[发明专利]允许受保护的容器存储器与输入/输出设备之间的安全通信的处理器、方法、系统和指令

权利要求书

1.一种集成电路，包括：

保护的容器存储器；

处理器；

输入/输出I/O设备；

其中保护的容器存储器、处理器和输入/输出I/O设备彼此耦合；受保护的容器存储器包括设备受保护的容器模块DPCM；

处理器包括受保护的容器架构，其包括受保护的容器访问控制逻辑，以执行一组访问控制检查并确定允许设备受保护的容器模块DPCM和输入和/或输出I/O设备在已经确定至少以下各项之后通过直接存储器访问DMA和存储器映射的输入/输出（MMIO）中的一个安全地通信：

DPCM和I/O设备被映射到彼此；

与通信关联的访问地址解析为受保护的容器存储器；以及

访问地址解析为的受保护的容器存储器的页面允许用于所述DMA和MMIO中的一个；

其中设备受保护的容器模块DPCM是输入和/或输出I/O受保护的容器模块。

2.根据权利要求1所述的集成电路，其中所述一个是DMA。

3.根据权利要求2所述的集成电路，其中受保护的容器访问控制逻辑将确定允许I/O设备访问受保护的容器存储器的页面。

4.根据权利要求2所述的集成电路，其中访问地址将来自I/O设备并且将由对应于I/O设备的启动程序的安全属性SAI伴随，并且其中受保护的容器访问控制逻辑将通过使用I/O设备的SAI来确定DPCM和I/O设备被映射到彼此以获得被映射到设备映射表中的I/O设备的SAI的DPCM标识符，并且确定从表中获得的DPCM标识符对应于DPCM。

5.根据权利要求2所述的集成电路，其中受保护的容器访问控制逻辑将访问先前已经存储在受保护的容器页面元数据结构中的允许的物理地址，并且将确定允许DPCM和I/O设备在已经确定访问地址与允许的物理地址兼容之后安全地通信。

6.根据权利要求2所述的集成电路，其中受保护的容器访问控制逻辑将确定允许DPCM和I/O设备在已经确定页面具有专用于允许安全DMA的类型之后安全地通信。

7.根据权利要求1所述的集成电路，其中所述一个是MMIO。

8.根据权利要求7所述的集成电路，进一步包括存储器管理单元MMU，以将解析成受保护的容器存储器的页面的地址转换成用于I/O设备的MMIO地址。

9.根据权利要求7所述的集成电路，其中受保护的容器访问控制逻辑将提供安全性标识符以伴随从DPCM到I/O设备的访问，并且其中安全性标识符将向I/O设备证明访问来自被映射到I/O设备的DPCM。

10.根据权利要求7所述的集成电路，其中受保护的容器访问控制逻辑将确定允许DPCM和I/O设备在已经确定页面具有专用于允许安全MMIO的类型之后安全地通信。

11.根据权利要求7所述的集成电路，其中受保护的容器访问控制逻辑包括存储器管理单元MMU。

12.根据权利要求1至11中任一项所述的集成电路，其中受保护的容器访问控制逻辑将确定允许DPCM和I/O设备在已经确定访问的类型与用于将被存储在受保护的容器页面元数据结构中的页面的一个或多个允许的访问类型兼容之后安全地通信。

13.根据权利要求1至11中任一项所述的集成电路，其中受保护的容器访问控制逻辑将确定不允许：

任何其它受保护的容器模块访问受保护的容器存储器的页面；以及

任何特权系统软件模块访问受保护的容器存储器的页面。