在隐藏执行环境中提供完整性验证和证明的制作方法.docx

在隐藏执行环境中提供完整性验证和证明的制作方法
专利名称：在隐藏执行环境中提供完整性验证和证明的制作方法
在隐藏执行环境中提供完整性验证和证明
背景技术：
计算机系统由包括一个或多个处理器、存储器、输入/输出设备等的硬件元件的 集合，该微代码和存储可 与用于提供处理器指令以对应于指令集架构(ISA)的用户级指令的常规微代码和微代码 存储分开。然而，在一些实施例中，隐藏微代码和常规微代码可被存储在单个微代码存储的 不同分区中。资源管理器可执行以向隐藏分区70的代码提供服务。如所见的，该隐藏分区中可 存在各种代码，其可存储在例如系统存储器30中被分段且对其他系统软件(即OS和VMM) 隐藏的分区中。隐藏分区70包括各种代码，包括一个或多个隐藏内核和驱动程序72，它们 可提供内核服务以及用于与平台的各种设备接口的驱动程序。除了可在隐
藏执行环境中执 行的一个或多个应用75以外，可存在附加的核心能力代码74。尽管本发明的范围在这方 面不受限制，但隐藏执行环境可用于诸如实现为遵循正规安全模型的比通用OS提供更高 完整性的操作。此外，平台10包括常规软件，常规软件包括主机OS/VMM分区60，主机OS/ VMM分区60可包括各种主机设备驱动程序62和主机应用程序64。此类代码可存储在系统 存储器30的另一分区中。HRM 25可向OS/VMM分区提供系统硬件的抽象。各实施例可提供可由在隐藏环境中执行的处理器微代码来实现的机制，以减少执 行S3到SO以及SO到S3转换所需花的时间量。将系统转换到S3导致处理器断电且存储 器被置于自刷新模式。此时，对存储器没有保护，且各种运行时保护不可操作。这样，包括 隐藏存储器在内的存储器可能容易受不同安全威胁攻击。注意，状态Sl和S2适用于处理 器组件(例如，仅核心和核外)且不涉及系统存储器。其他低功率状态S4和S5使系统存储器断电，因此所有内容丢失。虽然下面列出的不是详尽的，但是应理解，威胁可采取许多不同形式。例如，一个 此类威胁可能是恶意代码注入，其中攻击者可在S3功率状态转换期间修改/替换存储器镜 像。其他威胁利用散列算法，其中攻击者可利用密码散列算法的弱点来寻找具有有效页的 散列签名的攻击存储器页，且随后该攻击页被注入存储器。一旦突破即可到处运行(BORE) 攻击是其中已获得攻击页的攻击者可将该攻击页注入大量类似地配置的系统上的攻击。可 发生重放攻击，其中攻击者存档所有存储器页和完整性检验值，并随后替换当前存储器页 和完整性值。当攻击者可交换具有相同密码消息认证码(CMAC)值的页时，发生页交换攻 击ο某些威胁可通过使HRM先度量(例如，散列和验证)自刷新的存储器镜像然后才 允许其执行来解决。在一个实施例中，该方法进行逐页完整性检验，其值被记录在完整性检 验值(ICV)阵列中。散列由HRM微代码执行。在一个实施例中，ICV阵列的每个条目包含 以下信息完整性检验值，其可以是页的安全散列算法(SHA)散列或根据网络工作组请求 注解(RFC) 4493，2006年6月的高级加密标准-基于密码的消息认证码(AES-CMAC)操作； ICV有效指示符，其可为真/假以指示该页自上次执行ICV运算以来是否已被修改；以及直 接存储器访问(DMA)页指示符，其可为真/假以指示该页是否可由设备使用DMA来访问。在一个实施例中，HRM