KR20230101826A - 캐퍼빌리티들을 사용하여 메모리에 대한 액세스를 제약하기 위한 기술 - Google Patents

캐퍼빌리티들을 사용하여 메모리에 대한 액세스를 제약하기 위한 기술 Download PDF

Info

Publication number
KR20230101826A
KR20230101826A KR1020237015953A KR20237015953A KR20230101826A KR 20230101826 A KR20230101826 A KR 20230101826A KR 1020237015953 A KR1020237015953 A KR 1020237015953A KR 20237015953 A KR20237015953 A KR 20237015953A KR 20230101826 A KR20230101826 A KR 20230101826A
Authority
KR
South Korea
Prior art keywords
capability
trust level
memory
given
current mode
Prior art date
Application number
KR1020237015953A
Other languages
English (en)
Inventor
프란코이스 크리스토퍼 자크 보트만
토마스 크리스토퍼 그로컷
브래들리 존 스미스
Original Assignee
에이알엠 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에이알엠 리미티드 filed Critical 에이알엠 리미티드
Publication of KR20230101826A publication Critical patent/KR20230101826A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/02Addressing or allocation; Relocation
    • G06F12/0223User address space allocation, e.g. contiguous or non contiguous base addressing
    • G06F12/0284Multiple user address space allocation, e.g. using different base addresses
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1416Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights
    • G06F12/1425Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block
    • G06F12/1441Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block for a range
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1458Protection against unauthorised use of memory or access to memory by checking the subject access rights
    • G06F12/1491Protection against unauthorised use of memory or access to memory by checking the subject access rights in a hierarchical protection system, e.g. privilege levels, memory rings
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/30Arrangements for executing machine instructions, e.g. instruction decode
    • G06F9/30098Register arrangements
    • G06F9/30105Register structure
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/30Arrangements for executing machine instructions, e.g. instruction decode
    • G06F9/32Address formation of the next instruction, e.g. by incrementing the instruction counter
    • G06F9/321Program or instruction counter, e.g. incrementing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/30Arrangements for executing machine instructions, e.g. instruction decode
    • G06F9/34Addressing or accessing the instruction operand or the result ; Formation of operand address; Addressing modes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/30Arrangements for executing machine instructions, e.g. instruction decode
    • G06F9/34Addressing or accessing the instruction operand or the result ; Formation of operand address; Addressing modes
    • G06F9/35Indirect addressing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2212/00Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
    • G06F2212/10Providing a specific technical effect
    • G06F2212/1052Security improvement
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Storage Device Security (AREA)

Abstract

캐퍼빌리티들을 사용하여 메모리에 대한 액세스를 제약하기 위한 장치 및 방법이 제공된다. 처리 회로는 메모리에 대한 액세스 요청들이 생성되는 동작들을 수행하며, 액세스 요청들에 대한 메모리 어드레스들은 제약 정보를 식별하는 캐퍼빌리티들을 사용하여 생성된다. 캐퍼빌리티 체크 회로는 메모리 어드레스가 주어진 캐퍼빌리티를 사용하여 생성되는 주어진 액세스 요청이 그 주어진 캐퍼빌리티에 의해 식별된 제약 정보에 기초하여 허가되는지를 결정하기 위해 캐퍼빌리티 체크 동작을 수행한다. 이어서 메모리 액세스 체크 회로는 주어진 액세스 요청과 연관된 신뢰 레벨에 따라 주어진 액세스 요청에 의한 메모리에 대한 액세스를 추가로 제약한다. 주어진 캐퍼빌리티는 그와 연관된 캐퍼빌리티 신뢰 레벨을 갖고, 주어진 액세스 요청과 연관된 신뢰 레벨은 처리 회로의 현재 동작 모드와 연관된 현재 모드 신뢰 레벨, 및 주어진 캐퍼빌리티의 캐퍼빌리티 신뢰 레벨 둘 모두에 의존한다.

Description

캐퍼빌리티들을 사용하여 메모리에 대한 액세스를 제약하기 위한 기술
본 발명은 국방고등연구계획국(DARPA)에 의해 발주된 계약 번호 HR001118C0016하의 정부 지원으로 이루어졌다. 정부는 본 발명에서 소정 권리들을 갖는다.
기술분야
본 기술은 데이터 처리의 분야에 관한 것이며, 보다 구체적으로는 캐퍼빌리티(capability)들을 사용한 메모리에 대한 액세스의 제약에 관한 것이다.
소정 캐퍼빌리티들이 주어진 프로세스에 대해 정의되는 캐퍼빌리티-기반 아키텍처들에 있어서의 관심이 증가하고 있으며, 정의된 캐퍼빌리티들 밖에서 동작들을 수행하려는 시도가 있을 경우 에러가 트리거될 수 있다. 캐퍼빌리티들은 다양한 형태들을 취할 수 있지만, 캐퍼빌리티의 하나의 유형은 ("팻 포인터(fat pointer)"로도 지칭될 수 있는) 유계 포인터(bounded pointer)이다.
다수의 캐퍼빌리티 저장 요소들(예를 들어, 레지스터들)은 데이터 처리 장치의 처리 회로에 의한 액세스를 위한 캐퍼빌리티들을 저장하기 위해 제공될 수 있다. 각각의 캐퍼빌리티는, 예를 들어 캐퍼빌리티를 사용할 때 수행될 수 있는 동작의 유형들을 제한하기 위해, 캐퍼빌리티와 연관된 하나 이상의 허가를 식별하는 다수의 허가 플래그를 포함할 수 있다. 예를 들어, 그러한 캐퍼빌리티 저장 요소 내의 유계 포인터를 고려하면, 이것은, 연관된 허가를 식별하는 하나 이상의 허가 플래그와 함께, 그 캐퍼빌리티를 사용할 때 처리 회로에 의해 액세스가능한 메모리 어드레스들의 비-확장가능 범위를 식별하는 데 사용되는 정보를 제공할 수 있다. 처리 회로는, 적어도 특정 동작 모드에서 동작할 때, 그것이 이용가능한 임의의 특정 유계 포인터와 연관된 범위 및/또는 클리어 허가 플래그들을 감소시키기 위한 단계들을 취하도록 허용될 수 있지만, 그것은 전형적으로, 그 유계 포인터에 의해 처리 회로에 제공되는 캐퍼빌리티를 증가시키려고 시도하기 위해, 범위를 확장하거나 허가 플래그들을 설정할 수 없는데, 왜냐하면 이것이 캐퍼빌리티들을 사용하는 것에 의해 획득되는 보안 이익들을 손상시킬 수 있기 때문이다.
캐퍼빌리티들을 사용하여 구현되는 소정 보안 조치들을 회피하는 능력을 억제하려고 시도하면서 캐퍼빌리티들이 관리되는 방법에 있어서 더 많은 유연성을 제공하는 것이 바람직할 것이다.
제1 예시적인 배열에서, 장치로서, 메모리에 대한 액세스 요청들이 생성되는 동작들을 수행하는 처리 회로 - 처리 회로는 제약 정보를 식별하는 캐퍼빌리티들을 사용하여 액세스 요청들에 대한 메모리 어드레스들을 생성하도록 배열됨 -; 메모리 어드레스가 주어진 캐퍼빌리티를 사용하여 생성되는 주어진 액세스 요청이 그 주어진 캐퍼빌리티에 의해 식별된 제약 정보에 기초하여 허가되는지를 결정하기 위해 캐퍼빌리티 체크 동작을 수행하는 캐퍼빌리티 체크 회로; 및 주어진 액세스 요청과 연관된 신뢰 레벨에 따라 주어진 액세스 요청에 의한 메모리에 대한 액세스를 추가로 제약하는 메모리 액세스 체크 회로를 포함하며, 주어진 캐퍼빌리티는 주어진 캐퍼빌리티와 연관된 캐퍼빌리티 신뢰 레벨을 갖고, 주어진 액세스 요청과 연관된 신뢰 레벨은 처리 회로의 현재 동작 모드와 연관된 현재 모드 신뢰 레벨, 및 주어진 캐퍼빌리티의 캐퍼빌리티 신뢰 레벨 둘 모두에 의존하는, 장치가 제공된다.
추가의 예시적인 배열에서, 메모리에 대한 액세스를 제약하는 방법으로서, 메모리에 대한 액세스 요청들이 생성되는 동작들을 수행하기 위해 처리 회로를 이용하는 단계 - 처리 회로는 제약 정보를 식별하는 캐퍼빌리티들을 사용하여 액세스 요청들에 대한 메모리 어드레스들을 생성함 -; 메모리 어드레스가 주어진 캐퍼빌리티를 사용하여 생성되는 주어진 액세스 요청이 그 주어진 캐퍼빌리티에 의해 식별된 제약 정보에 기초하여 허가되는지를 결정하기 위해 캐퍼빌리티 체크 동작을 수행하는 단계; 및 주어진 액세스 요청과 연관된 신뢰 레벨에 따라 주어진 액세스 요청에 의한 메모리에 대한 액세스를 추가로 제약하는 단계 - 주어진 캐퍼빌리티는 주어진 캐퍼빌리티와 연관된 캐퍼빌리티 신뢰 레벨을 갖고, 주어진 액세스 요청과 연관된 신뢰 레벨은 처리 회로의 현재 동작 모드와 연관된 현재 모드 신뢰 레벨, 및 주어진 캐퍼빌리티의 캐퍼빌리티 신뢰 레벨 둘 모두에 의존함 - 를 포함하는, 방법이 제공된다.
또 추가의 예시적인 배열에서, 명령어 실행 환경을 제공하도록 호스트 데이터 처리 장치를 제어하기 위한 컴퓨터 프로그램으로서, 메모리에 대한 액세스 요청들이 생성되는 동작들을 수행하는 처리 프로그램 로직 - 처리 프로그램 로직은 제약 정보를 식별하는 캐퍼빌리티들을 사용하여 액세스 요청들에 대한 메모리 어드레스들을 생성하도록 배열됨 -; 메모리 어드레스가 주어진 캐퍼빌리티를 사용하여 생성되는 주어진 액세스 요청이 그 주어진 캐퍼빌리티에 의해 식별된 제약 정보에 기초하여 허가되는지를 결정하기 위해 캐퍼빌리티 체크 동작을 수행하는 캐퍼빌리티 체크 프로그램 로직; 및 주어진 액세스 요청과 연관된 신뢰 레벨에 따라 주어진 액세스 요청에 의한 메모리에 대한 액세스를 추가로 제약하는 메모리 액세스 체크 프로그램 로직을 포함하며, 주어진 캐퍼빌리티는 주어진 캐퍼빌리티와 연관된 캐퍼빌리티 신뢰 레벨을 갖고, 주어진 액세스 요청과 연관된 신뢰 레벨은 처리 프로그램 로직의 현재 동작 모드와 연관된 현재 모드 신뢰 레벨, 및 주어진 캐퍼빌리티의 캐퍼빌리티 신뢰 레벨 둘 모두에 의존하는, 컴퓨터 프로그램이 제공된다. 그러한 컴퓨터 프로그램을 저장하기 위한 컴퓨터 판독가능 매체가 제공될 수 있고, 컴퓨터 판독가능 매체는 비일시적 또는 일시적 형태일 수 있다.
또 추가의 예시적인 배열에서, 장치로서, 메모리에 대한 액세스 요청들이 생성되는 동작들을 수행하기 위한 처리 수단 - 처리 수단은 제약 정보를 식별하는 캐퍼빌리티들을 사용하여 액세스 요청들에 대한 메모리 어드레스들을 생성하도록 배열됨 -; 메모리 어드레스가 주어진 캐퍼빌리티를 사용하여 생성되는 주어진 액세스 요청이 그 주어진 캐퍼빌리티에 의해 식별된 제약 정보에 기초하여 허가되는지를 결정하기 위해 캐퍼빌리티 체크 동작을 수행하기 위한 캐퍼빌리티 체크 수단; 및 주어진 액세스 요청과 연관된 신뢰 레벨에 따라 주어진 액세스 요청에 의한 메모리에 대한 액세스를 추가로 제약하기 위한 메모리 액세스 체크 수단을 포함하며, 주어진 캐퍼빌리티는 주어진 캐퍼빌리티와 연관된 캐퍼빌리티 신뢰 레벨을 갖고, 주어진 액세스 요청과 연관된 신뢰 레벨은 처리 수단의 현재 동작 모드와 연관된 현재 모드 신뢰 레벨, 및 주어진 캐퍼빌리티의 캐퍼빌리티 신뢰 레벨 둘 모두에 의존하는, 장치가 제공된다.
본 기술이 첨부 도면들에 예시된 바와 같은 그의 예들을 참조하여, 단지 예시로서, 추가로 설명될 것이다.
도 1은 하나의 예시적인 구현예에 따른 장치의 블록도이다.
도 2는 유계 포인터 저장 요소들의 세트 내의 포인터 값을 설정하거나 그에 액세스하려는 시도가 있는 경우 에러가 트리거될 수 있는 명령어의 유형들의 예들을 도시하며, 여기서 그 포인터 값은 연관된 범위 정보에 의해 표시된 범위 밖의 어드레스를 지정하는 데 사용된다.
도 3은 하나의 예시적인 구현예에 따른, 유계 포인터들과 연관된 태그 비트의 사용을 예시한다.
도 4는 본 명세서에 설명된 기술들에 따라 사용될 수 있는 캐퍼빌리티의 형태를 개략적으로 예시하며, 여기서 신뢰 레벨 표시가 캐퍼빌리티와 연관하여 제공된다.
도 5a는 하나의 예시적인 구현예에 따른, 개별 액세스 요청에 대한 신뢰 레벨이 어떻게 생성되고 그 후에 메모리에 대한 액세스를 제약하는 데 사용될 수 있는지를 개략적으로 예시하는 도면이다.
도 5b는 하나의 예시적인 구현예에 따른, 도 5a에 개략적으로 도시된 장치의 동작을 예시하는 흐름도이다.
도 6a는 하나의 예시적인 구현예에 따른 캐퍼빌리티 핸들링 회로 내에 제공될 수 있는 컴포넌트들을 개략적으로 예시하는 블록도이다.
도 6b는 하나의 예시적인 구현예에 따른 캐퍼빌리티 생성 동작의 수행을 예시하는 흐름도이다.
도 7은 하나의 예시적인 구현예에 따른, 처리 회로의 상이한 도메인들 및 처리 상태들의 예를 도시하고, 처리 회로가 도메인과 처리 상태의 하나 이상의 특정 조합에서 동작하고 있을 때 캐퍼빌리티 생성 능력들이 어떻게 제공될 수 있는지를 나타낸다.
도 8a는 하나의 예시적인 구현예에 따른, 메모리로부터 캐퍼빌리티를 로딩하기 위해 수행되는 단계들을 예시하는 흐름도이다.
도 8b는 추가의 예시적인 구현예에 따른, 메모리로부터 캐퍼빌리티를 로딩하기 위해 수행되는 단계들을 예시하는 흐름도이다.
도 9는 하나의 예시적인 구현예에 따른, 캐퍼빌리티의 캐퍼빌리티 신뢰 레벨을 감소시키는 능력이 어떻게 처리 회로의 현재 동작 모드와 연관된 현재 모드 신뢰 레벨에 따라 이루어질 수 있는지를 예시하는 흐름도이다.
도 10은 하나의 예시적인 구현예에 따른, 컴파일러가 초기 캐퍼빌리티들의 세트를 생성하는 데 어떻게 사용될 수 있는지를 개략적으로 예시한다.
도 11은 불변의 캐퍼빌리티들의 수정을 선택적으로 허용할지를 결정하기 위해 하나의 예시적인 구현예에서 이용될 수 있는 프로세스를 예시하는 흐름도이다.
도 12는 사용될 수 있는 시뮬레이터 예를 도시한다.
본 명세서에 설명된 기술들에 따르면, 메모리에 대한 액세스 요청들이 생성되는 동작들을 수행하기 위한 처리 회로를 갖는 장치가 제공된다. 처리 회로는 제약 정보를 식별하는 캐퍼빌리티들을 사용하여 액세스 요청들에 대한 메모리 어드레스들을 생성하도록 배열된다. 처리 회로에 의해 생성된 메모리 어드레스는 어드레스 변환이 수행되는 시스템들에서의 가상 어드레스일 수 있거나, 대안적으로 어드레스 변환을 지원하지 않는 시스템들에서의 물리 어드레스일 수 있다.
장치는 또한 그의 메모리 어드레스가 주어진 캐퍼빌리티를 사용하여 생성되는 주어진 액세스 요청이 그 주어진 캐퍼빌리티에 의해 식별된 제약 정보에 기초하여 허가되는지를 결정하기 위해 캐퍼빌리티 체크 동작을 수행하는 캐퍼빌리티 체크 회로를 갖는다. 캐퍼빌리티 체크 회로는 처리 회로와는 별개의 컴포넌트일 수 있거나, 대안적으로 장치의 처리 회로 내에 제공될 수 있다.
제약 정보가 연관된 캐퍼빌리티에 의해 식별될 수 있는 다수의 방법들이 있다. 예를 들어, 하나의 예시적인 구현예에서 캐퍼빌리티는 제약 정보를 직접 포함할 수 있다. 그러나, 대안적인 구현예에서, 캐퍼빌리티는 대신에 제약 정보가 위치된 메모리 내의 위치를 (직접적으로 또는 간접적으로) 나타낼 수 있다.
장치는 주어진 액세스 요청과 연관된 신뢰 레벨에 따라 주어진 액세스 요청에 의한 메모리에 대한 액세스를 추가로 제약하는 메모리 액세스 체크 회로를 추가로 갖는다. 메모리 액세스 체크 회로는 다양한 형태들, 예를 들어 메모리 관리 유닛(MMU), 메모리 보호 유닛(MPU), 보안 속성 유닛(SAU), 또는 그러한 컴포넌트들의 조합을 취할 수 있다. 본 명세서에 설명된 기술들 이전에, 그러한 메모리 액세스 체크 회로는 전형적으로, 임의의 특정 신뢰 레벨을 개별 액세스 요청들과 연관시키기보다는, 메모리에 대한 액세스를 추가로 제약할 때 처리 회로의 현재 동작 모드와 연관된 신뢰 레벨을 고려하도록 배열될 것이다. 그러나, 본 명세서에 설명된 기술들에 따르면, 주어진 캐퍼빌리티는 그와 연관된 캐퍼빌리티 신뢰 레벨을 가지며, 그 정보는 또한 메모리 액세스 체크 회로에 의해 수행되는 체크들에 고려될 수 있다. 특히, 본 명세서에 설명된 기술들에 따르면, 주어진 액세스 요청과 연관된 신뢰 레벨은 처리 회로의 현재 동작 모드와 연관된 현재 모드 신뢰 레벨 및 주어진 캐퍼빌리티의 캐퍼빌리티 신뢰 레벨 둘 모두에 의존한다.
나중에 더 상세히 논의될 바와 같이, 개별 캐퍼빌리티들과 연관하여 캐퍼빌리티 신뢰 레벨을 제공함으로써, 이것은 캐퍼빌리티들이 관리 및 사용될 수 있는 방법들을 향상시킬 수 있다. 예를 들어, 위에서 논의된 바와 같이 주어진 액세스 요청에 의해 지정된 메모리에 대한 액세스가 진행되도록 허용할지 여부를 결정할 때 메모리 액세스 체크 회로에 의해 캐퍼빌리티 신뢰 레벨이 고려될 것이기 때문에, 소정 상황들에서 처리 회로에 의해 캐퍼빌리티들이 생성되도록 허용하는 메커니즘이 제공될 수 있으며, 특정 캐퍼빌리티와 연관된 캐퍼빌리티 신뢰 레벨은 이어서 그 캐퍼빌리티의 출처를 추적하고, 그 캐퍼빌리티를 사용해 후속하여 이루어지는 액세스들을 제약하는 데 효과적으로 사용된다.
또한, 그러한 메커니즘은 추가로, 예를 들어 혼란스러운 대리 공격(confused deputy attack)과 싸우기 위해, 특정 사용-사례 보호들이 지원되는 것을 가능하게 한다. 덜 특권화된 코드가 더 특권화된 코드에 포인터를 전달하여, 더 특권화된 코드를 사용하여 그것을 대신하여 소정 동작들을 수행하려고 시도할 할 때 혼란스러운 대리 공격이 발생할 수 있다. 캐퍼빌리티 신뢰 레벨의 사용을 통해, 이것은 더 특권화된 코드가 비특권화된 코드에 액세스가능하지 않아야 하는 메모리의 영역을 악의적으로 어드레싱하는 비특권화된 코드에 의해 생성된 포인터들을 우발적으로 사용하는 것을 방지할 수 있다. 특히, 그러한 상황들에서 포인터는 그의 캐퍼빌리티 신뢰 레벨이 비특권화된 코드의 캐퍼빌리티 신뢰 레벨을 초과하지 않는 캐퍼빌리티를 사용하여 생성되었을 것이고, 따라서 특권화된 코드로부터 액세스가 시도될지라도 메모리 액세싱 회로는 포인터를 생성하는 데 사용된 캐퍼빌리티의 캐퍼빌리티 신뢰 레벨로 인해 특권화된 메모리에 대한 액세스를 방지할 것이다.
전술된 기술들은 매우 다양한 상이한 시스템들에서 사용될 수 있다. 예를 들어, 처리 회로는 다양한 형태를 취할 수 있다. 예를 들어, 처리 회로는 다양한 상이한 동작 모드들에서 프로그램 코드를 실행하도록 배열된 중앙 처리 유닛(CPU)일 수 있지만, 기술들은 또한 다른 형태의 처리 회로, 예를 들어 직접 메모리 액세스(DMA) 제어기, 암호화 가속기 등과 관련하여 적용될 수 있다.
주어진 액세스 요청과 연관된 신뢰 레벨이 처리 회로의 현재 동작 모드 및 주어진 캐퍼빌리티의 캐퍼빌리티 신뢰 레벨 둘 모두에 기초하여 결정될 수 있는 다수의 방법들이 존재한다. 예를 들어, 시스템은 허가들의 승인 또는 허가들의 제한에 기초할 수 있고, 주어진 액세스 요청과 연관된 신뢰 레벨은 그러한 기술들 중 어느 것이 사용되는지에 의존할 수 있다. 그러나, 하나의 예시적인 구현예에 따르면, 기술은 허가들의 제한에 기초하고, 주어진 액세스 요청과 연관된 신뢰 레벨은 현재 모드 신뢰 레벨과 캐퍼빌리티 신뢰 레벨 중 어느 것이든지 더 낮은 신뢰 레벨을 나타내도록 제약된다.
캐퍼빌리티에 대해 캐퍼빌리티 신뢰 레벨이 지정될 수 있는 다수의 방법들이 있지만, 하나의 예시적인 구현예에서 캐퍼빌리티 신뢰 레벨은 주어진 캐퍼빌리티 내에 인코딩된다. 이것은 다양한 방식으로 구현될 수 있지만, 하나의 예시적인 구현예에서, 각각의 캐퍼빌리티에 대해 제약 정보는 그 캐퍼빌리티를 사용하여 생성된 메모리 어드레스들에 허가된 다양한 유형의 메모리 액세스들을 식별하는 허가들의 세트를 적어도 제공하고, 캐퍼빌리티 신뢰 레벨은 추가적인 허가로서 제공된다.
그러나, 전술된 예시적인 구현예에서 캐퍼빌리티 신뢰 레벨은 주어진 캐퍼빌리티 내에 인코딩되지만, 이것은 요건이 아니며, 캐퍼빌리티 신뢰 레벨을 주어진 캐퍼빌리티와 연관시키기 위한 다른 메커니즘들이 제공될 수 있다는 점에 유의해야 한다. 예를 들어, 대안적인 구현예에서 주어진 캐퍼빌리티는 캐퍼빌리티 신뢰 레벨을 포함하는 위치를 나타내는 식별자를 제공할 수 있다. 따라서, 그러한 구현예에서 캐퍼빌리티 신뢰 레벨 정보는 다른 곳에, 예를 들어 메모리에 존재할 수 있으며, 캐퍼빌리티 자체는 캐퍼빌리티 신뢰 레벨을 제공하는 메타데이터의 위치를 나타내는 값을 포함한다. 캐퍼빌리티 신뢰 레벨을 포함하는 위치를 나타내는 데 사용되는 식별자는 다양한 형태를 취할 수 있다. 예를 들어 그것은 시스템의 글로벌 레지스터에 저장된 어드레스로부터의 오프셋일 수 있으며, 따라서 메모리에서 캐퍼빌리티 신뢰 레벨이 유지되는 곳을 식별하는 메모리 어드레스가 결정되는 것을 가능하게 할 수 있다. 대안적으로, 식별자는 캐퍼빌리티 신뢰 레벨 정보가 저장되는 메모리 내의 위치를 직접 식별할 수 있다.
각각의 캐퍼빌리티 내에 제공되는 제약 정보는 다양한 형태들을 취할 수 있지만, 하나의 예시적인 구현예에서 그 캐퍼빌리티를 사용하여 임의의 액세스 요청에 대해 생성된 메모리 어드레스에 대한 메모리 어드레스들의 허용가능 범위를 결정하는 데 사용되는 한계 정보(bounds information)를 추가로 제공한다. 하나의 예시적인 구현예에서, 제약 정보는 그러한 한계 정보, 및 또한 그 캐퍼빌리티를 사용하여 생성된 메모리 어드레스들에 허가된 메모리 액세스들의 유형들을 식별하는 허가들의 세트 둘 모두를 포함할 수 있다. 캐퍼빌리티는 또한 다른 정보, 예를 들어 메모리 어드레스를 생성할 때 사용되는 포인터 값을 포함할 수 있는데, 예를 들어 메모리 어드레스를 생성하기 위해 그 포인터 값을 어떤 오프셋에 더하는 것에 의한다. 이어서 생성된 메모리 어드레스는 생성된 메모리 어드레스가 허용가능 범위 내에 있는지를 결정하기 위해 한계 정보와 비교될 수 있다.
하나의 예시적인 구현예에서, 처리 회로는, 적어도 현재 모드 신뢰 레벨이 임계 신뢰 레벨을 초과할 때, 캐퍼빌리티를 생성하기 위해 캐퍼빌리티 생성 동작을 수행하고 현재 모드 신뢰 레벨보다 낮은 신뢰 레벨을 나타내도록 생성된 캐퍼빌리티에 대한 연관된 캐퍼빌리티 신뢰 레벨을 설정하도록 배열된 캐퍼빌리티 생성 회로를 포함한다. 따라서, 그러한 예시적인 구현예에서 처리 회로는 그 후에 시스템 내에서 사용될 수 있는 캐퍼빌리티들을 생성하기 위한 제한된 위조 권한들을 제공받을 수 있다. 그러나, 그러한 캐퍼빌리티 생성 동작을 수행할 때, 처리 회로는 연관된 캐퍼빌리티 신뢰 레벨이 현재 모드 신뢰 레벨보다 낮은 신뢰 레벨을 나타내도록 제약될 것이며, 이에 따라 그의 현재 동작 모드에서의 처리 회로가 그 현재 동작 모드에서 사용할 캐퍼빌리티를 스스로 생성하는 것을 방지할 것이다. 대신에, 임의의 생성된 캐퍼빌리티는 그 캐퍼빌리티를 생성할 때 사용되는 현재 모드 신뢰 레벨보다 낮은 신뢰 레벨을 갖는 하나 이상의 동작 모드에서 사용하기 위한 것일 것이다.
상기의 캐퍼빌리티 생성 능력들은, 처리 회로가 그러한 하나 이상의 특정 동작 모드에 있을 때에만 캐퍼빌리티를 생성할 수 있도록, 하나 이상의 특정 모드 신뢰 레벨로 제한될 수 있다. 그러나, 대안적으로 그러한 캐퍼빌리티 생성 기술은 캐퍼빌리티를 사용할 때 지원되는 최저 신뢰 레벨 이외의 임의의 모드 신뢰 레벨에 대해 지원될 수 있다.
상기의 예시적인 구현예에서 캐퍼빌리티 생성 기능은 하나 이상의 모드 신뢰 레벨로 제한될 수 있고, 생성된 캐퍼빌리티와 연관된 캐퍼빌리티 신뢰 레벨이 현재 모드 신뢰 레벨보다 낮게 설정되는 것을 야기하지만, 대안적인 구현예에서 캐퍼빌리티 생성 기능은 상이한 방식으로 지원될 수 있다. 예를 들어, 하나의 특정 구현예에서 처리 회로는, 현재 모드 신뢰 레벨이 소스 데이터와 연관하여 제공되는 캐퍼빌리티 신뢰 레벨 표시를 초과한다면, 소스 데이터로부터 캐퍼빌리티를 생성하기 위해 캐퍼빌리티 생성 동작을 수행하도록 배열된 캐퍼빌리티 생성 회로를 포함할 수 있다. 따라서, 캐퍼빌리티가 그로부터 생성되는 소스 데이터는 그것과 연관하여 제공되는 캐퍼빌리티 신뢰 레벨 표시를 가질 수 있고, 캐퍼빌리티 생성 회로는 현재 모드 신뢰 레벨이 그 캐퍼빌리티 신뢰 레벨 표시를 초과한다면 캐퍼빌리티 생성 동작을 수행하도록 허용될 수 있다. 그렇지 않다면, 유효 캐퍼빌리티의 생성은 방지될 수 있다. 이것은 다양한 방식들로, 예를 들어 캐퍼빌리티와 연관하여 제공되는 제어 값이 캐퍼빌리티를 유효 캐퍼빌리티로서 식별하도록 설정되는 것을 방지함으로써(그러한 제어 값은 본 명세서에서 태그 값으로도 지칭됨), 또는 장애를 발생시킴으로써 달성될 수 있다.
하나의 예시적인 구현예에서 처리 회로는 프로그램 명령어들을 실행하도록 배열될 수 있으며, 프로그램 명령어들의 처리는 우세 캐퍼빌리티에 의해 제약된다. 처리 회로는 제어 흐름 변경 동작을 수행하는 데 사용되는 제어 흐름 변경 핸들링 회로를 추가로 포함할 수 있으며, 제어 흐름 변경 동작은 제어 흐름 변경 동작 후의 실행을 위한 프로그램 명령어의 어드레스를 나타내는 제어 흐름 변경 타겟 어드레스를 정의한다. 그러한 구현예에서 앞서 언급된 캐퍼빌리티 생성 회로는 다음 우세 캐퍼빌리티로서 사용하기 위한 캐퍼빌리티를 생성하는 데 사용될 수 있다. 특히, 캐퍼빌리티 생성 회로는, 제어 흐름 변경 타겟 어드레스에 따라, 캐퍼빌리티 제약 정보가 저장되는 어드레스를 결정하도록 배열될 수 있다. 이어서 그 캐퍼빌리티 제약 정보는 검색되고 다음 우세 캐퍼빌리티를 형성하도록 캐퍼빌리티를 생성하는 데 사용될 수 있다. 그 다음 우세 캐퍼빌리티는 적어도 캐퍼빌리티 제약 정보에 따라 생성될 수 있고, 현재 모드 신뢰 레벨보다 낮은 신뢰 레벨을 나타내도록 제약된 연관된 캐퍼빌리티 신뢰 레벨을 가질 수 있다. 따라서, 생성된 캐퍼빌리티는 현재 모드 신뢰 레벨(즉, 분기가 발생하기 전의 제 위치의 신뢰 레벨)에 기초하여 필요에 따라 그의 연관된 신뢰 레벨을 강등되게 할 수 있다.
그러한 구현예에서 처리 회로의 현재 모드 신뢰 레벨은 우세 캐퍼빌리티와 연관된 신뢰 레벨에 의해 추가로 제약될 수 있다는 점에 또한 유의해야 한다. 이것은, 예를 들어, 비특권화된 캐퍼빌리티가 프로그램 카운터 값을 생성하는 데 사용될 때, 이것이 특권화된 코드의 실행을 결코 허용하지 않을 것을 보장할 수 있다. 따라서, 그러한 구현예에서 이어서 처리 회로의 모드 신뢰 레벨은 (예를 들어 처리 회로가 보안 도메인(secure domain)에서 동작하고 있는지 또는 하위 보안 도메인(less secure domain)에서 동작하고 있는지 그리고/또는 특권화된 상태(privileged state) 내에서 동작하고 있는지 또는 비특권화된 상태(unprivileged state) 내에서 동작하고 있는지에 따라) 현재 실행 모드에 고유한 현재 실행 신뢰 레벨과 현재 코드를 실행하는 데 사용되는 프로그램 카운터 캐퍼빌리티에 대해 설정된 캐퍼빌리티 신뢰 레벨 중 가장 낮은 것이도록 제약될 수 있다.
캐퍼빌리티들은 시스템 내의 다양한 위치들에 저장될 수 있다. 예를 들어, 장치는 처리 회로에 의한 참조를 위해 캐퍼빌리티들을 저장하는 데 사용되는 캐퍼빌리티 레지스터들의 세트를 가질 수 있지만, 하나 이상의 캐퍼빌리티를 저장하는 데 사용될 수 있는 메모리 회로를 또한 가질 수 있다. 처리 회로는 메모리 회로로부터의 선택된 캐퍼빌리티를 캐퍼빌리티 레지스터들의 세트로부터의 선택된 캐퍼빌리티 레지스터에 로딩하기 위해 로드 동작을 수행하도록 배열될 수 있다. 이 프로세스 동안, 처리 회로는 선택된 캐퍼빌리티 레지스터에 저장된 바와 같은 선택된 캐퍼빌리티가 현재 모드 신뢰 레벨 또는 메모리 회로에 저장된 바와 같은 선택된 캐퍼빌리티의 캐퍼빌리티 신뢰 레벨을 초과하지 않도록 제약된 캐퍼빌리티 신뢰 레벨을 갖도록 캐퍼빌리티 신뢰 레벨을 선택적으로 수정하도록 배열될 수 있다. 따라서, 메모리 회로 내에 여전히 보유될 수 있는 캐퍼빌리티의 원래 버전은 변경된 그의 연관된 캐퍼빌리티 신뢰 레벨을 갖지 않을 것이지만, 캐퍼빌리티 레지스터에 저장된 바와 같은 버전은, 그 캐퍼빌리티 신뢰 레벨을 제약하고, 따라서 캐퍼빌리티 레지스터 내에 저장된 바와 같은 그 캐퍼빌리티의 캐퍼빌리티 신뢰 레벨에 따라 그 로딩된 캐퍼빌리티를 사용하여 수행되는 후속 메모리 액세스 동작들을 제약하도록, 로드 동작 동안 처리 회로에 의해 변경된 그의 캐퍼빌리티 신뢰 레벨을 가질 수 있다.
몇몇 구현예에서 로드 동작은 (캐퍼빌리티보다는) 통상의 데이터를 캐퍼빌리티 레지스터에 로딩하기 위해 몇몇 경우들에서 수행될 수 있고, 그러한 경우들에서 캐퍼빌리티 신뢰 레벨과 연관될 데이터 내의 비트들이 실제로 캐퍼빌리티가 수정되지 않은 그 데이터인 것이 중요할 수 있는데, 왜냐하면 이 경우에 핸들링되고 있는 것은 캐퍼빌리티가 아니고 그러한 비트들을 수정하는 것은 데이터를 손상시킬 것이기 때문이다. 따라서, 하나의 예시적인 구현예에서 처리 회로는 선택된 캐퍼빌리티가 선택된 캐퍼빌리티가 유효 캐퍼빌리티임을 식별하는 제어 값을 가질 때 로드 동작 동안 캐퍼빌리티 신뢰 레벨을 단지 선택적으로 수정하도록 배열될 수 있다. 그러한 접근법에 의해, 로드 동작 동안의 캐퍼빌리티 신뢰 레벨의 전술된 선택적 수정은 실제로 캐퍼빌리티가 캐퍼빌리티 레지스터에 로딩되고 있는 경우에만 수행될 것이다.
캐퍼빌리티 신뢰 레벨이 현재 모드 신뢰 레벨 또는 메모리 회로에 저장된 바와 같은 선택된 캐퍼빌리티의 캐퍼빌리티 신뢰 레벨을 초과하지 않도록 제약될 수 있는 다수의 방법들이 있다. 그러나, 하나의 특정한 예시적인 구현예에서, 현재 모드 신뢰 레벨이 메모리 회로에 저장된 바와 같은 선택된 캐퍼빌리티의 캐퍼빌리티 신뢰 레벨 미만일 때, 처리 회로는 현재 모드 신뢰 레벨과 일치하도록 선택된 캐퍼빌리티 레지스터에 저장된 바와 같은 선택된 캐퍼빌리티의 캐퍼빌리티 신뢰 레벨을 강등시키도록 배열된다.
게다가, 현재 모드 신뢰 레벨이 메모리 회로에 저장된 바와 같은 선택된 캐퍼빌리티의 캐퍼빌리티 신뢰 레벨 이상일 때, 처리 회로는 선택된 캐퍼빌리티가 선택된 캐퍼빌리티 레지스터에 저장될 때 캐퍼빌리티 신뢰 레벨을 변경 없이 두도록 배열될 수 있다. 따라서, 이러한 시나리오에서 캐퍼빌리티 신뢰 레벨은 로드 동작 동안 변경되지 않는다.
하나의 예시적인 구현예에서, 적어도 현재 모드 신뢰 레벨이 임계 신뢰 레벨을 초과할 때, 처리 회로는 선택된 캐퍼빌리티의 캐퍼빌리티 신뢰 레벨이 그의 현재 캐퍼빌리티 신뢰 레벨로부터 감소될 수 있게 하도록 배열된다. 따라서, 그러한 메커니즘은 생성된 캐퍼빌리티가 어떻게 관리되는지에 있어서 유연성을 제공하며, 특히 캐퍼빌리티 신뢰 레벨이 강등되도록 허용할 수 있다. 그러한 기술에 의해, 처리 회로 상에서 실행되는 프로그램 코드가, 적어도 현재 모드 신뢰 레벨이 임계 신뢰 레벨을 초과하는 동안(즉, 현재 프로그램 코드가 충분히 신뢰됨을 나타냄), 하나 이상의 캐퍼빌리티의 캐퍼빌리티 신뢰 레벨을 강등시키는 것이 가능할 수 있다. 몇몇 구현예에서 그러한 기능은 현재 모드 신뢰 레벨에 관계없이 허용될 수 있거나, 캐퍼빌리티 신뢰 레벨을 강등시키는 이러한 능력은 상이한 방식으로, 예를 들어 그의 캐퍼빌리티 신뢰 레벨이 현재 모드 신뢰 레벨을 초과하지 않는 캐퍼빌리티와 관련하여 제한될 수 있다.
하나의 예시적인 구현예에서, 장치는 하나 이상의 초기 캐퍼빌리티를 제공받을 수 있으며, 그의 캐퍼빌리티 신뢰 레벨은 캐퍼빌리티를 이용할 때 장치에 의해 지원되는 최고 신뢰 레벨을 나타낸다. 그러한 초기 캐퍼빌리티들은 예를 들어 액세스 요청들이 캐퍼빌리티들에 의해 제약되는 캐퍼빌리티 동작 모드에 장치가 진입하기 전에 설정될 수 있다. 초기 캐퍼빌리티들은 다양한 방식들로 정의될 수 있지만, 하나의 예시적인 구현예에서 장치 상에서 실행될 프로그램 코드를 컴파일하는 데 사용되는 컴파일러에 의해 정의될 수 있다. 메모리로부터 캐퍼빌리티들을 로딩할 때 이용될 수 있는 앞서 설명된 기술, 특히 현재 모드 신뢰 레벨이 로딩된 캐퍼빌리티의 캐퍼빌리티 신뢰 레벨보다 낮은 상황들에서 캐퍼빌리티 신뢰 레벨을 선택적으로 강등시키는 능력으로 인해, 이것은 초기 캐퍼빌리티가, 생성될 때, 캐퍼빌리티들을 이용할 때 장치에 의해 지원되는 최고 신뢰 레벨을 제공받았을지라도 올바른 동작을 보장할 수 있다.
하나의 예시적인 구현예에서 초기 캐퍼빌리티들 모두가 최고 신뢰 레벨을 나타내는 캐퍼빌리티 신뢰 레벨을 갖도록 설정될 수 있지만, 원하는 경우, 예를 들어 개발자가 캐퍼빌리티가 항상 비특권화되어야 한다는 것을 알고 있다면, 초기 캐퍼빌리티들 중 하나 이상은 더 낮은 신뢰 레벨로 생성될 수 있다.
처리 회로는 다양한 상이한 방식들로 동작하도록 배열될 수 있으며, 현재 모드 신뢰 레벨은 처리 회로가 현재 어떻게 동작하고 있는지에 의존한다. 예를 들어, 하나의 구현예에서 처리 회로는 적어도 특권화된 상태 및 비특권화된 상태를 포함하는 복수의 상태 중 하나에서 프로그램 코드를 실행하도록 배열될 수 있고, 현재 모드 신뢰 레벨은 현재 프로그램 코드가 복수의 상태 중 어느 것에서 실행되는지에 의존할 수 있다. 2개의 상이한 상태들, 즉 특권화된 상태 및 비특권화된 상태가 존재할 수 있거나, 상이한 특권 레벨들을 갖는 N개의 상이한 상태들이 존재할 수 있으며, 여기서 N은 2보다 크고, 이러한 시나리오들 중 어느 하나에서 현재 모드 신뢰 레벨은 현재 프로그램 코드가 어느 상태에서 실행되는지에 따라 설정될 수 있다는 점에 유의해야 한다. 예를 들어, 특정 구현예는, 상이한 상태들로서, EL0, EL1 및 EL2와 같은 상이한 예외 레벨들(EL들)을 제공할 수 있으며, 여기서 EL2는 EL1보다 더 특권화되고, EL1은 EL0보다 더 특권화된다.
대안적으로 또는 추가로, 처리 회로는 적어도 보안 도메인 및 하위 보안 도메인을 포함하는 복수의 보안 도메인 중 하나에서 프로그램 코드를 실행하도록 배열될 수 있고, 현재 모드 신뢰 레벨은 현재 프로그램 코드가 복수의 보안 도메인 중 어느 것에서 실행되는지에 의존할 수 있다. 처리 상태들에서와 같이, 단지 2개의 도메인, 즉 보안 도메인 및 비보안 도메인이 존재할 수 있거나, 대안적으로 M개의 상이한 도메인이 존재할 수 있으며, 여기서 M은 2보다 크고, 도메인들 각각은 상이한 보안 레벨을 가지며, 이어서 현재 모드 신뢰 레벨은 현재 프로그램 코드가 보안 도메인들 중 어느 것에서 실행되는지에 따라 설정될 수 있다.
현재 모드 신뢰 레벨은 다수의 상이한 직교 신뢰 레벨들에 따라 설정될 수 있고, 2개 초과의 직교 신뢰 레벨들이 있을 수 있다는 점에 또한 유의해야 한다. 따라서, 예를 들어, 하나의 구현예에서 처리 회로는 위에서 논의된 상이한 상태들 및 상이한 보안 도메인들 둘 모두에서 동작하는 것이 가능할 수 있고, 현재 모드 신뢰 레벨은 그러한 팩터들 둘 모두에 따라 설정될 수 있다.
하나의 예시적인 구현예에서, 캐퍼빌리티들은 그의 제약 정보가 불변으로서 식별되는 적어도 하나의 불변의 캐퍼빌리티를 포함할 수 있다. 전형적으로 이것은 일단 캐퍼빌리티가 확립되면 처리 회로가 제약 정보를 변경할 수 없을 것임을 의미할 것이다. 그러나, 본 명세서에 설명된 기술들에 따르면, 소정 상황들에서 선택된 불변의 캐퍼빌리티의 제약 정보가 수정되도록 허용하는 것이 가능하다. 예를 들어, 하나의 구현예에서, 적어도 현재 모드 신뢰 레벨이 임계 신뢰 레벨을 초과할 때, 처리 회로는, 선택된 불변의 캐퍼빌리티가 현재 모드 신뢰 레벨 미만의 캐퍼빌리티 신뢰 레벨을 갖는다면, 선택된 불변의 캐퍼빌리티의 제약 정보가 수정될 수 있게 하도록 배열된다. 몇몇 예시적인 구현예에서, 현재 모드 신뢰 레벨이 임계 신뢰 레벨을 초과하는지를 체크할 필요가 없을 수 있고, 대신에, 선택된 불변의 캐퍼빌리티가 현재 모드 신뢰 레벨 미만의 캐퍼빌리티 신뢰 레벨을 갖는다면, 선택된 불변의 캐퍼빌리티의 제약 정보는 항상 수정되도록 허용될 수 있다.
대안적인 구현예에서, 불변의 캐퍼빌리티들의 선택적 수정은 상이한 방식으로 관리될 수 있다. 예를 들어, 위의 예에서 불변의 캐퍼빌리티에 대한 수정 동작은 신뢰 레벨 기준이 충족되지 않는 경우 수행되지 않지만, 대안적인 구현예에서 신뢰 레벨 기준이 충족되지 않을지라도 수정은 발생할 수 있지만, 태그 비트는 그 경우에 캐퍼빌리티를 무효로 효과적으로 만들기 위해 클리어될 수 있다. 추가의 대안으로서, 수정은 수행될 수 있지만, 요구되는 경우 캐퍼빌리티 신뢰 레벨은 위에서 언급된 신뢰 기준이 충족되도록, 즉 일단 불변의 캐퍼빌리티가 변경되면 캐퍼빌리티 신뢰 레벨이 그때 현재 모드 신뢰 레벨 미만이도록 강등될 수 있다. 이어서 이것은 그 수정된 불변의 캐퍼빌리티의 그 뒤의 사용을 제한하거나, 처리 회로는 그러한 상황에서 장애를 발생시키도록 배열될 수 있다.
캐퍼빌리티가 불변인 것으로서 식별될 수 있는 다수의 방법들이 존재한다는 점에 유의해야 한다. 하나의 예시적인 구현예에서, 캐퍼빌리티가 불변인지를 (직접적으로 또는 간접적으로) 표시하도록 비트가 캐퍼빌리티에서 지정될 수 있다.
메모리 회로로부터 캐퍼빌리티 레지스터로 캐퍼빌리티를 로딩하기 위해 로드 동작을 수행하는 앞서 설명된 프로세스를, 그것이 선택된 캐퍼빌리티 레지스터에 저장될 때 그 캐퍼빌리티의 캐퍼빌리티 신뢰 레벨의 선택적 강등과 함께 참조하면, 불변의 캐퍼빌리티들의 맥락에서 그 프로세스를 고려할 때, 처리 회로는 선택된 캐퍼빌리티가 불변의 캐퍼빌리티일 때 선택된 캐퍼빌리티의 캐퍼빌리티 신뢰 레벨의 강등을 디스에이블하도록 구성될 수 있다. 그러한 접근법은, 예를 들어, 불변의 캐퍼빌리티를 수정함이 없이 비특권화된 모드 내로부터의 특권화된 불변의 캐퍼빌리티들의 유출을 허용할 것이다.
하나의 예시적인 구현예에서, 처리 회로는 주어진 캐퍼빌리티와 연관된 캐퍼빌리티 신뢰 레벨이 현재 모드 신뢰 레벨을 초과하는 상황에서 주어진 액세스 요청에 의해 식별된 액세스를 수행하려는 시도가 이루어질 때 장애 신호를 발행하도록 배열된다. 이것은 처리 회로가 그의 현재 동작 모드에 있을 때 처리 회로에 의한 사용을 위해 의도되지 않은 캐퍼빌리티들을 사용하려고 시도하는 것을 방지할 수 있다. 장애를 트리거하기 위해 취해질 수 있는 다양한 상이한 액션들이 있다. 예를 들어, 장애는 생성된 어드레스의 체크에 기초하여 트리거될 수 있거나, 어드레스가 심지어 생성되기 전에 트리거될 수 있다.
하나의 예시적인 구현예에서, 캐퍼빌리티가 메모리로부터 캐퍼빌리티 레지스터에 로딩될 때 캐퍼빌리티 신뢰 레벨의 이전의 선택적 수정을 고려할 때, 하나의 예시적인 구현예에서 선택된 캐퍼빌리티 레지스터에 저장된 바와 같은 선택된 캐퍼빌리티는 로드 동작에 대한 메모리 어드레스를 생성하는 데 사용되는 캐퍼빌리티와 연관된 캐퍼빌리티 신뢰 레벨을 초과하지 않는 캐퍼빌리티 신뢰 레벨을 갖도록 추가로 제약될 수 있다. 그러한 접근법은 메모리로부터 캐퍼빌리티 레지스터에 로딩된 캐퍼빌리티와 연관된 캐퍼빌리티 신뢰 레벨을 추가로 제약하는 데 사용될 수 있다.
하나의 예시적인 구현예에서, 메모리로부터 캐퍼빌리티 레지스터로의 캐퍼빌리티의 앞서 언급된 로딩을 수행할 때, 선택된 캐퍼빌리티 레지스터에 저장된 바와 같은 선택된 캐퍼빌리티의 캐퍼빌리티 신뢰 레벨의 강등의 수행은 제어 정보에 따라 제어될 수 있다. 이러한 제어 정보는 캐퍼빌리티 자체에, 예를 들어 로딩되는 캐퍼빌리티 내에, 또는 실제로 로드 동작에 대한 메모리 어드레스를 생성하는 데 사용되는 캐퍼빌리티 내에 저장될 수 있다. 대안적으로, 이러한 제어 정보는 별개의 제어 레지스터에 저장될 수 있다. 이러한 후자의 시나리오는, 예를 들어, MPU 영역 속성들이 캐퍼빌리티 레지스터들로의 캐퍼빌리티들의 로딩 동안 강등이 발생해야 하는지 여부를 결정하는 데 사용되도록 허용할 것이다. 따라서, 순전히 예로서, 캐퍼빌리티가 판독 전용(예를 들어, 코드 메모리)으로서 마킹된 MPU 영역으로부터 로딩되는 경우, 강등은 발생하도록 배열될 수 있지만, 대신에 그 영역이 (예를 들어, 힙(heap) 또는 스택(stack)에 대해 사용되는 바와 같이) 판독-기입으로서 마킹되는 경우 발생하지 않도록 배열될 수 있다.
이제 특정 예들이 도면들을 참조하여 설명될 것이다.
본 명세서에 설명된 기술들은 다양한 데이터 처리 시스템들에서, 그리고 그러한 시스템들 내의 상이한 유형의 처리 회로와 연관하여 이용될 수 있다. 예를 들어 기술들은 중앙 처리 유닛(CPU)의 형태를 취하는 처리 회로와 연관하여 사용될 수 있지만, 대안적으로 직접 메모리 액세스(DMA) 제어기, 암호화 가속기 등과 같은 다른 처리 회로와 연관하여 이용될 수 있다. 순전히 예시적인 예로서 하기의 도 1에서, CPU의 처리 파이프라인은 설명된 기술들이 사용될 수 있는 처리 회로의 예로서 간주될 것이다.
도 1은 명령어들을 처리하기 위한 처리 파이프라인(4)을 포함하는 데이터 처리 장치(2)의 예를 개략적으로 예시한다. 이러한 예에서, 처리 파이프라인(4)은 페치 스테이지(6), 디코드 스테이지(8), 발행 스테이지(10), 실행 스테이지(12), 및 라이트백 스테이지(write back stage)(14)를 포함하는 다수의 파이프라인 스테이지들을 포함하지만, 다른 유형들 또는 조합들의 스테이지들이 제공될 수 있다는 것이 인식될 것이다. 예를 들어 레지스터 재명명을 수행하기 위한 재명명 스테이지가 몇몇 예시적인 구현예에서 포함될 수 있다. 처리될 명령어들은 스테이지로부터 스테이지로 이동하고, 한 명령어가 하나의 스테이지에서 보류 중인 동안, 다른 명령어는 파이프라인(4)의 상이한 스테이지에서 보류 중일 수 있다.
페치 스테이지(6)는 레벨 1(L1) 명령어 캐시(20)로부터 명령어들을 페치한다. 페치 스테이지(6)는 보통 연속적인 명령어 어드레스들로부터 순차적으로 명령어들을 페치할 수 있다. 그러나, 페치 스테이지는 또한 분기 명령어들의 결과를 예측하기 위한 분기 예측기(22)를 가질 수 있고, 페치 스테이지(6)는, 분기가 취해질 것으로 예측되는 경우에는 (비-순차적인) 분기 타겟 어드레스로부터, 또는 분기가 취해지지 않을 것으로 예측되는 경우에는 다음의 순차적인 어드레스로부터 명령어들을 페치할 수 있다. 분기 예측기(22)는 소정의 분기들이 취해질 가능성이 있는지 또는 아닌지 여부를 예측하기 위한 정보를 저장하기 위한 하나 이상의 분기 이력 테이블들을 포함할 수 있다. 예를 들어, 분기 이력 테이블들은 이전에 실행된 분기들의 실제 결과들을 추적하거나 분기들에 대해 이루어진 예측의 신뢰도를 표현하기 위한 카운터들을 포함할 수 있다. 분기 예측기(22)는 또한 분기 명령어들의 이전 타겟 어드레스들을 캐싱하기 위한 분기 타겟 어드레스 캐시(branch target address cache, BTAC)(24)를 포함할 수 있으며, 이에 따라, 이들이 동일한 분기 명령어들의 후속적인 발생들 시에 예측될 수 있다.
페치된 명령어들은, 디코딩된 명령어들을 생성하기 위해 명령어들을 디코딩하는 디코드 스테이지(8)에 전달된다. 디코딩된 명령어들은 적절한 처리 동작들을 실행하도록 실행 스테이지(12)를 제어하기 위한 제어 정보를 포함할 수 있다. 캐시(20)로부터 페치된 몇몇 더 복잡한 명령어들에 대해, 디코드 스테이지(8)는 그러한 명령어들을 마이크로 동작들(μop들 또는 uop들)로 알려져 있을 수 있는 다수의 디코딩된 명령어들에 매핑할 수 있다. 따라서, L1 명령어 캐시(20)로부터 페치된 명령어들과 파이프라인의 나중의 스테이지들에 의해 보여지는 것과 같은 명령어들 사이에 일대일 관계가 없을 수 있다. 일반적으로, 본 출원에서 "명령어들"에 대한 언급은 마이크로 동작들을 포함하는 것으로 해석되어야 한다.
디코딩된 명령어들은 발행 스테이지(10)로 전달되며, 이는 명령어들의 실행에 요구되는 피연산자들이 이용가능한지 여부를 결정하고, 피연산자들이 이용가능할 때 실행할 명령어들을 발행한다. 몇몇 예시적인 구현예들은 순서에 맞는(in-order) 처리를 지원할 수 있으며, 이에 따라, 명령어들은, 명령어들이 L1 명령어 캐시(20)로부터 페치되었던 프로그램 순서에 대응하는 순서로 실행되도록 발행된다. 다른 예시적인 구현예들은 순서에 맞지 않는(out-of-order) 실행을 지원할 수 있으며, 이에 따라, 명령어들은 프로그램 순서와는 상이한 순서로 실행 스테이지(12)로 발행될 수 있다. 순서에 맞지 않는 처리는 성능을 개선하는 데 유용할 수 있는데, 그 이유는, 이전 명령어가 피연산자들을 기다리면서 연기(stall)되는 동안, 프로그램 순서 내의 피연산자들이 이용가능한 나중의 명령어가 먼저 실행될 수 있기 때문이다.
발행 스테이지(10)는, 명령어들이 다양한 데이터 처리 동작들을 수행하기 위해 실행되는, 실행 스테이지(12)로 명령어들을 발행한다. 예를 들어 실행 스테이지는 정수 값들에 대해 산술 또는 논리 연산들을 수행하기 위한 산술/논리 유닛(ALU)(30), 부동 소수점 형태로 표현된 값들에 대한 연산들을 수행하기 위한 부동 소수점(FP) 유닛(32), 및 레벨 1(L1) 데이터 캐시(36)로부터 레지스터(40)로 데이터 값을 로딩하기 위한 로드 동작들 또는 레지스터(40)로부터 L1 데이터 캐시(36)로 데이터 값을 저장하기 위한 저장 동작들을 수행하기 위한 로드/저장 유닛(34)을 포함하는 다수의 실행 유닛들(30, 32, 34)을 포함할 수 있다. 이들은 단지 제공될 수 있는 실행 유닛들의 유형들의 몇몇 예들일 뿐이고, 많은 다른 종류들이 또한 제공될 수 있다는 것이 인식될 것이다. 처리 동작들을 수행하기 위해, 실행 스테이지(12)는 레지스터들(40)의 세트로부터 데이터 값들을 판독할 수 있다. 이어서, 실행된 명령어들의 결과들이 라이트백 스테이지(14)에 의해 레지스터들(40)에 라이트백될 수 있다.
L1 명령어 캐시(20) 및 L1 데이터 캐시(36)는 다수의 레벨들의 캐시들을 포함하는 캐시 계층구조의 일부일 수 있다. 예를 들어, 레벨 2(L2) 캐시(44)가 또한 제공될 수 있고, 선택적으로 추가 레벨들의 캐시가 제공될 수 있다. 이러한 예에서, L2 캐시(44)는 L1 명령어 캐시(20)와 L1 데이터 캐시(36) 사이에서 공유되지만, 다른 예들은 별개의 L2 명령어 및 데이터 캐시들을 가질 수 있다. 페치될 명령어가 L1 명령어 캐시(20)에 있지 않을 때, 그것은 L2 캐시(44)로부터 페치될 수 있고, 유사하게 명령어가 L2 캐시(44)에 있지 않은 경우, 그것은 메인 메모리(50)로부터 페치될 수 있다. 유사하게, 로드 명령어들에 응답하여, 데이터가 L1 데이터 캐시(36)에 있지 않은 경우, 그것은 L2 캐시(44)로부터 페치될 수 있고, 요구되는 경우, 메모리(50)로부터 페치될 수 있다. 캐시 계층구조를 관리하기 위해 임의의 알려진 스킴(scheme)이 사용될 수 있다.
프로그램 명령어들 및 데이터 값들을 참조하기 위해 파이프라인(4)에 의해 사용되는 어드레스들은 가상 어드레스들일 수 있지만, 적어도 메인 메모리(50), 및 선택적으로 또한 적어도 몇몇 레벨들의 캐시 계층구조는 물리적으로 어드레싱될 수 있다. 따라서, 파이프라인(4)에 의해 사용되는 가상 어드레스들을 캐시 또는 메모리에 액세스하는 데 사용되는 물리 어드레스들로 변환하기 위해 변환 색인 버퍼(TLB)가 (예를 들어, 나중에 더 상세히 설명될 메모리 액세스 체크 회로(52) 내에) 제공될 수 있다. 예를 들어, TLB는, 대응하는 페이지 내의 가상 어드레스들을 물리 어드레스들로 변환하기 위해, 가상 어드레스 공간의 대응하는 페이지의 가상 페이지 어드레스 및 가상 페이지 어드레스가 매핑되어야 하는 대응하는 물리 페이지 어드레스를 각각 지정하는 다수의 엔트리들을 포함할 수 있다. 예를 들어, 가상 및 물리 페이지 어드레스들은 대응하는 가상 및 물리 어드레스들의 최상위 부분에 대응할 수 있으며, 이때 나머지 최하위 부분은 가상 어드레스를 물리 어드레스로 매핑할 때 변경되지 않는 채로 유지된다. 어드레스 변환 정보뿐만 아니라, 각각의 TLB 엔트리는 또한, 어드레스들의 소정 페이지들이 파이프라인(4)의 소정 모드들에서 액세스가능한지 여부를 나타내는 것과 같은 액세스 허가들을 지정하는 어떤 정보를 포함할 수 있다. 몇몇 예시적인 구현예들에서, TLB 엔트리들은 또한, 캐시 계층구조의 어떤 레벨들이 판독 또는 기입 동작들에 응답하여 업데이트되는지(예를 들어, 캐시가 라이트백 모드 또는 라이트스루 모드(write through mode)에서 동작해야 하는지 여부)를 정의하는 캐시 정책 정보 또는 대응하는 페이지 내의 어드레스들에 대한 데이터 액세스들이 파이프라인(4)에 의해 데이터 액세스들이 발행되었던 순서와 비교하여 메모리 시스템에 의해 재순서화될 수 있는지 여부를 정의하는 정보와 같은 어드레스들의 대응하는 페이지의 다른 특성들을 정의할 수 있다.
단일 레벨 TLB가 사용될 수 있지만, 레벨 1(L1) TLB가 다수의 최근에 액세스된 페이지 내의 어드레스들을 변환하기 위한 TLB 엔트리들을 포함할 수 있고, 레벨 2(L2) TLB가 더 많은 수의 페이지에 대한 엔트리들을 저장하기 위해 제공될 수 있도록, TLB들의 계층구조가 대신에 제공될 수 있다는 것이 인식될 것이다. 요구되는 엔트리가 L1 TLB에 존재하지 않을 때, 그것은 L2 TLB로부터, 또는 계층구조 내의 추가의 TLB들로부터 페치될 수 있다. 액세스될 페이지에 대해 요구되는 엔트리가 TLB들 중 어느 것에도 없는 경우, 페이지 테이블 워크(page table walk)가 메모리(50) 내의 페이지 테이블들에 액세스하기 위해 수행될 수 있다. 임의의 알려진 TLB 관리 스킴이 본 기술에서 사용될 수 있다.
또한, 몇몇 시스템들은, 예를 들어 제1 TLB(또는 TLB들의 계층구조)가 가상 어드레스들을 중간 어드레스들로 변환하는 데 사용될 수 있고, 하나 이상의 추가 TLB(들)를 사용하는 제2 레벨의 어드레스 변환이 이어서 중간 어드레스들을 캐시 또는 메모리에 액세스하는 데 사용되는 물리 어드레스들로 변환할 수 있도록, 다수의 레벨의 어드레스 변환을 지원할 수 있다는 것이 인식될 것이다. 이것은 가상화를 지원하는 데 유용할 수 있으며, 여기서, 예를 들어, 제1 레벨의 어드레스 변환은 운영 체제에 의해 관리될 수 있고, 제2 레벨의 어드레스 변환은 하이퍼바이저(hypervisor)에 의해 관리될 수 있다.
도 1에 도시된 바와 같이, 장치(2)는 유계 포인터 레지스터들(60)의 세트를 가질 수 있다. 유계 포인터 레지스터들의 세트가 범용 데이터 레지스터들(40)의 세트에 대해 물리적으로 별개인 것으로 도 1에 도시되어 있지만, 대안적인 예시적인 구현예에서, 동일한 물리 저장소를 사용하여 범용 데이터 레지스터들 및 유계 포인터 레지스터들 둘 모두를 제공할 수 있다.
각각의 유계 포인터 레지스터(60)는 액세스될 데이터 값의 어드레스를 결정하는 데 사용될 수 있는 포인터 값(62), 및 대응하는 포인터(62)를 사용할 때 허용가능한 어드레스들의 범위를 지정하는 범위 정보(64)를 포함한다. 유계 포인터 레지스터(60)는 또한 포인터의 사용에 대한 하나 이상의 제한들/허가들을 정의할 수 있는 제한 정보(66)(본 명세서에서 허가 정보로도 지칭됨)를 포함할 수 있다. 예를 들어, 제한(66)은 포인터(62)를 사용할 수 있는 명령어들의 유형들, 또는 포인터가 사용될 수 있는 파이프라인(4)의 모드들을 제한하는 데 사용될 수 있다. 따라서, 범위 정보(64) 및 제한 정보(66)는 포인터(62)가 사용되도록 허용되는 캐퍼빌리티들을 정의하는 것으로 간주될 수 있다. 정의된 캐퍼빌리티들 밖에서 포인터(62)를 사용하려는 시도가 이루어질 때, 에러가 트리거될 수 있다. 범위 정보(64)는, 예를 들어, 포인터들이 소정의 알려진 경계들 내에 유지되고, 민감한 또는 보안 정보를 포함할 수 있는 메모리 어드레스 공간의 다른 영역들로 벗어나지 않는 것을 보장하는 데 유용할 수 있다. 동일한 물리 저장소가 범용 데이터 레지스터들 및 유계 포인터 레지스터들 둘 모두에 대해 사용되는 예시적인 구현예에서, 하나의 예시적인 구현예에서, 포인터 값(62)은, 예를 들어, 대응하는 범용 레지스터에 사용되는 바와 동일한 저장 위치 내에 저장될 수 있다.
도 2는 허용가능 범위가 데이터 또는 명령어들에 대한 인가되지 않은 액세스에 대해 보호하는 데 사용되는 명령어들의 유형들의 예를 도시한다. 도 2의 상부 부분에 도시된 바와 같이, 특정한 유계 포인터 레지스터(PR1)는 주어진 포인터 값(62) 및 범위 정보(64)를 포함하며, 이는, 이러한 예에서, 허용가능 범위의 하계(lower bound)를 정의하는 하계 어드레스(68) 및 허용가능 범위의 상계(upper bound)를 정의하는 상계 어드레스(69)를 사용하여 지정된다. 예를 들어, 경계들(68, 69)은 어드레스 80000 내지 어드레스 81000의 범위를 정의하도록 설정된다. 에러들은, 소정 명령어들이 유계 포인터 레지스터(PR1)를 참조하고 포인터(62)로부터 결정된 어드레스가 이러한 범위 밖에 있을 때 트리거될 수 있다.
예를 들어, 도 2의 부분 A에 도시된 바와 같이, 몇몇 시스템들에서, 포인터 레지스터(60) 내의 포인터(62)의 값을 범위 정보(64)에 의해 지정된 범위 밖에 놓인 값으로 설정하려는 시도가 있는 경우 (여기서 포인터는 어드레스를 직접 지정한다고 가정됨) 에러가 트리거될 수 있다. 이것은 포인터(62)가 지정된 범위 밖의 임의의 값을 취하는 것을 회피하며, 이에 따라, 포인터를 사용하는 임의의 액세스들은 허용된 범위 내에 안전하게 놓이도록 보장될 수 있게 된다. 대안적으로, 도 2의 부분 B에 도시된 바와 같이, 포인터(62)의 어드레스가 지정된 범위 밖에 놓일 경우, 명령어가 그러한 어드레스에 의해 식별된 위치에 액세스하려고 시도할 때 에러가 트리거될 수 있다. 따라서, 포인터(62)를 지정된 범위 밖의 값으로 설정하는 것이 여전히 허용가능할 수 있지만, 일단 포인터 어드레스(또는 포인터로부터 도출되는 어드레스)에서의 데이터 액세스가 시도되면, 어드레스가 허용된 범위 밖에 놓이는 경우, 에러가 트리거될 수 있다. 다른 시스템들은 도 2의 부분 A 및 부분 B에 도시된 명령어의 유형들 둘 모두에 응답하여 에러들을 트리거할 수 있다.
범위 정보(64)는 상이한 방식들로 설정될 수 있다. 예를 들어, 보안 코드, 또는 운영 체제 또는 하이퍼바이저가 주어진 포인터에 대해 허용되는 범위를 지정할 수 있다. 예를 들어, 명령어 세트 아키텍처는 주어진 포인터(62)에 대한 범위 정보(64)를 설정하거나 수정하기 위한 다수의 명령어들을 포함할 수 있고, 이러한 명령어들의 실행은 소정의 소프트웨어, 또는 프로세서(4)의 소정의 모드들이나 예외 상태들로 제한될 수 있다. 범위 정보(64)를 설정하거나 수정하기 위한 임의의 알려진 기술이 사용될 수 있다.
포인터를 참조하는 소정의 명령어들을 실행할 때 실행 스테이트(12)에서 사용될 수 있는 유계 포인터 저장 요소들(60)의 세트에 더하여, 프로그램 카운터 캐퍼빌리티(program counter capability, PCC) 레지스터(80)가, 명령어들이 레벨 1 명령어 캐시(20)로부터 페치되고 있을 때, 페치 스테이지(6)에서 유사한 기능을 제공하기 위해 또한 사용될 수 있다. 특히, 프로그램 카운터 포인터는 필드(82)에 저장될 수 있으며, 이때, PCC(80)는 또한, 유계 포인터 저장 요소들(60)의 세트 내의 포인터들 각각과 함께 제공되는 범위 및 제한 정보와 유사한, 범위 정보(84) 및 임의의 적절한 제한 정보(86)를 제공한다.
도 3은, 개별 데이터 블록들이 캐퍼빌리티(즉, 유계 포인터 및 연관된 제한 정보)를 표현하는지 또는 정상 데이터를 표현하는지를 식별하기 위해, 태그 비트가 그러한 데이터 블록들과 연관하여 사용되는 방법을 개략적으로 예시한다. 특히, 메모리 어드레스 공간(110)은, 전형적으로 지정된 크기를 가질, 일련의 데이터 블록들(115)을 저장할 것이다. 순전히 예시를 위해, 이 예에서 각각의 데이터 블록이 128 비트를 포함하는 것으로 가정되지만, 다른 예시적인 구현예에서 상이한 크기의 데이터 블록, 예를 들어 캐퍼빌리티가 64 비트의 정보에 의해 정의될 때 64 비트 데이터 블록이 사용될 수 있다. 각각의 데이터 블록(115)과 연관하여, 태그 필드(120)가 제공되는데, 이는, 일례에서, 연관된 데이터 블록이 캐퍼빌리티를 표현한다는 것을 식별하도록 설정되는, 그리고 연관된 데이터 블록이 정상 데이터를 표현하고, 그에 따라 캐퍼빌리티로 취급될 수 없다는 것을 나타내도록 클리어되는, 태그 비트로 지칭되는 단일 비트 필드이다. 설정된 상태 또는 클리어 상태와 연관된 실제 값은 예시적인 구현예에 따라 달라질 수 있지만, 순전히 예시로서, 하나의 예시적인 구현예에서, 태그 비트가 1의 값을 갖는 경우, 그것은 연관된 데이터 블록이 캐퍼빌리티라는 것을 나타내고, 그것이 0의 값을 갖는 경우, 그것은 연관된 데이터 블록이 정상 데이터를 포함한다는 것을 나타낸다는 것이 인식될 것이다.
캐퍼빌리티가 도 3에 도시된 캐퍼빌리티 레지스터(100)와 같은 유계 포인터 레지스터들(60)(본 명세서에서 캐퍼빌리티 레지스터로도 지칭됨) 중 하나에 로딩될 때, 태그 비트는 캐퍼빌리티 정보와 함께 이동한다. 따라서, 캐퍼빌리티가 캐퍼빌리티 레지스터(100)에 로딩될 때, 포인터(102), 범위 정보(104), 및 제한 정보(106)(이하, 허가 정보로 지칭됨)가 캐퍼빌리티 레지스터에 로딩될 것이다. 추가적으로, 그러한 캐퍼빌리티 레지스터와 연관하여, 또는 그것 내의 특정 비트 필드로서, 콘텐츠들이 캐퍼빌리티를 표현한다는 것을 식별하도록 태그 비트(108)가 설정될 것이다. 유사하게, 캐퍼빌리티가 다시 메모리에 저장될 때, 캐퍼빌리티가 저장되는 데이터 블록과 연관하여 관련 태그 비트(120)가 설정될 것이다. 그러한 접근법에 의해, 캐퍼빌리티와 정상 데이터 간을 구별하고, 그에 따라, 정상 데이터가 캐퍼빌리티로서 사용될 수 없음을 보장하는 것이 가능하다.
도 1로 되돌아가, 장치(2)는 그의 메모리 어드레스가 주어진 캐퍼빌리티를 사용하여 생성되는 주어진 액세스 요청과 연관하여 캐퍼빌리티 체크 동작을 수행하여, 캐퍼빌리티에 의해 식별된 제약 정보에 기초하여 그 액세스 요청이 허가되는지를 결정할 수 있는 캐퍼빌리티 체크 회로(33)를 구비할 수 있다. 이것은 예를 들어, 집합적으로 캐퍼빌리티의 제약 정보로 지칭될 수 있는, 앞서 논의된 범위 정보 및 제한/허가 정보를 참조하여 수행될 수 있다. 따라서, 순전히 예로서, 메모리 어드레스에 대한 기입 액세스 요청이 캐퍼빌리티가 기입들이 아니라 판독들에 대해서만 사용될 수 있다는 것을 표시하는 캐퍼빌리티를 사용하여 수행되도록 시도 중인 경우, 캐퍼빌리티 체크 회로(33)는 액세스 요청이 진행될 수 없는 것으로 결정할 수 있고, 예를 들어 그러한 상황들 하에서 장애 신호를 발행할 수 있다.
그러나, 캐퍼빌리티 체크 동작이 통과된 것으로 가정하면, 메모리 액세스 요청은 메모리 액세스 체크 회로(52)로 전파될 수 있으며, 이는 액세스가 진행되도록 허용되는 것을 보장하기 위해 몇몇 추가의 체크들을 제공할 수 있다. 예를 들어, 처리 회로는 다수의 상이한 동작 모드들에서 동작하는 것이 가능할 수 있고, 각각의 동작 모드는 예를 들어 소정 특권 상태와, 그리고/또는 장치가 동작하고 있는 특정 보안 도메인과 연관될 수 있고, 메모리의 소정 영역들은 처리 회로가 가능한 동작 모드들 중 하나 또는 가능한 동작 모드들의 서브세트에서 동작하고 있을 때에만 액세스가능할 수 있다.
따라서 메모리 액세스 체크 회로(52)는 메모리 어드레스 공간의 다양한 영역들에 대해 지정된 속성 데이터에 기초하여 메모리 시스템에 대한 액세스들이 허가되는지를 체크할 수 있다. 메모리 액세스 체크 회로는, 메모리 어드레스 공간의 각자의 영역 각각과 연관된 보안 도메인을 정의하는 보안 도메인 정의 데이터를 저장하기 위한 보안 속성 유닛(security attribute unit, SAU)(56)을 포함할 수 있다. 보안 속성 데이터에 기초하여, 보안 속성 유닛(56)은 처리 회로의 동작의 현재 보안 도메인에, 그리고 타겟 어드레스 및 메모리 액세스를 포함하는 영역과 연관된 보안 도메인에 따라 메모리 액세스가 허용되는지를 체크할 수 있다. 다른 구현예들에서, 메모리 액세스 체크들을 수행하기 위해, SAU(56)는 보안 도메인 정의 데이터를 직접 저장하지 않을 수 있고, 대신에 다른 곳에 저장된 보안 정의 데이터에 액세스할 수 있다. 몇몇 시스템들에서, 보안 도메인 정의 데이터는 메모리 시스템(50)에 저장될 수 있거나, 시스템(2) 내의 다른 곳의 구성 레지스터들에 저장될 수 있다.
처리 회로(4)는 동작의 현재 보안 도메인에서 동작할 수 있으며, 이는 일반적으로 (예컨대 도메인 사이의 전이를 핸들링할 때, 몇몇 예외들이 있을 수 있지만) 현재 실행되는 명령어의 어드레스와 연관된 보안 도메인에 대응할 수 있다. 보안 도메인에서 동작하는 동안에, 처리 회로가 보안 도메인 및 하위 보안 도메인 둘 모두와 연관된 메모리 영역들 내의 데이터에 액세스할 수 있는 반면, 하위 보안 도메인에서 동작할 때는, 처리 회로가 하위 보안 도메인과 연관된 영역들 내의 데이터에는 액세스할 수 있지만, SAU(56)가 보안 도메인과 연관되는 것으로 지정하는 어드레스 공간의 영역들 내의 데이터에 액세스하는 것은 허가되지 않을 수 있다. 이것은 하위 보안 도메인에서 동작하는 코드로부터의 인가되지 않은 액세스에 대항하여 민감한 데이터의 보호를 가능하게 한다. 본 명세서에서 더 상세히 논의될 바와 같이, SAU(56)가 액세스가 진행될 수 있는지를 결정하기 위해 그러한 체크들을 수행하고 있을 때, 그것은 처리 회로의 현재 보안 도메인뿐만 아니라, 고려되고 있는 개별 액세스 요청과 연관된 더 세밀한 정보를 고려한다. 이러한 더 세밀한 정보는 처리 회로의 보안 도메인, 및 액세스 요청의 메모리 어드레스를 생성하는 데 사용되는 캐퍼빌리티와 연관된 신뢰 레벨 표시 둘 모두에 기초한다.
또한 도 1에 도시된 바와 같이, 메모리 액세스 체크 회로(52)는 메모리 보호 유닛(MPU)(54)을 포함할 수 있으며, 이는 메모리 시스템(50)에 대한 메모리 액세스가, 예를 들어, 처리 회로(4)의 어느 권한 레벨들이 메모리의 주어진 영역에 액세스하도록 허용되는지 지정할 수 있거나, 또는 어드레스 공간의 메모리 영역이 판독 및 기입 동작 둘 모두에 의해 액세스될 수 있는지 아니면 기입이 금지되는 영역을 판독만 하는지 지정할 수 있는 액세스 허가를 충족시키는지를 체크한다. MPU(54)에 의해 사용되는 액세스 허가들은, 예를 들어, 덜 특권화된 프로세스(예컨대, 애플리케이션)가 메모리의 어떤 영역들에 액세스하도록 허용되는지를 그리고 그 방법(판독 전용 또는 판독/기입)을 제어하기 위해 더 특권화된 프로세스(예컨대, 하이퍼바이저 또는 운영 체제)에 의해 지정될 수 있다. MPU(54)에 의해 제공되는 허가들은 SAU(56)에 의해 제공되는 허가들에 직교할 수 있어서, 허용될 주어진 메모리 액세스 요청에 대해, 그것은 MPU(54) 및 SAU(56) 둘 모두에 대해 정의된 액세스 허가들에 기초하여 체크를 통과하여야 한다. MPU(54)가 도 1에 단일 엔티티(entity)로서 도시되어 있지만, 몇몇 예들에서는, 별개의 보안 및 하위 보안 MPU들이 제공될 수 있으며, 이들 각각은 보안 도메인들 중 하나와 연관되고, 이에 따라, 현재 도메인이 보안 도메인인지 또는 하위 보안 도메인인지에 따라, 상이한 메모리 액세스 허가들이 메모리의 주어진 영역에 대해 지정될 수 있게 된다(예를 들어, 영역은 하위 보안 도메인에서는 판독 전용일 수 있지만, 보안 도메인에서는 판독가능 및 기입가능 둘 모두일 수 있음).
SAU에 대한 앞선 논의에서와 같이, MPU가 그의 액세스 허가 체크들을 수행하고 있을 때, 그것은 처리 회로의 현재 동작 모드뿐만 아니라, 메모리 어드레스를 생성하는 데 사용되는 캐퍼빌리티와 연관된 캐퍼빌리티 신뢰 레벨에 의존하는, 주어진 액세스 요청과 연관된 신뢰 레벨을 고려할 수 있다.
하나 이상의 제어 레지스터(90)가 본 명세서에 설명된 구현예에 의해 제공되는 소정 특징들에 대한 인에이블/디스에이블 플래그들을 저장하기 위해 제공될 수 있다. 구체적인 예로서, 처리 회로의 현재 동작 모드의 신뢰 레벨보다 낮은 신뢰 레벨을 갖는 불변의 캐퍼빌리티들이 선택적으로 수정되는 것이 가능할 수 있지만, 이러한 거동은 제어 레지스터들(90) 내의 별개의 비트에 의해 제어될 수 있다. 유사하게, 처리 회로의 덜 특권화된 동작 모드 내로부터 그와 연관된 더 높은 신뢰 레벨을 갖는 캐퍼빌리티를 역참조하려고 시도할 때 장애가 발생할 수 있으며, 다시 그러한 기능은 아마도 제어 레지스터들(90) 내의 인에이블 제어 비트에 의해 게이팅될 수 있다. 또한 나중에 논의될 바와 같이, 캐퍼빌리티들은 메모리로부터 캐퍼빌리티 레지스터들에 로딩될 수 있고, 이러한 프로세스 동안 로딩되는 캐퍼빌리티의 연관된 신뢰 레벨은 선택적으로 강등될 수 있지만, 다시 그러한 기능은 제어 레지스터들(90) 내의 별개의 제어 비트에 의해 제어될 수 있다.
본 명세서에 설명된 기술들에 따르면, 캐퍼빌리티들은 연관된 캐퍼빌리티 신뢰 레벨 정보를 가지며, 그 신뢰 레벨 표시는 메모리 액세스 체크 회로(52)에 의해 구현되는 메모리 액세스 체크 절차들에 고려될 수 있다. 이러한 신뢰 레벨 표시가 캐퍼빌리티와 연관하여 제공될 수 있는 다양한 방법들이 있지만, 도 4는 하나의 예시적인 구현예를 예시한다. 도 4에 도시된 예에서, 캐퍼빌리티(100)는 포인터 값(102) 및 어떤 범위 정보(104)(본 명세서에서 한계 정보로도 지칭됨)를 포함한다. 허가들의 세트가 또한, 대응하는 데이터 블록이 캐퍼빌리티로서 취급될 것인지 여부를 식별하도록 설정되거나 클리어될 수 있는 앞서 설명된 태그 비트(108)와 함께, 캐퍼빌리티 내에 제공될 수 있다.
캐퍼빌리티에 대해 지정된 허가들은 구현예에 따라 달라질 수 있지만, 하나의 예시적인 구현예에서 허가들은 그의 값이 캐퍼빌리티가 판독 액세스들에 대한 메모리 어드레스들을 생성하는 데 사용될 수 있는지를 나타내는 판독 허가 비트, 그의 값이 캐퍼빌리티가 기입 액세스들에 대한 메모리 어드레스들을 생성하는 데 사용될 수 있는지를 나타내는 기입 허가 비트, 및 그의 값이 캐퍼빌리티가 페치 및 실행될 명령어들의 메모리 어드레스들을 생성하는 데 사용될 수 있는지를 나타내는 실행 허가 비트를 포함한다. 다른 정보가, 예를 들어 캐퍼빌리티가 불변인 것으로 간주되는지 여부를 표시하기 위해, 캐퍼빌리티 내에서 식별될 수 있다. 그러한 정보는 캐퍼빌리티 내의 추가 정보로서 직접 지정될 수 있지만, 그것은 몇몇 예시적인 구현예에서 캐퍼빌리티 내에 이미 제공된 다른 정보의 상태로부터 추론될 수 있다. 예를 들어, 하나의 특정 구현예에서, 실행 비트가 설정될 때, 명령어 실행으로부터 기인할 수 있는 포인터 값들의 정상 증분을 통하는 것을 제외하고는, 캐퍼빌리티에 의해 지정된 정보는 태그 비트를 클리어함(캐퍼빌리티를 효과적으로 무효화함)이 없이 수정될 수 없다는 점에서, 캐퍼빌리티는 불변인 것으로 간주된다.
도 4에 도시된 바와 같이, 하나의 예시적인 구현예에서 허가 필드는 신뢰 레벨 표시 필드(136)를 제공하도록 확장되며, 신뢰 레벨 표시는 캐퍼빌리티(100)와 연관된 신뢰 레벨을 식별한다. 신뢰 레벨은 캐퍼빌리티(100)의 필드(136)에 직접 인코딩될 수 있거나, 대안적으로 신뢰 레벨 표시 필드(136)는 신뢰 레벨 정보를 포함하는 메모리 어드레스를 표시하는 데 사용되는 식별자를 제공할 수 있다. 그러한 식별자는 신뢰 레벨 정보의 메모리 위치를 직접 나타낼 수 있거나, 그것은 예를 들어 신뢰 레벨 정보를 포함하는 위치를 식별하기 위해 시스템 내의 글로벌 레지스터에 저장된 어드레스에 적용될 수 있는 오프셋을 지정할 수 있다.
도 5a는 하나의 예시적인 구현예에 따른, 캐퍼빌리티 신뢰 레벨 정보가 메모리에 대한 액세스들을 제약하는 데 사용되는 방법을 개략적으로 예시하는 블록도이다. 이 예에서, 처리 회로(150)는, 주어진 캐퍼빌리티를 사용하여 그의 메모리 어드레스가 생성되는 액세스 요청이 고려되고 있을 때, 주어진 캐퍼빌리티에 의해 식별된 제약 정보에 기초하여 그 액세스 요청이 허가되는지를 결정하기 위해 캐퍼빌리티 체크 동작을 수행하는 데 사용될 수 있는 캐퍼빌리티 체크 블록(155)을 포함한다. 따라서, 캐퍼빌리티 체크는 액세스가 진행되도록 허용되는지 여부를 결정하기 위해 캐퍼빌리티의 범위 및 허가 정보에 대한 참조를 수반할 수 있다. 캐퍼빌리티 체크의 실패의 경우에, 실패 표시가 처리 회로에 제공될 수 있고, 이것은 다양한 형태들, 예를 들어 장애 신호를 취할 수 있다. 그러나, 캐퍼빌리티 체크가 통과되면, 이것은 캐퍼빌리티(100)의 캐퍼빌리티 신뢰 레벨 정보(136)를 또한 수신하는 신뢰 레벨 생성 블록(160)에 표시된다.
캐퍼빌리티 신뢰 레벨에 더하여, 신뢰 레벨 생성 블록(160)은 또한 현재 모드 신뢰 레벨의 표시를 수신하며, 이것은 처리 회로의 현재 동작 모드와 연관된 신뢰 레벨이다. 이어서 캐퍼빌리티 신뢰 레벨 및 현재 모드 신뢰 레벨 둘 모두가 경로(165)를 통해 발행된 요청의 메모리 어드레스와 연관하여 경로(167)를 통해 전파되는, 액세스 요청에 대한 신뢰 레벨을 형성하는 데 조합하여 사용된다. 신뢰 레벨 생성 블록(160)이 현재 모드 신뢰 레벨 및 캐퍼빌리티 신뢰 레벨 둘 모두를 사용하여 액세스 요청에 대한 신뢰 레벨을 결정할 수 있는 다양한 방법들이 있지만, 하나의 예시적인 구현예에서 액세스 요청과 연관된 신뢰 레벨은 현재 모드 신뢰 레벨과 캐퍼빌리티 신뢰 레벨 중 어느 것이든지 더 낮은 신뢰 레벨을 나타내도록 제약된다.
메모리 액세스 체크 회로(170)는 요청의 메모리 어드레스 및 액세스 요청에 대한 연관된 신뢰 레벨 둘 모두를 수신하며, 상이한 메모리 영역들에 대해 지정될 수 있는 저장된 액세스 허가 정보(175)를 참조하여 메모리 액세스 체크 동작을 수행할 수 있다. 특히, 다수의 상이한 메모리 영역들 각각에 대해, 액세스 허가 정보는 액세스가 진행되는 것을 가능하게 하기 위해 액세스 요청에 대해 제공될 필요가 있는 요구되는 신뢰 레벨을 효과적으로 나타낼 수 있다. 경로(167)를 통해 수신된 액세스 요청에 대한 신뢰 레벨이 요구되는 신뢰 레벨을 충족시키지 않으면, 액세스는 실패하게 될 수 있는 반면, 그렇지 않다면 메모리에 대한 액세스는 메모리 액세스 체크 회로(170)로부터 경로(180)를 통해 전파될 수 있다.
도 5b는 하나의 예시적인 구현예에서 도 5a의 회로의 동작을 예시하는 흐름도이다. 단계 200에서 액세스 요청이 요구된다고 결정되고, 그 후에 단계 205에서 액세스 요청에 대한 메모리 어드레스가 지정된 캐퍼빌리티의 포인터 값을 참조하여 결정된다. 이어서 단계 210에서 액세스가 진행될 수 있는지를 결정하기 위해 지정된 캐퍼빌리티의 한계 및 허가 정보를 참조하여 캐퍼빌리티 체크가 수행된다.
따라서, 단계 215에서 캐퍼빌리티 체크가 통과되었는지 여부가 결정되고, 그렇지 않다면 프로세스는 단계 220으로 진행하며, 여기서 캐퍼빌리티 체크 실패 신호가 표명된다.
전형적으로 단계 210에서 캐퍼빌리티 체크를 수행할 때 신뢰 레벨 정보는 사용되지 않지만, 대신에 메모리 액세스 체크 회로(170)에 전달하기 위해 보유된다. 그러나, 소정 구현예에서 신뢰 레벨 정보는 또한 캐퍼빌리티 체크 프로세스 동안 사용될 수 있다. 예를 들어, 처리 회로는 주어진 액세스 요청에 대한 메모리 어드레스를 생성하는 데 사용되고 있는 캐퍼빌리티와 연관된 캐퍼빌리티 신뢰 레벨이 처리 회로의 현재 동작 모드와 연관된 현재 모드 신뢰 레벨을 초과하는 상황에서 그 액세스 요청에 의해 식별된 액세스를 수행하려는 시도가 이루어질 때 단계 220에서 장애 신호를 발행하도록 배열될 수 있다. 특히, 몇몇 구현예에서 소정 신뢰 레벨에서 동작하는 처리 회로가 더 높은 캐퍼빌리티 신뢰 레벨을 갖는 캐퍼빌리티를 이용하려고 시도하는 것은 옳지 않은 거동으로 간주될 수 있다.
단계 215에서 캐퍼빌리티 체크가 통과되었다고 결정되면, 단계 225에서 액세스 요청에 대한 신뢰 레벨이 현재 모드 신뢰 레벨 및 캐퍼빌리티 신뢰 레벨 둘 모두에 기초하여 신뢰 레벨 생성 블록(160)에 의해 결정된다. 그 후에, 단계 230에서 액세스 요청은 액세스 요청에 대한 결정된 신뢰 레벨과 함께 메모리 액세스 체크 회로(170)에 전파되며, 따라서 메모리 액세스 체크 회로(170)가 이어서 액세스 요청에 대한 그 표시된 신뢰 레벨에 기초하여 액세스 허가 체크들을 수행할 수 있다.
도 6a는 하나의 예시적인 구현예에 따른 장치 내에 제공될 수 있는 캐퍼빌리티 핸들링 회로(250)를 개략적으로 예시하는 블록도이며, 특히 캐퍼빌리티 핸들링 회로(250) 내에 제공될 수 있는 다수의 상이한 컴포넌트를 도시한다. 캐퍼빌리티 핸들링 회로는 장치 내의 별개의 컴포넌트로서 제공될 수 있거나, 하나의 예시적인 구현예에서 처리 회로 내에 통합될 수 있다.
캐퍼빌리티 핸들링 회로(250)는 액세스 요청에 대한 캐퍼빌리티 체크 동작을 수행하도록 배열된, 앞서 논의된 캐퍼빌리티 체크 회로(33)를 포함한다. 특히, 캐퍼빌리티 체크 동작은 캐퍼빌리티로부터 그 액세스 요청에 대해 생성된 메모리 어드레스가 그 캐퍼빌리티에 의해 식별된 제약 정보에 기초하여 허가되는지를 결정하는 데 사용된다.
앞선 논의로부터 명백할 바와 같이, 캐퍼빌리티들은 캐퍼빌리티 신뢰 레벨을 가질 수 있으며, 하나의 예시적인 구현예에서 이것은, 캐퍼빌리티들이 생성될 수 있게 하기 위해, 적어도 소정 동작 모드들에서 동작할 때 처리 회로에 제한된 위조 허가들이 주어질 수 있게 한다. 캐퍼빌리티들의 생성을 가능하게 하기 위해, 캐퍼빌리티 생성 회로(255)가 제공될 수 있으며, 하나의 예시적인 구현예에서 캐퍼빌리티 생성 회로(255)는 도 6b의 흐름도에 의해 도시된 바와 같이 동작하도록 배열될 수 있다. 따라서, 단계 265에서, 캐퍼빌리티 생성 동작이 요청되었는지가 결정된다. 일단 캐퍼빌리티가 생성되도록 요구된다고 결정되면, 단계 270에서 현재 모드 신뢰 레벨(즉, 처리 회로의 현재 동작 모드와 연관된 신뢰 레벨)이 임계 신뢰 레벨을 초과하는지가 결정되고, 그렇지 않다면, 단계 275에서 캐퍼빌리티 생성 동작이 실패한다. 이것은 다양한 방식으로 구현될 수 있지만, 하나의 예시적인 구현예에서 중단 프로세스의 형태를 취할 수 있다. 대안적으로, 프로세스는 캐퍼빌리티 정보가 생성되는 것을 허용하도록 진행할 수 있지만, 태그 비트가 클리어되며, 이에 따라 무효 캐퍼빌리티를 생성한다.
그러나, 단계 270에서 현재 모드 신뢰 레벨이 임계 레벨을 초과하고, 따라서 처리 회로에 의한 캐퍼빌리티들의 생성이 원칙적으로 허용된다고 결정되면, 프로세스는 단계 280으로 진행하며, 여기서 요구된 캐퍼빌리티 정보가 획득되고, 이어서 그 정보를 사용하여 캐퍼빌리티가 구성된다. 캐퍼빌리티 정보는 다양한 방식으로 획득될 수 있지만, 예를 들어 캐퍼빌리티 생성 요청에 의해 식별된 메모리 내의 위치로부터 검색될 수 있다. 게다가, 단계 285에서 유효 캐퍼빌리티가 생성되면, 캐퍼빌리티 신뢰 레벨이 현재 모드 신뢰 레벨 미만이도록 설정되는 것이 보장된다. 이러한 요건은 다양한 방식으로 실시될 수 있다. 예를 들어, 캐퍼빌리티 생성 회로(255)는 캐퍼빌리티 신뢰 레벨이 현재 모드 신뢰 레벨 미만인 경우 생성된 캐퍼빌리티 정보의 태그 비트만을 설정하도록 배열될 수 있고, 그렇지 않다면 태그 비트는 설정되지 않을 것이고 무효 캐퍼빌리티가 생성되었을 것이다. 대안적으로, 캐퍼빌리티 생성 회로(255)는 생성된 캐퍼빌리티에 대한 태그 비트를 항상 설정하지만, 단계 285에서 설정된 조건이 충족되도록, 요구되는 경우, 캐퍼빌리티 신뢰 레벨을 강등시키도록 배열될 수 있다.
도 6b에 예시된 프로세스의 사용을 통해, 처리 회로는, 적어도 소정 동작 모드들에 있을 때, 캐퍼빌리티들을 생성하도록 허용될 수 있지만, 그렇게 할 때 처리 회로는 생성된 캐퍼빌리티에 대한 연관된 캐퍼빌리티 신뢰 레벨이 처리 회로의 현재 모드 레벨 미만이도록 제약될 것이며, 이에 따라 처리 회로가 그의 현재 동작 모드에서 그 현재 동작 모드에서 사용될 수 있는 캐퍼빌리티들을 생성하는 것을 방지한다.
단계 270에서 평가된 임계 신뢰 레벨은 다양한 방식으로 설정될 수 있으며, 예를 들어 캐퍼빌리티 생성 기능의 사용을 처리 회로의 가능한 모드 신뢰 레벨들 중 하나 또는 가능한 모드 신뢰 레벨들의 작은 서브세트로 제한하는 데 사용될 수 있다. 대안적으로, 그러한 캐퍼빌리티 생성 기술은 캐퍼빌리티를 사용할 때 지원되는 최저 신뢰 레벨 이외의 임의의 모드 신뢰 레벨에 대해 지원될 수 있다.
도 6b는 소정 상황들에서 캐퍼빌리티들의 생성을 허용하기 위해 캐퍼빌리티 생성 회로(255)에 의해 사용될 수 있는 하나의 메커니즘을 예시하지만, 원하는 경우 다른 메커니즘들이 사용될 수 있다. 예를 들어, 캐퍼빌리티 생성 동작이 요구된다고 결정될 때, 현재 모드 신뢰 레벨이 지정된 소스 데이터와 연관하여 제공된 캐퍼빌리티 신뢰 레벨 표시를 초과한다면, 캐퍼빌리티 생성 회로(255)는 그 소스 데이터로부터 캐퍼빌리티를 생성하도록 허용될 수 있다. 그러한 조건이 충족되지 않는 경우, 캐퍼빌리티 생성 동작은 예를 들어 중단을 발행함으로써, 또는 임의의 생성된 캐퍼빌리티의 태그 비트를 클리어함으로써 실패할 것이다.
도 6a로 되돌아가서, 캐퍼빌리티 핸들링 회로(250)는 선택적으로 처리 회로 상에서 실행되고 있는 프로그램 내에서의 제어 흐름에 있어서의 변경의 발생 시에 캐퍼빌리티들이 생성되게 하기 위해 캐퍼빌리티 생성 회로(255)와 상호작용할 수 있는 제어 흐름 변경 핸들링 회로(260)를 구비할 수 있다. 특히, 처리 회로는 프로그램 명령어들을 실행하도록 배열될 수 있으며, 프로그램 명령어들의 처리는 우세 캐퍼빌리티에 의해 제약된다. 제어 흐름 변경 동작이 수행될 때, 제어 흐름 변경 동작 후의 실행을 위한 프로그램 명령어의 어드레스를 나타내는 타겟 어드레스가 식별될 것이다. 그 제어 흐름 변경 타겟 어드레스에 따라, 캐퍼빌리티 생성 회로(255)는 캐퍼빌리티 제약 정보가 저장되는 어드레스를 식별하고, 그 정보를 검색하고, 이어서 그 캐퍼빌리티 제약 정보를 사용하여 다음 우세 캐퍼빌리티로서 사용하기 위한 캐퍼빌리티를 생성하도록 배열될 수 있다. 그러한 상황에서, 생성된 캐퍼빌리티에 대한 연관된 캐퍼빌리티 신뢰 레벨은 현재 모드 신뢰 레벨보다 낮은 신뢰 레벨을 나타내도록 제약될 수 있다.
처리 회로의 현재 모드 신뢰 레벨은 우세 캐퍼빌리티와 연관된 신뢰 레벨에 의해 추가로 제약될 수 있다는 점에 또한 유의해야 한다. 그러한 메커니즘은, 예를 들어, 비특권화된 캐퍼빌리티가 프로그램 카운터 값들을 생성하는 데 사용될 때, 이것이 특권화된 코드의 실행을 허용하지 않을 것을 보장하기 위해 유용할 수 있다.
도 7은 시스템 내에 존재할 수 있는 다양한 상이한 모드 신뢰 레벨들을 개략적으로 예시하는 도면이며, 그러한 배열에서 지원될 수 있는 캐퍼빌리티 생성 능력들을 나타낸다. 도 7에 도시된 바와 같이, 처리 회로는 보안 도메인 및 하위 보안 도메인에서 동작하도록 배열될 수 있고, 현재 모드 신뢰 레벨은 현재 프로그램 코드가 그 보안 도메인들 중 어느 것에서 실행되는지에 의존할 수 있다. 추가로 또는 대안적으로, 처리 회로는 복수의 상이한 상태에서 프로그램 코드를 실행하도록 배열될 수 있으며, 도 7의 예에서 프로그램 코드를 특권화된 상태 또는 비특권화된 상태에서 동작시키도록 배열될 수 있다. 특권 레벨들 및 상이한 보안 도메인들은 직교 신뢰 레벨들로서 간주될 수 있고, 처리 회로의 상이한 모드 신뢰 레벨은 보안/하위 보안 도메인과 특권화된/비특권화된 상태의 각각의 조합과 연관될 수 있다. 따라서, 도 7에 도시된 바와 같이, 도시된 예에서 4개의 상이한 신뢰 레벨이 있을 수 있다.
캐퍼빌리티들이 생성되는 것을 가능하게 하는 앞서 설명된 제한된 위조 권한들에 관하여, 이어서, 도 7에서 화살표들에 의해 도시된 바와 같이, 처리 회로가 보안 및 특권화된 모드에서 동작하고 있을 때, 그것은 다른 3개의 하위 신뢰 레벨 동작 모드들 중 임의의 것에 대한 캐퍼빌리티들을 생성하는 것이 가능할 수 있다. 유사하게, 처리 회로가 하위 보안 특권화된 모드에서 동작하고 있을 때, 그것은 그것이 하위 보안 비특권화된 모드에 대한 캐퍼빌리티를 생성하는 것을 가능하게 하는 제한된 위조 권한들을 여전히 제공받을 수 있다. 게다가, 원하는 경우, 처리 회로가 보안 비특권화된 모드에서 동작하고 있을 때, 그것은 그것이 하위 보안 비특권화된 모드에 대한 캐퍼빌리티들을 생성하는 것을 가능하게 하는 제한된 위조 권한들을 여전히 제공받을 수 있다.
도 7은 4개의 상이한 신뢰 레벨들을 도시하지만, 본 명세서에 설명된 기술들은 그러한 구성으로 제한되지 않으며, 도 7에 도시된 직교 방향들 중 어느 하나 또는 둘 모두에서의, 추가적인 신뢰 레벨들이 제공될 수 있다는 것이 인식될 것이다. 특권화된 그리고 비특권화된 동작 모드들은 다양한 형태들을 취할 수 있지만, 순전히 예로서 특권화된 모드는 몇몇 구현예에서 핸들러 모드(handler mode)로 지칭될 수 있고 비특권화된 모드는 스레드 모드(thread mode)로 지칭될 수 있다. 핸들러 모드는 전형적으로 예외 처리에 사용되며, 따라서 예를 들어 신뢰되는 예외 핸들링 루틴이 핸들러 모드에서 실행될 수 있다. 스레드 모드는 전형적으로 상이한 스레드들, 예를 들어 상이한 애플리케이션 스레드들을 실행하는 데 사용된다.
메모리로부터 캐퍼빌리티 레지스터들(60, 80) 중 하나에 캐퍼빌리티들을 로딩할 때, 처리 회로는 소정 상황들에서 캐퍼빌리티 신뢰 레벨을 선택적으로 수정하도록 배열될 수 있으며, 이러한 접근법의 하나의 예시적인 구현예가 도 8a에 도시되어 있다. 단계 300에서, 메모리로부터의 캐퍼빌리티의 로드가 요청되는지가 결정되고, 만약 그렇다면 단계 305에서 현재 모드 신뢰 레벨이 메모리로부터 로딩될 캐퍼빌리티의 캐퍼빌리티 신뢰 레벨 미만인지가 결정된다. 만약 그렇지 않다면, 하나의 예시적인 구현예에서 프로세스는 단계 310으로 진행하며, 여기서 캐퍼빌리티는 캐퍼빌리티 레지스터 내에 수정되지 않고서 저장된다.
그러나, 도 8a에 도시된 기술에 따르면, 현재 모드 신뢰 레벨이 캐퍼빌리티 신뢰 레벨 미만인 경우, 프로세스는 단계 315로 진행하며, 여기서 캐퍼빌리티 레지스터에 저장되고 있는 캐퍼빌리티의 사본과 연관된 캐퍼빌리티 신뢰 레벨은 현재 모드 신뢰 레벨이 더 이상 캐퍼빌리티 신뢰 레벨 미만이 아니도록 강등된다. 그러한 접근법에 의해, 메모리로부터 로딩되는 캐퍼빌리티가 더 높은 연관된 특권 레벨을 갖더라도, 처리 회로의 캐퍼빌리티 레지스터에 로딩되는 결과적인 캐퍼빌리티가 그것이 현재 모드 신뢰 레벨로 동작할 때 처리 회로에 의해 액세스되지 않아야 하는 메모리에 액세스하는 데 사용될 수 없도록 강등된 그의 캐퍼빌리티 신뢰 레벨을 가질 것이 보장될 수 있다. 역으로, 메모리 내의 캐퍼빌리티가 현재 모드 신뢰 레벨보다 낮은 신뢰 레벨을 갖는 경우, 그의 신뢰 레벨은 그것이 캐퍼빌리티 레지스터 내로 이동될 때 "그대로" 유지된다. 이것은 캐퍼빌리티의 우발적인 승진을 회피할 수 있는데, 예를 들어 예외 핸들러가 스택된 값들을 우발적으로 승진시키는 경우를 회피할 수 있다.
하나의 예시적인 구현예에서 캐퍼빌리티 로딩 프로세스가 캐퍼빌리티보다는 캐퍼빌리티 레지스터에 범용 데이터를 로딩하기 위해 소정 상황들에서 사용되는 것이 가능하다. 이것은 단계 300에서 검출될 수 있으며, 실제로 로드 동작이 범용 데이터를 로딩하는 데 사용되고 있다면, 캐퍼빌리티 내의 캐퍼빌리티 신뢰 레벨을 지정할 비트들의 선택적 강등이 방지될 수 있으며, 이에 따라 로딩되는 데이터의 손상을 회피할 수 있다.
도 8a에서 단계 315에 의해 표시된 바와 같이, 캐퍼빌리티 신뢰 레벨들을 선택적으로 강등시키는 능력은, 예를 들어 그것을 제어 레지스터들(90) 내에 저장된 제어 정보를 조건으로 하게 함으로써, 구성가능하게 될 수 있다. 캐퍼빌리티들의 선택적 강등은 또한 소정 유형들의 캐퍼빌리티들에 대해 디스에이블될 수 있으며, 따라서 예를 들어 로딩되는 캐퍼빌리티가 불변의 캐퍼빌리티일 때 디스에이블될 수 있다. 그러한 능력은 예를 들어 불변의 캐퍼빌리티를 수정함이 없이 비특권화된 동작 모드 내로부터의 특권화된 불변의 캐퍼빌리티들의 유출을 허용하는 데 유익할 수 있다. 게다가, 위에서 언급된 바와 같이 메모리로부터 로딩되는 캐퍼빌리티들의 선택적인 강등을 조건부로 인에이블하거나 디스에이블하는 데 사용되는 제어 정보는 제어 레지스터들에 저장될 수 있지만, 그 제어 정보는 또한 다른 곳에, 예를 들어 캐퍼빌리티 자체 내에 필드로서, 또는 강등이 예를 들어 MPU 영역 속성들에 기초하는 것을 가능하게 하도록 저장될 수 있다. 이러한 후자의 접근법에서, 메커니즘은, 캐퍼빌리티가 판독-전용(예를 들어, 코드 메모리)으로서 마킹된 MPU 영역으로부터 로딩되는 경우 강등이 발생하지만, 관련 영역이 판독-기입(예를 들어, 힙 또는 스택 메모리)으로서 마킹되는 경우 발생하지 않도록 배열될 수 있다. 몇몇 구현예에서 MPU 내의 전용 제어 비트가 거동을 지시하는 데 사용될 수 있다.
도 8a는 메모리로부터 캐퍼빌리티 레지스터에 캐퍼빌리티를 로딩할 때 캐퍼빌리티 신뢰 레벨을 선택적으로 강등시키는 데 사용될 수 있는 하나의 메커니즘을 예시하지만, 원하는 경우 다른 메커니즘들이 사용될 수 있다. 도 8b는 선택적 강등이 로드에 대한 메모리 어드레스를 생성하는 데 사용되는 캐퍼빌리티의 캐퍼빌리티 신뢰 레벨에 기초하는 대안적인 메커니즘을 예시한다. 특히, 도 8b에 도시된 바와 같이, 단계 350에서 메모리로부터의 캐퍼빌리티의 로드가 요구된다고 결정될 때, 단계 355에서 로딩될 캐퍼빌리티의 캐퍼빌리티 신뢰 레벨이 로드에 대한 메모리 어드레스를 생성하는 데 사용되는 캐퍼빌리티의 캐퍼빌리티 신뢰 레벨을 초과하는지가 결정된다. 이것이 사실이 아니라면, 단계 360에서 캐퍼빌리티는 캐퍼빌리티 레지스터에 수정되지 않고서 저장되지만, 이것이 사실이라면, 캐퍼빌리티 레지스터에 로딩되는 캐퍼빌리티의 캐퍼빌리티 신뢰 레벨은, 그의 신뢰 레벨이 로드에 대한 메모리 어드레스를 생성하는 데 사용되는 캐퍼빌리티의 신뢰 레벨을 더 이상 초과하지 않도록 강등된다. 도 8의 앞선 논의에서와 같이, 이러한 선택적 강등 기능은 제어 정보를 조건으로 하여 이루어질 수 있다.
도 8b의 프로세스가 도 8a의 프로세스에 대한 대안으로서 사용될 수 있지만, 하나의 예시적인 구현예에서 기술들은 둘 모두의 체크들이 수행되도록 조합된다. 따라서, 로딩되는 캐퍼빌리티의 캐퍼빌리티 신뢰 레벨은 이어서 처리 회로의 현재 동작 모드와 연관된 현재 모드 신뢰 레벨과 로드에 대한 메모리 어드레스를 생성하는 데 사용되는 캐퍼빌리티의 캐퍼빌리티 신뢰 레벨 중 최소가 되도록 선택적으로 강등된다는 것이 인식될 것이다.
도 9는, 하나의 예시적인 구현예에서, 처리 회로가, 적어도 소정 동작 모드들에서, 캐퍼빌리티들의 캐퍼빌리티 신뢰 레벨을 감소시키도록 어떻게 허용될 수 있는지를 예시하는 흐름도이다. 단계 400에서, 처리 회로의 현재 모드 신뢰 레벨이 임계 레벨을 초과하는지가 결정되고, 만약 그렇지 않다면 단계 405에서 처리 회로에 의해 실행되는 현재 프로그램 코드는 캐퍼빌리티들의 캐퍼빌리티 신뢰 레벨을 감소시키도록 허용되지 않는다. 역으로, 현재 모드 신뢰 레벨이 임계 레벨을 초과한다면, 단계 410에서 처리 회로 상에서 실행되는 현재 프로그램 코드는 캐퍼빌리티들의 캐퍼빌리티 신뢰 레벨을 감소시키도록 허용된다. 선택적으로, 이러한 능력은 그의 캐퍼빌리티 신뢰 레벨이 현재 모드 신뢰 레벨을 초과하지 않는 캐퍼빌리티로 제한될 수 있다.
도 9에서 캐퍼빌리티의 캐퍼빌리티 신뢰 레벨을 감소시키는 능력은 소정 모드 신뢰 레벨들로 제한되지만, 이것은 요건이 아니며 대안적인 구현예에서 처리 회로는 현재 모드 신뢰 레벨에 관계없이 캐퍼빌리티 신뢰 레벨을 강등시키도록 허가될 수 있다.
하나의 예시적인 구현예에서, 장치가 캐퍼빌리티를 이용하여 액세스가 제약되게 하는 캐퍼빌리티 모드에 진입하기 전에, 장치는 하나 이상의 초기 캐퍼빌리티를 제공받을 수 있다. 전형적으로, 이러한 초기 캐퍼빌리티들은 캐퍼빌리티 모드에서 동작할 때 장치에 의해 지원되는 최고 신뢰 레벨을 나타내는 캐퍼빌리티 신뢰 레벨을 갖도록 설정될 수 있다. 이것은 안전한 접근법인데, 왜냐하면 앞서 논의된 메모리로부터 로딩된 캐퍼빌리티들의 선택적인 강등을 사용할 때, 이것은 그 초기 캐퍼빌리티들의 캐퍼빌리티 신뢰 레벨이, 예를 들어 처리 회로의 현재 동작 모드에 따라, 캐퍼빌리티 레지스터들에 로딩될 때 요구되는 바와 같이 선택적으로 강등되는 것을 가능하게 하기 때문이다.
초기 캐퍼빌리티들은 다양한 방식으로 확립될 수 있지만, 도 10에 예시된 바와 같이 하나의 예시적인 구현예에서 컴파일러(420)가 장치 상에서 실행될 프로그램 코드의 컴파일 동안 초기 캐퍼빌리티들을 정의하는 데 사용될 수 있으며, 그러한 생성된 초기 캐퍼빌리티들은 메모리 내에 초기 캐퍼빌리티들(425)의 리터럴 풀(literal pool)로서 저장된다.
앞서 언급된 바와 같이, 하나의 예시적인 구현예에서 초기 캐퍼빌리티들은 모두 캐퍼빌리티 모드에서 동작할 때 장치에 의해 지원되는 최고 캐퍼빌리티 신뢰 레벨을 갖도록 설정될 수 있지만, 원하는 경우 개발자는 더 낮은 캐퍼빌리티 신뢰 레벨을 갖는 하나 이상의 캐퍼빌리티를 생성할 수 있다. 예를 들어, 개발자가 캐퍼빌리티가 (예를 들어, OS 관리 코드에서) 항상 비특권화되어야 한다는 것을 아는 경우, 컴파일러 내재성(compiler intrinsics)이 정적 데이터에서 비특권화된 것으로서 마킹되는 캐퍼빌리티를 생성하는 데 사용될 수 있으며, 이에 따라 보안을 더욱 향상시킬 수 있다.
몇몇 예시적인 구현예에서, 캐퍼빌리티들은 그의 제약 정보가 불변으로서 식별되는 적어도 하나의 불변의 캐퍼빌리티를 포함할 수 있다. 전형적으로 이것은 일단 캐퍼빌리티가 확립되면 처리 회로가 제약 정보를 변경할 수 없을 것임을 의미할 것이다. 그러나, 도 11의 흐름도에 의해 개략적으로 예시된 바와 같은 하나의 예시적인 구현예에 따르면, 소정 상황들에서 선택된 불변의 캐퍼빌리티의 제약 정보가 수정되도록 허용하는 것이 가능하다. 단계 450에서, 불변의 캐퍼빌리티를 수정하려는 시도가 이루어지고 있는 때가 검출된다. 그러한 상황에서, 이어서 단계 455에서 처리 회로의 현재 모드 신뢰 레벨이 불변의 캐퍼빌리티의 캐퍼빌리티 신뢰 레벨을 초과하는지가 결정된다. 만약 그렇지 않다면, 단계 460에서 수정이 방지된다. 또한, 태그 비트는 캐퍼빌리티가 더 이상 유효하지 않도록 그러한 상황들에서 클리어될 수 있다.
그러나, 단계 455에서 현재 모드 신뢰 레벨이 불변의 캐퍼빌리티의 캐퍼빌리티 신뢰 레벨을 초과한다고 결정되면, 단계 465에서 불변의 캐퍼빌리티의 수정이 허용된다.
도 11의 기능이 모든 경우에 허용될 수 있지만, 원하는 경우, 예를 들어 처리 회로의 현재 모드 신뢰 레벨이 임계 레벨을 초과하는지를 체크함으로써, 도 11의 기능을 수행하는 능력이 추가로 제한될 수 있다.
게다가, 불변의 캐퍼빌리티들의 선택적 수정은 다른 방식들로 핸들링될 수 있으며, 도 11에 제시된 접근법으로 제한되지 않는다는 것에 유의해야 한다. 예를 들어, 하나의 구현예에서 불변의 캐퍼빌리티들의 수정은 일반적으로 허용될 수 있지만, 태그 비트는 단계 455의 신뢰 레벨 기준들이 충족되지 않는 상황들에서 클리어될 것이고, 따라서 캐퍼빌리티를 효과적으로 무효화할 것이다. 추가의 대안으로서, 수정이 수행될 수 있지만, 필요한 경우 수정된 불변의 캐퍼빌리티의 캐퍼빌리티 신뢰 레벨은 단계 455의 신뢰 레벨 기준들이 충족되도록 강등될 수 있다.
도 12는 사용될 수 있는 시뮬레이터 구현예를 예시한다. 앞서 설명된 예들은 관심이 있는 기술들을 지원하는 특정 처리 하드웨어를 동작시키기 위한 장치 및 방법들과 관련하여 본 발명을 구현하지만, 본 명세서에서 설명되는 예들에 따라 컴퓨터 프로그램의 사용을 통해 구현되는 명령어 실행 환경을 제공하는 것이 또한 가능하다. 그러한 컴퓨터 프로그램들은, 그들이 하드웨어 아키텍처의 소프트웨어 기반 구현예를 제공하는 한, 종종 시뮬레이터들로 지칭된다. 다양한 시뮬레이터 컴퓨터 프로그램들은 에뮬레이터들, 가상 머신들, 모델들, 및 동적 이진 변환기(dynamic binary translator)들을 포함한 이진 변환기들을 포함한다. 전형적으로, 시뮬레이터 구현예는 호스트 프로세서(515) 상에서 실행되어, 호스트 운영 체제(510)를 선택적으로 실행하여, 시뮬레이터 프로그램(505)을 지원할 수 있다. 몇몇 배열들에서, 하드웨어와 제공된 명령어 실행 환경 사이에 다수의 시뮬레이션 계층들이 있을 수 있고/있거나, 동일한 호스트 프로세서 상에 제공된 다수의 별개의 명령어 실행 환경들이 있을 수 있다. 역사적으로, 강력한 프로세서들이 합리적인 속도로 실행되는 시뮬레이터 구현예들을 제공하기 위해 요구되었지만, 그러한 접근법은 호환성 또는 재사용 이유들을 위해 다른 프로세서에 고유한 코드를 실행하려는 요구가 있을 때와 같은 소정 상황들에서 정당화될 수 있다. 예를 들어, 시뮬레이터 구현예는 호스트 프로세서 하드웨어에 의해 지원되지 않는 추가적인 기능을 명령어 실행 환경에 제공할 수 있거나, 또는 상이한 하드웨어 아키텍처와 전형적으로 연관된 명령어 실행 환경을 제공할 수 있다. 시뮬레이션의 개요가 문헌["Some Efficient Architecture Simulation Techniques", Robert Bedichek, Winter 1990, USENIX Conference, Pages 53 to 63]에서 주어진다.
예들이 특정 하드웨어 구성들 또는 특징부들을 참조하여 전술되었음을 고려한 결과로, 시뮬레이션된 구현예에서, 동등한 기능이 적합한 소프트웨어 구성들 또는 특징부들에 의해 제공될 수 있다. 예를 들어, 특정 회로가 시뮬레이션된 구현예에서 컴퓨터 프로그램 로직으로서 제공될 수 있다. 유사하게, 레지스터 또는 캐시와 같은 메모리 하드웨어가 시뮬레이션된 구현예에서 소프트웨어 데이터 구조로서 구현될 수 있다. 또한, 하드웨어 장치(2) 내의 메모리(50)에 액세스하는 데 사용되는 물리 어드레스 공간은 시뮬레이터(505)에 의한 호스트 운영 체제(510)에 의해 사용되는 가상 어드레스 공간에 매핑되는 시뮬레이션된 어드레스 공간으로서 에뮬레이팅될 수 있다. 전술된 예들에서 언급된 하드웨어 요소들 중 하나 이상의 하드웨어 요소들이 호스트 하드웨어(예를 들어, 호스트 프로세서(515)) 상에 존재하는 배열들에서, 몇몇 시뮬레이션된 구현예들은, 적합한 경우, 호스트 하드웨어를 사용할 수 있다.
시뮬레이터 프로그램(505)은 컴퓨터 판독가능 저장 매체(이는 비일시적 매체일 수 있음) 상에 저장될 수 있고, 타겟 코드(500)(이는 애플리케이션들, 운영 체제들, 및 하이퍼바이저를 포함할 수 있음)에 가상 하드웨어 인터페이스(명령어 실행 환경)를 제공하는데, 이는 시뮬레이터 프로그램(505)에 의해 모델링되는 하드웨어 아키텍처의 하드웨어 인터페이스와 동일하다. 따라서, 타겟 코드(500)의 프로그램 명령어들은 시뮬레이터 프로그램(505)을 사용하여 명령어 실행 환경 내로부터 실행되어, 위에서 논의된 장치(2)의 하드웨어 특징부들을 실제로 갖지 않는 호스트 컴퓨터(515)가 그러한 특징부들을 에뮬레이팅할 수 있게 할 수 있다. 시뮬레이터 프로그램은 처리 파이프라인(4)의 거동을 에뮬레이팅하기 위한 처리 프로그램 로직(520), 캐퍼빌리티 체크 회로(33)의 거동을 에뮬레이팅하기 위한 캐퍼빌리티 체크 프로그램 로직(522), 및 도 1의 하드웨어 장치(2)의 메모리 액세스 체크 회로(52)의 거동을 에뮬레이팅하기 위한 메모리 액세스 체크 프로그램 로직(525)을 포함할 수 있다. 따라서, 캐퍼빌리티들 및 그들의 연관된 캐퍼빌리티 신뢰 레벨들을 관리하기 위한 본 명세서에 설명된 기술들은 도 12의 예에서 시뮬레이터 프로그램(505)에 의해 소프트웨어로 수행될 수 있다.
본 출원에서, 단어들 "... 하도록 구성된"은 장치의 요소가 정의된 동작을 수행할 수 있는 구성을 갖는다는 것을 의미하는 데 사용된다. 이러한 맥락에서, "구성"은 하드웨어 또는 소프트웨어의 상호 접속의 배열 또는 방식을 의미한다. 예를 들어, 장치는 정의된 동작을 제공하는 전용 하드웨어를 가질 수 있거나, 프로세서 또는 다른 처리 디바이스가 그 기능을 수행하도록 프로그래밍될 수 있다. "하도록 구성된"은 장치 요소가 정의된 동작을 제공하기 위해 임의의 방식으로 변경될 필요가 있다는 것을 암시하지는 않는다.
본 발명의 예시적인 실시예들이 첨부 도면들을 참조하여 본 명세서에서 상세히 설명되었지만, 본 발명은 그러한 정확한 실시예들로 제한되지 않으며, 첨부된 청구항들에 의해 한정된 바와 같은 본 발명의 범위 및 사상으로부터 벗어남이 없이 실시예들에서 다양한 변경들, 추가들 및 수정들이 당업자에 의해 이루어질 수 있다는 것이 이해되어야 한다. 예를 들어, 본 발명의 범위로부터 벗어남이 없이 독립 청구항들의 특징들과 종속 청구항들의 특징들의 다양한 조합이 이루어질 수 있다.

Claims (26)

  1. 장치로서,
    메모리에 대한 액세스 요청들이 생성되는 동작들을 수행하는 처리 회로 - 상기 처리 회로는 제약 정보를 식별하는 캐퍼빌리티(capability)들을 사용하여 상기 액세스 요청들에 대한 메모리 어드레스들을 생성하도록 배열됨 -;
    메모리 어드레스가 주어진 캐퍼빌리티를 사용하여 생성되는 주어진 액세스 요청이 그 주어진 캐퍼빌리티에 의해 식별된 상기 제약 정보에 기초하여 허가되는지를 결정하기 위해 캐퍼빌리티 체크 동작을 수행하는 캐퍼빌리티 체크 회로; 및
    상기 주어진 액세스 요청과 연관된 신뢰 레벨에 따라 상기 주어진 액세스 요청에 의한 상기 메모리에 대한 액세스를 추가로 제약하는 메모리 액세스 체크 회로를 포함하며,
    상기 주어진 캐퍼빌리티는 상기 주어진 캐퍼빌리티와 연관된 캐퍼빌리티 신뢰 레벨을 갖고, 상기 주어진 액세스 요청과 연관된 상기 신뢰 레벨은 상기 처리 회로의 현재 동작 모드와 연관된 현재 모드 신뢰 레벨, 및 상기 주어진 캐퍼빌리티의 상기 캐퍼빌리티 신뢰 레벨 둘 모두에 의존하는, 장치.
  2. 제1항에 있어서, 상기 주어진 액세스 요청과 연관된 상기 신뢰 레벨은 상기 현재 모드 신뢰 레벨과 상기 캐퍼빌리티 신뢰 레벨 중 어느 것이든지 더 낮은 신뢰 레벨을 나타내도록 제약되는, 장치.
  3. 제1항 또는 제2항에 있어서, 상기 캐퍼빌리티 신뢰 레벨은 상기 주어진 캐퍼빌리티 내에 인코딩되는, 장치.
  4. 제3항에 있어서,
    각각의 캐퍼빌리티에 대해, 상기 제약 정보는 그 캐퍼빌리티를 사용하여 생성된 메모리 어드레스들에 허가된 메모리 액세스들의 유형들을 식별하는 허가들의 세트를 적어도 제공하고,
    상기 캐퍼빌리티 신뢰 레벨은 추가적인 허가로서 제공되는, 장치.
  5. 제1항 또는 제2항에 있어서, 상기 주어진 캐퍼빌리티는 상기 캐퍼빌리티 신뢰 레벨을 포함하는 위치를 나타내는 식별자를 제공하는, 장치.
  6. 제1항 내지 제5항 중 어느 한 항에 있어서,
    각각의 캐퍼빌리티에 대해, 상기 제약 정보는 그 캐퍼빌리티를 사용하여 임의의 액세스 요청에 대해 생성된 상기 메모리 어드레스에 대한 메모리 어드레스들의 허용가능 범위를 결정하는 데 사용되는 한계 정보(bounds information)를 추가로 제공하는, 장치.
  7. 제1항 내지 제6항 중 어느 한 항에 있어서, 상기 처리 회로는, 적어도 상기 현재 모드 신뢰 레벨이 임계 신뢰 레벨을 초과할 때, 캐퍼빌리티를 생성하기 위해 캐퍼빌리티 생성 동작을 수행하고, 상기 현재 모드 신뢰 레벨보다 낮은 신뢰 레벨을 나타내도록 상기 생성된 캐퍼빌리티에 대한 연관된 캐퍼빌리티 신뢰 레벨을 설정하도록 배열된 캐퍼빌리티 생성 회로를 포함하는, 장치.
  8. 제1항 내지 제6항 중 어느 한 항에 있어서, 상기 처리 회로는, 상기 현재 모드 신뢰 레벨이 소스 데이터와 연관하여 제공되는 캐퍼빌리티 신뢰 레벨 표시를 초과한다면, 상기 소스 데이터로부터 캐퍼빌리티를 생성하기 위해 캐퍼빌리티 생성 동작을 수행하도록 배열된 캐퍼빌리티 생성 회로를 포함하는, 장치.
  9. 제7항에 있어서,
    상기 처리 회로는 프로그램 명령어들을 실행하도록 배열되며, 상기 프로그램 명령어들의 처리는 우세 캐퍼빌리티에 의해 제약되고,
    상기 처리 회로는 제어 흐름 변경 동작을 수행하는 제어 흐름 변경 핸들링 회로를 추가로 포함하며, 상기 제어 흐름 변경 동작은 상기 제어 흐름 변경 동작 후의 실행을 위한 프로그램 명령어의 어드레스를 나타내는 제어 흐름 변경 타겟 어드레스를 정의하고,
    상기 캐퍼빌리티 생성 회로는, 상기 제어 흐름 변경 타겟 어드레스에 따라, 캐퍼빌리티 제약 정보가 저장되는 어드레스를 결정하고, 상기 캐퍼빌리티 제약 정보를 검색하고, 적어도 상기 캐퍼빌리티 제약 정보에 따라, 그리고 상기 현재 모드 신뢰 레벨보다 낮은 신뢰 레벨을 나타내도록 제약된 상기 생성된 캐퍼빌리티에 대한 연관된 캐퍼빌리티 신뢰 레벨로, 다음 우세 캐퍼빌리티로서 사용하기 위한 캐퍼빌리티를 생성하도록 배열되는, 장치.
  10. 제1항 내지 제9항 중 어느 한 항에 있어서,
    상기 처리 회로에 의한 참조를 위해 캐퍼빌리티들을 저장하는 캐퍼빌리티 레지스터들의 세트; 및
    하나 이상의 캐퍼빌리티들을 저장하는 메모리 회로를 추가로 포함하며,
    상기 처리 회로는 상기 메모리 회로로부터의 선택된 캐퍼빌리티를 상기 캐퍼빌리티 레지스터들의 세트로부터의 선택된 캐퍼빌리티 레지스터에 로딩하기 위해 로드 동작을 수행하도록 배열되고,
    상기 처리 회로는, 상기 로드 동작 동안, 상기 선택된 캐퍼빌리티 레지스터에 저장된 바와 같은 상기 선택된 캐퍼빌리티가 상기 현재 모드 신뢰 레벨 또는 상기 메모리 회로에 저장된 바와 같은 상기 선택된 캐퍼빌리티의 상기 캐퍼빌리티 신뢰 레벨을 초과하지 않도록 제약된 캐퍼빌리티 신뢰 레벨을 갖도록 상기 캐퍼빌리티 신뢰 레벨을 선택적으로 수정하도록 배열되는, 장치.
  11. 제10항에 있어서, 상기 처리 회로는 상기 선택된 캐퍼빌리티가 상기 선택된 캐퍼빌리티가 유효 캐퍼빌리티임을 식별하는 제어 값을 가질 때 상기 로드 동작 동안 상기 캐퍼빌리티 신뢰 레벨을 단지 선택적으로 수정하도록 배열되는, 장치.
  12. 제10항 또는 제11항에 있어서, 상기 현재 모드 신뢰 레벨이 상기 메모리 회로에 저장된 바와 같은 상기 선택된 캐퍼빌리티의 상기 캐퍼빌리티 신뢰 레벨 미만일 때, 상기 처리 회로는 상기 현재 모드 신뢰 레벨과 일치하도록 상기 선택된 캐퍼빌리티 레지스터에 저장된 바와 같은 상기 선택된 캐퍼빌리티의 상기 캐퍼빌리티 신뢰 레벨을 강등시키도록 배열되는, 장치.
  13. 제10항 내지 제12항 중 어느 한 항에 있어서, 상기 현재 모드 신뢰 레벨이 상기 메모리 회로에 저장된 바와 같은 상기 선택된 캐퍼빌리티의 상기 캐퍼빌리티 신뢰 레벨 이상일 때, 상기 처리 회로는 상기 선택된 캐퍼빌리티가 상기 선택된 캐퍼빌리티 레지스터에 저장될 때 상기 캐퍼빌리티 신뢰 레벨을 변경 없이 두도록 배열되는, 장치.
  14. 제1항 내지 제13항 중 어느 한 항에 있어서, 적어도 상기 현재 모드 신뢰 레벨이 임계 신뢰 레벨을 초과할 때, 상기 처리 회로는 선택된 캐퍼빌리티의 상기 캐퍼빌리티 신뢰 레벨이 상기 선택된 캐퍼빌리티의 현재 캐퍼빌리티 신뢰 레벨로부터 감소될 수 있게 하도록 배열되는, 장치.
  15. 제1항 내지 제14항 중 어느 한 항에 있어서, 상기 장치는 캐퍼빌리티 신뢰 레벨이 상기 장치에 의해 지원되는 최고 신뢰 레벨을 나타내는 하나 이상의 초기 캐퍼빌리티들을 제공받는, 장치.
  16. 제15항에 있어서, 상기 초기 캐퍼빌리티들은 상기 장치가 액세스 요청들이 상기 캐퍼빌리티들에 의해 제약되는 캐퍼빌리티 동작 모드에 진입하기 전에 제공되는, 장치.
  17. 제1항 내지 제16항 중 어느 한 항에 있어서,
    상기 처리 회로는 적어도 특권화된 상태(privileged state) 및 비특권화된 상태(unprivileged state)를 포함하는 복수의 상태들 중 하나에서 프로그램 코드를 실행하도록 배열되고, 상기 현재 모드 신뢰 레벨은 현재 프로그램 코드가 상기 복수의 상태들 중 어느 것에서 실행되는지에 의존하는, 장치.
  18. 제1항 내지 제17항 중 어느 한 항에 있어서, 상기 처리 회로는 적어도 보안 도메인(secure domain) 및 하위 보안 도메인(less secure domain)을 포함하는 복수의 보안 도메인들 중 하나에서 프로그램 코드를 실행하도록 배열되고, 상기 현재 모드 신뢰 레벨은 현재 프로그램 코드가 상기 복수의 보안 도메인들 중 어느 것에서 실행되는지에 의존하는, 장치.
  19. 제17항 또는 제18항에 있어서, 상기 현재 모드 신뢰 레벨은 현재 프로그램 코드가 실행되는 상기 상태 및 상기 보안 도메인 둘 모두에 의존하는, 장치.
  20. 제1항 내지 제19항 중 어느 한 항에 있어서,
    상기 캐퍼빌리티들은 제약 정보가 불변으로서 식별되는 적어도 하나의 불변의 캐퍼빌리티를 포함하고,
    적어도 상기 현재 모드 신뢰 레벨이 임계 신뢰 레벨을 초과할 때, 상기 처리 회로는, 선택된 불변의 캐퍼빌리티가 상기 현재 모드 신뢰 레벨 미만의 캐퍼빌리티 신뢰 레벨을 갖는다면, 선택된 불변의 캐퍼빌리티의 상기 제약 정보가 수정될 수 있게 하도록 배열되는, 장치.
  21. 제12항을 인용하는 경우의 제20항에 있어서, 상기 처리 회로는 상기 선택된 캐퍼빌리티가 불변의 캐퍼빌리티일 때 상기 선택된 캐퍼빌리티의 상기 캐퍼빌리티 신뢰 레벨의 상기 강등을 디스에이블하도록 구성가능한, 장치.
  22. 제1항 내지 제21항 중 어느 한 항에 있어서, 상기 처리 회로는 상기 주어진 캐퍼빌리티와 연관된 상기 캐퍼빌리티 신뢰 레벨이 상기 현재 모드 신뢰 레벨을 초과하는 상황에서 상기 주어진 액세스 요청에 의해 식별된 상기 액세스를 수행하려는 시도가 이루어질 때 장애 신호를 발행하도록 배열되는, 장치.
  23. 제10항을 인용하는 경우의 선행 청구항들 중 어느 한 항에 있어서, 상기 선택된 캐퍼빌리티 레지스터에 저장된 바와 같은 상기 선택된 캐퍼빌리티는 상기 로드 동작에 대한 메모리 어드레스를 생성하는 데 사용되는 캐퍼빌리티와 연관된 상기 캐퍼빌리티 신뢰 레벨을 초과하지 않는 캐퍼빌리티 신뢰 레벨을 갖도록 추가로 제약되는, 장치.
  24. 제12항을 인용하는 경우의 선행 청구항들 중 어느 한 항에 있어서, 상기 선택된 캐퍼빌리티 레지스터에 저장된 바와 같은 상기 선택된 캐퍼빌리티의 상기 캐퍼빌리티 신뢰 레벨의 상기 강등의 수행은 제어 정보에 따라 제어되는, 장치.
  25. 메모리에 대한 액세스를 제약하는 방법으로서,
    메모리에 대한 액세스 요청들이 생성되는 동작들을 수행하기 위해 처리 회로를 이용하는 단계 - 상기 처리 회로는 제약 정보를 식별하는 캐퍼빌리티들을 사용하여 상기 액세스 요청들에 대한 메모리 어드레스들을 생성함 -;
    메모리 어드레스가 주어진 캐퍼빌리티를 사용하여 생성되는 주어진 액세스 요청이 그 주어진 캐퍼빌리티에 의해 식별된 상기 제약 정보에 기초하여 허가되는지를 결정하기 위해 캐퍼빌리티 체크 동작을 수행하는 단계; 및
    상기 주어진 액세스 요청과 연관된 신뢰 레벨에 따라 상기 주어진 액세스 요청에 의한 상기 메모리에 대한 액세스를 추가로 제약하는 단계 - 상기 주어진 캐퍼빌리티는 상기 주어진 캐퍼빌리티와 연관된 캐퍼빌리티 신뢰 레벨을 갖고, 상기 주어진 액세스 요청과 연관된 상기 신뢰 레벨은 상기 처리 회로의 현재 동작 모드와 연관된 현재 모드 신뢰 레벨, 및 상기 주어진 캐퍼빌리티의 상기 캐퍼빌리티 신뢰 레벨 둘 모두에 의존함 - 를 포함하는, 방법.
  26. 명령어 실행 환경을 제공하도록 호스트 데이터 처리 장치를 제어하기 위한 컴퓨터 프로그램으로서,
    메모리에 대한 액세스 요청들이 생성되는 동작들을 수행하는 처리 프로그램 로직 - 상기 처리 프로그램 로직은 제약 정보를 식별하는 캐퍼빌리티들을 사용하여 상기 액세스 요청들에 대한 메모리 어드레스들을 생성하도록 배열됨 -;
    메모리 어드레스가 주어진 캐퍼빌리티를 사용하여 생성되는 주어진 액세스 요청이 그 주어진 캐퍼빌리티에 의해 식별된 상기 제약 정보에 기초하여 허가되는지를 결정하기 위해 캐퍼빌리티 체크 동작을 수행하는 캐퍼빌리티 체크 프로그램 로직; 및
    상기 주어진 액세스 요청과 연관된 신뢰 레벨에 따라 상기 주어진 액세스 요청에 의한 상기 메모리에 대한 액세스를 추가로 제약하는 메모리 액세스 체크 프로그램 로직을 포함하며,
    상기 주어진 캐퍼빌리티는 상기 주어진 캐퍼빌리티와 연관된 캐퍼빌리티 신뢰 레벨을 갖고, 상기 주어진 액세스 요청과 연관된 상기 신뢰 레벨은 상기 처리 프로그램 로직의 현재 동작 모드와 연관된 현재 모드 신뢰 레벨, 및 상기 주어진 캐퍼빌리티의 상기 캐퍼빌리티 신뢰 레벨 둘 모두에 의존하는, 컴퓨터 프로그램.
KR1020237015953A 2020-11-05 2021-08-11 캐퍼빌리티들을 사용하여 메모리에 대한 액세스를 제약하기 위한 기술 KR20230101826A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
GB2017499.1A GB2600715B (en) 2020-11-05 2020-11-05 Technique for constraining access to memory using capabilities
GB2017499.1 2020-11-05
PCT/GB2021/052078 WO2022096844A1 (en) 2020-11-05 2021-08-11 Technique for constraining access to memory using capabilities

Publications (1)

Publication Number Publication Date
KR20230101826A true KR20230101826A (ko) 2023-07-06

Family

ID=74045987

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020237015953A KR20230101826A (ko) 2020-11-05 2021-08-11 캐퍼빌리티들을 사용하여 메모리에 대한 액세스를 제약하기 위한 기술

Country Status (7)

Country Link
US (1) US20230409494A1 (ko)
EP (1) EP4205003A1 (ko)
JP (1) JP2023547065A (ko)
KR (1) KR20230101826A (ko)
CN (1) CN116368465A (ko)
GB (1) GB2600715B (ko)
WO (1) WO2022096844A1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220197638A1 (en) * 2022-03-14 2022-06-23 Intel Corporation Generating encrypted capabilities within bounds

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2562102B (en) * 2017-05-05 2019-09-04 Advanced Risc Mach Ltd An apparatus and method for managing use of capabilities
GB2572151B (en) * 2018-03-19 2020-07-08 Advanced Risc Mach Ltd An apparatus and method for storing bounded pointers
GB2578135B (en) * 2018-10-18 2020-10-21 Advanced Risc Mach Ltd Range checking instruction
US11741196B2 (en) * 2018-11-15 2023-08-29 The Research Foundation For The State University Of New York Detecting and preventing exploits of software vulnerability using instruction tags

Also Published As

Publication number Publication date
US20230409494A1 (en) 2023-12-21
JP2023547065A (ja) 2023-11-09
GB2600715A (en) 2022-05-11
GB202017499D0 (en) 2020-12-23
WO2022096844A1 (en) 2022-05-12
CN116368465A (zh) 2023-06-30
EP4205003A1 (en) 2023-07-05
GB2600715B (en) 2023-01-18

Similar Documents

Publication Publication Date Title
CN110574009B (zh) 用于管理对能力的使用的设备和方法
JP7280196B2 (ja) 機能ドメインを管理するための装置及び方法
JP2023038361A (ja) 命令セット内の変更を制御する装置及び方法
EP3881189B1 (en) An apparatus and method for controlling memory accesses
KR20230017832A (ko) Tag 체킹 장치 및 방법
US20230409494A1 (en) Technique for constraining access to memory using capabilities
US20240193101A1 (en) Technique for constraining access to memory using capabilities
CN110622133B (zh) 用于管理能力域的设备及方法
TW202318210A (zh) 用於處理密封能力之技術
TW202340955A (zh) 使用能力約束記憶體存取之技術
JP2024517627A (ja) ケイパビリティを使用してメモリへのアクセスを制約するための技法
TW202319913A (zh) 用於使用能力限制對記憶體存取之技術