WO2019148948A1 - 一种内核完整性保护方法及装置 - Google Patents

Abstract

本发明实施例涉及一种内核完整性保护方法及装置，该方法包括：第一运行空间中运行的第一处理模块向第二运行空间中运行的第二处理模块发送请求消息，所述请求消息用于请求进行内存访问，所述内存访问涉及对预设寄存器的访问和/或对预设内存空间的访问；第二运行空间中运行的第二处理模块响应于所述请求消息，获取所述内存访问对应的事件的信息，并将所述信息发送给所述第一运行空间中运行的第一处理模块；所述第一运行空间中运行的第一处理模块根据所述信息对所述事件进行处理，从而能够做到动态对内核完整性实施度量，进而实现实时的入侵终止。

Description

一种内核完整性保护方法及装置

本申请要求于2018年03月02日提交中国专利局、申请号为201810173059.9、申请名称为“基于芯片虚拟化技术的内核完整性保护方法”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

本申请要求于2018年02月02日提交中国专利局、申请号为PCT/CN2018/075086、申请名称为“数据保护方法和数据保护装置”的PCT专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及电子设备领域，尤其涉及一种内核完整性保护方法及装置。

背景技术

操作系统安全性是计算设备系统安全性不可或缺的一部分，在操作系统中，系统内核获得处理器执行权限后，内核中恶意代码的执行通常无法被干涉，因此通常的内核完整性检测只能做到静态对内核完整性实施度量，而这样的度量要不就是恶意入侵可能还没发生，要不就是恶意入侵已经得手，都无法实现实时的入侵终止。

为了实现实时的入侵终止，大多数的内核完整性保护方法本身需要在内核中实现必要功能模块或在内核中设置钩子(hook)程序实现对内核入侵的检查和保护。比如返回地址保护(return address protection，RAP)，控制流完整性(control flow integrity，CFI)保护，栈溢出保护等。由于增加的功能模块或程序与内核处于同一层，因此，这种方法本身内核的完整性就无法保证，并且某种意义上这些方案本身就破坏了内核的完整性。在内核存在漏洞的情况，现有保护技术有被绕过或破解的可能。检查代码存在于内核中，对系统的性能和功耗影响较大。

因此，需要提出一种安全性更高的内核完整性保护方法来保护内核。

发明内容

本发明实施例提供了一种内核完整性保护方法及装置，能够做到动态对内核完整性实施度量，进而实现实时的入侵终止，安全性更高。

第一方面，提供了一种内核完整性保护方法。所述内核完整性保护方法由内核完整性保护装置执行，所述内核完整性保护装置中包括处理器执行单元，所述处理器执行单元划分的运行空间包括第一运行空间和第二运行空间，所述第二运行空间的异常级别高于所述第一运行空间的异常级别；所述内核完整性保护方法包括：所述第一运行空间中运行的第一处理模块向所述第二运行空间中运行的第二处理模块发送请求消息，所述请求消息用于请求进行内存访问，所述内存访问涉及对预设寄存器的访问和/或对预设内存空间的访问；所述第二运行空间中运行的第二处理模块响应于所述请求消息，获取所述内存访问对应的事件的信息；所述第二运行空间中运行的第二处理模 块将所述信息发送给所述第一运行空间中运行的第一处理模块；所述第一运行空间中运行的第一处理模块根据所述信息对所述事件进行处理。

本发明实施例中，由于第二运行空间的异常级别高于第一运行空间的异常级别，且第一运行空间中的第一处理模块需要进行特定的内存访问时，需要经过第二运行空间中的第二处理模块的授权，这使得第一运行空间中的第一处理模块不能随意访问寄存器和/或内存空间，并且所述第二运行空间中运行的第二处理模块确定校验结果为所述内存访问不合法时，进一步通知所述第一运行空间中运行的第一处理模块对攻击事件进行处理，从而能够做到动态对内核完整性实施度量，进而实现实时的入侵终止，安全性更高。

在一种可能的实施方式中，所述第一运行空间为内核空间，所述第一处理模块为操作系统，所述第二运行空间为超级管理空间或安全监视空间。

可以理解的是，超级管理空间或安全监视空间比内核空间的异常级别高，从而可以当超级管理空间或安全监视空间的处理模块检测出内核空间运行的操作系统受到攻击时，指示操作系统对攻击事件进行处理。此外，超级管理空间或安全监视空间的权限比内核空间要高，内核空间受到攻击执行流会自动转换到超级管理空间或安全监视空间。为了实现这种自动转换可以在处理器启动的初期进行配置，即处理器处于超级管理空间或安全监视空间的时候进行配置，当内核空间运行操作系统后，由于超级管理空间或安全监视空间对于应用程序不存在接口，仅有异常处理接口，因此，超级管理空间或安全监视空间无法入侵，安全性高。

在一种可能的实施方式中，所述对预设寄存器的访问，包括：对系统控制寄存器的读或写。根据该实施方式，能够防止对预设寄存器的恶意篡改。

在一种可能的实施方式中，所述对预设内存空间的访问，包括：修改内核代码段、关闭内存管理单元(memory management unit，MMU)、修改内核页表和修改用户页表中的至少一项。根据该实施方式，能够实现对多种试图修改内核的操作进行检测。可以理解的是，检测的操作可以但不限于包括上述至少一种操作。

在一种可能的实施方式中，所述处理器执行单元划分的运行空间还包括第三运行空间，所述第三运行空间的异常级别低于所述第一运行空间的异常级别；所述第一运行空间中运行的第一处理模块根据所述信息对所述事件进行处理，包括：所述第一运行空间中运行的第一处理模块根据所述信息向所述第三运行空间中运行的第三处理模块发送信号，所述信号用于杀掉所述事件对应的进程。根据该实施方式，对攻击进行处理的方式可以包括杀掉攻击进程，从而实现实时的入侵终止。

在一种可能的实施方式中，所述处理器执行单元划分的运行空间还包括第三运行空间，所述第三运行空间的异常级别低于所述第一运行空间的异常级别；所述第一运行空间中运行的第一处理模块根据所述信息对所述事件进行处理，包括：所述第一运行空间中运行的第一处理模块根据所述信息向所述第三运行空间中运行的第四处理模块上报日志，所述日志包括所述信息。根据该实施方式，对攻击进行处理的方式可以包括向第三运行空间上报攻击日志，以便对攻击信息进行记录，便于后续对攻击信息的统计分析及进一步的处理。

在一种可能的实施方式中，所述方法还包括：所述第三运行空间中运行的第四处 理模块将所述日志上传到云端服务器；所述第三运行空间中运行的第四处理模块从所述云端服务器接收安全策略或补丁。根据该实施方式，第三运行空间中运行的第四处理模块从云端服务器接收安全策略或补丁后，不仅可以实现实时的入侵终止，而且可以防止后续发生类似的攻击。

在一种可能的实施方式中，所述第三运行空间为用户程序空间。根据该实施方式，可以保证对攻击事件的处理用户可见。

在一种可能的实施方式中，所述信息包括攻击类型、攻击进程的名字和端口号中的至少一项。可以理解的是，上述攻击信息可以通过读取特定寄存器获取。根据该实施方式，通过对多种攻击信息的统计分析，从而可以优化安全策略或补丁。

电子设备上的操作系统中的运行数据都是使用内存进行存储。这些运行数据中有的重要是需要保护的，即不能被随意更改的。

一般来说，这些不可更改的数据被更改的话，会导致电子设备故障或者信息安全漏洞。

例如，电子设备上的操作系统中的重要数据被恶意更改的话，会导致操作系统运行错误，从而导致电子设备故障或者信息安全漏洞。

现有的电子设备中，重要数据可以通过如下方式来保护：操作系统将重要数据所在的内存的属性设置为只读，以保护这些重要数据不被恶意修改。

但这种保护方法的安全性较低。例如，恶意软件获取操作系统的管理权限之后，就可以去掉操作系统设置的内存的只读属性，从而可以修改这些重要数据。

因此，需要提出一种安全性更高的数据保护方法来保护数据。

在一种可能的实施方式中，所述内核完整性保护方法具体为数据保护方法，所述内核完整性保护装置具体为数据保护装置，该数据保护装置中包括所述处理器执行单元和内存管理单元，该数据保护方法包括：

第一运行空间中运行的第一处理模块向内存管理单元发送第一消息，第一消息用于请求修改第一内存的属性；

内存管理单元向第二运行空间中运行的第二处理模块发送第二消息，第二消息用于请求确定第一内存是否是受保护的；

第二运行空间中运行的第二处理模块根据预先获取的内存保护表，确定第一内存是否是受保护的；

第二运行空间运行的第二处理模块向内存管理单元发送第三消息，第三消息用于指示是否修改第一内存的属性；

若第三消息用于指示修改第一内存的属性，则内存管理单元根据第一消息修改第一内存的属性；若第三消息用于指示不修改第一内存的属性，则内存管理单元拒绝修改第一内存的属性。

该数据保护方法中，由于第二运行空间的异常级别高于第一运行空间的异常级别，且第一运行空间中的第一处理模块需要修改内存的属性时，需要经过第二运行空间中的第二处理模块的授权，这使得第一运行空间中的第一处理模块不能随意修改内存的属性，从而不能随意修改内存中的数据，最终有助于提高数据的安全性。

在一种可能的实现方式中，第二运行空间中运行的第二处理模块根据预先获取的 内存保护表，确定第一内存是否是受保护的之前，该数据保护方法还包括：

第一运行空间中的第一处理模块向第二运行空间中的第二处理模块发送第四消息，第四消息用于指示第一内存是否是受保护的；

第二运行空间中的第二处理模块根据第四消息生成内存保护表，内存保护表用于记录受保护的内存和/或不受保护的内存，受保护的内存包括用于存储受保护的数据的内存，不受保护的内存包括用于存储不受保护的数据的内存。

该实现方式中，可以由第一运行空间中的第一处理模块向第二运行空间中的第二处理模块指示哪些内存是受保护和/或哪些内存是不受保护的。

在一种可能的实现方式中，第二运行空间中运行的第二处理模块根据预先获取的内存保护表，确定第一内存是否是受保护的之前，该数据保护方法还包括：

第二运行空间中运行的第二处理模块确定第一内存用于存储受保护的数据或确定第一内存用于存储不受保护的数据；

第二运行空间中运行的第二处理模块生成内存保护表，内存保护表用于记录第一内存为受保护的内存或用于记录第一内存为不受保护的内存，受保护的内存包括用于存储受保护的数据的内存，不受保护的内存包括用于存储不受保护的数据的内存。

该实现方式中，受保护的内存和/或不受保护的内存可以是预先确定的。

在一种可能的实现方式中，第一运行空间为内核空间，第一处理模块为操作系统，所述第二运行空间为超级管理空间。其中，受保护的数据包括：操作系统在编译阶段写入内存的常量数据，操作系统在初始化阶段写入内存的常量数据。

在一种可能的实现方式中，数据保护装置为手机、平板电脑、服务器、个人电脑、网络路由器或交换机。

第二方面，提供了一种内核完整性保护装置，所述内核完整性保护装置中包括处理器执行单元，所述处理器执行单元划分的运行空间包括第一运行空间和第二运行空间，所述第二运行空间的异常级别高于所述第一运行空间的异常级别，所述第一运行空间用于运行第一处理模块，所述第二运行空间用于运行第二处理模块；

所述第一处理模块，用于向所述第二处理模块发送请求消息，所述请求消息用于请求进行内存访问，所述内存访问涉及对预设寄存器的访问和/或对预设内存空间的访问；

所述第二处理模块，用于响应于所述请求消息，获取所述内存访问对应的事件的信息，并将所述信息发送给所述第一运行空间中运行的第一处理模块；

所述第一处理模块，还用于根据所述信息对所述事件进行处理。

在一种可能的实施方式中，所述第一运行空间为内核空间，所述第一处理模块为操作系统，所述第二运行空间为超级管理空间或安全监视空间。

在一种可能的实施方式中，所述第一处理模块用于请求的所述对预设寄存器的访问，包括：

对系统控制寄存器的读或写。

在一种可能的实施方式中，所述第一处理模块用于请求的所述对预设内存空间的访问，包括：

修改内核代码段、关闭内存管理单元、修改内核页表和修改用户页表中的至少一 项。

在一种可能的实施方式中，所述处理器执行单元划分的运行空间还包括第三运行空间，所述第三运行空间的异常级别低于所述第一运行空间的异常级别；所述第三运行空间用于运行第三处理模块；

所述第一处理模块，具体用于根据所述信息向所述第三处理模块发送信号，所述信号用于杀掉所述事件对应的进程。

在一种可能的实施方式中，所述处理器执行单元划分的运行空间还包括第三运行空间，所述第三运行空间的异常级别低于所述第一运行空间的异常级别；所述第三运行空间用于运行第四处理模块；

所述第一处理模块，具体用于根据所述信息向所述第四处理模块上报日志，所述日志包括所述信息。

在一种可能的实施方式中，所述第四处理模块，还用于将所述日志上传到云端服务器；以及从所述云端服务器接收安全策略或补丁。

在一种可能的实施方式中，所述第三运行空间为用户程序空间。

在一种可能的实施方式中，所述攻击信息包括攻击类型、攻击进程的名字和端口号中的至少一项。

在一种可能的实施方式中，所述装置具体为数据保护装置，该数据保护装置中包括处理器执行单元和内存管理单元。

第一处理模块用于向内存管理单元发送第一消息，第一消息用于请求修改第一内存的属性；

内存管理单元用于向第二处理模块发送第二消息，第二消息用于请求确定第一内存是否是受保护的；

第二处理模块用于根据预先获取的内存保护表，确定第一内存是否是受保护的；

第二处理模块还用于向内存管理单元发送第三消息，第三消息用于指示是否修改第一内存的属性；

内存管理单元还用于：第三消息用于指示修改第一内存的属性时根据第一消息修改第一内存的属性，第三消息用于指示不修改第一内存的属性时拒绝修改第一内存的属性。

在一种可能的实现方式中，第一处理模块还用于向第二运行空间中的第二处理模块发送第四消息，第四消息用于指示第一内存是否是受保护的。

第二处理模块根据预先获取的内存保护表，确定第一内存是否是受保护的之前，还用于：根据第四消息生成内存保护表，内存保护表用于记录受保护的内存和/或不受保护的内存，受保护的内存包括用于存储受保护的数据的内存，不受保护的内存包括用于存储不受保护的数据的内存。

在一种可能的实现方式中，第二处理模块根据预先获取的内存保护表，确定第一内存是否是受保护的之前，还用于：

确定第一内存用于存储受保护的数据或确定第一内存用于存储不受保护的数据；

生成内存保护表，该内存保护表用于记录第一内存为受保护的内存或用于记录第一内存为不受保护的内存，受保护的内存包括用于存储受保护的数据的内存，不受保 护的内存包括用于存储不受保护的数据的内存。

在一种可能的实现方式中，第一运行空间为内核空间，第一处理模块为操作系统，第二运行空间为超级管理空间。其中，受保护的数据包括：操作系统在编译阶段写入内存的常量数据，操作系统在初始化阶段写入内存的常量数据。

在一种可能的实现方式中，数据保护装置为手机、平板电脑、服务器、个人电脑、网络路由器或交换机。

在一种可能的设计中，该内核完整性保护装置为系统芯片，该系统芯片包括处理器和输出接口，该处理器包括处理器执行单元，该输出接口用于在处理器执行单元涉及对预设寄存器的访问和/或对预设内存空间的访问时，向地址总线输出第一内存的物理地址。或者，该处理器还包括内存管理单元，该输出接口用于在内存管理单元修改第一内存的属性时，向地址总线输出第一内存的物理地址。

可选地，该内核完整性保护装置还可以包括存储器，该存储器用于存储处理器执行单元执行的程序代码、内核代码段、内核页表和用户页表等。或者，该存储器用于存储处理器执行单元执行的程序代码、受保护的数据和不受保护的数据等。

第三方面，本申请提供了一种计算机可读存储介质。该计算机可读存储介质中存储用于内核完整性保护装置执行的程序代码。该程序代码包括用于执行第一方面或第一方面中任意一种可能的实现方式中的内核完整性保护方法的指令。

第四方面，本申请提供了一种包含指令的计算机程序产品。当该计算机程序产品在内核完整性保护装置上运行时，使得内核完整性保护装置执行第一方面或第一方面中任意一种可能的实现方式中的内核完整性保护方法。

第五方面，本申请提供了一种数据保护装置，该数据保护装置中包括处理器执行单元和内存管理单元，处理器执行单元划分的运行空间包括内核空间和超级管理空间，超级管理空间的异常级别高于内核空间的异常级别。

内核空间中运行的操作系统用于向内存管理单元发送第一消息，第一消息用于请求修改第一内存的属性；

内存管理单元用于向超级管理空间中运行的关键数据保护模块发送第二消息，第二消息用于请求确定第一内存是否是受保护的；

关键数据保护模块用于根据预先获取的内存保护表，确定第一内存是否是受保护的；

关键数据保护模块还用于向内存管理单元发送第三消息，第三消息用于指示是否修改第一内存的属性；

内存管理单元还用于：第三消息用于指示修改第一内存的属性时根据第一消息修改第一内存的属性，第三消息用于指示不修改第一内存的属性时拒绝修改第一内存的属性。

在一种可能的实现方式中，操作系统还用于向关键数据保护模块发送第四消息，第四消息用于指示第一内存是否是受保护的。

关键数据保护模块根据预先获取的内存保护表，确定第一内存是否是受保护的之前，还用于：根据第四消息生成内存保护表，内存保护表用于记录受保护的内存和/或不受保护的内存，受保护的内存包括用于存储受保护的数据的内存，不受保护的内 存包括用于存储不受保护的数据的内存。

在一种可能的实现方式中，关键数据保护模块根据预先获取的内存保护表，确定第一内存是否是受保护的之前，还用于：

确定第一内存用于存储受保护的数据或确定第一内存用于存储不受保护的数据；

生成内存保护表，该内存保护表用于记录第一内存为受保护的内存或用于记录第一内存为不受保护的内存，受保护的内存包括用于存储受保护的数据的内存，不受保护的内存包括用于存储不受保护的数据的内存。

在一种可能的实现方式中，受保护的数据包括：操作系统在编译阶段写入内存的常量数据，操作系统在初始化阶段写入内存的常量数据。

附图说明

图1为本发明实施例提供的一种异常等级示意图；

图2为本发明实施例提供的一种内核完整性保护装置结构示意图；

图3为本发明实施例提供的另一种内核完整性保护装置结构示意图；

图4为本发明实施例提供的一种内核完整性保护方法流程图；

图5为本发明实施例提供的一种内核完整性保护方法的执行示意图；

图6为本发明实施例提供的另一种内核完整性保护装置结构示意图；

图7是本申请实施例的MMU进行地址映射的示意流程图；

图8是本申请另一个实施例的数据保护装置的示意性结构图；

图9是本申请另一个实施例的数据保护装置的示意性结构图；

图10是本申请一个实施例的数据保护方法的示意性流程图；

图11是本申请另一个实施例的数据保护方法的示意性流程图；

图12是本申请另一个实施例的数据保护方法的示意性流程图；

图13是本申请另一个实施例的数据保护方法的示意性流程图。

具体实施方式

可以应用本申请实施例的内核完整性保护方法和内核完整性保护装置的计算机可以是手机、平板电脑、服务器、个人电脑、网络路由器、可穿戴设备或交换机等电子设备。

可选地，作为一个实施例，内核完整性保护方法具体可以为数据保护方法，内核完整性保护装置具体可以为数据保护装置。

该计算机中可以包括处理器和存储器。处理器也可以称为中央处理单元(central processing unit，CPU)或中央处理器。

该计算机中的处理器的一种示例为精简指令系统(Advanced RISC Machines，ARM)处理器。该计算机中的存储器的示例为随机存取存储器(random access memory，RAM)或闪存(Flash)。其中，RAM也可以称为主存或者内存。存储器具有访问权限属性，例如只读、可写、可执行和不可访问。

该计算机的处理器中使用了虚拟化技术。虚拟化技术可以隐藏该计算机中的底层物理硬件，从而可以让多个各自独立运行的操作系统(operator system，OS)透明地 使用和共享该计算机的硬件资源。简单地说，虚拟化技术可以使得该计算机能并发运行多个OS。

该计算机中的处理器为程序代码提供了不同的权限级别来访问该计算机中的资源，以保护该计算机中的数据和阻止该计算机中发生恶意行为，从而确保该计算机的安全。

例如，如图1所示，ARM处理器中可以定义四种异常级别(Exception levels，EL)，分别为EL0、EL1、EL2和EL3。其中，数值越大的异常级别的等级越高，数值越小的异常级别的等级越低。例如，EL0的等级低于EL1的等级，EL1的等级低于EL2的等级，EL2的等级低于EL3的等级。当然，也可以是数值越大的异常级别的等级越低，数值越小的异常界别的等级越高，本申请实施例对此不作限制。

不同等级的异常级别对应不同等级的运行空间。异常级别的划分或者说运行空间的划分为处理器中所有操作状态的软件提供了逻辑分离的执行权限。应理解，本申请所说的异常级别与计算机科学中常见的等级保护域相似并且支持等级保护域中涉及的概念。

运行在这四种异常级别中每种异常级别下的软件的示例如下。普通的用户应用程序运行在EL0对应的运行空间中；操作系统内核，例如Linux或Windows，可以运行在EL1对应的运行空间中，操作系统内核通常被认为具有特权；管理程序(hypervisor)运行在EL2对应的运行空间中；低级别的固件，例如安全监视器运行在EL3对应的运行空间中。hypervisor也可以称为超级管理器。

管理程序在使能状态下可以为一个或多个操作系统内核提供虚拟化服务。

固件是处理器启动时运行的第一个东西。固件提供很多服务，例如，平台初始化、可信任操作系统的安装以及安全监视器的命令的路由等。

一般来说，一个软件(例如用户的应用程序，操作系统的内核或管理程序)占用一个单独的异常级别，或者说占用一个单独的运行空间。当然，也可以有例外。例如，内核管理程序，例如内核虚拟机(kernel virtual machine，KVM)，可以既运行在EL2对应的运行空间中，也可以运行在EL1对应的运行空间中。

该计算机的处理器中，CPU执行单元可以通过内存管理单元(memory management unit，MMU)来管理或访问存储器。例如，MMU可以执行地址映射以及提供内存访问授权等操作。

处理器中，不同异常级别对应的运行空间中运行的程序代码对存储器进行访问时，MMU进行不同的地址映射和不同的内存访问授权流程。

ARM处理器中包含如下几种类型的异常(exception)：

中断(interrupts)，主要由外设触发，是典型的异步异常。

中止(aborts)，可能是同步或异步异常。包括指令异常(取指令时产生)、数据异常(读写内存数据时产生)，可以由内存管理单元(memory management unit，MMU)产生(比如典型的缺页异常)，也可以由外部存储系统产生(通常是硬件问题)。

复位(reset)，被视为一种特殊的异常。

由异常触发指令触发的异常(exception generating instructions)。

当出现上述任意一种类型的异常时，需要根据异常级别进行异常处理。

ARM处理器中的异常处理过程包括硬件自动完成部分和软件部分，需要设置中断 向量，保存上下文，不同的异常类型的处理方式可能有细微差别。其中，用户态(EL0)不能处理异常，当异常发生在用户态时，异常级别(EL)会发生切换，默认切换到内核态(EL1)。

下面以图2所示的内核完整性保护装置200为例，介绍本申请提出的内核完整性保护方法。应理解，图2示出的内核完整性保护装置200仅是示例，本申请实施例的内核完整性保护装置还可包括其他模块或单元，或者包括与图2中的各个模块的功能相似的模块，或者并非要包括图2中所有模块。

图2所示的内核完整性保护装置200包括处理器210和存储器220。存储器220可以与处理器210交换数据。

存储器220的一种示例为随机存取存储器(random access memory，RAM)。RAM也可以称为主存或者内存。存储器220的另一种示例为闪存(Flash)。应理解，后续实施例中的内存可以替换为闪存。

处理器210的一种示例为中央处理单元(central processing unit，CPU)。CPU也可以称为中央处理器。

处理器210中可以包括CPU执行单元211、内存管理单元212和寄存器213。应理解，此处内存管理单元212和寄存器213集成在处理器210内只是一种示例，内存管理单元212和寄存器213也可以位于处理器210之外。

如图3所示，处理器210中定义了四种异常级别(exception level，EL)。或者可以说，CPU执行单元211执行的程序代码可以分为四种异常级别。这四个异常级别从低到高分别为EL0、EL1、EL2和EL3。EL0、EL1、EL2和EL3对应四个运行空间。

其中，EL0对应的运行空间为用户程序空间，用户程序空间用于运行用户程序。用户程序也可以称为应用程序。

EL1对应的运行空间为内核(kernel)空间，内核空间用于运行操作系统(operating system，OS)。内核空间中运行的操作系统也可以称为客户端(guest)操作系统。

EL2对应的运行空间为超级管理空间。超级管理空间用于运行管理程序(hypervisor)。hypervisor也可以称为虚拟机监视器(virtual machine monitor)。hypervisor是一种运行在物理硬件和操作系统之间的中间软件层,可允许多个操作系统和应用程序共享一套基础物理硬件。

从系统安全的角度来看，hypervisor的主要功能是内存管理和中断拦截，通过这两种方式，hypervisor可以很好地监控内核空间中的操作系统的运行。

hypervisor可以通过MMU 212的两阶段(stage 2)内存映射功能来实现内存管理。MMU212可以通过影子页表或EPT页表等技术来实现存储管理。

Hypervisor也可以通过对寄存器213的监控，防止恶意的篡改。

如图3所示，MMU 212接收到从用户程序空间或内核空间发送的虚拟地址(virtual address，VA)后，在阶段1(stage-1)，可以将内核空间中的操作系统或用户程序空间中的用户程序发送的地址映射到中间物理地址；在阶段2(stage-2)，可以将中间物理地址(immediate physical address，IPA)映射到内存芯片的地址。

其中，内核空间中的操作系统或用户程序空间中的用户程序发送的地址可以称为虚拟地址，或者说，操作系统或用户程序可见的地址为VA；内存芯片的真实地址称 为物理地址；VA映射至物理地址(physical address，PA)的过程中所使用的地址均可以称为IPA。

应注意的是，stage-2内存映射功能只对内核空间中运行的操作系统和用户程序空间中的用户程序有效。也就是说，内核空间中运行的操作系统和用户程序空间中的用户程序访问内存时才需要使用stage-2内存映射功能。

上面介绍的MMU 212的两阶段内存映射功能的实现方式仅是一种示例。MMU 212的两阶段内存映射功能的实现方式可以参考现有技术，此处不再赘述。

内存具有访问权限属性。为了描述方便，本申请实施例中将内存的访问权限属性简称为内存的属性。

内存的属性可以包括只读、可写、不可访问和可执行。其中，内存的属性为只读是指只能读取该内存中的内容，而不能修改该内存中的内容；内存的属性为可写是指即可以读取该内存中的内容，也可以修改该内存中的内容。

MMU 212接收内核空间中的操作系统或用户程序空间中的用户程序发送的地址后，可以根据该地址所对应的内存的属性来访问该地址对应的内存中的内容。

例如，若内核空间中的操作系统或用户程序空间中的用户程序请求MMU 212向某个地址对应的内存中写入数据，且该地址所对应的内存的属性为可写时，MMU212将该地址映射到内存的物理地址后，将该物理地址发送到地址总线，以便于数据写到该内存中。

例如，若内核空间中的操作系统或用户程序空间中的用户程序请求MMU 212向某个地址对应的内存中写入数据，但该地址所对应的内存的属性为只读时，MMU212拒绝该请求。MMU 212拒绝该请求的一种示例为进行异常提示。

数据保护装置200中，内核空间中运行的操作系统可以通过超级管理调用(hypervisor call，HVC)指令调用hypervisor。

EL3对应的安全监视(secure monitor)空间用于运行处理器的安全监控模块。

应理解，图3所示的处理器中的运行空间的划分仅是一种示例，处理器中可以划分更多或更少的运行空间，本申请对此不作限制。

本申请一个实施例的内核完整性保护方法的示意性流程图如图4所示。该内核完整性保护方法可以由内核完整性保护装置200执行。图4所示的内核完整性保护方法包括S410、S420、S430和S440。

应理解，图4示出了该内核完整性保护方法的步骤或操作，但这些步骤或操作仅是示例，本申请实施例还可以执行其他操作或者图4中的各个操作的变形。此外，图4中的各个步骤可以按照与图4呈现的不同的顺序来执行，并且有可能并非要执行图4中的全部操作。

S410，第一运行空间中运行的第一处理模块向第二运行空间中运行的第二处理模块发送请求消息，所述请求消息用于请求进行内存访问，所述内存访问涉及对预设寄存器的访问和/或对预设内存空间的访问。

在一种可能的实施方式中，所述第一运行空间为内核空间，所述第一处理模块为操作系统，所述第二运行空间为超级管理空间或安全监视空间。

可以理解的是，超级管理空间或安全监视空间比内核空间的异常级别高，从而可 以当超级管理空间或安全监视空间的处理模块检测出内核空间运行的操作系统受到攻击时，指示操作系统对攻击事件进行处理。此外，超级管理空间或安全监视空间的权限比内核空间要高，内核空间受到攻击执行流会自动转换到超级管理空间或安全监视空间。为了实现这种自动转换可以在处理器启动的初期进行配置，即处理器处于超级管理空间或安全监视空间的时候进行配置，当内核空间运行操作系统后，由于超级管理空间或安全监视空间对于应用程序不存在接口，仅有异常处理接口，因此，超级管理空间或安全监视空间无法入侵，安全性高。

在一种可能的实施方式中，所述对预设寄存器的访问，包括：对系统控制寄存器的读或写。根据该实施方式，能够防止对预设寄存器的恶意篡改。

在一种可能的实施方式中，所述对预设内存空间的访问，包括：修改内核代码段、关闭内存管理单元、修改内核页表和修改用户页表中的至少一项。根据该实施方式，能够实现对多种试图修改内核的操作进行检测。可以理解的是，检测的操作可以但不限于包括上述至少一种操作。

S420，所述第二运行空间中运行的第二处理模块响应于所述请求消息，获取所述内存访问对应的事件的信息。

在一个示例中，第二运行空间中运行的第二处理模块对所述内存访问进行合法性校验，并确定校验结果为所述内存访问不合法。

作为示例，第二运行空间中运行的处理模块根据预先获取的内存保护表，确定所述内存访问所访问的第一内存是否是受保护的，其中，内存保护表用于记录受保护的内存和/或不受保护的内存。受保护的内存可以理解为存储了受保护的数据。受保护的数据可以包括以下至少一种数据：操作系统的常量数据或操作系统在运行过程中生成的需要保护的数据。操作系统的常量数据可以包括以下至少一种数据：操作系统在编译阶段出现的常量数据和操作系统在初始化阶段出现的常量数据。从另一个角度来说，受保护的内存的解释可以包括：该内存的属性不可以从只读、不可访问、可执行中任意一种修改为可写；不受保护的内存的解释可以包括：该内存的属性可以从任意属性修改为其他任意属性。如果所述内存访问所访问的第一内存是否是受保护的，则更改内存属性就被认为是不合法的内存访问。

S430，第二运行空间中运行的第二处理模块将所述信息发送给所述第一运行空间中运行的第一处理模块。

在一种可能的实施方式中，所述信息包括攻击类型、攻击进程的名字和端口号中的至少一项。根据该实施方式，通过对多种攻击信息的统计分析，从而可以优化安全策略或补丁。

S440，第一运行空间中运行的第一处理模块根据所述信息对所述事件进行处理。

在一种可能的实施方式中，所述处理器执行单元划分的运行空间还包括第三运行空间，所述第三运行空间的异常级别低于所述第一运行空间的异常级别；所述第一运行空间中运行的第一处理模块根据所述信息对所述事件进行处理，包括：所述第一运行空间中运行的第一处理模块根据所述信息向所述第三运行空间中运行的第三处理模块发送信号，所述信号用于杀掉所述事件对应的进程。根据该实施方式，对攻击进行处理的方式可以包括杀掉攻击进程，从而实现实时的入侵终止。

在一种可能的实施方式中，所述处理器执行单元划分的运行空间还包括第三运行空间，所述第三运行空间的异常级别低于所述第一运行空间的异常级别；所述第一运行空间中运行的第一处理模块根据所述信息对所述事件进行处理，包括：所述第一运行空间中运行的第一处理模块根据所述信息向所述第三运行空间中运行的第四处理模块上报日志，所述日志包括所述信息。根据该实施方式，对攻击进行处理的方式可以包括向第三运行空间上报攻击日志，以便对攻击信息进行记录，便于后续对攻击信息的统计分析及进一步的处理。

在一种可能的实施方式中，所述方法还包括：所述第三运行空间中运行的第四处理模块将所述日志上传到云端服务器；所述第三运行空间中运行的第四处理模块从所述云端服务器接收安全策略或补丁。根据该实施方式，第三运行空间中运行的第四处理模块从云端服务器接收安全策略或补丁后，不仅可以实现实时的入侵终止，而且可以防止后续发生类似的攻击。

在一种可能的实施方式中，所述第三运行空间为用户程序空间。根据该实施方式，可以保证对攻击事件的处理用户可见。

可选地，作为一个实施例，所述内核完整性保护方法具体为数据保护方法，所述内核完整性保护装置具体为数据保护装置，所述数据保护装置中包括所述处理器执行单元和内存管理单元；

S410包括：

所述第一运行空间中运行的第一处理模块向所述内存管理单元发送第一消息，所述第一消息用于请求修改第一内存的属性；

所述内存管理单元向所述第二运行空间中运行的第二处理模块发送第二消息，所述第二消息用于请求确定所述第一内存是否是受保护的；

S420包括：

所述第二运行空间中运行的所述第二处理模块根据预先获取的内存保护表，确定所述第一内存是否是受保护的；

所述方法还包括：

所述第二运行空间运行的所述第二处理模块向所述内存管理单元发送第三消息，所述第三消息用于指示是否修改所述第一内存的属性；

若所述第三消息用于指示修改所述第一内存的属性，则所述内存管理单元根据所述第一消息修改所述第一内存的属性；若所述第三消息用于指示不修改所述第一内存的属性，则所述内存管理单元拒绝修改所述第一内存的属性。

在一个示例中，所述第二运行空间中运行的所述第二处理模块根据预先获取的内存保护表，确定所述第一内存是否是受保护的之前，所述数据保护方法还包括：

所述第一运行空间中的所述第一处理模块向所述第二运行空间中的所述第二处理模块发送第四消息，所述第四消息用于指示所述第一内存是否是受保护的；

所述第二运行空间中的所述第二处理模块根据所述第四消息生成所述内存保护表，所述内存保护表用于记录受保护的内存和/或不受保护的内存，所述受保护的内存包括用于存储受保护的数据的内存，所述不受保护的内存包括用于存储不受保护的数据的内存。

在一个示例中，所述第二运行空间中运行的所述第二处理模块根据预先获取的内存保护表，确定所述第一内存是否是受保护的之前，所述数据保护方法还包括：

所述第二运行空间中运行的所述第二处理模块确定所述第一内存用于存储受保护的数据或确定所述第一内存用于存储不受保护的数据；

所述第二运行空间中运行的所述第二处理模块生成所述内存保护表，所述内存保护表用于记录所述第一内存为受保护的内存或用于记录所述第一内存为不受保护的内存，所述受保护的内存包括用于存储受保护的数据的内存，所述不受保护的内存包括用于存储不受保护的数据的内存。

在一个示例中，所述第一运行空间为内核空间，所述第一处理模块为操作系统，所述第二运行空间为超级管理空间；

其中，所述受保护的数据包括：所述操作系统在编译阶段写入内存的常量数据，所述操作系统在初始化阶段写入内存的常量数据。

在一个示例中，所述数据保护装置为手机、平板电脑、服务器、个人电脑、网络路由器或交换机。

本发明实施例中，由于第二运行空间的异常级别高于第一运行空间的异常级别，且第一运行空间中的第一处理模块需要进行特定的内存访问时，需要经过第二运行空间中的第二处理模块的授权，这使得第一运行空间中的第一处理模块不能随意访问寄存器和/或内存空间，并且所述第二运行空间中运行的第二处理模块确定校验结果为所述内存访问不合法时，进一步通知所述第一运行空间中运行的第一处理模块对攻击事件进行处理，从而能够做到动态对内核完整性实施度量，进而实现实时的入侵终止，安全性更高。

在一个示例中，可以通过设置中断向量表的方式从内核层陷入到虚拟层或安全监控层。

默认情况下，在EL0和EL1下发生的异常(exception)会在EL1响应，本发明实施例中，通过配置EL2和EL3的相关寄存器，可以让异常(exception)在EL2或EL3响应。如配置EL2的HDCR_EL2和HCR_EL2以及EL3的SCR_EL3的相关位(bit)。

图5为本发明实施例提供的一种内核完整性保护方法的执行示意图，该实施例由虚拟层来检测发生在内核层的攻击事件，并上报给内核层，由内核层对该攻击事件进行处理。参照图5，打开虚拟内存监控开关(例如：对于ARMv8处理器来说可以为HCR_EL2)，通过对特定的寄存器读写进行监控，防止恶意的篡改，同时设置相应的内存陷入(trap)，对某些模糊的内存访问进行合法性校验。在设计中包括了寄存器监控、系统控制寄存器保护、内核代码段保护、内核页表防护、用户页表防护等模块。当内核层遭受攻击时，内核层会陷入(trap)到虚拟层，检测和上报攻击模块会捕获到内核层的这个攻击事件，然后，利用中断通讯模块将攻击类型、攻击进程的名字、进程号(ProcessID，PID)等信息发送给内核层的攻击处理模块，可以理解的是，针对不同的攻击类型，中断通讯模块还可以上报不同的附加信息，例如，修改代码段，尝试修改地址等不同攻击类型可以有不同的附加信息；攻击处理模块收到中断之后，会利用中断通讯模块读出虚拟层上报的攻击事件消息，然后发送信号给攻击进程，尝试杀掉攻击进程，最后上报攻击日志到日志引擎模块，记录攻击日志，并上传到云端服 务器进行大数据统计分析，云端服务器根据分析结果下发新的安全策略或补丁，以增强设备的安全性。其中，陷入(trap)是一种程序正常执行的流程，处理器检测到一些异常事件时，会暂停当前执行流程，改变处理器模式，并跳转到某个地址执行响应的代码。

图6是本申请一个实施例的内核完整性保护装置的示意性结构图。应理解，图6示出的内核完整性保护装置600仅是示例，本申请实施例的内核完整性保护装置还可包括其他模块或单元，或者包括与图6中的各个模块的功能相似的模块，或者并非要包括图6中所有模块。

内核完整性保护装置600中包括处理器执行单元610和内存管理单元620，处理器执行单元610划分的运行空间包括第一运行空间611和第二运行空间612，第二运行空间612的异常级别高于第一运行空间611的异常级别，所述第一运行空间611用于运行第一处理模块，第二运行空间612用于运行第二处理模块。

内核完整性保护装置600可以用于执行图4或图5所示的内核完整性保护方法中的内核完整性保护装置执行的步骤。

例如，所述第一处理模块，用于向所述第二处理模块发送请求消息，所述请求消息用于请求进行内存访问，所述内存访问涉及对预设寄存器的访问和/或对预设内存空间的访问；

所述第二处理模块，用于响应于所述请求消息，获取所述内存访问对应的事件的信息；并将所述信息发送给所述第一运行空间611中运行的第一处理模块；

所述第一处理模块，还用于根据所述信息对所述事件进行处理。

可选地，作为一个实施例，所述第一运行空间611为内核空间，所述第一处理模块为操作系统，所述第二运行空间612为超级管理空间或安全监视空间。

可选地，作为一个实施例，所述第一处理模块用于请求的所述对预设寄存器的访问，包括：

对系统控制寄存器的读或写。

可选地，作为一个实施例，所述第一处理模块用于请求的所述对预设内存空间的访问，包括：

修改内核代码段、关闭内存管理单元620、修改内核页表和修改用户页表中的至少一项。

可选地，作为一个实施例，所述处理器执行单元610划分的运行空间还包括第三运行空间，所述第三运行空间的异常级别低于所述第一运行空间的异常级别；所述第三运行空间用于运行第三处理模块；

所述第一处理模块，具体用于根据所述攻击信息向所述第三处理模块发送信号，所述信号用于杀掉所述事件对应的进程。

可选地，作为一个实施例，所述处理器执行单元610划分的运行空间还包括第三运行空间，所述第三运行空间的异常级别低于所述第一运行空间611的异常级别；所述第三运行空间用于运行第四处理模块；

所述第一处理模块，具体用于根据所述信息向所述第四处理模块上报日志，所述日志包括所述信息。

可选地，作为一个实施例，所述第四处理模块，还用于将所述日志上传到云端服务器；以及从所述云端服务器接收安全策略或补丁。

可选地，作为一个实施例，所述第三运行空间为用户程序空间。

可选地，作为一个实施例，所述信息包括攻击类型、攻击进程的名字和端口号中的至少一项。

可选地，作为一个实施例，所述装置600具体为数据保护装置，所述数据保护装置包括：所述处理器执行单元610和内存管理单元620；

所述第一处理模块，具体用于向所述内存管理单元620发送第一消息，所述第一消息用于请求修改第一内存的属性；

所述内存管理单元620用于向所述第二处理模块发送第二消息，所述第二消息用于请求确定所述第一内存是否是受保护的；

所述第二处理模块，具体用于根据预先获取的内存保护表，确定所述第一内存是否是受保护的；

所述第二处理模块还用于向所述内存管理单元发送第三消息，所述第三消息用于指示是否修改所述第一内存的属性；

所述内存管理单元620还用于：所述第三消息用于指示修改所述第一内存的属性时根据所述第一消息修改所述第一内存的属性，所述第三消息用于指示不修改所述第一内存的属性时拒绝修改所述第一内存的属性。

可选地，作为一个实施例，所述第一处理模块还用于向所述第二运行空间612中的所述第二处理模块发送第四消息，所述第四消息用于指示所述第一内存是否是受保护的；

所述第二处理模块根据预先获取的内存保护表，确定所述第一内存是否是受保护的之前，还用于：根据所述第四消息生成所述内存保护表，所述内存保护表用于记录受保护的内存和/或不受保护的内存，所述受保护的内存包括用于存储受保护的数据的内存，所述不受保护的内存包括用于存储不受保护的数据的内存。

可选地，作为一个实施例，所述第二处理模块根据预先获取的内存保护表，确定所述第一内存是否是受保护的之前，还用于：

确定所述第一内存用于存储受保护的数据或确定所述第一内存用于存储不受保护的数据；

生成所述内存保护表，所述内存保护表用于记录所述第一内存为受保护的内存或用于记录所述第一内存为不受保护的内存，所述受保护的内存包括用于存储受保护的数据的内存，所述不受保护的内存包括用于存储不受保护的数据的内存。

可选地，作为一个实施例，所述第一运行空间611为内核空间，所述第一处理模块为操作系统；

其中，所述受保护的数据包括：所述操作系统在编译阶段写入内存的常量数据，所述操作系统在初始化阶段写入内存的常量数据。

可选地，作为一个实施例，所述数据保护装置600为手机、平板电脑、服务器、个人电脑、网络路由器或交换机。

本发明实施例中，由于第二运行空间612的异常级别高于第一运行空间611的异 常级别，且第一运行空间611中的第一处理模块需要进行特定的内存访问时，需要经过第二运行空间612中的第二处理模块的授权，这使得第一运行空间611中的第一处理模块不能随意访问寄存器和/或内存空间，并且所述第二运行空间612中运行的第二处理模块确定校验结果为所述内存访问不合法时，进一步通知所述第一运行空间611中运行的第一处理模块对攻击事件进行处理，从而能够做到动态对内核完整性实施度量，进而实现实时的入侵终止，安全性更高。

在如下的实施例中，内核完整性保护方法具体为数据保护方法，内核完整性保护装置具体为数据保护装置。

例如，如图7所示，MMU为异常级别为EL0的应用程序与异常级别为EL1的操作系统执行两阶段的地址映射流程，为异常级别为EL3的管理程序和异常级别为EL4的安全监视器执行一个阶段的地址映射流程。

两阶段的地址映射流程中，在第一阶段，存储器的虚拟地址(virtual address，VA)转换为中间物理地址(immediate physical address，IPA)；在第二阶段，IPA被转换为物理地址(physical address，PA)。

第一阶段的地址转换中，MMU使用的转换表基址寄存器(translation table base registers，TTBR)的一种示例为TTBRn_EL1；第二阶段的地址转换中，MMU使用的转换表的基地址在虚拟化转化表基址寄存器(virtualization translation table base register，VTTBR)0_EL2中被指定。例如，在VTTBR0_EL2中指定存储器底部的一个连续的地址空间作为该转换表中的基地址。

一个阶段的地址映射流程中，MMU可以直接根据VA转换得到PA。其中，管理程序EL2和安全监督器EL3均有属于自己的一阶段转换的表格。管理程序EL2和安全监督器EL3通过各自对应的表格可以直接从虚拟地址转换到物理地址。管理程序EL2对应的转换表的基地址在TTNR0_EL2中指定，安全监督器EL3对应的转换表的基地址在TTNR0_EL3中指定。在这两个寄存器中，分别指定了存储器底部的一个连续的、且大小可变的地址空间作为管理程序EL2和安全监督器EL3的转换地址表的基地址。

应理解，上述提到的TTBRn_EL1、TTNR0_EL2和TTNR0_EL3仅是一种示例，在不同的资料中可能会引用不同的名称。

在上述两个阶段的地址映射流程中，第一个阶段通常在操作系统的控制下执行，第二个阶段通常在管理程序的控制下执行。

此处所述的在管理程序的控制下执行，可以理解为：管理程序确定可以访问该IPA或该IPA对应的VA时，才授权MMU进行IPA至PA的转换。

本申请实施例的数据保护方法主要是在上述第二个阶段的地址映射流程中，在管理程序的控制下实现的。具体地，计算机中预先存储内存保护表，该内存保护表中记录需要保护和/或不需要保护的存储器的地址信息，并在管理程序中添加处理模块，由该处理模块在内存保护表查询是否包括了操作系统或应用程序请求修改访问属性的存储器的地址信息。若该处理模块查询内存保护表后确定被请求修改访问属性的存储器为受保护的存储器，则拒绝MMU修改该存储器的访问属性。

内存保护表的一个示例如表1所示。表1中，既记录了受保护的内存，也记录了 不受保护的内存，第一列记录受保护的内存的虚拟地址，第二列记录不受保护的内存的虚拟地址。

表1内存保护表

受保护的内存的虚拟地址	不受保护的内存的虚拟地址
0x40000000-0x60000000	0x00000000-0x30000000

例如，计算机下载了恶意软件，或者浏览的网页中携带了恶意插件后，恶意软件或者

恶意插件对操作系统发起攻击，获取操作系统的管理权限，控制操作系统将虚拟地址为0x41115000至0x41116000的内存的访问属性从可写修改为只读，以便于恶意软件或恶意插件修改该内存中的数据时时，管理程序在MMU对该存储器的地址进行第二阶段的映射的过程中，从内存保护表中查询获知该存储器是受保护的，从而拒绝MMU进行第二阶段的地址映射流程，即拒绝恶意软件或恶意插件的攻击，保护了存储器中的数据。

可选地，管理程序拒绝恶意软件或恶意插件修改存储器的访问属性后，还可以发出受保护存储器受到攻击的提示信息，例如，弹出显示框或发送警报声等。

下面以图8所示的数据保护装置800为例，介绍本申请提出的数据保护方法。应理解，图8示出的数据保护装置800仅是示例，本申请实施例的数据保护装置还可包括其他模块或单元，或者包括与图8中的各个模块的功能相似的模块，或者并非要包括图8中所有模块。

图8所示的数据保护装置800包括处理器810和存储器820。存储器可以与处理器810交换数据。

存储器820的一种示例为随机存取存储器(random access memory，RAM)。RAM也可以称为主存或者内存。存储器820的另一种示例为闪存(Flash)。应理解，后续实施例中的内存可以替换为闪存。

处理器810的一种示例为中央处理单元(central processing unit，CPU)。CPU也可以称为中央处理器。

处理器810中可以包括CPU执行单元811和内存管理单元812。应理解，此处MMU集成在处理器810内只是一种示例，MMU也可以位于处理器810之外。

如图9所示，处理器810中定义了四种异常级别(exception level，EL)。或者可以说，CPU执行单元811执行的程序代码可以分为四种异常级别。这四个异常级别从低到高分别为EL0、EL1、EL2和EL3。EL0、EL1、EL2和EL3对应四个运行空间。

其中，EL0对应的运行空间为用户程序空间，用户程序空间用于运行用户程序。用户程序也可以称为应用程序。

EL1对应的运行空间为内核(kernel)空间，内核空间用于运行操作系统(operating system，OS)。内核空间中运行的操作系统也可以称为客户端(guest)操作系统。

EL2对应的运行空间为超级管理空间。超级管理空间用于运行管理程序(hypervisor)。hypervisor也可以称为虚拟机监视器(virtual machine monitor)。hypervisor是一种运行在物理硬件和操作系统之间的中间软件层,可允许多个操作系统和应用程序共享一套基础物理硬件。

从系统安全的角度来看，hypervisor的主要功能是内存管理和中断拦截，通过这两种方式，hypervisor可以很好地监控内核空间中的操作系统的运行。

hypervisor可以通过MMU 812的两阶段(stage 2)内存映射功能来实现内存管理。MMU 812可以通过影子页表或EPT页表等技术来实现存储管理。

如图9所示，MMU 812接收到从用户程序空间或内核空间发送的VA后，在阶段1(stage-1)，可以将内核空间中的操作系统或用户程序空间中的用户程序发送的地址映射到中间物理地址；在阶段2(stage-2)，可以将IPA映射到内存芯片的地址。

其中，内核空间中的操作系统或用户程序空间中的用户程序发送的地址可以称为虚拟地址，或者说，操作系统或用户程序可见的地址为VA；内存芯片的真实地址称为物理地址；VA映射至PA的过程中所使用的地址均可以称为IPA。

应注意的是，stage-2内存映射功能只对内核空间中运行的操作系统和用户程序空间中的用户程序有效。也就是说，内核空间中运行的操作系统和用户程序空间中的用户程序访问内存时才需要使用stage-2内存映射功能。

上面介绍的MMU 812的两阶段内存映射功能的实现方式仅是一种示例。MMU812的两阶段内存映射功能的实现方式可以参考现有技术，此处不再赘述。

内存具有访问权限属性。为了描述方便，本申请实施例中将内存的访问权限属性简称为内存的属性。

内存的属性可以包括只读、可写、不可访问和可执行。其中，内存的属性为只读是指只能读取该内存中的内容，而不能修改该内存中的内容；内存的属性为可写是指即可以读取该内存中的内容，也可以修改该内存中的内容。

MMU 812接收内核空间中的操作系统或用户程序空间中的用户程序发送的地址后，可以根据该地址所对应的内存的属性来访问该地址对应的内存中的内容。

例如，若内核空间中的操作系统或用户程序空间中的用户程序请求MMU 812向某个地址对应的内存中写入数据，且该地址所对应的内存的属性为可写时，MMU 812将该地址映射到内存的物理地址后，将该物理地址发送到地址总线，以便于数据写到该内存中。

例如，若内核空间中的操作系统或用户程序空间中的用户程序请求MMU 812向某个地址对应的内存中写入数据，但该地址所对应的内存的属性为只读时，MMU 812拒绝该请求。MMU 812拒绝该请求的一种示例为进行异常提示。

数据保护装置800中，内核空间中运行的操作系统可以通过超级管理调用(hypervisor call，HVC)指令调用hypervisor。

EL4对应的安全监视(secure monitor)空间用于运行处理器的安全监控模块。

应理解，图9所示的处理器中的运行空间的划分仅是一种示例，处理器中可以划分更多或更少的运行空间，本申请对此不作限制。

本申请提出的数据保护方法主要包括：低异常级别的运行空间中运行的程序代码请求修改内存的属性时，高异常级别的运行空间中运行的程序代码捕获该请求，并判断该内存是否为受保护的内存；若该内存为该受保护的内存，则高异常级别的运行空间中运行的程序代码拒绝这次修改。

本申请一个实施例的数据保护方法的示意性流程图如图10所示。该数据保护方法 可以由数据保护装置800执行。图10所示的数据保护方法包括S1010、S1020、S1030、S1040和S1050。

应理解，图10示出了该数据保护方法的步骤或操作，但这些步骤或操作仅是示例，本申请实施例还可以执行其他操作或者图10中的各个操作的变形。此外，图10中的各个步骤可以按照与图10呈现的不同的顺序来执行，并且有可能并非要执行图10中的全部操作。

S1010，第一运行空间中运行的处理模块向MMU发送第一消息，第一消息用于请求修改第一内存的属性。相应地，MMU接收该消息。

为了描述方便，第一运行空间中运行的该处理模块可以称为第一处理模块。第一内存是指第一消息请求修改属性的内存。

第一运行空间可以是图9中所示的用户程序空间或内核空间。第一运行空间为用户程序空间时，第一处理模块可以是用户程序；第一运行空间为内核空间时，第一处理模块可以是操作系统。

第一消息中可以包括第一内存的VA和第一内存的目标属性。也就是说，第一消息用于请求MMU将第一内存的属性修改为目标属性。第一内存的目标属性可以包括只读、可写、可执行和不可访问中至少一种。

请求将第一内存的目标属性修改可写的第一消息的一种实例为set_memory_RW；请求将第一内存的目标属性修改只读的第一消息的一种实例为set_memory_RO。

S1020，MMU向第二运行空间中运行的处理模块发送第二消息，第二消息用于请求该处理模块确定第一内存是否是受保护的，第二运行空间的异常级别高于第一运行空间的异常级别。相应地，第二运行空间中运行的处理模块接收第二消息。

为了描述方便，第二运行空间中运行的处理模块可以称为第二处理模块或者内核关键数据保护(kernel critical data protection)模块。第二处理模块或者内核关键数据保护模块可以是hypervisor中的处理模块。

第二运行空间可以为图9中所示的超级管理空间。

可选地，第二消息也可以理解为用于请求第二处理模块确定是否可以修改第一内存的属性，或者可以理解为用于请求第二处理模块确定第一内存中的数据是否是受保护的。

第二消息中可以包括第一内存的地址。例如，第二消息中可以包括第一内存的VA。

可选地，第二消息中包括的信息可以与第一消息中包括的信息相同。

S1030，第二运行空间中运行的处理模块根据预先获取的内存保护表，确定第一内存是否是受保护的，其中，内存保护表用于记录受保护的内存和/或不受保护的内存。

受保护的内存可以理解为存储了受保护的数据。受保护的数据可以包括以下至少一种数据：操作系统的常量数据或操作系统在运行过程中生成的需要保护的数据。操作系统的常量数据可以包括以下至少一种数据：操作系统在编译阶段出现的常量数据和操作系统在初始化阶段出现的常量数据。

从另一个角度来说，受保护的内存的解释可以包括：该内存的属性不可以从只读、不可访问、可执行中任意一种修改为可写；不受保护的内存的解释可以包括：该内存的属性可以从任意属性修改为其他任意属性。

内存保护表记录受保护的内存和/或不受保护的内存的一种实现方式可以包括：内存保护表中记录受保护的内存的地址和/或不受保护的内存的地址。

例如，内存保护表中可以记录受保护的内存的VA地址和/或不受保护的内存的VA地址。

在一种可能的实现方式中，内存保护表中可以仅记录受保护的内存。这种实现方式中，第二运行空间中运行的处理模块根据预先获取的内存保护表，确定第一内存是否是受保护的，可以包括：若内存保护表中记录的受保护的内存中包括了第一内存，则第二运行空间中运行的处理模块确定第一内存是受保护的；若内存保护中记录的受保护的内存中不包括第一内存，则第二运行空间中运行的处理模块确定第一内存是不受保护的。

在一种可能的实现方式中，内存保护表中可以仅记录不受保护的内存。这种实现方式汇总，第二运行空间中运行的处理模块根据预先获取的内存保护表，确定第一内存是否是受保护的，可以包括：若内存保护表中记录的不受保护的内存中不包括第一内存，则第二运行空间中运行的处理模块确定第一内存是受保护的；若内存保护中记录的不受保护的内存中包括第一内存，则第二运行空间中运行的处理模块确定第一内存是不受保护的。

在一种可能的实现方式中，内存保护表中可以既记录受保护的内存，也记录不受保护的内存。这种实现方式中，第二运行空间中运行的处理模块根据预先获取的内存保护表，确定第一内存是否是受保护的，可以包括：若内存保护表中记录的受保护的内存中包括第一内存，则第二运行空间中运行的处理模块确定第一内存是受保护的；若内存保护表中记录的不受保护的内存中包括第一内存，则第二运行空间中运行的处理模块确定第一内存是不受保护的。

S1040，第二运行空间中运行的处理模块向MMU发送第三消息，其中，第三消息用于指示MMU是否修改第一内存的属性。相应地，MMU接收第三消息。

例如，S1030中，若第二处理模块确定第一内存是不受保护的，则第三消息用于指示MMU修改第一内存的属性；若第二处理模块确定第一内存是受保护的，则第三消息用于指示MMU不修改第一内存的属性。

S1050，若第三消息用于指示MMU修改第一内存的属性，则MMU根据第一消息修改第一内存的属性；若第三消息用于指示MMU不修改第一内存的属性，则MMU拒绝修改第一内存的属性。

例如，若第三消息用于指示MMU修改第一内存的属性，且第一消息中包括第一内存的地址和第一内存的目标属性，则MMU将第一内存的属性修改为目标属性。

例如，若第三消息用于指示MMU不修改第一内存的属性，则MMU可以向第一处理模块返回异常操作提示。

图10所示的数据保护方法中，由于低异常级别的运行空间中运行的处理模块不能修改搞特别级别的运行空间中的代码逻辑和功能，因此，在低异常级别的运行空间中的处理模块的权限被恶意程序或外部装置获取的情况下，依然可以保护需要保护的重要数据，从而可以提高数据的安全性。

例如，即使操作系统管理员权限和账户被恶意程序获取的情况下，依然可以保护 操作系统中的重要数据，从而可以提高操作系统中的数据的安全性。

本申请另一个实施例中，用于辅助保护数据的方法的示意性流程图如图11所示。图11所示的方法可以包括S1110和S1120。该方法可以由数据保护装置800执行。

应理解，图11示出了该方法的步骤或操作，但这些步骤或操作仅是示例，本申请实施例还可以执行其他操作或者图11中的各个操作的变形。此外，图11中的各个步骤可以按照与图11呈现的不同的顺序来执行，并且有可能并非要执行图11中的全部操作。

S1110，第三运行空间中运行的处理模块向第二运行空间中运行的处理模块发送第四消息，第四消息用于指示第二内存是否应受到保护。相应地，第二运行空间中的处理模块接收第四消息。

其中，第三运行空间中可以是图9中所示的用户程序空间或内核空间。第二运行空间可以是图9中所示的超级管理空间。

可选地，第三运行空间与第一运行空间可以是同一运行空间。第二运行空间中运行的处理模块可以是第二处理模块或内核关键数据保护模块。

第四消息也可以理解为用于指示第二内存中存储的数据应受到保护，或者，可以理解为用于指示第二内存的属性不能从只读、可执行和不可访问中任意一种修改为可写，或者，可以理解为用于指示第二内存中存储的数据不应被修改。

应受到保护或不应被修改的数据可以包括以下至少一种数据：操作系统在编译阶段存储到内存中的常量数据，操作系统在初始化阶段存储到内存中的常量数据，操作系统或用户程序在运行阶段存储到内存中且不能被修改的数据。

第四消息中可以包括第二内存的地址。例如，第四消息中可以包括第二内存的VA。

在一种可能的实现方式中，第三运行空间中运行的处理模块向第二运行空间中运行的处理模块发送第四消息可以包括：第三运行空间中运行的处理模块调用第二运行空间中运行的处理模块，并在调用时，通过接口将第四消息传递给第二运行空间中运行的处理模块。

例如，内核空间中运行的操作系统可以通过HVC指令调用超级管理空间中运行的hypervisor，以便于hypervisor根据第四消息生成内存保护表。

S1120，第二运行空间中运行的处理模块根据第四消息得到内存保护表，该内存保护表用于记录受保护和/或不受保护的内存。其中，第二运行空间的异常级别高于第三运行空间的异常级别。

例如，内存保护表仅用于记录受保护的内存时，若第四消息用于指示第二内存应受保护，则第二运行空间中运行的处理模块可以将第二内存记录到内存保护表中；若第四消息用于指示第二内存不应受保护，则第二运行空间中运行的处理模块不会将第二内存记录到内存保护表中。

例如，内存保护表仅用于记录不受保护的内存时，若第四消息用于指示第二内存不应受保护，则第二运行空间中运行的处理模块可以将第二内存记录到内存保护表中；若第四消息用于指示第二内存应受保护，则第二运行空间中运行的处理模块不会将第二内存记录到内存保护表中。

例如，内存保护表既用于记录受保护的内存，又用于记录不受保护的内存时，若 第四消息用于指示第二内存应受保护，则第二运行空间中运行的处理模块可以将第二内存记录到内存保护表中，并标识第二内存为受保护的内存；若第四消息用于指示第二内存不应受保护，则第二运行空间中运行的处理模块可以将第二内存记录到内存保护表中，并标识第二内存为不受保护的内存。

本申请实施例的一个示例中包括：操作系统在编译阶段将常量数据写入内存，且将该内存的属性标识为只读后，通过HVC指令调用hypervisor，将该内存记录为受保护的内存。

本申请实施例的另一个示例中包括：操作系统在初始化阶段将常量数据写入内存，且将该内存的属性标识为只读后，通过HVC治疗调用hypervisor，将该内存记录为受保护的内存。

本申请实施例的另一个示例中包括：操作系统在运行阶段将数据写入内存，且将该内存的属性标识为只读后，通过HVC治疗调用hypervisor，将该内存记录为受保护的内存。

在本申请的一个实施例中，S1030中所使用的内存保护表可以通过图11所示的方法得到。换句话说，S1030中所使用的内存保护表可以是S1120中得到的内存保护表。

S1030中所使用的内存保护表为S1120中得到的内存保护表时，第二内存与第一内存可以是同一内存；第三运行空间与第一运行空间可以是相同的运行空间，也可以是不同的运行空间。

第三运行空间与第一运行空间是相同的运行空间时，第三运行空间中运行的处理模块与第一处理模块可以是相同的处理模块。例如，第一运行空间与第三运行空间均为内核空间，第三运行空间中运行的处理模块与第一处理模块均为操作系统。

例如，操作系统在编译阶段将常量数据或者在初始化阶段将常量数据或者在运行阶段将数据写入第一内存，且将第一内存的属性标识为只读后，可以通过HVC指令调用hypervisor，在内存保护表中记录第一内存为受保护的内存。这样，操作系统向MMU发送第一消息，请求修改第一内存的属性时，MMU可以向hypervisor发送第二消息，请求hypervisor确定第一内存是否是受保护的。由于内存保护表中记录了第一内存是受保护的内存，因此，hypervisor指示MMU不能修改第一内存的属性。

第三运行空间与第一运行空间不是相同的运行空间的一种示例为：第一运行空间为用户程序空间，第三运行空间为内核空间，第一处理模块为操作系统，第三运行空间中的处理模块为用户程序。

本申请又一个实施例中，用于辅助保护数据的方法的示意性流程图如图12所示。图12所示的方法可以包括S1210和S1220。该方法可以由数据保护装置800执行。

应理解，图12示出了该方法的步骤或操作，但这些步骤或操作仅是示例，本申请实施例还可以执行其他操作或者图12中的各个操作的变形。此外，图12中的各个步骤可以按照与图12呈现的不同的顺序来执行，并且有可能并非要执行图12中的全部操作。

S1210，第二运行空间中运行的处理模块确定第三内存用于存储受保护的数据和/或第四内存用于存储不受保护的数据。

或者可以说，第二运行空间中运行的处理模块确定哪些内存用于存储受保护的数 据和/或确定哪些内存用于存储不受保护的数据。用于存储受保护的数据的内存即为第三内存，用于存储不受保护的数据的内存即为第四内存。

第二运行空间可以是图9中所示的超级管理空间。

受保护的数据可以包括以下至少一种数据：操作系统在编译阶段存储到内存中的常量数据，操作系统在初始化阶段存储到内存中的常量数据，操作系统或用户程序在运行阶段存储到内存中且不能被修改的数据。

可选地，第三内存和/或第四内存可以是第二运行空间中运行的处理模块根据预先配置的信息确定的，该预先配置的信息中记录第三内存用于存储受保护的数据和/或第四内存用于存储不受保护的数据。

或者可以说，该预先配置的信息中记录了哪些内存是用于存储受保护的数据的，和/或记录了哪些内存是用于存储不受保护的数据的。

例如，数据保护装置800中可以预先为内核空间中的操作系统分配用于存储操作系统的常量数据的内存。由于操作系统的常量数据为需要保护的数据，因此，可以预先配置该内存为第三内存的信息。这样，第二运行空间中运行的处理模块可以根据该预先配置的信息确定出第三内存是用于存储受保护的数据的。

例如，该预先配置的信息中可以记录为操作系统的常量数据分配的内存的VA。这样，第二运行空间中运行的处理模块可以根据该预先配置的信息确定该VA对应的内存是用于存储受保护的数据的，即该内存为第三内存。

S1220，第二运行空间中运行的处理模块生成内存保护表，该内存保护表中记录第三内存为受保护的内存和/或第四内存为不受保护的内存。

例如，第二运行空间中运行的处理模块确定第三内存为用于存储受保护的数据的内存后，将第三内存记录到内存保护表中，并标识第三内存为受保护的内存。

例如，第二运行空间中运行的处理模块确定第四内存为用于存储不受保护的数据的内存后，将第四内存记录到内存保护表中，并标识第四内存为不受保护的内存。

在本申请的一个实施例中，S1030中所使用的内存保护表可以通过图12所示的方法得到。换句话说，S1030中所使用的内存保护表可以是S1220中得到的内存保护表。

S1030中所使用的内存保护表为S1220中得到的内存保护表时，第三内存与第一内存可以是同一内存，或者第四内存与第一内存可以是同一内存。

例如，操作系统在编译阶段将常量数据写入原先为该常量数据分配的第三内存，且操作系统将第三内存的属性标识为只读后，hypervisor可以在内存保护表中记录第三内存为受保护的内存。这样，操作系统向MMU发送第一消息，请求修改第三内存的属性时，MMU可以向hypervisor发送第二消息，请求hypervisor确定第三内存是否是受保护的。由于内存保护表中记录了第三内存是受保护的内存，因此，hypervisor指示MMU不能修改第三内存的属性。

本申请有一个实施例的数据保护方法的示意性流程图如图13所示。该数据保护方法包括S1310和S1320。

应理解，图13示出了该数据保护方法的步骤或操作，但这些步骤或操作仅是示例，本申请实施例还可以执行其他操作或者图13中的各个操作的变形。此外，图13中的各个步骤可以按照与图13呈现的不同的顺序来执行，并且有可能并非要执行图13中 的全部操作。

S1310，第四运行空间中的处理模块向第二运行空间中的处理模块发送第五消息，第五消息用于请求将第一数据写入第五内存，其中，第二运行空间的异常级别高于第四运行空间的异常级别。

第四运行空间可以是图9中所示的用户程序空间或内核空间，第二运行空间可以是图9中所示的超级管理空间。

第五消息中可以携带第一数据和第五内存的地址。例如，第五消息中可以携带第一数据和第五内存的VA。

第一数据可以包括以下至少一种数据：操作系统在编译阶段的常量数据，操作系统在初始化阶段的常量数据。

第五内存是用于存储第一数据的内存。

S1320，第二运行空间中运行的处理模块根据第五消息，将第一数据写入第五内存。

本申请实施例中，由于第四运行空间中的处理模块需要经过比其异常级别高的第二运行空间中的处理模块来修改内存中的数据，也就是说，第四运行空间中的处理模块不能直接修改内存中的数据，因此，该方法是可以提高数据的安全性的。

此外，与图10中的方法相比，本申请实施例中的方法可以修改内存中的数据，因此灵活性更高。

本申请实施例中，可选地，第二运行空间中运行的处理模块可以在第五消息是预先规定的模块发送的情况下，才根据第五消息的请求，将第一数据写入第五内存，以进一步提高数据的安全性，从而提高操作系统的安全性。

例如，仅在操作系统的补丁程序通过HVC指令调用hypervisor的情况下，hypervisor才将第一数据写入第五内存。

也就是说，在本申请实施例的一种实现方式中，S1320具体可以包括：第五消息由预先规定的处理模块向第二运行空间中运行的处理模块发送的情况下，第二运行空间中运行的处理模块根据第五消息的请求，将第一数据写入第五内存。

本申请另一个实施例中，图13所示的数据保护方法可以与图10至图12中至少一个所示的方法结合在一起使用。

例如，数据保护装置800可以通过图11和/或图12的方法生成内存保护表，然后可以通过图10所示的方法来判定内存是否是受保护，并可以通过图13所示的数据保护方法来修改数据。

若将图10所示的数据保护方法与图11所述的数据保护方法结合在一起使用，则第四运行空间与第一运行空间可以是同一个运行空间。

例如，第四运行空间与第一运行空间均可以为内核空间，第一运行空间中的处理模块可以是操作系统，第四运行空间中的处理模块可以是操作系统的补丁程序。

参照图6所示的本申请一个实施例的数据保护装置的示意性结构图。应理解，图6示出的数据保护装置600仅是示例，本申请实施例的数据保护装置还可包括其他模块或单元，或者包括与图6中的各个模块的功能相似的模块，或者并非要包括图6中所有模块。

数据保护装置600中包括处理器执行单元610和内存管理单元620，处理器执行 单元610划分的运行空间包括第一运行空间611和第二运行空间612，第二运行空间的异常级别高于第一运行空间的异常级别，所述第一运行空间用于运行第一处理模块，第二运行控制用于运行第二处理模块。

数据保护装置600可以用于执行图9至图13中任意一个所示的数据保护方法中的数据保护装置执行的步骤。

例如，第一处理模块用于向内存管理单元620发送第一消息，所述第一消息用于请求修改第一内存的属性。

内存管理单元620用于向第二处理模块发送第二消息，所述第二消息用于请求确定所述第一内存是否是受保护的。

第二处理模块用于根据预先获取的内存保护表，确定所述第一内存是否是受保护的。

第二处理模块向内存管理单元620发送第三消息，所述第三消息用于指示是否修改所述第一内存的属性。

所述内存管理单元用于：在所述第三消息用于指示修改所述第一内存的属性时，根据所述第一消息修改所述第一内存的属性；在所述第三消息用于指示不修改所述第一内存的属性，拒绝修改所述第一内存的属性。

可选地，第一处理模块具体用于向所述第二运行空间中的所述第二处理模块发送第四消息，所述第四消息用于指示所述第一内存是否是受保护的。

所述第二处理模块具体用于根据所述第四消息生成所述内存保护表，所述内存保护表用于记录受保护的内存和/或不受保护的内存，所述受保护的内存包括用于存储受保护的数据的内存，所述不受保护的内存包括用于存储不受保护的数据的内存。

可选地，所述第二处理模块具体用于：确定所述第一内存用于存储受保护的数据或确定所述第一内存用于存储不受保护的数据；生成所述内存保护表，所述内存保护表用于记录所述第一内存为受保护的内存或用于记录所述第一内存为不受保护的内存，所述受保护的内存包括用于存储受保护的数据的内存，所述不受保护的内存包括用于存储不受保护的数据的内存。

可选地，所述第一运行空间为内核空间，所述第一处理模块为操作系统；其中，所述受保护的数据包括：所述操作系统在编译阶段写入内存的常量数据，所述操作系统在初始化阶段写入内存的常量数据。

可选地，数据保护装置600中还可以包括存储器，该存储器用于存储处理器执行单元610执行的程序代码以及数据。

可选地，数据保护装置600可以为手机、平板电脑、服务器、个人电脑、网络路由器或交换机。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的装置 和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read-only memory，ROM)、随机存取存储器、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims (18)

1. 一种内核完整性保护方法，其特征在于，所述内核完整性保护方法由内核完整性保护装置执行，所述内核完整性保护装置中包括处理器执行单元，所述处理器执行单元划分的运行空间包括第一运行空间和第二运行空间，所述第二运行空间的异常级别高于所述第一运行空间的异常级别；

   所述内核完整性保护方法包括：

   所述第一运行空间中运行的第一处理模块向所述第二运行空间中运行的第二处理模块发送请求消息，所述请求消息用于请求进行内存访问，所述内存访问涉及对预设寄存器的访问和/或对预设内存空间的访问；

   所述第二运行空间中运行的第二处理模块响应于所述请求消息，获取所述内存访问对应的事件的信息；

   所述第二运行空间中运行的第二处理模块将所述信息发送给所述第一运行空间中运行的第一处理模块；

   所述第一运行空间中运行的第一处理模块根据所述信息对所述事件进行处理。
2. 如权利要求1所述的内核完整性保护方法，其特征在于，所述第一运行空间为内核空间，所述第一处理模块为操作系统，所述第二运行空间为超级管理空间或安全监视空间。
3. 如权利要求1所述的内核完整性保护方法，其特征在于，所述对预设寄存器的访问，包括：

   对系统控制寄存器的读或写。
4. 如权利要求1所述的内核完整性保护方法，其特征在于，所述对预设内存空间的访问，包括：

   修改内核代码段、关闭内存管理单元、修改内核页表和修改用户页表中的至少一项。
5. 如权利要求1至4中任一项所述的方法，其特征在于，所述处理器执行单元划分的运行空间还包括第三运行空间，所述第三运行空间的异常级别低于所述第一运行空间的异常级别；所述第一运行空间中运行的第一处理模块根据所述信息对所述事件进行处理，包括：

   所述第一运行空间中运行的第一处理模块根据所述信息向所述第三运行空间中运行的第三处理模块发送信号，所述信号用于杀掉所述事件对应的进程。
6. 如权利要求1至4中任一项所述的方法，其特征在于，

   所述处理器执行单元划分的运行空间还包括第三运行空间，所述第三运行空间的异常级别低于所述第一运行空间的异常级别；所述第一运行空间中运行的第一处理模块根据所述信息对所述事件进行处理，包括：

   所述第一运行空间中运行的第一处理模块根据所述信息向所述第三运行空间中运行的第四处理模块上报日志，所述日志包括所述信息。
7. 如权利要求6所述的方法，其特征在于，所述方法还包括：

   所述第三运行空间中运行的第四处理模块将所述日志上传到云端服务器；

   所述第三运行空间中运行的第四处理模块从所述云端服务器接收安全策略或补丁。
8. 如权利要求5至7中任一项所述的方法，其特征在于，所述第三运行空间为用户程序空间。
9. 如权利要求1至8中任一项所述的方法，其特征在于，所述信息包括攻击类型、攻击进程的名字和端口号中的至少一项。
10. 如权利要求1至9中任一项所述的内核完整性保护方法，其特征在于，所述内核完整性保护方法具体为数据保护方法，所述内核完整性保护装置具体为数据保护装置，所述数据保护装置中包括所述处理器执行单元和内存管理单元；

    所述第一运行空间中运行的第一处理模块向所述第二运行空间中运行的第二处理模块发送请求消息，所述请求消息用于请求进行内存访问，所述内存访问涉及对预设寄存器的访问和/或对预设内存空间的访问，包括：

    所述第一运行空间中运行的第一处理模块向所述内存管理单元发送第一消息，所述第一消息用于请求修改第一内存的属性；

    所述内存管理单元向所述第二运行空间中运行的第二处理模块发送第二消息，所述第二消息用于请求确定所述第一内存是否是受保护的；

    所述方法还包括：

    所述第二运行空间中运行的所述第二处理模块根据预先获取的内存保护表，确定所述第一内存是否是受保护的；

    所述第二运行空间运行的所述第二处理模块向所述内存管理单元发送第三消息，所述第三消息用于指示是否修改所述第一内存的属性；

    若所述第三消息用于指示修改所述第一内存的属性，则所述内存管理单元根据所述第一消息修改所述第一内存的属性；若所述第三消息用于指示不修改所述第一内存的属性，则所述内存管理单元拒绝修改所述第一内存的属性。
11. 根据权利要求10所述的数据保护方法，其特征在于，所述第二运行空间中运行的所述第二处理模块根据预先获取的内存保护表，确定所述第一内存是否是受保护的之前，所述数据保护方法还包括：

    所述第一运行空间中的所述第一处理模块向所述第二运行空间中的所述第二处理模块发送第四消息，所述第四消息用于指示所述第一内存是否是受保护的；

    所述第二运行空间中的所述第二处理模块根据所述第四消息生成所述内存保护表，所述内存保护表用于记录受保护的内存和/或不受保护的内存，所述受保护的内存包括用于存储受保护的数据的内存，所述不受保护的内存包括用于存储不受保护的数据的内存。
12. 根据权利要求10所述的数据保护方法，其特征在于，所述第二运行空间中运行的所述第二处理模块根据预先获取的内存保护表，确定所述第一内存是否是受保护的之前，所述数据保护方法还包括：

    所述第二运行空间中运行的所述第二处理模块确定所述第一内存用于存储受保护的数据或确定所述第一内存用于存储不受保护的数据；

    所述第二运行空间中运行的所述第二处理模块生成所述内存保护表，所述内存保护表用于记录所述第一内存为受保护的内存或用于记录所述第一内存为不受保护的内存，所述受保护的内存包括用于存储受保护的数据的内存，所述不受保护的内存包括 用于存储不受保护的数据的内存。
13. 根据权利要求11或12所述的数据保护方法，其特征在于，所述第一运行空间为内核空间，所述第一处理模块为操作系统，所述第二运行空间为超级管理空间；

    其中，所述受保护的数据包括：所述操作系统在编译阶段写入内存的常量数据，所述操作系统在初始化阶段写入内存的常量数据。
14. 根据权利要求10至13中任一项所述的数据保护方法，其特征在于，所述数据保护装置为手机、平板电脑、服务器、个人电脑、网络路由器或交换机。
15. 一种内核完整性保护装置，其特征在于，所述内核完整性保护装置中包括处理器执行单元，所述处理器执行单元划分的运行空间包括第一运行空间和第二运行空间，所述第二运行空间的异常级别高于所述第一运行空间的异常级别，所述第一运行空间用于运行第一处理模块，所述第二运行空间用于运行第二处理模块；

    所述第一处理模块，用于向所述第二处理模块发送请求消息，所述请求消息用于请求进行内存访问，所述内存访问涉及对预设寄存器的访问和/或对预设内存空间的访问；

    所述第二处理模块，用于响应于所述请求消息，获取所述内存访问对应的事件的信息，并将所述信息发送给所述第一运行空间中运行的第一处理模块；

    所述第一处理模块，还用于根据所述信息对所述事件进行处理。
16. 一种计算设备，其特征在于，所述计算设备包括存储器和处理器，所述存储器中存储有可执行代码，所述可执行代码用于实现内核完整性保护装置，所述内核完整性保护装置中包括处理器执行单元，所述处理器执行单元划分的运行空间包括第一运行空间和第二运行空间，所述第二运行空间的异常级别高于所述第一运行空间的异常级别，所述第一运行空间用于运行第一处理模块，所述第二运行空间用于运行第二处理模块；

    所述处理器执行所述可执行代码时，执行以下操作：

    控制所述第一处理模块向所述第二处理模块发送请求消息，所述请求消息用于请求进行内存访问，所述内存访问涉及对预设寄存器的访问和/或对预设内存空间的访问；

    控制所述第二处理模块响应于所述请求消息，获取所述内存访问对应的事件的信息，并将所述信息发送给所述第一运行空间中运行的第一处理模块；

    控制所述第一处理模块根据所述信息对所述事件进行处理。
17. 一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储用于内核完整性保护装置执行的程序代码，所述程序代码包括用于执行权利要求1至14中任一项所述的方法的指令。
18. 一种芯片，其特征在于，所述芯片用于实现内核完整性保护装置，所述内核完整性保护装置中包括处理器执行单元，所述处理器执行单元划分的运行空间包括第一运行空间和第二运行空间，所述第二运行空间的异常级别高于所述第一运行空间的异常级别，所述第一运行空间用于运行第一处理模块，所述第二运行空间用于运行第 二处理模块；

    所述芯片包括处理器，所述处理器用于执行以下操作：

    控制所述第一处理模块向所述第二处理模块发送请求消息，所述请求消息用于请求进行内存访问，所述内存访问涉及对预设寄存器的访问和/或对预设内存空间的访问；

    控制所述第二处理模块响应于所述请求消息，获取所述内存访问对应的事件的信息，并将所述信息发送给所述第一运行空间中运行的第一处理模块；

    控制所述第一处理模块根据所述信息对所述事件进行处理。

Images