本申請實施例提供一種頁交換方法、裝置、CPU、可信硬件及計算機設備，方法包括：確定物理內存中待釋放的第一內存頁，第一內存頁的數據為交換數據；在物理內存中申請臨時內存空間；調用可信硬件的密鑰生成命令，以控制可信硬件生成對交換數據進行加解密的第一密鑰；調用可信硬件的加密命令，以控制可信硬件使用第一密鑰對非加密狀態的交換數據進行加密，其中，加密的交換數據緩存在臨時內存空間中；將臨時內存空間中緩存的加密的交換數據加載至硬盤，并釋放第一內存頁和臨時內存空間。進一步，本申請實施例還可調用可信硬件生成加密的交換數據的摘要值，以在交換回交換數據時能夠進行完整性驗證提供基準。本申請實施例可提升交換數據的安全性。

技術領域

本申請實施例涉及數據處理技術領域，具體涉及一種頁交換方法、裝置、CPU、可信硬件及計算機設備。

背景技術

在計算機體系中，物理內存有限的內存空間往往無法滿足應用程序對于內存空間的使用需求，因此為提高物理內存的利用率，操作系統內核可將物理內存中最近訪問頻次較少或者最近未被訪問的數據交換到硬盤中，從而釋放物理內存的內存空間，而在需要使用物理內存交換出的數據時，操作系統內核可再從硬盤中將數據交換回到物理內存中；由于物理內存一般使用內存頁進行數據管理，因此上述機制也稱為頁交換(swapping)機制，在頁交換機制中，物理內存交換到硬盤的數據可稱為是交換數據。

雖然頁交換機制有助于操作系統提升物理內存的利用率，但是物理內存交換到硬盤的交換數據存在著安全風險，因此如何改進頁交換方案，以提升交換數據的安全性，成為了本領域技術人員亟需解決的問題。

發明內容

有鑒于此，本申請實施例提供一種頁交換方法、裝置、CPU、可信硬件及計算機設備，以提升交換數據的安全性。

為實現上述目的，本申請實施例提供如下技術方案：

一種頁交換方法，應用于CPU，所述方法包括：

確定物理內存中待釋放的第一內存頁，所述第一內存頁的數據為待交換到硬盤的交換數據；

在物理內存中申請臨時內存空間；

調用可信硬件的密鑰生成命令，以控制所述可信硬件生成對所述交換數據進行加解密的第一密鑰；

調用可信硬件的加密命令，以控制所述可信硬件使用所述第一密鑰對非加密狀態的交換數據進行加密，其中，加密的交換數據緩存在所述臨時內存空間中；

將所述臨時內存空間中緩存的加密的交換數據加載至硬盤，并釋放所述第一內存頁和所述臨時內存空間。

可選的，在將所述臨時內存空間中緩存的加密的交換數據加載至硬盤之前，所述方法還包括：

調用可信硬件的摘要生成命令，以控制所述可信硬件生成加密的交換數據的第一摘要值；

調用可信硬件的存儲空間寫命令，以控制所述可信硬件將所述第一摘要值寫入可信硬件對應的存儲空間。

本申請實施例還提供一種頁交換方法，應用于可信硬件，所述方法包括：

基于CPU調用的密鑰生成命令生成第一密鑰，所述第一密鑰用于對交換數據進行加解密，所述交換數據為物理內存中待釋放的第一內存頁的數據；

基于CPU調用的加密命令，使用所述第一密鑰對非加密狀態的交換數據進行加密；

將加密的交換數據緩存至CPU在物理內存中申請的臨時內存空間，以便CPU將所述臨時內存空間中緩存的加密的交換數據加載至硬盤。

可選的，在將加密的交換數據緩存至CPU在物理內存中申請的臨時內存空間之前，所述方法還包括：

基于CPU調用的摘要生成命令，生成加密的交換數據的第一摘要值；