CN117561511A - 具有多个安全策略的PCIe设备的支持 - Google Patents
具有多个安全策略的PCIe设备的支持 Download PDFInfo
- Publication number
- CN117561511A CN117561511A CN202280045121.0A CN202280045121A CN117561511A CN 117561511 A CN117561511 A CN 117561511A CN 202280045121 A CN202280045121 A CN 202280045121A CN 117561511 A CN117561511 A CN 117561511A
- Authority
- CN
- China
- Prior art keywords
- session
- entity
- pcie
- host
- doe
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims abstract description 59
- 238000004891 communication Methods 0.000 claims abstract description 45
- 230000002093 peripheral effect Effects 0.000 claims abstract description 12
- 238000005259 measurement Methods 0.000 claims description 21
- 238000013499 data model Methods 0.000 claims description 10
- 238000007726 management method Methods 0.000 claims description 8
- 230000008569 process Effects 0.000 description 5
- 230000004044 response Effects 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 3
- 239000007787 solid Substances 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 206010003591 Ataxia Diseases 0.000 description 1
- 206010010947 Coordination abnormal Diseases 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000012512 characterization method Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000005670 electromagnetic radiation Effects 0.000 description 1
- 208000028756 lack of coordination Diseases 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/572—Secure firmware programming, e.g. of basic input output system [BIOS]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/38—Information transfer, e.g. on bus
- G06F13/40—Bus structure
- G06F13/4004—Coupling between buses
- G06F13/4022—Coupling between buses using switching circuits, e.g. switching matrix, connection or expansion network
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/38—Information transfer, e.g. on bus
- G06F13/42—Bus transfer protocol, e.g. handshake; Synchronisation
- G06F13/4204—Bus transfer protocol, e.g. handshake; Synchronisation on a parallel bus
- G06F13/4221—Bus transfer protocol, e.g. handshake; Synchronisation on a parallel bus being an input/output bus, e.g. ISA bus, EISA bus, PCI bus, SCSI bus
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/83—Protecting input, output or interconnection devices input devices, e.g. keyboards, mice or controllers thereof
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/84—Protecting input, output or interconnection devices output devices, e.g. displays or monitors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/85—Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Mathematical Physics (AREA)
- Computing Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
各种实施例提供了用于由外围部件互连高速(PCIe)设备的数据对象交换(DOE)实体建立第一会话和第二会话的装置、系统和方法,第一会话用于主机设备的第一主机实体与PCIe设备的第一PCIe实体之间的通信,第二会话用于主机设备的第二主机实体与PCIe设备的第二PCIe实体之间的通信。第一会话可以具有第一安全策略,并且可以是PCIe设备与主机设备之间的第一连接的会话。第二会话可以具有第二安全策略,并且可以是PCIe设备与主机设备之间的第二连接的会话。可以描述并要求保护其它实施例。
Description
相关申请
本申请要求于2022年1月14日提交的标题为“SUPPORT OFPCIE DEVICE WITHMULTIPLE SECURITY POLICIES”的美国申请17/576,650的优先权,该美国申请要求于2021年11月3日提交的标题为“SUPPORT OFPCIDEVICE WITH MULTIPLE SECURITY POLICIES”的国际申请第PCT/CN2021/128350号的优先权。
技术领域
本发明的实施例总体涉及电子电路的技术领域,并且更具体地涉及在外围部件互连高速(PCIe)设备与主机设备之间启用多个安全策略。
背景技术
本文提供的背景技术描述是为了总体呈现本公开的背景。在本背景技术部分中描述的程度上,当前署名的发明人的工作以及在提交时可能不被视为现有技术的描述的各方面既不明示地也不暗示地被承认为是本公开的现有技术。除非本文另外指出,否则本部分中描述的方法不是本公开中的权利要求的现有技术,并且不因为包括在本部分中而被承认是现有技术。
PCIe数据对象交换(data object exchange,DOE)规范定义了一种允许PCIe设备通过连接与主机设备的实体进行通信的方式。该连接可以包括一个或多个安全会话。
附图说明
通过以下结合附图的详细描述,将容易理解实施例。为了便于该描述,相同的附图标记表示相同的结构元件。在附图的各图中,通过示例而非限制的方式例示了实施例。
图1例示了根据各种实施例的主机设备与PCIe设备之间的连接的示例。
图2描绘了根据各种实施例的具有连接标识符(ID)的示例DOE邮箱(mailbox)。
图3例示了根据各种实施例的包括主机设备与PCIe设备之间的多个连接的替代示例。
图4描绘了根据各种实施例的用于PCIe设备与主机设备之间的通信的示例技术。
图5例示了根据各种实施例的被配置为采用本文所述的装置和方法的示例系统。
具体实施方式
在以下详细描述中,参考形成其一部分的附图,其中相同的附图标记始终表示相同的部分,并且在附图中通过说明示出了可以实践的实施例。应当理解,可以利用其他实施例,并且可以在不背离本公开的范围的情况下进行结构或逻辑改变。因此,以下详细描述不应被理解为限制性的,并且实施例的范围由所附权利要求及其等同物限定。
各种操作可以以最有助于理解所要求保护的主题的方式被描述为多个离散的动作或依次操作。然而,描述的顺序不应被解释为暗示这些操作一定是顺序相关的。特别地,这些操作可以不以呈现的顺序来执行。所描述的操作可以以与所描述的实施例不同的顺序来执行。在附加的实施例中,可以执行各种附加的操作和/或可以省略所描述的操作。
术语“大致”、“接近”、“近似”、“靠近”和“大约”通常是指在目标值的+/-10%内。除非另外指定,使用序数形容词“第一”、“第二”和“第三”等来描述共同对象仅指示引用类似对象的不同实例,并且不旨在暗示如此描述的对象必须在时间上、空间上、在排序上或以任何其他方式处于给定顺序。
为了本公开的目的,短语“A和/或B”和“A或B”意指(A)、(B)或(A和B)。为了本公开的目的,短语“A、B和/或C”意指(A)、(B)、(C)、(A和B)、(A和C)、(B和C)或(A、B和C)。
本说明书可以使用短语“在一个实施例中”或“在实施例中”,其可以各自指代相同或不同实施例中的一个或多个。此外,如关于本公开的实施例使用的术语“包括”、“包含”、“具有”等是同义的。
如本文所用的,术语“电路”可以指以下各项、是以下各项的一部分,或者包括以下各项:专用集成电路(ASIC)、电子电路、处理器(共享处理器、专用处理器或群组处理器)、组合逻辑电路和/或提供所述功能的其它合适的硬件部件。如本文所用的,“计算机实施的方法”可以指由一个或多个处理器、具有一个或多个处理器的计算机系统、诸如智能电话的移动设备(其可以包括一个或多个处理器)、平板电脑、膝上型计算机、机顶盒、游戏控制台等执行的任何方法。
如前所述,PCIe数据对象交换(DOE)规范定义了一种允许PCIe设备通过连接与主机设备的实体进行通信的方式。该连接可以包括一个或多个安全会话。在一些实施例中,连接可被称为安全协议和数据模型(SPDM)连接,并且会话可被称为SPDM会话。
更具体地,PCIe设备的PCIe实体可以与PCIe设备的DOE实体进行通信。这样的PCIe实体可以包括例如运行设备固件的设备控制器、设备操作系统(OS)、设备安全管理器(DSM)、或者一些其他软件或固件。PCIe设备的DOE实体可以在PCIe设备的DOE实体与主机设备的DOE实体之间建立连接。主机设备的DOE实体又可以与主机设备的一个或多个主机实体通信地耦合。主机实体可以包括例如基本输入/输出系统(BIOS)、操作系统(OS)、虚拟机监视器(VMM,其也可以被称为“管理程序”)、可信安全管理器(TSM)、或一些其它硬件、软件或固件。
关于本文的实施例,应理解,对不同实体(例如,主机实体、PCIe实体、DOE实体等)的描述与逻辑实体有关。例如,在真实世界的实施例中,DOE实体可以由其自己的特定处理器/芯片/片上系统(SoC)/等来实施。在其他实施例中,DOE实体可以是由处理器/芯片/SoC等实施的逻辑实体,处理器/芯片/SoC等还执行其他任务或实施PCIe设备或主机设备的其他逻辑实体。类似地,主机实体可以是处理器或实施BIOS、OS、管理程序和/或TSM的一些其他逻辑。
PCIe设备的DOE实体与主机设备的DOE实体之间的通信流水线(本文称为“连接”)可以用于在PCIe设备与主机设备之间传输安全协议和数据模型(SPDM)消息。SPDM消息可用于设备识别、设备认证、测量收集、安全会话建立等。
连接可以具有一个或多个“会话”。会话是包括特定于给定主机实体的消息的连接的通信路径。通常,会话可以服从给定的安全策略(例如,认证要求、加密算法、能力参数或一些其它安全相关的策略、协议或参数)。在一些实施例中,可以存在到连接的多个会话。图1中描绘了这样的实施例。具体地,图1例示了根据各种实施例的主机设备115与PCIe设备120之间的连接的示例100。
主机设备可以是例如计算设备的板,诸如主板或一些其他板。计算设备可以是例如个人计算机(PC)、服务器、游戏设备、移动设备或一些其它电子设备。PCIe设备120可以是通过基于PCIe的物理耦合(即,PCIe插槽)与主机设备115物理耦合的电子设备。PCIe设备120可以是例如图形卡、声卡、网卡、存储卡或一些其它设备/卡/芯片/外围设备等。
主机设备115可以包括多个主机实体,诸如主机实体105a和主机实体105b。如上所述,主机实体105a和105b可以是BIOS、OS、管理程序、VMM、特别指定的可编程实体、和/或一些其它硬件、软件、和/或固件实体。具体地,这些各种主机实体105a/105b和主机DOE实体110通常可以是相应的软件实体,但在其他实施例中,各种实体中的一个或多个可以被实施为硬件、固件或其组合。
主机实体105a/105b可以与主机DOE实体110通信地耦合。
PCIe设备120可以类似地包括PCIe DOE实体125,其与PCIe实体140a和140b通信地耦合。如上所述,PCIe实体140a和140b可以是或者可以包括软件实体、运行设备固件的设备控制器、设备操作系统(OS)、设备安全管理器(DSM)、或者一些其他硬件、软件、固件、或者其组合。
如图1中可以看到的,主机DOE实体110可以通过连接130与PCIe DOE实体125通信地耦合。连接130可以提供如上所述的主机DOE实体110与PCIe DOE实体125之间的通信。尽管为了附图的简化而没有在图1中明确示出,但是连接130的真实世界实施方式可以包括一个或多个路由器、总线和/或主机DOE实体110与PCIe DOE实体125之间的一些其他硬件和/或逻辑。
连接130可以包括多个会话135a和135b。为了讨论的目的,不同的会话使用不同的虚线图案来指示。第一会话135a可以允许PCIe实体140a与主机实体105a之间的通信。第二会话135b可以允许PCIe实体140b与主机实体105b之间的通信。应当理解,如上所述,“会话”指代与给定的主机实体和给定的PCIe实体相关的数据。在一些实施例中,会话135a/135b可以被认为是在数据起始点(例如,PCIe实体140a或者140b)与数据终止点(例如,主机实体105a或者105b)之间或者反之。在其他实施例中,“会话”可以仅指主机DOE实体110与PCIeDOE实体125之间的数据传输。
还应当理解,尽管PCIe设备120被描绘为具有两个分离的PCIe实体140a和140b,其分别经由第一会话135a和第二会话135b进行通信,但是在其他实施例中,两个会话135a/135b可以与单个PCIe实体进行通信。在其他实施例中,单个会话可以与多个PCIe实体通信。其他变型可以存在或可能。
如前所述,会话可以服从安全策略。然而,传统DOE规范可能已经被结构化为使得单个DOE实体仅能够支持单个安全策略。因此,如果PCIe实体140a和140b在两个不同的会话135a/135b中与两个主机实体105a/105b通信,则两个会话135a/135b将服从相同的安全策略。使用相同安全策略的这种要求可能是不期望的或不切实际的,因为不同的主机实体105a/105b可能具有不同的要求,或者可能无法彼此协调来使用相同的安全策略以有效地利用跨连接130的数据通信。
作为真实世界的示例,如果主机实体105a是TSM,则主机实体105a可以实施信任域扩展(TDX)模块和TDX-输入/输出(TDX-IO)供应代理(TPA)服务,其用于在安全会话中与PCIe实体140a通信以布置安全密钥。替代地,主机实体105a可实施用于支持具有IO设备的直接分配的可信执行环境(TEE-IO)的不同机制。类似地,如果主机实体105b是管理程序,则可能期望管理程序与PCIe实体140b通信以交换诸如设备测量的信息,因为一些PCIe设备120可能需要在安全会话中向主机设备115报告设备测量以支持机密性。在这个示例中,TSM和管理程序将在不同的域中,但是它们将必须使用相同的安全策略。这种必须在不同域中使用相同安全策略的要求将是不期望的,因为在一些情况下,不同域中的安全策略的协调由于缺乏协调机制而是困难的,或者因为不同的域可能需要不同的安全策略而是不可能的。
为了解决这个和其他问题,本文的实施例涉及虚拟化DOE实体的轻量级机制。具体地,本文的实施例可以涉及具有虚拟“连接ID”的DOE邮箱。应当注意,术语“连接ID”在本文中用作广义术语,并且真实世界的实施方式或实施例可以使用不同的术语来指代相同的概念。
图2描绘了根据各种实施例的具有连接ID的示例DOE邮箱200。如本文所用的,“DOE邮箱”指代其中数据(例如,SPDM消息)可以在不同的DOE实体(例如,实体110和125)之间传送的数据结构。
DOE邮箱200可被组织成不同的数据字(DW)。第一DW 205和第二DW 210可以包括提供诸如数据对象类型、供应商ID、长度等的信息的报头信息。在DOE邮箱的传统系统中,第三DW 215可以包括不同的数据对象。然而,在DOE邮箱200的实施例中,第三DW 215可以包括连接ID。DOE邮箱200然后可包括下至第n个DW 220的附加数据对象DW,如图所示。应当理解,DOE邮箱200的这个示例旨在作为一个说明性示例,并且其他实施例可以包括不同的元件,诸如具有附加或不同报头信息或组织的DW、具有位于DOE邮箱200的不同部分中的连接ID的DW等。
不同的主机实体(例如,主机实体105a和105b)可以使用DOE邮箱200,并在第三DW215中提供不同的连接ID。在一个实施例中,各个连接ID对于给定的主机实体可以是唯一的。在其它实施例中,连接ID对于一类主机实体可以是唯一的。例如,如果存在多个主机实体,并且这些主机实体的子集是相同种类的实体,则该子集可以共享连接ID。
连接ID可以用于虚拟地提供PCIe DOE实体125与主机DOE实体110之间的不同连接。连接中的相应连接可以具有不同的会话,并且用于各个连接(或者更具体地,用于连接内的各个会话)的安全策略可以彼此不同。
图3描绘了多连接场景的示例。具体地,图3例示了根据各种实施例的包括主机设备315与PCIe设备320之间的多个连接的替代示例300。具体地,图3描绘了主机实体305a和305b、主机DOE实体310、主机设备315、PCIe设备320、PCIe DOE实体325以及PCIe实体340a和340b,它们可以分别类似于主机实体105a和105b、主机DOE实体110、主机设备115、PCIe设备120、PCIe DOE实体125以及PCIe实体140a和140b,并且与它们共享一个或多个特性。
在主机DOE实体310和PCIe DOE实体325之间还可以有两个连接330a和330b。连接330a和330b可以分别类似于连接130。连接330a/330b中的相应连接可以包括会话335a/335b,其可以类似于会话135a/135b。
可以看出,连接330a可以包括会话335a,连接330b可以包括会话335b,而不是单个连接内有多个会话(如图1所描绘的)。不同的连接330a/330b可以由第三DW 215中的连接ID指示。具体地,与第一会话335a相关的连接ID可以不同于与第二会话335b相关的连接ID。这样,不同的安全策略可以被应用于会话中的不同会话,从而解决了上述问题中的一个或多个。
类似于PCIe设备120,在一些实施例中,两个会话335a/335b可以与单个PCIe实体通信。在其他实施例中,单个会话(例如,会话335a)可以与多个PCIe实体通信。其他变型可以存在或是可能的。
为了支持在DOE邮箱200中使用连接ID,可能期望在主机设备315和PCIe设备320之间的初始连接过程期间启用特征发现。具体地,连接过程可以在主机DOE实体310与PCIeDOE实体325之间和/或主机实体305a/305b与PCIe实体340a/340b之间实施。不同的数据对象类型可以用于提供与PCIe设备320是否支持使用连接ID有关的信息。下面的表1描绘了可以与DOE邮箱200结合使用的数据对象类型的示例。
表1-PCIe数据对象类型
在本文的实施例中,PCIe设备320(并且更具体地为PCIe实体340a/340b和/或PCIeDOE实体325)可以在发现阶段(经由数据对象类型-0x00)返回数据对象类型0x81和/或0x82,该发现阶段发生在PCIe设备320到主机设备315的初始连接期间。这些数据对象类型可以指示PCIe设备320支持SPDM消息的多个连接ID。
除了连接ID支持之外,可能期望主机设备315且更具体地为主机实体305a/305b和/或主机DOE实体310知道关于该连接的特征或属性。这样的特征或属性可以包括例如PCIe设备320可以支持的最大连接数量。该信息可以由PCIe设备320使用数据对象类型0x80来提供。具体地,主机设备315将向PCIe设备发送包括0x80数据类型的消息。这种消息可以被称为“DOE特征发现请求”消息。除了来自表2的“特征请求类型”列的一个或多个元素之外,DOE特征发现请求消息还可包括来自表1的0x80数据对象类型的指示。
然后,PCIe设备320可以基于该消息返回关于PCIe设备320的一个或多个特征或属性的指示。这种响应可以被称为“DOE特征发现响应”消息。除了来自表2的“特征响应数据”列的一个或多个元素之外,DOE特征发现响应消息还可包括来自表1的0x80数据对象类型的指示。
表2-特征表
应当理解,以上表1和表2旨在作为说明性示例,并且其他实施例可以变化。例如,不同的表可以包括具有不同名称的元素、不同数字指示符、更多或更少元素、以不同顺序布置的元素等。在一些实施例中,信息可以包含在单个表中,而不是具有两个单独的表(例如,表1和表2)。另外,应当理解,尽管主要参考支持不同的SPDM会话来描述本文的实施例,但是包括为主机设备和PCIe设备之间的多个会话提供支持的连接ID的DOE邮箱(诸如DOE邮箱200)可以适用于其它基于DOE的协议。其它实施例可以变化。
图4描绘了根据各种实施例的用于PCIe设备与主机设备之间的通信的示例技术400。该技术可以包括在405由PCIe设备的DOE实体(例如,PCIe设备320的PCIe DOE实体325)在主机设备(例如,主机设备315)的第一主机实体(例如,主机实体305a)与PCIe设备的第一PCIe实体(例如,PCIe设备320的PCIe实体340a)之间建立第一会话(例如,会话335a)。在一些实施例中,第一会话可以具有第一安全策略,并且可以是PCIe设备和主机设备之间的第一连接(例如,第一连接330a)的会话。
技术400还可以包括在410由DOE实体建立第二会话(例如会话335b),其用于PCIe设备的第二PCIe实体(例如PCIe实体340b)与主机设备的第二主机实体(例如主机设备315的主机实体305b)之间的通信。在一些实施例中,第二会话可以具有不同于第一安全策略的第二安全策略,并且第二会话可以是PCIe设备与主机设备之间的第二连接(例如,连接330b)的会话。
该技术还可以包括在415由DOE实体基于要从PCIe设备发送到主机设备的消息中的连接ID指示来识别该消息是与第一会话相关还是与第二会话相关。这种连接ID可以类似于图2的DOE邮箱200的连接ID。
该技术还可以包括在420由DOE实体基于对消息是与第一会话相关还是与第二会话相关的识别来将消息发送到第一主机实体和第二主机实体中的一个。具体地,如果在415识别的连接ID与第一主机实体相关,则可以将消息发送到第一主机实体。相反,如果在415识别的连接ID与第二主机实体相关,则可以将消息发送到第二主机实体。
应当理解,上述技术400旨在作为根据本公开的一个实施例的示例技术。其它实施例可具有更多或更少的元素、以不同顺序布置的元素等。其它实施例可以变化。
图5例示了根据各种实施例的可以采用本文所述的装置和/或方法(例如,主机设备115/315、PCIe设备120/320、技术400等)的示例计算设备500。如图所示,计算设备500可以包括多个部件,诸如一个或多个处理器504(示出了一个)和至少一个通信芯片506。在各种实施例中,一个或多个处理器504各自可以包括一个或多个处理器核心。在各种实施例中,至少一个通信芯片506可以物理地和电气地耦合到一个或多个处理器504。在另外的实施方式中,通信芯片506可以是一个或多个处理器504的一部分。在各种实施例中,计算设备500可包括印刷电路板(PCB)502。对于这些实施例,一个或多个处理器504和通信芯片506可以布置在PCB上。在替代实施例中,各种部件可以在不采用PCB 502的情况下耦合。
取决于其应用,计算设备500可包括其它部件,其可物理地和电气地耦合到或不耦合到PCB 502。这些其它部件包括但不限于存储器控制器505、易失性存储器(例如,动态随机存取存储器(DRAM)508)、诸如只读存储器(ROM)510的非易失性存储器、闪存512、存储设备511(例如,硬盘驱动器(HDD))、I/O控制器514、数字信号处理器(未示出)、加密处理器(未示出)、图形处理器516、一个或多个天线518、显示器(未示出)、触摸屏显示器520、触摸屏控制器522、电池524、音频编解码器(未示出)、视频编解码器(未示出)、全球定位系统(GPS)设备528、罗盘530、加速度计(未示出)、陀螺仪(未示出)、扬声器532、相机534、以及大容量存储设备(诸如硬盘驱动器、固态驱动器、压缩盘(CD)、数字多功能盘(DVD))(未示出)等。在各种实施例中,处理器504可以与其它部件集成在同一管芯上,以形成片上系统(SoC)。
在一些实施例中,一个或多个处理器504、闪存512、和/或存储设备511可以包括存储编程指令的关联固件(未示出),编程指令被配置为响应于由一个或多个处理器504执行编程指令而使得计算设备500能够实践本文所述的方法的所有或选定方面。在各种实施例中,这些方面可以另外或替代地使用与一个或多个处理器504、闪存512或存储设备511分开的硬件来实施。
在各种实施例中,计算设备500的一个或多个部件可以包括和/或采用主机设备115/315、PCIe设备120/320、技术400和/或本文所述的其它电路或技术的各个方面。例如,处理器504、通信芯片506、I/O控制器514、存储器控制器505、和/或计算设备500的另一部件可包括和/或采用集成电路100、过程200、相位查找过程300、和/或本文所述的其他电路或技术的各个方面。
通信芯片506可以实现向和从计算设备500传输数据的有线和/或无线通信。术语“无线”及其派生词可用于描述电路、设备、系统、方法、技术、通信信道等,它们可通过使用调制电磁辐射借助非固态介质来传送数据。该术语并不暗示相关联的设备不包含任何线路,尽管在一些实施例中它们可能不包含。通信芯片506可以实施多个无线标准或协议中的任何一个,包括但不限于IEEE 702.20、长期演进(LTE)、高级LTE(LTE-A)、5G、通用分组无线服务(GPRS)、演进数据优化(Ev-DO)、演进高速分组接入(HSPA+)、演进高速下行链路分组接入(HSDPA+)、演进高速上行链路分组接入(HSUPA+)、全球移动通信系统(GSM)、增强型数据速率GSM演进(EDGE)、码分多址(CDMA)、时分多址(TDMA)、数字增强无绳电信(DECT)、全球微波接入互操作性(WiMAX)、蓝牙、其衍生物以及被指定为3G、4G、5G及以上的任何其他无线协议。计算设备500可包括多个通信芯片506。例如,第一通信芯片506可专用于较短距离无线通信,诸如Wi-Fi和蓝牙,而第二通信芯片506可专用于较长距离无线通信,诸如GPS、EDGE、GPRS、CDMA、WiMAX、LTE、Ev-DO等。
在各种实施方式中,计算设备500可以是膝上型电脑、上网本、笔记本电脑、超级本、智能电话、计算平板、个人数字助理(PDA)、超移动PC、移动电话、台式计算机、服务器、打印机、扫描仪、监视器、机顶盒、娱乐控制单元(例如,游戏控制台或汽车娱乐单元)、数码相机、汽车、医疗设备、电器、便携式音乐播放器、数字录像机、电子传感器、智能家居设备、物联网(IoT)设备等。在另外的实施方式中,计算设备500可以是处理数据的任何其它电子设备。
下面提供了各种实施例的一些非限制性示例。
示例1包括一种由外围部件互连高速(PCIe)数据对象交换(DOE)硬件实例执行的方法,方法包括:由DOE硬件实例建立与第一主机软件的第一安全协议和数据模型(SPDM)会话,其中,第一会话具有第一安全协议;由DOE硬件实例建立与第二主机软件的第二SPDM会话,其中,第二会话具有不同于第一安全协议的第二安全协议;以及由DOE硬件实例基于SPDM消息中的连接标识(ID)指示来识别SPDM消息是与第一会话相关还是与第二会话相关;其中,第一会话是第一主机软件与DOE硬件实例通信地耦合到的PCIe设备之间的通信会话;并且其中,第二会话是第二主机软件与PCIe设备之间的通信会话。
示例2包括示例1或本文的某一其他示例的方法,其中,第一主机软件是基本输入/输出系统(BIOS)软件、操作系统(OS)软件、管理程序或可信安全管理器(TSM)。
示例3包括示例1或本文的某一其他示例的方法,其中,SPDM消息与设备识别、设备认证、测量收集或安全会话建立有关。
示例4包括示例1或本文的某一其他示例的方法,其中,第一会话是第一主机软件与PCIe设备之间的连接的会话。
示例5包括示例4或本文的某一其他示例的方法,其中,连接还在第二主机软件与PCIe设备之间,并且其中,第二会话是连接的会话。
示例6包括示例4或本文的某一其他示例的方法,其中,连接是第一连接,并且第二会话是第二主机软件与PCIe设备之间的第二连接的会话。
示例7包括示例1或本文的某一其他示例的方法,其中,第一会话或第二会话的建立是基于DOE硬件实例与第一主机软件、第二主机软件或PCIe设备之间的发现消息中的指示的。
示例8包括示例7或本文的某一其他示例的方法,其中,指示是数据对象类型指示。
示例9包括示例1或本文的某一其他示例的方法,其中,SPDM消息包括关于与PCIe设备、第一会话或第二会话相关的特征的指示。
示例10包括示例1或本文的某一其他示例的方法,其中,特征是部件测量和认证(CMa)特征、完整性和数据加密(IDE)特征、可分配设备接口安全协议(ADI-SP)特征、存储器安全协议(MSP)特征、电源管理(PM)特征、或最大SPDM连接ID特征。
示例11包括一种或多种非瞬态计算机可读介质,包括指令,在电子设备的一个或多个处理器执行指令时,指令使得电子设备的外围部件互连高速(PCIe)数据对象交换(DOE)硬件实例执行以下操作:由DOE硬件实例建立与第一主机软件的第一安全协议和数据模型(SPDM)会话,其中,第一会话具有第一安全协议;由DOE硬件实例建立与第二主机软件的第二SPDM会话,其中,第二会话具有不同于第一安全协议的第二安全协议;以及由DOE硬件实例基于SPDM消息中的连接标识(ID)指示来识别SPDM消息是与第一会话相关还是与第二会话相关;其中,第一会话是第一主机软件与DOE硬件实例通信地耦合到的PCIe设备之间的通信会话;并且其中,第二会话是第二主机软件与PCIe设备之间的通信会话。
示例12包括示例11或本文的某一其他示例的一种或多种非瞬态计算机可读介质,其中,第一主机软件是基本输入/输出系统(BIOS)软件、操作系统(OS)软件、管理程序或可信安全管理器(TSM)。
示例13包括示例11或本文的某一其他示例的一种或多种非瞬态计算机可读介质,其中,SPDM消息与设备识别、设备认证、测量收集或安全会话建立有关。
示例14包括示例11或本文的某一其他示例的一种或多种非瞬态计算机可读介质,其中,第一会话是第一主机软件与PCIe设备之间的连接的会话。
示例15包括示例14或本文的某一其他示例的一种或多种非瞬态计算机可读介质,其中,连接还在第二主机软件与PCIe设备之间,并且其中,第二会话是连接的会话。
示例16包括示例14或本文的某一其他示例的一种或多种非瞬态计算机可读介质,其中,连接是第一连接,并且第二会话是第二主机软件与PCIe设备之间的第二连接的会话。
示例17包括示例11或本文的某一其他示例的一种或多种非瞬态计算机可读介质,其中,第一会话或第二会话的建立是基于DOE硬件实例与第一主机软件、第二主机软件或PCIe设备之间的发现消息中的指示的。
示例18包括示例17或本文的某一其他示例的一种或多种非瞬态计算机可读介质,其中,指示是数据对象类型指示。
示例19包括示例11或本文的某一其他示例的一种或多种非瞬态计算机可读介质,其中,SPDM消息包括关于与PCIe设备、第一会话或第二会话相关的特征的指示。
示例20包括示例11或本文的某一其他示例的一种或多种非瞬态计算机可读介质,其中,特征是部件测量和认证(CMa)特征、完整性和数据加密(IDE)特征、可分配设备接口安全协议(ADI-SP)特征、存储器安全协议(MSP)特征、电源管理(PM)特征、或最大SPDM连接ID特征。
示例21包括一种电子设备,包括:一个或多个处理器;以及一个或多个非瞬态计算机可读介质,其包括指令,在电子设备的一个或多个处理器执行指令时,指令使得电子设备的外围部件互连高速(PCIe)数据对象交换(DOE)硬件实例执行以下操作:由DOE硬件实例建立与第一主机软件的第一安全协议和数据模型(SPDM)会话,其中,第一会话具有第一安全协议;由DOE硬件实例建立与第二主机软件的第二SPDM会话,其中,第二会话具有不同于第一安全协议的第二安全协议;以及由DOE硬件实例基于SPDM消息中的连接标识(ID)指示来识别SPDM消息是与第一会话相关还是与第二会话相关;其中,第一会话是第一主机软件与DOE硬件实例通信地耦合到的PCIe设备之间的通信会话;并且其中,第二会话是第二主机软件与PCIe设备之间的通信会话。
示例22包括示例21或本文的某一其他示例的电子设备,其中,第一主机软件是基本输入/输出系统(BIOS)软件、操作系统(OS)软件、管理程序或可信安全管理器(TSM)。
示例23包括示例21或本文的某一其他示例的电子设备,其中,SPDM消息与设备识别、设备认证、测量收集或安全会话建立有关。
示例24包括示例21或本文的某一其他示例的电子设备,其中,第一会话是第一主机软件与PCIe设备之间的连接的会话。
示例25包括示例24或本文的某一其他示例的电子设备,其中,连接还在第二主机软件与PCIe设备之间,并且其中,第二会话是连接的会话。
示例26包括示例24或本文的某一其他示例的电子设备,其中,连接是第一连接,并且第二会话是第二主机软件与PCIe设备之间的第二连接的会话。
示例27包括示例21或本文的某一其他示例的电子设备,其中,第一会话或第二会话的建立是基于DOE硬件实例与第一主机软件、第二主机软件或PCIe设备之间的发现消息中的指示的。
示例28包括示例27或本文的某一其他示例的电子设备,其中,指示是数据对象类型指示。
示例29包括示例21或本文的某一其他示例的电子设备,其中,SPDM消息包括关于与PCIe设备、第一会话或第二会话相关的特征的指示。
示例30包括示例21或本文的某一其他示例的电子设备,其中,特征是部件测量和认证(CMa)特征、完整性和数据加密(IDE)特征、可分配设备接口安全协议(ADI-SP)特征、存储器安全协议(MSP)特征、电源管理(PM)特征、或最大SPDM连接ID特征。
示例31包括一种由外围部件互连高速(PCIe)设备的数据对象交换(DOE)实体执行的方法,方法包括:由DOE实体建立第一会话,第一会话用于主机设备的第一主机实体与PCIe设备的第一PCIe实体之间的通信,其中,第一会话具有第一安全策略并且是PCIe设备与主机设备之间的第一连接的会话;由DOE实体建立第二会话,第二会话用于PCIe设备的第二PCIe实体与主机设备的第二主机实体之间的通信,其中,第二会话具有与第一安全策略不同的第二安全策略,并且其中,第二会话是PCIe设备与主机设备之间的第二连接的会话;由DOE实体基于要从PCIe设备发送到主机设备的消息中的连接标识符(ID)指示来识别消息是与第一会话相关还是与第二会话相关;以及由DOE实体基于对消息是与第一会话相关还是与第二会话相关的识别,来将消息发送到第一主机实体和第二主机实体中的一个。
示例32包括示例31或本文的某一其他示例的方法,其中,第一主机实体是实施基本输入/输出系统(BIOS)软件的实体、实施操作系统(OS)软件的实体、管理程序或可信安全管理器(TSM)。
示例33包括示例31或本文的某一其他示例的方法,其中,消息与设备识别、设备认证、测量收集或安全会话建立有关。
示例34包括示例31或本文的某一其他示例的方法,其中,第一连接是安全协议和数据模型(SPDM)连接。
示例35包括示例31或本文的某一其他示例的方法,其中,消息是PCIe DOE消息。
示例36包括示例31至35中任一项或本文的某一其他示例的方法,其中,第一会话和第二会话的建立是基于PCIe设备与主机设备之间的发现消息中的指示的。
示例37包括示例36或本文的某一其他示例的方法,其中,发现消息中的指示是数据对象类型指示。
示例38包括示例36或本文的某一其他示例的方法,其中,发现消息还包括关于PCIe设备的特征的指示。
示例39包括示例38或本文的某一其他示例的方法,其中,特征是部件测量和认证(CMA)特征、完整性和数据加密(IDE)特征、可分配设备接口安全协议(ADI-SP)特征、存储器安全协议(MSP)特征、电源管理(PM)特征、或最大SPDM连接ID特征。
示例40包括示例31至35中任一项或本文的某一其他示例的方法,其中,安全策略涉及认证要求、加密算法或与会话相关的数据的能力参数。
示例41包括一种或多种非瞬态计算机可读介质,包括指令,在外围部件互连高速(PCIe)设备的一个或多个处理器执行指令时,指令使得PCIe设备的数据对象交换(DOE)实体执行以下操作:由DOE实体建立第一会话,第一会话用于主机设备的第一主机实体与PCIe设备的第一PCIe实体之间的通信,其中,第一会话具有第一安全策略并且是PCIe设备与主机设备之间的第一连接的会话;由DOE实体建立第二会话,第二会话用于PCIe设备的第二PCIe实体与主机设备的第二主机实体之间的通信,其中,第二会话具有与第一安全策略不同的第二安全策略,并且其中,第二会话是PCIe设备与主机设备之间的第二连接的会话;由DOE实体基于要从PCIe设备发送到主机设备的消息中的连接标识符(ID)指示来识别消息是与第一会话相关还是与第二会话相关;以及由DOE实体基于对消息是与第一会话相关还是与第二会话相关的识别,来将消息发送到第一主机实体和第二主机实体中的一个。
示例42包括示例41或本文的某一其他示例的一种或多种非瞬态计算机可读介质,其中,第一主机实体是实施基本输入/输出系统(BIOS)软件的实体、实施操作系统(OS)软件的实体、管理程序或可信安全管理器(TSM)。
示例43包括示例41或本文的某一其他示例的一种或多种非瞬态计算机可读介质,其中,消息与设备识别、设备认证、测量收集或安全会话建立有关。
示例44包括示例41或本文的某一其他示例的一种或多种非瞬态计算机可读介质,其中,第一连接是安全协议和数据模型(SPDM)连接。
示例45包括示例41或本文的某一其他示例的一种或多种非瞬态计算机可读介质,其中,消息是PCIe DOE消息。
示例46包括示例41至45中任一项或本文的某一其他示例的一种或多种非瞬态计算机可读介质,其中,第一会话和第二会话的建立是基于PCIe设备与主机设备之间的发现消息中的指示的。
示例47包括示例46或本文的某一其他示例的一种或多种非瞬态计算机可读介质,其中,发现消息中的指示是数据对象类型指示。
示例48包括示例46或本文的某一其他示例的一种或多种非瞬态计算机可读介质,其中,发现消息还包括关于PCIe设备的特征的指示。
示例49包括示例48或本文的某一其他示例的一种或多种非瞬态计算机可读介质,其中,特征是部件测量和认证(CMA)特征、完整性和数据加密(IDE)特征、可分配设备接口安全协议(ADI-SP)特征、存储器安全协议(MSP)特征、电源管理(PM)特征、或最大SPDM连接ID特征。
示例50包括示例41至45中任一项或本文的某一其他示例的一种或多种非瞬态计算机可读介质,其中,安全策略涉及认证要求、加密算法或与会话相关的数据的能力参数。
示例51包括一种外围部件互连高速(PCIe)设备,包括:一个或多个处理器,其实施数据对象交换(DOE)实体;以及一个或多个非瞬态计算机可读介质,其包括指令,在一个或多个处理器执行指令时,指令使得DOE执行以下操作:由DOE实体建立第一会话,第一会话用于主机设备的第一主机实体与PCIe设备的第一PCIe实体之间的通信,其中,第一会话具有第一安全策略并且是PCIe设备与主机设备之间的第一连接的会话;由DOE实体建立第二会话,第二会话用于PCIe设备的第二PCIe实体与主机设备的第二主机实体之间的通信,其中,第二会话具有与第一安全策略不同的第二安全策略,并且其中,第二会话是PCIe设备与主机设备之间的第二连接的会话;由DOE实体基于要从PCIe设备发送到主机设备的消息中的连接标识符(ID)指示来识别消息是与第一会话相关还是与第二会话相关;以及由DOE实体基于对消息是与第一会话相关还是与第二会话相关的识别,来将消息发送到第一主机实体和第二主机实体中的一个。
示例52包括示例51或本文的某一其他示例的PCIe设备,其中,第一主机实体是实施基本输入/输出系统(BIOS)软件的实体、实施操作系统(OS)软件的实体、管理程序或可信安全管理器(TSM)。
示例53包括示例51或本文的某一其他示例的PCIe设备,其中,消息与设备识别、设备认证、测量收集或安全会话建立有关。
示例54包括示例51或本文的某一其他示例的PCIe设备,其中,第一连接是安全协议和数据模型(SPDM)连接。
示例55包括示例51或本文的某一其他示例的PCIe设备,其中,消息是PCIe DOE消息。
示例56包括示例51至55中任一项或本文的某一其他示例的PCIe设备,其中,第一会话和第二会话的建立是基于PCIe设备与主机设备之间的发现消息中的指示的。
示例57包括示例56或本文的某一其他示例的PCIe设备,其中,发现消息中的指示是数据对象类型指示。
示例58包括示例56或本文的某一其他示例的PCIe设备,其中,发现消息还包括关于PCIe设备的特征的指示。
示例59包括示例58或本文的某一其他示例的PCIe设备,其中,特征是部件测量和认证(CMA)特征、完整性和数据加密(IDE)特征、可分配设备接口安全协议(ADI-SP)特征、存储器安全协议(MSP)特征、电源管理(PM)特征、或最大SPDM连接ID特征。
示例60包括示例51至55中任一项或本文的某一其他示例的PCIe设备,其中,安全策略涉及认证要求、加密算法或与会话相关的数据的能力参数。
示例61包括一种装置,包括用于执行以下操作的装置:由DOE实体建立第一会话,第一会话用于主机设备的第一主机实体与PCIe设备的第一PCIe实体之间的通信,其中,第一会话具有第一安全策略并且是PCIe设备与主机设备之间的第一连接的会话;由DOE实体建立第二会话,第二会话用于PCIe设备的第二PCIe实体与主机设备的第二主机实体之间的通信,其中,第二会话具有与第一安全策略不同的第二安全策略,并且其中,第二会话是PCIe设备与主机设备之间的第二连接的会话;由DOE实体基于要从PCIe设备发送到主机设备的消息中的连接标识符(ID)指示来识别消息是与第一会话相关还是与第二会话相关;以及由DOE实体基于对消息是与第一会话相关还是与第二会话相关的识别,来将消息发送到第一主机实体和第二主机实体中的一个。
示例62包括示例61或本文的某一其他示例的装置,其中,第一主机实体是实施基本输入/输出系统(BIOS)软件的实体、实施操作系统(OS)软件的实体、管理程序或可信安全管理器(TSM)。
示例63包括示例61或本文的某一其他示例的装置,其中,消息与设备识别、设备认证、测量收集或安全会话建立有关。
示例64包括示例61或本文的某一其他示例的装置,其中,第一连接是安全协议和数据模型(SPDM)连接。
示例65包括示例61或本文的某一其他示例的装置,其中,消息是PCIe DOE消息。
示例66包括示例61至65中任一项或本文的某一其他示例的装置,其中,第一会话和第二会话的建立是基于PCIe设备与主机设备之间的发现消息中的指示的。
示例67包括示例66或本文的某一其他示例的装置,其中,发现消息中的指示是数据对象类型指示。
示例68包括示例66或本文的某一其他示例的装置,其中,发现消息还包括关于PCIe设备的特征的指示。
示例69包括示例68或本文的某一其他示例的装置,其中,特征是部件测量和认证(CMA)特征、完整性和数据加密(IDE)特征、可分配设备接口安全协议(ADI-SP)特征、存储器安全协议(MSP)特征、电源管理(PM)特征、或最大SPDM连接ID特征。
示例70包括示例61至65中任一项或本文的某一其他示例的装置,其中,安全策略涉及认证要求、加密算法或与会话相关的数据的能力参数。
示例71包括一种方法,包括示例1至60中任一项的方法或与其相关的方法、或其元素或部分。
示例72包括一种装置,用于执行示例1至60中任一项的方法或与其相关的方法、或其元素或部分。
示例73包括一种或多种非瞬态计算机可读介质,包括指令,在电子设备的一个或多个处理器执行指令时,指令使得电子设备执行示例1至60中任一项的方法或与其相关的方法、或其元素或部分。
示例74包括一种装置,包括用于执行以下项的装置:示例1至60中任一项的方法或与其相关的方法、或其元素或部分。
尽管为了描述的目的,本文已经例示和描述了某些实施例,但是本申请旨在覆盖本文讨论的实施例的任何修改或变化。因此,显然意图是本文所述的实施例仅由权利要求限制。
在本公开陈述“一个”或“第一”元件或其等同物的情况下,这样的公开包括一个或多个这样的元件,既不要求也不排除两个或更多个这样的元件。进一步地,用于所标识的元件的顺序指示(例如,第一、第二或第三)用于区分元件,而不指示或暗示所需或限制数量的这样的元件,也不指示这样的元件的特定位置或顺序,除非另外具体地陈述。
Claims (20)
1.一种外围部件互连高速(PCIe)设备,包括:
一个或多个处理器,用于实施数据对象交换(DOE)实体;以及
一个或多个非瞬态计算机可读介质,其包括指令,在所述一个或多个处理器执行所述指令时,所述指令使得所述DOE执行以下操作:
由所述DOE实体建立第一会话,所述第一会话用于主机设备的第一主机实体与所述PCIe设备的第一PCIe实体之间的通信,其中,所述第一会话具有第一安全策略并且是所述PCIe设备与所述主机设备之间的第一连接的会话;
由所述DOE实体建立第二会话,所述第二会话用于所述PCIe设备的第二PCIe实体与所述主机设备的第二主机实体之间的通信,其中,所述第二会话具有与所述第一安全策略不同的第二安全策略,并且其中,所述第二会话是所述PCIe设备与所述主机设备之间的第二连接的会话;
由所述DOE实体基于要从所述PCIe设备发送到所述主机设备的消息中的连接标识符(ID)指示来识别所述消息是与所述第一会话相关还是与所述第二会话相关;以及
由所述DOE实体基于对所述消息是与所述第一会话相关还是与所述第二会话相关的所述识别,来将所述消息发送到所述第一主机实体和所述第二主机实体中的一个。
2.根据权利要求1所述的PCIe设备,其中,所述第一主机实体是实施基本输入/输出系统(BIOS)软件的实体、实施操作系统(OS)软件的实体、管理程序或可信安全管理器(TSM)。
3.根据权利要求1所述的PCIe设备,其中,所述消息与设备识别、设备认证、测量收集或安全会话建立有关。
4.根据权利要求1所述的PCIe设备,其中,所述第一连接是安全协议和数据模型(SPDM)连接。
5.根据权利要求1所述的PCIe设备,其中,所述消息是PCIe DOE消息。
6.根据权利要求1至5中任一项所述的PCIe设备,其中,所述第一会话和所述第二会话的建立是基于所述PCIe设备与所述主机设备之间的发现消息中的指示的。
7.根据权利要求6所述的PCIe设备,其中,所述发现消息中的所述指示是数据对象类型指示。
8.根据权利要求6所述的PCIe设备,其中,所述发现消息还包括关于所述PCIe设备的特征的指示。
9.根据权利要求8所述的PCIe设备,其中,所述特征是部件测量和认证(CMA)特征、完整性和数据加密(IDE)特征、可分配设备接口安全协议(ADI-SP)特征、存储器安全协议(MSP)特征、电源管理(PM)特征、或最大SPDM连接ID特征。
10.根据权利要求1至5中任一项所述的PCIe设备,其中,所述安全策略涉及认证要求、加密算法或与会话相关的数据的能力参数。
11.一种或多种非瞬态计算机可读介质,包括指令,在外围部件互连高速(PCIe)设备的一个或多个处理器执行所述指令时,所述指令使得所述PCIe设备的数据对象交换(DOE)实体执行以下操作:
由所述DOE实体建立第一会话,所述第一会话用于主机设备的第一主机实体与所述PCIe设备的第一PCIe实体之间的通信,其中,所述第一会话具有第一安全策略并且是所述PCIe设备与所述主机设备之间的第一连接的会话;
由所述DOE实体建立第二会话,所述第二会话用于所述PCIe设备的第二PCIe实体与所述主机设备的第二主机实体之间的通信,其中,所述第二会话具有与所述第一安全策略不同的第二安全策略,并且其中,所述第二会话是所述PCIe设备与所述主机设备之间的第二连接的会话;
由所述DOE实体基于要从所述PCIe设备发送到所述主机设备的消息中的连接标识符(ID)指示来识别所述消息是与所述第一会话相关还是与所述第二会话相关;以及
由所述DOE实体基于对所述消息是与所述第一会话相关还是与所述第二会话相关的所述识别,来将所述消息发送到所述第一主机实体和所述第二主机实体中的一个。
12.根据权利要求11所述的一种或多种非瞬态计算机可读介质,其中,所述第一主机实体是实施基本输入/输出系统(BIOS)软件的实体、实施操作系统(OS)软件的实体、管理程序或可信安全管理器(TSM)。
13.根据权利要求11所述的一种或多种非瞬态计算机可读介质,其中,所述消息与设备识别、设备认证、测量收集或安全会话建立有关。
14.根据权利要求11至13中任一项所述的一种或多种非瞬态计算机可读介质,其中,所述第一会话和所述第二会话的建立是基于所述PCIe设备与所述主机设备之间的发现消息中的指示的。
15.根据权利要求11至13中任一项所述的一种或多种非瞬态计算机可读介质,其中,所述安全策略涉及认证要求、加密算法或与会话相关的数据的能力参数。
16.一种由外围部件互连高速(PCIe)设备的数据对象交换(DOE)实体执行的方法,所述方法包括:
由所述DOE实体建立第一会话,所述第一会话用于主机设备的第一主机实体与所述PCIe设备的第一PCIe实体之间的通信,其中,所述第一会话具有第一安全策略并且是所述PCIe设备与所述主机设备之间的第一连接的会话;
由所述DOE实体建立第二会话,所述第二会话用于所述PCIe设备的第二PCIe实体与所述主机设备的第二主机实体之间的通信,其中,所述第二会话具有与所述第一安全策略不同的第二安全策略,并且其中,所述第二会话是所述PCIe设备与所述主机设备之间的第二连接的会话;
由所述DOE实体基于要从所述PCIe设备发送到所述主机设备的消息中的连接标识符(ID)指示来识别所述消息是与所述第一会话相关还是与所述第二会话相关;以及
由所述DOE实体基于对所述消息是与所述第一会话相关还是与所述第二会话相关的所述识别,来将所述消息发送到所述第一主机实体和所述第二主机实体中的一个。
17.根据权利要求16所述的方法,其中,所述第一主机实体是实施基本输入/输出系统(BIOS)软件的实体、实施操作系统(OS)软件的实体、管理程序或可信安全管理器(TSM)。
18.根据权利要求16所述的方法,其中,所述消息与设备识别、设备认证、测量收集或安全会话建立有关。
19.根据权利要求16至18中任一项所述的方法,其中,所述第一会话和所述第二会话的建立是基于所述PCIe设备与所述主机设备之间的发现消息中的指示的。
20.根据权利要求16至18中任一项所述的方法,其中,所述安全策略涉及认证要求、加密算法或与会话相关的数据的能力参数。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNPCT/CN2021/128350 | 2021-11-03 | ||
| CN2021128350 | 2021-11-03 | ||
| US17/576,650 | 2022-01-14 | ||
| US17/576,650 US20220179961A1 (en) | 2021-11-03 | 2022-01-14 | Method to support pci device having multiple spdm secure sessions with different security policies for each security domain by virtualized data object exchange |
| PCT/US2022/045530 WO2023080974A1 (en) | 2021-11-03 | 2022-10-03 | Support of pcie device with multiple security policies |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117561511A true CN117561511A (zh) | 2024-02-13 |
Family
ID=81848699
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202280045121.0A Pending CN117561511A (zh) | 2021-11-03 | 2022-10-03 | 具有多个安全策略的PCIe设备的支持 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20220179961A1 (zh) |
| CN (1) | CN117561511A (zh) |
| DE (1) | DE112022002226T5 (zh) |
| WO (1) | WO2023080974A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220179961A1 (en) * | 2021-11-03 | 2022-06-09 | Intel Corporation | Method to support pci device having multiple spdm secure sessions with different security policies for each security domain by virtualized data object exchange |
| US20230403149A1 (en) * | 2022-06-13 | 2023-12-14 | DreamBig Semiconductor, Inc. | Computer and Network Interface Controller Securely Offloading Encryption Keys and QUIC Encryption Processing to the Network Interface Controller |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050223359A1 (en) * | 2004-03-30 | 2005-10-06 | Rao Nagaraju Kodalapura N | Techniques for multi-core debugging |
| US8068415B2 (en) * | 2007-04-18 | 2011-11-29 | Owl Computing Technologies, Inc. | Secure one-way data transfer using communication interface circuitry |
| US8196013B2 (en) * | 2009-10-23 | 2012-06-05 | Plx Technology, Inc. | Supporting global input/output interconnect features on ports of a midpoint device |
| US11070527B2 (en) * | 2018-12-07 | 2021-07-20 | Intel Corporation | Securing platform link with encryption |
| US11743240B2 (en) * | 2019-03-08 | 2023-08-29 | Intel Corporation | Secure stream protocol for serial interconnect |
| US20220179961A1 (en) * | 2021-11-03 | 2022-06-09 | Intel Corporation | Method to support pci device having multiple spdm secure sessions with different security policies for each security domain by virtualized data object exchange |
-
2022
- 2022-01-14 US US17/576,650 patent/US20220179961A1/en active Pending
- 2022-10-03 WO PCT/US2022/045530 patent/WO2023080974A1/en active Application Filing
- 2022-10-03 CN CN202280045121.0A patent/CN117561511A/zh active Pending
- 2022-10-03 DE DE112022002226.4T patent/DE112022002226T5/de active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| DE112022002226T5 (de) | 2024-02-29 |
| US20220179961A1 (en) | 2022-06-09 |
| WO2023080974A1 (en) | 2023-05-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN117561511A (zh) | 具有多个安全策略的PCIe设备的支持 | |
| US8713646B2 (en) | Controlling access to resources on a network | |
| US11240239B2 (en) | Apparatus and method for shared credential authentication | |
| EP2975528A1 (en) | Electronic device and method for managing memory of electronic device | |
| EP3772009A1 (en) | Device interface security management for computer buses | |
| CN109992405B (zh) | 一种处理数据报文的方法和网卡 | |
| US9973335B2 (en) | Shared buffers for processing elements on a network device | |
| JP2016517241A (ja) | ストレージデバイスによって支援されるインライン暗号化および暗号化解除 | |
| US11496454B2 (en) | System and method for providing comprehensive remote authorized access to multiple equipment in a datacenter | |
| US10579117B2 (en) | Method and apparatus for securing communication of instructions to manage antenna power output | |
| US11601874B2 (en) | Uplink carrier access | |
| TW201603518A (zh) | 用於nfc的電子裝置、系統以及方法 | |
| US11330578B2 (en) | Uplink carrier configuration | |
| WO2013147773A1 (en) | Shared buffers for processing elements on a network device | |
| US9674141B2 (en) | Techniques for implementing a secure mailbox in resource-constrained embedded systems | |
| CN106576329B (zh) | 基于情境的资源访问调解 | |
| US11012372B2 (en) | Electronic apparatus and method for control thereof | |
| US20150105019A1 (en) | Wireless communication device and wireless paring method thereof | |
| CN117060976B (zh) | 卫星通信方法、系统、电子设备、存储介质及程序产品 | |
| US20240106824A1 (en) | Hardware identity impersonation for target access control | |
| CN116701007A (zh) | 数据处理方法、直接内存访问引擎和计算设备 | |
| CN110622541A (zh) | 配置传输 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication |