[发明专利]一种信息处理方法及电子设备

说明书

本发明公开了一种信息处理方法及电子设备，其中，方法包括：获取到针对至少一个虚拟机中第一虚拟机的第一任务的内存访问请求，其中，所述内存访问请求中包括有内存虚拟地址；至少获取所述第一虚拟机的标识信息；基于所述第一任务的内存访问请求确定对应的页表项，从所述页表项中至少获取所述内存虚拟地址对应的目标虚拟机的标识信息；判断所述目标虚拟机的标识信息与所述第一虚拟机的标识信息是否相同得到判断结果，根据所述判断结果确定是否允许所述第一任务进行内存访问。

技术领域

本发明涉及虚拟机管理技术，具体涉及一种应用于电子设备中的信息处理方法及一种电子设备。

背景技术

目前，容器虚拟化技术越来越多的被使用，但容器虚拟机中有些容器运行了非常重要的任务，这种容器就会拥有高权限，我们称之为高权限容器虚拟机。如果这种容器虚拟机中的应用程序知道其他虚拟机的使用的物理地址(PA)，就可以通过修改自身进程的页表的方法访问到其他虚拟机的地址空间；同理，如果这种容器虚拟机中的应用程序知道HOST主机使用的物理地址(PA)，就可以通过修改自身进程的页表的方法访问到HOST主机的地址空间，造成不安全的访问，使得HOST主机沦陷。同样的道理，如果该种容器虚拟机知道其他容器虚拟机设备映射后的地址，就可以访问其他容器虚拟机的设备内容，如读取其他虚拟机网卡的收发报文等。

发明内容

本发明的主要目的在于提出一种信息处理方法及电子设备，旨在解决现有技术中存在的上述问题。

为实现上述目的，本发明提供一种信息处理方法，应用于电子设备，包括：

获取到针对至少一个虚拟机中第一虚拟机的第一任务的内存访问请求，其中，所述内存访问请求中包括有内存虚拟地址；

至少获取所述第一虚拟机的标识信息；

基于所述第一任务的内存访问请求确定对应的页表项，从所述页表项中至少获取所述内存虚拟地址对应的目标虚拟机的标识信息；

判断所述目标虚拟机的标识信息与所述第一虚拟机的标识信息是否相同得到判断结果，根据所述判断结果确定是否允许所述第一任务进行内存访问。

本发明提供一种电子设备，所述电子设备包括：

请求获取单元，用于获取到针对至少一个虚拟机中第一虚拟机的第一任务的内存访问请求，其中，所述内存访问请求中包括有内存虚拟地址；

信息提取单元，用于至少获取所述第一虚拟机的标识信息；基于所述第一任务的内存访问请求确定对应的页表项，从所述页表项中至少获取所述内存虚拟地址对应的目标虚拟机的标识信息；

判定单元，用于判断所述目标虚拟机的标识信息与所述第一虚拟机的标识信息是否相同得到判断结果，根据所述判断结果确定是否允许所述第一任务进行内存访问。

本实施例提供的信息处理方法及电子设备，能够基于针对第一虚拟机的第一任务的访问请求获取到其所要访问的目标虚拟机的标识信息，然后再将该目标虚拟机的标识信息与第一虚拟机的标识信息进行对比，从而判断是否允许该访问请求获取内存。如此，就能够通过增加的虚拟机标识信息域，使得即便高权限容器虚拟机即使知道特定的物理地址，也不能通过映射页表的方式进行跨界访问，从而提升了虚拟机的安全性。

附图说明

图1为本发明实施例中信息处理方法的实现流程示意图1；

图2为本发明实施例中信息处理方法的实现流程示意图2；

图3为本发明实施例中信息处理方法的实现流程示意图3；

图4为本发明实施例中信息处理方法的实现流程示意图4；

图5为本发明实施例中信息处理方法的处理框架示意图；