这一概念还可以进一步引申至更加细粒度的安全概念,即通过设定适当的权限结构,使得系统或进程所拥有的指定内存区域仅能被该系统/进程的部分特定代码所访问。最基本的内存隔离技术包括操作系统中对内存的分段(segmentation)和分页(paging)。两者共同建立了一个支持权限隔离的间接内存访问机制,使得CPU可以在解析间接地址引用时实施访问控制。更先进的内存隔离技术包括扩展页表(Extended Page Tables,EPT)、内存保护扩展(Memory Protection eXtensions,MPX)、软件保护扩展(Software Guard eXtension,SGX)等。其中,扩展页表为虚拟化系统实现对内存的虚拟;内存保护扩展在硬件层面实现内存边界检查;而软件保护扩展则能够在进程内部创建“飞地”(enclaves),以较高的性能开销换取该区域内内存资源与系统其他组件的完全隔离。
首页
[{"ID":42422,"Name":"理学"},{"ID":81272,"Name":"计算机科学技术"},{"ID":81357,"Name":"信息安全"},{"ID":81400,"Name":"信息系统安全"},{"ID":81404,"Name":"软件安全"},{"ID":81407,"Name":"软件安全防御"}]
. 理学 . 计算机科学技术 . 信息安全 . 信息系统安全 . 软件安全 . 软件安全防御内存隔离
/Memory Isolation/
最后更新 2022-01-28
浏览 140次
一种内存数据安全保护技术,其核心思想是:在没有相应权限时,禁止一个软件模块对属于其他软件模块的内存资源进行读/写操作。
- 英文名称
- Memory Isolation
- 所属学科
- 计算机科学与技术
扩展阅读
- Witchel, Emmett, Junghwan Rhee, and Krste Asanović.Mondrix: Memory isolation for Linux using Mondriaan memory protection.ACM SIGOPS Operating Systems Review,2005,39(5):31-44.
- Frassetto T, Jauernig P, Liebchen C, et al.IMIX: In-process memory isolation extension.Proceedings of the 27th USENIX Security Symposium (USENIX Security),2018,83-97.
京公网安备 11010202008139号
