CN103270491A - 一种硬件资源保护方法和系统以及虚拟机管理器 - Google Patents

一种硬件资源保护方法和系统以及虚拟机管理器 Download PDF

Info

Publication number
CN103270491A
CN103270491A CN2011800585927A CN201180058592A CN103270491A CN 103270491 A CN103270491 A CN 103270491A CN 2011800585927 A CN2011800585927 A CN 2011800585927A CN 201180058592 A CN201180058592 A CN 201180058592A CN 103270491 A CN103270491 A CN 103270491A
Authority
CN
China
Prior art keywords
virtual machine
application program
hardware resource
machine manager
pfec
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2011800585927A
Other languages
English (en)
Other versions
CN103270491B (zh
Inventor
俞柏峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
XFusion Digital Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of CN103270491A publication Critical patent/CN103270491A/zh
Application granted granted Critical
Publication of CN103270491B publication Critical patent/CN103270491B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45583Memory management, e.g. access or allocation

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

本发明实施例提供了一种硬件资源保护方法和系统以及虚拟机管理器,涉及计算机领域,所述方法包括:虚拟机管理器监控硬件资源,当检测到应用程序访问所述硬件资源时,触发虚拟机退出,由所述虚拟机管理器接管系统控制权;虚拟机管理器判断所述应用程序的操作是否合法,如果合法,允许所述应用程序访问所述硬件资源,如果非法,禁止所述应用程序访问所述硬件资源。所述虚拟机管理器包括:监控模块和判断模块。所述系统包括:虚拟机管理器、硬件资源、和虚拟机。本发明通过上述方案,达到了利用虚拟化技术实现硬件资源保护的目的,摆脱了硬件资源保护对专门硬件设备的依赖,提高了使用灵活度,降低了成本。

Description

一种硬件资源保护方法和系统以及虚拟机管理器 技术领域
本发明涉及计算机领域,特别涉及一种硬件资源保护方法和系统以及虚拟 机管理器。 背景技术
计算机中有很多硬件资源, 如 10 ( Input Output , 输入输出) 地址、 内存 空间等。 为了使计算机系统稳定、 安全的运行, 需要采取措施对其硬件资源进 行有效的保护。
目前通常采用专门的硬件对硬件资源进行保护,例如采用硬盘保护卡对硬 盘进行保护。硬盘保护卡的主体是一种硬件芯片, 插在主板上与硬盘的主引导 扇区协同工作。 其工作原理如下: 硬盘保护卡在系统启动时接管对硬盘进行读 写操作的一个 INT13中断, 将 FAT (Fi le Al location Table, 文件配置表)、 弓 1导区、 CMOS ( Complementary Metal Oxide Semiconductor , 互补金属氧化 物半导体)信息、 原始的中断向量表等信息都保存到卡内的临时储存单元中或 保存在硬盘的隐藏扇区中, 用自带的中断向量表来替换原始的中断向量表, 然 后在硬盘中找到一部分连续的空磁盘空间, 将用户修改的数据保存到其中。 这 样当用户向硬盘写入数据时, 没有真正修改硬盘中的 FAT, 而是写到了备份的 FAT表中, 系统每次重新启动时, 硬盘保护卡都能让硬盘恢复先前的内容, 从 而达到对硬盘保护的目的。
可见, 上述技术需要借助硬盘保护卡等专门硬件设备对硬件资源进行保 护, 因此, 使用不够灵活, 成本也比较高。 发明内容
为了摆脱硬件资源保护对专门硬件设备的依赖, 本发明实施例提供了一种 硬件资源保护方法和系统以及虚拟机管理器。 所述技术方案如下:
一种硬件资源保护方法, 所述方法包括:
虚拟机管理器监控硬件资源, 当检测到应用程序访问所述硬件资源时, 触 发虚拟机退出, 由所述虚拟机管理器接管系统控制权;
虚拟机管理器判断所述应用程序的操作是否合法, 如果合法, 允许所述应 用程序访问所述硬件资源, 如果非法, 禁止所述应用程序访问所述硬件资源。
一种虚拟机管理器, 所述虚拟机管理器包括:
监控模块, 用于监控硬件资源, 当检测到应用程序访问所述硬件资源时, 触发虚拟机退出, 由所述虚拟机管理器接管系统控制权;
判断模块, 用于判断所述应用程序的操作是否合法, 如果合法, 允许所述 应用程序访问所述硬件资源,如果非法,禁止所述应用程序访问所述硬件资源。
一种硬件资源保护系统, 所述系统包括: 虚拟机管理器、 硬件资源、 和虚 拟机;
所述虚拟机管理器用于监控所述硬件资源, 当检测到应用程序访问所述硬 件资源时, 触发所述虚拟机退出, 由所述虚拟机管理器接管系统控制权; 并判 断所述应用程序的操作是否合法, 如果合法, 允许所述应用程序访问所述硬件 资源, 如果非法, 禁止所述应用程序访问所述硬件资源。
本发明实施例提供的技术方案的有益效果是:
通过虚拟机管理器监控硬件资源, 当检测到应用程序访问硬件资源时, 触 发虚拟机退出, 由虚拟机管理器接管系统控制权, 然后判断应用程序的操作是 否合法, 如果合法, 允许应用程序访问硬件资源, 如果非法, 禁止应用程序访 问硬件资源, 达到了利用虚拟化技术实现硬件资源保护的目的, 摆脱了硬件资 源保护对专门硬件设备的依赖, 提高了使用灵活度, 降低了成本。 附图说明
为了更清楚地说明本发明实施例中的技术方案, 下面将对实施例描述中所 需要使用的附图作简单地介绍, 显而易见地, 下面描述中的附图仅仅是本发明 的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下, 还可以根据这些附图获得其他的附图。
图 1是本发明实施例 1提供的硬件资源保护方法流程图;
图 2是本发明实施例 1提供的对于输入输出地址的硬件资源保护方法流程 图;
图 3是本发明实施例 1提供的对于内存空间的硬件资源保护流程图; 图 4是本发明实施例 2提供的虚拟机管理器结构示意图; 图 5是本发明实施例 2提供的虚拟机管理器另一结构示意图; 图 6是本发明实施例 3提供的硬件资源保护系统结构示意图。 具体实施方式
为使本发明的目的、 技术方案和优点更加清楚, 下面将结合附图对本发明 实施方式作进一歩地详细描述。
实施例 1
参见图 1, 本实施例提供了一种硬件资源保护方法, 该方法包括:
101: 虚拟机管理器监控硬件资源, 当检测到应用程序访问该硬件资源时, 触发虚拟机退出, 由虚拟机管理器接管系统控制权;
需要说明的是, 虚拟机管理器运行于根模式, 虚拟机运行于非根模式, 虚 拟机退出是指由非根模式切换到根模式, 同时系统控制权转移, 由虚拟机管理 器接管系统控制权。
102: 虚拟机管理器判断该应用程序的操作是否合法, 如果合法, 允许应 用程序访问硬件资源, 如果非法, 禁止应用程序访问硬件资源。
其中, 本实施例涉及的硬件资源可以是输入输出地址、 或内存空间等。 下 面分别说明上述方法对于输入输出地址和内存空间的保护过程。
参见图 2, 当硬件资源是输入输出地址时, 硬件资源保护方法包括以下歩 骤:
201: 虚拟机管理器监控虚拟机管理器所在设备的输入输出地址, 当检测 到应用程序对输入输出地址进行读写时, 触发虚拟机退出, 由虚拟机管理器接 管系统控制权;
需要说明的是, 虚拟机管理器运行于根模式, 虚拟机运行于非根模式, 虚 拟机退出是指由非根模式切换到根模式, 同时系统控制权转移, 由虚拟机管理 器接管系统控制权。
其中, 输入输出地址可以是系统中特定的输入输出地址, 或者也可以是系 统中所有的输入输出地址。
202: 虚拟机管理器判断该应用程序的操作是否合法;
具体的,虚拟机管理器将该应用程序的公钥以及该应用程序提供的私钥进 行比对, 如果符合, 则确定该应用程序的操作合法, 如果不符合, 则确定该应 用程序的操作非法。 203: 如果合法, 允许应用程序访问该输入输出地址, 如果非法, 禁止应 用程序访问该输入输出地址。
进一歩, 歩骤 203之后, 虚拟机管理器触发虚拟机进入, 由虚拟机接管系 统控制权。 需要说明的是, 虚拟机进入是指由根模式切换到非根模式, 同时系 统控制权转移, 由虚拟机接管系统控制权。
参见图 3, 当硬件资源为内存空间时, 硬件资源保护方法包括以下歩骤:
301: 虚拟机管理器监控控制寄存器, 阻止应用程序使用该控制寄存器对 内存空间进行映射, 检测到该应用程序访问该内存空间时产生缺页异常;
其中, 控制寄存器 (Control Regi ster, CR) 具体可以是 CR3。
302: 虚拟机管理器通过设置使预设的退出条件成立, 触发虚拟机退出, 由虚拟机管理器接管系统控制权;
具体的, 虚拟机管理器设置 PFEC— MASK和 PFEC— MATCH, 当产生缺页异常 时, 关系式 PFEC & PFEC— MASK = PFEC— MATCH成立, 触发虚拟机退出, 由虚拟 机管理器接管系统控制权。
其中, &表示与运算, PFEC表示 (Page Fault Error Code , 缺页错误码), PFEC— MASK 表示缺页掩码, PFEC— MATCH 表示缺页匹配码。 例如, 可以将 PFEC— MASK 和 PFEC— MATCH都设置为 0, 则产生缺页异常时上述关系式成立, 从而触发虚拟机退出, 由虚拟机管理器接管系统控制权。
需要说明的是, 虚拟机管理器运行于根模式, 虚拟机运行于非根模式, 虚 拟机退出是指由非根模式切换到根模式, 同时系统控制权转移, 由虚拟机管理 器接管系统控制权。
303: 虚拟机管理器判断该应用程序的操作是否合法;
具体的,虚拟机管理器将该应用程序的公钥以及该应用程序提供的私钥进 行比对, 如果符合, 则确定该应用程序的操作合法, 如果不符合, 则确定该应 用程序的操作非法。
304: 如果合法, 允许应用程序访问内存空间, 如果非法, 禁止应用程序 访问内存空间。
进一歩, 歩骤 304之后, 虚拟机管理器触发虚拟机进入, 由虚拟机接管系 统控制权。 需要说明的是, 虚拟机进入是指由根模式切换到非根模式, 同时系 统控制权转移, 由虚拟机接管系统控制权。
本实施例通过虚拟机管理器监控硬件资源, 当检测到应用程序访问硬件资 源时, 触发虚拟机退出, 由虚拟机管理器接管系统控制权, 然后判断应用程序 的操作是否合法, 如果合法, 允许应用程序访问硬件资源, 如果非法, 禁止应 用程序访问硬件资源, 达到了利用虚拟化技术实现硬件资源保护的目的, 摆脱 了硬件资源保护对专门硬件设备的依赖, 提高了使用灵活度, 降低了成本。 实施例 2
参见图 4, 本实施例提供了一种虚拟机管理器, 虚拟机管理器包括: 监控模块 401, 用于监控硬件资源, 当检测到应用程序访问硬件资源时, 触发虚拟机退出, 由虚拟机管理器接管系统控制权;
判断模块 402, 用于判断应用程序的操作是否合法, 如果合法, 允许应用 程序访问硬件资源, 如果非法, 禁止应用程序访问硬件资源。
当硬件资源为输入输出地址时, 监控模块 401, 具体用于监控虚拟机管理 器所在设备的输入输出地址, 当检测到应用程序对输入输出地址进行读写操作 时, 触发虚拟机退出, 由虚拟机管理器接管系统控制权。
其中, 输入输出地址可以是系统中特定的输入输出地址, 或者也可以是系 统中所有的输入输出地址。
当硬件资源为内存空间时, 监控模块 401, 具体用于监控控制寄存器, 阻 止应用程序使用控制寄存器对内存空间进行映射, 检测到应用程序访问内存空 间时产生缺页异常, 并通过设置使预设的退出条件成立, 触发虚拟机退出。
监控模块 401在通过设置使预设的退出条件成立时, 具体用于
设置缺页掩码 PFEC— MASK和缺页匹配码 PFEC— MATCH, 当产生缺页异常时, 关系式缺页错误码 PFEC & PFEC— MASK = PFEC— MATCH成立, &表示与运算。
例如, 可以将 PFEC— MASK和 PFEC— MATCH都设置为 0, 则产生缺页异常时 上述关系式成立, 从而触发虚拟机退出。 其中, 控制寄存器具体可以是 CR3。
具体的, 判断模块 402, 具体用于将应用程序的公钥以及应用程序提供的 私钥进行比对, 如果符合, 确定应用程序的操作合法, 如果不符合, 确定应用 程序的操作非法。
进一歩, 参见图 5, 虚拟机管理器还包括: 触发模块 403, 用于在判断模 块 402允许或禁止应用程序访问硬件资源之后, 触发虚拟机进入, 由虚拟机接 管系统控制权。
需要说明的是, 虚拟机管理器运行于根模式, 虚拟机运行于非根模式, 虚 拟机退出是指由非根模式切换到根模式, 同时系统控制权转移, 由虚拟机管理 器接管系统控制权。 虚拟机进入是指由根模式切换到非根模式, 同时系统控制 权转移, 由虚拟机接管系统控制权。
本实施例提供的虚拟机管理器与方法实施例中的虚拟机管理器属于同一 构思, 其具体实现过程详见方法实施例, 这里不再赘述。
本实施例提供的虚拟机管理器通过监控硬件资源, 当检测到应用程序访问 硬件资源时, 触发虚拟机退出, 由虚拟机管理器接管系统控制权, 然后判断应 用程序的操作是否合法, 如果合法, 允许应用程序访问硬件资源, 如果非法, 禁止应用程序访问硬件资源, 达到了利用虚拟化技术实现硬件资源保护的目 的, 摆脱了硬件资源保护对专门硬件设备的依赖, 提高了使用灵活度, 降低了 成本。 实施例 3
参见图 6, 本实施例提供了一种硬件资源保护系统, 该系统包括: 虚拟机 管理器 40、 硬件资源 30、 和虚拟机 20 ;
虚拟机管理器 40用于监控硬件资源 30, 当检测到应用程序访问硬件资源 30时, 触发虚拟机 20退出, 由虚拟机管理器 40接管系统控制权; 并判断应用 程序的操作是否合法, 如果合法, 允许应用程序访问硬件资源 30, 如果非法, 禁止应用程序访问硬件资源 30。
虚拟机管理器 40包括: 监控模块 401和判断模块 402 ;
监控模块 401,用于监控硬件资源 30, 当检测到应用程序访问硬件资源 30 时, 触发虚拟机 20退出, 由虚拟机管理器 40接管系统控制权;
判断模块 402, 用于判断应用程序的操作是否合法, 如果合法, 允许应用 程序访问硬件资源 30, 如果非法, 禁止应用程序访问硬件资源 30。
当硬件资源 30为输入输出地址时,监控模块 401,具体用于监控虚拟机管 理器所在设备的输入输出地址, 当检测到应用程序对输入输出地址进行读写操 作时, 触发虚拟机 20退出, 由虚拟机管理器接管系统控制权。
其中, 输入输出地址可以是系统中特定的输入输出地址, 或者也可以是系 统中所有的输入输出地址。
当硬件资源 30为内存空间时, 监控模块 401, 具体用于监控控制寄存器, 阻止应用程序使用控制寄存器对内存空间进行映射, 使应用程序访问内存空间 时产生缺页异常, 并通过设置使预设的退出条件成立, 触发虚拟机 20退出。 监控模块 401在通过设置使预设的退出条件成立时, 具体用于
设置缺页掩码 PFEC— MASK和缺页匹配码 PFEC— MATCH, 当产生缺页异常时, 关系式缺页错误码 PFEC & PFEC— MASK = PFEC— MATCH成立, &表示与运算。
例如, 可以将 PFEC— MASK和 PFEC— MATCH都设置为 0, 则产生缺页异常时 上述关系式成立, 从而触发虚拟机退出。 其中, 控制寄存器具体可以是 CR3。
具体的, 判断模块 402, 具体用于将应用程序的公钥以及应用程序提供的 私钥进行比对, 如果符合, 确定应用程序的操作合法, 如果不符合, 确定应用 程序的操作非法。
进一歩, 虚拟机管理器还包括: 触发模块 403, 用于在判断模块 402允许 或禁止应用程序访问硬件资源之后, 触发虚拟机进入, 由虚拟机接管系统控制 权。
需要说明的是, 虚拟机管理器运行于根模式, 虚拟机运行于非根模式, 虚 拟机退出是指由非根模式切换到根模式, 同时系统控制权转移, 由虚拟机管理 器接管系统控制权。 虚拟机进入是指由根模式切换到非根模式, 同时系统控制 权转移, 由虚拟机接管系统控制权。
本实施例提供的虚拟机管理器、 硬件资源、 虚拟机分别与方法实施例中的 虚拟机管理器、 硬件资源、 虚拟机属于同一构思, 其具体实现过程详见方法实 施例, 这里不再赘述。
本实施例提供的系统, 通过虚拟机管理器监控硬件资源, 当检测到应用程 序访问硬件资源时, 触发虚拟机退出, 由虚拟机管理器接管系统控制权, 然后 判断应用程序的操作是否合法, 如果合法, 允许应用程序访问硬件资源, 如果 非法, 禁止应用程序访问硬件资源, 达到了利用虚拟化技术实现硬件资源保护 的目的, 摆脱了硬件资源保护对专门硬件设备的依赖, 提高了使用灵活度, 降 低了成本。 本领域普通技术人员可以理解实现上述实施例的全部或部分歩骤可以通 过硬件来完成, 也可以通过程序来指令相关的硬件完成, 所述的程序可以存储 于一种计算机可读存储介质中, 上述提到的存储介质可以是只读存储器, 磁盘 或光盘等。 以上所述仅为本发明的较佳实施例, 并不用以限制本发明, 凡在本发明的 精神和原则之内, 所作的任何修改、 等同替换、 改进等, 均应包含在本发明的 保护范围之内。

Claims (18)

  1. 权 利 要 求 书
    1、 一种硬件资源保护方法, 其特征在于, 所述方法包括:
    虚拟机管理器监控硬件资源, 当检测到应用程序访问所述硬件资源时, 触 发虚拟机退出, 由所述虚拟机管理器接管系统控制权;
    虚拟机管理器判断所述应用程序的操作是否合法, 如果合法, 允许所述应 用程序访问所述硬件资源, 如果非法, 禁止所述应用程序访问所述硬件资源。
  2. 2、 根据权利要求 1所述的方法, 其特征在于, 所述虚拟机管理器监控硬件 资源, 当检测到应用程序访问所述硬件资源时, 触发虚拟机退出, 由所述虚拟 机管理器接管系统控制权, 具体包括:
    当所述硬件资源为输入输出地址时, 虚拟机管理器监控所述虚拟机管理器 所在设备的输入输出地址, 当检测到应用程序对所述输入输出地址进行读写操 作时, 触发虚拟机退出, 由所述虚拟机管理器接管系统控制权。
  3. 3、 根据权利要求 1所述的方法, 其特征在于, 所述虚拟机管理器监控硬件 资源, 当检测到应用程序访问所述硬件资源时, 触发虚拟机退出, 由所述虚拟 机管理器接管系统控制权, 具体包括:
    当所述硬件资源为内存空间时, 虚拟机管理器监控控制寄存器, 阻止应用 程序使用所述控制寄存器对内存空间进行映射, 检测到所述应用程序访问所述 内存空间时产生缺页异常, 并通过设置使预设的退出条件成立, 触发虚拟机退 出, 由所述虚拟机管理器接管系统控制权。
  4. 4、 根据权利要求 3所述的方法, 其特征在于, 所述通过设置使预设的退出 条件成立, 具体包括:
    设置缺页掩码 PFEC— MASK和缺页匹配码 PFEC— MATCH, 当产生缺页异常时, 关系式缺页错误码 PFEC & PFEC— MASK = PFEC— MATCH成立, &表示与运算。
  5. 5、 根据权利要求 1-4任一项所述的方法, 其特征在于, 所述虚拟机管理器 判断所述应用程序的操作是否合法, 具体包括: 虚拟机管理器将所述应用程序的公钥以及所述应用程序提供的私钥进行比 对, 如果符合, 确定所述应用程序的操作合法, 如果不符合, 确定所述应用程 序的操作非法。
  6. 6、 根据权利要求 1所述的方法, 其特征在于, 所述虚拟机管理器判断所述 应用程序的操作是否合法, 如果合法, 允许所述应用程序访问所述硬件资源, 如果非法, 禁止所述应用程序访问所述硬件资源之后, 所述方法还包括:
    虚拟机管理器触发虚拟机进入, 由虚拟机接管系统控制权。
  7. 7、 一种虚拟机管理器, 其特征在于, 所述虚拟机管理器包括:
    监控模块, 用于监控硬件资源, 当检测到应用程序访问所述硬件资源时, 触发虚拟机退出, 由所述虚拟机管理器接管系统控制权;
    判断模块, 用于判断所述应用程序的操作是否合法, 如果合法, 允许所述 应用程序访问所述硬件资源, 如果非法, 禁止所述应用程序访问所述硬件资源。
  8. 8、 根据权利要求 7所述的虚拟机管理器, 其特征在于, 所述监控模块, 具 体用于
    当所述硬件资源为输入输出地址时, 监控所述虚拟机管理器所在设备的输 入输出地址, 当检测到应用程序对所述输入输出地址进行读写操作时, 触发虚 拟机退出, 由所述虚拟机管理器接管系统控制权。
  9. 9、 根据权利要求 7所述的虚拟机管理器, 其特征在于, 所述监控模块, 具 体用于
    当所述硬件资源为内存空间时, 监控控制寄存器, 阻止应用程序使用所述 控制寄存器对内存空间进行映射, 检测到所述应用程序访问所述内存空间时产 生缺页异常, 并通过设置使预设的退出条件成立, 触发虚拟机退出。
  10. 10、 根据权利要求 9所述的虚拟机管理器, 其特征在于, 所述监控模块在 通过设置使预设的退出条件成立时, 具体用于
    设置缺页掩码 PFEC— MASK和缺页匹配码 PFEC— MATCH, 当产生缺页异常时, 关系式缺页错误码 PFEC & PFEC— MASK = PFEC— MATCH成立, &表示与运算。
  11. 11、 根据权利要求 7-10任一项所述的虚拟机管理器, 其特征在于, 所述判 断模块, 具体用于
    将所述应用程序的公钥以及所述应用程序提供的私钥进行比对, 如果符合, 确定所述应用程序的操作合法, 如果不符合, 确定所述应用程序的操作非法。
  12. 12、 根据权利要求 7所述的虚拟机管理器, 其特征在于, 所述虚拟机管理 器还包括: 触发模块, 用于在所述判断模块允许或禁止所述应用程序访问所述 硬件资源之后, 触发虚拟机进入, 由虚拟机接管系统控制权。
  13. 13、 一种硬件资源保护系统, 其特征在于, 所述系统包括: 虚拟机管理器、 硬件资源、 和虚拟机;
    所述虚拟机管理器用于监控所述硬件资源, 当检测到应用程序访问所述硬 件资源时, 触发所述虚拟机退出, 由所述虚拟机管理器接管系统控制权; 并判 断所述应用程序的操作是否合法, 如果合法, 允许所述应用程序访问所述硬件 资源, 如果非法, 禁止所述应用程序访问所述硬件资源。
  14. 14、 根据权利要求 13所述的系统, 其特征在于, 所述虚拟机管理器包括: 监控模块和判断模块;
    所述监控模块, 用于监控所述硬件资源, 当检测到应用程序访问所述硬件 资源时, 触发所述虚拟机退出, 由所述虚拟机管理器接管系统控制权;
    所述判断模块, 用于判断所述应用程序的操作是否合法, 如果合法, 允许 所述应用程序访问所述硬件资源, 如果非法, 禁止所述应用程序访问所述硬件 资源。
  15. 15、 根据权利要求 14所述的系统, 其特征在于, 所述监控模块, 具体用于 当所述硬件资源为输入输出地址时, 监控所述虚拟机管理器所在设备的输 入输出地址, 当检测到应用程序对所述输入输出地址进行读写操作时, 触发虚 拟机退出, 由所述虚拟机管理器接管系统控制权。 16、 根据权利要求 14所述的系统, 其特征在于, 所述监控模块, 具体用于 当所述硬件资源为内存空间时, 监控控制寄存器, 阻止应用程序使用所述 控制寄存器对内存空间进行映射, 使所述应用程序访问所述内存空间时产生缺 页异常, 并通过设置使预设的退出条件成立, 触发虚拟机退出。
  16. 17、 根据权利要求 16所述的系统, 其特征在于, 所述监控模块在通过设置 使预设的退出条件成立时, 具体用于
    设置缺页掩码 PFEC— MASK和缺页匹配码 PFEC— MATCH, 当产生缺页异常时, 关系式缺页错误码 PFEC & PFEC— MASK = PFEC— MATCH成立, &表示与运算。
  17. 18、 根据权利要求 14-17任一项所述的系统, 其特征在于, 所述判断模块, 具体用于
    将所述应用程序的公钥以及所述应用程序提供的私钥进行比对, 如果符合, 确定所述应用程序的操作合法, 如果不符合, 确定所述应用程序的操作非法。
  18. 19、根据权利要求 14所述的系统, 其特征在于,所述虚拟机管理器还包括: 触发模块, 用于在所述判断模块允许或禁止所述应用程序访问所述硬件资源之 后, 触发虚拟机进入, 由虚拟机接管系统控制权。
CN201180058592.7A 2011-12-06 2011-12-06 一种硬件资源保护方法和系统以及虚拟机管理器 Active CN103270491B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2011/083499 WO2013082749A1 (zh) 2011-12-06 2011-12-06 一种硬件资源保护方法和系统以及虚拟机管理器

Publications (2)

Publication Number Publication Date
CN103270491A true CN103270491A (zh) 2013-08-28
CN103270491B CN103270491B (zh) 2016-12-21

Family

ID=48573481

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201180058592.7A Active CN103270491B (zh) 2011-12-06 2011-12-06 一种硬件资源保护方法和系统以及虚拟机管理器

Country Status (2)

Country Link
CN (1) CN103270491B (zh)
WO (1) WO2013082749A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111737656A (zh) * 2019-05-30 2020-10-02 中国科学院计算技术研究所 面向应用程序的特权硬件资源访问方法及电子设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101162443A (zh) * 2006-10-10 2008-04-16 株式会社瑞萨科技 数据处理器
US20080244571A1 (en) * 2007-03-30 2008-10-02 Bennett Steven M Virtual interrupt processing in a layered virtualization architecture
CN101398769A (zh) * 2008-10-28 2009-04-01 北京航空航天大学 一种对操作系统透明的处理器资源整合利用方法
CN101751284A (zh) * 2009-12-25 2010-06-23 北京航空航天大学 一种分布式虚拟机监控器的i/o资源调度方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4795812B2 (ja) * 2006-02-22 2011-10-19 富士通セミコンダクター株式会社 セキュアプロセッサ
CN101419558A (zh) * 2008-11-13 2009-04-29 湖南大学 Cuda图形子系统虚拟化方法
US8555059B2 (en) * 2010-04-16 2013-10-08 Microsoft Corporation Secure local update of content management software

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101162443A (zh) * 2006-10-10 2008-04-16 株式会社瑞萨科技 数据处理器
US20080244571A1 (en) * 2007-03-30 2008-10-02 Bennett Steven M Virtual interrupt processing in a layered virtualization architecture
CN101398769A (zh) * 2008-10-28 2009-04-01 北京航空航天大学 一种对操作系统透明的处理器资源整合利用方法
CN101751284A (zh) * 2009-12-25 2010-06-23 北京航空航天大学 一种分布式虚拟机监控器的i/o资源调度方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111737656A (zh) * 2019-05-30 2020-10-02 中国科学院计算技术研究所 面向应用程序的特权硬件资源访问方法及电子设备
CN111737656B (zh) * 2019-05-30 2023-10-27 中国科学院计算技术研究所 面向应用程序的特权硬件资源访问方法及电子设备

Also Published As

Publication number Publication date
CN103270491B (zh) 2016-12-21
WO2013082749A1 (zh) 2013-06-13

Similar Documents

Publication Publication Date Title
US11436161B2 (en) System for address mapping and translation protection
CN104040511B (zh) 减少对数据通信量的未经授权的访问
EP3807797B1 (en) Pointer authentication and dynamic switching between pointer authentication regimes
US11972116B2 (en) Process monitoring method and apparatus
US20080201540A1 (en) Preservation of integrity of data across a storage hierarchy
US8850573B1 (en) Computing device with untrusted user execution mode
US8996883B2 (en) Securing inputs from malware
CN103778380A (zh) 数据脱敏和反脱敏方法及相关设备
US8359443B2 (en) Secure memory access system and method
JP2014530392A (ja) トリアージダンプの生成方法及びコンピューティングデバイス
TWI735475B (zh) 用於偵測虛擬機器或者模擬器的程式規避的方法、設備和電腦可讀取儲存媒體
WO2013096258A1 (en) Method and system for frame buffer protection
CN103679060B (zh) 加密方法及加密装置
WO2018044466A1 (en) Hybrid hypervisor-assisted security model
US10565141B1 (en) Systems and methods for hiding operating system kernel data in system management mode memory to thwart user mode side-channel attacks
CN108647534A (zh) 一种基于双隔离的安全显示系统及方法
CN113553006A (zh) 一种实现向只读分区写数据的安全加密存储系统
KR20170060815A (ko) 메모리의 커널영역을 보호하기 위한 전자장치 및 방법
CN103270491A (zh) 一种硬件资源保护方法和系统以及虚拟机管理器
CN104361280A (zh) 一种通过smi中断实现对usb存储设备进行可信认证的方法
CN102929802B (zh) 一种存储资源的保护方法及系统
CN101470673B (zh) 一种移动存储设备的实现防病毒的方法
WO2011120335A1 (zh) 数据操作的方法、装置及计算机
CN102722943B (zh) 一种电话pos安全芯片
CN102902937B (zh) 基于U盘Windows XP Embedded 随身操作系统的保护方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20211224

Address after: 450046 Floor 9, building 1, Zhengshang Boya Plaza, Longzihu wisdom Island, Zhengdong New Area, Zhengzhou City, Henan Province

Patentee after: Super fusion Digital Technology Co.,Ltd.

Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen

Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd.

TR01 Transfer of patent right