安全處理環(huán)境中的特征許可的制作方法
【技術(shù)領(lǐng)域】
[0001] 本公開涉及信息處理領(lǐng)域��,并且更特別地����,涉及信息處理系統(tǒng)中的安全性領(lǐng)域�。
【背景技術(shù)】
[0002] 許多信息處理系統(tǒng)存儲、傳輸����、以及使用機密信息��。因此����,已經(jīng)開發(fā)了技術(shù)來提供 對機密信息的安全處理和存儲�����。這些技術(shù)包括用于在信息處理系統(tǒng)內(nèi)建立并且維護安全 的����、受保護的、或隔離的容器����、分區(qū)、或環(huán)境的各種方案����。
【附圖說明】
[0003] 在附圖中,本發(fā)明以示例的方式而非限制的方式被示出���。
[0004] 圖1示出了根據(jù)本發(fā)明實施例的用于在安全處理環(huán)境中進行特征許可的系統(tǒng)����。
[0005] 圖2示出了根據(jù)本發(fā)明實施例的用于在安全處理環(huán)境中進行特征許可的處理器。
[0006] 圖3示出了根據(jù)本發(fā)明實施例的飛地(enclave)頁面高速緩存��。
[0007] 圖4示出了根據(jù)本發(fā)明實施例的用于在安全處理環(huán)境中進行特征許可的架構(gòu)���。
[0008] 圖5示出了根據(jù)本發(fā)明實施例的用于在安全處理環(huán)境中進行特征許可的方法����。
【具體實施方式】
[0009] 描述了用于在安全處理環(huán)境中進行特征許可的發(fā)明實施例���。在此描述中�����,可能對 諸如部件以及系統(tǒng)配置等大量的具體細節(jié)進行闡述�����,以便于提供對本發(fā)明的更充分的理 解����。然而����,本領(lǐng)域的技術(shù)人員應(yīng)當意識到,本發(fā)明可以在沒有這樣的具體細節(jié)的情況下實 施�。此外,沒有詳細地示出一些公知的結(jié)構(gòu)�����、電路以及其他特征��,以避免不必要地使本發(fā)明 難以理解���。
[0010] 在以下的描述中����,對"一個實施例"����、"實施例"、"示例實施例"�����、"各種實施例"等的 引用指示被如此描述的發(fā)明實施例可以但不是每個實施例都一定包括特定的特征�、結(jié)構(gòu)�����、 或特性����。此外�����,一些實施例可以具有針對其他實施例描述的特征中的一些���、全部����,或不包括 其中的任何特征��。
[0011] 如在權(quán)利要求中使用的���,除非另作指定��,否則描述元件而使用的"第一"���、"第二"����、 "第三"等序數(shù)形容詞僅指示當前指代的是元件的特定實例或相似元件的不同實例����,而并不 是要暗示如此描述的元件必須具有特定的順序(時間上或空間上)��、排列或其他任何方式��。
[0012] 同樣�,術(shù)語"位"、"標志"���、"字段"���、"條目"、"指示符"等可以用來描述寄存器�����、表�、數(shù) 據(jù)庫或其他數(shù)據(jù)結(jié)構(gòu)中的任何類型的存儲位置,不論其以硬件還是軟件實現(xiàn)��,但是并不是 要將發(fā)明實施例限制在任何特定類型的存儲位置或任何特定存儲位置內(nèi)的位或其他元件 的數(shù)量。術(shù)語"清除"可以用于指示將邏輯值〇存儲邏輯值〇或使得邏輯值〇被存儲在存 儲位置中��,而術(shù)語"設(shè)置"可以用于指示存儲邏輯值1或全1或一些其它具體的值或使得邏 輯值1或全1或一些其它具體的值被存儲在存儲位置中��;然而����,這些術(shù)語并不是要將本發(fā)明 的實施例限制于任何特定的邏輯約定,這是因為在本發(fā)明的實施例內(nèi)可以使用任何邏輯約 定��。
[0013] 如在【背景技術(shù)】部分描述的�����,已經(jīng)開發(fā)了在信息處理系統(tǒng)內(nèi)創(chuàng)建并且維護安全的���、 受保護的�����、或隔離的容器���、分區(qū)、或環(huán)境的各種方案�����。一種這樣的方案涉及如在2012年6月 19 日提交的,序列號為No. 13/527, 547 的名為"MethodandApparatustoProvideSecure ApplicationExecution"的共同未決美國專利申請中描述的安全飛地����,該專利申請?zhí)峁┝?關(guān)于安全的�、受保護的或隔離的容器、分區(qū)���、或環(huán)境的至少一個實施例的信息����。然而����,該引用 并不是要以任何方式限制本發(fā)明的實施例的范圍,并且����,可以使用其他實施例同時仍然處 于本發(fā)明的精神和范圍內(nèi)。因此����,在本發(fā)明的任何實施例中使用的任何安全的����、受保護的����、 或隔離的容器、分區(qū)���、或環(huán)境的任何實例在本文中都可以被稱為安全飛地或飛地�。
[0014] 圖1示出了系統(tǒng)100,系統(tǒng)100是根據(jù)本發(fā)明實施例的其中特征可以在安全處理環(huán) 境下被許可的信息處理系統(tǒng)�����。系統(tǒng)100可以表示任何類型的信息處理系統(tǒng)�����,例如服務(wù)器���、桌 面計算機�����、便攜計算機�����、機頂盒��、諸如平板電腦或智能電話等手持設(shè)備���、或嵌入式控制系統(tǒng)�����。 系統(tǒng)100包括處理器110、外圍控制代理120����、系統(tǒng)存儲器130、以及信息存儲設(shè)備140����。實 現(xiàn)本發(fā)明的系統(tǒng)可以包括任何數(shù)量的這些部件中的每一個以及諸如外圍設(shè)備和輸入/輸 出設(shè)備等任何其他部件或其他元件。除非另作指定���,在這樣的或任何的系統(tǒng)實施例中的部 件或其他元件的任何一個或全部可以通過任何數(shù)量的總線�、點對點����、或其他有線或無線的 接口或連接相互連接�����、耦合或通信��。系統(tǒng)100的任何部件或其他部分����,不論在圖1中被示出 或未被示出�����,都可以被集成或者包括在單個的芯片(片上系統(tǒng)或S0C)�、管芯、襯底���、或封裝 之上或之中���。
[0015] 外圍控制代理120可以表示任何如下的部件,其包括外圍部件�、輸入/輸出、或其 它部件或設(shè)備,或者��,外圍部件����、輸入/輸出、或其它部件或設(shè)備可以通過其連接或耦合到 處理器110,例如����,其是芯片組。外圍控制代理120可以由接口 115連接或者耦合到處理 器110,接口 115可以表示任何類型的總線���、點對點����、或其他有線或無線接口或連接�,包括 互連結(jié)構(gòu)中的鏈路�,所述互連結(jié)構(gòu)諸如Intel?快速路徑互連或在2012年10月22日提交 的序列號No.61/717, 091 的名為"Method,Apparatus,SystemforaHighPerformance Interconnectarchitecture"的共同未決美國專利申請中描述的高性能互連(High PerformanceInterconnect)實施例等、或根據(jù)任何其他通信架構(gòu)的任何其他類型的連接��。
[0016] 系統(tǒng)存儲器130可以是可以由處理器110讀取的動態(tài)隨機存取存儲器或任何其他 類型的介質(zhì)���。信息存儲設(shè)備140可以包括任何類型的永久性或非易失性存儲器或存儲裝 置�,例如,閃速存儲器和/或固態(tài)�����、磁����、或光盤驅(qū)動器。
[0017] 處理器110可以表示集成在單個襯底上的或被封裝在單個封裝內(nèi)的一個或多個 處理器�����,其中的每個可以包括任意組合的多個線程和/或多個執(zhí)行核心����。被表示為處理器 110的或被表示為在處理器110內(nèi)部的每個處理器可以是任何類型的處理器,包括通用微 處理器(例如Intel?Core?處理器系列�����、Intel?Atom?處理器系列����、或來自Intel?公司 的其他處理器系列中的處理器、或來自其他公司的其他處理器)����、或?qū)S锰幚砥骰蛭⒖刂?器��。
[0018] 處理器110可以根據(jù)指令集架構(gòu)來進行操作�,所述指令集架構(gòu)包括創(chuàng)建安全飛地 的第一指令����、向飛地添加內(nèi)容的第二指令、對飛地的內(nèi)容進行測量的第三指令���、對飛地進行 初始化的第四指令�����、以及獲取用于進行許可的密鑰的第五指令��。盡管本發(fā)明的實施例可以 利用具有任何指令集架構(gòu)的處理器來實踐�����,并且不限于來自Intel·公司的處理器系列的架 構(gòu),但上述指令可以是對現(xiàn)有架構(gòu)的一組軟件保護擴展的一部分���,并且在本文中可以分別 被稱為創(chuàng)建(ECREATE)指令�����、添加(EADD)指令��、擴展(EEXTEND)指令�、初始化(EINIT)指令、 以及密鑰獲?��。‥GETKEY)指令����?�?梢允褂萌缭谙挛闹忻枋龌蚋鶕?jù)任何其他方式布置的嵌入 在硬件中的電路和/或邏輯��、微碼�、固件、和/或結(jié)構(gòu)的任何組合來在處理器中實現(xiàn)對這些 指令的支持�����,并且�,在圖1中,對這些指令的支持被表示為創(chuàng)建硬件112�����、添加硬件114、擴展 硬件116�、初始化硬件118、以及密鑰獲取硬件119����。
[0019] 圖2示出了處理器200,處理器200的實施例可以用作系統(tǒng)100中的處理器110。 處理器200可以包括核心210�、核心220、以及非核心230���。核心210可以包括存儲單元212��、 指令單元214�����、執(zhí)行單元270��、控制單元218�����、以及密鑰216�����。核心220可以包括存儲單元222���、 指令單元224、執(zhí)行單元270�����、控制單元228����、以及密鑰226。非核心230可以包括高速緩存 單元232�����、接口單元234�����、處理器預(yù)留存儲器范圍寄存器250�、以及存儲器訪問控制單元260。 處理器200還可以包括未在圖2中示出的任何其他電路���、結(jié)構(gòu)�、或邏輯。如在上文中介紹并 在下文中進一步描述的����,創(chuàng)建硬件112、添加硬件114�、擴展硬件116、初始化硬件118�����、以及 密鑰獲取硬件119的功能可以分布在處理器200中任何被標示的單元或其他位置上��。
[0020] 在核心210和220內(nèi)�����,存儲單元212和222可以分別包括可用于任何目的的任何 類型的存儲裝置的任何組合����;例如,它們可以分別包括使用任何存儲器或存儲技術(shù)實現(xiàn)的 任何數(shù)量的可讀���、可寫����、和/或可讀寫的寄存器����、緩沖器、和/或高速緩存���,以用于存儲能力 信息�、配置信息����、控制信息、狀態(tài)信息��、性能信息���、指令����、數(shù)據(jù)����、以及在核心210和220的操作 中可使用的任何其他信息�����,以及包括可用于訪問這樣的存儲裝置的電路�。
[0021] 指令單元214和224可以分別包括用于對分別由核心210和220執(zhí)行的指令進行 取回�����、接收��、解碼��、解釋����、和/或調(diào)度的任何電路、邏輯�����、結(jié)構(gòu)��、和/或其他硬件�����。在本發(fā)明的范 圍內(nèi)可以使用任何指令格式;例如�,指令可以包括操作碼和一個或多個操作數(shù),其中���,操作 碼可以被分別解碼為一個或多個微指令或微操作以用于由執(zhí)行單元216或226執(zhí)行。諸如 創(chuàng)建�、添加、擴展�����、以及初始化指令等的指令可以是單個操作碼的葉子����,所述單個操作碼例 如是特權(quán)安全飛地操作碼(例如ENCLS),其中����,所述葉子指令由處理器寄存器(例如,EAX) 中的值指定�����。諸如密鑰獲取指令等的指令也可以是單個操作碼的葉子,所述單個操作碼例 如是非特權(quán)安全飛地操作碼(例如���,ENCLU)����,其中����,葉子指令也可以由處理器寄存器(例如 EAX)中的值指定