[发明专利]一种虚拟机安全隔离方法

权利要求书

1.一种虚拟机安全隔离方法，其特征在于，所述方法包括：

步骤101：获取虚拟机或者虚拟机管理器所请求的内存页框的物理地址和CPU运行时虚拟机标签；

步骤102：通过页框地址检查器查询页框属性表，得到所述内存页框的物理地址对应的虚拟机标签；

步骤103：通过比较CPU运行时虚拟机标签和查询页框属性表得到的虚拟机标签判断是否允许所述虚拟机或者虚拟机管理器访问所述内存页框，

其中，所述步骤103具体包括：

步骤104：判断所述查询页框属性表得到的虚拟机标签是否为共享页框标识；

步骤105：判断所述查询页框属性表得到的虚拟机标签和CPU运行时虚拟机标签是否相等；

在步骤104和步骤105中任意步骤判断为是，则允许访问，否则拒绝访问。

2.根据权利要求1所述的方法，其特征在于，所述页框属性表中包含多个条目，每个条目记录一个内存页框与允许访问该内存页框的虚拟机或虚拟机管理器的对应关系。

3.根据权利要求1所述的方法，其特征在于，所述查询页框属性表具体包括，用所述物理地址减去系统主内存起始地址，得到的差除以页框大小，再乘以页框属性表条目大小，最后再用得到的乘积加上页框属性表基址，找到该物理地址对应的页框属性表条目地址，从而取得对应的虚拟机标签(VMID)。

4.根据权利要求1所述的方法，其特征在于，所述页框属性表的存储位置包括：主内存中划分出的一段连续或非连续物理内存，或者独立于主内存外的一块高速存储器。

5.根据权利要求1所述的方法，其特征在于，所述页框地址检查器是一个硬件电路模块。

6.根据权利要求1所述的方法，其特征在于，还包括步骤：初始化页框属性表和更新页框属性表。

7.根据权利要求6所述的方法，其特征在于，所述初始化页框属性表包括，当系统冷启动或重启后，系统根据页框属性表的配置会把页框属性表的物理地址范围空间告诉给安全处理器，当系统启动完成后，仅由安全处理器将页框属性表中的内容初始化为默认值。

8.根据权利要求6所述的方法，其特征在于，所述更新页框属性表包括，虚拟机管理器删除、增加或修改nPT(嵌套页表)、sPT(影子页表)或PT(页表)条目，然后通知安全处理器，所述安全处理器将对页框地址对应的页框属性表条目写入更新后的虚拟机标签(VMID)。