[发明专利]系统管理模式特权架构

说明书

在一个示例中，一种用于系统管理模式(SMM)特权架构的系统包括计算设备，所述计算设备包括：SMM指令的第一部分，用以设置多个资源并且实现用于计算设备的SMM的特权架构，以及SMM指令的第二部分，用以在计算设备的SMM期间执行多个功能，其中所述特权架构将SMM指令的第一部分指派给第一特权级别，并且将SMM指令的第二部分指派给第二特权级别。

背景技术

计算系统可以包括用以执行计算系统的各种系统管理模式(SMM)功能的指令。当调用SMM的事件发生时，指令可以由处理器执行。SMM指令可以是由计算系统中的恶意软件或来自外部服务的攻击的对象。作为攻击的结果，SMM指令可能变得损坏。

附图说明

图1图示了用于符合本公开内容的系统管理模式特权架构的系统的示例的图解。

图2图示了用于符合本公开内容的系统管理模式特权架构的系统的示例的图解。

图3图示了用于符合本公开内容的系统管理模式特权架构的方法的示例的图解。

具体实施方式

本文中描述了用于系统管理模式(SMM)特权架构的多个示例。在一个示例中，一种用于系统管理模式特权架构的系统包括计算设备，所述计算设备包括：SMM指令的第一部分，用以设置多个资源并且实现用于计算设备的SMM的特权架构，以及SMM指令的第二部分，用以在计算设备的SMM期间执行多个功能，其中所述特权架构将SMM指令的所述第一部分指派给较高特权级别，并且将SMM指令的所述第二部分指派给较低特权级别。

在一些示例中，所述SMM特权架构可以保护计算机处理器单元(CPU)资源和存储器资源免于恶意活动。例如，所述SMM特权架构可以除了其它资源之外尤其保护：控制寄存器、调试寄存器全局描述符表、中断描述符表、MSR和/或SMM环境内的分页子系统的配置。在一些示例中，所述SMM特权架构可以保护免受SMM指令损坏和/或为特定安全性关键资源的使用提供安全策略的施行。在一些示例中，所述安全性关键资源可以除了其它资源之外尤其包括但不限于：秘密、页面表、控制寄存器、调试寄存器、MSR、GDT、IDT、I/O端口、MMIO区域。

在一些示例中，可以通过如下来保护资源：通过实现SMM特权架构来将资源与潜在恶意的指令隔离。例如，SMM指令的第一部分可以实现包括多个特权层(例如特权环、特权级别等等)的特权架构。在一些示例中，所述多个特权层可以用于防止SMM指令的第二部分在没有通过SMM指令的第一部分的验证的情况下访问或利用资源。

在一些示例中，SMM指令的第一部分可以实现SMM特权架构，其中SMM指令的第一部分被定义为与SMM指令的第二部分相比更高的特权级别。也就是说，与SMM指令的第二部分相比，SMM指令的第一部分可以具有对资源的更大访问。在一个示例中，SMM指令的第一部分可以在启动计算设备的SMM时被执行。在该示例中，SMM指令的第一部分可以实现安全性关键资源的设置和配置以及通过较低特权级别内的指令(例如，SMM指令的第二部分，与较高特权级别相比具有对资源的较少访问、较少特权的指令等等)来监控和处置安全策略违反。在该示例中，SMM的功能可以通过SMM指令的第二部分实现，而SMM指令的第一部分监控SMM指令的第二部分并且提供对SMM指令的第二部分的访问。

本文中的各图遵循这样的编号惯例：其中第一数字对应于附图图号并且其余的数字标识附图中的元素或组件。本文中各幅图中所示的元素可以能够被添加、交换和/或消除以便提供本公开内容的多个附加示例。另外，图中所提供的元素的比例和相对尺度意图图示本公开内容的示例，并且不应当以限制性意义被理解。

图1图示了用于符合本公开内容的系统管理模式(SMM)特权架构的系统100的示例的图解。在一些示例中，系统100可以包括计算设备102。在一些示例中，计算设备102可以包括多个处理资源104-1、104-N(例如CPU、处理器、处理设备、逻辑等等)。