WO2015032312A1 - 硬件资源访问方法及装置 - Google Patents

Abstract

一种硬件资源访问方法、装置及操作系统，该方法包括：配置一条或多条用于访问硬件的特权指令的权限，使得所述特权指令供用户态应用程序使用时不需要陷入内核即可对硬件资源进行访问，其中，所述应用程序在代码层面调用了位于用户态且封装有所述特权指令的特权应用程序编程接口API；执行所述应用程序在代码层面调用的所述特权API中封装的所述特权指令，从而使得所述应用程序不需要陷入内核即可对硬件资源进行访问。通过设定直接访问硬件资源的特权指令并封装成API部署在用户空间，以实现降低访问硬件资源的系统开销，提高处理效率。

Description

硬件资源访问方法及装置 技术领域

本发明实施例涉及计算机技术，尤其涉及一种硬件资源访问方法及装置。

背景技术

操作系统(Operating System，简称OS)是管理和控制计算机硬件与软件资源的计算机程序，位于底层硬件与用户之间，是两者沟通的桥梁。用户可以通过操作系统的用户界面，输入命令。操作系统则对命令进行解释，驱动硬件设备，实现用户要求。访问硬件的响应时间是判断操作系统性能的最重要的一个指标。

现有的操作系统中，操作系统在内核内提供对硬件物理资源提供接口，上层封装成应用程序编程接口(Application Programming Interface，简称API)供用户程序调用。

因此，在现有操作系统中，当用户程序访问硬件资源调用相关访问硬件的API时，系统需要陷入内核，系统将在在用户空间和内核态之间进行多次转换。这种频繁的切换会增加系统的开销，导致系统的处理效率降低。

发明内容

本发明实施例提供一种硬件资源访问方法及装置，以实现降低访问硬件资源的系统开销，提高处理效率。

第一方面，本发明实施例提供一种硬件资源的直接访问方法，包括：

配置一条或多条用于访问硬件资源的特权指令的权限，使得所述特权指令供用户态应用程序使用时不需要陷入内核即可对硬件资源进行访问，其中，所述应用程序在代码层面调用了位于用户态且封装有所述特权指令的特权应用程序编程接口API；

执行所述应用程序在代码层面调用的所述特权API中封装的所述特权指令，从而使得所述应用程序不需要陷入内核即可对硬件资源进行访问。

在第一方面第一种可能的实现方式中，所述配置一条或多条用于访问硬件资源的特权指令的权限，使得所述特权指令供用户态应用程序使用时不需要陷入内核即可对硬件资源进行访问，包括：

调用支持硬件虚拟化的处理器对应的与指令权限配置相关的接口来配置所述特权指令的权限，使得所述特权指令供用户态应用程序使用时不需要陷入内核即可对硬件资源进行访问。

结合第一方面或者第一方面第一种可能的实现方式，在第一方面第二种可能的实现方式中，在执行所述应用程序在代码层面调用的所述特权API中封装的所述特权指令之前，所述方法还包括：

通过内核判断所述应用程序是否具有调用所述特权API访问硬件资源的权限，如果有，则执行所述应用程序在代码层面调用的所述特权API中封装的所述特权指令。

结合第一方面第二种可能的实现方式，在第一方面第三种可能的实现方式中，所述通过内核判断应用程序是否具有调用所述特权API访问硬件资源的权限包括：

若应用程序向内核申请调用所述特权API直接访问硬件资源，则根据当前硬件资源分配情况，通过内核判断是否通过或部分通过所述应用程序对所述特权API访问的请求和指令操作对象的范围，若是，则表示所述应用程序是具有调用所述特权API访问硬件资源的权限。

结合第一方面、第一方面第一种至第三种可能的实现方式任意一种，在第一方面第四种可能的实现方式中，所述特权指令为：

处理器访问指令，或者内存资源访问指令，或者TLB访问指令，或者中断访问指令，或者网络访问指令，或者I/O硬件设备访问指令，或者磁盘访问指令，或者寄存器读写指令中的一个或多个。

根据第一方面、第一方面第一种至第三种可能的实现方式任意一种，在第一方面第五种可能的实现方式中，所述执行所述应用程序在代码层面调用的所述特权API中封装的所述特权指令，包括：

在收到所述应用程序的访问硬件资源的请求后，根据内核策略确定所述应用程序的访问硬件资源请求是否需要陷入内核，若否，则直接执行所述特权指令。

第二方面，本发明实施例提供一种硬件资源访问装置，包括：

配置模块，用于配置一条或多条用于访问硬件的特权指令的权限，使得所述特权指令供用户态应用程序使用时不需要陷入内核即可对硬件资源进行访问，其中，所述应用程序在代码层面调用了位于用户态且封装有所述特权指令的特权应用程序编程接口API；

执行模块，用于执行所述应用程序在代码层面调用的所述特权API中封装的所述特权指令，从而使得所述应用程序不需要陷入内核即可对硬件资源进行访问。

在第二方面第一种可能的实现方式中，所述配置模块具体用于：

调用支持硬件虚拟化的处理器对应的与指令权限配置相关的接口来配置所述特权指令的权限，使得所述特权指令供用户态应用程序使用时不需要陷入内核即可对硬件资源进行访问。

结合第二方面或者第一方面第一种可能的实现方式，在第二方面第二种可能的实现方式中，所述装置还包括：

判断模块，用于在所述配置模块配置一条或多条硬件访问特权指令的权限之后，通过内核判断所述应用程序是否具有调用所述特权API访问硬件资源的权限，如果有，则触发所述执行模块执行所述应用程序在代码层面调用的所述特权API中封装的所述特权指令。

根据第二方面第二种可能的实现方式，在第二方面第三种可能的实现方式中，所述判断模块，具体用于：

若所述应用程序向所述内核申请调用所述特权API直接访问硬件资源，则根据当前硬件资源分配情况，通过内核判断是否通过或部分通过所述应用程序对所述特权API访问的请求和指令操作对象的范围，若是，则表示所述应用程序是具有调用所述特权API访问硬件资源的权限。

结合第二方面、第二方面第一种至第三种可能的实现方式任意一种，在第二方面第四种可能的实现方式中，所述特权指令为：

处理器访问指令，或者内存资源访问指令，或者TLB访问指令，或者中断访问指令，或者网络访问指令，或者I/O硬件设备访问指令，或者磁盘访问指令，或者寄存器读写指令中的一个或多个。

根据第二方面、第二方面第一种至第三种可能的实现方式任意一种，在第二方面第五种可能的实现方式中，所述执行模块，具体用于：

在收到所述应用程序的访问硬件资源的请求后，根据内核策略确定所述应用程序的访问硬件请求是否需要陷入内核，若否，则直接执行所述特权指令。

第三方面，本发明实施例提供一种计算机系统，包括：

处理器、存储器以及总线；

其中，处理器、存储器通过总线完成相互间的通信，存储器用于存储需要执行的指令，处理器用于通过读取存储器中存储的指令执行第一方面以及第一方面各种可能的实现形式中的访问硬件资源的方法。

第四方面，本发明实施例提供了一种非易失性存储介质，该非易失性存储介质包括一些指令，这些指令可供计算机中的处理器执行，通过执行这些指令来执行第一方面以及第一方面各种可能的实现形式中的访问硬件资源的方法。

本发明实施例通过配置访问硬件资源的特征指令的权限，实现应用程序访问硬件资源时，执行所述应用程序在代码层面调用的特权API中封装的不需要陷入内核即可对硬件资源进行访问，换言之，即可以绕开内核直接访问硬件资源，一定程度上解决了现有技术中，访问硬件资源需要陷入内核导致用户态和核心态需要多次切换而导致的系统开销过大的问题，从而实现了降低访问硬件资源的系统开销，提高处理效率。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得 其他的附图。

图1为本发明实施例一硬件资源访问方法的流程图；

图2为本发明实施例二硬件资源访问方法的流程图；

图3为本发明实施例三硬件资源访问装置的结构图；

图4为本发明实施例三硬件资源访问装置另一结构图；

图5为本发明实施例四计算机系统的结构图；

图6为本发明实施例计算机系统中软硬件结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例一

图1为本发明硬件资源访问方法实施例一的流程图，本发明实施例提供的硬件资源访问方法可以应用于如图5所示的计算机系统中(可包括一个或多个处理器，一个或多个存储器)，该计算机系统可以位于一台物理主机上，也可以分布位于多台物理主机上。具体地，该计算机系统可以位于一台或多台计算机(即计算节点)、便携式电脑、手持设备(例如手机，PAD等)、服务器等类型的设备上。该计算机软硬件逻辑结构可参见图6，如图6所示，该计算节点包括硬件资源(即硬件层)，这里的硬件资源包括处理器(例如CPU和GPU)，当然还可以包括存储器、输入/输出设备、网络接口等，以及在硬件层之上的内核空间，以及在内核空间之上的用户态空间，需要说明的是，这里的内核空间包括内核等，这里的用户空间包括一些应用程序。

如图1所示，该方法具体包括：

步骤101、配置一条或多条用于访问硬件资源的特权指令的权限，使得特权指令供用户态应用程序使用时不需要陷入内核即可对硬件资源进行访问，其中，应用程序在代码层面调用了位于用户态且封装有特权指令的特权应用程序编程接口API；

本步骤中，硬件资源可以包括但不限于：CPU资源、内存资源、转址旁路缓存TLB(Translation Lookaside Buffer)资源、中断资源、网络资源、I/O硬件设备资源、磁盘资源和寄存器资源中的一种或多种。

本步骤中，可以使用多种方法来实现“在代码层面调用特权API”，例如，让开发者感知这些特权API的存在，开发者在编写代码时，就直接使用这些特权API来访问硬件资源；或者，也可以让开发者在编写代码时，不感知这些代码的存在，开发者仍然使用现有的标准API来对硬件资源进行访问，但这些现有的标准API的代码已被修改，其接口函数封装的函数内容将被修改，修改后的现有API会调用特权API来访问硬件资源。

在配置一条或多条硬件访问特权指令权限的时机上，可以在应用程序运行后给内核发一个触发指令来设定；或者，内核创建应用的时候就设定；

步骤102、执行应用程序在代码层面调用的特权API中封装的特权指令，从而使得应用程序不需要陷入内核即可对硬件资源进行访问。

具体地，与硬件资源相对应，特权指令可以为：处理器访问指令，或者内存资源访问指令，或者TLB访问指令，或者中断访问指令，或者网络访问指令，或者I/O硬件设备访问指令，或者磁盘访问指令，或者寄存器读写指令中的一种或多种。比如表1中所示的几种具体特权指令。

表1

由于这些特权指令封装成API部署在用户空间，因此在用户程序调用相关系统调用时，不需要生成中断号如int 0x80而陷入内核，而是通过用户任务地址空间中的API，直接访问到物理资源。

本发明实施例通过配置访问硬件资源的特征指令的权限，实现应用程序访问硬件资源时，执行所述应用程序在代码层面调用的特权API中封装的不需要陷入内核即可对硬件资源进行访问，换言之，即可以绕开内核直接访问硬件资源，一定程度上解决了现有技术中，访问硬件资源需要陷入内核导致用户态和核心态需要多次切换而导致的系统开销过大的问题，从而实现了降低访问硬件资源的系统开销，提高处理效率。

实施例二

图2为本发明硬件资源访问方法实施例二的流程图，本实施例在上一实施例的基础上，提供了一种具体实现设定访问硬件资源的特权指令的实施例，并且增加了用户程序访问API的安全机制，如图2所示，该方法具体包括：

步骤201、确定需要配置权限的特权指令；

本步骤中，可以根据用户程序需要调用的硬件资源、硬件资源的分配使用状态，或者系统根据安全机制设定的开放硬件资源，从访问硬件资源的指令确定出需要设定的所述特权指令，比如用户程序需要调用中断资源和网络资源，操作系统可以将访问中断和网络的指令确定为需要设定的特权指令。

步骤202、调用支持硬件虚拟化的处理器对应的与指令权限配置相关的接口来配置特权指令的权限，使得特权指令供用户态应用程序使用时不需要陷入内核即可对硬件资源进行访问；

本实施例可以基于支持硬件虚拟化的处理器(以下也称“虚拟化硬件”)执行，例如，Intel的采用虚拟技术(Virtualization Technology，VT)方案来支持硬件虚拟化的处理器，或者AMD的采用(Secure Virtual Machine，SVM)方案来支持硬件虚拟化的处理器。这些处理器都会这种处理器会提供相关的权限配置接口来配置确定的特权指令的权限。

具体地，可以使用下述方法实现对虚拟化硬件中的控制数据结构的设置：

系统内核的可移植操作系统接口(Portable Operating System Interface，简称Posix)中多提供一个预设接口给用户程序，用户程序直接调用预设接口陷入内核来硬件虚拟化的处理器对应的与指令权限配置相关的接口来配置所述特权指令的权限。

下面以Intel VT技术为例进行详细说明，为了加速虚拟机的执行，虚拟化硬件将原有的硬件特权级进行了拓展，从原有的ring 0到ring 4的特权级基础上，增加了VMX root mode和VMX non-root mode。并增加了可编程硬件的数据结构--虚拟机控制结构VMCS(Virtual-Machine Control Structure)，来确定和设置在不同硬件特权级别上所允许可执行的指令范围，这个数据结构VMCS即可认为是“处理器对应的与指令权限配置相关的接口”。VMX root mode与传统ring 0特权级相当，且对于VMCS的设置，亦即对VMX non-root mode上应用可执行指令的确定，只能在VMX root mode上的应用进行设置和初始化。当在VMX non-root mode上执行未被允许的特权指令时，硬件上会发生陷入，陷入到VMX root mode进行处理。因此，利用现有的虚拟化硬件，在内核中初始化和设置虚拟化硬件，将内核设置为主机模式(Host mode)，即根虚拟化模式(VMX root mode)，将应用程序设置成用户模式(Guest mode)，即非根虚拟化模式(VMX non-root mode)。通过在VMX root mode下的内核中的硬件资源访问装置，设置Intel VT-x硬件自带的VMCS的数据结构，以初始化和设置在VMX non-root mode下的程序可以直接访问哪些硬件资源的特权指令，且不需要再硬件上陷入VMX root mode，从而保证应用可以 绕过内核直接在用户空间执行，比如将内存操作指令Mov CRn设置成在用户空间直接执行。

本步骤中，进一步地，将所述特权硬件访问指令封装成特权API，用于向用户程序提供访问硬件的接口。可以将API自定义成低级别API(Low-Level API)。这样，Low-level API是一组特权指令的组合，可以实现对CPU、内存、磁盘和I/O设备等直接访问操作。Low-level API可以指定在固定内存区域由任务调用，也可以在应用编写时编译进应用之中。同时，对于Low-level API进行进一步封装，可以实现通用的内核功能，如进程切换、页表建立和内存管理等功能。这些封装后的接口可以和直接访问操作物理资源的接口一起组成Low-level API，也可以作为Low-level API的上层封装函数。

步骤203、通过内核判断所述应用程序是否具有调用特权API访问硬件资源的权限，如果所述应用程序具有调用所述特权API访问硬件资源的权限，则执行步骤204，如果没有，则调内核中的服务组件陷入内核进行访问硬件资源；

应用程序启动初始化任务时，操作系统可以根据内核的硬件资源分配策略为应用程序分配相应资源和Low-level API的访问权限，比如根据应用程序的优先级，对优先级高的应用程序授权访问API，对优先级低的应用程序不予授权或者部分授权，从而使得优先级高的应用程序可以通过API快速访问所需硬件。

在内核判断和设定了应用访问指令的权限和范围后，应用程序可以直接执行那些被内核允许的指令，且不需要陷入内核；否则(如果应用执行的指令未被允许，或指令操作对象的范围超过内核事先的允许)，会陷入内核，由内核进行判定执行，或异常处理。

具体地，若应用程序向内核申请调用所述特权API直接访问硬件资源，则可以根据当前物理资源分配情况，通过内核判断是否通过或部分通过所述应用程序对所述特权API访问的请求和指令操作对象的范围，若是，则表示所述应用程序是具有调用所述特权API访问硬件资源的权限。

步骤204、根据内核策略确定所述应用程序的访问硬件请求是否需要 陷入内核，若确定所述应用程序不需要陷入内核，则执行步骤205，否则仍按照正常模式访问，即应用程序调用内核中的服务组件，陷入内核进行硬件资源访问；

由步骤202可知，low-level API的指令集合是由内核设置确定的，因此为了避免具有访问low-level API权限的大量应用程序同时调用low-level API的硬件资源指令导致系统处理开销大、资源访问冲突甚至崩溃，可以由内核基于预定策略确定是否要具有访问low-level API权限的应用程序直接执行low-level API中的指令。预定策略可以为内核根据应用程序的可信度或者硬件资源的使用状态等因素设定，这些设定都为本领域技术人员所公知的技术，这里不再赘述。若应用执行的指令已被设置允许不需要陷入内核执行，即可直接执行。若该指令未被设置进特权API集合，应用执行时会造成硬件上陷入，内核进行异常处理。

步骤205、直接执行所述特权指令。

本实施例中，通过事先设置虚拟化硬件(如Intel的基于VT-x技术的处理器，AMD的基于SVM技术的处理器等)，以保证部分特权指令的执行可不需要在硬件上陷入内核态，并将访问所有硬件资源的特权指令封装成API，将API部署在用户空间，实现应用程序访问硬件资源时可以不陷入内核而直接访问硬件，提高访问速度，减少陷入内核的开销。并且，通过在内核中实现对应用程序的访问授权和内核根据策略的判断，增加应用程序访问硬件的安全性和可靠性，避免由于绕过内核访问带来的安全问题。

进一步地，在本实施例的基础上，当应用程序调用的特权指令不属于内核为其初始化的特权API集合时，硬件会陷入内核的硬件特权级，并引发内核异常处理。内核会根据该指令的执行请求和现有资源分配状况，来确定是否在内核中执行该请求的指令或阻止该指令执行，以保证应用程序之间对硬件资源访问时不造成冲突，提高安全机制。

实施例三

参见图3，基于上述各实施例，本发明实施例提供了一种硬件资源访问装置40，包括：

配置模块41，用于配置一条或多条用于访问硬件的特权指令的权限，使得所述特权指令供用户态应用程序使用时不需要陷入内核即可对硬件资源进行访问，其中，所述应用程序在代码层面调用了位于用户态且封装有所述特权指令的特权应用程序编程接口API；

执行模块42，用于执行所述应用程序在代码层面调用的所述特权API中封装的所述特权指令，从而使得所述应用程序不需要陷入内核即可对硬件资源进行访问。

其中，本发明实施例中，配置模块具体41用于：

调用支持硬件虚拟化的处理器对应的与指令权限配置相关的接口来配置所述特权指令的权限，使得所述特权指令供用户态应用程序使用时不需要陷入内核即可对硬件资源进行访问。

参见图4，本发明实施例还包括：

判断模块43，用于在所述配置模块配置一条或多条硬件访问特权指令的权限之后，通过内核判断所述应用程序是否具有调用所述特权API访问硬件资源的权限，如果有，则触发所述执行模块执行所述应用程序在代码层面调用的所述特权API中封装的所述特权指令。

该判断模块43具体用于：若所述应用程序向所述内核申请调用所述特权API直接访问硬件资源，则根据当前硬件资源分配情况，通过内核判断是否通过或部分通过所述应用程序对所述特权API访问的请求和指令操作对象的范围，若是，则表示所述应用程序是具有调用所述特权API访问硬件资源的权限。

其中，本发明实施例中的特权指令可以为处理器访问指令，或者内存资源访问指令，或者TLB访问指令，或者中断访问指令，或者网络访问指令，或者I/O硬件设备访问指令，或者磁盘访问指令，或者寄存器读写指令中的一个或多个；

本发明实施例中，执行模块具体用于：在收到所述应用程序的访问硬件资源的请求后，根据内核策略确定所述应用程序的访问硬件请求是否需要陷入内核，若否，则直接执行所述特权指令。

上述各个模块具体执行方法可以基于以上实施例上描述的具体方法执行，这里不再赘述。

本发明实施例中的各个模块仅指逻辑意义上的划分，其可以基于现有的计算机软硬件实现，例如，计算机包括处理器(例如CPU)、存储器等硬件设备，处理器(例如CPU)读取存储在存储器上的程序代码运行诸如Linux之类的操作系统，操作系统又可包括内核态、用户态等不同的空间(可参见图6)。其中，处理器(例如CPU)运行操作系统中的某个功能可视为本实施例中某个模块来执行相应的功能。

本发明实施例通过配置访问硬件资源的特征指令的权限，实现应用程序访问硬件资源时，执行所述应用程序在代码层面调用的特权API中封装的不需要陷入内核即可对硬件资源进行访问，换言之，即可以绕开内核直接访问硬件资源，一定程度上解决了现有技术中，访问硬件资源需要陷入内核导致用户态和核心态需要多次切换而导致的系统开销过大的问题，从而实现了降低访问硬件资源的系统开销，提高处理效率。

实施例四

基于上述各实施例，参见图5，本发明实施例提供一种计算机系统，包括：

处理器61、存储器62以及总线63；

其中，处理器、存储器通过总线完成相互间的通信，存储器用于存储需要执行的指令，处理器用于通过读取存储器中存储的指令执行实施例一、二中所描述的各种访问硬件资源的方法。

处理器中运行的程序在软件层面结构示意图可以参考图6，图6中的虚线部分即表示软件，主要包括用户空间以及内核空间两部分，用户空间运行有应用程序70，并且有特权API 71，内核空间运行有操作系统的内核，特权API可以采用不陷入内核而直接对硬件资源进行访问。

本发明实施例中的计算机系统通过配置访问硬件资源的特征指令的权限，实现应用程序访问硬件资源时，执行所述应用程序在代码层面调用的特权API中封装的不需要陷入内核即可对硬件资源进行访问，换言之，即可以绕开内核直接访问硬件资源，一定程度上解决了现有技术中，访问硬件资源需要陷入内核导致用户态和核心态需要多次切换而导致的系统开销过大的问题，从而实现了降低访问硬件资源的系统开销，提高 处理效率。

实施例五

基于上述各实施例，本发明实施例提供了一种非易失性存储介质，该非易失性存储介质包括一些指令，这些指令可供计算机中的处理器执行，通过执行这些指令来执行实施例一、二中所描述的各种访问硬件资源的方法。

本发明实施例中的非易失性存储介质在被执行时，通过配置访问硬件资源的特征指令的权限，实现应用程序访问硬件资源时，执行所述应用程序在代码层面调用的特权API中封装的不需要陷入内核即可对硬件资源进行访问，换言之，即可以绕开内核直接访问硬件资源，一定程度上解决了现有技术中，访问硬件资源需要陷入内核导致用户态和核心态需要多次切换而导致的系统开销过大的问题，从而实现了降低访问硬件资源的系统开销，提高处理效率。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (12)

1. 一种硬件资源访问方法，其特征在于，包括：

   配置一条或多条用于访问硬件资源的特权指令的权限，使得所述特权指令供用户态应用程序使用时不需要陷入内核即可对硬件资源进行访问，其中，所述应用程序在代码层面调用了位于用户态且封装有所述特权指令的特权应用程序编程接口API；

   执行所述应用程序在代码层面调用的所述特权API中封装的所述特权指令，从而使得所述应用程序不需要陷入内核即可对硬件资源进行访问。
2. 根据权利要求1所述的方法，其特征在于，所述配置一条或多条用于访问硬件资源的特权指令的权限，使得所述特权指令供用户态应用程序使用时不需要陷入内核即可对硬件资源进行访问，包括：

   调用支持硬件虚拟化的处理器对应的与指令权限配置相关的接口来配置所述特权指令的权限，使得所述特权指令供用户态应用程序使用时不需要陷入内核即可对硬件资源进行访问。
3. 根据权利要求1-2中任一项所述的方法，其特征在于，在配置一条或多条硬件访问特权指令的权限之后，在执行所述应用程序在代码层面调用的所述特权API中封装的所述特权指令之前，所述方法还包括：

   通过内核判断所述应用程序是否具有调用所述特权API访问硬件资源的权限，如果有，则执行所述应用程序在代码层面调用的所述特权API中封装的所述特权指令。
4. 根据权利要求3所述的方法，其特征在于，所述通过内核判断应用程序是否具有调用所述特权API访问硬件资源的权限包括：

   若应用程序向内核申请调用所述特权API直接访问硬件资源，则根据当前硬件资源分配情况，通过内核判断是否通过或部分通过所述应用程序对所述特权API访问的请求和指令操作对象的范围，若是，则表示所述应用程序是具有调用所述特权API访问硬件资源的权限。
5. 根据权利要求1-4中任一项所述的方法，其特征在于，所述特权指令为：

   处理器访问指令，或者内存资源访问指令，或者转址旁路缓存TLB访问指令，或者中断访问指令，或者网络访问指令，或者I/O硬件设备访问指令，或者磁盘访问指令，或者寄存器读写指令中的一个或多个。
6. 根据权利要求1-4中任一项所述的方法，其特征在于，所述执行所述应用程序在代码层面调用的所述特权API中封装的所述特权指令，包括：

   在收到所述应用程序的访问硬件资源的请求后，根据内核策略确定所述应用程序的访问硬件资源请求是否需要陷入内核，若否，则直接执行所述特权指令。
7. 一种硬件资源访问装置，其特征在于，包括：

   配置模块，用于配置一条或多条用于访问硬件的特权指令的权限，使得所述特权指令供用户态应用程序使用时不需要陷入内核即可对硬件资源进行访问，其中，所述应用程序在代码层面调用了位于用户态且封装有所述特权指令的特权应用程序编程接口API；

   执行模块，用于执行所述应用程序在代码层面调用的所述特权API中封装的所述特权指令，从而使得所述应用程序不需要陷入内核即可对硬件资源进行访问。
8. 根据权利要求7所述的装置，其特征在于，所述配置模块具体用于：

   调用支持硬件虚拟化的处理器对应的与指令权限配置相关的接口来配置所述特权指令的权限，使得所述特权指令供用户态应用程序使用时不需要陷入内核即可对硬件资源进行访问。
9. 根据权利要求7-8中任一项所述的装置，其特征在于，还包括：

   判断模块，用于在所述配置模块配置一条或多条硬件访问特权指令的权限之后，通过内核判断所述应用程序是否具有调用所述特权API访问硬件资源的权限，如果有，则触发所述执行模块执行所述应用程序在代码层面调用的所述特权API中封装的所述特权指令。
10. 根据权利要求9所述的装置，其特征在于，所述判断模块，具体用于：

    若所述应用程序向所述内核申请调用所述特权API直接访问硬件资源，则根据当前硬件资源分配情况，通过内核判断是否通过或部分通过所述应用程序对所述特权API访问的请求和指令操作对象的范围，若是，则表示所述应用程序是具有调用所述特权API访问硬件资源的权限。
11. 根据权利要求7-10中任一项所述的装置，其特征在于，所述特权指令为：

    处理器访问指令，或者内存资源访问指令，或者TLB访问指令，或者中断访问指令，或者网络访问指令，或者I/O硬件设备访问指令，或者磁盘访问指令，或者寄存器读写指令中的一个或多个。
12. 根据权利要求7-10中任一项所述的装置，其特征在于，所述执行模块，具体用于：

    在收到所述应用程序的访问硬件资源的请求后，根据内核策略确定所述应用程序的访问硬件请求是否需要陷入内核，若否，则直接执行所述特权指令。

Images