[发明专利]用于采用处理器沙箱支持的不可信代码执行的技术

说明书

本申请涉及用于采用处理器沙箱支持的不可信代码执行的技术。用于不可信代码执行的技术包括具有带沙箱支持的处理器的计算设备。计算设备在非特权本地处理器模式下执行包括在本地域中的代码。计算设备可在本地域中的代码执行期间调用沙箱跳转处理器指令以进入沙箱域。计算设备响应于调用沙箱跳转指令而在非特权沙箱处理器模式下执行沙箱域中的代码。在沙箱处理器模式下执行的同时，处理器拒绝对沙箱域外部的存储器的访问，并可拒绝一个或多个禁止的指令的执行。从沙箱域中，计算设备可执行沙箱退出指令以退出沙箱域并恢复本地域中的执行。计算设备可执行处理器指令以配置沙箱域。描述并要求保护其它实施例。

背景技术

典型的计算设备可执行许多小的、不可信代码组件。例如，计算设备可执行从因特网下载的插件、小应用程序、应用程序或其它第三方代码组件。在当前的计算设备中，不可信代码可通过进程边界或环边界而与可信代码分离。Intel®页面保护密钥可保护进程地址空间的少量（例如16个）域免于意外读取或写入存储器访问，例如由编程错误引起。页面保护密钥可能无法防止操纵保护密钥本身的恶意攻击者。典型的计算设备还可实现基于软件的隔离以在用户进程内执行不可信代码。例如，Google® Native Client（NaCl）实现自定义工具链，以确保除了通过特定的蹦床（trampoline）例程之外，在基于软件的沙箱内执行的代码不可以跳出沙箱。

附图说明

本文所述的概念在附图中通过示例的方式而不是通过限制的方式来图示。为了说明的简单和清楚，图中图示的元件不一定按比例绘制。在认为合适的情况下，已经在附图中重复参考标记以指示对应的或类似的元件。

图1是用于不可信代码执行的计算设备的至少一个实施例的简化框图；

图2是可由图1的计算设备建立的环境的至少一个实施例的简化框图；

图3A和图3B是可由图1至图2的计算设备执行的用于不可信代码执行的方法的至少一个实施例的简化流程图；以及

图4是可由图1至图2的计算设备执行的用于异常处理的方法的至少一个实施例的简化流程图。

具体实施方式

尽管本公开的概念易于进行各种修改和替代形式，但是已经在图中通过示例的方式示出并且将在本文中详细描述其具体实施例。然而，应当理解的是：并不意图将本公开的概念限于公开的特定形式，而是相反，意图是覆盖与本公开和所附权利要求一致的所有修改、等同物和替代方案。

说明书中对“一个实施例”、“实施例”、“说明性实施例”等的引用指示所述的实施例可包括特定特征、结构或特性，但是每个实施例可能一定或可能不一定包括该特定特征、结构或特性。而且，这样的短语不一定指相同的实施例。此外，当结合实施例描述特定特征、结构或特性时，要主张的是：结合其它实施例（无论是否被明确描述）实现这样的特征、结构或特性在本领域技术人员的知识范围内。另外，应当理解：以“A、B和C中的至少一个”的形式包括在列表中的项可以意味着（A）；（B）；（C）；（A和B）；（A和C）；（B和C）；或者（A、B和C）。类似地，以“A、B或C中的至少一个”的形式列出的项可以意味着（A）；（B）；（C）；（A和B）；（A和C）；（B和C）；或者（A，B和C）。

在一些情况下，公开的实施例可以按硬件、固件、软件或其任何组合来实现。公开的实施例还可被实现为由一个或多个暂时性或非暂时性机器可读（例如，计算机可读）存储介质承载或在其上存储的指令，该指令可由一个或多个处理器读取并且执行。机器可读存储介质可被体现为用于以由机器可读的形式（例如，易失性或非易失性存储器、媒体盘或其它媒体设备）存储或发送信息的任何存储设备、机制或其它物理结构。

在图中，可以按具体布置和/或排序示出一些结构或方法特征。然而，应当理解：可能不需要这样的具体布置和/或排序。而是，在一些实施例中，可以按不同于说明性图中所示的方式和/或次序来布置这样的特征。另外，在特定图中包括结构或方法特征不意味着暗示在所有实施例中都需要这样的特征，并且在一些实施例中，可不包括这样的特征或者这样的特征可与其它特征组合。