本發明公開了一種處理器協助的內核地址空間細粒度管理方法，克服了現有技術中，計算機操作系統中內核地址空間進行訪問安全性不足的問題。該發明將傳統內核地址空間劃分為多個不同部分：普通域、機密性優先安全域、完整性優先安全域、過渡域、管理域或其它域，安全域是指非普通域的其它域，域之間的切換分為普通域切換至安全域、安全域切換至普通域，系統增加多個特定域，域之間的切換均為普通域切換至安全域，以及安全域切換至普通域兩種。該技術具有以下優點：在計算機系統中實際上增加了多個虛擬機客戶機，而對于用戶直接接觸的操作系統，即位于虛擬機客戶機內的地址空間并沒有變化，仍然簡單的分割成用戶空間和內核空間。

技術領域

該發明涉及一種計算機的內存管理方法，特別是涉及一種處理器協助的內核地址空間細粒度管理方法。

背景技術

內存虛擬化技術，可以視作一種內存地址空間重新劃分的方法。圖2示意了一種典型的虛擬機架構是：虛擬機監控器直接與硬件打交道，在虛擬機監控器上運行著多個虛擬機客戶機，每個客戶機里運行一個操作系統。這樣，虛擬機監控器、虛擬機客戶機之間的地址空間相互隔離。客戶機操作系統的地址空間又劃分為用戶空間和內核空間。對于計算機系統而言，內存地址空間首先按照虛擬機客戶機的粒度進行劃分，然后在虛擬機客戶機內部進一步劃分為用戶空間和內核空間。當然，還存在其它虛擬機架構，例如：多個虛擬機客戶機運行于虛擬機監控器之上，而虛擬機監控器運行于某個操作系統之上；多個虛擬機客戶機運行于虛擬機監控器之上，而某個虛擬機客戶機與虛擬機監控器共同管理其它虛擬機客戶機。無論哪一種架構，都使原來簡單的地址空間變得更為復雜。

與本發明更為接近的是稱為SIM(Secure In-VM Monitoring)的安全架構。SIM是由Monirul Sharif、Wenke Lee以及Weidong Cui等人所提出的，其目的是在充分利用虛擬化技術所帶來的安全紅利的同時，不會因為系統運行環境頻繁切換而導致系統性能明顯下降。SIM的地址空間分布如圖3所示，在虛擬機客戶機內存在一個操作系統，該系統較傳統的操作系統增加一個SIM空間。SIM空間是操作系統監控者所位于的地址空間，負責監控用戶空間和內核空間的特定的監控對象。為了減少SIM空間與其它空間之間的執行環境切換所帶來的性能開銷，Monirul Sharif等人利用CR3_TARGET_LIST硬件特性，實現不同頁表快速切換。不同頁表記錄了各個地址空間的權限，從而以限定在非SIM空間內監控對象不能干擾監控者的監控工作。

以Linux為代表的的主流商用操作系統，其內核地址空間可以視為一片連續的地址空間，在內核中的代碼都可以訪問內核地址空間的其它數據和指令。這樣，攻擊者一旦進入內核地址空間，內核地址空間內的數據或指令都面臨著被攻擊和篡改的風險。有必要對內核地址空間進行重新劃分，將不同安全需求的數據和代碼進行區分，并且嚴格控制不同地址空間的切換方法，使得攻擊者進入內核受保護的地址空間難度加大，從而保護安全敏感的數據和指令。

發明內容

本發明克服了現有技術中，計算機操作系統中內核地址空間進行訪問安全性不足的問題，提供一種對內核地址空間重新劃分并有所區分的處理器協助的內核地址空間細粒度管理方法。

本發明的技術解決方案是，提供一種具有以下步驟的處理器協助的內核地址空間細粒度管理方法：將傳統內核地址空間劃分為多個不同部分：普通域、機密性優先安全域、完整性優先安全域、過渡域、管理域或其它域，安全域是指非普通域的其它域，域之間的切換分為普通域切換至安全域、安全域切換至普通域，系統增加多個特定域，域之間的切換均為普通域切換至安全域，以及安全域切換至普通域兩種，其中普通域切換至安全域的過程分為以下步驟：

步驟1：模式切換1，即普通域切換至過渡域，其含有兩個環節：①跳板檢查來源地址的合法性；②跳板讀取PMC寄存器，記錄當前觀測值；

步驟2：安全檢驗1，即跳板負責檢查，其含有兩個環節：①跳板首先對發起域切換的來源地址進行合法性檢驗；②來源地址通過合法性檢驗后，跳板為實施域切換執行路徑完整性檢驗作近似的評估準備；