保护嵌入式管理程序系统中的重要数据结构的制作方法
【专利说明】保护嵌入式管理程序系统中的重要数据结构
[0001]相关申请的交叉引用
[0002]本申请要求于2014年5月2日提交的美国临时申请号61/987,732以及于2014年10月31日提交的美国非临时申请号14/530.020的权益,通过引用将其全部内容结合于此。
技术领域
[0003]本申请整体涉及计算机安全,并且更具体地涉及操作系统可访问的计算装置上的管理程序安全和资源安全。
【背景技术】
[0004]当在计算装置内共存多个操作系统时,需要管理程序系统为操作系统分配资源。然而,当管理程序系统受到损害时,其可能将资源分配至操作系统,不然操作系统将不可访问这些资源。
[0005]存在很多管理程序系统受到损害的方式。例如,合法的管理程序可能被损坏的管理程序替代。管理程序访问的存储表可能被损坏的存储表替代。可能以管理程序为操作系统错误地配置沙箱环境(sandbox environment)的方式修改合法的管理程序并且管理程序未能防御计算装置的关键资源被操作系统访问。而且,存储堆栈过载或通过管理程序进行的不当的输入输出处理可使恶意操作系统进入管理程序模式并访问重要资源。
[0006]为了确保管理程序系统保持不被破坏,管理程序系统需要安全保护。
【发明内容】
[0007]本发明提供了一种片上系统(system on a chip),包括:管理程序(hypervisor),被配置为将与操作系统相关的访问权限安装于运行在芯片上的处理器上,其中,访问权限确定操作系统对至少一个资源的访问;以及事务过滤器(transact1n filter),被配置为当在处理器上运行操作系统时,使用与操作系统相关的访问权限实时地防止操作系统对至少一个资源的未授权访问。
[0008]进一步地,该系统包括安全处理器,安全处理器被配置为:从片外存储器(off-chip memory)接收访问权限;解密访问权限;并且将访问权限存储在管理程序和事务过滤器中。
[0009]其中,安全处理器进一步被配置为在将访问权限存储在管理程序和事务过滤器中之前,解密访问权限。
[0010]其中,当访问权限存储在片外存储器中时,使用数字签名加密访问权限。
[0011]其中,管理程序进一步被配置为将操作系统加载至处理器,并且系统进一步包括:操作系统寄存器,被配置为存储操作系统的操作系统标识符,并且其中,管理程序进一步被配置为在处理器运行操作系统之前将操作系统标识符存储在操作系统寄存器中。
[0012]其中,事务过滤器进一步被配置为:从操作系统寄存器检索操作系统标识符;并且当在处理器上运行操作系统时,与访问权限结合地使用操作系统标识符来监控操作系统对至少一个资源的访问。
[0013]其中,至少一个资源包括位于计算装置的片外存储器上的管理程序可访问的存储表。
[0014]其中,为了监控操作系统,事务过滤器进一步被配置为监控由操作系统传输到总线的指令,总线连接到至少一个资源。
[0015]其中,事务过滤器进一步被配置为当监控确定操作系统不具有对至少一个资源的访问权时,阻止操作系统对该至少一个资源的访问。
[0016]其中,处理器进一步被配置为存储操作系统的操作系统标识符;并且其中,事务过滤器进一步被配置为:从处理器检索操作系统标识符;并且当在处理器上运行操作系统时,与访问权限结合使用操作系统标识符来监控操作系统对至少一个资源的访问。
[0017]根据本发明的另一实施方式,提供了一种片上系统,包括:片上存储器,被配置为存储管理程序;处理器,被配置为运行来自片上存储器的管理程序;以及至少一个片上部件,被配置为当在处理器运行管理程序时连续认证管理程序。
[0018]进一步地,该系统包括片外存储器,片外存储器被配置为在管理程序上载到芯片之前存储管理程序,其中,管理程序以加密的形式存储在片外存储器中。
[0019]进一步地,该系统包括安全处理器,安全处理器被配置为在管理程序存储在芯片的片上存储器中之前,认证以加密形式存储在片外存储器中的管理程序。
[0020]其中,至少一个片上部件包括指令检验器(instruct1n checker),指令检验器被配置为当在处理器上运行管理程序时验证管理程序从片上存储器中的指定地址运行。
[0021]其中,至少一个片上部件进一步包括后台检验器(background checker,背景检验器),后台检验器被配置为当在处理器上运行管理程序时对照与管理程序相关的签名的值连续验证与管理程序相关的代码摘要(code digest),其中,在解密管理程序时确定签名的值。
[0022]其中,至少一个片上部件进一步包括写保护器,写保护器被配置为防止管理程序以外的进程写入片外存储器中的管理程序页表。
[0023]其中,写保护器进一步被配置为允许处理器对片外存储器中的管理程序页表的读取访问。
[0024]根据本发明的又一实施方式,提供了一种方法,包括:将管理程序从片外存储器上载至芯片,其中,在管理程序上载至芯片之前对管理程序进行加密;使用安全处理器对管理程序进行解密;在运行管理程序之前,基于解密将管理程序存储到片上存储器中;运行来自片上存储器的管理程序;以及在运行过程中,使用芯片上的至少一个硬件部件连续认证管理程序。
[0025]其中,认证进一步包括:使用至少一个片上硬件部件验证管理程序从片上存储器中的指定地址运行。
[0026]其中,解密进一步包括确定与管理程序相关的签名的值;并且其中,认证进一步包括使用至少一个片上硬件部件对照与管理程序相关的代码摘要验证所述值。
【附图说明】
[0027]结合于本文中并形成本说明书的一部分的附图示出了实施方式并与说明书一起进一步用于解释实施方式的原理并使相关领域技术人员能够制作和使用在本文中所描述的实施方式。
[0028]图1是根据实施方式的管理程序系统为操作系统分配资源的框图。
[0029]图2是根据实施方式的安全管理程序系统的框图。
[0030]图3是根据实施方式的用于保护管理程序系统的方法的流程图。
[0031]图4是根据实施方式的用于在运行期间认证管理程序的方法的流程图。
[0032]图5是根据实施方式的运行操作系统的管理程序系统的框图。
[0033]图6是根据实施方式的运行操作系统的管理程序系统的框图。
[0034]图7是根据实施方式的初始化操作系统的认证机制的方法的流程图。
[0035]图8是根据实施方式的当在处理器上运行操作系统时实时地认证操作系统的方法的流程图。
[0036]图9示出了其中能够实施实施方式或其一部分的示例性计算机系统。
[0037]现将参照附图描述实施方式。在附图中,类似的附图标记可表示相同的或功能相似的元件。此外,参考标号最左边的数字可识别参考标号首次出现的附图。
【具体实施方式】
[0038]在管理程序系统中,管理程序层是软件安全保护的根本。例如,当存在多个不受信任的进程(process,程序)时,诸如,操作系统,管理程序系统在计算装置内配置沙箱环境,在该环境下,不受信任的操作系统运行但不能获得对重要系统资源的访问权。
[0039]图1是根据实施方式的管理程序系统为操作系统分配资源的框图100。框图100中的管理程序系统102包括管理程序104。在实施方式中,管理程序104是管理多个操作系统106A-106C的软件模块。例如,管理程序104为操作系统106A-106C分配计算装置的处理器时间、易失和非易失性存储器中的表、以及其他资源。在图9中详细地论述示例性处理器、易失和非易失性存储器。
[0040]例如,假设操作系统106A-106B是不受信任的操作系统。当管理程序104为操作系统106A-106B分配资源时,管理程序104为操作系统106A-106B创建沙箱环境,使得操作系统106A-106B能够访问计算装置上不重要的系统资源108,但不能访问重要的系统资源110。另一方面,假设操作系统106C是受信任的操作系统。在这种情况下,管理程序104为操作系统106C创建允许操作系统106C访问不重要的系统资源108和一些或全部重要的系统资源110的沙箱环境。
[0041]举几个例子,在实施方式中,不重要的系统资源108是计算装置内的不