本公開涉及構建信任域擴展并在信任域擴展內操作的安全仲裁模式。一種處理器包括用于存儲信息的范圍寄存器和耦合到范圍寄存器的核心，其中所述信息識別與安全仲裁模式(SEAM)相關聯的存儲器的保留范圍。核心包括安全性邏輯，用于在處理器核心的用于發起SEAM的邏輯處理器上解鎖范圍寄存器。邏輯處理器經由安全性邏輯的執行在保留范圍中存儲SEAM模塊和與SEAM模塊相關聯的清單，其中SEAM模塊用于支持一個或多個信任域的執行；在存儲器的保留范圍內初始化SEAM虛擬機控制結構(VMCS)，該SEAM VMCS用于控制虛擬機監視器(VMM)和SEAM模塊之間的狀態轉變；并且利用清單的清單簽名來認證SEAM模塊。

技術領域

本公開涉及計算機系統，并且更具體而言，涉及構建信任域擴展(trust domainextensions)并在該信任域擴展內操作的計算設備的安全仲裁模式(secure arbitrationmode)。

背景技術

現代處理設備采用盤加密來保護靜態數據。然而，存儲器中的數據是明文的并且容易受到攻擊。攻擊者可使用多種技術來從存儲器取回數據，這些技術包括基于軟件和基于硬件的總線掃描、存儲器掃描、硬件探測等等。來自存儲器的這個數據可包括敏感數據，例如隱私敏感數據、IP敏感數據，并且還包括用于文件加密或通信的密鑰。隨著當前利用由云服務提供商提供的基于虛擬化的托管服務將數據和企業工作負荷移動到云中的趨勢，數據的暴露進一步惡化了。

發明內容

根據本公開的實施例，提供了一種處理器，包括：范圍寄存器，用于存儲信息，所述信息識別與所述處理器的安全仲裁模式(SEAM)相關聯的存儲器的保留范圍；以及耦合到所述范圍寄存器的處理器核心，其中所述處理器核心包括安全性邏輯，用于在所述處理器核心的用于發起所述SEAM的邏輯處理器上解鎖所述范圍寄存器；并且其中所述邏輯處理器經由所述安全性邏輯的執行而用于：在由存儲在所述范圍寄存器中的所述信息識別的所述存儲器的保留范圍中存儲SEAM模塊和與所述SEAM模塊相關聯的清單，其中所述SEAM模塊用于支持一個或多個信任域的執行；在所述存儲器的保留范圍內初始化SEAM虛擬機控制結構(VMCS)，所述SEAM VMCS用于控制虛擬機監視器(VMM)和所述SEAM模塊之間的狀態轉變；并且利用所述清單的清單簽名來認證所述SEAM模塊。

根據本公開的實施例，提供了一種系統，包括：存儲器設備，包括保留范圍來存儲安全仲裁模式(SEAM)模塊，所述SEAM模塊支持一個或多個信任域(TD)；以及耦合到所述存儲器設備并且包括存儲器控制器的處理器，其中所述處理器用于執行所述SEAM模塊以進行以下操作：在所述存儲器設備中創建TD虛擬機結構(VMCS)，所述TD VMCS與第一TD相關聯；在所述TD VMCS中存儲指向共享擴展頁表(EPT)的第一指針，所述共享EPT是與虛擬機監視器(VMM)共享的，用于訪問所述存儲器設備的共享存儲器；在所述TD VMCS中存儲指向安全EPT的第二指針，其中所述安全EPT是所述SEAM模塊可訪問的，用于訪問所述存儲器設備的私有存儲器；并且經由對所述第一指針所指向的所述安全EPT的游走，來將所述第一TD的訪客物理地址轉化到所述存儲器設備的主機物理地址。

根據本公開的實施例，提供了一種方法，包括：通過處理器啟動認證代碼模塊來將安全仲裁模式(SEAM)模塊從耦合到所述處理器的存儲器設備內的存儲器的保留范圍引導到操作中；由被所述處理器執行的虛擬機監視器(VMM)調用SEAM調用(SEAMCALL)指令；由所述處理器執行所述SEAMCALL指令，包括：將所述處理器的VMM狀態保存到存儲在所述存儲器的保留范圍中的SEAM虛擬機控制結構(VMCS)的訪客區域中；從所述SEAM VMCS的主機狀態區域加載并強加SEAM模塊狀態到所述處理器中；將所述處理器轉變到SEAM虛擬根操作模式；并且從被編程到所述SEAM VMCS中的指令地址開始在所述SEAM模塊中執行指令；并且經由所述SEAM模塊的操作在所述存儲器中初始化信任域(TD)虛擬機控制結構(VMCS)，所述TDVMCS支持第一TD的操作。

根據本公開的實施例，提供了一種裝置，包括用于執行上述方法的裝置。