CN108491716B - 一种基于物理页地址分析的虚拟机内存隔离性检测方法 - Google Patents
一种基于物理页地址分析的虚拟机内存隔离性检测方法 Download PDFInfo
- Publication number
- CN108491716B CN108491716B CN201810083856.8A CN201810083856A CN108491716B CN 108491716 B CN108491716 B CN 108491716B CN 201810083856 A CN201810083856 A CN 201810083856A CN 108491716 B CN108491716 B CN 108491716B
- Authority
- CN
- China
- Prior art keywords
- physical
- virtual machine
- page
- acquiring
- memory
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45583—Memory management, e.g. access or allocation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于物理页地址分析的虚拟机内存隔离性检测方法,包括以下步骤:获取虚拟机物理页基地址集合;获取虚拟机物理页读写权限;对比虚拟机物理内存信息。本发明针对目前对虚拟化产品的内存隔离性检测方法空白的问题,提出了一种虚拟机内存隔离性检测方法,可为虚拟化产品内存隔离的安全测试、安全审查等提供技术支持。
Description
技术领域
本发明涉及虚拟机安全技术领域,尤其涉及一种基于物理页地址分析的虚拟机内存隔离性检测方法。
背景技术
云计算是一种将池化的集群计算能力通过互联网向内外部用户提供弹性、按需服务的互联网新业务和新技术。
虚拟化技术是云计算一项重要的基础性技术,通过虚拟机管理程序VMM(VirtualMachine Monitor)或称为Hypervisor(系统管理程序),访问宿主机上的所有硬件设备。当宿主机启动并调动Hypervisor时,它会加载所有虚拟机上的操作系统,同时给每个虚拟机分配适量的网络CPU、磁盘和内存等物理资源。由VMM或Hypervisor负责协调这些硬件资源的访问,同时也在虚拟机之间实施安全防护。
云计算环境中多个用户共享资源,多个虚拟资源很可能被绑定到相同的物理资源上。从安全角度出发,虚拟机之间的资源应严格隔离,对此,国家相关标准规范作了明确要求。
但是,如何测试、评价虚拟机内存隔离性,目前欠缺相应的技术手段和方法。在对虚拟化产品安全检测、云服务安全审查等测评活动中涉及虚拟机内存隔离性时,测评(评价)人员采用的方法通常包括两种:一是文档检查,查看是否采取了相关技术手段确保不同虚拟机之间的内存隔离;二是试验测试,典型做法是在物理机上新建虚拟机实现对物理内存的满占,再尝试新建虚拟机,如果失败则认为实现了内存隔离。上述两种方式显然不够严谨、不够科学,对于是否实现虚拟机之间的内存隔离不能提供明确、确实的证据。
发明内容
本发明所要解决的技术问题是:面向虚拟化产品的内存隔离性检测难的问题,提供一种基于物理页地址分析的虚拟机内存隔离性检测方法,实现对虚拟机内存占用的底层透视检测,绘制虚拟机内存物理地址的分布图,寻找是否存在内存交叉重叠区域,对虚拟机是否确实进行内存隔离进行技术检测。
本发明提供的一种基于物理页地址分析的虚拟机内存隔离性检测方法,包括以下步骤:
获取虚拟机物理页基地址集合;
获取虚拟机物理页读写权限;
对比虚拟机物理内存信息。
进一步,所述获取虚拟机物理页基地址集合的步骤包括:
获取虚拟机内存的虚拟地址空间;
根据所述虚拟地址空间获取所述物理页基地址。
进一步,所述获取物理页基地址的步骤包括:
获取页全局目录项物理地址;
获取页中间目录项物理地址;
获取页表项物理地址。
进一步,所述获取虚拟机物理页读写权限的步骤包括:
读取vm_area_struct结构体中的vm_flags标志;
或者读取页表项标志位。
进一步,所述读取页表项标志位获取虚拟机物理页读写权限的步骤包括:
获取各页表项的R/W标志位,其中,R/W=0代表只读,R/W=1代表读写;
若R/W=0,则停止读取,判断其所指向的所有物理页为只读;
若R/W=1,则继续遍历,直到获取所有物理页属性,若各级页表项均满足R/W=1,则判断该物理页的读写权限为既可以读又可以写,否则,判断该物理页的读写权限为只读。
进一步,所述对比虚拟机物理内存信息的步骤包括:
在获取两台虚拟机内存的真实物理地址的基础上,对比两台虚拟机的物理内存地址是否有重叠区域,若没有,则判断为内存隔离;
若有,进一步获取该重叠区域的读写权限,并检测该两台虚拟机对该重叠区域是否只有只读权限;若是,则判断为内存隔离成功,否则,判断为内存隔离失败。
进一步,当虚拟化产品存在多台虚拟机时,随机选择虚拟机进行两两比较,若有一比较结果提示内存隔离失败,则判断为该虚拟化产品内存隔离失败。
通过采用以上的技术方案,本发明的有益效果是:针对目前对虚拟化产品的内存隔离性检测方法空白的问题,提出了一种虚拟机内存隔离性检测方法,界定了虚拟机内存隔离的含义,为开展内存隔离检测奠定了基础;形成内存隔离检测的具体方法,并给出了内存隔离检测的具体实现途径,可为虚拟化产品内存隔离的安全测试、安全审查等提供技术支持。
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1为本发明的虚拟机内存隔离性检测方法流程图;
图2为获取虚拟机内存的虚拟地址空间方法流程图;
图3为以三级页表映射机制来得到物理页基地址的过程示意图;
图4为虚拟机物理页读写权限的获取方法示意图。
具体实施方式
本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。
本说明书中公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
在qemu-kvm虚拟化环境下,一个虚拟机VM相当于宿主机操作系统上的一个qemu进程,根据这一点来讲,“虚拟机内存隔离检测”等同于“对应的宿主机进程内存隔离检测”。进程内存隔离,指不同的进程所对应的真实物理内存之间不存在交叉或者重复的状态。然而由于进程间共享内存或者KSM(内核相同页合并)等技术的使用,进程所对应的真实物理地址之间存在重叠的现象。因此,在这里对虚拟机内存隔离做如下的定义:(1)进程之间不重叠的内存要做到真实的物理空间上的隔离;(2)进程之间重叠的内存,确保进程对其拥有只读权限,做到逻辑隔离。
据此,虚拟机A和虚拟机B之间的内存隔离检测方法就是:分别遍历出虚拟机A和B所对应的所有内存的真实物理的地址,分别记为集合pa(A)和pa(B),如果pa(A)和pa(B)之间没有交集,则虚拟机A和B处于内存隔离状态;如果pa(A)与pa(B)之间存在交集,得到该交集的物理地址,查询虚拟机A和B对该部分物理内存的权限设置,保证虚拟机A和B对该部分物理内存只有读权限,否则,报警出现内存不隔离的现象。
由于物理内存是以固定大小的页(比如:4KB)为单位进行分配的,而且每个物理页中包含的物理内存的读写权限都是一样的,于是上述的集合pa(A)和pa(B)中可以不用遍历所有的物理地址,只要分别存储相应虚拟机使用的物理页的基地址即可。
如图1所示,本发明的一种基于物理页地址分析的虚拟机内存隔离性检测方法,包括:获取虚拟机物理页基地址集合;获取虚拟机物理页读写权限;对比虚拟机物理内存信息。前两个步骤的所用信息从Hypervisor获取,实现对虚拟机内存占用的底层透视检测能力。
在一个实施例中,该虚拟机内存隔离性检测方法的具体过程如下:
1、虚拟机物理页基地址集合的获取
(1)虚拟机虚拟地址获取
虚拟机是宿主机上的一个用户态进程,于是虚拟机物理页也就是该进程的物理页。基于Linux的进程内存空间的映射机制,涉及到两种内存地址空间:虚拟地址空间和物理地址空间,虚拟地址通过分页机制映射到物理地址,因此,要想获得进程的物理地址,需要首先获得其虚拟地址。如图2所示。
在一个实施例中,虚拟地址获取步骤如下:
第一步,在获得虚拟机对应的task_struct进程结构体后,得到mm_struct内存描述符。
第二步,在mm_struct结构体中找到vm_area_struct结构体。通过vm_area_struct链表遍历出该进程使用的所有内存虚拟地址空间。
其中,task_struct:进程结构体,内核用来管理某个进程,唯一对应每个进程。
mm_struct:进程的虚拟地址空间描述符,唯一对应每个进程。描述了进程所使用的所有虚拟地址空间,该结构体中保存了进程内存地址空间多级页表映射过程中所使用的页全局目录首地址pgd。
vm_area_struct:mm_struct有一个vm_area_struct结构体变量的组成的链表,进程的虚拟地址空间被划分为多个内存段,每个内存段对应一个vm_area_struct结构体,每个vm_area_struct结构体包含多个虚拟地址空间的页。
(2)虚拟机物理页基地址获取
在获取虚拟地址后,进而需要获取虚拟机物理页基地址。由于虚拟内存地址空间对应于物理地址内存空间,同样以页为单位来划分,而且页的大小和物理页是一样的,可划分每一个vm_area_struct对象对应的虚拟地址空间为多个页,然后查询每个页对应的物理页的基地址。
在一个实施例中,假设得到一个虚拟地址va,以三级页表映射机制来得到va对应的物理页基地址的过程,如图3所示。
假设一个虚拟地址64位,按照9-9-9-12三级页表映射的规则,64位中只有39位是有效的,将这39位划分为四部分:pgd_offset(占9位)、pmd_offset(占9位)、pte_offset(占9位)和page_offset(占12位)。获取物理页基地址的过程具体如下:
第一步,通过mm_struct结构体来确定该进程内存地址空间对应的页全局目录的首地址pgd,然后把虚拟地址va中的pgd_offset(占9位)部分作为页全局目录的偏移,通过相加操作可以得到虚拟地址va对应的页全局目录中的一项pgd_t,这便是内核函数pgd_offset(mm_struct,va)所做的工作。
第二步,由于pgd_t指向一个页中间目录的首地址,然后再把虚拟地址va中的pmd_offset(占9位)部分作为页中间目录的偏移,通过相加操作可以得到虚拟地址va对应的页中间目录中的一项pmd_t,这便是内核函数pmd_offset(pgd_t,va)所做的工作。
第三步,由于pmd_t指向一个页表的首地址,然后把虚拟地址va的pte_offset(占9位)部分作为页表的偏移,通过相加操作可以得到页表中的一项pte_t。
第四步,由于pte_t直接指向一个物理页的基地址,然后把虚拟地址的page_offset(占12位)部分作为该物理页中的偏移,通过相加操作可以得到该虚拟地址va对应的真实物理地址pa。
由于我们只需要得到一个虚拟地址所对应的物理页的基地址,于是在第三步的时候,便可以获得一个虚拟机对应的所有的物理页基地址的集合。
其中,pgd、pmd、pte分别是page global directory(页全局目录)、pagemiddledirectory(页中间目录)、pagetableentry(页表)。
pgd_t:页全局目录中的一项,指向一个页中间目录的首地址。
pmd_t:页中间目录中的一项,指向一个页表的首地址。
pte_t:页表中的一项,指向一个物理页的基地址。
pgd_offset(mm_struct,va):内核函数,传入进程内存描述符结构体mm_struct和该进程所使用的一个虚拟地址va,返回该虚拟地址对应的页全局目录中的一项pgd_t。
pmd_offset(pgd_t,va):内核函数,传入页全局目录中的一项pgd_t和虚拟地址va,返回页中间目录中的一项pmd_t。
pte_offset(pmd_t,va):内核函数,传入页中间目录中的一项pmd_t和虚拟地址va,返回页表中的一项pte_t。
2、虚拟机物理页读写权限的获取
有两种途径可以获取一个物理页的读写权限,具体如下:
途径一:通过vm_area_struct结构体中的vm_flags标志,该标志中有VM_READ/VM_WRITE的授权信息,该信息对该vm_area_struct对象映射的所有物理页生效。这种读写权限映射的粒度比较大,以vm_area_struct所映射的物理内存为基本单位。
途径二:通过对分页机制中页表访问权限的查询,获取虚拟机物理页读写权限。基于以下既定规则:pgd、pmd、pte各页表项读写权限存储于页表项R/W标志位(bit1)上,R/W=0代表只读、R/W=1代表读写,且:
(1)某页表项的R/W=0,则该页表项所指向的所有下级页表项或者物理页的读写权限均为R/W=0;
(2)从虚拟地址到物理地址的映射过程中,只有在各级页表项都满足R/W=1的情况下,该物理页表才既可以读又可以写。
由此,虚拟机物理页读写权限的获取的具体方法是:获取对各页表项R/W标志位,如R/W=0,则可停止读取,判断其所指向的所有物理页为只读;如R/W=1,则可继续遍历。过程如图4所示,例如在“a”“c”处判断为pgd下所有存在的物理页为只读,停止遍历;在“b”“d”处继续遍历查询,直到获取所有物理页属性。
3、虚拟机物理内存信息对比
在一个实施例中,以虚拟机A和B内存隔离性检测为例:
第一步,获取得到虚拟机A和B所对应的所有内存的真实物理地址(分别记为pa(A)和pa(B)),对比pa(A)和pa(B)是否有重叠区域,如没有,则判断虚拟机A和B处于内存隔离状态;如有(记为pa(C)),进行第二步。
第二步,获取pa(C)物理页读写权限,检测虚拟机A和B是否只对其有只读权限。如是,则判断虚拟机A和B内存隔离成功;如不是,则判断虚拟机A和B内存隔离失败。
在实际虚拟化产品内存隔离性检测中,可同时启动多台虚拟机,随机选择虚拟机进行两两比较。如果有一比较结果提示内存隔离失败,则判断虚拟化产品达不到内存隔离要求。
本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。
Claims (6)
1.一种基于物理页地址分析的虚拟机内存隔离性检测方法,其特征在于,包括以下步骤:
获取虚拟机物理页基地址集合;
获取虚拟机物理页读写权限;
对比虚拟机物理内存信息;
所述对比虚拟机物理内存信息的步骤包括:
在获取两台虚拟机内存的真实物理地址的基础上,对比两台虚拟机的物理内存地址是否有重叠区域,若没有,则判断为内存隔离;
若有,进一步获取该重叠区域的读写权限,并检测该两台虚拟机对该重叠区域是否只有只读权限;若是,则判断为内存隔离成功,否则,判断为内存隔离失败。
2.根据权利要求1所述的一种基于物理页地址分析的虚拟机内存隔离性检测方法,其特征在于,所述获取虚拟机物理页基地址集合的步骤包括:
获取虚拟机内存的虚拟地址空间;
根据所述虚拟地址空间获取所述物理页基地址。
3.根据权利要求2所述的一种基于物理页地址分析的虚拟机内存隔离性检测方法,其特征在于,所述根据所述虚拟地址空间获取所述物理页基地址的步骤包括:
获取页全局目录项物理地址;
获取页中间目录项物理地址;
获取页表项物理地址。
4.根据权利要求1所述的一种基于物理页地址分析的虚拟机内存隔离性检测方法,其特征在于,所述获取虚拟机物理页读写权限的步骤包括:
读取vm_area_struct结构体中的vm_flags标志;
或者读取页表项标志位。
5.根据权利要求4所述的一种基于物理页地址分析的虚拟机内存隔离性检测方法,其特征在于,所述读取页表项标志位获取虚拟机物理页读写权限的步骤包括:
获取各页表项的R/W标志位,其中,R/W=0代表只读,R/W=1代表读写;
若R/W=0,则停止读取,判断其所指向的所有物理页为只读;
若R/W=1,则继续遍历,直到获取所有物理页属性,若各级页表项均满足R/W=1,则判断该物理页的读写权限为既可以读又可以写,否则,判断该物理页的读写权限为只读。
6.根据权利要求1所述的一种基于物理页地址分析的虚拟机内存隔离性检测方法,其特征在于,当虚拟化产品存在多台虚拟机时,随机选择虚拟机进行两两比较,若有一比较结果提示内存隔离失败,则判断为该虚拟化产品内存隔离失败。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810083856.8A CN108491716B (zh) | 2018-01-29 | 2018-01-29 | 一种基于物理页地址分析的虚拟机内存隔离性检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810083856.8A CN108491716B (zh) | 2018-01-29 | 2018-01-29 | 一种基于物理页地址分析的虚拟机内存隔离性检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108491716A CN108491716A (zh) | 2018-09-04 |
| CN108491716B true CN108491716B (zh) | 2021-11-12 |
Family
ID=63343799
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810083856.8A Active CN108491716B (zh) | 2018-01-29 | 2018-01-29 | 一种基于物理页地址分析的虚拟机内存隔离性检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108491716B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109558211B (zh) * | 2018-11-27 | 2023-03-21 | 上海瓶钵信息科技有限公司 | 保护可信应用与普通应用的交互完整性和保密性的方法 |
| CN110442425B (zh) * | 2019-07-19 | 2022-04-08 | 南京芯驰半导体科技有限公司 | 一种虚拟化地址空间隔离系统及方法 |
| CN111399988B (zh) * | 2020-04-08 | 2024-02-09 | 公安部第三研究所 | 一种云平台的内存安全检测系统及方法 |
| CN112241310B (zh) * | 2020-10-21 | 2023-01-31 | 海光信息技术股份有限公司 | 页表管理、信息获取方法、处理器、芯片、设备及介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101158924A (zh) * | 2007-11-27 | 2008-04-09 | 北京大学 | 一种虚拟机管理器的动态内存映射方法 |
| CN101520738A (zh) * | 2008-02-27 | 2009-09-02 | 黄歆媚 | 基于设备访存管理技术的虚拟机系统及其设备访问方法 |
| CN103116556A (zh) * | 2013-03-11 | 2013-05-22 | 无锡江南计算技术研究所 | 内存静态划分虚拟化方法 |
| CN104182269A (zh) * | 2014-08-12 | 2014-12-03 | 山东省计算中心(国家超级计算济南中心) | 一种kvm虚拟机的物理内存取证方法 |
| CN104991869A (zh) * | 2015-07-31 | 2015-10-21 | 成都腾悦科技有限公司 | 一种微处理器存储管理方法 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7975117B2 (en) * | 2003-03-24 | 2011-07-05 | Microsoft Corporation | Enforcing isolation among plural operating systems |
| US7640543B2 (en) * | 2004-06-30 | 2009-12-29 | Intel Corporation | Memory isolation and virtualization among virtual machines |
| CN101477477B (zh) * | 2009-01-12 | 2012-01-11 | 华为技术有限公司 | 内核空间隔离方法、空间管理实体及系统 |
| CN103279406B (zh) * | 2013-05-31 | 2015-12-23 | 华为技术有限公司 | 一种内存的隔离方法和装置 |
| CN103488588A (zh) * | 2013-10-09 | 2014-01-01 | 中国科学院计算技术研究所 | 一种内存保护方法、系统及网络接口控制器 |
| CN104598303B (zh) * | 2013-10-31 | 2018-04-10 | 中国电信股份有限公司 | 基于kvm的虚拟机间在线迁移方法与装置 |
| CN103699498B (zh) * | 2013-11-25 | 2016-08-31 | 南京大学 | 一种应用程序关键数据保护系统及其保护方法 |
| CN104036185B (zh) * | 2014-06-23 | 2017-04-12 | 常熟理工学院 | 基于虚拟化的宏内核操作系统载入模块权能隔离方法 |
| CN105389161B (zh) * | 2014-09-09 | 2018-11-30 | 龙芯中科技术有限公司 | 事务内存的冲突检测方法、事务内存系统及微处理器 |
| CN105138905A (zh) * | 2015-08-25 | 2015-12-09 | 中国科学院信息工程研究所 | Linux应用程序的隔离运行方法 |
| US10496388B2 (en) * | 2016-03-24 | 2019-12-03 | Intel Corporation | Technologies for securing a firmware update |
| CN106203082A (zh) * | 2016-06-29 | 2016-12-07 | 上海交通大学 | 基于虚拟化硬件特性的高效隔离内核模块的系统及方法 |
| CN106778255A (zh) * | 2016-11-24 | 2017-05-31 | 工业和信息化部电信研究院 | 基于内存遍历的可信执行环境隔离性检测方法及装置 |
| CN107526693A (zh) * | 2017-08-11 | 2017-12-29 | 致象尔微电子科技(上海)有限公司 | 一种基于线性映射表的内存隔离方法 |
-
2018
- 2018-01-29 CN CN201810083856.8A patent/CN108491716B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101158924A (zh) * | 2007-11-27 | 2008-04-09 | 北京大学 | 一种虚拟机管理器的动态内存映射方法 |
| CN101520738A (zh) * | 2008-02-27 | 2009-09-02 | 黄歆媚 | 基于设备访存管理技术的虚拟机系统及其设备访问方法 |
| CN103116556A (zh) * | 2013-03-11 | 2013-05-22 | 无锡江南计算技术研究所 | 内存静态划分虚拟化方法 |
| CN104182269A (zh) * | 2014-08-12 | 2014-12-03 | 山东省计算中心(国家超级计算济南中心) | 一种kvm虚拟机的物理内存取证方法 |
| CN104991869A (zh) * | 2015-07-31 | 2015-10-21 | 成都腾悦科技有限公司 | 一种微处理器存储管理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108491716A (zh) | 2018-09-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102435949B1 (ko) | 컴퓨팅 장치의 메모리 내 페이지 접근 제어 | |
| US7739466B2 (en) | Method and apparatus for supporting immutable memory | |
| CN108491716B (zh) | 一种基于物理页地址分析的虚拟机内存隔离性检测方法 | |
| US10169244B2 (en) | Controlling access to pages in a memory in a computing device | |
| US8261267B2 (en) | Virtual machine monitor having mapping data generator for mapping virtual page of the virtual memory to a physical memory | |
| US8423747B2 (en) | Copy equivalent protection using secure page flipping for software components within an execution environment | |
| US20070006175A1 (en) | Intra-partitioning of software components within an execution environment | |
| US20180129525A1 (en) | Computing system for securely executing a secure application in a rich execution environment | |
| US11467977B2 (en) | Method and apparatus for monitoring memory access behavior of sample process | |
| KR20080030543A (ko) | 무단 변경 방지 방법, 무단 변경 방지 프로세서, 무단 변경방지 제품, 무단 변경 방지 시스템 | |
| US10365825B2 (en) | Invalidation of shared memory in a virtual environment | |
| US10185651B2 (en) | Relocating a virtual address in a persistent memory | |
| US10061918B2 (en) | System, apparatus and method for filtering memory access logging in a processor | |
| US11256830B2 (en) | Apparatus for adding protection function for indirect access memory controller | |
| US5940869A (en) | System and method for providing shared memory using shared virtual segment identification in a computer system | |
| US11200175B2 (en) | Memory accessor invailidation | |
| CN115098279A (zh) | 内存地址的共享访问方法及装置 | |
| CN108932205B (zh) | 一种防御RowHammer攻击的方法及设备 | |
| CN116561824A (zh) | 在机密计算架构中管理内存的方法和装置 | |
| CN115516438A (zh) | 内存管理装置及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |