CN111045605B - 利用处理器缓存和安全处理器改进系统安全性的技术方案 - Google Patents
利用处理器缓存和安全处理器改进系统安全性的技术方案 Download PDFInfo
- Publication number
- CN111045605B CN111045605B CN201911278191.7A CN201911278191A CN111045605B CN 111045605 B CN111045605 B CN 111045605B CN 201911278191 A CN201911278191 A CN 201911278191A CN 111045605 B CN111045605 B CN 111045605B
- Authority
- CN
- China
- Prior art keywords
- cache
- processor
- execution environment
- security
- caches
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/74—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0668—Interfaces specially adapted for storage systems adopting a particular infrastructure
- G06F3/0671—In-line storage system
- G06F3/0683—Plurality of storage devices
- G06F3/0685—Hybrid storage combining heterogeneous device types, e.g. hierarchical storage, hybrid arrays
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/79—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0602—Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
- G06F3/061—Improving I/O performance
- G06F3/0611—Improving I/O performance in relation to response time
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0602—Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
- G06F3/062—Securing storage systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0628—Interfaces specially adapted for storage systems making use of a particular technique
- G06F3/0638—Organizing or formatting or addressing of data
- G06F3/0644—Management of space entities, e.g. partitions, extents, pools
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Human Computer Interaction (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Mathematical Physics (AREA)
- Memory System Of A Hierarchy Structure (AREA)
- Storage Device Security (AREA)
Abstract
一种对处理器缓存进行控制的安全处理器,其特征在于,所述安全处理器对处理器缓存进行控制,将处理器缓存划分为可信执行环境与普通执行环境,其中,可信执行环境运行要求安全级别高的进程,普通执行环境运行普通的进程,普通的进程不能使用可信执行环境。本公开利用安全处理器控制缓存配置,为可信计算环境执行的代码分配专用的处理器缓存,提高了执行环境的安全性。
Description
技术领域
本公开涉及缓存的设计方法,尤其是涉及与可信计算环境执行相关的缓存设计。
背景技术
在计算机系统中,CPU高速缓存(英语:CPU Cache,在本文中简称缓存)是用于减少处理器访问内存所需平均时间的部件。在金字塔式存储体系中它位于自顶向下的第二层,仅次于CPU寄存器。其容量远小于内存,但速度却可以接近处理器的频率。
现代CPU的缓存设计通常没有考虑安全隔离,而是不同权限的操作一起共用。之前Google Project Zero爆出的幽灵漏洞,一个核心点就是利用了缓存共用来泄露信息,实施攻击。
发明内容
根据以上说明可知,现有缓存共享技术存在容易被恶意程序利用,导致缓存泄露而影响安全的问题。本公开鉴于上述问题而完成的,提供一种利用处理器缓存和安全处理器改进系统安全性的技术方案。
本公开涉及的一种对处理器缓存进行控制的安全处理器,所述安全处理器对处理器缓存进行控制,将处理器缓存划分为可信执行环境与普通执行环境,其中,可信执行环境运行要求安全级别高的进程,普通执行环境运行普通的进程,普通的进程不能使用可信执行环境。
也可以是,所述的对处理器缓存进行控制的安全处理器,系统软件将包括缓存分区配置的缓存安全策略提交至安全处理器,安全处理器对缓存安全策略进行审核,在审核通过的情况下,安全处理器对所述缓存安全策略进行配置,并使其生效。
也可以是,对处理器缓存进行控制的所述处理器缓存包含多级结构,用于加速处理器流水线与内存数据的存取过程。
也可以是,所述安全处理器,所述缓存可以是多层级的缓存,对于每一层级的缓存,都分为可信执行环境与普通执行环境。
也可以是,所述安全处理器是独立于通用处理器之外的安全芯片,可内嵌于处理器SoC。
也可以是,所述安全处理器设置与缓存数量对应的位比特掩码,置位的比特表示该路缓存划分为可信计算执行缓存。
也可以是,所述处理器述缓存通常以n路缓存行为一组,m组构成一层级缓存的形式组织,对于每一组缓存行,可以按照(m-k):k的比例划分为可信执行环境、普通执行环境,其中n、m为2以上的自然数,k为1以上并小于m的自然数。
本公开涉及一种对处理器缓存进行划分的方法,将处理器缓存划分为可信执行环境与普通执行环境,其中,可信执行环境运行要求安全级别高的进程,普通执行环境运行普通的进程,普通的进程不能使用可信执行环境。
也可以是,本公开涉及的对处理器缓存进行划分的方法,设置与缓存数量对应的位比特掩码,置位的比特表示该路缓存划分为可信计算执行缓存。
也可以是,本公开涉及的对处理器缓存进行划分的方法,所述处理器述缓存通常以n路缓存行为一组,m组构成一层级缓存的形式组织,对于每一组缓存行,可以按照(m-k):k的比例划分为可信执行环境、普通执行环境,其中n、m为2以上的自然数,k为1以上并小于m的自然数。
[发明效果]
云计算环境中,不同的租户通过共享处理器、内存等硬件的方式提高利用率,处理器缓存可被运行在同一物理硬件上的租户抢占。为了平衡不同租户之间的缓存使用情况,现代处理器可对缓存进行动态分区控制,不同优先级的租户使用的缓存会按照设置分配至不同的分区,以此隔离租户的缓存抢占。本公开利用安全处理器控制缓存配置,为可信计算环境执行的代码分配专用的处理器缓存,提高了执行环境的安全性。
本公开将投机执行的缓存与正常使用的缓存做隔离,减少因投机执行导致的缓存状态泄露,使得其他部分的缓存不受投机执行的影响,从而在根本上阻止了由其他缓存恢复数据造成的信息泄露,可以有效的提高系统的安全性。
本公开提出了一种改进的缓存设计,将投机执行的缓存与非投机执行缓存做分离。从而保障了错误的投机执行结果不会被泄露,有效地阻止了此类攻击,提高了安全性。
本公开提高处理器的安全性,有助于增强产品的市场竞争力。
附图说明
图1是示出包含多级缓存的处理器模型。
图2是示出包含安全处理器的处理器SoC概略图。
图3是示出本公开涉及的缓存分区的结构图。
图4是示出本公开涉及的安全处理器进行缓存分区配置的流程图。
具体实施方式
除非另有定义,本文所使用的所有的技术和科学术语与属于本公开的技术领域的技术人员通常理解的含义相同;本文中在申请的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本公开;本公开的说明书和权利要求书及上述附图说明中的术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含。本公开的说明书和权利要求书或上述附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本公开的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
为了使本技术领域的人员更好地理解本公开方案,下面将结合附图,对本公开实施例中的技术方案进行清楚、完整地描述。
CPU缓存(Cache Memory)是位于CPU与内存之间的临时存储器,它的容量比内存小,交换速度却比内存快得多。缓存的出现主要解决CPU运算速度与内存读写速度不匹配的矛盾,因为CPU运算速度要比内存读写速度快很多,这样会使CPU花费很长时间等待数据到来或把数据写入内存。在缓存中的数据是内存中的一小部分,避开从内存直接调取数据,从而加快读取速度。
缓存的工作原理是当CPU要读取一个数据时,首先从缓存中查找,如果找到就立即读取并送给CPU处理;如果没有找到,就用相对慢的速度从内存中读取并送给CPU处理,同时把这个数据所在的块调入缓存中,可以使得以后对整块数据的读取都从缓存进行,不必再调用内存。
正是这样的读取机制使CPU读取缓存的命中率非常高,也就是说CPU下一次要读取的大部分数据都在缓存中,只有大约少量需要从内存读取。这大大节省CPU直接读取内存的时间,也使CPU读取数据时基本无需等待。总的来说,CPU读取数据的顺序是先缓存后内存。图1包含多级缓存结构的处理器模型。如图1所示,所述处理器缓存包含多级结构,用于加速处理器流水线与内存数据的存取过程。
CPU缓存分为:LI Cache(—级缓存)是CPU第一层高速缓存;L2 Cache(二级缓存)是CPU的第二层高速缓存;L3 Cache(三级缓存)是CPU的第三层高速缓存。其中,L1缓存通常分为L1I(指令缓存)和L1D(数据缓存),本方案中不需要区分,所以统称为L1缓存。通常CPU找数据或指令的顺序是:先到一级缓存中找,找不到再到二级缓存中找,找不到再到下一级缓存中找,如果还找不到就只有到内存中找。
在现有技术中,提供处理器缓存分区技术,将缓存以“路(way)”为单位进行分区,在处理器上下文发生切换时为待调度的进程指定分区,使该进程使用的缓存只能在指定的范围内进行分配。
而在现有技术中,CPU的缓存设计通常没有考虑安全隔离,而是不同权限的操作一起共用。存在恶意用户通过对处理器缓存进行侧信道攻击等方式,达到泄露数据的目的,而非法获取数据。
另外,如果处理器缓存配置以及使用是交给系统软件处理的话,即使利用缓存分区技术对运行在同一服务器上的进程执行隔离,由于系统软件不可避免地存在漏洞,或存在恶意的系统管理人员,导致进程之间共享缓存而使安全隔离策略失效。
本公开避免缓存共享引起的信息泄露会导致安全问题。本公开涉及的安全处理器提供了安全性更高的可信基,将缓存分区的设置权限交给安全处理器以防止被恶意利用,以此避免由缓存共享带来的信息泄露,进而提高可信计算环境的安全性。
图2是包含安全处理器的处理器SoC的示意图。所述安全处理器是独立于通用处理器之外的安全芯片,可内嵌于处理器SoC。内嵌于处理器SoC的硬件安全处理器芯片,可提供独立于通用处理器之外的安全功能。该安全处理器具有专门对处理器缓存进行配置的专用接口。安全处理器作为可信基实现特定的安全功能。例如基于特定的安全策略,对处理器缓存进行划分。所述安全策略包括缓存分区配置。
所述安全处理器对处理器缓存进行控制,将普通的处理器缓存划分为可信执行环境与普通执行环境。
图3是示出本公开涉及的缓存分区的结构图。在图3中,示出了处理器缓存被所述安全处理器划分为可信执行环境与普通执行环境的状态。其中,可信执行环境运行要求安全级别高的进程,普通执行环境运行普通的进程。普通的进程不能使用可信执行环境。
下面结合图4对图3处理器缓存划分的状况进行说明。在图3中,系统软件将包括缓存分区配置的缓存安全策略提交至安全处理器,安全处理器对缓存安全策略进行审核,在审核通过的情况下,安全处理器通过专用接口对所述缓存安全策略进行配置,并使其生效。例如,安全处理器可以设置与缓存数量对应的位比特掩码,置位的比特表示该路缓存划分为可信计算执行缓存。
在安全处理器审核配置信息为否的情况下,安全处理器对处理器缓存的配置失败。
所述缓存可以是多层级的缓存,对于每一层级的缓存,都分为可信执行环境与普通执行环境。
缓存分区技术用来限制指定核心可使用的处理器缓存。在此基础之上,本公开设计了一种结合安全处理器,并利用缓存分区技术提高系统安全性的技术方案。下面以图3为例,对缓存的配置进行说明。
缓存分区的使用分为三个步骤,以16路缓存为例(参考附图3):
1.系统软件在初始化时,使用查询接口(例如,寄存器)得知当前的处理器平台可分配的缓存为16路;
2.系统软件将1~8路缓存划分为普通执行环境使用的缓存,9~16路缓存划分为可信计算执行环境使用的缓存。缓存分区的配置接口(例如,寄存器)由硬件保证其只允许安全处理器访问(例如,使用特定的总线),系统软件将划分结果提交至安全处理器,安全处理器可以根据其安全策略接受或者拒绝设置,参考附图4。一种设计实现是,设置16位比特掩码分别对应16路,置位的比特表示该路缓存划分为可信计算执行缓存;
3.配置生效后,系统软件调度进程时,需要按照规划为将要调度的进程设置缓存分区,即普通进程使用普通缓存,可信进程使用可信缓存,处理器按照步骤2提交的设置对进程进行检查,对于错误的(或恶意的)设置,处理器将忽略并使用默认设置的方式执行代码、或产生异常拒绝执行。
当然,将处理器的缓存划分为可信任环境与普通环境,可以采用多种方法。例如,也可以采用以下方式,所述处理器述缓存通常以n路缓存行为一组,m组构成一层级缓存的形式组织,对于每一组缓存行,可以按照(m-k):k的比例划分为可信执行环境、普通执行环境,其中n、m为2以上的自然数,k为1以上并小于m的自然数。
本公开避免了将处理器缓存配置以及使用交给系统软件处理,从而避免处理器缓存共享引起的信息泄露会导致安全问题。因为即使利用缓存分区技术对运行在同一服务器上的进程执行隔离,由于系统软件不可避免地存在漏洞,或存在恶意的系统管理人员,导致进程之间共享缓存而使安全隔离策略失效。
本公开涉及的所述安全处理器提供了安全性更高的可信基,将缓存分区的设置权限交给安全处理器以防止被恶意利用,以此避免由缓存共享带来的信息泄露,进而提高可信计算环境的安全性。
并且,云计算环境中,不同的租户通过共享处理器、内存等硬件的方式提高利用率,处理器缓存可被运行在同一物理硬件上的租户抢占。为了平衡不同租户之间的缓存使用情况,现代处理器可对缓存进行动态分区控制,不同优先级的租户使用的缓存会按照设置分配至不同的分区,以此隔离租户的缓存抢占。本公开利用安全处理器控制缓存配置,为可信计算环境执行的代码分配专用的处理器缓存,提高了执行环境的安全性。
以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本公开中所涉及的公开范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述公开构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
此外,虽然采用特定次序描绘了各操作,但是这不应当理解为要求这些操作以所示出的特定次序或以顺序次序执行来执行。在一定环境下,多任务和并行处理可能是有利的。同样地,虽然在上面论述中包含了若干具体实现细节,但是这些不应当被解释为对本公开的范围的限制。在单独的实施例的上下文中描述的某些特征还可以组合地实现在单个实施例中。相反地,在单个实施例的上下文中描述的各种特征也可以单独地或以任何合适的子组合的方式实现在多个实施例中。
尽管已经采用特定于结构特征和/或方法逻辑动作的语言描述了本主题,但是应当理解所附权利要求书中所限定的主题未必局限于上面描述的特定特征或动作。相反,上面所描述的特定特征和动作仅仅是实现权利要求书的示例形式。
Claims (8)
1.一种对处理器缓存进行控制的安全处理器,其特征在于,
所述安全处理器对处理器缓存进行控制,将处理器缓存划分为可信执行环境与普通执行环境,
其中,可信执行环境运行要求安全级别高的进程,普通执行环境运行普通的进程,
普通的进程不能使用可信执行环境;
设置与缓存数量对应的位的比特掩码,通过所述位的比特掩码而置位的比特表示该路缓存划分为可信计算执行缓存。
2.如权利要求1所述的对处理器缓存进行控制的安全处理器,其特征在于,
系统软件将包括缓存分区配置的缓存安全策略提交至安全处理器,安全处理器对缓存安全策略进行审核,在审核通过的情况下,安全处理器对所述缓存安全策略进行配置,并使其生效。
3.如权利要求2所述的对处理器缓存进行控制的安全处理器,其特征在于,
所述处理器缓存包含多级结构,用于加速处理器流水线与内存数据的存取过程。
4.如权利要求3所述的对处理器缓存进行控制的安全处理器,其特征在于,
所述缓存可以是多层级的缓存,对于每一层级的缓存,都分为可信执行环境与普通执行环境。
5.如权利要求4所述的对处理器缓存进行控制的安全处理器,其特征在于,
所述安全处理器是独立于通用处理器之外的安全芯片,可内嵌于处理器SoC。
6.如权利要求5所述的对处理器缓存进行控制的安全处理器,其特征在于,
所述处理器述缓存通常以n路缓存行为一组,m组构成一层级缓存的形式组织,对于每一组缓存行,可以按照(m-k):k的比例划分为可信执行环境、普通执行环境,其中n、m为2以上的自然数,k为1以上并小于m的自然数。
7.一种对处理器缓存进行划分的方法,其特征在于,
将处理器缓存划分为可信执行环境与普通执行环境,
其中,可信执行环境运行要求安全级别高的进程,普通执行环境运行普通的进程,
普通的进程不能使用可信执行环境,
设置与缓存数量对应的位的比特掩码,通过所述位的比特掩码而置位的比特表示该路缓存划分为可信计算执行缓存。
8.如权利要求7所述的对处理器缓存进行划分的方法,其特征在于,
所述处理器述缓存通常以n路缓存行为一组,m组构成一层级缓存的形式组织,对于每一组缓存行,可以按照(m-k):k的比例划分为可信执行环境、普通执行环境,其中n、m为2以上的自然数,k为1以上并小于m的自然数。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911278191.7A CN111045605B (zh) | 2019-12-12 | 2019-12-12 | 利用处理器缓存和安全处理器改进系统安全性的技术方案 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911278191.7A CN111045605B (zh) | 2019-12-12 | 2019-12-12 | 利用处理器缓存和安全处理器改进系统安全性的技术方案 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111045605A CN111045605A (zh) | 2020-04-21 |
| CN111045605B true CN111045605B (zh) | 2023-10-20 |
Family
ID=70236046
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911278191.7A Active CN111045605B (zh) | 2019-12-12 | 2019-12-12 | 利用处理器缓存和安全处理器改进系统安全性的技术方案 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111045605B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112256600B (zh) * | 2020-10-22 | 2023-04-11 | 海光信息技术股份有限公司 | 数据读取方法及相关装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101355809A (zh) * | 2008-09-12 | 2009-01-28 | 中兴通讯股份有限公司 | 一种协商启用安全上下文的方法和系统 |
| CN103699497A (zh) * | 2013-12-19 | 2014-04-02 | 京信通信系统(中国)有限公司 | 一种缓存分配方法及装置 |
| CN109828827A (zh) * | 2018-11-22 | 2019-05-31 | 海光信息技术有限公司 | 一种检测方法、装置及相关设备 |
| CN109947666A (zh) * | 2019-02-27 | 2019-06-28 | 余炀 | 可信执行环境缓存隔离方法及装置、电子设备和存储介质 |
| CN109952751A (zh) * | 2016-11-15 | 2019-06-28 | 华为技术有限公司 | 一种安全的处理器芯片及终端设备 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6862668B2 (en) * | 2002-02-25 | 2005-03-01 | International Business Machines Corporation | Method and apparatus for using cache coherency locking to facilitate on-line volume expansion in a multi-controller storage system |
| US20130290637A1 (en) * | 2012-04-30 | 2013-10-31 | Broadcom Corporation | Per processor bus access control in a multi-processor cpu |
| US10642752B2 (en) * | 2017-07-28 | 2020-05-05 | Intel Corporation | Auxiliary processor resources |
-
2019
- 2019-12-12 CN CN201911278191.7A patent/CN111045605B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101355809A (zh) * | 2008-09-12 | 2009-01-28 | 中兴通讯股份有限公司 | 一种协商启用安全上下文的方法和系统 |
| CN103699497A (zh) * | 2013-12-19 | 2014-04-02 | 京信通信系统(中国)有限公司 | 一种缓存分配方法及装置 |
| CN109952751A (zh) * | 2016-11-15 | 2019-06-28 | 华为技术有限公司 | 一种安全的处理器芯片及终端设备 |
| CN109828827A (zh) * | 2018-11-22 | 2019-05-31 | 海光信息技术有限公司 | 一种检测方法、装置及相关设备 |
| CN109947666A (zh) * | 2019-02-27 | 2019-06-28 | 余炀 | 可信执行环境缓存隔离方法及装置、电子设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111045605A (zh) | 2020-04-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11520611B2 (en) | Secure public cloud using extended paging and memory integrity | |
| KR102318740B1 (ko) | 보호 영역에서의 메모리 초기화 | |
| US7827326B2 (en) | Method and apparatus for delegation of secure operating mode access privilege from processor to peripheral | |
| US7975117B2 (en) | Enforcing isolation among plural operating systems | |
| CN112149149A (zh) | 基于指针的数据加密 | |
| US10255088B2 (en) | Modification of write-protected memory using code patching | |
| US10083129B2 (en) | Code loading hardening by hypervisor page table switching | |
| EP3842973B1 (en) | Security schemes for multiple trusted-execution-environments (tees) and multiple rich-execution-environments (rees) | |
| CN110520849B (zh) | 改进的计算装置 | |
| CN110532767A (zh) | 面向sgx安全应用的内部隔离方法 | |
| CN111045605B (zh) | 利用处理器缓存和安全处理器改进系统安全性的技术方案 | |
| US10572687B2 (en) | Computer security framework and hardware level computer security in an operating system friendly microprocessor architecture | |
| CN113420287B (zh) | 一种抵御基于高速缓存的侧信道攻击的方法 | |
| US11989425B2 (en) | Apparatus and method for controlling access to a set of memory mapped control registers | |
| Jungwirth et al. | OS Friendly Microprocessor Architecture | |
| US20220164442A1 (en) | Thread mapping | |
| US11630673B2 (en) | System and method for physically separating, across different processing units, software for handling exception causing events from executing program code | |
| US20230236906A1 (en) | Information processing device, information processing method, and program | |
| CN118051906A (zh) | 一种基于数据标记的抗侧信道安全计算方法及系统 | |
| CN116578530A (zh) | 片上系统、中断隔离方法及计算机设备 | |
| CN116635855A (zh) | 基于执行上下文管理可执行代码对数据内存的访问的装置和方法 | |
| Bhaskara et al. | Virtualization of a Processor-based Crypto-Protection Mechanism and Integration within a Separation Kernel Architecture |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: Industrial incubation-3-8, North 2-204, No. 18, Haitai West Road, Tianjin Huayuan Industrial Zone, Binhai New Area, Tianjin, 300450 Applicant after: Haiguang Information Technology Co.,Ltd. Address before: Industrial incubation-3-8, North 2-204, No. 18, Haitai West Road, Tianjin Huayuan Industrial Zone, Binhai New Area, Tianjin, 300450 Applicant before: HAIGUANG INFORMATION TECHNOLOGY Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |