具有SR‑IOV和xHCI‑IOV的附加安全执行环境制造技术

本文描述了一种装置。该装置包括通用串行总线（USB）组件和控制器接口。控制器接口分配用于与USB组件对接的寄存器空间，并且USB组件被虚拟化到多个例示中。该装置还包括安全环境，并且安全环境进一步虚拟化所述多个例示，以使得所述多个例示被安全环境所拥有。

Additional safety execution environment with SR IOV and xHCI IOV

This article describes a device. The device consists of a general purpose serial bus (USB) component and a controller interface. Controller interface for register allocation of space docking with the USB component, and USB component is virtualized to multiple instantiation. The device also includes a security environment and security environment, further the virtualization of the plurality of cases, so that the plurality of security environment have been exemplary.

【技术实现步骤摘要】
【国外来华专利技术】具有SR-IOV和xHCI-IOV的附加安全执行环境
本申请要求于2015年3月27日提交的美国专利申请号14/671,465的申请日的权益，该申请被通过引用并入本文。
本技术一般涉及用于USB设备的安全环境。更具体地，本技术涉及具有SR-IOV和xHCI-IOV的附加安全执行环境。
技术介绍
可以使用单根输入/输出虚拟化（SR-IOV）来虚拟化USB设备。虚拟化经由虚拟机管理器（VMM）抽象出连接到主机系统的每个USB设备。VMM可以获得USB设备的独占所有权并将USB设备的所有权分配给虚拟机（VM）。然而，不可一直依赖于虚拟机管理器来隔离和保护USB设备。附图说明图1是具有安全环境的系统的框图；图2A是具有未虚拟化的xHCI接口的系统的框图；图2B是具有虚拟化的xHCI接口的系统的框图；图2C是具有管理引擎虚拟化的xHCI接口的系统的框图；图2D是具有三层虚拟化的xHCI接口的系统的框图；图3是用于具有SR-IOV和xHCI-IOV的安全执行环境的方法的过程流程图；以及图4是示出存储用于具有SR-IOV的安全执行环境的代码的有形非暂时性计算机可读介质的框图。在整个公开和附图中使用相同的数字来引用类似的组件和特征。100系列的数字指代最初在图1中发现的特征；200系列的数字指代最初在图2中发现的特征；以此类推。具体实施方式受信任的执行环境是使得能够实现系统或平台的代码和设备的保护和安全性的隔离环境。受信任的执行环境独立于主机操作系统，并且可以包括硬件组件和软件组件二者。受信任的执行环境可以是主机的处理器，诸如专用的受保护环境管理引擎（ME）。通用串行总线（USB）设备可以是经由受信任的执行环境与主机耦合的安全性关键设备。USB安全性关键设备是控制敏感数据的设备，并且可以是例如指纹扫描器、键盘、或相机。USB设备通常由通过快速外围组件互连（PCIe）接口耦合到主机平台的USB控制器来控制。PCIe可以是根据任何PCI规范，诸如发布于2010年11月的快速PCI3.0基本规范修订版3.0。在实施例中，USB控制器是可扩展主机控制器接口（eXtensibleHostControllerInterface，xHCI）主机控制器（例如，顺从于2013年12月20日公布的通用串行总线3.0的可扩展主机控制器接口规范修订版1.1的xHCI控制器）。xHCI主机控制器进而由主机操作系统（OS）驱动器来管理。xHCI规范定义了如何通过使用PCIe定义的单根-输入/输出虚拟化（SR-IOV）机制和由xHCI规范定义的xHCI-输入/输出虚拟化（xHCI-IOV）机制的组合来跨多个虚拟机（VM）例示（instantiation）共享USB设备。在实施例中，SR-IOV和xHCI-IOV的组合可以简称为SR-IOV。SR-IOV连同PCIe和xHCI一起操作以使得能够实现USB设备的输入/输出虚拟化。在虚拟化环境中，每个VM一般独立于其它VM，并且每个VM可以执行不同的功能。安全的VM可以“拥有”安全性关键USB设备，而剩下的USB设备的控制被分配给VMM或其它VM。如本文所用，拥有一组件可以指代具有对该组件的控制以使得系统资源由该拥有者提供给该组件。拥有该组件也可以指代具有对该组件的完全控制。在标准虚拟化情况下，xHCI主机控制器由虚拟机管理器（VMM）驱动器来管理。VMM驱动器使得能够跨多个VM共享USB设备。本文描述的实施例使得能够实现具有SR-IOV和xHCI-IOV的附加安全执行环境。安全环境可以进一步对由VMM产生的VM的多个例示进行虚拟化。通过模拟用于所述多个例示的寄存器空间来进一步虚拟化所述多个例示。在实施例中，根据xHCI规范，USB设备被虚拟化到多个例示中。xHCI规范定义了如何与USB集线器对接，以及可以如何通过使用SR-IOV将USB集线器虚拟化到多个例示中。根据本技术，从VMM控制中移除一些USB设备，并且将对这些设备的控制分配给更安全和可用的环境。如在一些单个主机OS应用中，当VMM可能不存在时，USB安全性关键设备可以在更安全的受信任的环境内操作。即使在VMM存在时，安全性或实现原因也可阻止VMM将设备与安全VM隔离。每个VM基本独立于其对等者地在计算系统上操作。例如，每个VM可以在物理计算系统上具有其自己的存储器空间，并且可以实现其自己的操作系统（OS）和相关联的程序。然而，VM共享计算系统的物理资源。因此，可以使用一个物理计算机来托管多个VM，每个VM执行不同的功能。这确保了有效地利用物理计算机的处理器来服务于多个任务。在以下描述中，阐述了众多具体细节，诸如以下示例：具体的处理器类型和系统配置、具体硬件结构、具体架构和微架构细节、具体寄存器配置、具体指令类型、具体系统组件、具体测量结果/高度、具体处理器管线级以及操作等，以便提供对本专利技术的透彻理解。然而，将对本领域技术人员显而易见的是，不需要采用这些具体细节来实践本专利技术。在其它实例中，并未详细描述公知的组件或方法，诸如具体的和替代的处理器架构、用于所描述的算法的具体逻辑电路/代码、具体固件代码、具体互连操作、具体逻辑配置、具体制造技术和材料、具体编译器实现方式、代码中算法的具体表达、具体掉电和选通技术/逻辑、以及计算机系统的其它具体操作细节，以便避免不必要地模糊本专利技术。尽管可参考具体集成电路中（诸如在计算平台或微处理器中）的节能和能效来描述以下实施例，但其它实施例可应用于其它类型的集成电路和逻辑设备。本文描述的实施例的相似的技术和教导可被应用于同样可受益于更好的能效和节能的其它类型的电路或半导体设备。例如，公开的实施例不限于桌面计算机系统或UltrabookTM（超级本），而是也可用于诸如手持设备、平板、其它薄笔记本、片上系统（SOC）设备、和嵌入式应用之类的其它设备中。手持设备的一些示例包括蜂窝电话、互联网协议设备、数字相机、个人数字助理（PDA）和手持PC。嵌入式应用通常包括微控制器、数字信号处理器（DSP）、片上系统、网络计算机（NetPC）、机顶盒、网络中枢、广域网（WAN）交换机或可以执行以下所教导的功能和操作的任何其它系统。此外，本文描述的装置、方法和系统不限于物理计算设备，而是也可涉及用于节能和能效的软件优化。如将在以下描述中变得容易地显而易见的，本文（无论是否参考硬件、固件、软件或其组合）描述的方法、装置和系统的实施例对与性能考虑相权衡的“绿色技术”未来是至关重要的。随着计算系统一直进步，其中的组件正变得更加复杂。结果，耦合组件并在组件之间通信的互连架构也在复杂度上一直增加，以保证带宽要求被满足用于最佳组件操作。此外，不同的市场区段需要不同方面的互连架构以适应市场需求。例如，服务器需要更高性能，而移动生态系统有时能够牺牲总体性能以省电。但是，大多数构造的唯一目的是在最大省电的情况下提供最高可能的性能。下面，讨论将会潜在地受益于本文描述的专利技术的各方面的多种互连。图1是具有安全环境的系统100的框图。系统100可以是例如膝上型计算机、台式计算机、超极本、平板计算机、移动设备或服务器等的组件。系统100可以包括被配置为执行所存储的指令的中央处理单元（CPU）102，以及存储可由CPU102执行的指令的存储器本文档来自技高网...

【技术保护点】
一种装置，包括：通用串行总线（USB）设备；控制器接口，其中，所述控制器接口分配用于与所述USB设备对接的寄存器空间，并且所述USB设备被虚拟化到多个例示中；以及安全环境，其中，所述安全环境通过模拟用于所述多个例示的寄存器空间来虚拟化所述多个例示。

【技术特征摘要】
【国外来华专利技术】2015.03.27 US 14/6714651.一种装置，包括：通用串行总线（USB）设备；控制器接口，其中，所述控制器接口分配用于与所述USB设备对接的寄存器空间，并且所述USB设备被虚拟化到多个例示中；以及安全环境，其中，所述安全环境通过模拟用于所述多个例示的寄存器空间来虚拟化所述多个例示。2.根据权利要求1所述的装置，其中，所述控制器接口是可扩展主机控制器接口（xHCI）。3.根据权利要求2所述的装置，其中，USB集线器通过使用单根输入/输出虚拟化（SR-IOV）和xHCI输入/输出虚拟化（xHCI-IOV）的组合的组合而被虚拟化到多个例示中。4.根据权利要求3所述的装置，其中，所述安全环境是管理引擎。5.根据权利要求1所述的装置，其中，所述USB设备是多个USB设备、多个USB集线器或其任何组合。6.一种装置，包括：通用串行总线（USB）设备；控制器接口，其中，所述控制器接口定义用于与所述USB设备对接的寄存器空间并且所述控制器接口由操作系统进行管理；以及管理引擎，其中，所述管理引擎虚拟化所述寄存器空间，以使得所述USB设备由所述管理引擎拥有并被模拟至所述操作系统。7.根据权利要求6所述的装置，其中，所述控制器接口可为可扩展主机控制器接口。8.根据权利要求6所述的装置，其中，所述管理引擎拥有将虚拟功能一撇（VF1'）模拟至所述操作系统的物理功能零撇（PF0'）。9.根据权利要求6所述的装置，其中，所述USB设备是多个USB设备、多个USB集线器或其任何组合。10.一种系统，包括：与多个USB设备耦合的USB集线器；微控制器，其中，所述微控制器与所述USB集线器对接；虚拟机管理器，其用于将所述USB集线器的地址空间虚拟化到多个例示中；以及至少一个策略管理器，其中，所述策略管理器进一步虚拟化所述多个例示，以使得所述多个例示由所述策略管理器拥有。11.根据权利要求10所述的系统，其中，所述微控制器顺从于可扩展主机控制器接口。12.根据权利要求10所述的系统，其中，所述USB集线器通过使用单根输入/输出...

【专利技术属性】
技术研发人员：NV萨兰格哈尔，SB麦克戈万，R古蒂雷茨，KR瓦迪韦卢，
申请(专利权)人：英特尔公司，
类型：发明
国别省市：美国,US