[发明专利]用于执行安全的嵌入式容器的处理器扩展

权利要求书

1.一种装置，包括：

具有多个分区的存储单元，其中，所述多个分区的第一分区用来存储操作系统(OS)独立分区，并且所述多个分区的第二分区用来存储OS；以及

OS独立(OI)资源管理器(OIRM)，用于将所述多个分区耦合到处理器，其中，所述OIRM用于在所述第一分区和所述第二分区之间动态地划分所述处理器的周期。

2.根据权利要求1所述的装置，其中，所述存储单元用于将OI驱动程序存储在所述第二分区中，其中，所述OI驱动程序用于向所述OIRM指示是否要调度存储在所述第一分区中的一个或多个指令以用于执行。

3.根据权利要求1所述的装置，其中，基于确定OIRM未能在选择时间段内调度存储在所述第一分区中的一个或多个指令以用于执行，所述OIRM用于为所述一个或多个指令分配最小保证执行持续时间。

4.根据权利要求1所述的装置，其中，所述OIRM用于将所述处理器的空闲周期分配给所述第一分区。

5.根据权利要求1所述的装置，其中，所述处理器包括一个或多个处理器核心，并且所述OIRM用于确定是分配来自所述一个或多个处理器核心中处于C0状态的一个处理器核心的周期，还是唤醒所述一个或多个处理器核心中处于C-X状态的另一个处理器核心。

6.根据权利要求1所述的装置，其中，所述第一分区包括设备过滤器，所述设备过滤器用于指示是根据存储在所述第一分区中的第一中断重映射表还是根据存储在所述第二分区中的第二中断重映射表来处理中断。

7.根据权利要求6所述的装置，还包括中断重映射单元，所述中断重映射单元用于接收所述中断，和使得对所述设备过滤器进行查找。

8.根据权利要求1所述的装置，其中，所述OIRM用于基于范围寄存器的一个或多个比特来阻止从所述第二分区对所述第一分区的访问。

9.根据权利要求1所述的装置，其中，所述OIRM用于基于在所述第一分区中存储的扩展页表内存储的数据来阻止从所述第一分区对所述第二分区的访问。

10.根据权利要求1所述的装置，其中，所述处理器包括用于存储未加密信息的存储器，其中，所述未加密信息在所述处理器外部是不可获得的。

11.根据权利要求1所述的装置，还包括完整性检查值阵列，所述完整性检查值阵列用于存储与所述第一分区的一个或多个页对应的数据，其中所述阵列中的每一个条目用于指示所述第一分区中对应页的安全散列算法值、有效性和直接存储器访问。

12.根据权利要求11所述的装置，其中，所述OIRM用于基于存储在所述完整性检查值阵列的对应条目中的值来确定所述第一分区的所述一个或多个页的完整性。

13.根据权利要求11所述的装置，其中，所述OIRM用于响应于检测到对所述第一分区的对应页的修改，而使得对存储在所述完整性检测值阵列中的值进行更新。

14.一种方法，包括：

在存储器中存储多个分区，其中，所述多个分区的第一分区用于存储操作系统(OS)独立分区，并且所述多个分区的第二分区用于存储OS；

经由OS独立(OI)资源管理器(OIRM)将所述多个分区耦合到处理器；以及

所述OIRM在所述第一分区和所述第二分区之间分配所述处理器的周期。

15.根据权利要求14所述的方法，还包括将OI驱动程序存储在所述第二分区中，其中，所述OI驱动程序用于向所述OIRM指示是否要调度存储在所述第一分区中的一个或多个指令以用于执行。

16.根据权利要求14所述的方法，还包括基于确定OIRM未能在选择时间段中调度存储在所述第一分区中的一个或多个指令以用于执行，所述OIRM为所述一个或多个指令分配最小保证执行持续时间。

17.根据权利要求14所述的方法，还包括所述OIRM将所述处理器的空闲周期分配给所述第一分区。

18.根据权利要求14所述的方法，还包括所述OIRM确定是分配来自所述处理器中处于C0状态的一个或多个处理器核心的周期，还是唤醒一个或多个处理器核心中处于C-X状态的另一个处理器核心。