公开了使用多个认证代码模块进入安全系统环境的系统、设备和方法。在一个实施例中,处理器包括解码器和控制逻辑。解码器解码安全进入指令。响应于解码安全进入指令,控制逻辑在主认证代码模块中的匹配表中寻找与处理器相应的条目,并从主认证代码模块中读取主报头和单独的认证代码模块。
【技术实现步骤摘要】
本公开涉及信息处理领域;更特别地,涉及信息处理系统的安全。
技术介绍
信息处理系统,诸如包括来自因特尔公司的因特尔 奔腾 处理器系列中的处理 器的那些系统,可支持在安全系统环境中的操作。安全系统环境可包括信任的分区和不信 任的分区。系统的裸平台硬件和信任的软件可包括在信任的分区中。可阻止从不信任的分 区对信任的分区的资源的直接访问以保护系统可能包含的任何秘密,以免被发现或更改。 这些秘密可包括在信息处理系统上生成或存储的密码、密钥以及私人或机密信息。通过执行安全系统进入协议(secured system entry protocol),系统的裸平台 硬件可包括在信任的分区或域内。例如,启动处理器(initiating processor)可执行安全 进入(“SENTER”)指令,系统中的所有代理必须适当地对其进行响应以使协议顺利进行。 在安全进入过程中,可阻止响应代理执行任何程序指令或处理任何外部事务,使得启动处 理器可将带签名的代码模块验证为可信的和信任的,执行带签名的代码模块以将系统配置 为支持信任的操作、测量(以密码的方式,使用散列扩展功能)并随后启动被测虚拟机监视 器(“MVMM”)的执行。MVMM可创建一个或多个运行不信任软件的虚拟机环境,这样,不信 任软件对系统资源不直接访问。
技术实现思路
本专利技术提供了一种处理器,包括解码器,解码安全进入指令;控制逻辑,响应于 解码该安全进入指令,在主认证代码模块中的匹配表中寻找与处理器相应的条目,并从主 认证代码模块中读取主报头和单独的认证代码模块。本专利技术还提供了一种方法,包括在主认证代码模块中的匹配表中寻找与第一处 理器相应的第一条目;将来自主认证代码模块的主报头载入第一安全存储器;并且将第一 处理器的第一单独的认证代码模块从主代码模块载入第一安全存储器。本专利技术还提供了一种系统,包括第一处理器,包括解码器,解码安全进入指令; 消息传递逻辑,发送安全进入消息;以及第一控制逻辑,响应于解码安全进入指令,在主认 证代码模块中的匹配表中寻找与第一处理器相应的第一条目,并从主认证代码模块中读取 主报头和第一单独的认证代码模块;和第二处理器,包括消息传递逻辑,接收安全进入消 息;以及第二控制逻辑,响应于接收安全进入消息,在主认证代码模块中的匹配表中寻找与 第二处理器相应的第二条目,并从主认证代码模块中读取主报头和第二单独的认证代码模 块。附图说明本专利技术以示例而不是限制的方式示出在附图中。图1根据本专利技术的实施例示出了信息处理系统。图2根据本专利技术的实施例示出了处理器。图3根据本专利技术的实施例示出了芯片组。图4根据本专利技术的实施例示出了主认证代码模块。图5根据本专利技术的实施例示出了使用多个认证代码模块进入安全计算环境的方法。具体实施例方式描述了使用多个认证代码模块(每个,“ACM”)进入安全计算环境的系统、设备和 方法中的本专利技术的实施例。在说明书中,可能阐明特定的细节(诸如处理器和系统配置) 以便提供对于本专利技术更彻底的理解。但是本领域技术人员将理解的是,可在没有这样特定 细节的情况下实现本专利技术。另外,一些公知结构、电路和类似物未详细示出,以避免不必要 地使本专利技术难懂。进一步,此说明书可能用根据一个实施例所用的名字(即“SENTER”)来 称呼指令;在其他实施例中,这些指令或类似的指令可具有不同的名字。本专利技术的实施例提供用于使用多个ACM来进入安全计算环境。多个ACM的使用可 能是所期望的,因为信息处理系统可包括多个处理器或处理器包,并且当这些处理器或处 理器包可能不一样时,单个ACM可能不适于初始化所有这些处理器或处理器包以进入安全 环境。图1示出了信息处理系统100中的本专利技术的实施例。信息处理系统100可为个 人计算机、主计算机、便携式计算机、手持装置、机顶盒(set-top box)、服务器或任何其他 计算系统。在此实施例中,系统100包括裸平台硬件110、所述裸平台硬件110又包括处理 器120、130以及140、系统存储器150、芯片组160、令牌170、装置180以及非易失性存储器 190。处理器120、130以及140中的每一个可代表具有一个或多个执行核心的组件,其 中每个执行核心可基于多种不同类型的处理器的任何一个,所述多个不同类型的处理器包 括通用微处理器(诸如因特尔 奔腾 处理器系列、安腾 处理器系列或因特尔 公司的 其他处理器系列中的处理器,或来自另一个公司的另一个处理器)或专用处理器或微控制 器,或者可以是可重构核(例如,现场可编程门阵列)。虽然图1示出了三个这样的处理器, 但是系统100可包括任意数量的处理器,各包括任意数量的执行核心和执行线程的任意组 合。在一些实施例中,任意个或所有的处理器120、130或140可代表运行在一个或多个物 理处理器上的单独硬件执行线程或“逻辑处理器”。系统存储器150可以是在其上可存储诸如数据和/或程序代码等信息的任何介 质,诸如动态随机存取存储器,或任何其他类型的由处理器120、130和140可读的介质,或 任何这些介质的组合。芯片组160可代表任何组的电路和逻辑,其支持存储器操作、输入/输出(“I/O”) 操作、配置、控制、内部或外部接口、连接或通信功能(例如“胶合”逻辑和总线桥),和/或 处理器120、130、140和/或系统100的任何类似功能。芯片组160的单独的元件可一起编 组在单个芯片、一对芯片上,或分散在多个芯片中,和/或部分地、完全地、冗余地或根据分 布方式集成到包括处理器120、130和/或140中任意个的一个或多个处理器。令牌(token) 170可包括信任的平台模块(“TPM”)172和平台配置寄存器(“PCR”)174。TPM 172可为包括微控制器的组件,以便安全地存储密钥、密码、数字证书和 其他用于建立和维护安全的信息。PCR 174可包括存储系统配置信息的任意数量的寄存器 和/或其他存储单元。配置TPM 172和/或PCR 174只对某些代理和/或在某些条件下是 可访问的。令牌170和/或TPM 172和PCR174任意一个或二者可包括在系统100的芯片 组160或其他组件中。装置180可代表任意数量的任意类型的I/O、外设或其他装置,诸如键盘、鼠标、追 踪球、点击装置、监视器、打印机、媒介卡、网络接口、信息存储装置等。装置180可以分立组 件实例化,或可与任何其他装置一起包括在集成组件中。在一个实施例中,装置180可代表 多功能I/O、外设或其他装置中的单个功能。处理器120、130和140、系统存储器150、芯片组160、令牌170和装置180可根据任何已知的方式彼此耦合或通信,诸如通过一个或多个并行的、顺序的、管线的、异步的、同 步的、有线的、无线的或其他总线或点对点连接直接或间接的方式。系统100也可包括任意 数量的附加装置、代理、组件或连接。图2示出了处理器200,其可代表根据本专利技术的实施例的图1中的任意个的处理器 120、130或140,或任何其他处理器。处理器200可包括可为静态随机存取存储器的高速缓存210,或任何其他形式的 存储装置来存储信息,诸如从系统存储器150复制的数据等。处理器200 (或高速缓存210) 也可包括高速缓存控制逻辑220,以控制高本文档来自技高网...
【技术保护点】
1.一种处理器,包括:解码器,解码安全进入指令;控制逻辑,响应于解码该安全进入指令,在主认证代码模块中的匹配表中寻找与处理器相应的条目,并从主认证代码模块中读取主报头和单独的认证代码模块。
【技术特征摘要】
2009.12.31 US 12/6505791.一种处理器,包括解码器,解码安全进入指令;控制逻辑,响应于解码该安全进入指令,在主认证代码模块中的匹配表中寻找与处理 器相应的条目,并从主认证代码模块中读取主报头和单独的认证代码模块。2.如权利要求1所述的处理器,进一步包括配置成安全模式的高速缓存,其中控制逻 辑将主报头和单独的代码模块读入配置成安全模式的高速缓存。3.如权利要求2所述的处理器,其中控制逻辑也使主报头和单独的认证代码模块在高 速缓存内被认证。4.如权利要求1所述的处理器,其中单独的认证代码模块是在主认证代码模块内的多 个单独的认证代码模块之一。5.如权利要求4所述的处理器,其中控制逻辑还基于匹配表中的条目来选择多个单独 的认证代码模块之一。6.如权利要求3所述的处理器,其中在认证主报头和单独的认证代码模块之后,控制 逻辑还向令牌发送主散列。7.一种方法,包括在主认证代码模块中的匹配表中寻找与第一处理器相应的第一条目;将来自主认证代码模块的主报头载入第一安全存储器;并且将第一处理器的第一单独的认证代码模块从主代码模块载入第一安全存储器。8.如权利要求7所述的方法,进一步包括发布安全进入指令,其中响应于发布安全进 入指令而进行寻找第一条目、加载主报头并加载第一单独的认证代码模块。9.如权利要求7所述的方法,其中第一安全存储器是第一处理器的高速缓冲存储器。10.如权利要求7所述的方法,进一步包括认证在第一安全存储器内的主报头和第一 单独的认证代码模块。11.如权利要求7所述的方法,进一步包括从主认证代码模块中的多个单独的认证代 码模块中选择第一单独的认证代码模块。12.如权利要求11所述的方法,其中...
【专利技术属性】
技术研发人员:S·M·达塔,E·F·布里克尔,M·J·库马,
申请(专利权)人:英特尔公司,
类型:发明
国别省市:US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。