CN104025041B - 管理员模式执行保护 - Google Patents
管理员模式执行保护 Download PDFInfo
- Publication number
- CN104025041B CN104025041B CN201180076153.9A CN201180076153A CN104025041B CN 104025041 B CN104025041 B CN 104025041B CN 201180076153 A CN201180076153 A CN 201180076153A CN 104025041 B CN104025041 B CN 104025041B
- Authority
- CN
- China
- Prior art keywords
- processor
- instruction
- memory
- user
- described instruction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/02—Addressing or allocation; Relocation
- G06F12/0223—User address space allocation, e.g. contiguous or non contiguous base addressing
- G06F12/0292—User address space allocation, e.g. contiguous or non contiguous base addressing using tables or multilevel address translation means
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/30—Arrangements for executing machine instructions, e.g. instruction decode
- G06F9/30181—Instruction operation extension or modification
- G06F9/30189—Instruction operation extension or modification according to execution mode, e.g. mode flag
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/02—Addressing or allocation; Relocation
- G06F12/08—Addressing or allocation; Relocation in hierarchically structured memory systems, e.g. virtual memory systems
- G06F12/10—Address translation
- G06F12/1009—Address translation using page tables, e.g. page table structures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
- G06F12/1458—Protection against unauthorised use of memory or access to memory by checking the subject access rights
- G06F12/1491—Protection against unauthorised use of memory or access to memory by checking the subject access rights in a hierarchical protection system, e.g. privilege levels, memory rings
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/30—Arrangements for executing machine instructions, e.g. instruction decode
- G06F9/30003—Arrangements for executing specific machine instructions
- G06F9/3004—Arrangements for executing specific machine instructions to perform operations on memory
- G06F9/30043—LOAD or STORE instructions; Clear instruction
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Storage Device Security (AREA)
Abstract
在此公开了用于管理员模式执行保护的装置及方法。在一个实施例中,处理器包括用于访问存储器、执行硬件和控制逻辑的接口。该存储器中的区域是用户存储器。该执行硬件用于执行指令。该控制逻辑用于当该指令存储在用户存储器中并且该处理器处于管理员模式时防止该执行硬件执行该指令。
Description
背景
1.领域
本公开涉及信息处理领域,并且更具体地涉及信息处理系统安全领域。
2.相关技术描述
基于存储器的攻击对信息处理系统的安全造成很大的威胁。某些这种攻击涉及在计算机系统的存储器中存储恶意代码(诸如病毒或蠕虫)或恶意数据,然后在运行合法程序时利用错误和/或缓冲区溢出来将控制转移到恶意代码或使用恶意数据。经常使用的攻击(称为权限提升攻击)涉及在应用存储器中存储攻击代码,然后利用内核代码中的漏洞来跳到攻击代码。
附图简要说明
通过举例而非限制在附图中示出本发明。
图1示出本发明实施例可在其中存在和/或运行的系统和处理器。
图2示出根据本发明实施例的用于管理员模式执行保护的方法。
详细描述
以下说明描述了用于管理员模式执行保护的技术的实施例。在以下描述中,可列出特定细节(诸如处理器和系统配置),以便提供对本发明的更透彻理解。然而,本领域普通技术人员将认识到本发明可在没有这些特定细节的情况下实践。附加地,未详细示出某些公知的结构、电路等等,以便避免不必要地混淆本发明。
本发明实施例提供使用分配给存储器页的属性来提供管理员模式执行保护。根据本发明实施例的技术可在任何用于存储器管理的方法中实现,包括基于页的存储器管理数据结构、虚拟化技术所使用的基于嵌套页的存储器管理数据结构、以及平行访问数据结构。
图1示出本发明实施例可在其中存在和/或运行的系统100,信息处理系统。系统100可表示任意类型的信息处理系统,诸如服务器、台式计算机、便携式计算机、机顶盒、手持式设备、或嵌入式控制系统。系统100包括处理器110、存储器120、以及存储器控制器130。实现本发明的系统可包括任意其他组件或其他元件,包括任意数量的附加处理器核/或存储器。任意系统实施例中的任意或全部组件或其他元件可通过任意数量的总线、点到点、或其他有线或无线连接而彼此连接、耦合、或以其他方式彼此通信。
处理器110可表示任意类型的处理器,包括通用微处理器,诸如来自英特尔公司的处理器族或其他处理器族中的处理器、或来自另一公司的另一个处理器、或用于根据本发明实施例处理信息的任意其他处理器。处理器110可包括任意数量的执行核和/或支持任意数量的执行线程,并且因此可表示任意数量的物理或逻辑处理器、和/或可表示多处理器组件或单元。
处理器110支持根据任意已知方法的不同权限等级下的软件执行。例如,处理器110可识别四个权限等级,其可被标号为零到四,其中更高的数字意味着更少的权限。这四个权限等级可被图形化为保护环,其中,位于中心的权限等级零旨在执行操作系统(“OS”)内核级代码,等级一和二旨在执行OS服务代码,而最外环的等级四旨在执行应用代码。
存储器120可表示任意静态或动态随机存取存储器、基于半导体的只读存储器或闪存、磁或光盘存储器、可由处理器110和/或系统100的其他元件读取的任意其他类型的介质、或这些介质的任意组合。存储器控制器130可表示用于控制对存储器120的访问并且维护其内容的控制器。在实施例中,存储器控制器130可被集成到与处理器110相同的集成电路上。
根据本发明实施例,存储器120可包括用户存储器122,其可以是称为应用或用户存储器的位置和/或区域,其旨在存储将由应用软件使用的指令和数据。这些位置和/或区域可根据任意已知技术被标记为应用存储器。在实施例中,每个这种位置可包括可存储特定值以表明其是用户存储器的位或字段。在实施例中,分页或其他存储器层级内较高等级下的条目可包括可存储特定值以表明其所参考的所有更低等级页或其他区域是用户存储器的位或字段。例如,可使用用户/管理员标志位将页指定为页目录条目和/或转换后备缓冲(“TLB”)条目内的用户存储器。在实施例中,寄存器、表或其他数据结构可用于指定被指定为用户存储器的存储器120的一个或多个范围。
处理器110可包括指令硬件111、执行硬件112、分页单元113、处理存储114、接口115、以及控制逻辑116、加上任意其他所希望的单元或元件。
指令硬件111可表示用于取出、接收、解码、和/或调度指令的任意电路、接口或其他硬件,诸如指令解码器。可在本发明的范围内使用任意指令格式;例如,指令可包括操作码和一个或多个操作数,其中,该操作码可被解码为一个或多个微指令或微操作以便由执行硬件112执行。在实施例中,一种指令类型可以是标识指令,处理器110被设计成用信息对其进行响应,以便标识处理器110或有关处理器110的任意东西。例如,标识指令可以是处理器族的指令集架构内的CPUID指令。响应于该指令,处理器110可返回包括表明处理器110支持根据本发明实施例的管理员模式执行保护的指示。
执行硬件112可包括用于处理数据并执行指令、微指令、和/或微操作的任意电路、结构、或其他硬件,诸如算术单元、逻辑单元、浮点单元、移位器等等。
分页单元113可表示用于转换处理器110访问存储器120所使用的地址的任意电路、结构、或其他硬件,诸如TLB。分页单元113可根据任意已知的存储器管理技术执行地址转换,例如将逻辑或线性地址转换为物理地址。为了执行地址转换,分页单元113参考存储在处理器110、存储器120、未在图1中示出的系统100内任意其他存储位置中和/或这些组件和位置的任意组合中的一个或多个数据结构。数据结构可包括根据处理器族的架构的页目录和页表(正如根据本发明实施例所修改的)、和/或存储在TLB内的表。
在一个实施例中,分页单元113接收由要被处理器110执行的指令提供的线性地址和/或要由处理器取出的数据的线性地址。分页单元113将线性地址的部分用作到层级表(包括页表)的索引。页表包含条目,每个条目包括用于存储器120内页的基地址的字段。可在本发明的范围内使用任意页尺寸(例如,4千字节)。因此,程序用于访问存储器120的线性地址可被转换成由处理器110用于访问存储器120的物理地址。
处理存储114可表示可用于处理器110内任何目的的任意类型的存储,例如,其可包括任意数量的数据寄存器、指令寄存器、状态寄存器、其他可编程或硬编码寄存器或寄存器组、或任意其他存储结构。在实施例中,处理存储114可包括根据处理器族的架构的控制寄存器(例如,CR4),其可包括将被用于使得能够根据本发明实施例实现管理员模式执行保护的可编程位位置或另一尺寸字段。例如,操作系统软件或其他系统软件可执行对CR4的写入以便设置(例如,写入值1)CR4内的管理员模式执行保护启用位,从而启用该特征。在一个实施例中,软件在更有权限的权限等级(例如,环0、1、或2)下执行指令可被称为在管理员模式下运行,而在软件在更少权限的权限等级(例如,环4)下执行可被称为在用户模式下运行。
接口单元115可表示任意电路、结构、或其他硬件(诸如总线单元或任意其他单元、端口、或接口),以便允许处理器110通过任意类型的总线、点到点、或其他连接直接或通过任意其他组件(诸如芯片组或存储器控制器)与存储器120通信。
控制逻辑116可表示微代码、可编程逻辑、硬编码逻辑、或任意其他类型的逻辑,以便控制这些单元和处理器110的其他元件的操作以及数据在处理器110内的传递。控制逻辑116可例如通过致使处理器110执行由指令硬件111接收的指令和从由指令硬件111接收的指令导出的微指令或微操作,致使处理器110执行或参与执行本发明的方法实施例,诸如以下描述的方法实施例。
根据本发明实施例,处理器100可在用户模式下操作时执行来自用户存储器的指令,但是处理器100在管理员模式下操作时不能执行来自用户存储器的指令。当处理器100正在管理员模式下执行代码时,可使用当指令单元111尝试从用户存储器取出指令时导致出错的控制逻辑来实现这个特征。
图2示出用于管理员模式执行保护的方法(方法200)中的本发明实施例。图2的描述可参考图1的元件,但是方法200以及本发明的其他方法实施例不旨在由这些参考所限制。
在框210,在处理器110上运行的OS软件可执行CPUTD指令以便确定处理器110支持根据本发明实施例的管理员模式执行保护。在框212,OS软件可执行对CR4的写入,以便启用管理员模式执行保护特征。
在框220,OS软件可将控制传递到应用程序。在框222,应用程序可在用户模式下开始执行。在框224,应用可尝试从用户存储器取出指令。在框226,应用被允许从用户存储器取出指令。在框228,执行指令。
在框230,控制从应用程序传递到OS软件。在框232,OS软件继续在管理员模式下运行。在框234,OS软件尝试从用户存储器取出指令。在框236,在管理员模式下从用户存储器取出指令的尝试导致出错,因此不能取出或执行指令。
在本发明的范围内,可用不同于图2所示的顺序执行方法200,其中省略了所示出的框,添加了附加的框,或重新排序、省略、或附加框的组合。
因此,公开了用于管理员模式执行保护的技术。尽管已经描述了并且在附图中示出了某些实施例,应当理解的是这种实施例仅仅示出而非限制宽泛的发明,并且本发明不应被限制为所示出和描述的特定的构造和安排,因为当学习本公开时,本领域普通技术人员将认识到各种其他修改。在诸如这种技术领域中,其中成长很快并且不能轻易地预见进一步的进步,可在不背离本公开的原理或所附权利要求书的范围的情况下容易地对所公开的实施例做出安排和细节上的修改,正如通过实现技术进步所促进的。
Claims (17)
1.一种处理器,包括:
接口单元,被配置为用于访问存储器,其中所述存储器中的区域是用户存储器;
执行硬件单元,被配置为用于执行指令;
控制逻辑单元,被配置为用于当所述指令存储在用户存储器中并且所述处理器处于管理员模式时防止所述执行硬件单元执行所述指令;以及
分页单元,其中所述分页单元用于使用页表层级将线性地址转换为物理地址,并且所述区域可通过在所述页表层级内任意等级下的标志,被指定为用户存储器,
所述执行硬件单元还用于通过返回指示来执行处理器识别指令,所述指示表明所述处理器包括控制逻辑单元以用于当所述处理器处于管理员模式时防止所述处理器从用户存储器来执行。
2.如权利要求1所述的处理器,进一步包括用于取出所述指令的指令硬件单元,其中所述控制逻辑单元被配置为用于当所述处理器处于管理员模式时通过防止所述指令硬件单元从用户存储器取出所述指令来防止所述执行硬件单元执行所述指令。
3.如权利要求1所述的处理器,其中,当以比最低权限等级更高的权限等级执行软件时,所述处理器处于管理员模式。
4.如权利要求1所述的处理器,进一步包括处理存储单元,所述处理存储单元包括可编程存储位置,用于使得所述控制逻辑单元能够在所述处理器处于管理员模式时防止所述处理器从用户存储器来执行。
5.一种管理员模式执行保护的方法,包括:
通过在处于管理员模式的处理器上运行的软件,尝试执行指令;
当所述指令存储在用户存储器中时,防止所述处理器执行所述指令;
使用页表层级将线性地址转换为物理地址,并且所述用户存储器通过在所述页表层级内任意等级下的标志被指定;以及
通过返回指示来执行处理器识别指令,所述指示表明所述处理器包括控制逻辑单元以用于当所述处理器处于管理员模式时防止所述处理器从用户存储器来执行。
6.如权利要求5所述的方法,其中,尝试包括尝试从存储器取出所述指令,并且防止包括防止从用户存储器取出所述指令。
7.如权利要求5所述的方法,其中,防止包括导致出错。
8.如权利要求5所述的方法,进一步包括执行处理器标识指令,以便确定所述处理器支持当处于管理员模式时防止从用户存储器来执行。
9.如权利要求5所述的方法,进一步包括写入控制寄存器,以便使得能够当所述处理器处于管理员模式时防止从用户存储器来执行。
10.如权利要求5所述的方法,进一步包括通过在用户模式下运行的所述处理器,尝试执行所述指令。
11.如权利要求10所述的方法,进一步包括允许在用户模式下运行的所述处理器执行所述指令。
12.如权利要求10所述的方法,其中,通过在用户模式下运行的所述处理器尝试执行所述指令包括通过在用户模式下运行的所述处理器尝试取出所述指令。
13.如权利要求11所述的方法,其中,允许在用户模式下运行的所述处理器执行所述指令包括允许在用户模式下运行的所述处理器取出所述指令。
14.一种计算机系统,包括:
存储器,包括用户存储器区域;以及
处理器,耦合到所述存储器,所述处理器包括
执行硬件单元,被配置为用于执行指令,
控制逻辑单元,被配置为用于当所述指令存储在用户存储器中并且所述处理器处于管理员模式时防止所述执行硬件单元执行所述指令,以及
分页单元,其中所述分页单元用于使用页表层级将线性地址转换为物理地址,并且所述区域可通过在所述页表层级内任意等级下的标志,被指定为用户存储器,
所述执行硬件单元还用于通过返回指示来执行处理器识别指令,所述指示表明所述处理器包括控制逻辑单元以用于当所述处理器处于管理员模式时防止所述处理器从用户存储器来执行。
15.如权利要求14所述的计算机系统,其中,所述处理器还包括被配置为用于取出所述指令的指令硬件单元,其中所述控制逻辑单元被配置为用于当所述处理器处于管理员模式时通过防止所述指令硬件单元从用户存储器取出所述指令来防止所述执行硬件单元执行所述指令。
16.如权利要求14所述的计算机系统,其中,当以比最低权限等级更高的权限等级执行软件时,所述处理器处于管理员模式。
17.如权利要求14所述的计算机系统,其中,所述存储器可作为多个页来访问,并且用户存储器包括所述多个页的子集。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810366069.4A CN108959110B (zh) | 2011-12-29 | 2011-12-29 | 一种用于防止用户模式指令的管理员模式执行的处理器及其方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/US2011/067838 WO2013101059A1 (en) | 2011-12-29 | 2011-12-29 | Supervisor mode execution protection |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810366069.4A Division CN108959110B (zh) | 2011-12-29 | 2011-12-29 | 一种用于防止用户模式指令的管理员模式执行的处理器及其方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104025041A CN104025041A (zh) | 2014-09-03 |
CN104025041B true CN104025041B (zh) | 2018-05-25 |
Family
ID=48698296
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201180076153.9A Active CN104025041B (zh) | 2011-12-29 | 2011-12-29 | 管理员模式执行保护 |
CN201810366069.4A Active CN108959110B (zh) | 2011-12-29 | 2011-12-29 | 一种用于防止用户模式指令的管理员模式执行的处理器及其方法 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810366069.4A Active CN108959110B (zh) | 2011-12-29 | 2011-12-29 | 一种用于防止用户模式指令的管理员模式执行的处理器及其方法 |
Country Status (4)
Country | Link |
---|---|
US (1) | US9323533B2 (zh) |
CN (2) | CN104025041B (zh) |
TW (1) | TWI608353B (zh) |
WO (1) | WO2013101059A1 (zh) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104025041B (zh) | 2011-12-29 | 2018-05-25 | 英特尔公司 | 管理员模式执行保护 |
WO2014142817A1 (en) | 2013-03-13 | 2014-09-18 | Intel Corporation | Managing device driver cross ring accesses |
US9530000B2 (en) | 2013-06-14 | 2016-12-27 | Microsoft Technology Licensing, Llc | Secure privilege level execution and access protection |
US10489309B2 (en) | 2014-10-21 | 2019-11-26 | Intel Corporation | Memory protection key architecture with independent user and supervisor domains |
US11541280B2 (en) | 2015-12-21 | 2023-01-03 | Suunto Oy | Apparatus and exercising device |
US20210049292A1 (en) * | 2016-03-07 | 2021-02-18 | Crowdstrike, Inc. | Hypervisor-Based Interception of Memory and Register Accesses |
US10360353B2 (en) * | 2017-02-08 | 2019-07-23 | International Business Machines Corporation | Execution control of computer software instructions |
US10467407B2 (en) * | 2017-03-30 | 2019-11-05 | Check Point Advanced Threat Prevention Ltd. | Method and system for detecting kernel corruption exploits |
DE102020130834A1 (de) * | 2020-11-23 | 2022-05-25 | Audi Aktiengesellschaft | Energiespeichervorrichtung zur Speicherung elektrischer Energie, Verfahren zum Betreiben einer Energiespeichervorrichtung und Kraftfahrzeug |
Family Cites Families (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS4989453A (zh) * | 1972-12-05 | 1974-08-27 | ||
JP3023425B2 (ja) * | 1987-10-09 | 2000-03-21 | 株式会社日立製作所 | データ処理装置 |
US5623636A (en) * | 1993-11-09 | 1997-04-22 | Motorola Inc. | Data processing system and method for providing memory access protection using transparent translation registers and default attribute bits |
US6907600B2 (en) * | 2000-12-27 | 2005-06-14 | Intel Corporation | Virtual translation lookaside buffer |
US6763453B2 (en) * | 2000-12-28 | 2004-07-13 | Intel Corporation | Security on hardware loops |
US20030212897A1 (en) * | 2001-08-18 | 2003-11-13 | Russell Dickerson | Method and system for maintaining secure semiconductor device areas |
US20040168047A1 (en) * | 2003-02-24 | 2004-08-26 | Matsushita Electric Industrial Co., Ltd. | Processor and compiler for creating program for the processor |
US7673345B2 (en) | 2005-03-31 | 2010-03-02 | Intel Corporation | Providing extended memory protection |
US7353443B2 (en) * | 2005-06-24 | 2008-04-01 | Intel Corporation | Providing high availability in a PCI-Express link in the presence of lane faults |
US7793067B2 (en) | 2005-08-12 | 2010-09-07 | Globalfoundries Inc. | Translation data prefetch in an IOMMU |
US7681000B2 (en) * | 2006-07-10 | 2010-03-16 | Silverbrook Research Pty Ltd | System for protecting sensitive data from user code in register window architecture |
US7490191B2 (en) * | 2006-09-22 | 2009-02-10 | Intel Corporation | Sharing information between guests in a virtual machine environment |
US8380987B2 (en) * | 2007-01-25 | 2013-02-19 | Microsoft Corporation | Protection agents and privilege modes |
US8051263B2 (en) | 2007-05-04 | 2011-11-01 | Atmel Corporation | Configurable memory protection |
US20090204823A1 (en) * | 2008-02-07 | 2009-08-13 | Analog Devices, Inc. | Method and apparatus for controlling system access during protected modes of operation |
US8209509B2 (en) | 2008-05-13 | 2012-06-26 | Atmel Corporation | Accessing memory in a system with memory protection |
US8051467B2 (en) | 2008-08-26 | 2011-11-01 | Atmel Corporation | Secure information processing |
KR20100124052A (ko) | 2009-05-18 | 2010-11-26 | 삼성전자주식회사 | 플랫폼에 비종속적인 보안 환경 제공 장치 및 방법 |
GB2474666B (en) | 2009-10-21 | 2015-07-15 | Advanced Risc Mach Ltd | Hardware resource management within a data processing system |
CN104025041B (zh) | 2011-12-29 | 2018-05-25 | 英特尔公司 | 管理员模式执行保护 |
-
2011
- 2011-12-29 CN CN201180076153.9A patent/CN104025041B/zh active Active
- 2011-12-29 CN CN201810366069.4A patent/CN108959110B/zh active Active
- 2011-12-29 US US13/997,857 patent/US9323533B2/en active Active
- 2011-12-29 WO PCT/US2011/067838 patent/WO2013101059A1/en active Application Filing
-
2012
- 2012-12-25 TW TW101149780A patent/TWI608353B/zh active
Also Published As
Publication number | Publication date |
---|---|
WO2013101059A1 (en) | 2013-07-04 |
TW201346559A (zh) | 2013-11-16 |
TWI608353B (zh) | 2017-12-11 |
US20150199198A1 (en) | 2015-07-16 |
CN108959110B (zh) | 2023-05-30 |
CN104025041A (zh) | 2014-09-03 |
CN108959110A (zh) | 2018-12-07 |
US9323533B2 (en) | 2016-04-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104025041B (zh) | 管理员模式执行保护 | |
CN111930644B (zh) | 用于支持对受保护容器的实时迁移的处理器、方法、系统和指令 | |
EP3314507B1 (en) | Processors, methods, systems, and instructions to protect shadow stacks | |
CN108027779B (zh) | 允许受保护的容器存储器与输入/输出设备之间的安全通信的处理器、方法、系统和指令 | |
CN101351774B (zh) | 将存储页面与程序相关联的页面着色的方法、装置和系统 | |
CN105190572B (zh) | 用于防止未经授权的堆栈转移的系统和方法 | |
CN104823173B (zh) | 对预留给处理器逻辑使用的存储器的访问类型保护 | |
TWI499912B (zh) | 硬體強制記憶體存取許可 | |
US10802990B2 (en) | Hardware based mandatory access control | |
TWI516937B (zh) | 用於資料讀取/寫入延伸分頁表違例之處理的決策動作決定技術之方法、裝置及非暫態機器可讀媒體 | |
JP7128206B2 (ja) | 機能の使用を管理するための装置および方法 | |
CN112148425A (zh) | 信任域架构内的信任域内部的可缩放虚拟机操作 | |
CN109416640B (zh) | 孔径访问处理器、方法、系统和指令 | |
CN110162380A (zh) | 用来防止软件侧通道的机制 | |
US20160378684A1 (en) | Multi-page check hints for selective checking of protected container page versus regular page type indications for pages of convertible memory | |
CN108292273A (zh) | 用于子页写入保护的方法和装置 | |
US20190156015A1 (en) | Smm protection utilizing ring separation and smi isolation | |
TW201901422A (zh) | 用於管理能力域的設備及方法 | |
JP2023038361A (ja) | 命令セット内の変更を制御する装置及び方法 | |
CN112416821A (zh) | 在计算系统中定义存储器信息泄漏区域的装置、系统和方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |