公开(公告)号：CN116680096A

公开(公告)日：2023-09-01

申请号：CN202310644917.4

申请日：2023-06-01

Applicant: 支付宝(杭州)信息技术有限公司

Inventor： 徐依凌 ,  刘双 ,  段然 ,  闫守孟

IPC: G06F9/54 ,  G06F9/455 ,  G06F11/30

Abstract: 一种共享内存的管理方法、虚拟机监控器和计算设备，计算设备中部署虚拟机监控器、虚拟机和TEE，虚拟机和TEE中各自运行目标应用程序的非可信部分和可信部分；虚拟机和虚拟机监控器中配置有共享内存的地址信息，分别维护有非可信部分的第一页表和可信部分的第二页表。虚拟机监控器在可信部分请求访问第一地址而发生缺页错误，并且根据地址信息确定第一地址属于共享内存时，向虚拟机发送中断通知，使得虚拟机在根据地址信息确定出第一地址属于共享内存后，确保第一页表中已生效第一页表项，并向虚拟机监控器返回响应消息，第一页表项包括第一地址所属第一页面的地址映射信息；相应的是虚拟机监控器可以根据地址映射信息在第二页表中生效第二页表项。

公开(公告)号：CN116595539A

公开(公告)日：2023-08-15

申请号：CN202310576391.0

申请日：2023-05-19

Applicant: 支付宝(杭州)信息技术有限公司

Inventor： 朱伯君 ,  刘双 ,  闫守孟

IPC: G06F21/57 ,  G06F21/78 ,  G06F9/455

Abstract: 本说明书实施例提供一种针对目标TEE应用的访存管理方法及系统，在管理方法中，虚拟机管理器获取目标TEE应用执行中产生的第一缺页异常信息，其中指示出第一虚拟页。响应于在目标TEE应用对应的目标安全页表中未查询到第一虚拟页对应的绑定关系，虚拟机管理器将第一缺页异常信息注入到普通执行环境REE中的操作系统中。操作系统响应于第一缺页异常信息，为第一虚拟页绑定第一物理页，并将对应的第一绑定关系和第一物理页的第一元数据提供给虚拟机管理器。虚拟机管理器将第一绑定关系添加到目标安全页表中，并在用于记录各TEE应用的安全内存信息的安全内存表中，添加第一记录，该第一记录包括第一物理页和第一元数据。

公开(公告)号：CN116108454A

公开(公告)日：2023-05-12

申请号：CN202310377569.9

申请日：2023-04-06

Applicant: 支付宝(杭州)信息技术有限公司

Inventor： 刘双 ,  陈洲 ,  闫守孟

IPC: G06F21/57 ,  G06F21/60 ,  G06F9/50 ,  G06F12/1009

Abstract: 本说明书实施例中提供了一种内存页面管理方法及装置。执行该方法的计算设备包括处理器和内存，该处理器包括内存加解密引擎MEE，该内存中包括安全内存区域。在从安全内存区域中确定出待换出的第一内存页面后，可以从安全内存区域外的普通内存中确定出第二内存页面；然后通过MEE实现根据第一内存页面的物理地址对存储在第一内存页面上的目标数据进行加密，获得目标密文并将其写入第二内存页面；进而释放该第一内存页面并锁定第二内存页面，使得该目标数据仅允许从第二内存页面换入安全内存区域。

公开(公告)号：CN113449292B

公开(公告)日：2022-07-29

申请号：CN202010231197.5

申请日：2020-03-27

Applicant: 支付宝(杭州)信息技术有限公司

Inventor： 秦凯伦 ,  刘双 ,  顾宗敏 ,  闫守孟

IPC: G06F21/53 ,  G06F21/57 ,  G06F9/455

Abstract: 本说明书实施例公开了一种可信应用的运行方法、装置及设备。该方案包括：虚拟机监视器在获取已启动的可信应用对于可信执行环境的创建请求后，可以将所述可信应用已占用的物理CPU确定为虚拟CPU；并从所述可信应用已占用的物理内存中确定出虚拟内存空间；以基于所述虚拟CPU与所述虚拟内存空间，创建具有可信执行环境的虚拟机；从而可以控制所述虚拟机在可信执行环境中去运行所述可信应用。

公开(公告)号：CN113449292A

公开(公告)日：2021-09-28

申请号：CN202010231197.5

申请日：2020-03-27

Applicant: 支付宝(杭州)信息技术有限公司

Inventor： 秦凯伦 ,  刘双 ,  顾宗敏 ,  闫守孟

IPC: G06F21/53 ,  G06F21/57 ,  G06F9/455

Abstract: 本说明书实施例公开了一种可信应用的运行方法、装置及设备。该方案包括：虚拟机监视器在获取已启动的可信应用对于可信执行环境的创建请求后，可以将所述可信应用已占用的物理CPU确定为虚拟CPU；并从所述可信应用已占用的物理内存中确定出虚拟内存空间；以基于所述虚拟CPU与所述虚拟内存空间，创建具有可信执行环境的虚拟机；从而可以控制所述虚拟机在可信执行环境中去运行所述可信应用。

公开(公告)号：CN116126477B

公开(公告)日：2023-07-25

申请号：CN202310376985.7

申请日：2023-04-04

Applicant: 支付宝(杭州)信息技术有限公司

Inventor： 刘双 ,  陈洲 ,  张绪峰 ,  闫守孟

IPC: G06F9/455 ,  G06F21/57 ,  G06F21/60

Abstract: 本说明书实施例中提供了一种计算设备中访问TPM的方法和计算设备，该计算设备中部署有虚拟机监控器和至少一个虚拟机。在至少一个虚拟机中存在第一虚拟机期望访问TPM的情况下，该第一虚拟机可以向虚拟机监控器对应的提供请求访问TPM的第一通知消息；虚拟机监控器可以响应于所述第一通知消息，确定TPM是否已被锁定，并在TPM未被锁定的情况下锁定TPM，使得TPM仅允许被第一虚拟机访问，并向第一虚拟机返回第一决策消息；第一虚拟机可以响应于该第一决策信息，开始对TPM进行第一访问操作，并在结束第一访问操作后向虚拟机监控器提供第二通知消息；虚拟机监控器可以响应于第二通知消息，解除对TPM的锁定。