CN111143900A - 数据处理、访问控制方法、系统、器件、设备、存储介质 - Google Patents

数据处理、访问控制方法、系统、器件、设备、存储介质 Download PDF

Info

Publication number
CN111143900A
CN111143900A CN201911347636.2A CN201911347636A CN111143900A CN 111143900 A CN111143900 A CN 111143900A CN 201911347636 A CN201911347636 A CN 201911347636A CN 111143900 A CN111143900 A CN 111143900A
Authority
CN
China
Prior art keywords
secure
page table
storage area
data
secure page
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911347636.2A
Other languages
English (en)
Other versions
CN111143900B (zh
Inventor
姜莹
王海洋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Haiguang Information Technology Suzhou Co ltd
Original Assignee
Haiguang Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Haiguang Information Technology Co Ltd filed Critical Haiguang Information Technology Co Ltd
Priority to CN201911347636.2A priority Critical patent/CN111143900B/zh
Publication of CN111143900A publication Critical patent/CN111143900A/zh
Application granted granted Critical
Publication of CN111143900B publication Critical patent/CN111143900B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1458Protection against unauthorised use of memory or access to memory by checking the subject access rights

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Storage Device Security (AREA)

Abstract

数据处理、访问控制方法、系统、器件、设备、存储介质,所述方法包括:在存储器中划分安全页表存储区域,所述安全页表存储区域内的安全页表信息禁止被置换出所述安全页表存储区域;响应于存储区保护请求,确定所述存储区保护请求指向的安全数据存储区域和所述安全数据存储区域采用的安全模式;基于所述安全数据存储区域的页表结构,在所述安全页表存储区域内更新对应的安全页表信息,并基于所述安全模式,在所述安全页表中设置对应的安全模式状态信息,所述安全页表存储区域的页表结构适于指示所述安全数据存储区域的虚拟地址与物理地址的映射关系。采用上述方案能够提高存储器中数据的安全性。

Description

数据处理、访问控制方法、系统、器件、设备、存储介质
技术领域
本说明书实施例涉及计算机技术领域,尤其涉及一种数据处理、访问控制方法、系统、器件、设备、存储介质。
背景技术
目前,为了防止恶意程序拿到存储器中的明文信息,可以根据实际采用的数据安全保护方案,在SOC(System on Chip,片上系统)上设计相关的硬件架构和软件架构,实现对存储器中的数据的安全保护。
然而,发明人经研究发现,目前虽然有多种数据安全保护方案,存储器中的数据仍有被篡改的安全风险。
发明内容
有鉴于此,本说明书实施例提供一种数据处理、访问控制方法、系统、器件、设备、存储介质,能够提高存储器中数据的安全性。
本说明书实施例提供了一种数据处理方法,包括:
在存储器中划分安全页表存储区域,所述安全页表存储区域内的安全页表信息禁止被置换出所述安全页表存储区域;
响应于存储区保护请求,确定所述存储区保护请求指向的安全数据存储区域和所述安全数据存储区域采用的安全模式;
基于所述安全数据存储区域的页表结构,在所述安全页表存储区域内更新对应的安全页表信息,并基于所述安全模式,在所述安全页表中设置对应的安全模式状态信息,所述安全页表存储区域的页表结构适于指示所述安全数据存储区域的虚拟地址与物理地址的映射关系。
可选地,所述数据处理方法还包括:
响应于存储区保护取消请求,确定所述存储区保护取消请求指向的安全数据存储区域,销毁所述安全数据存储区域中的数据,并将所述安全数据存储区域设置为非安全数据存储区域,以及无效所述安全数据存储区域对应的安全页表信息;
基于所述非安全数据存储区域的页表结构,在预设的非安全页表存储区域内更新对应的非安全页表信息,所述非安全页表存储区域的页表结构适于指示所述非安全数据存储区域的虚拟地址与物理地址的映射关系。
可选地,所述响应于存储区保护请求,确定所述存储区保护请求指向的安全数据存储区域和所述安全数据存储区域采用的安全模式,包括:
响应于存储区保护请求,基于所述存储区保护请求中包含的安全数据的存储空间大小,确定对应的安全数据在所述存储器中的存储区域,并基于所述存储区保护请求中包含的安全模式标识,选择所述存储区域对应的安全模式。
可选地,所述基于所述存储区保护请求中包含的安全数据的存储空间大小,确定对应的安全数据在所述存储器中的存储区域,包括:
基于所述存储区保护请求中包含的安全数据的存储空间大小以及预设的单个安全页表指向的安全数据的单位存储空间大小,确定对应的安全数据在所述存储器中的存储区域。
可选地,所述数据处理方法还包括:
将预设的具有安全页表写权限的写入设备的标识发送至所述存储器的访问控制装置,使得所述存储器的访问控制装置确定是否向访问所述安全页表存储区域的写入设备开放写权限。
可选地,所述安全页表存储区域的页表结构包括至少一级页表,所述基于所述安全模式,在所述安全页表中设置对应的安全模式状态信息,包括:
基于预设的安全模式状态信息的页表项存储位,在所述安全页表中设置对应的安全模式状态信息。
本说明书实施例提供了一种存储器访问控制方法,包括:
响应于数据读取请求,读取存储器中安全页表存储区域内的安全页表信息,所述安全页表存储区域内的安全页表信息禁止被置换出所述安全页表存储区域;
基于所述安全页表存储区域的页表结构指示的安全数据存储区域的虚拟地址与物理地址的映射关系,在所述安全页表中获取所述数据读取请求中包含的虚拟地址对应的物理地址,以及所述物理地址对应的安全数据存储区域的安全模式;
采用所述安全数据存储区域的安全模式对应的处理方式,读取所述安全数据存储区域中的数据。
本说明书实施例提供了一种存储器访问控制方法,包括:
响应于数据写入请求,读取存储器中安全页表存储区域内的安全页表信息,所述安全页表存储区域内的安全页表信息禁止被置换出所述安全页表存储区域;
基于所述安全页表存储区域的页表结构指示的安全数据存储区域的虚拟地址与物理地址的映射关系,在所述安全页表中获取所述数据写入请求中包含的虚拟地址对应的物理地址,以及所述物理地址对应的安全数据存储区域的安全模式;
基于所述数据写入请求对应的写入数据,采用所述安全数据存储区域的安全模式对应的处理方式,更新所述安全数据存储区域中的数据。
本说明书实施例提供了一种安全处理器,包括:
存储区域划分单元,适于在存储器中划分安全页表存储区域,所述安全页表存储区域内的安全页表信息禁止被置换出所述安全页表存储区域;
保护请求响应单元,适于根据接收到的存储区保护请求,确定所述存储区保护请求指向的安全数据存储区域和所述安全数据存储区域采用的安全模式;
安全页表信息更新单元,适于基于所述安全数据存储区域的页表结构,在所述安全页表存储区域内更新对应的安全页表信息,并基于所述安全模式,在所述安全页表中设置对应的安全模式状态信息,所述安全页表存储区域的页表结构适于指示所述安全数据存储区域的虚拟地址与物理地址的映射关系。
可选地,所述安全处理器还包括:
保护取消请求响应单元,适于根据接收到的存储区保护取消请求,确定所述存储区保护取消请求指向的安全数据存储区域;
安全数据销毁单元,适于销毁所述安全数据存储区域中的数据,并将所述安全数据存储区域设置为非安全数据存储区域;
安全页表信息无效单元,适于无效所述安全数据存储区域对应的安全页表信息;
非安全页表信息更新单元,适于基于所述非安全数据存储区域的页表结构,在预设的非安全页表存储区域内更新对应的非安全页表信息,所述非安全页表存储区域的页表结构适于指示所述非安全数据存储区域的虚拟地址与物理地址的映射关系。
可选地,所述保护请求响应单元包括:
存储区域确认子单元,适于根据所述存储区保护请求中包含的安全数据的存储空间大小,确定对应的安全数据在所述存储器中的存储区域;
安全模式选择子单元,适于根据所述存储区保护请求中包含的安全模式标识,选择所述存储区域对应的安全模式。
可选地,所述存储区域确认子单元适于根据所述存储区保护请求中包含的安全数据的存储空间大小以及预设的单个安全页表指向的安全数据的单位存储空间大小,确定对应的安全数据在所述存储器中的存储区域。
可选地,所述安全处理器还包括:
标识发送单元,适于将预设的具有安全页表写权限的写入设备的标识发送至所述存储器的访问控制装置,使得所述存储器的访问控制装置确定是否向访问所述安全页表存储区域的写入设备开放写权限。
可选地,所述安全页表存储区域的页表结构包括至少一级页表,所述安全页表信息更新单元适于基于预设的安全模式状态信息的页表项存储位,在所述安全页表中设置对应的安全模式状态信息。
本说明书实施例提供了一种处理器,包括:
安全页表信息读取单元,适于根据接收到的数据读取请求,读取存储器中安全页表存储区域内的安全页表信息,所述安全页表存储区域内的安全页表信息禁止被置换出所述安全页表存储区域;
物理地址获取单元,适于根据所述安全页表存储区域的页表结构指示的安全数据存储区域的虚拟地址与物理地址的映射关系,在所述安全页表中获取所述数据读取请求中包含的虚拟地址对应的物理地址;
安全模式获取单元,适于在所述安全页表中获取所述物理地址对应的安全数据存储区域的安全模式;
安全数据读取单元,适于采用所述安全数据存储区域的安全模式对应的处理方式,读取所述安全数据存储区域中的数据。
本说明书实施例提供了一种处理器,包括:
安全页表信息读取单元,适于根据接收到的数据写入请求,读取存储器中安全页表存储区域内的安全页表信息,所述安全页表存储区域内的安全页表信息禁止被置换出所述安全页表存储区域;
物理地址获取单元,适于根据所述安全页表存储区域的页表结构指示的安全数据存储区域的虚拟地址与物理地址的映射关系,在所述安全页表中获取所述数据写入请求中包含的虚拟地址对应的物理地址;
安全模式获取单元,适于在所述安全页表中获取所述物理地址对应的安全数据存储区域的安全模式;
安全数据写入单元,适于根据所述数据写入请求对应的写入数据,采用所述安全数据存储区域的安全模式对应的处理方式,更新所述安全数据存储区域中的数据。
本说明书实施例提供了一种片上系统,与存储器连接,其特征在于,所述片上系统包括中央处理器和安全处理器,其中:
所述中央处理器,适于向所述安全处理器发送存储区保护请求;
所述安全处理器,适于在存储器中划分安全页表存储区域,所述安全页表存储区域内的安全页表信息禁止被置换出所述安全页表存储区域;接收所述存储区保护请求,确定所述存储区保护请求指向的安全数据存储区域和所述安全数据存储区域采用的安全模式;并且基于所述安全数据存储区域的页表结构,在所述安全页表存储区域内更新对应的安全页表信息,基于所述安全模式,在所述安全页表中设置对应的安全模式状态信息,所述安全页表存储区域的页表结构适于指示所述安全数据存储区域的虚拟地址与物理地址的映射关系。
可选地,所述中央处理器,还适于向所述安全处理器发送存储区保护取消请求;所述安全处理器,还适于确定所述存储区保护取消请求指向的安全数据存储区域,销毁所述安全数据存储区域中的数据,并将所述安全数据存储区域设置为非安全数据存储区域,以及无效所述安全数据存储区域对应的安全页表信息;并基于所述非安全数据存储区域的页表结构,在预设的非安全页表存储区域内更新对应的非安全页表信息,所述非安全页表存储区域的页表结构适于指示所述非安全数据存储区域的虚拟地址与物理地址的映射关系。
可选地,所述中央处理器,还适于向所述存储器发送数据读取请求,读取存储器中安全页表存储区域内的安全页表信息,所述安全页表存储区域内的安全页表信息禁止被置换出所述安全页表存储区域;基于所述安全页表存储区域的页表结构指示的安全数据存储区域的虚拟地址与物理地址的映射关系,在所述安全页表中获取所述数据读取请求中包含的虚拟地址对应的物理地址,以及所述物理地址对应的安全数据存储区域的安全模式;并且采用所述安全数据存储区域的安全模式对应的处理方式,读取所述安全数据存储区域中的数据。
可选地,所述中央处理器,还适于向所述存储器发送数据写入请求,读取存储器中安全页表存储区域内的安全页表信息,所述安全页表存储区域内的安全页表信息禁止被置换出所述安全页表存储区域;基于所述安全页表存储区域的页表结构指示的安全数据存储区域的虚拟地址与物理地址的映射关系,在所述安全页表中获取所述数据写入请求中包含的虚拟地址对应的物理地址,以及所述物理地址对应的安全数据存储区域的安全模式;并且基于所述数据写入请求对应的写入数据,采用所述安全数据存储区域的安全模式对应的处理方式,更新所述安全数据存储区域中的数据。
本说明书实施例提供了一种存储器,包括安全页表存储区域和安全数据存储区域,其中:
所述安全页表存储区域适于存储安全页表,所述安全页表存储区域的页表结构适于指示所述安全数据存储区域的虚拟地址与物理地址的映射关系,且所述安全页表中设置有存储区保护请求对应的安全模式状态信息,所述安全页表存储区域内的安全页表信息禁止被置换出所述安全页表存储区域;
所述安全数据存储区域,适于基于所述存储区保护请求确定存储空间,并采用所述存储区保护请求对应的安全模式存储数据。
可选地,所述存储器还包括非安全页表存储区域和非安全数据存储区域,其中:
所述非安全页表存储区域的页表结构适于指示所述非安全数据存储区域的虚拟地址与物理地址的映射关系。
本说明书实施例提供了一种数据处理系统,包括中央处理器、安全处理器和存储器,其中:
所述中央处理器,适于向所述安全处理器发送存储区保护请求;
所述安全处理器,适于存储器中划分安全页表存储区域,所述安全页表存储区域内的安全页表信息禁止被置换出所述安全页表存储区域,以及根据接收到的存储区保护请求,确定所述存储区保护请求指向的安全数据存储区域和所述安全数据存储区域采用的安全模式,基于所述安全数据存储区域的页表结构,在所述安全页表存储区域内更新对应的安全页表信息,并基于所述安全模式,在所述安全页表中设置对应的安全模式状态信息,所述安全页表存储区域的页表结构适于指示所述安全数据存储区域的虚拟地址与物理地址的映射关系。
本说明书实施例还提供了一种数据处理设备,包括存储器和处理器,其中,所述存储器适于存储一条或多条计算机指令,所述处理器运行所述计算机指令时执行上述任一实施例所述方法的步骤。
本说明书实施例还提供了一种计算机可读存储介质,其上存储有计算机指令,所述计算机指令运行时执行上述任一实施例所述方法的步骤。
采用本说明书实施例的数据处理方案,通过响应于存储区保护请求,确定所述存储区保护请求指向的安全数据存储区域和所述安全数据存储区域采用的安全模式;以及基于所述安全数据存储区域的页表结构,可以在所述安全页表存储区域内更新对应的安全页表信息,并基于所述安全模式,可以在所述安全页表中设置对应的安全模式状态信息,所述安全页表存储区域的页表结构适于指示所述安全数据存储区域的虚拟地址与物理地址的映射关系。其中,由于所述安全页表存储区域内的安全页表禁止被换页换出,因此可以避免包括安全模式状态信息的安全页表信息被篡改,因此可以提高安全页表存储区域的安全性。
进一步地,响应于存储区保护请求之后,可以基于所述存储区保护请求中包含的安全数据的存储空间大小,确定对应的安全数据在所述存储器中的存储区域,并可以基于所述存储区保护请求中包含的安全模式标识,选择所述存储区域对应的安全模式。由上可知,上述方案可以兼容现有的分页方式和存储管理方式,使得多种安全模式复用共同的页表结构,可以减少SOC软件架构和硬件架构的改动,从而提供了灵活的软、硬件兼容性。
进一步地,可以基于所述存储区保护请求中包含的安全数据的存储空间大小以及预设的安全页表对应的单位存储空间,确定对应的安全数据在所述存储器中的存储区域。由上可知,以安全页表对应的单位存储空间为基础进行划分,提供了更灵活的存储区域划分方式,使得各安全数据存储区域的存储管理方式可以互相兼容,并且,安全数据存储区域的分配不再与访问主体绑定,可以不再受到访问主体数量的限制。
进一步地,可以将预设的具有安全页表写权限的写入设备的标识发送至所述存储器的访问控制装置,使得所述存储器的访问控制装置确定是否向访问所述安全页表存储区域的写入设备开放写权限,从而可以控制安全页表存储区域的写权限,经过身份信息认证的设备具有安全页表写权限,可以对安全页表存储区域进行数据更新,而未经过身份信息认证的非法请求则无法在安全页表存储区域写入数据,因此可以增强所述安全页表存储区域的安全性。
附图说明
为了更清楚地说明本说明书实施例的技术方案,下面将对本说明书实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面所描述的附图仅仅是本说明书的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本说明书实施例中一种数据处理方法的流程图。
图2是本说明书实施例中一种存储器中存储区域的划分示意图。
图3是本说明书实施例中一种对具有安全页表存储区域的存储器进行读操作的方法的流程图。
图4是本说明书实施例中一种对具有安全页表存储区域的存储器进行写操作的方法的流程图。
图5是本说明书实施例中一种安全处理器的结构示意图。
图6是本说明书实施例中一种处理器的结构示意图。
图7是本说明书实施例中另一种处理器的结构示意图。
图8是本说明书实施例中一种片上系统的结构示意图。
图9是本说明书实施例中一种数据处理系统的结构示意图。
具体实施方式
如前所述,为了防止恶意程序拿到存储器中的明文信息,可以根据实际采用的数据安全保护方案,在SOC上设计相关的硬件架构和软件架构,实现对存储器中的数据的安全保护。例如,可以通过利用存储安全加密(Secure Memory Encryption,SME)技术对内存实现加密控制,对存储器中的数据进行加密处理,从而保护存储器中的明文信息。
然而,发明人经研究发现,目前虽然有多种数据安全保护方案,存储器中的数据仍有被篡改的安全风险。例如内存虽然采用了SME技术,但内存数据的安全状态属性可能被篡改,使得内存中的数据仍存在泄漏风险。
针对上述问题,本说明书实施例提供了一种数据处理方案,可以在存储器中划分安全页表存储区域,所述安全页表存储区域内的安全页表信息禁止被置换出所述安全页表存储区域;然后,响应于存储区保护请求,从而可以确定所述存储区保护请求指向的安全数据存储区域和所述安全数据存储区域采用的安全模式;基于所述安全数据存储区域的页表结构,可以在所述安全页表存储区域内更新对应的安全页表信息,并基于所述安全模式,可以在所述安全页表中设置对应的安全模式状态信息,所述安全页表存储区域的页表结构适于指示所述安全数据存储区域的虚拟地址与物理地址的映射关系。
为使本领域技术人员更加清楚地了解及实施本说明书实施例的构思、实现方案及优点,以下参照附图,通过具体应用场景进行详细说明。
参照图1所示的本说明书实施例中一种数据处理方法的流程图,在本说明书实施例中,可以采用如下步骤:
S11,在存储器中划分安全页表存储区域,所述安全页表存储区域内的安全页表信息禁止被置换出所述安全页表存储区域。
在具体实施中,可以根据存储器的物理内存和访问存储器的设备的寻址能力等实际情景,在所述存储器中划分出一分区作为安全页表存储区域,通过安全页表来存储需要保护的数据所在的存储区域的虚拟地址与物理地址的映射关系。
在一般情景下,由于存储器的物理内存是有限的,当访问存储器的设备通过页表信息无法获得虚拟地址对应的物理地址时,需要更新页表信息,通过现有的存储管理方式进行换页,可以在页表中建立新的映射关系,从而得到访问存储器的设备所需要的物理地址。然而换页存在信息被篡改的风险。因此,为了能够提高安全页表存储区域的安全性,所述安全页表存储区域内的安全页表信息禁止被置换出所述安全页表存储区域。
其中,实现安全页表信息禁止被置换的方式可以根据所述存储器采用的具体换页方式来决定。例如,所述存储器采用改进型先进先出(First-In First-Out,FIFO)算法,如二次机会页面置换算法(Second Chance Page Replacement Algorithm,SCPRA),这种算法在每个页表中增加一个标志位R,最近使用过的页表的R将置1,则不会被换页换出,因此,可以将安全页表存储区域中每个安全页表的R置1,从而可以避免安全页表信息被篡改的风险。
S12,响应于存储区保护请求,确定所述存储区保护请求指向的安全数据存储区域和所述安全数据存储区域采用的安全模式。
在具体实施中,所述存储区保护请求中可以包括安全模式标识和用于存储安全数据的存储空间大小,然后,基于所述存储区保护请求中包含的安全数据的存储空间大小,可以确定对应的安全数据在所述存储器中的存储区域,并基于所述存储区保护请求中包含的安全模式标识,可以选择所述存储区域对应的安全模式。
其中,所述安全模式用于识别访问主体的身份信息是否可信,从硬件角度而言,所述访问主体可以是设备、处理器、装置等,从软件角度而言,所述访问主体可以是虚拟机、进程、程序等。所述存储器可以包括一种或多种安全模式,所述存储器通过接通安全模式电路和/或者执行安全模式程序来实现相应的安全模式,在各安全模式电路和/或者各安全模式程序可以兼容的情况下,对于同一安全数据存储区域,可以复用多种安全模式。
S13,基于所述安全数据存储区域的页表结构,在所述安全页表存储区域内更新对应的安全页表信息,并基于所述安全模式,在所述安全页表中设置对应的安全模式状态信息,所述安全页表存储区域的页表结构适于指示所述安全数据存储区域的虚拟地址与物理地址的映射关系。
在具体实施中,可以根据不同的存储区保护请求对相应的安全数据存储区域进行灵活分配,为了便于安全数据统一管理,可以根据存储器预设的分页方式得到的安全数据存储区域的页表结构,进而在所述安全页表存储区域中建立所述安全数据存储区域的虚拟地址与物理地址的映射关系,更新对应的安全页表信息;由于所述存储器可以采用一种或多种安全模式保护存储的数据,因此,可以通过在存储区保护请求中包含不同的安全模式标识来表示对应的安全模式,并将安全模式状态信息设置于所述安全页表中,由于安全页表信息禁止被置换出所述安全页表存储区域,因此所述存储器的安全模式状态不会被篡改。
由上述方案可知,由于所述安全页表存储区域内的安全页表禁止被换页换出,因此可以避免包括安全模式状态信息的安全页表信息被篡改,因此可以提高安全页表存储区域的安全性。
在具体实施时,可以通过多个存储区保护请求可以确定多个安全数据存储区域和相应的安全模式,以下通过具体应用场景进行详细说明。
在本说明书一实施例中,参考图2,存储器20中已包含一个安全页表存储区域24,所述存储器20可以通过连接的安全模式电路和/或者预存的安全模式程序来实现三种安全模式,即安全模式1、安全模式2和安全模式3,其中,安全模式1可以实现加密保护功能,安全模式2可以实现隔离保护功能,安全模式3可以实现加密加隔离保护功能。存储器20通过预设如下表1所示的安全模式标识、安全模式和安全模式状态信息之间的对应关系,可以确定接收到的存储区保护请求中的安全模式以及对应的安全模式状态信息。
表1
安全模式标识 安全模式 安全模式状态信息
3’b001 安全模式1 001
3’b010 安全模式2 010
3’b011 安全模式3 011
由于安全页表中的每一页表项(PTE,page table entry)的高20位(bit)用来存放数据,低12位可以放其他信息,因此,可以在所述安全页表的低12bit中选取3bit用于设置对应的安全模式状态信息。
继续参考图2,当所述存储器20接收到存储区保护请求A时,根据存储区保护请求A中包含的安全数据的存储空间大小,通过预设的存储管理方式,可以确定对应的安全数据在所述存储器中的存储区域21,并且通过所述存储区保护请求中包含的安全模式标识“3’b001”,可以在已有的三种安全模式中确定所述存储区域21对应的安全模式为安全模式1。
以此类推,当所述存储器20接收到存储区保护请求B和C时,通过存储区保护请求B和C中包含的安全数据的存储空间大小,可以确定对应的安全数据在所述存储器中的存储区域22和23,并且通过所述存储区保护请求中包含的安全模式标识“3’b010”和“3’b011”,可以在已有的三种安全模式中确定所述存储区域22和23分别对应的安全模式为安全模式2和安全模式3。
可以根据所述存储器可以采用的安全模式的种类设置相应的比特位数及安全页表中的位置。
可以理解的是,可以根据实际情况设定安全模式标识和安全模式状态信息的表示形式,上述实施例仅为举例说明,并非对具体实施方式的限制。
由上可知,由于所述安全页表信息是基于所述安全数据存储区域的页表结构进行更新,因此,可以兼容存储器现有的分页方式和存储管理方式,使得多种安全模式复用共同的页表结构,可以减少SOC软件架构和硬件架构的改动,从而提供了灵活的软、硬件兼容性。
在具体实施时,为了能够方便获取页表结构,采取的分页方式可以为:预设一单个安全页表指向的安全数据的单位存储空间,由此将所述单位存储空间大小与所述存储区保护请求中包含的安全数据的存储空间大小进行匹配,确定对应的安全数据在所述存储器中的存储区域。
例如,预设的单个安全页表指向的安全数据的单位存储空间大小为4K字节,所述存储区保护请求中包含的安全数据的存储空间大小为1K字节,通过匹配发现根据所述存储区保护请求指定的存储区域过小,无法进行分页,因此,可以将存储区域扩大为页表对应的单位存储空间的整数倍,最终确定安全数据存储区域空间大小为4K字节,对应1个安全页表。
又如,预设的单个安全页表指向的安全数据的单位存储空间大小为4K字节,所述存储区保护请求中包含的安全数据的存储空间大小为9K字节,为容纳安全数据,可以将存储区域扩大为安全页表对应的单位存储空间的整数倍,最终确定安全数据存储区域空间大小为12K字节,对应3个安全页表。
在具体实施时,预设的单个安全页表指向的安全数据的单位存储空间和预设的安全数据存储区域的分页方式可以不相同,由此可能产生单个安全页表指向的安全数据的单位存储空间大小和所述安全数据存储区域内的页表的单位存储空间大小不一致,例如,预设的单个安全页表指向的安全数据的单位存储空间大小为4K字节,预设的分页方式为:安全页表对应的单位存储空间为2K字节,即每个页表大小为2K字节,则所述安全数据存储区域内的页表的单位存储空间大小为2K字节,所以,半个安全页表的单位存储空间对应所述安全数据存储区域内的页表的单位存储空间,当所述存储区保护请求中包含的安全数据的存储空间大小为9K字节时,为容纳安全数据,则最终可以确定安全数据存储区域空间大小为10K字节,对应3个安全页表。
类似地,当所述存储区保护请求指定的存储区域不是单个安全页表指向的安全数据的单位存储空间大小的整数倍时,可以根据单位存储空间进行划分,进行向上取整,取安全页表指向的单位存储空间大小的最小整数倍,以便于后续根据分页方式获取安全数据存储区域的页表结构。
由上可知,以安全页表对应的单位存储空间为基础对存储区域进行划分,提供了更灵活的存储区域划分方式,使得各安全数据存储区域的存储管理方式可以互相兼容,并且,安全数据存储区域的分配不再与访问主体绑定,可以不再受到访问主体数量的限制。
在具体实施时,在确定所述存储区保护请求指向的安全数据存储区域之后,可以根据存储器预设的分页方式得到安全数据存储区域的页表结构。例如,假设存储器预设的分页方式为:单个安全页表指向的安全数据的单位存储空间大小为4K字节,一个页表项的大小为4个字节,则当存储区保护请求包含的安全数据的存储空间大小为40K字节时,所述安全数据存储区域的页表结构可以为:10个页表,每个页表可以包括1024个页表项。然后,所述安全页表存储区域内至少包括10个安全页表,每个安全页表可以包括1024个页表项,在对应的安全页表中更新数据,并在更新的安全页表中设置对应的安全模式状态信息。如果安全页表更新数据后改变了安全页表的起始地址,则还需要更新存储管理方式采用的页表基地址数据。例如,采用存储管理单元(Memory Management Unit,MMU)对安全数据存储区域和安全页表存储区域进行分页,可以更新存储管理单元中的CR3寄存器所指向的页表基地址。
由上可知,可以通过安全页表设置不同的安全模式状态信息,提供更灵活的安全模式状态信息管理方式。
在具体实施时,所述安全页表存储区域的页表结构包括至少一级页表,可以是二级页表、三级页表或四级页表等。可以基于预设的安全模式状态信息的页表项存储位,在所述安全页表中设置对应的安全模式状态信息。
例如,所述安全页表为二级页表,则所述安全页表存储区域的页表结构分为页表目录(Page Directory Entry,PDE)和页表条目(Page Table Entry,PTE),所述安全模式状态信息可以在PDE内的页表项中设置,也可以在PTE内的页表项中设置。如果安全模式状态信息在PDE内的页表项中设置,那么,使得所述PDE内的页表项中指向的所有PTE对应的存储区域都可以适用已设置的安全模式状态信息对应的安全模式,如果安全模式状态信息在PTE内的页表项中设置,那么,使得所述PTE内的页表项所指向的存储区域可以适用已设置的安全模式状态信息对应的安全模式。
可以理解的是,所述安全页表存储区域的页表结构可以根据实际情况进行设置,上述实施例仅为举例说明,并非对具体实施方式的限制。
在具体实施时,为了增强所述安全页表存储区域的安全性,作为一具体示例,所述安全页表存储区域的安全模式可以设置为如下方式:可以控制安全页表存储区域的写权限,经过身份信息认证的访问主体具有安全页表写权限,可以对所述安全页表存储区域进行数据更新,而未经过身份信息认证的非法请求则无法在安全页表存储区域写入数据。例如,可以将所述存储器与访问控制装置连接,将预设的具有安全页表写权限的写入设备的标识发送至所述存储器的访问控制装置,通过所述访问控制装置可以确定是否向访问所述安全页表存储区域的写入设备开放写权限。
其中,可以根据实际情景设定一个或多个数据处理设备收集预设的具有安全页表写权限的写入设备的标识,并发送至所述访问控制装置,例如,可以是中央处理器收集预设的具有安全页表写权限的写入设备的标识,也可以是安全处理器收集预设的具有安全页表写权限的写入设备的标识。
通过上述实施例,可以对安全数据存储区域采用的安全模式进行设置。在具体实施中,根据实际需要,还可以对上述实施例作进一步的扩展及优化。
例如,发明人经研究发现,某些数据随着时间变化,所需要的安全保护需求会有所变化,可以基于变化后的安全保护需求,更改或重新设置相应的存储区域的安全模式,从而可以实现存储器中安全保护方案的灵活设置。
此外,随着时间的推移,有些存储区域的数据不需要再进行安全保护,针对这种情况,可以取消相应存储区域的安全保护。继续参照图1,具体可以采用以下步骤进行处理:
S14,响应于存储区保护取消请求,确定所述存储区保护取消请求指向的安全数据存储区域,销毁所述安全数据存储区域中的数据,并将所述安全数据存储区域设置为非安全数据存储区域,以及无效所述安全数据存储区域对应的安全页表信息。
其中,数据销毁的方式可以由安全数据存储区域采用的安全模式和存储器所处运行环境等具体情况决定。例如,所述安全数据存储区中采用加密保护功能的安全模式的存储虚拟机数据,在销毁所述安全数据存储区中的数据时,可以先采用相应的密钥获取到所述安全数据存储区中的数据,并采用预设的数据销毁方式进行数据销毁。
S15,基于所述非安全数据存储区域的页表结构,在预设的非安全页表存储区域内更新对应的非安全页表信息,所述非安全数据存储区域内的页表结构适于指示所述非安全数据存储区域的虚拟地址与物理地址的映射关系。
在进行数据销毁后,通过所述非安全数据存储区域内的页表,建立非安全页表与对应的非安全数据存储区域的映射关系,使得访问主体可以通过非安全页表信息,找到访问时使用的虚拟地址对应的物理地址,从而可以对所述物理地址对应所述非安全数据存储区域中的区域进行访问。
由上可知,通过在所述存储器中划分非安全页表存储区域,可以确保被取消保护的安全数据存储区域也可以被访问,并作为非安全数据存储区域进行数据存储,从而提高存储器的空间利用率。
如上述各实施例所述,根据安全需求对存储器进行划分及安全保护设置后,可以用于存储数据,以及对所述存储器进行访问的需求,具体可以包括对存储器的读操作和对存储器的写操作。以下通过具体实施例说明如何进行访问。
如图3所示,为对具有安全页表存储区域的存储器进行读操作的方法的流程图,可以包括以下步骤:
S31,响应于数据读取请求,读取存储器中安全页表存储区域内的安全页表信息,所述安全页表存储区域内的安全页表信息禁止被置换出所述安全页表存储区域。
在具体实施中,可以是中央处理器(Central Processing Unit,CPU)对具有安全页表存储区域的存储器进行读操作,也可以是安全处理器(Platform SecurityProcessor,PSP)对具有安全页表存储区域的存储器进行读操作。并且,所述数据读取请求可以是其他访问主体发送给设备的,也可以是设备自身产生的。例如,可以是PSP接收CPU发送的数据读取请求,也可以是PSP或CPU自身产生的数据读取请求。
S32,基于所述安全页表存储区域的页表结构指示的安全数据存储区域的虚拟地址与物理地址的映射关系,在所述安全页表中获取所述数据读取请求中包含的虚拟地址对应的物理地址,以及所述物理地址对应的安全数据存储区域的安全模式。
在具体实施中,所述数据读取请求中包含虚拟地址,根据所述安全页表存储区域的页表结构,可以获得存储所述虚拟地址对应物理地址的页表项;在安全页表的页表项中还可以存储各安全数据存储区域的安全模式,因此,在获取存储所述虚拟地址对应物理地址的页表项时,还可以得到所述物理地址对应的安全数据存储区域的安全模式。
S33,采用所述安全数据存储区域的安全模式对应的处理方式,读取所述安全数据存储区域中的数据。
在具体实施中,读取所述安全数据存储区域中的数据的处理方式与对应的安全模式相关。例如,对应的安全模式为采用某种预设的加密方式,则读取所述安全数据存储区域中的数据的处理方式可以为:采用密钥获取所述安全数据存储区域中的数据。
如图4所示,为对具有安全页表存储区域的存储器进行写操作的方法的流程图,可以包括以下步骤:
S41,响应于数据写入请求,读取存储器中安全页表存储区域内的安全页表信息,所述安全页表存储区域内的安全页表信息禁止被置换出所述安全页表存储区域。
S42,基于所述安全页表存储区域的页表结构指示的安全数据存储区域的虚拟地址与物理地址的映射关系,在所述安全页表中获取所述数据写入请求中包含的虚拟地址对应的物理地址,以及所述物理地址对应的安全数据存储区域的安全模式。
在具体实施中,所述数据写入请求中包含虚拟地址,根据所述安全页表存储区域的页表结构,可以获得存储所述虚拟地址对应物理地址的页表项;在安全页表的页表项中还可以存储各安全数据存储区域的安全模式,因此,在获取存储所述虚拟地址对应物理地址的页表项时,还可以得到所述物理地址对应的安全数据存储区域的安全模式。
S43,基于所述数据写入请求对应的写入数据,采用所述安全数据存储区域的安全模式对应的处理方式,更新所述安全数据存储区域中的数据。
其中,所述数据写入请求可以是其他访问主体发送给设备的,也可以是设备自身产生的;更新所述安全数据存储区域中的数据的处理方式由安全模式实现的功能决定。
在具体实施中,由于对安全页表存储区域的写权限进行了控制,若对所述存储器的安全页表存储区域进行数据写入,例如,对所述安全页表信息进行更新等,需要对设备身份信息进行确认,再确定是否开放权限,具体可以采用如下方式:
响应于数据写入请求,基于所述数据写入请求中包含的安全页表的地址,可以将所述数据写入请求对应的写入设备的标识发送至所述存储器的访问控制装置,使得所述存储器的访问控制装置基于预先存储的具有安全页表写权限的写入设备的标识,确定是否开放对所述安全页表存储区域的写权限。
当所述存储器的访问控制装置对写入设备开放所述安全页表存储区域的写权限,所述写入设备可以对安全页表进行更新。
例如,所述存储器的访问控制装置预先存储的具有安全页表写权限的写入设备的标识包括:PSP的设备标识以及CPU的设备标识。所述PSP可以在数据写入请求中携带所述PSP的设备标识,CPU在数据写入请求的微码中可以携带所述CPU的设备标识。
当所述存储器的访问控制装置获取到数据写入请求中包含所述PSP的设备标识或CPU的设备标识时,可以开放所述安全页表存储区域的写权限。例如,可以基于CPU微码的数据写入请求修改安全页表中的A比特位。
采用上述方案,若数据写入请求中未包含所述预先存储的具有安全页表写权限的写入设备的标识,则无法对所述安全页表信息进行修改,因此可以避免未经过身份信息认证的设备的非法操作,从而可以提高存储器访问的安全性。
为使本领域人员更好地理解和实现本说明书中的数据处理方法,以下参照附图,对可以实现上述数据处理方法的器件和系统等进行详细描述,其中,根据实现上述数据处理方法的实际情景,所述器件可以是处理器,也可以是存储器。
参照图5所示的本说明书实施例中一种安全处理器的结构示意图,在本说明书实施例中,所述安全处理器50可以包括:
存储区域划分单元51,适于在存储器中划分安全页表存储区域,所述安全页表存储区域内的安全页表信息禁止被置换出所述安全页表存储区域;
保护请求响应单元52,适于根据接收到的存储区保护请求,确定所述存储区保护请求指向的安全数据存储区域和所述安全数据存储区域采用的安全模式;
安全页表信息更新单元53,适于基于所述安全数据存储区域的页表结构,在所述安全页表存储区域内更新对应的安全页表信息,并基于所述安全模式,在所述安全页表中设置对应的安全模式状态信息,所述安全页表存储区域的页表结构适于指示所述安全数据存储区域的虚拟地址与物理地址的映射关系。
其中,所述安全页表存储区域的页表结构包括至少一级页表,所述安全页表信息更新单元53适于基于预设的安全模式状态信息的页表项存储位,在所述安全页表中设置对应的安全模式状态信息。
由上述方案可知,所述安全页表存储区域内的安全页表禁止被换页换出,从而可以避免包括安全模式状态信息的安全页表信息被篡改,提高安全页表存储区域的安全性;并且,由于所述安全页表信息是基于所述安全数据存储区域的页表结构进行更新,因此,可以兼容存储器现有的分页机制和存储器管理方式,使得多种安全模式可以复用共同的页表结构,从而减少SOC的硬件架构改动和软件架构改动;还有,在所述安全页表中设置对应的安全模式状态信息,可以确保所述存储器的安全模式状态不会被篡改,提高存储器中数据的安全性。
本发明人在实践中发现,随着时间的推移,有些存储区域的数据不需要再进行安全保护,针对这种情况,可以通过安全处理器取消相应存储区域的安全保护。继续参照图5,在具体实施中,所述安全处理器50还可以包括:
保护取消请求响应单元55,适于根据接收到的存储区保护取消请求,确定所述存储区保护取消请求指向的安全数据存储区域;
安全数据销毁单元56,适于销毁所述安全数据存储区域中的数据,并将所述安全数据存储区域设置为非安全数据存储区域;
安全页表信息无效单元57,适于无效所述安全数据存储区域对应的安全页表信息;
非安全页表信息更新单元58,适于基于所述非安全数据存储区域的页表结构,在预设的非安全页表存储区域内更新对应的非安全页表信息,所述非安全页表存储区域的页表结构适于指示所述非安全数据存储区域的虚拟地址与物理地址的映射关系。
由上可知,通过安全处理器在所述存储器中划分非安全页表存储区域,可以确保被取消保护的安全数据存储区域也可以被访问,并作为非安全数据存储区域进行数据存储,从而提高存储器的空间利用率。
在具体实施中,可以采用上述安全处理器对安全数据存储区域采用的安全模式进行设置和取消。根据实际需求,还可以对上述实施例作进一步的扩展及优化。
例如,发明人经研究发现,某些数据随着时间变化,所需要的安全保护需求会有所变化,可以基于变化后的安全保护需求,通过所述安全处理器更改或重新设置相应的存储区域的安全模式,从而可以实现存储器中安全保护方案的灵活设置。
继续参照图5,在具体实施中,所述保护请求响应单元52可以包括:
存储区域确认子单元521,适于根据所述存储区保护请求中包含的安全数据的存储空间大小,确定对应的安全数据在所述存储器中的存储区域;
安全模式选择子单元522,适于根据所述存储区保护请求中包含的安全模式标识,选择所述存储区域对应的安全模式。
由上可知,上述方案可以兼容现有的分页方式和存储管理方式,使得多种安全模式复用共同的页表结构,可以减少SOC软件架构和硬件架构的改动,从而提供了灵活的软、硬件兼容性。
在具体实施中,为了能够方便获取页表结构,所述存储区域确认子单元521根据所述存储区保护请求中包含的安全数据的存储空间大小以及预设的单个安全页表指向的安全数据的单位存储空间大小,确定对应的安全数据在所述存储器中的存储区域。
其中,确定对应的安全数据在所述存储器中的存储区域的具体过程可参照上述数据处理方法,此处不再赘述。
由上可知,以安全页表对应的单位存储空间为基础进行划分,提供了更灵活的存储区域划分方式,使得各安全数据存储区域的存储管理方式可以互相兼容,并且,安全数据存储区域的分配不再与访问主体绑定,可以不再受到访问主体数量的限制。
在具体实施中,为了增强所述安全页表存储区域的安全性,作为一具体示例,所述安全页表存储区域的安全模式可以设置为如下方式:可以控制安全页表存储区域的写权限,所述安全处理器50还可以包括:
标识发送单元54,适于将预设的具有安全页表写权限的写入设备的标识发送至所述存储器的访问控制装置,使得所述存储器的访问控制装置确定是否向访问所述安全页表存储区域的写入设备开放写权限。
其中,可以根据实际情景设定一个或多个标识发送单元收集预设的具有安全页表写权限的写入设备的标识,并发送至所述访问控制装置,所述标识发送单元可以是中央处理器、安全处理器等数据处理设备。
采用上述方案,使得身份信息认证的设备具有安全页表写权限,可以对安全页表存储区域进行数据更新,而未经过身份信息认证的非法请求则无法在安全页表存储区域写入数据,因此可以增强所述安全页表存储区域的安全性。
在具体实施中,安全处理器可以为片上系统中专门设置的安全处理装置或者片内安全单元。对于多核处理器,也可以将所述多核处理器中的某个或多个处理器核作为所述安全处理器,对所述存储器进行安全页表存储区域和安全数据存储区域的设置和更新。
在具体实施中,处理器可以对具有安全页表存储区域的存储器进行访问,具体可以包括对存储器的读操作和对存储器的写操作。以下通过具体实施例进行说明。
参照图6所示的本说明书实施例中一种处理器的结构示意图,在本说明书实施例中,所述处理器60可以包括:
安全页表信息读取单元61,适于根据接收到的数据读取请求,读取存储器中安全页表存储区域内的安全页表信息,所述安全页表存储区域内的安全页表信息禁止被置换出所述安全页表存储区域;
物理地址获取单元62,适于根据所述安全页表存储区域的页表结构指示的安全数据存储区域的虚拟地址与物理地址的映射关系,在所述安全页表中获取所述数据读取请求中包含的虚拟地址对应的物理地址;
安全模式获取单元63,适于在所述安全页表中获取所述物理地址对应的安全数据存储区域的安全模式;
安全数据读取单元64,适于采用所述安全数据存储区域的安全模式对应的处理方式,读取所述安全数据存储区域中的数据。
由此,所述处理器可以响应于一数据读取请求,读取存储器中安全页表存储区域内的安全页表信息,并基于所述安全页表存储区域的页表结构指示的安全数据存储区域的虚拟地址与物理地址的映射关系,获取所述数据读取请求中包含的虚拟地址对应的物理地址,以及所述物理地址对应的安全数据存储区域的安全模式,再采用所述安全数据存储区域的安全模式对应的处理方式,读取所述安全数据存储区域中的数据。
参照图7所示的本说明书实施例中另一种处理器的结构示意图,在本说明书实施例中,所述处理器70可以包括:
安全页表信息读取单元71,适于根据接收到的数据写入请求,读取存储器中安全页表存储区域内的安全页表信息,所述安全页表存储区域内的安全页表信息禁止被置换出所述安全页表存储区域;
物理地址获取单元72,适于根据所述安全页表存储区域的页表结构指示的安全数据存储区域的虚拟地址与物理地址的映射关系,在所述安全页表中获取所述数据写入请求中包含的虚拟地址对应的物理地址;
安全模式获取单元73,适于在所述安全页表中获取所述物理地址对应的安全数据存储区域的安全模式;
安全数据写入单元74,适于根据所述数据写入请求对应的写入数据,采用所述安全数据存储区域的安全模式对应的处理方式,更新所述安全数据存储区域中的数据。
在具体实施中,可以对安全页表存储区域的写权限进行控制,若对所述存储器的安全页表存储区域进行数据写入,例如,对所述安全页表信息进行更新等,需要对设备身份信息进行确认,再确定是否开放权限,因此,所述处理器还可以包括:
标识发送单元75,适于根据接收到的数据写入请求,基于所述数据写入请求中包含的安全页表的地址,将所述数据写入请求对应的写入设备的标识发送至所述存储器的访问控制装置,使得所述存储器的访问控制装置基于预先存储的具有安全页表写权限的写入设备的标识,确定是否开放对所述安全页表存储区域的写权限。
其中,可以根据实际情景设定一个或多个标识发送单元,所述标识发送单元可以是中央处理器、安全处理器等数据处理设备。
可以理解的是,上述处理器可以为单核处理器,也可以为多核处理器。如果所述处理器为多核处理器,则所述处理器还可以为多核处理器中的指定的某个处理器核,或者为多核处理器中的任意一个或多个CPU核。相应地,可以采用多核处理器中指定的某个处理器核,或者采用多核处理器中的任意一个或多个CPU核均来包含上述结构,响应于数据读取请求,对所述安全数据存储区域中的数据进行读操作;或/和,响应于数据写入请求,对所述安全数据存储区域中的数据进行写操作。
由上可知,处理器必须采用安全模式相应的处理方式才能对存储器进行访问,从而可以获得存储器中的需要进行访问的安全数据存储区域的安全模式和物理地址,由此可以提高存储器访问的安全性。
在具体实时中,为使本领域技术人员更加清楚地了解及实施处理器与存储器之间的交互,以下参照附图,通过具体应用场景进行详细说明。
参照图8所示的本说明书实施例中一种片上系统的结构示意图,在本说明书实施例中,所述片上系统80可以包括中央处理器81和安全处理器82,且片上系统80与所述存储器83连接,所述片上系统80与所述存储器83之间可以进行安全页表存储区域及安全数据存储区域的分配,其中:
所述中央处理器81,适于向所述安全处理器82发送存储区保护请求;
所述安全处理器82,适于在存储器83中划分安全页表存储区域831,所述安全页表存储区域831内的安全页表信息禁止被置换出所述安全页表存储区域831;接收所述存储区保护请求,确定所述存储区保护请求指向的安全数据存储区域和所述安全数据存储区域采用的安全模式;并基于所述安全数据存储区域的页表结构,在所述安全页表存储区域831内更新对应的安全页表信息,基于所述安全模式,在所述安全页表中设置对应的安全模式状态信息,所述安全页表存储区域931的页表结构适于指示所述安全数据存储区域的虚拟地址与物理地址的映射关系。
其中,所述存储区保护请求指向的安全数据存储区域可以为存储区域832所指的存储区域。
在具体实施中,所述片上系统80与所述存储器83之间还可以进行安全页表存储区域的更新及安全数据存储区域的取消分配,其中:
所述中央处理器81,还适于向所述安全处理器82发送存储区保护取消请求;
所述安全处理器82,还适于确定所述存储区保护取消请求指向的安全数据存储区域,销毁所述安全数据存储区域中的数据,并将所述安全数据存储区域设置为非安全数据存储区域,以及无效所述安全数据存储区域对应的安全页表信息;并基于所述非安全数据存储区域的页表结构,在预设的非安全页表存储区域834内更新对应的非安全页表信息,所述非安全页表存储区域834的页表结构适于指示所述非安全数据存储区域的虚拟地址与物理地址的映射关系。
其中,所述存储区保护取消请求指向的安全数据存储区域可以为存储区域833所指的存储区域。
在具体实施中,所述片上系统80与所述存储器83之间可以进行存储器数据读取,其中:
所述中央处理器81,还适于向所述存储器83发送数据读取请求,读取存储器83中安全页表存储区域831内的安全页表信息,所述安全页表存储区域831内的安全页表信息禁止被置换出所述安全页表存储区域831;基于所述安全页表存储区域的页表结构指示的安全数据存储区域的虚拟地址与物理地址的映射关系,在所述安全页表中获取所述数据读取请求中包含的虚拟地址对应的物理地址,以及所述物理地址对应的安全数据存储区域的安全模式;并且采用所述安全数据存储区域的安全模式对应的处理方式,读取所述安全数据存储区域中的数据。
在具体实施中,所述片上系统80与所述存储器83之间可以进行存储器数据写入,其中:
所述中央处理器81向所述存储器83发送数据写入请求,读取存储器83中安全页表存储区域831内的安全页表信息,所述安全页表存储区域831内的安全页表信息禁止被置换出所述安全页表存储区域831;
所述中央处理器81基于所述安全页表存储区域的页表结构指示的安全数据存储区域的虚拟地址与物理地址的映射关系,在所述安全页表中获取所述数据写入请求中包含的虚拟地址对应的物理地址,以及所述物理地址对应的安全数据存储区域的安全模式;并且基于所述数据写入请求对应的写入数据,采用所述安全数据存储区域的安全模式对应的处理方式,更新所述安全数据存储区域中的数据。
其中,所述片上系统80中可以包括由存储管理电路组成的存储管理单元(MemoryManagement Unit,MMU),适于在中央处理器81读取存储器83中安全页表存储区域831内的安全页表信息后,可以根据页表结构中的映射关系,获得需要访问的安全数据存储区域的虚拟地址对应的物理地址。
在具体实施中,为了增强所述安全页表存储区域的安全性,作为一具体示例,可以通过如下方式设置所述安全页表存储区域的安全模式:通过访问控制装置84实现所述片上系统80与所述存储器83的连接,所述片上系统80可以通过安全处理器82设置所述存储器83中之间可以进行存储器写权限控制,若对所述存储器83的安全页表存储区域进行数据写入,例如,对所述安全页表信息进行更新等,为提高所述安全页表信息的安全性,可以对所述安全页表区域的安全模式进行如下设置:对写入设备身份信息进行确认,再确定是否开放权限。具体可以采用如下方式:
所述安全处理器82响应于数据写入请求,基于所述数据写入请求中包含的安全页表的地址,将所述数据写入请求对应的写入设备的标识发送至所述访问控制装置84,使得所述访问控制装置84基于预先存储的具有安全页表写权限的写入设备的标识,确定是否开放对所述安全页表存储区域的写权限。
可以理解的是,数据写入请求对应的写入设备可以是中央处理器或/和所述安全处理器本身,也可以是与中央处理器或/和所述安全处理器连接的其他设备。若数据写入请求是中央处理器或/和所述安全处理器自身发出的,则所述中央处理器或/和所述安全处理器将自身的标识发送至所述访问控制装置84,若数据写入请求是与中央处理器或/和所述安全处理器连接的其他设备发出的,则所述中央处理器或/和所述安全处理器将其他设备的标识发送至所述访问控制装置84,
在所述访问控制装置84开放所述安全页表存储区域831的写权限后,所述写入设备可以对安全页表进行更新。例如,所述存储器的访问控制装置84预先存储的具有安全页表写权限的写入设备的标识包括:PSP的设备标识以及CPU的设备标识。所述PSP可以在数据写入请求中携带所述PSP的设备标识,CPU在数据写入请求的微码中可以携带所述CPU的设备标识。
可以理解的是,所述安全处理器可以是其他中央处理器或者辅助处理器,也可以是特定芯片上的专用安全处理器,比如,AMD(Advanced Micro Devices,Inc.)公司生产的芯片中的安全处理器(Platform Security Processor,PSP),本说明书实施例对此不做限制。
在具体实施中,采用上述数据处理方案进行设置后,所述存储器可以包括安全页表存储区域和安全数据存储区域,其中:
所述安全页表存储区域适于存储安全页表,所述安全页表存储区域的页表结构适于指示所述安全数据存储区域的虚拟地址与物理地址的映射关系,且所述安全页表中设置有存储区保护请求对应的安全模式状态信息,所述安全页表存储区域内的安全页表信息禁止被置换出所述安全页表存储区域;
所述安全数据存储区域,适于基于所述存储区保护请求确定存储空间,并采用所述存储区保护请求对应的安全模式存储数据。
此外,所述存储器还可以包括非安全页表存储区域和非安全数据存储区域,其中,所述非安全页表存储区域的页表结构适于指示所述非安全数据存储区域的虚拟地址与物理地址的映射关系。
其中,所述存储器可以是内存、硬盘、磁盘等可读存储介质。所述内存可以封装在SOC内部,也可以设置在SOC外部。
参照图9所示的本说明书实施例中一种数据处理系统的结构示意图,在本说明书实施例中,所述数据处理系统91包括存储器92、中央处理器93和安全处理器94,其中:
所述中央处理器93,适于向所述安全处理器94发送存储区保护请求;
所述安全处理器94,适于存储器92中划分安全页表存储区域,所述安全页表存储区域内的安全页表信息禁止被置换出所述安全页表存储区域,以及根据接收到的存储区保护请求,确定所述存储区保护请求指向的安全数据存储区域和所述安全数据存储区域采用的安全模式,基于所述安全数据存储区域的页表结构,在所述安全页表存储区域内更新对应的安全页表信息,并基于所述安全模式,在所述安全页表中设置对应的安全模式状态信息,所述安全页表存储区域的页表结构适于指示所述安全数据存储区域的虚拟地址与物理地址的映射关系。
在具体实施中,数据处理系统的实现方式可参照上述数据处理方法的实施例,此处不再赘述。
本说明书实施例还提供了一种数据处理设备,可以包括存储器和处理器,所述存储器上存储有可在所述处理器上运行的计算机指令,所述处理器运行所述计算机指令时可以执行本说明书上述任一实施例所述的方法的步骤。所述计算机指令运行时执行的方法具体实现可以参照上述的方法的步骤,不再赘述。其中,所述数据处理设备可以为手机等手持终端、平板电脑、个人台式电脑等。
本说明书实施例还提供了一种计算机可读存储介质,其上存储有计算机指令,所述计算机指令运行时可以执行本说明书上述任一实施例方法的步骤。其中,所述计算机可读存储介质可以是内存、光盘、机械硬盘、固态硬盘、云存储介质等各种适当的可读存储介质。所述计算机可读存储介质上存储的指令执行上述任一实施例所述的方法,具体可参照上述实施例,不再赘述。
虽然本公开实施例披露如上,但本公开实施例并非限定于此。任何本领域技术人员,在不脱离本公开实施例的精神和范围内,均可作各种更动与修改,因此本公开实施例的保护范围应当以权利要求所限定的范围为准。

Claims (25)

1.一种数据处理方法,其特征在于,包括:
在存储器中划分安全页表存储区域,所述安全页表存储区域内的安全页表信息禁止被置换出所述安全页表存储区域;
响应于存储区保护请求,确定所述存储区保护请求指向的安全数据存储区域和所述安全数据存储区域采用的安全模式;
基于所述安全数据存储区域的页表结构,在所述安全页表存储区域内更新对应的安全页表信息,并基于所述安全模式,在所述安全页表中设置对应的安全模式状态信息,所述安全页表存储区域的页表结构适于指示所述安全数据存储区域的虚拟地址与物理地址的映射关系。
2.根据权利要求1所述的数据处理方法,其特征在于,还包括:
响应于存储区保护取消请求,确定所述存储区保护取消请求指向的安全数据存储区域,销毁所述安全数据存储区域中的数据,并将所述安全数据存储区域设置为非安全数据存储区域,以及无效所述安全数据存储区域对应的安全页表信息;
基于所述非安全数据存储区域的页表结构,在预设的非安全页表存储区域内更新对应的非安全页表信息,所述非安全页表存储区域的页表结构适于指示所述非安全数据存储区域的虚拟地址与物理地址的映射关系。
3.根据权利要求1所述的数据处理方法,其特征在于,所述响应于存储区保护请求,确定所述存储区保护请求指向的安全数据存储区域和所述安全数据存储区域采用的安全模式,包括:
响应于存储区保护请求,基于所述存储区保护请求中包含的安全数据的存储空间大小,确定对应的安全数据在所述存储器中的存储区域,并基于所述存储区保护请求中包含的安全模式标识,选择所述存储区域对应的安全模式。
4.根据权利要求3所述的数据处理方法,其特征在于,所述基于所述存储区保护请求中包含的安全数据的存储空间大小,确定对应的安全数据在所述存储器中的存储区域,包括:
基于所述存储区保护请求中包含的安全数据的存储空间大小以及预设的单个安全页表指向的安全数据的单位存储空间大小,确定对应的安全数据在所述存储器中的存储区域。
5.根据权利要求2所述的数据处理方法,其特征在于,还包括:
将预设的具有安全页表写权限的写入设备的标识发送至所述存储器的访问控制装置,使得所述存储器的访问控制装置确定是否向访问所述安全页表存储区域的写入设备开放写权限。
6.根据权利要求1-5任一项所述的数据处理方法,其特征在于,所述安全页表存储区域的页表结构包括至少一级页表,所述基于所述安全模式,在所述安全页表中设置对应的安全模式状态信息,包括:
基于预设的安全模式状态信息的页表项存储位,在所述安全页表中设置对应的安全模式状态信息。
7.一种存储器访问控制方法,其特征在于,包括:
响应于数据读取请求,读取存储器中安全页表存储区域内的安全页表信息,所述安全页表存储区域内的安全页表信息禁止被置换出所述安全页表存储区域;
基于所述安全页表存储区域的页表结构指示的安全数据存储区域的虚拟地址与物理地址的映射关系,在所述安全页表中获取所述数据读取请求中包含的虚拟地址对应的物理地址,以及所述物理地址对应的安全数据存储区域的安全模式;
采用所述安全数据存储区域的安全模式对应的处理方式,读取所述安全数据存储区域中的数据。
8.一种存储器访问控制方法,其特征在于,包括:
响应于数据写入请求,读取存储器中安全页表存储区域内的安全页表信息,所述安全页表存储区域内的安全页表信息禁止被置换出所述安全页表存储区域;
基于所述安全页表存储区域的页表结构指示的安全数据存储区域的虚拟地址与物理地址的映射关系,在所述安全页表中获取所述数据写入请求中包含的虚拟地址对应的物理地址,以及所述物理地址对应的安全数据存储区域的安全模式;
基于所述数据写入请求对应的写入数据,采用所述安全数据存储区域的安全模式对应的处理方式,更新所述安全数据存储区域中的数据。
9.一种安全处理器,其特征在于,包括:
存储区域划分单元,适于在存储器中划分安全页表存储区域,所述安全页表存储区域内的安全页表信息禁止被置换出所述安全页表存储区域;
保护请求响应单元,适于根据接收到的存储区保护请求,确定所述存储区保护请求指向的安全数据存储区域和所述安全数据存储区域采用的安全模式;
安全页表信息更新单元,适于基于所述安全数据存储区域的页表结构,在所述安全页表存储区域内更新对应的安全页表信息,并基于所述安全模式,在所述安全页表中设置对应的安全模式状态信息,所述安全页表存储区域的页表结构适于指示所述安全数据存储区域的虚拟地址与物理地址的映射关系。
10.根据权利要求9所述的安全处理器,其特征在于,还包括:
保护取消请求响应单元,适于根据接收到的存储区保护取消请求,确定所述存储区保护取消请求指向的安全数据存储区域;
安全数据销毁单元,适于销毁所述安全数据存储区域中的数据,并将所述安全数据存储区域设置为非安全数据存储区域;
安全页表信息无效单元,适于无效所述安全数据存储区域对应的安全页表信息;
非安全页表信息更新单元,适于基于所述非安全数据存储区域的页表结构,在预设的非安全页表存储区域内更新对应的非安全页表信息,所述非安全页表存储区域的页表结构适于指示所述非安全数据存储区域的虚拟地址与物理地址的映射关系。
11.根据权利要求9所述的安全处理器,其特征在于,所述保护请求响应单元包括:
存储区域确认子单元,适于根据所述存储区保护请求中包含的安全数据的存储空间大小,确定对应的安全数据在所述存储器中的存储区域;
安全模式选择子单元,适于根据所述存储区保护请求中包含的安全模式标识,选择所述存储区域对应的安全模式。
12.根据权利要求11所述的安全处理器,其特征在于,所述存储区域确认子单元适于根据所述存储区保护请求中包含的安全数据的存储空间大小以及预设的单个安全页表指向的安全数据的单位存储空间大小,确定对应的安全数据在所述存储器中的存储区域。
13.根据权利要求9所述的安全处理器,其特征在于,还包括:
标识发送单元,适于将预设的具有安全页表写权限的写入设备的标识发送至所述存储器的访问控制装置,使得所述存储器的访问控制装置确定是否向访问所述安全页表存储区域的写入设备开放写权限。
14.根据权利要求9-13任一项所述的安全处理器,其特征在于,所述安全页表存储区域的页表结构包括至少一级页表,所述安全页表信息更新单元适于基于预设的安全模式状态信息的页表项存储位,在所述安全页表中设置对应的安全模式状态信息。
15.一种处理器,其特征在于,包括:
安全页表信息读取单元,适于根据接收到的数据读取请求,读取存储器中安全页表存储区域内的安全页表信息,所述安全页表存储区域内的安全页表信息禁止被置换出所述安全页表存储区域;
物理地址获取单元,适于根据所述安全页表存储区域的页表结构指示的安全数据存储区域的虚拟地址与物理地址的映射关系,在所述安全页表中获取所述数据读取请求中包含的虚拟地址对应的物理地址;
安全模式获取单元,适于在所述安全页表中获取所述物理地址对应的安全数据存储区域的安全模式;
安全数据读取单元,适于采用所述安全数据存储区域的安全模式对应的处理方式,读取所述安全数据存储区域中的数据。
16.一种处理器,其特征在于,包括:
安全页表信息读取单元,适于根据接收到的数据写入请求,读取存储器中安全页表存储区域内的安全页表信息,所述安全页表存储区域内的安全页表信息禁止被置换出所述安全页表存储区域;
物理地址获取单元,适于根据所述安全页表存储区域的页表结构指示的安全数据存储区域的虚拟地址与物理地址的映射关系,在所述安全页表中获取所述数据写入请求中包含的虚拟地址对应的物理地址;
安全模式获取单元,适于在所述安全页表中获取所述物理地址对应的安全数据存储区域的安全模式;
安全数据写入单元,适于根据所述数据写入请求对应的写入数据,采用所述安全数据存储区域的安全模式对应的处理方式,更新所述安全数据存储区域中的数据。
17.一种片上系统,与存储器连接,其特征在于,所述片上系统包括中央处理器和安全处理器,其中:
所述中央处理器,适于向所述安全处理器发送存储区保护请求;
所述安全处理器,适于在存储器中划分安全页表存储区域,所述安全页表存储区域内的安全页表信息禁止被置换出所述安全页表存储区域;接收所述存储区保护请求,确定所述存储区保护请求指向的安全数据存储区域和所述安全数据存储区域采用的安全模式;并基于所述安全数据存储区域的页表结构,在所述安全页表存储区域内更新对应的安全页表信息,基于所述安全模式,在所述安全页表中设置对应的安全模式状态信息,所述安全页表存储区域的页表结构适于指示所述安全数据存储区域的虚拟地址与物理地址的映射关系。
18.根据权利要求17所述的片上系统,其特征在于,
所述中央处理器,还适于向所述安全处理器发送存储区保护取消请求;
所述安全处理器,还适于确定所述存储区保护取消请求指向的安全数据存储区域,销毁所述安全数据存储区域中的数据,并将所述安全数据存储区域设置为非安全数据存储区域,以及无效所述安全数据存储区域对应的安全页表信息;并基于所述非安全数据存储区域的页表结构,在预设的非安全页表存储区域内更新对应的非安全页表信息,所述非安全页表存储区域的页表结构适于指示所述非安全数据存储区域的虚拟地址与物理地址的映射关系。
19.根据权利要求17所述的片上系统,其特征在于,
所述中央处理器,还适于向所述存储器发送数据读取请求,读取存储器中安全页表存储区域内的安全页表信息,所述安全页表存储区域内的安全页表信息禁止被置换出所述安全页表存储区域;基于所述安全页表存储区域的页表结构指示的安全数据存储区域的虚拟地址与物理地址的映射关系,在所述安全页表中获取所述数据读取请求中包含的虚拟地址对应的物理地址,以及所述物理地址对应的安全数据存储区域的安全模式;并且采用所述安全数据存储区域的安全模式对应的处理方式,读取所述安全数据存储区域中的数据。
20.根据权利要求17所述的片上系统,其特征在于,所述中央处理器,还适于向所述存储器发送数据写入请求,读取存储器中安全页表存储区域内的安全页表信息,所述安全页表存储区域内的安全页表信息禁止被置换出所述安全页表存储区域;基于所述安全页表存储区域的页表结构指示的安全数据存储区域的虚拟地址与物理地址的映射关系,在所述安全页表中获取所述数据写入请求中包含的虚拟地址对应的物理地址,以及所述物理地址对应的安全数据存储区域的安全模式;并基于所述数据写入请求对应的写入数据,采用所述安全数据存储区域的安全模式对应的处理方式,更新所述安全数据存储区域中的数据。
21.一种存储器,其特征在于,包括安全页表存储区域和安全数据存储区域,其中:
所述安全页表存储区域适于存储安全页表,所述安全页表存储区域的页表结构适于指示所述安全数据存储区域的虚拟地址与物理地址的映射关系,且所述安全页表中设置有存储区保护请求对应的安全模式状态信息,所述安全页表存储区域内的安全页表信息禁止被置换出所述安全页表存储区域;
所述安全数据存储区域,适于基于所述存储区保护请求确定存储空间,并采用所述存储区保护请求对应的安全模式存储数据。
22.根据权利要求21所述的存储器,其特征在于,还包括非安全页表存储区域和非安全数据存储区域,其中:
所述非安全页表存储区域的页表结构适于指示所述非安全数据存储区域的虚拟地址与物理地址的映射关系。
23.一种数据处理系统,其特征在于,包括中央处理器、安全处理器和存储器,其中:
所述中央处理器,适于向所述安全处理器发送存储区保护请求;
所述安全处理器,适于存储器中划分安全页表存储区域,所述安全页表存储区域内的安全页表信息禁止被置换出所述安全页表存储区域,以及根据接收到的存储区保护请求,确定所述存储区保护请求指向的安全数据存储区域和所述安全数据存储区域采用的安全模式,基于所述安全数据存储区域的页表结构,在所述安全页表存储区域内更新对应的安全页表信息,并基于所述安全模式,在所述安全页表中设置对应的安全模式状态信息,所述安全页表存储区域的页表结构适于指示所述安全数据存储区域的虚拟地址与物理地址的映射关系。
24.一种数据处理设备,包括存储器和处理器,其中,所述存储器适于存储一条或多条计算机指令,其特征在于,所述处理器运行所述计算机指令时执行权利要求1至6、权利要求7、权利要求8任一项所述方法的步骤。
25.一种计算机可读存储介质,其上存储有计算机指令,其特征在于,所述计算机指令运行时执行权利要求1至6、权利要求7、权利要求8任一项所述方法的步骤。
CN201911347636.2A 2019-12-24 2019-12-24 数据处理、访问控制方法、系统、器件、设备、存储介质 Active CN111143900B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911347636.2A CN111143900B (zh) 2019-12-24 2019-12-24 数据处理、访问控制方法、系统、器件、设备、存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911347636.2A CN111143900B (zh) 2019-12-24 2019-12-24 数据处理、访问控制方法、系统、器件、设备、存储介质

Publications (2)

Publication Number Publication Date
CN111143900A true CN111143900A (zh) 2020-05-12
CN111143900B CN111143900B (zh) 2023-09-26

Family

ID=70519630

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911347636.2A Active CN111143900B (zh) 2019-12-24 2019-12-24 数据处理、访问控制方法、系统、器件、设备、存储介质

Country Status (1)

Country Link
CN (1) CN111143900B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111966521A (zh) * 2020-08-17 2020-11-20 海光信息技术有限公司 一种硬件错误的处理方法、处理器、控制器、电子设备及存储介质
CN116702129A (zh) * 2023-06-08 2023-09-05 合芯科技有限公司 一种power架构运行服务代码的安全调用方法及装置

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1723448A (zh) * 2002-11-18 2006-01-18 Arm有限公司 用于保护以防恶意程序的安全存储器
CN102804153A (zh) * 2010-02-17 2012-11-28 Arm有限公司 在安全与非安全存储器区域内存储安全模式页表数据
CN105446889A (zh) * 2014-07-31 2016-03-30 华为技术有限公司 一种内存管理方法、装置以及内存控制器
CN107851139A (zh) * 2015-08-07 2018-03-27 高通股份有限公司 用于图形处理单元的硬件强制内容保护
CN109002706A (zh) * 2018-06-08 2018-12-14 中国科学院计算技术研究所 一种基于用户级页表的进程内数据隔离保护方法和系统
CN109739613A (zh) * 2018-11-22 2019-05-10 海光信息技术有限公司 嵌套页表的维护方法、访问控制方法及相关装置
CN109828827A (zh) * 2018-11-22 2019-05-31 海光信息技术有限公司 一种检测方法、装置及相关设备

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1723448A (zh) * 2002-11-18 2006-01-18 Arm有限公司 用于保护以防恶意程序的安全存储器
CN102804153A (zh) * 2010-02-17 2012-11-28 Arm有限公司 在安全与非安全存储器区域内存储安全模式页表数据
CN105446889A (zh) * 2014-07-31 2016-03-30 华为技术有限公司 一种内存管理方法、装置以及内存控制器
CN107851139A (zh) * 2015-08-07 2018-03-27 高通股份有限公司 用于图形处理单元的硬件强制内容保护
CN109002706A (zh) * 2018-06-08 2018-12-14 中国科学院计算技术研究所 一种基于用户级页表的进程内数据隔离保护方法和系统
CN109739613A (zh) * 2018-11-22 2019-05-10 海光信息技术有限公司 嵌套页表的维护方法、访问控制方法及相关装置
CN109828827A (zh) * 2018-11-22 2019-05-31 海光信息技术有限公司 一种检测方法、装置及相关设备

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111966521A (zh) * 2020-08-17 2020-11-20 海光信息技术有限公司 一种硬件错误的处理方法、处理器、控制器、电子设备及存储介质
CN111966521B (zh) * 2020-08-17 2023-10-13 成都海光集成电路设计有限公司 一种硬件错误的处理方法、处理器、控制器、电子设备及存储介质
CN116702129A (zh) * 2023-06-08 2023-09-05 合芯科技有限公司 一种power架构运行服务代码的安全调用方法及装置

Also Published As

Publication number Publication date
CN111143900B (zh) 2023-09-26

Similar Documents

Publication Publication Date Title
CN109766165B (zh) 一种内存访问控制方法、装置、内存控制器及计算机系统
US10261919B2 (en) Selective memory encryption
EP3602376B1 (en) Monitoring of memory page transitions between a hypervisor and a virtual machine
KR100491991B1 (ko) 내부 메모리형 내탬퍼 프로세서 및 비밀보호방법
EP2998869B1 (en) Dynamic memory address remapping in computing systems
JP5581403B2 (ja) メモリのセキュア領域および非セキュア領域へのセキュアモードページテーブルデータの格納
CN109800050B (zh) 一种虚拟机的内存管理方法、装置、相关设备及系统
KR101477080B1 (ko) 메모리 액세스 보안 관리
US9607177B2 (en) Method for securing content in dynamically allocated memory using different domain-specific keys
EP2151763A1 (en) Method and apparatus for obfuscating virtual to physical memory mapping
CN109739613B (zh) 嵌套页表的维护方法、访问控制方法及相关装置
KR101323858B1 (ko) 가상화 시스템에서 메모리 접근을 제어하는 장치 및 방법
JP2023014306A (ja) ストレージ装置及び制御方法
CN111143900B (zh) 数据处理、访问控制方法、系统、器件、设备、存储介质
CN107563226B (zh) 一种存储器控制器、处理器模块及密钥更新方法
US20190370436A1 (en) Memory assignment for guest operating systems
CN106326782B (zh) 一种信息处理方法及电子设备
CN107330336A (zh) Linux操作系统内存页面即时加解密方法和系统
CN114237817A (zh) 虚拟机数据读写方法及相关装置
US20180088846A1 (en) Multi-user dynamic storage allocation and encryption
CN107169375A (zh) 系统数据安全增强方法
JP2010231623A (ja) キャッシュメモリ制御装置及び方法
EP4231159A1 (en) Method for switching execution environment and related device
JP2020115250A (ja) ストレージ装置およびコマンド処理方法
CN116561824A (zh) 在机密计算架构中管理内存的方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 300384 industrial incubation-3-8, North 2-204, No. 18, Haitai West Road, Tianjin Huayuan Industrial Zone, Binhai New Area, Tianjin

Applicant after: Haiguang Information Technology Co.,Ltd.

Address before: 300384 industrial incubation-3-8, North 2-204, No. 18, Haitai West Road, Tianjin Huayuan Industrial Zone, Binhai New Area, Tianjin

Applicant before: HAIGUANG INFORMATION TECHNOLOGY Co.,Ltd.

CB02 Change of applicant information
TA01 Transfer of patent application right

Effective date of registration: 20230824

Address after: Room 2-073, Building 10, No. 183 Suhong East Road, Suzhou Industrial Park, Suzhou Area, China (Jiangsu) Pilot Free Trade Zone, Suzhou City, Jiangsu Province, 215000

Applicant after: Haiguang Information Technology (Suzhou) Co.,Ltd.

Address before: 300384 industrial incubation-3-8, North 2-204, No. 18, Haitai West Road, Tianjin Huayuan Industrial Zone, Binhai New Area, Tianjin

Applicant before: Haiguang Information Technology Co.,Ltd.

TA01 Transfer of patent application right
GR01 Patent grant
GR01 Patent grant