[发明专利]用于政策执行处理的系统及方法

权利要求书

1.一种处理系统，包括：

(a)主机处理域，所述主机处理域包括主机处理器，所述主机处理器被配置为：

接收至少一个指令，所述指令包括：(i)与一个或更多个操作数有关的操作数信息，以及(ii)指示将要在所述一个或更多个操作数上执行的操作的操作信息；

在所述一个或更多个操作数上执行所述操作信息中所指示的操作，以产生操作输出信息；以及

向元数据处理域提供指令信息和所述操作输出信息；以及

(b)所述元数据处理域，所述元数据处理域包括：

(i)写连锁，所述写连锁被配置为：

从所述主机处理域接收所述操作输出信息；以及

将所述操作输出信息放入队列中；

(ii)卷标处理单元，所述卷标处理单元被配置为：

从所述主机处理域接收所述指令信息；

使用所述指令信息获得与所述至少一个指令相关联的一个或更多个输入元数据标签；

根据所强制执行的一个或更多个政策并根据与所述至少一个指令相关联的所述一个或更多个输入元数据标签来确定是否允许所述至少一个指令；以及

响应于确定出允许所述指令，使所述写连锁的队列以将所述操作输出信息与至少一个输出元数据标签相关联的方式将操作输出信息写入内存。

2.根据权利要求1所述的处理系统，其中，所述卷标处理单元包括规则快取器，所述规则快取器被配置为储存由所述元数据处理域强制执行的所述一个或更多个政策中的至少一个政策的一个或更多个规则分录。

3.根据权利要求2所述的处理系统，其中，确定出允许所述指令包括：

确定出所述规则快取器储存与相关联于所述至少一个指令的所述一个或更多个输入元数据标签相匹配的规则分录。

4.根据权利要求3所述的处理系统，其中，所述卷标处理单元被配置为使用储存在所述规则分录中的信息来提供将要与所述操作输出信息相关联的所述至少一个输出元数据标签。

5.根据权利要求2所述的处理系统，其中，所述元数据处理域包括政策执行处理器，并且确定出允许所述指令包括：

确定出所述规则快取器不储存与相关联于所述至少一个指令的所述一个或更多个输入元数据标签相匹配的规则分录；

响应于确定出所述规则快取器不储存与相关联于所述至少一个指令的所述一个或更多个输入元数据标签相匹配的规则分录，向所述政策执行处理器提供与所述至少一个指令相关联的所述一个或更多个输入元数据标签；以及

从所述政策执行处理器接收将要与所述操作输出信息相关联的所述至少一个输出元数据标签。

6.根据权利要求5所述的处理系统，其中，所述政策执行处理器被配置为：

从所述卷标处理单元接收与所述至少一个指令相关联的所述一个或更多个输入元数据标签；

针对与所述至少一个指令相关联的所述一个或更多个输入元数据标签执行政策代码以确定是否允许所述至少一个指令；以及

响应于确定出允许所述至少一个指令，基于与所述至少一个指令相关联的所述一个或更多个输入元数据标签和所述至少一个输出元数据标签，在所述规则快取器中安装规则分录。

7.根据权利要求5所述的处理系统，其中，所述政策执行处理器被配置为执行安全启动操作，所述政策执行处理器包括启动ROM，所述启动ROM储存有一个或更多个公钥，以及储存有代码，所述代码能够(i)从外部内存装置读取图像，使用所述一个或更多个公钥对图像进行认证和解密，以及能够启用所述主机处理器以在成功进行认证和解密后继续所述主机处理器的启动程序。