[發明專利]超線程場景下安全進入可信執行環境的方法及裝置有效
| 申請號: | 202010888591.6 | 申請日: | 2020-08-28 |
| 公開(公告)號: | CN111753311B | 公開(公告)日: | 2020-12-15 |
| 發明(設計)人: | 劉曉建;閆守孟;顧宗敏 | 申請(專利權)人: | 支付寶(杭州)信息技術有限公司 |
| 主分類號: | G06F21/57 | 分類號: | G06F21/57;G06F9/455 |
| 代理公司: | 北京博思佳知識產權代理有限公司 11415 | 代理人: | 李威 |
| 地址: | 310000 浙江省杭州市*** | 國省代碼: | 浙江;33 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 線程 場景 安全 進入 可信 執行 環境 方法 裝置 | ||
1.一種超線程場景下安全進入可信執行環境的方法,包括:
在物理處理器核心上運行的邏輯處理器產生可信執行環境進入事件,且所述可信執行環境進入事件由所述物理處理器核心上運行的任一邏輯處理器通過虛擬機監視器提供的途徑而產生時,將所述任一邏輯處理器標記為期望進入可信執行環境的狀態;其中,通過所述虛擬機監視器提供的途徑產生所述可信執行環境進入事件,包括:直接執行用于進入可信執行環境的超調用指令,所述虛擬機監視器用于對邏輯處理器進行狀態標記,以及控制邏輯處理器進入可信執行環境;或者,執行所述虛擬機監視器提供的跳板代碼,所述跳板代碼的內存由默認使用的第一擴展頁表進行映射,所述跳板代碼包含所述用于進入可信執行環境的超調用指令,或者所述跳板代碼包含用于對邏輯處理器進行狀態標記的指令和用于控制邏輯處理器進入可信執行環境的指令;
在確定所述物理處理器核心對應的所有邏輯處理器均被標記為期望進入可信執行環境的狀態的情況下,分別控制各個邏輯處理器中的應用程序進入所述物理處理器核心上構建的可信執行環境。
2.根據權利要求1所述的方法,第一擴展頁表被配置為可信執行環境的內存未被映射或不可執行;
在所述用于進入可信執行環境的超調用指令未被包含于所述跳板代碼中的情況下,所述虛擬機監視器還用于:在所述可信執行環境進入事件由所述任一邏輯處理器通過虛擬機監視器提供的途徑而產生時,將第一擴展頁表切換為第二擴展頁表;
在所述用于進入可信執行環境的超調用指令被包含于所述跳板代碼中的情況下,所述跳板代碼還包含位于所述用于進入可信執行環境的超調用指令之前且用于將第一擴展頁表切換為第二擴展頁表的頁表切換指令;
在所述跳板代碼未包含所述用于進入可信執行環境的超調用指令的情況下,所述跳板代碼還包含位于所述用于控制邏輯處理器進入可信執行環境的指令之前且用于將第一擴展頁表切換為第二擴展頁表的頁表切換指令;
其中,所述跳板代碼被第一擴展頁表映射至受控于客戶虛擬機的第一內存地址、被第二擴展頁表映射至受控于所述虛擬機監視器的第二內存地址,且第二擴展頁表被配置為可信執行環境的內存可執行。
3.根據權利要求2所述的方法,還包括:
在控制任一邏輯處理器退出所述物理處理器核心上構建的可信執行環境后,將第二擴展頁表切換為第一擴展頁表。
4.根據權利要求2所述的方法,還包括:
當所述物理處理器核心上運行的一邏輯處理器發生中斷而產生可信執行環境退出事件時,若其他邏輯處理器已進入所述物理處理器核心上構建的可信執行環境,或者已由第一擴展頁表切換為第二擴展頁表但尚未進入所述物理處理器核心上構建的可信執行環境,則執行下述操作后向所述其他邏輯處理器注入中斷:若第一內存地址處的跳板代碼中位于所述頁表切換指令之后的指令均為空操作指令,則將第二擴展頁表切換回第一擴展頁表;若第一內存地址處的跳板代碼中位于所述頁表切換指令之后的指令包含非空指令,則將第二擴展頁表切換回第一擴展頁表,并將所述其他邏輯處理器的返回地址改寫為第一擴展頁表對應的預設返回地址;
在所有邏輯處理器均產生可信執行環境退出事件的情況下,分別控制各個邏輯處理器退出所述物理處理器核心上構建的可信執行環境。
5.根據權利要求1所述的方法,還包括:
配置由非根模式切換為根模式的切換條件,所述切換條件包括檢測到客戶虛擬機執行可信執行環境構建指令;
響應于所述切換條件被滿足,執行所述可信執行環境構建指令,以在所述物理處理器核心上構建可信執行環境。
6.根據權利要求1所述的方法,所述物理處理器核心上運行的所有邏輯處理器均被標記為期望進入可信執行環境的狀態,包括:
所述物理處理器核心上運行的所有邏輯處理器均被標記為期望進入同一個可信執行環境;或者,
所述物理處理器核心上運行的所有邏輯處理器被分別標記為期望進入不同的可信執行環境,且不同的邏輯處理器相互信任對方期望進入的可信執行環境。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于支付寶(杭州)信息技術有限公司,未經支付寶(杭州)信息技術有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010888591.6/1.html,轉載請聲明來源鉆瓜專利網。
