[发明专利]用来防止软件侧通道的机制

说明书

提供了用来防止软件侧通道的机制。一种处理器包括处理核心，用来标识包括要在架构上受保护的环境中执行的多个指令的代码，确定被存储在架构上受保护的存储器中的第一物理存储器页面与由所述多个指令中的第一指令引用的第一虚拟存储器页面匹配，生成第一虚拟存储器页面的第一地址和第一物理存储器页面的第二地址之间的第一地址映射，在高速缓冲存储器中存储包括第一地址映射的地址翻译数据结构，并且通过取回被存储在地址翻译数据结构中的第一地址映射来执行代码。

技术领域

本公开涉及处理器，并且更具体地，涉及包括在飞地（enclave）环境中实现地址预翻译的电路的处理器。

背景技术

用于创建和维护受防护的、受保护的或隔离的执行环境（称为架构上受保护的执行环境）的一种方法将采用安全飞地来保护代码和数据。

附图说明

根据下面给出的具体实施方式并且根据本公开的各种实施例的附图，将更全面地理解本公开。然而，附图不应被理解成将本公开限制于具体实施例，而是仅用于解释和理解。

图1图示了根据本公开的实施例的处理系统。

图2图示了根据本公开的实施例的页表200。

图3图示了根据本公开的实施例的用来恢复（resume）中断的地址预翻译的过程。

图4是根据本公开的实施例的用来执行地址预翻译的方法的框图。

图5A是图示了用于包括在其中可以使用本公开的一个实施例的异构核心的处理器的微架构的框图。

图5B是图示了根据本公开的至少一个实施例所实现的有序流水线和寄存器重命名阶段（stage）、无序发布/执行流水线的框图。

图6图示了用于依照本公开的一个实施例的包括逻辑的处理器的微架构的框图。

图7是图示了在其中可以使用本公开的实施例的系统的框图。

图8是本公开的实施例可以在其中操作的系统的框图。

图9是本公开的实施例可以在其中操作的系统的框图。

图10是依照本公开的实施例的片上系统（SoC）的框图。

图11是依照本公开的SoC设计的实施例的框图。

图12图示了计算机系统的一个实施例的框图。

具体实施方式

安全飞地是由不可通过其他应用访问的程序（例如，在较高权限级别处的进程）分配的私有存储器区。具有安全飞地能力的处理器防止通过其他软件对飞地存储器区（即，在应用的地址空间中定义的受保护区域）的访问，即使通过诸如包括操作系统和虚拟机监视器（VMM）的系统软件之类的更高特权软件尝试这样的访问。

尽管环系统（被称为保护环（例如，环0-3）的分层保护域）可以保护为在较高权限级别处运行的应用保留的存储器区免遭由在较低（相等）权限级别处运行的应用的未授权访问，但是环系统不保护较低权限级别的应用使用的数据免遭由在较高权限级别处运行的应用访问。在某些情况下，在较高权限级别处运行的应用（例如，操作系统或虚拟机监视器（VMM））可能已被恶意攻击破坏。受破坏的应用可能会进一步攻击在较低权限级别处运行的应用所使用的数据。在一些实现中，程序员可以给由在较低权限级别（例如，环3）处的处理器执行的应用提供架构上受保护的存储器区以存储对盖应用而言私有并且不能由较高权限级别应用（例如，具有环0-2权限的应用）访问的代码和数据。因此，处理器可以在架构上受保护的执行环境中执行较少特权应用的至少一部分（或整体），其被保护免于源于较高特权域（例如，操作系统）的恶意。