-
公开(公告)号:CN116108454B
公开(公告)日:2023-06-30
申请号:CN202310377569.9
申请日:2023-04-06
Applicant: 支付宝(杭州)信息技术有限公司
IPC: G06F21/57 , G06F21/60 , G06F9/50 , G06F12/1009
Abstract: 本说明书实施例中提供了一种内存页面管理方法及装置。执行该方法的计算设备包括处理器和内存,该处理器包括内存加解密引擎MEE,该内存中包括安全内存区域。在从安全内存区域中确定出待换出的第一内存页面后,可以从安全内存区域外的普通内存中确定出第二内存页面;然后通过MEE实现根据第一内存页面的物理地址对存储在第一内存页面上的目标数据进行加密,获得目标密文并将其写入第二内存页面;进而释放该第一内存页面并锁定第二内存页面,使得该目标数据仅允许从第二内存页面换入安全内存区域。
-
公开(公告)号:CN116701251A
公开(公告)日:2023-09-05
申请号:CN202310652093.5
申请日:2023-06-02
Applicant: 支付宝(杭州)信息技术有限公司
IPC: G06F12/14 , G06F12/1027 , G06F21/53
Abstract: 本说明书实施例提供在一种在计算设备中管理TLB的方法和对应的计算设备。该计算设备通过虚拟机监控器部署有多个虚拟机,所述多个虚拟机包括,运行普通执行环境的普通虚拟机,以及运行TEE实例的安全虚拟机,所述计算设备具有多个CPU核。上述方法包括,响应于修改安全内存的目标请求,普通执行环境向运行安全虚拟机的若干CPU核发送核间中断IPI。其中安全虚拟机对应的控制数据包括TLB控制域,所述TLB控制域预先被设置为目标值,该值指示在退出安全虚拟机时刷除该虚拟机所有的TLB。于是,响应于所述IPI,上述若干CPU核从运行安全虚拟机的安全模式退出,并根据上述目标值的指示,刷除对应虚拟机所有的TLB。
-
公开(公告)号:CN112364343A
公开(公告)日:2021-02-12
申请号:CN202011280930.9
申请日:2020-11-16
Applicant: 支付宝(杭州)信息技术有限公司
Abstract: 本说明书实施例提出了一种虚拟机监控器秘密的保护方法、装置和电子设备,其中,上述虚拟机监控器秘密的保护方法中,Host OS kernel从initramfs中加载虚拟机监控器,度量虚拟机监控器的完整性,将完整性度量值扩展到TPM的寄存器中,之后在任何用户态应用执行之前启动虚拟机监控器;虚拟机监控器在TPM的非易失存储器中查找加密数据;如果查找到,则虚拟机监控器读取所述加密数据,使用TPM的寄存器中的所述完整性度量值,对所述加密数据进行解封操作,获得秘密,并将所述秘密保存在所述虚拟机监控器的内存中;所述虚拟机监控器扩展常数到TPM的寄存器中,掩盖TPM的寄存器中的所述完整性度量值。
-
公开(公告)号:CN111966470A
公开(公告)日:2020-11-20
申请号:CN202010935373.3
申请日:2020-09-08
Applicant: 支付宝(杭州)信息技术有限公司
Abstract: 本说明书实施例提出了一种虚拟机监控器的加载方法、装置和电子设备,其中,上述虚拟机监控器的加载方法中,操作系统的启动加载器(boot loader)加载Host OS kernel和initramfs之后,上述Host OS kernel将上述initramfs安装到内存中的临时根目录(/),将控制权转移给上述initramfs的内存中的临时根目录下的初始化程序(/init),进入早期用户空间开始执行,然后上述initramfs的初始化程序调用钩子函数进行hypervisor的加载,在上述hypervisor加载完成之后,上述initramfs的初始化程序完成对磁盘上的真正根文件系统的安装(mount),并将控制权移交给上述真正根文件系统下的初始化程序。从而可以实现在系统完成内核加载之后并且进入用户空间之前实现虚拟机监控器的可信加载。
-
公开(公告)号:CN113448682B
公开(公告)日:2024-04-19
申请号:CN202010231214.5
申请日:2020-03-27
Applicant: 支付宝(杭州)信息技术有限公司
IPC: G06F9/455
Abstract: 本说明书实施例公开了一种虚拟机监控器加载方法、装置及电子设备,在宿主机上配置有操作系统、动态可信模块、虚拟机和用于管理所述虚拟机的虚拟机监控器,该方法包括:根据宿主机的操作系统调用动态可信模块,基于动态可信模块来确定与虚拟机监控器对应的完整性度量值,并将完整性测量值在TPM的PCR寄存器中进行扩展,根据完整性度量值来加载虚拟机监控器,然后基于虚拟机监控器来将操作系统降格为客户机模式,可以安全地加载虚拟机监控器。
-
Patent Agency Ranking
公开(公告)号:CN111966470B
公开(公告)日:2023-11-14
申请号:CN202010935373.3
申请日:2020-09-08
Applicant: 支付宝(杭州)信息技术有限公司
Abstract: 本说明书实施例提出了一种虚拟机监控器的加载方法、装置和电子设备,其中,上述虚拟机监控器的加载方法中,操作系统的启动加载器(boot loader)加载Host OS kernel和initramfs之后,上述Host OS kernel将上述initramfs安装到内存中的临时根目录(/),将控制权转移给上述initramfs的内存中的临时根目录下的初始化程序(/init),进入早期用户空间开始执行,然后上述initramfs的初始化程序调用钩子函数进行hypervisor的加载,在上述hypervisor加载完成之后,上述initramfs的初始化程序完成对磁盘上的真正根文件系统的安装(mount),并将控制权移交给上述真正根文件系统下的初始化程序。从而可以实现在系统完成内核加载之后并且进入用户空间之前实现虚拟机监控器的可信加载。
-
公开(公告)号:CN116628461A
公开(公告)日:2023-08-22
申请号:CN202310673206.X
申请日:2023-06-07
Applicant: 支付宝(杭州)信息技术有限公司
Abstract: 本说明书实施例公开了一种数据合规处理方法、装置以及设备。方案包括:确定数据处理流程已执行到合规检查点;确定匹配于所述合规检查点的合规代码,将该合规代码作为目标合规代码,所述合规代码是对包含了合规对象的元数据及其验证方式的合规策略进行代码化得到的;根据所述数据处理流程的合规对象的待检查信息,通过合规执行引擎执行所述目标合规代码,得到对所述数据处理流程在所述合规检查点的检查结果。
-
公开(公告)号:CN116126477A
公开(公告)日:2023-05-16
申请号:CN202310376985.7
申请日:2023-04-04
Applicant: 支付宝(杭州)信息技术有限公司
Abstract: 本说明书实施例中提供了一种计算设备中访问TPM的方法和计算设备,该计算设备中部署有虚拟机监控器和至少一个虚拟机。在至少一个虚拟机中存在第一虚拟机期望访问TPM的情况下,该第一虚拟机可以向虚拟机监控器对应的提供请求访问TPM的第一通知消息;虚拟机监控器可以响应于所述第一通知消息,确定TPM是否已被锁定,并在TPM未被锁定的情况下锁定TPM,使得TPM仅允许被第一虚拟机访问,并向第一虚拟机返回第一决策消息;第一虚拟机可以响应于该第一决策信息,开始对TPM进行第一访问操作,并在结束第一访问操作后向虚拟机监控器提供第二通知消息;虚拟机监控器可以响应于第二通知消息,解除对TPM的锁定。
-
公开(公告)号:CN112364343B
公开(公告)日:2022-05-06
申请号:CN202011280930.9
申请日:2020-11-16
Applicant: 支付宝(杭州)信息技术有限公司
Abstract: 本说明书实施例提出了一种虚拟机监控器秘密的保护方法、装置和电子设备,其中,上述虚拟机监控器秘密的保护方法中,Host OS kernel从initramfs中加载虚拟机监控器,度量虚拟机监控器的完整性,将完整性度量值扩展到TPM的寄存器中,之后在任何用户态应用执行之前启动虚拟机监控器;虚拟机监控器在TPM的非易失存储器中查找加密数据;如果查找到,则虚拟机监控器读取所述加密数据,使用TPM的寄存器中的所述完整性度量值,对所述加密数据进行解封操作,获得秘密,并将所述秘密保存在所述虚拟机监控器的内存中;所述虚拟机监控器扩展常数到TPM的寄存器中,掩盖TPM的寄存器中的所述完整性度量值。
-
公开(公告)号:CN113448682A
公开(公告)日:2021-09-28
申请号:CN202010231214.5
申请日:2020-03-27
Applicant: 支付宝(杭州)信息技术有限公司
IPC: G06F9/455
Abstract: 本说明书实施例公开了一种虚拟机监控器加载方法、装置及电子设备,在宿主机上配置有操作系统、动态可信模块、虚拟机和用于管理所述虚拟机的虚拟机监控器,该方法包括:根据宿主机的操作系统调用动态可信模块,基于动态可信模块来确定与虚拟机监控器对应的完整性度量值,并将完整性测量值在TPM的PCR寄存器中进行扩展,根据完整性度量值来加载虚拟机监控器,然后基于虚拟机监控器来将操作系统降格为客户机模式,可以安全地加载虚拟机监控器。
-
-
-
-
-
-
-
-
-
Search Results
16
records
(took 0.062 seconds)
