WO2024082232A1 - 一种内存访问控制方法和装置 - Google Patents

Abstract

本申请公开了一种内存访问控制方法和装置，用于实现内存分区隔离，减少软件开销，降低内存隔离粒度。方法包括：为至少一个内存域配置内存标签；在运行至少一个内存域中的任意一个内存域如第一内存域之前，若第一内存域配置有内存标签，则释放第一内存域的内存标签；在确定第一内存域不具有内存标签后，运行第一内存域。该方案对应用程序无侵入式修改，不需要重新编译程序代码，不需要增加应用程序大小，可以降低实现成本；相比其它通过软件或硬件实现的内存隔离方案，可以减少性能开销，例如减少用户态和内核上下文切换开销；并且，可以实现细粒度的内存访问控制。

Description

一种内存访问控制方法和装置 技术领域

本申请涉及计算机安全领域，尤其涉及一种内存访问控制方法和装置。

背景技术

在开发应用时，软件复用是常用技术手段之一，即开发者开发自己的组件，同时尽量复用开源或第三方的软件库，即“不重新造轮子”，可以减少开发者的工作量，提高软件开发效率。软件复用虽然为开发者提供了便利，但是也存在一些安全隐患。因为基于软件复用开发的应用中，每个组件都可以看到完整的应用地址空间，即可以访问其他组件的内存，存在恶意访问、漏洞利用、敏感信息泄露等诸多问题。为了避免这些安全隐患，现有技术可以把敏感资产(包括数据、代码等)分区，即将这些敏感资产隔离起来，把其他组件的故障和漏洞影响隔绝在分区之外，保证该分区的机密性和完整性。

然而，现有技术一般是通过软件方式或硬件方式对内存分区，其中，软件方式会增加额外的开销，而硬件方式依赖于固定硬件，且存在内存隔离粒度过大问题。

发明内容

本申请提供一种内存访问控制方法和装置，用于实现内存分区隔离，减少软件开销，降低内存隔离粒度。

第一方面，提供一种内存访问控制方法，应用于处理器，例如ARM或A核等，方法包括：为至少一个内存域配置内存标签；其中，配置有内存标签的内存域只允许被关联有地址标签且地址标签与内存标签匹配的指令访问；在运行至少一个内存域中第一内存域之前，若第一内存域配置有内存标签，则释放第一内存域的内存标签；其中，第一内存域为至少一个内存域中的任意一个；在确定第一内存域不具有内存标签后，运行第一内存域。

上述方案，先为至少一个内存域分配内存标签，在运行至少一个内存域中的第一内存域之前，先确保其没有内存标签后，再运行第一内存域，这样可以保证第一内存域可以被本域的组件访问，并且，由于本申请实施例仅配置内存标签而不配置地址标签，所以第一内存域对应的组件域不可直接访问其它内存域，从而实现域间访问隔离。该方案对应用程序无侵入式修改，不需要重新编译程序代码，不需要增加应用程序大小，可以降低实现成本；相比其它通过软件或硬件实现的内存隔离方案，可以减少性能开销，例如减少用户态和内核上下文切换开销；内存分区，可以达到16字节粒度，可以实现细粒度的内存访问控制。

一种可能的设计中，为至少一个内存域配置内存标签，在具体实现时，可以是随机生成内存标签。

通过该设计方式，可以降低第三方代码猜中内存标签的几率，可以提高内存隔离的安全性。

一种可能的设计中，为至少一个内存域配置内存标签，在具体实现时，可以是为至少一个内存域中存储有敏感资产的内存域配置内存标签。

通过该设计方式，可以在保证敏感资产安全性的同时，避免内存标签浪费，提高内存 标签资源的利用率。

一种可能的设计中，在运行第一内存域之后，还可以检测到来自第一内存域的第一指令，第一指令用于访问第二内存域；为第一内存域配置内存标签；释放第二内存域的内存标签；执行第一指令；向第一内存域返回第一指令的执行结果。

该设计方式，通过标签重配置机制实现跨域访问，可以提高跨域访问的安全性。

一种可能的设计中，在执行第一指令之前，还可以确定第一内存域配置的内存标签为随机生成的内存标签。

该设计方式，可以避免第三方代码绕过标签重配置过程，直接访问第二内存域，可以进一步提高跨域访问的安全性。

一种可能的设计中，在执行第一指令之前，还可以保存第一内存域的地址。当向第一内存域返回第一指令的执行结果时，可以根据保存的地址向第一内存域返回第一指令的执行结果。

一种可能的设计中，在执行第一指令之后，还可以为第二内存域配置内存标签；释放第一内存域的内存标签。

该设计方式，可以保证执行结果正确返回到第一内存域，提高了跨域访问的可靠性。

一种可能的设计中，在运行第一内存域之前，还可以通过离线或在线二进制扫描，检测第一内存域中是否存在内存标签扩展MTE指令；若存在，则清除MTE指令；其中，MTE指令包括读取分配的标签LDG指令、读取多个标签LDGM指令、存储分配的标签STG指令、存储分配的标签并清零STZG指令、存储分配的标签并存储两个寄存器STGP指令、存储多个分配的标签STGM指令中的一项或多项。

该设计方式，可以避免第三方代码通过MTE指令读取到合法的内存标签或非法设置内存标签，进而通过内存标签获取地址标签实现对内存域的非法访问，可以进一步提高内存访问的安全性和可靠性。

第二方面，提供一种控制装置，包括用于执行如第一方面或第一方面任一种可能的设计中所述的方法的模块/单元/技术手段。

示例性的，装置可以包括：

配置模块，用于为至少一个内存域配置内存标签；其中，配置有内存标签的内存域只允许被关联有地址标签且地址标签与内存标签匹配的指令访问；在运行至少一个内存域中第一内存域之前，若第一内存域配置有内存标签，则释放第一内存域的内存标签；其中，第一内存域为至少一个内存域中的任意一个；在确定第一内存域不具有内存标签后，运行第一内存域。

一种可能的设计中，配置模块可以用于：随机生成内存标签。

一种可能的设计中，配置模块可以用于：为至少一个内存域中存储有敏感资产的内存域配置内存标签。

一种可能的设计中，装置还可以包括：

网关模块，用于检测到来自第一内存域的第一指令，第一指令用于访问第二内存域；为第一内存域配置内存标签；释放第二内存域的内存标签；执行第一指令；向第一内存域返回第一指令的执行结果。

一种可能的设计中，网关模块还可以用于：在执行第一指令之前，确定第一内存域配置的内存标签为随机生成的内存标签。

一种可能的设计中，网关模块还可以用于：在执行第一指令之前，保存第一内存域的地址；在向第一内存域返回第一指令的执行结果时，根据保存的地址向第一内存域返回第一指令的执行结果。

一种可能的设计中，网关模块还可以用于：在执行第一指令之后，为第二内存域配置内存标签；释放第一内存域的内存标签。

一种可能的设计中，配置模块还可以用于：在运行第一内存域之前，通过离线或在线二进制扫描，检测第一内存域中是否存在内存标签扩展MTE指令；若存在，则清除MTE指令；其中，MTE指令包括读取分配的标签LDG指令、读取多个标签LDGM指令、存储分配的标签STG指令、存储分配的标签并清零STZG指令、存储分配的标签并存储两个寄存器STGP指令、存储多个分配的标签STGM指令中的一项或多项。

第三方面，提供一种控制装置，包括：至少一个处理器和接口电路；所述接口电路用于接收来自所述装置之外的其它装置的信号并传输至所述处理器或将来自所述处理器的信号发送给所述装置之外的其它装置，所述处理器通过逻辑电路或执行代码指令用于实现如第一方面或第一方面任一种可能的设计中所述的方法。

第四方面，提供一种计算机可读存储介质，所述可读存储介质用于存储指令，当所述指令被执行时，使如第一方面或第一方面任一种可能的设计中所述的方法被实现。

第五方面，提供一种计算机程序产品，所述计算机程序产品中存储有指令，当其在计算机上运行时，使得计算机执行如第一方面或第一方面任一种可能的设计中所述的方法。

附图说明

图1为软件复用场景下的内存访问示意图；

图2为本申请实施例提供的一种内存访问控制方法的流程；

图3为MTE的内存访问机制示意图；

图4为内存标签的示意图；

图5为标签分配器分配内存标签和释放内存标签的示意图；

图6为本申请实施例提供的一种跨域访问方法的流程图；

图7为一种跨域访问示例的示意图；

图8为一个跨域访问示例的流程图；

图9为本申请实施例提供的一种控制装置的示意图；

图10为本申请实施例提供的另一种控制装置的示意图。

具体实施方式

在软件复用场景中，可信组件和不可信组件使用内存的同一地址空间。例如，参见图1，为软件复用场景下的内存访问示意图，敏感资产库存储可信组件的数据和代码，第三方库中存储不可信组件的数据和代码，任一用户(包括非法用户)都可以通过程序入口发送请求，访问第三方库、敏感资源库，还可以恶意构建内存损坏(Memory Corruption)，例如恶意修改一块合法的内存中的数据，越界访问(指访问一块内存，但超出合法的访问范围)等。

一个好的软件工程中，会把敏感数据和代码进行分区，即将这些敏感资产隔离起来， 把其他组件的故障和漏洞影响隔绝在分区之外，保证该分区的机密性和完整性。

以下例举几种内存隔离技术：

一、软件故障隔离(Software-Based Fault Isolation，SFI)，对不可信的组件内存访问进行边界检查，即在每次访问内存前，都加一个检查(例如在执行读写指令之前，检查该指令里的地址是否合法)，避免访问其他组件的内存。这种边界检查可以通过编译器或者二进制重写的方式插入。边界检查的插入会导致在不可信的组件中引入额外的执行开销，同时还需要额外的开销，来防止可能绕过边界检查的控制流劫持。

这种方式不依赖硬件，支持微处理器(Advanced RISC Machines，ARM)架构和A核(Cortex-A)架构，内存分区可以支持16B～64B的细粒度，应用占用的内存开销小。但是这种方式，指令翻译，性能影响大。

二、硬件故障隔离，使用硬件安全机制，如硬件内存保护单元(Memory Protection Unit，MPU)，这样通过硬件对内存访问进行翻译，非法操作会被硬件进行捕捉，从而在不可信的组件中不会产生额外的性能开销。不过尽管组件内部不会产生额外开销，但是通过虚拟化或内核捕捉的方式去切换组件边界还是会有额外的开销，取决于不同的硬件架构。

这种方式，通过MPU做内存隔离，相比SFI，性能影响小；可以支持ARM架构；内存分区可以支持16B～64B的细粒度，内存开销小。但是这种方式，依赖于硬件实现，且不支持Cortex-A。

三、使用保护密钥(MPK)实现安全、高效的进程内隔离(Secure,Efficient In-process Isolation with Protection Keys(MPK)，ERIM)，是一种基于x86架构的隔离技术，依赖于x86指令集架构(Instruction Set ASrchitecture，ISA)扩展。该方案使用保护密钥(Memory protection keys，MPK)将每个虚拟页面采用4位域标识(Identity Document，ID)标记，从而将进程的地址空间划分为最多16个不相交的域。每个逻辑内核本地的特殊寄存器如基于用户模式的保护键寄存器(Protection Key Register User，PKRU)确定内核可以读取或写入哪些域。切换域权限需要在用户空间中写入PKRU，在当前的英特尔中央处理器(Central Processing Unit，CPU)上，这只需要11260个周期，对应于2.6GHz CPU上每100000个交换机/秒的开销为0.07％至1.0％。这相当于NGINX(NGINX是一种服务器的名称)吞吐量的开销最多4.8％。

MPK技术内容主要包括：

1、MPK技术为每个进程提供16个保护密钥(Protection Key，可以简称为Key)，因此最多能将进程的地址空间分为16个保护域。PKRU寄存器存储了每个Key的具体访问权限。

2、当要改变某个域的访问权限时，只要通过一个用户态的指令(如将数据写入用户页面密钥寄存器(Write Data to User Page Key Register，WRPKRU)，11-260周期(cycles))即可，不需要系统调用、对页表修改、刷新转换检测缓冲区(Translation Lookaside Buffer，TLB)等。

下面介绍下ERIM技术：

1、将用户态进程分为两个部分，可信和非可信域。

保证非可信域总是允许访问，可信域是永远不能被非可信域访问。但是非可信域可以通过跳转到可信域的呼叫门(call gates)来获得访问权限。

2、ERIM要解决的一个难点是防止非可信域利用WRPKRU指令修改内存域访问权限。 ERIM依赖于二进制检查(Binary Inspection)来保证只有安全的WRPKRU出现在可执行页里。

这种方式，使用X86的MPK技术会极少的影响非可信或可信组件的运行性能，但其依赖于X86的硬件架构，即无法在ARM架构下使用ERIM技术；同样因为使用页为单位，因此其粒度只能达到4KB，不能够进行更细粒度的内存隔离。

四、一种基于硬件MPU内存保护单元，采用微控制单元保护环境底座(Protected Environment Keystone for MCU，PEKM)技术，来隔离同进程组件的方法。

MPU技术内容主要包括：

1、微控制单元(Microcontroller Unit，MCU)上的MPU单元提供16个保护域(Protection Region)Set(全局)，因此能够为任务划分16个保护域。PKRU寄存器存储了每个Key的具体访问权限。

2、当要改变某个域的访问权限时，只要通过一个内核态的指令(如mtcr)，需要系统调用产生上下文切换。

PEKM技术内容主要包括：

1、将任务执行在内核态，因此有了同进程空间隔离问题。

2、保证任务(不可信)与内核(可信)双向隔离，但是任务可以通过跳转到内核的call gateway来获得访问权限。

3、PEKM要解决的一个难点是防止任务利用mtcr等敏感指令来修改保护域权限。PEKM依赖于二进制检查(Binary Inspection)来保证系统指令不会出现在任务里。

这种方式，PEKM技术依赖于MPU硬件，通过MPU对内存域进行设置，使得非可信组件和可信组件内存进行切换，MPU的内存粒度可以到64字节，但是MPU只在部分ARM架构(如ARM v8R或者v8M)；在Cortex-A中，PEKM也提出了使用内存管理单元(Memory Management Unit，MMU)进行保护，但是其粒度依然为页粒度，即4KB。

以下表1总结了上述四种内存隔离技术的优缺点：

表1

为了解决上述一个或多个技术问题，提供本申请内存访问控制方案。本申请基于内存标签扩展(Memory Tag Extension，MTE)技术实现内存分区，在避免不可信组件访问可信组件的内存的情况下，可以减少软件开销，减少对固定硬件的依赖，以及降低内存隔离粒度。

下面将结合附图，对本申请实施例进行详细描述。可以理解的，本申请实施例提供的技术方案可以应用于ARM、Cortex-A等架构，或者其它类型的处理器，本申请不做限制。

参见图2，为本申请实施例提供的一种内存访问控制方法的流程图，该方法可以由处理器执行，处理器例如是ARM或Cortex-A等，本申请不做限制。方法包括：

S201、处理器为至少一个内存域配置内存标签；其中，配置有内存标签的内存域只允许被关联有地址标签且地址标签与内存标签匹配的指令访问。

本申请实施例中，处理器可以采用内存标签扩展(Memory Tag Extension，MTE)技术来为至少一个内存域配置内存标签。

为了便于理解，这里先介绍一下MTE技术：

MTE是一种指令集扩展，在ARMv8.5-A架构引入。MTE实现一种内存访问锁(lock)&钥匙(key)的机制，可以提供细粒度的物理内存访问控制，即内存访问仅允许指针中key值与和物理内存中的lock值相同才可以授权访问，否则触发异常，如图3所示，为MTE的内存访问机制示意图。

在MTE中，key又称为地址标签(address tag)或逻辑标签(logical tag)或指针标签，lock又称为内存标签(memory tag)。其中，每一个内存标签是4比特(bit)的大小，关联16字节的物理内存大小。在具体实现时，多个不同的16字节的物理内存可以关联相同或不同的内存标签，本申请不做限制。如图4所示，为内存标签的示意图，其中物理内存[-16，0]对应内存标签为0xA，物理内存[32，48]内存标签0x3，物理内存[0，16]、[16，32]对应同一内存标签，即0x2。可以理解的，内存标签是存放在特殊的内存区域，普通的内存读写指令无法访问到这块内存。因此MTE提供了特殊指令去更新这块区域，譬如读取分配的标签(Load Allocation Tag，LDG)、存储分配的标签(Store Allocation Tag，STG)等指令。

MTE利用ARM的顶部字节忽略(Top Byte Ignore，TBI)特性，将访问地址的高位[59：56]bits用作地址标签标识指针，最多可以有16个不同的地址标签。

可以理解的，处理器在访问内存时，访问指令(如读指令或写指令)中会携带访问地址，访问地址中关联有地址标签，如访问地址的高位[59：56]bits为地址标签。

内存域(domain)：还可以称为内存区域。在具体实现时，处理器可以根据用户输入的信息(如内存域配置文件)，将内存划分为多个不同的内存域。内存域用于标记如三方库或敏感资产内存区间。

在本申请实施例中，处理器可以使用标签分配器为至少一个内存域分配内存标签。标签分配器是MTE技术定义的分配器，与常见的内存分配器不同，该分配器提供内存的标签分配，用于对给定内存进行标签染色(taint)(即为给定内存分配内存标签)。MTE分配还可以提供MTE指令，修改内存标签。

可以理解的，MTE本质上是程序代码，处理器运行这些程序代码时，实现分配内存标签、修改内存标签等功能。

一种可能的设计中，处理器在为至少一个内存域配置内存标签时，可以是随机生成内存标签。如此，可以降低第三方代码猜中内存标签的几率，可以提高内存隔离的安全性。

可以理解的，本文中的第三方代码是指：站在应用开发者角度看来，不是应用开发者开发的代码(例如非法用户(即通常所称的“黑客”)开发的代码)，但不包括系统可信基(如系统内核代码、实现本申请方法的代码等)。一种可能的设计中，处理器在为至少一个内 存域配置内存标签时，可以只为至少一个内存域中存储有敏感资产的内存域配置内存标签。

例如，至少一个内存域包括第一内存域和第二内存域，其中第一内存域存储敏感资产，第二内存域存储非敏感资产，则可以为第一内域与配置内存标签，而不为第二内存域配置内存域标签。这是因为第二内存域存储非敏感资产，所以总是允许被访问，因此可以不必为其配置内存标签。

其中，资产包括但不限于是代码和/或数据。

如此，可以避免内存标签浪费，提高内存标签资源的利用率。

S202、在运行至少一个内存域中第一内存域之前，若第一内存域配置有内存标签，则释放第一内存域的内存标签；其中，第一内存域为至少一个内存域中的任意一个。

可以理解的，在运行应用时，本质是运行(或执行)代码来处理数据。根据上文可知，基于软件复用开发的应用中，一个应用可以由多个组件构成。而各个组件对应的代码和数据可以被存储在不同的内存域中。所以，当运行应用的某个组件时，可以理解为运行(或执行)该组件对应的内存域中的代码，或者说运行该组件对应的内存域。相应的，在本申请实施例中，运行第一内存域，可以理解为运行第一内存域中的代码。运行第一内存域之前，是指运行第一内存域的第一条代码之前。

需要强调的是，本申请实施例中基于MTE技术实现内存隔离的方案和MTE技术本身定义的功能有所不同。

根据上文对MTE技术的介绍可知，MTE技术本身是在地址标签(key)和内存标签(lock)配置时允许访问，因此需要修改应用代码使其在访问内存域时在访问指令中携带地址标签。

而本申请实施例中，不需要修改应用的代码，不需要配置地址标签(key)，标签分配器无需对应用感知，标签分配器只需用到MTE技术中与内存标签相关的技术。具体来说，就是先对至少一个内存域配置内存标签(即加锁)，在运行至少一个内存域中任意一个内存域(如第一内存域)之前，保证该内存域的内存标签不具有内存标签(即呈解锁状态)，这样该内存域运行后，该内存域对应的组件可以访问(包括读和/或写)本域内存中的数据，而该内存域在访问其它域时，由于其它内存域配置有内存标签(即呈加锁状态)，且该内存域不具有地址标签(因为标签分配器并未配置地址标签)，所以会因为标签不匹配(tag mismatch)而触发异常，所以不能直接访问其它内存域。

示例性的，参见图5，标签分配器分别为内存域A、内存域B、内存域C配置有内存标签0、内存标签1、内存标签2。运行内存域A之前，内存标签0会先释放内存域A的内存标签(lock)，使得内存域A运行时，只能访问本域，而无法直接访问其它内存域(如图5所示，内存域A访问内存域B失败)。

相应的，为确保运行第一内存域时第一内存域不具有内存标签，需要在运行第一内存域之前判断第一内存域是否具有内存标签。若第一内存域具有内存标签，则释放第一内存域的内存标签后，执行S203；如果第一内存域不具有内存标签(例如第一内存域存储的是非敏感资产，而步骤S21中只对存储有敏感资产的内存域配置内存标签)，则可以直接执行S203。

可选的，处理器在释放第一内存域的内存标签，可以通过硬件实现或通过STG指令设置。

S203、处理器在确定第一内存域不具有内存标签后，运行第一内存域。

运行第一内存域，是指处理器开始读取并执行第一内存域中的代码，实现第一内存域 对应的组件的功能。可以理解的，第一内存域中的代码在执行时，可以生成指令，该些指令可以是读和/或写指令，也可以是其它指令，本申请不做限制。

在上述方案中，处理器先为至少一个内存域分配内存标签，在运行至少一个内存域中的第一内存域之前，先确保其没有内存标签后，再运行第一内存域，这样可以保证第一内存域可以被本域的组件访问，并且，由于本申请实施例仅配置内存标签而不配置地址标签，所以第一内存域对应的组件域不可直接访问其它内存域，从而实现域间访问隔离。

上述方案至少具有以下几个方面的优点：

(1)对应用程序无侵入式修改，不需要重新编译程序代码，不需要增加应用程序大小，可以降低实现成本；

(2)相比其它通过软件或硬件实现的内存隔离方案，本案采用软硬结合的方式(例如，标签分配器、API网关等依赖软件实现，而MTE指令、内存标签等涉及到硬件)，可以减少性能开销，例如可以减少用户态和内核上下文切换开销；

(3)基于MTE技术实现内存分区，可以达到16字节粒度，实现细粒度的内存访问控制。

一种可能的设计中，处理器还可以通过重新配置内存标签实现跨域访问。

参见图6，以第一内存域访问第二内存域为例(即第一内存域运行后，第一内存域中生成访问第二内存域的指令)，本申请实施例还提供一种跨域访问方法，包括：

S601、处理器在运行第一内存域之后，检测到来自第一内存域的第一指令，第一指令用于访问第二内存域；

S602、处理器为第一内存域重新配置内存标签(因为在运行第一内存域之前已经释放了第一内存域的标签)；

可选的，处理器为第一内存域随机内存标签。

S603、处理器释放第二内存域的内存标签，使得第二内存域正常运行(能被访问)；

S604、处理器在第二内存域执行第一指令；

S605、处理器向第一内存域返回第一指令的执行结果。

换而言之，在跨域访问时，在被访问域(如第二内存域)执行来自访问域(如第一内存域)读写指令之前，需要对访问域重新上锁，并对被访问域解锁，使得被访问域可以被访问，且保证只有正在运行的内存域可以访问。

在具体实现时，跨域访问的控制过程，处理器可通过配置应用程序接口(Application Program Interface，API)网关(Gateway)实现。可以理解的，API网关本质上也可以软件代码，该API网关运行时，实现跨域访问相关功能，例如检测第一指令、控制标签分配器重新配置内存标签(如为第一内存域重配置标签、为第二内存域释放标签等操作)、控制第一指令执行等。如果存在绕过API网关跨域访问的情况，则会因为标签不匹配触发异常。

例如，参见图7，第一内存域直接访问第二内存域、第三内存域，都会因为第二内存域、第三内存域具有内存标签而第一内存域无法提供匹配的地址标签导致跨域访问失败；当第一内存域通过API网关访问第二内存域时，API网关可以配合标签分配器重新配置内存标签，实现第一内存域访问第二内存域。

该设计方式，通过API网关和标签分配器的配合，可以实现跨域访问，提高了跨域访问的安全性。

一种可能的设计中，处理器在执行第一指令之前，还可以验证第一内存域的内存标签 是否是随机生成的内存标签。当第一内存域配置的内存标签为随机生成的内存标签时，处理器再执行第一指令；否则，不执行第一指令。

如此，可以避免第三方代码绕过步骤S602，直接访问第二内存域，可以进一步提高跨域访问的安全性。

一种可能的设计中，处理器在执行第一指令之前，还可以保存第一内存域的地址。当处理器向第一内存域返回第一指令的执行结果时，根据保存的地址向第一内存域返回第一指令的执行结果。

如此，可以保证执行结果回到第一内存域，提高了跨域访问的可靠性。

一种可能的设计中，处理器在执行第一指令之后，还可以为第二内存域重新配置内存标签，即对第二内存域重新加锁，以及释放第一内存域的内存标签，使得执行结果可以回到第一内存域。可选的，处理器对第二内存域重新配置内存标签时，可以是随机生成内存标签。

如此，可以保证执行结果回到第一内存域，同时避免其它内存域或第三方代码乘机访问第二内存域，提高了跨域访问的可靠性。

一种可能的设计中，处理器在检测到来自第一内存域的第一指令之后，以及为第一内存域配置内存标签之前，还可以获取原子锁，原子锁用于保证API网关在同一时刻只有一个切换主体(即一个需要加锁的内存域和一个需要解锁内存域)；处理器在执行第一指令之后，释放原子锁。这样，避免跨域访问过程中出现并发问题。

可以理解的，获取原子锁，是指执行指令“Acquire_lock”的过程，指令“Acquire_lock”的含义是：此步骤获取指定值的锁定。您可以使用锁来防止并发修改资源(This step acquires a lock on a specified value.You can use locks to prevent concurrent modification of resources)。

为了便于理解，这里在列举一个详细的跨域访问的例子，参见图8，包括：

S801、获取原子锁，确定当前正在执行的内存域，如第一内域(在运行中，所以没有内存标签)；

S802、处理器使用随机内存标签对第一内存域进行标记(即加锁)；

S803、处理器确定待执行的内存域，如第二内存域，释放第二内存域的内存标签；

S804、处理器校验第一内存域的内存标签是否是随机的内存域标签，在校验通过之后继续后面的流程；

S805、处理器保存返回地址(即第一内存域的地址)，执行跨域访问的指令(如第一指令)；

S806、处理器使用随机内存标签对第二内存域重新进行标记(即加锁)；

S807、处理器释放第一内存域的内存标签，使其正常运行；

S808、处理器释放原子锁，向第一内存域返回执行结果。

可以理解的，在硬件(如ARM)支持指针身份验证(pointer authentication，PAC)的情况下，需要打开PAC进一步保障控制流完整性。

在具体实现时，上述流程可以通过运行代码实现。

步骤S801～步骤S808对应的代码举例如下：

通过上述流程，可以实现跨域访问。

一种可能的设计中，处理器在运行任意内存域之前，可以执行MTE指令清除，避免第三方代码通过非法获取到的MTE指令获取到指针标签实现非法访问。

示例性的，处理器在运行第一内存域之前，通过离线或在线二进制扫描，检测第一内存域中是否存在MTE指令；若存在，则清除MTE指令。

其中，MTE指令包括以下两类：

1、用于读取内存标签的指令，例如：读取分配的标签(Load Allocation Tag，LDG)、读取多个标签(Load Tag Multiple，LDGM)等指令。

2、用于设置内存标签的指令，例如：存储分配的标签(Store Allocation Tag，STG)、存储分配的标签并清零(Store Allocation Tag and Zeroing，STZG)、存储分配的标签并存储两个寄存器(Store Allocation Tag and Pair register，STGP)、存储多个分配的标签(Store Tag Multiple，STGM)等指令中的一项或多项。

如此，可以避免第三方代码通过MTE指令读取到合法的内存标签或非法设置内存标签，进而通过内存标签获取地址标签实现对内存域的非法访问，可以进一步提高内存访问的安全性和可靠性。

一种可能的设计中，处理器在配置各个内存域的地址时，可以开启地址空间布局随机化()Address Space Layout Randomization，ASLR)，进而随机配置各个内存域的地址。

可以立理解，当ASLR开启时，每次程序运行时的时候，装载的可执行文件和共享库都会被映射到虚拟地址空间的不同地址。

如此，可以避免第三方代码猜中内存地址的几率，进而降低应用的进程被入侵的风险，可以进一步提高方案的可靠性。

可以理解的，上述和实施例方式可以相互结合实现不同的技术效果。

参见图9，为本申请实施例提供的一种控制装置示意图，包括：配置模块901、网关模块902。

其中，配置模块用于对系统进行初始化过程，例如为所有内存域(或存储有敏感资产的内存域)分配内存标签，在运行任意内存域之前，扫描并消除MTE敏感指令。一种可 能的示例中，如图9所示，配置模块还可以进一步细分为标签分配器和指令消除等多个模块，其中标签分配器用于对内存域分配内存标签、修改内存标签等；指令消除模块，用于对内存域进行离线或在线二进制扫描，在发现内存域中存在MTE指令时，消除这些MTE指令。

网关模块，用于实现上述API网关的功能，即控制内存域之间的跨域访问过程。一种可能的示例中，如图9所示，网关模块还可以进一步细分为重配置内存标签、过后校验、异常处理等模块。其中，过后校验的功能包括但不限于：检查返回地址是否正常；设置内存标签后，检查内存标签设置是否正确(例如是否随机生成)。异常处理模块，用于在校验出现异常时处理异常，例如停止服务，上报异常等。

图9中的下一个PC是指下一个指令(program conter)的意思，表示执行完一个指令之后，继续执行下一个指令。例如，上文所述的第一指令为其中一个指令。

上述各个模块的具体实现可以参考上文方法实施例中的相关介绍，此处不再赘述。

应理解，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。

基于相同的技术构思，参见图10，本申请实施例还提供一种控制装置，该装置包括至少一个处理器1001和接口电路1002；接口电路1002用于接收来自该装置之外的其它装置的信号并传输至处理器1001或将来自处理器1001的信号发送给该装置之外的其它装置，处理器1001通过逻辑电路或执行代码指令用于实现上述方法实施例中所述的方法。

应理解，本申请实施例中提及的处理器可以通过硬件实现也可以通过软件实现。当通过硬件实现时，该处理器可以是逻辑电路、集成电路等。当通过软件实现时，该处理器可以是一个通用处理器，通过读取存储器中存储的软件代码来实现。

示例性的，处理器可以是中央处理单元(Central Processing Unit，CPU)，还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

应理解，本申请实施例中提及的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(Read-Only Memory，ROM)、可编程只读存储器(Programmable ROM，PROM)、可擦除可编程只读存储器(Erasable PROM，EPROM)、电可擦除可编程只读存储器(Electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(Static RAM，SRAM)、动态随机存取存储器(Dynamic RAM，DRAM)、同步动态随机存取存储器(Synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data Eate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM，DR RAM)。

需要说明的是，当处理器为通用处理器、DSP、ASIC、FPGA或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件时，存储器(存储模块)可以集成在处理器中。

应注意，本文描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

基于相同技术构思，本申请实施例还提供一种计算机可读存储介质，包括程序或指令，当所述程序或指令在计算机上运行时，使得如上述方法实施例中所述的方法被执行。

基于相同技术构思，本申请实施例还提供一种包含指令的计算机程序产品，该计算机程序产品中存储有指令，当其在计算机上运行时，使得如上述方法实施例中所述的方法被执行。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的保护范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims (19)

1. 一种内存访问控制方法，其特征在于，包括：

   为至少一个内存域配置内存标签；其中，配置有内存标签的内存域只允许被关联有地址标签且所述地址标签与所述内存标签匹配的指令访问；

   在运行所述至少一个内存域中第一内存域之前，若所述第一内存域配置有内存标签，则释放所述第一内存域的内存标签；其中，所述第一内存域为所述至少一个内存域中的任意一个；

   在确定所述第一内存域不具有内存标签后，运行所述第一内存域。
2. 如权利要求1所述的方法，其特征在于，所述为至少一个内存域配置内存标签，包括：

   随机生成内存标签。
3. 如权利要求1或2所述的方法，其特征在于，所述为至少一个内存域配置内存标签，包括：

   为所述至少一个内存域中存储有敏感资产的内存域配置内存标签。
4. 如权利要求1-3任一项所述的方法，其特征在于，在运行所述第一内存域之后，还包括：

   检测到来自所述第一内存域的第一指令，所述第一指令用于访问第二内存域；

   为所述第一内存域配置内存标签；

   释放所述第二内存域的内存标签；

   执行所述第一指令；

   向所述第一内存域返回所述第一指令的执行结果。
5. 如权利要求4所述的方法，其特征在于，在执行所述第一指令之前，还包括：

   确定所述第一内存域配置的内存标签为随机生成的内存标签。
6. 如权利要求4或5所述的方法，其特征在于，在执行所述第一指令之前，还包括：

   保存所述第一内存域的地址；

   所述向所述第一内存域返回所述第一指令的执行结果，包括：

   根据保存的地址向所述第一内存域返回所述第一指令的执行结果。
7. 如权利要求4-6任一项所述的方法，其特征在于，在执行所述第一指令之后，还包括：

   为所述第二内存域配置内存标签；

   释放所述第一内存域的内存标签。
8. 如权利要求1-7任一项所述的方法，其特征在于，在运行所述第一内存域之前，还包括：

   通过离线或在线二进制扫描，检测所述第一内存域中是否存在内存标签扩展MTE指令；

   若存在，则清除所述MTE指令；

   其中，所述MTE指令包括读取分配的标签LDG指令、读取多个标签LDGM指令、存储分配的标签STG指令、存储分配的标签并清零STZG指令、存储分配的标签并存储两个寄存器STGP指令、存储多个分配的标签STGM指令中的一项或多项。
9. 一种控制装置，其特征在于，包括：

   配置模块，用于为至少一个内存域配置内存标签；其中，配置有内存标签的内存域只允许被关联有地址标签且所述地址标签与所述内存标签匹配的指令访问；在运行所述至少一个内存域中第一内存域之前，若所述第一内存域配置有内存标签，则释放所述第一内存域的内存标签；其中，所述第一内存域为所述至少一个内存域中的任意一个；在确定所述第一内存域不具有内存标签后，运行所述第一内存域。
10. 如权利要求9所述的装置，其特征在于，所述配置模块用于：随机生成内存标签。
11. 如权利要求9或10所述的装置，其特征在于，所述配置模块用于：为所述至少一个内存域中存储有敏感资产的内存域配置内存标签。
12. 如权利要求9-11任一项所述的装置，其特征在于，所述装置还包括：

    网关模块，用于检测到来自所述第一内存域的第一指令，所述第一指令用于访问第二内存域；为所述第一内存域配置内存标签；释放所述第二内存域的内存标签；执行所述第一指令；向所述第一内存域返回所述第一指令的执行结果。
13. 如权利要求12所述的装置，其特征在于，所述网关模块还用于：在执行所述第一指令之前，确定所述第一内存域配置的内存标签为随机生成的内存标签。
14. 如权利要求12或13所述的装置，其特征在于，所述网关模块还用于：在执行所述第一指令之前，保存所述第一内存域的地址；在向所述第一内存域返回所述第一指令的执行结果时，根据保存的地址向所述第一内存域返回所述第一指令的执行结果。
15. 如权利要求12-14任一项所述的装置，其特征在于，所述网关模块还用于：在执行所述第一指令之后，为所述第二内存域配置内存标签；释放所述第一内存域的内存标签。
16. 如权利要求9-15任一项所述的装置，其特征在于，所述配置模块，还用于：在运行所述第一内存域之前，通过离线或在线二进制扫描，检测所述第一内存域中是否存在内存标签扩展MTE指令；若存在，则清除所述MTE指令；其中，所述MTE指令包括读取分配的标签LDG指令、读取多个标签LDGM指令、存储分配的标签STG指令、存储分配的标签并清零STZG指令、存储分配的标签并存储两个寄存器STGP指令、存储多个分配的标签STGM指令中的一项或多项。
17. 一种控制装置，其特征在于，包括：至少一个处理器和接口电路；

    所述接口电路用于接收来自所述装置之外的其它装置的信号并传输至所述处理器或将来自所述处理器的信号发送给所述装置之外的其它装置，所述处理器通过逻辑电路或执行代码指令用于实现如权利要求1-8中任一项所述的方法。
18. 一种计算机可读存储介质，其特征在于，所述可读存储介质用于存储指令，当所述指令被执行时，使如权利要求1-8中任一项所述的方法被实现。
19. 一种计算机程序产品，其特征在于，所述计算机程序产品中存储有指令，当其在计算机上运行时，使得计算机执行如权利要求1-8中任一项所述的方法。

Images