TW201732584A - 用以在安全指定位址空間頁面快取記憶體中暫停/回復指定位址空間的遷移之指令及邏輯 - Google Patents
用以在安全指定位址空間頁面快取記憶體中暫停/回復指定位址空間的遷移之指令及邏輯 Download PDFInfo
- Publication number
- TW201732584A TW201732584A TW105138705A TW105138705A TW201732584A TW 201732584 A TW201732584 A TW 201732584A TW 105138705 A TW105138705 A TW 105138705A TW 105138705 A TW105138705 A TW 105138705A TW 201732584 A TW201732584 A TW 201732584A
- Authority
- TW
- Taiwan
- Prior art keywords
- sdcs
- page
- address space
- version
- processor
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
- G06F12/1408—Protection against unauthorised use of memory or access to memory by using cryptography
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/02—Addressing or allocation; Relocation
- G06F12/08—Addressing or allocation; Relocation in hierarchically structured memory systems, e.g. virtual memory systems
- G06F12/0802—Addressing of a memory level in which the access to the desired data or data block requires associative addressing means, e.g. caches
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
- G06F12/1458—Protection against unauthorised use of memory or access to memory by checking the subject access rights
- G06F12/1466—Key-lock mechanism
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/02—Addressing or allocation; Relocation
- G06F12/08—Addressing or allocation; Relocation in hierarchically structured memory systems, e.g. virtual memory systems
- G06F12/0802—Addressing of a memory level in which the access to the desired data or data block requires associative addressing means, e.g. caches
- G06F12/0875—Addressing of a memory level in which the access to the desired data or data block requires associative addressing means, e.g. caches with dedicated cache, e.g. instruction or stack
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2212/00—Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
- G06F2212/10—Providing a specific technical effect
- G06F2212/1052—Security improvement
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2212/00—Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
- G06F2212/40—Specific encoding of data in memory or cache
- G06F2212/402—Encrypted data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2212/00—Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
- G06F2212/60—Details of cache memory
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
指令及邏輯支援暫停及回復安全指定位址空間頁快取記憶體(EPC)中的指定位址空間的遷移。EPC將安全域控制結構(SDCS)儲存在可由用於管理處理的指定位址空間、及指定位址空間的域存取的儲存器中。第二處理器檢查對應的版本陣列(VA)頁是否被束縛至SDCS,假使是,則:使用於頁的SDCS中的版本計數器增量,使用SDCS中的版本計數器,執行來自EPC的頁之驗證加密,以及,將加密的頁寫至外部記憶體。第二處理器檢查對應的VA頁是否被束縛至第二處理器的第二SDCS,假使是,則:使用第二SDCS中的版本計數器,執行頁之驗證解密,以及,假使驗證通過時,將解密的頁載至第二處理器中的EPC。
Description
本揭示係關於當由處理器或其它處理邏輯執行時,執行載入、儲存、邏輯、數學、或其它功能運算之處理邏輯、微處理器、及相關指令集架構的領域。特別地,本揭示關於暫停及回復安全指定位址空間頁面快取記憶體中安全指定位址空間的遷移之指令及邏輯。
支援例如語音、視訊、交易、及祕密資料等新使用模式及服務之應用及高性能網路在安全領域上出現了新挑戰。為了保密及完整性,保護儲存及傳送的資料是很重要的,但是,支援維持安全存取受保護的碼及/或資料所要求的高速加密作業及儲存會增加複雜度,最終增加費用。
用於產生及維護被保全的、受保護的、或隔離的分區或環境之一技術稱為建立指定位址空間。指定位址空間是被當作整組保護的處理能力及資訊的集合。資訊及處理能
力可包含網路、主機、或應用程式。當從外部記憶體載入用於指定位址空間的資料及/或指令時,它們會被解密、驗證、然後被儲存或快取在受保護的記憶體中。類似地,當用於指定位址空間的資料及/或指令從受保護的記憶體中被逐出時,它們在被存回至外部記憶體之前會被加密。安全指定位址空間資料分配給特定的處理及與用於該處理之獨特的指定位址空間識別符相關聯,以致於對安全安全指定位址空間資料的存取侷限於經過授權的處理。甚至作業系統也不被允許存取經過解密的與不同處理的指定位址空間識別符相關聯的指定位址空間資料。
因此,當已被分配安全指定位址空間的處理需要遷移至另一機器、平台或伺服器時,操作系統無法存取經過解密的與母處理相關聯之指定位址空間資料。因此,作業系統可無法複製被遷移的處理之處理狀態,而分配給運行處理的安全指定位址空間仍然是作用的。此外,安全指定位址空間因鑰匙而受制於平台,以致於為了遷移至另一平台,平台需要虛擬化且安全指定位址空間需要替代地被平台上運行的虛擬機或容器限制。然後,至少當安全指定位址空間關機時,處理及/或虛擬器才可以安全地遷移至另一實體平台。
為了使作業系統在遷移處理至另一實體平台時可以複製分配給該處理的安全指定位址空間狀態,典型上使記憶體頁從受保護的記憶體脫離或無效。當作業系統為了安全指定位址空間而正執行記憶體頁的頁入(亦即載入)及/
或頁出(亦即逐出及寫回)時,必須對典型上大小為4KB之全部的頁執行加密作業。結果,用於安全指定位址空間之頁拷貝作業會要求數以萬計的處理循環。假使頁處理被中斷,則其可需要重新執行,但是,假使中斷的服務未被允許一直到用於安全指定位址空間的頁作業完成為止,則延遲的中斷服務會在例如語音、視訊及即時交易等某些服務中造成令人無法接受的故障。將體認到,為了安全地遷移至另一實體平台,記憶體資料頁及/或可執行的頁之任何拷貝將需要被安全地管理,特別是,假使這些資料頁及/或可執行的頁之拷貝發生於虛擬機或容器實況遷移至另一平台期間時,用於安全指定位址空間之各記憶體資料頁及/或可執行的頁之版本控制也需要被安全地管理。
因此,複製用於安全指定位址空間之狀態及資料頁以將處理遷移至另一機器,平台或伺服器會呈現獨特的安全、使用者經驗及性能挑戰之集合。迄今為止,尚未適當地探究克服這些挑戰、潛在性能限制議題、及即時複雜性的解決之道。
100‧‧‧電腦系統
140‧‧‧資料處理系統
160‧‧‧資料處理系統
170‧‧‧處理核心
162‧‧‧執行單元
164‧‧‧暫存器檔案集
165‧‧‧解碼器
165B‧‧‧解碼器
200‧‧‧處理器
490‧‧‧核心
500‧‧‧處理器
600‧‧‧系統
700‧‧‧第二系統
800‧‧‧第三系統
900‧‧‧系統單晶片
1000‧‧‧處理器
1130‧‧‧儲存媒體
1140‧‧‧記憶體
1401‧‧‧核心
1501‧‧‧核心
在圖式中,以舉例方式而非限定方式,說明本發明。
圖1A是執行指令以暫停及回復安全指定位址空間頁快取記憶體中的安全指定位址空間的遷移之系統的一實施例的方塊圖。
圖1B是執行指令以暫停及回復安全指定位址空間頁
快取記憶體中的安全指定位址空間的遷移之系統的另一實施例的方塊圖。
圖1C是執行指令以暫停及回復安全指定位址空間頁快取記憶體中的安全指定位址空間的遷移之系統的另一實施例的方塊圖。
圖2是執行指令以暫停及回復安全指定位址空間頁快取記憶體中的安全指定位址空間的遷移的處理器之一實施例的方塊圖。
圖3A顯示根據一實施例的緊縮資料型式。
圖3B顯示根據一實施例的緊縮資料型式。
圖3C顯示根據一實施例的緊縮資料型式。
圖3D顯示根據一實施例的用以暫停及回復安全指定位址空間頁快取記憶體中的安全指定位址空間的遷移之指令編碼。
圖3E顯示根據另一實施例的用以暫停及回復安全指定位址空間頁快取記憶體中的安全指定位址空間的遷移之指令編碼。
圖3F顯示根據另一實施例的用以暫停及回復安全指定位址空間頁快取記憶體中的安全指定位址空間的遷移之指令編碼。
圖3G顯示根據另一實施例的用以暫停及回復安全指定位址空間頁快取記憶體中的安全指定位址空間的遷移之指令編碼。
圖3H顯示根據另一實施例的用以暫停及回復安全指
定位址空間頁快取記憶體中的安全指定位址空間的遷移之指令編碼。
圖4A顯示執行暫停及回復安全指定位址空間頁快取記憶體中的安全指定位址空間的遷移之指令之處理器微架構的一實施例的元件。
圖4B顯示執行暫停及回復安全指定位址空間頁快取記憶體中的安全指定位址空間的遷移之指令之處理器微架構的另一實施例的元件。
圖5是執行暫停及回復安全指定位址空間頁快取記憶體中的安全指定位址空間的遷移之指令之處理器的一實施例的方塊圖。
圖6是執行暫停及回復安全指定位址空間頁快取記憶體中的安全指定位址空間的遷移之指令之電腦系統的一實施例的方塊圖。
圖7是執行暫停及回復安全指定位址空間頁快取記憶體中的安全指定位址空間的遷移之指令之電腦系統的另一實施例的方塊圖。
圖8是執行暫停及回復安全指定位址空間頁快取記憶體中的安全指定位址空間的遷移之指令之電腦系統的另一實施例的方塊圖。
圖9是執行暫停及回復安全指定位址空間頁快取記憶體中的安全指定位址空間的遷移之指令的系統單晶片的一實施例的方塊圖。
圖10是執行暫停及回復安全指定位址空間頁快取記
憶體中的安全指定位址空間的遷移之指令之處理器的一實施例的方塊圖。
圖11是執行暫停及回復安全指定位址空間頁快取記憶體中的安全指定位址空間的遷移之指令之IP核心發展系統的一實施例的方塊圖。
圖12顯示執行暫停及回復安全指定位址空間頁快取記憶體中的安全指定位址空間的遷移之指令的架構模擬系統的一實施例。
圖13顯示用以將暫停及回復安全指定位址空間頁快取記憶體中的安全指定位址空間的遷移之指令轉譯之系統的一實施例。
圖14顯示用於使用指令以暫停及回復安全指定位址空間頁快取記憶體中的安全指定位址空間的遷移的處理器中設備的實施例。
圖15顯示用於使用指令以暫停及回復安全指定位址空間頁快取記憶體中的安全指定位址空間的遷移的處理器中設備的另一實施例。
圖16顯示暫停及回復安全指定位址空間頁快取記憶體中的安全指定位址空間的遷移之處理的一實施例之流程圖。
圖17顯示暫停及回復安全指定位址空間頁快取記憶體中的安全指定位址空間的遷移之另一處理的一實施例之流程圖。
下述詳細說明揭示在處理器、電腦系統或其它處理設備之內或與其相關連地暫停及回復安全指定位址空間頁快取記憶體中的安全指定位址空間的遷移之指令及處理邏輯。
在僅保有例如與指定位址空間相關之祕密或受保護的資料之特別快取記憶體中或快取記憶體的一部份中,對當未被加密之該祕密或受保護的資料的存取僅侷限於被授權的處理器核心、硬體緒、或邏輯處理器。此指定位址空間私有記憶體被稱為指定位址空間頁快取(EPC)記憶體。相對於其它實體記憶體,使EPC在需要時藉由頁入及頁出資料及/或碼以支援較大的私有或受保護的位址空間。
根據某些實施例,指令及邏輯支援暫停及回復安全EPC中的安全指定位址空間的遷移。EPC將儲存安全域控制結構(SDCS)儲存在可由用於管理處理之指定位址空間、及指定位址空間域存取的貯存器中。處理器會檢查對應的版本陣列(VA)頁是否被束縛至SDCS,假使為是:將用於頁的SDCS中的版本計數器增量,使用SDCS中的版本計數器,執行來自EPC的頁之驗證的加密,以及將加密的頁寫至外部記憶體。第二處理器檢查對應的VA頁是否被束縛至第二處理器的第二SDCS,假使為是:使用第二SDCS中的版本計數器,執行頁之驗證解密,以及,假使通過驗證,將解密的頁載至第二處理器中的EPC。
某些實施例的指令指明用於安全貯存器的位址,所述
安全貯存器係EPC中分配給處理或多個處理之域指定位址空間以儲存安全指定位址空間控制結構資料、應用資料、應用碼、等等。在某些實施例中,管理處理指定位址空間(例如用於虛擬機管理器(VMM)或安全容器)可以執行或促使系統軟體防衛擴充(SGX)庫執行指令來將一或更多頁的域指定位址空間束縛於SDCS。安全儲存區可由管理處理指定位址空間存取,以將一或更多頁之驗證的加密拷貝從安全儲存區寫至外部記憶體。用於一或更多頁之一或更多版本可以在用於SDCS的安全儲存區中的版本陣列頁中被分別更新。安全儲存區也可以由管理處理指定位址空間存取以將一或更多版本陣列頁之驗證的加密拷貝從安全儲存區寫至外部記憶體。用於最後版本陣列列的版本陣列槽可以儲存至SDCS以用於安全指定位址空間的遷移影像的驗證。然後,由管理處理指定位址空間將SDCS關機、不致動、或「靜默」,以及,將SDCS中對應的屬性欄設定以標示SDCS被靜默。然後,受信任的遷移指定位址空間驗證SDCS被靜默,以及將SDCS密封於驗證的加密持久資料結構中,將它置於外部非依電性記憶體中以用於遷移,然後,管理處理指定位址空間將原始的SDCS解除分配。
在某些實施例中,另一受信任的遷移指定位址空間(例如,在另一平台上)可以執行或促使系統軟體防衛擴充(SGX)庫執行指令以存取外部記憶體而檢索此驗證的加密持久資料結構以用於安全指定位址空間遷移至新平
台。來自驗證的加密持久資料結構之密封的SDCS會被解密及驗證,以及證明元資料中的安全政策允許與虛擬機相關聯的安全指定位址空間被回復。因此,用於遷移的SDCS之安全指定位址空間控制結構(SECS)會由受信任的遷移指定位址空間分配用於虛擬機,以及指派用於虛擬機的本地ID。然後,從密封的SDCS持久資料結構配置被遷移的SDCS,以及,另一管理處理指定位址空間(例如用於另一平台上之虛擬機管理器(VMM)或安全容器)可以將用於遷移的SDCS之SDCS指標器載入至新平台的處理器暫存器。將版本陣列槽從SDCS載入至用於第一版本陣列頁的版本陣列槽。然後,可將一或更多版本陣列的拷貝從外部記憶體載入、解密及驗證,並對照遷移的SDCS中的版本,檢查一或更多版本陣列頁的版本。然後,將一或更多指定位址空間頁的拷貝從外部記憶體載入、解密及驗證,並對照遷移的SDCS中的版本,檢查一或更多指定位址空間頁的版本。
將瞭解到,經由使用上述用以暫停及回復安全指定位址空間的遷移之指定位址空間指令,遷移處理(例如,在驗證、加密及寫回與虛擬機相關的安全指定位址空間快取記憶體內容時,清除TLB登錄、為了驗證而記錄及安全地儲存用於頁的版本記數器、以及將虛擬機遷移至另一平台及回復、等等)可以分成多個階段,其中,處理器核心或邏輯處理器在一或更多階段期間可以繼續從唯讀頁執行。隨著頁被自然地頁出時,它們已準備好遷移。假使一
或更多頁被修改,它們可以被再驗證、加密、及寫回,且它們的版本計數器增量。類似地處理版本陣列頁,以及,將版本陣列資訊安全地傳送至遷移平台。因此,導因於遷移處理之性能劣化可以降低,並確保安全指定位址空間資料的安全性且不用要求過度的複雜性及設計努力。
在某些實施例中,此處揭示的指令及邏輯在遷移安全域處理中、以及在來自安全指定位址空間內的頁拷貝作業中能夠被中斷及回復。因此,遷移安全域處理及建立驗證之用於安全指定位址空間的頁的拷貝之向前進展可以獲得確保,以及,藉由即時檢修待定的中斷,可以避免例如語音、影像和即時交易等服務中令人無法接受的故障。將瞭解,對於遷移的安全域版本不相符及/或驗證失敗之任何時候,遷移處理在目標平台中會中斷,以及,發訊通知源起平台回復在故障造成的點開始之遷移處理,以致於造成問題的頁面會被重新驗證、加密及寫回,且它們的版本計數器會增量。因此,安全遷移處理不僅提供毀損及/或破壞的偵測及防止,也提供此偵測後的回復及來源平台中的遷移處理的再繼續。
也將瞭解,沒有處理器支援這些指令,完成相同的(或類似的)技術功效之任何軟體系統安全特點(假使的確可行)會是令人卻步地昂貴及/或不利地接受侷限於某些較低的安全措施之性能。
在下述說明中,揭示例如處理邏輯、處理器型式、微架構條件、事件、賦能機制、等等眾多特定細節,以助於
更完整瞭解本發明的實施例。但是,習於此技藝者將瞭解,沒有這些特定細節,仍可實施本發明。此外,未詳細地顯示某些習知的結構、電路、等等,以免不必要地模糊本發明的實施例。
雖然參考處理器而說明下述實施例,但是,其它實施例可以應用至其它型式的積體電路及邏輯裝置。本發明的實施例之類似技術及揭示可以應用至能從更高的管線輸貫量及增進的性能獲利其它型式的電路或半導體裝置。本發明的實施例的揭示可應用至執行資料操作的任何處理器或機器。但是,本發明不限於執行512位元、256位元、128位元、64位元、32位元、或16位元資料作業的處理器或機器,且能應用至執行資料操作或管理的任何處理器及機器。此外,下述說明提供實例,且圖式顯示用於說明的各種實例。但是,這些實例不應被解釋為限定之意,它們僅是要提供本發明的實施例的實例,而不是提供本發明的實施例的所有可能的實施之竭盡性清單。
雖然下述實例以執行單元及邏輯電路的環境說明指令操作及分佈,但是,本發明的其它實施例可由儲存在機器可讀取的、實體的媒體上的資料及/或指令實施,這些資料或指令當由機器執行時會促使機器執行符合本發明的至少一實施例之功能。在一實施例中,與本發明的實施例相關連的功能以機器可執行的指令具體實施。指令被用以促使以指令程式化的一般用途或特定用途的處理器執行本發明的步驟。本發明的實施例可為電腦程式產品或是軟體,
包含具有指令儲存於上的機器或電腦可讀取的媒體,所述指令用以將電腦(或其它電子裝置)程式化以執行根據本發明的實施例之一或更多作業。替代地,本發明的實施例的步驟可由含有用於執行步驟的固定功能邏輯的特定硬體組件、或是由程式化的電腦組件及固定功能的硬體組件的任何組合執行。
用以將邏輯程式化以執行本發明的實施例之指令可儲存在例如動態隨機存取記憶體(DRAM)、快取記憶體、快閃記憶體、或其它儲存器等系統中的記憶體內。此外,可經由網路或是藉由其它電腦可讀取的媒體,以散佈指令。因此,機器可讀取的媒體包含以機器(例如電腦)可讀取的形式來儲存或傳送資訊的任何機構,包含但不限於軟碟、光碟、唯讀記憶體(CD-ROM)、及磁光碟、唯讀記憶體(ROM)、隨機存取記憶體(RAM)、可抹拭可編程唯讀記憶體(EPROM)、電可抹拭可編程唯讀記憶體(EEPROM)、磁性或光學卡、快閃記憶體、或是經由電方式、光學方式、聲學方式或其它形式的傳播訊號(例如,載波、紅外線訊號、數位訊號、等等)而於網際網路上傳送資訊時使用的實體的、機器可讀取的儲存器。因此,電腦可讀取的媒體包含任何型式的實體的機器可讀取的媒體,適用於以可由機器(例如電腦)讀取的形式儲存或傳送電子指令或資訊。
設計會經過不同的階段,從創造到模擬到製造。代表設計的資料可以以多種方式代表設計。首先,如同模擬中
使用的一般,使用硬體說明語言或是另一功能說明語言,代表硬體。此外,可以在設計過程中的某些階段,產生設有邏輯及/或電晶體閘的電路級模型。此外,大部份的設計在某階段達到代表硬體模型中的不同裝置的實體配置之資料層級。在使用傳統的半導體製造技術之情形中,代表硬體模型的資料可為指明用以產生積體電路的掩罩之不同掩罩層上是否存有不同的特徵之資料。在設計的任何表示中,資料可以儲存在任何形式的機器可讀取的媒體中。例如碟片等磁性或光學儲存器或記憶體可以是機器可讀取的媒體,儲存經由調變或其它方式產生以傳送資訊的光波或電波傳送來的資訊。當表示或載送碼或設計的電載波被傳送至執行電訊號的複製、緩衝、或再傳送的程度時,產生新的複製。因此,通訊提供者或網路提供者可以將具體實施本發明的實施例之例如編碼成載波的資訊等物件至少暫時地儲存在實體的、機器可讀取的媒體上。
在現代的處理器中,使用很多不同的執行單元以處理及執行各式各樣的碼及指令。並非所有指令均等地產生,有些是較快地完成而其它耗費一些時脈循環以完成。指令輸貫量愈快,則處理器的整體性能愈佳。因此,有利的是使很多指令儘可能快速地執行。但是,某些指令具有更大複雜度且要求更多執行時間及處理器資源。舉例而言,有浮點指令、載入/儲存作業、資料移動、等等。
隨著在網際網路、文書、及多媒體應用中使用愈來愈多的電腦系統,而隨著時間導入增加的處理器支援。在一
實施例中,指令集可以與包含資料型式、指令、暫存器架構、定址模式、記憶體架構、中斷及例外處理、以及外部輸入和輸出(I/O)的一或更多電腦架構相關連。
在一實施例中,指令集架構(ISA)可以由包含用以實施一或更多指令集的處理器邏輯及電路之一或更多微架構實施。替代實施例可以經由微碼、擴充的微碼或微碼輔助、超管理器、二進位轉譯、硬體重新編譯、等等以實施ISA。因此,設有不同微架構的複數個處理器可以共用至少部份共同指令集。舉例而言,Intel® Pentium 4處理器、Intel® CoreTM處理器、及來自加州太陽谷的超微公司的處理器實施幾乎相同版本的x86指令集(某些程度上增加更新的版本),但具有不同的內部設計。類似地,由例如ARM Holdings,Ltd.、MIPS等其它處理器開發公司設計的處理器、或是它們的獲授權者或採用者可以共用至少部份共同指令集,但是可以包含不同的處理器設計。舉例而言,在使用新的或習知的技術之不同微架構中,以不同方式實施ISA的相同暫存器架構,其包含專用的實體暫存器、使用暫存器重命名機制(例如使用暫存器別名表(RAT))、重排序緩衝器(ROB)及退出暫存器檔案的一或更多動態分配實體暫存器。在一實施例中,暫存器可包含一或更多暫存器、暫存器架構、暫存器檔案、或可或不可由軟體程式人員定址的其它暫存器集。
在一實施例中,指令可包含一或更多指令格式。在一實施例中,指令可格式標示不同的欄位(位元數目、位元
位置、等等)以特別指明要被執行的作業以及作業要於其上執行的運算元。某些指令格式可以由指令樣板(或副子令格式)進一步不完全界定。舉例而言,給定的指令格式的指令樣板可以被界定為具有不同子集合的指令格式欄位及/或被界定為具有被不同解譯之給定欄位。在一實施例中,使用指令格式(以及,假使被界定時,在該指令格式的多個指令樣板中的給定之一中)以表示指令,以及,指明或標示作業及作業將於其上操作的運算元。
科學的、財務的、自動向量化的一般目的、RMS(辨識、開發及合成)、以及影像和多媒體應用(例如,2D/3D圖形、影像處理、影像壓縮/解壓縮、語音辨識演繹法及音頻操作)可要求對大量的資料項執行相同的作業。在一實施例中,單一指令多資料(SIMD)意指促使處理器對多資料元件執行作業之指令型式。SIMD技術可用於處理器中,所述處理器能將暫存器中的多個位元邏輯地分成一些固定大小或可變大小的資料元件,各資料元件代表分別的值。舉例而言,在一實施例中,在64位元暫存器中的位元被組織成含有四個分別的16位元資料元件之源運算元,各16位元資料元件代表分別的16位元值。此型式的資料被稱為「緊縮」資料型式或是「向量」資料型式,以及,此資料型式的運算元被稱為緊縮資料運算元或是向量運算元。在一實施例中,緊縮資料項或向量可以是儲存在單一暫存器內的緊縮資料元件的序列,且緊縮資料運算元或向量運算元可以是SIMD指令的源或目的地運
算元(或是「緊縮資料指令」或「向量指令」)。在一實施例中,SIMD指令指明對二源向量運算元以相同或不同數目的資料元件、以及依相同或不同資料元件次序執行單一向量作業,以產生相同或不同大小的目的地向量運算元(也稱為結果向量運算元)。
例如具有包含x86的指令集、MMXTM、串流SIMD擴充(SSE)、SSE2、SSE3、SSE4.1、及SSE4.2指令之Intel® CoreTM處理器、例如具有包含向量浮點(VFP)及/或NEON指令的指令集之ARM Cortex®系列處理器等ARM處理器、以及由中國科學院的計算技術研究所(ICT)開發的龍芯(Loongson)系統處理器等MIPS處理器等等SIMD技術,能夠顯著地增進應用性能(CoreTM及MMXTM是註冊商標或是加州聖克拉拉(Santa Clara)之英特爾公司的商標)。
在一實施例中,目的地及源暫存器/資料是代表對應的資料或作業的源及目的地之一般名詞。在某些實施例中,它們由具有描述的名稱或功能之外的名稱或功能之暫存器、記憶體、或其它儲存區實施。舉例而言,在一實施例中,「DEST1」是暫時儲存暫存器或是其它儲存區,而「SRC1」及「SRC2」是第一及第二源儲存暫存器或其它儲存區、等等。在其它實施例中,二或更多SRC及DEST儲存區可對應相同儲存區內不同的資料儲存元件(例如SIMD暫存器)。在一實施例中,舉例而言,藉由將對第一及第二源資料執行的作業結果寫回至作為目的地暫存器
的二源暫存器中之一,則複數個源暫存器中之一也可作為目的地暫存器。
圖1A是根據本發明的一實施例之由包含執行指令的執行單元的處理器形成之舉例說明的電腦系統的方塊圖。根據本發明,例如此處所述的實施例中,系統100包含例如處理器102等組件,以使用執行單元,執行單元包含邏輯以執行用於處理資料的演繹法。系統100是根據可從加州聖克拉拉(Santa Clara)之英特爾公司取得的PENTIUM®III、PENTIUM®4、XeonTM、Itanium®、XScaleTM及/或StrongARMTM微處理器之處理系統的代表,但是,也可以使用其它系統(包含具有其它微處理器的個人電腦、工程工作站、機上盒等等)。在一實施例中,樣品系統100執行可從華盛頓州雷德蒙德的微軟公司之視窗(WINDOWSTM)版本的作業系統,但是,也可以使用其它作業系統(舉例而言,UNIX及Linux)、嵌入軟體、及/或圖形使用者介面。因此,本發明的實施例不限於硬體電路及軟體的任何特定組合。
實施例不限於電腦系統。本發明的替代實施例可以用於例如手持裝置及嵌入式應用等其它裝置中。手持裝置的某些實例包含蜂巢式電話、網際網路協定裝置、數位相機、個人數位助理(PDA)、及手持個人電腦(PC)。嵌入式應用可包含微控制器、數位訊號處理器(DSP)、系統單晶片、網路電腦(NetPC)、機上盒、網路集線器、廣域網路(WAN)交換機、或是能執行根據至少一實施例
之一或更多指令的任何其它系統。
圖1A是由處理器102形成的電腦系統100的方塊圖,處理器102包含一或更多執行單元108以執行演繹法來執行根據本發明的一實施例之至少一指令。在單一處理器桌上型或伺服器系統的環境中,說明一實施例,但是,替代實施例可以包含於多處理器系統中。系統100是「集線器」系統架構的實例。電腦系統100包含處理器102以處理資料訊號。舉例而言,處理器102是複雜指令集電腦(CISC)微處理器、精簡指令集計算(RISC)微處理器、超指令字(VLIW)微處理器、實施複數指令集的結合之處理器、或是例如數位訊號處理器等任何其它處理器裝置。處理器102耦合至處理器匯流排110,處理器匯流排110能在處理器102與系統100中的其它組件之間傳輸資料訊號。系統100的元件執行習於此技藝者所熟知的它們的習知功能。
在一實施例中,處理器102包含階層1(L1)內部快取記憶體104。取決於架構,處理器102具有單一的內部快取記憶體或多層級的內部快取記憶體。替代地,在另一實施例中,快取記憶體駐於處理器102的外部。取決於特定實施及需求,其它實施例也包含內部及外部快取記憶體的組合。暫存器檔案106將不同型式的資料儲存在包含整數暫存器、浮點暫存器、狀態暫存器、及指令指標暫存器等各式各樣的暫存器中。
包含執行整數及浮點作業的邏輯之執行單元108也設
於處理器102中。處理器102也包含儲存用於某些巨集指令的微碼(μ碼)ROM。對於一實施例,執行單元108包含邏輯以處理緊縮指令集109。藉由將緊縮指令集109包含在一般用途處理器102的指令集中,伴隨著執行指令的相關電路,可以在一般用途處理器102中使用緊縮資料,以執行由很多多媒體應用使用的作業。因此,使用處理器的資料匯流排的全寬度以對緊縮資料執行作業,能更有效率地加速及執行很多多媒體應用。這能夠不須在處理器的資料匯流排上傳送較小單位的資料來一次對一資料元件執行一或更多作業。
執行單元108的替代實施例也用於微控制器、嵌入式處理器、圖形裝置、DSP、及其它型式的邏輯單元中。系統100包含記憶體120。記憶體120可為動態隨機存取記憶體(DRAM)裝置、靜態隨機存取記憶體(SRAM)裝置、快閃記憶體裝置、或其它記憶體裝置。記憶體120儲存由處理器102可執行的資料訊號所代表的指令及/或資料。
系統邏輯晶片116耦合至處理器匯流排110及記憶體120。在所示的實施例中系統邏輯晶片116是記憶體控制器集線器(MCH)。處理器102經由處理器匯流排110而與MCH 116通訊。MCH 116提供高頻寬記憶體路徑118給記憶體120,記憶體120用於指令及資料儲存及用於圖形命令、資料和組織的儲存。MCH 116在處理器102、記憶體120、及系統100中其它組件之間引導資料訊號,以
及在處理器匯流排110、記憶體120、及系統I/O 122之間橋接資料訊號。在某些實施例中,系統邏輯晶片116可提供用於耦合至圖形控制器112的圖形埠。MCH 116經由記憶體介面118而耦合至記憶體120。圖形卡112經由圖形加速埠(AGP)互連114而耦合至MCH 116。
系統100使用專有集線器介面匯流排122,以將MCH 116耦合至輸入/輸出(I/O)控制器集線器(ICH)130。ICH 130經由本地I/O匯流排而提供與某些I/O裝置的直接連接。本地I/O匯流排是用於連接週邊至記憶體120、晶片組、及處理器102的高速I/O匯流排。某些實例是音頻控制器、韌體集線器(快閃BIOS)128、無線收發器126、資料儲存器124、含有使用者輸入及鍵盤介面的舊制I/O控制器、例如通用序列匯流排(USB)等序列擴充埠、及網路控制器134。資料儲存裝置124可包括硬碟機、磁碟機、CD-ROM裝置、快閃記憶體裝置、或其它大量儲存裝置。
對於系統的另一實施例,根據一實施例的指令可以用於系統單晶片。系統單晶片的一實施例包括處理器及記憶體。一此系統的記憶體是快閃記憶體。快閃記憶體與處理器及其它系統組件設於相同晶粒上。此外,例如記憶體控制器或圖形控制器等其它邏輯區塊也位於系統單晶片上。
圖1B顯示資料處理系統140,其實施本發明的一實施例的原理。在不悖離本發明的實施例的範圍之下,習於此技藝者將易於瞭解此處所述的實施例可以用於替代的處
理系統。
電腦系統140包括能夠執行根據一實施例的至少一指令的處理核心159。對於一實施例,處理核心159代表任何型式的架構之處理單元,包含但不限於CISC、RISC、或VLIW型架構。處理核心159也可適合以一或更多處理技術製造,且藉由以足夠細節呈現在機器可讀取的媒體上,而可適合有助於該製造。
處理核心159包括執行單元142、暫存器檔案集145、及解碼器144。處理核心159也包含增加的電路(未顯示),這些增加的電路對於瞭解本發明的實施例並非必須。執行單元142用於執行由處理核心159接收的指令。除了執行典型的處理器指令之外,執行單元142可執行用於對緊縮資料格式執行作業的緊縮指令集143中的指令。緊縮指令集143包含用於執行本發明的實施例的指令以及其它緊縮指令。執行單元142藉由內部匯流排而耦合至暫存器檔案145。暫存器檔案145代表用於儲存包含資料的資訊之處理核心159上的儲存區。如先前所述般,可知用於儲存緊縮資料的儲存區不是關鍵的。執行單元142耦合至解碼器144。解碼器144用於將處理核心159接收的指令解碼成控制訊號及/或微碼登入點。為回應這些控制訊號及/或微碼登入點,執行單元142執行適當的作業。在一實施例中,解碼器用以將指令的作業碼解譯,將標示應該對指令內標示的對應資料執行什麼作業。
處理核心159與匯流排141耦合以與各式各樣的其它
系統裝置通訊,舉例而言,這些系統裝置包含但不限於同步動態隨機存取記憶體(SDRAM)控制146、靜態隨機存取記憶體(SRAM)控制147、猝發快閃記憶體介面148、個人電腦記憶體卡國際協會(PCMCIA)/輕巧快閃(CF)卡控制149、液晶顯示器(LCD)控制150、直接記憶體存取(DMA)控制器151、及交替匯流排主介面152。在一實施例中,資料處理系統140也包含I/O橋接器154,用於經由I/O匯流排153而與不同的I/O裝置通訊。這些I/O裝置包含但不限於例如通用不同步接收器/發射器(UART)155、通用序列匯流排(USB)156、藍芽無線UART 157及I/O擴充介面158。
資料處理系統140的一實施例提供行動、網路及/或無線通訊及能夠執行包含文字串比較作業之SIMD作業的處理核心159。處理核心159可以由不同的音頻、視頻、成像及通訊演繹法程式化,這些演繹法包含例如沃爾什哈達馬德(Walsh-Hadamard)轉換、快速傅立葉轉換(FFT)、離散餘弦轉換(DCT)、及它們各別的逆轉換等離散轉換;例如顏色空間轉換、視頻編解碼動作評估或是視頻解碼動作補償等壓縮/解壓縮技術;以及,例如脈衝碼化調變(PCM)等調變/解調變(MODEM)功能。
圖1C顯示能夠執行暫停/回復安全指定位址空間頁快取記憶體中的安全指定位址空間的遷移之指令的資料處理系統之另一替代實施例。根據一替代實施例,資料處理系統160可包含主處理器166、單指令多資料(SIMD)共處
理器161、快取記憶體167、及輸入/輸出系統168。輸入/輸出系統168可選加地耦合至無線介面169。SIMD共處理器161能夠執行包含根據一實施例的指令之作業。處理核心170可適用於以一或更多製程技術製造,以及藉由以足夠的細節呈現在機器可讀取的媒體上而適合有助於包含處理核心170的資料處理系統160的全部或部份之製造。
對於一實施例,SIMD共處理器161包括執行單元162及暫存器檔案集164。主處理器166的一實施例包括解碼器165以辨識包含用於由執行單元162執行之根據一實施例的指令之指令集163的指令。對於替代實施例,SIMD共處理器161也包括解碼器165B的至少部份以將指令集163的指令解碼。處理核心170也包含對於本發明的實施例的瞭解並非必須之增加的電路(未顯示)。
在操作上,主處理器166執行資料處理指令串,這些資料處理指令串控制一般型式的資料處理操作,一般型式的資料處理操作包含與快閃記憶體167、及輸入/輸出系統168的交互作用。嵌入於資料處理指令串之內的是SIMD共處理器指令。主處理器166的解碼器165將這些SIMD共處理器指令辨識為具有應由附接的SIMD共處理器161執行的型式。因此,主處理器166在共處理器匯流排171上核發這些SIMD共處理器指令(或是代表SIMD共處理器指令的控制訊號),由任何附接的SIMD共處理器從共處理器匯流排171接收它們。在此情形中,SIMD共處理器161將接受及執行任何用於它之收到的SIMD共處理器
指令。
資料可經由無線介面169接收以用於由SIMD共處理器指令處理。對於一實例,以數位訊號形式接收語音通訊,而由SIMD共處理器指令處理以再產生代表語音通訊的數位音頻取樣。對於另一實例,以數位位元串形式接收壓縮的音頻及/或視頻,而由SIMD共處理器指令處理以再產生數位音頻取樣及/或動作視頻格。對於處理核心170的一實施例,主處理器166、及SIMD共處理器161整合於單一處理核心170中,處理核心170包括執行單元162、暫存器檔案集164、及解碼器165,以辨識包含根據一實施例的指令之指令集163的指令。
圖2是用於處理器200的微架構的方塊圖,其包含執行根據本發明的一實施例之指令的邏輯電路。在某些實施例中,根據一實施例的指令可以實施以對具有位元組、字、雙倍字、四倍字等尺寸、以及例如單一及雙倍精準整數及浮點資料型式等資料型式之資料元件操作。在一實施例中,有序前端201是處理器200的一部份,其提取要執行的指令及準備它們以稍後用於處理器管線中。前端201包含數個單元。在一實施例中,指令預提取器226從記憶體提取指令以及將它們饋送至指令解碼器228,指令解碼器228接著將它們解碼或解譯。舉例而言,在一實施例中,解碼器將收到的指令解碼成機器能執行之稱為「微指令」或「微作業」(也稱為微op或uops)的一或更多作業。在其它實施例中,解碼器將指令剖析成為作業碼及對
應的資料以及控制欄位,以由微架構使用來執行根據一實施例的作業。在一實施例中,追蹤快取230取得已解碼的微作業並將它們組合成用於執行的微作業佇列234中的軌跡或是程式依序序列。當追蹤快取230遇到複雜指令時,微碼ROM 232提供完成作業所需的微作業。
某些指令被轉換成單一微作業,而其它的指令需要數個微作業以完成整個作業。在一實施例中,假使需要多於四個微作業以完成指令時,解碼器228存取微碼ROM 232以執行指令。對於一實施例,指令可被解碼成少數的微作業以用於在指令解碼器228處理。在另一實施例中,假使需要一些微作業以完成作業時,則指令儲存在微碼ROM 232之內。追蹤快取230參考登入點可編程邏輯陣列(PLA)以決定正確的微指令指標器,用於從微碼ROM 232讀取微碼序列以完成根據一實施例的一或更多指令。在微碼ROM 232完成用於指令的序列微作業之後,機器的前端201重新開始從追蹤快取230提取微作業。
亂序執行引擎203是製備指令以用於執行之處。亂序執行邏輯具有一些緩衝器,以便當指令沿管線下行及被排程用於執行時,使指令的流動平滑及重新排序,而將性能最佳化。分配器邏輯分配各微作業執行所需的機器緩衝器及資源。暫存器重命名邏輯將邏輯暫存器重命名至暫存器檔案中的登錄。在指令排程器之前,分配器也分配用於二微作業佇列之一中各微作業之登錄,二微作業佇列中之一用於記憶體作業,而另一佇列用於非記憶體作業,所述指
令排程器可為:記憶體排程器、快速排程器202、緩慢/一般浮點排程器204、及簡單浮點排程器206。微作業排程器202、204、206根據它們的相依輸入暫存器運算元來源的準備度及微作業完成它們的作業所需的執行資源的可利用性,而決定微作業何時已準備好執行。一實施例的快速排程器202在主時脈循環的各半部上排程,而其它排程器可僅每一主處理時脈循環排程一次。排程器仲裁派遣埠以排程用於執行的微作業。
暫存器檔案208、210位於排程器202、204、206與執行區211中的執行單元212、214、216、218、220、222、224之間。有分別的暫存器檔案208、210以分別用於整數及浮點運算。一實施例的各暫存器檔案208、210也包含旁通網路,以將尚未被寫入暫存器檔案的剛完成的結果旁通或遞送至新的相依微作業。整數暫存器檔案208及浮點暫存器檔案210也能夠與其它方傳輸資料。對於一實施例,整數暫存器檔案208分開成二個分別的暫存器檔案,其一為用於資料的低序32位元之暫存器檔案,另一為用於資料的高序32位元之第二暫存器檔案。由於浮點指令典型上具有寬度為64至128位元的運算元,所以,一實施例的浮點暫存器檔案210具有128位元寬的登錄。
執行區211含有執行單元212、214、216、218、220、222、224,在這些單元中,指令被真正地執行。此區包含暫存器檔案208、210,暫存器檔案208、210儲存微指令執行所需的整數及浮點資料運算元值。一實施例的
處理器200包括一些執行單元:位址產生單元(AGU)212、AGU 214、快速ALU 216、快速ALU 218、緩慢ALU 220、浮點ALU 222、浮點移動單元224。對於一實施例,浮點執行區222、224執行浮點MMX、SIMD、及SSE、或其它作業。一實施例的浮點ALU 222包含64位元乘64位元的浮點除法器,以執行除法、平方根、及餘數微作業。對於本發明的實施例,涉及浮點值的指令可以由浮點硬體處理。在一實施例中,ALU作業進行至高速ALU執行單元216、218。一實施例的快速ALU 216、218以時脈循環的一半之有效潛時,執行快速作業。對於一實施例,當緩慢ALU 220包含例如乘法器、偏移器、旗標邏輯、及分支處理等用於長潛時型作業的整數執行硬體時,大部份的複雜整數作業會前往緩慢ALU 220。記憶體載入/儲存作業由AGU 212、214執行。對於一實施例,在對64位元資料運算元執行整數作業的環境中,說明整數ALU 216、218、220。在替代實施例中,ALU 216、218、220可實施成支援各種資料位元,包含16、32、128、256、等等。類似地,浮點單元222、224可實施成支援具有各種寬度位元的運算元範圍。對於一實施例,浮點單元222、224可配合SIMD及多媒體指令而對128位元寬的緊縮資料運算元操作。
在一實施例中,微作業排程器202、204、206在母負載完成執行之前派送相依作業。當微作業在處理器200中被預測地排程及執行時,處理器200也包含邏輯以操作記
憶體未中。假使在資料快取中資料負載未中時,會有相依操作在管線中飛行,而所述相依操作會留下暫時不正確的資料給排程器。重進行機構追蹤及再執行使用不正確資料的指令。僅有相依作業需要重新進行,而獨立的作業被允許完成。處理器的一實施例之排程器及重進行機構也設計成捕捉暫停及回復安全指定位址空間頁快取記憶體中的安全指定位址空間的遷移之指令
「暫存器」一詞可意指作為辨識運算元的指令的一部份之機板上處理器的儲存位置。換言之,暫存器是可從處理器的外部使用的(從程式設計人員的觀點而言)。但是,實施例的暫存器不應侷限於意指特定型式的電路。相反地,實施例的暫存器能夠儲存及提供資料,以及執行此處所述的功能。此處所述的暫存器能由使用任何數目的不同技術之處理器內的電路實施,例如專用實體暫存器、使用暫存器重命名之動態分配實體暫存器、專用及動態分配實體暫存器的組合、等等。在一實施例中,整數暫存器儲存三十二位元的整數資料。一實施例的暫存器檔案也含有用於緊縮資料之八個多媒體SIMD暫存器。對於下述說明,暫存器被視為設計成固持緊縮資料的資料暫存器,例如以來自加州聖克拉拉(Santa Clara)之英特爾公司的MMX技術賦能之微處器中64位元寬的MMXTM暫存器(在某些情形中也稱為「mm」暫存器)。能以整數及浮點形式可供利用的這些MMX暫存器能與伴隨SIMD及SSE指令的緊縮資料元件操作。類似地,與SSE2、
SSE3、SSE4、或是之外(一般稱為「SSEx」)的技術有關的128位元寬的XMM暫存器也用以固持這些緊縮資料運算元。在一實施例中,在儲存緊縮資料及整數資料時,暫存器不需要在二資料型式之間作區分。在一實施例中,整數及浮點被含在相同暫存器檔案或不同的暫存器檔案中。此外,在一實施例中,浮點及整數資料可以儲存在不同的暫存器或相同的暫存器中。
在下述圖形的實例中,說明一些資料運算元。圖3A顯示根據本發明的一實施例之多媒體暫存器中各種緊縮資料型式的代表。圖3A顯示用於128位元寬的運算元之緊縮位元組310、緊縮字320、及緊縮雙倍字(dword)330的資料型式。本實例之緊縮位元組格式310是128位元長且含有十六個緊縮位元組資料元件。此處,一位元組定義為8位元資料。用於各位元組資料元件的資訊儲存在位元組0的位元7至位元0、位元組1的位元15至位元8、位元組2的位元23至位元16、及位元組15的最後位元120至位元127中。因此,所有可供利用的位元被用於暫存器中。此儲存配置增加處理器的儲存效率。而且,以十六個資料元件被存取,現在可對十六個資料元件平行地執行一作業。
一般而言,資料元件是儲存在具有相同長度的其它資料元件的記憶體位置或單一暫存器中之各別件資料。在與SSEx技術有關的緊縮資料序列中,儲存在XMM暫存器中的資料元件的數目是128位元除以各別資料元件的位元
長度。類似地,在與MMX及SSE技術有關的緊縮資料序列中,儲存在MMX暫存器中的資料元件的數目是64位元除以個別資料元件的位元長度。雖然圖3A中所示的資料型式是128位元長,但是,本發明的實施例也以64位元寬、256位元寬、512位元寬、或是其它大小的運算元操作。本實例的緊縮字格式320是128位元長且含有八個緊縮字資料元件。各緊縮字含有十六位元的資訊。圖3A的緊縮雙倍字格式330是128位元長且含有四個緊縮雙倍字資料元件。各緊縮雙倍字資料元件含有三十二位元的資訊。緊縮四倍字是128位元長且含有二個緊縮四倍字資料元件。
圖3B顯示替代的暫存器中資料儲存格式。各緊縮資料包含多於一個的獨立資料元件。顯示三種緊縮資料格式;減半緊縮341、單倍緊縮342、及雙倍緊縮343。減半緊縮341、單倍緊縮342、及雙倍緊縮343的一實施例含有固定點資料元件。對於替代實施例,減半緊縮341、單倍緊縮342、及雙倍緊縮343中之一或更多含有浮點資料元件。減半緊縮341的一替代實施例是含有八個16位元資料元件之一佰二十八位元長。單倍緊縮342的一實施例是一佰二十八位元長且含有四個32位元資料元件。雙倍緊縮343的一實施例是一佰二十八位元長且含有二個64位元資料元件。將瞭解,這些緊縮資料格式可以進一步擴充至其它暫存器長度,例如擴充至96位元、160位元、192位元、224位元、256位元、512位元或更多。
圖3C顯示根據本發明的一實施例之多媒體暫存器中各種有符號及無符號的緊縮資料型式代表。無符號的緊縮位元組代表344顯示SIMD暫存器中無符號的緊縮位元組的儲存。用於各位元組資料元件的資訊儲存在位元組0的位元7至位元0、位元組1的位元15至位元8、位元組2的位元23至位元16、等等、以及位元組15之最後位元120至127中。因此,在暫存器中使用所有可供利用的位元。此儲存配置可增加處理器的儲存效率。而且,以十六資料元件被存取,現在以平行方式對十六資料元件執行一作業。有符號的緊縮位元組代表345顯示有符號的緊縮位元組的儲存。注意,每一位元組資料元件的第八位元是符號標示符。無符號的緊縮字代表346顯示字7至字0如何儲存在SIMD暫存器中。有符號的緊縮字代表347類似於無符號的緊縮字暫存器中代表346。注意,各字資料元件的第十六位元是符號標示符。無符號的緊縮雙倍字代表348顯示雙倍字資料元件如何被儲存。有符號的緊縮雙倍字代表349類似於無符號的緊縮雙倍字暫存器中代表348。注意,所需的符號位元是各雙倍字資料元件的第三十二位元。
圖3D是具有三十二或更多位元、以及暫存器/記憶體運算元定址模式的作業編碼(作業碼)格式360的一實施例的說明,其符合「Intel® 64及IA-32英特爾架構軟體開發者手冊結合冊2A及2B:指令集代號A-Z」中所述的作業碼格式的型式,所述手冊可從加州聖克拉拉(Santa
Clara)之英特爾公司的全球網頁(www)intel.com/products/processor/manuals/取得。在一實施例中,指令可由一或更多欄位361及362編碼。可以辨識高達每一指令二個運算元位置,包含高達二個源運算元識別符364和365。對於一實施例,目的地運算元識別符366與源運算元識別符364相同,而在其它實施例中它們是不同的。對於替代實施例,目的地運算元識別符366與源運算元識別符365相同,而在其它實施例中它們是不同的。在一實施例中,由源運算元識別符364和365識別的源運算元之一由指令的結果覆寫,而在其它實施例中,識別符364對應於源暫存器元件,以及識別符365對應於目的地暫存器元件。對於一實施例,運算元識別符364及365可用以識別32位元或64位元的源及目的地運算元。
圖3E說明具有四十或更多位元的另一替代作業編碼(作業碼)格式370。作業碼格式370符合作業碼格式360及包括選加的前置位元組378。根據一實施例的指令可由欄位378、371、及372中之一或更多編碼。可由源運算元識別符374和375以及由前置位元組378識別高達每一指令二個運算元位置。對於一實施例,前置位元組378可以用以識別32位元或64位元源及目的地運算元。對於一實施例,目的地運算元識別符376與源運算元識別符374相同,而在其它實施例中它們可以是不同的。對於替代實施例,目的地運算元識別符376與源運算元識別符375相同,而在其它實施例中它們是不同的。在一實施例
中,指令對運算元識別符374和375識別的運算元中之一或更多操作,以及,由運算元識別符374和375識別的一或更多運算元由指令的結果覆寫,而在其它實施例中,由識別符374和375識別的運算元被寫至另一暫存器中的另一資料元件。作業碼格式360和370允許部份地由MOD欄363和373及由選加的比例-指標-基礎和位移位元組指定的暫存器對暫存器、記憶體對暫存器、暫存器接記憶體、暫存器接暫存器、暫存器接立即性、暫存器對記憶體定址。
接著,轉至圖3F,在某些替代實施例中,經由共處理器資料處理(CDP)指令,可執行64位元(或是128位元、或是256位元、或是512位元或更多)單一指令多資料(SIMD)算術作業。作業編碼(作業碼)格式380說明具有CDP作業碼欄位382和389之一此CDP指令。CDP指令的型式對於替代實施例而言,作業可由欄位383、384、387、及388中之一或更多編碼。可以辨識每一指令高達三運算元位置,包含高達二個源運算元識別符385和390以及一目的地運算元識別符386。共處理器的一實施例可對8、16、32、及64位元值操作。對於一實施例,對整數資料元件執行指令。在某些實施例中,使用條件欄位381,有條件地執行指令。對於某些實施例,源資料大小可由欄位383編碼。在某些實施例中,對SIMD欄位進行零(Z)、負(N)、進位(C)、及溢位(V)偵測。對於某些指令,飽和的型式可由欄位384編碼。
接著轉至圖3G,說明另一替代的作業編碼(作業碼)格式397,以暫停及回復根據另一實施例之安全指定位址空間頁面快取記憶體中安全指定位址空間的遷移,其符合可從加州聖克拉拉(Santa Clara)之英特爾公司的全球網頁(www)intel.com/products/processor/manuals/取得之「Intel®進階向量擴充程式化參考」中所述的作業碼格式的型式。
原始x86指令集提供1位元組作業碼不同格式的位址字節及含於增加的位元組中的立即運算元,從第一「作業碼」位元組可以知道立即運算元的存在。此外,有某些位元組值被保留作為作業碼的修飾符(當它們必須被置於指令之前時稱為前置)。當256作業碼位元組(包含這些特別的前置值)的原始調色盤耗盡時,單一位元組專用作為對新集合的256作業碼的脫逸。當增加向量指令(例如,SIMD)時,產生更多作業碼需求,以及,即使當經由前置的使用而擴充時,「二位元組」作業碼映射也仍是不充份的。為達此目的,在使用2位元組加上選加的前置作為識別符的增加映射中,增加新的指令。
此外,為了有助於64位元模式的增加暫存器,在前置與作業碼(以及決定作業碼所需的任何脫逸位元組)之間中使用增加的前置(稱為「REX」)。在一實施例中,REX具有4「酬載」位元以標示使用64位元模式的增加暫存器。在其它實施例中,可以具有多於或少於4位元。至少一指令集(大致上符合格式360及/或格式370)的一
般格式大致上以下述表示:[prefixes][rex]escape[escape2]opcode modrm(等等)
作業碼格式397符合作業碼格式370以及包括選加的VEX前置位元組391(在一實施例中,始於C4十六進位)以取代大部份的其它通常使用的舊制指令前置位元組及脫逸碼。舉例而言,下述顯示使用二欄位以將指令編碼的實施例,當第二脫逸碼不存在於原始指令中時、或當REX欄位中的額外指令(例如XB及W欄位)需要被使用時,所述指令可被使用。在下述實施例中,舊制脫逸以新的脫逸值表示,舊制前置被完全壓縮為「酬載」位元組的一部份,舊制的前置被重新主張且可用於未來的擴充,第二脫逸被壓縮於「映射」欄位,以具有未來映射或特點空間可供利用,以及,增加新的特點(例如,增加的向量長度及增加的源暫存器區分符)。
根據一實施例的指令可以由一或更多欄位391及392編碼。以欄位391結合源運算元識別符374及375以及結合選加的比例-指標-基礎(SIB)識別符393、選加的位移識別符394、及選加的立即位元組395,以識別高達每一指令四個運算元位置。對於一實施例,VEX前置位元組391可以用以識別32位元或64位元源及目的地運算元以及/或128位元或256位元SIMD暫存器或記憶體運算
元。對於一實施例,由作業碼格式397提供的功能因為作業碼格式370而為多餘的,而在其它實施例中,它們是不同的。作業碼格式370及397允許部份地由MOD欄373及由選加(SIB)識別符393、選加的位移識別符394、以及選加的立即位元組395指明的暫存器對暫存器、記憶體對暫存器、暫存器接記憶體、暫存器接暫存器、暫存器接立即性、暫存器對記憶體定址。
接著參考圖3H,說明另一替代的作業編碼(作業碼)格式398,以根據另一實施例暫停及回復安全指定位址空間頁快取記憶體中的安全指定位址空間的遷移。作業碼格式398符合作業碼格式370和397以及包括選加的EVEX前置位元組396(在一實施例中始於62十六進位)以取代大部份的其它通常使用的舊制指令前置位元組及脫逸碼以及提供增加的功能。根據一實施例的指令可由欄位396及392中之一或更多編碼。以欄位396結合源運算元識別符374及375以及結合選加的比例-指標-基礎(SIB)識別符393、選加的位移識別符394、及選加的立即位元組395,以識別遮置及每一指令高達四個運算元位置。對於一實施例,EVEX前置位元組396可以用以識別32位元或64位元源及目的地運算元以及/或128位元、256位元或512位元的SIMD暫存器或記憶體運算元。對於一實施例,由作業碼格式398提供的功能可因為作業碼格式370或397而為多餘的,而在其它實施例中,它們是不同的。作業碼格式398允許部份地由MOD欄373及由
選加(SIB)識別符393、選加的位移識別符394、以及選加的立即位元組395指明且加上遮罩的暫存器對暫存器、記憶體對暫存器、暫存器接記憶體、暫存器接暫存器、暫存器接立即性、暫存器對記憶體定址。至少一指令集的一般格式(一般符合格式360及/或格式370)一般由下述說明:evex1 RXBmmmmm WvvvLpp evex4 opcode modrm [sib][dsip][imm]
對於一實施例,根據EVEX格式398編碼的指令具有增加的「酬載」位元,可用以新特點暫停及回復安全指定位址空間頁快取記憶體中的安全指定位址空間的遷移,舉例而言,新特點可為使用者可規劃的遮罩暫存器、或是增加的運算元、或是從128位元、256位元或512位元向量暫存器中選取、或是用以從其中選取更多暫存器、等等。舉例而言,VEX格式397可用於不具遮罩的指令,VEX格式398可用於具有明確的使用者可配置的遮罩之指令。此外,在VEX格式397用於使用128位元或256位元的向量暫存器之情形中,EVEX格式398可用於使用128位元、256位元、512位元或更大(或更小)的向量暫存器之指令。
以下述實例說明暫停及回復安全指定位址空間頁快取記憶體中的安全指定位址空間的遷移之指令的指令或命令實例:
將瞭解經由使用上述指定位址空間指令以暫停及回復安全指定位址空間的遷移,遷移處理(例如,在其中,與虛擬機相關聯的安全指定位址空間頁快取記憶體內容被驗證、加密及寫回,TLB登錄被清洗,版本計數器為驗證而被記錄及被安全地儲存,以及,虛擬機被遷移至另一平台及回復、等等)可以分成多個階段,其中,在一或更多階段期間,處理器核心或邏輯處理器可以從唯讀頁繼續執行。假使一或更多頁被修改時,它們可以再被驗證、加密及寫回,以及,它們的版本計數器增量。版本陣列頁可被類似地處理,以及,版本陣列資訊被安全地轉置至遷移平台。因此,導因於遷移處理的性能劣化會降低,並確保安全指定位址空間資料的安全性且不會要求不適當的複雜性及設計努力。
根據某些實施例,舉例說明的指令會支援暫停及回復EPC中的安全指定位址空間的遷移。EPC將安全域控制結構(SDCS)儲存在可由用於管理處理之指定位址空間存
取、及可由指定位址空間域存取的儲存器中。處理器檢查對應的版本陣列(VA)頁是否受縛於SDCS,假使為是:將用於頁之SDCS中的版本計數器增量,使用SDCS中的版本計數器以執行來自EPC的頁之驗證的加密,以及,將經過加密的頁寫至外部記憶體(舉例而言,使用EWRITEBACK或EWBX指令)。第二處理器檢查對應的VA頁是否受縛於第二處理器的第二SDCS,假使為是:使用第二SDCS中的版本計數器以執行頁的驗證解密,以及,假使通過驗證,將經過解密的頁載至第二處理器中的EPC(例如使用ELOAD或ELDX指令)。
來自上述實例的指令可以指明EPC中分配給一或多個處理的域指定位址空間之安全儲存之位址以儲存安全指定位址空間控制結構資料、應用資料、應用碼、等等。在某些實施例中,管理處理指定位址空間(例如,用於虛擬機管理器(VMM)或安全容器)可以執行、或促使系統軟體防衛擴充(SGX)庫執行指令(例如,EPA或EPAX)以將一或更多頁的域指定位址空間束縛至SDCS。安全儲存區可由管理處理指定位址空間存取以將驗證加密的一或更多頁的拷貝從安全儲存區寫至外部記憶體(例如,使用EWRITEBACK或EWBX指令)。用於一或更多頁的一或更多版本可在用於SDCS的安全儲存區中的版本陣列頁中分別地更新。指定位址空間可以使用被標記為唯讀的頁(例如使用EWP指令)而繼續執行,而驗證加密的分別頁的拷貝會從安全儲存區寫至外部記憶體。安全儲
存區也可由管理處理指定位址空間存取,以將驗證加密的一或更多版本陣列頁的拷貝從安全儲存區寫至外部記憶體。用於最後版本陣列頁的版本陣列槽可以儲存至SDCS中(例如使用EDSTVASLOT指令),用於安全指定位址空間的遷移影像的驗證。然後,SDCS可以由管理處理指定位址空間關機、不致動或「靜默」,以及,SDCS中對應的屬性欄可以被設定以標示SDCS被靜默(例如使用EDQUIESCE或EDQ指令)。然後,受信任的遷移指定位址空間證明SDCS被靜默,以及將SDCS密封(例如使用RDRAND及EGETKEY指令)密封在驗證加密的持久資料結構中,將其置於外部非依電性記憶體中以用於遷移,以及,管理處理指定位址空間接著解除分配原始SDCS。
在某些實施例中,另一受信任的遷移指定位址空間(例如,在另一平台上)會執行、或促使系統軟體防衛擴充(SGX)庫來執行指令以存取外部記憶體而檢索此驗證加密的持久資料結構以用於遷移安全指定位址空間至新平台。將來自驗證加密的持久資料結構之密封的SDCS解密及驗證(例如,使用EGETKEY指令),以及,證明元資料中的安全政策允許與虛擬機相關連的安全指定位址空間被回復。因此,由受信任的遷移指定位址空間將用於遷移的SDCS的安全指定位址空間控制結構(SECS)分配(例如使用ECREATE或EDCREATE指令)用於虛擬機,以及,指定用於虛擬機的本地ID。然後,從密封的SDCS持久資料結構配置遷移的SDCS(例如使用EDINIT指
令),以及,另一管理處理指定位址空間(例如用於另一平台上的安全容器或虛擬機管理器)可以將用於遷移的SDCS之SDCS指標器載入新平台的處理器暫存器中(例如使用EDPTRLD指令)。版本陣列槽被從SDCS載入用於第一版本陣列頁的版本陣列槽(例如使用EDLDVASLOT指令)。然後,將一或更多版本陣列頁的拷貝從外部記憶體載入、解密及驗證,並對照遷移的SDCS中的版本,檢查一或更多版本陣列頁的版本(例如,使用ELOAD或ELDX指令)。然後,將一或更多指定位址空間的拷貝從外部記憶體載入、解密及驗證,並對照遷移的SDCS中的版本,檢查一或更多指定位址空間頁。
在某些實施例中,此處揭示的指令及邏輯能夠在遷移安全域處理中、及來自安全指定位址空間內的頁拷貝作業中被中斷及回復。因此,可以確保遷移安全域處理及建立用於安全指定位址空間的驗證之頁拷貝的向前進展,以及,藉由即時檢修待決定的中斷,可以避免服務中令人無法接受的故障。將瞭解,經由使用此指定位址空間指令以暫停及回復安全的EPC中的安全指定位址空間之遷移,可以驗證、加密及寫回與虛擬機相關的安全指定位址空間頁快取記憶體內容,可以清洗TLB登錄,用於頁的版本記憶體可以被記錄用於驗證以及被安全地儲存,以及,虛擬機可以遷移至另一平台及回復。遷移處理可以分成多個階段,其中,在一或更多階段期間,處理器核心或邏輯處
理器可以繼續從唯讀頁執行。假使一或更多頁被修改,則它們可以被再驗證、加密及寫回,以及,它們的版本計數器會增量。版本陣列頁可以被類似地處理,且版本陣列資訊可以被安全地轉置到遷移平台。因此,可以降低導因於遷移處理的性能劣心,並確保安全指定位址空間資料的安全性且不要求不適當的複雜度及設計努力。將瞭解,在對遷移的安全域之版本不匹配及/或驗證失敗的任何時刻,在目標平台中可以暫停遷移處理,以及,發訊通知來源平台回復故障造成的點開始之遷移處理,以致於造成問題的頁面會被重新驗證、加密及寫回,且它們的版本計數器會增量。因此,安全遷移處理不僅提供毀損及/或破壞的偵測及防止,也提供此偵測後的回復及來源平台中的遷移處理的再繼續。也將瞭解,沒有處理器支援這些指令,完成相同的(或類似的)技術功效之任何軟體系統安全特點(假使的確可行)會是令人卻步地昂貴及/或不利地接受侷限於某些較低的安全措施之性能。
也將瞭解,管理核可、實體記憶體及/或改變映射仍然會由OS管理,但是,當記憶體內容受保護時,如同在安全指定位址空間中時,OS未被允許或受委託來存取指定位址空間祕密記憶體的真正受保護的內容。使用指令及處理邏輯以暫停及回復安全指定位址空間頁快取記憶體中的安全指定位址空間的遷移,可以不用委託OS而完成確保指令保護祕密記憶體內容的安全性及/或完整性以及管理遷移安全域處理的技術內容及建立安全驗證之安全域頁
拷貝,而不會要求複雜的硬體支援及/或設計努力。
圖4A是方塊圖,顯示根據本發明的一實施例之有序管線及暫存器重命名級、亂序核發/執行管線。圖4B是方塊圖,顯示根據本發明的至少一實施例之要包含於處理器中之有序架構核心及暫存器重命名邏輯、亂序核發/執行邏輯。圖4A中的實線框顯示有序管線,而虛線框顯示暫存器重命名、亂序核發/執行管線。類似地,圖4B中的實線框顯示有序架構邏輯,而虛線框顯示暫存器重命名邏輯及亂序核發/執行邏輯。
在圖4A中,處理器管線400包含提取級402、長度解碼級404、解碼級406、分配級408、重命名級410、排程(也稱為派遣或核發)級412、暫存器讀取/記憶體讀取級414、執行級416、寫回/記憶體寫入級418、例外處理級422、及提交級424。
在圖4B中,箭頭代表二或更多單元之間的耦合以及箭頭的方向表示在這些單元之間的資料流動方向。圖4B顯示處理器核心409,處理器核心409包含耦合至執行引擎單元450之前端單元430,引擎單元450及前端單元430都耦合至記憶體單元470。
核心490可為精簡指令集計算(RISC)核心、複雜指令集計算(CISC)核心、超長指令字(VLIW)核心、或是混合或替代核心型式。關於又另一選項,核心490可為特別用途的核心,舉例而言,例如網路或通訊核心、壓縮引擎、圖形核心、等等。
前端單元430包含分支預測單元432,分支預測單元432耦合至指令快取單元434,指令快取單元434耦合至指令轉譯旁看緩衝器(TLB)436,指令轉譯旁看緩衝器(TLB)436耦合至指令提取單元438,指令提取單元438耦合至解碼單元440。解碼單元或解碼器將指令解碼,以及產生一或更多微碼作業、微碼登入點、微指令、其它指令、或是從原始指令解碼、或是以其它方式反應原始指令、或是從原始指令導出的其它控制訊號,以作為輸出。使用各種不同的機構,以實施解碼器。適當的機構實例包含但不限於查詢表、硬體實施、可編程邏輯陣列(PLA)、微碼唯讀記憶體(ROM)、等等。指令快取單元434又耦合至記憶體單元470中的階層2(L2)快取單元476。解碼單元440耦合至執行引擎單元450中的重命名/分配器單元452。
執行引擎單元450包含重命名/分配器單元452,重命名/分配器單元452耦合至退出單元454及一或更多排程器單元456的集合。排程器單元456代表任何數目的不同排程器,包含保留站、中央指令窗、等等。排程器單元456耦合至實體暫存器檔案單元458。各實體暫存器檔案單元458代表一或更多實體暫存器檔案,不同的實體暫存器檔案儲存例如純量整數、純量浮點、緊縮整數、緊縮浮點、向量整數、向量浮點、等等一或更多不同的資料型式、狀態(例如,指令指標,指令指標是要被執行的下一指令的位址)、等等。實體暫存器檔案單元458由退出單
元454重疊,以顯示實施暫存器重命名及亂序執行的各種方式(例如,使用重排序緩衝器及退出暫存器檔案,使用未來檔案、歷史緩衝器、及退出暫存器檔案;使用暫存器映射及暫存器池;等等)。一般而言,從處理器外部或是從程式設計人員的觀點,可看到架構暫存器。暫存器不限於任何習知的特定型式的電路。只要能夠如此處所述般儲存及提供資料,則各種不同型式的暫存器都是適合的。適合的暫存器實例包含但不限於專用實體暫存器、使用暫存器重命名的動態分配實體暫存器、專用的及及動態分配的實體暫存器的組合、等等。退出單元454及實體暫存器檔案單元458耦合至執行叢集460。執行叢集460包含一或更多執行單元460的集合以及一或更多記憶體存取單元464的集合。執行單元462執行不同的作業(例如,偏移、加法、減法、乘法)以及對不同型式的資料執行(例如,純量浮點、緊縮整數、緊縮浮點、向量整數、向量浮點)。雖然某些實施例可包含專用於特定功能或功能集的一些執行單元,但是,其它實施例可以僅包含一執行單元或是多個都執行所有功能的執行單元。由於某些實施例產生用於某些型式的資料/作業之分別的管線(例如,均具有它們自己的排程器單元、實體暫存器檔案單元、及/或執行叢集的純量整數管線、純量浮點/緊縮整數/緊縮浮點/向量整數/向量浮點管線及/或記憶體存取管理,以及,在分別的記憶體存取管線的情形中,實施某些實施例,其中,僅有此管線的執行叢集具有記憶體存取單元464),
所以,排程器單元456、實體暫存器檔案單元458、及執行叢集460顯示為可能是複數的。也應瞭解,在使用分別的管線時,這些管線中之一或更多可以是亂序核發/執行,而其它的是有序的。
記憶體存取單元464的集合耦合至記憶體單元470,記憶體單元470包含耦合至資料快取單元474的資料TLB單元472,資料快取單元474耦合至階層2(L2)快取單元476。在一舉例說明的實施例中,記憶體存取單元464可包含載入單元、儲存位址單元、及儲存資料單元,各單元耦合至記憶體單元470中的資料TLB單元472。L2快取單元476耦合至一或更多其它階層的快取記憶體以及最後耦合至主記憶體。
舉例而言,舉例說明的暫存器重命名、亂序核發/執行核心架構如下所述地實施管線400:1)指令提取438執行提取及長度解碼級402和404;2)解碼單元440執行解碼級406;3)重命名/分配器單元452執行分配級408及重命名級410;4)排程器單元456執行排程級412;5)實體暫存器檔案單元458及記憶體單元470執行暫存器讀取/記憶體讀取級414;執行叢集460執行執行級416;6)記憶體單元470及實體暫存器檔案單元458執行寫回/記憶體寫入級418;7)各種單元涉及例外處理級422;以及,8)退出單元454及實體暫存器檔案單元458執行提交級424。
核心490可支援一或更多指令集(例如,x86指令集
(具有增加較新版本的某些擴充);加州太陽谷的MIPS Technologies的MIPS指令集;加州太陽谷的ARM Holdings的ARM指令集(具有選加的例如NEON等增加擴充))。
應瞭解,核心可支援多緒(執行二或更多平行的作業或緒的集合),以及,以各種方式如此執行,這些方式包含時間切片多緒、同時多緒(其中,單一實體核心提供用於實體核心同時正多線化的多個線中的各線之邏輯核心)、或是其組合(例如,時間切片提取及解碼以及其後的同時多緒,例如Intel® Hyperthreading technology中所示)。
雖然在亂序執行的環境中說明暫存器命名,但是,應瞭解,暫存器重命名可用於有序架構中。雖然所示的處理器的實施例也包含分別的指令及資料快取單元434/474以及共用的L2快取單元476,但是,替代實施例可以具有用於指令及資料等二者之單一內部快取記憶體,例如階層1(L1)內部快取記憶、或是多階層的內部快取記憶體。在某些實施例中,系統可包含內部快取記憶體及外部快取記憶體的組合,外部快取記憶體是核心及/或處理器的外部。替代地,所有的快取記憶體可以是核心及/或處理器的外部。
圖5是根據本發明的實施例之設有整合的記憶體控制及圖形之單核心處理器及多核心處理器500的方塊圖。圖5中的實線框顯示處理器500,其設有單一核心502A、系
統代理器510、一或更多匯流排控制器單元516的集合,而選加增加的虛線框顯示替代處理器500,其設有多核心502A-N、系統代理器單元510中的一或更多整合的記憶體控制單元514的集合、以及整合圖形邏輯508。
記憶體階層包含核心之內的一或更多層級快取記憶體、一集合或一或更多共用的快取單元506、及耦合至整合的記憶體控制器單元514的集合之外部記憶體(未顯示)。共用快取單元506的集合可包含一或更多中層級快取記憶體,例如階層2(L2)、階層3(L3)、階層4(L4)、或其它階層的快取記憶體、最後階層快取記憶體(LLC)、及/或其組合。雖然在一實施例中,環式互連單元512互連整合圖形邏輯508、共用快取單元506的集合、及系統代理器單元510,但是,替代實施例可以使用任何數目的用於互連這些單元之習知技術。
在某些實施例中,一或更多核心502A-N能夠多緒的。系統代理器單元510包含協調及操作核心502A-N的那些組件。舉例而言,系統代理器單元510可包含電力控制單元(PCU)及顯示單元。PCU可為或包含調整核心502A-N及整合圖形邏輯508的電力狀態所需之邏輯及組件。顯示單元是用於驅動一或更多外部連接的顯示器。
以架構及/或指令集的觀點而言,核心502A-N可以是同質的或是異質的。舉例而言,核心502A-N中的某些核心可以是有序的,而其它是亂序的。關於另一實例,核心502A-N中的二或更多核心能夠執行相同的指令集,而其
它核心能夠僅執行該指令集的子集合或是不同的指令集。
處理器可為一般用途的處理器,例如CoreTM i3、i5、i7、2 Duo及Quad、XeonTM、ItaniumTM、XScaleTM或是StrongARMTM處理器,這些處理器可從加州聖克拉拉(Santa Clara)之英特爾公司取得。替代地,可以從例如ARM Holdings,Ltd.、MIPS、等其它公司取得處理器。處理器可以是特別用途的處理器,舉例而言,例如網路或通訊處理器、壓縮引擎、圖形處理器、共處理器、嵌入式處理器、等等。可以在一或更多晶片上實施處理器。使用例如BiCMOS、CMOS、或NMOS等一些製程技術中的任何技術,處理器500可以實施在一或更多基底上或是其一部份。
圖6-8是適合包含處理器500的舉例說明的系統,而圖9是舉例說明的系統單晶片(SoC),其包含一或更多核心502。用於膝上型電腦、桌上型電腦、手持個人電腦、個人數位助理、工程工作站、伺服器、網路裝置、網路集線器、交換機、嵌入式處理器、數位訊號處理器(DSP)、圖形裝置、電子遊戲裝置、機上盒、微控制器、蜂巢式電話、可攜式媒體播放器、手持裝置、及各式各樣的其它電子裝置之此技藝中習知的其它系統設計及配置也是適用的。一般而言,能夠包含如此處所揭示的處理器及/或其它執行邏輯的眾多各式各樣的系統或電子裝置一般也適用。
現在參考圖6,其顯示根據本發明的一實施例之系統
600的方塊圖。系統600可包含耦合至圖形記憶體控制器集線器(GMCH)620之一或更多處理器610、615。添加的處理器615的選加本質於圖6中以虛線標示。
各處理器610、615可為某版本的處理器500。但是,應注意,整合的圖形邏輯及整合的記憶體控制單元不可能存在於處理器610、615中。圖6顯示GMCH 620可耦合至記憶體640,舉例而言,記憶體640可為動態隨機存取記憶體(DRAM)。對於至少一實施例,DRAM可以是與非依電性快取記憶體相關連的。
GMCH 620可為晶片組或部份晶片組。GMCH 620與處理器610、615通訊以及控制處理器610、615與記憶體640之間的相互作用。GMCH 620也作為處理器610、615與系統600的其它元件之間的加速匯流排介面。對於至少一實施例,GMCH 620經由例如前側匯流排(FSB)695等多點連接匯流排而與處理器610、615通訊。
此外,GMCH 620耦合至顯示器645(例如平板顯示器)。GMCH 620包含整合的圖形加速器。GMCH 620又耦合至輸入/輸出(I/O)控制器集線器(ICH)650,ICH 650用以耦合各式各樣的週邊裝置至系統600。舉例而言,圖6的實施例中的實例顯示為外部圖形裝置660,外部圖形裝置660是與另一週邊裝置670一起耦合至ICH 650的離散圖形裝置。
替代地,增加的或不同的處理器也存在於系統600中。舉例而言,增加的處理器615包含與處理器610相同
之增加的處理器、與處理器610異質的或是不對稱的增加的處理器、加速器(舉例而言,例如圖形加速器或數位訊號處理(DSP)單元)、現場可編程閘陣列、或是任何其它處理器。以包含架構、微架構、熱、耗電特徵、等等價值度量範圍而言,在實體資源610、615之間有各式各樣的差異。這些差異可有效地顯示它們本身在處理器610、615之間的不對稱性及異質性。對於至少一實施例,各式各樣的處理器610、615設於相同晶粒封裝中。
現在參考圖7,其顯示根據本發明的實施例之第二系統700的方塊圖。如圖7所示,多處理器系統700是點對點互連系統,以及包含經由點對點互連750而耦合的第一處理器770和第二處理器780。如同處理器610、615中之一或更多般,各處理器770和780可為某版本的處理器500。
雖然僅顯示二處理器770、780,但是,須瞭解本發明的範圍不侷限於此。在其它實施例中,一或更多增加的處理器可以存在於給定的處理器中。
處理器770及780顯示為分別包含整合的記憶體控制器單元772和782。處理器770也包含點對點(P-P)介面776和778作為其匯流排控制器單元的部份;類似地,第二處理器780包含P-P介面786和788。處理器770、780可使用P-P介面電路778、788而經由點對點(P-P)介面750來交換資料。如圖7中所示,IMC 772及782將處理器耦合至各別記憶體,亦即記憶體732和記憶體
734,它們可為本地地附著至各別處理器之主記憶體的部份。
使用點對點介面電路776、794、786、798,處理器770、780可經由個別的P-P介面752、754而各別地與晶片組790交換資訊。晶片組790經由高性能圖形介面739,也可與高性能圖形電路738交換資訊。
共用的快取記憶體(未顯示)可以包含在二處理器外部的任一處理器中,又經由P-P互連而與處理器連接,以致於假使處理器被置於低功率模式中時,任一或二處理器的本地快取記憶體資訊仍可以儲存在共用快取記憶體中。
晶片組790經由介面796而耦合至第一匯流排716。在一實施例中,第一匯流排716可為週邊組件互連(PCI)匯流排、或是例如快速PCI匯流排等匯流排或是其它第三代的I/O互連匯流排,但是,本發明的實施例的範圍不受限於此。
如圖7所示,各式I/O裝置714可以與匯流排橋接器718耦合至第一匯流排716,匯流排橋接器718將第一匯流排716耦合至第二匯流排720。在一實施例中,第二匯流排720是低腳數(LPC)匯流排。各式裝置可以耦合至第二匯流排720,在一實施例中,舉例而言,各式裝置包含鍵盤及/或滑鼠722、通訊裝置727及例如包含指令/碼及資料730的其它大量儲存裝置及硬碟機等儲存單元728。此外,音頻I/O 724可耦合至第二匯流排720。注意,其它架構是可能的。舉例而言,取代圖7的點對點架
構,系統可以實施多點連接匯流排或是其它此類架構。
現在參考圖8,其顯示根據本發明的實施例之第三系統800的方塊圖。圖7和圖8中的類似元件帶有類似代號,圖7的某些態樣在圖8中省略,以免模糊圖8的其它態樣。
圖8顯示處理器870、880分別包含整合的記憶體及I/O控制邏輯(CL)872和882。對於至少一實施例,CL 872、882包含整合的記憶體控制器單元,例如上述配合圖5及7所述的記憶體控制器單元。此外,CL 872、882也包含I/O控制邏輯。圖8顯示不僅記憶體832、834耦合至CL 872、882,輸入/輸出(I/O)裝置814也耦合至控制邏輯872、882。舊制輸入/輸出(I/O)裝置815耦合至晶片組890。
現在參考圖9,其顯示根據本發明的實施例之系統單晶片(SoC)900的方塊圖。圖5中類似的元件帶有類似的代號。而且,虛線框是更進階的SoC上選加的特點。在圖9中,互連單元902耦合至:應用處理器910,其包含一或更多核心502A-N的組及共用快取單元506;系統代理器單元510;匯流排控制器單元516;整合記憶體控制單元514;一或更多媒體處理器920的組,其可包含整合圖形邏輯508、用於提供靜態及/或攝影相機功能的影像處理器924、用於提供硬體音頻加速的音頻處理器926、以及用於提供視頻編碼/解碼加速的視頻處理器928;靜態隨機存取記憶體(SRAM)單元930;直接記憶體存取
(DMA)單元932;以及,用於耦合至一或更多外部顯示器的顯示單元940。
圖10顯示含有中央處理單元(CPU)及圖形處理單元(GPU)的處理器,其可執行根據一實施例之至少一指令。在一實施例中,根據至少一實施例之用以執行作業的指令可由CPU執行。在另一實施例中,指令可由GPU執行。在又另一實施例中,經由被GPU及CPU執行的作業的組合,執行指令。舉例而言,在一實施例中,接收及解碼根據一實施例的指令以在GPU上執行。但是,在已解碼的指令之內的一或更多作業可由CPU執行且結果會歸還至GPU以用於指令的最後退出。相反地,在某些實施例中,CPU可作為主處理器及GPU作為共處理器。
在某些實施例中,從高平行、輸貫量處理器得利的指令可以由GPU執行,而從得利於深度管線化架構的處理器性能獨得助益的指令可由CPU執行。舉例而言,圖形、科學應用、財務應用及其它平行酬載可從GPU的性能得利並因而被執行,而例如作業系統核心或應用碼等更多的順序應用可以較佳地適合CPU。
在圖10中,處理器1000包含CPU 1005、GPU 1010、影像處理器1015、視頻處理器1020、USB控制器1025、UART控制器1030、SPI/SDIO控制器1035、顯示裝置1040、高清晰度多媒體介面(HDMI)控制器1045、MIPI控制器1050、快閃記憶體控制器1055、雙倍資料速率(DDR)控制器1060、安全引擎1065、及I2S/I2C(整
合的晶片間聲音/整合電路之間)介面1070。其它邏輯及電路可以包含在圖10的處理器中,所述處理器包含更多CPU或GPU及其它週邊介面控制器。
至少一實施例的一或更多態樣可由儲存在機器可讀取的媒體上的代表資料實施,所述代表資料代表處理器之內的各種邏輯,當由機器讀取時促使機器製造邏輯以執行此處所述的技術。這些代表,稱為「IP核心」,可以儲存在實體的、機器可讀取的媒體(「tape」)中及供應給各式各樣的客戶或製造設備以載入真正製造邏輯或處理器的製造機器中。舉例而言,例如ARM Holdings,Ltd.開發的CortexTM系列處理器、以及由中國科學院的計算技術研究所(ICT)開發的龍芯(Loongson)IP核心等IP核心可以授權或賣給例如德州儀器(Texas Instruments)、高通(Qualcomm)、蘋果(Apple)、或三星(Samsung)等各式各樣的客戶或被授權者,且實施於這些客戶或被授權者製造的處理器中。
圖11顯示根據一實施例的IP核心開發的方塊圖。儲存器1130包含模擬軟體1120及/或硬體或軟體模型1110。在一實施例中,代表IP核心設計的資料可經由記憶體1140而提供給儲存器1130(例如,硬碟機)、有線連結(例如網際網路)1150或是無線連結1160。由模擬工具及模型產生的IP核心資訊接著被傳送至製造設備,其中,製造設備由第三方製造以執行根據至少一實施例的至少一指令。
在某些實施例中,一或更多指令可對應於第一型或架構(例如,x86)且在不同型式或架構(例如ARM)的處理器上被轉譯或模仿。根據一實施例的指令因而可在包含ARM、x86、MIPS、GPU、或其它處理器型式或架構等任何處理器或處理器型式上執行。
圖12顯示根據一實施例之第一型式的指令如何由不同型式的處理器模仿。在圖12中,程式1205含有可執行與根據一實施例的指令相同或是實質上相同的某些指令。但是,程式1205的指令可以是不同於或不並容於處理器1215之型式及/或格式,意指程式1205中的型式的指令不能夠由處理器1215本地執行。但是,藉由模仿邏輯1210的幫助,程式1205的指令被轉譯成能夠原地由處理器1215執行的指令。在一實施例中,模擬邏輯以硬體具體實施。在另一實施例中,模仿邏輯具體地實施於含有軟體之實體的、機器可讀取的媒體中,以將程式1205中的型式的指令轉譯成可由處理器1215本地執行的型式。在其它實施例中,模仿邏輯是固定功能或是可編程的硬體及儲存在實體的、機器可讀取的媒體上的程式之結合。在一實施例中,處理器含有模仿邏輯,而在其它實施例中,模擬邏輯存在於處理器的外部且由第三方提供。在一實施例中,藉由執行含於處理器中或是與處理器相關連的韌體或微碼,處理器能夠載入具體實施於含有軟體之實體的、機器可讀取的媒體中的模仿邏輯。
圖13是方塊圖,用以對比根據本發明之實施例中使
用軟體指令轉換器以將源指令集中的二進位指令轉換成目標指令集中的二進位指令。在所示的實施例中,指令轉換器是軟體指令轉換器,但是,替代地,指令轉換器可以以軟體、韌體、硬體、或其各式各樣的組合實施。圖13顯示高階語言程式1302,可以使用x86編譯器1304將其編譯以產生x86二進位碼1306,x86二進位碼1306可由設有至少一x86指令集核心1316的處理器自然地執行。設有至少一x86指令集核心1316的處理器代表藉由並容地執行或是以其它方式處理下述而執行與設有至少一x86指令集核心的英特爾處理器實質相同的功能之任何處理器:(1)Intel x86指令集核心的指令的實質部份、或是(2)以在設有至少一x86指令集核心的英特爾處理器上運行為目標之其它程式或應用程式的物件碼版本,以取得與設有至少一x86指令集核心的英特爾處理器實質上相同的結果。x86編譯器1304代表可操作以產生x86二進位碼1306(例如物件碼)之編譯器,無論是否有增加的鏈結處理,二進位碼1306都可以在設有至少一x86指令集核心1316的處理器上執行。類似地,圖13顯示高階語言程式1302,可以使用替代的指令集編譯器1308以將其編譯,以產生替代的指令集二進位碼1310,指令集二進位碼1310可由未設有至少一x86指令集核心1314的處理器本地執行(例如,設有執行位於加州太陽谷的MIPS Technologies的MIPS指令集、及/或位於加州太陽谷的ARM Holdings的ARM指令集的核心之處理器)。指令轉
換器1312用以將x86二進位碼1306轉換成可由未設有x86指令集核心1314的處理器自然地執行的碼。由於能夠這樣的指令轉換器難以製作,所以,此轉換碼不可能與替代指令集二進位碼1310相同;但是,轉換碼將完成一般操作及由來自替代指令集的指令組成。因此,指令轉換器1312代表軟體、韌體、硬體、或其組合,其經由模仿、模擬或任何其它處理,允許未具有x86指令集處理器或是核心的處理器或其它電子裝置執行x86二進位碼1306。
將瞭解經由使用指定位址空間指令以暫停及回復安全指定位址空間的遷移,遷移處理(例如,在其中,與虛擬機相關聯的安全指定位址空間頁快取記憶體內容被驗證、加密及寫回,TLB登錄被清洗,頁面的版本計數器為驗證而被記錄及被安全地儲存,以及,虛擬機被遷移至另一平台及回復、等等)可以分成多個階段,其中,在一或更多階段期間,處理器核心或邏輯處理器可以從唯讀頁繼續執行。假使一或更多頁被修改時,它們可以再被驗證、加密及寫回,以及,它們的版本計數器增量。版本陣列頁可被類似地處理,以及,版本陣列資訊被安全地轉置至遷移平台。因此,導因於遷移處理的性能劣化會降低,並確保安全指定位址空間資料的安全性且不會要求不適當的複雜性及設計努力。
圖14顯示用於使用指令以暫停及回復安全指定位址空間頁快取記憶體中的安全指定位址空間的遷移之處理器
核心1401中的設備的實施例。設備包括安全指定位址空間(SE)單元1402及指定位址空間頁快取記憶體EPC 1420。對於某些實施例,EPC 1420可以是較大的快取單元的一部份,例如階層一快取記憶體,L1 1440,或是階層二快取記憶體(未顯示)。對於其它實施例,EPC 1420可為多個硬體緒、邏輯處理器或處理核心共用的分散結構或是分別的結構,以儲存用於分配給安全指定位址空間及可由運行特定域的處理之硬體緒、邏輯處理器或處理核心存取的頁1443之位址的安全資料。對於某些實施例,EPC 1420可以儲存用於頁1443及版本陣列頁1442中的其它安全指定位址空間頁之版本資料或計數器,且分配給安全域的資料頁及版本陣列頁都可被束縛至安全域控制結構(SDCS)1441,安全域控制結構(SDCS)1441可由運行與SDCS 1441相關的特定安全域的處理之硬體緒、邏輯處理器或處理核心存取,但也可由管理處理的安全指定位址空間(也稱為控制指定位址空間或是遷移指定位址空間)。SE單元1402可包括加密單元1410、完整性保護單元1412、存取控制單元1414、範圍暫存器1416、指定位址空間頁快取記憶體映射EPCM 1418、及儲存指向SDCS 1441之指標器的暫存器SDCS PTR 1419。SE單元1402也可包括指定位址空間指令1403,指定位址空間指令1403包含:EDALLOCX指令1431、EDSTVASLOT指令1432、EPAX指令1433、EDTRACK指令1434、EWP/EWPC指令1435、EWBX指令1436、EDEXIT指令
1437、EDQ指令1438、及其它未顯示的指定位址空間指令(例如,AEX指令、EDINIT指令、ERESUME指令、等等)。
處理器核心1401也包括TLB 1425,於其中可安裝轉譯以存取EPC 1420。處理器核心1401也包括解碼級1422、讀取級1424、一或更多執行單元(例如執行單元1426)、及寫入級1428。處理器核心1401的實施例也包括其它管線級(例如,如管線400中所示般),用於執行指定位址空間指令1403以暫停及回復安全指定位址空間頁快取記憶體EPC 1420中的安全指定位址空間的遷移。
在一實施例中,指定位址空間指令1403藉由提供要被驗證、加密及寫至外部記憶體1450及轉移或遷移至另一平台的頁1442及1443,而支援暫停及回復安全EPC 1420中的指定位址空間的遷移。指定位址空間指令1403也支援本身被驗證、加密及寫至外部記憶體1450的SDCS 1441,以致於其可被安全地轉移至另一平台及重新啟動。EPC 1420將活躍的SDCS 1441儲存在可由用於管理處理之指定位址空間存取的、及可由安全指定位址空間的域集合存取的儲存器中。舉例而言,使用EWBX指令1436,處理器1401可以將頁1443驗證、加密及寫至外部記憶體1450。處理器1401檢查對應的版本陣列(VA)頁1442是否束縛於SDCS PTR 1419所指向的SDCS,假使為是:將用於頁1443之SDCS 1441中的版本計數器增量、使用SDCS 1441中的版本計數器執行來自EPC 1420的頁1443
之驗證的加密、以及將經過加密的頁寫至外部記憶體。在頁1443被安全地轉移至另一平台之後,第二處理器將執行相反的作業,檢查對應的VA頁是否束縛至第二處理器的第二SDCS,以及,假使為是:使用第二SDCS中的版本計數器執行頁1441的驗證解密,以及,假使通過驗證,將解密的頁載至第二處理器中的EPC(例如,使用ELOAD或ELDX指令)。
另舉例而言,處理器1401可以發起遷移處理,其中,使用EDALLOCX指令1431,SDCS 1441被分配給控制指定位址空間,以及,將SDCS 1441配置成(例如使用一或更多EDINIT指令等等)用於第一安全指定位址空間。使用一或更多EPAX指令1433,將第一安全指定位址空間的一或更多頁1442及1443束縛至SDCS 1441。然後,使用EWBX指令1436,將驗證加密的一或更多頁1443的拷貝從第一安全儲存區EPC 1420寫至外部記憶體1450。用於一或更多頁1443的一或更多版本可以在用於SDCS 1441的安全儲存區中因EWBX指令1436的結果而在一或更多版本陣列頁1442中更新。將瞭解,使用被標記為唯讀的頁,指定位址空間可以繼續執行(例如使用EWP/EWPC指令1435),而分別的頁1442及1443被驗證、加密,且分別的頁之拷貝從安全儲存區EPC 1420寫至外部記憶體1450。假使多個域指定位址空間中之一或更多任何時刻需要修改頁1442及/或1443時,寫入保護可被移除或清除(例如使用EWP/EWPC指令1435),遷
移處理可以被暫停,稍後在需要此修改的一或多頁處開始回復。需要修改頁1442及/或1443的任何域指定位址空間會被追蹤,以回應EDTRACK指令1434。使用EWBX指令1436,將驗證加密的一或更多版本陣列頁1442的拷貝也可從安全儲存區EPC 1420寫至外部記憶體1450。版本陣列槽也儲存在SDCS 1441中(例如,使用EDSTVASLOT指令1432,或是類似指令)。使用EEXIT指令1437,域指定位址空間處理會退出安全指定位址空間。然後,可將SDCS 1441靜默及可將SDCS 1441中對應的屬性欄設定以標示SDCS 1441被靜默(例如,使用EDQ指令1438)。SDCS 1441可以密封於驗證加密的持久結構中(例如,使用RDRAND及EGETKEY指令、或其它類似指令)。驗證加密的持久結構可以儲存至外部記憶體1450以用於遷移。然後,管理處理指定位址空間解除分配SDCS 1441,以及密封的結構可以被安全地轉移及遷移至另一平台。
在某些實施例中,另一受信任的遷移指定位址空間(例如,在另一平台上)可以執行或促使系統軟體防衛擴充(SGX)庫執行指令以存取外部記憶體而檢索此驗證的加密持久資料結構以用於安全指定位址空間遷移至新平台。來自驗證的加密持久資料結構之密封的SDCS會被解密及驗證(例如使用EGETKEY指令),以及證明元資料中的安全政策允與虛擬機相關聯的安全指定位址空間被回復。將瞭解,在對目標平台中遷移的安全域之版本不匹配
及/或驗證失敗的任何時刻,在目標平台中可以暫停遷移處理,以及,發訊通知來源平台1401回復故障造成的點開始之遷移處理。
圖15顯示用於使用指令以暫停及回復安全指定位址空間頁快取記憶體中的安全指定位址空間的遷移的處理器核心1501中設備的另一實施例。設備包括安全指定位址空間(SE)單元1502及指定位址空間頁快取記憶體EPC 1520。對於某些實施例,EPC 1520可以是較大的快取單元的一部份,例如階層一快取記憶體,L1 1540,或是階層二快取記憶體(未顯示)。對於其它實施例,EPC 1520可為多個硬體緒、邏輯處理器或處理核心共用的分散結構或是分別的結構,以儲存用於分配給安全指定位址空間及可由運行特定域的處理之硬體緒、邏輯處理器或處理核心存取的頁1543之位址的安全資料。對於某些實施例,EPC 1520可以儲存用於頁1543及版本陣列頁1542中的其它安全指定位址空間頁之版本資料或計數器,且分配給安全域的資料頁及版本陣列頁都可被束縛至安全域控制結構(SDCS)1541,安全域控制結構(SDCS)1541可由運行與SDCS 1541相關的特定安全域的處理之硬體緒、邏輯處理器或處理核心存取,但也可由管理處理的安全指定位址空間(也稱為控制指定位址空間或是遷移指定位址空間)。SE單元1502可包括加密單元1510、完整性保護單元1512、存取控制單元1514、範圍暫存器1516、指定位址空間頁快取記憶體映射EPCM 1518、及儲存指向SDCS
1541之指標器的暫存器SDCS PTR 1519。SE單元1502也可包括指定位址空間指令1503,指定位址空間指令1503包含:ECREATE指令1531、EDLDVASLOT指令1532、EDINIT指令1533、EDPTRLD指令1534、EPAX指令1535、ELOAD指令1536、EENTER指令1537、EGETKEY指令1538、及其它未顯示的指定位址空間指令(例如,AEX指令、EDINIT指令、ERESUME指令、等等)。
處理器核心1501也包括TLB 1525,於其中可安裝轉譯以存取EPC 1520。處理器核心1501也包括解碼級1522、讀取級1524、一或更多執行單元(例如執行單元1526)、及寫入級1528。處理器核心1501的實施例也包括其它管線級(例如,如管線400中所示般),用於執行指定位址空間指令1503以暫停及回復安全指定位址空間頁快取記憶體EPC 1520中的安全指定位址空間的遷移。
在一實施例中,指定位址空間指令1503藉由提供要從另一平台被轉移或遷移及從外部記憶體1550被檢索、然後被解密及驗證之頁1542及1543,而支援暫停及回復安全EPC 1520中的指定位址空間的遷移。重要地,指定位址空間指令1503也支援本身從另一平台被安全地轉移或遷移以及從外部記憶體1550被檢索、然後被解密、驗證、及重新啟動之SDCS 1541。EPC 1520將遷移的SDCS 1541儲存在可由用於標的平台上的管理處理之另一指定位址空間存取的、及可由遷移的安全指定位址空間的域集
合存取的儲存器中。舉例而言,使用ELOAD(或ELDX)指令1536,處理器1501可以將從外部記憶體1550檢索頁1543,然後將其解密及驗證。處理器1501檢查對應的VA頁1542是否束縛於SDCS PTR 1519所指向的SDCS,假使為是:使用來自操作上與處理器1501耦合的外部記憶體1550之頁1542的該SDCS 1541中的版本計數器,執行驗證解密,以及,假使驗證解密之驗證通過時,將解密的頁1443的拷貝載至EPC 1520。
另舉例而言,處理器1501可以完成遷移處理,其中,存取外部記憶體1550以檢索驗證加密持久資料結構。從加密的持久資料結構,將密封的SDCS 1441解密及驗證。使用ECREATE指令1531,可將安全指定位址空間控制結構(SECS)分配用於遷移的SDCS 1541。從密封的SDCS 1441配置遷移的SDCS 1541(例如使用EDINIT指令1533、或其它指令)。使用EDPTRLD指令1534,可將用於遷移的SDCS 1541的SDCS指標器載入處理器暫存器SDCS PTR 1519。為一或更多版本陣列頁的第一版本陣列頁1542之版本陣列槽,恢復來自SDCS 1541的版本陣列槽(例如,使用EDLDVASLOT指令1532)。使用EGETKEY指令1538、或類似的指令,從SDCS 1541取得用於解密的鑰。可將一或更多版本陣列頁1542的拷貝從外部記憶體1550載至安全儲存、EPC 1520、解密及驗證(例如,使用ELOAD指令1536、或某類似指令)。對照遷移的SDCS 1541中的版本,檢查一或更多版本陣列
頁1542的版本(例如,由於ELOAD指令1536的結果,或類似指令)。將安全指定位址空間的一或更多頁1543的拷貝從外部記憶體1550載至安全儲存、EPC 1520、解密及驗證,並對照遷移的SDCS 1541中的版本,繼續檢查一或更多指定位址空間頁1543的版本。使用EENTER指令1537,遷移的域指定位址空間處理可以進入安全指定位址空間。將瞭解,在對遷移的安全域之版本不匹配及/或驗證失敗的任何時刻,在目標平台處理器1501中可以暫停遷移處理,以及,發訊通知來源平台(例如處理器1401)回復故障造成的點開始之遷移處理。
圖16顯示暫停及回復安全指定位址空間頁快取記憶體中的安全指定位址空間的遷移之處理1601的一實施例之流程圖。以處理區域執行此處揭示之處理1601及其它處理,處理區包括專用的硬體或是可由一般用途的機器或特別用途的機器或二者的結合所執行之軟體或韌體作業碼。
在處理1601的處理區塊1605中,安全域控制結構(SDCS)分配給控制指定位址空間(例如,使用EDALLOCX指令、或某些其它類似指令)。在處理區塊1610中,配置用於第一安全指定位址空間的SDCS(例如,使用一或更多EDINIT指令、等等)。在處理區塊1615中,一或更多頁第一安全指定位址空間被束縛至SDCS(例如,使用一或更多EPA或EPAX指令)。在處理區塊1620中,驗證加密之一或更多頁的拷貝從第一安
全儲存區寫至外部記憶體(例如,使用EWRITEBACK或EWBX指令,或某其它類似指令)。在處理區塊1625中,用於一或更多頁的一或更多版本在用於SDCS的第一安全儲存區中(或在SDCS本身中)的一或更多版本陣列頁中被分別更新(例如,由於EWRITEBACK或EWBX指令的結果,或類似指令)。將瞭解,使用被標記為唯讀的頁,指定位址空間可以繼續執行(例如使用EWP指令),而分別的頁被驗證、加密,且分別的頁之拷貝從安全儲存區寫至外部記憶體。假使多個域指定位址空間中之一或更多任何時刻需要修改這些頁時,寫入保護可被移除或清除(例如使用EWPC指令),遷移處理1601可以被暫停,稍後在需要此修改的一或多頁處開始回復。在處理區塊1630中,驗證加密的一或更多版本陣列頁的拷貝從第一安全儲存區寫至外部記憶體(例如使用EWRITEBACK或EWBX指令,或類似指令)。在處理區塊1635中,版本陣列槽儲存在SDCS中(例如,使用EDSTVASLOT指令,或是某類似指令)。在處理區塊1640中,將SDCS靜默及將SDCS中對應的屬性欄設定以標示SDCS被靜默(例如,使用EDQUIESCE或EDQ指令)。在處理區塊1645中,將SDCS密封於驗證加密的持久結構中(例如,使用RDRAND及EGETKEY指令、或某其它類似指令)。在處理區塊1650中,將驗證加密的持久結構儲存至外部非依電性記憶體中以用於遷移。然後,管理處理指定位址空間可解除分配SDCS,以及密封
的結構可被安全地轉移及遷移至另一平台。將瞭解,在對目標平台中遷移的安全域之版本不匹配及/或驗證失敗的任何時刻,在目標平台中可以暫停遷移處理1701,以及,發訊通知來源平台回復故障造成的點開始之遷移處理1601。
又將瞭解,雖然處理1601的處理區塊及此處揭示的其它處理被說明成以迭代方式執行,但是,任何時候都可能較佳地以替代次序、或是同時地、或是平行地執行。
也將瞭解經由使用上述指定位址空間指令以暫停及回復安全指定位址空間的遷移,遷移處理(例如,在其中,與虛擬機相關聯的安全指定位址空間頁快取記憶體內容被驗證、加密及寫回,TLB登錄被清洗,頁面的版本計數器為驗證而被記錄及被安全地儲存,以及,虛擬機被遷移至另一平台及回復、等等)可以分成多個階段,其中,在一或更多階段期間,處理器核心或邏輯處理器可以從唯讀頁繼續執行。假使一或更多頁被修改時,它們可以再被驗證、加密及寫回,以及,它們的版本計數器增量。版本陣列頁可被類似地處理,以及,版本陣列資訊被安全地轉置至遷移平台。因此,導因於遷移處理的性能劣化會降低,並確保安全指定位址空間資料的安全性且不會要求不適當的複雜性及設計努力。
根據某些實施例,此處揭示的指令會支援暫停及回復EPC中的安全指定位址空間的遷移。EPC將安全域控制結構(SDCS)儲存在可由用於管理處理之指定位址空間存
取、及可由指定位址空間域存取的儲存器中。處理器檢查對應的版本陣列(VA)頁是否受縛於SDCS,假使為是:將用於頁之SDCS中的版本計數器增量,使用SDCS中的版本計數器以執行來自EPC的頁之驗證加密,以及,將經過加密的頁寫至外部記憶體(舉例而言,使用EWRITEBACK或EWBX指令)。第二處理器檢查對應的VA頁是否受縛於第二處理器的第二SDCS,假使為是:使用第二SDCS中的版本計數器以執行頁的驗證解密,以及,假使通過驗證,將經過解密的頁載至第二處理器中的EPC(例如使用ELOAD或ELDX指令)。
圖17顯示暫停及回復安全指定位址空間頁快取記憶體中的安全指定位址空間的遷移之另一處理1701的一實施例之流程圖。在某些實施例中,另一受信任的遷移指定位址空間(例如,在另一平台上)可以執行或促使系統軟體防衛擴充(SGX)庫執行指令以檢索用於SDCS之驗證加密持久資料結構以及重建安全域來完成指定位址空間遷移至新平台。在處理區塊1705中,存取外部記憶體以檢索驗證加密持久資料結構。在處理區塊1710中,從加密的持久資料結構,將密封的安全域控制結構SDCS解密及驗證。在處理區塊1715中,將安全指定位址空間控制結構(SECS)分配用於遷移的SDCS(例如使用ECREATE或EDCREATE指令)。在處理區塊1720中,從密封的SDCS配置遷移的SDCS(例如使用EDINIT指令、或某其它指令)。在處理區塊1725中,將用於遷移的SDCS
的SDCS指標器載入處理器暫存器中(例如,使用EDPTRLD指令)。在處理區塊1730中,為一或更多版本陣列頁的第一版本陣列頁的EPC中之版本陣列槽,恢復來自SDCS的版本陣列槽(例如,使用EDLDVASLOT指令)。在處理區塊1735中,從SDCS取得用於解密的鑰(例如,使用EGETKEY指令、或某其它類似的指令)。在處理區塊1740中,將一或更多版本陣列頁的拷貝從外部記憶體載至安全儲存器、解密及驗證(例如,使用ELOAD或ELDX指令)。在處理區塊1745中,對照遷移的SDCS中的版本,檢查一或更多版本陣列頁的版本(例如,由於ELOAD或ELDX指令的結果,或類似指令)。在處理區塊1750中,將安全指定位址空間的一或更多頁的拷貝從外部記憶體載至安全儲存、解密及驗證,並對照遷移的SDCS中的版本,繼續檢查一或更多指定位址空間頁的處理區塊1745中的版本。將瞭解,在對遷移的安全域之版本不匹配及/或驗證失敗的任何時刻,在目標平台中可以暫停遷移處理1701,以及,可發訊通知來源平台回復故障造成的點開始之遷移處理1601。
也將瞭解,假使在處理1701的某些替代實施例中及在此處揭示的其它處理中可能時,說明成以特定次序執行的處理區塊也可以依其它次序、或是同時地、或是彼此平行地執行。
在某些實施例中,此處揭示的指令及邏輯能夠在遷移安全域處理中、及來自安全指定位址空間內的頁拷貝作業
中被中斷及回復。因此,可以確保遷移安全域處理及建立用於安全指定位址空間的被驗證之頁拷貝的向前進展,以及,藉由即時檢修待決定的中斷,可以避免例如語音、視訊及即時交易等服務中令人無法接受的故障。將瞭解,經由使用此指定位址空間指令以暫停及回復安全的EPC中的安全指定位址空間之遷移,可以驗證、加密及寫回與虛擬機相關的安全指定位址空間頁快取記憶體內容,可以清洗TLB登錄,用於頁的版本記憶體可以被記錄用於驗證以及被安全地儲存,以及,虛擬機可以遷移至另一平台及回復。遷移處理可以分成多個階段,其中,在一或更多階段期間,處理器核心或邏輯處理器可以繼續從唯讀頁執行。假使一或更多頁被修改,則它們可以被再驗證、加密及寫回,以及,它們的版本計數器會增量。版本陣列頁可以被類似地處理,且版本陣列資訊可以被安全地轉置到遷移平台。因此,可以降低導因於遷移處理的性能劣心,並確保安全指定位址空間資料的安全性且不要求不適當的複雜度及設計努力。也將瞭解,沒有處理器支援這些指令,完成相同的(或類似的)技術功效之任何軟體系統安全特點(假使的確可行)會是令人卻步地昂貴及/或不利地接受侷限於某些較低的安全措施之性能。
也將瞭解,管理核可、實體記憶體及/或改變映射仍然會由OS管理,但是,當記憶體內容受保護時,如同在安全指定位址空間中時,OS未被允許或受委託來存取指定位址空間祕密記憶體的真正受保護的內容。使用指令及
處理邏輯以暫停及回復安全指定位址空間頁快取記憶體中的安全指定位址空間的遷移,可以不用委託OS而完成確保指令保護祕密記憶體內容的安全性及/或完整性以及管理遷移安全域處理的技術內容及建立安全驗證之安全域頁拷貝,而不會要求複雜的硬體技援及/或設計努力。
此處揭示的機制的實施例可以以硬體、軟體、韌體、或這些實施方式的組合實施。本發明的實施例可以實施為在包括至少一處理器、儲存系統(包含依電性及非依電性記憶體及/或儲存元件)、至少一輸入裝置、及至少一輸出裝置的可編程系統上執行的電腦程式或程式碼。
程式碼可以應用至輸入指令以執行此處所述的功能及產生輸出資訊。輸出資訊可以以已知方式應用至一或更多輸出裝置。為了此應用目的,處理系統包含具有處理器的任何系統,舉例而言,處理器可為數位訊號處理器(DSP)、微控制器、特定應用積體電路(ASIC)、或是微處理器。
程式碼可以以高階程序或物件導向程式語言實施,以與處理系統通訊。於需要時程式碼也可由組合語言或機器語言實施。事實上,此處所述的機制不限於任何特定程式語言的範圍。在任何情形中,語言可為經過編譯或解譯的語言。
至少一實施例的一或更多態樣可由代表處理器之內的各種邏輯之儲存在機器可讀取的媒體上的代表指令實施,當由機器讀取時,這些指令會促使機器製造邏輯以執行此
處所述的技術。這些表示,稱為「IP核心」,可以儲存在實體的、機器可讀取的媒體中及供應給各式各樣的客戶或製造設備以載入真正製造邏輯或處理器的製造機器中。
此機器可讀取的儲存媒體包含但不限於由機器或裝置製造或形成的物體之非暫時的實體配置,包含例如硬碟等儲存媒體、包括軟碟、光碟、光碟唯讀記憶體(CD-ROM)、光碟可重寫(CD-RW)、及磁光碟等任何其它型式的碟片、例如唯讀記憶體(ROM)、例如動態隨機存取記憶體裝置(DRAM)等隨機存取記憶體(RAM)、靜態隨機存取記憶體(SRAM)、可抹拭可編程唯讀記憶體(EPROM)、快閃記憶體、電氣可抹拭可編程唯讀記憶體(EEPROM)等半導體裝置、磁或光學卡、或任何適用於儲存電子指令的其它型式的媒體。
因此,本發明的實施例也包含非暫時的、實體的機器可讀取的媒體,其含有指令或含有設計資料,例如硬體說明語言(HDL),以界定此處所述的結構、電路、設備、處理器及/或系統特點。這些實施例也將稱為程式產品。
在某些情形中,指令轉換器可以用以將指令從源指令集轉換成目標指令集。舉例而言,指令轉換器可以將指令轉譯(例如,使用靜態二進位轉譯、包含動態編譯之動態二進位轉譯)、變種、模仿、或其它方式轉換成為一或更多要由核心處理的其它指令。指令轉換器可以以軟體、硬體、韌體、或其組合實施。指令轉換器可以在處理器上、離開處理器、或是部份在或部份離開處理器。
因此,揭示執行根據至少一實施例的一或更多指令之技術。雖然在圖式中說明及顯示某些舉例說明的實施例,但是,須瞭解這些實施例僅為說明性而非寬廣發明的限定,且由於習於此技藝者在研讀本揭示之後,可以產生各種其它修改,所以,本發明不限於所述及所示的特定構造及配置。在例如本技術領域等成長快速且不易預測未來進步之技術領域中,在不悖離本揭示的原理或後附申請專利範圍的範圍之下,揭示的實施例可因技術進步之助而在配置及細節上可容易修改的。
140‧‧‧資料處理系統
141‧‧‧匯流排
142‧‧‧執行單元
143‧‧‧緊縮指令集
144‧‧‧解碼器
145‧‧‧暫存器檔案
146‧‧‧同步動態隨機存取記憶體(SDRAM)控制
147‧‧‧靜態隨機存取記憶體(SRAM)控制
148‧‧‧猝發快閃記憶體介面
149‧‧‧個人電腦記憶體卡國際協會(PCMCIA)/輕
巧快閃(CF)卡控制
150‧‧‧液晶顯示器(LCD)控制
151‧‧‧直接記憶體存取(DMA)控制器
152‧‧‧交替匯流排主介面
153‧‧‧I/O匯流排
154‧‧‧I/O橋接器
155‧‧‧通用不同步接收器/發射器(UART)
156‧‧‧通用序列匯流排(USB)
157‧‧‧藍芽無線UART
158‧‧‧I/O擴充介面
159‧‧‧處理核心
Claims (33)
- 一種處理器,具有第一處理核心,該第一處理核心包括:指定位址空間頁快取記憶體(EPC),用以將安全域控制結構(SDCS)資料儲存在第一安全儲存區中,該第一安全儲存區係分配給對應的安全指定位址空間之域組,該SDCS資料可由管理處理之第一安全指定位址空間存取,該安全指定位址空間之域組包含第二處理之第二安全指定位址空間;解碼級,用以將一或更多指令解碼以由該處理器執行;以及一或更多執行單元,其中,回應該一或更多指令中已解碼的第一指令,該第一指令係指明儲存在分配給該第二安全指定位址空間之第二安全儲存區中的該EPC中的第一頁,該一或更多執行單元會檢查對應於該第一頁的版本陣列(VA)頁是否被束縛至該SDCS,假使該VA頁是被束縛至該SDCS,則:使對應於該第一頁的該SDCS中的版本計數器增量,使用該SDCS中的版本計數器,執行來自該EPC的該第一頁之驗證加密,以及將加密的該第一頁的拷貝從該EPC寫回至與該處理器操作上耦合的記憶體。
- 如申請專利範圍第1項之處理器,其中,使用儲存在該SDCS中的一或更多鑰,執行來自該EPC之該第一頁 的該驗證加密。
- 如申請專利範圍第1項之處理器,其中,為回應指明該第一頁之該一或更多指令中已解碼的第二指令,該一或更多執行單元會檢查對應於該第一頁的該VA頁是否被束縛至該SDCS,假使該VA頁是被束縛至該SDCS,則該一或更多執行單元用以:使用來自該記憶體的該第一頁之該SDCS中的該版本計數器,執行驗證加密,以及假使該驗證解密的驗證通過時,將解密的第一頁之拷貝載至該EPC。
- 如申請專利範圍第1項之處理器,具有第二處理器核心,其中,為回應指明該第一頁之用於由該第二處理器核心執行之第二的一或更多指令中已解碼的第二指令,與該記憶體操作上耦合的該第二處理器核心的一或更多執行單元會檢查對應於該第一頁的該VA頁是否被束縛至由第三安全儲存區中的該第二處理器核心的EPC所儲存的第二SDCS,假使該VA頁是被束縛至該第二SDCS,則該第二處理器的該一或更多執行單元用以:使用來自該記憶體的該第一頁之該第二SDCS中的該版本計數器,執行驗證解密,以及假使該驗證解密的驗證通過時,將解密的該第一頁之拷貝載至該第二處理器核心的該EPC。
- 如申請專利範圍第4項之處理器,其中,使用儲存在該第二SDCS中的一或更多鑰,執行來自該記憶體之該 第一頁的該驗證解密。
- 如申請專利範圍第1項之處理器,其中,為回應指明該第一頁之該一或更多指令中已解碼的第二指令,該一或更多執行單元會將該VA頁中的版本計數器拷貝至該SDCS中的VASLOT欄。
- 一種處理器,包括:指定位址空間頁快取記憶體(EPC),用以將安全域控制結構(SDCS)資料儲存在第一安全儲存區中,該第一安全儲存區係分配給對應的安全指定位址空間之域組,該SDCS資料可由管理處理之第一安全指定位址空間存取,該安全指定位址空間之域組包含第二處理之第二安全指定位址空間;解碼級,用以將一或更多指令解碼以由該處理器執行;以及一或更多執行單元,其中,回應該一或更多指令中已解碼的第一指令,該第一指令係指明第一頁儲存在分配給該第二安全指定位址空間之該EPC的第二安全儲存區中,該一或更多執行單元會檢查對應於該第一頁的版本陣列(VA)頁是否被束縛至該SDCS,假使該VA頁是被束縛至該SDCS,則:使用來自與該處理器操作上耦合的記憶體之第一頁的該SDCS中的該版本計數器,執行驗證解密,以及假使該驗證解密的驗證通過時,將解密的該第一頁的拷貝載至該EPC。
- 如申請專利範圍第7項之處理器,其中,為回應指明該VA頁之該一或更多指令中已解碼的第二指令,該一或更多執行單元會將該SDCS的VASLOT欄中的版本計數器拷貝至用於該EPC中的該VA頁的欄中。
- 如申請專利範圍第8項之處理器,其中,執行該SDCS的該VASLOT欄中的該版本計數器拷貝至該VA頁,以回應EDLDVASLOT指令。
- 一種方法,包括:分配安全域控制結構結構(SDCS)至控制指定位址空間;配置該SDCS用於第一安全指定位址空間;將該第一安全指定位址空間的一或更多頁束縛至該SDCS;存取第一安全儲存區,以將驗證加密之該一或更多頁的拷貝從該第一安全儲存區寫至外部記憶體;分別更新用於該SDCS的該第一安全儲存區中的一或更多版本陣列頁中用於該一或更多頁的一或更多版本;存取該第一安全儲存區,以將驗證加密之該一或更多版本陣列頁的拷貝從該第一安全儲存區寫至外部記憶體;使該SDCS靜默及設定該SDCS中對應的屬性欄以標示該SDCS被靜默;將該SDCS密封在驗證加密的第一結構中;以及將該驗證加密的第一結構儲存至該外部記憶體。
- 如申請專利範圍第10項之方法,其中,執行分配 該SDCS給控制指定位址空間,以回應EDALLOCX指令。
- 如申請專利範圍第10項之方法,其中,執行配置該SDCS用於第一安全指定位址空間,以回應ENINIT指令。
- 如申請專利範圍第10項之方法,其中,執行束縛該第一安全指定位址空間的一或更多頁至該SDCS,以至少部份地回應使新近分配的頁與該SDCS相關連之EPA指令。
- 如申請專利範圍第13項之方法,其中,執行束縛該第一安全指定位址空間的一或更多頁至該SDCS,以至少部份地回應載入用於該SDCS的SDCS指標器至處理器暫存器中。
- 如申請專利範圍第10項之方法,其中,執行存取該第一安全儲存區以將驗證加密之該一或更多頁的拷貝從該第一安全儲存區寫至該外部記憶體,以至少部份地回應寫回指令。
- 如申請專利範圍第15項之方法,其中,執行分別更新用於該SDCS的該第一安全儲存區中的一或更多版本陣列頁中用於該一或更多頁的一或更多版本,以至少部份地回應EWBX寫回指令。
- 如申請專利範圍第10項之方法,又包括:將用於最後版本陣列頁的版本陣列槽保存於該SDCS中的版本陣列槽中。
- 如申請專利範圍第17項之方法,其中,執行將用於最後版本陣列頁的版本陣列槽保存於該SDCS中的版本陣列槽中,以部份地回應EDSTVASLOT指令。
- 如申請專利範圍第10項之方法,其中,執行設定該SDCS中該對應的屬性欄以標示該SDCS被靜默,以回應EDQ指令。
- 如申請專利範圍第10項之方法,其中,密封該SDCS於驗證加密的第一結構中包括:證明該SDCS被靜默;將該SDCS中所有的軟體可存取欄拷貝至持久的第一結構;加密及驗證該持久的第一結構以產生該驗證加密的第一結構。
- 如申請專利範圍第10項之方法,又包括:存取該外部記憶體以檢索該驗證加密的第一結構;從該驗證加密的第一結構,解密及驗證該密封的SDCS;分配用於遷移的SDCS之安全指定位址空間控制結構(SECS);從該密封的SDCS,配置該遷移的SDCS;將用於該遷移的SDCS之SDCS指標器載入處理器暫存器中;將來自該SDCS的版本陣列槽載入用於第一版本陣列頁的版本陣列槽中; 從該外部記憶體載入該一或更多版本陣列頁的拷貝;解密及驗證該一或更多版本陣列頁的該拷貝;對照該遷移的SDCS中的版本,檢查該一或更多版本陣列頁的版本;從該外部記憶體載入該第一安全指定位址空間的該一或更多頁的拷貝;以及,解密及驗證該第一安全指定位址空間的該一或更多頁的該拷貝。
- 如申請專利範圍第21項之方法,其中,執行分配用於該遷移的SDCS之該SECS,以回應ECREATE指令。
- 如申請專利範圍第21項之方法,其中,執行載入用於該遷移的SDCS之該SDCS指標器至該處理器暫存器中,以回應EDPTRLD指令。
- 如申請專利範圍第21項之方法,其中,執行載入來自該SDCS的該版本陣列槽至用於該第一版本陣列頁的版本陣列槽中,以回應EDLDVASLOT指令。
- 一種方法,包括:存取外部記憶體以檢索驗證加密的第一結構;從該驗證加密的第一結構,解密及驗證密封的安全域控制結構(SDCS);分配用於遷移的SDCS之安全指定位址空間控制結構(SECS);從該密封的SDCS,配置該遷移的SDCS; 將用於該遷移的SDCS之SDCS指標器載入處理器暫存器中;將來自該SDCS的版本陣列槽收復至用於一或更多版本陣列頁的第一版本陣列頁的版本陣列槽中;從該外部記憶體載入該一或更多版本陣列頁的拷貝;解密及驗證該一或更多版本陣列頁的該拷貝;對照該遷移的SDCS中的版本,檢查該一或更多版本陣列頁的版本;從該外部記憶體載入該第一安全指定位址空間的該一或更多頁的拷貝;以及解密及驗證該第一安全指定位址空間的該一或更多頁的該拷貝。
- 如申請專利範圍第25項之方法,其中,執行分配用於該遷移的SDCS之該SECS,以回應ECREATE指令。
- 如申請專利範圍第25項之方法,其中,執行載入來自該SDCS的版本陣列槽至用於該第一版本陣列頁的該版本陣列槽中,以回應該EDLDVASLOT指令。
- 一種處理系統,包括:外部記憶體,以及處理器,包括:指定位址空間頁快取記憶體(EPC),用以將安全域控制結構(SDCS)資料儲存在第一安全儲存區中,該第一安全儲存區係分配給對應的安全指定位址空間之域 組,該SDCS資料可由管理處理之第一安全指定位址空間存取,該安全指定位址空間之域組包含第二處理之第二安全指定位址空間;解碼級,用以將一或更多指令解碼以由該處理器執行;以及一或更多執行單元,其中,回應該一或更多指令中已解碼的第一指令,該第一指令係指明儲存在分配給該第二安全指定位址空間之第二安全儲存區中的該EPC中的第一頁,該一或更多執行單元會檢查對應於該第一頁的版本陣列(VA)頁是否被束縛至該SDCS,假使該VA頁是被束縛至該SDCS,則:使對應於該第一頁的該SDCS中的版本計數器增量,使用該SDCS中的版本計數器,執行來自該EPC的該第一頁之驗證加密,以及將加密的該第一頁的拷貝從該EPC寫回至該外部記憶體。
- 如申請專利範圍第28項之處理系統,其中,使用儲存在該SDCS中的一或更多鑰,執行來自該EPC之該第一頁的該驗證加密。
- 如申請專利範圍第28項之處理系統,其中,為進一步回應指明第二頁之用於由該第二處理器執行之第二的一或更多指令中已解碼的第二指令,該一或更多執行單元會檢查對應於該第二頁的該VA頁是否被束縛至由第三安 全儲存區中的該EPC所儲存的第二SDCS,假使該VA頁是被束縛至該第二SDCS,則該一或更多執行單元會:使用來自該外部記憶體的該第二頁之該第二SDCS中的該版本計數器,執行驗證解密,以及假使該驗證解密的驗證通過時,將解密的該第二頁之拷貝載至該EPC。
- 如申請專利範圍第30項之處理系統,其中,使用儲存在該第二SDCS中的一或更多鑰,執行來自該外部記憶體之該第二頁的該驗證解密。
- 一種處理系統,包括:外部記憶體,以及處理器,包括:指定位址空間頁快取記憶體(EPC),用以將安全域控制結構(SDCS)資料儲存在第一安全儲存區中,該第一安全儲存區係分配給對應的安全指定位址空間之域組,該SDCS資料可由管理處理之第一安全指定位址空間存取,該安全指定位址空間之域組包含第二處理之第二安全指定位址空間;解碼級,用以將一或更多指令解碼以由該處理器執行;以及一或更多執行單元,其中,為回應該一或更多指令中已解碼的第一指令,該第一指令係指明第一頁儲存在分配給該第二安全指定位址空間之該EPC的第二安全儲存區中,該一或更多執行單元會檢查對應於該第一頁的版 本陣列(VA)頁是否被束縛至該SDCS,假使該VA頁是被束縛至該SDCS,則:使用來自該外部記憶體之該第二頁的該第二SDCS中的該版本計數器,執行驗證解密,以及假使該驗證解密的驗證通過時,將解密的該第二頁的拷貝載至該EPC。
- 如申請專利範圍第32項之處理系統,其中,使用儲存在該SDCS中的一或更多鑰,執行來自該外部記憶體之該第一頁的該驗證解密。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/998,157 US10534724B2 (en) | 2015-12-24 | 2015-12-24 | Instructions and logic to suspend/resume migration of enclaves in a secure enclave page cache |
US14/998,157 | 2015-12-24 |
Publications (2)
Publication Number | Publication Date |
---|---|
TW201732584A true TW201732584A (zh) | 2017-09-16 |
TWI724067B TWI724067B (zh) | 2021-04-11 |
Family
ID=59087857
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW105138705A TWI724067B (zh) | 2015-12-24 | 2016-11-24 | 用以在安全指定位址空間頁面快取記憶體中暫停/回復指定位址空間的遷移之指令及邏輯 |
Country Status (5)
Country | Link |
---|---|
US (1) | US10534724B2 (zh) |
EP (1) | EP3394760A4 (zh) |
CN (1) | CN108351839B (zh) |
TW (1) | TWI724067B (zh) |
WO (1) | WO2017112908A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10558588B2 (en) | 2015-06-26 | 2020-02-11 | Intel Corporation | Processors, methods, systems, and instructions to support live migration of protected containers |
Families Citing this family (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9378560B2 (en) * | 2011-06-17 | 2016-06-28 | Advanced Micro Devices, Inc. | Real time on-chip texture decompression using shader processors |
US9870467B2 (en) * | 2015-03-27 | 2018-01-16 | Intel Corporation | Apparatus and method for implementing a forked system call in a system with a protected region |
US10664179B2 (en) | 2015-09-25 | 2020-05-26 | Intel Corporation | Processors, methods and systems to allow secure communications between protected container memory and input/output devices |
US10216254B1 (en) * | 2016-06-29 | 2019-02-26 | Altera Corporation | Methods and apparatus for selectively extracting and loading register states |
US10339063B2 (en) * | 2016-07-19 | 2019-07-02 | Advanced Micro Devices, Inc. | Scheduling independent and dependent operations for processing |
US10460113B2 (en) * | 2016-08-16 | 2019-10-29 | International Business Machines Corporation | Security fix of a container in a virtual machine environment |
US10409744B1 (en) * | 2016-08-30 | 2019-09-10 | Amazon Technologies, Inc. | Low-latency wake-up in a peripheral device |
JP7013707B2 (ja) * | 2017-08-02 | 2022-02-01 | 富士通株式会社 | 情報処理装置および情報処理方法 |
US10761996B2 (en) * | 2018-09-28 | 2020-09-01 | Intel Corporation | Apparatus and method for secure memory access using trust domains |
EP3667505B1 (en) * | 2018-12-14 | 2021-11-10 | Nxp B.V. | Memory system with an incremental hashing operation and method |
US11044080B2 (en) * | 2019-06-24 | 2021-06-22 | International Business Machines Corporation | Cryptographic key orchestration between trusted containers in a multi-node cluster |
US11327782B2 (en) * | 2019-07-19 | 2022-05-10 | Vmware, Inc. | Supporting migration of virtual machines containing enclaves |
CN111638912B (zh) * | 2019-09-19 | 2023-03-10 | 中国科学院信息工程研究所 | 一种轻量级的处理器芯片分支预测器内容隔离方法及电子装置 |
CN111638913B (zh) * | 2019-09-19 | 2023-05-12 | 中国科学院信息工程研究所 | 一种基于随机化索引的处理器芯片分支预测器安全增强方法及电子装置 |
US20220083347A1 (en) * | 2020-09-14 | 2022-03-17 | Intel Corporation | Adding cycle noise to enclaved execution environment |
CN112286635B (zh) * | 2020-10-29 | 2022-10-25 | 卓尔智联(武汉)研究院有限公司 | 一种热迁移的方法、装置及电子设备 |
Family Cites Families (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002353960A (ja) * | 2001-05-30 | 2002-12-06 | Fujitsu Ltd | コード実行装置およびコード配布方法 |
CN100504818C (zh) * | 2003-07-07 | 2009-06-24 | 巨视股份有限公司 | 调控对非易失性存储区访问的方法和判定访问的自动方法 |
GB2442023B (en) * | 2006-09-13 | 2011-03-02 | Advanced Risc Mach Ltd | Memory access security management |
US20090132804A1 (en) * | 2007-11-21 | 2009-05-21 | Prabir Paul | Secured live software migration |
US9087200B2 (en) * | 2009-12-22 | 2015-07-21 | Intel Corporation | Method and apparatus to provide secure application execution |
EP2416251B1 (en) * | 2010-08-06 | 2013-01-02 | Alcatel Lucent | A method of managing computer memory, corresponding computer program product, and data storage device therefor |
JP5700481B2 (ja) * | 2011-06-29 | 2015-04-15 | インテル・コーポレーション | 整合性チェック及びリプレーアタックからの保護を行って、メモリを暗号化するための方法及び装置 |
US9563425B2 (en) * | 2012-11-28 | 2017-02-07 | Intel Corporation | Instruction and logic to provide pushing buffer copy and store functionality |
US9189411B2 (en) * | 2012-12-28 | 2015-11-17 | Intel Corporation | Logging in secure enclaves |
US9323686B2 (en) * | 2012-12-28 | 2016-04-26 | Intel Corporation | Paging in secure enclaves |
US20140189246A1 (en) * | 2012-12-31 | 2014-07-03 | Bin Xing | Measuring applications loaded in secure enclaves at runtime |
US9430384B2 (en) * | 2013-03-31 | 2016-08-30 | Intel Corporation | Instructions and logic to provide advanced paging capabilities for secure enclave page caches |
US9501668B2 (en) * | 2013-09-25 | 2016-11-22 | Intel Corporation | Secure video ouput path |
GB2522906B (en) * | 2014-02-10 | 2021-07-14 | Advanced Risc Mach Ltd | Region identifying operation for identifying a region of a memory attribute unit corresponding to a target memory address |
US9407636B2 (en) * | 2014-05-19 | 2016-08-02 | Intel Corporation | Method and apparatus for securely saving and restoring the state of a computing platform |
US9667628B2 (en) * | 2014-11-06 | 2017-05-30 | Intel Corporation | System for establishing ownership of a secure workspace |
CN104699055A (zh) * | 2015-02-13 | 2015-06-10 | 西安热工研究院有限公司 | 一种现场总线控制器及方法 |
US9710622B2 (en) * | 2015-02-23 | 2017-07-18 | Intel Corporation | Instructions and logic to fork processes of secure enclaves and establish child enclaves in a secure enclave page cache |
US9606940B2 (en) * | 2015-03-27 | 2017-03-28 | Intel Corporation | Methods and apparatus to utilize a trusted loader in a trusted computing environment |
-
2015
- 2015-12-24 US US14/998,157 patent/US10534724B2/en active Active
-
2016
- 2016-11-24 TW TW105138705A patent/TWI724067B/zh not_active IP Right Cessation
- 2016-12-22 CN CN201680068757.1A patent/CN108351839B/zh active Active
- 2016-12-22 EP EP16880125.6A patent/EP3394760A4/en not_active Withdrawn
- 2016-12-22 WO PCT/US2016/068447 patent/WO2017112908A1/en active Application Filing
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10558588B2 (en) | 2015-06-26 | 2020-02-11 | Intel Corporation | Processors, methods, systems, and instructions to support live migration of protected containers |
US11055236B2 (en) | 2015-06-26 | 2021-07-06 | Intel Corporation | Processors, methods, systems, and instructions to support live migration of protected containers |
US11782849B2 (en) | 2015-06-26 | 2023-10-10 | Intel Corporation | Processors, methods, systems, and instructions to support live migration of protected containers |
Also Published As
Publication number | Publication date |
---|---|
US20170185533A1 (en) | 2017-06-29 |
US10534724B2 (en) | 2020-01-14 |
CN108351839A (zh) | 2018-07-31 |
WO2017112908A1 (en) | 2017-06-29 |
TWI724067B (zh) | 2021-04-11 |
EP3394760A4 (en) | 2019-07-24 |
CN108351839B (zh) | 2023-10-31 |
EP3394760A1 (en) | 2018-10-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI724067B (zh) | 用以在安全指定位址空間頁面快取記憶體中暫停/回復指定位址空間的遷移之指令及邏輯 | |
JP6702590B2 (ja) | セキュアエンクレーブのプロセスを分岐してセキュアエンクレーブページキャッシュに子エンクレーブを確立する命令及びロジック | |
JP6344614B2 (ja) | セキュアエンクレーブページキャッシュのための進歩したページング能力を提供するための命令および論理 | |
TWI616816B (zh) | 用以中斷與回復安全獨立領域中的分頁之指令及邏輯(二) | |
TWI578155B (zh) | 用於條件式記憶體錯誤輔助抑制的處理器、處理系統及方法 | |
TWI476695B (zh) | 提供向量水平比較功能之指令與邏輯 | |
JP6703707B2 (ja) | アトミックな範囲演算を提供する命令及びロジック | |
TW201725509A (zh) | 用於安全指令執行管線之指令及邏輯 | |
CN111355574A (zh) | 信任域中的安全加密密钥管理 | |
TW201729081A (zh) | 用於以向量為基礎的位元操控之指令及邏輯 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | Annulment or lapse of patent due to non-payment of fees |