本發明涉及計算機系統領域，公開了一種計算機設備的訪問控制的方法，計算機設備、及其計算機可讀介質。本發明的訪問控制的方法包括：計算機設備的硬件訪問控制器獲取到計算機設備的第一執行環境通過計算機設備的第一硬件設備向計算機設備的第二資源發起的直接內存訪問請求，其中，第一執行環境對第一硬件設備上的第一資源具有初始訪問權限，第二執行環境對第二資源具有初始訪問權限；硬件訪問控制器判斷出第一執行環境對第二資源不具有訪問權限后；硬件訪問控制器攔截第一執行環境通過第一硬件設備對第二資源的直接內存訪問。本方法能夠攔截執行環境對不具有訪問權限的計算機設備的資源發起的直接內存訪問請求，能夠避免產生安全性問題。

技術領域

本發明涉及計算機系統領域，特別涉及一種計算機設備及其訪問控制方法和計算機可讀介質。

背景技術

通常，CPU(Central Processing Unit，中央處理器)控制硬件設備之間的訪問，CPU通過運行程序來執行CPU、內存與硬件設備之間的訪問，實現硬件設備之間的數據傳送。CPU通過總線與硬件設備通信連接，并且CPU基于總線對硬件設備的資源分配一個地址空間，地址空間是硬件設備在總線上的物理地址區域，分配了物理地址區域的硬件設備就可以被CPU或者是其他硬件設備訪問。

這里，能夠獲得總線的控制權的硬件設備可以稱為主設備，被主設備通過物理地址尋址進行訪問的設備稱為從設備，這里的物理地址尋址就是向物理地址發出訪問請求。主設備可以通過總線與被它尋址的從設備進行數據交換，例如，執行環境(ExecutionEnvironment，EE)驅動主設備通過DMA(Direct Memory Access，直接內存訪問)訪問的方式搶占了總線的控制權后，訪問從設備。

這里的執行環境，是一種模擬的計算機設備并且具有硬件可執行單元、易失和非易失存儲，可以運行獨立軟件棧的體系。其中，最典型的執行環境就是虛擬機，在有多個虛擬機同時訪問硬件設備的情況下，如果其中一個訪問主設備的虛擬機驅動主設備搶占了總線的控制權后，該虛擬機就可以通過物理地址尋址的方式訪問其他的資源，也就是一個虛擬機可以讀取/寫入未分配給它的資源，這種情況叫做虛擬機溢出。

例如，系統包含有第一執行環境，第二執行環境，第一執行環境使用GPU。這里，第一執行環境訪問的GPU就是主設備。如果第一執行環境通過主設備GPU向第二執行環境使用的內存區域進行DMA訪問，則可能訪問到第二執行環境正在使用的內存區域。

發明內容

本發明的目的在于提供一種計算機設備及其訪問控制方法和計算機可讀介質，能夠判斷執行環境通過硬件設備發出的直接內存訪問中包含的物理地址是否屬于該執行環境具有訪問權限的物理地址區域內，在判斷出該執行環境具有訪問權限的情況下，允許執行環境對物理地址進行直接內存訪問，能夠避免產生安全性問題。

本發明的第一方面提供了一種計算機設備，其特征在于，包括第一執行環境和第二執行環境、第一硬件設備、第一硬件訪問控制器、以及總線；其中，第一執行環境對第一硬件設備上的第一資源具有初始訪問權限，第二執行環境對第二資源具有初始訪問權限；第一硬件訪問控制器分別與第一硬件設備和總線連接，并且第一硬件訪問控制器能夠獲取到第一執行環境通過第一硬件設備向第二資源發起的直接內存訪問請求，并在判斷出第一執行環境對第二資源不具有訪問權限的情況下，攔截第一執行環境通過第一硬件設備對第二資源的直接內存訪問。