[发明专利]计算机设备及其访问控制方法和计算机可读介质

说明书

本发明涉及计算机系统领域，公开了一种计算机设备的访问控制的方法，计算机设备、及其计算机可读介质。本发明的访问控制的方法包括：计算机设备的硬件访问控制器获取到计算机设备的第一执行环境通过计算机设备的第一硬件设备向计算机设备的第二资源发起的直接内存访问请求，其中，第一执行环境对第一硬件设备上的第一资源具有初始访问权限，第二执行环境对第二资源具有初始访问权限；硬件访问控制器判断出第一执行环境对第二资源不具有访问权限后；硬件访问控制器拦截第一执行环境通过第一硬件设备对第二资源的直接内存访问。本方法能够拦截执行环境对不具有访问权限的计算机设备的资源发起的直接内存访问请求，能够避免产生安全性问题。

技术领域

本发明涉及计算机系统领域，特别涉及一种计算机设备及其访问控制方法和计算机可读介质。

背景技术

通常，CPU(Central Processing Unit，中央处理器)控制硬件设备之间的访问，CPU通过运行程序来执行CPU、内存与硬件设备之间的访问，实现硬件设备之间的数据传送。CPU通过总线与硬件设备通信连接，并且CPU基于总线对硬件设备的资源分配一个地址空间，地址空间是硬件设备在总线上的物理地址区域，分配了物理地址区域的硬件设备就可以被CPU或者是其他硬件设备访问。

这里，能够获得总线的控制权的硬件设备可以称为主设备，被主设备通过物理地址寻址进行访问的设备称为从设备，这里的物理地址寻址就是向物理地址发出访问请求。主设备可以通过总线与被它寻址的从设备进行数据交换，例如，执行环境(ExecutionEnvironment，EE)驱动主设备通过DMA(Direct Memory Access，直接内存访问)访问的方式抢占了总线的控制权后，访问从设备。

这里的执行环境，是一种模拟的计算机设备并且具有硬件可执行单元、易失和非易失存储，可以运行独立软件栈的体系。其中，最典型的执行环境就是虚拟机，在有多个虚拟机同时访问硬件设备的情况下，如果其中一个访问主设备的虚拟机驱动主设备抢占了总线的控制权后，该虚拟机就可以通过物理地址寻址的方式访问其他的资源，也就是一个虚拟机可以读取/写入未分配给它的资源，这种情况叫做虚拟机溢出。

例如，系统包含有第一执行环境，第二执行环境，第一执行环境使用GPU。这里，第一执行环境访问的GPU就是主设备。如果第一执行环境通过主设备GPU向第二执行环境使用的内存区域进行DMA访问，则可能访问到第二执行环境正在使用的内存区域。

发明内容

本发明的目的在于提供一种计算机设备及其访问控制方法和计算机可读介质，能够判断执行环境通过硬件设备发出的直接内存访问中包含的物理地址是否属于该执行环境具有访问权限的物理地址区域内，在判断出该执行环境具有访问权限的情况下，允许执行环境对物理地址进行直接内存访问，能够避免产生安全性问题。

本发明的第一方面提供了一种计算机设备，其特征在于，包括第一执行环境和第二执行环境、第一硬件设备、第一硬件访问控制器、以及总线；其中，第一执行环境对第一硬件设备上的第一资源具有初始访问权限，第二执行环境对第二资源具有初始访问权限；第一硬件访问控制器分别与第一硬件设备和总线连接，并且第一硬件访问控制器能够获取到第一执行环境通过第一硬件设备向第二资源发起的直接内存访问请求，并在判断出第一执行环境对第二资源不具有访问权限的情况下，拦截第一执行环境通过第一硬件设备对第二资源的直接内存访问。