一種內存隔離保護方法、隔離檢查硬件、SOC芯片和計算機可讀取存儲介質。所述內存隔離保護方法包括：請求步驟，內存訪問主體向隔離檢查硬件提出內存訪問請求；提取步驟，隔離檢查硬件從上述內存訪問請求中取得上述內存訪問主體希望訪問的內存的物理地址；以及隔離檢查步驟，隔離檢查硬件基于取得的上述物理地址與自身所存儲的內存分段保護信息表對上述內存訪問請求進行隔離檢查，并在判斷為隔離檢查成功的情況下允許訪問。本發明在增加有限硬件情況下，還可以保證高速訪存效率，同時可以兼容現有的SEV實施方案，具有較高的可實施性。

技術領域

本發明屬于計算機領域中的虛擬機安全技術領域，尤其涉及虛擬機內存的安全隔離保護方法和系統。

背景技術

虛擬機技術是指在一套計算機設備中模擬出具有完整硬件系統功能并且能夠運行在一個完全隔離環境中的完整計算機系統的技術。虛擬機技術最初是通過軟件進行模擬，例如在我們所熟知的微軟的Windows操作系統下，通過軟件的形式可以模擬出其他的操作系統。隨著網絡技術不斷發展，原來在計算機本地實現的功能逐漸轉移到云端，通過服務器來實現。因此，在服務器端的虛擬機技術也得到長足的發展。通過虛擬機技術，將服務器物理資源抽象成邏輯資源，從而能夠使得一臺服務器能夠虛擬出幾臺甚至上百臺相互隔離的主機，服務提供商不必自己擁有大量的硬件資源，而是通過向服務器提供商租借一定數量的核心(core)，從而服務器上的CPU、內存、磁盤、I/O等硬件資源可以由多個用戶共享，從而提高了資源的利用率，簡化了系統管理，實現了服務器整合。

在上述共享服務器中，由于通過虛擬的方式使得多個用戶能夠共享硬件資源，因此數據的安全化構成亟待解決的問題。現有技術中提出了一種SEV(Secure EncryptedVirtualization，安全加密虛擬化)技術，該技術通過對虛擬機管理器(Hypervisor)的物理內存和每個虛擬機(Virtual Machine)的物理內存分別使用不同的密鑰進行加密，密鑰只能通過特殊的安全處理器進行管理，CPU不能直接訪問安全處理器來獲取密鑰，這樣就可以隔離不安全的虛擬機間內存互訪，或虛擬機管理器對虛擬機內存的不安全訪問。

但是SEV技術存在一些方面的不足，主要是：(1)由于加解密過程本身需要耗費一定的時間，因此額外對內存加解密會降低系統訪問內存的性能；(2)該技術仍然不能從根本上阻止虛擬機管理器訪問虛擬機加密以后的存，因此仍然存在黑客通過虛擬機管理器訪問虛擬機加密以后的內側來獲取數據的可能性。

針對上述SEV技術的缺點，目前已有人提出內存隔離的改進方案，即通過針對CPU核心中的內存管理單元(MMU，Memory Management Unit)進行修改，以能夠實現完全隔離虛擬機管理器對虛擬機物理內存訪問空間和虛擬機之間的內存互訪。但是這種修改MMU的方式也存在一定的不足和缺陷，主要是會導致：(1)MMU變得更加復雜，大大增加了實現難度，同時也增加了開發周期；(2)這種修改對虛擬機管理器(Hypervisor)和操作系統都不是透明的，需要升級操作系統進行專門處理；(3)同樣由于系統內存的有限會降低CPU訪問內存的性能。

發明內容

本發明正是為了解決上述問題而完成，提供了一種內存隔離保護方法和硬件系統，不但能夠用于安全隔離虛擬機管理器對虛擬機物理內存訪問和虛擬機之間的內存互訪,且能與內存加密技術結合使用，做到完全隔離物理內存空間訪問同時又能對內存加密，或者制作安全隔離，還具有容易實現、開發周期短以及對虛擬機管理器(Hypervisor)和操作系統保持透明而不需要升級操作系統進行專門處理、還能有效保證CPU訪問內存的性能的特點。

為了實現上述目的，本發明提供了一種內存隔離保護方法，其特征在于，包括：

請求步驟，內存訪問主體向隔離檢查硬件提出內存訪問請求；

提取步驟，上述隔離檢查硬件從上述內存訪問請求中取得上述內存訪問主體希望訪問的內存的物理地址；以及