-
公开(公告)号:CN119106415A
公开(公告)日:2024-12-10
申请号:CN202411099761.7
申请日:2024-08-12
Applicant: 中国科学院计算技术研究所
Abstract: 本发明提出一种eBPF程序的硬件辅助隔离执行方法,包括:获取待执行的eBPF程序,将该eBPF程序中访问数据页均设置为非特权页面后,通过即时JIT编译将该eBPF程序中所有的内存访问指令发射为非特权访问指令,得到待执行程序;在服务器操作系统的内核态EL1运行该待执行程序,得到运行结果;且在运行该待执行程序的过程中,该待执行程序中的非访存指令以内核态EL1特权级运行,且运行过程中该待执行程序中的访存指令为非特权访问指令,以用户态EL0非特权级运行该非特权访问指令。通过将eBPF程序的内存设置为非特权页,eBPF程序仍然在特权级运行,但被发射为使用非特权的访存指令。由于内核内存被设置为特权页,因此eBPF程序无法访问它们,从而保证了内核的内存安全。
Search Results
1
records
(took 0.028 seconds)
筛选
AND
AND
过滤
NOT
NOT
Scan to Join
