[发明专利]用于执行安全嵌入式容器的处理器扩展

权利要求书

1.一种用于动态地对资源进行安全划分的装置，包括：

存储单元，其具有多个分区，其中，所述多个分区中的第一分区用于存储独立于操作系统(OS)的分区，该独立于OS的分区具有独立于操作系统和虚拟机管理器、并且不受操作系统和虚拟机管理器影响的执行环境，并且所述多个分区中的第二分区用于存储OS；以及

固件实现的独立于操作系统/虚拟机管理器的资源管理器，其将所述多个分区耦合到处理器，其中，所述资源管理器用于在所述第一分区与所述第二分区之间动态地划分所述处理器的周期，并且其中，运行在所述处理器上的、来自所述第二分区的应用程序能够从所述资源管理器获得密钥二进制大对象以访问所述第一分区中的数据，所述密钥二进制大对象包含应用程序生成的、由所述资源管理器使用仅能由所述资源管理器访问的嵌入式密钥加密的密钥。

2.根据权利要求1所述的装置，其中，所述存储单元将独立于操作系统/虚拟机管理器的驱动程序存储在所述第二分区中，其中，所述驱动程序用于向所述资源管理器指示存储在所述第一分区中的一个或多个指令是否要被调度执行。

3.根据权利要求1所述的装置，其中，所述资源管理器基于确定出所述资源管理器未能调度存储在所述第一分区中的一个或多个指令在选择时间段内执行，为所述一个或多个指令分配最短保证执行持续时间。

4.根据权利要求1所述的装置，其中，所述资源管理器向所述第一分区分配所述处理器的空闲周期。

5.根据权利要求1所述的装置，其中，所述处理器包括一个或多个处理器核心，并且所述资源管理器用于确定是分配所述一个或多个处理器核心中一个处于C0状态的处理器核心的周期，还是唤醒所述一个或多个处理器核心中另一个处于C-X状态的处理器核心。

6.根据权利要求1所述的装置，其中，所述第一分区包括设备过滤器，用于指示是根据存储在所述第一分区中的第一中断重映射表还是根据存储在所述第二分区中的第二中断重映射表来处理中断。

7.根据权利要求6所述的装置，还包括中断重映射单元，用于接收所述中断并且引起所述设备过滤器的查找。

8.根据权利要求1所述的装置，其中，所述资源管理器基于范围寄存器的一个或多个比特来阻止来自所述第二分区的对所述第一分区的访问。

9.根据权利要求1所述的装置，其中，所述资源管理器基于存储在所述第一分区中的扩展页表中存储的数据来阻止来自所述第一分区的对所述第二分区的访问。

10.根据权利要求1所述的装置，其中，所述处理器包括存储器，用于存储未加密的信息，其中，所述未加密的信息对所述处理器的外部是不可用的。

11.根据权利要求1所述的装置，还包括完整性校验值阵列，用于存储对应于所述第一分区中的一个或多个页的数据，其中，所述阵列中的每个条目用于指示所述第一分区中的对应的页的安全散列算法值、有效性和直接存储器访问。

12.根据权利要求11所述的装置，其中，所述资源管理器基于存储在所述完整性校验值阵列的对应的条目中的值，确定所述第一分区中的所述一个或多个页的完整性。

13.根据权利要求11所述的装置，其中，响应于检测到对所述第一分区中的对应的页的修改，所述资源管理器引起对存储在所述完整性校验值阵列中的值的更新。

14.一种用于动态地对资源进行安全划分的方法，包括：

将多个分区存储在存储器中，其中，所述多个分区中的第一分区用于存储独立于操作系统(OS)的分区，该独立于OS的分区具有独立于操作系统和虚拟机管理器、并且不受操作系统和虚拟机管理器影响的执行环境，并且所述多个分区中的第二分区用于存储OS；

经由独立于操作系统/虚拟机管理器的资源管理器，将所述多个分区耦合到处理器；以及

所述资源管理器在所述第一分区与所述第二分区之间分配所述处理器的周期，其中，运行在所述处理器上的、来自所述第二分区的应用程序能够从所述资源管理器获得密钥二进制大对象以访问所述第一分区中的数据，所述密钥二进制大对象包含应用程序生成的、由所述资源管理器使用仅能由所述资源管理器访问的嵌入式密钥加密的密钥。