的物理地址physical_addr指向的内存空间对应的第一安全处理环境标识符，这里，内存地址0fh在地址段0～ffh，所以该地址对应的第一安全处理环境标识符为teeidx；

根据第二映射关系查找内存访问请求的地址空间标识符asid对应的第二安全处理环境标识符，这里，asid＝0对应的第二安全处理环境标识符为teeid0；

判断第一安全处理环境标识符teeidx与第二安全处理环境标识符teeid0是否匹配即相等，若不匹配则内存隔离检查失败，拒绝执行内存访问请求。

本公开通过为不同的应用设置不同的安全处理环境标识符teeid，做到为同一个虚拟机不同的应用以及不同虚拟机进行内存隔离。

内存中可同时存在同一个虚拟机多个安全应用的数据，应用状态被切换时，原来的安全数据仍然受隔离保护。

本公开兼容sev的初始化流程，以及sev和sme的加密，可实现内存隔离的同时也进行数据加密。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，该计算机程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，前述的存储介质可为磁碟、光盘、只读存储记忆体(rom)等非易失性存储介质，或随机存储记忆体(ram)等。

[安全数据内存隔离装置]

如图4所示，为了实现本公开实施例中的技术方案，本公开提供了一种安全数据内存隔离装置，该装置具体可以应用于各种电子终端设备中。

本实施例所述的安全数据内存隔离装置包括：内存分配模块401、映射关系模块402、隔离检查模块403、匹配判断模块404及切换刷新模块405。

内存分配模块401，为虚拟机分配地址空间标识符，将内存空间划分为多段。

这里，为虚拟机分配地址空间标识符的过程在虚拟机启动之前，并遵循sev(secureencryptedvirtualization)技术的流程。

其中，地址空间标识符与sev(secureencryptedvirtualization)技术兼容。

这里，在将内存空间划分为多段之前，还需要为虚拟机对应的安全数据预先分配内存空间。

映射关系模块402，为划分的每段内存空间分配安全处理环境标识符以建立第一映射关系，建立安全处理环境标识符与虚拟机的地址空间标识符的第二映射关系，保存写入所述第一映射关系和所述第二映射关系的内存隔离映射表。

这里，第一映射关系以安全处理环境标识符为单位，根据内存空间的数量需求进行配置。

这里，安全处理环境标识符对应的每段内存空间用于存储需要区分的进程或线程或应用的安全数据，至少包括虚拟机、虚拟机管理器之一。

这里，在建立第二映射关系后，将第二映射关系写入内存隔离映射表。

隔离检查模块403，基于内存访问请求、第一映射关系和第二映射关系执行内存隔离检查，以判断是否允许执行内存访问请求；内存访问请求包括指向内存空间的物理地址和地址空间标识符。

匹配判断模块404，判断内存访问请求的物理地址指向的内存空间对应的第一安全处理环境标识符与内存访问请求的地址空间标识符对应的第二安全处理环境标识符是否匹配，若不匹配则内存隔离检查失败，拒绝执行内存访问请求。

切换刷新模块405，当安全处理环境标识符切换时，根据第一映射关系切换内存空间并刷新安全处理环境标识符对应的数据。

如图5所示，为本公开的安全数据内存隔离装置的一个实施例硬件框架示意图，包括：

内存隔离管理模块501，其包括上述的安全数据内存隔离装置中的各个模块，用于接收内存访问请求并实现安全数据内存隔离；这里，内存隔离管理模块501只允许满足内存隔离检查的内存访问请求可以访问内存；当虚拟机访问内存时，地址空间标志符asid作为地址的一部分可以被内存隔离管理模块501查看。

存储器503，用于存储运算数据并与进行数据交换。

控制器502，用于控制存储器503并使存储器503进行数据交换。

应该理解的是，虽然附图的框图中的每个方框可以代表一个模块，该模块的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令，但是这些模块并不是必然按照顺序依次执行。本公开中装置实施例中的各模块及功能单元可以集成在一个处理模块中，也可以是各个单元单独物理存在，也可以两个或两个以上的模块或功能单元集成在一个模块中。上述集成的各个模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。上述提到的存储介质可以是只读存储器，磁盘或光盘等。

[安全数据内存隔离设备]

下面参考图6，其示出了适于用来实现本公开实施例的电子设备(例如图1中的终端设备或服务器)600的结构示意图。本公开实施例中的终端设备可以是上述系统中的各种终端设备。图6示出的电子设备仅仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。

如图6所示，电子设备600可以包括处理装置(例如中央处理器、图形处理器等)601，用于控制电子设备的整体操作。处理装置可以包括一个或多个处理器来执行指令，以完成上述的方法的全部或部分步骤。此外，处理装置601还可以包括一个或多个模块，用于处理和其他装置之间的交互。

存储装置602用于存储各种类型的数据，存储装置602可以是包括各种类型的计算机可读存储介质或者它们的组合，例如可以是电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

传感器装置603，用于感受规定的被测量的信息并按照一定的规律转换成可用输出信号，可以包括一个或多个传感器。例如，其可以包括加速度传感器，陀螺仪传感器，磁传感器，压力传感器或温度传感器等，用于检测电子设备的打开/关闭状态、相对定位、加速/减速、温度、湿度和光线等的变化。

处理装置601、存储装置602以及传感器装置603通过总线604彼此相连。输入/输出(i/o)接口605也连接至总线604。

多媒体装置606可以包括触摸屏、触摸板、键盘、鼠标、摄像头、麦克风等的输入装置用以接收来自用户的输入信号，在各种输入装置可以与上述传感器装置603的各种传感器配合完成例如手势操作输入、图像识别输入、距离检测输入等；多媒体装置606还可以包括例如液晶显示器(lcd)、扬声器、振动器等的输出装置。

电源装置607，用于为电子设备中的各种装置提供电力，可以包括电源管理系统、一个或多个电源及为其他装置分配电力的组件。

通信装置608，可以允许电子设备600与其他设备进行无线或有线通信以交换数据。

上述各项装置也均可以连接至i/o接口605以实现电子设备600的应用。

虽然图6示出了具有各种装置的电子设备600，但是应理解的是，并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。

特别地，根据本公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在非暂态计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信装置从网络上被下载和安装，或者从存储装置被安装。在该计算机程序被处理装置执行时，执行本公开实施例的方法中限定的上述功能。

在本公开的上下文中，机器可读介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。

要说明的是，本公开上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。而在本公开中，计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：电线、光缆、rf(射频)等等，或者上述的任意合适的组合。

上述计算机可读介质可以是上述电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中。

可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码，上述程序设计语言包括但不限于面向对象的程序设计语言—诸如java、smalltalk、c++，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。

附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本公开实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现。其中，单元的名称在某种情况下并不构成对该单元本身的限定。

本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如，非限制性地，可以使用的示范类型的硬件逻辑部件包括：现场可编程门阵列(fpga)、专用集成电路(asic)、专用标准产品(assp)、片上系统(soc)、复杂可编程逻辑设备(cpld)等等。

根据本公开的一个或多个实施例，提供了一种安全数据内存隔离方法，其特征在于，所述方法包括：

为虚拟机分配地址空间标识符，将内存空间划分为多段；

为划分的每段内存空间分配安全处理环境标识符以建立第一映射关系；

建立所述安全处理环境标识符与所述地址空间标识符之间的第二映射关系；

基于内存访问请求、所述第一映射关系和所述第二映射关系执行内存隔离检查，以判断是否允许执行所述内存访问请求。