根据一个实施例公开了计算机系统。所述计算机系统包括中央处理单元(CPU)以及耦合至所述CPU并包括受保护的寄存器和主机控制器的芯片集。所述计算机系统还包括耦合至所述主机控制器的总线以及耦合至所述总线的外围设备。可信软件访问所述受保护的寄存器用以在所述计算机系统启动期间在所述主机控制器和所述外围设备之间发送加密数据从而检验所述外围设备是否值得信赖。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及计算机系统,尤其涉及在可信或者安全环境内操作的计算机系统。
技术介绍
在本地或远程微型计算机上执行的金融和个人交易的日益增长为“可信”或“安全”微处理器环境的建立提供了巨大的推动力。这些环境努力要解决的问题是隐私泄漏或者数据的破坏或滥用。用户不希望公开他们的个人信息。他们也不希望使他们的数据被改变或被用于不恰当的交易。这些实例包括病历卡的无意泄露以从在线银行或其他存储机构对资金的电子盗窃。类似地,内容供应商也寻找保护其数字内容(例如音乐、其他的音频、视频或者其他类型的数据)在未经授权时不可被复制的方法。然而遵守由Compaq、IBM、DEC、Intel、Microsoft、NEC、Northern Telecom研发的2.0标准的通用串行总线(USB)的使用引起了对可信的输入/输出(I/O)的严重质疑。USB是计算机系统和外接设备(例如键盘)之间的即插即用型接口。所述计算机系统通常包括与所述USB设备相关联的软件堆栈。USB堆栈内的恶意代码可被潜在地用于修改发送至或者来自USB外围设备的数据,或将所述数据重新路由到一个完全不同的设备。用于制恶意USB软件的一种方法是对发送至或接收自所述USB外围设备的数据进行加密。然而加密方法的问题是所述USB堆栈不能信任发送至所述外围设备的密钥。一种机制包括了通过将密钥直接发送给键盘外围设备而绕过所述USB堆栈。在这一机制中,提示用户在键盘上按键以输入密钥。这一机制是低效的,因为它要求用户每次键入63个键才能启动计算机系统。可选地,所述键盘可以请求非易失性存储器存储用以避免每次键盘上电时用户必需输入的按键。这将导致键盘生产成本的增加。此外,这一机制不适用于诸如鼠标的非键盘外围设备使用,除非将加密硬件钥匙(dongle)内嵌在计算机系统和外围设备之间。这样同样会增加成本。附图说明本专利技术通过实例而非限制性的方式结合附图示出,其中类似的编号指代类似元素的所述附图包括图1是计算机系统的一个实施例的框图;图2是中央处理单元(CPU)的一个实施例的框图;图3是示出了存储器的一个实施例的框图;图4是把密钥发送给外围设备的一个实施例的流程图。具体实施例方式将要描述一种在计算机系统内确保可信USB输入/输出(I/O)的机制。根据一个实施例,通过不使用USB堆栈将密钥发送给USB外围设备来实现计算机系统内的可信端口。在本专利技术随后的详细描述中,为了提供本专利技术的透彻理解将阐述许多特定细节。然而本领域普通技术人员显而易见的是,无需这些特定细节也可以实践本专利技术。在其他实施例中,将以框图而非细节形式示出已知的结构和设备以避免淡化本专利技术的主题。本说明内的“一个实施例”或者“某一实施例”意味着连同所述实施例描述的特定性能、结构或特性是包括在本专利技术的至少一个实施例中。在本说明中多个地方出现的短语“在一个实施例中”并不一定指代同一实施例。图1是计算机系统100的一个实施例的框图。计算机系统100包括耦合至总线105的中央处理单元(CPU)102。在一个实施例中,CPU 102是由位于加州SantaClara的Intel公司提供的包括PentiumII处理器家族、PentiumIII处理器家族以及PentiumIV处理器家族的Pentium处理器家族中的一种处理器。另外也可使用其他的CPU。图2是示出了CPU 102的一个实施例的框图。在一个实施例中,CPU 102包括高速缓存存储器(高速缓存)220、嵌入密钥230以及页表(PT)寄存器240。高速缓存220的全部或部分可以包括或者转换成个人存储器(PM)225。根据一个实施例,个人存储器225是在其激活作为个人存储器时,带有防止任何未经授权的设备(例如除了相关的CPU 102之外的任何设备)对其进行访问的有效保护的存储器。在示出的实施例中,高速缓存220可以具备各种性能以准许其作为个人存储器的选择性隔离。在另一个未示出的实施例中,个人存储器225在高速缓存存储器550之外并与其隔开,但是仍旧与CPU 102相关联。密钥230可以是用以加密、加密和/或验证各种数据块和/或代码的嵌入式密钥。PT寄存器240可以是以寄存器形式用以识别仅可由保护代码访问的存储器页面并且存储器页面未被保护的表。现在重新参考图1,芯片集107也耦合至总线105。芯片集107包括了存储器控制集线器(MCH)110。MCH 110可包括耦合至主系统存储器115的存储器控制器112。主系统存储器115存储数据以及可由CPU 102或者包含在系统100内任何其他设备所执行的指令序列。在一个实施例中,主系统存储器115包括动态随机存取存储器(DRAM);然而也可使用其他的存储器类型实现主系统存储器115。诸如多个CPU和/或多个系统存储器的附加设备也可耦合至总线105。图3是示出了存储器115的一个实施例的框图。参见图3,存储器115可以包括受保护的存储器表320以及可信软件(s/w)监视器330。在某些实施例中,受保护的存储器表320是定义了存储器115中哪些存储器块(存储器块指的是连续的可寻址存储器单元的范围)不能由直接存储器访问(DMA)传送的表。因为所有对存储器115的访问都经由MCH 110,所以MCH 110可以在准许任何DMA传送发生之前就检查受保护的存储器表320。在某个特定实施例中,MCH 110可以使用高速缓存技术以减少对受保护的存储器表320的必要访问数量。在一个实施例中,受保护的存储器表320可由比特表实现,其中每一比特都对应着存储器115内的某一特定存储器块(例如每一比特都可对应于单页,其中逻辑“1”指示该页面受保护免于DMA传送而其中逻辑“0”指示该页面不受保护可被DMA传送)。在某一特定的操作中,由受保护的存储器表320保护免于DMA传送的存储器块可以是与由CPU 102内的PT寄存器的保护进程所限定的存储器块相同。在一个实施例中,一旦建立了受保护的操作环境,可信s/w监视器330就可以监控并控制所述受保护的操作环境。在某个特定的实施例中,可信s/w监视器330仅位于由受保护的存储器表320保护免于数据传送(例如DMA传送)的存储器块内,这样就确保可信s/w监视器330不会被从无保护和/或未经授权的设备中传送的数据损害。受保护的存储器表320也可通过保护包括在受保护的存储器表320的存储器块,保护其自身在数据事务中免于更改。现在重新参考图1,MCH 110也可包括耦合至图形加速器130的图形界面113。在一个实施例中,图形界面113经由加速图形接口(AGP)耦合至图形加速器130,所述AGP的操作是基于由位于加州Santa Clara的Intel公司研发的AGP规范修正版2.0接口。根据一个实施例,MCH 110包括用于各种加密、解密和/或验证过程的密钥116、受保护的寄存器120以及受保护的存储器表125。在一个实施例中,受保护的存储器表125可以在MCH 110内作为受保护的存储器表125得以实现并且可以移除受保护的存储器表320。在另一个实施例中,受保护的存储器表125可以作为先前描述的在存储器115内的受保护的存储器表320而得以实现并且可以移除受保护的存储器表125。受保护的存储器表也能以未示出的其他方式实现。本文档来自技高网...
【技术保护点】
一种计算机系统,包括:中央处理单元(CPU);耦合至所述CPU的芯片集,包括:受保护的寄存器;以及主机控制器;耦合至所述主机控制器的总线;以及耦合至所述总线的外围设备,其中可信软件访问所述受保 护的寄存器用以在所述计算机系统启动期间在所述主机控制器和所述外围设备之间发送加密数据从而检验所述外围设备是否值得信赖。
【技术特征摘要】
【国外来华专利技术】US 2003-6-30 10/609,5081.一种计算机系统,包括中央处理单元(CPU);耦合至所述CPU的芯片集,包括受保护的寄存器;以及主机控制器;耦合至所述主机控制器的总线;以及耦合至所述总线的外围设备,其中可信软件访问所述受保护的寄存器用以在所述计算机系统启动期间在所述主机控制器和所述外围设备之间发送加密数据从而检验所述外围设备是否值得信赖。2.如权利要求1所述的计算机系统,其特征在于,所述加密数据是在外围设备处生成并且发送至所述主机控制器。3.如权利要求1所述的计算机系统,其特征在于,所述加密数据是在所述CPU处生成并且发送至所述外围设备。4.如权利要求1所述的计算机系统,其特征在于,所述可信软件写入所述受保护的寄存器以对所述主机控制器指示要发送的所述加密数据以及将被接收到的响应数据。5.如权利要求1所述的计算机系统,其特征在于,所述芯片集还包括受保护的存储器表;以及耦合至所述存储器设备的存储器控制器。6.如权利要求5所述的计算机系统,其特征在于,还包括耦合至所述存储器控制器的存储器设备。7.如权利要求6所述的计算机系统,其特征在于,在所述主机控制器和所述外围设备之间发送的所述数据在与所述外围设备相关联的存储器设备处绕过堆栈。8.如权利要求7所述的计算机系统,其特征在于,所述存储器设备包括受保护的存储器表;以及可信软件监视器。9.如权利要求1所述的计算机系统,其特征在于,所述外围设备是键盘。10.如权利要求1所述的计算机系统,其特征在于,所述外围设备是鼠标。11.如权利要求1所述的计算机系统,其特征在于,所述外围设备是扫描仪。12.如权利要求1所述的计算机系统,其特征在于,所述总线是通用串行总线。13.一种芯片集,包括受保护的寄存器;以及经由总线耦合至外围设备的主机控制器;其中可信软件访问所述受保护的寄存器用以在所述主机控制器和所述外围设备之间发送加密数据从而检验所述外围设备是否值得信赖。14.如权利要求13所述的芯片集,其特征在于,所述加密数据是在外围设备处生成并且发送至所述主机控制器。15.如权利要求13所述的芯片集,其特征在于,所述加密数据是从耦合至所述芯片集的CPU处接收并且发送至所述外围设备。16.如权利要求13所述的芯片集,其特征在于,所述可信软件写入所述...
【专利技术属性】
技术研发人员:D普斯纳,
申请(专利权)人:英特尔公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。