[发明专利]处理器协助的内核地址空间细粒度管理方法

说明书

本发明公开了一种处理器协助的内核地址空间细粒度管理方法，克服了现有技术中，计算机操作系统中内核地址空间进行访问安全性不足的问题。该发明将传统内核地址空间划分为多个不同部分：普通域、机密性优先安全域、完整性优先安全域、过渡域、管理域或其它域，安全域是指非普通域的其它域，域之间的切换分为普通域切换至安全域、安全域切换至普通域，系统增加多个特定域，域之间的切换均为普通域切换至安全域，以及安全域切换至普通域两种。该技术具有以下优点：在计算机系统中实际上增加了多个虚拟机客户机，而对于用户直接接触的操作系统，即位于虚拟机客户机内的地址空间并没有变化，仍然简单的分割成用户空间和内核空间。

技术领域

该发明涉及一种计算机的内存管理方法，特别是涉及一种处理器协助的内核地址空间细粒度管理方法。

背景技术

内存虚拟化技术，可以视作一种内存地址空间重新划分的方法。图2示意了一种典型的虚拟机架构是：虚拟机监控器直接与硬件打交道，在虚拟机监控器上运行着多个虚拟机客户机，每个客户机里运行一个操作系统。这样，虚拟机监控器、虚拟机客户机之间的地址空间相互隔离。客户机操作系统的地址空间又划分为用户空间和内核空间。对于计算机系统而言，内存地址空间首先按照虚拟机客户机的粒度进行划分，然后在虚拟机客户机内部进一步划分为用户空间和内核空间。当然，还存在其它虚拟机架构，例如：多个虚拟机客户机运行于虚拟机监控器之上，而虚拟机监控器运行于某个操作系统之上；多个虚拟机客户机运行于虚拟机监控器之上，而某个虚拟机客户机与虚拟机监控器共同管理其它虚拟机客户机。无论哪一种架构，都使原来简单的地址空间变得更为复杂。

与本发明更为接近的是称为SIM(Secure In-VM Monitoring)的安全架构。SIM是由Monirul Sharif、Wenke Lee以及Weidong Cui等人所提出的，其目的是在充分利用虚拟化技术所带来的安全红利的同时，不会因为系统运行环境频繁切换而导致系统性能明显下降。SIM的地址空间分布如图3所示，在虚拟机客户机内存在一个操作系统，该系统较传统的操作系统增加一个SIM空间。SIM空间是操作系统监控者所位于的地址空间，负责监控用户空间和内核空间的特定的监控对象。为了减少SIM空间与其它空间之间的执行环境切换所带来的性能开销，Monirul Sharif等人利用CR3_TARGET_LIST硬件特性，实现不同页表快速切换。不同页表记录了各个地址空间的权限，从而以限定在非SIM空间内监控对象不能干扰监控者的监控工作。

以Linux为代表的的主流商用操作系统，其内核地址空间可以视为一片连续的地址空间，在内核中的代码都可以访问内核地址空间的其它数据和指令。这样，攻击者一旦进入内核地址空间，内核地址空间内的数据或指令都面临着被攻击和篡改的风险。有必要对内核地址空间进行重新划分，将不同安全需求的数据和代码进行区分，并且严格控制不同地址空间的切换方法，使得攻击者进入内核受保护的地址空间难度加大，从而保护安全敏感的数据和指令。

发明内容

本发明克服了现有技术中，计算机操作系统中内核地址空间进行访问安全性不足的问题，提供一种对内核地址空间重新划分并有所区分的处理器协助的内核地址空间细粒度管理方法。

本发明的技术解决方案是，提供一种具有以下步骤的处理器协助的内核地址空间细粒度管理方法：将传统内核地址空间划分为多个不同部分：普通域、机密性优先安全域、完整性优先安全域、过渡域、管理域或其它域，安全域是指非普通域的其它域，域之间的切换分为普通域切换至安全域、安全域切换至普通域，系统增加多个特定域，域之间的切换均为普通域切换至安全域，以及安全域切换至普通域两种，其中普通域切换至安全域的过程分为以下步骤：

步骤1：模式切换1，即普通域切换至过渡域，其含有两个环节：①跳板检查来源地址的合法性；②跳板读取PMC寄存器，记录当前观测值；

步骤2：安全检验1，即跳板负责检查，其含有两个环节：①跳板首先对发起域切换的来源地址进行合法性检验；②来源地址通过合法性检验后，跳板为实施域切换执行路径完整性检验作近似的评估准备；