(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211166640.0 (22)申请日 2022.09.23 (71)申请人 北京安帝科技有限公司 地址 100080 北京市海淀区西四环北路158 号1幢9层9H -5-1 (72)发明人 周磊　姜双林　赵时晴　 (74)专利代理 机构 北京星通盈泰知识产权代理 有限公司 1 1952 专利代理师 葛战波 (51)Int.Cl. G06F 21/60(2013.01) G06F 21/79(2013.01) (54)发明名称 多层级权限控制内存保护方法和装置 (57)摘要 本发明公开了多层级权限控制内存保护方 法和装置， 通过完备的分析和判断处理流程覆盖 了整个内存访问过程， 通过对内存访问请求的访 问权限、 访问合法性和访问范围进行层层分析， 降低恶意的内存访问成功率， 提高内存安全性， 并且本发明与现有技术单纯简单的保护机制相 比， 通过对内存访问请求的访问目标内存段/目 标内存表进行分析判断， 通过判断结果选择适应 性的段保护机制/表保护机制对内存访问请求进 行权限检查， 采用多层级的适应性保护机制进一 步提高内存安全性， 保证内存保护达到理想效 果。 权利要求书2页 说明书8页 附图4页 CN 115238297 A 2022.10.25 CN 115238297 A 1.多层级权限控制内存保护方法， 其特 征在于： 包括以下步骤： 接收内存访问请求； 构建初步访问权限分析机制， 通过所述初步访问权限分析机制对所述内存访问请求进 行初步访问权限分析， 若通过所述初步访问权限分析， 则对所述内存访问请求进行内存段 配置/内存表配置的访问权限匹配分析， 根据分析 结果选择对应的保护机制进行内存保护。 2.根据权利要求1所述的方法， 其特征在于： 所述构建初步访 问权限分析机制， 通过所 述初步访问权限分析机制对所述内存访问请求进行初步访问权限分析， 包括： 配置初步访 问权限分析表， 所述初步访 问权限分析表用于记录物理内存的访 问权限， 所述初步访问权限分析表由预设 寄存器定义； 通过所述初步访问权限分析表判断所述内存访问请求是否具有初始访问权限， 其中： 若所述内存访 问请求具有初始访 问权限， 则允许所述内存访 问请求进行访 问， 并判断 所述内存访问请求 通过所述初步访问权限分析； 若所述内存访 问请求不具有初始访 问权限， 则判断所述内存访 问请求为非法访 问， 并 终止此次访问， 同时反馈访问异常。 3.根据权利要求1所述的方法， 其特征在于： 所述则对所述内存访问请求进行内存段配 置/内存表配置的访问权限匹配分析， 包括： 如果所述内存访 问请求所对应的目标内存段/目标内存表配置有访 问权限， 判断所述 内存访问请求是否匹配所述 目标内存段/目标内存表的访问权限， 若所述内存访问请求匹 配所述目标内存段/目标内存表的访问权限， 选择与所述目标内存段/目标内存表对应的保 护机制进行权限检查。 4.根据权利要求3所述的方法， 其特征在于： 在所述判断所述内存访问请求是否匹配所 述目标内存段/目标内存表的访问权限前， 包括： 接收所述内存访问请求对目标内存段/目标内存表配置访问权限的配置请求； 获取所述配置请求中的目标内存段/目标内存表地址及对应的权限描述信息； 根据所述权限描述信息， 为所述目标内存段/目标内存表地址对应的内存段配置权限 描述信息 。 5.根据权利要求4所述的方法， 其特征在于： 所述判断所述内存访问请求是否匹配所述 目标内存段/目标内存表的访问权限， 包括： 调用目标内存段/目标内存表的权限描述信息； 判断所述内存访问请求的请求信 息是否与 所述目标内存段/目标内存表的权限描述信 息匹配。 6.根据权利要求5所述的方法， 其特征在于： 所述判断所述内存访问请求的请求信 息是 否与所述目标内存段/目标内存表的权限描述信息匹配， 包括： 判断所述内存访 问请求中指示的访 问地址和访 问类型， 是否与目标内存段/目标内存 表的起始 物理地址、 目标内存段/目标内存表的空间大小和读写权限相匹配， 若所述内存访问请求中指示的访问地址和访问类型与目标内存段的起始物理地址、 目 标内存段的空间大小和读写权限相匹配， 则确定所述内存访问请求对目标内存段访问； 若所述内存访问请求中指示的访问地址和访问类型与目标内存表的起始物理地址、 目 标内存表的空间大小和读写权限相匹配， 则确定所述内存访问请求对目标内存表访问。权　利　要　求　书 1/2 页 2 CN 115238297 A 27.根据权利要求6所述的方法， 其特征在于： 所述根据分析结果选择对应的保护机制进 行内存保护， 包括： 所述保护 机制包括段保护机制和表保护机制， 所述段保护机制是将物 理内存划分为段 进行访问权限控制和保护， 所述表保护机制是利用多级表项对物理内存的访问进 行权限控 制和保护； 当确定所述内存访问请求对目标内存段访问时， 采用所述段保护机制对所述目标内存 段进行内存保护； 当确定所述内存访问请求对目标内存表访问时， 采用所述表保护机制对所述目标内存 表进行内存保护。 8.根据权利要求7所述的方法， 其特征在于： 所述采用所述段保护机制对所述目标内存 段进行内存保护， 包括： 判断所述内存访 问请求的访存指令类型， 如果访存指令类型为特殊访存指令， 则依次 检查特殊访 存指令的段选择子、 段描述符的类型和段的特权级 是否合法， 如果 都合法， 则结 束检查； 否则结束此次访问； 如果访存指令类型为普通访存指令， 则检查所述普通访存指令的地址是否越界， 如果 没有越界， 则结束检查； 否则结束此次访问。 9.根据权利要求7所述的方法， 其特征在于： 所述采用所述表保护机制对所述目标内存 表进行内存保护， 包括： 获取指定位置根表项的基地址； 基于目标物理地址和当前保护区域的基地址的差获得相对位置； 根据相对位置在多级表中进行索引找到目标表项， 从而实现根据表项中包含的信 息进 行权限检查， 得到检查结果。 10.多层级权限控制内存保护装置， 应用于电子设备， 其特征在于： 包括访问控制单元、 访问分析 单元和内存保护机制选择 单元； 所述访问控制单 元， 用于接收内存访问请求； 所述访问分析单元， 用于构建初步访 问权限分析机制， 通过所述初步访 问权限分析机 制对所述内存访问请求进行初步访问权限分析， 若通过所述初步访问权限分析， 则对所述 内存访问请求进行内存段配置 /内存表配置的访问权限匹配分析； 所述内存保护机制选择 单元， 用于根据分析 结果选择对应的保护机制进行内存保护。权　利　要　求　书 2/2 页 3 CN 115238297 A 3