CN117407925A

CN117407925A - 扩展内存隔离域的方法和电子设备

Info

Publication number: CN117407925A
Application number: CN202210800902.8A
Authority: CN
Inventors: 李文泰; 古金宇; 陈海波; 孙康
Original assignee: Huawei Technologies Co Ltd
Current assignee: Huawei Technologies Co Ltd
Priority date: 2022-07-08
Filing date: 2022-07-08
Publication date: 2024-01-16
Also published as: WO2024007944A1

Abstract

本申请实施例提供了一种扩展内存隔离域的方法，该方法包括：分配多个隔离域的内存，该多个隔离域与N个保护键和M个扩展页表具有对应关系，其中，N和M为正整数，且N>1或M>1；当允许第一应用程序访问第一隔离域的内存时，根据该对应关系，确定第一隔离域对应的第一保护键和第一扩展页表，该多个隔离域包括第一隔离域，该N个保护键包括第一保护键，该M个扩展页表包括第一扩展页表；根据第一保护键和第一扩展页表，开启第一隔离域的访问权限，以使得第一应用程序访问第一隔离域的内存。该方法将扩展页表引入保护键技术，能够有效提升可使用的隔离域数量；并且，该方法利用内存保护键的快速切换特性，能够减少访问过程的性能开销。

Description

扩展内存隔离域的方法和电子设备

技术领域

本申请实施例涉及内存隔离领域，并且更具体地，涉及一种扩展内存隔离域的方法和电子设备。

背景技术

普通进程运行时能够访问进程内部的所有内存，由于缺乏进程内部的内存隔离机制，往往会使得进程内部的内存错误产生严重的后果。针对该问题，内存隔离技术能够在进程内部进行更细粒度的内存权限控制，以使得在进程运行出现错误或遭受攻击时，能够将内存相关的异常限制在一定区域中。因此，使用进程内的内存隔离技术可以有效提升应用的安全性与可靠性。

发明内容

本申请提供一种扩展内存隔离域的方法和电子设备，该方法将扩展页表引入保护键技术，能够有效提升可供使用的隔离域数量；并且，该方法利用内存保护键快速切换的特性，能够减少应用程序的性能开销。

第一方面，提供一种扩展内存隔离域的方法，该方法包括：分配多个隔离域的内存，该多个隔离域与N个保护键具有对应关系，且该多个隔离域与M个扩展页表具有对应关系，其中，N和M为正整数，且N和M中至少一方的数量大于1；当允许第一应用程序访问第一隔离域的内存时，根据上述对应关系，确定该第一隔离域对应的第一保护键和第一扩展页表，该多个隔离域包括该第一隔离域，该N个保护键包括该第一保护键，该M 个扩展页表包括该第一扩展页表；根据该第一保护键和该第一扩展页表，开启该第一隔离域的访问权限，以使得第一应用程序访问该第一隔离域的内存。

可选地，每个隔离域可以对应该隔离域的标识ID，多个隔离域的ID与N个保护键具有对应关系，且多个隔离域的ID与M个扩展页表具有对应关系，其中，N和M为正整数，且N和M中至少一方的数量大于1。

也就是说，隔离域的ID映射到该隔离域对应的保护键和该隔离域对应的扩展页表。

相对应地，可以是：根据第一隔离域的ID确定确定该第一隔离域对应的第一保护键和第一扩展页表。

其中，扩展页表为宿主机内核中的页表。

可选地，一个扩展页表可以包括多个隔离域。

其中，一个扩展页表最多可以包括15个隔离域，也就是说，使用同一个扩展页表的隔离域的数量最多为15个。

并且，由于虚拟机函数扩展页表切换硬件机制最多能够支持512个扩展页表，所以本申请实施例提供的扩展内存隔离域的方法最多能够支持7680(512×15)个隔离域。

其中，隔离域的内存位于隔离域中。

可选地，隔离域的内存还可以称为：隔离域内存，也可以称为其他表示隔离域的内存的名称，本申请对此不作限定。

其中，隔离域的ID映射到该隔离域对应的保护键和该隔离域对应的扩展页表，可以理解为每个隔离域都被分配了一个保护键和一个扩展页表。

可选地，上述多个隔离域可以共用一个保护键，该多个隔离域对应的扩展页表不同。

可选地，上述多个隔离域可以共用一个扩展页表，该多个隔离域对应的保护键不同。

本申请实施例中，将扩展页表引入保护键技术，能够有效提升可供使用的隔离域数量；并且，该方法利用内存保护键快速切换的特性，能够减少应用程序的性能开销。

结合第一方面，在一种可能的实现方式中，开启第一隔离域的访问权限，包括：当该第一隔离域对应的第一扩展页表与当前的扩展页表相同时，通过设置保护键寄存器开启该第一隔离域的访问权限；或，当该第一隔离域对应的第一扩展页表与当前的扩展页表不相同时，将当前的扩展页表切换为该第一扩展页表，并通过设置保护键寄存器开启该第一隔离域的访问权限。

其中，当前的扩展页表是指当前正处于使用状态(已经被分配)的扩展页表，上述根据对应关系确定的第一隔离域对应的第一扩展页表可以理解为即将要使用(即将被分配) 的扩展页表。

可选地，以上所述的设置保护键寄存器，可以是将读写权限写入保护键寄存器中。

应理解：该实现方式中所涉及到的方案可以称为亲和性设计，也即：由于在隔离域对应的扩展页表与当前的扩展页表相同的情况下不进行扩展页表的切换，使得大部分的内存隔离域在切换权限时仅需要修改(设置)保护键寄存器。

本申请实施例中，通过引入亲和性设计，使得大部分的内存隔离域在切换权限时仅需要修改(设置)保护键寄存器，而保护键切换的时延低于扩展页表切换的时延，这样，仅会引入少量的高时延扩展页表切换。因此，利用内存保护键能够快速切换的特性，能够减少应用程序的性能开销。

结合第一方面，在一种可能的实现方式中，分配多个隔离域的内存包括分配第一隔离域的内存，所述分配第一隔离域的内存，包括：根据上述对应关系确定该第一隔离域对应的第一保护键和该第一隔离域对应的第一扩展页表；确定该第一扩展页表是否已经存在；当确定该第一扩展页表已经存在时，在该第一扩展页表中建立到该第一隔离域的内存的映射，并在页表中设置该内存的保护键，该页表为客户机内核中的页表；或，当确定该第一扩展页表不存在时，初始化该第一扩展页表，并在初始化后的第一扩展页表中建立到该第一隔离域的内存的映射，并在页表中设置该内存的保护键，该页表为客户机内核中的页表。

可选地，每个隔离域都对应一个该隔离域的ID，可以根据该第一隔离域的ID查询该第一隔离域对应的第一保护键和第一扩展页表。

其中，以上所述的在页表中设置内存的保护键，可以是指在页表中设置该内存的保护键为第一保护键。

本申请实施例中，建立了隔离域(隔离域的ID)与该隔离域对应的保护键以及扩展页表的映射关系(对应关系)，能够更好地支持扩展页表中的保护键设置以及对多个扩展页表的管理。

结合第一方面，在一种可能的实现方式中，方法还包括：当结束访问第一隔离域的内存时，通过设置保护键寄存器取消该第一隔离域的访问权限。

其中，设置保护键寄存器可以是指修改保护键寄存器，具体可以是删除保护键寄存器中的读写权限。

本申请实施例中，在内存访问结束后，通过设置保护键寄存器的方式取消隔离域的访问权限，能够对内存进行及时地隔离保护。

结合第一方面，在一种可能的实现方式中，在分配多个隔离域的内存之前，方法还包括：初始化隔离域。

在一种实现方式中，初始化该隔离域，包括：生成该隔离域的ID；为该隔离域的ID分配该隔离域对应的保护键和该隔离域对应的扩展页表；记录该隔离域的ID到该保护键和该扩展页表的映射。

其中，可选地，该隔离域的ID到该保护键和该扩展页表的映射由用户态库记录在该用户态库中。

其中，由于隔离域与该隔离域的ID具有对应关系，该隔离域的ID到该保护键和该扩展页表的映射，可以理解为该隔离域到该保护键和该扩展页表的映射。

可选地，初始化隔离域，可以是初始化多个隔离域，可以是初始化多个隔离域中的部分隔离域。

以初始化第一隔离域为例，具体初始化过程可以是：生成第一隔离域的ID；为该第一隔离域的ID分配第一保护键和第一扩展页表；记录该第一隔离域的ID到该第一保护键和该第一扩展页表的映射。

可选地，在一种实现方式中，为隔离域的ID分配保护键和扩展页表，包括：确定当前的扩展页表是否能够容纳新的保护键；当确定该当前的扩展页表能够容纳新的保护键时，为该隔离域的ID分配该当前的扩展页表，并在该当前的扩展页表中为该隔离域的ID分配未使用的保护键；或，当确定当前的扩展页表不能容纳新的保护键时，为该隔离域的ID分配新的扩展页表，并在该新的扩展页表中为该隔离域的ID分配未使用的保护键。

其中，当前的扩展页表是指当前正处于使用状态的扩展页表，当前正处于使用状态的扩展页表对应于另外的隔离域。

以为第一隔离域的ID分配第一保护键和第一扩展页表为例，具体过程可以是：确定当前的扩展页表是否能够容纳新的保护键；当确定该当前的扩展页表能够容纳新的保护键时，为该第一隔离域的ID分配该当前的扩展页表，作为第一扩展页表，并在该当前的扩展页表中为该第一隔离域的ID分配未使用的保护键，作为第一保护键；或，当确定当前的扩展页表不能容纳新的保护键时，为该第一隔离域的ID分配新的扩展页表，作为第一扩展页表，并在该新的扩展页表中为该第一隔离域的ID分配未使用的保护键，作为第一保护键。

本申请实施例中，在用于保护内存隔离域权限的扩展页表切换隔离域的访问权限之前，对相应的隔离域进行初始化，能够避免由于隔离域的大小扩大产生大量的由于状态修改而引入的可扩展性问题，进而能够减少内存访问过程产生的性能开销。

结合第一方面，在一种可能的实现方式中，访问第一隔离域的内存，包括：确定是否触发虚拟机异常进入客户机内核；当确定未触发虚拟机异常进入客户机内核时，访问该第一隔离域的内存。

结合第一方面，在一种可能的实现方式中，访问第一隔离域的内存，包括：确定是否触发虚拟机异常进入客户机内核；当确定触发虚拟机异常进入客户机内核时，进一步确定该第一隔离域的内存是否被允许访问；当确定该第一隔离域的内存被允许访问时，在该客户机内核中将扩展页表和保护键切换至该第一隔离域的内存对应的第一扩展页表和第一保护键；访问该第一隔离域的内存。

其中，可选地，确定该第一隔离域的内存是否被允许访问，包括：生成并维护允许访问的隔离域列表；根据该允许访问的隔离域列表确定该第一隔离域的内存是否被允许访问。

本申请实施例中，利用虚拟机异常机制，支持同时访问多个隔离域内存。在发生跨扩展页表隔离域内存后，触发的异常能够在客户机内核处理，在此慢速路径中进行隔离域切换，使应用能同时访问使用多个扩展页表的隔离域。

结合第一方面，在一种可能的实现方式中，方法还包括：释放该隔离域的内存。

可选地，释放该隔离域的内存，包括：根据上述对应关系确定该内存对应的保护键和该隔离域对应的扩展页表；在页表中去除该内存对应的保护键；在该扩展页表中去除到该内存的映射。

应理解：根据上述对应关系确定该内存对应的保护键和该隔离域对应的扩展页表，还可以描述为：根据该隔离域的ID查询/确定该内存对应的保护键和该隔离域对应的扩展页表；在页表中去除该内存对应的保护键；在该扩展页表中去除到该内存的映射。

应理解：上述内存为待释放内存。

其中，可选地，去除该内该内存的映射，可以是将上述内存映射至空地址。

以释放第一隔离域的内存为例，具体过程可以是：根据上述对应关系确定该内存对应的第一保护键和第一扩展页表；在页表中去除该内存对应的第一保护键；在该第一扩展页表中去除到该内存的映射。

应理解：即使是该扩展页表中的所有内存保护键都未被分配给任何隔离域，该扩展页表也不会被销毁，这样能够避免扩展页表的销毁以及避免后续重新初始化扩展页表的开销。

本申请实施例中，当隔离域的内存有释放需求时，能够及时取消该隔离域内存与其对应的保护键和扩展页表之间的映射关系，这样，能够及时释放保护键和扩展页表，以便于该保护键和扩展页表的复用。

结合第一方面，在一种可能的实现方式中，方法还包括：释放该隔离域。

可选地，释放该隔离域，包括：根据上述对应关系确定该隔离域对应的保护键和该隔离域对应的扩展页表；标记该隔离域对应的保护键为未分配状态；释放该隔离域的ID。

应理解：根据上述对应关系确定该隔离域对应的保护键和该隔离域对应的扩展页表，还可以描述为：根据该隔离域的ID查询/确定该隔离域对应的保护键和该隔离域对应的扩展页表。

以释放第一隔离域为例，具体过程可以是：根据上述对应关系确定该第一隔离域对应的第一保护键和该第一隔离域对应的第一扩展页表；标记该第一隔离域对应的第一保护键为未分配状态；释放该第一隔离域的ID。

本申请实施例中，当接收到隔离域的释放需求时，在该扩展页表中标记保护键为未分配状态，此后在分配新的隔离域时，可以复用处于未分配状态的保护键；并且，释放隔离域的ID后，此后在分配新的隔离域时，可以复用该ID。

第二方面，提供一种电子设备，该电子设备包括存储器和处理器，其中，存储器用于存储计算机程序代码，处理器用于执行存储于存储器中的计算机程序代码，以实现上述第一方面或第一方面中任一种可能实现方式中的方法。

第三方面，提供了一种芯片，其中存储有指令，当其在设备上运行时，使得所述芯片执行上述第一方面或第一方面中任一种可能实现方式中的方法。

第四方面，提供了一种计算机可读存储介质，该计算机可读存储介质中存储有计算机程序或指令，当该计算机程序或指令被执行时，实现上述第一方面或第一方面中任一种可能实现方式中的方法。

附图说明

图1是本申请实施例提供的电子设备100的结构示意图；

图2是本申请实施例提供的电子设备100的软件结构框图；

图3是一种使用内存保护键的工作原理示意图；

图4是一种使用虚拟化内存保护键的方法的示意性流程图；

图5是一种页表切换技术的示意图；

图6是一种扩展页表切换技术的示意图；

图7是本申请实施例提供的一种扩展内存隔离域的装置的功能模块示意图；

图8是本申请实施例提供的一种扩展内存隔离域的方法的示意性流程图；

图9是本申请实施例提供的客户机及宿主机内核维护的一种内存隔离机制的映射关系示意图；

图10是本申请实施例提供的一种分配隔离域的方法的示意性流程图；

图11是本申请实施例提供的一种释放隔离域的方法的示意性流程图；

图12是本申请实施例提供的一种分配隔离域内存的方法的示意性流程图；

图13是本申请实施例提供的一种释放隔离域内存的方法的示意性流程图；

图14是本申请实施例提供的一种允许访问隔离域内存的方法的示意性流程图；

图15是本申请实施例提供的一种禁止访问隔离域内存的方法的示意性流程图；

图16是本申请实施例提供的当支持访问多隔离域时，一种允许访问隔离域内存的方法的示意性流程图；

图17是本申请实施例提供的当支持访问多隔离域时，一种访问隔离域内存的方法的示意性流程图；

图18是本申请实施例提供的当支持访问多隔离域时，一种禁止访问隔离域内存的方法的示意性流程图；

图19是本申请实施例提供的一种将隔离内存的方法应用于微基准测试集中时的方法的示意性流程图；

图20是本申请实施例提供的不同的隔离内存的方法分别在NGINX应用和Memcached 应用中保护关键数据的性能表现图；

图21是本申请实施例提供的不同的隔离内存的方法在B+树和哈希表中保护非易失性内存数据的性能表现图。

具体实施方式

下面将结合附图，对本申请中的技术方案进行描述。显然，所描述的实施例仅仅是本申请的一部分实施例，而不是全部的实施例。

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。其中，在本申请实施例的描述中，除非另有说明，“/”表示或的意思，例如，A/B可以表示A或 B；本文中的“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如， A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，在本申请实施例的描述中，“复数个”或者“多个”是指两个或多于两个。

以下，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本实施例的描述中，除非另有说明，“多个”的含义是两个或两个以上。

本申请实施例提供的方法可以应用于手机、平板电脑、可穿戴设备、车载设备、增强现实(augmented reality，AR)/虚拟现实(virtual reality，VR)设备、笔记本电脑、超级移动个人计算机(ultra-mobile personal computer，UMPC)、上网本、个人数字助理(personal digital assistant，PDA)等电子设备上，本申请实施例对电子设备的具体类型不作任何限制。

以下，先对本申请实施例中涉及到的一些术语进行详细介绍。

1.内存隔离域

内存隔离域方法是指在进程内部使用隔离技术保护一部分内存的方法。应用在访问隔离域前后分别需要显式地授予和回收访问该隔离域的权限，避免应用由于内存异常错误地访问该隔离域内存，从而提升内存的安全性。

2.虚拟化

是指将单个物理硬件资源通过抽象转换成多个虚拟资源，以实现资源共享。

3.客户机与宿主机

使用虚拟化技术可以构造运行完整操作系统的环境。其中位于虚拟化环境运行的系统被称为客户机，又称虚拟机；控制客户机并为其提供虚拟环境的系统被称为宿主机。

示例性的，图1示出了电子设备100的结构示意图。电子设备100可以包括处理器110，外部存储器接口120，内部存储器121，通用串行总线(universal serial bus，USB) 接口130，充电管理模块140，电源管理模块141，电池142，天线1，天线2，移动通信模块150，无线通信模块160，音频模块170，扬声器170A，受话器170B，麦克风170C，耳机接口170D，传感器模块180，按键190，马达191，指示器192，摄像头193，显示屏 194，以及用户身份识别(subscriber identification module，SIM)卡接口195等。其中传感器模块180可以包括压力传感器180A，陀螺仪传感器180B，气压传感器180C，磁传感器180D，加速度传感器180E，距离传感器180F，接近光传感器180G，指纹传感器180H，温度传感器180J，触摸传感器180K，环境光传感器180L，骨传导传感器180M等。

可以理解的是，本申请实施例示意的结构并不构成对电子设备100的具体限定。在本申请另一些实施例中，电子设备100可以包括比图示更多或更少的部件，或者组合某些部件，或者拆分某些部件，或者不同的部件布置。图示的部件可以以硬件，软件或软件和硬件的组合实现。

处理器110可以包括一个或多个处理单元，例如：处理器110可以包括应用处理器(application processor，AP)，调制解调处理器，图形处理器(graphics processingunit， GPU)，图像信号处理器(image signal processor，ISP)，控制器，存储器，视频编解码器，数字信号处理器(digital signal processor，DSP)，基带处理器，和/或神经网络处理器 (neural-network processing unit，NPU)等。其中，不同的处理单元可以是独立的器件，也可以集成在一个或多个处理器中。

其中，控制器可以是电子设备100的神经中枢和指挥中心。控制器可以根据指令操作码和时序信号，产生操作控制信号，完成取指令和执行指令的控制。

处理器110中还可以设置存储器，用于存储指令和数据。在一些实施例中，处理器110 中的存储器为高速缓冲存储器。该存储器可以保存处理器110刚用过或循环使用的指令或数据。如果处理器110需要再次使用该指令或数据，可从所述存储器中直接调用。避免了重复存取，减少了处理器110的等待时间，因而提高了系统的效率。

在一些实施例中，处理器110可以包括一个或多个接口。接口可以包括集成电路(inter- integrated circuit，I2C)接口，集成电路内置音频(inter-integrated circuitsound，I2S)接口，脉冲编码调制(pulse code modulation，PCM)接口，通用异步收发传输器(universal asynchronous receiver/transmitter，UART)接口，移动产业处理器接口(mobile industry processor interface，MIPI)，通用输入输出(general-purposeinput/output，GPIO)接口，用户身份识别(subscriber identity module，SIM)接口，和/或通用串行总线(universal serial bus，USB)接口等。

I2C接口是一种双向同步串行总线，包括一根串行数据线(serial data line，SDA)和一根串行时钟线(derail clock line，SCL)。在一些实施例中，处理器110可以包含多组 I2C总线。处理器110可以通过不同的I2C总线接口分别耦合触摸传感器180K，充电器，闪光灯，摄像头193等。例如：处理器110可以通过I2C接口耦合触摸传感器180K，使处理器110与触摸传感器180K通过I2C总线接口通信，实现电子设备100的触摸功能。

I2S接口可以用于音频通信。在一些实施例中，处理器110可以包含多组I2S总线。处理器110可以通过I2S总线与音频模块170耦合，实现处理器110与音频模块170之间的通信。在一些实施例中，音频模块170可以通过I2S接口向无线通信模块160传递音频信号，实现通过蓝牙耳机接听电话的功能。

PCM接口也可以用于音频通信，将模拟信号抽样，量化和编码。在一些实施例中，音频模块170与无线通信模块160可以通过PCM总线接口耦合。在一些实施例中，音频模块170也可以通过PCM接口向无线通信模块160传递音频信号，实现通过蓝牙耳机接听电话的功能。所述I2S接口和所述PCM接口都可以用于音频通信。

UART接口是一种通用串行数据总线，用于异步通信。该总线可以为双向通信总线。它将要传输的数据在串行通信与并行通信之间转换。在一些实施例中，UART接口通常被用于连接处理器110与无线通信模块160。例如：处理器110通过UART接口与无线通信模块160中的蓝牙模块通信，实现蓝牙功能。在一些实施例中，音频模块170可以通过 UART接口向无线通信模块160传递音频信号，实现通过蓝牙耳机播放音乐的功能。

MIPI接口可以被用于连接处理器110与显示屏194，摄像头193等外围器件。MIPI接口包括摄像头串行接口(camera serial interface，CSI)，显示屏串行接口(displayserial interface，DSI)等。在一些实施例中，处理器110和摄像头193通过CSI接口通信，实现电子设备100的拍摄功能。处理器110和显示屏194通过DSI接口通信，实现电子设备 100的显示功能。

GPIO接口可以通过软件配置。GPIO接口可以被配置为控制信号，也可被配置为数据信号。在一些实施例中，GPIO接口可以用于连接处理器110与摄像头193，显示屏194，无线通信模块160，音频模块170，传感器模块180等。GPIO接口还可以被配置为I2C接口，I2S接口，UART接口，MIPI接口等。

USB接口130是符合USB标准规范的接口，具体可以是Mini USB接口，Micro USB 接口，USB Type C接口等。USB接口130可以用于连接充电器为电子设备100充电，也可以用于电子设备100与外围设备之间传输数据。也可以用于连接耳机，通过耳机播放音频。该接口还可以用于连接其他电子设备，例如AR设备等。

可以理解的是，本申请实施例示意的各模块间的接口连接关系，只是示意性说明，并不构成对电子设备100的结构限定。在本申请另一些实施例中，电子设备100也可以采用上述实施例中不同的接口连接方式，或多种接口连接方式的组合。

充电管理模块140用于从充电器接收充电输入。其中，充电器可以是无线充电器，也可以是有线充电器。在一些有线充电的实施例中，充电管理模块140可以通过USB接口130接收有线充电器的充电输入。在一些无线充电的实施例中，充电管理模块140可以通过电子设备100的无线充电线圈接收无线充电输入。充电管理模块140为电池142充电的同时，还可以通过电源管理模块141为电子设备供电。

电源管理模块141用于连接电池142，充电管理模块140与处理器110。电源管理模块141接收电池142和/或充电管理模块140的输入，为处理器110，内部存储器121，外部存储器，显示屏194，摄像头193，和无线通信模块160等供电。电源管理模块141还可以用于监测电池容量，电池循环次数，电池健康状态(漏电，阻抗)等参数。在其他一些实施例中，电源管理模块141也可以设置于处理器110中。在另一些实施例中，电源管理模块141和充电管理模块140也可以设置于同一个器件中。

电子设备100的无线通信功能可以通过天线1，天线2，移动通信模块150，无线通信模块160，调制解调处理器以及基带处理器等实现。

天线1和天线2用于发射和接收电磁波信号。电子设备100中的每个天线可用于覆盖单个或多个通信频带。不同的天线还可以复用，以提高天线的利用率。例如：可以将天线1复用为无线局域网的分集天线。在另外一些实施例中，天线可以和调谐开关结合使用。

移动通信模块150可以提供应用在电子设备100上的包括2G/3G/4G/5G等无线通信的解决方案。移动通信模块150可以包括至少一个滤波器，开关，功率放大器，低噪声放大器(low noise amplifier，LNA)等。移动通信模块150可以由天线1接收电磁波，并对接收的电磁波进行滤波，放大等处理，传送至调制解调处理器进行解调。移动通信模块150 还可以对经调制解调处理器调制后的信号放大，经天线1转为电磁波辐射出去。在一些实施例中，移动通信模块150的至少部分功能模块可以被设置于处理器110中。在一些实施例中，移动通信模块150的至少部分功能模块可以与处理器110的至少部分模块被设置在同一个器件中。

调制解调处理器可以包括调制器和解调器。其中，调制器用于将待发送的低频基带信号调制成中高频信号。解调器用于将接收的电磁波信号解调为低频基带信号。随后解调器将解调得到的低频基带信号传送至基带处理器处理。低频基带信号经基带处理器处理后，被传递给应用处理器。应用处理器通过音频设备(不限于扬声器170A，受话器170B等)输出声音信号，或通过显示屏194显示图像或视频。在一些实施例中，调制解调处理器可以是独立的器件。在另一些实施例中，调制解调处理器可以独立于处理器110，与移动通信模块150或其他功能模块设置在同一个器件中。

无线通信模块160可以提供应用在电子设备100上的包括无线局域网(wirelesslocal area networks，WLAN)(如无线保真(wireless fidelity，Wi-Fi)网络)，蓝牙(bluetooth， BT)，全球导航卫星系统(global navigation satellite system，GNSS)，调频(frequency modulation，FM)，近距离无线通信技术(near field communication，NFC)，红外技术 (infrared，IR)等无线通信的解决方案。无线通信模块160可以是集成至少一个通信处理模块的一个或多个器件。无线通信模块160经由天线2接收电磁波，将电磁波信号调频以及滤波处理，将处理后的信号发送到处理器110。无线通信模块160还可以从处理器110 接收待发送的信号，对其进行调频，放大，经天线2转为电磁波辐射出去。

在一些实施例中，电子设备100的天线1和移动通信模块150耦合，天线2和无线通信模块160耦合，使得电子设备100可以通过无线通信技术与网络以及其他设备通信。所述无线通信技术可以包括全球移动通讯系统(global system for mobile communications，GSM)，通用分组无线服务(general packet radio service，GPRS)，码分多址接入(codedivision multiple access，CDMA)，宽带码分多址(wideband code division multipleaccess， WCDMA)，时分码分多址(time-division code division multiple access，TD-SCDMA)，长期演进(long term evolution，LTE)，BT，GNSS，WLAN，NFC，FM，和/或IR技术等。所述GNSS可以包括全球卫星定位系统(global positioning system，GPS)，全球导航卫星系统(global navigation satellite system，GLONASS)，北斗卫星导航系统(beidounavigation satellite system，BDS)，准天顶卫星系统(quasi-zenith satellitesystem，QZSS)和/或星基增强系统(satellite based augmentation systems，SBAS)。

电子设备100通过GPU，显示屏194，以及应用处理器等实现显示功能。GPU为图像处理的微处理器，连接显示屏194和应用处理器。GPU用于执行数学和几何计算，用于图形渲染。处理器110可包括一个或多个GPU，其执行程序指令以生成或改变显示信息。

显示屏194用于显示图像，视频等。显示屏194包括显示面板。显示面板可以采用液晶显示屏(liquid crystal display，LCD)，有机发光二极管(organic light-emittingdiode， OLED)，有源矩阵有机发光二极体或主动矩阵有机发光二极体(active-matrixorganic light emitting diode的，AMOLED)，柔性发光二极管(flex light-emittingdiode，FLED)，Miniled， MicroLed，Micro-oLed，量子点发光二极管(quantum dot lightemitting diodes，QLED)等。在一些实施例中，电子设备100可以包括1个或N个显示屏194，N为大于1的正整数。

电子设备100可以通过ISP，摄像头193，视频编解码器，GPU，显示屏194以及应用处理器等实现拍摄功能。

ISP用于处理摄像头193反馈的数据。例如，拍照时，打开快门，光线通过镜头被传递到摄像头感光元件上，光信号转换为电信号，摄像头感光元件将所述电信号传递给ISP处理，转化为肉眼可见的图像。ISP还可以对图像的噪点，亮度，肤色进行算法优化。ISP 还可以对拍摄场景的曝光，色温等参数优化。在一些实施例中，ISP可以设置在摄像头193 中。

摄像头193用于捕获静态图像或视频。物体通过镜头生成光学图像投射到感光元件。感光元件可以是电荷耦合器件(charge coupled device，CCD)或互补金属氧化物半导体 (complementary metal-oxide-semiconductor，CMOS)光电晶体管。感光元件把光信号转换成电信号，之后将电信号传递给ISP转换成数字图像信号。ISP将数字图像信号输出到DSP 加工处理。DSP将数字图像信号转换成标准的RGB，YUV等格式的图像信号。在一些实施例中，电子设备100可以包括1个或N个摄像头193，N为大于1的正整数。

数字信号处理器用于处理数字信号，除了可以处理数字图像信号，还可以处理其他数字信号。例如，当电子设备100在频点选择时，数字信号处理器用于对频点能量进行傅里叶变换等。

视频编解码器用于对数字视频压缩或解压缩。电子设备100可以支持一种或多种视频编解码器。这样，电子设备100可以播放或录制多种编码格式的视频，例如：动态图像专家组(moving picture experts group，MPEG)1，MPEG2，MPEG3，MPEG4等。

NPU为神经网络(neural-network，NN)计算处理器，通过借鉴生物神经网络结构，例如借鉴人脑神经元之间传递模式，对输入信息快速处理，还可以不断的自学习。通过NPU可以实现电子设备100的智能认知等应用，例如：图像识别，人脸识别，语音识别，文本理解等。

外部存储器接口120可以用于连接外部存储卡，例如Micro SD卡，实现扩展电子设备100的存储能力。外部存储卡通过外部存储器接口120与处理器110通信，实现数据存储功能。例如将音乐，视频等文件保存在外部存储卡中。

内部存储器121可以用于存储计算机可执行程序代码，所述可执行程序代码包括指令。处理器110通过运行存储在内部存储器121的指令，从而执行电子设备100的各种功能应用以及数据处理。内部存储器121可以包括存储程序区和存储数据区。其中，存储程序区可存储操作系统，至少一个功能所需的App(比如声音播放功能，图像播放功能等)等。存储数据区可存储电子设备100使用过程中所创建的数据(比如音频数据，电话本等)等。此外，内部存储器121可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件，闪存器件，通用闪存存储器(universal flash storage，UFS)等。

电子设备100可以通过音频模块170，扬声器170A，受话器170B，麦克风170C，耳机接口170D，以及应用处理器等实现音频功能。例如音乐播放，录音等。

音频模块170用于将数字音频信息转换成模拟音频信号输出，也用于将模拟音频输入转换为数字音频信号。音频模块170还可以用于对音频信号编码和解码。在一些实施例中，音频模块170可以设置于处理器110中，或将音频模块170的部分功能模块设置于处理器110中。

扬声器170A，也称“喇叭”，用于将音频电信号转换为声音信号。电子设备100可以通过扬声器170A收听音乐，或收听免提通话。

受话器170B，也称“听筒”，用于将音频电信号转换成声音信号。当电子设备100接听电话或语音信息时，可以通过将受话器170B靠近人耳接听语音。

麦克风170C，也称“话筒”，“传声器”，用于将声音信号转换为电信号。当拨打电话或发送语音信息时，用户可以通过人嘴靠近麦克风170C发声，将声音信号输入到麦克风170C。电子设备100可以设置至少一个麦克风170C。在另一些实施例中，电子设备100可以设置两个麦克风170C，除了采集声音信号，还可以实现降噪功能。在另一些实施例中，电子设备100还可以设置三个，四个或更多麦克风170C，实现采集声音信号，降噪，还可以识别声音来源，实现定向录音功能等。

耳机接口170D用于连接有线耳机。耳机接口170D可以是USB接口130，也可以是3.5mm的开放移动电子设备平台(open mobile terminal platform，OMTP)标准接口，美国蜂窝电信工业协会(cellular telecommunications industry association of the USA，CTIA)标准接口。

压力传感器180A用于感受压力信号，可以将压力信号转换成电信号。在一些实施例中，压力传感器180A可以设置于显示屏194。压力传感器180A的种类很多，如电阻式压力传感器，电感式压力传感器，电容式压力传感器等。电容式压力传感器可以是包括至少两个具有导电材料的平行板。当有力作用于压力传感器180A，电极之间的电容改变。电子设备100根据电容的变化确定压力的强度。当有触摸操作作用于显示屏194，电子设备 100根据压力传感器180A检测所述触摸操作强度。电子设备100也可以根据压力传感器 180A的检测信号计算触摸的位置。在一些实施例中，作用于相同触摸位置，但不同触摸操作强度的触摸操作，可以对应不同的操作指令。例如：当有触摸操作强度小于第一压力阈值的触摸操作作用于短消息应用图标时，执行查看短消息的指令。当有触摸操作强度大于或等于第一压力阈值的触摸操作作用于短消息应用图标时，执行新建短消息的指令。

陀螺仪传感器180B可以用于确定电子设备100的运动姿态。在一些实施例中，可以通过陀螺仪传感器180B确定电子设备100围绕三个轴(即，x，y和z轴)的角速度。陀螺仪传感器180B可以用于拍摄防抖。示例性的，当按下快门，陀螺仪传感器180B检测电子设备100抖动的角度，根据角度计算出镜头模组需要补偿的距离，让镜头通过反向运动抵消电子设备100的抖动，实现防抖。陀螺仪传感器180B还可以用于导航，体感游戏场景。

气压传感器180C用于测量气压。在一些实施例中，电子设备100通过气压传感器180C测得的气压值计算海拔高度，辅助定位和导航。

磁传感器180D包括霍尔传感器。电子设备100可以利用磁传感器180D检测翻盖皮套的开合。在一些实施例中，当电子设备100是翻盖机时，电子设备100可以根据磁传感器180D检测翻盖的开合。进而根据检测到的皮套的开合状态或翻盖的开合状态，设置翻盖自动解锁等特性。

加速度传感器180E可检测电子设备100在各个方向上(一般为三轴)加速度的大小。当电子设备100静止时可检测出重力的大小及方向。还可以用于识别电子设备姿态，应用于横竖屏切换，计步器等应用。

距离传感器180F，用于测量距离。电子设备100可以通过红外或激光测量距离。在一些实施例中，拍摄场景，电子设备100可以利用距离传感器180F测距以实现快速对焦。

接近光传感器180G可以包括例如发光二极管(LED)和光检测器，例如光电二极管。发光二极管可以是红外发光二极管。电子设备100通过发光二极管向外发射红外光。电子设备100使用光电二极管检测来自附近物体的红外反射光。当检测到充分的反射光时，可以确定电子设备100附近有物体。当检测到不充分的反射光时，电子设备100可以确定电子设备100附近没有物体。电子设备100可以利用接近光传感器180G检测用户手持电子设备100贴近耳朵通话，以便自动熄灭屏幕达到省电的目的。接近光传感器180G也可用于皮套模式，口袋模式自动解锁与锁屏。

环境光传感器180L用于感知环境光亮度。电子设备100可以根据感知的环境光亮度自适应调节显示屏194亮度。环境光传感器180L也可用于拍照时自动调节白平衡。环境光传感器180L还可以与接近光传感器180G配合，检测电子设备100是否在口袋里，以防误触。

指纹传感器180H用于采集指纹。电子设备100可以利用采集的指纹特性实现指纹解锁，访问应用锁，指纹拍照，指纹接听来电等。

温度传感器180J用于检测温度。在一些实施例中，电子设备100利用温度传感器180J 检测的温度，执行温度处理策略。例如，当温度传感器180J上报的温度超过阈值，电子设备100执行降低位于温度传感器180J附近的处理器的性能，以便降低功耗实施热保护。在另一些实施例中，当温度低于另一阈值时，电子设备100对电池142加热，以避免低温导致电子设备100异常关机。在其他一些实施例中，当温度低于又一阈值时，电子设备100 对电池142的输出电压执行升压，以避免低温导致的异常关机。

触摸传感器180K，也称“触控面板”。触摸传感器180K可以设置于显示屏194，由触摸传感器180K与显示屏194组成触摸屏，也称“触控屏”。触摸传感器180K用于检测作用于其上或附近的触摸操作。触摸传感器可以将检测到的触摸操作传递给应用处理器，以确定触摸事件类型。可以通过显示屏194提供与触摸操作相关的视觉输出。在另一些实施例中，触摸传感器180K也可以设置于电子设备100的表面，与显示屏194所处的位置不同。

骨传导传感器180M可以获取振动信号。在一些实施例中，骨传导传感器180M可以获取人体声部振动骨块的振动信号。骨传导传感器180M也可以接触人体脉搏，接收血压跳动信号。在一些实施例中，骨传导传感器180M也可以设置于耳机中，结合成骨传导耳机。音频模块170可以基于所述骨传导传感器180M获取的声部振动骨块的振动信号，解析出语音信号，实现语音功能。应用处理器可以基于所述骨传导传感器180M获取的血压跳动信号解析心率信息，实现心率检测功能。

按键190包括开机键，音量键等。按键190可以是机械按键。也可以是触摸式按键。电子设备100可以接收按键输入，产生与电子设备100的用户设置以及功能控制有关的键信号输入。

马达191可以产生振动提示。马达191可以用于来电振动提示，也可以用于触摸振动反馈。例如，作用于不同应用(例如拍照，音频播放等)的触摸操作，可以对应不同的振动反馈效果。作用于显示屏194不同区域的触摸操作，马达191也可对应不同的振动反馈效果。不同的应用场景(例如：时间提醒，接收信息，闹钟，游戏等)也可以对应不同的振动反馈效果。触摸振动反馈效果还可以支持自定义。

指示器192可以是指示灯，可以用于指示充电状态，电量变化，也可以用于指示消息，未接来电，通知等。

SIM卡接口195用于连接SIM卡。SIM卡可以通过插入SIM卡接口195，或从SIM 卡接口195拔出，实现和电子设备100的接触和分离。电子设备100可以支持1个或N个 SIM卡接口，N为大于1的正整数。SIM卡接口195可以支持Nano SIM卡，Micro SIM 卡，SIM卡等。同一个SIM卡接口195可以同时插入多张卡。所述多张卡的类型可以相同，也可以不同。SIM卡接口195也可以兼容不同类型的SIM卡。SIM卡接口195也可以兼容外部存储卡。电子设备100通过SIM卡和网络交互，实现通话以及数据通信等功能。在一些实施例中，电子设备100采用嵌入式SIM(embedded-SIM，eSIM)卡，即：嵌入式SIM卡。eSIM卡可以嵌在电子设备100中，不能和电子设备100分离。

应理解，本申请实施例中的电话卡包括但不限于SIM卡、eSIM卡、全球用户识别卡(universal subscriber identity module，USIM)、通用集成电话卡(universalintegrated circuit card，UICC)等等。

电子设备100的软件系统可以采用分层架构，事件驱动架构，微核架构，微服务架构，或云架构。本申请实施例以分层架构的Android系统为例，示例性说明电子设备100的软件结构。

图2是本申请实施例的电子设备100的软件结构框图。分层架构将软件分成若干个层，每一层都有清晰的角色和分工。层与层之间通过软件接口通信。在一些实施例中，将Android系统分为四层，从上至下分别为应用程序层，应用程序框架层，安卓运行时(Android runtime)和系统库，以及内核层。应用程序层可以包括一系列应用程序包。

如图2所示，应用程序包可以包括相机，图库，日历，通话，地图，导航，WLAN，蓝牙，音乐，视频，短信息等应用程序。

应用程序框架层为应用程序层的应用程序提供应用编程接口(applicationprogramming interface，API)和编程框架。应用程序框架层包括一些预先定义的函数。

如图2所示，应用程序框架层可以包括窗口管理器，内容提供器，视图系统，电话管理器，资源管理器，通知管理器等。

窗口管理器用于管理窗口程序。窗口管理器可以获取显示屏大小，判断是否有状态栏，锁定屏幕，截取屏幕等。

内容提供器用来存放和获取数据，并使这些数据可以被应用程序访问。所述数据可以包括视频，图像，音频，拨打和接听的电话，浏览历史和书签，电话簿等。

视图系统包括可视控件，例如显示文字的控件，显示图片的控件等。视图系统可用于构建应用程序。显示界面可以由一个或多个视图组成的。例如，包括短信通知图标的显示界面，可以包括显示文字的视图以及显示图片的视图。

电话管理器用于提供电子设备100的通信功能。例如通话状态的管理(包括接通，挂断等)。

资源管理器为应用程序提供各种资源，比如本地化字符串，图标，图片，布局文件，视频文件等等。

通知管理器使应用程序可以在状态栏中显示通知信息，可以用于传达告知类型的消息，可以短暂停留后自动消失，无需用户交互。比如通知管理器被用于告知下载完成，消息提醒等。通知管理器还可以是以图表或者滚动条文本形式出现在系统顶部状态栏的通知，例如后台运行的应用程序的通知，还可以是以对话窗口形式出现在屏幕上的通知。例如在状态栏提示文本信息，发出提示音，电子设备振动，指示灯闪烁等。

Android Runtime包括核心库和虚拟机。Android runtime负责安卓系统的调度和管理。

核心库包含两部分：一部分是java语言需要调用的功能函数，另一部分是安卓的核心库。

应用程序层和应用程序框架层运行在虚拟机中。虚拟机将应用程序层和应用程序框架层的java文件执行为二进制文件。虚拟机用于执行对象生命周期的管理，堆栈管理，线程管理，安全和异常的管理，以及垃圾回收等功能。

系统库可以包括多个功能模块。例如：表面管理器(surface manager)，媒体库(media libraries)，三维图形处理库(例如：OpenGL ES)，2D图形引擎(例如：SGL)等。

表面管理器用于对显示子系统进行管理，并且为多个应用程序提供了2D和3D图层的融合。

媒体库支持多种常用的音频，视频格式回放和录制，以及静态图像文件等。媒体库可以支持多种音视频编码格式，例如:MPEG4，H.264，MP3，AAC，AMR，JPG，PNG等。

三维图形处理库用于实现三维图形绘图，图像渲染，合成，和图层处理等。

2D图形引擎是2D绘图的绘图引擎。

内核层是硬件和软件之间的层。内核层至少包含显示驱动，摄像头驱动，音频驱动，传感器驱动。

应理解，本申请实施例中的技术方案可以用于Android、IOS、鸿蒙等系统中。

本申请实施例的技术方案可以应用于电子设备的内存管理场景。

本申请实施例中的电子设备可以是电视机、台式电脑、笔记本电脑，还可以是便携式电子设备，诸如手机、平板电脑、照相机、摄影机、录像机，还可以是其他具有存储功能的电子设备、5G网络中的电子设备或者未来演进的公用陆地移动通信网络(public landmobile network，PLMN)中的电子设备等，本申请对此不做限定。

为了提供进程内的内存隔离机制，当前的内存隔离方法主要有四种，分别为：使用内存保护键、虚拟内存保护键、页表切换技术以及扩展页表切换技术。

下面，结合图3至图6，对几种隔离内存的方法进行详细介绍。

图3示出了一种使用内存保护键的工作原理示意图。内存保护键是一种进程内内存隔离技术，该技术将待保护的内存隔离域在页表对应表项中设置保护键值，然后在用户态通过访问保护键寄存器设置当前线程允许访问的隔离域。如图3所示，首先，页表记录了每个虚拟内存页的保护键以及访问权限，页表的配置一般由内核完成。其次，该技术引入了一个新的保护键寄存器，该保护键寄存器存储了每个保护键对应的访问权限。当进行访存操作时，处理器会组合页表的权限以及虚拟页保护键值对应到保护键寄存器中的权限(与操作)形成最终的访问权限。并且，用户态程序可以修改保护键寄存器中各个保护键的权限，从而达到在用户态控制各内存隔离域访问权限的目的。

该方法能够实现内存隔离，然而，内存保护键方法支持的保护键的最大数量是有限制的。首先，页表结构能够存储的保护键的长度仅为4个比特。其次，保护键寄存器也仅有32个比特。两者共同限制了该方法最多只能支持16个内存隔离域。而一些实际应用需要大量的内存隔离域支持，从而无法使用内存保护键技术。

图4示出了一种使用虚拟化内存保护键的方法400的示意性流程图。虚拟化内存保护键方法是一种内存隔离技术，该技术突破了原有内存保护键硬件机制的数量限制。该虚拟化机制维护了虚拟保护键到物理保护键的映射。在需要使用某虚拟保护键时，使用虚拟保护键所映射到的物理保护键进行权限配置。如图4所示，该方法400包括：

步骤S401：查询当前虚拟保护键是否被映射到实际的物理保护键，若是，则执行步骤 S405；若否，则执行步骤S402。

步骤S402：查询是否存在没有映射至任何虚拟保护键的空闲物理保护键，若存在，则执行步骤S404；若不存在，则执行步骤S403。

步骤S403：进入内核换出一个物理保护键:。

具体地，在页表中去除相关内存对该物理保护键的使用，并去除该物理保护键到虚拟保护键的映射。

步骤S404：为虚拟保护键分配实际的物理保护键，并且进入内核配置该虚拟保护键内存对应的页表，使之隶属于(映射到)此物理保护键。

步骤S405：切换虚拟保护键所映射的物理保护键的访问权限。

具体地，通过访问保护键寄存器切换虚拟保护键所映射的物理保护键的访问权限。

该方法也能够实现内存隔离，然而，该方法存在与内存隔离域的大小相关的可扩展性问题。首先，在修改虚拟保护键到物理保护键的映射时，需要同步更新页表中各个虚拟页所属的保护键。这样，当某个内存隔离域拥有较多内存时，修改每个虚拟页的保护键会引入大量的内存访问，从而影响应用的性能。其次，在去除内存权限时，为了预防页表缓存中缓存了高访问权限的状态，需要主动使页表缓存失效，为了使所有处理器核心的页表缓存失效，需要通过核间通信机制通知其它处理器并等待所有处理器完成失效操作。这两项开销使得当内存隔离域较大时，切换虚拟保护键会耗费较长的时间。另外，由于需要主动失效页表缓存，还会在切换完成后对应用的性能造成间接的性能损失。

图5示出了一种页表切换技术的示意图。页表切换技术可以用于提供内存隔离域。页表是用于翻译虚拟地址(virtual address，VA)到物理地址(physical address，PA)的结构。

如图5所示，该技术为每个内存隔离域都分配一个页表，在此页表内配置访问该隔离域内存的权限，但是此页表不包含访问其他隔离域内存的权限。由于切换页表是特权指令，用户态程序无法直接在需要访问隔离域内存时自行切换页表，而是需要通过系统调用进入内核切换。

页表切换技术主要有两点局限性。首先，页表切换需要进入内核，从而引入包括系统调用和上下文切换在内的大量性能开销。其次，由于一个线程在同一个时间点仅能使用一个页表，因此难以支持对多个内存隔离域的同时访问。

图6示出了一种扩展页表切换技术的示意图。该技术可以用于提供内存隔离域。在该技术中，虚拟机监控器将操作系统部署在虚拟机中，通过扩展页表把虚拟机的物理地址(GPA)翻译至宿主机物理地址(HPA)。

如图6所示，为了构造多个内存隔离域，虚拟机监控器会为每个隔离域配置一个扩展页表，该扩展页表会根据内存隔离需求限制各内存页的访问权限。同时，Intel为虚拟机提供了虚拟机函数指令，用于在虚拟机内部直接切换扩展页表，并且与图5所示的方案相比，用户态也能够执行该指令，避免了进入内核的开销。在需要访问某内存隔离域时，应用可以使用虚拟机函数指令直接切换到对应扩展页表进行访问。

然而，扩展页表切换技术仍然有局限性。首先，尽管用于切换扩展页表的虚拟机函数能在用户态运行，但是时延还是较长，在频繁切换内存隔离域的情况下仍然会产生比较严重的性能问题。另外，与页表切换技术类似，该方法难以支持在同一时间对多个内存隔离域的同时访问。

因此，现有的内存隔离方法存在提供的隔离域数量有限、内存大小可扩展性差、性能开销大或者无法支持同时访问多个隔离域的问题。

基于此，本申请提供了一种扩展内存隔离域的方法和电子设备，该方法将扩展页表引入保护键技术中，并赋予内核以扩展页表及保护键管理功能，有效提升了可供使用的隔离域数量；并且，该方法利用内存保护键快速切换的特性，能够保持高性能的隔离域切换；此外，该方法利用虚拟机异常机制，能够支持同时访问多个隔离域内存。

以下实施例中所使用的术语只是为了描述特定实施例的目的，而并非旨在作为对本申请的限制。如在本申请的说明书和所附权利要求书中所使用的那样，单数表达形式“一个”、“一种”、“所述”、“上述”、“该”和“这一”旨在也包括例如“一个或多个”这种表达形式，除非其上下文中明确地有相反指示。还应当理解，在本申请以下各实施例中，“至少一个”、“一个或多个”是指一个、两个或两个以上。术语“和/或”，用于描述关联对象的关联关系，表示可以存在三种关系；例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B的情况，其中A、B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。

在本说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此，在本说明书中的不同之处出现的语句“一个实施例”、“一些实施例”、“另一个实施例”、“另外一些实施例”等不是必然都参考相同的实施例，而是意味着“一个或多个但不是所有的实施例”，除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”，除非是以其他方式另外特别强调。

图7示出了本申请实施例提供的扩展内存隔离域的装置700的功能模块示意图。如图 7所示，该装置700包括用户态库710，客户机内核720以及宿主机内核730。其中，客户机内核包括第一管理模块7201和第三管理模块7202，宿主机内核包括第二管理模块7301。具体地：

用户态库710，用于向应用程序提供接口，还用于管理隔离域ID与保护键的映射，以及管理隔离域ID与扩展页表的映射。

其中，用户态库是指用户态可扩展内存隔离域库。

具体地，应用程序使用用户态库710提供的接口使用内存隔离域，该用户态库710还用于执行扩展页表和保护键的分配以及切换操作。

客户机内核720和宿主机内核730，用于维护隔离域ID与保护键的映射以及隔离域ID与扩展页表的映射关系。

更具体地，第一管理模块7201和第二管理模块7301用于维护隔离域ID与保护键的映射以及隔离域ID与扩展页表的映射关系。

可选地，第一管理模块7201和第二管理模块7301可以合称为内存映射管理模块。

客户机内核720还用于参与多个隔离域的同时访问。

更具体地，第三管理模块7202用于参与多个隔离域的同时访问。

其中，参与方式可以是：当内存访问触发扩展页表错误时，第三管理模块7202用于处理发生在受保护内存区域内的扩展页表的异常。

可选地，处理方式为：第三管理模块7202切换扩展页表并更新内存保护键寄存器，此后应用程序即可正常访问该隔离域。

可选地，第三管理模块7202可以是多隔离域访问管理模块，还可以是其他具有相同或相似功能的模块，本申请对此不作限定。

可选地，第一管理模块7201具体用于扩展页表管理和/或保护键设置。

可选地，第一管理模块7201可以是扩展页表和保护键管理模块，还可以是其他用于配置隔离环境的内存映射管理模块，本申请对此不作限定。

可选地，第二管理模块7301具体用于扩展页表管理。

可选地，第二管理模块7301可以是扩展页表管理模块，还可以是其他用于配置隔离环境的内存映射管理模块，本申请对此不作限定。

在图7所示实施例的基础上，图8示出了本申请实施例提供的扩展内存隔离域的方法 800的示意性流程图。如图8所示，该方法包括：

步骤S810：初始化隔离域。

可选地，应用程序使用alloc_domain接口初始化新的隔离域。具体的初始化步骤如下：

步骤S8101：用户态库为该隔离域生成一个ID。

步骤S8102：用户态库为该隔离域分配对应的扩展页表和保护键。

步骤S8103：用户态库将上述分配的扩展页表和保护键记录在该用户态库中。

可选地，该步骤中用户态库为应用程序提供的接口为隔离域分配与释放接口。其中，分配隔离域接口具体为：int alloc_domains(int num,int ids[])；释放隔离域接口具体为：int free_domains(int num,int ids[])。

其中，分配隔离域接口用于分配多个新的隔离域；当不需要使用某隔离域后，先释放该隔离域拥有的内存，再调用释放隔离域接口。

现有的虚拟内存保护键技术随着保护的内存规模变大，切换的性能会随之严重下降。该步骤中，在隔离域的扩展页表和保护键切换之前，将该隔离域初始化，能够避免由于该隔离域的大小扩大产生的大量状态修改而引入的可扩展性问题，从而能够避免因此造成的大量的性能开销。

应理解：该步骤S810为可选步骤。

步骤S820：为隔离域分配内存。

可选地，应用程序使用alloc_mmap接口给指定ID的隔离域配置内存。具体步骤如下：

步骤S8201：用户态库通过系统调用进入客户机内核，客户机内核中的第一管理模块为隔离域配置内存对应的保护键。

步骤S8202：宿主机内核中的第二管理模块在扩展页表中配置上述隔离域对应的访问权限。

可选地，该步骤中用户态库为应用程序提供的接口为隔离域内存分配与释放接口。其中，分配隔离域内存接口具体为：void*domain_mmap(int id,void*addr,size_tlen,int prot, int flags)；释放隔离域内存接口具体为：int domain_munmap(void*addr,size_t len)。

步骤S830：开始访问隔离域内存。

其中，在开始访问隔离域内存之前，还包括以下步骤：

步骤S8301：应用程序：调用用户态库的domain_begin函数，通过该函数查询隔离域的扩展页表和保护键。

步骤S8302：切换隔离域的扩展页表和保护键。

步骤S840：访问隔离域内存。

在上述步骤S8301和步骤S8302执行完成之后，应用程序即可访问该隔离域中的内存。

步骤S850：结束访问隔离域内存。

在访问结束后，应用程序使用domain_end函数回收该隔离域的访问权限。

可选地，步骤S830和步骤S850中用户态库为应用程序提供的接口为访问隔离域内存接口。其中，开始访问隔离域接口具体为：int domain_begin(int id,int prot)；结束访问隔离域接口具体为：int domain_end(int id)。

本申请实施例中，用户态库为应用程序使用内存隔离域提供接口，客户机内核和宿主机内核共同维护隔离域ID与保护键的映射以及扩展页表的映射关系，且对客户机内核与宿主机内核的内存管理模块进行了一定扩展，使其支持扩展页表中的保护键设置以及多个扩展页表的管理，本申请方案将扩展页表和保护键的分配相结合，能够有效提升可用隔离域的数量；并且，现有的虚拟内存保护键技术随着保护的内存规模变大，切换的性能会随之严重下降，本申请方案在隔离域的扩展页表和保护键切换之前，将该隔离域初始化，能够避免由于该隔离域的大小扩大产生的大量状态修改而引入的可扩展性问题，从而能够避免因此造成的大量的性能开销。

在图7或图8所示实施例的基础上，图9示出了本申请实施例提供的客户机及宿主机内核维护的一种内存隔离机制的映射关系示意图。以下，结合图9，对本申请方案支持的可用隔离域的数量、多个隔离域的切换以及多个隔离域的同时访问进行具体说明。

本申请实施例中的应用程序可以在自身的虚拟地址空间中划分出多个隔离域，并且每个隔离域都被赋予一个独立的ID。每个隔离域ID都会被映射到一个保护键和一个扩展页表。每个扩展页表可以容纳多个隔离域，这些隔离域的保护键各不相同，但都使用相同的扩展页表。

如图9所示，应用程序在自身的虚拟地址空间划分出了隔离域1、隔离域2和隔离域16，其中，隔离域1使用了保护键1和扩展页表0；隔离域2使用了保护键2和扩展页表 0；隔离域16使用了保护键1和扩展页表1。

由图9可以看出，隔离域1和隔离域2都使用了扩展页表0，但是使用了不同的保护键1和保护键2；使用不同扩展页表的隔离域可以复用相同的保护键，如隔离域1和隔离域16都使用了保护键1，但使用了不同的扩展页表0和扩展页表1。当隔离域使用特定物理保护键时，虚拟机页表内相关页表项会标记该物理保护键。当隔离域使用特定扩展页表时，该扩展页表会映射隔离域的内存，另外所有扩展页表还会映射其他不属于任何隔离域的内存。

可用隔离域的数量

由于保护键硬件机制最多支持16个保护键，使用同一个扩展页表的隔离域的数量最多为15个，其中保护键0(GPA-0)用于标识未保护的内存(即不属于任何隔离域的内存)。

然而，由于虚拟机函数扩展页表切换硬件机制最多可支持512个扩展页表。本申请实施例提供的扩展内存隔离域的方法能够支持7680(512×15)个隔离域。

多个隔离域的切换

多个隔离域之间相互切换时，性能存在亲和性现象：

由于保护键的权限切换时延比扩展页表的切换时延更低，因此，同属一个扩展页表的隔离域切换时性能更好。例如，在图9所示的实施例中，隔离域1与隔离域2同属扩展页表0，隔离域1与隔离域16属于不同的扩展页表，因此，隔离域1与隔离域2切换的性能优于隔离域1与隔离域16的切换。应用程序可以利用此特性优化隔离域切换性能，具体应用在下文中的示例二做了详细说明。

多个隔离域的同时访问

客户机内核还提供了同时访问多个隔离域的支持。其中，具体执行模块可以是位于客户机内核的第三管理模块。

对于访问有相同扩展页表的隔离域，仅需要设置保护键寄存器允许多个保护键即可。但访问具有不同扩展页表的隔离域时(如图9中所示的隔离域1与隔离域16)，在一个扩展页表中隔离的内存的客户机物理地址(guest physical address，GPA)并未在另外的扩展页表中映射，因此在使用后者时，内存访问会触发扩展页表错误。

在一般虚拟机中，该错误会由宿主机处理。而本申请利用了虚拟机异常硬件机制，发生在受保护内存区域内的扩展页表异常会直接由虚拟机内核(也就是客户机内核)处理，虚拟机内核会切换扩展页表并更新内存保护键寄存器，此后应用即可正常访问该隔离域。另外，为了让客户机内核获悉哪些隔离域是允许访问的，在同时访问使用不同扩展页表的隔离域时，用户态库会通知客户机内核当前允许访问哪些扩展页表和其对应的保护键。

本申请实施例中，通过结合内存保护键技术和扩展页表切换技术，将由于物理上的保护键寄存器限制而无法容纳的保护键使用扩展页表进行隔离。由于可用的扩展页表数量较多，本申请的方案有效提升了可用隔离域数量(最多7680个隔离域)；

并且，本申请的方案引入亲和性的设计，利用使用同一扩展页表的多个隔离域的切换时延较低的特性，使得大部分的内存隔离域在切换权限时仅需要修改保护键寄存器，仅引入少量的高时延扩展页表切换，因此，本申请方案能够减少性能开销；

另外，本申请方案利用虚拟化异常机制跟踪跨扩展页表隔离域访问，通过客户机内核对虚拟机异常进行处理，能够实现多个跨扩展页表隔离域的同时访问，因此，本申请方案能够适应部分应用程序同时访问多个内存隔离域的需求；此外，本申请方案在客户机内核中透明地切换扩展页表，以赋予某隔离域的访问权限。

为了更加清楚地理解本申请实施例中的用户态库为应用程序提供接口的过程，以下，示例性地，对用户态库为应用程序提供的接口进行详细介绍。

用户态库用于维护隔离域对应的扩展页表和保护键的分配以及切换，并给应用程序提供接口。依据功能划分，用户态向应用程序提供的接口可被分为以下三类：

1.隔离域分配与释放接口

分配隔离域接口：int alloc_domains(int num,int ids[])；释放隔离域接口：int free_domains(int num,int ids[])。

其中，分配隔离域接口用于分配多个新的隔离域，同一次分配接口调用生成的隔离域会优先分配在相同的扩展页表中，以适应上述亲和性的需求。

用户态库会建立隔离域ID到扩展页表与保护键的映射，并且维护所有隔离域ID是否已被分配。当不需要使用某隔离域后，先释放隔离域拥有的内存，再调用释放隔离域接口。

2.隔离域内存分配与释放接口

分配隔离域内存接口：void*domain_mmap(int id,void*addr,size_t len,intprot,int flags)；释放隔离域内存接口：int domain_munmap(void*addr,size_t len)。

其中，分配隔离域内存接口将一段指定的内存区域分配给指定隔离域。用户态库会转发该请求到客户机内核中以在扩展页表中设置该指定内存的保护键，并且发送请求到宿主机设置扩展页表的映射，进而构造如图9所示的映射结构。在隔离域不再需要某段内存后，使用释放隔离域内存接口去除对指定内存区域的保护。

3.访问隔离域内存接口

开始访问隔离域接口：int domain_begin(int id,int prot)；结束访问隔离域接口：int domain_end(int id)。

其中，在访问隔离域内存前，应用程序调用开始访问隔离域接口。用户态库查询该隔离域ID对应的保护键和扩展页表，在需要切换的情况下，进行对应扩展页表的切换，然后按照接口提供的权限及保护键值在保护键寄存器中设置访问权限。在结束访问隔离域内存后，应用程序调用结束访问隔离域接口重新设置保护键寄存器取消访问权限。

以下，示例性地，在图8所示实施例的基础上，结合图10至图18，对本申请实施例提供的扩展内存隔离域的方法进行详细描述。

图10示出了本申请实施例提供的分配隔离域的方法1000的示意性流程图。如图10所示，该方法1000包括：

步骤S1001：用户态库分配隔离域ID。

不同的隔离域拥有不同的ID，为了能够准确识别相应的隔离域，用户态库会为新的隔离域分配一个隔离域ID。

步骤S1002：用户态库查询现有的扩展页表是否能够容纳新的保护键。若能够容纳，则执行步骤S1004；若不能容纳，则执行步骤S1003。

其中，每个扩展页表能够容纳16个保护键(其中一个为未保护内存对应的保护键)。

步骤S1003：使用新的扩展页表。也即：为当前隔离域ID分配新的扩展页表。

步骤S1004：使用上述现有的扩展页表。也即：为当前隔离域ID分配已经使用的扩展页表。

步骤S1005：在指定扩展页表中查询可使用的保护键，并为当前隔离域ID分配一个保护键。

其中，指定扩展页表是指步骤S1003或步骤S1004中所确定使用的扩展页表。

步骤S1006：在用户态库内部记录当前隔离域ID所属的扩展页表(指定扩展页表)以及保护键。也即：在用户态库内部记录当前隔离域ID到指定扩展页表及保护键的映射。

与图10所示实施例相对应的，图11示出了本申请实施例提供的释放隔离域的方法1100的示意性流程图。如图11所示，该方法1100包括：

步骤S1101：用户态库查询待释放的隔离域ID所使用的扩展页表和保护键。

步骤S1102：在上述扩展页表中标记上述保护键为未分配状态。

上述扩展页表中标记了上述保护键为未分配状态后，当用户态库分配新的隔离域时，可以复用该处于未分配状态的保护键。

步骤S1103：释放隔离域ID。

隔离域ID被释放后，用户态库在分配新的隔离域时，可以复用该ID。

本申请实施例中，通过结合内存保护键技术和扩展页表切换技术，将由于物理上的保护键寄存器限制而无法容纳的保护键使用扩展页表进行隔离。由于可用的扩展页表数量较多，本申请的方案能够有效提升可用隔离域数量(最多7680个隔离域)；

并且，本申请方案在隔离域的扩展页表和保护键切换之前，将该隔离域初始化，能够避免由于该隔离域的大小扩大产生的大量状态修改而引入的可扩展性问题，从而能够避免因此造成的大量的性能开销。

图12示出了本申请实施例提供的分配隔离域内存的方法1200的示意性流程图。如图 12所示，该方法1200包括：

步骤S1201：查询即将进行内存分配的隔离域ID所使用的扩展页表和保护键。

其中，由于隔离域与该隔离域的ID具有对应关系，该隔离域的ID到该保护键和该扩展页表的映射，可以理解为该隔离域到该保护键和该扩展页表的映射。也就是说，即将进行内存分配的隔离域ID所使用的扩展页表和保护键，还可以描述为：即将进行内存分配的隔离域所对应的扩展页表和保护键。

步骤S1202：进入客户机内核，在页表中设置待保护内存的保护键。

其中，页表是指客户机内核中的页表。

步骤S1203：进入宿主机内核，查询需要使用的扩展页表(步骤S1201中查询到的隔离域ID所使用的扩展页表)是否已经存在。若是，则执行步骤S1205；若否，则执行步骤S1204。

步骤S1204：宿主机内核初始化上述扩展页表。

该步骤中，扩展页表初始化时包含了对所有未保护内存的映射，所有的扩展页表都维护了相同的未保护内存的映射。不同的扩展页表尽可能使用相同的页表页，用以减少多个扩展页表的内存消耗以及避免同步开销。

步骤S1205：宿主机在扩展页表中建立到待保护内存的映射。

其中，对于并不属于该扩展页表的受保护内存，该扩展页表中会映射这些内存到空地址，任何访问都将触发错误。

与图12所示实施例对应的，图13示出了本申请实施例提供的释放隔离域内存的方法 1300的示意性流程图。如图13所示，该方法1300包括：

步骤S1301：查询即将进行内存释放的隔离域ID所使用的扩展页表和保护键。

步骤S1302：进入客户机内核，在页表中去除待释放(销毁)内存的保护键。

步骤S1303：进入宿主机内核，在扩展页表中去除待释放内存的映射。

其中，可选地，在扩展页表中去除待销毁内存的映射的方式为：将映射关系修改为映射至空地址。

本方案中，即使是该扩展页表中的所有内存保护键都未被分配给任何隔离域，该扩展页表也不会被销毁，能够避免扩展页表的销毁以及后续重新初始化扩展页表的开销。

本申请实施例中，客户机内核和宿主机内核共同维护隔离域ID与保护键以及扩展页表的映射关系，且对客户机内核与宿主机内核的内存管理模块进行了一定扩展，使其支持扩展页表中的保护键设置以及多个扩展页表的管理。

图14示出了本申请实施例提供的允许访问隔离域内存的方法1400的示意性流程图。如图14所示该方法1400包括：

步骤S1401：查询即将进行内存访问的隔离域ID所使用的扩展页表和保护键。

其中，即将进行内存分配访问的隔离域ID所使用的扩展页表和保护键，还可以描述为：即将进行内存分配访问的隔离域ID所分配的扩展页表和保护键。

步骤S1402：判断当前正在使用的扩展页表是否和该隔离域ID将使用的扩展页表(步骤S1401中的隔离域ID所使用的扩展页表)相同，如果是，则执行步骤S1404；如果否，则执行步骤S1403。

其中，当前正在使用的扩展页表可以简称为当前的扩展页表，该当前的扩展页表是指当前已经被分配的扩展页表。

步骤S1403：使用虚拟机函数切换到该隔离域ID将使用的扩展页表。

步骤S1404：通过设置保护键寄存器的方式，开启上述隔离域的访问权限。

其中，可选地，通过将读写权限写入保护键寄存器的方式开启对该隔离域的访问。

与图14所示实施例相并列地，图15示出了本申请实施例提供的禁止访问隔离域内存的方法1500的示意性流程图。如图15所示该方法1500包括：

步骤S1501：查询内存即将被禁止访问的隔离域ID所使用的保护键。

步骤S1502：通过设置保护键寄存器的方式，取消上述隔离域的访问权限。

其中，可选地，通过将读写权限写入保护键寄存器的方式取消对该隔离域内存访问的权限。

其中，扩展页表可以不切换，因为所有扩展页表都允许对未保护内存的访问。

本申请实施例中，能够利用保护键快速切换的特性，保持高性能的隔离域切换。并且，本申请实施例的方案在隔离域切换的关键路径上尽可能只在用户态运行少量指令(例如：允许访问或禁止访问的指令)以减少性能开销。

图16示出了本申请实施例提供的当支持访问多隔离域时，允许访问隔离域内存的方法1600的示意性流程图。如图16所示，该方法1600包括：

步骤S1601：查询即将访问的隔离域ID所使用的扩展页表。

步骤S1602：判断当前线程是否是正在使用某隔离域，且该隔离域对应的扩展页表与上述扩展页表不同(换句话说，也就是判断是否为：当前存在其他允许访问的隔离域，并且该隔离域所使用的扩展页表与步骤S1601中查询到的扩展页表不同)，若是，则执行步骤S1603；若否，则执行步骤S1604。

步骤S1603：用户态库通知客户机内核当前允许访问的隔离域。

应注意：用户态库通知客户机内核当前允许访问的隔离域的目的为：为后续隔离域的访问过程可能发生的虚拟机异常提供该信息以让客户机内核切换隔离域。

步骤S1604：执行图14所示实施例中提供的允许访问隔离域内存的流程。

与图16所示实施例并列地，图17示出了本申请实施例提供的当支持访问多隔离域时，访问隔离域内存的方法1700的示意性流程图。如图17所示，该方法1700包括：

步骤S1701：处理器访问隔离域内存。

步骤S1702：判断是否触发虚拟机异常进入客户机内核。若是，则执行步骤S1703；若否，则执行步骤S1706。

步骤S1703：判断访问异常的地址是否被允许访问，若是，则执行步骤S1705；若否，则执行步骤S1704。

可选地，该步骤也可以描述为：在虚拟机异常的处理函数中判断发生错误的地址是否属于图16所示实施例中步骤S1603所述的用户态库通知客户机内核当前允许访问的隔离域，若是，则执行步骤S1705；若否，则执行步骤S1704。

可选地，该步骤还可以描述为：确定访问异常的隔离域内存是否被允许访问，若是，则执行步骤S1705；若否，则执行步骤S1704。

其中，访问异常的隔离域内存是否被允许访问是由用户态通知客户机内核的，客户机内核可以根据接收到的允许访问的隔离域信息生成并维护允许访问的隔离域列表。

步骤S1704：发现内存访问错误，触发异常处理。

步骤S1705：在虚拟机异常的处理函数中切换至发生错误的地址所属的隔离域，切换扩展页表以及保护键。最后返回用户态库继续执行。可选地，该步骤还可以描述为：在客户机内核中将扩展页表及保护键切换至访问异常的隔离域内存的扩展页表及保护键。

步骤S1706：正常访问隔离域的内存。

与图16和图17所示实施例并列地，图18示出了本申请实施例提供的当支持访问多隔离域时，禁止访问隔离域内存的方法1800的示意性流程图。如图18所示，该方法1800 包括：

步骤S1801：查询内存即将被禁止访问的隔离域ID所使用的扩展页表。

步骤S1802：判断是否处于状态：当前存在其他允许访问的隔离域，并且该隔离域所使用的扩展页表与即将禁止访问的隔离域的扩展页表不同。若是，则执行步骤S1803；若否，则执行步骤S1804。

步骤S1803：通知客户机内核去除该隔离域的访问权限。

此后若出现该隔离域访问异常，会执行图17所示实施例中的步骤S1704。

步骤S1804：执行图15所示实施例中提供的禁止访问隔离域内存的流程。

本申请实施例中，充分利用虚拟机异常机制，支持同时访问多个隔离域内存。在发生跨扩展页表隔离域内存后，触发的异常能够在客户机内核处理，在此慢速路径中进行隔离域切换，使应用能同时访问并使用多个扩展页表的隔离域。

为了更加清楚地体现本申请方案的应用场景以及技术效果，下面，结合3个具体的示例，对本申请方案的具体应用做示例性说明。

应注意：以下三个具体的示例中，相关的测试均在2GHz频率20核的Intel Gold6138 处理器中进行，内存大小为80GB，虚拟机和宿主机均采用4.19.88版本的linux内核。并且，在测试中，将本申请的方案与图3至图6所示的四种技术进行了对比，其中，该四种技术(内存保护键、虚拟化内存保护键、页表切换及扩展页表切换)分别被标记为MPK、libmpk、lwC及VMFUNC，Native表示未经内存隔离保护，EMPK表示本申请实施例提供的可扩展内存隔离域。

示例一

图19示出了将隔离内存的方法应用于微基准测试集中时的方法1900的示意性流程图。如图19所示，该方法1900包括：

步骤S1901：初始化多个隔离域。

其中，初始化隔离域的具体方法在图8所示的实施例已经做了详细说明，为了简洁，在此不再赘述。

步骤S1902：初始状态时，从隔离域0开始依次顺序访问所有的隔离域。

步骤S1903：所有隔离域完成一次访问后再重新从隔离域0开始下一轮访问。

步骤S1904：计算时延的平均值，得到单次隔离域切换的时延。

其中，每个隔离域都保护了128个内存页。

为了直观地比较各内存隔离域方案的切换性能，本申请实施例将上述五种隔离内存的方法(MPK、libmpk、lwC、VMFUNC，EMPK)分别应用于方法1900，所得到的不同方案的隔离域切换时延情况如表1所示。

表1不同方案的隔离域切换时延(单位：时钟周期)

隔离域数量	2	3	4	8	16	32	64
								MPK	28	29	28	30	-	-	-
libmpk	183	184	184	186	～13000	～13000	～13000
								lwC	～6000	～6000	～6000	～6000	～6000	～6000	～6000
VMFUNC	353	350	831	830	834	849	830
								EMPK	95	97	97	100	111	115	162

表1展示了不同方案下，隔离域切换时延的对比。由表1可知：

在MPK配置下，切换时间最低，但此方案无法支持超过15个隔离域(另外加上一个未保护的内存隔离域)；

libmpk在小于16个隔离域时，切换开销较低(约184个时钟周期)，但是一旦超过16个隔离域，时延会大大增加，因为更新所有页的页表项以及页表缓存失效操作非常耗时；

VMFUNC在小于等于3个隔离域时，切换开销约350个时钟周期。但超过3个隔离域后(一共使用大于等于4个扩展页表)，VMFUNC会产生超过800个时钟周期的时延，这是由于同时使用过多扩展页表导致页表缓存失效；

lwC在所有隔离域数量下都约造成6000个时钟周期的时延；

EMPK的时延比除MPK之外的方案都低，在使用2到8个内存隔离域时仅为97个时中周期。在隔离域增加到16个和32个时，EMPK时延略有上升，因为此时使用了两个扩展页表。而当使用大于等于64个隔离域(即大于等于4个扩展页表)，与VMFUNC性能下降类似，页表缓存失效也会使EMPK有所下降，但由于大部分隔离域切换仍然使用内存保护键寄存器，因此性能下降程度比VMFUNC低，约为162个时钟周期。

因此，与内存保护键技术相比，本申请提供的扩展内存隔离域的方法能支持超过16个隔离域。与虚拟可扩展技术相比，本申请提供的扩展内存隔离域的方法在隔离域超过16个时，切换时延有显著下降。与页表切换与扩展页表切换技术相比，本申请提供的扩展内存隔离域的方法在所有隔离域数量下，切换时延都有所下降。

示例二

本申请提供的示例二将可扩展内存隔离域运用在保护应用程序中的关键数据的过程中。本示例分别对两个应用程序的关键数据进行了保护。

第一个是广泛使用的服务器应用NGINX。该应用中一类关键的数据是SSL密钥，每个使用HTTPS协议与NGINX建立的链接都会使用一个独一无二的密钥。一旦该密钥泄漏，攻击者可以解密使用该密钥加密的数据。本测试中NGINX版本为1.12.1，使用300个客户端并发发送HTTPS请求到NGINX中访问不同大小的文件，服务端使用单线程处理。

第二个应用是Memcached键值存储应用。该应用支持多个客户的并发访问，每个客户有独立的存储空间。当客户存储了敏感数据时，对各客户存储空间进行隔离能够限制恶意用户通过攻击手段访问其它客户的敏感数据。本测试使用Memcached版本为1.6.9，客户端使用libMemcached执行SET和GET操作，键值大小分别为32字节和256字节， Memcached使用4个线程，客户的数量在测试中不断增加。

另外，上述两个应用都能利用本申请实施例提供的隔离域的亲和性设计(其具体解释在图9所示实施例中已作详细描述)。具体地：

通过NGINX应用处理多个客户端请求时，可以先处理多个使用同一扩展页表隔离的客户的请求；

通过Memcached应用处理多个客户端请求时，使用相同扩展页表隔离的客户端的请求会发送至同一线程处理，能够极大程度减少扩展页表的切换。

同样，为了直观地比较各内存隔离域方案的性能开销，本申请实施例将上述五种隔离内存的方法(MPK、libmpk、lwC、VMFUNC，EMPK)分别应用于本示例二提供的方法中。

图20示出了不同的隔离内存的方法分别在NGINX应用和Memcached应用中保护关键数据的性能表现图。

图20中的(a)展示了不同的隔离内存的方法下NGINX的性能被归一化到Native配置下的结果(横轴表示请求配置的大小，纵轴表示吞吐量)。在各请求大小配置下，EMPK 仅产生了4.3％到5.8％的额外开销。VMFUNC的开销约为11.0％到12.4％，比EMPK高出一倍。这是因为在EMPK配置中，NGINX能根据亲和性原理优先处理使用相同扩展页表的请求，有效地降低了开销。libmpk比VMFUNC额外开销更高(14.5％到18.9％)，这是因为libmpk在切换时引入了页表修改和页表缓存失效。

图20中的(b)和图20中的(c)分别展示了不同的隔离内存的方法下Memcached中SET操作和GET操作的吞吐量(横轴表示客户数量，纵轴表示吞吐量)。其中，由于libmpk 不支持多线程，因此本测试未包含libmpk的性能。

由图20中的(b)和图20中的(c)可知，当连接的客户数量小于等于60时，EMPK 仅在SET和GET中带来0.7％和2.9％的开销(GET开销更高是由于单次操作执行速度更快，更容易暴露隔离域切换开销)。EMPK开销低的原因是Memcached在适配亲和性原理后，每个处理线程都不会引入扩展页表切换(4个处理线程每个各自处理15个隔离域，能够容纳在一个扩展页表当中)；当连接客户数量大于60后，EMPK性能略微降低，因为访问隔离域内存可能引入扩展页表切换。VMFUNC由于切换时延较长并且使用过多扩展页表导致的页表缓存缺失，最多产生了34％的开销。而lwC则由于切换时延最长，引入了相对最多的额外开销。

因此，在本示例提供的两个应用中，本申请实施例提供的可扩展内存隔离域的方法能够提供更大的吞吐量，进而能够减少应用在隔离域相关操作过程中的处理时延。

示例三

本申请提供的示例三将可扩展内存隔离域运用在了保护非易失性内存数据结构。非易失性内存数据结构通常被映射到用户态地址空间访问，如果不加以保护，用户态的内存访问错误极易破坏持久化的数据，因此需要使用进程内隔离机制限制对非易失性内存的访问，提升其可靠性。本实施例对B+树和哈希表两个数据结构进行了保护。B+树测试配置了多个B+树，每个B+树被隔离在一个隔离域中，每个树最多拥有32个子节点，初始时有500000个键值对，每个B+树大致消耗128MB内存，测试为查询和插入操作(比例1:1)，隔离的B+树数量作为自变量。类似的，哈希表测试配置了多个哈希表，每个哈希表位于一个隔离域中，该测试固定使用32个哈希表，执行查询和插入操作，插入的键值对大小逐渐变大，使哈希表消耗不同大小的隔离域内存。

应注意：本测试中lwC性能永远低于VMFUNC的性能，因此省略了lwC的数据。

图21示出了不同的隔离内存的方法在B+树和哈希表中保护非易失性内存数据的性能表现图。

图21中的(a)展示了使用不同数量隔离域的B+树性能表现。由图21中的(a)可知，在小于16个隔离域时，EMPK和libmpk都仅会引入少量额外开销(EMPK最多7％)，因为此时两者都只使用保护键切换隔离域。但是在超过16个隔离域后，随着隔离域数量的增加，libmpk会引入极其严重的性能开销(在128个隔离域时下降99.8％)，因为每个 B+树消耗内存较多，修改页表引入大量内存访问。VMFUNC性能开销也一直高于EMPK，在隔离域数量增加后差距逐渐降低，这是因为在没有利用亲和性的情况下，EMPK的扩展页表切换频率随着隔离域数量增加上升较多。

图21中的(b)展示了使用不同大小隔离域的哈希树性能表现。由图21中的(b)可知，EMPK一直保持较低的额外开销，随着隔离域内存大小的上升性能损失进一步降低，这是因为单次操作的时延有所上升，相对额外开销即降低。VMFUNC由于切换时延较高，在隔离域较小(即单次操作较快)时会引入明显的性能损失。libmpk与EMPK和VMFUNC 不同，由于其涉及了更多的页表项修改，所以随着隔离域内存大小上升，性能损失逐渐增加。

另外，本实施例还使用B+树作为后端存储运行TPC-C(transaction processingperformance council benchmark C)事务基准测试，每个仓库(warehouse)的数据存储在一个隔离域中。该测试每个warehouse大约占用400MB内存。其中7.2％的执行事务会访问多个warehouse中的数据。在此测试中，libmpk和VMFUNC不支持同时访问多个隔离域，因此EMPK不与其进行性能对比。当EMPK使用32个隔离域时，会引入3.2％的额外开销，其中，大部分开销是进入内核处理虚拟机异常所导致。其中，TPC-C的中文全称可以是事务处理性能委员会基准C。

因此，相比较于上述四种方案，本申请实施例提供的扩展内存隔离域的方法具有更好的可扩展性。具体地：一方面，在隔离域内存规模增大时，EMPK避免了现有方案可能引入的严重性能损失；另一方面，现有方案不支持同时访问多个隔离域，而EMPK支持同时访问多个隔离域。

应理解：本申请实施例提供的方案中所述的保护键是指隔离域内存的保护键，而不是物理保护键。

本申请实施例还提供一种计算机可读介质，该计算机可读介质存储有程序代码，当该计算机程序代码在计算机上运行时，使得该计算机执行上述图8至图18中的任一种方法。

本申请实施例还提供一种芯片，包括：至少一个处理器和存储器，该至少一个处理器与该存储器耦合，用于读取并执行该存储器中的指令，以执行上述图8至图18中的任一种方法。

本申请实施例还提供一种电子设备，该电子设备包括如图7所示的扩展内存隔离域的装置，以执行上述图8至图18中的任一种方法。

本申请实施例还提供一种电子设备，包括：至少一个处理器和存储器，该至少一个处理器与该存储器耦合，用于读取并执行该存储器中的指令，以执行上述图8至图18中的任一种方法。

以上各个实施例可以单独使用，也可以相互结合使用，以实现不同的技术效果。

本申请提供的扩展内存隔离域的方法可以用于加速微内核中进程间通信。微内核中应用与用户态系统服务的进程间通信时延较长，系统服务之间也可能有进程间通信(如文件系统与硬盘设备驱动)。因此可以考虑将应用和系统服务部署在本申请提供的隔离域环境中，用隔离域切换替换原有的进程间通信以提升整体性能。另外系统服务间耦合关系可以适配于本申请的亲和性，如文件系统和硬盘设备驱动相互有频繁切换，可以部署在同一扩展页表中，而网络栈服务则难以与硬盘设备驱动交互，可以使用不同扩展页表。

本文中所描述的模块或单元的一个或多个可以软件、硬件或二者结合来实现。当以上任一模块或单元以软件实现的时候，所述软件以计算机程序指令的方式存在，并被存储在存储器中，处理器可以用于执行所述程序指令并实现以上方法流程。所述处理器可以包括但不限于以下至少一种：中央处理单元(central processing unit，CPU)、微处理器、数字信号处理器(DSP)、微控制器(microcontroller unit，MCU)、或人工智能处理器等各类运行软件的计算设备，每种计算设备可包括一个或多个用于执行软件指令以进行运算或处理的核。该处理器可以内置于SoC(片上系统)或专用集成电路(applicationspecificintegrated circuit，ASIC)，也可是一个独立的半导体芯片。该处理器内处理用于执行软件指令以进行运算或处理的核外，还可进一步包括必要的硬件加速器，如现场可编程门阵列(field programmable gate array，FPGA)、PLD(可编程逻辑器件)、或者实现专用逻辑运算的逻辑电路。

当本文中所描述的模块或单元以硬件实现的时候，该硬件可以是CPU、微处理器、DSP、MCU、人工智能处理器、ASIC、SoC、FPGA、PLD、专用数字电路、硬件加速器或非集成的分立器件中的任一个或任一组合，其可以运行必要的软件或不依赖于软件以执行以上方法流程。

当本文中所描述的模块或单元使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘(solid statedisk，SSD)) 等。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及方法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

1.一种扩展内存隔离域的方法，其特征在于，所述方法包括：

分配多个隔离域的内存，所述多个隔离域与N个保护键具有对应关系，且所述多个隔离域与M个扩展页表具有对应关系，其中，N和M为正整数，且N和M中至少一方的数量大于1；

当允许第一应用程序访问第一隔离域的内存时，根据所述对应关系，确定所述第一隔离域对应的第一保护键和第一扩展页表，所述多个隔离域包括所述第一隔离域，所述N个保护键包括所述第一保护键，所述M个扩展页表包括所述第一扩展页表；

根据所述第一保护键和所述第一扩展页表，开启所述第一隔离域的访问权限，以使得所述第一应用程序访问所述第一隔离域的内存。

2.根据权利要求1所述的方法，其特征在于，所述开启所述第一隔离域的访问权限，包括：

当所述第一扩展页表与当前的扩展页表相同时，通过设置保护键寄存器开启所述第一隔离域的访问权限；

或，

当所述第一扩展页表与当前的扩展页表不相同时，将所述当前的扩展页表切换为所述第一扩展页表，并通过设置保护键寄存器开启所述第一隔离域的访问权限。

3.根据权利要求1或2所述的方法，其特征在于，所述分配多个隔离域的内存包括分配所述第一隔离域的内存，所述分配所述第一隔离域的内存，包括：

根据所述对应关系确定所述第一隔离域对应的第一保护键和所述第一隔离域对应的第一扩展页表；

确定所述第一扩展页表是否已经存在；

当确定所述第一扩展页表已经存在时，在所述第一扩展页表中建立到所述内存的映射，并在页表中设置所述内存的保护键，所述页表为客户机内核中的页表；

或，

当确定所述第一扩展页表不存在时，初始化所述第一扩展页表，并在初始化后的所述第一扩展页表中建立到所述内存的映射，并在页表中设置所述内存的保护键，所述页表为客户机内核中的页表。

4.根据权利要求1至3中任一项所述的方法，其特征在于，所述方法还包括：

当结束访问所述第一隔离域的内存时，通过设置所述保护键寄存器取消所述第一隔离域的访问权限。

5.根据权利要求1至4中任一项所述的方法，其特征在于，在所述分配多个隔离域的内存之前，所述方法还包括：

初始化所述隔离域。

6.根据权利要求5所述的方法，其特征在于，所述初始化所述隔离域，包括：

生成所述隔离域的标识ID；

为所述隔离域的ID分配所述保护键和所述扩展页表；

记录所述隔离域的ID到所述保护键和所述扩展页表的映射。

7.根据权利要求6所述的方法，其特征在于，所述为所述隔离域的ID分配所述保护键和所述扩展页表，包括：

确定所述当前的扩展页表是否能够容纳新的保护键；

当确定所述当前的扩展页表能够容纳新的保护键时，为所述隔离域的ID分配所述当前的扩展页表，并在所述当前的扩展页表中为所述隔离域的ID分配未使用的保护键；

或，

当确定所述当前的扩展页表不能容纳新的保护键时，为所述隔离域的ID分配新的扩展页表，并在所述新的扩展页表中为所述隔离域的ID分配未使用的保护键。

8.根据权利要求1至7中任一项所述的方法，其特征在于，所述访问所述第一隔离域的内存，包括：

确定是否触发虚拟机异常进入客户机内核；

当确定未触发虚拟机异常进入客户机内核时，访问所述第一隔离域的内存。

9.根据权利要求1至8中任一项所述的方法，其特征在于，所述访问所述第一隔离域的内存，包括：

确定是否触发虚拟机异常进入客户机内核；

当确定触发虚拟机异常进入客户机内核时，进一步确定所述第一隔离域的内存是否被允许访问；

当确定所述第一隔离域的内存被允许访问时，在所述客户机内核中将所述扩展页表和所述保护键切换至所述第一扩展页表和所述第一保护键；

访问所述第一隔离域的内存。

10.根据权利要求9所述的方法，其特征在于，所述确定所述第一隔离域的内存是否被允许访问，包括：

生成并维护允许访问的隔离域列表；

根据所述允许访问的隔离域列表确定所述第一隔离域的内存是否被允许访问。

11.根据权利要求1至10中任一项所述的方法，其特征在于，所述方法还包括：

释放所述隔离域的内存。

12.根据权利要求11所述的方法，其特征在于，所述释放所述隔离域的内存，包括：

根据所述对应关系确定所述内存对应的保护键和所述隔离域对应的扩展页表；

在所述页表中去除所述内存对应的保护键；

在所述扩展页表中去除到所述内存的映射。

13.根据权利要求1至12中任一项所述的方法，其特征在于，所述方法还包括：

释放所述隔离域。

14.根据权利要求11所述的方法，其特征在于，所述释放所述隔离域，包括：

根据所述对应关系确定所述隔离域对应的保护键和所述隔离域对应的扩展页表；

标记所述隔离域对应的保护键为未分配状态；

释放所述隔离域的ID。

15.根据权利要求1至14中任一项所述的方法，其特征在于，所述多个隔离域共用一个所述保护键，所述多个隔离域对应的扩展页表不同。

16.一种电子设备，其特征在于，包括：

一个或多个处理器；

一个或多个存储器；

以及一个或多个计算机程序，其中所述一个或多个计算机程序被存储在所述一个或多个存储器中，所述一个或多个计算机程序包括指令，当所述指令被所述一个或多个处理器执行时，使得所述电子设备执行如权利要求1至15中任一项所述的方法。

17.一种计算机可读存储介质，其特征在于，所述存储介质中存储有程序或指令，当所述程序或指令被运行时，实现如权利要求1至15中任一项所述的方法。

18.一种芯片，其特征在于，包括：

一个或多个处理器；

一个或多个存储器，所述一个或多个处理器与所述一个或多个存储器耦合，用于读取并执行所述一个或多个存储器中的指令，以执行如权利要求1至15中任一项所述的方法。