TWI759827B

TWI759827B - 異構處理器透過開放式連接器進行具有遠距認證及資訊獨立的可信運算系統及方法

Info

Publication number: TWI759827B
Application number: TW109127820A
Authority: TW
Inventors: 家健邵; 黃敬群; 黃經堯
Original assignee: 邊信聯科技股份有限公司
Priority date: 2019-08-16
Filing date: 2020-08-14
Publication date: 2022-04-01
Also published as: TW202113648A; JP2022544912A; CN114600108A; US20220309182A1; JP7416480B2; DE112020003881T8; DE112020003881T5; WO2021030903A1

Abstract

一種系統以及方法，用於確保異構處理單元(例如：圖像處理單元(Graphic Processing Units；GPU)、神經網路處理單元(Neural Processing Units；NPU)以及視覺處理單元(Video Processing Units；VPU)等)與中央處理單元(Central Processing Unit；CPU)透過標準開放式連接器(例如：乙太、通用序列匯流排以及序列周邊介面)所執行的程式、解析模組以及處理資料具有真實性、機密性及完整性的保證。

Description

異構處理器透過開放式連接器進行具有遠距認證及資訊獨立的可信運算系統及方法

本揭示文件係關於一種用於在異構處理器透過開放式連接器執行具有遠距認證以及資訊獨立的可信計算。特別係關於一種安全且可信的計算架構及其方法。本揭示文件關聯於確保異構處理單元(例如：圖像處理單元(Graphic Processing Unit；GPU)、神經網路處理單元(Neural Processing Unit；NPU)以及視覺處理單元(Video Processing Unit；VPU)等等...)與中央處理單元(Central Processing Unit；CPU)透過標準開放式連接器(例如：乙太、通用序列匯流排(Universal Serial Bus；USB)以及序列周邊介面(Serial Peripheral Interface Bus；SPI)等等...)所執行的程式、解析模組以及處理資料具有真實性、機密性及完整性。

在一些研究中提出為了保護異構處理器而創造具有特定存取權的領域的想法。然而，這樣的提議通常需要專用晶片網路(Network On Chip；NoC)的硬體設計，例如，晶片網路防火牆。在本揭示文件中，藉由在中央處理單元與異構處理單元的叢集之間建立靜態連結，可以降低對於專用晶片網路的硬體設計需求。並且，在本揭示文件中更簡易的(且較限定的)設計不會被任何韌體的修改需求所限制，因此本揭示文件的設計更合適使用在嵌入式系統。在一些研究中，提出了在三個相異的執行環境執行關鍵的、可信的以及不可信的應用程式的想法。然而，在前述研究中，也是採用專用晶片網路的硬體設計(例如，單寫多讀的晶片網路)使處理器可以自由的與不同的執行環境聯繫。在本揭示文件中，藉由將多個處理器系統之中的特定處理器聯繫至各自的執行環境，簡化了資訊獨立的機制並藉此避免了專用硬體晶片的使用。

本揭示文件提供計算機架構以及計算機的運作用於確保由異構處理單元(Heterogeneous Processing Unit；XPU)所執行程式、深度學習(Deep Learning；DL)或機器學習(Machine Learning；ML)的真實性、機密性以及完整性。計算機架構包含異構處理單元、開放式連接器以及中央處理單元(central processing units；CPU)。異構處理單元的縮寫”XPU”中的”X”代表各種類型的特殊處理單元，異構處理單元包含但不限於圖像處理單元(Graphic Processing Unit；GPU)、神經網路處理單元(Neural Processing Unit；NPU)、張量處理單元(Tensor Processing Units；TPU)以及視覺處理單元(Video Processing Unit；VPU)。標準開放式連接器包含但不限於乙太、標準擴充匯流排(Peripheral Component Interconnect；PCI)、通用序列匯流排(Universal Serial Bus；USB)以及串列周邊介面(Serial Peripheral Interface；SPI)。前述的異構處理單元藉由前述的標準開放式連接器與中央處理單元連接以實現資訊獨立而不需使用硬體的記憶體管理單元(Memory Management Units；MMU)或匯流排仲裁單元(Bus Arbitration Unit；BAU)以及匯流排多路復用單元(Bus Multiplexing Unit；BMU)。

在本揭示的計算機架構以及計算機的操作方法是如同在具有資訊獨立保護的CPU中執行計算任務般的運行XPU，並且對於在執行狀態中的CPU及XPU提供遠距認證的支援。因此，在處理單元(例如：XPU、NPU及VPU)之中的程式、深度學習模組、機器學習模組以及資料具有真實性、機密性及完整性的保證，並且可以執行不同的計算任務。

本揭示文件的首先揭露一種計算計操作方法以在由系統硬體平台中的非保護區域所實現的虛擬機(Virtual Machine；VM)中建立可信開放執行環境 (Trusted Rich Execution Environment；TREE)。前述系統硬體平台中的非保護區域包含一或多個專屬CPU及連接至共享匯流排的共享記憶體的專用區域。隨著由可信執行環境(Trusted Execution Environment；TEE)提供的安全服務在系統硬體平台的保護區域建立，TREE提供在TREE中所處理的程式、模組及資料真實性、機密性及完整性的保護，以將在TREE中所處理的程式、模組及資料從其他類似方法建立的TREE之中及在不具備來自TEE安全支援下所運行的REE之中所處理的程式區隔開來。前述硬體平台的保護區域包含一個或多個專屬CPU、加密處理器及記憶體的保護區域。

本揭示文件亦揭露計算機操作方法以延伸由TREE提供的資訊獨立。為了將TREE涵蓋至由開放式連接器與CPU連接的XPU之中，在與CPU相關聯的加密處理器以及與XPU相關聯的加密處理器之間成功的建立安全通訊通道並且成功完成互相認證之後，TREE經建立在由開放式連接器與專屬CPU連接的XPU之中。

本揭示文件亦揭露一種計算機計算作方法。藉由與XPU關聯的加密處理器的使用，並且透過在TREE中的XPU及專屬CPU之間建立安全通訊，執行XPU的執行狀態中的遠距認證。

本揭示文件計算機系統需要設置兩個加密處理器，其中一個與專屬CPU相關聯，另一個與XPU相關聯。兩個加密處理器須要能夠執行以下安全功能：(1)在TEE及 TREE中執行軟體的安全啟動；(2)在專屬CPU及XPU之間的互相認證；(3)在專屬CPU及XPU之間的安全通道提供資料來源驗證、資料真實性及完整性的保護。

本揭示文件的計算機系統亦需要具備標準性能以執行處理器的作業系統功能，並且中斷在XPU與CPU之間透過開放式連接器的資訊交換，以將前述資訊交換引導至TREE中的專屬CPU之中。這項性能是操作系統的標準特性。

在本揭示文件中的計算機系統亦需要具備標準性能以支援在TREE中的專屬CPU與具備加密處理器的TEE中之專屬CPU之間的安全資訊交換。這種標準性能是國際標準組織(GlobalPlatform)對TEE標準規範的基礎特性。

需要注意的是前面通常的描述以及接續詳細的說明皆為示例，並且旨在提供本揭示文件進一步的說明。

為使本揭露之上述和其他目的、特徵、優點與實施例能更明顯易懂，所附符號之說明如下：

100:異構計算系統

110:主計算子系統

111A,111B:記憶體保護區段

111C:記憶體未保護區段

112A,112B:專屬中央處理單元

112C:非專屬中央處理單元

113:加密處理器

114A,114B,114C:處理資源組

115:共享匯流排

120:異構計算子系統

121:專屬記憶體

122:異構處理單元

123:加密處理器

124A:處理資源組

125:專屬匯流排

130:開放式連接器

200:軟體架構

210:可信執行環境

211:可信特定作業系統

212:可信執行環境通訊代理器

213:可信特定服務程式

220:可信開放執行環境

221:可信通用作業系統

222:虛擬機監視器

223:可信通用應用程式

230:可信開放執行環境的擴展範圍

300:流程圖

S310,S311,S312,S313,S314,S320,S321,S322,S323:步驟

為使本揭露之上述和其他目的、特徵、優點與實施例能更明顯易懂，所附圖式之說明如下：

第1圖為本揭露一實施例之異構計算系統的功能架構的示意圖，異構計算系統包含主計算子系統、異構計算子系統以及連接兩個子系統的開放式連接器。

第2圖為本揭露一實施例之異構計算系統的軟體架構的三個不同的執行環境的示意圖，軟體架構的三個不同的執行環境包含可信執行環境(Trusted Execution Environment；TEE)、可信開放執行環境(Trusted Rich Execution Environment；TREE)以及沿著硬體平台以及虛擬機監視器的可信開放執行環境的擴展範圍。

第3圖為本揭露一實施例之從系統啟動或重置且在中央處理單元及異構處理單元的安全通訊的建立且成功完成互相認證之後可信開放執行環境的範圍延伸至涵蓋異構處理單元以實現可信執行環境以及可信開放執行環境的啟動順序的流程圖。

下列係舉實施例配合所附圖示做詳細說明，但所提供之實施例並非用以限制本揭露所涵蓋的範圍，而結構運作之描述非用以限制其執行順序，任何由元件重新組合之結構，所產生具有均等功效的裝置，皆為本揭露所涵蓋的範圍。另外，圖示僅以說明為目的，並未依照原尺寸作圖。為使便於理解，下述說明中相同元件或相似元件將以相同之符號標示來說明。

接續將更詳細的敘述本揭示文件的實施例，實施例會與圖示配合說明。在圖示及說明中的相同參考標號用於代表相同或相似部分。隨著物聯網(Internet Of Things；IOT)的到來，大量的資料被各式的感測器蒐集且由在環境中嵌入的計算節點分析。在邊緣計算的新興範式中，異構計算系統，例如配設CPU、GPU、NPU以及VPU(統稱稱為XPU)的邊緣計算節點，時常用於對鄰近資料來源的多個使用者進行即時資料分析。為了支援多租戶(multi-tenancy)的需求，例如在保持資訊的隱私及獨立且遵守各個使用者的使用策略時允許多個使用者在共同平台中執行計算任務的性能，需要異構計算系統以在不同使用者的計算任務之中實施具有真實性、機密性及完整性的資訊獨立。然而，由於在嵌入式異構計算系統中的硬體虛擬化支援的匱乏，在邊緣計算節點之中無法充分實施系統層級的資訊獨立。

在本揭示文件中提供一種軟體系統架構以及程序方法透過輸入/輸出通道(Input/Output Channel；I/O Channel)且不使用共享記憶體來交換資訊，藉此對於在CPU及XPU之間交換的資訊實施信息真實性、機密性以及完整性的保護。本揭示文件包含一種方法，用於在主計算機中的硬體平台的未保護區域中建立作為虛擬機(Virtual Machine；VM)的可信開放執行環境(TREE)。上述主計算機具備可支援通用應用程式的機密計算及可信計算的CPU。這種方法更包含擴展TREE的保護範圍以涵蓋配置有XPU的異構計算機，其中配置在異構計算機中的XPU透過開放式連接器連接至主計算機。並且，這種方法更包含對主計算機中CPU的狀態及對異構計算機中XPU的狀態進行遠距認證。

接續實施例係關於系統架構。

請參考第1圖。第1圖為本揭露一實施例之異構計算系統100的功能架構的示意圖，異構計算系統100包含主計算子系統110(例如：第一裝置)、異構計算子系統120(例如：第二裝置)以及連接兩個子系統的開放式連接器130。異構計算子系統120透過開放式連接器130靜態連接至主計算子系統110。開放式連接器130經定義為在兩個裝置之間支援雙向資訊交換的標準協議所實施的通訊通道。開放式連接器130包含但不限於可以同時被多個子系統進行資訊交換且不具有固有資訊保護的標準通訊通道，例如，乙太(Ethernet)、通用序列匯流排(Universal Serial Bus；USB)及串列周邊介面(Serial Peripheral Interface；SPI)。

如第1圖所示，主計算子系統110包含第一專屬處理器(如第1圖所示的專屬中央處理單元112A)、第二專屬處理器(如第1圖所示的專屬中央處理單元112B)、第一非專屬處理器(如第1圖所示的非專屬中央處理單元112C)、共享匯流排115、第一加密處理器(如第1圖所示的加密處理器113)、第一記憶體保護區段(如第1圖所示的共享的記憶體保護區段111A)、第二記憶體保護區段(如第1圖所示的共享的記憶體保護區段111B)、第一記憶體為保護區段(如第1圖所示的共享的記憶體未保護區段111C)。共享匯流排115連接至開放式連接器130。專屬中央處理單元112A、加密處理器113、記憶體保護區段111A及111B以及記憶體未保護區段111C連接至共享匯流排115。

記憶體保護區段111A及111B是由加密處理器113執行記憶體加密而保護，或者是藉由被集成至共享記憶體的記憶體管理硬體所實施的存取控制保護。

關於主計算子系統110，加密處理器113用以進行接續說明的兩組功能。第一，加密處理器113作為硬體信任根(hardware root-of-trust)，可以執行系統軟體的安全啟動並且將中央處理單元以及共享記憶體的狀態與遠程驗證者進行遠程認證。加密處理器113作為密碼處理器可以提供儲存在共享記憶體的保護區域的資料加密及完整的保護。

關於主計算子系統110以及異構計算子系統120，加密處理器113用以進行主計算子系統110以及異構計算子系統120之間的相互認證。加密處理器113用以提供透過開放式連接器130傳輸的程式、模組及資料加密的、完整的以及真實性的保護。

主計算子系統110以及異構計算子系統120會透過開放式連接器130傳輸程式、模組以及資料。

異構計算子系統120包含第三專屬處理器(如第1圖所示的異構處理單元122)、專屬匯流排125、第二加密處理器(如第1圖所示的加密處理器123)以及由異構處理單元122所使用的專屬記憶體121。異構處理單元122、加密處理器123以及專屬記憶體121內部連接至專屬會流排125。

在處理資源組124A之中的加密處理器123用以進行異構計算子系統120以及主計算子系統110之間的相互認證，並用以提供透過開放式連接器130傳輸的程式、模組及資料加密、完整及真實性的保護。

進一步而言，在系統100中的主計算子系統110之中的元件可以依據執行環境被劃分為第一處理資源組(如第1圖所示的處理資源組114A)、第二處理資源組(如第1圖所示的處理資源組114B)以及第三處理資源源組(如第1圖所示的處理資源組114C)。在系統100中的異構計算子系統120之中的元件可以被劃分為第四處理資源組(如第1圖所示的處理資元組124A)。

處理資源組114A包含專屬中央處理單元112A、記憶體的保護區段111A及加密處理器113。專屬中央處理單元112A、記憶體的保護區段111A及加密處理器113是在主計算子系統110的保護區域。處理資源組114A的保護應實施在硬體上，藉此使處理資源組114A對於整個異構處理系統100可以作為硬體信任根而實施。

處理資源組114B包含專屬中央處理單元112B以及記憶體保護區段111B。專屬中央處理單元112B以及記憶體的保護區段111B是在主計算子系統110的未保護區域之中。處理資源組114B的保護區段應實施在由處理資源組114A及專屬中央單元所執行的軟體上。

處理資源組114C包含非專屬中央處理單元112C以及記憶體未保護區段111C。非專屬中央處理單元112C以及記憶體未保護區段111C也是在主計算機子系統110的未保護區域之中。處理資源組114C不實施資源的保護。

處理資源組124A包含異構處理單元122、專屬匯流排125、加密處理器123以及專屬記憶體121。異構處理單元122、專屬匯流排125、加密處理器123以及專屬記憶體121是在異構計算子系統120的專屬區域之中。處理資源組124A是由異構計算子系統120的物理隔離配合透過開放式連接器130提供加密、完整、真實性的保護的交流。

接續實施例將對可信執行環境以及可信開放執行環境之間不同的架構及功能進行說明。

請參閱第2圖。第2圖為本揭露一實施例之異構計算系統100的軟體架構200的三個不同的執行環境的示意圖。軟體架構200的三個不同的執行環境包含可信執行環境(Trusted Execution Environment；TEE)210、可信開放執行環境(Trusted Rich Execution Environment；TREE)220以及可信開放執行環境的擴展範圍230。可信開放執行環境的擴展範圍230沿著硬體平台以及虛擬機監視器(Hypervisor)222。需要注意的是，非保護的開放執行環境(Rich Execution Environment；REE)非本揭露文件之部分發明，因此未繪示於圖示中。然而，在一些實施例中，利用本揭示文件之系統及方法的執行環境也可以包含開放執行環境，因此本揭示文件不以此為限。由處理資源組114C所實現的開放執行環境所運行的程式及處理的資料不被加密、完整或真實性的服務保護。

如第2圖所示，在主計算子系統110的硬體平台的保護區域之中的處理資源組114A用以實現可信執行環境210。處理資源組114B在硬體平台的未保護區域用以實現可信開放執行環境220。處理資源組114C在硬體平台的未保護區域用以實現開放執行環境(未繪示)。通用作業系統在由處理資源組114C所實現的開放執行環境中執行。

可信執行環境210包含可信特定作業系統211、可信執行環境通訊代理器212以及一或多個可信特定服務程式213。可信特定作業系統211是在可信執行環境210中執行。可信特定服務程式213是在可信執行環境210中的可信特定作業系統的支援下運行。

可信執行環境210是用於執行特定安全功能的軟體執行環境。可信執行環境210是實現在裝置的硬體平台的保護區域之中，且運行可信特定作業系統。

可信開放執行環境220包含虛擬機監視器222、可信通用作業系統221以及一或多個可信通用應用程式223。其中可信開放執行環境220是由處理資源組114B實現為虛擬機。可信通用作業系統是在可信開放執行環境 220中執行。可信通用應用程式223是在可信開放執行環境220中的可信通用作業系統221的支援下運行。

可信開放執行環境適用於執行可信通用應用程式的軟體執行環境。可信開放執行環境220是由裝置的硬體平台中的未保護區域實現為虛擬機，並且可信開放執行環境220運行可信通用作業系統221。

可信通用應用程式223是由可信機構驗證並確認其數位簽章，因此可信通用應用程式223是具有真實性、完整性的軟體程式。當可信通用應用程式223在可信開放執行環境220中執行，因此可信通用應用程式223的輸出不會被惡意修改是可以被信任的。

可信通用作業系統221是用於支援可信通用應用程式223的執行而建構的作業系統。可信通用作業系統221的目標碼的真實性及完整性是由可信機構驗證且由目標碼的數位簽章認證。可信通用作業系統221是在第二啟動程序中被下載至可信開放執行環境220，並且可信通用作業系統221是在可信開放執行環境220作為虛擬機實現時而啟動，並且可信通用作業系統221在可信執行環境210中運行安全功能。

可信特定服務程式213是由可信機構驗證且尤其目標碼的數位簽章認證，因此可信特定服務程式213是具有真實性及完整性的程式，且可信特定服務程式213執行加密或安全功能。當可信特定服務程式是在可信執行環境 210中運行，可信特定服務程式213可以被信任為不受惡意修改。

接續實施例將對可信執行環境210以及可信開放執行環境220進行說明。

請參閱第3圖。第3圖為本揭露一實施例之在主計算子系統110及異構計算子系統120的互相認證成功完成並且在專屬中央處理單元112A及112B以及異構處理單元122之間的安全通訊建立之後，可信執行環境210以及可信開放執行環境220自系統啟動或重置，並且可信開放執行環境220的範圍延伸至涵蓋異構計算子系統120的啟動順序的流程圖300。

接續步驟用於建立可信執行環境210。在主計算子系統110啟動或系統重置之後，藉由加密處理器113啟動安全啟動時，可信執行環境運行由在主計算子系統110中的硬體平台的保護區域中的處理資源組114A實現可信特定作業系統211。

安全啟動是為了核對系統韌體及軟體的真實性及完整性的機制，並且安全啟動是由可信機構所發出的目標碼的哈希值的數位簽章而驗證，而不是藉由目標碼的提供者或客戶所發出的目標碼的哈希值的數位簽章而驗證。

處理資源組114A包含專在主計算子系統110之中的屬處理單元112A、記憶體的保護區段111A以及加密處理器113。加密處理器113用以執行在可信執行環境210之中的可信特定作業系統211的第一安全啟動，並且用以提供儲存在記憶體的保護區段111A的資料具有加密及完整性的保護。

在步驟S310之中，執行唯讀記憶體啟動程序：在這個步驟中進行系統檢查並且執行啟動程序(bootstrapping process)。

在步驟S311中，執行第一安全啟動的第一階段：在這個步驟中安裝可信的韌體至處理資源組114A。

在步驟S312中，執行第一安全啟動的第二階段：在這個步驟中對可信特定作業系統211進行驗證並安裝可信特定作業系統211至處理資源組114A。可信特定作業系統211是用於依據標準作業程序支援加密技術及安全性功能而建構的作業系統。可信特定作業系統211的目標碼的真實性以及完整性是由可信機構驗證並由目標碼的數位簽章證明。在執行第一安全啟動程序時，可信特定作業系統211經加載至處理資源組114A。在主計算子系統的啟動及重置時，第一安全啟動程序驗證可信特定作業系統211的目標碼的數位簽章。可信執行環境210是在第一安全啟動的第二階段成功完成之後而建立。

接續步驟用於建立可信開放執行環境220。可信開放執行環境220運行可信通用作業系統221，可信開放執行環境220是由主計算機子系統110中的硬體平台中的未保護區域的處理資源組114B實現為虛擬機，其中處理資源組114B包含第二專屬處理器112B以及記憶體保護區段111B。

在步驟S313中，執行第二安全啟動的第一階段：在這個步驟中安裝虛擬機監視器。

在步驟S314中，執行第二安全啟動的第二階段：在這個步驟中執行在處理資源組114B中的可信通用作業系統221的安裝及驗證。可信通用作業系統221是在可信執行環境210的第一安全啟動的成功完成之後的第二安全啟動的第二階段中安裝，其中可信通用作業系統221的認證是透過驗證可信機構所產生的數位簽章而認證，因而可信通用作業系統221被在可信執行環境210中的可信特定作業系統211信任。可信開放執行環境是在第二安全啟動的第二階段成功完成之後而建立。

如此，由可信執行環境210使用的處理資源組114A之中的記憶體的保護區域111A所儲存的程式、模組及資料受到機密性及完整性的服務。並且，由可信開放執行環境使用的處理資源組114B之中的共享記憶體的保護區域114B所儲存的程式及資料也受到機密性及完整性的服務。

並且，在可信執行環境210及可信開放執行環境220中透過在主計算子系統110中的可信執行環境通訊代理器212傳輸的程式、模組及資料受到機密性、完整性及真實性的服務。

接續實施例說明可信開放執行環境220透過專屬中央處理單元112B以及異構處理單元122之間建立的安全資訊交換所擴展的範圍。

在步驟S320中，在主計算子系統110中的處理資源組114A的加密處理器113以及異構計算子系統120中的處理資源組124A的加密處理器123之間進行互相認證程序。如此，在主計算子系統110以及異構計算子系統120之間的可信關係建立。

在步驟S321中，在主計算子系統110中的專屬中央處理單元112A以及在異構計算子系統120中的異構處理單元122之間建立安全通訊。在主計算子系統110以及異構計算子系統120之間的互相認證成功完成之後，安全通訊是受到由在主計算子系統110中的加密處理器113以及在異構計算子系統120中的加密處理器123所提供機密性、完整性以及真實性的服務所保護。

在步驟S322中，在可信執行環境210以及可信開放執行環境220之間建立安全通訊。安全通訊是在處理資源組114A中的專屬中央處理單元112A以及處理資源組114B中的專屬中央處理器112B之間進行。其中，處理資源組114A已經建立了可信執行環境210，且處理資源組114B已經建立了可信開放執行環境220。安全通訊是受到機密性、完整性以及真實性的服務。

在步驟S323中，透過可信執行環境210在可信開放執行環境220以異構計算子系統120之間建立安全通訊。在處理資源組114B中的專屬中央處理單元112B以及異構計算子系統120中的異構處理單元122之間的安全通訊是透過在主計算子系統110中的處理資源組114A的加密處理器113以及在異構計算子系統120中的加密處理器123之間的安全通訊進行。其中，處理資源組114B已經建立了可信開放執行環境220，且處理資源組114A已經建立了可信執行環境210。安全通訊受到機密性、完整性以及真實性的服務所保護。

在異構計算子系統120以及可信開放執行環境220之間透過可信執行環境210成功建立安全通訊之後，異構計算子系統120涵蓋可信開放執行環境220的擴展範圍。

在異構計算子系統120以及可信開放執行環境220之間透過可信執行環境210成功建立安全通訊之後，在異構計算子系統120的異構處理單元122中的程式執行狀態可以藉由加密處理器123所產生的專屬記憶體121內容的已簽名的哈希值而驗證。接著，從異構計算子系統120將已簽名的哈希值傳輸至在主計算子系統中的處理資源組114B。其中，處理資源組114B已經建立了可信開放執行環境220。

響應於可信開放執行環境220是閒置或停用時，實現可信開放執行環境220的虛擬機被終止，並且處理資源組114B被釋放而專屬處理器112B變為非專屬處理器，並且記憶體保護區段111B變為記憶體未保護區段中的一部份。

雖然本揭露已以實施方式揭露如上，然其並非用以限定本揭露，任何本領域通具通常知識者，在不脫離本揭露之精神和範圍內，當可作各種之更動與潤飾，因此本揭露之保護範圍當視後附之申請專利範圍所界定者為準。