跨多个安全域共享安全存储器的制作方法

技术特征：
1.一种方法，包括：在计算机系统的安全接口控制处接收对存储器的安全页面的安全访问请求；由所述安全接口控制检查与所述安全页面相关联的禁用虚拟地址比较状态；并且基于所述禁用虚拟地址比较状态被设置，由所述安全接口控制禁用在访问所述安全页面时的虚拟地址检查，以支持从多个虚拟地址到至所述安全页面的相同绝对地址的映射。2.如权利要求1所述的方法，进一步包括：由所述安全接口控制基于域标识符验证多个安全域中的安全域被授权访问共享页面。3.如权利要求2所述的方法，其中，将所述安全域的所述域标识符与被标识为允许共享的所述安全域的多个域标识符进行比较，以确认对访问所述共享页面的授权。4.如权利要求2所述的方法，进一步包括：确认将虚拟地址映射到绝对地址的多组动态地址转换表未被不安全主机改变，所述不安全主机被配置为针对能够访问所述安全页面的多个安全域中的任何安全域来管理所述多组动态地址转换表中的一组或多组，其中，虚拟地址的每个表映射包括所述一组或多组动态地址转换表中的多个相关联的表；并且基于检测到所述动态地址转换表的所述一组或多组中的变化来终止所述安全访问请求。5.如权利要求1所述的方法，其中，通过区安全表来存储和更新所述禁用虚拟地址比较状态，所述区安全表包括与所述安全页面相关联的安全域标识符、与所述安全页面相关联的虚拟地址映射数据以及所述禁用虚拟地址比较状态。6.如权利要求1所述的方法，其中，所述安全接口控制包括固件、硬件、可信软件或固件、硬件和可信软件的组合，并且所述安全页面被分配给由管理程序或操作系统管理的安全虚拟机或安全容器。7.一种系统，包括：存储器；处理单元；以及安全接口控制，所述安全接口控制被配置成用于执行多个操作，所述多个操作包括：检查与来自在所述处理单元上执行的实体的对所述存储器的安全页面的安全访问请求相关联的禁用虚拟地址比较状态；并且基于所述禁用虚拟地址比较状态被设置，禁用在访问所述安全页面时的虚拟地址检查，以支持从多个虚拟地址到至所述安全页面的相同绝对地址的映射。8.如权利要求7所述的系统，其中，所述安全接口控制被配置为执行操作，所述操作包括：基于域标识符验证多个安全域中的安全域被授权访问共享页面。9.如权利要求8所述的系统，其中，将所述安全域的所述域标识符与被标识为允许共享的所述安全域的多个域标识符进行比较，以确认对访问所述共享页面的授权。10.如权利要求8所述的系统，其中，所述安全接口控制被配置为执行操作，所述操作包括：确认将虚拟地址映射到绝对地址的多组动态地址转换表未被不安全主机改变，所述不安全主机被配置为针对能够访问所述安全页面的多个安全域中的任何安全域来管理所述
多组动态地址转换表中的一组或多组，其中，虚拟地址的每个表映射包括所述一组或多组动态地址转换表中的多个相关联的表；并且基于检测到所述动态地址转换表的所述一组或多组中的变化来终止所述安全访问请求。11.如权利要求7所述的系统，其中，通过区安全表来存储和更新所述禁用虚拟地址比较状态，所述区安全表包括与所述安全页面相关联的安全域标识符、与所述安全页面相关联的虚拟地址映射数据以及所述禁用虚拟地址比较状态。12.如权利要求7所述的系统，其中，所述安全接口控制包括固件、硬件、可信软件或固件、硬件和可信软件的组合，并且所述安全页面被分配给由管理程序或操作系统管理的安全虚拟机或安全容器。13.一种包括计算机可读存储介质的计算机程序产品，所述计算机可读存储介质包括计算机可执行指令，所述计算机可执行指令在由处理单元的安全接口控制执行时使所述处理单元执行一种方法，所述方法包括：检查与来自在所述处理单元上执行的实体的对存储器的安全页面的安全访问请求相关联的禁用虚拟地址比较状态；并且基于所述禁用虚拟地址比较状态被设置，禁用在访问所述安全页面时的虚拟地址检查，以支持从多个虚拟地址到至所述安全页面的相同绝对地址的映射。14.如权利要求13所述的计算机程序产品，其中所述可执行指令进一步使所述处理单元执行：由所述安全接口控制基于域标识符验证多个安全域中的安全域被授权访问共享页面。15.如权利要求14所述的计算机程序产品，其中，将所述安全域的所述域标识符与被标识为允许共享的所述安全域的多个域标识符进行比较，以确认对访问所述共享页面的授权。16.如权利要求14所述的计算机程序产品，其中，所述可执行指令进一步使所述处理单元执行：确认将虚拟地址映射到绝对地址的多组动态地址转换表未被不安全主机改变，所述不安全主机被配置为针对能够访问所述安全页面的多个安全域中的任何安全域来管理所述多组动态地址转换表中的一组或多组，其中，虚拟地址的每个表映射包括所述一组或多组动态地址转换表中的多个相关联的表；并且基于检测到所述动态地址转换表的所述一组或多组中的变化来终止所述安全访问请求。17.如权利要求13所述的计算机程序产品，其中，通过区安全表来存储和更新所述禁用虚拟地址比较状态，所述区安全表包括与所述安全页面相关联的安全域标识符、与所述安全页面相关联的虚拟地址映射数据以及所述禁用虚拟地址比较状态。18.如权利要求13所述的计算机程序产品，其中，所述安全页面被分配给由管理程序或操作系统管理的安全虚拟机或安全容器。19.一种方法，包括：在计算机系统的安全接口控制处接收对存储器的安全页面的安全访问请求；由所述安全接口控制检查与所述安全页面相关联的禁用虚拟地址比较状态；并且
基于作出所述安全访问请求的实体的授权状态以及所述禁用虚拟地址比较状态被设置，使能对所述安全页面的绝对地址访问，而没有指定虚拟地址。20.如权利要求19所述的方法，进一步包括：由所述安全接口控制基于域标识符验证多个安全域中的一个安全域被授权访问共享页面。21.如权利要求20所述的方法，其中，将所述安全域的所述域标识符与被标识为允许共享的所述安全域的多个域标识符进行比较，以确认对访问所述共享页面的授权。22.如权利要求19所述的方法，其中，所述安全接口控制包括固件、硬件或固件与硬件的组合，并且所述安全页面被分配给由管理程序或操作系统管理的安全容器或安全虚拟机。23.一种系统，包括：存储器；处理单元；以及安全接口控制，所述安全接口控制被配置成用于执行多个操作，所述多个操作包括：检查与来自在所述处理单元上执行的实体的对所述存储器的安全页面的安全访问请求相关联的禁用虚拟地址比较状态；并且基于作出所述安全访问请求的实体的授权状态以及所述禁用虚拟地址比较状态被设置，使能对所述安全页面的绝对地址访问，而没有指定虚拟地址。24.如权利要求23所述的系统，其中，所述安全接口控制被配置成执行操作，所述操作包括：基于域标识符验证多个安全域中的一个安全域被授权访问共享页面。25.如权利要求24所述的系统，其中，将所述安全域的所述域标识符与被标识为允许共享的所述安全域的多个域标识符进行比较，以确认对访问所述共享页面的授权。

技术总结
根据本发明的一个或多个实施例，一种计算机实现的方法包括：在计算机系统的安全接口控制处接收对存储器的安全页面的安全访问请求。安全接口控制可以检查与安全页面相关联的禁用虚拟地址比较状态。安全接口控制可以基于禁用虚拟地址比较状态被设置，禁用在访问安全页面时的虚拟地址检查，以支持从多个虚拟地址到至安全页面的相同绝对地址的映射，和/或支持使用绝对地址访问的、没有相关联的虚拟地址的安全页面。安全页面。安全页面。


技术研发人员：F
受保护的技术使用者：国际商业机器公司
技术研发日：2020.03.02
技术公布日：2021/10/23