CN101454751A - 在点对点互连系统上的安全环境初始化指令的执行 - Google Patents

Abstract

描述了用于在微处理器系统中初始化安全操作的方法和装置。在一个实施例中，系统包括用于执行安全进入指令的处理器，和用于在安全进入指令的执行期间使系统进入静态的芯片组。

Description

在点对点互连系统上的安全环境初始化指令的执行

技术领域

本发明概要地涉及微处理器系统，并且更详细地涉及可在可信任的或安全的环境中操作的微处理器系统。

背景技术

在本地的或远程的微型计算机上执行的金融的和个人的事务日益增长的数量已推动了“可信任的”或“安全的”微处理器环境的建设。这些环境试图解决的问题是保密性的缺失、或数据被损坏或被滥用。用户不想使他们的私人数据公开。用户也不想他们的数据被修改或用在不正确的事务中。这些情况的示例包括医疗记录的无意公开，或从在线银行或其它存储机构对资金进行电子偷窃。相似地，内容供应商寻求对数字内容(例如，音乐、其它音频、视频或总的来说其它类型的数据)的保护，以免在未鉴定情况下被复制。

现有的可信任系统可利用可信任软件的完全的封闭的集合。这种方法较易实现，但具有不允许同时使用通用的、商业上可获得的操作系统和应用软件的缺点。该缺点限制了对此类可信任系统的接受程度。

其它手段要求系统使其处理器通过总线互连。

附图说明

本发明由示例的而非限制的方式在附图的图形中示出，并且在附图中相同的附图标记指向相似的部件，以及其中：

图1是在微处理器系统中执行的示范软件环境的图。

图2是根据本发明的一个实施例的，特定的示范的可信任的或安全的软件模块和示范系统环境的图。

图3是根据本发明的一个实施例的，示范的可信任的或安全的软件环境的图。

图4是根据本发明的方法实施例的，其它过程框和软件的流程图。

具体实施方式

以下描述说明了用于在微处理器系统中初始化可信任的或安全的环境的技术。在以下描述中，可能提出多个具体细节，例如逻辑实现、软件模块分配、加密技术、总线信号发送技术以及操作的细节，以便提供对本发明的更透彻的理解。然而，本领域技术人员将认识到，本发明可在没有这些具体细节的情况下实践。另外，控制结构、门级电路和完整的软件指令序列没有详细示出以免使本发明不明确。本领域技术人员，通过所包含的描述，将能够实现正确的功能性，而不用做过度的实验。本发明以微处理器系统的形式公开。然而，本发明可以其它形式实践，例如数字信号处理器、小型计算机或大型计算机。

现在参考图1，示出在微处理器系统中执行的示范软件环境的图。图1中示出的软件不是可信任的(不可信任的)。当在高特权级别中操作时，操作系统150的大小和持续更新使其很难以及时的方式执行任何信任分析。许多操作系统位于特权环路(ring)零(0)内，即最高特权级别。应用152、154和156具有低得多的特权并且通常位于特权环路三(3)内。不同特权环路的存在以及将操作系统150和应用152、154和156分进这些不同的特权环路，似乎基于做出信任操作系统150所提供的该设施的决定，允许以信任的模式操作图1的软件。然而，在实践中做出该信任决定通常是不切实际的。造成该问题的原因包括操作系统150的大小(代码的行数)、操作系统150可能接收大量更新(新的代码模块和补丁)的事实以及操作系统150也可包含例如由操作系统开发者之外的各方提供的设备驱动的代码模块的事实。操作系统150可以是通用的操作系统，例如

Linux或

或可以是任何其它合适的已知的或否则可获得的操作系统。已经运行或正在运行的应用或操作系统的具体的类型或名字是无关紧要的。

现在参考图2，根据本发明的一个实施例，示出特定的示范的可信任的或安全的软件模块和示范系统环境200的图。在图2的实施例中，处理器202、处理器212、处理器222和可选的其它处理器(未示出)显示为单独的硬件实体。虽然图2示出三个处理器，本发明的实施例可包含任意数量的处理器，包括单个处理器。

系统200也包括含有输入/输出(I/O)控制器或集线器的芯片组240，以及任何其它系统或其它逻辑，如下所述。其它实施例可包括其它组件作为对图2中示出的组件的替代或附加，而且处理器或其它组件的数量可不同，它们相对彼此的设置也可不同。

处理器202、212和222可包括一个或多个执行核，例如核203、205、213、215、223和225。在一些实施例中，处理器或核可由运行在一个或多个物理处理器或核上的单独的硬件执行线程替代。这些线程拥有另外物理处理器的多个属性。为了具有通用的表述以讨论对多个物理处理器和处理器上多个线程的任何混合的使用，表述“逻辑处理器”可用于描述物理处理器或在一个或多个物理处理器中操作的线程。因此，一个单线程处理器可认为是一个逻辑处理器，而多线程或多核处理器可认为是多个逻辑处理器。

处理器202、212和222也可包括“非核(un-core)”逻辑，例如非核逻辑201、211和221，其中“非核”逻辑是与任何执行核分开的逻辑。非核逻辑可包括寄存器或任何其它存储位置，例如寄存器207、217和227，其可用于存储关于包含它的处理器的信息。此类寄存器或存储位置可以是可编程的或硬编码的，而且此类信息可包括对应处理器中包含的核的和/或逻辑处理器的数量。寄存器207、217和227可以是在上电复位期间刷新的标准的全局存储器映射寄存器。

处理器202、212和222也可包含某些的特殊电路或逻辑部件以支持安全的或可信任的操作。例如，处理器202可包含安全进入(secureenter)(SENTER)逻辑204以支持特殊的SENTER指令的执行，执行该指令可启动可信任操作。处理器202也可包含互连信息逻辑206以支持处理器与其它组件之间的特殊互连信息，从而支持特殊的SENTER操作。因为若干原因，特殊互连信息的使用可增加系统的安全性或可信任性。如果例如处理器202、212和222或芯片组240的电路部件包含本公开的实施例的合适的逻辑部件，它们可仅发出或响应这些信息。因此，特殊互连信息的成功交换可有助于确保正确的系统配置。特殊互连信息也可允许通常应该被禁止的活动，例如重置平台配置寄存器278。潜在的恶意的不可信任代码侦察某些互连事务的能力可通过仅允许响应特殊的安全指令而发出特殊的互连信息来削减。SENTER逻辑204、互连信息逻辑206和用在本发明的实施例中的任何其它逻辑可使用任何已知的手段实现，例如逻辑电路、微码和固件。

另外，处理器202可包含安全存储器208以支持安全初始化操作。在一个实施例中，安全存储器208可以是处理器202的内部缓存，也许在特殊模式中操作。在备选实施例中，安全存储器208可以是特殊存储器。其它处理器，例如处理器212和处理器222，也可包括SENTER逻辑214、224，总线信息逻辑216、226，和安全存储器218、228。

“芯片组”可定义为支持用于所连接的单个或多个处理器的存储器和/或I/O操作的电路和逻辑的集合。芯片组的单独部件可在单个芯片、一对芯片上聚集在一起，或者在多个芯片中分散，所述芯片包括处理器。在图2的实施例中，芯片组240可包括用于支持处理器202、212和222的I/O操作的电路和逻辑，而每个处理器包括用于支持存储器操作的电路和逻辑。备选的，芯片组240也可包括用于支持处理器202、212和222的存储器操作的电路和逻辑。在备选实施例中芯片组240的功能可在一个或多个物理设备中分配。

芯片组240另外可包括其自身的互连信息逻辑242，以支持PTP结构(fabric)230上的特殊的互连信息，从而支持特殊的SENTER操作。这些特殊的互连信息中的一些可包括将密钥寄存器244的内容转移到处理器202、212或222，从而允许处理器设置或清除特殊的“QUIESCE”指示器246以使芯片组240停止(quiesce)或恢复(de-quiese)系统200(如下所述)，或允许特殊的“QUIESCED”标志248由处理器检查。总线信息逻辑242的附加特征可以是将系统200中的处理器的存在或参与(participation)记录在“EXISTS”寄存器270中。

处理器202、212、222可通过点对点(PTP)互连结构230彼此连接、连接到芯片组240、以及连接到任何其它组件或代理(agent)。处理器202、212和222以及芯片组240可分别包括接口单元209、219、229和239，以连接到PTP结构230并将信息发送到系统200中存在的或参与的每个和任何其它的代理，和从系统200中存在的或参与的每个和任何其它的代理接收信息。接口单元209、219、229和239中的每一个可包括任意数量的单向和/或双向端口以用于和任意数量的其它组件通信。根据分层点对点互连架构，可通过PTP结构230实现通信，例如，其中包括表示信息和/或数据的信号的数据包，由链路层、协议层、路由层、传输层、物理层和任何其它此类层中的任何层或所有层分成帧，从一个代理发送到另一个代理(点对点)。因此，接口单元209、219、229和239中的每一个可包括用于生成对应于每层的信号的电路或逻辑。数据包也可包括用于检测或校正错误的冗余或其它信息。

令牌(token)276，包含一个或多个平台配置寄存器(PCR)278、279，该令牌276可连接到芯片组230。在一个实施例中，令牌276可包含特殊的安全特征，而且在一个实施例中可包括可信任平台模块(TPM)281，TPM在Trusted Computing Platform Alliance(TCPA)MainSpecification中公开，其版本是1.1a，2001年12月1日由TCPA发布(可在网站www.trustedpc.com获得)。

在系统环境200中标识的两个软件组件是安全虚拟机监视器(SVMM)282模块和安全初始化鉴定代码(SINIT-AC)280模块。SVMM282模块可在系统盘或其它大容量存储设备(storage)上存储，并在必要时可移动或复制到其它位置。在一个实施例中，在开始安全起用过程(secure launch process)之前，SVMM 282可移动或复制到系统200中的一个或多个存储页面。在安全进入过程之后，可创建虚拟机环境，其中SVMM 282可作为系统内最具特权的代码操作，而且可用于允许或拒绝所创建的虚拟机内的操作系统或应用对特定系统资源的直接访问。

安全进入过程所需要的一些动作可能超出了简单硬件实现的范围，而且相反可有利地使用可绝对信任其执行的软件模块。在一个实施例中，这些动作可由安全初始化(SINIT)代码执行。一个示范动作可要求测试表示系统配置的关键部分的不同控制，以确保该配置支持安全环境的正确实例化。第二示范动作可以是计算和记录SVMM 282模块的标识并将系统控制转移给它。此处“记录”的意思是将SVMM 282的信任度量放在寄存器或其它存储位置中，例如放在PCR 278或PCR279中。当采取该第二动作时，SVMM 282的可信任度可由潜在的系统用户审查。

SINIT代码可由处理器的或芯片组的厂商产生。因此，SINIT代码是可信任的，用于协助芯片组240的安全起用。为了发布SINIT代码，在一个实施例中，众所周知的加密哈希由整个SINIT代码构成，产生称为“摘要”的值。一个实施例产生160比特的摘要值。摘要然后可由私有密钥(在一个实施例中由处理器的厂商掌握)加密，以形成数字签名。当SINIT代码和对应的数字签名捆绑时，该组合可称为SINIT鉴定代码(SINIT-AC)280。接着可验证SINIT-AC 280的复制，如下所述。

SINIT-AC 280可在系统盘或其它大容量存储设备上或在固定的介质中存储，而且可在必要时移动或复制到其它位置。在一个实施例中，在开始安全起用过程之前，SINIT-AC 280可移动或复制到系统200的一个或多个存储页面中，以形成SINIT-AC的存储器驻留复制。

运行在系统200上的任何特权的软件，例如操作系统，可在逻辑处理器上启动安全起用过程，随后将该逻辑处理器称为启动逻辑处理器(ILP)。在当前示例中，处理器202是ILP，然而PTP结构230上的任何处理器能够是ILP。SINIT-AC 280的存储器驻留复制和SVMM282的存储器驻留复制此刻都不可认为是可信任的。

ILP(处理器202)执行特殊的指令以启动安全起用过程。该特殊的指令可以称为安全进入(SENTER)指令，而且可由SENTER逻辑204支持。SENTER指令可首先检验系统200中的每个逻辑处理器在芯片组240中记录，例如在EXISTS寄存器270中。连接到PTP结构230的处理器和其它代理中的每个包括寄存器或其它存储位置，例如寄存器207、217和227，以指示它所包括的逻辑处理器的数量。读取这些寄存器以检验系统拓扑精确地表示在芯片组240中。

在该检验后，SENTER指令写到QUIESCE指示器246以使芯片组240停止系统200。芯片组240在PTP结构230上开始握手序列以使PTP结构230上的所有的处理器和其它的代理，除了一个处理器(静态主(quiescent state master))，进入静态。在本实施例中，处理器202是静态主，也是ILP。停止序列可包括将“STOP_REQ”信号发送到每个非主处理器以使它们完成其事件处理，清空其缓冲区，而且将“STOP_ACK”信号返回到芯片组240以确认它们进入静态。静态是其中处理器不执行指令和在PTP结构230上不生成事务的状态。在芯片组240从代表在芯片组240中记录的每个逻辑处理器的每个代理接收到STOP_ACK信号之后，可设置QUIESCED标志248。

在系统停止后，SENTER指令可安全地执行安全模块，如下所述。出于此目的，PTP结构230仍然是起作用的而TPM281对于静态主仍然是可访问的。在安全模块的执行完成后，静态主可清除QUIESCE指示器246以使芯片组240将系统200带出静态。

为了执行安全模块，ILP(处理器202)可首先将SINIT-AC 280和密钥284的复制都移到安全存储器208中，以用于鉴定和随后执行包括在SINIT-AC 280中的SINIT代码。在一个实施例中，该安全存储器208可以是ILP(处理器202)的内部缓存，也许在特殊模式中操作。密钥284表示公共密钥，对应于用于加密包括在SINIT-AC 280模块中的数字签名的私有密钥，并且用于检验数字签名以及由此鉴定SINIT代码。在一个实施例中，密钥284可已经存储在处理器中，也许作为SENTER逻辑204的一部分。在另一个实施例中，密钥284可存储在芯片组240的只读密钥寄存器244中，它由ILP读取。在又一个实施例中，处理器或者芯片组的密钥寄存器244可实际上存有密钥284的加密摘要，其中密钥284自身包括在SINIT-AC 280模块中。在最后这个实施例中，ILP从密钥寄存器244读取摘要，对SINIT-AC 280中嵌入的密钥284计算同样的加密哈希，并且比较这两个摘要以确保所提供的密钥284确实是可信任的。

SINIT-AC的复制和公共密钥的复制然后可存在于安全存储器208内。ILP现在可通过使用公共密钥的复制来解密包括在SINIT-AC的复制中的数字签名，验证SINIT-AC的复制。该解密产生加密哈希的摘要的原始复制。如果新计算的摘要匹配该原始摘要，则可认为SINIT-AC的复制与其所包括的SINIT代码是可信任的。

ILP现在通过将SINIT-AC模块的加密摘要值写到安全令牌276中的平台配置寄存器272中来记录SINIT-AC模块的唯一标识，如以下所述。ILP对其SENTER指令的执行现在可通过将执行控制转交给ILP的安全存储器208内持有的SINIT代码的可信任的复制而终止。然后可信任的SINIT代码可执行其系统测试和配置动作，而且可记录SVMM的存储器驻留复制，和上述“记录”的定义一致。

SVMM的存储器驻留复制的记录可以几种方式执行。在一个实施例中，运行在ILP上的SENTER指令将所计算的SINIT-AC的摘要写到安全令牌276内的PCR 278中。随后，可信任的SINIT代码可将所计算的存储器驻留的SVMM的摘要写到安全令牌276内的相同的PCR 278或者另一个PCR 279。如果SVMM摘要写到相同的PCR 278，安全令牌276对原始内容(SINIT摘要)和新值(SVMM摘要)进行哈希运算，并将结果写回到PCR 278。在第一个对PCR 278的写(初始化)限于SENTER指令的实施例中，结果摘要可用作对于系统的可信任的根(a root of trust for the system)。

一旦可信任的SINIT代码完成了其执行，并且已经在PCR中记录了SVMM的标识，SINIT代码可将ILP执行控制转交给SVMM。在典型的实施例中，由ILP执行的最初的SVMM指令可表示SVMM的自身初始化例程。然后在此刻正在执行的SVMM复制的监督下，系统200可在可信任模式中操作，如以下对图3的讨论中所概括的。从此以后，整个系统在可信任模式下操作，如以下对图3的讨论中所概括的。

现在参考图3，根据本发明的一个实施例，示出示范的可信任的或安全的软件环境的图。在图3的实施例中，可信任的和不可信任的软件可在单个计算机系统上同时加载并同时执行。SVMM 350选择性地允许或阻止从一个或多个不可信任的操作系统340和不可信任的应用310到330对硬件资源380的直接访问。在此处的上下文中，“不可信任的”不一定指操作系统或应用在故意破坏，而是指交互作用代码的大小和变化使得可靠地声称软件正在如预期般运转而且没有病毒或其它外部代码干扰其执行是不切实际的。在典型的实施例中，不可信任的代码可包括当今个人电脑上可发现的常规操作系统和应用。

SVMM 350也选择性地允许或阻止从一个或多个可信任的或安全的内核360和一个或多个可信任的应用370对硬件资源380的直接访问。该可信任的或安全的内核360和可信任的应用370可能限制了大小和功能性，以有助于在其上执行信任分析的能力。可信任的应用370可以是任何软件代码、程序、例程或例程的集合，它们在安全环境中是可执行的。因此，可信任的应用370可以是多种应用，或代码序列，或可以是较小的应用，例如Java小程序。

通常由操作系统340或内核360执行的能够修改系统资源保护或特权的指令或操作可由SVMM 350捕获，并选择性地允许、部分地允许或拒绝。作为示例，在典型的实施例中，将通常由操作系统340或内核360执行的改变处理器的页表的指令，相反将由SVMM 350捕获，这将确保请求没有正在试图改变超出其虚拟机的范围的页特权。

现在参考图4，根据方法400中的本发明的实施例，示出其它过程框和软件的流程图。

在方法400的框410中，逻辑处理器使SINIT-AC和SVMM模块的复制对于随后SENTER指令的访问是可使用的。在本示例中，ILP将SINIT-AC和SVMM代码从大容量存储设备加载到物理存储器中。在备选实施例中，任何逻辑处理器可做此工作，而不仅是ILP。处理器通过执行SENTER指令而成为ILP，如框412所标识的。

在框420中，SENTER指令检验系统200中每个逻辑处理器记录在芯片组240中，例如在EXISTS寄存器270中。在框422中，SENTER指令写到QUIESCE指示器246以使芯片组240停止系统200。在框424中，芯片组240将“STOP_REQ”信号发送到每个非主处理器以使它们完成其事件处理，清空其缓冲区，并将“STOP_ACK”信号返回给芯片组240以确认它们进入静态。在框426中，设置QUIESCED标志248以指示芯片组240已从代表在芯片组240中记录的每个逻辑处理器的每个代理接收到STOP_ACK信号。

在框430中，ILP将芯片组的公共密钥和SINIT-AC的存储器驻留复制移至其自身的安全存储器中以用于安全执行。在框432中，ILP使用该密钥验证SINIT-AC的安全存储器驻留复制，而且接着执行它。在框434中，SINIT-AC的执行可实行系统配置的和SVMM复制的测试，然后记录SVMM的标识，并且最终开始SVMM的执行。在框436中静态主清除QUIESCE指示器246，以使芯片组240将系统200带出静态(在框438中)。

在前述的说明中，本发明已经参考其特定的示范实施例进行描述，然而，显而易见的是，在不偏离如所附权利要求中提出的本发明的更广泛的实质和范围的情况下，可对其做出多种修改和改变。因此，说明和附图应被认为具有解释性的而不是限制性的意义。

Claims (20)

1.一种系统，包括：

用于执行安全进入指令的第一处理器；以及

在执行所述安全进入指令期间使所述系统进入静态的芯片组。

2.如权利要求1所述的系统，还包括点对点结构以将所述第一处理器耦合到所述芯片组。

3.如权利要求2所述的系统，还包括第二处理器，所述第二处理器由所述点对点结构耦合到所述芯片组，其中在所述安全进入指令的所述执行期间所述芯片组也使所述第二处理器进入所述静态。

4.如权利要求2所述的系统，其中所述芯片组也使所述系统进入所述静态，在所述静态中，仅有所述第一处理器和所述芯片组通过所述点对点结构通信。

5.如权利要求1所述的系统，还包括可信任平台模块，其中所述可信任平台模块在所述静态期间可由所述第一处理器访问。

6.如权利要求1所述的系统，其中所述第一处理器也要执行安全初始化鉴定代码模块。

7.如权利要求1所述的系统，其中所述第一处理器也要执行安全虚拟机监视器模块。

8.如权利要求1所述的系统，其中所述芯片组包括可由所述第一处理器访问的指示器，以使所述芯片组促使所述系统进入所述静态。

9.如权利要求3所述的系统，其中：

所述芯片组包括：

可由所述第一处理器访问的指示器，所述指示器使所述芯片组促使所述系统进入所述静态；以及

用于指示所述系统中的每个处理器的标识的第一存储位置；所述第二处理器包括第二存储位置，所述第二存储位置用于指示所述第二处理器连接到所述点对点结构；以及

所述第一处理器包括逻辑，所述逻辑用于在访问所述指示器以使所述芯片组促使所述系统进入所述静态前，检验所述第二处理器的标识在所述第一存储位置中指示。

10.一种方法，包括：

通过点对点结构在耦合到芯片组的第一处理器上开始执行安全进入指令；

使得执行安全进入指令期间所述芯片组促使耦合到所述点对点结构的第二处理器进入静态。

11.如权利要求10所述的方法，还包括所述芯片组维护耦合到所述点对点结构的代理的列表。

12.如权利要求11所述的方法，还包括读取所述第二处理器中的存储位置以识别通过所述第二处理器耦合到所述点对点结构的代理的数量。

13.如权利要求10的所述的方法，还包括所述第一处理器在所述静态期间访问可信任平台模块。

14.如权利要求13所述的方法，还包括执行安全初始化鉴定模块。

15.如权利要求14所述的方法，还包括读取所述芯片组中的指示器，以检验在执行所述安全初始化鉴定模块之前已进入所述静态。

16.如权利要求13所述的方法，还包括执行安全虚拟机监视器模块。

17.如权利要求16所述的方法，还包括读取所述芯片组中的指示器，以检验在执行所述安全虚拟机监视器模块前已进入所述静态。

18.如权利要求10所述的方法，还包括在进入所述静态前使所述第二处理器完成其事件处理并清空其缓冲区。

19.如权利要求18所述的方法，还包括：

所述第二处理器将信号发送到所述芯片组以确认所述第二处理器进入所述静态。

20.一种处理器，包括：

用于执行第一指令以调用安全操作初始化的安全进入逻辑；以及

使芯片组促使通过点对点结构耦合到所述芯片组的代理进入静态的互连信息收发逻辑。

Images