[发明专利]用于控制对物理地址空间的访问的系统及方法

说明书

本发明提供一种用于控制对物理地址(PA)空间的访问的系统及方法，其中该系统包括：执行多个虚拟机的多个处理电路，该物理地址空间的一给定区域专用于寻址该多个虚拟机；由该物理地址空间寻址的多个系统资源；耦接于相应的处理电路的多个存储器管理单元(MMU)，给定MMU用于根据该给定MMU的配置设置将访问请求中指示的虚拟地址转换为被请求的物理地址；以及多个存储器保护单元(MPU)，给定MPU用于根据许可过滤器中指示请求VM是否可访问该被请求的物理地址的信息允许或拒绝该访问请求。实施本发明实施例可提供一种低复杂度的访问控制方案。

技术领域

本发明涉及对计算系统的存储器进行保护的计算系统，更进一步地涉及用于控制对物理地址空间的访问的系统及方。

背景技术

虚拟机监视器(hypervisor)使多个操作系统能够在单个物理机器上并行运行。这些操作系统，称为“客户(guest)操作系统”，可以包括操作系统的多个实例以及不同的操作系统。多个虚拟机(Virtual Machine，VM)可以在虚拟机监视器上运行。每一个VM运行一个客户操作系统来管理对VM的资源分配。虚拟机监视器通常使用存储器管理单元(MemoryManagement Unit，MMU)来支持VM的地址转换和存储器保护。在多处理器系统中，每一个处理器核(core)都可以有自己的MMU。

MMU负责将虚拟地址转换为物理地址。MMU可以包括一个或多个转换后备缓冲器(Translation Look-aside Buffer，TLB)以存储虚拟地址与其对应的物理地址之间的映射。一些MMU提供两级(two stage)存储器转换机制。来自运行在VM上的应用程序的每次存储器访问都在MMU中进行两级转换。客户操作系统配置将虚拟地址映射到中间物理地址的第一级转换表。虚拟机监视器配置将中间物理地址映射到物理地址的第二级转换表。因此，两级转换使虚拟机监视器能够控制客户对存储器的视角并限制客户可以访问的物理存储器。

MMU硬件可能是复杂且昂贵的。MMU的管理通常需要高度复杂的软件，并对存储器的使用和性能造成负面影响。此外，在多个设备可以访问同一存储器位置的共享存储器环境中，复杂性大大增加，安全性可能会受到影响。因此，需要为虚拟机系统开发一种低复杂度和低开销的存储器保护方案。

发明内容

本发明提供用于控制对物理地址空间的访问的系统及方法，可提供一种低复杂度的访问控制方案。

在一个实施例中，本发明提供一种用于控制对物理地址(PA)空间的访问的系统，包括：执行多个虚拟机的多个处理电路，其中该物理地址空间的一给定区域专用于寻址该多个虚拟机；由该物理地址空间寻址的多个系统资源；耦接于相应的处理电路的多个存储器管理单元(MMU)，其中给定MMU用于根据该给定MMU的配置设置将来自请求处理电路的访问请求中指示的虚拟地址转换为被请求的物理地址；以及多个存储器保护单元(MPU)，其中耦接于分配有该被请求的物理地址的目标系统资源的给定MPU用于根据许可过滤器中指示该请求处理电路上运行的请求VM是否可访问该被请求的物理地址的信息允许或拒绝该访问请求。

在另一个实施例中，一种用于控制对物理地址(PA)空间的访问的方法，由包括多个处理电路和多个系统资源的系统执行，该方法包括：从请求处理电路接收访问虚拟地址的请求，其中该请求处理电路执行请求虚拟机，其中该物理地址空间的一给定区域专用于寻址该系统中执行的多个虚拟机；由耦接于该请求处理电路的给定存储器管理单元(MMU)根据该给定MMU的配置设置将该虚拟地址转换为该请求处理电路可访问的被请求的物理地址；以及由耦接于分配有该被请求的物理地址的目标系统资源的给定MPU根据许可过滤器中指示该请求处理电路上运行的请求VM是否可访问该被请求的物理地址的信息允许或拒绝该请求。

附图说明

图1是图标根据一个实施例的系统100的框图。

图2是图示根据一个实施例的过程200的图。

图3是图示根据一个实施例的管理存储器保护的图。