供內核模式應用使用的安全區域的制作方法
【技術領域】
[0001] 概括地說,本文所描述的實施例設及安全區域(secure enclave)W及從內核模式 應用訪問安全區域。
【背景技術】
[0002] 安全區域是存儲器孔徑(memory aperture),應用可W通過該存儲器孔徑來處理 機密信息。例如,一些安全區域是計算機系統中的特殊范圍的物理存儲器內的存儲器位置。 在每次上電時,在由計算機系統的處理器創建的臨時密鑰下對該存儲器進行加密。因此,除 了處理器自身W外,計算機系統中的任何硬件設備無法訪問該存儲器。
[0003] 安全區域可W用于在計算機系統的任何其它組件和/或過程無法訪問的存儲器位 置中處理機密信息。例如,可W在安全區域內對機密信息進行加密。僅可W在用于對機密信 息進行加密的安全區域內對經加密的信息進行解密。因此,可W在不暴露用于對數據進行 加密和/或解密的密鑰的情況下對該數據進行加密和解密。因此,通過使用各種函數來調用 安全區域和向安全區域傳遞任何必要的數據,應用可W與安全區域交互。由于安全區域的 性質W及其使用特殊加密的存儲器位置,與安全區域的交互被限制于在用戶模式下操作的 應用。在內核模式下操作的應用被阻止與安全區域交互。
[0004] 如將意識到的,負責對計算機系統進行初始化的應用在內核模式下操作。例如,基 本輸入/輸出系統("BIOS")和統一可擴展固件接口("肥Fr)是對啟動計算機系統所必須的 各種平臺設備(特別是操作系統所位于的存儲設備)進行初始化的應用(或應用集合)。運些 應用在內核模式下操作并且可W被稱為執行用于計算機系統的"預啟動"操作。在預啟動期 間,存在期望在安全區域中處理機密信息的情形。例如,防盜技術和全盤加密技術使用密鑰 (例如,W對計算設備進行解鎖、對盤進行解密等)。密鑰通常使用由用戶選擇的密碼來加 密。在預啟動期間,用戶提供密碼并且密鑰在存儲器中被解密成明文。然而,因為該存儲器 沒有受保護,密鑰可能能夠被另一個應用訪問。
[0005] 因此,存在由內核模式應用訪問安全區域的需求,尤其是在預啟動期間,提供由在 內核模式下操作的應用對機密信息的安全處理。
【附圖說明】
[0006] 圖1示出了用于實現由內核模式應用進行的至安全區域的訪問的系統的實施例。
[0007] 圖2示出了用于實現由內核模式應用進行的至安全區域的訪問的系統的實施例的 一部分。
[000引圖3示出了根據實施例的邏輯流。
[0009] 圖4示出了存儲介質的實施例。
[0010] 圖5示出了根據實施例的邏輯流。
[0011] 圖6示出了存儲介質的實施例。
[0012]圖7示出了根據實施例的處理架構。
【具體實施方式】
[0013] -般性參考本文所使用的記號和命名,可W從在計算機或計算機網絡上執行的程 序過程方面呈現隨后的【具體實施方式】的各部分。運些過程性描述和表示由本領域技術人員 用于將其工作的實質最有效地傳達給本領域其它技術人員。在此,一般而言,過程被認為是 導致期望的結果的自相容操作序列。運些操作是需要物理量的物理操縱的那些操作。通常, 雖然不是必要地,但是運些量采取能夠被存儲、傳輸、組合、比較或W其它方式被操縱的電 信號、磁性信號和光學信號的形式。主要由于常見使用的原因,將運些信號稱為位、值、元 素、符號、字符、項、數字等有時證明是方便的。然而,應當注意的是,所有運些和類似的術語 將與適當的物理量相關聯,并且僅僅是應用于那些量的方便的標簽。
[0014] 此外,經常在通常與由人類操作員執行的智力操作相關聯的術語(例如添加或比 較)中提及運些操縱。然而,在形成一個或多個實施例的部分的本文所描述的任何操作中, 沒有運樣的人類操作員能力是必要的,或在大多數情況下是期望的。相反,運些操作是機器 操作。用于執行各種實施例的操作的有用機器包括如由存儲在內的根據本文教導所編寫的 計算機程序選擇性地激活或配置的通用數字計算機,和/或包括為了所需目的而特別地構 造的裝置。各種實施例還設及用于執行運些操作的裝置或系統。運些裝置可W為了所需目 的而被特別地構造,或者可W包括通用計算機。用于各種各樣的運些機器的所需結構將根 據給定的描述而變得顯而易見。
[0015] 現在參考附圖,其中相似的附圖標記貫穿全文用于指代相似的元件。在W下的描 述中,為了解釋的目的,闡述許多具體細節,W便提供對其的透徹理解。然而,可顯而易見的 是,可W在沒有運些具體細節的情況下實施新穎的實施例。在其它實例中,W框圖形式示出 公知的結構和設備,W便于其描述。意圖是覆蓋權利要求的范圍內的所有修改、等同物和替 代方案。
[0016] 圖1是用于實現由內核模式應用進行的至安全區域的訪問的系統1000的框圖。系 統1000包括計算設備100。計算設備100可W是多種類型的計算設備中的任意一種,包括但 不限于:臺式計算機系統、數據錄入終端、膝上型計算機、上網本計算機、平板計算機、手持 個人數字助理、智能電話、數碼相機、并入到衣服或可穿戴配件(例如,眼鏡、手表等)中的穿 戴在身上的計算設備、集成到運載工具(例如,汽車、自行車、輪椅等)中的計算設備、服務 器、服務器集群、服務器場、站、無線站、用戶設備等。實施例不限于該上下文。
[0017] 總體而言,系統1000被配置為允許內核模式應用與安全區域交互。換言之,系統 1000被配置為允許由在內核模式下操作的應用加載和運行安全區域。應當注意的是,雖然 描述了用于加載和運行供內核模式應用使用的安全區域的單個計算設備(例如,計算設備 100),但是該計算設備的特征可W并入到多個計算設備中。
[001引如將意識到的,許多現代處理組件(例如,X86等)提供被稱為"內核模式"和"用戶 模式"的不同操作模式。處理組件在運兩種模式之間進行切換,取決于處理組件在針對其執 行指令的特定應用具有什么權限。通常,用于初始化并向計算設備的組件(例如,驅動器、操 作系統組件、預啟動應用等)提供接口功能的應用具有內核模式權限,并且因此在內核模式 下操作。換言之,當處理組件執行來自運些類型的應用的指令時,處理組件在內核模式下操 作。相反,大多數其它應用具有用戶模式權限。因此,當處理組件執行來自運些類型的應用 的指令時,處理組件在用戶模式下操作。
[0019] 因此,本公開內容的各種實施例提供了可W加載和運行安全區域的內核模式應 用。例如,執行"預啟琳'操作的應用(例如,BIOS、肥FI等)(其通常在內核模式下操作何W 加載和運行安全區域。在特定的示例中,防盜技術和/或全盤加密技術(其在計算機系統初 始化時執行安全敏感處理)可W使用安全區域W便處理安全信息(例如,驗證密碼、解密必 要的啟動驅動器等)。
[0020] 在各種實施例中,計算設備100包括處理器組件110、控制裝置120、存儲組件130和 接口 140中的一個或多個,其中接口 140用于將計算設備100禪合到網絡。處理器組件可W包 括一個或多個模型專用的寄存器112(MSR)和安全區域頁緩存IM(EPC)。在一些示例中,EPC 114可W存儲在處理器110上的存儲器緩存位置。在其他示例中,EPC 114可W存儲在另一個 存儲器位置(例如,本地存儲器等)。在特別特定的示例中,EPC 114可W存儲在平臺本地存 儲器(例如,DRAM等)的受加密地保護(例如,M邸等)的區域中。存儲組件130存儲控制例程 131、機密信息132、內核模式應用200、安全區域300、頁表142(PT)、全局描述符表144(GDT) 和中斷描述符表146( IDT)中的一個或多個。
[0021] 在計算設備100中,控制例程131包括在W其作用作為主處理器組件的處理器組件 110上操作的指令序列,W實現用于執行各種功能的邏輯單元。在執行控制例程131時,處理 器組件110提供針對內核模式應用200的用戶模式支持,所W內核模式應用200可W與安全 區域300交互。
[0022] 在執行控制例程131時,處理器組件110可W修改GDT 142和IDT 144W提供針對內 核模式應用200的用戶模式權限。另外,在執行控制例程131時,處理器組件110可W設定一 個或多個MSR 112W啟用在用戶模式和內核模式操作之間的切換。例如,可W設定一個或多 個MSR 112 W啟用SYSCAliVSYSRE巧旨令,如將意識到的,SYSCAliVSYSRE巧旨令在用戶模式與 內核模式之間切換處理組件110。
[0023] 此外,在執行控制例程131時,處理器組件110可W將很多個存儲器頁添加至EPC 114。另外,在執行控制例程131時,處理器組件110可W創建安全區域300。應當意識到,多種 用于創建和管理安全區域的不同技術是可用的。具體的實施方案可W取決于處理組件的類 型和/或操作系統的類型。例如,Inte隨> 安全性防護擴展⑥技術可W用于創建安全區域300 并且在安全區域300中處理機密信息132。然而,運只是一個示例,實施例不限于運方面。
[0024] 在執行控制例程131時,處理器組件110可W另外切換到用戶模式操作并且代表內 核模式應用200在安全區域300中處理機密信息132。在一些示例中,如所陳述的,內核模式 應用200是預啟動應用。換言之,內核模式應用可W使得在加載操作系統之前由處理組件執 行指令。例如,內核模式應用200可W是防盜應用、全盤加密應用等等。在一些示例中,在執 行控制例程131時,一旦加載操作系統,處理器組件110就可W將安全區域300傳遞給該操作 系統。
[00巧]在各種示例中,PT 142、GDT 144、IDT 146和EPC 114可W是定義關于系統1000尤 其是計算設備100的特性的各種數據結構。應當意識到,多種用于實現數據結構并且具體而 言用于實現頁表、全局描述符表、中斷描述符表和區域頁緩存的不同技術是已知的。具體的 實施方案可W取決于計算設備100的類型、處理器110的類型、存儲組件130的類型W及在計 算設備100上執行的軟件和/或操作系統。
[00%] 在各種實施例中,處理器組件110可W包括多種多樣的商業上可用的處理器組件 中的任意一種,