在各個方面，可以使用虛擬化技術(shù)來通過在沙盒會話期間選擇性地啟用操作在計算設(shè)備上的管理程序來改善性能和降低消耗的功率的量。在各個方面，高級操作系統(tǒng)可以分配內(nèi)存，使得其中間物理地址等于物理地址。在管理程序被禁用時，管理程序可以暫停從中間物理地址至物理地址的第二級轉(zhuǎn)換。在沙盒會話期間，管理程序可以被啟用并且重新開始執(zhí)行第二級轉(zhuǎn)換。

技術(shù)領(lǐng)域

概括地說，本公開內(nèi)容涉及計算設(shè)備，并且更具體地，涉及按需部署虛擬機監(jiān)測器的算法和裝置。

背景技術(shù)

通常地，虛擬化技術(shù)通過在操作系統(tǒng)與硬件之間放置軟件控制程序(例如，虛擬機監(jiān)測器“VMM”或管理程序(hypervisor))來啟用對計算資源的抽象(或虛擬化)。管理程序在特許模式下執(zhí)行，并且可以存放(host)多個操作系統(tǒng)(被稱為客戶操作系統(tǒng))。通過將管理程序和硬件的組合看作單個的虛擬機，每一個客戶操作系統(tǒng)以其與物理硬件進行通信的相同的方式與管理程序進行通信。這允許每一個客戶操作系統(tǒng)在專有地訪問處理器、外圍設(shè)備、存儲器和I/O的錯覺下進行操作。

操作系統(tǒng)負責(zé)跨越多個進程劃分物理內(nèi)存。在包括有運行在虛擬機頂部的客戶操作系統(tǒng)的系統(tǒng)中，由客戶操作系統(tǒng)分配的內(nèi)存不是真實的物理內(nèi)存，而是中間物理內(nèi)存。在這樣的系統(tǒng)上，管理程序負責(zé)物理內(nèi)存的實際分配。

大部分處理器僅支持一級內(nèi)存地址空間轉(zhuǎn)換，以及管理程序管理虛擬地址(VA)、中間物理地址(IPA)和物理地址(PA)之間的關(guān)系。這通常通過管理程序維護其自己的轉(zhuǎn)換表(被稱為影子轉(zhuǎn)換表)來實現(xiàn)，所述轉(zhuǎn)換表是通過解譯客戶操作系統(tǒng)的轉(zhuǎn)換表中的每一個轉(zhuǎn)換表導(dǎo)出的。具體地，管理程序確保對客戶操作系統(tǒng)的轉(zhuǎn)換表的所有改變被反映在影子結(jié)構(gòu)中，以及實施保護并將訪問故障重定向到恰當(dāng)?shù)募墶?/p>

不像上文討論的單級處理器，ARM處理器系統(tǒng)(例如，經(jīng)由諸如系統(tǒng)內(nèi)存管理單元“SMMU”之類的ARM虛擬化擴展)為兩級內(nèi)存轉(zhuǎn)換提供硬件協(xié)助。例如，ARM處理器包括啟用兩級轉(zhuǎn)換的虛擬化擴展，在所述兩級轉(zhuǎn)換中，在第一級(即，第一級轉(zhuǎn)換)中，將虛擬地址(VA)轉(zhuǎn)換至中間物理地址(IPA)，以及在第二級(即，第二級轉(zhuǎn)換)中，將中間物理地址(IPA)轉(zhuǎn)換至物理地址。這降低了與管理程序相關(guān)聯(lián)的開銷。

發(fā)明內(nèi)容

各個方面包括用于選擇性地實現(xiàn)管理程序來在需要的時候有效地實施訪問控制，以保護數(shù)據(jù)和/或軟件的計算設(shè)備和方法。在各個方面，管理程序通常被禁用，并且在檢測到需要管理程序來實現(xiàn)訪問控制(即，“沙盒會話”)的狀況時被啟用。高級操作系統(tǒng)(HLOS)可以在由管理程序管理的虛擬機中操作。HLOS可以維護中間物理地址頁表，以用于將虛擬地址分配給運行在HLOS上的各個進程或應(yīng)用。HLOS可以直接從物理內(nèi)存地址空間分配內(nèi)存，由此確保中間物理內(nèi)存地址總是與物理內(nèi)存地址相同。通過確保HLOS能夠分配內(nèi)存，以使中間物理地址一直等于物理地址，管理程序可以在存在針對沙盒化的會話的需求時被選擇性地啟用，以及在當(dāng)前不存在沙盒化的會話時被禁用。當(dāng)被禁用時，管理程序不可以執(zhí)行從中間物理地址到物理地址的級2轉(zhuǎn)換。同樣地，當(dāng)管理程序被禁用時，HLOS可以從整個物理內(nèi)存地址空間來分配內(nèi)存。

在各個方面，管理程序可以在沙盒會話期間被啟用。當(dāng)被啟用時，管理程序可以重新開始執(zhí)行從中間物理地址到物理地址的級2轉(zhuǎn)換。同樣地，當(dāng)被啟用并且管理程序可以限制HLOS對物理內(nèi)存地址空間的訪問時，由此允許HLOS僅從物理內(nèi)存地址空間的一部分分配內(nèi)存，以及在一些方面，限制HLOS對硬件中斷和/或硬件定時器的訪問。當(dāng)不需要沙盒時(即，當(dāng)管理程序被禁用時)，除了別的之外，通過配置管理程序不執(zhí)行級2轉(zhuǎn)換，各個方面可以在按照需要提供必要的安全性的同時改善計算設(shè)備的整體性能。