本發(fā)明涉及計算機領(lǐng)域，特別涉及一種硬件資源保護方法和系統(tǒng)以及虛擬機管理器。

背景技術(shù)：
計算機中有很多硬件資源，如IO（InputOutput，輸入輸出）地址、內(nèi)存空間等。為了使計算機系統(tǒng)穩(wěn)定、安全的運行，需要采取措施對其硬件資源進行有效的保護。目前通常采用專門的硬件對硬件資源進行保護，例如采用硬盤保護卡對硬盤進行保護。硬盤保護卡的主體是一種硬件芯片，插在主板上與硬盤的主引導(dǎo)扇區(qū)協(xié)同工作。其工作原理如下：硬盤保護卡在系統(tǒng)啟動時接管對硬盤進行讀寫操作的一個INT13中斷，將FAT（FileAllocationTable，文件配置表）、引導(dǎo)區(qū)、CMOS（ComplementaryMetalOxideSemiconductor，互補金屬氧化物半導(dǎo)體）信息、原始的中斷向量表等信息都保存到卡內(nèi)的臨時儲存單元中或保存在硬盤的隱藏扇區(qū)中，用自帶的中斷向量表來替換原始的中斷向量表，然后在硬盤中找到一部分連續(xù)的空磁盤空間，將用戶修改的數(shù)據(jù)保存到其中。這樣當(dāng)用戶向硬盤寫入數(shù)據(jù)時，沒有真正修改硬盤中的FAT，而是寫到了備份的FAT表中，系統(tǒng)每次重新啟動時，硬盤保護卡都能讓硬盤恢復(fù)先前的內(nèi)容，從而達到對硬盤保護的目的?？梢姡鲜黾夹g(shù)需要借助硬盤保護卡等專門硬件設(shè)備對硬件資源進行保護，因此，使用不夠靈活，成本也比較高。

技術(shù)實現(xiàn)要素：
為了擺脫硬件資源保護對專門硬件設(shè)備的依賴，本發(fā)明實施例提供了一種硬件資源保護方法和系統(tǒng)以及虛擬機管理器。所述技術(shù)方案如下：一種硬件資源保護方法，所述方法包括：虛擬機管理器監(jiān)控硬件資源，當(dāng)檢測到應(yīng)用程序訪問所述硬件資源時，觸發(fā)虛擬機退出，由所述虛擬機管理器接管系統(tǒng)控制權(quán)；虛擬機管理器判斷所述應(yīng)用程序的操作是否合法，如果合法，允許所述應(yīng)用程序訪問所述硬件資源，如果非法，禁止所述應(yīng)用程序訪問所述硬件資源。一種虛擬機管理器，所述虛擬機管理器包括：監(jiān)控模塊，用于監(jiān)控硬件資源，當(dāng)檢測到應(yīng)用程序訪問所述硬件資源時，觸發(fā)虛擬機退出，由所述虛擬機管理器接管系統(tǒng)控制權(quán)；判斷模塊，用于判斷所述應(yīng)用程序的操作是否合法，如果合法，允許所述應(yīng)用程序訪問所述硬件資源，如果非法，禁止所述應(yīng)用程序訪問所述硬件資源。一種硬件資源保護系統(tǒng)，所述系統(tǒng)包括：虛擬機管理器、硬件資源、和虛擬機；所述虛擬機管理器用于監(jiān)控所述硬件資源，當(dāng)檢測到應(yīng)用程序訪問所述硬件資源時，觸發(fā)所述虛擬機退出，由所述虛擬機管理器接管系統(tǒng)控制權(quán)；并判斷所述應(yīng)用程序的操作是否合法，如果合法，允許所述應(yīng)用程序訪問所述硬件資源，如果非法，禁止所述應(yīng)用程序訪問所述硬件資源。本發(fā)明實施例提供的技術(shù)方案的有益效果是：通過虛擬機管理器監(jiān)控硬件資源，當(dāng)檢測到應(yīng)用程序訪問硬件資源時，觸發(fā)虛擬機退出，由虛擬機管理器接管系統(tǒng)控制權(quán)，然后判斷應(yīng)用程序的操作是否合法，如果合法，允許應(yīng)用程序訪問硬件資源，如果非法，禁止應(yīng)用程序訪問硬件資源，達到了利用虛擬化技術(shù)實現(xiàn)硬件資源保護的目的，擺脫了硬件資源保護對專門硬件設(shè)備的依賴，提高了使用靈活度，降低了成本。附圖說明為了更清楚地說明本發(fā)明實施例中的技術(shù)方案，下面將對實施例描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。圖1是本發(fā)明實施例1提供的硬件資源保護方法流程圖；圖2是本發(fā)明實施例1提供的對于輸入輸出地址的硬件資源保護方法流程圖；圖3是本發(fā)明實施例1提供的對于內(nèi)存空間的硬件資源保護流程圖；圖4是本發(fā)明實施例2提供的虛擬機管理器結(jié)構(gòu)示意圖；圖5是本發(fā)明實施例2提供的虛擬機管理器另一結(jié)構(gòu)示意圖；圖6是本發(fā)明實施例3提供的硬件資源保護系統(tǒng)結(jié)構(gòu)示意圖。具體實施方式為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚，下面將結(jié)合附圖對本發(fā)明實施方式作進一步地詳細描述。實施例1參見圖1，本實施例提供了一種硬件資源保護方法，該方法包括：101：虛擬機管理器監(jiān)控硬件資源，當(dāng)檢測到應(yīng)用程序訪問該硬件資源時，觸發(fā)虛擬機退出，由虛擬機管理器接管系統(tǒng)控制權(quán)；需要說明的是，虛擬機管理器運行于根模式，虛擬機運行于非根模式，虛擬機退出是指由非根模式切換到根模式，同時系統(tǒng)控制權(quán)轉(zhuǎn)移，由虛擬機管理器接管系統(tǒng)控制權(quán)。102：虛擬機管理器判斷該應(yīng)用程序的操作是否合法，如果合法，允許應(yīng)用程序訪問硬件資源，如果非法，禁止應(yīng)用程序訪問硬件資源。其中，本實施例涉及的硬件資源可以是輸入輸出地址、或內(nèi)存空間等。下面分別說明上述方法對于輸入輸出地址和內(nèi)存空間的保護過程。參見圖2，當(dāng)硬件資源是輸入輸出地址時，硬件資源保護方法包括以下步驟：201：虛擬機管理器監(jiān)控虛擬機管理器所在設(shè)備的輸入輸出地址，當(dāng)檢測到應(yīng)用程序?qū)斎胼敵龅刂愤M行讀寫時，觸發(fā)虛擬機退出，由虛擬機管理器接管系統(tǒng)控制權(quán)；需要說明的是，虛擬機管理器運行于根模式，虛擬機運行于非根模式，虛擬機退出是指由非根模式切換到根模式，同時系統(tǒng)控制權(quán)轉(zhuǎn)移，由虛擬機管理器接管系統(tǒng)控制權(quán)。其中，輸入輸出地址可以是系統(tǒng)中特定的輸入輸出地址，或者也可以是系統(tǒng)中所有的輸入輸出地址。202：虛擬機管理器判斷該應(yīng)用程序的操作是否合法；具體的，虛擬機管理器將該應(yīng)用程序的公鑰以及該應(yīng)用程序提供的私鑰進 行比對，如果符合，則確定該應(yīng)用程序的操作合法，如果不符合，則確定該應(yīng)用程序的操作非法。203：如果合法，允許應(yīng)用程序訪問該輸入輸出地址，如果非法，禁止應(yīng)用程序訪問該輸入輸出地址。進一步，步驟203之后，虛擬機管理器觸發(fā)虛擬機進入，由虛擬機接管系統(tǒng)控制權(quán)。需要說明的是，虛擬機進入是指由根模式切換到非根模式，同時系統(tǒng)控制權(quán)轉(zhuǎn)移，由虛擬機接管系統(tǒng)控制權(quán)。參見圖3，當(dāng)硬件資源為內(nèi)存空間時，硬件資源保護方法包括以下步驟：301：虛擬機管理器監(jiān)控控制寄存器，阻止應(yīng)用程序使用該控制寄存器對內(nèi)存空間進行映射，檢測到該應(yīng)用程序訪問該內(nèi)存空間時產(chǎn)生缺頁異常；其中，控制寄存器（ControlRegister，CR）具體可以是CR3。302：虛擬機管理器通過設(shè)置使預(yù)設(shè)的退出條件成立，觸發(fā)虛擬機退出，由虛擬機管理器接管系統(tǒng)控制權(quán)；具體的，虛擬機管理器設(shè)置PFEC_MASK和PFEC_MATCH，當(dāng)產(chǎn)生缺頁異常時，關(guān)系式PFEC&PFEC_MASK=PFEC_MATCH成立，觸發(fā)虛擬機退出，由虛擬機管理器接管系統(tǒng)控制權(quán)。其中，&表示與運算，PFEC表示（PageFaultErrorCode，缺頁錯誤碼），PFEC_MASK表示缺頁掩碼，PFEC_MATCH表示缺頁匹配碼。例如，可以將PFEC_MASK和PFEC_MATCH都設(shè)置為0，則產(chǎn)生缺頁異常時上述關(guān)系式成立，從而觸發(fā)虛擬機退出，由虛擬機管理器接管系統(tǒng)控制權(quán)。需要說明的是，虛擬機管理器運行于根模式，虛擬機運行于非根模式，虛擬機退出是指由非根模式切換到根模式，同時系統(tǒng)控制權(quán)轉(zhuǎn)移，由虛擬機管理器接管系統(tǒng)控制權(quán)。303：虛擬機管理器判斷該應(yīng)用程序的操作是否合法；具體的，虛擬機管理器將該應(yīng)用程序的公鑰以及該應(yīng)用程序提供的私鑰進行比對，如果符合，則確定該應(yīng)用程序的操作合法，如果不符合，則確定該應(yīng)用程序的操作非法。304：如果合法，允許應(yīng)用程序訪問內(nèi)存空間，如果非法，禁止應(yīng)用程序訪問內(nèi)存空間。進一步，步驟304之后，虛擬機管理器觸發(fā)虛擬機進入，由虛擬機接管系 統(tǒng)控制權(quán)。需要說明的是，虛擬機進入是指由根模式切換到非根模式，同時系統(tǒng)控制權(quán)轉(zhuǎn)移，由虛擬機接管系統(tǒng)控制權(quán)。本實施例通過虛擬機管理器監(jiān)控硬件資源，當(dāng)檢測到應(yīng)用程序訪問硬件資源時，觸發(fā)虛擬機退出，由虛擬機管理器接管系統(tǒng)控制權(quán)，然后判斷應(yīng)用程序的操作是否合法，如果合法，允許應(yīng)用程序訪問硬件資源，如果非法，禁止應(yīng)用程序訪問硬件資源，達到了利用虛擬化技術(shù)實現(xiàn)硬件資源保護的目的，擺脫了硬件資源保護對專門硬件設(shè)備的依賴，提高了使用靈活度，降低了成本。實施例2參見圖4，本實施例提供了一種虛擬機管理器，虛擬機管理器包括：監(jiān)控模塊401，用于監(jiān)控硬件資源，當(dāng)檢測到應(yīng)用程序訪問硬件資源時，觸發(fā)虛擬機退出，由虛擬機管理器接管系統(tǒng)控制權(quán)；判斷模塊402，用于判斷應(yīng)用程序的操作是否合法，如果合法，允許應(yīng)用程序訪問硬件資源，如果非法，禁止應(yīng)用程序訪問硬件資源。當(dāng)硬件資源為輸入輸出地址時，監(jiān)控模塊401，具體用于監(jiān)控虛擬機管理器所在設(shè)備的輸入輸出地址，當(dāng)檢測到應(yīng)用程序?qū)斎胼敵龅刂愤M行讀寫操作時，觸發(fā)虛擬機退出，由虛擬機管理器接管系統(tǒng)控制權(quán)。其中，輸入輸出地址可以是系統(tǒng)中特定的輸入輸出地址，或者也可以是系統(tǒng)中所有的輸入輸出地址。當(dāng)硬件資源為內(nèi)存空間時，監(jiān)控模塊401，具體用于監(jiān)控控制寄存器，阻止應(yīng)用程序使用控制寄存器對內(nèi)存空間進行映射，檢測到應(yīng)用程序訪問內(nèi)存空間時產(chǎn)生缺頁異常，并通過設(shè)置使預(yù)設(shè)的退出條件成立，觸發(fā)虛擬機退出。監(jiān)控模塊401在通過設(shè)置使預(yù)設(shè)的退出條件成立時，具體用于設(shè)置缺頁掩碼PFEC_MASK和缺頁匹配碼PFEC_MATCH，當(dāng)產(chǎn)生缺頁異常時，關(guān)系式缺頁錯誤碼PFEC&PFEC_MASK=PFEC_MATCH成立，&表示與運算。例如，可以將PFEC_MASK和PFEC_MATCH都設(shè)置為0，則產(chǎn)生缺頁異常時上述關(guān)系式成立，從而觸發(fā)虛擬機退出。其中，控制寄存器具體可以是CR3。具體的，判斷模塊402，具體用于將應(yīng)用程序的公鑰以及應(yīng)用程序提供的私鑰進行比對，如果符合，確定應(yīng)用程序的操作合法，如果不符合，確定應(yīng)用程 序的操作非法。進一步，參見圖5，虛擬機管理器還包括：觸發(fā)模塊403，用于在判斷模塊402允許或禁止應(yīng)用程序訪問硬件資源之后，觸發(fā)虛擬機進入，由虛擬機接管系統(tǒng)控制權(quán)。需要說明的是，虛擬機管理器運行于根模式，虛擬機運行于非根模式，虛擬機退出是指由非根模式切換到根模式，同時系統(tǒng)控制權(quán)轉(zhuǎn)移，由虛擬機管理器接管系統(tǒng)控制權(quán)。虛擬機進入是指由根模式切換到非根模式，同時系統(tǒng)控制權(quán)轉(zhuǎn)移，由虛擬機接管系統(tǒng)控制權(quán)。本實施例提供的虛擬機管理器與方法實施例中的虛擬機管理器屬于同一構(gòu)思，其具體實現(xiàn)過程詳見方法實施例，這里不再贅述。本實施例提供的虛擬機管理器通過監(jiān)控硬件資源，當(dāng)檢測到應(yīng)用程序訪問硬件資源時，觸發(fā)虛擬機退出，由虛擬機管理器接管系統(tǒng)控制權(quán)，然后判斷應(yīng)用程序的操作是否合法，如果合法，允許應(yīng)用程序訪問硬件資源，如果非法，禁止應(yīng)用程序訪問硬件資源，達到了利用虛擬化技術(shù)實現(xiàn)硬件資源保護的目的，擺脫了硬件資源保護對專門硬件設(shè)備的依賴，提高了使用靈活度，降低了成本。實施例3參見圖6，本實施例提供了一種硬件資源保護系統(tǒng)，該系統(tǒng)包括：虛擬機管理器40、硬件資源30、和虛擬機20；虛擬機管理器40用于監(jiān)控硬件資源30，當(dāng)檢測到應(yīng)用程序訪問硬件資源30時，觸發(fā)虛擬機20退出，由虛擬機管理器40接管系統(tǒng)控制權(quán)；并判斷應(yīng)用程序的操作是否合法，如果合法，允許應(yīng)用程序訪問硬件資源30，如果非法，禁止應(yīng)用程序訪問硬件資源30。虛擬機管理器40包括：監(jiān)控模塊401和判斷模塊402；監(jiān)控模塊401，用于監(jiān)控硬件資源30，當(dāng)檢測到應(yīng)用程序訪問硬件資源30時，觸發(fā)虛擬機20退出，由虛擬機管理器40接管系統(tǒng)控制權(quán)；判斷模塊402，用于判斷應(yīng)用程序的操作是否合法，如果合法，允許應(yīng)用程序訪問硬件資源30，如果非法，禁止應(yīng)用程序訪問硬件資源30。當(dāng)硬件資源30為輸入輸出地址時，監(jiān)控模塊401，具體用于監(jiān)控虛擬機管理器所在設(shè)備的輸入輸出地址，當(dāng)檢測到應(yīng)用程序?qū)斎胼敵龅刂愤M行讀寫操 作時，觸發(fā)虛擬機20退出，由虛擬機管理器接管系統(tǒng)控制權(quán)。其中，輸入輸出地址可以是系統(tǒng)中特定的輸入輸出地址，或者也可以是系統(tǒng)中所有的輸入輸出地址。當(dāng)硬件資源30為內(nèi)存空間時，監(jiān)控模塊401，具體用于監(jiān)控控制寄存器，阻止應(yīng)用程序使用控制寄存器對內(nèi)存空間進行映射，使應(yīng)用程序訪問內(nèi)存空間時產(chǎn)生缺頁異常，并通過設(shè)置使預(yù)設(shè)的退出條件成立，觸發(fā)虛擬機20退出。監(jiān)控模塊401在通過設(shè)置使預(yù)設(shè)的退出條件成立時，具體用于設(shè)置缺頁掩碼PFEC_MASK和缺頁匹配碼PFEC_MATCH，當(dāng)產(chǎn)生缺頁異常時，關(guān)系式缺頁錯誤碼PFEC&PFEC_MASK=PFEC_MATCH成立，&表示與運算。例如，可以將PFEC_MASK和PFEC_MATCH都設(shè)置為0，則產(chǎn)生缺頁異常時上述關(guān)系式成立，從而觸發(fā)虛擬機退出。其中，控制寄存器具體可以是CR3。具體的，判斷模塊402，具體用于將應(yīng)用程序的公鑰以及應(yīng)用程序提供的私鑰進行比對，如果符合，確定應(yīng)用程序的操作合法，如果不符合，確定應(yīng)用程序的操作非法。進一步，虛擬機管理器還包括：觸發(fā)模塊403，用于在判斷模塊402允許或禁止應(yīng)用程序訪問硬件資源之后，觸發(fā)虛擬機進入，由虛擬機接管系統(tǒng)控制權(quán)。需要說明的是，虛擬機管理器運行于根模式，虛擬機運行于非根模式，虛擬機退出是指由非根模式切換到根模式，同時系統(tǒng)控制權(quán)轉(zhuǎn)移，由虛擬機管理器接管系統(tǒng)控制權(quán)。虛擬機進入是指由根模式切換到非根模式，同時系統(tǒng)控制權(quán)轉(zhuǎn)移，由虛擬機接管系統(tǒng)控制權(quán)。本實施例提供的虛擬機管理器、硬件資源、虛擬機分別與方法實施例中的虛擬機管理器、硬件資源、虛擬機屬于同一構(gòu)思，其具體實現(xiàn)過程詳見方法實施例，這里不再贅述。本實施例提供的系統(tǒng)，通過虛擬機管理器監(jiān)控硬件資源，當(dāng)檢測到應(yīng)用程序訪問硬件資源時，觸發(fā)虛擬機退出，由虛擬機管理器接管系統(tǒng)控制權(quán)，然后判斷應(yīng)用程序的操作是否合法，如果合法，允許應(yīng)用程序訪問硬件資源，如果非法，禁止應(yīng)用程序訪問硬件資源，達到了利用虛擬化技術(shù)實現(xiàn)硬件資源保護的目的，擺脫了硬件資源保護對專門硬件設(shè)備的依賴，提高了使用靈活度，降低了成本。本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述實施例的全部或部分步驟可以通過硬件來完成，也可以通過程序來指令相關(guān)的硬件完成，所述的程序可以存儲于一種計算機可讀存儲介質(zhì)中，上述提到的存儲介質(zhì)可以是只讀存儲器，磁盤或光盤等。以上所述僅為本發(fā)明的較佳實施例，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換、改進等，均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。