[发明专利]用于用安全属性限制CPU事务的方法、装置和系统

权利要求书

1.一种用于用安全属性限制CPU事务的方法，包括：

从计算设备中的包括处理元件的发起器发起事务，所述计算设备包括存储器构造和包括至少一个输入/输出I/O构造的I/O互连分层结构，所述事务请求访问与所述事务的目标相关联的受保护资产；

基于所述发起器的身份结合标识所述发起器正在受信任执行模式下操作的标记在所述发起器外部生成不可变安全属性，其中所述标记被存储在所述发起器外部；

将所述事务和所述不可变安全属性转发到所述目标；

为所述受保护资产实现访问策略，在所述访问策略下，如果发起器正在一个或多个受信任执行模式下执行，则针对所述发起器所发起的事务许可对所述受保护资产的访问；以及

通过使用所述不可变安全属性实施所述访问策略，

其中生成所述不可变安全属性包括执行受限事务检查以及将所述受限事务检查的结果连同处理器核的逻辑处理器ID、用于指示其由处理器核生成的安全条位和模式寄存器的当前值馈送到安全属性生成函数，其中所述模式寄存器的所述当前值包括指示相应的执行模式的标记。

2.如权利要求1所述的方法，其特征在于，进一步包括当在受信任执行模式下操作所述发起器时，在所述发起器外部设置指示所述发起器的当前执行模式是受信任执行模式的当前模式标记。

3.如前述权利要求1-2中任一项所述的方法，其特征在于，从所述发起器发起的所述事务包括第二事务，所述方法进一步包括：

在所述第二事务之前从所述发起器发起第一事务，所述第一事务包括标识所述事务用于用所述发起器的当前执行模式更新在所述发起器外部的所述模式寄存器的标记；

生成与所述第一事务相对应的不可变安全属性；

将所述不可变安全属性转发到所述模式寄存器；以及

用指示所述发起器的所述当前执行模式的标记更新所述模式寄存器。

4.如权利要求3所述的方法，其特征在于，进一步包括通过使用所述不可变安全属性实施访问策略，如果所述不可变属性指示允许访问所述模式寄存器，则所述访问策略许可访问所述模式寄存器。

5.如权利要求1所述的方法，其特征在于，所述不可变安全属性的生成进一步基于所述发起器所生成的安全标记。

6.如权利要求1所述的方法，其特征在于，所述不可变安全属性的生成进一步基于确定所述事务是预定类型的I/O事务。

7.如权利要求1所述的方法，其特征在于，所述受信任执行模式是微代码执行模式。

8.如权利要求1所述的方法，其特征在于，所述目标包括经由存储器控制器操作地耦合到所述存储器构造的系统存储器，并且所述访问策略在所述存储器控制器处实施。

9.如权利要求1所述的方法，其特征在于，所述发起器包括耦合到系统代理的处理器核，并且其中所述不可变安全属性由所述系统代理内的嵌入逻辑生成。

10.如权利要求1所述的方法，其特征在于，所述不可变安全属性由所述存储器构造内的嵌入逻辑生成。