[发明专利]一种进程安全方法、装置、CPU、芯片及计算机设备

权利要求书

1.一种进程安全方法，其特征在于，包括：

在主机虚拟地址中分配与共享内存空间对应的目标主机虚拟地址空间；其中，所述共享内存空间为父进程和子进程共享的内存空间，所述共享内存空间保存父进程的代码数据，所述代码数据基于虚拟机的密钥以及所述共享内存空间的物理地址进行加密；

运行虚拟机，若检测到父进程调用用于创建子进程的第一系统调用，分配与子进程对应的客户机虚拟地址，在虚拟机建立所述客户机虚拟地址到所述目标主机虚拟地址空间的页表映射；

在执行子进程时，基于所述页表映射，使用所述共享内存空间中的代码数据。

2.根据权利要求1所述的进程安全方法，其特征在于，所述在主机虚拟地址中分配与共享内存空间对应的目标主机虚拟地址空间包括：

在父进程的主机虚拟地址中申请空闲的主机虚拟地址空间，作为目标主机虚拟地址空间；所述目标主机虚拟地址空间不同于，父进程的代码数据在所述主机虚拟地址中已对应的主机虚拟地址空间；

设置所述目标主机虚拟地址空间的属性为共享内存属性，以使所述目标主机虚拟地址空间对应的内存空间由父进程和子进程共享。

3.根据权利要求2所述的进程安全方法，其特征在于，还包括：

拷贝父进程的代码数据，基于所述目标主机虚拟地址空间，建立拷贝的父进程的代码数据对应的虚拟机页表映射，以使得guest模式下使用拷贝的父进程的代码数据。

4.根据权利要求3所述的进程安全方法，其特征在于，所述代码数据在guest模式下，基于虚拟机的密钥以及所述共享内存空间的物理地址进行加密。

5.根据权利要求1所述的进程安全方法，其特征在于，所述基于所述页表映射，使用所述共享内存空间中的代码数据包括：

在guest模式下，基于所述页表映射，确定子进程对应的客户机虚拟地址所映射的目标主机虚拟地址空间；

基于嵌套页表，确定所述目标主机虚拟地址空间对应的主机物理地址空间；

根据所述主机物理地址空间，使用共享内存空间中的代码数据。

6.根据权利要求1所述的进程安全方法，其特征在于，在guest模式下，分配与子进程对应的客户机虚拟地址，并在虚拟机建立所述客户机虚拟地址到所述目标主机虚拟地址空间的页表映射。

7.根据权利要求1所述的进程安全方法，其特征在于，还包括：

若检测到进程调用的系统调用不为第一系统调用，在进程的主机虚拟地址中申请第一主机虚拟地址空间，所述第一主机虚拟地址空间不同于进程的代码数据在主机虚拟地址中已对应的第二主机虚拟地址空间；

拷贝进程的代码数据，基于所述第一主机虚拟地址空间，建立拷贝的进程的代码数据对应的虚拟机页表映射；

在嵌套页表中映射所述第一主机虚拟地址空间对应的主机物理地址空间；其中，guest模式使用所述第一主机虚拟地址空间映射的拷贝的代码数据，host模式使用第二主机虚拟地址空间映射的代码数据。

8.根据权利要求1-7任一项所述的进程安全方法，其特征在于，所述代码数据包括代码段。

9.一种进程安全装置，其特征在于，包括：

共享虚拟地址空间分配模块，用于在主机虚拟地址中分配与共享内存空间对应的目标主机虚拟地址空间；其中，所述共享内存空间为父进程和子进程共享的内存空间，所述共享内存空间保存父进程的代码数据，所述代码数据基于虚拟机的密钥以及所述共享内存空间的物理地址进行加密；

映射模块，用于运行虚拟机，若检测到父进程调用用于创建子进程的第一系统调用，分配与子进程对应的客户机虚拟地址，在虚拟机建立所述客户机虚拟地址到所述目标主机虚拟地址空间的页表映射；

数据使用模块，用于在执行子进程时，基于所述页表映射，使用所述共享内存空间中的代码数据。