供內(nèi)核模式應(yīng)用使用的安全區(qū)域的制作方法
【技術(shù)領(lǐng)域】
[0001] 概括地說(shuō)�����,本文所描述的實(shí)施例設(shè)及安全區(qū)域(secure enclave)W及從內(nèi)核模式 應(yīng)用訪問(wèn)安全區(qū)域�。
【背景技術(shù)】
[0002] 安全區(qū)域是存儲(chǔ)器孔徑(memory aperture),應(yīng)用可W通過(guò)該存儲(chǔ)器孔徑來(lái)處理 機(jī)密信息��。例如�,一些安全區(qū)域是計(jì)算機(jī)系統(tǒng)中的特殊范圍的物理存儲(chǔ)器內(nèi)的存儲(chǔ)器位置。 在每次上電時(shí)���,在由計(jì)算機(jī)系統(tǒng)的處理器創(chuàng)建的臨時(shí)密鑰下對(duì)該存儲(chǔ)器進(jìn)行加密����。因此���,除 了處理器自身W外����,計(jì)算機(jī)系統(tǒng)中的任何硬件設(shè)備無(wú)法訪問(wèn)該存儲(chǔ)器�。
[0003] 安全區(qū)域可W用于在計(jì)算機(jī)系統(tǒng)的任何其它組件和/或過(guò)程無(wú)法訪問(wèn)的存儲(chǔ)器位 置中處理機(jī)密信息。例如���,可W在安全區(qū)域內(nèi)對(duì)機(jī)密信息進(jìn)行加密���。僅可W在用于對(duì)機(jī)密信 息進(jìn)行加密的安全區(qū)域內(nèi)對(duì)經(jīng)加密的信息進(jìn)行解密�。因此�,可W在不暴露用于對(duì)數(shù)據(jù)進(jìn)行 加密和/或解密的密鑰的情況下對(duì)該數(shù)據(jù)進(jìn)行加密和解密。因此��,通過(guò)使用各種函數(shù)來(lái)調(diào)用 安全區(qū)域和向安全區(qū)域傳遞任何必要的數(shù)據(jù)�,應(yīng)用可W與安全區(qū)域交互。由于安全區(qū)域的 性質(zhì)W及其使用特殊加密的存儲(chǔ)器位置�,與安全區(qū)域的交互被限制于在用戶(hù)模式下操作的 應(yīng)用。在內(nèi)核模式下操作的應(yīng)用被阻止與安全區(qū)域交互�����。
[0004] 如將意識(shí)到的����,負(fù)責(zé)對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行初始化的應(yīng)用在內(nèi)核模式下操作�。例如,基 本輸入/輸出系統(tǒng)("BIOS")和統(tǒng)一可擴(kuò)展固件接口("肥Fr)是對(duì)啟動(dòng)計(jì)算機(jī)系統(tǒng)所必須的 各種平臺(tái)設(shè)備(特別是操作系統(tǒng)所位于的存儲(chǔ)設(shè)備)進(jìn)行初始化的應(yīng)用(或應(yīng)用集合)�����。運(yùn)些 應(yīng)用在內(nèi)核模式下操作并且可W被稱(chēng)為執(zhí)行用于計(jì)算機(jī)系統(tǒng)的"預(yù)啟動(dòng)"操作���。在預(yù)啟動(dòng)期 間��,存在期望在安全區(qū)域中處理機(jī)密信息的情形���。例如�,防盜技術(shù)和全盤(pán)加密技術(shù)使用密鑰 (例如����,W對(duì)計(jì)算設(shè)備進(jìn)行解鎖、對(duì)盤(pán)進(jìn)行解密等)��。密鑰通常使用由用戶(hù)選擇的密碼來(lái)加 密���。在預(yù)啟動(dòng)期間�����,用戶(hù)提供密碼并且密鑰在存儲(chǔ)器中被解密成明文�。然而����,因?yàn)樵摯鎯?chǔ)器 沒(méi)有受保護(hù),密鑰可能能夠被另一個(gè)應(yīng)用訪問(wèn)����。
[0005] 因此��,存在由內(nèi)核模式應(yīng)用訪問(wèn)安全區(qū)域的需求����,尤其是在預(yù)啟動(dòng)期間��,提供由在 內(nèi)核模式下操作的應(yīng)用對(duì)機(jī)密信息的安全處理��。
【附圖說(shuō)明】
[0006] 圖1示出了用于實(shí)現(xiàn)由內(nèi)核模式應(yīng)用進(jìn)行的至安全區(qū)域的訪問(wèn)的系統(tǒng)的實(shí)施例���。
[0007] 圖2示出了用于實(shí)現(xiàn)由內(nèi)核模式應(yīng)用進(jìn)行的至安全區(qū)域的訪問(wèn)的系統(tǒng)的實(shí)施例的 一部分�。
[000引圖3示出了根據(jù)實(shí)施例的邏輯流�����。
[0009] 圖4示出了存儲(chǔ)介質(zhì)的實(shí)施例���。
[0010] 圖5示出了根據(jù)實(shí)施例的邏輯流。
[0011] 圖6示出了存儲(chǔ)介質(zhì)的實(shí)施例��。
[0012]圖7示出了根據(jù)實(shí)施例的處理架構(gòu)��。
【具體實(shí)施方式】
[0013] -般性參考本文所使用的記號(hào)和命名,可W從在計(jì)算機(jī)或計(jì)算機(jī)網(wǎng)絡(luò)上執(zhí)行的程 序過(guò)程方面呈現(xiàn)隨后的【具體實(shí)施方式】的各部分�����。運(yùn)些過(guò)程性描述和表示由本領(lǐng)域技術(shù)人員 用于將其工作的實(shí)質(zhì)最有效地傳達(dá)給本領(lǐng)域其它技術(shù)人員�����。在此����,一般而言,過(guò)程被認(rèn)為是 導(dǎo)致期望的結(jié)果的自相容操作序列���。運(yùn)些操作是需要物理量的物理操縱的那些操作����。通常��, 雖然不是必要地��,但是運(yùn)些量采取能夠被存儲(chǔ)��、傳輸�����、組合、比較或W其它方式被操縱的電 信號(hào)�����、磁性信號(hào)和光學(xué)信號(hào)的形式�。主要由于常見(jiàn)使用的原因,將運(yùn)些信號(hào)稱(chēng)為位�����、值�����、元 素�、符號(hào)、字符�、項(xiàng)�����、數(shù)字等有時(shí)證明是方便的���。然而����,應(yīng)當(dāng)注意的是,所有運(yùn)些和類(lèi)似的術(shù)語(yǔ) 將與適當(dāng)?shù)奈锢砹肯嚓P(guān)聯(lián)�����,并且僅僅是應(yīng)用于那些量的方便的標(biāo)簽�。
[0014] 此外,經(jīng)常在通常與由人類(lèi)操作員執(zhí)行的智力操作相關(guān)聯(lián)的術(shù)語(yǔ)(例如添加或比 較)中提及運(yùn)些操縱�。然而,在形成一個(gè)或多個(gè)實(shí)施例的部分的本文所描述的任何操作中��, 沒(méi)有運(yùn)樣的人類(lèi)操作員能力是必要的��,或在大多數(shù)情況下是期望的�。相反,運(yùn)些操作是機(jī)器 操作����。用于執(zhí)行各種實(shí)施例的操作的有用機(jī)器包括如由存儲(chǔ)在內(nèi)的根據(jù)本文教導(dǎo)所編寫(xiě)的 計(jì)算機(jī)程序選擇性地激活或配置的通用數(shù)字計(jì)算機(jī),和/或包括為了所需目的而特別地構(gòu) 造的裝置�。各種實(shí)施例還設(shè)及用于執(zhí)行運(yùn)些操作的裝置或系統(tǒng)。運(yùn)些裝置可W為了所需目 的而被特別地構(gòu)造,或者可W包括通用計(jì)算機(jī)�����。用于各種各樣的運(yùn)些機(jī)器的所需結(jié)構(gòu)將根 據(jù)給定的描述而變得顯而易見(jiàn)�。
[0015] 現(xiàn)在參考附圖,其中相似的附圖標(biāo)記貫穿全文用于指代相似的元件���。在W下的描 述中�����,為了解釋的目的���,闡述許多具體細(xì)節(jié),W便提供對(duì)其的透徹理解�����。然而�����,可顯而易見(jiàn)的 是�,可W在沒(méi)有運(yùn)些具體細(xì)節(jié)的情況下實(shí)施新穎的實(shí)施例�����。在其它實(shí)例中,W框圖形式示出 公知的結(jié)構(gòu)和設(shè)備���,W便于其描述�����。意圖是覆蓋權(quán)利要求的范圍內(nèi)的所有修改���、等同物和替 代方案。
[0016] 圖1是用于實(shí)現(xiàn)由內(nèi)核模式應(yīng)用進(jìn)行的至安全區(qū)域的訪問(wèn)的系統(tǒng)1000的框圖�。系 統(tǒng)1000包括計(jì)算設(shè)備100。計(jì)算設(shè)備100可W是多種類(lèi)型的計(jì)算設(shè)備中的任意一種��,包括但 不限于:臺(tái)式計(jì)算機(jī)系統(tǒng)��、數(shù)據(jù)錄入終端��、膝上型計(jì)算機(jī)��、上網(wǎng)本計(jì)算機(jī)�����、平板計(jì)算機(jī)、手持 個(gè)人數(shù)字助理����、智能電話(huà)、數(shù)碼相機(jī)�、并入到衣服或可穿戴配件(例如,眼鏡�����、手表等)中的穿 戴在身上的計(jì)算設(shè)備��、集成到運(yùn)載工具(例如�����,汽車(chē)�����、自行車(chē)�����、輪椅等)中的計(jì)算設(shè)備、服務(wù) 器����、服務(wù)器集群�、服務(wù)器場(chǎng)、站����、無(wú)線站、用戶(hù)設(shè)備等����。實(shí)施例不限于該上下文。
[0017] 總體而言�,系統(tǒng)1000被配置為允許內(nèi)核模式應(yīng)用與安全區(qū)域交互。換言之�����,系統(tǒng) 1000被配置為允許由在內(nèi)核模式下操作的應(yīng)用加載和運(yùn)行安全區(qū)域�����。應(yīng)當(dāng)注意的是����,雖然 描述了用于加載和運(yùn)行供內(nèi)核模式應(yīng)用使用的安全區(qū)域的單個(gè)計(jì)算設(shè)備(例如�,計(jì)算設(shè)備 100)��,但是該計(jì)算設(shè)備的特征可W并入到多個(gè)計(jì)算設(shè)備中���。
[001引如將意識(shí)到的���,許多現(xiàn)代處理組件(例如,X86等)提供被稱(chēng)為"內(nèi)核模式"和"用戶(hù) 模式"的不同操作模式���。處理組件在運(yùn)兩種模式之間進(jìn)行切換�����,取決于處理組件在針對(duì)其執(zhí) 行指令的特定應(yīng)用具有什么權(quán)限���。通常,用于初始化并向計(jì)算設(shè)備的組件(例如�,驅(qū)動(dòng)器、操 作系統(tǒng)組件����、預(yù)啟動(dòng)應(yīng)用等)提供接口功能的應(yīng)用具有內(nèi)核模式權(quán)限����,并且因此在內(nèi)核模式 下操作�。換言之,當(dāng)處理組件執(zhí)行來(lái)自運(yùn)些類(lèi)型的應(yīng)用的指令時(shí)��,處理組件在內(nèi)核模式下操 作��。相反���,大多數(shù)其它應(yīng)用具有用戶(hù)模式權(quán)限。因此�����,當(dāng)處理組件執(zhí)行來(lái)自運(yùn)些類(lèi)型的應(yīng)用 的指令時(shí)����,處理組件在用戶(hù)模式下操作。
[0019] 因此����,本公開(kāi)內(nèi)容的各種實(shí)施例提供了可W加載和運(yùn)行安全區(qū)域的內(nèi)核模式應(yīng) 用。例如�����,執(zhí)行"預(yù)啟琳'操作的應(yīng)用(例如,BIOS�����、肥FI等)(其通常在內(nèi)核模式下操作何W 加載和運(yùn)行安全區(qū)域��。在特定的示例中���,防盜技術(shù)和/或全盤(pán)加密技術(shù)(其在計(jì)算機(jī)系統(tǒng)初 始化時(shí)執(zhí)行安全敏感處理)可W使用安全區(qū)域W便處理安全信息(例如�,驗(yàn)證密碼�、解密必 要的啟動(dòng)驅(qū)動(dòng)器等)。
[0020] 在各種實(shí)施例中�,計(jì)算設(shè)備100包括處理器組件110、控制裝置120�、存儲(chǔ)組件130和 接口 140中的一個(gè)或多個(gè),其中接口 140用于將計(jì)算設(shè)備100禪合到網(wǎng)絡(luò)���。處理器組件可W包 括一個(gè)或多個(gè)模型專(zhuān)用的寄存器112(MSR)和安全區(qū)域頁(yè)緩存IM(EPC)�。在一些示例中�,EPC 114可W存儲(chǔ)在處理器110上的存儲(chǔ)器緩存位置。在其他示例中,EPC 114可W存儲(chǔ)在另一個(gè) 存儲(chǔ)器位置(例如���,本地存儲(chǔ)器等)��。在特別特定的示例中����,EPC 114可W存儲(chǔ)在平臺(tái)本地存 儲(chǔ)器(例如���,DRAM等)的受加密地保護(hù)(例如�����,M邸等)的區(qū)域中。存儲(chǔ)組件130存儲(chǔ)控制例程 131��、機(jī)密信息132����、內(nèi)核模式應(yīng)用200、安全區(qū)域300�����、頁(yè)表142(PT)�����、全局描述符表144(GDT) 和中斷描述符表146( IDT)中的一個(gè)或多個(gè)。
[0021] 在計(jì)算設(shè)備100中��,控制例程131包括在W其作用作為主處理器組件的處理器組件 110上操作的指令序列�,W實(shí)現(xiàn)用于執(zhí)行各種功能的邏輯單元。在執(zhí)行控制例程131時(shí)�����,處理 器組件110提供針對(duì)內(nèi)核模式應(yīng)用200的用戶(hù)模式支持�����,所W內(nèi)核模式應(yīng)用200可W與安全 區(qū)域300交互�。
[0022] 在執(zhí)行控制例程131時(shí),處理器組件110可W修改GDT 142和IDT 144W提供針對(duì)內(nèi) 核模式應(yīng)用200的用戶(hù)模式權(quán)限����。另外,在執(zhí)行控制例程131時(shí)�,處理器組件110可W設(shè)定一 個(gè)或多個(gè)MSR 112W啟用在用戶(hù)模式和內(nèi)核模式操作之間的切換。例如����,可W設(shè)定一個(gè)或多 個(gè)MSR 112 W啟用SYSCAliVSYSRE巧旨令�����,如將意識(shí)到的�,SYSCAliVSYSRE巧旨令在用戶(hù)模式與 內(nèi)核模式之間切換處理組件110����。
[0023] 此外,在執(zhí)行控制例程131時(shí)��,處理器組件110可W將很多個(gè)存儲(chǔ)器頁(yè)添加至EPC 114���。另外����,在執(zhí)行控制例程131時(shí)�,處理器組件110可W創(chuàng)建安全區(qū)域300����。應(yīng)當(dāng)意識(shí)到,多種 用于創(chuàng)建和管理安全區(qū)域的不同技術(shù)是可用的���。具體的實(shí)施方案可W取決于處理組件的類(lèi) 型和/或操作系統(tǒng)的類(lèi)型���。例如����,Inte隨> 安全性防護(hù)擴(kuò)展⑥技術(shù)可W用于創(chuàng)建安全區(qū)域300 并且在安全區(qū)域300中處理機(jī)密信息132�。然而,運(yùn)只是一個(gè)示例�����,實(shí)施例不限于運(yùn)方面�����。
[0024] 在執(zhí)行控制例程131時(shí)�����,處理器組件110可W另外切換到用戶(hù)模式操作并且代表內(nèi) 核模式應(yīng)用200在安全區(qū)域300中處理機(jī)密信息132���。在一些示例中���,如所陳述的���,內(nèi)核模式 應(yīng)用200是預(yù)啟動(dòng)應(yīng)用。換言之�����,內(nèi)核模式應(yīng)用可W使得在加載操作系統(tǒng)之前由處理組件執(zhí) 行指令�。例如,內(nèi)核模式應(yīng)用200可W是防盜應(yīng)用�����、全盤(pán)加密應(yīng)用等等�����。在一些示例中�����,在執(zhí) 行控制例程131時(shí)�,一旦加載操作系統(tǒng),處理器組件110就可W將安全區(qū)域300傳遞給該操作 系統(tǒng)���。
[00巧]在各種示例中�,PT 142���、GDT 144����、IDT 146和EPC 114可W是定義關(guān)于系統(tǒng)1000尤 其是計(jì)算設(shè)備100的特性的各種數(shù)據(jù)結(jié)構(gòu)��。應(yīng)當(dāng)意識(shí)到���,多種用于實(shí)現(xiàn)數(shù)據(jù)結(jié)構(gòu)并且具體而 言用于實(shí)現(xiàn)頁(yè)表��、全局描述符表�、中斷描述符表和區(qū)域頁(yè)緩存的不同技術(shù)是已知的���。具體的 實(shí)施方案可W取決于計(jì)算設(shè)備100的類(lèi)型�����、處理器110的類(lèi)型��、存儲(chǔ)組件130的類(lèi)型W及在計(jì) 算設(shè)備100上執(zhí)行的軟件和/或操作系統(tǒng)����。
[00%] 在各種實(shí)施例中,處理器組件110可W包括多種多樣的商業(yè)上可用的處理器組件 中的任意一種����,