[发明专利]Linux操作系统内存页面即时加解密方法和系统有效
| 申请号: | 201710367829.9 | 申请日: | 2017-05-23 |
| 公开(公告)号: | CN107330336B | 公开(公告)日: | 2020-02-14 |
| 发明(设计)人: | 周洪伟;原锦辉;孔志印;刘磊;马婧;关慧;肖锐;张凯;孙竟尧 | 申请(专利权)人: | 中国人民解放军信息工程大学 |
| 主分类号: | G06F21/60 | 分类号: | G06F21/60;G06F21/79 |
| 代理公司: | 41111 郑州大通专利商标代理有限公司 | 代理人: | 陈大通 |
| 地址: | 450000 河*** | 国省代码: | 河南;41 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | linux 操作系统 内存 页面 即时 解密 方法 系统 | ||
1.一种Linux操作系统内存页面即时加解密方法,其特征在于,包括以下步骤:
步骤1,页面标识
页面标识包括保护页面标识和受限状态标识;保护页面标识用于操作系统识别需要保护的页面,分为动态实时页面标识和静态预页面标识两种情况;受限状态标识用于操作系统识别保护页面的明密文状态;
步骤2,页面解密
处理器在访问某个地址之前,检查目标地址所在页面是否在内存中,即缺页检查,如果目标地址所在页面在内存中,操作系统检查处理器所要访问地址所在页面是否为受限页面,如果处理器所要访问地址所在页面为受限页面,那么处理器无法直接访问,操作系统发出访问受限页面中断,将受限页面转换为非受限页面,完成对受限页面的解密操作;
步骤3,页面加密
在内核中增设页面加密服务例程,由该页面加密服务例程周期性检查和批量加密非受限页面,即定时对所有非受限页面进行检查,如果存在非受限页面长时间不被处理器所访问,再对其进行加密,将其转换为受限页面。
2.根据权利要求1所述的Linux操作系统内存页面即时加解密方法,其特征在于,所述步骤1中动态实时页面标识是指进程根据需要动态向操作系统申请保护页面,以便存储秘密信息,动态实时页面标识是由申请保护页面的函数接口PPmalloc和取消保护页面的函数接口PPfree实现的,具体为:
PPmalloc是在传统C库函数malloc的基础上增加了页面标识功能,具体来说,PPmalloc首先利用传统的malloc函数申请相应的存储空间,然后利用新增系统调用PPSet来标识malloc函数申请的页面;
PPfree是在传统C库函数free的基础上增加了页面标识功能,其目的是取消PPmalloc函数所申请的保护页面;
PPSet系统调用根据所给的首地址以及存储空间范围大小,标识所涵盖的页面为保护页面或者取消保护页面的标识。
3.根据权利要求1所述的Linux操作系统内存页面即时加解密方法,其特征在于,所述步骤1中静态预页面标识是指在程序装入内存前就提前对需要保护的秘密数据所在页框进行标识,具体为:
对Linux操作系统的ELF文件格式进行解析,将秘密数据所在位置进行标识,并将标识结果存储于附属的标识文件,当ppexec系统调用装载程序时,将标识文件装载入内核形成标识数据;为了标识进程对应的页表中相应的标志字,增加缺页中断服务程序的工作内容,要求缺页中断在装载页面的同时也更新页面对应页表项的标志字。
4.根据权利要求1所述的Linux操作系统内存页面即时加解密方法,其特征在于,所述步骤2中访问受限页面中断的具体工作流程为:
步骤2.1,中断服务程序读取产生中断的目标地址,查获目标地址所在页面所对应的页表项;
步骤2.2,中断服务程序读取目标页面的内容,对其进行解密,将受限页面转换为非受限页面;
步骤2.3,中断服务程序查获目标页面所对应的页表项的标志字,更新该页面对应页表项的标志字,当中断服务程序返回后,处理器直接访问该页面。
5.根据权利要求1所述的Linux操作系统内存页面即时加解密方法,其特征在于,
所述步骤3中页面加密服务例程周期性检查和批量加密非受限页面的具体过程为:
内核维护一个非受限页面单链表,当受限页面转换为非受限页面后,内核将在非受限页面单链表中增加一个新的节点,记录新增加非受限页面的基本信息,页面加密服务例程周期性检查该单链表,检查页表项以及页面访问信息,得到待加密非受限页面集,页面加密服务例程将加密待处理的非受限页面转换为受限页面,然后更新对应页面的页表项标志字,最后从非受限页面单链表中删除该节点。
6.根据权利要求1或者5所述的Linux操作系统内存页面即时加解密方法,其特征在于,所述页面加密服务例程采用最近最久未使用算法来筛选待处理的非受限页面集,最近最久未使用是指从若干页面中挑选最近一段时间最久没有使用的页面。
7.一种Linux操作系统内存页面即时加解密系统,包括用户接口和内核,用户接口经过系统调用向内核提出服务请求,其特征在于,所述内核包括页面标识单元、页面加密单元和页面解密单元;
页面标识单元,用于标识需要保护的页面或者取消需要保护的页面;页面标识包括保护页面标识和受限状态标识;保护页面标识用于操作系统识别需要保护的页面,分为动态实时页面标识和静态预页面标识两种情况;受限状态标识用于操作系统识别保护页面的明密文状态;
页面加密单元,用于页面暂时不被访问时,对保护页面进行加密操作;在内核中增设页面加密服务例程,由该页面加密服务例程周期性检查和批量加密非受限页面,即定时对所有非受限页面进行检查,如果存在非受限页面长时间不被处理器所访问,再对其进行加密,将其转换为受限页面;
页面解密单元,用于在页面被处理器访问时,及时对保护页面进行解密操作;处理器在访问某个地址之前,检查目标地址所在页面是否在内存中,即缺页检查,如果目标地址所在页面在内存中,操作系统检查处理器所要访问地址所在页面是否为受限页面,如果处理器所要访问地址所在页面为受限页面,那么处理器无法直接访问,操作系统发出访问受限页面中断,将受限页面转换为非受限页面,完成对受限页面的解密操作。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国人民解放军信息工程大学,未经中国人民解放军信息工程大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201710367829.9/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种计算机安全开机方法
- 下一篇:一种带防后溜的多功能发动机及三轮摩托车
