公开(公告)号：CN107516052A

公开(公告)日：2017-12-26

申请号：CN201710693293.X

申请日：2017-08-14

Applicant: 致象尔微电子科技(上海)有限公司

Inventor： 钟大江 ,  杜朝晖 ,  应志伟 ,  方之熙

IPC: G06F21/79 ,  G06F21/57

CPC classification number: G06F21/79 ,  G06F21/57

Abstract: 本发明涉及一种内存访问隔离方法，方法包括：获取任务请求的内存页框物理地址和CPU运行时的任务信息，运行时的任务信息包括：任务号和任务运行环境信息；通过查询页框属性表得到页框物理地址对应的任务信息；页框属性表中包含多个条目，每个条目记录了该页框地址对应的任务信息和访问控制信息；通过比较CPU运行时的任务信息和查询页框属性表得到的任务信息判断是否允许该任务访问页框。本发明能借助硬件，完全隔离不同CPU运行环境下，操作系统对于用户任务的内存访问以及任务间的内存互访。还能与内存加密技术共同使用，如果结合使用，则能做到隔离了操作系统对普通任务访问的同时还能对内存加密，能取得更好的防止软件和硬件攻击的效果。

公开(公告)号：CN107368354A

公开(公告)日：2017-11-21

申请号：CN201710657661.5

申请日：2017-08-03

Applicant: 致象尔微电子科技(上海)有限公司

Inventor： 钟大江 ,  杜朝晖 ,  应志伟 ,  方之熙

IPC: G06F9/455

CPC classification number: G06F9/45558 ,  G06F2009/45583 ,  G06F2009/45587

Abstract: 本发明涉及一种虚拟机安全隔离方法，包括：获取虚拟机或虚拟机管理器所请求的内存页框物理地址，CPU运行时虚拟机标签。通过页框地址检查器查询页框属性表，得到内存页框物理地址对应的虚拟机标签。根据查询页框属性表获取的虚拟机标签,判断是否允许虚拟机或虚拟机管理器访问该内存页框。本发明能完全隔离虚拟机管理器对虚拟机物理内存访问和虚拟机之间的内存互访。如果与内存加密技术相结合，则能做到虚拟机之间或虚拟机管理器和虚拟机之间，完全的物理内存空间访问隔离同时又能对内存加密。如果单独使用，由于不需要内存加解密环节，在取得完全隔离虚拟机之间或虚拟机管理器和虚拟机之间访问的安全前提下，可以达到比AMD的SEV更好的内存访问效率。