本发明专利技术实施例提供一种实现GPU内存数据安全访问的方法、装置、电子设备及存储介质,其中方法包括:接收对GPU内存数据的访问请求;判断所述访问请求是否为安全请求以及判断所述访问请求所请求访问的内存区域是否为受保护区域,按照预设访问控制规则来控制是否执行所述访问请求。本发明专利技术实施例提供的实现GPU内存数据安全访问的方法、装置、电子设备和存储介质,结合了访问请求是否包含安全标识以及GPU内存的预设访问控制规则,可有效的保护GPU上用户私密数据的安全。私密数据的安全。私密数据的安全。
【技术实现步骤摘要】
实现GPU数据安全访问的方法、装置、电子设备及存储介质
[0001]本专利技术涉及内存数据安全领域,尤其涉及一种实现GPU内存数据安全访问的方法、装置、电子设备及存储介质。
技术介绍
[0002]目前对GPU(英语:Graphics Processing Unit,缩写:GPU,中文:图形处理器)的私密数据保护技术主要集中在远程主机上的数据如何以安全的方式传输到本地GPU的内存里,或者本地GPU的内存私密数据如何以安全的方式传输到远程主机上,如图1所示。本地主机A包括GPU和网卡设备,GPU的内存存储有私密数据,主机A通过其网卡设备接口与主机B通信连接,将GPU的数据通过安全链接和数据加密的方式传输到远程主机B上。
[0003]现有技术对GPU内存的数据保护机制是不足的,因为其对GPU内存的数据保护主要集中在传输过程中,而没有专门针对GPU内存数据进行系统化的保护,并且在GPU的内部也没有设置专门的控制模块来保护其私密数据。
[0004]由此可知,由于GPU的私密数据没有得到保护,可以被GPU上的其他用户程序读取,造成用户私密数据的泄露或窃取。如图2所示,由于用户的页表和数据都是未被保护的,如果修改了B用户的页表,那么B用户的GPU程序即可读取A用户的私密数据。
[0005]此外,恶意程序如果获得了操作系统的内核态驱动权限,即可通过PCIE(英文:peripheral component interconnect express,中文:高速串行计算机扩展总线标准)直接读取或修改GPU内存里的数据(比如A页目录、A页表以及A用户数据)(如图3所示),也会造成用户私密数据的泄露或窃取。
技术实现思路
[0006]本专利技术实施例提供一种实现GPU内存数据安全访问的方法、装置、电子设备及存储介质,用以解决现有技术对GPU内存的数据保护机制不足的问题。
[0007]第一方面,本专利技术实施例提供的一种实现GPU内存数据安全访问的方法,包括:
[0008]接收对GPU内存数据的访问请求;
[0009]判断所述访问请求是否为安全请求以及判断所述访问请求所请求访问的内存区域是否为受保护区域,按照预设访问控制规则来控制是否执行所述访问请求。
[0010]可选的,所述接收对GPU内存数据的访问请求包括以下一种或多种组合:
[0011]接收来自PCIE对GPU内存数据的访问请求;
[0012]接收来自GPU的计算单元对GPU内存数据的访问请求。
[0013]可选的,所述判断所述访问请求是否为安全请求包括:
[0014]针对接收来自PCIE对GPU内存数据的访问请求,所述访问请求判断为不安全访问请求;
[0015]针对接收来自GPU的计算单元对GPU内存数据的访问请求,则再判断所述访问请求是否包含安全标识,如果包含安全标识则所述访问请求判断为安全访问请求或伪安全请
求,否则为不安全访问请求。
[0016]可选的,所述针对接收来自GPU的计算单元对GPU内存数据的访问请求,是由Kernel Launch线程启动安全保护指令通过计算内核下发至所述计算单元的计算任务,所述计算任务带有安全标识,当所述计算任务执行完毕后,所述计算内核释放所述计算任务的安全保护指令。
[0017]可选的,所述判断所述访问请求所请求访问的内存区域是否为受保护区域之前包括:
[0018]将所述内存区域配置为受保护区域和不受保护区域,并通过配置寄存器对所述内存区域的受保护区域的地址进行定义。
[0019]可选的,所述通过配置寄存器对所述内存区域的受保护区域进行定义包括以下一种或多种组合:
[0020]采用起始物理地址和长度的方式定义所述内存区域的受保护区域;
[0021]采用比特位图的方式定义所述内存区域的受保护区域。
[0022]可选的,所述按照预设访问控制规则来控制是否执行所述访问请求包括:
[0023]当所述访问请求为安全请求时,允许所述访问请求执行所述内存区域的受保护区域和不受保护区域的读请求操作,允许所述访问请求执行所述内存区域的受保护区域的写请求操作,拒绝所述访问请求执行所述内存区域的不受保护区域的写请求操作;
[0024]当所述访问请求为不安全请求时,拒绝所述访问请求执行所述内存区域的受保护区域的读请求操作,允许所述访问请求执行所述内存区域的不受保护区域的读请求操作,拒绝所述访问请求执行所述内存区域的受保护区域的写请求操作,允许所述访问请求执行所述内存区域的不受保护区域的写请求操作;
[0025]当所述访问请求为伪安全请求时,允许所述访问请求执行所述内存区域的受保护区域和不受保护区域的读请求操作,允许所述访问请求执行所述内存区域的受保护区域的写请求操作,拒绝所述访问请求执行所述内存区域的不受保护区域的写请求操作。
[0026]可选的,所述接收对GPU内存数据的访问请求还包括:
[0027]如果所述访问请求对所述配置寄存器受保护区域的地址进行改写时,执行覆盖所述地址对应内存区域的数据的操作。
[0028]第二方面,本专利技术实施例提供一种实现GPU内存数据安全访问的装置,包括:
[0029]接收模块,用于接收对GPU内存数据的访问请求;
[0030]安全访问控制模块,用于判断所述访问请求是否为安全请求以及判断所述访问请求所请求访问的内存区域是否为受保护区域,按照预设访问控制规则来控制是否执行所述访问请求。
[0031]第三方面,本专利技术实施例提供一种GPU芯片,包括内存、控制单元及计算单元,,还包括用于访问所述内存的安全访问控制模块,所述安全访问控制模块执行上述所述的实现GPU内存数据安全访问的方法的步骤。
[0032]第四方面,本专利技术实施例提供一种电子设备,包括处理器、通信接口、存储器和总线,其中,处理器,通信接口,存储器通过总线完成相互间的通信,处理器可以调用存储器中的逻辑命令,以执行如第一方面所提供的方法的步骤。
[0033]第五方面,本专利技术实施例提供一种非暂态计算机可读存储介质,其上存储有计算
机程序,该计算机程序被处理器执行时实现如第一方面所提供的方法的步骤。
[0034]本专利技术实施例提供的一种实现GPU内存数据安全访问的方法、装置、电子设备及存储介质,结合了访问请求是否包含安全标识以及GPU内存的预设访问控制规则,可有效的保护GPU上用户私密数据的安全。
附图说明
[0035]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0036]图1为现有技术提供的GPU数据传输保护的示意图;
[0037]图2为现有技术提供的来自计算单元对GPU私密数据访问的示意图;
[0038]图3为现本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种实现GPU内存数据安全访问的方法,其特征在于,包括:接收对GPU内存数据的访问请求;判断所述访问请求是否为安全请求以及判断所述访问请求所请求访问的内存区域是否为受保护区域,按照预设访问控制规则来控制是否执行所述访问请求。2.根据权利要求1所述的方法,其特征在于,所述接收对GPU内存数据的访问请求包括以下一种或多种组合:接收来自PCIE对GPU内存数据的访问请求;接收来自GPU的计算单元对GPU内存数据的访问请求。3.根据权利要求2所述的方法,其特征在于,所述判断所述访问请求是否为安全请求包括:针对接收来自PCIE对GPU内存数据的访问请求,所述访问请求判断为不安全访问请求;针对接收来自GPU的计算单元对GPU内存数据的访问请求,则再判断所述访问请求是否包含安全标识,如果包含安全标识则所述访问请求判断为安全访问请求或伪安全请求,否则为不安全访问请求。4.根据权利要求3所述的方法,其特征在于,所述针对接收来自GPU的计算单元对GPU内存数据的访问请求,是由Kernel Launch线程启动安全保护指令通过计算内核下发至所述计算单元的计算任务,所述计算任务带有安全标识,当所述计算任务执行完毕后,所述计算内核释放所述计算任务的安全保护指令。5.根据权利要求3所述的方法,其特征在于,所述判断所述访问请求所请求访问的内存区域是否为受保护区域之前包括:将所述内存区域配置为受保护区域和不受保护区域,并通过配置寄存器对所述内存区域的受保护区域的地址进行定义。6.根据权利要求5所述的方法,其特征在于,所述通过配置寄存器对所述内存区域的受保护区域进行定义包括以下一种或多种组合:采用起始物理地址和长度的方式定义所述内存区域的受保护区域;采用比特位图的方式定义所述内存区域的受保护区域。7.根据权利要求3所述的方法,其特征在于,所述按照预设访问控制规则来控制是否执行所述访问请求包括:当所述访问请求为安全请求时,允许所述访问请求执行所述内存区域的受保护区域和不...
【专利技术属性】
技术研发人员:ꢀ七四专利代理机构,
申请(专利权)人:上海壁仞智能科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。