测量安全区域的制作方法
【技术领域】
[0001] 本公开涉及信息处理领域,更具体地,涉及信息处理系统中的安全性的领域。
【背景技术】
[0002] 机密信息被多个信息处理系统所存储、传送和使用。因此,已经开发了用于提供安 全处理和存储机密信息的技术。这些技术包括用于创建和维持在信息处理系统中的安全 的、受保护的、或隔离的容器、分区或环境的各种方法。
【附图说明】
[0003] 在附图中通过例子而非限制图示了本发明。
[0004] 图1示出了根据本发明的实施例的提供用于测量安全区域(enclave)的系统。
[0005] 图2示出了根据本发明的实施例的提供用于测量安全区域的处理器。
[0006] 图3示出了根据本发明的实施例的区域页面高速缓存。
[0007] 图4示出了根据本发明的实施例的用于测量安全区域的方法。
【具体实施方式】
[0008] 描述了用于测量安全区域的本发明的实施例。在该描述中,阐述了多个具体细节, 例如部件和系统配置,以便提供对本发明的更透彻的理解。然而,本领域技术人员可以理解 的是,可以在没有这些具体细节的情况下实践本发明。另外,没有详细示出一些已知的结 构、电路和其它特征,以免不必要地模糊本发明。
[0009] 在后续描述中,提及"一个实施例"、"实施例"、"示例性实施例"、"各种实施例"等 表示这样描述的本发明的实施例可以包括特定特征、结构或特性,但是多于一个实施例可 以包括所述特定特征、结构或特性但不必每个实施例都包括。此外,一些实施例可以具有针 对其它实施例描述的一些、全部特征或没有所述特征。
[0010] 如权利要求中所使用的,除非另外指明,否则使用序数形容词"第一"、"第二"、"第 三"等来描述元件仅表示引用元件的特定实例或者类似元件的不同实例,而不意图暗示这 样描述的元件必须在排列上或以任何其它方式,时间地、空间地处于特定序列。
[0011] 另外,术语"位"、"标志"、"字段"、"条目"等可以用于描述寄存器、表、数据库或其 它数据结构中的任意类型的存储位置,无论其是实现于硬件还是软件中,但是不意味着将 本发明的实施例限制到任意特定类型的存储位置或任意特定存储位置内的位或其它元件 的数量。术语"清除"可以用于表示存储或者使得逻辑值零存储于存储位置,并且术语"设 置"可以用于表示存储或者使得逻辑值一、全一或一些其它指定值存储于存储位置;然而, 这些术语并不意味将本发明的实施例限制为任意特定的逻辑约定,任意逻辑约定都可以在 本发明的实施例中使用。
[0012] 如【背景技术】中所描述的,已经开发了在信息处理系统中创建和维持安全的、受保 护的、或隔离的容器、分区或环境的各种方法。一种这样的方法涉及安全区域,如2012年 6 月 19 日提交的、序列号为 13/527,547 的、题目为"MethodandApparatustoProvide SecureApplicationExecution"的共同未决的美国专利申请中所描述的,其通过引用并 入本文,以提供关于安全的、受保护的、或隔离的容器、分区或环境的至少一个实施例的信 息。然而,并入的参考文献并不打算以任何方式限制本发明的实施例的范围,并且可以在保 留在本发明的精神和范围内的同时使用其它实施例。因此,在本发明的任意实施例中使用 的任意安全的、受保护的、或隔离的容器、分区或环境的任何实例在本文中可以被称作安全 区域或区域。
[0013]图1示出了系统100,其是根据本发明的实施例的提供用于测量安全区域的信息 处理系统。系统100可以代表任何类型的信息处理系统,例如服务器、台式计算机、便携式 计算机、机顶盒、诸如平板或智能电话的手持式设备、或者嵌入式控制系统。系统100包括 处理器110、系统存储器120以及信息存储设备130。具体实现本发明的系统可以包括任意 数量的这些部件中的每一个,以及任意其它部件或其它元件,例如外围设备和输入/输出 设备。在该系统实施例或任意系统实施例中的任意或所有部件或其它元件可以通过任意 数量的总线、点对点或者其它有线或无线接口或连接来彼此连接、耦合或通信,除非另外说 明。系统100的任意部件或其它部分,无论在图1中示出或未示出,都可以集成或者包含于 单个芯片(片上系统或S0C)、管芯、基板或封装上或其内。
[0014] 系统存储器120可以是动态随机存取存储器或者处理器110可读的任意其它类型 的介质。信息存储设备130可以包括任意类型的持续或非易失性存储器或存储设备,例如 闪速存储器和/或固态、磁或光盘驱动器。
[0015] 处理器110可以代表集成到单个基板上或封装到单个封装中的一个或多个处 理器,其每一个可以以任意组合包括多个线程和/或多个执行核心。表示为处理器110 或在处理器110中的每个处理器可以是任意类型的处理器,包括通用微处理器,例如 Intel?Core?i处理器家族、处理器家族或者来自Intel妙公司的其它处理 器家族中的处理器,或者来自其它公司的其它处理器,或者专用处理器或微控制器。
[0016] 处理器110可以根据指令集架构操作,所述指令集架构包括创建安全区域的第一 指令,将内容添加到安全区域的第二指令,测量安全区域的内容的第三指令,以及初始化安 全区域的第四指令。虽然以具有任意指令集架构的处理器实践了本发明的实施例,而不限 于来自公司的处理器家族的架构,但是指令可以是现有架构的软件保护延伸的集 合的一部分,并在本文中可以分别称作ECREATE指令、EADD指令、EEXTEND指令以及EINIT 指令。对于这些指令的支持可以实现于处理器中,利用嵌入到硬件中的电路和/或逻辑、微 代码、固件和/或按如下描述布置的或根据任意其它方法的其它结构的任意组合,并且在 图1中表示为ECREATE硬件112、EADD硬件114、EEXTEND硬件116以及EINIT硬件118。
[0017] 图2示出了处理器200,其实施例可以用作系统100中的处理器110。处理器200 可以包括核心210、核心220以及非核心(uncore) 230。核心210可以包括存储单元212、 指令单元214、执行单元216以及控制单元218。核心220可以包括存储单元222、指令单 元224、执行单元226以及控制单元228。非核心230可以包括高速缓存单元232、接口单元 234以及加密单元236。处理器200还可以包括任意其它未在图2中示出的电路、结构或逻 辑。如上文引入且将在下文进一步描述的,ECREATE硬件112、EADD硬件114、EEXTEND硬件 116以及EINIT硬件118的功能可以分布在处理器200中的任意标记单元中或他处。
[0018] 存储单元212和222可以包括可用于任何目的而分别在核心210和220中的任意 类型的存储设备的任意组合;例如,它们可以包括任意数量的可读、可写和/或可读-写寄 存器、缓冲器和/或高速缓存,其被利用任意存储器或存储技术实现,用于存储容量信息、 配置信息、控制信息、状态信息、性能信息、指令、数据以及分别可用于核心210和220的操 作的任意其它信息,以及可用于访问这种存储设备的电路。
[0019] 指令单