[发明专利]一种内存隔离的装置、内存隔离方法和相关设备

说明书

本申请实施例公开了一种内存隔离的装置、内存隔离方法和相关设备，该装置包括：包括：内存加扰单元和内存控制器；内存加扰单元，用于接收第一进程标识符、第一物理地址和第一数据；内存加扰单元，还用于基于第一进程标识符和第一物理地址进行秘钥派生，生成第一秘钥；内存加扰单元，还用于使用第一秘钥对第一数据进行加扰，生成第二数据；内存控制器，用于将第二数据写入第一物理地址对应的存储区域。本申请实施例中，通过独立的内存加扰单元，依据每个应用程序所对应的进程标识符，对数据进行加扰。可实现硬件级的内存安全隔离。提升了数据的安全性。

技术领域

本申请涉及计算机技术领域，尤其涉及一种内存隔离的装置、内存隔离方法和相关设备。

背景技术

在计算机领域，确保信息安全是非常重要的。随着计算机系统环境越来越复杂，应用程序越来越丰富，如何保证用户以及每个应用程序的数据安全成为业界研究的热点，而其中内存隔离是安全保障的关键措施之一。

目前，常用的内存隔离方法如下：通过创建两级地址映射表，将每个应用程序(application)的虚拟地址空间隔离开来，如果不知道地址映射关系(地址映射表)，则无法获取对应的物理地址，也就无法实现对应的存储区域访问。只要将地址映射表保护起来，使得每个应用程序不能直接访问和修改存储区域，则实现各个应用程序之间的内存隔离。

然而，目前的内存隔离方法所使用的地址映射表，该地址映射表的保护是基于软件机制实现的，有可能通过修改地址映射表实现对应的访问，破解内存隔离，依然存在较高的安全风险。因此，如何提升不同应用之间内存隔离的安全性亟待解决。

发明内容

本申请实施例提供了一种内存隔离的装置、内存隔离方法以及相关设备，实现了各个进程之间的内存隔离，提升了数据的安全性。

为解决上述技术问题，本申请实施例提供以下技术方案：

第一方面，本申请实施例提供了一种内存隔离的装置，可以包括：内存加扰单元和内存控制器；内存加扰单元，用于接收总线传输的第一进程标识符(process identifier，PID)、第一物理地址和第一数据，其中，第一应用程序对应一个或多个进程，操作系统为每个进程分配唯一的进程标识符，第一进程标识符对应于第一应用程序，第一物理地址为第一应用程序申请到的第一虚拟地址对应的物理地址，第一数据为第一应用程序待写入存储区域的数据；内存加扰单元，还用于基于第一进程标识符和第一物理地址进行秘钥派生，生成第一秘钥，例如：使用MD5信息摘要算法(MD5 Message-Digest Algorithm)对第一进程标识符和第一物理地址进行秘钥派生，生成长度为128比特(binary digit，BIT)的第一秘钥；内存加扰单元，还用于使用第一秘钥对第一数据进行加扰，生成第二数据；内存控制器，用于将第二数据写入第一物理地址对应的存储区域。

在本申请实施例中，内存隔离的装置中通过引入独立的内存加扰单元，依据每个应用程序所对应的进程标识符，对数据进行加扰。以保证写入的数据的安全性。基于独立的内存加扰单元对数据进行加扰，可实现硬件级的内存安全隔离。由于每个应用程序对应一个或多个进程，每个进程对应唯一一个进程标识符。不同进程由于所配置的进程标识符不同，因此不同进程无法相互读取加扰后的数据，实现了各个进程之间的内存隔离。