[发明专利]内存管理方法、系统及安全处理装置、数据处理装置

说明书

内存管理方法、系统及安全处理装置、数据处理装置，其中，所述内存管理方法包括：响应于来自数据处理装置的页表基地址寄存器写请求，安全处理装置将所述写请求对应的进程基地址写入所述页表基地址寄存器；其中，所述数据处理装置与所述安全处理装置硬件隔离，所述数据处理装置适于运行操作系统，且所述操作系统的源代码指令中不包含页表基地址寄存器的写指令；基于所述安全处理装置的设置，所述数据处理装置不具有所述页表基地址寄存器的写权限。采用上述方案能够避免ROP攻击页表基地址，提高进程页表的安全性。

技术领域

本发明实施例涉及数据安全技术领域，尤其涉及一种内存管理方法、系统及安全处理装置、数据处理装置。

背景技术

页表(Page Table)是主流中央处理器(Central Processing Unit，CPU)中内存管理的核心功能。在支持分页的内存管理系统中，存放内存虚拟地址与物理地址的对应关系。为了隔离不同进程的内存访问，CPU限制进程只能访问虚拟地址，CPU通过页表可以将虚拟地址转换成物理地址，不同的进程使用不同的页表，从而达到隔离进程内存的目的。由于进程的虚拟地址空间很大，页表通常采用分级结构存储。页表通过分级结构，把虚拟地址分段映射到物理地址，并将最顶层的地址，即页表基地址保存在CR3寄存器中，故CR3寄存器也可称为页表基地址寄存器。CPU启动后，操作系统需要构建页表，并将页目录指针的物理地址，即页表基地址，放入CR3寄存器。

然而，目前的CR3寄存器中存储的页表基地址有被攻击者利用面向返回地址编程(Return-Oriented Programming，ROP)攻击进行攻击的可能。ROP攻击一种新型的基于代码复用技术的攻击，攻击者通过查找已加载的代码来构造可以执行任意逻辑的攻击链，并利用程序中的缓冲区溢出漏洞，跳转到攻击链代码并实施攻击者预设目标。

为防止ROP攻击，目前通常是把操作系统的镜像所在的页表配置为只读状态，且不可执行，CR3寄存器完全由操作系统管理。操作系统在启动时，配置操作系统本身的页表，在用户进程创建时，配置用户的进程页表。操作系统在调度用户进程时，将切换进程页表。

上述方案依赖于操作系统的高权限来保证进程页表的安全，只要攻击者不具有操作系统的权限，就无法对进程页表进行攻击。但是，由于操作系统本身是极其复杂的系统，源代码量极其庞大，软件缺陷和安全漏洞也难以避免，因此，一旦攻击者获得了操作系统权限，就可能发起ROP攻击。

发明内容

针对上述问题，本发明实施例提供一种内存管理方法、系统及安全处理装置、数据处理装置，以避免ROP攻击页表基地址，提高进程页表的安全性。

本发明实施例提供了一种内存管理方法，包括：

响应于来自数据处理装置的页表基地址寄存器写请求，安全处理装置将所述写请求对应的进程基地址写入所述页表基地址寄存器；

其中，所述数据处理装置与所述安全处理装置硬件隔离，所述数据处理装置适于运行操作系统，且所述操作系统的源代码指令中不包含页表基地址寄存器的写指令；基于所述安全处理装置的设置，所述数据处理装置不具有所述页表基地址寄存器的写权限。

可选地，所述方法还包括：响应于所述数据处理装置的镜像配置请求，所述安全处理装置配置安全页面属性表中对应的操作系统的镜像的内存空间的属性为只读，其中，所述镜像配置请求适于在所述数据处理装置将所述操作系统的镜像加载至内存后生成，所述安全页面属性表存储于内存控制器中，用于所述内存控制器对内存物理地址的直接控制。

可选地，所述操作系统的镜像对应内存中多段不连续内存空间，所述安全处理装置在所述安全页面属性表中配置多个条目，每一条目分别对应所述操作系统的镜像在所述内存中的一段内存空间的地址信息。

可选地，所述安全页面属性表中的条目包含如下信息：地址空间标识、所述地址空间标识对应的地址空间的读写权限、起始地址和地址空间长度，其中，所述地址空间标识表征所述条目对应宿主机的地址空间。