【技术实现步骤摘要】
用于执行安全嵌入式容器的处理器扩展
本公开总体上涉及电子领域。更具体地,本专利技术的实施例涉及用于执行安全嵌入式容器的处理器扩展。
技术介绍
计算机系统可以被实现为分层的设备,例如包括硬件层、固件和操作系统层以及应用程序层。计算机系统的硬件层可以被称为物理平台。物理平台可以包括处理器、芯片组、通信信道、存储器、主板和系统。计算机系统还可以包括管理引擎(manageabilityengine),例如包括微控制器,其专门用于允许例如通过通信网络经由远程管理控制台来远程地管理该计算机系统。然而,由于包括成本、大小、功耗、散热、有限的MIPS(每秒百万指令)等在内的原因,在一些实现中针对管理服务来提供专用的微控制器可能是不适当的、不切实际的或者没有可扩展性。附图说明参考附图提供了详细的描述。在附图中,附图标记最左边的数字标识出该附图标记第一次出现的那幅图。在不同的附图中使用相同的附图标记来指示类似或相同的项。图1、18和19说明了计算系统的实施例的框图,所述计算系统可以被用于实现本文讨论的各种实施例。图2是根据一实施例的状态转变图,其说明了四个状态和用于使得能够从一个状态转变为另一个状态的触发条件。图3说明了根据一实施例的与不同存储器分区的执行相关联的各种操作的框图。图4-8说明了根据一些实施例的时间图。图9和11说明了根据本专利技术的一些实施例的流程图。图10说明了根据一实施例的用于处理从分配给OI的设备发起的中断、并将其注入到OI分区的各种部件的框图。图12说明了根据一实施例的与OIPIC模块进行通信的各种部件。图13和14说明了根据一些实施例的与使用加载密钥 ...
【技术保护点】
一种用于动态地对资源进行安全划分的装置,包括:存储单元,其具有多个分区,其中,所述多个分区中的第一分区用于存储独立于操作系统(OS)的分区,该独立于OS的分区具有独立于操作系统和虚拟机管理器、并且不受操作系统和虚拟机管理器影响的执行环境,并且所述多个分区中的第二分区用于存储OS;以及固件实现的独立于操作系统/虚拟机管理器的资源管理器,其将所述多个分区耦合到处理器,其中,所述资源管理器用于在所述第一分区与所述第二分区之间动态地划分所述处理器的周期,并且其中,运行在所述处理器上的、来自所述第二分区的应用程序能够从所述资源管理器获得密钥二进制大对象以访问所述第一分区中的数据,所述密钥二进制大对象包含应用程序生成的、由所述资源管理器使用仅能由所述资源管理器访问的嵌入式密钥加密的密钥。
【技术特征摘要】
2008.12.31 US 12/347,8901.一种用于动态地对资源进行安全划分的装置,包括:存储单元,其具有多个分区,其中,所述多个分区中的第一分区用于存储独立于操作系统(OS)的分区,该独立于OS的分区具有独立于操作系统和虚拟机管理器、并且不受操作系统和虚拟机管理器影响的执行环境,并且所述多个分区中的第二分区用于存储OS;以及固件实现的独立于操作系统/虚拟机管理器的资源管理器,其将所述多个分区耦合到处理器,其中,所述资源管理器用于在所述第一分区与所述第二分区之间动态地划分所述处理器的周期,并且其中,运行在所述处理器上的、来自所述第二分区的应用程序能够从所述资源管理器获得密钥二进制大对象以访问所述第一分区中的数据,所述密钥二进制大对象包含应用程序生成的、由所述资源管理器使用仅能由所述资源管理器访问的嵌入式密钥加密的密钥。2.根据权利要求1所述的装置,其中,所述存储单元将独立于操作系统/虚拟机管理器的驱动程序存储在所述第二分区中,其中,所述驱动程序用于向所述资源管理器指示存储在所述第一分区中的一个或多个指令是否要被调度执行。3.根据权利要求1所述的装置,其中,所述资源管理器基于确定出所述资源管理器未能调度存储在所述第一分区中的一个或多个指令在选择时间段内执行,为所述一个或多个指令分配最短保证执行持续时间。4.根据权利要求1所述的装置,其中,所述资源管理器向所述第一分区分配所述处理器的空闲周期。5.根据权利要求1所述的装置,其中,所述处理器包括一个或多个处理器核心,并且所述资源管理器用于确定是分配所述一个或多个处理器核心中一个处于C0状态的处理器核心的周期,还是唤醒所述一个或多个处理器核心中另一个处于C-X状态的处理器核心。6.根据权利要求1所述的装置,其中,所述第一分区包括设备过滤器,用于指示是根据存储在所述第一分区中的第一中断重映射表还是根据存储在所述第二分区中的第二中断重映射表来处理中断。7.根据权利要求6所述的装置,还包括中断重映射单元,用于接收所述中断并且引起所述设备过滤器的查找。8.根据权利要求1所述的装置,其中,所述资源管理器基于范围寄存器的一个或多个比特来阻止来自所述第二分区的对所述第一分区的访问。9.根据权利要求1所述的装置,其中,所述资源管理器基于存储在所述第一分区中的扩展页表中存储的数据来阻止来自所述第一分区的对所述第二分区的访问。10.根据权利要求1所述的装置,其中,所述处理器包括存储器,用于存储未加密的信息,其中,所述未加密的信息对所述处理器的外部是不可用的。11.根据权利要求1所述的装置,还包括完整性校验值阵列,用于存储对应于所述第一分区中的一个或多个页的数据,其中,所述阵列中的每个条目用于指示所述第一分区中的对应的页的安全散列算法值、有效性和直接存储器访问。12.根据权利要求11所述的装置,其中,所述资源管理器基于存储在所述完整性校验值阵列的对应的条目中的值,确定所述第一分区中的所述一个或多个页的完整性。13.根据权利要求11所述的装置,其中,响应于检测到对所述第一分区中的对应的页的修改,所述资源管理器引起对存储在所述完整性校验值阵列中的值的更新。14.一种用于动态地对资源进行安全划分的方法,包括:将多个分区存储在存储器中,其中,所述多个分区中的第一分区用于存储独立于操作系统(OS)的分区,该独立于OS的分区具有独立于操作系统和虚拟机管理器、并且不受操作系统和虚拟机管理器影响的执行环境,并且所述多个分区中的第二分区用于存储OS;经由独立于操作系统/虚拟机管理器的资源管理器,将所述多个分区耦合到处理器;以及所述资源管理器在所述第一分区与所述第二分区之间分配所述处理器的周期,其中,运行在所述处理器上的、来自所述第二分区的应用程序能够从所述资源管理器获得密钥二进制大对象以访问所述第一分区中的数据,所述密钥二进制大对象包含应用程序生成的、由所述资源管理器使用仅能由所述资源管理器访问的嵌入式密钥加密的密钥。15.根据权利要求14所述的方法,还包括:将独立于操作系统/虚拟机管理器的驱动程序存储在所述第二分区中,其中,所述驱动程序用于向所述资源管理器指示存储在所述第一分区中的一个或多个指令是否要被调度执行。16.根据权利要求14所述的方法,还包括:所述资源管理器基于确定出所述资源管理器未能调度存储在所述第一分区中的一个或多个指令在选择时间段内执行,为所述一个或多个指令分配最短保证执行持续时间。17.根据权利要求14所述的方法,还包括:所述资源管理器向所述第一分区分配所述处理器的空闲周期。18.根...
【专利技术属性】
技术研发人员:V·尚博格,A·库马尔,P·戈埃尔,
申请(专利权)人:英特尔公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。