[发明专利]用于安全地保存并恢复计算平台状态的方法和装置

说明书

本申请公开了一种用于安全地保存并恢复计算平台状态的装置和方法。一种用于安全地挂起并恢复处理器状态的装置和方法。例如，方法的一个实施例包括：生成数据结构，该数据结构至少包括单调计数器值；使用第一密钥生成对该数据结构的消息认证码(MAC)；向在处理器上被执行的模块安全地提供数据结构和MAC；该模块验证该MAC，将该单调计数器值与在前一个挂起操作期间被存储的计数器值作比较，并且如果这两个计数器值匹配，则加载完成恢复操作所要求的处理器状态。方法的另一实施例包括：由处理器生成第一密钥；安全地与处理器外组件共享该第一密钥；并且使用该第一密钥生成可用于标识该处理器和处理器外组件之间的配对的配对ID。

背景技术

技术领域

本发明总体涉及计算机处理器领域。更具体地说，本发明涉及用于安全地存储并恢复计算平台状态的装置和方法。

相关技术描述

许多现代处理器不具有处理器上的、在其中存储必须保持最新且不被复用的状态数据的永久存储设备。这尤其与诸如软件防护扩展(SGX)之类的安全技术有关，在SGX中，当挂起并恢复平台时需要将内部密钥和配置数据存储在处理器外部，以便节能。

对该问题先前的解决方案需要从处理器直接去往仅由该处理器拥有的、受信任的存储设备的硬件接口。确保该通道的安全要求保护在受信任的生产设施中的密钥交换以免受对该密钥的恶意观察。这需要通常不能在个人计算设备中找到的特殊硬件。此外，伴随着外包、离岸生产的增加，要获取该信任如果不是不可能的，也是非常困难的。此外，可将闪存添加到处理器自身中以确保在挂起操作期间所存储的数据的安全，再次导致了显著的额外生产成本。

附图说明

结合以下附图，从以下具体实施方式中可获得对本发明更好的理解，其中：

图1A是示出根据本发明的多个实施例的示例性有序流水线以及示例性寄存器重命名的无序发布/执行流水线两者的框图；

图1B是示出根据本发明的多个实施例的要包括在处理器中的有序架构核的示例性实施例和示例性的寄存器重命名的无序发布/执行架构核的框图；

图2是根据本发明的多个实施例的具有集成的存储器控制器和图形器件的单核处理器和多核处理器的框图；

图3示出本发明的一个实施例的系统的框图；

图4示出根据本发明的实施例的第二系统的框图；

图5示出根据本发明的实施例的第三系统的框图；

图6示出根据本发明的实施例的芯片上系统(SoC)的框图；

图7示出根据本发明的多个实施例的对照使用软件指令转换器将源指令集中的二进制指令转换成目标指令集中的二进制指令的框图；

图8示出用于将处理器与一个或多个其他计算组件配对的本发明的一个实施例；

图9示出收集配对数据并将其存储在数据库中的一个实施例；

图10示出用于生成消息认证码(MAC)密钥的方法的一个实施例；

图11示出用于生成配对数据的方法的一个实施例；

图12示出用于使用计数器值安全地恢复处理器状态的技术；

图13示出用于使用计数器值安全地挂起处理器状态的技术；

图14示出根据本发明的一个实施例可如何将配对ID注入到现有密钥中。

具体实施方式