Linux下C編程:讓系統更安全之鎖定記憶體

來源:互聯網
上載者:User

Linux 實現了請求頁面調度,頁面調度是說頁面從硬碟按需交換進來,當不再需要的時候交換出去。這樣做允許系統中每個進程的虛擬位址空間和實際實體記憶體的總量再沒有直接的聯絡,因為在硬碟上的交換空間能給進程一個實體記憶體幾乎無限大的錯覺。

交換對進程來說是透明的,應用程式一般都不需要關心(甚至不需要知道)核心頁面調度的行為。然而,在下面兩種情況下,應用程式可能像影響系統的頁面調度:

確定性(Determinism)

時間約束嚴格的應用程式需要確定的行為。如果一些記憶體操作引起了頁錯誤,導致昂貴的磁碟操作,應用程式的速度便不能達到要求,不能按時做計劃中的操作。如果能確保需要的頁面總在記憶體中且從不被交換進磁碟,應用程式就能保證記憶體操作不會導致頁錯誤,提供一致的,可確定的程式行為,從而提供了效能。

安全性(Security)

如果記憶體中含有私人秘密,這秘密可能最終被頁面調度以不加密的方式儲存到硬碟上。

例如,如果一個使用者的私人密鑰正常情況下是以加密的方式儲存在磁碟上的,一個在記憶體中為加密的密鑰備份最後儲存在了分頁檔中。在一個高度注重安全的環境中,這樣做可能是不能被接受的。這樣的應用程式可以請求將密鑰一直保留在實體記憶體上。當然,改變核心的行為會導致系統整體效能的負面影響。當頁面被鎖定在記憶體中,一個應用程式的安全性可能提高了,但這能使得另外一個應用程式的頁面被交換出去。如果核心的設計是值得信任的,它總是最優地將頁面交換出去(看上去將來最不會被使用的頁面)。

如果使用者不希望某塊記憶體在暫時不用時置換到磁碟上,可以對該記憶體進行記憶體鎖定。

相關函數如下:

#include <sys/types.h>              int mlock(const void *addr,size_t length)              int munlock(void *addr,size_t length)              int mlockall(int flag)              int munlockall(void

函數:mlock鎖定一片記憶體地區,addr為記憶體位址,length要鎖定的長度。

munlock接觸鎖定的記憶體

mlockall一次鎖定多個記憶體頁。flag取值有兩個MCL_CURRENT鎖定所用記憶體頁,MCL_FUTURE鎖定為進程分配的地址空間記憶體頁。munlockall用於解除鎖定的記憶體。

註:只有超級使用者才能進行鎖定和解除記憶體操作。

查看全套文章:http://www.bianceng.cn/Programming/C/201212/34807.htm

相關文章

E-Commerce Solutions

Leverage the same tools powering the Alibaba Ecosystem

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。