本申請公開了保護(hù)共享的互連以用于虛擬機(jī)。一種處理系統(tǒng)包括互連和耦合到互連的執(zhí)行多個虛擬機(jī)的處理核，每一虛擬機(jī)都通過相應(yīng)的標(biāo)識符來標(biāo)識，并通過第一虛擬機(jī)的標(biāo)識符來標(biāo)記由第一虛擬機(jī)啟動的訪問互連的第一事務(wù)。

技術(shù)領(lǐng)域

本發(fā)明的各實施例一般涉及處理系統(tǒng)，更具體而言，涉及保護(hù)執(zhí)行虛擬機(jī)的處理系統(tǒng)的共享的互連。

背景

處理系統(tǒng)可包括共享的互連，通過該共享的互連，處理單元(諸如中央處理單元(CPU)和圖形處理單元(GPU))、主控設(shè)備(在下文中，被稱為總線主控器)以及從屬設(shè)備(在下文中，被稱為總線受控器)可以相互進(jìn)行通信?？偩€受控器可包括外圍設(shè)備和存儲器。外圍設(shè)備和存儲器可以通過互連與處理系統(tǒng)和總線主控器進(jìn)行通信。處理單元可以執(zhí)行可包括一個或多個虛擬機(jī)的虛擬化系統(tǒng)，以提供進(jìn)一步的資源共享。然而，共享的互連可能使總線受控器暴露于來自隱秘的總線主控器的惡意攻擊。進(jìn)一步，虛擬化系統(tǒng)會使總線受控器遭受來自隱秘的虛擬機(jī)的惡意攻擊。

附圖簡述

通過下面給出的詳細(xì)描述以及本發(fā)明的各實施例的各個附圖，將可更加完全地理解本發(fā)明。然而，附圖不應(yīng)該被理解為將本發(fā)明限制于特定實施例，而只是為了說明和理解的目的。

圖1示出了根據(jù)本發(fā)明的一實施例的處理系統(tǒng)。

圖2A示出了根據(jù)本發(fā)明的一實施例的用于保護(hù)存儲器的防火墻規(guī)則。

圖2B示出了根據(jù)本發(fā)明的一實施例的用于保護(hù)外圍設(shè)備的防火墻規(guī)則。

圖3A示出了根據(jù)本發(fā)明的一實施例的設(shè)置處理系統(tǒng)的操作。

圖3B示出了根據(jù)本發(fā)明的一實施例的CPU事務(wù)和總線主控器事務(wù)的訪問控制。

圖4是示出了根據(jù)本發(fā)明的一實施例的如圖1所示的處理系統(tǒng)的方法的流程圖。

圖5A是示出了其中可以使用本發(fā)明的一個實施例的處理器的微架構(gòu)的框圖。

圖5B是示出了根據(jù)本發(fā)明的至少一個實施例實現(xiàn)的有序流水線和寄存器重命名級、無序發(fā)布/執(zhí)行流水線的框圖。

圖6示出了根據(jù)本發(fā)明的一個實施例的處理器的微架構(gòu)的框圖。

圖7是示出了其中可以使用本發(fā)明的實施例的系統(tǒng)的框圖。

圖8是示出了本發(fā)明的實施例可以在其中操作的系統(tǒng)的框圖。

圖9是示出了本發(fā)明的實施例可以在其中操作的系統(tǒng)的框圖。

圖10是根據(jù)本發(fā)明的一個實施例的芯片上系統(tǒng)(SoC)的框圖。

圖11是根據(jù)本發(fā)明的SoC設(shè)計的實施例的框圖。

圖12示出了計算機(jī)系統(tǒng)的一個實施例的框圖。

具體實施方式

為通過共享的互連保護(hù)總線受控器免受惡意攻擊，本發(fā)明的各實施例包括處理系統(tǒng)，該處理系統(tǒng)將訪問總線受控器的每一事務(wù)與標(biāo)識執(zhí)行該事務(wù)所針對的虛擬機(jī)的標(biāo)識符相關(guān)聯(lián)。進(jìn)一步，各實施例可以提供到互連的一個或多個防火墻，以使用該虛擬機(jī)的標(biāo)識符來驗證打算訪問該總線受控器的事務(wù)。