KR20170120096A - 보안 인클레이브들의 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에서 자식 인클레이브들을 확립하기 위한 명령어들 및 로직 - Google Patents
보안 인클레이브들의 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에서 자식 인클레이브들을 확립하기 위한 명령어들 및 로직 Download PDFInfo
- Publication number
- KR20170120096A KR20170120096A KR1020177020335A KR20177020335A KR20170120096A KR 20170120096 A KR20170120096 A KR 20170120096A KR 1020177020335 A KR1020177020335 A KR 1020177020335A KR 20177020335 A KR20177020335 A KR 20177020335A KR 20170120096 A KR20170120096 A KR 20170120096A
- Authority
- KR
- South Korea
- Prior art keywords
- secure
- storage area
- control structure
- instruction
- child
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 223
- 230000008569 process Effects 0.000 title claims abstract description 192
- 238000003860 storage Methods 0.000 claims abstract description 154
- 238000000547 structure data Methods 0.000 claims description 18
- 230000004044 response Effects 0.000 claims description 16
- 238000013507 mapping Methods 0.000 abstract description 11
- 230000036961 partial effect Effects 0.000 abstract description 3
- 238000012545 processing Methods 0.000 description 138
- 230000015654 memory Effects 0.000 description 109
- 238000010586 diagram Methods 0.000 description 35
- 238000007667 floating Methods 0.000 description 23
- 230000006870 function Effects 0.000 description 13
- 238000004519 manufacturing process Methods 0.000 description 11
- 238000013461 design Methods 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 9
- 230000007246 mechanism Effects 0.000 description 9
- 238000004891 communication Methods 0.000 description 8
- 230000003287 optical effect Effects 0.000 description 7
- 239000000872 buffer Substances 0.000 description 6
- 239000003795 chemical substances by application Substances 0.000 description 6
- 230000001419 dependent effect Effects 0.000 description 6
- 238000013519 translation Methods 0.000 description 6
- 230000014616 translation Effects 0.000 description 6
- VOXZDWNPVJITMN-ZBRFXRBCSA-N 17β-estradiol Chemical compound OC1=CC=C2[C@H]3CC[C@](C)([C@H](CC4)O)[C@@H]4[C@@H]3CCC2=C1 VOXZDWNPVJITMN-ZBRFXRBCSA-N 0.000 description 5
- 230000000694 effects Effects 0.000 description 5
- 230000002093 peripheral effect Effects 0.000 description 5
- 230000003068 static effect Effects 0.000 description 5
- 230000006835 compression Effects 0.000 description 4
- 238000007906 compression Methods 0.000 description 4
- 238000013500 data storage Methods 0.000 description 4
- 230000007547 defect Effects 0.000 description 4
- 238000006073 displacement reaction Methods 0.000 description 4
- 238000004088 simulation Methods 0.000 description 4
- 230000001133 acceleration Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 238000004590 computer program Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 239000004065 semiconductor Substances 0.000 description 3
- 101100285899 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) SSE2 gene Proteins 0.000 description 2
- 230000002411 adverse Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 230000006837 decompression Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000000670 limiting effect Effects 0.000 description 2
- 229910052754 neon Inorganic materials 0.000 description 2
- GKAOGPIIYCISHV-UHFFFAOYSA-N neon atom Chemical compound [Ne] GKAOGPIIYCISHV-UHFFFAOYSA-N 0.000 description 2
- 230000002829 reductive effect Effects 0.000 description 2
- 210000001956 EPC Anatomy 0.000 description 1
- 101000912503 Homo sapiens Tyrosine-protein kinase Fgr Proteins 0.000 description 1
- 102000001332 SRC Human genes 0.000 description 1
- 108060006706 SRC Proteins 0.000 description 1
- 102100026150 Tyrosine-protein kinase Fgr Human genes 0.000 description 1
- 239000000654 additive Substances 0.000 description 1
- 230000000996 additive effect Effects 0.000 description 1
- 230000003466 anti-cipated effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000003139 buffering effect Effects 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 238000012938 design process Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 238000009499 grossing Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 239000003607 modifier Substances 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 230000003362 replicative effect Effects 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
- G06F12/1416—Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights
- G06F12/1425—Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/02—Addressing or allocation; Relocation
- G06F12/08—Addressing or allocation; Relocation in hierarchically structured memory systems, e.g. virtual memory systems
- G06F12/0802—Addressing of a memory level in which the access to the desired data or data block requires associative addressing means, e.g. caches
- G06F12/0806—Multiuser, multiprocessor or multiprocessing cache systems
- G06F12/0811—Multiuser, multiprocessor or multiprocessing cache systems with multilevel cache hierarchies
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/02—Addressing or allocation; Relocation
- G06F12/08—Addressing or allocation; Relocation in hierarchically structured memory systems, e.g. virtual memory systems
- G06F12/0802—Addressing of a memory level in which the access to the desired data or data block requires associative addressing means, e.g. caches
- G06F12/0806—Multiuser, multiprocessor or multiprocessing cache systems
- G06F12/0815—Cache consistency protocols
- G06F12/0817—Cache consistency protocols using directory methods
- G06F12/0822—Copy directories
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/02—Addressing or allocation; Relocation
- G06F12/08—Addressing or allocation; Relocation in hierarchically structured memory systems, e.g. virtual memory systems
- G06F12/0802—Addressing of a memory level in which the access to the desired data or data block requires associative addressing means, e.g. caches
- G06F12/0875—Addressing of a memory level in which the access to the desired data or data block requires associative addressing means, e.g. caches with dedicated cache, e.g. instruction or stack
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/14—Handling requests for interconnection or transfer
- G06F13/20—Handling requests for interconnection or transfer for access to input/output bus
- G06F13/24—Handling requests for interconnection or transfer for access to input/output bus using interrupt
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2212/00—Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
- G06F2212/10—Providing a specific technical effect
- G06F2212/1052—Security improvement
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2212/00—Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
- G06F2212/28—Using a specific disk cache architecture
- G06F2212/283—Plural cache memories
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2212/00—Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
- G06F2212/45—Caching of specific data in cache memory
- G06F2212/452—Instruction code
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Computer Hardware Design (AREA)
- Executing Machine-Instructions (AREA)
- Memory System Of A Hierarchy Structure (AREA)
- Storage Device Security (AREA)
- Advance Control (AREA)
Abstract
명령어들 및 로직은 프로세스들을 포크하고 보안 인클레이브 페이지 캐시(EPC)에 자식 인클레이브들을 확립한다. 명령어들은 보안 인클레이브 제어 구조(SECS) 데이터, 애플리케이션 데이터, 코드 등을 저장하기 위해 부모 및 자식 프로세스의 인클레이브들에 할당된 보안 저장을 위한 어드레스들을 지정한다. 프로세서는 부모 및 자식 프로세스들의 인클레이브 데이터를 저장하는 EPC를 포함한다. 부모의 실시예들이, 또는 시스템이 부모 SECS를 자식에 대한 보안 스토리지에 복사하고, 부모 SECS/ID에 고유 자식 ID 및 링크를 초기화하는 명령어를 실행할 수 있다. 자식의 실시예들이, 또는 시스템이 부모 인클레이브로부터 자식의 인클레이브로 - 양자가 동일 키를 가짐 - 페이지들을 복사하고, EPC 매핑을 위한 엔트리를 부분 완료에 설정하고, 및 인터럽트된다면 페이지 상태를 자식 인클레이브에 기록하는 명령어를 실행할 수 있다. 따라서, 복사가 재개될 수 있다.
Description
본 개시는 프로세서 또는 다른 프로세싱 로직에 의해 실행될 때 로딩 동작, 저장 동작, 논리적, 수학적 또는 다른 기능적 동작들을 수행하는 프로세싱 로직, 마이크로 프로세서들, 및 관련 명령어 세트 아키텍처 분야에 관한 것이다. 특히, 본 개시는 프로세스들을 포크(fork)하고 보안 인클레이브 페이지 캐시에 자식 인클레이브(enclave)들을 확립하는 명령어들 및 로직에 관한 것이다.
음성, 비디오, 거래, 및 개인 데이터 등의 새로운 사용 모델 및 서비스를 지원하는 애플리케이션 및 고성능 네트워크들은 보안 분야에 새로운 과제를 제시하고 있다. 기밀성 및 무결성을 위해 저장 중인 또는 전송 중인 데이터를 보호할 필요성이 중요해지고 있지만, 보호된 코드 및/또는 데이터에 대한 보안 액세스를 유지하는 데 필요한 고속 암호화 연산 및 저장을 지원하는 것은 복잡도를 증가시키고, 궁극적으로 비용을 증가시킨다.
보안, 보호 또는 격리된 파티션 또는 환경을 만들고 유지 관리하는 한 가지 기술은 인클레이브를 확립하는 것으로 알려져 있다. 인클레이브는 그룹으로서 보호되는 한 세트의 정보 및 처리 능력이다. 정보 및 처리 능력들은 네트워크들, 호스트들 또는 애플리케이션을 포함할 수 있다. 외장 메모리에서 인클레이브에 대한 데이터 및/또는 명령어들이 로딩되면, 이들은 암호해제되고, 인증된 다음에 보호된 메모리에 저장되거나 캐시된다. 유사하게, 보호된 메모리로부터 인클레이브에 대한 데이터 및/또는 명령어들이 퇴거(evict)될 때, 이들은 외장 메모리에 되돌려 저장되기 전에 암호화된다. 보안 인클레이브 데이터가 특정 프로세스에 할당되고 또한 해당 프로세스에 대한 고유 인클레이브 식별자와 연관되어서, 보안 인클레이브 데이터에 대한 액세스가 권한 부여된 프로세스에 제한되게 한다. 운영 체제조차도 상이한 프로세스의 인클레이브 식별자와 연관되는 암호 해제된 인클레이브 데이터에 액세스하도록 허용되지 않는다.
따라서, 보안 인클레이브에 할당된 프로세스가 fork( )와 같은 운영 체제 호출을 활용하여 자식 프로세스로서 그 자체의 복제본을 만들기를 바랄 때, 운영 체제는 부모 프로세스와 연관되는 암호 해제된 인클레이브 데이터에 액세스할 수 없다. 따라서, 운영 체제는 부모 프로세스에 할당된 보안 인클레이브가 여전히 활성 상태인 동안 자식 프로세스에 대해 부모 프로세스의 상태를 복제할 수 없다. 더욱이, 운영 체제가 보안 인클레이브에 대해 메모리 페이지들의 페이징 인(paging in)(예: 로딩) 및/또는 페이징 아웃(paging out)(즉, 퇴거(evict) 및 라이트백)을 수행하고 있을 때, 암호화 동작들이, 전형적으로 그 크기가 4KB일 수 있는 전체 페이지들에 대해 수행되어야만 한다. 결과적으로, 보안 인클레이브에 대한 페이지 복사 동작들은 수만 번의 프로세싱 사이클을 요구할 수 있다. 페이징 프로세스가 인터럽트되면 다시 실행될 필요가 있을 수 있지만, 보안 인클레이브에 대한 페이징 동작들이 완료될 때까지 인터럽트들의 서비스가 허용되지 않았다면, 인터럽트들의 지연된 서비스가 음성, 비디오 및 실시간 거래들과 같은 일부 서비스들에서 용인할 수 없는 결함을 유발할 수 있다.
따라서, 자식 프로세스를 포크하기 위해 부모 프로세스의 보안 인클레이브에 대해 데이터의 페이지들 및 상태를 복제하는 것은 일련의 고유 보안, 사용자 경험 및 성능에 있어서의 도전적 과제들을 제기한다. 현재까지, 이러한 도전적 과제들, 잠재적인 성능 제한 문제, 및 실시간 복잡성을 해결하는 해결책은 적절히 탐구되지 않았다.
본 발명은 첨부 도면들의 도면들에 한정을 위한 것이 아니라 예를 드는 식으로 도해된다.
도 1a는 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하기 위한 명령어들을 실행하는 시스템의 일 실시예의 블록도이다.
도 1b는 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하기 위한 명령어들을 실행하는 시스템의 또 다른 실시예의 블록도이다.
도 1c는 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하기 위한 명령어들을 실행하는 시스템의 또 다른 실시예의 블록도이다.
도 2는 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하기 위한 명령어들을 실행하는 프로세서의 일 실시예의 블록도이다.
도 3a는 일 실시예에 따른 패킹된 데이터 유형들을 도해한다.
도 3b는 일 실시예에 따른 패킹된 데이터 유형들을 도해한다.
도 3c는 일 실시예에 따른 패킹된 데이터 유형들을 도해한다.
도 3d는 일 실시예에 따라 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하기 위한 명령어 인코딩을 도해한다.
도 3e는 또 다른 실시예에 따라 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브를 확립하기 위한 명령어 인코딩을 도해한다.
도 3f는 또 다른 실시예에 따라 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하기 위한 명령어 인코딩을 도해한다.
도 3g는 또 다른 실시예에 따라 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하기 위한 명령어 인코딩을 도해한다.
도 3h는 명령어를 인코딩하기 위해 2개의 필드를 사용하는 실시예를 도해한다.
도 3j는 또 다른 실시예에 따라 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하기 위한 명령어 인코딩을 도해한다.
도 4a는 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하는 명령어들을 실행하기 위한 프로세서 마이크로아키텍처의 일 실시예의 요소들을 도해한다.
도 4b는 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하는 명령어들을 실행하기 위한 프로세서 마이크로아키텍처의 또 다른 실시예의 요소들을 도해한다.
도 5는 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하는 명령어들을 실행하기 위한 프로세서의 일 실시예의 블록도이다.
도 6은 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하는 명령어들을 실행하기 위한 컴퓨터 시스템의 일 실시예의 블록도이다.
도 7은 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하는 명령어들을 실행하기 위한 컴퓨터 시스템의 또 다른 실시예의 블록도이다.
도 8은 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하는 명령어들을 실행하기 위한 컴퓨터 시스템의 또 다른 실시예의 블록도이다.
도 9는 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하는 명령어들을 실행하기 위한 시스템 온 칩(system-on-a-chip)의 일 실시예의 블록도이다.
도 10은 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하는 명령어들을 실행하기 위한 프로세서의 실시예의 블록도이다.
도 11은 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하는 IP 코어 개발 시스템의 일 실시예의 블록도이다.
도 12는 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하는 아키텍처 에뮬레이션 시스템의 일 실시예를 도해한다.
도 13은 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하는 명령어들을 번역하기 위한 시스템의 일 실시예를 도해한다.
도 14a는 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하는 인클레이브 자식 생성 명령어들을 이용하기 위한 프로세싱 시스템의 실시예를 도해한다.
도 14b는 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하는 인클레이브 자식 복사 명령어들을 이용하기 위한 프로세싱 시스템의 또 다른 실시예를 도해한다.
도 15는 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하는 명령어들을 이용하기 위한 프로세서 내의 장치의 실시예를 도해한다.
도 16은 컴퓨팅 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하는 프로세스의 일 실시예에 대한 흐름도를 도해한다.
도 17a는 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하는 인클레이브 자식 생성 명령어들을 사용하는 프로세스의 일 실시예에 대한 흐름도를 도해한다.
도 17b는 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하는 인클레이브 자식 복사 명령어들을 사용하는 프로세스의 일 실시예에 대한 흐름도를 도해한다.
도 18a는 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하는 인클레이브 자식 생성 명령어들을 사용하는 인터럽트가능한 프로세스의 일 실시예에 대한 흐름도를 도해한다.
도 18b는 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하는 인클레이브 자식 복사 명령어들을 사용하는 인터럽트가능한 프로세스의 일 실시예에 대한 흐름도를 도해한다.
도 1a는 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하기 위한 명령어들을 실행하는 시스템의 일 실시예의 블록도이다.
도 1b는 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하기 위한 명령어들을 실행하는 시스템의 또 다른 실시예의 블록도이다.
도 1c는 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하기 위한 명령어들을 실행하는 시스템의 또 다른 실시예의 블록도이다.
도 2는 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하기 위한 명령어들을 실행하는 프로세서의 일 실시예의 블록도이다.
도 3a는 일 실시예에 따른 패킹된 데이터 유형들을 도해한다.
도 3b는 일 실시예에 따른 패킹된 데이터 유형들을 도해한다.
도 3c는 일 실시예에 따른 패킹된 데이터 유형들을 도해한다.
도 3d는 일 실시예에 따라 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하기 위한 명령어 인코딩을 도해한다.
도 3e는 또 다른 실시예에 따라 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브를 확립하기 위한 명령어 인코딩을 도해한다.
도 3f는 또 다른 실시예에 따라 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하기 위한 명령어 인코딩을 도해한다.
도 3g는 또 다른 실시예에 따라 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하기 위한 명령어 인코딩을 도해한다.
도 3h는 명령어를 인코딩하기 위해 2개의 필드를 사용하는 실시예를 도해한다.
도 3j는 또 다른 실시예에 따라 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하기 위한 명령어 인코딩을 도해한다.
도 4a는 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하는 명령어들을 실행하기 위한 프로세서 마이크로아키텍처의 일 실시예의 요소들을 도해한다.
도 4b는 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하는 명령어들을 실행하기 위한 프로세서 마이크로아키텍처의 또 다른 실시예의 요소들을 도해한다.
도 5는 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하는 명령어들을 실행하기 위한 프로세서의 일 실시예의 블록도이다.
도 6은 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하는 명령어들을 실행하기 위한 컴퓨터 시스템의 일 실시예의 블록도이다.
도 7은 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하는 명령어들을 실행하기 위한 컴퓨터 시스템의 또 다른 실시예의 블록도이다.
도 8은 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하는 명령어들을 실행하기 위한 컴퓨터 시스템의 또 다른 실시예의 블록도이다.
도 9는 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하는 명령어들을 실행하기 위한 시스템 온 칩(system-on-a-chip)의 일 실시예의 블록도이다.
도 10은 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하는 명령어들을 실행하기 위한 프로세서의 실시예의 블록도이다.
도 11은 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하는 IP 코어 개발 시스템의 일 실시예의 블록도이다.
도 12는 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하는 아키텍처 에뮬레이션 시스템의 일 실시예를 도해한다.
도 13은 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하는 명령어들을 번역하기 위한 시스템의 일 실시예를 도해한다.
도 14a는 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하는 인클레이브 자식 생성 명령어들을 이용하기 위한 프로세싱 시스템의 실시예를 도해한다.
도 14b는 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하는 인클레이브 자식 복사 명령어들을 이용하기 위한 프로세싱 시스템의 또 다른 실시예를 도해한다.
도 15는 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하는 명령어들을 이용하기 위한 프로세서 내의 장치의 실시예를 도해한다.
도 16은 컴퓨팅 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하는 프로세스의 일 실시예에 대한 흐름도를 도해한다.
도 17a는 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하는 인클레이브 자식 생성 명령어들을 사용하는 프로세스의 일 실시예에 대한 흐름도를 도해한다.
도 17b는 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하는 인클레이브 자식 복사 명령어들을 사용하는 프로세스의 일 실시예에 대한 흐름도를 도해한다.
도 18a는 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하는 인클레이브 자식 생성 명령어들을 사용하는 인터럽트가능한 프로세스의 일 실시예에 대한 흐름도를 도해한다.
도 18b는 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하는 인클레이브 자식 복사 명령어들을 사용하는 인터럽트가능한 프로세스의 일 실시예에 대한 흐름도를 도해한다.
다음의 설명은 프로세스들을 포크하고 프로세서, 컴퓨터 시스템, 또는 다른 프로세싱 장치 내의 또는 이것과 연관되어 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하기 위한 명령어들 및 프로세싱 로직을 개시한다.
예를 들어, 인클레이브와 연관된, 개인 또는 보호된 데이터만을 보유하는 캐시의 특정 캐시 또는 부분에서, 해당 개인 또는 보호된 데이터가 암호 해제되었을 때 해당 데이터에 대한 액세스는 인가된 프로세서 코어들, 하드웨어 스레드들, 또는 논리적 프로세서들로만 제한될 수 있다. 이러한 인클레이브 개인 메모리는 EPC(enclave page cache) 메모리로 지칭될 수 있다. 다른 물리적 메모리와 마찬가지로, EPC는 필요에 따라 데이터 및/또는 코드를 페이징 인하고 페이징 아웃하여 더 큰 개인 또는 보호된 어드레스 공간을 지원하도록 될 수 있다. 명령어들이, 보안 인클레이브 제어 구조 데이터, 애플리케이션 데이터, 애플리케이션 코드 등을 저장하기 위해 부모 및 자식 프로세스의 인클레이브들에 EPC에서 할당되는 보안 저장을 위한 어드레스들을 지정한다. 일부 실시예에서, 부모 프로세스가 부모 SECS(secure enclave control structure)를 자식 프로세스에 대한 보안 저장 영역으로 복사하고, 고유 자식 인클레이브 ID 및 링크를 부모의 SECS/인클레이브 영역 ID에 초기화하기 위한 명령어를 실행할 수 있거나, 또는 시스템 SGX(Software Guard Extension) 라이브러리가 이 명령어를 실행할 수 있다. 일부 실시예에서, 자식 프로세스가 부모 인클레이브로부터의 페이지들을 자식의 인클레이브에 복사하고(이 경우에 양자는 동일 키를 가짐), 그리고 나서 또한 EPC 매핑을 위한 엔트리를 부분 완료에 설정하고, 및 만일 인터럽트된다면 자식 인클레이브에 페이지 상태를 기록하기 위한 명령어를 실행할 수 있거나, 또는 시스템 SGX 라이브러리가 이 명령어를 실행할 수 있다. 따라서 부모 인클레이브로부터 페이지들을 복사하는 명령어가 재개될 수 있다.
일부 실시예에서, 본 명세서에 개시된 명령어들 및 로직은 프로세스들을 포크하기 위한 SECS 복사에서, 및 보안 인클레이브들 내에서의 페이지 복사 동작들에서 인터럽트되고 재개될 수 있다. 일부 실시예에서, 이러한 명령어들은 보안 인클레이브(예를 들어, 이미 보안 EPC에 있음)에 할당되는 페이지 어드레스들을 지정한다. 프로세스들을 포크하고 보안 EPC에서 자식 인클레이브들을 확립하기 위해 이러한 인클레이브 명령어들을 사용하는 것을 통해서, 부모 프로세스는 자식 프로세스를 생성(즉, 포크)하고 보안 EPC에 자식 프로세스 인클레이브에 대한 사본을 확립할 수 있다는 것을 알 것이다. 또한, 그러한 명령어들에 대한 프로세서 지원이 없다면, 동일한(또는 유사한) 기술적 효과를 달성하기 위한 어떠한 소프트웨어 시스템 보안 피처들도(조금이라도 실현 가능하다 하더라도) 엄청나게 비싸고 및/또는 성능 제한을 겪어서 불리하게는 일부 더 작은 보안 기준이 받아들여져야 하는 정도까지 될 수 있다는 것을 또한 알 것이다.
하기 설명에서, 본 발명의 실시예들의 보다 철저한 이해를 제공하기 위해서 처리 로직, 프로세서 타입들, 마이크로아키텍처 상태들, 이벤트들, 구현 메커니즘들 등과 같은 수많은 특정 상세 사항이 제시된다. 그러나, 통상의 기술자는 본 발명이 이러한 특정 세부 사항 없이 실시될 수 있다는 것을 알 것이다. 부가적으로, 본 발명의 실시예들을 불필요하게 모호하게 하는 것을 회피하기 위해서 몇몇 잘 알려진 구조들, 회로들 등은 상세하게 제시되지 않았다.
다음의 실시예들은 프로세서에 관하여 설명되지만, 다른 실시예들은 다른 타입의 집적 회로들 및 로직 디바이스들에 적용 가능하다. 본 발명의 실시예들의 유사한 기술들 및 교시들은, 보다 높은 파이프라인 처리량 및 개선된 성능으로부터 혜택을 입을 수 있는 다른 타입들의 회로들 또는 반도체 디바이스들에 적용될 수 있다. 본 발명의 실시예들의 교시들은 데이터 조작들을 수행하는 임의의 프로세서 또는 머신에 적용될 수 있다. 그러나, 본 발명은 512 비트, 256 비트, 128 비트, 64 비트, 32 비트, 또는 16 비트 데이터 연산들을 수행하는 프로세서들이나 머신들로만 제한되지 않고, 데이터의 조작 또는 관리가 수행되는 임의의 프로세서 및 머신에 적용될 수 있다. 또한, 다음의 설명은 예들을 제공하고, 첨부 도면들은 예시를 위한 다양한 예들을 보여준다. 그러나, 이러한 예들은 제한적인 의미로 해석해서는 안 되는데, 그 이유는 이것들이 본 발명의 실시예들의 모든 가능한 구현들의 빠짐없는 목록을 제공하는 것이 아니라 단순히 본 발명의 실시예들의 예들을 제공하기 위해 의도되기 때문이다.
이하의 예들은 실행 유닛들 및 로직 회로들의 맥락에서 명령어 핸들링 및 분배를 설명하지만, 본 발명의 다른 실시예들은, 머신에 의해 수행될 때 이 머신으로 하여금 본 발명의 적어도 하나의 실시예에 부합하는 기능들을 수행하게 하는 머신 판독가능 유형(tangible) 매체상에 저장된 데이터 및/또는 명령어들에 의해 달성될 수 있다. 일 실시예에서, 본 발명의 실시예들과 관련된 기능들은 머신 실행가능 명령어들로 구체화된다. 명령어들은, 명령어들로 프로그래밍되는 범용 또는 특수 목적 프로세서로 하여금 본 발명의 단계들을 수행하게 하는데 사용될 수 있다. 본 발명의 실시예들은, 본 발명의 실시예들에 따라 하나 이상의 연산들을 수행하도록 컴퓨터(또는 다른 전자 디바이스들)를 프로그래밍하는데 사용될 수 있는 명령어들이 저장되어 있는 머신 또는 컴퓨터 판독가능 매체를 포함할 수 있는 컴퓨터 프로그램 제품 또는 소프트웨어로서 제공될 수 있다. 대안적으로, 본 발명의 실시예들의 단계들은 이 단계들을 수행하기 위한 고정 기능 로직(fixed-function logic)을 포함하는 특정 하드웨어 컴포넌트들에 의해 수행되거나, 또는 프로그램된 컴퓨터 컴포넌트들과 고정 기능 하드웨어 컴포넌트들의 임의의 조합에 의해 수행될 수 있다.
본 발명의 실시예들을 수행하는 로직을 프로그래밍하는데 사용되는 명령어들은 DRAM, 캐시, 플래시 메모리, 또는 기타 스토리지와 같은 시스템 내의 메모리에 저장될 수 있다. 또한, 이 명령어들은 네트워크를 통해 또는 다른 컴퓨터 판독가능 매체에 의해 분배될 수 있다. 따라서, 머신 판독 가능 매체는 머신(예컨대, 컴퓨터)에 의해 판독 가능한 형태로 정보를 저장하거나 전송하기 위한 임의의 메커니즘, 예로, 플로피 디스켓, 광학 디스크, 콤팩트 디스크, 판독 전용 메모리(CD-ROM), 및 광자기 디스크, 판독 전용 메모리(ROM), 랜덤 액세스 메모리(RAM), EPROM(Erasable Programmable Read-Only Memory), EEPROM(Electrically Erasable Programmable Read-Only Memory), 자기 또는 광학 카드, 플래시 메모리, 또는 전기, 광학, 음향, 또는 다른 형태의 전파 신호들(예컨대, 반송파들, 적외선 신호들, 디지털 신호들, 등)을 통해 인터넷에 걸쳐서 정보를 전송하는데 이용되는 유형의 머신 판독 가능 스토리지를 포함할 수 있는데, 이것들에만 제한되지는 않는다. 따라서, 컴퓨터 판독가능 매체는, 머신(예를 들어, 컴퓨터)에 의해 판독가능한 형태로 전자적 명령어들 또는 정보를 저장하거나 전송하기에 적합한 임의 타입의 유형의 머신 판독가능 매체를 포함한다.
설계는 작성으로부터 시뮬레이션을 거쳐 제조에 이르기까지 다양한 국면들을 거쳐갈 수 있다. 설계를 표현하는 데이터는 다수의 방식으로 설계를 표현할 수 있다. 먼저, 시뮬레이션들에서 유용한 바와 같이, 하드웨어는 하드웨어 기술 언어(hardware description language) 또는 다른 기능 기술 언어(functional description language)를 이용하여 표현될 수 있다. 또한, 로직 및/또는 트랜지스터 게이트들을 갖는 회로 레벨 모델은 설계 프로세스의 일부 국면에서 제조될 수 있다. 더욱이, 대부분의 설계들은, 일부 국면에서, 하드웨어 모델의 다양한 디바이스들의 물리적 배치를 표현하는 데이터 레벨에 도달한다. 종래의 반도체 제조 기법들이 이용되는 경우, 하드웨어 모델을 표현하는 데이터는 집적 회로를 생산하는데 사용되는 마스크들에 대한 상이한 마스크 층들 상의 다양한 피처들의 유무를 지정하는 데이터일 수 있다. 임의의 설계 표현에서, 데이터는 임의의 형태의 머신 판독가능 매체에 저장될 수 있다. 메모리, 또는 디스크와 같은 자기 또는 광학 스토리지는, 정보를 전송하기 위해 변조되거나 또는 다른 방식으로 발생되는 광학 또는 전기적 파동을 통해 전송되는 그러한 정보를 저장하는 머신 판독가능 매체일 수 있다. 코드 또는 설계를 나타내거나 운반하는 전기 반송파가 전송될 때, 전기 신호의 복사, 버퍼링, 또는 재전송이 수행되는 한, 새로운 사본이 만들어진다. 따라서, 통신 제공자 또는 네트워크 제공자는 반송파로 인코딩되는 정보와 같은 아티클(article)을 적어도 일시적으로 유형의 머신 판독가능 매체상에 저장하여, 본 발명의 실시예들의 기술들을 구체화할 수 있다.
최신 프로세서들에서, 각종 코드 및 명령어들을 처리하고 실행하기 위해서 다수의 상이한 실행 유닛이 이용된다. 모든 명령어들이, 일부는 더 신속하게 완료되는 한편 다른 것들은 완료하는데 다수의 클록 주기가 걸릴 수 있음에 따라 동등하게 생성되지는 않는다. 명령어들의 처리율이 더 빠를수록, 프로세서의 전체 성능은 더 좋아진다. 따라서 많은 명령어들을 가능한 한 빨리 실행하는 것이 유리할 것이다. 그러나, 더 큰 복잡도를 가지며 또한 실행 시간과 프로세서 리소스들의 관점에서 더 많은 것을 요구하는 특정 명령어들이 존재한다. 예를 들어, 부동 소수점 명령어들, 로드/스토어 연산들(load/store operations), 데이터 이동들(data moves) 등이 존재한다.
더 많은 컴퓨터 시스템들이 인터넷, 텍스트, 및 멀티미디어 애플리케이션들에서 이용됨에 따라, 추가적 프로세서 지원이 시간이 흐르면서 도입되었다. 일 실시예에서, 명령어 세트는, 데이터 타입들, 명령어들, 레지스터 아키텍처, 어드레싱 모드들, 메모리 아키텍처, 인터럽트 및 예외 처리, 및 외부 입력 및 출력(I/O)을 포함하여, 하나 이상의 컴퓨터 아키텍처들과 연관될 수 있다.
일 실시예에서, 명령어 세트 아키텍처(ISA: instruction set architecture)는, 하나 이상의 명령어 세트들을 구현하는데 이용되는 프로세서 로직 및 회로들을 포함하는 하나 이상의 마이크로-아키텍처들에 의해 구현될 수 있다. 대안적인 실시예는 마이크로코드, 확장된 마이크로코드 또는 마이크로코드 지원, 하이퍼바이저, 바이너리 변환, 하드웨어 리컴필레시녀(recompilation), 기타 등등을 통하여 ISA를 구현할 수 있다. 따라서, 상이한 마이크로-아키텍처들을 갖는 프로세서들은 공통의 명령어 세트의 적어도 일부를 공유할 수 있다. 예를 들어, Intel®펜티엄 4 프로세서들, Intel®코어TM 프로세서들, 및 미국 캘리포니아주 서니베일 소재의 Advanced Micro Devices, Inc. 의 프로세서들은(보다 새로운 버전들에서 부가된 몇몇 확장을 가지고) 거의 동일한 버전의 x86 명령어 세트를 구현하지만, 상이한 내부 설계들을 가진다. 유사하게, ARM Holdings, Ltd., MIPS, 또는 그들의 실시권자들 또는 채택자들과 같은 다른 프로세서 개발 회사들에 의해 설계된 프로세서들은 공통 명령어 세트의 적어도 일부를 공유할 수 있지만, 상이한 프로세서 설계들을 포함할 수 있다. 예를 들어, ISA의 동일한 레지스터 아키텍처는, 전용 물리적 레지스터들, 레지스터 재명명 메커니즘을 이용(예를 들어, RAT(Register Alias Table), ROB(Reorder Buffer) 및 리타이어먼트 레지스터 파일(retirement register file)을 이용)하는 하나 이상의 동적으로 할당된 물리적 레지스터들을 포함하여, 새로운 또는 잘 알려진 기술들을 이용하여 상이한 마이크로-아키텍처들에서 상이한 방식들로 구현될 수 있다. 일 실시예에서, 레지스터들은, 소프트웨어 프로그래머에 의해 어드레싱 가능할 수도 있거나 가능하지 않을 수도 있는 하나 이상의 레지스터, 레지스터 아키텍처들, 레지스터 파일들, 또는 다른 레지스터 세트들을 포함할 수 있다.
일 실시예에서, 명령어는 하나 이상의 명령어 포맷들을 포함할 수 있다. 일 실시예에서, 명령어 포맷은, 다양한 필드들(비트들의 수, 비트들의 로케이션 등)을 표시하여, 다른 무엇보다도, 수행될 연산, 및 그 연산이 수행되어야 하는 피연산자(들)를 명시할 수 있다. 일부 명령어 포맷은 명령어 템플릿들(또는 서브포맷들)의 정의를 통해 추가로 쪼개질 수 있다. 예를 들어, 주어진 명령어 포맷의 명령어 템플릿들은 상이한 서브세트의 명령어 포맷의 필드들을 갖도록 정의되고 및/또는 상이하게 해석되는 주어진 필드를 갖도록 정의될 수 있다. 일 실시예에서, 명령어는 명령어 포맷을 이용하여(그리고, 정의되는 경우에, 해당 명령어 포맷의 명령어 템플릿들 중 주어진 명령어 템플릿으로) 표현되고, 연산 및 이러한 연산이 그에 대해 연산되는 피연산자들을 명시하거나 나타낸다.
과학, 금융, 자동-벡터화된 범용, RMS(recognition, mining, and synthesis), 및 시각적 및 멀티미디어 애플리케이션들(예를 들어, 2D/3D 그래픽, 이미지 처리, 비디오 압축/압축해제, 음성 인식 알고리즘들 및 오디오 조작)은, 많은 수의 데이터 아이템에 대해 동일한 연산이 수행될 것을 요구할 수 있다. 일 실시예에서, SIMD(Single Instruction Multiple Data)는 프로세서로 하여금 다중 데이터 요소에 대한 연산을 수행하게 하는 일종의 명령어를 지칭한다. SIMD 기술은, 레지스터에서의 비트들을, 별개의 값을 각각 나타내는 다수의 고정 크기의 데이터 요소들 또는 가변 크기의 데이터 요소들로 레지스터에서의 비트들을 논리적으로 분할할 수 있는 프로세서들에서 이용될 수 있다. 예를 들어, 일 실시예에서, 64 비트 레지스터 내의 비트들은, 각각이 개별 16 비트 값을 나타내는 4개의 개별 16 비트 데이터 요소를 포함하는 소스 피연산자로서 조직될 수 있다. 이러한 유형의 데이터는 '패킹된(packed)' 데이터 유형 또는 '벡터' 데이터 유형이라 부를 수 있고, 이 데이터 유형의 피연산자들은 패킹된 데이터 피연산자들 또는 벡터 피연산자들이라고 부른다. 일 실시예에서, 패킹된 데이터 아이템 또는 벡터는 단일 레지스터 내에 저장된 패킹된 데이터 요소들의 시퀀스일 수 있고, 패킹된 데이터 피연산자 또는 벡터 피연산자는 SIMD 명령어(또는 '패킹된 명령어' 또는 '벡터 명령어')의 소스 또는 목적지 피연산자일 수 있다. 일 실시예에서, SIMD 명령어는, 동일하거나 상이한 사이즈를 갖고 동일하거나 상이한 개수의 데이터 요소를 가지며 동일하거나 상이한 데이터 요소 순서로 이루어진 목적지 벡터 피연산자(결과 벡터 피연산자로 또한 지칭됨)를 생성하기 위해 2개의 소스 벡터 피연산자에 대해 수행될 단일 벡터 연산을 특정한다.
x86, MMX™, SSE(Streaming SIMD Extensions), SSE2, SSE3, SSE4.1, 및 SSE4.2 명령어들을 포함하는 명령어 세트를 갖는 Intel® Core™ 프로세서들, VFP(Vector Floating Point) 및/또는 NEON 명령어들을 포함하는 명령어 세트를 갖는 ARM Cortex® 계열의 프로세서 등의 ARM 프로세서들, 및 중국 과학원(Chinese Academy of Sciences)의 ICT(Institute of Computing Technology)에 의해 개발된 Loongson 계열의 프로세서 등의 MIPS 프로세서들에 의해 채택되는 것과 같은, SIMD 기술은 애플리케이션 성능의 상당한 향상을 가능하게 해주었다(Core™ 및 MMX™은 미국 캘리포니아주 산타 클라라 소재의 Intel Corporation의 등록된 상표 또는 상표임).
일 실시예에서, 목적지 및 소스 레지스터들/데이터는 대응하는 데이터 또는 연산의 소스 및 목적지를 나타내는 일반 용어들이다. 일부 실시예에서, 이들은 레지스터들, 메모리, 또는 묘사된 것들 이외의 다른 이름들 또는 기능들을 갖는 다른 저장 영역들에 의해 구현될 수 있다. 예를 들어, 일 실시예에서, "DEST1"은 임시 저장 레지스터 또는 기타 저장 영역인 반면, "SRC1" 및 "SRC2"는 제1 및 제2 소스 저장 레지스터 또는 기타 저장 영역일 수 있고, 계속 그런 식으로 될 수 있다. 다른 실시예에서, SRC 및 DEST 저장 영역들 중 2개 이상은 동일한 저장 영역(예컨대, SIMD 레지스터) 내의 상이한 데이터 저장 요소들에 대응할 수 있다. 일 실시예에서, 소스 레지스터들 중 하나는, 예를 들어 제1 및 제2 소스 데이터에 대해 수행된 연산의 결과를, 목적지 레지스터들로서의 역할을 하는 2개의 소스 레지스터 중 하나의 소스 레지스터에 라이트백(writing back)함으로써, 목적지 레지스터로서의 역할도 할 수 있다.
도 1a는 본 발명의 일 실시예에 따라 명령어를 실행하기 위한 실행 유닛들을 포함하는 프로세서와 함께 형성된 예시적인 컴퓨터 시스템의 블록도이다. 시스템(100)은, 본 명세서에 설명된 실시예에서와 같이, 본 발명에 따라 데이터를 처리하기 위한 알고리즘들을 수행하기 위한 로직을 포함하는 실행 유닛들을 이용하는 프로세서(102)와 같은 컴포넌트를 포함한다. 시스템(100)은 캘리포니아주 산타 클라라에 있는 인텔 코포레이션으로부터 입수가능한 PENTIUM® Ⅲ, PENTIUM® 4, Xeon™, Itanium®, XScale™ 및/또는 StrongARM™ 마이크로프로세서들에 기초한 처리 시스템들을 나타내지만, 다른 시스템들(다른 마이크로프로세서들을 갖는 PC들, 엔지니어링 워크스테이션들, 셋톱 박스들 등을 포함함)도 또한 사용될 수 있다. 일 실시예에서, 샘플 시스템(100)은 미국 워싱턴주 레드몬드 소재의 마이크로소프트 코포레이션으로부터 입수 가능한 WINDOWS™ 운영 체제의 버전을 실행할 수 있지만, 다른 운영 체제(예컨대, UNIX 및 Linux), 내장 소프트웨어, 및/또는 그래픽 사용자 인터페이스도 사용될 수 있다. 따라서, 본 발명의 실시예들은 하드웨어 회로와 소프트웨어의 임의의 명시적 조합에 제한되는 것은 아니다.
실시예들이 컴퓨터 시스템에만 제한되는 것은 아니다. 본 발명의 대안적인 실시예들은 핸드헬드 디바이스들과 같은 다른 디바이스들 및 임베디드 애플리케이션들에서 사용될 수 있다. 핸드헬드 디바이스들의 일부 예는 셀룰러 전화들, 인터넷 프로토콜 디바이스들, 디지털 카메라들, PDA들(personal digital assistants), 및 핸드헬드 PC들을 포함한다. 내장 애플리케이션들은 마이크로 제어기, DSP(digital signal processor), SoC(system on a chip), 네트워크 컴퓨터(NetPC)들, 셋톱 박스들, 네트워크 허브들, WAN(wide area network) 스위치들, 또는 적어도 하나의 실시예에 따라 하나 이상의 명령어를 수행할 수 있는 임의의 다른 시스템을 포함할 수 있다.
도 1a는 본 발명의 일 실시예에 따라 적어도 하나의 명령어를 수행하기 위해 알고리즘을 수행하는 하나 이상의 실행 유닛들(108)을 포함하는 프로세서(102)와 함께 형성된 컴퓨터 시스템(100)의 블록도이다. 일 실시예는 단일 프로세서 데스크톱 또는 서버 시스템의 맥락에서 설명될 수 있는데, 대안적인 실시예들은 멀티프로세서 시스템에 포함될 수 있다. 시스템(100)은 '허브' 시스템 아키텍처의 예이다. 컴퓨터 시스템(100)은 데이터 신호들을 처리하는 프로세서(102)를 포함한다. 프로세서(102)는, 예를 들어, CISC(complex instruction set computer) 마이크로프로세서, RISC(reduced instruction set computing) 마이크로프로세서, VLIW(very long instruction word) 마이크로프로세서, 명령어 세트들의 조합을 구현하는 프로세서, 또는 디지털 신호 프로세서와 같은 임의의 다른 프로세서 디바이스일 수 있다. 프로세서(102)는, 프로세서(102)와 시스템(100)에서의 다른 컴포넌트들 사이에 데이터 신호들을 전송할 수 있는 프로세서 버스(110)에 결합된다. 시스템(100)의 요소들은 관련 기술분야의 통상의 기술자에게 잘 알려져 있는 그들의 통상의 기능들을 수행한다.
일 실시예에서, 프로세서(102)는 레벨 1(L1) 내부 캐시 메모리(104)를 포함한다. 아키텍처에 의존하여, 프로세서(102)는 단일 내부 캐시 또는 다중 레벨의 내부 캐시를 가질 수 있다. 대안적으로, 또 다른 실시예에서, 캐시 메모리는 프로세서(102) 외부에 존재할 수 있다. 다른 실시예들은 특정 구현 및 필요성에 의존하여 내부 캐시와 외부 캐시 양쪽 모두의 조합을 또한 포함할 수 있다. 레지스터 파일(106)은, 정수 레지스터들, 부동 소수점 레지스터들, 상태 레지스터들, 및 명령어 포인터 레지스터를 비롯한 다양한 레지스터들에 상이한 타입들의 데이터를 저장할 수 있다.
정수 및 부동 소수점 연산들을 수행하는 로직을 포함하는 실행 유닛(108)도 또한 프로세서(102)에 존재한다. 프로세서(102)는, 특정 매크로명령어들에 대한 마이크로코드를 저장하는 마이크로코드(ucode) ROM을 또한 포함한다. 일 실시예에 있어서, 실행 유닛(108)은 패킹된 명령어 세트(109)를 핸들링하는 로직을 포함한다. 명령어들을 실행하는 연관 회로와 함께, 범용 프로세서(102)의 명령어 세트에 패킹된 명령어 세트(109)를 포함함으로써, 많은 멀티미디어 애플리케이션에 의해 이용되는 연산들은 범용 프로세서(102)에서 패킹된 데이터를 이용하여 수행될 수 있다. 따라서, 많은 멀티미디어 애플리케이션들은 패킹된 데이터에 대한 연산들을 수행하기 위해 프로세서의 데이터 버스의 전체 폭을 이용함으로써 가속될 수 있고 보다 효율적으로 실행될 수 있다. 이는, 한번에 하나의 데이터 요소씩, 하나 이상의 연산들을 수행하기 위해 프로세서의 데이터 버스에 걸쳐 데이터의 더 작은 유닛들을 전송할 필요성을 제거할 수 있다.
실행 유닛(108)의 대안적인 실시예들은 또한 마이크로제어기들, 임베디드 프로세서들, 그래픽 디바이스들, DSP들 및 다른 타입의 로직 회로들에서 이용될 수 있다. 시스템(100)은 메모리(120)를 포함한다. 메모리(120)는 동적 랜덤 액세스 메모리(DRAM) 디바이스, 정적 랜덤 액세스 메모리(SRAM) 디바이스, 플래시 메모리 디바이스, 또는 다른 메모리 디바이스일 수 있다. 메모리(120)는 프로세서(102)에 의해 실행될 수 있는 데이터 신호들에 의해 표현되는 데이터 및/또는 명령어들을 저장할 수 있다.
시스템 로직 칩(116)은 프로세서 버스(110) 및 메모리(120)에 결합된다. 도시된 실시예에서의 시스템 로직 칩(116)은 메모리 제어기 허브(MCH)이다. 프로세서(102)는 프로세서 버스(110)를 통해 MCH(116)와 통신할 수 있다. MCH(116)는 명령어 및 데이터 저장을 위해 그리고 그래픽 커맨드들, 데이터 및 텍스처들의 저장을 위해 메모리(120)에의 고대역폭 메모리 경로(118)를 제공한다. MCH(116)는, 프로세서(102), 메모리(120) 및 시스템(100)에서의 다른 컴포넌트들 사이에 데이터 신호들을 안내하고, 이러한 데이터 신호들을 프로세서 버스(110), 메모리(120) 및 시스템 I/O(122) 사이에 브리징하기 위한 것이다. 몇몇 실시예들에서, 시스템 로직 칩(116)은 그래픽 제어기(112)에 결합하기 위한 그래픽 포트를 제공할 수 있다. MCH(116)는 메모리 인터페이스(118)를 통해 메모리(120)에 결합된다. 그래픽 카드(112)는 가속화 그래픽 포트(AGP: Accelerated Graphics Port) 인터커넥트(114)를 통해 MCH(116)에 결합된다.
시스템(100)은 사유 허브 인터페이스 버스(proprietary hub interface bus)(122)를 이용하여, MCH(116)를 I/O 제어기 허브(ICH)(130)에 결합한다. ICH(130)는 로컬 I/O 버스를 통해 일부 I/O 디바이스들에 대한 직접 접속들을 제공한다. 로컬 I/O 버스는 주변 기기들을 메모리(120), 칩셋 및 프로세서(102)에 접속하기 위한 고속 I/O 버스이다. 일부 예들은 오디오 제어기, 펌웨어 허브(플래시 BIOS)(128), 무선 송수신기(126), 데이터 스토리지(124), 사용자 입력과 키보드 인터페이스들을 포함하는 레거시 I/O 제어기, USB(Universal Serial Bus)와 같은 직렬 확장 포트, 및 네트워크 제어기(134)이다. 데이터 스토리지 디바이스(124)는 하드 디스크 드라이브, 플로피 디스크 드라이브, CD-ROM 디바이스, 플래시 메모리 디바이스, 또는 다른 대용량 스토리지 디바이스를 포함할 수 있다.
시스템의 또 다른 실시예에 있어서, 일 실시예에 따른 명령어는 SoC(system on a chip)와 함께 이용될 수 있다. SoC의 일 실시예는 프로세서 및 메모리로 이루어진다. 하나의 이러한 시스템을 위한 메모리는 플래시 메모리이다. 플래시 메모리는, 프로세서 및 다른 시스템 컴포넌트들과 동일한 다이상에 자리잡을 수 있다. 추가적으로, 메모리 제어기 또는 그래픽 제어기와 같은 다른 로직 블록들이 SoC상에 또한 자리잡을 수 있다.
도 1b는 본 발명의 일 실시예의 원리를 구현하는 데이터 프로세싱 시스템(140)을 도해한다. 본 명세서에 설명된 실시예들은 본 발명의 실시예들의 범위로부터 벗어나지 않고 대안적인 처리 시스템들과 함께 이용될 수 있다는 것이 관련 기술분야의 통상의 기술자는 손쉽게 알 것이다.
컴퓨터 시스템(140)은 일 실시예에 따른 적어도 하나의 명령어를 수행할 수 있는 프로세싱 코어(159)를 포함한다. 일 실시예에 있어서, 프로세싱 코어(159)는, CISC, RISC 또는 VLIW 타입 아키텍처를 포함하지만 이에 제한되지는 않는 임의 타입의 아키텍처의 프로세싱 유닛을 나타낸다. 또한, 프로세싱 코어(159)는 또한 하나 이상의 제조 기술들로 제조하기에 적합할 수 있고, 머신 판독가능 매체상에서 충분히 상세하게 표현됨으로써 이러한 제조를 용이하게 하기에 적합할 수 있다.
프로세싱 코어(159)는 실행 유닛(142), 레지스터 파일(들)(145)의 세트, 및 디코더(144)를 포함한다. 프로세싱 코어(159)는 본 발명의 실시예들의 이해에 필수적이지 않은 부가적인 회로(도시되지 않음)를 또한 포함한다. 실행 유닛(142)은 프로세싱 코어(159)에 의해 수신되는 명령어들을 실행하기 위해 이용된다. 통상적인 프로세서 명령어들을 수행하는 것에 부가하여, 실행 유닛(142)은 패킹된 데이터 포맷들에 대한 연산들을 수행하기 위해 패킹된 명령어 세트(143)로 명령어들을 수행할 수 있다. 패킹된 명령어 세트(143)는 본 발명의 실시예들을 수행하기 위한 명령어들 및 다른 패킹된 명령어들을 포함한다. 실행 유닛(142)은 내부 버스에 의해 레지스터 파일(145)에 결합된다. 레지스터 파일(145)은 데이터를 비롯한 정보를 저장하기 위한 프로세싱 코어(159)상의 저장 영역을 나타낸다. 이전에 언급된 바와 같이, 패킹된 데이터를 저장하기 위해 이용되는 저장 영역은 중대하지는 않다고 이해된다. 실행 유닛(142)은 디코더(144)에 결합된다. 디코더(144)는 프로세싱 코어(159)에 의해 수신되는 명령어들을 제어 신호들 및/또는 마이크로코드 엔트리 포인트들로 디코드하기 위해 이용된다. 이들 제어 신호 및/또는 마이크로코드 엔트리 포인트들에 응답하여, 실행 유닛(142)은 적절한 연산들을 수행한다. 일 실시예에서, 디코더는 명령어 내에 표시된 대응하는 데이터에 대해 어떠한 연산이 수행되어야 하는지를 나타내는 명령어의 opcode를 해석하는데 이용된다.
프로세싱 코어(159)는, 예를 들어, 동기식 동적 랜덤 액세스 메모리(SDRAM) 컨트롤(146), 정적 랜덤 액세스 메모리(SRAM) 컨트롤(147), 버스트 플래시 메모리 인터페이스(148), PCMCIA(personal computer memory card international association)/CF(compact flash) 카드 컨트롤(149), 액정 디스플레이(LCD) 컨트롤(150), 직접 메모리 액세스(DMA: direct memory access) 제어기(151), 및 대안적인 버스 마스터 인터페이스(152)를 포함할 수 있지만 이것들에만 제한되지는 않는 다양한 다른 시스템 디바이스들과 통신하기 위해 버스(141)와 결합된다. 일 실시예에서, 데이터 프로세싱 시스템(140)은 I/O 버스(153)를 통해 다양한 I/O 디바이스들과 통신하기 위해 I/O 브리지(154)를 또한 포함할 수 있다. 이러한 I/O 디바이스들은, 예를 들어, UART(universal asynchronous receiver/transmitter)(155), USB(universal serial bus)(156), 블루투스 무선 UART(157) 및 I/O 확장 인터페이스(158)를 포함할 수 있지만, 이들에만 제한되지는 않는다.
데이터 처리 시스템(140)의 일 실시예는, 텍스트 스트링 비교 연산을 비롯한 SIMD 연산들을 수행할 수 있는 프로세싱 코어(159), 및 모바일, 네트워크 및/또는 무선 통신들을 제공한다. 프로세싱 코어(159)는 월시-하다마드(Walsh-Hadamard) 변환, FFT(fast Fourier transform), DCT(discrete cosine transform), 및 이들 각자의 역변환들과 같은 이산 변환들; 색 공간 변환, 비디오 인코드 모션 추정 또는 비디오 디코드 모션 보상과 같은 압축/압축 해제 기술; 및 PCM(pulse coded modulation)과 같은 변조/복조(MODEM) 기능을 포함하는 다양한 오디오, 비디오, 영상 및 통신 알고리즘들로 프로그래밍될 수 있다.
도 1c는 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하기 위해 명령어들을 실행할 수 있는 데이터 처리 시스템의 또 다른 대안적인 실시예를 도해한다. 하나의 대안의 실시예에 따라, 데이터 처리 시스템(160)은 메인 프로세서(166), SIMD 코프로세서(161), 캐시 메모리(167), 및 입력/출력 시스템(168)을 포함할 수 있다. 입력/출력 시스템(168)은 옵션으로 무선 인터페이스(169)와 결합될 수 있다. SIMD 코프로세서(161)는 일 실시예에 따라 명령어들을 포함하는 연산들을 수행할 수 있다. 프로세싱 코어(170)는 하나 이상의 제조 기술들에서 제조하기에 적합할 수 있고, 머신 판독가능 매체상에 충분히 상세히 표현됨으로써 프로세싱 코어(170)를 포함하는 데이터 처리 시스템(160)의 전부 또는 일부의 제조를 용이하게 하기에 적합할 수 있다.
일 실시예에 있어서, SIMD 코프로세서(161)는 실행 유닛(162) 및 레지스터 파일(들)(164)의 세트를 포함한다. 메인 프로세서(166)의 일 실시예는, 실행 유닛(162)에 의한 실행을 위해 일 실시예에 따른 명령어들을 포함하는 명령어 세트(163)의 명령어들을 인식하는 디코더(165)를 포함한다. 대안적인 실시예들에 있어서, SIMD 코프로세서(161)는 명령어 세트(163)의 명령어들을 디코드하는 디코더(165B)의 적어도 일부를 또한 포함한다. 프로세싱 코어(170)는 본 발명의 실시예들의 이해에 필수적이지 않은 부가적인 회로(도시되지 않음)를 또한 포함한다.
동작 시에, 메인 프로세서(166)는, 캐시 메모리(167) 및 입력/출력 시스템(168)과의 상호작용들을 포함하는 일반적인 타입의 데이터 처리 연산들을 제어하는 데이터 처리 명령어들의 스트림을 실행한다. 데이터 처리 명령어들의 스트림 내에 SIMD 코프로세서 명령어들이 임베딩된다. 메인 프로세서(166)의 디코더(165)는, 이러한 SIMD 코프로세서 명령어들을, 소속된 SIMD 코프로세서(161)에 의해 실행되어야 하는 타입의 것으로서 인식한다. 따라서, 메인 프로세서(166)는 코프로세서 버스(171)상에 이러한 SIMD 코프로세서 명령어들(또는 SIMD 코프로세서 명령어들을 나타내는 제어 신호들)을 발행하고, 이들 명령어들은 임의의 소속된 SIMD 코프로세서들에 의해 코프로세서 버스로부터 수신된다. 이 경우, SIMD 코프로세서(161)는 그것을 위해 의도되는 임의의 수신된 SIMD 코프로세서 명령어들을 받아들이고 실행할 것이다.
SIMD 코프로세서 명령어들에 의한 처리를 위해 무선 인터페이스(169)를 통하여 데이터가 수신될 수 있다. 일례로, 음성 통신이 디지털 신호의 형태로 수신될 수 있고, 이것은 음성 통신을 나타내는 디지털 오디오 샘플들을 재생하도록 SIMD 코프로세서 명령어들에 의해 처리될 수 있다. 다른 예로, 압축된 오디오 및/또는 비디오가 디지털 비트 스트림의 형태로 수신될 수 있고, 이것은 디지털 오디오 샘플들 및/또는 모션 비디오 프레임들을 재생하도록 SIMD 코프로세서 명령어들에 의해 처리될 수 있다. 프로세싱 코어(170)의 일 실시예에 있어서, 메인 프로세서(166) 및 SIMD 코프로세서(161)는, 실행 유닛(162), 레지스터 파일(들)(164)의 세트, 및 일 실시예에 따른 명령어들을 포함하는 명령어 세트(163)의 명령어들을 인식하는 디코더(165)를 포함하는 단일 프로세싱 코어(170)로 통합된다.
도 2는 본 발명의 일 실시예에 따라 명령어들을 수행하기 위한 로직 회로들을 포함하는 프로세서(200)에 대한 마이크로아키텍처의 블록도이다. 일부 실시예에서, 일 실시예에 따른 명령어는, 단정도(single precision) 및 배정도(double precision) 정수 및 부동 소수점 데이터 유형들과 같은 데이터 유형들뿐만 아니라, 바이트, 워드, 더블워드, 쿼드워드 등의 사이즈들을 갖는 데이터 요소들에 대해 연산하도록 구현될 수 있다. 일 실시예에서, 순차적(in-order) 프론트 엔드(201)는, 실행될 명령어들을 페치하여 이들을 프로세서 파이프라인에서 나중에 이용되도록 준비시키는 프로세서(200)의 일부이다. 프론트 엔드(201)는 수개의 유닛을 포함할 수 있다. 일 실시예에서, 명령어 프리페처(instruction prefetcher)(226)는 메모리로부터 명령어들을 페치하고 이들을 명령어 디코더(228)에 피딩하고, 다음으로 명령어 디코더는 명령어들을 디코드하거나 해석한다. 예를 들어, 일 실시예에서, 디코더는 수신된 명령어를, 기계가 실행할 수 있는 "마이크로-명령어들" 또는 "마이크로-연산들"(micro op 또는 uops라고도 함)이라 불리는 하나 이상의 연산으로 디코드한다. 다른 실시예들에서, 디코더는, 일 실시예에 따른 연산들을 수행하기 위해 마이크로 아키텍처에 의해 이용되는 opcode 및 대응하는 데이터 및 제어 필드들로 명령어를 파싱한다. 일 실시예에서, 트레이스 캐시(230)는 디코드된 uops를 취하여, 이들을 실행을 위해 uop 큐(234)에서의 프로그램 정렬된 시퀀스들 또는 트레이스들로 어셈블링한다. 트레이스 캐시(230)가 복합 명령어를 만날 때, 마이크로코드 ROM(232)이 연산을 완료하는데 필요한 uops를 제공한다.
일부 명령어들은 단일 micro-op로 변환되는 반면, 다른 것들은 전체 연산(full operation)을 완료하는데 수개의 micro-op를 필요로 한다. 일 실시예에서, 명령어를 완료하는데 4개보다 많은 micro-op가 필요한 경우, 디코더(228)는 이 명령어를 완료하기 위해 마이크로코드 ROM(232)에 액세스한다. 일 실시예에 있어서, 명령어는 명령어 디코더(228)에서 처리하기 위한 작은 개수의 micro-op들로 디코드될 수 있다. 또 다른 실시예에서, 연산을 달성하는데 다수의 micro-op가 필요하다면, 명령어는 마이크로코드 ROM(232) 내에 저장될 수 있다. 트레이스 캐시(230)는 마이크로코드 ROM(232)으로부터 일 실시예에 따른 하나 이상의 명령어를 완료하기 위해 마이크로코드 시퀀스들을 판독하기 위한 정확한 마이크로-명령어 포인터를 결정하는 엔트리 포인트 PLA(programmable logic array)를 말한다. 마이크로코드 ROM(232)이 명령어에 대한 micro-op들의 시퀀싱을 완료한 이후에, 머신의 프론트 엔드(201)는 트레이스 캐시(230)로부터 micro-op들을 페치하는 것을 재개한다.
비순차적(out-of-order) 실행 엔진(203)은 명령어들이 실행을 위해 준비되는 곳이다. 비순차적 실행 로직은, 명령어들이 파이프라인을 따라 진행하고 실행을 위해 스케줄링됨에 따라, 성능을 최적화하도록 명령어들의 흐름을 평활화하고 재정렬하기 위한 다수의 버퍼를 가진다. 할당기 로직은 각각의 uop가 실행하기 위하여 필요로 하는 머신 버퍼들 및 리소스들을 할당한다. 레지스터 재명명 로직은 로직 레지스터들을 레지스터 파일 내의 엔트리들상으로 재명명한다. 할당기는 또한 명령어 스케줄러들: 메모리 스케줄러, 고속 스케줄러(202), 저속/일반적 부동 소수점 스케줄러(204), 및 단순 부동 소수점 스케줄러(206) 앞에서, 메모리 동작들을 위한 하나와 비 메모리 동작들을 위한 하나인 두 개의 uop 큐 중 하나에서, 각각의 uop에 대한 엔트리를 할당한다. uop 스케줄러들(202, 204, 206)은, uops이 이들의 연산을 완료하는데 필요로 하는 실행 리소스들의 이용가능성 및 이들의 종속 입력 레지스터 피연산자 소스들(dependent input register operand sources)의 준비성에 기초하여, uop가 실행될 준비가 된 때를 결정한다. 일 실시예의 고속 스케줄러(202)는 메인 클록 사이클의 각각의 절반마다 스케줄링할 수 있는 한편, 다른 스케줄러들은 단지 메인 프로세서 클록 사이클마다 한번씩 스케줄링할 수 있다. 스케줄러들은 디스패치 포트들에 대하여 중재하여 실행을 위한 uops을 스케줄링한다.
레지스터 파일들(208, 210)은 스케줄러들(202, 204, 206)과 실행 블록(211)에서의 실행 유닛들(212, 214, 216, 218, 220, 222, 224) 사이에 자리잡고 있다. 정수 연산 및 부동 소수점 연산을 위해 제각기 별개의 레지스터 파일(208, 210)이 있다. 일 실시예의 각각의 레지스터 파일(208, 210)은 레지스터 파일에 아직 기입되지 않은 방금 완료된 결과들을 새로운 종속 uops에 포워딩하거나 바이패스할 수 있는 바이패스 네트워크를 또한 포함한다. 정수 레지스터 파일(208) 및 부동 소수점 레지스터 파일(210)은 또한 다른 것과 데이터를 통신할 수 있다. 일 실시예에 있어서, 정수 레지스터 파일(208)은 2개의 별개의 레지스터 파일로 분리되는데, 즉 데이터의 하위 32 비트에 대한 하나의 레지스터 파일 및 데이터의 상위 32 비트에 대한 제2 레지스터 파일로 분리된다. 일 실시예의 부동 소수점 레지스터 파일(210)은 128 비트 폭의 엔트리들을 갖는데, 그 이유는 부동 소수점 명령어들이 통상적으로 폭이 64 내지 128 비트인 피연산자들을 갖기 때문이다.
실행 블록(211)은 명령어들이 실제로 실행되는 실행 유닛들(212, 214, 216, 218, 220, 222, 224)을 포함한다. 이 섹션은, 마이크로명령어들이 실행하는데 필요로 하는 정수 및 부동 소수점 데이터 피연산자 값들을 저장하는 레지스터 파일들(208, 210)을 포함한다. 일 실시예의 프로세서(200)는 수많은 실행 유닛으로 구성된다: 어드레스 생성 유닛(AGU)(212), AGU(214), 고속 ALU(216), 고속 ALU(218), 저속 ALU(220), 부동 소수점 ALU(222), 부동 소수점 이동 유닛(224). 일 실시예에 있어서, 부동 소수점 실행 블록들(222, 224)은 부동 소수점, MMX, SIMD, 및 SSE, 또는 다른 연산들을 실행한다. 일 실시예의 부동 소수점 ALU(222)는, 제산, 제곱근, 및 나머지 micro-op들을 실행하는 64 비트x 64 비트 부동 소수점 제산기(divider)를 포함한다. 본 발명의 실시예들에 있어서, 부동 소수점 값을 수반하는 명령어들은 부동 소수점 하드웨어에 의해 핸들링될 수 있다. 일 실시예에서, ALU 연산들은 고속 ALU 실행 유닛들(216, 218)로 간다. 일 실시예의 고속 ALU들(216, 218)은 클록 사이클의 절반의 유효 대기 시간으로 고속 연산들을 실행할 수 있다. 일 실시예에 있어서, 가장 복잡한 정수 연산들은 저속 ALU(220)에게 가는데, 그 이유는 저속 ALU(220)가, 승산기(multiplier), 시프트들, 플래그 로직 및 분기 처리와 같이, 긴 대기 시간 타입의 연산들을 위한 정수 실행 하드웨어를 포함하기 때문이다. 메모리 로드/저장 연산들이 AGU들(212, 214)에 의해 실행된다. 일 실시예에 있어서, 정수 ALU들(216, 218, 220)은 64 비트 데이터 피연산자들에 대해 정수 연산들을 수행하는 맥락에서서 설명된다. 대안적인 실시예들에서, ALU들(216, 218, 220)은, 16, 32, 128, 256 등을 비롯한 각종 데이터 비트를 지원하도록 구현될 수 있다. 유사하게, 부동 소수점 유닛들(222, 224)은 다양한 폭들의 비트들을 갖는 피연산자들의 범위를 지원하도록 구현될 수 있다. 일 실시예에 있어서, 부동 소수점 유닛들(222, 224)은, SIMD 및 멀티미디어 명령어들과 연계하여 128 비트 폭의 패킹된 데이터 피연산자들에 대해 연산할 수 있다.
일 실시예에서, uops 스케줄러들(202, 204, 206)은, 부모 로드(parent load)가 실행을 완료하기 전에 종속 연산들을 디스패치한다. Uops가 추측적으로 프로세서(200)에서 스케줄링되고 실행되므로, 프로세서(200)는 메모리 부적중들(memory misses)을 핸들링하는 로직을 또한 포함한다. 데이터 로드가 데이터 캐시에서 부적중하는 경우, 일시적으로 부정확한 데이터를 가지고 스케줄러를 떠난, 파이프라인에서의 진행중인(in flight) 종속 연산들이 존재할 수 있다. 재생 메커니즘은 부정확한 데이터를 이용하는 명령어들을 추적하고 재실행한다. 종속 연산들만이 리플레이될 필요가 있고 비종속 연산들은 완료하도록 허가된다. 프로세서의 일 실시예의 스케줄러들 및 리플레이 메커니즘은 또한 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하는 명령어들을 포착하기 위해 설계된다.
"레지스터들"이라는 용어는, 피연산자들을 식별하기 위한 명령어들의 일부로서 이용되는 온-보드 프로세서 저장 로케이션들을 지칭할 수 있다. 다시 말하면, 레지스터들은(프로그래머의 관점에서) 프로세서의 외부로부터 이용 가능한 것들일 수 있다. 그러나, 실시예의 레지스터들은 그 의미에 있어서 특정 유형의 회로에 제한되어서는 안 된다. 오히려, 실시예의 레지스터는 데이터를 저장 및 제공할 수 있고, 본 명세서에 설명된 기능들을 수행할 수 있다. 본 명세서에 설명되는 레지스터들은 전용 물리 레지스터들, 레지스터 재명명을 이용하는 동적 할당 물리적 레지스터들, 전용 및 동적 할당 물리적 레지스터들의 조합 등과 같은 임의 수의 상이한 기술을 이용하여 프로세서 내의 회로에 의해 구현될 수 있다. 일 실시예에서, 정수 레지스터들은 32 비트 정수 데이터를 저장한다. 일 실시예의 레지스터 파일은 패킹된 데이터에 대한 8개의 멀티미디어 SIMD 레지스터를 또한 포함한다. 이하의 논의에 있어서, 레지스터들은, 캘리포니아주 산타클라라에 있는 인텔 코포레이션으로부터의 MMX 기술로 가능하게 되는 마이크로프로세서들에서의 64 비트 폭의 MMX™ 레지스터들(일부 경우에 'mm' 레지스터들로 또한 지칭됨)과 같이, 패킹된 데이터를 보유하도록 설계된 데이터 레지스터들인 것으로 이해된다. 정수 형태 및 부동 소수점 형태 양쪽 모두에서 이용 가능한 이러한 MMX 레지스터들은 SIMD 및 SSE 명령어들을 동반하는 패킹된 데이터 요소들로 동작할 수 있다. 유사하게, SSE2, SSE3, SSE4 또는 그 이상의(일반적으로, "SSEx"로 지칭됨) 기술에 관한 128 비트 폭의 XMM 레지스터들도 또한 이러한 패킹된 데이터 피연산자들을 보유하는데 이용될 수 있다. 일 실시예에서, 패킹된 데이터 및 정수 데이터를 저장하는데 있어서, 레지스터들은 2개의 데이터 유형을 구별할 필요가 없다. 일 실시예에서, 정수 및 부동 소수점은 동일한 레지스터 파일 또는 상이한 레지스터 파일들에 포함된다. 더욱이, 일 실시예에서, 부동 소수점 및 정수 데이터는 상이한 레지스터들 또는 동일한 레지스터들에 저장될 수 있다.
다음의 도면들의 예들에서, 다수의 데이터 피연산자가 설명된다. 도 3a는 본 발명의 일 실시예에 따른 멀티미디어 레지스터들 내의 다양한 패킹된 데이터 유형 표현을 나타낸 것이다. 도 3a는 128 비트 폭의 피연산자들의 패킹된 바이트(310), 패킹된 워드(320), 및 패킹된 더블워드(dword)(330)에 대한 데이터 유형을 나타낸 것이다. 이 예의 패킹된 바이트 포맷(310)은 128 비트 길이이고, 16개의 패킹된 바이트 데이터 요소를 포함한다. 바이트는 여기서 데이터의 8 비트로서 정의된다. 각각의 바이트 데이터 요소에 대한 정보는 바이트 0에 대하여 비트 7 내지 비트 0에 저장되고, 바이트 1에 대하여 비트 15 내지 비트 8에 저장되고, 바이트 2에 대하여 비트 23 내지 비트 16에 저장되고, 최종적으로 바이트 15에 대하여 비트 120 내지 비트 127에 저장된다. 따라서, 모든 이용가능한 비트들은 레지스터에서 이용된다. 이러한 저장 배열은 프로세서의 저장 효율을 증가시킨다. 마찬가지로, 16개의 데이터 요소가 액세스됨에 따라, 16개의 데이터 요소에 대해 하나의 연산이 병렬로 수행될 수 있다.
일반적으로, 데이터 요소는 동일한 길이의 다른 데이터 요소들과 함께 단일 레지스터 또는 메모리 로케이션에 저장되는 개별 데이터 조각이다. SSEx 기술에 관한 패킹된 데이터 시퀀스들에서, XMM 레지스터에 저장되는 데이터 요소들의 개수는 128 비트를 개별 데이터 요소의 비트 길이로 나눈 것이다. 유사하게, MMX 및 SSE 기술에 관한 패킹된 데이터 시퀀스들에서, MMX 레지스터에 저장되는 데이터 요소들의 개수는 64 비트를 개별 데이터 요소의 비트 길이로 나눈 것이다. 도 3a에 예시되어 있는 데이터 유형들이 128 비트 길이이기는 하지만, 본 발명의 실시예들은 또한 64 비트 폭, 256 비트 폭, 512 비트 폭, 또는 다른 사이즈의 피연산자들에 대해서도 동작할 수 있다. 이 예의 패킹된 워드 포맷(320)은 128 비트 길이이고, 8개의 패킹된 워드 데이터 요소를 포함한다. 각각의 패킹된 워드는 16 비트의 정보를 포함한다. 도 3a의 패킹된 더블워드 포맷(packed doubleword format)(330)은 128 비트 길이이고, 4개의 패킹된 더블워드 데이터 요소를 포함한다. 각각의 패킹된 더블워드 데이터 요소는 32 비트의 정보를 포함한다. 패킹된 쿼드워드는 128 비트 길이이고, 2개의 패킹된 쿼드워드 데이터 요소를 포함한다.
도 3b는 대안의 레지스터내(in-register) 데이터 저장 포맷들을 나타낸 것이다. 각각의 패킹된 데이터는 하나보다 많은 독립적인 데이터 요소를 포함할 수 있다. 3개의 패킹된 데이터 포맷이 도시되어 있다; 패킹된 하프(341), 패킹된 싱글(342), 및 패킹된 더블(343). 패킹된 하프(341), 패킹된 싱글(342), 및 패킹된 더블(343)의 일 실시예는 고정 소수점 데이터 요소들을 포함한다. 대안적인 실시예에 있어서, 패킹된 하프(341), 패킹된 싱글(342) 및 패킹된 더블(343) 중 하나 이상은 부동 소수점 데이터 요소들을 포함할 수 있다. 패킹된 하프(341)의 하나의 대안적인 실시예는 8개의 16 비트 데이터 요소를 포함하는 128 비트 길이이다. 패킹된 싱글(342)의 일 실시예는 128 비트 길이이고, 4개의 32 비트 데이터 요소를 포함한다. 패킹된 더블(343)의 일 실시예는 128 비트 길이이고, 2개의 64 비트 데이터 요소를 포함한다. 이러한 패킹된 데이터 포맷들은 다른 레지스터 길이들로, 예를 들어 96 비트, 160 비트, 192 비트, 224 비트, 256 비트, 512 비트 또는 그 이상으로 추가로 확장될 수 있다는 것이 인식될 것이다.
도 3c는 본 발명의 일 실시예에 따른 멀티미디어 레지스터들 내의 다양한 부호 및 무부호 패킹된 데이터 유형 표현들을 나타낸다. 무부호 패킹된 바이트 표현(344)은 SIMD 레지스터 내의 무부호 패킹된 바이트의 저장을 도시한다. 각각의 바이트 데이터 요소에 대한 정보는 바이트 0에 대하여 비트 7 내지 비트 0에 저장되고, 바이트 1에 대하여 비트 15 내지 비트 8에 저장되고, 바이트 2에 대하여 비트 23 내지 비트 16에 저장되고, 등등과 같이 되고, 최종적으로 바이트 15에 대하여 비트 120 내지 비트 127에 저장된다. 따라서, 모든 이용가능한 비트가 레지스터에서 이용된다. 이러한 저장 배열은 프로세서의 저장 효율을 증가시킬 수 있다. 마찬가지로, 16개의 데이터 요소가 액세스됨에 따라, 16개의 데이터 요소에 대해 하나의 연산이 병렬 방식으로 수행될 수 있다. 부호 패킹된 바이트 표현(345)은 부호 패킹된 바이트의 저장을 예시한다. 모든 바이트 데이터 요소마다의 8번째 비트는 부호 표시자라는 점에 유의한다. 무부호 패킹된 워드 표현(346)은 SIMD 레지스터에서 워드 7 내지 워드 0이 어떻게 저장되는지를 나타낸다. 부호 패킹된 워드 표현(347)은 무부호 패킹된 워드의 레지스터내 표현(346)과 유사하다. 각각의 워드 데이터 요소의 16번째 비트는 부호 표시자라는 점에 유의한다. 무부호 패킹된 더블워드 표현(348)은 더블워드 데이터 요소들이 어떻게 저장되는지를 나타낸다. 부호 패킹된 더블워드 표현(349)은 무부호 패킹된 더블워드의 레지스터내 표현(348)과 유사하다. 필요한 부호 비트는 각각의 더블워드 데이터 요소의 32번째 비트라는 점에 유의한다.
도 3d는, 캘리포니아, 산타클라라에 소재한 인텔사의 www(world-wide-web)상의 intel.com/products/processor/manuals/로부터 입수가능한 "Intel® 64 and IA-32 Intel Architecture Software Developer's Manual Combined Volumes 2A and 2B: Instruction Set Reference A-Z"에 설명되는 opcode 포맷의 타입에 대응하는 레지스터/메모리 피연산자 어드레싱 모드들 및 32 비트 또는 그 이상을 갖는 연산 인코딩(opcode) 포맷(360)의 일 실시예의 묘사이다. 일 실시예에서, 명령어는 필드들(361 및 362) 중 하나 이상에 의해 인코딩될 수 있다. 2개까지의 소스 피연산자 식별자들(364 및 365)을 포함하여, 명령어당 2개까지의 피연산자 로케이션이 식별될 수 있다. 일 실시예에 있어서, 목적지 피연산자 식별자(366)는 소스 피연산자 식별자(364)와 동일한 반면, 다른 실시예들에서는 이들은 상이하다. 대안적인 실시예에 있어서, 목적지 피연산자 식별자(366)는 소스 피연산자 식별자(365)와 동일한 반면, 다른 실시예들에서는 그들은 상이하다. 일 실시예에서, 소스 피연산자 식별자들(364 및 365)에 의해 식별되는 소스 피연산자들 중 하나는 명령어의 결과들에 의해 겹쳐쓰기되는 반면, 다른 실시예들에서는 식별자(364)는 소스 레지스터 요소에 대응하고 식별자(365)는 목적지 레지스터 요소에 대응한다. 일 실시예에 있어서, 피연산자 식별자들(364 및 365)은 32 비트 또는 64 비트 소스 및 목적지 피연산자들을 식별하는데 이용될 수 있다.
도 3e는 40 또는 그 이상의 비트를 갖는 또 다른 대안의 연산 인코딩(opcode) 포맷(370)의 묘사이다. opcode 포맷(370)은 opcode 포맷(360)과 대응하고 옵션인 프리픽스 바이트(378)를 포함한다. 일 실시예에 따른 명령어가 필드들(378, 371, 및 372) 중 하나 이상에 의해 인코딩될 수 있다. 명령어 당 2개까지의 피연산자 로케이션이 소스 피연산자 식별자들(374 및 375)에 의해 및 프리픽스 바이트(378)에 의해 식별될 수 있다. 일 실시예에 있어서, 프리픽스 바이트(378)는 32 비트 또는 64 비트 소스 및 목적지 피연산자들을 식별하는데 이용될 수 있다. 일 실시예에 있어서, 목적지 피연산자 식별자(376)는 소스 피연산자 식별자(374)와 동일한 반면, 다른 실시예들에서는 그들은 상이하다. 대안적인 실시예에 있어서, 목적지 피연산자 식별자(376)는 소스 피연산자 식별자(375)와 동일한 반면, 다른 실시예들에서는 그들은 상이하다. 일 실시예에서, 명령어는 피연산자 식별자들(374 및 375)에 의해 식별된 피연산자들 중 하나 이상에 대해 연산하고, 피연산자 식별자들(374 및 375)에 의해 식별된 하나 이상의 피연산자들은 이 명령어의 결과들에 의해 겹쳐쓰기되는 반면, 다른 실시예들에서는 식별자들(374 및 375)에 의해 식별된 피연산자들은 또 다른 레지스터에서의 도 다른 데이터 요소에 기입된다. opcode 포맷들(360 및 370)은 MOD 필드들(363 및 373)에 의해 및 옵션인 스케일-인덱스-베이스 및 변위 바이트들에 의해 부분적으로 지정된 레지스터 투 레지스터(register to register), 메모리 투 레지스터, 레지스터 바이 메모리, 레지스터 바이 레지스터, 레지스터 바이 즉치(register by immediate), 레지스터 투 메모리 어드레싱을 허용한다.
다음에, 도 3f를 참조하면, 일부 대안의 실시예들에서, 64 비트(또는 128 비트, 또는 256 비트, 또는 512 비트 또는 그 이상의) SIMD(single instruction multiple data) 산술 연산들이 CDP(coprocessor data processing) 명령어를 통해 수행될 수 있다. 연산 인코딩(opcode) 포맷(380)은 CDP opcode 필드들(382 및 389)을 갖는 하나의 이러한 CDP 명령어를 묘사한다. 대안적인 실시예들에 있어서, 이러한 타입의 CDP 명령어 연산들은 필드들(383, 384, 387 및 388) 중 하나 이상에 의해 인코딩될 수 있다. 2개까지의 소스 피연산자 식별자들(385 및 390) 및 하나의 목적지 피연산자 식별자(386)를 포함하여, 명령어 당 3개까지의 피연산자 로케이션들이 식별될 수 있다. 코프로세서의 일 실시예는 8, 16, 32 및 64 비트 값들에 대해 연산할 수 있다. 일 실시예에 있어서, 명령어가 정수 데이터 요소들에 대해 수행된다. 일부 실시예에서, 명령어는 조건 필드(381)를 사용하여, 조건부로 실행될 수 있다. 일부 실시예에서, 소스 데이터 사이즈들은 필드(383)에 의해 인코딩될 수 있다. 몇몇 실시예들에서, SIMD 필드들에 대해 제로(Zero)(Z), 네거티브(negative)(N), 캐리(carry)(C) 및 오버플로우(overflow)(V) 검출이 행해질 수 있다. 일부 명령어들에서, 포화(saturation)의 타입은 필드(384)에 의해 인코딩될 수 있다.
도 3G로 다시 돌아가면, 캘리포니아, 산타클라라에 소재한 인텔사의 www(world-wide-web)상의 intel.com/products/processor/manuals/로부터 입수가능한 ""Intel® Advanced Vector Extensions Programming Reference"에 설명되는 opcode 포맷의 타입에 대응하여, 또 다른 실시예에 따라 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하기 위한, 또다른 대안 연산 인코딩(opcode) 포맷(397)의 묘사가 있다.
원래의 x86 명령어 세트는 부가적 바이트 - 제1"opcode" 바이트로부터 그의 존재를 알고 있었음 - 에 포함되어 있는 다양한 포맷의 어드레스 음절(address syllable) 및 즉치 피연산자(immediate operand)를 갖는 1 바이트 opcode를 제공하였다. 부가적으로,(명령어 이전에 배치되어야만 하기 때문에 프리픽스들로 지칭되는) opcode에 대한 변경자들(modifiers)로서 예약되었던 특정 바이트 값들이 존재하였다. (이러한 특정 프리픽스 값들을 포함하는) 256 opcode 바이트들의 오리지널 팔레트(palette)가 소진되었을 때, 256 opcode들의 새로운 세트로의 이스케이프(escape)로서 단일 바이트가 전용되었다. 벡터 명령어들(예컨대, SIMD)가 부가됨에 따라, 보다 많은 opcode들에 대한 필요성이 발생되었고, "2 바이트" opcode 맵이 또한 불충분하였으며, 프리픽스의 사용을 통해 확장될 때에도 그렇다. 이를 위해, 새로운 명령어들이 부가적인 맵들에 추가되었으며, 이들은 2 바이트에 선택적 프리픽스를 더한 것을 식별자로서 이용한다.
그에 부가하여, 64 비트 모드에서 부가적 레지스터들을 용이하게 하기 위해서, 프리픽스들과 opcode(및 opcode를 판정하기 위해 필요한 임의의 이스케이프 바이트들) 사이 내에 부가적 프리픽스("REX"라고 함)가 사용될 수 있다. 일 실시예에서, REX는 64 비트 모드에서의 부가적인 레지스터들의 이용을 표시하기 위해 4 "페이로드" 비트를 가질 수 있다. 다른 실시예들에서, 이것은 4보다 더 적거나 더 많은 비트를 가질 수 있다. (일반적으로 포맷(360) 및/또는 포맷(370)에 대응하는) 적어도 하나의 명령어 세트의 일반 포맷은 일반적으로 다음과 같이 예시된다:
[prefixes] [rex] escape [escape2] opcode modrm(etc.)
opcode 포맷(397)은 opcode 포맷(370)과 대응하고, 다른 가장 흔하게 이용되는 레거시 명령어 프리픽스 바이트들 및 이스케이프 코드들을 대체하기 위해 선택적 VEX 프리픽스 바이트들(391)(일 실시예에서는 C4 hex로 시작함)을 포함한다. 예를 들어, 도 3h는 명령어를 인코딩하기 위해 2개의 필드를 이용하는 실시예를 예시하는데, 이는 제2 이스케이프 코드가 원래의 명령어에 존재할 때, 또는 REX 필드에서 추가 비트들(예를 들어, XB 및 W 필드들)이 이용될 필요가 있을 때에 이용될 수 있다. 도 3h에 예시되어 있는 실시예에서, 레거시 이스케이프는 새로운 이스케이프 값으로 표현되고, 레거시 프리픽스들은 "페이로드" 바이트들의 일부로서 완전히 압축되며, 레거시 프리픽스들이 리클레임(reclaim)되어 장래의 확장에 대해 이용가능하고, 제2 이스케이프 코드가 장래의 맵 또는 특징 공간이 이용가능한 "맵(map)" 필드에 압축되어 있으며, 새로운 특징들이 부가된다(예컨대, 증가된 벡터 길이 및 부가적 소스 레지스터 지정자).
일 실시예에 따른 명령어는 필드들(391 및 392) 중 하나 이상에 의해 인코딩될 수 있다. 소스 피연산자 식별자들(374 및 375)과 결합하여 그리고 선택적인 스케일-인덱스-베이스(SIB) 식별자(393), 선택적인 변위 식별자(394) 및 선택적인 즉치 바이트(395)와 결합하여 필드(391)에 의해 명령어당 최대 4개까지의 피연산자 로케이션이 식별될 수 있다. 일 실시예에 있어서, VEX 프리픽스 바이트들(391)은, 32 비트 또는 64 비트 소스 및 목적지 피연산자들 및/또는 128 비트 또는 256 비트 SIMD 레지스터 또는 메모리 피연산자들을 식별하는데 이용될 수 있다. 일 실시예에 있어서, opcode 포맷(397)에 의해 제공된 기능성은 opcode 포맷(370)과 중복될 수 있는 반면, 다른 실시예들에서는 그들은 상이하다. opcode 포맷들(370 및 397)은, MOD 필드(373)에 의해 그리고 선택적인(SIB) 식별자(393), 선택적인 변위 식별자(394) 및 선택적인 즉치 바이트(395)에 의해 부분적으로 특정되는 레지스터 투 레지스터, 메모리 투 레지스터, 레지스터 바이 메모리, 레지스터 바이 레지스터, 레지스터 바이 즉치, 레지스터 투 메모리 어드레싱을 허용한다.
다음으로 도 3j를 참조하면, 또 다른 실시예에 따라 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브를 확립하기 위한 또 다른 대안 연산 인코딩(opcode) 포맷(398)의 묘사가 있다. opcode 포맷(398)은 opcode 포맷들(370 및 397)과 대응하고, 다른 가장 흔힉하게 이용되는 레거시 명령어 프리픽스 바이트들 및 이스케이프 코드들을 대체하고 부가적인 기능성을 제공하기 위해 선택적인 EVEX 프리픽스 바이트들(396)(일 실시예에서는 62 hex로 시작함)을 포함한다. 일 실시예에 따른 명령어는 필드들(396 및 392) 중 하나 이상에 의해 인코딩될 수 있다. 명령어당 4개까지의 피연산자 로케이션 및 마스크가 소스 피연산자 식별자들(374 및 375)과 조합되는 및 선택적 SIB(scale-index-base) 식별자(393), 선택적 변위 식별자(394) 및 선택적 즉치 바이트(395)와 조합되는 필드(396)에 의해 식별될 수 있다. 일 실시예에 있어서, EVEX 프리픽스 바이트들(396)은, 32 비트 또는 64 비트 소스 및 목적지 피연산자들 및/또는 128 비트, 256 비트 또는 512 비트 SIMD 레지스터 또는 메모리 피연산자들을 식별하는데 이용될 수 있다. 일 실시예에 있어서, opcode 포맷(398)에 의해 제공된 기능성은 opcode 포맷들(370 또는 397)과 중복될 수 있는 반면, 다른 실시예들에서는 그들은 상이하다. opcode 포맷(398)은, 마스크들과 함께, MOD 필드(373)에 의해 그리고 선택적(SIB) 식별자(393), 선택적 변위 식별자(394) 및 선택적인 즉치 바이트(395)에 의해 부분적으로 특정되는 레지스터 투 레지스터, 메모리 투 레지스터, 레지스터 바이 메모리, 레지스터 바이 레지스터, 레지스터 바이 즉치, 레지스터 투 메모리 어드레싱을 허용한다. (일반적으로 포맷(360) 및/또는 포맷(370)과 대응하는) 적어도 하나의 명령어 세트의 일반 포맷은 일반적으로 다음과 같이 예시된다:
Evex1 RXBmmmmm WvvvLpp evex4 opcode modrm [sib] [disp] [imm]
일 실시예에서, EVEX 포맷(398)에 따라 인코딩된 명령어는, 예를 들어, 프로세스들을 포크하고 그리고 사용자 구성가능 마스크 레지스터, 또는 부가의 피연산자, 또는 그로부터 선택할 128 비트, 256 비트 또는 512 비트 벡터 레지스터들 또는 그 이상의 레지스터들 중에서의 선택들 등의 부가의 새로운 특징과 함께 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하는 데에 사용될 수 있는 부가의 "페이로드" 비트들을 가질 수 있다. 예를 들어, VEX 포맷(397)이 마스크 없는 명령어들에 대해 사용될 수 있는 경우에, EVEX 포맷(398)은 명시적 사용자 구성가능 마스크를 가진 명령어에 대해 사용될 수 있다. 덧붙여, VEX 포맷(397)이 128 비트 또는 256 비트 벡터 레지스터들을 이용하는 명령어들에 대해 사용될 수 있는 경우에, EVEX 포맷(398)은 128 bit, 256 bit, 512 비트, 또는 더 큰(또는 더 작은) 벡터 레지스터들을 이용하는 명령어들에 대해 사용될 수 있다.
프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하는 예시적 명령어들 또는 커맨드들이 다음 예들에 의해 예시된다.
위의 예시적인 명령어들은, 보안 인클레이브 제어 구조 데이터, 애플리케이션 데이터, 애플리케이션 코드 등을 저장하기 위해 EPC에서 할당된 보안 스토리지를 위한 어드레스들을 부모 및 자식 프로세스의 인클레이브들에 암시 적으로 또는 명시적으로 지정할 수 있다. 일부 실시예에서, 부모 프로세스가, 또는 SGX(Software Guard Extension) 라이브러리가 SECS(secure enclave control structure)를 자식 프로세스에 대한 보안 저장 영역으로 복사하고, 고유 자식 인클레이브 ID 및 링크를 부모의 SECS/인클레이브 ID에 초기화하는 명령어를 실행할 수 있다. 일부 실시예에서, 자식 프로세스가, 또는 시스템 SGX 라이브러리가, 인터럽트된다면, 부모 인클레이브와 자식 인클레이브가 동일 키를 갖는 경우에 부모 인클레이브로부터 자식 인클레이브로 페이지들을 복사하고, 이후 또한 부분 완료에의 EPC 매핑을 위한 엔트리를 설정하고, 및 자식 인클레이브에 페이지 상태를 기록하는 명령어를 실행할 수 있다. 따라서 부모 인클레이브로부터 페이지들을 복사하는 명령어가 재개될 수 있다.
일부 실시예에서, 본 명세서에 개시된 명령어들 및 로직은 프로세스들을 포크하기 위한 SECS 복사에서, 그리고 보안 인클레이브들 내에서의 페이지 복사 동작들에서 인터럽트되고 재개될 수 있다. 따라서 포크 프로세스들과 보안 인클레이브들을 위한 페이지들의 자식 사본들을 확립하는 포워드 진행이 보장될 수 있고, 계류 중인 인터럽트들을 적시에 서비스함으로써 음성, 비디오 및 실시간 트랜잭션과 같은 서비스에서의 용인할 수 없는 결함이 회피될 수 있다. 일부 실시예에서, 복사 종료(end-of-copy) 플래그는 또한 부모 인클레이브으로부터 자식 인클레이브로 페이지들을 복사하는 최종 명령어를 나타내도록 설정될 수 있다. 복사 종료 플래그가 설정되면 부모의 SECS/인클레이브 ID에 대한 링크가 명령어의 성공적 완료 시에 자식 SECS로부터 제거될 수 있다. 일부 실시예에서, 애플리케이션은 부모의 SECS/인클레이브 ID애의 링크가 제거될 때까지 자식 프로세스의 인클레이브로부터 액세스/실행할 수 없다. 프로세스들을 포크하고 보안 EPC에서 자식 인클레이브들을 확립하기 위해 이러한 인클레이브 명령어들을 사용하는 것을 통해, 부모 프로세스는 자식 프로세스를 안전하게 생성(즉, 포크)하고 EPC에 자식 프로세스 인클레이브에 대한 사본을 확립할 수 있음을 알 것이다. 또한, 그러한 명령어들에 대한 프로세서 지원이 없다면, 동일한(또는 유사한) 기술적 효과를 달성하기 위한 어떠한 소프트웨어 시스템 보안 피처들도(조금이라도 실현 가능하다 하더라도) 엄청나게 비싸고 및/또는 성능 제한을 겪어서 불리하게는 일부 더 작은 보안 기준이 받아들여져야 하는 정도까지 될 수 있다는 것을 또한 알 것이다.
허가들, 물리 메모리를 관리하는 것 및/또는 매핑을 변경하는 것이 여전히 OS에 의해 관리될 수 있지만, 메모리 내용들이, 보안 인클레이브에서와 같이 보호될 때, OS가 인클레이브 개인 메모리의 실제 보호된 내용들에 액세스하도록 허가되거나 신뢰되지 않는다는 것을 알 것이다. OS를 신뢰할 수 있지 못하고서, 개인 메모리 내용들의 보안성 및/또는 무결성을 보장하고 및 프로세스들을 포크하고 페이지의 자식 사본들을 확립하는 것을 관리하는 것은, 정교한 하드웨어 지원 및/또는 설계 노력을 필요로 하지 않고서, 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하기 위한 명령어들 및 프로세서 로직을 사용하여 달성될 수 있다.
도 4a는 본 발명의 적어도 하나의 실시예에 따른, 순차적 파이프라인(in-order pipeline) 및 레지스터 재명명(register renaming) 스테이지, 비순차적(out-of-order) 발행/실행 파이프라인을 나타낸 블록도이다. 도 4b는 본 발명의 적어도 하나의 실시예에 따른, 프로세서에 포함될 순차적 아키텍처 코어(in-order architecture core) 및 레지스터 재명명 로직, 비순차적 발행/실행 로직을 나타낸 블록도이다. 도 4a에서 실선 박스들은 순차적 파이프라인을 나타내는 반면, 점선 박스들은 레지스터 재명명, 비순차적 발행/실행 파이프라인을 나타낸다. 유사하게, 도 4b에서의 실선 박스들은 순차적 아키텍처 로직을 나타내는 반면, 점선 박스들은 레지스터 재명명 로직 및 비순차적 발행/실행 로직을 나타낸다.
도 4a에서, 프로세서 파이프라인(400)은, 페치 스테이지(fetch stage)(402), 길이 디코드 스테이지(404), 디코드 스테이지(406), 할당 스테이지(408), 재명명 스테이지(410),(디스패치 또는 발행이라고도 알려진) 스케줄링 스테이지(412), 레지스터 판독/메모리 판독 스테이지(414), 실행 스테이지(416), 라이트백(write back)/메모리 기입 스테이지(418), 예외 처리 스테이지(422), 및 커밋 스테이지(424)를 포함한다.
도 4b에서, 화살표들은 2개 이상의 유닛들 간의 결합을 나타내고, 화살표의 방향은 그런 유닛들 사이의 데이터 흐름의 방향을 나타낸다. 도 4b는 실행 엔진 유닛(450)에 결합되는 프론트 엔드 유닛(front end unit)(430)을 포함하는 프로세서 코어(490)를 도시하며, 양자 모두는 메모리 유닛(470)에 결합된다.
코어(490)는 RISC(reduced instruction set computing) 코어, CISC(complex instruction set computing) 코어, VLIW(very long instruction word) 코어, 또는 하이브리드 또는 대안적인 코어 유형일 수 있다. 다른 옵션으로서, 코어(490)는, 예를 들어, 네트워크 또는 통신 코어, 압축 엔진, 그래픽 코어 등과 같은 특수 목적 코어일 수 있다.
프론트 엔드 유닛(430)은 명령어 캐시 유닛(434)에 결합된 분기 예측 유닛(432)을 포함하고, 명령어 캐시 유닛(434)은 명령어 변환 색인 버퍼(TLB)(436)에 결합되고, 명령어 변환 색인 버퍼(TLB)(436)는 명령어 페치 유닛(438)에 결합되고, 명령어 페치 유닛(438)은 디코드 유닛(440)에 결합된다. 디코드 유닛 또는 디코더는 명령어들을 디코드하고, 출력으로서 하나 이상의 마이크로연산들, 마이크로코드 엔트리 포인트들, 마이크로명령어들, 다른 명령어들, 또는 다른 제어 신호들을 생성할 수 있는데, 이들은 원래 명령어들로부터 디코드되거나, 또는 다른 방식으로 원래 명령어들을 반영하거나 원래 명령어들로부터 도출된다. 디코더는 다양한 상이한 메커니즘들을 이용하여 구현될 수 있다. 적절한 메커니즘의 예는 룩업 테이블, 하드웨어 구현, 프로그램가능 로직 어레이(PLA), 마이크로코드 판독 전용 메모리(ROM) 등을 포함하지만 이에 한정되지는 않는다. 명령어 캐시 유닛(434)은 또한 메모리 유닛(470)의 레벨 2(L2) 캐시 유닛(476)에 결합된다. 디코드 유닛(440)은 실행 엔진 유닛(450)의 재명명/할당기 유닛(452)에 결합된다.
실행 엔진 유닛(450)은 리타이어먼트 유닛(454) 및 하나 이상의 스케줄러 유닛(들)(456)의 세트에 결합되는 재명명/할당기 유닛(452)을 포함한다. 스케줄러 유닛(들)(456)은 예약 스테이션들, 중앙 명령어 윈도우 등을 포함하는 임의의 수의 상이한 스케줄러들을 나타낸다. 스케줄러 유닛(들)(456)은 물리적 레지스터 파일(들) 유닛(들)(458)에 결합된다. 물리적 레지스터 파일(들) 유닛들(458) 각각은 하나 이상의 물리적 레지스터 파일들을 나타내고, 이들 중 상이한 물리적 레지스터 파일들은 스칼라 정수, 스칼라 부동 소수점, 패킹된 정수, 패킹된 부동 소수점, 벡터 정수, 벡터 부동 소수점 등, 상태(예를 들어, 실행될 다음 명령어의 어드레스인 명령어 포인터) 등과 같은 하나 이상의 상이한 데이터 타입들을 저장한다. 물리적 레지스터 파일(들) 유닛(들)(458)은,(예를 들어, 재정렬 버퍼(들) 및 리타이어먼트 레지스터 파일(들)을 이용하여; 장래 파일(들), 이력 버퍼(들) 및 리타이어먼트 레지스터 파일(들)을 이용하여; 레지스터 맵들 및 레지스터들의 풀을 이용하거나 하여) 레지스터 재명명 및 비순차적 실행이 구현될 수 있는 다양한 방식들을 예시하기 위해서 리타이어먼트 유닛(454)에 의해 오버랩된다. 일반적으로, 아키텍처 레지스터들은 프로세서의 외부로부터 또는 프로그래머의 관점에서 가시적이다. 레지스터들은 임의의 알려진 특정 유형의 회로로 제한되지 않는다. 본 명세서에 설명된 바와 같이 데이터를 저장하고 제공할 수 있는 한, 다양한 상이한 유형의 레지스터들이 적합하다. 적절한 레지스터의 예들은 전용 물리 레지스터, 레지스터 재명명을 이용하는 동적 할당 물리 레지스터, 전용 및 동적 할당 물리 레지스터의 조합 등을 포함하지만 이에 한정되지는 않는다. 리타이어먼트 유닛(454)과 물리적 레지스터 파일(들) 유닛(들)(458)은 실행 클러스터(들)(460)에 결합된다. 실행 클러스터(들)(460)는 하나 이상의 실행 유닛들(462)의 세트 및 하나 이상의 메모리 액세스 유닛들(464)의 세트를 포함한다. 실행 유닛들(462)은 다양한 유형의 데이터(예를 들어, 스칼라 부동 소수점, 패킹된 정수, 패킹된 부동 소수점, 벡터 정수, 벡터 부동 소수점)에 대해 다양한 연산들(예를 들어, 시프트, 덧셈, 뺄셈, 곱셈)을 수행할 수 있다. 일부 실시예는 특정 기능들이나 기능들의 세트들에 전용되는 다수의 실행 유닛들을 포함할 수 있지만, 다른 실시예들은 단 하나의 실행 유닛, 또는 모두가 모든 기능들을 수행하는 복수의 실행 유닛을 포함할 수 있다. 스케줄러 유닛(들)(456), 물리적 레지스터 파일(들) 유닛(들)(458), 및 실행 클러스터(들)(460)는 가능하게는 복수개인 것으로 도시되어 있는데, 그 이유는 특정 실시예들이 특정 타입의 데이터/연산들에 대해 별개의 파이프라인들(예를 들어, 스칼라 정수 파이프라인, 스칼라 부동 소수점/패킹된 정수/패킹된 부동 소수점/벡터 정수/벡터 부동 소수점 파이프라인, 및/또는 자신의 스케줄러 유닛, 물리적 레지스터 파일(들) 유닛 및/또는 실행 클러스터를 각각 갖는 메모리 액세스 파이프라인 - 별개의 메모리 액세스 파이프라인의 경우에, 이 파이프라인의 실행 클러스터만이 메모리 액세스 유닛(들)(464)을 갖는 특정 실시예들이 구현됨)을 생성하기 때문이다. 개별 파이프라인들이 사용되는 경우, 이들 파이프라인 중 하나 이상은 비순차적 발행/실행일 수 있고 나머지는 순차적일 수 있다는 점도 이해해야 한다.
메모리 액세스 유닛들(464)의 세트는 레벨 2(L2) 캐시 유닛(476)에 결합된 데이터 캐시 유닛(474)에 결합된 데이터 TLB 유닛(472)을 포함하는 메모리 유닛(470)에 결합된다. 일 예시적인 실시예에서, 메모리 액세스 유닛들(464)은 로드 유닛, 저장 어드레스 유닛, 및 저장 데이터 유닛을 포함할 수 있고, 이들 각각은 메모리 유닛(470)의 데이터 TLB 유닛(472)에 결합된다. L2 캐시 유닛(476)은 하나 이상의 다른 레벨의 캐시 및 최종적으로 메인 메모리에 결합된다.
예시로서, 예시적 레지스터 재명명, 비순차적 발행/실행 코어 아키텍처는 다음과 같이 파이프라인(400)을 구현할 수 있다: 1) 명령어 페치(438)가 페치 및 길이 디코드 스테이지들(402 및 404)을 수행하고; 2) 디코드 유닛(440)은 디코드 스테이지(406)를 수행하고; 3) 재명명/할당기 유닛(452)은 할당 스테이지(408) 및 재명명 스테이지(410)를 수행하고; 4) 스케줄러 유닛(들)(456)은 스케줄링 스테이지(412)를 수행하고; 5) 물리적 레지스터 파일(들) 유닛(들)(458) 및 메모리 유닛(470)은 레지스터 판독/메모리 판독 스테이지(414)를 수행하고; 실행 클러스터(460)는 실행 스테이지(416)를 수행하고; 6) 메모리 유닛(470) 및 물리적 레지스터 파일(들) 유닛(들)(458)은 라이트백/메모리 기입 스테이지(418)를 수행하고; 7) 다양한 유닛들은 예외 처리 스테이지(422)에 수반될 수 있고; 및 8) 리타이어먼트 유닛(454) 및 물리적 레지스터 파일(들) 유닛(들)(458)은 커밋 스테이지(424)를 수행한다.
코어(490)는 하나 이상의 명령어 세트들(예를 들어,(더 새로운 버전이 추가된 소정의 확장을 갖는) x86 명령어 세트; 캘리포니아주 서니베일에 있는 MIPS Technologies의 MIPS 명령어 세트; 캘리포니아주 서니베일에 있는 ARM Holdings의(NEON과 같은 선택적인 부가 확장을 갖는) ARM 명령어 세트)을 지원할 수 있다.
코어가(연산들 또는 스레드들의 2개 이상의 병렬 세트를 실행하는) 멀티스레딩을 지원할 수 있고, 시간 슬라이싱된 멀티스레딩, 동시 멀티스레딩(이 경우 단일 물리 코어는 물리 코어가 동시에 멀티스레딩하는 각각의 스레드들에게 논리 코어를 제공함)을 포함하는 다양한 방식으로, 또는 이들의 조합(예를 들어, Intel® Hyperthreading technology에서와 같은 시간 슬라이싱된 페칭 및 디코드 및 그 후의 동시 멀티스레딩)으로 지원할 수 있음을 이해해야 한다.
레지스터 재명명이 비순차적 실행의 맥락에서 설명되었지만, 레지스터 재명명은 순차적 아키텍처에서 사용될 수도 있다는 점을 이해해야 한다. 프로세서의 예시된 실시예가 별개의 명령어 및 데이터 캐시 유닛들(434/474) 및 공유 L2 캐시 유닛(476)을 또한 포함하지만, 대안적인 실시예들은, 예를 들어 레벨 1(L1) 내부 캐시 또는 다중 레벨의 내부 캐시와 같이, 명령어들 및 데이터 양쪽 모두에 대한 단일의 내부 캐시를 가질 수 있다. 일부 실시예에서, 시스템은 내부 캐시와, 코어 및/또는 프로세서에 대해 외부에 있는 외부 캐시의 조합을 포함할 수 있다. 대안적으로, 캐시 모두가 코어 및/또는 프로세서에 대해 외부적일 수 있다.
도 5는 본 발명의 실시예들에 따른, 통합된 메모리 제어기 및 그래픽을 갖는 단일 코어 프로세서 및 멀티코어 프로세서(500)의 블록도이다. 도 5에서의 실선 박스들은 단일 코어(502A), 시스템 에이전트(510), 및 하나 이상의 버스 제어기 유닛들(516)의 세트를 갖는 프로세서(500)를 나타낸 것인 반면, 파선 박스들의 선택적인 부가는 복수의 코어(502A 내지 502N), 시스템 에이전트 유닛(510) 내의 하나 이상의 통합된 메모리 제어기 유닛(들)(514)의 세트, 및 통합된 그래픽 로직(508)을 갖는 대안의 프로세서(500)를 나타낸 것이다.
메모리 계층구조는, 코어들 내의 하나 이상의 레벨의 캐시들, 하나 이상의 공유 캐시 유닛들(506)의 세트, 및 통합된 메모리 제어기 유닛들(514)의 세트에 결합된 외부 메모리(도시되지 않음)를 포함한다. 공유 캐시 유닛들(506)의 세트는, 레벨 2(L2), 레벨 3(L3), 레벨 4(L4), 또는 다른 레벨 캐시와 같은 하나 이상의 중간 레벨 캐시들, 최종 레벨 캐시(LLC: last level cache), 및/또는 이들의 조합들을 포함할 수 있다. 일 실시예에서 링 기반 인터커넥트 유닛(512)은 통합된 그래픽 로직(508), 공유 캐시 유닛들(506)의 세트, 및 시스템 에이전트 유닛(510)을 인터커넥트하지만, 대안적인 실시예들은 이러한 유닛들을 인터커넥트하기 위해 임의의 개수의 잘 알려진 기술을 이용할 수 있다.
일부 실시예에서, 코어들(502A 내지 502N) 중 하나 이상은 멀티스레딩이 가능하다. 시스템 에이전트(510)는 코어들(502A 내지 502N)을 조정하며 동작시키는 그런 컴포넌트들을 포함한다. 시스템 에이전트 유닛(510)은 예를 들어 전력 제어 유닛(PCU) 및 디스플레이 유닛을 포함할 수 있다. PCU는 코어들(502A 내지 502N) 및 통합된 그래픽 로직(508)의 전력 상태를 조절하기 위해 필요한 로직 및 컴포넌트들일 수 있거나 이들을 포함할 수 있다. 디스플레이 유닛은 하나 이상의 외부 접속된 디스플레이들을 구동하기 위한 것이다.
코어들(502A 내지 502N)은 아키텍처 및/또는 명령어 세트에 관하여 동질적일 수도 있고 이질적일 수도 있다. 예를 들어, 코어들(502A 내지 502N) 중 일부는 순차적일 수 있는 반면, 다른 것들은 비순차적이다. 다른 예로서, 코어들(502A 내지 502N) 중 2개 이상은 동일한 명령어 세트를 실행 가능할 수 있는 반면, 다른 것들은 단지 해당 명령어 세트의 서브세트만을 또는 상이한 명령어 세트를 실행 가능할 수 있다.
프로세서는 캘리포니아, 산타 바바라에 소재한 인텔사로부터 입수 가능한 Core™ i3, i5, i7, 2 듀오 및 쿼드, Xeon™, Itanium™, XScale™ 또는 StrongARM™ 프로세서와 같은 범용 프로세서일 수 있다. 대안적으로, 프로세서는 ARM Holdings, Ltd, MIPS, 기타 등등과 같은 또 다른 회사로부터의 것일 수 있다. 프로세서는, 예를 들어, 네트워크 또는 통신 프로세서, 압축 엔진, 그래픽 프로세서, 코프로세서, 임베디드 프로세서 등과 같은 특수 목적 프로세서일 수 있다. 프로세서는 하나 이상의 칩상에 구현될 수 있다. 프로세서(500)는, 예를 들어 BiCMOS, CMOS 또는 NMOS와 같은 다수의 프로세스 기술 중 임의의 것을 이용하여 하나 이상의 기판들상에 구현될 수 있고/있거나 그 일부일 수 있다.
도 6 내지 도 8은 프로세서(500)를 포함하기에 적합한 예시적인 시스템인 반면, 도 9는 코어들(502) 중 하나 이상을 포함할 수 있는 예시적인 SoC(system on a chip)이다. 랩톱들, 데스크톱들, 핸드헬드 PC들, 퍼스널 디지털 어시스턴트들, 엔지니어링 워크스테이션들, 서버들, 네트워크 디바이스들, 네트워크 허브들, 스위치들, 임베디드 프로세서들, DSP(digital signal processor)들, 그래픽 디바이스들, 비디오 게임 디바이스들, 셋톱 박스들, 마이크로제어기들, 휴대 전화들, 휴대용 미디어 플레이어들, 핸드헬드 디바이스들, 및 다양한 다른 전자 디바이스들에 대해 본 기술분야에 알려진 다른 시스템 설계들 및 구성들도 적합하다. 일반적으로, 본 명세서에 개시되는 바와 같은 프로세서 및/또는 다른 실행 로직을 통합할 수 있는 매우 다양한 시스템들 또는 전자 디바이스들이 일반적으로 적합하다.
이제 도 6을 참조하면, 본 발명의 실시예에 따른 시스템(600)의 블록도가 도시되어 있다. 시스템(600)은 그래픽 메모리 제어기 허브(GMCH)(620)에 결합되는 하나 이상의 프로세서들(610, 615)을 포함할 수 있다. 부가의 프로세서(615)의 선택적인 특성은 도 6에서 파선으로 나타내어져 있다.
각각의 프로세서(610, 615)는 프로세서(500)의 소정의 버전일 수 있다. 그러나, 통합된 그래픽 로직 및 통합된 메모리 제어 유닛들이 프로세서들(610, 615)에 존재할 가능성이 별로 없다는 점에 유의해야 한다. 도 6은 GMCH(620)가 예를 들어, DRAM(dynamic random access memory)일 수 있는 메모리(640)에 결합되어 있을 수 있다는 것을 나타내고 있다. DRAM은, 적어도 일 실시예에서, 비휘발성 캐시와 연관될 수 있다.
GMCH(620)는 칩셋이거나 또는 칩셋의 일부일 수 있다. GMCH(620)는 프로세서(들)(610, 615)와 통신하고, 프로세서(들)(610, 615)와 메모리(640) 사이의 상호작용을 제어할 수 있다. 또한, GMCH(620)는 프로세서(들)(610, 615)와 시스템(600)의 다른 요소들 사이의 가속화 버스 인터페이스의 역할을 할 수 있다. 적어도 하나의 실시예에 있어서, GMCH(620)는 FSB(frontside bus)(695)와 같은 멀티 드롭 버스(multi-drop bus)를 통해 프로세서(들)(610, 615)와 통신한다.
더욱이, GMCH(620)는(평면 패널 디스플레이와 같은) 디스플레이(645)에 결합된다. GMCH(620)는 통합된 그래픽 가속기를 포함할 수 있다. GMCH(620)는, 다양한 주변 디바이스들을 시스템(600)에 결합하는데 이용될 수 있는 입/출력(I/O) 제어기 허브(ICH)(650)에 또한 결합된다. 다른 주변 디바이스(670)와 함께, ICH(650)에 결합되어 있는 개별 그래픽 디바이스일 수 있는 외부 그래픽 디바이스(660)가, 예를 들어, 도 6의 실시예에 도시되어 있다.
대안적으로, 부가적인 또는 상이한 프로세서들도 또한 시스템(600)에 존재할 수 있다. 예를 들어, 부가적인 프로세서(들)(615)는 프로세서(610)와 동일한 부가적인 프로세서(들), 프로세서(610)에 비대칭이거나 이질적인 부가적인 프로세서(들),(예를 들어 그래픽 가속기들 또는 디지털 신호 처리(DSP) 유닛들과 같은) 가속기들, 필드 프로그램가능 게이트 어레이들 또는 임의의 다른 프로세서를 포함할 수 있다. 아키텍처, 마이크로아키텍처, 열, 전력 소모 특성 등을 포함하는 다양한 성능 메트릭(metrics of merit)에 관하여 물리적 리소스들(610, 615) 사이에 각종 차이점들이 존재할 수 있다. 이러한 차이점들은 프로세서들(610, 615) 사이의 비대칭성 및 이질성으로서 효과적으로 자신들을 드러낼 수 있다. 적어도 하나의 실시예에 있어서, 다양한 프로세서들(610, 615)은 동일한 다이 패키지에 상주할 수 있다.
이제 도 7을 참조하면, 본 발명의 실시예에 따른 제2 시스템(700)의 블록도가 도시되어 있다. 도 7에 도시된 바와 같이, 멀티프로세서 시스템(700)은 포인트 투 포인트(point-to-point) 인터커넥트 시스템이고, 포인트 투 포인트 인터커넥트(750)를 통해 결합된 제1 프로세서(770) 및 제2 프로세서(780)를 포함한다. 프로세서들(770 및 780) 각각은 프로세서들(610, 615) 중 하나 이상과 같이 프로세서(500)의 소정의 버전일 수 있다.
2개의 프로세서(770, 780)만을 갖는 것으로 도시되어 있지만, 본 발명의 범위는 이것에만 제한되지는 않는다는 것이 이해되어야 한다. 다른 실시예들에서, 하나 이상의 부가적인 프로세서가 주어진 프로세서에 존재할 수 있다.
프로세서들(770 및 780)은 통합된 메모리 제어기 유닛들(772 및 782)을 각각 포함하는 것으로 도시되어 있다. 또한, 프로세서(770)는 그것의 버스 제어기 유닛들의 일부로서 포인트 투 포인트(P-P) 인터페이스들(776 및 778)을 포함하고; 유사하게, 제2 프로세서(780)는 P-P 인터페이스들(786 및 788)을 포함한다. 프로세서들(770, 780)은 P-P 인터페이스 회로들(778, 788)을 이용하여 포인트 투 포인트(P-P) 인터페이스(750)를 통해 정보를 교환할 수 있다. 도 7에 도시된 바와 같이, IMC들(772 및 782)은 프로세서들을 제각기 메모리들, 즉 제각기 프로세서들에 국지적으로 소속되는 메인 메모리의 부분들일 수 있는 메모리(732) 및 메모리(734)에 결합한다.
프로세서들(770, 780)은 각각 포인트 투 포인트 인터페이스 회로들(776, 794, 786, 798)을 이용하여 개별 P-P 인터페이스들(752, 754)을 통해 칩셋(790)과 정보를 교환할 수 있다. 또한, 칩셋(790)은 고성능 그래픽 인터페이스(739)를 통해 고성능 그래픽 회로(738)와 정보를 교환할 수 있다.
공유 캐시(도시되지 않음)는 어느 하나의 프로세서 내에 포함되거나 또는 둘 다의 프로세서의 외부이지만 여전히 P-P 인터커넥트를 통해 프로세서들과 접속될 수 있어서, 프로세서가 저전력 모드에 놓이는 경우 어느 하나 또는 둘 다의 프로세서의 로컬 캐시 정보가 공유 캐시에 저장될 수 있게 한다.
칩셋(790)은 인터페이스(796)를 통해 제1 버스(716)에 결합될 수 있다. 일 실시예에서, 제1 버스(716)는 PCI(Peripheral Component Interconnect) 버스이거나, 또는 PCI Express 버스 또는 다른 제3세대 I/O 인터커넥트 버스와 같은 버스일 수 있지만, 본 발명의 범위는 이것에만 제한되지는 않는다.
도 7에 도시된 바와 같이, 다양한 I/O 디바이스(714)가, 제1 버스(716)를 제2 버스(720)에 결합시키는 버스 브리지(718)와 함께 제1 버스(716)에 결합될 수 있다. 일 실시예에서, 제2 버스(720)는 LPC(low pin count) 버스일 수 있다. 일 실시예에서, 예를 들어, 키보드 및/또는 마우스(722), 통신 디바이스들(727), 및 명령어들/코드 및 데이터(730)를 포함할 수 있는 디스크 드라이브 또는 다른 대용량 저장 디바이스와 같은 저장 유닛(728)을 포함하는 다양한 디바이스들이 제2 버스(720)에 결합될 수 있다. 또한, 오디오 I/O(724)가 제2 버스(720)에 결합될 수 있다. 다른 아키텍처들도 가능하다는 점에 유의한다. 예를 들어, 도 7의 포인트 투 포인트 아키텍처 대신에, 시스템은 멀티 드롭 버스 또는 다른 그러한 아키텍처를 구현할 수 있다.
이제 도 8을 참조하면, 본 발명의 실시예에 따른 제3 시스템(800)의 블록도가 도시되어 있다. 도 7 및 도 8의 동일 요소들은 동일 참조 번호를 보유하고, 도 7의 특정 양태들은 도 8의 다른 양태들이 모호하게 되는 것을 회피하기 위해 도 8로부터 생략되었다.
도 8은 프로세서(870, 880)가 제각기, 통합된 메모리 및 I/O 제어 로직("CL")(872, 882)을 포함할 수 있다는 것을 나타내고 있다. 적어도 하나의 실시예에서, CL(872, 882)은 도 5 및 도 7과 관련하여 상술한 것과 같은 통합된 메모리 제어기 유닛들을 포함할 수 있다. 덧붙여, CL(872, 882)은 또한 I/O 제어 로직을 포함할 수 있다. 도 8은 메모리들(832, 834)이 CL(872, 882)에 결합되어 있을 뿐만 아니라 I/O 디바이스들(814)이 또한 제어 로직(872, 882)에 결합되어 있는 것을 나타내고 있다. 레거시 I/O 디바이스들(815)이 칩셋(890)에 결합된다.
이제 도 9를 참조하면, 본 발명의 실시예에 따른 SoC(900)의 블록도가 도시되어 있다. 도 5에 있는 유사한 요소들은 유사한 참조 부호를 갖는다. 또한, 파선 박스들은 더 진보된 SoC들에 대한 옵션적 특징들이다. 도 9에서, 인터커넥트 유닛(들)(902)은, 하나 이상의 코어들(502A 내지 502N)의 세트 및 공유 캐시 유닛(들)(506)을 포함하는 애플리케이션 프로세서(910); 시스템 에이전트 유닛(510); 버스 제어기 유닛(들)(516); 통합된 메모리 제어기 유닛(들)(514); 통합된 그래픽 로직(508), 정지(still) 및/또는 비디오 카메라 기능성을 제공하기 위한 이미지 프로세서(924), 하드웨어 오디오 가속화를 제공하기 위한 오디오 프로세서(926), 및 비디오 인코드/디코드 가속화를 제공하기 위한 비디오 프로세서(928)를 포함할 수 있는 하나 이상의 미디어 프로세서들(920)의 세트; 정적 랜덤 액세스 메모리(SRAM) 유닛(930); 직접 메모리 액세스(DMA) 유닛(932); 및 하나 이상의 외부 디스플레이들에 결합하기 위한 디스플레이 유닛(940)에 결합된다.
도 10은 일 실시예에 따른 적어도 하나의 명령어를 수행할 수 있는 CPU(central processing unit) 및 GPU(graphics processing unit)를 포함하는 프로세서를 나타낸 것이다. 일 실시예에서, 적어도 일 실시예에 따른 동작들을 수행하는 명령어가 CPU에 의해 수행될 수 있다. 또 다른 실시예에서, 이 명령어는 GPU에 의해 수행될 수 있다. 또 다른 실시예에서, 이 명령어는 GPU 및 CPU에 의해 수행되는 연산들의 조합을 통해 수행될 수 있다. 예를 들어, 일 실시예에서, 일 실시예에 따른 명령어가 GPU상에서의 실행을 위해 수신되어 디코드될 수 있다. 그러나, 디코드된 명령어 내의 하나 이상의 연산들은 CPU에 의해 수행될 수 있고, 그 결과는 명령어의 최종 리타이어먼트를 위해 GPU에 리턴될 수 있다. 역으로, 일부 실시예에서, CPU는 1차 프로세서의 역할을 하고, GPU는 코프로세서의 역할을 할 수 있다.
일부 실시예에서, 높은 병렬, 처리량 프로세서들로부터 이득을 얻는 명령어들은 GPU에 의해 수행될 수 있는데 반해, 딥 파이프라인형 아키텍처들(deeply pipelined architectures)로부터 이득을 얻는 프로세서들의 성능으로부터 이득을 얻는 명령어들은 CPU에 의해 수행될 수 있다. 예를 들어, 그래픽, 과학 애플리케이션, 재무 애플리케이션 및 기타의 병렬 작업량은 GPU의 성능으로부터 혜택을 입을 수 있고 그에 따라 실행될 수 있는 반면, 운영 체제 커널 또는 애플리케이션 코드와 같은 더 순차적인 애플리케이션들은 CPU에 더 적합할 수 있다.
도 10에서, 프로세서(1000)는 CPU(1005), GPU(1010), 이미지 프로세서(1015), 비디오 프로세서(1020), USB 제어기(1025), UART 제어기(1030), SPI/SDIO 제어기(1035), 디스플레이 디바이스(1040), HDMI(High-Definition Multimedia Interface) 제어기(1045), MIPI 제어기(1050), 플래시 메모리 제어기(1055), DDR(dual data rate) 제어기(1060), 보안 엔진(1065), 및 I2S/I2C(Integrated Interchip Sound/Inter-Integrated Circuit) 인터페이스(1070)를 포함한다. 추가의 CPU들 또는 GPU들 및 다른 주변기기 인터페이스 제어기들을 비롯한, 다른 로직 및 회로들이 도 10의 프로세서에 포함될 수 있다.
적어도 하나의 실시예의 하나 이상의 양태들은, 머신에 의해 판독될 때에 이 머신으로 하여금 본 명세서에 설명된 기술들을 수행하기 위한 로직을 제조하게 하는, 프로세서 내의 다양한 로직을 표현하는 머신 판독 가능 매체상에 저장된 대표 데이터에 의해 구현될 수 있다. "IP 코어들"이라고 알려진 이러한 표현들은, 유형의(tangible) 머신 판독 가능한 매체("테이프")에 저장될 수 있으며, 로직이나 프로세서를 실제로 만드는 제조 머신 내에 로딩하기 위해 다양한 고객이나 제조 설비에 공급될 수도 있다. 예를 들어, 중국 과학원의 계산 기술 연구소(ICT)에 의해 개발된 Loongson IP 코어들 및 ARM Holdings, Ltd.에 의해 개발된 Cortex™ 프로세서들의 계열과 같은 IP 코어들은 Texas Instruments, Qualcomm, Apple, 또는 Samsung과 같은 다양한 고객들 또는 실시권자들에게 판매되거나 라이센싱되고, 이러한 고객들 또는 실시권자들에 의해 제조된 프로세서들에서 구현될 수 있다.
도 11은 일 실시예에 따른 IP 코어들의 개발을 예시하는 블록도를 나타낸 것이다. 스토리지(1130)는 시뮬레이션 소프트웨어(1120) 및/또는 하드웨어 또는 소프트웨어 모델(1110)을 포함한다. 일 실시예에서, IP 코어 설계를 표현하는 데이터가 메모리(1140)(예를 들어, 하드 디스크), 유선 접속(예를 들어, 인터넷)(1150) 또는 무선 접속(1160)을 통해 스토리지(1130)에 제공될 수 있다. 다음에, 시뮬레이션 도구 및 모델에 의해 생성된 IP 코어 정보는, 적어도 하나의 실시예에 따른 적어도 하나의 명령어를 수행하기 위해 제3자에 의해 그것이 제조될 수 있는 제조 설비로 전송될 수 있다.
일부 실시예에서, 하나 이상의 명령어는 제1 타입 또는 아키텍처(예를 들어, x86)에 대응하고, 상이한 타입 또는 아키텍처(예를 들어, ARM)의 프로세서상에서 번역되거나 에뮬레이트될 수 있다. 그러므로, 일 실시예에 따라, 명령어는 ARM, x86, MIPS, GPU, 또는 다른 프로세서 타입 또는 아키텍처를 포함하는 임의의 프로세서 또는 프로세서 타입에 대해 수행될 수 있다.
도 12는 어떻게 제1 타입의 명령어가 일 실시예에 따라, 상이한 유형의 프로세서에 의해 에뮬레이트되는지를 나타낸다. 도 12에서, 프로그램(1205)은 일 실시예에 따른 명령어와 동일한 또는 실질적으로 동일한 기능을 수행할 수 있는 일부 명령어를 포함한다. 그러나, 프로그램(1205)의 명령어들은 프로세서(1215)와 상이하거나 호환되지 않는 타입 및/또는 포맷일 수 있고, 이는 프로그램(1205)에서의 타입의 명령어들이 본래 프로세서(1215)에 의해 선천적으로 실행가능하지 않을 수 있다는 것을 의미한다. 그러나, 에뮬레이션 로직(1210)의 도움으로, 프로그램(1205)의 명령어들은 본래 프로세서(1215)에 의해 실행될 수 있는 명령어들로 번역된다. 일 실시예에서, 에뮬레이션 로직은 하드웨어로 구현된다. 다른 실시예에서, 에뮬레이션 로직은, 프로그램(1205)에서의 타입의 명령어들을 선천적으로 프로세서(1215)에 의해 실행가능한 타입으로 번역하는 소프트웨어를 포함하는 유형의 머신 판독가능 매체에 구현된다. 다른 실시예들에서, 에뮬레이션 로직은 고정 기능 또는 프로그램가능 하드웨어와 유형의 기계 판독가능 매체에 저장되어 있는 프로그램의 조합이다. 일 실시예에서, 프로세서는 에뮬레이션 로직을 포함하는 반면, 다른 실시예들에서, 에뮬레이션 로직은 프로세서의 외부에 존재하며 제3자에 의해 제공된다. 일 실시예에서, 프로세서는 프로세서에 포함되어 있거나 그와 연관되어 있는 마이크로코드 또는 펌웨어를 실행함으로써 소프트웨어를 포함하는 유형의 기계 판독가능한 매체에 구체화된 에뮬레이션 로직을 로딩할 수 있다.
도 13은 본 발명의 실시예들에 따른, 소스 명령어 세트에서의 이진 명령어를 타깃 명령어 세트에서의 이진 명령어로 변환하기 위해 소프트웨어 명령어 변환기를 사용하는 것을 대비하는 블록도이다. 도시된 실시예에서, 명령어 변환기는 소프트웨어 명령어 변환기이지만, 대안적으로 명령어 변환기는 소프트웨어, 펌웨어, 하드웨어 또는 이들의 다양한 조합으로 구현될 수 있다. 도 13은 적어도 하나의 x86 명령어 세트 코어를 갖는 프로세서(1316)에 의해 선천적으로 실행될 수 있는 x86 이진 코드(1306)를 생성하기 위해 고급 언어(1302)로 된 프로그램이 x86 컴파일러(1304)를 사용하여 컴파일링될 수 있다는 것을 나타낸 것이다. 적어도 하나의 x86 명령어 세트 코어를 갖는 프로세서(1316)는, 적어도 하나의 x86 명령어 세트 코어를 갖는 Intel 프로세서와 실질적으로 동일한 결과를 달성하기 위해,(1) Intel x86 명령어 세트 코어의 명령어 세트의 상당 부분 또는(2) 적어도 하나의 x86 명령어 세트 코어를 갖는 Intel 프로세서상에서 실행되도록 되어 있는 애플리케이션 또는 다른 소프트웨어의 오브젝트 코드 버전을 호환가능하게 실행하거나 다른 방식으로 처리함으로써 적어도 하나의 x86 명령어 세트 코어를 갖는 Intel 프로세서와 실질적으로 동일한 기능을 수행할 수 있는 임의의 프로세서를 나타낸다. x86 컴파일러(1304)는, 추가 연계 처리(linkage processing)를 수반하거나 수반하지 않고서 적어도 하나의 x86 명령어 세트 코어를 구비한 프로세서(1316)상에서 실행될 수 있는 x86 이진 코드(1306)(예를 들어, 오브젝트 코드)를 발생하도록 동작할 수 있는 컴파일러를 나타낸다. 이와 유사하게, 도 13은 적어도 하나의 x86 명령어 세트 코어를 갖지 않는 프로세서(1314)(예컨대, 미국 캘리포니아주 서니베일 소재의 MIPS Technologies의 MIPS 명령어 세트를 실행하는 및/또는 미국 캘리포니아주 서니베일 소재의 ARM Holdings의 ARM 명령어 세트를 실행하는 코어를 갖는 프로세서)에 의해 선천적으로 실행될 수 있는 대안의 명령어 세트 이진 코드(1310)를 생성하기 위해 고급 언어(1302)로 된 프로그램이 대안의 명령어 세트 컴파일러(1308)를 사용하여 컴파일링될 수 있다는 것을 나타낸 것이다. 명령어 변환기(1312)는 x86 이진 코드(1306)를 x86 명령어 세트 코어를 구비하지 않은 프로세서(1314)에 의해 선천적으로 실행될 수 있는 코드로 변환하는데 사용된다. 이 변환된 코드는 대안의 명령어 세트 이진 코드(1310)와 동일할 가능성이 별로 없지만 -그 이유는 이것을 할 수 있는 명령어 변환기를 만들기가 어렵기 때문임 -; 변환된 코드는 일반 연산을 달성할 것이고 대안의 명령어 세트로부터의 명령어들로 구성될 것이다. 따라서, 명령어 변환기(1312)는 에뮬레이션, 시뮬레이션, 또는 임의의 다른 처리를 통해 x86 명령어 세트 프로세서 또는 코어를 갖지 않는 프로세서 또는 다른 전자 디바이스로 하여금 x86 이진 코드(1306)를 실행하도록 허용하는 소프트웨어, 펌웨어, 하드웨어, 또는 이들의 조합을 나타낸다.
도 14a는 프로세스들을 포크(fork)하고 보안 인클레이브 페이지 캐시에 자식 인클레이브(child enclave)들을 확립하는 인클레이브 자식 생성 명령어들을 사용하는 것을 포함하여, 보안 인클레이브 페이지 캐시, EPC(1460)에 대한 멀티프로세싱 능력을 제공하는 프로세싱 시스템(1401)의 실시예를 예시한다. 시스템(1401)은 시스템 메모리(1490) 및 프로세서(1402)를 포함한다. 프로세서(1402)는 제1 하드웨어 스레드 또는 논리적 프로세서(1420) 및 제2 하드웨어 스레드 또는 논리적 프로세서(1430)를 포함한다. 프로세서(1402)가, 간단함을 위해, 2개의 논리적 프로세서 - 각각은 단일 하드웨어 스레드를 나타냄 - 를 포함하는 것으로 예시되어 있지만, 본 발명이 이것들에만 제한되지는 않는다는 것을 잘 알 것이다. 예를 들어, 프로세서(1402) 또는 본 명세서에 예시되어 있는 다른 프로세서와 같은 프로세서가 몇몇 물리자원[예컨대, EPC(1460)] 및/또는 회로[예컨대, SE 유닛(1470)]를 공유하거나 그렇지 않을 수 있는 몇 개의 논리적 프로세서 코어를 가지는 것이 통상적이며, 각각의 논리적 프로세서 또는 프로세서 코어는 소프트웨어 스레드들을 동시에 또는 동시적으로 실행할 수 있는 복수의 하드웨어 스레드들을 가진다.
프로세서(1402)는 또한 보안 인클레이브(SE) 유닛(1470) 및 인클레이브 페이지 캐시, EPC(1460)를 포함한다. 일부 실시예에서, EPC(1460)는 보다 큰 캐시 유닛, 하나 이상의 레벨 1 캐시들 1440 및 1450), 또는 레벨-2 캐시(도시되지 않음)의 일부일 수 있다. 다른 실시예에서, EPC(1460)는, 하나 이상의 보안 인클레이브에 할당되고 하드웨어 스레드들, 논리적 프로세서들 또는 프로세싱 코어들에 의해 액세스 가능한 페이지(예를 들어, 1442, 1446 및 1452)에 대한, 또는 그와 연관된 보안 데이터를 저장하기 위해 다수의 하드웨어 스레드, 논리적 프로세서 또는 프로세싱 코어에 의해 공유되는 별도의 구조 또는 분산 구조(예를 들어, 캐시(1440) 및 캐시(1450))일 수 있다. 일부 실시예에서, OS는 페이지 또는 페이지들(예를 들어 페이지 1442, 1446 또는 1452)을 퇴거(evict)하고, 데이터를 암호화하고, 그들을 메모리(예를 들어, 암호화된 페이지 1495) 또는 비 휘발성 스토리지에 라이트백할 수 있다. 일부 실시예에서, OS는 그후 메모리 또는 비 휘발성 스토리지로부타 새로운 페이지(예를 들어, 페이지 1410)를 판독하고, 데이터를 암호 해제하고 EPC(1460)에 암호 해제된 페이지를 저장할 수 있다. 페이징 프로세스(예를 들어, 보안 인클레이브 페이지 캐시 메모리 내용들이 암호화되고 라이트백되고, 새로운 페이지들이 메모리로부터 로딩되고 암호 해제되고, TLB 엔트리들이 플러시되고 대체되고, 기타 등등의 경우)는 프로세서 코어들 또는 논리적 프로세서들(예를 들어, 논리적 프로세서들(1420 및 1430)이 (예로, IPI들에 의해) 짧게만 인터럽트되고 이후 페이징 프로세스가 완료될 때까지 재개하는 식으로 달성될 수 있다.
SE 유닛(1470)은 또한 다수의 하드웨어 스레드, 암호화 유닛, 무결성 보호 유닛, 액세스 제어 유닛, 범위 레지스터들, 인클레이브 페이지 캐시 매핑들, 에포크(epoch) 카운터 저장 로케이션들, 등을 가진 논리적 프로세서 또는 프로세싱 코어들에 의해 공유되는 별도의 구조 또는 분산 구조(예를 들어 SE 유닛들(1427 및 1437))을 포함할 수 있다. SE 유닛(1470)은 또한 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하기위한 인클레이브 자식 생성 명령어들을 또한 지원한다.
이 예에서, 논리적 프로세서(1420)는 디코드 스테이지(1422), 판독 스테이지(1424), 하나 이상의 실행 유닛들[예컨대, 실행 유닛(1426)] 및 기입 스테이지(1428)를 가진다. 논리적 프로세서(1420)는 또한 EPC(1460)에 액세스하기 위해 번역들이 설치되어 있을 수 있는 TLB(1425)를 가진다. 논리적 프로세서(1430)는 디코드 스테이지(1432), 판독 스테이지(1434), 하나 이상의 실행 유닛[예컨대, 실행 유닛(1436)] 및 기입 스테이지(1438)를 가진다. 논리적 프로세서(1430)는 또한 EPC(1460)에 액세스하기 위해 번역들이 설치되어 있을 수 있는 TLB(1435)를 가진다. 논리적 프로세서들(1420 및 1430)의 실시예는 또한 보안 인클레이브 페이지 캐시, EPC(1460)에 대한 멀티프로세싱 능력을 제공하는 인클레이브 명령어들의 실행을 위한 [예컨대, 파이프라인(400)에 도시되어 있는 것과 같은] 다른 파이프라인 스테이지들을 포함할 수 있다. 논리적 프로세서들(1420 및 1430)의 실시예들은 또한 프로세서들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브를 확립하는 인클레이브 자식 생성 명령어들을 또한 지원할 수 있다.
논리적 프로세서들(1420, 1430)의 실시예들에서, 디코드된 인클레이브 자식 생성 명령어에 응답하여 하나 이상의 실행 유닛(예를 들어, 실행 유닛 1426 및/또는 1436)은 제 1 보안 저장 영역(예: 1442)로부터 제2 보안 저장 영역(예: 1452)으로 제1 보안 제어 구조(SECS)를 복사한다. 또한, 디코드된 인클레이브 자식 생성 명령어에 응답하여, 하나 이상의 실행 유닛(예를 들어, 실행 유닛 1426 및/또는 1436)은 새롭게 생성 된 자식 프로세스와 연관된 고유한 인클레이브 식별자(예: 1453)로 제 2 SECS 데이터를 초기화하고, 제 2 SECS 데이터(예를 들어 1452) 내의 제 1 SECS 데이터(예를 들어 1442)에 제 2 SECS 링크(1444)를 기록한다. 일부 실시예에서, 링크(1444)는 또한 (예를 들어, 1452에서) 제2 SECS 데이터에 대한 양방향 링크일 수 있고 마찬가지로 (예컨대, 1442에서) 제1 SECS 데이터에 기록될 수 있다.
도 14b는 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브를 확립하기 위해 인클레이브 자식 복사 명령어들을 사용하는 것을 포함하여, 보안 인클레이브 페이지 캐시, EPC(1460)에 대한 멀티 프로세싱 능력을 제공하는 처리 시스템(1402)의 다른 실시예를 도시한다.
이 제2 예에서, 논리적 프로세서들(1420 및 1430)의 실시예는 또한 부모 프로세스에 할당된 보안 인클레이브로부터 자식 프로세스에 할당된 보안 인클레이브로 애플리케이션 데이터 페이지들, 애플리케이션 코드 페이지들, 인클레이브 라이브러리 코드 페이지들 등을 안전하게 복사함으로써 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브를 확립하기 위한 인클레이브 자식 복사 명령어를 또한 지원할 수 있다. 논리적 프로세서들(1420, 1430)의 실시예들에서, 디코드된 인클레이브 자식 복사 명령어에 응답하여, 하나 이상의 실행 유닛(예를 들어, 실행 유닛 1426 및/또는 1436)은 제2 보안 저장 영역(예컨대, 1452)에 대한 제2 SECS 데이터에 저장된, 제1 보안 저장 영역(예를 들어, 1442)에 대한 제1 SECS 데이터에의 링크(예로, 1444)를 식별할 수 있고, 링크가 식별되면, EPC(1460) 내의 제1 보안 저장 영역(예로, 1446에서의)으로부터의 보안 데이터를 EPC(1460) 내의 제2 보안 저장 영역(예를 들어, 1456)으로 복사한다. 일부 실시예에서, 제2 보안 저장 영역에 대한 제2 SECS 데이터에 저장된, 제1 SECS 데이터에의 링크를 식별하는 것은 또한 양쪽 SECS가 동일 암호화 키(들)와 연관되는 것을 검증하는 것을 포함한다.
논리적 프로세서들(1420 및 1430)의 실시예들에서, 하나 이상의 실행 유닛(예를 들어, 실행 유닛 1426 및/또는 1436)은, 디코드된 인클레이브 자식 복사 명령어에 응답하여, 복사 종료 플래그가 설정되는 경우 인클레이브 자식 복사 명령 실행의 성공적인 완료 시에 제2 보안 저장 영역에 대한 제2 보안 제어 구조 데이터로부터 제1 보안 저장 영역에 대한 제1 보안 제어 구조 데이터에의 링크(예로, 1444)를 또한 제거할 수 있다. 논리적 프로세서들(1420 및 1430)의 실시예들에서, EPC(1460) 내의 제2 보안 저장 영역(예를 들어, 1456에서)은 제1 보안 제어 구조 데이터에 대한 링크(예를 들어, 1444)가 제거될 때까지 애플리케이션에 액세스 가능하지 않을 수 있다.
논리적 프로세서들(1420 및 1430)의 일부 대안적 실시예들에서, 하나 이상의 실행 유닛들(예를 들어, 실행 유닛 1426 및/또는 1436)은, 디코드된 인클레이브 자식 복사 명령어에 응답하여, 제1 보안 저장 영역(예로, 1442)으로부터 제2 보안 저장 영역(예로, 1452)으로 제1 보안 제어 구조(SECS)를 초기에 복사하고, 새로 생성된 자식 프로세스와 연관된 고유 인클레이브 식별자(예컨대, 1453)로 제2 SECS 데이터를 초기화하고, 및 제2 SECS 링크(1444)를 제2 SECS 데이터(예로, 1452에서) 내의 제1 SECS 데이터(예로, 1442에서)에 및/또는 마찬가지로 제1 SECS 데이터(예로, 1442에서) 내의 제2 SECS 데이터(예로, 1452에서)에 기록할 수 있다.
프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하는 명령어들을 포함하는 인클레이브 명령어들의 사용을 통해, 부모 프로세스는 자식 프로세스를 생성(즉, 포크)하고 보안 인클레이브 페이지 캐시(예: EPC 1460) 내에 자식 프로세스 인클레이브를 위한 사본을 확립할 수 있다는 것을 알 것이다. 또한, 동일한 (또는 유사한) 기술적 효과를 달성하기 위한 임의의 소프트웨어 시스템 보안 피처들은 (조금이라도 가능하다 하더라도) 좀 더 작은 보안 조치가 불리하게 받아들여질 수 있는 정도로 엄청나게 비싸고 및/또는 성능 제한적이 될 수 있음을 이해할 것이다.
도 15는 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브를 확립하는 것을 포함하여 보안 인클레이브 페이지 캐시를 위해 멀티프로세싱 능력을 제공하기 위한 명령어들을 사용하기 위한 프로세서 코어(1501)에서의 장치의 실시예를 도해한다. 이 장치는 보안 인클레이브(SE) 유닛(1502) 및 인클레이브 페이지 캐시, EPC(1520)를 포함한다. 일부 실시예에서, EPC(1520)는 보다 큰 캐시 유닛, 레벨 1 캐시, L1(1540), 또는 레벨 2 캐시(도시되지 않음)의 일부일 수 있다. 다른 실시예들에 있어서, EPC(1520)는 하나 이상의 보안 인클레이브(예로, 부모 인클레이브 1504 및/또는 자식 인클레이브 1505)에 할당되고 하드웨어 스레드들, 논리적 프로세서들 또는 프로세싱 코어들(예로, 프로세서 코어 1501)에 의해 액세스 가능한 페이지들(예를 들어, 1542, 1546, 1552 및 1556)에 대한, 또는 그와 연관된 보안 데이터를 저장하기 위해 다수의 하드웨어 스레드, 논리적 프로세서 또는 프로세싱 코어에 의해 공유되는 별도의 구조 또는 분산 구조일 수 있다. SE 유닛(1502)은 암호화 유닛(1510), 무결성 보호 유닛(1512), 액세스 제어 유닛(1514), 범위 레지스터들(1516), 및 인클레이브 페이지 캐시 매핑들 EPC(1518)을 포함할 수 있다. SE 유닛(1502)은, ECHILDCREATE 명령어(1532), ECHILDCOPY 명령어(1534), ECHILDCOPYR 명령어(1536), 및 도시 안된 다른 인클레이브 명령어들(예로, AEX 명령어, ELOAD 명령어, EWRITEBACK 명령어, EEXIT 명령어, EENTER 명령어, ERESUME 명령 등)을 포함하는 인클레이브 포크 명령어(1503)를 또한 포함할 수 있다.
프로세서 코어(1501)는 또한 EPC(1520)에 액세스하기 위해 번역들이 설치되어 있을 수 있는 TLB(1525)를 포함한다. 프로세서 코어(1501)는 또한 디코드 스테이지(1522), 판독 스테이지(1524), 하나 이상의 실행 유닛[예컨대, 실행 유닛(1526)], 및 기입 스테이지(1528)를 포함하고 있다. 프로세서 코어(1501)의 실시예들은 프로세스들을 포크하고 보안 인클레이브 페이지 캐시, EPC(1520)에 자식 인클레이브들을 확립하기 위해 명령어들을 인터럽트하고 재개하는 것을 포함하여, 멀티프로세싱 능력들을 제공하기 위해 인클레이브 포크 명령어들(1503)의 실행을 위한 (예를 들어, 파이프 라인(400)으로 도시된 바와 같은) 다른 파이프라인 스테이지들을 또한 포함할 수 있다.
일 실시예에서, ECHILDCREATE 명령어(1532)는 목적지 페이지(1552) 어드레스 피연산자로서 EPC(1520) 내의 (제 2) 보안 저장 영역을 지정한다(예를 들어, 보안 저장 영역에 대한 유효 어드레스는 RCX와 같은 레지스터 내의 간접적인 목적지 피연산자로서 암시적으로 또는 명시적으로 특정될 수 있다). 디코드된 ECHILDCREATE 명령어(1532)에 응답하여, 프로세서 코어(1501)의 실시예들에서의 하나 이상의 실행 유닛(예를 들어, 실행 유닛(1526))은 제1 보안 저장 영역(예를 들어, 1542)으로부터 제2 보안 저장 영역(예를 들어, 1552)로 제1 보안 제어 구조(SECS)를 복사할 수 있다. ECHILDCREATE 명령어(1532)의 실시예들은 또한 (예컨대, RBX와 같은) 레지스터 내의 간접적 소스 피연산자로서 제1 보안 저장 영역에 대한 유효 어드레스를 암시적으로 또는 명시적으로 특정할 수 있다. 디코드된 ECHILDCREATE 명령어(1532)에 추가로 응답하여, 하나 이상의 실행 유닛(예를 들어, 실행 유닛(1526))은 새로 생성된 자식 프로세스와 연관된 고유 인클레이브 식별자(예: 1553)로 제2 SECS 데이터를 초기화하고, (예로, 1552에서의) 제2 SECS 데이터에 (예로, 1542에서의) 제1 SECS 데이터에의 제2 SECS 링크(1544)를 기록할 수 있다. 일부 실시예에서, 링크(1544)는 (예를 들어, 1552에서의) 제2 SECS 데이터에 대한 양방향 링크일 수 있고 마찬가지로 (예컨대, 1542에서의) 제1 SECS 데이터에 기록될 수 있다.
일 실시예에서, 부모 프로세스의 대응하는 보안 인클레이브(1504)에 할당된 제1 보안 저장 영역(예를 들어, 1542 및/또는 1546에서의)은 (예를 들어, 보안 데이터를 암호화 및/또는 암호 해제하기 위한) 제1 키와 연관되고, 자식 프로세스의 대응하는 제2 보안 인클레이브(1505)에 할당된 제2 보안 저장 영역(예를 들어, 1552 및/또는 1556에서의)은 또한 동일한 제1 키와 연관될 것이다. 일부 인클레이브 포크 명령어들(1503)의 실시예는 양자의 SECS가 동일한 암호화 키(들)와 연관되어 있는지를 검증하는 것을 또한 포함할 수 있다. 프로세서 코어(1501)의 실시예들은, 부모 프로세스에 할당된 보안 인클레이브(1504)로부터 자식 프로세스에 할당된 보안 인클레이브(1505)로 애플리케이션 데이터 페이지들, 애플리케이션 코드 페이지들, 인클레이브 라이브러리 코드 페이지들 들을 안전하게 복사함으로써 프로세스들을 포크하고 보안 인클레이브 페이지 개시에 자식 인클레이브들을 확립하기 위해 명령어들을 인터럽트하고 재개하기 위해 인클레이브 자식 복사 명령어들(예: ECHILDCOPY 명령어(1534) 및/또는 ECHILDCOPY 재개 명령어(1536))을 지원할 수 있다.
일 실시예에서, ECHILDCOPY 명령어(1534)는 소스 페이지(1546) 어드레스 피연산자로서 EPC(1520) 내의 (제 1) 보안 저장 영역을 지정한다. 프로세서 코어(1501)의 실시예들에서, 하나 이상의 실행 유닛(예를 들어, 실행 유닛(1526))은, 디코드된 ECHILDCOPY 명령어(1534)(또는 ECHILDCOPYR 명령어(1536))에 응답하여, 제2 보안 저장 영역(예로, 자식 인클레이브 1505의 1552)에 대한 제2 SECS 데이터에 저장된, 제1 보안 저장 영역(예를 들어, 부모 인클레이브 1504의 1542)에 대한 제1 SECS 데이터에의 링크(예로, 1544)를 식별할 수 있고, 링크가 식별되면, EPC(1560) 내의 (예를 들어, 부모 인클레이브 1504의 1546에서) 제1 보안 저장 영역으로부터 EPC(1560) 내의 제2 보안 저장 영역(예를 들어, 자식 인클레이브 1505의 1556에서)으로 보안 데이터를 복사할 수 있다. 일부 실시예에서, 제1 SECS 데이터(예를 들어, 1542에서)에 대한 제2 보안 저장 영역(예를 들어, 자식 인클레이브 1505에서의 1556에서)에 대한 제2 SECS 데이터(예로, 1552에서)에 저장된 링크(예로, 1544)를 식별하는 것은 또한 양자의 SECS가 동일한 암호화 키(들)와 연관되는지를 검증하는 것을 포함할 수 있다.
프로세서 코어(1501)의 실시예들에서, 하나 이상의 실행 유닛(예를 들어, 실행 유닛(1526))은, 디코드된 ECHILDCOPY 명령어(1534)(또는 ECHILDCOPYR 명령어(1536))에 응답하여, 복사 종료 플래그가 설정되면 ECHILDCOPY 명령어(1534)(또는 ECHILDCOPYR 명령어(1536)) 실행의 성공적 완료 시에 제 2 보안 저장 영역(예: 1505)에 대한 SECS 데이터로부터 제1 보안 저장 영역(예: 1504)에 대한 제1 SECS 데이터에의 링크(예로, 1544)를 제거할 수 있다. 프로세서 코어(1501)의 실시예에서, EPC(1560)에서의 제2 보안 저장 영역(예를 들어, 자식 인클레이브 영역 1505에서의 1556)은 제1 SECS 데이터로의 링크(예를 들어, 1544)가 제거될 때까지 애플리케이션에 액세스 가능하지 않을 수 있다.
프로세서 코어(1501)의 몇몇 대안 실시예에서, 하나 이상의 실행 유닛들(예를 들어, 실행 유닛(1526))은, 디코드된 ECHILDCOPY 명령어(1534)에 응답하여, 초기에 제1 SECS를 제1 보안 저장 영역(예로, 부모 인클레이브 1504의 1542)으로부터 제2 보안 저장 영역(예로, 자식 인클레이브 1505의 1552)에 복사하고, 새롭게 생성된 자식 프로세스와 연관된 고유 인클레이브 식별자(예를 들어, 1553)로 제2 SECS 데이터를 초기화하고, 및 제2 SECS 링크(1544)를 제2 SECS 데이터(예로, 1552에서) 내의 제1 SECS 데이터(예로, 1542에서)에 및/또는 마찬가지로 제1 SECS 데이터(예로, 1542에서) 내의 제2 SECS 데이터(예로, 1552에서)에 기록할 수 있다.
허가들, 물리적 메모리 및/또는 매핑 변경을 관리하는 것은 여전히 OS에 의해 관리될 수 있지만, 보안 인클레이브에서와 같이, 메모리 내용이 보호되는 경우, OS는 프로세스를 포크하고 인클레이브 개인 메모리에 프로세스의 자식 사본을 생성하기 위해서 인클레이브 개인 메모리의 실제 보호된 내용에 액세스하는 것이 허용되거나 신뢰되지 않는다는 것을 알아야 할 것이다. OS를 신뢰할 수 있지 못하고서, 개인 메모리 콘텐츠의 보안 및/또는 무결성을 보증하고 프로세스들을 포크하고 보안 애플리케이션 페이지의 자식 사본을 확립하는 기술적 제약을 관리하는 것은, 추가의 정교한 하드웨어 지원 및/또는 설계 노력을 필요로 하지 않고, 보안 인클레이브 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하기 위한 명령어들 및 처리 로직을 이용하여 성취될 수 있다.
도 16은 프로세스를 포크하고 보안 인클레이브 페이지 캐시 내에 자식 인클레이브를 확립하는 프로세스(1601)의 일 실시예에 대한 흐름도를 도시한다. 프로세스(1601) 및 본 명세서에 개시되는 기타 프로세스들은 범용 머신들에 의해 또는 특수 목적 머신들에 의해 또는 이 둘의 조합에 의해 실행 가능한 전용 하드웨어 또는 소프트웨어 또는 펌웨어 opcode(operation code)들을 포함할 수 있는 블록을 처리함으로써 수행된다.
프로세스(1601)의 처리 블록(1610)에서, 부모 프로세스(1604)는 시스템 SGX(Software Guard Extension) 라이브러리에 대한 포크 호출을 실행한다. 예를 들어, 인클레이브(1604)로부터의 Ocall(OS 호출)은 전형적인 포크 시스템 호출 대신에 특수 라이브러리(예를 들어, libSGX라고 불리는 SGX LIB 1648)로 이루어질 수 있다. 결과적으로, 처리 블록(1620)에서 EChild Create 커맨드 또는 명령어(예를 들어, ECHILDCREATE 명령어(1532))가 실행된다. 일 실시예에서, EChild Create 커맨드 또는 명령어는 EPC 내의 보안 저장 영역을 목적지 페이지(1652) 어드레스 피연산자로서 특정한다(예를 들어, 보안 저장 영역에 대한 유효 어드레스는 RCX와 같은 레지스터에 간접적 목적지 피연산자로서 암시적으로 또는 명시적으로 특정될 수 있다). EChild Create 커맨드 또는 명령어에 응답하여, 처리 블록(1630)에서, 하나 이상의 실행 유닛(예를 들어, 실행 유닛들, 1426, 1436 또는 1526)은 부모 보안 저장 영역(예를 들어, 인클레이브 1604의 1642)으로부터 자식 보안 저장 영역(예: 인클레이브 1605의 1652)으로 제1 보안 제어 구조(SECS)를 복사한다. EChild Create 커맨드 또는 명령어의 실시예들은 부모 보안 저장 영역에 대한 유효 주소를 레지스터(예를 들어, RBX와 같은)의 간접적 소스 피연산자로서 암시적으로 또는 명시적으로 지정할 수 있다. EChild Create 커맨드 또는 명령어에 추가로 응답하여, 처리 블록(1640)의 하나 이상의 실행 유닛은 새로 생성된 자식 프로세스와 연관된 고유 인클레이브 식별자(예: 1653)로 제2 SECS 데이터(예: 1652에서)를 초기화하고, 제 2 SECS 데이터(예를 들어, 1652)에 제1 SECS 데이터(예를 들어, 1642에서)에의 제2 SECS 링크(1644)를 기록한다. 일부 실시예에서, 링크(1644)는 (예를 들어, 1652에서) 제2 SECS 데이터에 대한 양방향 링크일 수 있고 마찬가지로 (예를 들어 1642에서) 제 1 SECS 데이터에 기록될 수 있다.
일 실시예에서, 부모 프로세스의 대응하는 보안 인클레이브(1604)에 할당된 (예를 들어, 1642 및/또는 1646에서의) 제1 보안 저장 영역은 (예를 들어, 보안 데이터를 암호화 및/또는 복호화하기 위한) 제1 키와 연관되고, 자식 프로세스의 대응하는 제2 보안 엔클레이브(1605)에 할당된 제2보안 저장 영역(예를 들어, 1652 및/또는 1656에서의)은 또한 동일한 제1 키와 연관될 것이다. 일부 인클레이브 포크 명령어들의 실시예는 양쪽 SECS가 동일한 암호화 키(들)과 연관되어 있음을 직접 또는 간접적으로 검증하는 것을 또한 포함할 수 있다.
처리 블록(1650)에서, 하나 이상의 EChild Copy 커맨드 또는 명령어(예를 들어, ECHILDCOPY 명령어(1534))가 실행된다. 일 실시예에서, EChild Copy 커맨드 또는 명령어는 소스 페이지(예를 들어, 1646, 1647 또는 1648) 어드레스 피연산자로서 EPC 내의 보안 저장 영역을 지정한다. 일부 실시예에서, 하나 이상의 실행 유닛(예를 들어, 실행 유닛(예로, 실행 유닛 1426, 1436, 또는1526)은, EChild Copy 커맨드 또는 명령어에 응답하여, 제2 보안 저장 영역(예로, 자식 인클레이브 1605의 1652)에 대한 제2 SECS 데이터에 저장된, 제1 보안 저장 영역(예를 들어, 부모 인클레이브 1604의 1642)에 대한 제1 SECS 데이터에의 링크(예로, 1644)를 식별할 수 있고, 링크가 식별되면, EPC 내의 (예를 들어, 부모 인클레이브 1604의 1646에서) 제1 보안 저장 영역으로부터 EPC 내의 제2 보안 저장 영역(예를 들어, 자식 인클레이브 1605의 1656에서)으로 보안 데이터를 복사할 수 있다. 일부 실시예에서, 제1 SECS 데이터(예를 들어, 1642에서)에 대한 제2 보안 저장 영역(예를 들어, 자식 인클레이브 1605에서의 1656에서)에 대한 제2 SECS 데이터(예로, 1652에서)에 저장된 링크(예로, 1644)를 식별하는 것은 또한 양자의 SECS가 동일한 암호화 키(들)와 연관되는지를 검증하는 것을 포함할 수 있다.
처리 블록(1660)에서, 최종 EChild Copy 커맨드 또는 명령어(예를 들어, ECHILDCOPY 명령어(1534) 또는 ECHILDCOPYR 명령어(1536))가 실행된다. 일부 실시예에서, 하나 이상의 실행 유닛(예를 들어, 실행 유닛 1426, 1436 또는 1526)은, 최종 EChild Copy 커맨드 또는 명령어에 응답하여 (예로, 복사 종료 플래그가 설정되면) 최종 EChild Copy 커맨드 또는 명령어의 성공적 완료 시에 제 2 보안 저장 영역(예: 1505)에 대한 SECS 데이터로부터 제1 보안 저장 영역(예: 1504)에 대한 부모 SECS 데이터에의 EChild 링크(예로, 1644)를 제거할 수 있다. 일부 실시예에서, EPC 내의 제2 보안 저장 영역(예를 들어, 자식 인클레이브 영역 1605에서의 1656, 1657, 또는 1658에서의)은 부모 SECS 데이터로의 EChild 링크(예를 들어, 1644)가 제거될 때까지 애플리케이션에 액세스 가능하지 않을 수 있다.
일부 실시예에서, 본 명세서에 개시된 명령어들 및 로직은, EChild Create 커맨드 또는 명령어(예를 들어, ECHILDCREATE 명령어(1532))와 같은 프로세스들을 포크하기 위한 SECS 복사 연산들에서, 및 보안 인클레이브 내에서의 EChild Copy 커맨드 또는 명령어(예를 들어, ECHILDCOPY 명령어(1534) 또는 ECHILDCOPYR 명령어(1536))와 같은 페이지 복사 연산들에서 인터럽트되고 재개될 수 있다. 따라서, 프로세스들을 포크하고 보안 인클레이브들을 위해 페이지의 자식 사본들을 확립하는 포워드 진전이 보증될 수 있으며, 적시에 계류중인 인터럽트들을 서비스함으로써 음성, 비디오 및 실시간 트랜잭션과 같은 서비스에서 용인 할 수 없는 결함을 피할 수 있다. 프로세스들을 포크하고 보안 EPC에서 자식 인클레이브를 확립하기 위해 이러한 인클레이브 명령어들을 사용함으로써, 부모 프로세스는 자식 프로세스를 안전하게 생성(즉, 포크)하고 EPC 내의 자식 프로세스 인클레이브에 대한 사본을 확립할 수 있음을 이해할 것이다. 또한, 이런 명령어들에 대한 프로세서 지원 없이는, 동일한 (또는 유사한) 기술적 효과를 달성하기 위한 임의의 소프트웨어 시스템 보안 피처들은 (조금이라도 가능하다 하더라도) 좀 더 작은 보안 조치가 불리하게 받아들여질 수 있는 정도로 엄청나게 비싸고 및/또는 성능 제한적이 될 수 있음을 이해할 것이다.
도 17a는 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하기 위해 인클레이브 자식 생성 명령어들을 사용하는 프로세스(1701)의 일 실시예에 대한 흐름도를 도시한다. 처리 블록(1710)에서, 인클레이브 자식 생성 명령어가 디코드된다. 인클레이브 자식 생성 명령어의 일부 실시예는 암시적으로든 또는 명시적으로든 피연산자들로서 파라미터들을 특정할 수 있는데, 제1 보안 제어 구조(SECS)를 저장하기 위해 부모 프로세스의 대응하는 제1 보안 인클레이브에 할당된 인클레이브 페이지 캐시(EPC) 내의 제1 보안 저장 영역, 및 제2 SECS를 저장하기 위해 자식 프로세스의 대응하는 제2 보안 인클레이브에 할당된 EPC 내의 제2 보안 저장 영역이 있다. 예를 들어, 인클레이브 자식 생성 명령어의 실시예들은 RBX와 같이, 레지스터 내의 간접적 피연산자로서 제1 보안 저장 영역의 유효 어드레스를 지정할 수 있다. 인클레이브 자식 생성 명령어의 실시예들은 RCX와 같이, 레지스터 내의 간접적 피연산자로서 제2 보안 저장 영역의 유효 어드레스를 특정할 수 있다. 처리 블록(1720)에서, EPC 내의 임의의 특정된 파라미터들이 유효화된다. 처리 블록(1725)에서, EPC의 임의의 특정된 파라미터가 무효로 판정되면, 처리는 실패 에러가 반환되는 처리 블록(1790)으로 진행한다. 그렇지 않으면, 처리는, 제1 SECS를 제1 보안 저장 영역으로부터 자식 프로세스의 제2 보안 저장 영역으로 복사하기 위해 EPC가 액세스되는 처리 블록(1730)으로 진행한다. 처리 블록(1740)에서, 자식의 제 2 SECS는 자식 프로세스와 연관된 고유 인클레이브 식별자로 초기화된다. 처리 블록(1750)에서, 제 1 소스 SECS와 제2 자식 SECS 사이의 연계(linkage)가 기록된다(예를 들어, 제2 자식 SECS에 및/또는 제1 소스 SECS에). 처리 블록(1755)에서, 프로세스를 포크하고 자식 인클레이브를 확립하기 위한 인클레이브 자식 생성 명령어가 성공적으로 실행되었는지 여부에 대한 결정이 이루어진다. 만일 그렇다면, 인클레이브 자식 생성 명령어가 처리 블록(1780)에서 리타이어된다. 그렇지 않다면, 처리는 처리 블록(1790)으로 진행하여 실패 에러가 반환된다.
본 명세서에 개시된 프로세스(1701) 및 다른 프로세스의 프로세스 블록들은 반복적인 방식으로 실행되는 것으로 도시되어 있지만, 대안적인 순서로, 또는 동시에 또는 병렬로의 실행이 가능할 때는 언제든지 양호하게 수행될 수 있다는 것을 알 것이다. 일부 실시예에서, 복사 종료 플래그는 부모 인클레이브로부터 자식 프로세스의 인클레이브로 페이지들을 복사하기 위한 최종 인클레이브 자식 복사 명령어를 나타내도록 또한 설정될 수 있다. 복사 종료 플래그가 설정되면, 부모의 SECS/인클레이브 ID에 대한 링크가 인클레이브 자식 복사 명령어의 성공적인 완료 시에 자식 SECS에서 제거될 수 있다. 일부 실시예에서, 애플리케이션은 부모의 SECS/인클레이브 ID에의 링크가 제거될 때까지 자식 프로세스의 인클레이브로부터 액세스/실행하지 못할 수 있다.
도 17b는 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브를 확립하기 위해 인클레이브 자식 복사 명령어들을 사용하는 프로세스(1702)의 일 실시예에 대한 흐름도를 도시한다. 처리 블록(1712)에서, 인클레이브 자식 복사 명령어가 디코드된다. 인클레이브 자식 복사 명령어의 일부 실시예는 암시적으로든 또는 명시적으로든 피연산자들로서 파라미터들을 특정할 수 있는데, 제1 SECS를 저장하기 위해 부모 프로세스의 대응하는 제1 보안 인클레이브에 할당된 EPC 내의 제1 보안 저장 영역, 및 제2 SECS를 저장하기 위해 그리고 페이지 어드레스를 위한 보안 데이터의 사본을 저장하기 위해 자식 프로세스의 대응하는 제2 보안 인클레이브에 할당된 EPC 내의 제2 보안 저장 영역이 있다. 예를 들어, 인클레이브 자식 복사 명령어의 실시예들은 RBX와 같은, 레지스터 내의 간접적 피연산자로서 제1 보안 저장 영역의 유효 어드레스를 특정할 수 있다. 인클레이브 자식 복사 명령어의 실시예들은 RCX와 같은, 레지스터 내의 간접적 피연산자로서 제2 보안 저장 영역의 유효 어드레스를 특정할 수 있다. 처리 블록(1722)에서, EPC 내의 임의의 특정된 파라미터들이 유효화된다. 인클레이브 자식 복사 명령어의 일부 실시예에서, EPC 내의 특정된 파라미터들을 유효화하는 것은 제1 SECS에의 제2 SECS에 저장된 연계를 식별하는 것을 포함할 수 있다. 처리 블록(1727)에서, EPC 내의 임의의 특정된 파라미터가 무효로 판정되면, 처리는 실패 에러가 반환되는 처리 블록(1790)으로 진행한다. 그렇지 않으면, 처리는 상기 연계가 식별된 곳인 처리 블록(1732)에 진행하고, EPC 내의 제1 보안 저장 영역 소스 페이지 어드레스로부터의 보안 데이터 내용들은 EPC 내의 제2 보안 저장 영역에 복사된다. 처리 블록(1742)에서, 소스 페이지 어드레스에 대한 인클레이브 페이지 캐시 매핑(EPCM) 엔트리가 자식 프로세스에 대한 EPCM 엔트리에 복사된다. 처리 블록(1752)에서, 자식 프로세스에 대한 새로운 EPCM 엔트리는 자식 프로세스와 연관된 고유의 인클레이브 식별자로 갱신된다.
처리 블록(1752)에서, EOC(end of copy) 플래그가 설정되는지 여부가 결정된다. 예를 들어, 인클레이브 자식 복사 명령어의 실시예들은 RDX와 같은, 묵시적으로든 또는 명시적으로든 레지스터 내의 피연산자로서 EOC 플래그(즉, 최종 인클레이브 자식 복사 명령어상의)를 특정할 수 있다. 처리 블록(1757)에서 EOC 플래그가 설정되었다고 결정되면, 처리 블록(1762)에서 제2 SECS로부터의 제1 SECS로의 연계는 인클레이브 자식 복사 명령어 실행의 성공적인 완료 시에 제거되고, 인클레이브 자식 복사 명령어는 처리 블록(1770)에서 리타이어된다. 반면에, 처리 블록(1757)에서 EOC 플래그가 설정되어 있지 않다고 결정되면, 처리는 직접적으로 처리 블록(1770)으로 진행하는데, 여기서 인클레이브 자식 복사 명령어는 인클레이브 자식 복사 명령어 실행의 성공적인 완료 시에 리타이어된다.
일부 실시예에서, 본 명세서에 개시된 명령어들 및 로직은 프로세스들을 포크하기 위한 SECS 복사에서, 그리고 보안 인클레이브들 내에서의 페이지 복사 동작들에서 인터럽트되고 재개될 수 있다. 따라서 포크 프로세스들과 보안 인클레이브들을 위한 페이지들의 자식 사본들을 확립하는 포워드 진행이 보장될 수 있고, 계류 중인 인터럽트들을 적시에 서비스함으로써 음성, 비디오 및 실시간 트랜잭션과 같은 서비스에서의 용인할 수 없는 결함이 회피될 수 있다. 프로세스들을 포크하고 보안 EPC에서 자식 인클레이브들을 확립하기 위해 이러한 인클레이브 명령어들을 사용하는 것을 통해, 부모 프로세스는 자식 프로세스를 안전하게 생성(즉, 포크)하고 EPC에 자식 프로세스 인클레이브에 대한 사본을 확립할 수 있음을 알 것이다. 또한, 그러한 명령어들에 대한 프로세서 지원이 없다면, 동일한(또는 유사한) 기술적 효과를 달성하기 위한 어떠한 소프트웨어 시스템 보안 피처들도 (조금이라도 실현 가능하다 하더라도) 엄청나게 비싸고 및/또는 성능 제한을 겪어서 불리하게는 일부 더 작은 보안 기준이 받아들여져야 하는 정도까지 될 수 있다는 것을 또한 알 것이다.
도 18a는 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하기 위해 인클레이브 자식 생성 명령어들을 사용하는 인터럽트 가능한 프로세스(1801)의 일 실시예에 대한 흐름도를 도시한다. 프로세싱 블록(1810)에서, 인클레이브 자식 생성 명령어가 디코드된다. 인클레이브 자식 생성 명령어의 일부 실시예들은 암시적으로 또는 명시적으로 피연산자들로서 파라미터들을 특정할 수 있으며, 제1 보안 제어 구조(SECS)를 저장하기 위해 부모 프로세스의 대응하는 제1 보안 인클레이브에 할당된 인클레이브 페이지 캐시(EPC) 내의 제1 보안 저장 영역 및 제2 SECS를 저장하기 위해 자식 프로세스의 대응하는 제2 보안 인클레이브에 할당된 EPC 내의 제 2 보안 저장 영역이 있어서, EPC 내의 임의의 특정된 파라미터가 유효화될 수 있도록 한다. 예를 들어, 인클레이브 자식 생성 명령어의 실시예들은 RBX와 같은, 레지스터 내의 간접 피연산자로서 제 1 보안 저장 영역의 유효 어드레스를 특정할 수 있다. 인클레이브 자식 생성 명령어의 실시예들은 RCX와 같이 레지스터 내의 간접 피연산자로서 제2 보안 저장 영역의 유효 어드레스를 특정할 수 있다. 처리 블록(1831)에서, EPC가 액세스되고, 제1 SECS를 제1 보안 저장 영역으로부터 자식 프로세스의 제2 SECS로 복사하도록 포워드 진행이 이뤄진다.
처리 블록(1835)에서, 제1 보안 저장 영역으로부터 자식 프로세스의 제2 SECS로의 제1 SECS의 복사가 완료되었는지 여부에 대한 결정이 이루어진다. 만약 그렇다면, 처리는 처리 블록(1840)으로 진행하는데, 여기서 자식의 제2 SECS가 자식 프로세스와 연관된 고유 인클레이브 식별자로 초기화된다. 처리 블록(1850)에서, 제1 소스 SECS와 제2 자식 SECS 간의 연계가 기록되고(예를 들어, 제2 자식 SECS에 및/또는 제1 소스 SECS에), 처리 블록(1880)에서 인클레이브 자식 생성 명령어가 리타이어된다.
그렇지 않다면, 처리 블록(1835)에서, 제1 보안 저장 영역으로부터 자식 프로세스의 제2 SECS로 제1 SECS를 복사하는 것이 완료되지 않은 경우, 인클레이브 자식 생성 명령어가 인터럽트되고 있는지 여부에 대한 결정이 처리 블록(1821)에서 이루어진다. 그렇지 않다면, 처리 블록(1831)에서 시작하여 처리가 계속될 수 있다. 반면에, 인클레이브 자식 생성 명령어가 인터럽트되고 있다면, 계류중인 인터럽트들이 있고, 처리는 처리 블록(1822)으로 진행하고, 여기서 제1 SECS의 복사 동작 상태가 체크포인트된다(예: 페이징 동작의 부분 완료가 인클레이브 페이지 캐시 매핑 엔트리에 기록될 수 있으며, 페이지 상태 정보의 일부가 해당 자식 페이지에 대한 캐시 라인에 저장되거나 다른 보안 스토리지에 저장될 수 있다). 처리 블록(1823)에서, 권고 코드가 반환될 수 있다(예를 들어, 인터럽트들이 서비스될 수 있음을 표시함). 처리 블록(1824)에서 인터럽트가 서비스되고, 처리 블록(1825)에서 인클레이브 자식 생성 명령어가 제1 보안 저장 영역의 제1 SECS로부터 복사될 페이지상에 재개될 것이다. 그 후, 처리는, 처리 블록(1835)에서, 제1 보안 저장 영역으로부터 자식 처리의 제2 SECS로 제1 SECS를 복사하는 것이 완료될 때까지 처리 블록(1831)에서 시작하여 재반복되고, 처리는 처리 블록(1840)으로 진행한다.
도 18b는 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하기 위해 인클레이브 자식 복사 명령어들을 사용하는 인터럽트 가능한 프로세스(1802)의 일 실시예에 대한 흐름도를 도시한다. 프로세싱 블록(1812)에서, 인클레이브 자식 복사 명령어가 디코드된다. 인클레이브 자식 복사 명령어의 일부 실시예들은 암시적으로 또는 명시적으로 피연산자들로서 파라미터들을 특정할 수 있으며, 제1 SECS를 저장하기 위해 부모 프로세스의 대응하는 제1 보안 인클레이브에 할당된 EPC 내의 제1 보안 저장 영역 및 제2 SECS를 저장하기 위해 그리고 페이지 어드레스에 대한 보안 데이터의 사본을 저장하기 위해 자식 프로세스의 대응하는 제2 보안 인클레이브에 할당된 EPC 내의 제 2 보안 저장 영역이 있어서, EPC 내의 임의의 특정된 파라미터가 제1 SECS에 대한 제2 SECS에 저장된 연계를 식별하는 것을 포함하여, 유효화될 수 있도록 한다. 예를 들어, 인클레이브 자식 복사 명령어의 실시예들은 RBX와 같은, 레지스터 내의 간접 피연산자로서 제1 보안 저장 영역의 유효 어드레스를 특정할 수 있다. 인클레이브 자식 복사 명령어의 실시예들은 RCX와 같은 레지스터 내의 간접 피연산자로서 제2 보안 저장 영역의 유효 어드레스를 특정할 수 있다. 처리 블록(1820)에서, 자식 프로세스에 대한 인클레이브 페이지 캐시 매핑(EPCM) 엔트리는 자식 프로세스와 연관된 고유 인클레이브 식별자로 체크/설정된다. 처리 블록(1832)에서, 상기 연계가 식별되면, EPC가 액세스되고, EPC 내의 제1 보안 저장 영역 소스 페이지 어드레스로부터 EPC 내의 제2 보안 저장 영역으로 보안 데이터 내용을 복사하도록 포워드 진행이 이뤄진다.
처리 블록(1835)에서, 제1 보안 저장 영역 소스 페이지 어드레스로부터 자식 프로세스의 제2 보안 저장 영역으로 보안 데이터 내용을 복사했는지의 여부에 대한 결정이 이루어진다. 만일 그렇다면, 처리는 처리 블록(1857)으로 진행하여, 복사 종료(EOC) 플래그가 설정되었는지 여부에 대한 결정이 이루어진다. 예를 들어, 인클레이브 자식 복사 명령어의 실시예들은 RDX와 같은, 묵시적으로든 또는 명시적으로든 레지스터 내의 피연산자로서 EOC 플래그(즉, 최종 인클레이브 자식 복사 명령어상의)를 특정할 수 있다. 처리 블록(1857)에서 EOC 플래그가 설정되었다고 결정되면, 처리 블록(1862)에서 제2 SECS로부터의 제1 SECS 로의 연계는 인클레이브 자식 복사 명령어 실행의 성공적인 완료 시에 제거되고, 인클레이브 자식 복사 명령어는 처리 블록(1870)에서 리타이어된다. 반면에, 처리 블록(1857)에서 EOC 플래그가 설정되어 있지 않다고 결정되면, 처리는 직접적으로 처리 블록(1870)으로 진행하는데, 여기서 인클레이브 자식 복사 명령어는 인클레이브 자식 복사 명령어 실행의 성공적인 완료 시에 리타이어된다.
그렇지 않으면, 처리 블록(1835)에서, 제1 보안 저장 영역 소스 페이지 어드레스로부터 자식 프로세스의 제2 보안 저장 영역으로 보안 데이터 내용을 복사하는 것이 완료되지 않은 경우, 처리 블록(1821)에서, 인클레이브 자식 복사 명령어가 인터럽트되고 있는지의 여부에 대한 결정이 이루어진다. 그렇지 않다면, 프로세싱 블록(1820)에서 시작하여 처리가 계속될 수 있다. 다른 한편, 인클레이브 자식 복사 명령어가 인터럽트되고 있다면, 계류 중인 인터럽트들이 있고, 처리는 처리 블록(1826)으로 진행하며, 여기서 EPCM은 복사 동작의 부분 완료를 나타내도록 설정된다. 처리 블록(1827)에서, 페이지 상태 정보의 일부가 (예를 들어, 대응하는 자식 페이지에 대한 최종 캐시 라인에 또는 어떤 다른 보안 스토리지에, 등등) 저장된다. 처리 블록(1828)에서, 인터럽트가 서비스되고, 처리 블록(1829)에서 인클레이브 자식 복사 명령어가 제1 보안 저장 영역 소스 페이지 어드레스로부터 자식 프로세스의 제2 보안 저장 영역으로 복사될 페이지상에서 재개될 것이다. 처리는 그 후, 처리 블록(1835)에서, 제1 보안 저장 영역 소스 페이지 어드레스를 자식 처리의 제2 보안 저장 영역으로 복사하는 것이 완료될 때까지 처리 블록(1820)에서 시작하여 처리를 재반복되고, 처리는 처리 블록(1857)으로 진행한다.
따라서 허가들, 물리적 메모리 및/또는 매핑 변경을 관리하는 것은 여전히 OS에 의해 관리될 수 있지만, 보안 인클레이브에서와 같이, 메모리 내용이 보호되는 경우, OS는 인클레이브 개인 메모리의 실제 보호된 내용에 액세스하는 것이 허용되거나 신뢰되지 않는다. OS를 신뢰할 수 있지 못하고서, 개인 메모리 콘텐츠의 보안 및/또는 무결성을 보증하고 프로세스들을 포크하고 보안 애플리케이션 페이지의 자식 사본을 확립하는 기술적 제약을 관리하는 것은, 추가의 정교한 하드웨어 지원 및/또는 설계 노력을 필요로 하지 않고, 보안 인클레이브 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에 자식 인클레이브들을 확립하기 위한 명령어들 및 처리 로직을 이용하여 성취될 수 있다.
특정의 순서로 실행되는 것으로 예시되어 있는 처리 블록들이 또한 프로세스(1802)의 어떤 대안의 실시예들에서 그리고 본 명세서에 개시되어 있는 다른 실시예들에서, 가능한 경우, 다른 순서로 또는 동시에 또는 서로 병렬로 실행될 수 있다는 것을 잘 알 것이다.
본 명세서에 개시된 메커니즘들의 실시예들은 하드웨어, 소프트웨어, 펌웨어, 또는 이러한 구현 접근법들의 조합으로 구현될 수 있다. 본 발명의 실시예들은, 적어도 하나의 프로세서, 저장 시스템(휘발성 및 비휘발성 메모리 및/또는 저장 요소들을 포함함), 적어도 하나의 입력 디바이스 및 적어도 하나의 출력 디바이스를 포함하는 프로그램가능 시스템들상에서 실행되는 컴퓨터 프로그램들 또는 프로그램 코드로서 구현될 수 있다.
프로그램 코드는 본 명세서에서 설명한 기능들을 수행하여 출력 정보를 생성하도록 입력 명령어들에 적용될 수 있다. 출력 정보는 공지된 방식으로 하나 이상의 출력 디바이스에 적용될 수 있다. 이 애플리케이션을 위해, 처리 시스템은, 예를 들어, 디지털 신호 프로세서(DSP), 마이크로제어기, 주문형 집적 회로(ASIC) 또는 마이크로프로세서와 같은 프로세서를 갖는 임의의 시스템을 포함한다.
프로그램 코드는 처리 시스템과 통신하기 위해 고급 절차형 또는 객체 지향형 프로그래밍 언어로 구현될 수 있다. 또한, 프로그램 코드는 요구되는 경우에 어셈블리어 또는 기계어로 구현될 수 있다. 사실상, 본 명세서에 설명된 메커니즘들은 임의의 특정 프로그래밍 언어로 범위가 제한되지는 않는다. 임의의 경우에, 이 언어는 컴파일링된 또는 인터프리팅된 언어일 수 있다.
적어도 하나의 실시예의 하나 이상의 양태는, 머신에 의해 판독될 때에 이 머신으로 하여금 본 명세서에 설명된 기술들을 수행하는 로직을 제조하게 하는, 프로세서 내의 다양한 로직을 나타내는 머신 판독가능 매체상에 저장된 대표 명령어들에 의해 구현될 수 있다. "IP 코어들"로서 알려진 이러한 표현들은 유형(tangible) 머신 판독가능 매체상에 저장되고, 다양한 고객들 또는 제조 설비들에 공급되어, 로직 또는 프로세서를 실제로 제조하는 제조 머신들로 로딩될 수 있다.
이러한 머신 판독가능 저장 매체는, 하드 디스크, 플로피 디스크, 광 디스크, CD-ROM(compact disk read-only memory), CD-RW(compact disk rewritable) 및 광자기 디스크를 포함하는 임의의 다른 유형의 디스크, DRAM(dynamic random access memory), SRAM(static random access memory), EPROM(erasable programmable read-only memory), 플래시 메모리, EEPROM(electrically erasable programmable read-only memory)과 같은 ROM(read-only memory), RAM(random access memory)과 같은 반도체 디바이스, 자기 또는 광 카드, 또는 전자 명령어들을 저장하는 데 적합한 임의의 다른 유형의 매체와 같은 저장 매체를 포함하는, 기계 또는 디바이스에 의해 제조 또는 형성되는 물품들의 비일시적이고 유형인 구성들을 포함할 수 있지만, 이들로만 제한되지는 않는다.
따라서, 본 발명의 실시예들은, 명령어들을 포함하거나, 또는 본 명세서에 설명된 구조들, 회로들, 장치들, 프로세서들 및/또는 시스템 피처들을 정의하는 HDL(Hardware Description Language)과 같은 설계 데이터를 포함하는 비일시적인 유형의 머신 판독가능 매체를 또한 포함한다. 이러한 실시예들은 프로그램 제품들로 또한 언급될 수 있다.
일부 경우에, 소스 명령어 세트로부터 타깃 명령어 세트로 명령어를 변환하기 위해 명령어 변환기가 이용될 수 있다. 예를 들어, 명령어 변환기는 명령어를 코어에 의해 처리될 하나 이상의 다른 명령어로(예를 들어, 정적 바이너리 번역, 동적 편집(dynamic compilation)을 포함하는 동적 바이너리 번역을 이용하여) 번역하거나, 모핑하거나, 에뮬레이트하거나, 또는 다른 방식으로 변환할 수 있다. 명령어 변환기는 소프트웨어, 하드웨어, 펌웨어 또는 이들의 조합으로 구현될 수 있다. 명령어 변환기는 온 프로세서(on processor), 오프 프로세서(off processor), 또는 부분 온 및 부분 오프 프로세서(part on and part off processor)일 수 있다.
따라서, 적어도 하나의 실시예에 따른 하나 이상의 명령어들을 수행하기 위한 기술들이 개시된다. 소정 예시적 실시예들이 설명되었고 첨부 도면들에서 도시되었지만, 그러한 실시예들은 단지 설명에 도움이 되는 것일 뿐이고 넓은 범위의 발명을 제한하는 것이 아니며, 이 명세서를 숙독한 통상의 기술자라면 다양한 다른 변형들을 착안해 낼 수 있으므로, 이 발명은 도시되고 설명된 특정 구성들 및 배열들로만 제한되지 않는다는 것을 이해해야 한다. 빠르게 성장하고 추가의 향상이 용이하게 예견되지 않는 이와 같은 기술 영역에서, 개시된 실시예들은 본 개시 내용의 원리들 또는 첨부된 청구범위를 벗어나지 않고 기술적 향상들을 가능하게 함으로써 배치 및 상세에서 용이하게 수정가능하다.
Claims (25)
- 프로세서로서,
부모 프로세스(parent process)의 대응하는 제1 보안 인클레이브(enclave)에 할당된 제1 보안 저장 영역에 제1 보안 제어 구조 데이터를 저장하고, 자식 프로세스(child process)의 대응하는 제2 보안 인클레이브에 할당된 제2 보안 저장 영역에 제2 보안 제어 구조 데이터를 저장하는 인클레이브 페이지 캐시;
상기 프로세서에 의한 실행을 위해 제1 명령어를 디코드하는 디코드 스테이지 - 상기 제1 명령어는 상기 제2 보안 저장 영역을 피연산자로서 지정함 -; 및
상기 디코드된 제1 명령어에 응답하여,
상기 제1 보안 제어 구조를 상기 제1 보안 저장 영역으로부터 상기 제2 보안 저장 영역으로 복사하고;
상기 제2 보안 제어 구조 데이터를 상기 자식 프로세스와 연관된 고유 인클레이브 식별자로 초기화하고;
상기 제1 보안 제어 구조 데이터에의 제2 보안 제어 구조 링크를 상기 제2 보안 제어 구조 데이터에 기록하는 하나 이상의 실행 유닛
을 포함하는 프로세서. - 제1항에 있어서, 상기 부모 프로세스의 대응하는 제1 보안 인클레이브에 할당된 제1 보안 저장 영역은 제1 키(key)와 연관될 것이고, 상기 자식 프로세스의 대응하는 제2 보안 인클레이브에 할당된 제2 보안 저장 영역은 또한 상기 제1 키와 연관될 것인 프로세서.
- 제1항에 있어서, 상기 자식 프로세스의 대응하는 제2 보안 인클레이브에 할당된 제2 보안 저장 영역 내의 상기 제2 보안 제어 구조 데이터는, 상기 제1 보안 제어 구조 데이터에의 제2 보안 제어 구조 링크가 상기 제2 보안 제어 구조 데이터로부터 제거되지 않으면, 애플리케이션에 의해 사용될 수 없는 프로세서.
- 제1항에 있어서, 상기 제2 보안 제어 구조 데이터 내에 기록된 상기 제2 보안 제어 구조 링크는 상기 제1 보안 제어 구조 데이터의 제1 보안 제어 구조 고유 인클레이브 식별자를 포함하는 프로세서.
- 제1항에 있어서, 상기 제2 보안 제어 구조 데이터 내에 기록된 상기 제2 보안 제어 구조 링크는 상기 제1 보안 저장 영역 내의 상기 제1 보안 제어 구조 데이터의 유효 어드레스를 포함하는 프로세서.
- 제1항에 있어서, 상기 하나 이상의 실행 유닛은, 또한 상기 디코드된 제1 명령어에 응답하여,
애플리케이션 데이터 및 애플리케이션 코드를 상기 제1 보안 저장 영역으로부터 상기 제2 보안 저장 영역으로 복사하는 프로세서. - 제1항에 있어서, 상기 하나 이상의 실행 유닛은, 또한 상기 디코드된 제1 명령어에 응답하여,
상기 제2 보안 인클레이브에 대응하는 상기 자식 프로세스를 상기 제1 보안 인클레이브에 대응하는 상기 부모 프로세스의 자식으로서 생성하는 프로세서. - 제1항에 있어서, 상기 제1 명령어는 상기 제2 보안 저장 영역에 대한 유효 어드레스를 레지스터, RCX 내의 간접적 목적지 피연산자로서 지정하는 프로세서.
- 제1항에 있어서, 상기 제1 명령어는 상기 제1 보안 저장 영역에 대한 유효 어드레스를 레지스터, RBX 내의 간접적 소스 피연산자로서 지정하는 프로세서.
- 방법으로서,
프로세서에 의한 실행을 위해 제1 명령어를 디코드하는 단계 - 상기 제1 명령어는, 제1 보안 제어 구조를 저장하기 위한 부모 프로세스의 대응하는 제1 보안 인클레이브에 할당된 인클레이브 페이지 캐시 내의 제1 보안 저장 영역, 및/또는 제2 보안 제어 구조를 저장하기 위한 자식 프로세스의 대응하는 제2 보안 인클레이브에 할당된 상기 인클레이브 페이지 캐시 내의 제2 보안 저장 영역을 하나 이상의 피연산자들로서 지정함 -;
상기 제1 보안 제어 구조를 상기 제1 보안 저장 영역으로부터 상기 제2 보안 저장 영역으로 복사하기 위해, 상기 인클레이브 페이지 캐시에 액세스하는 단계;
상기 제2 보안 제어 구조를 상기 자식 프로세스와 연관된 고유 인클레이브 식별자로 초기화하는 단계; 및
상기 제1 보안 제어 구조에의 링크를 상기 제2 보안 제어 구조에 기록하는 단계
를 포함하는 방법. - 제10항에 있어서, 상기 제1 명령어는 상기 제2 보안 저장 영역의 유효 어드레스를 레지스터, RCX 내의 간접적 피연산자로서 지정하는 방법.
- 제10항에 있어서, 상기 제1 명령어는 상기 제1 보안 저장 영역의 유효 어드레스를 레지스터, RBX 내의 간접적 피연산자로서 지정하는 방법.
- 제10항에 있어서, 상기 부모 프로세스의 대응하는 제1 보안 인클레이브에 할당된 제1 보안 저장 영역은 제1 키와 연관될 것이고, 상기 자식 프로세스의 대응하는 제2 보안 인클레이브에 할당된 제2 보안 저장 영역은 또한 상기 제1 키와 연관될 것인 방법.
- 제10항에 있어서, 상기 자식 프로세스의 대응하는 제2 보안 인클레이브에 할당된 제2 보안 저장 영역 내의 상기 제2 보안 제어 구조는, 상기 제1 보안 제어 구조에의 링크가 상기 제2 보안 제어 구조로부터 제거되지 않으면, 애플리케이션에 의해 사용될 수 없는 방법.
- 제10항에 있어서, 복사 종료 플래그(end-of-copying flag)가 설정되면 상기 제1 명령어 실행의 성공적인 완료 시에 상기 제2 보안 제어 구조로부터 상기 제1 보안 제어 구조에의 링크를 제거하는 단계
를 추가로 포함하는 방법. - 제10항에 있어서, 상기 제1 명령어는 상기 복사 종료 플래그를 레지스터, RDX 내의 피연산자로서 지정하는 방법.
- 제10항에 있어서,
상기 부모 프로세스의 보안 인클레이브에 대한 인클레이브 페이지 캐시 맵을 상기 자식 프로세스의 보안 인클레이브에 대한 인클레이브 페이지 캐시 맵에 복사하는 단계
를 추가로 포함하는 방법. - 제10항에 있어서, 상기 제2 보안 제어 구조를 상기 자식 프로세스와 연관된 갱신된 인클레이브 식별자로 갱신하는 단계
를 추가로 포함하는 방법. - 실행가능 명령어들을 포함하는 비일시적 컴퓨터 판독 가능 저장 매체로서, 상기 명령어들은, 프로세서에 의해 실행될 때, 상기 프로세서로 하여금,
프로세서에 의한 실행을 위해 제1 명령어를 디코드하고 - 상기 제1 명령어는, 제1 보안 제어 구조 및 페이지 어드레스에 대한 보안 데이터를 저장하기 위한 부모 프로세스의 대응하는 제1 보안 인클레이브에 할당된 인클레이브 페이지 캐시 내의 제1 보안 저장 영역, 및/또는 제2 보안 제어 구조 및 상기 페이지 어드레스에 대한 보안 데이터의 사본을 저장하기 위한 자식 프로세스의 대응하는 제2 보안 인클레이브에 할당된 상기 인클레이브 페이지 캐시 내의 제2 보안 저장 영역을 하나 이상의 피연산자들로서 지정함 -;
상기 제1 보안 제어 구조에의 상기 제2 보안 제어 구조에 저장된 링크를 식별하기 위해, 상기 인클레이브 페이지 캐시에 액세스하고;
상기 보안 데이터를 상기 인클레이브 페이지 캐시 내의 상기 제1 보안 저장 영역으로부터 상기 인클레이브 페이지 캐시 내의 제2 보안 저장 영역으로 복사하게 하는 비일시적 컴퓨터 판독 가능 저장 매체. - 제19항에 있어서, 상기 제1 명령어는 상기 제2 보안 저장 영역의 유효 어드레스를 레지스터, RCX 내의 간접적 피연산자로서 지정하는 비일시적 컴퓨터 판독 가능 저장 매체.
- 제19항에 있어서, 상기 제1 명령어는 상기 제1 보안 저장 영역의 유효 어드레스를 레지스터, RBX 내의 간접적 피연산자로서 지정하는 비일시적 컴퓨터 판독 가능 저장 매체.
- 제19항에 있어서, 상기 부모 프로세스의 대응하는 제1 보안 인클레이브에 할당된 제1 보안 저장 영역은 제1 키와 연관될 것이고, 상기 자식 프로세스의 대응하는 제2 보안 인클레이브에 할당된 제2 보안 저장 영역은 또한 상기 제1 키와 연관될 것인 비일시적 컴퓨터 판독 가능 저장 매체.
- 제19항에 있어서, 상기 자식 프로세스의 대응하는 제2 보안 인클레이브에 할당된 제2 보안 저장 영역 내의 상기 제2 보안 제어 구조는, 상기 제1 보안 제어 구조에의 링크가 상기 제2 보안 제어 구조로부터 제거되지 않으면, 애플리케이션에 의해 사용될 수 없는 비일시적 컴퓨터 판독 가능 저장 매체.
- 제19항에 있어서, 상기 프로세서로 하여금,
복사 종료 플래그가 설정되면 상기 제1 명령어 실행의 성공적인 완료 시에 상기 제2 보안 제어 구조로부터 상기 제1 보안 제어 구조에의 링크를 제거하게 하는 실행가능 명령어들을 추가로 포함하는 비일시적 컴퓨터 판독 가능 저장 매체. - 제19항에 있어서, 상기 프로세서로 하여금,
상기 부모 프로세스의 보안 인클레이브에 대한 인클레이브 페이지 캐시 맵을 상기 자식 프로세스의 보안 인클레이브에 대한 인클레이브 페이지 캐시 맵에 복사하게 하는 실행가능 명령어들을 추가로 포함하는 비일시적 컴퓨터 판독 가능 저장 매체.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/629,132 US9710622B2 (en) | 2015-02-23 | 2015-02-23 | Instructions and logic to fork processes of secure enclaves and establish child enclaves in a secure enclave page cache |
US14/629,132 | 2015-02-23 | ||
PCT/US2016/018881 WO2016137867A1 (en) | 2015-02-23 | 2016-02-22 | Instructions and logic to fork processes of secure enclaves and establish child enclaves in a secure enclave page cache |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20170120096A true KR20170120096A (ko) | 2017-10-30 |
KR102539453B1 KR102539453B1 (ko) | 2023-06-05 |
Family
ID=56693183
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020177020335A KR102539453B1 (ko) | 2015-02-23 | 2016-02-22 | 보안 인클레이브들의 프로세스들을 포크하고 보안 인클레이브 페이지 캐시에서 자식 인클레이브들을 확립하기 위한 명령어들 및 로직 |
Country Status (7)
Country | Link |
---|---|
US (2) | US9710622B2 (ko) |
EP (1) | EP3262516B1 (ko) |
JP (1) | JP6702590B2 (ko) |
KR (1) | KR102539453B1 (ko) |
CN (1) | CN107209722B (ko) |
TW (1) | TWI594189B (ko) |
WO (1) | WO2016137867A1 (ko) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20210043644A (ko) * | 2018-10-05 | 2021-04-21 | 구글 엘엘씨 | 엔클레이브 포크 지원 |
Families Citing this family (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9870467B2 (en) * | 2015-03-27 | 2018-01-16 | Intel Corporation | Apparatus and method for implementing a forked system call in a system with a protected region |
JP6432450B2 (ja) * | 2015-06-04 | 2018-12-05 | 富士通株式会社 | 並列計算装置、コンパイル装置、並列処理方法、コンパイル方法、並列処理プログラムおよびコンパイルプログラム |
US9710401B2 (en) | 2015-06-26 | 2017-07-18 | Intel Corporation | Processors, methods, systems, and instructions to support live migration of protected containers |
US10664179B2 (en) | 2015-09-25 | 2020-05-26 | Intel Corporation | Processors, methods and systems to allow secure communications between protected container memory and input/output devices |
US10534724B2 (en) * | 2015-12-24 | 2020-01-14 | Intel Corporation | Instructions and logic to suspend/resume migration of enclaves in a secure enclave page cache |
US9977743B2 (en) | 2016-08-31 | 2018-05-22 | Intel Corporation | Managing enclave memory pages |
GB2555961B (en) * | 2016-11-14 | 2019-08-28 | Google Llc | System of enclaves |
US10120805B2 (en) * | 2017-01-18 | 2018-11-06 | Intel Corporation | Managing memory for secure enclaves |
US11405177B2 (en) | 2017-01-24 | 2022-08-02 | Microsoft Technology Licensing, Llc | Nested enclave identity |
GB2563879B (en) * | 2017-06-28 | 2019-07-17 | Advanced Risc Mach Ltd | Realm identifier comparison for translation cache lookup |
GB2563883B (en) | 2017-06-28 | 2019-10-09 | Advanced Risc Mach Ltd | Invalidation of a target realm in a realm hierarchy |
GB2563884B (en) * | 2017-06-28 | 2020-01-08 | Advanced Risc Mach Ltd | Exception return instruction |
GB2563887B (en) * | 2017-06-28 | 2019-12-25 | Advanced Risc Mach Ltd | Masking of architectural state associated with a realm |
GB2563889B (en) * | 2017-06-28 | 2019-10-09 | Advanced Risc Mach Ltd | Realm identifiers for realms for memory access control |
CN107341835B (zh) * | 2017-07-07 | 2018-08-03 | 武汉斗鱼网络科技有限公司 | 图像处理方法、装置、电子设备及计算机可读存储介质 |
DE102017118164A1 (de) * | 2017-08-09 | 2019-02-14 | Infineon Technologies Ag | Kryptographische schaltung und datenverarbeitung |
CN107919954B (zh) * | 2017-10-20 | 2019-05-14 | 浙江大学 | 一种基于sgx软件防护扩展指令的区块链用户密钥保护方法和装置 |
US10635605B2 (en) | 2018-03-13 | 2020-04-28 | International Business Machines Corporation | Shared memory inter-enclave communication |
GB2578297B (en) * | 2018-10-19 | 2021-07-14 | Advanced Risc Mach Ltd | Trusted intermediary realm |
US11449601B2 (en) * | 2020-01-08 | 2022-09-20 | Red Hat, Inc. | Proof of code compliance and protected integrity using a trusted execution environment |
US20220207187A1 (en) * | 2020-12-26 | 2022-06-30 | Intel Corporation | Apparatuses, methods, and systems for instructions to allow trusted execution environments to react to asynchronous exits |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130159726A1 (en) * | 2009-12-22 | 2013-06-20 | Francis X. McKeen | Method and apparatus to provide secure application execution |
US20140297962A1 (en) * | 2013-03-31 | 2014-10-02 | Carlos V Rozas | Instructions and logic to provide advanced paging capabilities for secure enclave page caches |
Family Cites Families (31)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE2842548A1 (de) * | 1978-09-29 | 1980-04-10 | Siemens Ag | Programmierbare speicherschutzlogik fuer mikroprozessorsysteme |
US5361341A (en) * | 1987-10-02 | 1994-11-01 | Sgs-Thomson Microelectronics, S.A. | Device for enabling the use of the contents of memory areas of an electronic microprocessor system |
US6769119B1 (en) * | 1994-03-24 | 2004-07-27 | International Business Machines Corporation | System, method, and computer program product for scoping operating system semantics in a computing environment supporting multi-enclave processes |
US5825878A (en) * | 1996-09-20 | 1998-10-20 | Vlsi Technology, Inc. | Secure memory management unit for microprocessor |
US6003117A (en) * | 1997-10-08 | 1999-12-14 | Vlsi Technology, Inc. | Secure memory management unit which utilizes a system processor to perform page swapping |
US6154751A (en) * | 1998-05-14 | 2000-11-28 | International Business Machines Corporation | Method for executing a user-requested CGI program in a new authentication context while protecting operation of a default web server program |
GB2381626B (en) * | 2000-07-18 | 2005-02-09 | Intel Corp | Controlling access to multiple isolated memories in an isolated execution environment |
JP4193607B2 (ja) * | 2003-06-26 | 2008-12-10 | 日本電気株式会社 | データフロー制御方式、方法、およびプログラム |
GB2408361B (en) * | 2003-11-21 | 2007-07-25 | Symbian Ltd | Allocation of resources in a computing device |
GB0505300D0 (en) | 2005-03-15 | 2005-04-20 | Level 5 Networks Ltd | Transmitting data |
US20070006057A1 (en) * | 2005-06-30 | 2007-01-04 | Paul Wallner | Semiconductor memory chip and method of protecting a memory core thereof |
US8407704B2 (en) * | 2006-09-26 | 2013-03-26 | International Business Machines Corporation | Multi-level memory architecture using data structures for storing access rights and performing address translation |
US7613915B2 (en) * | 2006-11-09 | 2009-11-03 | BroadOn Communications Corp | Method for programming on-chip non-volatile memory in a secure processor, and a device so programmed |
US9742560B2 (en) | 2009-06-11 | 2017-08-22 | Microsoft Technology Licensing, Llc | Key management in secure network enclaves |
KR101457355B1 (ko) * | 2009-12-22 | 2014-11-04 | 인텔 코포레이션 | 보안 애플리케이션 실행을 제공하는 방법 및 장치 |
US20110153944A1 (en) * | 2009-12-22 | 2011-06-23 | Klaus Kursawe | Secure Cache Memory Architecture |
US8613074B2 (en) * | 2010-09-30 | 2013-12-17 | Micron Technology, Inc. | Security protection for memory content of processor main memory |
US8943221B2 (en) * | 2010-12-16 | 2015-01-27 | Openet Telecom Ltd. | Methods, systems and devices for pipeline processing |
US8972746B2 (en) | 2010-12-17 | 2015-03-03 | Intel Corporation | Technique for supporting multiple secure enclaves |
US8914876B2 (en) | 2011-05-05 | 2014-12-16 | Ebay Inc. | System and method for transaction security enhancement |
CN102495982B (zh) * | 2011-11-30 | 2014-12-24 | 成都七巧软件有限责任公司 | 一种基于进程线程的防拷贝系统和防拷贝存储介质 |
WO2013095657A1 (en) * | 2011-12-23 | 2013-06-27 | Intel Corporation | Instruction and logic to provide vector blend and permute functionality |
US9189411B2 (en) * | 2012-12-28 | 2015-11-17 | Intel Corporation | Logging in secure enclaves |
US9720843B2 (en) * | 2012-12-28 | 2017-08-01 | Intel Corporation | Access type protection of memory reserved for use by processor logic |
US9747102B2 (en) * | 2012-12-28 | 2017-08-29 | Intel Corporation | Memory management in secure enclaves |
US9563260B2 (en) | 2013-03-15 | 2017-02-07 | Intel Corporation | Systems, apparatuses, and methods for synchronizing port entry into a low power state |
WO2014155363A1 (en) * | 2013-03-29 | 2014-10-02 | Ologn Technologies Ag | Systems, methods and apparatuses for secure storage of data using a security-enhancing chip |
US20150033034A1 (en) | 2013-07-23 | 2015-01-29 | Gideon Gerzon | Measuring a secure enclave |
US9698989B2 (en) * | 2013-07-23 | 2017-07-04 | Intel Corporation | Feature licensing in a secure processing environment |
US9864861B2 (en) * | 2014-03-27 | 2018-01-09 | Intel Corporation | Object oriented marshaling scheme for calls to a secure region |
US9703733B2 (en) * | 2014-06-27 | 2017-07-11 | Intel Corporation | Instructions and logic to interrupt and resume paging in a secure enclave page cache |
-
2015
- 2015-02-23 US US14/629,132 patent/US9710622B2/en active Active
-
2016
- 2016-01-20 TW TW105101723A patent/TWI594189B/zh active
- 2016-02-22 WO PCT/US2016/018881 patent/WO2016137867A1/en active Application Filing
- 2016-02-22 CN CN201680008156.1A patent/CN107209722B/zh active Active
- 2016-02-22 KR KR1020177020335A patent/KR102539453B1/ko active IP Right Grant
- 2016-02-22 EP EP16756110.9A patent/EP3262516B1/en active Active
- 2016-02-22 JP JP2017537419A patent/JP6702590B2/ja active Active
-
2017
- 2017-06-13 US US15/621,864 patent/US10089447B2/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130159726A1 (en) * | 2009-12-22 | 2013-06-20 | Francis X. McKeen | Method and apparatus to provide secure application execution |
US20140297962A1 (en) * | 2013-03-31 | 2014-10-02 | Carlos V Rozas | Instructions and logic to provide advanced paging capabilities for secure enclave page caches |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20210043644A (ko) * | 2018-10-05 | 2021-04-21 | 구글 엘엘씨 | 엔클레이브 포크 지원 |
US11714912B2 (en) | 2018-10-05 | 2023-08-01 | Google Llc | Enclave fork support |
Also Published As
Publication number | Publication date |
---|---|
CN107209722B (zh) | 2021-06-22 |
WO2016137867A1 (en) | 2016-09-01 |
US10089447B2 (en) | 2018-10-02 |
US9710622B2 (en) | 2017-07-18 |
EP3262516B1 (en) | 2020-08-19 |
TWI594189B (zh) | 2017-08-01 |
JP6702590B2 (ja) | 2020-06-03 |
US20170286645A1 (en) | 2017-10-05 |
EP3262516A1 (en) | 2018-01-03 |
EP3262516A4 (en) | 2018-09-26 |
CN107209722A (zh) | 2017-09-26 |
JP2018509680A (ja) | 2018-04-05 |
KR102539453B1 (ko) | 2023-06-05 |
TW201638780A (zh) | 2016-11-01 |
US20160246720A1 (en) | 2016-08-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10089447B2 (en) | Instructions and logic to fork processes of secure enclaves and establish child enclaves in a secure enclave page cache | |
US9990314B2 (en) | Instructions and logic to interrupt and resume paging in a secure enclave page cache | |
US10592421B2 (en) | Instructions and logic to provide advanced paging capabilities for secure enclave page caches | |
US10534724B2 (en) | Instructions and logic to suspend/resume migration of enclaves in a secure enclave page cache | |
KR101842058B1 (ko) | 푸싱형 버퍼 복사 및 저장 기능성을 제공하기 위한 명령어 및 논리 | |
US9411600B2 (en) | Instructions and logic to provide memory access key protection functionality | |
US10705845B2 (en) | Instructions and logic for vector bit field compression and expansion | |
WO2017105717A1 (en) | Instructions and logic for get-multiple-vector-elements operations | |
EP3391237A1 (en) | Instructions and logic for vector-based bit manipulation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |