[发明专利]一种虚拟机的嵌套页表管理方法、装置、处理器芯片及服务器

说明书

本发明实施例公开一种虚拟机的嵌套页表管理方法、装置、处理器芯片及服务器，涉及计算机技术领域，能够有效提高嵌套页表和虚拟机的安全性。所述方法包括：虚拟机管理器根据虚拟机产生的嵌套缺页中断请求，为嵌套页表的新页面分配虚拟机物理地址范围和宿主机物理地址范围；所述虚拟机管理器将所述虚拟机物理地址范围和所述宿主机物理地址范围发送给安全处理器；所述安全处理器根据所述虚拟机物理地址范围和所述宿主机物理地址范围，建立虚拟机物理地址与宿主机物理地址之间的映射关系并更新所述嵌套页表，以供所述虚拟机使用。本发明适用于虚拟机相关技术中。

技术领域

本发明涉及计算机技术领域，尤其涉及一种虚拟机的嵌套页表管理方法、装置、处理器芯片及服务器。

背景技术

虚拟机技术是云计算的基础架构技术，云计算是以虚拟机为基本单位实施的。虚拟机有资源隔离，部署快速等优点，但是传统虚拟机在安全方面存在严重缺陷。

安全加密虚拟机是近年来虚拟化领域的一个新趋势。CPU厂商在硬件层面提供对虚拟机内存加密功能，VMM(Virtual Machine Monitor，虚拟机管理器)和安全处理器配合启动虚拟机。虚拟机启动后，其内存数据被加密。只有虚拟机本身能够解密内存数据，VMM无法正确解密虚拟机内存，无法读取虚拟机内存，因而大大提高了虚拟机的安全。

然而，由于安全加密虚拟机的嵌套页表仍然是明文并由VMM管理，攻击者可能会通过攻击安全加密虚拟机的嵌套页表，获取安全加密虚拟机的内存数据，因此安全加密虚拟机仍然存在着很大的安全隐患。

发明内容

有鉴于此，本发明实施例提供一种虚拟机的嵌套页表管理方法、装置、处理器芯片及服务器，能够有效提高嵌套页表和虚拟机的安全性。

第一方面，本发明实施例提供一种虚拟机的嵌套页表管理方法，包括：虚拟机管理器根据虚拟机产生的嵌套缺页中断请求，为嵌套页表的新页面分配虚拟机物理地址范围和宿主机物理地址范围；所述虚拟机管理器将所述虚拟机物理地址范围和所述宿主机物理地址范围发送给安全处理器；所述安全处理器根据所述虚拟机物理地址范围和所述宿主机物理地址范围，建立虚拟机物理地址与宿主机物理地址之间的映射关系并更新所述嵌套页表，以供所述虚拟机使用。

可选的，所述虚拟机管理器将所述虚拟机物理地址范围和所述宿主机物理地址范围发送给安全处理器之后，所述安全处理器根据所述虚拟机物理地址范围和所述宿主机物理地址范围，建立虚拟机物理地址与宿主机物理地址之间的地址映射关系并更新所述嵌套页表之前，所述方法还包括：所述安全处理器检测所述嵌套页表是否被篡改；所述安全处理器根据所述虚拟机物理地址范围和所述宿主机物理地址范围，建立虚拟机物理地址与宿主机物理地址之间的映射关系并更新所述嵌套页表包括：在所述嵌套页表未被篡改的情况下，所述安全处理器根据所述虚拟机物理地址范围和所述宿主机物理地址范围，建立虚拟机物理地址与宿主机物理地址之间的映射关系并更新所述嵌套页表；在所述嵌套页表已被篡改的情况下，所述安全处理器拒绝更新所述嵌套页表。

可选的，所述安全处理器检测所述嵌套页表是否被篡改包括：所述安全处理器按照预设算法确定当前嵌套页表的当前特征值；所述安全处理器比较所述当前特征值与所述安全处理器预先存储的预存特征值的一致性，以检测所述嵌套页表是否被篡改。

可选的，所述预存特征值由所述安全处理器在每次更新所述嵌套页表之后，对更新后的所述嵌套页表执行所述预设算法得到，并存储在所述安全处理器的私有内存中。

可选的，所述方法还包括：所述安全处理器每间隔预设时长检测一次所述嵌套页表是否被篡改；在所述嵌套页表已被篡改的情况下，停止运行所述虚拟机。