描述了用于可信执行环境的安全芯片存储器的技术。处理器可以包括被配置为与可信执行环境相接合的存储器。处理器可以被配置为向可信执行环境指示存储器支持对可信执行环境的专门访问。处理器可以接收来自可信执行环境的指令。处理器可以实施接口插件的访问控制策略,以将由可信执行环境进行的对存储器的访问限制为存储器的与可信执行环境相关联的分区。描述并要求保护其它实施例。
【技术实现步骤摘要】
用于可信执行环境的安全芯片存储器的技术
本公开总体上涉及提供用于可信执行环境的安全芯片存储器的技术。
技术介绍
在利用可信执行环境(TEE)的一些设备中,可以在称为飞地(enclave)的安全环境中执行和/或存储应用的敏感部分,以保护代码和数据免于损害。然而,不同于常规的应用环境,在设备已经进入某些睡眠状态之后,飞地可能不保留数据。虽然许多机器可以包括能够由飞地使用的片外持久存储装置,但是其不提供维持飞地的安全环境必要的安全级别。因此,用于可信执行环境的安全芯片存储器的改进的技术是期望的。
技术实现思路
下面呈现了简要
技术实现思路
以便提供对本文描述的一些新颖实施例的基本理解。该
技术实现思路
不是全面概括,并且不旨在识别重要/关键元素或划定其范围。其唯一目的是以简要形式呈现一些概念作为后面呈现的更详细的描述的前序。描述了用于可信执行环境的安全芯片存储器的技术。处理器可以包括被配置为与可信执行环境相接合的存储器。处理器可以被配置为向可信执行环境指示存储器支持对可信执行环境的专门访问。处理器可以接收来自可信执行环境的指令。处理器可以实施接口插件的访问控制策略,以将由可信执行环境进行的对存储器的访问限制为存储器的与可信执行环境相关联的分区。描述并要求保护其它实施例。为了实现前述目的和相关目的,在本文中结合下面的说明书和附图描述了某些说明性方面。这些方面指示本文公开的原理能够实践的各种方式并且所有方面及其等同物旨在处于要求保护的主题的范围内。在结合附图考虑时,其它优点和新颖特征将从下面的具体实施方式中变得显而易见。附图说明图1示出了操作环境的实施例。图2示出了可信执行环境的实施例。图3示出了可信执行环境的架构。图4示出了系统的实施例。图5示出了根据实施例的存储器系统。图6示出了系统的实施例。图7示出了系统的实施例。图8示出了根据实施例的逻辑流程。图9示出了根据实施例的制品。图10示出了集中式系统的实施例。图11示出了分布式系统的实施例。图12示出了计算架构的实施例。图13示出了通信架构的实施例。具体实施方式描述了用于可信执行环境的安全芯片存储器的技术。处理器可以包括被配置为与可信执行环境相接合的存储器。处理器可以被配置为向可信执行环境指示存储器支持对可信执行环境的专门访问。处理器可以接收来自可信执行环境的指令。处理器可以实施接口插件的访问控制策略,以将由可信执行环境进行的对存储器的访问限制为存储器的与可信执行环境相关联的分区。描述并要求保护其它实施例。一般地参考本文所使用的记号和命名法,下面的具体实施方式可以从在计算机或计算机网络上执行的程序过程方面来呈现。本领域技术人员使用这些过程描述和表示来最有效地向本领域其它技术人员传达其工作的实质内容。过程在此处并且一般地被认为是导致期望结果的自一致的操作序列。这些操作是要求对物理量进行物理操纵的操作。通常,但非必要地,这些量采取能够被存储、传送、组合、比较以及以其它方式操纵的电、磁或光学信号的形式。主要出于惯常使用的原因,证实有时方便的是将这些信号称为位、值、元素、符号、字符、项、数字等。然而,应当注意,所有这些以及类似的术语应与适当的物理量相关联并且仅仅是应用于这些量的便利标记。此外,所执行的操纵经常以诸如添加或比较的术语来称谓,其常常与人类操作者执行的心理操作相关联。在本文描述的形成一个或多个实施例的部分的操作中的任何操作中,人类操作者的这种能力在大多数情况下不是必要或期望的。相反,操作是机器操作。用于执行各种实施例的操作的有用机器包括通用数字计算机或类似设备。各种实施例还涉及用于执行这些操作的装置或系统。该装置可以特殊地构造成用于所要求的目的,或者其可以包括如由存储在计算机中的计算机程序选择性地激活或重新配置的通用计算机。本文呈现的过程本质上与特定计算机或其它装置无关。各种通用机器可以与根据本文的教导编写的程序一起使用,或者构造更专门的装置来执行所要求的方法步骤可以证明是方便的。各种这些机器的所要求的结构将从给出的描述中出现。图1示出了例如可以表示一些实施例的操作环境100的示例。在可以包括用于可信执行环境的安全芯片存储器的操作环境100中,系统102可以包括经由网络140耦合的服务器110和处理设备105。服务器110和处理设备105可以经由网络140交换数据130,并且数据130可以包括用于在处理设备105内执行的可执行指令132。在一些实施例中,数据130可以包括数据值、可执行指令和/或其组合。网络140可以基于可以通过其来交换信号的各种通信技术(或其组合)中的任一种,包括但不限于采用电和/或光传导线缆的有线技术,以及采用红外、射频和/或其它形式的无线传输的无线技术。在各种实施例中,处理设备105可以包含处理器组件150、存储装置160、控件125(例如,可手动操作的控件)、显示器135和/或将处理设备105与网络140耦合的网络接口115。处理器组件150可以包含安全凭证180、安全微代码178、存储元数据136的元数据存储装置135、安全子系统174、一个或多个处理器核心170、一个或多个高速缓存172和/或图形控制器176。存储装置160可以包括易失性存储装置164、非易失性存储装置162和/或一个或多个存储控制器165。处理设备105可以包括控制器120(例如,安全控制器),控制器120可以包括安全凭证180。控制器120还可以包括本文所描述的用于散列函数的统一硬件加速的实施例中的一个或多个。易失性存储装置164可以包括这样的一个或多个存储设备:该一个或多个存储设备是与其要求连续电力供给以保留存储在其中的信息同等程度地易失性的。易失性存储装置164的(多个)存储设备的操作可以由存储控制器165来控制,存储控制器165可以接收来自处理器组件150和/或处理设备105的其它组件的命令以在其中存储和/或取回信息,并且可以将这些命令在接收命令的总线协议和/或定时与易失性存储装置164的(多个)存储设备耦合到存储控制器165的其它总线协议和/或定时之间进行变换。通过示例的方式,易失性存储装置164的一个或多个存储设备可以由经由接口耦合到存储控制器165的动态随机存取存储器(DRAM)设备构成,例如,其中采用行地址和列地址连同字节使能信号来选择存储位置,同时由存储控制器165接收的命令可以沿一对或多对数字串行传输线向其传送。非易失性存储装置162可以由这样的一个或多个存储设备构成:该一个或多个存储设备是与其在没有连续电力供给的情况下能够保留存储在其中的信息同等程度地非易失性的。非易失性存储装置162的(多个)存储设备的操作可以由存储控制器165(例如,与用于操作易失性存储装置164的不同的存储控制器)来控制,存储控制器165可以接收来自处理器组件150和/或处理设备105的其它组件的命令以在其中存储和/或取回信息,并且可以将这些命令在接收命令的总线协议和/或定时与非易失性存储装置162的(多个)存储设备耦合到存储控制器165的其它总线协议和/或定时之间进行变换。通过示例的方式,非易失性存储装置162的一个或多个存储设备可以由经由数字串行接口可操作地耦合到存储控制器165的基于铁磁盘的驱动器(硬盘驱动器)构成,例如,其中每个这样的存储设备内的存储空间的部分通过引本文档来自技高网...
【技术保护点】
1.一种用于将可信执行环境与存储器相接合的系统,包括:处理器,其包括被配置为与所述可信执行环境相接合的所述存储器,所述处理器被配置为:向所述可信执行环境指示所述存储器支持对所述可信执行环境的专门访问;接收来自所述可信执行环境的指令;以及实施接口插件的访问控制策略,以将由所述可信执行环境进行的对所述存储器的访问限制为所述存储器的与所述可信执行环境相关联的分区。
【技术特征摘要】
2017.05.19 US 15/600,6661.一种用于将可信执行环境与存储器相接合的系统,包括:处理器,其包括被配置为与所述可信执行环境相接合的所述存储器,所述处理器被配置为:向所述可信执行环境指示所述存储器支持对所述可信执行环境的专门访问;接收来自所述可信执行环境的指令;以及实施接口插件的访问控制策略,以将由所述可信执行环境进行的对所述存储器的访问限制为所述存储器的与所述可信执行环境相关联的分区。2.根据权利要求1所述的系统,其中,所述存储器是非易失性随机存取存储器(NVRAM)。3.根据权利要求1所述的系统,其中,所述存储器的与所述可信执行环境相关联的所述分区是由系统BIOS创建的。4.根据权利要求1所述的系统,其中,所述可信执行环境是软件防护扩展(SGX)系统。5.根据权利要求1所述的系统,其中,所述可信执行环境是虚拟机管理器(VMM)系统。6.根据权利要求1所述的系统,其中,所述存储器包括多个分区,所述多个分区中的每个分区静态地与可信执行环境相关联。7.根据权利要求1所述的系统,其中,所述存储器的与所述可信执行环境相关联的所述分区包括用于一个或多个飞地的保存-恢复信息。8.根据权利要求1所述的系统,其中,所述访问控制策略特别地与所述可信执行环境相关联。9.根据权利要求1所述的系统,其中,所述访问控制策略特别地与所述存储器的与所述可信执行环境相关联的所述分区相关联。10.根据权利要求1所述的系统,其中,所述访问控制策略包括用于读取存储在所述存储器的与所述可信执行环境相关联的所述分区内的数据的读取指令。11.根据权利要求1所述的系统,其中,所述访问控制策略包括用于将数据写入所述存储器的与所述可信执行环境相关联的所述分区的写入指令。12.根据权利要求1所述的系统,其中,所述访问控制策略包括以下中的一个或多个:可信执行环境标识符、可信执行环境指令以及与可信执行环境相关联的存储器位置的范围。13.一种用于将可信执行环境与存储器相接合的计算机实现的方法,包括:由处理器向所述可信执行环境指示所述处理器的存储器支持对所述可信执行环境的专门访问;接收来自所述可信执行环境的指令;以及实施接口插件的访问控制策略,以将由所述可信执行环境进行...
【专利技术属性】
技术研发人员:A·T·纳伦德拉特里维迪,S·查伯拉,
申请(专利权)人:英特尔公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。