CN104813295A - 安全区域内的日志记录 - Google Patents

安全区域内的日志记录 Download PDF

Info

Publication number
CN104813295A
CN104813295A CN201380060644.3A CN201380060644A CN104813295A CN 104813295 A CN104813295 A CN 104813295A CN 201380060644 A CN201380060644 A CN 201380060644A CN 104813295 A CN104813295 A CN 104813295A
Authority
CN
China
Prior art keywords
instruction
page
processor
log recording
execution
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201380060644.3A
Other languages
English (en)
Other versions
CN104813295B (zh
Inventor
F·X·麦克金
M·A·戈德史密斯
B·E·亨特利
S·P·约翰逊
R·勒斯列-赫德
C·V·罗扎斯
U·R·萨瓦高恩卡
V·R·斯卡拉塔
V·尚伯格
W·H·史密斯
G·尼格
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of CN104813295A publication Critical patent/CN104813295A/zh
Application granted granted Critical
Publication of CN104813295B publication Critical patent/CN104813295B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/02Addressing or allocation; Relocation
    • G06F12/08Addressing or allocation; Relocation in hierarchically structured memory systems, e.g. virtual memory systems
    • G06F12/0802Addressing of a memory level in which the access to the desired data or data block requires associative addressing means, e.g. caches
    • G06F12/0875Addressing of a memory level in which the access to the desired data or data block requires associative addressing means, e.g. caches with dedicated cache, e.g. instruction or stack
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1416Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights
    • G06F12/145Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being virtual, e.g. for virtual blocks or segments before a translation mechanism
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/72Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2212/00Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
    • G06F2212/10Providing a specific technical effect
    • G06F2212/1052Security improvement
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2212/00Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
    • G06F2212/15Use in a specific computing environment
    • G06F2212/152Virtualized environment, e.g. logically partitioned system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2212/00Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
    • G06F2212/45Caching of specific data in cache memory
    • G06F2212/452Instruction code

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Mathematical Physics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Memory System Of A Hierarchy Structure (AREA)

Abstract

公开了用于安全区域内的日志记录的本发明的实施例。在一个实施例中,处理器包括指令单元和执行单元。该指令单元用于接收具有相关联的区域页高速缓存地址的指令。该执行单元用于执行该指令而不导致虚拟机退出,其中该指令的执行包括用日志记录该指令以及相关联的区域页高速缓存地址。

Description

安全区域内的日志记录
背景
1.领域
本公开涉及信息处理领域,并且更具体地涉及信息处理系统中的安全性领域。
2.相关技术描述
机密信息由许多信息处理系统存储、传输和使用。因此,已经开发了提供机密信息的安全处理和存储的技术。这些技术包括用于在信息处理系统内创建和维护安全、受保护或隔离分区或环境的各种方法。
附图简要说明
通过举例而非限制在附图中示出本发明。
图1示出根据本发明的实施例的包括在安全区域内进行日志记录的系统。
图2示出根据本发明的实施例的安全区域单元。
图3示出根据本发明实施例的用于在安全区域内进行日志记录的方法。
详细描述
描述了用于安全区域(secure enclave)内的日志记录的本发明的实施例。在本描述中,可列出众多特定细节(诸如组件和系统配置),以便提供本发明的更透彻理解。然而,本领域普通技术人员将认识到可在没有这些特定细节的情况下实践本发明。此外,未详细示出某些公知的结构、电路等等,以便避免不必要地混淆本发明。
在以下描述中,对“一个实施例”、“实施例”、“示例实施例”、“各实施例”等等的引用指示如此描述的本发明的实施例(多个)可包括具体特征、结构、或特性,然而多个实施例可以包括但不是每个实施例都需要包括该具体特征、结构、或特性。进一步地,某些实施例可具有针对其他实施例所描述的特征中的某些、全部或没有。
如在权利要求书中所使用的,除非以其他方式指明,用于描述元件的顺序形容词“第一”、“第二”、“第三”等等的使用仅指示元件的具体实例或者类似元件的不同实例并且不旨在暗示这些如此描述的元件必须按特定顺序(或者按时间、按空间排序或者以任何其他方式)。
而且,术语“位”、“标志”、“字段”、“条目”等等可用于描述寄存器、表格、数据库或其他数据结构中的任何类型的存储位置,不管是用硬件还是用软件实现,但并不旨在将本发明的实施例限制为任何特定存储位置中的任何特定类型的存储位置或任何数量的位或其他元素。术语“清零”可用于指示存储逻辑值零或者以其他方式致使将其存储在存储位置中,并且术语“置位”可用于指示存储逻辑值1、全1或某种其他指定值或以其他方式致使将其存储在存储位置中;然而,这些术语不旨在将本发明的实施例限制为任何特定的逻辑惯例,因为可在本发明的实施例中使用任何逻辑惯例。
如在背景部分中所描述的,已经开发了用于在信息处理系统内创建和维护安全、受保护或隔离分区或环境的各种方法。一种这种方法涉及如在于2012年6月19日提交的序列号为13/527,547标题为“提供安全应用执行的方法和装置(Method and Apparatus to Provide Secure ApplicationExecution)”的共同未决的美国专利申请所描述的安全区域,该申请通过引用作为安全区域的至少一个实施例的示例并入在此。然而,并入的引用不旨在以任何方式限制本发明的实施例的范围并且可使用其他实施例同时仍保留在本发明的精神和范围内。
图1示出系统100,即根据本发明的实施例的包括安全区域内的分页的信息处理系统。系统100可表示任何类型的信息处理系统,诸如服务器、桌上计算机、便携式计算机、机顶盒、手持式设备、或嵌入式控制系统。系统100包括处理器110、存储器120、以及信息存储设备130。体现本发明的系统可包括任何数量的这些组件中的每一个组件以及任何其他组件或其他元件,诸如信息存储设备、外围设备和输入/输出设备。本系统实施例或任何系统实施例中的任何或全部组件或其他元件可通过任何数量的总线、点到点、或其他有线或无线接口或连接而连接、耦合、或以其他方式与彼此通信。
系统存储器120可以是动态随机存取存储器或者处理器110可读的任何其他类型的介质。信息存储设备130可包括任何类型的永久或非易失性存储器或存储设备,诸如闪存和/或固态驱动、磁驱动或光盘驱动。
处理器110可表示集成在单个衬底上或者封装在单个封装中的一个或多个处理器,每个处理器可包括呈任何组合的多个线程和/或多个执行核。被表示为处理器110的每个处理器可以是任何类型的处理器,包括通用处理器,诸如处理器族、处理器族中的处理器、或来自公司的其他处理器族或来自另一家公司的另一个处理器或专用处理器或微控制器。处理器110可包括指令单元111、执行单元112、处理存储设备113、接口单元114、处理器控制单元115、高速缓存单元116以及安全区域单元117。处理器110还可包括未在图1中示出的任何其他电路、结构、或逻辑,和/或在图1中的其他地方示出或描述的任何电路、结构、或逻辑。
指令单元111可表示用于取出、接收、解码、和/或调度指令的任何电路、结构或其他硬件,诸如指令解码器。可在本发明的范围内使用任何指令格式;例如,指令可包括操作码和一个或多个操作数,其中该操作码可被解码为一个或多个微指令或微操作以便由执行单元112执行。
执行单元112可包括用于处理数据并执行指令、微指令、和/或微操作的任何电路、结构、或其他硬件,诸如算术单元、逻辑单元、浮点单元、移位器等等。
处理存储设备113可表示可用于处理器110内的任何目的的任何类型的存储设备,例如,其可包括任何数量的数据寄存器、指令寄存器、状态寄存器、配置寄存器、控制寄存器、其他可编程或硬编码寄存器或寄存器组、或任何其他存储结构。
接口单元114可表示任何电路、结构、或其他硬件(诸如总线单元、消息传送单元、或任何其他单元、端口、或接口),以便允许处理器110通过任何类型的总线、点到点、或其他连接直接或通过任何其他组件(诸如存储器控制器或总线桥)与系统100内的其他组件通信。
处理器控制单元115可包括任何逻辑、微代码、电路、或其他硬件以便控制处理器110的这些单元和其他元件的操作以及在处理器110之内、向内、以及向外的数据传送。处理器控制单元115可通过致使处理器110执行由指令单元111接收的指令和从由指令单元111接收的指令导出的微指令或微操作来致使处理器110执行或参与执行本发明的方法实施例,诸如以下描述的方法实施例。
高速缓存单元116可表示信息处理系统100的存储器层次内的用静态随机存取存储器或任何其他存储器技术实现的一个或多个高速缓存存储器级别。高速缓存单元116可包括根据用于信息处理系统内的高速缓存的任何已知的方法专用于或者在处理器110内的任何一个或多个执行核或处理器之间共享的高速缓存存储器的任何组合。
安全区域单元117可表示用于创建和维护安全、受保护或隔离环境的任何逻辑、电路、硬件或其他结构,该环境诸如在此描述的安全区域,应用或其他软件可在该安全区域内运行、执行、加载或以其他方式在信息处理系统(诸如系统100)中存在。出于本描述的目的,这种环境的每个实例可被称为安全区域,尽管本发明的实施例不限于将安全区域用作安全、受保护或隔离环境的那些实施例。在一个实施例中,可使用处理器族或来自公司的其他处理器族内的处理器的指令集内的指令创建并维护安全区域。
图2示出安全区域单元200,其实施例可用作系统100内的安全区域单元117。安全区域单元200的全部或部分可被包括在处理器110的任何一个或多个其他单元内,诸如指令单元111、执行单元112、处理器存储设备113、处理器控制单元115和高速缓存单元116。
安全区域单元200可包括加密单元210,该加密单元可包括用于执行任何一个或多个加密算法和相应的解密算法的任何逻辑、电路或其他硬件并且可包括与处理器110内的另一个加密单元共享的逻辑、电路或其他硬件。
安全区域单元200还可包括区域页高速缓存(EPC)220。在一个实施例中,EPC 220可以是高速缓存单元116的专用部分,诸如末级高速缓存的部分。其他实施例是可能的,包括其中EPC 220的全部或部分可位于处理器110外部的实施例。EPC 220可用于为一个或多个安全区域存储未经加密的代码和数据。访问控制逻辑214、范围寄存器216和EPC映射(EPCM)218可用于防止访问EPC 220内的页,除非由该页所分配给的安全区域内在处理器110上运行的应用访问。
安全区域单元200还可包括EPC分页单元230。EPC分页单元230可包括用于提供根据本发明的实施例将页移出和移入EPC 220的任何逻辑、电路或其他硬件。EPC分页单元230可包括用于解码和执行EWB指令、ELD指令和EPA指令的微代码、逻辑、电路和/或其他硬件。
这些指令可由操作系统或其他软件用于管理EPC 220以及提供虚拟存储器空间以便由比EPC 220的尺寸更大的一个或多个安全区域使用。EWB指令可用于将页(诸如页222)从EPC 220逐出到系统存储器120。ELD指令可用于将页从系统存储器120加载到EPC 220。EPA指令可用于分配特殊EPC页,被称为版本阵列页,其上存储用于所逐出页的版本信息。
安全区域单元200还可包括EPC存储器管理单元(MMU)240。EPCMMU单元240可包括用于解码和执行EADD指令、EAUG指令、EMOD指令、EACCEPT指令和EREMOVE指令的微代码、逻辑、电路和/或其他硬件。这些指令可由操作系统和/或其他软件用于动态地增加和减小EPC220内的分配给一个或多个安全区域的存储器空间的尺寸。
EADD指令是可由操作系统用来将EPC 220内的页分配给安全区域的特权指令。不像使用EAUG指令分配页,使用EADD指令分配页不涉及安全区域使用EACCEPT指令接受分配。EAUG指令是可由操作系统用来将EPC 220内的未测量的归零的页分配给现有安全区域的特权指令。EMOD指令是可由操作系统用来修改与在EPC 220中的先前分配的页相关联的访问权限或类型的特权指令。EACCEPT指令是可由安全区域内部的应用用来确认对EPC 220中的页的访问权限或类型做出的改变的非特权指令。EREMOVE指令是可由操作系统用来将EPC 220内的页从安全区域解除分配的特权指令。
安全区域单元200还可包括EPC日志记录单元250。EPC日志记录单元250可包括根据本发明的实施例用于提供日志记录的任何微代码、逻辑、电路或其他硬件。在一个实施例中,用于某些指令的微代码或其他控制逻辑致使当该指令由在虚拟机(VM)内运行的宾客软件执行时执行日志记录而不是致使VM退出。执行日志记录所针对的指令包括与安全区域的创建、安全区域内的存储器管理和安全区域内的分页有关的指令。例如,指令可包括ECREATE、EADD、EREMOVE、EAUG、EMOD、ELD、EWB和EPA。因此,本发明的实施例可提供以改进的性能监控其宾客软件的存储器管理和分页活动的虚拟机监视器(VMM),改进的性能通过减少宾客和VMM之间的控制转移数量获得。
在一个实施例中,通过向系统存储器120内的页(例如,日志页122)写某些信息来为引用EPC 220的每个指令执行日志记录。日志页122的地址被指定在宾客运行所处的VM的VM控制结构(例如,VMCS 124)内的条目(例如,条目125)中,并且VMM可访问日志页122。因此,VMM可具有EPC引用记录,这样其可稍后基于用日志记录的信息对其内部数据结构执行更新而不是针对每个引用要求VM退出。
为每个指令用日志记录的信息可包括该指令(或页)以及与该指令相关联的EPC地址。可依据该指令用日志记录进一步的信息。例如,对于ECREATE、EADD、EAUG、EMOD、ELD和EPA,可日志记录页类型。对于ECREATE,可用日志记录安全区域控制结构(SECS)内的调试标志的状态。对于EADD、EAUG和ELD,可用日志记录SECS主机物理地址(HPA)。
可以以任何期望的格式在日志页122上用日志记录该信息。例如,每个日志条目可以是128位,其中指令、EPC地址和页类型分别存储在指令字段、EPC地址字段和页类型字段中,在位63:0中。其他指令相关的信息(例如,页类型、调试标志和SECS HPA)可存储在一个或多个指令相关的字段中,在位127:64中。
图3示出根据本发明实施例的用于安全区域内的日志记录的方法300。尽管本发明的方法实施例在此方面不受限制,可参考图1和图2的元素以便帮助描述图3的方法实施例。注意,框320和370之间的并且包括它们的方法300全部可在虚拟机内发生而无需VM退出。
在框310中,执行VM条目以便将处理器110的控制从在VM外部运行的VMM转移到在VM内部运行的宾客操作系统。
在框320中,例如可由宾客操作系统使用ECREATE指令在虚拟机内开始安全区域创建。在框322中,用日志记录ECREATE指令、相关联的EPC地址、页类型和调试标志。在框324中,例如可由宾客操作系统使用EADD指令为安全区域分配EPC 220内的页。在框326中,用日志记录EADD指令、相关联的EPC地址、页类型和SECS HPA。在框328中,例如可由宾客操作系统使用EINIT指令发起安全区域。
在框330中,宾客应用可例如通过使用EENTER指令进入安全区域。在框332中,安全区域内的宾客应用可请求EPC 220内的附加存储器空间。在框334中,宾客操作系统可使用EAUG指令来为宾客应用分配EPC 220内的第一页。在框336中,用日志记录EAUG指令、相关联的EPC地址、页类型和SECS HPA。在框338中,安全区域内的宾客应用可使用EACCEPT指令确认该分配。
在框340中,宾客操作系统可使用EPA指令来分配EPC 220内的第二页作为版本阵列页。在框342中,用日志记录EPA指令、相关联的EPC地址和页类型。在框344中,宾客操作系统可使用EWB指令来将第三页从EPC 220分页出。在框346中,用日志记录EWB指令和相关联的EPC地址。
在框350中,宾客操作系统可使用ELD指令来将第四页分页入EPC220。在框352中,用日志记录ELD指令、相关联的页类型和SECS HPA。
在框360中,安全区域内的宾客应用可请求宾客操作系统释放EPC 220内的第五页。在框362中,宾客操作系统可使用EMOD指令将第五页从宾客应用解除分配。在框364中,用日志记录EMOD指令、相关联的EPC地址和页类型。在框366中,宾客应用可使用EACCEPT指令来确认该分配。
在框370中,宾客应用可继续在安全区域内执行。
在框380中,由于VM退出,控制可被转移到VMM。在框382中,VMM可使用用日志记录的信息更新其内部数据结构。
在本发明的各实施例中,可用不同的顺序执行在图3中示出的方法,组合或省略所展示的框、添加附加的框、或者重新排序、组合、省略、或者附加框的组合。此外,许多其他方法实施例在本发明的范围内是可能的。
如以上所描述的,本发明的实施例的各实施例或各部分可存储在任何形式的机器可读介质上。例如,方法300的全部或部分可体现在存储在处理器110可读的介质上的软件或固件指令中,当由处理器110执行时,这些指令导致处理器110执行本发明的实施例。同样,本发明的各方面可体现在存储在机器可读介质上的数据中,其中,该数据表示可用于促成处理器110的全部或部分的设计或其他信息。
因此,已经描述了用于安全区域内的日志记录的本发明的实施例。尽管已经描述了并且在附图中示出了特定实施例,将理解的是这种实施例仅仅是说明性的并且不限制广泛的发明,并且本发明不限于所示出和描述的特定构造和安排,因为本领域普通技术人员在学习本公开时可在诸如在此的技术领域内想到各种其他修改,其中,增长是快速的并且不容易预见进一步的改进,可如通过允许技术改进来所促成的那样容易的修改本公开的实施例而不背离本公开的原理或所附权利要求书的范围。

Claims (20)

1.一种处理器,包括:
指令单元,用于接收具有相关联的区域页高速缓存地址的指令;以及
执行单元,用于执行所述指令而不导致虚拟机退出,其中所述指令的执行包括用日志记录所述指令以及相关联的区域页高速缓存地址。
2.如权利要求1所述的处理器,其中,所述指令的执行还包括创建安全区域。
3.如权利要求1所述的处理器,其中,所述指令的执行还包括将所述区域页高速缓存内的页分配给安全区域。
4.如权利要求1所述的处理器,其中,所述指令的执行还包括将所述区域页高速缓存内的页分配作为版本阵列页。
5.如权利要求1所述的处理器,其中,所述指令的执行还包括将页从所述区域页高速缓存中逐出。
6.如权利要求1所述的处理器,其中,所述指令的执行还包括将页加载到所述区域页高速缓存中。
7.如权利要求1所述的处理器,其中,所述指令的执行还包括将页从安全区域解除分配。
8.如权利要求2所述的处理器,其中,所述指令的执行还包括用日志记录相关联的页类型和调试标志。
9.如权利要求3所述的处理器,其中,所述指令的执行还包括用日志记录相关联的页类型和所述安全区域的控制结构的地址。
10.如权利要求4所述的处理器,其中,所述指令的执行还包括用日志记录相关联的页类型。
11.如权利要求6所述的处理器,其中,所述指令的执行还包括用日志记录相关联的页类型和安全区域的控制结构的地址。
12.如权利要求7所述的处理器,其中,所述指令的执行还包括用日志记录相关联的页类型。
13.一种方法,包括:
从在虚拟机内操作的宾客接收指令,所述指令具有相关联的区域页高速缓存地址;以及
执行所述指令而不导致虚拟机退出,其中所述指令的执行包括用日志记录所述指令以及相关联的区域页高速缓存地址。
14.如权利要求13所述的方法,其中,用日志记录包括对存储器内的日志页进行写入,其中所述日志页的地址由所述虚拟机的控制结构内的条目指定。
15.如权利要求14所述的方法,进一步包括由虚拟机监控器访问所述日志页。
16.如权利要求13所述的方法,其中,用日志记录还包括用日志记录相关联的页类型。
17.如权利要求13所述的方法,其中,用日志记录还包括用日志记录调试标志。
18.如权利要求13所述的方法,其中,用日志记录还包括用日志记录安全区域的控制结构的地址。
19.一种系统,包括:
存储器;以及
处理器,包括:
指令单元,用于接收具有相关联的区域页高速缓存地址的指令;以及
执行单元,用于执行所述指令而不导致虚拟机退出,其中,所述指令的执行包括在所述储存器中用日志记录所述指令以及相关联的区域页高速缓存地址。
20.如权利要求19所述的系统,其中,用日志记录包括对存储器内的日志页进行写入,其中所述日志页的地址由所述虚拟机的控制结构内的条目指定。
CN201380060644.3A 2012-12-28 2013-06-24 安全区域内的日志记录 Expired - Fee Related CN104813295B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/729,348 US9189411B2 (en) 2012-12-28 2012-12-28 Logging in secure enclaves
US13/729,348 2012-12-28
PCT/US2013/047332 WO2014105160A1 (en) 2012-12-28 2013-06-24 Logging in secure enclaves

Publications (2)

Publication Number Publication Date
CN104813295A true CN104813295A (zh) 2015-07-29
CN104813295B CN104813295B (zh) 2018-03-06

Family

ID=51018637

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201380060644.3A Expired - Fee Related CN104813295B (zh) 2012-12-28 2013-06-24 安全区域内的日志记录

Country Status (3)

Country Link
US (2) US9189411B2 (zh)
CN (1) CN104813295B (zh)
WO (1) WO2014105160A1 (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108701185A (zh) * 2016-03-29 2018-10-23 英特尔公司 用于用处理器强制安全区域的相互应用隔离的技术
CN111259380A (zh) * 2017-08-22 2020-06-09 海光信息技术有限公司 内存页转移方法和函数调用方法

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9189411B2 (en) 2012-12-28 2015-11-17 Intel Corporation Logging in secure enclaves
US9407636B2 (en) 2014-05-19 2016-08-02 Intel Corporation Method and apparatus for securely saving and restoring the state of a computing platform
US9710622B2 (en) * 2015-02-23 2017-07-18 Intel Corporation Instructions and logic to fork processes of secure enclaves and establish child enclaves in a secure enclave page cache
US9710401B2 (en) 2015-06-26 2017-07-18 Intel Corporation Processors, methods, systems, and instructions to support live migration of protected containers
US10664179B2 (en) 2015-09-25 2020-05-26 Intel Corporation Processors, methods and systems to allow secure communications between protected container memory and input/output devices
US10534724B2 (en) * 2015-12-24 2020-01-14 Intel Corporation Instructions and logic to suspend/resume migration of enclaves in a secure enclave page cache
US10708067B2 (en) 2016-06-18 2020-07-07 Intel Corporation Platform attestation and registration for servers
US10346641B2 (en) 2016-09-23 2019-07-09 Intel Corporation Processors, methods, systems, and instructions to determine whether to load encrypted copies of protected container pages into protected container memory
US11196541B2 (en) 2017-01-20 2021-12-07 Enveil, Inc. Secure machine learning analytics using homomorphic encryption
US10693627B2 (en) 2017-01-20 2020-06-23 Enveil, Inc. Systems and methods for efficient fixed-base multi-precision exponentiation
US10790960B2 (en) 2017-01-20 2020-09-29 Enveil, Inc. Secure probabilistic analytics using an encrypted analytics matrix
US10880275B2 (en) 2017-01-20 2020-12-29 Enveil, Inc. Secure analytics using homomorphic and injective format-preserving encryption
US11777729B2 (en) 2017-01-20 2023-10-03 Enveil, Inc. Secure analytics using term generation and homomorphic encryption
US11507683B2 (en) 2017-01-20 2022-11-22 Enveil, Inc. Query processing with adaptive risk decisioning
US11405177B2 (en) 2017-01-24 2022-08-02 Microsoft Technology Licensing, Llc Nested enclave identity
US10587412B2 (en) 2017-11-07 2020-03-10 International Business Machines Corporation Virtual machine structure
US10902133B2 (en) 2018-10-25 2021-01-26 Enveil, Inc. Computational operations in enclave computing environments
US10817262B2 (en) 2018-11-08 2020-10-27 Enveil, Inc. Reduced and pipelined hardware architecture for Montgomery Modular Multiplication
US11601258B2 (en) 2020-10-08 2023-03-07 Enveil, Inc. Selector derived encryption systems and methods
US20210117244A1 (en) * 2020-12-26 2021-04-22 Intel Corporation Resource manager access control

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1833225A (zh) * 2002-12-17 2006-09-13 英特尔公司 控制虚拟机的方法和系统
US20100153784A1 (en) * 2006-11-02 2010-06-17 Hiroaki Inoue Semiconductor integrated circuits and method of detecting faults of processors
US8205032B2 (en) * 2004-06-25 2012-06-19 Intel Corporation Virtual machine control structure identification decoder
US20120159184A1 (en) * 2010-12-17 2012-06-21 Johnson Simon P Technique for Supporting Multiple Secure Enclaves

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7734932B2 (en) 2003-11-10 2010-06-08 Broadcom Corporation System and method for securing executable code
US8973094B2 (en) 2006-05-26 2015-03-03 Intel Corporation Execution of a secured environment initialization instruction on a point-to-point interconnect system
JP2012508938A (ja) * 2008-11-14 2012-04-12 インテル・コーポレーション セキュアなアプリケーション実行方法および装置
US9141859B2 (en) 2008-11-17 2015-09-22 Liveclips Llc Method and system for segmenting and transmitting on-demand live-action video in real-time
US8832452B2 (en) 2010-12-22 2014-09-09 Intel Corporation System and method for implementing a trusted dynamic launch and trusted platform module (TPM) using secure enclaves
US9189411B2 (en) 2012-12-28 2015-11-17 Intel Corporation Logging in secure enclaves

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1833225A (zh) * 2002-12-17 2006-09-13 英特尔公司 控制虚拟机的方法和系统
US8205032B2 (en) * 2004-06-25 2012-06-19 Intel Corporation Virtual machine control structure identification decoder
US20100153784A1 (en) * 2006-11-02 2010-06-17 Hiroaki Inoue Semiconductor integrated circuits and method of detecting faults of processors
US20120159184A1 (en) * 2010-12-17 2012-06-21 Johnson Simon P Technique for Supporting Multiple Secure Enclaves

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108701185A (zh) * 2016-03-29 2018-10-23 英特尔公司 用于用处理器强制安全区域的相互应用隔离的技术
CN111259380A (zh) * 2017-08-22 2020-06-09 海光信息技术有限公司 内存页转移方法和函数调用方法

Also Published As

Publication number Publication date
CN104813295B (zh) 2018-03-06
US20160042184A1 (en) 2016-02-11
US20140189242A1 (en) 2014-07-03
US9665724B2 (en) 2017-05-30
US9189411B2 (en) 2015-11-17
WO2014105160A1 (en) 2014-07-03

Similar Documents

Publication Publication Date Title
CN104813295A (zh) 安全区域内的日志记录
CN104798053A (zh) 安全区域内的存储器管理
CN104881596B (zh) 在安全处理环境中修改存储器权限
TWI697804B (zh) 安全區之平台遷移
US9690704B2 (en) Paging in secure enclaves
US7490191B2 (en) Sharing information between guests in a virtual machine environment
TWI697805B (zh) 載入和虛擬化密碼金鑰
EP2889778B1 (en) Shared memory in a secure processing environment
CN104813330A (zh) 在运行时测量在安全区域内加载的应用
CN104025041B (zh) 管理员模式执行保护
TW201339971A (zh) 虛擬機器控制結構陰影化技術
KR102533823B1 (ko) 자격과 관련된 허가들을 해석하는 장치 및 방법
US20170147376A1 (en) Input ouput memory management unit based zero copy virtual machine to virtual machine communication
US20110264841A1 (en) Sharing of class data among virtual machine applications running on guests in virtualized environment using memory management facility
JP6944444B2 (ja) メモリアクセス命令
US20080301361A1 (en) Dedicated flow manager between the processor and the random access memory

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
EXSB Decision made by sipo to initiate substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20180306

Termination date: 20210624