[发明专利]一种内存访问方法、装置、设备及存储介质

说明书

本申请公开了一种内存访问方法、装置、设备及存储介质，包括：获取目标用户的访问请求；其中，所述访问请求中包含与所述目标用户对应的内存数据所在的目标地址空间信息；基于所述访问请求利用在处理器中预先存储的所述目标用户的密钥对对所述目标用户进行身份验证；如果验证通过，则对所述访问请求中的所述目标地址空间对应的内存属性进行设置，以使所述目标用户具有对所述目标地址空间进行访问的访问权限。可见，本申请能够使得地址空间相互不可见，提高用户代码数据的安全性，同时无需对用户程序进行改造即可并发执行访问。

技术领域

本发明涉及计算机技术领域，特别涉及一种内存访问方法、装置、设备及存储介质。

背景技术

现有计算机体系结构内存空间受内存控制器管理，与处理器架构密切相关，但高级权限用户或系统管理员能够看到几乎所有的计算和内存资源，且攻击者一旦攻破获得权限，则用户代码和数据可被窃取和更改。一般外挂式防护软件难以解决。用户有自身程序数据不被其他用户、系统管理员看到的需求。Intel SGX是解决用户隐私的一种架构方法，但是用户程序改造较大，需要新的SDK，且运行空间小，难以并发执行。

因此，如何提高内存访问的安全性是本领域技术人员亟待解决的技术问题。

发明内容

有鉴于此，本发明的目的在于提供一种内存访问方法、装置、设备及存储介质，能够使得地址空间相互不可见，提高用户代码数据的安全性，同时无需对用户程序进行改造即可并发执行访问。其具体方案如下：

本申请的第一方面提供了一种内存访问方法，包括：

获取目标用户的访问请求；其中，所述访问请求中包含与所述目标用户对应的内存数据所在的目标地址空间信息；

基于所述访问请求利用在处理器中预先存储的所述目标用户的密钥对对所述目标用户进行身份验证；

如果验证通过，则对所述访问请求中的所述目标地址空间对应的内存属性进行设置，以使所述目标用户具有对所述目标地址空间进行访问的访问权限。

可选的，所述内存访问方法，还包括：

将所述处理器在物理层面上划分为同构双核的第一区域和第二区域；其中，所述第一区域为用户区，所述第二区域为安全区；

将所述密钥对分开存储至所述第一区域和所述第二区域。

可选的，所述将所述密钥对分开存储至所述第一区域和所述第二区域，包括：

将所述密钥对中的私钥和公钥分别存储至所述第一区域和所述第二区域。

可选的，所述基于所述访问请求利用在处理器中预先存储的所述目标用户的密钥对对所述目标用户进行身份验证，包括：

利用所述第一区域中存储的所述目标用户的所述私钥对所述访问请求进行私钥签名后利用相应的所述公钥进行验签，如果验签成功，则判定身份验证通过。

可选的，所述对所述访问请求中的所述目标地址空间对应的内存属性进行设置，以使所述目标用户具有对所述目标地址空间进行访问的访问权限，包括：

利用内存缓冲器对所述访问请求中的所述目标地址空间对应的所述内存属性进行动态设置，以使所述目标用户具有对所述目标地址空间进行访问的访问权限。

可选的，所述内存访问方法，还包括：

当所述目标用户对所述目标地址空间访问完毕后，基于所述目标用户的防护请求利用在所述处理器中预先存储的所述目标用户的所述密钥对对所述目标用户进行身份验证；

如果验证通过，则对所述目标地址空间对应的内存属性进行设置，以使任何用户均不具有对所述目标地址空间进行访问的访问权限。

可选的，所述内存访问方法，还包括：