[发明专利]使用签名的地址验证

说明书

用于生成签名的地址的、包括在计算机存储介质上编码的计算机程序的方法、系统和装置。所述方法中的一个包括：通过组件从设备接收多个第一请求，每个第一请求用于物理地址并且包括虚拟地址，由所述组件使用所述虚拟地址确定第一物理地址，生成用于第一物理地址的第一签名，并且为所述设备提供包括第一签名的响应；从设备接收多个第二请求，每一个第二请求用于访问第二物理地址并且包括第二签名，对于所述多个第二请求中的每一个，由所述组件使用第二签名确定第二物理地址是否是有效的，并且对于第二物理地址被确定为有效的每一个第二请求，向对应的第二请求提供服务。

本申请是国际申请日为2016年5月13日、中国申请号为201680019968.6、发明名称为“使用签名的地址验证”的发明专利申请的分案申请。

背景技术

本说明书涉及验证存储器访问请求。

图形处理单元(GPU)可以具有对随机地址的高度并行访问，并且可以包括在GPU上的硬件以执行地址转换，地址转换产生针对中央处理单元(CPU)动态随机存取存储器(DRAM)的地址。类似地，一些网络接口卡(NIC)和固态驱动器(SSD)可以执行它们自己的地址转换。

外围组件互连(PCI)地址转换服务(ATS)允许设备从输入/输出存储器管理单元(IOMMU)请求地址转换，并在设备上本地缓存该转换。设备对转换范围的后续访问可以被标记为已转换并且绕过IOMMU。

发明内容

存储器管理单元从例如连接到主板的设备接收地址转换请求，并生成用于每一个请求的物理地址的签名。存储器管理单元向设备提供签名，并且当从设备接收存储器访问请求时，使用对应的签名来验证正在被访问的存储器的位置、验证正在发送请求的设备、或者验证两者。

通常，本说明书中描述的主题的一个创新方面可以体现在方法中，所述方法包括以下动作：由组件从设备接收多个第一请求，所述多个第一请求中的每一个用于对应的物理地址并且包括对应的虚拟地址，对于所述多个第一请求中的每一个，由所述组件使用对应的虚拟地址确定第一物理地址，生成用于第一物理地址的第一签名，第一签名用于验证第一物理地址，以及向设备提供包括第一签名的响应；从设备接收多个第二请求，所述多个第二请求中的每一个用于访问对应的第二物理地址并且包括对应的第二签名，对于所述多个第二请求中的每一个，由所述组件使用对应的第二签名确定对应的第二物理地址是否是有效的，并且对于使用对应的第二请求的第二签名被确定为第二物理地址有效的每一个第二请求，向对应的第二请求提供服务。该方面的其他实施例包括对应的计算机系统、设备和记录在一个或多个计算机存储设备上的计算机程序，所述一个或多个计算机存储设备中的每一个被配置为执行所述方法的动作。一个或多个计算机的系统可以被配置为通过将软件、固件、硬件或其组合执行特定的操作或动作，所述软件、固件、硬件或其组合安装在运行中的系统并且致使系统执行动作。一个或多个计算机程序可以被配置为通过包括当被数据处理装置执行时致使装置执行动作的指令来执行特定的操作或动作。

上述和其他实施例可以每个可选地以单独的或组合的方式包括以下特征中的一个或多个。该方法可以包括对于使用对应的第二请求的第二签名被确定为第二物理地址无效的每一个第二请求，不向对应的第二请求提供服务。对于所述多个第二请求的不同的第二子集，不向第二请求提供服务可以包括对于第二子集中的每一个第二请求，拒绝相应的第二请求。对于所述多个第二请求的不同的第二子集，不向第二请求提供服务可以包括对于第二子集中的每一个第二请求，记录指示相应的第二请求的对应错误。对于所述多个第二请求的不同的第二子集，不向第二请求提供服务可以包括复位或停止所述设备。不向对于使用对应的第二请求的第二签名被确定为第二物理地址无效的每一个第二请求的对应的第二请求提供服务可以包括改变设备的密钥值(secret value)。不向对于使用对应的第二请求的第二签名被确定为第二物理地址无效的每一个第二请求的对应的第二请求提供服务可以包括禁用设备对存储器的访问。该方法可以包括向所述多个第二请求中的至少一个提供服务，而不向所述多个第二请求中的至少另外一个提供服务。